Administrationshandbuch › Benutzerdefinierte Rollen und Richtlinien › Konfigurieren von benutzerdefinierten Benutzerrollen und Zugriffsrichtlinien

Konfigurieren von benutzerdefinierten Benutzerrollen und Zugriffsrichtlinien

Eine Benutzerrolle kann eine vordefinierte oder eine benutzerdefinierte Anwendungsgruppe sein. Benutzerdefinierte Benutzerrollen werden benötigt, wenn die vordefinierten Anwendungsgruppen (Administrator, Analyst und Auditor) nicht ausreichend differenziert sind, um Arbeitszuweisungen zu reflektieren. Für benutzerdefinierte Benutzerrollen sind benutzerdefinierte Zugriffsrichtlinien erforderlich. Zudem muss vordefinierten Richtlinien die neue Rolle hinzugefügt werden.

Administratoren können Benutzerrollen und die entsprechenden Richtlinien wie folgt erstellen:

1. Führen Sie für jede von Benutzern von CA Enterprise Log Manager übernommene Rolle folgende Aufgaben durch:
   • Ermitteln Sie die Ressourcen, für die Zugriff gewährt werden muss.
   • Ermitteln Sie die Aktionen, die Sie auf den einzelnen Ressourcen zulassen möchten.
   • Ermitteln Sie die Identitäten oder Benutzer, auf die diese Rolle angewendet wird.

     Hinweis: Identitäten können andere Anwendungsgruppen sein, aus denen sich eine übergeordnete Gruppe zusammensetzt.

2. Wenn eine vordefinierte Anwendungsgruppe für Ihre Bedürfnisse zu breit angelegt ist, erstellen Sie eine neue Anwendungsgruppe und weisen Sie diese den angegebenen Benutzern zu. Es empfiehlt sich, einer benutzerdefinierten Anwendungsgruppe einen Namen zu geben, der die Rolle beschreibt, die die zugewiesenen Benutzer ausführen sollen.
3. Fügen Sie die neue Anwendungsgruppe der CALM-Richtlinie für den Zugriff auf die Anwendung hinzu, wobei die Richtlinie vom Typ "Zugriffskontrollliste" ist.
4. Wenn die neue Rolle auf einer oder mehreren Ressourcen Aktionen wie "Erstellen" durchführen muss, gehen Sie wie folgt vor:
   1. Konfigurieren Sie eine CALM-Richtlinie, die es der neuen Anwendungsgruppe ermöglicht, auf den angegebenen CA Enterprise Log Manager-Ressourcen die Aktion "Erstellen" oder andere gültige Aktionen durchzuführen.
   2. Konfigurieren Sie eine Bereichsrichtlinie, die der neuen Anwendungsgruppe Lese- und Schreibzugriff auf die Appobject-Ressource gewährt, und legen Sie einen Filter fest, der angibt, an welcher Stelle die angegebene Ressource in den EEM-Ordnern gespeichert wird. Geben Sie für jeden Filter das benannte Attribut "pozFolder" ein, das einen Wert enthält, der dem Pfad für den EEM-Ordner entspricht und mit "/CALM_Configuration" beginnt.
5. Wenn die neue Rolle nur eine bestimmte CA Enterprise Log Manager-Ressource anzeigen muss, konfigurieren Sie eine Bereichsrichtlinie, die den Lesezugriff auf "AppObject" ermöglicht, und legen Sie einen Filter mit dem benannten Attribut "pozFolder" fest, das einen Wert enthält, der dem Pfad für den EEM-Ordner entspricht, unter dem diese Ressource gespeichert ist, und mit "/CALM_Configuration" beginnt.
6. Testen Sie die Richtlinien.
7. Weisen Sie Benutzerkonten die neue Rolle zu.

Administratoren können eingeschränkten Benutzerzugriff auch mit Zugriffsfiltern erstellen. Wenn eine bestimmte Art von eingeschränktem Zugriff nur für einen Benutzer gilt, können Sie diesen Benutzer beim Zuweisen zu einer Anwendungsgruppe oder Rolle auslassen. So schränken Sie den Zugriff eines Benutzers ein:

1. Erstellen Sie einen Benutzer, weisen Sie jedoch keine Rolle zu.
2. Erteilen Sie dem Benutzer Zugriff auf die CA Enterprise Log Manager-Anwendung, indem Sie den Benutzer der CALM-Zugriffsrichtlinie hinzufügen.
3. Erstellen Sie eine Bereichsrichtlinie, die Lese- oder Schreibzugriff auf die Ressourcen "SicheresObjekt" und "AppObject" gewährt, und legen Sie einen Filter fest, bei dem das benannte Attribut "pozFolder" mit dem Wert des EEM-Ordners für die Ressource identisch ist. Wenn es sich bei der Ressource beispielsweise um Berichte handelt, legen Sie für das benannte Attribut "calmTag" den Wert einer Berichtskennung fest.
4. Erstellen Sie einen benutzerdefinierten Zugriffsfilter.

Administratoren können den Benutzerzugriff auf die CA Enterprise Log Manager-Ressourcen anpassen. Betrachten Sie die folgenden Beispiele:

• Erstellen Sie Rollen, um unterschiedlichen Gruppen von Administratoren bestimmte Verwaltungsaufgaben zuzuweisen. Erstellen Sie beispielsweise eine Rolle mit der Bezeichnung "BenutzerKontoAdministrator". Erstellen Sie eine Richtlinie, die Benutzern mit dieser Rolle Zugriff auf nur die Funktionalität gewährt, die zum Verwalten von Benutzern und Gruppen erforderlich ist. Eine Richtlinie dieser Art muss Lese- und Schreibzugriff auf die Ressource "GlobalerBenutzer" sowie auf die Ressourcen "Benutzer" und "BenutzerGruppe" gewähren.
• Erstellen Sie Rollen zum Verteilen von Analystenaufgaben auf die unterschiedlichen Arten von Berichten und Abfragen anhand von Kennungen. Erstellen Sie beispielsweise Rollen wie "SystemZugriffsanalyst" und "PCIAnalyst", und weisen Sie Analysten nur einer dieser eingeschränkten Analystenrollen zu. Erstellen Sie anschließend Richtlinien, die Zugriff auf eine Teilmenge dieser Ressourcen anhand von Kennungen gewähren. Erstellen Sie beispielsweise eine Richtlinie, die der Rolle "SystemZugriffsanalyst" Zugriff auf Berichte und Abfragen gewährt, die die Kennung "Systemzugriff" aufweisen, sowie eine weitere Richtlinie, die der Rolle "PCIAnalyst" Zugriff auf Berichte und Abfragen gewährt, die die Kennung "PCI" aufweisen. Erstellen Sie weitere Rollen und Richtlinien anhand anderer Kennungen. Richtlinien, die den Zugriff auf diese Weise einschränken, tun dies mit Hilfe von Zugriffsfiltern.

Administratoren können mit einem der folgenden Verfahren serverbasierte Richtlinien erstellen:

• Einschränken von Daten

  Sie können den Zugriff auf bestimmte Protokolle einschränken, indem Sie einen Datenzugriffsfilter erstellen, den Filter für das Feld "receiver_name" festlegen und einen Wert wie "systemstatus" oder "syslog" angeben.

• Einschränken der Konfiguration

  Sie können den Zugriff auf einen bestimmten CA Enterprise Log Manager-Server einschränken, indem Sie in der Ressourcenklasse "SicheresObjekt" eine Richtlinie erstellen, wobei "AppObject" als Ressource ausgewählt ist. Das bedeutet, dass Sie einen Filter wie den folgenden definieren müssen, um den Zugriff ausschließlich auf die Konfiguration des Berichtsservers auf einem bestimmten Host einzuschränken:

  pozFolder contains /CALM_Configuration/Modules/calmReporter/LogServer01
  

Weitere Informationen:

Beispielrichtlinien für benutzerdefinierte Integrationen

Beispielrichtlinien für Unterdrückungs- und Zusammenfassungsregeln

Erstellen eines Zugriffsfilters

Beschränken des Datenzugriffs für einen Benutzer: Windows-Administrator

Beschränken des Zugriffs für eine Rolle: PCI-Analyst