Guida all'amministrazioneRuoli e criteri predefinitiLimitazione dell'accesso ai dati per un utente: scenario Win-Admin › Passaggio 3: creazione del criterio di accesso al sistema Win-Admin

Argomento precedente: Passaggio 2: aggiunta di Win-Admin al criterio di accesso all'applicazione di CALM

Argomento successivo: Passaggio 4: creazione di filtri di accesso ai dati Win-Admin

Passaggio 3: creazione del criterio di accesso al sistema Win-Admin

Il passaggio 2 garantisce l'accesso all'applicazione CA Enterprise Log Manager.

Il passaggio 3, invece, garantisce o esamina l'accesso all'applicazione CA Enterprise Log Manager dopo il logon. Su scala più ampia, si può garantire l'accesso di sola lettura o l'accesso in lettura e scrittura alle identità specificate.

La selezione del tipo di criterio determina la granularità con cui è possibile specificare le azioni consentite.

Si può consentire l'accesso limitato a una risorsa creando un filtro che specifichi la cartella EEM per quella risorsa e poi indicando in tale cartella le limitazioni.

Questo esempio mostra come limitare in generale l'accesso ad accesso in sola lettura, con ulteriori restrizioni per una funzione specifica. In particolare, il passaggio 3 limita la visualizzazione dei rapporti di accesso al sistema per l'utente Win-Admin. L'esempio seguente mostra come creare un criterio di scoping chiamato Accesso al sistema Win-Admin che garantisca l'accesso in lettura a SafeObject e AppObject e indichi i filtri che limitano l'accesso ai rapporti dotati del tag di accesso al sistema. Mostra anche come testare il criterio e, dopo la verifica, come rimuovere le impostazioni di distribuzione preliminare.

L'area Generale di un criterio di scoping, creato per impostare l'accesso all'applicazione ad accesso di sola lettura o di lettura e scrittura, indica SafeObject come nome della classe della risorsa. L'esempio seguente mostra il nome del criterio di accesso al sistema Win-Admin. Si consiglia di selezionare Distribuzione preliminare per un nuovo criterio fino a quando tale criterio sarà stato testato e sarà stato dimostrato che è pronto all'utilizzo in un ambiente di produzione.

Quando si crea un criterio di scoping per un utente, identificare tale nome utente nel nome del criterio.

È possibile garantire l'accesso a utenti o gruppi. In questo esempio, l'accesso è garantito al nuovo utente Win-Admin.

Quando si seleziona Utente, soltanto i nomi degli utenti appaiono come disponibili per la selezione.

Il criterio "di massimo livello" creato per CA Enterprise Log Manager è il criterio di accesso a CALM, dove l'istanza dell'applicazione è CAELM. Questo criterio di scoping è volto a specificare che l'azione di lettura è concessa sugli oggetti applicazione, AppObject, con riferimento a tutte le funzioni dell'applicazione.

Il criterio di accesso al sistema per l'utente di questo esempio consente di visualizzare tutte le risorse, le cui limitazioni sono definite da filtri.

È possibile limitare ulteriormente l'azione specifica consentita su tutti gli oggetti definendo dei filtri. I filtri vengono spesso definiti a coppie: il primo filtro specifica la cartella CA EEM in cui vengono archiviati i dati relativi a una precisa funzione, mentre il secondo indica una limitazione sugli oggetti in quella posizione. Nell'esempio seguente, il primo filtro limita l'accesso alla cartella CA EEM in cui è archiviata la risorsa dei rapporti. In particolare, specifica che la cartella pozFolder contiene /CALM_Configuration/Content/Reports. Il secondo filtro limita l'accesso ai rapporti con il tag di accesso al sistema specificando che il calmTag equivale all'accesso al sistema.

Il filtro limita l'accesso ai rapporti con il tag Accesso al sistema.

Dopo aver salvato un criterio, è possibile cercarlo per esaminarlo. I criteri possono essere cercati per nome, identità o risorsa. È possibile inserire un valore parziale o anche criteri multipli. Seguono alcuni esempi per questo scenario.

La ricerca in base al nome completo visualizza soltanto il criterio desiderato.

La ricerca in base al nome restituisce soltanto il criterio cercato.

La ricerca in base all'identità visualizza tutti i criteri applicati a tale identità, inclusi quelli applicati a tutte le identità.

La ricerca in base all'identità restituisce tutti i criteri in cui l'utente è elencato come identità.

La ricerca in base alla risorsa, solo se la risorsa è AppObject, visualizza tutti i criteri forniti dal sistema o personalizzati che garantiscono accesso in lettura o in lettura e scrittura a un'identità.

La ricerca in base alla risorsa restituisce tutti i criteri in cui la risorsa selezionata appare nella colonna Risorse.

Quando il criterio personalizzato che si sta cercando appare nella tabella dei criteri, esaminarne i valori, filtri compresi. Se si nota qualsiasi cosa richieda una correzione, è possibile fare clic sul link del nome per visualizzare nuovamente il criterio e modificarlo.

Si consiglia di verificare sempre le voci.

Verificare i filtri per ogni nuovo criterio creato.

È consigliabile testare tutti i nuovi criteri. Assicurarsi di inserire le coppie attributo/valore nell'ordine in cui sono stati inseriti i filtri, con l'attributo di livello massimo per primo.

Se il controllo delle autorizzazioni fallisce, assicurarsi di aver inserito i filtri nello stesso ordine in cui compaiono nel criterio.

Verificare che il risultato sia ALLOW.

Il risultato ALLOW indica che il controllo delle autorizzazioni è stato completato correttamente.

Dopo averlo verificato, deselezionare l'impostazione di distribuzione preliminare del criterio. In caso contrario, non sarà possibile accedere come Win-Admin per valutare cosa può fare l'utente.

Cancellare le impostazioni di distribuzione preliminare prima di accedere come nuovo utente.

Ulteriori informazioni:

Verifica di un nuovo criterio