Manuel d'administration › Stratégies et rôles personnalisés › Configuration de rôles d'utilisateur et de stratégies d'accès personnalisés
Configuration de rôles d'utilisateur et de stratégies d'accès personnalisés
Un rôle d'utilisateur peut être un groupe d'utilisateurs d'applications prédéfini ou un groupe d'applications défini par l'utilisateur. Des rôles d'utilisateur personnalisés sont nécessaires lorsque les groupes d'applications prédéfinis (Administrator, Analyst et Auditor) ne sont pas suffisamment affinés pour refléter les attributions de tâches. Les rôles d'utilisateur personnalisés nécessitent des stratégies d'accès personnalisées et une modification des stratégies prédéfinies pour inclure le nouveau rôle.
Les administrateurs peuvent créer des rôles d'utilisateur et les stratégies correspondantes en suivant la procédure ci-dessous.
- Pour chaque rôle endossé par les utilisateurs de CA Enterprise Log Manager
- Si un groupe d'applications prédéfini est trop étendu pour vos besoins, créez un nouveau groupe d'applications et affectez-le aux individus que vous avez identifiés. Lorsque vous nommez un groupe d'applications défini par l'utilisateur, veillez à choisir un terme décrivant le rôle que doivent remplir les utilisateurs concernés.
- Ajoutez le nouveau groupe d'applications à la stratégie d'accès aux applications CALM, qui est un type de liste de contrôle d'accès.
- Si le nouveau rôle doit être en mesure d'entreprendre une action sur une ou plusieurs ressources (une action de création, par exemple), procédez comme suit.
- Configurez une stratégie CALM qui permet au nouveau groupe d'applications de créer ou d'entreprendre d'autres actions valides sur les ressources CA Enterprise Log Manager identifiées.
- Configurez une stratégie de portée qui accorde au nouveau groupe d'applications un accès en lecture et écriture à la ressource AppObject et spécifiez un filtre qui indique où la ressource identifiée est stockée dans les dossiers EEM. Pour chaque filtre, entrez l'attribut nommé, pozFolder, CONTAINS et une valeur, cette valeur étant le chemin d'accès au dossier EEM commençant par /CALM_Configuration.
- Si le nouveau rôle doit pouvoir uniquement afficher une ressource CA Enterprise Log Manager spécifique, configurez une stratégie de portée qui autorise un accès en lecture à AppObject et spécifiez un filtre où l'attribut nommé, pozFolder, CONTAINS une valeur, cette valeur étant le chemin d'accès au dossier EEM (commençant par /CALM_Configuration) dans lequel cette ressource est stockée.
- Testez les stratégies.
- Affectez le nouveau rôle aux comptes d'utilisateur.
Les administrateurs peuvent également restreindre l'accès des utilisateurs à l'aide de filtres d'accès. Si un type particulier d'accès limité s'applique à un seul individu, vous pouvez omettre d'affecter à cette personne un groupe d'applications, ou un rôle. Pour limiter l'accès d'un utilisateur
- Créez un utilisateur mais ne lui affectez aucun rôle.
- Donnez-lui accès à l'application CA Enterprise Log Manager en ajoutant l'utilisateur à la stratégie d'accès CALM.
- Créez une stratégie de portée qui accorde un accès en lecture ou en écriture à SafeObject, AppObject et spécifiez un filtre dans lequel l'attribut nommé pozFolder est égal à la valeur du dossier EEM pour cette la ressource. Par exemple, si la ressource est un ensemble de rapports, spécifiez que l'attribut nommé calmTag doit être égal à la valeur d'une balise de rapport.
- Créez un filtre d'accès personnalisé.
Les administrateurs peuvent personnaliser l'accès utilisateur aux ressources CA Enterprise Log Manager. Etudiez les exemples ci-après.
- Créez des rôles pour affecter des responsabilités d'administration spécifiques à différents groupes d'administrateurs. Par exemple, créez un rôle UserAccountAdministrator. Créez une stratégie qui accorde aux utilisateurs détenant ce rôle un accès aux seules fonctions nécessaires aux opérations de maintenance des utilisateurs et groupes. Cette stratégie doit définir un accès en lecture et en écriture à la ressource GlobalUser comme aux ressources User et UserGroup.
- Créez des rôles pour distribuer des responsabilités d'analystes aux divers types de rapports et requêtes en fonction des balises. Par exemple, créez les rôles SystemAccessAnalyst et PCIAnalyst et affectez des analystes à un seul des rôles d'analystes à accès restreint. Créez ensuite des stratégies qui accordent un accès à un sous-ensemble de ces ressources en fonction des balises. Créez par exemple une stratégie qui accorde un accès propre au rôle SystemAccessAnalyst aux rapports et requêtes contenant la balise Accès au système et une autre qui accorde un accès propre au rôle PCIAnalyst aux rapports et requêtes contenant la balise PCI. Créez d'autres rôles et stratégies en fonction d'autres balises. Les stratégies qui limitent l'accès de cette manière utilisent des filtres d'accès.
Les administrateurs peuvent créer des stratégies basées sur des serveurs à l'aide de l'une des approches suivantes.
- Limiter les données
Vous pouvez limiter l'accès à des journaux spécifiques en créant un filtre d'accès aux données, en le paramétrant sur le champ receiver_name et en spécifiant une valeur telle que systemstatus ou syslog.
- Limiter la configuration
Vous pouvez limiter l'accès à un serveur CA Enterprise Log Manager en créant une stratégie sur la classe de ressources SafeObject avec AppObject en tant que ressource sélectionnée. Autrement dit, pour limiter l'accès à la seule configuration de serveur de rapports sur un hôte particulier, définissez un filtre du type suivant.
pozFolder contains /CALM_Configuration/Modules/calmReporter/LogServer01
Informations complémentaires :
Exemples de stratégie pour les intégrations personnalisées
Exemples de stratégie pour les règles de suppression et de récapitulation
Création d'un filtre d'accès
Restriction d'accès pour un utilisateur : scénario de l'administrateur Windows
Restriction d'accès pour un rôle : scénario PCI-Analyst
