Etape 3 : création d'une stratégie d'accès au système Win-Admin

Manuel d'administration › Stratégies et rôles personnalisés › Restriction d'accès pour un utilisateur : scénario de l'administrateur Windows › Etape 3 : création d'une stratégie d'accès au système Win-Admin

Etape 3 : création d'une stratégie d'accès au système Win-Admin

L'étape 2 accorde un accès pour se connecter à l'application CA Enterprise Log Manager.

L'étape 3 limite l'accès à l'application CA Enterprise Log Manager après la connexion. Au niveau le plus large, vous pouvez accorder un accès en lecture seule ou un accès en lecture et en écriture aux identités spécifiées.

Le choix du type de stratégie détermine ensuite la granularité à laquelle vous pouvez spécifier les actions autorisées.

Les stratégies d'accès autorisent les actions sélectionnées sur les ressources sélectionnées concernées.
Les stratégies de type Liste de contrôle d'accès vous permettent de spécifier les actions autorisées sur chaque ressource ajoutée.
Les stratégies du type Liste de contrôle d'accès des identités vous permettent de spécifier les actions qui sont autorisées sur les ressources concernées pour chaque identité.

Vous pouvez autoriser un accès limité à une ressource en créant un filtre qui spécifie le dossier EEM pour cette ressource, puis en spécifiant des restrictions sur ce dossier.

L'exemple ci-dessous explique comment restreindre l'accès de manière générale aux seules opérations de lecture, avec des restrictions supplémentaires sur une fonction spécifique. Plus précisément, l'étape 3 limite l'accès de l'utilisateur Win-Admin à l'affichage des rapports d'accès au système. L'exemple suivant montre comment créer une stratégie de portée appelée Accès au système Win-Admin, qui accorde un accès en lecture à SafeObject, AppObject et spécifie des filtres qui limitent l'accès aux seuls rapports possédant la balise Accès au système. Il indique également comment tester la stratégie et, après cette vérification, comment supprimer le paramètre de pré-déploiement.

La zone Général d'une stratégie de portée conçue pour spécifier un accès en lecture seule ou en lecture/écriture aux applications spécifie SafeObject en tant que nom de classe de ressource. La stratégie de l'exemple qui suit porte le nom "Accès au système Win-Admin". Il est recommandé de sélectionner l'option Pré-déploiement pour une nouvelle stratégie tant que vous ne l'avez pas testée ou que vous n'en êtes pas suffisamment satisfait pour l'utiliser dans un environnement de production.

Lorsque vous créez une stratégie de portée pour un utilisateur, identifiez ce nom d'utilisateur dans le nom de la stratégie.

Vous pouvez accorder un accès à des utilisateurs ou à des groupes. Dans cet exemple, l'accès est accordé au nouvel utilisateur Win-Admin.

Lorsque vous sélectionnez Utilisateur, seuls les noms d'utilisateurs sont indiqués comme disponibles pour la sélection.

Le plus haut niveau de stratégie créé pour CA Enterprise Log Manager est la stratégie d'accès à CALM, CAELM étant l'instance de l'application. Cette stratégie de portée autorise un accès en lecture aux objets d'application, AppObject, faisant référence à l'ensemble des fonctions de l'application.

La stratégie d'accès au système pour l'utilisateur de ce scénario autorise l'utilisateur à afficher toutes les ressources, les limitations étant définies par des filtres.

Vous pouvez ajouter des limites aux actions autorisées sur tous les objets en définissant des filtres. Les filtres sont souvent définis par paires, dans lesquelles le premier filtre spécifie le dossier CA EEM dans lequel les données liées à une fonction particulière sont stockées et le deuxième filtre fait porter une restriction sur les objets se trouvant à cet emplacement. Dans l'exemple suivant, le premier filtre limite l'accès du dossier CA EEM au dossier dans lequel la ressource rapports est stockée. Plus précisément, il spécifie que le dossier pozFolder contient /CALM_Configuration/Content/Reports. Le deuxième filtre limite l'accès aux rapports associés à la balise Accès au système en spécifiant que calmTag doit être égal à Accès au système.

Le filtre restreint l'accès aux seuls rapports possédant la balise Accès au système.

Une fois la stratégie enregistrée, vous pouvez la rechercher afin de la vérifier. Vous pouvez rechercher des stratégies par nom, identité ou ressource. Vous pouvez entrer une valeur partielle. Vous pouvez également entrer plusieurs critères. Des exemples sont fournis ci-après.

Une recherche sur le nom complet affiche la seule stratégie dont vous avez besoin.

Une recherche par nom renvoie uniquement la stratégie recherchée.

Une recherche par identité uniquement affiche toutes les stratégies qui s'appliquent à cette identité, y compris celles qui s'appliquent à toutes les identités.

Une recherche par identité renvoie toutes les stratégies dans lesquelles cet utilisateur est répertorié en tant qu'identité.

Une recherche par ressource uniquement, où la ressource est AppObject, affiche toutes les stratégies personnalisées et fournies par le système qui accordent un accès en lecture ou en lecture/écriture à toute identité.

Une recherche basée sur la ressource renvoie toutes les stratégies dans lesquelles la ressource sélectionnée apparaît dans la colonne des ressources.

Lorsque la stratégie personnalisée que vous recherchez s'affiche dans le tableau des stratégies, examinez les valeurs, y compris les filtres. Si vous remarquez un élément à corriger, vous pouvez cliquer sur le lien du nom pour afficher la stratégie en mode d'édition.

Il est recommandé de vérifier vos saisies.

Vérifiez les filtres pour toute nouvelle stratégie créée.

Il est recommandé de tester toute nouvelle stratégie. Assurez-vous d'entrer les paires attribut/valeur dans l'ordre de saisie des filtres, avec l'attribut du niveau le plus élevé en premier.

En cas d'échec de votre contrôle d'autorisation, assurez-vous d'avoir saisi les filtres dans l'ordre exact dans lequel ils apparaissent dans la stratégie.

Vérifiez que le résultat est ALLOW.

Le résultat ALLOW indique la réussite du contrôle d'autorisation.

Après avoir vérifié que le résultat est ALLOW, désélectionnez le paramètre Pré-déploiement de la stratégie. Dans le cas contraire, vous ne pourrez plus vous connecter sous l'identité Win-Admin pour évaluer les actions accessibles à cet utilisateur.

Effacez les paramètres Pré-déploiement avant de vous connecter en tant que nouvel utilisateur.

Informations complémentaires

Test d'une nouvelle stratégie

Envoyer un courriel à CA Technologies sur cette rubrique