Planification de rôles › Caractéristiques des rôles › Actions Ajouter et Supprimer

Actions Ajouter et Supprimer

Vous devez spécifier une action d'ajout et de suppression pour qu'Identity Manager puisse gérer correctement l'appartenance à un rôle lorsqu'un administrateur accorde ou révoque le rôle.

• L'action d'ajout doit permettre d'associer l'utilisateur aux critères dans l'une des règles de membre du rôle. Par exemple, si la règle de membre pour le rôle de gestionnaire d'utilisateurs indique que la valeur de l'attribut Rôles d'administration des membres avec rôle est Gestionnaire d'utilisateurs, l'action Ajouter devra ajouter Gestionnaire d'utilisateurs à l'attribut Rôles d'administration.
• De même, l'action Supprimer doit modifier le profil d'un utilisateur afin qu'il ne corresponde plus à la règle de membre lorsque celle-ci est retirée.

Chaque rôle peut comprendre deux actions Ajouter et deux actions Supprimer.

Si les administrateurs peuvent ajouter et supprimer des membres avec rôle, définissez des actions Ajouter et Supprimer. Sinon, l'utilisateur disposera du rôle s'il correspond à la règle de membre, par exemple en appartenant au groupe RoleAdmins. Exemple :

• Le rôle A peut être affecté par un administrateur ; les actions Ajouter ou Supprimer seront donc définies.
• Le rôle B contient une règle indiquant que tous les membres du groupe Finances disposent du rôle. Ce rôle ne peut pas être affecté ; il ne contient donc aucune action Ajouter ou Supprimer.

Lors de la définition des actions Ajouter et Supprimer, envisagez d'utiliser l'attribut Rôle d'administration, que CA Identity Manager peut utiliser pour stocker une liste de rôles d'utilisateurs. Par exemple, vous pouvez configurer une action Ajouter pour ajoute Employé à l'attribut Rôle d'administration d'un utilisateur lorsque ce dernier est ajouté comme membre du rôle Employé. Si un administrateur affecte le rôle Employé à un gestionnaire qui dispose déjà des rôles Auto-administrateur et Gestionnaire d'utilisateurs, l'attribut Rôle d'administration du gestionnaire contiendra les valeurs suivantes : Self Administrator, User Manager, Employee.

Pour utiliser l'attribut Rôle d'administration, l'attribut connu %ADMIN_ROLE_CONSTRAINT% doit être mappé vers un attribut à valeurs multiples dans des profils d'utilisateur. Pour plus d'informations, consultez le Manuel de configuration de CA Identity Manager.

Important : Lors de la définition d'une action Ajouter, évitez de configurer une règle faisant référence au rôle que vous définissez. Par exemple, ne définissez pas d'action Ajouter qui établit un membre du Rôle A en étant un membre du Rôle A. Cela provoquera une erreur récursive qui entraînera le redémarrage du serveur de stratégies.