Administration Guide › Ruoli e criteri predefiniti › Configurazione di ruoli utente personalizzati e criteri di accesso

Configurazione di ruoli utente personalizzati e criteri di accesso

Un ruolo utente può essere un gruppo applicazione predefinito o un gruppo applicazione definito dall'utente. Sono necessari ruoli utente personalizzati quando i gruppi applicazione predefiniti (amministratore, analista e revisore) non sono sufficientemente dettagliati per riflettere le assegnazioni del lavoro. I ruoli utente personalizzati richiedono criteri di accesso personalizzati e la modifica dei criteri predefiniti per includere il nuovo ruolo.

Gli amministratori possono creare ruoli utente e i criteri corrispondenti con la modalità seguente:

1. Per ogni ruolo assunto dagli utenti di CA User Activity Reporting Module:
   • Identificare le risorse cui garantire l'accesso.
   • Identificare le azioni da consentire per ogni risorsa.
   • Identificare le identità o gli individui a cui applicare questo ruolo.

     Nota: le identità possono essere altri gruppi applicazione concepiti per costituire un supergruppo.

2. Se un gruppo applicazione predefinito è troppo esteso per le necessità dell'utente, creare un nuovo gruppo e assegnarlo agli individui identificati. È consigliabile denominare un gruppo applicazione definito dall'utente con un termine che descriva il ruolo che gli utenti assegnati devono avere.
3. Aggiungere il nuovo gruppo applicazione al criterio di accesso per l'applicazione CALM, un tipo di elenco Access Control.
4. Se il nuovo ruolo deve poter eseguire azioni su una o più risorse, come la creazione, seguire questa procedura:
   1. Configurare un criterio CALM che consenta al nuovo gruppo applicazione di creare o realizzare altre azioni valide relative alle risorse CA User Activity Reporting Module identificate.
   2. Configurare un criterio di scoping che garantisca al nuovo gruppo applicazione accesso di lettura e scrittura alla risorsa AppObject e specificare un filtro che preveda la posizione in cui la risorsa identificata verrà memorizzata nelle cartelle EEM. Per ogni filtro, inserire l'attributo denominato, pozFolder, CONTAINS e un valore, dove tale valore è il percorso della cartella EEM che inizia con /CALM_Configuration.
5. Se il nuovo ruolo necessita soltanto di visualizzare una risorsa CA User Activity Reporting Module specifica, configurare un criterio di scoping che consenta l'accesso di lettura ad AppObject e specificare un filtro in cui l'attributo denominato, pozFolder, contenga (CONTAINS) un valore, ovvero il percorso della cartella EEM che inizia con /CALM_Configuration in cui è archiviata la risorsa.
6. Testare i criteri.
7. Assegnare il nuovo ruolo agli account utente.

Gli amministratori possono anche creare accessi utente limitati con filtri di accesso. Se un tipo specifico di accesso limitato si applica soltanto a una persona, si può evitare di assegnarla a un gruppo applicazione o a un ruolo. Per limitare l'accesso di un utente:

1. Creare un utente senza assegnare a esso alcun ruolo.
2. Consentire all'utente l'accesso all'applicazione CA User Activity Reporting Module aggiungendolo al criterio di accesso CALM.
3. Creare un criterio di scoping che garantisca l'accesso di lettura o scrittura a SafeObject e AppObject e specificare un filtro in cui l'attributo denominato pozFolder corrisponda al valore della cartella EEM per la risorsa. Ad esempio, se la risorsa sono i rapporti, impostare l'attributo denominato calmTag in modo che sia uguale al valore di un tag di rapporto.
4. Creazione di un filtro di accesso personalizzato

Gli amministratori possono personalizzare l'accesso utente alle risorse CA User Activity Reporting Module. Considerare gli esempi riportati di seguito:

• Creazione di ruoli per assegnare responsabilità di amministrazione specifiche a gruppi diversi di amministratori. Ad esempio, creare un ruolo come UserAccountAdministrator. Creare un criterio che garantisca agli utenti con questo ruolo l'accesso alla sola funzionalità necessaria per gestire utenti e gruppi. Questo criterio deve definire l'accesso di lettura e scrittura alla risorsa GlobalUser e alle risorse User e UserGroup.
• Creazione di ruoli per distribuire le responsabilità degli analisti ai vari tipi di report e query basati sui tag. Ad esempio, creare ruoli come SystemAccessAnalyst e PCIAnalyst e assegnare gli analisti a uno solo dei ruoli analista limitati. Quindi, creare criteri che garantiscano l'accesso a un sottoinsieme di queste risorse basato sui tag. Ad esempio, creare un criterio che garantisca al ruolo SystemAccessAnalyst accesso ai rapporti e alle query con il tag Accesso al sistema e un altro che garantisca al ruolo PCIAnalyst di accedere ai rapporti e alle query con il tag PCI. Creare altri ruoli e criteri basati su altri tag. Per limitare l'accesso in questo modo, i criteri utilizzano filtri di accesso.

Gli amministratori possono creare criteri basati sul server nei modi seguenti:

• Limitazione dei dati

  È possibile restringere l'accesso a registri specifici creando un filtro di accesso ai dati, impostando il filtro per il campo receiver_name e specificando un valore come systemstatus o syslog.

• Limitazione della configurazione

  È possibile limitare l'accesso a un particolare server CA User Activity Reporting Module tramite la creazione di un criterio sulla classe di risorse SafeObject con AppObject come risorsa selezionata. Questo significa che, per limitare l'accesso solo alla configurazione del server di rapporto su un host specifico, è necessario definire un filtro come segue:

  pozFolder contains /CALM_Configuration/Modules/calmReporter/LogServer01
  

Ulteriori informazioni:

Criteri di esempio per le integrazioni personalizzate

Criteri di esempio per le regole di soppressione e riepilogo

Creazione di un filtro di accesso

Limitazione dell'accesso ai dati per un utente: scenario Win-Admin

Limitazione dell'accesso a un ruolo: scenario per analisti PCI