Vai al contenuto

Gestione dei conti e delle autorizzazioni

La gestione degli account comporta la creazione, la modifica e la cancellazione degli account utente per le varie applicazioni gestite all'interno dell'organizzazione. Ciò comporta l'assegnazione di identificatori unici agli utenti (come nomi utente o ID dipendenti) e la gestione delle informazioni associate a questi account.

La gestione dei permessi consiste nell'assegnazione di specifici diritti di accesso e autorizzazioni a ciascuna identità in base al loro ruolo, responsabilità, organizzazione e necessità all'interno dell'organizzazione.

La gestione dei ruoli e delle autorizzazioni di un'identità comporta il calcolo e l'assegnazione di autorizzazioni alle identità in diverse applicazioni al fine di costruire un repository teorico di identità e delle loro autorizzazioni.

Sustanzia Identity offre la possibilità di gestire ruoli e autorizzazioni in modo automatico, tramite regole di autorizzazione, o discrezionalmente, tramite aggiunte manuali di diritti o richieste di modulo (workflow).

Gestione dei tipi di conto

Un tipo di conto è costituito da diversi elementi:

  • Una politica di accesso (obbligatoria),
  • Una politica di password (facoltativa),
  • Attributi dell'account (facoltativo),
  • Stati dei conti definiti in base agli stati di identità

Un tipo di account deve essere collegato a un repository e deve essere collegato a un ruolo per generare account. È quindi possibile avere più account sullo stesso repository per la stessa identità se tale identità ha più ruoli diversi.

Creazione/modifica/eliminazione di un tipo di account per un repository

Per la gestione dei tipi di account, la configurazione dei diversi moduli, ecc., consultare la pagina Gestione dei tipi di oggetto.

Crea/modifica/cancella una politica di accesso

Per accedere alla gestione delle politiche di accesso, accedere al menu "Gestione accesso/Regole account".

Verrai portato direttamente all'elenco delle politiche di accesso esistenti, precaricate in una tabella senza filtri applicati.

La paginazione è impostata per visualizzare solo 10 criteri di accesso.

Un campo di ricerca è disponibile in alto a destra della tabella. La ricerca si concentra sugli attributi code e name delle politiche di accesso.

Per creare una nuova politica di accesso, clicca sul pulsante type:inline.

Immettere i parametri per una politica di accesso:

  • Codice: codice per la politica di accesso. Deve essere unico, senza spazi o caratteri speciali. Obbligatorio.

  • Nome: nome della politica di accesso. Etichetta che verrà visualizzata nei vari moduli dell'applicazione. Obbligatorio.

  • Descrizione: campo per inserire una descrizione della politica di accesso.

  • Formula (primaria): formula di calcolo per la definizione dell'accesso

  • Politica di duplicazione:

    • Incremento automatico: il login viene calcolato utilizzando la formula primaria e integrato con un indice duplicato.
      • Esempio: Login_Calc002
    • Formula (duplicato): formula di calcolo personalizzata nel caso in cui venga rilevato un duplicato durante il calcolo dell'accesso con la formula primaria. È possibile utilizzare la parola chiave §INDEX_DOUBLON§ per gestire l'incremento automatico ma posizionarlo in una posizione specifica. Dal Identity 7.0 SP3, la parola chiave §INDEX_DOUBLON§ inizia con 1 e non ha limiti. L'indice duplicato ha un formato a 3 cifre per le versioni precedenti.
      • Esempio: Formula (duplicato) Login2_Calc

    Avvertenza: per testare la formula con questa parola chiave, è necessario sostituire §INDEX_DOUBLON§ con un valore. Questa parola chiave non può essere interpretata nel tester di formule, ma funziona nei calcoli di accesso.

  • Azione da intraprendere se esiste un conto reale:

    • Utilizzare e conciliare con il conto reale
    • Generare un login con duplicate policy
    • Non creare un account

  • Azioni da intraprendere se esiste un conto teorico:

    • Generare un login con duplicate policy
    • Non creare un account

Per visualizzare e modificare una politica di accesso, clicca sull'icona type:inline situata a destra nella riga della tabella corrispondente:

È possibile passare alla modalità di modifica direttamente dalla pagina di visualizzazione delle politiche di accesso.

In modalità di modifica, tutti i campi possono essere modificati.

Azioni sui pulsanti in modalità di modifica o creazione:

  • Cancel: cancella l'entrata corrente e passa la pagina in modalità di visualizzazione
  • Salvare: convalidare il modulo e passare alla pagina in modalità di visualizzazione
  • Salva e chiudi: convalidare il modulo e tornare alla pagina dell'elenco delle politiche di accesso

Per eliminare una politica di accesso, clicca sull'icona type:inline situata a destra nella riga della tabella corrispondente:

Prima di eliminare il criterio di accesso, verrà visualizzato un messaggio di conferma.

Avvertimento: non è possibile eliminare un criterio di accesso finché è collegato a uno o più repository.

Creazione/modifica/eliminazione di una politica di password

Per accedere alla gestione delle password, accedere al menu "Gestione dell'accesso/Regole delle password".

Verrai portato direttamente all'elenco delle password esistenti, precaricate in una tabella senza filtri applicati.

La paginazione è impostata per visualizzare solo 10 password policy.

Un campo di ricerca è disponibile in alto a destra della tabella. La ricerca si concentra sugli attributi code e name delle politiche di password.

Per creare una nuova password, clicca sul pulsante type:inline:

Immettere i parametri per una password policy:

  • Codice: codice per la politica di accesso. Deve essere unico, senza spazi o caratteri speciali. Obbligatorio.
  • Nome: nome della politica di accesso. Etichetta che verrà visualizzata nei vari moduli dell'applicazione. Obbligatorio.
  • Descrizione: campo per inserire una descrizione della politica relativa alle password.
  • Formula: formula di calcolo per la definizione della password

Per visualizzare e modificare una password, clicca sull'icona type:inline situata a destra nella riga della tabella corrispondente:

Puoi passare alla modalità di modifica direttamente dalla pagina di visualizzazione delle password.

In modalità di modifica, tutti i campi possono essere modificati.

Azioni sui pulsanti in modalità di modifica o creazione:

  • Cancel: cancella l'entrata corrente e passa la pagina in modalità di visualizzazione
  • Salvare: convalidare il modulo e passare alla pagina in modalità di visualizzazione
  • Salva e chiudi: convalidare il modulo e tornare alla pagina dell'elenco delle password

Per eliminare una password, clicca sull'icona type:inline situata a destra della riga della tabella corrispondente:

Prima di eliminare la password verrà visualizzato un messaggio di conferma.

Avvertimento: non è possibile eliminare una politica di password se è collegata a uno o più repository.

Visualizzazione degli account in un repository

Per cercare un account, vai al menu "Account".

Verrai portato direttamente alla pagina di ricerca dell'account per un repository selezionato (il primo nell'elenco), precaricato senza alcun filtro applicato ma rispettando le autorizzazioni associate al profilo dell'utente connesso.

Poiché gli account sono collegati a un repository, è necessario selezionare il repository desiderato tramite le schede o tramite l'elenco a discesa per visualizzare l'elenco degli account associati.

La modalità di visualizzazione è definita in base al numero di repository: o ci sono 10 repository o meno e vengono visualizzati in schede separate, o sono elencati in un elenco a discesa.

La pagination è implementata per visualizzare solo 10 account.

Un campo di ricerca è disponibile in alto a destra della tabella. La ricerca si concentra sui login degli account e tiene conto del repository selezionato.

Configurare la tabella dei risultati di ricerca degli account

Per configurare gli attributi da includere nella tabella dei risultati di ricerca dell'account, accedere alla pagina di configurazione degli attributi, selezionare la scheda Account, aprire l'attributo desiderato in modalità di modifica e selezionare l'opzione Display in results table.

Riconciliare/dericonciliare un conto teorico con un conto reale

Per accedere alla pagina di gestione della riconciliazione degli account, accedere al menu "Account" e attivare l'opzione "Riconciliazione":

Due nuove tabelle appariranno nella finestra:

La seconda tabella elenca gli account orfani nel repository selezionato. Per ricordare, gli account orfani sono account che sono stati recuperati dal repository di destinazione ma non sono collegati a alcuna identità in ** cyber** elementi Identity.

La terza tabella elenca le identità che non sono collegate a nessun account nel repository selezionato.

In questa tabella, per ogni identità senza un account, è possibile:

  • Lingare un account teorico esistente. Per fare questo, fare clic sul pulsante type:inline a destra dell'identità desiderata, quindi cercare l'account teorico esistente desiderato.
  • Creare un account teorico. Per fare questo, clicca sul pulsante type:inline a destra dell'identità desiderata, quindi crea l'account teorico selezionando il tipo di account desiderato.

Nota importante

La funzione è stata rimossa dalle interfacce più vecchie perché non è possibile mantenere entrambe le modalità.

La riconciliazione di un conto teorico con un conto reale permette di collegare il conto calcolato e creato da Systancia. Identity Il lien è rappresentato da uno stato di provisionamento. I valori possibili di uno stato di provisionamento di un conto sono:

  • 0: aucun compte (ni théorique ni réel) (nessun conto, né teorico né reale)
  • 1 : conto teorico (uniquement)
  • 2 . conto orfano (conto réel uniquement)
  • 3 ­ conto teorico e reale

Il valore di un bilancio di accantonamento di un conto è pari a 3 quando si parla di conti riconciliati.

Le informazioni sui conti reali sono rilevate automaticamente da un connettore di provisioning di tipo « Stati di provvigione ».

In generale, le riconciliazioni dei conti sono realizzate automaticamente tramite i connettori di tipo « Stati di provvigione »Tuttavia, è possibile effettuare riconciliazioni automatiche e manuali tramite l'interfaccia, particolarmente utili in fase di integrazione di una nuova applicazione per la gestione del recupero dei dati dei conti esistenti.

Per accedere alla pagina di conciliazione dei conti, si deve accedere alla console di configurazione e poi al menu « Déf. des droits/Réconciliation ».

Longlet « Manuale di riconciliazione » Permette di effettuare operazioni unitarie sui conti:

  • Conciliare manualmente un conto teorico con un conto reale
  • Dé-réconcilier manuellement un compte théorique avec un compte réel
  • Creare un conto teorico

È necessario selezionare un riferimento nella lista a discesa per visualizzare i dati relativi ai conti e alle identità.

Sono esposti due quadri:

  • Il primo tableau indica le identità per le quali un compte théorique è o può essere generato.
  • La seconda tabella mostra la lista dei conti reali che sono stati riassemblati a partire dalla domanda di riferimento (référentiel applicatif).

Il tasto « Riconciliazione automatica » consente di eseguire un calcolo degli account di un dato referenziale. È necessario selezionare un referenziale, selezionare l'opzione « Utilizzare la politica di account di default » nella seconda lista scorrente e quindi cliccare sul pulsante « eseguire ». Gli account del referenziale selezionato saranno calcolati con la politica di login definita.

Riconciliare manualmente un conto teorico con un conto reale

Per riconciliare un' identità e un conto:

  • Seleziona un'identità nel primo quadro cliccando sull'icona « type:inline » a sinistra.
  • Seleziona un conto nel secondo quadro.
  • Cliquez sur le bouton « Associer ».

Nota: È possibile associare un conto reale solo se non è già collegato a un conto teorico.

Dé-réconcilier manuellement un compte réel d'un compte théorique

Per de-riconciliare un conto reale con un conto teorico:

  • Seleziona un'identità nel primo quadro cliccando sull'icona « type:inline » a sinistra.
  • Cliccare sul pulsante «Rimuovere il conto teorico »

La dissociazione di un conto teorico da un conto reale equivale alla soppressione del conto teorico dell'identità.

Creare un conto teorico

Per creare un conto theorique à une identité:

  • Seleziona un'identità nel primo quadro cliccando sull'icona « type:inline » a sinistra.
  • Cliquez sur le bouton « Créer un bouton théorique ».

Saisissez le login souhaité, puis cliquez sur le bouton « Créer ».

-->

Gestione discrezionale dei ruoli e delle autorizzazioni

Per modificare manualmente le assegnazioni di ruoli e le autorizzazioni per un'identità, aprire il record di identità desiderato in modalità visualizzazione e passare alla scheda Ruoli e autorizzazioni .

Per ogni ruolo, una tabella annidata contiene le autorizzazioni legate all'identità e assegnate al ruolo. Un'autorizzazione deve essere collegata a una coppia Identity/Role.

Se vengono riconciliate più identità, viene visualizzata una scheda per ciascuna identità, che consente di selezionare l'identità desiderata. I ruoli/autorizzazioni sono collegati a un'identità e non a una catena di riconciliazione. È quindi necessario selezionare l'identità desiderata prima di procedere con gli aggiornamenti manuali.

La paginazione è impostata per visualizzare solo 10 ruoli.

Nella tabella incorporata sotto un ruolo, la paginazione è impostata per visualizzare solo 5 autorizzazioni.

Nel riquadro dei ruoli, in alto a destra, è disponibile un campo di ricerca basato sui nomi dei ruoli.

Nella tabella incorporata sotto un ruolo, un campo di ricerca è disponibile nella parte superiore della tabella delle autorizzazioni.

Nella tabella di autorizzazione trovate le seguenti informazioni:

  • Il suo status:
    • Valid: l'autorizzazione è visibile senza alcun segno speciale
    • Bloccato: l'autorizzazione è visibile ma cancellata nell'interfaccia
  • I valori possibili sono:
    • type:inline: Manuale con l'UID dell'identità che ha eseguito l'assegnazione
    • type:inline: regola di autorizzazione con il nome della regola
    • type:inline: autorizzazione concessa per eredità di ruoli
    • type:inline type:inline: La prima icona indica che la destra è stata aggiunta manualmente (tramite il flusso di lavoro), e la seconda consente di accedere al flusso di lavoro (link all' interfaccia di gestione del flusso di lavoro).

Per aggiungere uno o più ruoli o per aggiungere una o più autorizzazioni a più ruoli per la stessa identità, fare clic sul pulsante type:inline situato in alto a destra della tabella dei ruoli.

Selezionare il ruolo desiderato e quindi fare clic su Conferma per aggiungere i ruoli e passare al passo successivo, o Annulla per annullare l'operazione.

Per aggiungere una o più autorizzazioni a un ruolo già collegato all'identità, fare clic sul pulsante type:inline situato sulla destra nella riga corrispondente della tabella dei ruoli.

Selezionare le autorizzazioni desiderate e quindi fare clic sul pulsante "Conferma" per collegarle al ruolo o sul pulsante "Annulla" per annullare l'operazione.

  • Tasci di azione per le autorizzazioni:

    • type:inline: Consente di bloccare l'autorizzazione.
    • type:inline: Consente di sbloccare l'autorizzazione.
    • type:inlinePermette di certificare l'autorizzazione.
    • type:inline: consente di cancellare il certificato di autorizzazione.
    • type:inline: Consente di modificare le date di applicazione.

    • type:inline: Consente di eliminare un diritto manuale.

Avvertimento: Il pulsante per eliminare un'autorizzazione è presente solo se l'autorizzazione è stata assegnata solo su base discrezionale. L'autorizzazione può essere ancora visibile nello stato di "eliminazione in attesa" se il suo stato di provisioning è "provisionato".

Per disconnettere un ruolo da un'identità, fare clic sull'icona type:inline situata a destra della riga corrispondente nella tabella dei ruoli.

Prima di eliminare il ruolo, verrà visualizzato un messaggio di conferma.

Avvertimento: Il pulsante per eliminare un ruolo è presente solo se il ruolo è stato assegnato su base discrezionale. Tutte le autorizzazioni legate alla coppia identità/ruolo saranno anche disconnesse e deprovisionate alla prossima sincronizzazione nel caso di provisionamento automatico.

Gestione delle norme di autorizzazione

Le regole di autorizzazione consentono di configurare le politiche di accesso e assegnare automaticamente i diritti alle identità identificate dalla regola.

Una regola di autorizzazione consiste nell'associare:

  • da un lato, una popolazione di utenti, definita mediante filtraggio su ruoli (RBAC), organizzazioni (OrBAC) e/o valori di attributi (ABAC),
  • dall'altro lato, i ruoli e i diritti di applicazione.

Per accedere alla gestione delle regole di autorizzazione, accedere al menu "Gestione degli accessi/Regole di autorizzazione".

Si accede direttamente alla pagina che elenca le regole di autorizzazione esistenti, precaricate senza filtri applicati ma rispettando le autorizzazioni legate al profilo della persona connessa.

La paginazione è impostata per visualizzare solo 10 regole.

Nel riquadro delle regole, in alto a destra, è disponibile un campo di ricerca basato sui nomi delle regole.

Per creare una nuova regola di autorizzazione, fare clic sul pulsante type:inline.

La creazione di una regola si articola in tre fasi:

  • Impostazioni generali

    • Nome: nome della regola di autorizzazione.
    • Descrizione: campo per inserire una descrizione della regola di autorizzazione.
    • Context: selezionare uno o più contesti dall'elenco a discesa contenente i contesti creati in precedenza.

  • Lista dei criteri: cliccare sui pulsanti o per aggiungere una regola di filtraggio per le identità che saranno incluse nella regola di autorizzazione.

Il pulsante * type:inline consente di aggiungere un nuovo filtro allo stesso livello del precedente. * Iltype:inlineIl pulsante consente di aggiungere un gruppo di filtri allo stesso livello del filtro precedente.type:inlineotype:inlinei pulsanti nel gruppo. * A ogni livello di filtro, è necessario specificare l'operatore da applicare tra ogni regola di filtro.

1
2
3
4
5
6
7
8
9
![](../../../img/Identity/IdU_OperateurEntreReglesDeFiltrage.png)

* Un oggetto su cui si desidera eseguire un confronto.
    + Un ruolo
    + Attributo di una persona
    + Attributo di struttura
    + Atributo di una risorsa
* Operatore di confronto: l'elenco degli operatori di confronto è dinamico e dipende dal tipo di oggetto selezionato.
* Un valore da confrontare: da inserire o selezionare da un elenco a discesa, in base al tipo di oggetto selezionato e all'operatore di confronto.

È possibile aggiungere quanti criteri di filtro si desidera. Gli operatori come AND o OR devono essere determinati tra ogni regola di filtro. I sottogruppi possono essere creati per aumentare il numero di possibilità.

Esempio: Per creare la seguente regola di filtro:

(Tipo di persona = Agente medico o agente medico esterno E Atributo del lavoro = Direttore dell'unità biologica) O (Tipo di persona = Agente non medico E* Atributo del lavoro = Specialista ambientale) *

I criteri di filtraggio sono configurati come segue:

  • Roli e autorizzazioni da assegnare nella regola di autorizzazione: Ci sono due schede per visualizzare i ruoli e le autorizzazioni da includere nella regola di autorizzazione. La scheda Ruoli visualizza l'elenco dei ruoli e indica brevemente le relative autorizzazioni, se presenti. Questa è anche la scheda da cui ruoli e autorizzazioni possono essere aggiunti o rimossi. La scheda Autorizzazioni visualizza l'elenco delle autorizzazioni aggiunte alla regola con il ruolo associato (s) per ciascuna. Questa scheda offre semplicemente un'altra vista.
    • Per aggiungere ruoli e autorizzazioni alla regola di autorizzazione, fare clic sutype:inlinepulsante nella scheda Ruoli . È necessario selezionare almeno un ruolo, quindi selezionare le autorizzazioni se lo si desidera.

L'elenco delle autorizzazioni è filtrato in base ai ruoli selezionati (un ruolo è collegato a uno o più repository).

Per visualizzare e modificare una regola di autorizzazione, fare clic sull'icona type:inline situata a destra nella riga della tabella corrispondente:

La modalità Visualizzazione consente di visualizzare i dettagli di una regola di autorizzazione e anche l'elenco delle identità interessate dalla regola.

È possibile cercare una persona utilizzando il campo di ricerca in alto a destra della tabella.

È possibile passare alla modalità di modifica facendo clic sul pulsante Edit.

In modalità di modifica, tutti i campi possono essere modificati.

Nota: l'elenco delle persone interessate dalla norma non viene aggiornato in tempo reale quando una norma è modificata, ma viene aggiornato una volta che la norma è stata convalidata e i calcoli sono stati completati.

Azioni sui pulsanti in modalità di creazione e modifica:

  • Cancel: cancella l'entrata corrente e passa la pagina in modalità di visualizzazione
  • Salva: convalida il modulo e passa la pagina in modalità di visualizzazione.
  • Vedi Impatto: mostra gli impatti della creazione o dell'aggiornamento della regola. Gli impatti sono visualizzati in due tabelle:
    • La prima tabella elenca gli impatti della regola sui diritti, tenendo conto solo della regola di autorizzazione creata o modificata. Tutte le identità che corrispondono ai criteri vengono visualizzate, comprese quelle che hanno già ricevuto l'autorizzazione altrove.
    • La seconda tabella elenca gli impatti complessivi della regola sui diritti. Questa sezione tiene conto di tutte le regole in Systancia Identity, delle assegnazioni di diritti discrezionali e dei diritti bloccati da una regola di separazione dei diritti. Se un'identità ha già ricevuto l'autorizzazione altrove, l'account non verrà incluso in questa lista. I diritti che saranno effettivamente interessati/cancellati quando la modifica sarà convalidata vengono visualizzati.

In questa seconda tabella è possibile applicare un ritardo prima di eliminare effettivamente la destra (applicazione di un periodo di bisellatura o sovrapposizione).

Per eliminare una regola di autorizzazione, fare clic sull'icona type:inline situata a destra nella riga della tabella corrispondente:

Prima di procedere alla cancellazione di una regola di autorizzazione viene visualizzato un messaggio di conferma.

L'icona type:inline identifica una regola di autorizzazione che è attualmente in calcolo. Se è in grigio, significa che i calcoli sono completati.

Regole di gestione della separazione delle funzioni (SoD)

Segregazione dei compiti (SoD): è un principio di sicurezza essenziale che comporta la divisione delle responsabilità e dei privilegi all'interno di un'organizzazione o di un sistema per ridurre al minimo i rischi e prevenire i conflitti di interesse.

Una regola di separazione delle funzioni consiste in:

  • Definizione di un gruppo prioritario
  • Aggiunta di autorizzazioni al gruppo prioritario con un peso prioritario

Per accedere alla gestione delle regole di separazione dei compiti, accedere al menu "Gestione degli accessi/Regole di sicurezza".

Si accede direttamente alla pagina che elenca le norme esistenti sulla separazione delle funzioni, precaricata senza filtri applicati ma rispettando le autorizzazioni legate al profilo della persona connessa.

La paginazione è impostata per visualizzare solo 10 regole.

Nella tabella delle regole, in alto a destra, è disponibile un campo di ricerca basato sul nome dei gruppi di priorità (= nome della regola di separazione dei diritti).

Per creare una nuova regola di separazione dei diritti, fare clic sul pulsante type:inline:

Ci sono due fasi per creare una regola di separazione dei diritti.

In primo luogo, inserire i parametri generali:

  • Codice: codice per la regola di separazione dei diritti.
  • Nome: nome della regola di autorizzazione.
  • Descrizione: campo per inserire una descrizione della regola di separazione dei diritti.

Salva il modulo di creazione per passare alla seconda fase, aggiungendo le autorizzazioni.

Per aggiungere un'autorizzazione alla regola SoD, fare clic sul pulsante type:inline nella tabella Lista dei diritti associati.

Selezionare l'autorizzazione desiderata e inserire un peso per definire la priorità.

Per modificare un'autorizzazione nella regola SoD, fare clic sul pulsante type:inline situato a destra nella riga della tabella corrispondente.

È possibile modificare l'autorizzazione e/o il peso prioritario.

Per eliminare un'autorizzazione nella regola SoD, fare clic sul pulsante type:inline situato a destra nella riga della tabella corrispondente.

Per visualizzare e modificare una regola di separazione delle funzioni, fare clic sull'icona type:inline situata a destra nella riga della tabella corrispondente.

È possibile passare alla modalità di modifica facendo clic sul pulsante Edit.

In modalità di modifica, solo il nome e la descrizione possono essere modificati

Per eliminare una regola di separazione delle funzioni, fare clic sull'icona type:inline situata sul lato destro della riga della tabella corrispondente.

Prima di procedere alla cancellazione di una regola di autorizzazione viene visualizzato un messaggio di conferma.

Presentare richieste di diritti utilizzando i moduli

Presentare una richiesta di diritti

Le richieste di autorizzazioni per una persona (o per te stesso) vengono effettuate nella vecchia console di comando tramite il menu "Esegui" e "Flusso di lavoro su richiesta".

Per visualizzare l'elenco dei flussi di lavoro disponibili, fare clic sul pulsante "Raggiornare".

Clicca sul flusso di lavoro di tua scelta per inviare una richiesta di autorizzazione.

Selezionare una o più identità cui la richiesta si riferisce.

Selezionare le autorizzazioni desiderate dall'elenco disponibile, specificando, se necessario, le date di inizio e di fine.

Cliccare sul pulsante "Aggiungi".

Se si desidera aggiungere date di applicazione ad un'autorizzazione già selezionata, è necessario eliminarla e quindi aggiungerla nuovamente con le date inserite in precedenza.

Clicca sul pulsante " Avvio " e conferma la finestra pop-up.

Dopo aver confermato l'esecuzione del flusso di lavoro, verrete automaticamente reindirizzati alla pagina dove potete visualizzare le richieste in sospeso.

Presentazione di una richiesta di provisioning (o deprovisioning) manuale di un'autorizzazione

Le richieste di provisioning (o deprovisioning) manuale vengono inviate nella vecchia console di gestione tramite il menu "Esegui" e "A richiesta" del flusso di lavoro.

Per visualizzare l'elenco dei flussi di lavoro disponibili, fare clic sul pulsante "Raggiornare".

Per inviare una richiesta di provisioning, clicca sul flusso di lavoro di tua scelta.

Selezionare una o più identità cui la richiesta si riferisce.

Selezionare le autorizzazioni desiderate dall'elenco disponibile, specificando, se necessario, le date di inizio e di fine.

Cliccare sul pulsante "Aggiungi".

Se si desidera aggiungere date di applicazione ad un'autorizzazione già selezionata, è necessario eliminarla e quindi aggiungerla nuovamente con le date inserite in precedenza.

Clicca sul pulsante " Avvio " e conferma la finestra pop-up.

Dopo aver confermato l'esecuzione del flusso di lavoro, verrete automaticamente reindirizzati alla pagina dove potete visualizzare le richieste in sospeso.

Delegazione di autorizzazioni

Le autorizzazioni delegate consentono di cedere diritti da una persona (delegatore) ad un'altra (delegato), generalmente per un periodo temporaneo.

Questa funzionalità è disponibile per i delegatori (a seconda dei permessi della persona connessa) ma, a partire dalla versione 7.0, una terza parte (a seconda dei permessi della persona connessa) può anche delegare diritti ad un'altra identità (ad esempio, un amministratore).

Per accedere alla funzione di delega delle autorizzazioni, aprire il file di identità desiderato in modalità visualizzazione e passare alla scheda "Delegazioni".

La paginazione è impostata per visualizzare solo 10 regole di delega.

Per aggiungere una delega, fare clic sul pulsante type:inline situato in alto a destra della tabella delle delegazioni.

Per creare una delegazione, inserire le seguenti informazioni:

  • Delegato: persona che riceve i ruoli e/o le autorizzazioni delegati (obbligatorio)
  • Rol delegato (requisiti)
  • Autorizzazione delegata (facoltativa)
  • Data di inizio e di fine della delega (facoltativo)

Per modificare le delegazioni, fare clic sull'icona type:inline situata sulla destra nella riga corrispondente della tabella.

Puoi modificare tutti i parametri.

Per eliminare una delegazione, fare clic sull'icona type:inline situata sulla destra nella riga corrispondente della tabella.

Prima di eliminare la delegazione, verrà visualizzato un messaggio di conferma.

Gestione della campagna di certificazione

Le campagne di certificazione sono condotte per effettuare un riesame completo delle autorizzazioni assegnate agli individui; si raccomanda che le campagne di certificazione siano condotte regolarmente in tutti i sistemi di riferimento per assicurare che le autorizzazioni assegnate siano effettivamente appropriate.

Come funziona una campagna di certificazione:

Le autorizzazioni interessate dalle campagne di certificazione devono essere configurate in anticipo dall'amministratore; la configurazione delle autorizzazioni indica il certificatore (i) e la durata della campagna di certificazione.

Quando viene creata una campagna di certificazione, tutti gli individui collegati alle autorizzazioni configurate per la certificazione e appartenenti alle applicazioni selezionate saranno elencati e dovranno sottoporsi alla certificazione di autorizzazione.

Per lo stesso diritto possono essere nominati uno o più certificatori.

Visualizzazione di una campagna di certificazione

Per accedere alla pagina di visualizzazione della campagna di certificazione, accedere al menu Modello corretto \ Campagna di certificazione.

La schermata di visualizzazione della campagna di certificazione è la seguente:

  • Le campagne di certificazione si trovano sul lato sinistro dello schermo.
  • Il lato destro dello schermo è utilizzato per visualizzare i dettagli della campagna di certificazione o per elaborare le richieste di certificazione.
    • Nome
    • Codice
    • Descrizione
    • Applicazioni
    • Sono gestiti tre stati della campagna:
      • Nuova campagna: la campagna è stata appena creata. Nessun certificatore ha ancora preso una decisione sulla campagna. Il pulsante Certificare i diritti è visibile ai certificatori. Vedi la sezione Processo di una campagna di certificazione
      • Campaign in corso. Almeno uno dei certificatori ha già preso una decisione sulla campagna. Il pulsante "Certificare i diritti" è visibile ai certificatori. Vedi la sezione "Processo di una campagna di certificazione"
      • Campaign completata. Tutti i certificatori devono aver preso una decisione sulla campagna per acquisire questo status. La campagna è ancora visibile ma non può più essere modificata. Può essere cancellata dall'iniziatore della campagna. Vedi la sezione Annullamento di una campagna di certificazione
    • Tabella delle coppie autorizzazione/persona da certificare, ordinata per domanda, con l'elenco dei certificatori associati a ciascuna coppia autorizzazione/persona, e la colonna di stato che indica tre diversi stati:
      • Punto grigio: l'autorizzazione non è ancora stata controllata
      • Punto verde: l'autorizzazione è stata verificata e certificata
      • Punto rosso: l'autorizzazione è stata controllata e annullata

Creare una campagna di certificazione

È possibile accedere alla pagina di creazione della campagna di certificazione dalla pagina di consultazione della campagna di certificazione.

Cliccare sul pulsante "Nuova campagna di certificazione".

Compilare il modulo con le seguenti informazioni:

  • Nome: il nome che si desidera dare alla campagna.
  • Codice: codice della campagna di certificazione, obbligatorio.
  • Descrizione: testo libero per descrivere lo scopo della campagna di certificazione.
  • Applicazioni: selezionare le applicazioni da includere nella campagna di certificazione.

  • Notifiche: le notifiche possono essere inviate in quattro fasi della campagna di certificazione.
    • Notifica all'inizio della campagna
    • Notifica in caso di cancellazione della campagna
    • Notifica quando lo stato della campagna di certificazione è Completato
    • Notifica inviata ai singoli quando una delle loro autorizzazioni è stata certificata.

Per creare le varie notifiche, accedere alla sezione Configurare una notifica di campagna di certificazione.

Per salvare la campagna di certificazione, cliccare sul pulsante "Salva".

Per annullare la voce del modulo, fare clic sul pulsante "Annulla".

Annullare una campagna di certificazione

È possibile accedere alla pagina di cancellazione della campagna di certificazione dalla pagina di consultazione della campagna di certificazione.

Selezionare la campagna di certificazione che si desidera annullare e fare clic sul pulsante "Annulla campagna di certificazione".

Nota: Solo la persona che ha creato la campagna di certificazione può annullare la stessa.

Elaborazione di una campagna di certificazione

È possibile accedere a una campagna di certificazione per l'elaborazione dalla pagina di visualizzazione della campagna di certificazione.

Selezionare la campagna di certificazione che si desidera elaborare e fare clic sul pulsante "Certificare i diritti".

Per procedere ad una campagna, clicca sul pulsante "Certificare i diritti".

La tabella delle autorizzazioni/l'elenco delle persone passa in modalità di modifica.

Solo le autorizzazioni non certificate possono essere controllate e lo stesso certificatore non può modificare le azioni eseguite su una coppia autorizzazione/persona.

Le coppie autorizzazione/persona che sono già state elaborate hanno un punto invece di una casella di controllo:

  • verde se il diritto è certificato
  • rosso se il diritto è annullato

Per certificare un'autorizzazione per una persona, clicca sulla casella di controllo nella colonna Status della tabella di fronte alla persona desiderata.

Per annullare un'autorizzazione per una persona, clicca sulla casella di controllo nella colonna Status della tabella di fronte alla persona desiderata.

Per selezionare tutte le persone collegate ad un'autorizzazione con un singolo clic al fine di convalidare o annullare un'autorizzazione, è possibile selezionare la casella di controllo nella colonna "Diritti".

Per selezionare tutte le coppie autorizzazione/persona in un'applicazione al fine di convalidare o annullare un'autorizzazione, è possibile selezionare la casella di controllo nella colonna "Applicazioni".

Nota: quando ci sono più certificatori per coppie autorizzazione/persona, se almeno uno dei certificatori ha annullato l'autorizzazione, l'autorizzazione sarà in stato di "blocco".

Configurare una notifica di campagna di certificazione

Il modulo di configurazione della notifica della campagna di certificazione ha lo stesso formato per le quattro diverse notifiche possibili.

Devono essere inserite le seguenti informazioni:

  • Configurazione dei ricevitori
    • Attributo email di individui: selezionare l'attributo che contiene un indirizzo email. I destinatari della notifica devono avere un indirizzo email inserito in questo attributo per ricevere la notifica. Questo campo è obbligatorio.
    • Indirizzi e-mail di altri soggetti pertinenti: campo libero in cui è possibile aggiungere quanti indirizzi e-mail si desidera. Ogni destinatario dell'elenco riceverà la notifica senza eccezioni. Questo campo è facoltativo.
  • Configurazione della notifica
    • Lingua disponibile: selezionare la lingua in cui si desidera scrivere la notifica. È possibile inviare una notifica in diverse lingue salvando l'oggetto e il corpo per ogni lingua. La notifica verrà inviata nella lingua dell'utente come definita nel loro attributo lingua. Se questo non è definito, verrà inviato nella lingua predefinita.
    • Oggetto: oggetto dell'e-mail. Questo campo è facoltativo ma fortemente raccomandato. Questo parametro può contenere parole chiave. Può essere scritto in qualsiasi lingua supportata.
    • Truncate subject: parametro che consente di limitare la lunghezza dell'oggetto visualizzando i valori delle parole chiave del primo target solo se ci sono più target. Selezionare sì se si desidera abilitare questa opzione. No per impostazione predefinita.
    • Corpo: opzione per creare un messaggio in modalità HTML.
    • Corpo dell'e-mail: campo libero per scrivere il testo della notifica.

Carattere chiave specifiche della campagna di certificazione:

La parola chiave #CERTIFICATIONCAMPAIGN# relativa a una campagna di certificazione può essere utilizzata in notifiche con diverse variazioni utilizzando due parametri come segue:

1
#CERTIFICATIONCAMPAIGN#PARAM_1#PARAM_2#
Parametro primario
(PARAM_1) 		Parametro secondario
(PARAM_2) 		Descrizione
ATTRIBUTO NOME Consente di recuperare il nome della campagna di certificazione.
STATUS Consente di recuperare lo stato della campagna di certificazione.
ID Consente di recuperare l'ID della campagna di certificazione.

Esempio di notifica:

Configurazione del corpo dell'e-mail

1
2
3
4
5
6
7
8
9
Bonjour,
Ceci est un mail concernant la campagne de certification de droits qui vient de démarrer :
{
Nom = #CERTIFICATIONCAMPAIGN#ATTRIBUT#NOM# 
Statut = #CERTIFICATIONCAMPAIGN#ATTRIBUT#STATUS#
ID = #CERTIFICATIONCAMPAIGN#ATTRIBUT#ID#
}
Cdt
Systancia Identity

**E-mail ricevuta (dopo l'interpretazione delle parole chiave) **

Visualizza account e autorizzazioni per un'identità

Gli account nei vari repository di applicazioni sono calcolati in base a regole di gestione definite e ai ruoli e alle autorizzazioni assegnati alle identità.

Le regole di gestione dei conti sono:

  • Definizione dello stato di un conto basata su uno stato di identità,
  • definizione delle regole di fusione dei conti nel caso di identità multiple,
  • Definizione delle regole di creazione degli account basate esclusivamente sull'assegnazione dei ruoli.

Per visualizzare gli account e le autorizzazioni collegati a un'identità, aprire il record di identità desiderato in modalità di visualizzazione e passare alla scheda "Account".

Questa scheda è accessibile solo in modalità visualizzazione e mostra i risultati dei calcoli di account e autorizzazione effettuati sull'identità o su tutte le identità nel caso di riconciliazione di identità.

Per ogni account, una tabella annidata contiene le autorizzazioni associate all'account.

Nel caso in cui siano riconciliate più identità e un account sia comune a più identità (funzione di fusione di account abilitata), l'account viene identificato dall'icona type:inline.

La pagination è implementata per visualizzare solo 10 account.

Nella tabella incorporata sotto un account, la paginazione è impostata per visualizzare solo 5 autorizzazioni.

Un campo di ricerca è disponibile in alto a destra della tabella degli account. La ricerca copre i nomi di accesso agli account o ai repository.

Il stato teorico e lo stato di accantonamento dei conti sono visibili su ogni riga della tabella.

Nella tabella incorporata sotto un account, in alto nella tabella delle autorizzazioni è disponibile un campo di ricerca che copre i nomi delle applicazioni o delle autorizzazioni.

Lo stato teorico e lo stato di provisionamento delle autorizzazioni sono visibili su ogni riga della tabella.

Una legenda che spiega i diversi stati teorici e di provisioning aiuta gli utenti a comprendere i diversi stati.

Accantonamento/decompensazione dei conti e delle autorizzazioni

Il processo di trasferimento dei conti e delle autorizzazioni calcolati da Systancia Identity ai vari repository di applicazioni è denominato "downstream provisioning" e Systancia Identity ha quindi autorità sulle applicazioni definite per la gestione dei conti e delle autorizzazioni.

Esistono due modi per gestire il provisioning:

  • È possibile creare un connettore automatico (tramite API, database, directory o scambi automatici di file piatti), nel qual caso ci riferiamo al provisioning automatico.
  • Oppure non è possibile creare un connettore automatico, nel qual caso ci riferiamo al provisioning semiautomatico.

Automazione/disattivazione

Per fornire account e autorizzazioni nei repository di applicazioni, è necessario utilizzare il motore di provisioning (SIP) di Systancia Identity per creare un connettore di provisioning a valle: da Systancia Identity, che è la fonte autorevole, tenendo conto delle regole di sincronizzazione configurate, account e autorizzazioni saranno creati, aggiornati o eliminati nei repository di applicazioni in base alle regole definite nelle regole di importazione.

Una sequenza di approvvigionamento a valle deve essere composta almeno dai seguenti elementi:

  • Un'esportazione del repository Identity (autorevole) del tipo USER + ACCESS o ACCOUNT + ACCESS
  • Esportazione del repository dell'applicazione di destinazione
  • Una regola di sincronizzazione
  • Una regola di importazione nel repository dell'applicazione di destinazione

Per creare un connettore, consultare la pagina Gestione del connettore di approvvigionamento automatico.

Automazione/disattivazione semiautomatica

Un connettore di provisioning semiautomatico viene creato utilizzando un flusso di lavoro "Richiesta utente" o "Event" con almeno una funzione di provisioning o deprovisioning manuale.

Nel manuale di provisioning attività, le azioni di provisioning da eseguire sono elencati in una notifica inviata all'operatore. Una volta che l'operatore ha completato l'attività, possono fare clic sul tasto "Task validated" per indicare che il provisioning è stato completato. Lo stato di provisioning dell'account e / o autorizzazioni è aggiornato in Systancia Identity. Questo consente agli amministratori di controllare lo stato dei diritti di identità.