ITIM et les rôles hiérarchiques

IBM Tivoli Identity Manager permet de gérer une hiérarchie de rôles, qui peuvent être caractérisés (Business Role vs Application Role).
On peut donc avoir un rôle parent qui dispose de plusieurs rôles enfants, sachant qu'un rôle enfant peut avoir plusieurs parents (et pas que 2!).
Par contre, l'héritage marche un peu à l'envers : ce sont les rôles enfants qui doivent être des "Business Roles", et les rôles parents sont des rôles applicatifs "Application Role", qui sont utilisés dans les règles de provisionnement.

Exemple :


Les rôles Parent1, Parent2 et Parent3 sont utilisés dans des politiques de provisionnement. Ce sont des rôles applicatifs. Ils permettent de donner des droits sur les services.

Les rôles Child1, Child2 et Child3 sont des rôles métier. Ils sont déclarés en tant qu'accès (Common Access si on veut les présenter aux utilisateurs dans le Self-Service).

Si le rôle Child1 est affecté à un utilisateur, celui-ci va alors disposer d'un compte sur la ressource RES1.
Si le rôle Child2 est affecté à un utilisateur, celui-ci va alors disposer d'un compte sur les trois ressources RES1, RES2 et RES3.

Quelques remarques cependant :
  • au niveau du Self-Service, si l'utilisateur a demandé l'accès "Child2", il ne verra que cet accès dans la liste des ses accès actuels, et pas les accès liés aux rôles parents.
  • dans la console ITIM, par contre, on voit bien tous les comptes liés à la personne.

Voici par exemple la vision depuis le Self-Service, en sélectionnant View Access :

Dans la console ITIM, on ne voit également que ce rôle pour la personne, mais on voit bien les différents comptes, amenés par les rôles parents :

La hiérarchie fonctionne donc bien, mais le concept Parent / Enfant est un peu étrange. Il faut juste partir sur le fait qu'un rôle enfant hérite des permissions de ses parents, qui peuvent être nombreux.


 

Catégorie: 

Tag: