Gestion du contrôle d'accès basé sur les rôles

L'une des principales fonctionnalités d'IBM WebSphere Business Integration Server est la possibilité d'accorder des droits d'accès aux utilisateurs accédant au système à l'aide de rôles. Cette fonctionnalité est appelée Contrôle d'accès basé sur les rôles (RBAC). Les rôles peuvent facilement être définis par l'administrateur et affectés à un groupe d'utilisateurs, n'autorisant ainsi l'accès aux composants principaux qu'aux utilisateurs certifiés. Un rôle peut être affecté à une association fonctionnelle et ainsi réduire de façon conséquente les tâches administratives. Lorsqu'un rôle est affecté à un ou plusieurs utilisateurs, cela permet à ces derniers d'accéder uniquement aux composants du système inclus dans la définition du rôle.

L'utilisation du contrôle d'accès basé sur les rôles permet de s'assurer que seuls les administrateurs ou les utilisateurs habilités à gérer les rôles sont autorisés à créer des utilisateurs et à affecter des rôles. Si la fonction de contrôle d'accès n'est pas activée sur le serveur, n'importe quel utilisateur peut créer des utilisateurs et des rôles sans qu'aucune vérification ne soit nécessaire.

Remarque :
Lorsque vous activez la fonction RBAC dans InterChange Server Express, l'état d'exécution de cette fonction s'affiche dans l'écran System Manager.

Pour plus d'informations sur la configuration du contrôle d'accès basé sur les rôles, voir Procédure de configuration de la fonction RBAC.

Remarque :
L'application Failed Events Manager utilise le contrôle d'accès basé sur les rôles pour définir des rôles chargés de gérer l'accès aux informations relatives aux événements ayant échoué.

Cette section traite des points suivants :

Procédure de configuration de la fonction RBAC

Procédure de désactivation de la fonction RBAC

Gestion des rôles

Gestion des utilisateurs

Gestion des affectations de rôles et d'utilisateurs

Gestion des autorisations liées aux règles de sécurité

Gestion des données relatives aux appartenances et aux règles de sécurité

Gestion de la sécurité

Procédure de configuration de la fonction RBAC

Avant de configurer le contrôle d'accès basé sur les rôles, au moins un utilisateur doit être affecté au rôle d'Administrateur. Si tel n'est pas le cas, la fonction de contrôle d'accès sera toujours désactivée à chaque redémarrage du serveur. Pour configurer la fonction RBAC, procédez comme suit :

  1. Dans l'onglet Sécurité-RBAC (figurant dans le menu contextuel Modifier la configuration du serveur), cochez la case Activer RBAC.
  2. Sélectionnez le registre d'utilisateurs auquel appliquer le contrôle d'accès basé sur les rôles, à savoir Référentiel ou LDAP.
    Remarque :
    Si vous sélectionnez le registre d'utilisateurs LDAP, vous devez vous assurer que le magasin de clés associé à la confidentialité du serveur est configuré, afin de garantir un fonctionnement correct.
  3. Dans la zone Utilisateur pour le démarrage du serveur, entrez le nom d'utilisateur permettant de démarrer le serveur.
  4. Dans la zone Mot de passe pour le démarrage du serveur, entrez le mot de passe associé à ce nom d'utilisateur.
  5. Si vous avez sélectionné le registre Référentiel, renseignez les zones suivantes :
  6. Si vous avez sélectionné le registre LDAP, renseignez les zones suivantes :
  7. Pour activer les paramètres d'audit, cochez la case Activer l'audit et renseignez les zones suivantes :

Procédure de désactivation de la fonction RBAC

Pour désactiver la fonction RBAC, procédez comme suit :

  1. Dans l'onglet Sécurité-RBAC, cochez la case Activer RBAC. Lorsque vous désactivez la fonction RBAC, toutes les zones de l'écran apparaissent en grisé.

Gestion des rôles

La fonction RBAC prend en charge divers types d'utilisateurs et des fonctions de sécurité avancées reposant sur les différents rôles. Un rôle est un ensemble d'utilisateurs partageant des fonctionnalités communes. Lorsqu'il affecte des fonctions aux différents rôles, l'administrateur peut travailler de façon plus efficace en réduisant le nombre de tâches administratives lors de l'affectation des droits.

Si un rôle n'est plus nécessaire au fonctionnement du serveur, vous pouvez décider de le supprimer de la liste. Lorsqu'un rôle est supprimé, toutes les références à ce rôle sont supprimées de la définition des utilisateurs concernés.

Remarque :
L'application Failed Events Manager utilise également le contrôle d'accès basé sur les rôles pour définir des rôles chargés de gérer l'accès aux informations relatives aux événements ayant échoué.

Procédure de création d'un rôle

Pour créer un rôle, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
  2. Dans l'onglet Gestion des utilisateurs et des rôles, sélectionnez l'onglet Rôles.
  3. Cliquez à l'aide du bouton droit de la souris sur le dossier principal Rôles et sélectionnez Nouveau rôle. La boîte de dialogue Nom du rôle s'affiche.
  4. Entrez le nom du rôle. Une fois qu'un nom lui a été attribué, un rôle ne peut être renommé.
  5. Le cas échéant, entrez une description du rôle. La zone correspondante est facultative.
  6. Sélectionnez OK.

Procédure de suppression d'un rôle

Pour supprimer un rôle, procédez comme suit :

Remarque :
Le rôle administrateur est le rôle par défaut et ne peut donc être supprimé. La distinction minuscules/majuscules est prise en compte.
  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
  2. Cliquez à l'aide du bouton droit de la souris sur le rôle et sélectionnez Suppression du rôle.
  3. A l'invite, sélectionnez OK pour supprimer le rôle. Une fois supprimé, un rôle ne peut pas être restauré.

Gestion des utilisateurs

L'écran Gestion des utilisateurs et des rôles présente la liste des rôles sous forme d'arborescence. Un utilisateur peut être affecté à un nombre illimité de rôles. Les utilisateurs affectés à un rôle sont répertoriés dans l'arborescence, sous le rôle correspondant, ce qui permet une visualisation rapide et aisée des autorisations et des responsabilités.

En outre, vous pouvez importer ou exporter les données d'un utilisateur pour les associer à la fonctionnalité de contrôle d'accès basé sur les rôles.

Procédure d'ajout d'un utilisateur

Pour ajouter un utilisateur à la fonction RBAC, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
  2. Dans l'onglet Gestion des utilisateurs et des rôles, sélectionnez l'onglet Utilisateurs.
  3. Cliquez à l'aide du bouton droit de la souris sur le dossier principal Utilisateurs et sélectionnez Nouvel utilisateur. La boîte de dialogue Création d'utilisateur s'affiche.
  4. Dans la zone Nom d'utilisateur, entrez le nom de l'utilisateur.
  5. Dans la zone Mot de passe, entrez le mot de passe de l'utilisateur.
  6. Confirmez le mot de passe.
  7. Ajoutez des informations dans les zones Nom distinctif, Nom CN et Nom de famille.
  8. Sélectionnez OK.

Procédure de suppression d'un utilisateur

Pour supprimer un utilisateur de la fonction RBAC, procédez comme suit :

Remarque :
Invité est le seul utilisateur par défaut et ne peut donc être supprimé.
  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
  2. Cliquez à l'aide du bouton droit de la souris sur l'utilisateur et sélectionnez Suppression de l'utilisateur.
  3. A l'invite, sélectionnez OK pour supprimer l'utilisateur. La suppression d'un utilisateur le retire de tous les rôles pré-affectés.

Procédure d'importation d'un utilisateur et de son mot de passe

Pour importer un utilisateur et son mot de passe dans la fonction RBAC, procédez comme suit :

Remarque :
Lorsque le registre d'utilisateurs employé est DATABASE, vous disposez de rubriques d'aide concernant l'importation d'utilisateurs. En revanche, cette fonction n'est pas prise en charge par le registre d'utilisateurs LDAP. Il est conseillé de créer une base de données centralisée de registres d'utilisateurs ou un registre LDAP centralisé, afin de permettre à plusieurs postes InterChange Server Express d'utiliser ce référentiel centralisé au lieu de transférer le registre d'utilisateurs sur chaque poste InterChange Server Express.
  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Importer > Registre d'utilisateurs. La boîte de dialogue Importation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier binaire. Ce chemin d'accès doit être valide sur le poste du serveur sur lequel s'exécute InterChange Server Express.
  2. Sélectionnez le fichier à importer.

Procédure d'exportation d'un utilisateur et de son mot de passe

Pour exporter un utilisateur et son mot de passe vers la fonction RBAC, procédez comme suit :

Remarque :
Lorsque le registre d'utilisateurs employé est DATABASE, vous disposez de rubriques d'aide concernant l'exportation d'utilisateurs. En revanche, cette fonction n'est pas prise en charge par le registre d'utilisateurs LDAP. Il est conseillé de créer une base de données centralisée de registres d'utilisateurs ou un registre LDAP centralisé, afin de permettre à plusieurs postes InterChange Server Express d'utiliser ce référentiel centralisé au lieu de transférer le registre d'utilisateurs sur chaque poste InterChange Server.
  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Exporter > Registre d'utilisateurs. La boîte de dialogue Exportation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier.
  2. Sélectionnez la destination du fichier à exporter. Ce chemin d'accès doit être valide sur le poste du serveur sur lequel s'exécute InterChange Server.

Gestion des affectations de rôles et d'utilisateurs

Affecter des rôles aux utilisateurs disponibles permet de réduire de façon conséquente les tâches de l'administrateur consistant à affecter des autorisations individuelles aux fonctions principales. Un utilisateur peut être affecté à un grand nombre de rôles, tous réglementés par l'ID de connexion de l''utilisateur. Les utilisateurs affectés à un rôle sont répertoriés dans l'arborescence, sous le rôle correspondant. Pour affecter un rôle à un utilisateur, procédez comme suit :

Procédure d'affectation d'un rôle à un utilisateur

Pour affecter un rôle à un utilisateur, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles.
  2. Dans la liste, sélectionnez l'utilisateur auquel vous souhaitez affecter un rôle.
  3. Cliquez à l'aide du bouton droit de la souris sur le nom d'utilisateur et sélectionnez Ajout de rôles. La boîte de dialogue Ajout de rôles s'affiche, elle contient la liste des rôles disponibles.
  4. Sélectionnez un ou plusieurs rôles à affecter à l'utilisateur.
  5. Sélectionnez OK.

Procédure de suppression d'un utilisateur affecté à un rôle

Pour supprimer un utilisateur affecté à un rôle, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles.
  2. Dans la liste, sélectionnez l'utilisateur auquel vous souhaitez retirer les autorisations liée à ce rôle.
  3. Cliquez à l'aide du bouton droit de la souris sur le nom d'utilisateur et sélectionnez Retrait du rôle.
  4. A l'invite, sélectionnez OK. L'utilisateur est alors retiré de la liste des rôles et toutes les autorisations liées à ce rôle sont supprimées du profil de l'utilisateur.

Gestion des autorisations liées aux règles de sécurité

En tant qu'administrateur, vous pouvez accorder des autorisations aux rôles par défaut dans le cadre de l'option RBAC. Ces règles de sécurité sont répertoriées dans une arborescence, accompagnées des opérations auxquelles chaque rôle peut accéder.

Le tableau 16 répertorie les opérations pouvant être sécurisées sur un serveur.

Tableau 16. Opérations de serveur sécurisées
Composant pouvant être sécurisé Opérations avec contrôle d'accès
Serveur
  1. Démarrage
  2. Arrêt
  3. Sécurité/Gestion des utilisateurs/Rôles
  4. Surveillance
  5. Affichage des événements ayant échoué
  6. Déploiement
  7. Exportation
  8. Suppression
  9. Compilation
  10. Exportation des fichiers de configuration
  11. Déploiement des fichiers de configuration
Modèles de collaboration
  1. Compilation
Objets de collaboration
  1. Démarrage
  2. Arrêt
  3. Pause
  4. Fermeture
  5. Exécution (appel AccessFramework)
  6. Résolution de l'état transactionnel
  7. Soumission des événements ayant échoué
  8. Suppression des événements ayant échoué
  9. Annulation du flux LLBP
Connecteurs
  1. Démarrage
  2. Arrêt
  3. Pause
  4. Fermeture de l'agent
  5. Soumission des événements ayant échoué
  6. Suppression des événements ayant échoué
Objets métier
Règles métier
  1. Démarrage
  2. Arrêt
  3. Pause
Mappes
  1. Compilation
  2. Démarrage
  3. Arrêt
Relations
  1. Démarrage
  2. Arrêt
Test de performances
  1. Démarrage
  2. Arrêt
Planificateur
DBConnectionCache

Gestion des données relatives aux appartenances et aux règles de sécurité

A partir d'un serveur autorisé, les administrateurs peuvent importer les données relatives aux appartenances et aux règles de sécurité pour les associer à la fonction de contrôle d'accès basé sur les rôles (RBAC). De même, ces données d'appartenance et de règles de sécurité peuvent être exportées vers un fichier en vue de leur utilisation sur un serveur complémentaire ou simplement pour être stockées.

Importation des données relatives aux appartenances et aux règles de sécurité

Pour importer les données relatives aux appartenances ou aux règles de sécurité, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Importation de rôle et de règle de sécurité. La boîte de dialogue Importation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier.
  2. Sélectionnez le fichier à importer. Si vous importez des données alors que la vue User/Roles Management est active, les modifications ne s'afficheront que lorsque vous aurez fermé puis rouvert cette vue.
Remarque :
Vous pouvez également importer des données en utilisant l'option -xmsp avec repos_copy. Pour plus d'informations sur l'utilisation de repos_copy, voir Utilisation de la commande repos_copy.

Exportation des données relatives aux appartenances et aux règles de sécurité

Pour exporter les données relatives aux appartenances ou aux règles de sécurité, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Exportation de rôle et de règle de sécurité. La boîte de dialogue Exportation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier.
  2. Sélectionnez la destination du fichier à exporter.
Remarque :
Vous pouvez également exporter des données en utilisant l'option -xmsp avec repos_copy. Pour plus d'informations sur l'utilisation de repos_copy, voir Utilisation de la commande repos_copy.

Gestion de la sécurité

En tant qu'administrateur, vous pouvez contrôler l'utilisation des rôles dans la fonction RBAC à l'aide de la fonctionnalité de gestion de la sécurité. InterChange Server Express répertorie les utilisateurs actifs dans un tableau, dans lequel figurent le nom d'utilisateur, l'ID de session et depuis combien de temps chaque utilisateur est connecté au serveur.

Remarque :
Il est conseillé d'actualiser régulièrement la liste des utilisateurs afin que les données affichées demeurent exactes. Pour actualiser la liste des utilisateurs, sélectionnez l'option Régénérer du menu contextuel.

Affichage des utilisateurs actifs

Pour afficher les utilisateurs actifs, procédez comme suit :

  1. Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Gestion de la sécurité. Cette option permet d'afficher une boîte de dialogue qui contient tous les utilisateurs actifs répertoriés dans un tableau.

Déconnexion des utilisateurs actifs

Pour déconnecter un utilisateur actif du serveur, procédez comme suit :

  1. Pour fermer toutes les sessions d'un utilisateur, cliquez sur l'utilisateur dans la liste des utilisateurs actifs.
  2. Pour fermer une session particulière d'un utilisateur, sélectionnez Session de déconnexion.

Copyright IBM Corp. 2004, 2005