Gestion du contrôle d'accès basé sur les rôles
L'une des principales fonctionnalités d'IBM WebSphere Business
Integration Server est la possibilité d'accorder des droits d'accès aux utilisateurs
accédant au système à l'aide de rôles. Cette fonctionnalité est appelée Contrôle d'accès
basé sur les rôles (RBAC). Les rôles peuvent facilement être définis par l'administrateur et affectés
à un groupe d'utilisateurs, n'autorisant ainsi l'accès aux composants principaux qu'aux utilisateurs
certifiés. Un rôle peut être affecté à une association fonctionnelle et ainsi
réduire de façon conséquente les tâches administratives. Lorsqu'un rôle est affecté à un ou plusieurs utilisateurs,
cela permet à ces derniers d'accéder uniquement aux composants du système inclus dans la définition du rôle.
L'utilisation du contrôle d'accès basé sur les rôles permet de s'assurer que seuls les administrateurs ou les utilisateurs
habilités à gérer les rôles sont autorisés à créer des utilisateurs et à affecter des rôles. Si la fonction de contrôle d'accès n'est pas activée sur le serveur, n'importe quel utilisateur peut créer des utilisateurs et des rôles sans qu'aucune vérification ne soit nécessaire.
Remarque :
Lorsque vous activez la fonction RBAC dans InterChange Server Express,
l'état d'exécution de cette fonction s'affiche dans l'écran System Manager.
Pour plus d'informations sur la configuration du contrôle d'accès basé sur les rôles, voir Procédure de configuration
de la fonction RBAC.
Remarque :
L'application Failed Events Manager utilise le contrôle d'accès basé sur les rôles
pour définir des rôles chargés de gérer l'accès aux informations relatives aux événements ayant échoué.
Cette section traite des points suivants :
Procédure de configuration
de la fonction RBAC
Procédure de désactivation de la fonction RBAC
Gestion des rôles
Gestion des utilisateurs
Gestion des affectations de rôles et d'utilisateurs
Gestion des autorisations liées aux règles de sécurité
Gestion des données relatives aux appartenances et aux règles de sécurité
Gestion de la sécurité
Procédure de configuration
de la fonction RBAC
Avant de configurer le contrôle d'accès basé sur les rôles, au moins un utilisateur doit être affecté
au rôle d'Administrateur. Si tel n'est pas le cas, la fonction de contrôle d'accès sera
toujours désactivée à chaque redémarrage du serveur. Pour configurer la fonction RBAC,
procédez comme suit :
- Dans l'onglet Sécurité-RBAC (figurant dans le menu contextuel Modifier la configuration du serveur), cochez la case Activer RBAC.
- Sélectionnez le registre d'utilisateurs auquel appliquer le contrôle d'accès
basé sur les rôles, à savoir Référentiel ou LDAP.
Remarque :
Si vous sélectionnez le registre d'utilisateurs LDAP, vous devez vous assurer
que le magasin de clés associé à la confidentialité du serveur est configuré, afin de garantir
un fonctionnement correct.
- Dans la zone Utilisateur pour le démarrage du serveur, entrez le nom d'utilisateur permettant de
démarrer le serveur.
- Dans la zone Mot de passe pour le démarrage du serveur, entrez le mot de passe associé à ce
nom d'utilisateur.
- Si vous avez sélectionné le registre Référentiel, renseignez les zones suivantes :
- Nom d'hôte
- Base de données
- Numéro de port
- Nom d'utilisateur
- Mot de passe
- Nbre de connexions max. : nombre maximal de connexions
que l'utilisateur peut ouvrir
- Nombre maximal de tentatives de reconnexion : nombre maximal de tentatives possibles
pour le démarrage d'une connexion
- Intervalle entre tentatives de reconnexion : délai entre deux tentatives
de connexion
- Si vous avez sélectionné le registre LDAP, renseignez les zones suivantes :
- URL LDAP : adresse URL de l'installation LDAP
- Nom d'utilisateur : compte utilisateur (zone non sensible à la casse)
- Mot de passe : mot de passe du compte utilisateur
- Nom distinctif de la base d'utilisateurs : nom spécifique de base et sert de racine pour
l'ensemble des recherches et des mises à jour
- Attribut du nom d'utilisateur : attribut du schéma utilisé par InterChange Server
en tant que nom d'utilisateur
- Critères de recherche : critères de recherche à utiliser lors
de l'extraction des utilisateurs LDAP (zone facultative)
- Résultats de recherche maximum : nombre maximal d'entrées renvoyées
par une recherche
- SSL : lorsqu'il est défini sur True, sécurise la connexion à l'aide du protocole SSL
- Pour activer les paramètres d'audit, cochez la case Activer l'audit
et renseignez les zones suivantes :
- Répertoire du journal d'audit : chemin d'accès au fichier journal d'audit
- Fréquence du journal d'audit : par exemple Tous les jours, Toutes les semaines ou Tous les mois
- Taille du fichier d'audit : taille maximale du fichier d'audit en Mo
Procédure de désactivation de la fonction RBAC
Pour désactiver la fonction RBAC, procédez comme suit :
- Dans l'onglet Sécurité-RBAC, cochez la case Activer RBAC.
Lorsque vous désactivez la fonction RBAC, toutes les zones de l'écran apparaissent en grisé.
Gestion des rôles
La fonction RBAC prend en charge divers types d'utilisateurs
et des fonctions de sécurité avancées reposant sur les différents rôles. Un rôle est un ensemble
d'utilisateurs partageant des fonctionnalités communes. Lorsqu'il affecte des fonctions aux différents rôles,
l'administrateur peut travailler de façon plus efficace en réduisant le nombre de tâches
administratives lors de l'affectation des droits.
Si un rôle n'est plus nécessaire au fonctionnement du serveur,
vous pouvez décider de le supprimer de la liste. Lorsqu'un rôle est supprimé,
toutes les références à ce rôle sont supprimées de la définition des utilisateurs
concernés.
Remarque :
L'application Failed Events Manager utilise également le contrôle d'accès basé sur les rôles
pour définir des rôles chargés de gérer l'accès aux informations relatives aux événements ayant
échoué.
Procédure de création d'un rôle
Pour créer un rôle, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
- Dans l'onglet Gestion des utilisateurs et des rôles, sélectionnez l'onglet Rôles.
- Cliquez à l'aide du bouton droit de la souris sur le dossier principal Rôles et sélectionnez Nouveau rôle. La boîte de dialogue Nom du
rôle s'affiche.
- Entrez le nom du rôle. Une fois qu'un nom lui a été attribué, un rôle ne peut être renommé.
- Le cas échéant, entrez une description du rôle. La zone correspondante est
facultative.
- Sélectionnez OK.
Procédure de suppression d'un rôle
Pour supprimer un rôle, procédez comme suit :
Remarque :
Le rôle administrateur est le rôle par défaut et ne peut donc être supprimé. La distinction minuscules/majuscules est prise en compte.
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
- Cliquez à l'aide du bouton droit de la souris sur le rôle et sélectionnez Suppression du rôle.
- A l'invite, sélectionnez OK pour supprimer le rôle. Une fois supprimé, un rôle ne peut pas être restauré.
Gestion des utilisateurs
L'écran Gestion des utilisateurs et des rôles présente la liste des rôles
sous forme d'arborescence. Un utilisateur peut être affecté à un nombre illimité
de rôles. Les utilisateurs affectés à un rôle sont répertoriés dans
l'arborescence, sous le rôle correspondant, ce qui permet une visualisation
rapide et aisée des autorisations et des responsabilités.
En outre, vous pouvez importer ou exporter les données d'un utilisateur pour
les associer à la fonctionnalité de contrôle d'accès basé sur les rôles.
Procédure d'ajout d'un utilisateur
Pour ajouter un utilisateur à la fonction RBAC, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
- Dans l'onglet Gestion des utilisateurs et des rôles, sélectionnez l'onglet Utilisateurs.
- Cliquez à l'aide du bouton droit de la souris sur le dossier principal Utilisateurs et sélectionnez Nouvel utilisateur. La boîte de dialogue Création d'utilisateur s'affiche.
- Dans la zone Nom d'utilisateur, entrez le nom de l'utilisateur.
- Dans la zone Mot de passe, entrez le mot de passe de l'utilisateur.
- Confirmez le mot de passe.
- Ajoutez des informations dans les zones Nom distinctif, Nom CN et Nom de famille.
- Sélectionnez OK.
Procédure de suppression d'un utilisateur
Pour supprimer un utilisateur de la fonction RBAC, procédez comme suit :
Remarque :
Invité est le seul utilisateur par défaut et ne peut donc être supprimé.
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles dans la liste.
- Cliquez à l'aide du bouton droit de la souris sur l'utilisateur et sélectionnez Suppression de l'utilisateur.
- A l'invite, sélectionnez OK pour supprimer l'utilisateur. La suppression d'un utilisateur le retire de tous les rôles pré-affectés.
Procédure d'importation d'un utilisateur et de son mot de passe
Pour importer un utilisateur et son mot de passe dans la fonction RBAC, procédez comme suit :
Remarque :
Lorsque le registre d'utilisateurs employé est DATABASE, vous disposez de rubriques d'aide concernant l'importation d'utilisateurs. En revanche, cette fonction n'est pas prise en charge par le
registre d'utilisateurs LDAP. Il est conseillé de créer une base de données centralisée de registres d'utilisateurs
ou un registre LDAP centralisé, afin de permettre à plusieurs postes InterChange Server Express d'utiliser ce référentiel
centralisé au lieu de transférer le registre d'utilisateurs sur chaque poste InterChange Server Express.
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Importer > Registre d'utilisateurs. La boîte de dialogue Importation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier binaire. Ce chemin d'accès doit être valide sur le poste du serveur
sur lequel s'exécute InterChange Server Express.
- Sélectionnez le fichier à importer.
Procédure d'exportation d'un utilisateur et de son mot de passe
Pour exporter un utilisateur et son mot de passe vers la fonction RBAC, procédez comme suit :
Remarque :
Lorsque le registre d'utilisateurs employé est DATABASE, vous disposez de rubriques d'aide concernant
l'exportation d'utilisateurs. En revanche, cette fonction n'est pas prise en charge par le
registre d'utilisateurs LDAP. Il est conseillé de créer une base de données centralisée de registres d'utilisateurs
ou un registre LDAP centralisé, afin de permettre à plusieurs postes InterChange Server Express d'utiliser ce référentiel
centralisé au lieu de transférer le registre d'utilisateurs sur chaque poste InterChange Server.
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Exporter > Registre d'utilisateurs. La boîte de dialogue Exportation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier.
- Sélectionnez la destination du fichier à exporter. Ce chemin d'accès doit être
valide sur le poste du serveur sur lequel s'exécute InterChange Server.
Gestion des affectations de rôles et d'utilisateurs
Affecter des rôles aux utilisateurs disponibles permet de réduire de façon conséquente
les tâches de l'administrateur consistant à affecter des autorisations individuelles aux fonctions
principales. Un utilisateur peut être affecté à un grand nombre de rôles, tous
réglementés par l'ID de connexion de l''utilisateur. Les utilisateurs affectés à un
rôle sont répertoriés dans l'arborescence, sous le rôle correspondant. Pour affecter un rôle à un utilisateur, procédez
comme suit :
Procédure d'affectation d'un rôle à un utilisateur
Pour affecter un rôle à un utilisateur, procédez
comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles.
- Dans la liste, sélectionnez l'utilisateur auquel vous souhaitez affecter un rôle.
- Cliquez à l'aide du bouton droit de la souris sur le nom d'utilisateur et sélectionnez Ajout de rôles. La boîte de dialogue Ajout de rôles s'affiche, elle contient la liste
des rôles disponibles.
- Sélectionnez un ou plusieurs rôles à affecter à l'utilisateur.
- Sélectionnez OK.
Procédure de suppression d'un utilisateur affecté à un rôle
Pour supprimer un utilisateur affecté à un rôle, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Utilisateurs et Rôles.
- Dans la liste, sélectionnez l'utilisateur auquel vous souhaitez retirer les autorisations liée à ce rôle.
- Cliquez à l'aide du bouton droit de la souris sur le nom d'utilisateur et sélectionnez Retrait du rôle.
- A l'invite, sélectionnez OK. L'utilisateur est alors retiré de la liste des rôles
et toutes les autorisations liées à ce rôle sont supprimées du profil de l'utilisateur.
Gestion des autorisations liées aux règles de sécurité
En tant qu'administrateur, vous pouvez accorder des autorisations aux rôles par
défaut dans le cadre de l'option RBAC. Ces règles de sécurité sont répertoriées dans
une arborescence, accompagnées des opérations auxquelles chaque rôle peut accéder.
Le tableau 16 répertorie les opérations
pouvant être sécurisées sur un serveur.
Tableau 16. Opérations de serveur sécurisées
Composant pouvant être sécurisé |
Opérations avec contrôle d'accès |
Serveur |
- Démarrage
- Arrêt
- Sécurité/Gestion des utilisateurs/Rôles
- Surveillance
- Affichage des événements ayant échoué
- Déploiement
- Exportation
- Suppression
- Compilation
- Exportation des fichiers de configuration
- Déploiement des fichiers de configuration
|
Modèles de collaboration |
- Compilation
|
Objets de collaboration |
- Démarrage
- Arrêt
- Pause
- Fermeture
- Exécution (appel AccessFramework)
- Résolution de l'état transactionnel
- Soumission des événements ayant échoué
- Suppression des événements ayant échoué
- Annulation du flux LLBP
|
Connecteurs |
- Démarrage
- Arrêt
- Pause
- Fermeture de l'agent
- Soumission des événements ayant échoué
- Suppression des événements ayant échoué
|
Objets métier |
|
Règles métier |
- Démarrage
- Arrêt
- Pause
|
Mappes |
- Compilation
- Démarrage
- Arrêt
|
Relations |
- Démarrage
- Arrêt
|
Test de performances |
- Démarrage
- Arrêt
|
Planificateur |
|
DBConnectionCache |
|
Gestion des données relatives aux appartenances et aux règles de sécurité
A partir d'un serveur autorisé, les administrateurs peuvent importer les données relatives aux appartenances et aux règles de sécurité pour les associer à la fonction de contrôle d'accès basé sur les rôles (RBAC). De même, ces données d'appartenance et de règles de sécurité peuvent être exportées vers un fichier en vue de leur utilisation sur un serveur complémentaire ou simplement pour être stockées.
Importation des données relatives aux appartenances et aux règles de sécurité
Pour importer les données relatives aux appartenances ou aux règles de sécurité, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Importation de rôle et de règle de sécurité. La boîte de dialogue Importation s'affiche alors. Elle vous permet de préciser le
chemin d'accès au fichier.
- Sélectionnez le fichier à importer. Si vous importez des données alors que la vue
User/Roles Management est active, les modifications ne s'afficheront que lorsque vous
aurez fermé puis rouvert cette vue.
Remarque :
Vous pouvez également importer des données en utilisant l'option
-xmsp avec
repos_copy. Pour plus d'informations sur l'utilisation de repos_copy, voir
Utilisation de la commande repos_copy.
Exportation des données relatives aux appartenances et aux règles de sécurité
Pour exporter les données relatives aux appartenances ou aux règles de sécurité, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Exportation de rôle et de règle de sécurité. La boîte de dialogue Exportation s'affiche alors. Elle vous permet de préciser le chemin d'accès au fichier.
- Sélectionnez la destination du fichier à exporter.
Remarque :
Vous pouvez également exporter des données en utilisant l'option
-xmsp avec
repos_copy. Pour plus d'informations sur l'utilisation de repos_copy, voir
Utilisation de la commande repos_copy.
Gestion de la sécurité
En tant qu'administrateur, vous pouvez contrôler l'utilisation des rôles dans la fonction
RBAC à l'aide de la fonctionnalité de gestion de la sécurité. InterChange
Server Express répertorie les utilisateurs actifs dans un tableau, dans lequel figurent
le nom d'utilisateur, l'ID de session et depuis combien de temps chaque utilisateur est connecté
au serveur.
Remarque :
Il est conseillé d'actualiser régulièrement la liste des utilisateurs
afin que les données affichées demeurent exactes. Pour actualiser la liste des utilisateurs,
sélectionnez l'option Régénérer du menu contextuel.
Affichage des utilisateurs actifs
Pour afficher les utilisateurs actifs, procédez comme suit :
- Cliquez à l'aide du bouton droit de la souris sur le nom du serveur et sélectionnez Gestion de la sécurité.
Cette option permet
d'afficher une boîte de dialogue qui contient tous les utilisateurs actifs répertoriés dans un tableau.
Déconnexion des utilisateurs actifs
Pour déconnecter un utilisateur actif du serveur, procédez comme suit :
- Pour fermer toutes les sessions d'un utilisateur, cliquez sur l'utilisateur dans la liste des utilisateurs actifs.
- Pour fermer une session particulière d'un utilisateur, sélectionnez Session de déconnexion.
