Délégation de l'administration du contrôle d'accès

HCL Digital Experience prend en charge la délégation de l'administration du contrôle d'accès.

Description de la délégation de l'administration et des règles

Cette rubrique décrit la délégation de l'administration et des règles de contrôle d'accès. Elle contient également un exemple de délégation de règle administrative.

Administration déléguée

HCL prend en charge la délégation de l'administration du contrôle d'accès. Un administrateur est un utilisateur qui est autorisé à modifier la configuration du contrôle d'accès en modifiant les affectations de rôle et en créant ou en supprimant des blocs de rôle. Les administrateurs peuvent déléguer des sous-ensembles spécifiques de leurs privilèges administratifs à d'autres utilisateurs ou groupes d'utilisateurs. Ces utilisateurs et groupes peuvent eux aussi déléguer des sous-ensembles de leurs privilèges à d'autres utilisateurs et groupes. La règle de délégation de l'administration détermine les utilisateurs autorisés à déléguer leurs privilèges.

Stratégie d'administration déléguée :

Elle définit les affectations de rôles nécessaires pour modifier d'une manière donnée la configuration de contrôle d'accès.

La stratégie générale qui consiste à créer ou à supprimer des affectations de rôles est la suivante : un utilisateur U est autorisé à créer ou supprimer une affectation de rôle d'un utilisateur ou d'un groupe d'utilisateurs spécifique UG pour un rôle spécifique identifié par le type de rôle RT et la ressource R si :
  • tous les critères suivants sont respectés :
    • U a le rôle Security Administrator@R ou Administrator@R.
    • U a au moins un rôle de type RT sur R.
    • U a le rôle Delegator@UG, Security Administrator@UG ou Administrator@UG.
  • U a le rôle Administrator@Portal ou Security Administrator@Portal.
Par exemple, pour affecter à un groupe le rôle d'éditeur d'une ressource, vous devez être titulaire au minimum des rôles Delegator@Group + Security_Administrator@Resource + Editor@Resource.
Remarque : Les rôles Security Administrator@Portal et Administrator@Portal permettent aux utilisateurs de modifier sans restriction la configuration de contrôle d'accès des ressources contrôlées en interne par le portail. Les utilisateurs ont également besoin du rôle Administrator@External Access Control ou Security Administrator@External Access Control pour modifier la configuration du contrôle d'accès pour les ressources qui sont contrôlées en externe par un gestionnaire de sécurité, tel que Security Access Manager.
En matière de création ou de suppression de blocs de rôle, la stratégie générale est la suivante : un utilisateur U peut créer ou supprimer un bloc de rôle sur une ressource spécifique R et un type de rôle RT dans l'un des cas suivants :
  • Si les deux critères suivants sont satisfaits :
    • U a le rôle Security Administrator@R ou Administrator@R
    • U a au moins un rôle de type RT sur R.
  • ou si U a le rôle Security Administrator@ Portal ou Administrator@ Portal .

Exemple de règle de délégation d'administration

Marie a besoin de droits pour supprimer Gilles du rôle Editor@Market News Page. Gilles est membre du groupe Marketing. Pour qu'elle puisse effectuer cette opération, toutes les affirmations suivantes doivent être vraies :

  • Marie a le rôle Security Administrator@Market News Page ou Administrator@Market News Page. Elle peut obtenir ce rôle via une affectation de rôle explicite, l'affectation du rôle Administrateur ou Administrateur de la sécurité sur une ressource parente, ou en appartenant au groupe qui a le rôle approprié.
  • Marie a au moins le rôle Editor@Marketing News Page, étant donné que Gilles va être supprimé du rôle Editeur.
  • Marie a le rôle Delegator@Marketing Group. Marie ne peut pas supprimer arbitrairement des utilisateurs ou des groupes du rôle Editor@Market News Page. Elle peut supprimer uniquement les utilisateurs ou les groupes pour lesquels elle dispose du rôle Délégant. Etant donné que Gilles est membre du groupe Marketing, Marie a le rôle Délégant de Gilles.