Droits d'accès

Cette rubrique décrit les opérations sensibles pour les ressources et les rôles requis pour effectuer ces opérations. Ces opérations incluent des tâches simples telles que la visualisation de portlets sur des pages spécifiques, mais aussi des tâches complexes à haut risque telles que l'exécution de scripts d'interface de configuration XML.

Les rôles fournissent les permissions autorisant les utilisateurs à exécuter des opérations particulières sur les ressources. Dans les tableaux suivants, les rôles respectent le format suivant : Role@Resource.

Notes about the following tables :

Ces tableaux répertorient les affectations de rôle minimales requises pour l'exécution d'opérations sensibles. Les rôles sont organisés dans une hiérarchie. Les rôles occupant une position supérieure dans la hiérarchie comprennent en général les permissions des rôles situés à des rangs inférieurs de la hiérarchie. Par exemple, pour installer des modules Web, le rôle d'éditeur sur la ressource virtuelle Web Modules, Editor@Web Modules, est l'affectation de rôle minimum nécessaire pour cette opération. Le rôle de gestionnaire (manager) a une position plus élevée dans la hiérarchie de rôles que le rôle d'éditeur (editor). Pour cette raison, le rôle de gestionnaire comprend les droits d'accès du rôle d'éditeur. Manager@Web Modules permet également aux utilisateurs d'installer des modules Web.
Lorsque des droits d'accès sont affectés à une ressource répertoriée, cette dernière requiert un accès à l'administration du contrôle d'accès des ressources.
Utilisez l'administration du contrôle d'accès pour changer le propriétaire d'une ressource.
Les ressources mentionnées peuvent varier en fonction des autres produits installés avec le produit. Certains rôles sont requis pour des ressources virtuelles ; d'autres rôles doivent se trouver sur des instances de ressource.
Les utilisateurs peuvent avoir des droits d'accès pour certaines opérations, via la propriété de ressources.
Définitions :

Privées

Accessible uniquement par le propriétaire de la ressource.
Remarque : Les créateurs de ressources privées sont automatiquement dotés de droits similaires aux droits d'un Cadre. Par exemple, si vous créez une page privée, vous avez les mêmes droits qu'un gestionnaire pour cette page. Vous pouvez également effectuer certaines actions sur cette page, par exemple changer son thème ou la supprimer.

non privé

Accessible aux utilisateurs disposant d'une autorisation d'accès à la ressource.

public

Accessible sans authentification.

Tableau 1. Droits d'accès requis pour l'administration du contrôle d'accès
Opération sensible et description	Affectation de rôle requise
Affichage de la configuration du contrôle d'accès d'une ressource `R`	Si `R` est protégé en interne par le portail : `Security Administrator@R` ou `Security Administrator@PORTAL`. Si `R` se trouve sous protection extérieure : `Security Administrator@R` ou `Security Administrator@PORTAL` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Notes : `PORTAL` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande IBM® Security Access Manager `pdadmin>` ou la console d'administration Computer Associates eTrust SiteMinder.
Création d'un rôle `RT` sur la ressource `R`	Si `R` est protégé par le portail : `Security Administrator@R` + `RT`@`R` ou `Security Administrator@PORTAL` Si `R` se trouve sous protection extérieure : `Security Administrator@R` + `RT@R` ou `Security Administrator@PORTAL` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Notes : `PORTAL` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande Security Access Manager `pdadmin>` ou la console d'administration eTrust SiteMinder.
Suppression d'un rôle qui est créé à partir du rôle `RT` sur une ressource `R`. Tous les mappages de rôles correspondants sont également supprimés.	Si `R` est protégé en interne par le portail : `Security Administrator@R` + `RT`@`R` + rôle de délégant sur tous les principaux affectés ou `Security Administrator@PORTAL` Si `R` se trouve sous protection extérieure : `Security Administrator@R` + `RT@R` + rôle de délégant sur tous les principaux affectés ou `Security Administrator@PORTAL` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Notes : `PORTAL` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande Security Access Manager `pdadmin>` ou la console d'administration eTrust SiteMinder.
Création ou suppression d'une affectation de rôle pour un utilisateur ou un groupe `U` créé depuis le type de rôle `RT` dans la ressource `R`	Si `R` est protégé en interne par le portail : `Security Administrator@R` + `RT@R` + `Delegator@U` ou `Security Administrator@PORTAL` Si `R` se trouve sous protection extérieure : `Security Administrator@R` + `RT@R` + `Delegator@U` ou `Security Administrator@PORTAL` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Notes : `PORTAL` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande Security Access Manager `pdadmin>` ou la console d'administration eTrust SiteMinder.
Création ou suppression d'un bloc de rôles pour tous les rôles qui sont créés à partir du rôle `RT` sur une ressource `R`	Si `R` est protégé en interne par le portail : `Security Administrator@R` + `RT@R` ou `Security Administrator@PORTAL` Si `R` se trouve sous protection extérieure : `Security Administrator@R` + `RT@R` ou `Security Administrator@PORTAL` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Remarque : L'administrateur de sécurité de cette ressource est toujours considéré implicitement comme son délégataire. Pour tous les autres rôles, `Security Administrator@R` et les affectations précédentes sont requis. Notes : `PORTAL` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande Security Access Manager `pdadmin>` ou la console d'administration eTrust SiteMinder.
Externalisation ou internalisation des ressources : Transfert d'une ressource `R` entre un contrôle interne et un contrôle externe. Toutes les ressources non privées enfant d'une ressource `R` sont transférées en même temps que cette dernière. Les ressources privées ne peuvent pas être externalisées.	`Security Administrator@R` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` ou `Security Administrator@Portal` + `Security Administrator@EXTERNAL_ACCESS_CONTROL` Notes : `Portal` et `EXTERNAL_ACCESS_CONTROL` sont des ressources virtuelles. Le rôle `Security Administrator@EXTERNAL_ACCESS_CONTROL` est créé et géré dans le gestionnaire de sécurité externe. Il doit être modifié à l'aide des outils de gestion de sécurité externes. Par exemple, utilisez la ligne de commande Security Access Manager `pdadmin>` ou la console d'administration eTrust SiteMinder.
Modification du propriétaire d'une ressource : Définition d'un utilisateur ou d'un groupe (`U1`) comme nouveau propriétaire de la ressource non privée `R` (le propriétaire précédent étant `U2`)	`Delegator@U1`, `Delegator@U2`, `Manager@R` et `Security_Administrator@R`

Tableau 2. Droits d'accès requis pour les règles métier
Opération sensible et description	Affectation de rôle requise
Affichage d'une règle métier	`User@Business Rules Workspace` Définissez les droits d'accès à l'espace de travail des règles métier du navigateur Personnalisation en sélectionnant le nœud racine puis en choisissant Action complémentaire > Editer les droits d'accès dans le menu.
Création d'une règle métier	`Contributor@Business Rules Workspace` Important : `Contributor@Business Rules Workspace` est le droit d'accès minimal requis pour créer une règle métier. Toutefois, le rôle `Editor@Business Rules Workspace` est requis pour créer et gérer des règles métier et utiliser les fonctions d'administration de portail.
Suppression d'une règle métier	`Manager@Business Rules Workspace`
Attribution d'une règle métier à une page `P`	Pour les pages non privées : `Editor@P` et `User@Business Rules Workspace` Pour les pages privées : `Priviliged User@P` et `User@Business Rules Workspace`
Attribution d'une règle métier à un portlet `PO` sur la page `P`	Pour les pages non privées : `Editor@P`, `User@PO` et `User@Business Rules Workspace`. Pour les pages privées : `Privileged User@P`, `User@PO` et `User@Business Rules Workspace`.
Autres actions	Utilisez l'icône Définir l'accès dans Personnalisation pour ajouter un utilisateur ou un groupe à un rôle à la racine de l'espace de travail. Le même rôle est attribué à cet utilisateur ou à ce groupe sur l'ensemble des modèles, bibliothèques et règles Web Content Manager.
Création ou édition de groupes de segments	`Editor@Business Rules Workspace` Pour pouvoir créer des groupes de segments, l'utilisateur doit disposer d'un accès en lecture aux objets d'application et aux collections de ressources qui sont utilisés dans la définition de groupe de segments. L'accès en écriture est requis pour pouvoir ajouter ou gérer des propriétés dynamiques. Pour obtenir ce niveau d'accès, l'utilisateur doit posséder le rôle `Editor@Business Rules Workspace` sur l'espace de travail des règles métier. Définissez le rôle `Editor` sur la bibliothèque contenant les groupes de segments. `Editor` Le rôle est requis sur la bibliothèque de contenu Web pour pouvoir créer et éditer des groupes de segments. Connectez-vous à HCL. Click the Administration menu icon. Then, click Portal Content > Web Content Libraries. Cliquez sur l'icône Définition des droits d'accès sur la bibliothèque Contenu Web pour définir le rôle `Editor`. Pour toute information sur les rôles, voir Rôles de gestion de contenu Web.
Utilisation de segments à partir de groupes de segments sur le contenu cible	Définissez le rôle `User` sur les groupes de segments qui doivent être accessibles. Définissez cet accès au niveau de la bibliothèque ou du dossier Segments afin d'octroyer un accès à tous les groupes de segments de la bibliothèque. Utilisez le portlet Bibliothèques de contenu Web pour définir l'accès. Vous pouvez aussi définir cet accès au niveau de l'objet pour octroyer un accès à des groupes de segments individuels. Pour toute information sur les rôles, voir Rôles de gestion de contenu Web. Pour cibler un contenu sur un portlet d'affichage de contenu Web sur une page, un utilisateur doit posséder les rôles suivants : `Editor` sur le portlet d'affichage de contenu Web. Click the Administration menu icon. Then, click Portlet Management > Portlets. `Editor` sur la page proprement dite. `User` sur le contenu qui doit être ciblé. `Contributor` sur la bibliothèque dans laquelle le contenu est stocké. `Editor` sur la ressource de bibliothèque Zones de site et pages (types d'objet) dans la bibliothèque de site de portail. Accédez à Bibliothèque de contenu Web. Cliquez sur l'icône Ressources de bibliothèque pour cette bibliothèque. Ensuite, cliquez sur l'icône Définition des droits d'accès pour Zones de site et pages. Vous pouvez désormais ajouter des utilisateurs et des groupes au rôle `Editor`.

Tableau 3. Droits d'accès des noeuds de contenu, tels que les pages, les libellés et les URL
Opération sensible et description Remarque : Les opérations de cette colonne désignent les pages uniquement, mais s'appliquent aussi aux libellés et aux URL dans certains cas.	Affectation de rôle requise
Parcourir une page : Affichage de la navigation d'une page `P`	`User@P` ou @ ressource enfant de `P`
Affichage du contenu d'une page `P`, y compris l'affichage de la décoration de la page, et éventuellement des portlets situés sur cette page. Les portlets situés sur la page sont protégés séparément. Pour plus d'informations, voir les portlets de la ligne des pages du tableau.	`User@P`
La modification des propriétés d'une page comprend les actions suivantes : Ajout ou suppression de balisage Ajout ou suppression d'environnement local Ajout ou suppression de paramètres vers/depuis une page `P`	`Editor@P`
La modification des propriétés d'une page comprend l'action Définir les propriétés de mise en page d'une page statique.`P`	`Markup editor role`. Si les ressources se trouvent dans des emplacements protégés des modèles de présentation, utilisez `Manager role`. Pour plus d'informations, voir le lien associé Adaptation de la liste des modifications de la configuration de l'exécution requises pour votre thème.
Modification du thème d'une page `P`	`Editor@P`
La modification de la présentation d'une page `P` comprend les actions suivantes : Ajout ou suppression de connexions Gestion d'actions	Pour les pages non privées : `Editor@P` Pour les pages privées : `Privileged User@P` Pour gérer la réception d'actions d'un portlet sur une page cible : `Editor@P` et `Editor@PO`
Personnalisation de la présentation d'une page non privée : Création d'une copie privée issue implicitement d'une page non privée `P`	`Privileged User@P`
Ajout d'une page racine : Création et ajout d'une page de niveau supérieur `P`	Pour les pages non privées : `Editor@Pages` Pour les pages privées : `Privileged User@Pages` `Pages` est une ressource virtuelle.
Ajout d'une page : Création d'une page sous n'importe quelle page `P`	Pour les pages non privées : `Editor@P` Pour les pages privées : `Privileged User@P`
Création d'une page dérivée : Création d'une page sous `P1`, issue implicitement d'une page `P2`	La nouvelle page est privée : `Privileged User@P1` + `Editor@P2` La nouvelle page est non privée : `Editor@P1` + `Editor@P2`
Suppression d'une page `P`, et de toutes les pages descendantes, y compris des sous-pages ultérieures et des portlets de ces pages	`Manager@P`
Déplacement d'une page `P1` vers une nouvelle page parente `P2`	Pour les pages non privées : `Manager@P1` + `Editor@P2` Pour les pages privées : `Manager@P1` + `Privileged User@P2`
Verrouillage et déverrouillage du contenu d'une page non privée `P`	`Editor@P` + `User@portlet` (verrous de page) + `User@page` (verrous)
Modification des associations de page d'une page non privée `P`	`Editor@P`
Modification des associations de page d'une page privée `P`	`Privileged User@P`
Activation de l'appartenance en fonction de la délégation de contrôle d'accès d'une page de communauté `P` associée à une communauté HCL Connections `C` représentée par les groupes d'utilisateurs virtuels `G`. Activée via la case à cocher Limiter l'accès à cette page aux membres de la communauté des associations de page.	`Editor@P` + `Security Administrator@P` + `Delegator@G` + `View Privileges@C(in HCL Connections)`
Activation de la sécurité des pages de portail pour une page de contenu web `P` associée à la zone de site `SA` dans la bibliothèque de contenu Web `L`. Cette sécurité est activée via la case à cocher Utiliser la sécurité de la page de portail dans la fenêtre Page Associations.	`Editor@P` + `User@SA` + `Administrator@L` et `Editor@P` + `User@SA` + `Administrator@L` + `Manager@VirtualResource CONTENT MAPPINGS`

Tableau 4. Droits d'accès liés à l'instanciation de la page de modèle
Opération sensible	Affectation de rôle requise
Ajout d'une page racine Création et ajout d'une page de niveau supérieur `Pages` à partir du modèle de page `T`	Pour les pages non privées : `Editor@Pages` et `User@T` Pour les pages privées : `Privileged User@Pages` et `User@T` Des rôles supplémentaires peuvent être requis en fonction des fonctions d'instanciation associées au modèle de page `T` : `T` est associé à la zone de site `SA1` dans Web Content Manager, et le libellé wps.content.root est associé à la zone de dite `SA2`, avec des associations de contenu par défaut sur chaque zone de site. Droits d'affichage Web Content Manager sur `SA1` et droits de création de contenu Web Content Manager sur `SA2`. `T` est associé à une communauté HCL Connections `C`. Octroyez les droits suivants à l'utilisateur dans HCL Connections : Affichage `C` Créer des communautés `T` est configuré pour créer une communauté lors de l'instanciation avec le paramètre ibm.portal.instantiation.community.create.new page. Octroyez les droits suivants à l'utilisateur dans HCL Connections : Créer des communautés `T` est activé pour la délégation de contrôle d'accès en fonction de l'appartenance : `Delegator@USER_GROUPS` `USER_GROUPS` est une ressource virtuelle.
Ajout d'une page Création d'une page à partir du modèle `T` sous n'importe quelle page `P`	Pour les pages privées : `Privileged User@P` et `User@T` Des rôles supplémentaires peuvent être requis en fonction des fonctions d'instanciation associées au modèle de page `T` : `T` est associé à la zone de site `SA1` dans Web Content Manager, et le libellé wps.content.root est associé à la zone de dite `SA2`, avec des associations de contenu par défaut sur chaque zone de site. Droits d'affichage Web Content Manager sur `SA1` et droits de création de contenu Web Content Manager sur `SA2`. `T` est associé à une communauté HCL Connections `C`. Octroyez les droits suivants à l'utilisateur dans HCL Connections : Affichage `C` Créer des communautés `T` est configuré pour créer une communauté lors de l'instanciation avec le paramètre ibm.portal.instantiation.community.create.new page. Octroyez les droits suivants à l'utilisateur dans HCL Connections : Créer des communautés `T` est activé pour la délégation de contrôle d'accès en fonction de l'appartenance : `Delegator@USER_GROUPS` `USER_GROUPS` est une ressource virtuelle.

Tableau 5. Droits d'accès requis pour le Portlet de coffre de données d'identification
Opération sensible et description	Affectation de rôle requise
Opération sensible et description	Affectation de rôle requise
Ajout, affichage ou suppression d'un segment de coffre	La gestion du coffre des identifications via le portlet Coffre des identifications nécessite un accès à une instance du portlet Coffre des identifications.
Ajout d'un emplacement de coffre des données d'identifications administratif partagé (contenant des données d'identification d'un système)	La gestion du coffre des identifications via le portlet Coffre des identifications nécessite un accès à une instance du portlet Coffre des identifications.
Extraction des données d'identification depuis un emplacement de coffre des données d'identifications administratif partagé (contenant des données d'identification d'un système)	`User@slot` ou `User@ADMIN_SLOTS`
Modification d'un emplacement de coffre des données d'identifications administratif partagé (contenant des données d'identification d'un système)	`Editor@slot` ou `Editor@ADMIN_SLOTS`
Suppression d'un emplacement de coffre des données d'identifications administratif partagé (contenant des données d'identification d'un système)	`Manager@slot` ou `Manager@ADMIN_SLOTS`
Ajout, affichage, suppression ou modification d'un emplacement de coffre non partagé	La gestion du coffre des identifications via le portlet Coffre des identifications nécessite un accès à une instance du portlet Coffre des identifications.

Remarque : Ressource virtuelle : ADMIN_SLOTS est une ressource virtuelle. Le droit sur ce noeud est propagé vers tous les emplacements, s'il n'est pas bloqué par un bloc d'héritage ou de propagation.

Tableau 6. Droits d'accès pour le portlet Activation de la trace
Opération sensible et description	Affectation de rôle requise
Ajout ou suppression des paramètres de trace du portail	L'ajout ou la suppression d'un paramètre de traçage du portail via le portlet d'activation du traçage nécessite d'accéder à une instance du portlet Activation de la trace.

Tableau 7. Droits d'accès requis pour les gestionnaires d'événements
Opération sensible et description	Affectation de rôle requise
Administration des gestionnaires d'événements : Création, modification et suppression des gestionnaires d'événements	`Security Administrator@Event Handlers` Virtual resource : `Event Handlers` est une ressource virtuelle.

Tableau 8. Droits d'accès requis pour le portlet de gestion des clients
Opération sensible et description	Affectation de rôle requise
Gestion de clients : Affichage du portlet ; suppression, modification et ajout de clients dans le portlet `Gestion des clients`	`User@Manage Clients`

Tableau 9. Droits d'accès requis pour la gestion des recherches
Opération sensible et description	Affectation de rôle requise
Création d'un index de recherche	`Editor@PSE_Sources` Virtual resource : `PSE_Sources` est une ressource virtuelle.
Association de mots clés à des objets de contenu via le portlet Centre de recherche, pour que les objets de contenu soient promus pour les utilisateurs recherchant ces mots clés.	`Administrator@` pour `Search Center Portlet` Virtual resource : `Search Center Portlet` est une ressource virtuelle.
Modification des mots clés associés à des objets de contenu qui existent déjà dans le portlet Liens suggérés.	`Administrator@` pour `Suggested Links Portlet` Virtual resource : `Suggested Links Portlet` est une ressource virtuelle.

Tableau 10. Droits d'accès pour les opérations Virtual Portal
Opération sensible et description	Affectation de rôle requise
Création du nouveau portail virtuel	`Security Administrator@Portal` Virtual resource : `Portal` est une ressource virtuelle.
Affichage du portail virtuel	`Security Administrator@Portal` Virtual resource : `Portal` est une ressource virtuelle.
Suppression du portail virtuel	`Security Administrator@Portal` Virtual resource : `Portal` est une ressource virtuelle.
Edition du portail virtuel	`Security Administrator@Portal` Virtual resource : `Portal` est une ressource virtuelle.

Tableau 11. Droits d'accès requis pour les marquages
Opération sensible et description	Affectation de rôle requise
Gestion des marquages : Création, suppression ou modification d'un marquage	`Editor@Markups` Virtual resource : `Markups` est une ressource virtuelle

Tableau 12. Droits d'accès requis pour les stratégies
Opération sensible et description	Affectation de rôle requise
Création d'une stratégie sous n'importe qu'elle stratégie	`Editor@Policy` et `User@Business Rules Workspace` Notes : `Contributor@Policy` est le droit d'accès minimal requis pour créer une règle sous une règle quelconque, mais cette méthode est déconseillée. `Editor@Policy` est recommandé pour créer et gérer des règles et utiliser des utilitaires d'administration de portail. Si une règle doit être créée ou modifiée pendant la création d'une règle d'administration, les rôles `Editor@Business Rules Workspace` et `Editor@Policy` sont également requis. L'espace de travail des règles métier est le noeud racine du navigateur Personnalisation pour les ressources de règles métier. Définissez les droits d'accès à ce nœud en sélectionnant le nœud correspondant à l'espace de travail et en choisissant Action complémentaire > Editer les droits d'accès dans le menu.
Attribution d'une règle métier à une stratégie	`User@Business Rules` et `Editor@Policy`
Edition d'une stratégie	`Editor@Policy` et `User@Business Rules` Remarque : Si une règle doit être créée ou modifiée pendant la création d'une règle d'administration, le rôle `Editor@Business Rules` est également requis.
Affichage d'une stratégie	`User@Policy` + `User@Business Rules`
Importation d'une nouvelle stratégie	`Editor@Policy_Root` Important : `Contributor@Policy_Root` est le droit d'accès minimal requis pour importer une nouvelle règle. Toutefois il est conseillé d'utiliser le rôle `Editor@Policy_Root` pour importer et gérer des règles et pour utiliser les utilitaires d'administration du portail.
Suppression d'une stratégie	`Manager@Policy` + `User@Business Rules` Deleting policies : Lorsque vous supprimez une règle, la règle associée n'est pas supprimée.

Tableau 13. Droits d'accès requis pour les paramètres de portail
Opération sensible et description	Affectation de rôle requise
Affichage des paramètres du portail en cours	`User@Portal Settings` Virtual resource : `Portal Settings` est une ressource virtuelle.
Modification des paramètres du portail en cours	`Editor@Portal Settings` Virtual resource : `Portal Settings` est une ressource virtuelle.

Tableau 14. Droits d'accès requis pour les applications de portlet
Opération sensible et description	Affectation de rôle requise
Affichage de la définition d'une collection de portlets `PA`	`User@PA`
La modification d'une application de portlet comprend les actions suivantes : Ajout ou suppression d'environnement local Définition d'un paramètre local par défaut Modification des paramètres vers, depuis ou du `PA` de l'application de portlets.	`Editor@PA`
Duplication d'une application de portlet Création d'une application de portlet basée sur une application de portlet existante `PA`	`Editor@Portlet Applications` + `User@PA` Virtual resource : `Portlet Applications` est une ressource virtuelle.
Suppression d'une collection de portlets, et de tous les portlets et de toutes les entités de portlet correspondantes dans toutes les pages du portail	`Manager@PA`
Activation/Désactivation d'une collection de portlets Activation ou désactivation temporaire de l'application de portlet `PA`	`Manager@PA`

Tableau 15. Droits d'accès requis pour les portlets
Opération sensible et description	Affectation de rôle requise
Affichage d'un portlet installé : Affichage des informations concernant la définition d'un portlet `PO`	`User@PO`
La modification d'un portlet installé comprend les actions suivantes : Ajout ou suppression d'environnement local Définition d'un paramètre local par défaut Modification des paramètres vers, depuis ou du `PO` du portlet.	Pour ajouter ou supprimer des environnements locaux et pour définir l'environnement local par défaut : `Editor@PO` Pour modifier les paramètres : `Manager@PO`
Duplication d'un portlet installé : Création d'un nouveau portlet installé, basé sur un portlet `PO` existant faisant partie d'une collection de portlets `PA`.	`Editor@Portlet Applications` + `User@PO` + `User@PA` Virtual resource : `Portlet Applications` est une ressource virtuelle.
Suppression d'un portlet `PO` installé, et de toutes les entités de portlet correspondantes dans toutes les pages du portail	`Manager@PO`
Activation/désactivation d'un portlet : Activation ou désactivation temporaire d'un portlet `PO`	`Manager@PO`
Ajout d'un portlet `PO` comme service WSRP	`Editor@WSRP Export` et `Editor@PO` Virtual resource : `WSRP Export` est une ressource virtuelle.
Retrait d'un portlet `PO` du service WSRP	`Manager@WSRP Export` et `Editor@PO` Virtual resource : `WSRP Export` est une ressource virtuelle.
Intégration du portlet d'un fournisseur WSRP `PR` dans le portail	Si aucune collection de portlets n'existe pour le groupe de portlets : `Editor@Portlet Applications` et `User@PR` Virtual resource : `Portlet Applications` est une ressource virtuelle. S'il existe une application de portlet `PA` pour le groupe de portlets : `Editor@PA` et `User@PR`
Suppression d'un portlet WSRP intégré `PO` contenu dans l'application de portlet `PA` à partir du portail	S'il s'agit du dernier portlet de la collection de portlets : `Manager@PA` Si la collection de portlets contient plusieurs portlets : `Manager@PO`

Tableau 16. Droits d'accès requis pour les portlets sur les pages
Opération sensible et description	Affectation de rôle requise
Affichage d'un portlet `PO` sur une page `P`	`User@P` + `User@PO`
Configuration d'un portlet installé : Passage en mode configuration d'un portlet `PO` et modification de sa configuration	`Manager@PO`
Modification d'un portlet sur une page : Passage en mode Edition de paramètres partagés d'un portlet `PO` sur une page `P` et modification de sa configuration Remarque : Si `P` est une page non privée et que l'utilisateur ne dispose pas du rôle Editor pour cette page, la modification de la configuration du portlet entraîne la création d'une copie de la page `P` implicitement dérivée.	`Editor@P` + `Editor@PO` Ou `Privileged User@P` + `Privileged User@PO`
Modification du contenu des pages : Ajout ou suppression d'un portlet `PO` vers/depuis une page `P` Remarque : Si `P` est une page non privée et que l'utilisateur ne dispose pas du rôle Editor pour cette page, la modification du contenu de `P` entraîne la création d'une copie de la page `P` implicitement dérivée.	Pour les pages non privées : `Editor@P` + `User@PO` Ou Pour les pages privées : `Privileged User@P` + `User@PO`
Ajout d'un contenu Web à une page : Ajout d'un portlet Afficheur de contenu Web `PO` configuré pour afficher du contenu Web `C` à partir de la zone de site `SA` dans Web Content Manager. Le portlet `PO` est configuré avec l'option Create content (based on selection) et la page `P` est associée à la zone de site `SA`. Remarque : If `P` is a non-private page and the user has no Editor role for this page, then modifying the content of `P` results in the creation of an implicitly derived copy of page `P`.	Pour les pages non privées : `Editor@P + User @ PO` + Droits d'affichage Web Content Manager sur `C` et droits de création de contenu Web Content Manager sur `SA`. Pour les pages privées : `Privileged User@P` + `User@PO` + Droits d'affichage Web Content Manager sur `C` et droits de création de contenu Web Content Manager sur `SA`.
Limitation du contenu d'une page : Ajout ou suppression d'un portlet de la liste des portlets autorisés d'une page	`Editor@P` + `User@PO`

Tableau 17. Droits d'accès requis pour le courtier de propriétés
Opération sensible et description	Affectation de rôle requise
Fonctionnement avec ActionSets ou PropertySets pour un portlet `PO`	`User@PO`
Création, mise à jour ou suppression d'une connexion à partir d'un portlet `PO1` dans la page `P1`, jusqu'au portlet `PO2` sur la page `P2`	Connexion globale : `Editor@P1`, `User@PO1`, `Editor@P2`, `User@PO2` Connexion personnelle : `Privileged User@P1`, `User@PO1`, `Privileged User@P2`, `User@PO2` Important : Pour mettre à jour ou supprimer une connexion personnelle, l'utilisateur doit disposer des affectations de rôles précédentes et avoir créé la connexion concernée par ces actions.
Création d'une connexion depuis un portlet PO1 sur la Page P1 vers un portlet PO2 sur la Page P2	Connexion globale : `User@P1`, `User@PO1`, `User@P2`, `User@PO2` Connexion personnelle : `Privileged User@P1`, `User@PO1`, `Privileged User@P2`, `User@PO2` Important : Pour créer une connexion personnelle, l'utilisateur doit disposer des affectations de rôles précédentes et avoir créé la connexion qu'il démarre.
Affichage d'un câble depuis le portlet PO1 sur la Page P1 vers le portlet PO2 sur la Page P2	Connexion globale : `User@P1`, `User@PO1`, `User@P2`, `User@PO2` Connexion personnelle : `Privileged User@P1`, `User@PO1`, `Privileged User@P2`, `User@PO2` Important : Pour afficher une connexion personnelle, l'utilisateur doit disposer des affectations de rôles précédentes et avoir créé la connexion concernée par cette action.

Tableau 18. Droits d'accès requis pour les sources PSE
Opération sensible et description	Affectation de rôle requise
Création d'une source PSE : Création d'un collection de recherche	`Editor@PSE Sources` Virtual resource : `PSE Sources` est une ressource virtuelle.
Affichage d'une Source PSE : Affichage d'une collection de recherches `SC`	`User@SC`
Facilitation d'une source PSE : Utilisation d'une collection de recherches `SC`	`User@SC`
Edition d'une Source PSE : Edition d'une collection de recherches `SC`	`Editor@SC`
Suppression d'une source PSE : Suppression d'une collection de recherche `SC`	`Manager@SC`

Tableau 19. Droits d'accès requis pour l'étiquetage et les évaluations
Opération sensible et description	Affectation de rôle requise
Affichage des étiquettes et évaluations de communauté appliquées par d'autres utilisateurs. Création et suppression des étiquettes et évaluations personnelles ou publiques. Suppression des étiquettes de communauté quel que soit le propriétaire.	`Manager@Tags` + `Manager@Ratings` Virtual resource : `Tags` et `Ratings` sont des ressources virtuelles.
Affichage des étiquettes et évaluations de communauté appliquées par d'autres utilisateurs. Création et suppression des étiquettes et évaluations personnelles ou publiques.	`Contributor@Tags` + `Contributor@Ratings`
Affichage des étiquettes et évaluations de communauté appliquées par d'autres utilisateurs. Création et suppression des étiquettes et évaluations personnelles privées.	`Privileged user@Tags` + `Privileged user@Ratings`
Affichage des étiquettes et évaluations de communauté appliquées par d'autres utilisateurs.	`User@Tags` + `User@Ratings`

Tableau 20. Droits d'accès requis pour les modèles de présentation, les habillages et les thèmes
Opération sensible et description	Affectation de rôle requise
Création, affichage, édition et suppression d'un thème, d'un habillage ou d'un modèle de présentation	`Manager@THEME MANAGEMENT` Virtual resource : `THEME MANAGEMENT` est une ressource virtuelle.

Tableau 21. Droits d'accès requis pour le portlet de gestion des noms uniques
Opération sensible et description	Affectation de rôle requise
Gestion des noms uniques : Affichage du portlet ; suppression, modification, et ajout de noms uniques dans le portlet de noms uniques	`Editor@R` + `User@Unique Names`

Tableau 22. Droits d'accès requis pour les contextes de mappage d'URL
Opération sensible et description	Affectation de rôle requise
Création d'un contexte de mappage d'URL `UMC`	`Editor@URL Mapping Contexts` Virtual resource : `URL Mapping Contexts` est une ressource virtuelle.
Navigation dans un contexte de mappage d'URL : Possibilité de naviguer dans un contexte de mappage d'URL grâce à une affectation de rôle dans un contexte enfant d' `UMC`	`User@UMC` ou @ contexte enfant de `UMC`
Affichage de la définition d'un contexte de mappage d'URL `UMC`	`User@UMC`
Affectation d'une URL : Création ou modification d'un mappage entre un contexte de mappage d'URL `UMC` et une ressource de portail `R`	`Editor@UMC` + `User@R`
Modification d'un contexte de mappage d'URL : Modification des propriétés d'un contexte de mappage d'URL existant `UMC`, par exemple, édition du libellé	`Editor@UMC` En cas de mappage d'un portail virtuel : `Editor@VP URL Mappings` Virtual resource : `VP URL Mappings` est une ressource virtuelle.
Suppression d'un contexte de mappage d'URL `UMC` et de tous ses contextes enfant	`Manager@UMC`

Tableau 23. Droits d'accès requis pour les groupes d'utilisateurs
Opération sensible et description	Affectation de rôle requise
Création d'un groupe d'utilisateurs dans le registre d'utilisateurs	`Editor@User Groups` Virtual resource : `User Groups` est une ressource virtuelle.
Affichage des informations de profil d'un groupe d'utilisateurs `UG`	`User@UG`
Modification des informations de profil d'un groupe d'utilisateurs `UG`	`Editor@UG`
Ajout/suppression d'un utilisateur existant `U` ou d'un groupe d'utilisateurs `UG2` à ou depuis un groupe d'utilisateurs existant `UG1`	`Security Administrator@Users` + `Editor@UG1` Virtual resource : `Users` est une ressource virtuelle.
Suppression d'un groupe d'utilisateurs `UG`	`Manager@UG` Deleting the user group : Le propriétaire du groupe d'utilisateurs peut aussi le supprimer.

Tableau 24. Droits d'accès accordés aux utilisateurs
Opération sensible et description	Affectation de rôle requise
Création d'un utilisateur dans le registre d'utilisateurs	`Contributor@User Self Enrollment` ou `Editor@Users` `Contributor@User Self Enrollment` permet à l'utilisateur d'ajouter de nouveaux utilisateurs. Vous pouvez modifier d'autres utilisateurs existants avec `Editor@Users` Virtual resource : `User Self Enrollment` est une ressource virtuelle. `Users` est également une ressource virtuelle.
Affichage des informations de profil d'un utilisateur `U`	`User@UG` et `U` est un membre du groupe `UG` ou `User@Users` Virtual resource : `Users` est une ressource virtuelle
Modification des informations de profil d'un utilisateur `U`	`Editor@UG` and `U` is a member of user group `UG` or `Editor@Users` Virtual resource : `Users` est une ressource virtuelle.
Suppression d'un utilisateur du registre d'utilisateurs et de toutes les pages privées créées par cet utilisateur	`Manager@Users` Virtual resource : `Users` est une ressource virtuelle.
Emprunt de l'identité d'un utilisateur pour identifier et résoudre des incidents, afficher des pages, des portlets et autres composants de portail.	`Can Run As User@Users` Restriction : Pour utiliser le rôle Exécution en tant qu'utilisateur, vous devez activer la fonction d'emprunt d'identité et affecter le rôle Exécution en tant qu'utilisateur à un utilisateur approprié.

Tableau 25. Droits d'accès accordés aux utilisateurs
Opération sensible et description	Affectation de rôle requise
Création d'un utilisateur dans le registre d'utilisateurs	`Editor@User Self Enrollment` Virtual resource : `User Self Enrollment` est une ressource virtuelle.
Viewing the user profile information of a user `U`	`User@UG` and `U` is a member of user group `UG` or `User@Users` Virtual resource : `Users` est une ressource virtuelle.
Modifying the profile information of a user `U`	`Editor@UG` and `U` is a member of user group `UG` or `Editor@Users` Virtual resource : `Users` est une ressource virtuelle.
Suppression d'un utilisateur du registre d'utilisateurs et de toutes les pages privées créées par cet utilisateur	`Manager@Users` Virtual resource : `Users` est une ressource virtuelle.

Tableau 26. Droits d'accès requis pour le découpage Web
Opération sensible et description	Affectation de rôle requise
Création de nouveaux découpages	`Editor@Portlet Applications` Virtual resource : `Portlet Applications` est une ressource virtuelle.

Tableau 27. droits d'accès requis pour les modules Web
Opération sensible et description	Affectation de rôle requise
Installation d'un nouveau fichier WAR de collection de portlets	`Editor@Web Modules` Virtual resource : `Web Modules` est une ressource virtuelle.
Mise à jour d'un module Web `WM` par l'installation d'un fichier WAR correspondant	`Editor@Web Modules` + `Manager@WM`
Désinstallation d'un module Web, et suppression de tous les portlets et collections de portlets correspondantes dans toutes les pages du portail	`Manager@WM` + Manager @ toutes les applications de portlet contenues dans `WM`

Tableau 28. Droits d'accès requis pour RESOURCE
Opération sensible et description	Affectation de rôle requise
Ajout d'un fournisseur WSRP `PR` au portail	`Editor@WSRP Producers` Virtual resource : `WSRP Producers` est une ressource virtuelle.
Modification des paramètres d'un fournisseur distant `PR`	`Editor@PR`
Affichage des paramètres ou de la liste des portlets fournis par un fournisseur WSRP distant `PR`	`User@PR`
Suppression d'un fournisseur WSRP distant depuis le portail	`Manager@PR`

Tableau 29. Droits d'accès requis pour XML Access
Opération sensible et description	Affectation de rôle requise
Exécution de commandes à l'aide de l'interface de configuration XML	`Security Administrator@Portal` + `Editor@XML Access` Virtual resources : `Portal` et `XML Access` sont des ressources virtuelles.

Tableau 30. Droits d'accès requis pour les URL de vanité
Opération sensible et description	Affectation de rôle requise
Création, modification ou suppression d'une URL personnalisée qui pointe vers une page P	`Editor@P` et `Editor@VANITY_URL` Virtual resources : VANITY_URL est une ressource virtuelle.

Remarque : Si un utilisateur supprime une page, toutes les URL personnalisées qui pointent vers cette page sont également supprimées, indépendamment des droits dont dispose l'utilisateur sur la ressource virtuelle VANITY_URL.

Rapports de chevauchement et promotions de site

Tableau 31. Droits d'accès requis pour les rapports de chevauchement et les promotions de site
Ressource	Opération sensible et description	Affectation de rôle requise
Rapports de chevauchement	Affichage des rapports de chevauchement sur une ressource.	`User@OverlayReports` + `User@Resource` Remarque : `OVERLAY_REPORTS` est une ressource virtuelle.
Rapports de chevauchement	Affichage de toutes les promotions de site existantes.	`User@SitePromotions` Remarque : `SITE_PROMOTIONS` est une ressource virtuelle.
Rapports de chevauchement	Création d'une promotion de site.	`Editor@SitePromotions`
Rapports de chevauchement	Mise à jour d'une promotion de site existante.	`Editor@SitePromotions`
Rapports de chevauchement	Suppression d'une promotion de site.	`Editor@SitePromotions`
Rapports de chevauchement	Ajout d'une affectation de promotion de site sur une ressource spécifique.	`Editor@SitePromotions` + `User@Resource`
Rapports de chevauchement	Affichage d'une affectation de promotion de site sur une ressource spécifique.	`User@SitePromotions` + `User@Resource`
Promotions de site	Suppression d'une affectation de promotion de site sur une ressource spécifique.	`Editor@SitePromotions` + `User@Resource`

Mappages de rôles et services WSRP

Côté producteur WSRP, vous pouvez configurer la propriété wsrp.security.enabled pour mettre en application la décision de contrôle d'accès pour les portlets fournis. Si cette propriété est définie sur true, toutes les décisions de contrôle d'accès dans le portail producteur se basent sur le principal authentifié. Si wsrp.security.enabled a pour valeur false, le portail producteur n'applique aucun contrôle d'accès sur les demandes WSRP entrantes du portail client.

Lorsque vous utilisez la propagation d'identité, l'utilisateur qui est authentifié sur le portail client doit disposer des affectations de rôle requises. Si cette propagation n'est pas configurée mais si l'authentification du certificat client SSL est activée, l'ID du certificat doit avoir les affectations de rôle requises. Si aucune méthode d'authentification n'est utilisée, la demande est traitée comme si elle était émise par des utilisateurs de portail anonymes. Dans ce cas, les rôles requis doivent être affectés à l'utilisateur de portail anonyme. Cette affectation implique un accès non authentifié aux ressources correspondantes pour tous les utilisateurs ayant accès au portail de producteur.