Rôles

Les rôles fournissent aux utilisateurs des droits d'accès aux tâches sur les ressources. Par exemple, Editeur est un rôle qui permet aux utilisateurs d'afficher, modifier et créer des ressources. Les rôles sont dénotés en tant que Role@Resource ; par exemple, Editor@Portal Page.

Les rôles sont organisés dans une hiérarchie. Les rôles sont organisés dans une hiérarchie. Les rôles placés le plus haut dans la hiérarchie héritent généralement des droit d'accès des rôles enfant. Par exemple, pour installer des modules Web, le rôle Editeur sur la ressource virtuelle Web Modules, Editor@Web Modules, est l'affectation de rôle minimum nécessaire pour cette opération. Le rôle Cadre est plus élevé dans la hiérarchie que le rôle Editeur. Pour cette raison, le rôle Cadre comprend les permissions du rôle Editeur. Le rôle Manager@Web Modules permet également aux utilisateurs d'installer des modules Web.


Illustration de la hiérarchie des rôles. Pour plus d'informations sur ce graphique, reportez-vous au texte de la rubrique.
Le tableau suivant répertorie les actions autorisées selon les rôles :
Tableau 1. Actions autorisées pour les rôles
Rôle Actions autorisées
Administrateur Accès illimité aux ressources comprenant leur création, configuration et suppression. Les administrateurs peuvent également modifier les paramètres de contrôle d'accès aux ressources, en d'autres termes, accorder l'accès à ces ressources à d'autres personnes.
Administrateur de la sécurité Création et suppression d'affectations de rôles sur les ressources. Le rôle d'administrateur de la sécurité permet à l'utilisateur d' agir en tant qu'administrateur délégué pour cette ressource. L'administrateur de la sécurité peut déléguer un sous-ensemble de ses privilèges à d'autres personnes en fonction de la stratégie d'administration déléguée en vigueur. Par exemple, un utilisateur disposant des rôles d'administrateur de la sécurité et d'Editeur peut attribuer le rôle Editeur à d'autres personnes. Le rôle d'administrateur de la sécurité sur une ressource ne donne pas accès en lecture ou en édition sur la ressource.
Délégant L'attribution du rôle Délégataire à des principaux (utilisateurs et groupes) permet de leur attribuer des rôles. Il n'est pas utile d'avoir le rôle Délégant sur d'autres ressources, tels que des portlets spécifiques. L'ensemble de rôles qui peut être attribué à ces principaux est défini par les types de rôle Administrateur de sécurité et Administrateur. Par exemple, un utilisateur a un rôle délégataire sur le groupe d'utilisateurs Commerciaux mais aucun rôle délégataire sur le groupe d'utilisateurs Responsables. Par conséquent, cet utilisateur peut attribuer des rôles uniquement au groupe Commerciaux ou à des membres individuels de ce groupe mais pas au groupe d'utilisateurs Responsables. Le rôle de Délégataire sur une ressource ne donne pas un accès direct à cette ressource. L'objectif du rôle Délégataire est de permettre l'octroi de rôles à des utilisateurs ou des groupes. Par conséquent, l'attribution du rôle Délégataire à des ressources ou des types de ressource qui ne sont pas des utilisateurs ou des groupes d'utilisateurs n'accorde pas plus de droits à ces utilisateurs.
Exécution en tant qu'utilisateur (emprunt d'identité) Après avoir activé la fonction d'emprunt d'identité, vous pouvez attribuer à un utilisateur le rôle Exécution en tant qu'utilisateur. Il permet d'afficher des pages, des portlets et d'autres composants du portail en tant qu'utilisateur différent. Les spécialistes du support peuvent utiliser ce rôle pour identifier et résoudre les problèmes.
Gestionnaire Création de ressources, configuration et suppression des ressources existantes utilisées par plusieurs utilisateurs.
Editeur Création de ressources et configuration de ressources existantes utilisées par plusieurs utilisateurs.
Editeur de balisage Modification de la source HTML des pages de portail statiques.
Contributeur Visualisation du contenu du portail et création de ressources. Le rôle Collaborateur ne permet pas d'éditer des ressources Vous pouvez seulement créer de nouvelles ressources. Par exemple, un utilisateur possède le rôle de Collaborateur pour l'espace d'équipe de catégorie de modèles. L'utilisateur ne peut pas modifier la catégorie même, mais peut créer de nouveaux modèles dans cette catégorie.
Remarque : Ce rôle n'est disponible que pour les ressources suivantes :
  • Modèles d'application
  • Catégories de modèles d'application
  • Racine du modèle d'application
  • Stratégies
  • All HCL Web Content Manager related documents
Utilisateur privilégié Visualisation du contenu du portail, personnalisation des portlets et des pages et création de pages privées.
Utilisateur Visualisation du contenu du portail, tel qu'une page donnée.
Aucun rôle n'est affecté. Ne peut interagir avec la ressource.

Héritage

Les ressources font partie d'une hiérarchie. Par défaut, chaque ressource de la hiérarchie hérite des affectations de rôles de sa ressource parente. Ce type d'héritage réduit les tâches d'administration. Lorsque vous affectez un groupe à un rôle dans une ressource parent, le groupe acquiert automatiquement le même ensemble d'actions autorisées pour toutes les ressources enfant.

Supposons que l'utilisateur Marie soit membre du groupe Ventes. Vous pouvez attribuer à Marie un accès Editeur sur la page Infos marchés ainsi que toutes les pages enfant en accordant le rôle Editor@Market News Page au groupe Ventes. Implicitement, tous les mêmes du groupe Ventes acquièrent le rôle Editor@Market News Page. Tous les membres du groupe Ventes héritent également du rôle Editeur dans toutes les pages enfant de la page Infos marché dans la hiérarchie des ressources. Par conséquent, les membres du groupe Ventes héritent automatiquement du rôle Editor@USA Market News Page.

L'héritage via la hiérarchie des ressources peut être bloqué à n'importe quel niveau pour mieux contrôler le contrôle d'accès.


Illustration de l'héritage de rôle

Affectation de rôles

Des rôles sont affectés aux utilisateurs et aux groupes d'utilisateurs contenus dans le registre d'utilisateurs. Des rôles peuvent être affectés par une personne dûment autorisée, telle qu'un administrateur de portail, de l'une des façons suivantes :
  • explicitement affectés à un utilisateur.
  • implicitement via l'appartenance au groupe. Si un groupe a un rôle, tous les membres du groupe héritent automatiquement du rôle. Les groupes imbriqués (groupes membres d'un autre groupe) héritent des affectations de rôle de leur groupe parent.
  • hérités via une affectation de rôle dans la ressource parente. Par défaut, les rôles définis sur une ressource s'appliquent automatiquement à toutes les ressources enfant sauf si des blocs de rôle sont utilisés.

Les utilisateurs et les groupes peuvent avoir plusieurs rôles dans la même ressource. Par exemple, un utilisateur peut avoir les rôles Editeur et Gestionnaire dans une page donnée. L'un de ces rôles peut être hérité via la hiérarchie des ressources et l'autre peut être affecté explicitement. Si deux rôles de la même hiérarchie sont attribués à un utilisateur pour la même ressource, le rôle de niveau supérieur est prioritaires. Par exemple, si un utilisateur dispose du rôle Gestionnaire ou Editeur sur une ressource, le rôle Gestionnaire est prioritaire sur le rôle Editeur.

Vous ne devez octroyer des rôles aux utilisateurs que dans des cas exceptionnels. Vous pouvez ajouter ou supprimer des utilisateurs dans les groupes afin de réduire le nombre de mappages de rôle et simplifier la maintenance.

Ownership

Chaque ressource peut avoir un propriétaire dédié. Le propriétaire d'une ressource peut être un utilisateur ou un groupe d'utilisateurs. Lorsqu'un utilisateur crée une ressource, telle qu'une page, l'utilisateur devient automatiquement le propriétaire initial de cette ressource. Pour les ressources non privées, la propriété fournit le même ensemble d'actions autorisées comme rôle Gestionnaire. Pour les ressources privées, la propriété fournit le même nombre d'actions autorisées que le rôle Utilisateur privilégié. Cet utilisateur peut également supprimer la ressource. Pour les ressources non privées et privées, ces actions incluent la possibilité de supprimer la ressource. Les ressources privées peuvent appartenir uniquement à des utilisateurs et non à des groupes d'utilisateurs. Il est impossible de définir des rôles sur des ressources privées et la propriété des ressources ne peut pas être héritée.

Vous pouvez utiliser l'interface de configuration XML ou le portlet Droits d'accès aux ressources pour changer le propriétaire d'une ressource.

les pages privées ;

Une page privée n'est accessible qu'à son propriétaire. Les utilisateurs privilégiés (à qui le rôle Privileged User a été affecté) peuvent créer explicitement de nouvelles pages privées qui ne sont accessibles qu'à eux-mêmes. En outre, un utilisateur privilégié sur une page non privée peut personnaliser cette page et créer des pages privées en dessous. La personnalisation d'une page non privée crée généralement une copie privée de la page publique correspondante. Toute modification effectuée par un utilisateur privilégié sur une page non privée n'est pas accessible aux autres utilisateurs.

Remarque : Les pages privées ne peuvent pas être contrôlées par un gestionnaire de sécurité externe externe. Le contrôle d'accès aux pages privées est toujours contrôlé en interne par HCL.

Prise en charge du balayage

Les utilisateurs ayant des affectations de rôle sur les ressources Page ou URL Mapping obtiennent le droit implicite d'accéder à ces ressources. Ces utilisateurs peuvent accéder à toutes les ressources parent de ces ressources. Les utilisateurs voient uniquement le titre de ces ressources. Le contenu de la ressource correspondante reste inaccessible sauf si ces utilisateurs disposent d'affectations de rôle supplémentaires leur donnant un accès normal à ces ressources.