Suivi des autorisations

A partir de Domino 12.0, un nouveau mécanisme interne est fourni pour collecter les autorisations les plus élevées dont disposent des utilisateurs individuels dans un domaine Domino. Lorsqu’un utilisateur apparaît dans la LCA d’une base de données avec un accès Lecteur ou supérieur et qu’il a le droit d’accéder au serveur, il est qualifié d'utilisateur autorisé.

Par exemple, Dana Smith/Renovations dispose d'un accès Auteur à une application de rapport de dépenses, expenses.nsf. Le paramètre de sécurité Autoriser l'accès du serveur permet à */Renovations d'accéder au serveur. Par conséquent, Dana Smith/Renovations est considérée comme une utilisatrice autorisée ayant un accès Auteur.

Environ une fois par jour, chaque serveur Domino 12 analyse chaque base de données du serveur et collecte le niveau d'accès le plus élevé pour chaque utilisateur autorisé. Par exemple, sur le serveur A :
  • Dana Smith/Renovations possède : L'accès Auteur à expenses.nsf, l'accès Lecteur à AcmeSales.nsf et l'accès Editeur à son fichier courrier, DanaSmith.nsf.
  • Richard Smith/Renovations possède : Accès Auteur à expenses.nsf et accès Concepteur à AcmeSales.nsf.
  • Smith Smith/GS Consulting dispose d'un accès Lecteur à AcmeSales.nsf.
Une fois l'examen terminé, le serveur A suit ce qui suit :
  • Dana Smith/Renovations est une utilisatrice autorisée avec Editeur comme niveau d'accès le plus élevé.
  • Smith Smith/Renovations est un utilisateur autorisé avec Concepteur comme niveau d'accès le plus élevé.
  • Smith/GS Consulting n'est pas un utilisateur autorisé, car bien qu'il apparaisse dans une LCA de base de données avec un accès Lecteur, il n'a pas accès au serveur.

Procédure de suivi des autorisations par les serveurs

Le programme d'installation de Domino installe le modèle : entitlementtrack.ntf. La tâche de mise à jour du serveur Domino fonctionne avec le serveur pour créer et gérer une base de données système masquée entitlementtrack.ncf sur le serveur. entitlementtrack.ncf dispose d'un document pour chaque utilisateur du répertoire Domino du serveur pour suivre le niveau d'accès autorisé le plus élevé de chaque utilisateur. En plus du niveau d'accès autorisé le plus élevé d'un utilisateur, chaque document contient des faits corroborants tels que la première base de données dans laquelle cet utilisateur a été trouvé et la façon dont un utilisateur a reçu le niveau d'accès autorisé le plus élevé. Par exemple : "L'utilisatrice Dana Smith/Renovations dispose d'un accès Editrice à la base de données DanaSmith.nsf, car elle est explicitement nommée dans la LCA." Ou : "L'utilisateur Richard Smith/Renovations dispose d'un accès Concepteur dans la base de données AcmeSales.nsf, car il est membre du groupe AppDesigners qui dispose d'un accès Concepteur à cette base de données".

Qui est suivi

Les utilisateurs suivants sont suivis :
  • Utilisateurs authentifiés dans un répertoire. Tous les utilisateurs de tous les répertoires dignes de confiance pour l'authentification sont suivis. Cela peut être aussi simple que tous les utilisateurs du répertoire Domino, les utilisateurs définis dans un répertoire LDAP ou une combinaison des deux. Etant donné que chaque serveur peut avoir une configuration de répertoire unique, chaque serveur peut avoir un ensemble unique d'utilisateurs.
  • Utilisateurs authentifiés qui ne sont pas dans un répertoire. Si un utilisateur qui ne se trouve pas dans l'annuaire s'est connecté au serveur et a accédé à une base de données, il est ajouté à la liste des utilisateurs suivis. Il peut s'agit, par exemple, d'un utilisateur disposant d'une certification croisée qui accède au serveur sur HTTP.
  • Utilisateurs dans la LCA qui ne sont pas dans l'annuaire. Si le paramètre de sécurité du serveur ne présente pas de restriction (par exemple, "Autoriser tout le monde à accéder à ce serveur"), tout utilisateur ayant un niveau d'accès éligible dans une base de données est considéré comme un utilisateur autorisé et suivi en conséquence.

Qui n'est pas suivi ?

Les entités suivantes ne sont pas suivies :
  • Serveurs.
  • Utilisateurs qui ne peuvent pas accéder au serveur, parce qu'ils ne sont pas inclus dans une liste "Autorisé à accéder au serveur" ou parce qu'ils sont explicitement refusés dans une liste "Non autorisé à accéder au serveur".
  • Documents de personne à des fins de routage uniquement, par exemple, ceux qui n'ont pas de certificat Notes et de mot de passe HTTP.

Quand les utilisateurs sont-ils suivis ?

Bien que le serveur recherche quotidiennement les utilisateurs autorisés, les documents de suivi des utilisateurs ne sont mis à jour dans la base de données de suivi que lorsque leurs autorisations changent. Par exemple, si l'accès de Dana Smith/Renovations à son fichier courrier passe de Editeur à Gestionnaire, son document de suivi est mis à jour lors de l'examen suivant pour refléter le changement d'autorisation.

Groupes, caractères génériques et accès par défaut

Les autorisations sont suivies au niveau des utilisateurs individuels, mais les administrateurs Domino utilisent généralement des groupes et des caractères génériques Domino ou LDAP pour contrôler l'accès des utilisateurs aux serveurs et aux bases de données. Le collecteur d'autorisations développe de manière récursive les "groupes de groupes" et/ou les "caractères génériques correspondant aux utilisateurs" pour projeter les autorisations du groupe ou du caractère générique sur un ensemble d'utilisateurs individuels. L'utilisation de groupes et de caractères génériques autorise explicitement un ensemble d'utilisateurs.

En revanche, l'utilisation de l'accès -Par défaut- peut implicitement autoriser de nombreux utilisateurs, car l'accès -Par défaut- permet de définir les projets sur "tout le monde". Par exemple, si le groupe RenovationsManagers contenant cinq membres dispose d'uneaccès Gestionnaire à une base de données, que l'utilisateur Dupont/Renovations dispose d'un accès Editeur explicite et que l'accès -Par défaut- est Lecteur, toutes les autres personnes que ces six utilisateurs ayant accès au serveur disposent d'un accès Lecteur. Si le serveur autorise toute personne avec */Renovations à accéder au serveur et que l'annuaire configuré compte 1 705 utilisateurs Renovations, cette LCA par défaut dote 1 700 utilisateurs d'un accès Lecteur. En général, l'accès -Par défaut- doit être utilisé avec parcimonie.

Remarque : Si l’entrée ACL par défaut fournie avec une base de données système Domino autorise l'accès, cette entrée n'est pas considérée comme une autorisation et est exclue du traitement. Par exemple, les bases de données d'aides de Domino sont fournies avec les entrées ACL par défaut qui autorisent l’accès Lecteur. Ces entrées ACL par défaut sont donc exclues du traitement.

Récapitulatif des autorisations au niveau Domaine

Les données d'autorisation collectées quotidiennement par chaque serveur Domino dans un domaine sont également agrégées pour l'ensemble du domaine sur le serveur d'administration de domaine. La tâche de catalogue de répertoires gère le processus de synchronisation et les données combinées de suivi des autorisations de chaque serveur sont regroupées dans une base de données entitlements.nsf sur le serveur d'administration. Le serveur d'administration dispose à la fois de sa propre base de suivi des autorisations (entitlementtrack.ncf) et des informations de suivi agrégées pour tous les serveurs du domaine (entitlements.nsf). Le serveur d'administration identifie le niveau d'accès le plus élevé pour chaque utilisateur du domaine et stocke le serveur qui dispose du niveau d'accès le plus élevé pour un utilisateur particulier, ainsi que les autres informations corroborantes, telles que la base de données et la façon dont l'utilisateur est autorisé.
Remarque : La vue Historique dans entitlements.nsf inclut un bouton Instantané. Cliquez sur ce bouton pour générer un document qui résume le nombre total actuel d'autorisations par niveau d'accès, sur la base des données actuelles. Domino exécute cette même action automatiquement une fois par semaine afin de disposer d'un historique des modifications apportées aux autorisations.

Mode d'utilisation des informations d'autorisation

Les informations sur les autorisations sont collectées pour aider les clients Domino à surveiller leur environnement. Ces données ne sont pas collectées par HCL et ne sont pas utilisées pour contrôler l'accès au serveur de quelque manière que ce soit. La seule information que HCL peut vous demander est le "rapport d'autorisation" qui contient le nombre total d'autorisations par niveau d'accès, par exemple :
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

Mode d'utilisation de ces informations

Les informations du récapitulatif des autorisations peuvent être extrêmement utiles pour comprendre le nombre d'utilisateurs dont vous disposez, avec des niveaux d'accès différents, et les serveurs, bases de données, LCA et autorisations qui contribuent à ces nombres. Par défaut, l'accès à ces bases de données est limité à LocalDomainAdmins, mais comme il s'agit de vos données, vous pouvez en gérer l'accès comme bon vous semble, sous réserve des conditions suivantes :
  • Ne supprimez pas les bases de données du collecteur d'autorisations ou la base de données récapitulative du collecteur, sauf si le support HCL vous le demande.
  • Ne modifiez pas la conception ou le modèle de quelque manière que ce soit.
  • Les services de base de données et de collecte sont proposés "tels quels" et la structure de la base de données et du processus de collecte de données peut être modifiée par HCL dans les prochaines éditions du produit.