Neslučitelnost rolí

Už se Vám někdy stalo, že jste chtěli pomocí identity manageru nastavit role tak, aby uživatel, který má roli A nemohl mít zároveň roli B? CzechIdM to nyní umožňuje i bez nutnosti umět programovat. Několika kliknutími v administračním rozhraní dokážete nastavit dvě role jako vzájemně neslučitelné.

Nová funkce přichází s nedávno vydaným releasem a nabízí správcům CzechIdM systémové řešení, jak zabránit v přidělování vzájemně výlučných účtů v napojených systémech, nebo přidělování vzájemně výlučných oprávnění uživatelům. Zvyšuje se tak kontrola nad přístupy uživatelů a tím i bezpečnost aplikací.

Nastavení neslučitelnosti

neslucitelne_role-01

Neslučitelné role 01

Dvě role nastavíme jako neslučitelné tak, že na záložce Role si jednu z nich otevřeme pro editaci a v části editačního formuláře „Neslučitelné role“ klikneme na ikonu plus. V modálním okně vyhledáme podle technického názvu roli, kterou chceme nastavit jako neslučitelnou s rolí právě editovanou, a klikneme na Vybrat. Počet neslučitelných rolí není omezen, zároveň nelze jako neslučitelnou nastavit některou z podřazených, nebo nadřazených rolí právě editované role, přičemž tuto hierarchii kontrolujeme do hloubky. Neslučitelných rolí můžeme nastavit i více najednou. Pokud některou z nich chceme odebrat, stačí kliknout na červené minus u názvu příslušné role a ta ze seznamu zmizí.

neslucitelne_role-02

Neslučitelné role 02

neslucitelne_role-03

Neslučitelné role 03

Přidělení role uživateli

Pokud se pokusíme přidělit uživateli dvě, či více vzájemně neslučitelných rolí, CzechIdM to pozná, zobrazí varovnou hlášku a nedovolí uživatele uložit, popřípadě odeslat žádost o taková oprávnění. Neslučitelnost rolí je kontrolována v backendu aplikace, vzájemně neslučitelné role tedy nelze identitě přidělit ani pomocí workflow, čímž je zajištěna integrita dat.

neslucitelne_role-04

Neslučitelné role 04

Typickou situací, kde lze neslučitelnost rolí využít, je napojení MS Exchange. Pokud má uživatel na tomto systému emailovou schránku, kterou mu garantuje role v CzechIdM, nesmí mít zároveň na tomto systému vytvořen kontakt se stejným emailem, rovněž garantovaný rolí v CzechIdM. V takovém případě jsou v CzechIdM role pro MS Exchange emailovou schránku a MS Exchange kontakt nastaveny jako vzájemně neslučitelné a systém už sám ohlídá, že některý uživatel nedostane přiděleny obě tyto role.

Dalšími příklady použití mohou být role garantující přístupy do systémů spravujících citlivá data. Tady lze pomocí neslučitelnosti rolí zajistit, aby uživatel, který má přístup k jedné části dat, neměl přístup k části jiné. Nakonec zmíním využití neslučitelnosti rolí v situaci, kdy máme v CzechIdM více technických rolí, plnících na koncových systémech tentýž atribut, který však není vícehodnotový. V takovém případě může mít uživatel nejvýše jednu z těchto rolí, a tak je vhodné nastavit je jako neslučitelné.

Závěr

Neslučitelnost rolí výrazně rozšiřuje možnosti role managementu v CzechIdM. Zjednodušuje se konfigurovatelnost takto nadefinovaných pravidel a zároveň se zlepšuje dohled nad jejich dodržováním a nastavením. Pokud máte k tomuto článku nebo k naší práci nějaké dotazy, neváhejte napsat na info@bcvsolutions.eu.