Implémentation de rôles d’utilisateur
Dans System Center Operations Manager, les rôles d’utilisateur sont la méthode que vous utilisez pour attribuer les droits nécessaires pour accéder aux données de surveillance et effectuer des actions. Les rôles d'utilisateur sont conçus pour s'appliquer à des groupes d'utilisateurs qui doivent accéder à et effectuer des actions sur le même groupe d'objets analysés. Par défaut, seul le compte Administrateur Operations Manager a le droit d’afficher et d’agir sur toutes les données de surveillance. Tous les autres utilisateurs doivent disposer d’un rôle d’utilisateur affecté pour afficher ou agir sur des données spécifiques ou de surveillance.
Les rôles d'utilisateur sont créés à l'aide de l'Assistant Création d'un rôle d'utilisateur. Dans cet Assistant, vous configurez les groupes de sécurité Active Directory auxquels ce rôle d’utilisateur est attribué, que le groupe Operations Manager ou les groupes d’objets surveillés auxquels cet utilisateur peut accéder, ainsi que les tâches, les tableaux de bord et les vues auxquels ce rôle d’utilisateur peut accéder.
Un rôle d’utilisateur est la combinaison d’un profil et d’une étendue, comme illustré dans l’illustration suivante. Un utilisateur peut appartenir à plusieurs rôles, l'étendue résultante étant l'union de tous les rôles d'utilisateur.
Comprendre les profils
Avant de créer des rôles d’utilisateur dans votre groupe d’administration, sélectionnez un profil qui s’applique au rôle d’utilisateur que vous créez. Un profil détermine les actions qu'un utilisateur peut effectuer. Les profils ont un ensemble défini de droits et vous ne pouvez pas ajouter ni supprimer ces droits attribués. Lors de la création de rôles d’utilisateur pour les opérateurs et d’autres utilisateurs, sélectionnez le profil qui correspond le plus étroitement aux responsabilités du groupe d’utilisateurs de votre déploiement System Center - Operations Manager.
Comme Operations Manager est une plateforme de supervision d’entreprise, qui peut surveiller l’infrastructure, la charge de travail ou les applications déployées dans votre entreprise, vous pouvez aligner l’accès aux données de surveillance avec vos processus d’opération de service, afin que les différents niveaux de support d’escalade d’incidents ou l’équipe du développeur d’applications puissent voir les données opérationnelles pertinentes pour leur rôle. La sécurité basée sur les rôles vous permet de limiter les droits des utilisateurs par rapport à divers aspects d'Operations Manager.
Important
L’ajout d’un compte d’ordinateur à un membre de rôle d’utilisateur permet à tous les services de cet ordinateur d’avoir accès dans Operations Manager. Il est recommandé de ne pas ajouter de compte d’ordinateur à un rôle d’utilisateur.
Dans Operations Manager, des opérations telles que la résolution des alertes, l’exécution de tâches, la substitution de moniteurs, la création de rôles d’utilisateur, l’affichage des alertes, l’affichage des événements, etc. ont été regroupées dans des profils, chaque profil représentant une fonction de travail particulière, comme indiqué dans le tableau suivant. Pour obtenir une liste des actions spécifiques associées à chaque profil, consultez Operations Associated with User Role Profiles.
Remarque
Une étendue définit les groupes d'entités, les types d'objets, les tâches ou les affichages auxquels un profil est limité. Toutes les étendues ne s'appliquent pas à tous les profils.
| Profile | Fonctions et étendue |
|---|---|
| Administrateurs | Comprend l'intégralité des droits disponibles dans Operations Manager. Remarque : Vous ne pouvez ajouter que des groupes de sécurité Active Directory au rôle Administrateur. |
| Opérateur avancé | Comprend un ensemble de droits établis pour les utilisateurs qui doivent accéder à un ajustement limité des configurations de l'analyse en plus des droits d'opérateur. Donne aux membres la possibilité de remplacer la configuration des règles et des analyses pour des cibles ou groupes de cibles spécifiques au sein de l'étendue configurée. L’opérateur avancé hérite également des privilèges d’opérateur. |
| Opérateur de contrôle des applications | Inclut un ensemble de privilèges conçus pour les utilisateurs qui ont besoin d’accéder aux diagnostics d’application. Un rôle d’utilisateur basé sur le profil opérateur d’analyse des applications accorde aux membres la possibilité de voir les événements d’analyse des applications dans la console web Diagnostics d’application. Remarque : l’accès à la fonctionnalité Application Advisor nécessite l’opérateur de rapport ou le profil Administrateur. |
| Auteur | Comprend un ensemble de droits établis pour créer des configurations de l'analyse. Donne aux membres la possibilité de créer, de modifier et de supprimer la configuration de l'analyse (par exemple, les tâches, les règles, les analyses et les affichages) pour des cibles ou groupes de cibles spécifiques dans l'étendue configurée. |
| Opérateur | Comprend un ensemble de droits établis pour les utilisateurs qui doivent accéder aux alertes, aux affichages et aux tâches. Donne aux membres la possibilité d'interagir avec des alertes, d'exécuter des tâches et d'accéder à des affichages selon l'étendue configurée. Remarque de sécurité : lorsqu’une vue de tableau de bord utilise des données de la base de données de l’entrepôt de données, les opérateurs peuvent être en mesure d’afficher les données auxquelles ils n’auraient pas accès dans les vues qui utilisent des données de la base de données opérationnelle. |
| Opérateur en lecture seule | Comprend un ensemble de droits établis pour les utilisateurs qui doivent accéder en lecture seule aux alertes, aux affichages et aux tâches. Donne aux membres la possibilité d'afficher des alertes et d'accéder à des affichages selon l'étendue configurée. Remarque : les membres du rôle Opérateur en lecture seule ne sont pas affectés aux droits de l’affichage État de la tâche. Remarque de sécurité : lorsqu’une vue de tableau de bord utilise des données de la base de données de l’entrepôt de données, les opérateurs peuvent être en mesure d’afficher les données auxquelles ils n’auraient pas accès dans les vues qui utilisent des données de la base de données opérationnelle. |
| Opérateur de rapports | Comprend un ensemble de droits établis pour les utilisateurs qui doivent accéder aux rapports Donne aux membres la possibilité d'afficher des rapports selon l'étendue configurée. Attention : les utilisateurs affectés à ce rôle ont accès à toutes les données de rapport dans l’entrepôt de données de création de rapports et ne sont pas limités par étendue. |
| Administrateur de sécurité des rapports | Permet d'intégrer la sécurité de SQL Server Reporting Services aux rôles d'utilisateur Operations Manager. Ceci donne aux administrateurs Operations Manager la possibilité de contrôler l'accès aux rapports. Ce rôle ne peut avoir qu’un seul compte membre et ne peut pas être limité. |
Outre les profils de travail existants listés ci-dessus, Operations Manager 2022 prend en charge les nouveaux profils de travail suivants :
| Profile | Fonctions et étendue |
|---|---|
| Administrateur en lecture seule | Comprend tous les privilèges de lecture dans Operations Manager, ainsi que la création de rapports. |
| Administrateur délégué | Comprend tous les privilèges de lecture dans Operations Manager à l’exception de la création de rapports. Donne aux membres la possibilité de créer un rôle utilisateur personnalisé avec Administrateur délégué comme profil de base. |
Définir une étendue à l’aide de groupes Operations Manager
L’étendue d’un rôle d’utilisateur détermine les objets sur lesquels le rôle d’utilisateur peut afficher et effectuer des actions dans System Center – Operations Manager. Une étendue se compose d’un ou de plusieurs groupes Operations Manager et est définie lors de la création d’un rôle d’utilisateur dans le cadre de l’Assistant Création d’un rôle d’utilisateur. La page Étendue du groupe de l' Assistant Création d'un rôle d'utilisateur fournit la liste de tous les groupes Operations Manager existants. Vous pouvez choisir tout ou partie de ces groupes comme étendue du rôle d’utilisateur que vous créez.
Les groupes, à l'image d'autres objets Operations Manager, sont définis dans les packs d'administration. Dans Operations Manager, les groupes sont des collections logiques d’objets, tels que des ordinateurs Windows, des disques durs ou des instances de Microsoft SQL Server. Plusieurs groupes sont créés par les packs d'administration qui sont importés automatiquement au cours d'une installation d'Operations Manager. Si ces groupes ne contiennent pas les objets surveillés dont vous avez besoin pour une étendue, vous pouvez créer un groupe qui le fait. Pour ce faire, vous devez quitter l’Assistant Créer un rôle d’utilisateur, basculer vers l’espace de travail Surveillance et utiliser l’Assistant Création d’un groupe pour créer un groupe qui répond mieux à vos besoins.
Affecter des tâches, des tableaux de bord et des vues
Une tâche est une action initiée par l’utilisateur à partir de la console Opérateur exécutée sur un agent Operations Manager ou sur le système à partir duquel la console est lancée. Les tâches que vous accordez à un rôle d’utilisateur que vous créez peuvent effectuer ces commandes ou actions spécifiques pour le rôle d’utilisateur que vous créez. Le paramètre par défaut est que tous les utilisateurs affectés à ce rôle d’utilisateur peuvent exécuter toutes les tâches et ouvrir tous les tableaux de bord et vues tant que leur profil et leur étendue l’autorisent. L’alternative dans la page Tâches de l’Assistant Création d’un rôle d’utilisateur consiste à répertorier les tâches spécifiques que la règle utilisateur que vous créez peut accéder. De même, dans la page Créer des tableaux de bord et des vues de rôle utilisateur, vous devez spécifier les tableaux de bord et les vues, ainsi que les tableaux de bord spécifiques disponibles pour l’accès à partir du volet Tâches.
Comment affecter des membres à des rôles d’utilisateur intégrés
Operations Manager fournit huit rôles d’utilisateur standard créés lors de l’installation. Vous pouvez affecter directement des groupes et des individus à ces rôles d’utilisateur intégrés pour leur fournir la possibilité d’effectuer certaines tâches et d’accéder à certaines informations. Ces rôles intégrés ont une étendue globale pour le groupe d’administration.
Pour limiter l’étendue d’un utilisateur, créez un rôle d’utilisateur.
Pour affecter des membres à un rôle d’utilisateur intégré
Dans la console Operations, sélectionnez Administration.
Dans Sécurité, sélectionnez Rôles d’utilisateur.
Dans le volet de résultats, cliquez avec le bouton droit sur l’un des rôles d’utilisateur, tels que les opérateurs Operations Manager, puis sélectionnez Propriétés.
Sous l’onglet Propriétés générales, dans les membres du rôle d’utilisateur, sélectionnez Ajouter.
Dans Entrez les noms d’objets à sélectionner, entrez le nom de l’utilisateur ou du compte de groupe que vous souhaitez ajouter au rôle d’utilisateur, puis sélectionnez OK pour fermer la boîte de dialogue.
Sélectionnez OK pour fermer les propriétés du rôle d’utilisateur.