Share via

A Microsoft BHOLD Suite alapfogalmainak útmutatója

  • Cikk

Microsoft Identity Manager 2016 (MIM) lehetővé teszi a szervezetek számára a felhasználói identitások és a hozzájuk tartozó hitelesítő adatok teljes életciklusának kezelését. Konfigurálható az identitások szinkronizálására, a tanúsítványok és jelszavak központi kezelésére, valamint a felhasználók heterogén rendszerek közötti kiépítésére. A MIM használatával az informatikai szervezetek definiálhatják és automatizálhatják az identitások kezeléséhez használt folyamatokat a létrehozástól a kivezetésig.

A Microsoft BHOLD Suite szerepköralapú hozzáférés-vezérlés hozzáadásával bővíti a MIM képességeit. A BHOLD lehetővé teszi a szervezetek számára a felhasználói szerepkörök meghatározását, valamint a bizalmas adatokhoz és alkalmazásokhoz való hozzáférés szabályozását. A hozzáférés azon alapul, hogy mi felel meg ezeknek a szerepköröknek. A BHOLD Suite olyan szolgáltatásokat és eszközöket tartalmaz, amelyek leegyszerűsítik a szervezeten belüli szerepkörkapcsolatok modellezését. A BHOLD leképezi ezeket a szerepköröket a jogosultságokra, és ellenőrzi, hogy a szerepkör-definíciók és a kapcsolódó jogosultságok megfelelően vannak-e alkalmazva a felhasználókra. Ezek a képességek teljes mértékben integrálva vannak a MIM-sel, így zökkenőmentes felhasználói élményt nyújtanak a végfelhasználók és az informatikai személyzet számára egyaránt.

Ez az útmutató segít megérteni, hogyan működik a BHOLD Suite a MIM-kel, és az alábbi témaköröket ismerteti:

  • Szerepkör alapú hozzáférés-vezérlés
  • Igazolás
  • Jelentéskészítés
  • Hozzáférés-kezelési összekötő

A BHOLD használata nem ajánlott új üzemelő példányokhoz. Microsoft Entra azonosító mostantól hozzáférési felülvizsgálatokat biztosít, amelyek felváltják a BHOLD igazolási kampány funkcióit és a jogosultságkezelést, amely felváltja a hozzáférés-hozzárendelési funkciókat.

Szerepkör alapú hozzáférés-vezérlés

Az adatokhoz és alkalmazásokhoz való felhasználói hozzáférés szabályozásának leggyakoribb módja a diszkréciós hozzáférés-vezérlés (DAC). A leggyakoribb implementációkban minden jelentős objektumnak van egy azonosított tulajdonosa. A tulajdonos egyéni identitás vagy csoporttagság alapján engedélyezheti vagy megtagadhatja az objektumhoz való hozzáférést másoknak. A gyakorlatban a DAC általában biztonsági csoportok széles halmazát eredményezi, amelyek némelyike a szervezeti struktúrát tükrözi, mások funkcionális csoportosításokat (például feladattípusokat vagy projekt-hozzárendeléseket) és másokat, amelyek ideiglenesebb célokra összekapcsolt felhasználók és eszközök makeshift gyűjteményéből állnak. A szervezetek növekedésével az ezekben a csoportokban való tagság egyre nehezebbé válik. Ha például egy alkalmazottat egy projektből egy másikba helyez át, a projekteszközökhöz való hozzáférés szabályozására használt csoportokat manuálisan kell frissíteni. Ilyen esetekben nem ritka, hogy hibák fordulnak elő, olyan hibák, amelyek akadályozhatják a projekt biztonságát vagy a termelékenységet.

A MIM olyan szolgáltatásokat tartalmaz, amelyek segítenek a probléma megoldásában a csoport- és terjesztési listatagságok automatikus vezérlésével. Ez azonban nem foglalkozik az olyan túlszaporodó csoportok belső összetettségével, amelyek nem feltétlenül kapcsolódnak egymáshoz strukturált módon.

Ennek jelentős csökkentésének egyik módja a szerepköralapú hozzáférés-vezérlés (RBAC) üzembe helyezése. Az RBAC nem vonja el a DAC-t. Az RBAC a DAC-ra épül azáltal, hogy keretrendszert biztosít a felhasználók és az informatikai erőforrások besorolásához. Ez lehetővé teszi, hogy explicit módon adja meg a kapcsolatukat és az adott besorolásnak megfelelő hozzáférési jogosultságokat. Ha például hozzárendel egy felhasználói attribútumot, amely megadja a felhasználók beosztását és a projekt-hozzárendeléseket, a felhasználó hozzáférést kaphat a felhasználó feladatához szükséges eszközökhöz, valamint azokhoz az adatokhoz, amelyekhez a felhasználónak hozzá kell járulnia egy adott projekthez. Ha a felhasználó egy másik feladatot és különböző projekt-hozzárendeléseket feltételez, a felhasználó beosztását és a projekteket megadó attribútumok módosítása automatikusan letiltja a hozzáférést azokhoz az erőforrásokhoz, amelyek csak a felhasználók korábbi pozíciójához szükségesek.

Mivel a szerepkörök hierarchikus módon tárolhatók a szerepkörökben (például az értékesítési vezető és az értékesítési képviselő szerepköre szerepelhet az értékesítés általánosabb szerepkörében), könnyen hozzárendelhetők a megfelelő jogosultságok adott szerepkörökhöz, és mégis megfelelő jogokat biztosítanak mindenki számára, aki a befogadóbb szerepkörrel is rendelkezik. Egy kórházban például minden egészségügyi dolgozónak jogában áll megtekinteni a betegnyilvántartást, de csak az orvosok (az orvosi szerepkör aljegye) kaphatták meg a beteg receptjeinek megadására vonatkozó jogot. Hasonlóképpen, a klértikus szerepkörhöz tartozó felhasználóktól megtagadható a betegrekordokhoz való hozzáférés, kivéve a számlázási ügyintézőket (a klértikus szerepkör aljegyzője), akik hozzáférést kaphatnak a betegnyilvántartás azon részeihez, amelyek a betegnek a kórház által nyújtott szolgáltatásokért való számlázásához szükségesek.

Az RBAC további előnye a feladatok elkülönítésének (SoD) meghatározása és kikényszerítése. Ez lehetővé teszi a szervezet számára, hogy olyan szerepkör-kombinációkat definiáljon, amelyek olyan engedélyeket adnak meg, amelyeket nem kell ugyanannak a felhasználónak birtokolnia, így egy adott felhasználó nem rendelhető hozzá olyan szerepkörökhöz, amelyek lehetővé teszik a felhasználó számára például a fizetés kezdeményezését és a fizetés engedélyezését. Az RBAC lehetővé teszi egy ilyen szabályzat automatikus kényszerítését ahelyett, hogy felhasználónként kellene kiértékelnie a szabályzat hatékony végrehajtását.

BHOLD szerepkörmodell-objektumok

A BHOLD Suite használatával szerepköröket adhat meg és rendszerezhet a szervezeten belül, leképezheti a felhasználókat szerepkörökre, és hozzárendelheti a megfelelő engedélyeket a szerepkörökhöz. Ezt a struktúrát szerepkörmodellnek nevezzük, amely öt objektumtípust tartalmaz és csatlakoztat:

  • Szervezeti egységek
  • Felhasználók
  • Szerepkörök
  • Engedélyek
  • Alkalmazások

Szervezeti egységek

A szervezeti egységek (OrgUnits) azok a fő eszközök, amelyekkel a felhasználók a BHOLD szerepkörmodellben vannak rendszerezve. Minden felhasználónak legalább egy OrgUnit-felhasználóhoz kell tartoznia. (Valójában, ha egy felhasználót eltávolítanak a BHOLD utolsó szervezeti egységéből, a felhasználó adatrekordja törlődik a BHOLD-adatbázisból.)

Fontos

A BHOLD-szerepkörmodell szervezeti egységeit nem szabad összekeverni a Active Directory tartományi szolgáltatások (AD DS) szervezeti egységeivel. A BHOLD szervezeti egységstruktúra általában a vállalat szervezetén és szabályzatán alapul, nem pedig a hálózati infrastruktúra követelményein.

Bár ez nem kötelező, a legtöbb esetben a szervezeti egységek a BHOLD-ban vannak strukturálva, hogy a tényleges szervezet hierarchikus struktúráját jelölik, az alábbihoz hasonlóan:

szervezeti mintadiagram

Ebben a példában a szerepkörmodell a vállalat egészének szervezetiganizati egysége lenne (amelyet az elnök képvisel, mert az elnök nem része egy mororganizationalganizatinal egységnek), vagy a BHOLD gyökér szervezeti egység (amely mindig létezik) erre a célra használható. Az alelnökök által vezetett vállalati részlegeket képviselő OrgUnits a vállalati szervezeti egységbe kerül. Ezután a marketing- és értékesítési igazgatóknak megfelelő szervezeti egységek kerülnek a marketing- és értékesítési szervezeti egységekbe, a regionális értékesítési vezetőket képviselő szervezeti egységek pedig a keleti régió értékesítési vezetőjének szervezeti egységébe. Azok az értékesítési munkatársak, akik nem kezelnek más felhasználókat, a keleti régió értékesítési vezetője szervezeti egységének tagjaivá válnának. Vegye figyelembe, hogy a felhasználók bármilyen szinten tagjai lehetnek egy szervezeti egységnek. Például egy adminisztratív segéd, aki nem vezető, és közvetlenül egy alelnöknek jelent, az alelnök szervezeti egységének tagja lenne.

A szervezeti struktúra ábrázolása mellett a szervezeti egységek a felhasználók és más szervezeti egységek funkcionális feltételek, például projektek vagy specializációk szerinti csoportosítására is használhatók. Az alábbi ábra azt mutatja be, hogy a szervezeti egységek hogyan csoportosítják az értékesítési munkatársakat az ügyfél típusa szerint:

projektszervezési minta

Ebben a példában minden értékesítési munkatárs két szervezeti egységhez tartozna: az egyik a munkatárs helyét jelöli a szervezet felügyeleti struktúrájában, a másik pedig a társ ügyfélkörét (kiskereskedelmi vagy vállalati). Minden szervezeti egységhez különböző szerepkörök rendelhetők, amelyek viszont különböző engedélyeket rendelhetnek a szervezet informatikai erőforrásaihoz való hozzáféréshez. Emellett a szerepkörök öröklődhetnek a szülő szervezeti egységektől, így egyszerűbbé teszi a szerepkörök felhasználók számára történő propagálásának folyamatát. Ugyanakkor bizonyos szerepkörök nem öröklődhetnek, biztosítva, hogy egy adott szerepkör csak a megfelelő szervezeti egységekhez legyen társítva.

Az OrgUnits a BHOLD Core webes portál használatával hozható létre a BHOLD Suite-ban.

Felhasználók

Ahogy fentebb említettük, minden felhasználónak legalább egy szervezeti egységhez (OrgUnit) kell tartoznia. Mivel a szervezeti egységek a felhasználók szerepkörökhöz való társításának fő mechanizmusai, a szervezetek többségében egy adott felhasználó több OrgUnitshoz tartozik, hogy megkönnyítse a szerepkörök társítását az adott felhasználóhoz. Bizonyos esetekben azonban szükség lehet egy szerepkör társítására egy felhasználóval, kivéve azokat az OrgUnits-csoportokat, amelyekhez a felhasználó tartozik. Következésképpen a felhasználó közvetlenül hozzárendelhető egy szerepkörhöz, valamint beszerezhető a szerepkörök attól az OrgUnitstól, amelyhez a felhasználó tartozik.

Ha egy felhasználó nem aktív a szervezeten belül (például orvosi szabadság esetén), a felhasználó felfüggeszthető, ami a felhasználó összes engedélyét visszavonja anélkül, hogy eltávolítaná a felhasználót a szerepkörmodellből. A szolgálatba való visszatéréskor a felhasználó újraaktiválható, amely visszaállítja a felhasználó szerepkörei által megadott összes engedélyt.

A felhasználók számára készült objektumok a BHOLD Core webportálon, vagy a Hozzáférés-kezelési összekötő és a FIM Szinkronizálási szolgáltatás használatával hozhatók létre a felhasználói adatok importálásához olyan forrásokból, mint a Active Directory tartományi szolgáltatások vagy az emberi erőforrások alkalmazásai.

A felhasználók közvetlenül a BHOLD-ban hozhatók létre a FIM szinkronizálási szolgáltatás használata nélkül. Ez akkor lehet hasznos, ha egy üzem előtti vagy tesztkörnyezetben modellezheti a szerepköröket. Azt is engedélyezheti, hogy a külső felhasználók (például egy alvállalkozó alkalmazottai) szerepköröket rendeljenek hozzá, és így hozzáférést kapjanak az informatikai erőforrásokhoz anélkül, hogy hozzá kellene adni őket az alkalmazotti adatbázishoz; ezek a felhasználók azonban nem fogják tudni használni a BHOLD önkiszolgáló funkcióit.

Szerepkörök

Ahogy korábban említettük, a szerepköralapú hozzáférés-vezérlési (RBAC) modellben az engedélyek nem az egyes felhasználókhoz, hanem a szerepkörökhöz vannak társítva. Ez lehetővé teszi, hogy minden felhasználónak megadja a felhasználó feladatainak elvégzéséhez szükséges engedélyeket a felhasználói szerepkörök módosításával ahelyett, hogy külön-külön adná meg vagy tagadná meg a felhasználói engedélyeket. Ennek következtében az engedélyek hozzárendeléséhez már nincs szükség az informatikai részleg részvételére, hanem az üzletvezetés részeként végezhető el. A szerepkörök összesíthetik a különböző rendszerekhez való hozzáféréshez szükséges engedélyeket akár közvetlenül, akár alregiszterek használatával, így tovább csökkentve az informatikai részvétel szükségességét a felhasználói engedélyek kezelésében.

Fontos megjegyezni, hogy a szerepkörök maga az RBAC-modell egyik funkciója; A szerepkörök általában nem a célalkalmazások számára vannak kiépítve. Ez lehetővé teszi, hogy az RBAC olyan meglévő alkalmazások mellett is használható legyen, amelyek nem szerepkörök használatára vagy a szerepkör-definíciók módosítására lettek tervezve, kielégítik az üzleti modellek módosításának igényeit anélkül, hogy maguknak az alkalmazásoknak kellene módosítaniuk őket. Ha egy célalkalmazás szerepkörök használatára van tervezve, akkor a BHOLD-szerepkörmodellben hozzárendelhet szerepköröket a megfelelő alkalmazás-szerepkörökhöz, ha az alkalmazásspecifikus szerepköröket engedélyekként kezeli.

A BHOLD-ban egy szerepkört elsősorban két mechanizmussal rendelhet hozzá egy felhasználóhoz:

  • Szerepkör hozzárendelésével egy szervezeti egységhez (szervezeti egységhez), amelynek a felhasználó tagja
  • Szerepkör közvetlen hozzárendelése egy felhasználóhoz

A szülő szervezeti egységhez hozzárendelt szerepkörök opcionálisan öröklődhetnek tag szervezeti egységeitől. Ha egy szerepkört egy szervezeti egység rendel hozzá vagy örököl, akkor azt hatékony vagy javasolt szerepkörként jelölheti meg. Ha ez egy hatékony szerepkör, a szervezeti egység összes felhasználója hozzá lesz rendelve a szerepkörhöz. Ha ez egy javasolt szerepkör, minden felhasználó vagy tag szervezeti egység számára aktiválni kell, hogy az adott felhasználó vagy szervezeti egység tagjai számára érvénybe lépjen. Ez lehetővé teszi a felhasználók számára a szervezeti egységhez társított szerepkörök egy részhalmazának hozzárendelését ahelyett, hogy a szervezeti egység összes szerepkörét automatikusan hozzárendeli az összes taghoz. Emellett a szerepkörök kezdési és befejezési dátumokat is megadhatnak, a korlátok pedig a felhasználók százalékos arányára helyezhetők egy szervezeti egységen belül, ahol a szerepkör érvényes lehet.

Az alábbi ábra azt szemlélteti, hogyan rendelhet hozzá szerepkört egy adott felhasználó a BHOLD-ban:

szerepkör-hozzárendelés

Ebben a diagramban az "A" szerepkör örökölhető szerepkörként van hozzárendelve egy szervezeti egységhez, és így a tag szervezeti egységek és a szervezeti egységeken belüli összes felhasználó örökli. A B szerepkör egy szervezeti egység javasolt szerepköreként van hozzárendelve. Aktiválni kell, mielőtt a szervezeti egység egy felhasználója engedélyezhető lenne a szerepkör engedélyeivel. A C szerepkör hatékony szerepkör, ezért az engedélyei azonnal érvényesek a szervezeti egység összes felhasználójára. A D szerepkör közvetlenül a felhasználóhoz van kapcsolva, így az engedélyei azonnal vonatkoznak az adott felhasználóra.

Emellett a szerepkör a felhasználó attribútumai alapján is aktiválható. További információ: Attribútumalapú engedélyezés.

Engedélyek

A BHOLD-engedélyek egy célalkalmazásból importált engedélynek felelnek meg. Ez azt jelzi, hogy ha a BHOLD úgy van konfigurálva, hogy működjön egy alkalmazással, megkapja azoknak az engedélyeknek a listáját, amelyeket a BHOLD a szerepkörökhöz csatolhat. Ha például Active Directory tartományi szolgáltatások (AD DS) alkalmazásként van hozzáadva a BHOLD-hoz, megkapja azoknak a biztonsági csoportoknak a listáját, amelyek BHOLD-engedélyként csatolhatók a BHOLD szerepköreihez.

Az engedélyek az alkalmazásokra vonatkoznak. A BHOLD az engedélyek egyetlen egységes nézetét biztosítja, így az engedélyek anélkül társíthatók a szerepkörökhöz, hogy a szerepkörkezelőknek ismerniük kellene az engedélyek implementálási részleteit. A gyakorlatban előfordulhat, hogy a különböző rendszerek másképpen kényszerítik ki az engedélyeket. A FIM-szinkronizálási szolgáltatás alkalmazásspecifikus összekötője határozza meg, hogy a felhasználó milyen engedélymódosításokat kap az adott alkalmazáshoz.

Alkalmazások

A BHOLD egy módszert implementál a szerepköralapú hozzáférés-vezérlés (RBAC) külső alkalmazásokra való alkalmazásához. Vagyis amikor a BHOLD ki van építve a felhasználókkal és az alkalmazás engedélyeivel, a BHOLD társíthatja ezeket az engedélyeket a felhasználókkal, ha szerepköröket rendel a felhasználókhoz, majd összekapcsolja az engedélyeket a szerepkörökkel. Az alkalmazás háttérfolyamata ezután megfeleltetheti a megfelelő engedélyeket a felhasználóinak a BHOLD szerepkör-/engedélyleképezése alapján.

A BHOLD Suite szerepkörmodell fejlesztése

A szerepkörmodell fejlesztéséhez a BHOLD Suite biztosítja a Modellgenerátor eszközt, amely könnyen használható és átfogó.

A Modellgenerátor használata előtt létre kell hoznia egy fájlsorozatot, amely meghatározza a Modellgenerátor által a szerepkörmodell létrehozásához használt objektumokat. A fájlok létrehozásáról további információt a Microsoft BHOLD Suite technical reference (A Microsoft BHOLD Suite technikai útmutatója) című témakörben talál.

A BHOLD modellgenerátor használatának első lépése ezeknek a fájloknak a importálása, hogy betöltse az alapvető építőelemeket a Modellgenerátorba. A fájlok sikeres betöltése után megadhatja azokat a feltételeket, amelyeket a Modellgenerátor több szerepkörosztály létrehozásához használ:

  • A felhasználóhoz hozzárendelt tagsági szerepkörök azon OrgUnits (szervezeti egységek) alapján, amelyhez a felhasználó tartozik
  • A felhasználóhoz a BHOLD-adatbázisban lévő felhasználó attribútumai alapján hozzárendelt attribútumszerepkörök
  • Olyan javasolt szerepkörök, amelyek egy szervezeti egységhez kapcsolódnak, de adott felhasználók esetében aktiválva kell lenniük
  • Tulajdonosi szerepkörök, amelyek hozzáférést biztosítanak a felhasználónak az importált fájlokban nem szereplő szervezeti egységek és szerepkörök felett

Fontos

Fájlok feltöltésekor jelölje be a Meglévő modell megőrzése jelölőnégyzetet csak tesztkörnyezetekben. Éles környezetben a modellgenerátort kell használnia a kezdeti szerepkörmodell létrehozásához. Nem használhatja a BHOLD-adatbázisban meglévő szerepkörmodell módosítására.

Miután a Modellgenerátor létrehozta ezeket a szerepköröket a szerepkörmodellben, xml-fájl formájában exportálhatja a szerepkörmodellt a BHOLD-adatbázisba.

Speciális BHOLD-funkciók

A korábbi szakaszok a szerepköralapú hozzáférés-vezérlés (RBAC) alapvető funkcióit ismertetik a BHOLD-ban. Ez a szakasz a BHOLD további funkcióit ismerteti, amelyek fokozott biztonságot és rugalmasságot biztosítanak a szervezet RBAC-implementációjához. Ez a szakasz a következő BHOLD-funkciók áttekintését tartalmazza:

  • Számosság
  • A feladatok elkülönítése
  • Környezethez igazítható engedélyek
  • Attribútumalapú engedélyezés
  • Rugalmas attribútumtípusok

Számosság

A számosság olyan üzleti szabályok megvalósítására utal, amelyek célja, hogy korlátozzák a két entitás egymáshoz való kapcsolásának számát. A BHOLD esetében számossági szabályok hozhatók létre a szerepkörökre, engedélyekre és felhasználókra vonatkozóan.

A szerepkörök a következők korlátozására konfigurálhatók:

  • Azon felhasználók maximális száma, amelyeknél a javasolt szerepkör aktiválható
  • A szerepkörhöz csatolható alrolok maximális száma
  • A szerepkörhöz csatolható engedélyek maximális száma

A következők korlátozására konfigurálhat engedélyeket:

  • Az engedélyhez csatolható szerepkörök maximális száma
  • Az engedélyhez adható felhasználók maximális száma

Konfigurálhat egy felhasználót a következők korlátozására:

  • A felhasználóhoz csatolható szerepkörök maximális száma
  • A felhasználóhoz szerepkör-hozzárendeléssel hozzárendelhető engedélyek maximális száma

A feladatok elkülönítése

A feladatok elkülönítése (SoD) egy üzleti alapelv, amely arra törekszik, hogy megakadályozza az egyéneket abban, hogy olyan műveleteket hajtsanak végre, amelyek nem lehetnek elérhetők egyetlen személy számára. Az alkalmazottnak például nem szabad tudnia kifizetést kérni, és engedélyezni a kifizetést. A SoD elve lehetővé teszi a szervezetek számára, hogy ellenőrző- és egyenlegrendszert vezessenek be, hogy minimálisra csökkentsék az alkalmazottak hibájából vagy kötelességszegéséből eredő kockázatnak való kitettségüket.

A BHOLD megvalósítja a SoD-t azáltal, hogy lehetővé teszi az inkompatibilis engedélyek meghatározását. Ha ezek az engedélyek meg vannak határozva, a BHOLD kényszeríti az SoD-t azáltal, hogy megakadályozza az inkompatibilis engedélyekhez csatolt szerepkörök létrehozását, akár közvetlenül, akár örökléssel vannak összekapcsolva, valamint megakadályozza, hogy a felhasználók több olyan szerepkört rendeljenek hozzá, amelyek együttes használata esetén nem kompatibilis engedélyeket adnának meg újra közvetlen hozzárendeléssel vagy örökléssel. Az ütközések felül is bírálhatók.

Környezethez igazítható engedélyek

Az objektumattribútumok alapján automatikusan módosítható engedélyek létrehozásával csökkentheti a kezelni kívánt engedélyek teljes számát. A környezethez igazítható engedélyek (CAP-k) lehetővé teszik egy képlet engedélyattribútumként való meghatározását, amely módosítja, hogyan alkalmazza az engedélyt az engedélyhez társított alkalmazás. Létrehozhat például egy képletet, amely módosítja a hozzáférési engedélyt egy fájlmappára (a mappa hozzáférés-vezérlési listájához társított biztonsági csoporton keresztül), attól függően, hogy egy felhasználó egy teljes munkaidős vagy szerződéses alkalmazottakat tartalmazó szervezeti egységhez (szervezeti egységhez) tartozik-e. Ha a felhasználót áthelyezik az egyik szervezeti egységből a másikba, a rendszer automatikusan alkalmazza az új engedélyt, és a régi engedélyt inaktiválja.

A CAP-képlet lekérdezheti az alkalmazásokra, engedélyekre, szervezeti egységekre és felhasználókra alkalmazott attribútumok értékeit.

Attribútumalapú engedélyezés

Az egyik módszer annak szabályozására, hogy egy szervezeti egységhez (szervezeti egységhez) kapcsolt szerepkör aktiválva van-e egy adott felhasználó számára a szervezeti egységben, az attribútumalapú engedélyezés (ABA) használata. Az ABA használatával csak akkor aktiválhat automatikusan egy szerepkört, ha a felhasználó attribútumai alapján bizonyos szabályok teljesülnek. Például csatolhat egy szerepkört egy olyan szervezeti egységhez, amely csak akkor válik aktívvá egy felhasználónál, ha a felhasználó beosztása megegyezik az ABA-szabályban szereplő beosztással. Ez szükségtelenné teszi, hogy manuálisan aktiváljon egy javasolt szerepkört egy felhasználó számára. Ehelyett egy szerepkör aktiválható a szervezeti egység összes olyan felhasználója számára, aki olyan attribútumértékekkel rendelkezik, amely megfelel a szerepkör ABA-szabályának. A szabályok kombinálhatók, így a szerepkör csak akkor aktiválódik, ha egy felhasználó attribútumai megfelelnek a szerepkörhöz megadott összes ABA-szabálynak.

Fontos megjegyezni, hogy az ABA-szabálytesztek eredményeit számossági beállítások korlátozzák. Ha például egy szabály számosságbeállítása azt határozza meg, hogy legfeljebb két felhasználó rendelhető hozzá szerepkörhöz, és ha egy ABA-szabály egyébként négy felhasználó számára aktiválna egy szerepkört, akkor a szerepkör csak az ABA-teszten áteső első két felhasználó esetében lesz aktiválva.

Rugalmas attribútumtípusok

A BHOLD attribútumrendszere rendkívül bővíthető. Új attribútumtípusokat definiálhat az ilyen objektumokhoz, például felhasználókhoz, szervezeti egységekhez (szervezeti egységekhez) és szerepkörökhöz. Az attribútumok úgy határozhatók meg, hogy egész számokat, logikai (igen/nem), alfanumerikus, dátum-, idő- és e-mail-címeket tartalmazó értékekkel rendelkezzenek. Az attribútumok megadhatóak egyetlen értékként vagy értéklistaként.

Igazolás

A BHOLD Suite olyan eszközöket biztosít, amelyekkel ellenőrizheti, hogy az egyes felhasználók megfelelő engedélyekkel rendelkeztek-e az üzleti feladataik elvégzéséhez. A rendszergazda a BHOLD Igazolás modul által biztosított portált használhatja az igazolási folyamat megtervezéséhez és kezeléséhez.

Az igazolási folyamat olyan kampányokon keresztül történik, amelyekben a kampánygondnokok lehetőséget és eszközöket kapnak annak ellenőrzésére, hogy a felelős felhasználók megfelelő hozzáféréssel rendelkeznek-e a BHOLD által felügyelt alkalmazásokhoz, és megfelelő engedélyekkel rendelkeznek-e az adott alkalmazásokon belül. A kampány felügyeletére és a kampány megfelelő végrehajtásának biztosítására kijelölt kampánytulajdonos. Egy kampány egyszer vagy ismétlődően is létrehozható.

A kampány intézője általában egy olyan vezető lesz, aki egy vagy több szervezeti egységhez tartozó felhasználók hozzáférési jogosultságait igazolja, amelyekért a vezető felel. A gondnokok automatikusan kiválaszthatók a kampányban tanúsító felhasználók számára a felhasználói attribútumok alapján, vagy a kampány intézői úgy határozhatók meg, hogy egy olyan fájlban listázzák őket, amely a kampányban igazolt összes felhasználót egy gondnoknak képezi le.

A kampány kezdetekor a BHOLD e-mailben értesítő üzenetet küld a kampánygondnokoknak és a tulajdonosnak, majd rendszeres emlékeztetőket küld a kampány előrehaladásának fenntartásához. A rendszer átirányítja a gondnokokat egy kampányportálra, ahol megtekinthetik azoknak a felhasználóknak a listáját, akikért felelősek, valamint azoknak a szerepköröknek a listáját, amelyek ezekhez a felhasználókhoz vannak rendelve. A gondnokok ezután ellenőrizhetik, hogy felelősek-e a felsorolt felhasználókért, és jóváhagyhatják vagy megtagadhatják a felsorolt felhasználók hozzáférési jogosultságait.

A kampánytulajdonosok a portált is használják a kampány előrehaladásának figyelésére, és a kampánytevékenységek naplózásával a kampánytulajdonosok elemezhetik a kampány során végrehajtott műveleteket.

Jelentéskészítés

A BHOLD Reporting modul számos jelentésen keresztül lehetővé teszi a szerepkörmodellben lévő információk megtekintését. A BHOLD Reporting modul számos beépített jelentést tartalmaz, valamint tartalmaz egy varázslót, amellyel alapszintű és speciális egyéni jelentéseket is létrehozhat. Jelentés futtatásakor azonnal megjelenítheti az eredményeket, vagy mentheti az eredményeket egy Microsoft Excel-fájlba (.xlsx). A fájl Microsoft Excel 2000, Microsoft Excel 2002 vagy Microsoft Excel 2003 használatával való megtekintéséhez letöltheti és telepítheti a Microsoft Office kompatibilitási csomagot Word, Excel és PowerPoint fájlformátumokhoz.

A BHOLD Reporting modult elsősorban az aktuális szerepköradatokon alapuló jelentések készítésére használja. Az identitásadatok változásainak naplózására szolgáló jelentések létrehozásához a Forefront Identity Manager 2010 R2 jelentéskészítési képességgel rendelkezik az System Center Service Manager Data Warehouse implementált FIM-szolgáltatáshoz. A FIM-jelentéskészítésről a Forefront Identity Manager 2010 és a Forefront Identity Manager 2010 R2 dokumentációjában talál további információt a Forefront Identity Management Technical Libraryben.

A beépített jelentések által lefedett kategóriák a következők:

  • Felügyelet
  • Igazolás
  • Vezérlők
  • Befelé Access Control
  • Naplózás
  • Modellezés
  • Statisztika
  • Munkafolyamat

Létrehozhat jelentéseket, és hozzáadhatja őket ezekhez a kategóriákhoz, vagy saját kategóriákat is megadhat, amelyekben egyéni és beépített jelentéseket helyezhet el.

A jelentés készítése során a varázsló végigvezeti a következő paraméterek megadásán:

  • Információk azonosítása, beleértve a nevet, a leírást, a kategóriát, a használatot és a célközönséget
  • A jelentésben megjelenítendő mezők
  • Az elemezni kívánt elemeket meghatározó lekérdezések
  • A sorok rendezésének sorrendje
  • A jelentés szakaszokra bontásához használt mezők
  • Szűrők a jelentésben visszaadott elemek finomításához

A varázsló minden szakaszában megtekintheti a jelentést az eddig definiált módon, és mentheti, ha nem kell további paramétereket megadnia. A varázslóban korábban megadott paraméterek módosításához is visszatérhet az előző lépésekhez.

Hozzáférés-kezelési összekötő

A BHOLD Suite Hozzáférés-kezelési összekötő modul támogatja az adatok kezdeti és folyamatos szinkronizálását a BHOLD-ba. Az Access Management Connector együttműködik a FIM szinkronizálási szolgáltatással, hogy adatokat helyezzen át a BHOLD Core-adatbázis, a MIM-metaverzum, valamint a célalkalmazások és identitástárolók között.

A BHOLD korábbi verziói több MA-t igényelnek a MIM és a köztes BHOLD adatbázistáblák közötti adatfolyam szabályozásához. A BHOLD Suite SP1-ben az Access Management Connector lehetővé teszi olyan felügyeleti ügynökök (MA-k) meghatározását a MIM-ben, amelyek közvetlenül a BHOLD és a MIM közötti adatátvitelt biztosítják.

Következő lépések