Administration des utilisateurs, des groupes et des droits d’accès user-group-and-access-rights-administration
Plusieurs thèmes sont associés à l’activation de l’accès à un référentiel CRX :
-
Droits d’accès : concepts se rapportant à leur définition et à leur évaluation
-
Administration des utilisateurs - gestion des comptes individuels utilisés pour l’accès
-
Administration des groupes : simplifiez la gestion des utilisateurs en formant des groupes
-
Gestion des droits d’accès : définition des stratégies qui contrôlent comment ces utilisateurs et ces groupes peuvent accéder à des ressources
Les éléments de base sont les suivants :
Comptes d’utilisateur CRX authentifie l’accès en identifiant et en vérifiant un utilisateur (par l’intermédiaire de cette personne ou d’une autre application) en fonction des détails contenus dans le compte d’utilisateur.
Dans CRX, chaque compte utilisateur est un nœud dans l’espace de travail. Un compte utilisateur CRX possède les propriétés suivantes :
-
Il représente un utilisateur de CRX.
-
Il contient un nom d’utilisateur et un mot de passe.
-
S’applique à cet espace de travail.
-
Il ne peut pas avoir de sous-utilisateurs. Pour les droits d’accès hiérarchiques, vous devez utiliser les groupes.
-
Vous pouvez spécifier des droits d’accès pour le compte d’utilisateur.
En revanche, pour simplifier la gestion, il est recommandé (dans la plupart des cas) d’affecter des droits d’accès aux comptes de groupe. L’affectation de droits d’accès à chaque personne devient très rapidement difficile à gérer (à l’exception de certains utilisateurs ou utilisatrices système lorsqu’il n’y a qu’une ou deux instances).
Comptes de groupe Les comptes de groupe sont des ensembles d’utilisateurs et/ou d’autres groupes. Ils sont utilisés pour simplifier la gestion, car toute modification des droits d’accès affectés à un groupe est appliquée automatiquement à tous les utilisateurs de ce groupe. Un utilisateur ne doit appartenir à aucun groupe, mais appartient souvent à plusieurs.
Dans CRX, un groupe possède les propriétés suivantes :
-
Il représente un groupe d’utilisateurs avec des droits d’accès communs. Par exemple, les auteurs ou les développeurs.
-
S’applique à cet espace de travail.
-
Il peut y avoir des membres; il peut s’agir d’utilisateurs individuels ou d’autres groupes.
-
Il est possible de hiérarchiser les groupes grâce aux relations des membres. Vous ne pouvez pas placer un groupe directement sous un autre groupe dans le référentiel.
-
Vous pouvez définir les droits d'accès pour tous les membres du groupe.
Droits d’accès CRX utilise des droits d’accès pour contrôler l’accès à des zones spécifiques du référentiel.
Cette opération est effectuée en affectant des autorisations pour autoriser ou refuser l’accès à une ressource (nœud ou chemin d’accès) dans le référentiel. Lorsque différentes autorisations peuvent être affectées, les droits d’accès doivent être évalués afin de déterminer la combinaison qui s’applique à la demande actuelle.
CRX permet de configurer les droits d’accès pour des comptes utilisateur et des comptes de groupe. Les mêmes principes de base de l'évaluation sont alors appliqués aux deux.
Évaluation des droits d’accès how-access-rights-are-evaluated
Sujets et entités subjects-and-principals
CRX utilise deux concepts clés lors de l’évaluation des droits d’accès :
-
Un principal de sécurité est une entité qui transfère des droits d’accès. Les entités incluent :
-
Un compte d’utilisateur.
-
Un compte de groupe
Si un compte utilisateur appartient à un ou à plusieurs groupes, il est également associé à chacun de ces principaux du groupe.
-
-
Un sujet est utilisé pour représenter la source de la demande.
Il est utilisé pour centraliser les droits d’accès applicables pour cette demande. Ceux-ci proviennent de :
-
le principal de sécurité de l’utilisateur ;
Les droits affectés directement au compte utilisateur
-
tous les principaux de sécurité des groupes associés à cet utilisateur.
Tous les droits affectés aux groupes auxquels appartient l’utilisateur
Le résultat est ensuite utilisé pour autoriser ou refuser l’accès à la ressource demandée.
-
Compilation de la liste des droits d’accès pour un objet compiling-the-list-of-access-rights-for-a-subject
Dans CRX, le sujet dépend de :
- l’entité utilisateur
- toutes les entités de groupe associées à cet utilisateur ;
La liste des droits d'accès applicables au sujet est construite à partir :
- des droits affectés directement au compte utilisateur ;
- et de tous les droits affectés aux groupes auxquels appartient l’utilisateur.
- CRX ne prend en compte aucune hiérarchie d’utilisateurs lors de la compilation de la liste.
- CRX n’utilise une hiérarchie des groupes que lorsque vous incluez un groupe comme membre d’un autre groupe. Il n’existe pas d’héritage automatique des autorisations de groupe.
- L'ordre dans lequel vous définissez les groupes n'a aucune incidence sur les droits d'accès.
Résolution des droits de demande et d’accès resolving-request-and-access-rights
Lorsque CRX gère la demande, il compare la demande d’accès du sujet à la liste de contrôle d’accès sur le noeud du référentiel :
Ainsi, si Linda demande de mettre à jour le nœud /features
dans la structure de référentiel suivante :
Ordre de priorité order-of-precedence
Les droits d’accès dans CRX sont évalués comme suit :
-
Les entités d’utilisateur ont toujours la priorité sur les entités de groupe, indépendamment des éléments suivants :
- leur ordre dans la liste de contrôle d’accès ;
- leur position dans la hiérarchie des noeuds.
-
Pour un principal donné, il existe (au plus) 1 entrée de refus et 1 entrée d’autorisation sur un nœud donné. La mise en œuvre efface toujours les entrées redondantes et s’assure que les mêmes autorisations ne figurent pas à la fois dans les entrées d’autorisation et de refus.
En prenant deux exemples dans lesquels l’utilisateur aUser
est membre du aGroup
:
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ grandChildNode
Dans le cas ci-dessus :
aUser
ne dispose pas d’une autorisation en écriture surgrandChildNode
.
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ ace: aUser - deny - write
+ grandChildNode
Dans ce cas :
-
aUser
ne dispose pas d’une autorisation en écriture surgrandChildNode
. -
La deuxième entrée de contrôle d’accès pour
aUser
est redondante.
Les droits d’accès provenant de plusieurs entités de groupe sont évalués en fonction de leur ordre, à la fois dans la hiérarchie et dans une seule liste de contrôle d’accès.
Bonnes pratiques best-practices
Le tableau ci-dessous contient des recommandations et bonnes pratiques :
Administration des utilisateurs user-administration
Une boîte de dialogue standard est utilisée pour l’administration des utilisateurs.
Vous devez être connecté à l’espace de travail approprié, puis vous pouvez accéder à la boîte de dialogue à partir des deux éléments suivants :
- la valeur Administration des utilisateurs lien sur la console principale de CRX
- la valeur Sécurité du menu de l’Explorateur CRX
Propriétés.
-
UserID
Nom court du compte, utilisé lors de l’accès à CRX. -
Principal Name
Nom textuel complet du compte. -
Mot de passe
Nécessaire lors de l’accès à CRX avec ce compte. -
ntlmhash
Attribué automatiquement pour chaque nouveau compte et mis à jour lorsque le mot de passe est modifié. -
Vous pouvez ajouter de nouvelles propriétés en définissant un nom, un type et une valeur. Cliquez sur Enregistrer (symbole de coche verte) pour chaque nouvelle propriété.
Appartenance à un groupe Cela affiche tous les groupes auxquels le compte appartient. La colonne Hérité indique l’appartenance héritée en raison de l’appartenance à un autre groupe.
Si vous cliquez sur un ID de groupe (le cas échéant), l’Administration des groupes s’affiche pour ce groupe.
Emprunteurs d’identité La fonction Emprunter l’identité permet à un utilisateur ou une utilisatrice de travailler sous le nom d’un(e) autre.
Cela signifie qu’un compte utilisateur peut spécifier d’autres comptes (utilisateur ou groupe) compatibles avec son compte. En d’autres termes, si l’utilisateur B est autorisé à emprunter l’identité de l’utilisateur A, l’utilisateur B peut agir à l’aide des détails du compte utilisateur (dont l’ID, le nom et les droits d’accès) de l’utilisateur A.
Cela permet aux comptes d’emprunteur d’identité d’effectuer des tâches comme s’ils utilisaient le compte qu’ils empruntaient ; par exemple, lors d’une absence ou pour partager une charge excessive à court terme.
Si un compte emprunte l’identité d’un autre compte, il est très difficile de s’en rendre compte. Les fichiers journaux ne contiennent pas d’informations sur le fait que l’emprunt de l’identité s’est produit lors des événements. Ainsi, si l’utilisateur B emprunte l’identité de l’utilisateur A, tous les événements sembleront avoir été effectués par l’utilisateur A personnellement.
Création d’un compte d’utilisateur creating-a-user-account
-
Ouvrez le Administration des utilisateurs boîte de dialogue.
-
Cliquez sur Créer un utilisateur.
-
Vous pouvez ensuite saisir les Propriétés :
- UserID utilisé comme nom de compte
- Password nécessaire lors de la connexion
- Principal Name pour fournir un nom textuel entier
- Intermediate Path qui peut être utilisé pour former une arborescence
-
Cliquez sur Enregistrer (symbole de coche verte).
-
La boîte de dialogue sera développée afin que vous puissiez :
- Configurer Propriétés.
- afficher l’appartenance à un groupe ;
- Définir Emprunteurs d’identité.
- d’utilisateurs ;
- groupes comportant de nombreux membres
Mise à jour d’un compte d’utilisateur updating-a-user-account
-
Avec la boîte de dialogue Administration des utilisateurs, ouvrez la vue Liste de tous les comptes.
-
Parcourez l’arborescence.
-
Cliquez sur le compte requis pour l’ouvrir et le modifier.
-
Effectuez une modification, puis cliquez sur Enregistrer (symbole de coche verte) pour cette entrée.
-
Cliquez sur Fermer à la fin, ou Liste… pour revenir à la liste de tous les comptes d’utilisateurs.
Suppression d’un compte d’utilisateur removing-a-user-account
-
Avec la boîte de dialogue Administration des utilisateurs, ouvrez la vue Liste de tous les comptes.
-
Parcourez l’arborescence.
-
Sélectionnez le compte requis et cliquez sur Supprimer un utilisateur; le compte sera immédiatement supprimé.
Définition des propriétés defining-properties
Vous pouvez définir Propriétés pour les comptes nouveaux ou existants :
- Ouvrez le Administration des utilisateurs pour le compte approprié.
- Définition d’une Propriété nom.
- Sélectionnez la Type dans la liste déroulante.
- Définissez la variable Valeur.
- Cliquez sur Enregistrer (symbole de clic vert) pour la nouvelle propriété.
Les propriétés existantes peuvent être supprimées avec le symbole de la corbeille.
A l'exception du mot de passe, les propriétés ne peuvent pas être modifiées, elles doivent être supprimées et recréées.
Modification du mot de passe changing-the-password
Le Mot de passe est une propriété spéciale qui peut être modifiée en cliquant sur la propriété Modifier le mot de passe lien.
Vous pouvez également modifier le mot de passe de votre propre compte utilisateur à partir du Sécurité dans l’Explorateur CRX.
Définition d’un personnage defining-an-impersonator
Vous pouvez définir des personnalisateurs pour les comptes nouveaux ou existants :
-
Ouvrez le Administration des utilisateurs pour le compte approprié.
-
Indiquez le compte à emprunter pour emprunter l’identité de ce compte.
Vous pouvez utiliser Parcourir… pour sélectionner un compte existant.
-
Cliquez sur Enregistrer (symbole de coche verte) pour la nouvelle propriété.
Administration des groupes group-administration
Une boîte de dialogue standard est utilisée pour Administration des groupes.
Vous devez être connecté à l’espace de travail approprié, puis vous pouvez accéder à la boîte de dialogue à partir des deux éléments suivants :
- la valeur Administration des groupes lien sur la console principale de CRX
- la valeur Sécurité du menu de l’Explorateur CRX
Propriétés.
-
GroupID
Nom court du compte de groupe. -
Principal Name
Nom textuel complet du compte de groupe. -
Vous pouvez ajouter de nouvelles propriétés en définissant un nom, un type et une valeur. Cliquez sur Enregistrer (symbole de coche verte) pour chaque nouvelle propriété.
-
Membres
Vous pouvez ajouter des utilisateurs ou d’autres groupes en tant que membres de ce groupe.
Appartenance à un groupe Cela affiche tous les groupes auxquels appartient le compte de groupe actuel. La colonne Hérité indique l’appartenance héritée en raison de l’appartenance à un autre groupe.
Si vous cliquez sur un ID de groupe, la boîte de dialogue pour ce groupe s’affiche.
Membres Répertorie tous les comptes (utilisateurs et/ou groupes) qui sont membres du groupe actuel.
Le Hérité indique l’appartenance héritée suite à l’appartenance à un autre groupe.
mac-default-<foldername>
pour chaque dossier sur lequel les rôles sont définis.Création d’un compte de groupe creating-a-group-account
-
Ouvrez le Administration des groupes boîte de dialogue.
-
Cliquez sur Créer un groupe.
-
Vous pouvez ensuite saisir les Propriétés :
- Principal Name pour fournir un nom textuel entier
- Intermediate Path qui peut être utilisé pour former une arborescence
-
Cliquez sur Enregistrer (symbole de coche verte).
-
La boîte de dialogue sera développée afin que vous puissiez :
- Configurer Propriétés.
- afficher l’appartenance à un groupe ;
- Gérer Membres.
Mise à jour d’un compte de groupe updating-a-group-account
-
Avec la boîte de dialogue Administration des groupes, ouvrez la vue Liste de tous les comptes.
-
Parcourez l’arborescence.
-
Cliquez sur le compte requis pour l’ouvrir et le modifier.
-
Effectuez une modification, puis cliquez sur Enregistrer (symbole de coche verte) pour cette entrée.
-
Cliquez sur Fermer à la fin, ou Liste… pour revenir à la liste de tous les comptes de groupe.
Suppression d’un compte de groupe removing-a-group-account
-
Avec la boîte de dialogue Administration des groupes, ouvrez la vue Liste de tous les comptes.
-
Parcourez l’arborescence.
-
Sélectionnez le compte requis et cliquez sur Supprimer le groupe; le compte sera immédiatement supprimé.
Définition des propriétés defining-properties-1
Vous pouvez définir des Propriétés pour les comptes nouveaux ou existants :
- Ouvrez le Administration des groupes pour le compte approprié.
- Définition d’une Propriété nom.
- Sélectionnez la Type dans la liste déroulante.
- Définissez la variable Valeur.
- Cliquez sur Enregistrer (symbole de coche verte) pour la nouvelle propriété.
Les propriétés existantes peuvent être supprimées avec le symbole de la corbeille.
Membres members
Vous pouvez ajouter des membres au groupe actuel :
-
Ouvrez le Administration des groupes pour le compte approprié.
-
Soit :
- Saisissez le nom du membre requis (compte utilisateur ou de groupe).
- Ou utilisez Parcourir… pour rechercher et sélectionner l’entité de sécurité (compte utilisateur ou de groupe) à ajouter.
-
Cliquez sur Enregistrer (symbole de coche verte) pour la nouvelle propriété.
Vous pouvez également supprimer un membre existant avec le symbole de la corbeille.
Gestion des droits d’accès access-right-management
Grâce à l’onglet Contrôle d’accès de CRXDE Lite, vous pouvez définir des stratégies de contrôle d’accès et affecter les autorisations associées.
Par exemple, pour Chemin d’accès actuel, sélectionnez la ressource nécessaire dans le volet de gauche, l’onglet Contrôle d’accès dans le volet inférieur droit :
Les stratégies sont classées en fonction des éléments suivants :
-
Stratégies de contrôle d’accès applicables
Ces stratégies peuvent être appliquées.Ce sont les stratégies disponibles pour créer une stratégie locale. Une fois que vous avez sélectionné et ajouté une stratégie applicable, elle devient une stratégie locale.
-
Stratégies de contrôle d’accès locales
Il s’agit des stratégies de contrôle d’accès que vous avez appliquées. Vous pouvez les mettre à jour, les trier ou les supprimer.La stratégie locale remplace toutes les stratégies héritées du parent.
-
Stratégies de contrôle d’accès actuelles
Ce sont les stratégies de contrôle d’accès désormais en vigueur pour toutes les demandes d’accès. Elles affichent les stratégies agrégées dérivées des stratégies locales et des stratégies héritées du parent.
Sélection d’une stratégie policy-selection
Les stratégies peuvent être sélectionnées pour les éléments suivants :
-
Chemin d’accès actuel
Comme dans l’exemple ci-dessus, sélectionnez une ressource dans le référentiel. Les stratégies de ce « chemin d’accès actuel » s’affichent. -
Référentiel
Sélectionne le contrôle d’accès au niveau du référentiel. Par exemple, lors de la définition de la variablejcr:namespaceManagement
, qui n’est pertinent que pour le référentiel, et non pour un noeud. -
Principal
Entité principale enregistrée dans le référentiel.Vous pouvez saisir le nom du principal de sécurité ou cliquer sur l’icône à droite du champ pour afficher la boîte de dialogue Sélectionner un principal de sécurité.
Cela permet de rechercher un utilisateur ou un groupe. Sélectionnez le principal de sécurité nécessaire dans la liste qui s’affiche, puis cliquez sur OK pour reprendre la valeur dans la zone de dialogue précédente.
Autorisations privileges
Les autorisations ci-dessous peuvent être sélectionnées lors de l’ajout d’une entrée de contrôle d’accès (pour plus d’informations, voir API de sécurité) :
Enregistrement de nouvelles autorisations registering-new-privileges
Vous pouvez également enregistrer de nouvelles autorisations :
-
Dans la barre d’outils, sélectionnez Outils, puis Autorisations pour afficher les autorisations actuellement enregistrées.
-
Utilisez l’icône Enregistrer l’autorisation (+) pour afficher la boîte de dialogue et définir une nouvelle autorisation.
-
Cliquez sur OK pour enregistrer. L’autorisation peut maintenant être sélectionnée.
Ajout d’une entrée de contrôle d’accès adding-an-access-control-entry
-
Sélectionnez votre ressource et ouvrez l’onglet Contrôle d’accès.
-
Pour ajouter une stratégie de contrôle d’accès locale, cliquez sur l’icône + à droite de la liste Stratégie de contrôle d’accès applicable :
-
Une nouvelle entrée s’affiche sous Stratégies de contrôle d’accès locales :
-
Cliquez sur l’icône + pour ajouter une nouvelle entrée :
note note NOTE Actuellement, une solution de contournement est nécessaire pour spécifier une chaîne vide. À cet effet, vous devez utiliser "". -
Définissez votre stratégie de contrôle d’accès et cliquez sur OK pour l’enregistrer. Votre nouvelle stratégie :
- est répertoriée sous Stratégies de contrôle d’accès locales ;
- comporte des modifications qui se reflètent dans les stratégies de contrôle d’accès actuelles.
CRX valide votre sélection ; pour un principal donné, il existe (au plus) 1 entrée de refus et 1 entrée d’autorisation sur un nœud donné. La mise en œuvre efface toujours les entrées redondantes et s’assure que les mêmes autorisations ne figurent pas à la fois dans les entrées d’autorisation et de refus.
Ordre des stratégies de contrôle d’accès locales ordering-local-access-control-policies
L’ordre dans la liste indique l’ordre dans lequel les stratégies sont appliquées.
-
Dans le tableau Stratégies de contrôle d’accès locales, sélectionnez l’entrée souhaitée et faites-la glisser vers la nouvelle position dans le tableau.
-
Les modifications sont affichées dans les tableaux pour les stratégies de contrôle d’accès locales et actuelles.
Suppression d’une stratégie de contrôle d’accès removing-an-access-control-policy
-
Dans le tableau Stratégies de contrôle d’accès locales, cliquez sur l’icône rouge (-) à droite de l’entrée.
-
L’entrée est supprimée dans les tableaux des stratégies de contrôle d’accès locales et actuelles.
Test d’une stratégie de contrôle d’accès testing-an-access-control-policy
-
Dans la barre d’outils de CRXDE Lite, sélectionnez Outils, puis Tester le contrôle d’accès.
-
Une nouvelle boîte de dialogue s’affiche dans le volet supérieur droit. Sélectionnez le chemin d’accès et/ou le principal de sécurité à tester.
-
Cliquez sur Test pour afficher les résultats de votre sélection :