GKA autorise BVA

Dès qu'un utilisateur a terminé avec succès le processus Access Request "Demander l'accès" et que vous êtes responsable de la gestion des accès de cette application métier, vous recevez le mail suivant dans le rôle IDM en tant que GKA.

1 Dans la boîte aux lettres (définie par application métier) se trouve le message généré par eIAM.
mail contenant les informations de demande de l'utilisateur. Copiez l'ID de l'utilisateur (exemple marqué en jaune) et cliquez sur le lien indiqué dans l'e-mail:


Remarque: Vous pouvez également autoriser des utilisateurs qui n'ont pas encore demandé d'accès. Dans ce cas, commencez directement à l'étape 2
2 L'ID utilisateur avec le mandant correspondant devrait déjà être configuré lors d'une demande d'accès par mail, pour obtenir la page de gestion des utilisateurs, appuyez sur Rechercher.
Les utilisateurs sans demande d'accès explicite par e-mail peuvent être recherchés et autorisés en introduisant l'ID de l'utilisateur ou le nom (* possible comme joker au début et à la fin).
3 Cliquez sur l'ID utilisateur
4 La page de gestion des utilisateurs qui s'affiche maintenant se compose de trois blocs:
- Données relatives à l'identité du demandeur avec informations de contact
- Informations sur les données d'authentification de l'utilisateur
- Informations sur le profil de l'utilisateur, qui contient ses rôles.

Cliquez ensuite sur le profil utilisateur tout en bas de la page

5 Vous accédez alors au cockpit des autorisations pour les rôles GKA et BVA.


Cette vue se compose de trois parties
1. Rôles IDM - sert aux GKD et GKA pour la gestion des rôles IDM.
2. Rôles métier - sert a la gestion des rôles métier (non utilisé pour le moment).
3. Rôles - sert aux BVA's pour gérer les rôles d'application métier

6 Dans le rôle IDM en tant que GKA
Les tâches d'autorisation spécifiques aux GKA s'effectuent via le domaine des rôles IDM et la gestion des profils utilisateurs. Dans ce contexte, les rôles "BVA" et "AppOwner" sont identiques. La différence est que le BVA ne peut pas archiver les utilisateurs et que l'AppOwner ne peut pas générer de rapports.

Déroulement:
1. attribution du rôle IDM BVA- ou AppOwner

2. Limitation du rôle BVA ou AppOwner au mandant .
Dans l'eIAM-IDM, on entend par mandant en gros, l'ensemble de l'office ou de l'organisation pour lequel/laquelle le GKA et le BVA travaillent.
Cliquez sur "Ajouter un mandant". Cela fait apparaître le masque de recherche de mandants. La saisie d'une partie ou de la totalité du nom du mandant fournit les mandants correspondant à la saisie. En sélectionnant le nom du mandant, le requérant limite la vue des données (utilisateurs, applications, entre autres) à celles du mandant.


3. Limitation du rôle de BVA ou d'AppOwner à l'unité Access-Management
Dans la version actuelle de l'eIAM-AccessManagement, une organisation triviale est mise en œuvre. [Toutes les personnes à autoriser sont gérées dans un service appelé "AccessRequest" (dépôt de profil utilisateur lors de la première demande d'accès utilisateur eIAM). Il incombe au GKA d'autoriser l'accès à ces utilisateurs au BVA. C'est pourquoi le GKA doit ajouter le service "AccessRequest" au rôle BVA/AppOwner. Sinon, les utilisateurs à autoriser ne seront pas visibles pour le BVA.


4. Attribution de l'application ou des applications au rôle de BVA ou d'AppOwner.
Dans cette étape, le GKA attribue une ou plusieurs applications au BVA/AppOwner. Pour ce faire, le GKA clique sur le bouton Ajouter des applications-.
Il existe plusieurs possibilités de recherche d'une ou de plusieurs applications:
Aucune saisie avant d'actionner le bouton de recherche ; toutes les applications attribuées au mandant sont listées. Saisie d'une partie du nom (début ou fin avec le joker *) ; les applications attribuées au mandant qui contiennent la partie indiquée du nom sont listées. En cliquant sur l'application souhaitée, celle-ci est ajoutée à l'utilisateur. Si vous souhaitez autoriser l'utilisateur en tant que BVA pour toutes les applications, il suffit de cocher la case Autorisé pour toutes les applications.


5. optionnel: GKA et BVA avec rôle "SelfAdmin" (=> double rôle : GKA + BVA ou BVA + rôle d'application métier) .
Dans les cas où une personne d'un mandant détient par exemple le rôle de BVA pour Sharepoint et doit en même temps utiliser Sharepoint, ce BVA ne peut pas s'autoriser lui-même, car le système IDM prend des dispositions pour masquer la sélection de sa personne dans l'espace de recherche pour des raisons de sécurité (principe du mur chinois). Le GKA peut explicitement annuler ce principe en attribuant au BVA le rôle IDM supplémentaire SelfAdmin. L'autre solution consisterait à nommer un deuxième BVA, qui donnerait au premier les droits d'application spécialisés.
7 Informez ensuite le nouvel utilisateur que les droits sont accordés et que l'accès à l'application métier doit être vérifié.

Retrait des rôles IDM et génération de rapports


Retrait des rôles IDM
Chercher l'utilisateur et cliquer sur le crayon dans les rôles IDM. Dans la fenêtre suivante, cliquer sur
1. Supprimer l'attribution de rôle et ensuite
2. confirmer en cliquant sur Supprimer.
Générer des rapports .
Différents rapports sont à votre disposition.
Pour recertifier les rôles, sélectionnez "Utilisateurs par application" et cliquez sur "Générer un rapport".
Ouvrez le tableau Excel. Vous voyez tous les utilisateurs avec des rôles dans leur fonction. Vous pouvez filtrer les données pour n'afficher que les utilisateurs d'une seule application. Dans la colonne Dernière connexion, vous voyez quand l'utilisateur a utilisé l'application pour la dernière fois.