Per utilizzare Gestione autorizzazioni in modo efficiente ai fini del controllo di accesso alle risorse, è innanzitutto necessario definire ruoli, task e operazioni.

  • Un ruolo è costituito dall'insieme di autorizzazioni che un utente deve avere per poter svolgere un lavoro. I ruoli correttamente definiti devono corrispondere a una categoria o a una qualifica professionale (ad esempio centralinista, responsabile del personale o archivista) e avere un nome significativo. Gestione autorizzazioni consente di aggiungere utenti a un ruolo per autorizzarli allo svolgimento di un determinato lavoro.

  • Un'attività è costituita da un'insieme di operazioni ed eventualmente da altre attività. Le attività definite correttamente devono essere in grado di rappresentare elementi di lavoro riconoscibili (ad esempio, "cambia password" o "invia spese").

  • Un'operazione è costituita da un insieme di autorizzazioni associate a procedure di sicurezza a livello di sistema o di API, ad esempio WriteAttributes o ReadAttributes. Le operazioni vengono utilizzate come componenti di attività.

È possibile definire ruoli, attività e operazioni solo in modalità sviluppatore e non in modalità amministratore. Per impostare la modalità sviluppatore, vedere Impostare opzioni di Gestione autorizzazioni.

Definizioni di ruolo

Le definizioni di ruolo appropriate dipendono dalla struttura e dagli obiettivi dell'organizzazione. I ruoli supportano l'ereditarietà da altri ruoli.

Per definire un ruolo, è necessario specificare un nome, una descrizione e alcune attività, operazioni e ruoli specifici che fanno parte del ruolo. Questo fornisce un meccanismo per l'ereditarietà dei ruoli. Un ruolo Helpdesk, ad esempio, può includere un ruolo Supporto tecnico.

È inoltre possibile specificare una regola di autorizzazione VBScript o JScript. Per ulteriori informazioni vedere le pagine relative a VBScript (https://go.microsoft.com/fwlink/?linkid=65964) e JScript (https://go.microsoft.com/fwlink/?LinkId=65963).

Se a una definizione di ruolo sono associate molte regole di autorizzazione, ad esempio se sono presenti più sottoruoli e attività, le regole di autorizzazione vengono eseguite in modo sincrono. In Gestione autorizzazioni, l'ordine non influisce sull'autorizzazione.

Definizioni di attività

Una definizione di attività, più limitata rispetto a una definizione di ruolo, può essere utilizzata per definire ruoli e altre attività.

Con Gestione autorizzazioni, l'associazione tra attività e ruoli può essere eseguita in modo intuitivo. Il ruolo di Responsabile assunzioni, ad esempio, può includere l'attività Colloquio.

Come i ruoli, anche le attività vengono definite in base alle caratteristiche e alle esigenze dell'organizzazione. Per definire un'attività, è necessario specificare un nome, una descrizione e alcune attività e operazioni specifiche che fanno parte dell'attività. È inoltre possibile specificare una regola di autorizzazione VBScript o JScript.

Definizioni di operazione

Le operazioni costituiscono azioni limitate a livello di computer utilizzate per definire attività e generalmente non rilevanti per un amministratore. Le operazioni vengono definite esclusivamente in modalità sviluppatore.

È possibile impostare definizioni di operazione a livello di applicazione, ma non a livello di archivio autorizzazioni o di ambito.

Una definizione di operazione include un nome, una descrizione e un numero di operazione. Il numero di operazione X deve essere un numero intero compreso tra 1 e 2.147.483.647, ovvero 1 ≤ X ≤ 2^31 - 1, e viene utilizzato dall'applicazione per identificare l'operazione. L'immissione di un numero di operazione non valido determina pertanto un errore nella concessione o nel rifiuto dell'accesso. Ciò può a sua volta determinare violazioni della sicurezza o comportamenti indesiderati da parte dell'applicazione client.

Argomenti della Guida