Pokud chcete efektivně používat k řízení přístupu ke zdrojům nástroj Správce autorizací, je nutné nejprve nadefinovat role, úlohy a operace.
-
Role je sada oprávnění, které musí uživatel mít pro svou práci. Dobře navržené role by měly odpovídat úrovni pracovní funkce či zodpovědnosti (například recepční, personalista či archivář) a mít odpovídající název. Pomocí nástroje Správce autorizací můžete do příslušné role přidávat uživatele a udělit jim tak oprávnění pro dané pracovní funkce.
-
Úloha se skládá z řady operací a někdy také z jiných úloh. Dobře navržené úlohy dostatečně reprezentují pracovní úkony rozpoznatelné podle názvu (například změna hesla či odeslání výkazu).
-
Operace je sada oprávnění přidružených k procedurám zabezpečení na systémové úrovni či úrovni rozhraní API, například WriteAttributes a ReadAttributes. Operace jsou základem úloh.
Role, úlohy a operace je možné definovat pouze v režimu Vývojář, nikoli v režimu Správce. Postup spuštění režimu Vývojář naleznete v kapitole Nastavení možností nástroje Správce autorizací.
Definice rolí
Vytváření příslušných definic rolí závisí na struktuře a cílech vaší organizace. Role podporují dědění z dalších rolí.
K definici role je nutné zadat název, popisný název a úlohy, role a operace na nižší úrovni, které jsou součástí dané role. Takto je zajištěný mechanismus dědění. Role Helpdesk může například zahrnovat roli Odborná pomoc.
Dále je možné určit ověřovací skript vytvořený v jazyce VBScript či JScript. Další informace naleznete v článcích
Pokud je s jednou definicí role asociováno několik pravidel autorizace (například definice role má několik podrolí a úloh), jsou pravidla autorizace spuštěna synchronně. V nástroji Správce ověřování nemá pořadí vliv na ověření.
Definice úloh
Definice úlohy je menší než definice role a může definovat role a další úlohy.
V nástroji Správce ověřování je přidružení úloh rolím jednoduché a intuitivní. Role Personalista může například zahrnovat úlohu Pohovor.
Úlohy, podobně jako role, jsou definovány způsobem vhodným pro organizaci. K definici úlohy je nutné zadat název, popis a několik specifických úloh a operací, které jsou součástí dané úlohy. Dále je možné určit ověřovací skript v jazyce VBScript či JScript.
Definice operací
Operace jsou malé akce na úrovni počítače, které definují úlohy a obvykle nejsou pro správce důležité. Operace je možné definovat pouze v režimu Vývojář.
Definice operací je možné nastavit na úrovni aplikace, nikoli ovšem na úrovni úložiště ověření či úrovni oboru.
Definice operace obsahuje název, popis a číslo operace. Číslo operace X musí být celé číslo od 1 do 2 147 483 647 (tj. 1 ≤ X ≤ 2^31 - 1). Aplikace používá číslo operace k identifikování dané operace, takže pokud zadáte nesprávné číslo operace, dojde k nesprávnému povolení nebo zamítnutí přístupu. To může mít za následek narušení zabezpečení nebo nežádoucí chování klientské aplikace.