Pour utiliser efficacement le Gestionnaire d’autorisations afin de contrôler l’accès aux ressources, vous devez d’abord définir des rôles, des tâches et des opérations.

  • Un rôle est un ensemble d’autorisations qu’un utilisateur doit détenir pour effectuer une tâche. Les rôles bien conçus doivent correspondre à une catégorie de travail ou à une responsabilité (par exemple, réceptionniste, responsable de l’embauche ou archiviste) et nommés en conséquence. Le Gestionnaire d’autorisations vous permet d’ajouter des utilisateurs à un rôle et de leur accorder une autorisation correspondant à leur fonction.

  • Une tâche est un ensemble d’opérations qui englobe quelquefois aussi d’autres tâches. Les tâches bien conçues sont suffisamment exhaustives pour représenter des éléments de travail reconnaissables (par exemple, « modifier le mot de passe » ou « transmettre une note de frais »).

  • Une opération est un ensemble d’autorisations que vous associez à des procédures de sécurité de niveau système ou de niveau API telles que WriteAttributes ou ReadAttributes. Les opérations s’utilisent en tant que blocs de création de tâches.

Vous pouvez définir des rôles, des tâches et des opérations uniquement en mode développeur, et non en mode administrateur. Pour définir le mode développeur, consultez Définir les options du Gestionnaire d’autorisations.

Définitions de rôle

La création des définitions de rôles adéquates dépend de la structure et des objectifs de votre organisation. Les rôles peuvent hériter d’autres rôles.

Pour définir un rôle, vous spécifiez un nom, une description parlante et certaines tâches, rôles et opérations faisant partie du rôle. Cela fournit un mécanisme pour l’héritage de rôle. Par exemple, un rôle d’assistance technique peut contenir un rôle support produit.

Vous pouvez préciser une règle d’autorisation, qui peut être soit en VBScript soit en JScript. Pour plus d’informations, voir les pages consacrées à VBScript (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=65964) et JScript (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=65963).

Si plusieurs règles d’autorisations sont associées à une définition de rôle (par exemple, si la définition de rôle possède plusieurs rôles secondaires et tâches), les règles d’autorisation s’exécutent simultanément. L’ordre n’a aucune incidence sur l’autorisation dans le Gestionnaire d’autorisations.

Définitions de tâches

Une définition de tâche est moins importante en taille qu’une définition de rôle ; elle permet de définir des rôles et d’autres tâches.

Le Gestionnaire d’autorisations vous permet d’associer des tâches à des rôles de manière intuitive. Par exemple, le rôle de Recruteur peut contenir la tâche Entretien.

Les tâches, tout comme les rôles, sont définies de manière à correspondre aux besoins de l’organisation. Pour définir une tâche, vous spécifiez un nom, une description et certaines tâches et opérations spécifiques faisant partie de la tâche. Vous pouvez également préciser une règle d’autorisation VBScript ou JScript.

Définitions d’opérations

Les opérations sont de petites actions du niveau de l’ordinateur permettant de définir des tâches et qui ne sont pas généralement pertinentes pour un administrateur. Les opérations se définissent uniquement en mode développeur.

Vous pouvez définir des définitions d’opérations au niveau de l’application, mais pas au niveau du magasin d’autorisations ni au niveau de l’étendue.

Une définition d’opération contient un nom, une description et un numéro d’opération. Le numéro d’opération X doit être un entier compris entre un et 2 147 483 647 (c’est-à-dire 1 ≤ X ≤ 2^31 - 1). Ce numéro permet à l’application d’identifier l’opération ; en cas de saisie d’un numéro erroné, l’accès n’est pas correctement accordé ou refusé. Cela peut alors entraîner des violations de la sécurité ou un comportement inattendu de l’application cliente.


Table des matières