GKA autorise BVG

Dès qu'un utilisateur a terminé avec succès le processus Access Request "Demander l'accès" et que vous êtes responsable de la gestion des accès des rôles métier dans votre office, vous recevez le mail suivant dans le rôle IDM en tant que GKA.

1 Dans la boîte aux lettres (définie par office) se trouve le message généré par eIAM contenant les informations de demande de l'utilisateur. [Copiez l'identifiant de l'utilisateur (exemple marqué en jaune) et cliquez sur le lien indiqué dans l'e-mail:


Remarque: Vous pouvez également autoriser des utilisateurs qui n'ont pas encore demandé d'accès. Dans ce cas, commencez directement par l'étape 2
2 L'ID utilisateur avec le mandant correspondant devrait déjà être configuré lors d'une demande d'accès par mail, pour obtenir la page de gestion des utilisateurs, appuyez sur Rechercher.
Les utilisateurs sans demande d'accès explicite par e-mail peuvent être recherchés et autorisés en introduisant l'ID de l'utilisateur ou le nom (* possible comme joker au début et à la fin).
3 Cliquez sur l'ID utilisateur
;
 4 La page de gestion des utilisateurs qui s'affiche maintenant se compose de trois blocs:
- Données relatives à l'identité du demandeur avec informations de contact
- Informations sur les données d'authentification de l'utilisateur
- Informations sur le profil de l'utilisateur, qui contient ses rôles.

Cliquez ensuite sur le profil utilisateur tout en bas de la page

5 Vous accédez alors au cockpit des autorisations pour les rôles GKA, BVA et LPP


Cette vue se compose de trois parties
1. Rôles IDM - sert aux GKD et GKA pour la gestion des rôles IDM.
2. Rôles métier - sert aux BVG pour la gestion des rôles métier.
3. Rôles - sert aux BVA pour gérer les rôles d'application métier

6 Dans le rôle IDM en tant que GKA
Les tâches d'autorisation spécifiques au GKA s'effectuent via le domaine des rôles IDM et la gestion des profils utilisateurs.

Déroulement:
1. attribution du rôle IDM LPP

2. Limitation du rôle BVG au mandant .
Dans l'eIAM-IDM, on entend par mandant en gros, l'ensemble de l'office ou de l'organisation pour lequel/laquelle le GKA et le LPP travaillent.
Cliquez sur "Ajouter un mandant". Cela fait apparaître le masque de recherche de mandants. La saisie d'une partie ou de la totalité du nom du mandant fournit les mandants correspondant à la saisie. La sélection du nom du mandant permet au demandeur de limiter la vue des données (utilisateurs, applications, entre autres) à celles du mandant.


3. Limitation du rôle LPP à l'unité Access Management
Dans la version actuelle de l'eIAM-AccessManagement, une organisation triviale est mise en œuvre. [Toutes les personnes à autoriser sont gérées dans un service appelé "AccessRequest" (dépôt de profil utilisateur lors du premier eIAM User AccessRequest). Il incombe à l'ACC d'autoriser l'accès à ces utilisateurs au LPP. C'est pourquoi le GKA doit ajouter le service "AccessRequest" au rôle BVG. Sinon, les utilisateurs à autoriser ne seront pas visibles pour le BVG.


4. Attribution des rôles métier au rôle BVG
Dans cette étape, le GKA attribue tous les rôles métier ou des rôles métier ciblés au LPP. Pour ce faire, le GKA clique sur le bouton Ajouter des rôles métier-.
Il existe plusieurs possibilités de recherche d'un ou de plusieurs rôles de gestion:
Aucune saisie avant d'actionner le bouton de recherche ; tous les rôles commerciaux attribués au mandant sont listés. Saisie d'une partie du nom (début ou fin avec le joker *) ; les rôles commerciaux attribués au mandant qui contiennent la partie indiquée du nom sont listés. En cliquant sur les rôles commerciaux souhaités, ceux-ci sont ajoutés à l'utilisateur. Si vous souhaitez autoriser l'utilisateur à utiliser tous les rôles commerciaux en tant que LPP, il suffit de cocher la case Autorisé pour tous les rôles commerciaux


5. en option : GKA et LPP avec rôle "SelfAdmin" (=> doubles rôles : GKA + BVG ou BVG + rôles métier) .
Dans les cas où une personne d'un mandant détient par exemple le rôle de BVG pour Sharepoint et doit en même temps utiliser elle-même Sharepoint, ce BVG ne peut pas s'autoriser lui-même, car le système IDM prend des dispositions pour masquer la sélection de sa personne dans l'espace de recherche pour des raisons de sécurité (principe du mur de Chine). Le GKA peut explicitement annuler ce principe en attribuant au BVG le rôle IDM supplémentaire SelfAdmin. L'autre solution consisterait à nommer un deuxième BVG qui accorderait au premier les droits de rôle commercial.
7 Informez ensuite le nouvel utilisateur que les droits sont accordés et que l'accès à l'application métier doit être vérifié.;

Retrait des rôles IDM et génération de rapports


Retrait des rôles IDM
Chercher l'utilisateur et cliquer sur le crayon dans les rôles IDM. Dans la fenêtre suivante, cliquer sur
1. Supprimer l'attribution de rôle et ensuite
2. confirmer en cliquant sur Supprimer.
Générer des rapports .
Différents rapports sont à votre disposition.
Pour recertifier les rôles, sélectionnez "Utilisateurs par application" et cliquez sur "Générer un rapport".
Ouvrez le tableau Excel. Vous voyez tous les utilisateurs avec des rôles dans leur fonction. Vous pouvez filtrer les données pour n'afficher que les utilisateurs d'une seule application. Dans la colonne Dernière connexion, vous voyez quand l'utilisateur a utilisé l'application pour la dernière fois.