6.6. Contraintes
Les contraintes sont des jeux de configuration de contrôle d'accès désignés correspondant à une liste de ressources. Le système RBAC utilise la combinaison des contraintes et des permissions de rôle pour déterminer si un utilisateur peut exécuter une action de gestion.
Les contraintes sont divisées en trois classifications : application, sensibilité et expression d'archivage.
- Contraintes d'application
- Les contraintes d'application définissent des ensembles de ressources et d'attributs accessibles aux utilisateurs du rôle chargé du déploiement (rôle Deployer). Par défaut, la seule Contrainte d'application activée est la principale qui inclut des déploiements, et des superpositions de déploiement. Les contraintes d'application sont également incluses (mais pas activées par défaut) pour les sources de données, connexion, mail, messagerie, nommage, adaptateurs de ressources et sécurité. Ces contraintes permettent aux utilisateurs Deployer de non seulement de déployer des applications, mais également de configurer et de maintenir les ressources requises par ces applications.La configuration de contraintes d'applications se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=application-classification. - Contraintes de sensibilité
- Les contraintes de confidentialité définissent des ressources considérées comme « sensibles ». Une ressource sensible est généralement de nature secrète, comme un mot de passe, ou une information pouvant avoir de graves répercussions sur le fonctionnement du serveur, comme le networking, la configuration de la JVM ou les propriétés système. Le système de contrôle d'accès lui-même est aussi considéré comme sensible.Les seuls rôles autorisés à écrire dans les ressources sensibles sont Administrateur et Superutilisateur. Le rôle Auditor est seulement capable de lire les ressources confidentielles. Aucun autre rôle ne peut avoir accès.La configuration de contraintes de sensibilité se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=sensitivity-classification. - Contrainte d'expression d'archivage sécurisé
- Une contrainte d'expression d'archivage sécurisé détermine si la lecture ou l'écriture d'expressions d'archivage sécurisé est considéré comme une opération sensible. Par défaut, les deux sont sensibles.La configuration de contraintes d'expression d'archivage sécurisé se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=vault-expression.
Les contraintes ne peuvent pas être configurées dans la console de gestion actuellement.
