Chapitre 11. Déléguer des permissions à des groupes d'utilisateurs pour gérer les utilisateurs à l'aide de playbooks Ansible
La délégation est l'une des méthodes de contrôle d'accès dans IdM, avec les règles en libre-service et le contrôle d'accès basé sur les rôles (RBAC). Vous pouvez utiliser la délégation pour attribuer des autorisations à un groupe d'utilisateurs afin de gérer des entrées pour un autre groupe d'utilisateurs.
Cette section couvre les sujets suivants :
- Règles de délégation
- Création du fichier d'inventaire Ansible pour IdM
- Utiliser Ansible pour s'assurer qu'une règle de délégation est présente
- Utiliser Ansible pour s'assurer qu'une règle de délégation est absente
- Utiliser Ansible pour s'assurer qu'une règle de délégation possède des attributs spécifiques
- Utiliser Ansible pour s'assurer qu'une règle de délégation n'a pas d'attributs spécifiques
11.1. Règles de délégation
Vous pouvez déléguer des autorisations à des groupes d'utilisateurs pour gérer les utilisateurs en créant delegation rules.
Les règles de délégation permettent à un groupe d'utilisateurs spécifique d'effectuer des opérations d'écriture (modification) sur des attributs spécifiques pour les utilisateurs d'un autre groupe d'utilisateurs. Cette forme de règle de contrôle d'accès se limite à la modification des valeurs d'un sous-ensemble d'attributs que vous spécifiez dans une règle de délégation ; elle ne permet pas d'ajouter ou de supprimer des entrées entières ni de contrôler des attributs non spécifiés.
Les règles de délégation accordent des autorisations aux groupes d'utilisateurs existants dans IdM. Vous pouvez utiliser la délégation pour, par exemple, permettre au groupe d'utilisateurs managers de gérer certains attributs des utilisateurs du groupe d'utilisateurs employees.