Gestion de la sécurité

Cet article contient les rubriques suivantes :
casm173
Cet article contient les rubriques suivantes :
Sécurité
Avant d'autoriser des utilisateurs à accéder à CA APM (ITAM), vous devez définir la sécurité afin de contrôler l'accès au produit, de protéger votre référentiel contre des changements non autorisés ou inexacts et de rendre disponibles les données nécessaires aux utilisateurs. Par exemple, vous pouvez donner accès aux modèles et actifs à un utilisateur et aux documents juridiques à un autre utilisateur.
La configuration de la sécurité implique les tâches suivantes :
  1. Utilisateurs. Définissez les utilisateurs qui peuvent accéder au produit.
  2. Rôles d'utilisateur. Définissez les groupes d'utilisateurs qui effectuent des tâches similaires.
  3. Authentification. Définissez la méthode d'authentification des utilisateurs lors de la connexion.
  4. Recherches. Définissez les utilisateurs autorisés à utiliser des recherches.
  5. Configuration. Empêchez les utilisateurs d'effectuer des tâches non autorisées.
Un ou plusieurs administrateurs système effectuent ces tâches de sécurité dans CA APM. Un administrateur système possédant l'ID d'utilisateur
uapmadmin
agit en tant qu'administrateur système global ; il peut contrôler tous les aspects de sécurité du produit.
Vous appliquez la sécurité dans toute l'entreprise à partir de l'interface Web. Ces tâches nécessitent un minimum de compétences en matière de base de données.
Utilisateur
Vous établissez la sécurité utilisateur lorsque vous ajoutez de nouveaux utilisateurs au produit et affectez un ID utilisateur et un mot de passe. Si un utilisateur ne dispose pas d'un ID d'utilisateur et d'un mot de passe valides, il lui est impossible de se connecter. Pour chaque utilisateur, un enregistrement est établi et associé à un contact dans la table ca_contact.
Vous pouvez ajouter des utilisateurs au produit de la manière suivante :
  1. En les important.
  2. En les définissant manuellement.
Lorsque vous définissez manuellement des utilisateurs, vous pouvez immédiatement les autoriser à utiliser le produit. En revanche, lorsque vous importez des utilisateurs, vous devez d'abord les importer avant de pouvoir leur accorder des autorisations.
Lorsque vous définissez manuellement un utilisateur, un utilisateur CA EEM correspondant est également créé. Lorsque l'utilisateur se connecte à CA APM, CA EEM vérifie le nom d'utilisateur et le mot de passe.
Une fois tous les utilisateurs CA APM définis, affectez chaque utilisateur à un
rôle d'utilisateur
et définissez l'ensemble des droits d'accès afin de déterminer les éléments que l'utilisateur peut afficher et auxquels il peut accéder lorsqu'il se connecte.
Meilleures pratiques (utilisateurs et rôles)
Utilisez les bonnes pratiques suivantes pour gérer efficacement les utilisateurs et les rôles :
  • Un utilisateur doit disposer d'un ID d'utilisateur et d'un mot de passe valides et être autorisé à se connecter.
  • Avant d'attribuer un nouveau rôle à un utilisateur, vous devez supprimer le rôle qui lui était attribué antérieurement.
    Le produit ne vous permet pas d'affecter un utilisateur à plusieurs rôles.
  • Vérifiez qu'aucun utilisateur n'est affecté à ce rôle avant de supprimer le rôle.
  • Supprimez les utilisateurs avant de supprimer un rôle.
Importation et synchronisation des utilisateurs
Vérifiez que l'utilisateur effectuant cette tâche appartient à un rôle dans lequel l'accès à la gestion des utilisateurs est activé.
Vous pouvez importer une liste d'utilisateurs à partir d'un référentiel d'utilisateurs externe comme un annuaire Active Directory via CA EEM et synchroniser ces utilisateurs afin de les enregistrer en tant que contacts dans CA APM. L'importation d'utilisateurs vous permet de gagner du temps lorsque vous définissez des utilisateurs et vous garantit l'exactitude des informations utilisateur. Une fois les utilisateurs importés et enregistrés, vous pouvez les autoriser à accéder au produit.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des utilisateurs.
  3. Cliquez sur Importation et synchronisation des données LDAP.
  4. Si l'hébergement multiclient est activé, sélectionnez un client hébergé dans la liste déroulante.
  5. Cliquez sur Démarrer l'importation et la synchronisation des données LDAP.
    Le processus d'importation commence et les utilisateurs sont importés à partir du référentiel externe. Si l'hébergement multiclient est activé, les utilisateurs sont importés pour le client hébergé sélectionné en tant que contacts dans la table ca_contact. Vous pouvez ensuite autoriser les utilisateurs importés à accéder au produit.
La synchronisation et l'importation des données LDAP fonctionne uniquement pour les utilisateurs dont le nom commence par une lettre ou un chiffre. Ceux dont le nom commence par un caractère spécial ne sont pas importés.
Définition d'un utilisateur
Vérifiez que l'utilisateur effectuant cette tâche appartient à un rôle dans lequel l'accès à la gestion des utilisateurs est activé.
Vous définissez tous les utilisateurs de CA APM et leur fournissez un accès au produit. Après avoir défini un utilisateur, vous devez lui affecter un rôle.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des utilisateurs.
  3. Cliquez sur New User.
  4. Saisissez des informations pour le nouvel utilisateur et des informations relatives au contact.
  5. (Facultatif) Spécifiez si vous souhaitez autoriser l'utilisateur à accéder au produit.
  6. Cliquez sur Enregistrer.
    L'utilisateur est défini.
Définition d'autorisations pour un utilisateur
Vérifiez que l'utilisateur effectuant cette tâche appartient à un rôle dans lequel l'accès à la gestion des utilisateurs est activé.
Vous pouvez autoriser un utilisateur à se connecter et à utiliser le produit. Avant de pouvoir autoriser un utilisateur, vous devez l'enregistrer en tant que contact.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des utilisateurs.
  3. Cliquez sur Autoriser des utilisateurs.
  4. Effectuez une recherche pour trouver la liste des utilisateurs disponibles.
  5. Sélectionnez l'utilisateur pour lequel vous voulez autoriser et cliquez sur OK.
    L'utilisateur s'affiche dans la liste des utilisateurs autorisés.
  6. Cliquez sur l'icône Modifier en regard du nom d'utilisateur.
  7. (Facultatif) Sélectionnez un contact pour affecter à un utilisateur des informations de contact.
    Si vous ne sélectionnez aucun contact, un nouveau contact est créé pour l'utilisateur.
  8. (Facultatif) Sélectionnez un rôle à affecter à l'utilisateur.
  9. Cliquez sur Autoriser.
    L'utilisateur sélectionné est autorisé à se connecter au produit.
Refus d'accès pour un utilisateur
Vérifiez que l'utilisateur effectuant cette tâche appartient à un rôle dans lequel l'accès à la gestion des utilisateurs est activé.
Vous pouvez refuser un accès à un utilisateur et l'empêcher de se connecter au produit. Par exemple, si vous embauchez un nouveau technicien d'actifs, vous pouvez l'empêcher d'utiliser le produit jusqu'à ce qu'il ait reçu une formation adéquate. Lorsque vous refusez un accès utilisateur, les informations de contact pour l'utilisateur ne sont pas supprimées du produit.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des utilisateurs.
  3. Cliquez sur Autoriser des utilisateurs.
  4. Dans la liste Utilisateurs autorisés, sélectionnez l'utilisateur pour lequel vous souhaitez refuser l'accès.
  5. Cliquez sur Annuler l'autorisation.
    L'utilisateur ne peut plus se connecter au produit.
Rôles d'utilisateur
Un
rôle d'utilisateur
est l'enregistrement principal qui contrôle la sécurité et la navigation dans l'interface utilisateur dans le produit. Chaque rôle définit une vue spécifique du produit en affichant uniquement les fonctionnalités nécessaires pour permettre aux utilisateurs d'exécuter les tâches affectées au rôle qui leur est attribué dans l'organisation de leur entreprise. Le rôle par défaut pour un utilisateur et la configuration de l'interface utilisateur déterminent les données et les fonctions auxquelles l'utilisateur peut accéder. Un utilisateur ne peut être affecté qu'à un seul rôle à la fois.
Définissez les rôles d'utilisateur pour appliquer des droits d'accès au référentiel fonctionnels et au niveau des champs. Vous déterminez et affectez le niveau d'accès requis pour chaque rôle. Regroupez les utilisateurs ayant la même fonction et affectez-leur le rôle correspondant. L'affectation de rôle empêche les utilisateurs d'effectuer des tâches non autorisées, comme l'ajout ou la suppression de données. Par exemple, les utilisateurs ayant un rôle d'administrateur doivent avoir un accès complet à tous les enregistrements, tandis que les utilisateurs ayant un rôle de technicien d'actifs ont besoin d'un accès limité à quelques enregistrements.
Le produit contient les rôles prédéfinis de type Administrateur système et utilisateur que vous pouvez utiliser comme base pour la gestion des utilisateurs.
La configuration et la gestion des rôles d'utilisateur vous permet de :
  • Définir un rôle.
  • Affecter un rôle à un utilisateur.
  • Annuler l'affection d'un rôle pour un utilisateur.
  • Mettre à jour un rôle.
  • Supprimer un rôle.
  • Affecter une configuration à un rôle.
Rôles prédéfinis
Le produit inclut un rôle Administrateur système qui permet de contrôler et d'accéder à la totalité des objets et des données du client hébergé. Ce rôle est associé au contact Administrateur système et ne peut être supprimé. Un utilisateur affecté à ce rôle peut définir, mettre à jour et supprimer des objets, mais aussi définir et mettre à jour des rôles supplémentaires pour répondre aux besoins de votre entreprise. Il est impossible d'affecter une configuration au rôle Administrateur système.
Pour vous aider à gérer les utilisateurs, les rôles d'utilisateur prédéfinis suivants sont également disponibles :
  • Technicien d'actifs CA APM : permet d'accéder uniquement aux données et fonctions nécessaires pour travailler avec des informations sur les actifs.
  • Gestionnaire de contrats CA APM : permet d'accéder uniquement aux données et fonctions nécessaires pour travailler avec des documents juridiques et le processus de gestion de contrat.
  • Utilisateur par défaut CA APM : permet d'accéder en lecture seule à une vue limitée du produit. Ce rôle peut consulter la plupart des données dans le produit, mais ne peut pas les modifier.
  • Exécutant CA APM : permet d'accéder uniquement aux données et fonctions nécessaires pour les tâches d'exécution d'actifs.
  • Receveur CA APM : permet d'accéder uniquement aux données et fonctions nécessaires pour mettre à jour des actifs reçus à partir d'un processus d'exécution.
Chaque rôle d'utilisateur prédéfini est associé à des configurations qui permettent d'accéder aux données nécessaires pour assumer une fonction particulière. Vous pouvez modifier les configurations associées à chaque rôle prédéfini. Les rôles prédéfinis sont disponibles uniquement après une nouvelle installation.
Définition d'un rôle d'utilisateur
Vérifiez que l'utilisateur effectuant cette tâche est affecté à un rôle pour lequel l'accès à la gestion des rôles est activé.
Vous pouvez définir des rôles d'utilisateur personnalisés pour répondre aux besoins métier de votre site. Par exemple, vous pouvez définir un rôle disposant d'un accès à la gestion des rapprochements et un autre ayant accès à l'exécution d'actifs.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des rôles.
  3. Cliquez sur Nouveau rôle.
  4. Saisissez des informations pour le rôle.
    • Accès à la gestion des utilisateurs
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de gestion des utilisateurs (Administration, Gestion des utilisateurs et des rôles, Gestion des utilisateurs). Le sous-onglet Gestion des utilisateurs et des rôles est disponible uniquement lorsque le rôle a accès à la fonctionnalité de gestion des utilisateurs, à la fonctionnalité de gestion des rôles ou aux deux.
    • Accès à la gestion des rôles
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de gestion des rôles (Administration, Gestion des utilisateurs et des rôles, Gestion des rôles). Le sous-onglet Gestion des utilisateurs et des rôles est disponible uniquement lorsque le rôle a accès à la fonctionnalité de gestion des utilisateurs, à la fonctionnalité de gestion des rôles ou aux deux.
    • Accès à la configuration du système
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de configuration du système (Administration, Configuration du système).
    • Accès aux services Web
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la documentation des services Web CA APM et au fichier WSDL (Administration, Services Web). Si cette case n'est pas cochée et qu'un utilisateur affecté à ce rôle tente d'accéder aux services Web à partir d'une application cliente externe, l'utilisateur reçoit un message d'erreur de connexion.
    • Accès à la gestion des filtres
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de gestion des filtres (Administration, Gestion des filtres).
    • Accès aux autres informations de configuration
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de configuration d'autres informations. Cette fonction permet à l'utilisateur d'accéder à des informations connexes complémentaires pour les objets sélectionnés. L'utilisateur peut accéder à ces informations complémentaires en sélectionnant des éléments de menu sous Relations, sur le côté gauche de la page.
    • Accès d'utilisateur à l'importateur de données
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité Importateur de données (Administration, Importateur de données) avec des droits d'utilisateur. Les utilisateurs peuvent créer des importations et modifier ou supprimer leurs importations. Ils peuvent aussi afficher une importation créée par un autre utilisateur.
    • Accès d'administrateur à l'importateur de données
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité Importateur de données (Administration, Importateur de données) avec des droits d'administrateur. Les administrateurs peuvent créer des importations et modifier ou supprimer une importation créée par un utilisateur.
    • Accès à la gestion des rapprochements
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de gestion des règles de rapprochement (Administration, Gestion des rapprochements).
    • Accès à la fonction d'exécution d'actif
      Cochez cette case pour qu'un utilisateur CA Service Catalog affecté à ce rôle puisse exécuter des actifs à l'aide de CA Service Catalog.
    • Accès à l'administration des hébergements
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité d'administration des hébergements multiclients afin d'activer l'hébergement multiclient, de définir des clients hébergés, de définir des clients hébergés fils et de définir des groupes de clients hébergés (Administration, Gestion des hébergements).
    • Accès à la normalisation
      Cochez cette case pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité de gestion des règles de normalisation (Répertoire, Gestion des listes, Normalisation).
    • Accès aux utilitaires de changement en série
      Sélectionnez cette case à cocher pour qu'un utilisateur affecté à ce rôle puisse accéder à la fonctionnalité Utilitaires de changement en série. Cette fonctionnalité permet à l'utilisateur de modifier la famille d'actifs d'un modèle et de modifier le modèle d'un actif.
  5. (Facultatif) Spécifiez les autorisations de lecture-d'écriture pour les clients hébergés. L'hébergement multiclient étend le but du rôle au contrôle du client hébergé ou du groupe de clients hébergés auxquels un utilisateur affecté à ce rôle peut accéder. Lorsque l'hébergement multiclient est activé, la section Informations sur le client hébergé inclut les listes déroulantes Accès en lecture au client hébergé et Accès en écriture au client hébergé.
    La section Informations sur le client hébergé est visible uniquement lorsque l'hébergement multiclient est activé. Pour plus d'informations sur l'activation de l’hébergement multiclient, reportez-vous à l'article Implémentation de l'hébergement multiclient. Par ailleurs, les utilisateurs associés à un client hébergé autre que le fournisseur de services peuvent uniquement créer ou mettre à jour les objets associés à leur propre client hébergé. Seuls les utilisateurs associés au fournisseur de services sont autorisés à créer ou actualiser des objets appartenant à des clients hébergés autres que les leurs.
    • Tous les clients hébergés
      Ne comporte aucune restriction de client hébergé. Un utilisateur affecté à ce rôle et disposant de cet accès peut afficher tous les objets de la base de données (y compris les objets publics). Par ailleurs, un utilisateur associé au fournisseur de services peut mettre à jour ou créer des objets associés à un client hébergé. Lorsqu'un utilisateur de type fournisseur de services disposant de cet accès crée un objet, le produit oblige l'utilisateur à sélectionner le client hébergé du nouvel objet.
    • Client hébergé du contact
      (Valeur par défaut) Associe le rôle au client hébergé du contact. Le produit limite un utilisateur affecté à un rôle disposant de cet accès à l'affichage, à la création et à la mise à jour des objets associés à leur client hébergé (et à l'affichage des objets publics). Lorsqu'un utilisateur disposant de cet accès crée un objet, il lui est impossible de sélectionner un client hébergé. Le client hébergé est automatiquement défini sur le client hébergé du contact.
    • Groupe de clients hébergés du contact
      Associe le rôle au groupe de clients hébergés du contact. Le produit limite un utilisateur affecté à un rôle disposant de cet accès à l'affichage, à la création et à la mise à jour des objets associés aux clients hébergés de son groupe de clients hébergés (et à l'affichage des objets publics). Lorsqu'un utilisateur disposant de cet accès crée un objet, il peut sélectionner tout client hébergé appartenant au groupe de clients hébergés.
    • Client hébergé unique
      Associe le rôle à un client hébergé désigné. Lorsque vous sélectionnez cette option, sélectionnez un client hébergé spécifique dans le champ Ecriture du client hébergé ou Lecture du client hébergé. Le produit limite un utilisateur affecté à un rôle disposant de cet accès à l'affichage, à la création et à la mise à jour des objets associés au client hébergé sélectionné (et à l'affichage des objets publics). Lorsqu'un utilisateur disposant de cet accès crée un objet, il lui est impossible de sélectionner un client hébergé. Le client hébergé est automatiquement défini sur le client hébergé que vous sélectionnez.
      Seul un utilisateur de type fournisseur de services peut créer ou mettre à jour des données pour un client hébergé autre que le sien. Un utilisateur de type client hébergé affecté à un rôle disposant d'un accès de client hébergé unique à un autre client hébergé est limité à un accès en lecture.
    • Groupe de clients hébergés
      Associe le rôle à un groupe de clients hébergés nommé. Lorsque vous sélectionnez cette option, sélectionnez un client hébergé spécifique dans le champ Ecriture du groupe de clients hébergés ou Lecture du groupe de clients hébergés. Le produit limite un utilisateur affecté à un rôle disposant de cet accès à l'affichage uniquement des objets qui appartiennent à un client hébergé dans le groupe de clients hébergés. Par ailleurs, un utilisateur associé au fournisseur de services peut mettre à jour ou créer des objets associés à un client hébergé du groupe. Lorsqu'un utilisateur de type fournisseur de services disposant de cet accès crée un objet, le produit oblige l'utilisateur à sélectionner le client hébergé pour le nouvel objet.
    • Mettre à jour les données publiques (case à cocher)
      Disponible uniquement lorsque vous sélectionnez Tous les clients hébergés. Sélectionnez cette case à cocher pour autoriser un utilisateur affecté à ce rôle à créer ou supprimer des données publiques avec client hébergé.
  6. Cliquez sur Enregistrer.
    Le rôle est défini et vous pouvez affecter des utilisateurs à ce rôle.
Affectation d'un rôle à un utilisateur
Vérifiez que l'utilisateur effectuant cette tâche est affecté à un rôle pour lequel l'accès à la gestion des rôles est activé. En outre, si vous n'affectez aucun rôle à un utilisateur, l'onglet Administration est masqué pour l'utilisateur.
Vous pouvez affecter un rôle à un utilisateur afin de définir une vue spécifique du produit et de déterminer les éléments visibles lorsqu'il se connecte. Vous pouvez, par exemple, affecter le rôle Configuration du système à un administrateur. Vous ne pouvez affecter un utilisateur qu'à un seul rôle à la fois. Avant d'affecter un rôle à un utilisateur, vous devez enregistrer ce dernier en tant que contact.
Avant d'affecter un nouveau rôle à un utilisateur, vous devez supprimer le rôle qui lui était affecté antérieurement.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des rôles.
  3. Cliquez sur Rechercher un rôle.
  4. Dans la zone Contact du rôle de la page, cliquez sur Affecter un contact.
    Tous les utilisateurs non affectés à un rôle apparaissent.
  5. Sélectionnez l'utilisateur auquel vous souhaitez affecter le rôle.
  6. Cliquez sur OK.
  7. Cliquez sur Enregistrer.
    Le rôle est affecté à l'utilisateur.
Annulation de l'affection d'un rôle pour un utilisateur
Vérifiez que l'utilisateur effectuant cette tâche est affecté à un rôle pour lequel l'accès à la gestion des rôles est activé.
Vous pouvez limiter les droits d'accès d'un utilisateur en les supprimant d'un rôle. Par exemple, si un administrateur est transféré vers un autre département, vous pouvez le supprimer du rôle Configuration du système. Supprimez un utilisateur d'un rôle avant de l'affecter à un autre rôle, ou s'il ne fait plus partie de votre site ou organisation.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des rôles.
  3. Cliquez sur Rechercher un rôle.
  4. Cliquez sur l'icône Supprimer située en regard de l'utilisateur que vous souhaitez supprimer du rôle.
  5. Cliquez sur Enregistrer.
    L'utilisateur est supprimé du rôle.
Mise à jour d'un rôle d'utilisateur
Vérifiez que l'utilisateur effectuant cette tâche est affecté à un rôle pour lequel l'accès à la gestion des rôles est activé.
A tout moment, vous pouvez mettre à jour un rôle d'utilisateur pour modifier les éléments visibles pour l'utilisateur lorsqu'il se connecte au produit. Vous pouvez, par exemple, retirer d'un rôle d'utilisateur donné l'accès aux fonctions de gestion des hébergements. Dans ce cas, supprimez l'accès à la gestion des hébergements pour ce rôle.
Vous pouvez supprimer un rôle qui n'est plus actif dans votre site ou organisation, ou lorsque les fonctions du rôle ne sont plus nécessaires. Vous ne pouvez pas supprimer le rôle Administrateur système prédéfini.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des rôles.
  3. Cliquez sur Rechercher un rôle.
  4. Recherchez un rôle et sélectionnez-le.
  5. Pour mettre à jour le rôle d'utilisateur, modifiez les informations du rôle et cliquez sur Enregistrer.
    Le rôle est mis à jour.
  6. Pour supprimer le rôle d'utilisateur, cliquez sur Supprimer.
    Le rôle est supprimé.
Affectation d'une configuration à un rôle
Vérifiez que l'utilisateur effectuant cette tâche est affecté à un rôle pour lequel l'accès à la gestion des rôles est activé.
Vous pouvez configurer l'interface utilisateur pour simplifier la manière dont les utilisateurs saisissent, gèrent et recherchent des données. Lorsque vous affectez une configuration à un rôle, tous les utilisateurs affectés à ce rôle voient le produit tel que vous l'avez configuré pour eux.
Exemple : Affectation d'une configuration à un gestionnaire d'actifs
Dans cet exemple, un gestionnaire d'actifs doit rapidement afficher et contrôler les informations les plus importantes qui ont été saisies dans le produit pour un actif. Ces informations sont utilisées pour le reporting, l'analyse des coûts et le contrôle d'inventaire. L'administrateur configure les résultats de recherche pour afficher le nom de l'actif, le nom du modèle, la quantité, le numéro de série, le système d'exploitation, le numéro du bon de commande et le centre de coûts. L'administrateur enregistre la configuration et l'affecte au rôle Gestionnaire d'actifs. Lorsqu'un gestionnaire d'actifs se connecte au produit, la configuration pour le rôle de gestionnaire d'actifs est sélectionnée et s'affiche.
Pour plus d'informations sur les configurations, reportez-vous à l'article Configuration de l'interface utilisateur.
Procédez comme suit :
  1. Cliquez sur Administration, Gestion des utilisateurs et des rôles.
  2. A gauche, développez le menu Gestion des rôles.
  3. Cliquez sur Rechercher un rôle.
  4. Recherchez un rôle et sélectionnez-le.
  5. Cliquez sur Configuration du rôle.
  6. Cliquez sur Poursuivre la sélection.
    La liste des configurations enregistrées s'affiche.
  7. Sélectionnez la configuration que vous souhaitez affecter au rôle.
  8. Cliquez sur OK.
  9. Cliquez sur Enregistrer.
    La configuration est affectée au rôle. Un utilisateur affecté au rôle voit la configuration lorsqu'il se connecte au produit.
Authentification
L'
authentification
est le processus qui permet d'obtenir des informations d'identification pour un utilisateur comme son nom et son mot de passe afin de valider ces informations d'identification et de vérifier que l'utilisateur existe. Si les informations d'identification sont valides, l'utilisateur est authentifié. Lorsqu'un utilisateur est authentifié, le processus d'autorisation détermine si l'utilisateur peut se connecter au produit.
CA APM utilise CA EEM pour authentifier les utilisateurs.
Les types d'authentification suivants sont pris en charge :
  • Authentification par formulaire. Un utilisateur est invité à saisir un nom d'utilisateur et un mot de passe pour se connecter au produit.
    L'authentification par formulaire est le type d'authentification par défaut.
  • Authentification intégrée Windows. Un utilisateur déjà connecté au domaine Windows peut accéder au produit sans devoir saisir des informations d'identification supplémentaires.
Vous pouvez renforcer la sécurité en définissant des options dans des onglets et menus dans le produit afin de limiter l'accès à certaines pages et certains onglets.
Configuration de l'authentification par formulaire
Vérifiez que l'utilisateur effectuant la tâche appartient à un rôle pour lequel l'accès à la configuration du système est activé.
Vous pouvez configurer une authentification par formulaire afin qu'un utilisateur soit invité à saisir un nom d'utilisateur et un mot de passe lorsqu'il se connecte.
Procédez comme suit :
  1. Cliquez sur Administration, Configuration du système.
  2. A gauche, cliquez sur CA EEM.
  3. Dans la liste déroulante Type d'authentification, sélectionnez Formulaire.
  4. Cliquez sur Enregistrer.
    L'authentification par formulaire est activée.
Configuration de l'authentification intégrée Windows
Vérifiez que l'utilisateur effectuant la tâche appartient à un rôle pour lequel l'accès à la configuration du système est activé.
Vous pouvez configurer l'authentification Windows intégrée et renvoyer le serveur CA EEM vers l'annuaire Active Directory utilisé pour l'authentification. Si l'authentification intégrée Windows est activée, un utilisateur déjà connecté au domaine Windows peut accéder au produit sans devoir saisir des informations d'identification supplémentaires.
Vous pouvez également configurer l'authentification intégrée Windows avec CA EEM et CA SiteMinder. CA SiteMinder utilise Active Directory pour l'authentification. Pour plus d'informations sur cette configuration, reportez-vous à la documentation du produit CA EEM.
Pour utiliser l'authentification intégrée Windows, le serveur CA EEM, Active Directory et l'ordinateur client faisant la demande d'authentification doivent appartenir au même domaine.
En outre, lorsque vous créez et autorisez un utilisateur dans le référentiel local de CA EEM avec un nom d'utilisateur qui existe dans Active Directory, l'utilisateur Active Directory correspondant est automatiquement autorisé.
Procédez comme suit :
  1. Sur l'ordinateur sur lequel CA EEM est installé, configurez le serveur CA EEM pour référencer votre annuaire Active Directory ou le système LDAP.
    Pour plus d'informations sur l'exécution de ces fonctions, reportez-vous à la documentation du produit CA EEM.
  2. Dans CA APM, cliquez sur Administration, Configuration du système.
  3. A gauche, cliquez sur CA EEM.
  4. Dans la liste déroulante Type d'authentification, sélectionnez Intégrée Windows.
  5. Cliquez sur Enregistrer.
    L'authentification intégrée Windows est activée.
Authentification unique
L'
authentification unique
est un processus d'authentification qui permet à l'utilisateur de saisir un seul ID d'utilisateur et un seul mot de passe pour accéder à plusieurs actifs de l'organisation. L'authentification unique évite de ressaisir des informations d'authentification lors du passage d'une solution à un autre.
L'authentification unique permet aux utilisateurs de se connecter au produit automatiquement à l'aide des informations de connexion Windows. Après avoir ajouté l'ID d'utilisateur à un rôle, le produit vérifie les informations d'identification et affiche la page d'accueil appropriée à l'utilisateur.
Pour que l'authentification unique fonctionne correctement, configurez des comptes utilisateur Windows en tant que comptes utilisateur du domaine et non en tant que comptes utilisateur locaux.
Après l'activation de l'authentification NTLM, une invite peut s'afficher dans les navigateurs Internet Explorer/Chrome/FireFox pour la connexion à APM. En fonction du navigateur (IE, Chrome et FireFox) que vous utilisez, procédez comme suit :
Configuration de l'authentification Windows sur Internet Explorer et Chrome
  1. Sélectionnez
    Panneau de configuration
    ,
    Réseau et Internet
    ,
    Options Internet
    .
  2. Cliquez sur l'onglet
    Sécurité
    , puis sur
    Zone Intranet local
    .
  3. Cliquez sur
    Niveau personnalisé
    .
  4. Faites défiler l'écran et sélectionnez l'option
    Authentification utilisateur
    . Définissez le type de connexion
    Connexion automatique avec le nom d’utilisateur et le mot de passe actuels
    .
  5. Cliquez sur OK.
  6. Cliquez sur
    Sites
    .
  7. Cliquez sur
    Avancé
    . Ajoutez le lien vers l'URL Web de CA APM.
    Indiquez le protocole d'accès au site Web approprié (HTTP ou HTTPS).
  8. Cliquez sur
    Fermer
    . Pour fermer les options Internet, cliquez sur
    OK
    .
  9. Redémarrez la fenêtre du navigateur et accédez à l'URL de CA APM.
Activation de l'authentification Windows dans FireFox
  1. Ouvrez FireFox.
  2. Dans la barre d'adresse du navigateur, entrez
    About:Config
    .
  3. Un avertissement de sécurité s'affiche. Pour continuer, suivez les étapes de l'invite.
  4. Recherchez les paramètres indiqués ci-dessous en parcourant la liste ou en effectuant une recherche spécifique. Recherchez chaque paramètre et mettez à jour la valeur comme suit :
    Paramètre
    Valeur **
    network.negotiate-auth.delegation-uris
    Entrez le nom complet de votre serveur IIS.
    network.automatic-ntlm-auth.trusted-uris
    Entrez le nom complet de votre serveur IIS.
    network.automatic-ntlm-auth.allow-proxies
    True
    network.negotiate-auth.allow-proxies
    True
  5. Redémarrez Firefox.
Sécurité de la recherche
Les recherches par défaut permettent de rechercher des objets dans le référentiel. Elles vous permettent, par exemple, de rechercher des modèles, des actifs, des contacts et autres. La sécurité des recherches par défaut les rend disponibles à tous les utilisateurs et toutes les configurations. Vous pouvez utiliser ces recherches pour créer des recherches supplémentaires.
En revanche, vous pouvez appliquer une sécurité aux recherches que vous créez afin de limiter les utilisateurs autorisés à utiliser la recherche. Lorsque vous enregistrez une recherche configurée, vous pouvez sélectionner des rôles d'utilisateur et des configurations spécifiques (réservé aux administrateurs). Par défaut, les recherches que vous créez sont disponibles à tous les utilisateurs et toutes les configurations. En appliquant une sécurité à vos recherches, vous pouvez empêcher certains utilisateurs d'accéder à des informations sensibles renvoyées par une recherche.
Considérez les informations suivantes lors de l'application d'une sécurité à des recherches :
  • Vous pouvez accéder à toutes les recherches (recherches définies par l'utilisateur et par défaut) afin de configurer et résoudre les problèmes des recherches pour les utilisateurs.
  • Vous pouvez accéder à toutes les recherches et exportations planifiées afin de configurer et résoudre les problèmes des recherches et exportations planifiées pour les utilisateurs.
  • Tous les utilisateurs affectés à un rôle et à une configuration peuvent accéder aux recherches par défaut et aux recherches définies par l'utilisateur affectées à ce rôle et cette configuration. En revanche, les informations et les champs que vous masquez et sécurisez n'apparaissent pas dans les résultats de recherche par défaut.
  • Lorsqu'une recherche par défaut ou définie par l'utilisateur devient non valide en raison de modifications apportées à la configuration, la recherche peut devenir inutile. Vous pouvez supprimer toutes les recherches par défaut et définies par l'utilisateur de CA APM.
Résolution des problèmes de sécurité de recherche
Les conseils relatifs à la résolution de problèmes de sécurité concernant des recherches vous aident lors de l'utilisation de recherches configurées.
Impossible d'affecter un rôle à une recherche configurée
Applicable à tous les environnements d'exploitation pris en charge.
Symptôme :
Lorsque j'essaie de fournir l'accès une recherche configurée à un rôle, je reçois un message d'erreur similaire au suivant :
Vous ne pouvez pas affecter le rôle à la recherche, car ce rôle ne peut pas accéder aux champs suivants : au niveau du type d'actif .
Vous ne pouvez pas affecter le rôle à la recherche, car ce rôle ne peut pas accéder au type d'actif .
Vous ne pouvez pas affecter le rôle à la recherche, car la configuration ne peut pas accéder aux champs suivants : , .
Solution :
Pour corriger cette erreur, appliquez l'une des solutions suivantes :
  1. Mettez la configuration à jour et autorisez le rôle ou l'utilisateur à accéder à la recherche.
  2. Mettez la configuration à jour et supprimez le champ masqué de la recherche.
  3. N'autorisez pas le rôle à accéder à la recherche.
  4. Supprimez la configuration du rôle.
Impossible d'affecter une configuration à une recherche configurée
Applicable à tous les environnements d'exploitation pris en charge.
Symptôme :
Lorsque j'essaie de permettre à une configuration globale ou locale d'accéder à une recherche configurée, je reçois un message d'erreur similaire au suivant :
Vous ne pouvez pas affecter la configuration à la recherche, car cette configuration ne peut pas accéder aux champs suivants : au niveau du type d'actif .
Vous ne pouvez pas affecter de configuration à la recherche, car la configuration ne peut pas accéder au type d'actif
Vous ne pouvez pas affecter la configuration à la recherche, car la configuration ne peut pas accéder aux champs suivants : , .
Solution :
Pour corriger cette erreur, appliquez l'une des solutions suivantes :
  1. Mettez la configuration à jour et rendez le champ masqué disponible pour la recherche.
  2. Mettez la configuration à jour et supprimez le champ masqué de la recherche.
  3. N'autorisez pas la configuration à accéder à la recherche.