Contrôle d'accès basé sur les groupes d'utilisateurs

Le contrôle d'accès basé sur les groupes d'utilisateurs de Remote Desktop Manager permet de créer un système de protection granulaire qui est assez flexible. Cependant, la flexibilité a un prix et parfois faire les mauvais choix pourrait augmenter le temps nécessaire à la gestion du système.

Les recommandations suivantes sont basées sur notre expérience avec le système et les idées partagées par notre communauté. Suivre ces lignes directrices, car elles vous aideront à utiliser efficacement le contrôle d'accès basé sur les groupes d'utilisateurs.

Voici les principaux points clés du système de contrôle d'accès basé sur les groupes d'utilisateurs:

• La sécurité est héritée : les éléments et dossiers enfants sont couverts par la sécurité du dossier parent.
• Les permissions peuvent être remplacées : une autorisation définie sur un sous-dossier remplacera l'autorisation de l'élément parent.
• Les permissions sont granulaires: Plusieurs permissions peuvent être définies sur les entrées en même temps.

Améliorer la sécurité

Bien que le contrôle d'accès basé sur les groupes d'utilisateurs soit une excellente fonctionnalité pour sécuriser l'accès aux entrées, de nombreuses autres fonctionnalités peuvent être utilisées pour ajouter davantage de couches de sécurité. Pour plus d'informations, veuillez consulter les rubriques suivantes:

• Fournisseur de sécurité
• Coffre
• Modèles de mot de passe
• Authentification à deux facteurs
• Mot de passe à usage unique

Scénarios

En raison de la grande flexibilité de notre système, il devient difficile de décrire comment réaliser exactement le système de sécurité qui correspond à vos besoins. Pour cette raison, nous avons choisi de décrire les systèmes les plus populaires que nous avons vus utilisés dans notre communauté actuelle d'utilisateurs. Nous espérons que l'un d'entre eux correspondra étroitement à vos besoins. Vous pouvez évidemment mélanger et assortir les différentes stratégies utilisées dans nos scénarios pour répondre à vos exigences.

Veuillez consulter ce qui suit :

• Sécurité simplifiée
• Sécurité avancée

Configuration des groupes d'utilisateurs

Lors de l'utilisation du contrôle d'accès basé sur des groupes d'utilisateurs, les groupes d'utilisateurs sont principalement utilisés pour contrôler l'accès des utilisateurs pour plusieurs utilisateurs à la fois.

Les groupes d'utilisateurs communs peuvent être :

• Service Desk: un point de contact unique pour gérer les incidents, problèmes et questions du personnel et des clients. Fournir une interface pour des activités telles que les demandes de changement, les licences logicielles, la gestion de la configuration, et plus encore.
• Service d'assistance : gérer, coordonner et résoudre les demandes de support.
• Consultants : employés externes sur une base temporaire, ils sont généralement des utilisateurs à lecture seule et peuvent utiliser uniquement un sous-ensemble d'entrées.

Pour être plus précis, nous utiliserons ces noms d'équipes dans nos scénarios.

Créer les groupes d'utilisateurs

Pour créer des groupes d'utilisateurs, aller à Administration – Groupes d'utilisateurs, puis cliquer sur Ajouter des groupes d'utilisateurs.

Tous les paramètres peuvent être laissés par défaut, sauf si le groupe d'utilisateurs contient uniquement des administrateurs. Dans ce cas, cocher la case Administrateur lors de la configuration du groupe d'utilisateurs. Entrer un Nom pour le groupe d'utilisateurs, puis cliquer sur Ok.

Pour attribuer des utilisateurs au groupe d'utilisateurs, cliquez sur le bouton du groupe d'utilisateurs, puis cochez la case Est membre de l'utilisateur respectif.

Configuration de l'utilisateur

Il est possible de changer le modèle d'utilisateur par défaut. Pour ce faire, naviguer vers Administration – Paramètres du système – Gestion des utilisateurs – Modèle d'utilisateur. Ces paramètres contrôlent les paramètres par défaut d'un nouvel utilisateur.

Créer l'utilisateur

Pour créer des utilisateurs, aller à Administration – Utilisateurs, puis cliquer sur Ajouter un utilisateur. Entrer un Identifiant et un Mot de passe pour l'utilisateur et sélectionner le Type d'utilisateur.

Un utilisateur peut être affecté à plusieurs groupes d'utilisateurs à la fois en cochant la case Est membre des groupes d'utilisateurs respectifs dans la section Groupes d'utilisateurs de la Gestion des utilisateurs.

Administrateurs

Administrateurs peuvent tout faire, indépendamment de la sécurité. Ces utilisateurs sont généralement les dirigeants principaux et la haute direction.

Utilisateurs restreints

Utilisateurs restreints ont un accès limité aux ressources. Ils ont généralement uniquement les droits Ajouter et Éditer. Ces utilisateurs peuvent être des dirigeants de niveau moyen ou de premier niveau, comme le service desk et le help desk.

Utilisateurs

Utilisateurs ont également un accès limité aux ressources tout comme les utilisateurs restreints. Cependant, les utilisateurs ont par défaut les droits Ajouter, Éditer et Supprimer et peuvent effectuer ces actions sur toutes les entrées non sécurisées.

Utilisateurs en lecture seule

Utilisateurs en lecture seule peuvent uniquement voir et utiliser les ressources, mais ne peuvent pas les éditer. Ces utilisateurs sont généralement des consultants externes.

Sélectionner le type d'utilisateur approprié

Lors de la création d'utilisateurs, certains points clés doivent être pris en considération. Se poser les questions suivantes lors de la configuration d'un nouvel utilisateur :

• Devraient-ils pouvoir accéder à toutes les ressources sans restriction ? Ce sont vos Administrateurs.
• Doivent-ils pouvoir ajouter, modifier ou supprimer des entrées ? Un Utilisateur aurait toutes ces possibilités. Sinon, vous pouvez sélectionner des droits spécifiques avec Utilisateur restreint.
• Devraient-ils pouvoir voir des informations sensibles ou importer et exporter des entrées ? Si non, les utilisateurs Lecture seule conviennent mieux à ceux qui devraient avoir un accès très limité.

Configuration de l'entrée

L'accès est octroyé ou refusé aux utilisateurs en définissant des permissions sur les entrées. Les Permissions peuvent être définies sur des utilisateurs ou des groupes d'utilisateurs. La meilleure pratique est d'octroyer des permissions aux groupes d'utilisateurs pour contrôler l'accès de plusieurs utilisateurs à la fois.

Pour définir des permissions sur une entrée, modifiez n'importe quelle entrée, puis naviguez vers la section Permissions.

Les permissions sont généralement définies sur les dossiers et s'appliquent à toutes les entrées enfants. Une meilleure pratique consiste à définir toutes les permissions du dossier du coffre à Jamais. En conséquence, toutes les permissions de toutes les entrées sont refusées par défaut.

L'accès est refusé aux utilisateurs en octroyant expressément l'accès à d'autres utilisateurs. En d'autres termes, tous les utilisateurs qui ne figurent pas sur la liste d'une permission se voient refuser l'accès.

Pour qu'un utilisateur ait accès à un sous-dossier, l'utilisateur doit avoir au moins l'autorisation de vue sur tous les dossiers parent.

Considérer la structure suivante :

Il y a trois niveaux de dossiers: le coffre, Telemark, et les éléments enfants de Telemark.

Supposons qu'un utilisateur, tel qu'un consultant, doit avoir accès uniquement au dossier Montréal. Le consultant doit se voir accorder la permission de voir également le dossier Telemark. Cependant, accorder l'accès au dossier Telemark donne au consultant la permission de voir tous les éléments enfants de Telemark. Pour refuser les permissions de visionnement pour le consultant sur des éléments enfants spécifiques, les permissions de visionnement de ces éléments doivent être expressément définies pour d'autres utilisateurs.