Sécurité simplifiée

Cette fonctionnalité est uniquement disponible lors de l'utilisation d'une source de données avancée.

Bien que le scénario suivant soit pertinent pour les petites et moyennes entreprises, il n'est pas recommandé pour une grande entreprise. Pour un scénario plus adapté aux grandes entreprises, veuillez consulter le scénario Sécurité avancée.

Notre entreprise fictive, Windjammer, a quatre groupes d'utilisateurs : HelpDesk, ServiceDesk, Administration et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.

La structure d'arborescence suivante représente les entrées auxquelles les utilisateurs ont accès une fois que toutes les permissions sont définies :

Tree structure
Tree structure

Configuration utilisateur

Voici un exemple de configuration utilisateur. Pour créer des utilisateurs, naviguer vers Administration – Utilisateurs – Ajouter un utilisateur.

La sélection des droits suivante est disponible lors de la configuration d'un utilisateur en tant qu'utilisateur restreint.

User Management - Rights Section
User Management - Rights Section

Administrateurs : les administrateurs ont beaucoup plus d'accès que les utilisateurs réguliers. Lors de la création de ces utilisateurs, définissez le type d'utilisateur sur Administrateur pour leur donner accès à tout. L'administrateur peut accéder à toutes les entrées, indépendamment des permissions.

User Management - Administrator
User Management - Administrator

Utilisateurs réguliers (Utilisateur) : ces utilisateurs ont moins de droits que les administrateurs. Ils ont essentiellement tous les droits de base (sauf Voir Mot de Passe) mais sont susceptibles à toutes les permissions refusées. Plus tard, nous refuserons ces droits en spécifiant quels utilisateurs peuvent réellement effectuer ces actions.

Consultants : les consultants peuvent uniquement voir un sous-ensemble d'entrées, ceux-ci seront définis en tant que Lecture seule. Ils ne peuvent pas ajouter, éditer ou modifier l'information de quelque manière que ce soit.

Configuration des groupes d'utilisateurs

Maintenant que les utilisateurs sont créés, nous ajouterons les groupes d'utilisateurs auxquels nous octroierons les permissions par la suite. Nous devons créer les groupes d'utilisateurs pour leur assigner des utilisateurs. Il n'est pas nécessaire d'octroyer de privilèges à ces groupes d'utilisateurs.

  • ServiceDesk
  • HelpDesk
  • Consultants
    Gestion des utilisateurs et de la sécurité - Groupes d'utilisateurs
    Gestion des utilisateurs et de la sécurité - Groupes d'utilisateurs

Configuration des entrées

Maintenant, tout est prêt pour octroyer ou refuser l'accès aux groupes d'utilisateurs.

  • Le ServiceDesk aura la permission de voir et d'ouvrir toutes les entrées mais pourra seulement éditer les entrées dans les groupes/dossiers clients.
  • Le HelpDesk aura la permission de voir et d'ouvrir des entrées uniquement dans les groupes/dossiers clients et ne pourra pas les éditer.
  • Les Consultants auront la permission de voir et d'ouvrir des entrées uniquement dans le dossier Montréal mais ne pourront ni l'éditer ni ses éléments enfants.

Commencer au niveau des dossiers du coffre : Downhill Pro, Telemark et Windjammer.

La permission de voir le dossier Windjammer sera réglée uniquement pour le ServiceDesk puisque nous voulons qu'ils puissent utiliser ses entrées enfants. Nous ne voulons pas que le ServiceDesk ajoute ou modifie quoi que ce soit. Nous définirons les permissions Ajouter, Modifier, et Supprimer à Jamais. Seul l'administrateur pourra ajouter ou modifier des entrées dans le dossier Windjammer.

Windjammer - Permissions
Windjammer - Permissions

  • Vue : Personnalisée; ServiceDesk.
  • Ajouter : Jamais ; Seul l'administrateur peut ajouter des entrées.
  • Édition : Jamais; Seul l'administrateur peut éditer les entrées.
  • Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
  • Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
  • Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
  • Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Pour Downhill Pro, nous octroierons des permissions au ServiceDesk et au HelpDesk.

Downhill Pro - Permissions
Downhill Pro - Permissions

  • Vue : Personnalisée; HelpDesk, ServiceDesk.
  • Ajouter : Personnalisée; ServiceDesk.
  • Édition : Personnalisée; ServiceDesk.
  • Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
  • Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
  • Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
  • Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

On a déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Un utilisateur ServiceDesk peut voir et utiliser toutes les entrées du dossier Downhill Pro, même les entrées d'identifiant, mais il ne pourra jamais voir aucun mot de passe puisque Voir le mot de passe est refusé (depuis le dossier du coffre).

Ensuite, pour le dossier Telemark, nous octroierons des permissions au ServiceDesk, au HelpDesk et aux Consultants. C'est ici que les choses deviennent complexes. Si nous voulons que les Consultants puissent voir uniquement le dossier Montréal qui est un élément enfant de Telemark, nous devons octroyer aux consultants la permission de voir tout le contenu de Telemark. Ensuite, nous octroierons des permissions sur les éléments enfants uniquement au groupe d'utilisateurs qui devrait avoir accès à ces éléments. Cette dernière étape refusera la permission de visionner pour les consultants sur les éléments enfants.

Telemark - Permissions
Telemark - Permissions

  • Voir : Personnalisé ; Consultants, HelpDesk, ServiceDesk.
  • Ajouter : Personnalisée; ServiceDesk.
  • Édition : Personnalisée; ServiceDesk.
  • Supprimer : Jamais ; Seul l'administrateur peut supprimer des entrées.
  • Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
  • Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
  • Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiants, nous octroyons au ServiceDesk et au HelpDesk l'autorisation de voir le dossier des identifiants. De cette façon, le ServiceDesk et le HelpDesk pourront utiliser les entrées dans le dossier sans révéler les mots de passe. En conséquence, en spécifiant que seuls le HelpDesk et le ServiceDesk ont l'autorisation Voir, nous refusons l'accès à la vue à tout groupe d'utilisateurs ou utilisateur qui n'est pas dans la liste de l'autorisation.

Les permissions Ajouter, Modifier, et Supprimer peuvent être laissées à Hérité car elles héritent des paramètres du dossier parent Telemark. Le ServiceDesk est le seul groupe d'utilisateurs à qui a été octroyée la permission Ajouter et Modifier dans le dossier parent et la permission Supprimer hérite du réglage Jamais.

Telemark/Credentials - Permissions
Telemark/Credentials - Permissions

  • Vue : Personnalisée; HelpDesk, ServiceDesk.
  • Ajouter : Hérité ; ServiceDesk hérité du dossier Telemark.
  • Édition : Héritée; ServiceDesk héritée du dossier Telemark.
  • Supprimer : Héritée; Jamais hérité du dossier Telemark.
  • Déplacer : Hérité ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer les entrées.
  • Voir mot de passe : Hérité; Jamais hérité du coffre. Seuls les administrateurs peuvent voir le mot de passe.
  • Voir les informations sensibles : Héritées; Jamais hérité du coffre. Seuls les administrateurs peuvent voir les informations sensibles.

Nous voulons que le ServiceDesk puisse également utiliser l'entrée d'identifiants Admin du Domaine mais pas le HelpDesk. Pour cela, nous devons octroyer la permission Voir au ServiceDesk. Le ServiceDesk pourra toujours modifier l'entrée d'identifiants mais ne verra jamais le mot de passe. La permission de suppression est définie sur Jamais.

Domain Admin credential entry
Domain Admin credential entry

La dernière étape pour les éléments enfants de Telemark est de définir la permission Voir pour le ServiceDesk et le HelpDesk sur le dossier Boston et laisser toutes les autres permissions de ce dossier à Hérité. Cela empêche les Consultants de voir le dossier Boston. Désormais, les Consultants pourront voir et ouvrir des entrées uniquement dans le dossier Montréal.

Telemark/Boston - Permissions
Telemark/Boston - Permissions

Chaque fois qu'un nouveau dossier est ajouté, l'autorisation Afficher doit être définie pour ServiceDesk et HelpDesk pour masquer le nouveau dossier et son contenu aux Consultants.

Aucune nécessité de définir des permissions sur le dossier Montréal, car elles sont héritées des dossiers parents.

Telemark/Montreal - Permissions
Telemark/Montreal - Permissions

En conclusion

Les permissions sont maintenant correctement définies. Notez que chaque entrée ajoutée au niveau du coffre n'aura pas de sécurité par défaut. Cela signifie qu'elles seraient disponibles pour n'importe qui, même les consultants. Cela peut être confirmé en regardant la capture d'écran ci-dessous dans laquelle l'entrée Routine quotidienne est disponible pour tout le monde. Voici ce que chaque utilisateur devrait voir dans l'arborescence :

Side by Side Tree View
Side by Side Tree View

Personnaliser davantage vos autorisations en utilisant l'onglet Paramètres de sécurité lors de l'édition des entrées, ou l'onglet Journaux pour ajouter plus de traces de passages. Comme toujours, accorder des permissions avec grande précaution.

Devolutions Forum logo Donnez-nous vos commentaires