Bonnes pratiques pour créer une affection de rôle personnalisé
Les rôles d'administrateur personnalisés vous offrent davantage de flexibilité en associant trois composantes et la capacité à donner des rôles granulaires à vos administrateurs. Cependant, voici quelques conseils à prendre en compte avant de créer des attributions d'administrateur :
-
Bien que vous puissiez créer une attribution de rôle à partir d'un administrateur, d'un rôle ou d'un ensemble de ressources, nous vous recommandons de penser à cette attribution du point de vue des ressources. Il est utile de réfléchir aux ressources auxquelles votre administrateur doit pouvoir accéder et aux rôles qui doivent lui être donnés.
-
Si vous voulez qu'un administrateur puisse afficher toutes les ressources, mais gérer uniquement certaines des ressources, créez deux attributions de rôle distinctes pour l'administrateur.
Par exemple, un ensemble d'administrateurs a besoin d'être en capacité d'afficher tous les utilisateurs, mais de modifier uniquement les utilisateurs de certains groupes. Dans ce cas, créez deux rôles : un rôle Voir les utilisateurs et un rôle Modifier des utilisateurs. Lorsque vous attribuez ces rôles à un administrateur :-
Appliquez le rôle Voir les utilisateurs à un ensemble de ressources contenant tous les utilisateurs.
Vous devez créer un ensemble de ressources qui contraint tous les utilisateurs.
-
Limitez le rôle Modifier des utilisateurs à un ensemble de ressources plus ciblé, qui contient le groupe d'utilisateurs auquel les administrateurs doivent avoir accès pour y apporter des modifications.
-
Il est possible que vous deviez affecter plusieurs rôles à un administrateur pour appliquer différentes permissions à différents ensembles de ressources. Consulter Permissions de rôle.
Imaginez un scénario où un groupe d'administrateurs a l'autorisation de gérer les applications d'intégration de votre org. Cependant, vous souhaitez que ces administrateurs soient limités à exécuter les importations pour certaines des applications dans le cadre de l'attribution. Dans ce cas, vous avez besoin des éléments suivants :
-
Ensembles de ressources :
-
Un ensemble de ressources qui contient toutes les applications que les administrateurs doivent gérer. Dans ce cas, un ensemble de ressources qui contient toutes les applications d'intégration utilisées par votre org. Vous pouvez nommer cet ensemble de ressources Toutes les applications d'intégration.
-
Un ensemble de ressources qui contient toutes les applications pour lesquelles les administrateurs doivent exécuter les importations. Dans ce cas, un ensemble de ressources qui contient toutes les applications d'intégration qui disposent d'une source de profil. Vous pouvez nommer cet ensemble de ressources Applications avec source de profil.
-
-
Rôles :
-
Un nouveau rôle avec l'autorisation Gérer les applications. Vous pouvez nommer ce rôle Gestionnaires d'applications d'intégration.
-
Un autre rôle avec l'autorisation Exécuter les importations. Vous pouvez nommer ce rôle Gestionnaires d'applications avec source de profil.
-
-
Pour accorder le niveau d'accès approprié à vos administrateurs :
-
Affecter le rôle Gestionnaires d'applications d'intégration à l'ensemble de ressources Toutes les applications d'intégration.
-
Affecter le rôle Gestionnaires d'applications avec source de profil à l'ensemble de ressources Applications avec source de profil.
-
Imaginez un autre scénario, dans lequel le groupe Employés de Los Angeles est un sous-ensemble du groupe Employés des États-Unis. Vous souhaitez qu'un groupe d'administrateurs du soutien technique, membres du groupe Soutien technique Los Angeles, puissent afficher tous les utilisateurs du groupe Employés des États-Unis. Cependant, ils ne doivent pouvoir modifier que les profils des utilisateurs membres du groupe Employés de Los Angeles. Dans ce cas, vous avez besoin des éléments suivants :
-
Ensembles de ressources :
-
Un ensemble de ressources qui contient tous les groupes d'utilisateurs pour lesquels les administrateurs du soutien technique ont besoin de permissions pour pouvoir les afficher. Dans ce cas, un ensemble de ressources qui contient tous les groupes individuels utilisés pour gérer les Employés des États-Unis. Vous pouvez nommer cet ensemble de ressources Tous les employés des États-Unis.
-
Un ensemble de ressources qui contient les groupes pour lesquels l'administrateur a besoin d'une autorisation particulière. Dans ce cas, un ensemble de ressources qui contient uniquement le groupe Employés de Los Angeles. Vous pouvez nommer cet ensemble de ressources Employés de Los Angeles.
-
-
Rôles :
-
Un nouveau rôle avec l'autorisation Voir les utilisateurs. Vous pouvez enregistrer ce rôle personnalisé sous le nom de Observateur Soutien technique.
-
Un autre rôle avec l'autorisation Gérer les profils d'utilisateur. Vous pouvez enregistrer ce rôle personnalisé sous le nom de Profile Editor Soutien technique.
-
-
Pour créer les attributions de rôle à partir du groupe Soutien technique Los Angeles :
-
Affectez et appliquez le rôle Observateur Soutien technique à l'ensemble de ressources Tous les employés des États-Unis.
-
Affectez et appliquez le rôle Profile Editor Soutien technique à l'ensemble de ressources Employés de Los Angeles.
-
-
Pour comprendre les rôles personnalisés facilement et en un clin d'œil :
-
Nommez vos rôles personnalisés et ensembles de ressources de sorte que les permissions et ressources incluses soient explicites.
-
Ajoutez des détails sur ces dernières dans la description.
-
Pour voir un tutoriel vidéo, consultez Bonnes pratiques : rôles d'administrateur personnalisés.