Aller au contenu principal

Droits — Utilisateurs / Rôles / OUT

L'écran Droits — Utilisateurs / Rôles / OUT renvoie l'union de deux ensembles :

  • Droits déclarés — toutes les lignes SER_RUN = 'Y' de la table des droits (les règles que le système source applique à l'exécution).
  • Activité observée — chaque couple distinct (utilisateur, objet) capté par Object Usage Tracking, marqué avec le rôle synthétique *ALL, l'action *DEFAULT et les indicateurs Y / Y / Y / Y.

Le résultat est le security workbench vu à travers l'usage : ce que les utilisateurs ont le droit de faire plus ce qu'ils ont effectivement fait, côte à côte.

Vue d'ensemble

Nomasx-1 · Applications · Droits · Utilisateurs / Rôles / OUTAPPUTIL.RÔLEOBJETVERSIONRUNAJTMODSUP12APMGRCPTA_FOURP0411ZJDE0001YYYN12APMGR*ALL (observé)P4310ZJDE0001YYYY12SVC_BATCH*ALL (observé)R31410XJDE0001YYYYDÉCLARÉ vs OBSERVÉLes lignes *ALL (observé) viennent d'Object Usage Tracking — l'utilisateur a réellement lancé cet objet, qu'une règle déclarée le couvre ou non.

Objectif de l'écran

Pour chaque application connectée :

  • Déclaré et observé au même endroit. Auditer le droit tel qu'écrit (lignes déclarées) et le droit tel qu'exercé (lignes observées) sans jongler entre deux écrans.
  • Repérer les sur-attributions. Un utilisateur avec des droits déclarés qu'il n'a jamais exercés est le candidat de révocation le plus net — les écrans Transactions et OUT fournissent les éléments de preuve.
  • Repérer les sous-attributions. Un utilisateur apparaissant sur des lignes *ALL (observé) pour un objet sans couverture déclarée signale soit une règle héritée que l'analyse a manquée, soit un contournement à investiguer.
Spécifique JDE

Cette vue est spécifique à JDE : la moitié observée vient de LICENSE_JDE_OUT, jointe aux tables d'objets JDE et de composants de licence. Les autres systèmes sources peuvent alimenter la même vue en exposant un journal d'usage équivalent.

Colonnes

ColonneSourceCe qu'on y lit
Application IDSER_APPS_ID — identifiant de l'application. Filtrable.Application concernée par la ligne.
Utilisateur IDSER_USER_ID — utilisateur. Filtrable.Utilisateur effectif.
Rôle IDSER_ROLE_ID — rôle accordant le droit, ou *ALL pour les lignes observées.Provenance de la ligne.
ObjetSER_OBJECT — objet technique. Filtrable.Ce que la ligne couvre.
FormSERL_FORM — code form, ou *ALL pour les lignes observées.Écran spécifique, quand connu.
VersionSER_VERSION — version de traitement.Variante de configuration.
Run / Ajouter / Modifier / SupprimerSER_RUN, SER_ADD, SER_CHG, SER_DELY / N.Indicateurs d'action. Les lignes observées reportent toujours Y / Y / Y / Y (le système source n'aurait pas exécuté l'appel sinon).
Action de rôleSER_ROLE_ACTION_ID — identifiant d'action, ou *DEFAULT pour les lignes observées.Descripteur d'action côté source.

Conseils & bonnes pratiques

  • Filtrer sur un seul utilisateur + regrouper par Objet — les lignes en doublon prouvent que le droit est à la fois déclaré et exercé. Une ligne unique (déclarée ou observée, pas les deux) est l'écart à investiguer.
  • Trier par Rôle ID avec les lignes *ALL en tête — fait remonter les lignes observées-sans-déclaration.
  • Rogner les droits au niveau rôle dont les objets n'apparaissent que sur *ALL — c'est-à-dire jamais déclarés, jamais atteints depuis un menu — ce sont en général des vestiges d'une configuration précédente.
  • Pour les comptes batch / de service, la majorité des lignes seront ALL (observé) puisque ces comptes ont rarement une couverture rôle explicite. Les marquer dans Paramètres → Propriétés utilisateurs pour ne pas polluer l'analyse.