Aller au contenu principal

Rôles non utilisés

L'écran Rôles non utilisés liste les rôles qui existent dans le système source sans aucune ligne dans la table des affectations. Une ligne par couple (Application, Rôle). Ces rôles forment la file d'attente du nettoyage : ils alourdissent le catalogue sans contribuer à un accès actif.

Supprimer les rôles inutilisés est ce qui maintient le modèle de sécurité lisible et réduit la surface d'attaque : un rôle que personne ne détient aujourd'hui peut être affecté à un compte de service demain sans que personne ne s'en aperçoive.

Vue d'ensemble

Nomasx-1 · Sécurité · Rôles non utilisésAPPLICATIONRÔLE ID12 — JDE ProductionCPTA_FOUR_OLD12 — JDE ProductionFIN_HISTO21 — SAP ProductionZ_TEMP_202321 — SAP ProductionZ_FORMATION17 rôles non utilisés sur 2 applications

Objectif de l'écran

Pour chaque rôle connu d'une application connectée, faire ressortir ceux qui n'ont aucune affectation active :

  • Que retirer ? Les rôles sans détenteur sont la cible évidente du nettoyage. Le calcul s'appuie sur un LEFT JOIN vers SECURITY_ASSIGNMENTS filtré sur NULL — aucun double comptage, aucun faux positif.
  • À quoi servait ce rôle ? Consulter l'écran Rôles pour retrouver l'intention initiale avant de supprimer — un rôle sans détenteur courant peut être un rôle de secours gardé prêt en cas d'incident.
  • Le même rôle est-il décliné sous plusieurs noms ? La liste des rôles inutilisés met souvent en évidence des dérives de nommage (par exemple CPTA_FOUR_OLD à côté de CPTA_FOUR en service).

L'écran est l'un des livrables que les auditeurs attendent à chaque revue trimestrielle des accès.

Colonnes

ColonneSourceCe qu'on y lit
Application IDAPPS_ID — identifiant numérique de l'application source. Jointe à SETTINGS_APPLICATIONS pour afficher également le nom de l'application.Application à laquelle appartient le rôle inutilisé.
Rôle IDROL_ID — identifiant technique du rôle. Restreint par l'application choisie.Rôle sans aucune affectation.

Les deux filtres au-dessus de la grille (Application ID et Rôle ID) acceptent les opérateurs standards contains / equals / notEquals / startsWith / endsWith. La liste déroulante Rôle ID est restreinte à l'application choisie au-dessus.

Conseils & bonnes pratiques

  • Trier par Application ID pour traiter une source à la fois — la décision de nettoyage relève en général de l'administrateur sécurité de cette application.
  • Recouper avec l'écran Rôles pour relire la description d'origine avant suppression — certains rôles inutilisés sont des réserves intentionnelles.
  • Confirmer côté système source avant de retirer : la ligne disparaîtra du catalogue Rôles au prochain scan, mais la définition du rôle elle-même doit être supprimée dans la source.
  • Repasser sur l'écran après le scan suivant pour valider que le nettoyage a bien été pris en compte — la ligne doit sortir automatiquement.