Con il sistema di controllo degli accessi basato sui ruoli (RBAC) di SaltStack Config, è possibile definire le impostazioni delle autorizzazioni per più utenti contemporaneamente, poiché le impostazioni delle autorizzazioni per un ruolo si applicano a tutti gli utenti inclusi nel ruolo. È possibile definire queste impostazioni nell'area di lavoro Ruoli nell'interfaccia utente.

Le autorizzazioni dei ruoli sono aggiuntive. Gli utenti assegnati a più ruoli ricevono l'accesso a una combinazione di tutti gli elementi concessi da ciascun ruolo. Ciò garantisce che gli utenti con background simili ricevano le stesse impostazioni di autorizzazione e che gli utenti con una serie di responsabilità abbiano accesso a tutto ciò che serve.

SaltStack Config contiene diversi ruoli predefiniti che non possono essere eliminati. Inoltre, è possibile creare ruoli personalizzati per le esigenze univoche della propria organizzazione. Vedere Impostazioni e ruoli predefiniti.

Per assegnare a un ruolo l'autorizzazione a completare un'attività, è necessario definire sia l'attività consentita sia assegnare l'accesso a una risorsa o a un'area funzionale. Un'autorizzazione è una vasta categoria di azioni consentite, mentre l'accesso alle risorse consente di definire una risorsa specifica (ad esempio un processo o una destinazione) in cui è possibile eseguire l'azione. Vedere Differenza tra attività consentite e accesso alle risorse.

L'accesso alle risorse per determinati tipi di risorse e aree funzionali deve essere definito nell'API (RaaS) anziché nell'editor Ruoli. Vedere Accesso alle risorse.

Creazione di un ruolo

In alcuni casi, la clonazione di un ruolo potrebbe essere più conveniente rispetto alla creazione di un nuovo ruolo. È possibile clonare un ruolo esistente e quindi modificare il clone secondo necessità.

  1. Fare clic su Amministrazione > Ruoli nel menu laterale.
  2. Fare clic su Crea.
  3. Assegnare un nuovo nome al ruolo.
  4. In Attività, selezionare le azioni consentite per concedere il ruolo. Per una descrizione delle attività disponibili, vedere Attività.
  5. Fare clic su Salva.

    Sono stati completati i passaggi minimi necessari per creare un ruolo. Per ulteriori informazioni sulla definizione delle impostazioni del ruolo, vedere Modifica di un ruolo.

Clonazione di un ruolo

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera clonare.
    Nota: Per motivi di sicurezza, il ruolo di utente con privilegi avanzati integrato non può essere clonato perché è un nome riservato.
  2. Fare clic su Clona.
  3. Immettere un nuovo nome per il ruolo, quindi fare clic su Salva.

    Sono stati completati i passaggi minimi necessari per clonare un ruolo. Per ulteriori informazioni sulla definizione delle impostazioni del ruolo, vedere Modifica di un ruolo.

    Nota: Per impostazione predefinita, i ruoli clonati ereditano le attività consentite dal ruolo originale. I ruoli clonati non ereditano l'accesso alle risorse, che deve essere definito separatamente. Vedere Assegnazione dell'accesso a un progetto o a una destinazione.

Modifica di un ruolo

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera modificare.
  2. Selezionare una scheda (da Attività, Accesso alle risorse, Gruppi o Utenti) e modificare le impostazioni del ruolo in base alle esigenze.

    Per ulteriori informazioni sulla modifica di ciascuna scheda, vedere di seguito.

  3. Fare clic su Salva dopo aver apportato le modifiche prima di selezionare una nuova scheda.
Nota: La sezione precedente descrive come modificare un ruolo utilizzando l'editor standard. SaltStack Config include anche un editor avanzato consigliato solo per gli utenti avanzati. Per ulteriori informazioni sull'editor avanzato, vedere Autorizzazioni avanzate.

Impostazione delle attività consentite

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera modificare.
  2. In Attività, selezionare le attività consentite per assegnare il ruolo. Le attività rappresentano casi d'uso comuni in SaltStack Config. L'abilitazione di un'attività offre al ruolo tutte le autorizzazioni necessarie per completare l'attività.

    Per le descrizioni delle attività, vedere Attività.

  3. Fare clic su Salva.
Nota: Oltre ad assegnare un'autorizzazione, è necessario abilitare l'accesso alle risorse specifiche (ad esempio un processo o una destinazione) per il ruolo in cui eseguire l'azione. Vedere Differenza tra attività consentite e accesso alle risorse.

Assegnazione dell'accesso a un progetto o a una destinazione

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera modificare.
  2. In Accesso alle risorse, individuare il processo o la destinazione richiesti e selezionare il livello di accesso che si desidera fornire. Ad esempio, per consentire a un ruolo di eseguire i processi, selezionare Lettura/esecuzione per il processo.

    Se la risorsa che si desidera selezionare non viene visualizzata, fare clic su Mostra tutte le destinazioni o su Mostra tutti i processi rispettivamente.


    roles-show-jobs

    In SaltStack Config, sia i processi che le destinazioni sono considerati tipi di risorse diversi. Per ulteriori informazioni sull'accesso alle risorse, vedere Accesso alle risorse.

  3. Fare clic su Salva.
Nota: Oltre ad assegnare l'accesso alle risorse per un processo, è inoltre necessario assegnare l'accesso a una destinazione per l'esecuzione del processo e assegnare l'autorizzazione a eseguire i processi. Vedere Differenza tra attività consentite e accesso alle risorse.

Aggiunta o rimozione di gruppi

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera modificare.
  2. In Gruppi, selezionare i gruppi che si desidera includere nel ruolo.

    I gruppi vengono importati tramite una connessione al servizio directory. Se non viene visualizzato il gruppo previsto, assicurarsi di aver aggiunto la connessione e i gruppi sincronizzati.

    Tutti i gruppi rimossi dalla connessione del servizio directory vengono archiviati. Anche se sono inattivi e gli utenti non possono eseguire l'accesso, sono comunque visibili nell'area di lavoro Ruoli.

    Nota: Le autorizzazioni dei ruoli sono aggiuntive. Gli utenti nei gruppi assegnati a più ruoli ricevono l'accesso a una combinazione di tutti gli elementi concessi da ciascun ruolo.
  3. Fare clic su Salva.

    Ai gruppi selezionati, inclusi tutti gli utenti in tali gruppi, viene ora concesso l'accesso a tutte le attività e le risorse consentite definite nelle impostazioni del ruolo.

Aggiunta o rimozione di utenti

Gli utenti ereditano le impostazioni delle autorizzazioni (ad esempio l'assegnazione a un ruolo) dai gruppi a cui appartengono. Una procedura consigliata consiste nell'evitare di aggiungere singoli utenti a un ruolo, ma di aggiungere l'utente a un gruppo che appartiene al ruolo. Per impostazione predefinita, tutti i nuovi utenti sono inclusi nel ruolo Utente. Vedere Impostazioni e ruoli predefiniti.

  1. Nell'area di lavoro Ruoli, selezionare il ruolo che si desidera modificare.
  2. In Utenti, selezionare gli utenti che si desidera includere nel ruolo.

    L'area di lavoro Ruoli consente di gestire le impostazioni per i singoli utenti inclusi in un gruppo dei servizi directory solo dopo il primo accesso dell'utente. Per ulteriori informazioni, vedere Autenticazione con LDAP.

  3. Fare clic su Salva.

Per ulteriori informazioni

I seguenti articoli forniscono informazioni più dettagliate sui concetti correlati a RBAC per SaltStack Config.