Création d'un rôle d'administrateur

Lorsque vous créez un rôle d'administrateur, vous créez un rôle personnalisé. Vous ne pouvez pas créer de rôles intégrés.

A propos de cette tâche

Pour renforcer la sécurité, IBM® Verify l'accès au secret client nécessite désormais de nouveaux droits d'accès. Pour plus d'informations, consultez les sections « Mises à jour de sécurité pour les droits » et « Droits d'accès ».
Remarque : afin de limiter les répercussions, veuillez mettre à jour vos rôles d'administrateur personnalisés et vos clients API en leur attribuant les nouveaux droits en fonction de leurs besoins avant que les modifications à venir concernant les secrets client n'entrent en vigueur.

Procédure

  1. Accédez à la section « Rôles d'administrateur ».
  2. Cliquez sur « Créer un rôle ».
    Remarque : le rôle dynamique est en cours de remplacement par le groupe dynamique. Dans le cadre de cette transition, les rôles « Dynamic » existants seront convertis en rôles d'administrateur standard, tout en conservant leur composition. Un nouveau groupe dynamique, portant le même nom que le rôle d'administrateur, est créé avec les ensembles de conditions et les appartenances existants. Le groupe dynamique ainsi créé est ensuite associé au rôle d'administrateur standard correspondant. Les droits d'administrateur existants accordés aux membres des rôles dynamiques restent inchangés.
  3. Veuillez fournir les informations relatives à la configuration générale.
    1. Indiquez un nom pour le rôle.
      Le nom est limité à 1024 caractères.
    2. Facultatif : ajoutez une description.
      La description est limitée à 1024 caractères.
  4. Cliquez sur Suivant.
  5. Indiquez les informations relatives à la composition des rôles.
    1. Cliquez sur l'onglet « Rôles ».
    2. Sélectionnez les rôles à inclure dans le nouveau rôle.
    3. Dans l'onglet « Autorisations », sélectionnez les autorisations que vous souhaitez attribuer au rôle.
      La colonne Abonnement identifie le type d'abonnement dont votre titulaire a besoin pour affecter cette autorisation.
      Remarque : si vous sélectionnez une autorisation dont le type de portée est « groupe », manageUserGroups « readUserGroups, », «, » resetPasswordAnyUser ou « » et que votre tenant prend en charge les grands groupes, vous pouvez ajouter une portée afin de limiter les groupes pouvant être gérés par ce rôle.
  6. Cliquez sur Suivant.
  7. Facultatif : si vous avez sélectionné une autorisation dont le type de portée est « groupe » et que le tenant prend en charge les grands groupes, ajoutez une portée.
    1. Cochez la case « Limiter les autorisations liées aux groupes à des groupes spécifiques ».
      Cette option limite le droit d'accès du membre de rôle administrateur aux groupes spécifiés.
    2. Utilisez la zone de recherche pour rechercher un groupe et sélectionnez-le dans les résultats.
      Répétez la recherche pour chaque groupe que vous souhaitez ajouter. Pour supprimer un groupe de la liste, cliquez sur l'icône de suppression.
  8. Cliquez sur Suivant.
  9. Vérifiez les informations affichées sur la page d'aperçu.
    Les rôles sélectionnés, les droits et toutes les portées s'affichent.
  10. Cliquez sur « Créer un rôle ».
    Le nouveau rôle s'affiche dans la table Rôles d'administration.
  11. Sélection des rôles
    Remarque :

    Pour consulter la liste de tous les utilisateurs et déterminer l'activité d'un utilisateur spécifique, l'administrateur doit disposer d'une ou plusieurs des autorisations suivantes :

    • readUserGroups
    • manageUserGroups
    • manageAllUserGroups
    • manageUserStandardGroups

    De plus, l'administrateur pourrait avoir besoin d'une ou plusieurs autorisations générales parmi celles énumérées ci-dessous :

    • tenantadmin (L'affectation d'un membre au admin groupe ne peut se faire que par un appel d'API.)
    • reserved_appowner (membre du application owners groupe, ou peut être attribué uniquement via un appel d'API).