Gérer les rôles d’utilisateur Service Manager
Cette section fournit une vue d’ensemble des rôles d’utilisateur dans la liste des profils de rôle utilisateur dans Service Manager. Elle inclut des procédures qui vous permettront d'utiliser les rôles d'utilisateur.
À propos des rôles d’utilisateur
Dans votre entreprise, certains employés sont responsables du support matériel, tel que les ordinateurs portables et les serveurs. Certains des employés sont autorisés à créer et à mettre à jour des éléments de configuration, mais pas à les supprimer, alors que d'autres sont autorisés à les créer, les mettre à jour et les supprimer.
Dans la liste des profils de rôle utilisateur dans Service Manager, les droits de sécurité qui permettent aux utilisateurs d’accéder ou de mettre à jour des informations sont définis dans un profil de rôle d’utilisateur. Un profil de rôle d’utilisateur est une collection nommée de droits d’accès et correspond généralement aux responsabilités métier d’un employé. Chaque profil de rôle d'utilisateur contrôle l'accès à des artéfacts tels que des articles de base de connaissances, des éléments de travail (incidents, demandes de modification), la création, l'administration et d'autres informations d'identification. Considérez les profils de rôle d’utilisateur comme définissant ce que vous êtes autorisé à faire.
À l'avenir, les gestionnaires de votre organisation pourront décider de scinder le groupe d'employés qui maintiennent les éléments de configuration en deux groupes : ceux qui traitent les éléments de configuration pour les ordinateurs de bureau, et ceux qui traitent les éléments de configuration pour les ordinateurs portables. Ils veulent conserver ces deux profils de rôle d'utilisateur, un qui peut créer et modifier, mais pas supprimer, des éléments de configuration, et l'autre qui peut les créer, les modifier et les supprimer. Vous pouvez définir ces profils de rôle d'utilisateur avec des étendues différentes, une pour les ordinateurs de bureau et l'autre pour les ordinateurs portables. Si les profils de rôle utilisateur définissent ce que vous êtes autorisé à faire, pensez à des étendues comme définissant les éléments que vous êtes autorisés à modifier. La combinaison d'un profil de rôle d'utilisateur et d'une étendue est appelée un rôle d'utilisateur.
Comprendre les rôles d’utilisateur
Dans Service Manager, lorsque vous sélectionnez Administration, développez Sécurité et sélectionnez Rôles d’utilisateur, un volet Rôles d’utilisateur affiche une liste de rôles d’utilisateur. Chacun de ces rôles d'utilisateur a été configuré avec un profil de rôle d'utilisateur et une étendue non définie. Comme l'étendue n'est pas définie pour ces rôles d'utilisateur, ils peuvent exercer leurs profils d'utilisateur sur tous les packs d'administration, files d'attente, groupes, tâches, affichages et modèles de formulaire. Le tableau suivant répertorie les rôles d'utilisateur par défaut, leurs profils de rôle d'utilisateur associés et leur étendue.
| Rôle utilisateur | Profil de rôle d'utilisateur | Étendue |
|---|---|---|
| Responsables de l'implémentation de l'activité | Responsable de l'implémentation de l'activité | Global |
| Administrateurs | Administrateurs | Global |
| Opérateurs avancés | Opérateur avancé | Global |
| Initiateurs de modification | Initiateur de modification | Global |
| Utilisateurs finaux | Utilisateur final | Global |
| Opérateurs en lecture seule | Opérateur en lecture seule | Global |
| Auteurs | Auteur | Global |
| Analystes des problèmes | Analyste des problèmes | Global |
| Flux de travail | Workflow | Global |
| Résolveurs d'incident | Programme de résolutions des incidents | Global |
| Gestionnaires de modification | Gestionnaire de modification | Global |
| Utilisateurs de rapports | Utilisateur de rapports | Global |
| Gestionnaire de versions | Gestionnaire de version | Global |
| Analystes de demande de service | Analyste de demande de service | Global |
Remarque
Le rôle d’utilisateur Utilisateurs du rapport Service Manager est disponible uniquement après vous être inscrit auprès de l’entrepôt de données Service Manager et après que le bouton de navigation de l’entrepôt de données est disponible. Pour afficher le rôle d’utilisateur Utilisateurs du rapport Service Manager, sélectionnez Entrepôt de données, Développez Sécurité et sélectionnez Rôles d’utilisateur.
Exemple
Par exemple, imaginons que vous vouliez définir un accès de sécurité qui autorise les utilisateurs à créer et modifier, mais pas supprimer, des éléments de configuration, et un autre accès de sécurité autorisant les utilisateurs à en créer, en modifier et en supprimer. L'Annexe A, à la fin de ce guide, répertorie les profils de rôle d'utilisateur et leurs artéfacts associés. Le tableau suivant montre des profils de rôle d'utilisateur qui sont liés à des éléments de configuration.
| Profil de rôle d'utilisateur | Créer des éléments de configuration | Mettre à jour des éléments de configuration | Supprimer des éléments de configuration |
|---|---|---|---|
| Utilisateur de rapports | Non | Non | Non |
| Utilisateur final | Non | Non | Non |
| Opérateur en lecture seule | Non | Non | Non |
| Responsable de l'implémentation de l'activité | Non | Non | Non |
| Initiateur de modification | Non | Non | Non |
| Programme de résolutions des incidents | Non | Non | Non |
| Analyste des problèmes | Non | Non | Non |
| Gestionnaire de modification | Non | Non | Non |
| Opérateur avancé | Oui | Oui | Non |
| Auteur | Oui | Oui | Non |
| Workflow | Oui | Oui | Non |
| Administrateurs | Oui | Oui | Oui |
À l'aide du tableau précédent, vous pouvez voir que le profil de rôle d'utilisateur Opérateurs avancés peut créer et mettre à jour, mais pas supprimer, des éléments de configuration. Le profil de rôle d'utilisateur Administrateurs peut créer, mettre à jour et supprimer des éléments de configuration. Les membres de l’équipe de gestion des ressources autorisées à créer et à mettre à jour, mais pas à supprimer, les éléments de configuration sont membres du profil d’opérateurs avancés Service Manager prédéfinis. Les membres de l'équipe de gestion du matériel autorisés à créer, à modifier et à supprimer des éléments de configuration deviennent membres du profil Administrateurs.
N'oubliez pas que les membres de l'équipe de gestion du matériel peuvent changer. Vous devez créer deux groupes dans les services de domaine Active Directory (AD DS) et rendre ces groupes membres des profils Opérateurs avancés et Administrateurs. Ensuite, au fur et à mesure que les membres changent, les utilisateurs sont ajoutés et supprimés du groupe Active Directory, et aucune modification ne doit être apportée dans Service Manager.
Dans le futur, si vous scindez l'équipe de gestion du matériel en deux groupes, un pour les ordinateurs de bureau et l'autre pour les ordinateurs portables, vous pouvez créer votre propre rôle d'utilisateur en utilisant les mêmes profils de rôle d'utilisateur, mais des étendues différentes.
Pourquoi certains rôles d’utilisateur ne peuvent pas être créés
Lorsque vous créez un rôle d’utilisateur, notez que trois rôles d’utilisateur ne sont pas disponibles : administrateur, utilisateur de rapport et flux de travail. Ces trois rôles d’utilisateur sont créés et remplis pendant l’installation, et, en général, ces rôles d’utilisateur sont utilisés par Service Manager. Les sections suivantes décrivent chacun de ces rôles d'utilisateur.
Administrateurs
Le rôle d’utilisateur Administrateur est global dans l’étendue ; par conséquent, il n’existe aucune raison de créer un autre rôle d’utilisateur de ce type.
Utilisateur de rapport
Le rôle d’utilisateur, Utilisateur de rapport, a un objectif dans Service Manager : pour rechercher l’ordinateur hébergeant Microsoft SQL Server Reporting Services (SSRS) pour l’utilisateur dans une console Service Manager. Lorsqu’un utilisateur dans une console Service Manager tente d’exécuter un rapport, une requête est effectuée sur le serveur d’administration Service Manager qui recherche l’ordinateur qui héberge le serveur d’administration de l’entrepôt de données. La console Service Manager interroge ensuite le serveur d’administration de l’entrepôt de données qui recherche le nom de l’ordinateur hébergeant SSRS. Avec ces informations, la console Service Manager se connecte à SSRS. L'unique objectif du rôle Utilisateur de rapports est de faire ces requêtes. Une fois la console Service Manager connectée à SSRS, les informations d’identification de l’utilisateur exécutant la console accordent l’accès tel que défini sur le SSRS. En raison de l’objectif étroit de ce rôle d’utilisateur, il n’existe aucune raison de créer un autre rôle d’utilisateur.
Flux de travail
Les flux de travail peuvent devoir lire et écrire dans la base de données Service Manager. Pendant l’installation, vous êtes invité à fournir des informations d’identification pour le rôle d’utilisateur Flux de travail, et ce rôle d’utilisateur effectue les actions requises sur la base de données Service Manager. Comme le rôle d’utilisateur, l’utilisateur de rapport, l’objectif étroit du rôle d’utilisateur workflow signifie qu’il n’existe aucune raison de créer d’autres rôles d’utilisateur.
Ajouter un membre à un rôle d’utilisateur
Dans Service Manager, vous pouvez affecter des utilisateurs à un rôle d’utilisateur pour définir ce qu’ils peuvent faire.
Dans cet exemple, vous devez ajouter des membres à une équipe de gestion du matériel qui peut créer et mettre à jour, mais pas supprimer, des éléments de configuration dans le rôle d'utilisateur. En examinant la section Éléments de configuration des profils de rôle utilisateur dans Service Manager, vous voyez que le profil de rôle utilisateur Opérateurs avancés fournit ce dont vous avez besoin en ce qui concerne les autorisations pour cette équipe. À ce moment, tous les membres de l'équipe de gestion du matériel sont responsables du matériel de l'entreprise, ils requièrent donc une étendue illimitée.
Utilisez les procédures suivantes pour ajouter un utilisateur au rôle d’utilisateur Opérateurs avancés Service Manager, puis valider l’attribution de l’utilisateur au rôle d’utilisateur.
Attribuer un utilisateur à un rôle d’utilisateur
Dans la console Service Manager, sélectionnez Administration.
Dans le volet Administration , développez Sécurité, puis sélectionnez Rôles d'utilisateur.
Dans le volet Rôles d'utilisateur , double-cliquez sur Opérateurs avancés.
Dans la boîte de dialogue Modifier le rôle d’utilisateur, sélectionnez Utilisateurs.
Dans la page Utilisateurs , sélectionnez Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs ou des groupes , entrez le nom d’un utilisateur ou d’un groupe que vous souhaitez ajouter à ce rôle d’utilisateur, sélectionnez Vérifier les noms, puis sélectionnez OK.
Dans la boîte de dialogue Modifier le rôle d’utilisateur, sélectionnez OK.
Valider l’attribution d’un utilisateur à un rôle d’utilisateur
- Connectez-vous à la console Service Manager en tant qu’un des utilisateurs affectés au rôle d’utilisateur. Vérifiez que vous ne pouvez pas accéder aux données pour lesquelles vous n’avez pas de droits d’accès, comme spécifié dans les rôles d’utilisateur.
Vous pouvez utiliser une commande Windows PowerShell pour afficher les utilisateurs. Pour plus d’informations sur l’utilisation de Windows PowerShell pour récupérer des utilisateurs définis dans Service Manager, consultez Get-SCSMUser.
Créer un rôle d’utilisateur
Utilisez les procédures suivantes pour créer un rôle d’utilisateur et affecter des utilisateurs à ce rôle dans Service Manager, puis valider la création du rôle d’utilisateur.
Pour créer un rôle d’utilisateur, procédez comme suit :
Dans la console Service Manager, sélectionnez Administration.
Dans le volet Administration , développez Sécurité, puis sélectionnez Rôles d'utilisateur.
Dans le volet Tâches , sous Rôles d'utilisateur, sélectionnez Créer un rôle d'utilisateur, puis sélectionnez le profil de rôle d'utilisateur que vous voulez utiliser pour ce rôle d'utilisateur, tel que Auteur.
Effectuez les étapes de l' Assistant Création du rôle comme suit :
Dans la page Avant de commencer, sélectionnez Suivant.
Dans la page Général , entrez un nom et une description pour ce rôle d’utilisateur, puis sélectionnez Suivant.
Sur la page Packs d'administration , commencez par filtrer l'étendue des données auxquelles vous voulez attribuer l'accès. Sélectionnez les packs d'administration qui contiennent les données auxquelles vous voulez attribuer l'accès, telles que Bibliothèque de gestion des incidents. Cliquez sur Suivant.
Sur les pages suivantes apparaissent l'ensemble des classes, files d'attente, groupes, tâches, vues et modèles de formulaires disponibles pour le rôle d'utilisateur spécifié des packs d'administration spécifiés. Vous pouvez sélectionner des éléments spécifiques sur ces pages pour limiter davantage l'ensemble de données auxquelles l'accès est attribué.
Important
Les groupes et les listes de files d’attente ne sont pas filtrés : tous les groupes et files d’attente de tous les packs d’administration sont répertoriés. Si vous choisissez Sélectionner toutes les files d'attente dans la page Files d'attente , Sélectionner tous les groupes est sélectionné automatiquement dans la page Groupes . En outre, par défaut, aucun groupe n'est créé. Vous devez créer un groupe si vous souhaitez limiter l’étendue par groupe.
Dans la page Utilisateurs, sélectionnez Ajouter, puis utilisez la boîte de dialogue Sélectionner des utilisateurs ou des groupes pour sélectionner des utilisateurs et des groupes d’utilisateurs dans services de domaine Active Directory (AD DS) pour ce rôle d’utilisateur, puis sélectionnez Suivant.
Dans la page Résumé , vérifiez que les paramètres sont corrects, puis sélectionnez Créer.
Dans la page Saisie semi-automatique, vérifiez que le rôle d’utilisateur a été créé avec succès s’affiche, puis sélectionnez Fermer.
Valider la création d’un rôle d’utilisateur
Dans la console Service Manager, vérifiez que le rôle d’utilisateur nouvellement créé apparaît dans le volet central.
Connectez-vous à la console Service Manager en tant qu’un des utilisateurs affectés au rôle d’utilisateur. Vérifiez que vous ne pouvez pas accéder aux données pour lesquelles vous n’avez pas de droits d’accès, comme spécifié dans le rôle d’utilisateur.
Vous pouvez utiliser des commandes Windows PowerShell pour effectuer ces tâches et d’autres tâches connexes, comme suit :
Pour plus d’informations sur l’utilisation de Windows PowerShell pour créer un rôle d’utilisateur dans Service Manager, consultez New-SCSMUserRole.
Pour plus d’informations sur l’utilisation de Windows PowerShell pour récupérer des rôles d’utilisateur définis dans Service Manager, consultez Get-SCSMUserRole.
Pour plus d’informations sur l’utilisation de Windows PowerShell pour définir la propriété UserRole pour un utilisateur Service Manager, consultez Update-SCSMUserRole.
Pour plus d’informations sur l’utilisation de Windows PowerShell pour supprimer un rôle d’utilisateur de Service Manager, consultez Remove-SCSMUserRole.
Étapes suivantes
- Pour connaître les exigences de sécurité du mot de passe, l’expiration du mot de passe et les modifications de nom d’utilisateur, consultez Gérer les comptes d’identification.