Règles et restrictions de la gestion de titulaires de cartes globaux - Security Center 5.8

Guide de l’administrateur Security Center 5.8

series
Security Center 5.8
revised_modified
2019-08-28

L'utilisation de la gestion des titulaires de cartes globaux est soumise à certaines règles et restrictions.

Avant de vous lancer dans la gestion des titulaires de cartes globaux, prenez connaissance des règles et limitations suivantes.

Règles concernant les partitions locales et globales

  • Un client de partage ne peut pas avoir plus d'un seul hôte. Une seule instance du rôle STCG est autorisée par système.
  • Une partition globale ne peut pas être modifiée sur un client de partage, contrairement à ses membres. Ce qu'un client de partage peut modifier dépend des privilèges de l'utilisateur affecté au rôle STCG.
  • Aucun système n'est autorisé à partager ce qu'il ne possède pas. Le partage à deux niveaux n'est pas permis. Une conséquence de cette règle est qu'une partition locale ne peut pas être convertie en partition globale si elle contient des entités globales, sauf si la conversion est effectuée sur le système hôte.
  • L'ajout d'une entité locale à une partition globale entraîne le transfert de la propriété de l'entité de son propriétaire local (client de partage) vers le propriétaire de la partition (l'hôte de partage).
  • La suppression d'une entité globale sur un client de partage entraîne sa suppression sur l'hôte de partage, à moins que l'entité n'appartienne également à une autre partition globale, auquel cas son appartenance à la première partition est révoquée.

Règles concernant les entités locales et globales

  • Une entité est globale dès lors qu'elle appartient à une partition globale.Cela signifie qu'un titulaire de cartes ne devient pas global simplement parce que son groupe de titulaires de cartes parent est global.
  • Les règles d'accès locales peuvent s'appliquer de la même manière aux titulaires de cartes locaux et globaux. Les règles d'accès ne sont jamais partagées. Cela permet aux administrateurs locaux de jouir d'un contrôle total sur la sécurité de leur site.
  • Les titulaires de cartes/groupes globaux peuvent devenir membres de groupes de titulaires de cartes locaux.
  • Les titulaires de cartes/groupes locaux ne peuvent pas devenir membres de groupes de titulaires de cartes globaux. L'exception à cette règle survient lorsque les deux entités appartiennent au même système. Dans ce cas, le titulaire de cartes local n'est pas partagé, alors que le groupe de titulaires de cartes l'est.
  • Des identifiants locaux et globaux peuvent être affectés aux titulaires de cartes globaux.
  • Les identifiants globaux ne peuvent pas être affectés aux titulaires de cartes locaux.
  • Les identifiants globaux qui utilisent des formats de carte personnalisés peuvent être utilisés et modifiés sur le client de partage. Toutefois, les données d'identifiant ne sont visibles que si le format de carte personnalisé correspondant (fichier XML) est également défini sur le client de partage avec l'outil Éditeur de format personnalisé de carte.
BONNE PRATIQUE : L'approche conseillée consiste à appliquer les règles d'accès aux groupes de titulaires de cartes plutôt qu'aux titulaires de cartes individuels. Dès lors, il est conseillé de partager les titulaires de cartes en plus de leurs groupes de titulaires de cartes parents. Si ce n'est pas possible pour une raison quelconque, nous vous conseillons de créer un groupe de titulaires de cartes local pour les titulaires de cartes globaux.

Règles concernant les champs et types de données personnalisés globaux

  • Les champs personnalisés et types de données personnalisés définis pour les entités globales sont automatiquement partagées lorsque les entités globales sont partagées.
  • Les définitions de champs et types de données personnalisés ne peuvent pas être modifiées sur le client de partage.
  • Les champs personnalisés globaux et locaux restent distincts, même s'ils utilisent le même nom. Ils sont différenciés par leur propriétaire (le système qui les définit).
  • Les types de données globaux ne peuvent pas servir à définir les champs personnalisés locaux.
  • Les valeurs de champs personnalisés d'entités globales peuvent être modifiées sur les clients de partage.
  • Les champs personnalisés globaux s'appliquent également aux entités locales, bien que leurs valeurs soient locales.
  • Les champs personnalisés locaux s'appliquent également aux entités globales, bien que leurs valeurs soient locales.
  • Lorsqu'un système client arrête de partager une partition globale, toutes les copies locales des entités globales partagées sont supprimées, tout comme les valeurs de champs personnalisés des entités locales.
BONNE PRATIQUE : Si vous comptez mettre en œuvre la GTCG dans votre organisation, nous vous conseillons de définir tous les champs et types de données personnalisés pour les entités globales sur l'hôte de partage.

Règles concernant la Federation™ et les entités globales

  • Lorsqu'un hôte de partage fédère également son client de partage, seules les entités locales qui appartiennent au client de partage sont fédérées. Les entités qui sont partagées ne sont pas fédérées sur l'hôte de partage.
  • Un hôte de partage qui est également un hôte de fédération ne peut pas partager les entités qu'il fédère en les ajoutant à une partition globale, car il n'est pas propriétaire des entités fédérées. Une entité ne peut être partagée que par son propriétaire attitré. Pour que les entités fédérées puissent être partagées, le système fédéré doit devenir un client de partage de l'hôte de Federation™. L'hôte de Federation™ disposera alors des droits nécessaires pour partager les entités fédérées.
  • Un client de partage qui fédère un système tiers ne peut pas partager ses entités fédérées avec l'hôte de partage, car il n'est pas le propriétaire des entités fédérées.
  • Lorsqu'un client de partage est fédéré par un autre système, ses entités locales et globales apparaissent en tant qu'entités fédérées sur l'hôte de Federation™.

Règles concernant Active Directory et les entités globales

  • Les titulaires de cartes et groupes de titulaires de cartes importés depuis Active Directory peuvent être ajoutés à une partition globale sur l'hôte de partage.
  • Les titulaires de cartes et groupes de titulaires de cartes importés depuis un Active Directory local du client de partage ne peuvent pas être ajoutés à une partition globale, car l'Active Directory et l'hôte de partage ne peuvent pas être tous deux propriétaires des titulaires de cartes partagés.
  • Les titulaires de cartes et groupes de titulaires de cartes globaux importés depuis Active Directory ne doivent être modifiés que par le service d'annuaire.
ATTENTION :
Bien qu'il soit possible de modifier les titulaires de cartes et groupes de titulaires de cartes globaux importés depuis Active Directory sur le client de partage, les modifications sont temporaires. Vous perdez toutes les modifications apportées dès que l'hôte de partage se synchronise avec Active Directory.
BONNE PRATIQUE : Si la saisie de données de titulaires de cartes doit être centralisée, le système qui importe les titulaires de cartes depuis votre Active Directory doit agir en tant qu'hôte de partage, et toutes les modifications doivent être apportées avec le service d'annuaire.