Accueil
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Utilisateurs
La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
Rôles
Les droits d'un utilisateur sont déterminés par son rôle. Il existe cinq rôles prédéfinis : Administrateur, Gestionnaire, Gestionnaire d'applications, Testeur et Afficheur de rapports qui ne peuvent pas être modifiés ou supprimés. Un administrateur affecte des utilisateurs à des groupes d'actifs. Les administrateurs ont la possibilité de modifier le rôle utilisateur en n'importe quel rôle (excepté Administrateur), y compris un rôle personnalisé. Les utilisateurs autorisés à gérer et inviter d'autres utilisateurs ne peuvent pas leur attribuer un rôle supérieur à leur propre rôle. Par exemple, un Gestionnaire ne peut pas inviter un utilisateur et lui attribuer un rôle Administrateur. En outre, un utilisateur ne peut pas inviter quelqu'un à un rôle qui dispose de privilèges dont l'utilisateur invitant ne dispose pas.
Définition de rôles utilisateur personnalisés
Les administrateurs ou les gestionnaires peuvent créer des rôles personnalisés et leur attribuer un ensemble d'autorisations afin qu'ils puissent effectuer certaines tâches administratives. Si les administrateurs ou les gestionnaires créent des rôles personnalisés avec des autorisations pour créer, modifier ou attribuer des rôles d'utilisateur, ces utilisateurs auront également le privilège de définir des rôles personnalisés.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
- Utilisateurs
  La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
  - Gérer les utilisateurs
    Examinez vos utilisateurs et choisissez les personnes qui doivent accéder à certaines applications et à certains groupes d'actifs. Envisagez de regrouper les utilisateurs par unité d'activité ou par emplacement géographique.
  - Rôles
    Les droits d'un utilisateur sont déterminés par son rôle. Il existe cinq rôles prédéfinis : Administrateur, Gestionnaire, Gestionnaire d'applications, Testeur et Afficheur de rapports qui ne peuvent pas être modifiés ou supprimés. Un administrateur affecte des utilisateurs à des groupes d'actifs. Les administrateurs ont la possibilité de modifier le rôle utilisateur en n'importe quel rôle (excepté Administrateur), y compris un rôle personnalisé. Les utilisateurs autorisés à gérer et inviter d'autres utilisateurs ne peuvent pas leur attribuer un rôle supérieur à leur propre rôle. Par exemple, un Gestionnaire ne peut pas inviter un utilisateur et lui attribuer un rôle Administrateur. En outre, un utilisateur ne peut pas inviter quelqu'un à un rôle qui dispose de privilèges dont l'utilisateur invitant ne dispose pas.
    - Définition de rôles utilisateur personnalisés
      Les administrateurs ou les gestionnaires peuvent créer des rôles personnalisés et leur attribuer un ensemble d'autorisations afin qu'ils puissent effectuer certaines tâches administratives. Si les administrateurs ou les gestionnaires créent des rôles personnalisés avec des autorisations pour créer, modifier ou attribuer des rôles d'utilisateur, ces utilisateurs auront également le privilège de définir des rôles personnalisés.
    - Modification du rôle d'utilisateur par défaut
      Les administrateurs peuvent modifier le rôle utilisateur en n'importe quel rôle (excepté Administrateur), y compris un rôle personnalisé. Cette capacité vous aide à personnaliser l'accès des utilisateurs pour votre organisation.
  - Groupes de fichiers de métadonnées
    Les groupes d'actifs représentent les composants abstraits de votre organisation, comme les finances ou l'ingénierie. Les administrateurs peuvent restreindre l'accès à des applications spécifiques en les affectant à un groupe d'actifs et en limitant les utilisateurs qui appartiennent au groupe.
- Applications
  Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.
- Stratégies
  Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
- DevOps
  Outils d'intégration d'ASoC dans votre cycle de développement logiciel.
- Examens personnels
  Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
- Statut de l'examen
- Piste d'audit
  La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Définition de rôles utilisateur personnalisés

Les administrateurs ou les gestionnaires peuvent créer des rôles personnalisés et leur attribuer un ensemble d'autorisations afin qu'ils puissent effectuer certaines tâches administratives. Si les administrateurs ou les gestionnaires créent des rôles personnalisés avec des autorisations pour créer, modifier ou attribuer des rôles d'utilisateur, ces utilisateurs auront également le privilège de définir des rôles personnalisés.

Pourquoi et quand exécuter cette tâche

Pour des raisons de sécurité, les utilisateurs bénéficiant de droits d'administration limités n'ont accès qu'à une vue rationalisée de l'onglet Administration et peuvent uniquement accéder aux pages d'administration qu'ils sont autorisés à utiliser.
Vous ne pouvez pas supprimer un rôle personnalisé s'il est attribué à un utilisateur. Réaffectez l'utilisateur à un autre rôle, puis supprimez le rôle personnalisé.
Les rôles d'utilisateurs prédéfinis ne peuvent pas être supprimés.

Procédure

Sélectionnez Gestion des accès > Rôles.
Cliquez sur Ajouter un nouveau rôle et attribuez un nom unique et une description au rôle personnalisé.
Sélectionnez les capacités pour ce rôle et cliquez sur Sauvegarder.