Présentation de Sun Identity Manager

Chapitre 1 Présentation du produit

Ce chapitre décrit l'objectif de Sun^TM Identity Manager et présente les principales fonctionnalités de l'application. Il détaille aussi brièvement les autres offres de produits de gestion des identités de Sun.

Ce chapitre se compose des rubriques suivantes :

Présentation d'Identity Manager

Sun Identity Manager permet d'automatiser le processus de création, mise à jour et suppression de comptes utilisateurs entre plusieurs systèmes informatiques. Collectivement, ce processus est connu sous les noms de provisioning (c'est-à-dire la création et la mise à jour de comptes utilisateurs) et deprovisioning (la suppression de comptes utilisateurs).

Par exemple, à l'embauche d'un nouvel employé, Identity Manager exécute un flux de travaux qui récupère les approbations nécessaires pour lui octroyer des droits d'accès. Ces approbations obtenues, Identity Manager crée des comptes pour cet employé dans le système de ressources humaines (PeopleSoft) de la société, son système de messagerie électronique (Microsoft Exchange) et l'application de l'entreprise (SAP). Si l'employé en question change de poste dans l'entreprise, Identity Manager met à jour son compte utilisateur et en étend les droits d'accès aux ressources nécessaires à sa nouvelle fonction. Lorsque l'employé quitte la société, Identity Manager supprime automatiquement ses comptes utilisateur pour empêcher tout accès ultérieur.

Identity Manager peut également mettre en œuvre de manière continue des stratégies d'audit. Une stratégie d'audit spécifie les types d'accès dont un utilisateur peut ou peut ne pas bénéficier. À titre d'exemple, aux États-Unis le fait qu'un même utilisateur ait accès à la fois aux comptes fournisseurs et à la comptabilité clients constitue une violation de la loi Sarbanes-Oxley (SOX). On parle alors de violation du principe de séparation des fonctions. Identity Manager peut effectuer un examen d'audit pour contrôler l'existence de tout un éventail de types de violations et, selon la configuration, supprimer automatiquement les droits d'accès ou envoyer une notification à un administrateur lorsqu'une violation est détectée. Ce processus est connu sous le nom de résolution.

Interfaçage d'Identity Manager avec les autres systèmes informatiques

Dans Identity Manager, les applications gérées et les autres systèmes informatiques s'appellent des ressources. Identity Manager utilise des adaptateurs ou des connecteurs pour l'interfaçage avec les ressources.

Les adaptateurs et les connecteurs s'installent sur le serveur Identity Manager (aucun logiciel spécial (ou agent) n'est nécessaire pour installer Identity Manager sur des ressources cibles). Des douzaines d'adaptateurs et connecteurs Identity Manager sont disponibles et il est possible d'en créer de nouveaux pour communiquer avec pratiquement toute ressource en utilisant les protocoles standard ou des interfaces de programmation d'application (API) connues. Identity Manager est livré avec divers adaptateurs et connecteurs permettant de communiquer avec nombre des ressources les plus courantes. De plus, des modèles et du code squelette sont disponibles pour aider les programmeurs à créer des adaptateurs et connecteurs supplémentaires.

Certaines ressources ne permettant pas une communication directe requièrent l'utilisation de Sun Identity Manager Gateway. À titre d'exemple, les produits de Microsoft, tels qu'Exchange et Windows Active Directory, et ceux de Novell comme eDirectory (l'ancien Netware Directory Services) requièrent l'utilisation de Gateway. Dans ces cas, Identity Manager communique directement avec Gateway et Gateway s'interface avec la ressource.

Figure 1–1 Identity Manager s'interface directement avec certaines ressources, mais Identity Manager Gateway est nécessaire pour d'autres.

Diagramme montrant qu'Identity Manager se connecte directement à certaines ressources et au travers d'Identity Manager Gateway à d'autres.

Pour la liste des ressources prises en charge par Identity Manager, consultez la section Ressources prises en charge du Notes de version de Sun Identity Manager 8.1.

Connexion des utilisateurs à Identity Manager

Identity Manager a une interface utilisateur (IU) pour les administrateurs et une interface distincte pour les utilisateurs finaux. Pour utiliser Identity Manager, les administrateurs et les utilisateurs finaux doivent se servir d'un navigateur Web pour se connecter à Identity Manager.

Les administrateurs utiliseront l'interface administrateur pour gérer les utilisateurs, configurer et assigner des ressources, définir des droits et des niveaux d'accès, établir des stratégies d'audit, gérer la compatibilité et effectuer d'autres fonctions d'administrateur d'entreprise et d'administrateur système.
Les utilisateurs finaux utiliseront quant à eux l'interface utilisateur final pour effectuer toute une gamme de tâches « en libre service », telles que la modification de leurs mots de passe, la définition des réponses aux questions d'authentification, la demande d'accès aux systèmes informatiques et la gestion des assignations déléguées.

Figure 1–2 Les utilisateurs peuvent se connecter à Identity Manager en utilisant les interfaces administrateur et utilisateur final

Diagramme montrant que les utilisateurs se connectent à Identity Manager en utilisant deux interfaces utilisateur basées sur un navigateur : l'interface administrateur et l'interface utilisateur final.

Les entreprises peuvent également utiliser SPML (Service Provisioning Markup Language, langage de balisage de provisioning de services) pour, au choix, créer leurs propres interfaces utilisateur ou intégrer un système frontal existant avec Identity Manager.

Voici quelques autres interfaces d'Identity Manager :

L'interface téléphonique IVR (Interactive Voice Response, serveur vocal interactif) permet aux utilisateurs finaux d'exécuter les fonctions d'Identity Manager en utilisant un téléphone.
L'IDE (Integrated Development Environment, environnement de développement intégré) d'Identity Manager est utilisé par les développeurs de logiciels pour personnaliser Identity Manager.
La console d'Identity Manager est une interface de ligne de commande à la disposition des administrateurs.

Présentation d'Identity Manager Service Provider

Identity Manager Service Provider est une fonctionnalité de gestion des identités hautement évolutive centrée sur l'extranet en mesure de provisionner et d'actualiser des millions de comptes utilisateurs stockés sur un serveur d'annuaire LDAP. Cette fonctionnalité peut aussi gérer des milliers de comptes administrateurs et synchroniser les données des comptes LDAP avec d'autres ressources.

La fonctionnalité Service Provider utilise un sous-ensemble des fonctions et fonctionnalités disponibles dans Identity Manager. Par exemple, la fonctionnalité de contrôle n'est pas disponible car elle est moins utile dans un environnement extranet.

Pour un compte-rendu détaillé des différences entre le produit Identity Manager standard et la fonctionnalité Service Provider, consultez la section Service Provider Features du Sun Identity Manager Service Provider 8.1 Deployment (Déploiement de Sun Identity Manager Service Provider 8.1).

Autrefois proposé sous la forme d'un produit add-on séparé, Service Provider fait désormais partie d'Identity Manager. Tirer parti des avantages de la fonctionnalité Service Provider requiert toutefois une planification spéciale.

Pour toute information sur l'architecture de système d'Identity Manager Service Provider, reportez-vous à Comprendre l'architecture de système d'Identity Manager Service Provider.
Pour toute information sur la planification d'une architecture Identity Manager Service Provider hautement disponible, reportez-vous à Comprendre l'architecture HA recommandée de Service Provider .
Pour toute information sur le déploiement d'Identity Manager en vue de tirer parti de la fonctionnalité Service Provider, reportez-vous à Sun Identity Manager Service Provider 8.1 Deployment.

Présentation des autres produits de gestion des identités de Sun

En plus d'Identity Manager, Sun propose les solutions de gestion des identités Sun Java^TM System Directory Server Enterprise Edition, Sun OpenSSO Enterprise et Sun Role Manager. Ces produits complètent Identity Manager et, dans le cas de Role Manager, peuvent en étendre les capacités.

Présentation de Sun Java System Directory Server Enterprise Edition

Sun Java System Directory Server Enterprise Edition est un magasin de données LDAP haute performance pour les informations d'identité. Directory Server Enterprise Edition fournit des services d'annuaire de base ainsi que d'autres services de données complémentaires. Microsoft Active Directory et Novell eDirectory sont des offres de services d'annuaire concurrentes.

Présentation d'OpenSSO Enterprise

Sun OpenSSO Enterprise (les anciens Sun Java System Access Manager et Sun Java System Federation Manager) centralise et met en œuvre une stratégie de sécurité complète pour les applications internes et externes et les services Web. Cette solution fournit une fonctionnalité de contrôle d'accès et de connexion unique (Single Sign-On, SSO) centralisée et sécurisée. Elle permet aussi la gestion d'identité fédérée, qui permet de partager des applications avec des entreprises ayant des technologies de services d'annuaire, de sécurité et d'authentification différentes. Les partenaires fédérés se font mutuellement confiance pour authentifier leurs utilisateurs respectifs et en vérifier les droits d'accès aux services.

Présentation de Sun Role Manager

Sun Role Manager (l'ancien Vaau RBACx) simplifie la compatibilité du contrôle d'accès en gérant l'accès sur la base des rôles d'un utilisateur au sein de l'entreprise et non pas par utilisateur. En créant des rôles basés sur les stratégies d'utilisation et d'entreprise, les sociétés peuvent bénéficier d'une majeure visibilité des accès et gérer ces derniers de manière plus efficace, plus sécurisée et plus conforme.