Chapitre 1 Présentation d’Identity Manager

Le système Sun Identity Manager permet de gérer et de contrôler l’accès aux comptes et aux ressources. En vous apportant les capacités et les outils nécessaires pour gérer rapidement les tâches de provisioning utilisateur et les tâches d’audit périodiques et quotidiennes, Identity Manager facilite la fourniture de services exceptionnels aux clients internes et externes.

Ce chapitre se compose des rubriques suivantes :

• Vue d’ensemble ;

• Objets Identity Manager.

Vue d’ensemble

Les entreprises d’aujourd’hui ont besoin de services TI toujours plus souples et riches sur le plan fonctionnel. Historiquement, la gestion de l’accès aux informations de l’entreprise et aux systèmes nécessitait une interaction directe avec un nombre limité de comptes. Aujourd’hui, gérer l’accès signifie gérer des nombres grandissants de clients internes mais aussi de partenaires et de clients externes à l’entreprise.

La surcharge créée par ce besoin d’accès accru peut être considérable. En tant qu’administrateur, vous devez permettre efficacement et de manière sécurisée aux personnes, que celles-ci soient internes ou externes à l’entreprise, de faire leur travail. Après avoir fourni l’accès initial, vous devez faire face à des défis précis et continus tels que les mots de passe oubliés, les changements de rôle et l’évolution des relations interentreprises.

De plus, les entreprises doivent aujourd’hui satisfaire des exigences très strictes concernant la gestion de la sécurité et de l’intégrité des informations commerciales critiques. Dans un environnement régi par la législation sur la conformité (la Loi Sarbanes-Oxley (SOX), l’Health Insurance Portability and Accountability Act (HIPAA) et la Loi Gramm-Leach-Bliley (GLB) pour ne citer que quelques exemples), la surcharge associée aux activités de contrôle et de génération de rapports est conséquente et coûteuse. Vous devez être en mesure de répondre rapidement aux changements en matière de contrôle d’accès tout en satisfaisant les exigences de collecte de données et de génération de rapports qui contribuent à assurer la sécurité de l’entreprise.

Identity Manager a été spécifiquement développé pour vous aider à gérer ces enjeux administratifs dans un environnement dynamique. En utilisant Identity Manager pour distribuer la surcharge de travail due à la gestion des accès et alléger le fardeau que constitue la conformité, vous disposez d’une solution permettant de répondre aux principaux problèmes auxquels vous serez confronté : Comment définir l’accès ? et L’accès défini, comment maintenir la souplesse et le contrôle ?

Sa conception à la fois souple et sécurisée permet de configurer Identity Manager en l’adaptant à la structure de votre entreprise et de répondre à ces problèmes. Mapper les objets Identity Manager aux entités que vous gérez (les utilisateurs et les ressources) permet d’accroître considérablement l’efficacité de votre travail.

Dans un environnement de fournisseur de services, Identity Manager étend ces capacités à la gestion des utilisateurs de l’extranet.

Objectifs du système Identity Manager

La solution Identity Manager permet d’atteindre les objectifs suivants :

• Gérer l’accès des comptes à toute une variété de systèmes et ressources.

• Gérer de manière sécurisée des informations de compte dynamiques pour toute la gamme des comptes de chaque utilisateur.

• Configurer des droits délégués pour créer et gérer les données des comptes utilisateur.

• Manipuler de grands nombres de ressources d’entreprise, ainsi qu’un nombre croissant de clients de l’extranet et de partenaires.

• Autoriser de manière sécurisée l’accès des utilisateurs aux systèmes d’information de l’entreprise. Avec Identity Manager, vous disposez de fonctionnalités entièrement intégrées permettant d’accorder, gérer et révoquer les privilèges d’accès pour les organisations internes et externes.

• Conserver les données synchronisées, en ne conservant pas les données. La solution Identity Manager prend en charge les deux principes-clés suivants que tout outil de gestion de système supérieur se doit de respecter :

  • Un produit doit avoir un impact minimal sur le système qu’il gère.

  • Un produit ne doit pas augmenter la complexité dans l’entreprise en ajoutant une ressource à gérer.

  Définir des stratégies d’audit pour gérer la conformité avec les privilèges d’accès des utilisateurs et gérer les violations au travers d’actions de résolution et d’alertes par e-mail automatisées.

• Effectuer des examens d’accès et définir des procédures d’examen d’attestation et d’approbation qui automatisent le processus de certification des privilèges des utilisateurs.

• Contrôler les informations-clés ainsi que les statistiques d'audit et d'examen par le biais du tableau de bord.

Définition de l’accès des utilisateurs aux ressources

Dans votre entreprise étendue, les utilisateurs peuvent être toute personne en relation avec votre entreprise, notamment ses employés, clients, partenaires, fournisseurs ou acquisitions. Dans le système Identity Manager, les utilisateurs sont représentés par des comptes utilisateur.

Selon leur relation avec l’entreprise et avec d’autres entités, les utilisateurs doivent pouvoir avoir accès à différents éléments qui peuvent être des systèmes informatiques, des données stockées dans des bases de données ou des applications informatiques spécifiques. Dans Identity Manager, ces éléments s’appellent des ressources.

Étant donné que les utilisateurs ont souvent une ou plusieurs identités sur chacune des ressources auxquelles ils accèdent, Identity Manager crée une unique identité virtuelle qui mappe vers des ressources variées. Ceci vous permet de gérer les utilisateurs comme une unique entité. Voir Figure 1–1.

Figure 1–1 Relation entre un compte utilisateur Identity Manager et les ressources

Pour gérer efficacement de grands nombres d’utilisateurs, vous devez pouvoir les regrouper de maintes manières logiques. Dans la plupart des sociétés, les utilisateurs sont regroupés par services fonctionnels ou divisions géographiques. Chacun de ces services a en général besoin de pouvoir accéder à différentes ressources. Dans la terminologie d’Identity Manager, ce type de groupe s’appelle une organisation.

Un autre mode de regroupement consiste à regrouper les utilisateurs présentant des caractéristiques similaires, par exemple des relations avec l’entreprise ou des fonctions identiques. Dans Identity Manager, les regroupements de ce type s’appellent des rôles.

Au sein du système Identity Manager, vous assignez des rôles aux comptes utilisateur pour faciliter l’activation et la désactivation de l’accès aux ressources. L’assignation de comptes aux organisations permet une délégation efficace des responsabilités administratives.

Les utilisateurs d’Identity Manager sont également gérés directement ou indirectement par le biais de l’application de stratégies définissant des règles et les options d’authentification des utilisateurs et de mot de passe.

Comprendre les types d’utilisateurs

Identity Manager propose deux types d’utilisateurs : les utilisateurs Identity Manager et les utilisateurs Service Provider, si vous configurez le système Identity Manager pour une implémentation de type fournisseur de services. Ces types permettent de distinguer les utilisateurs susceptibles d’avoir des exigences de provisioning différentes en fonction de leurs relations avec l’entreprise, par exemple de distinguer les utilisateurs de l’extranet de ceux de l’intranet.

Un exemple typique d’implémentation fournisseur de services est celui d'un fournisseur de services ayant des utilisateurs internes et externes (ses clients) qu’il veut gérer avec Identity Manager. Pour toute information sur la configuration d’une implémentation fournisseur de services, consultez le document Sun Identity Manager Service Provider 8.1 Deployment (Déploiement de Sun Identity Manager Service Provider 8.1).

Vous spécifiez le type d’utilisateurs Identity Manager lorsque vous configurez un compte utilisateur. Pour toute information sur les utilisateurs de fournisseur de services, voir le Chapitre 17Administration de Service Provider

Délégation de l’administration

Pour réussir la distribution de la responsabilité concernant la gestion des identités des utilisateurs, vous avez besoin d’un juste dosage de flexibilité et de contrôle. En accordant à des utilisateurs Identity Manager sélectionnés des privilèges d’administrateur et en déléguant des tâches administratives, vous réduisez votre charge de travail et augmentez l’efficacité en conférant la responsabilité de la gestion des identités à ceux qui connaissent le mieux les besoins des utilisateurs, par exemple le responsable du recrutement. Les utilisateurs qui ont de tels privilèges étendus sont les administrateurs Identity Manager.

La délégation ne fonctionne toutefois que dans le cadre d’un modèle sécurisé. Pour maintenir un niveau de contrôle approprié, Identity Manager permet d’assigner différent niveaux de capacités aux administrateurs. Les capacités autorisent des niveaux d’accès et d’action variés au sein du système.

Le modèle de flux de travaux d’Identity Manager inclut également une méthode permettant d’assurer que certaines actions nécessitent une approbation. En utilisant le flux de travaux, les administrateurs Identity Manager gardent le contrôle des tâches et peuvent en suivre la progression. Pour des informations détaillées sur le flux de travaux, voir le Chapitre 1, Workflow du Sun Identity Manager Deployment Reference.

Objets Identity Manager

Avoir une idée claire des objets Identity Manager et de la façon dont ils interagissent est capital pour une gestion et un déploiement réussis du système. Ces objets sont les suivants :

• Comptes utilisateur Identity Manager ;

• Rôles Identity Manager ;

• Ressources et groupes de ressources ;

• Organisations et organisations virtuelles ;

• Jonctions d’annuaires ;

• Capacités Identity Manager ;

• Rôles admin ;

• Stratégies Identity Manager ;

• Stratégies d’audit ;

• Relations entre les objets.

---

Remarque –

Lorsque vous nommez des objets Identity Manager, n’utilisez pas les caractères suivants :

’ (apostrophe), .. (point), |(barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (signe du dollar), " (guillemets doubles), \ (barre oblique inverse) ou = (signe égal).

Vous devez également éviter les caractères suivants : _ (trait de soulignement), % (signe du pourcentage), ^ (accent circonflexe) et * (astérisque).

---

Comptes utilisateur Identity Manager

On appelle utilisateur toute personne ayant un compte sur le système Identity Manager. Identity Manager stocke un éventail de données pour chaque utilisateur. Collectivement, ces informations forment l’identité Identity Manager d’un utilisateur.

Les comptes utilisateur Identity Manager :

• permettent aux utilisateurs d’accéder à une ou plusieurs ressources et de gérer les données de compte utilisateur sur ces ressources ;

• se voient assigner des rôles définissant l’accès des utilisateurs aux différentes ressources ;

• font partie d’une organisation, qui détermine comment et par qui ils sont administrés.

La configuration des comptes utilisateur est un processus dynamique. Selon le rôle sélectionné lors de la configuration des comptes, vous devrez fournir des informations plus ou moins spécifiques de la ressource pour créer le compte. Le nombre et le type des ressources associées au rôle assigné déterminent la quantité des informations requises à la création d'un compte.

Les administrateurs sont des utilisateurs jouissant de privilèges supplémentaires leur permettant de gérer les comptes utilisateur, les ressources et d’autres objets et tâches du système Identity Manager. Les administrateurs Identity Manager gèrent les organisations et se voient assigner toute une gamme de capacités à appliquer aux objets de chacune des organisations gérées.

Pour plus d’informations sur les comptes utilisateur, voir le Chapitre 3Gestion des utilisateurs et des comptes. Pour plus d’informations sur les comptes administrateur, voir le Chapitre 6Administration.

Rôles Identity Manager

Un rôle est un objet Identity Manager permettant de regrouper des droits d’accès aux ressources en vue de les assigner efficacement à des utilisateurs. Les rôles sont organisés en quatre types :

• les rôles professionnels,

• les rôles informatiques,

• les applications,

• le matériel.

Les rôles professionnels permettent d’organiser en groupes les droits d’accès dont les personnes effectuant des tâches semblables au sein d’une organisation ont besoin dans l’exercice de leur fonction. En général, les rôles professionnels correspondent aux fonctions professionnelles des utilisateurs.

Les rôles informatiques, les applications et le matériel permettent d’organiser les habilitations de ressources (ou droits d’accès) en groupes. Pour fournir aux utilisateurs l’accès aux ressources, les rôles informatiques, les applications et le matériel sont assignés à des rôles professionnels, ce qui permet aux utilisateurs d’accéder aux ressources dont ils ont besoin dans l’exercice de leur fonction.

Les rôles informatiques, les applications et le matériel peuvent être obligatoires, conditionnels ou optionnels.

• Les rôles obligatoires sont toujours assignés à l’utilisateur.

• Les rôles conditionnels sont associés à des conditions qui doivent être remplies pour pouvoir assigner le rôle en question.

• Les rôles optionnels peuvent être demandés séparément et, sous réserve d’approbation, assignés à l’utilisateur.

Les rôles pouvant être conditionnels ou optionnels, des utilisateurs ayant la même description de fonction générale pourront avoir le même rôle professionnel mais des droits d’accès différents. Cette approche permet au concepteur d'un rôle professionnel de définir des droits d'accès génériques aux rôles afin d’assurer la conformité aux réglementations, tout en laissant au responsable de l’utilisateur la liberté d’adapter de manière plus précise les droits d’accès de l’utilisateur. Avec une telle approche, il devient inutile de définir un nouveau rôle professionnel à chaque permutation des besoins d’accès dans l’entreprise, problème connu sous le nom d’explosion des rôles.

Un utilisateur peut se voir attribuer un, plusieurs ou aucun rôles.

---

Remarque –

Pour plus d’informations sur les rôles, voir la section Comprendre et gérer les rôles.

---

Ressources et groupes de ressources

Identity Manager stocke des informations sur la procédure de connexion à un système ou ressource. Identity Manager permet d’accéder aux ressources suivantes :

• Des ressources numériques telles que les suivantes :

  • gestionnaires de sécurité de mainframe,

  • bases de données,

  • services d’annuaires (par ex. LDAP),

  • applications,

  • systèmes d’exploitation,

  • systèmes ERP (par ex. SAP^TM).

• Des ressources non numériques ou externes qui sont externes à Identity Manager, telles que les suivantes :

  • téléphones portables,

  • ordinateurs de bureau,

  • ordinateurs portables,

  • badges de sécurité.

Chaque ressource Identity Manager stocke des les types d'informations suivants :

• paramètres des ressources,

• paramètres d’Identity Manager,

• informations des comptes (attributs de compte et modèle d’identité compris).

Il existe deux manières d’assigner des ressources aux utilisateurs. Une ressource peut être assignée directement à un utilisateur (on parle alors d’assignation individuelle ou directe) ou être assignée à un rôle qui sera à son tour assigné à un utilisateur (on parle alors d’assignation basée sur le rôle ou indirecte).

• Assignation individuelle. Des ressources individuelles sont assignées directement aux comptes utilisateur.

• Assignation basée sur le rôle. Une ou plusieurs ressources sont assignées à un rôle (une application, du matériel ou un rôle informatique). Les rôles (application, matériel ou rôle informatique) sont ensuite assignés à un rôle professionnel. Enfin, un ou plusieurs rôles professionnels sont assignés à un compte utilisateur.

Un objet Identity Manager connexe, un groupe de ressources, peut être assigné aux comptes utilisateur de la même façon que les ressources. Les groupes de ressources corrèlent les ressources vous permettant de créer des comptes sur des ressources dans un ordre spécifique. Ils simplifient aussi le processus d’assignation de ressources multiples aux comptes utilisateur.

Pour plus d’informations sur les groupes de ressources, voir la section Groupes de ressources.

Organisations et organisations virtuelles

Les organisations sont les conteneurs Identity Manager utilisés pour activer la délégation administrative. Elles définissent l’étendue des entités gérées ou contrôlées par un administrateur Identity Manager.

Les organisations peuvent aussi représenter des liens directs vers des ressources basées dans un annuaire. Elles sont alors qualifiées d'organisations virtuelles. Les organisations virtuelles permettent de gérer directement les données des ressources sans charger les informations dans le référentiel d’Identity Manager. En reflétant les membres et la structure d’un annuaire existant par le biais d’une organisation virtuelle, Identity Manager élimine les tâches de configuration doubles et laborieuses.

Les organisations qui contiennent d’autres organisations sont des organisations parentes. Vous pouvez créer des organisations au sein d’une structure plate ou les organiser dans une hiérarchie. La hiérarchie peut représenter des services, des zones géographiques ou d’autres divisions logiques au moyen desquelles vous gérez les comptes utilisateur.

Pour plus d’informations sur les organisations, voir la section Comprendre les organisations d'Identity Manager.

Jonctions d’annuaires

Une jonction d’annuaires est un ensemble d’organisations reliées hiérarchiquement qui reflète le jeu courant de conteneurs hiérarchiques d’une ressource d’annuaire. Une ressource d’annuaire est une ressource qui emploie un espace de noms hiérarchique à travers l’utilisation de conteneurs hiérarchiques. Les serveurs LDAP et les ressources de Windows Active Directory sont des exemples de ressources d’annuaire.

Toute organisation contenue dans une jonction d’annuaires est une organisation virtuelle. L’organisation virtuelle supérieure d’une jonction d’annuaires est un miroir du conteneur représentant le contexte de base défini dans la ressource. Les organisations virtuelles restantes d’une jonction d’annuaires sont les enfants directs ou indirects de l’organisation virtuelle supérieure et reflètent également l’un des conteneurs de ressources d’annuaire enfants du conteneur de contexte de base de la ressource définie.

Vous pouvez rendre les utilisateurs Identity Manager membres d’une organisation virtuelle ou les mettre à disposition de celle-ci de la même façon qu’une organisation.

Pour plus d’informations sur les jonctions d’annuaires, voir la section Comprendre les jonctions d'annuaires et les organisations virtuelles.

Capacités Identity Manager

Tout utilisateur peut se voir assigner des capacités, ou groupes de droits, lui permettant d’effectuer des actions administratives par le biais d’Identity Manager. Les capacités permettent à l’utilisateur administratif d’effectuer certaines tâches dans le système et d’agir sur les objets Identity Manager.

En règle générale, vous assignez les capacités en fonction de responsabilités professionnelles spécifiques telles que les réinitialisations de mot de passe ou les approbations de compte. En assignant des capacités et des droits aux utilisateurs individuels, vous créez une structure administrative hiérarchique qui fournit un accès et des privilèges ciblés sans compromettre la protection des données.

Identity Manager fournit un ensemble de capacités par défaut pour les fonctions administratives courantes. Vous pouvez également créer et assigner des capacités satisfaisant vos besoins spécifiques.

Pour plus d’informations sur les capacités, voir la section Comprendre et gérer les capacités.

Rôles admin

Les rôles admin d’Identity Manager permettent de définir un ensemble unique de capacités pour chacun des ensembles d’organisations gérés par un utilisateur administratif. Un rôle admin se voit assigner des capacités et des organisations contrôlées, qui peuvent ensuite être assignées à un utilisateur administratif.

Les capacités et les organisations contrôlées peuvent être assignées directement à un rôle admin mais peuvent aussi l'être indirectement (dynamiquement) à chaque fois que l’utilisateur administratif se connecte à Identity Manager. Les règles d’Identity Manager contrôlent l’assignation dynamique.

Pour plus d’informations sur les rôles admin, voir la section Comprendre et gérer les rôles admin.

Stratégies Identity Manager

Les stratégies définissent des limites pour les utilisateurs d’Identity Manager en établissant des contraintes s'appliquant aux caractéristiques des ID de compte, connexions et mots de passe. Les stratégies de compte du système d’identité fixent les options et contraintes s'appliquant aux utilisateurs, mots de passe et stratégies d’authentification. Les stratégies de mot de passe et d’ID de compte de ressources définissent les règles de longueur et de type de caractères, les mots et les valeurs d’attributs autorisés. Une stratégie·de dictionnaire permet à Identity Auditor de vérifier en confrontant les mots de passe à une base de données de mots, s'ils sont protégés contre les attaques de dictionnaire simples.

Pour plus d’informations sur les stratégies, voir la section Définition des stratégies.

Stratégies d’audit

Se distinguant des autres stratégies système, une stratégie d’audit définit une violation de stratégie pour un groupe d’utilisateurs d’une ressource spécifique. Les stratégies d’audit permettent d’établir une ou plusieurs règles à travers lesquelles les utilisateurs sont évaluées afin de détecter d’éventuelles violations de conformité. Ces règles dépendent de conditions reposant sur un ou plusieurs attributs définis par une ressource. Lorsque le système scanne un utilisateur, il utilise les critères définis dans les stratégies d’audit assignées à ce dernier pour déterminer si des violations de compatibilité se sont produites.

Pour plus d’informations sur les stratégies d’audit, voir la section À propos des stratégies d'audit.

Relations entre les objets

Le tableau ci-dessous donne un aperçu rapide des objets Identity Manager et de leurs relations.

Tableau 1–1 Relations des objets Identity Manager

Objet Identity Manager	Définition	Cas d’emploi
Compte utilisateur	Compte sur Identity Manager et sur une ou plusieurs ressources. Les données de l’utilisateur peuvent être chargées dans Identity Manager à partir des ressources.  Une classe spéciale d’utilisateurs, les administrateurs Identity Manager, ont des privilèges étendus.	Rôle. En règle générale, tout compte utilisateur se voit assigner un ou plusieurs rôles. Organisation. Les comptes utilisateur sont classés de manière hiérarchique comme faisant partie d’une organisation. Les administrateurs Identity Manager gèrent en outre les organisations. Ressource. Des ressources individuelles peuvent être assignées aux comptes utilisateur. Capacité. Les administrateurs se voient assigner des capacités pour les organisations qu’ils gèrent.
Rôle	Les rôles professionnels organisent en groupes les droits d’accès dont les personnes effectuant des tâches semblables au sein d’une organisation ont besoin dans l’exercice de leurs fonctions. Les rôles informatiques et Application regroupent des ressources, ce qui permet d’assigner ces dernières aux utilisateurs par le biais de rôles professionnels. L’assignation de ressources basée sur le rôle simplifie la gestion des ressources dans les organisations de grande taille.	Ressources et groupes de ressources. Les ressources et les groupes de ressources sont assignés au rôles informatique, Application et Matériel. Compte utilisateur Les comptes utilisateur présentant des caractéristiques similaires sont assignés à des rôles professionnels. Les rôles informatique, Application et Matériel sont assignés aux rôles professionnels.
Ressource	Stocke les informations relatives à un système, une application ou une autre ressource sur laquelle les comptes sont gérés.	Rôle. Les ressources sont assignées aux rôles informatiques et Application, qui à leur tour sont assignés aux rôles professionnels. Un compte utilisateur « hérite » librement de l’accès aux ressources des assignations de son rôle professionnel. Compte utilisateur. Les ressources peuvent être assignées individuellement aux comptes utilisateur.
Groupe de ressources	Groupe ordonné de ressources.	Rôle. Les groupes de ressources sont assignés à des rôles ; un compte utilisateur « hérite » de l’accès aux ressources des assignations de son rôle professionnel. Compte utilisateur Les groupes de ressources peuvent être assignés directement aux comptes utilisateur.
Organisation	Définit l’étendue des entités gérées par un administrateur ; hiérarchique.	Ressource. Les administrateurs d’une organisation donnée peuvent accéder à tout ou partie des ressources. Administrateur. Les organisations sont gérées (contrôlées) par les utilisateurs jouissant de privilèges administratifs. Les administrateurs peuvent gérer une ou plusieurs organisations. Les privilèges administratifs dans une organisation donnée sont transmis aux organisations enfants de cette dernière. Compte utilisateur. Chaque compte utilisateur peut être assigné à une organisation Identity Manager et une ou plusieurs organisations d’annuaire.
Jonction d’annuaires	Ensemble d’organisations reliées hiérarchiquement qui reflète l’ensemble de conteneurs hiérarchiques effectif d’une ressource d’annuaire.	Organisation. Toute organisation contenue dans une jonction d’annuaires est une organisation virtuelle.
Rôle admin	Définit un ensemble unique de capacités pour chaque ensemble d’organisations assigné à un administrateur.	Administrateur. Les rôles admin sont assignés aux administrateurs. Capacités et organisations Les capacités et les organisations sont assignées, directement ou indirectement (dynamiquement) aux rôles admin.
Capacité	Définit un groupe de droits système.	Administrateur. Les capacités sont assignées aux administrateurs.
Stratégie	Établit les limites applicables aux mots de passe et à l’authentification.	Compte utilisateur Les stratégies sont assignées aux comptes utilisateur. Organisation. Les stratégies sont assignées à ou héritées par les organisations.
Stratégie d’audit	Définit les règles permettant d’évaluer les utilisateurs pour détecter les violations de compatibilité.	Compte utilisateur Les stratégies d’audit sont assignées aux comptes utilisateur. Organisation. Les stratégies d’audit sont assignées aux organisations.