Actions de compte en masse

Vous pouvez effectuer plusieurs actions en masse sur les comptes Identity Manager, ce qui permet d'agir sur plusieurs comptes en même temps.

Vous pouvez lancer les actions en masse de la manière suivante :

• Supprimer. Supprime les comptes de ressource sélectionnés, en annule l'assignation et en supprime les liens. Sélectionnez l'option Appliquer au compte Identity Manager pour supprimer également le compte Identity Manager de chaque utilisateur.

• Supprimer et Supprimer le lien. Supprime les comptes de ressources sélectionnés et les liens établis entre les comptes et les utilisateurs.

• Désactiver. Désactive les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour désactiver également le compte Identity Manager de chaque utilisateur.

• Activer. Active les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour activer également le compte Identity Manager de chaque utilisateur.

• Annuler l’assignation, Annuler le lien. Supprime les liens de tous les comptes de ressource sélectionnés et annule les assignations de tous les comptes utilisateur Identity Manager. L'annulation de l'assignation n'entraîne pas la suppression du compte de la ressource. Vous ne pouvez pas annuler l'assignation d'un compte ayant été indirectement assigné à l'utilisateur Identity Manager via un rôle ou un groupe de ressources.

• Annuler le lien. Supprime l'association (lien) d'un compte de ressource avec le compte utilisateur Identity Manager. La suppression du lien n'entraîne pas celle du compte de la ressource. Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur Identity Manager via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.

Les actions en masse fonctionneront de façon optimale si vous disposez d'une liste d'utilisateurs dans un fichier ou une application, par exemple un client de messagerie ou un tableur. Vous pouvez copier la liste et la coller dans un champ de cette page d'interface ou charger la liste des utilisateurs à partir d'un fichier.

Vous pouvez exécuter la plupart de ces actions sur les résultats d'une recherche d'utilisateurs. Utilisez la page Rechercher des utilisateurs (Compte -> Rechercher des utilisateurs) pour rechercher des utilisateurs.

Vous pouvez enregistrer les résultats d'une opération de compte en masse dans un fichier CSV en cliquant sur Télécharger CSV lorsque les résultats de la tâche s'affichent à la fin de la tâche.

Lancement d'actions de compte en masse

Pour lancer des actions de compte en masse

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

2. Cliquez sur Lancer des actions en masse dans le menu secondaire.

3. Remplissez le formulaire et cliquez sur Lancer.

   Identity Manager lance une tâche d’arrière-plan pour exécuter les actions en masse.

   Pour contrôler le statut de la tâche d'actions en masse, cliquez sur Tâches du serveur dans le menu principal puis cliquez sur Toutes tâches.

Utilisation des listes d'actions

Vous pouvez spécifier une liste d'actions en masse en utilisant le format CSV (valeurs séparées par des virgules). Ceci permet de combiner différents types d'action dans une liste d'actions. De plus, vous pouvez spécifier des actions de création et de mise à jour plus complexes.

Le format CSV se compose de deux lignes d'entrée minimum. Chaque ligne comprend une liste de valeurs séparées par des virgules. La première ligne contient des noms de champ. Les autres lignes correspondent chacune à une action à exécuter sur un utilisateur Identity Manager, sur les comptes de ressource de l'utilisateur ou sur ces deux éléments. Chaque ligne doit contenir le même nombre de valeurs. Les valeurs vides ne modifient pas la valeur des champs correspondants.

Deux champs sont obligatoires pour toute entrée CSV d'action en masse:

• user (utilisateur). Contient le nom de l'utilisateur Identity Manager.

• command (commande). Contient le nom de l'action entreprise sur l'utilisateur Identity Manager. Les commandes valides sont les suivantes :

  • Delete (Supprimer). Supprime, annule les assignations et supprime les liens des comptes de ressources, du compte Identity Manager ou de ces deux éléments.

  • DeleteAndUnlink (Supprimer et supprimer le lien). Supprime les comptes de ressources et en supprime les liens.

  • Disable (Désactiver). Désactive les comptes de ressources, le compte Identity Manager ou tous ces éléments.

  • Enable (Activer). Active les comptes de ressources, le compte Identity Manager ou tous ces éléments.

  • Unassign (Annuler l'assignation). Annule les assignations et supprime les liens des comptes de ressources.

  • Unlink (Annuler le lien). Supprime les liens des comptes de ressources.

  • Create (Créer). Crée le compte Identity Manager. Crée en option des comptes de ressources.

  • Update (Mettre à jour). Met à jour le compte Identity Manager. En option, crée, met à jour ou supprime les comptes de ressources.

  • CreateOrUpdate (Créer ou mettre à jour). Exécute une action de création si le compte Identity Manager n'existe pas. Sinon, cette commande exécute une opération de mise à jour.

Commandes Delete, DeleteAndUnlink, Disable, Enable, Unassign et Unlink

Si vous exécutez une action de type Delete, DeleteAndUnlink, Disable, Enable, Unassign ou Unlink, le seul champ supplémentaire à spécifier est le champ resources (ressources). Ce dernier permet de spécifier les comptes qui seront concernés sur les différentes ressources.

Le champ resources peut présenter les valeurs suivantes :

• all. Traite tous les comptes de ressource, y compris le compte Identity Manager.

• resonly. Traite tous les comptes de ressource, sauf le compte Identity Manager.

• nom_ressource [ | nom_ressource ... ]. Traite les comptes de ressource spécifiés. Spécifie à Identity Manager de traiter le compte Identity Manager.

Voici un exemple de format CSV pour plusieurs de ces actions :

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Commandes Create, Update et CreateOrUpdate

Si vous exécutez des commandes Create, Update ou CreateOrUpdate, en plus des champs user et command, vous pouvez spécifier des champs à partir de la vue utilisateur. Les noms de champ utilisés sont les expressions de chemin des attributs figurant dans les vues. Pour toute information sur les attributs disponibles dans la vue utilisateur, reportez-vous à User View Attributes du Sun Identity Manager Deployment Reference. Si vous utilisez un formulaire d'utilisateur personnalisé, les noms de champ du formulaire contiennent certaines des expressions de chemin que vous pouvez utiliser.

Voici certaines des expressions de chemin les plus courantes dans les actions en masse :

• waveset.roles. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.

• waveset.resources. Liste d'un ou plusieurs noms de ressource à assigner au compte Identity Manager.

• waveset.applications. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.

• waveset.organization. Nom de l'organisation dans laquelle placer le compte Identity Manager.

• accounts[ nom_ressource].nom_attribut. Attribut d'un compte de ressource. Les noms des attributs sont listés dans le schéma de la ressource.

Voici un exemple de format CSV pour des actions de création et de mise à jour :

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

La commande CreateOrUpdate permet de spécifier un type de compte spécifique sur une ressource prenant en charge plusieurs types de comptes. Ainsi, si un utilisateur possède plusieurs comptes sur une ressource donnée, chacun d'un type différent, l'exemple suivant illustre comment mettre à jour le type de compte admin pour l'utilisateur userAye :

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

---

Remarque –

Bien que la commande CreateOrUpdate permette de définir des attributs propres aux différents comptes d'un utilisateur, n'oubliez pas que les valeurs suivantes de la section globale de la vue Utilisateur sont appliquées à tous les comptes spécifiés :

• accountId,

• email,

• password,

• disable,

• tous les attributs étendus.

Par conséquent, une commande BulkOps de la forme suivante pourrait ne pas fonctionner comme prévu.

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

Si userAye dispose déjà d'une valeur pour email, celle-ci sera appliquée à l'attribut email de la ressource Sim1. Il n'existe aucun moyen de modifier ce comportement.

---

Champs comportant plusieurs valeurs

Certains champs peuvent contenir plusieurs valeurs. Ils sont appelés champs à valeurs multiples. Par exemple, le champ waveset.resources peut être utilisé pour assigner·plusieurs ressources à un utilisateur. Vous pouvez utiliser une barre verticale (|) pour séparer des valeurs multiples dans un champ. Pour spécifier des valeurs multiples, respectez la syntaxe suivante :

value0 | value1 [ | value2 ... ]

Lorsque vous mettez à jour des champs à valeurs multiples pour des utilisateurs existants, le remplacement des valeurs actuelles des champs par une ou plusieurs nouvelles valeurs peut ne pas donner le résultat escompté. Vous pouvez vouloir supprimer certaines valeurs ou ajouter d'autres valeurs courantes. Vous pouvez utiliser des directives de champ pour spécifier comment traiter les valeurs existantes des champs. Ces directives se placent devant la valeur du champ et sont encadrées par une barre verticale comme suit :

|directive [ ; directive ] | field values

Vous pouvez choisir parmi les directives suivantes :

• Remplacer. Remplace les valeurs actuelles par les valeurs spécifiées. C'est la valeur par défaut si aucune directive (ou seule la directive Lister) est spécifiée.

• Fusionner. Ajoute les valeurs spécifiées aux valeurs actuelles. Les valeurs en double sont filtrées.

• Supprimer. Supprime les valeurs spécifiées des valeurs actuelles.

• Lister. Force le champ à traiter la valeur comme si elle était multiple, même s'il ne s'agit que d'une seule valeur. Cette directive n'est habituellement pas nécessaire, car la plupart des champs sont traités de façon appropriée quel que soit le nombre de valeurs. C'est la seule directive qui peut être spécifiée avec une autre directive.

---

Remarque –

Les valeurs de champ sont sensibles à la casse. Ceci est important lorsque vous spécifiez les directives Fusionner et Supprimer. Les valeurs doivent être exactement identiques pour permettre une suppression correcte ou éviter d'avoir plusieurs valeurs similaires lors de la fusion.

---

Caractères spéciaux dans les valeurs de champ

Si une valeur de champ comporte une virgule (,) ou un guillemet (") ou si vous voulez préserver les espaces de tête ou de queue, vous devez insérer votre valeur de champ dans une paire de guillemets doubles ("valeur_champ"). Vous devez ensuite remplacer les guillemets doubles contenus dans la valeur de champ par deux guillemets doubles ("). Par exemple, "John ""Johnny"" Smith" donne la valeur de champ John "Johnny" Smith.

Si une valeur de champ contient une barre verticale (|) ou une barre oblique (\), vous devez la faire précéder d'une barre oblique (\| ou \\).

Attributs de la vue d'une action en masse

Lors de l'exécution des actions Create, Update ou CreateOrUpdate, la vue utilisateur comporte des attributs supplémentaires exclusivement utilisés ou disponibles pendant le traitement de l'action en masse. Ces attributs peuvent être référencés dans le formulaire utilisateur pour permettre un comportement spécifique aux actions en masse.

Ces attributs sont les suivants :

• Les attributs waveset.bulk.fields.nom_champ contiennent les valeurs des champs lus à partir de l'entrée CSV, où nom_champ désigne le champ. Par exemple, les champs command et user figurent dans les attributs avec, respectivement, les expressions de chemin waveset.bulk.fields.command et waveset.bulk.fields.user.

• Les attributs waveset.bulk.fieldDirectives.nom_champ sont uniquement définis pour les champs pour lesquels une directive a été spécifiée. La valeur est la chaîne de la directive.

• Définissez l'attribut booléen waveset.bulk.abort sur true pour abandonner l'action courante.

• Définissez waveset.bulk.abortMessage sur une chaîne de message qui s'affichera lorsque waveset.bulk.abort aura pour valeur true. Si cet attribut n'est pas défini, un message d'abandon générique s'affichera.

Règles de corrélation et de confirmation

Utilisez des règles de corrélation et de confirmation lorsque vous ne disposez pas d'un nom d'utilisateur Identity Manager à entrer dans le champ user (utilisateur) de vos actions. Si vous ne spécifiez pas de valeur pour le champ user, vous devez indiquer une règle de corrélation lors du lancement de l'action en masse. Si vous ne spécifiez pas de valeur pour le champ user, les règles de corrélation et de confirmation ne seront pas évaluées pour cette action.

Une règle de corrélation recherche les utilisateurs Identity Manager correspondant aux champs de l'action. Une règle de confirmation teste un utilisateur Identity Manager en le confrontant aux champs de l'action pour vérifier s'il correspond. Cette méthode en deux étapes permet à Identity Manager d'optimiser la corrélation en trouvant rapidement des utilisateurs possibles (d'après le nom ou des attributs) et en limitant l'exécution des contrôles coûteux à ces derniers.

Créez une règle de corrélation ou de confirmation en créant un objet Règle avec, respectivement, le sous-type SUBTYPE_ACCOUNT_CORRELATION_RULE ou SUBTYPE_ACCOUNT_CONFIRMATION_RULE.

Pour plus d'informations sur les règles de corrélation et de confirmation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

Règles de corrélation

L'entrée pour toute règle de corrélation est une mappe des champs d'action. La sortie doit être l'une des suivantes :

• une chaîne (contenant un nom ou un ID utilisateur) ;

• une liste d'éléments String (chacun étant un nom ou un ID utilisateur) ;

• une liste d'éléments WSAttribute ;

• une liste d'éléments AttributeCondition.

Une règle de corrélation type génère une liste de noms d'utilisateur d'après les valeurs des champs de l'action. Une règle de corrélation peut également générer une liste de conditions d'attributs (se référant à des attributs interrogeables de Type.USER) qui seront utilisées pour sélectionner des utilisateurs.

Une règle de corrélation doit être relativement peu coûteuse et la plus sélective possible. Si possible, reportez le traitement coûteux sur une règle de confirmation.

Les conditions d'attribut doivent faire référence à des attributs interrogeables de Type.USER. Ces derniers sont configurés dans l'objet Configuration Identity Manager nommé Configuration du schéma IDM.

La corrélation sur un attribut étendu requiert une configuration spéciale.

L'attribut étendu doit être spécifié comme interrogeable.

Pour définir un attribut étendu comme interrogeable

1. Ouvrez Configuration du schéma IDM. Vous devez avoir la capacité Configuration du schéma IDM pour afficher ou éditer Configuration du schéma IDM.

2. Localisez l'élément <IDMObjectClassConfiguration name=’User’>.

3. Localisez l'élément <IDMObjectClassAttributeConfiguration name=’ xyz ’>, où xyz est le nom de l'attribut que vous voulez définir comme interrogeable.

4. Définissez queryable=’true’

   Dans les Règles de corrélation, l'attribut étendu email est défini comme interrogeable.

---

Exemple 3–1 Extrait XML définissant l'attribut étendu email comme interrogeable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Vous devez redémarrer l'application Identity Manager (ou le serveur d'application) pour que le changement de Configuration du schéma IDM soit appliqué.

---

Règles de confirmation

Les entrées dans toute règle de confirmation prennent la forme suivante :

• Utilisez userview pour une vue complète d'un utilisateur Identity Manager.

• Utilisez account pour une mappe des champs d'action.

Une règle de confirmation retourne une valeur booléenne sous forme de chaîne true si l'utilisateur correspond aux champs d'action, sinon elle retourne la valeur false.

Une règle de confirmation typique confronte les valeurs internes de la vue utilisateur aux valeurs des champs d'action. À titre de deuxième étape facultative du traitement de corrélation, la règle de confirmation effectue des contrôles qui ne peuvent pas être exprimés dans une règle de corrélation (ou qui sont trop coûteux à évaluer dans une règle de corrélation).

En règle générale, vous n'aurez besoin d'une règle de confirmation que quand :

• la règle de corrélation peut retourner plusieurs utilisateurs correspondants ;

• les valeurs utilisateur qui doivent être comparées ne sont pas interrogeables.

Une règle de confirmation est exécutée une fois pour chaque utilisateur correspondant renvoyé par la règle de corrélation.