Gestion de la sécurité des comptes et des privilèges
Cette section examine les actions à votre disposition pour fournir un accès sécurisé aux comptes utilisateur et gérer les privilèges des utilisateurs dans Identity Manager :
Définition de stratégies de mot de passe
Les stratégies de mot de passe de ressource établissent les limites applicables aux mots de passe. Les stratégies de mot de passe fortes assurent une sécurité supplémentaire pour protéger les ressources contre les tentatives de connexion non autorisées. Vous pouvez éditer une stratégie de mot de passe pour définir ou sélectionner des valeurs pour tout un éventail de caractéristiques.
Pour commencer à travailler avec les stratégies de mot de passe, cliquez sur Sécurité dans le menu principal, puis sur Stratégies.
Pour éditer une stratégie de mot de passe, cliquez dessus dans la liste Stratégies. Pour créer une stratégie de mot de passe, sélectionnez Stratégie de qualité de chaîne dans la liste d'options Nouveau.
Remarque –
Pour plus d'informations sur les stratégies, reportez-vous à Configuration des stratégies d'Identity Manager.
Création d'une stratégie
Les stratégies de mot de passe constituent le type par défaut des stratégies de qualité chaîne. Après avoir nommé la nouvelle stratégie et avoir entré une brève description, sélectionnez les options et les paramètres des règles qui la définissent.
Règles de longueur
Les règles de longueur définissent les nombres de caractères minimum et maximum requis pour un mot de passe. Sélectionnez cette option pour activer la règle puis saisissez une valeur seuil.
Type de la stratégie
Choisissez l'un des boutons de type de stratégie suivants : Si vous choisissez l'option Autre, vous devez saisir le type dans le champ de texte fourni.
Règles de type de caractère
Les règles de type de caractères fixent les nombres de caractères minimum et maximum requis de certains types et les chiffres pouvant être inclus dans un mot de passe.
Elles incluent les éléments suivants :
-
les nombres minimum et maximum de caractères alphabétiques, numériques, majuscules, minuscules et spéciaux ;
-
les nombres minimum et maximum de caractères numériques imbriqués ;
-
le nombre maximum de caractères répétés et en séquence ;
-
les nombres minimum de caractères alphabétiques et numériques de début.
Saisissez une valeur limite numérique pour chaque règle de type de caractères ou saisissez Tous pour indiquer que tous les caractères doivent être de ce type.
Nombre minimal de règles de type de caractères
Vous pouvez aussi définir le nombre minimal de règles de type de caractères devant réussir la validation comme illustré à la Figure 3–7. Le nombre minimal de règles devant réussir est de une règle. Le maximum ne peut pas dépasser le nombre des règles de type de caractères que vous avez activées.
Remarque –
Pour définir le nombre minimal de règles de type de caractères devant réussir sur la valeur la plus haute, sélectionnez Tous.
Figure 3–7 Règles des stratégies de mot de passe (type de caractères)
Sélection de la stratégie de dictionnaire
Vous pouvez choisir de contrôler les mots de passe par rapport à un dictionnaire pour vous protéger contre les attaques par dictionnaire simples.
Pour pouvoir utiliser cette option, vous devez :
-
configurer le dictionnaire ;
-
charger les mots du dictionnaire.
Vous configurez le dictionnaire depuis la page Stratégies. Pour plus d'informations sur la configuration du dictionnaire, reportez-vous à Stratégie de dictionnaire.
Stratégie d'historique de mot de passe
Vous pouvez interdire la réutilisation des derniers mots de passe précédents pour un mot de passe nouvellement sélectionné.
Dans le champ Nombre de mots de passe antérieurs ne pouvant pas être réutilisés, saisissez une valeur numérique supérieure à un pour empêcher toute réutilisation des mots de passe actuels et précédents. Par exemple, si vous saisissez le chiffre 3, le nouveau mot de passe ne pourra pas être le même que le mot de passe actuel ni que les deux mots de passe le précédant.
Vous pouvez aussi interdire la réutilisation de caractères similaires à ceux employés dans les mots de passe précédents. Dans le champ Nombre maximal de caractères identiques à ceux des mots de passe précédents ne pouvant être réutilisés, indiquez le nombre de caractères consécutifs contenus dans les mots de passe précédents ne pouvant pas être réutilisés dans le nouveau mot de passe. Par exemple, si vous indiquez 7 et que le mot de passe précédent était password1, le nouveau mot de passe ne pourra pas être password2 ni password3.
Si vous entrez la valeur 0, tous les caractères doivent être différents indépendamment de leur ordre. Par exemple, si le mot de passe précédent était abcd, le nouveau mot de passe ne peut pas contenir les caractères a, b, c et d.
Cette règle peut s'appliquer à un ou plusieurs mots de passe précédents. Le nombre de mots de passe précédents vérifiés correspond à la valeur indiquée dans le champ Nombre de mots de passe précédents ne pouvant être réutilisés.
Ne doit pas contenir les mots
Vous pouvez entrer un ou plusieurs mots que le mot de passe ne doit en aucun cas contenir. Dans la zone d'entrée, saisissez un mot par ligne.
Vous pouvez également exclure des mots en configurant et en implémentant la stratégie de dictionnaire. Pour plus d'informations, reportez-vous à Stratégie de dictionnaire.
Ne doit pas contenir les attributs
Vous pouvez entrer un ou plusieurs attributs que le mot de passe ne doit en aucun cas contenir.
Vous pouvez spécifier les attributs suivants :
-
accountID,
-
email,
-
firstname,
-
fullname,
-
lastname.
Vous pouvez modifier l'ensemble d'attributs « ne doit pas contenir » dans l'objet Configuration UserUIConfig. Pour plus d'informations, reportez-vous à Ne doit pas contenir les attributs dans les stratégies.
Implémentation des stratégies de mot de passe
Les stratégies de mot de passe sont établies pour chaque ressource. Pour mettre une stratégie de mot de passe en place pour une ressource spécifique, sélectionnez-la dans la liste d'options Stratégie de mot de passe, figurant dans la zone Configuration de la stratégie des pages de l'assistant Créer ou Éditer la ressource : Paramètres Identity Manager.
Authentification des utilisateurs
Si un utilisateur oublie son mot de passe ou que son mot de passe est réinitialisé, il peut répondre à une ou plusieurs questions d'authentification pour accéder à Identity Manager. Vous établissez ces questions ainsi que les règles qui les régissent, dans une stratégie de compte Identity Manager. Contrairement aux stratégies de mot de passe, les stratégies de compte Identity Manager sont assignées à l'utilisateur directement ou au travers de l'organisation qui lui est assignée (sur les pages Créer un utilisateur et Éditer l'utilisateur).
Pour configurer l'authentification d'une stratégie de compte
-
Cliquez sur Sécurité dans le menu principal, puis sur Stratégies.
-
Sélectionnez Stratégie de compte Identity Manager par défaut dans la liste des stratégies.
Les sélections d'authentification sont proposées dans la zone Options de stratégie d’authentification de second niveau de la page.
Important ! Lors de la première installation, l'utilisateur doit se connecter à l'interface utilisateur et fournir les réponses initiales à ses questions d'authentification. Si ces réponses ne sont pas définies, l'utilisateur ne pourra pas se connecter sans son mot de passe.
La stratégie des questions d’authentification détermine ce qui se passe quand un utilisateur clique sur le bouton Mot de passe oublié ? sur la page de connexion ou lorsqu'il accède à la page Changer mes réponses. Authentification des utilisateurs décrit les différentes options.
Option
Description
Tous
Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie et personnalisées.
N’importe lequel
Identity Manager affiche toutes les questions définies par la stratégie et personnalisées. Vous devez spécifier le nombre des questions auxquelles l'utilisateur devra répondre.
Suivant
Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie la première fois qu'il se connecte.
Si l'utilisateur clique sur le bouton Mot de passe oublié ? pendant la connexion, Identity Manager affiche la première question. Si l’utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu’à ce que l’utilisateur réponde correctement à une question d’authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. Les questions générées par un utilisateur ne sont pas prises en charge pour cette stratégie.
Aléatoire
Permet à l'administrateur de spécifier le nombre des questions auxquelles l'utilisateur devra répondre. Identity Manager sélectionne de manière aléatoire dans la liste des questions définies dans la stratégie et parmi celles définies par l'utilisateur le nombre de questions spécifié et les affiche. L'utilisateur doit répondre à toutes les questions affichées.
À tour de rôle
Identity Manager sélectionne la question suivante de la liste des questions configurées et l'assigne à l'utilisateur. Le premier utilisateur se voit assigner la première question de la liste des questions d'authentification, le second la deuxième question et ainsi de suite jusqu'à ce qu'il n'y ait plus de questions. À ce stade, les questions sont assignées aux utilisateurs en ordre séquentiel. Par exemple, s'il y a dix questions, le 11e et le 21e utilisateurs se verront assigner la première question.
Seule la question sélectionnée s'affiche. Si vous souhaitez que l'utilisateur réponde à une question différente à chaque fois, choisissez la stratégie Aléatoire et définissez le nombre de questions sur 1.
Les utilisateurs ne peuvent pas définir leurs propres questions d'authentification. Pour plus d'informations sur cette fonctionnalité, reportez-vous à Questions d’authentification personnalisées.
Vous pouvez vérifier vos choix d'authentification en vous connectant à l'interface utilisateur d'Identity Manager en cliquant sur le bouton Mot de passe oublié ? et en répondant à la/aux questions posées.
La Figure 3–8 représente un exemple d'écran d'authentification de compte utilisateur.
Figure 3–8 Authentification de compte utilisateur
Questions d’authentification personnalisées
Dans la stratégie de compte Identity Manager, vous pouvez sélectionner une option permettant aux utilisateurs de fournir leurs propres questions d'authentification dans les interfaces utilisateur et administrateur. Vous pouvez de plus définir le nombre minimum de questions que l'utilisateur doit fournir et auxquelles il devra répondre pour parvenir à se connecter en utilisant les questions d'authentification personnalisées.
Les utilisateurs peuvent ajouter et changer des questions depuis la page Changer les réponses aux questions d’authentification. Un exemple de cette page est illustré à la Figure 3–9.
Figure 3–9 Changer les réponses : Questions d’authentification personnalisées
Ignorer la demande de changement de mot de passe suivant l'authentification par questions
Quand un utilisateur réussit à s'authentifier en répondant à une ou plusieurs questions, il est par défaut invité par le système à fournir un nouveau mot de passe. Vous pouvez cependant configurer Identity Manager pour ignorer cette demande de changement de mot de passe en définissant la propriété de configuration système bypassChangePassword pour une ou plusieurs applications Identity Manager.
Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.
Pour ignorer une demande de changement de mot de passe pour toutes les applications après une authentification réussie, définissez la propriété bypassChangePassword comme suit dans l'objet Configuration système.
Exemple 3–2 Définition de l'attribut pour ignorer la demande de changement de mot de passe
<Attribute name="ui"
<Object>
<Attribute name="web">
<Object>
<Attribute name=’questionLogin’>
<Object>
<Attribute name=’bypassChangePassword’>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
Pour désactiver cette demande de mot de passe pour une application spécifique, définissez-la comme suit.
Exemple 3–3 Définition de l'attribut pour désactiver la demande de changement de mot de passe
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name=’user’>
<Object>
<Attribute name=’questionLogin’>
<Object>
<Attribute name=’bypassChangePassword’>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
|
Assignation de privilèges administratifs
Vous pouvez assigner des privilèges administratifs Identity Manager, ou capacités, aux utilisateurs de la manière suivante :
-
Rôles admin. Les utilisateurs auxquels un rôle admin a été assigné héritent des capacités et des organisations contrôlées définies par ce rôle. Par défaut, tous les comptes utilisateur Identity Manager se voient assigner le rôle User Admin à leur création. Pour des informations détaillées sur les rôles admin et sur la création d'un rôle admin, reportez-vous à Comprendre et gérer les ressources Identity Manager externes dans le Chapitre 5Rôles et ressources.
-
Capacités. Les capacités sont définies par des règles. Identity Manager fournit des ensembles de capacités regroupées en capacités fonctionnelles que vous pouvez sélectionner. L'assignation de capacités autorise une majeure granularité dans l'assignation des privilèges administratifs. Pour plus d'informations sur les capacités et leur création, reportez-vous à Comprendre et gérer les capacités au Chapitre 6Administration.
-
Organisations contrôlées. Les organisations contrôlées accordent des privilèges de contrôle administratif sur des organisations spécifiées. Pour plus d'informations, reportez-vous à Comprendre les organisations d'Identity Manager au Chapitre 6Administration.
Pour plus d'informations sur les administrateurs Identity Manager et les tâches administratives, voir le Chapitre 6Administration.
- © 2010, Oracle Corporation and/or its affiliates