Vous trouverez dans cette section des informations relatives à la configuration des stratégies utilisateur.
Cette section se compose des rubriques suivantes :
Les stratégies d' Identity Manager définissent des limites pour les utilisateurs Identity Manager en établissant des contraintes concernant les caractéristiques des ID de compte, connexions et mots de passe d'Identity Manager.
Identity Manager fournit également des stratégies d'audit spécialement conçues pour contrôler la compatibilité des utilisateurs. Les stratégies d'audit font l'objet du Chapitre 13Audit des identités : principes de base.
Les stratégies sont classées en catégories comme suit :
Stratégies de compte Identity System. Ces stratégies établissent les options et contraintes concernant les utilisateurs, mots de passe et stratégies d'authentification. Vous assignez des stratégies de compte Identity System aux organisations à partir des pages Créer une organisation et Éditer l’organisation ou aux utilisateurs depuis les pages Créer un utilisateur et Éditer l'utilisateur.
Vous pouvez définir ou sélectionner les options suivantes :
Options de stratégie de compte utilisateur. Ces options spécifient la façon dont Identity Manager traite les comptes utilisateur si un utilisateur ne parvient pas à répondre correctement aux questions d'authentification.
Options de stratégie de mot de passe. Ces options définissent l'expiration du mot de passe, le préavis avant l’expiration et les options de réinitialisation.
Options de stratégie d’authentification de second niveau. Ces options déterminent la façon dont les questions d'authentification sont présentées à l'utilisateur, si l'utilisateur peut fournir ses propres questions d'authentification, appliquer l'authentification à la connexion et établir la banque des questions pouvant être posées à un utilisateur.
Stratégies de compte système de Service Provider. Dans une implémentation de fournisseur de services, ce type de stratégie permet d'établir les options et les contraintes en matière de stratégies d'utilisateur, de mots de passe et d'authentification pour les utilisateurs de fournisseur de services. Vous assignez les stratégies aux organisations à partir des pages Créer une organisation et Éditer l’organisation ou aux utilisateurs depuis les pages Créer un utilisateur et Éditer l'utilisateur.
Stratégies de qualité de chaîne. Cette catégorie comprend des types de stratégie tels que ceux de mot de passe, ID de compte et authentification. Ces stratégies permettent de définir les règles de longueur, les règles de type de caractères, les mots autorisés et les valeurs d'attributs. Ce type de stratégie est lié à chaque ressource Identity Manager et défini sur chaque page de ressource. La figure suivante donne un exemple.
Vous pouvez définir les options et règles suivantes pour les mots de passe et ID de compte :
Règles de longueur. Ces règles déterminent la longueur minimum et maximum.
Règles de type de caractères. Ces règles définissent les valeurs minimum et maximum admises pour les caractères alphabétiques, numériques, majuscules, minuscules, répétés et séquentiels.
Limites de réutilisation des mots de passe. Ces limites spécifient le nombre des mots de passe précédant le mot de passe actuel qui ne peuvent pas être réutilisés. Lorsqu'un utilisateur essaie de changer son mot de passe, le nouveau mot de passe est confronté à l'historique des mots de passe pour vérifier qu'il s'agit d'un mot de passe unique. Pour des raisons de sécurité, une signature numérique des mots de passe précédents est enregistrée et les nouveaux mots de passe sont confrontés à cette dernière.
Mots et valeurs d'attribut interdits. Cette option spécifie les mots et les attributs qui ne peuvent en aucun cas constituer tout ou partie d'un ID ou d'un mot de passe.
Vous créez et éditez les stratégies utilisateur Identity Manager depuis la page Stratégies. Pour ouvrir cette page, procédez comme suit :
Connectez-vous à l'interface administrateur.
Cliquez sur l'onglet Sécurité puis sur le sous-onglet Stratégies.
La page Stratégies, représentée dans la figure suivante, s'ouvre.
Vous pouvez modifier l'ensemble autorisé d'attributs « Ne doit pas contenir » dans l'objet configuration UserUIConfig.
Les attributs sont listés dans UserUIConfig comme suit :
attribut <PolicyPasswordAttributeNames> : mot de passe du type de stratégie ;
attribut <PolicyAccountAttributeNames> : ID de compte du type de stratégie ;
attribut <PolicyOtherAttributeNames> : autre élément du type de stratégie.
Une stratégie·de dictionnaire permet à Identity Manager de vérifier, par rapport à une base de données de mots, que les mots de passe sont protégés d'une attaque de dictionnaire simple. Cette stratégie, utilisée avec d'autres paramètres de stratégie pour imposer la longueur et l'arrangement des mots de passe, permet à Identity Manager de rendre difficile l'utilisation d'un dictionnaire pour deviner les mots de passe générés ou changés dans le système.
La stratégie de dictionnaire étend la liste d'exclusion de mots de passe que vous pouvez configurer avec la stratégie (cette liste est implémentée par l'option Ne doit pas contenir les mots sur la page Éditer la stratégie de mot de passe de l'interface administrateur).
Pour configurer une stratégie de dictionnaire, vous devez :
configurer la prise en charge du serveur du dictionnaire ;
charger le dictionnaire.
Ouvrez la page Stratégies comme décrit dans Pour ouvrir la page Stratégies.
Cliquez sur Configurer le dictionnaire pour afficher la page Configuration du dictionnaire.
Sélectionnez et saisissez les informations relatives à la base de données.
Ces informations sont les suivantes :
Type de la base de données. Sélectionnez le type de la base de données (Oracle, DB2, SQLServer ou MySQL) que vous utiliserez pour stocker le dictionnaire.
Hôte. Entrez le nom de l’hôte sur lequel la base de données sera exécutée.
Utilisateur. Saisissez le nom d'utilisateur à utiliser pour la connexion à la base de données.
Mot de passe. Saisissez le mot de passe à utiliser lors de la connexion à la base de données.
Port. Entrez le port sur lequel la base de données écoute.
Connexion URL. Saisissez l'URL à utiliser lors de la connexion. Les variables de modèles suivantes sont disponibles :
%h (hôte),
%p (port),
%d (nom de la base de données).
Classe de pilote. Saisissez la classe du pilote JDBC à utiliser lors de l’interaction avec la base de données.
Nom de la base de données. Saisissez le nom de la base de données dans laquelle le dictionnaire sera chargé.
Nom de fichier du dictionnaire. Saisissez le nom du fichier à utiliser lors du chargement du dictionnaire.
Cliquez sur Test pour tester la connexion à la base de données.
Si le test de connexion réussit, cliquez sur Charger mots pour charger le dictionnaire. La tâche de chargement peut prendre quelques minutes.
Cliquez sur Test pour vérifier que le chargement du dictionnaire a réussi.
Suivez les étapes ci-après pour implémenter une stratégie de dictionnaire :
Ouvrez la page Stratégies comme décrit dans Pour ouvrir la page Stratégies.
Cliquez sur le lien Stratégie de mot de passe pour éditer la stratégie de mot de passe.
Dans la page Éditer la stratégie, sélectionnez l'option Vérifier les mots de passe dans le dictionnaire.
Cliquez sur Enregistrer pour enregistrer vos modifications.
Une fois la stratégie implémentée, tous les mots de passe générés et changés sont confrontés au dictionnaire.