Création de rôles

Cette section décrit la création des rôles. Ces informations sont organisées de la manière suivante :

• Pour créer des rôles en utilisant le formulaire Créer un rôle ;

• Pour assigner des ressources et groupes de ressources ;

• Pour éditer des valeurs d'attributs de ressources assignées ;

• Pour assigner des rôles et des exclusions de rôles ;

• Désignation des propriétaires et approbateurs de rôles ;

• Désignation de notifications.

• Lancement d'éléments de travail d'approbation de changement et d'approbation

Pour des conseils en matière de conception de rôles, reportez-vous à Utilisation des types de rôles pour concevoir des rôles flexibles.

Lorsque vous créez ou éditez un rôle, Identity Manager lance le flux de travaux ManageRole. Ce flux de travaux enregistre le rôle nouveau ou mis à jour dans le référentiel et vous permet d'insérer des approbations ou d'autres actions avant la création ou l'enregistrement du rôle.

Pour créer des rôles en utilisant le formulaire Créer un rôle

1. Dans l'interface administrateur, cliquez sur Rôles dans le menu principal.

   La page Rôles (onglet Lister les rôles) s'ouvre.

2. Cliquez sur Nouveau au bas de cette page.

   La page Créer Rôle informatique s'ouvre. Pour créer un autre type de rôle, utilisez le menu déroulant Type.

3. Remplissez les champs du formulaire sur l'onglet Identité.

   La figure suivante illustre l'onglet Identité.

   Figure 5–3 L'onglet Identité de la page Créer Rôle informatique

   
   

4. Remplissez les champs du formulaire dans l'onglet Ressources (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des ressources et groupes de ressources.

   Si vous avez besoin d'aide pour définir les valeurs des attributs étendus sur les rôles, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   La figure suivante illustre l'onglet Ressources.

   Figure 5–4 L'onglet Ressources de la page Créer Rôle informatique

   
   

5. Remplissez les champs du formulaire sur l'onglet Rôles (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des rôles et des exclusions de rôles.

   La Figure 5–6 illustre l'onglet Rôles.

6. Remplissez les champs du formulaire sur l'onglet Sécurité. Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Désignation des propriétaires et approbateurs de rôles et la section Désignation de notifications.

   Désignation des propriétaires et approbateurs de rôles affiche l'onglet Sécurité.

7. Cliquez sur Enregistrer au bas de cette page.

8. Saisissez un nom de rôle et une description dans l'onglet Identité du formulaire Créer un rôle. Si vous créez un nouveau rôle, utilisez le menu déroulant Type afin de sélectionner le type de rôle à créer.

   La Figure 5–4 représente la partie Identité de l'onglet Identité du formulaire Créer un rôle. Si vous avez besoin d'aide pour utiliser ce formulaire, reportez-vous à l'aide en ligne.

Pour assigner des ressources et groupes de ressources

Les ressources et groupes de ressources peuvent être assignés directement à des rôles informatiques et des rôles applications en utilisant l'onglet Ressources du formulaire Créer un rôle. Les ressources sont décrites plus loin dans la section Comprendre et gérer les ressources Identity Manager externes. Les groupes de ressources sont décrits dans la section Groupes de ressources.

• Il est impossible d'assigner directement des ressources et groupes de ressources à des rôles professionnels, car les rôles professionnels ne peuvent se voir assigner que des rôles.

• Il est impossible d'assigner des ressources et des groupes de ressources à des rôles de type Matériel, car ceux-ci sont réservés aux ressources non connectées ou non numériques nécessitant un provisioning manuel.

Cette procédure décrit l'assignation des ressources et groupes de ressources à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

1. Cliquez sur l'onglet Ressources sur la page Créer un rôle.

2. Pour assigner une ressource, sélectionnez-la dans la colonne Ressources disponibles et déplacez-la dans la colonne Ressources actuelles en cliquant sur les touches fléchées.

3. Si vous assignez plusieurs ressources, vous pouvez définir l'ordre dans lequel celles-ci seront mises à jour : cochez la case Mettre ressources à jour en ordre et utilisez les boutons + et - pour changer l'ordre des ressources dans la colonne Ressources actuelles.

4. Pour assigner un groupe de ressources à ce rôle, sélectionnez-le dans la colonne Groupes de ressources disponibles et déplacez-le dans la colonne Groupes de ressources actuels en cliquant sur les touches fléchées. Un groupe de ressources est un ensemble de ressources offrant un autre moyen de spécifier l'ordre dans lequel les comptes de ressources sont créés et mis à jour.

5. Pour définir les attributs de compte s'appliquant à ce rôle par ressource, cliquez sur Définir des valeurs d'attribut dans la section Ressources assignées. Pour plus d'informations, voir Pour afficher ou éditer les attributs des comptes de ressources.

6. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Rôles ou Sécurité pour poursuivre le processus de création de rôle.

   La figure suivante représente l'onglet Ressources du formulaire Créer un rôle.

   Figure 5–5 La section Ressources du formulaire à onglets Créer un rôle

   
   

Pour éditer des valeurs d'attributs de ressources assignées

Utilisez le tableau Ressources assignées pour définir ou modifier les valeurs d'attributs de ressources sur des ressources assignées à un rôle. Une ressource peut avoir différentes valeurs d'attributs définies par rôle. Cliquer sur le bouton Définir des valeurs d’attribut ouvre la page Attributs de compte de ressources.

La figure suivante représente la page Attributs de compte de ressources qui est utilisée pour définir les valeurs des attributs étendus sur les ressources assignées à un rôle.

1. Depuis la page Attributs de compte de ressources, spécifiez les nouvelles valeurs de chaque attribut et déterminez la façon dont sont définies les valeurs des attributs.

   Identity Manager vous permet de définir directement les valeurs ou d'utiliser une règle pour définir les valeurs et fournit toute une gamme d'options pour ignorer les valeurs existantes ou fusionner les valeurs avec les valeurs existantes. Pour toute information d'ordre général sur les valeurs des attributs de ressource, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   Utilisez les options suivantes pour fixer les valeurs des différents attributs de compte de ressource :

   • Annuler valeur. Choisissez l'une des options suivantes :

     • Aucun (par défaut). Aucune valeur n'est établie.

     • Règle. Utilise une règle pour définir la valeur.

       Si vous sélectionnez cette option, vous devez sélectionner le nom d'une règle dans la liste.

     • Texte. Utilise le texte spécifié pour définir la valeur.

       Si vous sélectionnez cette option, vous devez saisir le texte dans le champ Texte adjacent.

   • Comment définir. Choisissez l'une des options suivantes :

     • Valeur par défaut. Définit la règle ou le texte comme valeur d'attribut par défaut.

       L'utilisateur peut modifier ou annuler cette valeur.

     • Définir sur la valeur. Définit la valeur d'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur.

     • Fusionner avec la valeur. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

     • Fusionner avec la valeur, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

     • Supprimer de la valeur. Supprime de la valeur d'attribut la valeur spécifiée par la règle ou le texte.

     • Déterminer à la valeur par voie d’autorité. Définit la valeur de l'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur. Si vous supprimez le rôle, la nouvelle valeur est NULL, même s'il existait précédemment sur cet attribut.

     • Fusionner avec la valeur par voie d’autorité. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

       La suppression du rôle supprime la valeur qui avait été assignée à l'assignation du rôle et laisse telle quelle la valeur originale de l'attribut.

     • Fusionner avec la valeur par voie d’autorité, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

       Supprime la valeur d'attribut spécifiée par ce rôle si le rôle est supprimé, même s'il existait précédemment sur l'attribut.

   • Nom de la règle. Si vous sélectionnez Règle dans la zone Annuler valeur, sélectionnez une règle dans la liste.

   • Texte. Si vous sélectionnez Texte dans la zone Annuler valeur, saisissez le texte à ajouter ou à supprimer de la valeur de l'attribut, ou à utiliser comme valeur d'attribut.

2. Cliquez sur OK pour enregistrer vos modifications et retourner à la page Créer ou Éditer un rôle.

Pour assigner des rôles et des exclusions de rôles

Des rôles peuvent être assignés à des rôles professionnels et informatiques via l'onglet Rôles du formulaire Créer un rôle. Les rôles assignés doivent être ajoutés au tableau Rôles contenus.

• Il est impossible d'assigner des rôles à des rôles de type Application et Matériel.

• Les rôles professionnels ne peuvent être assignés à aucun type de rôle.

Des exclusions de rôles peuvent être assignées à l'ensemble des quatre types de rôles en utilisant l'onglet Rôles du formulaire Créer un rôle. Si un rôle présentant une exclusion de rôle est assigné à un utilisateur, le rôle exclu ne peut pas être assigné à l'utilisateur. Les exclusions de rôles doivent être ajoutées au tableau Exclusions de rôles.

Cette procédure décrit l'assignation de un ou plusieurs rôles à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

Pour remplir l'onglet Rôles

1. Cliquez sur l'onglet Rôles sur la page Créer un rôle.

2. Cliquez sur Ajouter dans la section Rôles contenus.

   L'onglet est actualisé et affiche le formulaire Rechercher rôles à contenir.

3. Recherchez le ou les rôles que vous assignerez à ce rôle. Commencez par les rôles obligatoires (vous ajouterez les rôles conditionnels et optionnels ultérieurement).

   Si vous avez besoin d'aide pour remplir le formulaire de recherche, reportez-vous à Pour rechercher des rôles. Les rôles professionnels ne peuvent être imbriqués ni assignés à d'autres types de rôles.

4. Utilisez les cases à cocher pour sélectionner un ou plusieurs rôles à assigner puis cliquez sur Ajouter.

   L'onglet est actualisé et affiche le formulaire Ajouter un rôle contenu.

5. Sélectionnez Obligatoire (ou Conditionnel ou Optionnel selon le cas) dans le menu déroulant Type d’association.

   Cliquez sur OK.

6. Répétez les quatre étapes précédentes pour ajouter des rôles conditionnels (le cas échéant). Répétez les quatre étapes précédentes pour ajouter des rôles optionnels (le cas échéant).

7. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Ressources ou Sécurité pour poursuivre le processus de création de rôle.

   La Figure 5–6 représente l'onglet Rôles du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–6 La section Rôles du formulaire à onglets Créer un rôle

   
   

Désignation des propriétaires et approbateurs de rôles

Les rôles ont des propriétaires et des approbateurs désignés. Seuls les propriétaires d'un rôle peuvent autoriser l'apport de modifications aux paramètres définissant un rôle tandis que seuls les approbateurs d'un rôle peuvent autoriser l'assignation de ce rôle aux utilisateurs finaux.

Si Identity Manager est intégré avec Sun^TM Role Manager, vous devez autoriser Role Manager à gérer l'ensemble des approbations et notifications de changement de rôle en désactivant manuellement la capacité d'Identity Manager d'effectuer ces actions.

Vous devez éditer l'objet Configuration RoleConfiguration dans Identity Manager comme suit :

• Trouvez toutes les instances de changeApproval et définissez la valeur sur false.

• Trouvez toutes les instances de changeNotification et définissez la valeur sur false.

Être le propriétaire d'un rôle revient à être le propriétaire professionnel responsable des droits des comptes de ressources sous-jacents qui sont assignés par le biais de ce rôle. Si un administrateur modifie un rôle, le propriétaire du rôle doit approuver les changements pour qu'ils puissent être appliqués. Cette fonction permet d'empêcher un administrateur de modifier un rôle sans que le propriétaire professionnel du rôle ne le sache et n'y consente. Cependant, si les approbations de changement ont été désactivées dans l'objet Configuration du rôle, l'approbation du propriétaire du rôle n'est pas nécessaire pour appliquer les changements.

Outre pour les changements de rôle, l'approbation du propriétaire est nécessaire pour activer, désactiver ou supprimer un rôle.

Les propriétaires et approbateurs peuvent indifféremment être ajoutés directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Dans Identity Manager, il est possible (même si cela n'est pas recommandé) de créer des rôles sans propriétaire ni approbateur.

Les règles d'assignation de rôles ont pour authType RoleUserRule.

Si vous devez créer une règle d'assignation de rôles personnalisée, reportez-vous aux trois objets de règle d'assignation de rôles et utilisez-les comme un exemple :

• approbateurs de rôles,

• notifications de rôle,

• propriétaires de rôles.

Les propriétaires et les approbateurs sont avertis par e-mail si un élément de travail requiert leur approbation. Les éléments de travail de type approbation de changement et approbation sont examinés dans la section Lancement d'éléments de travail d'approbation de changement et d'approbation.

Les propriétaires et les approbateurs sont ajoutés aux rôles sur l'onglet Sécurité dans le formulaire Créer un rôle.

Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

Désignation de notifications

Un ou plusieurs administrateurs peuvent recevoir des notifications lorsqu'un rôle est assigné à un utilisateur.

La spécification d'un destinataire des notifications est optionnelle. Vous pouvez choisir d'avertir un administrateur si vous décidez de ne pas exiger d'approbation quand un rôle est assigné à un utilisateur. Vous pouvez aussi désigner un administrateur qui servira d'approbateur et un autre administrateur qui servira de destinataire des notifications une fois l'approbation effectuée.

Comme avec les propriétaires et approbateurs, les notifications peuvent indifféremment être ajoutées directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Les destinataires des notifications sont avertis par e-mail quand un rôle est assigné à un utilisateur. Aucun élément de travail n'est toutefois créé puisqu'aucune approbation n'est nécessaire.

Les notifications sont assignées aux rôles dans l'onglet Sécurité du formulaire Créer un rôle. Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle.

Lancement d'éléments de travail d'approbation de changement et d'approbation

Lorsque des changements sont apportés à un rôle, les propriétaires de ce rôle peuvent recevoir un e-mail d'approbation de changement, un e-mail de notification de changement ou ne pas recevoir d'e-mail du tout. Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle.

Par défaut, les propriétaires de rôles reçoivent des e-mails approbation de changement à chaque fois que les rôles dont ils sont propriétaires changent. Ce comportement peut cependant être configuré par type de rôle. Par exemple, vous pouvez choisir d'activer les approbations de changement pour les rôles professionnels et informatiques, et d'activer les notifications de changement pour les rôles applications et matériel.

Pour les instructions à suivre pour activer et désactiver les e-mails d'approbation de changement et de notification de changement, reportez-vous à Configuration des types de rôles .

Le fonctionnement des approbations et notifications de changement est le suivant :

• Si les approbations de changement sont activées lorsqu'un administrateur modifie un rôle, un élément de travail est généré et un e-mail d'approbation est envoyé au propriétaire du rôle. Le propriétaire du rôle doit approuver l'élément de travail pour que le changement soit appliqué. Les éléments de travail d'approbation de changement peuvent être délégués. Pour plus d’informations, voir Approbation des comptes utilisateur.

  Si les approbations de changement sont désactivées, aucun élément de travail n'est généré et aucun e-mail d'approbation n'est envoyé au propriétaire du rôle.

• Si les notifications de changement sont activées lorsqu'un administrateur modifie un rôle, le changement est immédiatement appliqué et un e-mail de notification est envoyé au propriétaire du rôle.

  Si les notifications de changement sont désactivées, aucune notification n'est envoyée au propriétaire du rôle.

Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle. Les e-mails d'approbation de rôle ne peuvent pas être désactivés dans Identity Manager.

Pour les approbations de rôle, un élément de travail est généré lorsqu'un rôle est assigné à un utilisateur et un e-mail d'approbation est envoyé à l'approbateur du rôle. L'approbateur d'un rôle doit approuver l'élément de travail pour que le rôle soit assigné à l'utilisateur.

Les éléments de travail d'approbation de changement et d'approbation peuvent être délégués. Pour plus d'informations sur la délégation des éléments de travail, voir Délégation des éléments de travail.