Chapitre 7 Chargement et synchronisation des données

Ce chapitre contient les informations et les procédures d'utilisation des fonctionnalités de chargement et synchronisation des données d'Identity Manager. Vous y apprendrez à utiliser les outils de synchronisation de données d'Identity Manager(la détection, la réconciliation et la synchronisation) pour maintenir les données à jour.

Ce chapitre se compose des rubriques suivantes :

• Choix de l'outil de synchronisation des données ;

• Fonctionnalités de détection de comptes ;

• Réconciliation des comptes ;

• Adaptateurs Active Sync.

Vous trouverez une explication détaillée du fonctionnement du chargement et de la synchronisation des données dans Identity Manager au Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

Choix de l'outil de synchronisation des données

Identity Manager fournit plusieurs outils pouvant être utilisés pour importer et synchroniser les données des comptes. Pour savoir comment sélectionner le bon outil pour une tâche donnée, voir le Tableau 7–1.

---

Remarque –

Vous trouverez une explication détaillée du fonctionnement du chargement et de la synchronisation des données dans Identity Manager au Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

---

Tableau 7–1 Tâches à utiliser avec les outils de synchronisation de données

Pour	Choisissez cette fonctionnalité
Commencer par tirer les comptes de ressources dans Identity Manager sans les visualiser avant le chargement	Charger à partir de la ressource
Commencer par tirer les comptes de ressources dans Identity Manager en visualisant et en éditant éventuellement les données avant le chargement	Extraire vers le fichier, Charger à partir du fichier
Tirer régulièrement les comptes de ressources dans Identity Manager, en effectuant une action sur chaque compte conformément à une stratégie configurée	Réconcilier avec les ressources
Pousser ou tirer les changements apportés aux comptes de ressources dans Identity Manager	Synchronisation utilisant des adaptateurs Active Sync (plusieurs implémentations de ressources)

Fonctionnalités de détection de comptes

Les fonctionnalités de détection de comptes d'Identity Manager facilitent un déploiement rapide et accélèrent les tâches de création de comptes.

Ces fonctionnalités sont les suivantes :

• Extraire vers le fichier. Extrait les comptes de ressources retournés par un adaptateur de ressources dans un fichier (au format CSV ou XML). Vous pouvez manipuler ce fichier avant d'importer des données dans Identity Manager.

• Charger à partir du fichier. Lit les comptes dans un fichier (au format CSV ou XML) et les charge dans Identity Manager.

• Charger à partir de la ressource. Associe les deux fonctionnalités de détection précédentes en extrayant les comptes à partir d'une ressource et en les chargeant directement dans Identity Manager.

En utilisant ces outils, vous pouvez créer de nouveaux utilisateurs Identity Manager ou corréler des comptes sur une ressource avec des comptes utilisateur Identity Manager existants.

---

Remarque –

Les pages de cette section sont consacrées à l'utilisation des fonctionnalités de détection d'Identity Manager. Pour des informations plus approfondies sur le chargement et la synchronisation des données, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

---

Extraire vers le fichier

Cette fonctionnalité permet d'extraire les comptes de ressource d'une ressource dans un fichier XML ou de texte CSV. Ceci permet d'afficher les données extraites et de les modifier avant de les importer dans Identity Manager.

Pour extraire des comptes

1. Dans la barre de menu, sélectionnez Comptes puis Extraire vers le fichier.

2. Sélectionnez une ressource à partir de laquelle extraire les comptes.

3. Sélectionnez un format de fichier pour les informations de compte de sortie. Vous pouvez extraire les données dans un fichier XML ou dans un fichier texte avec les attributs de compte organisés dans un format CSV (valeurs séparées par des virgules).

4. Cliquez sur Télécharger. Identity Manager affiche la boîte de dialogue File Download (Télécharger le fichier ), laquelle permet de choisir si enregistrer ou afficher le fichier extrait.

   Si vous choisissez d'ouvrir le fichier, il est possible que vous deviez sélectionner un programme pour l'ouvrir.

Charger à partir du fichier

Cette fonctionnalité permet de charger des comptes de ressource, extraits d'une ressource au moyen d'Identity Manager ou d'une autre source de fichiers, dans Identity Manager. Les fichiers créés par la fonctionnalité Extraire vers le fichier d'Identity Manager adoptent le format XML. Si vous chargez une liste de nouveaux utilisateurs, le fichier de données sera en règle générale au format CSV.

À propos du format de fichier CSV

Souvent, les comptes à charger sont listé dans un tableau et enregistrés au format CSV (valeurs séparées par des virgules) pour être chargés dans Identity Manager.

Le contenu des fichiers CSV doit respecter les directives suivantes en matière de format :

• Ligne 1. Liste les en-têtes de colonne ou les attributs de schéma pour chaque champ, séparés par des virgules.

• De la ligne 2 à la fin. Liste les valeurs pour chaque attribut défini à la ligne 1, séparées par des virgules. S'il n'existe pas de données pour une valeur de champ, ce champ doit être représenté par des virgules adjacentes.

  À titre d'exemple, les trois premières lignes d'un fichier CVS pourraient ressembler aux entrées de fichier suivantes :

  firstname,middleinitial,lastname,accountId,asciipassword,EmployeeID,Department,Phone
  John,Q,Example,E1234,E1234,1234,Operations,555-222-1111
  Jane,B,Doe,E1111,E1111,1111,,555-222-4444

  Dans cet exemple, vous remarquerez que Jane Doe, le deuxième utilisateur, n'a pas de service. La valeur manquante est représentée par des virgules adjacentes (,,).

Pour charger des comptes

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu puis sur Charger à partir du fichier.

   Identity Manager affiche la page Charger les comptes à partir du fichier.

   Figure 7–1 Charger à partir du fichier

   
   

2. Utilisez cette page pour spécifier les options de chargement de comptes qui doivent l'être.

   Ces options sont les suivantes :

   • Formulaire utilisateur. Lorsque le chargement crée un utilisateur Identity Manager, le formulaire utilisateur assigne à ce dernier une organisation en plus de rôles, ressources et autres attributs. Sélectionnez le formulaire utilisateur à appliquer à chaque compte de ressources.

   • Règle de corrélation de comptes. Une règle de corrélation sélectionne les utilisateurs Identity Manager susceptibles d'être les propriétaires des comptes de ressources sans propriétaire. En fonction des attributs d’un compte de ressources sans propriétaire, la règle de corrélation retourne une liste de noms ou de conditions d’attributs qui sera utilisée pour sélectionner les propriétaires potentiels. Sélectionnez une règle pour rechercher les utilisateurs Identity Manager auxquels peuvent appartenir les comptes de ressources sans propriétaire.

   • Règle de confirmation de comptes. Une règle de confirmation de comptes élimine tout non propriétaire de la liste des propriétaires potentiels sélectionnés par la règle de corrélation. Selon la vue complète d’un utilisateur Identity Manager et les attributs d’un compte de ressources sans propriétaire, une règle de confirmation retourne true si l’utilisateur possède le compte et false dans le cas contraire. Sélectionnez une règle pour tester chaque propriétaire potentiel d'un compte de ressources. Si vous sélectionnez Aucune règle de confirmation, le système accepte tous les propriétaires potentiels sans confirmation.

     ---

     Remarque –

     Si, dans votre environnement, la règle de corrélation ne sélectionne pas plus d'un utilisateur par compte, vous n'avez pas besoin de règle de confirmation.

     ---

   • Charger seulement les comptes correspondants. Sélectionnez cette option pour charger dans Identity Manager uniquement les comptes qui correspondent à un utilisateur Identity Manager existant. Si vous sélectionnez cette option, le chargement éliminera automatiquement tout compte de ressource sans correspondance.

   • Mettre attributs à jour. Sélectionnez cette option pour remplacer les valeurs des attributs utilisateur Identity Manager courantes par les valeurs d'attributs du compte qui est chargé.

   • Fusionner attributs. Entrez un ou plusieurs noms d’attribut, séparés par des virgules, pour lesquels les valeurs devraient être combinées (en éliminant les doublons) plutôt qu’écrasées. N'utilisez cette option que pour les attributs de type liste, tels que les groupes et listes de distribution. Vous devez aussi sélectionner l’option Mettre attributs à jour.

   • Niveau de résultat. Sélectionnez le seuil auquel le processus de chargement enregistrera un résultat individuel pour un compte :

     • Erreurs seules. Enregistre un résultat individuel uniquement lorsque le chargement d'un compte entraîne un message d'erreur.

     • Avertissements et erreurs. Enregistre un résultat individuel uniquement lorsque le chargement d'un compte entraîne un avertissement ou un message d'erreur.

     • Informationnel et de plus. Enregistre un résultat individuel pour chaque compte. Le processus de chargement s’exécute alors plus lentement.

3. Spécifiez un fichier à charger dans le champ Fichier à télécharger puis cliquez sur Charger les comptes.

   ---

   Remarque –

   • Si le fichier d'entrée ne contient pas de colonne utilisateur, vous devez sélectionner une règle de confirmation pour garantir un traitement correct du chargement.

   • Le nom d'instance de tâche associé au processus de chargement est basé sur le nom du fichier d'entrée ; par conséquent, si vous réutilisez un nom de fichier, l'instance de tâche du dernier processus de chargement remplacera toute instance de tâche précédemment associée à ce nom de fichier.

     À propos du format de fichier CSV illustre les champs et options disponibles dans l'écran Charger à partir du fichier.

   Si un compte correspond à (ou corrèle avec) un utilisateur existant, le processus de chargement fusionnera le compte dans l'utilisateur. Le processus créera également un nouvel utilisateur Identity Manager à partir de tout compte d'entrée ne correspondant à aucun utilisateur existant (à moins que Corrélation requise ne soit spécifié).

   La variable de configuration bulkAction.maxParseErrors définit une limite pour le nombre d'erreurs pouvant être décelées lorsqu'un fichier est chargé. Par défaut, cette limite est de 10 erreurs. Si le nombre d'erreurs défini par maxParseErrors est décelé, l'analyse s'arrête.

   ---

Charger à partir de la ressource

Cette fonctionnalité permet d'extraire et importer directement des comptes dans Identity Manager en fonction d'options de chargement que vous définissez.

Pour importer des comptes

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu puis sur Charger à partir de la ressource.

   La page Charger les comptes à partir de la Ressource s'ouvre.

2. Spécifiez les options de chargement dans la page Charger les comptes à partir de la Ressource.

   Les options de chargement de cette page sont identiques à celles de la page Charger à partir du fichier (voir Charger à partir du fichier).

Réconciliation des comptes

La fonctionnalité de réconciliation permet de comparer régulièrement les comptes de ressources figurant dans Identity Manager aux comptes réellement présents sur les ressources. La réconciliation corrèle les données des comptes et met les différences en évidence.

---

Remarque –

Les pages de cette section sont consacrées à l'exécution de tâches de réconciliation au moyen de l'interface administrateur. Pour des informations plus approfondies sur la réconciliation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

---

Réconciliation dans un Nutshell

Conçue pour une comparaison continue, la réconciliation présente les caractéristiques suivantes :

• Elle diagnostique les situations de compte plus spécifiquement et prend en charge un plus vaste éventail de réponses que le processus de détection.

• Elle peut être programmée ce qui n'est pas le cas de la détection.

• Elle offre un mode incrémentiel tandis que la détection est limitée au mode complet.

• Elle peut détecter les changements natifs ce qui n'est pas le cas de la détection.

Vous pouvez aussi configurer la réconciliation pour lancer un flux de travaux arbitraire à chacun des points suivants du traitement d'une ressource :

• avant de réconcilier un compte ;

• pour chaque compte ;

• après la réconciliation de tous les comptes.

Vous accédez aux fonctionnalités de réconciliation d'Identity Manager depuis la zone Ressources. La liste Ressources indique pour chaque ressource la date de la dernière réconciliation et son statut de réconciliation courant.

---

Remarque –

La réconciliation est effectuée par le composant réconciliateur d'Identity Manager. Pour toute information sur les paramètres de configuration du réconciliateur, voir la section appropriée.

---

À propos des stratégies de réconciliation

Les stratégies de réconciliation permettent d'établir, pour chaque ressource, un ensemble de réponses possibles pour chaque tâche de réconciliation. Dans une stratégie, vous devez sélectionner le serveur qui doit exécuter la réconciliation, déterminer la fréquence et le moment d'exécution de la réconciliation, et définir des réponses adaptées à chacune des situations rencontrées au cours de la réconciliation. Vous pouvez également configurer une réconciliation pour détecter les modifications apportées en mode natif (et non via Identity Manager) aux attributs de compte.

Édition des stratégies de réconciliation

Pour éditer une stratégie de réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Sélectionnez une ressource dans la liste Ressource.

3. Dans la liste Actions de ressource, cliquez sur Éditer la stratégie de réconciliation.

   Identity Manager affiche la page Éditer la stratégie de réconciliation qui vous permet d'effectuer les sélections suivantes pour la stratégie :

   • Serveurs de réconciliation. Dans un environnement clustérisé, tout serveur peut exécuter la réconciliation. Spécifiez le serveur Identity Manager qui exécutera la réconciliation avec les ressources dans la stratégie.

   • Modes de réconciliation. La réconciliation peut être effectuée dans différents modes qui optimisent des qualités différentes :

     • Réconciliation complète. Optimise le caractère exhaustif de la réconciliation au détriment de la vitesse.

     • Réconciliation incrémentielle Optimise la vitesse de la réconciliation au détriment de son exhaustivité.

       Sélectionnez le mode dans lequel Identity Manager doit exécuter la réconciliation avec les ressources dans la stratégie. Sélectionnez Ne pas réconcilier pour désactiver la réconciliation pour des ressources cibles.

   • Programme de réconciliation complète. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi. Spécifiez la fréquence d’exécution de la réconciliation complète avec les ressources dans la stratégie.

     • Cochez la case Hériter de la stratégie par défaut pour hériter du programme indiqué d'une stratégie de niveau supérieur.

     • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

   • Programme de réconciliation incrémentielle. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi.

     • Cochez la case Hériter de la stratégie par défaut pour hériter du programme d'une stratégie de niveau supérieur.

     • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

     ---

     Remarque –

     Les ressources ne prennent pas toutes en charge la réconciliation incrémentielle.

     ---

   • Réconciliation au niveau d’attribut. Vous pouvez également configurer une réconciliation pour détecter les changements apportés en mode natif (c'est-à-dire non via Identity Manager) aux attributs de compte. Spécifiez si la réconciliation doit détecter les changements natifs apportés aux attributs spécifiés dans Attributs de comptes réconciliés.

   • Règle de corrélation de comptes. Une règle de corrélation sélectionne les utilisateurs Identity Manager susceptibles d'être les propriétaires des comptes de ressources sans propriétaire. En fonction des attributs d’un compte de ressources sans propriétaire, la règle de corrélation retourne une liste de noms ou de conditions d’attributs qui sera utilisée pour sélectionner les propriétaires potentiels. Sélectionnez une règle pour rechercher les utilisateurs Identity Manager auxquels peuvent appartenir les comptes de ressources sans propriétaire.

   • Règle de confirmation de comptes. Une règle de confirmation de comptes élimine tout non propriétaire de la liste des propriétaires potentiels sélectionnés par la règle de corrélation. Selon la vue complète d’un utilisateur Identity Manager et les attributs d’un compte de ressources sans propriétaire, une règle de confirmation retourne true si l’utilisateur possède le compte et false dans le cas contraire. Sélectionnez une règle pour tester chaque propriétaire potentiel d'un compte de ressources. Si vous sélectionnez Aucune règle de confirmation, le système accepte tous les propriétaires potentiels sans confirmation.

     ---

     Remarque –

     Si, dans votre environnement, la règle de corrélation ne sélectionne pas plus d'un utilisateur par compte, vous n'avez pas besoin de règle de confirmation.

     ---

   • Administrateur mandataire. Spécifiez l’administrateur à utiliser lors de l’exécution des réponses de réconciliation. La réconciliation peut effectuer uniquement les opérations que l'administrateur mandataire désigné est autorisé à effectuer. La réponse utilisera le formulaire utilisateur (si nécessaire) associé à cet administrateur.

     Vous pouvez également sélectionner l'option Pas d'administrateur proxy. Lorsque cette option est sélectionnée, les résultats de la réconciliation peuvent être affichés, mais aucune action en réponse ni aucun flux de travaux ne sont effectués.

   • Options de situation (et réponses). La réconciliation reconnaît plusieurs types de situations. Les situations sont décrites ci-dessous. Spécifiez dans la colonne Réponse l'action devant être exécutée par la réconciliation.

     • CONFIRMÉ. Le compte attendu existe.

       Pour qu'il soit marqué CONFIRMÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte existe.

       • Le compte existe sur la ressource.

     • COLLISION. Un même compte sur une ressource a été assigné à deux utilisateurs Identity Manager ou plus.

     • SUPPRIMÉ. Le compte attendu n'existe pas.

       Pour qu'il soit marqué SUPPRIMÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte existe.

       • Le compte n'existe pas sur la ressource.

     • TROUVÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource assignée.

       Pour qu'il soit marqué TROUVÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

       • Le compte existe sur la ressource.

     • MANQUANT. Il n'y a aucun compte correspondant sur une ressource assignée à l'utilisateur.

       Pour qu'il soit marqué MANQUANT, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

       • Le compte n'existe pas sur la ressource.

     • NON ASSIGNÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource non assignée à l'utilisateur.

       Pour qu'il soit marqué NON ASSIGNÉ, les conditions suivantes doivent être remplies :

       • Identity Manager ne s'attend pas à ce que le compte existe (Identity Manager ne s'attend pas à ce que le compte existe si cette ressource n'est pas assignée à l'utilisateur).

       • Le compte existe sur la ressource.

     • PAS DE CORRESPONDANCE. Le compte de ressources ne correspond à aucun utilisateur.

     • CONTESTÉ. Le compte de ressources correspond à plusieurs utilisateurs.

       Sélectionnez l'une des options de réponse suivantes (les options disponibles varient en fonction de la situation) :

       • Créer un nouvel utilisateur Identity Manager basé sur le compte de ressources. Exécute le formulaire utilisateur sur les attributs du compte de ressource pour créer un nouvel utilisateur. Le compte de ressources n'est pas mis à jour suite aux modifications.

       • Créer un compte de ressources pour l’utilisateur Identity Manager. Recrée le compte de ressources manquant en utilisant le formulaire utilisateur pour régénérer les attributs du compte de ressources.

       • Supprimer le compte de ressources et Désactiver le compte de ressources. Supprime/Désactive le compte sur la ressource.

       • Lier le compte de ressources à l’utilisateur Identity Manager et Supprimer le lien entre le compte de ressources et l’utilisateur. Ajoute ou annule l’assignation du compte de ressources à/de l’utilisateur. Aucun traitement de formulaire n'est exécuté.

       • Ne faire rien. Sélectionnez cette option si vous ne voulez pas que la réconciliation effectue de réparations.

         Vous pouvez réparer manuellement toute situation de compte détectée par la réconciliation. Dans le menu, cliquez sur Ressources -> Examiner index de compte. De là, vous pouvez parcourir la situation enregistrée pour tous les comptes qui ont été réconciliés. Cliquez avec le bouton droit de la souris pour afficher la liste des options de réparation valides. Pour plus d'informations, voir Examen de l'index de comptes.

   • Flux de travaux de pré-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur avant la réconciliation d'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Flux de travaux par compte. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après avoir répondu à la situation d’un compte de ressources. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Flux de travaux de post-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après l'exécution de la réconciliation pour 'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Expliquer la situation. Lorsque cette option est activée, la réconciliation enregistre des informations complémentaires expliquant le mode de classification des situations de compte. Cette option est désactivée par défaut. L'enregistrement des explications allongera l'exécution de la procédure de réconciliation.

   • Nombre maximal d’erreurs. Si cette option est activée, la réconciliation est interrompue automatiquement lorsque le nombre d'erreurs indiqué est atteint au cours du traitement. La valeur 0 indique l'absence de nombre maximal d'erreurs. Désactivez l'option Hériter de la stratégie par défaut pour afficher le champ du nombre maximal d'erreurs autorisées, puis entrez une valeur.

   • Proportion maximale de comptes supprimés en natif. Cette option est une protection qui évalue le nombre de comptes manquants sur une ressource et, si un certain seuil est franchi, empêche le programme de réconciliation d'en supprimer les liens.

     Pour activer cette fonction, désactivez la case à cocher Hériter de la stratégie par défaut et spécifiez le pourcentage souhaité dans le champ Proportion maximale de comptes supprimés en natif. Le seuil doit être défini sous la forme d'une valeur de pourcentage entière comprise entre 0 et 100 (0 désactive cette fonction.)

     Si le pourcentage de comptes supprimés dépasse le seuil fixé, la réconciliation poursuit le traitement des tâches non liées aux comptes manquants et se termine en générant une erreur.

   Cliquez sur Enregistrer pour enregistrer vos modifications de stratégie.

Lancement de la réconciliation

Cette section décrit deux options permettant de lancer les tâches de réconciliation :

• l'exécution de la réconciliation à intervalles programmés ;

• la réconciliation immédiate.

Pour exécuter la réconciliation à intervalles réguliers

1. Ouvrez la page Éditer la stratégie de réconciliation comme décrit dans Édition des stratégies de réconciliation.

2. Spécifiez les paramètres de programmation de la réconciliation.

   La réconciliation sera exécutée conformément aux paramètres définis dans la stratégie.

Pour exécuter immédiatement la réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez une ressource dans la liste Ressource.

3. Choisissez une option dans la liste Actions de ressource.

   Les options sont les suivantes :

   • Réconciliation complète maintenant ;

   • Réconciliation incrémentielle maintenant.

     La réconciliation est exécutée conformément aux paramètres définis dans la stratégie. Si la stratégie planifie une exécution régulière de la réconciliation, cette dernière continuera à s'exécuter comme spécifié.

Pour annuler la réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource pour laquelle vous voulez annuler la réconciliation.

3. Localisez la liste Actions de ressource et sélectionnez Annuler la réconciliation.

Affichage de l'état de réconciliation

Il existe deux manières d'afficher l'état de réconciliation : Pour afficher l'état de réconciliation détaillé, ouvrez la page Résultats sommaires de réconciliation pour une ressource spécifique. L'état de réconciliation limité est également disponible directement dans la Liste des ressources.

Pour afficher l'état de réconciliation détaillé

Affichez l'état de réconciliation détaillé en utilisant la page Résultats sommaires de réconciliation.

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource dont vous voulez afficher l'état de réconciliation.

3. Localisez la liste Actions de ressource et sélectionnez Visualiser l’état de réconciliation.

   La page Résultats sommaires de réconciliation correspondant à la ressource s'ouvre.

Pour afficher l'état de réconciliation dans la liste des ressources

Vous pouvez également afficher l'état de réconciliation à partir de la Liste des ressources.

1. Ouvrez l'interface administrateur.

2. Cliquez sur Ressources dans le menu principal.

   La colonne Statut rapporte les conditions d'état de réconciliation suivantes :

   • inconnu. L'état n'est pas connu. Les résultats de la dernière tâche de réconciliation ne sont pas disponibles.

   • désactivé. La réconciliation est désactivée.

   • en échec. L'exécution de la dernière tâche de réconciliation a échoué.

   • réussi. La dernière réconciliation a réussi.

   • achevé avec des erreurs. La dernière réconciliation s'est terminée mais avec des erreurs.

   ---

   Remarque –

   Vous devez actualiser cette page pour afficher les changements d'état (les informations ne sont pas actualisées automatiquement).

   ---

Travailler avec l’index de comptes

L'index de comptes enregistre le dernier état connu de chaque compte de ressources reconnu par Identity Manager. Il est principalement mis à jour par la réconciliation, mais d'autres fonctions d'Identity Manager le mettent également à jour le cas échéant.

Les outils de détection ne mettent pas à jour l'index de comptes.

Pour effectuer une rechercher dans l'index de comptes

Effectuez une recherche dans l'index de comptes pour afficher le dernier état connu d'un compte de ressource donné.

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource pour laquelle vous voulez effectuer une recherche dans l'index de comptes.

3. Localisez la liste Actions de ressource et sélectionnez Rechercher dans l’index de comptes.

   La page Rechercher dans l’index de comptes s'ouvre.

4. Sélectionnez un type de recherche, puis entrez les attributs de la recherche ou sélectionnez-les.

   • Nom de compte de ressources. Sélectionnez cette option puis l'un des modificateurs (commence par, contient ou est) et saisissez tout ou partie d'un nom de compte.

   • La ressource est l’une des suivantes : Sélectionnez cette option, puis une ou plusieurs ressources dans la liste afin de rechercher les comptes réconciliés résidant sur les ressources spécifiées.

   • Propriétaire. Sélectionnez cette option puis l'un des modificateurs (commence par, contient ou est) et saisissez tout ou partie d'un nom de propriétaire. Pour rechercher les comptes sans propriétaire, effectuez la recherche dans la situation PAS DE CORRESPONDANCE ou CONTESTÉ.

   • La situation est l’une des suivantes :. Sélectionnez cette option, puis une ou plusieurs situations dans la liste afin de rechercher les comptes réconciliés se trouvant dans les situations spécifiées.

5. Cliquez sur Rechercher pour rechercher des comptes en fonction des paramètres indiqués. Pour limiter les résultats de la recherche, vous pouvez indiquer le nombre de votre choix dans le champ Limiter les résultats aux premiers. Par défaut, la recherche est limitée aux 1 000 premiers comptes trouvés.

   Cliquez sur Réinitialiser la requête pour désélectionner tous les critères de la page et en sélectionner de nouveaux.

Examen de l'index de comptes

Il est également possible d'afficher tous les comptes utilisateur Identity Manager et, en option, de les réconcilier utilisateur par utilisateur.

Pour examiner l'index de comptes

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Cliquez sur Examiner index de compte dans le menu secondaire.

   La page Examiner index de compte s'ouvre.

   Le tableau affiche tous les comptes de ressources connus d'Identity Manager (que ces comptes appartiennent ou non à un utilisateur Identity Manager). Ces informations sont regroupées par ressource par l'organisation Identity Manager. Pour changer cette vue, effectuez une sélection dans la liste Changer index vue.

Travailler avec les comptes

Pour travailler avec les comptes sur une ressource, sélectionnez la vue d'index Grouper par ressource. Identity Manager affiche des dossiers pour chaque type de ressources. Naviguez vers une ressource spécifique en développant un dossier. Cliquez sur + ou - à proximité de la ressource pour afficher tous les comptes de ressources connus d'Identity Manager.

Les comptes qui ont été ajoutés directement à la ressource depuis la dernière réconciliation effectuée sur cette ressource ne sont pas affichés.

Selon la situation d'un compte donné en ce moment, vous serez en mesure d'effectuer différentes actions. Cliquez avec le bouton droit de la souris pour afficher la liste des options de réparation valides. Vous pouvez aussi afficher les détails du compte ou choisir de réconcilier ce compte.

Travailler avec les utilisateurs

Pour travailler avec les utilisateurs Identity Manager, sélectionnez la vue d'index Grouper par utilisateur. Dans cette vue, les utilisateurs et organisations Identity Manager sont affichés dans une hiérarchie similaire à la page Liste des comptes. Pour voir les comptes actuellement assignés à un utilisateur dans Identity Manager, naviguez jusqu'à cet utilisateur et cliquez sur l'indicateur en regard de son nom. Les comptes de cet utilisateur et leur état courant connu d'Identity Manager s'affichent sous le nom de l'utilisateur.

Selon la situation d'un compte donné en ce moment précis, vous serez en mesure d'effectuer différentes actions. Vous pouvez aussi afficher les détails du compte ou choisir de réconcilier ce compte.

Utilisation des règles Répétition TaskSchedule

Les règles Règle Répétition TaskSchedule permettent d'effectuer des ajustements sur un programme de réconciliation. Par exemple, pour reporter les réconciliations programmées le samedi au lundi suivant, vous utiliserez une règle Répétition TaskSchedule.

Les règles Répétition TaskSchedule permettent de procéder à des ajustements pour les réconciliations complètes et incrémentielles.

Pour toute information sur la sélection des règles Répétition TaskSchedule, voir Édition des stratégies de réconciliation.

Modalités de programmation des heures d'exécution de réconciliation

À la fin d'une tâche de réconciliation, le composant réconciliateur contrôle l'heure de la prochaine exécution programmée.

Il commence par regarder la programmation par défaut pour connaître l'heure de la prochaine exécution. Il exécute ensuite toutes les règles Répétition TaskSchedule applicables pour voir si des ajustements de programmation s'imposent. Si un ajustement est nécessaire, la programmation de la règle ignore celle par défaut pour la réconciliation en question.

---

Remarque –

Les règles Répétition TaskSchedule ne peuvent pas écraser la programmation par défaut. Elles peuvent seulement ignorer les heures de départ programmées tâche par tâche.

---

Pour afficher l'exemple de règle Accepter toutes les dates

Cette section décrit l'exemple de règle Accepter toutes les dates.

1. Dans un éditeur de texte, ouvrez ReconRules.xml, qui figure dans le répertoire sample d'Identity Manager.

2. Recherchez la règle nommée SCHEDULING_RULE_ACCEPT_ALL_DATES.

   Pour qu'une règle soit listée dans le menu déroulant Règle Répétition TaskSchedule (sur la page Éditer la stratégie de réconciliation), l'attribut subtype de la règle doit être défini sur SUBTYPE_TASKSCHEDULE_REPETITION_RULE:.

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   Comme nous l'avons fait remarquer précédemment, les règles Répétition TaskSchedule peuvent modifier la programmation de réconciliation par défaut.

   La variable calculatedNextDate peut soit accepter la date suivante, qui est calculée selon la méthode par défaut, soit retourner une autre date. Comme écrit dans l'exemple de règle, calculatedNextDate accepte sans condition la date par défaut, comme indiqué dans l'extrait suivant :

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   Pour créer un programme personnalisé, remplacez la logique de règle entre les éléments <block>. Par exemple, pour remplacer l'heure de début de la réconciliation par 10h00 le samedi, incluez le JavaScript suivant entre les éléments <block> :

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   Dans Pour afficher l'exemple de règle Accepter toutes les dates, calculatedNextDate est au départ défini sur l'heure programmée par défaut. Si l'heure de la prochaine exécution est un samedi, la règle programme donc le début de la réconciliation pour 10h00. Si la date de la prochaine exécution programmée n'est pas un samedi, l'exemple de règle Pour afficher l'exemple de règle Accepter toutes les dates retourne calculatedNextDate sans effectuer aucun ajustement d'heure et la programmation par défaut est utilisée.

   Pour plus d'informations sur la création et l'utilisation de règles personnalisées dans Identity Manager, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

Adaptateurs Active Sync

La fonctionnalité Active Sync d'Identity Manager permet de synchroniser les informations stockées dans une ressource externe faisant autorité (par exemple une application ou une base de données) avec les données utilisateur d'Identity Manager. Configurer la synchronisation pour une ressource Identity Manager permet à celle-ci d'écouter ou effectuer des interrogations sur les changements à la ressource faisant autorité.

Vous pouvez configurer la façon dont les changements des attributs de la ressource confluent dans Identity Manager en spécifiant le formulaire d'entrée dans la stratégie de synchronisation de la ressource (pour le type d'objets cibles approprié).

---

Remarque –

Les pages de ce chapitre sont consacrées à l'exécution de tâches Active Sync au moyen de l'interface administrateur. Pour des informations plus approfondies sur Active Sync, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

---

Configuration de la synchronisation

Identity Manager utilise une stratégie de synchronisation pour activer la synchronisation pour les ressources.

Pour éditer ou configurer la synchronisation

Chaque ressource a sa propre stratégie de synchronisation. Suivez les étapes ci-après pour configurer ou éditer une stratégie de synchronisation :

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Sélectionnez dans la Liste des ressources la ressource pour laquelle vous voulez configurer la synchronisation.

3. Dans la liste Actions de ressource, trouvez et sélectionnez Éditer la stratégie de synchronisation.

   La page Éditer la stratégie de synchronisation correspondant à la ressource s'ouvre.

   Spécifiez les options suivantes dans la page Éditer la stratégie de synchronisation pour configurer la synchronisation :

   • Type d’objet cible. Sélectionnez le type d'utilisateurs auquel la stratégie s'applique, Utilisateurs Identity Manager ou Utilisateurs de Service Provider.

     ---

     Remarque –

     Dans une implémentation Service Provider, vous devez configurer une stratégie de synchronisation (avec Utilisateurs de Service Provider spécifié en tant que type d'objet) pour activer la synchronisation des données pour ces utilisateurs. Pour toute information sur les utilisateurs de Service Provider, voir le Chapitre 17Administration de Service Provider.

     ---

   • Paramètres de planification. Cette section permet de spécifier la méthode de démarrage et la programmation des interrogations.

     Vous pouvez spécifier les types de démarrage suivants :

     • Automatique ou Automatique avec basculement. Démarre la source faisant autorité au démarrage d'Identity System.

     • Manuel. Requiert l'intervention d'un administrateur pour démarrer la source faisant autorité.

     • Désactivé. Désactive la ressource.

       Utilisez les options Date de début et Heure de début pour spécifier le début de l'interrogation. Spécifiez les cycles d'interrogation en sélectionnant un intervalle et en entrant une valeur pour ce dernier (secondes, minutes, heures, jours, semaines, mois).

       ---

       Remarque –

       Si vous changez la méthode de démarrage ou la programmation d'interrogation, vous devez redémarrer le serveur pour que les changements soient appliqués.

       ---

       Si vous définissez une date et une heure de début d'interrogation ultérieures à la date actuelle, l'interrogation commencera au moment indiqué. Si la date et l'heure de début d'interrogation que vous définissez sont antérieures à la date actuelle, Identity Manager détermine alors le moment à partir duquel effectuer l'interrogation en fonction de ces informations et de la fréquence d'interrogation.

       Par exemple :

       • Vous configurez une synchronisation active pour la ressource le 18 juillet 2005 (un mardi).

       • Vous définissez une interrogation hebdomadaire, avec une date et une heure de début définies au 4 juillet 2005 à 9h00 (un lundi).

     Dans ce cas, la ressource commencera l'interrogation le 25 juillet 2005 (le lundi suivant).

     Si vous n'indiquez pas de date ni d'heure de début, l'interrogation est immédiatement exécutée. Si vous suivez cette approche, à chaque redémarrage du serveur d'application, toutes les ressources configurées pour la synchronisation active commenceront immédiatement l'interrogation. L'approche standard consiste à définir une date et une heure de début.

   • Serveurs de synchronisation. Dans un environnement clustérisé, tout serveur peut exécuter la synchronisation. Sélectionnez une option pour spécifier les serveurs qui seront utilisés pour exécuter la synchronisation pour la ressource.

     • Sélectionnez tout serveur disponible si le serveur sur lequel la synchronisation s'exécute n'a pas d'importance. Un serveur sera choisi parmi l'ensemble des serveurs possibles au début de la synchronisation.

     • Sélectionnez Utiliser les paramètres de waveset.properties pour utiliser les serveurs spécifiés à cet emplacement pour exécuter la synchronisation (cette fonctionnalité est désapprouvée).

     • Sélectionnez Utiliser les serveurs spécifiés puis sélectionnez un ou plusieurs serveurs disponibles dans la liste des serveurs de synchronisation, pour sélectionner des serveurs spécifiques pour exécuter la synchronisation.

   • Paramètres spécifiques aux ressources. Cette section permet de spécifier la façon dont la synchronisation déterminera les données à traiter pour la ressource.

   • Paramètres communs. Spécifiez les paramètres généraux pour les activités de synchronisation des données.

     Ces paramètres sont les suivants :

     • Administrateur mandataire. Sélectionnez l'administrateur qui traitera les mises à jour. Toutes les actions seront autorisées par le biais des capacités assignées à cet administrateur. Vous devez sélectionner un administrateur mandataire avec un formulaire utilisateur vide.

     • Formule de saisie des données. Sélectionnez le formulaire de saisie qui traitera les mises à jour des données. Cet élément de configuration optionnel permet de transformer les attributs avant de les enregistrer sur des comptes.

     • Règles (facultatif). Sélectionnez les règles à utiliser pendant le processus de synchronisation des données.

       Vous pouvez spécifier ce qui suit :

       • Règle de traitement. Sélectionnez cette règle pour spécifier une règle de traitement à exécuter pour chaque compte entrant. Cette sélection prévaut sur toutes les autres options. Si vous spécifiez une règle de traitement, le processus sera exécuté pour chaque ligne, quels que soient les autres paramètres de cette ressource. Il peut s'agir d'un nom de processus ou d'une règle évaluant un nom de processus.

       • Règle de corrélation. Sélectionnez une règle de corrélation pour ignorer la règle de corrélation spécifiée dans la stratégie de réconciliation de la ressource. Les règles de corrélation permettent d'établir une corrélation entre les comptes de ressource et les comptes Identity System.

       • Règle de confirmation. Sélectionnez une règle de confirmation pour ignorer la règle de confirmation spécifiée dans la stratégie de réconciliation de la ressource.

       • Règle de traitement de résolution. Sélectionnez cette règle pour spécifier le nom d'une définition de tâche à exécuter en cas de correspondances multiples pour un enregistrement dans la source de données. Il s'agit normalement d'un processus qui invite un administrateur à effectuer une action manuellement. Il peut être constitué d'un nom de processus ou d'une règle évaluant un nom de processus.

       • Règle de suppression. Spécifiez une règle qui retourne true (vrai) ou false (faux) et qui sera évaluée pour chaque mise à jour d'utilisateur entrant pour déterminer si une suppression doit être effectuée.

     • Créer des comptes sans correspondance. Lorsque cette option est activée (true), l'adaptateur tente de créer les comptes qu'il ne trouve pas dans le système Identity Manager. Si elle n'est pas activée, l’adaptateur soumet le compte au processus retourné par la Règle de traitement de résolution.

     • Paramètres de journalisation. Saisissez une valeur pour les options de journalisation.

       Les options de journalisation sont les suivantes :

       • Nombre maximum d’archives de consignation. Si cette option est supérieure à zéro, les N derniers fichiers journaux sont conservés. Si elle est égale à zéro, alors un seul fichier journal est réutilisé. Si elle est égale à -1, les fichiers journaux ne sont jamais supprimés.

       • Durée de consignation active maximum. Une fois cette période écoulée, le journal actif est archivé. Si la valeur indiquée est zéro, aucun archivage en fonction du temps ne sera effectué. Si l'option Nombre maximum d'archives de consignation est définie sur zéro, le journal actif sera tronqué et réutilisé après cette période. Ce critère de durée est évalué indépendamment de ceux définis par la Taille maximale du fichier journal.

         Entrez un chiffre et sélectionnez l'unité de temps (jours, heures, minutes, mois, secondes ou semaines). L'unité par défaut est le jour.

       • Chemin d’accès du fichier journal. Entrez le chemin d'accès au répertoire dans lequel créer les fichiers journaux actifs et archivés. Les noms des fichiers journaux doivent commencer par le nom de la ressource.

       • Dimension maximale du fichier journal. Entrez la taille maximale, en octets, du fichier journal actif. Le fichier journal actif est archivé lorsqu’il atteint la taille maximale. Si l'option Nombre maximum d'archives de consignation est définie sur zéro, le journal actif sera tronqué et réutilisé après cette période. Ces critères de taille sont évalués indépendamment des critères d'âge spécifiés par la durée de consignation active maximum.

       • Niveau du journal. Spécifiez un niveau de journalisation.

         Les niveaux de journalisation suivants sont disponibles :

         • 0. Pas de journalisation

         • 1. Erreur

         • 2. Informations

         • 3. Informations détaillées

         • 4. Déboguer

4. Cliquez sur Enregistrer pour enregistrer les paramètres de stratégie pour la ressource.

Édition des adaptateurs Active Sync

Vous devez arrêter la synchronisation avant d'éditer l'adaptateur Active Sync.

Pour arrêter la synchronisation

1. Ouvrez la page Éditer la synchronisation (pour les instructions, voir Pour éditer ou configurer la synchronisation.)

2. Sous Paramètres de planification, localisez Type lancement et sélectionnez Désactivé.

   Les utilisateurs de Service Provider désélectionneront quant à eux l'option Activer la synchronisation.

   Un message d'avertissement s'affiche indiquant que la synchronisation active est désactivée.

3. Cliquez sur Enregistrer.

   La désactivation de la synchronisation pour une ressource résulte en l'arrêt de la tâche de synchronisation quand les changements sont enregistrés.

Réglage des performances de l'adaptateur Active Sync

La synchronisation étant une tâche d'arrière-plan, la configuration de l'adaptateur Active Sync risque d'influer négativement sur les performances du serveur.

Le réglage des performances de l'adaptateur Active Sync consiste en les tâches suivantes :

• Modification de l'intervalle d'interrogation ;

• Spécification de l'hôte sur lequel l'adaptateur s'exécutera ;

• Démarrage et arrêt ;

• Journalisation de l'adaptateur.

Gérez les adaptateurs Active Sync par le biais de la liste des ressources. Sélectionnez un adaptateur Active Sync puis accédez aux actions de commande de démarrage, arrêt et actualisation du statut depuis la section Synchronisation de la liste Actions de ressource.

Modification de l'intervalle d'interrogation

L'intervalle d'interrogation détermine quand l'adaptateur Active Sync commence à traiter de nouvelles informations. Les intervalles d'interrogation doivent être déterminés sur la base du type de l'activité effectuée. Par exemple, si l'adaptateur lit dans une grande liste d'utilisateurs depuis une base de données et met à jour tous les utilisateurs dans Identity Manager à chaque fois, envisagez d'exécuter ce processus tous les jours au petit matin. Certains adaptateurs peuvent avoir un outil de recherche rapide pour les nouveaux éléments à traiter et être réglés pour s'exécuter toutes les minutes.

Spécification de l'hôte sur lequel l'adaptateur s'exécutera

Pour spécifier l'hôte sur lequel les adaptateurs s'exécuteront, vous devez éditer la propriété sources.hosts dans le fichier waveset.properties.

Spécifiez l'un des paramètres suivants :

• Définissez sources.hosts=nomhôte1,nomhôte2,nomhôte3 . Ce paramètre liste les noms d'hôtes des machines qui exécuteront les adaptateurs Active Sync. L'adaptateur s'exécutera sur le premier hôte disponible listé dans ce champ.

  ---

  Remarque –

  Le nomhôte que vous saisissez doit correspondre à une entrée de la liste de serveurs d'Identity Manager. Affichez la liste des serveurs depuis l'onglet Configurer.

  ---

• Définissez sources.hosts=localhost. Avec ce paramètre, l'adaptateur s'exécutera sur le premier serveur Identity Manager qui tentera de démarrer Active Sync pour la ressource.

  ---

  Remarque –

  Dans un cluster, vous devriez utiliser la première option si vous avez besoin de spécifier un serveur spécifique.

  Ce paramétrage de la propriété ne s'applique qu'à la synchronisation des utilisateurs Identity Manager. La configuration de l'hôte pour la synchronisation des utilisateurs de Service Provider est déterminée par la Stratégie de synchronisation.

  ---

Les adaptateurs Active Sync qui ont besoin de davantage de mémoire et de cycles de CPU peuvent être configurés pour s'exécuter sur des serveurs dédiés pour faciliter l'équilibrage de charge des systèmes.

Démarrage et arrêt

Les adaptateurs Active Sync peuvent être désactivés, démarrés manuellement ou démarrés automatiquement. Vous devez avoir la capacité administrateur appropriée pour changer les ressources Active Sync pour démarrer ou arrêter les adaptateurs Active Sync. Pour toute information sur les capacités administrateur, voir Catégories de capacités.

Lorsqu'un adaptateur est défini sur automatique, il redémarre avec le serveur d'application. Lorsque vous démarrez un adaptateur, il s'exécute immédiatement en suivant l'intervalle d'interrogation spécifié. Lorsque vous arrêtez un adaptateur, celui-ci s'arrête au premier contrôle d'indicateur d'arrêt suivant.

Journalisation de l'adaptateur

Les journaux d'adaptateur capturent des informations sur l'adaptateur actuellement en train d'effectuer le traitement. La quantité de détails capturée par le journal dépend du niveau de journalisation défini. Les journaux d'adaptateur sont utiles pour le débogage des problèmes et pour suivre la progression du processus de l'adaptateur.

Chaque adaptateur a son propre fichier journal, chemin et niveau de journalisation. Vous spécifiez ces valeurs dans la section Journalisation de la Stratégie de synchronisation pour le type d'utilisateurs approprié (Identity Manager ou Service Provider).

Ne supprimez les journaux d'un adaptateur que lorsque ce dernier a été arrêté. Dans la plupart des cas, il convient d'effectuer une copie à des fins d'archivage avant de supprimer un journal d'adaptateur.