Cette section contient les instructions à suivre pour configurer l'onglet Approbations, qui est disponible dans le cadre du processus de configuration des modèles de tâches. Pour les instructions relatives au démarrage du processus de configuration, voir la section Configuration des modèles de tâches.
Vous pouvez utiliser l'onglet Approbations pour désigner des approbateurs supplémentaires et pour spécifier les attributs pour le formulaire d'approbation des tâches avant qu'Identity Manager n'exécute des tâches de création, suppression ou mise à jour d'utilisateurs.
Traditionnellement, les administrateurs associés à une organisation, une ressource ou un rôle spécifique, doivent par défaut approuver certaines tâches avant leur exécution. Identity Manager vous permet également de désigner des approbateurs supplémentaires, qui sont des administrateurs supplémentaires auxquels il sera demandé d'approuver la tâche.
Si vous configurez des Approbateurs supplémentaires pour un flux de travaux, vous demandez une approbation des approbateurs traditionnels et de tout approbateur supplémentaire spécifié dans le modèle.
La Figure 9–11 illustre la page Approbations initiale de l'interface utilisateur administrateur.
Complétez la section Activation des approbations (voir Activation des approbations (onglet Approbations, section Activation des approbations)).
Complétez la section Activation des approbations (voir Spécification d'approbateurs supplémentaires (onglet Approbations, section Approbateurs supplémentaires)).
Complétez la section Configuration du formulaire d’approbation uniquement pour les modèles Créer un utilisateur et Mettre à jour l'utilisateur (voir Configuration du formulaire d'approbation (onglet Approbations, section Configuration du formulaire d’approbation) ).
Lorsque vous avez terminé de configurer l'onglet Approbations, vous pouvez :
sélectionner un autre onglet pour continuer à éditer les modèles ;
cliquer sur Enregistrer pour enregistrer vos modifications et revenir à la page Configurer les tâches ;
cliquer sur Annuler pour abandonner vos modifications et revenir à la page Configurer les tâches.
Utilisez les cases à cocher Activation des approbations suivantes pour exiger des approbations avant de poursuivre les tâches de création, suppression ou mise à jour d'utilisateurs.
Par défaut, ces cases à cocher sont activées pour les modèles Créer un utilisateur et Mettre à jour l'utilisateur, mais sont désactivées pour le modèle Supprimer l'utilisateur.
Approbations des organisations. Sélectionnez cette case à cocher pour exiger des approbations de tout approbateur organisationnel configuré.
Approbations des ressources. Sélectionnez cette case à cocher pour exiger des approbations de tout approbateur de ressource configuré.
Approbations des rôles. Sélectionnez cette case à cocher pour exiger des approbations de tout approbateur de rôle configuré.
Utilisez le menu Déterminer des approbateurs supplémentaires à partir de pour spécifier la façon dont Identity Manager déterminera les approbateurs supplémentaires pour les tâches de création, suppression ou mise à jour d'utilisateurs.
Les options de ce menu sont listées dans le Tableau 9–1.
Tableau 9–1 Options du menu Déterminer des approbateurs supplémentaires à partir de
Option |
Description |
---|---|
Aucun(e) (option par défaut) |
Aucun approbateur supplémentaire n'est requis pour l'exécution de cette tâche. |
Attribut |
Les ID de compte des approbateurs sont déduits d'un attribut spécifié dans la vue de l'utilisateur. |
Règle |
Les ID de compte des approbateurs sont déduits de l'évaluation d'une règle spécifiée. |
Requête |
Les ID de compte des approbateurs sont déduits de l'interrogation d'une ressource particulière. |
Liste des administrateurs |
Les approbateurs sont choisis explicitement dans une liste. |
Lorsque vous sélectionnez l'une de ces options (à l'exception de Aucun(e)), des options supplémentaires s'affichent dans l'interface utilisateur administrateur.
Utilisez les instructions fournies dans les sections suivantes pour spécifier une méthode pour déterminer des approbateurs supplémentaires.
Utilisez les étapes suivantes pour déterminer des approbateurs supplémentaires à partir d'un attribut.
Sélectionnez Attribut dans le menu Déterminer des approbateurs supplémentaires à partir de.
La résolution de cet attribut doit fournir une chaîne représentant un ID de compte unique ou une liste d'ID de compte.
De nouvelles options s'affichent comme indiqué sur la figure suivante.
Attribut approbateur. Fournit une liste d'attributs (actuellement définis pour la vue associée à la tâche configurée par ce modèle) utilisés pour déterminer les ID de compte des destinataires.
Délai d’expiration de l’approbation. Fournit une méthode permettant de spécifier quand l'approbation expirera.
Le paramètre Délai d’expiration de l’approbation s'applique aussi bien aux approbations initiales qu'aux approbations réassignées.
Utilisez le menu Attribut approbateur pour sélectionner un attribut.
L'attribut sélectionné s'affiche dans le champ de texte adjacent.
Décidez si vous voulez que la demande d'approbation expire au bout d'un délai donné.
Pour spécifier un délai d'attente, reportez-vous aux instructions de la section Pour configurer les délais d’expiration des approbations.
Si vous ne voulez pas spécifier de délai d'attente, allez à Configuration du formulaire d'approbation (onglet Approbations, section Configuration du formulaire d’approbation) ou enregistrez vos changements et passez à la configuration d'un autre onglet.
Utilisez les étapes suivantes pour déduire les ID de compte des approbateurs d'une règle spécifiée.
Sélectionnez Règle dans le menu Déterminer des approbateurs supplémentaires à partir de.
La résolution de cette règle doit fournir une chaîne représentant un ID de compte unique ou une liste d'ID de compte.
De nouvelles options s'affichent comme indiqué sur la figure suivante.
Règle de l’approbateur. Fournit une liste de règles (couramment définies pour votre système) qui, lors de l'évaluation, retourne les ID de compte des destinataires.
Délai d’expiration de l’approbation. Fournit une méthode permettant de spécifier quand l'approbation expirera.
Le paramètre Délai d’expiration de l’approbation s'applique aussi bien aux approbations initiales qu'aux approbations réassignées.
Sélectionnez une règle dans le menu Règle de l’approbateur.
Décidez si vous voulez que la demande d'approbation expire au bout d'un délai donné.
Pour spécifier un délai d'attente, reportez-vous aux instructions de la section Pour configurer les délais d’expiration des approbations.
Si vous ne voulez pas spécifier de délai d'attente, allez à Configuration du formulaire d'approbation (onglet Approbations, section Configuration du formulaire d’approbation) ou enregistrez vos changements et passez à la configuration d'un autre onglet.
Utilisez les étapes suivantes pour déduire les ID de compte des approbateurs de l'interrogation d'une ressource spécifiée.
Pour l'instant, seules les interrogations de ressources LDAP et Active Directory sont prises en charge.
Sélectionnez Requête dans le menu Déterminer des approbateurs supplémentaires à partir de : de nouvelles options s'affichent comme indiqué dans la figure suivante.
Requête d’administrateur d’approbation. Fournit un tableau composé des menus suivants que vous pouvez utiliser pour construire une interrogation :
Ressource à interroger. Fournit une liste des ressources actuellement définies pour votre système.
Attribut de ressource à interroger. Fournit une liste des attributs de ressource actuellement définis pour votre système.
Attribut à comparer. Fournit une liste des attributs actuellement définis pour votre système.
Délai d’expiration de l’approbation. Fournit une méthode permettant de spécifier quand l'approbation expirera.
Le paramètre Délai d’expiration de l’approbation s'applique aussi bien aux approbations initiales qu'aux approbations réassignées.
Construisez une interrogation comme suit :
Décidez si vous voulez que la demande d'approbation expire au bout d'un délai donné.
Pour spécifier un délai d'attente, reportez-vous aux instructions de la section Pour configurer les délais d’expiration des approbations.
Si vous ne voulez pas spécifier de délai d'attente, allez à Configuration du formulaire d'approbation (onglet Approbations, section Configuration du formulaire d’approbation) ou enregistrez vos changements et passez à la configuration d'un autre onglet.
Utilisez les étapes suivantes pour choisir explicitement des approbateurs supplémentaires dans la liste des administrateurs.
Sélectionnez Liste des administrateurs dans le menu Déterminer des approbateurs supplémentaires à partir de : de nouvelles options s'affichent, comme indiqué dans la figure suivante.
Administrateurs à notifier. Fournit un outil de sélection avec la liste des administrateurs disponibles.
Formulaire d’approbation. Fournit une liste de formulaires utilisateur que les approbateurs supplémentaires peuvent utiliser pour approuver ou rejeter une demande d'approbation.
Délai d’expiration de l’approbation. Fournit une méthode permettant de spécifier quand l'approbation expirera.
Le Délai d’expiration de l’approbation s'applique aussi bien aux approbations initiales qu'aux approbations réassignées.
Sélectionnez un ou plusieurs administrateurs dans la liste Administrateurs disponibles et déplacez les noms sélectionnés dans la liste Administrateurs sélectionnés.
Décidez si vous voulez que la demande d'approbation expire au bout d'un délai donné.
Pour spécifier un délai d'attente, reportez-vous aux instructions de la section Pour configurer les délais d’expiration des approbations.
Si vous ne voulez pas spécifier de délai d'attente, vous pouvez continuer la Configuration du formulaire d'approbation (onglet Approbations, section Configuration du formulaire d’approbation) .
Utilisez les étapes suivantes pour configurer les délais d'expiration des approbations dans la section Délai d’expiration de l’approbation.
Sélectionnez la case à cocher Délai d’expiration de l’approbation.
Le champ de texte adjacent et le menu sont activés et les options Action après délai d’attente s'affichent comme indiqué sur la figure suivante.
Utilisez le champ de texte Délai d’expiration de l’approbation et le menu pour spécifier un délai d'attente comme suit :
Sélectionnez secondes, minutes, heures ou jours dans le menu.
Saisissez un nombre dans le champ de texte pour indiquer le nombre de secondes, minutes, heures ou jours à spécifier pour le délai d'attente.
Le paramètre Délai d’expiration de l’approbation s'applique aussi bien aux approbations initiales qu'aux approbations réassignées.
Utilisez les boutons Action après délai d'attente pour spécifier ce qui se passe à l'expiration de la demande d'approbation.
Cliquez sur l'un des éléments suivants :
Rejeter la demande. Identity Manager rejette automatiquement la demande si elle n'est pas approuvée dans le délai d'expiration spécifié.
Réassigner l’approbation. Identity Manager réassigne automatiquement la demande à un autre approbateur si elle n'est pas approuvée dans le délai d'expiration spécifié.
Lorsque vous activez ce bouton, de nouvelles options s'affichent car vous devez indiquer la façon dont Identity Manager déterminera les approbateurs en cas d'approbation réassignée. Pour les instructions, allez à Pour configurer la section Déterminer les approbateurs de signalisation.
Exécuter une tâche. Identity Manager exécute automatiquement une tâche de remplacement si la demande d'approbation n'est pas approuvée dans le délai d'expiration spécifié.
Activez ce bouton pour afficher le menu Tâche après expiration du délai d’approbation permettant de spécifier une tâche à exécuter en cas d'expiration du délai d'attente de l'approbation. Pour les instructions, allez à Pour configurer la section Tâche après expiration du délai d’approbation.
Lorsque vous sélectionnez Réassigner l’approbation dans la section Action après délai d'attente (Pour configurer les délais d’expiration des approbations), le menu Déterminer les approbateurs de signalisation s'affiche, comme indiqué sur la figure suivante.
Choisissez une option dans ce menu pour spécifier la façon dont les approbateurs sont déterminés dans le cas d'une approbation réassignée.
Les options sont les suivantes :
Attribut. Détermine les ID de compte des approbateurs à l'aide d'un attribut spécifié dans la vue de l'utilisateur.
La résolution de cet attribut doit fournir une chaîne représentant un ID de compte unique ou une liste d'ID de compte.
Lorsque vous sélectionnez cette option, le menu Attribut de l’administrateur de signalisation s'affiche. Sélectionnez un attribut dans la liste. L'attribut sélectionné s'affiche dans le champ de texte adjacent, comme indiqué sur la figure suivante.
Règle. Détermine les ID de compte des approbateurs en évaluant une règle spécifiée.
La résolution de cette règle doit fournir une chaîne représentant un ID de compte unique ou une liste d'ID de compte.
Lorsque vous sélectionnez cette option, le menu Règle de l’administrateur de signalisation s'affiche comme indiqué. Sélectionnez une règle dans la liste.
Requête. Détermine les ID de compte des approbateurs en interrogeant une ressource particulière.
Les menus Requête de l’administrateur de signalisation s'affichent comme indiqué sur la figure suivante.
Construisez votre interrogation comme suit :
Sélectionnez une ressource dans le menu Ressource à interroger.
Sélectionnez un attribut dans le menu Attribut de ressource à interroger.
Sélectionnez un attribut dans le menu Attribut à comparer.
Liste des administrateurs (valeur par défaut). Choisissez explicitement les approbateurs dans une liste.
L'outil de sélection Administrateur de signalisation s'affiche comme illustré sur la figure suivante.
Sélectionnez les approbateurs comme suit :
Sélectionnez un ou plusieurs noms d'administrateurs dans la liste Administrateurs disponibles.
Amenez les noms sélectionnés dans la liste Administrateurs sélectionnés.
Lorsque vous sélectionnez l'option Exécuter une tâche dans la section Action après délai d'attente (Pour configurer les délais d’expiration des approbations), le menu Tâche après expiration du délai d’approbation s'affiche, comme indiqué sur la figure suivante.
Choisissez une définition de tâche à exécuter en cas d'expiration du délai d'attente de la demande d'approbation.
Par exemple, vous pouvez autoriser le demandeur à soumettre une demande d’assistance ou à envoyer un rapport à l'administrateur.
Le Delete User Template ne contient pas de section Configuration du formulaire d’approbation. Vous pouvez uniquement configurer cette section pour les modèles Créer un utilisateur et Mettre à jour l'utilisateur.
Vous pouvez utiliser les fonctionnalités de la section Configuration du formulaire d’approbation pour sélectionner un formulaire d'approbation et ajouter (ou supprimer) des attributs de ce formulaire d'approbation.
Par défaut, le tableau Attributs d'approbation contient les attributs standard suivants :
user.waveset.accountId
user.waveset.roles
user.waveset.organization
user.global.email
user.waveset.resources
Le formulaire d'approbation par défaut a été instrumenté pour permettre l'affichage des attributs d'approbation. Si vous utilisez un formulaire d'approbation autre que celui par défaut, vous devez instrumenter ce formulaire pour afficher les attributs d'approbation spécifiés dans le tableau Attributs d’approbation.
Sélectionnez un formulaire dans le menu Formulaire d'approbation.
Les approbateurs utiliseront ce formulaire pour approuver ou rejeter une demande d'approbation.
Sélectionnez les cases à cocher de la colonne Modifiable du tableau Attributs d'approbation pour éditer la valeur des attributs.
Par exemple, si vous sélectionnez la case à cocher user.waveset.accountId, l'approbateur peut changer l'ID de compte de l'utilisateur.
Si vous modifiez des valeurs d'attribut spécifiques à un compte dans le formulaire d'approbation, vous devrez aussi ignorer les valeurs d'attribut du même nom lorsque l'utilisateur sera effectivement provisionné. Par exemple, si la ressource R1 existe sur votre système avec l'attribut de schéma description et que vous ajoutez l'attribut user.accounts[R1].description au formulaire d'approbation sous forme d'attribut modifiable, tous les changements apportés à la valeur de l'attribut description dans le formulaire d'approbation ignoreront la valeur propagée de global.description uniquement pour la ressource R1.
Cliquez sur les bouton Ajouter un attribut ou Supprimer les attributs sélectionnés pour indiquer les attributs des données de compte du nouvel utilisateur à afficher dans le formulaire d'approbation.
Pour ajouter des attributs au formulaire, reportez-vous à Pour ajouter des attributs au formulaire d'approbation.
Pour supprimer des attributs du formulaire, voir Suppression des attributs.
Vous ne pouvez pas supprimer les attributs par défaut d'un formulaire d'approbation sans modifier le fichier XML.
Cliquez sur le bouton Ajouter un attribut qui se trouve sous le tableau Attributs d'approbation.
Le menu Nom d'attribut est activé dans le tableau Attributs d’approbation, comme indiqué sur la figure suivante.
Sélectionnez un attribut dans le menu.
Le nom d'attribut sélectionné s'affiche dans le champ de texte adjacent et le nom à afficher par défaut de l'attribut s'affiche dans la colonne Nom d’affichage du formulaire.
Par exemple, si vous sélectionnez l'attribut user.waveset.organization, vous pouvez :
Changer si nécessaire le nom d'attribut par défaut ou le Nom d’affichage du formulaire en saisissant un nouveau nom dans le champ de texte approprié.
Sélectionner la case à cocher Modifiable pour permettre à l'approbateur de changer la valeur de l'attribut.
Par exemple, l'approbateur peut vouloir ignorer certaines informations telles que l'adresse e-mail de l'utilisateur.
Répétez ces étapes pour spécifier des attributs supplémentaires.
Vous ne pouvez pas supprimer les attributs par défaut d'un formulaire d'approbation sans modifier le fichier XML.
Activez une ou plusieurs cases à cocher dans la colonne la plus à gauche du tableau Attributs d'approbation.
Cliquez sur le bouton Supprimer les attributs sélectionnés pour supprimer immédiatement les attributs sélectionnés de la table Attributs d'approbation.
Par exemple, user.global.firstname et user.waveset.organization seront supprimés du tableau suivant si vous cliquez sur le bouton Supprimer les attributs sélectionnés.