Utilisation d'éditeurs d'audit personnalisés

Identity Manager peut envoyer des événements de contrôle à des éditeurs d'audit personnalisés.

Les éditeurs personnalisés suivants sont fournis :

• Console. Imprime les événements de contrôle sur la sortie ou l'erreur standard.

• Fichier. Écrit les événements de contrôle dans un fichier simple.

• JDBC. Enregistre les événements de contrôle dans un magasin de données JDBC.

• JMS. Enregistre les événements de contrôle dans une file d'attente ou une rubrique JMS.

• JMX. Publie les événements de contrôle de sorte qu'un client JMX (Java Management Extensions) peut contrôler l'activité du journal d'audit d'Identity Manager.

• Scripté. Permet aux scripts personnalisés de stocker les événements de contrôle.

Pour créer votre propre éditeur, voir Développement d'éditeurs d'audit personnalisés.

Cette section se compose des rubriques suivantes :

• Pour activer les éditeurs d'audit personnalisés ;

• Types d'éditeurs Console, Fichier, JDBC et Scripté ;

• Type d'éditeur JMS ;

• Type d'éditeur JMX.

Pour activer les éditeurs d'audit personnalisés

Les éditeurs d'audit personnalisés s'activent depuis la page Configuration d'audit.

1. Dans l'interface administrateur, cliquez sur Tâches du serveur dans le menu principal puis sur Audit dans le menu secondaire.

   La page Configuration d’audit s'ouvre.

2. Sélectionnez l'option Utiliser un éditeur personnalisé au bas de la page.

   Un tableau listant les éditeurs d'audit actuellement configurés s'ouvre.

3. Pour configurer un nouvel éditeur personnalisé, sélectionnez le type éditeur personnalisé dans le menu déroulant Nouvel éditeur.

   Complétez le formulaire Configurer le nouvel éditeur d’audit. Cliquez sur OK.

4. Important ! Cliquez sur Enregistrer pour enregistrer le nouvel éditeur.

Types d'éditeurs Console, Fichier, JDBC et Scripté

Pour activer les éditeurs d'audit Console, Fichier, JDBC ou Scripté, suivez les étapes de la section Pour activer les éditeurs d'audit personnalisés. Sélectionnez le type d'éditeur approprié dans le menu déroulant Nouvel éditeur.

Complétez le formulaire Configurer le nouvel éditeur d’audit. Pour toute question sur le formulaire, consultez les i-Helps et l'aide en ligne.

• L'éditeur d'audit Console imprime les événements de contrôle sur la sortie ou l'erreur standard.

• L'éditeur d'audit Fichier écrit les événements de contrôle dans un fichier simple.

• L'éditeur d'audit JDBC enregistre les événements de contrôle dans un magasin de données JDBC.

• L'éditeur d'audit Scripté autorise les scripts personnalisés écrits en JavaScript ou en BeanShell pour stocker les événements de contrôle.

Type d'éditeur JMS

Les éditeurs personnalisés de journal d'audit JMS permettent de publier des enregistrements d'événements de contrôle dans une file d'attente ou une rubrique JMS (Java Message Service).

Avantages de l'utilisation de JMS

Publier sur JMS augmente la flexibilité en matière de corrélation dans les environnements présentant plusieurs serveurs Identity Manager. De plus, JMS peut être utilisé dans des situations caractérisées par des restrictions concernant d'utilisation de l'éditeur de fichier d'audit Fichier, par exemple dans les environnements Windows où le journal peut ne pas être accessible à un outil de génération de rapports client pendant l'exécution du serveur.

JMS offre plusieurs avantages pour les environnements multiserveurs :

• Le magasin des messages JMS centralise (et simplifie) le stockage des messages et leur récupération.

• L'architecture JMS n'impose pas de restrictions quant au nombre de clients pouvant accéder au service.

• Le protocole JMS est facile à envoyer à travers les pare-feu et autres infrastructures réseau.

Point à point ou publication/inscription ?

Java Message System propose deux modèles pour la messagerie : le modèle point à point ou de mise en attente et le modèle publication/inscription ou à rubriques. Identity Manager prend en charge ces deux modèles.

Dans le modèle point à point, un producteur poste les messages dans une file d'attente donnée et un consommateur lit les messages dans cette file d'attente. Ici, le producteur connaît la destination du message qu'il poste directement dans la file d'attente du consommateur.

Le modèle point à point présente les caractéristiques suivantes :

• Un seul consommateur obtient le message.

• Le producteur n'a pas à être en cours d'exécution au moment où le récepteur consomme le message et le récepteur n'a besoin d'être en cours d'exécution au moment où le message est envoyé.

• Le récepteur accuse réception de tout message traité avec succès.

Le modèle publication/inscription, d'autre part, prend en charge la publication de messages dans une rubrique de messages donnée. Zéro abonnés ou plus peuvent se révéler intéressés par recevoir des messages sur une rubrique de messages donnée. Dans ce modèle, l'éditeur et l'abonné ignorent tout l'un de l'autre. Une bonne métaphore pour ce modèle est le panneau d'affichage anonyme.

Le modèle publication/inscription présente les caractéristiques suivantes :

• Plusieurs consommateurs peuvent recevoir les messages.

• Une dépendance de synchronisation existe entre éditeurs et abonnés. L'éditeur doit créer un abonnement pour que les clients puissent s'abonner. Une fois inscrits, les abonnés doivent rester actifs en permanence pour recevoir les messages à moins d'un abonnement durable n'ait été établi. Dans le cas d'un abonnement durable, les messages publiés alors que l'abonné n'est pas connecté sont distribués de nouveau quand ce dernier se reconnecte.

---

Remarque –

Pour plus d'informations sur JMS, voir http://www.sun.com/software/products/message_queue/index.xml

---

Configuration du type d'éditeur JMS

L'éditeur JMS formate les événements de contrôle en messages de texte TextMessages JMS. Ces TextMessages sont ensuite envoyés à une file d'attente ou une rubrique selon la configuration. Les messages de texte peuvent être formatés au format XML ou ULF (Universal Logging Format) selon la configuration.

Pour activer le type d'éditeur JMS, suivez les étapes de la section Pour activer les éditeurs d'audit personnalisés et sélectionnez JMS dans le menu déroulant Nouvel éditeur.

Pour configurer le type d'éditeur JMS, complétez le formulaire Configurer le nouvel éditeur d’audit. Pour toute question sur le formulaire, consultez les i-Helps et l'aide en ligne.

Type d'éditeur JMX

L'éditeur de journal d'audit JMX publie les événements de contrôle de sorte qu'un client JMX (Java Management Extensions) peut contrôler l'activité du journal d'audit d'Identity Manager.

Définition de JMX

Java Management Extensions (JMX) est une technologie Java qui permet la gestion et/ou le contrôle des applications, objets système, périphériques et réseaux orientés services. L'entité gérée/contrôlée est représentée par des objets appelés des MBeans (pour Managed Bean, bean géré).

Implémentation de l'éditeur JMX d'Identity Manager

L'éditeur de journal d'audit JMX d'Identity Manager contrôle le journal d'audit à la recherche d'événements. Lorsqu'un événement est détecté, l'éditeur JMX enveloppe l'enregistrement de l'événement de contrôle avec un MBean et met à jour un historique temporaire (qui est conservé en mémoire). Pour chaque événement, une petite notification séparée est envoyée au client JMX. Si l'événement est digne d'intérêt, le client JMX peut interroger le MBean enveloppant l'événement de contrôle pour obtenir des informations supplémentaires.

---

Remarque –

Pour toute information sur les enregistrements d'événements de contrôle, voir la javadoc com.waveset.object.AuditEvent. La javadoc est disponible dans le kit REF présenté dans la section Développement d'éditeurs d'audit personnalisés.

---

Pour récupérer les informations du MBean approprié, un numéro de séquence d'historique est nécessaire. Ce numéro figure dans la notification de l'événement.

Chaque notification d'événement inclut les informations suivantes :

• Type (Type). Chaîne décrivant le type de l'événement. Cette chaîne adopte le format AuditEvent.<ObjectType>.<Action> où ObjectType et Action sont retournés de com.waveset.AuditEvent. Par exemple, si un événement de déverrouillage est envoyé, le type est AuditEvent.LighthouseAccount.Unlock.

• SequenceNumber (Numéro de séquence). Clé du tampon d'historique utilisée pour demander des informations au MBean.

Pour configurer le type d'éditeur JMX

1. Pour activer le type d'éditeur JMX, suivez les étapes de la section Pour activer les éditeurs d'audit personnalisés et sélectionnez JMX dans le menu déroulant Nouvel éditeur.

2. Pour configurer le type d'éditeur JMX, complétez le formulaire Configurer le nouvel éditeur d’audit. Pour toute question sur le formulaire, consultez les i-Helps et l'aide en ligne.

   • Nom de l’éditeur. Saisissez un nom unique pour l'éditeur d'événements de contrôle JMX.

   • Limite de l’historique. Changez la valeur par défaut comme requis pour spécifier le nombre d'éléments événement que l'éditeur doit conserver en mémoire (la valeur par défaut est 100).

3. Cliquez sur Essai pour vérifier que le Nom de l’éditeur est acceptable.

4. Cliquez sur OK. Le formulaire Configurer le nouvel éditeur d’audit se ferme.

5. Important ! Cliquez sur Enregistrer.

Affichage des événements de contrôle avec un client JMX

Utilisez un client JMX pour afficher l'éditeur JMX. JConsole, qui est inclus dans le JDK 1.5, a été utilisé pour créer les captures d'écran suivantes.

Si vous utilisez JConsole, choisissez attach to process (joindre au processus) pour afficher le MBean IDM:type=AuditLog. Pour toute information sur la configuration de JConsole en vue de l'utiliser en tant que client JMX, voir Viewing JMX Data du Sun Identity Manager 8.1 System Administrator’s Guide.

Dans JConsole, cliquez sur l'onglet Notifications pour afficher les événements de contrôle. Notez le numéro de séquence figurant dans la notification. Un numéro de séquence est requis pour interroger le MBean afin d'obtenir des informations supplémentaires.

Figure 10–1 Affichage des notifications d'événement de contrôle de JMX dans JConsole

Interrogation du MBean afin d'obtenir des informations supplémentaires

Dans JConsole, cliquez sur l'onglet Operations (Opérations). Utilisez le numéro de séquence figurant dans la notification pour interroger le MBean afin d'obtenir les détails de l'événement. Toutes les opérations présentent le préfixe « get » et le seul paramètre est le numéro « sequence ».

Figure 10–2 Interrogation du MBean afin d'obtenir des informations supplémentaires dans JConsole

Le MBean est pratiquement un mappage biunivoque vers la classe com.waveset.object.AuditEvent . Le Tableau 10–19 contient la description des différentes paires attribut/opération fournies par MBean.

Tableau 10–19 Description des paires attribut/opération MBeanInfo

Attribut / Opération	Description
AccountAttributesBlob	Liste des attributs modifiés
AccountId	ID de compte associé à l'événement
Action	Action entreprise pendant l'événement
AuditableAttributes	Attributs auditables
ErrorString	Toute chaîne d'erreur
Interface	L'interface d'audit
MemberObjectGroupRefs	Références du groupe des objets membres
ObjectName	Nom de l'objet
ObjectType	Type de l'objet
OverflowAttributes	Tous les attributs de dépassement
Parameters	Tous les paramètres
Reason	Raison de l'événement
ResourceName	Ressource associée à l'événement
RoleName	Rôle associé à l'événement
SubjectName	Utilisateur ou service associé à l'événement
Server	Nom du serveur depuis lequel l'événement a été déclenché
Status	Statut de l'événement de contrôle
Timestamp	Date et heure de l'événement de contrôle

Dans JConsole, cliquez sur l'onglet Attributes (Attributs). Les attributs comportent le préfixe Current indiquant qu'ils contiennent le dernier événement de contrôle en date envoyé par le système.

Figure 10–3 Affichage des attributs de Mbeans dans JConsole