Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

À propos des stratégies d'audit

Une stratégie d'audit définit les limites des comptes pour un ensemble d'utilisateurs d'une ou plusieurs ressources. Elle comprend les règles qui définissent les limites d'une stratégie et les flux de travaux permettant de traiter les violations qui se produisent. Les scannages d'audit utilisent les critères définis dans une stratégie d'audit afin de déterminer si des violations se sont produites dans l'organisation.

Une stratégie d'audit est constituée des composants suivants :

Les Règles de stratégie définissent des violations spécifiques. Les règles de stratégie peuvent contenir des fonctions écrites dans les langages XPRESS, XML Object ou JavaScript.
Un Flux de travaux de résolution (en option) est lancé lorsqu'un scannage d'audit identifie une violation des règles de stratégie.
Les Solutionneurs sont des utilisateurs désignés qui sont autorisés à répondre aux violations de stratégie. Les solutionneurs peuvent être des utilisateurs individuels ou des groupes d'utilisateurs.

Création d'une stratégie avec les règles de stratégie d'audit

Les règles définissent les conflits potentiels en fonction des attributs au sein d'une stratégie d'audit. Une stratégie d'audit peut contenir des centaines de règles qui référencient un vaste éventail de ressources. Pendant l'évaluation d'une règle, celle-ci a accès aux données de compte utilisateur depuis une ou plusieurs ressources. La stratégie d'audit peut limiter les ressources disponibles pour la règle.

Il est possible d'avoir une règle qui contrôle un unique attribut sur une unique ressource tout comme il est possible d'avoir une règle qui contrôle plusieurs attributs sur plusieurs ressources.

Réponse aux violations de stratégie avec les flux de travaux de résolution

Une fois que vous avez créé des règles pour définir des violations de stratégie, vous sélectionnez le flux de travaux qui sera lancé à chaque fois qu'une violation sera détectée pendant un scannage d'audit. Identity Manager fournit le flux de travaux Standard Remediation (Résolution standard) par défaut, qui assure le traitement de résolution par défaut pour les scannages de stratégie d'audit. Entre autres actions, ce flux de travaux de résolution par défaut génère les e-mails de notification à destination de chacun des Solutionneurs de niveau 1 (et, le cas échéant, des solutionneurs des niveaux suivants).

Remarque –

Contrairement aux processus de flux de travaux d'Identity Manager, les flux de travaux de résolution doivent se voir assigner l'AuthType=AuditorAdminTask et le sous-type SUBTYPE_REMEDIATION_WORKFLOW. Si vous importez un flux de travaux pour l'utiliser dans les scannages d'audit, vous devez ajouter cet attribut manuellement. Pour plus d'informations, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.

Désignation des solutionneurs

Si vous assignez un flux de travaux de résolution, vous devez désigner au minimum un solutionneur. Vous pouvez désigner jusqu'à trois niveaux de solutionneurs pour une stratégie d'audit. Pour plus d'informations sur la résolution, voir Résolution et atténuation des violations de conformité.

Vous devez assigner un flux de travaux de résolution pour pouvoir assigner des solutionneurs.

Exemple de scénario de stratégie d'audit

Supposez que vous soyez responsable des comptes fournisseurs et des comptes clients et deviez implémenter des procédures visant à empêcher tout cumul de responsabilités dangereux chez les employés du service comptabilité. La stratégie choisie devra garantir que le personnel ayant des responsabilités concernant les comptes fournisseurs n'en aura pas pour les comptes clients.

La stratégie d'audit contiendra les éléments suivants :

Un ensemble de règles. Chaque règle spécifiera une condition constituant une violation de stratégie
Un flux de travaux lançant des tâches de résolution.
Un groupe d'administrateurs désignés, ou solutionneurs, ayant des permissions leur permettant d'afficher et de répondre aux violations de stratégie créées par des règles précédentes.

Une fois que les règles ont identifié des violations de stratégie (dans ce scénario, des utilisateurs cumulant trop de responsabilités), le flux de travaux associé peut lancer des tâches de résolution spécifiques, notamment des notifications automatiques à l'adresse de solutionneurs sélectionnés.

Les solutionneurs de niveau 1 sont les premiers solutionneurs contactés lorsqu'un scannage d'audit identifie une violation de stratégie. Lorsque la période de signalisation identifiée dans cette zone est dépassée, Identity Manager avertit les solutionneurs du niveau suivant (si plus d'un niveau est spécifié pour la stratégie d'audit).

La section suivante « Travailler avec les stratégies d'audit », explique l'utilisation de l'assistant Stratégie d’audit pour créer une stratégie d'audit.