Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Chapitre 14 Audit : stratégies d'audit

Ce chapitre explique la création, l'édition, la suppression et l'assignation de stratégies d'audit en utilisant l'Assistant Stratégie d’audit.

Ce chapitre présente les principes et tâches suivants :

Travailler avec les stratégies d’audit

Pour créer une stratégie d’audit, utilisez l'assistant Stratégie d’audit d’Identity Manager. Après avoir défini une stratégie d’audit, vous pouvez effectuer dessus des actions variées, par exemple la modifier ou la supprimer.

Règles des stratégies d'audit

Les règles de stratégie d'audit définissent des violations spécifiques. Les règles de stratégie peuvent contenir des fonctions écrites dans les langages XPRESS, XML Object ou JavaScript.

Vous pouvez utiliser l'assistant Stratégie d’audit pour créer des règles simples ou l'Identity Manager IDE ou un éditeur XML pour en créer de plus puissantes.

Les règles doivent être du sous-type SUBTYPE_AUDIT_POLICY_RULE. Les règles générées par l'Assistant Stratégie d’audit se voient automatiquement assigner ce sous-type.
Les règles doivent être du type authType AuditPolicyRule. Les règles générées par l'Assistant Stratégie d’audit se voient automatiquement assigner cet authType.

Les règles créées en utilisant l'Assistant Stratégie d’audit renverront la valeur true ou false. Les règles de stratégie qui retournent la valeur true résultent en une violation de stratégie. En utilisant Identity Manager IDE, cependant, vous pouvez créer une règle qui ignorera un utilisateur pendant un scannage d'audit ou un examen des accès. Les règles de stratégie d'audit qui retournent la valeur ignore arrêteront le traitement des règles pour l'utilisateur en question et ignoreront ce dernier pour passer directement au prochain utilisateur cible.

Pour plus d'informations sur la création de règles de stratégie d'audit, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

Création d'une stratégie d'audit

Pour créer une stratégie d’audit, utilisez l'Assistant Stratégie d’audit.

Pour ouvrir l'Assistant Stratégie d’audit

L'Assistant Stratégie d’audit vous guide dans le processus de création d'une stratégie d'audit. Suivez les étapes ci-après pour accéder à cet assistant.

Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).

Cliquez sur l'onglet Conformité.

Le sous-onglet ou menu Gérer les stratégies s'ouvre.

Pour créer une nouvelle stratégie d'audit, cliquez sur Nouvelle.

Création d'une stratégie d'audit : Présentation

En utilisant l'assistant, vous exécuterez les tâches suivantes pour créer une stratégie d'audit :

sélectionner ou créer les règles à utiliser pour définir les limites de la stratégie ;
assigner des approbateurs et établir des limites de signalisation ;
assigner un flux de travaux de résolution.

Après avoir effectué les tâches présentées dans chacun des écrans de l'assistant, cliquez sur Suivant pour passer à l'étape suivante.

Avant de commencer

Créer une stratégie d'audit ne s'improvise pas. Avant de commencer, vérifiez que vous avez bien effectué les tâches suivantes :

Identifié les règles que vous utiliserez pour créer la stratégie dans l'Assistant Stratégie d’audit. Les règles choisies dépendent du type de la stratégie créée et des limites spécifiques que vous voulez définir. Pour plus d'informations, voir Pour identifier les règles dont vous avez besoin dans la section suivante.
Importé tout flux de travaux de résolution ou règle à inclure dans la nouvelle stratégie. Pour plus d'informations, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.
Vérifié que vous avez les capacités requises pour créer des stratégies d'audit. Pour les capacités requises, voir la section Comprendre et gérer les capacités au Chapitre 6Administration.

Pour identifier les règles dont vous avez besoin

Les contraintes que vous indiquez dans la stratégie sont implémentées dans un ensemble de règles que vous créez ou importez. Lorsque vous utilisez l'Assistant Stratégie d’audit pour créer une règle, suivez les étapes ci-après :

Identifiez la ressource spécifique avec laquelle vous travaillez.

Sélectionnez un attribut de compte dans la liste des attributs valides pour cette ressource.

Sélectionnez une condition à imposer sur l'attribut.

Saisissez une valeur pour la comparaison.

Pour toute information sur la création de règles de stratégie d'audit sans l'assistant Stratégie d'audit, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

(facultatif) Importation des règles de séparation des obligations dans Identity Manager

L'Assistant Stratégie d'audit ne peut pas créer de règles de séparation des obligations. Vous devez élaborer ces règles hors d'Identity Manager puis les importer en utilisant l'option Importer le fichier d’échange de l'onglet Configurer.

(facultatif) Importation d'un flux de travaux dans Identity Manager

Pour importer un flux de travaux externe

Pour utiliser un flux de travaux de résolution qui n'est pas actuellement disponible dans Identity Manager, importez le flux de travaux externe. Vous pouvez créer des flux de travaux personnalisés en utilisant un éditeur XML ou l'Identity Manager IDE.

Définissez authType=’AuditorAdminTask’ et ajoutez subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ . Vous pouvez utiliser Identity Manager IDE ou l'éditeur XML de votre choix pour définir ces objets Configuration.

Importez le flux de travaux en utilisant l'option Importer le fichier d’échange.
1. Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).
2. Cliquez sur l'onglet Configurer puis sur le sous-onglet ou le menu Importer le fichier d’échange.
  
  La page Importer le fichier d’échange s'ouvre.
3. Parcourez la structure de répertoires jusqu'au fichier de flux de travaux à télécharger puis cliquez sur Importer.
  
  Après avoir réussi à importer le flux de travaux, ce dernier s'affiche dans la liste d'options Flux de travaux de résolution de l'Assistant Stratégie d'audit (Création d'une stratégie d'audit).

Nommage et description de la stratégie d'audit

Saisissez le nom de la nouvelle stratégie et une brève description dans l'Assistant Stratégie d'audit (représenté à la Figure 14–1).

Figure 14–1 Assistant Stratégie d’audit: écran de saisie du nom et de la description

Figure représentant l'écran Assistant Stratégie d’audit

Remarque –

Les noms de stratégies d’audit ne peuvent pas contenir les caractères suivants : ’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles), \ (backslash) ou = (signe égal).

Vous devez aussi éviter d'utiliser les caractères suivants : _ (trait de soulignement), % (signe du pourcentage), ^ (caret) et * (astérisque).

Si vous voulez que seules des ressources sélectionnées fassent l'objet d'accès lors de l'exécution du scannage, sélectionnez l'option Restreindre les ressources cible.

Si vous voulez que la résolution d'une violation entraîne le rescannage immédiat de l'utilisateur, sélectionnez l'option Autorisation de nouveaux scannages de violations.

Remarque –

Si la stratégie d'audit ne restreint pas les ressources, toutes les ressources pour lesquelles un utilisateur a des comptes feront l'objet d'accès pendant le scannage. Si les règles n'utilisent que quelques ressources, il est plus efficace de restreindre la stratégie à ces ressources.

Cliquez sur Suivant pour passer à la page suivante.

Pour sélectionner un type de règle

Utilisez cette page pour lancer le processus consistant à définir ou inclure des règles dans votre stratégie (le gros du travail quand vous créez une stratégie consiste justement à définir et créer des règles).

Comme indiqué sur la figure suivante, vous pouvez choisir de créer votre propre règle en utilisant l'Assistant Règle d'Identity Manager ou d'incorporer une règle existante. L'Assistant Règle ne permet d'utiliser qu'une ressource dans une règle tandis que les règles importées peuvent en référencer autant que nécessaire.

Figure représentant l'Assistant Règle de stratégie d’audit

Décidez si créer une nouvelle règle ou utiliser une règle existante.

Choisissez l'une des options suivantes :
- Pour créer une nouvelle règle, choisissez l'option Assistant Règle (paramètre par défaut).
- Pour incorporer une règle existante que vous avez créée en utilisant l'Identity Manager IDE, choisissez l'option Règle existante.

Cliquez sur Suivant.

Selon la sélection effectuée à l'étape 1, continuez par l'une ou l'autre des sections suivantes :
- Si vous avez sélectionné Assistant Règle, allez à la section Pour utiliser l'Assistant Règle pour créer une nouvelle règle et suivez les instructions fournies.
- Si vous avez sélectionné Règle existante, allez à la section Pour sélectionner une règle existante et suivez les instructions fournies.

Pour sélectionner une règle existante

Pour inclure une règle existante dans la nouvelle stratégie, sélectionnez Règle existante sur l'écran Sélectionnez un type de règle puis cliquez sur Suivant. Sélectionnez ensuite une règle de stratégie d'audit existante dans le menu déroulant Sélectionner une règle existante.

Remarque –

Si vous ne voyez pas le nom d'une règle que vous avez importée au préalable dans Identity Manager, vérifiez si vous avez bien ajouté à cette règle les attributs supplémentaires décrits dans Création d'une stratégie avec les règles de stratégie d'audit.

Cliquez sur Suivant.

Allez directement à la section Ajout de règles.

Pour utiliser l'Assistant Règle pour créer une nouvelle règle

Si vous choisissez de créer une règle en utilisant la sélection Assistant Règle dans l'Assistant Stratégie d'audit, précédez en saisissant les informations requises dans les pages examinées dans les sections suivantes.

Pour nommer et décrire une règle

Vous pouvez, en option, donner un nom à la nouvelle règle et la décrire. Utilisez cette page pour entrer le texte de la description qui s'affichera à proximité du nom de la règle à chaque fois qu'Identity Manager affichera la règle. Entrez une description concise et claire qui ait un sens pour décrire la règle. Cette description s'affichera dans Identity Manager sur la page Examen de la violation de stratégie.

Figure 14–2 Assistant Stratégie d'audit : écran de saisie de la description de la règle

Figure illustrant comment nommer et décrire une nouvelle règle

Par exemple, pour créer une règle identifiant les utilisateurs ayant les deux valeurs d'attribut Oracle ERP responsibilityKey Payable User et Receivable User, vous pouvez entrer le texte suivant dans le champ Description : Identifie les utilisateurs responsables à la fois des comptes fournisseurs et des comptes clients.

Utilisez le champ Commentaires pour indiquer des informations supplémentaires sur la règle.

Sélectionnez la ressource référencée par la règle

Utilisez cette page pour sélectionner la ressource que la règle référencera. Toute variable de la règle doit correspondre à un attribut sur cette ressource. Toutes les ressources auxquelles vous avez accès en consultation s'afficheront dans cette liste d'options. Dans cet exemple, Oracle ERP est sélectionné.

Figure 14–3 Assistant Stratégie d'audit : écran Sélectionner ressource

Figure illustrant comment sélectionner une ressource pour qu'une règle la référencie

Remarque –

La plupart mais pas tous les attributs de chacun des adaptateurs de ressources disponibles sont pris en charge. Pour toute information sur les attributs spécifiques disponibles, voir le guide Sun Identity Manager 8.1 Resources Reference.

Cliquez sur Suivant pour passer à la page suivante.

Création de l'expression de la règle

Cet écran permet d'entrer l'expression de votre nouvelle règle. Cet exemple crée une règle dans laquelle un utilisateur ayant la valeur d'attribut Oracle ERP responsibilityKey Payable User ne peut pas aussi avoir la valeur d'attribut Receivable User.

Pour créer une expression de règle

Sélectionnez un attribut d'utilisateur dans la liste des attributs disponibles. Cet attribut correspondra directement à une variable de règle.

Sélectionnez une condition logique dans la liste. Les conditions valides sont les suivantes : = (égal à ), != (différent de), < (inférieur à ), <= (inférieur ou égal à ), > (supérieur à ), >= (supérieur ou égal à ), is true (est vrai), is null (est null), is not null (non null) et contains (contient). Aux fins de cet exemple, vous pouvez sélectionner contains dans la liste des conditions d'attribut possibles.

Saisissez une valeur pour l'expression. Par exemple, si vous entrez Payable user, vous spécifiez un utilisateur Oracle ERP ayant la valeur Payable user dans l'attribut responsibilityKeys.

(facultatif) Cliquez sur l'un des opérateurs AND (ET) ou OR (OU) pour ajouter une ligne et créer une nouvelle expression.

Figure 14–4 Assistant Stratégie d'audit : écran de sélection de l'expression de la règle

Figure illustrant l'écran de sélection de l'expression de la règle dans l'Assistant Stratégie d'audit

Cette règle retourne une valeur booléenne. Si les deux instructions sont vraies, la règle de stratégie retourne la valeur TRUE, qui entraîne une violation de stratégie.

Remarque –

Identity Manager ne prend pas en charge le contrôle d'imbrication de règles. De plus, utiliser l'Assistant Stratégie d'audit pour créer des stratégies avec différents opérateurs booléens entre les règles peut produire des résultats imprévisibles car l'ordre d'évaluation n'est pas précisé.

Pour les expressions de règle complexes, créez les règles en utilisant un éditeur XML au lieu d'utiliser l'Assistant Stratégie d'audit. Utiliser un éditeur XML permet d'utiliser l'inversion quand cela est nécessaire afin d'utiliser seulement un unique opérateur booléen entre les règles.

L'exemple de code suivant montre le XML de la règle que vous avez créée dans cet écran :

<Description>Payable User/Receivable User</Description>
  <RuleArgument name=’resource’ value=’Oracle ERP’>
    <Comments>Resource specified when  audit policy was created.</Comments>
    <String>Oracle ERP</String>
  </RuleArgument>
    <and>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Receivable User</s>
      </contains>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Payables User</s>
      </contains>
    </and>
    <MemberObjectGroups>
      <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
    </MemberObjectGroups>
</Rule>

Pour supprimer une expression de la règle, sélectionnez la condition d'attribut et cliquez sur Supprimer.

Cliquez sur Suivant pour poursuivre avec l'Assistant Stratégie d'audit. Vous aurez la possibilité d'ajouter davantage de règles soit en ajoutant des règles existantes soit en utilisant de nouveau l'assistant.

Ajout de règles

Vous pouvez créer des règles supplémentaires en important des règles existantes ou en utilisant l'assistant (pour plus d’informations, voir Pour sélectionner un type de règle).

Cliquez sur les opérateurs AND (ET) ou OR (OU) pour ajouter les règles comme requis. Pour supprimer une règle, sélectionnez-la et cliquez sur Supprimer.

Des violations de stratégie n'ont lieu que si l'expression booléenne de toutes les règles donne true. En regroupant les règles avec les opérateurs AND/OR, la stratégie peut se solder par true, même si ce n'est pas le cas de toutes les règles. Identity Manager crée des violations uniquement pour les règles dont l'évaluation se solde par true et uniquement si l'évaluation de l'expression de la stratégie donne true.

Remarque –

Identity Manager ne prend pas en charge la commande d'imbrication de règles. De plus, utiliser l'Assistant Stratégie d'audit pour créer des stratégies avec différents opérateurs booléens entre les règles peut produire des résultats imprévisibles car l'ordre d'évaluation n'est pas précisé.

Sélection d'un flux de travaux de résolution

Utilisez cet écran pour sélectionner un flux de travaux de résolution à associer à cette stratégie. Le flux de travaux ici assigné détermine les actions lancées au sein d'Identity Manager lorsqu'une violation d'audit est détectée.

Remarque –

Un flux de travaux est démarré pour chaque stratégie d'audit occasionnant un échec. Chaque flux de travaux contiendra un ou plusieurs éléments de travail pour chaque violation de compatibilité créée par le scannage de stratégie pour la stratégie spécifique.

Figure 14–5 Assistant Stratégie d'audit : écran de sélection du flux de travaux de résolution

Figure illustrant l'écran de sélection du flux de travaux de résolution dans l'Assistant Stratégie d'audit

Remarque –

Pour toute information sur l'importation d'un flux de travaux que vous avez créé en utilisant un éditeur XML ou l'Identity Manager IDE, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.

Utilisez le menu déroulant Règle de formulaire utilisateur de résolution pour sélectionner une règle qui calculera le formulaire utilisateur à appliquer lors de l'édition d'un utilisateur par le biais de la résolution. Par défaut, un solutionneur qui édite un utilisateur en réponse à un élément de travail de résolution utilisera le formulaire utilisateur assigné au solutionneur. Si en revanche une stratégie d'audit spécifie un formulaire utilisateur de résolution, ce dernier formulaire sera utilisé. Cela permet l'utilisation d'un formulaire très spécifique quand une stratégie d'audit indique un problème spécifique correspondant.

Pour spécifier les solutionneurs à associer à ce flux de travaux de résolution, sélectionnez la case à cocher Définir les solutionneurs ?. Si vous sélectionnez cette option, cliquer sur Suivant affichera la page Assign Remediators (Assigner les solutionneurs). Si vous ne sélectionnez pas cette option, l'assistant affichera ensuite l'écran Assigner organisation de l'Assistant Stratégie d'audit.

Sélection des solutionneurs et des délais pour les résolutions

Si vous spécifiez des solutionneurs, les solutionneurs assignés à cette stratégie seront avertis en cas de détection de violation de cette stratégie. Par ailleurs, le flux de travaux par défaut leur assigne un élément de travail de résolution. Tout utilisateur Identity Manager peut être un solutionneur.

Vous pouvez choisir d'assigner au moins un solutionneur de niveau 1 ou un utilisateur désigné. Les solutionneurs de niveau 1 sont les premiers contactés au moyen d'un e-mail lancé par le flux de travaux de résolution en cas de détection d'un flux de travaux. Si le délai d'attente de signalisation désigné est atteint sans qu'un solutionneur de niveau 1 ait répondu, Identity Manager contacte ensuite le solutionneur de niveau 2 indiqué ici. Identity Manager ne contacte les solutionneurs de niveau 3 qui si aucun solutionneur, de niveau 1 ou 2, n'a répondu avant l'expiration du délai d'attente de signalisation.

Remarque –

Si vous indiquez une valeur de délai de signalisation pour le plus haut niveau de solutionneur sélectionné, l'élément de travail est supprimé de la liste lorsque la signalisation expire. Par défaut, le délai de signalisation est défini sur la valeur 0. Dans ce cas, l'élément de travail n'expire pas et reste dans la liste du solutionneur.

L'assignation de solutionneurs est facultative. Si vous sélectionnez cette option, cliquez ensuite sur Suivant pour passer à l'écran suivant après avoir spécifié les paramètres.

Pour ajouter des utilisateurs à la liste disponible des solutionneurs, entrez un ID utilisateur puis cliquez sur Ajouter. Une autre solution consiste à cliquer sur le bouton ... (Autres) afin de rechercher un ID utilisateur. Entrez un ou plusieurs caractères dans le champ commence par puis cliquez sur Trouver. Après avoir sélectionné un utilisateur dans la liste de recherche, cliquez sur Ajouter pour l'ajouter à la liste des solutionneurs. Cliquez sur Abandonner pour fermer la zone de recherche.

Pour supprimer un ID de la liste des solutionneurs, sélectionnez-le dans la liste puis cliquez sur Supprimer.

Figure 14–6 Assistant Stratégie d'audit : zone de sélection des solutionneurs de niveau 1

Figure illustrant la zone de sélection des solutionneurs de niveau 1 dans l'Assistant Stratégie d'audit

Sélection d'organisations pouvant accéder à la stratégie

Utilisez l'écran illustré à la Figure 14–7 pour sélectionner les organisations qui peuvent afficher et éditer cette stratégie.

Figure 14–7 Assistant Stratégie d'audit : écran d'assignation de visibilité aux organisations

Figure illustrant l'écran d'assignation de visibilité aux organisations dans l'Assistant Stratégie d'audit

Après avoir effectué les sélections d'organisations, cliquez sur Terminer pour créer la stratégie d'audit et revenir à la page Gérer les stratégies. La stratégie qui vient d'être créée est maintenant visible dans cette liste.

Édition d'une stratégie d’audit

Les tâches d'édition courantes ayant pour objet des stratégies d'audit sont les suivantes :

l'ajout ou la suppression de règles ;
le changement des ressources cibles ;
l'ajustement de la liste des organisations qui ont accès à la stratégie ;
la modification du délai d'attente de signalisation associé à chaque niveau de résolution ;
la modification du flux de travaux de résolution associé à la stratégie.

Page Éditer la stratégie

Cliquez sur le nom d'une stratégie dans la colonne de nom de la stratégie d'audit pour ouvrir la page Éditer la stratégie. Cette page contient les informations d'audit classées dans les zones suivantes :

une zone consacrée à l'identification et aux règles,
une zone dédiée au délai d'attente de signalisation et aux solutionneurs,
une zone réservée aux flux de travaux et organisations.

Cette zone de la page permet de :

éditer la description de la stratégie ;
ajouter ou supprimer une règle.

Remarque –

Vous ne pouvez pas utiliser ce produit pour éditer directement une règle existante. Utilisez l'Identity Manager IDE ou un éditeur XML pour éditer la règle puis importez-la dans Identity Manager. Vous pouvez ensuite supprimer l'ancienne version puis ajouter la nouvelle version revue et corrigée.

Édition de la description de la stratégie d’audit

Éditez la description de la stratégie d’audit en sélectionnant le texte du champ Description puis en entrant le nouveau texte.

Édition des options

En option, sélectionnez ou désélectionnez les options Restreindre les ressources cible ou Autorisation de nouveaux scannages de violations.

Suppression d'une règle de la stratégie

Pour supprimer une règle de la stratégie, cliquez sur le bouton Sélectionner qui précède le nom de cette règle puis cliquez sur Supprimer.

Ajout d'une règle à la stratégie

Cliquez sur Ajouter pour ajouter un nouveau champ que vous pourrez utiliser pour sélectionner une règle à ajouter.

Changement d'une règle utilisée par la stratégie

Dans la colonne Nom de la règle, sélectionnez une autre règle dans la liste de sélection.

Zone Solutionneurs

La Figure 14–8 illustre une partie de la zone Solutionneurs, laquelle permet d'assigner des solutionneurs de niveau 1, 2 et 3 pour une stratégie.

Figure 14–8 Page Édition de la stratégie d’audit : assignation des solutionneurs

Figure illustrant la zone d'assignation des solutionneurs de la page Édition de la stratégie d’audit

Cette zone de la page permet de :

supprimer ou assigner des solutionneurs à une stratégie ;
régler les délais d'attente de signalisation.

Suppression ou assignation de solutionneurs

Sélectionnez un solutionneur pour un niveau de résolution ou plus en entrant un ID utilisateur et en cliquant sur Ajouter. Pour rechercher un ID utilisateur, cliquez sur ... (Autres). Vous devez sélectionner au minimum un solutionneur.

Pour supprimer un solutionneur, sélectionnez un ID utilisateur puis cliquez sur Supprimer.

Réglage des délais d'attente de signalisation

Sélectionnez la valeur de délai d'attente puis entrez la nouvelle valeur. Par défaut, aucune valeur de délai d'attente n'est définie.

Remarque –

Si vous indiquez une valeur de délai de signalisation pour le plus haut niveau de solutionneur sélectionné, l'élément de travail est supprimé de la liste lorsque la signalisation expire.

Zone Flux de travaux de résolution et Organisations

La Figure 14–9 illustre la zone dans laquelle vous indiquez le flux de travaux de résolution et les organisations pour une stratégie d'audit.

Figure 14–9 Page Édition de la stratégie d’audit: Flux de travaux de résolution et Organisations

Figure illustrant la zone Flux de travaux de résolution et Organisations de la page Édition de la stratégie d’audit

Cette zone de la page permet de :

changer le flux de travaux de résolution qui est lancé lorsqu'une violation de stratégie a lieu ;
sélectionner une règle de formulaire utilisateur de résolution ;
choisir les organisations qui ont accès à cette stratégie.

Changement du flux de travaux de résolution

Pour changer le flux de travaux de résolution assigné à une stratégie, vous pouvez sélectionner un flux de travaux de remplacement dans la liste des options. Par défaut, aucun flux de travaux n'est assigné à une stratégie d'audit.

Remarque –

Si aucun flux de travaux n'est assigné à la stratégie d'audit, les violations ne seront pas assignées à un solutionneur.

Sélectionnez un flux de travaux de résolution dans la liste, puis cliquez sur Enregistrer.

Sélection d'une règle de formulaire utilisateur de résolution

En option, vous pouvez sélectionner une règle permettant de calculer le formulaire utilisateur appliqué lors de l'édition d'un utilisateur par le biais d'une résolution.

Assignation ou suppression de visibilité pour les organisations

Définissez les organisations pour lesquelles cette stratégie d'audit sera disponible et cliquez sur Enregistrer.

Exemples de stratégies

Identity Manager contient les exemples de stratégies suivants, accessibles depuis la liste Stratégies d'audit :

la stratégie IDM Role Comparison,
la stratégie IDM Account Accumulation.

La stratégie IDM Role Comparison

Cet exemple de stratégie permet de comparer les droits d'accès actuels d'un utilisateur à ceux spécifiés par les rôles Identity Manager. Cette stratégie garantit que tous les attributs de ressource spécifiés par les rôles sont définis pour l'utilisateur.

Cette stratégie échoue si :

certains des attributs de ressource spécifiés par les rôles manquent à l'utilisateur ;
les attributs de ressource de l'utilisateur diffèrent de ceux spécifiés par les rôles.

Stratégie IDM Account Accumulation

Cet exemple de stratégie vérifie que tous les comptes détenus par l'utilisateur sont référencés par au moins un rôle également détenu par l'utilisateur.

Cette stratégie échoue si l'utilisateur a des comptes sur des ressources non explicitement référencées par un rôle assigné à l'utilisateur.

Suppression d'une stratégie d’audit

Lorsqu'une stratégie d'audit est supprimée d'Identity Manager, toutes les violations qui référencient cette stratégie sont également supprimées.

Les stratégies peuvent être supprimées de la zone Conformité de l'interface, quand vous cliquez sur Gérer les stratégies pour afficher les stratégies. Pour supprimer une stratégie d'audit, sélectionnez le nom de cette stratégie dans la vue des stratégies puis cliquez sur Supprimer.

Dépannage des stratégies d’audit

De manière générale, il convient de résoudre les problèmes associés à une stratégie d'audit en déboguant les règles de cette stratégie.

Pour déboguer une règle, ajoutez les éléments de suivi suivants au code de la règle.

<block trace=’true’>
<and>
    <contains>
        <ref>accounts[AD].firstname</ref>
        <s>Sam</s>
    </contains>
    <contains>
        <ref>accounts[AD].lastname</ref>
        <s>Smith</s>
    </contains>
</and>
</block>

Si vous ne parvenez pas à voir votre flux de travaux dans l'interface d'Identity Manager, vérifiez que :
- Vous avez ajouté l'attribut subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ à votre flux de travaux. Les flux de travaux dénués de ce sous-type ne sont pas visibles dans l'interface administrateur d'Identity Manager.
- Vous avez la capacité correspondant à l'authType AuditorAdminTask.
- Vous contrôlez l'organisation contenant le flux de travaux.
Si vous avez importé des règles mais ne les voyez pas dans l'Assistant Stratégie d'audit, vérifiez que :
- Chaque règle est de subtype=”SUBTYPE_AUDIT_POLICY_RULE’ ou subtype=”SUBTYPE_AUDIT_POLICY_SOD_RULE’.
- Vous avez la capacité relative à l'authType AuditPolicyRule.
- Vous contrôlez l'organisation contenant le flux de travaux.

Assignation des stratégies d’audit

Pour assigner une stratégie d'audit à une organisation, l'utilisateur doit avoir (au minimum) la capacité Assignation des stratégies d’audit aux organisations. Pour assigner une stratégie d'audit à un utilisateur, l'utilisateur doit avoir la capacité Assignation des stratégies d’audit aux utilisateurs. Un utilisateur ayant la capacité Assignation de stratégies d’audit a ces deux capacités.

Pour assigner une stratégie au niveau organisation, sélectionnez Organisation sur l'onglet Comptes puis sélectionnez les stratégies dans la listes Stratégies d’audit assignées.

Pour assigner une stratégie au niveau utilisateur

Cliquez sur l'utilisateur dans la zone Comptes.

Sélectionnez Conformité dans le formulaire utilisateur.

Sélectionnez des stratégies dans la liste Stratégies d’audit assignées.

Remarque –
Les stratégies d'audit directement assignées à un utilisateur (c.-à-d., assignées via l'assignation d'une organisation ou d'un compte utilisateur) sont toujours réévaluées lorsqu'une violation est résolue pour l'utilisateur en question.

Résolution des limites de capacités de l'auditeur

Par défaut, les capacités nécessaires pour effectuer les tâches d'audit sont contenues dans l'organisation Haut (groupe d'objets). Résultat, seuls les administrateurs qui contrôlent Haut peuvent assigner ces capacités à d'autres administrateurs.

Vous pouvez résoudre ce problème en ajoutant les capacités à une autre organisation. Identity Manager fournit deux utilitaires, situés dans le répertoire sample/scripts, qui facilitent cette tâche.

Pour ajouter des capacités

Pour ajouter les capacités nécessaires pour effectuer des tâches d'audit pour une organisation autre que Haut, suivez les étapes ci-après :

Exécutez la commande suivante pour lister toutes les capacités (AdminGroups) et leurs organisations associées (groupes d'objets) :
beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv
Cette commande capture la sortie dans un fichier CSV.

Éditez ce fichier CSV pour ajuster les emplacements organisationnels des capacités comme voulu.

Exécutez cette commande pour mettre à jour Identity Manager.

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup