Saisissez le nom de la nouvelle stratégie et une brève description dans l'Assistant Stratégie d'audit (représenté à la Figure 14–1).
Les noms de stratégies d’audit ne peuvent pas contenir les caractères suivants : ’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles), \ (backslash) ou = (signe égal).
Vous devez aussi éviter d'utiliser les caractères suivants : _ (trait de soulignement), % (signe du pourcentage), ^ (caret) et * (astérisque).
Si vous voulez que seules des ressources sélectionnées fassent l'objet d'accès lors de l'exécution du scannage, sélectionnez l'option Restreindre les ressources cible.
Si vous voulez que la résolution d'une violation entraîne le rescannage immédiat de l'utilisateur, sélectionnez l'option Autorisation de nouveaux scannages de violations.
Si la stratégie d'audit ne restreint pas les ressources, toutes les ressources pour lesquelles un utilisateur a des comptes feront l'objet d'accès pendant le scannage. Si les règles n'utilisent que quelques ressources, il est plus efficace de restreindre la stratégie à ces ressources.
Cliquez sur Suivant pour passer à la page suivante.
Utilisez cette page pour lancer le processus consistant à définir ou inclure des règles dans votre stratégie (le gros du travail quand vous créez une stratégie consiste justement à définir et créer des règles).
Comme indiqué sur la figure suivante, vous pouvez choisir de créer votre propre règle en utilisant l'Assistant Règle d'Identity Manager ou d'incorporer une règle existante. L'Assistant Règle ne permet d'utiliser qu'une ressource dans une règle tandis que les règles importées peuvent en référencer autant que nécessaire.
Décidez si créer une nouvelle règle ou utiliser une règle existante.
Choisissez l'une des options suivantes :
Pour créer une nouvelle règle, choisissez l'option Assistant Règle (paramètre par défaut).
Pour incorporer une règle existante que vous avez créée en utilisant l'Identity Manager IDE, choisissez l'option Règle existante.
Cliquez sur Suivant.
Selon la sélection effectuée à l'étape 1, continuez par l'une ou l'autre des sections suivantes :
Si vous avez sélectionné Assistant Règle, allez à la section Pour utiliser l'Assistant Règle pour créer une nouvelle règle et suivez les instructions fournies.
Si vous avez sélectionné Règle existante, allez à la section Pour sélectionner une règle existante et suivez les instructions fournies.
Pour inclure une règle existante dans la nouvelle stratégie, sélectionnez Règle existante sur l'écran Sélectionnez un type de règle puis cliquez sur Suivant. Sélectionnez ensuite une règle de stratégie d'audit existante dans le menu déroulant Sélectionner une règle existante.
Si vous ne voyez pas le nom d'une règle que vous avez importée au préalable dans Identity Manager, vérifiez si vous avez bien ajouté à cette règle les attributs supplémentaires décrits dans Création d'une stratégie avec les règles de stratégie d'audit.
Cliquez sur Suivant.
Allez directement à la section Ajout de règles.
Si vous choisissez de créer une règle en utilisant la sélection Assistant Règle dans l'Assistant Stratégie d'audit, précédez en saisissant les informations requises dans les pages examinées dans les sections suivantes.
Vous pouvez, en option, donner un nom à la nouvelle règle et la décrire. Utilisez cette page pour entrer le texte de la description qui s'affichera à proximité du nom de la règle à chaque fois qu'Identity Manager affichera la règle. Entrez une description concise et claire qui ait un sens pour décrire la règle. Cette description s'affichera dans Identity Manager sur la page Examen de la violation de stratégie.
Par exemple, pour créer une règle identifiant les utilisateurs ayant les deux valeurs d'attribut Oracle ERP responsibilityKey Payable User et Receivable User, vous pouvez entrer le texte suivant dans le champ Description : Identifie les utilisateurs responsables à la fois des comptes fournisseurs et des comptes clients.
Utilisez le champ Commentaires pour indiquer des informations supplémentaires sur la règle.
Utilisez cette page pour sélectionner la ressource que la règle référencera. Toute variable de la règle doit correspondre à un attribut sur cette ressource. Toutes les ressources auxquelles vous avez accès en consultation s'afficheront dans cette liste d'options. Dans cet exemple, Oracle ERP est sélectionné.
La plupart mais pas tous les attributs de chacun des adaptateurs de ressources disponibles sont pris en charge. Pour toute information sur les attributs spécifiques disponibles, voir le guide Sun Identity Manager 8.1 Resources Reference.
Cliquez sur Suivant pour passer à la page suivante.
Cet écran permet d'entrer l'expression de votre nouvelle règle. Cet exemple crée une règle dans laquelle un utilisateur ayant la valeur d'attribut Oracle ERP responsibilityKey Payable User ne peut pas aussi avoir la valeur d'attribut Receivable User.
Sélectionnez un attribut d'utilisateur dans la liste des attributs disponibles. Cet attribut correspondra directement à une variable de règle.
Sélectionnez une condition logique dans la liste. Les conditions valides sont les suivantes : = (égal à ), != (différent de), < (inférieur à ), <= (inférieur ou égal à ), > (supérieur à ), >= (supérieur ou égal à ), is true (est vrai), is null (est null), is not null (non null) et contains (contient). Aux fins de cet exemple, vous pouvez sélectionner contains dans la liste des conditions d'attribut possibles.
Saisissez une valeur pour l'expression. Par exemple, si vous entrez Payable user, vous spécifiez un utilisateur Oracle ERP ayant la valeur Payable user dans l'attribut responsibilityKeys.
(facultatif) Cliquez sur l'un des opérateurs AND (ET) ou OR (OU) pour ajouter une ligne et créer une nouvelle expression.
Cette règle retourne une valeur booléenne. Si les deux instructions sont vraies, la règle de stratégie retourne la valeur TRUE, qui entraîne une violation de stratégie.
Identity Manager ne prend pas en charge le contrôle d'imbrication de règles. De plus, utiliser l'Assistant Stratégie d'audit pour créer des stratégies avec différents opérateurs booléens entre les règles peut produire des résultats imprévisibles car l'ordre d'évaluation n'est pas précisé.
Pour les expressions de règle complexes, créez les règles en utilisant un éditeur XML au lieu d'utiliser l'Assistant Stratégie d'audit. Utiliser un éditeur XML permet d'utiliser l'inversion quand cela est nécessaire afin d'utiliser seulement un unique opérateur booléen entre les règles.
L'exemple de code suivant montre le XML de la règle que vous avez créée dans cet écran :
<Description>Payable User/Receivable User</Description> <RuleArgument name=’resource’ value=’Oracle ERP’> <Comments>Resource specified when audit policy was created.</Comments> <String>Oracle ERP</String> </RuleArgument> <and> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Receivable User</s> </contains> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Payables User</s> </contains> </and> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule> |
Pour supprimer une expression de la règle, sélectionnez la condition d'attribut et cliquez sur Supprimer.
Cliquez sur Suivant pour poursuivre avec l'Assistant Stratégie d'audit. Vous aurez la possibilité d'ajouter davantage de règles soit en ajoutant des règles existantes soit en utilisant de nouveau l'assistant.