Processus d'attestation

L'Attestation est un processus de certification effectué par un ou plusieurs attestateurs désignés pour confirmer une habilitation utilisateur telle qu'elle se présente à une date donnée. Pendant un examen des accès, l'attestateur (ou les attestateurs) reçoit un e-mail de notification des demandes d'attestation des examens d'accès. Un attestateur peut être un utilisateur Identity Manager, mais ne doit pas nécessairement être un administrateur Identity Manager.

Flux de travail d'attestation

Identity Manager utilise un flux de travail d'attestation qui est lancé quand un scannage d'accès détecte des enregistrements d'habilitation nécessitant un examen. Pour cela, le scannage des accès se base sur les règles définies dans le scannage des accès.

Une règle évaluée par le scannage des accès détermine si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement ou s'il peut être approuvé ou rejeté automatiquement. Si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement, le scannage des accès utilise une deuxième règle pour déterminer quels sont les attestateurs appropriés.

Tout enregistrement d'habilitation utilisateur devant être attesté manuellement est assigné à un flux de travaux, avec un élément de travail par attestateur. Il est possible d'envoyer la notification de ces éléments de travail à l'attestateur en utilisant un flux de travaux ScanNotification regroupant tous les éléments dans une notification, par attestateur et par scannage. La notification sera effectuée par habilitation utilisateur, sauf si le flux de travaux ScanNotification est sélectionné. Un attestateur peut donc recevoir plusieurs notifications par scannage, même en grand nombre, en fonction du nombre d'utilisateurs scannés.

Sécurisation de l'accès aux attestations

Ces options d'autorisation sont relatives aux éléments de travail d'authType RemediationWorkItem.

• Le propriétaire de l'élément de travail.

• Un responsable direct ou indirect du propriétaire de l'élément de travail.

• Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail.

• Les utilisateurs qui ont été validés suite à des contrôles d'authentification.

Par défaut, les contrôles d'autorisations se comportent de l'une des façons suivantes :

• Le propriétaire est l'utilisateur qui tente l'action.

• Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.

• Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les propriétés suivantes du formulaire :

• controlOrg — Les valeurs admises sont true ou false.

• subordinate — Les valeurs admises sont true ou false.

• lastLevel — Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux.

La valeur entière par défaut de lastLevel est -1, indiquant des subordonnés directs et indirects.

Vous pouvez ajouter ou modifier ces options de la façon suivante :

UserForm: AccessApprovalList.

Si vous paramétrez la sécurité sur attestations à des organisations contrôlées, la capacité Attestateur Auditeur est également requise pour modifier d'autres attestations de l'utilisateur.

Attestation déléguée

Par défaut, le flux des travaux de scannage des accès respecte les délégations, pour les éléments de travail de type Attestation d’examen des accès et Résolution de l’examen des accès, créées par les utilisateurs pour les éléments de travail d'attestation et les notifications. L'administrateur des scannages d’accès peut désélectionner l'option Suivre la délégation pour ignorer les paramètres de délégation. Si un attestateur a délégué tous les éléments de travail à un autre utilisateur mais que l'option Suivre la délégation n'est pas paramétrée pour un scannage d'examen des accès, l'attestateur - et pas l'utilisateur à qui les délégations ont été assignées - recevra les notifications des demandes d'attestation et les éléments de travail.