Planification d'examens d'accès périodiques (Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1)

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Planification d'examens d'accès périodiques

Un examen d'accès peut être un processus long et laborieux pour toute entreprise. L'examen d'accès périodique d'Identity Manager permet de gagner du temps et de l'argent en automatisant une grande partie du processus. Toutefois, certaines tâches du processus restent chronophages. Par exemple, la recherche des données d'un compte utilisateur parmi des milliers d'utilisateurs peut prendre un temps considérable. L'attestation manuelle des enregistrements peut également prendre beaucoup de temps. Une bonne planification améliore l'efficacité du processus et réduit considérablement les efforts nécessaires.

La planification d'examens d'accès périodiques mérite quelques considérations :

La durée du scannage peut varier considérablement en fonction du nombre d'utilisateurs et des ressources concernées.

Un seul examen d'accès périodique peut prendre un ou plusieurs jours dans une organisation de grande taille et une attestation manuelle peut prendre une ou plusieurs semaines.

Par exemple, pour une organisation comptant 50 000 utilisateurs et dix ressources, un scannage des accès peut prendre approximativement une journée, si on se base sur le calcul suivant :

1 s/ressource * 50K utilisateurs * 10 ressources / 5 connexions simultanées = 28 heures

Si les ressources sont disséminées dans plusieurs régions géographiques, ce temps augmente encore à cause des temps de latence du réseau.
L'utilisation de plusieurs serveurs Identity Manager pour un traitement parallèle des données peut accélérer le processus d'examen des accès.

L'exécution de plusieurs scannages en parallèle est plus efficace quand les ressources ne sont pas communes à tous les scannages. Lors de la définition d'un examen d'accès, vous devez créer plusieurs scannages et limiter les ressources à un ensemble de ressources spécifiques, en utilisant différentes ressources pour chaque scannage. Ensuite, quand vous lancerez la tâche, vous devrez sélectionner plusieurs scannages et programmer leur exécution immédiate.
La personnalisation du flux des travaux d'attestation et des règles vous offre un meilleur contrôle du processus et davantage d'efficacité.

Par exemple, vous pouvez personnaliser la règle de l'Attestateur pour étendre les obligations d'attestation à plusieurs attestateurs. Le processus d'attestation affecte des éléments de travail et envoie les notifications en conséquence.
L'utilisation des Règles de signalisation des attestateurs permet de réduire le temps de réponse pour les demandes d'attestation.

Définissez la règle de signalisation de l’attestateur ou utilisez une règle personnalisée pour configurer une chaîne de signalisation d'attestateurs. Vous devez également spécifier les délais de signalisation.
Bien comprendre le mécanisme des Règles de détermination de l’examen permet un gain de temps en déterminant automatiquement les enregistrements d'habilitation qui nécessitent un examen manuel.
Effectuez une notification groupée des demandes d'attestation pour un scannage en spécifiant un flux de travaux de notification au niveau du scannage.

Réglage des tâches de scannage

Lors d'un processus de scannage, plusieurs threads accèdent à la vue de l'utilisateur, permettant un accès potentiel aux ressources pour lesquelles l'utilisateur possède des comptes. L'accès à cette vue détermine l'évaluation de plusieurs stratégies d'audit et règles qui peut entraîner la création de violations de conformité.

Pour éviter que deux threads n'actualisent simultanément la même vue utilisateur, le processus établit un verrouillage à l'intérieur de la mémoire sur le nom d'utilisateur. Si le verrouillage n'a pas été établi (par défaut) dans un délai de cinq secondes, une erreur est associée au scannage et l'utilisateur est ignoré, ce qui assure ainsi une protection contre les scannages simultanés sur un même groupe d'utilisateurs.

Vous pouvez entrer les valeurs de plusieurs "paramètres réglables" fournis comme arguments de tâche dans la tâche de scannage :

clearUserLocks (Booléenne). Si la condition est "true", tous les verrous utilisateur actuels sont libérés avant le démarrage du scannage.
userLock (nombre entier). Délai d'attente (en millisecondes) lors d'une tentative de verrouillage d'un utilisateur. La valeur par défaut est 5 secondes. Une valeur négative désactive le verrouillage pour ce scannage.
scanDelay (nombre entier). Temps de pause (en millisecondes) entre les distributions des threads de scannage. La valeur par défaut est 0 (pas de pause). Si vous entrez une valeur pour cet argument, le scannage sera plus lent, mais le système sera plus réactif à d'autres opérations.
maxThreads (nombre entier). Nombre de threads simultanés utilisés pour traiter un scannage. La valeur par défaut est 5. Si la réponse des ressources est très lente, l'augmentation de ce chiffre peut accélérer le scannage.

Pour modifier les valeurs de ces paramètres, éditez le formulaire de Définition des tâches correspondant. Pour plus d'informations, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.