test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Création d'un scannage d'accès

ProcedurePour définir le scannage d'examen des accès

  1. Sélectionnez Conformité-> Gérer les scannages d’accès

  2. Cliquez sur Nouveau pour afficher la Création d’un nouveau scannage des accès.

  3. Attribuez un nom au scannage d'accès.

    Remarque –

    Les noms des scannages des accès ne doivent pas contenir les caractères suivants :

    ’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles) et = (signe égal).

    Évitez également d'utiliser ces caractères : _ (soulignement), % (pourcent), ^ (circonflexe) et * (astérisque)

  4. Ajoutez une description compréhensible pour l'identification du scannage ( facultatif).

  5. Activez l'option Habilitations dynamiques pour donner des options supplémentaires aux attestateurs.

    Ces options sont les suivantes :

    • Une attestation en attente peut faire l'objet d'un nouveau scannage immédiat pour actualiser les données d'habilitation et réévaluer le besoin d'une attestation.

    • Une attestation en attente peut être dirigée vers un autre utilisateur pour sa résolution. Après la résolution, les données d'habilitation sont actualisées et réévaluées pour déterminer le besoin d'une attestation.

  6. Spécifiez le Type d’étendue de l’utilisateur (obligatoire).

    Choisissez l'une des options suivantes :

    • Règle Selon la condition de l’attribut. Scanne les utilisateurs en fonction de la règle de Type d’étendue de l’utilisateur sélectionnée.

      Identity Manager fournit les règles par défaut suivantes :

      • Tous les administrateurs,

        Remarque –

        Vous pouvez ajouter des règles définissant l'étendue de l'utilisateur en utilisant Identity Manager IDE Pour toute information sur Identity Manager IDE, allez sur https://identitymanageride.dev.java.net/.

      • Tous mes subordonnés,

      • Tous les non-administrateurs,

      • Mes subordonnés directs,

      • Utilisateur sans responsable.

    • Assigné aux ressources. Scanne tous les utilisateurs qui ont un compte sur une ou plusieurs ressources sélectionnées. Si vous choisissez cette option, la page affiche les Ressources de l’étendue de l’utilisateur, qui permettent de spécifier des ressources.

    • Selon un rôle spécifique. Scanne tous les membres qui ont au moins un rôle, ou tous les rôles, que vous spécifiez.

    • Membres d'organisations. Choisissez cette option pour scanner tous les membres d'une ou plusieurs organisations sélectionnées.

    • Rapports aux responsables. Scanne tous les utilisateurs qui dépendent des responsables sélectionnés. La hiérarchie est déterminée par l'attribut Identity Manager du compte Lighthouse de l'utilisateur.

      Si l'étendue de l'utilisateur est organisation ou responsable, l'option Étendue récursive est disponible. Cette option permet une sélection récursive de l'utilisateur dans la chaîne des membres contrôlés.

  7. Si vous décidez également d'explorer les stratégies d'audit pour détecter les violations lors du scannage d'examen des accès, sélectionnez les stratégies d'audit à appliquer à ce scannage en déplaçant vos sélections de la liste des Stratégies d’audit disponibles à la liste des Stratégies d’audit en cours.

    L'ajout de stratégies d'audit à un scannage d'accès détermine le même comportement que l'exécution d'un scannage d'audit sur le même groupe d'utilisateurs. Toutefois, toute violation détectée par les stratégies d'audit est stockée dans l'enregistrement d'habilitation de l'utilisateur. Cette information peut faciliter l'approbation et le rejet automatique, parce que la règle peut utiliser, comme partie intégrante de sa logique, la présence ou l'absence de violations dans l'enregistrement d'habilitation utilisateur.

  8. Si vous avez scanné les stratégies d'audit lors de l'étape précédente, vous pouvez utiliser l'option Mode de stratégie pour spécifier comment le scannage des accès détermine les stratégies d'audit à exécuter pour un utilisateur donné. Un utilisateur peut avoir des stratégies assignées au niveau utilisateur et/ou au niveau de son organisation. Le comportement de scannage des accès par défaut consiste à appliquer les stratégies pour le scannage des accès uniquement si l'utilisateur n'a pas encore de stratégies assignées.

    1. Appliquer les stratégies sélectionnées et ignorer les autres assignations.

    2. Appliquer les stratégies sélectionnées seulement si l’utilisateur n’a pas encore d’assignations.

    3. Appliquer les stratégies sélectionnées en plus des assignations de l’utilisateur.

  9. (Facultatif) Spécifiez le Propriétaire du processus d’examen. Utilisez cette option pour indiquer un propriétaire de la tâche d'examen des accès en cours de définition. Si un Propriétaire du processus d’examen est spécifié, un attestateur, qui rencontre un conflit potentiel en répondant à une demande d'attestation, peut s'abstenir au lieu d'approuver ou de rejeter une habilitation utilisateur ; dans ce cas, la demande d'attestation est transférée au Propriétaire du processus d’examen. Cliquez sur la boîte de sélection (ellipse) pour rechercher des comptes utilisateur et faire votre sélection.

  10. Suivre la délégation. Sélectionnez cette option pour activer la délégation pour le scannage des accès. Le scannage des accès ne tiendra compte des paramètres de la délégation que si cette option est cochée. Suivre la délégation est activé par défaut.

  11. Restreindre les ressources cible. Sélectionnez cette option pour limiter le scannage aux ressources cible.

    Ce paramètre a un impact direct sur l'efficacité du scannage des accès. Si les ressources cible ne sont pas restreintes, chaque enregistrement d'habilitation utilisateur contiendra les informations de compte pour chacune des ressources auxquelles l'utilisateur est relié. Par conséquent, chaque ressource assignée est interrogée pour chaque utilisateur pendant le scannage. En utilisant cette option pour spécifier un sous-ensemble de ressources, vous pouvez réduire considérablement les temps de traitement d'Identity Manager pour la création d'enregistrements d'habilitation utilisateur.

  12. Exécuter la résolution de violation. Sélectionnez cette option pour activer le flux de travaux de résolution des stratégies d'audit quand une violation est détectée.

    Si cette option est sélectionnée, une violation détectée sur l'une des stratégies d'audit assignées entraînera l'exécution du flux de travaux de résolution des stratégies d'audit respectives.

    Cette option doit normalement être sélectionnée, sauf pour les cas avancés.

  13. Flux de travaux de l’approbation de l’accès. Sélectionnez le flux de travaux d'attestation standard par défaut ou un flux de travaux personnalisé (si disponible).

    Ce flux de travaux s'utilise pour présenter à des attestateurs appropriés l'enregistrement d'habilitation de l'utilisateur pour son examen (selon la règle de l'attestateur). Le flux de travaux des attestations standard par défaut crée un seul élément de travail pour chaque attestateur. Si le scannage des accès spécifie une signalisation, ce flux de travaux doit signaliser les éléments de travail restés trop longtemps en sommeil. Si aucun flux de travaux n'est spécifié, l'attestation de l'utilisateur restera indéfiniment

    en attente.

    Remarque –

    Pour plus d'informations sur la création et l'utilisation des règles Identity Auditor mentionnées dans cette étape et les suivantes, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

  14. Règle de l’attestateur. Sélectionnez la règle d'attestateur par défaut ou sélectionnez une règle d'attestateur personnalisée (si disponible).

    La règle de l'attestateur reçoit l'enregistrement d'habilitation utilisateur en tant qu'entrée et retourne une liste de noms d'attestateurs. Si vous avez sélectionné Suivre la délégation, le scannage des accès transforme la liste des noms en y laissant uniquement les noms des utilisateurs appropriés selon les informations de délégation configurées par chaque utilisateur dans la liste de noms d'origine. Si la délégation d'un utilisateur Identity Manager donne comme résultat un cycle de routine, les informations de délégation sont rejetées tandis que l'élément de travail est envoyé à l'attestateur initial. La règle Default Attestor indique que l'attestateur doit être le responsable (idmManager) de l'utilisateur auquel l'enregistrement d'habilitation se réfère ou bien le Compte Configurateur si l'idmManager de cet utilisateur est null. Si l'attestation doit impliquer des propriétaires de ressources ainsi que des responsables, vous devez utiliser une règle personnalisée.

  15. Règle de signalisation à l’attestateur. Utilisez cette option pour spécifier la règle de signalisation à l'attestateur ou sélectionnez une règle personnalisée (si disponible). Vous pouvez aussi indiquer un délai de signalisation pour cette règle. Le délai de signalisation par défaut est 0 jour.

    Cette règle spécifie la chaîne de signalisation pour un élément de travail qui a franchi le délai de signalisation. La règle de signalisation à l’attestateur par défaut transmet une requête d’attestation au responsable de l’attestateur (idmManager) ou au configurateur si la valeur idmManager de l'attestateur est null.

    Vous pouvez entrer un délai de signalisation en minutes, heures ou jours.

    L'ouvrage contient des informations supplémentaires sur la règle de signalisation à l’attestateur.

  16. Règle de détermination de l’examen. (obligatoire)

    Sélectionnez l'une des règles suivantes pour spécifier comment le processus de scannage déterminera la disposition d'un enregistrement d'habilitation :

    • Reject Changed Users (Rejeter utilisateurs modifiés). Rejette automatiquement l'enregistrement d'habilitation utilisateur s'il diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Sinon, cette règle force l'attestation manuelle et approuve toutes les habilitations utilisateur restées inchangées depuis l'habilitation utilisateur approuvée au préalable. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.

    • Review Changed Users (Examiner utilisateurs modifiés). Cette règle force l'attestation manuelle de tout enregistrement d'habilitation utilisateur si celui-ci diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Approuve toutes les habilitations utilisateur restées inchangées depuis la dernière habilitation utilisateur approuvée. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.

    • Review Everyone (Examiner tous). Cette règle force l'attestation manuelle de tous les enregistrements d'habilitation utilisateur.

    Les règles Reject Changed Users et Review Changed Users comparent l'habilitation utilisateur avec la dernière instance du même scannage des accès dans lequel l'enregistrement d'habilitation avait été approuvé.

    Vous pouvez modifier ce comportement en copiant et en modifiant les règles pour limiter la comparaison à toute partie sélectionnée de la vue de l'utilisateur.

    Cette règle peut retourner les valeurs suivantes :

    • -1. Aucune attestation n'est requise.

    • 0. Rejette automatiquement l'attestation.

    • 1. Attestation manuelle requise.

    • 2. Approuve automatiquement l'attestation.

    • 3. Résout automatiquement l'attestation (résolution automatique).

      Cet ouvrage contient des informations supplémentaires sur la Règle de détermination de l'examen.

  17. Remediator Rule (Règle du solutionneur). Sélectionnez la règle à utiliser pour déterminer la personne devant résoudre l’habilitation d’un utilisateur spécifique dans le cas d’une résolution automatique. Cette règle peut examiner l’habilitation et les violations actuelles de l’utilisateur, et doit renvoyer une liste d'utilisateurs pour la résolution. Si aucun règle n'est spécifiée, aucune résolution n’aura lieu. Le plus souvent, cette règle s'applique quand l'habilitation comporte des violations de conformité.

  18. Règle de formulaire utilisateur de résolution. Sélectionnez une règle à utiliser pour le choix d'un formulaire adapté pour les solutionneurs d'attestation pendant l'édition des utilisateurs. Les solutionneurs peuvent définir leur propre formulaire, qui remplacera celui-ci. Cette règle de formulaire doit être définie si le scannage détecte des données très spécifiques qui correspondent à un formulaire personnalisé.

  19. Flux de travaux de notification.

    Sélectionnez l'une des options suivantes pour spécifier le comportement de la notification pour chaque élément de travail :

    • Aucun. Il s'agit de la valeur par défaut. La sélection de cette option détermine l'envoi à l'attestateur d'un e-mail de notification pour chaque habilitation utilisateur individuelle qu'il doit attester.

    • ScanNotification. La sélection de cette option regroupe les demandes d'attestation dans une même notification. La notification indique le nombre de demandes d'attestation qui ont été assignées au destinataire.

      Si un Propriétaire du processus d’examen a été spécifié dans le scannage des accès, le flux des travaux de ScanNotification enverra une notification au propriétaire du processus d'examen au début et à la fin du scannage. Voir Création d'un scannage d'accès.

      Le flux des travaux ScanNotification utilise le modèle d'e-mail suivant :

      • Avis de début du scannage d’accès

      • Avis de fin du scannage d’accès

      • Avis d’attestation en masse

        Vous pouvez personnaliser le flux des travaux ScanNotification.

  20. Limite des violations. Utilisez cette option pour indiquer le nombre maximum de violations de conformité pouvant être émis par ce scannage avant son abandon. Par défaut, la limite est fixée à 1 000. Si le champ est vide, aucune limite n'est fixée.

    Bien qu'au cours d'un scannage d'audit ou d'un scannage des accès, le nombre des violations de stratégie est généralement faible par rapport au nombre des utilisateurs, le paramétrage de cette valeur peut servir de protection contre l'impact d'une stratégie défectueuse qui augmenterait significativement le nombre des violations. Par exemple, supposons :

    qu'un scannage des accès portant sur 50 000 utilisateurs génère deux ou trois violations par utilisateur : les coûts de résolution pour chaque violation de conformité peuvent avoir des conséquences néfastes sur le système Identity Manager.

  21. Organisations. Sélectionnez les organisations pour lesquelles l'objet de ce scannage d'accès est disponible. Ce champ est obligatoire.

    Cliquez sur Enregistrer pour enregistrer la définition du scannage.