Création d'une requête

Une requête sur attributs peut rechercher des objets Utilisateur ou Rôle. La requête peut être extrêmement complexe, en permettant à son auteur de sélectionner une ou plusieurs conditions d'attribut sur des types de données connexes. Les requêtes sur attributs d'utilisateur peuvent rechercher des attributs avec les types de données User (Utilisateur), Account (Compte), ResourceAccount (Compte de ressource), Role (Rôle), Entitlement (Habilitation) et WorkItem (Élément de travail). Les requêtes sur attributs de rôle peuvent rechercher des attributs avec les types de données Role (Rôle), User (Utilisateur) et WorkItem (Élément de travail).

Au sein d'un même type de données, toutes les conditions d'attribut sont logiquement liées par l'opérateur ET, ce qui signifie que toutes les conditions doivent être remplies pour permettre une correspondance. Par défaut, toutes les correspondances sont liées par l'opérateur ET tous types de données confondus, mais si vous sélectionnez la case à cocher Utiliser OR, les correspondances de types de données divers sont reliées par un OU logique.

L'entrepôt peut contenir plusieurs enregistrements pour un même objet Utilisateur ou Rôle, de sorte qu'une unique requête peut retourner plusieurs correspondances pour le même utilisateur ou rôle. Pour faciliter la différenciation des correspondances, chaque type de données peut être limité à une période de façon à ne prendre en compte que les enregistrements entrant dans la période spécifiée. Chaque type de données connexe peut être limité à une période en permettant, ce qui permet d'émettre une requête de la forme suivante :

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

Plage de dates de minuit à minuit. Par exemple, du 3 mai 2007 au 5 mai 2007, soit 48 heures. Les enregistrements du 5 mai 2007 ne seront pas inclus.

Les opérandes (valeurs à comparer à) pour chaque condition d'attribut doivent être indiqués dans la définition de la requête. Le schéma limite certains attributs à un ensemble limité de valeurs potentielles tandis que d'autres n'ont pas de restrictions. Par exemple, la plupart des champs de date doivent être entrés au format AAAA-MM-JJ HH:mm:ss.

Compte tenu de la quantité des données contenues dans l'entrepôt et de la complexité de la requête, il faut parfois attendre longtemps pour obtenir les résultats. Si vous naviguez en vous éloignant de la page de la requête alors qu'une requête sur attributs est en cours, vous ne pourrez pas voir les résultats de la requête.

Pour créer une requête sur attributs

1. Dans l'interface administrateur, cliquez sur Conformité dans le menu principal.

   La page Stratégies d’audit (onglet Gérer les stratégies) s'ouvre.

2. Cliquez sur l'onglet secondaire Requête sur attributs.

   La page Rechercher dans l’entrepôt de données s'ouvre.

   Figure 16–5 Rechercher dans l’entrepôt de données

   
   

3. Sélectionnez si explorer des enregistrements d'utilisateur ou de rôle dans le menu déroulant Type.

4. Sélectionnez la case à cocher Utiliser OR pour qu'Identity Manager lie par un OU logique les résultats de chaque type de données interrogé. Par défaut, le système effectue un ET logique sur les résultats.

5. Sélectionnez un onglet qui représente un type de données qui figurera dans la requête sur attributs.

   1. Cliquez sur Ajouter une condition. Un ensemble de menus déroulants s'affiche.

   2. Sélectionnez un opérande (condition à contrôler) dans le menu déroulant de gauche et le type de comparaison à effectuer dans celui de droite. Entrez ensuite une chaîne ou un entier à rechercher. La liste des opérandes possibles est définie dans le schéma externe. Pour la description des différents opérandes, reportez-vous à l'aide en ligne.

   3. En option, sélectionnez une plage de dates pour restreindre la portée de la requête.

      Ajoutez les conditions supplémentaires requises au type de données actuellement sélectionné. Répétez cette étape pour tous les types de données qui feront partie de la définition de la requête sur attributs.

6. Parmi les attributs disponibles, sélectionnez ceux que vous souhaitez afficher dans les résultats de la requête sur attributs.

7. Indiquez ensuite une valeur dans le champ Limiter les résultats aux premiers. Lorsque des conditions de plusieurs types de données sont utilisées, la limite est appliquée à la sous-requête pour chaque type et le résultat final est l'intersection de toutes les sous-requêtes. Ainsi, le résultat final peut exclure certains enregistrements à cause de la limite posée sur les sous-requêtes.

8. Cliquez sur Recherche pour exécuter la requête sur attributs immédiatement ou sur Enregistrer la requête pour la réutiliser. Pour toute information sur la réutilisation des requêtes sur attributs, voir Enregistrement d'une requête sur attributs.