Édition de la configuration principale

Pour éditer des objets Configuration pour une implémentation de Service Provider

1. Dans l'interface administrateur, cliquez sur Service Provider dans le menu.

2. Cliquez sur Éditer la configuration principale.

   La page Configuration de Service Provider s'ouvre.

3. Complétez le formulaire Configuration de Service Provider.

   Utilisez les instructions fournies dans les sections suivantes :

   • Configuration de l'annuaire ;

   • Formulaires utilisateur et stratégie ;

   • Base de données des transactions ;

   • Configuration des configurations des événements suivis ;

   • Index de compte de synchronisation ;

   • Configuration des légendes

Configuration de l'annuaire

Dans la section Configuration du répertoire, indiquez les informations permettant de configurer l'annuaire LDAP et spécifiez les attributs d'Identity Manager pour les utilisateurs de fournisseur de services.

La Figure 17–1 illustre cette zone de la page Configuration de Service Provider, ainsi que la zone Formulaires utilisateur et stratégie qui fait l'objet de la section suivante.

Figure 17–1 Configuration de Service Provider (Annuaire, Formulaires utilisateur et stratégie)

Pour compléter le formulaire Configuration du répertoire

1. Sélectionnez le Service Provider End-User Directory dans la liste.

   Sélectionnez la ressource d'annuaire LDAP où toutes les données utilisateur de Service Provider sont stockées.

2. Saisissez le Nom de l’attribut d’ID de compte.

   Il s'agit du nom de l'attribut de compte LDAP qui contient un identificateur court unique pour le compte. Ce nom est considéré comme le nom de l'utilisateur pour l'authentification et l'accès au compte par l'intermédiaire de l'API. Le nom d'attribut doit être défini dans la carte schématique.

3. Indiquez un Nom de l’attribut de l’organisation IDM.

   Cette option spécifie le nom de l'attribut de compte LDAP qui contient le nom ou l'ID d'une organisation d'Identity Manager à laquelle le compte LDAP appartient. Elle est utilisée pour l’administration déléguée des comptes LDAP. Le nom de l’attribut doit être défini dans la carte schématique de la ressource LDAP et correspond au nom de l’attribut système d’Identity Manager (le nom figurant dans la partie gauche de la carte schématique).

   ---

   Remarque –

   Spécifiez le Nom de l’attribut de l’organisation Identity Manager (et Le nom de l’attribut de l’organisation IDM contient l’ID, si nécessaire) si vous voulez activer l'administration déléguée par le biais de l'autorisation de l'organisation.

   ---

4. Si vous choisissez de sélectionner Le nom de l’attribut de l’organisation IDM contient l’ID, activez cette option.

   Sélectionnez cette option si l’attribut de ressource LDAP qui fait référence à l’organisation d'Identity Manager à laquelle le compte LDAP appartient contient l’ID de l’organisation Identity Manager et non pas son nom.

5. Si vous choisissez de sélectionner Compresser l’XML de l’utilisateur, activez cette option.

   Sélectionnez cette option, si vous choisissez de compresser l’XML de l’utilisateur stocké dans l'annuaire.

6. Cliquez sur Tester la configuration de l’annuaire pour vérifier les entrées effectuées pour la configuration.

   ---

   Remarque –

   Vous pouvez tester les configurations d'annuaire, de transaction et d'audit en fonction de vos besoins. Pour les tester complètement toutes les trois, cliquez sur tous les boutons de test de configuration.

   ---

Formulaires utilisateur et stratégie

Dans la zone Formulaires utilisateur et stratégie, illustrée à la Figure 17–1 ci-dessus, indiquez les formulaires et les stratégies à utiliser pour la gestion des utilisateurs de fournisseur de services.

Pour spécifier des formulaires et des stratégies pour la gestion des utilisateurs de Service Provider

1. Sélectionnez le Formulaire utilisateur final dans la liste.

   Ce formulaire est utilisé partout sauf sur les pages Administrateur délégué et au cours de la synchronisation. Si la valeur Aucun est sélectionnée, aucun formulaire utilisateur par défaut n'est utilisé.

2. Sélectionnez le Formulaire administrateur dans la liste.

   Il s'agit du formulaire utilisateur par défaut qui est utilisé dans les contextes Administrateur. Cela inclut les pages d'édition des comptes Service Provider. Si la valeur Aucun est sélectionnée, aucun formulaire utilisateur par défaut n'est utilisé.

   ---

   Remarque –

   Si vous ne choisissez pas de Formulaire administrateur, les administrateurs seront dans l'impossibilité de créer ou d'éditer des utilisateurs de Service Provider depuis Identity Manager.

   ---

3. Sélectionnez un Formulaire utilisateur de synchronisation dans la liste.

   Le Formulaire utilisateur de synchronisation est le formulaire par défaut utilisé si aucun formulaire n'est spécifié pour une ressource exécutant la synchronisation de Service Provider. Si un formulaire d'entrée est spécifié dans la stratégie de synchronisation d'une ressource, c'est ce dernier qui sera utilisé. Les ressources nécessitent généralement des formulaires d’entrée de synchronisation différents. Dans ce cas, vous devez définir le formulaire utilisateur de synchronisation sur chaque ressource au lieu d’en sélectionner un dans la liste.

4. Sélectionnez une Stratégie de compte dans la liste.

   Les choix incluent toute stratégie de compte d'identité définie par le biais de Configurer > Stratégies.

5. Sélectionnez une Règle Le compte est-il verrouillé dans la liste.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de déterminer si un compte est verrouillé.

6. Sélectionnez une Règle Verrouiller le compte.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de définir les attributs, dans la vue, qui sont à l'origine du verrouillage du compte.

7. Sélectionnez une Règle Déverrouiller le compte.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de définir les attributs, dans la vue, qui sont à l'origine du déverrouillage du compte.

Base de données des transactions

Utilisez cette section de la page Configuration de Service Provider, illustrée à la Figure 17–2, pour configurer une base de données de transactions. Ces options ne sont requises que lorsque vous utilisez le magasin de transactions persistant de JDBC. Vous devez redémarrer le serveur pour que les changements apportés aux valeurs soient appliqués.

La table de la base de données destinée aux transactions doit être configurée conformément au schéma figurant dans les scripts de LDD create_spe_tables (situés dans le répertoire sample de votre installation d'Identity Manager ). Il peut s'avérer nécessaire de personnaliser le script approprié en fonction de l'environnement cible.

Figure 17–2 Configuration de Service Provider (Base de données des transactions)

Pour configurer une base de données des transactions

1. Entrez les informations de base de données suivantes :

   • Classe de pilote. Spécifiez le nom de classe du pilote JDBC.

   • Préfixe du pilote. Ce champ est optionnel. Si ce champ est renseigné, le gestionnaire de pilote JDBC est interrogé avant l'enregistrement d'un nouveau pilote.

   • Modèle d’URL de connexion. Ce champ est optionnel. Si ce champ est renseigné, le gestionnaire de pilote JDBC est interrogé avant l'enregistrement d'un nouveau pilote.

   • Hôte. Entrez le nom de l’hôte sur lequel la base de données est exécutée.

   • Port. Saisissez le numéro de port sur lequel le serveur de base de données écoute.

   • Nom de la base de données. Entrez le nom de la base de données à utiliser.

   • Nom de l’utilisateur. Saisissez l’ID d’un utilisateur de la base de données autorisé à lire, mettre à jour et supprimer des lignes dans les tables de transactions et d’audit de la base de données sélectionnée.

   • Mot de passe. Saisissez le mot de passe de l'utilisateur de base de données.

   • Tableau des transactions. Entrez le nom de la table de la base de données sélectionnée à utiliser pour le stockage des transactions en attente.

2. Le cas échéant, cliquez sur Tester la configuration des transactions pour vérifier vos entrées.

   Passez à la section suivante de la page Configuration de Service Provider pour configurer les événements suivis.

Configuration des configurations des événements suivis

Lorsqu'il est activé, la récupération des événements permet de suivre les statistiques en temps réel pour faciliter la mise à jour des niveaux de services attendus et concordés. La récupération des événements est activé par défaut comme illustré à la Figure 17–3. Désélectionner la case à cocher Activer la récupération des événements désactive la récupération.

Figure 17–3 Configuration de Service Provider Configuration (Configuration des événements suivis, index de compte et légendes)

Pour spécifier un fuseau horaire et des intervalles de récupération pour les événements suivis de Service Provider

1. Sélectionnez le Fuseau horaire dans la liste.

   Sélectionnez le fuseau horaire à utiliser lors de l'enregistrement des événements suivis ou sélectionnez Définir sur la valeur par défaut du serveur pour utiliser le fuseau horaire défini sur le serveur.

2. Sélectionnez les options Périodes de récupération.

   Les opérations de récupération sont regroupées en fonction des intervalles de temps suivants : toutes les 10 secondes, toutes les minutes, toutes les heures, tous les jours, toutes les semaines et tous les mois. Désactivez les intervalles auxquelles vous ne voulez pas que la récupération ait lieu.

Index de compte de synchronisation

Lorsque vous synchronisez des ressources dans une implémentation Service Provider, il peut être nécessaire de définir des index de compte pour corréler correctement les événements envoyés par la ressource aux utilisateurs dans l'annuaire de Service Provider.

Par défaut, les événements de ressource doivent contenir pour l'attribut accountId une valeur qui correspond à l'attribut accountId contenu dans l'annuaire. Dans certaines ressources, l'ID de compte n'est pas envoyé de manière cohérente. Par exemple, les événements de suppression d'ActiveDirectory ne contiennent que le GUID de compte généré par ActiveDirectory.

Les ressources qui n'incluent pas l'attribut accountId doivent inclure une valeur pour l'un ou l'autre des attributs suivants.

• guid. Cet attribut contient normalement un identificateur unique généré par le système.

• identity. Cet attribut est normalement le même qu'accountId pour toutes les ressources à l'exception des ressources LDAP où identity contient le DN complet de l'objet.

Si vous devez effectuer une corrélation en utilisant guid ou identity, vous devez définir un index de compte pour ces attributs. Un index est simplement la sélection de un ou plusieurs attributs d'utilisateur d'annuaire pouvant être utilisés pour stocker des identités spécifiques des ressources. Une fois les identités stockées dans l'annuaire, elles peuvent être utilisées dans les filtres de recherche pour corréler les événements de synchronisation.

Pour définir des index de compte, commencez par déterminer les ressources qui seront utilisées pour la synchronisation et celles de celles-ci qui requièrent un index. Éditez ensuite la définition Resource pour l'annuaire Service Provider et ajoutez les attributs dans la carte schématique pour les attributs GUID ou identity pour chacune des ressources Active Sync. Par exemple, si vous effectuez une synchronisation depuis ActiveDirectory, vous pouvez définir un attribut nommé AD-GUID mappé vers un attribut d'annuaire inutilisé tel que manager.

Pour définir des attributs d'index pour une ressource

Après avoir défini tous les attributs d'index dans la ressource Service Provider. effectuez les étapes suivantes :

1. Dans la zone Index de compte de synchronisation de la page de configuration, cliquez sur le bouton Nouvel index.

   Le formulaire s'étend pour contenir un champ de sélection de ressource, suivi de deux champs de sélection d'attributs. Les champs de sélection d'attributs restent vides jusqu'à ce qu'une ressource soit sélectionnée.

2. Sélectionnez une ressource dans la liste.

   Les champs de sélection d'attributs contiennent maintenant les valeurs définies dans la carte schématique pour la ressource sélectionnée.

3. Sélectionnez l'attribut d'index approprié pour l'Attribut GUID ou l'Attribut d’identité complet.

   Il est en général inutile de les définir tous les deux. Si ces deux attributs sont définis, le logiciel tente d'abord une corrélation en utilisant GUID puis utilise l'identité complète.

4. Vous pouvez cliquer de nouveau sur Nouvel index pour définir les attributs d'index pour d'autres ressources.

5. Pour supprimer un index, cliquez sur le bouton Supprimer à droite du champ de sélection Ressource.

   Supprimer un index supprime uniquement cet index de la configuration, cela ne modifie pas tous les utilisateurs d'annuaire existants pouvant avoir des valeurs stockées dans les attributs d'index.

   ---

   Remarque –

   Supprimer un index supprime uniquement cet index de la configuration, cela ne modifie pas tous les utilisateurs d'annuaire existants pouvant avoir des valeurs stockées dans les attributs d'index.

   ---

Configuration des légendes

Sélectionnez cette option dans la section Configuration des légendes pour activer les légendes. Lorsque les légendes sont activées, les mappages des légendes s'affichent vous permettant de sélectionner des options pré-opération et post-opération pour chaque type de transaction listé.

Par défaut, les options pré- et post-opération sont définies sur Aucun(e).

Si vous spécifiez les légendes post-opération, utilisez l'option Attendre la légende post-opération pour spécifier que la transaction doit attendre que le traitement de la légende post-opération soit complet pour se terminer. Ainsi, toute transaction dépendante ne sera exécutée qu'après la réussite de la légende post-opération.

Après avoir complété vos sélections pour toutes les sections sur la page Configuration de Service Provider, cliquez sur Enregistrer pour compléter la configuration.