Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Vue d’ensemble

Les entreprises d’aujourd’hui ont besoin de services TI toujours plus souples et riches sur le plan fonctionnel. Historiquement, la gestion de l’accès aux informations de l’entreprise et aux systèmes nécessitait une interaction directe avec un nombre limité de comptes. Aujourd’hui, gérer l’accès signifie gérer des nombres grandissants de clients internes mais aussi de partenaires et de clients externes à l’entreprise.

La surcharge créée par ce besoin d’accès accru peut être considérable. En tant qu’administrateur, vous devez permettre efficacement et de manière sécurisée aux personnes, que celles-ci soient internes ou externes à l’entreprise, de faire leur travail. Après avoir fourni l’accès initial, vous devez faire face à des défis précis et continus tels que les mots de passe oubliés, les changements de rôle et l’évolution des relations interentreprises.

De plus, les entreprises doivent aujourd’hui satisfaire des exigences très strictes concernant la gestion de la sécurité et de l’intégrité des informations commerciales critiques. Dans un environnement régi par la législation sur la conformité (la Loi Sarbanes-Oxley (SOX), l’Health Insurance Portability and Accountability Act (HIPAA) et la Loi Gramm-Leach-Bliley (GLB) pour ne citer que quelques exemples), la surcharge associée aux activités de contrôle et de génération de rapports est conséquente et coûteuse. Vous devez être en mesure de répondre rapidement aux changements en matière de contrôle d’accès tout en satisfaisant les exigences de collecte de données et de génération de rapports qui contribuent à assurer la sécurité de l’entreprise.

Identity Manager a été spécifiquement développé pour vous aider à gérer ces enjeux administratifs dans un environnement dynamique. En utilisant Identity Manager pour distribuer la surcharge de travail due à la gestion des accès et alléger le fardeau que constitue la conformité, vous disposez d’une solution permettant de répondre aux principaux problèmes auxquels vous serez confronté : Comment définir l’accès ? et L’accès défini, comment maintenir la souplesse et le contrôle ?

Sa conception à la fois souple et sécurisée permet de configurer Identity Manager en l’adaptant à la structure de votre entreprise et de répondre à ces problèmes. Mapper les objets Identity Manager aux entités que vous gérez (les utilisateurs et les ressources) permet d’accroître considérablement l’efficacité de votre travail.

Dans un environnement de fournisseur de services, Identity Manager étend ces capacités à la gestion des utilisateurs de l’extranet.

Objectifs du système Identity Manager

La solution Identity Manager permet d’atteindre les objectifs suivants :

Gérer l’accès des comptes à toute une variété de systèmes et ressources.
Gérer de manière sécurisée des informations de compte dynamiques pour toute la gamme des comptes de chaque utilisateur.
Configurer des droits délégués pour créer et gérer les données des comptes utilisateur.
Manipuler de grands nombres de ressources d’entreprise, ainsi qu’un nombre croissant de clients de l’extranet et de partenaires.
Autoriser de manière sécurisée l’accès des utilisateurs aux systèmes d’information de l’entreprise. Avec Identity Manager, vous disposez de fonctionnalités entièrement intégrées permettant d’accorder, gérer et révoquer les privilèges d’accès pour les organisations internes et externes.
Conserver les données synchronisées, en ne conservant pas les données. La solution Identity Manager prend en charge les deux principes-clés suivants que tout outil de gestion de système supérieur se doit de respecter :
- Un produit doit avoir un impact minimal sur le système qu’il gère.
- Un produit ne doit pas augmenter la complexité dans l’entreprise en ajoutant une ressource à gérer.
Définir des stratégies d’audit pour gérer la conformité avec les privilèges d’accès des utilisateurs et gérer les violations au travers d’actions de résolution et d’alertes par e-mail automatisées.
Effectuer des examens d’accès et définir des procédures d’examen d’attestation et d’approbation qui automatisent le processus de certification des privilèges des utilisateurs.
Contrôler les informations-clés ainsi que les statistiques d'audit et d'examen par le biais du tableau de bord.

Définition de l’accès des utilisateurs aux ressources

Dans votre entreprise étendue, les utilisateurs peuvent être toute personne en relation avec votre entreprise, notamment ses employés, clients, partenaires, fournisseurs ou acquisitions. Dans le système Identity Manager, les utilisateurs sont représentés par des comptes utilisateur.

Selon leur relation avec l’entreprise et avec d’autres entités, les utilisateurs doivent pouvoir avoir accès à différents éléments qui peuvent être des systèmes informatiques, des données stockées dans des bases de données ou des applications informatiques spécifiques. Dans Identity Manager, ces éléments s’appellent des ressources.

Étant donné que les utilisateurs ont souvent une ou plusieurs identités sur chacune des ressources auxquelles ils accèdent, Identity Manager crée une unique identité virtuelle qui mappe vers des ressources variées. Ceci vous permet de gérer les utilisateurs comme une unique entité. Voir Figure 1–1.

Figure 1–1 Relation entre un compte utilisateur Identity Manager et les ressources

Figure illustrant la façon dont une unique identité virtuelle Identity Manager mappe vers plusieurs ressources.

Pour gérer efficacement de grands nombres d’utilisateurs, vous devez pouvoir les regrouper de maintes manières logiques. Dans la plupart des sociétés, les utilisateurs sont regroupés par services fonctionnels ou divisions géographiques. Chacun de ces services a en général besoin de pouvoir accéder à différentes ressources. Dans la terminologie d’Identity Manager, ce type de groupe s’appelle une organisation.

Un autre mode de regroupement consiste à regrouper les utilisateurs présentant des caractéristiques similaires, par exemple des relations avec l’entreprise ou des fonctions identiques. Dans Identity Manager, les regroupements de ce type s’appellent des rôles.

Au sein du système Identity Manager, vous assignez des rôles aux comptes utilisateur pour faciliter l’activation et la désactivation de l’accès aux ressources. L’assignation de comptes aux organisations permet une délégation efficace des responsabilités administratives.

Les utilisateurs d’Identity Manager sont également gérés directement ou indirectement par le biais de l’application de stratégies définissant des règles et les options d’authentification des utilisateurs et de mot de passe.

Comprendre les types d’utilisateurs

Identity Manager propose deux types d’utilisateurs : les utilisateurs Identity Manager et les utilisateurs Service Provider, si vous configurez le système Identity Manager pour une implémentation de type fournisseur de services. Ces types permettent de distinguer les utilisateurs susceptibles d’avoir des exigences de provisioning différentes en fonction de leurs relations avec l’entreprise, par exemple de distinguer les utilisateurs de l’extranet de ceux de l’intranet.

Un exemple typique d’implémentation fournisseur de services est celui d'un fournisseur de services ayant des utilisateurs internes et externes (ses clients) qu’il veut gérer avec Identity Manager. Pour toute information sur la configuration d’une implémentation fournisseur de services, consultez le document Sun Identity Manager Service Provider 8.1 Deployment (Déploiement de Sun Identity Manager Service Provider 8.1).

Vous spécifiez le type d’utilisateurs Identity Manager lorsque vous configurez un compte utilisateur. Pour toute information sur les utilisateurs de fournisseur de services, voir le Chapitre 17Administration de Service Provider

Délégation de l’administration

Pour réussir la distribution de la responsabilité concernant la gestion des identités des utilisateurs, vous avez besoin d’un juste dosage de flexibilité et de contrôle. En accordant à des utilisateurs Identity Manager sélectionnés des privilèges d’administrateur et en déléguant des tâches administratives, vous réduisez votre charge de travail et augmentez l’efficacité en conférant la responsabilité de la gestion des identités à ceux qui connaissent le mieux les besoins des utilisateurs, par exemple le responsable du recrutement. Les utilisateurs qui ont de tels privilèges étendus sont les administrateurs Identity Manager.

La délégation ne fonctionne toutefois que dans le cadre d’un modèle sécurisé. Pour maintenir un niveau de contrôle approprié, Identity Manager permet d’assigner différent niveaux de capacités aux administrateurs. Les capacités autorisent des niveaux d’accès et d’action variés au sein du système.

Le modèle de flux de travaux d’Identity Manager inclut également une méthode permettant d’assurer que certaines actions nécessitent une approbation. En utilisant le flux de travaux, les administrateurs Identity Manager gardent le contrôle des tâches et peuvent en suivre la progression. Pour des informations détaillées sur le flux de travaux, voir le Chapitre 1, Workflow du Sun Identity Manager Deployment Reference.