Objets Identity Manager

Avoir une idée claire des objets Identity Manager et de la façon dont ils interagissent est capital pour une gestion et un déploiement réussis du système. Ces objets sont les suivants :

• Comptes utilisateur Identity Manager ;

• Rôles Identity Manager ;

• Ressources et groupes de ressources ;

• Organisations et organisations virtuelles ;

• Jonctions d’annuaires ;

• Capacités Identity Manager ;

• Rôles admin ;

• Stratégies Identity Manager ;

• Stratégies d’audit ;

• Relations entre les objets.

---

Remarque –

Lorsque vous nommez des objets Identity Manager, n’utilisez pas les caractères suivants :

’ (apostrophe), .. (point), |(barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (signe du dollar), " (guillemets doubles), \ (barre oblique inverse) ou = (signe égal).

Vous devez également éviter les caractères suivants : _ (trait de soulignement), % (signe du pourcentage), ^ (accent circonflexe) et * (astérisque).

---

Comptes utilisateur Identity Manager

On appelle utilisateur toute personne ayant un compte sur le système Identity Manager. Identity Manager stocke un éventail de données pour chaque utilisateur. Collectivement, ces informations forment l’identité Identity Manager d’un utilisateur.

Les comptes utilisateur Identity Manager :

• permettent aux utilisateurs d’accéder à une ou plusieurs ressources et de gérer les données de compte utilisateur sur ces ressources ;

• se voient assigner des rôles définissant l’accès des utilisateurs aux différentes ressources ;

• font partie d’une organisation, qui détermine comment et par qui ils sont administrés.

La configuration des comptes utilisateur est un processus dynamique. Selon le rôle sélectionné lors de la configuration des comptes, vous devrez fournir des informations plus ou moins spécifiques de la ressource pour créer le compte. Le nombre et le type des ressources associées au rôle assigné déterminent la quantité des informations requises à la création d'un compte.

Les administrateurs sont des utilisateurs jouissant de privilèges supplémentaires leur permettant de gérer les comptes utilisateur, les ressources et d’autres objets et tâches du système Identity Manager. Les administrateurs Identity Manager gèrent les organisations et se voient assigner toute une gamme de capacités à appliquer aux objets de chacune des organisations gérées.

Pour plus d’informations sur les comptes utilisateur, voir le Chapitre 3Gestion des utilisateurs et des comptes. Pour plus d’informations sur les comptes administrateur, voir le Chapitre 6Administration.

Rôles Identity Manager

Un rôle est un objet Identity Manager permettant de regrouper des droits d’accès aux ressources en vue de les assigner efficacement à des utilisateurs. Les rôles sont organisés en quatre types :

• les rôles professionnels,

• les rôles informatiques,

• les applications,

• le matériel.

Les rôles professionnels permettent d’organiser en groupes les droits d’accès dont les personnes effectuant des tâches semblables au sein d’une organisation ont besoin dans l’exercice de leur fonction. En général, les rôles professionnels correspondent aux fonctions professionnelles des utilisateurs.

Les rôles informatiques, les applications et le matériel permettent d’organiser les habilitations de ressources (ou droits d’accès) en groupes. Pour fournir aux utilisateurs l’accès aux ressources, les rôles informatiques, les applications et le matériel sont assignés à des rôles professionnels, ce qui permet aux utilisateurs d’accéder aux ressources dont ils ont besoin dans l’exercice de leur fonction.

Les rôles informatiques, les applications et le matériel peuvent être obligatoires, conditionnels ou optionnels.

• Les rôles obligatoires sont toujours assignés à l’utilisateur.

• Les rôles conditionnels sont associés à des conditions qui doivent être remplies pour pouvoir assigner le rôle en question.

• Les rôles optionnels peuvent être demandés séparément et, sous réserve d’approbation, assignés à l’utilisateur.

Les rôles pouvant être conditionnels ou optionnels, des utilisateurs ayant la même description de fonction générale pourront avoir le même rôle professionnel mais des droits d’accès différents. Cette approche permet au concepteur d'un rôle professionnel de définir des droits d'accès génériques aux rôles afin d’assurer la conformité aux réglementations, tout en laissant au responsable de l’utilisateur la liberté d’adapter de manière plus précise les droits d’accès de l’utilisateur. Avec une telle approche, il devient inutile de définir un nouveau rôle professionnel à chaque permutation des besoins d’accès dans l’entreprise, problème connu sous le nom d’explosion des rôles.

Un utilisateur peut se voir attribuer un, plusieurs ou aucun rôles.

---

Remarque –

Pour plus d’informations sur les rôles, voir la section Comprendre et gérer les rôles.

---

Ressources et groupes de ressources

Identity Manager stocke des informations sur la procédure de connexion à un système ou ressource. Identity Manager permet d’accéder aux ressources suivantes :

• Des ressources numériques telles que les suivantes :

  • gestionnaires de sécurité de mainframe,

  • bases de données,

  • services d’annuaires (par ex. LDAP),

  • applications,

  • systèmes d’exploitation,

  • systèmes ERP (par ex. SAP^TM).

• Des ressources non numériques ou externes qui sont externes à Identity Manager, telles que les suivantes :

  • téléphones portables,

  • ordinateurs de bureau,

  • ordinateurs portables,

  • badges de sécurité.

Chaque ressource Identity Manager stocke des les types d'informations suivants :

• paramètres des ressources,

• paramètres d’Identity Manager,

• informations des comptes (attributs de compte et modèle d’identité compris).

Il existe deux manières d’assigner des ressources aux utilisateurs. Une ressource peut être assignée directement à un utilisateur (on parle alors d’assignation individuelle ou directe) ou être assignée à un rôle qui sera à son tour assigné à un utilisateur (on parle alors d’assignation basée sur le rôle ou indirecte).

• Assignation individuelle. Des ressources individuelles sont assignées directement aux comptes utilisateur.

• Assignation basée sur le rôle. Une ou plusieurs ressources sont assignées à un rôle (une application, du matériel ou un rôle informatique). Les rôles (application, matériel ou rôle informatique) sont ensuite assignés à un rôle professionnel. Enfin, un ou plusieurs rôles professionnels sont assignés à un compte utilisateur.

Un objet Identity Manager connexe, un groupe de ressources, peut être assigné aux comptes utilisateur de la même façon que les ressources. Les groupes de ressources corrèlent les ressources vous permettant de créer des comptes sur des ressources dans un ordre spécifique. Ils simplifient aussi le processus d’assignation de ressources multiples aux comptes utilisateur.

Pour plus d’informations sur les groupes de ressources, voir la section Groupes de ressources.

Organisations et organisations virtuelles

Les organisations sont les conteneurs Identity Manager utilisés pour activer la délégation administrative. Elles définissent l’étendue des entités gérées ou contrôlées par un administrateur Identity Manager.

Les organisations peuvent aussi représenter des liens directs vers des ressources basées dans un annuaire. Elles sont alors qualifiées d'organisations virtuelles. Les organisations virtuelles permettent de gérer directement les données des ressources sans charger les informations dans le référentiel d’Identity Manager. En reflétant les membres et la structure d’un annuaire existant par le biais d’une organisation virtuelle, Identity Manager élimine les tâches de configuration doubles et laborieuses.

Les organisations qui contiennent d’autres organisations sont des organisations parentes. Vous pouvez créer des organisations au sein d’une structure plate ou les organiser dans une hiérarchie. La hiérarchie peut représenter des services, des zones géographiques ou d’autres divisions logiques au moyen desquelles vous gérez les comptes utilisateur.

Pour plus d’informations sur les organisations, voir la section Comprendre les organisations d'Identity Manager.

Jonctions d’annuaires

Une jonction d’annuaires est un ensemble d’organisations reliées hiérarchiquement qui reflète le jeu courant de conteneurs hiérarchiques d’une ressource d’annuaire. Une ressource d’annuaire est une ressource qui emploie un espace de noms hiérarchique à travers l’utilisation de conteneurs hiérarchiques. Les serveurs LDAP et les ressources de Windows Active Directory sont des exemples de ressources d’annuaire.

Toute organisation contenue dans une jonction d’annuaires est une organisation virtuelle. L’organisation virtuelle supérieure d’une jonction d’annuaires est un miroir du conteneur représentant le contexte de base défini dans la ressource. Les organisations virtuelles restantes d’une jonction d’annuaires sont les enfants directs ou indirects de l’organisation virtuelle supérieure et reflètent également l’un des conteneurs de ressources d’annuaire enfants du conteneur de contexte de base de la ressource définie.

Vous pouvez rendre les utilisateurs Identity Manager membres d’une organisation virtuelle ou les mettre à disposition de celle-ci de la même façon qu’une organisation.

Pour plus d’informations sur les jonctions d’annuaires, voir la section Comprendre les jonctions d'annuaires et les organisations virtuelles.

Capacités Identity Manager

Tout utilisateur peut se voir assigner des capacités, ou groupes de droits, lui permettant d’effectuer des actions administratives par le biais d’Identity Manager. Les capacités permettent à l’utilisateur administratif d’effectuer certaines tâches dans le système et d’agir sur les objets Identity Manager.

En règle générale, vous assignez les capacités en fonction de responsabilités professionnelles spécifiques telles que les réinitialisations de mot de passe ou les approbations de compte. En assignant des capacités et des droits aux utilisateurs individuels, vous créez une structure administrative hiérarchique qui fournit un accès et des privilèges ciblés sans compromettre la protection des données.

Identity Manager fournit un ensemble de capacités par défaut pour les fonctions administratives courantes. Vous pouvez également créer et assigner des capacités satisfaisant vos besoins spécifiques.

Pour plus d’informations sur les capacités, voir la section Comprendre et gérer les capacités.

Rôles admin

Les rôles admin d’Identity Manager permettent de définir un ensemble unique de capacités pour chacun des ensembles d’organisations gérés par un utilisateur administratif. Un rôle admin se voit assigner des capacités et des organisations contrôlées, qui peuvent ensuite être assignées à un utilisateur administratif.

Les capacités et les organisations contrôlées peuvent être assignées directement à un rôle admin mais peuvent aussi l'être indirectement (dynamiquement) à chaque fois que l’utilisateur administratif se connecte à Identity Manager. Les règles d’Identity Manager contrôlent l’assignation dynamique.

Pour plus d’informations sur les rôles admin, voir la section Comprendre et gérer les rôles admin.

Stratégies Identity Manager

Les stratégies définissent des limites pour les utilisateurs d’Identity Manager en établissant des contraintes s'appliquant aux caractéristiques des ID de compte, connexions et mots de passe. Les stratégies de compte du système d’identité fixent les options et contraintes s'appliquant aux utilisateurs, mots de passe et stratégies d’authentification. Les stratégies de mot de passe et d’ID de compte de ressources définissent les règles de longueur et de type de caractères, les mots et les valeurs d’attributs autorisés. Une stratégie·de dictionnaire permet à Identity Auditor de vérifier en confrontant les mots de passe à une base de données de mots, s'ils sont protégés contre les attaques de dictionnaire simples.

Pour plus d’informations sur les stratégies, voir la section Définition des stratégies.

Stratégies d’audit

Se distinguant des autres stratégies système, une stratégie d’audit définit une violation de stratégie pour un groupe d’utilisateurs d’une ressource spécifique. Les stratégies d’audit permettent d’établir une ou plusieurs règles à travers lesquelles les utilisateurs sont évaluées afin de détecter d’éventuelles violations de conformité. Ces règles dépendent de conditions reposant sur un ou plusieurs attributs définis par une ressource. Lorsque le système scanne un utilisateur, il utilise les critères définis dans les stratégies d’audit assignées à ce dernier pour déterminer si des violations de compatibilité se sont produites.

Pour plus d’informations sur les stratégies d’audit, voir la section À propos des stratégies d'audit.

Relations entre les objets

Le tableau ci-dessous donne un aperçu rapide des objets Identity Manager et de leurs relations.

Tableau 1–1 Relations des objets Identity Manager

Objet Identity Manager	Définition	Cas d’emploi
Compte utilisateur	Compte sur Identity Manager et sur une ou plusieurs ressources. Les données de l’utilisateur peuvent être chargées dans Identity Manager à partir des ressources.  Une classe spéciale d’utilisateurs, les administrateurs Identity Manager, ont des privilèges étendus.	Rôle. En règle générale, tout compte utilisateur se voit assigner un ou plusieurs rôles. Organisation. Les comptes utilisateur sont classés de manière hiérarchique comme faisant partie d’une organisation. Les administrateurs Identity Manager gèrent en outre les organisations. Ressource. Des ressources individuelles peuvent être assignées aux comptes utilisateur. Capacité. Les administrateurs se voient assigner des capacités pour les organisations qu’ils gèrent.
Rôle	Les rôles professionnels organisent en groupes les droits d’accès dont les personnes effectuant des tâches semblables au sein d’une organisation ont besoin dans l’exercice de leurs fonctions. Les rôles informatiques et Application regroupent des ressources, ce qui permet d’assigner ces dernières aux utilisateurs par le biais de rôles professionnels. L’assignation de ressources basée sur le rôle simplifie la gestion des ressources dans les organisations de grande taille.	Ressources et groupes de ressources. Les ressources et les groupes de ressources sont assignés au rôles informatique, Application et Matériel. Compte utilisateur Les comptes utilisateur présentant des caractéristiques similaires sont assignés à des rôles professionnels. Les rôles informatique, Application et Matériel sont assignés aux rôles professionnels.
Ressource	Stocke les informations relatives à un système, une application ou une autre ressource sur laquelle les comptes sont gérés.	Rôle. Les ressources sont assignées aux rôles informatiques et Application, qui à leur tour sont assignés aux rôles professionnels. Un compte utilisateur « hérite » librement de l’accès aux ressources des assignations de son rôle professionnel. Compte utilisateur. Les ressources peuvent être assignées individuellement aux comptes utilisateur.
Groupe de ressources	Groupe ordonné de ressources.	Rôle. Les groupes de ressources sont assignés à des rôles ; un compte utilisateur « hérite » de l’accès aux ressources des assignations de son rôle professionnel. Compte utilisateur Les groupes de ressources peuvent être assignés directement aux comptes utilisateur.
Organisation	Définit l’étendue des entités gérées par un administrateur ; hiérarchique.	Ressource. Les administrateurs d’une organisation donnée peuvent accéder à tout ou partie des ressources. Administrateur. Les organisations sont gérées (contrôlées) par les utilisateurs jouissant de privilèges administratifs. Les administrateurs peuvent gérer une ou plusieurs organisations. Les privilèges administratifs dans une organisation donnée sont transmis aux organisations enfants de cette dernière. Compte utilisateur. Chaque compte utilisateur peut être assigné à une organisation Identity Manager et une ou plusieurs organisations d’annuaire.
Jonction d’annuaires	Ensemble d’organisations reliées hiérarchiquement qui reflète l’ensemble de conteneurs hiérarchiques effectif d’une ressource d’annuaire.	Organisation. Toute organisation contenue dans une jonction d’annuaires est une organisation virtuelle.
Rôle admin	Définit un ensemble unique de capacités pour chaque ensemble d’organisations assigné à un administrateur.	Administrateur. Les rôles admin sont assignés aux administrateurs. Capacités et organisations Les capacités et les organisations sont assignées, directement ou indirectement (dynamiquement) aux rôles admin.
Capacité	Définit un groupe de droits système.	Administrateur. Les capacités sont assignées aux administrateurs.
Stratégie	Établit les limites applicables aux mots de passe et à l’authentification.	Compte utilisateur Les stratégies sont assignées aux comptes utilisateur. Organisation. Les stratégies sont assignées à ou héritées par les organisations.
Stratégie d’audit	Définit les règles permettant d’évaluer les utilisateurs pour détecter les violations de compatibilité.	Compte utilisateur Les stratégies d’audit sont assignées aux comptes utilisateur. Organisation. Les stratégies d’audit sont assignées aux organisations.