Chapitre 3 Gestion des utilisateurs et des comptes

Ce chapitre contient les informations et procédures à suivre pour créer et gérer des utilisateurs depuis l'interface administrateur d'Identity Manager.

Il se compose des sections suivantes :

• Zone Comptes de l'interface,

• Création d'utilisateurs et utilisation des comptes utilisateur,

• Actions de compte en masse,

• Gestion de la sécurité des comptes et des privilèges,

• Détection automatique des utilisateurs,

• Inscription anonyme.

Zone Comptes de l'interface

On appelle utilisateur toute personne ayant un compte système Identity Manager. Identity Manager stocke une gamme de données pour chaque utilisateur. Collectivement, ces informations forment l'identité Identity Manager d'un utilisateur.

La page Comptes / Liste des utilisateurs d'Identity Manager permet de gérer les utilisateurs Identity Manager. Pour accéder à cette zone, cliquez sur Comptes sur la barre de menu de l'interface administrateur.

La liste des comptes affiche tous les comptes utilisateur Identity Manager. Les comptes sont regroupés en organisations et organisations virtuelles, lesquelles sont représentées de manière hiérarchique par des dossiers.

Vous pouvez trier la liste des comptes par nom complet (Nom complet), nom de famille d'utilisateur (Nom) ou prénom d'utilisateur (Prénom). Cliquez sur la barre de titre pour effectuer le tri en fonction d'une colonne. Un nouveau clic sur le même titre permet de basculer entre les ordres de tri croissant et décroissant. Lorsque vous effectuez un tri par nom complet (colonne Nom complet), tous les éléments de la hiérarchie, à tous les niveaux, sont triés par ordre alphabétique.

Pour développer l'affichage hiérarchique et voir tous les comptes d'une organisation, cliquez sur l'indicateur en regard du dossier. Un nouveau clic sur cet indicateur permet de réduire l'affichage.

Listes d'actions de la zone Comptes

Utilisez les listes d'actions (situées en haut et en bas de la zone des comptes, comme indiqué dans Listes d'actions de la zone Comptes), pour effectuer tout un éventail d'actions.

Les sélections de listes d'actions sont divisées en :

• Nouvelles actions. Créer des utilisateurs, des organisations et des jonctions d'annuaires.

• Actions de l’utilisateur Éditer, afficher et modifier le statut des utilisateurs ; modifier et réinitialiser les mots de passe ; supprimer, activer, désactiver, déverrouiller, déplacer, mettre à jour et renommer des utilisateurs ; et exécuter un rapport d'audit.

• Actions d’organisation. Effectuer tout un éventail d'actions d'organisation et d'utilisateur.

  

Recherche dans la zone Liste des comptes

La fonctionnalité de recherche de la zone des comptes permet de localiser des utilisateurs et des organisations. Sélectionnez Organisations ou Utilisateurs dans la liste, entrez la ou les premières lettres du nom d'utilisateur/organisation dans la zone de recherche puis cliquez sur Rechercher. Pour plus d'informations sur la fonctionnalité de recherche de la zone des comptes, reportez-vous à Recherche et affichage des comptes utilisateur.

Statut des comptes utilisateur

Les icônes affichées en regard de chaque compte utilisateur en indiquent le statut attribué. Le Tableau 3–1 indique la signification des différentes icônes.

Un nom d'utilisateur de responsable s'affiche entre parenthèses dans la colonne Responsable si Identity Manager ne trouve aucun compte Identity Manager correspondant au nom listé.

Pages relatives aux utilisateurs (Créer/Éditer/Afficher)

Cette section décrit les pages Créer un utilisateur, Éditer l'utilisateur et Afficher l'utilisateur disponibles dans l'interface Administrateur. Les instructions d'utilisation de ces pages figurent plus loin dans ce chapitre.

Cette documentation explique le jeu par défaut de pages Créer un utilisateur, Éditer l'utilisateur et Afficher l'utilisateur fourni avec Identity Manager. Cependant, pour mieux tenir compte des processus de votre entreprise ou de capacités administrateur spécifiques, il vous convient de créer des formulaires utilisateur personnalisés pour votre environnement. Pour plus d'informations sur la personnalisation du formulaire utilisateur, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.

• Onglet Identité

• Onglet Ressources

• Onglet Rôles

• Onglet Sécurité

• Onglet Délégations

• Onglet Attributs

• Onglet Conformité

Les pages utilisateur par défaut d'Identity Manager sont organisées en onglets ou sections comme suit :

• Identité

• Assignations

• Sécurité

• Délégations

• Attributs

• Conformité

Onglet Identité

La zone Identité définit l'ID de compte, le nom, les informations de contact d'un utilisateur ainsi que le mot de passe de son compte Identity Manager. Elle identifie également les ressources auxquelles l'utilisateur a accès ainsi que la stratégie de mot de passe gouvernant chaque compte de ressources.

Pour toute information sur la configuration des stratégies de mot de passe pour les comptes utilisateur, lisez la section Gestion de la sécurité des comptes et des privilèges de ce même chapitre.

La figure suivante illustre la zone Identité de la page Créer un utilisateur.

Figure 3–1 Créer un utilisateur - Identité

Onglet Ressources

La zone Ressources indique les attributions directes de ressources et de groupes de ressources d'un utilisateur. Il est également possible d'assigner des exclusions de ressources.

Les ressources assignées directement complètent les ressources assignées indirectement à l'utilisateur par le biais de l'assignation de rôles. L'assignation de rôles établit un profil pour une classe d'utilisateurs. Les rôles définissent l'accès d'un utilisateur aux ressources par le biais de l'assignation indirecte.

Onglet Rôles

L'onglet Rôles permet d'assigner un ou plusieurs rôles à un utilisateur et de gérer ces assignations de rôles.

Pour plus d'informations sur cet onglet, reportez-vous à Pour assigner des rôles à un utilisateur.

Onglet Sécurité

Dans la terminologie d'Identity Manager, un utilisateur auquel des capacités étendues ont été assignées est un administrateur Identity Manager. L'onglet Sécurité permet d'assigner des privilèges d'administrateur à un utilisateur.

Pour plus d'informations sur l'utilisation de l'onglet Sécurité pour créer des administrateurs, reportez-vous à Création et gestion des administrateurs.

Le formulaire Sécurité se compose des sections suivantes.

• Rôles admin. Assigne un ou plusieurs rôles d'administrateur à l'utilisateur. Un rôle est une association spécifique de capacités et d'organisations contrôlées, qui facilite l'assignation d'obligations administratives aux utilisateurs de manière coordonnée.

• Capacités. Active des droits dans le système Identity Manager. Chaque administrateur Identity Manager se voit attribuer une ou plusieurs capacités, en général alignées sur les responsabilités de son poste.

  Les capacités sont examinées à la section Comprendre et gérer les capacités. Une liste de capacités basées sur des tâches est inclue dans l'Annexe DDéfinitions des capacités, Définitions des capacitésAnnexe DDéfinitions des capacités. Cette annexe répertorie également les onglets et sous-onglets auxquels chaque capacité permet d'accéder.

• Organisations contrôlées. Assigne des organisations que cet utilisateur a le droit de gérer en tant qu'administrateur. Il peut gérer des objets dans l’organisation assignée et dans n’importe quelle organisation se trouvant sous cette organisation dans la hiérarchie.

Pour avoir des capacités d'administrateur, un utilisateur doit se voir assigner au moins un rôle admin ou une ou plusieurs capacités ET une ou plusieurs organisations contrôlées. Pour plus d'informations sur les administrateurs Identity Manager, reportez-vous à Comprendre l'administration d'Identity Manager.

• Formulaire utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour créer et éditer des utilisateurs. Si Aucun(e) est sélectionné, l'administrateur héritera du formulaire utilisateur assigné à son organisation.

• Formulaire d’affichage utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour afficher les utilisateurs. Si Aucun(e) est sélectionné, l'administrateur héritera du formulaire d’affichage utilisateur assigné à son organisation.

• Stratégie de compte. Établit les limites applicables aux mots de passe et à l'authentification.

Onglet Délégations

L'onglet Délégations de la page Créer un utilisateur permet de déléguer des éléments de travail à d'autres utilisateurs pendant un laps de temps donné. Pour plus d'informations sur la délégation des éléments de travail, lisez Délégation des éléments de travail.

Onglet Attributs

L'onglet Attributs de la page Créer un utilisateur définit les attributs de compte associés aux ressources assignées. Les attributs listés sont classés par ressource assignée et diffèrent selon les ressources qui sont assignées.

Onglet Conformité

L'onglet Conformité :

• Permet de sélectionner les formulaires d'attestation et de résolution pour le compte utilisateur.

• Spécifie les stratégies d'audit assignées au compte utilisateur, notamment celles appliquées via l'assignation d'organisation de l'utilisateur. Ces assignations de stratégie peuvent uniquement être modifiées en éditant l'organisation courante de l'utilisateur ou en déplaçant l'utilisateur dans une autre organisation.

• Indique l'état courant des scannages, violations et dispenses de stratégie (comme illustré dans la figure suivante), si applicable pour le compte utilisateur. Les informations incluent la date et l'heure du dernier scannage de stratégie pour l'utilisateur sélectionné.

  

Pour assigner des stratégies d'audit, déplacez les stratégies sélectionnées de la liste Stratégies d’audit disponibles à la liste Stratégies d’audit en cours.

Vous pouvez afficher les violations de conformité consignées pour un utilisateur pendant une période de temps spécifique en sélectionnant Afficher le journal des violations de conformité depuis la liste Actions de l'utilisateur et en spécifiant la plage d'entrées à afficher.

Création d'utilisateurs et utilisation des comptes utilisateur

Vous pouvez effectuer depuis la page Comptes/Liste des utilisateurs de l'interface Administrateur tout un éventail d'actions sur les objets système suivants :

• Administrateurs et utilisateurs Afficher, créer, éditer, déplacer, renommer, suspendre, activer, désactiver, mettre à jour, déverrouiller, supprimer, annuler une assignation, supprimer un lien et vérifier.

  Pour plus d'informations sur la création et l'édition des comptes administrateur, reportez-vous à Comprendre l'administration d'Identity Manager.

• Organisations. Créer, éditer, actualiser et effectuer des actions d'utilisateur sur des membres de l'organisation.

  Pour plus d'informations sur les organisations, reportez-vous à Comprendre les organisations d'Identity Manager.

• Jonctions d’annuaires . Créer un ensemble d'organisations reliées hiérarchiquement pour refléter le jeu courant de conteneurs hiérarchiques d'une ressource d'annuaire.

  Pour plus d'informations sur les jonctions d'annuaires, reportez-vous àComprendre les jonctions d'annuaires et les organisations virtuelles.

Activation des schémas de processus

L'activation des schémas de processus décrit le flux de travaux suivi par Identity Manager quand il crée ou agit de quelque autre manière sur un compte utilisateur. Lorsqu'ils sont activés, les schémas de processus s'affichent sur la page des résultats ou la page de récapitulatif de la tâche qui est créée lorsqu'Identity Manager complète la tâche.

Dans Identity Manager version 8.0, les schémas de processus étaient désactivés tant pour les nouvelles installations que pour les mises à jour.

Pour activer les schémas de processus pour les utiliser dans Identity Manager

1. Ouvrez l'objet Configuration système pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'élément XML suivant :

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. Remplacez la valeur true par la valeur false.

4. Cliquez sur Enregistrer.

5. Redémarrez votre ou vos serveurs pour que le changement soit appliqué.

   Les schémas de processus peuvent également être activés dans l'interface utilisateur final à condition d'avoir été activés au préalable dans l'interface administrateur en suivant les étapes indiquées plus haut. Pour de plus amples détails, voir la section Pour activer les schémas de processus dans l'interface utilisateur final.

Pour créer un utilisateur dans Identity Manager

Vous pouvez créer et gérer des utilisateurs depuis l'onglet Comptes de la barre de menu de l'interface administrateur.

1. Dans l'interface administrateur, cliquez sur Comptes.

2. Pour créer un utilisateur dans une organisation spécifique, sélectionnez cette dernière puis sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.

   Sinon, pour créer un utilisateur dans l'organisation supérieure, sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.

3. Indiquez les informations requises dans les onglets ou sections suivants.

   • Identité. Nom, organisation, mot de passe et autres détails (voir Onglet Identité).

   • Ressources. Assignations de ressources individuelles et groupes de ressources, exclusions de ressources (voir Onglet Ressources).

   • Rôles. Assignations de rôle. Pour plus d'informations sur les rôles, voir la section Comprendre et gérer les rôles. Pour les instructions à suivre pour compléter l'onglet Rôles, reportez-vous à Pour assigner des rôles à un utilisateur.

   • Sécurité. Rôles admin, organisations contrôlées et capacités. Également, paramètres des formulaires utilisateur et stratégie de compte (voir Onglet Sécurité).

   • Délégations. Délégations d'éléments de travail (voir Onglet Délégations).

   • Attributs. Attributs spécifiques pour ressources assignées (voir Onglet Attributs).

   • Conformité. Sélectionne les formulaires d'attestation et de résolution pour le compte utilisateur. La zone Conformité permet également de spécifier les stratégies d'audit assignées au compte utilisateur, notamment celles appliquées via l'assignation d'organisation de l'utilisateur. Cet onglet indique le statut actuel des scannages, violations et dispenses de stratégie, et comprend des informations sur le dernier scannage de stratégie d'audit de l'utilisateur (voir Onglet Attributs).

     Vous remarquerez que les sélections disponibles dans une zone dépendent des sélections effectuées dans une autre zone.

   Cependant, pour mieux tenir compte des processus de votre entreprise ou de capacités administrateur spécifiques, il vous convient de créer des formulaires utilisateur personnalisés pour votre environnement. Pour plus d'informations sur la personnalisation du formulaire utilisateur, voir le Customizing Forms du Sun Identity Manager Deployment Reference.

4. Lorsque vous avez terminé, enregistrez le compte.

   Deux options s'offrent à vous pour enregistrer un compte utilisateur :

   • Enregistrer. Enregistre le compte utilisateur. Si vous assignez un grand nombre de ressources au compte, ce processus peut prendre du temps.

   • Enregistrer en arrière-plan. Ce processus enregistre un compte utilisateur en tant que tâche d'arrière-plan, ce qui permet de continuer à travailler dans Identity Manager. Un indicateur de statut de tâche s'affiche sur la page Comptes, la page de résultat de recherche d'utilisateurs et la page Accueil, pour chaque enregistrement en cours.

     Les indicateurs de statut, comme décrit dans le tableau suivant, facilitent le contrôle de la progression du processus d'enregistrement.

   Indicateur de statut	Statut
   	Le processus d'enregistrement est en cours.
   	Le processus d'enregistrement a été suspendu. Ceci signifie généralement que le processus attend une approbation.
   	Le processus a été exécuté avec succès. Ceci signifie que le processus s'est terminé sans erreur et non que l'utilisateur a été enregistré correctement.
   	Le processus n'a pas encore démarré.
   	Le processus s'est terminé avec une ou plusieurs erreurs.

   En déplaçant votre souris sur l'icône utilisateur s'affichant avec l'indicateur de statut, vous pouvez obtenir des détails sur le processus d'enregistrement en arrière-plan.

   ---

   Remarque –

   Si l’ouverture est configurée, créer un utilisateur crée un élément de travail qui peut être affiché depuis l’onglet Approbations. Approuver cet élément ignore la date d'ouverture et crée le compte. Rejeter l'élément annule la création du compte. Pour plus d'informations sur la configuration de l'ouverture, reportez-vous à Configuration de l'onglet Ouverture et clôture .

   ---

Création de comptes de ressource multiples pour un utilisateur

Identity Manager offre la possibilité d'assigner plusieurs comptes de ressources à un même utilisateur. Le logiciel permet en effet de définir plusieurs types de comptes de ressources ou types de comptes pour chaque ressource. Les types de comptes de ressources doivent être créés de façon à correspondre à chacun des types de comptes fonctionnels figurant sur la ressource. Par exemple, AIX SuperUser ou AIX BusinessAdmin.

Raison de l'assignation de comptes de ressource multiples à un utilisateur

Dans certaines situations, un utilisateur Identity Manager peut avoir besoin de plusieurs comptes sur une même ressource. Un utilisateur peut, en effet, avoir plusieurs fonctions professionnelles liées à la ressource en question. Il peut, par exemple, être à la fois utilisateur et administrateur de cette ressource. Les pratiques recommandées suggèrent d'utiliser des comptes séparés pour chaque fonction. De la sorte, si l'un des comptes est compromis, l'accès accordé par le biais de l'autre compte reste sécurisé.

Configuration des types de comptes

Pour qu'une ressource prenne en charge plusieurs comptes pour un même utilisateur, les types de comptes de la ressource doivent être définis au préalable dans Identity Manager. Pour définir les types de comptes de ressource pour une ressource, utilisez l'assistant Ressource. Pour toute informations, reportez-vous à Gestion de la liste des ressources.

Vous devez activer et configurer les types de comptes de ressource avant de les assigner aux utilisateurs.

Assignation des types de comptes

Une fois les types de comptes définis, vous pouvez les assigner à une ressource. Identity Manager traite chaque assignation de type de comptes comme un compte séparé. Résultat, toute assignation distincte dans un rôle peut avoir un ensemble d'attributs différent.

À l'instar du cas où nous avons un unique compte par ressource, toutes les assignations d'un type spécifique ne créent qu'un compte, quel que soit leur nombre.

Bien que vous puissiez assigner les utilisateurs à tout nombre de types de comptes différents sur une ressource, chaque utilisateur ne peut se voir assigner qu'un compte d'un type donné sur une ressource. L'exception à cette règle est le type « default » (par défaut) intégré. Les utilisateurs peuvent avoir n'importe quel nombre de comptes du type par défaut sur une ressource. Ceci n'est cependant pas recommandé car cela peut engendrer une certaine confusion au moment de référencer les comptes dans les formulaires et les vues.

Recherche et affichage des comptes utilisateur

La fonctionnalité de recherche d'Identity Manager permet de rechercher des comptes utilisateur. Une fois les paramètres de recherche saisis et sélectionnés, Identity Manager trouve tous les comptes correspondant à vos sélections.

Pour rechercher des comptes, sélectionnez Comptes -> Rechercher des utilisateurs dans la barre de menu. Vous pouvez rechercher des comptes en utilisant un ou plusieurs des types de recherche suivants :

• Détails du compte (tels que ses nom d'utilisateur, adresse e-mail, nom ou prénom). Ces choix dépendent de l'implémentation Identity Manager spécifique de votre entreprise.

• Responsable de l'utilisateur. Le nom d'utilisateur du responsable s'affiche entre parenthèses si le nom d'utilisateur ne correspond à aucun compte existant dans Identity Manager.

• Statut du compte de ressource. Les options possibles sont les suivantes :

  • Désactivé. L'utilisateur ne peut accéder à aucun compte Identity Manager ou compte de ressource assigné.

  • Désactivé partiellement. L'utilisateur ne peut pas accéder à un ou plusieurs comptes de ressources.

  • Activé. L'utilisateur a accès à tous les comptes de ressources assignés.

• Ressource assignée. Les options possibles sont les suivantes :

  • Rôle (voir Pour rechercher des utilisateurs assignés à un rôle spécifique),

  • Organisation,

  • Contrôle organisationnel,

  • Capacités,

  • Rôle admin.

• Statut du compte utilisateur. Les options possibles sont les suivantes :

  • Verrouillé. Le compte utilisateur est verrouillé car le nombre maximal d'échecs de connexion par mot de passe ou questions a dépassé le maximum autorisé.

  • Pas verrouillé. L'accès au compte utilisateur n'est pas limité.

• Statut de mise à jour. Les options possibles sont les suivantes :

  • non. Comptes utilisateur qui n'ont été mis à jour sur aucune ressource.

  • quelques. Comptes utilisateur qui ont été mis à jour sur au moins une, mais pas sur toutes les ressources assignées.

  • tous. Comptes utilisateur qui ont été mis à jour sur toutes les ressources assignées.

La liste des résultats de recherche affiche tous les comptes correspondant à votre recherche.

Depuis la page des résultats, vous pouvez :

• Sélectionner des comptes utilisateur à éditer. Pour éditer un compte, cliquez dessus dans la liste des résultats de recherche ; ou sélectionnez-le dans la liste puis cliquez sur Éditer.

• Effectuer des actions (par exemple activer, désactiver, déverrouiller, supprimer, mettre à jour ou changer/définir les mots de passe) sur un ou plusieurs comptes. Pour effectuer une action, sélectionnez un ou plusieurs comptes dans la liste des résultats de recherche puis cliquez sur l'action appropriée.

• Créer des comptes utilisateur.

  

Édition des utilisateurs

Les informations de cette section couvrent l'affichage, l'édition, la réassignation et le renommage des comptes utilisateur.

Pour afficher les comptes utilisateur

Utilisez la page Afficher l’utilisateur et exécutez les étapes suivantes pour afficher les informations relatives aux comptes.

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

   La page Liste des utilisateurs s'ouvre.

2. Sélectionnez la case en regard de l'utilisateur dont vous voulez afficher les comptes.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Afficher.

   La page Afficher l’utilisateur affiche un sous-ensemble des informations relatives à l'identité, les assignations, la sécurité, les délégations, les attributs et la conformité de l'utilisateur. Les informations de la page Afficher l’utilisateur sont en simple consultation et ne peuvent pas être éditées.

4. Cliquez sur Annuler pour revenir à la liste Comptes.

Pour éditer les comptes utilisateur

Utilisez la page Éditer l’utilisateur et exécutez les étapes suivantes pour éditer les informations relatives aux comptes.

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

2. Sélectionnez la case en regard de l'utilisateur dont vous voulez éditer le compte.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Éditer.

4. Apportez les modifications de votre choix et enregistrez-les.

   Identity Manager affiche la page de mise à jour des comptes de ressources. Cette page indique les comptes de ressources assignés à l'utilisateur et les changements qui vont être appliqués au compte.

5. Sélectionnez Mettre tous les comptes de ressources à jour pour appliquer les changements à toutes les ressources assignées, ou sélectionnez un, plusieurs ou aucun des comptes de ressources associés à l'utilisateur concerné par la mise à jour.

6. Cliquez de nouveau sur Enregistrer pour terminer l'édition ou cliquez sur Retourner à Éditer pour apporter d'autres changements.

   Figure 3–2 Éditer l'utilisateur (Mettre à jour les comptes de ressources)

   
   

Réassignation des utilisateurs à une autre organisation

L'action de déplacement permet de supprimer un ou plusieurs utilisateurs d'une organisation et de réassigner, ou déplacer, les utilisateurs dans une nouvelle organisation.

Pour déplacer un utilisateur

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

   La page Liste des utilisateurs s'ouvre.

2. Sélectionnez la case en regard du ou des utilisateurs à déplacer.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Déplacer.

   La page Modification de l’organisation des utilisateurs s'ouvre.

4. Sélectionnez l'organisation que vous voulez réassigner à l'utilisateur et cliquez sur Lancer.

Renommage des utilisateurs

En règle générale, le renommage d'un compte est une opération complexe. C'est pour cette raison qu'Identity Manager fournit une fonctionnalité distincte permettant de renommer le compte Identity Manager d'un utilisateur, ou un ou plusieurs des comptes de ressources associés à cet utilisateur.

Pour utiliser cette fonctionnalité de renommage, sélectionnez un compte utilisateur dans la liste puis sélectionnez l'option Renommer dans la liste Actions de l'utilisateur.

La page Renommer des utilisateurs permet de changer le nom du compte utilisateur, les noms de comptes de ressources associés et les attributs de comptes de ressources associés au compte Identity Manager de l'utilisateur.

Certains types de ressources ne prennent pas en charge le renommage des comptes.

Comme illustré dans la figure suivante, l'utilisateur a une ressource Active Directory assignée.

Pendant le processus de renommage, vous pouvez changer :

• le nom du compte utilisateur Identity Manager,

• le nom du compte de ressources Active Directory,

• l'attribut de ressource Active Directory (nom complet).

  

Mise à jour des ressources associées à un compte

Dans le cadre d'une action de mise à jour, Identity Manager met à jour les ressources associées à un compte utilisateur. Les mises à jour effectuées depuis la zone Comptes envoient tous les changements en attente apportés au préalable à un utilisateur aux ressources sélectionnées.

Ce cas de figure peut se présenter si :

• une ressource n'était pas disponible au moment des mises à jour ;

• un changement apporté à un rôle ou un groupe de ressources devait être diffusé à tous les utilisateurs assignés à ce rôle/groupe de ressources. Dans ce cas, vous devez utiliser la page Rechercher des utilisateurs pour rechercher les utilisateurs puis sélectionner un ou plusieurs utilisateurs sur lesquels exécuter l'action de mise à jour.

Lorsque vous mettez à jour le compte utilisateur, vous avez les options suivantes :

• Choisir si les comptes de ressources assignés recevront les informations mises à jour.

• Mettre à jour tous les comptes de ressources ou sélectionner des comptes individuels dans une liste.

Mise à jour des ressources sur un unique compte utilisateur

Pour mettre à jour un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Mettre à jour dans la liste Actions de l'utilisateur.

Sur la page de mise à jour des comptes de ressources, sélectionnez une ou plusieurs ressources à mettre à jour ou sélectionnez Mettre tous les comptes de ressources à jour pour mettre à jour tous les comptes de ressources assignés. Lorsque vous avez terminé, cliquez sur OK pour commencer le processus de mise à jour. Vous pouvez aussi cliquer sur Enregistrer en arrière-plan pour effectuer l'action en tant que processus d'arrière-plan.

Une page de confirmation confirme les données envoyées à chaque ressource.

La Figure 3–3 illustre la page de mise à jour des comptes de ressources.

Figure 3–3 Mettre à jour les comptes de ressources

Mise à jour de ressources sur plusieurs comptes utilisateur

Vous pouvez mettre à jour deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Mettre à jour dans la liste Actions de l'utilisateur.

Lorsque vous choisissez de mettre à jour plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans chaque compte utilisateur. Ce processus met en effet à jour toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

Suppression des comptes utilisateur Identity Manager

Dans Identity Manager, les comptes utilisateur Identity Manager se suppriment de la même façon que les comptes de ressources distants. Suivez les mêmes étapes que pour supprimer un compte de ressource en sélectionnant un compte Identity Manager pour la suppression au lieu d'un compte de ressource distant.

Si un utilisateur a des éléments de travail en suspens ou des éléments de travail en suspens qui ont été délégués à un autre utilisateur, Identity Manager ne permettra pas de supprimer son compte Identity Manager. Pour pouvoir supprimer le compte Identity Manager de l'utilisateur, les éléments de travail délégués doivent soit être résolus soit être transmis à un autre utilisateur.

Pour plus d'informations, reportez-vous à Suppression de ressources d'un unique compte utilisateur et Suppression de ressources de plusieurs comptes utilisateur.

Suppression des ressources des comptes utilisateur

Identity Manager fournit plusieurs opérations de suppression pouvant être utilisées pour supprimer l'accès à un compte utilisateur Identity Manager depuis une ressource :

• Supprimer. Pour chaque ressource sélectionnée, Identity Manager supprime le compte de l'utilisateur sur la ressource distante (pour supprimer un utilisateur Identity Manager, sélectionnez Identity Manager en tant que ressource).

  • Les comptes de ressources supprimés voient leur lien automatiquement supprimé de l'utilisateur Identity Manager.

  • L'assignation des comptes de ressources supprimés à l'utilisateur n'est pas annulée. La ressource reste assignée à l'utilisateur à moins que l'action d'annulation d'assignation ne soit également sélectionnée.

• Annuler l'assignation. Identity Manager supprime chacune des ressources sélectionnées de la liste des ressources assignées de l'utilisateur.

  • Les comptes de ressources dont l'assignation est annulée voient automatiquement leur lien supprimé de l'utilisateur Identity Manager.

  • Le compte utilisateur sur la ressource distante n'est pas supprimé. Le compte reste intact à moins que l'action de suppression ne soit également sélectionnée.

• Annuler le lien. Pour chaque ressource sélectionnée, les informations de compte de ressource de l'utilisateur sont supprimées d'Identity Manager.

  • Le compte de l'utilisateur sur la ressource distante reste intact à moins qu'une action de suppression ne soit également sélectionnée.

  • La ressource continue à figurer dans la liste des ressources assignées de l'utilisateur à moins qu'une action d'annulation d'assignation ne soit également sélectionnée.

  • Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.

Bien que suspendre figure parmi les actions de l'utilisateur dans les menus de la page Liste des utilisateurs, il n'y a actuellement que trois actions de suppression dans Identity Manager : supprimer, annuler l'assignation et annuler le lien.

Pour suspendre une ressource distante, utilisez les actions supprimer et annuler l'assignation sur la ressource.

Suppression de ressources d'un unique compte utilisateur

Suivez la procédure ci-après pour effectuer une opération de suppression sur un unique utilisateur Identity Manager. En travaillant avec un compte utilisateur à la fois, vous pouvez spécifier des opérations supprimer, annuler l'assignation et/ou annuler le lien différentes pour les comptes de ressources individuels.

Pour démarrer une action Supprimer, Annuler l'assignation ou Supprimer le lien pour un unique compte utilisateur

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.

   Identity Manager affiche la page Supprimer des comptes de ressources (Figure 3–4).

4. Remplissez le formulaire. Pour plus d'informations sur les actions Supprimer, Annuler l'assignation et Supprimer le lien, reportez-vous à Suppression des ressources des comptes utilisateur.

5. Cliquez sur OK.

   La Figure 3–4 illustre la page Supprimer des comptes de ressources. Dans la capture d'écran, l'utilisateur jrenfro a un compte actif sur une ressource distante (la ressource simulée). L'action Supprimer est sélectionnée, ce qui signifie qu'à la soumission du formulaire, le compte de jrenfro sur la ressource sera supprimé. Les comptes supprimés voyant automatiquement leur lien supprimé, les informations de compte de cette ressource seront supprimées d'Identity Manager. La ressource simulée restera assignée à jrenfro car l'action Annuler l'assignation n'est pas sélectionnée.

   Pour supprimer le compte Identity Manager de jrenfro, l'action Supprimer doit être sélectionnée pour Identity Manager.

   Figure 3–4 Page Supprimer des comptes de ressources.

   
   

Suppression de ressources de plusieurs comptes utilisateur

Vous pouvez effectuer une opération de suppression sur plusieurs comptes utilisateur Identity Manager à la fois, mais pouvez uniquement effectuer l'opération de suppression sélectionnée sur tous les comptes de ressources de l'utilisateur.

Les opérations de suppression peuvent également être effectuées en utilisant la fonctionnalité Actions de compte en masse d'Identity Manager. Voir les Commandes Delete, DeleteAndUnlink, Disable, Enable, Unassign et Unlink.

Pour démarrer une action Supprimer, Annuler l'assignation ou Annuler le lien pour plusieurs utilisateurs

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un ou plusieurs utilisateurs et cliquez dans le menu déroulant Actions de l'utilisateur.

3. Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.

   Identity Manager affiche la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien (Figure 3–5).

4. Spécifiez l'action à effectuer.

   Les options sont les suivantes :

   • Supprimer l’utilisateur uniquement. Supprime les comptes Identity Manager du ou des utilisateurs sélectionnés. Cette option ne supprime pas les comptes de ressources des utilisateurs et n'en annule pas l'assignation.

   • Supprimer l’utilisateur et les comptes de ressources. Supprime les comptes Identity Manager des utilisateurs et l'ensemble de leurs comptes de ressources.

   • Supprimer seulement les comptes de ressources. Supprime tous les comptes de ressources des utilisateurs. Cette option n'annule pas l'assignation des comptes de ressources ni ne supprime les comptes Identity Manager des utilisateurs.

   • Supprimer les comptes de ressources et annuler l’assignation des ressources directement assignées à l’utilisateur. Cette option supprime et annule l'assignation de tous les comptes de ressources des utilisateurs mais ne supprime pas les comptes Identity Manager des utilisateurs.

   • Annuler l’assignation des comptes de ressources directement assignés à l’utilisateur. Annule les assignations des comptes de ressources assignés directement. Cette option ne supprime pas les comptes des utilisateurs sur les ressources distantes. Les comptes de ressources assignés via un rôle ou un groupe de ressources ne sont pas concernés.

   • Annuler les liens entre les comptes de ressources et l’utilisateur. Les informations de compte de ressource des utilisateurs sont supprimées d'Identity Manager. Les comptes des utilisateurs situés sur les ressources distantes ne sont pas supprimés et leur assignation n'est pas annulée. Les comptes indirectement assignés aux utilisateurs par le biais d'un rôle ou d'un groupe de ressources peuvent être restaurés lors de la mise à jour des utilisateurs.

5. Cliquez sur OK.

   La Figure 3–5 illustre la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien. La partie supérieure de cette page affiche les six actions disponibles pouvant être effectuées pour plusieurs utilisateurs. La partie inférieure de la page indique les utilisateurs qui seront concernés par l'action sélectionnée.

   Figure 3–5 Page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien

   
   

Changement des mots de passe utilisateur

Tous les utilisateurs Identity Manager se voient assigner un mot de passe. Lorsqu'il est défini, le mot de passe utilisateur Identity Manager est utilisé pour synchroniser les mots de passe des comptes de ressources de l'utilisateur. Si un ou plusieurs mots de passe de comptes de ressources ne peuvent pas être synchronisés (par exemple, afin que les stratégies de mots de passe soient respectées), vous pouvez les définir individuellement.

Pour toute information sur les stratégies de mot de passe de compte et pour des informations d'ordre général sur l'authentification des utilisateurs, lisez la section Gestion de la sécurité des comptes et des privilèges dans ce même chapitre.

Changement des mots de passe depuis la page Liste des utilisateurs

Vous pouvez utiliser l'action utilisateur Modifier le mot de passe de la page Liste des utilisateurs (Comptes -> Lister les comptes) pour modifier le mot de passe d'un utilisateur depuis la page Liste des utilisateurs. Procédez comme suit :

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Pour changer le mot de passe, sélectionnez Modifier le mot de passe.

   La page Changement du mot de passe s'ouvre.

4. Saisissez le nouveau mot de passe et cliquez sur le bouton Modifier le mot de passe.

Pour modifier les mots de passe depuis le menu principal

Pour modifier le mot de passe d'un compte utilisateur depuis le menu principal, suivez les étapes ci-dessous :

1. Dans l'interface administrateur, cliquez sur Mots de passe dans le menu principal.

   La page Changement du mot de passe s'ouvre par défaut.

   Figure 3–6 Changer le mot de passe de l’utilisateur

   
   

2. Sélectionnez un terme à rechercher (par exemple un nom de compte, une adresse e-mail, un nom ou un prénom) puis un type de recherche (commence par, comprend ou est).

3. Saisissez la ou les premières lettres du terme à rechercher dans le champ d'entrée puis cliquez sur Trouver. Identity Manager retourne la liste des utilisateurs dont les ID contiennent les caractères saisis. Cliquez pour sélectionner un utilisateur et revenir à la page Changer le mot de passe de l'utilisateur.

4. Saisissez et confirmez les nouvelles informations de mot de passe puis cliquez sur Modifier le mot de passe pour changer le mot de passe utilisateur sur les comptes de ressources listés. Identity Manager affiche un schéma de flux de travaux indiquant la séquence d'actions entreprise pour modifier le mot de passe.

Réinitialisation des mots de passe utilisateur

Le processus de réinitialisation des mots de passe de compte utilisateur Identity Manager est similaire au processus de changement des mots de passe. La différence par rapport à un changement de mot de passe est que vous ne devez pas spécifier de nouveau mot de passe. Dans ce cas en effet, Identity Manager génère un nouveau mot de passe de manière aléatoire (selon vos sélections et les stratégies de mot de passe) pour le compte utilisateur, les comptes de ressource ou une combinaison de ces éléments.

La stratégie assignée à l'utilisateur (par assignation directe ou au travers de l'organisation de l'utilisateur) contrôle plusieurs options de réinitialisation, notamment :

• le nombre de fois où un mot de passe peut être réinitialisé avant que les réinitialisations ne soient désactivées ;

• l'endroit où le nouveau mot de passe s'affiche ou auquel il est envoyé.

  Selon l'Option de notification de la réinitialisation sélectionnée pour le rôle, Identity Manager envoie le nouveau mot de passe par e-mail à l'utilisateur ou l'affiche (sur la page Résultats) pour l'administrateur Identity Manager demandant la réinitialisation.

Réinitialisation des mots de passe depuis la page Liste des utilisateurs

L'action utilisateur Réinitialisation du mot de passe est disponible sur la page Liste des utilisateurs (Comptes > Lister les comptes).

Pour réinitialiser un mot de passe depuis la page Liste des utilisateurs, suivez les étapes ci-après :

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal. La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Pour réinitialiser le mot de passe, sélectionnez Réinitialiser le mot de passe.

   La page Réinitialiser le mot de passe de l’utilisateur s'ouvre.

4. Cliquez sur le bouton Réinitialiser le mot de passe.

Pour faire expirer les mots de passe en utilisant la stratégie de compte Identity Manager

Lorsque vous réinitialisez un mot de passe utilisateur, ce dernier expire immédiatement par défaut. Par conséquent, la première fois que les utilisateurs se connectent après une réinitialisation de mot de passe, ils doivent sélectionner un nouveau mot de passe pour pouvoir accéder au système. Vous pouvez éditer le formulaire Réinitialiser le mot de passe de l’utilisateur de sorte que le mot de passe de l'utilisateur expire selon la stratégie d'expiration des mots de passe définie dans la Stratégie de compte Identity Manager associée à cet utilisateur.

Utilisez le processus suivant pour ignorer la nécessité de changer par défaut le mot de passe :

1. Éditez le formulaire Réinitialiser le mot de passe de l’utilisateur et définissez la valeur suivante sur false.

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. Utilisez l'option Réinitialiser de la stratégie de compte Identity Manager pour spécifier quand un mot de passe expire.

   Les paramètres sont les suivants :

   • permanent. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie passwordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais.

   • temporaire. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie tempPasswordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais. Si tempPasswordExpiry est défini sur la valeur 0, le mot de passe expire immédiatement.

     L'attribut tempPasswordExpiry s'applique uniquement en cas de réinitialisation (modification aléatoire) des mots de passe. Il ne s'applique pas aux changements de passe.

Désactivation, activation et déverrouillage des comptes utilisateur

Cette section explique la désactivation et l'activation des comptes utilisateur Identity Manager. Elle indique également comment venir en aide aux utilisateurs dont les comptes Identity Manager ont été verrouillés.

Pour désactiver des comptes utilisateur

Lorsque vous désactivez un compte utilisateur, vous modifiez ce compte de sorte que l'utilisateur ne puisse plus se connecter à Identity Manager ni à ses comptes de ressources assignés.

Il faut savoir que les administrateurs peuvent désactiver les comptes utilisateur depuis l'interface administrateur, mais ne peuvent pas verrouiller les comptes utilisateur. Les comptes ne sont verrouillés que dans le cas où l'utilisateur dépasse le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte Identity Manager.

Si une ressource assignée n'a pas de prise en charge native pour la désactivation des comptes mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour désactiver les comptes utilisateur sur cette ressource en assignant de nouveaux mots de passe générés de manière aléatoire.

Utilisez les étapes suivantes pour vous assurer que cette fonctionnalité fonctionne correctement :

1. Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions sur l'ouverture de l'assistant).

2. Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Désactiver ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Désactiver, sélectionnez Afficher toutes les caractéristiques).

   Si la fonctionnalité Désactiver n'a pas de coche dans la colonne Désactiver ?, il est impossible de désactiver les comptes dans la ressource.

Désactivation d'un unique compte utilisateur

Pour désactiver un compte utilisateur, sélectionnez-le dans la Liste des utilisateurs puis sélectionnez l'option Désactiver dans la liste Actions de l'utilisateur.

Sélectionnez les comptes de ressources à désactiver sur la page Désactiver qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de la désactivation du compte utilisateur Identity Manager et de tous les comptes de ressources associés. La liste des comptes indique que l'utilisateur est désactivé.

Désactivation de plusieurs comptes utilisateur

Vous pouvez désactiver deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Désactiver dans la liste Actions de l'utilisateur.

Lorsque vous choisissez de désactiver plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus désactive en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

Pour activer les comptes utilisateur sur une ressource entre deux réinitialisations de mot de passe

L'activation des comptes utilisateur est l'inverse du processus de désactivation.

Selon les options de notification sélectionnées, Identity Manager affiche également le mot de passe sur la page de résultats de l'administrateur.

L'utilisateur peut alors réinitialiser son mot de passe (via le processus d'authentification) qui peut aussi être réinitialisé par un utilisateur disposant de privilèges d'administrateur.

Si une ressource assignée est dépourvue de prise en charge native pour l'activation des comptes, mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour activer les comptes utilisateur sur cette ressource entre deux réinitialisations de mot de passe.

Pour que cette fonctionnalité fonctionne correctement, procédez comme suit :

1. Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions d'ouverture de l'assistant).

2. Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Activer ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Activer, sélectionnez Afficher toutes les caractéristiques).

   Si la fonctionnalité Activer n'a pas de coche dans la colonne Désactiver ?, il est impossible d'activer les comptes dans la ressource.

Activation d'un unique compte utilisateur

Pour activer un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Activer dans la liste Actions de l'utilisateur.

Sélectionnez les ressources à activer sur la page Activer qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de l'activation du compte utilisateur Identity Manager et de tous les comptes de ressources associés.

Activation de plusieurs comptes utilisateur

Vous pouvez activer deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Activer dans la liste Actions de l'utilisateur.

Lorsque vous choisissez d'activer plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus active en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

Déverrouillage des comptes utilisateur

Les comptes des utilisateurs sont verrouillés lorsque les tentatives de connexion à Identity Manager des utilisateurs échouent. Pour que son compte soit verrouillé, l'utilisateur doit dépasser le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte d'Identity Manager.

Seules les tentatives de connexion effectuées sur une interface utilisateur d'Identity Manager sont prises en compte pour le verrouillage d'un compte Identity Manager (c'est-à-dire, l'interface administrateur, l'interface administrateur final, l'interface de ligne de commande ou l'interface API SPML). Les tentatives de connexion à des comptes de ressources ayant échoué ne sont pas comptabilisées et n'entraînent pas le verrouillage des comptes Identity Manager des utilisateurs.

La stratégie de compte Identity Manager établit le nombre maximal de tentatives de connexion par mot de passe ou questions ratées autorisées.

• Pour les utilisateurs qui dépassent ce nombre maximal d'échecs de connexion par mot de passe, toutes les interfaces de l'application Identity Manager sont alors verrouillées, interface Mot de passe oublié incluse.

• Les utilisateurs qui dépassent le nombre maximal d'échecs de connexion par questions peuvent quant à eux s'authentifier sur toute interface de l'application Identity Manager à l'exception de Mot de passe oublié.

Tentatives de connexion par mot de passe ayant échoué

Les utilisateurs pour lesquels Identity Manager est verrouillé à cause d'un trop grand nombre d'échecs de connexion par mot de passe ne pourront se connecter que lorsqu'un administrateur déverrouillera le compte en question ou à l'expiration du verrou.

• Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.

• Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par mot de passe ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par mot de passe ayant échoué dans.

Tentatives de connexion par questions ayant échoué

Les utilisateurs pour lesquels l'interface Mot de passe oublié est verrouillée à cause d'un trop grand nombre d'échecs de connexion par questions pourront uniquement se connecter lorsqu'un administrateur déverrouillera le compte en question, lorsque l'utilisateur verrouillé (ou un utilisateur ayant les capacités appropriées) changera ou réinitialisera le mot de passe de l'utilisateur ou à l'expiration du verrou.

• Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.

• Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par questions ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par questions ayant échoué dans.

Un administrateur doté des capacités appropriées peut effectuer les opérations suivantes sur un utilisateur à l'état verrouillé :

• une mise à jour (reprovisioning de ressources compris),

• un changement ou une réinitialisation de mot de passe,

• une désactivation ou une activation,

• une opération de renommage,

• une opération de déverrouillage.

Pour déverrouiller des comptes, sélectionnez un ou plusieurs comptes utilisateur dans la liste puis sélectionnez Déverrouiller les utilisateurs dans la liste Actions de l'utilisateur ou Actions d'organisation.

Actions de compte en masse

Vous pouvez effectuer plusieurs actions en masse sur les comptes Identity Manager, ce qui permet d'agir sur plusieurs comptes en même temps.

Vous pouvez lancer les actions en masse de la manière suivante :

• Supprimer. Supprime les comptes de ressource sélectionnés, en annule l'assignation et en supprime les liens. Sélectionnez l'option Appliquer au compte Identity Manager pour supprimer également le compte Identity Manager de chaque utilisateur.

• Supprimer et Supprimer le lien. Supprime les comptes de ressources sélectionnés et les liens établis entre les comptes et les utilisateurs.

• Désactiver. Désactive les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour désactiver également le compte Identity Manager de chaque utilisateur.

• Activer. Active les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour activer également le compte Identity Manager de chaque utilisateur.

• Annuler l’assignation, Annuler le lien. Supprime les liens de tous les comptes de ressource sélectionnés et annule les assignations de tous les comptes utilisateur Identity Manager. L'annulation de l'assignation n'entraîne pas la suppression du compte de la ressource. Vous ne pouvez pas annuler l'assignation d'un compte ayant été indirectement assigné à l'utilisateur Identity Manager via un rôle ou un groupe de ressources.

• Annuler le lien. Supprime l'association (lien) d'un compte de ressource avec le compte utilisateur Identity Manager. La suppression du lien n'entraîne pas celle du compte de la ressource. Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur Identity Manager via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.

Les actions en masse fonctionneront de façon optimale si vous disposez d'une liste d'utilisateurs dans un fichier ou une application, par exemple un client de messagerie ou un tableur. Vous pouvez copier la liste et la coller dans un champ de cette page d'interface ou charger la liste des utilisateurs à partir d'un fichier.

Vous pouvez exécuter la plupart de ces actions sur les résultats d'une recherche d'utilisateurs. Utilisez la page Rechercher des utilisateurs (Compte -> Rechercher des utilisateurs) pour rechercher des utilisateurs.

Vous pouvez enregistrer les résultats d'une opération de compte en masse dans un fichier CSV en cliquant sur Télécharger CSV lorsque les résultats de la tâche s'affichent à la fin de la tâche.

Lancement d'actions de compte en masse

Pour lancer des actions de compte en masse

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

2. Cliquez sur Lancer des actions en masse dans le menu secondaire.

3. Remplissez le formulaire et cliquez sur Lancer.

   Identity Manager lance une tâche d’arrière-plan pour exécuter les actions en masse.

   Pour contrôler le statut de la tâche d'actions en masse, cliquez sur Tâches du serveur dans le menu principal puis cliquez sur Toutes tâches.

Utilisation des listes d'actions

Vous pouvez spécifier une liste d'actions en masse en utilisant le format CSV (valeurs séparées par des virgules). Ceci permet de combiner différents types d'action dans une liste d'actions. De plus, vous pouvez spécifier des actions de création et de mise à jour plus complexes.

Le format CSV se compose de deux lignes d'entrée minimum. Chaque ligne comprend une liste de valeurs séparées par des virgules. La première ligne contient des noms de champ. Les autres lignes correspondent chacune à une action à exécuter sur un utilisateur Identity Manager, sur les comptes de ressource de l'utilisateur ou sur ces deux éléments. Chaque ligne doit contenir le même nombre de valeurs. Les valeurs vides ne modifient pas la valeur des champs correspondants.

Deux champs sont obligatoires pour toute entrée CSV d'action en masse:

• user (utilisateur). Contient le nom de l'utilisateur Identity Manager.

• command (commande). Contient le nom de l'action entreprise sur l'utilisateur Identity Manager. Les commandes valides sont les suivantes :

  • Delete (Supprimer). Supprime, annule les assignations et supprime les liens des comptes de ressources, du compte Identity Manager ou de ces deux éléments.

  • DeleteAndUnlink (Supprimer et supprimer le lien). Supprime les comptes de ressources et en supprime les liens.

  • Disable (Désactiver). Désactive les comptes de ressources, le compte Identity Manager ou tous ces éléments.

  • Enable (Activer). Active les comptes de ressources, le compte Identity Manager ou tous ces éléments.

  • Unassign (Annuler l'assignation). Annule les assignations et supprime les liens des comptes de ressources.

  • Unlink (Annuler le lien). Supprime les liens des comptes de ressources.

  • Create (Créer). Crée le compte Identity Manager. Crée en option des comptes de ressources.

  • Update (Mettre à jour). Met à jour le compte Identity Manager. En option, crée, met à jour ou supprime les comptes de ressources.

  • CreateOrUpdate (Créer ou mettre à jour). Exécute une action de création si le compte Identity Manager n'existe pas. Sinon, cette commande exécute une opération de mise à jour.

Commandes Delete, DeleteAndUnlink, Disable, Enable, Unassign et Unlink

Si vous exécutez une action de type Delete, DeleteAndUnlink, Disable, Enable, Unassign ou Unlink, le seul champ supplémentaire à spécifier est le champ resources (ressources). Ce dernier permet de spécifier les comptes qui seront concernés sur les différentes ressources.

Le champ resources peut présenter les valeurs suivantes :

• all. Traite tous les comptes de ressource, y compris le compte Identity Manager.

• resonly. Traite tous les comptes de ressource, sauf le compte Identity Manager.

• nom_ressource [ | nom_ressource ... ]. Traite les comptes de ressource spécifiés. Spécifie à Identity Manager de traiter le compte Identity Manager.

Voici un exemple de format CSV pour plusieurs de ces actions :

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Commandes Create, Update et CreateOrUpdate

Si vous exécutez des commandes Create, Update ou CreateOrUpdate, en plus des champs user et command, vous pouvez spécifier des champs à partir de la vue utilisateur. Les noms de champ utilisés sont les expressions de chemin des attributs figurant dans les vues. Pour toute information sur les attributs disponibles dans la vue utilisateur, reportez-vous à User View Attributes du Sun Identity Manager Deployment Reference. Si vous utilisez un formulaire d'utilisateur personnalisé, les noms de champ du formulaire contiennent certaines des expressions de chemin que vous pouvez utiliser.

Voici certaines des expressions de chemin les plus courantes dans les actions en masse :

• waveset.roles. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.

• waveset.resources. Liste d'un ou plusieurs noms de ressource à assigner au compte Identity Manager.

• waveset.applications. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.

• waveset.organization. Nom de l'organisation dans laquelle placer le compte Identity Manager.

• accounts[ nom_ressource].nom_attribut. Attribut d'un compte de ressource. Les noms des attributs sont listés dans le schéma de la ressource.

Voici un exemple de format CSV pour des actions de création et de mise à jour :

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

La commande CreateOrUpdate permet de spécifier un type de compte spécifique sur une ressource prenant en charge plusieurs types de comptes. Ainsi, si un utilisateur possède plusieurs comptes sur une ressource donnée, chacun d'un type différent, l'exemple suivant illustre comment mettre à jour le type de compte admin pour l'utilisateur userAye :

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

Bien que la commande CreateOrUpdate permette de définir des attributs propres aux différents comptes d'un utilisateur, n'oubliez pas que les valeurs suivantes de la section globale de la vue Utilisateur sont appliquées à tous les comptes spécifiés :

• accountId,

• email,

• password,

• disable,

• tous les attributs étendus.

Par conséquent, une commande BulkOps de la forme suivante pourrait ne pas fonctionner comme prévu.

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

Si userAye dispose déjà d'une valeur pour email, celle-ci sera appliquée à l'attribut email de la ressource Sim1. Il n'existe aucun moyen de modifier ce comportement.

Champs comportant plusieurs valeurs

Certains champs peuvent contenir plusieurs valeurs. Ils sont appelés champs à valeurs multiples. Par exemple, le champ waveset.resources peut être utilisé pour assigner·plusieurs ressources à un utilisateur. Vous pouvez utiliser une barre verticale (|) pour séparer des valeurs multiples dans un champ. Pour spécifier des valeurs multiples, respectez la syntaxe suivante :

value0 | value1 [ | value2 ... ]

Lorsque vous mettez à jour des champs à valeurs multiples pour des utilisateurs existants, le remplacement des valeurs actuelles des champs par une ou plusieurs nouvelles valeurs peut ne pas donner le résultat escompté. Vous pouvez vouloir supprimer certaines valeurs ou ajouter d'autres valeurs courantes. Vous pouvez utiliser des directives de champ pour spécifier comment traiter les valeurs existantes des champs. Ces directives se placent devant la valeur du champ et sont encadrées par une barre verticale comme suit :

|directive [ ; directive ] | field values

Vous pouvez choisir parmi les directives suivantes :

• Remplacer. Remplace les valeurs actuelles par les valeurs spécifiées. C'est la valeur par défaut si aucune directive (ou seule la directive Lister) est spécifiée.

• Fusionner. Ajoute les valeurs spécifiées aux valeurs actuelles. Les valeurs en double sont filtrées.

• Supprimer. Supprime les valeurs spécifiées des valeurs actuelles.

• Lister. Force le champ à traiter la valeur comme si elle était multiple, même s'il ne s'agit que d'une seule valeur. Cette directive n'est habituellement pas nécessaire, car la plupart des champs sont traités de façon appropriée quel que soit le nombre de valeurs. C'est la seule directive qui peut être spécifiée avec une autre directive.

Les valeurs de champ sont sensibles à la casse. Ceci est important lorsque vous spécifiez les directives Fusionner et Supprimer. Les valeurs doivent être exactement identiques pour permettre une suppression correcte ou éviter d'avoir plusieurs valeurs similaires lors de la fusion.

Caractères spéciaux dans les valeurs de champ

Si une valeur de champ comporte une virgule (,) ou un guillemet (") ou si vous voulez préserver les espaces de tête ou de queue, vous devez insérer votre valeur de champ dans une paire de guillemets doubles ("valeur_champ"). Vous devez ensuite remplacer les guillemets doubles contenus dans la valeur de champ par deux guillemets doubles ("). Par exemple, "John ""Johnny"" Smith" donne la valeur de champ John "Johnny" Smith.

Si une valeur de champ contient une barre verticale (|) ou une barre oblique (\), vous devez la faire précéder d'une barre oblique (\| ou \\).

Attributs de la vue d'une action en masse

Lors de l'exécution des actions Create, Update ou CreateOrUpdate, la vue utilisateur comporte des attributs supplémentaires exclusivement utilisés ou disponibles pendant le traitement de l'action en masse. Ces attributs peuvent être référencés dans le formulaire utilisateur pour permettre un comportement spécifique aux actions en masse.

Ces attributs sont les suivants :

• Les attributs waveset.bulk.fields.nom_champ contiennent les valeurs des champs lus à partir de l'entrée CSV, où nom_champ désigne le champ. Par exemple, les champs command et user figurent dans les attributs avec, respectivement, les expressions de chemin waveset.bulk.fields.command et waveset.bulk.fields.user.

• Les attributs waveset.bulk.fieldDirectives.nom_champ sont uniquement définis pour les champs pour lesquels une directive a été spécifiée. La valeur est la chaîne de la directive.

• Définissez l'attribut booléen waveset.bulk.abort sur true pour abandonner l'action courante.

• Définissez waveset.bulk.abortMessage sur une chaîne de message qui s'affichera lorsque waveset.bulk.abort aura pour valeur true. Si cet attribut n'est pas défini, un message d'abandon générique s'affichera.

Règles de corrélation et de confirmation

Utilisez des règles de corrélation et de confirmation lorsque vous ne disposez pas d'un nom d'utilisateur Identity Manager à entrer dans le champ user (utilisateur) de vos actions. Si vous ne spécifiez pas de valeur pour le champ user, vous devez indiquer une règle de corrélation lors du lancement de l'action en masse. Si vous ne spécifiez pas de valeur pour le champ user, les règles de corrélation et de confirmation ne seront pas évaluées pour cette action.

Une règle de corrélation recherche les utilisateurs Identity Manager correspondant aux champs de l'action. Une règle de confirmation teste un utilisateur Identity Manager en le confrontant aux champs de l'action pour vérifier s'il correspond. Cette méthode en deux étapes permet à Identity Manager d'optimiser la corrélation en trouvant rapidement des utilisateurs possibles (d'après le nom ou des attributs) et en limitant l'exécution des contrôles coûteux à ces derniers.

Créez une règle de corrélation ou de confirmation en créant un objet Règle avec, respectivement, le sous-type SUBTYPE_ACCOUNT_CORRELATION_RULE ou SUBTYPE_ACCOUNT_CONFIRMATION_RULE.

Pour plus d'informations sur les règles de corrélation et de confirmation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

Règles de corrélation

L'entrée pour toute règle de corrélation est une mappe des champs d'action. La sortie doit être l'une des suivantes :

• une chaîne (contenant un nom ou un ID utilisateur) ;

• une liste d'éléments String (chacun étant un nom ou un ID utilisateur) ;

• une liste d'éléments WSAttribute ;

• une liste d'éléments AttributeCondition.

Une règle de corrélation type génère une liste de noms d'utilisateur d'après les valeurs des champs de l'action. Une règle de corrélation peut également générer une liste de conditions d'attributs (se référant à des attributs interrogeables de Type.USER) qui seront utilisées pour sélectionner des utilisateurs.

Une règle de corrélation doit être relativement peu coûteuse et la plus sélective possible. Si possible, reportez le traitement coûteux sur une règle de confirmation.

Les conditions d'attribut doivent faire référence à des attributs interrogeables de Type.USER. Ces derniers sont configurés dans l'objet Configuration Identity Manager nommé Configuration du schéma IDM.

La corrélation sur un attribut étendu requiert une configuration spéciale.

L'attribut étendu doit être spécifié comme interrogeable.

Pour définir un attribut étendu comme interrogeable

1. Ouvrez Configuration du schéma IDM. Vous devez avoir la capacité Configuration du schéma IDM pour afficher ou éditer Configuration du schéma IDM.

2. Localisez l'élément <IDMObjectClassConfiguration name=’User’>.

3. Localisez l'élément <IDMObjectClassAttributeConfiguration name=’ xyz ’>, où xyz est le nom de l'attribut que vous voulez définir comme interrogeable.

4. Définissez queryable=’true’

   Dans les Règles de corrélation, l'attribut étendu email est défini comme interrogeable.

Exemple 3–1 Extrait XML définissant l'attribut étendu email comme interrogeable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Vous devez redémarrer l'application Identity Manager (ou le serveur d'application) pour que le changement de Configuration du schéma IDM soit appliqué.

Règles de confirmation

Les entrées dans toute règle de confirmation prennent la forme suivante :

• Utilisez userview pour une vue complète d'un utilisateur Identity Manager.

• Utilisez account pour une mappe des champs d'action.

Une règle de confirmation retourne une valeur booléenne sous forme de chaîne true si l'utilisateur correspond aux champs d'action, sinon elle retourne la valeur false.

Une règle de confirmation typique confronte les valeurs internes de la vue utilisateur aux valeurs des champs d'action. À titre de deuxième étape facultative du traitement de corrélation, la règle de confirmation effectue des contrôles qui ne peuvent pas être exprimés dans une règle de corrélation (ou qui sont trop coûteux à évaluer dans une règle de corrélation).

En règle générale, vous n'aurez besoin d'une règle de confirmation que quand :

• la règle de corrélation peut retourner plusieurs utilisateurs correspondants ;

• les valeurs utilisateur qui doivent être comparées ne sont pas interrogeables.

Une règle de confirmation est exécutée une fois pour chaque utilisateur correspondant renvoyé par la règle de corrélation.

Gestion de la sécurité des comptes et des privilèges

Cette section examine les actions à votre disposition pour fournir un accès sécurisé aux comptes utilisateur et gérer les privilèges des utilisateurs dans Identity Manager :

• Définition de stratégies de mot de passe ;

• Authentification des utilisateurs ;

• Assignation de privilèges administratifs.

Définition de stratégies de mot de passe

Les stratégies de mot de passe de ressource établissent les limites applicables aux mots de passe. Les stratégies de mot de passe fortes assurent une sécurité supplémentaire pour protéger les ressources contre les tentatives de connexion non autorisées. Vous pouvez éditer une stratégie de mot de passe pour définir ou sélectionner des valeurs pour tout un éventail de caractéristiques.

Pour commencer à travailler avec les stratégies de mot de passe, cliquez sur Sécurité dans le menu principal, puis sur Stratégies.

Pour éditer une stratégie de mot de passe, cliquez dessus dans la liste Stratégies. Pour créer une stratégie de mot de passe, sélectionnez Stratégie de qualité de chaîne dans la liste d'options Nouveau.

Pour plus d'informations sur les stratégies, reportez-vous à Configuration des stratégies d'Identity Manager.

Création d'une stratégie

Les stratégies de mot de passe constituent le type par défaut des stratégies de qualité chaîne. Après avoir nommé la nouvelle stratégie et avoir entré une brève description, sélectionnez les options et les paramètres des règles qui la définissent.

Règles de longueur

Les règles de longueur définissent les nombres de caractères minimum et maximum requis pour un mot de passe. Sélectionnez cette option pour activer la règle puis saisissez une valeur seuil.

Type de la stratégie

Choisissez l'un des boutons de type de stratégie suivants : Si vous choisissez l'option Autre, vous devez saisir le type dans le champ de texte fourni.

Règles de type de caractère

Les règles de type de caractères fixent les nombres de caractères minimum et maximum requis de certains types et les chiffres pouvant être inclus dans un mot de passe.

Elles incluent les éléments suivants :

• les nombres minimum et maximum de caractères alphabétiques, numériques, majuscules, minuscules et spéciaux ;

• les nombres minimum et maximum de caractères numériques imbriqués ;

• le nombre maximum de caractères répétés et en séquence ;

• les nombres minimum de caractères alphabétiques et numériques de début.

Saisissez une valeur limite numérique pour chaque règle de type de caractères ou saisissez Tous pour indiquer que tous les caractères doivent être de ce type.

Nombre minimal de règles de type de caractères

Vous pouvez aussi définir le nombre minimal de règles de type de caractères devant réussir la validation comme illustré à la Figure 3–7. Le nombre minimal de règles devant réussir est de une règle. Le maximum ne peut pas dépasser le nombre des règles de type de caractères que vous avez activées.

Pour définir le nombre minimal de règles de type de caractères devant réussir sur la valeur la plus haute, sélectionnez Tous.

Figure 3–7 Règles des stratégies de mot de passe (type de caractères)

Sélection de la stratégie de dictionnaire

Vous pouvez choisir de contrôler les mots de passe par rapport à un dictionnaire pour vous protéger contre les attaques par dictionnaire simples.

Pour pouvoir utiliser cette option, vous devez :

• configurer le dictionnaire ;

• charger les mots du dictionnaire.

Vous configurez le dictionnaire depuis la page Stratégies. Pour plus d'informations sur la configuration du dictionnaire, reportez-vous à Stratégie de dictionnaire.

Stratégie d'historique de mot de passe

Vous pouvez interdire la réutilisation des derniers mots de passe précédents pour un mot de passe nouvellement sélectionné.

Dans le champ Nombre de mots de passe antérieurs ne pouvant pas être réutilisés, saisissez une valeur numérique supérieure à un pour empêcher toute réutilisation des mots de passe actuels et précédents. Par exemple, si vous saisissez le chiffre 3, le nouveau mot de passe ne pourra pas être le même que le mot de passe actuel ni que les deux mots de passe le précédant.

Vous pouvez aussi interdire la réutilisation de caractères similaires à ceux employés dans les mots de passe précédents. Dans le champ Nombre maximal de caractères identiques à ceux des mots de passe précédents ne pouvant être réutilisés, indiquez le nombre de caractères consécutifs contenus dans les mots de passe précédents ne pouvant pas être réutilisés dans le nouveau mot de passe. Par exemple, si vous indiquez 7 et que le mot de passe précédent était password1, le nouveau mot de passe ne pourra pas être password2 ni password3.

Si vous entrez la valeur 0, tous les caractères doivent être différents indépendamment de leur ordre. Par exemple, si le mot de passe précédent était abcd, le nouveau mot de passe ne peut pas contenir les caractères a, b, c et d.

Cette règle peut s'appliquer à un ou plusieurs mots de passe précédents. Le nombre de mots de passe précédents vérifiés correspond à la valeur indiquée dans le champ Nombre de mots de passe précédents ne pouvant être réutilisés.

Ne doit pas contenir les mots

Vous pouvez entrer un ou plusieurs mots que le mot de passe ne doit en aucun cas contenir. Dans la zone d'entrée, saisissez un mot par ligne.

Vous pouvez également exclure des mots en configurant et en implémentant la stratégie de dictionnaire. Pour plus d'informations, reportez-vous à Stratégie de dictionnaire.

Ne doit pas contenir les attributs

Vous pouvez entrer un ou plusieurs attributs que le mot de passe ne doit en aucun cas contenir.

Vous pouvez spécifier les attributs suivants :

• accountID,

• email,

• firstname,

• fullname,

• lastname.

Vous pouvez modifier l'ensemble d'attributs « ne doit pas contenir » dans l'objet Configuration UserUIConfig. Pour plus d'informations, reportez-vous à Ne doit pas contenir les attributs dans les stratégies.

Implémentation des stratégies de mot de passe

Les stratégies de mot de passe sont établies pour chaque ressource. Pour mettre une stratégie de mot de passe en place pour une ressource spécifique, sélectionnez-la dans la liste d'options Stratégie de mot de passe, figurant dans la zone Configuration de la stratégie des pages de l'assistant Créer ou Éditer la ressource : Paramètres Identity Manager.

Authentification des utilisateurs

Si un utilisateur oublie son mot de passe ou que son mot de passe est réinitialisé, il peut répondre à une ou plusieurs questions d'authentification pour accéder à Identity Manager. Vous établissez ces questions ainsi que les règles qui les régissent, dans une stratégie de compte Identity Manager. Contrairement aux stratégies de mot de passe, les stratégies de compte Identity Manager sont assignées à l'utilisateur directement ou au travers de l'organisation qui lui est assignée (sur les pages Créer un utilisateur et Éditer l'utilisateur).

Pour configurer l'authentification d'une stratégie de compte

1. Cliquez sur Sécurité dans le menu principal, puis sur Stratégies.

2. Sélectionnez Stratégie de compte Identity Manager par défaut dans la liste des stratégies.

   Les sélections d'authentification sont proposées dans la zone Options de stratégie d’authentification de second niveau de la page.

   Important ! Lors de la première installation, l'utilisateur doit se connecter à l'interface utilisateur et fournir les réponses initiales à ses questions d'authentification. Si ces réponses ne sont pas définies, l'utilisateur ne pourra pas se connecter sans son mot de passe.

   La stratégie des questions d’authentification détermine ce qui se passe quand un utilisateur clique sur le bouton Mot de passe oublié ? sur la page de connexion ou lorsqu'il accède à la page Changer mes réponses. Authentification des utilisateurs décrit les différentes options.

   Option	Description
   Tous	Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie et personnalisées.
   N’importe lequel	Identity Manager affiche toutes les questions définies par la stratégie et personnalisées. Vous devez spécifier le nombre des questions auxquelles l'utilisateur devra répondre.
   Suivant	Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie la première fois qu'il se connecte.   Si l'utilisateur clique sur le bouton Mot de passe oublié ? pendant la connexion, Identity Manager affiche la première question. Si l’utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu’à ce que l’utilisateur réponde correctement à une question d’authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. Les questions générées par un utilisateur ne sont pas prises en charge pour cette stratégie.
   Aléatoire	Permet à l'administrateur de spécifier le nombre des questions auxquelles l'utilisateur devra répondre. Identity Manager sélectionne de manière aléatoire dans la liste des questions définies dans la stratégie et parmi celles définies par l'utilisateur le nombre de questions spécifié et les affiche. L'utilisateur doit répondre à toutes les questions affichées.
   À tour de rôle	Identity Manager sélectionne la question suivante de la liste des questions configurées et l'assigne à l'utilisateur. Le premier utilisateur se voit assigner la première question de la liste des questions d'authentification, le second la deuxième question et ainsi de suite jusqu'à ce qu'il n'y ait plus de questions. À ce stade, les questions sont assignées aux utilisateurs en ordre séquentiel. Par exemple, s'il y a dix questions, le 11e et le 21e utilisateurs se verront assigner la première question.  Seule la question sélectionnée s'affiche. Si vous souhaitez que l'utilisateur réponde à une question différente à chaque fois, choisissez la stratégie Aléatoire et définissez le nombre de questions sur 1.  Les utilisateurs ne peuvent pas définir leurs propres questions d'authentification. Pour plus d'informations sur cette fonctionnalité, reportez-vous à Questions d’authentification personnalisées.

   Vous pouvez vérifier vos choix d'authentification en vous connectant à l'interface utilisateur d'Identity Manager en cliquant sur le bouton Mot de passe oublié ? et en répondant à la/aux questions posées.

   La Figure 3–8 représente un exemple d'écran d'authentification de compte utilisateur.

   Figure 3–8 Authentification de compte utilisateur

   
   

Questions d’authentification personnalisées

Dans la stratégie de compte Identity Manager, vous pouvez sélectionner une option permettant aux utilisateurs de fournir leurs propres questions d'authentification dans les interfaces utilisateur et administrateur. Vous pouvez de plus définir le nombre minimum de questions que l'utilisateur doit fournir et auxquelles il devra répondre pour parvenir à se connecter en utilisant les questions d'authentification personnalisées.

Les utilisateurs peuvent ajouter et changer des questions depuis la page Changer les réponses aux questions d’authentification. Un exemple de cette page est illustré à la Figure 3–9.

Figure 3–9 Changer les réponses : Questions d’authentification personnalisées

Ignorer la demande de changement de mot de passe suivant l'authentification par questions

Quand un utilisateur réussit à s'authentifier en répondant à une ou plusieurs questions, il est par défaut invité par le système à fournir un nouveau mot de passe. Vous pouvez cependant configurer Identity Manager pour ignorer cette demande de changement de mot de passe en définissant la propriété de configuration système bypassChangePassword pour une ou plusieurs applications Identity Manager.

Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

Pour ignorer une demande de changement de mot de passe pour toutes les applications après une authentification réussie, définissez la propriété bypassChangePassword comme suit dans l'objet Configuration système.

Exemple 3–2 Définition de l'attribut pour ignorer la demande de changement de mot de passe

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

Pour désactiver cette demande de mot de passe pour une application spécifique, définissez-la comme suit.

Exemple 3–3 Définition de l'attribut pour désactiver la demande de changement de mot de passe

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...

Assignation de privilèges administratifs

Vous pouvez assigner des privilèges administratifs Identity Manager, ou capacités, aux utilisateurs de la manière suivante :

• Rôles admin. Les utilisateurs auxquels un rôle admin a été assigné héritent des capacités et des organisations contrôlées définies par ce rôle. Par défaut, tous les comptes utilisateur Identity Manager se voient assigner le rôle User Admin à leur création. Pour des informations détaillées sur les rôles admin et sur la création d'un rôle admin, reportez-vous à Comprendre et gérer les ressources Identity Manager externes dans le Chapitre 5Rôles et ressources.

• Capacités. Les capacités sont définies par des règles. Identity Manager fournit des ensembles de capacités regroupées en capacités fonctionnelles que vous pouvez sélectionner. L'assignation de capacités autorise une majeure granularité dans l'assignation des privilèges administratifs. Pour plus d'informations sur les capacités et leur création, reportez-vous à Comprendre et gérer les capacités au Chapitre 6Administration.

• Organisations contrôlées. Les organisations contrôlées accordent des privilèges de contrôle administratif sur des organisations spécifiées. Pour plus d'informations, reportez-vous à Comprendre les organisations d'Identity Manager au Chapitre 6Administration.

Pour plus d'informations sur les administrateurs Identity Manager et les tâches administratives, voir le Chapitre 6Administration.

Détection automatique des utilisateurs

L'interface utilisateur final d'Identity Manager permet aux utilisateurs finaux de détecter les comptes de ressource. Autrement dit, un utilisateur ayant une identité Identity Manager peut l'associer à un compte de ressource existant mais non associé.

Activation de la détection automatique

Pour activer l'auto-détection, vous devez éditer un objet Configuration spécial (End User Resources) et l'ajouter au nom de chacune des ressources sur lesquelles l'utilisateur sera autorisé à détecter des comptes.

Pour activer la détection automatique

1. Éditez l'objet Configuration « End User Resources » (Ressources de l'utilisateur final).

   Pour les instructions à suivre pour éditer les objets Configuration d'Identity Manager, reportez-vous à Édition des objets Configuration Identity Manager.

2. Ajoutez <String>Ressource </String>, où Ressource correspond au nom d'un objet Ressource dans le référentiel comme illustré à la Figure 3–10.

   Figure 3–10 L'objet Configuration « End User Resources ».

   
   

3. Cliquez sur Enregistrer.

   Lorsque la détection automatique est activée, l'utilisateur se voit présenter une nouvelle sélection sous l'onglet de menu Profil dans l'interface utilisateur Identity Manager (Détection automatique). Cette zone permet à l'utilisateur de sélectionner une ressource dans une liste de ressources disponibles puis de saisir l'ID et le mot de passe du compte de ressource pour lier le compte à cette identité Identity Manager.

   ---

   Remarque –

   Pour donner aux utilisateurs finaux l'accès aux objets Configuration d'Identity Manager, les administrateurs peuvent aussi utiliser l'organisation « Utilisateur final ». Pour de plus amples détails, reportez-vous à L'organisation Utilisateur final.

   ---

Inscription anonyme

La fonctionnalité d'inscription anonyme permet à un utilisateur n'ayant pas de compte Identity Manager d'en obtenir un via une simple demande.

Activation de l'inscription anonyme

Par défaut, la fonctionnalité d'inscription anonyme est désactivée.

Pour activer la fonctionnalité d'inscription anonyme

1. Dans l'interface administrateur, cliquez sur Configurer puis sur Interface utilisateur.

2. Dans la zone Inscription anonyme, sélectionnez l'option activer puis cliquez sur Enregistrer.

   Lorsqu'un utilisateur se connecte à l'interface utilisateur, la page de connexion affiche le texte Nouvel utilisateur ? suivi du lien Demander un compte.

   ---

   Remarque –

   Le texte Nouvel utilisateur ? Demander un compte est personnalisable. Pour de plus amples détails, consultez le Sun Identity Manager Deployment Guide.

   ---

   Figure 3–11 Page Interface utilisateur avec le lien Demander un compte activé

   
   

Configuration de l'inscription anonyme

La zone Inscription anonyme de la page Interface utilisateur permet de configurer les options suivantes pour le processus d'inscription anonyme :

• Modèle de notification. Indiquez l'ID du modèle d'e-mail à utiliser pour envoyer des notifications à l'utilisateur demandant un compte.

• Stratégie de confidentialité requise. Lorsque cette option est activée, l'utilisateur doit accepter la politique de confidentialité avant de pouvoir demander la création d'un compte. Cette option est activée par défaut.

• Activer la validation. Lorsque cette option est activée, l'utilisateur doit valider son embauche avant de pouvoir demander la création d'un compte. Cette option est activée par défaut.

• URL de lancement de processus. Indiquez l'URL servant à définir le flux de travaux à utiliser pour le processus d'inscription anonyme.

• Activer les notifications. Lorsque cette option est activée, un e-mail de notification est envoyé à l'utilisateur une fois que son compte a été créé.

• Domaine de messagerie. Indiquez le nom du domaine de messagerie électronique à utiliser pour construire l'adresse e-mail de l'utilisateur.

Cliquez sur Enregistrer lorsque vous avez fini.

Processus d'inscription d'utilisateur

Tout utilisateur se connectant à l'interface utilisateur peut demander un compte en cliquant sur le lien Demander un compte de la page de connexion.

Identity Manager affiche la première des deux pages d'inscription dans lesquelles l'utilisateur doit indiquer ses nom, prénom et ID d'employé. Si l'attribut Activer la validation est défini sur oui (paramétrage par défaut), ces informations doivent alors être validées pour que l'utilisateur puisse passer à la page suivante.

Les règles verifyFirstname, verifyLastname, verifyEmployeeId et verifyEligibility dans EndUserLibrary valident les informations pour chaque attribut.

Il est possible que vous deviez modifier une ou plusieurs de ces règles. En particulier, vous devez modifier la règle qui vérifie l'ID de l'employé pour qu'elle utilise un appel de services Web ou une classe Java pour vérifier ces informations.

Si l'attribut Activer la validation est désactivé, la première page d'inscription ne s'affiche pas. Dans ce cas, vous devez modifier le formulaire End User Anonymous Enrollment Completion pour permettre à l'utilisateur de saisir les informations normalement capturées par le premier formulaire de validation.

À partir des informations indiquées sur la page Enregistrement, Identity Manager génère les éléments suivants :

• Un ID de compte (respectant la convention initiale du prénom, initiale du nom et ID de l'employé).

• Une adresse e-mail de la forme suivante :

  Prénom. Nom@DomaineEmail

  Où DomaineEmail est le domaine défini par l'attribut Domaine de messagerie dans la configuration d'inscription anonyme.

• L'attribut de responsable (idmManager). Vous pouvez définir cet attribut en modifiant la règle EndUserRuleLibrary:getIdmManager. Par défaut, le responsable est défini sur Configurator (Configurateur). L'administrateur désigné en tant que responsable doit approuver la demande de l'utilisateur pour que le compte de ce dernier soit provisionné.

• L'attribut d'organisation. Vous pouvez définir cet attribut en personnalisant la règle EndUserRuleLibrary:getOrganization. Par défaut, les utilisateurs sont assignés au niveau supérieur de la hiérarchie d'organisations (« Haut »).

Si les informations indiquées par l'utilisateur sur la page Enregistrement sont validées avec succès, Identity Manager présente à l'utilisateur la deuxième page Enregistrement. L'utilisateur doit alors entrer un mot de passe et le confirmer. Si l'attribut Vous devez accepter la politique de confidentialité est défini sur oui, l'utilisateur doit également sélectionner une option pour accepter les conditions de la stratégie de confidentialité.

Lorsque l'utilisateur clique sur Enregistrer, Identity Manager présente une page de confirmation. Si l'attribut Activer les notifications est défini sur oui, la page indique alors que l'utilisateur recevra un e-mail après la création du compte.

Le compte est créé une fois le processus Créer un utilisateur standard (approbations requises par l'attribut idmManager et paramètres de stratégie compris) terminé.