Ce chapitre contient les informations et procédures à suivre pour créer et gérer des utilisateurs depuis l'interface administrateur d'Identity Manager.
Il se compose des sections suivantes :
On appelle utilisateur toute personne ayant un compte système Identity Manager. Identity Manager stocke une gamme de données pour chaque utilisateur. Collectivement, ces informations forment l'identité Identity Manager d'un utilisateur.
La page Comptes / Liste des utilisateurs d'Identity Manager permet de gérer les utilisateurs Identity Manager. Pour accéder à cette zone, cliquez sur Comptes sur la barre de menu de l'interface administrateur.
La liste des comptes affiche tous les comptes utilisateur Identity Manager. Les comptes sont regroupés en organisations et organisations virtuelles, lesquelles sont représentées de manière hiérarchique par des dossiers.
Vous pouvez trier la liste des comptes par nom complet (Nom complet), nom de famille d'utilisateur (Nom) ou prénom d'utilisateur (Prénom). Cliquez sur la barre de titre pour effectuer le tri en fonction d'une colonne. Un nouveau clic sur le même titre permet de basculer entre les ordres de tri croissant et décroissant. Lorsque vous effectuez un tri par nom complet (colonne Nom complet), tous les éléments de la hiérarchie, à tous les niveaux, sont triés par ordre alphabétique.
Pour développer l'affichage hiérarchique et voir tous les comptes d'une organisation, cliquez sur l'indicateur en regard du dossier. Un nouveau clic sur cet indicateur permet de réduire l'affichage.
Utilisez les listes d'actions (situées en haut et en bas de la zone des comptes, comme indiqué dans Listes d'actions de la zone Comptes), pour effectuer tout un éventail d'actions.
Les sélections de listes d'actions sont divisées en :
Nouvelles actions. Créer des utilisateurs, des organisations et des jonctions d'annuaires.
Actions de l’utilisateur Éditer, afficher et modifier le statut des utilisateurs ; modifier et réinitialiser les mots de passe ; supprimer, activer, désactiver, déverrouiller, déplacer, mettre à jour et renommer des utilisateurs ; et exécuter un rapport d'audit.
Actions d’organisation. Effectuer tout un éventail d'actions d'organisation et d'utilisateur.
La fonctionnalité de recherche de la zone des comptes permet de localiser des utilisateurs et des organisations. Sélectionnez Organisations ou Utilisateurs dans la liste, entrez la ou les premières lettres du nom d'utilisateur/organisation dans la zone de recherche puis cliquez sur Rechercher. Pour plus d'informations sur la fonctionnalité de recherche de la zone des comptes, reportez-vous à Recherche et affichage des comptes utilisateur.
Les icônes affichées en regard de chaque compte utilisateur en indiquent le statut attribué. Le Tableau 3–1 indique la signification des différentes icônes.
Tableau 3–1 Description des icônes de statut des comptes utilisateur
Indicateur |
Statut |
---|---|
|
Le compte Identity Manager de l'utilisateur est verrouillé. Vous remarquerez que cette icône ne reflète que l'état verrouillé du compte Identity Manager, pas celui des comptes de ressources de l'utilisateur. Les utilisateurs sont verrouillés lorsque le nombre maximum d'échecs de connexion à Identity Manager, défini dans la Stratégie de compte Identity Manager, est dépassé. Seules les connexions par mot de passe ou par questions aux comptes Identity Manager sont prises en compte dans les calculs pour le maximum. Par conséquent, si une application de connexion à Identity Manager (c'est-à-dire l'interface administrateur, l'interface utilisateur final, etc.) n'inclut pas le module de connexion à Identity Manager dans son groupe de modules de connexion, la stratégie relative aux échecs de connexion à Identity Manager par mot de passe ne sera pas prise en compte. Cependant, quelle que soit la pile de modules de connexion configurée pour une application de connexion à Identity Manager donnée, les échecs de connexion par questions qui dépassent le maximum configuré dans la Stratégie de compte Identity Manager peuvent entraîner le verrouillage de l'utilisateur et l'affichage de cette icône. Pour plus d'informations sur le déverrouillage des comptes, reportez-vous à Déverrouillage des comptes utilisateur. |
|
Le compte Identity Manager de l'administrateur est verrouillé. Vous remarquerez que cette icône reflète uniquement l'état verrouillé du compte Identity Manager, pas celui des comptes de ressources de l'administrateur. Pour plus d'informations, reportez-vous à la description de l'icône utilisateur verrouillé, ci-dessus. |
|
Le compte est désactivé sur toutes les ressources assignées et sur Identity Manager (lorsqu'un compte est activé, aucune icône ne s'affiche). Pour toute information sur l'activation des comptes désactivés, reportez-vous à Désactivation, activation et déverrouillage des comptes utilisateur. |
|
Le compte est partiellement désactivé, ce qui signifie qu'il est désactivé sur une ou plusieurs ressources assignées. |
|
Le système tente mais échoue dans sa tentative de créer ou mettre à jour le compte utilisateur Identity Manager sur une ou plusieurs ressources (lorsqu'un compte est mis à jour sur toutes les ressources assignées, aucune icône ne s'affiche). |
Un nom d'utilisateur de responsable s'affiche entre parenthèses dans la colonne Responsable si Identity Manager ne trouve aucun compte Identity Manager correspondant au nom listé.
Cette section décrit les pages Créer un utilisateur, Éditer l'utilisateur et Afficher l'utilisateur disponibles dans l'interface Administrateur. Les instructions d'utilisation de ces pages figurent plus loin dans ce chapitre.
Cette documentation explique le jeu par défaut de pages Créer un utilisateur, Éditer l'utilisateur et Afficher l'utilisateur fourni avec Identity Manager. Cependant, pour mieux tenir compte des processus de votre entreprise ou de capacités administrateur spécifiques, il vous convient de créer des formulaires utilisateur personnalisés pour votre environnement. Pour plus d'informations sur la personnalisation du formulaire utilisateur, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.
Les pages utilisateur par défaut d'Identity Manager sont organisées en onglets ou sections comme suit :
Identité
Assignations
Sécurité
Délégations
Attributs
Conformité
La zone Identité définit l'ID de compte, le nom, les informations de contact d'un utilisateur ainsi que le mot de passe de son compte Identity Manager. Elle identifie également les ressources auxquelles l'utilisateur a accès ainsi que la stratégie de mot de passe gouvernant chaque compte de ressources.
Pour toute information sur la configuration des stratégies de mot de passe pour les comptes utilisateur, lisez la section Gestion de la sécurité des comptes et des privilèges de ce même chapitre.
La figure suivante illustre la zone Identité de la page Créer un utilisateur.
La zone Ressources indique les attributions directes de ressources et de groupes de ressources d'un utilisateur. Il est également possible d'assigner des exclusions de ressources.
Les ressources assignées directement complètent les ressources assignées indirectement à l'utilisateur par le biais de l'assignation de rôles. L'assignation de rôles établit un profil pour une classe d'utilisateurs. Les rôles définissent l'accès d'un utilisateur aux ressources par le biais de l'assignation indirecte.
L'onglet Rôles permet d'assigner un ou plusieurs rôles à un utilisateur et de gérer ces assignations de rôles.
Pour plus d'informations sur cet onglet, reportez-vous à Pour assigner des rôles à un utilisateur.
Dans la terminologie d'Identity Manager, un utilisateur auquel des capacités étendues ont été assignées est un administrateur Identity Manager. L'onglet Sécurité permet d'assigner des privilèges d'administrateur à un utilisateur.
Pour plus d'informations sur l'utilisation de l'onglet Sécurité pour créer des administrateurs, reportez-vous à Création et gestion des administrateurs.
Le formulaire Sécurité se compose des sections suivantes.
Rôles admin. Assigne un ou plusieurs rôles d'administrateur à l'utilisateur. Un rôle est une association spécifique de capacités et d'organisations contrôlées, qui facilite l'assignation d'obligations administratives aux utilisateurs de manière coordonnée.
Capacités. Active des droits dans le système Identity Manager. Chaque administrateur Identity Manager se voit attribuer une ou plusieurs capacités, en général alignées sur les responsabilités de son poste.
Les capacités sont examinées à la section Comprendre et gérer les capacités. Une liste de capacités basées sur des tâches est inclue dans l'Annexe DDéfinitions des capacités, Définitions des capacitésAnnexe DDéfinitions des capacités. Cette annexe répertorie également les onglets et sous-onglets auxquels chaque capacité permet d'accéder.
Organisations contrôlées. Assigne des organisations que cet utilisateur a le droit de gérer en tant qu'administrateur. Il peut gérer des objets dans l’organisation assignée et dans n’importe quelle organisation se trouvant sous cette organisation dans la hiérarchie.
Pour avoir des capacités d'administrateur, un utilisateur doit se voir assigner au moins un rôle admin ou une ou plusieurs capacités ET une ou plusieurs organisations contrôlées. Pour plus d'informations sur les administrateurs Identity Manager, reportez-vous à Comprendre l'administration d'Identity Manager.
Formulaire utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour créer et éditer des utilisateurs. Si Aucun(e) est sélectionné, l'administrateur héritera du formulaire utilisateur assigné à son organisation.
Formulaire d’affichage utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour afficher les utilisateurs. Si Aucun(e) est sélectionné, l'administrateur héritera du formulaire d’affichage utilisateur assigné à son organisation.
Stratégie de compte. Établit les limites applicables aux mots de passe et à l'authentification.
L'onglet Délégations de la page Créer un utilisateur permet de déléguer des éléments de travail à d'autres utilisateurs pendant un laps de temps donné. Pour plus d'informations sur la délégation des éléments de travail, lisez Délégation des éléments de travail.
L'onglet Attributs de la page Créer un utilisateur définit les attributs de compte associés aux ressources assignées. Les attributs listés sont classés par ressource assignée et diffèrent selon les ressources qui sont assignées.
L'onglet Conformité :
Permet de sélectionner les formulaires d'attestation et de résolution pour le compte utilisateur.
Spécifie les stratégies d'audit assignées au compte utilisateur, notamment celles appliquées via l'assignation d'organisation de l'utilisateur. Ces assignations de stratégie peuvent uniquement être modifiées en éditant l'organisation courante de l'utilisateur ou en déplaçant l'utilisateur dans une autre organisation.
Indique l'état courant des scannages, violations et dispenses de stratégie (comme illustré dans la figure suivante), si applicable pour le compte utilisateur. Les informations incluent la date et l'heure du dernier scannage de stratégie pour l'utilisateur sélectionné.
Pour assigner des stratégies d'audit, déplacez les stratégies sélectionnées de la liste Stratégies d’audit disponibles à la liste Stratégies d’audit en cours.
Vous pouvez afficher les violations de conformité consignées pour un utilisateur pendant une période de temps spécifique en sélectionnant Afficher le journal des violations de conformité depuis la liste Actions de l'utilisateur et en spécifiant la plage d'entrées à afficher.
Vous pouvez effectuer depuis la page Comptes/Liste des utilisateurs de l'interface Administrateur tout un éventail d'actions sur les objets système suivants :
Administrateurs et utilisateurs Afficher, créer, éditer, déplacer, renommer, suspendre, activer, désactiver, mettre à jour, déverrouiller, supprimer, annuler une assignation, supprimer un lien et vérifier.
Pour plus d'informations sur la création et l'édition des comptes administrateur, reportez-vous à Comprendre l'administration d'Identity Manager.
Organisations. Créer, éditer, actualiser et effectuer des actions d'utilisateur sur des membres de l'organisation.
Pour plus d'informations sur les organisations, reportez-vous à Comprendre les organisations d'Identity Manager.
Jonctions d’annuaires . Créer un ensemble d'organisations reliées hiérarchiquement pour refléter le jeu courant de conteneurs hiérarchiques d'une ressource d'annuaire.
Pour plus d'informations sur les jonctions d'annuaires, reportez-vous àComprendre les jonctions d'annuaires et les organisations virtuelles.
L'activation des schémas de processus décrit le flux de travaux suivi par Identity Manager quand il crée ou agit de quelque autre manière sur un compte utilisateur. Lorsqu'ils sont activés, les schémas de processus s'affichent sur la page des résultats ou la page de récapitulatif de la tâche qui est créée lorsqu'Identity Manager complète la tâche.
Dans Identity Manager version 8.0, les schémas de processus étaient désactivés tant pour les nouvelles installations que pour les mises à jour.
Ouvrez l'objet Configuration système pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.
Localisez l'élément XML suivant :
<Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute> |
Remplacez la valeur true par la valeur false.
Cliquez sur Enregistrer.
Redémarrez votre ou vos serveurs pour que le changement soit appliqué.
Les schémas de processus peuvent également être activés dans l'interface utilisateur final à condition d'avoir été activés au préalable dans l'interface administrateur en suivant les étapes indiquées plus haut. Pour de plus amples détails, voir la section Pour activer les schémas de processus dans l'interface utilisateur final.
Vous pouvez créer et gérer des utilisateurs depuis l'onglet Comptes de la barre de menu de l'interface administrateur.
Dans l'interface administrateur, cliquez sur Comptes.
Pour créer un utilisateur dans une organisation spécifique, sélectionnez cette dernière puis sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.
Sinon, pour créer un utilisateur dans l'organisation supérieure, sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.
Indiquez les informations requises dans les onglets ou sections suivants.
Identité. Nom, organisation, mot de passe et autres détails (voir Onglet Identité).
Ressources. Assignations de ressources individuelles et groupes de ressources, exclusions de ressources (voir Onglet Ressources).
Rôles. Assignations de rôle. Pour plus d'informations sur les rôles, voir la section Comprendre et gérer les rôles. Pour les instructions à suivre pour compléter l'onglet Rôles, reportez-vous à Pour assigner des rôles à un utilisateur.
Sécurité. Rôles admin, organisations contrôlées et capacités. Également, paramètres des formulaires utilisateur et stratégie de compte (voir Onglet Sécurité).
Délégations. Délégations d'éléments de travail (voir Onglet Délégations).
Attributs. Attributs spécifiques pour ressources assignées (voir Onglet Attributs).
Conformité. Sélectionne les formulaires d'attestation et de résolution pour le compte utilisateur. La zone Conformité permet également de spécifier les stratégies d'audit assignées au compte utilisateur, notamment celles appliquées via l'assignation d'organisation de l'utilisateur. Cet onglet indique le statut actuel des scannages, violations et dispenses de stratégie, et comprend des informations sur le dernier scannage de stratégie d'audit de l'utilisateur (voir Onglet Attributs).
Vous remarquerez que les sélections disponibles dans une zone dépendent des sélections effectuées dans une autre zone.
Cependant, pour mieux tenir compte des processus de votre entreprise ou de capacités administrateur spécifiques, il vous convient de créer des formulaires utilisateur personnalisés pour votre environnement. Pour plus d'informations sur la personnalisation du formulaire utilisateur, voir le Customizing Forms du Sun Identity Manager Deployment Reference.
Lorsque vous avez terminé, enregistrez le compte.
Deux options s'offrent à vous pour enregistrer un compte utilisateur :
Enregistrer. Enregistre le compte utilisateur. Si vous assignez un grand nombre de ressources au compte, ce processus peut prendre du temps.
Enregistrer en arrière-plan. Ce processus enregistre un compte utilisateur en tant que tâche d'arrière-plan, ce qui permet de continuer à travailler dans Identity Manager. Un indicateur de statut de tâche s'affiche sur la page Comptes, la page de résultat de recherche d'utilisateurs et la page Accueil, pour chaque enregistrement en cours.
Les indicateurs de statut, comme décrit dans le tableau suivant, facilitent le contrôle de la progression du processus d'enregistrement.
Indicateur de statut |
Statut |
---|---|
|
Le processus d'enregistrement est en cours. |
|
Le processus d'enregistrement a été suspendu. Ceci signifie généralement que le processus attend une approbation. |
|
Le processus a été exécuté avec succès. Ceci signifie que le processus s'est terminé sans erreur et non que l'utilisateur a été enregistré correctement. |
|
Le processus n'a pas encore démarré. |
|
Le processus s'est terminé avec une ou plusieurs erreurs. |
En déplaçant votre souris sur l'icône utilisateur s'affichant avec l'indicateur de statut, vous pouvez obtenir des détails sur le processus d'enregistrement en arrière-plan.
Si l’ouverture est configurée, créer un utilisateur crée un élément de travail qui peut être affiché depuis l’onglet Approbations. Approuver cet élément ignore la date d'ouverture et crée le compte. Rejeter l'élément annule la création du compte. Pour plus d'informations sur la configuration de l'ouverture, reportez-vous à Configuration de l'onglet Ouverture et clôture .
Identity Manager offre la possibilité d'assigner plusieurs comptes de ressources à un même utilisateur. Le logiciel permet en effet de définir plusieurs types de comptes de ressources ou types de comptes pour chaque ressource. Les types de comptes de ressources doivent être créés de façon à correspondre à chacun des types de comptes fonctionnels figurant sur la ressource. Par exemple, AIX SuperUser ou AIX BusinessAdmin.
Dans certaines situations, un utilisateur Identity Manager peut avoir besoin de plusieurs comptes sur une même ressource. Un utilisateur peut, en effet, avoir plusieurs fonctions professionnelles liées à la ressource en question. Il peut, par exemple, être à la fois utilisateur et administrateur de cette ressource. Les pratiques recommandées suggèrent d'utiliser des comptes séparés pour chaque fonction. De la sorte, si l'un des comptes est compromis, l'accès accordé par le biais de l'autre compte reste sécurisé.
Pour qu'une ressource prenne en charge plusieurs comptes pour un même utilisateur, les types de comptes de la ressource doivent être définis au préalable dans Identity Manager. Pour définir les types de comptes de ressource pour une ressource, utilisez l'assistant Ressource. Pour toute informations, reportez-vous à Gestion de la liste des ressources.
Vous devez activer et configurer les types de comptes de ressource avant de les assigner aux utilisateurs.
Une fois les types de comptes définis, vous pouvez les assigner à une ressource. Identity Manager traite chaque assignation de type de comptes comme un compte séparé. Résultat, toute assignation distincte dans un rôle peut avoir un ensemble d'attributs différent.
À l'instar du cas où nous avons un unique compte par ressource, toutes les assignations d'un type spécifique ne créent qu'un compte, quel que soit leur nombre.
Bien que vous puissiez assigner les utilisateurs à tout nombre de types de comptes différents sur une ressource, chaque utilisateur ne peut se voir assigner qu'un compte d'un type donné sur une ressource. L'exception à cette règle est le type « default » (par défaut) intégré. Les utilisateurs peuvent avoir n'importe quel nombre de comptes du type par défaut sur une ressource. Ceci n'est cependant pas recommandé car cela peut engendrer une certaine confusion au moment de référencer les comptes dans les formulaires et les vues.
La fonctionnalité de recherche d'Identity Manager permet de rechercher des comptes utilisateur. Une fois les paramètres de recherche saisis et sélectionnés, Identity Manager trouve tous les comptes correspondant à vos sélections.
Pour rechercher des comptes, sélectionnez Comptes -> Rechercher des utilisateurs dans la barre de menu. Vous pouvez rechercher des comptes en utilisant un ou plusieurs des types de recherche suivants :
Détails du compte (tels que ses nom d'utilisateur, adresse e-mail, nom ou prénom). Ces choix dépendent de l'implémentation Identity Manager spécifique de votre entreprise.
Responsable de l'utilisateur. Le nom d'utilisateur du responsable s'affiche entre parenthèses si le nom d'utilisateur ne correspond à aucun compte existant dans Identity Manager.
Statut du compte de ressource. Les options possibles sont les suivantes :
Désactivé. L'utilisateur ne peut accéder à aucun compte Identity Manager ou compte de ressource assigné.
Désactivé partiellement. L'utilisateur ne peut pas accéder à un ou plusieurs comptes de ressources.
Activé. L'utilisateur a accès à tous les comptes de ressources assignés.
Ressource assignée. Les options possibles sont les suivantes :
Rôle (voir Pour rechercher des utilisateurs assignés à un rôle spécifique),
Organisation,
Contrôle organisationnel,
Capacités,
Rôle admin.
Statut du compte utilisateur. Les options possibles sont les suivantes :
Verrouillé. Le compte utilisateur est verrouillé car le nombre maximal d'échecs de connexion par mot de passe ou questions a dépassé le maximum autorisé.
Pas verrouillé. L'accès au compte utilisateur n'est pas limité.
Statut de mise à jour. Les options possibles sont les suivantes :
non. Comptes utilisateur qui n'ont été mis à jour sur aucune ressource.
quelques. Comptes utilisateur qui ont été mis à jour sur au moins une, mais pas sur toutes les ressources assignées.
tous. Comptes utilisateur qui ont été mis à jour sur toutes les ressources assignées.
La liste des résultats de recherche affiche tous les comptes correspondant à votre recherche.
Depuis la page des résultats, vous pouvez :
Sélectionner des comptes utilisateur à éditer. Pour éditer un compte, cliquez dessus dans la liste des résultats de recherche ; ou sélectionnez-le dans la liste puis cliquez sur Éditer.
Effectuer des actions (par exemple activer, désactiver, déverrouiller, supprimer, mettre à jour ou changer/définir les mots de passe) sur un ou plusieurs comptes. Pour effectuer une action, sélectionnez un ou plusieurs comptes dans la liste des résultats de recherche puis cliquez sur l'action appropriée.
Créer des comptes utilisateur.
Les informations de cette section couvrent l'affichage, l'édition, la réassignation et le renommage des comptes utilisateur.
Utilisez la page Afficher l’utilisateur et exécutez les étapes suivantes pour afficher les informations relatives aux comptes.
Dans l'interface administrateur, cliquez sur Comptes dans le menu.
La page Liste des utilisateurs s'ouvre.
Sélectionnez la case en regard de l'utilisateur dont vous voulez afficher les comptes.
Dans le menu déroulant Actions de l’utilisateur, sélectionnez Afficher.
La page Afficher l’utilisateur affiche un sous-ensemble des informations relatives à l'identité, les assignations, la sécurité, les délégations, les attributs et la conformité de l'utilisateur. Les informations de la page Afficher l’utilisateur sont en simple consultation et ne peuvent pas être éditées.
Cliquez sur Annuler pour revenir à la liste Comptes.
Utilisez la page Éditer l’utilisateur et exécutez les étapes suivantes pour éditer les informations relatives aux comptes.
Dans l'interface administrateur, cliquez sur Comptes dans le menu.
Sélectionnez la case en regard de l'utilisateur dont vous voulez éditer le compte.
Dans le menu déroulant Actions de l’utilisateur, sélectionnez Éditer.
Apportez les modifications de votre choix et enregistrez-les.
Identity Manager affiche la page de mise à jour des comptes de ressources. Cette page indique les comptes de ressources assignés à l'utilisateur et les changements qui vont être appliqués au compte.
Sélectionnez Mettre tous les comptes de ressources à jour pour appliquer les changements à toutes les ressources assignées, ou sélectionnez un, plusieurs ou aucun des comptes de ressources associés à l'utilisateur concerné par la mise à jour.
Cliquez de nouveau sur Enregistrer pour terminer l'édition ou cliquez sur Retourner à Éditer pour apporter d'autres changements.
L'action de déplacement permet de supprimer un ou plusieurs utilisateurs d'une organisation et de réassigner, ou déplacer, les utilisateurs dans une nouvelle organisation.
Dans l'interface administrateur, cliquez sur Comptes dans le menu.
La page Liste des utilisateurs s'ouvre.
Sélectionnez la case en regard du ou des utilisateurs à déplacer.
Dans le menu déroulant Actions de l’utilisateur, sélectionnez Déplacer.
La page Modification de l’organisation des utilisateurs s'ouvre.
Sélectionnez l'organisation que vous voulez réassigner à l'utilisateur et cliquez sur Lancer.
En règle générale, le renommage d'un compte est une opération complexe. C'est pour cette raison qu'Identity Manager fournit une fonctionnalité distincte permettant de renommer le compte Identity Manager d'un utilisateur, ou un ou plusieurs des comptes de ressources associés à cet utilisateur.
Pour utiliser cette fonctionnalité de renommage, sélectionnez un compte utilisateur dans la liste puis sélectionnez l'option Renommer dans la liste Actions de l'utilisateur.
La page Renommer des utilisateurs permet de changer le nom du compte utilisateur, les noms de comptes de ressources associés et les attributs de comptes de ressources associés au compte Identity Manager de l'utilisateur.
Certains types de ressources ne prennent pas en charge le renommage des comptes.
Comme illustré dans la figure suivante, l'utilisateur a une ressource Active Directory assignée.
Pendant le processus de renommage, vous pouvez changer :
le nom du compte utilisateur Identity Manager,
le nom du compte de ressources Active Directory,
l'attribut de ressource Active Directory (nom complet).
Dans le cadre d'une action de mise à jour, Identity Manager met à jour les ressources associées à un compte utilisateur. Les mises à jour effectuées depuis la zone Comptes envoient tous les changements en attente apportés au préalable à un utilisateur aux ressources sélectionnées.
Ce cas de figure peut se présenter si :
une ressource n'était pas disponible au moment des mises à jour ;
un changement apporté à un rôle ou un groupe de ressources devait être diffusé à tous les utilisateurs assignés à ce rôle/groupe de ressources. Dans ce cas, vous devez utiliser la page Rechercher des utilisateurs pour rechercher les utilisateurs puis sélectionner un ou plusieurs utilisateurs sur lesquels exécuter l'action de mise à jour.
Lorsque vous mettez à jour le compte utilisateur, vous avez les options suivantes :
Choisir si les comptes de ressources assignés recevront les informations mises à jour.
Mettre à jour tous les comptes de ressources ou sélectionner des comptes individuels dans une liste.
Pour mettre à jour un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Mettre à jour dans la liste Actions de l'utilisateur.
Sur la page de mise à jour des comptes de ressources, sélectionnez une ou plusieurs ressources à mettre à jour ou sélectionnez Mettre tous les comptes de ressources à jour pour mettre à jour tous les comptes de ressources assignés. Lorsque vous avez terminé, cliquez sur OK pour commencer le processus de mise à jour. Vous pouvez aussi cliquer sur Enregistrer en arrière-plan pour effectuer l'action en tant que processus d'arrière-plan.
Une page de confirmation confirme les données envoyées à chaque ressource.
La Figure 3–3 illustre la page de mise à jour des comptes de ressources.
Vous pouvez mettre à jour deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Mettre à jour dans la liste Actions de l'utilisateur.
Lorsque vous choisissez de mettre à jour plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans chaque compte utilisateur. Ce processus met en effet à jour toutes les ressources de tous les comptes utilisateur que vous sélectionnez.
Dans Identity Manager, les comptes utilisateur Identity Manager se suppriment de la même façon que les comptes de ressources distants. Suivez les mêmes étapes que pour supprimer un compte de ressource en sélectionnant un compte Identity Manager pour la suppression au lieu d'un compte de ressource distant.
Si un utilisateur a des éléments de travail en suspens ou des éléments de travail en suspens qui ont été délégués à un autre utilisateur, Identity Manager ne permettra pas de supprimer son compte Identity Manager. Pour pouvoir supprimer le compte Identity Manager de l'utilisateur, les éléments de travail délégués doivent soit être résolus soit être transmis à un autre utilisateur.
Pour plus d'informations, reportez-vous à Suppression de ressources d'un unique compte utilisateur et Suppression de ressources de plusieurs comptes utilisateur.
Identity Manager fournit plusieurs opérations de suppression pouvant être utilisées pour supprimer l'accès à un compte utilisateur Identity Manager depuis une ressource :
Supprimer. Pour chaque ressource sélectionnée, Identity Manager supprime le compte de l'utilisateur sur la ressource distante (pour supprimer un utilisateur Identity Manager, sélectionnez Identity Manager en tant que ressource).
Les comptes de ressources supprimés voient leur lien automatiquement supprimé de l'utilisateur Identity Manager.
L'assignation des comptes de ressources supprimés à l'utilisateur n'est pas annulée. La ressource reste assignée à l'utilisateur à moins que l'action d'annulation d'assignation ne soit également sélectionnée.
Annuler l'assignation. Identity Manager supprime chacune des ressources sélectionnées de la liste des ressources assignées de l'utilisateur.
Les comptes de ressources dont l'assignation est annulée voient automatiquement leur lien supprimé de l'utilisateur Identity Manager.
Le compte utilisateur sur la ressource distante n'est pas supprimé. Le compte reste intact à moins que l'action de suppression ne soit également sélectionnée.
Annuler le lien. Pour chaque ressource sélectionnée, les informations de compte de ressource de l'utilisateur sont supprimées d'Identity Manager.
Le compte de l'utilisateur sur la ressource distante reste intact à moins qu'une action de suppression ne soit également sélectionnée.
La ressource continue à figurer dans la liste des ressources assignées de l'utilisateur à moins qu'une action d'annulation d'assignation ne soit également sélectionnée.
Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.
Bien que suspendre figure parmi les actions de l'utilisateur dans les menus de la page Liste des utilisateurs, il n'y a actuellement que trois actions de suppression dans Identity Manager : supprimer, annuler l'assignation et annuler le lien.
Pour suspendre une ressource distante, utilisez les actions supprimer et annuler l'assignation sur la ressource.
Suivez la procédure ci-après pour effectuer une opération de suppression sur un unique utilisateur Identity Manager. En travaillant avec un compte utilisateur à la fois, vous pouvez spécifier des opérations supprimer, annuler l'assignation et/ou annuler le lien différentes pour les comptes de ressources individuels.
Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.
La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.
Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.
Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.
Identity Manager affiche la page Supprimer des comptes de ressources (Figure 3–4).
Remplissez le formulaire. Pour plus d'informations sur les actions Supprimer, Annuler l'assignation et Supprimer le lien, reportez-vous à Suppression des ressources des comptes utilisateur.
Cliquez sur OK.
La Figure 3–4 illustre la page Supprimer des comptes de ressources. Dans la capture d'écran, l'utilisateur jrenfro a un compte actif sur une ressource distante (la ressource simulée). L'action Supprimer est sélectionnée, ce qui signifie qu'à la soumission du formulaire, le compte de jrenfro sur la ressource sera supprimé. Les comptes supprimés voyant automatiquement leur lien supprimé, les informations de compte de cette ressource seront supprimées d'Identity Manager. La ressource simulée restera assignée à jrenfro car l'action Annuler l'assignation n'est pas sélectionnée.
Pour supprimer le compte Identity Manager de jrenfro, l'action Supprimer doit être sélectionnée pour Identity Manager.
Vous pouvez effectuer une opération de suppression sur plusieurs comptes utilisateur Identity Manager à la fois, mais pouvez uniquement effectuer l'opération de suppression sélectionnée sur tous les comptes de ressources de l'utilisateur.
Les opérations de suppression peuvent également être effectuées en utilisant la fonctionnalité Actions de compte en masse d'Identity Manager. Voir les Commandes Delete, DeleteAndUnlink, Disable, Enable, Unassign et Unlink.
Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.
La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.
Sélectionnez un ou plusieurs utilisateurs et cliquez dans le menu déroulant Actions de l'utilisateur.
Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.
Identity Manager affiche la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien (Figure 3–5).
Spécifiez l'action à effectuer.
Les options sont les suivantes :
Supprimer l’utilisateur uniquement. Supprime les comptes Identity Manager du ou des utilisateurs sélectionnés. Cette option ne supprime pas les comptes de ressources des utilisateurs et n'en annule pas l'assignation.
Supprimer l’utilisateur et les comptes de ressources. Supprime les comptes Identity Manager des utilisateurs et l'ensemble de leurs comptes de ressources.
Supprimer seulement les comptes de ressources. Supprime tous les comptes de ressources des utilisateurs. Cette option n'annule pas l'assignation des comptes de ressources ni ne supprime les comptes Identity Manager des utilisateurs.
Supprimer les comptes de ressources et annuler l’assignation des ressources directement assignées à l’utilisateur. Cette option supprime et annule l'assignation de tous les comptes de ressources des utilisateurs mais ne supprime pas les comptes Identity Manager des utilisateurs.
Annuler l’assignation des comptes de ressources directement assignés à l’utilisateur. Annule les assignations des comptes de ressources assignés directement. Cette option ne supprime pas les comptes des utilisateurs sur les ressources distantes. Les comptes de ressources assignés via un rôle ou un groupe de ressources ne sont pas concernés.
Annuler les liens entre les comptes de ressources et l’utilisateur. Les informations de compte de ressource des utilisateurs sont supprimées d'Identity Manager. Les comptes des utilisateurs situés sur les ressources distantes ne sont pas supprimés et leur assignation n'est pas annulée. Les comptes indirectement assignés aux utilisateurs par le biais d'un rôle ou d'un groupe de ressources peuvent être restaurés lors de la mise à jour des utilisateurs.
Cliquez sur OK.
La Figure 3–5 illustre la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien. La partie supérieure de cette page affiche les six actions disponibles pouvant être effectuées pour plusieurs utilisateurs. La partie inférieure de la page indique les utilisateurs qui seront concernés par l'action sélectionnée.
Tous les utilisateurs Identity Manager se voient assigner un mot de passe. Lorsqu'il est défini, le mot de passe utilisateur Identity Manager est utilisé pour synchroniser les mots de passe des comptes de ressources de l'utilisateur. Si un ou plusieurs mots de passe de comptes de ressources ne peuvent pas être synchronisés (par exemple, afin que les stratégies de mots de passe soient respectées), vous pouvez les définir individuellement.
Pour toute information sur les stratégies de mot de passe de compte et pour des informations d'ordre général sur l'authentification des utilisateurs, lisez la section Gestion de la sécurité des comptes et des privilèges dans ce même chapitre.
Vous pouvez utiliser l'action utilisateur Modifier le mot de passe de la page Liste des utilisateurs (Comptes -> Lister les comptes) pour modifier le mot de passe d'un utilisateur depuis la page Liste des utilisateurs. Procédez comme suit :
Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.
La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.
Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.
Pour changer le mot de passe, sélectionnez Modifier le mot de passe.
La page Changement du mot de passe s'ouvre.
Saisissez le nouveau mot de passe et cliquez sur le bouton Modifier le mot de passe.
Pour modifier le mot de passe d'un compte utilisateur depuis le menu principal, suivez les étapes ci-dessous :
Dans l'interface administrateur, cliquez sur Mots de passe dans le menu principal.
La page Changement du mot de passe s'ouvre par défaut.
Sélectionnez un terme à rechercher (par exemple un nom de compte, une adresse e-mail, un nom ou un prénom) puis un type de recherche (commence par, comprend ou est).
Saisissez la ou les premières lettres du terme à rechercher dans le champ d'entrée puis cliquez sur Trouver. Identity Manager retourne la liste des utilisateurs dont les ID contiennent les caractères saisis. Cliquez pour sélectionner un utilisateur et revenir à la page Changer le mot de passe de l'utilisateur.
Saisissez et confirmez les nouvelles informations de mot de passe puis cliquez sur Modifier le mot de passe pour changer le mot de passe utilisateur sur les comptes de ressources listés. Identity Manager affiche un schéma de flux de travaux indiquant la séquence d'actions entreprise pour modifier le mot de passe.
Le processus de réinitialisation des mots de passe de compte utilisateur Identity Manager est similaire au processus de changement des mots de passe. La différence par rapport à un changement de mot de passe est que vous ne devez pas spécifier de nouveau mot de passe. Dans ce cas en effet, Identity Manager génère un nouveau mot de passe de manière aléatoire (selon vos sélections et les stratégies de mot de passe) pour le compte utilisateur, les comptes de ressource ou une combinaison de ces éléments.
La stratégie assignée à l'utilisateur (par assignation directe ou au travers de l'organisation de l'utilisateur) contrôle plusieurs options de réinitialisation, notamment :
le nombre de fois où un mot de passe peut être réinitialisé avant que les réinitialisations ne soient désactivées ;
l'endroit où le nouveau mot de passe s'affiche ou auquel il est envoyé.
Selon l'Option de notification de la réinitialisation sélectionnée pour le rôle, Identity Manager envoie le nouveau mot de passe par e-mail à l'utilisateur ou l'affiche (sur la page Résultats) pour l'administrateur Identity Manager demandant la réinitialisation.
L'action utilisateur Réinitialisation du mot de passe est disponible sur la page Liste des utilisateurs (Comptes > Lister les comptes).
Pour réinitialiser un mot de passe depuis la page Liste des utilisateurs, suivez les étapes ci-après :
Dans l'interface administrateur, cliquez sur Comptes dans le menu principal. La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.
Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.
Pour réinitialiser le mot de passe, sélectionnez Réinitialiser le mot de passe.
La page Réinitialiser le mot de passe de l’utilisateur s'ouvre.
Cliquez sur le bouton Réinitialiser le mot de passe.
Lorsque vous réinitialisez un mot de passe utilisateur, ce dernier expire immédiatement par défaut. Par conséquent, la première fois que les utilisateurs se connectent après une réinitialisation de mot de passe, ils doivent sélectionner un nouveau mot de passe pour pouvoir accéder au système. Vous pouvez éditer le formulaire Réinitialiser le mot de passe de l’utilisateur de sorte que le mot de passe de l'utilisateur expire selon la stratégie d'expiration des mots de passe définie dans la Stratégie de compte Identity Manager associée à cet utilisateur.
Utilisez le processus suivant pour ignorer la nécessité de changer par défaut le mot de passe :
Éditez le formulaire Réinitialiser le mot de passe de l’utilisateur et définissez la valeur suivante sur false.
resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword |
Utilisez l'option Réinitialiser de la stratégie de compte Identity Manager pour spécifier quand un mot de passe expire.
Les paramètres sont les suivants :
permanent. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie passwordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais.
temporaire. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie tempPasswordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais. Si tempPasswordExpiry est défini sur la valeur 0, le mot de passe expire immédiatement.
L'attribut tempPasswordExpiry s'applique uniquement en cas de réinitialisation (modification aléatoire) des mots de passe. Il ne s'applique pas aux changements de passe.
Cette section explique la désactivation et l'activation des comptes utilisateur Identity Manager. Elle indique également comment venir en aide aux utilisateurs dont les comptes Identity Manager ont été verrouillés.
Lorsque vous désactivez un compte utilisateur, vous modifiez ce compte de sorte que l'utilisateur ne puisse plus se connecter à Identity Manager ni à ses comptes de ressources assignés.
Il faut savoir que les administrateurs peuvent désactiver les comptes utilisateur depuis l'interface administrateur, mais ne peuvent pas verrouiller les comptes utilisateur. Les comptes ne sont verrouillés que dans le cas où l'utilisateur dépasse le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte Identity Manager.
Si une ressource assignée n'a pas de prise en charge native pour la désactivation des comptes mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour désactiver les comptes utilisateur sur cette ressource en assignant de nouveaux mots de passe générés de manière aléatoire.
Utilisez les étapes suivantes pour vous assurer que cette fonctionnalité fonctionne correctement :
Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions sur l'ouverture de l'assistant).
Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Désactiver ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Désactiver, sélectionnez Afficher toutes les caractéristiques).
Si la fonctionnalité Désactiver n'a pas de coche dans la colonne Désactiver ?, il est impossible de désactiver les comptes dans la ressource.
Pour désactiver un compte utilisateur, sélectionnez-le dans la Liste des utilisateurs puis sélectionnez l'option Désactiver dans la liste Actions de l'utilisateur.
Sélectionnez les comptes de ressources à désactiver sur la page Désactiver qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de la désactivation du compte utilisateur Identity Manager et de tous les comptes de ressources associés. La liste des comptes indique que l'utilisateur est désactivé.
Vous pouvez désactiver deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Désactiver dans la liste Actions de l'utilisateur.
Lorsque vous choisissez de désactiver plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus désactive en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.
L'activation des comptes utilisateur est l'inverse du processus de désactivation.
Selon les options de notification sélectionnées, Identity Manager affiche également le mot de passe sur la page de résultats de l'administrateur.
L'utilisateur peut alors réinitialiser son mot de passe (via le processus d'authentification) qui peut aussi être réinitialisé par un utilisateur disposant de privilèges d'administrateur.
Si une ressource assignée est dépourvue de prise en charge native pour l'activation des comptes, mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour activer les comptes utilisateur sur cette ressource entre deux réinitialisations de mot de passe.
Pour que cette fonctionnalité fonctionne correctement, procédez comme suit :
Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions d'ouverture de l'assistant).
Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Activer ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Activer, sélectionnez Afficher toutes les caractéristiques).
Si la fonctionnalité Activer n'a pas de coche dans la colonne Désactiver ?, il est impossible d'activer les comptes dans la ressource.
Pour activer un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Activer dans la liste Actions de l'utilisateur.
Sélectionnez les ressources à activer sur la page Activer qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de l'activation du compte utilisateur Identity Manager et de tous les comptes de ressources associés.
Vous pouvez activer deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Activer dans la liste Actions de l'utilisateur.
Lorsque vous choisissez d'activer plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus active en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.
Les comptes des utilisateurs sont verrouillés lorsque les tentatives de connexion à Identity Manager des utilisateurs échouent. Pour que son compte soit verrouillé, l'utilisateur doit dépasser le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte d'Identity Manager.
Seules les tentatives de connexion effectuées sur une interface utilisateur d'Identity Manager sont prises en compte pour le verrouillage d'un compte Identity Manager (c'est-à-dire, l'interface administrateur, l'interface administrateur final, l'interface de ligne de commande ou l'interface API SPML). Les tentatives de connexion à des comptes de ressources ayant échoué ne sont pas comptabilisées et n'entraînent pas le verrouillage des comptes Identity Manager des utilisateurs.
La stratégie de compte Identity Manager établit le nombre maximal de tentatives de connexion par mot de passe ou questions ratées autorisées.
Pour les utilisateurs qui dépassent ce nombre maximal d'échecs de connexion par mot de passe, toutes les interfaces de l'application Identity Manager sont alors verrouillées, interface Mot de passe oublié incluse.
Les utilisateurs qui dépassent le nombre maximal d'échecs de connexion par questions peuvent quant à eux s'authentifier sur toute interface de l'application Identity Manager à l'exception de Mot de passe oublié.
Les utilisateurs pour lesquels Identity Manager est verrouillé à cause d'un trop grand nombre d'échecs de connexion par mot de passe ne pourront se connecter que lorsqu'un administrateur déverrouillera le compte en question ou à l'expiration du verrou.
Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.
Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par mot de passe ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par mot de passe ayant échoué dans.
Les utilisateurs pour lesquels l'interface Mot de passe oublié est verrouillée à cause d'un trop grand nombre d'échecs de connexion par questions pourront uniquement se connecter lorsqu'un administrateur déverrouillera le compte en question, lorsque l'utilisateur verrouillé (ou un utilisateur ayant les capacités appropriées) changera ou réinitialisera le mot de passe de l'utilisateur ou à l'expiration du verrou.
Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.
Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par questions ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par questions ayant échoué dans.
Un administrateur doté des capacités appropriées peut effectuer les opérations suivantes sur un utilisateur à l'état verrouillé :
une mise à jour (reprovisioning de ressources compris),
un changement ou une réinitialisation de mot de passe,
une désactivation ou une activation,
une opération de renommage,
une opération de déverrouillage.
Pour déverrouiller des comptes, sélectionnez un ou plusieurs comptes utilisateur dans la liste puis sélectionnez Déverrouiller les utilisateurs dans la liste Actions de l'utilisateur ou Actions d'organisation.
Vous pouvez effectuer plusieurs actions en masse sur les comptes Identity Manager, ce qui permet d'agir sur plusieurs comptes en même temps.
Vous pouvez lancer les actions en masse de la manière suivante :
Supprimer. Supprime les comptes de ressource sélectionnés, en annule l'assignation et en supprime les liens. Sélectionnez l'option Appliquer au compte Identity Manager pour supprimer également le compte Identity Manager de chaque utilisateur.
Supprimer et Supprimer le lien. Supprime les comptes de ressources sélectionnés et les liens établis entre les comptes et les utilisateurs.
Désactiver. Désactive les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour désactiver également le compte Identity Manager de chaque utilisateur.
Activer. Active les comptes de ressource sélectionnés. Sélectionnez l'option Appliquer au compte Identity Manager pour activer également le compte Identity Manager de chaque utilisateur.
Annuler l’assignation, Annuler le lien. Supprime les liens de tous les comptes de ressource sélectionnés et annule les assignations de tous les comptes utilisateur Identity Manager. L'annulation de l'assignation n'entraîne pas la suppression du compte de la ressource. Vous ne pouvez pas annuler l'assignation d'un compte ayant été indirectement assigné à l'utilisateur Identity Manager via un rôle ou un groupe de ressources.
Annuler le lien. Supprime l'association (lien) d'un compte de ressource avec le compte utilisateur Identity Manager. La suppression du lien n'entraîne pas celle du compte de la ressource. Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur Identity Manager via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.
Les actions en masse fonctionneront de façon optimale si vous disposez d'une liste d'utilisateurs dans un fichier ou une application, par exemple un client de messagerie ou un tableur. Vous pouvez copier la liste et la coller dans un champ de cette page d'interface ou charger la liste des utilisateurs à partir d'un fichier.
Vous pouvez exécuter la plupart de ces actions sur les résultats d'une recherche d'utilisateurs. Utilisez la page Rechercher des utilisateurs (Compte -> Rechercher des utilisateurs) pour rechercher des utilisateurs.
Vous pouvez enregistrer les résultats d'une opération de compte en masse dans un fichier CSV en cliquant sur Télécharger CSV lorsque les résultats de la tâche s'affichent à la fin de la tâche.
Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.
Cliquez sur Lancer des actions en masse dans le menu secondaire.
Remplissez le formulaire et cliquez sur Lancer.
Identity Manager lance une tâche d’arrière-plan pour exécuter les actions en masse.
Pour contrôler le statut de la tâche d'actions en masse, cliquez sur Tâches du serveur dans le menu principal puis cliquez sur Toutes tâches.
Vous pouvez spécifier une liste d'actions en masse en utilisant le format CSV (valeurs séparées par des virgules). Ceci permet de combiner différents types d'action dans une liste d'actions. De plus, vous pouvez spécifier des actions de création et de mise à jour plus complexes.
Le format CSV se compose de deux lignes d'entrée minimum. Chaque ligne comprend une liste de valeurs séparées par des virgules. La première ligne contient des noms de champ. Les autres lignes correspondent chacune à une action à exécuter sur un utilisateur Identity Manager, sur les comptes de ressource de l'utilisateur ou sur ces deux éléments. Chaque ligne doit contenir le même nombre de valeurs. Les valeurs vides ne modifient pas la valeur des champs correspondants.
Deux champs sont obligatoires pour toute entrée CSV d'action en masse:
user (utilisateur). Contient le nom de l'utilisateur Identity Manager.
command (commande). Contient le nom de l'action entreprise sur l'utilisateur Identity Manager. Les commandes valides sont les suivantes :
Delete (Supprimer). Supprime, annule les assignations et supprime les liens des comptes de ressources, du compte Identity Manager ou de ces deux éléments.
DeleteAndUnlink (Supprimer et supprimer le lien). Supprime les comptes de ressources et en supprime les liens.
Disable (Désactiver). Désactive les comptes de ressources, le compte Identity Manager ou tous ces éléments.
Enable (Activer). Active les comptes de ressources, le compte Identity Manager ou tous ces éléments.
Unassign (Annuler l'assignation). Annule les assignations et supprime les liens des comptes de ressources.
Unlink (Annuler le lien). Supprime les liens des comptes de ressources.
Create (Créer). Crée le compte Identity Manager. Crée en option des comptes de ressources.
Update (Mettre à jour). Met à jour le compte Identity Manager. En option, crée, met à jour ou supprime les comptes de ressources.
CreateOrUpdate (Créer ou mettre à jour). Exécute une action de création si le compte Identity Manager n'existe pas. Sinon, cette commande exécute une opération de mise à jour.
Si vous exécutez une action de type Delete, DeleteAndUnlink, Disable, Enable, Unassign ou Unlink, le seul champ supplémentaire à spécifier est le champ resources (ressources). Ce dernier permet de spécifier les comptes qui seront concernés sur les différentes ressources.
Le champ resources peut présenter les valeurs suivantes :
all. Traite tous les comptes de ressource, y compris le compte Identity Manager.
resonly. Traite tous les comptes de ressource, sauf le compte Identity Manager.
nom_ressource [ | nom_ressource ... ]. Traite les comptes de ressource spécifiés. Spécifie à Identity Manager de traiter le compte Identity Manager.
Voici un exemple de format CSV pour plusieurs de ces actions :
command,user,resources Delete,John Doe,all Disable,Jane Doe,resonly Enable,Henry Smith,Identity Manager Unlink,Jill Smith,Windows Active Directory|Solaris Server
Si vous exécutez des commandes Create, Update ou CreateOrUpdate, en plus des champs user et command, vous pouvez spécifier des champs à partir de la vue utilisateur. Les noms de champ utilisés sont les expressions de chemin des attributs figurant dans les vues. Pour toute information sur les attributs disponibles dans la vue utilisateur, reportez-vous à User View Attributes du Sun Identity Manager Deployment Reference. Si vous utilisez un formulaire d'utilisateur personnalisé, les noms de champ du formulaire contiennent certaines des expressions de chemin que vous pouvez utiliser.
Voici certaines des expressions de chemin les plus courantes dans les actions en masse :
waveset.roles. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.
waveset.resources. Liste d'un ou plusieurs noms de ressource à assigner au compte Identity Manager.
waveset.applications. Liste d'un ou plusieurs noms de rôle à assigner au compte Identity Manager.
waveset.organization. Nom de l'organisation dans laquelle placer le compte Identity Manager.
accounts[ nom_ressource].nom_attribut. Attribut d'un compte de ressource. Les noms des attributs sont listés dans le schéma de la ressource.
Voici un exemple de format CSV pour des actions de création et de mise à jour :
command,user,waveset.resources,password.password, password.confirmPassword,accounts[Windows Active Directory].description, accounts[Corporate Directory].location Create,John Doe, Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555, Create,Jane Smith,Corporate Directory,changeit,changeit,,New York CreateOrUpdate,Bill Jones,,,,,California
La commande CreateOrUpdate permet de spécifier un type de compte spécifique sur une ressource prenant en charge plusieurs types de comptes. Ainsi, si un utilisateur possède plusieurs comptes sur une ressource donnée, chacun d'un type différent, l'exemple suivant illustre comment mettre à jour le type de compte admin pour l'utilisateur userAye :
command,user,accounts[Sim1|admin].emailAddress CreateOrUpdate,userAye,bbye8@example.com
Bien que la commande CreateOrUpdate permette de définir des attributs propres aux différents comptes d'un utilisateur, n'oubliez pas que les valeurs suivantes de la section globale de la vue Utilisateur sont appliquées à tous les comptes spécifiés :
accountId,
email,
password,
disable,
tous les attributs étendus.
Par conséquent, une commande BulkOps de la forme suivante pourrait ne pas fonctionner comme prévu.
command,user,accounts[Sim1].email CreateOrUpdate,userAye,bbye8@example.com
Si userAye dispose déjà d'une valeur pour email, celle-ci sera appliquée à l'attribut email de la ressource Sim1. Il n'existe aucun moyen de modifier ce comportement.
Certains champs peuvent contenir plusieurs valeurs. Ils sont appelés champs à valeurs multiples. Par exemple, le champ waveset.resources peut être utilisé pour assigner·plusieurs ressources à un utilisateur. Vous pouvez utiliser une barre verticale (|) pour séparer des valeurs multiples dans un champ. Pour spécifier des valeurs multiples, respectez la syntaxe suivante :
value0 | value1 [ | value2 ... ]
Lorsque vous mettez à jour des champs à valeurs multiples pour des utilisateurs existants, le remplacement des valeurs actuelles des champs par une ou plusieurs nouvelles valeurs peut ne pas donner le résultat escompté. Vous pouvez vouloir supprimer certaines valeurs ou ajouter d'autres valeurs courantes. Vous pouvez utiliser des directives de champ pour spécifier comment traiter les valeurs existantes des champs. Ces directives se placent devant la valeur du champ et sont encadrées par une barre verticale comme suit :
|directive [ ; directive ] | field values
Vous pouvez choisir parmi les directives suivantes :
Remplacer. Remplace les valeurs actuelles par les valeurs spécifiées. C'est la valeur par défaut si aucune directive (ou seule la directive Lister) est spécifiée.
Fusionner. Ajoute les valeurs spécifiées aux valeurs actuelles. Les valeurs en double sont filtrées.
Supprimer. Supprime les valeurs spécifiées des valeurs actuelles.
Lister. Force le champ à traiter la valeur comme si elle était multiple, même s'il ne s'agit que d'une seule valeur. Cette directive n'est habituellement pas nécessaire, car la plupart des champs sont traités de façon appropriée quel que soit le nombre de valeurs. C'est la seule directive qui peut être spécifiée avec une autre directive.
Les valeurs de champ sont sensibles à la casse. Ceci est important lorsque vous spécifiez les directives Fusionner et Supprimer. Les valeurs doivent être exactement identiques pour permettre une suppression correcte ou éviter d'avoir plusieurs valeurs similaires lors de la fusion.
Si une valeur de champ comporte une virgule (,) ou un guillemet (") ou si vous voulez préserver les espaces de tête ou de queue, vous devez insérer votre valeur de champ dans une paire de guillemets doubles ("valeur_champ"). Vous devez ensuite remplacer les guillemets doubles contenus dans la valeur de champ par deux guillemets doubles ("). Par exemple, "John ""Johnny"" Smith" donne la valeur de champ John "Johnny" Smith.
Si une valeur de champ contient une barre verticale (|) ou une barre oblique (\), vous devez la faire précéder d'une barre oblique (\| ou \\).
Lors de l'exécution des actions Create, Update ou CreateOrUpdate, la vue utilisateur comporte des attributs supplémentaires exclusivement utilisés ou disponibles pendant le traitement de l'action en masse. Ces attributs peuvent être référencés dans le formulaire utilisateur pour permettre un comportement spécifique aux actions en masse.
Ces attributs sont les suivants :
Les attributs waveset.bulk.fields.nom_champ contiennent les valeurs des champs lus à partir de l'entrée CSV, où nom_champ désigne le champ. Par exemple, les champs command et user figurent dans les attributs avec, respectivement, les expressions de chemin waveset.bulk.fields.command et waveset.bulk.fields.user.
Les attributs waveset.bulk.fieldDirectives.nom_champ sont uniquement définis pour les champs pour lesquels une directive a été spécifiée. La valeur est la chaîne de la directive.
Définissez l'attribut booléen waveset.bulk.abort sur true pour abandonner l'action courante.
Définissez waveset.bulk.abortMessage sur une chaîne de message qui s'affichera lorsque waveset.bulk.abort aura pour valeur true. Si cet attribut n'est pas défini, un message d'abandon générique s'affichera.
Utilisez des règles de corrélation et de confirmation lorsque vous ne disposez pas d'un nom d'utilisateur Identity Manager à entrer dans le champ user (utilisateur) de vos actions. Si vous ne spécifiez pas de valeur pour le champ user, vous devez indiquer une règle de corrélation lors du lancement de l'action en masse. Si vous ne spécifiez pas de valeur pour le champ user, les règles de corrélation et de confirmation ne seront pas évaluées pour cette action.
Une règle de corrélation recherche les utilisateurs Identity Manager correspondant aux champs de l'action. Une règle de confirmation teste un utilisateur Identity Manager en le confrontant aux champs de l'action pour vérifier s'il correspond. Cette méthode en deux étapes permet à Identity Manager d'optimiser la corrélation en trouvant rapidement des utilisateurs possibles (d'après le nom ou des attributs) et en limitant l'exécution des contrôles coûteux à ces derniers.
Créez une règle de corrélation ou de confirmation en créant un objet Règle avec, respectivement, le sous-type SUBTYPE_ACCOUNT_CORRELATION_RULE ou SUBTYPE_ACCOUNT_CONFIRMATION_RULE.
Pour plus d'informations sur les règles de corrélation et de confirmation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.
L'entrée pour toute règle de corrélation est une mappe des champs d'action. La sortie doit être l'une des suivantes :
une chaîne (contenant un nom ou un ID utilisateur) ;
une liste d'éléments String (chacun étant un nom ou un ID utilisateur) ;
une liste d'éléments WSAttribute ;
une liste d'éléments AttributeCondition.
Une règle de corrélation type génère une liste de noms d'utilisateur d'après les valeurs des champs de l'action. Une règle de corrélation peut également générer une liste de conditions d'attributs (se référant à des attributs interrogeables de Type.USER) qui seront utilisées pour sélectionner des utilisateurs.
Une règle de corrélation doit être relativement peu coûteuse et la plus sélective possible. Si possible, reportez le traitement coûteux sur une règle de confirmation.
Les conditions d'attribut doivent faire référence à des attributs interrogeables de Type.USER. Ces derniers sont configurés dans l'objet Configuration Identity Manager nommé Configuration du schéma IDM.
La corrélation sur un attribut étendu requiert une configuration spéciale.
L'attribut étendu doit être spécifié comme interrogeable.
Ouvrez Configuration du schéma IDM. Vous devez avoir la capacité Configuration du schéma IDM pour afficher ou éditer Configuration du schéma IDM.
Localisez l'élément <IDMObjectClassConfiguration name=’User’>.
Localisez l'élément <IDMObjectClassAttributeConfiguration name=’ xyz ’>, où xyz est le nom de l'attribut que vous voulez définir comme interrogeable.
Définissez queryable=’true’
Dans les Règles de corrélation, l'attribut étendu email est défini comme interrogeable.
<IDMSchemaConfiguration> <IDMAttributeConfigurations> <IDMAttributeConfiguration name=’email’ syntax=’STRING’/> </IDMAttributeConfiguration> </IDMAttributeConfigurations> <IDMObjectClassConfigurations> <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’> <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/> </IDMObjectClassConfiguration> </IDMObjectClassConfigurations> </IDMSchemaConfiguration>
Vous devez redémarrer l'application Identity Manager (ou le serveur d'application) pour que le changement de Configuration du schéma IDM soit appliqué.
Les entrées dans toute règle de confirmation prennent la forme suivante :
Utilisez userview pour une vue complète d'un utilisateur Identity Manager.
Utilisez account pour une mappe des champs d'action.
Une règle de confirmation retourne une valeur booléenne sous forme de chaîne true si l'utilisateur correspond aux champs d'action, sinon elle retourne la valeur false.
Une règle de confirmation typique confronte les valeurs internes de la vue utilisateur aux valeurs des champs d'action. À titre de deuxième étape facultative du traitement de corrélation, la règle de confirmation effectue des contrôles qui ne peuvent pas être exprimés dans une règle de corrélation (ou qui sont trop coûteux à évaluer dans une règle de corrélation).
En règle générale, vous n'aurez besoin d'une règle de confirmation que quand :
la règle de corrélation peut retourner plusieurs utilisateurs correspondants ;
les valeurs utilisateur qui doivent être comparées ne sont pas interrogeables.
Une règle de confirmation est exécutée une fois pour chaque utilisateur correspondant renvoyé par la règle de corrélation.
Cette section examine les actions à votre disposition pour fournir un accès sécurisé aux comptes utilisateur et gérer les privilèges des utilisateurs dans Identity Manager :
Les stratégies de mot de passe de ressource établissent les limites applicables aux mots de passe. Les stratégies de mot de passe fortes assurent une sécurité supplémentaire pour protéger les ressources contre les tentatives de connexion non autorisées. Vous pouvez éditer une stratégie de mot de passe pour définir ou sélectionner des valeurs pour tout un éventail de caractéristiques.
Pour commencer à travailler avec les stratégies de mot de passe, cliquez sur Sécurité dans le menu principal, puis sur Stratégies.
Pour éditer une stratégie de mot de passe, cliquez dessus dans la liste Stratégies. Pour créer une stratégie de mot de passe, sélectionnez Stratégie de qualité de chaîne dans la liste d'options Nouveau.
Pour plus d'informations sur les stratégies, reportez-vous à Configuration des stratégies d'Identity Manager.
Les stratégies de mot de passe constituent le type par défaut des stratégies de qualité chaîne. Après avoir nommé la nouvelle stratégie et avoir entré une brève description, sélectionnez les options et les paramètres des règles qui la définissent.
Les règles de longueur définissent les nombres de caractères minimum et maximum requis pour un mot de passe. Sélectionnez cette option pour activer la règle puis saisissez une valeur seuil.
Choisissez l'un des boutons de type de stratégie suivants : Si vous choisissez l'option Autre, vous devez saisir le type dans le champ de texte fourni.
Les règles de type de caractères fixent les nombres de caractères minimum et maximum requis de certains types et les chiffres pouvant être inclus dans un mot de passe.
Elles incluent les éléments suivants :
les nombres minimum et maximum de caractères alphabétiques, numériques, majuscules, minuscules et spéciaux ;
les nombres minimum et maximum de caractères numériques imbriqués ;
le nombre maximum de caractères répétés et en séquence ;
les nombres minimum de caractères alphabétiques et numériques de début.
Saisissez une valeur limite numérique pour chaque règle de type de caractères ou saisissez Tous pour indiquer que tous les caractères doivent être de ce type.
Nombre minimal de règles de type de caractères
Vous pouvez aussi définir le nombre minimal de règles de type de caractères devant réussir la validation comme illustré à la Figure 3–7. Le nombre minimal de règles devant réussir est de une règle. Le maximum ne peut pas dépasser le nombre des règles de type de caractères que vous avez activées.
Pour définir le nombre minimal de règles de type de caractères devant réussir sur la valeur la plus haute, sélectionnez Tous.
Vous pouvez choisir de contrôler les mots de passe par rapport à un dictionnaire pour vous protéger contre les attaques par dictionnaire simples.
Pour pouvoir utiliser cette option, vous devez :
configurer le dictionnaire ;
charger les mots du dictionnaire.
Vous configurez le dictionnaire depuis la page Stratégies. Pour plus d'informations sur la configuration du dictionnaire, reportez-vous à Stratégie de dictionnaire.
Vous pouvez interdire la réutilisation des derniers mots de passe précédents pour un mot de passe nouvellement sélectionné.
Dans le champ Nombre de mots de passe antérieurs ne pouvant pas être réutilisés, saisissez une valeur numérique supérieure à un pour empêcher toute réutilisation des mots de passe actuels et précédents. Par exemple, si vous saisissez le chiffre 3, le nouveau mot de passe ne pourra pas être le même que le mot de passe actuel ni que les deux mots de passe le précédant.
Vous pouvez aussi interdire la réutilisation de caractères similaires à ceux employés dans les mots de passe précédents. Dans le champ Nombre maximal de caractères identiques à ceux des mots de passe précédents ne pouvant être réutilisés, indiquez le nombre de caractères consécutifs contenus dans les mots de passe précédents ne pouvant pas être réutilisés dans le nouveau mot de passe. Par exemple, si vous indiquez 7 et que le mot de passe précédent était password1, le nouveau mot de passe ne pourra pas être password2 ni password3.
Si vous entrez la valeur 0, tous les caractères doivent être différents indépendamment de leur ordre. Par exemple, si le mot de passe précédent était abcd, le nouveau mot de passe ne peut pas contenir les caractères a, b, c et d.
Cette règle peut s'appliquer à un ou plusieurs mots de passe précédents. Le nombre de mots de passe précédents vérifiés correspond à la valeur indiquée dans le champ Nombre de mots de passe précédents ne pouvant être réutilisés.
Vous pouvez entrer un ou plusieurs mots que le mot de passe ne doit en aucun cas contenir. Dans la zone d'entrée, saisissez un mot par ligne.
Vous pouvez également exclure des mots en configurant et en implémentant la stratégie de dictionnaire. Pour plus d'informations, reportez-vous à Stratégie de dictionnaire.
Vous pouvez entrer un ou plusieurs attributs que le mot de passe ne doit en aucun cas contenir.
Vous pouvez spécifier les attributs suivants :
accountID,
email,
firstname,
fullname,
lastname.
Vous pouvez modifier l'ensemble d'attributs « ne doit pas contenir » dans l'objet Configuration UserUIConfig. Pour plus d'informations, reportez-vous à Ne doit pas contenir les attributs dans les stratégies.
Les stratégies de mot de passe sont établies pour chaque ressource. Pour mettre une stratégie de mot de passe en place pour une ressource spécifique, sélectionnez-la dans la liste d'options Stratégie de mot de passe, figurant dans la zone Configuration de la stratégie des pages de l'assistant Créer ou Éditer la ressource : Paramètres Identity Manager.
Si un utilisateur oublie son mot de passe ou que son mot de passe est réinitialisé, il peut répondre à une ou plusieurs questions d'authentification pour accéder à Identity Manager. Vous établissez ces questions ainsi que les règles qui les régissent, dans une stratégie de compte Identity Manager. Contrairement aux stratégies de mot de passe, les stratégies de compte Identity Manager sont assignées à l'utilisateur directement ou au travers de l'organisation qui lui est assignée (sur les pages Créer un utilisateur et Éditer l'utilisateur).
Cliquez sur Sécurité dans le menu principal, puis sur Stratégies.
Sélectionnez Stratégie de compte Identity Manager par défaut dans la liste des stratégies.
Les sélections d'authentification sont proposées dans la zone Options de stratégie d’authentification de second niveau de la page.
Important ! Lors de la première installation, l'utilisateur doit se connecter à l'interface utilisateur et fournir les réponses initiales à ses questions d'authentification. Si ces réponses ne sont pas définies, l'utilisateur ne pourra pas se connecter sans son mot de passe.
La stratégie des questions d’authentification détermine ce qui se passe quand un utilisateur clique sur le bouton Mot de passe oublié ? sur la page de connexion ou lorsqu'il accède à la page Changer mes réponses. Authentification des utilisateurs décrit les différentes options.
Option |
Description |
---|---|
Tous |
Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie et personnalisées. |
N’importe lequel |
Identity Manager affiche toutes les questions définies par la stratégie et personnalisées. Vous devez spécifier le nombre des questions auxquelles l'utilisateur devra répondre. |
Suivant |
Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie la première fois qu'il se connecte. Si l'utilisateur clique sur le bouton Mot de passe oublié ? pendant la connexion, Identity Manager affiche la première question. Si l’utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu’à ce que l’utilisateur réponde correctement à une question d’authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. Les questions générées par un utilisateur ne sont pas prises en charge pour cette stratégie. |
Aléatoire |
Permet à l'administrateur de spécifier le nombre des questions auxquelles l'utilisateur devra répondre. Identity Manager sélectionne de manière aléatoire dans la liste des questions définies dans la stratégie et parmi celles définies par l'utilisateur le nombre de questions spécifié et les affiche. L'utilisateur doit répondre à toutes les questions affichées. |
À tour de rôle |
Identity Manager sélectionne la question suivante de la liste des questions configurées et l'assigne à l'utilisateur. Le premier utilisateur se voit assigner la première question de la liste des questions d'authentification, le second la deuxième question et ainsi de suite jusqu'à ce qu'il n'y ait plus de questions. À ce stade, les questions sont assignées aux utilisateurs en ordre séquentiel. Par exemple, s'il y a dix questions, le 11e et le 21e utilisateurs se verront assigner la première question. Seule la question sélectionnée s'affiche. Si vous souhaitez que l'utilisateur réponde à une question différente à chaque fois, choisissez la stratégie Aléatoire et définissez le nombre de questions sur 1. Les utilisateurs ne peuvent pas définir leurs propres questions d'authentification. Pour plus d'informations sur cette fonctionnalité, reportez-vous à Questions d’authentification personnalisées. |
Vous pouvez vérifier vos choix d'authentification en vous connectant à l'interface utilisateur d'Identity Manager en cliquant sur le bouton Mot de passe oublié ? et en répondant à la/aux questions posées.
La Figure 3–8 représente un exemple d'écran d'authentification de compte utilisateur.
Dans la stratégie de compte Identity Manager, vous pouvez sélectionner une option permettant aux utilisateurs de fournir leurs propres questions d'authentification dans les interfaces utilisateur et administrateur. Vous pouvez de plus définir le nombre minimum de questions que l'utilisateur doit fournir et auxquelles il devra répondre pour parvenir à se connecter en utilisant les questions d'authentification personnalisées.
Les utilisateurs peuvent ajouter et changer des questions depuis la page Changer les réponses aux questions d’authentification. Un exemple de cette page est illustré à la Figure 3–9.
Quand un utilisateur réussit à s'authentifier en répondant à une ou plusieurs questions, il est par défaut invité par le système à fournir un nouveau mot de passe. Vous pouvez cependant configurer Identity Manager pour ignorer cette demande de changement de mot de passe en définissant la propriété de configuration système bypassChangePassword pour une ou plusieurs applications Identity Manager.
Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.
Pour ignorer une demande de changement de mot de passe pour toutes les applications après une authentification réussie, définissez la propriété bypassChangePassword comme suit dans l'objet Configuration système.
<Attribute name="ui" <Object> <Attribute name="web"> <Object> <Attribute name=’questionLogin’> <Object> <Attribute name=’bypassChangePassword’> <Boolean>true</Boolean> </Attribute> </Object> </Attribute> ... </Object> ...
Pour désactiver cette demande de mot de passe pour une application spécifique, définissez-la comme suit.
<Attribute name="ui"> <Object> <Attribute name="web"> <Object> <Attribute name=’user’> <Object> <Attribute name=’questionLogin’> <Object> <Attribute name=’bypassChangePassword’> <Boolean>true</Boolean> </Attribute> </Object> </Attribute> </Object> </Attribute> ... </Object> ... |
Vous pouvez assigner des privilèges administratifs Identity Manager, ou capacités, aux utilisateurs de la manière suivante :
Rôles admin. Les utilisateurs auxquels un rôle admin a été assigné héritent des capacités et des organisations contrôlées définies par ce rôle. Par défaut, tous les comptes utilisateur Identity Manager se voient assigner le rôle User Admin à leur création. Pour des informations détaillées sur les rôles admin et sur la création d'un rôle admin, reportez-vous à Comprendre et gérer les ressources Identity Manager externes dans le Chapitre 5Rôles et ressources.
Capacités. Les capacités sont définies par des règles. Identity Manager fournit des ensembles de capacités regroupées en capacités fonctionnelles que vous pouvez sélectionner. L'assignation de capacités autorise une majeure granularité dans l'assignation des privilèges administratifs. Pour plus d'informations sur les capacités et leur création, reportez-vous à Comprendre et gérer les capacités au Chapitre 6Administration.
Organisations contrôlées. Les organisations contrôlées accordent des privilèges de contrôle administratif sur des organisations spécifiées. Pour plus d'informations, reportez-vous à Comprendre les organisations d'Identity Manager au Chapitre 6Administration.
Pour plus d'informations sur les administrateurs Identity Manager et les tâches administratives, voir le Chapitre 6Administration.
L'interface utilisateur final d'Identity Manager permet aux utilisateurs finaux de détecter les comptes de ressource. Autrement dit, un utilisateur ayant une identité Identity Manager peut l'associer à un compte de ressource existant mais non associé.
Pour activer l'auto-détection, vous devez éditer un objet Configuration spécial (End User Resources) et l'ajouter au nom de chacune des ressources sur lesquelles l'utilisateur sera autorisé à détecter des comptes.
Éditez l'objet Configuration « End User Resources » (Ressources de l'utilisateur final).
Pour les instructions à suivre pour éditer les objets Configuration d'Identity Manager, reportez-vous à Édition des objets Configuration Identity Manager.
Ajoutez <String>Ressource </String>, où Ressource correspond au nom d'un objet Ressource dans le référentiel comme illustré à la Figure 3–10.
Cliquez sur Enregistrer.
Lorsque la détection automatique est activée, l'utilisateur se voit présenter une nouvelle sélection sous l'onglet de menu Profil dans l'interface utilisateur Identity Manager (Détection automatique). Cette zone permet à l'utilisateur de sélectionner une ressource dans une liste de ressources disponibles puis de saisir l'ID et le mot de passe du compte de ressource pour lier le compte à cette identité Identity Manager.
Pour donner aux utilisateurs finaux l'accès aux objets Configuration d'Identity Manager, les administrateurs peuvent aussi utiliser l'organisation « Utilisateur final ». Pour de plus amples détails, reportez-vous à L'organisation Utilisateur final.
La fonctionnalité d'inscription anonyme permet à un utilisateur n'ayant pas de compte Identity Manager d'en obtenir un via une simple demande.
Par défaut, la fonctionnalité d'inscription anonyme est désactivée.
Dans l'interface administrateur, cliquez sur Configurer puis sur Interface utilisateur.
Dans la zone Inscription anonyme, sélectionnez l'option activer puis cliquez sur Enregistrer.
Lorsqu'un utilisateur se connecte à l'interface utilisateur, la page de connexion affiche le texte Nouvel utilisateur ? suivi du lien Demander un compte.
Le texte Nouvel utilisateur ? Demander un compte est personnalisable. Pour de plus amples détails, consultez le Sun Identity Manager Deployment Guide.
La zone Inscription anonyme de la page Interface utilisateur permet de configurer les options suivantes pour le processus d'inscription anonyme :
Modèle de notification. Indiquez l'ID du modèle d'e-mail à utiliser pour envoyer des notifications à l'utilisateur demandant un compte.
Stratégie de confidentialité requise. Lorsque cette option est activée, l'utilisateur doit accepter la politique de confidentialité avant de pouvoir demander la création d'un compte. Cette option est activée par défaut.
Activer la validation. Lorsque cette option est activée, l'utilisateur doit valider son embauche avant de pouvoir demander la création d'un compte. Cette option est activée par défaut.
URL de lancement de processus. Indiquez l'URL servant à définir le flux de travaux à utiliser pour le processus d'inscription anonyme.
Activer les notifications. Lorsque cette option est activée, un e-mail de notification est envoyé à l'utilisateur une fois que son compte a été créé.
Domaine de messagerie. Indiquez le nom du domaine de messagerie électronique à utiliser pour construire l'adresse e-mail de l'utilisateur.
Cliquez sur Enregistrer lorsque vous avez fini.
Tout utilisateur se connectant à l'interface utilisateur peut demander un compte en cliquant sur le lien Demander un compte de la page de connexion.
Identity Manager affiche la première des deux pages d'inscription dans lesquelles l'utilisateur doit indiquer ses nom, prénom et ID d'employé. Si l'attribut Activer la validation est défini sur oui (paramétrage par défaut), ces informations doivent alors être validées pour que l'utilisateur puisse passer à la page suivante.
Les règles verifyFirstname, verifyLastname, verifyEmployeeId et verifyEligibility dans EndUserLibrary valident les informations pour chaque attribut.
Il est possible que vous deviez modifier une ou plusieurs de ces règles. En particulier, vous devez modifier la règle qui vérifie l'ID de l'employé pour qu'elle utilise un appel de services Web ou une classe Java pour vérifier ces informations.
Si l'attribut Activer la validation est désactivé, la première page d'inscription ne s'affiche pas. Dans ce cas, vous devez modifier le formulaire End User Anonymous Enrollment Completion pour permettre à l'utilisateur de saisir les informations normalement capturées par le premier formulaire de validation.
À partir des informations indiquées sur la page Enregistrement, Identity Manager génère les éléments suivants :
Un ID de compte (respectant la convention initiale du prénom, initiale du nom et ID de l'employé).
Une adresse e-mail de la forme suivante :
Prénom. Nom@DomaineEmail
Où DomaineEmail est le domaine défini par l'attribut Domaine de messagerie dans la configuration d'inscription anonyme.
L'attribut de responsable (idmManager). Vous pouvez définir cet attribut en modifiant la règle EndUserRuleLibrary:getIdmManager. Par défaut, le responsable est défini sur Configurator (Configurateur). L'administrateur désigné en tant que responsable doit approuver la demande de l'utilisateur pour que le compte de ce dernier soit provisionné.
L'attribut d'organisation. Vous pouvez définir cet attribut en personnalisant la règle EndUserRuleLibrary:getOrganization. Par défaut, les utilisateurs sont assignés au niveau supérieur de la hiérarchie d'organisations (« Haut »).
Si les informations indiquées par l'utilisateur sur la page Enregistrement sont validées avec succès, Identity Manager présente à l'utilisateur la deuxième page Enregistrement. L'utilisateur doit alors entrer un mot de passe et le confirmer. Si l'attribut Vous devez accepter la politique de confidentialité est défini sur oui, l'utilisateur doit également sélectionner une option pour accepter les conditions de la stratégie de confidentialité.
Lorsque l'utilisateur clique sur Enregistrer, Identity Manager présente une page de confirmation. Si l'attribut Activer les notifications est défini sur oui, la page indique alors que l'utilisateur recevra un e-mail après la création du compte.
Le compte est créé une fois le processus Créer un utilisateur standard (approbations requises par l'attribut idmManager et paramètres de stratégie compris) terminé.