Création d'utilisateurs et utilisation des comptes utilisateur

Vous pouvez effectuer depuis la page Comptes/Liste des utilisateurs de l'interface Administrateur tout un éventail d'actions sur les objets système suivants :

• Administrateurs et utilisateurs Afficher, créer, éditer, déplacer, renommer, suspendre, activer, désactiver, mettre à jour, déverrouiller, supprimer, annuler une assignation, supprimer un lien et vérifier.

  Pour plus d'informations sur la création et l'édition des comptes administrateur, reportez-vous à Comprendre l'administration d'Identity Manager.

• Organisations. Créer, éditer, actualiser et effectuer des actions d'utilisateur sur des membres de l'organisation.

  Pour plus d'informations sur les organisations, reportez-vous à Comprendre les organisations d'Identity Manager.

• Jonctions d’annuaires . Créer un ensemble d'organisations reliées hiérarchiquement pour refléter le jeu courant de conteneurs hiérarchiques d'une ressource d'annuaire.

  Pour plus d'informations sur les jonctions d'annuaires, reportez-vous àComprendre les jonctions d'annuaires et les organisations virtuelles.

Activation des schémas de processus

L'activation des schémas de processus décrit le flux de travaux suivi par Identity Manager quand il crée ou agit de quelque autre manière sur un compte utilisateur. Lorsqu'ils sont activés, les schémas de processus s'affichent sur la page des résultats ou la page de récapitulatif de la tâche qui est créée lorsqu'Identity Manager complète la tâche.

Dans Identity Manager version 8.0, les schémas de processus étaient désactivés tant pour les nouvelles installations que pour les mises à jour.

Pour activer les schémas de processus pour les utiliser dans Identity Manager

1. Ouvrez l'objet Configuration système pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'élément XML suivant :

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. Remplacez la valeur true par la valeur false.

4. Cliquez sur Enregistrer.

5. Redémarrez votre ou vos serveurs pour que le changement soit appliqué.

   Les schémas de processus peuvent également être activés dans l'interface utilisateur final à condition d'avoir été activés au préalable dans l'interface administrateur en suivant les étapes indiquées plus haut. Pour de plus amples détails, voir la section Pour activer les schémas de processus dans l'interface utilisateur final.

Pour créer un utilisateur dans Identity Manager

Vous pouvez créer et gérer des utilisateurs depuis l'onglet Comptes de la barre de menu de l'interface administrateur.

1. Dans l'interface administrateur, cliquez sur Comptes.

2. Pour créer un utilisateur dans une organisation spécifique, sélectionnez cette dernière puis sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.

   Sinon, pour créer un utilisateur dans l'organisation supérieure, sélectionnez Nouvel utilisateur dans la liste Nouvelles actions.

3. Indiquez les informations requises dans les onglets ou sections suivants.

   • Identité. Nom, organisation, mot de passe et autres détails (voir Onglet Identité).

   • Ressources. Assignations de ressources individuelles et groupes de ressources, exclusions de ressources (voir Onglet Ressources).

   • Rôles. Assignations de rôle. Pour plus d'informations sur les rôles, voir la section Comprendre et gérer les rôles. Pour les instructions à suivre pour compléter l'onglet Rôles, reportez-vous à Pour assigner des rôles à un utilisateur.

   • Sécurité. Rôles admin, organisations contrôlées et capacités. Également, paramètres des formulaires utilisateur et stratégie de compte (voir Onglet Sécurité).

   • Délégations. Délégations d'éléments de travail (voir Onglet Délégations).

   • Attributs. Attributs spécifiques pour ressources assignées (voir Onglet Attributs).

   • Conformité. Sélectionne les formulaires d'attestation et de résolution pour le compte utilisateur. La zone Conformité permet également de spécifier les stratégies d'audit assignées au compte utilisateur, notamment celles appliquées via l'assignation d'organisation de l'utilisateur. Cet onglet indique le statut actuel des scannages, violations et dispenses de stratégie, et comprend des informations sur le dernier scannage de stratégie d'audit de l'utilisateur (voir Onglet Attributs).

     Vous remarquerez que les sélections disponibles dans une zone dépendent des sélections effectuées dans une autre zone.

   Cependant, pour mieux tenir compte des processus de votre entreprise ou de capacités administrateur spécifiques, il vous convient de créer des formulaires utilisateur personnalisés pour votre environnement. Pour plus d'informations sur la personnalisation du formulaire utilisateur, voir le Customizing Forms du Sun Identity Manager Deployment Reference.

4. Lorsque vous avez terminé, enregistrez le compte.

   Deux options s'offrent à vous pour enregistrer un compte utilisateur :

   • Enregistrer. Enregistre le compte utilisateur. Si vous assignez un grand nombre de ressources au compte, ce processus peut prendre du temps.

   • Enregistrer en arrière-plan. Ce processus enregistre un compte utilisateur en tant que tâche d'arrière-plan, ce qui permet de continuer à travailler dans Identity Manager. Un indicateur de statut de tâche s'affiche sur la page Comptes, la page de résultat de recherche d'utilisateurs et la page Accueil, pour chaque enregistrement en cours.

     Les indicateurs de statut, comme décrit dans le tableau suivant, facilitent le contrôle de la progression du processus d'enregistrement.

   Indicateur de statut	Statut
   	Le processus d'enregistrement est en cours.
   	Le processus d'enregistrement a été suspendu. Ceci signifie généralement que le processus attend une approbation.
   	Le processus a été exécuté avec succès. Ceci signifie que le processus s'est terminé sans erreur et non que l'utilisateur a été enregistré correctement.
   	Le processus n'a pas encore démarré.
   	Le processus s'est terminé avec une ou plusieurs erreurs.

   En déplaçant votre souris sur l'icône utilisateur s'affichant avec l'indicateur de statut, vous pouvez obtenir des détails sur le processus d'enregistrement en arrière-plan.

   ---

   Remarque –

   Si l’ouverture est configurée, créer un utilisateur crée un élément de travail qui peut être affiché depuis l’onglet Approbations. Approuver cet élément ignore la date d'ouverture et crée le compte. Rejeter l'élément annule la création du compte. Pour plus d'informations sur la configuration de l'ouverture, reportez-vous à Configuration de l'onglet Ouverture et clôture .

   ---

Création de comptes de ressource multiples pour un utilisateur

Identity Manager offre la possibilité d'assigner plusieurs comptes de ressources à un même utilisateur. Le logiciel permet en effet de définir plusieurs types de comptes de ressources ou types de comptes pour chaque ressource. Les types de comptes de ressources doivent être créés de façon à correspondre à chacun des types de comptes fonctionnels figurant sur la ressource. Par exemple, AIX SuperUser ou AIX BusinessAdmin.

Raison de l'assignation de comptes de ressource multiples à un utilisateur

Dans certaines situations, un utilisateur Identity Manager peut avoir besoin de plusieurs comptes sur une même ressource. Un utilisateur peut, en effet, avoir plusieurs fonctions professionnelles liées à la ressource en question. Il peut, par exemple, être à la fois utilisateur et administrateur de cette ressource. Les pratiques recommandées suggèrent d'utiliser des comptes séparés pour chaque fonction. De la sorte, si l'un des comptes est compromis, l'accès accordé par le biais de l'autre compte reste sécurisé.

Configuration des types de comptes

Pour qu'une ressource prenne en charge plusieurs comptes pour un même utilisateur, les types de comptes de la ressource doivent être définis au préalable dans Identity Manager. Pour définir les types de comptes de ressource pour une ressource, utilisez l'assistant Ressource. Pour toute informations, reportez-vous à Gestion de la liste des ressources.

Vous devez activer et configurer les types de comptes de ressource avant de les assigner aux utilisateurs.

Assignation des types de comptes

Une fois les types de comptes définis, vous pouvez les assigner à une ressource. Identity Manager traite chaque assignation de type de comptes comme un compte séparé. Résultat, toute assignation distincte dans un rôle peut avoir un ensemble d'attributs différent.

À l'instar du cas où nous avons un unique compte par ressource, toutes les assignations d'un type spécifique ne créent qu'un compte, quel que soit leur nombre.

Bien que vous puissiez assigner les utilisateurs à tout nombre de types de comptes différents sur une ressource, chaque utilisateur ne peut se voir assigner qu'un compte d'un type donné sur une ressource. L'exception à cette règle est le type « default » (par défaut) intégré. Les utilisateurs peuvent avoir n'importe quel nombre de comptes du type par défaut sur une ressource. Ceci n'est cependant pas recommandé car cela peut engendrer une certaine confusion au moment de référencer les comptes dans les formulaires et les vues.

Recherche et affichage des comptes utilisateur

La fonctionnalité de recherche d'Identity Manager permet de rechercher des comptes utilisateur. Une fois les paramètres de recherche saisis et sélectionnés, Identity Manager trouve tous les comptes correspondant à vos sélections.

Pour rechercher des comptes, sélectionnez Comptes -> Rechercher des utilisateurs dans la barre de menu. Vous pouvez rechercher des comptes en utilisant un ou plusieurs des types de recherche suivants :

• Détails du compte (tels que ses nom d'utilisateur, adresse e-mail, nom ou prénom). Ces choix dépendent de l'implémentation Identity Manager spécifique de votre entreprise.

• Responsable de l'utilisateur. Le nom d'utilisateur du responsable s'affiche entre parenthèses si le nom d'utilisateur ne correspond à aucun compte existant dans Identity Manager.

• Statut du compte de ressource. Les options possibles sont les suivantes :

  • Désactivé. L'utilisateur ne peut accéder à aucun compte Identity Manager ou compte de ressource assigné.

  • Désactivé partiellement. L'utilisateur ne peut pas accéder à un ou plusieurs comptes de ressources.

  • Activé. L'utilisateur a accès à tous les comptes de ressources assignés.

• Ressource assignée. Les options possibles sont les suivantes :

  • Rôle (voir Pour rechercher des utilisateurs assignés à un rôle spécifique),

  • Organisation,

  • Contrôle organisationnel,

  • Capacités,

  • Rôle admin.

• Statut du compte utilisateur. Les options possibles sont les suivantes :

  • Verrouillé. Le compte utilisateur est verrouillé car le nombre maximal d'échecs de connexion par mot de passe ou questions a dépassé le maximum autorisé.

  • Pas verrouillé. L'accès au compte utilisateur n'est pas limité.

• Statut de mise à jour. Les options possibles sont les suivantes :

  • non. Comptes utilisateur qui n'ont été mis à jour sur aucune ressource.

  • quelques. Comptes utilisateur qui ont été mis à jour sur au moins une, mais pas sur toutes les ressources assignées.

  • tous. Comptes utilisateur qui ont été mis à jour sur toutes les ressources assignées.

La liste des résultats de recherche affiche tous les comptes correspondant à votre recherche.

Depuis la page des résultats, vous pouvez :

• Sélectionner des comptes utilisateur à éditer. Pour éditer un compte, cliquez dessus dans la liste des résultats de recherche ; ou sélectionnez-le dans la liste puis cliquez sur Éditer.

• Effectuer des actions (par exemple activer, désactiver, déverrouiller, supprimer, mettre à jour ou changer/définir les mots de passe) sur un ou plusieurs comptes. Pour effectuer une action, sélectionnez un ou plusieurs comptes dans la liste des résultats de recherche puis cliquez sur l'action appropriée.

• Créer des comptes utilisateur.

  

Édition des utilisateurs

Les informations de cette section couvrent l'affichage, l'édition, la réassignation et le renommage des comptes utilisateur.

Pour afficher les comptes utilisateur

Utilisez la page Afficher l’utilisateur et exécutez les étapes suivantes pour afficher les informations relatives aux comptes.

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

   La page Liste des utilisateurs s'ouvre.

2. Sélectionnez la case en regard de l'utilisateur dont vous voulez afficher les comptes.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Afficher.

   La page Afficher l’utilisateur affiche un sous-ensemble des informations relatives à l'identité, les assignations, la sécurité, les délégations, les attributs et la conformité de l'utilisateur. Les informations de la page Afficher l’utilisateur sont en simple consultation et ne peuvent pas être éditées.

4. Cliquez sur Annuler pour revenir à la liste Comptes.

Pour éditer les comptes utilisateur

Utilisez la page Éditer l’utilisateur et exécutez les étapes suivantes pour éditer les informations relatives aux comptes.

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

2. Sélectionnez la case en regard de l'utilisateur dont vous voulez éditer le compte.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Éditer.

4. Apportez les modifications de votre choix et enregistrez-les.

   Identity Manager affiche la page de mise à jour des comptes de ressources. Cette page indique les comptes de ressources assignés à l'utilisateur et les changements qui vont être appliqués au compte.

5. Sélectionnez Mettre tous les comptes de ressources à jour pour appliquer les changements à toutes les ressources assignées, ou sélectionnez un, plusieurs ou aucun des comptes de ressources associés à l'utilisateur concerné par la mise à jour.

6. Cliquez de nouveau sur Enregistrer pour terminer l'édition ou cliquez sur Retourner à Éditer pour apporter d'autres changements.

   Figure 3–2 Éditer l'utilisateur (Mettre à jour les comptes de ressources)

   
   

Réassignation des utilisateurs à une autre organisation

L'action de déplacement permet de supprimer un ou plusieurs utilisateurs d'une organisation et de réassigner, ou déplacer, les utilisateurs dans une nouvelle organisation.

Pour déplacer un utilisateur

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu.

   La page Liste des utilisateurs s'ouvre.

2. Sélectionnez la case en regard du ou des utilisateurs à déplacer.

3. Dans le menu déroulant Actions de l’utilisateur, sélectionnez Déplacer.

   La page Modification de l’organisation des utilisateurs s'ouvre.

4. Sélectionnez l'organisation que vous voulez réassigner à l'utilisateur et cliquez sur Lancer.

Renommage des utilisateurs

En règle générale, le renommage d'un compte est une opération complexe. C'est pour cette raison qu'Identity Manager fournit une fonctionnalité distincte permettant de renommer le compte Identity Manager d'un utilisateur, ou un ou plusieurs des comptes de ressources associés à cet utilisateur.

Pour utiliser cette fonctionnalité de renommage, sélectionnez un compte utilisateur dans la liste puis sélectionnez l'option Renommer dans la liste Actions de l'utilisateur.

La page Renommer des utilisateurs permet de changer le nom du compte utilisateur, les noms de comptes de ressources associés et les attributs de comptes de ressources associés au compte Identity Manager de l'utilisateur.

---

Remarque –

Certains types de ressources ne prennent pas en charge le renommage des comptes.

---

Comme illustré dans la figure suivante, l'utilisateur a une ressource Active Directory assignée.

Pendant le processus de renommage, vous pouvez changer :

• le nom du compte utilisateur Identity Manager,

• le nom du compte de ressources Active Directory,

• l'attribut de ressource Active Directory (nom complet).

  

Mise à jour des ressources associées à un compte

Dans le cadre d'une action de mise à jour, Identity Manager met à jour les ressources associées à un compte utilisateur. Les mises à jour effectuées depuis la zone Comptes envoient tous les changements en attente apportés au préalable à un utilisateur aux ressources sélectionnées.

Ce cas de figure peut se présenter si :

• une ressource n'était pas disponible au moment des mises à jour ;

• un changement apporté à un rôle ou un groupe de ressources devait être diffusé à tous les utilisateurs assignés à ce rôle/groupe de ressources. Dans ce cas, vous devez utiliser la page Rechercher des utilisateurs pour rechercher les utilisateurs puis sélectionner un ou plusieurs utilisateurs sur lesquels exécuter l'action de mise à jour.

Lorsque vous mettez à jour le compte utilisateur, vous avez les options suivantes :

• Choisir si les comptes de ressources assignés recevront les informations mises à jour.

• Mettre à jour tous les comptes de ressources ou sélectionner des comptes individuels dans une liste.

Mise à jour des ressources sur un unique compte utilisateur

Pour mettre à jour un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Mettre à jour dans la liste Actions de l'utilisateur.

Sur la page de mise à jour des comptes de ressources, sélectionnez une ou plusieurs ressources à mettre à jour ou sélectionnez Mettre tous les comptes de ressources à jour pour mettre à jour tous les comptes de ressources assignés. Lorsque vous avez terminé, cliquez sur OK pour commencer le processus de mise à jour. Vous pouvez aussi cliquer sur Enregistrer en arrière-plan pour effectuer l'action en tant que processus d'arrière-plan.

Une page de confirmation confirme les données envoyées à chaque ressource.

La Figure 3–3 illustre la page de mise à jour des comptes de ressources.

Figure 3–3 Mettre à jour les comptes de ressources

Mise à jour de ressources sur plusieurs comptes utilisateur

Vous pouvez mettre à jour deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Mettre à jour dans la liste Actions de l'utilisateur.

---

Remarque –

Lorsque vous choisissez de mettre à jour plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans chaque compte utilisateur. Ce processus met en effet à jour toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

---

Suppression des comptes utilisateur Identity Manager

Dans Identity Manager, les comptes utilisateur Identity Manager se suppriment de la même façon que les comptes de ressources distants. Suivez les mêmes étapes que pour supprimer un compte de ressource en sélectionnant un compte Identity Manager pour la suppression au lieu d'un compte de ressource distant.

---

Remarque –

Si un utilisateur a des éléments de travail en suspens ou des éléments de travail en suspens qui ont été délégués à un autre utilisateur, Identity Manager ne permettra pas de supprimer son compte Identity Manager. Pour pouvoir supprimer le compte Identity Manager de l'utilisateur, les éléments de travail délégués doivent soit être résolus soit être transmis à un autre utilisateur.

---

Pour plus d'informations, reportez-vous à Suppression de ressources d'un unique compte utilisateur et Suppression de ressources de plusieurs comptes utilisateur.

Suppression des ressources des comptes utilisateur

Identity Manager fournit plusieurs opérations de suppression pouvant être utilisées pour supprimer l'accès à un compte utilisateur Identity Manager depuis une ressource :

• Supprimer. Pour chaque ressource sélectionnée, Identity Manager supprime le compte de l'utilisateur sur la ressource distante (pour supprimer un utilisateur Identity Manager, sélectionnez Identity Manager en tant que ressource).

  • Les comptes de ressources supprimés voient leur lien automatiquement supprimé de l'utilisateur Identity Manager.

  • L'assignation des comptes de ressources supprimés à l'utilisateur n'est pas annulée. La ressource reste assignée à l'utilisateur à moins que l'action d'annulation d'assignation ne soit également sélectionnée.

• Annuler l'assignation. Identity Manager supprime chacune des ressources sélectionnées de la liste des ressources assignées de l'utilisateur.

  • Les comptes de ressources dont l'assignation est annulée voient automatiquement leur lien supprimé de l'utilisateur Identity Manager.

  • Le compte utilisateur sur la ressource distante n'est pas supprimé. Le compte reste intact à moins que l'action de suppression ne soit également sélectionnée.

• Annuler le lien. Pour chaque ressource sélectionnée, les informations de compte de ressource de l'utilisateur sont supprimées d'Identity Manager.

  • Le compte de l'utilisateur sur la ressource distante reste intact à moins qu'une action de suppression ne soit également sélectionnée.

  • La ressource continue à figurer dans la liste des ressources assignées de l'utilisateur à moins qu'une action d'annulation d'assignation ne soit également sélectionnée.

  • Si vous supprimez le lien d'un compte assigné indirectement à l'utilisateur via un rôle ou un groupe de ressources, ce lien pourra être restauré lorsque l'utilisateur sera mis à jour.

Bien que suspendre figure parmi les actions de l'utilisateur dans les menus de la page Liste des utilisateurs, il n'y a actuellement que trois actions de suppression dans Identity Manager : supprimer, annuler l'assignation et annuler le lien.

Pour suspendre une ressource distante, utilisez les actions supprimer et annuler l'assignation sur la ressource.

Suppression de ressources d'un unique compte utilisateur

Suivez la procédure ci-après pour effectuer une opération de suppression sur un unique utilisateur Identity Manager. En travaillant avec un compte utilisateur à la fois, vous pouvez spécifier des opérations supprimer, annuler l'assignation et/ou annuler le lien différentes pour les comptes de ressources individuels.

Pour démarrer une action Supprimer, Annuler l'assignation ou Supprimer le lien pour un unique compte utilisateur

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.

   Identity Manager affiche la page Supprimer des comptes de ressources (Figure 3–4).

4. Remplissez le formulaire. Pour plus d'informations sur les actions Supprimer, Annuler l'assignation et Supprimer le lien, reportez-vous à Suppression des ressources des comptes utilisateur.

5. Cliquez sur OK.

   La Figure 3–4 illustre la page Supprimer des comptes de ressources. Dans la capture d'écran, l'utilisateur jrenfro a un compte actif sur une ressource distante (la ressource simulée). L'action Supprimer est sélectionnée, ce qui signifie qu'à la soumission du formulaire, le compte de jrenfro sur la ressource sera supprimé. Les comptes supprimés voyant automatiquement leur lien supprimé, les informations de compte de cette ressource seront supprimées d'Identity Manager. La ressource simulée restera assignée à jrenfro car l'action Annuler l'assignation n'est pas sélectionnée.

   Pour supprimer le compte Identity Manager de jrenfro, l'action Supprimer doit être sélectionnée pour Identity Manager.

   Figure 3–4 Page Supprimer des comptes de ressources.

   
   

Suppression de ressources de plusieurs comptes utilisateur

Vous pouvez effectuer une opération de suppression sur plusieurs comptes utilisateur Identity Manager à la fois, mais pouvez uniquement effectuer l'opération de suppression sélectionnée sur tous les comptes de ressources de l'utilisateur.

Les opérations de suppression peuvent également être effectuées en utilisant la fonctionnalité Actions de compte en masse d'Identity Manager. Voir les Commandes Delete, DeleteAndUnlink, Disable, Enable, Unassign et Unlink.

Pour démarrer une action Supprimer, Annuler l'assignation ou Annuler le lien pour plusieurs utilisateurs

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un ou plusieurs utilisateurs et cliquez dans le menu déroulant Actions de l'utilisateur.

3. Sélectionnez une des actions de suppression (Supprimer, Suspendre, Annuler l'assignation ou Supprimer le lien) dans la liste.

   Identity Manager affiche la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien (Figure 3–5).

4. Spécifiez l'action à effectuer.

   Les options sont les suivantes :

   • Supprimer l’utilisateur uniquement. Supprime les comptes Identity Manager du ou des utilisateurs sélectionnés. Cette option ne supprime pas les comptes de ressources des utilisateurs et n'en annule pas l'assignation.

   • Supprimer l’utilisateur et les comptes de ressources. Supprime les comptes Identity Manager des utilisateurs et l'ensemble de leurs comptes de ressources.

   • Supprimer seulement les comptes de ressources. Supprime tous les comptes de ressources des utilisateurs. Cette option n'annule pas l'assignation des comptes de ressources ni ne supprime les comptes Identity Manager des utilisateurs.

   • Supprimer les comptes de ressources et annuler l’assignation des ressources directement assignées à l’utilisateur. Cette option supprime et annule l'assignation de tous les comptes de ressources des utilisateurs mais ne supprime pas les comptes Identity Manager des utilisateurs.

   • Annuler l’assignation des comptes de ressources directement assignés à l’utilisateur. Annule les assignations des comptes de ressources assignés directement. Cette option ne supprime pas les comptes des utilisateurs sur les ressources distantes. Les comptes de ressources assignés via un rôle ou un groupe de ressources ne sont pas concernés.

   • Annuler les liens entre les comptes de ressources et l’utilisateur. Les informations de compte de ressource des utilisateurs sont supprimées d'Identity Manager. Les comptes des utilisateurs situés sur les ressources distantes ne sont pas supprimés et leur assignation n'est pas annulée. Les comptes indirectement assignés aux utilisateurs par le biais d'un rôle ou d'un groupe de ressources peuvent être restaurés lors de la mise à jour des utilisateurs.

5. Cliquez sur OK.

   La Figure 3–5 illustre la page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien. La partie supérieure de cette page affiche les six actions disponibles pouvant être effectuées pour plusieurs utilisateurs. La partie inférieure de la page indique les utilisateurs qui seront concernés par l'action sélectionnée.

   Figure 3–5 Page Confirmez la suppression, l’annulation de l’assignation ou la suppression du lien

   
   

Changement des mots de passe utilisateur

Tous les utilisateurs Identity Manager se voient assigner un mot de passe. Lorsqu'il est défini, le mot de passe utilisateur Identity Manager est utilisé pour synchroniser les mots de passe des comptes de ressources de l'utilisateur. Si un ou plusieurs mots de passe de comptes de ressources ne peuvent pas être synchronisés (par exemple, afin que les stratégies de mots de passe soient respectées), vous pouvez les définir individuellement.

---

Remarque –

Pour toute information sur les stratégies de mot de passe de compte et pour des informations d'ordre général sur l'authentification des utilisateurs, lisez la section Gestion de la sécurité des comptes et des privilèges dans ce même chapitre.

---

Changement des mots de passe depuis la page Liste des utilisateurs

Vous pouvez utiliser l'action utilisateur Modifier le mot de passe de la page Liste des utilisateurs (Comptes -> Lister les comptes) pour modifier le mot de passe d'un utilisateur depuis la page Liste des utilisateurs. Procédez comme suit :

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal.

   La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Pour changer le mot de passe, sélectionnez Modifier le mot de passe.

   La page Changement du mot de passe s'ouvre.

4. Saisissez le nouveau mot de passe et cliquez sur le bouton Modifier le mot de passe.

Pour modifier les mots de passe depuis le menu principal

Pour modifier le mot de passe d'un compte utilisateur depuis le menu principal, suivez les étapes ci-dessous :

1. Dans l'interface administrateur, cliquez sur Mots de passe dans le menu principal.

   La page Changement du mot de passe s'ouvre par défaut.

   Figure 3–6 Changer le mot de passe de l’utilisateur

   
   

2. Sélectionnez un terme à rechercher (par exemple un nom de compte, une adresse e-mail, un nom ou un prénom) puis un type de recherche (commence par, comprend ou est).

3. Saisissez la ou les premières lettres du terme à rechercher dans le champ d'entrée puis cliquez sur Trouver. Identity Manager retourne la liste des utilisateurs dont les ID contiennent les caractères saisis. Cliquez pour sélectionner un utilisateur et revenir à la page Changer le mot de passe de l'utilisateur.

4. Saisissez et confirmez les nouvelles informations de mot de passe puis cliquez sur Modifier le mot de passe pour changer le mot de passe utilisateur sur les comptes de ressources listés. Identity Manager affiche un schéma de flux de travaux indiquant la séquence d'actions entreprise pour modifier le mot de passe.

Réinitialisation des mots de passe utilisateur

Le processus de réinitialisation des mots de passe de compte utilisateur Identity Manager est similaire au processus de changement des mots de passe. La différence par rapport à un changement de mot de passe est que vous ne devez pas spécifier de nouveau mot de passe. Dans ce cas en effet, Identity Manager génère un nouveau mot de passe de manière aléatoire (selon vos sélections et les stratégies de mot de passe) pour le compte utilisateur, les comptes de ressource ou une combinaison de ces éléments.

La stratégie assignée à l'utilisateur (par assignation directe ou au travers de l'organisation de l'utilisateur) contrôle plusieurs options de réinitialisation, notamment :

• le nombre de fois où un mot de passe peut être réinitialisé avant que les réinitialisations ne soient désactivées ;

• l'endroit où le nouveau mot de passe s'affiche ou auquel il est envoyé.

  Selon l'Option de notification de la réinitialisation sélectionnée pour le rôle, Identity Manager envoie le nouveau mot de passe par e-mail à l'utilisateur ou l'affiche (sur la page Résultats) pour l'administrateur Identity Manager demandant la réinitialisation.

Réinitialisation des mots de passe depuis la page Liste des utilisateurs

L'action utilisateur Réinitialisation du mot de passe est disponible sur la page Liste des utilisateurs (Comptes > Lister les comptes).

Pour réinitialiser un mot de passe depuis la page Liste des utilisateurs, suivez les étapes ci-après :

1. Dans l'interface administrateur, cliquez sur Comptes dans le menu principal. La page Liste des utilisateurs s'affiche sur l'onglet Lister les comptes.

2. Sélectionnez un utilisateur et cliquez sur le menu déroulant Actions de l'utilisateur.

3. Pour réinitialiser le mot de passe, sélectionnez Réinitialiser le mot de passe.

   La page Réinitialiser le mot de passe de l’utilisateur s'ouvre.

4. Cliquez sur le bouton Réinitialiser le mot de passe.

Pour faire expirer les mots de passe en utilisant la stratégie de compte Identity Manager

Lorsque vous réinitialisez un mot de passe utilisateur, ce dernier expire immédiatement par défaut. Par conséquent, la première fois que les utilisateurs se connectent après une réinitialisation de mot de passe, ils doivent sélectionner un nouveau mot de passe pour pouvoir accéder au système. Vous pouvez éditer le formulaire Réinitialiser le mot de passe de l’utilisateur de sorte que le mot de passe de l'utilisateur expire selon la stratégie d'expiration des mots de passe définie dans la Stratégie de compte Identity Manager associée à cet utilisateur.

Utilisez le processus suivant pour ignorer la nécessité de changer par défaut le mot de passe :

1. Éditez le formulaire Réinitialiser le mot de passe de l’utilisateur et définissez la valeur suivante sur false.

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. Utilisez l'option Réinitialiser de la stratégie de compte Identity Manager pour spécifier quand un mot de passe expire.

   Les paramètres sont les suivants :

   • permanent. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie passwordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais.

   • temporaire. Identity Manager utilise la période de temps spécifiée dans l'attribut de stratégie tempPasswordExpiry pour calculer la date relative, par rapport à la date courante, à laquelle le mot de passe sera réinitialisé puis définir cette date sur l'utilisateur. Si aucune valeur n'est spécifiée, le mot de passe changé ou réinitialisé n'expire jamais. Si tempPasswordExpiry est défini sur la valeur 0, le mot de passe expire immédiatement.

     L'attribut tempPasswordExpiry s'applique uniquement en cas de réinitialisation (modification aléatoire) des mots de passe. Il ne s'applique pas aux changements de passe.

Désactivation, activation et déverrouillage des comptes utilisateur

Cette section explique la désactivation et l'activation des comptes utilisateur Identity Manager. Elle indique également comment venir en aide aux utilisateurs dont les comptes Identity Manager ont été verrouillés.

Pour désactiver des comptes utilisateur

Lorsque vous désactivez un compte utilisateur, vous modifiez ce compte de sorte que l'utilisateur ne puisse plus se connecter à Identity Manager ni à ses comptes de ressources assignés.

Il faut savoir que les administrateurs peuvent désactiver les comptes utilisateur depuis l'interface administrateur, mais ne peuvent pas verrouiller les comptes utilisateur. Les comptes ne sont verrouillés que dans le cas où l'utilisateur dépasse le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte Identity Manager.

---

Remarque –

Si une ressource assignée n'a pas de prise en charge native pour la désactivation des comptes mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour désactiver les comptes utilisateur sur cette ressource en assignant de nouveaux mots de passe générés de manière aléatoire.

---

Utilisez les étapes suivantes pour vous assurer que cette fonctionnalité fonctionne correctement :

1. Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions sur l'ouverture de l'assistant).

2. Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Désactiver ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Désactiver, sélectionnez Afficher toutes les caractéristiques).

   Si la fonctionnalité Désactiver n'a pas de coche dans la colonne Désactiver ?, il est impossible de désactiver les comptes dans la ressource.

Désactivation d'un unique compte utilisateur

Pour désactiver un compte utilisateur, sélectionnez-le dans la Liste des utilisateurs puis sélectionnez l'option Désactiver dans la liste Actions de l'utilisateur.

Sélectionnez les comptes de ressources à désactiver sur la page Désactiver qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de la désactivation du compte utilisateur Identity Manager et de tous les comptes de ressources associés. La liste des comptes indique que l'utilisateur est désactivé.

Désactivation de plusieurs comptes utilisateur

Vous pouvez désactiver deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Désactiver dans la liste Actions de l'utilisateur.

---

Remarque –

Lorsque vous choisissez de désactiver plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus désactive en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

---

Pour activer les comptes utilisateur sur une ressource entre deux réinitialisations de mot de passe

L'activation des comptes utilisateur est l'inverse du processus de désactivation.

Selon les options de notification sélectionnées, Identity Manager affiche également le mot de passe sur la page de résultats de l'administrateur.

L'utilisateur peut alors réinitialiser son mot de passe (via le processus d'authentification) qui peut aussi être réinitialisé par un utilisateur disposant de privilèges d'administrateur.

---

Remarque –

Si une ressource assignée est dépourvue de prise en charge native pour l'activation des comptes, mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour activer les comptes utilisateur sur cette ressource entre deux réinitialisations de mot de passe.

Pour que cette fonctionnalité fonctionne correctement, procédez comme suit :

---

1. Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions d'ouverture de l'assistant).

2. Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Activer ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Activer, sélectionnez Afficher toutes les caractéristiques).

   Si la fonctionnalité Activer n'a pas de coche dans la colonne Désactiver ?, il est impossible d'activer les comptes dans la ressource.

Activation d'un unique compte utilisateur

Pour activer un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Activer dans la liste Actions de l'utilisateur.

Sélectionnez les ressources à activer sur la page Activer qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de l'activation du compte utilisateur Identity Manager et de tous les comptes de ressources associés.

Activation de plusieurs comptes utilisateur

Vous pouvez activer deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Activer dans la liste Actions de l'utilisateur.

---

Remarque –

Lorsque vous choisissez d'activer plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus active en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.

---

Déverrouillage des comptes utilisateur

Les comptes des utilisateurs sont verrouillés lorsque les tentatives de connexion à Identity Manager des utilisateurs échouent. Pour que son compte soit verrouillé, l'utilisateur doit dépasser le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte d'Identity Manager.

---

Remarque –

Seules les tentatives de connexion effectuées sur une interface utilisateur d'Identity Manager sont prises en compte pour le verrouillage d'un compte Identity Manager (c'est-à-dire, l'interface administrateur, l'interface administrateur final, l'interface de ligne de commande ou l'interface API SPML). Les tentatives de connexion à des comptes de ressources ayant échoué ne sont pas comptabilisées et n'entraînent pas le verrouillage des comptes Identity Manager des utilisateurs.

---

La stratégie de compte Identity Manager établit le nombre maximal de tentatives de connexion par mot de passe ou questions ratées autorisées.

• Pour les utilisateurs qui dépassent ce nombre maximal d'échecs de connexion par mot de passe, toutes les interfaces de l'application Identity Manager sont alors verrouillées, interface Mot de passe oublié incluse.

• Les utilisateurs qui dépassent le nombre maximal d'échecs de connexion par questions peuvent quant à eux s'authentifier sur toute interface de l'application Identity Manager à l'exception de Mot de passe oublié.

Tentatives de connexion par mot de passe ayant échoué

Les utilisateurs pour lesquels Identity Manager est verrouillé à cause d'un trop grand nombre d'échecs de connexion par mot de passe ne pourront se connecter que lorsqu'un administrateur déverrouillera le compte en question ou à l'expiration du verrou.

• Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.

• Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par mot de passe ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par mot de passe ayant échoué dans.

Tentatives de connexion par questions ayant échoué

Les utilisateurs pour lesquels l'interface Mot de passe oublié est verrouillée à cause d'un trop grand nombre d'échecs de connexion par questions pourront uniquement se connecter lorsqu'un administrateur déverrouillera le compte en question, lorsque l'utilisateur verrouillé (ou un utilisateur ayant les capacités appropriées) changera ou réinitialisera le mot de passe de l'utilisateur ou à l'expiration du verrou.

• Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.

• Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par questions ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par questions ayant échoué dans.

Un administrateur doté des capacités appropriées peut effectuer les opérations suivantes sur un utilisateur à l'état verrouillé :

• une mise à jour (reprovisioning de ressources compris),

• un changement ou une réinitialisation de mot de passe,

• une désactivation ou une activation,

• une opération de renommage,

• une opération de déverrouillage.

Pour déverrouiller des comptes, sélectionnez un ou plusieurs comptes utilisateur dans la liste puis sélectionnez Déverrouiller les utilisateurs dans la liste Actions de l'utilisateur ou Actions d'organisation.