Cette section explique la désactivation et l'activation des comptes utilisateur Identity Manager. Elle indique également comment venir en aide aux utilisateurs dont les comptes Identity Manager ont été verrouillés.
Lorsque vous désactivez un compte utilisateur, vous modifiez ce compte de sorte que l'utilisateur ne puisse plus se connecter à Identity Manager ni à ses comptes de ressources assignés.
Il faut savoir que les administrateurs peuvent désactiver les comptes utilisateur depuis l'interface administrateur, mais ne peuvent pas verrouiller les comptes utilisateur. Les comptes ne sont verrouillés que dans le cas où l'utilisateur dépasse le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte Identity Manager.
Si une ressource assignée n'a pas de prise en charge native pour la désactivation des comptes mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour désactiver les comptes utilisateur sur cette ressource en assignant de nouveaux mots de passe générés de manière aléatoire.
Utilisez les étapes suivantes pour vous assurer que cette fonctionnalité fonctionne correctement :
Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions sur l'ouverture de l'assistant).
Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Désactiver ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Désactiver, sélectionnez Afficher toutes les caractéristiques).
Si la fonctionnalité Désactiver n'a pas de coche dans la colonne Désactiver ?, il est impossible de désactiver les comptes dans la ressource.
Pour désactiver un compte utilisateur, sélectionnez-le dans la Liste des utilisateurs puis sélectionnez l'option Désactiver dans la liste Actions de l'utilisateur.
Sélectionnez les comptes de ressources à désactiver sur la page Désactiver qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de la désactivation du compte utilisateur Identity Manager et de tous les comptes de ressources associés. La liste des comptes indique que l'utilisateur est désactivé.
Vous pouvez désactiver deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Désactiver dans la liste Actions de l'utilisateur.
Lorsque vous choisissez de désactiver plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus désactive en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.
L'activation des comptes utilisateur est l'inverse du processus de désactivation.
Selon les options de notification sélectionnées, Identity Manager affiche également le mot de passe sur la page de résultats de l'administrateur.
L'utilisateur peut alors réinitialiser son mot de passe (via le processus d'authentification) qui peut aussi être réinitialisé par un utilisateur disposant de privilèges d'administrateur.
Si une ressource assignée est dépourvue de prise en charge native pour l'activation des comptes, mais prend en charge les changements de mot de passe, Identity Manager peut être configuré pour activer les comptes utilisateur sur cette ressource entre deux réinitialisations de mot de passe.
Pour que cette fonctionnalité fonctionne correctement, procédez comme suit :
Ouvrez la page Paramètres du système d’identité dans l'assistant Éditer une ressource (voir Gestion des ressources pour les instructions d'ouverture de l'assistant).
Dans le tableau Configuration des caractéristiques du compte, vérifiez qu'aucune des fonctionnalités Mot de passe et Activer ne présente de coche dans la colonne Désactiver ? (pour afficher la fonctionnalité Activer, sélectionnez Afficher toutes les caractéristiques).
Si la fonctionnalité Activer n'a pas de coche dans la colonne Désactiver ?, il est impossible d'activer les comptes dans la ressource.
Pour activer un compte utilisateur, sélectionnez-le dans la liste puis sélectionnez l'option Activer dans la liste Actions de l'utilisateur.
Sélectionnez les ressources à activer sur la page Activer qui s'affiche puis cliquez sur OK. Identity Manager affiche les résultats de l'activation du compte utilisateur Identity Manager et de tous les comptes de ressources associés.
Vous pouvez activer deux comptes utilisateur Identity Manager ou plus en même temps. Sélectionnez plusieurs comptes utilisateur dans la liste puis sélectionnez Activer dans la liste Actions de l'utilisateur.
Lorsque vous choisissez d'activer plusieurs comptes utilisateur, vous ne pouvez pas sélectionner de comptes de ressources assignés individuellement dans ces différents comptes utilisateur. Ce processus active en effet toutes les ressources de tous les comptes utilisateur que vous sélectionnez.
Les comptes des utilisateurs sont verrouillés lorsque les tentatives de connexion à Identity Manager des utilisateurs échouent. Pour que son compte soit verrouillé, l'utilisateur doit dépasser le nombre de tentatives de connexion ayant échoué autorisé défini par la stratégie de compte d'Identity Manager.
Seules les tentatives de connexion effectuées sur une interface utilisateur d'Identity Manager sont prises en compte pour le verrouillage d'un compte Identity Manager (c'est-à-dire, l'interface administrateur, l'interface administrateur final, l'interface de ligne de commande ou l'interface API SPML). Les tentatives de connexion à des comptes de ressources ayant échoué ne sont pas comptabilisées et n'entraînent pas le verrouillage des comptes Identity Manager des utilisateurs.
La stratégie de compte Identity Manager établit le nombre maximal de tentatives de connexion par mot de passe ou questions ratées autorisées.
Pour les utilisateurs qui dépassent ce nombre maximal d'échecs de connexion par mot de passe, toutes les interfaces de l'application Identity Manager sont alors verrouillées, interface Mot de passe oublié incluse.
Les utilisateurs qui dépassent le nombre maximal d'échecs de connexion par questions peuvent quant à eux s'authentifier sur toute interface de l'application Identity Manager à l'exception de Mot de passe oublié.
Les utilisateurs pour lesquels Identity Manager est verrouillé à cause d'un trop grand nombre d'échecs de connexion par mot de passe ne pourront se connecter que lorsqu'un administrateur déverrouillera le compte en question ou à l'expiration du verrou.
Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.
Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par mot de passe ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par mot de passe ayant échoué dans.
Les utilisateurs pour lesquels l'interface Mot de passe oublié est verrouillée à cause d'un trop grand nombre d'échecs de connexion par questions pourront uniquement se connecter lorsqu'un administrateur déverrouillera le compte en question, lorsque l'utilisateur verrouillé (ou un utilisateur ayant les capacités appropriées) changera ou réinitialisera le mot de passe de l'utilisateur ou à l'expiration du verrou.
Un administrateur peut déverrouiller un compte à condition d'avoir le contrôle administratif de l'organisation dont l'utilisateur est membre ainsi que la capacité Déverrouiller un utilisateur.
Si une valeur de Délai d’attente de verrouillage est définie dans la stratégie de compte Identity Manager, un verrou placé sur un compte pourra expirer. La valeur Délai d’attente de verrouillage pour les tentatives de connexion par questions ayant échoué est définie par la valeur Désactivation du verrou du compte créé par trop de tentatives de connexion par questions ayant échoué dans.
Un administrateur doté des capacités appropriées peut effectuer les opérations suivantes sur un utilisateur à l'état verrouillé :
une mise à jour (reprovisioning de ressources compris),
un changement ou une réinitialisation de mot de passe,
une désactivation ou une activation,
une opération de renommage,
une opération de déverrouillage.
Pour déverrouiller des comptes, sélectionnez un ou plusieurs comptes utilisateur dans la liste puis sélectionnez Déverrouiller les utilisateurs dans la liste Actions de l'utilisateur ou Actions d'organisation.