Règles de corrélation et de confirmation (Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1)

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Règles de corrélation et de confirmation

Utilisez des règles de corrélation et de confirmation lorsque vous ne disposez pas d'un nom d'utilisateur Identity Manager à entrer dans le champ user (utilisateur) de vos actions. Si vous ne spécifiez pas de valeur pour le champ user, vous devez indiquer une règle de corrélation lors du lancement de l'action en masse. Si vous ne spécifiez pas de valeur pour le champ user, les règles de corrélation et de confirmation ne seront pas évaluées pour cette action.

Une règle de corrélation recherche les utilisateurs Identity Manager correspondant aux champs de l'action. Une règle de confirmation teste un utilisateur Identity Manager en le confrontant aux champs de l'action pour vérifier s'il correspond. Cette méthode en deux étapes permet à Identity Manager d'optimiser la corrélation en trouvant rapidement des utilisateurs possibles (d'après le nom ou des attributs) et en limitant l'exécution des contrôles coûteux à ces derniers.

Créez une règle de corrélation ou de confirmation en créant un objet Règle avec, respectivement, le sous-type SUBTYPE_ACCOUNT_CORRELATION_RULE ou SUBTYPE_ACCOUNT_CONFIRMATION_RULE.

Pour plus d'informations sur les règles de corrélation et de confirmation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

Règles de corrélation

L'entrée pour toute règle de corrélation est une mappe des champs d'action. La sortie doit être l'une des suivantes :

une chaîne (contenant un nom ou un ID utilisateur) ;
une liste d'éléments String (chacun étant un nom ou un ID utilisateur) ;
une liste d'éléments WSAttribute ;
une liste d'éléments AttributeCondition.

Une règle de corrélation type génère une liste de noms d'utilisateur d'après les valeurs des champs de l'action. Une règle de corrélation peut également générer une liste de conditions d'attributs (se référant à des attributs interrogeables de Type.USER) qui seront utilisées pour sélectionner des utilisateurs.

Une règle de corrélation doit être relativement peu coûteuse et la plus sélective possible. Si possible, reportez le traitement coûteux sur une règle de confirmation.

Les conditions d'attribut doivent faire référence à des attributs interrogeables de Type.USER. Ces derniers sont configurés dans l'objet Configuration Identity Manager nommé Configuration du schéma IDM.

La corrélation sur un attribut étendu requiert une configuration spéciale.

L'attribut étendu doit être spécifié comme interrogeable.

Pour définir un attribut étendu comme interrogeable

Ouvrez Configuration du schéma IDM. Vous devez avoir la capacité Configuration du schéma IDM pour afficher ou éditer Configuration du schéma IDM.

Localisez l'élément <IDMObjectClassConfiguration name=’User’>.

Localisez l'élément <IDMObjectClassAttributeConfiguration name=’ xyz ’>, où xyz est le nom de l'attribut que vous voulez définir comme interrogeable.

Définissez queryable=’true’

Dans les Règles de corrélation, l'attribut étendu email est défini comme interrogeable.

Exemple 3–1 Extrait XML définissant l'attribut étendu email comme interrogeable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Vous devez redémarrer l'application Identity Manager (ou le serveur d'application) pour que le changement de Configuration du schéma IDM soit appliqué.

Règles de confirmation

Les entrées dans toute règle de confirmation prennent la forme suivante :

Utilisez userview pour une vue complète d'un utilisateur Identity Manager.
Utilisez account pour une mappe des champs d'action.

Une règle de confirmation retourne une valeur booléenne sous forme de chaîne true si l'utilisateur correspond aux champs d'action, sinon elle retourne la valeur false.

Une règle de confirmation typique confronte les valeurs internes de la vue utilisateur aux valeurs des champs d'action. À titre de deuxième étape facultative du traitement de corrélation, la règle de confirmation effectue des contrôles qui ne peuvent pas être exprimés dans une règle de corrélation (ou qui sont trop coûteux à évaluer dans une règle de corrélation).

En règle générale, vous n'aurez besoin d'une règle de confirmation que quand :

la règle de corrélation peut retourner plusieurs utilisateurs correspondants ;
les valeurs utilisateur qui doivent être comparées ne sont pas interrogeables.

Une règle de confirmation est exécutée une fois pour chaque utilisateur correspondant renvoyé par la règle de corrélation.