Chapitre 5 Rôles et ressources

Ce chapitre examine les rôles et les ressources d'Identity Manager.

Les informations qu'il contient sont organisées en rubriques comme suit :

• Comprendre et gérer les rôles ;

• Comprendre et gérer les ressources Identity Manager externes ;

• Comprendre et gérer les ressources externes.

Comprendre et gérer les rôles

Vous trouverez dans cette section des informations relatives à la configuration des rôles dans Identity Manager. Dans les entreprises de grande taille, les assignations de ressources basées sur les rôles simplifient considérablement la gestion des ressources.

Ne confondez pas les rôles avec les rôles admin. Les rôles sont utilisés pour gérer l'accès des utilisateurs finaux aux ressources tandis que les rôles admin le sont principalement pour gérer l'accès des administrateurs aux objets Identity Manager internes que sont les utilisateurs, les organisations et les capacités.

Les informations contenues dans cette section sont relatives aux rôles. Pour plus d'informations sur les rôles admin, voir la section Comprendre et gérer les rôles admin.

Définition des rôles

Un rôle est un objet Identity Manager permettant de regrouper des droits d'accès aux ressources en vue de les assigner efficacement à des utilisateurs.

Les rôles sont organisés en quatre types :

• les rôles professionnels,

• les rôles informatiques,

• les applications,

• le matériel.

Les rôles professionnels permettent d'organiser en groupes les droits d'accès dont les personnes effectuant des tâches semblables au sein d'une organisation ont besoin dans l'exercice de leurs fonctions. En général, les rôles professionnels correspondent aux fonctions professionnelles des utilisateurs. Dans un établissement bancaire par exemple, les rôles professionnels peuvent correspondre à des fonctions financières telles que celles de guichetier, responsable des prêts, directeur de succursale, chargé de clientèle, comptable ou assistant administratif.

Les rôles informatiques, applications et matériel permettent d'organiser les habilitations de ressources en groupes. Pour fournir aux utilisateurs l'accès aux ressources, les rôles informatiques, les applications et le matériel sont assignés à des rôles professionnels, lesquels permettent aux utilisateurs d'accéder aux ressources dont ils ont besoin dans l'exercice de leurs fonctions. Les rôles informatiques contiennent un ensemble spécifique d'applications, matériel et/ou ressources, incluant des habilitations spécifiques pour ces ressources assignées. Les rôles informatiques peuvent aussi contenir d'autres rôles informatiques.

Le concept de type de rôle est une nouveauté de la version Identity Manager 8.0. Si votre entreprise a effectué une mise à niveau vers la version 8.0 à partir d'une version antérieure d'Identity Manager, les rôles existants auront été importés sous forme de rôles informatiques. Pour plus d'informations, voir Gestion des rôles créés dans des versions antérieures à la version 8.0..

Les rôles informatiques, les applications et le matériel peuvent être obligatoires, conditionnels ou optionnels.

• Tout rôle obligatoire est toujours assigné à l'utilisateur final.

• Dans le cas d'un rôle conditionnel, certaines conditions doivent être remplies pour que le rôle soit assigné.

• Un rôle optionnel peut être demandé séparément et, sous réserve d'approbation, assigné à l'utilisateur final.

Les rôles obligatoires, conditionnels et optionnels permettent à un concepteur de rôle professionnel de définir des droits d'accès génériques aux rôles contenus afin d’assurer la conformité aux réglementations, tout en laissant au responsable d’un utilisateur final la liberté d’adapter de manière plus précise les droits d’accès de l'utilisateur. Les utilisateurs auxquels des rôles conditionnels ou optionnels ont été assignés peuvent toujours partager les mêmes rôles professionnels assignés mais ont des droits d'accès assignés différents. Avec une telle approche, il devient inutile de définir un nouveau rôle professionnel à chaque permutation des besoins d'accès dans l'entreprise (problème connu sous le nom d'explosion des rôles).

Pour un fonctionnement efficace des types de rôles

Les lignes suivantes expliquent comment utiliser efficacement les types de rôles. Pour la description des types de rôles, voir la section précédente.

Gestion des rôles créés dans des versions antérieures à la version 8.0.

Les organisations qui passent à la version 8.0 d’Identity Manager à partir d’une version précédente verront automatiquement leurs rôles existants convertis en rôles informatiques. Les rôles informatiques resteront directement assignés aux utilisateurs. Les rôles existants ne se verront pas assigner de propriétaire de rôle dans le cadre du processus de mise à niveau. Un propriétaire de rôle pourra cependant être assigné ultérieurement (pour toute information sur les propriétaires de rôles, voir Désignation des propriétaires et approbateurs de rôles).

Par défaut, les organisations qui effectuent une mise à niveau vers la version 8.0 peuvent assigner directement des rôles informatiques et professionnels aux utilisateurs (voir Figure 5–2).

Les organisations qui ont des rôles existants doivent envisager de créer de nouveaux rôles en suivant les directives esquissées dans la section suivante.

Utilisation des types de rôles pour concevoir des rôles flexibles

Les rôles informatiques, les applications et le matériel sont les blocs fonctionnels du concepteur de rôles. Ces trois types de rôles sont utilisés en combinaison pour élaborer des habilitations utilisateur (ou droits d'accès). Les rôles informatiques, les applications et le matériel sont ensuite assignés à des rôles professionnels.

Conception de rôles professionnels

Dans Identity Manager, un utilisateur peut se voir assigner un, plusieurs ou aucun rôles. Avec l'introduction des types de rôles dans Identity Manager 8.0, il est recommandé de n'assigner directement aux utilisateurs que des rôles professionnels. En effet, par défaut, vous ne pouvez pas assigner directement d'autres types de rôles aux utilisateurs à moins que votre entreprise n'ait installé une version antérieure à la version 8.0 d'Identity Manager et effectué une mise à jour vers la version 8.0 minimum. Cette restriction par défaut peut être changée en modifiant l'objet Configuration de rôle (Configuration des types de rôles , Configuration des types de rôles).

Pour réduire la complexité, les rôles professionnels ne peuvent pas être imbriqués. Autrement dit, un rôle professionnel ne peut pas contenir à son tour un rôle professionnel. De plus, les rôles professionnels ne peuvent pas contenir directement des ressources et des groupes de ressources. Les ressources et groupes de ressources doivent être assignés à un rôle informatique ou à une application, qui peut à son tour être assigné à un ou plusieurs rôles professionnels.

Conception de rôles informatiques

Les rôles informatiques peuvent contenir des applications, du matériel ainsi que d'autres rôles informatiques. Ils peuvent aussi contenir des ressources et des groupes de ressources.

Les rôles informatiques sont conçus pour être créés et gérés soit par le personnel informatique de votre entreprise soit par les propriétaires des ressources qui comprennent les habilitations requises pour activer des privilèges spécifiques au sein de la ressource.

Conception d'applications et de matériel

Les applications et le matériel sont des types de rôles conçus pour représenter des termes professionnels communément utilisés pour décrire des éléments dont les utilisateurs finaux ont besoin dans l'exercice de leurs fonctions. Par exemple, un rôle Application peut être nommé « Outils de support client » ou « Outil admin RH intranet ».

• Les applications ne peuvent pas contenir de rôles, mais peuvent contenir des ressources et des groupes de ressources. Elles peuvent également définir des habilitations spécifiques qui restreignent l'accès à des applications spécifiques sur les ressources contenues.

• Le matériel est (en règle générale) constitué de ressources non connectées et non numériques telles que des téléphones et des ordinateurs portables, exigeant un provisioning manuel. Par conséquent, le matériel ne peut pas contenir de rôles, de ressources ou de groupes de ressources.

Les applications et le matériel sont conçus pour être assignés à des rôles professionnels et des rôles informatiques.

Une ou plusieurs des capacités suivantes doivent être assignées aux administrateurs de rôles :

• Administrateur du matériel,

• Administrateur des applications,

• Administrateur des rôles professionnels,

• Administrateur des rôles informatiques.

Pour plus d’informations, voir Assignation de capacités aux utilisateurs .

Récapitulatif des types de rôles

La figure suivante indique les types de rôles, ressources et groupes de ressources qui peuvent être assignés à chacun des quatre types de rôles. Elle indique aussi les exclusions de type de rôles pouvant être assignées aux quatre types de rôles (pour la description des exclusions de rôles, voir Pour assigner des ressources et groupes de ressources).

Figure 5–1 Les types de rôles Rôle professionnel, Rôle informatique, Application et Matériel

Les rôles contenus optionnels, conditionnels et obligatoires (Définition des rôles) accroissent la flexibilité. Les définitions de rôle flexibles peuvent réduire le nombre total de rôles que l'entreprise sera amenée à gérer.

La Figure 5–2 montre que les rôles professionnels et informatiques peuvent être directement assignés aux utilisateurs si une version antérieure à la version 8.0 d'Identity Manager est mise à niveau vers la version 8.0 minimum. Lors de la mise à niveau, les rôles existants sont convertis en rôles informatiques, lesquels pour assurer la compatibilité ascendante sont directement assignés aux utilisateurs. Si Identity Manager n'a pas été mis à niveau à partir d'une version antérieure à la 8.0, seuls les rôles professionnels sont directement assignés aux utilisateurs.

Figure 5–2 Rôles et ressources pouvant être directement assignés aux utilisateurs.

Création de rôles

Cette section décrit la création des rôles. Ces informations sont organisées de la manière suivante :

• Pour créer des rôles en utilisant le formulaire Créer un rôle ;

• Pour assigner des ressources et groupes de ressources ;

• Pour éditer des valeurs d'attributs de ressources assignées ;

• Pour assigner des rôles et des exclusions de rôles ;

• Désignation des propriétaires et approbateurs de rôles ;

• Désignation de notifications.

• Lancement d'éléments de travail d'approbation de changement et d'approbation

Pour des conseils en matière de conception de rôles, reportez-vous à Utilisation des types de rôles pour concevoir des rôles flexibles.

Lorsque vous créez ou éditez un rôle, Identity Manager lance le flux de travaux ManageRole. Ce flux de travaux enregistre le rôle nouveau ou mis à jour dans le référentiel et vous permet d'insérer des approbations ou d'autres actions avant la création ou l'enregistrement du rôle.

Pour créer des rôles en utilisant le formulaire Créer un rôle

1. Dans l'interface administrateur, cliquez sur Rôles dans le menu principal.

   La page Rôles (onglet Lister les rôles) s'ouvre.

2. Cliquez sur Nouveau au bas de cette page.

   La page Créer Rôle informatique s'ouvre. Pour créer un autre type de rôle, utilisez le menu déroulant Type.

3. Remplissez les champs du formulaire sur l'onglet Identité.

   La figure suivante illustre l'onglet Identité.

   Figure 5–3 L'onglet Identité de la page Créer Rôle informatique

   
   

4. Remplissez les champs du formulaire dans l'onglet Ressources (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des ressources et groupes de ressources.

   Si vous avez besoin d'aide pour définir les valeurs des attributs étendus sur les rôles, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   La figure suivante illustre l'onglet Ressources.

   Figure 5–4 L'onglet Ressources de la page Créer Rôle informatique

   
   

5. Remplissez les champs du formulaire sur l'onglet Rôles (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des rôles et des exclusions de rôles.

   La Figure 5–6 illustre l'onglet Rôles.

6. Remplissez les champs du formulaire sur l'onglet Sécurité. Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Désignation des propriétaires et approbateurs de rôles et la section Désignation de notifications.

   Désignation des propriétaires et approbateurs de rôles affiche l'onglet Sécurité.

7. Cliquez sur Enregistrer au bas de cette page.

8. Saisissez un nom de rôle et une description dans l'onglet Identité du formulaire Créer un rôle. Si vous créez un nouveau rôle, utilisez le menu déroulant Type afin de sélectionner le type de rôle à créer.

   La Figure 5–4 représente la partie Identité de l'onglet Identité du formulaire Créer un rôle. Si vous avez besoin d'aide pour utiliser ce formulaire, reportez-vous à l'aide en ligne.

Pour assigner des ressources et groupes de ressources

Les ressources et groupes de ressources peuvent être assignés directement à des rôles informatiques et des rôles applications en utilisant l'onglet Ressources du formulaire Créer un rôle. Les ressources sont décrites plus loin dans la section Comprendre et gérer les ressources Identity Manager externes. Les groupes de ressources sont décrits dans la section Groupes de ressources.

• Il est impossible d'assigner directement des ressources et groupes de ressources à des rôles professionnels, car les rôles professionnels ne peuvent se voir assigner que des rôles.

• Il est impossible d'assigner des ressources et des groupes de ressources à des rôles de type Matériel, car ceux-ci sont réservés aux ressources non connectées ou non numériques nécessitant un provisioning manuel.

Cette procédure décrit l'assignation des ressources et groupes de ressources à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

1. Cliquez sur l'onglet Ressources sur la page Créer un rôle.

2. Pour assigner une ressource, sélectionnez-la dans la colonne Ressources disponibles et déplacez-la dans la colonne Ressources actuelles en cliquant sur les touches fléchées.

3. Si vous assignez plusieurs ressources, vous pouvez définir l'ordre dans lequel celles-ci seront mises à jour : cochez la case Mettre ressources à jour en ordre et utilisez les boutons + et - pour changer l'ordre des ressources dans la colonne Ressources actuelles.

4. Pour assigner un groupe de ressources à ce rôle, sélectionnez-le dans la colonne Groupes de ressources disponibles et déplacez-le dans la colonne Groupes de ressources actuels en cliquant sur les touches fléchées. Un groupe de ressources est un ensemble de ressources offrant un autre moyen de spécifier l'ordre dans lequel les comptes de ressources sont créés et mis à jour.

5. Pour définir les attributs de compte s'appliquant à ce rôle par ressource, cliquez sur Définir des valeurs d'attribut dans la section Ressources assignées. Pour plus d'informations, voir Pour afficher ou éditer les attributs des comptes de ressources.

6. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Rôles ou Sécurité pour poursuivre le processus de création de rôle.

   La figure suivante représente l'onglet Ressources du formulaire Créer un rôle.

   Figure 5–5 La section Ressources du formulaire à onglets Créer un rôle

   
   

Pour éditer des valeurs d'attributs de ressources assignées

Utilisez le tableau Ressources assignées pour définir ou modifier les valeurs d'attributs de ressources sur des ressources assignées à un rôle. Une ressource peut avoir différentes valeurs d'attributs définies par rôle. Cliquer sur le bouton Définir des valeurs d’attribut ouvre la page Attributs de compte de ressources.

La figure suivante représente la page Attributs de compte de ressources qui est utilisée pour définir les valeurs des attributs étendus sur les ressources assignées à un rôle.

1. Depuis la page Attributs de compte de ressources, spécifiez les nouvelles valeurs de chaque attribut et déterminez la façon dont sont définies les valeurs des attributs.

   Identity Manager vous permet de définir directement les valeurs ou d'utiliser une règle pour définir les valeurs et fournit toute une gamme d'options pour ignorer les valeurs existantes ou fusionner les valeurs avec les valeurs existantes. Pour toute information d'ordre général sur les valeurs des attributs de ressource, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   Utilisez les options suivantes pour fixer les valeurs des différents attributs de compte de ressource :

   • Annuler valeur. Choisissez l'une des options suivantes :

     • Aucun (par défaut). Aucune valeur n'est établie.

     • Règle. Utilise une règle pour définir la valeur.

       Si vous sélectionnez cette option, vous devez sélectionner le nom d'une règle dans la liste.

     • Texte. Utilise le texte spécifié pour définir la valeur.

       Si vous sélectionnez cette option, vous devez saisir le texte dans le champ Texte adjacent.

   • Comment définir. Choisissez l'une des options suivantes :

     • Valeur par défaut. Définit la règle ou le texte comme valeur d'attribut par défaut.

       L'utilisateur peut modifier ou annuler cette valeur.

     • Définir sur la valeur. Définit la valeur d'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur.

     • Fusionner avec la valeur. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

     • Fusionner avec la valeur, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

     • Supprimer de la valeur. Supprime de la valeur d'attribut la valeur spécifiée par la règle ou le texte.

     • Déterminer à la valeur par voie d’autorité. Définit la valeur de l'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur. Si vous supprimez le rôle, la nouvelle valeur est NULL, même s'il existait précédemment sur cet attribut.

     • Fusionner avec la valeur par voie d’autorité. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

       La suppression du rôle supprime la valeur qui avait été assignée à l'assignation du rôle et laisse telle quelle la valeur originale de l'attribut.

     • Fusionner avec la valeur par voie d’autorité, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

       Supprime la valeur d'attribut spécifiée par ce rôle si le rôle est supprimé, même s'il existait précédemment sur l'attribut.

   • Nom de la règle. Si vous sélectionnez Règle dans la zone Annuler valeur, sélectionnez une règle dans la liste.

   • Texte. Si vous sélectionnez Texte dans la zone Annuler valeur, saisissez le texte à ajouter ou à supprimer de la valeur de l'attribut, ou à utiliser comme valeur d'attribut.

2. Cliquez sur OK pour enregistrer vos modifications et retourner à la page Créer ou Éditer un rôle.

Pour assigner des rôles et des exclusions de rôles

Des rôles peuvent être assignés à des rôles professionnels et informatiques via l'onglet Rôles du formulaire Créer un rôle. Les rôles assignés doivent être ajoutés au tableau Rôles contenus.

• Il est impossible d'assigner des rôles à des rôles de type Application et Matériel.

• Les rôles professionnels ne peuvent être assignés à aucun type de rôle.

Des exclusions de rôles peuvent être assignées à l'ensemble des quatre types de rôles en utilisant l'onglet Rôles du formulaire Créer un rôle. Si un rôle présentant une exclusion de rôle est assigné à un utilisateur, le rôle exclu ne peut pas être assigné à l'utilisateur. Les exclusions de rôles doivent être ajoutées au tableau Exclusions de rôles.

Cette procédure décrit l'assignation de un ou plusieurs rôles à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

Pour remplir l'onglet Rôles

1. Cliquez sur l'onglet Rôles sur la page Créer un rôle.

2. Cliquez sur Ajouter dans la section Rôles contenus.

   L'onglet est actualisé et affiche le formulaire Rechercher rôles à contenir.

3. Recherchez le ou les rôles que vous assignerez à ce rôle. Commencez par les rôles obligatoires (vous ajouterez les rôles conditionnels et optionnels ultérieurement).

   Si vous avez besoin d'aide pour remplir le formulaire de recherche, reportez-vous à Pour rechercher des rôles. Les rôles professionnels ne peuvent être imbriqués ni assignés à d'autres types de rôles.

4. Utilisez les cases à cocher pour sélectionner un ou plusieurs rôles à assigner puis cliquez sur Ajouter.

   L'onglet est actualisé et affiche le formulaire Ajouter un rôle contenu.

5. Sélectionnez Obligatoire (ou Conditionnel ou Optionnel selon le cas) dans le menu déroulant Type d’association.

   Cliquez sur OK.

6. Répétez les quatre étapes précédentes pour ajouter des rôles conditionnels (le cas échéant). Répétez les quatre étapes précédentes pour ajouter des rôles optionnels (le cas échéant).

7. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Ressources ou Sécurité pour poursuivre le processus de création de rôle.

   La Figure 5–6 représente l'onglet Rôles du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–6 La section Rôles du formulaire à onglets Créer un rôle

   
   

Désignation des propriétaires et approbateurs de rôles

Les rôles ont des propriétaires et des approbateurs désignés. Seuls les propriétaires d'un rôle peuvent autoriser l'apport de modifications aux paramètres définissant un rôle tandis que seuls les approbateurs d'un rôle peuvent autoriser l'assignation de ce rôle aux utilisateurs finaux.

Si Identity Manager est intégré avec Sun^TM Role Manager, vous devez autoriser Role Manager à gérer l'ensemble des approbations et notifications de changement de rôle en désactivant manuellement la capacité d'Identity Manager d'effectuer ces actions.

Vous devez éditer l'objet Configuration RoleConfiguration dans Identity Manager comme suit :

• Trouvez toutes les instances de changeApproval et définissez la valeur sur false.

• Trouvez toutes les instances de changeNotification et définissez la valeur sur false.

Être le propriétaire d'un rôle revient à être le propriétaire professionnel responsable des droits des comptes de ressources sous-jacents qui sont assignés par le biais de ce rôle. Si un administrateur modifie un rôle, le propriétaire du rôle doit approuver les changements pour qu'ils puissent être appliqués. Cette fonction permet d'empêcher un administrateur de modifier un rôle sans que le propriétaire professionnel du rôle ne le sache et n'y consente. Cependant, si les approbations de changement ont été désactivées dans l'objet Configuration du rôle, l'approbation du propriétaire du rôle n'est pas nécessaire pour appliquer les changements.

Outre pour les changements de rôle, l'approbation du propriétaire est nécessaire pour activer, désactiver ou supprimer un rôle.

Les propriétaires et approbateurs peuvent indifféremment être ajoutés directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Dans Identity Manager, il est possible (même si cela n'est pas recommandé) de créer des rôles sans propriétaire ni approbateur.

Les règles d'assignation de rôles ont pour authType RoleUserRule.

Si vous devez créer une règle d'assignation de rôles personnalisée, reportez-vous aux trois objets de règle d'assignation de rôles et utilisez-les comme un exemple :

• approbateurs de rôles,

• notifications de rôle,

• propriétaires de rôles.

Les propriétaires et les approbateurs sont avertis par e-mail si un élément de travail requiert leur approbation. Les éléments de travail de type approbation de changement et approbation sont examinés dans la section Lancement d'éléments de travail d'approbation de changement et d'approbation.

Les propriétaires et les approbateurs sont ajoutés aux rôles sur l'onglet Sécurité dans le formulaire Créer un rôle.

Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

Désignation de notifications

Un ou plusieurs administrateurs peuvent recevoir des notifications lorsqu'un rôle est assigné à un utilisateur.

La spécification d'un destinataire des notifications est optionnelle. Vous pouvez choisir d'avertir un administrateur si vous décidez de ne pas exiger d'approbation quand un rôle est assigné à un utilisateur. Vous pouvez aussi désigner un administrateur qui servira d'approbateur et un autre administrateur qui servira de destinataire des notifications une fois l'approbation effectuée.

Comme avec les propriétaires et approbateurs, les notifications peuvent indifféremment être ajoutées directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Les destinataires des notifications sont avertis par e-mail quand un rôle est assigné à un utilisateur. Aucun élément de travail n'est toutefois créé puisqu'aucune approbation n'est nécessaire.

Les notifications sont assignées aux rôles dans l'onglet Sécurité du formulaire Créer un rôle. Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle.

Lancement d'éléments de travail d'approbation de changement et d'approbation

Lorsque des changements sont apportés à un rôle, les propriétaires de ce rôle peuvent recevoir un e-mail d'approbation de changement, un e-mail de notification de changement ou ne pas recevoir d'e-mail du tout. Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle.

Par défaut, les propriétaires de rôles reçoivent des e-mails approbation de changement à chaque fois que les rôles dont ils sont propriétaires changent. Ce comportement peut cependant être configuré par type de rôle. Par exemple, vous pouvez choisir d'activer les approbations de changement pour les rôles professionnels et informatiques, et d'activer les notifications de changement pour les rôles applications et matériel.

Pour les instructions à suivre pour activer et désactiver les e-mails d'approbation de changement et de notification de changement, reportez-vous à Configuration des types de rôles .

Le fonctionnement des approbations et notifications de changement est le suivant :

• Si les approbations de changement sont activées lorsqu'un administrateur modifie un rôle, un élément de travail est généré et un e-mail d'approbation est envoyé au propriétaire du rôle. Le propriétaire du rôle doit approuver l'élément de travail pour que le changement soit appliqué. Les éléments de travail d'approbation de changement peuvent être délégués. Pour plus d’informations, voir Approbation des comptes utilisateur.

  Si les approbations de changement sont désactivées, aucun élément de travail n'est généré et aucun e-mail d'approbation n'est envoyé au propriétaire du rôle.

• Si les notifications de changement sont activées lorsqu'un administrateur modifie un rôle, le changement est immédiatement appliqué et un e-mail de notification est envoyé au propriétaire du rôle.

  Si les notifications de changement sont désactivées, aucune notification n'est envoyée au propriétaire du rôle.

Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle. Les e-mails d'approbation de rôle ne peuvent pas être désactivés dans Identity Manager.

Pour les approbations de rôle, un élément de travail est généré lorsqu'un rôle est assigné à un utilisateur et un e-mail d'approbation est envoyé à l'approbateur du rôle. L'approbateur d'un rôle doit approuver l'élément de travail pour que le rôle soit assigné à l'utilisateur.

Les éléments de travail d'approbation de changement et d'approbation peuvent être délégués. Pour plus d'informations sur la délégation des éléments de travail, voir Délégation des éléments de travail.

Édition et gestion des rôles

La plupart des tâches d'édition et de gestion de rôles peuvent être effectuées en utilisant les onglets Rechercher des rôles et Lister les rôles, qui se trouvent sous l'onglet Rôles dans le menu principal.

Cette section se compose des rubriques suivantes :

• Pour rechercher des rôles ;

• Pour afficher des rôles ;

• Pour éditer un rôle ;

• Pour cloner un rôle ;

• Pour assigner un rôle à un autre rôle ;

• Pour supprimer un rôle assigné à un autre rôle ;

• Pour activer et désactiver des rôles ;

• Pour supprimer un rôle ;

• Pour assigner une ressource ou un groupe de ressources à un rôle

• Pour supprimer une ressource ou un groupe de ressources assigné à un rôle.

Pour rechercher des rôles

Utilisez l'onglet Rechercher des rôles pour rechercher des rôles remplissant les critères spécifiés.

L'onglet Rechercher des rôles permet de rechercher des rôles en fonction d'un vaste éventail de critères tels que les propriétaires et approbateurs des rôles, les types de comptes assignés, les rôles contenus, etc.

Pour toute information sur la recherche d'utilisateurs assignés à un rôle, reportez-vous à Pour rechercher des utilisateurs assignés à un rôle spécifique.

1. Dans l'interface administrateur, cliquez sur l'onglet Rôles.

   L'onglet Lister les rôles s'ouvre.

2. Cliquez sur l'onglet secondaire Rechercher des rôles.

   La Figure 5–7 illustre l'onglet Rechercher des rôles. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–7 L'onglet Rechercher des rôles

   
   

   Utilisez les menus déroulants pour définir les paramètres pour votre recherche. Cliquez sur le bouton Ajouter une ligne pour ajouter des paramètres supplémentaires.

Pour afficher des rôles

Utilisez l'onglet Lister les rôles pour afficher les rôles. Utilisez les champs de filtre dans le haut de la page Lister les rôles pour rechercher des rôles par nom ou type de rôle. Le filtrage n'est pas sensible à la casse.

1. Dans l'interface administrateur, cliquez sur l'onglet Rôles.

   Le sous-onglet Lister les rôles s'ouvre.

   La Figure 5–8 illustre l'onglet Lister les rôles. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–8 L'onglet Lister les rôles

   
   

Pour éditer un rôle

Recherchez les rôles à éditer en utilisant l'onglet Lister les rôles ou l'onglet Rechercher des rôles. Si vous apportez des changements à un rôle et que les approbations de changement sont définies sur true, le propriétaire de ce rôle doit approuver les changements effectués pour qu'ils puissent entrer en vigueur.

Pour toute information sur la mise à jour des utilisateurs avec les changements de rôle, reportez-vous à Pour mettre à jour les rôles assignés aux utilisateurs.

1. Recherchez le rôle à éditer en suivant les instructions de la section Pour rechercher des rôles ou Pour afficher des rôles.

2. Cliquez sur le nom du rôle à éditer.

   La page Éditer un rôle s'ouvre.

3. Éditez le rôle comme nécessaire. Pour toute aide pour remplir les onglets Identité, Ressources, Rôles et Sécurité, reportez-vous à Pour créer des rôles en utilisant le formulaire Créer un rôle.

   Cliquez sur Enregistrer. La page Confirmer les changements de rôle s'ouvre.

4. Si ce rôle est assigné à des utilisateurs, vous pouvez sélectionner quand mettre à jour les utilisateurs avec les changements de rôle. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

5. Cliquez sur Enregistrer pour enregistrer vos modifications.

Pour cloner un rôle

1. Recherchez le rôle que vous voulez éditer en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Cliquez sur le nom du rôle à cloner.

   La page Éditer un rôle s'ouvre.

3. Entrez un nouveau nom dans le champ Nom et cliquez sur Enregistrer.

   Page Rôle : Créer ou Renommer ? s'ouvre.

4. Cliquez sur Créer pour faire une copie du rôle.

Pour assigner un rôle à un autre rôle

Les exigences d'Identity Manager en matière d'assignation de rôles sont détaillées dans les sections Définition des rôles et Pour un fonctionnement efficace des types de rôles . Vous devez prendre connaissance de ces informations avant d'assigner des rôles.

Identity Manager peut modifier les assignations de rôles à un rôle sur approbation du propriétaire du rôle parent.

1. Recherchez le rôle professionnel ou informatique auquel vous assignerez un ou plusieurs rôles contenus (les rôles peuvent uniquement être assignés aux rôles professionnels et informatiques). Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle professionnel ou informatique de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Rôles sur la page Éditer un rôle.

4. Cliquez sur Ajouter dans la section Rôles contenus.

   L'onglet est actualisé et affiche le formulaire Rechercher rôles à contenir.

5. Recherchez le ou les rôles que vous assignerez à ce rôle. Commencez par les éventuels rôles obligatoires (vous ajouterez les rôles conditionnels et optionnels ultérieurement).

   Si vous avez besoin d'aide pour remplir le formulaire de recherche, reportez-vous à Pour rechercher des rôles. Les rôles professionnels ne peuvent pas être imbriqués ni assignés à d'autres types de rôles.

6. Utilisez les cases à cocher pour sélectionner un ou plusieurs rôles à assigner puis cliquez sur Ajouter.

   L'onglet est actualisé et affiche le formulaire Ajouter un rôle contenu.

7. Sélectionnez Obligatoire (ou Conditionnel ou Optionnel selon le cas) dans le menu déroulant Type d’association.

   Cliquez sur OK.

8. Répétez les quatre étapes précédentes pour ajouter des rôles conditionnels (le cas échéant). Répétez de nouveau les quatre étapes précédentes pour ajouter des rôles optionnels (le cas échéant).

9. Cliquez sur Enregistrer pour ouvrir la page Confirmer les changements de rôle.

   La page Confirmer les changements de rôle s'ouvre.

10. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés puis cliquez sur Enregistrer pour enregistrer vos assignations de rôle.

    Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

Pour supprimer un rôle assigné à un autre rôle

Identity Manager peut supprimer un rôle contenu dans un autre rôle sur approbation du propriétaire du rôle parent. Le rôle supprimé sera supprimé des utilisateurs lorsque ceux-ci recevront les mises à jour de rôles (pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs). Une fois le rôle supprimé, les utilisateurs perdent les habilitations qui y étaient associées.

• Pour toute information sur la suppression d'un rôle assigné à un ou plusieurs utilisateurs, reportez-vous à Pour supprimer un ou plusieurs rôles d'un utilisateur.

• Pour toute information sur la désactivation d'un rôle, reportez-vous à Pour activer et désactiver des rôles.

• Pour toute information sur la suppression d'un rôle d'Identity Manager, reportez-vous à Pour supprimer un rôle.

1. Recherchez le rôle professionnel ou informatique duquel vous voulez supprimer un rôle. Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Rôles sur la page Éditer un rôle.

4. Dans la section Rôles contenus, sélectionnez la case à cocher en regard du rôle à supprimer puis cliquez sur Supprimer. Pour supprimer plusieurs rôles, sélectionnez plusieurs cases à cocher.

   Le tableau est mis à jour de façon à indiquer les rôles contenus restants.

5. Cliquez sur Enregistrer.

   La page Confirmer les changements de rôle s'ouvre.

6. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

7. Cliquez sur Enregistrer pour terminer vos modifications.

Pour activer et désactiver des rôles

Les rôles peuvent être activés et désactivés sur l'onglet Lister les rôles. Le statut des rôles est affiché dans la colonne Statut. Cliquez sur l'en-tête de colonne Statut pour trier le tableau par statut de rôle.

Les rôles désactivés ne figurent pas sous l'onglet Rôles du formulaire Créer un/Éditer l'utilisateur et ne peuvent pas être assignés directement à des utilisateurs. Les rôles contenant des rôles désactivés peuvent être assignés à des utilisateurs, ce qui n'est pas le cas des rôles désactivés.

Les utilisateurs dont les rôles assignés sont par la suite désactivés ne perdent pas leurs habilitations. La désactivation d'un rôle bloque uniquement la création des futures assignations de rôle.

La désactivation et la réactivation d'un rôle nécessitent l'autorisation de son propriétaire.

Lors de l'activation ou de la désactivation d'un rôle ayant des utilisateurs assignés, Identity Manager vous invite à mettre à jour ces utilisateurs. Pour toute information, reportez-vous à Pour mettre à jour les rôles assignés aux utilisateurs.

1. Recherchez le rôle à supprimer en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Cliquez sur les cases à cocher en regard des rôles à activer ou désactiver.

3. Cliquez sur Activer ou Désactiver au bas du tableau Rôles.

   La page de confirmation Activer le rôle ou Désactiver le rôle s'ouvre.

4. Cliquez sur OK pour activer ou désactiver le rôle.

Pour supprimer un rôle

Cette section explique la procédure à suivre pour supprimer un rôle d'Identity Manager.

• Pour toute information sur la suppression d'un rôle assigné à un autre rôle, reportez-vous à Pour supprimer un rôle assigné à un autre rôle.

• Pour toute information sur la suppression d'un rôle assigné à un ou plusieurs utilisateurs, reportez-vous à Pour supprimer un ou plusieurs rôles d'un utilisateur.

Si vous supprimez un rôle actuellement assigné à un utilisateur, Identity Manager bloque la suppression lorsque vous tentez d'enregistrer le rôle. Vous devez annuler l'assignation de (ou réassigner) tous les utilisateurs associés à un rôle pour qu'Identity Manager puisse le supprimer. Vous devez également supprimer ce rôle des autres rôles dont il fait partie.

Identity Manager requiert l'approbation du propriétaire d'un rôle avant de supprimer ce dernier.

1. Recherchez le rôle à supprimer en suivant les instructions de la section Pour rechercher des rôles ou Pour afficher des rôles.

2. Sélectionnez la case à cocher en regard de chacun des rôles à supprimer.

3. Cliquez sur Supprimer.

   La page de confirmation Supprimer un rôle s'affiche.

4. Cliquez sur OK pour supprimer un ou plusieurs rôles.

Pour assigner une ressource ou un groupe de ressources à un rôle

Les exigences d'Identity Manager en matière d'assignation de ressources et groupes de ressources sont décrites dans les sections Définition des rôles et Pour un fonctionnement efficace des types de rôles . Vous devez prendre connaissance de ces informations avant d'assigner des ressources aux rôles.

Identity Manager peut modifier les assignations de ressources et de groupes de ressources d'un rôle sur approbation du propriétaire du rôle.

1. Recherchez le rôle professionnel ou informatique auquel vous voulez ajouter une ressource ou un groupe de ressources. Pour les instructions à suivre pour rechercher un rôle, reportez-vous à Pour rechercher des rôles ou à Pour afficher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

3. Cliquez sur l'onglet Ressources sur la page Éditer un rôle.

4. Pour assigner une ressource, sélectionnez-la dans la colonne Ressources disponibles et déplacez-la dans la colonne Ressources actuelles en cliquant sur les touches fléchées.

5. Si vous assignez plusieurs ressources, vous pouvez définir l'ordre dans lequel celles-ci seront mises à jour : cochez la case Mettre ressources à jour en ordre et utilisez les boutons + et - pour changer l'ordre des ressources dans la colonne Ressources actuelles.

6. Pour assigner un groupe de ressources à ce rôle, sélectionnez-le dans la colonne Groupes de ressources disponibles et déplacez-le dans la colonne Groupes de ressources actuels en cliquant sur les touches fléchées. Un groupe de ressources est un ensemble de ressources offrant un autre moyen de spécifier l'ordre dans lequel les comptes de ressources sont créés et mis à jour.

7. Pour définir les attributs de compte s'appliquant à ce rôle par ressource, cliquez sur Définir des valeurs d'attribut dans la section Ressources assignées. Pour plus d'informations, voir Pour afficher ou éditer les attributs des comptes de ressources.

8. Cliquez sur Enregistrer pour ouvrir la page Confirmer les changements de rôle.

   La page Confirmer les changements de rôle s'ouvre.

9. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

10. Cliquez sur Enregistrer pour enregistrer vos assignations de ressources.

Pour supprimer une ressource ou un groupe de ressources assigné à un rôle

Identity Manager peut supprimer une ressource ou un groupe de ressources d'un rôle sur approbation du propriétaire de ce rôle. La ressource supprimée sera supprimée des utilisateurs lorsque ceux-ci recevront les mises à jour de rôles (pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs). À la suppression de la ressource, les utilisateurs perdent leurs habilitations concernant cette ressource à moins que celle-ci ne soit aussi directement assignée aux utilisateurs.

1. Recherchez le rôle professionnel ou informatique dont vous voulez supprimer une ressource ou un groupe de ressources. Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Ressources sur la page Éditer un rôle.

4. Pour supprimer une ressource, sélectionnez-la dans la colonne Ressources actuelles et déplacez-la dans la colonne Ressources disponibles en cliquant sur les touches fléchées.

   Pour supprimer un groupe de ressources, sélectionnez-le dans la colonne Groupes de ressources actuels et déplacez-le dans la colonne Groupes de ressources disponibles en cliquant sur les touches fléchées.

5. Cliquez sur Enregistrer.

   La page Confirmer les changements de rôle s'ouvre.

6. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

7. Cliquez sur Enregistrer pour terminer vos modifications.

Gestion des assignations de rôles aux utilisateurs

Les rôles sont assignés aux utilisateurs dans la zone Comptes d'Identity Manager.

Pour assigner des rôles à un utilisateur

Utilisez la procédure suivante pour assigner un ou plusieurs rôles à un ou plusieurs utilisateurs.

Les utilisateurs finaux peuvent aussi effectuer des demandes d'assignation de rôles pour eux-mêmes (à condition de se limiter à demander des rôles optionnels dont le rôle parent a déjà été assigné à l'utilisateur). Pour toute information sur les méthodes à la disposition des utilisateurs finaux pour demander des rôles disponibles, reportez-vous à Onglet Demandes dans la section Interface utilisateur final d'Identity Manager.

1. Dans l'interface administrateur, cliquez sur l'onglet Comptes.

   Le sous-onglet Lister les comptes s'ouvre.

2. Pour assigner un rôle à un utilisateur existant, procédez comme suit :

   1. Cliquez sur le nom de l'utilisateur dans la Liste des utilisateurs.

   2. Cliquez sur l'onglet Rôles.

   3. Cliquez sur Ajouter pour ajouter un ou plusieurs rôles au compte utilisateur.

      Par défaut, seuls les rôles professionnels peuvent être assignés directement aux utilisateurs. Si votre installation d'Identity Manager a été mise à niveau à partir d'une version antérieure à la 8.0, seuls les rôles professionnels peuvent être assignés directement aux utilisateurs.

   4. Dans le tableau des rôles, sélectionnez les rôles que vous voulez assigner à l'utilisateur puis cliquez sur OK.

      Pour trier le tableau par ordre alphabétique par Nom, Type ou Description, cliquez sur les en-têtes de colonne. Cliquez une seconde fois pour inverser l'ordre de tri. Pour filtrer la liste par type de rôle, effectuez une sélection dans le menu déroulant Actuel.

      Le tableau met à jour les assignations de rôle sélectionnées ainsi que toutes les assignations de rôle connectées aux assignations de rôles parents.

   5. Cliquez sur Ajouter pour afficher des assignations de rôles optionnels pouvant être également assignées à l'utilisateur.

      Sélectionnez les rôles optionnels à assigner à l'utilisateur et cliquez sur OK.

   6. (Facultatif) Dans la colonne Activé, sélectionnez la date à laquelle le rôle doit devenir actif. Si vous ne spécifiez pas de date, l'assignation de rôle deviendra active dès que l'approbateur de rôle désigné approuvera l'assignation de rôle.

      Pour rendre temporaire l'assignation de rôle, sélectionnez la date à laquelle le rôle devra devenir inactif dans la colonne Désactivé. La désactivation du rôle entrera en vigueur au début du jour sélectionné.

      Pour plus d'informations, voir Pour activer et désactiver des rôles à des dates spécifiques.

   7. Cliquez sur Enregistrer.

Pour activer et désactiver des rôles à des dates spécifiques

Lorsque vous assignez un rôle à un utilisateur, vous pouvez spécifier des dates d'activation et de désactivation. Les demandes d'élément de travail d'assignation de rôle sont créées au moment de l'assignation. Cependant, si une assignation de rôle n'est pas approuvée à la date d'activation programmée, le rôle ne sera pas assigné. Les activations et désactivations de rôle ont lieu peu après minuit (00h01) à la date sélectionnée.

Par défaut, seuls les rôles professionnels peuvent avoir des dates d'activation et de désactivation. Tous les autres types de rôles héritent des dates d'activation et de désactivation du rôle professionnel directement assigné à l'utilisateur. Identity Manager peut être configuré pour autoriser d'autres types de rôles à avoir des dates d'activation et de désactivation directement assignables. Pour les instructions, voir Configuration des types de rôles .

Pour éditer la planification du scannage des tâches différées

Le Scannage des tâches différées scanne les assignations de rôles aux utilisateurs et active et désactive les rôles en fonction des besoins. Par défaut, la tâche Scannage des tâches différées est exécutée toutes les heures.

1. Dans l'interface administrateur, cliquez sur Tâches du serveur.

2. Cliquez sur Gérer la planification dans le menu secondaire.

3. Dans la section Tâches disponibles pour planification, cliquez sur la définition de tâche Scannage des tâches différées.

   La page Créer un nouveau programme de tâches Scannage des tâches différées s'ouvre.

4. Remplissez le formulaire. Si vous avez besoin d'aide, consultez les i-Helps et l'aide en ligne.

   Pour spécifier la date et l'heure à laquelle une tâche doit être exécutée, utilisez dans Date de début le format mm/jj/aaaa hh:mm:ss. Par exemple, pour programmer une tâche devant démarrer à 19h00 le 29 septembre 2008, saisissez 09/29/2008 19:00:00.

   Dans le menu déroulant Options de résultats, sélectionnez renommer. Si vous sélectionnez attendre, les futures instances de cette tâche ne s'exécuteront pas tant que vous ne supprimerez pas les résultats précédents. Reportez-vous à l'aide en ligne pour plus d'informations sur les différents paramètres d'Options de résultats.

5. Cliquez sur Enregistrer pour enregistrer la tâche.

   La Figure 5–9 représente le formulaire de tâche programmée pour la tâche Scannage des tâches différées.

   Figure 5–9 Formulaire de la tâche Scannage des tâches différées

   
   

Pour mettre à jour les rôles assignés aux utilisateurs

Lorsque vous éditez les rôles assignés aux utilisateurs, vous pouvez choisir de mettre immédiatement à jour les utilisateurs avec les nouveaux changements de rôle ou de reporter la mise à jour pour qu'elle soit exécutée pendant une fenêtre de maintenance programmée.

Lorsque vous apportez des changements à un rôle, la page Confirmer les changements de rôle s'ouvre. La page Confirmer les changements de rôle s'affiche dans Pour mettre à jour les rôles assignés aux utilisateurs.

• La section Mettre à jour les utilisateurs assignés de cette page affiche le nombre d'utilisateurs auxquels le rôle est assigné en ce moment.

• Utilisez le menu Mettre à jour les utilisateurs assignés pour sélectionner si mettre à jour les utilisateurs immédiatement en y intégrant les changements de rôle (Mettre à jour), différer l'opération (Ne pas mettre à jour) ou encore sélectionner une tâche de mise à jour programmée personnalisée.

  • Étant donné que l'action Mettre à jour actualise instantanément les utilisateurs, évitez de choisir cette option si un grand nombre d'utilisateurs sont concernés. En effet, la mise à jour d'utilisateurs peut prendre du temps et consommer des ressources. Si de nombreux utilisateurs sont concernés par la mise à jour, il est préférable de programmer l'opération en dehors des heures de pointe.

  • Lorsque vous appliquez l'action Ne pas mettre à jour à un rôle, les utilisateurs assignés à ce rôle ne recevront pas les mises à jour tant qu'aucun administrateur ne visualisera le profil utilisateur de la personne ou que l'utilisateur ne sera pas mis à jour via la tâche Mise à jour des utilisateurs pour le rôle. Pour plus d'informations sur la programmation de la tâche de mise à jour des utilisateurs pour un rôle, voir la section suivante.

  • Si vous avez créé un programme de tâche de mise à jour des utilisateurs pour le rôle, choisissez-le dans le menu. La tâche sélectionnée met à jour les utilisateurs assignés au rôle conformément à la planification définie. Pour plus de détails, voir la section suivante.

    Pour mettre à jour les rôles assignés aux utilisateurs affiche la page Confirmer les changements de rôle. La section Mettre à jour les utilisateurs assignés affiche le nombre d'utilisateurs auxquels le rôle est assigné en ce moment. Le menu déroulant Mettre à jour les utilisateurs assignés a deux options par défaut : Ne pas mettre à jour et Mettre à jour. Vous pouvez aussi sélectionner une tâche dans la liste de tâches Mise à jour des utilisateurs pour le rôle programmées. Pour les instructions relatives à la création des tâches Mise à jour des utilisateurs pour le rôle programmées, voir Pour programmer une tâche Mise à jour des utilisateurs pour le rôle.

    

Pour mettre à jour manuellement les utilisateurs assignés

Vous pouvez mettre à jour les utilisateurs assignés aux rôles en sélectionnant un ou plusieurs rôles et en cliquant sur le bouton Mettre à jour les utilisateurs assignés. Cette procédure exécute une instance de la tâche Mettre à jour les utilisateurs assignés pour les rôles spécifiés.

1. Recherchez le ou les rôles dont les utilisateurs assignés doivent être mis à jour en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Sélectionnez le ou les rôles en utilisant les cases à cocher.

3. Cliquez sur Mettre à jour les utilisateurs assignés.

   La page Mise à jour des utilisateurs assignés à des rôles (Figure 5–10) s'affiche.

4. Cliquez sur Lancer pour commencer la mise à jour.

5. Contrôlez le statut de la tâche Mettre à jour les utilisateurs assignés en cliquant sur Tâches du serveur dans le menu principal puis cliquez sur Toutes tâches dans le menu secondaire.

   Figure 5–10 Page Mise à jour des utilisateurs assignés à des rôles

   
   

Pour programmer une tâche Mise à jour des utilisateurs pour le rôle

Vous devez programmer une tâche Mise à jour des utilisateurs pour le rôle pour qu'elle s'exécute régulièrement.

Programmez la tâche Mise à jour des utilisateurs pour le rôle pour mettre à jour les utilisateurs avec des changements de rôle en cours comme suit :

1. Dans l'interface administrateur, cliquez sur Tâches du serveur.

2. Cliquez sur Gérer la planification dans le menu secondaire.

3. Dans la section Tâches disponibles pour planification, cliquez sur la définition de tâche Mise à jour des utilisateurs pour le rôle.

   La page « Créer un nouveau programme de tâches Mise à jour des utilisateurs pour le rôle » s'ouvre ou, si vous éditez une tâche existante, la page « Éditer un programme de tâches » (Figure 5–11).

4. Remplissez le formulaire. Si vous avez besoin d'aide, consultez les i-Helps et l'aide en ligne.

   Pour spécifier la date et l'heure à laquelle une tâche doit être exécutée, utilisez dans Date de début le format mm/jj/aaaa hh:mm:ss. Par exemple, pour programmer une tâche devant démarrer à 19h00 le 29 septembre 2008, saisissez 09/29/2008 19:00:00.

   Dans le menu déroulant Options de résultats, sélectionnez renommer. Si vous sélectionnez attendre, les futures instances de cette tâche ne s'exécuteront pas tant que vous ne supprimerez pas les résultats précédents. Reportez-vous à l'aide en ligne pour plus d'informations sur les différents paramètres d'Options de résultats.

5. Cliquez sur Enregistrer pour enregistrer la tâche.

   La Figure 5–11 représente le formulaire de tâche programmée pour la tâche Mise à jour des utilisateurs pour le rôle. Des rôles spécifiques peuvent être assignés à des tâches Mise à jour des utilisateurs pour le rôle spécifiques (comme indiqué dans la section Paramètres de tâche). Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

   Figure 5–11 Formulaire de la tâche programmée Mise à jour des utilisateurs pour le rôle

   
   

Pour rechercher des utilisateurs assignés à un rôle spécifique

Vous pouvez rechercher les utilisateurs auxquels un rôle spécifique a été assigné.

1. Dans l'interface administrateur, cliquez sur Comptes.

2. Cliquez sur Rechercher des utilisateurs dans le menu secondaire. La page Rechercher des utilisateurs s'ouvre.

3. Localisez le type de recherche L’utilisateur s’est vu assigner [Sélectionnez le type de rôle] rôle(s).

4. Sélectionnez la case d'option et utilisez le menu déroulant Sélectionner un type de rôle pour filtrer la liste des rôles disponibles.

   Un second menu de rôles s'ouvre.

5. Sélectionnez un rôle.

6. Effacez les autres cases à cocher de type de recherche à moins que vous ne vouliez préciser davantage votre recherche.

7. Cliquez sur Rechercher.

   Figure 5–12 Recherche d'utilisateurs auxquels un rôle donné a été assigné en utilisant la page Rechercher des utilisateurs

   
   

Pour supprimer un ou plusieurs rôles d'un utilisateur

La page Éditer l'utilisateur permet de supprimer un ou plusieurs rôles d'un compte utilisateur. Seul un rôle assigné directement peut être supprimé. Les rôles assignés indirectement (c'est-à-dire les rôles conditionnels et/ou les rôles contenus obligatoires) sont supprimés lorsque le rôle parent est supprimé. Une autre façon de supprimer un rôle assigné indirectement d'un utilisateur consiste à supprimer le rôle du rôle parent (voir Pour supprimer un rôle assigné à un autre rôle).

Les utilisateurs finaux peuvent également demander la suppression des rôles assignés de leurs comptes utilisateur. Voir Onglet Demandes dans la section Interface utilisateur final d'Identity Manager.

Pour les informations sur la suppression d'un rôle en utilisant une date de désactivation programmée, reportez-vous à Pour activer et désactiver des rôles à des dates spécifiques.

1. Dans l'interface administrateur, cliquez sur l'onglet Comptes.

   Le sous-onglet Lister les comptes s'ouvre.

2. Cliquez sur l'utilisateur duquel vous voulez supprimer une ou plusieurs règles.

   La page Éditer l'utilisateur s'ouvre.

3. Cliquez sur l'onglet Rôles.

4. Dans le tableau des rôles, sélectionnez les rôles que vous voulez supprimer de l'utilisateur puis cliquez sur OK.

   Pour trier le tableau par ordre alphabétique par Nom, Type, Activé, Désactivé, Assigné par ou Statut, cliquez sur les en-têtes des colonnes. Cliquez une seconde fois pour inverser l'ordre de tri. Pour filtrer la liste par type de rôle, effectuez une sélection dans le menu déroulant Actuel.

   Le tableau affiche les assignations de rôles parents (les rôles qui peuvent être sélectionnés), ainsi que toutes les assignations de rôles qui sont connectées aux assignations de rôles parents (ces rôles ne peuvent pas être sélectionnés).

5. Cliquez sur Supprimer.

   Le tableau des rôles assignés est mis à jour de façon à indiquer les rôles assignés restants.

6. Cliquez sur Enregistrer.

   La page de mise à jour des comptes de ressources s'ouvre. Désélectionnez les comptes de ressources que vous ne voulez pas supprimer.

7. Cliquez sur Enregistrer pour enregistrer vos modifications.

Configuration des types de rôles

La fonctionnalité Type de rôle peut être modifiée en éditant l'objet configuration Rôle.

Pour configurer les types de rôles pour qu'ils soient directement assignables aux utilisateurs

Par défaut, seuls certains types de rôles peuvent être assignés directement aux utilisateurs. Pour changer ces paramètres, procédez comme suit.

Les pratiques recommandées suggèrent de n'assigner directement que des rôles professionnels aux utilisateurs. Pour plus d'informations, voir Utilisation des types de rôles pour concevoir des rôles flexibles.

Pour changer les types de rôles pouvant être assignés directement aux utilisateurs, procédez comme suit :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’

3. Spécifiez un jeu d'instructions pour mettre à jour votre configuration.

   Selon la façon suivant laquelle vous voulez mettre à jour votre configuration, choisissez l'un des éléments suivants :

   • Pour modifier un type de rôle pour qu'il puisse être directement assigné à un utilisateur, localisez l'attribut userAssignment suivant dans l'objet rôle :

     <Attribute name=’userAssignment’> <Object/> </Attribute>

     Et remplacez-le par ce qui suit :

     <Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Pour modifier un type de rôle pour qu'il ne puisse pas être assigné directement à un utilisateur, localisez l'attribut userAssignment dans l'objet rôle et supprimez l'attribut manual comme suit :

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Enregistrez l'objet Configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour activer des types de rôles pour des dates d'activation et de désactivation assignables

Par défaut, ce n'est que pour les rôles professionnels que des dates d'activation et de désactivation peuvent être activées et spécifiées lorsque les rôles sont assignés. Tous les autres types de rôles héritent des dates d'activation et de désactivation du rôle professionnel directement assigné à l'utilisateur.

Les pratiques recommandées suggèrent de n'assigner directement que des rôles professionnels aux utilisateurs. Pour plus d'informations, voir Utilisation des types de rôles pour concevoir des rôles flexibles.

Si vous décidez d'autoriser un autre type de rôle à être directement assignable aux utilisateurs (par exemple, le type Rôle informatique), vous pouvez aussi vouloir pouvoir assigner des dates d'activation et de désactivation pour ce type de rôles.

Suivez les étapes ci-après pour changer les types de rôles pouvant avoir des dates d'activation et de désactivation assignables :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle professionnel, localisez Object name=’BusinessRole’.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’.

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’.

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’.

3. Spécifiez un jeu d'instructions pour mettre à jour votre configuration.

   Selon la façon dont vous voulez mettre à jour votre configuration, choisissez l'un des éléments suivants :

   • Pour modifier un type de rôle pour qu'il puisse avoir des dates d'activation et de désactivation assignables, localisez l'attribut userAssignment suivant dans l'objet rôle :

     <Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute>

     Et remplacez-le par ce qui suit :

     <Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Pour modifier un type de rôle pour qu'il ne puisse pas avoir de dates d'activation et de désactivation assignables, localisez l'attribut userAssignment dans l'objet rôle et supprimez les attributs activateDate et deactivateDate comme suit :

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour activer ou désactiver les éléments de travail d'approbation de changement et de notification de changement

Par défaut, les éléments de travail d'approbation de changement sont activés pour tous les types de rôles. Cela signifie qu'à chaque fois qu'un rôle est changé (qu'il s'agisse d'un rôle professionnel, informatique, d'une application ou de matériel), si ce rôle a un propriétaire, ce dernier doit approuver le changement pour qu'il soit effectué.

Pour plus d'informations sur les éléments de travail d'approbation de changement et de notification de changement, reportez-vous à Lancement d'éléments de travail d'approbation de changement et d'approbation.

Pour activer ou désactiver les éléments de travail d'approbation de changement et de notification de changement pour des types de rôles, suivez les étapes ci-après :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle professionnel, localisez Object name=’BusinessRole’.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’.

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’.

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’.

3. Localisez les attributs suivants dans l'élément <Object>, qui se trouve dans l'élément <Attribute name=’features’> :

   <Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/>

4. Définissez les valeurs d'attribut sur true ou false selon les besoins.

5. Si nécessaire, répétez les étapes 2 à 4 pour configurer un autre type de rôle.

6. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour configurer le nombre maximum de lignes pouvant être chargées par la page Lister les rôles

La page Lister les rôles de l'interface administrateur peut afficher un nombre de lignes maximum configurable. Le nombre par défaut est 500. Suivez les étapes de cette section pour changer ce nombre.

Pour changer le nombre maximum de lignes pouvant être chargées par la page Lister les rôles, suivez les étapes ci-après.

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'attribut suivant et changez-en la valeur :

   <Attribute name=’roleListMaxRows’ value=’500’/>

3. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Synchronisation des rôles Identity Manager et des rôles de ressource

Vous pouvez synchroniser les rôles Identity Manager avec les rôles créés en natif sur une ressource. Une fois synchronisée, la ressource est assignée, par défaut, au rôle. Ceci s'applique aux rôles créés à l'aide de la tâche de synchronisation, ainsi qu'aux rôles Identity Manager existants qui correspondent à l'un des noms de rôle de ressource.

Pour synchroniser un rôle Identity Manager avec un rôle de ressource

1. Dans l'interface administrateur, cliquez sur Tâches du serveur dans le menu principal.

2. Cliquez sur Exécuter des tâches. La page Tâches disponibles s'ouvre.

3. Cliquez sur la tâche Synchroniser les rôles Identity System et les rôles de ressources.

4. Remplissez le formulaire. Cliquez sur Aide pour plus d'informations.

5. Cliquez sur Lancer.

Comprendre et gérer les ressources Identity Manager externes

Lisez cette section pour connaître les informations et les procédures qui vous aideront à configurer les ressources Identity Manager.

Définition des ressources

Les ressources d'Identity Manager stockent des informations sur la procédure de connexion à une ressource ou un système sur lequel sont créés les comptes. Les ressources d'Identity Manager définissent les attributs pertinents pour une ressource et aident à spécifier la façon dont les informations des ressources s'affichent dans Identity Manager.

Identity Manager fournit des ressources pour une vaste gamme de types de ressources, notamment pour :

• les gestionnaires de sécurité de mainframe,

• les bases de données,

• les services d'annuaires,

• les systèmes d'exploitation,

• les systèmes ERP (Enterprise Resource Planning - planification des ressources),

• les plates-formes de messagerie.

Zone Ressources de l'interface

Identity Manager affiche les informations relatives aux ressources existantes sur la page Ressources.

Pour accéder aux ressources, sélectionnez Ressources sur la barre de menu.

Dans la liste des ressources, les ressources sont regroupées par type. Chaque type de ressources est représenté par l'icône d'un dossier. Pour afficher les ressources actuellement définies, cliquez sur l'indicateur à proximité du dossier. Un nouveau clic sur cet indicateur permet de réduire l'affichage.

Lorsque vous développez le dossier d'un type de ressources, ce dernier est mis dynamiquement à jour et affiche le nombre d'objets Ressource qu'il contient (s'il s'agit d'un type de ressources prenant en charge les groupes).

Certaines ressources ont des objets supplémentaires que vous pouvez gérer, notamment des :

• organisations,

• unités organisationnelles,

• groupes,

• rôles.

Sélectionnez un objet depuis la liste des ressources puis effectuez des sélections à partir de l'une de ces listes d'options pour lancer une tâche de gestion :

• Actions de ressource. Permet d'effectuer toute une gamme d'actions sur les ressources, notamment éditer, activer la synchronisation, renommer et supprimer ; et de travailler avec des objets Ressource et gérer la connexion aux ressources.

• Actions de l’objet de ressource. Permet d'éditer, créer, supprimer, renommer, enregistrer sous et rechercher des objets Ressource.

• Actions du type de ressources. Permet d'éditer des stratégies de ressource, travailler avec l'index des comptes et configurer des ressources gérées.

Lorsque vous créez ou éditez une ressource, Identity Manager lance le flux de travaux ManageResource. Ce flux de travaux enregistre la ressource nouvelle ou mise à jour dans le référentiel et vous permet d'insérer des approbations ou d'autres actions avant la création ou l'enregistrement de la ressource.

Gestion de la liste des ressources

Pour pouvoir créer une nouvelle ressource, vous devez indiquer à Identity Manager les types de ressources que vous souhaitez pouvoir gérer. Pour activer les ressources et en créer de personnalisées, utilisez la page Configurer les ressources gérées.

Pour ouvrir la page Configurer les ressources gérées

Utilisez les étapes suivantes pour ouvrir la page Configurer les ressources gérées.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur l'onglet Ressources.

   Utilisez l'une des méthodes suivantes pour ouvrir la page Configurer les ressources gérées :

   • Localisez la liste déroulante Actions du type de ressources et choisissez Configurer les ressources gérées.

   • Cliquez sur l'onglet Configurer les types.

   La page Configurer les ressources gérées s'ouvre.

   Cette page présente trois sections :

   • Connecteurs de ressources. Cette section liste les types de connecteurs de ressources, la version des connecteurs et leur serveur.

   • Adaptateurs de ressources. Cette section liste les types de ressources couramment répandus dans les environnements d'entreprise de grande taille. La version de l'adaptateur Identity Manager qui assure la connexion avec la ressource est indiquée dans la colonne Version.

   • Adaptateurs de ressources personnalisés. Cette section est utilisée pour ajouter des ressources personnalisées dans la liste Ressources.

Pour activer des types de ressources

Vous pouvez activer un type de ressources depuis la page Configurer les ressources gérées en procédant comme indiqué ci-après.

1. Si ce n'est pas déjà fait, ouvrez la page Configurer les ressources gérées (Gestion de la liste des ressources).

2. Dans la section Ressources, sélectionnez la case de la colonne Gérés ? correspondant au type de ressources à activer.

   Pour activer tous les types de ressources listés, sélectionnez Gérer toutes les ressources.

3. Cliquez sur Enregistrer au bas de cette page.

   La ressource est ajoutée à la liste Ressources.

Pour ajouter une ressource personnalisée

Vous pouvez ajouter une ressource personnalisée depuis la page Configurer les ressources gérées en procédant comme indiqué ci-après.

1. Si ce n'est pas déjà fait, ouvrez la page Configurer les ressources gérées (Gestion de la liste des ressources).

2. Dans la section Adaptateurs de ressources personnalisés, cliquez sur Ajouter un adaptateur de ressources personnalisé pour ajouter une ligne dans le tableau.

3. Saisissez le classpath de ressource pour la ressource ou saisissez votre ressource développée personnalisée. Pour les adaptateurs fournis avec Identity Manager, voir le Sun Identity Manager 8.1 Resources Reference pour le classpath complet.

4. Cliquez sur Enregistrer pour ajouter la ressource à la liste Ressources.

Pour créer une ressource

Une fois un type de ressources activé, vous pouvez créer une instance de cette ressource dans Identity Manager. Pour créer une ressource, utilisez l'assistant Ressource.

L'assistant Ressource vous guidera dans la configuration des éléments suivants :

• Paramètres propres à la ressource. Vous pouvez modifier ces valeurs depuis l'interface d'Identity Manager lorsque vous créez une instance spécifique de ce type de ressource.

• Attributs de compte. Sont définis dans la carte schématique de la ressource. Ces éléments déterminent la façon dont les attributs d'utilisateur Identity Manager mappent vers des attributs sur la ressource.

• DN de compte ou modèle d'identité. Inclut la syntaxe des noms de compte pour les utilisateurs, laquelle revêt une importance particulière pour les espaces de noms hiérarchiques.

• Paramètres d'Identity Manager pour la ressource. Paramètre les stratégies, établit les approbateurs de ressource et configure l'accès de l'organisation à la ressource.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur l'onglet Ressources. Vérifiez que le sous-onglet Lister les ressources est sélectionné.

3. Localisez la liste déroulante Actions du type de ressources et choisissez Nouvelle ressource.

   La page Nouvelle ressource s'ouvre.

4. Sélectionnez un type de ressource dans la liste déroulante (si le type de ressource que vous recherchez ne figure pas dans la liste, vous devez l'activer, reportez-vous à Gestion de la liste des ressources).

5. Cliquez sur Nouveau pour afficher la page de bienvenue de l'assistant Ressource.

6. Cliquez sur Suivant pour commencer à définir la ressource.

   Les étapes et les pages de l'assistant Ressource s'affichent dans l'ordre suivant :

   • Paramètres de ressource. Configurez les paramètres propres à la ressource qui contrôlent l'authentification et le comportement de l'adaptateur de ressources. Saisissez les paramètres puis cliquez sur Vérifier la connexion pour vous assurer que la connexion est valide. À la confirmation, cliquez sur Suivant pour paramétrer les attributs de compte.

     La figure suivante illustre la page Paramètres de ressource pour les ressources Solaris. Les champs de formulaire de cette page diffèrent selon les ressources.

     

   • Attributs de compte (carte schématique). Mappe les attributs de compte Identity Manager vers des attributs de compte de ressource. Pour plus d'informations sur les attributs de compte de ressource, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

     • Pour ajouter un attribut, cliquez sur Ajouter un attribut.

     • Pour supprimer un ou plusieurs attributs, sélectionnez les cases en regard de ce ou ces attributs puis cliquez sur Supprimer Les attributs sélectionnés.

       La figure suivante illustre la page Attributs de compte de l'assistant Ressource.

       

     ---

     Remarque –

     Si vous voulez exporter des attributs vers le tableau EXT_RESOURCEACCOUNT_ACCTATTR, vous devez contrôler la case Vérification informatique de chaque attribut à exporter.

     ---

     Lorsque vous avez terminé, cliquez sur Suivant pour configurer le modèle d'identité.

   • Modèle d'identité. Définir la syntaxe des noms de comptes pour les utilisateurs. Cette fonctionnalité est particulièrement importante pour les espaces de noms hiérarchiques.

     • Pour ajouter un attribut au modèle, sélectionnez-le dans la liste Insérer attribut.

     • Pour supprimer un attribut, mettez-le en surbrillance dans la chaîne et utilisez la touche Suppression du clavier. Supprimez le nom de l'attribut, ainsi que les signes dollar ($) précédant et suivant.

     • Type de comptes. Identity Manager offre la possibilité d'assigner plusieurs comptes de ressources à un même utilisateur. Par exemple, un utilisateur peut avoir besoin d'un compte de niveau administrateur et d'un compte utilisateur classique pour une ressource particulière. Pour assurer la prise en charge de plusieurs types de comptes sur une même ressource, cochez la case Type de compte.

       ---

       Remarque –

       Vous ne pouvez pas activer l'option Type de compte si vous n'avez pas créé dans le Générateur d'identités une ou plusieurs règles identifiées par le sous-type IdentityRule. Les ID de compte devant être distincts, les différents types de comptes doivent générer des ID de compte différents pour un utilisateur donné. Les règles de génération d'identités spécifient la procédure de création de ces ID de compte uniques.

       ---

       Des exemples de règles d'identité sont disponibles dans le fichier sample/identityRules.xml.

       Vous ne pouvez pas supprimer un type de compte tant qu'il est encore référencé par d'autres objets au sein d'Identity Manager. Vous ne pouvez pas non plus renommer un type de comptes.

       Pour plus d'informations sur le remplissage du formulaire Type de compte, reportez-vous à l'aide en ligne d'Identity Manager. Pour plus d'informations sur la création de plusieurs comptes de ressources pour un utilisateur, reportez-vous à Création de comptes de ressource multiples pour un utilisateur.

       

   • Paramètres du système d’identité. Cette option définit les paramètres d'Identity Manager pour la ressource, configuration de la relance et des stratégies comprises, comme indiqué dans Pour créer une ressource.

     

7. Utilisez Suivant et Précédent pour vous déplacer d'une page à l'autre. Une fois toutes les sélections terminées, cliquez sur Enregistrer pour enregistrer la ressource et revenir à la page de la liste.

Gestion des ressources

Cette section décrit la gestion des ressources existantes.

Les rubriques sont organisées comme suit :

• Pour afficher la liste des ressources

• Pour éditer une ressource en utilisant l'assistant Ressource

• Pour éditer une ressource en utilisant les commandes de la liste des ressources

Pour afficher la liste des ressources

Vous pouvez afficher les ressources existantes à partir de la Liste des ressources.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur Ressources dans le menu principal.

   La Liste des ressources s'affiche dans le sous-onglet Lister les ressources.

Pour éditer une ressource en utilisant l'assistant Ressource

Utilisez l'assistant Ressource pour éditer les paramètres de ressource, les attributs de compte et les paramètres du système d'identité. Vous pouvez aussi spécifier le modèle d'identité à utiliser pour les utilisateurs créés sur la ressource.

1. Dans l'interface administrateur d'Identity Manager, cliquez sur Ressources dans le menu principal.

   La Liste des ressources s'affiche dans le sous-onglet Lister les ressources.

2. Sélectionnez la ressource à éditer.

3. Dans le menu déroulant Actions de ressource, sélectionnez l'assistant Ressource (sous Éditer).

   L'assistant Ressource s'ouvre en mode Édition pour la ressource sélectionnée.

Pour éditer une ressource en utilisant les commandes de la liste des ressources

En plus de l'assistant Éditer une ressource, vous pouvez utiliser les commandes de la Liste des ressources pour effectuer tout un éventail d'actions d'édition sur une ressource.

1. Choisissez une ou plusieurs options dans la Liste des ressources.

   Ces options sont les suivantes :

   • Supprimer des ressources. Sélectionnez une ou plusieurs ressources, puis sélectionnez Supprimer dans la liste Actions de ressource. Vous pouvez sélectionner des ressources de plusieurs types en même temps. Vous ne pouvez pas supprimer une ressource si des rôles ou des groupes de ressources y sont associés.

   • Recherche d'objets de ressource. Sélectionnez une ressource puis Rechercher l’objet de ressource dans la liste Actions de l’objet de ressource pour trouver un objet Ressource (par exemple une organisation, une unité organisationnelle, un groupe ou une personne) en fonction de ses caractéristiques.

   • Gestion des objets Ressource. Vous pouvez créer de nouveaux objets pour certains types de ressources. Sélectionnez la ressource puis sélectionnez Créer un objet ressource dans la liste Actions de l'objet de ressource.

   • Renommer des ressources. Sélectionnez une ressource puis sélectionnez Renommer dans la liste Actions de ressource. Saisissez un nouveau nom dans la case d'entrée qui s'affiche et cliquez sur Renommer.

   • Cloner des ressources. Sélectionnez une ressource puis sélectionnez Enregistrer sous dans la liste Actions de ressource. Saisissez un nouveau nom dans la case d'entrée qui s'affiche. La ressource clonée s'affiche dans la liste des ressources avec le nom sélectionné.

   • Effectuer des opérations en masse sur les ressources. Spécifiez une liste de ressources et d'actions à appliquer (depuis une entrée au format CSV) à toutes les ressources de la liste. Lancez ensuite les opérations en masse pour engager une tâche d'opération en masse en arrière-plan.

2. Enregistrez vos modifications.

Pour afficher ou éditer les attributs des comptes de ressources

Les attributs de compte de ressources (ou carte schématique) fournissent une méthode abstraite permettant de faire référence aux attributs sur les ressources gérées. La carte schématique permet de spécifier la façon Identity Manager référencie les attributs (côté gauche de la carte schématique) et celle dont les noms sont mappés vers les noms d'attribut sur la ressource proprement dite (côté droit de la carte schématique). Vous pourrez ensuite faire référence au nom d'attribut Identity Manager dans les formulaires ou les définitions de flux de travaux et référencer efficacement l'attribut sur la ressource, elle-même.

Voici un exemple de mappage entre des attributs Identity Manager et ceux d'une ressource LDAP :

Toute référence à l'attribut Identity Manager, firstname, est en fait une référence à l'attribut LDAP, givenName quand une action est entreprise sur cette ressource.

Dans le cadre de la gestion de ressources multiples depuis Identity Manager, mapper un attribut de compte Identity Manager commun à plusieurs attributs de ressource peut simplifier considérablement la gestion des ressources. Par exemple, l'attribut Identity Manager fullname peut être mappé vers l'attribut de ressource Active Directory displayName. Parallèlement, sur une ressource LDAP, le même attribut Identity Manager fullname peut être mappé vers l'attribut LDAP cn. Résultat, l'administrateur n'a besoin d'indiquer qu'une seule fois la valeur fullname. À l'enregistrement de l'utilisateur, la valeur fullname est transférée aux ressources qui ont des noms d'attribut différents.

En configurant une carte schématique sur la page Attributs de compte de l'assistant Ressource, vous pouvez effectuer ce qui suit :

• définir les noms d'attribut et les types de données pour les attributs provenant de ressources gérées ;

• limiter les attributs de ressource à ceux strictement nécessaires pour votre entreprise ou organisation ;

• créer des noms d'attribut Identity Manager qui seront utilisés avec des ressources multiples ;

• identifier les attributs utilisateur requis et les types d'attributs.

Pour afficher ou éditer les attributs de compte de ressource, procédez comme suit :

1. Dans l'interface administrateur, cliquez sur Ressources.

2. Sélectionnez la ressource pour laquelle vous voulez afficher ou éditer les attributs de compte.

3. Dans la liste Actions de ressource, cliquez sur Éditer un schéma de ressources.

   La page d'édition des attributs de compte de ressources s'ouvre.

   La colonne de gauche de la carte schématique (intitulée Attribut utilisateur Identity System) contient les noms des attributs de compte Identity Manager qui sont référencés par les formulaires utilisés dans les interfaces administrateur et utilisateur d'Identity Manager. La colonne de droite de la carte schématique (intitulée Attribut d’utilisateur de ressources) contient les noms des attributs provenant de la source externe.

Groupes de ressources

Utilisez la zone Ressources pour gérer des groupes de ressources ce qui vous permettra de mettre à jour vos groupes de ressources dans un ordre spécifique. En intégrant et en classant les ressources dans un groupe et en assignant ce groupe à un utilisateur, vous déterminez l'ordre dans lequel les ressources de cet utilisateur sont créées, mises à jour et supprimées.

Les activités sont effectuées sur chacune des ressources à tour de rôle. Si une action échoue sur une ressource, les ressources suivantes ne sont pas mises à jour. Ce type de relation revêt une importance particulière pour les ressources liées.

Par exemple, toute ressource Exchange Server 2007 repose sur un compte Windows Active Directory existant. Ce compte doit exister pour que le compte Exchange puisse être créé. En créant un groupe de ressources avec (dans l'ordre) une ressource Windows Active Directory et une ressource Exchange Server 2007, l'ordre sera correct quand vous créerez des utilisateurs. Inversement, cet ordre assure que les ressources seront supprimées dans le bon ordre quand vous supprimerez les utilisateurs.

Sélectionnez Ressources, puis sélectionnez Lister les groupes de ressources pour afficher la liste des groupes de ressources actuellement définis. Depuis cette page, cliquez sur Nouveau pour définir un groupe de ressources. Lorsque vous définissez un groupe de ressources, une zone de sélection vous permet de choisir puis de classer les ressources choisies, ainsi que de sélectionner les organisations pour lesquelles le groupe de ressources sera disponible.

Stratégie de ressource globale

Cette section explique comment éditer la Stratégie de ressource globale et définir les valeurs de délai d'attente pour une ressource.

Pour éditer les attributs de stratégie

Vous pouvez éditer les attributs de stratégie de ressource depuis la page Éditer les attributs de stratégie de ressources globales.

1. Ouvrez la page Éditer les attributs de stratégie de ressources globales et éditez les attributs comme requis.

   Ces attributs sont les suivants :

   • Délai d’attente de capture par défaut. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque les résultats d'une commande ou d'un script sont importants et seront analysés par l'adaptateur.

     La valeur par défaut de ce paramètre est 30000 (30 secondes).

   • Intervalle par défaut entre les opérations. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur sous forme de script doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque les résultats d'une commande ou d'un script ne sont pas examinés par l'adaptateur.

   • Wait for Ignore Case. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque la casse (majuscules ou minuscules) n'a pas d'importance.

   • Stratégie de mot de passe de compte de ressources. Le cas échéant, sélectionnez une stratégie de mot de passe de compte de ressources à appliquer à la ressource sélectionnée. Aucune est la sélection par défaut.

   • Règle de comptes de ressources exclus. Le cas échéant, sélectionnez une règle qui gouverne les comptes de ressources exclus. Aucune est la sélection par défaut.

2. Vous devez cliquer sur Enregistrer pour enregistrer les modifications apportées à la stratégie.

Pour définir des valeurs de délai d'attente supplémentaires

Vous pouvez modifier la propriété maxWaitMilliseconds en éditant le fichier Waveset.properties. Cette propriété, maxWaitMilliseconds, contrôle la fréquence à laquelle le délai d'attente d'une opération sera contrôlé. Si vous ne spécifiez pas cette valeur, le système utilise la valeur par défaut : 50.

1. Ajoutez la ligne suivante au fichier Waveset.properties :

   com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

2. Enregistrez le fichier.

Actions de ressource en masse

Vous pouvez effectuer des opérations en masse sur les ressources en utilisant un fichier au format CSV ou en créant ou spécifiant les données à appliquer pour l'opération.

La Figure 5–13 représente la page de lancement d'opérations en masse avec une action de création.

Figure 5–13 Lancement d'actions de ressource en masse

Les options disponibles pour l'opération de ressource en masse dépendent de l'Action sélectionnée pour l'opération. Vous pouvez spécifier une unique action à appliquer à l'opération ou sélectionner De la liste des actions pour spécifier plusieurs actions.

• Actions. Pour spécifier une unique action, sélectionnez l'une des options suivantes : Créer, Cloner, Mettre à jour, Supprimer, Changement du mot de passe ou Réinitialisation du mot de passe.

  Si vous sélectionnez une unique action, vous vous verrez proposer des options permettant de spécifier la ressource concernée par l'action. Pour une action Créer, vous spécifierez le type de la ressource.

  Si vous spécifiez De la liste des actions, utilisez la zone Prendre liste des actions de pour spécifier soit le fichier contenant les actions à utiliser soit les actions de votre choix dans la zone d'entrée.

  ---

  Remarque –

  Les actions que vous saisissez dans la liste de la zone d'entrée ou dans le fichier doivent suivre le format CSV.

  ---

• Maximum de résultats par page. Utilisez cette option pour spécifier le nombre maximum de résultats d'action en masse qui s'afficheront sur chaque page de résultats de tâche. La valeur par défaut est 200.

Cliquez sur Lancer pour démarrer l'opération qui s'exécutera en arrière-plan.

Comprendre et gérer les ressources externes

Vous pouvez aussi utiliser Identity Manager pour créer, provisionner et gérer de manière centralisée des ressources externes pour votre entreprise.

Cette section explique comment travailler avec les ressources externes. Les informations sont organisées de la manière suivante :

• Définition des ressources externes ;

• Raisons de l'utilisation de ressources externes ;

• Configuration de ressources externes ;

• Création de ressources externes ;

• Provisioning de ressources externes ;

• Annulation des assignations et suppression des liens des ressources externes ;

• Dépannage des ressources externes.

Définition des ressources externes

Une ressource externe est un type de ressource unique qui ne stocke pas directement les informations de compte utilisateur. En fait, c'est une ressource qui est extérieure au fonctionnement d'Identity Manager. Ces ressources peuvent être des ordinateurs de bureau, des ordinateurs portables, des téléphones portables, des badges de sécurité, etc.

Le provisioning des ressources externes requiert pratiquement toujours un ou plusieurs processus manuels. Par exemple, après avoir effectué la demande initiale et obtenu les dues approbations pour provisionner un ordinateur portable pour un nouvel employé, vous devrez probablement envoyer une demande d'achat au système de commande de l'entreprise. Une fois la commande remplie, une autre personne devra sans doute préconfigurer cet ordinateur portable avec les applications de l'entreprise avant de le remettre personnellement au nouvel employé pour clore la demande de provisioning.

Raisons de l'utilisation de ressources externes

Utiliser Identity Manager pour provisionner des ressources externes vous permet d'avertir un ou plusieurs approvisionneurs des demandes en cours, en leur fournissant des informations détaillées sur l'objet du provisioning.

Par exemple, un approvisionneur de ressources externes peut être un responsable informatique amené à devoir commander et préconfigurer un ordinateur portable pour un utilisateur.

Par ailleurs, Identity Manager conserve des informations sur les ressources externes provisionnées pour un utilisateur donné, lesquelles sont mises à jour à la fin de la demande de provisioning. Identity Manager rend ensuite ces informations disponibles pour l'affichage, l'édition, la validation de la compatibilité d'audit et l'exportation.

Pour configurer des ressources externes, vous devez avoir la capacité Administrateur des ressources externes. Pour créer de nouvelles ressources externes, vous devez avoir la capacité Administrateur de ressources.

Configuration de ressources externes

Cette section explique le processus consistant à configurer le magasin de données des ressources externes et la notification adressée à l'approvisionneur des ressources externes.

Configuration du magasin de données des ressources externes

Le magasin de données de ressources externes d'Identity Manager est un magasin de données unique qui contient des informations relatives aux ressources externes et aux assignations relatives à ces mêmes ressources. Ce magasin de données peut être une base de données ou un annuaire.

• Si c'est une base de données, le magasin de données est géré par le ScriptedJdbcResourceAdapter.

• Si c'est un annuaire, il l'est par le LDAPResourceAdapter.

Vous devez avoir la capacité Administrateur des ressources externes pour configurer le magasin de données de ressources externes.

Le magasin de données de ressources externes vous permet de stocker les données dans n'importe quelles valeurs d'attribut et de stocker ces valeurs dans une ou plusieurs tables.

Par exemple, si vous utilisez la base de données MySQL, Identity Manager stocke les informations relatives aux ressources externes dans les tables suivantes :

• La table extres.accounts contient les ID de compte et de ressource. Le magasin de données des ressources externes étant unique, Identity Manager fournit une unique clé d'ID, <idCompte>@<iDRessource> , qui identifie de manière univoque un compte par son ID de ressource.

• La table extres.attributes contient un ensemble d'attributs sous forme de paires nom/valeur. Ce sont ces attributs que vous définissez dans le mappage schématique lorsque vous créez une ressource externe.

Les exemples de scripts utilisés pour créer les tables de la base de données sont copackagés avec Identity Manager dans l'emplacement suivant :

wshome/sample/ScriptedJdbc/External

Identity Manager prend en charge plusieurs types de bases de données et fournit un exemple pour chacun. Vous pouvez modifier ces scripts en fonction de votre environnement spécifique.

Le magasin de données des ressources externes prend également en charge LDAP par le biais du LDAPResourceAdapter, ce qui permet de stocker les données dans des classes existantes ou personnalisées. Un exemple de script LDIF est également copackagé avec Identity Manager dans l'emplacement suivant :

wshome/sample/other/externalResourcePerson.ldif

Vous pouvez modifier ce script dans le cadre de la configuration d'un magasin de données de type annuaire de ressources.

Pour configurer un magasin de données de type base de données

Bien que vous puissiez effectuer facilement des modifications, le magasin de données des ressources externes n'est en général configuré qu'une fois. Si vous en modifiez la configuration, Identity Manager met automatiquement à jour toutes les ressources externes existantes pour qu'elles utilisent le magasin de données nouvellement configuré.

Pour configurer un magasin de données de type base de données, procédez comme suit :

1. Sélectionnez Configurer -> Ressources externes depuis la barre de menu de l'interface administrateur d'Identity Manager.

2. Lorsque la page Configuration du magasin de données s'affiche, choisissez Base de données dans le Type de magasin de données. Des options supplémentaires s'affichent.

   Figure 5–14 La Page Configuration du magasin de données : Base de données

   
   

3. Spécifiez les informations de connexion et d'authentification suivantes :

   ---

   Remarque –

   Identity Manager remplit automatiquement les champs Pilote JDBC, Modèle JDBC URL, Port et Délai d’attente maxi (secondes) avec les valeurs par défaut. Vous pouvez changer ces valeurs par défaut si besoin est.

   ---

   • Pilote JDBC. Spécifiez le nom de classe du pilote JDBC.

   • Modèle JDBC URL. Spécifiez le modèle d'URL du pilote JDBC.

   • Hôte. Entrez le nom de l’hôte sur lequel vous exécutez la base de données.

   • Port TCP. Saisissez le numéro du port d'écoute utilisé par la base de données.

   • Base de données. Saisissez le nom de la base de données du serveur de base de données, qui contient la table du magasin de données.

   • Utilisateur. Saisissez l'ID d'un utilisateur de la base de données autorisé à lire, mettre à jour et supprimer des lignes de la table du magasin de données. Par exemple : root.

   • Mot de passe. Saisissez le mot de passe de l'utilisateur de la base de données.

   • Rejeter toutes les exceptions SQL. Cochez cette case pour rejeter les exceptions SQL aux instructions SQL quand les codes d'erreur des exceptions sont 0.

     Si vous n'activez pas cette option, Identity Manager détecte et supprime ces exceptions.

   • Délai d’attente maxi. Spécifiez la durée maximum en secondes pendant laquelle vous voulez que les connexions JDBC restent inutilisées dans un pool.

     Si la connexion n'est pas utilisée avant l'expiration du délai indiqué, Identity Manager la ferme et la supprime du pool.

     • La valeur par défaut est de 600 secondes.

     • La valeur -1 empêche à jamais la connexion d'expirer.

4. Une fois connecté au magasin de données, vous devez spécifier un ou plusieurs scripts à exécuter pour chaque action de ressource prise en charge. Pour les instructions, voir Pour configurer les scripts d'action.

Pour configurer les scripts d'action

Vous devez spécifier un ensemble de scripts BeanShell (bsh) pouvant être utilisés par Identity Manager pour suivre et exécuter les états Get, Create, Update, Delete, Enable, Disable et Test d'une demande donnée.

Des exemples de scripts d'action sont disponibles dans :

wshome/sample/ScriptedJdbc/External/beanshell

Vous pouvez modifier ces exemples pour créer vos propres scripts d'action personnalisés. Les scripts personnalisés sont ajoutés à l'outil de sélection Scripts d'action puis affichés sous la ligne dans les listes Disponible et Sélectionné.

Identity Manager fournit des exemples de scripts pour les actions de ressource de tout type de base données prises en charge pour les ressources externes. Pour accéder à ces scripts, utilisez le script ResourceAction qui se trouve dans l'emplacement suivant :

wshome/sample/ScriptedJdbc/External/beanshell

Le nom de la base de données, le nom d'utilisateur et le mot de passe par défaut sont tous extres.

• Si vous choisissez l'une des autres options de base de données ou préférez utiliser un autre nom d'utilisateur ou nom de base de données, vous devez modifier les scripts de création de base de données d'exemple et les scripts ResourceAction avec différentes valeurs.

  Par exemple, si vous choisissez une base de données MySQL, mais voulez changer le nom de la base de données, le nom d'utilisateur et le mot de passe existants, vous devez effectuer les changements suivants : vous devez mettre à jour le script create_external_tables.mysql en remplaçant le nom de la base de données, le nom d'utilisateur et le mot de passe par défaut, extres, par, dans l'ordre, externalresources, externaladmin et externalpassword.

• Vous devez ensuite changer les scripts ResourceAction en remplaçant les valeurs par défaut, extres.accounts et extres.attributes, par, dans l'ordre, externalresources.accounts et externalresources.attributes .

Suivez les étapes ci-après pour configurer les scripts Action :

1. Utilisez les outils de sélection Scripts d’action de la page Configuration du magasin de données pour spécifier un ou plusieurs scripts d'action pour chaque action de ressource. Vous devez sélectionner au moins un script par action de ressource.

   Figure 5–15 La zone Scripts d'action

   
   

   Vous devez sélectionner le script d'action par défaut correspondant à l'action de ressource. Par exemple, vous devez utiliser

   • External-getUser-bsh pour les Actions de ressource GetUser.

     ---

     Remarque –

     Les Actions de ressource GetUser sont utilisées pour les opérations Rechercher.

     ---

   • External-createUser-bsh pour les Actions de ressource CreateUser.

   • External-deleteUser-bsh pour les Actions de ressource DeleteUser.

   • External-updateUser-bsh pour les Actions de ressource UpdateUser.

   • External-disableUser-bsh pour les Actions de ressource DisableUser.

   • External-enableUser-bshpour les Actions de ressource EnableUser.

   • External-test-bsh pour les Actions de ressource de test.

     ---

     Remarque –

     Les Actions de ressource de test sont utilisées pour permettre la pleine fonctionnalité du bouton Vérifier la connexion.

     ---

   Sélectionner l'un quelconque des autres scripts bsh dans les exemples de scripts de la liste ne fonctionnera pas.

2. Choisissez un Mode contexte de l’action dans le menu pour spécifier la façon dont les valeurs d'attribut seront transmises aux scripts d'action.

   • Chaînes. Transmet les valeurs d'attribut sous forme de chaînes.

   • Assignation directe. Transmet les valeurs d'attribut sous la forme d'un objet com.waveset.object.AttributeValues.

3. Il convient maintenant de tester la configuration de connexion de votre magasin de données. Cliquez sur le bouton Vérifier la connexion situé au bas de la page.

   Un message s'affiche confirmant que la connexion a réussi ou indiquant une erreur de configuration.

4. Lorsque vous avez terminé, cliquez sur Suivant pour passer à la page Configuration de la notification de l’approvisionneur.

Pour configurer un magasin de données de type annuaire

Pour configurer un magasin de données de type annuaire, procédez comme suit :

1. Choisissez Annuaire dans le menu Type de magasin de données. Des options supplémentaires s'affichent.

   Figure 5–16 La Page Configuration du magasin de données : Annuaire

   
   

2. Vous devez spécifier les informations de connexion et d'authentification suivantes pour un magasin de données de type Annuaire.

   Configurez les options suivantes :

   • Hôte. Entrez l'adresse IP ou le nom de l’hôte sur lequel le serveur LDAP est exécuté.

   • Port TCP. Saisissez le port TCP/IP utilisé pour communiquer avec le serveur LDAP.

     • Si vous utilisez SSL, ce port est en général le 636.

     • Si vous n'utilisez pas SSL, ce port est en général le 389.

   • SSL. Cochez cette option pour connecter le serveur LDAP en utilisant SSL.

   • Serveurs de basculement. Liste tous les serveurs utilisés pour le basculement en cas de panne du serveur préféré. Saisissez les informations suivantes dans le format indiqué, conforme aux URL LDAP version 3 standard décrites dans le document RFC 2255 :

     ldap://ldap.example.com:389/o=LdapFailover

     Seule la partie de l'hôte, du port et du nom distinctif (dn) de l'URL sont pris en compte dans ce paramètre.

     Ainsi, si le serveur préféré tombe en panne, JNDI se connecte automatiquement au prochain serveur disponible de la liste.

   • Utilisateur DN. Saisissez le DN utilisé pour l'authentification sur le serveur LDAP lors de la réalisation des mises à jour (par défaut cn=Directory Manager).

   • Password (Mot de passe). Saisissez le mot de passe de l'utilisateur principal.

   • Contextes de base. Spécifiez un ou plusieurs points de départ pouvant être utilisés par Identity Manager pour rechercher des utilisateurs dans l'arborescence LDAP (par défaut dc=MYDOMAIN,dc=com).

     Identity Manager effectue des recherches lorsqu'il essaie de découvrir des utilisateurs depuis le serveur LDAP ou lorsqu'il recherche les groupes dont sont membres les utilisateurs.

   • Classe d’objets. Saisissez une ou plusieurs classes d'objets à utiliser pour créer de nouveaux objets utilisateur dans l'arborescence LDAP (la valeur par défaut est la classe supérieure).

     Chaque entrée doit figurer sur une ligne distincte. N'utilisez pas de virgules ni d'espaces pour séparer les entrées.

     Certains serveurs LDAP exigent que vous spécifiiez toutes les classes d'objets dans une hiérarchie de classes. Par exemple, il se peut que vous ayez besoin de spécifier top, person, organizationalperson et inetorgperson, au lieu de seulement inetorgperson.

   • Filtre LDAP pour la récupération de comptes. Saisissez un filtre LDAP pour contrôler les comptes qui seront retournés de la ressource LDAP. Si vous ne spécifiez pas de filtre, Identity Manager retourne tous les comptes qui incluent toutes les classes d'objets spécifiées.

   • Inclure toutes les classes d’objet dans le filtre de recherche. Cochez cette case pour que tous les comptes incluent toutes les classes d'objets spécifiées et correspondent au Filtre LDAP pour la récupération des comptes.

     ---

     Remarque –

     Vous devez activer cette option lorsqu'aucun filtre de recherche n'est spécifié. Si vous désactivez cette option, les comptes qui n'incluent pas toutes les classes d'objets spécifiées peuvent être chargés dans Identity Manager en utilisant la fonctionnalité Réconciliation ou Charger à partir de la ressource.

     ---

     Après le chargement, l'attribut objectclass du compte n'est pas mis à jour automatiquement. Si un attribut d'une classe d'objet manquante apparaît au niveau de l'interface administrateur, l'attribution d'une valeur à cet attribut, sans modification de l'attribut objectclass, échoue. Pour éviter un tel problème, annulez la valeur objectclass dans le formulaire Réconciliation ou Charger à partir de la ressource.

   • Attribut de nom d’utilisateur. Saisissez le nom de l'attribut LDAP mappé vers le nom de l'utilisateur Identity Manager lors de la détection des utilisateurs depuis l'annuaire. Ce nom est souvent uid ou cn.

   • Attribut de nom d’affichage. Saisissez le nom d'attribut du compte de ressource dont la valeur est utilisée pour l'affichage du nom de ce compte.

   • Attribut de tri VLV. Saisissez le nom d'un attribut de tri à utiliser pour les index VLV sur la ressource.

   • Utiliser blocs. Cochez cette case pour récupérer et traiter les utilisateurs par blocs.

     Lorsque vous effectuez des opérations sur un grand nombre d'utilisateurs, traiter les utilisateurs par blocs réduit le volume de mémoire utilisé par l'opération.

   • Comptage de blocs. Saisissez le nombre maximal d'utilisateurs à regrouper en blocs pour le traitement.

   • Attr. de membre de groupe Saisissez le nom de l'attribut membre de groupe à mettre à jour avec le nom distinctif de l'utilisateur quand un utilisateur est ajouté au groupe.

     Le nom de cet attribut dépend de la classe d'objet du groupe. Par exemple, Sun Java^TM System Enterprise Edition Directory Server et d'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut uniqueMember. D'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut membre.

   • Algorithme de hachage du mot de passe. Saisissez un algorithme pouvant être utilisé par Identity Manager pour hacher le mot de passe. Les valeurs prises en charge sont les suivantes :

     • SSHA,

     • SHA,

     • SMD5,

     • MD5.

     Si vous spécifiez 0 ou laissez ce champ vide, Identity Manager ne hachera pas les mots de passe et stockera les mots de passe en clair dans LDAP à moins que le serveur LDAP ne procède au hachage. Sun Java System Enterprise Edition Directory Server, par exemple, hache les mots.

   • Attribut de changement de nom. Cochez cette case pour autoriser les modifications visant à changer l'attribut utilisateur représentant le nom distinctif (DN) relatif le plus à gauche. Les modifications changent fréquemment les attributs de nommage en uid ou cn.

   • Méthode d’activation LDAP.

     • Laissez ce champ vide pour que la ressource utilise l'assignation de mots de passe pour les actions d'activation et de désactivation.

     • Saisissez le mot-clé nsmanageddisabledrole, le mot-clé nsaccountlock ou le nom de la classe à utiliser dans le cadre d'une action d'activation pour les utilisateurs de cette ressource.

   • Paramètre d’activation LDAP. Saisissez une valeur en fonction de la façon dont vous avez rempli le champ Méthode d’activation LDAP :

     • Si vous avez spécifié le mot-clé nsmanageddisabledrole, vous devez entrer une valeur au format suivant :

       IDMAttribute=CN=nsmanageddisabledrole,baseContext

     • Si vous avez spécifié le mot-clé nsaccountlock, vous devez entrer une valeur au format suivant :

       IDMAttribute=true

     • Si vous avez spécifié un nom de classe, vous devez entrer une valeur au format suivant :

       IDMAttribute

     ---

     Remarque –

     Pour plus d'informations sur les champs Méthode d'activation LDAP et Paramètre d'activation LDAP, voir le document Sun Identity Manager 8.1 Resources Reference.

     ---

   • Utiliser le contrôle des résultats paginés. Cochez cette case pour utiliser le contrôle des résultats paginés de LDAP à la place du contrôle VLV pour l’itérateur de compte lors de la réconciliation.

     ---

     Remarque –

     La ressource doit prendre en charge le contrôle de pagination simple.

     ---

   • Maintenir l’appartenance au groupe LDAP. Cochez cette case pour que l'adaptateur conserve l'appartenance au groupe LDAP lors du renommage ou de la suppression d'utilisateurs.

     Si vous n'activez pas cette option, la ressource LDAP conserve l'appartenance au groupe.

3. Testez la configuration de votre magasin de données en cliquant sur le bouton Vérifier la connexion.

   Un message s'affiche confirmant que la connexion a réussi ou indiquant une erreur de configuration.

4. Lorsque vous avez terminé, cliquez sur Enregistrer puis sur Suivant pour passer à la page Configuration de la notification de l’approvisionneur.

   ---

   Remarque –

   Pour pouvoir créer des utilisateurs sur une ressource LDAP, vous devez commencer par définir des attributs de compte valides, ainsi qu'un modèle d'identification.

   ---

Configuration de la notification de l’approvisionneur

Une fois le magasin de données des ressources externes configuré vous devez configurer les notifications aux approvisionneurs. Vous devez aussi configurer les notifications au demandeur. Cette section décrit le processus consistant à configurer les notifications utilisant l'e-mail ou Remedy.

Pour configurer la notification par e-mail

Pour plus d'informations sur les modèles d'e-mails, voir Configuration des modèles de tâches.

Utilisez les instructions suivantes pour configurer et envoyer des notifications par e-mail à un ou plusieurs approvisionneurs :

1. Dans la page Configuration de la notification de l’approvisionneur, sélectionnez E-mail dans le menu Type de notification de l’approvisionneur. Des options supplémentaires s'affichent comme indiqué sur la figure suivante.

   Figure 5–17 Page Configuration de la notification de l’approvisionneur : Type de notification de l’approvisionneur

   
   

2. Configurez les options suivantes :

   • Modèle de demande de provisioning. Choisissez Exemple de demande de provisioning externe dans le menu. Ce modèle d'e-mail permet de configurer l'e-mail utilisé pour avertir les approvisionneurs des demandes de ressources externes.

   • Suivre la délégation. Cochez cette case pour qu'Identity Manager suive les délégations définies pour l'approvisionneur.

   • Règle de signalisation à un approvisionneur (facultatif). Choisissez une règle pour déterminer l'approvisionneur auquel une requête sera signalée si l'approvisionneur courant ne répond pas à la demande dans le délai d'attente spécifié.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles sur ce menu, vous devez choisir l'exemple de règle Sample External Provisioner Escalation ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner Escalation utilise une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     ---

   • Délai de signalisation. Spécifiez la durée maximale qui devra s'écouler avant la signalisation d'une demande de provisioning à l'approvisionneur suivant.

     ---

     Remarque –

     • Si vous laissez ce champ vide ou saisissez un zéro, la demande ne sera jamais signalée.

     • Si vous spécifiez un délai d'attente sans sélectionner de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator quand celle-ci dépasse le délai d'attente spécifié. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

     ---

   • Formulaire de demande de provisioning. Choisissez un formulaire pouvant être utilisé par l'approvisionneur de ressources externes pour marquer une demande de provisioning comme étant terminée ou non terminée.

   • Règle pour les approvisionneurs. Vous devez choisir une règle pour définir l'approvisionneur auquel les demandes sont envoyées lorsque les ressources externes sont assignées aux utilisateurs.

     ---

     Remarque –

     • À ces fins, vous pouvez écrire vos propres règles. Vous pouvez aussi définir plusieurs approvisionneurs. Lorsqu'un approvisionneur termine la tâche, cette dernière est supprimée des files d'attente de tous les approvisionneurs. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     • Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Provisioner ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner fait de Configurator l'approvisionneur.

     ---

   • Avertir le demandeur Cochez cette case pour envoyer au demandeur d'origine un e-mail contenant des informations sur le traitement de la demande. Par exemple, si la demande de provisioning est ou non terminée, si des informations supplémentaires sont nécessaires, etc.

     Lorsque vous activez cette option, les champs supplémentaires suivants s'affichent :

     ---

     Remarque –

     • Modèle de demande de provisioning effectuée. Choisissez le Modèle de demande de provisioning effectuée pour avertir les demandeurs lorsque leurs demandes sont effectuées.

     • Modèle de demande de provisioning non effectuée. Choisissez le Modèle de demande de provisioning non effectuée pour avertir les demandeurs lorsque leurs demandes ne sont pas effectuées.

     ---

3. Cliquez sur Enregistrer.

   La page Configurer s'affiche indiquant que vous pouvez passer à l'exécution d'une autre tâche de configuration.

4. Allez à l'onglet Ressources -> Lister les ressources. Vous pouvez maintenant créer des ressources externes individuelles sur la base de cette configuration. Pour les instructions, voir Pour créer une ressource.

Pour configurer la notification via Remedy

Utilisez les instructions suivantes pour créer et envoyer un ticket Remedy aux approvisionneurs :

1. Sélectionnez Remedy dans le menu Type de notification de l’approvisionneur. Des options supplémentaires s'affichent comme indiqué sur la figure suivante.

   Figure 5–18 Page Configuration de la notification de l’approvisionneur : Type de notification Remedy

   
   

2. Configurez les options suivantes :

   • Modèle Remedy de demande de provisioning. Choisissez l'exemple de modèle Remedy externe dans le menu.

     ---

     Remarque –

     Identity Manager fournit un exemple de modèle Remedy que vous pouvez utiliser ou modifier selon vos besoins.

     ---

     Un modèle Remedy contient un ensemble de champs utilisé pour créer un ticket Remedy. Identity Manager utilise aussi ce modèle pour interroger Remedy sur le statut du ticket, pour voir si une tâche a été ou non effectuée.

   • Règle Remedy de demande de provisioning. Vous devez choisir une règle dans ce menu pour définir les paramètres de configuration pour Remedy.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Remedy Rule ou utiliser votre propre règle personnalisée. La règle Sample External Remedy Rule utilise une règle Remedy pour déterminer si le statut actuel d'un ticket Remedy est effectué ou non effectué.

     ---

     Un modèle Remedy contient un ensemble de champs utilisés pour créer un ticket Remedy. Identity Manager utilise aussi ce modèle pour interroger Remedy sur le statut du ticket, pour voir si une tâche a été ou non effectuée.

     Identity Manager utilise cette règle pour interroger un ticket Remedy afin d'obtenir les informations de statut. Si le statut du ticket est effectué ou non effectué, Identity Manager marque l'élément travail comme étant, dans l'ordre, effectué ou non effectué.

     ---

     Remarque –

     À ces fins, vous pouvez écrire vos propres règles. Un exemple de règle appelé Sample External Remedy Rule que vous pouvez utiliser ou modifier est fourni. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     ---

   • Suivre la délégation. Cochez cette case pour qu'Identity Manager suive les délégations définies pour l'approvisionneur.

   • Règle de signalisation à un approvisionneur (facultatif). Choisissez une règle pour déterminer l'approvisionneur auquel une demande sera signalée si l'approvisionneur courant n'y répond pas dans le délai d'attente spécifié.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Provisioner Escalation ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner Escalation utilise une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     ---

   • Délai de signalisation. Spécifiez la durée maximale qui devra s'écouler avant la signalisation d'une demande de provisioning à l'approvisionneur suivant.

     ---

     Remarque –

     • Si vous laissez ce champ vide ou saisissez un zéro, la demande ne sera jamais signalée.

     • Si vous spécifiez un délai d'attente sans sélectionner de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator quand celle-ci dépasse le délai d'attente spécifié. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

     ---

   • Formulaire de demande de provisioning. Choisissez un formulaire pouvant être utilisé par l'approvisionneur de ressources externes pour marquer une demande de provisioning comme étant terminée ou non terminée.

   • Règle pour les approvisionneurs. Choisissez une règle qui détermine un ou plusieurs approvisionneurs pour cette demande de ressources externes.

     ---

     Remarque –

     À ces fins, vous pouvez écrire vos propres règles. Vous pouvez aussi définir plusieurs approvisionneurs. Lorsqu'un approvisionneur termine la tâche, cette dernière est supprimée des files d'attente de tous les approvisionneurs. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     ---

     • Exemple d'approvisionneur externe. Faites du Configurator l'approvisionneur.

     • Exemple de signalisation d'approvisionneur externe. Utilisez une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     • Exemple de règle Remedy externe. Définit les paramètres du configurateur pour Remedy.

   • Avertir le demandeur Cochez cette case pour envoyer un e-mail au demandeur lorsque sa demande a été/n'a pas été effectuée. Lorsque vous activez cette option, les champs supplémentaires suivants s'affichent :

     • Modèle de demande de provisioning effectuée. Choisissez le modèle d'e-mail à utiliser lorsque les demandes ont été effectuées.

     • Modèle de demande de provisioning non effectuée. Choisissez le modèle d'e-mail à utiliser lorsque les demandes n'ont pas été effectuées.

     ---

     Remarque –

     Pour plus d'informations sur les modèles d'e-mails, voir Configuration des modèles de tâches.

     ---

3. Cliquez sur Enregistrer.

   La page Configurer s'affiche indiquant que vous pouvez passer à l'exécution d'une autre tâche de configuration.

4. Allez à l'onglet Ressources -> Lister les ressources. Vous pouvez maintenant créer des ressources externes individuelles sur la base de cette configuration. Pour les instructions, voir Création de ressources externes.

Création de ressources externes

Une fois le magasin de données des ressources externes et les notifications des approvisionneurs configurées, vous pouvez créer une nouvelle ressource externe.

Vous devez avoir la capacité Administrateur de ressources pour créer de nouvelles ressources externes.

Pour créer une nouvelle ressource externe, procédez comme suit:

1. Choisissez l'onglet Ressources dans la barre de menu principale. L'onglet Lister les ressources s'affiche par défaut.

2. Cliquez sur l'onglet Configurer les types pour ouvrir la page Configurer les ressources gérées.

   

3. Examinez le tableau Adaptateurs de ressources pour vérifier que le type Ressources externes est disponible.

4. Revenez à l'onglet Lister les ressources et choisissez Nouvelle ressource dans le menu Actions du type de ressources.

5. Lorsque la page Nouvelle ressource s'affiche, choisissez Externe dans le menu Type de ressource et cliquez sur Nouveau.

   

6. La page Bienvenue de l'assistant Create External Resource s'affiche. Cliquez sur Suivant.

   Une vue en lecture seule de la page Configuration du magasin de données s'affiche et indique les informations de connexion et d'authentification définies plus tôt.

   Comme mentionné précédemment, vous ne configurerez normalement qu'une fois ce magasin de données car la configuration s'applique à toutes les ressources externes. Si vous voulez changer certaines de ces informations, vous devez revenir à l'onglet Configurer -> Ressources externes.

   ---

   Remarque –

   Vous pouvez cliquer sur Vérifier la configuration, dans le bas de la page, pour retester la configuration de magasin de données courante avant d'aller plus loin.

   ---

7. Cliquez sur Suivant pour ouvrir la page Configuration de la notification de l’approvisionneur, qui est identique à celle configurée dans l'onglet Configurer -> Ressources externes.

8. Examinez les paramètres de notification d’approvisionneur actuels et apportez les changements nécessaires pour la nouvelle ressource.

   ---

   Remarque –

   Si nécessaire, reportez-vous aux instructions de configuration de Configuration de la notification de l’approvisionneur. Les changements apportés à cette page ne concerneront que cette ressource.

   ---

9. Cliquez sur Suivant.

   À partir de ce point, le processus de création d'une ressource externe est identique à celui utilisé pour créer toute autre ressource. L'assistant vous amène à plusieurs autres pages :

   • Page Attributs de compte. Cette page permet de définir des attributs de compte optionnels pour la ressource et de mapper les attributs du système Identity vers de nouveaux attributs de compte de ressource. Par exemple, si vous créez une ressource externe appelée « portable », vous pouvez vouloir ajouter des attributs pour le modèle et la taille.

     ---

     Remarque –

     Aucune valeur par défaut n'est précisée pour cette page.

     ---

   • Page Modèle d'identité. Cette page permet de définir la syntaxe des noms de comptes pour les utilisateurs créés sur cette ressource externe. Vous pouvez utiliser le modèle d'identité par défaut, $accountId$ ou en spécifier un autre.

   • Page Paramètres du système d’identité. Cette page permet de configurer les paramètres du système d'identité pour les ressources externes. Vous pouvez, par exemple, désactiver les stratégies, configurer les relances ou spécifier les approbateurs.

   Pour plus d'informations sur ces pages et les instructions nécessaires pour terminer la configuration de cette ressource, voir Pour créer une ressource.

10. Lorsque vous avez terminé de configurer la page Paramètres du système d'identité, cliquez sur Enregistrer. Vous pouvez maintenant assigner cette ressource à un utilisateur, comme vous le feriez pour n'importe quelle autre ressource.

Provisioning de ressources externes

Cette section détaille le processus de provisioning actuel et plus précisément :

• Pour assigner une ressource externe à un utilisateur ;

• Pour répondre à une demande de provisioning de ressource externe.

Pour assigner une ressource externe à un utilisateur

Utilisez les étapes suivantes pour assigner une ressource externe à un utilisateur :

Pour assigner des ressources externes, vous devez avoir la capacité Administrateur de ressources.

1. Cliquez sur Comptes -> Lister les comptes puis sur le nom de l'utilisateur dans la page qui s'affiche.

2. Lorsque la page Éditer l’utilisateur s'affiche, cliquez sur l'onglet Ressources.

3. Localisez la ressource externe dans la liste Ressources disponibles d'Assignation de ressource individuelle, déplacez-la dans la liste Ressources actuelles puis cliquez sur Enregistrer.

   Figure 5–19 Page Éditer l'utilisateur

   
   

   Identity Manager crée une tâche de provisioning et vous envoie un message indiquant quel en est le propriétaire. N'oubliez pas qu'un ou plusieurs approvisionneurs ont été définis, en utilisant la Règle pour les approvisionneurs, lors de la configuration de la page de notification des approvisionneurs pour cette ressource.

   Identity Manager avertit également les approvisionneurs qu'ils ont une demande en attente en utilisant un e-mail ou un ticket Remedy.

   ---

   Remarque –

   Comme avec d'autres ressources, vous pouvez définir des approbateurs, lesquels pourront approuver ou rejeter les demandes. Vous devez définir des approvisionneurs mais ceux-ci n'approuvent pas ni ne rejettent les requêtes : ils se limitent à terminer ou ne pas terminer pas les tâches.

   ---

4. Cliquez sur OK pour revenir à la page Comptes Lister les comptes. Vous remarquerez qu'un sablier s'affiche en regard du nom de l'utilisateur, dans l'icône d'élément de travail, pour indiquer que la demande est en attente.

Pour répondre à une demande de provisioning de ressource externe

Lorsqu'une demande de provisioning est générée, elle interrompt le processus de provisioning jusqu'à ce qu'un approvisionneur termine le provisioning manuel ou marque la demande comme non effectuée ou le délai d'attente comme dépassé. Identity Manager contrôle ces réponses du provisioning.

Comme avec tout autre élément de travail, vous pouvez examiner l'ensemble de vos demandes de provisioning de ressources externes depuis l'onglet Éléments de travail -> Demandes de provisioning.

Vous répondez aux demandes de provisioning comme suit :

1. Cliquez sur les onglets Éléments de travail > Demandes de provisioning pour ouvrir la page En attente de provisioning.

   Figure 5–20 Page En attente de provisioning

   
   

2. Localisez et sélectionnez la demande de provisioning en attente.

3. En option, vous pouvez ouvrir votre e-mail de demande de provisioning, cliquer sur un lien défini dans le Modèle de demande de provisioning et vous connecter pour afficher une page contenant les détails de la demande de provisioning.

   Cette page vous permet de mettre à jour tout attribut demandé de façon à refléter avec précision ce qui a été provisionné pour l'utilisateur. Par exemple, si l'utilisateur a demandé un ordinateur portable Sony, mais que ce modèle n'était pas disponible, vous pouvez mettre la page à jour avec le modèle effectivement provisionné.

   Figure 5–21 Demande de provisioning d'un nouvel ordinateur portable

   
   

4. Cliquez sur l'un des boutons suivants pour traiter la demande :

   • Si vous pouvez provisionner la ressource, cliquez sur Terminé(e).

     Identity Manager met à jour les attributs de compte de ressources externes de l'utilisateur pour indiquer qu'il a effectivement été provisionné, supprime l'indicateur d'état en attente de provisioning et termine l'élément de travail de demande de provisioning mis à jour.

     Selon la configuration, Identity Manager avertit également le demandeur que la demande de provisioning a été effectuée en utilisant le modèle d'e-mail configuré à cette fin.

   • Si vous ne pouvez pas provisionner la ressource, précisez le motif et cliquez sur Non terminé(e).

     Lorsque vous marquez une requête comme Non terminé(e) :

     • L'utilisateur n'est pas provisionné à la ressource externe.

     • La ressource externe reste assignée à l'utilisateur.

     • Une icône jaune indiquant qu'une mise à jour s'impose pour l'utilisateur s'affiche à proximité du nom de ce dernier.

       Si l'utilisateur est édité, un message d'erreur s'affiche indiquant qu'il est impossible de trouver l'utilisateur dans la ressource externe.

     • Selon la configuration, Identity Manager avertit également le demandeur en utilisant le modèle d'e-mail configuré à cette fin.

   • Si vous ne pouvez pas provisionner la ressource, vous pouvez aussi cliquer sur Transférer pour transférer la demande à un tiers.

   Une fois que l'élément de travail de demande de provisioning est effectué ou non effectué, Identity Manager efface l'état En attente de la ressource externe assignée et aucune mise à jour n'a lieu sur le magasin de données des ressources externes.

   La ressource s'affiche dans la liste des ressources assignées de l'utilisateur et dans celle des comptes de ressources actuels, avec l'ID de compte de l'utilisateur sur cette ressource.

   ---

   Remarque –

   Si l'approvisionneur assigné ne répond pas à une demande de provisioning avant le délai d'attente spécifié, Identity Manager annule l'élément de travail de demande de provisioning associé.

   ---

Réassignation des demandes de provisioning

• Si vous avez spécifiez un délai d'attente lors de la configuration de la page de notification de l'approvisionneur et qu'une demande de provisioning dépasse le délai d'attente, Identity Manager effectue l'une des actions suivantes :

  • Si vous avez spécifié une Règle de signalisation à un approvisionneur, Identity Manager l'utilisera pour déterminer l'approvisionneur suivant et réassignera la demande à cet approvisionneur.

  • Si vous n'avez pas spécifié de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

• Si vous laissez le champ du délai d'attente de signalisation vide ou y indiquez un zéro, Identity Manager ne signalera jamais la demande.

Délégation des demandes de provisioning

Vous pouvez déléguer les éléments de travail de provisioning externe comme toutes les autres demandes de provisioning. Pour plus d'informations et les instructions, voir Délégation des éléments de travail.

Annulation des assignations et suppression des liens des ressources externes

Vous pouvez annuler les assignations ou supprimer les liens de ressources externes depuis un utilisateur, depuis l'onglet Général comme avec toute autre ressource. Création d'utilisateurs et utilisation des comptes utilisateur,

L'annulation de l'assignation ou la suppression du lien d'une ressource externe d'un utilisateur ne crée pas de demande de provisioning ni d'élément de travail. Lorsque vous annulez l'assignation ou supprimez le lien d'une ressource externe, Identity Manager ne suspend pas ni ne supprime le compte de la ressource, vous n'avez donc rien à faire.

Dépannage des ressources externes

Vous ne pouvez pas supprimer des utilisateurs qui ont encore des ressources externes assignées. Vous devez d'abord suspendre ou supprimer ces ressources externes pour pouvoir supprimer les utilisateurs.

Identity Manager vous permet d'utiliser les méthodes suivantes pour déboguer et suivre les ressources externes :

• Vous pouvez suivre l'adaptateur Ressources externes.

  • Si le magasin de données que vous utilisez est une base de données, suivez les noms de classe de suivi com.waveset.adapter.ScriptedJdbcResourceAdapter et com.waveset.adapter.JdbcResourceAdapter.

  • Si le magasin de données que vous utilisez est un annuaire, suivez le nom de classe de suivi com.waveset.adapter.LDAPResourceAdapter.

• Vous pouvez utiliser le suivi des flux de travaux pour suivre des flux de données et de travaux supplémentaires et utiliser le plug-in NetBeans ou Eclipse Identity Manager IDE pour le débogage.

• Étant donné que vous configurez et contrôlez le magasin de données, vous pouvez utiliser l'inspection du magasin de données pour assurer que ce dernier contienne les informations adéquates.

• Identity Manager écrit des enregistrements d'audit pour toutes les activités qui ont lieu.

Pour plus d'informations sur le suivi et le dépannage, voir le Sun Identity Manager 8.1 System Administrator’s Guide.