Comprendre et gérer les rôles

Vous trouverez dans cette section des informations relatives à la configuration des rôles dans Identity Manager. Dans les entreprises de grande taille, les assignations de ressources basées sur les rôles simplifient considérablement la gestion des ressources.

---

Remarque –

Ne confondez pas les rôles avec les rôles admin. Les rôles sont utilisés pour gérer l'accès des utilisateurs finaux aux ressources tandis que les rôles admin le sont principalement pour gérer l'accès des administrateurs aux objets Identity Manager internes que sont les utilisateurs, les organisations et les capacités.

Les informations contenues dans cette section sont relatives aux rôles. Pour plus d'informations sur les rôles admin, voir la section Comprendre et gérer les rôles admin.

---

Définition des rôles

Un rôle est un objet Identity Manager permettant de regrouper des droits d'accès aux ressources en vue de les assigner efficacement à des utilisateurs.

Les rôles sont organisés en quatre types :

• les rôles professionnels,

• les rôles informatiques,

• les applications,

• le matériel.

Les rôles professionnels permettent d'organiser en groupes les droits d'accès dont les personnes effectuant des tâches semblables au sein d'une organisation ont besoin dans l'exercice de leurs fonctions. En général, les rôles professionnels correspondent aux fonctions professionnelles des utilisateurs. Dans un établissement bancaire par exemple, les rôles professionnels peuvent correspondre à des fonctions financières telles que celles de guichetier, responsable des prêts, directeur de succursale, chargé de clientèle, comptable ou assistant administratif.

Les rôles informatiques, applications et matériel permettent d'organiser les habilitations de ressources en groupes. Pour fournir aux utilisateurs l'accès aux ressources, les rôles informatiques, les applications et le matériel sont assignés à des rôles professionnels, lesquels permettent aux utilisateurs d'accéder aux ressources dont ils ont besoin dans l'exercice de leurs fonctions. Les rôles informatiques contiennent un ensemble spécifique d'applications, matériel et/ou ressources, incluant des habilitations spécifiques pour ces ressources assignées. Les rôles informatiques peuvent aussi contenir d'autres rôles informatiques.

---

Remarque –

Le concept de type de rôle est une nouveauté de la version Identity Manager 8.0. Si votre entreprise a effectué une mise à niveau vers la version 8.0 à partir d'une version antérieure d'Identity Manager, les rôles existants auront été importés sous forme de rôles informatiques. Pour plus d'informations, voir Gestion des rôles créés dans des versions antérieures à la version 8.0..

---

Les rôles informatiques, les applications et le matériel peuvent être obligatoires, conditionnels ou optionnels.

• Tout rôle obligatoire est toujours assigné à l'utilisateur final.

• Dans le cas d'un rôle conditionnel, certaines conditions doivent être remplies pour que le rôle soit assigné.

• Un rôle optionnel peut être demandé séparément et, sous réserve d'approbation, assigné à l'utilisateur final.

Les rôles obligatoires, conditionnels et optionnels permettent à un concepteur de rôle professionnel de définir des droits d'accès génériques aux rôles contenus afin d’assurer la conformité aux réglementations, tout en laissant au responsable d’un utilisateur final la liberté d’adapter de manière plus précise les droits d’accès de l'utilisateur. Les utilisateurs auxquels des rôles conditionnels ou optionnels ont été assignés peuvent toujours partager les mêmes rôles professionnels assignés mais ont des droits d'accès assignés différents. Avec une telle approche, il devient inutile de définir un nouveau rôle professionnel à chaque permutation des besoins d'accès dans l'entreprise (problème connu sous le nom d'explosion des rôles).

Pour un fonctionnement efficace des types de rôles

Les lignes suivantes expliquent comment utiliser efficacement les types de rôles. Pour la description des types de rôles, voir la section précédente.

Gestion des rôles créés dans des versions antérieures à la version 8.0.

Les organisations qui passent à la version 8.0 d’Identity Manager à partir d’une version précédente verront automatiquement leurs rôles existants convertis en rôles informatiques. Les rôles informatiques resteront directement assignés aux utilisateurs. Les rôles existants ne se verront pas assigner de propriétaire de rôle dans le cadre du processus de mise à niveau. Un propriétaire de rôle pourra cependant être assigné ultérieurement (pour toute information sur les propriétaires de rôles, voir Désignation des propriétaires et approbateurs de rôles).

Par défaut, les organisations qui effectuent une mise à niveau vers la version 8.0 peuvent assigner directement des rôles informatiques et professionnels aux utilisateurs (voir Figure 5–2).

Les organisations qui ont des rôles existants doivent envisager de créer de nouveaux rôles en suivant les directives esquissées dans la section suivante.

Utilisation des types de rôles pour concevoir des rôles flexibles

Les rôles informatiques, les applications et le matériel sont les blocs fonctionnels du concepteur de rôles. Ces trois types de rôles sont utilisés en combinaison pour élaborer des habilitations utilisateur (ou droits d'accès). Les rôles informatiques, les applications et le matériel sont ensuite assignés à des rôles professionnels.

Conception de rôles professionnels

Dans Identity Manager, un utilisateur peut se voir assigner un, plusieurs ou aucun rôles. Avec l'introduction des types de rôles dans Identity Manager 8.0, il est recommandé de n'assigner directement aux utilisateurs que des rôles professionnels. En effet, par défaut, vous ne pouvez pas assigner directement d'autres types de rôles aux utilisateurs à moins que votre entreprise n'ait installé une version antérieure à la version 8.0 d'Identity Manager et effectué une mise à jour vers la version 8.0 minimum. Cette restriction par défaut peut être changée en modifiant l'objet Configuration de rôle (Configuration des types de rôles , Configuration des types de rôles).

Pour réduire la complexité, les rôles professionnels ne peuvent pas être imbriqués. Autrement dit, un rôle professionnel ne peut pas contenir à son tour un rôle professionnel. De plus, les rôles professionnels ne peuvent pas contenir directement des ressources et des groupes de ressources. Les ressources et groupes de ressources doivent être assignés à un rôle informatique ou à une application, qui peut à son tour être assigné à un ou plusieurs rôles professionnels.

Conception de rôles informatiques

Les rôles informatiques peuvent contenir des applications, du matériel ainsi que d'autres rôles informatiques. Ils peuvent aussi contenir des ressources et des groupes de ressources.

Les rôles informatiques sont conçus pour être créés et gérés soit par le personnel informatique de votre entreprise soit par les propriétaires des ressources qui comprennent les habilitations requises pour activer des privilèges spécifiques au sein de la ressource.

Conception d'applications et de matériel

Les applications et le matériel sont des types de rôles conçus pour représenter des termes professionnels communément utilisés pour décrire des éléments dont les utilisateurs finaux ont besoin dans l'exercice de leurs fonctions. Par exemple, un rôle Application peut être nommé « Outils de support client » ou « Outil admin RH intranet ».

• Les applications ne peuvent pas contenir de rôles, mais peuvent contenir des ressources et des groupes de ressources. Elles peuvent également définir des habilitations spécifiques qui restreignent l'accès à des applications spécifiques sur les ressources contenues.

• Le matériel est (en règle générale) constitué de ressources non connectées et non numériques telles que des téléphones et des ordinateurs portables, exigeant un provisioning manuel. Par conséquent, le matériel ne peut pas contenir de rôles, de ressources ou de groupes de ressources.

Les applications et le matériel sont conçus pour être assignés à des rôles professionnels et des rôles informatiques.

---

Remarque –

Une ou plusieurs des capacités suivantes doivent être assignées aux administrateurs de rôles :

• Administrateur du matériel,

• Administrateur des applications,

• Administrateur des rôles professionnels,

• Administrateur des rôles informatiques.

Pour plus d’informations, voir Assignation de capacités aux utilisateurs .

---

Récapitulatif des types de rôles

La figure suivante indique les types de rôles, ressources et groupes de ressources qui peuvent être assignés à chacun des quatre types de rôles. Elle indique aussi les exclusions de type de rôles pouvant être assignées aux quatre types de rôles (pour la description des exclusions de rôles, voir Pour assigner des ressources et groupes de ressources).

Figure 5–1 Les types de rôles Rôle professionnel, Rôle informatique, Application et Matériel

Les rôles contenus optionnels, conditionnels et obligatoires (Définition des rôles) accroissent la flexibilité. Les définitions de rôle flexibles peuvent réduire le nombre total de rôles que l'entreprise sera amenée à gérer.

La Figure 5–2 montre que les rôles professionnels et informatiques peuvent être directement assignés aux utilisateurs si une version antérieure à la version 8.0 d'Identity Manager est mise à niveau vers la version 8.0 minimum. Lors de la mise à niveau, les rôles existants sont convertis en rôles informatiques, lesquels pour assurer la compatibilité ascendante sont directement assignés aux utilisateurs. Si Identity Manager n'a pas été mis à niveau à partir d'une version antérieure à la 8.0, seuls les rôles professionnels sont directement assignés aux utilisateurs.

Figure 5–2 Rôles et ressources pouvant être directement assignés aux utilisateurs.

Création de rôles

Cette section décrit la création des rôles. Ces informations sont organisées de la manière suivante :

• Pour créer des rôles en utilisant le formulaire Créer un rôle ;

• Pour assigner des ressources et groupes de ressources ;

• Pour éditer des valeurs d'attributs de ressources assignées ;

• Pour assigner des rôles et des exclusions de rôles ;

• Désignation des propriétaires et approbateurs de rôles ;

• Désignation de notifications.

• Lancement d'éléments de travail d'approbation de changement et d'approbation

---

Remarque –

Pour des conseils en matière de conception de rôles, reportez-vous à Utilisation des types de rôles pour concevoir des rôles flexibles.

---

Lorsque vous créez ou éditez un rôle, Identity Manager lance le flux de travaux ManageRole. Ce flux de travaux enregistre le rôle nouveau ou mis à jour dans le référentiel et vous permet d'insérer des approbations ou d'autres actions avant la création ou l'enregistrement du rôle.

Pour créer des rôles en utilisant le formulaire Créer un rôle

1. Dans l'interface administrateur, cliquez sur Rôles dans le menu principal.

   La page Rôles (onglet Lister les rôles) s'ouvre.

2. Cliquez sur Nouveau au bas de cette page.

   La page Créer Rôle informatique s'ouvre. Pour créer un autre type de rôle, utilisez le menu déroulant Type.

3. Remplissez les champs du formulaire sur l'onglet Identité.

   La figure suivante illustre l'onglet Identité.

   Figure 5–3 L'onglet Identité de la page Créer Rôle informatique

   
   

4. Remplissez les champs du formulaire dans l'onglet Ressources (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des ressources et groupes de ressources.

   Si vous avez besoin d'aide pour définir les valeurs des attributs étendus sur les rôles, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   La figure suivante illustre l'onglet Ressources.

   Figure 5–4 L'onglet Ressources de la page Créer Rôle informatique

   
   

5. Remplissez les champs du formulaire sur l'onglet Rôles (le cas échéant). Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Pour assigner des rôles et des exclusions de rôles.

   La Figure 5–6 illustre l'onglet Rôles.

6. Remplissez les champs du formulaire sur l'onglet Sécurité. Si vous avez besoin d'aide pour remplir les champs de cet onglet, consultez l'aide en ligne ainsi que la section Désignation des propriétaires et approbateurs de rôles et la section Désignation de notifications.

   Désignation des propriétaires et approbateurs de rôles affiche l'onglet Sécurité.

7. Cliquez sur Enregistrer au bas de cette page.

8. Saisissez un nom de rôle et une description dans l'onglet Identité du formulaire Créer un rôle. Si vous créez un nouveau rôle, utilisez le menu déroulant Type afin de sélectionner le type de rôle à créer.

   La Figure 5–4 représente la partie Identité de l'onglet Identité du formulaire Créer un rôle. Si vous avez besoin d'aide pour utiliser ce formulaire, reportez-vous à l'aide en ligne.

Pour assigner des ressources et groupes de ressources

Les ressources et groupes de ressources peuvent être assignés directement à des rôles informatiques et des rôles applications en utilisant l'onglet Ressources du formulaire Créer un rôle. Les ressources sont décrites plus loin dans la section Comprendre et gérer les ressources Identity Manager externes. Les groupes de ressources sont décrits dans la section Groupes de ressources.

• Il est impossible d'assigner directement des ressources et groupes de ressources à des rôles professionnels, car les rôles professionnels ne peuvent se voir assigner que des rôles.

• Il est impossible d'assigner des ressources et des groupes de ressources à des rôles de type Matériel, car ceux-ci sont réservés aux ressources non connectées ou non numériques nécessitant un provisioning manuel.

Cette procédure décrit l'assignation des ressources et groupes de ressources à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

1. Cliquez sur l'onglet Ressources sur la page Créer un rôle.

2. Pour assigner une ressource, sélectionnez-la dans la colonne Ressources disponibles et déplacez-la dans la colonne Ressources actuelles en cliquant sur les touches fléchées.

3. Si vous assignez plusieurs ressources, vous pouvez définir l'ordre dans lequel celles-ci seront mises à jour : cochez la case Mettre ressources à jour en ordre et utilisez les boutons + et - pour changer l'ordre des ressources dans la colonne Ressources actuelles.

4. Pour assigner un groupe de ressources à ce rôle, sélectionnez-le dans la colonne Groupes de ressources disponibles et déplacez-le dans la colonne Groupes de ressources actuels en cliquant sur les touches fléchées. Un groupe de ressources est un ensemble de ressources offrant un autre moyen de spécifier l'ordre dans lequel les comptes de ressources sont créés et mis à jour.

5. Pour définir les attributs de compte s'appliquant à ce rôle par ressource, cliquez sur Définir des valeurs d'attribut dans la section Ressources assignées. Pour plus d'informations, voir Pour afficher ou éditer les attributs des comptes de ressources.

6. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Rôles ou Sécurité pour poursuivre le processus de création de rôle.

   La figure suivante représente l'onglet Ressources du formulaire Créer un rôle.

   Figure 5–5 La section Ressources du formulaire à onglets Créer un rôle

   
   

Pour éditer des valeurs d'attributs de ressources assignées

Utilisez le tableau Ressources assignées pour définir ou modifier les valeurs d'attributs de ressources sur des ressources assignées à un rôle. Une ressource peut avoir différentes valeurs d'attributs définies par rôle. Cliquer sur le bouton Définir des valeurs d’attribut ouvre la page Attributs de compte de ressources.

La figure suivante représente la page Attributs de compte de ressources qui est utilisée pour définir les valeurs des attributs étendus sur les ressources assignées à un rôle.

1. Depuis la page Attributs de compte de ressources, spécifiez les nouvelles valeurs de chaque attribut et déterminez la façon dont sont définies les valeurs des attributs.

   Identity Manager vous permet de définir directement les valeurs ou d'utiliser une règle pour définir les valeurs et fournit toute une gamme d'options pour ignorer les valeurs existantes ou fusionner les valeurs avec les valeurs existantes. Pour toute information d'ordre général sur les valeurs des attributs de ressource, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

   Utilisez les options suivantes pour fixer les valeurs des différents attributs de compte de ressource :

   • Annuler valeur. Choisissez l'une des options suivantes :

     • Aucun (par défaut). Aucune valeur n'est établie.

     • Règle. Utilise une règle pour définir la valeur.

       Si vous sélectionnez cette option, vous devez sélectionner le nom d'une règle dans la liste.

     • Texte. Utilise le texte spécifié pour définir la valeur.

       Si vous sélectionnez cette option, vous devez saisir le texte dans le champ Texte adjacent.

   • Comment définir. Choisissez l'une des options suivantes :

     • Valeur par défaut. Définit la règle ou le texte comme valeur d'attribut par défaut.

       L'utilisateur peut modifier ou annuler cette valeur.

     • Définir sur la valeur. Définit la valeur d'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur.

     • Fusionner avec la valeur. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

     • Fusionner avec la valeur, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

     • Supprimer de la valeur. Supprime de la valeur d'attribut la valeur spécifiée par la règle ou le texte.

     • Déterminer à la valeur par voie d’autorité. Définit la valeur de l'attribut conformément à la spécification de la règle ou du texte.

       La valeur ainsi définie remplace toute modification apportée par un utilisateur. Si vous supprimez le rôle, la nouvelle valeur est NULL, même s'il existait précédemment sur cet attribut.

     • Fusionner avec la valeur par voie d’autorité. Permet de fusionner la valeur d'attribut actuelle avec les valeurs spécifiées par la règle ou le texte.

       La suppression du rôle supprime la valeur qui avait été assignée à l'assignation du rôle et laisse telle quelle la valeur originale de l'attribut.

     • Fusionner avec la valeur par voie d’autorité, supprimer cet existant. Supprime les valeurs d'attribut actuelles et définit la valeur sur une fusion des valeurs spécifiées par ce rôle et les autres rôles assignés.

       Supprime la valeur d'attribut spécifiée par ce rôle si le rôle est supprimé, même s'il existait précédemment sur l'attribut.

   • Nom de la règle. Si vous sélectionnez Règle dans la zone Annuler valeur, sélectionnez une règle dans la liste.

   • Texte. Si vous sélectionnez Texte dans la zone Annuler valeur, saisissez le texte à ajouter ou à supprimer de la valeur de l'attribut, ou à utiliser comme valeur d'attribut.

2. Cliquez sur OK pour enregistrer vos modifications et retourner à la page Créer ou Éditer un rôle.

Pour assigner des rôles et des exclusions de rôles

Des rôles peuvent être assignés à des rôles professionnels et informatiques via l'onglet Rôles du formulaire Créer un rôle. Les rôles assignés doivent être ajoutés au tableau Rôles contenus.

• Il est impossible d'assigner des rôles à des rôles de type Application et Matériel.

• Les rôles professionnels ne peuvent être assignés à aucun type de rôle.

Des exclusions de rôles peuvent être assignées à l'ensemble des quatre types de rôles en utilisant l'onglet Rôles du formulaire Créer un rôle. Si un rôle présentant une exclusion de rôle est assigné à un utilisateur, le rôle exclu ne peut pas être assigné à l'utilisateur. Les exclusions de rôles doivent être ajoutées au tableau Exclusions de rôles.

Cette procédure décrit l'assignation de un ou plusieurs rôles à un rôle lors du remplissage du formulaire Créer un rôle. Pour le démarrage, voir Pour créer des rôles en utilisant le formulaire Créer un rôle.

Pour remplir l'onglet Rôles

1. Cliquez sur l'onglet Rôles sur la page Créer un rôle.

2. Cliquez sur Ajouter dans la section Rôles contenus.

   L'onglet est actualisé et affiche le formulaire Rechercher rôles à contenir.

3. Recherchez le ou les rôles que vous assignerez à ce rôle. Commencez par les rôles obligatoires (vous ajouterez les rôles conditionnels et optionnels ultérieurement).

   Si vous avez besoin d'aide pour remplir le formulaire de recherche, reportez-vous à Pour rechercher des rôles. Les rôles professionnels ne peuvent être imbriqués ni assignés à d'autres types de rôles.

4. Utilisez les cases à cocher pour sélectionner un ou plusieurs rôles à assigner puis cliquez sur Ajouter.

   L'onglet est actualisé et affiche le formulaire Ajouter un rôle contenu.

5. Sélectionnez Obligatoire (ou Conditionnel ou Optionnel selon le cas) dans le menu déroulant Type d’association.

   Cliquez sur OK.

6. Répétez les quatre étapes précédentes pour ajouter des rôles conditionnels (le cas échéant). Répétez les quatre étapes précédentes pour ajouter des rôles optionnels (le cas échéant).

7. Cliquez sur Enregistrer pour enregistrer le rôle ou sur les onglets Identité, Ressources ou Sécurité pour poursuivre le processus de création de rôle.

   La Figure 5–6 représente l'onglet Rôles du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–6 La section Rôles du formulaire à onglets Créer un rôle

   
   

Désignation des propriétaires et approbateurs de rôles

Les rôles ont des propriétaires et des approbateurs désignés. Seuls les propriétaires d'un rôle peuvent autoriser l'apport de modifications aux paramètres définissant un rôle tandis que seuls les approbateurs d'un rôle peuvent autoriser l'assignation de ce rôle aux utilisateurs finaux.

---

Remarque –

Si Identity Manager est intégré avec Sun^TM Role Manager, vous devez autoriser Role Manager à gérer l'ensemble des approbations et notifications de changement de rôle en désactivant manuellement la capacité d'Identity Manager d'effectuer ces actions.

Vous devez éditer l'objet Configuration RoleConfiguration dans Identity Manager comme suit :

• Trouvez toutes les instances de changeApproval et définissez la valeur sur false.

• Trouvez toutes les instances de changeNotification et définissez la valeur sur false.

---

Être le propriétaire d'un rôle revient à être le propriétaire professionnel responsable des droits des comptes de ressources sous-jacents qui sont assignés par le biais de ce rôle. Si un administrateur modifie un rôle, le propriétaire du rôle doit approuver les changements pour qu'ils puissent être appliqués. Cette fonction permet d'empêcher un administrateur de modifier un rôle sans que le propriétaire professionnel du rôle ne le sache et n'y consente. Cependant, si les approbations de changement ont été désactivées dans l'objet Configuration du rôle, l'approbation du propriétaire du rôle n'est pas nécessaire pour appliquer les changements.

Outre pour les changements de rôle, l'approbation du propriétaire est nécessaire pour activer, désactiver ou supprimer un rôle.

Les propriétaires et approbateurs peuvent indifféremment être ajoutés directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Dans Identity Manager, il est possible (même si cela n'est pas recommandé) de créer des rôles sans propriétaire ni approbateur.

---

Remarque –

Les règles d'assignation de rôles ont pour authType RoleUserRule.

Si vous devez créer une règle d'assignation de rôles personnalisée, reportez-vous aux trois objets de règle d'assignation de rôles et utilisez-les comme un exemple :

• approbateurs de rôles,

• notifications de rôle,

• propriétaires de rôles.

---

Les propriétaires et les approbateurs sont avertis par e-mail si un élément de travail requiert leur approbation. Les éléments de travail de type approbation de changement et approbation sont examinés dans la section Lancement d'éléments de travail d'approbation de changement et d'approbation.

Les propriétaires et les approbateurs sont ajoutés aux rôles sur l'onglet Sécurité dans le formulaire Créer un rôle.

Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

Désignation de notifications

Un ou plusieurs administrateurs peuvent recevoir des notifications lorsqu'un rôle est assigné à un utilisateur.

La spécification d'un destinataire des notifications est optionnelle. Vous pouvez choisir d'avertir un administrateur si vous décidez de ne pas exiger d'approbation quand un rôle est assigné à un utilisateur. Vous pouvez aussi désigner un administrateur qui servira d'approbateur et un autre administrateur qui servira de destinataire des notifications une fois l'approbation effectuée.

Comme avec les propriétaires et approbateurs, les notifications peuvent indifféremment être ajoutées directement à un rôle ou l'être dynamiquement en utilisant une règle d'assignation de rôle. Les destinataires des notifications sont avertis par e-mail quand un rôle est assigné à un utilisateur. Aucun élément de travail n'est toutefois créé puisqu'aucune approbation n'est nécessaire.

Les notifications sont assignées aux rôles dans l'onglet Sécurité du formulaire Créer un rôle. Désignation des propriétaires et approbateurs de rôles montre l'onglet Sécurité du formulaire Créer un rôle.

Lancement d'éléments de travail d'approbation de changement et d'approbation

Lorsque des changements sont apportés à un rôle, les propriétaires de ce rôle peuvent recevoir un e-mail d'approbation de changement, un e-mail de notification de changement ou ne pas recevoir d'e-mail du tout. Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle.

Par défaut, les propriétaires de rôles reçoivent des e-mails approbation de changement à chaque fois que les rôles dont ils sont propriétaires changent. Ce comportement peut cependant être configuré par type de rôle. Par exemple, vous pouvez choisir d'activer les approbations de changement pour les rôles professionnels et informatiques, et d'activer les notifications de changement pour les rôles applications et matériel.

Pour les instructions à suivre pour activer et désactiver les e-mails d'approbation de changement et de notification de changement, reportez-vous à Configuration des types de rôles .

Le fonctionnement des approbations et notifications de changement est le suivant :

• Si les approbations de changement sont activées lorsqu'un administrateur modifie un rôle, un élément de travail est généré et un e-mail d'approbation est envoyé au propriétaire du rôle. Le propriétaire du rôle doit approuver l'élément de travail pour que le changement soit appliqué. Les éléments de travail d'approbation de changement peuvent être délégués. Pour plus d’informations, voir Approbation des comptes utilisateur.

  Si les approbations de changement sont désactivées, aucun élément de travail n'est généré et aucun e-mail d'approbation n'est envoyé au propriétaire du rôle.

• Si les notifications de changement sont activées lorsqu'un administrateur modifie un rôle, le changement est immédiatement appliqué et un e-mail de notification est envoyé au propriétaire du rôle.

  Si les notifications de changement sont désactivées, aucune notification n'est envoyée au propriétaire du rôle.

Lorsqu'un rôle est assigné à un utilisateur, les approbateurs de rôles reçoivent des e-mails d'approbation de rôle. Les e-mails d'approbation de rôle ne peuvent pas être désactivés dans Identity Manager.

Pour les approbations de rôle, un élément de travail est généré lorsqu'un rôle est assigné à un utilisateur et un e-mail d'approbation est envoyé à l'approbateur du rôle. L'approbateur d'un rôle doit approuver l'élément de travail pour que le rôle soit assigné à l'utilisateur.

Les éléments de travail d'approbation de changement et d'approbation peuvent être délégués. Pour plus d'informations sur la délégation des éléments de travail, voir Délégation des éléments de travail.

Édition et gestion des rôles

La plupart des tâches d'édition et de gestion de rôles peuvent être effectuées en utilisant les onglets Rechercher des rôles et Lister les rôles, qui se trouvent sous l'onglet Rôles dans le menu principal.

Cette section se compose des rubriques suivantes :

• Pour rechercher des rôles ;

• Pour afficher des rôles ;

• Pour éditer un rôle ;

• Pour cloner un rôle ;

• Pour assigner un rôle à un autre rôle ;

• Pour supprimer un rôle assigné à un autre rôle ;

• Pour activer et désactiver des rôles ;

• Pour supprimer un rôle ;

• Pour assigner une ressource ou un groupe de ressources à un rôle

• Pour supprimer une ressource ou un groupe de ressources assigné à un rôle.

Pour rechercher des rôles

Utilisez l'onglet Rechercher des rôles pour rechercher des rôles remplissant les critères spécifiés.

L'onglet Rechercher des rôles permet de rechercher des rôles en fonction d'un vaste éventail de critères tels que les propriétaires et approbateurs des rôles, les types de comptes assignés, les rôles contenus, etc.

Pour toute information sur la recherche d'utilisateurs assignés à un rôle, reportez-vous à Pour rechercher des utilisateurs assignés à un rôle spécifique.

1. Dans l'interface administrateur, cliquez sur l'onglet Rôles.

   L'onglet Lister les rôles s'ouvre.

2. Cliquez sur l'onglet secondaire Rechercher des rôles.

   La Figure 5–7 illustre l'onglet Rechercher des rôles. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–7 L'onglet Rechercher des rôles

   
   

   Utilisez les menus déroulants pour définir les paramètres pour votre recherche. Cliquez sur le bouton Ajouter une ligne pour ajouter des paramètres supplémentaires.

Pour afficher des rôles

Utilisez l'onglet Lister les rôles pour afficher les rôles. Utilisez les champs de filtre dans le haut de la page Lister les rôles pour rechercher des rôles par nom ou type de rôle. Le filtrage n'est pas sensible à la casse.

1. Dans l'interface administrateur, cliquez sur l'onglet Rôles.

   Le sous-onglet Lister les rôles s'ouvre.

   La Figure 5–8 illustre l'onglet Lister les rôles. Si vous avez besoin d'aide pour ce formulaire, reportez-vous à l'aide en ligne.

   Figure 5–8 L'onglet Lister les rôles

   
   

Pour éditer un rôle

Recherchez les rôles à éditer en utilisant l'onglet Lister les rôles ou l'onglet Rechercher des rôles. Si vous apportez des changements à un rôle et que les approbations de changement sont définies sur true, le propriétaire de ce rôle doit approuver les changements effectués pour qu'ils puissent entrer en vigueur.

Pour toute information sur la mise à jour des utilisateurs avec les changements de rôle, reportez-vous à Pour mettre à jour les rôles assignés aux utilisateurs.

1. Recherchez le rôle à éditer en suivant les instructions de la section Pour rechercher des rôles ou Pour afficher des rôles.

2. Cliquez sur le nom du rôle à éditer.

   La page Éditer un rôle s'ouvre.

3. Éditez le rôle comme nécessaire. Pour toute aide pour remplir les onglets Identité, Ressources, Rôles et Sécurité, reportez-vous à Pour créer des rôles en utilisant le formulaire Créer un rôle.

   Cliquez sur Enregistrer. La page Confirmer les changements de rôle s'ouvre.

4. Si ce rôle est assigné à des utilisateurs, vous pouvez sélectionner quand mettre à jour les utilisateurs avec les changements de rôle. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

5. Cliquez sur Enregistrer pour enregistrer vos modifications.

Pour cloner un rôle

1. Recherchez le rôle que vous voulez éditer en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Cliquez sur le nom du rôle à cloner.

   La page Éditer un rôle s'ouvre.

3. Entrez un nouveau nom dans le champ Nom et cliquez sur Enregistrer.

   Page Rôle : Créer ou Renommer ? s'ouvre.

4. Cliquez sur Créer pour faire une copie du rôle.

Pour assigner un rôle à un autre rôle

Les exigences d'Identity Manager en matière d'assignation de rôles sont détaillées dans les sections Définition des rôles et Pour un fonctionnement efficace des types de rôles . Vous devez prendre connaissance de ces informations avant d'assigner des rôles.

Identity Manager peut modifier les assignations de rôles à un rôle sur approbation du propriétaire du rôle parent.

1. Recherchez le rôle professionnel ou informatique auquel vous assignerez un ou plusieurs rôles contenus (les rôles peuvent uniquement être assignés aux rôles professionnels et informatiques). Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle professionnel ou informatique de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Rôles sur la page Éditer un rôle.

4. Cliquez sur Ajouter dans la section Rôles contenus.

   L'onglet est actualisé et affiche le formulaire Rechercher rôles à contenir.

5. Recherchez le ou les rôles que vous assignerez à ce rôle. Commencez par les éventuels rôles obligatoires (vous ajouterez les rôles conditionnels et optionnels ultérieurement).

   Si vous avez besoin d'aide pour remplir le formulaire de recherche, reportez-vous à Pour rechercher des rôles. Les rôles professionnels ne peuvent pas être imbriqués ni assignés à d'autres types de rôles.

6. Utilisez les cases à cocher pour sélectionner un ou plusieurs rôles à assigner puis cliquez sur Ajouter.

   L'onglet est actualisé et affiche le formulaire Ajouter un rôle contenu.

7. Sélectionnez Obligatoire (ou Conditionnel ou Optionnel selon le cas) dans le menu déroulant Type d’association.

   Cliquez sur OK.

8. Répétez les quatre étapes précédentes pour ajouter des rôles conditionnels (le cas échéant). Répétez de nouveau les quatre étapes précédentes pour ajouter des rôles optionnels (le cas échéant).

9. Cliquez sur Enregistrer pour ouvrir la page Confirmer les changements de rôle.

   La page Confirmer les changements de rôle s'ouvre.

10. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés puis cliquez sur Enregistrer pour enregistrer vos assignations de rôle.

    Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

Pour supprimer un rôle assigné à un autre rôle

Identity Manager peut supprimer un rôle contenu dans un autre rôle sur approbation du propriétaire du rôle parent. Le rôle supprimé sera supprimé des utilisateurs lorsque ceux-ci recevront les mises à jour de rôles (pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs). Une fois le rôle supprimé, les utilisateurs perdent les habilitations qui y étaient associées.

• Pour toute information sur la suppression d'un rôle assigné à un ou plusieurs utilisateurs, reportez-vous à Pour supprimer un ou plusieurs rôles d'un utilisateur.

• Pour toute information sur la désactivation d'un rôle, reportez-vous à Pour activer et désactiver des rôles.

• Pour toute information sur la suppression d'un rôle d'Identity Manager, reportez-vous à Pour supprimer un rôle.

1. Recherchez le rôle professionnel ou informatique duquel vous voulez supprimer un rôle. Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Rôles sur la page Éditer un rôle.

4. Dans la section Rôles contenus, sélectionnez la case à cocher en regard du rôle à supprimer puis cliquez sur Supprimer. Pour supprimer plusieurs rôles, sélectionnez plusieurs cases à cocher.

   Le tableau est mis à jour de façon à indiquer les rôles contenus restants.

5. Cliquez sur Enregistrer.

   La page Confirmer les changements de rôle s'ouvre.

6. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

7. Cliquez sur Enregistrer pour terminer vos modifications.

Pour activer et désactiver des rôles

Les rôles peuvent être activés et désactivés sur l'onglet Lister les rôles. Le statut des rôles est affiché dans la colonne Statut. Cliquez sur l'en-tête de colonne Statut pour trier le tableau par statut de rôle.

Les rôles désactivés ne figurent pas sous l'onglet Rôles du formulaire Créer un/Éditer l'utilisateur et ne peuvent pas être assignés directement à des utilisateurs. Les rôles contenant des rôles désactivés peuvent être assignés à des utilisateurs, ce qui n'est pas le cas des rôles désactivés.

Les utilisateurs dont les rôles assignés sont par la suite désactivés ne perdent pas leurs habilitations. La désactivation d'un rôle bloque uniquement la création des futures assignations de rôle.

La désactivation et la réactivation d'un rôle nécessitent l'autorisation de son propriétaire.

Lors de l'activation ou de la désactivation d'un rôle ayant des utilisateurs assignés, Identity Manager vous invite à mettre à jour ces utilisateurs. Pour toute information, reportez-vous à Pour mettre à jour les rôles assignés aux utilisateurs.

1. Recherchez le rôle à supprimer en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Cliquez sur les cases à cocher en regard des rôles à activer ou désactiver.

3. Cliquez sur Activer ou Désactiver au bas du tableau Rôles.

   La page de confirmation Activer le rôle ou Désactiver le rôle s'ouvre.

4. Cliquez sur OK pour activer ou désactiver le rôle.

Pour supprimer un rôle

Cette section explique la procédure à suivre pour supprimer un rôle d'Identity Manager.

• Pour toute information sur la suppression d'un rôle assigné à un autre rôle, reportez-vous à Pour supprimer un rôle assigné à un autre rôle.

• Pour toute information sur la suppression d'un rôle assigné à un ou plusieurs utilisateurs, reportez-vous à Pour supprimer un ou plusieurs rôles d'un utilisateur.

Si vous supprimez un rôle actuellement assigné à un utilisateur, Identity Manager bloque la suppression lorsque vous tentez d'enregistrer le rôle. Vous devez annuler l'assignation de (ou réassigner) tous les utilisateurs associés à un rôle pour qu'Identity Manager puisse le supprimer. Vous devez également supprimer ce rôle des autres rôles dont il fait partie.

Identity Manager requiert l'approbation du propriétaire d'un rôle avant de supprimer ce dernier.

1. Recherchez le rôle à supprimer en suivant les instructions de la section Pour rechercher des rôles ou Pour afficher des rôles.

2. Sélectionnez la case à cocher en regard de chacun des rôles à supprimer.

3. Cliquez sur Supprimer.

   La page de confirmation Supprimer un rôle s'affiche.

4. Cliquez sur OK pour supprimer un ou plusieurs rôles.

Pour assigner une ressource ou un groupe de ressources à un rôle

Les exigences d'Identity Manager en matière d'assignation de ressources et groupes de ressources sont décrites dans les sections Définition des rôles et Pour un fonctionnement efficace des types de rôles . Vous devez prendre connaissance de ces informations avant d'assigner des ressources aux rôles.

Identity Manager peut modifier les assignations de ressources et de groupes de ressources d'un rôle sur approbation du propriétaire du rôle.

1. Recherchez le rôle professionnel ou informatique auquel vous voulez ajouter une ressource ou un groupe de ressources. Pour les instructions à suivre pour rechercher un rôle, reportez-vous à Pour rechercher des rôles ou à Pour afficher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

3. Cliquez sur l'onglet Ressources sur la page Éditer un rôle.

4. Pour assigner une ressource, sélectionnez-la dans la colonne Ressources disponibles et déplacez-la dans la colonne Ressources actuelles en cliquant sur les touches fléchées.

5. Si vous assignez plusieurs ressources, vous pouvez définir l'ordre dans lequel celles-ci seront mises à jour : cochez la case Mettre ressources à jour en ordre et utilisez les boutons + et - pour changer l'ordre des ressources dans la colonne Ressources actuelles.

6. Pour assigner un groupe de ressources à ce rôle, sélectionnez-le dans la colonne Groupes de ressources disponibles et déplacez-le dans la colonne Groupes de ressources actuels en cliquant sur les touches fléchées. Un groupe de ressources est un ensemble de ressources offrant un autre moyen de spécifier l'ordre dans lequel les comptes de ressources sont créés et mis à jour.

7. Pour définir les attributs de compte s'appliquant à ce rôle par ressource, cliquez sur Définir des valeurs d'attribut dans la section Ressources assignées. Pour plus d'informations, voir Pour afficher ou éditer les attributs des comptes de ressources.

8. Cliquez sur Enregistrer pour ouvrir la page Confirmer les changements de rôle.

   La page Confirmer les changements de rôle s'ouvre.

9. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

10. Cliquez sur Enregistrer pour enregistrer vos assignations de ressources.

Pour supprimer une ressource ou un groupe de ressources assigné à un rôle

Identity Manager peut supprimer une ressource ou un groupe de ressources d'un rôle sur approbation du propriétaire de ce rôle. La ressource supprimée sera supprimée des utilisateurs lorsque ceux-ci recevront les mises à jour de rôles (pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs). À la suppression de la ressource, les utilisateurs perdent leurs habilitations concernant cette ressource à moins que celle-ci ne soit aussi directement assignée aux utilisateurs.

1. Recherchez le rôle professionnel ou informatique dont vous voulez supprimer une ressource ou un groupe de ressources. Utilisez les instructions de la section Pour rechercher des rôles ou de Pour afficher des rôles pour rechercher des rôles.

2. Cliquez sur le rôle de votre choix pour l'ouvrir.

   La page Éditer un rôle s'ouvre.

3. Cliquez sur l'onglet Ressources sur la page Éditer un rôle.

4. Pour supprimer une ressource, sélectionnez-la dans la colonne Ressources actuelles et déplacez-la dans la colonne Ressources disponibles en cliquant sur les touches fléchées.

   Pour supprimer un groupe de ressources, sélectionnez-le dans la colonne Groupes de ressources actuels et déplacez-le dans la colonne Groupes de ressources disponibles en cliquant sur les touches fléchées.

5. Cliquez sur Enregistrer.

   La page Confirmer les changements de rôle s'ouvre.

6. Dans la section Mettre à jour les utilisateurs assignés, sélectionnez une option du menu Mettre à jour les utilisateurs assignés. Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

7. Cliquez sur Enregistrer pour terminer vos modifications.

Gestion des assignations de rôles aux utilisateurs

Les rôles sont assignés aux utilisateurs dans la zone Comptes d'Identity Manager.

Pour assigner des rôles à un utilisateur

Utilisez la procédure suivante pour assigner un ou plusieurs rôles à un ou plusieurs utilisateurs.

Les utilisateurs finaux peuvent aussi effectuer des demandes d'assignation de rôles pour eux-mêmes (à condition de se limiter à demander des rôles optionnels dont le rôle parent a déjà été assigné à l'utilisateur). Pour toute information sur les méthodes à la disposition des utilisateurs finaux pour demander des rôles disponibles, reportez-vous à Onglet Demandes dans la section Interface utilisateur final d'Identity Manager.

1. Dans l'interface administrateur, cliquez sur l'onglet Comptes.

   Le sous-onglet Lister les comptes s'ouvre.

2. Pour assigner un rôle à un utilisateur existant, procédez comme suit :

   1. Cliquez sur le nom de l'utilisateur dans la Liste des utilisateurs.

   2. Cliquez sur l'onglet Rôles.

   3. Cliquez sur Ajouter pour ajouter un ou plusieurs rôles au compte utilisateur.

      Par défaut, seuls les rôles professionnels peuvent être assignés directement aux utilisateurs. Si votre installation d'Identity Manager a été mise à niveau à partir d'une version antérieure à la 8.0, seuls les rôles professionnels peuvent être assignés directement aux utilisateurs.

   4. Dans le tableau des rôles, sélectionnez les rôles que vous voulez assigner à l'utilisateur puis cliquez sur OK.

      Pour trier le tableau par ordre alphabétique par Nom, Type ou Description, cliquez sur les en-têtes de colonne. Cliquez une seconde fois pour inverser l'ordre de tri. Pour filtrer la liste par type de rôle, effectuez une sélection dans le menu déroulant Actuel.

      Le tableau met à jour les assignations de rôle sélectionnées ainsi que toutes les assignations de rôle connectées aux assignations de rôles parents.

   5. Cliquez sur Ajouter pour afficher des assignations de rôles optionnels pouvant être également assignées à l'utilisateur.

      Sélectionnez les rôles optionnels à assigner à l'utilisateur et cliquez sur OK.

   6. (Facultatif) Dans la colonne Activé, sélectionnez la date à laquelle le rôle doit devenir actif. Si vous ne spécifiez pas de date, l'assignation de rôle deviendra active dès que l'approbateur de rôle désigné approuvera l'assignation de rôle.

      Pour rendre temporaire l'assignation de rôle, sélectionnez la date à laquelle le rôle devra devenir inactif dans la colonne Désactivé. La désactivation du rôle entrera en vigueur au début du jour sélectionné.

      Pour plus d'informations, voir Pour activer et désactiver des rôles à des dates spécifiques.

   7. Cliquez sur Enregistrer.

Pour activer et désactiver des rôles à des dates spécifiques

Lorsque vous assignez un rôle à un utilisateur, vous pouvez spécifier des dates d'activation et de désactivation. Les demandes d'élément de travail d'assignation de rôle sont créées au moment de l'assignation. Cependant, si une assignation de rôle n'est pas approuvée à la date d'activation programmée, le rôle ne sera pas assigné. Les activations et désactivations de rôle ont lieu peu après minuit (00h01) à la date sélectionnée.

Par défaut, seuls les rôles professionnels peuvent avoir des dates d'activation et de désactivation. Tous les autres types de rôles héritent des dates d'activation et de désactivation du rôle professionnel directement assigné à l'utilisateur. Identity Manager peut être configuré pour autoriser d'autres types de rôles à avoir des dates d'activation et de désactivation directement assignables. Pour les instructions, voir Configuration des types de rôles .

Pour éditer la planification du scannage des tâches différées

Le Scannage des tâches différées scanne les assignations de rôles aux utilisateurs et active et désactive les rôles en fonction des besoins. Par défaut, la tâche Scannage des tâches différées est exécutée toutes les heures.

1. Dans l'interface administrateur, cliquez sur Tâches du serveur.

2. Cliquez sur Gérer la planification dans le menu secondaire.

3. Dans la section Tâches disponibles pour planification, cliquez sur la définition de tâche Scannage des tâches différées.

   La page Créer un nouveau programme de tâches Scannage des tâches différées s'ouvre.

4. Remplissez le formulaire. Si vous avez besoin d'aide, consultez les i-Helps et l'aide en ligne.

   Pour spécifier la date et l'heure à laquelle une tâche doit être exécutée, utilisez dans Date de début le format mm/jj/aaaa hh:mm:ss. Par exemple, pour programmer une tâche devant démarrer à 19h00 le 29 septembre 2008, saisissez 09/29/2008 19:00:00.

   Dans le menu déroulant Options de résultats, sélectionnez renommer. Si vous sélectionnez attendre, les futures instances de cette tâche ne s'exécuteront pas tant que vous ne supprimerez pas les résultats précédents. Reportez-vous à l'aide en ligne pour plus d'informations sur les différents paramètres d'Options de résultats.

5. Cliquez sur Enregistrer pour enregistrer la tâche.

   La Figure 5–9 représente le formulaire de tâche programmée pour la tâche Scannage des tâches différées.

   Figure 5–9 Formulaire de la tâche Scannage des tâches différées

   
   

Pour mettre à jour les rôles assignés aux utilisateurs

Lorsque vous éditez les rôles assignés aux utilisateurs, vous pouvez choisir de mettre immédiatement à jour les utilisateurs avec les nouveaux changements de rôle ou de reporter la mise à jour pour qu'elle soit exécutée pendant une fenêtre de maintenance programmée.

Lorsque vous apportez des changements à un rôle, la page Confirmer les changements de rôle s'ouvre. La page Confirmer les changements de rôle s'affiche dans Pour mettre à jour les rôles assignés aux utilisateurs.

• La section Mettre à jour les utilisateurs assignés de cette page affiche le nombre d'utilisateurs auxquels le rôle est assigné en ce moment.

• Utilisez le menu Mettre à jour les utilisateurs assignés pour sélectionner si mettre à jour les utilisateurs immédiatement en y intégrant les changements de rôle (Mettre à jour), différer l'opération (Ne pas mettre à jour) ou encore sélectionner une tâche de mise à jour programmée personnalisée.

  • Étant donné que l'action Mettre à jour actualise instantanément les utilisateurs, évitez de choisir cette option si un grand nombre d'utilisateurs sont concernés. En effet, la mise à jour d'utilisateurs peut prendre du temps et consommer des ressources. Si de nombreux utilisateurs sont concernés par la mise à jour, il est préférable de programmer l'opération en dehors des heures de pointe.

  • Lorsque vous appliquez l'action Ne pas mettre à jour à un rôle, les utilisateurs assignés à ce rôle ne recevront pas les mises à jour tant qu'aucun administrateur ne visualisera le profil utilisateur de la personne ou que l'utilisateur ne sera pas mis à jour via la tâche Mise à jour des utilisateurs pour le rôle. Pour plus d'informations sur la programmation de la tâche de mise à jour des utilisateurs pour un rôle, voir la section suivante.

  • Si vous avez créé un programme de tâche de mise à jour des utilisateurs pour le rôle, choisissez-le dans le menu. La tâche sélectionnée met à jour les utilisateurs assignés au rôle conformément à la planification définie. Pour plus de détails, voir la section suivante.

    Pour mettre à jour les rôles assignés aux utilisateurs affiche la page Confirmer les changements de rôle. La section Mettre à jour les utilisateurs assignés affiche le nombre d'utilisateurs auxquels le rôle est assigné en ce moment. Le menu déroulant Mettre à jour les utilisateurs assignés a deux options par défaut : Ne pas mettre à jour et Mettre à jour. Vous pouvez aussi sélectionner une tâche dans la liste de tâches Mise à jour des utilisateurs pour le rôle programmées. Pour les instructions relatives à la création des tâches Mise à jour des utilisateurs pour le rôle programmées, voir Pour programmer une tâche Mise à jour des utilisateurs pour le rôle.

    

Pour mettre à jour manuellement les utilisateurs assignés

Vous pouvez mettre à jour les utilisateurs assignés aux rôles en sélectionnant un ou plusieurs rôles et en cliquant sur le bouton Mettre à jour les utilisateurs assignés. Cette procédure exécute une instance de la tâche Mettre à jour les utilisateurs assignés pour les rôles spécifiés.

1. Recherchez le ou les rôles dont les utilisateurs assignés doivent être mis à jour en suivant les instructions de la section Pour rechercher des rôles ou celles de la section Pour afficher des rôles.

2. Sélectionnez le ou les rôles en utilisant les cases à cocher.

3. Cliquez sur Mettre à jour les utilisateurs assignés.

   La page Mise à jour des utilisateurs assignés à des rôles (Figure 5–10) s'affiche.

4. Cliquez sur Lancer pour commencer la mise à jour.

5. Contrôlez le statut de la tâche Mettre à jour les utilisateurs assignés en cliquant sur Tâches du serveur dans le menu principal puis cliquez sur Toutes tâches dans le menu secondaire.

   Figure 5–10 Page Mise à jour des utilisateurs assignés à des rôles

   
   

Pour programmer une tâche Mise à jour des utilisateurs pour le rôle

---

Remarque –

Vous devez programmer une tâche Mise à jour des utilisateurs pour le rôle pour qu'elle s'exécute régulièrement.

---

Programmez la tâche Mise à jour des utilisateurs pour le rôle pour mettre à jour les utilisateurs avec des changements de rôle en cours comme suit :

1. Dans l'interface administrateur, cliquez sur Tâches du serveur.

2. Cliquez sur Gérer la planification dans le menu secondaire.

3. Dans la section Tâches disponibles pour planification, cliquez sur la définition de tâche Mise à jour des utilisateurs pour le rôle.

   La page « Créer un nouveau programme de tâches Mise à jour des utilisateurs pour le rôle » s'ouvre ou, si vous éditez une tâche existante, la page « Éditer un programme de tâches » (Figure 5–11).

4. Remplissez le formulaire. Si vous avez besoin d'aide, consultez les i-Helps et l'aide en ligne.

   Pour spécifier la date et l'heure à laquelle une tâche doit être exécutée, utilisez dans Date de début le format mm/jj/aaaa hh:mm:ss. Par exemple, pour programmer une tâche devant démarrer à 19h00 le 29 septembre 2008, saisissez 09/29/2008 19:00:00.

   Dans le menu déroulant Options de résultats, sélectionnez renommer. Si vous sélectionnez attendre, les futures instances de cette tâche ne s'exécuteront pas tant que vous ne supprimerez pas les résultats précédents. Reportez-vous à l'aide en ligne pour plus d'informations sur les différents paramètres d'Options de résultats.

5. Cliquez sur Enregistrer pour enregistrer la tâche.

   La Figure 5–11 représente le formulaire de tâche programmée pour la tâche Mise à jour des utilisateurs pour le rôle. Des rôles spécifiques peuvent être assignés à des tâches Mise à jour des utilisateurs pour le rôle spécifiques (comme indiqué dans la section Paramètres de tâche). Pour plus d’informations, voir Pour mettre à jour les rôles assignés aux utilisateurs.

   Figure 5–11 Formulaire de la tâche programmée Mise à jour des utilisateurs pour le rôle

   
   

Pour rechercher des utilisateurs assignés à un rôle spécifique

Vous pouvez rechercher les utilisateurs auxquels un rôle spécifique a été assigné.

1. Dans l'interface administrateur, cliquez sur Comptes.

2. Cliquez sur Rechercher des utilisateurs dans le menu secondaire. La page Rechercher des utilisateurs s'ouvre.

3. Localisez le type de recherche L’utilisateur s’est vu assigner [Sélectionnez le type de rôle] rôle(s).

4. Sélectionnez la case d'option et utilisez le menu déroulant Sélectionner un type de rôle pour filtrer la liste des rôles disponibles.

   Un second menu de rôles s'ouvre.

5. Sélectionnez un rôle.

6. Effacez les autres cases à cocher de type de recherche à moins que vous ne vouliez préciser davantage votre recherche.

7. Cliquez sur Rechercher.

   Figure 5–12 Recherche d'utilisateurs auxquels un rôle donné a été assigné en utilisant la page Rechercher des utilisateurs

   
   

Pour supprimer un ou plusieurs rôles d'un utilisateur

La page Éditer l'utilisateur permet de supprimer un ou plusieurs rôles d'un compte utilisateur. Seul un rôle assigné directement peut être supprimé. Les rôles assignés indirectement (c'est-à-dire les rôles conditionnels et/ou les rôles contenus obligatoires) sont supprimés lorsque le rôle parent est supprimé. Une autre façon de supprimer un rôle assigné indirectement d'un utilisateur consiste à supprimer le rôle du rôle parent (voir Pour supprimer un rôle assigné à un autre rôle).

Les utilisateurs finaux peuvent également demander la suppression des rôles assignés de leurs comptes utilisateur. Voir Onglet Demandes dans la section Interface utilisateur final d'Identity Manager.

Pour les informations sur la suppression d'un rôle en utilisant une date de désactivation programmée, reportez-vous à Pour activer et désactiver des rôles à des dates spécifiques.

1. Dans l'interface administrateur, cliquez sur l'onglet Comptes.

   Le sous-onglet Lister les comptes s'ouvre.

2. Cliquez sur l'utilisateur duquel vous voulez supprimer une ou plusieurs règles.

   La page Éditer l'utilisateur s'ouvre.

3. Cliquez sur l'onglet Rôles.

4. Dans le tableau des rôles, sélectionnez les rôles que vous voulez supprimer de l'utilisateur puis cliquez sur OK.

   Pour trier le tableau par ordre alphabétique par Nom, Type, Activé, Désactivé, Assigné par ou Statut, cliquez sur les en-têtes des colonnes. Cliquez une seconde fois pour inverser l'ordre de tri. Pour filtrer la liste par type de rôle, effectuez une sélection dans le menu déroulant Actuel.

   Le tableau affiche les assignations de rôles parents (les rôles qui peuvent être sélectionnés), ainsi que toutes les assignations de rôles qui sont connectées aux assignations de rôles parents (ces rôles ne peuvent pas être sélectionnés).

5. Cliquez sur Supprimer.

   Le tableau des rôles assignés est mis à jour de façon à indiquer les rôles assignés restants.

6. Cliquez sur Enregistrer.

   La page de mise à jour des comptes de ressources s'ouvre. Désélectionnez les comptes de ressources que vous ne voulez pas supprimer.

7. Cliquez sur Enregistrer pour enregistrer vos modifications.

Configuration des types de rôles

La fonctionnalité Type de rôle peut être modifiée en éditant l'objet configuration Rôle.

Pour configurer les types de rôles pour qu'ils soient directement assignables aux utilisateurs

Par défaut, seuls certains types de rôles peuvent être assignés directement aux utilisateurs. Pour changer ces paramètres, procédez comme suit.

---

Remarque –

Les pratiques recommandées suggèrent de n'assigner directement que des rôles professionnels aux utilisateurs. Pour plus d'informations, voir Utilisation des types de rôles pour concevoir des rôles flexibles.

---

Pour changer les types de rôles pouvant être assignés directement aux utilisateurs, procédez comme suit :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’

3. Spécifiez un jeu d'instructions pour mettre à jour votre configuration.

   Selon la façon suivant laquelle vous voulez mettre à jour votre configuration, choisissez l'un des éléments suivants :

   • Pour modifier un type de rôle pour qu'il puisse être directement assigné à un utilisateur, localisez l'attribut userAssignment suivant dans l'objet rôle :

     <Attribute name=’userAssignment’> <Object/> </Attribute>

     Et remplacez-le par ce qui suit :

     <Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Pour modifier un type de rôle pour qu'il ne puisse pas être assigné directement à un utilisateur, localisez l'attribut userAssignment dans l'objet rôle et supprimez l'attribut manual comme suit :

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Enregistrez l'objet Configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour activer des types de rôles pour des dates d'activation et de désactivation assignables

Par défaut, ce n'est que pour les rôles professionnels que des dates d'activation et de désactivation peuvent être activées et spécifiées lorsque les rôles sont assignés. Tous les autres types de rôles héritent des dates d'activation et de désactivation du rôle professionnel directement assigné à l'utilisateur.

---

Remarque –

Les pratiques recommandées suggèrent de n'assigner directement que des rôles professionnels aux utilisateurs. Pour plus d'informations, voir Utilisation des types de rôles pour concevoir des rôles flexibles.

Si vous décidez d'autoriser un autre type de rôle à être directement assignable aux utilisateurs (par exemple, le type Rôle informatique), vous pouvez aussi vouloir pouvoir assigner des dates d'activation et de désactivation pour ce type de rôles.

---

Suivez les étapes ci-après pour changer les types de rôles pouvant avoir des dates d'activation et de désactivation assignables :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle professionnel, localisez Object name=’BusinessRole’.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’.

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’.

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’.

3. Spécifiez un jeu d'instructions pour mettre à jour votre configuration.

   Selon la façon dont vous voulez mettre à jour votre configuration, choisissez l'un des éléments suivants :

   • Pour modifier un type de rôle pour qu'il puisse avoir des dates d'activation et de désactivation assignables, localisez l'attribut userAssignment suivant dans l'objet rôle :

     <Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute>

     Et remplacez-le par ce qui suit :

     <Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • Pour modifier un type de rôle pour qu'il ne puisse pas avoir de dates d'activation et de désactivation assignables, localisez l'attribut userAssignment dans l'objet rôle et supprimez les attributs activateDate et deactivateDate comme suit :

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour activer ou désactiver les éléments de travail d'approbation de changement et de notification de changement

Par défaut, les éléments de travail d'approbation de changement sont activés pour tous les types de rôles. Cela signifie qu'à chaque fois qu'un rôle est changé (qu'il s'agisse d'un rôle professionnel, informatique, d'une application ou de matériel), si ce rôle a un propriétaire, ce dernier doit approuver le changement pour qu'il soit effectué.

Pour plus d'informations sur les éléments de travail d'approbation de changement et de notification de changement, reportez-vous à Lancement d'éléments de travail d'approbation de changement et d'approbation.

Pour activer ou désactiver les éléments de travail d'approbation de changement et de notification de changement pour des types de rôles, suivez les étapes ci-après :

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'objet rôle correspondant au type de rôle à éditer.

   • Pour éditer le rôle professionnel, localisez Object name=’BusinessRole’.

   • Pour éditer le rôle informatique, localisez Object name=’ITRole’.

   • Pour éditer le rôle application, localisez Object name=’ApplicationRole’.

   • Pour éditer le rôle matériel, localisez Object name=’AssetRole’.

3. Localisez les attributs suivants dans l'élément <Object>, qui se trouve dans l'élément <Attribute name=’features’> :

   <Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/>

4. Définissez les valeurs d'attribut sur true ou false selon les besoins.

5. Si nécessaire, répétez les étapes 2 à 4 pour configurer un autre type de rôle.

6. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Pour configurer le nombre maximum de lignes pouvant être chargées par la page Lister les rôles

La page Lister les rôles de l'interface administrateur peut afficher un nombre de lignes maximum configurable. Le nombre par défaut est 500. Suivez les étapes de cette section pour changer ce nombre.

Pour changer le nombre maximum de lignes pouvant être chargées par la page Lister les rôles, suivez les étapes ci-après.

1. Ouvrez l'objet configuration Rôle pour l'éditer en suivant la procédure de la section Édition des objets Configuration Identity Manager.

2. Localisez l'attribut suivant et changez-en la valeur :

   <Attribute name=’roleListMaxRows’ value=’500’/>

3. Enregistrez l'objet configuration Rôle. Vous n'avez pas besoin de redémarrer vos serveurs d'application pour que les changements soient appliqués.

Synchronisation des rôles Identity Manager et des rôles de ressource

Vous pouvez synchroniser les rôles Identity Manager avec les rôles créés en natif sur une ressource. Une fois synchronisée, la ressource est assignée, par défaut, au rôle. Ceci s'applique aux rôles créés à l'aide de la tâche de synchronisation, ainsi qu'aux rôles Identity Manager existants qui correspondent à l'un des noms de rôle de ressource.

Pour synchroniser un rôle Identity Manager avec un rôle de ressource

1. Dans l'interface administrateur, cliquez sur Tâches du serveur dans le menu principal.

2. Cliquez sur Exécuter des tâches. La page Tâches disponibles s'ouvre.

3. Cliquez sur la tâche Synchroniser les rôles Identity System et les rôles de ressources.

4. Remplissez le formulaire. Cliquez sur Aide pour plus d'informations.

5. Cliquez sur Lancer.