Comprendre et gérer les ressources Identity Manager externes

Lisez cette section pour connaître les informations et les procédures qui vous aideront à configurer les ressources Identity Manager.

Définition des ressources

Les ressources d'Identity Manager stockent des informations sur la procédure de connexion à une ressource ou un système sur lequel sont créés les comptes. Les ressources d'Identity Manager définissent les attributs pertinents pour une ressource et aident à spécifier la façon dont les informations des ressources s'affichent dans Identity Manager.

Identity Manager fournit des ressources pour une vaste gamme de types de ressources, notamment pour :

• les gestionnaires de sécurité de mainframe,

• les bases de données,

• les services d'annuaires,

• les systèmes d'exploitation,

• les systèmes ERP (Enterprise Resource Planning - planification des ressources),

• les plates-formes de messagerie.

Zone Ressources de l'interface

Identity Manager affiche les informations relatives aux ressources existantes sur la page Ressources.

Pour accéder aux ressources, sélectionnez Ressources sur la barre de menu.

Dans la liste des ressources, les ressources sont regroupées par type. Chaque type de ressources est représenté par l'icône d'un dossier. Pour afficher les ressources actuellement définies, cliquez sur l'indicateur à proximité du dossier. Un nouveau clic sur cet indicateur permet de réduire l'affichage.

Lorsque vous développez le dossier d'un type de ressources, ce dernier est mis dynamiquement à jour et affiche le nombre d'objets Ressource qu'il contient (s'il s'agit d'un type de ressources prenant en charge les groupes).

Certaines ressources ont des objets supplémentaires que vous pouvez gérer, notamment des :

• organisations,

• unités organisationnelles,

• groupes,

• rôles.

Sélectionnez un objet depuis la liste des ressources puis effectuez des sélections à partir de l'une de ces listes d'options pour lancer une tâche de gestion :

• Actions de ressource. Permet d'effectuer toute une gamme d'actions sur les ressources, notamment éditer, activer la synchronisation, renommer et supprimer ; et de travailler avec des objets Ressource et gérer la connexion aux ressources.

• Actions de l’objet de ressource. Permet d'éditer, créer, supprimer, renommer, enregistrer sous et rechercher des objets Ressource.

• Actions du type de ressources. Permet d'éditer des stratégies de ressource, travailler avec l'index des comptes et configurer des ressources gérées.

Lorsque vous créez ou éditez une ressource, Identity Manager lance le flux de travaux ManageResource. Ce flux de travaux enregistre la ressource nouvelle ou mise à jour dans le référentiel et vous permet d'insérer des approbations ou d'autres actions avant la création ou l'enregistrement de la ressource.

Gestion de la liste des ressources

Pour pouvoir créer une nouvelle ressource, vous devez indiquer à Identity Manager les types de ressources que vous souhaitez pouvoir gérer. Pour activer les ressources et en créer de personnalisées, utilisez la page Configurer les ressources gérées.

Pour ouvrir la page Configurer les ressources gérées

Utilisez les étapes suivantes pour ouvrir la page Configurer les ressources gérées.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur l'onglet Ressources.

   Utilisez l'une des méthodes suivantes pour ouvrir la page Configurer les ressources gérées :

   • Localisez la liste déroulante Actions du type de ressources et choisissez Configurer les ressources gérées.

   • Cliquez sur l'onglet Configurer les types.

   La page Configurer les ressources gérées s'ouvre.

   Cette page présente trois sections :

   • Connecteurs de ressources. Cette section liste les types de connecteurs de ressources, la version des connecteurs et leur serveur.

   • Adaptateurs de ressources. Cette section liste les types de ressources couramment répandus dans les environnements d'entreprise de grande taille. La version de l'adaptateur Identity Manager qui assure la connexion avec la ressource est indiquée dans la colonne Version.

   • Adaptateurs de ressources personnalisés. Cette section est utilisée pour ajouter des ressources personnalisées dans la liste Ressources.

Pour activer des types de ressources

Vous pouvez activer un type de ressources depuis la page Configurer les ressources gérées en procédant comme indiqué ci-après.

1. Si ce n'est pas déjà fait, ouvrez la page Configurer les ressources gérées (Gestion de la liste des ressources).

2. Dans la section Ressources, sélectionnez la case de la colonne Gérés ? correspondant au type de ressources à activer.

   Pour activer tous les types de ressources listés, sélectionnez Gérer toutes les ressources.

3. Cliquez sur Enregistrer au bas de cette page.

   La ressource est ajoutée à la liste Ressources.

Pour ajouter une ressource personnalisée

Vous pouvez ajouter une ressource personnalisée depuis la page Configurer les ressources gérées en procédant comme indiqué ci-après.

1. Si ce n'est pas déjà fait, ouvrez la page Configurer les ressources gérées (Gestion de la liste des ressources).

2. Dans la section Adaptateurs de ressources personnalisés, cliquez sur Ajouter un adaptateur de ressources personnalisé pour ajouter une ligne dans le tableau.

3. Saisissez le classpath de ressource pour la ressource ou saisissez votre ressource développée personnalisée. Pour les adaptateurs fournis avec Identity Manager, voir le Sun Identity Manager 8.1 Resources Reference pour le classpath complet.

4. Cliquez sur Enregistrer pour ajouter la ressource à la liste Ressources.

Pour créer une ressource

Une fois un type de ressources activé, vous pouvez créer une instance de cette ressource dans Identity Manager. Pour créer une ressource, utilisez l'assistant Ressource.

L'assistant Ressource vous guidera dans la configuration des éléments suivants :

• Paramètres propres à la ressource. Vous pouvez modifier ces valeurs depuis l'interface d'Identity Manager lorsque vous créez une instance spécifique de ce type de ressource.

• Attributs de compte. Sont définis dans la carte schématique de la ressource. Ces éléments déterminent la façon dont les attributs d'utilisateur Identity Manager mappent vers des attributs sur la ressource.

• DN de compte ou modèle d'identité. Inclut la syntaxe des noms de compte pour les utilisateurs, laquelle revêt une importance particulière pour les espaces de noms hiérarchiques.

• Paramètres d'Identity Manager pour la ressource. Paramètre les stratégies, établit les approbateurs de ressource et configure l'accès de l'organisation à la ressource.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur l'onglet Ressources. Vérifiez que le sous-onglet Lister les ressources est sélectionné.

3. Localisez la liste déroulante Actions du type de ressources et choisissez Nouvelle ressource.

   La page Nouvelle ressource s'ouvre.

4. Sélectionnez un type de ressource dans la liste déroulante (si le type de ressource que vous recherchez ne figure pas dans la liste, vous devez l'activer, reportez-vous à Gestion de la liste des ressources).

5. Cliquez sur Nouveau pour afficher la page de bienvenue de l'assistant Ressource.

6. Cliquez sur Suivant pour commencer à définir la ressource.

   Les étapes et les pages de l'assistant Ressource s'affichent dans l'ordre suivant :

   • Paramètres de ressource. Configurez les paramètres propres à la ressource qui contrôlent l'authentification et le comportement de l'adaptateur de ressources. Saisissez les paramètres puis cliquez sur Vérifier la connexion pour vous assurer que la connexion est valide. À la confirmation, cliquez sur Suivant pour paramétrer les attributs de compte.

     La figure suivante illustre la page Paramètres de ressource pour les ressources Solaris. Les champs de formulaire de cette page diffèrent selon les ressources.

     

   • Attributs de compte (carte schématique). Mappe les attributs de compte Identity Manager vers des attributs de compte de ressource. Pour plus d'informations sur les attributs de compte de ressource, reportez-vous à Pour afficher ou éditer les attributs des comptes de ressources.

     • Pour ajouter un attribut, cliquez sur Ajouter un attribut.

     • Pour supprimer un ou plusieurs attributs, sélectionnez les cases en regard de ce ou ces attributs puis cliquez sur Supprimer Les attributs sélectionnés.

       La figure suivante illustre la page Attributs de compte de l'assistant Ressource.

       

     ---

     Remarque –

     Si vous voulez exporter des attributs vers le tableau EXT_RESOURCEACCOUNT_ACCTATTR, vous devez contrôler la case Vérification informatique de chaque attribut à exporter.

     ---

     Lorsque vous avez terminé, cliquez sur Suivant pour configurer le modèle d'identité.

   • Modèle d'identité. Définir la syntaxe des noms de comptes pour les utilisateurs. Cette fonctionnalité est particulièrement importante pour les espaces de noms hiérarchiques.

     • Pour ajouter un attribut au modèle, sélectionnez-le dans la liste Insérer attribut.

     • Pour supprimer un attribut, mettez-le en surbrillance dans la chaîne et utilisez la touche Suppression du clavier. Supprimez le nom de l'attribut, ainsi que les signes dollar ($) précédant et suivant.

     • Type de comptes. Identity Manager offre la possibilité d'assigner plusieurs comptes de ressources à un même utilisateur. Par exemple, un utilisateur peut avoir besoin d'un compte de niveau administrateur et d'un compte utilisateur classique pour une ressource particulière. Pour assurer la prise en charge de plusieurs types de comptes sur une même ressource, cochez la case Type de compte.

       ---

       Remarque –

       Vous ne pouvez pas activer l'option Type de compte si vous n'avez pas créé dans le Générateur d'identités une ou plusieurs règles identifiées par le sous-type IdentityRule. Les ID de compte devant être distincts, les différents types de comptes doivent générer des ID de compte différents pour un utilisateur donné. Les règles de génération d'identités spécifient la procédure de création de ces ID de compte uniques.

       ---

       Des exemples de règles d'identité sont disponibles dans le fichier sample/identityRules.xml.

       Vous ne pouvez pas supprimer un type de compte tant qu'il est encore référencé par d'autres objets au sein d'Identity Manager. Vous ne pouvez pas non plus renommer un type de comptes.

       Pour plus d'informations sur le remplissage du formulaire Type de compte, reportez-vous à l'aide en ligne d'Identity Manager. Pour plus d'informations sur la création de plusieurs comptes de ressources pour un utilisateur, reportez-vous à Création de comptes de ressource multiples pour un utilisateur.

       

   • Paramètres du système d’identité. Cette option définit les paramètres d'Identity Manager pour la ressource, configuration de la relance et des stratégies comprises, comme indiqué dans Pour créer une ressource.

     

7. Utilisez Suivant et Précédent pour vous déplacer d'une page à l'autre. Une fois toutes les sélections terminées, cliquez sur Enregistrer pour enregistrer la ressource et revenir à la page de la liste.

Gestion des ressources

Cette section décrit la gestion des ressources existantes.

Les rubriques sont organisées comme suit :

• Pour afficher la liste des ressources

• Pour éditer une ressource en utilisant l'assistant Ressource

• Pour éditer une ressource en utilisant les commandes de la liste des ressources

Pour afficher la liste des ressources

Vous pouvez afficher les ressources existantes à partir de la Liste des ressources.

1. Connectez-vous à l'interface administrateur.

2. Cliquez sur Ressources dans le menu principal.

   La Liste des ressources s'affiche dans le sous-onglet Lister les ressources.

Pour éditer une ressource en utilisant l'assistant Ressource

Utilisez l'assistant Ressource pour éditer les paramètres de ressource, les attributs de compte et les paramètres du système d'identité. Vous pouvez aussi spécifier le modèle d'identité à utiliser pour les utilisateurs créés sur la ressource.

1. Dans l'interface administrateur d'Identity Manager, cliquez sur Ressources dans le menu principal.

   La Liste des ressources s'affiche dans le sous-onglet Lister les ressources.

2. Sélectionnez la ressource à éditer.

3. Dans le menu déroulant Actions de ressource, sélectionnez l'assistant Ressource (sous Éditer).

   L'assistant Ressource s'ouvre en mode Édition pour la ressource sélectionnée.

Pour éditer une ressource en utilisant les commandes de la liste des ressources

En plus de l'assistant Éditer une ressource, vous pouvez utiliser les commandes de la Liste des ressources pour effectuer tout un éventail d'actions d'édition sur une ressource.

1. Choisissez une ou plusieurs options dans la Liste des ressources.

   Ces options sont les suivantes :

   • Supprimer des ressources. Sélectionnez une ou plusieurs ressources, puis sélectionnez Supprimer dans la liste Actions de ressource. Vous pouvez sélectionner des ressources de plusieurs types en même temps. Vous ne pouvez pas supprimer une ressource si des rôles ou des groupes de ressources y sont associés.

   • Recherche d'objets de ressource. Sélectionnez une ressource puis Rechercher l’objet de ressource dans la liste Actions de l’objet de ressource pour trouver un objet Ressource (par exemple une organisation, une unité organisationnelle, un groupe ou une personne) en fonction de ses caractéristiques.

   • Gestion des objets Ressource. Vous pouvez créer de nouveaux objets pour certains types de ressources. Sélectionnez la ressource puis sélectionnez Créer un objet ressource dans la liste Actions de l'objet de ressource.

   • Renommer des ressources. Sélectionnez une ressource puis sélectionnez Renommer dans la liste Actions de ressource. Saisissez un nouveau nom dans la case d'entrée qui s'affiche et cliquez sur Renommer.

   • Cloner des ressources. Sélectionnez une ressource puis sélectionnez Enregistrer sous dans la liste Actions de ressource. Saisissez un nouveau nom dans la case d'entrée qui s'affiche. La ressource clonée s'affiche dans la liste des ressources avec le nom sélectionné.

   • Effectuer des opérations en masse sur les ressources. Spécifiez une liste de ressources et d'actions à appliquer (depuis une entrée au format CSV) à toutes les ressources de la liste. Lancez ensuite les opérations en masse pour engager une tâche d'opération en masse en arrière-plan.

2. Enregistrez vos modifications.

Pour afficher ou éditer les attributs des comptes de ressources

Les attributs de compte de ressources (ou carte schématique) fournissent une méthode abstraite permettant de faire référence aux attributs sur les ressources gérées. La carte schématique permet de spécifier la façon Identity Manager référencie les attributs (côté gauche de la carte schématique) et celle dont les noms sont mappés vers les noms d'attribut sur la ressource proprement dite (côté droit de la carte schématique). Vous pourrez ensuite faire référence au nom d'attribut Identity Manager dans les formulaires ou les définitions de flux de travaux et référencer efficacement l'attribut sur la ressource, elle-même.

Voici un exemple de mappage entre des attributs Identity Manager et ceux d'une ressource LDAP :

Attribut Identity Manager		Attribut de ressource LDAP
firstname,	<-->	givenName
lastname	<-->	sn

Toute référence à l'attribut Identity Manager, firstname, est en fait une référence à l'attribut LDAP, givenName quand une action est entreprise sur cette ressource.

Dans le cadre de la gestion de ressources multiples depuis Identity Manager, mapper un attribut de compte Identity Manager commun à plusieurs attributs de ressource peut simplifier considérablement la gestion des ressources. Par exemple, l'attribut Identity Manager fullname peut être mappé vers l'attribut de ressource Active Directory displayName. Parallèlement, sur une ressource LDAP, le même attribut Identity Manager fullname peut être mappé vers l'attribut LDAP cn. Résultat, l'administrateur n'a besoin d'indiquer qu'une seule fois la valeur fullname. À l'enregistrement de l'utilisateur, la valeur fullname est transférée aux ressources qui ont des noms d'attribut différents.

En configurant une carte schématique sur la page Attributs de compte de l'assistant Ressource, vous pouvez effectuer ce qui suit :

• définir les noms d'attribut et les types de données pour les attributs provenant de ressources gérées ;

• limiter les attributs de ressource à ceux strictement nécessaires pour votre entreprise ou organisation ;

• créer des noms d'attribut Identity Manager qui seront utilisés avec des ressources multiples ;

• identifier les attributs utilisateur requis et les types d'attributs.

Pour afficher ou éditer les attributs de compte de ressource, procédez comme suit :

1. Dans l'interface administrateur, cliquez sur Ressources.

2. Sélectionnez la ressource pour laquelle vous voulez afficher ou éditer les attributs de compte.

3. Dans la liste Actions de ressource, cliquez sur Éditer un schéma de ressources.

   La page d'édition des attributs de compte de ressources s'ouvre.

   La colonne de gauche de la carte schématique (intitulée Attribut utilisateur Identity System) contient les noms des attributs de compte Identity Manager qui sont référencés par les formulaires utilisés dans les interfaces administrateur et utilisateur d'Identity Manager. La colonne de droite de la carte schématique (intitulée Attribut d’utilisateur de ressources) contient les noms des attributs provenant de la source externe.

Groupes de ressources

Utilisez la zone Ressources pour gérer des groupes de ressources ce qui vous permettra de mettre à jour vos groupes de ressources dans un ordre spécifique. En intégrant et en classant les ressources dans un groupe et en assignant ce groupe à un utilisateur, vous déterminez l'ordre dans lequel les ressources de cet utilisateur sont créées, mises à jour et supprimées.

Les activités sont effectuées sur chacune des ressources à tour de rôle. Si une action échoue sur une ressource, les ressources suivantes ne sont pas mises à jour. Ce type de relation revêt une importance particulière pour les ressources liées.

Par exemple, toute ressource Exchange Server 2007 repose sur un compte Windows Active Directory existant. Ce compte doit exister pour que le compte Exchange puisse être créé. En créant un groupe de ressources avec (dans l'ordre) une ressource Windows Active Directory et une ressource Exchange Server 2007, l'ordre sera correct quand vous créerez des utilisateurs. Inversement, cet ordre assure que les ressources seront supprimées dans le bon ordre quand vous supprimerez les utilisateurs.

Sélectionnez Ressources, puis sélectionnez Lister les groupes de ressources pour afficher la liste des groupes de ressources actuellement définis. Depuis cette page, cliquez sur Nouveau pour définir un groupe de ressources. Lorsque vous définissez un groupe de ressources, une zone de sélection vous permet de choisir puis de classer les ressources choisies, ainsi que de sélectionner les organisations pour lesquelles le groupe de ressources sera disponible.

Stratégie de ressource globale

Cette section explique comment éditer la Stratégie de ressource globale et définir les valeurs de délai d'attente pour une ressource.

Pour éditer les attributs de stratégie

Vous pouvez éditer les attributs de stratégie de ressource depuis la page Éditer les attributs de stratégie de ressources globales.

1. Ouvrez la page Éditer les attributs de stratégie de ressources globales et éditez les attributs comme requis.

   Ces attributs sont les suivants :

   • Délai d’attente de capture par défaut. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque les résultats d'une commande ou d'un script sont importants et seront analysés par l'adaptateur.

     La valeur par défaut de ce paramètre est 30000 (30 secondes).

   • Intervalle par défaut entre les opérations. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur sous forme de script doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque les résultats d'une commande ou d'un script ne sont pas examinés par l'adaptateur.

   • Wait for Ignore Case. Saisissez une valeur, en millisecondes, qui indique la durée maximum pendant laquelle l'adaptateur doit attendre l'invite de la ligne de commande avant la temporisation. Cette valeur s'applique uniquement aux adaptateurs GenericScriptResourceAdapter ou ShellScriptSourceBase. Utilisez ce paramètre lorsque la casse (majuscules ou minuscules) n'a pas d'importance.

   • Stratégie de mot de passe de compte de ressources. Le cas échéant, sélectionnez une stratégie de mot de passe de compte de ressources à appliquer à la ressource sélectionnée. Aucune est la sélection par défaut.

   • Règle de comptes de ressources exclus. Le cas échéant, sélectionnez une règle qui gouverne les comptes de ressources exclus. Aucune est la sélection par défaut.

2. Vous devez cliquer sur Enregistrer pour enregistrer les modifications apportées à la stratégie.

Pour définir des valeurs de délai d'attente supplémentaires

Vous pouvez modifier la propriété maxWaitMilliseconds en éditant le fichier Waveset.properties. Cette propriété, maxWaitMilliseconds, contrôle la fréquence à laquelle le délai d'attente d'une opération sera contrôlé. Si vous ne spécifiez pas cette valeur, le système utilise la valeur par défaut : 50.

1. Ajoutez la ligne suivante au fichier Waveset.properties :

   com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

2. Enregistrez le fichier.

Actions de ressource en masse

Vous pouvez effectuer des opérations en masse sur les ressources en utilisant un fichier au format CSV ou en créant ou spécifiant les données à appliquer pour l'opération.

La Figure 5–13 représente la page de lancement d'opérations en masse avec une action de création.

Figure 5–13 Lancement d'actions de ressource en masse

Les options disponibles pour l'opération de ressource en masse dépendent de l'Action sélectionnée pour l'opération. Vous pouvez spécifier une unique action à appliquer à l'opération ou sélectionner De la liste des actions pour spécifier plusieurs actions.

• Actions. Pour spécifier une unique action, sélectionnez l'une des options suivantes : Créer, Cloner, Mettre à jour, Supprimer, Changement du mot de passe ou Réinitialisation du mot de passe.

  Si vous sélectionnez une unique action, vous vous verrez proposer des options permettant de spécifier la ressource concernée par l'action. Pour une action Créer, vous spécifierez le type de la ressource.

  Si vous spécifiez De la liste des actions, utilisez la zone Prendre liste des actions de pour spécifier soit le fichier contenant les actions à utiliser soit les actions de votre choix dans la zone d'entrée.

  ---

  Remarque –

  Les actions que vous saisissez dans la liste de la zone d'entrée ou dans le fichier doivent suivre le format CSV.

  ---

• Maximum de résultats par page. Utilisez cette option pour spécifier le nombre maximum de résultats d'action en masse qui s'afficheront sur chaque page de résultats de tâche. La valeur par défaut est 200.

Cliquez sur Lancer pour démarrer l'opération qui s'exécutera en arrière-plan.