Chapitre 6 Administration

Ce chapitre fournit des informations et des procédures permettant d'effectuer tout un éventail de tâches de niveau administratif dans le système Identity Manager notamment créer et gérer des administrateurs et organisations Identity Manager. Il détaille également l'utilisation des rôles, des capacités et des rôles administratifs dans Identity Manager.

Les informations qu'il contient sont organisées en rubriques comme suit :

• Comprendre l'administration d'Identity Manager ;

• Administration déléguée ;

• Création et gestion des administrateurs ;

• Comprendre les organisations d'Identity Manager ;

• Création d'organisations ;

• Comprendre les jonctions d'annuaires et les organisations virtuelles ;

• Comprendre et gérer les capacités ;

• Comprendre et gérer les rôles admin ;

• L'organisation Utilisateur final ;

• Gestion des éléments de travail ;

• Approbation des comptes utilisateur.

Comprendre l'administration d'Identity Manager

Les administrateurs Identity Manager sont des utilisateurs disposant de privilèges Identity Manager étendus.

Les administrateurs Identity Manager gèrent les éléments suivants :

• les comptes utilisateur,

• les objets système tels que les rôles et les ressources,

• les organisations.

Contrairement aux utilisateurs, les administrateurs se voient assigner dans Identity Manager des capacités et des organisations contrôlées définies de la manière suivante :

• Capacités. Ensemble de permissions accordant des droits d'accès aux utilisateurs, organisations, rôles et ressources Identity Manager.

• Organisations contrôlées. Une fois assigné pour contrôler une organisation, l'administrateur peut gérer les objets se trouvant à l'intérieur de cette organisation ainsi que toutes les organisations situées sous celle-ci dans la hiérarchie.

Administration déléguée

Dans la plupart des entreprises, les employés qui effectuent des tâches administratives assument des responsabilités spécifiques. Par conséquent, les tâches de gestion de comptes que ces administrateurs peuvent effectuer sont d'une étendue limitée.

Par exemple, un administrateur peut être responsable de la seule création des comptes utilisateur Identity Manager. Compte tenu de son domaine, ou étendue, de responsabilité limité, cet administrateur n'aura probablement pas besoin d'informations spécifiques sur les ressources sur lesquelles les comptes utilisateur sont créés ni sur les rôles et organisations existant dans le système.

Identity Manager peut également limiter les administrateurs à des tâches spécifiques au sein d'un domaine ou d'une étendue spécifique défini.

Identity Manager prend en charge la séparation des responsabilités et un modèle d'administration déléguée suivant les points ci-après :

• Les capacités assignées limitent les administrateurs à des obligations professionnelles spécifiques.

• Les organisations contrôlées assignées limitent les administrateurs au seul contrôle d'organisations spécifiques (et des objets que celles-ci contiennent).

• Les vues filtrées des page Créer un utilisateur et Éditer l'utilisateur empêchent les administrateurs d'afficher des informations non pertinentes dans le cadre de leurs fonctions.

Vous pouvez spécifier des délégations pour un utilisateur depuis la page Créer un utilisateur lorsque vous configurez un nouveau compte utilisateur ou éditez un compte utilisateur existant.

Vous pouvez aussi déléguer des éléments de travail, par exemple des demandes d'approbation, depuis l'onglet Éléments de travail. Pour plus d'informations sur les délégations, voir Délégation des éléments de travail.

Création et gestion des administrateurs

Cette section se compose des rubriques suivantes :

• Pour créer un administrateur ;

• Filtrage des vues administrateur ;

• Changement des mots de passe administrateur ;

• Demande d'actions de la part de l'administrateur ;

• Changement des réponses aux questions d’authentification ;

• Personnalisation de l'affichage du nom de l'administrateur dans l'interface administrateur.

Pour créer un administrateur

Pour créer un administrateur, vous devez assigner une ou plusieurs capacités à un utilisateur et désigner les organisations auxquelles ces capacités s'appliqueront.

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

   La page Liste des utilisateurs s'ouvre.

2. Pour conférer à un utilisateur existant des privilèges administratifs, cliquez sur son nom d'utilisateur (la page Éditer l'utilisateur s'ouvre) puis sur l'onglet Sécurité.

   Pour créer un nouveau compte utilisateur, voir la section Création d'utilisateurs et utilisation des comptes utilisateur.

3. Spécifiez les attributs pour établir le contrôle administratif.

   Les attributs disponibles sont les suivants :

   • Capacités. Sélectionnez une ou plusieurs capacités à assigner à cet administrateur. Ces informations sont obligatoires. Pour plus d'informations, voir Comprendre et gérer les capacités.

   • Organisations contrôlées. Sélectionnez une ou plusieurs organisations à assigner à cet administrateur. L'administrateur contrôlera les objets de l'organisation assignée et ceux de toutes les organisations situées sous celle-ci dans la hiérarchie. Ces informations sont obligatoires. Pour plus d'informations, voir Comprendre les organisations d'Identity Manager.

   • Formulaire utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour créer et éditer des utilisateurs Identity Manager (si cette capacité est assignée). Si vous n’assignez pas directement de formulaire utilisateur, l’administrateur héritera de celui assigné à l'organisation dont il est membre. Le formulaire sélectionné ici remplace tout autre formulaire choisi dans l'organisation de cet administrateur.

   • Transmettre demandes d’approbation à. Permet de sélectionner un utilisateur auquel toutes les demandes d'approbation actuellement en attente seront transmises. Ce paramètre relatif à l'administrateur peut aussi être défini sur la page Approbations.

   • Déléguer les éléments de travail à. Si disponible, cette option permet de spécifier des délégations pour ce compte utilisateur. Vous pouvez spécifier le responsable de l'administrateur, un ou plusieurs utilisateurs sélectionnés ou utiliser une règle d’approbateurs délégués.

     

Filtrage des vues administrateur

En assignant des formulaires utilisateur aux organisations et administrateurs, vous établissez des vues administrateur spécifiques des informations des utilisateurs.

L'accès aux informations des utilisateurs se définit à deux niveaux :

• Organisation. Lorsque vous créez une organisation, vous assignez le formulaire utilisateur que tous les administrateurs de cette organisation utiliseront pour créer et éditer des utilisateurs Identity Manager. Tout formulaire défini au niveau administrateur remplace le formulaire défini ici. Si aucun formulaire n'est sélectionné pour l'administrateur ou l'organisation, Identity Manager hérite du formulaire sélectionné pour l'organisation parent. Si aucun formulaire n'est défini dans celle-ci, Identity Manager utilise le formulaire par défaut défini dans la configuration système.

• Administrateur. Lorsque vous assignez des capacités administratives à un utilisateur, vous pouvez assigner directement un formulaire utilisateur à l'administrateur. Si vous n'assignez pas de formulaire, l'administrateur hérite du formulaire assigné à son organisation (ou en l'absence de ce dernier du formulaire par défaut défini dans la configuration système).

Comprendre et gérer les capacités décrit les capacités Identity Manager intégrées que vous pouvez assigner.

Changement des mots de passe administrateur

Les mots de passe administrateur peuvent être changés par un administrateur auquel des capacités de changement de mots de passe administratifs ont été assignée ou par le propriétaire de l'administrateur.

Les administrateurs peuvent changer le mot de passe d'un autre administrateur en utilisant les formulaires suivants :

• Formulaire Changer le mot de passe de l’utilisateur. Vous pouvez ouvrir ce formulaire des deux manières suivantes :

  • Cliquez sur Comptes dans le menu. La Liste des utilisateurs s'ouvre. Sélectionnez un administrateur puis, dans la liste Actions de l'utilisateur, sélectionnez Changement du mot de passe. La page Changer le mot de passe de l’utilisateur s'ouvre.

  • Cliquez sur Mots de passe dans le menu. La page Changer le mot de passe de l’utilisateur s'ouvre.

• Formulaire utilisateur à onglets. Cliquez sur Comptes dans le menu. La Liste des utilisateurs s'ouvre. Sélectionnez un administrateur puis, dans la liste Actions de l'utilisateur, sélectionnez Éditer. La page Éditer l'utilisateur (Formulaire utilisateur à onglets) s'ouvre. Sur l'onglet Identité du formulaire, saisissez un nouveau mot de passe dans les champs Mot de passe et Confirmez le mot de passe.

Un administrateur peut changer son propre mot de passe depuis la zone Mots de passe. Cliquez sur Mots de passe dans le menu puis sur Changer mon mot de passe.

---

Remarque –

La stratégie de compte Identity Manager appliquée au compte détermine les limites en matière de mots de passe telles que l'expiration du mot de passe, les options de réinitialisation et les sélections de notification. Des limites de mot de passe supplémentaires peuvent être fixées par les stratégies de mot de passe définies sur les ressources de l'administrateur.

---

Demande d'actions de la part de l'administrateur

Identity Manager peut être configuré pour inviter les administrateurs à saisir un mot de passe avant de traiter certains changements de compte. Si l'authentification échoue, les changements de compte en question sont annulés.

Les administrateurs peuvent utiliser trois formulaires pour changer les mots de passe des utilisateurs : le formulaire Utilisateur à onglets, le formulaire Changer le mot de passe de l’utilisateur et le formulaire Réinitialiser le mot de passe de l’utilisateur. Pour assurer que les administrateurs seront obligés de saisir leur mot de passe pour que Identity Manager puisse traiter les changements de compte utilisateur, veillez à mettre à jour l'ensemble de ces trois formulaires :

Pour activer l'option de demande de mot de passe pour les formulaires utilisateur à onglets

Pour imposer une demande de mot de passe sur le formulaire Utilisateur à onglets, procédez comme suit :

1. Dans l'interface administrateur, ouvrez la page de débogage d'Identity Manager (Page de débogage d'Identity Manager) en saisissant l'URL suivant dans votre navigateur (vous devez avoir la capacité Déboguer pour pouvoir ouvrir cette page).

   http://<HôteServeurApp>:< Port>/idm/debug/session.jsp

   La page System Settings (Paramètres du système, page de débogage d'Identity Manager) s'ouvre.

2. Recherchez le bouton List Objects (Lister les objets), sélectionnez UserForm dans le menu déroulant puis cliquez sur le bouton ListObjects.

   La page List Objects of type (Lister les objets de type) : UserForm s'ouvre.

3. Localisez la copie du formulaire Utilisateur à onglets que vous avez en production et cliquez sur Edit (Éditer). Le formulaire Utilisateur à onglets (Tabbed User Form) distribué avec Identity Manager est un modèle et ne devrait pas être modifié.

4. Ajoutez le snippet de code suivant dans l'élément <Form> :

   <Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties>

   La valeur de la propriété est une liste pouvant contenir un ou plusieurs des noms d'attributs de vue utilisateur suivants :

   • applications,

   • adminRoles,

   • assignedLhPolicy,

   • capabilities,

   • controlledOrganizations,

   • email,

   • firstname,

   • fullname,

   • lastname,

   • organization,

   • password,

   • resources,

   • roles.

5. Enregistrez vos modifications.

Pour activer l'option de demande de mot de passe pour les formulaires Changer le mot de passe de l’utilisateur et Réinitialiser le mot de passe de l’utilisateur

Pour imposer une demande de mot de passe pour les formulaires Changer le mot de passe de l’utilisateur et Réinitialiser le mot de passe de l’utilisateur, procédez comme suit :

1. Dans l'interface administrateur, ouvrez la page de débogage d'Identity Manager (Page de débogage d'Identity Manager) en saisissant l'URL suivant dans votre navigateur (vous devez avoir la capacité Déboguer pour pouvoir ouvrir cette page).

   http://<HôteServeurApp>:< Port>/idm/debug/session.jsp

   La page System Settings (Paramètres du système, page Déboguer Identity Manager) s'ouvre.

2. Recherchez le bouton List Objects (Lister les objets), sélectionnez UserForm dans le menu déroulant puis cliquez sur le bouton ListObjects.

   La page List Objects of type (Lister les objets de type) : UserForm s'ouvre.

3. Localisez la copie du formulaire Changer le mot de passe de l’utilisateur que vous avez en production et cliquez sur edit (Éditer). Le formulaire Changer le mot de passe de l’utilisateur distribué avec Identity Manager est un modèle et ne devrait pas être modifié.

4. Localisez l'élément <Form> puis allez à l'élément <Properties>.

5. Ajoutez la ligne suivante à l'intérieur de l'élément <Properties> et enregistrez vos changements.

   <Property name=’RequiresChallenge’ value=’true’/>

6. Répétez les étapes 3 à 5 à l'exception de l'édition de la copie du formulaire Utilisateur à onglets que vous avez en production.

Changement des réponses aux questions d’authentification

Utilisez la zone Mots de passe pour modifier les réponses que vous avez définies pour les questions d'authentification de compte. Dans la barre de menu, sélectionnez Mots de passe puis Changer mes réponses.

Pour plus d'informations sur l'authentification, voir la section Authentification des utilisateurs au Chapitre 3Gestion des utilisateurs et des comptes.

Personnalisation de l'affichage du nom de l'administrateur dans l'interface administrateur

Vous pouvez afficher un administrateur Identity Manager par l'un de ses attributs (par exemple son e-mail email ou son nom complet fullname) au lieu de le faire par son ID de compte dans certaines pages et zones de l'interface administrateur d'Identity Manager.

Par exemple, vous pouvez afficher les administrateurs Identity Manager par attribut dans les zones suivantes :

• Éditer l'utilisateur (liste de sélection pour faire suivre les approbations) ;

• le tableau Rôle ;

• Créer/Éditer un rôle ;

• Créer/Éditer une ressource ;

• Créer/Éditer une organisation/jonction d'annuaires ;

• Approbations.

Pour configurer Identity Manager pour utiliser un nom à afficher, ajoutez ce qui suit à l'objet UserUIConfig :

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

Par exemple, pour utiliser l'attribut email (e-mail) en tant que nom à afficher, ajoutez le nom d'attribut suivant à UserUIconfig :

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

Comprendre les organisations d'Identity Manager

Les organisations permettent de :

• gérer de manière logique et sécurisée les comptes utilisateur et les administrateurs ;

• limiter l'accès aux ressources, applications, rôles et autres objets Identity Manager.

Créer des organisations et assigner des utilisateurs à divers emplacements dans une hiérarchie organisationnelle permet de planter le décor pour l'administration déléguée. Les organisations qui contiennent une ou plusieurs autres organisations sont des organisations parentes.

Tous les utilisateurs Identity Manager (administrateurs compris) sont assignés statiquement à une organisation. Les utilisateurs peuvent aussi être assignés dynamiquement à des organisations supplémentaires.

Les administrateurs Identity Manager sont de plus assignés pour contrôler des organisations.

Création d'organisations

Pour créer une organisation

Vous créez des organisations dans la zone Comptes d'Identity Manager.

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

   La page Liste des utilisateurs s'ouvre.

2. Dans le menu Nouvelles actions, sélectionnez Nouvelle organisation.

   ---

   Astuce –

   Pour créer une organisation dans un emplacement spécifique de la hiérarchie organisationnelle, sélectionnez une organisation dans la liste puis sélectionnez Nouvelle organisation dans le menu Nouvelles actions.

   ---

   La Figure 6–1 illustre la page Créer une organisation.

   Figure 6–1 Page Créer une organisation

   
   

Assignation d'utilisateurs aux organisations

Tout utilisateur est un membre statique d'une organisation et peut être un membre dynamique de plusieurs organisations.

Vous définissez l'appartenance à une organisation en utilisant l'une des méthodes suivantes :

• Assignation directe (statique). Sélectionnez l'onglet de formulaire Identité sur la page Créer un utilisateur ou la page Éditer l'utilisateur pour assigner directement les utilisateurs à une organisation. Tout utilisateur doit être assigné directement à une organisation.

• Assignation gérée par règle (dynamique). Utilisez une Règle Membres utilisateurs assignée à une organisation pour assigner des utilisateurs à cette organisation. La règle, lorsqu'elle est évaluée, retourne un ensemble d'utilisateurs membres.

  Identity Manager évalue la Règle Membres utilisateurs au moment de :

  • lister les utilisateurs d'une organisation ;

  • rechercher des utilisateurs (par le biais de la page Rechercher des utilisateurs), notamment rechercher des utilisateurs se trouvant dans une organisation avec une Règle Membres utilisateurs ;

  • demander l'accès à un utilisateur, à condition que l'administrateur courant contrôle une organisation avec une Règle Membres utilisateurs.

---

Remarque –

Pour plus d'informations sur la création et l'utilisation des règles dans Identity Manager, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

---

Sélectionnez une Règle Membres utilisateurs dans le menu Règle Membres utilisateurs sur la page Créer une organisation. La figure suivante donne un exemple de règle Membres utilisateurs.

L'exemple suivant illustre la syntaxe d'un exemple de Règle Membres utilisateurs utilisé pour contrôler de manière dynamique l'appartenance d'un utilisateur à une organisation.

---

Remarque –

Avant de créer une Règle Membres utilisateurs, vous devez savoir ce qui suit :

• Pour qu'une règle figure dans la case d'option Règle Membres utilisateurs, son authType doit être défini de la manière suivante : authType=’UserMembersRule’.

• Le contexte est la session Identity Manager actuellement authentifiée de l'utilisateur.

• La variable définie (defvar) Team players obtient le nom distinctif (dn) de tout utilisateur membre de l'unité organisationnelle (organization unit, o.u.) Windows Active Directory Pro Ball Team.

• Pour chaque utilisateur trouvé, la logique append concatènera le dn de l'utilisateur membre de l'o.u. Pro Ball Team au nom de la ressource Identity Manager en utilisant le signe deux-points comme préfixe (par exemple :smith-AD).

• Les résultats retournés seront une liste de dn concaténés avec le nom de la ressource Identity Manager, de format dn :smith-AD.

---

---

Exemple 6–1 Exemple de règle Membres utilisateurs

<Rule name=’Get Team Players’ authType=’UserMembersRule’>
  <defvar name=’Team players’>
    <block>
      <defvar name=’player names’>
        <list/>
      </defvar>
  <dolist name=’users’>
    <invoke class=’com.waveset.ui.FormUtil’ name=’getResourceObjects’>
      <ref>context</ref>
      <s>User</s>
      <s>singleton-AD</s>
      <map>
        <s>searchContext</s>
        <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>
        <s>searchScope</s>
        <s>subtree</s>
        <s>searchAttrsToGet</s>
        <list>
          <s>distinguishedName</s> 
        </list> 
      </map> 
    </invoke> 
    <append name=’player names’> 
    <concat> 
      <get> 
        <ref>users</ref>
        <s>distinguishedName</s>
      </get>
        <s>:sampson-AD</s>
    </concat>
    </append> 
  </dolist> 
    <ref>player names</ref>
  </block>
   </defvar> 
    <ref>Team players</ref>
</Rule> 

---

---

Remarque –

Vous pouvez configurer plusieurs propriétés dans Waveset. properties pour contrôler le cache de la liste Utilisateurs membres gérée par règle, qui peut avoir un effet négatif sur la mémoire et les performances. Pour toute information, voir Tracing Rule-Driven Members Caches du Sun Identity Manager 8.1 System Administrator’s Guide.

---

Assignation du contrôle des organisations

Assignez le contrôle administratif d'une ou plusieurs organisations depuis la page Créer un utilisateur ou Éditer l'utilisateur. Sélectionnez l'onglet de formulaire Sécurité pour afficher le champ Organisations contrôlées.

Vous pouvez aussi assigner le contrôle administratif des organisations en assignant un ou plusieurs rôles admin, depuis le champ Rôles admin.

Comprendre les jonctions d'annuaires et les organisations virtuelles

Une jonction d’annuaires est un ensemble d'organisations reliées hiérarchiquement qui reflète le jeu de conteneurs hiérarchiques courant d'une ressource d'annuaire. Une ressources d'annuaire est une ressource qui emploie un espace de noms hiérarchique à travers l'utilisation de conteneurs hiérarchiques. Les serveurs LDAP et les ressources de Windows Active Directory sont des exemples de ressources d'annuaire.

Toute organisation contenue dans une jonction d'annuaires est une organisation virtuelle. L'organisation virtuelle supérieure d'une jonction d'annuaires est un miroir du conteneur représentant le contexte de base défini dans la ressource. Les organisations virtuelles restantes d'une jonction d'annuaires sont les enfants directs ou indirects de l'organisation virtuelle supérieure et reflètent également l'un des conteneurs de ressources d'annuaire enfants du conteneur de contexte de base de la ressource définie. Cette structure est illustrée à la Figure 6–2.

Figure 6–2 Organisation virtuelle d'Identity Manager

Les jonctions d'annuaires peuvent être collées en tout point de la structure organisationnelle Identity Manager existante. Elles ne peuvent toutefois pas être collées dans ou sous une jonction d'annuaires existante.

Une fois une jonction d'annuaires ajoutée à l'arborescence organisationnelle d'Identity Manager, vous pouvez créer ou supprimer des organisations virtuelles dans le contexte de cette jonction d'annuaires. De plus, vous pouvez actualiser l'ensemble d'organisations virtuelles englobant une jonction d'annuaires à tout moment pour assurer que celles-ci restent synchronisées avec les conteneurs de ressources d'annuaire. Vous ne pouvez pas créer une organisation non virtuelle au sein d'une jonction d'annuaire.

Vous pouvez rendre les objets Identity Manager (tels que les utilisateurs, ressources et rôles) membres d'une organisation virtuelle et les mettre à disposition de celle-ci de la même façon qu'une organisation Identity Manager.

Configuration des jonctions d’annuaires

Cette section décrit comment configurer une jonction d'annuaires.

Pour configurer une jonction d'annuaires

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

   La page Liste des utilisateurs s'ouvre.

2. Sélectionnez une organisation Identity Manager dans la liste Comptes.

   L'organisation que vous sélectionnez deviendra l'organisation parent de l'organisation virtuelle que vous configurez.

3. Dans le menu Nouvelles actions, sélectionnez Nouvelle jonction d’annuaires.

   Identity Manager ouvre la page Créer une jonction d’annuaires.

4. Utilisez les options de la page Créer une jonction d’annuaires pour configurer l'organisation virtuelle.

   Ces options sont les suivantes :

   • Organisation parent. Ce champ contient l'organisation que vous avez sélectionnée dans la liste Comptes ; vous pouvez cependant sélectionner une autre organisation parent dans la liste.

   • Ressource de répertoires. Sélectionnez la ressource de répertoires qui gère l'annuaire existant dont vous voulez refléter la structure dans l'organisation virtuelle.

   • Formulaire utilisateur. Sélectionnez un formulaire utilisateur qui s'appliquera aux administrateurs de cette organisation.

   • Stratégie de compte Identity Manager. Sélectionnez une stratégie ou sélectionnez l'option par défaut (Hérité) pour hériter de la stratégie de l'organisation parent.

   • Approbateurs. Sélectionnez les administrateurs qui peuvent approuver les demandes relatives à cette organisation.

Actualisation des organisations virtuelles

Ce processus actualise et resynchronise l'organisation virtuelle avec la ressource d'annuaire associée, en partant de l'organisation. Sélectionnez l'organisation virtuelle dans la liste puis sélectionnez Actualiser l’organisation dans la liste Actions d’organisation.

Suppression des organisations virtuelles

Pour supprimer des organisations virtuelles, vous disposez des deux options suivantes :

• Supprimer l'organisation Identity Manager uniquement. Supprime uniquement la jonction d'annuaires Identity Manager.

• Supprimer l'organisation Identity Manager et le conteneur de ressources. Supprime la jonction d'annuaires Identity Manager et l'organisation correspondante sur la ressource native.

Choisissez une option, puis cliquez sur Supprimer.

Comprendre et gérer les capacités

Dans le système Identity Manager, les capacités sont des groupes de droits. Elles représentent des responsabilités administratives professionnelles telles que la réinitialisations de mots de passe ou l'administration des comptes utilisateur. Chaque utilisateur administratif Identity Manager se voit assigner une ou plusieurs capacités, qui fournissent un ensemble de privilèges sans compromettre la protection des données.

Il est inutile d'assigner des capacités à tous les utilisateurs Identity Manager. Seuls les utilisateurs qui seront amenés à effectuer une ou plusieurs actions administratives par le biais d'Identity Manager ont besoin de capacités. Par exemple, aucune capacité assignée n'est nécessaire pour permettre à un utilisateur de changer son mot de passe, mais il en faut une pour changer le mot de passe d'un autre utilisateur.

Les capacités qui vous sont assignées déterminent les zones de l'interface administrateur d'Identity Manager auxquelles vous pouvez accéder.

Tous les utilisateurs administratifs Identity Manager peuvent accéder aux zones suivantes d'Identity Manager :

• aux onglets Accueil et Aide,

• à l'onglet Mots de passe (sous-onglets Changer mon mot de passe et Changer mes réponses uniquement),

• à la zone Rapports (limitée aux types liés aux responsabilités spécifiques de l'administrateur).

---

Remarque –

La liste des capacités fonctionnelles et basées sur des tâches par défaut d'Identity Manager (définitions incluses) figure à l'Annexe DDéfinitions des capacités. Cette annexe répertorie également les onglets et sous-onglets auxquels chaque capacité basée sur des tâches permet d'accéder.

---

Catégories de capacités

Identity Manager définit des capacités des deux types suivants :

• Capacités basées sur des tâches. Ces capacités sont des capacités au plus simple niveau de tâche.

• Capacités fonctionnelles. Les capacités fonctionnelles contiennent une ou plusieurs autres capacités fonctionnelles ou basées sur des tâches.

Les capacités intégrées (fournies avec le système Identity Manager) sont protégées, ce qui signifie que vous ne pouvez pas les éditer. Vous pouvez cependant les utiliser au sein des capacités que vous créez.

Les capacités protégées (intégrées) sont signalées dans la liste par une icône en forme de clé rouge (ou une clé et un dossier rouges). Les capacités que vous créez et pouvez éditer sont signalées dans la liste des capacités par une icône en forme de clé verte (ou une clé et un dossier verts).

Travailler avec les capacités

Cette section explique la création, l'édition, l'assignation et le renommage des capacités. Ces tâches sont effectuées en utilisant la page Capacités.

Affichage de la page Capacités

La page Capacités figure sous l'onglet Sécurité.

Pour ouvrir la page Capacités

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu supérieur.

2. Cliquez sur Capacités dans le menu secondaire.

   La page Capacité contenant une liste de capacités Identity Manager s'ouvre.

Création d'une capacité

Suivez la procédure ci-après pour créer une capacité. Pour cloner une capacité, voir Sauvegarde et renommage d'une capacité.

Pour créer une capacité

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu supérieur.

2. Cliquez sur Capacités dans le menu secondaire.

   La page Capacité contenant une liste de capacités Identity Manager s'ouvre.

3. Cliquez sur Nouveau.

   La page Créer une capacité s'ouvre.

4. Remplissez le formulaire comme suit :

   1. Donnez un nom à la nouvelle capacité.

   2. Dans la section Capacités, utilisez les touches fléchées pour déplacer les capacités à assigner aux utilisateurs dans la zone Capacités assignées.

   3. Dans la zone Assignataires, sélectionnez le ou les utilisateurs qui seront autorisés à assigner cette capacité à d'autres utilisateurs.

      • Si aucun utilisateur n'est sélectionné, le seul utilisateur qui sera en mesure d'assigner cette capacité sera celui qui l'a créée.

      • Si l’utilisateur qui a créé la capacité n’est pas associé à la capacité Assigner la capacité utilisateur, vous devez sélectionner un ou plusieurs utilisateurs pour qu’au moins un utilisateur puisse assigner cette capacité à un autre utilisateur.

   4. Dans la zone Organisations, sélectionnez une ou plusieurs organisations pour lesquelles cette capacité sera disponible.

   5. Cliquez sur Enregistrer.

      ---

      Remarque –

      Le jeu d’utilisateurs dans lequel vous pouvez effectuer sélectionner des assignataires se compose des personnes disposant de la capacité d’assignation.

      ---

Édition d'une capacité

Vous pouvez éditer une capacité non protégée.

Pour éditer une capacité non protégée

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu supérieur.

2. Cliquez sur Capacités dans le menu secondaire.

   Page Capacité contenant une liste de capacités Identity Manager s'ouvre.

3. Cliquez avec le bouton droit sur la capacité de votre choix dans la liste puis sélectionnez Éditer. La page Éditer une capacité s'ouvre.

4. Apportez vos modifications puis cliquez sur Enregistrer.

   Vous ne pouvez pas éditer les capacités intégrées. Vous pouvez cependant les enregistrer sous un autre nom pour vous créer une capacité propre. Vous pouvez aussi utiliser les capacités intégrées dans les capacités que vous créez.

Sauvegarde et renommage d'une capacité

Vous pouvez créer une nouvelle capacité en enregistrant une capacité existante sous un nouveau nom. On parle alors de clonage de capacité.

Pour cloner une capacité

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu supérieur.

2. Cliquez sur Capacités dans le menu secondaire.

   La page Capacité contenant une liste de capacités Identity Manager s'ouvre.

3. Cliquez avec le bouton droit sur la capacité de votre choix dans la liste puis sélectionnez Enregistrer sous.

   Une boîte de dialogue s'ouvre vous demandant de saisir un nom pour la nouvelle capacité.

4. Saisissez un nom puis cliquez sur OK.

   Vous pouvez maintenant éditer la nouvelle capacité.

Assignation de capacités aux utilisateurs

Utilisez la page Créer un utilisateur (Création d'utilisateurs et utilisation des comptes utilisateur) ou la page Éditer l'utilisateur (Édition des utilisateurs) pour assigner des capacités aux utilisateurs. Vous pouvez aussi assigner des capacités à un utilisateur en lui assignant un rôle d'administrateur que vous configurerez par le biais de la zone Sécurité de l'interface. Pour plus d'informations, voir Comprendre et gérer les rôles admin.

---

Remarque –

La liste des capacités fonctionnelles et basées sur des tâches par défaut d'Identity Manager (définitions incluses) figure à l'Annexe DDéfinitions des capacités. Cette annexe répertorie également les onglets et sous-onglets auxquels les différentes capacités basées sur des tâches permettent d'accéder.

---

Comprendre et gérer les rôles admin

Les Rôles admin définissent deux éléments : un ensemble de capacités et une étendue de contrôle (le terme étendue de contrôle fait référence à une ou plusieurs organisations gérées). Une fois définis, les rôles admin peuvent être assignés à un ou plusieurs administrateurs.

---

Remarque –

Ne confondez pas les rôles avec les rôles admin. Les rôles sont utilisés pour gérer l'accès des utilisateurs finaux aux ressources externes tandis que les rôles admin sont principalement utilisés pour gérer l'accès des administrateurs Identity Manager à des objets Identity Manager.

Les informations présentées dans cette section sont limitées aux rôles admin. Pour plus d'informations sur les rôles, voir Comprendre et gérer les rôles.

---

Vous pouvez assigner plusieurs rôles admin à un même administrateur. Cela permet à un administrateur d'avoir un ensemble de capacités donné dans une étendue de contrôle, et un ensemble de capacités différent dans une autre étendue de contrôle. Par exemple, un rôle admin peut accorder à l'administrateur le droit de créer et d'éditer des utilisateurs pour les organisations contrôlées spécifiées dans ce rôle admin. Un second rôle admin assigné au même administrateur, cependant, pourra n'accorder que le droit « change users’ passwords » (Changer les mots de passe des utilisateurs) dans un ensemble distinct d'organisation contrôlées tel que défini dans ce rôle admin.

Les rôles admin permettent de réutiliser les associations de capacités et d'étendue de contrôle. Les rôles admin simplifient également la gestion des privilèges d'administrateur avec un grand nombre d'utilisateurs. Au lieu d'assigner directement des capacités et des organisations contrôlées aux utilisateurs individuels, il convient d'utiliser les rôles admin pour accorder des privilèges d'administrateur.

L'assignation de capacités ou d'organisations (ou de ces deux éléments) à un rôle admin peut être directe ou dynamique (indirecte).

• Assignation directe. En utilisant cette méthode, les capacités et/ou les organisations contrôlées sont explicitement assignées au rôle admin. Par exemple, un rôle admin peut se voir assigner la capacité Administrateur de rapports d’utilisateur et l'organisation contrôlée Haut.

• Assignation dynamique (indirecte). Cette méthode utilise des règles pour assigner des capacités et des organisations contrôlées. Les règles sont évaluées à chaque fois qu'un administrateur auquel le rôle admin est assigné se connecte. Une fois que l'administrateur a été authentifié, les règles déterminent de manière dynamique l'ensemble de capacités et/ou organisations contrôlées qui est assigné.

  Par exemple, lorsqu'un utilisateur se connecte :

  • Si son titre d'utilisateur Active Directory (AD) est manager (responsable), la règle de capacités pourra retourner Administrateur de comptes pour la capacité à assigner.

  • Si son service utilisateur Active Directory (AD) est marketing, la règle d'organisations contrôlées pourra retourner Marketing pour l'organisation contrôlée à assigner.

L'assignation dynamique des rôles admin aux utilisateurs peut être activée ou désactivée pour chaque interface de connexion (par exemple, pour l'interface utilisateur ou l'interface administrateur). Pour cela, définissez l'attribut de configuration système suivant sur true ou false:

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface

La valeur par défaut pour toutes les interfaces est false.

Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

Règles de rôle admin

Identity Manager fournit des exemples de règles pouvant être utilisés pour les rôles admin. Ces règles sont disponibles dans le répertoire d'installation d'Identity Manager dans sample/adminRoleRules.xml.

Le Tableau 6–1 indique les noms de ces règles et l'authType à spécifier pour chacune.

Tableau 6–1 Exemples de règles de rôle admin

Nom de la règle	authType
Règle d’organisations contrôlées	ControlledOrganizationsRule
Règle de capacités	CapabilitiesRule
Règle du rôle admin d’assignation d’utilisateur	UserIsAssignedAdminRoleRule

---

Remarque –

Pour toute information sur les exemples de règles fournis pour les rôles admin de fournisseur de services, voir Administration déléguée pour les utilisateurs de Service Provider au Chapitre 17Administration de Service Provider.

---

Le rôle admin utilisateur

Identity Manager inclut un rôle admin intégré, nommé User Admin Role (Rôle admin utilisateur). Par défaut, ce rôle n'a ni capacités ni organisations contrôlées assignées. Il ne peut pas être supprimé. Ce rôle admin est implicitement assigné à tous les utilisateurs (utilisateurs finaux et administrateurs) au moment de la connexion, quelle que soit l'interface depuis laquelle ils se connectent (par exemple, l'interface utilisateur ou administrateur, la console ou encore Identity Manager IDE).

---

Remarque –

Pour toute information sur la création d'un rôle admin pour les utilisateurs de fournisseur de service, voir Administration déléguée pour les utilisateurs de Service Provider au Chapitre 17Administration de Service Provider.

---

Vous pouvez éditer le User Admin Role par le biais de l'interface administrateur (sélectionnez Sécurité puis Rôles admin).

Étant donné que les capacités ou les organisations contrôlées qui sont assignées de manière statique à travers ce rôle admin sont assignées à tous les utilisateurs, il est recommandé d'effectuer l'assignation des capacités et organisations contrôlées au moyen de règles. Avec cette solution des utilisateurs différents auront des capacités différentes ou n'en auront aucune. Par ailleurs, l'étendue des assignations sera calculée en fonction de facteurs variés, notamment les postes occupés par les utilisateurs, les services dans lesquels ils travaillent, leur titre, qui peuvent être déterminés par le biais d'interrogations dans le contexte des règles.

Le rôle admin utilisateur ne désapprouve pas ni ne remplace l'utilisation de l'indicateur authorized=true utilisé dans les flux de travaux. Cet indicateur reste approprié dans les cas où l'utilisateur ne doit pas avoir accès aux objets auxquels le flux de travail accède, sauf pendant l'exécution du flux de travail. Essentiellement, ceci permet à l'utilisateur de passer dans un mode exécuter en tant que superutilisateur.

Il peut cependant y avoir des cas dans lesquels un utilisateur doit avoir un accès spécifique à un ou plusieurs objets à l'extérieur (et potentiellement dans les) des flux de travaux. Dans de tels cas, l'utilisation de règles pour assigner dynamiquement les capacités et les organisations contrôlées permet de préciser les autorisations concernant ces objets.

Création et édition de rôles admin

Pour créer ou éditer un rôle admin, la capacité Administrateur de rôles admin doit vous être assignée.

Pour accéder aux rôles admin dans l'interface administrateur, cliquez sur Sécurité puis sur l'onglet Rôles admin. La page de liste Rôles admin vous permet de créer, éditer et supprimer des rôles admin pour les utilisateurs Identity Manager et pour les utilisateurs de fournisseur de services.

Pour éditer un rôle admin existant, cliquez sur un nom dans la liste. Cliquez sur Nouveau pour créer un rôle admin. Identity Manager affiche les options Créer un rôle Admin (illustrées à la Figure 6–3). La vue Créer un rôle Admin présente quatre onglets qui permettent de spécifier les attributs généraux, les capacités et l'étendue du nouveau rôle admin, ainsi que les assignations de rôle aux utilisateurs.

Figure 6–3 Page Créer un rôle Admin : onglet Général

Onglet Général

L'onglet Général de la vue Créer un rôle Admin ou Éditer un rôle Admin permet de spécifier les caractéristiques de base suivantes pour le rôle admin :

• Nom. Nom unique de ce rôle admin.

  Par exemple, vous pouvez créer le Rôle admin Finance pour les utilisateurs qui auront des capacités administratives pour les utilisateurs dans le service (ou l'organisation) Finance.

• Type. Sélectionnez au choix Objets Identity ou Utilisateurs de Service Provider pour le type. Ce champ est obligatoire.

  Sélectionnez Objets Identity si vous créez un rôle admin pour des utilisateurs (ou objets) Identity Manager. Sélectionnez Utilisateurs de Service Provider si vous créez ce rôle admin pour accorder l'accès aux utilisateurs de fournisseur de services.

---

Remarque –

Pour toute information sur la création d'un rôle admin pour accorder l'accès aux utilisateurs Service Provider, voir Administration déléguée pour les utilisateurs de Service Provider au Chapitre 17Administration de Service Provider.

---

• Assignataires. Sélectionnez ou recherchez les utilisateurs qui seront autorisés à assigner ce rôle admin à d'autres utilisateurs. L'ensemble d'utilisateurs à partir duquel vous pouvez effectuer des sélections comprend les personnes auxquelles la capacité d'assignation a été assignée.

  Si aucun utilisateur n’est sélectionné, le seul utilisateur en mesure d’assigner ce rôle admin sera celui l’aura créé. Si l'utilisateur qui a créé le rôle admin ne dispose pas de la capacité d’assignation de capacité utilisateur, vous devez sélectionner un ou plusieurs utilisateurs en tant qu'assignataires pour assurer qu'au moins l’un d’eux puisse assigner le rôle admin à un autre utilisateur.

• Organisations. Sélectionnez une ou plusieurs organisations pour lesquelles ce rôle admin sera disponible. Ce champ est obligatoire.

  L’administrateur peut gérer des objets dans l’organisation assignée et dans n’importe quelle organisation située sous cette organisation dans la hiérarchie.

Portée du contrôle

Identity Manager permet de contrôler les utilisateurs qui rentrent dans la portée ou étendue de contrôle d'un utilisateur final.

Utilisez l'onglet Portée du contrôle (illustré à la Figure 6–4) pour spécifier les organisations que les membres de cette organisation peuvent gérer, ou spécifier la règle qui détermine les organisations qui seront gérées par les utilisateurs du rôle admin et pour sélectionner le formulaire utilisateur pour le rôle admin.

Figure 6–4 Créer un rôle Admin : Portée du contrôle

• Organisations contrôlées. Sélectionnez dans la liste Organisations disponibles les organisations que ce rôle admin a le droit de gérer.

• Règle d’organisations contrôlées. Sélectionnez une règle qui sera évaluée, à la connexion de l'utilisateur, pour que zéro ou plusieurs organisations soient contrôlées par un utilisateur auquel ce rôle admin aura été assigné. La règle sélectionnée doit être du type authType ControlledOrganizationsRule. Par défaut, aucune règle d'organisation contrôlée n'est sélectionnée.

  Vous pouvez utiliser la règle EndUserControlledOrganizations pour définir la logique nécessaire pour assurer que le bon ensemble d'utilisateurs soit disponible pour la délégation, en fonction de vos besoins organisationnels.

  Si vous voulez que la liste d'étendue d'utilisateurs soit la même pour les administrateurs, que ceux-ci soient connectés à l'interface administrateur ou à l'interface utilisateur final, vous devez changer la règle EndUserControlledOrganizations.

  Modifiez la règle pour d'abord contrôler si l'utilisateur s'authentifiant est un administrateur puis configurez ce qui suit :

  • Si l'utilisateur n'est pas un administrateur, la règle doit retourner l'ensemble d'organisations qui devrait être contrôlé par un utilisateur final, par exemple sa propre organisation (par exemple, waveset.organization).

  • Si l'utilisateur est un administrateur, la règle ne doit retourner aucune organisation de sorte que l'utilisateur contrôle uniquement les organisations qui lui sont assignées en sa qualité d'administrateur.

    Par exemple :

    <Rule protectedFromDelete=’true’ authType=’EndUserControlledOrganizationsRule’ id=’#ID#End User Controlled Organizations’ name=’End User Controlled Organizations’> <Comments> If the user logging in is not an Idm administrator, then return the organization that they are a member of. Otherwise, return null. </Comments> <cond> <and> <isnull><ref>waveset.adminRoles</ref></isnull> <isnull><ref>waveset.capabilities</ref></isnull> <isnull><ref>waveset.controlledOrganizations</ref></isnull> </and> <ref>waveset.organization</ref> </cond> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule>

  • Si l'utilisateur ou l'administrateur appartient à une organisation dynamique, ils ne sont pas retournés dans les résultats de recherche.

    Vous pouvez cependant créer une règle qui retourne les utilisateurs d'organisations dynamiques. Modifiez l'exemple de règle suivant en ajoutant un nouvel attribut à la définition du schéma utilisateur Identity Manager qui est défini dans l'objet Idm Schema Configuration (Configuration du schéma IDM), importez cet objet puis redémarrez le serveur Identity Manager.

    <IDMAttributeConfigurations> ... <IDMAttributeConfiguration name='region' syntax='STRING' description='region of the country'/> </IDMAttributeConfigurations> <IDMObjectClassConfigurations> ... <IDMObjectClassConfiguration name='User' extends='Principal' description='User description'> ... <IDMObjectClassAttributeConfiguration name='region' queryable='true'/> </IDMObjectClassConfiguration> </IDMObjectClassConfigurations> Next, import the following Identity Manager objects: <!-- User member rule that will include all users whose region attribute matches the region organization display name --> <Rule name="Region User Member Rule" authType="UserMembersRule"> <Description>User Member Rule</Description> <list> <new class='com.waveset.object.AttributeCondition'> <s>region</s> <s>equals</s> <ref>userMemberRuleOrganizationDisplayName</ref> </new> </list> <MemberObjectGroups> <ObjectRef type="ObjectGroup" id="#ID#All" name="All"/> </MemberObjectGroups> </Rule> <!-- North & South Region organizations with user member rule assigned --> <ObjectGroup id='#ID#North Region' name='North Region' displayName='North Region'> <UserMembersRule cacheTimeout='3600000'> <ObjectRef type='Rule' name='Region User Member Rule'/> </UserMembersRule> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <ObjectGroup id='#ID#South Region' name='South Region' displayName='South Region'> <UserMembersRule cacheTimeout='3600000'> <ObjectRef type='Rule' name='Region User Member Rule'/> </UserMembersRule> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <!-- Organization containing all employees --> <ObjectGroup id='#ID#Employees' name='Employees' displayName='Employees'> <MemberObjectGroups> <ObjectRef type='ObjectGroup' name='Top' id='#ID#Top'/> </MemberObjectGroups> </ObjectGroup> <!-- End user controlled organization rule that give each user control of the regional organization they are a member of --> <Rule protectedFromDelete='true' authType='EndUserControlledOrganizationsRule' id='#ID#End User Controlled Organizations' name='End User Controlled Organizations' primaryObjectClass='Rule'> <switch> <ref>waveset.attributes.region</ref> <case> <s>North Region</s> <s>North Region</s> </case> <case> <s>South Region</s> <s>South Region</s> </case> <case> <s>East Region</s> <s>East Region</s> </case> <case> <s>West Region</s> <s>West Region</s> </case> </switch> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/> </MemberObjectGroups> </Rule> <!-- 4 employees (2 in North and 2 in South region) --> <User name='emp1' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee One'/> <Attribute name='lastname' type='string' value='One'/> <Attribute name='region' type='string' value='North Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp2' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Two'/> <Attribute name='lastname' type='string' value='Two'/> <Attribute name='region' type='string' value='North Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp4' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Four'/> <Attribute name='lastname' type='string' value='Four'/> <Attribute name='region' type='string' value='South Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User> <User name='emp5' primaryObjectClass='User' asciipassword='1111'> <Attribute name='firstname' type='string' value='Employee'/> <Attribute name='fullname' type='string' value='Employee Five'/> <Attribute name='lastname' type='string' value='Five'/> <Attribute name='region' type='string' value='South Region'/> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Employees' name='Employees' displayName='Employees'/> </MemberObjectGroups> </User>

    Connectez-vous ensuite via l'interface utilisateur final d'Identity Manager en tant qu'emp1, basé dans la région Nord. Sélectionnez Délégations -> Nouvelle. Remplacez les critères de Recherche -> par commence par, remplacez la valeur par emp et choisissez Rechercher. Cette sélection devrait retourner emp2 dans la liste des utilisateurs disponibles.

• Formulaire utilisateur Organisations contrôlées. Sélectionnez le formulaire utilisateur qui sera employé par un utilisateur auquel ce rôle admin aura été assigné, pour créer ou modifier des utilisateurs appartenant aux organisations contrôlées de ce rôle admin. Par défaut, aucun Formulaire utilisateur Organisations contrôlées n'est sélectionné.

  Un formulaire utilisateur assigné par le biais d'un rôle admin remplace tout formulaire utilisateur hérité de l'organisation dont l'administrateur est membre. Il ne remplace pas un formulaire utilisateur qui serait directement assigné à l'administrateur.

Assignation de capacités au rôle admin

Les capacités assignées au rôle admin déterminent les droits administratifs dont disposent les utilisateurs auxquels le rôle admin est assigné. Par exemple, un rôle admin pourrait être limité à la création d'utilisateurs pour les seules organisations contrôlées de ce rôle admin. Dans ce cas, vous assigneriez la capacité Créer un utilisateur.

Sélectionnez les options suivantes dans l'onglet Capacités :

• Capacités. Capacités spécifiques (droits administratifs) que les utilisateurs du rôle admin auront pour leurs organisations contrôlées. Sélectionnez une ou plusieurs capacités dans la liste des capacités disponibles et amenez-les dans la liste Capacités assignées.

• Règle de capacités. Sélectionnez une règle qui, évaluée à la connexion de l'utilisateur, déterminera la liste de zéro capacités ou plus conférée aux utilisateurs auxquels ce rôle est assigné. L'authType de la règle sélectionnée doit être CapabilitiesRule.

Assignation de formulaires utilisateur au rôle admin

Vous pouvez spécifier un formulaire utilisateur pour les membres d'un rôle admin. L'onglet Assigner aux utilisateurs de la vue Créer un rôle Admin ou Éditer un rôle Admin permet de spécifier les assignations.

L'administrateur auquel le rôle admin est assigné utilisera ce formulaire utilisateur pour créer ou éditer des utilisateurs dans les organisations contrôlées par ce rôle admin. Un formulaire utilisateur assigné par le biais d'un rôle admin remplace tout formulaire utilisateur hérité de l'organisation dont l'administrateur est membre. Il ne remplace pas un formulaire utilisateur qui serait directement assigné à l'administrateur.

Le formulaire utilisateur qui est utilisé lors de l'édition d'un utilisateur est déterminé dans l'ordre de priorité suivant :

• Si un formulaire utilisateur est assigné directement à l'administrateur, ce formulaire est utilisé.

• Si aucun formulaire utilisateur n'est assigné directement à l'administrateur, mais que ce dernier s'est vu assigner un rôle admin qui contrôle l'organisation dont l'utilisateur en cours de création ou d'édition sera ou est membre et spécifie un formulaire utilisateur, ce formulaire utilisateur est utilisé.

• Si aucun formulaire utilisateur n'est assigné directement à l'administrateur, ni indirectement par le biais d'un rôle admin, le formulaire utilisateur assigné aux organisations dont cet administrateur est membre (en commençant par l'organisation dont l'administrateur est membre et en remontant jusque sous Haut) est utilisé.

• Si aucune des organisations dont l'administrateur est membre n'a de formulaire utilisateur assigné, le formulaire utilisateur par défaut est utilisé.

Si un administrateur se voit assigner plusieurs rôles admin contrôlant la même organisation mais spécifiant des formulaires utilisateur différents, une erreur s'affiche lorsqu'il tente de créer ou d'éditer un utilisateur dans cette organisation. Si un administrateur tente d'assigner deux rôles admin ou plus contrôlant la même organisation mais spécifiant des formulaires utilisateur différents, une erreur s'affiche. Les changements ne peuvent pas être enregistrés tant que le conflit n'est pas résolu.

L'organisation Utilisateur final

L'organisation Utilisateur final constitue un moyen pratique pour les administrateurs de mettre certains objets, par exemple des ressources et des rôles, à la disposition des utilisateurs finaux. Les utilisateurs finaux peuvent afficher et, potentiellement, s'assigner des objets désignés (sous réserve d'un processus d'approbation) en utilisant l'interface utilisateur final (Connexion à l'interface utilisateur final d'Identity Manager).

---

Remarque –

L'organisation Utilisateur final est une nouveauté d'Identity Manager Version 7.1.1.

Auparavant, pour accorder aux utilisateurs finaux l'accès aux objets Configuration d'Identity Manager, tels que les rôles, les ressources ou encore les tâches, les administrateurs devaient éditer les objets Configuration et utiliser les authTypes End User Tasks (Tâches utilisateur final), End User Resources (Ressources utilisateur final) et End User (Utilisateur final).

À partir d'aujourd'hui, Sun recommande d'utiliser l'organisation « Utilisateur final » pour accorder aux utilisateurs finaux l'accès aux objets Configuration d'Identity Manager.

---

L'organisation Utilisateur final est contrôlée de manière implicite par tous les utilisateurs auxquels elle permet d'afficher plusieurs types d'objets et, en particulier, les tâches, les règles, les rôles et les ressources. Au départ toutefois, cette organisation n'a pas d'objets membres.

L'organisation Utilisateur final est membre de Haut et ne peut pas avoir d'organisations enfants. De plus, l'organisation Utilisateur final ne s'affiche pas dans la liste de la page Comptes. Lors de l'édition d'objets (par exemple de rôles, rôles admin, ressources, stratégies, tâches, etc.) toutefois, vous pouvez rendre tout objet disponible pour l'organisation Utilisateur final en utilisant l'interface utilisateur administrateur.

Lorsque les utilisateurs finaux se connectent à l'interface utilisateur final, il se passe ce qui suit :

• Les utilisateurs finaux se voient accorder le contrôle de l'organisation EndUser (Utilisateur final) (ObjectGroup).

• Identity Manager évalue la règle End User Controlled Organization (Organisation contrôlée par les utilisateurs finaux), laquelle octroie automatiquement à l'utilisateur le contrôle de toutes les organisations dont elle retourne le nom (cette règle a été ajoutée dans Identity Manager Version 7.1.1, pour plus d'informations, voir la section La règle End User Controlled Organization).

• Les utilisateurs finaux se voient accorder des droits d'accès aux types d'objets spécifiés dans la capacité EndUser.

La règle End User Controlled Organization

L'argument d'entrée de la règle End User Controlled Organization est la vue de l'utilisateur s'authentifiant. Identity Manager s'attend à ce que la règle retourne une ou plusieurs organisations que l'utilisateur se connectant à l'interface Utilisateur final contrôlera. Identity Manager s'attend à ce que la règle retourne une chaîne (pour une unique organisation) ou une liste (pour plusieurs organisations).

Pour gérer ces objets, les utilisateurs ont besoin de la capacité Administrateur des utilisateurs finaux. Les utilisateurs auxquels la capacité Administrateur des utilisateurs finaux est assignée peuvent afficher et modifier le contenu de la règle End User Controlled Organization. Les utilisateurs finaux se voient accorder des droits d'accès aux types d'objets spécifiés dans la capacité EndUser.

La capacité Administrateur des utilisateurs finaux est assignée par défaut à l'utilisateur Configurator. Les modifications apportées à la liste ou aux organisations retournées suite à l'évaluation de la règle End User Controlled Organization ne seront pas reflétées de manière dynamique pour les utilisateurs connectés. Ces utilisateurs devront se déconnecter puis se reconnecter pour voir ces modifications.

Si la règle End User Controlled Organization retourne une organisation non valable (par exemple, une organisation n'existant pas dans Identity Manager), le problème sera consigné dans le journal système. Pour corriger le problème, connectez-vous à l'interface utilisateur Administrateur et corrigez la règle.

Gestion des éléments de travail

Certains processus de flux de travaux générés par les tâches dans Identity Manager créent des éléments d'action ou éléments de travail. Ces éléments de travail peuvent être une demande d'approbation ou une autre demande d'action assignée à un compte Identity Manager.

Identity Manager regroupe tous les éléments de travail dans la zone Éléments de travail, ce qui vous permet d'afficher et de répondre à toutes les demandes en attente depuis un emplacement unique.

Types d’éléments de travail

Un élément de travail peut être de l'un des types suivants :

• Approbations. Demandes d'approbation de nouveaux comptes ou de changements apportés à des comptes.

• Attestations. Demandes d'examen et d'approbation des habilitations des utilisateurs.

• Résolutions. Demande de résolution ou d'atténuation des violations des stratégies de compte utilisateur.

• Autre. Demande d'élément d'action relative à un type autre que ceux standard. Il peut s'agir d'une demande d'action générée depuis un flux de travaux personnalisé.

Pour afficher les éléments de travail en attente par type, cliquez sur Éléments de travail dans le menu.

---

Remarque –

Si vous êtes le propriétaire d'éléments de travail ayant des éléments de travail en attente (ou des éléments de travail délégués), votre liste Éléments de travail s'affiche lorsque vous vous connectez à l'interface utilisateur d'Identity Manager.

---

Travailler avec les demandes d'éléments de travail

Pour répondre à une demande d'éléments de travail, cliquez sur l'un des types d'éléments de travail dans la zone Éléments de travail de l'interface. Sélectionnez des éléments dans la liste des demandes puis cliquez sur l'un des boutons disponibles pour indiquer l'action à entreprendre. Les options relatives aux éléments de travail varient selon le type de l'élément de travail.

Pour plus d'informations sur la réponse aux demandes, reportez-vous aux rubriques suivantes :

• Approbation des comptes utilisateur ;

• Gestion des obligations d'attestation ;

• Résolution et atténuation des violations de conformité ;

Affichage de l'historique des éléments de travail

Utilisez l'onglet Historique de la zone Éléments de travail pour afficher les résultats des actions d'élément de travail précédentes.

La Figure 6–5 affiche un exemple de vue d'historique des éléments de travail.

Figure 6–5 Vue d'historique des éléments de travail

Délégation des éléments de travail

Les propriétaires d'éléments de travail peuvent gérer la charge de travail en déléguant des éléments de travail à d'autres utilisateurs pendant une durée spécifiée. Dans le menu principal, vous pouvez utiliser la page Éléments de travail -> Déléguer mes éléments de travail pour déléguer les éléments de travail à venir (par exemple des demandes d'approbation) à un ou plusieurs utilisateurs (délégués). Les utilisateurs n'ont pas besoin d'être dotés des capacités d'approbateur pour devenir délégués.

---

Remarque –

La fonction de délégation ne s'applique qu'aux éléments de travail à venir. Les éléments existants (listés sous Mes éléments de travail) doivent être transférés de manière sélective au moyen de la fonction de transfert.

---

D'autres pages permettent également de déléguer les éléments de travail :

• Dans l'interface administrateur, vous pouvez déléguer des éléments de travail depuis les pages Créer un utilisateur et Éditer l'utilisateur (Pages relatives aux utilisateurs (Créer/Éditer/Afficher)). Cliquez sur l'onglet de formulaire Délégations.

• Dans l'interface utilisateur Utilisateur final (Interface utilisateur final d'Identity Manager), les utilisateurs peuvent cliquer sur l'élément de travail Délégations.

Les délégués peuvent approuver des éléments de travail au nom du propriétaire de ces éléments pendant la période de délégation effective. Les éléments de travail délégués incluent le nom du délégué.

Tout utilisateur peut créer une ou plusieurs délégations pour ses éléments de travail futurs. Les administrateurs qui peuvent éditer un utilisateur peuvent également créer une délégation au nom de celui-ci. Un administrateur ne peut toutefois pas déléguer quoi que ce soit à une personne à laquelle l'utilisateur ne peut rien déléguer (concernant les délégations, l'étendue du contrôle de l'administrateur est identique à celle de l'utilisateur au nom duquel la délégation est effectuée).

Entrées du journal d'audit

Les entrées du journal d'audit listent le nom du délégant lorsque les éléments de travail délégués sont approuvés ou rejetés. Les modifications des informations d’approbateur délégué d’un utilisateur sont consignées dans la section réservées aux modifications détaillées de l’entrée du journal d’audit lorsqu’un utilisateur est créé ou modifié.

Affichage des délégations courantes

Vous affichez les délégations sur la page Délégations courantes.

Pour afficher les délégations courantes

1. Dans l'interface administrateur, cliquez sur Éléments de travail dans le menu principal.

2. Cliquez sur Déléguer mes éléments de travail dans le menu secondaire.

   Identity Manager affiche la page Délégations courantes, laquelle vous permet d'afficher et éditer les délégations actuellement en vigueur.

Affichage des délégations précédentes

Vous affichez les délégations précédentes sur la page Délégations précédentes.

Pour afficher les délégations précédentes

1. Dans l'interface administrateur, cliquez sur Éléments de travail dans le menu principal.

2. Cliquez sur Déléguer mes éléments de travail dans le menu secondaire.

   La page Délégations courantes s'ouvre.

3. Cliquez sur Précédente(s).

   La page Délégations précédentes s'ouvre. Les éléments de travail délégués précédemment peuvent être utilisés pour configurer de nouvelles délégations.

Création de délégations

Créez une délégation en utilisant la page Nouvelle délégation.

Pour créer une délégation

1. Dans l'interface administrateur, cliquez sur Éléments de travail dans le menu principal.

2. Cliquez sur Déléguer mes éléments de travail.

   La page Délégations courantes s'ouvre.

3. Cliquez sur Nouveau.

   La page Nouvelle délégation s'ouvre.

4. Remplissez le formulaire comme suit :

   1. Sélectionnez un type d'élément de travail dans la liste de sélection Sélectionner un type d’élément de travail à déléguer. Pour déléguer l'ensemble de vos éléments de travail, sélectionnez Tous types d'éléments de travail.

      Si vous déléguez un élément de travail de type de rôle, organisation ou ressource, spécifiez les rôles, organisations ou ressources spécifiques qui devraient définir cette délégation en utilisant les flèches pour déplacer les sélections de la colonne Disponible à la colonne Sélectionné.

   2. Déléguer les éléments de travail à.

      Sélectionnez une des options suivantes :

      • Utilisateurs sélectionnés. Sélectionnez cette option pour rechercher dans votre étendue de contrôle (par nom) des utilisateurs qui deviendront des délégués. Si l'un des délégués sélectionnés a à son tour délégué ses éléments de travail, vos futurs éléments de travail seront déléguées à ses propres délégués.

      • Sélectionnez un ou plusieurs utilisateurs dans la zone Utilisateurs sélectionnés. Sinon, cliquez sur Ajouter à partir de la recherche pour ouvrir la fonctionnalité de recherche pour les utilisateurs. Cliquez sur Ajouter pour ajouter un utilisateur trouvé à la liste. Pour supprimer un délégué de la liste, sélectionnez-le et cliquez sur Supprimer.

        • Mon responsable. Sélectionnez cette option pour déléguer vos éléments de travail à votre responsable (si assigné).

        • Déléguer WorkItemRule. Sélectionnez une règle renvoyant une liste de noms d'utilisateur Identity Manager auxquels vous pouvez déléguer le type d'élément de travail sélectionné.

   3. Date de début. Sélectionnez la date à laquelle la délégation de l'élément de travail sélectionné doit débuter. Par défaut, le jour sélectionné commence à 00h01 du matin.

   4. Date de fin. Sélectionnez la date à laquelle la délégation de l'élément de travail sélectionné doit prendre fin. Par défaut, le jour sélectionné se termine à 11h59 du soir.

      ---

      Remarque –

      Vous pouvez sélectionner la même date de début et de fin pour limiter la délégation des éléments de travail à une journée.

      ---

   5. Cliquez sur OK pour enregistrer vos sélections et revenir à la liste des éléments de travail en attente d'approbation.

      ---

      Remarque –

      Une fois la délégation configurée, tous les éléments de travail créés pendant la période de délégation effective sont ajoutés à la liste du délégué. Si vous mettez un terme à une délégation ou que l'échéance de celle-ci arrive, les éléments de travail délégués sont retournés à votre liste. Cela peut créer des éléments de travail en double dans votre liste. Toutefois, lorsque vous approuvez ou rejetez un élément de travail, le doublon est automatiquement supprimé de la liste.

      ---

Délégation à des utilisateurs supprimés

Identity Manager fonctionne de la manière suivante lorsqu'un utilisateur détenant des éléments de travail en attente est supprimé :

• Si les éléments de travail en attente ont été délégués et que le délégant n'a pas été supprimé, ils lui sont renvoyés.

• Si les éléments de travail n'ont pas été délégués ou s'ils l'ont été mais que le délégant a été supprimé, la tentative de suppression échoue tant que les éléments de travail en attente de l'utilisateur ne sont pas résolus ou transmis à un autre utilisateur.

Fin des délégations

Vous mettez fin à une ou plusieurs délégations sur la page Délégations courantes.

Pour mettre fin à une ou plusieurs délégations

1. Dans l'interface administrateur, cliquez sur Éléments de travail dans le menu principal.

2. Cliquez sur Déléguer mes éléments de travail dans le menu secondaire.

   La page Délégations courantes s'ouvre.

3. Sélectionnez une ou plusieurs délégations dans la liste, puis cliquez sur Annuler.

   Identity Manager supprime les configurations de délégation sélectionnées et retourne les éventuels éléments de travail délégués du type sélectionné vers votre liste d'éléments de travail en attente.

Approbation des comptes utilisateur

Lorsqu'un utilisateur est ajouté au système Identity Manager, les administrateurs assignés en tant qu'approbateurs pour le nouveau compte doivent valider la validation du compte.

Identity Manager prend en charge trois catégories d'approbations :

• Organisation. L'approbation est nécessaire pour que le compte utilisateur soit ajouté à l'organisation.

• Rôle. L'approbation est nécessaire pour que le compte utilisateur soit assigné à un rôle.

• Ressource. L'approbation est nécessaire pour que le compte utilisateur se voit accorder l'accès à une ressource.

De plus, si les approbations de changement sont activées et que des changements sont apportés à un rôle, un élément de travail approbation de changement est envoyé à des propriétaires désignés du rôle.

Identity Manager prend en charge les approbations de changement par Définition de rôle. Si un administrateur change la définition d'un rôle, une approbation de changement provenant d'un propriétaire désigné de ce rôle est nécessaire. Le propriétaire du rôle doit approuver l'élément de travail pour que le changement soit appliqué.

---

Remarque –

• Vous pouvez configurer Identity Manager pour que les approbations comportent une signature numérique. Pour les instructions, voir Configuration d'approbations et actions à signature numérique.

• Les administrateurs qui ne connaissent pas Identity Manager confondent parfois le concept d'approbation avec celui similaire en apparence d'attestation. Si les termes se ressemblent, il faut savoir que l'approbation et l'attestation ont lieu dans des contextes différents.

  Les approbations sont relatives à la validation des nouveaux comptes utilisateur. Lorsqu'un utilisateur est ajouté à Identity Manager, une ou plusieurs approbations peuvent être nécessaires pour valider l'autorisation du nouveau compte.

  Les attestations consistent quant à elles à vérifier que les utilisateurs existants ont uniquement des privilèges appropriés sur les ressources appropriées. Dans le cadre du processus Examen des accès périodique, un utilisateur Identity Manager (l'attestateur) peut être appelé à certifier que les détails du compte d'un autre utilisateur (c'est-à-dire les ressources assignées de l'utilisateur) sont valables et exacts. Ce processus est connu sous le nom d'attestation.

---

Configuration d'approbateurs de comptes

La configuration d'approbateurs de comptes pour les approbations relatives aux organisations, rôles et ressources est facultative mais recommandée. Pour chacune des catégories dans lesquelles des approbateurs sont configurés, une approbation minimum est requise pour la création d'un compte. Si un approbateur rejette une demande d'approbation, le compte n'est pas créé.

Vous pouvez assigner plus d'un approbateur par catégorie. Puisqu'une seule approbation est nécessaire par catégorie, vous pouvez configurer plusieurs approbateurs pour éviter tout retard ou arrêt du flux de travaux. Ainsi, si un approbateur n'est pas disponible, d'autres pourront gérer les demandes. L'approbation ne s'applique qu'à la création de comptes. Par défaut, les mises à jour et les suppressions de compte ne nécessitent pas d'approbation. Vous pouvez toutefois personnaliser ce processus pour en exiger.

Vous pouvez personnaliser les flux de travaux en utilisant Identity Manager IDE pour changer le flux d'approbations, capturer les suppressions de compte et capturer les mises à jour.

Pour toute information sur Identity Manager IDE, allez sur : https://identitymanageride.dev.java.net/. Pour des informations sur les flux de travaux et un exemple illustré d'altération de flux de travaux d'approbation, voir le Chapitre 1, Workflow du Sun Identity Manager Deployment Reference.

Les approbateurs Identity Manager peuvent approuver ou rejeter une demande d'approbation.

Les administrateurs peuvent afficher et gérer les approbations en attente depuis la zone Éléments de travail de l'interface d'Identity Manager. Dans la page Éléments de travail, cliquez sur Mes éléments de travail pour afficher les approbations en attente. Cliquez sur l'onglet Approbations pour gérer les approbations.

Signature des approbations

Pour approuver un élément de travail en utilisant une signature numérique, vous devez commencer par configurer la signature numérique comme décrit dans Configuration d'approbations et actions à signature numérique.

Pour signer une approbation

1. Dans l'interface administrateur d'Identity Manager, sélectionnez Éléments de travail.

2. Cliquez sur l'onglet Approbations.

3. Sélectionnez une ou plusieurs approbations dans la liste.

4. Saisissez des commentaires pour l'approbation, puis cliquez sur Approuver.

   Identity Manager vous demande si faire confiance à l'applet.

5. Cliquez sur Toujours.

   Identity Manager affiche un récapitulatif daté de l'approbation.

6. Saisissez l'emplacement du keystore ou cliquez sur Parcourir pour le localiser. (Cet emplacement est défini pendant la configuration de l'approbation signée, comme décrit à l'étape 10m de la procédure Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12. )

7. Saisissez le mot de passe du keystore (ce mot de passe est défini pendant la configuration de l'approbation signée, comme décrit à l'étape 101 de la procédure Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12).

8. Cliquez sur Signer pour approuver la demande.

Signature des approbations suivantes

Une fois une approbation signée, vous devrez uniquement dans le cadre d'autres actions d'approbation saisir le mot de passe de votre keystore et cliquer sur Signer (Identity Manager mémorise l'emplacement du keystore défini dans l'approbation précédente).

Configuration d'approbations et actions à signature numérique

Utilisez les informations et procédures suivantes pour configurer la signature numérique. Vous pouvez signer numériquement les éléments suivants :

• les approbations (approbations de changement incluses),

• les actions d'examen des accès,

• les résolutions de violations de conformité.

Les sujets traités dans cette section expliquent la configuration requise côté serveur et côté client pour ajouter le certificat et la LRC à Identity Manager pour les approbations signées.

Pour activer la configuration côté serveur pour les approbations signées

1. Ouvrez l'objet Configuration système pour l'éditer et définissez security.nonrepudiation.signedApprovals=true.

   Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

   Si vous utilisez PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   Si vous utilisez un fournisseur de clés PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   ---

   Remarque –

   Veuillez vous reporter aux points suivants dans le kit REF pour en savoir plus sur quand écrire un fournisseur personnalisé :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.

   ---

2. Ajoutez les certificats de votre autorité de certification (AC) en tant que certificats de confiance. Pour cela, vous devez d'abord vous procurer une copie de ces certificats.

   Par exemple, si vous utilisez une AC Microsoft, procédez comme suit :

   1. Allez à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

   2. Sélectionnez Retrieve the CA certificate or certificate revocation list (Récupérer le certificat AC ou la liste de révocation de certificats) et cliquez sur Next (Suivant).

   3. Téléchargez et enregistrez le certificat CA.

3. Ajoutez le certificat à Identity Manager en tant que certificat de confiance :

   1. Depuis l'interface administrateur, sélectionnez Sécurité puis Certificats. Identity Manager affiche la page Certificats.

      Figure 6–6 Page Certificats

      
      

   2. Dans la zone Certificats d'AC de confiance, cliquez sur Ajouter. Identity Manager affiche la page Importer le certificat.

   3. Naviguez jusqu'au certificat de confiance, sélectionnez-le puis cliquez sur Importer.

      Le certificat est maintenant affiché dans la liste des certificats de confiance.

4. Ajoutez la liste de révocation de certificats (LRC) de votre AC :

   1. Dans la zone CRL (LRC) de la page Certificats, cliquez sur Ajouter.

   2. Entrez l'URL de la LRC de votre AC.

      ---

      Remarque –

      • Une liste de révocation de certificats ou LRC est une liste de numéros de série de certificats ayant été révoqués ou n'étant pas valides.

      • L'URL de la LRC de votre AC peut être http ou LDAP.

      • Chaque AC a un URL différent pour la distribution des LRC, vous pouvez déterminer cet élément en explorant l'extension CRL Distribution Points du certificat de l'AC.

      ---

5. Cliquez sur Vérifier la connexion pour contrôler l'URL.

6. Cliquez sur Enregistrer.

7. Signez les applet s/ts2.jar en utilisant jarsigner.

   ---

   Remarque –

   Pour plus d'informations, voir http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. Le fichier ts2.jar fourni avec Identity Manager est signé en utilisant un certificat autosigné et ne doit pas être utilisé pour les systèmes de production. En production, ce fichier doit être signé de nouveau en utilisant un certificat signature code émis par votre AC de confiance.

   ---

Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12

Les informations de configuration suivantes sont relatives aux approbations signées en utilisant PKCS12. Procurez-vous un certificat et une clé privée puis exportez-les dans un keystore PKCS#12. Par exemple, si vous utilisez une AC Microsoft, vous devez procéder comme suit :

Avant de commencer

Identity Manager requiert désormais JRE 1.5 minimum.

1. En utilisant Internet Explorer, naviguez jusqu'à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

2. Sélectionnez Request a certificate (Demander un certificat) puis cliquez sur Next (Suivant).

3. Sélectionnez Advanced request (Demande) avancée puis cliquez sur Next (Suivant).

4. Cliquez sur Next (Suivant).

5. Sélectionnez User for Certificate Template (Modèle utilisateur pour certificat).

6. Sélectionnez les options suivantes :

   1. Marquez les clés comme exportables.

   2. Activez une forte protection des clés.

   3. Utilisez le magasin de la machine locale.

7. Cliquez sur Submit (Envoyer) puis sur OK.

8. Cliquez sur Install this certificate (Installer le certificat).

9. Sélectionnez Run (Exécuter) -> mmc pour lancer mmc.

10. Ajoutez le snap-in Certificate :

    1. Sélectionnez Console -> Add/Remove Snap-in (Ajouter/Supprimer un composant logiciel enfichable).

    2. Cliquez sur Add (Ajouter).

    3. Sélectionnez le compte Computer (Ordinateur).

    4. Cliquez sur Next (Suivant) puis sur Finish (Terminer).

    5. Cliquez sur Close (Fermer).

    6. Cliquez sur OK.

    7. Allez à Certificates (Certificats) -> Personal (Personnel) -> Certificates (Certificats).

    8. Cliquez avec le bouton droit sur Administrator All Tasks (Toutes tâches administrateur) -> Export (Exporter).

    9. Cliquez sur Next (Suivant).

    10. Cliquez sur Next (Suivant) pour confirmer l'exportation de la clé privée.

    11. Cliquez sur Next (Suivant).

    12. Indiquez un mot de passe puis cliquez sur Next (Suivant).

    13. Fichier EmplacementCertificat.

    14. Cliquez sur Next (Suivant) puis sur Finish (Terminer). Cliquez sur OK pour confirmer.

        ---

        Remarque –

        Notez les informations que vous avez utilisées aux étapes 10l (mot de passe) et 10m (emplacement du certificat) de la configuration côté client. Vous aurez besoin des ces informations pour signer les approbations.

        ---

Pour activer la configuration côté client pour les approbations signées en utilisant PKCS11

Si vous utilisez PKCS11 pour les approbations signées

1. Reportez-vous aux ressources suivantes du kit REF pour les informations de configuration :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.

Affichage de la signature des transactions

Cette section explique la procédure à suivre pour afficher les signatures de transaction dans un rapport AuditLog d'Identity Manager.

Pour afficher une signature de transaction

1. Dans l'interface administrateur d'Identity Manager, sélectionnez Rapports.

2. Sur la page Exécuter des rapports, sélectionnez Rapport de liste de contrôle dans la liste d'options Nouveau.

3. Dans le champ Titre du rapport, entrez un titre (par exemple, Approbations).

4. Dans la zone de sélection Organisations, sélectionnez toutes les organisations.

5. Sélectionnez l'option Actions puis Approuver.

6. Cliquez sur Enregistrer pour enregistrer le rapport et revenir à la page Exécuter des rapports.

7. Cliquez sur Exécuter pour exécuter le rapport Approbations.

8. Cliquez sur le lien des détails pour voir les informations relatives à la signature de la transaction.

   Les informations relatives à la signature de la transaction peuvent inclure ce qui suit :

   • l'émetteur,

   • l'objet,

   • le numéro de série du certificat,

   • le message signé,

   • la signature,

   • l'algorithme de signature.

Configuration des approbations signées au format XMLDSIG

Identity Manager vous permet d'ajouter des approbations signées au format XMLDSIG, incluant un horodatage numérique conforme RFC 316, au processus d'approbation d'Identity Manager. Lorsque vous configurez Identity Manager pour utiliser les approbations signées XMLDSIG, aucun changement n'est visible des approbateurs à moins qu'ils n'affichent l'approbation dans le journal d'audit. Seul le format de l'approbation signée stockée dans l'enregistrement du journal d'audit est changé.

Comme avec les approbations signées préalables d'Identity Manager, un applet est lancé sur la machine cliente et l'approbateur se voit présenter les informations d'approbation à signer. Il choisit ensuite un keystore et une clé avec laquelle signer l'approbation.

Une fois que l'approbateur a signé l'approbation, un document XMLDSIG contenant les données de l'approbation est créé. Ce document est renvoyé au serveur qui valide le document signé XMLDSIG. En cas de réussite et si les horodatages numériques RFC 3161 ont été configurés, un horodatage numérique est également généré pour ce document. L'horodatage récupéré de l'autorité d'horodatage (TSA) est contrôlé pour voir s'il ne présente pas d'erreurs et ses certificats sont validés. Enfin, en cas de réussite, Identity Manager génère un enregistrement de journal système qui inclut l'objet approbation signé au format XMLDSIG dans la colonne XML blob.

Format des données d'approbation

Le format d'un objet Approbation au format XMLDSIG est le suivant :

<XMLSignedData signedContent="...base64 transaction text ...">
   <XMLSignature>
      <TSATimestamp>
         ...The base64 encoded PKCS7 timestamp token returned by the TSA...
      </TSATimestamp
      <Signature>
        <SignedInfo>...XMLDSIG stuff...</SignedInfo>
        <SignatureValue>...base64 signature value</SignatureValue>
        <KeyInfo>...cert info for signer</KeyInfo>
      </Signature>
   </XMLSignature>
</XMLSignedData>

Où :

• Les données d'approbation base64 consistent en le texte de données d'approbation réel qui est présenté à l'approbateur dans l'applet, codé au format base64.

• L'élément <TSATimestamp> contient la réponse d'horodatage PKCS7 codée en base64 de l'autorité d'horodatage (Timestamp Authority, TSA).

• L'ensemble de la <Signature> englobe les données de signature XMLDSIG.

Ce document XMLDSIG est stocké dans la colonne XML de l'enregistrement d'approbation du journal d'audit.

Installation et configuration

Les exigences d'installation et de configuration pour l'utilisation des approbations signées XMLDSIG sont identiques à celles décrites dans Pour activer la configuration côté serveur pour les approbations signées, exception faite d'une étape supplémentaire. Vous devez signer le fichier xmlsec-1.4.2.jar en plus de signer le fichier ts2.jar.

Configuration des approbations

Vous pouvez utiliser les attributs de configuration pour :

• Choisir le format SignedData ou le format XMLSignedData. Vous remarquerez que vous ne pouvez configurer qu'un format à la fois, bien que les administrateurs puissent changer ce paramètre si besoin est.

• Inclure un horodatage numérique récupéré d'une autorité d'horodatage RFC configurée.

• Spécifier un URL, HTTP uniquement, duquel récupérer cet horodatage.

Pour éditer ces attributs, utilisez les pages de débogage d'Identity Manager pour éditer l'objet Configuration système. Ces attributs figurent tous sous security.nonrepudiation, avec les autres attributs d'approbation signée.

Les attributs XMLDSIG sont les suivants :

• security.nonrepudiation.useXmlDigitalSignatures est une valeur booléenne qui active les signatures XMLDSIG.

• security.nonrepudiation.timestampXmlDigitalSignatures est une valeur booléenne qui inclut les horodatages numériques RFC 3161 dans les signatures XMLDSIG.

• security.nonrepudiation.timestampServerURL est une valeur de chaîne où l'URL pointe sur la TSA basée sur HTTP de laquelle sont récupérés les horodatages.

---

Remarque –

• Vous devez d'abord définir l'attribut useSignedApprovals existant sur true pour que les attributs précédents aient un effet.

• Identity Manager ne prend pas en charge les signatures multiples sur une approbation ni les approbations signées pour des demandes de provisioning plus générales.

---