Création et gestion des administrateurs

Cette section se compose des rubriques suivantes :

• Pour créer un administrateur ;

• Filtrage des vues administrateur ;

• Changement des mots de passe administrateur ;

• Demande d'actions de la part de l'administrateur ;

• Changement des réponses aux questions d’authentification ;

• Personnalisation de l'affichage du nom de l'administrateur dans l'interface administrateur.

Pour créer un administrateur

Pour créer un administrateur, vous devez assigner une ou plusieurs capacités à un utilisateur et désigner les organisations auxquelles ces capacités s'appliqueront.

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

   La page Liste des utilisateurs s'ouvre.

2. Pour conférer à un utilisateur existant des privilèges administratifs, cliquez sur son nom d'utilisateur (la page Éditer l'utilisateur s'ouvre) puis sur l'onglet Sécurité.

   Pour créer un nouveau compte utilisateur, voir la section Création d'utilisateurs et utilisation des comptes utilisateur.

3. Spécifiez les attributs pour établir le contrôle administratif.

   Les attributs disponibles sont les suivants :

   • Capacités. Sélectionnez une ou plusieurs capacités à assigner à cet administrateur. Ces informations sont obligatoires. Pour plus d'informations, voir Comprendre et gérer les capacités.

   • Organisations contrôlées. Sélectionnez une ou plusieurs organisations à assigner à cet administrateur. L'administrateur contrôlera les objets de l'organisation assignée et ceux de toutes les organisations situées sous celle-ci dans la hiérarchie. Ces informations sont obligatoires. Pour plus d'informations, voir Comprendre les organisations d'Identity Manager.

   • Formulaire utilisateur. Spécifie le formulaire utilisateur qui sera utilisé par l'administrateur pour créer et éditer des utilisateurs Identity Manager (si cette capacité est assignée). Si vous n’assignez pas directement de formulaire utilisateur, l’administrateur héritera de celui assigné à l'organisation dont il est membre. Le formulaire sélectionné ici remplace tout autre formulaire choisi dans l'organisation de cet administrateur.

   • Transmettre demandes d’approbation à. Permet de sélectionner un utilisateur auquel toutes les demandes d'approbation actuellement en attente seront transmises. Ce paramètre relatif à l'administrateur peut aussi être défini sur la page Approbations.

   • Déléguer les éléments de travail à. Si disponible, cette option permet de spécifier des délégations pour ce compte utilisateur. Vous pouvez spécifier le responsable de l'administrateur, un ou plusieurs utilisateurs sélectionnés ou utiliser une règle d’approbateurs délégués.

     

Filtrage des vues administrateur

En assignant des formulaires utilisateur aux organisations et administrateurs, vous établissez des vues administrateur spécifiques des informations des utilisateurs.

L'accès aux informations des utilisateurs se définit à deux niveaux :

• Organisation. Lorsque vous créez une organisation, vous assignez le formulaire utilisateur que tous les administrateurs de cette organisation utiliseront pour créer et éditer des utilisateurs Identity Manager. Tout formulaire défini au niveau administrateur remplace le formulaire défini ici. Si aucun formulaire n'est sélectionné pour l'administrateur ou l'organisation, Identity Manager hérite du formulaire sélectionné pour l'organisation parent. Si aucun formulaire n'est défini dans celle-ci, Identity Manager utilise le formulaire par défaut défini dans la configuration système.

• Administrateur. Lorsque vous assignez des capacités administratives à un utilisateur, vous pouvez assigner directement un formulaire utilisateur à l'administrateur. Si vous n'assignez pas de formulaire, l'administrateur hérite du formulaire assigné à son organisation (ou en l'absence de ce dernier du formulaire par défaut défini dans la configuration système).

Comprendre et gérer les capacités décrit les capacités Identity Manager intégrées que vous pouvez assigner.

Changement des mots de passe administrateur

Les mots de passe administrateur peuvent être changés par un administrateur auquel des capacités de changement de mots de passe administratifs ont été assignée ou par le propriétaire de l'administrateur.

Les administrateurs peuvent changer le mot de passe d'un autre administrateur en utilisant les formulaires suivants :

• Formulaire Changer le mot de passe de l’utilisateur. Vous pouvez ouvrir ce formulaire des deux manières suivantes :

  • Cliquez sur Comptes dans le menu. La Liste des utilisateurs s'ouvre. Sélectionnez un administrateur puis, dans la liste Actions de l'utilisateur, sélectionnez Changement du mot de passe. La page Changer le mot de passe de l’utilisateur s'ouvre.

  • Cliquez sur Mots de passe dans le menu. La page Changer le mot de passe de l’utilisateur s'ouvre.

• Formulaire utilisateur à onglets. Cliquez sur Comptes dans le menu. La Liste des utilisateurs s'ouvre. Sélectionnez un administrateur puis, dans la liste Actions de l'utilisateur, sélectionnez Éditer. La page Éditer l'utilisateur (Formulaire utilisateur à onglets) s'ouvre. Sur l'onglet Identité du formulaire, saisissez un nouveau mot de passe dans les champs Mot de passe et Confirmez le mot de passe.

Un administrateur peut changer son propre mot de passe depuis la zone Mots de passe. Cliquez sur Mots de passe dans le menu puis sur Changer mon mot de passe.

La stratégie de compte Identity Manager appliquée au compte détermine les limites en matière de mots de passe telles que l'expiration du mot de passe, les options de réinitialisation et les sélections de notification. Des limites de mot de passe supplémentaires peuvent être fixées par les stratégies de mot de passe définies sur les ressources de l'administrateur.

Demande d'actions de la part de l'administrateur

Identity Manager peut être configuré pour inviter les administrateurs à saisir un mot de passe avant de traiter certains changements de compte. Si l'authentification échoue, les changements de compte en question sont annulés.

Les administrateurs peuvent utiliser trois formulaires pour changer les mots de passe des utilisateurs : le formulaire Utilisateur à onglets, le formulaire Changer le mot de passe de l’utilisateur et le formulaire Réinitialiser le mot de passe de l’utilisateur. Pour assurer que les administrateurs seront obligés de saisir leur mot de passe pour que Identity Manager puisse traiter les changements de compte utilisateur, veillez à mettre à jour l'ensemble de ces trois formulaires :

Pour activer l'option de demande de mot de passe pour les formulaires utilisateur à onglets

Pour imposer une demande de mot de passe sur le formulaire Utilisateur à onglets, procédez comme suit :

1. Dans l'interface administrateur, ouvrez la page de débogage d'Identity Manager (Page de débogage d'Identity Manager) en saisissant l'URL suivant dans votre navigateur (vous devez avoir la capacité Déboguer pour pouvoir ouvrir cette page).

   http://<HôteServeurApp>:< Port>/idm/debug/session.jsp

   La page System Settings (Paramètres du système, page de débogage d'Identity Manager) s'ouvre.

2. Recherchez le bouton List Objects (Lister les objets), sélectionnez UserForm dans le menu déroulant puis cliquez sur le bouton ListObjects.

   La page List Objects of type (Lister les objets de type) : UserForm s'ouvre.

3. Localisez la copie du formulaire Utilisateur à onglets que vous avez en production et cliquez sur Edit (Éditer). Le formulaire Utilisateur à onglets (Tabbed User Form) distribué avec Identity Manager est un modèle et ne devrait pas être modifié.

4. Ajoutez le snippet de code suivant dans l'élément <Form> :

   <Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties>

   La valeur de la propriété est une liste pouvant contenir un ou plusieurs des noms d'attributs de vue utilisateur suivants :

   • applications,

   • adminRoles,

   • assignedLhPolicy,

   • capabilities,

   • controlledOrganizations,

   • email,

   • firstname,

   • fullname,

   • lastname,

   • organization,

   • password,

   • resources,

   • roles.

5. Enregistrez vos modifications.

Pour activer l'option de demande de mot de passe pour les formulaires Changer le mot de passe de l’utilisateur et Réinitialiser le mot de passe de l’utilisateur

Pour imposer une demande de mot de passe pour les formulaires Changer le mot de passe de l’utilisateur et Réinitialiser le mot de passe de l’utilisateur, procédez comme suit :

1. Dans l'interface administrateur, ouvrez la page de débogage d'Identity Manager (Page de débogage d'Identity Manager) en saisissant l'URL suivant dans votre navigateur (vous devez avoir la capacité Déboguer pour pouvoir ouvrir cette page).

   http://<HôteServeurApp>:< Port>/idm/debug/session.jsp

   La page System Settings (Paramètres du système, page Déboguer Identity Manager) s'ouvre.

2. Recherchez le bouton List Objects (Lister les objets), sélectionnez UserForm dans le menu déroulant puis cliquez sur le bouton ListObjects.

   La page List Objects of type (Lister les objets de type) : UserForm s'ouvre.

3. Localisez la copie du formulaire Changer le mot de passe de l’utilisateur que vous avez en production et cliquez sur edit (Éditer). Le formulaire Changer le mot de passe de l’utilisateur distribué avec Identity Manager est un modèle et ne devrait pas être modifié.

4. Localisez l'élément <Form> puis allez à l'élément <Properties>.

5. Ajoutez la ligne suivante à l'intérieur de l'élément <Properties> et enregistrez vos changements.

   <Property name=’RequiresChallenge’ value=’true’/>

6. Répétez les étapes 3 à 5 à l'exception de l'édition de la copie du formulaire Utilisateur à onglets que vous avez en production.

Changement des réponses aux questions d’authentification

Utilisez la zone Mots de passe pour modifier les réponses que vous avez définies pour les questions d'authentification de compte. Dans la barre de menu, sélectionnez Mots de passe puis Changer mes réponses.

Pour plus d'informations sur l'authentification, voir la section Authentification des utilisateurs au Chapitre 3Gestion des utilisateurs et des comptes.

Personnalisation de l'affichage du nom de l'administrateur dans l'interface administrateur

Vous pouvez afficher un administrateur Identity Manager par l'un de ses attributs (par exemple son e-mail email ou son nom complet fullname) au lieu de le faire par son ID de compte dans certaines pages et zones de l'interface administrateur d'Identity Manager.

Par exemple, vous pouvez afficher les administrateurs Identity Manager par attribut dans les zones suivantes :

• Éditer l'utilisateur (liste de sélection pour faire suivre les approbations) ;

• le tableau Rôle ;

• Créer/Éditer un rôle ;

• Créer/Éditer une ressource ;

• Créer/Éditer une organisation/jonction d'annuaires ;

• Approbations.

Pour configurer Identity Manager pour utiliser un nom à afficher, ajoutez ce qui suit à l'objet UserUIConfig :

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

Par exemple, pour utiliser l'attribut email (e-mail) en tant que nom à afficher, ajoutez le nom d'attribut suivant à UserUIconfig :

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>