Approbation des comptes utilisateur

Lorsqu'un utilisateur est ajouté au système Identity Manager, les administrateurs assignés en tant qu'approbateurs pour le nouveau compte doivent valider la validation du compte.

Identity Manager prend en charge trois catégories d'approbations :

• Organisation. L'approbation est nécessaire pour que le compte utilisateur soit ajouté à l'organisation.

• Rôle. L'approbation est nécessaire pour que le compte utilisateur soit assigné à un rôle.

• Ressource. L'approbation est nécessaire pour que le compte utilisateur se voit accorder l'accès à une ressource.

De plus, si les approbations de changement sont activées et que des changements sont apportés à un rôle, un élément de travail approbation de changement est envoyé à des propriétaires désignés du rôle.

Identity Manager prend en charge les approbations de changement par Définition de rôle. Si un administrateur change la définition d'un rôle, une approbation de changement provenant d'un propriétaire désigné de ce rôle est nécessaire. Le propriétaire du rôle doit approuver l'élément de travail pour que le changement soit appliqué.

• Vous pouvez configurer Identity Manager pour que les approbations comportent une signature numérique. Pour les instructions, voir Configuration d'approbations et actions à signature numérique.

• Les administrateurs qui ne connaissent pas Identity Manager confondent parfois le concept d'approbation avec celui similaire en apparence d'attestation. Si les termes se ressemblent, il faut savoir que l'approbation et l'attestation ont lieu dans des contextes différents.

  Les approbations sont relatives à la validation des nouveaux comptes utilisateur. Lorsqu'un utilisateur est ajouté à Identity Manager, une ou plusieurs approbations peuvent être nécessaires pour valider l'autorisation du nouveau compte.

  Les attestations consistent quant à elles à vérifier que les utilisateurs existants ont uniquement des privilèges appropriés sur les ressources appropriées. Dans le cadre du processus Examen des accès périodique, un utilisateur Identity Manager (l'attestateur) peut être appelé à certifier que les détails du compte d'un autre utilisateur (c'est-à-dire les ressources assignées de l'utilisateur) sont valables et exacts. Ce processus est connu sous le nom d'attestation.

Configuration d'approbateurs de comptes

La configuration d'approbateurs de comptes pour les approbations relatives aux organisations, rôles et ressources est facultative mais recommandée. Pour chacune des catégories dans lesquelles des approbateurs sont configurés, une approbation minimum est requise pour la création d'un compte. Si un approbateur rejette une demande d'approbation, le compte n'est pas créé.

Vous pouvez assigner plus d'un approbateur par catégorie. Puisqu'une seule approbation est nécessaire par catégorie, vous pouvez configurer plusieurs approbateurs pour éviter tout retard ou arrêt du flux de travaux. Ainsi, si un approbateur n'est pas disponible, d'autres pourront gérer les demandes. L'approbation ne s'applique qu'à la création de comptes. Par défaut, les mises à jour et les suppressions de compte ne nécessitent pas d'approbation. Vous pouvez toutefois personnaliser ce processus pour en exiger.

Vous pouvez personnaliser les flux de travaux en utilisant Identity Manager IDE pour changer le flux d'approbations, capturer les suppressions de compte et capturer les mises à jour.

Pour toute information sur Identity Manager IDE, allez sur : https://identitymanageride.dev.java.net/. Pour des informations sur les flux de travaux et un exemple illustré d'altération de flux de travaux d'approbation, voir le Chapitre 1, Workflow du Sun Identity Manager Deployment Reference.

Les approbateurs Identity Manager peuvent approuver ou rejeter une demande d'approbation.

Les administrateurs peuvent afficher et gérer les approbations en attente depuis la zone Éléments de travail de l'interface d'Identity Manager. Dans la page Éléments de travail, cliquez sur Mes éléments de travail pour afficher les approbations en attente. Cliquez sur l'onglet Approbations pour gérer les approbations.

Signature des approbations

Pour approuver un élément de travail en utilisant une signature numérique, vous devez commencer par configurer la signature numérique comme décrit dans Configuration d'approbations et actions à signature numérique.

Pour signer une approbation

1. Dans l'interface administrateur d'Identity Manager, sélectionnez Éléments de travail.

2. Cliquez sur l'onglet Approbations.

3. Sélectionnez une ou plusieurs approbations dans la liste.

4. Saisissez des commentaires pour l'approbation, puis cliquez sur Approuver.

   Identity Manager vous demande si faire confiance à l'applet.

5. Cliquez sur Toujours.

   Identity Manager affiche un récapitulatif daté de l'approbation.

6. Saisissez l'emplacement du keystore ou cliquez sur Parcourir pour le localiser. (Cet emplacement est défini pendant la configuration de l'approbation signée, comme décrit à l'étape 10m de la procédure Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12. )

7. Saisissez le mot de passe du keystore (ce mot de passe est défini pendant la configuration de l'approbation signée, comme décrit à l'étape 101 de la procédure Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12).

8. Cliquez sur Signer pour approuver la demande.

Signature des approbations suivantes

Une fois une approbation signée, vous devrez uniquement dans le cadre d'autres actions d'approbation saisir le mot de passe de votre keystore et cliquer sur Signer (Identity Manager mémorise l'emplacement du keystore défini dans l'approbation précédente).

Configuration d'approbations et actions à signature numérique

Utilisez les informations et procédures suivantes pour configurer la signature numérique. Vous pouvez signer numériquement les éléments suivants :

• les approbations (approbations de changement incluses),

• les actions d'examen des accès,

• les résolutions de violations de conformité.

Les sujets traités dans cette section expliquent la configuration requise côté serveur et côté client pour ajouter le certificat et la LRC à Identity Manager pour les approbations signées.

Pour activer la configuration côté serveur pour les approbations signées

1. Ouvrez l'objet Configuration système pour l'éditer et définissez security.nonrepudiation.signedApprovals=true.

   Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

   Si vous utilisez PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   Si vous utilisez un fournisseur de clés PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   ---

   Remarque –

   Veuillez vous reporter aux points suivants dans le kit REF pour en savoir plus sur quand écrire un fournisseur personnalisé :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.

   ---

2. Ajoutez les certificats de votre autorité de certification (AC) en tant que certificats de confiance. Pour cela, vous devez d'abord vous procurer une copie de ces certificats.

   Par exemple, si vous utilisez une AC Microsoft, procédez comme suit :

   1. Allez à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

   2. Sélectionnez Retrieve the CA certificate or certificate revocation list (Récupérer le certificat AC ou la liste de révocation de certificats) et cliquez sur Next (Suivant).

   3. Téléchargez et enregistrez le certificat CA.

3. Ajoutez le certificat à Identity Manager en tant que certificat de confiance :

   1. Depuis l'interface administrateur, sélectionnez Sécurité puis Certificats. Identity Manager affiche la page Certificats.

      Figure 6–6 Page Certificats

      
      

   2. Dans la zone Certificats d'AC de confiance, cliquez sur Ajouter. Identity Manager affiche la page Importer le certificat.

   3. Naviguez jusqu'au certificat de confiance, sélectionnez-le puis cliquez sur Importer.

      Le certificat est maintenant affiché dans la liste des certificats de confiance.

4. Ajoutez la liste de révocation de certificats (LRC) de votre AC :

   1. Dans la zone CRL (LRC) de la page Certificats, cliquez sur Ajouter.

   2. Entrez l'URL de la LRC de votre AC.

      ---

      Remarque –

      • Une liste de révocation de certificats ou LRC est une liste de numéros de série de certificats ayant été révoqués ou n'étant pas valides.

      • L'URL de la LRC de votre AC peut être http ou LDAP.

      • Chaque AC a un URL différent pour la distribution des LRC, vous pouvez déterminer cet élément en explorant l'extension CRL Distribution Points du certificat de l'AC.

      ---

5. Cliquez sur Vérifier la connexion pour contrôler l'URL.

6. Cliquez sur Enregistrer.

7. Signez les applet s/ts2.jar en utilisant jarsigner.

   ---

   Remarque –

   Pour plus d'informations, voir http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. Le fichier ts2.jar fourni avec Identity Manager est signé en utilisant un certificat autosigné et ne doit pas être utilisé pour les systèmes de production. En production, ce fichier doit être signé de nouveau en utilisant un certificat signature code émis par votre AC de confiance.

   ---

Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12

Les informations de configuration suivantes sont relatives aux approbations signées en utilisant PKCS12. Procurez-vous un certificat et une clé privée puis exportez-les dans un keystore PKCS#12. Par exemple, si vous utilisez une AC Microsoft, vous devez procéder comme suit :

Avant de commencer

Identity Manager requiert désormais JRE 1.5 minimum.

1. En utilisant Internet Explorer, naviguez jusqu'à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

2. Sélectionnez Request a certificate (Demander un certificat) puis cliquez sur Next (Suivant).

3. Sélectionnez Advanced request (Demande) avancée puis cliquez sur Next (Suivant).

4. Cliquez sur Next (Suivant).

5. Sélectionnez User for Certificate Template (Modèle utilisateur pour certificat).

6. Sélectionnez les options suivantes :

   1. Marquez les clés comme exportables.

   2. Activez une forte protection des clés.

   3. Utilisez le magasin de la machine locale.

7. Cliquez sur Submit (Envoyer) puis sur OK.

8. Cliquez sur Install this certificate (Installer le certificat).

9. Sélectionnez Run (Exécuter) -> mmc pour lancer mmc.

10. Ajoutez le snap-in Certificate :

    1. Sélectionnez Console -> Add/Remove Snap-in (Ajouter/Supprimer un composant logiciel enfichable).

    2. Cliquez sur Add (Ajouter).

    3. Sélectionnez le compte Computer (Ordinateur).

    4. Cliquez sur Next (Suivant) puis sur Finish (Terminer).

    5. Cliquez sur Close (Fermer).

    6. Cliquez sur OK.

    7. Allez à Certificates (Certificats) -> Personal (Personnel) -> Certificates (Certificats).

    8. Cliquez avec le bouton droit sur Administrator All Tasks (Toutes tâches administrateur) -> Export (Exporter).

    9. Cliquez sur Next (Suivant).

    10. Cliquez sur Next (Suivant) pour confirmer l'exportation de la clé privée.

    11. Cliquez sur Next (Suivant).

    12. Indiquez un mot de passe puis cliquez sur Next (Suivant).

    13. Fichier EmplacementCertificat.

    14. Cliquez sur Next (Suivant) puis sur Finish (Terminer). Cliquez sur OK pour confirmer.

        ---

        Remarque –

        Notez les informations que vous avez utilisées aux étapes 10l (mot de passe) et 10m (emplacement du certificat) de la configuration côté client. Vous aurez besoin des ces informations pour signer les approbations.

        ---

Pour activer la configuration côté client pour les approbations signées en utilisant PKCS11

Si vous utilisez PKCS11 pour les approbations signées

1. Reportez-vous aux ressources suivantes du kit REF pour les informations de configuration :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.

Affichage de la signature des transactions

Cette section explique la procédure à suivre pour afficher les signatures de transaction dans un rapport AuditLog d'Identity Manager.

Pour afficher une signature de transaction

1. Dans l'interface administrateur d'Identity Manager, sélectionnez Rapports.

2. Sur la page Exécuter des rapports, sélectionnez Rapport de liste de contrôle dans la liste d'options Nouveau.

3. Dans le champ Titre du rapport, entrez un titre (par exemple, Approbations).

4. Dans la zone de sélection Organisations, sélectionnez toutes les organisations.

5. Sélectionnez l'option Actions puis Approuver.

6. Cliquez sur Enregistrer pour enregistrer le rapport et revenir à la page Exécuter des rapports.

7. Cliquez sur Exécuter pour exécuter le rapport Approbations.

8. Cliquez sur le lien des détails pour voir les informations relatives à la signature de la transaction.

   Les informations relatives à la signature de la transaction peuvent inclure ce qui suit :

   • l'émetteur,

   • l'objet,

   • le numéro de série du certificat,

   • le message signé,

   • la signature,

   • l'algorithme de signature.

Configuration des approbations signées au format XMLDSIG

Identity Manager vous permet d'ajouter des approbations signées au format XMLDSIG, incluant un horodatage numérique conforme RFC 316, au processus d'approbation d'Identity Manager. Lorsque vous configurez Identity Manager pour utiliser les approbations signées XMLDSIG, aucun changement n'est visible des approbateurs à moins qu'ils n'affichent l'approbation dans le journal d'audit. Seul le format de l'approbation signée stockée dans l'enregistrement du journal d'audit est changé.

Comme avec les approbations signées préalables d'Identity Manager, un applet est lancé sur la machine cliente et l'approbateur se voit présenter les informations d'approbation à signer. Il choisit ensuite un keystore et une clé avec laquelle signer l'approbation.

Une fois que l'approbateur a signé l'approbation, un document XMLDSIG contenant les données de l'approbation est créé. Ce document est renvoyé au serveur qui valide le document signé XMLDSIG. En cas de réussite et si les horodatages numériques RFC 3161 ont été configurés, un horodatage numérique est également généré pour ce document. L'horodatage récupéré de l'autorité d'horodatage (TSA) est contrôlé pour voir s'il ne présente pas d'erreurs et ses certificats sont validés. Enfin, en cas de réussite, Identity Manager génère un enregistrement de journal système qui inclut l'objet approbation signé au format XMLDSIG dans la colonne XML blob.

Format des données d'approbation

Le format d'un objet Approbation au format XMLDSIG est le suivant :

<XMLSignedData signedContent="...base64 transaction text ...">
   <XMLSignature>
      <TSATimestamp>
         ...The base64 encoded PKCS7 timestamp token returned by the TSA...
      </TSATimestamp
      <Signature>
        <SignedInfo>...XMLDSIG stuff...</SignedInfo>
        <SignatureValue>...base64 signature value</SignatureValue>
        <KeyInfo>...cert info for signer</KeyInfo>
      </Signature>
   </XMLSignature>
</XMLSignedData>

Où :

• Les données d'approbation base64 consistent en le texte de données d'approbation réel qui est présenté à l'approbateur dans l'applet, codé au format base64.

• L'élément <TSATimestamp> contient la réponse d'horodatage PKCS7 codée en base64 de l'autorité d'horodatage (Timestamp Authority, TSA).

• L'ensemble de la <Signature> englobe les données de signature XMLDSIG.

Ce document XMLDSIG est stocké dans la colonne XML de l'enregistrement d'approbation du journal d'audit.

Installation et configuration

Les exigences d'installation et de configuration pour l'utilisation des approbations signées XMLDSIG sont identiques à celles décrites dans Pour activer la configuration côté serveur pour les approbations signées, exception faite d'une étape supplémentaire. Vous devez signer le fichier xmlsec-1.4.2.jar en plus de signer le fichier ts2.jar.

Configuration des approbations

Vous pouvez utiliser les attributs de configuration pour :

• Choisir le format SignedData ou le format XMLSignedData. Vous remarquerez que vous ne pouvez configurer qu'un format à la fois, bien que les administrateurs puissent changer ce paramètre si besoin est.

• Inclure un horodatage numérique récupéré d'une autorité d'horodatage RFC configurée.

• Spécifier un URL, HTTP uniquement, duquel récupérer cet horodatage.

Pour éditer ces attributs, utilisez les pages de débogage d'Identity Manager pour éditer l'objet Configuration système. Ces attributs figurent tous sous security.nonrepudiation, avec les autres attributs d'approbation signée.

Les attributs XMLDSIG sont les suivants :

• security.nonrepudiation.useXmlDigitalSignatures est une valeur booléenne qui active les signatures XMLDSIG.

• security.nonrepudiation.timestampXmlDigitalSignatures est une valeur booléenne qui inclut les horodatages numériques RFC 3161 dans les signatures XMLDSIG.

• security.nonrepudiation.timestampServerURL est une valeur de chaîne où l'URL pointe sur la TSA basée sur HTTP de laquelle sont récupérés les horodatages.

• Vous devez d'abord définir l'attribut useSignedApprovals existant sur true pour que les attributs précédents aient un effet.

• Identity Manager ne prend pas en charge les signatures multiples sur une approbation ni les approbations signées pour des demandes de provisioning plus générales.