Réconciliation des comptes

La fonctionnalité de réconciliation permet de comparer régulièrement les comptes de ressources figurant dans Identity Manager aux comptes réellement présents sur les ressources. La réconciliation corrèle les données des comptes et met les différences en évidence.

---

Remarque –

Les pages de cette section sont consacrées à l'exécution de tâches de réconciliation au moyen de l'interface administrateur. Pour des informations plus approfondies sur la réconciliation, voir le Chapitre 3, Data Loading and Synchronization du Sun Identity Manager Deployment Guide.

---

Réconciliation dans un Nutshell

Conçue pour une comparaison continue, la réconciliation présente les caractéristiques suivantes :

• Elle diagnostique les situations de compte plus spécifiquement et prend en charge un plus vaste éventail de réponses que le processus de détection.

• Elle peut être programmée ce qui n'est pas le cas de la détection.

• Elle offre un mode incrémentiel tandis que la détection est limitée au mode complet.

• Elle peut détecter les changements natifs ce qui n'est pas le cas de la détection.

Vous pouvez aussi configurer la réconciliation pour lancer un flux de travaux arbitraire à chacun des points suivants du traitement d'une ressource :

• avant de réconcilier un compte ;

• pour chaque compte ;

• après la réconciliation de tous les comptes.

Vous accédez aux fonctionnalités de réconciliation d'Identity Manager depuis la zone Ressources. La liste Ressources indique pour chaque ressource la date de la dernière réconciliation et son statut de réconciliation courant.

---

Remarque –

La réconciliation est effectuée par le composant réconciliateur d'Identity Manager. Pour toute information sur les paramètres de configuration du réconciliateur, voir la section appropriée.

---

À propos des stratégies de réconciliation

Les stratégies de réconciliation permettent d'établir, pour chaque ressource, un ensemble de réponses possibles pour chaque tâche de réconciliation. Dans une stratégie, vous devez sélectionner le serveur qui doit exécuter la réconciliation, déterminer la fréquence et le moment d'exécution de la réconciliation, et définir des réponses adaptées à chacune des situations rencontrées au cours de la réconciliation. Vous pouvez également configurer une réconciliation pour détecter les modifications apportées en mode natif (et non via Identity Manager) aux attributs de compte.

Édition des stratégies de réconciliation

Pour éditer une stratégie de réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Sélectionnez une ressource dans la liste Ressource.

3. Dans la liste Actions de ressource, cliquez sur Éditer la stratégie de réconciliation.

   Identity Manager affiche la page Éditer la stratégie de réconciliation qui vous permet d'effectuer les sélections suivantes pour la stratégie :

   • Serveurs de réconciliation. Dans un environnement clustérisé, tout serveur peut exécuter la réconciliation. Spécifiez le serveur Identity Manager qui exécutera la réconciliation avec les ressources dans la stratégie.

   • Modes de réconciliation. La réconciliation peut être effectuée dans différents modes qui optimisent des qualités différentes :

     • Réconciliation complète. Optimise le caractère exhaustif de la réconciliation au détriment de la vitesse.

     • Réconciliation incrémentielle Optimise la vitesse de la réconciliation au détriment de son exhaustivité.

       Sélectionnez le mode dans lequel Identity Manager doit exécuter la réconciliation avec les ressources dans la stratégie. Sélectionnez Ne pas réconcilier pour désactiver la réconciliation pour des ressources cibles.

   • Programme de réconciliation complète. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi. Spécifiez la fréquence d’exécution de la réconciliation complète avec les ressources dans la stratégie.

     • Cochez la case Hériter de la stratégie par défaut pour hériter du programme indiqué d'une stratégie de niveau supérieur.

     • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

   • Programme de réconciliation incrémentielle. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi.

     • Cochez la case Hériter de la stratégie par défaut pour hériter du programme d'une stratégie de niveau supérieur.

     • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

     ---

     Remarque –

     Les ressources ne prennent pas toutes en charge la réconciliation incrémentielle.

     ---

   • Réconciliation au niveau d’attribut. Vous pouvez également configurer une réconciliation pour détecter les changements apportés en mode natif (c'est-à-dire non via Identity Manager) aux attributs de compte. Spécifiez si la réconciliation doit détecter les changements natifs apportés aux attributs spécifiés dans Attributs de comptes réconciliés.

   • Règle de corrélation de comptes. Une règle de corrélation sélectionne les utilisateurs Identity Manager susceptibles d'être les propriétaires des comptes de ressources sans propriétaire. En fonction des attributs d’un compte de ressources sans propriétaire, la règle de corrélation retourne une liste de noms ou de conditions d’attributs qui sera utilisée pour sélectionner les propriétaires potentiels. Sélectionnez une règle pour rechercher les utilisateurs Identity Manager auxquels peuvent appartenir les comptes de ressources sans propriétaire.

   • Règle de confirmation de comptes. Une règle de confirmation de comptes élimine tout non propriétaire de la liste des propriétaires potentiels sélectionnés par la règle de corrélation. Selon la vue complète d’un utilisateur Identity Manager et les attributs d’un compte de ressources sans propriétaire, une règle de confirmation retourne true si l’utilisateur possède le compte et false dans le cas contraire. Sélectionnez une règle pour tester chaque propriétaire potentiel d'un compte de ressources. Si vous sélectionnez Aucune règle de confirmation, le système accepte tous les propriétaires potentiels sans confirmation.

     ---

     Remarque –

     Si, dans votre environnement, la règle de corrélation ne sélectionne pas plus d'un utilisateur par compte, vous n'avez pas besoin de règle de confirmation.

     ---

   • Administrateur mandataire. Spécifiez l’administrateur à utiliser lors de l’exécution des réponses de réconciliation. La réconciliation peut effectuer uniquement les opérations que l'administrateur mandataire désigné est autorisé à effectuer. La réponse utilisera le formulaire utilisateur (si nécessaire) associé à cet administrateur.

     Vous pouvez également sélectionner l'option Pas d'administrateur proxy. Lorsque cette option est sélectionnée, les résultats de la réconciliation peuvent être affichés, mais aucune action en réponse ni aucun flux de travaux ne sont effectués.

   • Options de situation (et réponses). La réconciliation reconnaît plusieurs types de situations. Les situations sont décrites ci-dessous. Spécifiez dans la colonne Réponse l'action devant être exécutée par la réconciliation.

     • CONFIRMÉ. Le compte attendu existe.

       Pour qu'il soit marqué CONFIRMÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte existe.

       • Le compte existe sur la ressource.

     • COLLISION. Un même compte sur une ressource a été assigné à deux utilisateurs Identity Manager ou plus.

     • SUPPRIMÉ. Le compte attendu n'existe pas.

       Pour qu'il soit marqué SUPPRIMÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte existe.

       • Le compte n'existe pas sur la ressource.

     • TROUVÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource assignée.

       Pour qu'il soit marqué TROUVÉ, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

       • Le compte existe sur la ressource.

     • MANQUANT. Il n'y a aucun compte correspondant sur une ressource assignée à l'utilisateur.

       Pour qu'il soit marqué MANQUANT, les conditions suivantes doivent être remplies :

       • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

       • Le compte n'existe pas sur la ressource.

     • NON ASSIGNÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource non assignée à l'utilisateur.

       Pour qu'il soit marqué NON ASSIGNÉ, les conditions suivantes doivent être remplies :

       • Identity Manager ne s'attend pas à ce que le compte existe (Identity Manager ne s'attend pas à ce que le compte existe si cette ressource n'est pas assignée à l'utilisateur).

       • Le compte existe sur la ressource.

     • PAS DE CORRESPONDANCE. Le compte de ressources ne correspond à aucun utilisateur.

     • CONTESTÉ. Le compte de ressources correspond à plusieurs utilisateurs.

       Sélectionnez l'une des options de réponse suivantes (les options disponibles varient en fonction de la situation) :

       • Créer un nouvel utilisateur Identity Manager basé sur le compte de ressources. Exécute le formulaire utilisateur sur les attributs du compte de ressource pour créer un nouvel utilisateur. Le compte de ressources n'est pas mis à jour suite aux modifications.

       • Créer un compte de ressources pour l’utilisateur Identity Manager. Recrée le compte de ressources manquant en utilisant le formulaire utilisateur pour régénérer les attributs du compte de ressources.

       • Supprimer le compte de ressources et Désactiver le compte de ressources. Supprime/Désactive le compte sur la ressource.

       • Lier le compte de ressources à l’utilisateur Identity Manager et Supprimer le lien entre le compte de ressources et l’utilisateur. Ajoute ou annule l’assignation du compte de ressources à/de l’utilisateur. Aucun traitement de formulaire n'est exécuté.

       • Ne faire rien. Sélectionnez cette option si vous ne voulez pas que la réconciliation effectue de réparations.

         Vous pouvez réparer manuellement toute situation de compte détectée par la réconciliation. Dans le menu, cliquez sur Ressources -> Examiner index de compte. De là, vous pouvez parcourir la situation enregistrée pour tous les comptes qui ont été réconciliés. Cliquez avec le bouton droit de la souris pour afficher la liste des options de réparation valides. Pour plus d'informations, voir Examen de l'index de comptes.

   • Flux de travaux de pré-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur avant la réconciliation d'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Flux de travaux par compte. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après avoir répondu à la situation d’un compte de ressources. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Flux de travaux de post-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après l'exécution de la réconciliation pour 'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

   • Expliquer la situation. Lorsque cette option est activée, la réconciliation enregistre des informations complémentaires expliquant le mode de classification des situations de compte. Cette option est désactivée par défaut. L'enregistrement des explications allongera l'exécution de la procédure de réconciliation.

   • Nombre maximal d’erreurs. Si cette option est activée, la réconciliation est interrompue automatiquement lorsque le nombre d'erreurs indiqué est atteint au cours du traitement. La valeur 0 indique l'absence de nombre maximal d'erreurs. Désactivez l'option Hériter de la stratégie par défaut pour afficher le champ du nombre maximal d'erreurs autorisées, puis entrez une valeur.

   • Proportion maximale de comptes supprimés en natif. Cette option est une protection qui évalue le nombre de comptes manquants sur une ressource et, si un certain seuil est franchi, empêche le programme de réconciliation d'en supprimer les liens.

     Pour activer cette fonction, désactivez la case à cocher Hériter de la stratégie par défaut et spécifiez le pourcentage souhaité dans le champ Proportion maximale de comptes supprimés en natif. Le seuil doit être défini sous la forme d'une valeur de pourcentage entière comprise entre 0 et 100 (0 désactive cette fonction.)

     Si le pourcentage de comptes supprimés dépasse le seuil fixé, la réconciliation poursuit le traitement des tâches non liées aux comptes manquants et se termine en générant une erreur.

   Cliquez sur Enregistrer pour enregistrer vos modifications de stratégie.

Lancement de la réconciliation

Cette section décrit deux options permettant de lancer les tâches de réconciliation :

• l'exécution de la réconciliation à intervalles programmés ;

• la réconciliation immédiate.

Pour exécuter la réconciliation à intervalles réguliers

1. Ouvrez la page Éditer la stratégie de réconciliation comme décrit dans Édition des stratégies de réconciliation.

2. Spécifiez les paramètres de programmation de la réconciliation.

   La réconciliation sera exécutée conformément aux paramètres définis dans la stratégie.

Pour exécuter immédiatement la réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez une ressource dans la liste Ressource.

3. Choisissez une option dans la liste Actions de ressource.

   Les options sont les suivantes :

   • Réconciliation complète maintenant ;

   • Réconciliation incrémentielle maintenant.

     La réconciliation est exécutée conformément aux paramètres définis dans la stratégie. Si la stratégie planifie une exécution régulière de la réconciliation, cette dernière continuera à s'exécuter comme spécifié.

Pour annuler la réconciliation

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource pour laquelle vous voulez annuler la réconciliation.

3. Localisez la liste Actions de ressource et sélectionnez Annuler la réconciliation.

Affichage de l'état de réconciliation

Il existe deux manières d'afficher l'état de réconciliation : Pour afficher l'état de réconciliation détaillé, ouvrez la page Résultats sommaires de réconciliation pour une ressource spécifique. L'état de réconciliation limité est également disponible directement dans la Liste des ressources.

Pour afficher l'état de réconciliation détaillé

Affichez l'état de réconciliation détaillé en utilisant la page Résultats sommaires de réconciliation.

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource dont vous voulez afficher l'état de réconciliation.

3. Localisez la liste Actions de ressource et sélectionnez Visualiser l’état de réconciliation.

   La page Résultats sommaires de réconciliation correspondant à la ressource s'ouvre.

Pour afficher l'état de réconciliation dans la liste des ressources

Vous pouvez également afficher l'état de réconciliation à partir de la Liste des ressources.

1. Ouvrez l'interface administrateur.

2. Cliquez sur Ressources dans le menu principal.

   La colonne Statut rapporte les conditions d'état de réconciliation suivantes :

   • inconnu. L'état n'est pas connu. Les résultats de la dernière tâche de réconciliation ne sont pas disponibles.

   • désactivé. La réconciliation est désactivée.

   • en échec. L'exécution de la dernière tâche de réconciliation a échoué.

   • réussi. La dernière réconciliation a réussi.

   • achevé avec des erreurs. La dernière réconciliation s'est terminée mais avec des erreurs.

   ---

   Remarque –

   Vous devez actualiser cette page pour afficher les changements d'état (les informations ne sont pas actualisées automatiquement).

   ---

Travailler avec l’index de comptes

L'index de comptes enregistre le dernier état connu de chaque compte de ressources reconnu par Identity Manager. Il est principalement mis à jour par la réconciliation, mais d'autres fonctions d'Identity Manager le mettent également à jour le cas échéant.

Les outils de détection ne mettent pas à jour l'index de comptes.

Pour effectuer une rechercher dans l'index de comptes

Effectuez une recherche dans l'index de comptes pour afficher le dernier état connu d'un compte de ressource donné.

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Choisissez dans la Liste des ressources la ressource pour laquelle vous voulez effectuer une recherche dans l'index de comptes.

3. Localisez la liste Actions de ressource et sélectionnez Rechercher dans l’index de comptes.

   La page Rechercher dans l’index de comptes s'ouvre.

4. Sélectionnez un type de recherche, puis entrez les attributs de la recherche ou sélectionnez-les.

   • Nom de compte de ressources. Sélectionnez cette option puis l'un des modificateurs (commence par, contient ou est) et saisissez tout ou partie d'un nom de compte.

   • La ressource est l’une des suivantes : Sélectionnez cette option, puis une ou plusieurs ressources dans la liste afin de rechercher les comptes réconciliés résidant sur les ressources spécifiées.

   • Propriétaire. Sélectionnez cette option puis l'un des modificateurs (commence par, contient ou est) et saisissez tout ou partie d'un nom de propriétaire. Pour rechercher les comptes sans propriétaire, effectuez la recherche dans la situation PAS DE CORRESPONDANCE ou CONTESTÉ.

   • La situation est l’une des suivantes :. Sélectionnez cette option, puis une ou plusieurs situations dans la liste afin de rechercher les comptes réconciliés se trouvant dans les situations spécifiées.

5. Cliquez sur Rechercher pour rechercher des comptes en fonction des paramètres indiqués. Pour limiter les résultats de la recherche, vous pouvez indiquer le nombre de votre choix dans le champ Limiter les résultats aux premiers. Par défaut, la recherche est limitée aux 1 000 premiers comptes trouvés.

   Cliquez sur Réinitialiser la requête pour désélectionner tous les critères de la page et en sélectionner de nouveaux.

Examen de l'index de comptes

Il est également possible d'afficher tous les comptes utilisateur Identity Manager et, en option, de les réconcilier utilisateur par utilisateur.

Pour examiner l'index de comptes

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

2. Cliquez sur Examiner index de compte dans le menu secondaire.

   La page Examiner index de compte s'ouvre.

   Le tableau affiche tous les comptes de ressources connus d'Identity Manager (que ces comptes appartiennent ou non à un utilisateur Identity Manager). Ces informations sont regroupées par ressource par l'organisation Identity Manager. Pour changer cette vue, effectuez une sélection dans la liste Changer index vue.

Travailler avec les comptes

Pour travailler avec les comptes sur une ressource, sélectionnez la vue d'index Grouper par ressource. Identity Manager affiche des dossiers pour chaque type de ressources. Naviguez vers une ressource spécifique en développant un dossier. Cliquez sur + ou - à proximité de la ressource pour afficher tous les comptes de ressources connus d'Identity Manager.

Les comptes qui ont été ajoutés directement à la ressource depuis la dernière réconciliation effectuée sur cette ressource ne sont pas affichés.

Selon la situation d'un compte donné en ce moment, vous serez en mesure d'effectuer différentes actions. Cliquez avec le bouton droit de la souris pour afficher la liste des options de réparation valides. Vous pouvez aussi afficher les détails du compte ou choisir de réconcilier ce compte.

Travailler avec les utilisateurs

Pour travailler avec les utilisateurs Identity Manager, sélectionnez la vue d'index Grouper par utilisateur. Dans cette vue, les utilisateurs et organisations Identity Manager sont affichés dans une hiérarchie similaire à la page Liste des comptes. Pour voir les comptes actuellement assignés à un utilisateur dans Identity Manager, naviguez jusqu'à cet utilisateur et cliquez sur l'indicateur en regard de son nom. Les comptes de cet utilisateur et leur état courant connu d'Identity Manager s'affichent sous le nom de l'utilisateur.

Selon la situation d'un compte donné en ce moment précis, vous serez en mesure d'effectuer différentes actions. Vous pouvez aussi afficher les détails du compte ou choisir de réconcilier ce compte.

Utilisation des règles Répétition TaskSchedule

Les règles Règle Répétition TaskSchedule permettent d'effectuer des ajustements sur un programme de réconciliation. Par exemple, pour reporter les réconciliations programmées le samedi au lundi suivant, vous utiliserez une règle Répétition TaskSchedule.

Les règles Répétition TaskSchedule permettent de procéder à des ajustements pour les réconciliations complètes et incrémentielles.

Pour toute information sur la sélection des règles Répétition TaskSchedule, voir Édition des stratégies de réconciliation.

Modalités de programmation des heures d'exécution de réconciliation

À la fin d'une tâche de réconciliation, le composant réconciliateur contrôle l'heure de la prochaine exécution programmée.

Il commence par regarder la programmation par défaut pour connaître l'heure de la prochaine exécution. Il exécute ensuite toutes les règles Répétition TaskSchedule applicables pour voir si des ajustements de programmation s'imposent. Si un ajustement est nécessaire, la programmation de la règle ignore celle par défaut pour la réconciliation en question.

---

Remarque –

Les règles Répétition TaskSchedule ne peuvent pas écraser la programmation par défaut. Elles peuvent seulement ignorer les heures de départ programmées tâche par tâche.

---

Pour afficher l'exemple de règle Accepter toutes les dates

Cette section décrit l'exemple de règle Accepter toutes les dates.

1. Dans un éditeur de texte, ouvrez ReconRules.xml, qui figure dans le répertoire sample d'Identity Manager.

2. Recherchez la règle nommée SCHEDULING_RULE_ACCEPT_ALL_DATES.

   Pour qu'une règle soit listée dans le menu déroulant Règle Répétition TaskSchedule (sur la page Éditer la stratégie de réconciliation), l'attribut subtype de la règle doit être défini sur SUBTYPE_TASKSCHEDULE_REPETITION_RULE:.

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   Comme nous l'avons fait remarquer précédemment, les règles Répétition TaskSchedule peuvent modifier la programmation de réconciliation par défaut.

   La variable calculatedNextDate peut soit accepter la date suivante, qui est calculée selon la méthode par défaut, soit retourner une autre date. Comme écrit dans l'exemple de règle, calculatedNextDate accepte sans condition la date par défaut, comme indiqué dans l'extrait suivant :

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   Pour créer un programme personnalisé, remplacez la logique de règle entre les éléments <block>. Par exemple, pour remplacer l'heure de début de la réconciliation par 10h00 le samedi, incluez le JavaScript suivant entre les éléments <block> :

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   Dans Pour afficher l'exemple de règle Accepter toutes les dates, calculatedNextDate est au départ défini sur l'heure programmée par défaut. Si l'heure de la prochaine exécution est un samedi, la règle programme donc le début de la réconciliation pour 10h00. Si la date de la prochaine exécution programmée n'est pas un samedi, l'exemple de règle Pour afficher l'exemple de règle Accepter toutes les dates retourne calculatedNextDate sans effectuer aucun ajustement d'heure et la programmation par défaut est utilisée.

   Pour plus d'informations sur la création et l'utilisation de règles personnalisées dans Identity Manager, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.