test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Édition des stratégies de réconciliation

ProcedurePour éditer une stratégie de réconciliation

  1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

  2. Sélectionnez une ressource dans la liste Ressource.

  3. Dans la liste Actions de ressource, cliquez sur Éditer la stratégie de réconciliation.

    Identity Manager affiche la page Éditer la stratégie de réconciliation qui vous permet d'effectuer les sélections suivantes pour la stratégie :

    • Serveurs de réconciliation. Dans un environnement clustérisé, tout serveur peut exécuter la réconciliation. Spécifiez le serveur Identity Manager qui exécutera la réconciliation avec les ressources dans la stratégie.

    • Modes de réconciliation. La réconciliation peut être effectuée dans différents modes qui optimisent des qualités différentes :

      • Réconciliation complète. Optimise le caractère exhaustif de la réconciliation au détriment de la vitesse.

      • Réconciliation incrémentielle Optimise la vitesse de la réconciliation au détriment de son exhaustivité.

        Sélectionnez le mode dans lequel Identity Manager doit exécuter la réconciliation avec les ressources dans la stratégie. Sélectionnez Ne pas réconcilier pour désactiver la réconciliation pour des ressources cibles.

    • Programme de réconciliation complète. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi. Spécifiez la fréquence d’exécution de la réconciliation complète avec les ressources dans la stratégie.

      • Cochez la case Hériter de la stratégie par défaut pour hériter du programme indiqué d'une stratégie de niveau supérieur.

      • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

    • Programme de réconciliation incrémentielle. Si le mode Réconciliation complète est activé, la réconciliation est exécutée automatiquement selon un programme établi.

      • Cochez la case Hériter de la stratégie par défaut pour hériter du programme d'une stratégie de niveau supérieur.

      • Désactivez la case à cocher Hériter de la stratégie par défaut pour spécifier un programme. Utilisez les champs fournis pour établir un programme récurrent ou la règle Répétition TaskSchedule pour créer un ajustement personnalisé d'un programme de réconciliation. Pour toute information sur la création d'une règle Répétition TaskSchedule, voir Utilisation des règles Répétition TaskSchedule.

      Remarque –

      Les ressources ne prennent pas toutes en charge la réconciliation incrémentielle.

    • Réconciliation au niveau d’attribut. Vous pouvez également configurer une réconciliation pour détecter les changements apportés en mode natif (c'est-à-dire non via Identity Manager) aux attributs de compte. Spécifiez si la réconciliation doit détecter les changements natifs apportés aux attributs spécifiés dans Attributs de comptes réconciliés.

    • Règle de corrélation de comptes. Une règle de corrélation sélectionne les utilisateurs Identity Manager susceptibles d'être les propriétaires des comptes de ressources sans propriétaire. En fonction des attributs d’un compte de ressources sans propriétaire, la règle de corrélation retourne une liste de noms ou de conditions d’attributs qui sera utilisée pour sélectionner les propriétaires potentiels. Sélectionnez une règle pour rechercher les utilisateurs Identity Manager auxquels peuvent appartenir les comptes de ressources sans propriétaire.

    • Règle de confirmation de comptes. Une règle de confirmation de comptes élimine tout non propriétaire de la liste des propriétaires potentiels sélectionnés par la règle de corrélation. Selon la vue complète d’un utilisateur Identity Manager et les attributs d’un compte de ressources sans propriétaire, une règle de confirmation retourne true si l’utilisateur possède le compte et false dans le cas contraire. Sélectionnez une règle pour tester chaque propriétaire potentiel d'un compte de ressources. Si vous sélectionnez Aucune règle de confirmation, le système accepte tous les propriétaires potentiels sans confirmation.

      Remarque –

      Si, dans votre environnement, la règle de corrélation ne sélectionne pas plus d'un utilisateur par compte, vous n'avez pas besoin de règle de confirmation.

    • Administrateur mandataire. Spécifiez l’administrateur à utiliser lors de l’exécution des réponses de réconciliation. La réconciliation peut effectuer uniquement les opérations que l'administrateur mandataire désigné est autorisé à effectuer. La réponse utilisera le formulaire utilisateur (si nécessaire) associé à cet administrateur.

      Vous pouvez également sélectionner l'option Pas d'administrateur proxy. Lorsque cette option est sélectionnée, les résultats de la réconciliation peuvent être affichés, mais aucune action en réponse ni aucun flux de travaux ne sont effectués.

    • Options de situation (et réponses). La réconciliation reconnaît plusieurs types de situations. Les situations sont décrites ci-dessous. Spécifiez dans la colonne Réponse l'action devant être exécutée par la réconciliation.

      • CONFIRMÉ. Le compte attendu existe.

        Pour qu'il soit marqué CONFIRMÉ, les conditions suivantes doivent être remplies :

        • Identity Manager s'attend à ce que le compte existe.

        • Le compte existe sur la ressource.

      • COLLISION. Un même compte sur une ressource a été assigné à deux utilisateurs Identity Manager ou plus.

      • SUPPRIMÉ. Le compte attendu n'existe pas.

        Pour qu'il soit marqué SUPPRIMÉ, les conditions suivantes doivent être remplies :

        • Identity Manager s'attend à ce que le compte existe.

        • Le compte n'existe pas sur la ressource.

      • TROUVÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource assignée.

        Pour qu'il soit marqué TROUVÉ, les conditions suivantes doivent être remplies :

        • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

        • Le compte existe sur la ressource.

      • MANQUANT. Il n'y a aucun compte correspondant sur une ressource assignée à l'utilisateur.

        Pour qu'il soit marqué MANQUANT, les conditions suivantes doivent être remplies :

        • Identity Manager s'attend à ce que le compte puisse ou ne puisse pas exister (un compte peut exister ou peut ne pas exister sur une ressource si la ressource a été assignée à l'utilisateur mais n'a pas encore été provisionnée).

        • Le compte n'existe pas sur la ressource.

      • NON ASSIGNÉ. Le processus de réconciliation trouve un compte correspondant sur une ressource non assignée à l'utilisateur.

        Pour qu'il soit marqué NON ASSIGNÉ, les conditions suivantes doivent être remplies :

        • Identity Manager ne s'attend pas à ce que le compte existe (Identity Manager ne s'attend pas à ce que le compte existe si cette ressource n'est pas assignée à l'utilisateur).

        • Le compte existe sur la ressource.

      • PAS DE CORRESPONDANCE. Le compte de ressources ne correspond à aucun utilisateur.

      • CONTESTÉ. Le compte de ressources correspond à plusieurs utilisateurs.

        Sélectionnez l'une des options de réponse suivantes (les options disponibles varient en fonction de la situation) :

        • Créer un nouvel utilisateur Identity Manager basé sur le compte de ressources. Exécute le formulaire utilisateur sur les attributs du compte de ressource pour créer un nouvel utilisateur. Le compte de ressources n'est pas mis à jour suite aux modifications.

        • Créer un compte de ressources pour l’utilisateur Identity Manager. Recrée le compte de ressources manquant en utilisant le formulaire utilisateur pour régénérer les attributs du compte de ressources.

        • Supprimer le compte de ressources et Désactiver le compte de ressources. Supprime/Désactive le compte sur la ressource.

        • Lier le compte de ressources à l’utilisateur Identity Manager et Supprimer le lien entre le compte de ressources et l’utilisateur. Ajoute ou annule l’assignation du compte de ressources à/de l’utilisateur. Aucun traitement de formulaire n'est exécuté.

        • Ne faire rien. Sélectionnez cette option si vous ne voulez pas que la réconciliation effectue de réparations.

          Vous pouvez réparer manuellement toute situation de compte détectée par la réconciliation. Dans le menu, cliquez sur Ressources -> Examiner index de compte. De là, vous pouvez parcourir la situation enregistrée pour tous les comptes qui ont été réconciliés. Cliquez avec le bouton droit de la souris pour afficher la liste des options de réparation valides. Pour plus d'informations, voir Examen de l'index de comptes.

    • Flux de travaux de pré-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur avant la réconciliation d'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

    • Flux de travaux par compte. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après avoir répondu à la situation d’un compte de ressources. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

    • Flux de travaux de post-réconciliation. La réconciliation peut être configurée pour exécuter un flux de travaux spécifié par l’utilisateur après l'exécution de la réconciliation pour 'une ressource. Spécifiez le flux de travaux que la réconciliation doit exécuter. Sélectionnez Ne pas exécuter le flux de travaux si aucun flux de travaux ne doit être exécuté.

    • Expliquer la situation. Lorsque cette option est activée, la réconciliation enregistre des informations complémentaires expliquant le mode de classification des situations de compte. Cette option est désactivée par défaut. L'enregistrement des explications allongera l'exécution de la procédure de réconciliation.

    • Nombre maximal d’erreurs. Si cette option est activée, la réconciliation est interrompue automatiquement lorsque le nombre d'erreurs indiqué est atteint au cours du traitement. La valeur 0 indique l'absence de nombre maximal d'erreurs. Désactivez l'option Hériter de la stratégie par défaut pour afficher le champ du nombre maximal d'erreurs autorisées, puis entrez une valeur.

    • Proportion maximale de comptes supprimés en natif. Cette option est une protection qui évalue le nombre de comptes manquants sur une ressource et, si un certain seuil est franchi, empêche le programme de réconciliation d'en supprimer les liens.

      Pour activer cette fonction, désactivez la case à cocher Hériter de la stratégie par défaut et spécifiez le pourcentage souhaité dans le champ Proportion maximale de comptes supprimés en natif. Le seuil doit être défini sous la forme d'une valeur de pourcentage entière comprise entre 0 et 100 (0 désactive cette fonction.)

      Si le pourcentage de comptes supprimés dépasse le seuil fixé, la réconciliation poursuit le traitement des tâches non liées aux comptes manquants et se termine en générant une erreur.

    Cliquez sur Enregistrer pour enregistrer vos modifications de stratégie.