La configuration d'audit est composée de un ou plusieurs éditeurs et de plusieurs groupes prédéfinis.
Un groupe d'audit définit un sous-ensemble des événements de contrôle sur la base des types d'objets, actions et résultats des actions. Chaque éditeur se voit assigner un ou plusieurs groupes d'audit. Par défaut, l'éditeur du référentiel est assigné à tous les groupes d'audit.
Un éditeur d'audit délivre des événements de contrôle à une destination d'audit particulière. L'éditeur de référentiel par défaut écrit les enregistrements d'audit dans le référentiel. Tout éditeur d'audit peut avoir des options spécifiques à l'implémentation. Les éditeurs d'audit peuvent avoir un programme de formatage assigné (les programmes de formatage assurent la représentation textuelle des événements de contrôle).
L'objet Configuration d’audit (#ID#Configuration:AuditConfiguration) est défini dans le fichier sample/auditconfig.xml. Cet objet Configuration a une extension qui est un objet générique.
Au niveau supérieur, cet objet Configuration a les attributs suivants :
L'attribut filterConfiguration liste les groupes d'événements, utilisés pour permettre à un ou plusieurs événements de passer à travers le filtre d'événements. Chacun des groupes listés dans l'attribut filterConfiguration contient les attributs listés dans le Tableau 10–2.
Tableau 10–2 Attributs de filterConfiguration
L'Exemple 10–5 illustre le groupe Gestion des ressources (Resource Management) par défaut.
<Object name=’Resource Management’> <Attribute name=’enabled’ value=’true’/> <Attribute name=’displayName’ value=’UI_RESOURCE_MGMT_GROUP_DISPLAYNAME’/> <Attribute name=’enabledEvents’> <List> <Object> <Attribute name=’objectType’ value=’Resource’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> <Object> <Attribute name=’objectType’ value=’ResourceObject’/> <Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> </List> </Attribute> </Object> |
Identity Manager fournit des groupes d'événements de contrôle par défaut. Ces groupes et les événements qu'ils autorisent sont décrits dans les sections suivantes :
Vous pouvez configurer des groupes d'événements de contrôle à partir de la page Configuration d'audit de l'interface administrateur d'Identity Manager (Configurer > Vérification informatique). Pour les instructions, voir Configuration de groupes et d'événements d'audit.
Vous pouvez aussi configurer les événements de type réussite et échec pour chaque groupe toujours à partir de la page Configuration d'audit. L'interface ne prend pas en charge l'ajout ou la modification d'événements pour les groupes, mais vous pouvez le faire en utilisant les pages de débogage d'Identity Manager (Page de débogage d'Identity Manager).
Certaines actions que vous pouvez choisir pour un audit ne génèrent pas d'enregistrement de journal.. De même, sélectionner l'option « All Actions » (Toutes les actions) ne signifie pas que toutes les actions listées sont disponibles ou possibles pour tous les groupes d'événements de contrôle.
Ce groupe est activé par défaut.
Tableau 10–3 Groupes d'événements Gestion des comptes par défaut
Type |
Actions |
---|---|
Encryption Key (Clé de chiffrement) |
Toutes les actions. |
Identity System Account (Compte Identity System) |
Toutes les actions. |
Resource Account (Compte de ressources) |
Activer, Approuver, Créer, Désactiver, Déverrouiller, Modifier, Rejeter, Renommer, Supprimer |
Workflow Case (Case flux de travaux) |
Démarrer l’activité, Démarrer le flux de travaux, Démarrer le processus, Terminer l’activité, Terminer le flux de travaux, Terminer le processus |
User (Utilisateur) |
Activer, Approuver, Créer, Désactiver, Modifier, Rejeter, Renommer, Supprimer |
Ce groupe est désactivé par défaut.
Tableau 10–4 Groupes d'événements et événements de Modifications hors Identity Manager
Type |
Actions |
---|---|
ResourceAccount (Compte de ressource) |
NativeChange |
Ce groupe est activé par défaut.
Tableau 10–5 Événements du groupe Gestion de la conformité par défaut
Type |
Actions |
---|---|
Audit Policy (Stratégie d’audit) |
Toutes les actions. |
AccessScan (Scannage des accès) |
Toutes les actions. |
ComplianceViolation (ComplianceViolation) |
Toutes les actions. |
Data Exporter (Exportateur de données) |
Toutes les actions. |
UserEntitlement (UserEntitlement) |
Approuvé par l’attestateur, Arrêter, Nouveau scannage requis, Rejeté par l’attestateur, Résolution demandée |
Access Review Workflow (Flux de travaux de l’examen des accès) |
Toutes les actions. |
Remediation Workflow (Flux de travaux de résolution) |
Toutes les actions. |
Ce groupe est activé par défaut.
Tableau 10–6 Groupes d'événements de Gestion de la configuration par défaut
Type |
Actions |
---|---|
Configuration (Configuration) |
Toutes les actions. |
UserForm (Formulaire utilisateur) |
Toutes les actions. |
Rule (Règle) |
Toutes les actions. |
EmailTemplate (Modèle d’e-mail) |
Toutes les actions. |
LoginConfig (Config. de connexion) |
Toutes les actions. |
Policy (Stratégie) |
Toutes les actions. |
XmlData (Données XML) |
Importer |
Log (Journal) |
Toutes les actions. |
Ce groupe est activé par défaut.
Tableau 10–7 Groupes d'événements de Gestion d’événement par défaut
Type |
Actions |
---|---|
Email (E-mail) |
Notifier |
TestNotification (Notification de test) |
Notifier |
Ce groupe est activé par défaut.
Tableau 10–8 Groupes d'événements de Connexions/Déconnexions d'Identity Manager par défaut
Type |
Actions |
---|---|
User (Utilisateur) |
Connexion, Déverrouiller, Fermer la session, Informations d’identification expirées, Récupération du nom d’utilisateur, Verrouiller |
Ce groupe est activé par défaut.
Tableau 10–9 Groupes d'événements et événements de Gestion des mots de passe par défaut
Type |
Actions |
---|---|
Compte de ressources |
Modifier le mot de passe, Réinitialiser le mot de passe |
Ce groupe est activé par défaut.
Tableau 10–10 Groupes d'événements et événements de Gestion des ressources par défaut
Type |
Actions |
---|---|
Resource (Ressource) |
Toutes les actions. |
Resource Object (Objet de ressource) |
Toutes les actions. |
ResourceForm (Formulaire de ressource) |
Toutes les actions. |
ResourceAction (Action de ressource) |
Toutes les actions. |
AttrParse (AttrParse) |
Toutes les actions. |
Workflow Case (Case flux de travaux) |
Démarrer l’activité, Démarrer le flux de travaux, Démarrer le processus, Terminer l’activité, Terminer le flux de travaux, Terminer le processus |
Ce groupe est désactivé par défaut.
Tableau 10–11 Groupes d'événements et événements de Gestion des rôles par défaut
Type |
Actions |
---|---|
Role (Rôle) |
Toutes les actions. |
Ce groupe est activé par défaut.
Tableau 10–12 Groupes d'événements et événements de Gestion de la sécurité par défaut
Type |
Actions |
---|---|
Capability (Capacité) |
Toutes les actions. |
EncryptionKey (Clé de chiffrement) |
Toutes les actions. |
Organization (Organisation) |
Toutes les actions. |
Admin Role (Rôle Admin) |
Toutes les actions. |
Ce groupe est activé par défaut.
Tableau 10–13 Groupes d'événements et événements de Service Provider
Type |
Actions |
---|---|
Directory User (Utilisateur du répertoire) |
Créer, Légende post-opération, Légende pré-opération, Mettre à jour les réponses d’authentification, Modifier, Récupération du nom d’utilisateur, Réponse de repêchage, Supprimer |
Ce groupe est désactivé par défaut.
Tableau 10–14 Groupes d'événements et événement de Gestion des tâches par défaut
Type |
Actions |
---|---|
TaskInstance (Instance de tâche) |
Toutes les actions. |
TaskDefinition (Définition de tâches) |
Toutes les actions. |
TaskSchedule (Planification de la tâche) |
Toutes les actions. |
TaskResult (Résultat de la tâche) |
Toutes les actions. |
ProvisioningTask (Tâche de provisioning) |
Toutes les actions. |
Tout nouveau type ajouté à la classe com.waveset.object.Type peut être contrôlé. Une clé de base de données unique composée de deux caractères et stockée dans la base de données doit être assignée à tout nouveau type. Tous les nouveaux types sont ajoutés aux diverses interfaces de génération de rapports d'audit. Tout nouveau type devant être consigné dans la base de données sans être filtré doit être ajouté à l'attribut enabledEvents d'un groupe d'événements de contrôle (comme décrit dans la section relative à l'attribut enabledEvents).
Vous pouvez dans certains cas vouloir contrôler un élément associé à aucun com.waveset.object.Type ou représenter un type existant avec une granularité plus poussée.
Par exemple, l'objet WSUser stocke l'ensemble des informations de compte de l'utilisateur dans le référentiel. Au lieu de marquer chaque événement comme de type USER, le processus d'audit scinde l'objet WSUser en deux types d'audit différents (Compte de ressource et Compte Identity Manager). Scinder l'objet de cette façon facilite la recherche d'informations de compte spécifiques dans le journal d'audit.
Ajoutez des types d'audit étendus en les ajoutant à l'attribut extendedObjects. Chaque objet étendu doit avoir les attributs listés dans le tableau suivant.
Tableau 10–15 Attributs d'objet étendus
Argument |
Type |
Description |
---|---|---|
name |
Chaîne |
Nom du type, est utilisé lors de la construction d'AuditEvents et pendant le filtrage d'événements. |
displayName |
Chaîne |
Clé du catalogue de messages représentant le nom du type. |
logDbKey |
Chaîne |
Clé de base de données formée de deux caractères à utiliser pour stocker cet objet dans la table du journal. Pour les valeurs réservées, voir Mappages de la base de données du journal d'audit. |
supportedActions |
Liste |
Actions prises en charge par ce type d'objets. Cet attribut sera utilisé pour la création de requêtes d'audit depuis l'interface utilisateur. Si cette valeur est null, toutes les actions seront affichées comme des valeurs possibles à demander pour ce type d'objets. |
mapsToType |
Chaîne |
(facultatif) Nom du com.waveset.object.Type mappant vers ce type, le cas échéant. Cet attribut est utilisé lors des tentatives de résolution de l'appartenance d'un objet à une organisation si cet élément n'est pas déjà spécifié sur l'événement. |
organizationalMembership |
Liste |
(facultatif) Liste par défaut des ID des organisations où les événements de ce type doivent être placés s'ils n'ont pas déjà une appartenance à une organisation assignée. |
Toutes les clés spécifiques au client doivent commencer par le symbole # pour éviter tout doublon en cas d'ajout de nouvelles clés internes.
L'Exemple 10–6 illustre le type étendu Compte Identity Manager.
<Object name=’LighthouseAccount’> <Attribute name=’displayName’ value=’LG_LIGHTHOUSE_ACCOUNT’/> <Attribute name=’logDbKey’ value=’LA’/> <Attribute name=’mapsToType’ value=’User’/> <Attribute name=’supportedActions’> <List> <String>Disable</String> <String>Enable</String> <String>Create</String> <String>Modify</String> <String>Delete</String> <String>Rename</String> </List> </Attribute> </Object> |
Les actions d'audit mappent normalement vers des objets com.waveset.security.Right. Lorsque vous ajoutez de nouveaux objets Right (droit), vous devez spécifier une logDbKey de deux caractères, qui sera stockée dans la base de données. Vous pouvez rencontrer des cas de figure dans lesquels il n'y a pas de droit correspondant à une action particulière devant être contrôlée. Vous pouvez étendre les actions en les ajoutant à la liste d'objets de l'attribut extendedActions.
Chaque objet extendedActions doit comprendre les attributs listés dans le Tableau 10–16.
Tableau 10–16 Attributs de extendedAction
Attribut |
Type |
Description |
---|---|---|
name |
Chaîne |
Nom de l'action, est utilisé lors de la construction d'AuditEvents et pendant le filtrage d'événements. |
displayName |
Chaîne |
Clé du catalogue de messages représentant le nom de l'action. |
logDbKey |
Chaîne |
Clé de base de données formée de deux caractères à utiliser pour stocker cette action dans le tableau du journal. Pour les valeurs réservées, voir Mappages de la base de données du journal d'audit. |
Toutes les clés spécifiques au client doivent commencer par le symbole # pour empêcher tout doublon en cas d'ajout de nouvelles clés internes.
Le Tableau 10–16 illustre l'ajout d'une action pour Fermer la session.
<Object name=’Logout’> <Attribute name=’displayName’ value=’LG_LOGOUT’/> <Attribute name=’logDbKey’ value=’LO’/> </Object> |
En plus d'étendre les types et les actions d'audit, vous pouvez ajouter des résultats. Par défaut, il y a deux résultats : Réussite et Échec. Vous pouvez étendre les résultats en en ajoutant à la liste d'objets de l'attribut extendedResults.
Chaque objet extendedResults doit comprendre les attributs listés dans le Tableau 10–17.
Tableau 10–17 Attributs de extendedResults
Attribut |
Type |
Description |
---|---|---|
name (nom) |
Chaîne |
Nom du résultat, est utilisé lors de la définition du statut sur activé. |
displayName (Nom à afficher) |
Chaîne |
Clé du catalogue de messages représentant le nom d'un résultat. |
logDbKey |
Chaîne |
Clé de base de données formée de un caractère à utiliser pour stocker ce résultat dans le tableau du journal. Pour les valeurs réservées, voir la section intitulée Clés de la base de données. |
Toutes les clés spécifiques au client doivent commencer par la plage 0–9 pour empêcher tout doublon en cas d'ajout de nouvelles clés internes.
Tous les éléments de la liste publishers sont des objets génériques. Chaque objet publishers a les attributs suivants.
Tableau 10–18 Attributs de publishers
Attribut |
Type |
Description |
---|---|---|
class (Classe) |
Chaîne |
Nom de la classe de l'éditeur. |
displayName (Nom à afficher) |
Chaîne |
Clé du catalogue de messages représentant le nom de l'éditeur. |
description (Description) |
Chaîne |
Description de l'éditeur. |
filters (Filtres) |
Liste |
Liste des groupes d'audit assignés à cet éditeur. |
formatter (Programme de formatage) |
Chaîne |
Nom du programme de formatage (le cas échéant). |
options (Options) |
Liste |
Liste des options de l'éditeur. Ces options sont spécifiques à l'éditeur ; chaque élément de la liste est une représentation de mappe de PublisherOption. Voir exemples dans sample/auditconfig.xml. |