test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Configuration d'audit

La configuration d'audit est composée de un ou plusieurs éditeurs et de plusieurs groupes prédéfinis.

Un groupe d'audit définit un sous-ensemble des événements de contrôle sur la base des types d'objets, actions et résultats des actions. Chaque éditeur se voit assigner un ou plusieurs groupes d'audit. Par défaut, l'éditeur du référentiel est assigné à tous les groupes d'audit.

Un éditeur d'audit délivre des événements de contrôle à une destination d'audit particulière. L'éditeur de référentiel par défaut écrit les enregistrements d'audit dans le référentiel. Tout éditeur d'audit peut avoir des options spécifiques à l'implémentation. Les éditeurs d'audit peuvent avoir un programme de formatage assigné (les programmes de formatage assurent la représentation textuelle des événements de contrôle).

L'objet Configuration d’audit (#ID#Configuration:AuditConfiguration) est défini dans le fichier sample/auditconfig.xml. Cet objet Configuration a une extension qui est un objet générique.

Au niveau supérieur, cet objet Configuration a les attributs suivants :

Attribut filterConfiguration

L'attribut filterConfiguration liste les groupes d'événements, utilisés pour permettre à un ou plusieurs événements de passer à travers le filtre d'événements. Chacun des groupes listés dans l'attribut filterConfiguration contient les attributs listés dans le Tableau 10–2.

Tableau 10–2 Attributs de filterConfiguration

Attribut 

Type 

Description 

groupName

Chaîne 

Nom du groupe d'événements 

displayName

Chaîne 

Clé du catalogue de messages représentant le nom du groupe 

enabled

Chaîne 

Indicateur booléen indiquant si l'ensemble du groupe est activé ou désactivé. L'attribut est une optimisation pour l'objet de filtrage. 

enabledEvents

Liste 

Liste d'objets génériques décrivant les événements activés par un groupe. Un événement doit être listé pour en permettre la consignation. Chaque objet listé doit avoir les attributs suivants : 

  • objectType (Chaîne) : nomobjectType ;

  • actions (Liste) : liste d'une ou plusieurs actions ;

  • results (Liste) : liste d'un ou plusieurs résultats.

L'Exemple 10–5 illustre le groupe Gestion des ressources (Resource Management) par défaut.

Exemple 10–5 Le groupe Gestion des ressources (Resource Management) par défaut


<Object name=’Resource Management’> <Attribute name=’enabled’ value=’true’/> 
<Attribute name=’displayName’ value=’UI_RESOURCE_MGMT_GROUP_DISPLAYNAME’/> 
<Attribute name=’enabledEvents’> <List> <Object> <Attribute name=’objectType’ value=’Resource’/> 
<Attribute name=’actions’ value=’ALL’/> <Attribute name=’results’ value=’ALL’/> </Object> <Object> 
<Attribute name=’objectType’ value=’ResourceObject’/> <Attribute name=’actions’ value=’ALL’/> 
<Attribute name=’results’ value=’ALL’/> </Object> </List> </Attribute> </Object>

Identity Manager fournit des groupes d'événements de contrôle par défaut. Ces groupes et les événements qu'ils autorisent sont décrits dans les sections suivantes :

Vous pouvez configurer des groupes d'événements de contrôle à partir de la page Configuration d'audit de l'interface administrateur d'Identity Manager (Configurer > Vérification informatique). Pour les instructions, voir Configuration de groupes et d'événements d'audit.

Vous pouvez aussi configurer les événements de type réussite et échec pour chaque groupe toujours à partir de la page Configuration d'audit. L'interface ne prend pas en charge l'ajout ou la modification d'événements pour les groupes, mais vous pouvez le faire en utilisant les pages de débogage d'Identity Manager (Page de débogage d'Identity Manager).

Remarque –

Certaines actions que vous pouvez choisir pour un audit ne génèrent pas d'enregistrement de journal.. De même, sélectionner l'option « All Actions » (Toutes les actions) ne signifie pas que toutes les actions listées sont disponibles ou possibles pour tous les groupes d'événements de contrôle.

Groupe Gestion des comptes

Ce groupe est activé par défaut.

Tableau 10–3 Groupes d'événements Gestion des comptes par défaut

Type  

Actions  

Encryption Key (Clé de chiffrement)

Toutes les actions. 

Identity System Account (Compte Identity System)

Toutes les actions. 

Resource Account (Compte de ressources)

Activer, Approuver, Créer, Désactiver, Déverrouiller, Modifier, Rejeter, Renommer, Supprimer 

Workflow Case (Case flux de travaux)

Démarrer l’activité, Démarrer le flux de travaux, Démarrer le processus, Terminer l’activité, Terminer le flux de travaux, Terminer le processus  

User (Utilisateur)

Activer, Approuver, Créer, Désactiver, Modifier, Rejeter, Renommer, Supprimer 

Groupe Modifications hors Identity System

Ce groupe est désactivé par défaut.

Tableau 10–4 Groupes d'événements et événements de Modifications hors Identity Manager

Type  

Actions  

ResourceAccount (Compte de ressource)

NativeChange

Groupe Gestion de la conformité

Ce groupe est activé par défaut.

Tableau 10–5 Événements du groupe Gestion de la conformité par défaut

Type  

Actions  

Audit Policy (Stratégie d’audit)

Toutes les actions. 

AccessScan (Scannage des accès)

Toutes les actions. 

ComplianceViolation (ComplianceViolation)

Toutes les actions. 

Data Exporter (Exportateur de données)

Toutes les actions. 

UserEntitlement (UserEntitlement)

Approuvé par l’attestateur, Arrêter, Nouveau scannage requis, Rejeté par l’attestateur, Résolution demandée 

Access Review Workflow (Flux de travaux de l’examen des accès)

Toutes les actions. 

Remediation Workflow (Flux de travaux de résolution)

Toutes les actions. 

Groupe Gestion de la configuration

Ce groupe est activé par défaut.

Tableau 10–6 Groupes d'événements de Gestion de la configuration par défaut

Type  

Actions  

Configuration (Configuration)

Toutes les actions. 

UserForm (Formulaire utilisateur)

Toutes les actions. 

Rule (Règle)

Toutes les actions. 

EmailTemplate (Modèle d’e-mail)

Toutes les actions. 

LoginConfig (Config. de connexion)

Toutes les actions. 

Policy (Stratégie)

Toutes les actions. 

XmlData (Données XML)

Importer 

Log (Journal)

Toutes les actions. 

Groupe Gestion d’événement

Ce groupe est activé par défaut.

Tableau 10–7 Groupes d'événements de Gestion d’événement par défaut

Type  

Actions  

Email (E-mail)

Notifier 

TestNotification (Notification de test)

Notifier 

Groupe Connexions/Déconnexions

Ce groupe est activé par défaut.

Tableau 10–8 Groupes d'événements de Connexions/Déconnexions d'Identity Manager par défaut

Type  

Actions  

User (Utilisateur)

Connexion, Déverrouiller, Fermer la session, Informations d’identification expirées, Récupération du nom d’utilisateur, Verrouiller 

Groupe Gestion des mots de passe

Ce groupe est activé par défaut.

Tableau 10–9 Groupes d'événements et événements de Gestion des mots de passe par défaut

Type  

Actions  

Compte de ressources 

Modifier le mot de passe, Réinitialiser le mot de passe 

Groupe Gestion des ressources

Ce groupe est activé par défaut.

Tableau 10–10 Groupes d'événements et événements de Gestion des ressources par défaut

Type  

Actions  

Resource (Ressource)

Toutes les actions. 

Resource Object (Objet de ressource)

Toutes les actions. 

ResourceForm (Formulaire de ressource)

Toutes les actions. 

ResourceAction (Action de ressource)

Toutes les actions. 

AttrParse (AttrParse)

Toutes les actions. 

Workflow Case (Case flux de travaux)

Démarrer l’activité, Démarrer le flux de travaux, Démarrer le processus, Terminer l’activité, Terminer le flux de travaux, Terminer le processus  

Groupe Gestion des rôles

Ce groupe est désactivé par défaut.

Tableau 10–11 Groupes d'événements et événements de Gestion des rôles par défaut

Type  

Actions  

Role (Rôle)

Toutes les actions. 

Groupe Gestion de la sécurité

Ce groupe est activé par défaut.

Tableau 10–12 Groupes d'événements et événements de Gestion de la sécurité par défaut

Type  

Actions  

Capability (Capacité)

Toutes les actions. 

EncryptionKey (Clé de chiffrement)

Toutes les actions. 

Organization (Organisation)

Toutes les actions. 

Admin Role (Rôle Admin)

Toutes les actions. 

Groupe Service Provider

Ce groupe est activé par défaut.

Tableau 10–13 Groupes d'événements et événements de Service Provider

Type  

Actions  

Directory User (Utilisateur du répertoire)

Créer, Légende post-opération, Légende pré-opération, Mettre à jour les réponses d’authentification, Modifier, Récupération du nom d’utilisateur, Réponse de repêchage, Supprimer 

Groupe Gestion des tâches

Ce groupe est désactivé par défaut.

Tableau 10–14 Groupes d'événements et événement de Gestion des tâches par défaut

Type  

Actions  

TaskInstance (Instance de tâche)

Toutes les actions. 

TaskDefinition (Définition de tâches)

Toutes les actions. 

TaskSchedule (Planification de la tâche)

Toutes les actions. 

TaskResult (Résultat de la tâche)

Toutes les actions. 

ProvisioningTask (Tâche de provisioning)

Toutes les actions. 

L'attribut extendedTypes

Tout nouveau type ajouté à la classe com.waveset.object.Type peut être contrôlé. Une clé de base de données unique composée de deux caractères et stockée dans la base de données doit être assignée à tout nouveau type. Tous les nouveaux types sont ajoutés aux diverses interfaces de génération de rapports d'audit. Tout nouveau type devant être consigné dans la base de données sans être filtré doit être ajouté à l'attribut enabledEvents d'un groupe d'événements de contrôle (comme décrit dans la section relative à l'attribut enabledEvents).

Vous pouvez dans certains cas vouloir contrôler un élément associé à aucun com.waveset.object.Type ou représenter un type existant avec une granularité plus poussée.

Par exemple, l'objet WSUser stocke l'ensemble des informations de compte de l'utilisateur dans le référentiel. Au lieu de marquer chaque événement comme de type USER, le processus d'audit scinde l'objet WSUser en deux types d'audit différents (Compte de ressource et Compte Identity Manager). Scinder l'objet de cette façon facilite la recherche d'informations de compte spécifiques dans le journal d'audit.

Ajoutez des types d'audit étendus en les ajoutant à l'attribut extendedObjects. Chaque objet étendu doit avoir les attributs listés dans le tableau suivant.

Tableau 10–15 Attributs d'objet étendus

Argument 

Type 

Description 

name

Chaîne 

Nom du type, est utilisé lors de la construction d'AuditEvents et pendant le filtrage d'événements. 

displayName

Chaîne 

Clé du catalogue de messages représentant le nom du type. 

logDbKey

Chaîne 

Clé de base de données formée de deux caractères à utiliser pour stocker cet objet dans la table du journal. Pour les valeurs réservées, voir Mappages de la base de données du journal d'audit.

supportedActions

Liste 

Actions prises en charge par ce type d'objets. Cet attribut sera utilisé pour la création de requêtes d'audit depuis l'interface utilisateur. Si cette valeur est null, toutes les actions seront affichées comme des valeurs possibles à demander pour ce type d'objets. 

mapsToType

Chaîne 

(facultatif) Nom du com.waveset.object.Type mappant vers ce type, le cas échéant. Cet attribut est utilisé lors des tentatives de résolution de l'appartenance d'un objet à une organisation si cet élément n'est pas déjà spécifié sur l'événement.

organizationalMembership

Liste 

(facultatif) Liste par défaut des ID des organisations où les événements de ce type doivent être placés s'ils n'ont pas déjà une appartenance à une organisation assignée. 

Toutes les clés spécifiques au client doivent commencer par le symbole # pour éviter tout doublon en cas d'ajout de nouvelles clés internes.

L'Exemple 10–6 illustre le type étendu Compte Identity Manager.

Exemple 10–6 Type étendu Compte Identity Manager


<Object name=’LighthouseAccount’> <Attribute name=’displayName’ value=’LG_LIGHTHOUSE_ACCOUNT’/> 
<Attribute name=’logDbKey’ value=’LA’/> <Attribute name=’mapsToType’ value=’User’/> 
<Attribute name=’supportedActions’> <List> <String>Disable</String> <String>Enable</String> 
<String>Create</String> <String>Modify</String> <String>Delete</String> <String>Rename</String> 
</List> </Attribute> </Object>

L'attribut extendedActions

Les actions d'audit mappent normalement vers des objets com.waveset.security.Right. Lorsque vous ajoutez de nouveaux objets Right (droit), vous devez spécifier une logDbKey de deux caractères, qui sera stockée dans la base de données. Vous pouvez rencontrer des cas de figure dans lesquels il n'y a pas de droit correspondant à une action particulière devant être contrôlée. Vous pouvez étendre les actions en les ajoutant à la liste d'objets de l'attribut extendedActions.

Chaque objet extendedActions doit comprendre les attributs listés dans le Tableau 10–16.

Tableau 10–16 Attributs de extendedAction

Attribut 

Type 

Description 

name

Chaîne 

Nom de l'action, est utilisé lors de la construction d'AuditEvents et pendant le filtrage d'événements. 

displayName

Chaîne 

Clé du catalogue de messages représentant le nom de l'action. 

logDbKey

Chaîne 

Clé de base de données formée de deux caractères à utiliser pour stocker cette action dans le tableau du journal. 

Pour les valeurs réservées, voir Mappages de la base de données du journal d'audit.

Toutes les clés spécifiques au client doivent commencer par le symbole # pour empêcher tout doublon en cas d'ajout de nouvelles clés internes.

Le Tableau 10–16 illustre l'ajout d'une action pour Fermer la session.

Exemple 10–7 Ajout d'une action pour Fermer la session


<Object name=’Logout’> <Attribute name=’displayName’ value=’LG_LOGOUT’/> 
<Attribute name=’logDbKey’ value=’LO’/> </Object>

L'attribut extendedResults

En plus d'étendre les types et les actions d'audit, vous pouvez ajouter des résultats. Par défaut, il y a deux résultats : Réussite et Échec. Vous pouvez étendre les résultats en en ajoutant à la liste d'objets de l'attribut extendedResults.

Chaque objet extendedResults doit comprendre les attributs listés dans le Tableau 10–17.

Tableau 10–17 Attributs de extendedResults

Attribut 

Type 

Description 

name (nom)

Chaîne 

Nom du résultat, est utilisé lors de la définition du statut sur activé. 

displayName (Nom à afficher)

Chaîne 

Clé du catalogue de messages représentant le nom d'un résultat. 

logDbKey

Chaîne 

Clé de base de données formée de un caractère à utiliser pour stocker ce résultat dans le tableau du journal. Pour les valeurs réservées, voir la section intitulée Clés de la base de données. 

Toutes les clés spécifiques au client doivent commencer par la plage 0–9 pour empêcher tout doublon en cas d'ajout de nouvelles clés internes.

L'attribut publishers

Tous les éléments de la liste publishers sont des objets génériques. Chaque objet publishers a les attributs suivants.

Tableau 10–18 Attributs de publishers

Attribut 

Type 

Description 

class (Classe)

Chaîne 

Nom de la classe de l'éditeur.  

displayName (Nom à afficher)

Chaîne 

Clé du catalogue de messages représentant le nom de l'éditeur. 

description (Description)

Chaîne 

Description de l'éditeur. 

filters (Filtres)

Liste 

Liste des groupes d'audit assignés à cet éditeur. 

formatter (Programme de formatage)

Chaîne 

Nom du programme de formatage (le cas échéant). 

options (Options)

Liste 

Liste des options de l'éditeur. Ces options sont spécifiques à l'éditeur ; chaque élément de la liste est une représentation de mappe de PublisherOption. Voir exemples dans sample/auditconfig.xml.