Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Création d'une stratégie d'audit

Pour créer une stratégie d’audit, utilisez l'Assistant Stratégie d’audit.

Pour ouvrir l'Assistant Stratégie d’audit

L'Assistant Stratégie d’audit vous guide dans le processus de création d'une stratégie d'audit. Suivez les étapes ci-après pour accéder à cet assistant.

Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).

Cliquez sur l'onglet Conformité.

Le sous-onglet ou menu Gérer les stratégies s'ouvre.

Pour créer une nouvelle stratégie d'audit, cliquez sur Nouvelle.

Création d'une stratégie d'audit : Présentation

En utilisant l'assistant, vous exécuterez les tâches suivantes pour créer une stratégie d'audit :

sélectionner ou créer les règles à utiliser pour définir les limites de la stratégie ;
assigner des approbateurs et établir des limites de signalisation ;
assigner un flux de travaux de résolution.

Après avoir effectué les tâches présentées dans chacun des écrans de l'assistant, cliquez sur Suivant pour passer à l'étape suivante.

Avant de commencer

Créer une stratégie d'audit ne s'improvise pas. Avant de commencer, vérifiez que vous avez bien effectué les tâches suivantes :

Identifié les règles que vous utiliserez pour créer la stratégie dans l'Assistant Stratégie d’audit. Les règles choisies dépendent du type de la stratégie créée et des limites spécifiques que vous voulez définir. Pour plus d'informations, voir Pour identifier les règles dont vous avez besoin dans la section suivante.
Importé tout flux de travaux de résolution ou règle à inclure dans la nouvelle stratégie. Pour plus d'informations, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.
Vérifié que vous avez les capacités requises pour créer des stratégies d'audit. Pour les capacités requises, voir la section Comprendre et gérer les capacités au Chapitre 6Administration.

Pour identifier les règles dont vous avez besoin

Les contraintes que vous indiquez dans la stratégie sont implémentées dans un ensemble de règles que vous créez ou importez. Lorsque vous utilisez l'Assistant Stratégie d’audit pour créer une règle, suivez les étapes ci-après :

Identifiez la ressource spécifique avec laquelle vous travaillez.

Sélectionnez un attribut de compte dans la liste des attributs valides pour cette ressource.

Sélectionnez une condition à imposer sur l'attribut.

Saisissez une valeur pour la comparaison.

Pour toute information sur la création de règles de stratégie d'audit sans l'assistant Stratégie d'audit, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

(facultatif) Importation des règles de séparation des obligations dans Identity Manager

L'Assistant Stratégie d'audit ne peut pas créer de règles de séparation des obligations. Vous devez élaborer ces règles hors d'Identity Manager puis les importer en utilisant l'option Importer le fichier d’échange de l'onglet Configurer.

(facultatif) Importation d'un flux de travaux dans Identity Manager

Pour importer un flux de travaux externe

Pour utiliser un flux de travaux de résolution qui n'est pas actuellement disponible dans Identity Manager, importez le flux de travaux externe. Vous pouvez créer des flux de travaux personnalisés en utilisant un éditeur XML ou l'Identity Manager IDE.

Définissez authType=’AuditorAdminTask’ et ajoutez subtype=’SUBTYPE_REMEDIATION_WORKFLOW’ . Vous pouvez utiliser Identity Manager IDE ou l'éditeur XML de votre choix pour définir ces objets Configuration.

Importez le flux de travaux en utilisant l'option Importer le fichier d’échange.
1. Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).
2. Cliquez sur l'onglet Configurer puis sur le sous-onglet ou le menu Importer le fichier d’échange.
  
  La page Importer le fichier d’échange s'ouvre.
3. Parcourez la structure de répertoires jusqu'au fichier de flux de travaux à télécharger puis cliquez sur Importer.
  
  Après avoir réussi à importer le flux de travaux, ce dernier s'affiche dans la liste d'options Flux de travaux de résolution de l'Assistant Stratégie d'audit (Création d'une stratégie d'audit).

Nommage et description de la stratégie d'audit

Saisissez le nom de la nouvelle stratégie et une brève description dans l'Assistant Stratégie d'audit (représenté à la Figure 14–1).

Figure 14–1 Assistant Stratégie d’audit: écran de saisie du nom et de la description

Figure représentant l'écran Assistant Stratégie d’audit

Remarque –

Les noms de stratégies d’audit ne peuvent pas contenir les caractères suivants : ’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles), \ (backslash) ou = (signe égal).

Vous devez aussi éviter d'utiliser les caractères suivants : _ (trait de soulignement), % (signe du pourcentage), ^ (caret) et * (astérisque).

Si vous voulez que seules des ressources sélectionnées fassent l'objet d'accès lors de l'exécution du scannage, sélectionnez l'option Restreindre les ressources cible.

Si vous voulez que la résolution d'une violation entraîne le rescannage immédiat de l'utilisateur, sélectionnez l'option Autorisation de nouveaux scannages de violations.

Remarque –

Si la stratégie d'audit ne restreint pas les ressources, toutes les ressources pour lesquelles un utilisateur a des comptes feront l'objet d'accès pendant le scannage. Si les règles n'utilisent que quelques ressources, il est plus efficace de restreindre la stratégie à ces ressources.

Cliquez sur Suivant pour passer à la page suivante.

Pour sélectionner un type de règle

Utilisez cette page pour lancer le processus consistant à définir ou inclure des règles dans votre stratégie (le gros du travail quand vous créez une stratégie consiste justement à définir et créer des règles).

Comme indiqué sur la figure suivante, vous pouvez choisir de créer votre propre règle en utilisant l'Assistant Règle d'Identity Manager ou d'incorporer une règle existante. L'Assistant Règle ne permet d'utiliser qu'une ressource dans une règle tandis que les règles importées peuvent en référencer autant que nécessaire.

Figure représentant l'Assistant Règle de stratégie d’audit

Décidez si créer une nouvelle règle ou utiliser une règle existante.

Choisissez l'une des options suivantes :
- Pour créer une nouvelle règle, choisissez l'option Assistant Règle (paramètre par défaut).
- Pour incorporer une règle existante que vous avez créée en utilisant l'Identity Manager IDE, choisissez l'option Règle existante.

Cliquez sur Suivant.

Selon la sélection effectuée à l'étape 1, continuez par l'une ou l'autre des sections suivantes :
- Si vous avez sélectionné Assistant Règle, allez à la section Pour utiliser l'Assistant Règle pour créer une nouvelle règle et suivez les instructions fournies.
- Si vous avez sélectionné Règle existante, allez à la section Pour sélectionner une règle existante et suivez les instructions fournies.

Pour sélectionner une règle existante

Pour inclure une règle existante dans la nouvelle stratégie, sélectionnez Règle existante sur l'écran Sélectionnez un type de règle puis cliquez sur Suivant. Sélectionnez ensuite une règle de stratégie d'audit existante dans le menu déroulant Sélectionner une règle existante.

Remarque –

Si vous ne voyez pas le nom d'une règle que vous avez importée au préalable dans Identity Manager, vérifiez si vous avez bien ajouté à cette règle les attributs supplémentaires décrits dans Création d'une stratégie avec les règles de stratégie d'audit.

Cliquez sur Suivant.

Allez directement à la section Ajout de règles.

Pour utiliser l'Assistant Règle pour créer une nouvelle règle

Si vous choisissez de créer une règle en utilisant la sélection Assistant Règle dans l'Assistant Stratégie d'audit, précédez en saisissant les informations requises dans les pages examinées dans les sections suivantes.

Pour nommer et décrire une règle

Vous pouvez, en option, donner un nom à la nouvelle règle et la décrire. Utilisez cette page pour entrer le texte de la description qui s'affichera à proximité du nom de la règle à chaque fois qu'Identity Manager affichera la règle. Entrez une description concise et claire qui ait un sens pour décrire la règle. Cette description s'affichera dans Identity Manager sur la page Examen de la violation de stratégie.

Figure 14–2 Assistant Stratégie d'audit : écran de saisie de la description de la règle

Figure illustrant comment nommer et décrire une nouvelle règle

Par exemple, pour créer une règle identifiant les utilisateurs ayant les deux valeurs d'attribut Oracle ERP responsibilityKey Payable User et Receivable User, vous pouvez entrer le texte suivant dans le champ Description : Identifie les utilisateurs responsables à la fois des comptes fournisseurs et des comptes clients.

Utilisez le champ Commentaires pour indiquer des informations supplémentaires sur la règle.

Sélectionnez la ressource référencée par la règle

Utilisez cette page pour sélectionner la ressource que la règle référencera. Toute variable de la règle doit correspondre à un attribut sur cette ressource. Toutes les ressources auxquelles vous avez accès en consultation s'afficheront dans cette liste d'options. Dans cet exemple, Oracle ERP est sélectionné.

Figure 14–3 Assistant Stratégie d'audit : écran Sélectionner ressource

Figure illustrant comment sélectionner une ressource pour qu'une règle la référencie

Remarque –

La plupart mais pas tous les attributs de chacun des adaptateurs de ressources disponibles sont pris en charge. Pour toute information sur les attributs spécifiques disponibles, voir le guide Sun Identity Manager 8.1 Resources Reference.

Cliquez sur Suivant pour passer à la page suivante.

Création de l'expression de la règle

Cet écran permet d'entrer l'expression de votre nouvelle règle. Cet exemple crée une règle dans laquelle un utilisateur ayant la valeur d'attribut Oracle ERP responsibilityKey Payable User ne peut pas aussi avoir la valeur d'attribut Receivable User.

Pour créer une expression de règle

Sélectionnez un attribut d'utilisateur dans la liste des attributs disponibles. Cet attribut correspondra directement à une variable de règle.

Sélectionnez une condition logique dans la liste. Les conditions valides sont les suivantes : = (égal à ), != (différent de), < (inférieur à ), <= (inférieur ou égal à ), > (supérieur à ), >= (supérieur ou égal à ), is true (est vrai), is null (est null), is not null (non null) et contains (contient). Aux fins de cet exemple, vous pouvez sélectionner contains dans la liste des conditions d'attribut possibles.

Saisissez une valeur pour l'expression. Par exemple, si vous entrez Payable user, vous spécifiez un utilisateur Oracle ERP ayant la valeur Payable user dans l'attribut responsibilityKeys.

(facultatif) Cliquez sur l'un des opérateurs AND (ET) ou OR (OU) pour ajouter une ligne et créer une nouvelle expression.

Figure 14–4 Assistant Stratégie d'audit : écran de sélection de l'expression de la règle

Figure illustrant l'écran de sélection de l'expression de la règle dans l'Assistant Stratégie d'audit

Cette règle retourne une valeur booléenne. Si les deux instructions sont vraies, la règle de stratégie retourne la valeur TRUE, qui entraîne une violation de stratégie.

Remarque –

Identity Manager ne prend pas en charge le contrôle d'imbrication de règles. De plus, utiliser l'Assistant Stratégie d'audit pour créer des stratégies avec différents opérateurs booléens entre les règles peut produire des résultats imprévisibles car l'ordre d'évaluation n'est pas précisé.

Pour les expressions de règle complexes, créez les règles en utilisant un éditeur XML au lieu d'utiliser l'Assistant Stratégie d'audit. Utiliser un éditeur XML permet d'utiliser l'inversion quand cela est nécessaire afin d'utiliser seulement un unique opérateur booléen entre les règles.

L'exemple de code suivant montre le XML de la règle que vous avez créée dans cet écran :

<Description>Payable User/Receivable User</Description>
  <RuleArgument name=’resource’ value=’Oracle ERP’>
    <Comments>Resource specified when  audit policy was created.</Comments>
    <String>Oracle ERP</String>
  </RuleArgument>
    <and>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Receivable User</s>
      </contains>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Payables User</s>
      </contains>
    </and>
    <MemberObjectGroups>
      <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
    </MemberObjectGroups>
</Rule>

Pour supprimer une expression de la règle, sélectionnez la condition d'attribut et cliquez sur Supprimer.

Cliquez sur Suivant pour poursuivre avec l'Assistant Stratégie d'audit. Vous aurez la possibilité d'ajouter davantage de règles soit en ajoutant des règles existantes soit en utilisant de nouveau l'assistant.

Ajout de règles

Vous pouvez créer des règles supplémentaires en important des règles existantes ou en utilisant l'assistant (pour plus d’informations, voir Pour sélectionner un type de règle).

Cliquez sur les opérateurs AND (ET) ou OR (OU) pour ajouter les règles comme requis. Pour supprimer une règle, sélectionnez-la et cliquez sur Supprimer.

Des violations de stratégie n'ont lieu que si l'expression booléenne de toutes les règles donne true. En regroupant les règles avec les opérateurs AND/OR, la stratégie peut se solder par true, même si ce n'est pas le cas de toutes les règles. Identity Manager crée des violations uniquement pour les règles dont l'évaluation se solde par true et uniquement si l'évaluation de l'expression de la stratégie donne true.

Remarque –

Identity Manager ne prend pas en charge la commande d'imbrication de règles. De plus, utiliser l'Assistant Stratégie d'audit pour créer des stratégies avec différents opérateurs booléens entre les règles peut produire des résultats imprévisibles car l'ordre d'évaluation n'est pas précisé.

Sélection d'un flux de travaux de résolution

Utilisez cet écran pour sélectionner un flux de travaux de résolution à associer à cette stratégie. Le flux de travaux ici assigné détermine les actions lancées au sein d'Identity Manager lorsqu'une violation d'audit est détectée.

Remarque –

Un flux de travaux est démarré pour chaque stratégie d'audit occasionnant un échec. Chaque flux de travaux contiendra un ou plusieurs éléments de travail pour chaque violation de compatibilité créée par le scannage de stratégie pour la stratégie spécifique.

Figure 14–5 Assistant Stratégie d'audit : écran de sélection du flux de travaux de résolution

Figure illustrant l'écran de sélection du flux de travaux de résolution dans l'Assistant Stratégie d'audit

Remarque –

Pour toute information sur l'importation d'un flux de travaux que vous avez créé en utilisant un éditeur XML ou l'Identity Manager IDE, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.

Utilisez le menu déroulant Règle de formulaire utilisateur de résolution pour sélectionner une règle qui calculera le formulaire utilisateur à appliquer lors de l'édition d'un utilisateur par le biais de la résolution. Par défaut, un solutionneur qui édite un utilisateur en réponse à un élément de travail de résolution utilisera le formulaire utilisateur assigné au solutionneur. Si en revanche une stratégie d'audit spécifie un formulaire utilisateur de résolution, ce dernier formulaire sera utilisé. Cela permet l'utilisation d'un formulaire très spécifique quand une stratégie d'audit indique un problème spécifique correspondant.

Pour spécifier les solutionneurs à associer à ce flux de travaux de résolution, sélectionnez la case à cocher Définir les solutionneurs ?. Si vous sélectionnez cette option, cliquer sur Suivant affichera la page Assign Remediators (Assigner les solutionneurs). Si vous ne sélectionnez pas cette option, l'assistant affichera ensuite l'écran Assigner organisation de l'Assistant Stratégie d'audit.

Sélection des solutionneurs et des délais pour les résolutions

Si vous spécifiez des solutionneurs, les solutionneurs assignés à cette stratégie seront avertis en cas de détection de violation de cette stratégie. Par ailleurs, le flux de travaux par défaut leur assigne un élément de travail de résolution. Tout utilisateur Identity Manager peut être un solutionneur.

Vous pouvez choisir d'assigner au moins un solutionneur de niveau 1 ou un utilisateur désigné. Les solutionneurs de niveau 1 sont les premiers contactés au moyen d'un e-mail lancé par le flux de travaux de résolution en cas de détection d'un flux de travaux. Si le délai d'attente de signalisation désigné est atteint sans qu'un solutionneur de niveau 1 ait répondu, Identity Manager contacte ensuite le solutionneur de niveau 2 indiqué ici. Identity Manager ne contacte les solutionneurs de niveau 3 qui si aucun solutionneur, de niveau 1 ou 2, n'a répondu avant l'expiration du délai d'attente de signalisation.

Remarque –

Si vous indiquez une valeur de délai de signalisation pour le plus haut niveau de solutionneur sélectionné, l'élément de travail est supprimé de la liste lorsque la signalisation expire. Par défaut, le délai de signalisation est défini sur la valeur 0. Dans ce cas, l'élément de travail n'expire pas et reste dans la liste du solutionneur.

L'assignation de solutionneurs est facultative. Si vous sélectionnez cette option, cliquez ensuite sur Suivant pour passer à l'écran suivant après avoir spécifié les paramètres.

Pour ajouter des utilisateurs à la liste disponible des solutionneurs, entrez un ID utilisateur puis cliquez sur Ajouter. Une autre solution consiste à cliquer sur le bouton ... (Autres) afin de rechercher un ID utilisateur. Entrez un ou plusieurs caractères dans le champ commence par puis cliquez sur Trouver. Après avoir sélectionné un utilisateur dans la liste de recherche, cliquez sur Ajouter pour l'ajouter à la liste des solutionneurs. Cliquez sur Abandonner pour fermer la zone de recherche.

Pour supprimer un ID de la liste des solutionneurs, sélectionnez-le dans la liste puis cliquez sur Supprimer.

Figure 14–6 Assistant Stratégie d'audit : zone de sélection des solutionneurs de niveau 1

Figure illustrant la zone de sélection des solutionneurs de niveau 1 dans l'Assistant Stratégie d'audit

Sélection d'organisations pouvant accéder à la stratégie

Utilisez l'écran illustré à la Figure 14–7 pour sélectionner les organisations qui peuvent afficher et éditer cette stratégie.

Figure 14–7 Assistant Stratégie d'audit : écran d'assignation de visibilité aux organisations

Figure illustrant l'écran d'assignation de visibilité aux organisations dans l'Assistant Stratégie d'audit

Après avoir effectué les sélections d'organisations, cliquez sur Terminer pour créer la stratégie d'audit et revenir à la page Gérer les stratégies. La stratégie qui vient d'être créée est maintenant visible dans cette liste.