Chapitre 15 Audit : contrôler la conformité

Ce chapitre explique comment réaliser des audits et mettre en œuvre des procédures qui facilitent la gestion de la conformité aux réglementations fédérales applicables.

Sa lecture vous permettra de vous familiariser avec les principes et tâches suivants :

• Scannages et rapports des stratégies d’audit ;

• Résolution et atténuation des violations de conformité ;

• Examens d'accès périodiques et attestations ;

• Résolution de l'examen des accès.

Scannages et rapports des stratégies d’audit

Cette section contient des informations sur les scannages de stratégies d'audit et explique comment exécuter et gérer les scannages d'audit.

Scannage d'utilisateurs et d'organisations

Un scannage exécute des stratégies d'audit sélectionnées sur des utilisateurs individuels ou des organisations. Vous pouvez scanner un utilisateur ou une organisation afin de rechercher une violation spécifique ou mettre en œuvre des stratégies non assignées à l'utilisateur ou à l'organisation. Lancez les scannages depuis la zone Comptes de l'interface.

---

Remarque –

Vous pouvez également lancer ou programmer une stratégie d'audit sous l'onglet Tâches du serveur.

---

Pour scanner un compte utilisateur ou une organisation

1. Cliquez sur Comptes dans le menu principal de l'interface administrateur.

2. Dans la liste des comptes, vous pouvez :

   1. Sélectionner un ou plusieurs utilisateurs, puis Scannage dans la liste d'options Actions de l’utilisateur.

   2. Sélectionner une ou plusieurs organisations, puis l'option Scannage dans la liste Actions d’organisation.

      La boîte de dialogue Lancer une tâche s'affiche. La Figure 15–1 donne un exemple de page Lancer une tâche pour le scannage d'un utilisateur de stratégie d'audit.

      Figure 15–1 La boîte de dialogue Lancer une tâche

      
      

3. Entrez un titre pour le scannage dans le champ Titre du rapport (obligatoire).

4. Spécifiez les autres options.

   Ces options sont les suivantes :

   • Récapitulatif du rapport : entrez une description pour le scannage.

   • Add Policies (Ajouter des stratégies) : sélectionnez une ou plusieurs stratégies d'audit à exécuter. Vous devez sélectionner au moins une stratégie.

   • Mode de stratégie : sélectionnez un mode de stratégie, qui détermine le mode d'interaction entre les stratégies sélectionnées et les stratégies déjà assignées aux utilisateurs. Les assignations peuvent provenir directement de l'utilisateur ou de l'organisation à laquelle l'utilisateur est assigné.

   • Ne pas créer de violations : cochez cette case si vous voulez que les stratégies d'audit soient évaluées et les violations consignées, mais ne voulez pas que les violations de conformité soient créées ou mises à jour ni que les flux des travaux de résolution soient exécutés. Les résultats des tâches résultant du scannage indiquent les violations qui auraient été créées, ce qui rend cette option particulièrement utile pour tester les stratégies d'audit.

   • Exécuter le flux de travaux de résolution ? : cochez cette case pour exécuter le flux des travaux de résolution assignés dans la stratégie d'audit. Si la stratégie d'audit ne définit pas de flux de travaux de résolution, aucun flux de travaux de résolution ne sera exécuté.

   • Limite de violations : éditez cette case pour définir le nombre maximum de violations de conformité pouvant être émises par ce scannage avant son abandon. Il s’agit d’une mesure de protection permettant de limiter les risques d’exécution d'une stratégie d’audit trop ouvertement agressive dans ses vérifications. Une case vide (sans valeur) signifie qu'aucune limite n'a été définie.

   • Envoyer le rapport par e-mail : cochez cette case pour indiquer les destinataires du rapport. Identity Manager peut également joindre un fichier contenant un rapport au format CSV (valeurs séparées par une virgule).

   • Ignorer les options PDF par défaut : cochez cette case pour ignorer les options PDF par défaut.

5. Cliquez sur Lancer pour commencer le scannage.

   Pour voir les rapports d'un scannage d'audit, affichez les Rapports de l'auditeur.

Travailler avec les rapports de l'auditeur

Identity Manager fournit des rapports d'auditeur. Le tableau suivant décrit ces rapports.

Tableau 15–1 Description des rapports de l’auditeur

Type de rapport de l'auditeur	Description
Rapport de couverture des examens d'accès	Affiche les chevauchements ou les différences entre les utilisateurs ayant un rapport avec les examens d'accès sélectionnés. Vu que la plupart des examens d'accès se réfèrent aux utilisateurs spécifiés par une requête ou une opération d'appartenance, la liste exacte des utilisateurs peut varier avec le temps. Ce rapport peut montrer un chevauchement, des différences, ou les deux, entre les utilisateurs spécifiés dans deux examens des accès différents (pour voir si les examens seront efficaces) ; entre des habilitations générées par deux examens des accès différents (pour voir si la couverture change avec le temps) ; ou entre des utilisateurs et des habilitations (pour voir si des habilitations ont été générées pour tous les utilisateurs du même examen).
Détails de l'examen des accès	Affiche le statut de tous les enregistrements d'habilitation d'un utilisateur. Ce rapport peut être filtré en fonction de l'organisation d'un utilisateur, d'un examen des accès, d'une instance d'examen des accès, de l'état d'un enregistrement d'habilitation et d'un attestateur.
Récapitulatif de l’examen des accès	Fournit un récapitulatif de tous les examens des accès. Ce récapitulatif résume le statut des utilisateurs scannés, des stratégies scannées et des activités d'attestation relatives à chaque scannage d'examen d'accès listé.
Couverture de l'étendue des utilisateurs du balayage d'accès	Compare des scannages sélectionnés pour déterminer les utilisateurs inclus dans l'étendue du scannage. Indique les chevauchements (utilisateurs inclus dans tous les scannages) ou les différences (utilisateurs non compris dans tous les scannages, mais inclus dans plusieurs d'entre eux). Ce rapport s'avère pratique lorsque vous tentez d'organiser plusieurs scannages d'accès devant englober des utilisateurs identiques ou différents selon les besoins de l'opération.
Récapitulatif des stratégies d'audit	Récapitule les points essentiels de toutes les stratégies d'audit, y compris les règles, les solutionneurs et le flux des travaux de chacune.
Attribut audité	Affiche tous les rapports audités faisant état d'une modification d'un attribut de compte de ressource spécifié.  Ce rapport explore les données d'audit pour tous les attributs auditables précédemment sauvegardés. Il explorera les données en fonction de tous les attributs étendus pouvant être spécifiés depuis WorkflowServices ou les attributs de ressources marqués comme auditables. Pour toute information sur la configuration de ce rapport, voir la section Configuration du Rapport des attributs audités.
Historique des violations de stratégies d’audit	Représentation graphique de toutes les violations de conformité aux stratégies créées pendant un laps de temps spécifié. Ce rapport peut être filtré par stratégie et groupé par jour, semaine, mois ou trimestre.
Accès utilisateur	Affiche l'enregistrement d'audit et les attributs utilisateur d'un utilisateur spécifié.
Historique des violations d'organisations	Représentation graphique de toutes les violations de conformité aux ressources créées pendant un laps de temps spécifié. Ce rapport peut être filtré par organisation et groupé par jour, semaine, mois ou trimestre.
Historique des violations de ressources	Représentation graphique de toutes les violations de conformité par ressource, créées pendant un laps de temps spécifié.
Séparation des obligations	Affiche les violations de séparation des obligations dans un tableau de conflits. En utilisant une interface Web, vous pouvez cliquer sur les liens et avoir accès à des informations supplémentaires.   Ce rapport peut être filtré par organisation et groupé par jour, semaine, mois ou trimestre.
Récapitulatif des violations	Affiche toutes les violations de conformité actuelles. Ce rapport peut être filtré par solutionneur, ressource, règle, utilisateur ou stratégie

Les rapports sont disponibles sous l'onglet Rapports de l'interface d'Identity Manager

---

Remarque –

La valeur RULE_EVAL_COUNT représente le nombre de règles évaluées au cours d'un scannage de stratégies. Cette valeur est parfois incluse dans les rapports.

Identity Manager calcule la valeur RULE_EVAL_COUNT comme suit :

nb d'utilisateurs scannés x (nb de règles dans la stratégie + 1)

Le +1 est inclus dans le calcul parce que Identity Manager compte également la règle de stratégie, à savoir la règle qui détermine si une stratégie a été violée. La règle de stratégie inspecte les résultats de la règle d'audit et effectue une opération booléenne pour obtenir un résultat de stratégie.

Par exemple, si vous avez une stratégie A avec trois règles et une stratégie B avec deux règles, et que vous explorez dix utilisateurs, la valeur RULE_EVAL_COUNT sera égale à 70 parce que

10 utilisateurs x (3 + 1 + 2 + 1 règles)

---

Création d'un rapport de l'auditeur

Pour exécuter un rapport, vous devez d'abord créer un modèle de rapport. Vous pouvez définir plusieurs critères pour ce rapport, y compris des destinataires auxquels envoyer les résultats du rapport par e-mail. Après la création et l'enregistrement d'un modèle de rapport, ce modèle est disponible sur la page Exécuter des rapports.

La figure ci-dessous donne un exemple de la page Exécuter des rapports avec une liste de rapports d'auditeur définis.

Figure 15–2 Sélections de la page Exécuter des rapports.

Pour créer un rapport d'auditeur

1. Cliquez sur Rapports dans le menu principal de l'interface administrateur.

   La page Exécuter des rapports s'ouvre.

2. Sélectionnez Rapports de l’auditeur pour le type de rapport.

3. Sélectionnez un rapport dans la liste de rapports Nouveau.

   La page Définir un rapport s'ouvre. Les champs et la présentation de la boîte de dialogue changent en fonction du type du rapport. Accédez à l'Aide d'Identity Manager pour plus de détails sur la spécification des critères des rapports.

   Après avoir entré et sélectionné les critères du rapport, vous pouvez :

   • Exécuter le rapport sans l'enregistrer.

     Cliquez sur Exécuter pour lancer le rapport. Identity Manager n'enregistre pas le rapport (si vous avez défini un nouveau rapport) ni les critères du rapport modifiés (si vous avez modifié un rapport existant).

   • Enregistrer le rapport.

     Cliquez sur Enregistrer pour enregistrer le rapport. Après l'enregistrement, vous pouvez exécuter le rapport depuis la page Exécuter des rapports (liste des rapports). Après avoir exécuté un rapport depuis la page Exécuter des rapports, vous pouvez en afficher la sortie immédiatement ou ultérieurement depuis l'onglet Afficher les rapports.

   Pour plus de détails sur la planification d'un rapport, voir la section Programmation des rapports.

Configuration du Rapport des attributs audités

Le Rapport des attributs audités (voir Tableau 15–1) peut contenir les modifications d'attributs apportées aux utilisateurs et comptes Identity Manager. Toutefois, la journalisation d'audit standard ne génère pas de journal d'audit suffisamment riche en données pour prendre en charge une expression de requête complète.

La journalisation d'audit standard écrit les attributs modifiés dans le champ acctAttrChanges du journal d'audit, mais ces attributs modifiés sont écrits de telle manière que la requête de rapports ne recherche les enregistrements correspondants qu'en fonction du nom des attributs modifiés. La requête de rapports ne peut pas trouver de correspondance précise en fonction de la valeur des attributs.

Vous pouvez configurer ce rapport pour trouver les enregistrements contenant des changements ayant porté sur l'attribut lastname, en configurant les paramètres suivants :

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’

---

Remarque –

Il est nécessaire d'utiliser Condition=’contains’ en raison de la façon dont sont stockées les données dans le champ acctAttrChanges. Ce champ n'est pas multivalué. Il s'agit essentiellement d'une structure de données contenant les valeurs before/after (avant/après) de tous les attributs modifiés sous la forme nomattr=valeur Par conséquent, les paramètres précédents permettent à la requête de rapports de trouver toutes les instances de lastname= xxx.

---

Il est impossible de capturer uniquement les enregistrements d'audit ayant un attribut spécifique avec une valeur spécifique. Pour cela, procédez comme décrit dans la section Configuration de l'onglet Vérification informatique . Cochez la case Contrôler l’intégralité du flux de travaux, cliquez sur le bouton Ajouter un attribut pour sélectionner les attributs à enregistrer à des fins de génération de rapports, puis cliquez sur Enregistrer.

Activez ensuite la configuration du modèle de tâche (si elle n'est pas déjà activée). Pour cela, procédez comme décrit à la section Activation des modèles de tâches. Ne modifiez pas la valeur par défaut dans la liste des Types de processus sélectionnés ; cliquez uniquement sur Enregistrer.

Le flux des travaux peut maintenant fournir des enregistrements d'audit dont à la fois le nom et la valeur de l'attribut correspondent. Bien que l'activation de ce niveau d'audit fournisse bien plus d'informations, vous devez savoir qu'elle réduit significativement les performances et que vos flux de travail en seront ralentis.

Résolution et atténuation des violations de conformité

Cette section explique comment utiliser la fonction de résolution d'Identity Manager pour protéger le matériel critique.

Elle comprend les rubriques suivantes :

• À propos de la résolution ;

• Modèle d'e-mail de résolution ;

• Utilisation de la page Résolutions ;

• Affichage des violations de stratégies ;

• Hiérarchisation des violations de stratégie ;

• Atténuation des violations de stratégies ;

• Résolution des violations de stratégies ;

• Transfert des requêtes de résolution ;

• Édition d'un utilisateur à partir d'un élément de travail de résolution.

À propos de la résolution

Quand Identity Manager détecte une violation de la compatibilité avec la stratégie d'audit irrésolue (non atténuée), il crée une demande de résolution, qui doit être résolue par un solutionneur. Un solutionneur est un utilisateur désigné, autorisé à évaluer violations de stratégie d'audit et à y répondre.

Signalisation des solutionneurs

Identity Manager permet de définir trois niveaux de solutionneurs. Les demandes de résolution sont d'abord envoyées aux solutionneurs de niveau 1. Si aucun solutionneur de niveau 1 ne répond à une demande de résolution dans le délai d'attente imparti, Identity Manager signale la violation aux solutionneurs de niveau 2 et le compte à rebours du nouveau délai d'attente commence. Si aucun solutionneur de niveau 2 ne répond dans le délai d'attente imparti, la demande de résolution est signalée aux solutionneurs de niveau 3.

Pour la résolution, vous devez nommer au moins un solutionneur dans votre entreprise. La désignation de plusieurs solutionneurs pour chaque niveau est facultative, mais conseillée. Plusieurs solutionneurs aident à ne pas retarder ni arrêter le flux des travaux.

Sécurisation de l'accès aux résolutions

Les options d'autorisation suivantes se réfèrent aux éléments de travail d'authType RemediationWorkItem.

• Le propriétaire de l'élément de travail de résolution.

• Un responsable direct ou indirect du propriétaire de l'élément de travail de résolution.

• Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail de résolution.

Par défaut, les contrôles d'autorisation se comportent de l'une des façons suivantes :

• Le propriétaire est l'utilisateur qui tente l'action.

• Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.

• Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les options suivantes :

• controlOrg. Les valeurs valides sont true ou false.

• subordinate. Les valeurs valides sont true ou false.

• lastLevel. Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux. La valeur par défaut de lastLevel est -1, ce qui correspond à subordonnés directs et indirects.

Ces options peuvent être ajoutées ou modifiées dans les éléments suivants :

UserForm: Remediation List

Processus de flux de travaux de résolution

Identity Manager fournit le Standard Remediation Workflow (flux de travaux de résolution standard) qui assure le traitement de résolution pour les scannages de stratégie d'audit.

Le flux de travaux de résolution standard génère une demande de résolution (élément de travail de type examen) contenant des informations sur la violation de conformité et envoie une notification par e-mail à chaque solutionneur de niveau 1 désigné dans la stratégie d'audit. Quand un solutionneur atténue la violation, le flux de travail change l'état de l'objet Violation de conformité existant et lui assigne une date d'expiration.

Une violation de conformité est identifiée de manière univoque par la combinaison utilisateur, nom de stratégie et nom de règle. Une stratégie d'audit évaluée comme true détermine la création d'une nouvelle violation de conformité pour chaque combinaison utilisateur/ stratégie/règle, s'il n'existe pas déjà de violation correspondant à cette combinaison. Si aucune violation n'existe pour cette combinaison et que la violation et en état d'atténuation, le traitement du flux de travail ne prend aucune mesure. Si la violation existante n'est pas atténuée, sa numérotation récurrente est augmentée d'une unité.

Pour plus d'informations sur les flux de travaux de résolution, voir la section À propos des stratégies d'audit.

Réponse aux demandes de résolution

Par défaut, chaque solutionneur dispose de trois types de réponses :

• Résoudre. Un solutionneur indique qu'une mesure corrective a été prise pour résoudre le problème sur la ressource.

  En cas de modification d'une violation de conformité, Identity Manager crée un événement d'audit pour consigner la résolution. De plus, Identity Manager garde en mémoire le nom du solutionneur ainsi que les commentaires éventuels.

  ---

  Remarque –

  Une fois résolue, une violation n'est supprimée qu'au scannage d'audit suivant. Si une stratégie d'audit a été configurée pour permettre de nouveaux scannages, l'utilisateur sera rescanné dès la résolution de la violation.

  ---

• Atténuer. Un solutionneur autorise la violation et accorde à l'utilisateur une dispense de violation pour un certain laps de temps.

  Si la violation est volontaire (par exemple, un dossier commercial relevant de deux groupes), vous pouvez atténuer la violation pendant une longue période. Vous pouvez aussi atténuer la violation pendant une courte période de temps (par exemple, si l'administrateur système des ressources est en congé et que vous ne savez pas comment résoudre le problème).

  Identity Manager garde en mémoire le nom du solutionneur qui a atténué la violation, ainsi que la date d'expiration de la dispense et tout commentaire associé.

  ---

  Remarque –

  Quand Identity Manager détecte une dispense arrivée à expiration, il change l'état de la violation de « atténué » à « en attente ».

  ---

• Transférer. Un solutionneur réassigne la responsabilité de la résolution de la violation à un autre utilisateur.

Exemple de résolution

Votre entreprise établit une règle selon laquelle un utilisateur ne peut pas être à la fois responsable des comptes fournisseurs et des comptes clients et vous recevez une notification signalant qu'un utilisateur a violé cette règle.

• Si l'utilisateur est un superviseur ayant la responsabilité des deux rôles le temps que l'entreprise embauche une seconde personne pour le poste, vous pouvez atténuer la violation et émettre une dispense d'une durée maximale de six mois.

• Si l'utilisateur viole la règle, vous pouvez demander à votre Administrateur ERP Oracle de corriger le conflit puis de résoudre la violation une fois le problème réglé pour cette ressource. Sinon, vous pouvez transmettre la demande de résolution à votre Administrateur ERP Oracle.

Modèle d'e-mail de résolution

Identity Manager contient le modèle d'e-mail Avis de violation de stratégie (disponible en sélectionnant l'onglet Configuration puis le sous-onglet Modèles d’e-mails). Vous pouvez configurer ce modèle pour avertir les solutionneurs des violations en attente. Pour plus d'informations, voir la section Personnalisation des modèles d'e-mails du Chapitre 4Configuration des objets d'administration d'entreprise.

Utilisation de la page Résolutions

Sélectionnez Éléments de travail -> Résolutions pour accéder à la page Résolutions.

Vous pouvez utiliser cette page pour :

• afficher les violations en attente ;

• hiérarchiser les violations de stratégies ;

• atténuer une ou plusieurs violations de stratégies ;

• résoudre une ou plusieurs violations de stratégies ;

• transférer une ou plusieurs violations ;

• éditer des utilisateurs à partir d'un élément de travail de résolution.

Affichage des violations de stratégies

Vous pouvez utiliser la page Résolutions pour afficher les détails des violations avant de prendre des mesures adéquates.

Selon vos capacités ou votre place dans la hiérarchie des capacités d'Identity Manager, vous aurez la possibilité d'afficher et de prendre des mesures en cas de violation pour d'autres solutionneurs.

Les rubriques suivantes sont relatives à l'affichage des violations :

• Affichage des demandes en attente ;

• Affichage des demandes terminées ;

• Mise à jour du tableau.

Affichage des demandes en attente

Les demandes en attente qui vous ont été assignées sont affichées, par défaut, dans le tableau Résolutions.

Vous pouvez utiliser l'option Lister les résolutions pour afficher les demandes de résolution en attente pour un autre solutionneur.

• Sélectionnez Mes rapports directs pour afficher les demandes en attente d'utilisateurs de votre organisation qui dépendent directement de vous.

• Sélectionnez Rechercher des utilisateurs pour entrer ou localiser un ou plusieurs utilisateurs dont vous voulez afficher les demandes en attente. Entrez un ID d'utilisateur, puis cliquez sur Appliquer pour afficher les demandes en attente de cet utilisateur. Sinon, cliquez sur ... (Autres) pour rechercher un utilisateur. Après avoir trouvé et sélectionné un utilisateur, cliquez sur Abandonner pour fermer la zone de recherche.

Le tableau obtenu donne les informations suivantes pour chaque demande :

• Solutionneur. Nom du solutionneur assigné. Cette colonne s'affiche uniquement quand vous visualisez les demandes de résolution d'autres solutionneurs.

• Utilisateur. Utilisateur pour lequel la demande est faite.

• Stratégie d’audit/Demande. Action requise du solutionneur.

• Règle d'audit/Description. Commentaires de la résolution pour la demande.

• État de la violation. État courant de la violation.

• Gravité. Gravité attribuée à la demande (Aucune, Faible, Moyenne, Élevée ou Critique).

• Priorité. Priorité attribuée à la demande (Aucune, Faible, Moyenne, Élevée ou Urgente).

• Date de la demande. Date et heure auxquelles la demande de résolution a été émise.

---

Remarque –

Tout utilisateur peut choisir un formulaire personnalisé contenant les données de résolution relatives à ce solutionneur particulier. Pour assigner un formulaire personnalisé, sélectionnez l'onglet Conformité dans le formulaire utilisateur.

---

Affichage des demandes terminées

Pour afficher vos demandes de résolution terminées, cliquez sur l'onglet Mes éléments de travail puis sur l'onglet Historique. La liste des éléments de travail précédemment résolus s'affiche.

Le tableau obtenu (qui est généré par un rapportAuditLog) contient les informations suivantes sur chaque demande de résolution :

• Horodatage. Date et heure auxquelles la demande a été résolue.

• Objet. Nom du solutionneur qui a traité la demande.

• Action. Indique si le solutionneur a atténué ou résolu la demande.

• Type. ComplianceViolation ou Habilitation de l’utilisateur.

• Nom de l’objet. Nom de la stratégie d'audit qui a été violée.

• Resource. Indique l'ID de compte du solutionneur (peut également indiquer Non applicable)

• ID. ID de compte relatif à la violation de stratégie.

• Résultat. Indique toujours Réussite.

En cliquant sur un horodatage dans le tableau, vous ouvrez une page Détails d’événement d’audit.

La page Détails d’événement d’audit donne des informations sur la demande terminée, y compris des informations sur sa résolution ou son atténuation, les paramètres de l'événement (le cas échéant) et les attributs auditables.

Mise à jour du tableau

Pour mettre à jour les informations contenues dans le tableau Résolutions, cliquez sur Actualiser. La page Résolution met le tableau à jour avec les nouvelles demandes de résolution éventuelles.

Hiérarchisation des violations de stratégie

Vous pouvez hiérarchiser les violations de stratégies en leur assignant une priorité, une gravité ou ces deux éléments. Hiérarchisez les violations à partir de la page Résolutions.

Pour éditer la priorité ou la gravité des violations

1. Sélectionnez une ou plusieurs violations dans la liste.

2. Cliquez sur Hiérarchiser

   La page Hiérarchiser les violations de stratégie s'affiche.

3. Vous pouvez définir un niveau de gravité pour la violation (facultatif). Les choix sont Aucune, Faible, Moyenne, Élevée ou Critique.

4. Vous pouvez définir un niveau de priorité pour la violation (facultatif). Les choix sont Aucune, Faible, Moyenne, Élevée ou Urgente.

5. Cliquez sur OK quand vous avez terminé de faire des sélections. Identity Manager retourne à la liste des résolutions.

   ---

   Remarque –

   Les niveaux de gravité et de priorité peuvent uniquement être définis pour les résolutions de type VC (violation de conformité).

   ---

Atténuation des violations de stratégies

Vous pouvez atténuer les violations de stratégies à partir des pages Résolutions et Examens des violations de stratégies.

Depuis la page Résolutions

Pour atténuer des violations de stratégies en attente à partir de la page Résolutions

1. Sélectionnez des lignes dans le tableau pour indiquer les demandes à atténuer.

   • Activez une ou plusieurs options pour spécifier les demandes à atténuer.

   • Activez l'option dans l'en-tête du tableau pour atténuer toutes les demandes listées dans le tableau.

   Identity Manager permet d'entrer un seul groupe de commentaires pour décrire une action d'atténuation. Vous pouvez ne pas vouloir effectuer de résolution en masse sauf si les violations ont un rapport entre elles et qu'un seul commentaire suffira.

   Vous pouvez atténuer uniquement les demandes incluant des violations de stratégies. Les autres demandes de résolution ne peuvent pas être atténuées.

2. Cliquez sur Atténuer.

   La page Atténuation de la violation de stratégie (ou Atténuation de plusieurs violations de stratégie) s'affiche.

   Figure 15–3 Page Atténuation de la violation de stratégie

   
   

3. Entrez des commentaires sur la résolution dans le champ Explication. (obligatoire)

   Vos commentaires constituent une piste d'audit pour cette action ; veillez, par conséquent, à entrer des informations exhaustives et utiles. Par exemple, précisez la raison de l'atténuation de la violation, la date et la raison du choix d'une période de dispense.

4. Entrez une date d'expiration pour la période de dispense (format AAAA-MM-JJ) directement dans le champ Date d’expiration ou en cliquant sur le bouton Date d’expiration et en sélectionnant une date dans le calendrier.

   ---

   Remarque –

   Si vous n'entrez pas de date, la durée de validité de la dispense est infinie.

   ---

5. Cliquez sur OK pour enregistrer vos modifications et revenir à la page Résolutions.

Résolution des violations de stratégies

Pour résoudre une ou plusieurs violations de stratégies

1. Utilisez les cases à cocher du tableau pour spécifier quelles demandes résoudre.

   • Cochez une ou plusieurs cases du tableau pour spécifier les demandes à résoudre.

   • Cochez la case à cocher de l'en-tête du tableau pour résoudre toutes les demandes listées dans le tableau.

     Si vous sélectionnez plusieurs demandes, n'oubliez pas que Identity Manager vous permet d'entrer un unique groupe de commentaires pour décrire l'action de résolution. Vous pouvez ne pas vouloir effectuer de résolution en masse sauf si les violations ont un rapport entre elles et qu'un seul commentaire suffira.

2. Cliquez sur Résoudre.

3. La page Résolution d'une violation de stratégie (ou Résolution de plusieurs violations de stratégie) s'affiche.

4. Entrez des commentaires sur la résolution dans le champ Commentaires.

5. Cliquez sur OK pour enregistrer vos modifications et revenir à la page Résolutions.

   ---

   Remarque –

   Les stratégies d'audit directement assignées à un utilisateur (c.-à-d., assignées via l'assignation de l'organisation ou le compte utilisateur) sont toujours réévaluées lorsqu'une violation relative à cet utilisateur est résolue.

   ---

Transfert des requêtes de résolution

Vous pouvez transférer une ou plusieurs demandes de résolution à un autre solutionneur.

Pour transférer des requêtes de résolution

1. Utilisez les cases à cocher du tableau pour spécifier quelles demandes transférer.

   • Cochez la case à cocher de l'en-tête du tableau pour transférer toutes les demandes listées dans le tableau.

   • Cochez une ou plusieurs cases du tableau pour transférer une ou plusieurs demandes.

2. Cliquez sur Transférer.

   La page Sélectionner et Confirmer le transfert s'affiche.

   Figure 15–4 Page Sélectionner et Confirmer le transfert

   
   

3. Entrez le nom du solutionneur dans le champ Transmettre à, puis cliquez sur OK. Sinon, vous pouvez cliquer sur le bouton ... (Autres) pour rechercher un nom de solutionneur. Sélectionnez un nom dans la liste de recherche puis cliquez sur Définir pour entrer un nom dans le champ Transmettre à. Cliquez sur Abandonner pour fermer la zone de recherche.

   Quand la page Résolutions réapparaît, le nom du nouveau solutionneur s'affiche dans la colonne Solutionneur du tableau.

Édition d'un utilisateur à partir d'un élément de travail de résolution

À partir d'un élément de travail de résolution, vous pouvez (si vous bénéficiez des droits de modification d'un utilisateur) éditer un utilisateur pour résoudre les problèmes (comme décrit dans l'historique des habilitations associé).

Pour éditer un utilisateur, cliquez sur Éditer l'utilisateur sur la page Demande de résolution d'examen. La page Éditer l'utilisateur affichée montre :

• l'historique des habilitations associé à l'utilisateur pour cet élément de travail ;

• les attributs relatifs à l'utilisateur.

  Les options qui s'affichent sur cette page sont les mêmes que dans le formulaire Éditer l’utilisateur disponible dans la zone des Comptes.

Après la modification de l'utilisateur, cliquez sur Enregistrer.

---

Remarque –

L'enregistrement des modifications apportées à l'utilisateur entraîne l'exécution du flux des travaux de mise à jour de l'utilisateur. Vu que ce flux de travaux peut être associé à des approbations, il se peut que les modifications apportées aux comptes utilisateur restent sans effet pendant une certaine période de temps après l'enregistrement. Si la stratégie d'audit permet de répéter le scannage et que le flux de travaux de mise à jour de l'utilisateur n'est pas terminé, le scannage de stratégie suivant pourra détecter la même violation.

---

Examens d'accès périodiques et attestations

Identity Manager fournit des examens d'accès périodiques, qui permettent aux responsables et autres supérieurs d'examiner et de vérifier les privilèges d'accès des utilisateurs. Ceci permet d'identifier et de gérer l'accumulation, avec le temps, de privilèges par les utilisateurs et aide à maintenir la conformité avec les lois Sarbanes-Oxley, GLBA et autres lois fédérales.

Les examens d'accès peuvent être réalisés ponctuellement en fonction des besoins ou planifiés à des fréquences périodiques, par exemple, tous les trimestres. Vous pouvez ainsi effectuer des examens d'accès périodiques pour que les utilisateurs aient toujours un niveau de privilèges adéquat. Un examen d'accès peut facultativement comporter des scannages de stratégie d'audit.

À propos des examens d'accès périodiques

Un Examen d'accès périodique est un processus consistant à certifier qu'un utilisateur donné bénéficie des privilèges appropriés sur les ressources appropriées à un moment particulier.

Un examen d'accès périodique comporte les activités suivantes :

• Scannages d'examen des accès. Scannages utilisant certaines règles pour l'évaluation des habilitations utilisateur pour déterminer si une attestation est nécessaire.

• Attestation. Processus consistant à réponse aux demandes d'attestation en approuvant ou en rejetant les habilitations utilisateur.

Une habilitation utilisateur est un enregistrement détaillé des comptes d'un utilisateur sur un ensemble spécifique de ressources.

Scannages d'examen des accès

Pour commencer un examen des accès périodique, vous devez d'abord définir au moins un scannage des accès.

Le scannage des accès définit les personnes faisant l'objet du scannage, les ressources prises en compte, les stratégies d'audit optionnelles évaluées et les règles utilisées pour déterminer les enregistrements d'habilitation qui seront attestés manuellement et par qui.

Processus du flux de travaux d’examen des accès

En général, le flux de travaux d'examen d'accès d'Identity Manager :

• Construit une liste d'utilisateurs, récupère les informations de compte de chaque utilisateur et évalue les stratégies d'audit optionnelles.

• Crée des enregistrements d'habilitation utilisateur.

• Détermine si chaque enregistrement d'habilitation utilisateur doit faire l'objet d'une attestation.

• Assigne des éléments de travail à chaque attestateur.

• Attend l'approbation de tous les attestateurs ou le premier refus.

• Réassigne la demande à l'attestateur suivant, s'il ne reçoit pas de réponse dans le délai d'attente spécifié.

• Actualise les enregistrements d'habilitation utilisateur avec les résolutions.

Pour la description des capacités de résolution, voir la section Résolution de l'examen des accès.

Capacités d'administrateur requises

Pour réaliser un examen périodique des accès et gérer les processus d'examen, un utilisateur doit bénéficier de la capacité Administrateur d’examens d’accès périodiques de l’auditeur. Un utilisateur ayant la capacité Administrateur des scannages d’accès d’audit peut créer et gérer les scannages des accès.

Pour assigner ces capacités, vous devez intervenir sur le compte utilisateur et modifier les attributs de sécurité. Pour plus d'informations sur les capacités, voir la section Comprendre et gérer les capacités au Chapitre 6Administration.

Processus d'attestation

L'Attestation est un processus de certification effectué par un ou plusieurs attestateurs désignés pour confirmer une habilitation utilisateur telle qu'elle se présente à une date donnée. Pendant un examen des accès, l'attestateur (ou les attestateurs) reçoit un e-mail de notification des demandes d'attestation des examens d'accès. Un attestateur peut être un utilisateur Identity Manager, mais ne doit pas nécessairement être un administrateur Identity Manager.

Flux de travail d'attestation

Identity Manager utilise un flux de travail d'attestation qui est lancé quand un scannage d'accès détecte des enregistrements d'habilitation nécessitant un examen. Pour cela, le scannage des accès se base sur les règles définies dans le scannage des accès.

Une règle évaluée par le scannage des accès détermine si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement ou s'il peut être approuvé ou rejeté automatiquement. Si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement, le scannage des accès utilise une deuxième règle pour déterminer quels sont les attestateurs appropriés.

Tout enregistrement d'habilitation utilisateur devant être attesté manuellement est assigné à un flux de travaux, avec un élément de travail par attestateur. Il est possible d'envoyer la notification de ces éléments de travail à l'attestateur en utilisant un flux de travaux ScanNotification regroupant tous les éléments dans une notification, par attestateur et par scannage. La notification sera effectuée par habilitation utilisateur, sauf si le flux de travaux ScanNotification est sélectionné. Un attestateur peut donc recevoir plusieurs notifications par scannage, même en grand nombre, en fonction du nombre d'utilisateurs scannés.

Sécurisation de l'accès aux attestations

Ces options d'autorisation sont relatives aux éléments de travail d'authType RemediationWorkItem.

• Le propriétaire de l'élément de travail.

• Un responsable direct ou indirect du propriétaire de l'élément de travail.

• Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail.

• Les utilisateurs qui ont été validés suite à des contrôles d'authentification.

Par défaut, les contrôles d'autorisations se comportent de l'une des façons suivantes :

• Le propriétaire est l'utilisateur qui tente l'action.

• Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.

• Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les propriétés suivantes du formulaire :

• controlOrg — Les valeurs admises sont true ou false.

• subordinate — Les valeurs admises sont true ou false.

• lastLevel — Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux.

La valeur entière par défaut de lastLevel est -1, indiquant des subordonnés directs et indirects.

Vous pouvez ajouter ou modifier ces options de la façon suivante :

UserForm: AccessApprovalList.

---

Remarque –

Si vous paramétrez la sécurité sur attestations à des organisations contrôlées, la capacité Attestateur Auditeur est également requise pour modifier d'autres attestations de l'utilisateur.

---

Attestation déléguée

Par défaut, le flux des travaux de scannage des accès respecte les délégations, pour les éléments de travail de type Attestation d’examen des accès et Résolution de l’examen des accès, créées par les utilisateurs pour les éléments de travail d'attestation et les notifications. L'administrateur des scannages d’accès peut désélectionner l'option Suivre la délégation pour ignorer les paramètres de délégation. Si un attestateur a délégué tous les éléments de travail à un autre utilisateur mais que l'option Suivre la délégation n'est pas paramétrée pour un scannage d'examen des accès, l'attestateur - et pas l'utilisateur à qui les délégations ont été assignées - recevra les notifications des demandes d'attestation et les éléments de travail.

Planification d'examens d'accès périodiques

Un examen d'accès peut être un processus long et laborieux pour toute entreprise. L'examen d'accès périodique d'Identity Manager permet de gagner du temps et de l'argent en automatisant une grande partie du processus. Toutefois, certaines tâches du processus restent chronophages. Par exemple, la recherche des données d'un compte utilisateur parmi des milliers d'utilisateurs peut prendre un temps considérable. L'attestation manuelle des enregistrements peut également prendre beaucoup de temps. Une bonne planification améliore l'efficacité du processus et réduit considérablement les efforts nécessaires.

La planification d'examens d'accès périodiques mérite quelques considérations :

• La durée du scannage peut varier considérablement en fonction du nombre d'utilisateurs et des ressources concernées.

  Un seul examen d'accès périodique peut prendre un ou plusieurs jours dans une organisation de grande taille et une attestation manuelle peut prendre une ou plusieurs semaines.

  Par exemple, pour une organisation comptant 50 000 utilisateurs et dix ressources, un scannage des accès peut prendre approximativement une journée, si on se base sur le calcul suivant :

  1 s/ressource * 50K utilisateurs * 10 ressources / 5 connexions simultanées = 28 heures

  Si les ressources sont disséminées dans plusieurs régions géographiques, ce temps augmente encore à cause des temps de latence du réseau.

• L'utilisation de plusieurs serveurs Identity Manager pour un traitement parallèle des données peut accélérer le processus d'examen des accès.

  L'exécution de plusieurs scannages en parallèle est plus efficace quand les ressources ne sont pas communes à tous les scannages. Lors de la définition d'un examen d'accès, vous devez créer plusieurs scannages et limiter les ressources à un ensemble de ressources spécifiques, en utilisant différentes ressources pour chaque scannage. Ensuite, quand vous lancerez la tâche, vous devrez sélectionner plusieurs scannages et programmer leur exécution immédiate.

• La personnalisation du flux des travaux d'attestation et des règles vous offre un meilleur contrôle du processus et davantage d'efficacité.

  Par exemple, vous pouvez personnaliser la règle de l'Attestateur pour étendre les obligations d'attestation à plusieurs attestateurs. Le processus d'attestation affecte des éléments de travail et envoie les notifications en conséquence.

• L'utilisation des Règles de signalisation des attestateurs permet de réduire le temps de réponse pour les demandes d'attestation.

  Définissez la règle de signalisation de l’attestateur ou utilisez une règle personnalisée pour configurer une chaîne de signalisation d'attestateurs. Vous devez également spécifier les délais de signalisation.

• Bien comprendre le mécanisme des Règles de détermination de l’examen permet un gain de temps en déterminant automatiquement les enregistrements d'habilitation qui nécessitent un examen manuel.

• Effectuez une notification groupée des demandes d'attestation pour un scannage en spécifiant un flux de travaux de notification au niveau du scannage.

Réglage des tâches de scannage

Lors d'un processus de scannage, plusieurs threads accèdent à la vue de l'utilisateur, permettant un accès potentiel aux ressources pour lesquelles l'utilisateur possède des comptes. L'accès à cette vue détermine l'évaluation de plusieurs stratégies d'audit et règles qui peut entraîner la création de violations de conformité.

Pour éviter que deux threads n'actualisent simultanément la même vue utilisateur, le processus établit un verrouillage à l'intérieur de la mémoire sur le nom d'utilisateur. Si le verrouillage n'a pas été établi (par défaut) dans un délai de cinq secondes, une erreur est associée au scannage et l'utilisateur est ignoré, ce qui assure ainsi une protection contre les scannages simultanés sur un même groupe d'utilisateurs.

Vous pouvez entrer les valeurs de plusieurs "paramètres réglables" fournis comme arguments de tâche dans la tâche de scannage :

• clearUserLocks (Booléenne). Si la condition est "true", tous les verrous utilisateur actuels sont libérés avant le démarrage du scannage.

• userLock (nombre entier). Délai d'attente (en millisecondes) lors d'une tentative de verrouillage d'un utilisateur. La valeur par défaut est 5 secondes. Une valeur négative désactive le verrouillage pour ce scannage.

• scanDelay (nombre entier). Temps de pause (en millisecondes) entre les distributions des threads de scannage. La valeur par défaut est 0 (pas de pause). Si vous entrez une valeur pour cet argument, le scannage sera plus lent, mais le système sera plus réactif à d'autres opérations.

• maxThreads (nombre entier). Nombre de threads simultanés utilisés pour traiter un scannage. La valeur par défaut est 5. Si la réponse des ressources est très lente, l'augmentation de ce chiffre peut accélérer le scannage.

Pour modifier les valeurs de ces paramètres, éditez le formulaire de Définition des tâches correspondant. Pour plus d'informations, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.

Création d'un scannage d'accès

Pour définir le scannage d'examen des accès

1. Sélectionnez Conformité-> Gérer les scannages d’accès

2. Cliquez sur Nouveau pour afficher la Création d’un nouveau scannage des accès.

3. Attribuez un nom au scannage d'accès.

   ---

   Remarque –

   Les noms des scannages des accès ne doivent pas contenir les caractères suivants :

   ’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles) et = (signe égal).

   Évitez également d'utiliser ces caractères : _ (soulignement), % (pourcent), ^ (circonflexe) et * (astérisque)

   ---

4. Ajoutez une description compréhensible pour l'identification du scannage ( facultatif).

5. Activez l'option Habilitations dynamiques pour donner des options supplémentaires aux attestateurs.

   Ces options sont les suivantes :

   • Une attestation en attente peut faire l'objet d'un nouveau scannage immédiat pour actualiser les données d'habilitation et réévaluer le besoin d'une attestation.

   • Une attestation en attente peut être dirigée vers un autre utilisateur pour sa résolution. Après la résolution, les données d'habilitation sont actualisées et réévaluées pour déterminer le besoin d'une attestation.

6. Spécifiez le Type d’étendue de l’utilisateur (obligatoire).

   Choisissez l'une des options suivantes :

   • Règle Selon la condition de l’attribut. Scanne les utilisateurs en fonction de la règle de Type d’étendue de l’utilisateur sélectionnée.

     Identity Manager fournit les règles par défaut suivantes :

     • Tous les administrateurs,

       ---

       Remarque –

       Vous pouvez ajouter des règles définissant l'étendue de l'utilisateur en utilisant Identity Manager IDE Pour toute information sur Identity Manager IDE, allez sur https://identitymanageride.dev.java.net/.

       ---

     • Tous mes subordonnés,

     • Tous les non-administrateurs,

     • Mes subordonnés directs,

     • Utilisateur sans responsable.

   • Assigné aux ressources. Scanne tous les utilisateurs qui ont un compte sur une ou plusieurs ressources sélectionnées. Si vous choisissez cette option, la page affiche les Ressources de l’étendue de l’utilisateur, qui permettent de spécifier des ressources.

   • Selon un rôle spécifique. Scanne tous les membres qui ont au moins un rôle, ou tous les rôles, que vous spécifiez.

   • Membres d'organisations. Choisissez cette option pour scanner tous les membres d'une ou plusieurs organisations sélectionnées.

   • Rapports aux responsables. Scanne tous les utilisateurs qui dépendent des responsables sélectionnés. La hiérarchie est déterminée par l'attribut Identity Manager du compte Lighthouse de l'utilisateur.

     Si l'étendue de l'utilisateur est organisation ou responsable, l'option Étendue récursive est disponible. Cette option permet une sélection récursive de l'utilisateur dans la chaîne des membres contrôlés.

7. Si vous décidez également d'explorer les stratégies d'audit pour détecter les violations lors du scannage d'examen des accès, sélectionnez les stratégies d'audit à appliquer à ce scannage en déplaçant vos sélections de la liste des Stratégies d’audit disponibles à la liste des Stratégies d’audit en cours.

   L'ajout de stratégies d'audit à un scannage d'accès détermine le même comportement que l'exécution d'un scannage d'audit sur le même groupe d'utilisateurs. Toutefois, toute violation détectée par les stratégies d'audit est stockée dans l'enregistrement d'habilitation de l'utilisateur. Cette information peut faciliter l'approbation et le rejet automatique, parce que la règle peut utiliser, comme partie intégrante de sa logique, la présence ou l'absence de violations dans l'enregistrement d'habilitation utilisateur.

8. Si vous avez scanné les stratégies d'audit lors de l'étape précédente, vous pouvez utiliser l'option Mode de stratégie pour spécifier comment le scannage des accès détermine les stratégies d'audit à exécuter pour un utilisateur donné. Un utilisateur peut avoir des stratégies assignées au niveau utilisateur et/ou au niveau de son organisation. Le comportement de scannage des accès par défaut consiste à appliquer les stratégies pour le scannage des accès uniquement si l'utilisateur n'a pas encore de stratégies assignées.

   1. Appliquer les stratégies sélectionnées et ignorer les autres assignations.

   2. Appliquer les stratégies sélectionnées seulement si l’utilisateur n’a pas encore d’assignations.

   3. Appliquer les stratégies sélectionnées en plus des assignations de l’utilisateur.

9. (Facultatif) Spécifiez le Propriétaire du processus d’examen. Utilisez cette option pour indiquer un propriétaire de la tâche d'examen des accès en cours de définition. Si un Propriétaire du processus d’examen est spécifié, un attestateur, qui rencontre un conflit potentiel en répondant à une demande d'attestation, peut s'abstenir au lieu d'approuver ou de rejeter une habilitation utilisateur ; dans ce cas, la demande d'attestation est transférée au Propriétaire du processus d’examen. Cliquez sur la boîte de sélection (ellipse) pour rechercher des comptes utilisateur et faire votre sélection.

10. Suivre la délégation. Sélectionnez cette option pour activer la délégation pour le scannage des accès. Le scannage des accès ne tiendra compte des paramètres de la délégation que si cette option est cochée. Suivre la délégation est activé par défaut.

11. Restreindre les ressources cible. Sélectionnez cette option pour limiter le scannage aux ressources cible.

    Ce paramètre a un impact direct sur l'efficacité du scannage des accès. Si les ressources cible ne sont pas restreintes, chaque enregistrement d'habilitation utilisateur contiendra les informations de compte pour chacune des ressources auxquelles l'utilisateur est relié. Par conséquent, chaque ressource assignée est interrogée pour chaque utilisateur pendant le scannage. En utilisant cette option pour spécifier un sous-ensemble de ressources, vous pouvez réduire considérablement les temps de traitement d'Identity Manager pour la création d'enregistrements d'habilitation utilisateur.

12. Exécuter la résolution de violation. Sélectionnez cette option pour activer le flux de travaux de résolution des stratégies d'audit quand une violation est détectée.

    Si cette option est sélectionnée, une violation détectée sur l'une des stratégies d'audit assignées entraînera l'exécution du flux de travaux de résolution des stratégies d'audit respectives.

    Cette option doit normalement être sélectionnée, sauf pour les cas avancés.

13. Flux de travaux de l’approbation de l’accès. Sélectionnez le flux de travaux d'attestation standard par défaut ou un flux de travaux personnalisé (si disponible).

    Ce flux de travaux s'utilise pour présenter à des attestateurs appropriés l'enregistrement d'habilitation de l'utilisateur pour son examen (selon la règle de l'attestateur). Le flux de travaux des attestations standard par défaut crée un seul élément de travail pour chaque attestateur. Si le scannage des accès spécifie une signalisation, ce flux de travaux doit signaliser les éléments de travail restés trop longtemps en sommeil. Si aucun flux de travaux n'est spécifié, l'attestation de l'utilisateur restera indéfiniment

    en attente.

    ---

    Remarque –

    Pour plus d'informations sur la création et l'utilisation des règles Identity Auditor mentionnées dans cette étape et les suivantes, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

    ---

14. Règle de l’attestateur. Sélectionnez la règle d'attestateur par défaut ou sélectionnez une règle d'attestateur personnalisée (si disponible).

    La règle de l'attestateur reçoit l'enregistrement d'habilitation utilisateur en tant qu'entrée et retourne une liste de noms d'attestateurs. Si vous avez sélectionné Suivre la délégation, le scannage des accès transforme la liste des noms en y laissant uniquement les noms des utilisateurs appropriés selon les informations de délégation configurées par chaque utilisateur dans la liste de noms d'origine. Si la délégation d'un utilisateur Identity Manager donne comme résultat un cycle de routine, les informations de délégation sont rejetées tandis que l'élément de travail est envoyé à l'attestateur initial. La règle Default Attestor indique que l'attestateur doit être le responsable (idmManager) de l'utilisateur auquel l'enregistrement d'habilitation se réfère ou bien le Compte Configurateur si l'idmManager de cet utilisateur est null. Si l'attestation doit impliquer des propriétaires de ressources ainsi que des responsables, vous devez utiliser une règle personnalisée.

15. Règle de signalisation à l’attestateur. Utilisez cette option pour spécifier la règle de signalisation à l'attestateur ou sélectionnez une règle personnalisée (si disponible). Vous pouvez aussi indiquer un délai de signalisation pour cette règle. Le délai de signalisation par défaut est 0 jour.

    Cette règle spécifie la chaîne de signalisation pour un élément de travail qui a franchi le délai de signalisation. La règle de signalisation à l’attestateur par défaut transmet une requête d’attestation au responsable de l’attestateur (idmManager) ou au configurateur si la valeur idmManager de l'attestateur est null.

    Vous pouvez entrer un délai de signalisation en minutes, heures ou jours.

    L'ouvrage contient des informations supplémentaires sur la règle de signalisation à l’attestateur.

16. Règle de détermination de l’examen. (obligatoire)

    Sélectionnez l'une des règles suivantes pour spécifier comment le processus de scannage déterminera la disposition d'un enregistrement d'habilitation :

    • Reject Changed Users (Rejeter utilisateurs modifiés). Rejette automatiquement l'enregistrement d'habilitation utilisateur s'il diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Sinon, cette règle force l'attestation manuelle et approuve toutes les habilitations utilisateur restées inchangées depuis l'habilitation utilisateur approuvée au préalable. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.

    • Review Changed Users (Examiner utilisateurs modifiés). Cette règle force l'attestation manuelle de tout enregistrement d'habilitation utilisateur si celui-ci diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Approuve toutes les habilitations utilisateur restées inchangées depuis la dernière habilitation utilisateur approuvée. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.

    • Review Everyone (Examiner tous). Cette règle force l'attestation manuelle de tous les enregistrements d'habilitation utilisateur.

    Les règles Reject Changed Users et Review Changed Users comparent l'habilitation utilisateur avec la dernière instance du même scannage des accès dans lequel l'enregistrement d'habilitation avait été approuvé.

    Vous pouvez modifier ce comportement en copiant et en modifiant les règles pour limiter la comparaison à toute partie sélectionnée de la vue de l'utilisateur.

    Cette règle peut retourner les valeurs suivantes :

    • -1. Aucune attestation n'est requise.

    • 0. Rejette automatiquement l'attestation.

    • 1. Attestation manuelle requise.

    • 2. Approuve automatiquement l'attestation.

    • 3. Résout automatiquement l'attestation (résolution automatique).

      Cet ouvrage contient des informations supplémentaires sur la Règle de détermination de l'examen.

17. Remediator Rule (Règle du solutionneur). Sélectionnez la règle à utiliser pour déterminer la personne devant résoudre l’habilitation d’un utilisateur spécifique dans le cas d’une résolution automatique. Cette règle peut examiner l’habilitation et les violations actuelles de l’utilisateur, et doit renvoyer une liste d'utilisateurs pour la résolution. Si aucun règle n'est spécifiée, aucune résolution n’aura lieu. Le plus souvent, cette règle s'applique quand l'habilitation comporte des violations de conformité.

18. Règle de formulaire utilisateur de résolution. Sélectionnez une règle à utiliser pour le choix d'un formulaire adapté pour les solutionneurs d'attestation pendant l'édition des utilisateurs. Les solutionneurs peuvent définir leur propre formulaire, qui remplacera celui-ci. Cette règle de formulaire doit être définie si le scannage détecte des données très spécifiques qui correspondent à un formulaire personnalisé.

19. Flux de travaux de notification.

    Sélectionnez l'une des options suivantes pour spécifier le comportement de la notification pour chaque élément de travail :

    • Aucun. Il s'agit de la valeur par défaut. La sélection de cette option détermine l'envoi à l'attestateur d'un e-mail de notification pour chaque habilitation utilisateur individuelle qu'il doit attester.

    • ScanNotification. La sélection de cette option regroupe les demandes d'attestation dans une même notification. La notification indique le nombre de demandes d'attestation qui ont été assignées au destinataire.

      Si un Propriétaire du processus d’examen a été spécifié dans le scannage des accès, le flux des travaux de ScanNotification enverra une notification au propriétaire du processus d'examen au début et à la fin du scannage. Voir Création d'un scannage d'accès.

      Le flux des travaux ScanNotification utilise le modèle d'e-mail suivant :

      • Avis de début du scannage d’accès

      • Avis de fin du scannage d’accès

      • Avis d’attestation en masse

        Vous pouvez personnaliser le flux des travaux ScanNotification.

20. Limite des violations. Utilisez cette option pour indiquer le nombre maximum de violations de conformité pouvant être émis par ce scannage avant son abandon. Par défaut, la limite est fixée à 1 000. Si le champ est vide, aucune limite n'est fixée.

    Bien qu'au cours d'un scannage d'audit ou d'un scannage des accès, le nombre des violations de stratégie est généralement faible par rapport au nombre des utilisateurs, le paramétrage de cette valeur peut servir de protection contre l'impact d'une stratégie défectueuse qui augmenterait significativement le nombre des violations. Par exemple, supposons :

    qu'un scannage des accès portant sur 50 000 utilisateurs génère deux ou trois violations par utilisateur : les coûts de résolution pour chaque violation de conformité peuvent avoir des conséquences néfastes sur le système Identity Manager.

21. Organisations. Sélectionnez les organisations pour lesquelles l'objet de ce scannage d'accès est disponible. Ce champ est obligatoire.

    Cliquez sur Enregistrer pour enregistrer la définition du scannage.

Suppression d'un scannage d'accès

Vous pouvez supprimer un ou plusieurs scannages d'accès. Pour supprimer un scannage d'accès, sélectionnez Gérer les scannages d’accès sous l'onglet Conformité, puis sélectionnez le nom du scannage et cliquez sur Supprimer.

Gestion des examens d'accès

Après la définition d'un scannage d'accès, vous pouvez l'utiliser ou le programmer comme faisant partie d'un examen d'accès. Après le lancement d'un examen d'accès, vous disposez de plusieurs options vous permettant de gérer le processus d'examen.

Dans les sections ci-après, vous trouverez des informations plus détaillées sur les questions suivantes :

• Lancement d'un examen d'accès

• Planification des tâches d'examen des accès

• Gestion de la progression des examens d'accès

• Modification des attributs des scannages

• Annulation d'un examen d'accès

• Suppression d'un examen d'accès

Lancement d'un examen d'accès

Pour lancer un examen d'accès à partir de l'interface administrateur, vous avez le choix entre les méthodes suivantes :

• Cliquez sur Lancer l'examen depuis la page Conformité -> Examens des accès.

• Sélectionnez la tâche d'examen des accès depuis la page Tâches du serveur -> Exécuter des tâches.

Sur la page Lancer une tâche qui s'affiche, entrez un nom pour l'examen d'accès. Sélectionnez les scannages dans la liste Scannages d’accès disponibles et déplacez-les dans la liste Scannages d’accès sélectionnés.

Si vous sélectionnez plusieurs scannages, vous pouvez choisir l'une des options de lancement suivantes :

• immédiatement. Cette option lance immédiatement le scannage, dès que vous cliquez sur le bouton Lancer. Si vous sélectionnez cette option pour plusieurs scannages dans le lancement de la tâche, les scannages seront effectués en parallèle.

• après une attente. Cette option vous permet d'indiquer un délai d'attente avant de démarrer le scannage, relatif au lancement de la tâche d'examen des accès.

---

Remarque –

Vous pouvez démarrer plusieurs scannages pendant une session d'examen des accès. Toutefois, vu que chaque scannage porte sur un nombre élevé d'utilisateurs, le processus complet peut prendre plusieurs heures avant d'arriver à son terme. Il est donc vivement conseillé de gérer vos scannages en conséquence. Par exemple, vous pouvez lancer un scannage qui s'exécutera immédiatement et en planifier d'autres à des horaires échelonnés.

---

Cliquez sur Lancer pour commencer le processus d'examen des accès.

---

Remarque –

Le nom que vous assignez à un examen d'accès est important. Certains rapports peuvent établir une comparaison entre les examens d'accès de même nom exécutés périodiquement.

---

Quand vous lancez un examen d'accès, le schéma de progression du flux des travaux s'affiche en vous montrant l'avancement du processus.

Planification des tâches d'examen des accès

Il est possible de planifier une tâche d'examen des accès depuis la zone Tâche du serveur. Par exemple, pour configurer l'exécution périodique des examens des accès, sélectionnez Gérer la planification puis définissez la périodicité. Vous pouvez par exemple planifier l'exécution de la tâche à une fréquence mensuelle ou trimestrielle.

Pour planifier la périodicité, sélectionnez la tâche Examen d'accès sur la page Planifier tâches, puis complétez les informations sur la page Créer un programme de tâches.

Cliquez sur Enregistrer pour enregistrer la tâche planifiée.

---

Remarque –

Par défaut, Identity Manager garde en mémoire les résultats des tâches d'examen des accès pendant une semaine. Si vous décidez de planifier un examen plus fréquemment, configurez les Options de résultats sur supprimer. Si les Options de résultats ne sont pas définies sur supprimer, le nouvel examen ne sera pas exécuté parce que les résultats de la tâche précédente seront encore présents.

---

Gestion de la progression des examens d'accès

Utilisez l'onglet Examens des accès pour contrôler la progression d'un examen des accès. Cette fonction est accessible sous l'onglet Conformité.

Sous l'onglet Examens des accès, vous pouvez afficher un récapitulatif de tous les examens d'accès actifs et traités précédemment. Pour chaque examen d'accès de la liste, vous disposez des informations suivantes :

• Statut. Statut courant du processus d'examen : en cours d'initialisation, en cours d'arrêt, arrêté, nombre de scannages en cours, nombre de scannages planifiés, en attente des attestations, ou terminé.

• Date de lancement. La date (horodatage) à laquelle la tâche d'examen des accès a commencé.

• Total des utilisateurs. Nombre total des utilisateurs à explorer.

• Détails des habilitations. Des colonnes supplémentaires du tableau fournissent les totaux des habilitations par statut. Elles précisent les habilitations en attente, approuvées, rejetées, arrêtées ou résolues, ainsi que le nombre total des habilitations.

  La colonne Résolu indique le nombre d'habilitations qui sont EN COURS DE RÉSOLUTION. Après la résolution d'une habilitation, son état devient EN ATTENTE ; par conséquent, à la conclusion d'un examen d'accès, la valeur de cette colonne est 0 (zéro).

Pour obtenir des informations plus détaillées sur l'examen, sélectionnez l'examen pour ouvrir un rapport récapitulatif.

La Figure 15–5 donne un exemple de rapport récapitulatif d'un examen des accès.

Figure 15–5 Page de Rapport récapitulatif d'un examen des accès

Cliquez sur l'onglet de formulaire Organisation ou Attestateurs pour afficher les informations de scannage classées selon ces objets.

Vous pouvez également voir et télécharger ces informations dans un rapport en exécutant le Rapport récapitulatif de l'examen des accès.

Modification des attributs des scannages

Après la configuration d'un scannage des accès, vous pouvez ajouter de nouvelles options au scannage en indiquant, par exemple, des ressources cible à explorer ou des stratégies d'audit à explorer pour détecter des violations pendant l'exécution du scannage des accès.

Pour définir un scannage, sélectionnez-le dans la liste des scannages des accès, puis modifiez ses attributs dans la page Éditer un scannage d'examen des accès.

Vous devez cliquer sur Enregistrer pour enregistrer les modifications apportées à la définition du scannage.

---

Remarque –

Le changement de l'étendue d'un scannage des accès peut entraîner la modification des informations dans les enregistrements d'habilitation utilisateur récemment acquis, à cause de son impact sur la règle de détermination de l'examen, si cette règle compare les habilitations utilisateur avec des enregistrements d'habilitation plus anciens.

---

Annulation d'un examen d'accès

Dans la page Examens d'accès, cliquez sur Arrêter pour arrêter un examen sélectionné en cours.

L'arrêt d'un examen a les conséquences suivantes:

• Tous les scannages planifiés sont déplanifiés.

• Tous les scannages actifs sont arrêtés.

• Tous les flux de travaux et les éléments de travail en attente sont supprimés.

• Toutes les attestations en attente sont marquées comme annulées.

• Toutes les attestations que les utilisateurs ont terminées restent inchangées.

Suppression d'un examen d'accès

Dans la page Examens d'accès, cliquez sur Supprimer pour supprimer un examen sélectionné.

Vous pouvez supprimer un examen d'accès si le statut de la tâche est arrêtée ou terminée. Une tâche d'examen des accès en cours ne peut pas être supprimée si elle n'a pas d'abord été arrêtée.

La suppression d'un examen d'accès supprime tous les enregistrements d'habilitation utilisateur qui avaient été générés par cet examen. L'action de suppression est enregistrée dans le journal de l'audit.

Pour supprimer un examen d'accès, cliquez sur Supprimer dans la page Examen des accès.

---

Remarque –

L'annulation et la suppression d'un examen des accès peut entraîner la mise à jour d'un grand nombre d'objets et de tâches Identity Manager, et peut donc prendre plusieurs minutes. Vous pouvez contrôler la progression de l'opération en affichant les résultats des tâches dans Tâches du serveur -> Toutes tâches.

---

Gestion des obligations d'attestation

Vous pouvez gérer les demandes d'attestation depuis l'interface Administrateur ou Utilisateur d'Identity Manager. Cette section fournit des informations sur la réponse aux demandes d'attestations et les obligations liées aux attestations.

Notification des examens des accès

Au cours d'un scannage, Identity Manager envoie une notification aux attestateurs lorsque les demandes d'attestations nécessitent leur approbation. Si les responsabilités de l'attestateur ont été déléguées, les demandes d'attestations sont envoyées au délégué. Si plusieurs attestateurs ont été définis, chaque attestateur recevra un e-mail de notification.

Ces demandes apparaissent comme des éléments de travail d'attestation dans l'interface d'Identity Manager. Les éléments de travail d'attestation en attente sont affichés quand l'attestateur assigné se connecte à Identity Manager.

Affichage des demandes d'attestation en attente

Affichez les éléments de travail d'attestation depuis la zone Éléments de travail de l'interface d'Identity Manager. En ouvrant l'onglet Attestation dans la zone Éléments de travail, vous obtenez la liste de tous les enregistrements d'habilitation nécessitant une approbation. Dans la page Attestations, vous pouvez également afficher la liste des enregistrements d'habilitation pour tous vos rapports directs et pour les utilisateurs spécifiés que vous contrôlez directement ou indirectement.

Action sur les enregistrements d'habilitation

Les éléments de travail d'attestation contiennent les enregistrements d'habilitation utilisateur qui doivent être examinés. Les enregistrements d'habilitation fournissent des informations sur les privilèges d'accès des utilisateurs, les ressources assignées et les violations de stratégies.

Les réponses possibles à une demande d'attestation sont les suivantes :

• Approuver. Atteste que l'habilitation est appropriée pour ce qui est de la date indiquée dans l'enregistrement d'habilitation.

• Rejeter. L'enregistrement d'habilitation fait état de non-conformités possibles qui ne peuvent pas être validées ni résolues.

• Nouveau scannage. Demande un nouveau scannage pour réévaluer l'habilitation utilisateur.

• Transférer. Vous permet d'indiquer un autre destinataire pour l'examen.

• S’abstenir. L'attestation pour cet enregistrement n'est pas appropriée et on ne connaît pas d'attestateur plus approprié. L'élément de travail d'attestation est transféré au propriétaire du processus d'examen. Cette option n'est disponible que si un propriétaire du processus d'examen a été défini dans la tâche d'examen des accès.

Si un attestateur ne répond pas à une demande par l'une de ces actions avant la fin du délai de signalisation spécifié, un avis est envoyé à l'attestateur suivant de la chaîne de signalisation. Le processus de notification continue jusqu'à ce qu'une réponse soit consignée.

Le statut d'une attestation peut être contrôlé sous l'onglet Conformité -> Examens des accès.

Résolution en boucle fermée

Vous pouvez éviter de rejeter des habilitations utilisateur :

• En marquant une habilitation comme « à corriger » en demandant sa correction par un autre utilisateur (Demande de résolution). Dans ce cas, un nouvel élément de travail de résolution est créé et assigné à un ou plusieurs solutionneurs spécifiés.

  Le nouveau solutionneur peut alors décider d'éditer l'utilisateur, soit en utilisant Identity Manager soit indépendamment, puis, une fois satisfait, de marquer l'élément de travail comme résolu. Dans ce cas, l'habilitation utilisateur est à nouveau scannée et évaluée.

• En demandant une réévaluation de l'habilitation (Nouveau scannage). Dans ce cas, l'habilitation utilisateur est à nouveau explorée et évaluée. L'élément de travail d'attestation d'origine est fermé. Un nouvel élément de travail d'attestation est créé si l'habilitation requiert encore une attestation selon les règles définies dans le scannage des accès.

Demande de résolution

Si une attestation en attente est définie par le scannage·des accès, vous pouvez l'acheminer vers un autre utilisateur à des fins de résolution.

---

Remarque –

L'option Habilitations dynamiques sur les pages Créer un scannage d’accès ou Édition du scannage des accès active cette fonction.

---

Pour demander une résolution depuis un autre utilisateur

1. Sélectionnez une ou plusieurs habilitations dans la liste des attestations, puis cliquez sur Demander la résolution.

   La page Sélectionner et confirmer la demande de résolution s'affiche.

2. Entrez un nom d'utilisateur, puis cliquez sur Ajouter pour ajouter l'utilisateur dans le champ Transmettre à. Sinon, cliquez sur ... (Autres) pour rechercher un nom d'utilisateur. Sélectionnez l'utilisateur dans la liste de recherche, puis cliquez sur Ajouter pour ajouter l'utilisateur dans la liste Transmettre à. Cliquez sur Abandonner pour fermer la zone de recherche.

3. Entrez des commentaires dans le champ Commentaires, puis cliquez sur Poursuivre.

   Identity Manager renvoie la liste des attestations.

   ---

   Remarque –

   Des informations détaillées sur la demande de résolution s'affichent dans la zone Historique de l'habilitation utilisateur en question.

   ---

Nouveau scannage des attestations

Si une attestation en attente est définie par le scannage·des accès, vous pouvez répéter le scannage et la réévaluer.

---

Remarque –

L'option Habilitations dynamiques sur les pages Créer un scannage d’accès ou Édition du scannage des accès active cette fonction.

---

Pour répéter le scannage d'une attestation en attente

1. Sélectionnez une ou plusieurs habilitations dans la liste des attestations, puis cliquez sur Nouveau scannage.

   La page Nouveau scannage des habilitations d’utilisateurs s'affiche.

2. Entrez des commentaires sur le nouveau scannage dans la zone Commentaires, puis cliquez sur Poursuivre.

Transfert d'éléments de travail d'attestation

Vous pouvez transférer un ou plusieurs éléments de travail d'attestation vers un autre utilisateur.

Pour transférer des attestations

1. Entrez un ou plusieurs éléments de travail dans la liste des attestations, puis cliquez sur Transférer.

   La page Sélectionner et Confirmer le transfert s'affiche.

2. Entrez un nom d'utilisateur dans le champ Transmettre à. Une autre solution consiste à cliquer sur le bouton ... (Autres) afin de rechercher un nom d'utilisateur.

3. Entrez des commentaires sur le transfert dans le champ Commentaires.

4. Cliquez sur Poursuivre.

   Identity Manager retourne la liste des attestations.

   ---

   Remarque –

   La zone Historique de l'habilitation utilisateur en question affiche des informations détaillées sur le transfert.

   ---

Signature numérique des actions d'examen des accès

Vous pouvez définir une signature numérique pour la gestion des actions d'examen des accès. Pour toute information sur la configuration des signatures numériques, voir la section Signature des approbations. Les sujets traités dans cette section expliquent la configuration requise côté serveur et côté client pour ajouter le certificat et la LRC à Identity Manager pour les approbations signées.

Rapports des examens des accès

Identity Manager fournit les rapports suivants, que vous pouvez utiliser pour évaluer les résultats d'un examen des accès :

• Rapport de couverture des examens d’accès. Fournit une liste d'utilisateurs précisant les chevauchements des habilitations utilisateur, les différences ou ces deux éléments sous forme de tableau, selon le mode de définition du rapport. Ce rapport peut également comporter des colonnes supplémentaires avec les examens d'accès qui contiennent des chevauchement et/ou des différences.

• Rapport détaillé de l’examen des accès. Ce rapport fournit les informations suivantes sous forme de tableau :

  • Nom. Nom de l'enregistrement d'habilitation utilisateur

  • Statut. Statut courant du processus d'examen : en cours d'initialisation, en cours d'arrêt, arrêté, nombre de scannages en cours, nombre de scannages planifiés, en attente des attestations, ou terminé.

  • Attestateur. Les utilisateurs Identity Manager désignés comme attestateurs pour l'enregistrement.

  • Date de balayage. Horodatage enregistré au moment du scannage.

  • Date de disposition. Date (horodatage) de l'attestation de l'enregistrement d'habilitation.

  • Organisation. Organisation de l'utilisateur dans les enregistrements d'habilitation.

  • Responsable. Supérieur d'un utilisateur qui a fait l'objet d'un scannage.

  • Ressources. Ressources sur lesquelles l'utilisateur a des comptes, qui ont été capturées dans cette habilitation utilisateur.

  • Violations. Nombre de violations détectées au cours de l'examen.

  • Cliquez sur un nom dans le rapport pour ouvrir l'enregistrement d'habilitation utilisateur. Rapports des examens des accès affiche un échantillon des informations fournies dans la vue de l'enregistrement d'habilitation utilisateur.

    

• Rapport récapitulatif de l’examen des accès.

  Ce rapport, également décrit à la section Gestion de la progression des examens d'accès et illustré à la Figure 15–5, présente les informations récapitulatives suivantes sur les scannages d'accès que vous avez sélectionnés pour le rapport :

  • Nom de l’examen. Nom du scannage des accès

  • Date. Horodatage du moment où l'examen a été lancé

  • Nombre d’utilisateurs. Nombre d'utilisateurs scannés pour l'examen

  • Nombre d'habilitations. Nombre d'enregistrements d'habilitation générés

  • Approuvé. Nombre d'enregistrements d'habilitation approuvés

  • Rejeté. Nombre d'enregistrements d'habilitation rejetés

  • En attente. Nombre d'enregistrements d'habilitation encore en attente

  • Annulé. Nombre d'enregistrements d'habilitation annulés

    Ces rapports peuvent être téléchargés au format PDF (Portable Document Format) ou CSV (Comma-Separated Value) depuis la page Exécuter des rapports.

Résolution de l'examen des accès

La résolution des violations de conformité et la résolution des examens des accès sont gérées dans la zone Résolutions sous l'onglet Éléments de travail. Il existe toutefois des différences entre les deux types de résolution. Cette section décrit le comportement unique de la résolution des examens des accès et montre comment ce comportement diffère des tâches de résolution et des informations fournies dans Résolution et atténuation des violations de conformité.

À propos de la résolution de l'examen des accès

Quand un attestateur demande la résolution d'une habilitation utilisateur, le flux de travaux d'attestation standard crée une demande de résolution, qui doit être résolue par un solutionneur (un solutionneur est un utilisateur désigné, autorisé à évaluer les demandes de résolution et à y répondre).

Le problème peut uniquement être résolu ; il ne peut pas être atténué. L'attestation ne peut pas continuer tant que le problème n'est pas résolu.

Lorsque les résolutions sont le résultat d'un examen des accès, le tableau de bord des examens des accès suit tous les attestateurs et solutionneurs qui ont participé à l'examen.

Signalisation des demandes de résolution de l'examen des accès

Les demandes de résolution de l'examen des accès ne sont pas réassignées au-delà du solutionneur initial.

Le processus de flux de travaux de résolution

La logique de résolution des examens d'accès est définie dans le flux de travaux de résolution standard.

Lorsqu'un attestateur demande la résolution d'une habilitation utilisateur, le flux de travaux de résolution standard :

• génère une demande de résolution (de type accessReviewRemediation), contenant des informations sur l'habilitation utilisateur qui doit être résolue ;

• envoie un e-mail au solutionneur requis.

Le nouveau solutionneur peut alors décider d'éditer l'utilisateur, soit en utilisant Identity Manager soit indépendamment, puis, une fois satisfait, de marquer l'élément de travail comme résolu. Dans ce cas, l'habilitation utilisateur est à nouveau scannée et évaluée.

Réponse aux demandes de résolution d'examens d'accès

Par défaut, le solutionneur des examens d'accès a le choix entre trois réponses :

• Résoudre. Un solutionneur indique qu'une mesure corrective a été prise pour résoudre le problème.

  Dans ce cas, l'habilitation utilisateur est à nouveau scannée et évaluée. Si l'habilitation utilisateur est encore marquée comme nécessitant une attestation, l'attestateur d'origine continue à la voir dans la liste des éléments de travail Attestations.

  Des informations détaillées sur l'action de la demande de résolution s'affichent dans la zone Historique de l'habilitation utilisateur en question.

• Transférer. Un solutionneur réassigne la responsabilité de la résolution de la demande de résolution à un tiers.

  Des informations détaillées sur l'action de transfert s'affichent dans la zone Historique de l'habilitation utilisateur en question.

• Éditer l'utilisateur. Un solutionneur choisit d'éditer directement l'utilisateur pour remédier au problème.

  Ce bouton ne s'affiche que si le solutionneur est autorisé à modifier les utilisateurs. Après avoir apporté des modifications à l'utilisateur et cliqué sur Enregistrer, le solutionneur accède à la page de confirmation de la résolution pour entrer une description de la modification apportée à l'utilisateur.

  Dans ce cas, l'habilitation utilisateur est à nouveau scannée et évaluée. Si l'habilitation utilisateur est encore marquée comme nécessitant une attestation, l'attestateur d'origine continue la voir dans la liste des éléments de travail Attestations.

  Des informations détaillées sur l'édition s'affichent pour l'action de demande de résolution dans la zone Historique de l'habilitation utilisateur en question.

Page Résolutions

La colonne Type contient l'acronyme UE (User Entitlement, habilitation utilisateur) pour tous les éléments de travail de résolution qui sont des éléments de travail de résolution d'examens des accès.

Actions de résolution d'examen des accès non prises en charge

Les fonctionnalités de hiérarchisation et d'atténuation ne sont pas prises en charge pour la résolution des examens des accès.