test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Scannages et rapports des stratégies d’audit

Cette section contient des informations sur les scannages de stratégies d'audit et explique comment exécuter et gérer les scannages d'audit.

Scannage d'utilisateurs et d'organisations

Un scannage exécute des stratégies d'audit sélectionnées sur des utilisateurs individuels ou des organisations. Vous pouvez scanner un utilisateur ou une organisation afin de rechercher une violation spécifique ou mettre en œuvre des stratégies non assignées à l'utilisateur ou à l'organisation. Lancez les scannages depuis la zone Comptes de l'interface.

Remarque –

Vous pouvez également lancer ou programmer une stratégie d'audit sous l'onglet Tâches du serveur.

ProcedurePour scanner un compte utilisateur ou une organisation

  1. Cliquez sur Comptes dans le menu principal de l'interface administrateur.

  2. Dans la liste des comptes, vous pouvez :

    1. Sélectionner un ou plusieurs utilisateurs, puis Scannage dans la liste d'options Actions de l’utilisateur.

    2. Sélectionner une ou plusieurs organisations, puis l'option Scannage dans la liste Actions d’organisation.

      La boîte de dialogue Lancer une tâche s'affiche. La Figure 15–1 donne un exemple de page Lancer une tâche pour le scannage d'un utilisateur de stratégie d'audit.

      Figure 15–1 La boîte de dialogue Lancer une tâche

      Figure représentant la boîte de dialogue Lancer une tâche

  3. Entrez un titre pour le scannage dans le champ Titre du rapport (obligatoire).

  4. Spécifiez les autres options.

    Ces options sont les suivantes :

    • Récapitulatif du rapport : entrez une description pour le scannage.

    • Add Policies (Ajouter des stratégies) : sélectionnez une ou plusieurs stratégies d'audit à exécuter. Vous devez sélectionner au moins une stratégie.

    • Mode de stratégie : sélectionnez un mode de stratégie, qui détermine le mode d'interaction entre les stratégies sélectionnées et les stratégies déjà assignées aux utilisateurs. Les assignations peuvent provenir directement de l'utilisateur ou de l'organisation à laquelle l'utilisateur est assigné.

    • Ne pas créer de violations : cochez cette case si vous voulez que les stratégies d'audit soient évaluées et les violations consignées, mais ne voulez pas que les violations de conformité soient créées ou mises à jour ni que les flux des travaux de résolution soient exécutés. Les résultats des tâches résultant du scannage indiquent les violations qui auraient été créées, ce qui rend cette option particulièrement utile pour tester les stratégies d'audit.

    • Exécuter le flux de travaux de résolution ? : cochez cette case pour exécuter le flux des travaux de résolution assignés dans la stratégie d'audit. Si la stratégie d'audit ne définit pas de flux de travaux de résolution, aucun flux de travaux de résolution ne sera exécuté.

    • Limite de violations : éditez cette case pour définir le nombre maximum de violations de conformité pouvant être émises par ce scannage avant son abandon. Il s’agit d’une mesure de protection permettant de limiter les risques d’exécution d'une stratégie d’audit trop ouvertement agressive dans ses vérifications. Une case vide (sans valeur) signifie qu'aucune limite n'a été définie.

    • Envoyer le rapport par e-mail : cochez cette case pour indiquer les destinataires du rapport. Identity Manager peut également joindre un fichier contenant un rapport au format CSV (valeurs séparées par une virgule).

    • Ignorer les options PDF par défaut : cochez cette case pour ignorer les options PDF par défaut.

  5. Cliquez sur Lancer pour commencer le scannage.

    Pour voir les rapports d'un scannage d'audit, affichez les Rapports de l'auditeur.

Travailler avec les rapports de l'auditeur

Identity Manager fournit des rapports d'auditeur. Le tableau suivant décrit ces rapports.

Tableau 15–1 Description des rapports de l’auditeur

Type de rapport de l'auditeur 

Description 

Rapport de couverture des examens d'accès 

Affiche les chevauchements ou les différences entre les utilisateurs ayant un rapport avec les examens d'accès sélectionnés. Vu que la plupart des examens d'accès se réfèrent aux utilisateurs spécifiés par une requête ou une opération d'appartenance, la liste exacte des utilisateurs peut varier avec le temps. Ce rapport peut montrer un chevauchement, des différences, ou les deux, entre les utilisateurs spécifiés dans deux examens des accès différents (pour voir si les examens seront efficaces) ; entre des habilitations générées par deux examens des accès différents (pour voir si la couverture change avec le temps) ; ou entre des utilisateurs et des habilitations (pour voir si des habilitations ont été générées pour tous les utilisateurs du même examen). 

Détails de l'examen des accès 

Affiche le statut de tous les enregistrements d'habilitation d'un utilisateur. Ce rapport peut être filtré en fonction de l'organisation d'un utilisateur, d'un examen des accès, d'une instance d'examen des accès, de l'état d'un enregistrement d'habilitation et d'un attestateur. 

Récapitulatif de l’examen des accès 

Fournit un récapitulatif de tous les examens des accès. Ce récapitulatif résume le statut des utilisateurs scannés, des stratégies scannées et des activités d'attestation relatives à chaque scannage d'examen d'accès listé. 

Couverture de l'étendue des utilisateurs du balayage d'accès 

Compare des scannages sélectionnés pour déterminer les utilisateurs inclus dans l'étendue du scannage. Indique les chevauchements (utilisateurs inclus dans tous les scannages) ou les différences (utilisateurs non compris dans tous les scannages, mais inclus dans plusieurs d'entre eux). Ce rapport s'avère pratique lorsque vous tentez d'organiser plusieurs scannages d'accès devant englober des utilisateurs identiques ou différents selon les besoins de l'opération. 

Récapitulatif des stratégies d'audit 

Récapitule les points essentiels de toutes les stratégies d'audit, y compris les règles, les solutionneurs et le flux des travaux de chacune. 

Attribut audité 

Affiche tous les rapports audités faisant état d'une modification d'un attribut de compte de ressource spécifié. 

Ce rapport explore les données d'audit pour tous les attributs auditables précédemment sauvegardés. Il explorera les données en fonction de tous les attributs étendus pouvant être spécifiés depuis WorkflowServices ou les attributs de ressources marqués comme auditables. Pour toute information sur la configuration de ce rapport, voir la section Configuration du Rapport des attributs audités.

Historique des violations de stratégies d’audit 

Représentation graphique de toutes les violations de conformité aux stratégies créées pendant un laps de temps spécifié. Ce rapport peut être filtré par stratégie et groupé par jour, semaine, mois ou trimestre. 

Accès utilisateur 

Affiche l'enregistrement d'audit et les attributs utilisateur d'un utilisateur spécifié. 

Historique des violations d'organisations 

Représentation graphique de toutes les violations de conformité aux ressources créées pendant un laps de temps spécifié. Ce rapport peut être filtré par organisation et groupé par jour, semaine, mois ou trimestre. 

Historique des violations de ressources 

Représentation graphique de toutes les violations de conformité par ressource, créées pendant un laps de temps spécifié. 

Séparation des obligations 

Affiche les violations de séparation des obligations dans un tableau de conflits. En utilisant une interface Web, vous pouvez cliquer sur les liens et avoir accès à des informations supplémentaires.  

Ce rapport peut être filtré par organisation et groupé par jour, semaine, mois ou trimestre. 

Récapitulatif des violations 

Affiche toutes les violations de conformité actuelles. Ce rapport peut être filtré par solutionneur, ressource, règle, utilisateur ou stratégie 

Les rapports sont disponibles sous l'onglet Rapports de l'interface d'Identity Manager

Remarque –

La valeur RULE_EVAL_COUNT représente le nombre de règles évaluées au cours d'un scannage de stratégies. Cette valeur est parfois incluse dans les rapports.

Identity Manager calcule la valeur RULE_EVAL_COUNT comme suit :

nb d'utilisateurs scannés x (nb de règles dans la stratégie + 1)

Le +1 est inclus dans le calcul parce que Identity Manager compte également la règle de stratégie, à savoir la règle qui détermine si une stratégie a été violée. La règle de stratégie inspecte les résultats de la règle d'audit et effectue une opération booléenne pour obtenir un résultat de stratégie.

Par exemple, si vous avez une stratégie A avec trois règles et une stratégie B avec deux règles, et que vous explorez dix utilisateurs, la valeur RULE_EVAL_COUNT sera égale à 70 parce que

10 utilisateurs x (3 + 1 + 2 + 1 règles)

Création d'un rapport de l'auditeur

Pour exécuter un rapport, vous devez d'abord créer un modèle de rapport. Vous pouvez définir plusieurs critères pour ce rapport, y compris des destinataires auxquels envoyer les résultats du rapport par e-mail. Après la création et l'enregistrement d'un modèle de rapport, ce modèle est disponible sur la page Exécuter des rapports.

La figure ci-dessous donne un exemple de la page Exécuter des rapports avec une liste de rapports d'auditeur définis.

Figure 15–2 Sélections de la page Exécuter des rapports.

Figure donnant un exemple de la page Exécuter des rapports avec une liste de rapports d'auditeur définis.

ProcedurePour créer un rapport d'auditeur

  1. Cliquez sur Rapports dans le menu principal de l'interface administrateur.

    La page Exécuter des rapports s'ouvre.

  2. Sélectionnez Rapports de l’auditeur pour le type de rapport.

  3. Sélectionnez un rapport dans la liste de rapports Nouveau.

    La page Définir un rapport s'ouvre. Les champs et la présentation de la boîte de dialogue changent en fonction du type du rapport. Accédez à l'Aide d'Identity Manager pour plus de détails sur la spécification des critères des rapports.

    Après avoir entré et sélectionné les critères du rapport, vous pouvez :

    • Exécuter le rapport sans l'enregistrer.

      Cliquez sur Exécuter pour lancer le rapport. Identity Manager n'enregistre pas le rapport (si vous avez défini un nouveau rapport) ni les critères du rapport modifiés (si vous avez modifié un rapport existant).

    • Enregistrer le rapport.

      Cliquez sur Enregistrer pour enregistrer le rapport. Après l'enregistrement, vous pouvez exécuter le rapport depuis la page Exécuter des rapports (liste des rapports). Après avoir exécuté un rapport depuis la page Exécuter des rapports, vous pouvez en afficher la sortie immédiatement ou ultérieurement depuis l'onglet Afficher les rapports.

    Pour plus de détails sur la planification d'un rapport, voir la section Programmation des rapports.

Configuration du Rapport des attributs audités

Le Rapport des attributs audités (voir Tableau 15–1) peut contenir les modifications d'attributs apportées aux utilisateurs et comptes Identity Manager. Toutefois, la journalisation d'audit standard ne génère pas de journal d'audit suffisamment riche en données pour prendre en charge une expression de requête complète.

La journalisation d'audit standard écrit les attributs modifiés dans le champ acctAttrChanges du journal d'audit, mais ces attributs modifiés sont écrits de telle manière que la requête de rapports ne recherche les enregistrements correspondants qu'en fonction du nom des attributs modifiés. La requête de rapports ne peut pas trouver de correspondance précise en fonction de la valeur des attributs.

Vous pouvez configurer ce rapport pour trouver les enregistrements contenant des changements ayant porté sur l'attribut lastname, en configurant les paramètres suivants :

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’
Remarque –

Il est nécessaire d'utiliser Condition=’contains’ en raison de la façon dont sont stockées les données dans le champ acctAttrChanges. Ce champ n'est pas multivalué. Il s'agit essentiellement d'une structure de données contenant les valeurs before/after (avant/après) de tous les attributs modifiés sous la forme nomattr=valeur Par conséquent, les paramètres précédents permettent à la requête de rapports de trouver toutes les instances de lastname= xxx.

Il est impossible de capturer uniquement les enregistrements d'audit ayant un attribut spécifique avec une valeur spécifique. Pour cela, procédez comme décrit dans la section Configuration de l'onglet Vérification informatique . Cochez la case Contrôler l’intégralité du flux de travaux, cliquez sur le bouton Ajouter un attribut pour sélectionner les attributs à enregistrer à des fins de génération de rapports, puis cliquez sur Enregistrer.

Activez ensuite la configuration du modèle de tâche (si elle n'est pas déjà activée). Pour cela, procédez comme décrit à la section Activation des modèles de tâches. Ne modifiez pas la valeur par défaut dans la liste des Types de processus sélectionnés ; cliquez uniquement sur Enregistrer.

Le flux des travaux peut maintenant fournir des enregistrements d'audit dont à la fois le nom et la valeur de l'attribut correspondent. Bien que l'activation de ce niveau d'audit fournisse bien plus d'informations, vous devez savoir qu'elle réduit significativement les performances et que vos flux de travail en seront ralentis.