Résolution et atténuation des violations de conformité

Cette section explique comment utiliser la fonction de résolution d'Identity Manager pour protéger le matériel critique.

Elle comprend les rubriques suivantes :

• À propos de la résolution ;

• Modèle d'e-mail de résolution ;

• Utilisation de la page Résolutions ;

• Affichage des violations de stratégies ;

• Hiérarchisation des violations de stratégie ;

• Atténuation des violations de stratégies ;

• Résolution des violations de stratégies ;

• Transfert des requêtes de résolution ;

• Édition d'un utilisateur à partir d'un élément de travail de résolution.

À propos de la résolution

Quand Identity Manager détecte une violation de la compatibilité avec la stratégie d'audit irrésolue (non atténuée), il crée une demande de résolution, qui doit être résolue par un solutionneur. Un solutionneur est un utilisateur désigné, autorisé à évaluer violations de stratégie d'audit et à y répondre.

Signalisation des solutionneurs

Identity Manager permet de définir trois niveaux de solutionneurs. Les demandes de résolution sont d'abord envoyées aux solutionneurs de niveau 1. Si aucun solutionneur de niveau 1 ne répond à une demande de résolution dans le délai d'attente imparti, Identity Manager signale la violation aux solutionneurs de niveau 2 et le compte à rebours du nouveau délai d'attente commence. Si aucun solutionneur de niveau 2 ne répond dans le délai d'attente imparti, la demande de résolution est signalée aux solutionneurs de niveau 3.

Pour la résolution, vous devez nommer au moins un solutionneur dans votre entreprise. La désignation de plusieurs solutionneurs pour chaque niveau est facultative, mais conseillée. Plusieurs solutionneurs aident à ne pas retarder ni arrêter le flux des travaux.

Sécurisation de l'accès aux résolutions

Les options d'autorisation suivantes se réfèrent aux éléments de travail d'authType RemediationWorkItem.

• Le propriétaire de l'élément de travail de résolution.

• Un responsable direct ou indirect du propriétaire de l'élément de travail de résolution.

• Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail de résolution.

Par défaut, les contrôles d'autorisation se comportent de l'une des façons suivantes :

• Le propriétaire est l'utilisateur qui tente l'action.

• Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.

• Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les options suivantes :

• controlOrg. Les valeurs valides sont true ou false.

• subordinate. Les valeurs valides sont true ou false.

• lastLevel. Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux. La valeur par défaut de lastLevel est -1, ce qui correspond à subordonnés directs et indirects.

Ces options peuvent être ajoutées ou modifiées dans les éléments suivants :

UserForm: Remediation List

Processus de flux de travaux de résolution

Identity Manager fournit le Standard Remediation Workflow (flux de travaux de résolution standard) qui assure le traitement de résolution pour les scannages de stratégie d'audit.

Le flux de travaux de résolution standard génère une demande de résolution (élément de travail de type examen) contenant des informations sur la violation de conformité et envoie une notification par e-mail à chaque solutionneur de niveau 1 désigné dans la stratégie d'audit. Quand un solutionneur atténue la violation, le flux de travail change l'état de l'objet Violation de conformité existant et lui assigne une date d'expiration.

Une violation de conformité est identifiée de manière univoque par la combinaison utilisateur, nom de stratégie et nom de règle. Une stratégie d'audit évaluée comme true détermine la création d'une nouvelle violation de conformité pour chaque combinaison utilisateur/ stratégie/règle, s'il n'existe pas déjà de violation correspondant à cette combinaison. Si aucune violation n'existe pour cette combinaison et que la violation et en état d'atténuation, le traitement du flux de travail ne prend aucune mesure. Si la violation existante n'est pas atténuée, sa numérotation récurrente est augmentée d'une unité.

Pour plus d'informations sur les flux de travaux de résolution, voir la section À propos des stratégies d'audit.

Réponse aux demandes de résolution

Par défaut, chaque solutionneur dispose de trois types de réponses :

• Résoudre. Un solutionneur indique qu'une mesure corrective a été prise pour résoudre le problème sur la ressource.

  En cas de modification d'une violation de conformité, Identity Manager crée un événement d'audit pour consigner la résolution. De plus, Identity Manager garde en mémoire le nom du solutionneur ainsi que les commentaires éventuels.

  ---

  Remarque –

  Une fois résolue, une violation n'est supprimée qu'au scannage d'audit suivant. Si une stratégie d'audit a été configurée pour permettre de nouveaux scannages, l'utilisateur sera rescanné dès la résolution de la violation.

  ---

• Atténuer. Un solutionneur autorise la violation et accorde à l'utilisateur une dispense de violation pour un certain laps de temps.

  Si la violation est volontaire (par exemple, un dossier commercial relevant de deux groupes), vous pouvez atténuer la violation pendant une longue période. Vous pouvez aussi atténuer la violation pendant une courte période de temps (par exemple, si l'administrateur système des ressources est en congé et que vous ne savez pas comment résoudre le problème).

  Identity Manager garde en mémoire le nom du solutionneur qui a atténué la violation, ainsi que la date d'expiration de la dispense et tout commentaire associé.

  ---

  Remarque –

  Quand Identity Manager détecte une dispense arrivée à expiration, il change l'état de la violation de « atténué » à « en attente ».

  ---

• Transférer. Un solutionneur réassigne la responsabilité de la résolution de la violation à un autre utilisateur.

Exemple de résolution

Votre entreprise établit une règle selon laquelle un utilisateur ne peut pas être à la fois responsable des comptes fournisseurs et des comptes clients et vous recevez une notification signalant qu'un utilisateur a violé cette règle.

• Si l'utilisateur est un superviseur ayant la responsabilité des deux rôles le temps que l'entreprise embauche une seconde personne pour le poste, vous pouvez atténuer la violation et émettre une dispense d'une durée maximale de six mois.

• Si l'utilisateur viole la règle, vous pouvez demander à votre Administrateur ERP Oracle de corriger le conflit puis de résoudre la violation une fois le problème réglé pour cette ressource. Sinon, vous pouvez transmettre la demande de résolution à votre Administrateur ERP Oracle.

Modèle d'e-mail de résolution

Identity Manager contient le modèle d'e-mail Avis de violation de stratégie (disponible en sélectionnant l'onglet Configuration puis le sous-onglet Modèles d’e-mails). Vous pouvez configurer ce modèle pour avertir les solutionneurs des violations en attente. Pour plus d'informations, voir la section Personnalisation des modèles d'e-mails du Chapitre 4Configuration des objets d'administration d'entreprise.

Utilisation de la page Résolutions

Sélectionnez Éléments de travail -> Résolutions pour accéder à la page Résolutions.

Vous pouvez utiliser cette page pour :

• afficher les violations en attente ;

• hiérarchiser les violations de stratégies ;

• atténuer une ou plusieurs violations de stratégies ;

• résoudre une ou plusieurs violations de stratégies ;

• transférer une ou plusieurs violations ;

• éditer des utilisateurs à partir d'un élément de travail de résolution.

Affichage des violations de stratégies

Vous pouvez utiliser la page Résolutions pour afficher les détails des violations avant de prendre des mesures adéquates.

Selon vos capacités ou votre place dans la hiérarchie des capacités d'Identity Manager, vous aurez la possibilité d'afficher et de prendre des mesures en cas de violation pour d'autres solutionneurs.

Les rubriques suivantes sont relatives à l'affichage des violations :

• Affichage des demandes en attente ;

• Affichage des demandes terminées ;

• Mise à jour du tableau.

Affichage des demandes en attente

Les demandes en attente qui vous ont été assignées sont affichées, par défaut, dans le tableau Résolutions.

Vous pouvez utiliser l'option Lister les résolutions pour afficher les demandes de résolution en attente pour un autre solutionneur.

• Sélectionnez Mes rapports directs pour afficher les demandes en attente d'utilisateurs de votre organisation qui dépendent directement de vous.

• Sélectionnez Rechercher des utilisateurs pour entrer ou localiser un ou plusieurs utilisateurs dont vous voulez afficher les demandes en attente. Entrez un ID d'utilisateur, puis cliquez sur Appliquer pour afficher les demandes en attente de cet utilisateur. Sinon, cliquez sur ... (Autres) pour rechercher un utilisateur. Après avoir trouvé et sélectionné un utilisateur, cliquez sur Abandonner pour fermer la zone de recherche.

Le tableau obtenu donne les informations suivantes pour chaque demande :

• Solutionneur. Nom du solutionneur assigné. Cette colonne s'affiche uniquement quand vous visualisez les demandes de résolution d'autres solutionneurs.

• Utilisateur. Utilisateur pour lequel la demande est faite.

• Stratégie d’audit/Demande. Action requise du solutionneur.

• Règle d'audit/Description. Commentaires de la résolution pour la demande.

• État de la violation. État courant de la violation.

• Gravité. Gravité attribuée à la demande (Aucune, Faible, Moyenne, Élevée ou Critique).

• Priorité. Priorité attribuée à la demande (Aucune, Faible, Moyenne, Élevée ou Urgente).

• Date de la demande. Date et heure auxquelles la demande de résolution a été émise.

---

Remarque –

Tout utilisateur peut choisir un formulaire personnalisé contenant les données de résolution relatives à ce solutionneur particulier. Pour assigner un formulaire personnalisé, sélectionnez l'onglet Conformité dans le formulaire utilisateur.

---

Affichage des demandes terminées

Pour afficher vos demandes de résolution terminées, cliquez sur l'onglet Mes éléments de travail puis sur l'onglet Historique. La liste des éléments de travail précédemment résolus s'affiche.

Le tableau obtenu (qui est généré par un rapportAuditLog) contient les informations suivantes sur chaque demande de résolution :

• Horodatage. Date et heure auxquelles la demande a été résolue.

• Objet. Nom du solutionneur qui a traité la demande.

• Action. Indique si le solutionneur a atténué ou résolu la demande.

• Type. ComplianceViolation ou Habilitation de l’utilisateur.

• Nom de l’objet. Nom de la stratégie d'audit qui a été violée.

• Resource. Indique l'ID de compte du solutionneur (peut également indiquer Non applicable)

• ID. ID de compte relatif à la violation de stratégie.

• Résultat. Indique toujours Réussite.

En cliquant sur un horodatage dans le tableau, vous ouvrez une page Détails d’événement d’audit.

La page Détails d’événement d’audit donne des informations sur la demande terminée, y compris des informations sur sa résolution ou son atténuation, les paramètres de l'événement (le cas échéant) et les attributs auditables.

Mise à jour du tableau

Pour mettre à jour les informations contenues dans le tableau Résolutions, cliquez sur Actualiser. La page Résolution met le tableau à jour avec les nouvelles demandes de résolution éventuelles.

Hiérarchisation des violations de stratégie

Vous pouvez hiérarchiser les violations de stratégies en leur assignant une priorité, une gravité ou ces deux éléments. Hiérarchisez les violations à partir de la page Résolutions.

Pour éditer la priorité ou la gravité des violations

1. Sélectionnez une ou plusieurs violations dans la liste.

2. Cliquez sur Hiérarchiser

   La page Hiérarchiser les violations de stratégie s'affiche.

3. Vous pouvez définir un niveau de gravité pour la violation (facultatif). Les choix sont Aucune, Faible, Moyenne, Élevée ou Critique.

4. Vous pouvez définir un niveau de priorité pour la violation (facultatif). Les choix sont Aucune, Faible, Moyenne, Élevée ou Urgente.

5. Cliquez sur OK quand vous avez terminé de faire des sélections. Identity Manager retourne à la liste des résolutions.

   ---

   Remarque –

   Les niveaux de gravité et de priorité peuvent uniquement être définis pour les résolutions de type VC (violation de conformité).

   ---

Atténuation des violations de stratégies

Vous pouvez atténuer les violations de stratégies à partir des pages Résolutions et Examens des violations de stratégies.

Depuis la page Résolutions

Pour atténuer des violations de stratégies en attente à partir de la page Résolutions

1. Sélectionnez des lignes dans le tableau pour indiquer les demandes à atténuer.

   • Activez une ou plusieurs options pour spécifier les demandes à atténuer.

   • Activez l'option dans l'en-tête du tableau pour atténuer toutes les demandes listées dans le tableau.

   Identity Manager permet d'entrer un seul groupe de commentaires pour décrire une action d'atténuation. Vous pouvez ne pas vouloir effectuer de résolution en masse sauf si les violations ont un rapport entre elles et qu'un seul commentaire suffira.

   Vous pouvez atténuer uniquement les demandes incluant des violations de stratégies. Les autres demandes de résolution ne peuvent pas être atténuées.

2. Cliquez sur Atténuer.

   La page Atténuation de la violation de stratégie (ou Atténuation de plusieurs violations de stratégie) s'affiche.

   Figure 15–3 Page Atténuation de la violation de stratégie

   
   

3. Entrez des commentaires sur la résolution dans le champ Explication. (obligatoire)

   Vos commentaires constituent une piste d'audit pour cette action ; veillez, par conséquent, à entrer des informations exhaustives et utiles. Par exemple, précisez la raison de l'atténuation de la violation, la date et la raison du choix d'une période de dispense.

4. Entrez une date d'expiration pour la période de dispense (format AAAA-MM-JJ) directement dans le champ Date d’expiration ou en cliquant sur le bouton Date d’expiration et en sélectionnant une date dans le calendrier.

   ---

   Remarque –

   Si vous n'entrez pas de date, la durée de validité de la dispense est infinie.

   ---

5. Cliquez sur OK pour enregistrer vos modifications et revenir à la page Résolutions.

Résolution des violations de stratégies

Pour résoudre une ou plusieurs violations de stratégies

1. Utilisez les cases à cocher du tableau pour spécifier quelles demandes résoudre.

   • Cochez une ou plusieurs cases du tableau pour spécifier les demandes à résoudre.

   • Cochez la case à cocher de l'en-tête du tableau pour résoudre toutes les demandes listées dans le tableau.

     Si vous sélectionnez plusieurs demandes, n'oubliez pas que Identity Manager vous permet d'entrer un unique groupe de commentaires pour décrire l'action de résolution. Vous pouvez ne pas vouloir effectuer de résolution en masse sauf si les violations ont un rapport entre elles et qu'un seul commentaire suffira.

2. Cliquez sur Résoudre.

3. La page Résolution d'une violation de stratégie (ou Résolution de plusieurs violations de stratégie) s'affiche.

4. Entrez des commentaires sur la résolution dans le champ Commentaires.

5. Cliquez sur OK pour enregistrer vos modifications et revenir à la page Résolutions.

   ---

   Remarque –

   Les stratégies d'audit directement assignées à un utilisateur (c.-à-d., assignées via l'assignation de l'organisation ou le compte utilisateur) sont toujours réévaluées lorsqu'une violation relative à cet utilisateur est résolue.

   ---

Transfert des requêtes de résolution

Vous pouvez transférer une ou plusieurs demandes de résolution à un autre solutionneur.

Pour transférer des requêtes de résolution

1. Utilisez les cases à cocher du tableau pour spécifier quelles demandes transférer.

   • Cochez la case à cocher de l'en-tête du tableau pour transférer toutes les demandes listées dans le tableau.

   • Cochez une ou plusieurs cases du tableau pour transférer une ou plusieurs demandes.

2. Cliquez sur Transférer.

   La page Sélectionner et Confirmer le transfert s'affiche.

   Figure 15–4 Page Sélectionner et Confirmer le transfert

   
   

3. Entrez le nom du solutionneur dans le champ Transmettre à, puis cliquez sur OK. Sinon, vous pouvez cliquer sur le bouton ... (Autres) pour rechercher un nom de solutionneur. Sélectionnez un nom dans la liste de recherche puis cliquez sur Définir pour entrer un nom dans le champ Transmettre à. Cliquez sur Abandonner pour fermer la zone de recherche.

   Quand la page Résolutions réapparaît, le nom du nouveau solutionneur s'affiche dans la colonne Solutionneur du tableau.

Édition d'un utilisateur à partir d'un élément de travail de résolution

À partir d'un élément de travail de résolution, vous pouvez (si vous bénéficiez des droits de modification d'un utilisateur) éditer un utilisateur pour résoudre les problèmes (comme décrit dans l'historique des habilitations associé).

Pour éditer un utilisateur, cliquez sur Éditer l'utilisateur sur la page Demande de résolution d'examen. La page Éditer l'utilisateur affichée montre :

• l'historique des habilitations associé à l'utilisateur pour cet élément de travail ;

• les attributs relatifs à l'utilisateur.

  Les options qui s'affichent sur cette page sont les mêmes que dans le formulaire Éditer l’utilisateur disponible dans la zone des Comptes.

Après la modification de l'utilisateur, cliquez sur Enregistrer.

---

Remarque –

L'enregistrement des modifications apportées à l'utilisateur entraîne l'exécution du flux des travaux de mise à jour de l'utilisateur. Vu que ce flux de travaux peut être associé à des approbations, il se peut que les modifications apportées aux comptes utilisateur restent sans effet pendant une certaine période de temps après l'enregistrement. Si la stratégie d'audit permet de répéter le scannage et que le flux de travaux de mise à jour de l'utilisateur n'est pas terminé, le scannage de stratégie suivant pourra détecter la même violation.

---