À propos de la résolution (Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1)

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

À propos de la résolution

Quand Identity Manager détecte une violation de la compatibilité avec la stratégie d'audit irrésolue (non atténuée), il crée une demande de résolution, qui doit être résolue par un solutionneur. Un solutionneur est un utilisateur désigné, autorisé à évaluer violations de stratégie d'audit et à y répondre.

Signalisation des solutionneurs

Identity Manager permet de définir trois niveaux de solutionneurs. Les demandes de résolution sont d'abord envoyées aux solutionneurs de niveau 1. Si aucun solutionneur de niveau 1 ne répond à une demande de résolution dans le délai d'attente imparti, Identity Manager signale la violation aux solutionneurs de niveau 2 et le compte à rebours du nouveau délai d'attente commence. Si aucun solutionneur de niveau 2 ne répond dans le délai d'attente imparti, la demande de résolution est signalée aux solutionneurs de niveau 3.

Pour la résolution, vous devez nommer au moins un solutionneur dans votre entreprise. La désignation de plusieurs solutionneurs pour chaque niveau est facultative, mais conseillée. Plusieurs solutionneurs aident à ne pas retarder ni arrêter le flux des travaux.

Sécurisation de l'accès aux résolutions

Les options d'autorisation suivantes se réfèrent aux éléments de travail d'authType RemediationWorkItem.

Le propriétaire de l'élément de travail de résolution.
Un responsable direct ou indirect du propriétaire de l'élément de travail de résolution.
Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail de résolution.

Par défaut, les contrôles d'autorisation se comportent de l'une des façons suivantes :

Le propriétaire est l'utilisateur qui tente l'action.
Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.
Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les options suivantes :

controlOrg. Les valeurs valides sont true ou false.
subordinate. Les valeurs valides sont true ou false.
lastLevel. Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux. La valeur par défaut de lastLevel est -1, ce qui correspond à subordonnés directs et indirects.

Ces options peuvent être ajoutées ou modifiées dans les éléments suivants :

UserForm: Remediation List

Processus de flux de travaux de résolution

Identity Manager fournit le Standard Remediation Workflow (flux de travaux de résolution standard) qui assure le traitement de résolution pour les scannages de stratégie d'audit.

Le flux de travaux de résolution standard génère une demande de résolution (élément de travail de type examen) contenant des informations sur la violation de conformité et envoie une notification par e-mail à chaque solutionneur de niveau 1 désigné dans la stratégie d'audit. Quand un solutionneur atténue la violation, le flux de travail change l'état de l'objet Violation de conformité existant et lui assigne une date d'expiration.

Une violation de conformité est identifiée de manière univoque par la combinaison utilisateur, nom de stratégie et nom de règle. Une stratégie d'audit évaluée comme true détermine la création d'une nouvelle violation de conformité pour chaque combinaison utilisateur/ stratégie/règle, s'il n'existe pas déjà de violation correspondant à cette combinaison. Si aucune violation n'existe pour cette combinaison et que la violation et en état d'atténuation, le traitement du flux de travail ne prend aucune mesure. Si la violation existante n'est pas atténuée, sa numérotation récurrente est augmentée d'une unité.

Pour plus d'informations sur les flux de travaux de résolution, voir la section À propos des stratégies d'audit.

Réponse aux demandes de résolution

Par défaut, chaque solutionneur dispose de trois types de réponses :

Résoudre. Un solutionneur indique qu'une mesure corrective a été prise pour résoudre le problème sur la ressource.

En cas de modification d'une violation de conformité, Identity Manager crée un événement d'audit pour consigner la résolution. De plus, Identity Manager garde en mémoire le nom du solutionneur ainsi que les commentaires éventuels.

Remarque –
Une fois résolue, une violation n'est supprimée qu'au scannage d'audit suivant. Si une stratégie d'audit a été configurée pour permettre de nouveaux scannages, l'utilisateur sera rescanné dès la résolution de la violation.
Atténuer. Un solutionneur autorise la violation et accorde à l'utilisateur une dispense de violation pour un certain laps de temps.

Si la violation est volontaire (par exemple, un dossier commercial relevant de deux groupes), vous pouvez atténuer la violation pendant une longue période. Vous pouvez aussi atténuer la violation pendant une courte période de temps (par exemple, si l'administrateur système des ressources est en congé et que vous ne savez pas comment résoudre le problème).

Identity Manager garde en mémoire le nom du solutionneur qui a atténué la violation, ainsi que la date d'expiration de la dispense et tout commentaire associé.

Remarque –
Quand Identity Manager détecte une dispense arrivée à expiration, il change l'état de la violation de « atténué » à « en attente ».
Transférer. Un solutionneur réassigne la responsabilité de la résolution de la violation à un autre utilisateur.

Exemple de résolution

Votre entreprise établit une règle selon laquelle un utilisateur ne peut pas être à la fois responsable des comptes fournisseurs et des comptes clients et vous recevez une notification signalant qu'un utilisateur a violé cette règle.

Si l'utilisateur est un superviseur ayant la responsabilité des deux rôles le temps que l'entreprise embauche une seconde personne pour le poste, vous pouvez atténuer la violation et émettre une dispense d'une durée maximale de six mois.
Si l'utilisateur viole la règle, vous pouvez demander à votre Administrateur ERP Oracle de corriger le conflit puis de résoudre la violation une fois le problème réglé pour cette ressource. Sinon, vous pouvez transmettre la demande de résolution à votre Administrateur ERP Oracle.