Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Examens d'accès périodiques et attestations

Identity Manager fournit des examens d'accès périodiques, qui permettent aux responsables et autres supérieurs d'examiner et de vérifier les privilèges d'accès des utilisateurs. Ceci permet d'identifier et de gérer l'accumulation, avec le temps, de privilèges par les utilisateurs et aide à maintenir la conformité avec les lois Sarbanes-Oxley, GLBA et autres lois fédérales.

Les examens d'accès peuvent être réalisés ponctuellement en fonction des besoins ou planifiés à des fréquences périodiques, par exemple, tous les trimestres. Vous pouvez ainsi effectuer des examens d'accès périodiques pour que les utilisateurs aient toujours un niveau de privilèges adéquat. Un examen d'accès peut facultativement comporter des scannages de stratégie d'audit.

À propos des examens d'accès périodiques

Un Examen d'accès périodique est un processus consistant à certifier qu'un utilisateur donné bénéficie des privilèges appropriés sur les ressources appropriées à un moment particulier.

Un examen d'accès périodique comporte les activités suivantes :

Scannages d'examen des accès. Scannages utilisant certaines règles pour l'évaluation des habilitations utilisateur pour déterminer si une attestation est nécessaire.
Attestation. Processus consistant à réponse aux demandes d'attestation en approuvant ou en rejetant les habilitations utilisateur.

Une habilitation utilisateur est un enregistrement détaillé des comptes d'un utilisateur sur un ensemble spécifique de ressources.

Scannages d'examen des accès

Pour commencer un examen des accès périodique, vous devez d'abord définir au moins un scannage des accès.

Le scannage des accès définit les personnes faisant l'objet du scannage, les ressources prises en compte, les stratégies d'audit optionnelles évaluées et les règles utilisées pour déterminer les enregistrements d'habilitation qui seront attestés manuellement et par qui.

Processus du flux de travaux d’examen des accès

En général, le flux de travaux d'examen d'accès d'Identity Manager :

Construit une liste d'utilisateurs, récupère les informations de compte de chaque utilisateur et évalue les stratégies d'audit optionnelles.
Crée des enregistrements d'habilitation utilisateur.
Détermine si chaque enregistrement d'habilitation utilisateur doit faire l'objet d'une attestation.
Assigne des éléments de travail à chaque attestateur.
Attend l'approbation de tous les attestateurs ou le premier refus.
Réassigne la demande à l'attestateur suivant, s'il ne reçoit pas de réponse dans le délai d'attente spécifié.
Actualise les enregistrements d'habilitation utilisateur avec les résolutions.

Pour la description des capacités de résolution, voir la section Résolution de l'examen des accès.

Capacités d'administrateur requises

Pour réaliser un examen périodique des accès et gérer les processus d'examen, un utilisateur doit bénéficier de la capacité Administrateur d’examens d’accès périodiques de l’auditeur. Un utilisateur ayant la capacité Administrateur des scannages d’accès d’audit peut créer et gérer les scannages des accès.

Pour assigner ces capacités, vous devez intervenir sur le compte utilisateur et modifier les attributs de sécurité. Pour plus d'informations sur les capacités, voir la section Comprendre et gérer les capacités au Chapitre 6Administration.

Processus d'attestation

L'Attestation est un processus de certification effectué par un ou plusieurs attestateurs désignés pour confirmer une habilitation utilisateur telle qu'elle se présente à une date donnée. Pendant un examen des accès, l'attestateur (ou les attestateurs) reçoit un e-mail de notification des demandes d'attestation des examens d'accès. Un attestateur peut être un utilisateur Identity Manager, mais ne doit pas nécessairement être un administrateur Identity Manager.

Flux de travail d'attestation

Identity Manager utilise un flux de travail d'attestation qui est lancé quand un scannage d'accès détecte des enregistrements d'habilitation nécessitant un examen. Pour cela, le scannage des accès se base sur les règles définies dans le scannage des accès.

Une règle évaluée par le scannage des accès détermine si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement ou s'il peut être approuvé ou rejeté automatiquement. Si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement, le scannage des accès utilise une deuxième règle pour déterminer quels sont les attestateurs appropriés.

Tout enregistrement d'habilitation utilisateur devant être attesté manuellement est assigné à un flux de travaux, avec un élément de travail par attestateur. Il est possible d'envoyer la notification de ces éléments de travail à l'attestateur en utilisant un flux de travaux ScanNotification regroupant tous les éléments dans une notification, par attestateur et par scannage. La notification sera effectuée par habilitation utilisateur, sauf si le flux de travaux ScanNotification est sélectionné. Un attestateur peut donc recevoir plusieurs notifications par scannage, même en grand nombre, en fonction du nombre d'utilisateurs scannés.

Sécurisation de l'accès aux attestations

Ces options d'autorisation sont relatives aux éléments de travail d'authType RemediationWorkItem.

Le propriétaire de l'élément de travail.
Un responsable direct ou indirect du propriétaire de l'élément de travail.
Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail.
Les utilisateurs qui ont été validés suite à des contrôles d'authentification.

Par défaut, les contrôles d'autorisations se comportent de l'une des façons suivantes :

Le propriétaire est l'utilisateur qui tente l'action.
Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.
Le propriétaire est un subordonné de l'utilisateur tentant l'action.

Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les propriétés suivantes du formulaire :

controlOrg — Les valeurs admises sont true ou false.
subordinate — Les valeurs admises sont true ou false.
lastLevel — Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux.

La valeur entière par défaut de lastLevel est -1, indiquant des subordonnés directs et indirects.

Vous pouvez ajouter ou modifier ces options de la façon suivante :

UserForm: AccessApprovalList.

Remarque –

Si vous paramétrez la sécurité sur attestations à des organisations contrôlées, la capacité Attestateur Auditeur est également requise pour modifier d'autres attestations de l'utilisateur.

Attestation déléguée

Par défaut, le flux des travaux de scannage des accès respecte les délégations, pour les éléments de travail de type Attestation d’examen des accès et Résolution de l’examen des accès, créées par les utilisateurs pour les éléments de travail d'attestation et les notifications. L'administrateur des scannages d’accès peut désélectionner l'option Suivre la délégation pour ignorer les paramètres de délégation. Si un attestateur a délégué tous les éléments de travail à un autre utilisateur mais que l'option Suivre la délégation n'est pas paramétrée pour un scannage d'examen des accès, l'attestateur - et pas l'utilisateur à qui les délégations ont été assignées - recevra les notifications des demandes d'attestation et les éléments de travail.

Planification d'examens d'accès périodiques

Un examen d'accès peut être un processus long et laborieux pour toute entreprise. L'examen d'accès périodique d'Identity Manager permet de gagner du temps et de l'argent en automatisant une grande partie du processus. Toutefois, certaines tâches du processus restent chronophages. Par exemple, la recherche des données d'un compte utilisateur parmi des milliers d'utilisateurs peut prendre un temps considérable. L'attestation manuelle des enregistrements peut également prendre beaucoup de temps. Une bonne planification améliore l'efficacité du processus et réduit considérablement les efforts nécessaires.

La planification d'examens d'accès périodiques mérite quelques considérations :

La durée du scannage peut varier considérablement en fonction du nombre d'utilisateurs et des ressources concernées.

Un seul examen d'accès périodique peut prendre un ou plusieurs jours dans une organisation de grande taille et une attestation manuelle peut prendre une ou plusieurs semaines.

Par exemple, pour une organisation comptant 50 000 utilisateurs et dix ressources, un scannage des accès peut prendre approximativement une journée, si on se base sur le calcul suivant :

1 s/ressource * 50K utilisateurs * 10 ressources / 5 connexions simultanées = 28 heures

Si les ressources sont disséminées dans plusieurs régions géographiques, ce temps augmente encore à cause des temps de latence du réseau.
L'utilisation de plusieurs serveurs Identity Manager pour un traitement parallèle des données peut accélérer le processus d'examen des accès.

L'exécution de plusieurs scannages en parallèle est plus efficace quand les ressources ne sont pas communes à tous les scannages. Lors de la définition d'un examen d'accès, vous devez créer plusieurs scannages et limiter les ressources à un ensemble de ressources spécifiques, en utilisant différentes ressources pour chaque scannage. Ensuite, quand vous lancerez la tâche, vous devrez sélectionner plusieurs scannages et programmer leur exécution immédiate.
La personnalisation du flux des travaux d'attestation et des règles vous offre un meilleur contrôle du processus et davantage d'efficacité.

Par exemple, vous pouvez personnaliser la règle de l'Attestateur pour étendre les obligations d'attestation à plusieurs attestateurs. Le processus d'attestation affecte des éléments de travail et envoie les notifications en conséquence.
L'utilisation des Règles de signalisation des attestateurs permet de réduire le temps de réponse pour les demandes d'attestation.

Définissez la règle de signalisation de l’attestateur ou utilisez une règle personnalisée pour configurer une chaîne de signalisation d'attestateurs. Vous devez également spécifier les délais de signalisation.
Bien comprendre le mécanisme des Règles de détermination de l’examen permet un gain de temps en déterminant automatiquement les enregistrements d'habilitation qui nécessitent un examen manuel.
Effectuez une notification groupée des demandes d'attestation pour un scannage en spécifiant un flux de travaux de notification au niveau du scannage.

Réglage des tâches de scannage

Lors d'un processus de scannage, plusieurs threads accèdent à la vue de l'utilisateur, permettant un accès potentiel aux ressources pour lesquelles l'utilisateur possède des comptes. L'accès à cette vue détermine l'évaluation de plusieurs stratégies d'audit et règles qui peut entraîner la création de violations de conformité.

Pour éviter que deux threads n'actualisent simultanément la même vue utilisateur, le processus établit un verrouillage à l'intérieur de la mémoire sur le nom d'utilisateur. Si le verrouillage n'a pas été établi (par défaut) dans un délai de cinq secondes, une erreur est associée au scannage et l'utilisateur est ignoré, ce qui assure ainsi une protection contre les scannages simultanés sur un même groupe d'utilisateurs.

Vous pouvez entrer les valeurs de plusieurs "paramètres réglables" fournis comme arguments de tâche dans la tâche de scannage :

clearUserLocks (Booléenne). Si la condition est "true", tous les verrous utilisateur actuels sont libérés avant le démarrage du scannage.
userLock (nombre entier). Délai d'attente (en millisecondes) lors d'une tentative de verrouillage d'un utilisateur. La valeur par défaut est 5 secondes. Une valeur négative désactive le verrouillage pour ce scannage.
scanDelay (nombre entier). Temps de pause (en millisecondes) entre les distributions des threads de scannage. La valeur par défaut est 0 (pas de pause). Si vous entrez une valeur pour cet argument, le scannage sera plus lent, mais le système sera plus réactif à d'autres opérations.
maxThreads (nombre entier). Nombre de threads simultanés utilisés pour traiter un scannage. La valeur par défaut est 5. Si la réponse des ressources est très lente, l'augmentation de ce chiffre peut accélérer le scannage.

Pour modifier les valeurs de ces paramètres, éditez le formulaire de Définition des tâches correspondant. Pour plus d'informations, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.

Création d'un scannage d'accès

Pour définir le scannage d'examen des accès

Sélectionnez Conformité-> Gérer les scannages d’accès

Cliquez sur Nouveau pour afficher la Création d’un nouveau scannage des accès.

Attribuez un nom au scannage d'accès.

Remarque –
Les noms des scannages des accès ne doivent pas contenir les caractères suivants :

’ (apostrophe), . (point), | (barre verticale), [ (crochet gauche), ] (crochet droit), , (virgule), : (deux points), $ (symbole du dollar), " (guillemets doubles) et = (signe égal).

Évitez également d'utiliser ces caractères : _ (soulignement), % (pourcent), ^ (circonflexe) et * (astérisque)

Ajoutez une description compréhensible pour l'identification du scannage ( facultatif).

Activez l'option Habilitations dynamiques pour donner des options supplémentaires aux attestateurs.

Ces options sont les suivantes :
- Une attestation en attente peut faire l'objet d'un nouveau scannage immédiat pour actualiser les données d'habilitation et réévaluer le besoin d'une attestation.
- Une attestation en attente peut être dirigée vers un autre utilisateur pour sa résolution. Après la résolution, les données d'habilitation sont actualisées et réévaluées pour déterminer le besoin d'une attestation.

Spécifiez le Type d’étendue de l’utilisateur (obligatoire).

Choisissez l'une des options suivantes :
- Règle Selon la condition de l’attribut. Scanne les utilisateurs en fonction de la règle de Type d’étendue de l’utilisateur sélectionnée.
  
  Identity Manager fournit les règles par défaut suivantes :
  - Tous les administrateurs,
    
    Remarque –
    Vous pouvez ajouter des règles définissant l'étendue de l'utilisateur en utilisant Identity Manager IDE Pour toute information sur Identity Manager IDE, allez sur https://identitymanageride.dev.java.net/.
  - Tous mes subordonnés,
  - Tous les non-administrateurs,
  - Mes subordonnés directs,
  - Utilisateur sans responsable.
- Assigné aux ressources. Scanne tous les utilisateurs qui ont un compte sur une ou plusieurs ressources sélectionnées. Si vous choisissez cette option, la page affiche les Ressources de l’étendue de l’utilisateur, qui permettent de spécifier des ressources.
- Selon un rôle spécifique. Scanne tous les membres qui ont au moins un rôle, ou tous les rôles, que vous spécifiez.
- Membres d'organisations. Choisissez cette option pour scanner tous les membres d'une ou plusieurs organisations sélectionnées.
- Rapports aux responsables. Scanne tous les utilisateurs qui dépendent des responsables sélectionnés. La hiérarchie est déterminée par l'attribut Identity Manager du compte Lighthouse de l'utilisateur.
  
  Si l'étendue de l'utilisateur est organisation ou responsable, l'option Étendue récursive est disponible. Cette option permet une sélection récursive de l'utilisateur dans la chaîne des membres contrôlés.

Si vous décidez également d'explorer les stratégies d'audit pour détecter les violations lors du scannage d'examen des accès, sélectionnez les stratégies d'audit à appliquer à ce scannage en déplaçant vos sélections de la liste des Stratégies d’audit disponibles à la liste des Stratégies d’audit en cours.

L'ajout de stratégies d'audit à un scannage d'accès détermine le même comportement que l'exécution d'un scannage d'audit sur le même groupe d'utilisateurs. Toutefois, toute violation détectée par les stratégies d'audit est stockée dans l'enregistrement d'habilitation de l'utilisateur. Cette information peut faciliter l'approbation et le rejet automatique, parce que la règle peut utiliser, comme partie intégrante de sa logique, la présence ou l'absence de violations dans l'enregistrement d'habilitation utilisateur.

Si vous avez scanné les stratégies d'audit lors de l'étape précédente, vous pouvez utiliser l'option Mode de stratégie pour spécifier comment le scannage des accès détermine les stratégies d'audit à exécuter pour un utilisateur donné. Un utilisateur peut avoir des stratégies assignées au niveau utilisateur et/ou au niveau de son organisation. Le comportement de scannage des accès par défaut consiste à appliquer les stratégies pour le scannage des accès uniquement si l'utilisateur n'a pas encore de stratégies assignées.
1. Appliquer les stratégies sélectionnées et ignorer les autres assignations.
2. Appliquer les stratégies sélectionnées seulement si l’utilisateur n’a pas encore d’assignations.
3. Appliquer les stratégies sélectionnées en plus des assignations de l’utilisateur.

(Facultatif) Spécifiez le Propriétaire du processus d’examen. Utilisez cette option pour indiquer un propriétaire de la tâche d'examen des accès en cours de définition. Si un Propriétaire du processus d’examen est spécifié, un attestateur, qui rencontre un conflit potentiel en répondant à une demande d'attestation, peut s'abstenir au lieu d'approuver ou de rejeter une habilitation utilisateur ; dans ce cas, la demande d'attestation est transférée au Propriétaire du processus d’examen. Cliquez sur la boîte de sélection (ellipse) pour rechercher des comptes utilisateur et faire votre sélection.

Suivre la délégation. Sélectionnez cette option pour activer la délégation pour le scannage des accès. Le scannage des accès ne tiendra compte des paramètres de la délégation que si cette option est cochée. Suivre la délégation est activé par défaut.

Restreindre les ressources cible. Sélectionnez cette option pour limiter le scannage aux ressources cible.

Ce paramètre a un impact direct sur l'efficacité du scannage des accès. Si les ressources cible ne sont pas restreintes, chaque enregistrement d'habilitation utilisateur contiendra les informations de compte pour chacune des ressources auxquelles l'utilisateur est relié. Par conséquent, chaque ressource assignée est interrogée pour chaque utilisateur pendant le scannage. En utilisant cette option pour spécifier un sous-ensemble de ressources, vous pouvez réduire considérablement les temps de traitement d'Identity Manager pour la création d'enregistrements d'habilitation utilisateur.

Exécuter la résolution de violation. Sélectionnez cette option pour activer le flux de travaux de résolution des stratégies d'audit quand une violation est détectée.

Si cette option est sélectionnée, une violation détectée sur l'une des stratégies d'audit assignées entraînera l'exécution du flux de travaux de résolution des stratégies d'audit respectives.

Cette option doit normalement être sélectionnée, sauf pour les cas avancés.

Flux de travaux de l’approbation de l’accès. Sélectionnez le flux de travaux d'attestation standard par défaut ou un flux de travaux personnalisé (si disponible).

Ce flux de travaux s'utilise pour présenter à des attestateurs appropriés l'enregistrement d'habilitation de l'utilisateur pour son examen (selon la règle de l'attestateur). Le flux de travaux des attestations standard par défaut crée un seul élément de travail pour chaque attestateur. Si le scannage des accès spécifie une signalisation, ce flux de travaux doit signaliser les éléments de travail restés trop longtemps en sommeil. Si aucun flux de travaux n'est spécifié, l'attestation de l'utilisateur restera indéfiniment

en attente.

Remarque –
Pour plus d'informations sur la création et l'utilisation des règles Identity Auditor mentionnées dans cette étape et les suivantes, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

Règle de l’attestateur. Sélectionnez la règle d'attestateur par défaut ou sélectionnez une règle d'attestateur personnalisée (si disponible).

La règle de l'attestateur reçoit l'enregistrement d'habilitation utilisateur en tant qu'entrée et retourne une liste de noms d'attestateurs. Si vous avez sélectionné Suivre la délégation, le scannage des accès transforme la liste des noms en y laissant uniquement les noms des utilisateurs appropriés selon les informations de délégation configurées par chaque utilisateur dans la liste de noms d'origine. Si la délégation d'un utilisateur Identity Manager donne comme résultat un cycle de routine, les informations de délégation sont rejetées tandis que l'élément de travail est envoyé à l'attestateur initial. La règle Default Attestor indique que l'attestateur doit être le responsable (idmManager) de l'utilisateur auquel l'enregistrement d'habilitation se réfère ou bien le Compte Configurateur si l'idmManager de cet utilisateur est null. Si l'attestation doit impliquer des propriétaires de ressources ainsi que des responsables, vous devez utiliser une règle personnalisée.

Règle de signalisation à l’attestateur. Utilisez cette option pour spécifier la règle de signalisation à l'attestateur ou sélectionnez une règle personnalisée (si disponible). Vous pouvez aussi indiquer un délai de signalisation pour cette règle. Le délai de signalisation par défaut est 0 jour.

Cette règle spécifie la chaîne de signalisation pour un élément de travail qui a franchi le délai de signalisation. La règle de signalisation à l’attestateur par défaut transmet une requête d’attestation au responsable de l’attestateur (idmManager) ou au configurateur si la valeur idmManager de l'attestateur est null.

Vous pouvez entrer un délai de signalisation en minutes, heures ou jours.

L'ouvrage contient des informations supplémentaires sur la règle de signalisation à l’attestateur.

Règle de détermination de l’examen. (obligatoire)

Sélectionnez l'une des règles suivantes pour spécifier comment le processus de scannage déterminera la disposition d'un enregistrement d'habilitation :
- Reject Changed Users (Rejeter utilisateurs modifiés). Rejette automatiquement l'enregistrement d'habilitation utilisateur s'il diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Sinon, cette règle force l'attestation manuelle et approuve toutes les habilitations utilisateur restées inchangées depuis l'habilitation utilisateur approuvée au préalable. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.
- Review Changed Users (Examiner utilisateurs modifiés). Cette règle force l'attestation manuelle de tout enregistrement d'habilitation utilisateur si celui-ci diffère de la dernière habilitation utilisateur issue de la même définition de scannage des accès et si la dernière habilitation utilisateur avait été approuvée. Approuve toutes les habilitations utilisateur restées inchangées depuis la dernière habilitation utilisateur approuvée. Par défaut, seule la portion « comptes » de la vue de l'utilisateur est prise en considération pour cette règle.
- Review Everyone (Examiner tous). Cette règle force l'attestation manuelle de tous les enregistrements d'habilitation utilisateur.
Les règles Reject Changed Users et Review Changed Users comparent l'habilitation utilisateur avec la dernière instance du même scannage des accès dans lequel l'enregistrement d'habilitation avait été approuvé.

Vous pouvez modifier ce comportement en copiant et en modifiant les règles pour limiter la comparaison à toute partie sélectionnée de la vue de l'utilisateur.

Cette règle peut retourner les valeurs suivantes :
- -1. Aucune attestation n'est requise.
- 0. Rejette automatiquement l'attestation.
- 1. Attestation manuelle requise.
- 2. Approuve automatiquement l'attestation.
- 3. Résout automatiquement l'attestation (résolution automatique).
  
  Cet ouvrage contient des informations supplémentaires sur la Règle de détermination de l'examen.

Remediator Rule (Règle du solutionneur). Sélectionnez la règle à utiliser pour déterminer la personne devant résoudre l’habilitation d’un utilisateur spécifique dans le cas d’une résolution automatique. Cette règle peut examiner l’habilitation et les violations actuelles de l’utilisateur, et doit renvoyer une liste d'utilisateurs pour la résolution. Si aucun règle n'est spécifiée, aucune résolution n’aura lieu. Le plus souvent, cette règle s'applique quand l'habilitation comporte des violations de conformité.

Règle de formulaire utilisateur de résolution. Sélectionnez une règle à utiliser pour le choix d'un formulaire adapté pour les solutionneurs d'attestation pendant l'édition des utilisateurs. Les solutionneurs peuvent définir leur propre formulaire, qui remplacera celui-ci. Cette règle de formulaire doit être définie si le scannage détecte des données très spécifiques qui correspondent à un formulaire personnalisé.

Flux de travaux de notification.

Sélectionnez l'une des options suivantes pour spécifier le comportement de la notification pour chaque élément de travail :
- Aucun. Il s'agit de la valeur par défaut. La sélection de cette option détermine l'envoi à l'attestateur d'un e-mail de notification pour chaque habilitation utilisateur individuelle qu'il doit attester.
- ScanNotification. La sélection de cette option regroupe les demandes d'attestation dans une même notification. La notification indique le nombre de demandes d'attestation qui ont été assignées au destinataire.
  
  Si un Propriétaire du processus d’examen a été spécifié dans le scannage des accès, le flux des travaux de ScanNotification enverra une notification au propriétaire du processus d'examen au début et à la fin du scannage. Voir Création d'un scannage d'accès.
  
  Le flux des travaux ScanNotification utilise le modèle d'e-mail suivant :
  - Avis de début du scannage d’accès
  - Avis de fin du scannage d’accès
  - Avis d’attestation en masse
    
    Vous pouvez personnaliser le flux des travaux ScanNotification.

Limite des violations. Utilisez cette option pour indiquer le nombre maximum de violations de conformité pouvant être émis par ce scannage avant son abandon. Par défaut, la limite est fixée à 1 000. Si le champ est vide, aucune limite n'est fixée.

Bien qu'au cours d'un scannage d'audit ou d'un scannage des accès, le nombre des violations de stratégie est généralement faible par rapport au nombre des utilisateurs, le paramétrage de cette valeur peut servir de protection contre l'impact d'une stratégie défectueuse qui augmenterait significativement le nombre des violations. Par exemple, supposons :

qu'un scannage des accès portant sur 50 000 utilisateurs génère deux ou trois violations par utilisateur : les coûts de résolution pour chaque violation de conformité peuvent avoir des conséquences néfastes sur le système Identity Manager.

Organisations. Sélectionnez les organisations pour lesquelles l'objet de ce scannage d'accès est disponible. Ce champ est obligatoire.

Cliquez sur Enregistrer pour enregistrer la définition du scannage.

Suppression d'un scannage d'accès

Vous pouvez supprimer un ou plusieurs scannages d'accès. Pour supprimer un scannage d'accès, sélectionnez Gérer les scannages d’accès sous l'onglet Conformité, puis sélectionnez le nom du scannage et cliquez sur Supprimer.

Gestion des examens d'accès

Après la définition d'un scannage d'accès, vous pouvez l'utiliser ou le programmer comme faisant partie d'un examen d'accès. Après le lancement d'un examen d'accès, vous disposez de plusieurs options vous permettant de gérer le processus d'examen.

Dans les sections ci-après, vous trouverez des informations plus détaillées sur les questions suivantes :

Lancement d'un examen d'accès

Pour lancer un examen d'accès à partir de l'interface administrateur, vous avez le choix entre les méthodes suivantes :

Cliquez sur Lancer l'examen depuis la page Conformité -> Examens des accès.
Sélectionnez la tâche d'examen des accès depuis la page Tâches du serveur -> Exécuter des tâches.

Sur la page Lancer une tâche qui s'affiche, entrez un nom pour l'examen d'accès. Sélectionnez les scannages dans la liste Scannages d’accès disponibles et déplacez-les dans la liste Scannages d’accès sélectionnés.

Si vous sélectionnez plusieurs scannages, vous pouvez choisir l'une des options de lancement suivantes :

immédiatement. Cette option lance immédiatement le scannage, dès que vous cliquez sur le bouton Lancer. Si vous sélectionnez cette option pour plusieurs scannages dans le lancement de la tâche, les scannages seront effectués en parallèle.
après une attente. Cette option vous permet d'indiquer un délai d'attente avant de démarrer le scannage, relatif au lancement de la tâche d'examen des accès.

Remarque –

Vous pouvez démarrer plusieurs scannages pendant une session d'examen des accès. Toutefois, vu que chaque scannage porte sur un nombre élevé d'utilisateurs, le processus complet peut prendre plusieurs heures avant d'arriver à son terme. Il est donc vivement conseillé de gérer vos scannages en conséquence. Par exemple, vous pouvez lancer un scannage qui s'exécutera immédiatement et en planifier d'autres à des horaires échelonnés.

Cliquez sur Lancer pour commencer le processus d'examen des accès.

Remarque –

Le nom que vous assignez à un examen d'accès est important. Certains rapports peuvent établir une comparaison entre les examens d'accès de même nom exécutés périodiquement.

Quand vous lancez un examen d'accès, le schéma de progression du flux des travaux s'affiche en vous montrant l'avancement du processus.

Planification des tâches d'examen des accès

Il est possible de planifier une tâche d'examen des accès depuis la zone Tâche du serveur. Par exemple, pour configurer l'exécution périodique des examens des accès, sélectionnez Gérer la planification puis définissez la périodicité. Vous pouvez par exemple planifier l'exécution de la tâche à une fréquence mensuelle ou trimestrielle.

Pour planifier la périodicité, sélectionnez la tâche Examen d'accès sur la page Planifier tâches, puis complétez les informations sur la page Créer un programme de tâches.

Cliquez sur Enregistrer pour enregistrer la tâche planifiée.

Remarque –

Par défaut, Identity Manager garde en mémoire les résultats des tâches d'examen des accès pendant une semaine. Si vous décidez de planifier un examen plus fréquemment, configurez les Options de résultats sur supprimer. Si les Options de résultats ne sont pas définies sur supprimer, le nouvel examen ne sera pas exécuté parce que les résultats de la tâche précédente seront encore présents.

Gestion de la progression des examens d'accès

Utilisez l'onglet Examens des accès pour contrôler la progression d'un examen des accès. Cette fonction est accessible sous l'onglet Conformité.

Sous l'onglet Examens des accès, vous pouvez afficher un récapitulatif de tous les examens d'accès actifs et traités précédemment. Pour chaque examen d'accès de la liste, vous disposez des informations suivantes :

Statut. Statut courant du processus d'examen : en cours d'initialisation, en cours d'arrêt, arrêté, nombre de scannages en cours, nombre de scannages planifiés, en attente des attestations, ou terminé.
Date de lancement. La date (horodatage) à laquelle la tâche d'examen des accès a commencé.
Total des utilisateurs. Nombre total des utilisateurs à explorer.
Détails des habilitations. Des colonnes supplémentaires du tableau fournissent les totaux des habilitations par statut. Elles précisent les habilitations en attente, approuvées, rejetées, arrêtées ou résolues, ainsi que le nombre total des habilitations.

La colonne Résolu indique le nombre d'habilitations qui sont EN COURS DE RÉSOLUTION. Après la résolution d'une habilitation, son état devient EN ATTENTE ; par conséquent, à la conclusion d'un examen d'accès, la valeur de cette colonne est 0 (zéro).

Pour obtenir des informations plus détaillées sur l'examen, sélectionnez l'examen pour ouvrir un rapport récapitulatif.

La Figure 15–5 donne un exemple de rapport récapitulatif d'un examen des accès.

Figure 15–5 Page de Rapport récapitulatif d'un examen des accès

Figure représentant un exemple de Rapport récapitulatif d'un examen des accès

Cliquez sur l'onglet de formulaire Organisation ou Attestateurs pour afficher les informations de scannage classées selon ces objets.

Vous pouvez également voir et télécharger ces informations dans un rapport en exécutant le Rapport récapitulatif de l'examen des accès.

Modification des attributs des scannages

Après la configuration d'un scannage des accès, vous pouvez ajouter de nouvelles options au scannage en indiquant, par exemple, des ressources cible à explorer ou des stratégies d'audit à explorer pour détecter des violations pendant l'exécution du scannage des accès.

Pour définir un scannage, sélectionnez-le dans la liste des scannages des accès, puis modifiez ses attributs dans la page Éditer un scannage d'examen des accès.

Vous devez cliquer sur Enregistrer pour enregistrer les modifications apportées à la définition du scannage.

Remarque –

Le changement de l'étendue d'un scannage des accès peut entraîner la modification des informations dans les enregistrements d'habilitation utilisateur récemment acquis, à cause de son impact sur la règle de détermination de l'examen, si cette règle compare les habilitations utilisateur avec des enregistrements d'habilitation plus anciens.

Annulation d'un examen d'accès

Dans la page Examens d'accès, cliquez sur Arrêter pour arrêter un examen sélectionné en cours.

L'arrêt d'un examen a les conséquences suivantes:

Tous les scannages planifiés sont déplanifiés.
Tous les scannages actifs sont arrêtés.
Tous les flux de travaux et les éléments de travail en attente sont supprimés.
Toutes les attestations en attente sont marquées comme annulées.
Toutes les attestations que les utilisateurs ont terminées restent inchangées.

Suppression d'un examen d'accès

Dans la page Examens d'accès, cliquez sur Supprimer pour supprimer un examen sélectionné.

Vous pouvez supprimer un examen d'accès si le statut de la tâche est arrêtée ou terminée. Une tâche d'examen des accès en cours ne peut pas être supprimée si elle n'a pas d'abord été arrêtée.

La suppression d'un examen d'accès supprime tous les enregistrements d'habilitation utilisateur qui avaient été générés par cet examen. L'action de suppression est enregistrée dans le journal de l'audit.

Pour supprimer un examen d'accès, cliquez sur Supprimer dans la page Examen des accès.

Remarque –

L'annulation et la suppression d'un examen des accès peut entraîner la mise à jour d'un grand nombre d'objets et de tâches Identity Manager, et peut donc prendre plusieurs minutes. Vous pouvez contrôler la progression de l'opération en affichant les résultats des tâches dans Tâches du serveur -> Toutes tâches.

Gestion des obligations d'attestation

Vous pouvez gérer les demandes d'attestation depuis l'interface Administrateur ou Utilisateur d'Identity Manager. Cette section fournit des informations sur la réponse aux demandes d'attestations et les obligations liées aux attestations.

Notification des examens des accès

Au cours d'un scannage, Identity Manager envoie une notification aux attestateurs lorsque les demandes d'attestations nécessitent leur approbation. Si les responsabilités de l'attestateur ont été déléguées, les demandes d'attestations sont envoyées au délégué. Si plusieurs attestateurs ont été définis, chaque attestateur recevra un e-mail de notification.

Ces demandes apparaissent comme des éléments de travail d'attestation dans l'interface d'Identity Manager. Les éléments de travail d'attestation en attente sont affichés quand l'attestateur assigné se connecte à Identity Manager.

Affichage des demandes d'attestation en attente

Affichez les éléments de travail d'attestation depuis la zone Éléments de travail de l'interface d'Identity Manager. En ouvrant l'onglet Attestation dans la zone Éléments de travail, vous obtenez la liste de tous les enregistrements d'habilitation nécessitant une approbation. Dans la page Attestations, vous pouvez également afficher la liste des enregistrements d'habilitation pour tous vos rapports directs et pour les utilisateurs spécifiés que vous contrôlez directement ou indirectement.

Action sur les enregistrements d'habilitation

Les éléments de travail d'attestation contiennent les enregistrements d'habilitation utilisateur qui doivent être examinés. Les enregistrements d'habilitation fournissent des informations sur les privilèges d'accès des utilisateurs, les ressources assignées et les violations de stratégies.

Les réponses possibles à une demande d'attestation sont les suivantes :

Approuver. Atteste que l'habilitation est appropriée pour ce qui est de la date indiquée dans l'enregistrement d'habilitation.
Rejeter. L'enregistrement d'habilitation fait état de non-conformités possibles qui ne peuvent pas être validées ni résolues.
Nouveau scannage. Demande un nouveau scannage pour réévaluer l'habilitation utilisateur.
Transférer. Vous permet d'indiquer un autre destinataire pour l'examen.
S’abstenir. L'attestation pour cet enregistrement n'est pas appropriée et on ne connaît pas d'attestateur plus approprié. L'élément de travail d'attestation est transféré au propriétaire du processus d'examen. Cette option n'est disponible que si un propriétaire du processus d'examen a été défini dans la tâche d'examen des accès.

Si un attestateur ne répond pas à une demande par l'une de ces actions avant la fin du délai de signalisation spécifié, un avis est envoyé à l'attestateur suivant de la chaîne de signalisation. Le processus de notification continue jusqu'à ce qu'une réponse soit consignée.

Le statut d'une attestation peut être contrôlé sous l'onglet Conformité -> Examens des accès.

Résolution en boucle fermée

Vous pouvez éviter de rejeter des habilitations utilisateur :

En marquant une habilitation comme « à corriger » en demandant sa correction par un autre utilisateur (Demande de résolution). Dans ce cas, un nouvel élément de travail de résolution est créé et assigné à un ou plusieurs solutionneurs spécifiés.

Le nouveau solutionneur peut alors décider d'éditer l'utilisateur, soit en utilisant Identity Manager soit indépendamment, puis, une fois satisfait, de marquer l'élément de travail comme résolu. Dans ce cas, l'habilitation utilisateur est à nouveau scannée et évaluée.
En demandant une réévaluation de l'habilitation (Nouveau scannage). Dans ce cas, l'habilitation utilisateur est à nouveau explorée et évaluée. L'élément de travail d'attestation d'origine est fermé. Un nouvel élément de travail d'attestation est créé si l'habilitation requiert encore une attestation selon les règles définies dans le scannage des accès.

Demande de résolution

Si une attestation en attente est définie par le scannage·des accès, vous pouvez l'acheminer vers un autre utilisateur à des fins de résolution.

Remarque –

L'option Habilitations dynamiques sur les pages Créer un scannage d’accès ou Édition du scannage des accès active cette fonction.

Pour demander une résolution depuis un autre utilisateur

Sélectionnez une ou plusieurs habilitations dans la liste des attestations, puis cliquez sur Demander la résolution.

La page Sélectionner et confirmer la demande de résolution s'affiche.

Entrez un nom d'utilisateur, puis cliquez sur Ajouter pour ajouter l'utilisateur dans le champ Transmettre à. Sinon, cliquez sur ... (Autres) pour rechercher un nom d'utilisateur. Sélectionnez l'utilisateur dans la liste de recherche, puis cliquez sur Ajouter pour ajouter l'utilisateur dans la liste Transmettre à. Cliquez sur Abandonner pour fermer la zone de recherche.

Entrez des commentaires dans le champ Commentaires, puis cliquez sur Poursuivre.

Identity Manager renvoie la liste des attestations.

Remarque –
Des informations détaillées sur la demande de résolution s'affichent dans la zone Historique de l'habilitation utilisateur en question.

Nouveau scannage des attestations

Si une attestation en attente est définie par le scannage·des accès, vous pouvez répéter le scannage et la réévaluer.

Remarque –

L'option Habilitations dynamiques sur les pages Créer un scannage d’accès ou Édition du scannage des accès active cette fonction.

Pour répéter le scannage d'une attestation en attente

Sélectionnez une ou plusieurs habilitations dans la liste des attestations, puis cliquez sur Nouveau scannage.

La page Nouveau scannage des habilitations d’utilisateurs s'affiche.

Entrez des commentaires sur le nouveau scannage dans la zone Commentaires, puis cliquez sur Poursuivre.

Transfert d'éléments de travail d'attestation

Vous pouvez transférer un ou plusieurs éléments de travail d'attestation vers un autre utilisateur.

Pour transférer des attestations

Entrez un ou plusieurs éléments de travail dans la liste des attestations, puis cliquez sur Transférer.

La page Sélectionner et Confirmer le transfert s'affiche.

Entrez un nom d'utilisateur dans le champ Transmettre à. Une autre solution consiste à cliquer sur le bouton ... (Autres) afin de rechercher un nom d'utilisateur.

Entrez des commentaires sur le transfert dans le champ Commentaires.

Cliquez sur Poursuivre.

Identity Manager retourne la liste des attestations.

Remarque –
La zone Historique de l'habilitation utilisateur en question affiche des informations détaillées sur le transfert.

Signature numérique des actions d'examen des accès

Vous pouvez définir une signature numérique pour la gestion des actions d'examen des accès. Pour toute information sur la configuration des signatures numériques, voir la section Signature des approbations. Les sujets traités dans cette section expliquent la configuration requise côté serveur et côté client pour ajouter le certificat et la LRC à Identity Manager pour les approbations signées.

Rapports des examens des accès

Identity Manager fournit les rapports suivants, que vous pouvez utiliser pour évaluer les résultats d'un examen des accès :

Rapport de couverture des examens d’accès. Fournit une liste d'utilisateurs précisant les chevauchements des habilitations utilisateur, les différences ou ces deux éléments sous forme de tableau, selon le mode de définition du rapport. Ce rapport peut également comporter des colonnes supplémentaires avec les examens d'accès qui contiennent des chevauchement et/ou des différences.
Rapport détaillé de l’examen des accès. Ce rapport fournit les informations suivantes sous forme de tableau :
- Nom. Nom de l'enregistrement d'habilitation utilisateur
- Statut. Statut courant du processus d'examen : en cours d'initialisation, en cours d'arrêt, arrêté, nombre de scannages en cours, nombre de scannages planifiés, en attente des attestations, ou terminé.
- Attestateur. Les utilisateurs Identity Manager désignés comme attestateurs pour l'enregistrement.
- Date de balayage. Horodatage enregistré au moment du scannage.
- Date de disposition. Date (horodatage) de l'attestation de l'enregistrement d'habilitation.
- Organisation. Organisation de l'utilisateur dans les enregistrements d'habilitation.
- Responsable. Supérieur d'un utilisateur qui a fait l'objet d'un scannage.
- Ressources. Ressources sur lesquelles l'utilisateur a des comptes, qui ont été capturées dans cette habilitation utilisateur.
- Violations. Nombre de violations détectées au cours de l'examen.
- Cliquez sur un nom dans le rapport pour ouvrir l'enregistrement d'habilitation utilisateur. Rapports des examens des accès affiche un échantillon des informations fournies dans la vue de l'enregistrement d'habilitation utilisateur.
Rapport récapitulatif de l’examen des accès.

Ce rapport, également décrit à la section Gestion de la progression des examens d'accès et illustré à la Figure 15–5, présente les informations récapitulatives suivantes sur les scannages d'accès que vous avez sélectionnés pour le rapport :
- Nom de l’examen. Nom du scannage des accès
- Date. Horodatage du moment où l'examen a été lancé
- Nombre d’utilisateurs. Nombre d'utilisateurs scannés pour l'examen
- Nombre d'habilitations. Nombre d'enregistrements d'habilitation générés
- Approuvé. Nombre d'enregistrements d'habilitation approuvés
- Rejeté. Nombre d'enregistrements d'habilitation rejetés
- En attente. Nombre d'enregistrements d'habilitation encore en attente
- Annulé. Nombre d'enregistrements d'habilitation annulés
  
  Ces rapports peuvent être téléchargés au format PDF (Portable Document Format) ou CSV (Comma-Separated Value) depuis la page Exécuter des rapports.