Un Examen d'accès périodique est un processus consistant à certifier qu'un utilisateur donné bénéficie des privilèges appropriés sur les ressources appropriées à un moment particulier.
Un examen d'accès périodique comporte les activités suivantes :
Scannages d'examen des accès. Scannages utilisant certaines règles pour l'évaluation des habilitations utilisateur pour déterminer si une attestation est nécessaire.
Attestation. Processus consistant à réponse aux demandes d'attestation en approuvant ou en rejetant les habilitations utilisateur.
Une habilitation utilisateur est un enregistrement détaillé des comptes d'un utilisateur sur un ensemble spécifique de ressources.
Pour commencer un examen des accès périodique, vous devez d'abord définir au moins un scannage des accès.
Le scannage des accès définit les personnes faisant l'objet du scannage, les ressources prises en compte, les stratégies d'audit optionnelles évaluées et les règles utilisées pour déterminer les enregistrements d'habilitation qui seront attestés manuellement et par qui.
En général, le flux de travaux d'examen d'accès d'Identity Manager :
Construit une liste d'utilisateurs, récupère les informations de compte de chaque utilisateur et évalue les stratégies d'audit optionnelles.
Crée des enregistrements d'habilitation utilisateur.
Détermine si chaque enregistrement d'habilitation utilisateur doit faire l'objet d'une attestation.
Assigne des éléments de travail à chaque attestateur.
Attend l'approbation de tous les attestateurs ou le premier refus.
Réassigne la demande à l'attestateur suivant, s'il ne reçoit pas de réponse dans le délai d'attente spécifié.
Actualise les enregistrements d'habilitation utilisateur avec les résolutions.
Pour la description des capacités de résolution, voir la section Résolution de l'examen des accès.
Pour réaliser un examen périodique des accès et gérer les processus d'examen, un utilisateur doit bénéficier de la capacité Administrateur d’examens d’accès périodiques de l’auditeur. Un utilisateur ayant la capacité Administrateur des scannages d’accès d’audit peut créer et gérer les scannages des accès.
Pour assigner ces capacités, vous devez intervenir sur le compte utilisateur et modifier les attributs de sécurité. Pour plus d'informations sur les capacités, voir la section Comprendre et gérer les capacités au Chapitre 6Administration.
L'Attestation est un processus de certification effectué par un ou plusieurs attestateurs désignés pour confirmer une habilitation utilisateur telle qu'elle se présente à une date donnée. Pendant un examen des accès, l'attestateur (ou les attestateurs) reçoit un e-mail de notification des demandes d'attestation des examens d'accès. Un attestateur peut être un utilisateur Identity Manager, mais ne doit pas nécessairement être un administrateur Identity Manager.
Identity Manager utilise un flux de travail d'attestation qui est lancé quand un scannage d'accès détecte des enregistrements d'habilitation nécessitant un examen. Pour cela, le scannage des accès se base sur les règles définies dans le scannage des accès.
Une règle évaluée par le scannage des accès détermine si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement ou s'il peut être approuvé ou rejeté automatiquement. Si l'enregistrement d'habilitation de l'utilisateur doit être attesté manuellement, le scannage des accès utilise une deuxième règle pour déterminer quels sont les attestateurs appropriés.
Tout enregistrement d'habilitation utilisateur devant être attesté manuellement est assigné à un flux de travaux, avec un élément de travail par attestateur. Il est possible d'envoyer la notification de ces éléments de travail à l'attestateur en utilisant un flux de travaux ScanNotification regroupant tous les éléments dans une notification, par attestateur et par scannage. La notification sera effectuée par habilitation utilisateur, sauf si le flux de travaux ScanNotification est sélectionné. Un attestateur peut donc recevoir plusieurs notifications par scannage, même en grand nombre, en fonction du nombre d'utilisateurs scannés.
Ces options d'autorisation sont relatives aux éléments de travail d'authType RemediationWorkItem.
Le propriétaire de l'élément de travail.
Un responsable direct ou indirect du propriétaire de l'élément de travail.
Un administrateur qui contrôle une organisation à laquelle appartient le propriétaire de l'élément de travail.
Les utilisateurs qui ont été validés suite à des contrôles d'authentification.
Par défaut, les contrôles d'autorisations se comportent de l'une des façons suivantes :
Le propriétaire est l'utilisateur qui tente l'action.
Le propriétaire est une organisation contrôlée par l'utilisateur tentant l'action.
Le propriétaire est un subordonné de l'utilisateur tentant l'action.
Les second et troisième contrôles peuvent être configurés de manière indépendante en modifiant les propriétés suivantes du formulaire :
controlOrg — Les valeurs admises sont true ou false.
subordinate — Les valeurs admises sont true ou false.
lastLevel — Le dernier niveau de subordonné à inclure dans le résultat ; -1 signifie tous les niveaux.
La valeur entière par défaut de lastLevel est -1, indiquant des subordonnés directs et indirects.
Vous pouvez ajouter ou modifier ces options de la façon suivante :
UserForm: AccessApprovalList.
Si vous paramétrez la sécurité sur attestations à des organisations contrôlées, la capacité Attestateur Auditeur est également requise pour modifier d'autres attestations de l'utilisateur.
Par défaut, le flux des travaux de scannage des accès respecte les délégations, pour les éléments de travail de type Attestation d’examen des accès et Résolution de l’examen des accès, créées par les utilisateurs pour les éléments de travail d'attestation et les notifications. L'administrateur des scannages d’accès peut désélectionner l'option Suivre la délégation pour ignorer les paramètres de délégation. Si un attestateur a délégué tous les éléments de travail à un autre utilisateur mais que l'option Suivre la délégation n'est pas paramétrée pour un scannage d'examen des accès, l'attestateur - et pas l'utilisateur à qui les délégations ont été assignées - recevra les notifications des demandes d'attestation et les éléments de travail.