Configuration des requêtes sur attributs

Les requêtes sur attributs permettent à Identity Manager de lire les données qui ont été stockées dans l'entrepôt de données. Elles peuvent identifier des utilisateurs ou des rôles sur la base des valeurs actuelles ou historiques des types de données utilisateur, rôle ou connexes. Une requête sur attributs s'apparente à un rapport Rechercher des utilisateurs ou Rechercher un rôle, à la différence que les critères de correspondance peuvent être évalués sur les données d'historique et que la requête sur attributs permet de rechercher des attributs qui sont de types de données autres que l'utilisateur ou le rôle interrogé.

L'objectif d'une requête sur attribut est d'entreprendre une action sur les résultats en utilisant Identity Manager. La requête sur attributs n'est pas un outil de génération de rapports universel.

Une requête sur attributs peut poser des questions similaires aux suivantes :

• Qui a accédé au système X entre les heures A et B et qui a approuvé l'accès en question ?

• Combien de demandes de provisioning ont-elles été traitées dans les dernières 48 heures et quelle a été la durée des différentes requêtes ?

Les résultats d'une requête sur attributs ne peuvent pas être enregistrés. Pour préparer un rapport général sur les données de l'entrepôt, vous devez utiliser des outils de création de rapports en vente dans le commerce.

Création d'une requête

Une requête sur attributs peut rechercher des objets Utilisateur ou Rôle. La requête peut être extrêmement complexe, en permettant à son auteur de sélectionner une ou plusieurs conditions d'attribut sur des types de données connexes. Les requêtes sur attributs d'utilisateur peuvent rechercher des attributs avec les types de données User (Utilisateur), Account (Compte), ResourceAccount (Compte de ressource), Role (Rôle), Entitlement (Habilitation) et WorkItem (Élément de travail). Les requêtes sur attributs de rôle peuvent rechercher des attributs avec les types de données Role (Rôle), User (Utilisateur) et WorkItem (Élément de travail).

Au sein d'un même type de données, toutes les conditions d'attribut sont logiquement liées par l'opérateur ET, ce qui signifie que toutes les conditions doivent être remplies pour permettre une correspondance. Par défaut, toutes les correspondances sont liées par l'opérateur ET tous types de données confondus, mais si vous sélectionnez la case à cocher Utiliser OR, les correspondances de types de données divers sont reliées par un OU logique.

L'entrepôt peut contenir plusieurs enregistrements pour un même objet Utilisateur ou Rôle, de sorte qu'une unique requête peut retourner plusieurs correspondances pour le même utilisateur ou rôle. Pour faciliter la différenciation des correspondances, chaque type de données peut être limité à une période de façon à ne prendre en compte que les enregistrements entrant dans la période spécifiée. Chaque type de données connexe peut être limité à une période en permettant, ce qui permet d'émettre une requête de la forme suivante :

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

Plage de dates de minuit à minuit. Par exemple, du 3 mai 2007 au 5 mai 2007, soit 48 heures. Les enregistrements du 5 mai 2007 ne seront pas inclus.

Les opérandes (valeurs à comparer à) pour chaque condition d'attribut doivent être indiqués dans la définition de la requête. Le schéma limite certains attributs à un ensemble limité de valeurs potentielles tandis que d'autres n'ont pas de restrictions. Par exemple, la plupart des champs de date doivent être entrés au format AAAA-MM-JJ HH:mm:ss.

Compte tenu de la quantité des données contenues dans l'entrepôt et de la complexité de la requête, il faut parfois attendre longtemps pour obtenir les résultats. Si vous naviguez en vous éloignant de la page de la requête alors qu'une requête sur attributs est en cours, vous ne pourrez pas voir les résultats de la requête.

Pour créer une requête sur attributs

1. Dans l'interface administrateur, cliquez sur Conformité dans le menu principal.

   La page Stratégies d’audit (onglet Gérer les stratégies) s'ouvre.

2. Cliquez sur l'onglet secondaire Requête sur attributs.

   La page Rechercher dans l’entrepôt de données s'ouvre.

   Figure 16–5 Rechercher dans l’entrepôt de données

   
   

3. Sélectionnez si explorer des enregistrements d'utilisateur ou de rôle dans le menu déroulant Type.

4. Sélectionnez la case à cocher Utiliser OR pour qu'Identity Manager lie par un OU logique les résultats de chaque type de données interrogé. Par défaut, le système effectue un ET logique sur les résultats.

5. Sélectionnez un onglet qui représente un type de données qui figurera dans la requête sur attributs.

   1. Cliquez sur Ajouter une condition. Un ensemble de menus déroulants s'affiche.

   2. Sélectionnez un opérande (condition à contrôler) dans le menu déroulant de gauche et le type de comparaison à effectuer dans celui de droite. Entrez ensuite une chaîne ou un entier à rechercher. La liste des opérandes possibles est définie dans le schéma externe. Pour la description des différents opérandes, reportez-vous à l'aide en ligne.

   3. En option, sélectionnez une plage de dates pour restreindre la portée de la requête.

      Ajoutez les conditions supplémentaires requises au type de données actuellement sélectionné. Répétez cette étape pour tous les types de données qui feront partie de la définition de la requête sur attributs.

6. Parmi les attributs disponibles, sélectionnez ceux que vous souhaitez afficher dans les résultats de la requête sur attributs.

7. Indiquez ensuite une valeur dans le champ Limiter les résultats aux premiers. Lorsque des conditions de plusieurs types de données sont utilisées, la limite est appliquée à la sous-requête pour chaque type et le résultat final est l'intersection de toutes les sous-requêtes. Ainsi, le résultat final peut exclure certains enregistrements à cause de la limite posée sur les sous-requêtes.

8. Cliquez sur Recherche pour exécuter la requête sur attributs immédiatement ou sur Enregistrer la requête pour la réutiliser. Pour toute information sur la réutilisation des requêtes sur attributs, voir Enregistrement d'une requête sur attributs.

Enregistrement d'une requête sur attributs

Après la configuration d'une requête (et son exécution éventuelle pour s'assurer qu'elle produit les résultats escomptés), vous pouvez l'enregistrer afin de pouvoir l'exécuter plus tard.

Pour enregistrer une requête sur attributs

1. Dans la page Rechercher dans l’entrepôt de données, cliquez sur Enregistrer la requête. La page Enregistrer la requête sur attributs s'ouvre.

2. Indiquez un nom et une description pour la requête.

3. Sélectionnez la case à cocher Enregistrer les valeurs de condition pour enregistrer les valeurs des conditions (chaînes et entiers) que vous avez entrées sur la page Rechercher dans l’entrepôt de donnée. Si vous ne sélectionnez pas cette case à cocher, la requête sur attributs enregistrée fera office de modèle et vous devrez entrer les valeurs à chaque fois que vous l'exécuterez.

4. Quiconque peut exécuter une requête enregistrée, mais, par défaut, seul l'auteur d'une requête peut la modifier. Pour permettre à d'autres utilisateurs de modifier votre requête, vous devez cocher la case Autoriser un tiers à modifier cette requête.

5. Vu que la requête retourne des objets Utilisateur ou Rôle, vous pouvez choisir les attributs des objets à afficher dans les résultats. Si vous souhaitez afficher des attributs qui ne sont pas inclus dans la liste Attributs à afficher, vous pouvez aller à la page Configuration de l’exportateur de données et ajouter de nouveaux attributs affichables au type Utilisateur ou Rôle.

Chargement d'une requête

Vous pouvez charger toute requête enregistrée par tout utilisateur, mais ne pouvez modifier que les requêtes que vous avez créées ou que vos collègues ont marquées comme étant modifiables par un tiers.

Pour charger une requête sur attributs

1. Dans la page Rechercher dans l’entrepôt de données, cliquez sur Charger la requête. La page Charger la requête sur attributs s'ouvre. La colonne Résumé de la requête indique Requête incomplète si la requête a été enregistrée sous la forme d'un modèle.

2. Sélectionnez la case à cocher à gauche de la requête et cliquez sur Charger la requête.