Chapitre 17 Administration de Service Provider

Ce chapitre contient les informations à connaître pour administrer la fonctionnalité Service Provider dans Sun Identity Manager. Pour utiliser ces informations, la maîtrise des annuaires LDAP (Lightweight Directory Access Protocol) et de la gestion fédérée sera utile. Pour un examen plus vaste de l'implémentation de Sun Identity Manager Service Provider (Service Provider), voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

Ce chapitre se compose des rubriques suivantes :

• Présentation des fonctionnalités de Service Provider ;

• Configuration initiale ;

• Gestion des transactions ;

• Administration déléguée pour les utilisateurs de Service Provider ;

• Gestion des utilisateurs de Service Provider ;

• Synchronisation des utilisateurs Service Provider ;

• Configuration des événements d'audit de Service Provider.

Présentation des fonctionnalités de Service Provider

Dans un environnement fournisseur de services, vous devez avoir la possibilité de gérer le provisioning utilisateur pour tous les utilisateurs finaux, utilisateurs de l'extranet et de l'intranet inclus. Les fonctionnalités de Service Provider permettent aux administrateurs d'entreprise de classer les comptes d'identité en deux types distincts : les utilisateurs Identity Manager et les utilisateurs Service Provider. Les utilisateurs Service Provider dans Identity Manager sont des comptes utilisateur qui ont été configurés en tant que type Utilisateur de Service Provider.

Les capacités de provisioning utilisateur et d'audit d'Identity Manager s'étendent aux implémentations de fournisseur de services en assurant les fonctionnalités suivantes.

Pages utilisateur final améliorées

Des pages utilisateur final qui sont personnalisables pour une implémentation de Service Provider sont fournies.

Stratégie d'ID de compte et de mot de passe

Vous pouvez définir des stratégies d'ID de compte et de mot de passe pour les utilisateurs et comptes de ressources de Service Provider, comme avec d'autres utilisateurs Identity Manager.

Le code de contrôle de stratégie est activé pour les utilisateurs Service Provider avec la Stratégie de compte système de Service Provider, qui a été ajoutée à la table Stratégies principale.

Synchronisation d'Identity Manager et Service Provider

La synchronisation des comptes d'Identity Manager et de Service Provider peut être configurée pour s'exécuter sur tout serveur Identity Manager ou limitée à des serveurs sélectionnés.

La synchronisation de Service Provider, à l'instar de celle d'Identity Manager, peut facilement être arrêtée et démarrée depuis les options Actions de ressource de la page Ressources. Voir Démarrage et arrêt de la synchronisation.

Les formulaires de saisie ne sont pas les mêmes pour la synchronisation des utilisateurs Identity Manager que pour celle des utilisateurs Service Provider. Voir Interface utilisateur final.

Intégration d’Access Manager

Vous pouvez utiliser Sun Access Manager 7 2005Q4 pour l'authentification sur les pages utilisateur final de Service Provider. Si l'intégration avec Access Manager est configurée, Access Manager assure que seuls des utilisateurs authentifiés peuvent accéder aux pages utilisateur final.

Service Provider requiert le nom de l'utilisateur à des fins d'audit. Mettez à jour le fichier AMAgent.properties pour ajouter l'ID de l'utilisateur aux en-têtes HTTP, par exemple :

com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid

Le filtre d'authentification des pages utilisateur final met la valeur d'en-tête HTTP dans la session HTTP où le reste du code s'attend à ce qu'elle figure.

Configuration initiale

Pour configurer les fonctionnalités de Service Provider, utilisez les procédures suivantes pour éditer les objets Configuration d'Identity Manager vers le serveur d'annuaire :

• Édition de la configuration principale ;

• Édition de la configuration de recherche d’utilisateurs.

---

Remarque –

Avant d'aller plus loin, vérifiez les points suivants :

• Contrôlez si vous avez défini votre ressource LDAP. Une ressource d'exemple nommée Service Provider End-User Directory (Annuaire utilisateur final de Service Provider) est importée par défaut. Vous pouvez configurer plusieurs ressources si les informations des utilisateurs et de configuration sont stockées dans des annuaires différents.

• Le schéma doit inclure les mappages pour un objet XML.

  Si désiré, configurez votre stratégie de compte Service Provider.

• Le contexte Base configuré pour la ressource d'annuaire ne s'applique qu'aux utilisateurs stockés dans l'annuaire.

---

Édition de la configuration principale

Pour éditer des objets Configuration pour une implémentation de Service Provider

1. Dans l'interface administrateur, cliquez sur Service Provider dans le menu.

2. Cliquez sur Éditer la configuration principale.

   La page Configuration de Service Provider s'ouvre.

3. Complétez le formulaire Configuration de Service Provider.

   Utilisez les instructions fournies dans les sections suivantes :

   • Configuration de l'annuaire ;

   • Formulaires utilisateur et stratégie ;

   • Base de données des transactions ;

   • Configuration des configurations des événements suivis ;

   • Index de compte de synchronisation ;

   • Configuration des légendes

Configuration de l'annuaire

Dans la section Configuration du répertoire, indiquez les informations permettant de configurer l'annuaire LDAP et spécifiez les attributs d'Identity Manager pour les utilisateurs de fournisseur de services.

La Figure 17–1 illustre cette zone de la page Configuration de Service Provider, ainsi que la zone Formulaires utilisateur et stratégie qui fait l'objet de la section suivante.

Figure 17–1 Configuration de Service Provider (Annuaire, Formulaires utilisateur et stratégie)

Pour compléter le formulaire Configuration du répertoire

1. Sélectionnez le Service Provider End-User Directory dans la liste.

   Sélectionnez la ressource d'annuaire LDAP où toutes les données utilisateur de Service Provider sont stockées.

2. Saisissez le Nom de l’attribut d’ID de compte.

   Il s'agit du nom de l'attribut de compte LDAP qui contient un identificateur court unique pour le compte. Ce nom est considéré comme le nom de l'utilisateur pour l'authentification et l'accès au compte par l'intermédiaire de l'API. Le nom d'attribut doit être défini dans la carte schématique.

3. Indiquez un Nom de l’attribut de l’organisation IDM.

   Cette option spécifie le nom de l'attribut de compte LDAP qui contient le nom ou l'ID d'une organisation d'Identity Manager à laquelle le compte LDAP appartient. Elle est utilisée pour l’administration déléguée des comptes LDAP. Le nom de l’attribut doit être défini dans la carte schématique de la ressource LDAP et correspond au nom de l’attribut système d’Identity Manager (le nom figurant dans la partie gauche de la carte schématique).

   ---

   Remarque –

   Spécifiez le Nom de l’attribut de l’organisation Identity Manager (et Le nom de l’attribut de l’organisation IDM contient l’ID, si nécessaire) si vous voulez activer l'administration déléguée par le biais de l'autorisation de l'organisation.

   ---

4. Si vous choisissez de sélectionner Le nom de l’attribut de l’organisation IDM contient l’ID, activez cette option.

   Sélectionnez cette option si l’attribut de ressource LDAP qui fait référence à l’organisation d'Identity Manager à laquelle le compte LDAP appartient contient l’ID de l’organisation Identity Manager et non pas son nom.

5. Si vous choisissez de sélectionner Compresser l’XML de l’utilisateur, activez cette option.

   Sélectionnez cette option, si vous choisissez de compresser l’XML de l’utilisateur stocké dans l'annuaire.

6. Cliquez sur Tester la configuration de l’annuaire pour vérifier les entrées effectuées pour la configuration.

   ---

   Remarque –

   Vous pouvez tester les configurations d'annuaire, de transaction et d'audit en fonction de vos besoins. Pour les tester complètement toutes les trois, cliquez sur tous les boutons de test de configuration.

   ---

Formulaires utilisateur et stratégie

Dans la zone Formulaires utilisateur et stratégie, illustrée à la Figure 17–1 ci-dessus, indiquez les formulaires et les stratégies à utiliser pour la gestion des utilisateurs de fournisseur de services.

Pour spécifier des formulaires et des stratégies pour la gestion des utilisateurs de Service Provider

1. Sélectionnez le Formulaire utilisateur final dans la liste.

   Ce formulaire est utilisé partout sauf sur les pages Administrateur délégué et au cours de la synchronisation. Si la valeur Aucun est sélectionnée, aucun formulaire utilisateur par défaut n'est utilisé.

2. Sélectionnez le Formulaire administrateur dans la liste.

   Il s'agit du formulaire utilisateur par défaut qui est utilisé dans les contextes Administrateur. Cela inclut les pages d'édition des comptes Service Provider. Si la valeur Aucun est sélectionnée, aucun formulaire utilisateur par défaut n'est utilisé.

   ---

   Remarque –

   Si vous ne choisissez pas de Formulaire administrateur, les administrateurs seront dans l'impossibilité de créer ou d'éditer des utilisateurs de Service Provider depuis Identity Manager.

   ---

3. Sélectionnez un Formulaire utilisateur de synchronisation dans la liste.

   Le Formulaire utilisateur de synchronisation est le formulaire par défaut utilisé si aucun formulaire n'est spécifié pour une ressource exécutant la synchronisation de Service Provider. Si un formulaire d'entrée est spécifié dans la stratégie de synchronisation d'une ressource, c'est ce dernier qui sera utilisé. Les ressources nécessitent généralement des formulaires d’entrée de synchronisation différents. Dans ce cas, vous devez définir le formulaire utilisateur de synchronisation sur chaque ressource au lieu d’en sélectionner un dans la liste.

4. Sélectionnez une Stratégie de compte dans la liste.

   Les choix incluent toute stratégie de compte d'identité définie par le biais de Configurer > Stratégies.

5. Sélectionnez une Règle Le compte est-il verrouillé dans la liste.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de déterminer si un compte est verrouillé.

6. Sélectionnez une Règle Verrouiller le compte.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de définir les attributs, dans la vue, qui sont à l'origine du verrouillage du compte.

7. Sélectionnez une Règle Déverrouiller le compte.

   Sélectionnez une règle à exécuter sur la vue Utilisateur de Service Provider à même de définir les attributs, dans la vue, qui sont à l'origine du déverrouillage du compte.

Base de données des transactions

Utilisez cette section de la page Configuration de Service Provider, illustrée à la Figure 17–2, pour configurer une base de données de transactions. Ces options ne sont requises que lorsque vous utilisez le magasin de transactions persistant de JDBC. Vous devez redémarrer le serveur pour que les changements apportés aux valeurs soient appliqués.

La table de la base de données destinée aux transactions doit être configurée conformément au schéma figurant dans les scripts de LDD create_spe_tables (situés dans le répertoire sample de votre installation d'Identity Manager ). Il peut s'avérer nécessaire de personnaliser le script approprié en fonction de l'environnement cible.

Figure 17–2 Configuration de Service Provider (Base de données des transactions)

Pour configurer une base de données des transactions

1. Entrez les informations de base de données suivantes :

   • Classe de pilote. Spécifiez le nom de classe du pilote JDBC.

   • Préfixe du pilote. Ce champ est optionnel. Si ce champ est renseigné, le gestionnaire de pilote JDBC est interrogé avant l'enregistrement d'un nouveau pilote.

   • Modèle d’URL de connexion. Ce champ est optionnel. Si ce champ est renseigné, le gestionnaire de pilote JDBC est interrogé avant l'enregistrement d'un nouveau pilote.

   • Hôte. Entrez le nom de l’hôte sur lequel la base de données est exécutée.

   • Port. Saisissez le numéro de port sur lequel le serveur de base de données écoute.

   • Nom de la base de données. Entrez le nom de la base de données à utiliser.

   • Nom de l’utilisateur. Saisissez l’ID d’un utilisateur de la base de données autorisé à lire, mettre à jour et supprimer des lignes dans les tables de transactions et d’audit de la base de données sélectionnée.

   • Mot de passe. Saisissez le mot de passe de l'utilisateur de base de données.

   • Tableau des transactions. Entrez le nom de la table de la base de données sélectionnée à utiliser pour le stockage des transactions en attente.

2. Le cas échéant, cliquez sur Tester la configuration des transactions pour vérifier vos entrées.

   Passez à la section suivante de la page Configuration de Service Provider pour configurer les événements suivis.

Configuration des configurations des événements suivis

Lorsqu'il est activé, la récupération des événements permet de suivre les statistiques en temps réel pour faciliter la mise à jour des niveaux de services attendus et concordés. La récupération des événements est activé par défaut comme illustré à la Figure 17–3. Désélectionner la case à cocher Activer la récupération des événements désactive la récupération.

Figure 17–3 Configuration de Service Provider Configuration (Configuration des événements suivis, index de compte et légendes)

Pour spécifier un fuseau horaire et des intervalles de récupération pour les événements suivis de Service Provider

1. Sélectionnez le Fuseau horaire dans la liste.

   Sélectionnez le fuseau horaire à utiliser lors de l'enregistrement des événements suivis ou sélectionnez Définir sur la valeur par défaut du serveur pour utiliser le fuseau horaire défini sur le serveur.

2. Sélectionnez les options Périodes de récupération.

   Les opérations de récupération sont regroupées en fonction des intervalles de temps suivants : toutes les 10 secondes, toutes les minutes, toutes les heures, tous les jours, toutes les semaines et tous les mois. Désactivez les intervalles auxquelles vous ne voulez pas que la récupération ait lieu.

Index de compte de synchronisation

Lorsque vous synchronisez des ressources dans une implémentation Service Provider, il peut être nécessaire de définir des index de compte pour corréler correctement les événements envoyés par la ressource aux utilisateurs dans l'annuaire de Service Provider.

Par défaut, les événements de ressource doivent contenir pour l'attribut accountId une valeur qui correspond à l'attribut accountId contenu dans l'annuaire. Dans certaines ressources, l'ID de compte n'est pas envoyé de manière cohérente. Par exemple, les événements de suppression d'ActiveDirectory ne contiennent que le GUID de compte généré par ActiveDirectory.

Les ressources qui n'incluent pas l'attribut accountId doivent inclure une valeur pour l'un ou l'autre des attributs suivants.

• guid. Cet attribut contient normalement un identificateur unique généré par le système.

• identity. Cet attribut est normalement le même qu'accountId pour toutes les ressources à l'exception des ressources LDAP où identity contient le DN complet de l'objet.

Si vous devez effectuer une corrélation en utilisant guid ou identity, vous devez définir un index de compte pour ces attributs. Un index est simplement la sélection de un ou plusieurs attributs d'utilisateur d'annuaire pouvant être utilisés pour stocker des identités spécifiques des ressources. Une fois les identités stockées dans l'annuaire, elles peuvent être utilisées dans les filtres de recherche pour corréler les événements de synchronisation.

Pour définir des index de compte, commencez par déterminer les ressources qui seront utilisées pour la synchronisation et celles de celles-ci qui requièrent un index. Éditez ensuite la définition Resource pour l'annuaire Service Provider et ajoutez les attributs dans la carte schématique pour les attributs GUID ou identity pour chacune des ressources Active Sync. Par exemple, si vous effectuez une synchronisation depuis ActiveDirectory, vous pouvez définir un attribut nommé AD-GUID mappé vers un attribut d'annuaire inutilisé tel que manager.

Pour définir des attributs d'index pour une ressource

Après avoir défini tous les attributs d'index dans la ressource Service Provider. effectuez les étapes suivantes :

1. Dans la zone Index de compte de synchronisation de la page de configuration, cliquez sur le bouton Nouvel index.

   Le formulaire s'étend pour contenir un champ de sélection de ressource, suivi de deux champs de sélection d'attributs. Les champs de sélection d'attributs restent vides jusqu'à ce qu'une ressource soit sélectionnée.

2. Sélectionnez une ressource dans la liste.

   Les champs de sélection d'attributs contiennent maintenant les valeurs définies dans la carte schématique pour la ressource sélectionnée.

3. Sélectionnez l'attribut d'index approprié pour l'Attribut GUID ou l'Attribut d’identité complet.

   Il est en général inutile de les définir tous les deux. Si ces deux attributs sont définis, le logiciel tente d'abord une corrélation en utilisant GUID puis utilise l'identité complète.

4. Vous pouvez cliquer de nouveau sur Nouvel index pour définir les attributs d'index pour d'autres ressources.

5. Pour supprimer un index, cliquez sur le bouton Supprimer à droite du champ de sélection Ressource.

   Supprimer un index supprime uniquement cet index de la configuration, cela ne modifie pas tous les utilisateurs d'annuaire existants pouvant avoir des valeurs stockées dans les attributs d'index.

   ---

   Remarque –

   Supprimer un index supprime uniquement cet index de la configuration, cela ne modifie pas tous les utilisateurs d'annuaire existants pouvant avoir des valeurs stockées dans les attributs d'index.

   ---

Configuration des légendes

Sélectionnez cette option dans la section Configuration des légendes pour activer les légendes. Lorsque les légendes sont activées, les mappages des légendes s'affichent vous permettant de sélectionner des options pré-opération et post-opération pour chaque type de transaction listé.

Par défaut, les options pré- et post-opération sont définies sur Aucun(e).

Si vous spécifiez les légendes post-opération, utilisez l'option Attendre la légende post-opération pour spécifier que la transaction doit attendre que le traitement de la légende post-opération soit complet pour se terminer. Ainsi, toute transaction dépendante ne sera exécutée qu'après la réussite de la légende post-opération.

---

Remarque –

Après avoir complété vos sélections pour toutes les sections sur la page Configuration de Service Provider, cliquez sur Enregistrer pour compléter la configuration.

---

Édition de la configuration de recherche d’utilisateurs

Utilisez cette page, illustrée à la Figure 17–4, pour configurer les paramètres de recherche par défaut pour les recherches effectuées par les administrateurs délégués sur la page Gérez les utilisateurs de Service Provider. Ces paramètres par défaut s'appliquent à tous les utilisateurs de la page Gérez les utilisateurs de Service Provider, mais peuvent être ignorés session par session.

Figure 17–4 Configuration de recherche

Pour configurer les paramètres de recherche par défaut pour la recherche d'utilisateurs de Service Provider

1. Cliquez sur Service Provider dans la barre de menu.

2. Cliquez sur Éditer la configuration de recherche d’utilisateurs.

3. Saisissez un nombre dans Nombre maximal de résultats retournés (100 par défaut).

4. Saisissez un nombre dans Résultats par page (10 par défaut).

5. Sélectionnez les Attributs disponibles à côté des Attributs de résultat à afficher en utilisant les flèches de direction.

6. Sélectionnez l'Attribut à rechercher dans la liste.

7. Choisissez l'Opération de recherche dans la liste.

8. Cliquez sur Enregistrer.

   ---

   Remarque –

   Les modifications apportées à la configuration de recherche ne prennent effet qu'après une déconnexion et une reconnexion.

   Ces objets Configuration ne sont pas disponibles si le Répertoire de Service Provider n'a pas été configuré.

   ---

Gestion des transactions

Une transaction encapsule une unique opération de provisioning, par exemple la création d'un utilisateur ou l'assignation de nouvelles ressources. Pour pouvoir être réalisées lorsque les ressources sont indisponibles, les transactions sont écrites dans le magasin de transactions persistant.

Les rubriques suivantes de cette section contiennent les procédures de gestion des transaction de fournisseur de services.

• Paramétrage des options d’exécution par défaut des transactions ;

• Paramétrage du magasin de transactions persistant ;

• Définition des paramètres avancés de traitement des transactions ;

• Contrôle des transactions.

Paramétrage des options d’exécution par défaut des transactions

Ces options déterminent la manière dont sont exécutées les transactions, y compris le traitement synchrone/asynchrone, ainsi que le moment auquel elles sont stockées dans le magasin de transactions persistant. Ces options peuvent être remplacées dans l'affichage IDMXUser ou par l'intermédiaire du formulaire utilisé pour le traitement. Pour plus d'informations, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

Pour configurer les transactions de Service Provider

1. Cliquez sur Service Provider -> Éditer la configuration de la transaction.

   La page Configuration de transaction Service Provider s'affiche.

   La Figure 17–5 illustre la zone Options d’exécution des transactions par défaut.

   Figure 17–5 Configuration des transactions

   
   

2. Sélectionnez les options de Niveau de cohérence garanti pour indiquer le niveau de cohérence des transactions pour les mises à jour d'utilisateurs.

   Ces options sont les suivantes :

   • Aucun. L'exécution dans l'ordre des mises à jour des ressources d'un utilisateur n'est pas garantie.

   • Locale. Les mises à jour des ressources d'un utilisateur traitées par un même serveur sont assurées de l'être dans l'ordre.

   • Terminer. Toutes les mises à jour des ressources d’un utilisateur sont assurées d’être effectuées dans l’ordre sur tous les serveurs. Cette option implique le maintien de l’ensemble des transactions avant toute tentative ou avant un traitement asynchrone.

3. Activez les Options d’exécution des transactions par défaut en fonction de vos besoins.

   Ces options sont les suivantes :

   • Attendre la première tentative. Cette option indique la manière dont le contrôle retourne le résultat à l’appelant lorsqu’un objet Vue IDMXUser est archivé. Si elle est activée, l’opération d’archivage est bloquée jusqu’à ce que la transaction de provisioning ait effectué une seule tentative. Si le traitement asynchrone est désactivé, la transaction réussit ou échoue au retour du contrôle. Si le traitement asynchrone est activé, la transaction continue d'être retentée en arrière-plan. Si cette option est désactivée, l'opération d'archivage redonne le contrôle à l'appelant avant de tenter la transaction de provisioning. Envisagez d'activer cette option.

   • Activer le traitement asynchrone. Cette option contrôle si le traitement des transactions de provisioning continue après les retours d'appel d'archivage.

     L’activation du traitement asynchrone permet au système de retenter des transactions. Elle améliore également le débit en permettant l’exécution asynchrone des threads travailleur configurés dans Définition des paramètres avancés de traitement des transactions. Si vous sélectionnez cette option, configurez les intervalles de nouvelle tentative et les tentatives pour les ressources en cours de provisioning ou mises à jour par le biais du formulaire d'entrée de synchronisation.

     Entrez un Délai de nouvelle tentative quand vous sélectionnez Activer le traitement asynchrone. Cette limite supérieure exprimée en millisecondes fixe la durée pendant laquelle le serveur retente un transaction de provisioning qui a échoué. Ce paramètre complète les paramètres de relance définis sur les ressources individuelles, annuaire LDAP des utilisateurs de Service Provider compris. Par exemple, si cette limite est atteinte avant les seuils de nouvelle tentative de ressource, la transaction est abandonnée. Si la valeur est négative, le nombre de nouvelles tentatives est limité par les seuls paramètres des ressources individuelles.

   • Rendre les transactions persistantes avant d’essayer. Si cette option est activée, les transactions de provisioning sont écrites dans le magasin de transactions persistant avant d'être tentées. L'activation de cette option peut mobiliser de manière inutile des ressources système dans la mesure où la plupart des transactions de provisioning réussissent à la première tentative. Envisagez de désactiver cette option à moins que l'option Attendre la première tentative ne soit désactivée. Cette option n'est pas disponible si le niveau de cohérence complet est sélectionné.

   • Rendre les transactions persistantes avant le traitement asynchrone(Sélection par défaut). Si cette option est activée, les transactions de provisioning sont écrites dans le magasin de transactions persistant avant d'être traitées de façon asynchrone. Si l'option Attendre la première tentative est activée, les transactions nécessitant une tentative supplémentaire sont conservées avant que le contrôle ne soit renvoyé à l'appelant. Si l'option Attendre la première tentative est désactivée, les transactions sont toujours maintenues avant d'être tentées. Il est recommandé d’activer cette option. Cette option n'est pas disponible si le niveau de cohérence complet est sélectionné.

   • Rendre les transactions persistantes à chaque mise à jour. Si cette option est activée, les transactions de provisioning sont maintenues après toute tentative de relance. Cela peut faciliter l'isolement des problèmes car le magasin de transactions persistant, qui est explorable depuis la page Recherche de transaction, est toujours à jour.

Paramétrage du magasin de transactions persistant

Les options de la page Configuration de transaction Service Provider s'appliquent au magasin de transactions persistant. Le type du magasin peut être configuré ainsi que des attributs interrogeables supplémentaires à exposer dans le magasin, comme illustré sur la figure suivante.

Figure 17–6 Configuration du magasin de transactions persistant de Service Provider

Pour définir les options de la page Configuration de transaction de Service Provider

1. Sélectionnez le Type du magasin de transactions persistant de votre choix dans la liste.

   Si l'option Base de données est sélectionnée, alors les SGBDR configurés dans la page de configuration principale de Service Provider sont utilisés pour maintenir les transactions de provisioning. Cela garantit que les transactions devant être relancées ne seront pas perdues en cas de redémarrage d'un serveur. La sélection de cette option requiert la configuration du RDBMS sur la page principale de configuration de Service Provider. Si l'option Basés sur la mémoire simulée est sélectionnée, les transactions nécessitant une nouvelle tentative sont uniquement stockées en mémoire et sont perdues au redémarrage du serveur. Activez l'option Base de données pour les environnements de production.

   ---

   Remarque –

   L'utilisation du magasin de transactions persistant basé sur la mémoire n'est pas adaptée aux environnement clustérisés.

   En cas de changement du Type du magasin de transactions persistant, vous devez redémarrer toutes les instances d'Identity Manager en cours d'exécution pour que le changement soit appliqué.

   ---

2. Vous pouvez entrer des Attributs utilisateur interrogeables personnalisés.

   Sélectionnez des attributs supplémentaires de l’objet IDMXUser à exposer dans les récapitulatifs des transactions. Ces attributs sont interrogeables à partir de la page de recherche des transactions et s’affichent dans les résultats de la recherche.

   Ces attributs sont les suivants :

   • Expression du chemin utilisateur. Entrez une expression de chemin dans l'objet IDMXUser .

   • Nom d’affichage. Choisissez un nom à afficher correspondant à l'expression de chemin. Le nom d’affichage est indiqué sur la page de recherche des transactions.

Définition des paramètres avancés de traitement des transactions

Ces options avancées déterminent le fonctionnement interne du gestionnaire des transactions. Ne modifiez pas les valeurs par défaut fournies à moins que l'analyse de performance n'indique qu'elles ne sont pas idéales. Toutes les entrées sont obligatoires.

La Figure 17–5 illustre la zone Paramètres avancés de traitement des transactions sur la page Éditer la configuration de la transaction.

Figure 17–7 Paramètres avancés de traitement des transactions

Pour définir les paramètres avancés de traitement des transactions

1. Saisissez le nombre souhaité de Threads travailleur (100 par défaut).

   Il s'agit du nombre de threads utilisés pour traiter les transactions. Cette valeur limite le nombre de transaction traitées simultanément. Ces threads sont alloués statiquement au démarrage.

   ---

   Remarque –

   En cas de changement du paramètre Threads travailleur, vous devez redémarrer toutes les instances d'Identity Manager en cours d'exécution pour que le changement soit appliqué.

   ---

2. Saisissez la Durée du bail (ms) de votre choix (600 000 par défaut).

   Ce paramètre détermine le délai pendant lequel un serveur verrouille une transaction relancée. Ce bail est renouvelé selon les besoins. Toutefois, si le serveur ne s'arrête pas correctement, un autre serveur ne pourra pas verrouiller la transaction tant que le bail du serveur initial n'expirera pas. Cette valeur devrait être de une minute minimum. La sélection d’une valeur inférieure à une minute peut affecter la charge sur le magasin de transactions persistant.

3. Entrez le moment du Renouvellement du bail (ms) (300 000 par défaut).

   Cette option détermine le moment où le bail d'une transaction verrouillée est renouvelé. Le bail est renouvelé lorsque la durée restante du bail atteint cette valeur en millisecondes.

4. Entrez la durée pendant laquelle Conserver les transactions terminées dans le magasin (ms) (360 000 par défaut).

   Ce paramètre détermine le délai, en millisecondes, après lequel les transactions terminées sont supprimées du magasin de transactions persistant. Si les transactions ne sont pas configurées pour être immédiatement persistantes, le magasin de transactions persistant ne contient pas toutes les transactions terminées.

5. Entrez le Seuil inférieur de la file d’attente des transactions prêtes (400 par défaut).

   Lorsque la file d'attente de l'ordonnanceur de transactions contenant les transactions prêtes à être exécutées descend en dessous de ce seuil, l'ordonnanceur complète la file d'attente avec des transactions prêtes disponibles à hauteur du seuil supérieur.

6. Entrez le Seuil supérieur de la file d’attente des transactions prêtes (800 par défaut).

   Lorsque la file d'attente de l'ordonnanceur de transactions contenant les transactions prêtes à être exécutées descend en dessous du seuil inférieur, l'ordonnanceur complète la file d'attente avec des transactions prêtes disponibles à hauteur de ce seuil.

7. Entrez le Seuil inférieur de la file d’attente des transactions en attente (2000 par défaut).

   La file d'attente de l'ordonnanceur de transactions conserve les transactions qui ont échoué et sont en attente d'une relance. Si la taille de cette file d'attente dépasse le seuil supérieur, toutes les transactions au-delà du seuil inférieur sont transférées dans le magasin de transactions persistant.

8. Entrez le Seuil supérieur de la file d’attente des transactions en attente (2000 par défaut).

   La file d'attente de l'ordonnanceur de transactions conserve les transactions qui ont échoué et sont en attente d'une relance. Si la taille de cette file d'attente dépasse le seuil supérieur, toutes les transactions au-delà du seuil inférieur sont transférées dans le magasin de transactions persistant.

9. Entrez la Fréquence d’exécution de l’ordonnanceur (ms) (500 par défaut).

   Cette valeur précise le nombre de fois où l'ordonnanceur sera exécuté. Lorsqu’il s’exécute, l’ordonnanceur des transactions transfère les transactions prêtes à être exécutées de la file d’attente des transactions en attente vers la file d’attente des transactions prêtes, et effectue d’autres tâches périodiques telles que le transfert de transactions persistantes vers le magasin de transactions persistant.

10. Cliquez sur Enregistrer pour accepter les paramètres.

Contrôle des transactions

Les transactions de Service Provider sont écrites dans le magasin de transactions persistant. Vous pouvez rechercher des transactions dans le Magasin de transactions persistant pour afficher le statut de ces transactions.

---

Remarque –

En utilisant la page Éditer la configuration de la transaction, l'administrateur peut contrôler si les transactions sont maintenues. Par exemple, elles peuvent être maintenues immédiatement, avant même d'avoir été tentées pour la première fois.

---

La page Recherche de transaction permet de spécifier des conditions de recherche permettant de filtrer les transactions à afficher en fonction de critères spécifiques liés à l'événement de transaction, tels que l'utilisateur, le type, le statut, l'ID de transaction, l'état actuel et la réussite ou l'échec de la transaction. Cela inclut les transactions qui sont encore tentées, ainsi que celles déjà terminées. Les transactions non terminées peuvent être annulées afin d'empêcher toute tentative ultérieure.

Pour rechercher des transactions

1. Dans l'interface administrateur, cliquez sur Tâches du serveur -> Transactions du Service Provider.

   La page Recherche de transaction Service Provider s'ouvre, vous permettant de spécifier les conditions de recherche.

   ---

   Remarque –

   La recherche retourne uniquement les transactions correspondant à toutes les conditions sélectionnées plus bas. Cela est similaire à la page Comptes -> Rechercher des utilisateurs.

   ---

2. Configurez votre recherche.

   Choisissez une ou plusieurs des options suivantes :

   • Nom de l’utilisateur. Activez cette option pour rechercher des transactions qui s'appliquent uniquement aux utilisateurs possédant l'ID de compte entré.

     ---

     Remarque –

     Si vous avez configuré des Attributs utilisateur interrogeables personnalisés sur la page Configuration de transaction Service Provider, ceux-ci s'affichent ici. Par exemple, vous pouvez choisir d'effectuer une recherche en fonction du Nom ou du Nom complet si ces attributs ont été configurés en tant qu'attributs utilisateur interrogeables personnalisés.

     ---

   • Type Activez cette option pour rechercher des transactions du ou des types sélectionnés.

   • État. Activez cette option pour rechercher des transactions possédant le ou les états sélectionnés suivants :

     • Les transactions ayant l'état Non tentée n'ont pas encore été tentées.

     • Les transactions ayant l'état Relance en attente ont été tentées une fois ou plus, ont subi une ou plusieurs erreurs et sont planifiées pour être retentées dans les limites de nouvelles tentatives configurées pour les ressources individuelles.

     • Les transactions ayant l'état Réussite ont été effectuées avec succès.

     • Les transactions ayant l'état Échec se sont soldées par un ou plusieurs échecs.

   • Tentatives. Activez cette option pour rechercher des transactions en fonction de leur nombre de tentatives d'exécution. Les transactions ayant échoué sont relancées à hauteur des limites de nouvelles tentatives configurées pour les ressources individuelles.

   • Envoi. Activez cette option pour rechercher des transactions en fonction du moment où elles ont été soumises pour la première fois (en heures, minutes ou jours).

   • Terminé(e). Activez cette option pour rechercher des transactions en fonction du moment où elles se sont terminées (en heures, minutes ou jours).

   • Statut annulé. Activez cette option pour rechercher des transactions en fonction de si elles ont été ou non annulées.

   • ID de transaction. Activez cette option pour rechercher des transactions en fonction de leur ID unique. Cette option permet de trouver une transaction en fonction de son ID, qui figure dans tous les enregistrement du journal d’audit.

   • Exécution sur. Activez cette option pour rechercher des transactions en fonction du serveur Service Provider sur lequel elles s'exécutent. L'identificateur du serveur est basé sur son nom de machine sauf s'il a été remplacé dans le fichier Waveset.properties.

   • Limiter les résultats aux premiers. Seuls les résultats antérieurs à la limite spécifiée sont retournés. En cas de résultats supplémentaires, aucune indication n’est fournie.

   Figure 17–8 Rechercher des transactions

   
   

3. Cliquez sur Recherche.

   Les résultats de la recherche s'affichent.

4. Vous pouvez cliquer sur Téléchargez toutes les transactions correspondantes dans le bas de la page de résultats pour enregistrer les résultats dans un fichier au format XML.

   ---

   Remarque –

   Pour annuler les transactions retournées dans les résultats de recherche, sélectionnez une transaction dans le tableau des résultats et cliquez sur Annuler a été sélectionné. Vous pouvez pas annuler de transactions terminées ou déjà annulées.

   ---

Administration déléguée pour les utilisateurs de Service Provider

L'administration déléguée pour les utilisateurs de Service Provider est activée par l'utilisation des rôles admin d'Identity Manager ou par le biais du modèle d'autorisation basé sur les organisations.

Délégation par autorisation basée sur les organisations

Identity Manager assure, par défaut, la délégation des obligations administratives par le biais du modèle d'autorisation basé sur les organisations.

Gardez à l'esprit les points suivants lorsque vous créez des administrateurs délégués dans un modèle d'autorisation basé sur les organisations :

• Les administrateurs Service provider sont des utilisateurs Identity Manager ayant des capacités et des organisations contrôlées spécifiques.

• Les valeurs des attributs d'organisation des utilisateurs peuvent être le nom de l'organisation Identity Manager ou l'ID de l'objet. Cela dépend du paramétrage du champ Le nom de l’attribut de l’organisation Identity Manager contient l’ID dans l'écran de configuration principale d'Identity Manager.

• Vous pouvez créer une hiérarchie Identity Manager et y placer les organisations en reflétant la manière dont vous voulez en déléguer l'administration. Utilisez l'identification spécifique des organisations et non pas leur nom simple.

• Les organisations des utilisateurs de Service Provider sont reprises des attributs utilisateur du serveur d'annuaire.

  • Vous devez définir les attributs dans la carte schématique pour la ressource serveur d'annuaire.

  • La comparaison des attributs se fait par correspondance exacte par rapport à la liste des organisations contrôlées d'un administrateur. La valeur stockée dans l'annuaire doit correspondre au nom de l'organisation, pas à l'ensemble de la hiérarchie. Si un administrateur contrôle Haut:orgA:sub1, la valeur sub1 doit être stockée dans l'attribut d'organisation pour l'utilisateur de Service Provider.

  • Si l'attribut n'est pas défini ou ne correspond pas à une organisation Identity Manager, l'utilisateur Service Provider est traité comme un membre de l'organisation Haut. Les administrateurs Service Provider doivent avoir les capacités utilisateur Service Provider dans Haut pour gérer ces utilisateurs.

  Les paramètres d'attribut déterminent l'étendue des recherches effectuées par les administrateurs Service Provider.

• Pour créer un compte administrateur délégué, vous devez d'abord créer un administrateur Identity Manager puis ajouter les capacités d'administrateur Service Provider. Il y a des capacités spécifiques aux tâches de Service Provider qui peuvent être assignées à l'utilisateur (sur l'onglet Sécurité de la page Éditer l’utilisateur). Les organisations contrôlées spécifient les utilisateurs Service Provider que l'administrateur peut modifier. Toutes les ressources disponibles pour les utilisateurs Service Provider le sont également pour les administrateurs Identity Manager.

---

Remarque –

Pour plus d'informations sur l'administration déléguée d'Identity Manager, voir Administration déléguée au Chapitre 6Administration

---

Délégation par assignation de rôle admin

Pour accorder des capacités et des étendues de contrôle précises aux utilisateurs Service Provider, utilisez un rôle admin d'utilisateurs Service Provider. Les rôles admin peuvent être configurés pour être assignés de manière dynamique à un ou plusieurs utilisateurs Identity Manager ou Service Provider au moment de la connexion.

Des règles peuvent être définies et assignées aux rôles admin qui spécifient les capacités (par exemple Créer les utilisateurs de Service Provider) accordées aux utilisateurs auxquels le rôle admin a été assigné.

Pour utiliser la délégation de rôle admin pour les utilisateurs de Service Provider, vous devez l'activer dans l'objet Configuration système d'Identity Manager (Édition des objets Configuration Identity Manager).

Si la délégation par assignation de rôle admin est activée, le Nom de l’attribut de l’organisation IDM dans Configuration de Service Provider n'est pas requis.

Activation de la délégation de rôles admin de Service Provider

Pour activer la délégation de rôles admin de Service Provider (l'administration déléguée de Service Provider), ouvrez l'objet Configuration système pour le modifier (Édition des objets Configuration Identity Manager) et définissez la propriété suivante sur true:

security.authz.external.app name.object type

Où app name est l'application Identity Manager (par exemple l'interface administrateur) et object type Service Provider Users.

Cette propriété peut être activée par application Identity Manager (par exemple, pour l'interface administrateur ou l'interface utilisateur) et par type d'objet. Actuellement, le seul type d'objet pris en charge est Service Provider Users. La valeur par défaut est false.

Par exemple, pour activer l'administration déléguée de Service Provider pour les administrateurs Identity Manager, définissez l'attribut suivant dans l'objet Configuration System Configuration (Configuration système) sur « true » :

security.authz.external.Administrator Interface.Service Provider Users

Si l'administration déléguée de Service Provider est désactivée (définie sur false) pour une application Identity Manager ou Service Provider donnée, le modèle d'autorisation basé sur les organisations est utilisé.

Lorsque l'administration déléguée de Service Provider est activée, les événements suivis capturent des informations sur le nombre et la durée des règles d'autorisation exécutées. Ces statistiques sont disponibles dans le tableau de bord.

Configuration d'un rôle admin d’utilisateurs de Service Provider

Pour configurer rôle admin d’utilisateurs de Service Provider, créez un rôle admin et précisez l'étendue de contrôle, les capacités et la personne à qui ce rôle doit être assigné.

---

Remarque –

Avant de créer un rôle admin d’utilisateurs de Service Provider, définissez le contexte et le filtre de recherche, le filtre post-recherche, les capacités et les règles d'assignation d'utilisateurs de ce rôle admin.

Pour utiliser les règles suivantes, vous devez en indiquer l'authType :

• SPEUsersSearchContextRule,

• SPEUsersSearchFilterRule,

• SPEUsersAfterSearchFilterRule,

• CapabilitiesOnSPEUserRule,

• UserIsAssignedAdminRoleRule,

• SPEUserIsAssignedAdminRoleRule.

Identity Manager fournit des exemples de règles que vous pouvez utiliser pour créer ces règles pour les rôles admin d'utilisateurs de Service Provider. Ces règles sont disponibles dans sample/adminRoleRules.xml dans le répertoire d'installation d'Identity Manager.

Pour plus d'informations sur la création de ces règles pour votre environnement, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

---

Pour configurer un rôle admin d'utilisateurs de Service Provider

1. Dans l'interface administrateur, cliquez sur Sécurité dans le menu puis sur Rôles admin.

   La page Rôles admin s'ouvre.

2. Cliquez sur Nouveau.

   La page Créer un rôle Admin s'ouvre.

3. Indiquez un nom pour le rôle admin et sélectionnez Utilisateurs de Service Provider pour le type.

4. Indiquez les options Portée du contrôle, Capacités et Assigner aux utilisateurs, comme décrit dans les sections suivantes.

Spécification de l'étendue du contrôle

La portée ou étendue de contrôle d'un rôle admin d'utilisateurs Service Provider précise les utilisateurs Service Provider qu'un administrateur Identity Manager, un utilisateur final Identity Manager ou un utilisateur final Service Provider Identity Manager donné, est autorisé à voir. L'étendue est imposée lorsqu'une demande visant à lister les utilisateurs de Service Provider Users dans l'annuaire est effectuée.

Vous pouvez spécifier un ou plusieurs des paramètres suivants pour l'étendue de contrôle du rôle admin d'utilisateurs Service Provider :

• Contexte de la recherche utilisateur. Indiquez si une règle ou une chaîne de texte doit être utilisée pour commencer une recherche.

  Si Aucun(e) est indiqué, le contexte de recherche par défaut sera le contexte de base spécifié dans la ressource Identity Manager configurée en tant qu'annuaire des utilisateurs de Service Provider .

• Filtre de recherche des utilisateurs. Indiquez si une règle ou une chaîne de texte doit être appliquée pour le filtre de recherche.

  La chaîne de texte spécifiée ou retournée par la règle sélectionnée doit être une chaîne de filtre de recherche conforme LDAP qui représente l'ensemble des utilisateurs, au sein du contexte de recherche, qui sera contrôlé par les utilisateurs assignés à ce rôle Admin. Le filtre indiqué sera combiné au filtre de recherche spécifié par l'utilisateur afin de garantir que les utilisateurs retournés par la recherche n'incluent aucun utilisateur que les utilisateurs auxquels ce rôle admin est assigné ne sont pas autorisés à lister.

• Règle de filtre post-recherche des utilisateurs. Sélectionnez une règle qui sera appliquée après l'application du filtre de recherche d'utilisateurs.

  Cette règle sera utilisée après l'exécution de la recherche LDAP initiale sur l'annuaire des utilisateurs de Service Provider et les résultats de son évaluation permettront de déterminer les noms distinctifs (dn) auxquels l'utilisateur demandant est autorisé à accéder.

  Ce type de règle peut être utilisé quand vous devez déterminer si un utilisateur doit figurer dans l'étendue de contrôle de l'utilisateur demandant en utilisant des attributs d'utilisateur non LDAP (par exemple, l'appartenance au groupe) ou quand la décision du filtre doit être faite en utilisant un référentiel autre que l'annuaire des utilisateurs de Service Provider (par exemple, une base de données Oracle ou RACF).

Spécification de capacités

Les capacités du rôle admin d'utilisateurs Service Provider spécifient les capacités et les droits que l'utilisateur demandant a sur l'utilisateur de Service Provider pour lequel l'accès est demandé. Elles sont imposées quand une demande d'affichage, création, modification ou suppression d'un utilisateur de Service Provider, est formulée.

Sur l'onglet Capacités, sélectionnez la Règle de capacités pour ce rôle admin.

Assignation des rôles admin aux utilisateurs

Les rôles admin d'utilisateurs Service Provider peuvent être assignés dynamiquement aux utilisateurs de fournisseur de services en indiquant une règle qui sera évaluée au moment de la connexion pour déterminer si assigner le rôle admin en question à l'utilisateur qui s'authentifie.

Cliquez sur l'onglet Assigner aux utilisateurs et sélectionnez la règle à appliquer pour l'assignation.

---

Remarque –

L'assignation dynamique de rôles admin aux utilisateurs doit être activée pour chaque interface de connexion (par exemple, pour l'interface utilisateur et l'interface administrateur) en définissant l'objet Configuration système suivant (Édition des objets Configuration Identity Manager) sur true:

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

La valeur par défaut pour toutes les interfaces est false.

---

Délégation des rôles admin d'utilisateurs Service Provider

Par défaut, les utilisateurs de Service Provider peuvent assigner (ou déléguer) les rôles admin d'utilisateurs Service Provider qui leurs sont assignés à d'autres utilisateurs Service Provider de leur étendue de contrôle.

En effet, tout utilisateur Identity Manager ayant des capacités permettant d'éditer les utilisateurs de Service Provider peut assigner les rôles admin d'utilisateurs Service Provider qui lui sont assignés à d'autres utilisateurs de Service Provider de son étendue de contrôle.

Un rôle admin d'utilisateurs Service Provider peut aussi inclure une liste d'Assignataires qui peuvent assigner ce rôle admin indifféremment de l'étendue de contrôle. Ces assignations directes permettent d'assurer qu'au moins un compte utilisateur connu peut assigner le rôle admin.

Gestion des utilisateurs de Service Provider

Cette section explique les procédures et informations à suivre pour gérer les utilisateurs de Service Provider par le biais d'Identity Manager.

Cette section se compose des rubriques suivantes :

• Organisations d'utilisateurs ;

• Création d'utilisateurs et de comptes ;

• Recherche d'utilisateurs Service Provider ;

• Interface utilisateur final.

Organisations d'utilisateurs

Avec Service Provider, la valeur d'un attribut sur l'utilisateur détermine l'organisation à laquelle cet utilisateur est assigné. Cela est spécifié par le champ Nom de l’attribut de l’organisation Identity Manager dans la configuration principale de Service Provider (voir Configuration initiale). Cependant, les noms de ces organisations doivent correspondre à la valeur d'un attribut utilisateur assigné dans le serveur d'annuaire.

Si le Nom de l’attribut de l’organisation Identity Manager est défini, une liste à plusieurs sélections des organisations disponibles s'affiche sur les pages Créer un utilisateur et Éditer l’utilisateur. Par défaut, les noms courts des organisations sont affichés. Vous pouvez modifier le Formulaire utilisateur de Service Provider pour afficher le chemin complet de l'organisation.

Vous pouvez choisir l'attribut qui deviendra l'attribut de nom de l'organisation. L'attribut de nom de l'organisation est ensuite utilisé dans les pages de gestion des utilisateurs de Service Provider pour limiter les administrateurs qui peuvent rechercher et gérer cet utilisateur.

---

Remarque –

Il existe maintenant des stratégies d’ID de compte et de mot de passe pour les comptes Service Provider et de ressources.

La Stratégie de compte système de Service Provider est disponible dans le principal tableau Stratégies.

---

Création d'utilisateurs et de comptes

Tous les utilisateurs de fournisseur de services doivent avoir un compte dans l'annuaire de Service Provider. Si un utilisateur a des comptes sur d'autres ressources, alors les liens vers ces comptes sont stockés dans l'entrée d'annuaire de l'utilisateur, de sorte que les informations relatives à ces comptes sont disponibles lorsque l'utilisateur est affiché.

---

Remarque –

Un exemple de formulaire utilisateur de Service Provider est fourni pour créer et éditer des utilisateurs. Personnalisez ce formulaire pour satisfaire les exigences de gestion d'utilisateurs dans votre environnement Service Provider. Pour plus d'informations, voir le Chapitre 2, Identity Manager Forms du Sun Identity Manager Deployment Reference.

---

Pour créer un compte Service Provider

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

2. Cliquez sur l'onglet Gérez les utilisateurs de Service Provider.

3. Cliquez sur Créer un utilisateur.

   ---

   Remarque –

   Dans le cadre de l'utilisation du formulaire utilisateur de Service Provider par défaut, les champs effectifs qui s'affichent dépendent des attributs configurés dans la table Attributs de compte (la carte schématique) de la ressource annuaire de Service Provider. Par ailleurs, lorsque vous assignez des ressources à l'utilisateur (par exemple en tant qu'administrateur délégué), de nouvelles sections s'ajoutent à l'écran : vous pouvez y spécifier les valeurs d'attributs de ces ressources. Vous pouvez aussi personnaliser les champs.

   ---

4. Indiquez les valeurs d'attributs pour ces ressources comme requis.

   Ces valeurs d'attributs sont les suivantes :

   • accountid (ID de compte, obligatoire),

   • password (mot de passe),

   • confirmation (confirmation du mot de passe),

   • firstname (prénom, obligatoire),

   • lastname (nom, obligatoire),

   • fullname (nom complet),

   • email (e-mail),

   • home phone (téléphone domicile),

   • cell phone (téléphone portable),

   • password retry count (nombre de tentatives de mot de passe),

   • account unlock time (heure de déverrouillage du compte).

5. Assignez toutes les ressources souhaitées depuis la liste Disponible en utilisant les boutons de direction.

6. Le Statut du compte affiche si le compte est verrouillé ou déverrouillé. Cliquez sur cette option pour verrouiller ou déverrouiller le compte.

   Figure 17–9 Création d'utilisateurs et de comptes Service Provider

   
   

   ---

   Remarque –

   Ce formulaire remplit automatiquement les valeurs des attributs de compte de ressource en fonction des attributs définis pour le compte de l'annuaire (au sommet). Par exemple, si la ressource définit firstName, le produit indique dans le formulaire la valeur firstName du compte de l'annuaire. Cependant, passé ce remplissage initial, les modifications apportées à ces attributs ne sont pas propagées aux comptes de ressources. Le cas échéant, personnalisez l'exemple de Formulaire utilisateur de Service Provider fourni.

   ---

7. Cliquez sur Enregistrer pour créer le compte utilisateur.

Recherche d'utilisateurs Service Provider

Service Provider inclut une fonctionnalité de recherche configurable visant à faciliter la gestion des comptes utilisateur. Seules les utilisateurs rentrant dans votre étendue (telle que définie par votre organisation et, éventuellement, d'autres facteurs) sont retournés dans le cadre d'une recherche.

Pour effectuer une recherche de base d'utilisateurs de fournisseur de services, cliquez dans la zone Comptes de l'interface d'Identity Manager sur Gérez les utilisateurs de Service Provider puis entrez la valeur à rechercher avant de cliquer sur Recherche.

Les rubriques suivantes examinent les fonctionnalités de recherche de Service Provider :

• Recherche avancée ;

• Résultats de la recherche ;

• Liaison des comptes ;

• Suppression, annulation des assignations et suppression des liens de comptes ;

• Définition des options de recherche.

Recherche avancée

Utilisez les instructions suivantes pour effectuer une recherche avancée d'utilisateurs Service Provider.

Pour effectuer une recherche avancée d'utilisateurs Service Provider

1. Dans la page de recherche d'utilisateurs de Service Provider, cliquez sur Avancé.

2. Choisissez l'attribut souhaité dans la liste.

3. Choisissez l'opération souhaitée dans la liste.

   Vous définissez un ensemble de conditions afin de filtrer les utilisateurs obtenus après recherche et précisez que ces derniers doivent répondre à toutes les conditions spécifiées.

4. Entrez la valeur de recherche souhaitée puis cliquez sur Recherche.

   Figure 17–10 Recherche d'utilisateurs

   
   

   Vous pouvez ajouter ou supprimer des Conditions d’attribut, en utilisant les options suivantes :

   • Cliquez sur Ajouter une condition et indiquez les nouveaux attributs.

   • Sélectionnez l'élément et cliquez sur Supprimer la ou les conditions sélectionnées.

Résultats de la recherche

Les résultats de recherche de Service Provider s'affichent dans un tableau comme illustré à la Figure 17–11. Les résultats peuvent être triés en fonction de n'importe quel attribut en cliquant sur l'en-tête de colonne correspondant à cet attribut. Les résultats affichés dépendent des attributs sélectionnés.

Les flèches naviguent vers la première et la dernière pages ainsi que vers les pages précédente et suivante. Vous pouvez aller directement à une page spécifique en en entrant le numéro dans la zone de texte et en appuyant sur Entrée.

Pour éditer un utilisateur, cliquez sur son nom dans le tableau.

Figure 17–11 Exemple de résultats de recherche

Les pages de résultats de recherche vous permettent de supprimer des utilisateurs ou de supprimer les liens de comptes de ressources, en sélectionnant un ou plusieurs utilisateurs et en cliquant sur le bouton Supprimer. Cette action active une page de suppression d'utilisateur et présente des options supplémentaires (voir Suppression, annulation des assignations et suppression des liens de comptes)

Liaison des comptes

Service Provider peut être installé dans des environnements dans lesquels les utilisateurs ont des comptes sur plusieurs ressources. La fonction de liaison de compte de Service Provider permet d'assigner des comptes de ressources existants à des utilisateurs de Service Provider de manière incrémentielle. Le processus de liaison de compte est contrôlé par la stratégie de liaison de Service Provider, qui définit une règle de corrélation de liens et une option de vérification des liens.

Pour lier les comptes utilisateur

1. Dans l'interface administrateur, cliquez sur Ressources dans la barre de menu.

2. Sélectionnez la ressource de votre choix.

3. Sélectionnez Éditer la stratégie de liaison Service Provider dans le menu Actions de ressource.

4. Sélectionnez une règle de corrélation de liens. Cette règle recherche sur la ressource les comptes dont l'utilisateur peut être le propriétaire.

5. Sélectionnez une règle de confirmation de lien. Cette règle élimine tout compte de ressource de la liste de comptes potentiels que la règle de corrélation de liens sélectionne.

   ---

   Remarque –

   Si la règle de corrélation de liens ne sélectionne pas plus d'un compte, la règle de confirmation de lien n'est pas nécessaire.

   ---

6. Sélectionnez Vérification des liens requise pour lier le compte de ressource à l'utilisateur de Service Provider.

Suppression, annulation des assignations et suppression des liens de comptes

Pour supprimer des comptes utilisateur, annuler leur assignation ou supprimer leurs liens

1. Cliquez sur Comptes dans la barre de menu.

2. Cliquez sur Gérez les utilisateurs de Service Provider.

3. Effectuez une recherche de base ou avancée.

4. Sélectionnez le ou les utilisateurs de votre choix.

5. Cliquez sur le bouton Supprimer.

6. Sélectionnez l'une des options globales facultatives suivantes.

   Ces options sont les suivantes :

   • Supprimer tous les comptes de ressources

     ---

     Remarque –

     La suppression d'une ressource entraîne celle du compte, mais l'assignation de la ressource est conservée. Le compte sera recréé lors d'une mise à jour ultérieure de l'utilisateur. La suppression implique donc forcément la suppression du lien du compte de ressource.

     ---

   • Annuler l'assignation de tous les comptes de ressources

     ---

     Remarque –

     L'annulation de l'assignation d'une ressource entraîne la suppression de cette assignation et implique la suppression du lien du compte de ressource. Lorsque vous annulez l'assignation d'une ressource, le compte de ressources n'est pas supprimé.

     ---

   • Supprimer les liens de tous les comptes de ressources

     ---

     Remarque –

     La suppression du lien entre un utilisateur et un compte de ressources n'entraîne pas la suppression du compte. L'assignation de ressource n'est pas non plus supprimée et une mise à jour ultérieure de l'utilisateur permettra de lier de nouveau le compte ou de créer un nouveau compte sur la ressource.

     ---

7. Vous pouvez également sélectionner une action pour un ou plusieurs comptes de ressources dans les colonnes Supprimer, Annuler l’assignation ou Supprimer le lien.

8. Après avoir sélectionné les comptes utilisateur souhaités, cliquez sur OK.

   Figure 17–12 Suppression, annulation des assignations et suppression des liens de comptes

   
   

Définition des options de recherche

Pour définir les options de recherche d'utilisateurs Service Provider :

1. Dans l'interface administrateur, cliquez sur Comptes dans la barre de menu.

2. Cliquez sur Service Provider.

3. Cliquez sur Options.

   ---

   Remarque –

   Ces options ne sont valides que pour la session en cours. Les options déterminent le mode d'affichage des résultats, agissent tant sur les résultats de la recherche élémentaire que sur ceux de la recherche avancée. Certains paramètres agissent uniquement sur les nouvelles recherches.

   ---

4. Entrez le Nombre maximal de résultats retournés.

5. Entrez le Nombre de résultats par page.

6. À l'aide des touches de direction, choisissez les Attributs d'affichage dans la liste Attributs disponibles.

   Figure 17–13 Définition des options de recherche pour les utilisateurs de Service Provider

   
   

Interface utilisateur final

Les exemples de pages utilisateur final intégrées fournissent des exemples d'enregistrement et de libre-service typiques des environnements xSP. Les exemples sont extensibles et peuvent être personnalisés. Vous pouvez changer l'apparence, modifier les règles de navigation entre les pages ou encore afficher des messages spécifiques à l'environnement linguistique de votre déploiement. Pour toute information sur la personnalisation des pages utilisateur final, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

En plus de contrôler les événements de libre-service et d'enregistrement, il est possible d'envoyer une notification à l'utilisateur concerné en utilisant des modèles d'e-mails. Des exemples d'utilisation des stratégies d'ID de compte et de mot de passe, ainsi que de verrouillage des comptes, sont également fournis. Les développeurs d'applications peuvent aussi tirer parti des formulaires d'Identity Manager. Le service d'authentification modulaire implémenté en tant que filtre de servlet peut être étendu ou remplacé si besoin est. Cela permet l'intégration avec des systèmes de gestion d'accès comme Sun Access Manager.

Exemples de pages utilisateur final

Les exemples de pages utilisateur final fournis permettent à l'utilisateur d'enregistrer et de mettre à jour des informations utilisateur de base par le biais d'une série d'écrans de navigation aisée et de recevoir des notifications par e-mail de leurs actions.

Les pages d’exemple comprennent les fonctionnalités suivantes :

• connexion (et déconnexion) incluant l'authentification au moyen de questions/réponses,

• enregistrement et inscription,

• changement de mot de passe,

• changement de nom d'utilisateur,

• changement des questions/réponses,

• changement d'adresse pour les notifications,

• gestion des noms d'utilisateur oubliés,

• gestion des mots de passe oubliés,

• notification par e-mail,

• audit.

---

Remarque –

Identity Manager utilise une table de validation pour l'enregistrement. Seuls les utilisateurs figurant dans cette table sont autorisés à s'enregistrer. Ainsi, lorsque l'utilisateur Sophie Enfant s'enregistre, le système trouve l'entrée correspondant à Sophie Enfant comportant l'adresse e-mail senfant@exemple.com, dans la table de validation et l'enregistrement est accepté.

---

Ces pages sont simples à personnaliser pour votre déploiement.

Vous pouvez facilement les personnaliser pour votre déploiement en :

• changeant la marque ;

• modifiant les options de configuration (par exemple, le nombre de tentatives de connexion ayant échoué) ;

• ajoutant ou supprimant des pages.

Pour plus d'informations sur la personnalisation de ces pages, voir le guide Sun Identity Manager Service Provider 8.1 Deployment.

Enregistrement d'un nouvel utilisateur

Les nouveaux utilisateurs sont invités à s'enregistrer. Lors de l'enregistrement, ils peuvent définir leurs données de connexion, questions/réponses et informations de notification.

Figure 17–14 Page Enregistrement

Écrans Accueil et Mon profil

La Figure 17–15 illustre l'onglet Accueil et la page Mon profil des utilisateurs finaux. Un utilisateur peut changer son ID et son mot de passe de connexion, gérer la notification et créer des questions/réponses.

Figure 17–15 Page Mon profil

Synchronisation des utilisateurs Service Provider

Pour les utilisateurs de Service Provider, la synchronisation est activée par le biais de la stratégie de synchronisation. Pour synchroniser les changements apportés aux attributs sur les ressources avec Identity Manager pour les utilisateurs de fournisseur de services, vous devez configurer la synchronisation de Service Provider.

Les rubriques suivantes expliquent comment activer la synchronisation dans une implémentation de fournisseur de services :

• Configuration de la synchronisation ;

• Contrôle de la synchronisation ;

• Démarrage et arrêt de la synchronisation ;

• Migration des utilisateurs.

---

Remarque –

La synchronisation de Service Provider est configurée depuis la liste de ressources de la zone Ressources d'Identity Manager.

---

Configuration de la synchronisation

Pour configurer la synchronisation de Service Provider, vous devez éditer la stratégie de synchronisation pour les ressources comme décrit dans Pour éditer ou configurer la synchronisation.

Lorsque vous éditez la stratégie de synchronisation, les options suivantes doivent être spécifiées pour activer les processus de synchronisation pour les utilisateurs de fournisseur de services.

• Sélectionnez Utilisateur Service Provider en tant que Type d’objet cible.

• Dans la section Paramètres de planification, sélectionnez Activer la synchronisation.

Suivez les instructions de la section Pour éditer ou configurer la synchronisation pour indiquer d'autres options comme approprié pour votre environnement. L'intervalle de synchronisation par défaut pour les tâches de synchronisation de Service Provider est par défaut de 1 minute.

---

Remarque –

La règle de confirmation et le formulaire doivent utiliser la vue IDMXUser et non pas la vue utilisateur d'entrée d'Identity Manager (pour plus d'informations, voir le guide Sun Identity Manager Service Provider 8.1 Deployment).

Cela est nécessaire dans la mesure où les règles de confirmation accèdent à une vue utilisateur pour chaque utilisateur identifié dans la règle de corrélation, ce qui a un impact sur la performance de synchronisation.

---

Cliquez sur Enregistrer pour enregistrer la définition de stratégie. Si la synchronisation n'est pas désactivée dans la stratégie, elle sera planifiée comme indiqué. Si la désactivation de la synchronisation est spécifiée, le service de synchronisation est arrêté s'il est en cours d'exécution. Si elle est activée, la synchronisation sera démarrée au redémarrage du serveur Identity Manager ou lors de la sélection de Démarrer pour le Service Provider sous l'action de ressource Synchronisation.

Contrôle de la synchronisation

Identity Manager fournit les méthodes suivantes pour contrôler la synchronisation de Service Provider.

• Afficher le statut de la synchronisation dans le champ de description dans la liste Ressource.

• Utiliser l'interface JMX pour contrôler les indicateurs de synchronisation.

Démarrage et arrêt de la synchronisation

La synchronisation de Service Provider est activée par défaut lorsque vous configurez Identity Manager pour une implémentation de fournisseur de services.

Pour désactiver Service Provider Active Sync

1. Dans l'interface administrateur, cliquez sur Ressources dans le menu.

   La page Lister les ressources s'ouvre.

2. Dans la zone Service Provider, sélectionnez la ressource et cliquez sur Éditer la stratégie de synchronisation pour éditer la stratégie.

3. Désélectionnez la case à cocher Activer la synchronisation.

4. Cliquez sur Enregistrer.

   La synchronisation s'arrête lorsque la stratégie est enregistrée.

   Pour arrêter la synchronisation sans la désactiver, sélectionnez Arrêter pour Service Provider depuis l'action de ressource Synchronisation.

   ---

   Remarque –

   Si vous arrêtez la synchronisation en utilisant l'action de ressource, sans désactiver la synchronisation, celle-ci redémarrera au démarrage du serveur d'Identity Manager.

   ---

Migration des utilisateurs

La fonctionnalité Service Provider contient un exemple de tâche de migration d'utilisateurs et des scripts associés. Cette tâche migre les utilisateurs Identity Manager existants ver l'annuaire des utilisateurs de Service Provider. Cette section explique comment utiliser la tâche de migration d'exemple. Nous vous recommandons de modifier cet exemple pour l'utiliser dans votre cas de figure.

Pour migrer des utilisateurs Identity Manager existants

1. Dans l'interface administrateur, cliquez sur Tâches du serveur dans le menu.

   La page Rechercher tâches s'ouvre.

2. Cliquez sur Exécuter des tâches dans le menu secondaire.

3. Cliquez sur Migration SPE.

4. Entrez un nom unique dans Nom de la tâche.

5. Sélectionnez une Ressource dans la liste.

   Il s'agit d'une ressource dans Identity Manager qui représente le serveur d'annuaire Service Provider. Les liens vers cette ressource trouvés dans les utilisateurs Identity Manager ne sont pas migrés.

6. Entrez un attribut d'identité.

   Ceci est l'attribut d’utilisateur Identity Manager contenant l’identité unique courte de l’utilisateur de l’annuaire.

7. Sélectionnez une Règle d’identité dans la liste.

   Ceci est une règle facultative pouvant calculer le nom de l’utilisateur de l’annuaire à partir des attributs de l'utilisateur Identity Manager. La règle d'identité peut calculer un nom simple (en général un UID) qui est ensuite traité à travers le modèle d'identité de la ressource pour former le nom distinctif (DN) du serveur d'annuaire. La règle peut aussi retourner un DN entièrement spécifié qui évite le modèle d'ID.

8. Cliquez sur Lancer pour démarrer la tâche de migration en arrière-plan.

Configuration des événements d'audit de Service Provider

Dans une implémentation de Service Provider, le système de journalisation d'audit d'Identity Manager contrôle les événements liés aux activités des utilisateurs de l'extranet. Identity Manager fournit le groupe de configuration d'audit de Service Provider (activé par défaut) qui spécifie les événements de contrôle consignés pour les utilisateurs de Service Provider. Voir la Figure 17–16.

Pour plus d'informations sur la journalisation et la modification des événements dans le groupe de configuration d'audit de Service Provider, voir le Chapitre 10Journalisation d'audit

Figure 17–16 Page Éditer le groupe de configuration d’audit Service Provider