Comprendre et gérer les ressources externes

Vous pouvez aussi utiliser Identity Manager pour créer, provisionner et gérer de manière centralisée des ressources externes pour votre entreprise.

Cette section explique comment travailler avec les ressources externes. Les informations sont organisées de la manière suivante :

• Définition des ressources externes ;

• Raisons de l'utilisation de ressources externes ;

• Configuration de ressources externes ;

• Création de ressources externes ;

• Provisioning de ressources externes ;

• Annulation des assignations et suppression des liens des ressources externes ;

• Dépannage des ressources externes.

Définition des ressources externes

Une ressource externe est un type de ressource unique qui ne stocke pas directement les informations de compte utilisateur. En fait, c'est une ressource qui est extérieure au fonctionnement d'Identity Manager. Ces ressources peuvent être des ordinateurs de bureau, des ordinateurs portables, des téléphones portables, des badges de sécurité, etc.

Le provisioning des ressources externes requiert pratiquement toujours un ou plusieurs processus manuels. Par exemple, après avoir effectué la demande initiale et obtenu les dues approbations pour provisionner un ordinateur portable pour un nouvel employé, vous devrez probablement envoyer une demande d'achat au système de commande de l'entreprise. Une fois la commande remplie, une autre personne devra sans doute préconfigurer cet ordinateur portable avec les applications de l'entreprise avant de le remettre personnellement au nouvel employé pour clore la demande de provisioning.

Raisons de l'utilisation de ressources externes

Utiliser Identity Manager pour provisionner des ressources externes vous permet d'avertir un ou plusieurs approvisionneurs des demandes en cours, en leur fournissant des informations détaillées sur l'objet du provisioning.

Par exemple, un approvisionneur de ressources externes peut être un responsable informatique amené à devoir commander et préconfigurer un ordinateur portable pour un utilisateur.

Par ailleurs, Identity Manager conserve des informations sur les ressources externes provisionnées pour un utilisateur donné, lesquelles sont mises à jour à la fin de la demande de provisioning. Identity Manager rend ensuite ces informations disponibles pour l'affichage, l'édition, la validation de la compatibilité d'audit et l'exportation.

Pour configurer des ressources externes, vous devez avoir la capacité Administrateur des ressources externes. Pour créer de nouvelles ressources externes, vous devez avoir la capacité Administrateur de ressources.

Configuration de ressources externes

Cette section explique le processus consistant à configurer le magasin de données des ressources externes et la notification adressée à l'approvisionneur des ressources externes.

Configuration du magasin de données des ressources externes

Le magasin de données de ressources externes d'Identity Manager est un magasin de données unique qui contient des informations relatives aux ressources externes et aux assignations relatives à ces mêmes ressources. Ce magasin de données peut être une base de données ou un annuaire.

• Si c'est une base de données, le magasin de données est géré par le ScriptedJdbcResourceAdapter.

• Si c'est un annuaire, il l'est par le LDAPResourceAdapter.

Vous devez avoir la capacité Administrateur des ressources externes pour configurer le magasin de données de ressources externes.

Le magasin de données de ressources externes vous permet de stocker les données dans n'importe quelles valeurs d'attribut et de stocker ces valeurs dans une ou plusieurs tables.

Par exemple, si vous utilisez la base de données MySQL, Identity Manager stocke les informations relatives aux ressources externes dans les tables suivantes :

• La table extres.accounts contient les ID de compte et de ressource. Le magasin de données des ressources externes étant unique, Identity Manager fournit une unique clé d'ID, <idCompte>@<iDRessource> , qui identifie de manière univoque un compte par son ID de ressource.

• La table extres.attributes contient un ensemble d'attributs sous forme de paires nom/valeur. Ce sont ces attributs que vous définissez dans le mappage schématique lorsque vous créez une ressource externe.

Les exemples de scripts utilisés pour créer les tables de la base de données sont copackagés avec Identity Manager dans l'emplacement suivant :

wshome/sample/ScriptedJdbc/External

Identity Manager prend en charge plusieurs types de bases de données et fournit un exemple pour chacun. Vous pouvez modifier ces scripts en fonction de votre environnement spécifique.

Le magasin de données des ressources externes prend également en charge LDAP par le biais du LDAPResourceAdapter, ce qui permet de stocker les données dans des classes existantes ou personnalisées. Un exemple de script LDIF est également copackagé avec Identity Manager dans l'emplacement suivant :

wshome/sample/other/externalResourcePerson.ldif

Vous pouvez modifier ce script dans le cadre de la configuration d'un magasin de données de type annuaire de ressources.

Pour configurer un magasin de données de type base de données

Bien que vous puissiez effectuer facilement des modifications, le magasin de données des ressources externes n'est en général configuré qu'une fois. Si vous en modifiez la configuration, Identity Manager met automatiquement à jour toutes les ressources externes existantes pour qu'elles utilisent le magasin de données nouvellement configuré.

Pour configurer un magasin de données de type base de données, procédez comme suit :

1. Sélectionnez Configurer -> Ressources externes depuis la barre de menu de l'interface administrateur d'Identity Manager.

2. Lorsque la page Configuration du magasin de données s'affiche, choisissez Base de données dans le Type de magasin de données. Des options supplémentaires s'affichent.

   Figure 5–14 La Page Configuration du magasin de données : Base de données

   
   

3. Spécifiez les informations de connexion et d'authentification suivantes :

   ---

   Remarque –

   Identity Manager remplit automatiquement les champs Pilote JDBC, Modèle JDBC URL, Port et Délai d’attente maxi (secondes) avec les valeurs par défaut. Vous pouvez changer ces valeurs par défaut si besoin est.

   ---

   • Pilote JDBC. Spécifiez le nom de classe du pilote JDBC.

   • Modèle JDBC URL. Spécifiez le modèle d'URL du pilote JDBC.

   • Hôte. Entrez le nom de l’hôte sur lequel vous exécutez la base de données.

   • Port TCP. Saisissez le numéro du port d'écoute utilisé par la base de données.

   • Base de données. Saisissez le nom de la base de données du serveur de base de données, qui contient la table du magasin de données.

   • Utilisateur. Saisissez l'ID d'un utilisateur de la base de données autorisé à lire, mettre à jour et supprimer des lignes de la table du magasin de données. Par exemple : root.

   • Mot de passe. Saisissez le mot de passe de l'utilisateur de la base de données.

   • Rejeter toutes les exceptions SQL. Cochez cette case pour rejeter les exceptions SQL aux instructions SQL quand les codes d'erreur des exceptions sont 0.

     Si vous n'activez pas cette option, Identity Manager détecte et supprime ces exceptions.

   • Délai d’attente maxi. Spécifiez la durée maximum en secondes pendant laquelle vous voulez que les connexions JDBC restent inutilisées dans un pool.

     Si la connexion n'est pas utilisée avant l'expiration du délai indiqué, Identity Manager la ferme et la supprime du pool.

     • La valeur par défaut est de 600 secondes.

     • La valeur -1 empêche à jamais la connexion d'expirer.

4. Une fois connecté au magasin de données, vous devez spécifier un ou plusieurs scripts à exécuter pour chaque action de ressource prise en charge. Pour les instructions, voir Pour configurer les scripts d'action.

Pour configurer les scripts d'action

Vous devez spécifier un ensemble de scripts BeanShell (bsh) pouvant être utilisés par Identity Manager pour suivre et exécuter les états Get, Create, Update, Delete, Enable, Disable et Test d'une demande donnée.

Des exemples de scripts d'action sont disponibles dans :

wshome/sample/ScriptedJdbc/External/beanshell

Vous pouvez modifier ces exemples pour créer vos propres scripts d'action personnalisés. Les scripts personnalisés sont ajoutés à l'outil de sélection Scripts d'action puis affichés sous la ligne dans les listes Disponible et Sélectionné.

Identity Manager fournit des exemples de scripts pour les actions de ressource de tout type de base données prises en charge pour les ressources externes. Pour accéder à ces scripts, utilisez le script ResourceAction qui se trouve dans l'emplacement suivant :

wshome/sample/ScriptedJdbc/External/beanshell

Le nom de la base de données, le nom d'utilisateur et le mot de passe par défaut sont tous extres.

• Si vous choisissez l'une des autres options de base de données ou préférez utiliser un autre nom d'utilisateur ou nom de base de données, vous devez modifier les scripts de création de base de données d'exemple et les scripts ResourceAction avec différentes valeurs.

  Par exemple, si vous choisissez une base de données MySQL, mais voulez changer le nom de la base de données, le nom d'utilisateur et le mot de passe existants, vous devez effectuer les changements suivants : vous devez mettre à jour le script create_external_tables.mysql en remplaçant le nom de la base de données, le nom d'utilisateur et le mot de passe par défaut, extres, par, dans l'ordre, externalresources, externaladmin et externalpassword.

• Vous devez ensuite changer les scripts ResourceAction en remplaçant les valeurs par défaut, extres.accounts et extres.attributes, par, dans l'ordre, externalresources.accounts et externalresources.attributes .

Suivez les étapes ci-après pour configurer les scripts Action :

1. Utilisez les outils de sélection Scripts d’action de la page Configuration du magasin de données pour spécifier un ou plusieurs scripts d'action pour chaque action de ressource. Vous devez sélectionner au moins un script par action de ressource.

   Figure 5–15 La zone Scripts d'action

   
   

   Vous devez sélectionner le script d'action par défaut correspondant à l'action de ressource. Par exemple, vous devez utiliser

   • External-getUser-bsh pour les Actions de ressource GetUser.

     ---

     Remarque –

     Les Actions de ressource GetUser sont utilisées pour les opérations Rechercher.

     ---

   • External-createUser-bsh pour les Actions de ressource CreateUser.

   • External-deleteUser-bsh pour les Actions de ressource DeleteUser.

   • External-updateUser-bsh pour les Actions de ressource UpdateUser.

   • External-disableUser-bsh pour les Actions de ressource DisableUser.

   • External-enableUser-bshpour les Actions de ressource EnableUser.

   • External-test-bsh pour les Actions de ressource de test.

     ---

     Remarque –

     Les Actions de ressource de test sont utilisées pour permettre la pleine fonctionnalité du bouton Vérifier la connexion.

     ---

   Sélectionner l'un quelconque des autres scripts bsh dans les exemples de scripts de la liste ne fonctionnera pas.

2. Choisissez un Mode contexte de l’action dans le menu pour spécifier la façon dont les valeurs d'attribut seront transmises aux scripts d'action.

   • Chaînes. Transmet les valeurs d'attribut sous forme de chaînes.

   • Assignation directe. Transmet les valeurs d'attribut sous la forme d'un objet com.waveset.object.AttributeValues.

3. Il convient maintenant de tester la configuration de connexion de votre magasin de données. Cliquez sur le bouton Vérifier la connexion situé au bas de la page.

   Un message s'affiche confirmant que la connexion a réussi ou indiquant une erreur de configuration.

4. Lorsque vous avez terminé, cliquez sur Suivant pour passer à la page Configuration de la notification de l’approvisionneur.

Pour configurer un magasin de données de type annuaire

Pour configurer un magasin de données de type annuaire, procédez comme suit :

1. Choisissez Annuaire dans le menu Type de magasin de données. Des options supplémentaires s'affichent.

   Figure 5–16 La Page Configuration du magasin de données : Annuaire

   
   

2. Vous devez spécifier les informations de connexion et d'authentification suivantes pour un magasin de données de type Annuaire.

   Configurez les options suivantes :

   • Hôte. Entrez l'adresse IP ou le nom de l’hôte sur lequel le serveur LDAP est exécuté.

   • Port TCP. Saisissez le port TCP/IP utilisé pour communiquer avec le serveur LDAP.

     • Si vous utilisez SSL, ce port est en général le 636.

     • Si vous n'utilisez pas SSL, ce port est en général le 389.

   • SSL. Cochez cette option pour connecter le serveur LDAP en utilisant SSL.

   • Serveurs de basculement. Liste tous les serveurs utilisés pour le basculement en cas de panne du serveur préféré. Saisissez les informations suivantes dans le format indiqué, conforme aux URL LDAP version 3 standard décrites dans le document RFC 2255 :

     ldap://ldap.example.com:389/o=LdapFailover

     Seule la partie de l'hôte, du port et du nom distinctif (dn) de l'URL sont pris en compte dans ce paramètre.

     Ainsi, si le serveur préféré tombe en panne, JNDI se connecte automatiquement au prochain serveur disponible de la liste.

   • Utilisateur DN. Saisissez le DN utilisé pour l'authentification sur le serveur LDAP lors de la réalisation des mises à jour (par défaut cn=Directory Manager).

   • Password (Mot de passe). Saisissez le mot de passe de l'utilisateur principal.

   • Contextes de base. Spécifiez un ou plusieurs points de départ pouvant être utilisés par Identity Manager pour rechercher des utilisateurs dans l'arborescence LDAP (par défaut dc=MYDOMAIN,dc=com).

     Identity Manager effectue des recherches lorsqu'il essaie de découvrir des utilisateurs depuis le serveur LDAP ou lorsqu'il recherche les groupes dont sont membres les utilisateurs.

   • Classe d’objets. Saisissez une ou plusieurs classes d'objets à utiliser pour créer de nouveaux objets utilisateur dans l'arborescence LDAP (la valeur par défaut est la classe supérieure).

     Chaque entrée doit figurer sur une ligne distincte. N'utilisez pas de virgules ni d'espaces pour séparer les entrées.

     Certains serveurs LDAP exigent que vous spécifiiez toutes les classes d'objets dans une hiérarchie de classes. Par exemple, il se peut que vous ayez besoin de spécifier top, person, organizationalperson et inetorgperson, au lieu de seulement inetorgperson.

   • Filtre LDAP pour la récupération de comptes. Saisissez un filtre LDAP pour contrôler les comptes qui seront retournés de la ressource LDAP. Si vous ne spécifiez pas de filtre, Identity Manager retourne tous les comptes qui incluent toutes les classes d'objets spécifiées.

   • Inclure toutes les classes d’objet dans le filtre de recherche. Cochez cette case pour que tous les comptes incluent toutes les classes d'objets spécifiées et correspondent au Filtre LDAP pour la récupération des comptes.

     ---

     Remarque –

     Vous devez activer cette option lorsqu'aucun filtre de recherche n'est spécifié. Si vous désactivez cette option, les comptes qui n'incluent pas toutes les classes d'objets spécifiées peuvent être chargés dans Identity Manager en utilisant la fonctionnalité Réconciliation ou Charger à partir de la ressource.

     ---

     Après le chargement, l'attribut objectclass du compte n'est pas mis à jour automatiquement. Si un attribut d'une classe d'objet manquante apparaît au niveau de l'interface administrateur, l'attribution d'une valeur à cet attribut, sans modification de l'attribut objectclass, échoue. Pour éviter un tel problème, annulez la valeur objectclass dans le formulaire Réconciliation ou Charger à partir de la ressource.

   • Attribut de nom d’utilisateur. Saisissez le nom de l'attribut LDAP mappé vers le nom de l'utilisateur Identity Manager lors de la détection des utilisateurs depuis l'annuaire. Ce nom est souvent uid ou cn.

   • Attribut de nom d’affichage. Saisissez le nom d'attribut du compte de ressource dont la valeur est utilisée pour l'affichage du nom de ce compte.

   • Attribut de tri VLV. Saisissez le nom d'un attribut de tri à utiliser pour les index VLV sur la ressource.

   • Utiliser blocs. Cochez cette case pour récupérer et traiter les utilisateurs par blocs.

     Lorsque vous effectuez des opérations sur un grand nombre d'utilisateurs, traiter les utilisateurs par blocs réduit le volume de mémoire utilisé par l'opération.

   • Comptage de blocs. Saisissez le nombre maximal d'utilisateurs à regrouper en blocs pour le traitement.

   • Attr. de membre de groupe Saisissez le nom de l'attribut membre de groupe à mettre à jour avec le nom distinctif de l'utilisateur quand un utilisateur est ajouté au groupe.

     Le nom de cet attribut dépend de la classe d'objet du groupe. Par exemple, Sun Java^TM System Enterprise Edition Directory Server et d'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut uniqueMember. D'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut membre.

   • Algorithme de hachage du mot de passe. Saisissez un algorithme pouvant être utilisé par Identity Manager pour hacher le mot de passe. Les valeurs prises en charge sont les suivantes :

     • SSHA,

     • SHA,

     • SMD5,

     • MD5.

     Si vous spécifiez 0 ou laissez ce champ vide, Identity Manager ne hachera pas les mots de passe et stockera les mots de passe en clair dans LDAP à moins que le serveur LDAP ne procède au hachage. Sun Java System Enterprise Edition Directory Server, par exemple, hache les mots.

   • Attribut de changement de nom. Cochez cette case pour autoriser les modifications visant à changer l'attribut utilisateur représentant le nom distinctif (DN) relatif le plus à gauche. Les modifications changent fréquemment les attributs de nommage en uid ou cn.

   • Méthode d’activation LDAP.

     • Laissez ce champ vide pour que la ressource utilise l'assignation de mots de passe pour les actions d'activation et de désactivation.

     • Saisissez le mot-clé nsmanageddisabledrole, le mot-clé nsaccountlock ou le nom de la classe à utiliser dans le cadre d'une action d'activation pour les utilisateurs de cette ressource.

   • Paramètre d’activation LDAP. Saisissez une valeur en fonction de la façon dont vous avez rempli le champ Méthode d’activation LDAP :

     • Si vous avez spécifié le mot-clé nsmanageddisabledrole, vous devez entrer une valeur au format suivant :

       IDMAttribute=CN=nsmanageddisabledrole,baseContext

     • Si vous avez spécifié le mot-clé nsaccountlock, vous devez entrer une valeur au format suivant :

       IDMAttribute=true

     • Si vous avez spécifié un nom de classe, vous devez entrer une valeur au format suivant :

       IDMAttribute

     ---

     Remarque –

     Pour plus d'informations sur les champs Méthode d'activation LDAP et Paramètre d'activation LDAP, voir le document Sun Identity Manager 8.1 Resources Reference.

     ---

   • Utiliser le contrôle des résultats paginés. Cochez cette case pour utiliser le contrôle des résultats paginés de LDAP à la place du contrôle VLV pour l’itérateur de compte lors de la réconciliation.

     ---

     Remarque –

     La ressource doit prendre en charge le contrôle de pagination simple.

     ---

   • Maintenir l’appartenance au groupe LDAP. Cochez cette case pour que l'adaptateur conserve l'appartenance au groupe LDAP lors du renommage ou de la suppression d'utilisateurs.

     Si vous n'activez pas cette option, la ressource LDAP conserve l'appartenance au groupe.

3. Testez la configuration de votre magasin de données en cliquant sur le bouton Vérifier la connexion.

   Un message s'affiche confirmant que la connexion a réussi ou indiquant une erreur de configuration.

4. Lorsque vous avez terminé, cliquez sur Enregistrer puis sur Suivant pour passer à la page Configuration de la notification de l’approvisionneur.

   ---

   Remarque –

   Pour pouvoir créer des utilisateurs sur une ressource LDAP, vous devez commencer par définir des attributs de compte valides, ainsi qu'un modèle d'identification.

   ---

Configuration de la notification de l’approvisionneur

Une fois le magasin de données des ressources externes configuré vous devez configurer les notifications aux approvisionneurs. Vous devez aussi configurer les notifications au demandeur. Cette section décrit le processus consistant à configurer les notifications utilisant l'e-mail ou Remedy.

Pour configurer la notification par e-mail

Pour plus d'informations sur les modèles d'e-mails, voir Configuration des modèles de tâches.

Utilisez les instructions suivantes pour configurer et envoyer des notifications par e-mail à un ou plusieurs approvisionneurs :

1. Dans la page Configuration de la notification de l’approvisionneur, sélectionnez E-mail dans le menu Type de notification de l’approvisionneur. Des options supplémentaires s'affichent comme indiqué sur la figure suivante.

   Figure 5–17 Page Configuration de la notification de l’approvisionneur : Type de notification de l’approvisionneur

   
   

2. Configurez les options suivantes :

   • Modèle de demande de provisioning. Choisissez Exemple de demande de provisioning externe dans le menu. Ce modèle d'e-mail permet de configurer l'e-mail utilisé pour avertir les approvisionneurs des demandes de ressources externes.

   • Suivre la délégation. Cochez cette case pour qu'Identity Manager suive les délégations définies pour l'approvisionneur.

   • Règle de signalisation à un approvisionneur (facultatif). Choisissez une règle pour déterminer l'approvisionneur auquel une requête sera signalée si l'approvisionneur courant ne répond pas à la demande dans le délai d'attente spécifié.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles sur ce menu, vous devez choisir l'exemple de règle Sample External Provisioner Escalation ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner Escalation utilise une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     ---

   • Délai de signalisation. Spécifiez la durée maximale qui devra s'écouler avant la signalisation d'une demande de provisioning à l'approvisionneur suivant.

     ---

     Remarque –

     • Si vous laissez ce champ vide ou saisissez un zéro, la demande ne sera jamais signalée.

     • Si vous spécifiez un délai d'attente sans sélectionner de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator quand celle-ci dépasse le délai d'attente spécifié. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

     ---

   • Formulaire de demande de provisioning. Choisissez un formulaire pouvant être utilisé par l'approvisionneur de ressources externes pour marquer une demande de provisioning comme étant terminée ou non terminée.

   • Règle pour les approvisionneurs. Vous devez choisir une règle pour définir l'approvisionneur auquel les demandes sont envoyées lorsque les ressources externes sont assignées aux utilisateurs.

     ---

     Remarque –

     • À ces fins, vous pouvez écrire vos propres règles. Vous pouvez aussi définir plusieurs approvisionneurs. Lorsqu'un approvisionneur termine la tâche, cette dernière est supprimée des files d'attente de tous les approvisionneurs. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     • Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Provisioner ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner fait de Configurator l'approvisionneur.

     ---

   • Avertir le demandeur Cochez cette case pour envoyer au demandeur d'origine un e-mail contenant des informations sur le traitement de la demande. Par exemple, si la demande de provisioning est ou non terminée, si des informations supplémentaires sont nécessaires, etc.

     Lorsque vous activez cette option, les champs supplémentaires suivants s'affichent :

     ---

     Remarque –

     • Modèle de demande de provisioning effectuée. Choisissez le Modèle de demande de provisioning effectuée pour avertir les demandeurs lorsque leurs demandes sont effectuées.

     • Modèle de demande de provisioning non effectuée. Choisissez le Modèle de demande de provisioning non effectuée pour avertir les demandeurs lorsque leurs demandes ne sont pas effectuées.

     ---

3. Cliquez sur Enregistrer.

   La page Configurer s'affiche indiquant que vous pouvez passer à l'exécution d'une autre tâche de configuration.

4. Allez à l'onglet Ressources -> Lister les ressources. Vous pouvez maintenant créer des ressources externes individuelles sur la base de cette configuration. Pour les instructions, voir Pour créer une ressource.

Pour configurer la notification via Remedy

Utilisez les instructions suivantes pour créer et envoyer un ticket Remedy aux approvisionneurs :

1. Sélectionnez Remedy dans le menu Type de notification de l’approvisionneur. Des options supplémentaires s'affichent comme indiqué sur la figure suivante.

   Figure 5–18 Page Configuration de la notification de l’approvisionneur : Type de notification Remedy

   
   

2. Configurez les options suivantes :

   • Modèle Remedy de demande de provisioning. Choisissez l'exemple de modèle Remedy externe dans le menu.

     ---

     Remarque –

     Identity Manager fournit un exemple de modèle Remedy que vous pouvez utiliser ou modifier selon vos besoins.

     ---

     Un modèle Remedy contient un ensemble de champs utilisé pour créer un ticket Remedy. Identity Manager utilise aussi ce modèle pour interroger Remedy sur le statut du ticket, pour voir si une tâche a été ou non effectuée.

   • Règle Remedy de demande de provisioning. Vous devez choisir une règle dans ce menu pour définir les paramètres de configuration pour Remedy.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Remedy Rule ou utiliser votre propre règle personnalisée. La règle Sample External Remedy Rule utilise une règle Remedy pour déterminer si le statut actuel d'un ticket Remedy est effectué ou non effectué.

     ---

     Un modèle Remedy contient un ensemble de champs utilisés pour créer un ticket Remedy. Identity Manager utilise aussi ce modèle pour interroger Remedy sur le statut du ticket, pour voir si une tâche a été ou non effectuée.

     Identity Manager utilise cette règle pour interroger un ticket Remedy afin d'obtenir les informations de statut. Si le statut du ticket est effectué ou non effectué, Identity Manager marque l'élément travail comme étant, dans l'ordre, effectué ou non effectué.

     ---

     Remarque –

     À ces fins, vous pouvez écrire vos propres règles. Un exemple de règle appelé Sample External Remedy Rule que vous pouvez utiliser ou modifier est fourni. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     ---

   • Suivre la délégation. Cochez cette case pour qu'Identity Manager suive les délégations définies pour l'approvisionneur.

   • Règle de signalisation à un approvisionneur (facultatif). Choisissez une règle pour déterminer l'approvisionneur auquel une demande sera signalée si l'approvisionneur courant n'y répond pas dans le délai d'attente spécifié.

     ---

     Remarque –

     Bien que plusieurs exemples de règles soient disponibles dans ce menu, vous devez choisir la règle Sample External Provisioner Escalation ou utiliser votre propre règle personnalisée. La règle Sample External Provisioner Escalation utilise une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     ---

   • Délai de signalisation. Spécifiez la durée maximale qui devra s'écouler avant la signalisation d'une demande de provisioning à l'approvisionneur suivant.

     ---

     Remarque –

     • Si vous laissez ce champ vide ou saisissez un zéro, la demande ne sera jamais signalée.

     • Si vous spécifiez un délai d'attente sans sélectionner de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator quand celle-ci dépasse le délai d'attente spécifié. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

     ---

   • Formulaire de demande de provisioning. Choisissez un formulaire pouvant être utilisé par l'approvisionneur de ressources externes pour marquer une demande de provisioning comme étant terminée ou non terminée.

   • Règle pour les approvisionneurs. Choisissez une règle qui détermine un ou plusieurs approvisionneurs pour cette demande de ressources externes.

     ---

     Remarque –

     À ces fins, vous pouvez écrire vos propres règles. Vous pouvez aussi définir plusieurs approvisionneurs. Lorsqu'un approvisionneur termine la tâche, cette dernière est supprimée des files d'attente de tous les approvisionneurs. Pour plus d'informations sur l'écriture de règles personnalisées, voir le Chapitre 4, Working with Rules du Sun Identity Manager Deployment Reference.

     ---

     • Exemple d'approvisionneur externe. Faites du Configurator l'approvisionneur.

     • Exemple de signalisation d'approvisionneur externe. Utilisez une règle External Provisioner Escalation pour déterminer un approvisionneur pour les signalisations.

     • Exemple de règle Remedy externe. Définit les paramètres du configurateur pour Remedy.

   • Avertir le demandeur Cochez cette case pour envoyer un e-mail au demandeur lorsque sa demande a été/n'a pas été effectuée. Lorsque vous activez cette option, les champs supplémentaires suivants s'affichent :

     • Modèle de demande de provisioning effectuée. Choisissez le modèle d'e-mail à utiliser lorsque les demandes ont été effectuées.

     • Modèle de demande de provisioning non effectuée. Choisissez le modèle d'e-mail à utiliser lorsque les demandes n'ont pas été effectuées.

     ---

     Remarque –

     Pour plus d'informations sur les modèles d'e-mails, voir Configuration des modèles de tâches.

     ---

3. Cliquez sur Enregistrer.

   La page Configurer s'affiche indiquant que vous pouvez passer à l'exécution d'une autre tâche de configuration.

4. Allez à l'onglet Ressources -> Lister les ressources. Vous pouvez maintenant créer des ressources externes individuelles sur la base de cette configuration. Pour les instructions, voir Création de ressources externes.

Création de ressources externes

Une fois le magasin de données des ressources externes et les notifications des approvisionneurs configurées, vous pouvez créer une nouvelle ressource externe.

Vous devez avoir la capacité Administrateur de ressources pour créer de nouvelles ressources externes.

Pour créer une nouvelle ressource externe, procédez comme suit:

1. Choisissez l'onglet Ressources dans la barre de menu principale. L'onglet Lister les ressources s'affiche par défaut.

2. Cliquez sur l'onglet Configurer les types pour ouvrir la page Configurer les ressources gérées.

   

3. Examinez le tableau Adaptateurs de ressources pour vérifier que le type Ressources externes est disponible.

4. Revenez à l'onglet Lister les ressources et choisissez Nouvelle ressource dans le menu Actions du type de ressources.

5. Lorsque la page Nouvelle ressource s'affiche, choisissez Externe dans le menu Type de ressource et cliquez sur Nouveau.

   

6. La page Bienvenue de l'assistant Create External Resource s'affiche. Cliquez sur Suivant.

   Une vue en lecture seule de la page Configuration du magasin de données s'affiche et indique les informations de connexion et d'authentification définies plus tôt.

   Comme mentionné précédemment, vous ne configurerez normalement qu'une fois ce magasin de données car la configuration s'applique à toutes les ressources externes. Si vous voulez changer certaines de ces informations, vous devez revenir à l'onglet Configurer -> Ressources externes.

   ---

   Remarque –

   Vous pouvez cliquer sur Vérifier la configuration, dans le bas de la page, pour retester la configuration de magasin de données courante avant d'aller plus loin.

   ---

7. Cliquez sur Suivant pour ouvrir la page Configuration de la notification de l’approvisionneur, qui est identique à celle configurée dans l'onglet Configurer -> Ressources externes.

8. Examinez les paramètres de notification d’approvisionneur actuels et apportez les changements nécessaires pour la nouvelle ressource.

   ---

   Remarque –

   Si nécessaire, reportez-vous aux instructions de configuration de Configuration de la notification de l’approvisionneur. Les changements apportés à cette page ne concerneront que cette ressource.

   ---

9. Cliquez sur Suivant.

   À partir de ce point, le processus de création d'une ressource externe est identique à celui utilisé pour créer toute autre ressource. L'assistant vous amène à plusieurs autres pages :

   • Page Attributs de compte. Cette page permet de définir des attributs de compte optionnels pour la ressource et de mapper les attributs du système Identity vers de nouveaux attributs de compte de ressource. Par exemple, si vous créez une ressource externe appelée « portable », vous pouvez vouloir ajouter des attributs pour le modèle et la taille.

     ---

     Remarque –

     Aucune valeur par défaut n'est précisée pour cette page.

     ---

   • Page Modèle d'identité. Cette page permet de définir la syntaxe des noms de comptes pour les utilisateurs créés sur cette ressource externe. Vous pouvez utiliser le modèle d'identité par défaut, $accountId$ ou en spécifier un autre.

   • Page Paramètres du système d’identité. Cette page permet de configurer les paramètres du système d'identité pour les ressources externes. Vous pouvez, par exemple, désactiver les stratégies, configurer les relances ou spécifier les approbateurs.

   Pour plus d'informations sur ces pages et les instructions nécessaires pour terminer la configuration de cette ressource, voir Pour créer une ressource.

10. Lorsque vous avez terminé de configurer la page Paramètres du système d'identité, cliquez sur Enregistrer. Vous pouvez maintenant assigner cette ressource à un utilisateur, comme vous le feriez pour n'importe quelle autre ressource.

Provisioning de ressources externes

Cette section détaille le processus de provisioning actuel et plus précisément :

• Pour assigner une ressource externe à un utilisateur ;

• Pour répondre à une demande de provisioning de ressource externe.

Pour assigner une ressource externe à un utilisateur

Utilisez les étapes suivantes pour assigner une ressource externe à un utilisateur :

Pour assigner des ressources externes, vous devez avoir la capacité Administrateur de ressources.

1. Cliquez sur Comptes -> Lister les comptes puis sur le nom de l'utilisateur dans la page qui s'affiche.

2. Lorsque la page Éditer l’utilisateur s'affiche, cliquez sur l'onglet Ressources.

3. Localisez la ressource externe dans la liste Ressources disponibles d'Assignation de ressource individuelle, déplacez-la dans la liste Ressources actuelles puis cliquez sur Enregistrer.

   Figure 5–19 Page Éditer l'utilisateur

   
   

   Identity Manager crée une tâche de provisioning et vous envoie un message indiquant quel en est le propriétaire. N'oubliez pas qu'un ou plusieurs approvisionneurs ont été définis, en utilisant la Règle pour les approvisionneurs, lors de la configuration de la page de notification des approvisionneurs pour cette ressource.

   Identity Manager avertit également les approvisionneurs qu'ils ont une demande en attente en utilisant un e-mail ou un ticket Remedy.

   ---

   Remarque –

   Comme avec d'autres ressources, vous pouvez définir des approbateurs, lesquels pourront approuver ou rejeter les demandes. Vous devez définir des approvisionneurs mais ceux-ci n'approuvent pas ni ne rejettent les requêtes : ils se limitent à terminer ou ne pas terminer pas les tâches.

   ---

4. Cliquez sur OK pour revenir à la page Comptes Lister les comptes. Vous remarquerez qu'un sablier s'affiche en regard du nom de l'utilisateur, dans l'icône d'élément de travail, pour indiquer que la demande est en attente.

Pour répondre à une demande de provisioning de ressource externe

Lorsqu'une demande de provisioning est générée, elle interrompt le processus de provisioning jusqu'à ce qu'un approvisionneur termine le provisioning manuel ou marque la demande comme non effectuée ou le délai d'attente comme dépassé. Identity Manager contrôle ces réponses du provisioning.

Comme avec tout autre élément de travail, vous pouvez examiner l'ensemble de vos demandes de provisioning de ressources externes depuis l'onglet Éléments de travail -> Demandes de provisioning.

Vous répondez aux demandes de provisioning comme suit :

1. Cliquez sur les onglets Éléments de travail > Demandes de provisioning pour ouvrir la page En attente de provisioning.

   Figure 5–20 Page En attente de provisioning

   
   

2. Localisez et sélectionnez la demande de provisioning en attente.

3. En option, vous pouvez ouvrir votre e-mail de demande de provisioning, cliquer sur un lien défini dans le Modèle de demande de provisioning et vous connecter pour afficher une page contenant les détails de la demande de provisioning.

   Cette page vous permet de mettre à jour tout attribut demandé de façon à refléter avec précision ce qui a été provisionné pour l'utilisateur. Par exemple, si l'utilisateur a demandé un ordinateur portable Sony, mais que ce modèle n'était pas disponible, vous pouvez mettre la page à jour avec le modèle effectivement provisionné.

   Figure 5–21 Demande de provisioning d'un nouvel ordinateur portable

   
   

4. Cliquez sur l'un des boutons suivants pour traiter la demande :

   • Si vous pouvez provisionner la ressource, cliquez sur Terminé(e).

     Identity Manager met à jour les attributs de compte de ressources externes de l'utilisateur pour indiquer qu'il a effectivement été provisionné, supprime l'indicateur d'état en attente de provisioning et termine l'élément de travail de demande de provisioning mis à jour.

     Selon la configuration, Identity Manager avertit également le demandeur que la demande de provisioning a été effectuée en utilisant le modèle d'e-mail configuré à cette fin.

   • Si vous ne pouvez pas provisionner la ressource, précisez le motif et cliquez sur Non terminé(e).

     Lorsque vous marquez une requête comme Non terminé(e) :

     • L'utilisateur n'est pas provisionné à la ressource externe.

     • La ressource externe reste assignée à l'utilisateur.

     • Une icône jaune indiquant qu'une mise à jour s'impose pour l'utilisateur s'affiche à proximité du nom de ce dernier.

       Si l'utilisateur est édité, un message d'erreur s'affiche indiquant qu'il est impossible de trouver l'utilisateur dans la ressource externe.

     • Selon la configuration, Identity Manager avertit également le demandeur en utilisant le modèle d'e-mail configuré à cette fin.

   • Si vous ne pouvez pas provisionner la ressource, vous pouvez aussi cliquer sur Transférer pour transférer la demande à un tiers.

   Une fois que l'élément de travail de demande de provisioning est effectué ou non effectué, Identity Manager efface l'état En attente de la ressource externe assignée et aucune mise à jour n'a lieu sur le magasin de données des ressources externes.

   La ressource s'affiche dans la liste des ressources assignées de l'utilisateur et dans celle des comptes de ressources actuels, avec l'ID de compte de l'utilisateur sur cette ressource.

   ---

   Remarque –

   Si l'approvisionneur assigné ne répond pas à une demande de provisioning avant le délai d'attente spécifié, Identity Manager annule l'élément de travail de demande de provisioning associé.

   ---

Réassignation des demandes de provisioning

• Si vous avez spécifiez un délai d'attente lors de la configuration de la page de notification de l'approvisionneur et qu'une demande de provisioning dépasse le délai d'attente, Identity Manager effectue l'une des actions suivantes :

  • Si vous avez spécifié une Règle de signalisation à un approvisionneur, Identity Manager l'utilisera pour déterminer l'approvisionneur suivant et réassignera la demande à cet approvisionneur.

  • Si vous n'avez pas spécifié de Règle de signalisation à un approvisionneur, Identity Manager signale la demande au Configurator. En l'absence de Configurator, la demande est classée comme « not complete » (non terminée) à l'expiration du délai d'attente.

• Si vous laissez le champ du délai d'attente de signalisation vide ou y indiquez un zéro, Identity Manager ne signalera jamais la demande.

Délégation des demandes de provisioning

Vous pouvez déléguer les éléments de travail de provisioning externe comme toutes les autres demandes de provisioning. Pour plus d'informations et les instructions, voir Délégation des éléments de travail.

Annulation des assignations et suppression des liens des ressources externes

Vous pouvez annuler les assignations ou supprimer les liens de ressources externes depuis un utilisateur, depuis l'onglet Général comme avec toute autre ressource. Création d'utilisateurs et utilisation des comptes utilisateur,

L'annulation de l'assignation ou la suppression du lien d'une ressource externe d'un utilisateur ne crée pas de demande de provisioning ni d'élément de travail. Lorsque vous annulez l'assignation ou supprimez le lien d'une ressource externe, Identity Manager ne suspend pas ni ne supprime le compte de la ressource, vous n'avez donc rien à faire.

Dépannage des ressources externes

Vous ne pouvez pas supprimer des utilisateurs qui ont encore des ressources externes assignées. Vous devez d'abord suspendre ou supprimer ces ressources externes pour pouvoir supprimer les utilisateurs.

Identity Manager vous permet d'utiliser les méthodes suivantes pour déboguer et suivre les ressources externes :

• Vous pouvez suivre l'adaptateur Ressources externes.

  • Si le magasin de données que vous utilisez est une base de données, suivez les noms de classe de suivi com.waveset.adapter.ScriptedJdbcResourceAdapter et com.waveset.adapter.JdbcResourceAdapter.

  • Si le magasin de données que vous utilisez est un annuaire, suivez le nom de classe de suivi com.waveset.adapter.LDAPResourceAdapter.

• Vous pouvez utiliser le suivi des flux de travaux pour suivre des flux de données et de travaux supplémentaires et utiliser le plug-in NetBeans ou Eclipse Identity Manager IDE pour le débogage.

• Étant donné que vous configurez et contrôlez le magasin de données, vous pouvez utiliser l'inspection du magasin de données pour assurer que ce dernier contienne les informations adéquates.

• Identity Manager écrit des enregistrements d'audit pour toutes les activités qui ont lieu.

Pour plus d'informations sur le suivi et le dépannage, voir le Sun Identity Manager 8.1 System Administrator’s Guide.