Guide d'utilisation de l'application utilisateur
Novell
®
Module de provisioning basé sur les rôles
Identity Manager
4.0
15 octobre 2010
www.novell.com
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Mentions légales
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications
à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous vous engagez à respecter toutes les réglementations de contrôle des exportations et à vous procurer les licences et classifications nécessaires pour exporter, réexporter ou importer des produits livrables. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes noires d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell (http:// www.novell.com/info/exports/) pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations d'exportation nécessaires.
Copyright © 2010 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
États-Unis www.novell.com
Documentation en ligne : pour accéder à la documentation en ligne la plus récente de ce produit et des autres produits Novell ou pour obtenir des mises à jour, reportez-vous au site Novell de documentation
(http://www.novell.com/documentation) .
Marques de Novell
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell (http://www.novell.com/company/legal/trademarks/tmlist.html) .
Éléments tiers
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.
4
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Table des matières
Partie I Bienvenue dans Identity Manager
15
Si vous êtes invité à fournir des informations supplémentaires . . . . . . . . . . . . . . . . . 23
Partie II Utilisation de l'onglet Self-service d'identité 33
2 Présentation de l'onglet Self-service d'identité
35
3 Utilisation de l'Organigramme
41
Recherche d'un utilisateur dans un organigramme . . . . . . . . . . . . . . . . . . . . . . . . . 53
Envoi d'un courrier électronique à l'équipe d'un responsable . . . . . . . . . . . . . . . . . . 57
Table des matières
5
4 Utilisation du rapport d'associations
59
63
Définition du paramètre régional préféré dans le navigateur. . . . . . . . . . . . . . . . . . . 77
6 Utilisation de la recherche dans l'annuaire
79
101
8 Création d'utilisateurs ou de groupes
107
6
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Partie III Utilisation de l'onglet Tableau de bord de travail 117
9 Présentation de l'onglet Tableau de bord de travail
119
139
Rafraîchissement de la liste des assignations de ressources . . . . . . . . . . . . . . . . . 162
Personnalisation de l'affichage de la liste des assignations de ressources. . . . . . . 163
Personnalisation de l'affichage de la liste des assignations de rôles . . . . . . . . . . . 171
Contrôle du nombre d'éléments affichés sur une page . . . . . . . . . . . . . . . . . . . . . . 186
Table des matières
7
11 Gestion du travail des utilisateurs, groupes, conteneurs, rôles et équipes
191
197
Création ou modification d'un paramètre de disponibilité . . . . . . . . . . . . . . . . . . . . 205
13 Effectuer une requête de processus
233
14 Lancement du module de création de rapports Identity
237
Partie IV Utilisation de l'onglet Rôles et ressources 241
15 Présentation de l'onglet Rôles et ressources
243
8
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
16 Gestion des rôles dans l'application utilisateur
257
17 Gestion des ressources dans l'application utilisateur
273
18 Gestion de la séparation des tâches dans l'application utilisateur
297
Édition d'une contrainte existante de séparation des tâches. . . . . . . . . . . . . . . . . . 300
Suppression des contraintes de séparation des tâches . . . . . . . . . . . . . . . . . . . . . 300
Rafraîchissement de la liste de contraintes de séparation des tâches . . . . . . . . . . 300
19 Création et affichage des rapports
301
20 Configuration des paramètres des rôles et des ressources
313
Table des matières
9
Partie V Utilisation de l'onglet Conformité 317
21 Présentation de l'onglet Conformité
319
22 Réalisation des requêtes d'attestation
335
10
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
À propos de ce guide
Ce manuel décrit l'interface utilisateur de l'application utilisateur Novell Identity Manager et ses fonctions :
Self-service d'identité (pour les informations de l'utilisateur, les mots de passe et les répertoires)
Tableau de bord de travail (pour effectuer des requêtes de rôle, de ressource et de provisioning et gérer les tâches d'approbation relatives à ces requêtes)
Rôles et ressources (pour gérer les rôles et les ressources)
Conformité (pour la conformité réglementaire et l'attestation)
Public
Les informations de ce manuel sont destinées à l'utilisateur final de l'interface utilisateur Identity
Manager.
Conditions préalables
Ce guide suppose que vous utilisez la configuration par défaut de l'interface utilisateur Identity
Manager. Il est néanmoins possible que votre version de l'interface utilisateur ait été personnalisée et présente un aspect et un fonctionnement différents.
Avant de démarrer, vérifiez auprès de votre administrateur système les informations relatives aux
éventuelles modifications personnalisées que vous pouvez rencontrer.
Organisation
Voici un résumé de ce que trouverez dans ce manuel :
Partie
Partie I, « Bienvenue dans Identity Manager », page 13
Partie II, « Utilisation de l'onglet Self-service d'identité », page 33
Description
Introduction à l'interface utilisateur Identity
Manager et à son utilisation
Utilisation de l'onglet Self-service d'identité de l'interface utilisateur Identity Manager pour afficher et utiliser les informations d'identité, notamment :
Organigrammes
Profils (vos détails d'identité)
Recherche dans l'annuaire
Mots de passe
Comptes utilisateur (etc.)
À propos de ce guide
11
Partie
Partie III, « Utilisation de l'onglet Tableau de bord de travail », page 117
Partie IV, « Utilisation de l'onglet Rôles et ressources », page 241
Partie V, « Utilisation de l'onglet Conformité », page 317
Description
Utilisation de l'onglet Tableau de bord de travail de l'interface utilisateur d'Identity Manager pour :
Gérer les notifications de tâches
Gérer les assignations de rôles
Gérer les assignations de ressources
Afficher l'état des requêtes de rôle, de ressource et de processus
Utilisation de l'onglet Rôles et ressources de l'interface utilisateur d'Identity Manager pour :
Faire des requêtes de rôles pour vous ou d'autres utilisateurs de votre organisation
Créer des rôles et des relations de rôles dans la hiérarchie de rôles
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle
Consulter les rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs
Utilisation de l'onglet Conformité de l'interface utilisateur d'Identity Manager pour :
Faire des requêtes pour les processus d'attestation de profil utilisateur
Faire des requêtes pour les processus d'attestation de violation de séparation des tâches (SoD, Separation of Duties)
Faire des requêtes pour les processus d'attestation d'assignation de rôle
Faire des requêtes pour les processus d'attestation d'assignation d'utilisateur
Commentaires
Nous souhaiterions connaître vos commentaires et suggestions sur ce guide et les autres documentations fournies avec ce produit. Utilisez la fonction Commentaires proposée au bas de chaque page de la documentation en ligne ou accédez à la page Web www.novell.com/ documentation/feedback.html (en anglais).
Mises à jour de la documentation
Pour obtenir la version la plus récente du Guide d'utilisation de l'application utilisateur IDM, visitez le site Web Identity Manager Web (http://www.novell.com/documentation/idmrbpm37/) .
12
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Bienvenue dans Identity Manager
Lisez d'abord cette section pour découvrir l'application utilisateur Identity Manager et savoir comment commencer à l'utiliser.
Chapitre 1, « Mise en route », page 15
I
Bienvenue dans Identity Manager
13
14
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Mise en route
Cette section indique comment commencer à utiliser l'application utilisateur Identity Manager. Les rubriques incluent :
Section 1.1, « Identity Manager et vous », page 15
Section 1.2, « Accès à l'application utilisateur Identity Manager », page 20
Section 1.3, « Login », page 21
Section 1.4, « Exploration de l'application utilisateur », page 23
Section 1.5, « Étapes suivantes », page 31
1.1 Identity Manager et vous
Novell Identity Manager est un logiciel système qui permet à votre entreprise de gérer en toute sécurité les besoins d'accès de sa communauté d'utilisateurs. Si vous êtes membre de cette communauté d'utilisateurs, vous bénéficiez Identity Manager de plusieurs manières. Par exemple,
Identity Manager permet à votre entreprise :
D'offrir aux utilisateurs l'accès aux informations (recherche d'organigrammes de groupe, de pages blanches du service ou d'employés) ainsi qu'aux rôles et aux ressources (équipements ou comptes sur les systèmes internes) dont ils ont besoin, dès le départ
De synchroniser plusieurs mots de passe dans un seul login pour tous les systèmes
De modifier ou révoquer des droits d'accès de façon instantanée si nécessaire (par exemple lorsqu'une personne est transférée dans un groupe différent ou quitte l'entreprise)
De respecter la conformité vis-à-vis des réglementations gouvernementales
Pour vous apporter directement ces avantages, à vous et à votre équipe, l'application utilisateur
Identity Manager est dotée d'une interface utilisateur à laquelle vous pouvez accéder depuis votre navigateur Web.
1.1.1 Présentation de l'application utilisateur Identity Manager
L'application utilisateur Identity Manager constitue votre fenêtre sur les informations, les rôles, les ressources et les fonctionnalités d'Identity Manager. Votre administrateur système détermine les détails de ce que vous pouvez afficher et faire dans l'application utilisateur Identity Manager. En général, il s'agit des éléments suivants.
Self-service d'identité, qui permet :
D'afficher des organigrammes
De générer des rapports d'applications associés à un utilisateur si vous êtes administrateur
(Le module de provisioning basé sur les rôles Identity Manager est requis.)
De modifier les informations de votre profil
D'effectuer une recherche dans un répertoire
De modifier le mot de passe, la stimulation-réponse de mot de passe et l'indice de mot de passe
1
Mise en route
15
De consulter l'état de votre stratégie de mot de passe et l'état de synchronisation du mot de passe
De créer des comptes pour les utilisateurs ou les groupes nouveaux (si vous y êtes autorisé)
Rôles, qui permettent :
De faire des requêtes d'assignation de rôle et gérer le processus d'approbation associé
De vérifier l'état de vos requêtes de rôle
De définir les rôles et les relations de rôle
De définir les contraintes SoD et gérer le processus d'approbation en cas de requête d'annulation de contrainte faite par un utilisateur
De parcourir le catalogue de rôles
D'afficher les rapports détaillés répertoriant les rôles et les contraintes SoD définis dans le catalogue, ainsi que l'état des assignations de rôle, les exceptions SoD et les droits des utilisateurs
Ressources, qui permettent :
De formuler des requêtes d'assignation de ressource et gérer le processus d'approbation associé
De vérifier l'état de vos requêtes de ressource
De parcourir le catalogue de ressources
Processus de workflow, qui permettent :
De demander des processus de workflow personnalisés
De vérifier l'approbation de vos requêtes de rôle, de ressource et de processus
De travailler aux tâches qui vous sont assignées pour approuver d'autres requêtes
D'effectuer des requêtes et des approbations de processus en tant que proxy ou délégué pour un autre utilisateur
D'assigner un autre utilisateur devant être votre proxy ou votre délégué (si vous y êtes autorisé)
De gérer toutes ces fonctions de requête et d'approbation pour votre équipe (si vous y êtes autorisé)
Conformité, qui permet :
De demander un processus d'attestation de profil utilisateur
De demander un processus d'attestation de violation de séparation des tâches (SoD,
Separation of Duties)
De demander un processus d'attestation d'assignation de rôle
De demander un processus d'attestation d'assignation utilisateur
16
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
1.1.2 Présentation générale
Figure 1-1
L'application utilisateur IDM fournit l'interface utilisateur Identity Manager
1.1.3 Utilisations typiques
Voici quelques exemples d'utilisation classique de l'application utilisateur Identity Manager au sein d'une entreprise.
Mise en route
17
Utilisation du Self-service d'identité
Ella (une utilisatrice finale) récupère son mot de passe oublié par l'intermédiaire des fonctions du self-service d'identité lorsqu'elle se logue.
Erik (un utilisateur final) recherche tous les employés parlant l'allemand sur son lieu de travail.
Eduardo (un utilisateur final) navigue dans l'organigramme, trouve Ella, puis clique sur une icône représentant une enveloppe pour lui envoyer un message.
Utilisation des rôles et des ressources
Maxine (gestionnaire de rôles) crée les rôles métier Infirmière et Docteur, ainsi que les rôles IT
Administration de médicaments et Délivrance d'ordonnances. Maxine crée plusieurs ressources nécessaires à ces rôles et les associe à ces derniers.
Maxine (un gestionnaire de rôles) définit une relation entre les rôles Infirmière et
Administration de médicaments en spécifiant que le premier rôle inclut le deuxième. Max définit également une relation entre les rôles Docteur et Délivrance d'ordonnances en spécifiant que le premier rôle inclut le deuxième.
Chester (un responsable de la sécurité) définit une contrainte SoD qui spécifie la présence d'un conflit potentiel entre les rôles Docteur et Infirmière. Cela signifie qu'un utilisateur donné ne peut pas être assigné aux deux rôles à la fois. Dans certains cas, un utilisateur qui fait une requête d'assignation de rôle peut souhaiter annuler cette contrainte. Pour définir une exception
SoD, l'utilisateur qui demande l'assignation doit donner une justification.
Ernest (un utilisateur final) parcourt une liste de rôles à sa disposition et fait une requête d'assignation pour le rôle d'infirmière.
Amy (une approbatrice) reçoit une notification de requête d'approbation par courrier
électronique (avec un lien URL). Elle clique sur le lien, voit s'afficher un formulaire d'approbation, puis l'approuve.
Arnold (un gestionnaire de rôles) demande que le rôle Docteur soit assigné à Ernest. Il reçoit une notification l'informant qu'un conflit potentiel existe entre le rôle Docteur et le rôle
Infirmière, auquel Ernest a déjà été assigné. Il fournit une justification pour prouver la nécessité de faire une exception de contrainte SoD.
Edward (un approbateur SoD) reçoit une notification de conflit SoD par courrier électronique.
Il approuve la demande d'Arnold concernant l'annulation de la contrainte SoD.
Amélia (une approbatrice) reçoit une notification de requête d'approbation pour le rôle Docteur par courrier électronique. Elle approuve la requête d'Arnold concernant l'assignation d'Ernest au rôle Docteur.
Bill (auditeur de rôles) vérifie le rapport des violations et des exceptions SoD et remarque qu'Ernest a été assigné à la fois au rôle Docteur et au rôle Infirmière. De plus, il constate qu'Ernest a été assigné aux ressources associées à ces rôles.
Utilisation des requêtes de processus
Ernie (un utilisateur final) parcourt la liste des ressources qui sont à sa disposition et demande l'accès au système Siebel
*
.
Amy (une approbatrice) reçoit la notification d'une requête d'approbation par courrier
électronique (contenant une URL). Elle clique sur le lien, voit s'afficher un formulaire d'approbation, et l'approuve.
18
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Ernie vérifie l'état de sa requête précédente concernant l'accès à Siebel (qui est passée à une seconde personne pour approbation). Il voit qu'elle est toujours en cours de traitement.
Amy part en vacances et indique qu'elle sera temporairement indisponible. À présent, les nouvelles tâches d'approbation lui sont assignées pendant son absence.
Amy ouvre sa liste de tâches d'approbation, voit qu'elle en contient trop pour qu'elle puisse y répondre à temps et en réassigne plusieurs à des collaborateurs.
Patricia (une assistante administrative) agit en tant qu'utilisateur proxy pour Amy et ouvre la liste de tâches de cette dernière afin d'effectuer une tâche d'approbation pour son compte.
Max (un gestionnaire) consulte les listes de tâches des employés de son service. Il sait qu'Amy est en vacances et réassigne ses tâches aux autres personnes du service.
Max effectue une requête pour un compte de base de données d'une personne de son service qui travaille sous son autorité directe.
Max assigne Dan en tant que délégué autorisé pour Amy.
Dan (désormais approbateur délégué) reçoit les tâches d'Amy lorsqu'elle n'est pas disponible.
Max engage un stagiaire non rémunéré, qui ne doit pas figurer dans le système des RH.
L'administrateur système crée l'enregistrement de l'utilisateur pour ce stagiaire et demande que lui soit accordé l'accès à Notes, Active Directory* et Oracle*.
Utilisation des fonctions de conformité
Maxine (un gestionnaire de rôles) crée les rôles métier Infirmière et Docteur, ainsi que les rôles
IT Administration de médicaments et Délivrance d'ordonnances.
Maxine (un gestionnaire de rôles) définit une relation entre les rôles Infirmière et
Administration de médicaments en spécifiant que le premier rôle inclut le deuxième. Max définit également une relation entre les rôles Docteur et Délivrance d'ordonnances en spécifiant que le premier rôle inclut le deuxième.
Chester (un responsable de la sécurité) définit une contrainte SoD qui spécifie la présence d'un conflit potentiel entre les rôles Docteur et Infirmière. Cela signifie qu'un utilisateur donné ne peut pas être assigné aux deux rôles à la fois. Dans certains cas, un utilisateur qui fait une requête d'assignation de rôle peut souhaiter annuler cette contrainte. Pour définir une exception
SoD, l'utilisateur qui demande l'assignation doit donner une justification.
Arnold (un gestionnaire de rôles) demande que le rôle Docteur soit assigné à Ernest. Il reçoit une notification l'informant qu'un conflit potentiel existe entre le rôle Docteur et le rôle
Infirmière, auquel Ernest a déjà été assigné. Il fournit une justification pour prouver la nécessité de faire une exception de contrainte SoD.
Philippe (administrateur du module Conformité) initie un processus d'attestation d'assignation de rôle pour le rôle Infirmière.
Fiona (chargée d'attestation) reçoit une notification de la tâche d'attestation par courrier
électronique (avec un lien URL). Elle clique sur le lien et voit s'afficher un formulaire d'attestation. Elle apporte une réponse affirmative à la question d'attestation, indiquant ainsi que les informations sont correctes.
Mise en route
19
Philippe (administrateur du module Conformité) initie un nouveau processus de requête d'attestation de profil utilisateur pour les utilisateurs du groupe des ressources humaines.
Chaque utilisateur du groupe des ressources humaines reçoit une notification de la tâche d'attestation par courrier électronique (avec un lien URL). Chaque utilisateur clique sur le lien et voit s'afficher un formulaire d'attestation. Ce formulaire permet à l'utilisateur de vérifier les valeurs des attributs de profil utilisateur. Après avoir vérifié les informations, chaque utilisateur répond à la question d'attestation.
1.2 Accès à l'application utilisateur Identity
Manager
Lorsque vous êtes prêt à utiliser l'application utilisateur Identity Manager, tout ce dont vous devez disposer sur votre ordinateur est un navigateur Web. Identity Manager est compatible avec la plupart des versions de navigateurs les plus courants ; consultez votre administrateur système pour connaître la liste des navigateurs compatibles ou pour obtenir de l'aide afin d'en installer un.
Grâce à un navigateur, l'application utilisateur Identity Manager est d'accès aussi simple que n'importe quelle page Web.
Remarque : pour utiliser l'application utilisateur Identity Manager, activez le niveau de confidentialité (au moins Moyenne des cookies dans Internet Explorer) et JavaScript* dans votre navigateur Web. Si vous exécutez Internet Explorer, vous devez aussi sélectionner l'option À chaque
visite de cette page Web sous Outils > Options Internet > Général, Historique de navigation >
Paramètres > Vérifier s'il existe une version plus récente des pages enregistrées. Si cette option n'est pas sélectionnée, il se peut que certains boutons ne s'affichent pas correctement.
Pour accéder à l'application utilisateur Identity Manager, ouvrez un navigateur Web et connectezvous à l'adresse (URL) de l'application utilisateur Identity Manager (fournie par votre administrateur système), par exemple http://monserveurapp:8080/IDM.
Par défaut, cela vous donne accès à la page Bienvenue invité de l'application utilisateur :
20
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 1-2
La page Bienvenue invité de l'application utilisateur
D'ici, vous pouvez vous loguer à l'application utilisateur pour accéder à ses fonctions.
1.2.1 Il se peut que votre application utilisateur ait un aspect différent
Si vous voyez une première page différente lorsque vous accédez à l'application utilisateur Identity
Manager, cela vient généralement du fait que l'application a été personnalisée par votre entreprise. À mesure que vous avancez dans votre travail, il se peut que vous remarquiez d'autres fonctions de l'application utilisateur ayant été personnalisées.
Si tel est le cas, interrogez votre administrateur système pour savoir en quoi votre application utilisateur personnalisée diffère de la configuration par défaut décrite dans ce guide.
1.3 Login
Vous devez être un utilisateur autorisé pour vous loguer à l'application utilisateur Identity Manager depuis la page Bienvenue invité. Si vous avez besoin d'aide pour obtenir un nom d'utilisateur et un mot de passe à fournir lors du login, consultez votre administrateur système.
Pour vous loguer à l'application utilisateur Identity Manager :
1 Dans la page Bienvenue invité, cliquez sur le lien Login (dans l'angle supérieur droit).
L'application utilisateur vous demande votre nom d'utilisateur et votre mot de passe :
Mise en route
21
2 Saisissez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Login.
1.3.1 Si vous oubliez votre mot de passe
Si vous avez oublié le mot de passe, vous pouvez utiliser le lien Mot de passe oublié ? pour obtenir de l'aide. Lorsque vous êtes invité à vous loguer, ce lien apparaît sur la page par défaut. Vous pouvez en bénéficier si votre administrateur système a configuré une stratégie de mot de passe pour vous.
Pour utiliser la fonction Mot de passe oublié :
1 Lorsque vous êtes invité à vous loguer, cliquez sur le lien Mot de passe oublié ? liaison.
Vous êtes ensuite invité à fournir votre nom d'utilisateur :
2 Saisissez votre nom d'utilisateur et cliquez sur Soumettre.
Si Identity Manager répond qu'il ne trouve aucune stratégie de mot de passe qui vous corresponde, prenez contact avec votre administrateur système pour obtenir de l'aide.
22
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Répondez aux stimulations-questions qui s'affichent et cliquez sur Soumettre. Par exemple :
Répondez aux questions de vérification d'identité pour obtenir de l'aide à propos de votre mot de passe. En fonction du mode selon lequel l'administrateur système a configuré votre stratégie de mot de passe, vous pouvez :
Afficher un indice relatif à votre mot de passe
Recevoir un courrier électronique contenant votre mot de passe ou un indice associé à ce dernier
Être invité à réinitialiser votre mot de passe
1.3.2 Si vous rencontrez des difficultés pour vous loguer
Si vous ne parvenez pas à vous loguer à l'application utilisateur Identity Manager, vérifiez que vous utilisez le nom d'utilisateur correct et que vous saisissez correctement le mot de passe (orthographe, respect des majuscules et des minuscules, etc.). Si le problème persiste, consultez votre administrateur système. Il peut être utile que vous fournissiez des détails concernant le problème que vous rencontrez (par exemple des messages d'erreur).
1.3.3 Si vous êtes invité à fournir des informations supplémentaires
Il se peut que vous soyez invité à fournir des informations supplémentaires dès que vous vous loguez dans l'application utilisateur Identity Manager. Cela dépend entièrement de la manière dont votre administrateur système a défini votre stratégie de mot de passe (le cas échéant). Par exemple :
S'il s'agit de votre premier login, il se peut que vous soyez invité à définir vos stimulations questions et réponses, ou l'indice de votre mot de passe
Si votre mot de passe a expiré, il se peut que vous soyez invité à le réinitialiser
1.4 Exploration de l'application utilisateur
Lorsque vous vous êtes logué, l'application utilisateur Identity Manager affiche les pages à onglets dans lesquelles vous travaillez.
Mise en route
23
Figure 1-3
Écran affiché lors du login
Si vous regardez dans la partie supérieure de l'application utilisateur, vous voyez les principaux onglets :
Self-service d'identité (ouvert par défaut)
Pour en savoir plus sur cet onglet et sur son utilisation, reportez-vous à la
Partie II, « Utilisation de l'onglet Self-service d'identité », page 33 .
Tableau de bord de travail
Pour en savoir plus sur cet onglet et sur son utilisation, reportez-vous à la Partie III,
« Utilisation de l'onglet Tableau de bord de travail », page 117 .
Rôles et ressources
Pour en savoir plus sur cet onglet et sur son utilisation, reportez-vous à la Partie IV,
« Utilisation de l'onglet Rôles et ressources », page 241 .
Conformité
.
Remarque : le contenu de l'écran affiché peut varier selon les autorisations de sécurité que vous avez reçues.
Pour ouvrir un autre onglet, il suffit de cliquer dessus.
1.4.1 Accès à l'aide
Lorsque vous travaillez avec l'application utilisateur Identity Manager, vous pouvez afficher l'aide en ligne pour obtenir la documentation relative à l'onglet que vous utilisez.
1 Ouvrez l'onglet sur lequel vous voulez obtenir des informations (par exemple, Rôles et
ressources ou Conformité).
24
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Cliquez sur le lien Aide (situé dans le coin supérieur droit de la page).
La page d'aide de l'onglet ouvert s'affiche. La page d'aide contient un lien vers des informations plus détaillées incluses dans la documentation sur le site Web de Novell.
1.4.2 Paramètres régionaux préférés
Si votre administrateur a sélectionné l'option Activer la vérification des paramètres régionaux dans l'écran Administration > Configuration de l'application > Config. module mot de passe > Login, vous êtes invité à sélectionner vos propres paramètres régionaux préférés la première fois que vous vous loguez.
1 Lorsque vous y êtes invité, pour ajouter une langue préférée en ouvrant la liste Paramètres
régionaux disponibles, faites une sélection et cliquez sur Ajouter.
Pour plus d'informations, reportez-vous à la Section 5.6, « Choix de la langue », page 76
.
1.4.3 Logout
Lorsque vous avez terminé d'utiliser l'application utilisateur Identity Manager et que souhaitez terminer votre session, vous pouvez vous déloguer.
1 Cliquez sur le lien Logout (situé dans l'angle supérieur droit de la page).
Mise en route
25
1.4.4 Principales opérations utilisateur
L'application utilisateur offre une interface utilisateur cohérente dotée des principales opérations de l'utilisateur pour accéder aux données et les afficher. Cette section décrit quelques-uns des principaux composants de l'interface utilisateur et comporte des instructions pour les éléments suivants :
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
« Filtrage des données » page 30
« Utilisation de la fonction de frappe intuitive » page 31
Tableau 1-1
Principaux boutons
Bouton Description
Sélecteur d'objet. Cette fonction permet d'accéder à une boîte de dialogue ou
à une fenêtre de recherche. Vous pouvez saisir des critères de recherche pour différents types d'objets en fonction de l'endroit où vous vous trouvez dans l'application utilisateur. Dans l'onglet Self-service d'identité, par exemple, vous pouvez rechercher des utilisateurs et des groupes tandis que dans l'onglet
Rôles vous pouvez rechercher des utilisateurs, des groupes et des rôles.
Reportez-vous à la section
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
26
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Bouton Description
Afficher l'historique. Cette fonction fournit des liens vers des données auxquelles vous avez déjà accédé. Vous pouvez sélectionner le lien pour afficher les données correspondant à la sélection précédente. Si vous avez récemment travaillé sur un élément, cliquez sur Afficher l'historique plutôt que d'effectuer une recherche pour gagner du temps.
Réinitialiser. Cette fonction annule la sélection courante.
Localiser. Affiche une boîte de dialogue dans laquelle vous pouvez saisir le texte correspondant à un nom de champ ou à une description dans toutes les langues prises en charge par l'application utilisateur.
Mise en route
27
Bouton Description
Ajouter. Ajoute un nouvel élément ou objet. Vous devez fournir des informations supplémentaires spécifiques au type d'objet que vous ajoutez.
Supprimer. Supprime l'élément sélectionné.
Flèche haut ou flèche bas. Déplace l'objet sélectionné en haut ou en bas de la liste.
Légende. Fournit une description des symboles de l'interface utilisateur.
Utilisation du bouton de sélecteur d'objet pour effectuer une recherche
Pour utiliser le bouton Sélecteur d'objet :
1 Cliquez sur . La boîte de dialogue Rechercher s'affiche :
28
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Spécifiez vos critères de recherche comme suit :
2a Utilisez la liste déroulante pour sélectionner un champ sur lequel effectuer une recherche.
Les champs affichés dans la liste déroulante varient en fonction de l'endroit à partir duquel vous avez lancé la recherche. Dans cet exemple, vous pouvez indiquer Nom ou
Description.
2b Dans la zone de texte à côté de la liste déroulante, saisissez tout ou partie du texte des critères de recherche (comme le nom ou la description). La recherche permet de trouver toutes les occurrences du type d'objet que vous recherchez et qui commencent par le texte que vous avez saisi. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. En guise d'illustration, tous les exemples de recherche suivants trouvent le rôle Infirmière : i
Infirmière i*
3 Cliquez sur Rechercher.
Les résultats de la recherche s'affichent. Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne. Cet exemple montre une liste des rôles.
à l'
.
4 Sélectionnez l'élément de votre choix dans la liste. La page de recherche se ferme et les données associées à votre sélection sont insérées dans la page courante.
Mise en route
29
Filtrage des données
Les onglets Tableau de bord de travail et Rôles et ressources de l'application utilisateur fournissent des filtres qui permettent d'afficher uniquement les données qui vous intéressent. Vous pouvez
également limiter le volume de données par page à l'aide du paramètre Maximum de lignes par page.
Voici quelques exemples de filtres :
Filtrage par assignation de rôle ou de ressource et par source (disponible dans les opérations
Assignations de rôles et Assignations de ressources)
Filtrage par nom de rôle ou de ressource, utilisateur et état (disponible dans l'opération État des requêtes)
Filtrage par niveau et catégorie de rôle (disponible dans l'opération Catalogue de rôles)
Pour utiliser le filtrage :
1 Spécifiez une valeur dans un champ de texte (par exemple, le champ Nom du rôle ou
Description) de la boîte de dialogue Filtre comme suit :
1a Pour limiter les éléments à ceux commençant par une chaîne de caractères particulière, saisissez tout ou partie de la chaîne de caractères. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. Le filtre appliqué se base sur le premier caractère du nom d'affichage.
i i*
En guise d'illustration, tous les exemples de recherche suivants trouvent l'assignation de rôle correspondant à Infirmière :
Infirmière
Remarque : un filtre sur le nom de rôle ne permet pas de limiter le nombre d'objets provenant du coffre-fort d'identité. Il permet simplement de limiter les objets affichés sur la page en fonction des critères de filtre. En revanche, d'autres filtres (tels que le filtre
État) limitent le nombre d'objets provenant du coffre-fort d'identité.
1b Pour filtrer davantage les éléments affichés, vous pouvez spécifier des critères de filtre supplémentaires. L'application utilisateur permet de sélectionner les critères de différentes manières en fonction des données. Vous pouvez cocher une case ou sélectionner un ou plusieurs éléments dans une liste (à l'aide des touches de sélection multiple de vos platesformes). Les critères sont définis avec l'opérateur booléen ET. Seuls les éléments qui correspondent à tous les critères sont donc affichés.
1c Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
1d Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Effacer.
2 Pour définir le nombre maximum d'éléments affichés par page correspondant au filtre par critères, sélectionnez un nombre dans la liste déroulante Lignes.
30
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de la fonction de frappe intuitive
Beaucoup de contrôles AJAX au sein de l'application utilisateur prennent en charge le traitement de frappe intuitive intelligente. Cette prise en charge réduit le nombre de touches nécessaires à la localisation des éléments voulus. Pour tirer parti de cette fonction, tapez simplement quatre caractères ou plus dans le contrôle et sélectionnez l'un des éléments correspondants dans la liste déroulante générée automatiquement.
Exemple d'utilisation de la fonction de frappe intuitive pour rechercher tous les rôles commençant par les lettres
Administrateur de re
:
Si vous saisissez une chaîne à laquelle rien ne correspond, vous obtenez un message d'erreur, comme ci-dessous :
Cette fonction est prise en charge par tous les contrôles de recherche d'utilisateur, de groupe ou de rôle dans l'application utilisateur où une seule valeur est attendue.
1.5 Étapes suivantes
Après avoir découvert les notions de base de l'application utilisateur Identity Manager, vous pouvez commencer à utiliser ses onglets pour mener à bien votre travail.
Pour en savoir plus sur l' Voir
Exécution de tâches du self-service d'identité
Exécution de tâches dans le tableau de bord de travail
Partie II, « Utilisation de l'onglet Self-service d'identité », page 33
Partie III, « Utilisation de l'onglet Tableau de bord de travail », page 117
Exécution de tâches relatives aux rôles et aux ressources
Partie IV, « Utilisation de l'onglet Rôles et ressources », page 241
Exécution de tâches en rapport avec la conformité
Partie V, « Utilisation de l'onglet Conformité », page 317
Mise en route
31
32
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de l'onglet Self-service d'identité
Ces sections décrivent comment utiliser l'onglet Self-service d'identité de l'interface Utilisateur
Identity Manager pour afficher et utiliser les informations d'identité.
Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35
Chapitre 3, « Utilisation de l'Organigramme », page 41
Chapitre 4, « Utilisation du rapport d'associations », page 59
Chapitre 5, « Utilisation de Mon profil », page 63
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 79
Chapitre 7, « Gestion des mots de passe », page 101
Chapitre 8, « Création d'utilisateurs ou de groupes », page 107
II
Utilisation de l'onglet Self-service d'identité
33
34
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Présentation de l'onglet Selfservice d'identité
Cette section vous initie à l'utilisation de l'onglet Self-service d'identité de l'application utilisateur
Identity Manager. Les rubriques incluent :
Section 2.1, « À propos de l'onglet Self-service d'identité », page 35
Section 2.2, « Accès à l'onglet Self-service d'identité », page 35
Section 2.3, « Exploration des fonctions de l'onglet », page 36
Section 2.4, « Opérations du self-service d'identité que vous pouvez effectuer », page 39
Pour plus d'informations sur l'ouverture et l'utilisation de l'application utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 15 .
2.1 À propos de l'onglet Self-service d'identité
L'onglet Self-service d'identité vous offre un moyen pratique pour afficher et utiliser par vous-même les informations d'identité. Il offre à votre entreprise davantage de réactivité en vous donnant accès aux informations dont vous avez besoin au moment où vous en avez besoin. Par exemple, l'onglet
Self-service d'identité permet de :
Gérer directement votre compte utilisateur
Rechercher à la demande d'autres utilisateurs et d'autres groupes de l'entreprise
Visualiser de quelle manière ces utilisateurs et ces groupes sont reliés
Répertorier les applications avec lesquelles vous êtes associé
Votre administrateur système a la responsabilité de configurer le contenu de l'onglet Self-service
d'identité pour vous et les autres membres de votre entreprise. Les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
2.2 Accès à l'onglet Self-service d'identité
Par défaut, après vous être logué à l'application utilisateur Identity Manager, l'onglet Self-service
d'identité s'ouvre et affiche sa page Organigramme :
2
Présentation de l'onglet Self-service d'identité
35
Figure 2-1
La page Organigramme de l'onglet Self-service d'identité
Si vous ouvrez un autre onglet de l'application utilisateur Identity Manager et souhaitez revenir au précédent, il vous suffit de cliquer sur l'onglet Self-service d'identité pour le rouvrir.
2.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Self-service d'identité. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système.)
La partie gauche de l'onglet Self-service d'identité affiche un menu des opérations que vous pouvez effectuer. Celles-ci sont répertoriées par catégorie — Gestion des informations, Gestion des mots de
passe et Gestion de l'annuaire (si vous y êtes autorisé) :
36
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 2-2
Le menu des opérations du self-service d'identité
Lorsque vous cliquez sur une opération, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre spéciale appelée portlet, qui affiche les détails de l'opération concernée. Par exemple, le portlet de la page Organigramme ressemble à cela :
Présentation de l'onglet Self-service d'identité
37
Figure 2-3
Portlet de la page Organigramme
La barre de titre du portlet affiche un ensemble de boutons sur lesquels vous pouvez cliquer pour effectuer des opérations standard. Par exemple :
Le
décrit l'action de ces boutons :
Tableau 2-1
Boutons de la barre de titre du portlet et leurs fonctions
Bouton Fonction
Affiche l'aide du portlet
Imprime le contenu du portlet
Développe le portlet
Si vous voyez d'autres boutons mais n'êtes pas sûr de leur action, pointez votre souris sur ces boutons pour en afficher les descriptions.
38
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2.4 Opérations du self-service d'identité que vous pouvez effectuer
Le
récapitule les opérations que vous pouvez effectuer par défaut dans l'onglet Self-
service d'identité :
Tableau 2-2
Opérations disponibles dans l'onglet Self-service d'identité
Catégorie
Gestion des informations
Opération Description
Organigramme
Rapport d'associations
Affiche les relations parmi les utilisateurs et les groupes sous la forme d'un organigramme interactif.
Pour plus de détails, reportez-vous au
Chapitre 3, « Utilisation de l'Organigramme », page 41
.
Disponible pour les administrateurs. Affiche les applications auxquelles un utilisateur est associé.
Pour plus de détails, reportez-vous au
Chapitre 4, « Utilisation du rapport d'associations », page 59
.
Mon profil Affiche les détails de votre compte utilisateur et permet de travailler avec ces informations.
Pour plus de détails, reportez-vous au
Chapitre 5, « Utilisation de Mon profil », page 63
.
Recherche dans l'annuaire Permet de rechercher des utilisateurs ou des groupes en entrant des critères de recherche déjà enregistrés.
Pour plus de détails, reportez-vous au
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 79 .
Présentation de l'onglet Self-service d'identité
39
Catégorie Opération Description
Gestion des mots de passe Stimulation-réponse de mot de passe
Permet de définir ou de modifier vos réponses valides en stimulations-réponses définies par l'administrateur, et de définir ou de modifier des stimulations-réponses et des réponses définies par l'utilisateur.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 101 .
Définition de l'indice de mot de passe
Permet de définir ou de modifier l'indice de mot de passe.
Modifier le mot de passe
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 101 .
Permet de modifier (réinitialiser) votre mot de passe, conformément aux règles
établies par votre administrateur système.
Gestion des répertoires
État de la stratégie de mot de passe
Statut de synchronisation des mots de passe
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 101 .
Affiche des informations concernant l'efficacité de votre gestion des mots de passe.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 101 .
Affiche le statut de synchronisation des mots de passe de vos applications associées qui se synchronisent avec le coffre-fort d'identité.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 101 .
Créer utilisateur ou groupe Utilisable par les administrateurs et les utilisateurs autorisés. Permet de créer un nouvel utilisateur ou un nouveau groupe.
Pour plus de détails, reportez-vous au
Chapitre 8, « Création d'utilisateurs ou de groupes », page 107
.
40
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de l'Organigramme
Cette section indique comment utiliser la page Organigramme de l'onglet Self-service d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 3.1, « À propos de l'organigramme », page 41
Section 3.2, « Navigation dans l'organigramme », page 45
Section 3.3, « Affichage d'informations détaillées », page 54
Section 3.4, « Envoi d'un courrier électronique à partir d'un organigramme de relations », page 55
Remarque : cette section décrit les fonctions par défaut de la page Organigramme. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
3.1 À propos de l'organigramme
La page Organigramme affiche des relations. Elle peut afficher les relations entre responsables, employés, et groupes d'utilisateurs de votre entreprise, et elle peut afficher d'autres types de relations définies par votre administrateur. L'affichage s'effectue sous la forme d'un organigramme. Dans cet organigramme, chaque personne, chaque groupe ou chaque autre entité est représentée dans un format ressemblant à une carte de visite. La carte de visite servant de point de départ ou de point d'orientation de l'organigramme est la carte racine.
L'organigramme est interactif. Vous pouvez :
Sélectionner et afficher un type de relation.
Définir votre type par défaut favori de relation, par exemple gestionnaire-employé, groupe d'utilisateurs, ou un autre fourni par votre administrateur.
Définir le placement par défaut d'un organigramme de relations à gauche ou à droite de la carte racine.
Ajouter jusqu'à deux niveaux supérieurs à la carte racine dans l'affichage de l'organigramme.
Désigner un autre utilisateur racine de l'organigramme.
Fermer (réduire) ou ouvrir (développer) un organigramme sous une carte.
Rechercher un utilisateur à afficher dans l'organigramme.
Afficher les informations (page Profil) d'un utilisateur sélectionné.
Envoyer les informations de l'utilisateur (sous forme de lien) à un autre utilisateur par courrier
électronique.
Envoyer un nouveau courrier électronique à un utilisateur sélectionné ou à l'équipe d'un responsable.
3
Utilisation de l'Organigramme
41
L'exemple suivant présente l'utilisation de l'Organigramme. La première fois que vous affichez la page Organigramme, elle affiche vos propres relations gestionnaire-employé. Par exemple, Margo
MacKenzie (Directrice du marketing) se logue et voit l'affichage par défaut suivant de la page
Organigramme :
Figure 3-1
Vue par défaut lors du login
Sur sa carte de visite, Margo Mackenzie clique sur le bouton Montez d'un niveau pour agrandir l'organigramme et afficher son responsable :
42
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 3-2
Margo MacKenzie clique sur le bouton « Montez d'un niveau » pour afficher son responsable.
Margo clique ensuite sur le bouton Montez d'un niveau dans la carte de visite de son responsable pour afficher le supérieur de celui-ci :
Utilisation de l'Organigramme
43
Figure 3-3
Margo clique une seconde fois sur le bouton « Montez d'un niveau » pour afficher le supérieur de son responsable.
Margo clique ensuite sur Faites de cette entité la nouvelle racine dans sa propre carte. Cela fait de nouveau de sa carte la racine de l'affichage :
44
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 3-4
Margo clique sur « Faites de cette entité la nouvelle racine » dans sa carte
3.2 Navigation dans l'organigramme
Cette section décrit comment se déplacer dans un organigramme de relations en :
Section 3.2.1, « Navigation vers le niveau supérieur suivant », page 45
Section 3.2.2, « Réinitialisation de la racine de la relation », page 46
Section 3.2.3, « Modification de la relation par défaut », page 48
Section 3.2.4, « Agrandir ou réduire l'organigramme », page 49
Section 3.2.5, « Choix d'une relation à agrandir ou à réduire », page 50
Section 3.2.6, « Recherche d'un utilisateur dans un organigramme », page 53
3.2.1 Navigation vers le niveau supérieur suivant
Pour naviguer et agrandir le niveau supérieur suivant dans l'arborescence de relation :
1 Cliquez sur l'icône Montez d'un niveau dans la carte de niveau supérieur actuelle.
Supposons, par exemple, que Margo clique sur Montez d'un niveau dans cette vue :
Utilisation de l'Organigramme
45
Sa vue s'élargit pour inclure le niveau supérieur au sien :
Montez d'un niveau n'est disponible que si un responsable est assigné à l'utilisateur de la carte.
Si cette fonction ne vous est pas accessible, consultez votre administrateur.
Vous pouvez monter deux fois d'un niveau pour une carte.
3.2.2 Réinitialisation de la racine de la relation
Pour réinitialiser la racine de votre vue de l'organigramme :
1 Recherchez la carte de l'utilisateur que vous voulez désigner comme nouvelle racine.
46
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Cliquez sur Faites de cette entité la nouvelle racine ou sur le nom de l'utilisateur (le nom est un lien) sur cette carte. La carte choisie devient la racine de l'organigramme.
Supposons par exemple que Margo Mackenzie clique sur Faites de cette entité la nouvelle racine dans sa propre carte de cette vue :
Utilisation de l'Organigramme
47
Sa carte devient la nouvelle racine et se trouve à présent au sommet de l'organigramme :
3.2.3 Modification de la relation par défaut
1 Cliquez sur Passer à un organigramme
pour modifier votre relation par défaut.
2 Sélectionnez le type de relation à afficher. Votre administrateur peut utiliser les relations
fournies par Novell (reportez-vous au Tableau 3-1 ) et définir des relations personnalisées.
Tableau 3-1
Types de relations d'organigramme fournies par Novell
Type d'organigramme
Gestionnaire - employé
Groupe d'utilisateurs
Description
Affiche la structure de rapport des responsables et de leurs subordonnés.
Affiche les utilisateurs et les groupes auxquels ils participent.
Margo Mackenzie remplace l'affichage de sa relation par défaut par Groupes d'utilisateurs :
48
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3.2.4 Agrandir ou réduire l'organigramme
L'organigramme de relations par défaut est Gestionnaire-Employé, sauf si vous ou votre administrateur définissez un autre type. Pour agrandir ou réduire l'organigramme par défaut :
1 Recherchez la carte pour laquelle vous voulez agrandir ou réduire l'affichage de la relation par défaut.
2 Cliquez sur le bouton bascule Agrandir/Réduire la relation actuelle .
L'organigramme s'agrandit ou se réduit et affiche ou masque les cartes secondaires reliées à la carte choisie. Par exemple, les deux illustrations suivantes montrent la vue Agrandir et la vue
Réduire.
Utilisation de l'Organigramme
49
3.2.5 Choix d'une relation à agrandir ou à réduire
1 Identifiez une carte dont vous voulez afficher les relations.
50
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Cliquez sur Sélectionnez la relation à agrandir/réduire dans cette carte. Une liste déroulante s'ouvre.
3 Sélectionnez une relation et une opération dans la liste déroulante :
Opération
Agrandir Gestionnaire-employé
Agrandir Groupes d'utilisateurs
Réduire Gestionnaire-employé
Réduire Groupes d'utilisateurs
Description
Sélectionnez cette option pour ouvrir un organigramme gestionnaire-employé. Disponible si l'organigramme est fermé.
Sélectionnez cette option pour ouvrir Groupes d'utilisateurs. Disponible si Groupes d'utilisateurs est fermé.
Sélectionnez cette option pour réduire l'organigramme gestionnaire-employé d'une carte. Disponible si l'organigramme est ouvert.
Sélectionnez cette option pour réduire les groupes d'utilisateurs d'une carte Disponible si l'organigramme est ouvert.
Des relations supplémentaires sont disponibles dans la liste si votre administrateur les définit.
Dans l'exemple suivant, Margo MacKenzie clique sur Choisissez la relation à développer/réduire et sélectionne Développer les groupes d'utilisateurs :
Utilisation de l'Organigramme
51
Elle clique ensuite sur À gauche et obtient le résultat ci-dessous :
52
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3.2.6 Recherche d'un utilisateur dans un organigramme
Vous pouvez rechercher un utilisateur dans un organigramme. Cette recherche permet de trouver rapidement un utilisateur qui ne se trouve pas dans votre vue actuelle ou dans l'organigramme de relations. L'utilisateur recherché devient la nouvelle racine dans votre vue.
1 Cliquez sur le lien Recherche dans l'angle supérieur gauche de l'organigramme.
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Utilisation de l'Organigramme
53
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et désigne cet utilisateur comme la nouvelle racine dans votre vue de l'organigramme.
3.3 Affichage d'informations détaillées
Vous pouvez afficher les informations détaillées (page Profil) d'un utilisateur sélectionné dans l'organigramme :
1 Recherchez la carte d'un utilisateur dont vous voulez afficher les informations détaillées.
2 Cliquez sur Opérations d'identité sur cette carte :
Une liste déroulante s'affiche.
3 Cliquez sur Afficher les infos dans la liste déroulante. D'autres options apparaissent si votre administrateur les a définies.
La page Profil s'ouvre et affiche les informations détaillées de l'utilisateur que vous avez choisi :
54
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Cette page est similaire à votre propre page Mon profil dans l'onglet Self-service d'identité.
Toutefois, lorsque vous consultez les informations détaillées d'un autre utilisateur, il se peut que vous ne soyez pas autorisé à afficher certaines des données ou à effectuer certaines opérations sur cette page. Consultez l'administrateur système pour obtenir de l'aide.
Pour en savoir plus sur l'utilisation des fonctions de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 63
.
4 Lorsque vous en avez terminé avec la page Profil, vous pouvez fermer sa fenêtre.
3.4 Envoi d'un courrier électronique à partir d'un organigramme de relations
Cette section décrit :
Section 3.4.3, « Envoi d'un courrier électronique à l'équipe d'un responsable », page 57
3.4.1 L'envoi par courrier électronique d'informations concernant un utilisateur qui figure dans un organigramme
1 Recherchez la carte de l'utilisateur dont vous voulez envoyer les informations à un autre utilisateur.
2 Cliquez sur l'icône représentant une enveloppe sur la carte :
Un menu contextuel s'ouvre.
3 Sélectionnez Envoyer les infos par courrier électronique.
Un nouveau message est créé dans votre client de messagerie par défaut. Les parties suivantes du message sont déjà remplies automatiquement.
Utilisation de l'Organigramme
55
Cette partie du message
Objet
Corps
Contient
Le texte :
Identity Information for user-name
Salutation, message, lien, et nom de l'expéditeur.
Le lien (URL) est vers la page Profil affichant les informations détaillées concernant l'utilisateur choisi.
Ce lien invite le destinataire à se loguer à l'application utilisateur Identity Manager avant qu'elle n'affiche une quelconque information. Le destinataire doit disposer de l'autorité appropriée pour afficher ou modifier ces données.
Pour en savoir plus sur l'utilisation des fonctions
de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 63
.
Par exemple :
4 Spécifiez les destinataires du message (et tout contenu supplémentaire de votre choix).
5 Envoyez le message.
56
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3.4.2 Envoi d'un nouveau courrier électronique à un utilisateur figurant dans l'organigramme
1 Recherchez la carte d'un utilisateur auquel vous voulez envoyer un courrier électronique.
2 Cliquez sur l'icône représentant une enveloppe
sur la carte.
Un menu contextuel s'ouvre.
3 Sélectionnez Nouveau courrier électronique.
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la liste À, qui spécifie l'utilisateur que vous avez choisi comme destinataire.
4 Complétez le contenu du message.
5 Envoyez le message.
3.4.3 Envoi d'un courrier électronique à l'équipe d'un responsable
1 Recherchez la carte d'un utilisateur qui dirige une équipe à qui vous voulez envoyer un courrier
électronique.
2 Cliquez sur l'icône représentant une enveloppe
sur la carte :
Un menu contextuel s'ouvre.
3 Sélectionnez Envoyer à l'équipe par courrier électronique.
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la Liste à, qui spécifie chaque subordonné immédiat de l'utilisateur (responsable) que vous avez choisi comme destinataire.
Utilisation de l'Organigramme
57
4 Complétez le contenu du message.
5 Envoyez le message.
58
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation du rapport d'associations
Cette section indique comment utiliser la page Rapport d'associations de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 4.1, « À propos du Rapport d'associations », page 59
Section 4.2, « Affichage des associations », page 60
Remarque : cette section décrit les fonctions par défaut de la page Rapport d'associations. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
4.1 À propos du Rapport d'associations
En tant qu'administrateur, vous pouvez utiliser la page Rapport d'associations pour afficher ou corriger certaines associations auxquelles les utilisateurs ont été provisionnés. La table d'application affiche :
Les noms d'applications ou de systèmes avec lesquels l'utilisateur a une association dans la table Associations DirXML du coffre-fort d'identité. (La table Associations est remplie lorsque le coffre-fort d'identité synchronise un compte utilisateur avec un système connecté par l'intermédiaire d'une stratégie ou d'un droit.)
L'instance de l'association.
L'état de l'association. Reportez-vous au Tableau 4-1 pour la description des états.
Tableau 4-1
Table de l'état d'association
État
Traité
Mode Désactivé
En attente
Manuel
Migrer
Indique
Un pilote reconnaît l'utilisateur de l'application cible du pilote. Les utilisateurs peuvent choisir de vérifier s'ils doivent émettre une requête de provisioning d'une application ou d'un système n'apparaissant pas dans leurs listes d'associations. Autre choix : si une application figure dans leurs listes sans qu'ils puissent y accéder, les utilisateurs peuvent choisir de vérifier auprès de l'administrateur des applications pour identifier le problème.
L'application n'est probablement pas disponible pour l'utilisateur.
L'association attend quelque chose.
Un traitement manuel est requis pour mettre en oeuvre l'association.
La migration est requise.
4
Utilisation du rapport d'associations
59
État Indique
N'IMPORTE QUEL Différentes sortes d'états.
Toutes les ressources provisionnées ne sont pas représentées dans le coffre-fort d'identité.
La
Figure 4-1 page 60 présente un exemple de la page Rapport d'associations.
Figure 4-1
La page Rapport d'associations
4.2 Affichage des associations
Lorsque vous cliquez sur Rapport d'associations, les premières associations affichées sont les vôtres. Pour afficher les associations d'un autre utilisateur :
1 Dans l'onglet Self-service d'identité, sous Gestion des informations, cliquez sur Rapport
d'associations.
2 Au-dessus de la table d'associations, cliquez sur Recherche.
3 Dans la fenêtre Recherche de l'objet, sélectionnez Prénom ou Nom dans le menu déroulant et spécifiez une chaîne de recherche. La fenêtre Recherche de l'objet affiche à la fois Prénom et
Nom.
60
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Sélectionnez un nom. La table d'associations affiche les associations correspondant à ce nom.
Utilisation du rapport d'associations
61
62
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de Mon profil
Cette section indique comment utiliser la page Mon profil de l'onglet Self-service d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 5.1, « À propos de Mon profil », page 63
Section 5.2, « Modification de vos informations », page 64
Section 5.3, « Envoi de vos informations par courrier électronique », page 70
Section 5.4, « Affichage de votre organigramme », page 71
Section 5.5, « Lien vers d'autres utilisateurs ou d'autres groupes », page 72
Remarque : cette section décrit les fonctions par défaut de la page Mon profil. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
5.1 À propos de Mon profil
La page Mon profil permet d'afficher les détails de votre compte utilisateur et d'utiliser ces informations le cas échéant. Par exemple, voici ce que voit Kevin Chester (assistant marketing ) lorsqu'il accède à la page Mon profil :
Figure 5-1
Page Détails de Mon profil
5
Utilisation de Mon profil
63
Si vous voulez modifier certains de ces détails, vous pouvez modifier vos informations (bien qu'il revienne à l'administrateur système de déterminer exactement ce que vous êtes autorisé à modifier).
Supposons par exemple que Kevin Chester clique sur Modifier vos informations. Il voit une page dans laquelle il peut modifier les informations de son profil, lorsque son administrateur lui a accordé les droits correspondants :
Figure 5-2
Page Modifier le profil
De retour sur la page principale, Mon profil fournit des liens permettant d'effectuer d'autres opérations utiles sur vos informations. Vous pouvez :
Envoyer vos informations (sous forme de lien) à un autre utilisateur par courrier électronique
Passer à l'affichage de votre organigramme au lieu de celui de vos détails
Sélectionner un autre utilisateur ou un autre groupe de l'organigramme dont vous voulez afficher les détails (si vous y êtes autorisé)
Cliquer sur une adresse électronique pour envoyer un message à ce compte
Indiquer des paramètres régionaux (une langue) pour l'instance de l'application utilisateur que vous utilisez
5.2 Modification de vos informations
Mon profil offre une page d'édition que vous pouvez ouvrir lorsque vous voulez effectuer des modifications.
64
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Il se peut que certaines valeurs ne soient pas modifiables. Les valeurs non modifiables apparaissent sur la page d'édition sous forme de texte en lecture seule ou sous forme de liens. Si vous n'êtes pas certain de ce que vous êtes autorisé à modifier, consultez votre administrateur système.
Pour modifier vos informations :
1 Cliquez sur le lien Modifier vos informations situé en haut de la page Mon profil.
2 Lorsque la page d'édition s'affiche, procédez à vos modifications. Utilisez les boutons de modification du
.
3 Lorsque vous avez terminé vos modifications, cliquez sur Enregistrer les modifications, puis sur Retour.
5.2.1 Masquer des informations
Lorsque vous masquez une partie des informations, elle est masquée de quiconque utilise l'application utilisateur Identity Manager, vous et l'administrateur système exceptés.
1 Cliquez sur le lien Modifier vos informations situé en haut de la page Mon profil.
2 Sur la page de modification, recherchez un élément que vous voulez masquer.
3 Cliquez sur Cacher à côté de cet élément.
Cacher peut être désactivé pour certains éléments. L'administrateur système peut activer cette fonction pour certains éléments.
5.2.2 Utilisation des boutons de modification
Le
répertorie les boutons de modification que vous pouvez utiliser pour modifier les informations de votre profil.
Tableau 5-1
Boutons de modification
Bouton Fonction
Recherche une valeur à utiliser dans une entrée
Ajoute une autre entrée
Affiche toutes les entrées de l'attribut
Supprime une entrée existante et sa valeur
Permet de modifier (spécifier et afficher) une image
Remarque : ajoutez et supprimez des groupes au cours d'opérations d'édition différentes. Si vous supprimez, puis ajoutez des groupes au cours de la même opération d'édition, le nom du groupe supprimé réapparaît lorsque vous cliquez sur le bouton + (ajouter).
Utilisation de Mon profil
65
Les sections qui suivent décrivent davantage l'utilisation de certains de ces boutons de modification :
« Recherche d'un utilisateur » page 66
« Recherche d'un groupe » page 67
« Utilisation de la liste Historique » page 69
« Modification d'une image » page 70
Recherche d'un utilisateur
1 Cliquez sur Recherche situé à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
Une recherche de gestionnaire ne recherche que les utilisateurs qui sont des gestionnaires.
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
66
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée de la page de modification.
Recherche d'un groupe
1 Cliquez sur Recherche situé à droite d'une entrée (pour laquelle vous voulez rechercher un groupe).
La page Recherche s'affiche :
Utilisation de Mon profil
67
2 Spécifiez les critères concernant le groupe que vous recherchez :
2a Dans la liste déroulante, votre seul choix est une recherche par Description.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité la description à rechercher.
La recherche trouve chacune des descriptions commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent la description
Marketing :
Marketing marketing m m*
*g
*k*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
68
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous voyez une liste de groupes dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez le groupe de votre choix dans la liste.
La page Recherche se ferme et insère le groupe dans l'entrée appropriée de la page de modification.
Utilisation de la liste Historique
1 Cliquez sur l'icône Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes).
La liste Historique s'affiche. La valeurs apparaissent par ordre alphabétique.
Utilisation de Mon profil
69
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionner dans la liste
Historique
Effacer la liste Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée de la page de modification.
Cliquez sur Effacer l'historique.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée sur la page de modification.
Modification d'une image
La modification de vos informations peut impliquer l'ajout, le remplacement ou l'affichage d'une image :
1 Sur la page de modification, cliquez sur Afficher pour afficher une image.
2 Cliquez sur l'icône du signe plus pour ajouter une image.
S'il existe déjà une image, vous pouvez cliquer sur l'icône du crayon pour la remplacer ou la supprimer.
3 Cliquez sur ce bouton pour afficher la page Téléchargement du fichier :
Si cet élément a déjà une image, celle-ci s'affiche.
4 Pour ajouter une image ou replacer l'image en cours :
4a Cliquez sur Parcourir et sélectionnez un fichier d'image approprié (GIF ou JPG).
4b Cliquez sur Enregistrer les modifications pour charger le fichier d'image sélectionné dans le serveur.
5 Cliquez sur Fermer la fenêtre pour revenir à la page de modification.
5.3 Envoi de vos informations par courrier
électronique
La page Mon profil permet d'envoyer des informations par courrier électronique, sous forme de liens :
1 Cliquez sur le lien Activer l'envoi d'informations de l'identité situé en haut de la page Mon profil.
70
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Un nouveau message est créé dans votre client de messagerie par défaut. Les parties suivantes du message sont déjà remplies automatiquement.
Cette partie du message
Objet
Corps
Contient
Le texte :
Identity Information for your-user-id
Une salutation, un message, un lien et votre nom.
Le lien (URL) est vers la page Profil affichant les informations détaillées vous concernant.
Ce lien invite le destinataire à se loguer à l'application utilisateur
Identity Manager avant qu'elle n'affiche une quelconque information. Le destinataire doit disposer de l'autorité appropriée pour afficher ou modifier ces données.
Par exemple :
2 Spécifiez les destinataires du message (et tout contenu supplémentaire de votre choix).
3 Envoyez le message.
5.4 Affichage de votre organigramme
Pour basculer de Mon profil vers Organigramme, cliquez sur le lien Afficher l'organigramme situé au milieu de la page Mon profil.
Utilisation de Mon profil
71
Votre organigramme s'affiche. Par exemple :
Pour en savoir plus sur l'utilisation des fonctions de cette page, reportez-vous au Chapitre 3,
« Utilisation de l'Organigramme », page 41
.
5.5 Lien vers d'autres utilisateurs ou d'autres groupes
La page Détail de votre profil peut inclure des liens vers d'autres utilisateurs ou d'autres groupes.
Vous pouvez afficher les détails (page Profil) de n'importe quel autre utilisateur ou groupe apparaissant sous forme de lien dans vos détails.
Pour afficher des informations détaillées concernant un autre utilisateur ou un autre groupe :
1 Tout en consultant ou en modifiant des informations sur la page Mon profil, recherchez les liens qui se réfèrent aux noms des utilisateurs ou des groupes. Déplacez le curseur de votre souris sur un texte pour faire apparaître l'indication d'un lien.
2 Cliquez sur un lien pour afficher les détails de cet utilisateur ou de ce groupe (dans une fenêtre distincte).
3 Lorsque vous en avez terminé avec cette fenêtre de détails, vous pouvez la refermer.
72
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Voici un scénario montrant comment quelqu'un peut se relier aux détails d'un autre utilisateur ou d'un autre groupe. Timothy Swan (vice-président du marketing) se logue dans l'application utilisateur Identity Manager et accède à la page Mon profil :
Figure 5-3
La page Mon profil affiche les détails du profil et ses opérations
Il clique sur Modifier vos informations.
Utilisation de Mon profil
73
Figure 5-4
Page Modifier les détails
Il remarque les noms d'utilisateurs (Terry Mellon) et de groupe (Executive Management, Marketing,
Improve Customer Service task force) qui apparaissent sous forme de liens. Il clique sur Marketing et voit une nouvelle fenêtre :
74
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 5-5
Page Détails du groupe
Il s'agit des informations détaillées concernant le groupe Marketing. S'il y est autorisé, il peut cliquer sur Modifier le groupe et utiliser la page Modifier le groupe pour ajouter ou supprimer des membres du groupe, modifier la description du groupe, voire supprimer le groupe.
Les noms des membres du groupe Marketing sont également des liens. Il clique sur Allison Blake et voit :
Figure 5-6
Les liens de la page de détails du groupe vers les profils des membres du groupe
Il s'agit des informations détaillées concernant l'utilisateur Allison Blake (l'un de ses employés).
Utilisation de Mon profil
75
Il peut cliquer sur Modifier : Utilisateur et si l'administrateur système lui en accordé l'autorisation, modifier les informations détaillées de cet utilisateur (excepté les attributs Service et Région) ou supprimer cet utilisateur.
L'adresse électronique d'Allison est un lien. Lorsqu'il clique dessus, son client de messagerie créer un nouveau message qui lui est destiné.
Figure 5-7
Message électronique à l'utilisateur à partir de la page Profil de l'utilisateur
Il peut à présent saisir le contenu du message et l'envoyer.
5.6 Choix de la langue
Vous pouvez sélectionner les paramètres régionaux (la langue) que vous préférez utiliser dans l'application utilisateur Identity Manager. Vous pouvez sélectionner les paramètres régionaux que vous préférez à tout moment dans Mon profil.
1 Cliquez sur Self-service d'identité > Gestion des informations > Mon profil > Modifier les
paramètres régionaux préférés. La page Modifier les paramètres régionaux préférés s'ouvre.
2 Ouvrant la liste déroulante Paramètres régionaux disponibles, faites une sélection et cliquez sur Ajouter pour ajouter une locale.
3 Pour modifier l'ordre de préférence, sélectionnez des paramètres régionaux dans la liste
Paramètres régionaux par ordre de préférence, puis choisissez Vers le haut, Vers le bas ou
Supprimer.
4 Cliquez sur Enregistrer les modifications.
76
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les pages de l'application utilisateur Identity Manager s'affichent dans une ou plusieurs langues préférées (paramètres régionaux) conformément aux règles suivantes :
1. L'application utilisateur utilise les paramètres régionaux définis dans l'application utilisateur, conformément à l'ordre de la liste des paramètres régionaux préférés.
2. Si aucun paramètre régional préféré n'est défini pour l'application utilisateur, cette dernière utilise les langues de navigateur préférées dans l'ordre de la liste.
3. Si aucun paramètre régional préféré n'est défini pour l'application utilisateur ou le navigateur, le paramètre par défaut de l'application utilisateur est utilisé.
5.6.1 Définition du paramètre régional préféré dans le navigateur
Dans Firefox
*
, ajoutez les langues dans Outils > Général > Langues > Langues. Placez votre langue préférée en haut de la liste. Dans Internet Explorer, définissez la langue dans Affichage >
Codage.
Utilisation de Mon profil
77
78
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de la recherche dans l'annuaire
Cette section indique comment utiliser la page Recherche dans l'annuaire de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 6.1, « À propos de la recherche dans l'annuaire », page 79
Section 6.2, « Effectuer des recherches de base », page 82
Section 6.3, « Effectuer des recherches avancées », page 83
Section 6.4, « Utilisation des résultats de recherche », page 93
Section 6.5, « Utilisation des recherches enregistrées », page 99
Remarque : cette section décrit les fonctions par défaut de la page Recherche dans l'annuaire. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
6.1 À propos de la recherche dans l'annuaire
La page Recherche dans l'annuaire permet de rechercher des utilisateurs, des groupes ou des équipes
à l'aide de critères de recherche nouveaux ou déjà enregistrés.
Supposons par exemple que Timothy Swan (directeur du marketing) doive rechercher des informations concernant une personne de l'entreprise. Il ouvre la page Recherche dans l'annuaire et voit ce qui suit par défaut :
6
Utilisation de la recherche dans l'annuaire
79
Figure 6-1
Page Recherche dans l'annuaire
N'ayant pas encore de recherche enregistrée qu'il puisse sélectionner, il choisit Nouvelle recherche.
Il existe un utilisateur qu'il souhaite contacter, dont le prénom commence par la lettre C, mais il ne se souvient pas du prénom complet. Il lui suffit de spécifier une recherche de base avec le critère :
Figure 6-2
Spécifier un critère de recherche sur la page Liste de recherches
Les résultats de la recherche s'affichent, permettant à Timothy d'examiner et de travailler avec les informations qu'il a demandées. Par défaut, les informations de l'onglet Identité s'affichent :
80
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 6-3
Résultats de la recherche
Timothy clique sur l'onglet Organisation dans les résultats de la recherche pour accéder à une autre vue des informations. Il se rappelle que la personne qu'il recherche travaille pour Kip Keller, et il restreint la recherche à Cal Central :
Figure 6-4
Utilisez les onglets pour modifier la vue des résultats de recherche
Utilisation de la recherche dans l'annuaire
81
Outre les onglets des différentes vues, la page des résultats de recherche contient des liens et des boutons pour effectuer des opérations sur ses informations. Vous pouvez :
Cliquer sur l'en-tête des colonnes pour trier les lignes d'informations
Cliquer sur sa ligne pour afficher les détails (page Profil) d'un utilisateur ou d'un groupe
Cliquer sur l'icône représentant une enveloppe sur la ligne associée à cet utilisateur pour envoyer un nouveau courrier électronique à un utilisateur
Enregistrer la recherche afin de pouvoir la réutiliser ultérieurement
Exporter les résultats dans un fichier texte
Modifier la recherche via ses critères
Lors de la génération des résultats de recherche, il se peut que vous ayez ne deviez pas vous limiter
à une recherche de base pour décrire les informations souhaitées. Une recherche avancée permet de spécifier des critères complexes.
Si vous souhaitez pouvoir réutiliser une recherche avancée, vous pouvez l'enregistrer. Les recherches enregistrées sont également pratiques pour les recherches de base que vous exécutez fréquemment. Par exemple, Timothy Swan a ajouté des recherches enregistrées qu'il utilise souvent :
Figure 6-5
Recherches enregistrées, sur la page Liste de recherches
6.2 Effectuer des recherches de base
1 Ouvrez la page Recherche dans l'annuaire et cliquez sur Nouvelle recherche. La page
Recherche de base s'affiche par défaut.
82
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Dans la liste déroulante Rechercher, indiquez le type d'information à rechercher en sélectionnant Groupe ou Utilisateur.
3 Dans la liste déroulante Catégorie de l'élément, sélectionnez un attribut de recherche. Par exemple :
Last Name
La liste des attributs disponibles est déterminée par ce que vous recherchez (utilisateurs ou groupes).
4 Dans la liste déroulante Expression, sélectionnez une opération de comparaison à effectuer par rapport à l'attribut que vous avez choisi. Par exemple : equals
5 Dans la zone de saisie Terme de recherche, indiquez une valeur à comparer par rapport à l'attribut que vous avez choisi. Par exemple :
Smith
.
6 Cliquez sur Rechercher.
Les résultats de votre recherche s'affichent.
Pour savoir quoi faire ensuite, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 93 .
6.3 Effectuer des recherches avancées
Si vous avez besoin de spécifier plusieurs critères lorsque vous recherchez des utilisateurs ou des groupes, vous pouvez utiliser une recherche avancée. Par exemple :
Last Name equals Smith AND Title contains Rep
Utilisation de la recherche dans l'annuaire
83
Si vous spécifiez plusieurs groupes de critères (pour contrôler l'ordre d'évaluation des critères), vous utilisez les mêmes opérations logiques pour les relier. Par exemple, pour effectuer une recherche avancée avec les critères suivants (deux groupes de critères reliés par un ou) :
(Last Name equals Smith AND Title contains Rep) OR (First Name starts with k
AND
Department equals Sales)
Spécifiez les informations fournies à la Figure 6-6 page 84
:
Figure 6-6
Spécification d'une recherche avancée dans la page Liste de recherches
Le résultat de cette recherche s'affiche à la Figure 6-7 page 85
.
84
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 6-7
Résultat de la recherche avancée
Pour exécuter une recherche avancée :
1 Ouvrez la page Recherche dans l'annuaire et cliquez sur Nouvelle recherche. La page
Recherche de base s'affiche par défaut.
2 Cliquez sur Recherche avancée. La page Recherche avancée s'affiche :
3 Dans la liste déroulante Rechercher, indiquez le type d'information à rechercher en sélectionnant l'une des options suivantes :
Groupe
Utilisateur
À présent, vous pouvez remplir la section Avec ce critère.
4 Spécifiez un critère d'un groupe de critères :
4a Utilisez la liste déroulante Catégorie de l'élément, pour sélectionner un attribut de recherche. Par exemple :
Utilisation de la recherche dans l'annuaire
85
Last Name
La liste des attributs disponibles est déterminée par ce que vous recherchez (utilisateurs ou groupes).
4b Utilisez la liste déroulante Expression, pour sélectionner une opération de comparaison à effectuer par rapport à l'attribut que vous avez choisi. Par exemple : equals
Pour plus d'informations, reportez-vous à la Section 6.3.1, « Sélection d'une expression », page 86
.
4c Utilisez la zone de saisie terme de recherche, pour indiquer une valeur à comparer par rapport à l'attribut que vous avez choisi. Par exemple :
Smith
Pour plus d'informations, reportez-vous à la
Section 6.3.2, « Spécification d'une valeur de comparaison », page 88 .
5 Si vous souhaitez spécifier un autre critère d'un groupe de critères, procédez comme suit.
5a Cliquez sur Ajouter des critères à droite du groupe de critères :
5b Sur la gauche du nouveau critère, utilisez la liste déroulante Opérateur logique des
critères pour relier ce critère au précédent ; sélectionnez et ou ou. Vous ne pouvez utiliser qu'un seul des deux types d'opérateur logique dans groupe de critères.
5c Répétez cette procédure, en commençant par l'
.
Pour supprimer un critère, cliquez sur Supprimer les critères à sa droite :
6 Si vous voulez spécifier un autre groupe de critères, procédez comme suit.
6a Cliquez sur Ajouter des groupes de critères :
6b Au-dessus du nouveau groupe de critères, utilisez la liste déroulante Opérateur logique
des groupes de critères pour relier ce groupe au précédent ; sélectionnez et ou ou.
6c Répétez cette procédure, en commençant par l'
.
Pour supprimer un groupe de critères, cliquez sur Supprimer le groupe de critères qui se trouve directement au-dessus :
7 Cliquez sur Rechercher.
Les résultats de votre recherche s'affichent.
Pour savoir quoi faire ensuite, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 93 .
6.3.1 Sélection d'une expression
Cliquez sur Expression pour sélectionner un critère de comparaison pour votre recherche. La liste des opérations de comparaison (relationnelle) que vous pouvez utiliser dans un critère est déterminée par le type d'attribut spécifié dans ce critère.
86
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 6-1
Opérations de comparaison pour la recherche
Si l'attribut est un(e)
Chaîne (texte)
Chaîne (texte) avec une liste prédéterminée de choix
Utilisateur ou groupe (ou autre objet identifié par son DN)
Booléen (vrai ou faux)
Utilisateur (catégorie d'élément : Gestionnaire,
Groupe, ou Rapports directs)
Vous pouvez sélectionner l'une de ces opérations de comparaison
commence par
contient
est égal à
se termine par
est présent(e)
ne commence pas par
ne contient pas
non égal à
ne se termine pas par
n'est pas présent
est égal à
est présent
non égal à
n'est pas présent
Groupe (catégorie d'élément : Membres)
Heure (au format date-heure ou date seulement)
Nombre (entier)
est égal à
est présent
non égal à
n'est pas présent
est égal à
est présent
non égal à
n'est pas présent
est égal à
supérieur à
supérieur ou égal à
inférieur à
inférieur ou égal à
est présent
non égal à
pas supérieur à
pas supérieur ou égal à
supérieur à
pas inférieur ou égal à
n'est pas présent
Utilisation de la recherche dans l'annuaire
87
6.3.2 Spécification d'une valeur de comparaison
Le type d'attribut spécifié dans un critère détermine également comment spécifier la valeur d'une comparaison dans ce critère :
Tableau 6-2
Méthode de saisie d'une valeur d'une comparaison
Si l'attribut est un(e)
Chaîne (texte)
Chaîne (texte) avec une liste prédéterminée de choix
Utilisateur ou groupe (ou autre objet identifié par son DN)
Heure (au format date-heure ou date seulement)
Nombre (entier)
Booléen (vrai ou faux)
Vous agissez ainsi pour spécifier la valeur
Saisissez votre texte dans la zone de texte qui s'affiche à droite.
Sélectionnez un choix dans la liste déroulante qui s'affiche à droite.
Utilisez les boutonsRecherche, Historique et
Réinitialiser qui s'affichent à droite.
Utilisez les boutons Agenda et réinitialiser qui s'affichent à droite.
Saisissez votre nombre dans la zone de texte qui s'affiche à droite.
Saisissez vrai
ou faux
dans la zone de texte qui s'affiche à droite.
Ne spécifiez pas de valeur lorsque l'opération de comparaison est l'une des suivantes :
est présent n'est pas présent
Casse du texte
La recherche de texte ne respecte pas la casse. Vous obtenez les mêmes résultats quelle que soit la casse utilisée dans la valeur. Par exemple, tout ce qui suit est équivalent :
McDonald mcdonald
MCDONALD
Caractères génériques dans le texte
Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. Par exemple :
Mc*
*Donald
*Don*
McD*d
88
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation des boutons Recherche, Historique et Réinitialiser
Certains critères de recherche affichent les boutons Recherche, Historique et Réinitialiser. Cette section décrit comment utiliser ces boutons :
Tableau 6-3
Boutons Recherche, Historique et Réinitialiser dans les critères de recherche
Bouton Fonction
Recherche une valeur à utiliser dans une comparaison
Affiche une liste de valeurs Historique utilisée dans une comparaison
Réinitialise la valeur d'une comparaison
Pour rechercher un utilisateur :
1 Cliquez sur Recherche à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
Utilisation de la recherche dans l'annuaire
89
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée comme la valeur à utiliser pour votre comparaison.
Pour rechercher un groupe comme critère de recherche d'un utilisateur, procédez comme suit.
1 Ajoutez Groupe comme critère de recherche, puis cliquez sur Recherche à droite du champ
Terme de recherche :
90
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La page Recherche affiche les résultats de recherche :
Utilisation de la recherche dans l'annuaire
91
2 Spécifiez les critères concernant le groupe que vous recherchez :
2a Dans la liste déroulante, votre seul choix est une recherche par Description.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité la description à rechercher.
La recherche trouve chacune des descriptions commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent la description
Marketing :
Marketing marketing m m*
*g
*k*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Si vous voyez une liste de groupes dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez le groupe de votre choix dans la liste.
La page Recherche se ferme et insère la description de ce groupe dans l'entrée appropriée comme la valeur à utiliser pour votre comparaison.
Pour utiliser la liste Historique :
1 Cliquez sur Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes).
La liste Historique affiche les valeurs précédentes de ce critère par ordre alphabétique :
92
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionner dans la liste
Historique
Effacer la liste Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée comme valeur à utiliser dans votre comparaison.
Cliquez sur Effacer l'historique.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée dans votre comparaison.
6.4 Utilisation des résultats de recherche
Cette section vous indique comment utiliser les résultats qui s'affichent lorsqu'une recherche a abouti :
Section 6.4.1, « À propos des résultats de recherche », page 93
Section 6.4.2, « Utilisation de la liste Recherche », page 95
Section 6.4.3, « Autres opérations que vous pouvez effectuer », page 97
6.4.1 À propos des résultats de recherche
Le contenu des résultats de recherche dépend du type de recherche que vous effectuez :
« Pour une recherche d'utilisateur » page 94
« Pour une recherche de groupe » page 94
Sur une page de résultats de recherche, vous pouvez sélectionner
Afficher mes recherches enregistrées
Utilisation de la recherche dans l'annuaire
93
Enregistrer la recherche
Réviser la recherche
Exporter les résultats
Démarrer une nouvelle recherche
Pour une recherche d'utilisateur
Dans les résultats d'une recherche d'utilisateur, la liste des utilisateurs comporte des onglets pour trois vues d'informations :
Identité (coordonnées)
Emplacement (informations géographiques)
Organisation (informations concernant l'organisation)
Figure 6-8
Résultats de recherche d'utilisateur
Pour une recherche de groupe
Les résultats de recherche de groupe de comportent que la vue d'informations Organisation :
94
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 6-9
Résultats de recherche de groupe
6.4.2 Utilisation de la liste Recherche
Vous pouvez utiliser la liste de lignes qui s'affiche de la façon suivante pour représenter vos résultats :
« Pour basculer vers une autre vue » page 95
« Pour trier les lignes d'informations » page 95
« Pour afficher les détails d'un utilisateur ou d'un groupe » page 96
« Pour envoyer un courrier électronique à un utilisateur de la liste de recherches » page 96
Pour basculer vers une autre vue
1 Cliquez sur l'onglet de la vue que vous voulez afficher.
Pour trier les lignes d'informations
1 Cliquez sur l'en-tête de la colonne à trier.
Le tri initial s'effectue par ordre croissant.
2 Pour choisir l'ordre croissant ou décroissant, cliquez de nouveau sur l'en-tête de la colonne
(aussi souvent que vous le souhaitez).
Utilisation de la recherche dans l'annuaire
95
Pour afficher les détails d'un utilisateur ou d'un groupe
1 Cliquez sur la ligne de l'utilisateur ou du groupe dont vous voulez afficher les informations.
Attention, ne cliquez pas directement sur l'icône représentant une enveloppe, sauf si vous voulez envoyer un message.
La page Profil s'ouvre et affiche les informations détaillées de l'utilisateur ou du groupe que vous avez choisi :
Cette page est similaire à votre propre page Mon profil dans l'onglet Self-service d'identité. La seule différence est que, lorsque vous consultez les informations d'un autre utilisateur ou d'un autre groupe (au lieu de vous-même), il se peut que vous ne soyez pas autorisé à afficher certaines des données ou à effectuer certaines opérations sur la page. Consultez l'administrateur système pour obtenir de l'aide.
Pour en savoir plus sur l'utilisation des fonctions de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 63
.
2 Lorsque vous en avez terminé avec la page Profil, vous pouvez fermer sa fenêtre.
Pour envoyer un courrier électronique à un utilisateur de la liste de recherches
1 Recherchez la ligne d'un utilisateur auquel vous voulez envoyer un courrier électronique.
96
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Cliquez sur Envoyer un message électronique sur la ligne de cet utilisateur :
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la liste À, qui spécifie l'utilisateur que vous avez choisi comme destinataire.
3 Complétez le contenu du message.
4 Envoyez le message.
6.4.3 Autres opérations que vous pouvez effectuer
Lorsque vous affichez des résultats de recherche, vous pouvez également :
« Enregistrer une recherche » page 97
« Exporter les résultats de recherche » page 97
« Réviser les critères de recherche » page 99
Enregistrer une recherche
Pour enregistrer l'ensemble actuel de critères de recherche en vue d'une réutilisation future :
1 Cliquez sur Enregistrer la recherche (au bas de la page).
2 Lorsque vous y êtes invité, indiquez le nom de cette recherche.
Si vous affichez les résultats d'une recherche enregistrée existante, le nom de cette recherche s'affiche par défaut. Cela permet de mettre à jour une recherche enregistrée avec les éventuelles modifications que vous avez apportées aux critères.
Dans le cas contraire, si vous saisissez un nom de recherche qui soit en conflit avec celui d'une recherche enregistrée existante, un numéro de version est ajouté automatiquement à la fin lorsque votre nouvelle recherche est enregistrée.
3 Cliquez sur OK pour enregistrer la recherche.
La page Liste de recherches affiche la liste Mes recherches enregistrées.
Pour en savoir plus sur l'utilisation des recherches enregistrées, reportez-vous à la
« Utilisation des recherches enregistrées », page 99
.
Exporter les résultats de recherche
Pour exporter les résultats de recherche dans un fichier texte :
1 Cliquez sur Exporter les résultats (au bas de la page).
La page Exporter s'affiche :
Utilisation de la recherche dans l'annuaire
97
Par défaut, Afficher à l'écran est sélectionné et CSV est le format choisi dans la liste déroulante.
De ce fait, la page Exporter affiche les résultats de la recherche actuelle au format CSV
(Comma Separated Value).
2 Si vous voulez avoir un aperçu de ces résultats de recherche au format Séparé par des tabulations, sélectionnez Séparé par des tabulations dans la liste déroulante, puis cliquez sur
Continuer.
3 Lorsque vous êtes prêt à exporter vos résultats de recherche en cours dans un fichier texte, sélectionnez Exporter vers le disque.
La page Exporter s'affiche :
4 Utilisez la liste Format pour sélectionner le format d'exportation des résultats de recherche.
Format d'exportation
CSV
Nom par défaut du fichier généré
SearchListResult.date.time.csv
Par exemple :
SearchListResult.27-Sep-05.11.21.47.csv
98
Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Format d'exportation
Séparé par des tabulations
XML (disponible en cas d'exportation sur disque)
Nom par défaut du fichier généré
SearchListResult.date.time.txt
Par exemple :
SearchListResult.27-Sep-05.11.20.51.txt
SearchListResult.date.time.xml
Par exemple :
SearchListResult.27-Sep-05.11.22.51.xml
5 Cliquez sur Exporter.
6 Lorsque vous y êtes invité, indiquez où enregistrer le fichier des résultats de recherche exportés.
7 Lorsque vous avez terminé l'exportation, cliquez sur Fermer la fenêtre.
Réviser les critères de recherche
1 Cliquez sur Réviser la recherche (au bas de la page).
Cela vous ramène à la page de recherche précédente pour modifier vos critères de recherche.
2 Effectuez la révision des critères de recherche conformément aux instructions de ces sections :
Section 6.2, « Effectuer des recherches de base », page 82
Section 6.3, « Effectuer des recherches avancées », page 83
6.5 Utilisation des recherches enregistrées
Lorsque vous accédez à Recherche dans l'annuaire, la page Mes recherches enregistrées s'affiche par défaut. Cette section décrit ce que l'on peut faire avec des recherches enregistrées :
Section 6.5.1, « Pour afficher les recherches enregistrées », page 99
Section 6.5.2, « Pour exécuter une recherche enregistrée », page 100
Section 6.5.3, « Pour modifier une recherche enregistrée », page 100
Section 6.5.4, « Pour supprimer une recherche enregistrée », page 100
6.5.1 Pour afficher les recherches enregistrées
1 Cliquez sur le bouton Mes recherches enregistrées au pas d'une page Recherche dans
l'annuaire. La page Mes recherches enregistrées s'affiche. La Figure 6-10 page 100
illustre un exemple de cette page.
Utilisation de la recherche dans l'annuaire
99
Figure 6-10
La page Mes recherches enregistrées
6.5.2 Pour exécuter une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez effectuer.
2 Cliquez sur le nom de la recherche enregistrée (ou sur le début de cette ligne).
Les résultats de votre recherche s'affichent.
Pour savoir quoi faire ensuite, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 93 .
6.5.3 Pour modifier une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez réviser.
2 Cliquez sur Modifier sur la ligne de cette recherche enregistrée.
Cela permet d'accéder à la page de recherche pour modifier les critères de recherche.
3 Effectuez la révision des critères de recherche conformément aux instructions de ces sections :
Section 6.2, « Effectuer des recherches de base », page 82
Section 6.3, « Effectuer des recherches avancées », page 83
6.5.4 Pour supprimer une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez supprimer.
2 Cliquez sur Supprimer sur la ligne de cette recherche enregistrée.
3 Lorsque vous y êtes invité, cliquez sur OK pour confirmer la suppression.
100 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion des mots de passe
Cette section indique comment utiliser la page Gestion des mots de passe de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 7.1, « À propos de la gestion des mots de passe », page 101
Section 7.2, « Stimulation-réponse de mot de passe », page 102
Section 7.3, « Modification de l'indice du mot de passe », page 103
Section 7.4, « Modifier le mot de passe », page 103
Section 7.5, « État de la stratégie de mot de passe », page 104
Section 7.6, « Statut de synchronisation des mots de passe », page 105
Remarque : cette section décrit les fonctions par défaut des pages de gestion des mots de passe. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
7.1 À propos de la gestion des mots de passe
Les pages de gestion des mots de passe permettent d'utiliser les fonctions énumérées au
.
Tableau 7-1
Fonctions de gestion des mots de passe
Cette page de gestion des mots de passe
Permet
Stimulation-réponse de mot de passe De définir ou modifier l'un des éléments suivants :
Vos réponses valides aux stimulations-réponses définies par l'administrateur
Stimulations questions et réponses définies par l'administrateur
Modification de l'indice du mot de passe
Modifier le mot de passe
De définir ou modifier l'indice de votre mot de passe.
De modifier (réinitialiser) votre mot de passe, conformément aux règles établies par votre administrateur système.
État de la stratégie de mot de passe De vérifier les exigences de votre stratégie de mot de passe.
Statut de synchronisation des mots de passe
D'afficher le statut de synchronisation des mots de passe de l'application avec le coffre-fort d'identité.
Remarque : l'accès à des applications avant la fin de la synchronisation provoque des problème d'accès à l'application.
7
Gestion des mots de passe
101
7.2 Stimulation-réponse de mot de passe
Les stimulations questions permettent de vérifier votre identité en cours du login lorsque vous avez oublié votre mot de passe. Si l'administrateur système a défini une stratégie de mot de passe qui active automatiquement cette fonction, vous pouvez utiliser la page Stimulation-réponse de mot de passe pour :
Indiquer les réponses valides lorsque vous répondez aux questions définies par l'administrateur
Indiquer vos propres questions et les réponses valides (si votre stratégie de mot de passe le permet)
Pour utiliser la page Stimulation-réponse de mot de passe :
1 Dans l'onglet Self-service d'identité, cliquez sur Stimulation-réponse de mot de passe > dans le
menu (sous Gestion des mots de passe).
La page Stimulation-réponse de mot de passe s'affiche. Par exemple :
2 Saisissez une réponse appropriée dans chaque zone de texte Réponse (elles sont toutes obligatoires) ou utilisez votre réponse déjà enregistrée. Si l'option Voulez-vous utiliser la
réponse stockée ? est sélectionnée, les réponses de vérification d'identité, y compris les libellés, ne sont pas affichées. En outre, les questions de vérification d'identité définies par l'utilisateur sont désactivées.
Veillez à indiquer des réponses dont vous vous souviendrez ultérieurement.
3 Indiquez ou modifiez les questions définies par l'utilisateur qui sont requises. Il est déconseillé d'utiliser la même question plus d'une fois.
4 Cliquez sur Soumettre.
Après avoir enregistré les réponses de vérification d'identité, l'application utilisateur affiche un message indiquant que les réponses de vérification d'identité ont bien été enregistrées et présente à nouveau l'écran de réponse de vérification d'identité avec l'option « Voulez-vous utiliser la réponse stockée ? » sélectionnée.
102 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7.3 Modification de l'indice du mot de passe
L'indice du mot de passe est utilisé au cours du login pour vous aider à vous rappeler de votre mot de passe si vous l'avez oublié. La page Modification de l'indice du mot de passe permet de définir ou de modifier votre indice de mot de passe.
1 Dans l'onglet Self-service d'identité, cliquez sur Modification de l'indice de mot de passe >
dans le menu (sous Gestion des mots de passe).
La page Définition de l'indice de mot de passe s'affiche :
2 Saisissez le nouveau texte de votre indice.
Votre mot de passe ne peut pas apparaître au sein du texte de l'indice.
3 Cliquez sur Soumettre.
L'état de votre requête s'affiche.
7.4 Modifier le mot de passe
Vous pouvez utiliser cette page chaque fois que vous avez besoin de modifier votre mot de passe (à la condition que l'administrateur système vous en ait accordé l'autorisation).
1 Dans l'onglet Self-service d'identité, cliquez sur Modifier le mot de passe > dans le menu (sous
Gestion des mots de passe).
La page Modifier le mot de passe s'affiche. Si l'administrateur système a défini une stratégie de mot de passe pour vous, la page Modifier le mot de passe affiche généralement des informations indiquant comment spécifier un mot de passe qui corresponde aux exigences de la stratégie. Par exemple :
Gestion des mots de passe 103
En l'absence de stratégie de mot de passe applicable, la page Éditer le mot de passe de base, contenant simplement des champs permettant de modifier votre mot de passe, s'affiche.
2 Saisissez votre mot de passe actuel dans la zone de texte Ancien mot de passe.
3 Saisissez votre nouveau mot de passe dans la zone de texte Nouveau mot de passe.
4 Saisissez de nouveau votre nouveau mot de passe dans la zone de texte Retapez le mot de
passe.
5 Cliquez sur Soumettre.
6 Vous serez invité à fournir un indice de mot de passe, si la stratégie de sécurité configurée par
.
7 L'état de votre requête est affiché.
7.5 État de la stratégie de mot de passe
Une stratégie de mot de passe vous est assignée par votre administrateur. Cette stratégie détermine les mesures de sécurité associées à votre mot de passe. Vous pouvez vérifier les exigences de votre stratégie de mot de passe de la façon suivante :
1 Dans l'onglet Self-service d'identité, cliquez sur État de la stratégie de mot de passe dans le menu (sous Gestion des mots de passe). La page État de la stratégie de mot de passe s'affiche.
Par exemple :
Les éléments libellés non valides sont des éléments que vous ne pouvez pas modifier.
104 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7.6 Statut de synchronisation des mots de passe
La page Statut de synchronisation des mots de passe permet de déterminer si votre mot de passe a
été synchronisé dans les applications. Accédez à une autre application uniquement après la synchronisation de votre mot de passe. L'accès à des applications avant la fin de la synchronisation provoque des problème d'accès à l'application.
1 Dans l'onglet Self-service d'identité, cliquez sur Statut de synchronisation des mots de passe dans le menu (sous Gestion des mots de passe). La page Statut de synchronisation des mots de
passe s'affiche. Les icônes sur lesquelles les couleurs apparaissent indiquent les applications pour lesquelles le mot de passe est synchronisé. Les icônes estompées indiquent les applications qui ne sont pas encore synchronisées. Par exemple :
Remarque : seul l'administrateur peut voir la zone Sélectionner un utilisateur.
Gestion des mots de passe 105
106 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Création d'utilisateurs ou de groupes
Cette section indique comment utiliser la page Créer utilisateur ou groupe de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 8.1, « À propos de la création d'utilisateurs ou de groupes », page 107
Section 8.2, « Création d'un utilisateur », page 107
Section 8.3, « Création d'un groupe », page 109
Section 8.4, « Utilisation des boutons de modification », page 111
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
8.1 À propos de la création d'utilisateurs ou de groupes
Les administrateurs système peuvent utiliser la page Créer utilisateur ou groupe pour créer des utilisateurs ou des groupes. L'administrateur système peut accorder à d'autres utilisateurs
(généralement sélectionnés à des postes d'administration ou de direction) l'accès à cette page.
Il se peut que vous rencontriez des différences par rapport aux fonctions décrites dans cette section, du fait du rôle de votre poste, de votre niveau d'autorité ou des modifications personnalisées réalisées par votre entreprise. Pour plus de détails, consultez l'administrateur système.
La description détaillée de l'activation de l'accès à la page Créer un utilisateur ou un groupe est fournie à la section « Administration des pages » du
Guide d'administration de l'application
utilisateur Identity Manager (http://www.novell.com/documentation/idmrbpm37/index.html) . Pour activer l'accès, ouvrez iManager, ajoutez l'utilisateur en tant qu'ayant droit, et ajoutez le droit assigné nommé Créer à l'ayant droit.
Pour vérifier les utilisateurs et les groupes qui existent, utilisez la page Recherche dans l'annuaire.
Reportez-vous au
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 79
.
8.2 Création d'un utilisateur
1 Dans l'onglet Self-service d'identité, cliquez sur Créer utilisateur ou groupe dans le menu (sous
Gestion de l'annuaire, si cette option est affichée).
Le panneau Sélectionnez l'objet à créer s'affiche.
2 Utilisez la liste déroulante Type d'objet pour sélectionner Utilisateur, puis cliquez sur
Continuer.
Le panneau Utilisateur - Définir des attributs s'affiche :
8
Création d'utilisateurs ou de groupes
107
3 Spécifiez des valeurs pour les attributs requis suivants :
Attribut
ID utilisateur
Conteneur
Prénom
Nom de famille
Que faut-il spécifier ?
Le nom d'utilisateur de ce nouvel utilisateur.
Une unité organisationnelle dans le coffre-fort d'identité sous lequel vous voulez stocker le nouvel utilisateur (par exemple un utilisateur nommé OU). Par exemple : ou=users,ou=MyUnit,o=MyOrg
Pour connaître l'utilisation des boutons fournis pour spécifier un
conteneur, reportez-vous à la Section 8.4, « Utilisation des boutons de modification », page 111 .
Vous ne serez pas invité à fournir un conteneur si l'administrateur système a établi un « créer un conteneur » par défaut pour ce type d'objet.
Prénom de l'utilisateur.
Nom de l'utilisateur.
108 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Indiquez des informations en option concernant ce nouvel utilisateur, telles que le titre, le service, la région, l'adresse électronique, le gestionnaire ou le numéro de téléphone.
Pour connaître l'utilisation des boutons fournis pour spécifier les valeurs de certains attributs,
reportez-vous à la Section 8.2, « Création d'un utilisateur », page 107
.
5 Cliquez sur Continuer.
Le panneau Créer un mot de passe s'affiche :
Si une stratégie de mot de passe est en vigueur pour le conteneur cible, ce panneau fournit des informations concernant la manière de spécifier un mot de passe respectant les exigences de cette stratégie. Le mot de passe est également validé par rapport à cette stratégie.
6 Saisissez le mot de passe du nouvel utilisateur dans les zones de texte Mot de passe et
Confirmer le mot de passe, puis cliquez sur Continuer.
Cela définit le mot de passe initial du nouvel utilisateur. Lorsque cet utilisateur se logue pour la première fois, l'application utilisateur Identity Manager l'invite à modifier ce mot de passe.
L'utilisateur et le mot de passe sont créés, puis le panneau Vérifiez les informations ci-dessous. s'affiche pour récapituler le résultat :
Le panneau Vérifiez les informations ci-dessous. offre des liens optionnels qui peuvent s'avérer pratiques :
Cliquez sur le nom du nouvel utilisateur pour afficher la page Profil des informations détaillées de cet utilisateur. Dans la page Profil, vous pouvez éditer les informations détaillées de l'utilisateur pour le modifier ou le supprimer.
Cliquez sur Créer un autre objet pour retourner au panneau initial de la page Créer utilisateur ou groupe
8.3 Création d'un groupe
1 Dans l'onglet Self-service d'identité, cliquez sur Créer utilisateur ou groupe dans le menu (sous
Gestion de l'annuaire si cette option est affichée).
Le panneau Sélectionner l'objet à créer s'affiche.
2 Utilisez la liste déroulante Type d'objet pour sélectionner Groupe, puis cliquez sur Continuer.
Le panneau Définir des attributs pour ce groupe s'affiche :
Création d'utilisateurs ou de groupes 109
3 Spécifiez des valeurs pour les attributs requis suivants :
Attribut
ID de groupe
Conteneur
Que faut-il spécifier ?
Le nom de groupe de ce nouveau groupe.
Une unité organisationnelle dans le coffre-fort d'identité sous lequel vous voulez stocker le nouveau groupe (par exemple un groupe nommé
OU). Par exemple : ou=groups,ou=MyUnit,o=MyOrg
Pour connaître l'utilisation des boutons fournis pour spécifier un
conteneur, reportez-vous à la Section 8.2, « Création d'un utilisateur », page 107 .
Remarque : vous ne serez pas invité à fournir un Conteneur si l'administrateur système a établi un « créer un conteneur » par défaut pour ce type d'objet.
La description de ce nouveau groupe. Description
4 Cliquez sur Continuer.
Le groupe est créé, puis le panneau Vérifiez les informations ci-dessous. s'affiche pour récapituler le résultat :
110 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le panneau Vérifiez les informations ci-dessous. offre des liens optionnels qui peuvent s'avérer pratiques :
Cliquez sur le nom du nouvel utilisateur pour afficher la page Profil des informations détaillées de ce groupe.
Dans la page Profil, vous pouvez éditer les informations détaillées du groupe pour le modifier ou le supprimer.
Cliquez sur Créer un autre objet pour retourner au panneau initial de la page Créer utilisateur ou groupe.
8.4 Utilisation des boutons de modification
Le
répertorie les boutons d'édition qui permettent de spécifier les valeurs des attributs.
Tableau 8-1
Boutons d'édition qui permettent de spécifier les utilisateurs et les groupes
Bouton Fonction
Recherche une valeur à utiliser dans une entrée.
Réinitialise la valeur d'une entrée sélectionnée.
Ajoute une nouvelle entrée. Vous pouvez ajouter plusieurs entrées.
Indique qu'il existe plusieurs entrées.
Supprime une entrée sélectionnée et sa valeur.
Important : il est possible d'utiliser la page Modifier l'utilisateur de l'onglet Self-service d'identité pour rompre la structure de rapport hiérarchique. Par exemple, vous pouvez ajouter un rapport direct
à un gestionnaire même si un autre gestionnaire lui est assigné, ou vous pouvez faire rendre compte un gestionnaire à une personne de son entreprise.
8.4.1 Pour rechercher un conteneur
1 Cliquez sur Recherche à droite d'une entrée pour laquelle vous voulez rechercher un conteneur.
La page Recherche affiche une arborescence des conteneurs :
Création d'utilisateurs ou de groupes 111
Vous pouvez développer ou réduire les noeuds de l'arborescence (via les boutons + ou -) pour rechercher le conteneur que vous souhaitez.
2 Si nécessaire, indiquez les critères de recherche du conteneur.
Dans la zone de texte, saisissez tout ou partie du nom du conteneur à rechercher. La recherche trouve chacun des noms de conteneur commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent les utilisateurs nommés du conteneur :
Users users u u*
*s
*r*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
112 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Sélectionnez le conteneur de votre choix dans l'arborescence.
La page Recherche se ferme et insère le nom de ce conteneur dans l'entrée appropriée.
8.4.2 Pour rechercher un utilisateur
1 Cliquez sur Recherche à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
Création d'utilisateurs ou de groupes 113
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
Une recherche de gestionnaire ne recherche que les utilisateurs qui sont des gestionnaires.
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
114 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée.
8.4.3 Pour utiliser la liste Historique
1 Cliquez sur Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes) :
La liste Historique s'affiche avec ses valeurs par ordre alphabétique :
Création d'utilisateurs ou de groupes 115
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionner dans la liste
Historique
Effacer la liste Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée.
Cliquez sur Effacer l'historique.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée.
116 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de l'onglet Tableau de bord de travail
Ces sections décrivent l'utilisation de l'onglet Tableau de bord de travail de l'application utilisateur
Identity Manager.
Chapitre 9, « Présentation de l'onglet Tableau de bord de travail », page 119
Chapitre 10, « Gestion de votre travail », page 139
Chapitre 12, « Contrôle de vos paramètres », page 197
Chapitre 13, « Effectuer une requête de processus », page 233
Chapitre 14, « Lancement du module de création de rapports Identity », page 237
III
Utilisation de l'onglet Tableau de bord de travail
117
118 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Présentation de l'onglet Tableau de bord de travail
Cette section présente l'onglet Tableau de bord de travail. Les rubriques sont les suivantes :
Section 9.1, « À propos de l'onglet Tableau de bord de travail », page 119
Section 9.2, « Accès à l'onglet Tableau de bord de travail », page 119
Section 9.3, « Exploration des fonctions de l'onglet », page 120
Section 9.4, « Opérations du tableau de bord de travail que vous pouvez effectuer », page 122
Section 9.5, « Signification des icônes du tableau de bord de travail », page 123
Section 9.6, « Autorisations de sécurité pour le tableau de bord de travail », page 126
9.1 À propos de l'onglet Tableau de bord de travail
L'onglet Tableau de bord de travail offre une interface unique consolidée pour toutes les fonctions d'utilisateur final dans l'application utilisateur Identity Manager. L'onglet Tableau de bord de travail offre un moyen pratique de gérer les tâches, les ressources et les rôles. De plus, il vous permet de vérifier l'état des requêtes et de changer les paramètres dans l'application utilisateur. L'onglet
Tableau de bord de travail ne présente que les fonctions les plus pertinentes de l'application, ce qui permet de vous concentrer sur votre travail.
Lorsqu'une requête requiert l'autorisation d'un ou de plusieurs individus au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes ne nécessitent l'approbation que d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Lorsqu'une requête est initiée, l'application utilisateur assure le suivi de l'initiateur et du receveur.
L'initiateur est la personne qui a créé la requête. Le receveur est la personne pour qui la requête a été créée.
Votre concepteur de workflow et votre administrateur système sont responsables de la définition du contenu de l'onglet Tableau de bord de travail pour vous et les autres utilisateurs de votre entreprise.
Le flux de contrôle d'un workflow ainsi que l'apparence des formulaires peuvent varier selon la façon dont le concepteur et l'administrateur ont configuré l'application. En outre, les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
9.2 Accès à l'onglet Tableau de bord de travail
Par défaut, après vous être logué à l'interface utilisateur d'Identity Manager, l'onglet Tableau de bord
de travail s'ouvre :
9
Présentation de l'onglet Tableau de bord de travail
119
Figure 9-1
Tableau de bord de travail
Si vous ouvrez un autre onglet de l'interface utilisateur d'Identity Manager et souhaitez revenir à l'onglet Tableau de bord de travail, il vous suffit de cliquer dessus pour le rouvrir.
9.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Tableau de bord de travail. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
Le côté droit de l'onglet Tableau de bord de travail affiche plusieurs sections qui vous donnent accès aux opérations classiques du tableau de bord de travail. Ces sections sont décrites ci-dessous :
Tableau 9-1
Sections du tableau de bord de travail
Section
Notifications de tâches
Assignations de ressources
Assignations de rôles
Description
Permet de vérifier la file d'attente de workflow pour les tâches qui vous ont été assignées ou celles d'un autre utilisateur que vous êtes autorisé à gérer.
Permet de voir quelles assignations de ressources vous avez et de formuler des requêtes pour des assignations de ressources supplémentaires.
Permet de voir quels rôles vous avez et de formuler des requêtes pour des assignations de rôles supplémentaires.
120 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Section
État des requêtes
Description
Permet de voir l'état des requêtes que vous avez formulées. Cette section permet d'afficher l'état actuel de chaque requête. Elle vous donne en outre la possibilité de retirer une requête qui est toujours en traitement si vous avez changé d'avis et ne souhaitez plus qu'elle se poursuive.
L'affichage État des requêtes affiche les requêtes de provisioning, de rôles et de ressources dans une seule liste consolidée.
Le tableau de bord de travail comporte aussi une section Profil utilisateur dans le coin supérieur gauche de l'écran. Cette section de la page vous permet de gérer le travail pour d'autres utilisateurs, groupes, conteneurs et rôles. En outre, elle vous permet de gérer vos paramètres personnels et d'équipe et de formuler des requêtes de processus (dites aussi requêtes de provisioning).
Les opérations disponibles dans la section Profil utilisateur sont décrites ci-dessous :
Tableau 9-2
Opérations disponibles dans la section Profil utilisateur
Opération
Gérer
Paramètres
Description
Permet à l'utilisateur actuel de sélectionner un utilisateur, un groupe, un conteneur, un rôle ou une
équipe spécifique et d'utiliser l'interface Tableau de bord de travail afin de gérer le travail pour le type d'entité sélectionné. Après que l'utilisateur a sélectionné une entité, les données et les autorisations d'accès sur le tableau de bord de travail appartiennent à l'entité sélectionnée au lieu de l'utilisateur actuellement logué. Toutefois, lorsque l'utilisateur est en mode Gérer, les menus
Paramètres et Effectuer une requête de processus s'appliquent toujours à l'utilisateur logué et non à l'entité sélectionnée dans le contrôle Gérer.
Permet d'agir en tant que proxy pour un autre utilisateur et d'afficher vos assignations de proxy et de délégué. Si vous êtes un gestionnaire d'équipe ou l'administrateur de l'application de provisioning, il se peut également que vous soyez autorisé à définir des assignations de proxy et de délégué, ainsi que les paramètres de disponibilité de l'équipe.
Présentation de l'onglet Tableau de bord de travail 121
Opération
Effectuer une requête de processus
Description
Permet d'initier une requête de processus (dite aussi requête de provisioning). Par défaut, cette opération n'est pas incluse dans la section Profil utilisateur du tableau de bord de travail.
Le menu Effectuer une requête de processus ne permet pas d'effectuer des requêtes d'attestation, de ressources ou de rôles. L'interface servant à soumettre ces requêtes dépend du type de requête que vous souhaitez formuler, comme décrit cidessous :
Pour effectuer une requête d'attestation, vous devez utiliser les opérations Requêtes
d'attestation sous l'onglet Conformité.
Pour effectuer une requête de ressource, vous devez utiliser la section Assignations de
ressources de l'onglet Tableau de bord de
travail ou le Catalogue de ressources sous l'onglet Rôles et ressources.
Pour effectuer une requête de rôle, vous devez utiliser la section Assignations de rôles de l'onglet Tableau de bord de travail ou le
Catalogue de rôles sous l'onglet Rôles et
ressources.
9.4 Opérations du tableau de bord de travail que vous pouvez effectuer
Les sections du tableau de bord de travail prennent en charge les opérations suivantes :
Tableau 9-3
Opérations communes du tableau de bord de travail
Opération
Assigner
Supprimer
Rafraîchir
Personnaliser
Description
Assigne un rôle ou une ressource.
Disponible uniquement avec les opérations
Assignations de rôles et Assignations de
ressources.
Supprime une assignation de rôle ou de ressource.
Disponible uniquement avec les opérations
Assignations de rôles et Assignations de
ressources.
Rafraîchit l'affichage.
Permet de spécifier quelles colonnes s'affichent dans l'écran et l'ordre dans lequel elles apparaissent.
122 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Opération
Filtre
Lignes
Description
Permet de filtrer les données en fonction de critères de sélection.
Permet de contrôler le nombre de lignes présentées sur chaque page de l'écran.
Vous pouvez aussi trier les données de la liste en cliquant sur les en-têtes à l'écran.
Enregistrement des préférences utilisateur. Lorsque vous utilisez les opérations Personnaliser,
Filtre et Lignes pour personnaliser l'écran dans chacune des sections du tableau de bord de travail ou modifier l'ordre de tri des données affichées, vos personnalisations sont enregistrées dans le coffrefort d'identité avec vos autres préférences utilisateur. Pour que les préférences utilisateur puissent
être enregistrées, l'administrateur doit veiller à ce que les autorisations pour les attributs srvprvUserPrefs et srvprvQueryList soient configurées de manière à ce que l'utilisateur puisse écrire dans ces attributs.
9.5 Signification des icônes du tableau de bord de travail
Lorsque vous utilisez le tableau de bord de travail, de nombreuses icônes vous fournissent des informations importantes. Ces icônes sont les suivantes :
Figure 9-2
Icônes utilisées dans le tableau de bord de travail
Le tableau ci-dessous fournit une description détaillée des icônes utilisées dans le tableau de bord de travail :
Présentation de l'onglet Tableau de bord de travail 123
Tableau 9-4
Icônes du tableau de bord de travail
Icône
Réclamée
Exécution : traitement
Terminé : approuvé
Terminé : refusé
Interrompu : retiré
Interrompu : erreur
Éditer
Supprimer
Description
Indique si une tâche de workflow particulière a été réclamée par un utilisateur.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Indique qu'une requête particulière est toujours en cours de traitement.
Apparaît dans la section État des requêtes du tableau de bord de travail.
Indique que le traitement d'une requête particulière est terminé et que celle-ci a été approuvée.
Apparaît dans la section État des requêtes du tableau de bord de travail.
Indique que le traitement d'une requête particulière est terminé et que celle-ci a été refusée.
Apparaît dans la section État des requêtes du tableau de bord de travail.
Indique qu'une requête particulière a été retirée par un utilisateur
(celui qui a soumis la requête, un gestionnaire d'équipe, un administrateur de domaine ou un gestionnaire de domaine).
Apparaît dans la section État des requêtes du tableau de bord de travail.
Indique qu'une requête particulière a été interrompue du fait d'une erreur.
Apparaît dans la section État des requêtes du tableau de bord de travail.
Permet de modifier une assignation de proxy ou de délégué. Pour modifier l'assignation, sélectionnez-la et cliquez sur l'icône
Modifier.
Apparaît sur les pages Mes assignations de proxy, Mes
assignations de délégué, Assignations du proxy de l'équipe,
Assignations du délégué de l'équipe, Modifier la disponibilité et
Disponibilité de l'équipe.
Permet de supprimer une assignation de proxy ou de délégué.
Pour supprimer l'assignation, sélectionnez-la et cliquez sur l'icône
Supprimer.
Apparaît sur les pages Mes assignations de proxy, Mes
assignations de délégué, Assignations du proxy de l'équipe,
Assignations du délégué de l'équipe, Modifier la disponibilité et
Disponibilité de l'équipe.
124 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Icône
Plusieurs destinataires sont autorisés
Assigné au délégué
Assigné à l'utilisateur
Assigné au groupe
Assigné à un rôle
Assigné à plusieurs approbateurs
Description
Indique que cette ressource prend en charge plusieurs receveurs.
Lorsqu'une ressource prend en charge plusieurs receveurs, l'opération Effectuer des requêtes de processus d'équipe permet de sélectionner plusieurs utilisateurs comme receveurs.
Apparaît sur la page Effectuer des requêtes de processus
d'équipe.
Indique qu'une tâche de workflow particulière a été déléguée par un autre utilisateur. Cette tâche apparaît dans la file d'attente de l'utilisateur actuel car le délégataire d'origine s'est déclaré indisponible. Du fait que l'utilisateur actuel est le délégué du délégataire d'origine, cet utilisateur voit la tâche.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Indique qu'une tâche de workflow particulière a été assignée à un utilisateur.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Indique qu'une tâche de workflow particulière a été assignée à un groupe.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Indique qu'une tâche de workflow a été assignée à un rôle.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Indique qu'une tâche de workflow particulière a été assignée à plusieurs utilisateurs.
Cette icône s'applique dans les situations suivantes :
Cette tâche a été assignée à un groupe de destinataires, mais un seul destinataire peut la réclamer et l'approuver.
Lorsque cette approbation est accordée, l'exécution de la tâche est considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et tous doivent la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et un quorum d'utilisateurs doit la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée. La définition d'un quorum est configurée par l'administrateur.
Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Apparaît dans la section Notifications de tâches du tableau de bord de travail.
Présentation de l'onglet Tableau de bord de travail 125
Icône
Disponible pour TOUTES les requêtes
NON disponible pour les requêtes spécifiées
NON disponible pour N'IMPORTE quelle requête
Description
Indique qu'un utilisateur est disponible pour tout type de requête de processus. Ce paramètre s'applique à la délégation.
Apparaît dans les pages Modifier la disponibilité et Disponibilité
de l'équipe.
Indique qu'un utilisateur n'est pas disponible pour certaines requêtes de processus pendant une période donnée. Ce paramètre s'applique à la délégation Pendant la période où l'utilisateur n'est pas disponible pour ces requêtes, l'utilisateur délégué pour agir sur ces requêtes peut travailler sur elles.
Apparaît dans les pages Modifier la disponibilité et Disponibilité
de l'équipe.
Indique qu'un utilisateur n'est disponible pour aucune des requêtes de processus présentes actuellement sur le système.
Ce paramètre s'applique à la délégation Pendant la période où l'utilisateur n'est pas disponible pour une requête, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
Apparaît dans les pages Modifier la disponibilité et Disponibilité
de l'équipe.
9.6 Autorisations de sécurité pour le tableau de bord de travail
Cette section décrit les autorisations nécessaires à chaque utilisateur pour effectuer diverses opérations dans le tableau de bord de travail. Les rubriques sont les suivantes :
Section 9.6.1, « Self-service des utilisateurs », page 126
Section 9.6.2, « Administrateur de domaine en mode de gestion », page 128
Section 9.6.3, « Gestionnaire de domaine en mode de gestion », page 131
Section 9.6.4, « Gestionnaire d'équipe en mode de gestion », page 134
9.6.1 Self-service des utilisateurs
L'utilisateur authentifié peut effectuer des opérations de self-service pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.
126 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 9-5
Notifications de tâches pour le self-service des utilisateurs
Pour effectuer cette opération...
Afficher la tâche dans la liste
L'utilisateur authentifié doit être...
Et il doit avoir ces autorisations...
Destinataire de la tâche
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Aucune.
Remarque : en mode selfservice, l'administrateur ou le gestionnaire de domaine peuvent aussi afficher les tâches dont ils sont les receveurs.
Afficher et utiliser les détails de la tâche
Destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Afficher les commentaires de workflow
Destinataire de la tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Aucune.
Aucune.
L'utilisateur authentifié nécessite des droits de consultation des entrées pour assigner ou supprimer des assignations de rôles et de ressources, comme décrit dans le tableau ci-dessous.
Tableau 9-6
Assignations de rôles et de ressources pour le self-service des utilisateurs
Pour effectuer cette opération...
Afficher le rôle ou la ressource dans la liste
Assigner ou supprimer une assignation pour un rôle ou une ressource
L'utilisateur authentifié doit être...
Et il doit avoir ces autorisations...
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Receveur.
Les opérations Accorder et
Révoquer s'appliquent à l'utilisateur authentifié uniquement.
Aucune.
Ayant droit (consultation des entrées).
L'utilisateur authentifié nécessite des droits de consultation des entrées pour certaines opérations d'état de requête, comme décrit dans le tableau ci-dessous.
Présentation de l'onglet Tableau de bord de travail 127
Tableau 9-7
État de requête pour le self-service des utilisateurs
Pour effectuer cette opération...
L'utilisateur authentifié doit être...
Et il doit avoir ces autorisations...
Afficher les requêtes de processus dans une liste
Afficher et utiliser le détail de la requête de processus
Initiateur ou receveur.
Aucune.
Initiateur ou receveur (si l'option
Limiter l'affichage est définie sur faux dans Designer).
Si l'option Limiter l'affichage est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation.
Ayant droit (consultation des entrées).
Ayant droit (consultation des entrées).
Retirer les requêtes de processus Initiateur et receveur.
La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée.
Afficher les commentaires de workflow pour les requêtes de processus
Initiateur ou receveur (si l'option
Limiter l'affichage est définie sur faux dans Designer).
Ayant droit (consultation des entrées).
Si l'option Limiter l'affichage est définie sur vrai, l'affichage est limité aux tâches initiées par l'utilisateur, même si celui-ci dispose de droits de consultation.
Afficher les requêtes de rôles ou de ressources dans une liste
Initiateur ou receveur.
Initiateur ou receveur.
Afficher et utiliser le détail de la requête de rôle ou de ressource
Retirer des requêtes de rôles ou de ressources
Initiateur et receveur.
La requête doit être retirable, autrement dit, elle ne peut pas avoir été approuvée, refusée, annulée ni provisionnée.
Aucune.
Ayant droit (consultation des entrées).
Ayant droit (consultation des entrées).
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources
Initiateur ou receveur.
Ayant droit de rôle/ressource
(consultation des entrées).
9.6.2 Administrateur de domaine en mode de gestion
En mode de gestion, l'administrateur de domaine peut effectuer des opérations pour des tâches dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau cidessous.
128 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 9-8
Notifications de tâches pour l'administrateur de domaine en mode de gestion
Pour effectuer cette opération...
Afficher la tâche dans une liste
Afficher et utiliser le détail de la tâche
Afficher les commentaires de workflow
L'utilisateur, le groupe, le conteneur ou le rôle géré doit
être...
Destinataire ou receveur d'une tâche.
Et l'administrateur de domaine doit disposer de ces autorisations...
Aucune.
Remarque : un rôle ne peut pas
être le receveur d'une tâche. Il ne peut en être que le destinataire.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Destinataire ou receveur d'une tâche.
Aucune.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Destinataire ou receveur d'une tâche.
Aucune.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
En mode de gestion, l'administrateur de domaine peut effectuer toutes les opérations d'assignations de rôles et de ressources dans le tableau de bord de travail sans aucune permission de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-9
Assignations de rôles et de ressources pour les administrateurs de domaine en mode de gestion
Pour effectuer cette opération...
Afficher le rôle ou la ressource dans une liste
L'utilisateur, le groupe ou le conteneur géré doit être...
Et l'administrateur de domaine doit disposer de ces autorisations...
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Aucune.
Présentation de l'onglet Tableau de bord de travail 129
Pour effectuer cette opération...
Assigner ou supprimer une assignation pour un rôle ou une ressource
L'utilisateur, le groupe ou le conteneur géré doit être...
Et l'administrateur de domaine doit disposer de ces autorisations...
Receveur. Aucune.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Dans le tableau de bord de travail, l'administrateur de domaine peut modifier, assigner ou supprimer toutes les assignations de rôles, à l'exception des assignations de rôles système ne figurant pas dans le domaine qu'il est autorisé
à administrer. Cela signifie que l'administrateur de domaine de rôles peut supprimer des assignations d'administrateur et de gestionnaire de rôles, mais n'est pas autorisé à supprimer des assignations d'administrateur ou de gestionnaire de ressources.
Un administrateur peut afficher et
éditer n'importe quelle ressource.
En mode de gestion, l'administrateur de domaine peut effectuer des opérations de self-service pour l'état des requêtes dans le tableau de bord de travail sans aucune autorisation de sécurité, comme décrit dans le tableau ci-dessous.
Tableau 9-10
État des requêtes pour les administrateurs de domaine en mode de gestion
Pour effectuer cette opération...
L'utilisateur, le groupe ou le conteneur géré doit être...
Afficher les requêtes de processus dans une liste
Afficher et utiliser le détail de la requête de processus
Initiateur ou receveur.
Initiateur ou receveur.
Retirer les requêtes de processus Initiateur ou receveur.
Initiateur ou receveur.
Afficher les commentaires de workflow pour les requêtes de processus
Afficher les requêtes de rôles ou de ressources dans une liste
Initiateur ou receveur.
Et l'administrateur de domaine doit disposer de ces autorisations...
Aucune.
Aucune.
Aucune.
Aucune.
Aucune.
130 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour effectuer cette opération...
L'utilisateur, le groupe ou le conteneur géré doit être...
Et l'administrateur de domaine doit disposer de ces autorisations...
Afficher et utiliser le détail de la requête de rôle ou de ressource
Retirer des requêtes de rôles ou de ressources
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources
Initiateur ou receveur.
L'administrateur de domaine ne voit pas les requêtes pour les rôles système.
Aucune.
L'administrateur de domaine peut afficher toutes les requêtes de rôles, sauf les requêtes de rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.
Aucune. Initiateur ou receveur.
La requête doit être dans un état retirable.
L'administrateur de domaine ne peut pas retirer les requêtes pour les rôles système.
L'administrateur de domaine peut retirer toutes les requêtes de rôles, sauf les requêtes de rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.
Initiateur ou receveur. Aucune.
L'administrateur de domaine ne peut pas afficher les commentaires de workflow pour les rôles système.
L'administrateur de domaine peut afficher et éditer tous les rôles, sauf les rôles système.
Un administrateur de domaine peut afficher et éditer n'importe quelle ressource.
9.6.3 Gestionnaire de domaine en mode de gestion
En mode de gestion, le gestionnaire de domaine peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Présentation de l'onglet Tableau de bord de travail 131
Tableau 9-11
Notifications de tâches pour les gestionnaires de domaine en mode de gestion
Pour effectuer cette opération...
Afficher la tâche dans une liste
Afficher le détail de la tâche
Afficher les commentaires de workflow
L'utilisateur, le groupe, le conteneur ou le rôle géré doit
être...
Destinataire ou receveur d'une tâche.
Et le gestionnaire de domaine doit disposer de ces autorisations...
Aucune.
Remarque : un rôle ne peut pas
être le receveur d'une tâche. Il ne peut en être que le destinataire.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Destinataire ou receveur d'une tâche.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Gestion de la tâche du destinataire
Gérer la tâche du destinataire
En mode de gestion, le gestionnaire de domaine peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles et des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-12
Assignations de rôles et de ressources pour les gestionnaires de domaine en mode de gestion
Pour effectuer cette opération...
Afficher le rôle ou la ressource dans une liste
L'utilisateur, le groupe ou le conteneur géré doit être...
Et le gestionnaire de domaine doit disposer de ces autorisations...
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Aucune.
132 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour effectuer cette opération...
Assigner ou supprimer une assignation pour un rôle ou une ressource
L'utilisateur, le groupe ou le conteneur géré doit être...
Et le gestionnaire de domaine doit disposer de ces autorisations...
Receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
Assigner le rôle à l'utilisateur
Révoquer le rôle de l'utilisateur
Assigner un rôle au groupe et au conteneur
Révoquer le rôle du groupe et du conteneur
Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :
Assigner la ressource
Révoquer la ressource
En mode de gestion, le gestionnaire de domaine peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité, mais il doit disposer d'une autorisation pour afficher les détails des requêtes et les commentaires de workflow, ainsi que pour retirer des requêtes, comme décrit dans le tableau ci-dessous.
Tableau 9-13
État des requêtes pour les gestionnaires de domaine en mode de gestion
Pour effectuer cette opération...
L'utilisateur, le groupe ou le conteneur géré doit être...
Initiateur ou receveur.
Afficher les requêtes de processus dans une liste
Afficher et utiliser le détail de la requête de processus
Initiateur ou receveur.
Retirer les requêtes de processus Initiateur ou receveur.
Afficher les commentaires de workflow pour les requêtes de processus
Initiateur ou receveur.
Afficher les requêtes de rôles ou de ressources dans une liste
Initiateur ou receveur.
Et le gestionnaire de domaine doit disposer de ces autorisations...
Aucune.
Afficher les définitions de requête de provisioning en cours d'exécution
Retirer la PRD
Afficher les définitions de requête de provisioning en cours d'exécution
Aucune.
Présentation de l'onglet Tableau de bord de travail 133
Pour effectuer cette opération...
L'utilisateur, le groupe ou le conteneur géré doit être...
Et le gestionnaire de domaine doit disposer de ces autorisations...
Afficher et utiliser le détail de la requête de rôle ou de ressource
Retirer des requêtes de rôles ou de ressources
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources
Initiateur ou receveur.
Afficher le rôle ou Afficher la ressource
L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources.
Initiateur ou receveur.
La requête doit être dans un état retirable.
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
Assigner le rôle à l'utilisateur
Assigner un rôle au groupe et au conteneur
Mettre à jour le rôle
Révoquer le rôle de l'utilisateur
Révoquer le rôle du groupe et du conteneur
L'autorisation d'ayant droit suivante pour une ressource :
Initiateur ou receveur.
Révoquer la ressource
Afficher le rôle ou Afficher la ressource
9.6.4 Gestionnaire d'équipe en mode de gestion
En mode de gestion, le gestionnaire d'équipe peut afficher des tâches sans aucune autorisation de sécurité. En revanche, pour l'affichage des détails des tâches et des commentaires de workflow, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
134 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 9-14
Notifications de tâches pour les gestionnaires d'équipe en mode de gestion
Pour effectuer cette opération...
Afficher la tâche dans une liste
Afficher le détail de la tâche
Afficher les commentaires de workflow
L'utilisateur géré doit être...
Et le gestionnaire d'équipe doit avoir ces autorisations...
Un membre de l'équipe ainsi que le destinataire de la tâche.
Aucune.
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Un membre de l'équipe ainsi que le destinataire de la tâche.
Gestion de la tâche du destinataire
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
Un membre de l'équipe ainsi que le destinataire de la tâche.
Gérer la tâche du destinataire
La tâche peut aussi être déléguée à cet utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
En mode de gestion, le gestionnaire d'équipe peut afficher les assignations de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour assigner des rôles ou des ressources ou supprimer des assignations existantes, il doit être dûment autorisé, comme décrit dans le tableau cidessous.
Tableau 9-15
Assignations de rôles et de ressources pour les gestionnaires d'équipe en mode de gestion
Pour effectuer cette opération...
Afficher le rôle ou la ressource dans une liste
L'utilisateur géré doit être...
Un membre de l'équipe sélectionnée.
L'utilisateur doit aussi être le receveur.
La liste d'assignations de rôles inclut des assignations pour les groupes et les conteneurs auxquels l'utilisateur appartient.
La liste d'assignations de ressources inclut des assignations pour l'utilisateur géré uniquement.
Et le gestionnaire d'équipe doit avoir ces autorisations...
Aucune.
Présentation de l'onglet Tableau de bord de travail 135
Pour effectuer cette opération...
Assigner ou supprimer une assignation pour un rôle ou une ressource
L'utilisateur géré doit être...
Et le gestionnaire d'équipe doit avoir ces autorisations...
Un membre de l'équipe sélectionnée.
L'utilisateur doit aussi être le receveur.
La liste des assignations comprend les assignations pour les groupes et conteneurs auxquels l'utilisateur appartient.
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
Assigner le rôle à l'utilisateur
Révoquer le rôle de l'utilisateur
Assigner un rôle au groupe et au conteneur
Révoquer le rôle du groupe et du conteneur
Une ou plusieurs des autorisations d'ayant droit suivantes pour une ressource :
Assigner la ressource
Révoquer la ressource
En mode de gestion, le gestionnaire d'équipe peut afficher les requêtes de processus, de rôles et de ressources sans aucune autorisation de sécurité. En revanche, pour afficher les détails de requête et les commentaires de workflow, ainsi que pour retirer des requêtes, il doit être dûment autorisé, comme décrit dans le tableau ci-dessous.
Tableau 9-16
État des requêtes pour les gestionnaires d'équipe en mode de gestion
Pour effectuer cette opération...
L'utilisateur géré doit être...
Afficher les requêtes de processus dans une liste
Afficher et utiliser le détail de la requête de processus
Initiateur ou receveur.
Initiateur ou receveur.
Retirer les requêtes de processus Initiateur ou receveur.
Afficher les commentaires de workflow pour les requêtes de processus
Initiateur ou receveur.
Afficher les requêtes de rôles ou de ressources dans une liste
Initiateur ou receveur.
Et le gestionnaire d'équipe doit avoir ces autorisations...
Aucune.
Afficher les définitions de requête de provisioning en cours d'exécution
Retirer la PRD
Afficher les définitions de requête de provisioning en cours d'exécution
Aucune.
136 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour effectuer cette opération...
L'utilisateur géré doit être...
Et le gestionnaire d'équipe doit avoir ces autorisations...
Afficher et utiliser le détail de la requête de rôle ou de ressource
Retirer des requêtes de rôles ou de ressources
Afficher les commentaires de workflow pour les requêtes de rôles ou de ressources
Initiateur ou receveur.
Afficher le rôle ou Afficher la ressource
L'autorisation Afficher le rôle détermine si vous pouvez consulter les détails des requêtes de rôles dans la section État des requêtes du tableau de bord de travail. L'autorisation Afficher la ressource détermine si vous pouvez consulter les détails des requêtes de ressources.
Initiateur ou receveur.
La requête doit être dans un état retirable.
Une ou plusieurs des autorisations d'ayant droit suivantes pour un rôle :
Assigner le rôle à l'utilisateur
Assigner un rôle à l'utilisateur et au groupe
Mettre à jour le rôle
Révoquer le rôle de l'utilisateur
Révoquer le rôle du groupe et du conteneur
L'autorisation d'ayant droit suivante pour une ressource :
Initiateur ou receveur.
Révoquer la ressource
Afficher le rôle ou Afficher la ressource
Présentation de l'onglet Tableau de bord de travail 137
138 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion de votre travail
Cette section décrit les opérations prises en charge par la page Tableau de bord de travail Les rubriques sont les suivantes :
Section 10.1, « Utilisation des tâches », page 139
Section 10.2, « Utilisation des ressources », page 158
Section 10.3, « Utilisation des rôles », page 166
Section 10.4, « Affichage de l'état de vos requêtes », page 175
10.1 Utilisation des tâches
L'opération Notifications de tâches vous permet de vérifier la file d'attente de workflow pour les tâches qui vous ont été assignées ou celles d'un utilisateur, groupe, conteneur ou rôle que vous êtes autorisé à gérer. Lorsqu'une tâche se trouve dans votre file d'attente, vous devez effectuer l'une des opérations suivantes :
Réclamer la tâche pour pouvoir commencer à travailler dessus
Réassigner la tâche à un autre utilisateur, groupe ou rôle
Remarque : pour réassigner une tâche, vous devez être un administrateur du provisioning ou un gestionnaire du provisioning (ou d'équipe) disposant de l'autorisation Gérer la tâche du destinataire.
Si vous ne possédez pas cette dernière, le bouton Réassigner n'est pas disponible.
L'utilisateur n'ayant aucun privilège administratif ne peut voir que les tâches dont il est le destinataire. Il ne voit pas les tâches dont il est le receveur. La liste des tâches affichée pour l'utilisateur inclut des tâches non réclamées.
La tâche peut aussi être déléguée à l'utilisateur par le destinataire ou réclamée par cet utilisateur pour un groupe.
10
Remarque : l'utilisateur ne nécessite pas de droits de consultation des répertoires pour la définition de requête de provisioning qui a lancé le workflow afin de voir une tâche dont il est le destinataire.
L'administrateur et le gestionnaire du provisioning peuvent gérer des tâches pour d'autres utilisateurs, comme décrit ci-dessous :
Lorsque rien n'est sélectionné dans le contrôle Gérer, la liste de tâches affiche les tâches de l'utilisateur actuel. Ces tâches incluent celles dont il est le receveur ou le destinataire, ainsi que celles dont le receveur ou le destinataire est un groupe, un conteneur ou un rôle auquel appartient l'utilisateur actuel. L'administrateur ou le gestionnaire du provisioning peut faire ce que bon lui semble de ses tâches, puisqu'aucun droit n'est requis pour utiliser ses propres tâches.
Lorsqu'un utilisateur est sélectionné dans le contrôle Gérer, la liste montre les tâches ayant l'utilisateur sélectionné pour destinataire, ainsi que celles dont il est le receveur.
L'administrateur ou le gestionnaire du provisioning peut filtrer la liste des tâches pour ne montrer que celles dont l'utilisateur géré est le destinataire. L'utilisateur peut aussi filtrer la liste pour n'afficher que les tâches dont l'utilisateur géré est le receveur.
Gestion de votre travail
139
Lorsqu'un groupe est sélectionné, la liste montre les tâches ayant ce groupe pour destinataire, ainsi que celles dont il est le receveur. L'administrateur du provisioning ainsi que le gestionnaire du provisioning ou d'équipe peuvent filtrer la liste de tâches pour n'afficher que celles dont le groupe géré est le destinataire. L'utilisateur peut aussi filtrer la liste pour n'afficher que les tâches dont le groupe géré est le receveur.
Lorsqu'un rôle est sélectionné, la liste montre les tâches dont le rôle sélectionné est le destinataire. Un rôle ne peut pas être défini comme le receveur d'une tâche.
Lorsqu'un conteneur est sélectionné, la liste montre les tâches dont le conteneur sélectionné est le receveur. Un conteneur ne peut pas être défini comme le destinataire d'une tâche.
Un gestionnaire d'équipe pour le domaine de provisioning peut gérer les tâches des membres de l'équipe. Avant de sélectionner un membre d'une équipe, le gestionnaire d'équipe doit sélectionner une équipe.
L'opération Notifications de tâches permet de gérer des tâches associées à des requêtes de ressources, de rôles, de processus et d'attestation. Dans certains cas, l'interface utilisateur peut être différente selon le type de tâche que vous choisissez. Pour les requêtes d'attestation, l'opération
Notifications de tâches ne montre que les tâches pour lesquelles l'utilisateur actuel est désigné comme chargé d'attestation.
Lorsque vous réclamez une tâche associée à une requête de ressource, de rôle ou de processus, vous avez la possibilité d'effectuer une opération qui transfère l'élément de travail à l'activité suivante du workflow. Les opérations que vous pouvez effectuer sont décrites ci-dessous :
Tableau 10-1
Faire suivre des opérations
Faire suivre une opération
Approuver
Refuser
Refuser
Description
Permet de donner votre approbation à la tâche. Lorsque vous approuvez la tâche, l'élément de travail est transféré à l'activité suivante dans le workflow.
Permet de refuser explicitement votre approbation à la tâche. Lorsque vous refusez la tâche, l'élément de travail est transféré à l'activité suivante dans le workflow et la requête est refusée. En général, le processus de workflow se termine lorsqu'une requête est refusée.
Permet de refuser explicitement la tâche. Lorsque vous refusez la tâche, l'élément de travail est transféré à l'activité suivante concernant l'opération refusée dans le workflow.
L'opération Refuser s'applique aux tâches individuelles. L'interface utilisateur ne vous autorise pas à l'exécuter sur un ensemble de tâches.
Lorsque vous réclamez une tâche associée à une requête d'attestation, vous devez valider les informations affichées dans le formulaire d'attestation. En outre, vous devez répondre à la question d'attestation requise, qui indique si vous devez attester l'exactitude des données et, dans certains cas, répondre à une ou plusieurs questions d'enquête. Pour les processus d'attestation de profil utilisateur, le formulaire comporte les données de vos attributs d'utilisateur dont vous devez vérifier l'exactitude. Pour les processus d'assignation de rôle, d'assignation d'utilisateur, et d'attestation de
SoD, le formulaire comporte un rapport contenant l'assignation de rôle, l'assignation d'utilisateur ou les données de SoD que vous devez vérifier.
140 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
10.1.1 Affichage de la liste des tâches
Pour afficher les tâches qui vous ont été assignées :
1 Cliquez sur Notifications de tâches dans le groupe d'opérations du tableau de bord de travail.
La liste des tâches dans votre file d'attente s'affiche.
Pour les requêtes de ressource et de rôle, la colonne Destinataire de la liste des tâches contient les utilisateurs ou les groupes qui recevront la ressource ou le rôle dans le cas où les approbations requises sont accordées. Pour les requêtes d'attestation, la colonne Receveur spécifie le nom du chargé d'attestation.
La colonne Type de la liste des tâches inclut une icône qui indique si la tâche est actuellement assignée à un utilisateur, à un groupe, à un délégué ou à plusieurs approbateurs. Le type
Assigné à plusieurs approbateurs s'applique dans les situations suivantes :
Cette tâche a été assignée à un groupe de destinataires, mais un seul destinataire peut la réclamer et l'approuver. Lorsque cette approbation est accordée, l'exécution de la tâche est considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et tous doivent la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et un quorum d'utilisateurs doit la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée. La définition d'un quorum est configurée par l'administrateur. Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Le système de workflow effectue une évaluation courte pour optimiser les quorums.
Lorsqu'une condition d'approbation de quorum atteint le point où aucun quorum n'est possible, l'activité est refusée et la tâche est supprimée des files d'attentes de tous les destinataires.
La colonne Priorité affiche un indicateur pour les tâches à haute priorité. Pour trier la liste des tâches par priorité, cliquez sur la colonne Priorité.
Les tâches de workflow associées aux requêtes d'attestation affichent le nom de tâche
Approbation d'attestation.
Gestion de votre travail 141
10.1.2 Affichage du résumé d'une tâche
Pour afficher les informations récapitulatives pour une tâche :
1 Pointez la souris sur le nom de la tâche dans la liste des tâches.
10.1.3 Sélection d'une tâche
Pour sélectionner une tâche dans la liste des files d'attente :
1 Cliquez sur le nom de la tâche dans la file d'attente.
Le formulaire Détails de la tâche s'affiche dans une fenêtre de message ou s'insère avec la liste de tâches. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue
Personnaliser. L'image ci-dessous montre la version insérée du formulaire Détails de la tâche :
142 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
L'image ci-dessous montre le formulaire de Détails de la tâche dans une fenêtre de message :
Lorsqu'une tâche est assignée à plusieurs approbateurs, le formulaire Détails de la tâche affiche l'icône Approbateurs multiples à côté du champ Assigné à ainsi qu'un texte sous cette icône pour indiquer que plusieurs approbations sont nécessaires.
2 Pour afficher des informations supplémentaires concernant une tâche assignée à plusieurs approbateurs, cliquez sur le texte situé sous l'icône Approbateurs multiples :
Gestion de votre travail 143
Une fenêtre contextuelle s'affiche pour indiquer le nombre d'approbations requises, ainsi que les destinataires et l'état d'approbation actuels.
Les conditions de la tâche dépendent de la manière dont elle a été configurée par votre administrateur :
Si le type d'approbation est groupe, la tâche a été assignée à plusieurs utilisateurs au sein d'un groupe, mais un seul est supposé la réclamer et l'approuver.
Si le type d'approbation est rôle, la tâche a été assignée à plusieurs utilisateurs au sein d'un rôle, mais seul l'un d'eux doit la réclamer et l'approuver.
Si le type d'approbation est approbateurs multiples, la tâche a été assignée à plusieurs destinataires, et tous les destinataires doivent la réclamer et l'approuver.
Si le type d'approbation est quorum, la tâche a été assignée à plusieurs destinataires, et un quorum de destinataires est suffisant pour l'approuver. La définition d'un quorum est configurée par l'administrateur. Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Le système de workflow effectue une évaluation courte pour optimiser les quorums.
Lorsqu'une condition d'approbation de quorum atteint le point où aucun quorum n'est possible, l'activité est refusée et la tâche est supprimée des files d'attentes de tous les destinataires.
4 Pour afficher l'historique des commentaires d'une tâche, cliquez sur Afficher l'historique des
commentaires.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
4a Cliquez sur Commentaires et historique du flux.
4b Pour afficher les commentaires de l'utilisateur, cliquez sur Commentaires de l'utilisateur.
144 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple,
IDMProv
) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité. le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour obtenir plus d'informations, consultez le manuel
Identity Manager
User Application: Design Guide (Guide de conception de l'application utilisateur Identity
Manager). (http://www.novell.com/documentation/idmrbpm37/index.html)
4c Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple,
IDMProv
) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs n'ont pas besoin de consulter les commentaires du système pour un workflow.
Gestion de votre travail 145
4d Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
4e Cliquez sur Fermer pour fermer la fenêtre.
5 Pour revenir à la liste des tâches, cliquez sur Précédent.
10.1.4 Réclamation d'une tâche
Pour réclamer une tâche sur laquelle travailler :
1 Cliquez sur Réclamer.
Pour les requêtes de ressources, de rôles et de processus, la section Détails du formulaire de la page est mise à jour pour inclure les boutons Refuser et Approuver, ainsi que d'autres boutons d'opération compris dans la définition du flux, et les champs appropriés deviennent modifiables.
Pour les requêtes d'attestation, la section Détails du formulaire de la page est mise à jour pour inclure le formulaire d'attestation. L'aspect du formulaire dépend du type d'attestation. Pour les processus d'attestation de profil utilisateur, le formulaire contient les données du profil utilisateur que vous devez valider.
146 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour les processus d'assignation de rôle, d'assignation d'utilisateur et d'attestation de SoD, le formulaire comporte un rapport contenant les données que vous devez valider :
Pour tous les types d'attestation, le formulaire affiche des contrôles qui vous permettent de répondre à la question d'attestation, ainsi qu'aux questions d'enquête supplémentaires du processus d'attestation :
Gestion de votre travail 147
2 Pour refuser une requête de ressource ou de rôle, cliquez sur Refuser.
3 Pour approuver une requête de ressource ou de rôle, cliquez sur Approuver.
L'application utilisateur affiche un message indiquant si l'opération s'est bien déroulée.
10.1.5 Réassignation d'une tâche
Pour réassigner une tâche :
1 Cliquez sur Réassigner dans la fenêtre Détails de la tâche.
Remarque : pour réassigner une tâche, vous devez être un administrateur du provisioning ou un gestionnaire du provisioning (ou d'équipe) disposant de l'autorisation Gérer la tâche du
destinataire. Si vous ne possédez pas cette dernière, le bouton Réassigner n'est pas disponible.
2 Cliquez sur l'icône Sélecteur d'objet en regard de la zone de saisie que vous avez choisie.
148 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Dans la liste déroulante Réassigner à, sélectionnez l'utilisateur auquel vous voulez réassigner la tâche.
4 (Facultatif) Saisissez un commentaire dans la zone Commentaires pour expliquer la raison de la réassignation.
5 Cliquez sur Soumettre.
L'application utilisateur affiche un message indiquant si l'opération s'est bien déroulée.
10.1.6 Libération d'une tâche
La libération d'une tâche s'effectue afin qu'elle puisse être assignée ou réclamée par un autre membre.
1 Cliquez sur Libérer dans la fenêtre Détails de la tâche.
10.1.7 Filtrage de la liste des tâches
Vous pouvez appliquer un filtre à la liste des tâches pour limiter le nombre de lignes renvoyées. En filtrant la liste des tâches, vous trouvez plus facilement ce que vous cherchez tout en améliorant les performances.
Pour définir un filtre pour la liste des tâches :
1 Cliquez sur le bouton Définir le filtre.
La boîte de dialogue Filtre s'affiche et montre plusieurs champs que vous pouvez utiliser pour spécifier la façon dont vous souhaitez filtrer les données :
Gestion de votre travail 149
2 Pour affiner la recherche des tâches dont le profil de l'entité actuelle (l'utilisateur actuellement logué ou un utilisateur, groupe, conteneur ou rôle sélectionné dans le contrôle Gérer) est le destinataire, choisissez Assigné à dans le champ Tâches par.
Remarque : le champ Tâches par n'est pas disponible pour les utilisateurs finaux, étant donné que ces derniers ne peuvent voir que les tâches dont ils sont les destinataires. Le champ Tâches
par n'est visible que par les administrateurs de domaine et les gestionnaires de domaine ou d'équipe.
3 Pour affiner la recherche des tâches dont le profil de l'entité actuelle est le receveur, sélectionnez Receveur dans le champ Tâches par.
4 Pour inclure toutes les tâches dont le profil de l'entité actuelle est le destinataire ou le receveur, veillez à ce que rien ne soit sélectionné dans le champ Tâches par.
5 Pour restreindre la recherche aux tâches qui expirent après un certain temps, sélectionnez l'unité de timeout (Semaines, Jours ou Heures) et entrez une valeur dans le champ Timeout.
6 Cliquez sur Filtre pour effectuer une nouvelle requête de tâches à l'aide des critères de sélection que vous avez spécifiés dans la boîte de dialogue Filtre.
Lorsque vous définissez un filtre pour une liste des tâches, votre définition de filtre s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Remarque : les préférences enregistrées s'appliquent toujours à l'utilisateur actuellement logué
à l'application utilisateur, même si un autre utilisateur a été sélectionné dans le contrôle Gérer.
Pour connaître les filtres précédemment définis :
1 Observez les zones à gauche de l'icône Définir le filtre.
Lorsqu'aucun filtre n'est défini, l'icône Définir le filtre montre deux cercles vides, comme cidessous :
Lorsqu'un ou plusieurs filtres ont été définis, ils apparaissent dans une zone séparée, comme cidessous :
150 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour supprimer un filtre spécifié précédemment dans la boîte de dialogue Filtre :
1 Cliquez sur l'icône Effacer ce filtre (qui ressemble à un X) en regard du filtre que vous souhaitez supprimer :
Pour supprimer tous les filtres définis précédemment et mettre à jour les résultats de la recherche pour inclure toutes les tâches :
1 Cliquez sur le bouton Définir le filtre pour ouvrir la boîte de dialogue Filtre.
2 Cliquez sur le bouton Effacer les filtres.
La boîte de dialogue se ferme et la liste de tâches est mise à jour pour inclure toutes les tâches.
10.1.8 Personnalisation des colonnes de tâches
La section Notifications de tâches de la page Tableau de bord de travail permet de sélectionner et désélectionner des colonnes, ainsi que de les réorganiser dans l'écran de la liste de tâches. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue Personnaliser l'affichage des notifications de tâches.
Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes dans la liste de tâches :
1 Cliquez sur le bouton Personnaliser l'affichage des notifications de tâches dans la section
Notifications de tâches de la page Tableau de bord de travail.
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
Gestion de votre travail 151
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
Les colonnes Tâche et Priorité sont obligatoires et ne peuvent pas être supprimées de l'écran de liste des tâches.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer.
10.1.9 Développement par défaut de la liste des tâches
La page Tableau de bord de travail permet de spécifier si vous souhaitez que la liste de tâches soit développée par défaut dans la section Notifications de tâches de cette page. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue Personnaliser l'affichage des notifications de tâches.
Lorsque vous modifiez ce paramètre, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour spécifier si vous souhaitez que la liste des tâches soit développée par défaut :
1 Cliquez sur le bouton Personnaliser l'affichage des notifications de tâches dans la section
Notifications de tâches de la page Tableau de bord de travail.
152 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
L'application utilisateur affiche la boîte de dialogue Personnaliser l'affichage des notifications de tâches qui vous permet de personnaliser l'affichage de la liste des tâches. L'ensemble des contrôles affichés peut varier selon les paramètres désignés par l'administrateur comme disponibles pour les modifications utilisateur.
2 Pour développer la liste des tâches par défaut, cochez la case Développer les notifications de
tâches par défaut. Pour masquer la liste de tâches par défaut, désélectionnez la case Développer
les notifications de tâches par défaut.
La case Développer les notifications de tâches par défaut contrôle l'apparence initiale de la section Notifications de tâches du tableau de bord de travail. Notez que vous pouvez développer ou réduire la liste des tâches dans la section Notifications de tâches de la page, que vous ayez ou non sélectionné cette case.
3 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
Gestion de votre travail 153
10.1.10 Contrôle de l'affichage des détails des tâches
La page Tableau de bord de travail permet de spécifier comment vous souhaitez afficher les détails pour une tâche sur laquelle vous cliquez dans la section Notifications de tâches de cette page. Vous pouvez afficher les détails de la tâche dans la liste ou dans une boîte de dialogue modale séparée. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue Personnaliser l'affichage des notifications de tâches.
Lorsque vous modifiez ce paramètre, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour contrôler l'affichage des détails des tâches :
1 Cliquez sur le bouton Personnaliser l'affichage des notifications de tâches dans la section
Notifications de tâches de la page Tableau de bord de travail.
L'application utilisateur affiche la boîte de dialogue Personnaliser l'affichage des notifications de tâches qui vous permet de personnaliser l'affichage de la liste des tâches. L'ensemble des contrôles affichés peut varier selon les paramètres désignés par l'administrateur comme disponibles pour les modifications utilisateur.
154 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Pour afficher les détails dans l'écran de la liste des tâches, sélectionnez En ligne avec liste dans la liste déroulante Ouvrir les détails des tâches. Pour afficher les détails dans une boîte de dialogue modale séparée, sélectionnez Dans une fenêtre de message.
3 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
10.1.11 Définition de l'opération de réclamation pour les tâches ouvertes
La page Tableau de bord de travail permet de contrôler quelle opération est nécessaire pour réclamer une tâche. Vous pouvez spécifier qu'une tâche doit être réclamée explicitement ou que l'opération d'ouverture d'une tâche réclame automatiquement la tâche pour votre utilisation. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue Personnaliser l'affichage des notifications de tâches.
Lorsque vous modifiez ce paramètre, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour spécifier quelle opération est requise pour réclamer une tâche :
1 Cliquez sur le bouton Personnaliser l'affichage des notifications de tâches dans la section
Notifications de tâches de la page Tableau de bord de travail.
L'application utilisateur affiche la boîte de dialogue Personnaliser l'affichage des notifications de tâches qui vous permet de personnaliser l'opération de réclamation. L'ensemble des contrôles affichés peut varier selon les paramètres désignés par l'administrateur comme disponibles pour les modifications utilisateur.
Gestion de votre travail 155
2 Pour spécifier que l'opération d'ouverture d'une tâche réclame automatiquement la tâche pour votre utilisation, cochez la case Réclamer automatiquement une tâche lors de l'affichage de ses
détails. Pour spécifier qu'une tâche doit être réclamée explicitement, désélectionnez cette case.
3 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
10.1.12 Tri de la liste des tâches
Pour trier la liste des tâches :
1 Cliquez sur l'en-tête de la colonne selon laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri primaire. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
156 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initial est définie par l'administrateur de la configuration RBPM. Si vous triez la liste sur une autre colonne que Requête, cette dernière est utilisée comme colonne de tri secondaire.
Si vous remplacez la colonne de tri initial, votre colonne de tri s'ajoute à la liste des colonnes obligatoires dans la boîte de dialogue Personnaliser l'affichage des notifications de tâches. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.1.13 Rafraîchissement de la liste des tâches
Pour rafraîchir la liste des tâches :
1 Cliquez sur le bouton Rafraîchir.
La liste des tâches est mise à jour pour refléter l'état en cours de la file d'attente des tâches de l'utilisateur actuel.
10.1.14 Contrôle du nombre d'éléments affichés sur une page
Pour spécifier le nombre d'éléments que vous souhaitez afficher sur chaque page :
1 Sélectionnez un nombre dans la liste déroulante Lignes.
Lorsque vous modifiez le paramètre Lignes, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.1.15 Affichage des commentaires d'une tâche
1 Pour afficher les commentaires d'une tâche, cliquez sur l'icône Commentaires dans la liste des tâches.
Remarque : pour voir les commentaires d'une tâche, vous devez inclure la colonne Commentaires dans la liste des colonnes sélectionnées. Pour plus de détails sur l'ajout de colonnes à la liste des
tâches, reportez-vous à la Section 10.1.8, « Personnalisation des colonnes de tâches », page 151
.
Gestion de votre travail 157
10.2 Utilisation des ressources
L'opération Assignations de ressources permet de voir quelles sont les ressources qui vous sont assignées et de formuler des requêtes pour des assignations de ressources supplémentaires.
L'administrateur et le gestionnaire de ressources peuvent voir les assignations de ressources pour les autres utilisateurs, comme décrit ci-dessous :
Lorsque rien n'est sélectionné dans le contrôle Gérer, la liste des assignations de ressources affiche les assignations de ressources de l'utilisateur actuel. Ces assignations de ressources incluent celles dont il est le receveur ou le destinataire, ainsi que les ressources dont le receveur ou le destinataire est un groupe, un conteneur ou un rôle auquel appartient l'utilisateur actuel.
L'utilisateur peut utiliser ses assignations de ressources comme bon lui semble, étant donné qu'aucun droit n'est requis pour utiliser ses propres ressources.
Lorsqu'un utilisateur est sélectionné dans le contrôle Gérer, la liste ci-dessous affiche les assignations de ressources dont l'utilisateur sélectionné est le receveur.
Lorsqu'un groupe est sélectionné, la liste affiche les assignations de ressources assignées indirectement au groupe sélectionné via les assignations de rôles.
Lorsqu'un rôle est sélectionné, la section Assignations de ressources affiche un message indiquant que les ressources accordées via les assignations de rôles ne sont pas affichées. Pour voir les assignations de ressources pour un rôle, vous devez consulter l'onglet Rôles.
Lorsqu'un conteneur est sélectionné, la liste affiche les assignations de ressources assignées indirectement au conteneur sélectionné via les assignations de rôles.
Un gestionnaire d'équipe pour le domaine de ressources a la possibilité de gérer des ressources pour les membres de l'équipe. Avant de sélectionner un membre d'une équipe, le gestionnaire d'équipe doit sélectionner une équipe.
Lorsqu'un gestionnaire d'équipe est en mode de gestion, la liste Assignations de ressources n'inclut que les assignations de ressources associées au domaine spécifié pour la configuration de l'équipe sélectionnée.
Mode proxy L'opération Assignations de ressources n'est pas disponible en mode proxy.
10.2.1 Affichage de vos assignations de ressources
Pour afficher les assignations de ressources pour vous-même ou un utilisateur, groupe ou conteneur sélectionné dans le contrôle Gérer :
1 Cliquez sur Assignations de ressources dans le groupe d'opérations du tableau de bord de travail.
La liste de ressources s'affiche. Si vous n'êtes pas en mode de gestion, les assignations de ressources affichées sont celles dont vous êtes le receveur. Si vous êtes en mode de gestion, les assignations de ressources affichées sont celles dont l'utilisateur, le groupe ou le conteneur sélectionné est le receveur. Pour les groupes et les conteneurs, les ressources reprises dans la liste sont celles assignées indirectement au groupe ou conteneur sélectionné via les assignations de rôles. La liste des assignations de ressources pour un groupe ou un conteneur ne contient pas les ressources assignées directement à un utilisateur faisant partie du groupe ou conteneur sélectionné.
158 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Remarque : les ressources ne peuvent être assignées que directement à un utilisateur.
Cependant, un rôle contenant une ressource peut être assigné à un groupe ou un conteneur, auquel cas la ressource sera assignée indirectement à tous les utilisateurs du groupe ou conteneur. La liste Assignations de ressources du tableau de bord affiche les assignations directes des utilisateurs, ainsi que les assignations indirectes pour les groupes et les conteneurs.
Filtrage de la liste des assignations de ressources
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'écran Assignations de
ressources.
2 Spécifiez une chaîne de filtre pour la description de requête initiale, le nom de la ressource, la description ou les paramètres associés à l'assignation de ressource.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Effacer.
Gestion de votre travail 159
Définition du nombre maximal de lignes sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste des assignations de ressources
1 Pour passer à une autre page de la liste des assignations de ressources, cliquez sur le bouton
Suivant, Précédent, Premier ou Dernier au bas de la liste.
Tri de la liste des assignations de ressources
Pour trier la liste des assignations de ressources :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri primaire. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initial est définie par l'administrateur de la configuration RBPM.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des assignations de ressources, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.2.2 Demande d'une assignation de ressource
Pour formuler une requête d'assignation de ressource :
1 Cliquez sur le bouton Assigner au-dessus de la section Assignations de ressources de la page.
160 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Remarque : vous devez disposer de l'autorisation de navigation Resources Assign
(Assignation de ressources) pour que le bouton Assigner soit affiché.
Le tableau de bord de travail affiche la boîte de dialogue Assigner une ressource qui permet de spécifier quelle ressource vous souhaitez demander :
2 Saisissez le texte décrivant l'assignation dans le champ Description de la requête initiale.
3 Cliquez sur le sélecteur d'objet pour rechercher une ressource à assigner.
4 Dans le sélecteur d'objet, entrez une chaîne de recherche et cliquez sur Rechercher.
5 Sélectionnez la ressource de votre choix.
La boîte de dialogue Assigner la ressource affiche à présent la ressource sélectionnée ainsi que tout autre champ défini dans le formulaire de requête de ressource :
6 Si la ressource requiert une valeur de paramètre de droit, vous devez utiliser le sélecteur d'objet pour sélectionner la valeur à utiliser pour cette assignation de ressource, comme décrit cidessous :
Gestion de votre travail 161
Sélectionnez le paramètre à utiliser et cliquez sur Ajouter.
7 S'il existe des champs personnalisés supplémentaires sur le formulaire, remplissez-les aussi.
8 Cliquez sur Soumettre pour effectuer votre requête de ressource.
10.2.3 Rafraîchissement de la liste des assignations de ressources
Pour rafraîchir la liste des assignations de ressources :
1 Cliquez sur Rafraîchir.
10.2.4 Suppression d'une assignation de ressource
Pour supprimer une assignation de ressource :
1 Sélectionnez une assignation de ressource définie précédemment et cliquez sur Supprimer :
162 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Remarque : vous devez disposer de l'autorisation de navigation Resources Remove{
(Suppression de ressources) pour que le bouton Supprimer soit affiché.
10.2.5 Personnalisation de l'affichage de la liste des assignations de ressources
La section Assignations de ressources du tableau de bord permet de sélectionner et désélectionner les colonnes ainsi que de les réorganiser dans l'affichage de la liste des tâches. La sélection et l'ordre des colonnes sont contrôlés par des paramètres dans la boîte de dialogue Personnaliser l'affichage des assignations de ressource. Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans la section Assignations de ressources du tableau de bord :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Gestion de votre travail 163
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Nom de la ressource est obligatoire et ne peut pas être supprimée de l'affichage de la liste des tâches.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
10.2.6 Impression de la liste des assignations de ressources
La section Assignations de ressources du tableau de bord vous permet d'imprimer la liste des assignations de ressources affichées sur la page. Les éléments à l'écran correspondent en grande partie à ceux affichés lorsque vous imprimez une liste d'assignations de ressources, sauf que dans ce dernier cas, la sortie imprimée n'inclut que le texte à l'écran. Les images affichées dans la colonne
Assigné à ou État ne figurent pas dans le document imprimé.
Pour imprimer les assignations de ressources, vous devez disposer de l'autorisation de navigation
Resource Assignments Print (Impression des assignations de ressources), figurant dans la zone de navigation Tableau de bord de travail.
Pour imprimer la liste des assignations de ressources :
1 Cliquez sur Version imprimable dans la section Assignations de ressources du tableau de bord :
L'application utilisateur affiche, dans une fenêtre distincte, une version imprimable de la liste des assignations de ressources :
2 Sélectionnez le texte figurant dans la zone de texte située dans la partie supérieure de la version imprimable :
164 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Entrez un titre ou des commentaires dans la zone de texte :
3 Cliquez sur Imprimer :
Vous pouvez lancer une impression directement vers une imprimante ou imprimer vers un fichier PDF.
Voici un exemple de fichier PDF présentant la sortie imprimée :
Gestion de votre travail 165
Toutes les lignes affichées à l'écran sont imprimées, sauf si le nombre de lignes affichées atteint la limite définie pour le paramètre Nombre maximum de résultats retournés par une requête, spécifié par l'administrateur de la configuration sous l'onglet Administration. Lorsque cette limite est atteinte, une boîte de dialogue de confirmation vous permettant de spécifier si vous souhaitez continuer ou non s'affiche. Cliquez sur OK si vous souhaitez inclure toutes les lignes affichées à l'écran dans la sortie imprimée. Ce message ne s'affiche qu'une seule fois pour chaque session utilisateur.
10.3 Utilisation des rôles
L'opération Assignations de rôles permet de voir quels sont les rôles qui vous sont assignés et de formuler des requêtes pour des assignations de rôles supplémentaires.
L'administrateur et le gestionnaire de rôles peuvent voir les assignations de rôles pour les autres utilisateurs, comme décrit ci-dessous :
Lorsque rien n'est sélectionné dans le contrôle Gérer, la liste des assignations de rôles affiche les assignations de l'utilisateur actuel. Ces assignations de rôles incluent celles dont il est le receveur ou le destinataire, ainsi que celles dont le receveur ou le destinataire est un groupe, un conteneur ou un rôle auquel appartient l'utilisateur actuel. L'utilisateur peut se servir de ses assignations de rôles comme bon lui semble, étant donné qu'aucun droit n'est requis pour utiliser ses propres rôles.
166 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lorsqu'un utilisateur est sélectionné dans le contrôle Gérer, la liste affiche les assignations de rôles directes et indirectes dont l'utilisateur sélectionné est le receveur. Avant de sélectionner un utilisateur, le gestionnaire d'équipe doit sélectionner une équipe.
Lorsqu'un groupe est sélectionné, la liste affiche les rôles assignés directement à celui-ci. La liste d'assignations de rôles ne contient pas les rôles assignés à un utilisateur faisant partie du groupe ou conteneur sélectionné. Par ailleurs, elle ne reprend pas les rôles qui sont associés à ces rôles assignés directement au groupe.
Lorsqu'un rôle est sélectionné, la section Assignations de rôles affiche un message indiquant que les assignations de rôles ne sont pas affichées. Pour afficher les relations entre rôles pour un rôle particulier, vous devez consulter l'onglet Rôles.
Lorsqu'un conteneur est sélectionné, la liste affiche les rôles assignés directement à celui-ci. La liste des assignations de rôles ne contient pas les rôles assignés à un utilisateur faisant partie du conteneur sélectionné. Par ailleurs, elle ne reprend pas les rôles qui sont associés à ces rôles assignés directement au conteneur.
Un gestionnaire d'équipe pour le domaine de rôles a la possibilité de gérer les assignations de rôles pour les membres de l'équipe. Avant de sélectionner un membre d'une équipe, le gestionnaire d'équipe doit sélectionner une équipe.
Les relations entre rôles ne s'affichent pas dans la section Assignations de rôles. Pour voir les relations entre rôles pour un rôle particulier, consultez l'onglet Relations entre rôles, disponible à partir de l'opération Catalogue de rôles sous l'onglet Rôles.
Mode proxy. L'opération Assignations de rôles n'est pas disponible en mode proxy.
10.3.1 Affichage de vos assignations de rôles
Pour afficher les assignations de rôles pour vous-même ou un utilisateur, groupe ou conteneur sélectionné dans le contrôle Gérer :
1 Cliquez sur Assignations de rôles dans le groupe d'opérations du tableau de bord de travail.
La liste de rôles s'affiche. Si vous n'êtes pas en mode de gestion, les assignations de rôles affichées sont celles dont vous êtes le receveur.
Si vous êtes en mode de gestion, les assignations de rôles affichées sont celles dont l'utilisateur, le groupe ou le conteneur sélectionné est le receveur.
Un rôle peut être assigné à un groupe ou un conteneur, auquel cas le rôle sera assigné indirectement à tous les utilisateurs du groupe ou conteneur. La liste Assignations de rôles du tableau de bord montre les assignations directes des utilisateurs, ainsi que les assignations indirectes des groupes et des conteneurs. En outre, si un utilisateur est assigné directement à un rôle parent, la liste inclut cette assignation, ainsi que les assignations à tout rôle enfant lié à ce rôle parent. Par exemple, si un rôle de niveau 30 (parent) a une relation de rôle ajoutée à un rôle de niveau 20 (enfant) et qu'un utilisateur est assigné directement au rôle parent, l'écran
Gestion de votre travail 167
Assignations de rôles affiche les deux assignations (parent et enfant). Si vous consultez le rôle enfant dans le Catalogue de rôles, vous verrez la relation entre les rôles sous l'onglet Relations
de rôles, mais pas sous l'onglet Assignations de rôles.
Filtrage de la liste des assignations de rôles
1 Cliquez sur le bouton Définir le filtre dans le coin supérieur droit de l'affichage Assignations de
rôles.
2 Spécifiez une chaîne de filtre pour la description de requête initiale ou pour le nom de rôle, ou affinez la recherche en sélectionnant un type d'assignation (Utilisateur, Groupe, Conteneur ou
Rôle) et un ensemble d'identités correspondant au type d'assignation sélectionnée. Vous pouvez aussi affiner la recherche en sélectionnant un type de source pour l'assignation de rôle
(Utilisateur assigné au rôle, Groupe assigné au rôle, Conteneur assigné au rôle ou Rôle
associé à un rôle).
Remarque : lorsque vous sélectionnez Groupe comme type d'assignation pour filtrer, le titre du filtre indique un CN, tandis que les résultats affichent un autre champ associé.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Effacer.
168 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Définition du nombre maximal de lignes sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste des assignations de rôles
1 Pour passer à une autre page de la liste des assignations de ressources, cliquez sur le bouton
Suivant, Précédent, Premier ou Dernier au bas de la liste.
Tri de la liste des assignations de rôles
Pour trier la liste des assignations de rôles :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri primaire. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initial est définie par l'administrateur de la configuration RBPM.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des assignations de rôles, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.3.2 Demande d'un rôle
Pour effectuer une requête d'assignation de rôle :
1 Cliquez sur le bouton Assigner en haut de la section Assignations de rôles de la page.
Remarque : vous devez disposer de l'autorisation de navigation Roles Assign (Assignation de rôles) pour que le bouton Assigner soit affiché.
Le tableau de bord de travail affiche la boîte de dialogue Assigner le rôle, qui permet de spécifier quel rôle vous souhaitez demander :
Gestion de votre travail 169
2 Renseignez les champs de la boîte de dialogue Assigner le rôle :
2a Saisissez un texte décrivant la raison de la requête dans le champ Description de la
requête initiale.
2b Dans le sélecteur d'objet, entrez une chaîne de recherche, puis cliquez sur Rechercher.
Sélectionnez le rôle à assigner.
Cliquez sur le sélecteur d'objet pour rechercher un rôle à assigner.
2c Spécifiez la date de début de l'assignation de rôle dans le champ Date d'entrée en vigueur.
2d Spécifiez la date d'expiration de l'assignation de rôle dans le champ Date d'expiration.
3 Cliquez sur Assigner pour soumettre votre requête.
10.3.3 Rafraîchissement de la liste des assignations de rôles
Pour rafraîchir la liste des assignations de rôles :
1 Cliquez sur Rafraîchir.
10.3.4 Suppression d'une assignation de rôle
Pour supprimer une assignation de rôle :
1 Sélectionnez une assignation de rôle définie précédemment et cliquez sur Supprimer :
170 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Remarque : vous devez disposer de l'autorisation de navigation Roles Remove (Suppression de rôles) pour que le bouton Supprimer soit affiché.
10.3.5 Personnalisation de l'affichage de la liste des assignations de rôles
La section Assignations de rôles du tableau de bord permet de sélectionner et désélectionner les colonnes ainsi que de les réorganiser dans l'affichage de la liste des tâches. La sélection et l'ordre des colonnes sont contrôlés par des paramètres dans la boîte de dialogue Personnaliser l'affichage des assignations de rôles. Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans la section Assignations de rôles du tableau de bord :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
Gestion de votre travail 171
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Rôle est obligatoire et ne peut pas être supprimée de l'affichage de la liste de tâches.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
10.3.6 Impression de la liste des assignations de rôles
La section Assignations de rôles du tableau de bord vous permet d'imprimer la liste des assignations de rôles affichées sur la page. Les éléments à l'écran correspondent en grande partie à ceux affichés lorsque vous imprimez une liste d'assignations de rôles, sauf que dans ce dernier cas, la sortie imprimée n'inclut que le texte à l'écran. Les images affichées dans la colonne Assigné à ou État ne figurent pas dans le document imprimé.
Pour imprimer les assignations de rôles, vous devez disposer de l'autorisation de navigation Role
Assignments Print (Impression des assignations de rôles), figurant dans la zone de navigation
Tableau de bord de travail.
172 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour imprimer la liste des assignations de rôles :
1 Cliquez sur Version imprimable dans la section Assignations de rôles du tableau de bord :
L'application utilisateur affiche, dans une fenêtre distincte, une version imprimable de la liste des assignations de rôles :
2 Sélectionnez le texte figurant dans la zone de texte située dans la partie supérieure de la version imprimable :
Entrez un titre ou des commentaires dans la zone de texte :
Gestion de votre travail 173
3 Cliquez sur Imprimer :
Vous pouvez lancer une impression directement vers une imprimante ou imprimer vers un fichier PDF.
Voici un exemple de fichier PDF présentant la sortie imprimée :
174 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Toutes les lignes affichées à l'écran sont imprimées, sauf si le nombre de lignes affichées atteint la limite définie pour le paramètre Nombre maximum de résultats retournés par une requête, spécifié par l'administrateur de la configuration sous l'onglet Administration. Lorsque cette limite est atteinte, une boîte de dialogue de confirmation vous permettant de spécifier si vous souhaitez continuer ou non s'affiche. Cliquez sur OK si vous souhaitez inclure toutes les lignes affichées à l'écran dans la sortie imprimée. Ce message ne s'affiche qu'une seule fois pour chaque session utilisateur.
10.4 Affichage de l'état de vos requêtes
L'opération État des requêtes permet d'afficher l'état des requêtes que vous avez effectuées. Elle permet de consulter l'état actuel de chacune d'elles. Elle vous donne en outre la possibilité de retirer une requête qui est toujours en traitement si vous avez changé d'avis et ne souhaitez plus qu'elle se poursuive.
L'opération État des requêtes comprend des requêtes de processus (provisioning), des requêtes de rôles et des requêtes de ressources dans une seule liste consolidée. La liste fournit une colonne Type qui vous permet de voir le type de chaque requête. Les requêtes apparaissent dans une seule liste, mais celle-ci peut être triée ou filtrée par type de requête. Vous pouvez retirer de la liste État des
requêtes des requêtes qui présentent encore un état retirable.
Gestion de votre travail 175
L'administrateur et le gestionnaire de domaine peuvent voir les requêtes pour les autres utilisateurs, comme décrit ci-dessous :
Lorsque rien n'est sélectionné dans le contrôle Gérer, la liste de requêtes affiche les requêtes de l'utilisateur actuel. Ces requêtes incluent celles dont il est le receveur ou le destinataire, ainsi que celles dont le receveur ou le destinataire est un groupe, un conteneur ou un rôle auquel cet utilisateur appartient.
Lorsqu'un utilisateur est sélectionné dans le contrôle Gérer, la liste affiche les requêtes dont cet utilisateur est le receveur.
Lorsqu'un groupe est sélectionné, la liste montre les requêtes dont ce groupe est le receveur.
Lorsqu'un rôle est sélectionné, la liste montre les requêtes dont ce rôle est le receveur.
Lorsqu'un conteneur est sélectionné, la liste montre les requêtes dont ce conteneur est le receveur.
Lorsqu'un administrateur ou gestionnaire de domaine est en mode de gestion, la liste État des
requêtes n'inclut que les requêtes associées au domaine spécifié pour l'assignation de l'administrateur ou du gestionnaire.
Un gestionnaire d'équipe peut voir les requêtes des membres de l'équipe. Avant de sélectionner un membre d'une équipe, le gestionnaire d'équipe doit sélectionner une équipe.
Lorsqu'un gestionnaire d'équipe est en mode de gestion, la liste État des requêtes n'inclut que les requêtes associées au domaine spécifié pour la configuration de l'équipe sélectionnée.
Mode proxy L'opération État des requêtes n'est pas disponible en mode proxy.
10.4.1 Affichage de la liste des requêtes
Pour afficher les requêtes que vous avez effectuées :
1 Cliquez sur État des requêtes dans le groupe d'opérations du tableau de bord de travail.
La liste de requêtes s'affiche. Si vous n'êtes pas en mode de gestion, les requêtes affichées sont celles dont vous êtes le receveur ou le demandeur. Si vous êtes en mode de gestion, les requêtes affichées sont celles dont l'utilisateur, le groupe ou le conteneur sélectionné est le receveur ou le demandeur.
Cette liste comporte les requêtes actives, ainsi que celles qui ont déjà été approuvées ou refusées. L'administrateur peut contrôler pendant combien de temps les résultats du workflow sont conservés. Par défaut, le système de workflow conserve les résultats de workflow pendant
120 jours.
176 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour voir le type de requête, vous devez inclure la colonne Type dans la liste de colonnes pour l'affichage. Lorsque la colonne Type est incluse, l'application utilisateur montre une icône qui indique s'il s'agissait d'une requête de processus (provisioning), de rôle ou de ressource.
Les colonnes figurant dans la liste État des requêtes sont décrites ci-dessous :
La colonne Élément demandé fournit le nom de rôle, de ressource ou de processus spécifié pour la requête.
La colonne Demandeur identifie l'utilisateur à l'origine de la requête.
La colonne Receveur identifie l'utilisateur, le groupe ou le conteneur qui obtient l'élément demandé, en cas d'approbation de la requête. Dans le cas des relations entre rôle, la colonne Receveur affiche le nom du rôle associé au rôle figurant dans la colonne Élément
demandé.
La colonne État affiche l'état détaillé correspondant à la requête ainsi qu'une icône indiquant le résumé de l'état. Le résumé de l'état affiche l'état général de la requête. Vous pouvez le sélectionner dans le menu Filtre pour affiner les résultats lors de la recherche de requêtes ayant un état particulier :
Icône Résumé de l'état
État détaillé Description
Nouvelle requête
Début d'approbation de SoD -
En attente
Indique qu'il s'agit d'une nouvelle requête en cours de traitement.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
Gestion de votre travail 177
Icône Résumé de l'état
État détaillé Description
Début d'approbation de SoD -
Interrompu
Démarrage de l'approbation -
En attente
Indique que le pilote de services de rôles ne parvient pas à démarrer un processus d'approbation SoD et que ce processus est interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
178 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Icône Résumé de l'état
État détaillé Description
Démarrage de l'approbation -
Suspendu
Exception SoD - Approbation en attente
Approbation en attente
Exception SoD - Approuvé
Indique qu'un processus d'approbation a démarré pour la requête mais que ce processus a été interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation SoD a démarré et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation a démarré pour la requête et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Une requête avec cet état peut être retirée.
Gestion de votre travail 179
Icône Résumé de l'état
État détaillé
Approuvé
Provisioning
Activation en attente
Exception SoD - Refusé
Refusé
Provisionné
Nettoyage
Description
Indique que la requête a été approuvée.
Une requête avec cet état peut être retirée.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que la date/l'heure d'activation de l'assignation est atteinte. Le pilote de service de rôle est en passe d'accorder l'assignation.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée mais que la date/l'heure d'activation de l'assignation n'est pas encore atteinte. L'activation en attente ne comporte pas de catégorie de transfert en amont ni d'icône d'état de sécurité. Cela signifie que vous ne pouvez pas filtrer la liste des requêtes en fonction de l'état d'activation en attente.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été refusée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que l'assignation a
été accordée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été traitée et que le pilote de services de rôles est en passe de supprimer les objets internes créés pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
180 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Icône Résumé de l'état
État détaillé
Annulation
Annulé
Erreur de provisioning
Description
Indique que le pilote de services de rôles annule la requête en raison d'une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été annulée par une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique qu'une erreur est survenue au cours du provisioning (fait d'accorder) ou déprovisioning (fait de révoquer) de l'assignation.
Dans le cas d'une erreur de provisioning, le message d'erreur précis est consigné dans le journal de suivi ou d'audit, si les deux sont actifs. Lorsqu'une erreur de provisioning survient, vérifiez dans votre journal de suivi ou d'audit si le message d'erreur indique qu'un grave problème doit être résolu.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Remarque : si l'horloge système du serveur où réside le pilote de service de rôle n'est pas synchronisée avec celle du serveur où l'application utilisateur s'exécute, l'état des requêtes peut être différent sur les listes État des requêtes et Assignations de rôles. Par exemple, si vous effectuez une requête d'assignation de rôle qui ne nécessite pas d'approbation, l'état dans la section État des requêtes peut indiquer Provisionné, alors qu'il est défini sur
Activation en attente dans la section Assignations de rôles. Si vous patientez environ une minute, vous constatez que l'état dans la section Assignations de rôles change et devient
Provisionné. Pour vous assurer que l'état est affiché correctement dans l'application utilisateur, vérifiez que vos horloges système sont parfaitement synchronisées.
La colonne Date de la requête affiche la date à laquelle la requête a été effectuée.
Gestion de votre travail 181
10.4.2 Affichage du résumé d'une requête
Pour afficher les informations récapitulatives pour une requête :
1 Pointez la souris sur le nom de la requête dans la colonne Élément demandé.
10.4.3 Filtrage de la liste des requêtes
Vous pouvez appliquer un filtre à la liste des requêtes pour limiter le nombre de lignes renvoyées. En filtrant la liste des requêtes, vous trouvez plus facilement ce que vous cherchez tout en améliorant les performances.
Pour définir un filtre pour la liste des requêtes :
1 Cliquez sur le bouton Définir le filtre.
La boîte de dialogue Filtre s'affiche et montre plusieurs champs que vous pouvez utiliser pour spécifier la façon dont vous souhaitez filtrer les données :
182 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Pour restreindre la recherche aux requêtes dont le nom correspond à une chaîne particulière, saisissez les premiers caractères dans le champ Élément demandé.
3 Pour limiter la recherche aux requêtes d'un type spécifique, sélectionnez celui-ci dans la liste déroulante Type.
4 Pour restreindre la recherche aux requêtes présentant un état particulier, sélectionnez ce dernier dans la liste déroulante État.
Les catégories d'état disponibles dépendent du type sélectionné dans la liste déroulante Type.
5 Pour limiter la recherche aux requêtes ayant un numéro de confirmation particulier, saisissez l'ID dans le champ Numéro de confirmation.
Le numéro de confirmation est un identificateur interne qui coordonne un ensemble d'assignations de rôles demandées simultanément. Vous trouverez ci-dessous quelques exemples où un ensemble d'assignations de rôles partagent un même numéro de confirmation :
Une requête unique assigne des rôles multiples à un seul utilisateur.
Une requête unique assigne un seul rôle à de multiples utilisateurs. Ce cas peut se présenter lorsqu'un demandeur assigne un rôle à un groupe ou à un conteneur.
Si un ensemble d'assignations de rôles partagent un même numéro de confirmation, un utilisateur peut retirer chacune de ces assignations individuellement. De plus, chaque assignation de rôle peut être approuvée ou refusée séparément.
6 Cliquez sur Filtre pour effectuer une nouvelle demande de requêtes à l'aide des critères de sélection que vous avez spécifiés dans la boîte de dialogue Filtre.
Lorsque vous définissez un filtre pour une liste de requêtes, votre définition de filtre s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Remarque : les préférences enregistrées s'appliquent toujours à l'utilisateur actuellement logué
à l'application utilisateur, même si un autre utilisateur a été sélectionné dans le contrôle Gérer.
Pour connaître les filtres précédemment définis :
1 Observez les zones à gauche de l'icône Définir le filtre.
Lorsqu'aucun filtre n'est défini, l'icône Définir le filtre montre deux cercles vides, comme cidessous :
Gestion de votre travail 183
Lorsqu'un ou plusieurs filtres ont été définis, ils apparaissent dans une zone séparée, comme cidessous :
Pour supprimer un filtre spécifié précédemment dans la boîte de dialogue Filtre :
1 Cliquez sur l'icône Effacer ce filtre (qui ressemble à un X) en regard du filtre que vous souhaitez supprimer :
Pour supprimer tous les filtres définis précédemment et mettre à jour les résultats de la recherche pour inclure toutes les requêtes :
1 Cliquez sur le bouton Définir le filtre pour ouvrir la boîte de dialogue Filtre.
2 Cliquez sur le bouton Réinitialiser.
La boîte de dialogue Filtre se ferme et la liste de requêtes est mise à jour pour inclure toutes les requêtes.
10.4.4 Personnalisation des colonnes d'état des requêtes
La section État des requêtes de la page Tableau de bord de travail permet de sélectionner et désélectionner des colonnes ainsi que de les réorganiser sur l'écran de la liste des requêtes. Toute personnalisation que vous effectuez dans l'écran est enregistrée pour utilisation ultérieure.
Pour personnaliser l'affichage des colonnes dans la liste de requêtes :
1 Cliquez sur le bouton Personnaliser dans la section État des requêtes de la page Tableau de bord de travail.
184 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
Les colonnes Élément demandé et Date de la requête sont obligatoires et ne peuvent pas être supprimées de l'affichage de la liste des requêtes.
4 Pour enregistrer vos modifications, cliquez sur OK.
Gestion de votre travail 185
10.4.5 Contrôle du nombre d'éléments affichés sur une page
Pour spécifier le nombre d'éléments que vous souhaitez afficher sur chaque page :
1 Sélectionnez un nombre dans la liste déroulante Lignes.
Lorsque vous modifiez le paramètre Lignes, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.4.6 Contrôle de l'affichage des détails de l'état des requêtes
La page Tableau de bord de travail permet de spécifier le mode d'affichage des détails pour une requête sur laquelle vous cliquez dans la section État des requêtes de cette page. Vous pouvez afficher les détails de la tâche dans la liste ou dans une boîte de dialogue modale séparée. Ce comportement est contrôlé par un paramètre dans la boîte de dialogue Personnaliser l'affichage de l'état de la requête.
Lorsque vous modifiez ce paramètre, votre préférence s'enregistre dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour contrôler l'affichage des détails des tâches :
1 Cliquez sur le bouton Personnaliser dans la section État des requêtes de la page Tableau de bord de travail.
L'application utilisateur affiche la boîte de dialogue Personnaliser l'affichage de l'état de la
requête qui vous permet de personnaliser l'affichage de la liste de requêtes. L'ensemble des contrôles affichés peut varier selon les paramètres désignés par l'administrateur comme disponibles pour les modifications utilisateur.
186 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Pour afficher les détails dans l'affichage de la liste des tâches, sélectionnez En ligne avec liste dans la liste déroulante Ouvrir les détails de l'état des requêtes. Pour afficher les détails dans une boîte de dialogue modale séparée, sélectionnez Dans une fenêtre de message.
3 Pour sauvegarder vos modifications, cliquez sur Enregistrer les modifications.
10.4.7 Tri de la liste des requêtes
Pour trier la liste des tâches :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri primaire. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale. Si le tri est descendant, l'indicateur apparaît à l'envers.
Vous pouvez trier la liste sur plusieurs colonnes en cliquant sur l'en-tête de chaque colonne de tri. Par défaut, le tri est décroissant par date de requête ; les requêtes les plus récentes s'affichent donc en tête de la liste. Si vous triez la liste sur une autre colonne que Date de la requête, cette dernière est utilisée comme colonne de tri secondaire.
Lorsque vous modifiez l'ordre de tri pour la liste des requêtes, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
10.4.8 Rafraîchissement de la liste des requêtes
Pour rafraîchir la liste des requêtes :
1 Cliquez sur le bouton Rafraîchir.
La liste de requêtes est mise à jour pour refléter l'état actuel de la liste des requêtes de l'utilisateur actuel. Le bouton Rafraîchir ne supprime aucun filtre appliqué à la liste de requêtes. Lorsque vous rafraîchissez la liste de requêtes, tous les filtres définis sont utilisés pour mettre à jour la liste et restent actifs jusqu'à ce que vous les réinitialisiez.
Gestion de votre travail 187
10.4.9 Affichage des commentaires d'une requête
1 Pour afficher les commentaires d'une requête, cliquez sur l'icône Commentaires dans la liste de requêtes.
Remarque : pour voir les commentaires d'une requête, vous devez inclure la colonne Commentaires dans la liste des colonnes sélectionnées. Pour plus de détails sur l'ajout de colonnes à la liste des
.
10.4.10 Affichage des détails d'une requête
Pour afficher les détails d'une requête :
1 Cliquez sur le nom de la requête dans la colonne Élément demandé.
L'application utilisateur affiche les détails de la requête.
10.4.11 Retrait d'une requête
La section État des requêtes de la page Tableau de bord de travail permet de retirer une requête en traitement si vous avez changé d'avis et ne souhaitez plus qu'elle s'exécute.
Un utilisateur final peut retirer toute requête dont il est l'initiateur, pour autant que l'état de la requête lui permette d'être retirée. Un administrateur de domaine peut retirer toute requête du domaine sur lequel l'adminitrateur fait autorité. Un gestionnaire de domaine doit avoir une autorisation de sécurité valable pour retirer des requêtes. En particulier, vous devez avoir l'autorisation de révoquer les assignations, ce qui implicitement vous autorise également à retirer une requête.
Pour retirer une requête :
1 Cliquez sur Retirer sur la fenêtre Détails de la requête.
188 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le bouton Retirer n'est activé que lorsque le processus associé à la requête est toujours en cours d'exécution.
Gestion de votre travail 189
190 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion du travail des utilisateurs, groupes, conteneurs, rôles et
équipes
Cette section explique l'utilisation du contrôle Gérer pour gérer le travail d'autres utilisateurs, groupes, conteneurs, rôles et équipes. Les rubriques sont les suivantes :
Section 11.1, « Sélection d'un utilisateur, d'un groupe, d'un conteneur, d'un rôle ou d'une
Section 11.2, « Changement d'entité gérée », page 194
Section 11.4, « Quitter le mode de gestion », page 195
11.1 Sélection d'un utilisateur, d'un groupe, d'un conteneur, d'un rôle ou d'une équipe
Lorsqu'un administrateur de domaine ou un gestionnaire de domaine se logue à l'application utilisateur, le tableau de bord de travail affiche le contrôle Gérer, qui est un contrôle de recherche global. Le contrôle Gérer permet à l'utilisateur actuel de sélectionner un utilisateur, groupe, conteneur, rôle ou membre de l'équipe particulier et d'utiliser l'interface de tableau de bord de travail afin de gérer le travail pour le type d'entité sélectionné. Après que l'utilisateur a sélectionné une entité, les autorisations de données et d'accès du tableau de bord de travail appartiennent à l'entité sélectionnée au lieu de l'utilisateur actuellement logué. Toutefois, lorsque l'utilisateur est en mode
Gérer, les menus Paramètres et Effectuer une requête de processus s'appliquent toujours à l'utilisateur logué et non à l'entité sélectionnée dans le contrôle Gérer.
Pour sélectionner un utilisateur, un groupe, un conteneur, un rôle ou un membre de l'équipe :
1 Cliquez sur Gérer dans le coin supérieur gauche du tableau de bord de travail.
11
Gestion du travail des utilisateurs, groupes, conteneurs, rôles et équipes
191
Le tableau de bord de travail affiche la fenêtre contextuelle Gérer :
2 Dans le contrôle Gérer, sélectionnez le type d'entité.
3 Utilisez le sélecteur d'objet pour sélectionner une équipe, un utilisateur, un groupe, un conteneur, ou un rôle particulier :
Lorsque vous sélectionnez un utilisateur, un groupe, un conteneur, un rôle ou une équipe, le tableau de bord de travail vous met en mode de gestion et met à jour la section Profil utilisateur du côté gauche de l'écran. Le profil utilisateur met à jour son écran, comme suit :
Lorsqu'un utilisateur est sélectionné, l'écran affiche sa photo, son nom, son titre, son adresse e-mail et son numéro de téléphone.
192 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lorsque vous sélectionnez un utilisateur, la section Profil utilisateur ainsi que les sections
Notifications de tâches, Assignations de ressources, Assignations de rôles et État des requêtes de la page affichent cette icône :
Cette icône indique que les autorisations de données et d'accès à ces sections du tableau de bord de travail appartiennent à l'utilisateur sélectionné et non à l'utilisateur actuellement logué.
Lorsqu'un groupe, conteneur ou rôle est sélectionné, l'écran affiche le DN, le nom d'affichage et la description (si elle est disponible) du groupe, conteneur ou rôle.
Lorsque vous sélectionnez un conteneur, la section Profil utilisateur ainsi que les sections
Notifications de tâches, Assignations de ressources, Assignations de rôles et État des requêtes de la page affichent cette icône :
Lorsque vous sélectionnez un groupe, la section Profil utilisateur ainsi que les sections
Notifications de tâches, Assignations de ressources, Assignations de rôles et État des requêtes de la page affichent cette icône :
Lorsque vous sélectionnez un rôle, la section Profil utilisateur ainsi que les sections
Notifications de tâches, Assignations de ressources, Assignations de rôles et état des requêtes de la page affichent cette icône :
Ces icônes indiquent que les autorisations de données et d'accès à ces sections du tableau de bord de travail appartiennent à l'entité sélectionnée et non à l'utilisateur actuellement logué.
Lorsqu'une équipe est sélectionnée, l'écran affiche la liste déroulante des équipes pour vous permettre d'en sélectionner une. En outre, il affiche une liste déroulante vous permettant de choisir un membre de l'équipe.
Gestion du travail des utilisateurs, groupes, conteneurs, rôles et équipes 193
Lorsque vous sélectionnez un membre de l'équipe, la section Profil utilisateur ainsi que les sections Notifications de tâches, Assignations de ressources, Assignations de rôles et État des requêtes de la page affichent cette icône :
11.2 Changement d'entité gérée
Pour changer d'entité gérée :
1 Cliquez sur le bouton Gestion de l'utilisateur, du groupe, du rôle ou du conteneur.
11.3 Réduction de l'espace occupé sur l'écran par la section Profil utilisateur
Pour réduire l'espace écran employé par la section Profil utilisateur :
1 Cliquez sur le bouton Présentation étendue dans la section Profil utilisateur.
La section Profil utilisateur masque les détails de l'entité actuellement sélectionnée pour vous donner plus d'espace pour travailler avec les sections Notifications de tâches, Assignations de ressources, Assignations de rôles et État des requêtes de la page.
194 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour restaurer la taille de la section Profil utilisateur pour que les détails de l'entité soient visibles, cliquez sur le bouton Présentation par défaut.
11.4 Quitter le mode de gestion
Pour quitter le mode de gestion et réinitialiser le tableau de bord de travail pour afficher les autorisations de données et d'accès de l'utilisateur actuellement logué :
1 Procédez de l'une des manières suivantes :
Cliquez sur le X de la section Profil utilisateur :
Dans la boîte de dialogue Gérer, cliquez sur le bouton Quitter le mode de gestion.
Mode proxy. Le contrôle Gérer n'est pas disponible en mode proxy, même si un utilisateur mandate pour un autre, Administrateur de domaine ou Gestionnaire de domaine. Lorsqu'un utilisateur est en mode proxy, les autorisations d'accès de navigation pour les éléments du menu du tableau de bord de travail affichent les autorisations mandatées de l'utilisateur et non les autorisations pour l'utilisateur actuellement logué.
Gestion du travail des utilisateurs, groupes, conteneurs, rôles et équipes 195
196 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Contrôle de vos paramètres
Cette section fournit des informations sur l'utilisation du menu Paramètres du tableau de bord de travail. Les rubriques sont les suivantes :
Section 12.1, « À propos du menu Paramètres », page 197
Section 12.2, « Agir en tant que proxy », page 201
Section 12.3, « Spécification de votre disponibilité », page 203
Section 12.4, « Affichage et modification de vos assignations de proxy », page 209
Section 12.5, « Affichage et modification de vos assignations de délégué », page 212
Section 12.6, « Affichage et édition des assignations de proxy de votre équipe », page 216
Section 12.7, « Affichage et édition des assignations de délégué de votre équipe », page 221
Section 12.8, « Spécification de la disponibilité de votre équipe », page 227
Section 12.9, « Effectuer une requête de processus d'équipe », page 231
12.1 À propos du menu Paramètres
Les opérations Paramètres vous offrent la possibilité d'agir en tant que proxy pour un autre utilisateur. Elles permettent en outre d'afficher vos assignations de proxy et de délégué. Si vous êtes administrateur de provisioning, gestionnaire de provisioning ou gestionnaire d'équipe pour le domaine de provisioning, vous pouvez aussi être autorisé à définir des assignations de proxy et de délégué, ainsi que des paramètres de disponibilité d'équipe.
12
12.1.1 À propos des proxy et des délégués
Un délégué est un utilisateur autorisé à exécuter des travaux à la place d'un autre utilisateur. Une assignation de délégué s'applique à un type particulier de requête.
Un proxy est un utilisateur autorisé à effectuer n'importe quel travail (et à définir des paramètres de provisioning) pour un ou plusieurs utilisateurs, groupes ou conteneurs. Contrairement aux assignations de délégué, les assignations de proxy sont indépendantes des requêtes de ressource, et s'appliquent par conséquent à toutes les opérations sur les travaux et les paramètres.
Les assignations de proxy et de délégué sont associées à des périodes : les assignations de proxy et de délégué sont associées à des périodes. Vous pouvez définir la longueur de la période d'assignation de proxy ou de délégué qui vous convient. Cette période peut également ne pas comporter de date d'expiration.
Les opérations de proxy et de délégué sont consignées : si la fonction de consignation est activée, toutes les opérations effectuées par un mandataire ou un délégué sont consignées avec les opérations effectuées par les autres utilisateurs. Lorsqu'une opération est effectuée par un mandataire ou un délégué, le message du journal indique clairement que l'opération a été effectuée par un mandataire ou un délégué à la place d'un autre utilisateur. En outre, chaque fois qu'une nouvelle assignation de mandataire ou de délégué est définie, cet événement est également consigné.
Contrôle de vos paramètres
197
Assignations de délégué lorsqu'un rôle est l'approbateur : l'application utilisateur n'effectue pas le traitement délégué lorsqu'un approbateur de workflow est un rôle. N'importe quel utilisateur d'un rôle peut prendre en charge les approbations assignées au rôle, de sorte que la délégation n'est pas nécessaire.
Assignations de proxy lorsqu'un rôle est l'approbateur : lorsque vous effectuez des assignations de proxy, l'application utilisateur n'effectue pas les contrôles des rôles détenus par l'utilisateur. Il est possible que l'utilisateur soit déjà assigné aux mêmes rôles que la personne pour laquelle vous agissez en tant que proxy. Des conflits avec les rôles de la personne pour laquelle il doit agir comme proxy sont également possibles.
12.1.2 Exemples de scénarios d'utilisation
Cette section décrit deux scénarios d'entreprise dans lesquels des proxy et des délégués peuvent être utilisés :
« Scénario d'utilisation de proxy » page 198
« Scénario d'utilisation de délégué » page 198
Scénario d'utilisation de proxy
Supposons que vous soyez un gestionnaire responsable de l'approbation (ou du refus) d'un grand nombre de tâches de workflow au quotidien. Par ailleurs, vous êtes également responsable de la modification des paramètres de provisioning pour un grand nombre d'utilisateurs de votre entreprise.
Dans cette situation, il se peut que vous souhaitiez assigner un proxy afin de décharger une partie de votre travail sur un membre approuvé de votre équipe.
Scénario d'utilisation de délégué
Supposons que vous soyez un gestionnaire responsable de l'approbation ou du refus des requêtes de dix types différents de ressources provisionnées. Ces dix types de requêtes nécessitent une attention régulière, mais vous souhaiteriez qu'une autre personne de votre entreprise prenne en charge six d'entre eux. Dans ce cas, vous pouvez définir un délégué pour ces six types de requêtes de processus.
Le cas échéant, vous pouvez limiter cette relation de délégué à une période mesurée en heures, jours ou semaines. Vous pouvez également spécifier l'absence d'expiration pour cette relation de délégué,
établissant ainsi cette relation comme un mode d'organisation plus permanent.
12.1.3 Accès de l'utilisateur au menu Paramètres
Le menu Paramètres du tableau de bord de travail affiche les options suivantes pour tous les utilisateurs qui se loguent à l'application utilisateur :
Tableau 12-1
Options du menu Paramètres disponibles pour tous les utilisateurs authentifiés
Option du menu Paramètres
Édition du mode proxy
Description
Permet d'agir comme proxy pour un autre utilisateur.
Pour plus de détails, reportez-vous à la
Section 12.2, « Agir en tant que proxy », page 201
.
198 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Option du menu Paramètres
Modifier la disponibilité
Mes assignations de proxy
Mes assignations de délégué
Description
Permet d'afficher ou d'éditer les requêtes sur lesquelles vous pouvez agir, ainsi que celles sur lesquelles vos délégués assignés peuvent agir.
Pour éditer la disponibilité, vous devez avoir l'autorisation Configurer la disponibilité.
Pour plus de détails, reportez-vous à la
Section 12.3, « Spécification de votre disponibilité », page 203
.
Permet d'afficher ou de modifier les assignations de votre proxy. Pour éditer les assignations de proxy, vous devez avoir l'autorisation Configurer le proxy.
Pour plus de détails, reportez-vous à la
Section 12.4, « Affichage et modification de vos assignations de proxy », page 209
.
Permet d'afficher ou de modifier les assignations de votre délégué. Pour éditer les assignations de délégué, vous devez avoir l'autorisation Configurer un délégué.
Pour plus de détails, reportez-vous à la
Section 12.5, « Affichage et modification de vos assignations de délégué », page 212
.
Lorsqu'un administrateur de provisioning, un gestionnaire de provisioning ou un gestionnaire d'équipe se logue à l'application utilisateur, le menu Paramètres affiche les options de menu supplémentaires suivantes :
Tableau 12-2
Options du menu Paramètres disponibles pour les administrateurs et les gestionnaires d'équipe
Option du menu Paramètres Description
Paramètres de l'équipe > Disponibilité de l'équipe Permet de spécifier les requêtes sur lesquelles les membres de votre équipe et les délégués des membres de votre équipe peuvent agir.
L'autorisation Configurer la disponibilité doit être activée dans la configuration de l'équipe. Lorsque cette autorisation est désactivée, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous à la
Section 12.8, « Spécification de la disponibilité de votre équipe », page 227 .
Contrôle de vos paramètres 199
Option du menu Paramètres Description
Paramètres de l'équipe > Assignations du proxy de l'équipe
Permet de spécifier les assignations du proxy des membres de votre équipe.
L'autorisation Configurer le proxy doit être activée dans la configuration de l'équipe. Lorsque cette fonction est désactivée, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous à la
Section 12.6, « Affichage et édition des assignations de proxy de votre équipe », page 216 .
Paramètres de l'équipe > Assignations du délégué de l'équipe
Permet de spécifier les assignations de délégué pour les membres de votre équipe.
L'autorisation Configurer un délégué doit être activée dans la configuration de l'équipe. Si les droits de l'équipe permettent aux gestionnaires de faire d'un membre de l'équipe le délégué pour les requêtes de provisioning d'autres membres de l'équipe, cette opération est autorisée pour ces requêtes. Lorsque cette autorisation est désactivée dans la configuration de l'équipe, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous à la
Section 12.7, « Affichage et édition des assignations de délégué de votre équipe », page 221 .
Paramètres de l'équipe > Effectuer des requêtes de processus d'équipe
Permet d'effectuer une requête de processus pour un membre de votre équipe.
L'autorisation Initier la PRD doit être activée dans la configuration de l'équipe. Lorsque cette autorisation est désactivée dans la configuration de l'équipe, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous à la
Section 12.9, « Effectuer une requête de processus d'équipe », page 231
.
Le comportement des options du menu Paramètres de l'équipe varie selon que l'utilisateur actuel est un administrateur ou un gestionnaire d'équipe et suivant les autorisations accordées, comme décrit ci-dessous :
200 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 12-3
Accès de l'utilisateur aux options du menu Paramètres de l'équipe
Utilisateur
Administrateur de provisioning (ou administrateur de domaine de sécurité)
Gestionnaire de provisioning
Gestionnaire d'équipe
Fonctions
Peut sélectionner un utilisateur sans devoir sélectionner d'équipe.
A toutes les autorisations associées au domaine de provisioning et peut dès lors voir les assignations de proxy de l'équipe, les assignations de délégué de l'équipe ainsi que les options du menu
Disponibilité de l'équipe.
Peut accéder au bouton Nouvelle sur les pages
Assignations du proxy de l'équipe, Assignations de délégué de l'équipe et Disponibilité de l'équipe.
Peut sélectionner un utilisateur sans devoir sélectionner d'équipe.
Nécessite des droits de sécurité pour voir les options de menu Assignations du proxy de l'équipe,
Assignations de délégué de l'équipe et Disponibilité de l'équipe.
Peut accéder au bouton Nouvelle des pages
Assignations du proxy de l'équipe, Assignations de délégué de l'équipe et Disponibilité de l'équipe, si les droits de sécurité nécessaires ont été consentis.
Dans l'interface utilisateur Assignations de délégué de l'équipe, le gestionnaire de provisioning ne peut sélectionner que les requêtes de provisioning qui disposent de droits d'assignation. Lorsque le gestionnaire de provisioning soumet une requête d'assignation de délégué, seules les assignations qu'il est autorisé à réaliser sont effectuées.
Doit sélectionner une équipe avant de choisir un utilisateur.
Nécessite des droits de sécurité pour voir les options de menu Assignations du proxy de l'équipe,
Assignations de délégué de l'équipe et Disponibilité de l'équipe.
Peut accéder au bouton Nouvelle des pages
Assignations du proxy de l'équipe, Assignations de délégué de l'équipe et Disponibilité de l'équipe, si les droits de sécurité nécessaires ont été consentis.
12.2 Agir en tant que proxy
L'opération Accès au mode proxy permet d'agir en tant que proxy pour un autre utilisateur.
1 Cliquez sur Accès au mode proxy dans le groupe d'opérations Paramètres de la section Profil utilisateur du tableau de bord de travail.
Contrôle de vos paramètres 201
Si vous êtes autorisé à agir en tant que proxy pour au moins un autre utilisateur, l'application utilisateur affiche la liste des utilisateurs.
Si vous n'êtes pas autorisé à agir en tant que proxy pour un autre utilisateur, l'application utilisateur affiche le message suivant :
2 Sélectionnez l'utilisateur pour lequel vous voulez agir en tant que proxy et cliquez sur
Continuer.
Si vous êtes désigné comme proxy pour un groupe ou un conteneur, vous devez sélectionner le groupe ou le conteneur avant l'utilisateur. L'application utilisateur comporte une liste déroulante permettant de sélectionner le groupe ou le conteneur.
L'application utilisateur rafraîchit l'écran et vous ramène à l'opération Mes tâches (l'opération par défaut lorsque vous vous loguez). Le liste des tâches montre les tâches assignées à l'utilisateur pour lesquelles vous agissez en tant que proxy. Un message apparaît au-dessus du groupe Mon travail (ainsi que dans la barre de titre) pour indiquer que vous agissez à présent en tant que proxy pour un autre utilisateur.
202 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
À cette étape, vous pouvez effectuer exactement les mêmes opérations que l'utilisateur pour lequel vous agissez en tant que proxy. La liste des opérations disponibles dépend de votre autorité et de celle de l'utilisateur pour lequel vous agissez en tant que proxy.
12.3 Spécification de votre disponibilité
L'opération Modifier la disponibilité permet de spécifier les requêtes de processus avec une assignation de délégué sur lesquelles vous ne pouvez pas travailler pendant une période donnée.
Pendant la période où vous n'êtes pas disponible pour une requête donnée, l'utilisateur délégué pour travailler sur cette requête peut y accéder.
Si vous préférez ne pas spécifier votre disponibilité pour chaque définition de requête de processus individuellement, vous pouvez utiliser l'opération Modifier la disponibilité pour définir les paramètres globaux relatifs à la délégation.
Suggestion : avant d'utiliser l'opération Modifier la disponibilité, vous devez avoir au moins une assignation de délégué sur laquelle travailler. Un administrateur de provisioning (ou un gestionnaire de provisioning ou un gestionnaire d'équipe) doit créer des assignations de délégué pour vous.
Section 12.3.1, « Définition de votre état de disponibilité », page 203
Section 12.3.2, « Création ou modification d'un paramètre de disponibilité », page 205
Section 12.3.3, « Suppression d'un paramètre de disponibilité », page 209
12.3.1 Définition de votre état de disponibilité
1 Cliquez sur Modifier la disponibilité dans le groupe d'opérations Paramètres.
L'application utilisateur affiche la page Modifier la disponibilité. Si vous n'avez aucun paramètre de disponibilité existant, la liste est vide :
Contrôle de vos paramètres 203
Si aucun délégué ne vous a été assigné, l'application utilisateur affiche un message indiquant que vous ne pouvez pas modifier votre état sur la page Modifier la disponibilité.
Si vous avez un ou plusieurs paramètres de disponibilité, la liste les affiche :
2 Pour consulter les détails concernant un processus particulier associé à une assignation de disponibilité, cliquez sur le nom du processus.
La page affiche ensuite une fenêtre contextuelle fournissant des informations concernant l'assignation de délégué :
Ces informations sont particulièrement utiles dans les situations où le même nom de processus apparaît plusieurs fois dans la liste des paramètres de disponibilité.
204 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Spécifiez votre statut en sélectionnant l'une des options suivantes dans la liste déroulante
Modifier l'état :
État
Disponible pour TOUTES les requêtes
NON disponible pour
N'IMPORTE quelle requête
NON disponible pour les requêtes spécifiées
Description
C'est le statut par défaut. Il indique que vous êtes globalement disponible. Lorsque ce statut est en vigueur, les requêtes qui vous sont assignées ne sont pas déléguées, même si vous avez des délégués assignés.
Le statut Disponible pour TOUTES les requêtes remplace tous les autres paramètres. Si vous modifiez le statut pour l'un des autres paramètres, et si vous le modifiez de nouveau pour
Disponible pour TOUTES les requêtes, tout paramètre
Disponible de façon sélective précédemment défini est supprimé.
Spécifie que vous êtes globalement indisponible pour n'importe quelle définition de requête actuellement dans le système.
Le fait de choisir le statut NON disponible pour N'IMPORTE
quelle requête indique vous vous n'êtes pas disponible pour chaque assignation de délégué existante et modifie le statut actuel en NON disponible pour les requêtes spécifiées. Les assignations sont effectives immédiatement jusqu'à l'expiration de l'assignation de délégué. Ce paramètre n'a pas d'incidence sur la disponibilité des nouvelles assignations créées après cette étape.
Spécifie que vous n'êtes pas disponible pour certaines définitions de requête de processus. Pendant la période où vous n'êtes pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
L'option NON disponible pour les requêtes spécifiées vous fait accéder à la page Modifier la disponibilité. Il s'agit de la même opération que lorsque vous cliquez sur le bouton Nouveau.
12.3.2 Création ou modification d'un paramètre de disponibilité
1 Pour créer un nouveau paramètre de disponibilité, cliquez sur Nouveau (ou sélectionnez NON
disponible pour les requêtes spécifiées dans la liste déroulante Modifier l'état).
2 Pour modifier un paramètre existant, cliquez sur Modifier en regard du paramètre concerné :
L'application utilisateur affiche un ensemble de contrôles destinés à préciser la période pendant laquelle vous n'êtes pas disponible et à sélectionner les requêtes auxquelles le paramètre s'applique.
La liste des requêtes de processus affichée ne comporte que celles ayant une assignation de délégué.
Contrôle de vos paramètres 205
3 Spécifiez la période pendant laquelle vous n'êtes pas disponible :
3a Pour spécifier le début de la période, saisissez la date et l'heure de début dans la zone
Indisponible depuis, ou cliquez sur le bouton de l'agenda et en sélectionnant la date et l'heure.
3b Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
206 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Bouton
Durée
Date de fin
Description
Permet de spécifier la période en semaines, jours ou heures.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
Indique que ce paramètre d'indisponibilité n'expire pas.
Pas d'expiration
La date de fin que vous spécifiez doit se situer dans la période autorisée par l'assignation de délégué. Par exemple, si l'assignation de délégué expire le 31 octobre 2009, vous ne pouvez pas spécifier le 15 novembre 2009 comme date d'expiration pour le paramètre de disponibilité. Si vous spécifiez la date d'expiration du 15 novembre 2009, elle est corrigée automatiquement lorsqu'elle doit expirer le 31 octobre 2009.
4 Pour spécifier si vous voulez envoyer des notifications par courrier électronique à d'autres utilisateurs, complétez les champs suivants :
Champ
Notifier les autres utilisateurs de ces modifications
Destinataire
Description
Indique si vous voulez envoyer un courrier
électronique pour notifier un ou plusieurs utilisateurs de cette assignation de disponibilité.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique à tous les utilisateurs que vous sélectionnez.
5 Sélectionnez une ou plusieurs requêtes de processus dans la liste Types de requêtes et cliquez sur Ajouter.
Sur cette page, vous pouvez sélectionner les types de requêtes qui ne doivent pas être acceptées pendant la durée de votre indisponibilité. Cela a pour effet de déléguer ces requêtes à d'autres utilisateurs.
Contrôle de vos paramètres 207
Chaque requête de processus que vous ajoutez est incluse dans la liste Indisponible pour la
période spécifiée.
6 Pour indiquer que ce paramètre de disponibilité s'applique à tous les types de requêtes, cliquez sur Tous les types de requêtes au lieu de sélectionner les types de requêtes individuellement.
208 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La case à cocher Tous les types de requêtes n'est disponible que lorsque le type de requête pour l'assignation de délégué est défini sur Tout.
7 Pour supprimer une requête de la liste, cliquez sur Supprimer.
8 Cliquez sur Soumettre pour valider vos modifications.
12.3.3 Suppression d'un paramètre de disponibilité
Pour supprimer un paramètre de disponibilité existant, procédez comme suit.
1 Cliquez sur Supprimer à côté du paramètre :
12.4 Affichage et modification de vos assignations de proxy
L'opération Mes assignations de proxy permet d'afficher vos assignations de proxy. Si vous êtes administrateur de provisioning, gestionnaire de provisioning ou gestionnaire d'équipe, vous pouvez aussi utiliser cette opération pour éditer des assignations de proxy.
Seuls les administrateurs de provisioning, les gestionnaires de provisioning et les gestionnaires d'équipe peuvent assigner des proxys, comme indiqué ci-dessous :
L'administrateur de provisioning et le gestionnaire de provisioning peuvent définir des assignations de proxy pour n'importe quel utilisateur au sein de l'organisation.
Un gestionnaire d'équipe peut avoir la possibilité de définir des paramètres de proxy pour les utilisateurs de son équipe, selon la manière dont l'équipe a été définie. Les proxy doivent
également faire partie de l'équipe. Pour définir un proxy, un gestionnaire d'équipe doit utiliser l'opération Assignations du proxy de l'équipe.
Si un gestionnaire d'équipe doit sélectionner un proxy qui ne fait pas partie de l'équipe, il doit demander à l'administrateur de provisioning ou au gestionnaire de provisioning de définir la relation du proxy.
12.4.1 Affichage de votre configuration proxy
1 Cliquez sur Mes assignations de proxy dans le groupe d'opérations Paramètres.
L'application utilisateur affiche vos paramètres actuels. Les assignations de proxy affichées sont celles qui vous spécifient en tant que proxy pour un autre utilisateur, ainsi que celles qui spécifient un autre utilisateur en tant que proxy pour vous-même.
Si vous n'êtes ni administrateur de provisioning, ni gestionnaire de provisioning, ni gestionnaire d'équipe, vos assignations de proxy s'affichent en lecture seule :
Contrôle de vos paramètres 209
Si vous disposez de privilèges administratifs, vous avez accès aux boutons qui permettent de créer et d'éditer des assignations de proxy.
2 Pour rafraîchir la liste, cliquez sur Rafraîchir.
12.4.2 Création ou modification d'assignations de proxy
1 Pour créer une nouvelle assignation de proxy, cliquez sur Nouveau.
2 Pour modifier une assignation de proxy existante, cliquez sur Modifier en regard de l'assignation :
Si vous êtes administrateur de l'application de provisioning, l'application utilisateur présente l'interface suivante vous permettant de définir des assignations de proxy :
210 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Si vous êtes administrateur de provisioning, sélectionnez un ou plusieurs utilisateurs, groupes ou conteneurs pour lesquels vous voulez définir un proxy.
Utilisez le Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner un utilisateur, un groupe ou un conteneur.
4 Si vous êtes un gestionnaire d'équipe, sélectionnez un ou plusieurs utilisateurs pour lesquels vous voulez définir un proxy.
5 Spécifiez un utilisateur devant être le proxy dans le champ Proxy assigné.
6 Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier l'expiration
Description
Indique que cette assignation de proxy n'expire pas.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
7 Cliquez sur Soumettre pour valider vos modifications.
12.4.3 Suppression d'assignations de proxy
Pour supprimer une assignation de proxy existante, procédez comme suit.
1 Cliquez sur Supprimer à côté de l'assignation :
Contrôle de vos paramètres 211
Remarque : l'application utilisateur ne vous délogue pas du mode proxy juste après avoir modifié les autorisations d'assignation d'un proxy. Vous pouvez ainsi modifier une valeur si vous avez commis une erreur. Dès lors, si vous supprimez une assignation de proxy en mode proxy, vous pouvez toujours éditer l'assignation de proxy et travailler sur les tâches de l'utilisateur proxy, même après avoir supprimé l'assignation de proxy.
12.5 Affichage et modification de vos assignations de délégué
L'opération Mes assignations de délégué permet d'afficher vos assignations de délégué. Si vous êtes administrateur de provisioning, gestionnaire de provisioning ou gestionnaire d'équipe, vous pouvez aussi utiliser cette opération pour éditer des assignations de délégué.
Seuls les administrateurs de provisioning, les gestionnaires de provisioning et les gestionnaires d'équipe peuvent assigner des délégués, comme indiqué ci-dessous :
L'administrateur de provisioning et le gestionnaire de provisioning peuvent définir des assignations de proxy pour tout utilisateur au sein de l'organisation.
Un gestionnaire d'équipe peut avoir la possibilité de définir des paramètres de délégué pour les utilisateurs de son équipe, selon la manière dont l'équipe a été définie. Les délégués doivent
également faire partie de l'équipe. Pour définir un délégué, un gestionnaire d'équipe doit utiliser l'opération Assignations de délégué de l'équipe
Si un gestionnaire d'équipe doit définir une relation de délégué pour des utilisateurs qui ne sont pas sous son autorité, il doit demander à l'administrateur de provisioning de le faire pour lui.
Suggestion : avant d'utiliser l'opération Modifier la disponibilité, vous devez avoir au moins une assignation de délégué sur laquelle travailler.
12.5.1 Affichage de vos paramètres de délégué
1 Cliquez sur Mes assignations de délégué dans le groupe d'opérations Paramètres.
L'application utilisateur affiche vos paramètres actuels.
Si vous n'êtes ni administrateur de provisioning, ni gestionnaire de provisioning, ni gestionnaire d'équipe, vos assignations de délégué s'affichent en lecture seule :
212 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous disposez de privilèges administratifs, vous avez accès aux boutons qui permettent de créer et de modifier des assignations de délégué.
2 Pour rafraîchir la liste, cliquez sur Rafraîchir.
12.5.2 Création ou modification d'assignations de délégué
1 Pour modifier une assignation de délégué existante, cliquez sur Modifier en regard de l'assignation :
Pour créer une nouvelle assignation de délégué, cliquez sur Nouvelle.
Si vous êtes l'administrateur de l'application de provisioning, l'application utilisateur présente l'interface suivante vous permettant de définir des assignations de proxy de délégué :
Contrôle de vos paramètres 213
2 Sélectionnez un ou plusieurs utilisateurs, groupes et conteneurs pour lesquels vous voulez définir un délégué.
Utilisez le Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner un utilisateur, un groupe ou un conteneur.
3 Cliquez sur Assigner un délégué. Spécifiez l'utilisateur qui est le délégué dans le champ
Délégué assigné. Vous pouvez également cliquer sur Assigner par relation et sélectionner une relation dans le champ Relation de délégué.
4 Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier l'expiration
Description
Indique que cette assignation de délégué n'expire pas.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
5 Sélectionnez la catégorie des requêtes de processus dans le champ Type de requête.
Sélectionnez Tout pour inclure les requêtes de toutes les catégories disponibles.
6 Sélectionnez une ou plusieurs requêtes que vous souhaitez déléguer dans la liste Requêtes
disponibles dans la catégorie sélectionnée et cliquez sur Ajouter.
214 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Chaque requête de processus ajoutée est incluse dans la liste Requêtes sélectionnées.
Si vous ajoutez plusieurs requêtes, chacune est traitée comme un objet individuel pouvant être modifié séparément.
7 Pour supprimer une requête de la liste, cliquez sur Supprimer.
8 Cliquez sur Soumettre pour valider vos modifications.
Contrôle de vos paramètres 215
L'application utilisateur affiche un message de confirmation précisant si l'assignation de délégué a bien été soumise :
12.5.3 Suppression d'une assignation de délégué
Pour supprimer une assignation de délégué existante, procédez comme suit.
1 Cliquez sur Supprimer à côté de l'assignation :
12.6 Affichage et édition des assignations de proxy de votre équipe
L'opération Assignations du proxy de l'équipe permet de gérer l'assignation de proxy de chacun des membres de votre équipe. Les règles de définition des proxy sont les suivantes :
Si vous êtes gestionnaire d'équipe, vous pouvez être autorisé à définir des proxys pour les membres de votre équipe. Pour définir des proxys, le gestionnaire d'équipe doit avoir l'autorisation Configurer le proxy dans la définition de l'équipe.
L'administrateur de provisioning peut définir des proxys pour n'importe quel utilisateur, groupe ou conteneur de l'organisation.
Le gestionnaire de provisioning peut être autorisé à définir des proxys pour n'importe quel utilisateur, groupe ou conteneur de l'organisation. Pour définir des proxys, le gestionnaire de provisioning doit disposer de l'autorisation Configurer le proxy.
Pour assigner un proxy à un membre de l'équipe :
1 Cliquez sur Assignations du proxy de l'équipe dans le groupe d'opérations Paramètres >
Paramètres de l'équipe.
216 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de provisioning ou gestionnaire de provisioning, l'option
Sélectionner une équipe ne s'affiche pas.
La liste des équipes inclut celles dont les gestionnaires sont autorisés à définir des proxys, mais aussi celles pour lesquelles ils n'y sont pas autorisés. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxys, le gestionnaire peut néanmoins afficher la configuration de Proxy définie pour les membres de l'équipe par un administrateur ou par un gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Toutefois, le gestionnaire d'équipe ne peut pas éditer ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
3 Cliquez sur Continuer.
4 Dans la zone de sélection Membre de l'équipe, saisissez au moins quatre caractères du prénom de l'utilisateur pour le sélectionner.
Vous pouvez également utiliser l'icône Sélecteur d'objet en regard de la zone de sélectionMembre de l'équipe pour sélectionner un membre de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
Pour trier les assignations de proxy, cliquez sur le champ Proxy assigné.
6 Cliquez sur Nouveau.
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des proxy pour les membres de l'équipe.
Contrôle de vos paramètres 217
7 Complétez les champs de la façon suivante :
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces modifications
Destinataire
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Expiration
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que les membres de l'équipe pour lesquels le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si l'assignation réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
9 Cliquez sur Retour aux Assignations du proxy de l'équipe pour créer ou modifier une assignation de proxy.
Pour modifier des assignations de proxy existantes :
1 Cliquez sur Assignations du proxy de l'équipe dans le groupe d'opérations Paramètres >
Paramètres de l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de provisioning ou gestionnaire de provisioning, l'option
Sélectionner une équipe ne s'affiche pas.
218 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La liste des équipes inclut celles dont les gestionnaires sont autorisés à définir des proxys, mais aussi celles pour lesquelles ils n'y sont pas autorisés. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxys, le gestionnaire peut néanmoins afficher la configuration de Proxy définie pour les membres de l'équipe par un administrateur ou par un gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Toutefois, le gestionnaire d'équipe ne peut pas éditer ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
3 Cliquez sur Continuer.
4 Dans la zone de sélection Membre de l'équipe, saisissez au moins quatre caractères du prénom de l'utilisateur pour le sélectionner.
Vous pouvez également utiliser l'icône Sélecteur d'objet en regard de la zone de sélectionMembre de l'équipe pour sélectionner un membre de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
6 Pour modifier une assignation de proxy, cliquez sur le bouton Modifier qui se trouve en regard de l'assignation à modifier.
Si la définition de l'équipe ne permet pas aux gestionnaires d'équipe de définir des proxy, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces modifications
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Contrôle de vos paramètres 219
Champ
Destinataire
Expiration
Description
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que le membre de l'équipe pour lequel le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si la modification réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
Pour supprimer des assignations de proxy :
1 Cliquez sur Assignations du proxy de l'équipe dans le groupe d'opérations Paramètres >
Paramètres de l'équipe.
2 Pour supprimer un paramètre de proxy, cliquez sur Supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher une confirmation de ce type :
Submission was successful. Changes will be reflected upon the assigned's next login.
Remarque : il est également possible de supprimer une assignation de proxy au cours du processus de modification d'assignation de proxy.
220 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
12.7 Affichage et édition des assignations de délégué de votre équipe
L'opération Assignations de délégué de l'équipe permet de gérer les assignations de délégué des membres de l'équipe. Les règles permettant de définir les délégués sont les suivantes :
Vous êtes autorisé à définir les délégués des membres d'une équipe dont vous êtes gestionnaire, pour autant que la définition de l'équipe vous y autorise. Pour configurer des assignations de délégué de l'équipe, le gestionnaire de l'équipe doit disposer de l'autorisation Configurer un délégué.
L'administrateur de provisioning peut définir des assignations de délégué pour n'importe quel utilisateur, groupe ou conteneur de l'organisation.
Le gestionnaire de provisioning peut être autorisé à définir des délégués pour n'importe quel utilisateur, groupe ou conteneur de l'organisation. Pour définir des délégués, le gestionnaire de provisioning doit disposer de l'autorisation Configurer un délégué.
Pour définir une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres >
Paramètres de l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de provisioning ou gestionnaire de provisioning, l'option
Sélectionner une équipe ne s'affiche pas.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Dans la zone de sélection Membre de l'équipe, saisissez au moins quatre caractères du prénom de l'utilisateur pour le sélectionner.
Contrôle de vos paramètres 221
Vous pouvez également utiliser l'icône Sélecteur d'objet en regard de la zone de sélectionMembre de l'équipe pour sélectionner un membre de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Cliquez sur Nouveau.
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des délégués pour les membres de l'équipe.
7 Complétez les champs de la façon suivante :
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de ces modifications
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
222 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Champ
Destinataire
Expiration
Type de requête
Requêtes disponibles dans la catégorie sélectionnée
Requêtes sélectionnées
Description
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le délégué a été assigné reçoivent une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Sélectionnez une ou plusieurs requêtes de processus de cette liste et cliquez sur Ajouter.
Cette liste affiche les types de requêtes de processus ayant été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer vos assignations.
Si l'enregistrement réussit, un message de ce type s'affiche :
Submission was successful
Please note that any previous availability settings for users referenced in processed delegatee assignment will not be updated automatically.
Please check and refresh any existing availability settings for the corresponding users in order to activate these changes.
Pour modifier des assignations de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Contrôle de vos paramètres 223
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Dans la zone de sélection Membre de l'équipe, saisissez au moins quatre caractères du prénom de l'utilisateur pour le sélectionner.
Vous pouvez également utiliser l'icône Sélecteur d'objet en regard de la zone de sélectionMembre de l'équipe pour sélectionner un membre de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
Les assignations de délégué du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Pour supprimer une assignation de délégué, cliquez sur le bouton Modifier, sur la ligne de l'assignation à supprimer.
Si les droits de requête de l'équipe n'autorisent pas les gestionnaires à définir des délégués, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
224 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de ces modifications
Destinataire
Expiration
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seul le membre de l'équipe pour lequel le délégué a été assigné reçoit une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
Contrôle de vos paramètres 225
Champ
Type de requête
Description
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Pour indiquer que cette assignation de délégué s'applique à toutes les catégories, définissez le type de requête de l'assignation de délégué sur Tout.
Requêtes disponibles dans la catégorie sélectionnée
Requêtes sélectionnées
Remarque : l'option Tout n'est disponible que si l'administrateur de provisioning a activé l'option Autoriser toutes les demandes pour votre application.
Sélectionnez une ou plusieurs requêtes de processus de cette liste et cliquez sur Ajouter.
La liste des requêtes de provisioning n'inclut que les requêtes qui entrent dans le domaine de l'équipe. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe
à définir des délégués, les requêtes de provisioning associées
à l'équipe ne sont pas incluses à la liste.
Cette liste affiche les types de requêtes de processus ayant été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Pour supprimer une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres >
Paramètres de l'équipe pour afficher les assignations déléguées à ce membre de l'équipe, ainsi que celles qui ne lui ont pas été déléguées.
2 Pour supprimer une assignation de délégué, cliquez sur le bouton Supprimer, sur la ligne de l'assignation à supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher un message de confirmation.
226 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
12.8 Spécification de la disponibilité de votre
équipe
L'opération Disponibilité de l'équipe permet de spécifier les requêtes de processus sur lesquelles les membres de votre équipe ne sont pas autorisés à travailler. Pendant votre période d'indisponibilité ou celle des membres de votre équipe, les requêtes de processus de ce type sont réacheminées vers la file d'attente du délégué.
Vous pouvez spécifier la disponibilité de chaque requête de processus individuellement ou globalement. La disponibilité ne peut être spécifiée que si des délégués leur sont déjà assignés.
1 Cliquez sur Disponibilité de l'équipe dans le groupe d'opérations Paramètres > Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de provisioning ou gestionnaire de provisioning, l'option
Sélectionner une équipe ne s'affiche pas.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir la disponibilité (spécifiée dans la définition de l'équipe), ainsi que celles pour lesquelles la possibilité de définir la disponibilité a été désactivée. Si la définition de l'équipe n'autorise pas les gestionnaires d'équipe à définir la disponibilité, le gestionnaire peut néanmoins afficher les paramètres de disponibilité définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de disponibilité.
3 Cliquez sur Continuer.
4 Dans la zone de sélection Membre de l'équipe, saisissez au moins quatre caractères du prénom de l'utilisateur pour le sélectionner.
Vous pouvez également utiliser l'icône Sélecteur d'objet en regard de la zone de sélectionMembre de l'équipe pour sélectionner un membre de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
Contrôle de vos paramètres 227
Les assignations de disponibilité du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Pour consulter les détails concernant une ressource particulière associée à une assignation de disponibilité, cliquez sur le nom de la ressource :
La page affiche ensuite une fenêtre contextuelle fournissant des informations concernant l'assignation de délégué :
Ces informations sont particulièrement utiles dans les situations où le même nom de ressource apparaît plusieurs fois dans la liste des paramètres de disponibilité.
6 Cliquez sur Nouveau.
Le bouton Nouveau est activé seulement pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des paramètres de disponibilité pour les membres de l'équipe.
7 Spécifiez le statut en sélectionnant l'une des options suivantes dans la liste déroulante Modifier
l'état :
228 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
État
Disponible pour TOUTES les requêtes
Description
Il s'agit du statut par défaut. Il indique que le membre de l'équipe est globalement disponible. Lorsque ce statut est en vigueur, les requêtes assignées au membre de l'équipe ne sont pas déléguées, même si des délégués sont assignés.
Remarque : si vous modifiez le statut et si vous le modifiez de nouveau pour Disponible pour TOUTES les requêtes, tout paramètre Disponible de façon sélective précédemment défini est supprimé.
NON disponible pour N'IMPORTE
QUELLE requête
Indique que le membre de l'équipe n'est disponible pour aucune des requêtes de processus présentes actuellement sur le système. (Connu également sous le nom de globalement indisponible.)
Le choix de ce statut indique que le membre de l'équipe n'est pas disponible pour chaque assignation de délégué existante et modifie le statut actuel en NON disponible pour les requêtes
spécifiées.
Les assignations sont effectives immédiatement et durent jusqu'à l'expiration de l'assignation de délégué.
Remarque : ce paramètre n'a pas d'incidence sur la disponibilité des nouvelles assignations créées après cette
étape.
NON disponible pour les requêtes spécifiées
Lorsque vous sélectionnez cette option, vous êtes invité à spécifier la disponibilité du membre de l'équipe. (Il s'agit de la même opération que lorsque vous cliquez sur le bouton
Nouveau.) Vous êtes invité à spécifier :
Les types de requêtes pour lesquelles le membre de l'équipe n'est pas disponible.
Spécifiez la période d'indisponibilité du membre de l'équipe.
Pendant la période où le membre de l'équipe n'est pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
8 Spécifiez la période d'indisponibilité du membre de l'équipe :
8a Pour spécifier le début de la période, saisissez la date et l'heure de début dans la zone
Indisponible depuis, ou cliquez sur le bouton de l'agenda et sélectionnez la date et l'heure.
Contrôle de vos paramètres 229
8b Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier la durée
Spécifier la date de fin
Description
Indique que ce paramètre d'indisponibilité n'expire pas.
Permet de spécifier la période en semaines, jours ou heures.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur l'agenda et les sélectionner dans l'agenda.
9 Pour spécifier si vous voulez envoyer des notifications par courrier électronique à d'autres utilisateurs, complétez les champs suivants :
Champ
Notifier les autres utilisateurs de ces modifications
Destinataire
Description
Indique si vous voulez envoyer un courrier
électronique pour notifier un ou plusieurs utilisateurs de cette assignation de disponibilité.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
10 Sélectionnez une ou plusieurs requêtes dans la liste Types de requêtes, puis cliquez sur Ajouter.
Sur cette page, vous pouvez sélectionner les types de requêtes que le membre de l'équipe n'accepte pas pendant la période d'indisponibilité. Cela a pour effet de déléguer ces requêtes à d'autres utilisateurs.
Chaque requête que vous ajoutez est incluse à la liste Indisponible pour la période spécifiée.
Si vous ajoutez plusieurs requêtes pour cette période, chacune est traitée comme un objet individuel pouvant être modifié séparément.
11 Pour indiquer que ce paramètre de disponibilité s'applique à tous les types de requêtes, cliquez sur Tous les types de requêtes au lieu de sélectionner les types de requêtes individuellement.
230 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La case à cocher Tous les types de requêtes n'est disponible que lorsque le type de requête pour l'assignation de délégué est défini sur Tout.
12 Pour supprimer une requête de la liste, cliquez sur Supprimer.
13 Cliquez sur Soumettre pour enregistrer vos modifications.
12.9 Effectuer une requête de processus d'équipe
L'opération Effectuer une requête de processus d'équipe vous permet d'effectuer des requêtes de processus pour les membres de l'équipe.
1 Cliquez sur Effectuer une requête de processus d'équipe dans le groupe d'opérations
Paramètres > Paramètres de l'équipe.
La page Effectuer des requêtes de processus d'équipe s'affiche.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire. Cliquez ensuite sur Continuer.
L'application affiche une page qui permet de sélectionner une catégorie.
3 Sélectionnez la catégorie de la requête dans la liste déroulante Type de requête. Sélectionnez
Tout pour inclure les requêtes de toutes les catégories disponibles.
4 Cliquez sur Continuer.
La page Effectuer des requêtes de processus affiche une liste de processus que vous pouvez demander. Cette liste ne comporte que les processus pour lesquels les gestionnaires d'équipe sont autorisés à lancer des requêtes.
5 Cliquez sur le nom d'une ressource pour la sélectionner.
6 Cliquez sur le nom d'un Receveur pour le sélectionner. Le membre de l'équipe que vous sélectionnez est le receveur de l'équipe.
en regard de la zone de sélection Receveur, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez-le.
Contrôle de vos paramètres 231
Si la stratégie de flux du workflow a été définie pour prendre en charge plusieurs receveurs, l'application permet de sélectionner un groupe, un conteneur ou une équipe comme receveur.
Selon la manière dont le workflow est configuré, l'application utilisateur peut produire un workflow distinct pour chaque destinataire (afin que la requête puisse être approuvée ou refusée indépendamment pour chaque destinataire) ou initier un flux unique qui inclut plusieurs
étapes de provisioning, une par destinataire. Dans le dernier cas, l'approbation ou le refus de la requête s'applique à tous les destinataires.
7 Cliquez sur Continuer.
8 La page Effectuer une requête de processus d'équipe affiche le formulaire de requête.
Complétez les champs du formulaire de requête. Dans l'exemple qui suit, le seul champ obligatoire est Raison de la requête.
Les champs du formulaire varient selon le processus que vous avez demandé.
9 Cliquez sur Soumettre.
Un workflow démarre pour l'utilisateur.
La page Effectuer une requête de processus d'équipe affiche un message d'état indiquant si la requête a bien été soumise.
Si votre requête nécessite l'autorisation d'une ou plusieurs personnes de l'organisation, elle démarre un ou plusieurs workflows pour l'obtenir.
232 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Effectuer une requête de processus
Cette section fournit des informations sur la procédure de lancement des requêtes de processus. Les rubriques sont les suivantes :
Section 13.1, « À propos des requêtes de processus », page 233
Section 13.2, « Effectuer une requête de processus », page 234
Section 13.3, « Lien profond vers une requête », page 234
13.1 À propos des requêtes de processus
Le menu Effectuer une requête de processus vous permet d'initier une requête de processus (dite aussi requête de provisioning). Le menu Effectuer une requête de processus ne permet pas d'effectuer des requêtes d'attestation, de ressources ou de rôles. L'interface servant à soumettre ces requêtes dépend du type de requête que vous souhaitez formuler, comme décrit ci-dessous :
Pour effectuer une requête d'attestation, vous devez utiliser les opérations Requêtes
d'attestation sous l'onglet Conformité.
Pour effectuer une requête de ressource, vous devez utiliser la section Assignations de
ressources de l'onglet Tableau de bord de travail ou le Catalogue de ressources sous l'onglet
Rôles et ressources.
Pour effectuer une requête de rôle, vous devez utiliser la section Assignations de rôles de l'onglet Tableau de bord de travail ou le Catalogue de rôles sous l'onglet Rôles et ressources.
La liste de requêtes de processus qui s'affiche dans le menu Effectuer une requête de processus dépend de l'utilisateur actuellement logué à l'application utilisateur :
Si vous êtes administrateur de provisioning (administrateur de domaine pour le domaine de provisioning), vous pouvez sélectionner n'importe quelle requête de processus.
Si vous êtes gestionnaire de provisioning (gestionnaire de domaine pour le domaine de provisioning), seules les requêtes pour lesquelles vous disposez des autorisations appropriées s'affichent.
Si vous êtes gestionnaire d'équipe, vous ne voyez que les requêtes pour lesquelles vous disposez des autorisations adéquates.
Avant de sélectionner une requête de processus, vous devez sélectionner une catégorie. La liste des catégories comprend toutes les catégories.
Remarque : par défaut, la liste inclut les catégories Attestations et Rôles. Ces catégories ne vous permettent pas d'initier une attestation standard toute faite ni des requêtes d'assignations de rôles. En revanche, elles sont incluses pour permettre à votre administrateur de définir des requêtes de processus personnalisées qui remplissent des fonctions spéciales d'attestation ou basées sur les rôles.
Lorsque vous lancez la requête, l'application utilisateur affiche le formulaire de requête initial. Ce formulaire permet de spécifier toutes les informations nécessaires pour la requête.
13
Effectuer une requête de processus
233
Lorsqu'une requête de processus est soumise, elle démarre un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes de processus nécessitent l'approbation d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
13.2 Effectuer une requête de processus
Pour effectuer une requête de processus :
1 Cliquez sur Effectuer une requête de processus dans la section Profil utilisateur du tableau de bord de travail.
La page Effectuer une requête de processus s'affiche.
2 Sélectionnez la catégorie de la requête dans la liste déroulante Catégorie de requête de
processus. Sélectionnez Tout pour inclure les requêtes de toutes les catégories disponibles.
3 Cliquez sur Continuer.
La page Effectuer une requête de processus affiche une liste des requêtes de processus disponibles pour l'utilisateur actuel.
L'application utilisateur applique des contraintes de sécurité pour s'assurer que vous ne voyez que les types de requête pour lesquels vous disposez des droits d'accès.
4 Sélectionnez le processus souhaité en cliquant sur son nom.
La page Effectuer une requête de processus affiche le formulaire de requête initiale.
5 Complétez les champs du formulaire de requête initiale. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
6 Cliquez sur Soumettre.
La page Effectuer une requête de processus affiche un message d'état indiquant si la requête a
été soumise avec succès.
13.3 Lien profond vers une requête
L'application utilisateur offre la possibilité d'établir un lien profond vers une requête de processus spécifique (dite aussi « requête de provisioning ») pour l'utilisateur actuel. Cette fonction permet au gestionnaire d'envoyer une URL de requête de processus spécifique à un employé pour que ce dernier puisse demander le processus rapidement sans devoir passer par l'interface de l'application utilisateur. Lorsque vous établissez un lien profond vers une requête de processus, le formulaire de requête s'affiche dans le corps de la page, tout comme l'en-tête de l'application utilisateur :
234 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Une fois la requête effectuée, celle-ci apparaît dans la liste de requêtes que le demandeur voit dans le tableau de bord de travail sous État des requêtes. En outre, l'approbateur voit la tâche dans le tableau de bord de travail sous Notifications de tâches.
L'URL utilisée pour établir un lien profond vers une requête de processus apparaît sous cette forme : http://<server:port>/IDMProv/makeRequestDetail.do?requestId=<PRD
ID>&requestType=<requesttype>
L'<PRD ID> doit spécifier un DN pour une définition de requête de provisioning ou un ID unique pour un rôle ou une ressource. Le <requesttype> doit être PROV.
Voici un exemple pour vous indiquer ce que l'URL peut utiliser pour établir un lien profond vers une définition de requête de provisioning : http://testserver:8080/IDMProv/ makeRequestDetail.do?requestId=cn=EmailChange,cn=RequestDefs,cn=AppConfig,cn=
PicassoDriver,cn=TestDrivers,o=novell&requestType=PROV
Effectuer une requête de processus 235
236 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lancement du module de création de rapports Identity
Cette section fournit des instructions relatives au lancement du module de création de rapports
Identity à partir l'application utilisateur. Les rubriques sont les suivantes :
Section 14.1, « À propos du module de création de rapports Identity », page 237
Section 14.2, « Accès au module de création de rapports », page 237
14.1 À propos du module de création de rapports
Identity
Le module de création de rapports Identity vous permet de générer des rapports affichant des informations concernant les différentes caractéristiques de votre configuration Identity Manager, notamment des informations provenant d'un ou de plusieurs systèmes gérés ou coffres-forts d'identité. Le module de création de rapports comprend un ensemble de définitions de rapport prédéfinies que vous pouvez utiliser pour générer des rapports. En outre, il permet d'importer des rapports personnalisés définis dans un outil tiers.
Vous pouvez accéder à ce module directement ou le lancer à partir du Tableau de bord de travail de l'application utilisateur. Pour pouvoir le lancer à partir du Tableau de bord de travail, l'administrateur de la configuration doit spécifier l'URL du module de création de rapports sous l'onglet Administration. L'administrateur de la configuration doit spécifier cette adresse URL dans le champ URL du module de création de rapports de Novell Identity Manager de la page Paramètres
d'affichage de l'IU de provisioning. En outre, vous devez disposer de l'autorisation de navigation
Accéder au module de création de rapports. Cette autorisation est attribuée par défaut à l'administrateur de rapports.
14.2 Accès au module de création de rapports
Pour accéder au module de création de rapports Identity depuis l'application utilisateur :
1 Loguez-vous à l'application utilisateur en tant qu'administrateur de rapports.
2 Cliquez sur Accéder au module de création de rapports dans la section Profil utilisateur du tableau de bord de travail :
14
Lancement du module de création de rapports Identity
237
Lorsque vous cliquez sur ce bouton, la fenêtre de login du module de création de rapports s'ouvre dans une fenêtre distincte :
Comportement Single Sign-On (SSO). Lorsque l'option Single Sign-On (SSO) est activée pour le module de provisioning basé sur les rôles, la page de login n'est pas visible. Vous êtes en revanche automatiquement logué au module de création de rapports.
3 Si l'option SSO n'a pas été activée, loguez-vous en tant qu'administrateur de rapports ou par le biais d'un autre utilisateur disposant de l'autorisation de navigation Accéder au module de
création de rapports.
238 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le module de création de rapports affiche la page Présentation :
Lancement du module de création de rapports Identity 239
240 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de l'onglet Rôles et ressources
Ces sections décrivent le mode d'utilisation de l'onglet Rôles et ressources de l'application utilisateur
Identity Manager.
Chapitre 15, « Présentation de l'onglet Rôles et ressources », page 243
Chapitre 16, « Gestion des rôles dans l'application utilisateur », page 257
Chapitre 17, « Gestion des ressources dans l'application utilisateur », page 273
Chapitre 18, « Gestion de la séparation des tâches dans l'application utilisateur », page 297
Chapitre 19, « Création et affichage des rapports », page 301
Chapitre 20, « Configuration des paramètres des rôles et des ressources », page 313
IV
Utilisation de l'onglet Rôles et ressources
241
242 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Présentation de l'onglet Rôles et ressources
Ce chapitre présente un aperçu de l'onglet Rôles et ressources. Les rubriques sont les suivantes :
Section 15.1, « À propos de l'onglet Rôles et ressources », page 243
Section 15.2, « Accès à l'onglet Rôles et ressources », page 252
Section 15.3, « Exploration des fonctions de l'onglet », page 252
Section 15.4, « Opérations de rôles et de ressources que vous pouvez effectuer », page 254
Section 15.5, « Présentation des icônes de l'onglet Rôles et ressources », page 255
15.1 À propos de l'onglet Rôles et ressources
L'objectif de l'onglet Rôles et ressources est de vous offrir un moyen pratique d'effectuer des opérations de provisioning basé sur les rôles. Celles-ci vous permettent de gérer les définitions ainsi que les assignations de rôles et de ressources au sein de votre organisation. Les assignations de rôle peuvent être assignées aux ressources d'une entreprise (comptes utilisateur, ordinateurs, bases de données). Il est aussi possible d'assigner des ressources directement à des utilisateurs. Par exemple, vous pouvez utiliser l'onglet Rôles et ressources pour effectuer les opérations suivantes :
Formuler des requêtes de rôles et de ressources pour vous-même ou d'autres utilisateurs au sein de votre organisation
Créer des rôles et des relations de rôles dans la hiérarchie de rôles
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle
Consulter les rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs
Lorsqu'une requête d'assignation de rôle ou de ressource nécessite l'autorisation d'une ou de plusieurs personnes au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de rôle nécessitent l'approbation d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Si une requête d'assignation de rôle donne lieu à un conflit SoD potentiel, l'initiateur peut annuler la contrainte SoD et fournir une justification pour prouver la nécessité de créer une exception de contrainte. Dans certains cas, un conflit SoD peut entraîner le démarrage d'un workflow. Le workflow coordonne les approbations nécessaires à l'entrée en vigueur de l'exception SoD.
Votre concepteur de workflow et votre administrateur système sont responsables de la configuration du contenu de l'onglet Rôles et ressources pour vous-même et les autres utilisateurs de votre entreprise. Le flux de contrôle d'un workflow ainsi que l'apparence des formulaires peuvent varier selon la manière dont la définition d'approbation pour le workflow a été déterminée dans Designer pour Identity Manager. En outre, les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
15
Présentation de l'onglet Rôles et ressources
243
15.1.1 À propos des rôles
Cette section présente un aperçu des termes et concepts utilisés dans l'onglet Rôles et ressources :
« Rôles et assignations de rôle » page 244
« Catalogue et hiérarchie de rôles » page 244
« Séparation des tâches (SoD) » page 247
« Rôles : audit et création de rapport » page 248
« Sécurité des rôles » page 248
« Pilote de service de rôle et de ressource » page 250
Rôles et assignations de rôle
Un rôle définit un ensemble d'autorisations liées à un ou plusieurs systèmes cibles ou applications.
L'onglet Rôles et ressources permet aux utilisateurs de formuler des requêtes d'assignation de rôle, c'est-à-dire des associations entre un rôle et un utilisateur, un groupe ou un conteneur. L'onglet Rôles
et ressources permet également de définir des relations entre rôles, qui établissent des associations entre les rôles dans la hiérarchie de rôles.
Vous pouvez assigner des rôles directement à un utilisateur. Dans ce cas, ces assignations directes lui confèrent un accès explicite aux autorisations liées à un rôle. Vous pouvez également définir des
assignations indirectes, qui permettent aux utilisateurs d'acquérir des rôles grâce à leur appartenance
à un groupe, un conteneur ou un rôle associé dans la hiérarchie de rôles.
Lorsque vous effectuez une requête d'assignation de rôle, vous pouvez définir une date d'entrée en
vigueur pour indiquer la date et l'heure d'entrée en vigueur de l'assignation. Si vous ne précisez aucune date, l'assignation est immédiate.
Vous pouvez également définir une date d'expiration pour indiquer la date et l'heure de suppression automatique de cette assignation.
Lorsqu'un utilisateur effectue une requête d'assignation de rôle, le sous-système de rôles et de ressources gère le cycle de vie de la requête de rôle. Pour connaître les opérations qui ont été exécutées au niveau de la requête par des utilisateurs ou le sous-système, vous pouvez vérifier l'état de la requête sous l'onglet État des requêtes dans le Catalogue de rôles.
Catalogue et hiérarchie de rôles
Avant que les utilisateurs puissent commencer à assigner des rôles, ces derniers doivent d'abord être définis dans le Catalogue de rôles. Le Catalogue de rôles est l'espace de stockage pour toutes les définitions de rôle et les données de prise en charge nécessaires au sous-système de rôles et de ressources. Pour configurer le Catalogue de rôles, un administrateur du module de rôles ou un gestionnaire de rôles définit les rôles et leur hiérarchie.
La hiérarchie de rôles établit des relations entre les rôles du catalogue. Définissez les relations de rôle pour accorder plus facilement les autorisations par le biais des assignations de rôle. Par exemple, au lieu d'assigner 50 rôles médicaux distincts chaque fois qu'un docteur rejoint votre
équipe, vous pouvez définir un rôle Docteur et spécifier une relation de rôle entre ce rôle et chacun des rôles médicaux. Assignez des utilisateurs au rôle Docteur pour leur octroyer les autorisations définies pour chaque rôle médical associé.
244 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La hiérarchie de rôles prend en charge trois niveaux. Les rôles définis au plus haut niveau (les rôles métier) déterminent les opérations ayant une signification commerciale au sein de l'organisation. Les rôles définis au niveau intermédiaire (les rôles IT) prennent en charge les fonctions technologiques.
Les rôles définis au plus bas niveau (les rôles d'autorisation) déterminent les privilèges de niveau inférieur. Vous trouverez ci-dessous un exemple de hiérarchie de rôles à trois niveaux pour une organisation médicale. Le plus haut niveau de la hiérarchie se situe à gauche et le plus bas à droite :
Présentation de l'onglet Rôles et ressources 245
Figure 15-1
Exemple de hiérarchie de rôles
246 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Un rôle de niveau supérieur comporte automatiquement les privilèges des rôles de niveau inférieur qu'il contient. Un rôle métier, par exemple, comporte automatiquement les privilèges des rôles IT qu'il contient. De même, un rôle IT comporte automatiquement les privilèges des rôles d'autorisation qu'il contient.
Les relations de rôle ne sont pas autorisées entre les rôles homologues au sein de la hiérarchie. De plus, les rôles de niveau inférieur ne peuvent contenir des rôles de niveau supérieur.
Lorsque vous définissez un rôle, vous pouvez éventuellement désigner un ou plusieurs propriétaires pour ce rôle. Un propriétaire de rôle est un utilisateur désigné comme le propriétaire de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire d'un rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle. Dans certains cas, le propriétaire doit demander à un administrateur de rôles de réaliser les opérations d'administration sur ce rôle.
Lorsque vous définissez un rôle, vous pouvez éventuellement associer le rôle à une ou plusieurs catégories de rôle. Une catégorie de rôle permet de classer les rôles par catégorie afin d'organiser le système de rôles. Une fois qu'un rôle a été associé à une catégorie, vous pouvez utiliser cette catégorie comme filtre lorsque vous affichez le catalogue de rôles.
Si une requête d'assignation de rôle nécessite une approbation, la définition de rôle fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs. Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une requête d'assignation de rôle.
Séparation des tâches (SoD)
La capacité à définir des contraintes SoD est une des caractéristiques clés du sous-système de rôles et de ressources. Une contrainte SoD est une règle qui définit deux rôles jugés en conflit. Les responsables de la sécurité créent les contraintes SoD pour une organisation. Grâce aux contraintes
SoD, ces responsables peuvent empêcher les utilisateurs d'être assignés à des rôles en conflit. Ils peuvent également tenir un suivi d'audit pour conserver une trace des cas où des violations ont été autorisées. Dans une contrainte SoD, les rôles en conflit doivent appartenir au même niveau de la hiérarchie de rôles.
Certaines contraintes SoD peuvent être remplacées sans approbation ; d'autres en nécessitent une.
Les conflits autorisés sans approbation sont des violations SoD. Les conflits approuvés sont des
exceptions SoD approuvées. Le sous-système de rôles et de ressources ne nécessite pas d'approbation pour les violations SoD issues d'assignations indirectes telles que l'adhésion à un groupe ou à un conteneur ou des relations entre rôles.
Si un conflit SoD nécessite une approbation, la définition de contrainte fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs.
Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une exception SoD.
Une liste par défaut est définie dans le cadre de la configuration du sous-système de rôles et de ressources. Cette liste peut cependant être remplacée dans la définition d'une contrainte SoD.
Présentation de l'onglet Rôles et ressources 247
Rôles : audit et création de rapport
Le sous-système de rôles et de ressources comporte une riche fonctionnalité de création de rapports.
Il permet aux auditeurs d'analyser le catalogue de rôles, ainsi que l'état des assignations de rôles et des contraintes, violations et exceptions SoD. La fonctionnalité de création de rapport sur les rôles permet aux auditeurs de rôles et aux administrateurs du module de rôles d'afficher les types de rapports suivants au format PDF :
Rapport de listes de rôles
Rapport de détails de rôle
Rapport d'assignations de rôle
Rapport de contrainte de SoD
Rapport de violations et d'exceptions SoD
Rapport des rôles de l'utilisateur
Rapport des droits utilisateur
Outre la fourniture d'informations via la fonction de création de rapports, le sous-système de rôles et de ressources peut être configuré pour consigner des événements dans les clients d'audit Novell ou
OpenXDAS.
Sécurité des rôles
Le sous-système de rôles et de ressources fait appel à un ensemble de rôles système pour accéder en toute sécurité aux fonctions de l'onglet Rôles et ressources. Chaque opération de menu dans l'onglet
Rôles et ressources est assignée à un ou plusieurs rôles système. Si un utilisateur n'est pas membre d'un des rôles associés à l'opération, l'élément de menu correspondant ne s'affiche pas dans l'onglet
Rôles et ressources.
Les rôles système sont des rôles d'administration définis par le système lors de l'installation à des fins de délégation des tâches administratives. Il s'agit notamment des rôles suivants :
Administrateur de rôles
Gestionnaire de rôles
Les rôles système sont décrits en détail ci-dessous :
248 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 15-1
Rôles système
Rôle
Administrateur de rôles
Gestionnaire de rôles
Description
Ce rôle système permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également d'exécuter n'importe quel rapport pour tous les utilisateurs quels qu'ils soient. Une personne assignée à ce rôle peut effectuer sans restriction les opérations suivantes dans l'application utilisateur :
Créer, supprimer et modifier les rôles.
Modifier les relations de rôle pour les rôles.
Faire des requêtes d'assignation d'utilisateurs, de groupes ou de conteneurs à des rôles.
Créer, supprimer et modifier les contraintes SoD.
Consulter le catalogue de rôles.
Configurer le sous-système de rôles et de ressources.
Afficher l'état de toutes les requêtes.
Retirer des requêtes d'assignation de rôle.
Exécuter un ou tous les rapports.
Ce rôle système permet aux membres de modifier les rôles et les relations de rôle. Il permet également d'accorder ou de révoquer des assignations de rôle pour les utilisateurs. Une personne assignée à ce rôle peut effectuer les opérations suivantes dans l'application utilisateur mais est limitée par les droits de consultation des répertoires associés aux objets de rôle :
Créer de nouveaux rôles et modifier les rôles existants pour lesquels l'utilisateur possède des droits de consultation.
Modifier les relations de rôle concernant les rôles pour lesquels l'utilisateur possède des droits de consultation.
Faire des requêtes d'assignations d'utilisateurs, de groupes ou de conteneurs à des rôles pour lesquels l'utilisateur a des droits de consultation.
Parcourir le catalogue de rôles (limité en raison des droits de consultation).
Parcourir les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits de consultation des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Retirer les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits de consultation des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Présentation de l'onglet Rôles et ressources 249
Utilisateur authentifié
Outre la prise en charge des rôles système, le sous-système de rôles et de ressources permet l'accès par les utilisateurs authentifiés. Un utilisateur authentifié est un utilisateur logué à l'application utilisateur qui ne dispose pas de privilèges spéciaux grâce à l'appartenance à un rôle système. Un utilisateur authentifié typique peut effectuer toutes les opérations suivantes :
Afficher tous les rôles qui ont été assignés à l'utilisateur.
Faire une requête d'assignation (uniquement pour son compte) concernant les rôles pour lesquels l'utilisateur possède des droits de consultation.
Afficher l'état de la requête concernant les requêtes pour lesquelles l'utilisateur possède des droits de consultation.
Retirer les requêtes d'assignation de rôle concernant les rôles pour lesquels l'utilisateur est à la fois demandeur et destinataire.
Pilote de service de rôle et de ressource
Le sous-système de rôles et de ressources fait appel au pilote de service de rôle et de ressource pour gérer les processus de traitement d'interface dorsale applicables aux rôles. Ce pilote a diverses fonctions dont voici quelques exemples : il gère toutes les assignations de rôle ; il lance les workflow pour les requêtes d'assignations de rôle et les conflits nécessitant une approbation ; il consigne les assignations de rôle indirectes en fonction de l'appartenance à un groupe ou conteneur, ainsi que l'appartenance aux rôles associés. Le pilote a également deux autres fonctions : accorder et retirer les droits utilisateur en fonction de l'appartenance à un rôle, mais aussi réaliser des procédures de nettoyage pour les requêtes qui ont été menées à bien.
Conséquences de la modification des droits assignés à une ressource. Si vous modifiez le droit associé à une ressource existante, le pilote n'accorde pas le nouveau droit aux utilisateurs auxquels la ressource est actuellement assignée. Pour accorder le nouveau droit, vous devez supprimer puis réassigner la ressource aux utilisateurs devant disposer de ce droit.
Pour plus de détails sur le pilote de service de rôle et de ressource, reportez-vous au
Guide
d'administration de l'application utilisateur Identity Manager (http://www.novell.com/ documentation/idmrbpm37/index.html) .
15.1.2 À propos des ressources
Cette section présente un aperçu des termes et concepts de gestion des ressources utilisés dans l'application utilisateur.
À propos du provisioning basé sur les ressources
L'objectif de la fonction de ressource dans l'application utilisateur est de vous fournir une méthode pratique pour réaliser des opérations de provisioning basé sur les ressources. Ces opérations permettent de gérer les définitions et les assignations de ressources au sein de votre organisation.
Les assignations de ressources peuvent être attribuées à des utilisateurs ou des rôles d'une entreprise.
Par exemple, vous pouvez utiliser des ressources pour effectuer les opérations suivantes :
Faire des requêtes de ressources pour vous ou d'autres utilisateurs au sein de votre organisation
Créer des ressources et les assigner à des droits
250 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lorsqu'une requête d'assignation de ressource nécessite l'autorisation d'une ou de plusieurs personnes au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de ressource nécessitent l'approbation d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Le comportement des ressources dans l'application utilisateur est régi par les règles d'entreprise suivantes :
Les ressources peuvent uniquement être assignées à un utilisateur. Cela n'empêche toutefois pas l'octroi d'une ressource à des utilisateurs inclus dans un conteneur ou un groupe sur la base d'une assignation de rôle implicite. L'assignation de la ressource sera cependant uniquement associée à un utilisateur.
Les ressources peuvent être assignées selon n'importe laquelle des méthodes suivantes :
Directement par un utilisateur via des mécanismes d'IU
Par le biais d'une requête de provisioning
Par le biais d'une assignation de requête de rôle
Par le biais d'une interface Rest ou SOAP
La même ressource peut être accordée à un utilisateur plusieurs fois (pour autant que cette fonction ait été activée dans la définition de la ressource).
Une définition de ressource ne peut être associée qu'à un seul droit.
Une définition de ressource peut être associée à une ou plusieurs références d'un même droit.
Cela permet de prendre en charge les droits pour lesquels les paramètres du droit représentent des autorisations ou des comptes provisionnables sur le système connecté.
Les paramètres de support des droits et décisions peuvent être spécifiés au moment de la conception (statique) ou de la requête (dynamique).
Votre concepteur de workflow et votre administrateur système sont chargés de configurer l'application utilisateur pour vous-même et les autres utilisateurs au sein de votre organisation. Le flux de contrôle d'un workflow basé sur les ressources ainsi que l'apparence des formulaires peuvent varier selon la manière dont la définition d'approbation pour le workflow a été déterminée dans
Designer pour Identity Manager. En outre, les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
Ressources
Une ressource est une entité numérique, telle qu'un compte utilisateur, un ordinateur ou une base de données, à laquelle un utilisateur doit avoir accès. L'application utilisateur offre aux utilisateurs finaux un moyen pratique de demander les ressources dont ils ont besoin. Elle propose en outre des outils dont les administrateurs peuvent se servir pour définir des ressources.
Chaque ressource est assignée à un droit. Une définition de ressource ne peut être associée qu'à un seul droit. Elle peut en revanche être associée plusieurs fois au même droit, avec des paramètres de droit différents pour chaque ressource.
Présentation de l'onglet Rôles et ressources 251
Requêtes de ressources
Les ressources ne peuvent être assignées qu'à des utilisateurs. Elles ne peuvent pas l'être à des groupes ou des conteneurs. Toutefois, si un rôle est assigné à un groupe ou un conteneur, les utilisateurs de ce groupe ou conteneur peuvent se voir accorder automatiquement les ressources associées au rôle.
Les requêtes de ressources peuvent nécessiter des approbations. Le processus d'approbation pour une ressource peut être géré par une définition de requête de provisioning ou par un système externe en définissant le code d'état sur la requête de ressource.
Si une requête d'accord de ressource est initiée par une assignation de rôle, il se peut que la ressource ne soit pas accordée, même si le rôle est provisionné. La raison la plus probable serait que les approbations nécessaires n'ont pas été fournies.
Une requête de ressource peut accorder une ressource à un utilisateur ou la lui révoquer.
Pilote de service de rôle et de ressource
L'application utilisateur fait appel au pilote du service de rôles et de ressources pour gérer les processus de traitement d'interface dorsale applicables aux ressources. Par exemple, il gère toutes les requêtes de ressource, lance les workflows pour ces dernières et initie également leur processus de provisioning.
15.2 Accès à l'onglet Rôles et ressources
Pour accéder à l'onglet Rôles et ressources :
1 Cliquez sur Rôles et ressources dans l'application utilisateur.
Par défaut, l'onglet Rôles et ressources affiche la page Catalogue de rôles.
Si vous ouvrez un autre onglet dans l'interface utilisateur puis souhaitez revenir à l'onglet Rôles
et ressources, il suffit de cliquer dessus pour le rouvrir.
15.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Rôles et ressources. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
252 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La partie gauche de l'onglet Rôles et ressources affiche un menu contenant les opérations que vous pouvez effectuer. Ces opérations sont répertoriées par catégorie (Rôles et ressources, Rapports et
Configuration) :
Il se peut que certains des menus de l'onglet Rôles et ressources ne soient pas disponibles si vous ne possédez pas des autorisations d'accès de navigation spécifiques.
Lorsque vous cliquez sur une opération, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Figure 15-2
Page affichée pour une opération
Présentation de l'onglet Rôles et ressources 253
15.4 Opérations de rôles et de ressources que vous pouvez effectuer
Voici un résumé des opérations que vous pouvez utiliser par défaut dans l'onglet Rôles et
ressources :
Tableau 15-2
Opérations de rôles et de ressources
Catégorie
Rôles et ressources
Opération
Catalogue de rôles
Catalogue de ressources
Catalogue de SoD
Création de rapport sur les rôles
Rapports de rôle
Rapports SoD
Rapports sur les utilisateurs
Description
Cette opération permet de créer, modifier et supprimer des rôles. Elle permet également de définir des relations entre rôles, d'associer des ressources à des rôles et d'assigner ces derniers à des utilisateurs, des groupes et des conteneurs.
Pour plus de détails, reportez-vous au
Chapitre 16, « Gestion des rôles dans l'application utilisateur », page 257
.
Cette opération permet de créer, modifier et supprimer des ressources. Elle permet également d'assigner des ressources à des utilisateurs.
Pour plus de détails, reportez-vous au
Chapitre 17, « Gestion des ressources dans l'application utilisateur », page 273 .
Cette opération permet de définir des contraintes de séparation des tâches (SoD). Une contrainte SoD constitue une règle qui rend deux rôles mutuellement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Pour plus de détails, reportez-vous à la section
« Gestion de la séparation des tâches dans l'application utilisateur » page 297
.
Cette opération permet de créer et d'afficher des rapports qui décrivent l'état actuel des rôles et des assignations de rôle.
Pour plus de détails, reportez-vous à la
« Rapports de rôle », page 301 .
Cette opération permet de créer et d'afficher les rapports décrivant l'état des contraintes, des violations et des exceptions SoD approuvées.
Pour plus de détails, reportez-vous à la
Cette opération permet de créer et d'afficher les rapports décrivant l'état des relations de rôle et des droits pour les utilisateurs.
Pour plus de détails, reportez-vous à la
« Rapports sur les utilisateurs », page 308 .
254 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Catégorie
Configuration
Opération Description
Configuration des paramètres de rôles et de ressources
Cette opération permet de spécifier des paramètres administratifs pour le sous-système de rôles et de ressources.
Pour plus de détails, reportez-vous à la section
« Configuration des paramètres des rôles et des ressources » page 313
.
15.5 Présentation des icônes de l'onglet Rôles et ressources
Lorsque vous utilisez l'onglet Rôles et ressources, de nombreuses icônes vous fournissent des informations importantes. Ces icônes sont les suivantes :
Figure 15-3
Icônes de l'onglet Rôles et ressources
Le tableau ci-dessous offre des descriptions détaillées des icônes utilisées dans l'onglet Rôles et
ressources :
Tableau 15-3
Icônes de l'onglet Rôles et ressources
Icône
Exécution : Traitement
Approbation en attente
Description
Indique qu'une requête de rôle est toujours en cours de traitement.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle est en attente d'approbation pour une exception SoD ou pour l'assignation de rôle elle-même.
Apparaît sur la page État des requêtes.
Présentation de l'onglet Rôles et ressources 255
Icône
Approuvé
Terminé : Provisionné
Refusé
Interrompu
Rôle
Relation de niveau supérieur
Relation de niveau inférieur
Utilisateur
Groupe
Conteneur
Assignation directe
Activation en attente
Description
Indique qu'une requête de rôle a été approuvée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été approuvée.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle a été approuvée et que le rôle a
été assigné au destinataire (utilisateur, groupe ou conteneur).
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle a été refusée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été refusée.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle s'est interrompue avant la fin parce que l'utilisateur a annulé la requête ou parce qu'une erreur est survenue au cours du traitement.
Apparaît sur la page État des requêtes.
Indique qu'un objet est un rôle.
Apparaît sur la page État des requêtes.
Indique qu'un rôle a une relation de niveau supérieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Relations entre les rôles.
Indique qu'un rôle a une relation de niveau inférieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Relations entre les rôles.
Indique qu'un objet est un utilisateur.
Apparaît sur la page Assignations de rôles.
Indique qu'un objet est un groupe.
Apparaît sur la page Assignations de rôles.
Indique qu'un objet est un conteneur.
Apparaît sur la page Assignations de rôles.
Indique qu'un rôle a été assigné directement à l'utilisateur, au groupe ou au conteneur sélectionné.
Apparaît sur la page Assignations de rôles.
Indique qu'une requête de rôle est en fin de traitement mais que la date d'activation est ultérieure.
Apparaît sur la page État des requêtes.
256 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion des rôles dans l'application utilisateur
Cette section décrit les fonctions de gestion des rôles de l'application utilisateur. Les rubriques sont les suivantes :
Section 16.1, « Consultation du catalogue de rôles », page 257
16.1 Consultation du catalogue de rôles
L'opération Catalogue de rôles de l'onglet Rôles et ressources dans l'interface utilisateur de Identity
Manager vous permet d'afficher les rôles précédemment définis dans le catalogue. Elle vous permet
également d'en créer des nouveaux ainsi que de modifier, de supprimer et d'assigner des rôles existants.
Section 16.1.1, « Affichage des rôles », page 257
Section 16.1.2, « Création de rôles », page 259
Section 16.1.3, « Édition d'un rôle existant », page 268
Section 16.1.4, « Suppression de rôles », page 268
Section 16.1.5, « Assignation de rôles », page 269
Section 16.1.6, « Rafraîchissement de la liste de rôles », page 271
Section 16.1.7, « Personnalisation de l'affichage de la liste de rôles », page 271
16.1.1 Affichage des rôles
1 Cliquez sur Catalogue de rôles dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste des rôles actuellement définis dans le catalogue.
16
Filtrage de la liste de rôles
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Catalogue de
rôles.
Gestion des rôles dans l'application utilisateur
257
2 Spécifiez une chaîne de filtre pour le nom ou la description de rôle, ou sélectionnez un ou plusieurs niveaux ou catégories dans la boîte de dialogue Filtre.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Réinitialiser.
Définition du nombre maximal de rôles sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
258 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Défilement de la liste de rôles
1 Pour passer à une autre page de la liste de rôles, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste :
Tri de la liste de rôles
Pour trier la liste de rôles :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
16.1.2 Création de rôles
1 Cliquez sur le bouton Nouveau en haut de l'affichage Catalogue de rôles :
L'application utilisateur affiche la boîte de dialogue Nouveau rôle :
Gestion des rôles dans l'application utilisateur 259
2 Spécifiez les informations pour la définition du rôle, comme décrit ci-dessous :
Tableau 16-1
Détails du rôle
Champ
Nom d'affichage
Description
Le texte utilisé lorsque le nom de rôle s'affiche dans l'application utilisateur.
Lorsque vous créez un rôle, vous ne pouvez pas inclure dans le Nom
d'affichage les caractères suivants :
< > , ; \ " + # = / | & *
Description
Niveau de rôle
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au
Tableau 1-1, « Principaux boutons », page 26 .
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom d'affichage, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
(En lecture seule lors de la modification d'un rôle) Choisissez un niveau de rôle dans la liste déroulante.
Vous pouvez définir les niveaux de rôle à l'aide du concepteur de l'éditeur de configuration de rôle Identity Manager.
Sous-conteneur du rôle (En lecture seule lors de la modification d'un rôle) L'emplacement des objets de rôle dans le pilote. Les conteneurs de rôle dépendent des niveaux de rôle.
L'application utilisateur affiche uniquement les conteneurs de rôle dépendant du niveau de rôle que vous choisissez. Vous pouvez créer un rôle directement dans un niveau de rôle ou dans un conteneur au sein du niveau de rôle.
Spécifier le conteneur de rôle est optionnel.
Catégories
Propriétaires
Cette propriété permet de catégoriser les rôles en vue de leur organisation. Les catégories permettent de filtrer les listes de rôles. Les catégories offrent des options de sélection multiple.
Utilisateurs désignés comme les propriétaires de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire de rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle.
260 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Cliquez sur Enregistrer pour sauvegarder la définition de rôle.
L'application utilisateur affiche plusieurs onglets supplémentaires au bas de la fenêtre, lesquels permettent de compléter la définition de rôle.
Définitions des relations entre rôles
L'onglet Relations entre les rôles permet de définir de quelle façon les rôles sont associés dans une hiérarchie d'endiguement de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations. Les relations autorisées comprennent les
éléments suivants :
Les rôles de niveau supérieur (rôles métier) peuvent contenir des rôles de niveau inférieur. Ils ne peuvent pas être contenus dans d'autres rôles. Si vous sélectionnez un rôle de niveau supérieur, la page Relations entre les rôles permet d'ajouter une relation entre rôles de niveau inférieur (enfant) uniquement.
Les rôles intermédiaires (rôles IT) peuvent contenir des rôles de niveau inférieur et être contenus dans des rôles de niveau supérieur. La page Relations entre les rôles permet d'ajouter un rôle tant de niveau inférieur (enfant) que de niveau supérieur (parent).
Les rôles de niveau inférieur (rôles d'autorisation) peuvent être contenus dans des rôles de niveau supérieur mais ne peuvent pas contenir d'autres rôles de niveau inférieur. La page
Relations entre les rôles permet d'ajouter un rôle de niveau supérieur uniquement.
Pour définir une relation entre rôles :
1 Cliquez sur l'onglet Relations entre les rôles.
Gestion des rôles dans l'application utilisateur 261
2 Cliquez sur Ajouter.
La boîte de dialogue Ajouter une relation entre rôles s'affiche.
3 Indiquez une description de la relation dans le champ Description de la requête initiale.
4 Spécifiez le type de relation à définir en le sélectionnant dans la liste déroulante Relation entre
rôles.
Si le nouveau rôle est un rôle IT, la liste déroulante Relation entre rôles permet de définir une relation Enfant ou Parent. Si le nouveau rôle est un rôle métier, la liste déroulante Relation
entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Enfant, étant donné que seuls des rôles de niveau inférieur peuvent être reliés à un rôle métier. Si le nouveau rôle est un rôle d'autorisation, la liste déroulante Relation entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Parent, étant donné que seuls des rôles de niveau supérieur peuvent être reliés à un rôle d'autorisation.
La liste de rôles disponibles pour sélection est filtrée en fonction du type que vous avez choisi.
5 Utilisez le sélecteur d'objet à droite du champ Rôles sélectionnés pour déterminer le ou les rôles
à associer au nouveau rôle.
6 Cliquez sur Ajouter.
262 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Association de ressources à des rôles
Pour associer une ressource à un rôle :
1 Cliquez sur l'onglet Ressources.
2 Cliquez sur Ajouter.
L'application utilisateur affiche la boîte de dialogue Ajouter une association de ressource.
3 Utilisez le sélecteur d'objet pour choisir la ressource souhaitée et saisissez un texte expliquant la raison de cette association.
L'assistant affiche une page qui fournit des informations à propos de la ressource sélectionnée, telles que le nom des catégories de la ressource, le propriétaire, le droit et les valeurs de droit.
Gestion des rôles dans l'application utilisateur 263
Pour les droits qui prennent des valeurs de paramètre statiques, qui fournissent des attributs supplémentaires ou des informations détaillées pour le droit, l'assistant affiche les valeurs statiques en regard du libellé Valeur du droit. Pour les droits qui prennent des valeurs dynamiques, l'assistant affiche le formulaire de requête de ressource, qui inclut des champs pour les paramètres dynamiques, ainsi que tous les champs de support de décision définis pour le formulaire.
4 Dans le champ Description de l'association, expliquez pourquoi la ressource est associée au rôle.
264 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
5 Cliquez sur Ajouter pour associer la ressource au rôle.
La liste Associations de ressources affiche la ressource que vous avez ajoutée à la définition de rôle :
Impact sur les assignations de rôles existantes. Lorsque vous ajoutez une nouvelle association de ressource à un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour accorder la ressource à chacune de ces identités.
Pour supprimer une association de ressource d'un rôle :
1 Sélectionnez l'association de ressource dans la liste Associations de ressources.
2 Cliquez sur Supprimer.
Impact sur les assignations de rôles existantes. Lorsque vous supprimez une association de ressource d'un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour révoquer la ressource de chacune de ces identités.
Définition du processus d'approbation pour un rôle
Pour définir le processus d'approbation d'un rôle :
1 Cliquez sur l'onglet Approbation.
2 Spécifiez les informations pour le processus d'approbation, comme décrit ci-dessous :
Tableau 16-2
Détails d'approbation
Champ
Requis
Approbation personnalisée
Description
Cochez cette case si le rôle requiert une approbation et si vous souhaitez que le processus d'approbation exécute la définition standard de l'approbation d'assignation de rôle.
Désélectionnez cette case si le rôle ne nécessite aucune approbation.
Sélectionnez ce bouton d'option si vous souhaitez utiliser une définition d'approbation personnalisée (définition de requête de provisioning).
Utilisez le sélecteur d'objet pour choisir la définition d'approbation.
Gestion des rôles dans l'application utilisateur 265
Champ
Approbation standard
Type d'approbation
Approbateurs
Description
Sélectionnez ce bouton d'option si ce rôle utilise la définition standard de l'approbation d'assignation de rôle spécifiée dans la configuration du sous-système de rôles et de ressources. Le nom de la définition d'approbation s'affiche en lecture seule dans la Définition de
l'approbation d'assignation de rôle ci-dessous.
Vous devez sélectionner le type d'approbation (Série ou Quorum), ainsi que les approbateurs valides.
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez
également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : si vous passez votre souris sur les champs Série et
Quorum, une fenêtre contextuelle apparaît. Elle explique comment ces champs fonctionnent.
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez
Conteneur si la tâche d'approbation de rôle doit être assignée à un conteneur. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un conteneur ou un rôle spécifique, utilisez le sélecteur d'objet. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-
vous à la Section 1.4.4, « Principales opérations utilisateur », page 26 .
Création d'assignations de rôle
Vérification de l'état des requêtes
L'opération État des requêtes permet d'afficher l'état de vos requêtes d'assignation de rôle, notamment celles effectuées directement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération État des requêtes affiche toutes les requêtes d'assignation de rôle, y compris celles en cours d'exécution, en attente d'approbation, approuvées, terminées, refusées ou interrompues.
266 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour afficher l'état des requêtes d'assignation de rôle :
1 Cliquez sur l'onglet État des requêtes.
2 Pour afficher les informations détaillées concernant l'état d'une requête, cliquez sur celui-ci :
La fenêtre Détails de l'assignation s'affiche :
Gestion des rôles dans l'application utilisateur 267
Pour des détails sur la signification des valeurs d'état, reportez-vous à la
« Affichage de l'état de vos requêtes », page 175 .
3 Pour retirer une requête, sélectionnez-la, puis cliquez sur Retirer.
Vous devez disposer des autorisations nécessaires pour retirer une requête.
Si la requête a été terminée ou interrompue, un message d'erreur s'affiche lorsque vous tentez de la retirer.
16.1.3 Édition d'un rôle existant
1 Sélectionnez un rôle défini précédemment et cliquez sur Éditer.
2 Apportez les modifications aux paramètres du rôle, puis cliquez sur Enregistrer.
Droits associés à des rôles existants Les rôles définis dans de précédentes versions du module de provisioning basé sur les rôles peuvent être associés à des droits. Si un rôle est associé à un droit, l'interface utilisateur affiche l'onglet Droits, qui permet de consulter les assignations de droits et
éventuellement de les supprimer. Ces assignations de droits pour les rôles continuent de fonctionner, mais Novell recommande désormais d'associer les droits à des ressources, plutôt qu'à des rôles.
16.1.4 Suppression de rôles
1 Sélectionnez un rôle défini précédemment et cliquez sur Supprimer.
Impact sur les assignations de rôles existantes. Si vous supprimez un rôle qui est associé à une ressource et auquel une ou plusieurs identités sont assignées, le système retire l'assignation de ressource de chaque identité à laquelle la ressource était associée.
Suppression de rôles dans des contraintes SoD. Lorsqu'un rôle en conflit d'une contrainte
SoD est supprimé, le mot Non valide est ajouté entre crochets à la suite du nom de cette contrainte, par exemple Médecin Pharmacien SoD [Non valide] dans la liste du catalogue de
SoD.
Avertissement : un gestionnaire de rôles qui a reçu l'autorisation Supprimer le rôle pour les rôles système (ou pour le conteneur qui englobe ces rôles) peut supprimer les rôles système. Toutefois, ces rôles ne doivent pas être supprimés. La suppression d'un des rôles système entraîne un dysfonctionnement de l'application utilisateur.
268 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
16.1.5 Assignation de rôles
Vous pouvez assigner un rôle de l'une des deux manières suivantes :
À partir du Catalogue de rôles
À partir de la boîte de dialogue Éditer le rôle
Ces deux méthodes sont décrites ci-après.
Assignation d'un rôle à partir du catalogue
1 Sélectionnez un rôle défini précédemment dans le Catalogue de rôles et cliquez sur Assigner.
L'application utilisateur affiche la boîte de dialogue Assigner le rôle :
2 Renseignez les champs de la boîte de dialogue Assigner le rôle :
2a Saisissez un texte décrivant la raison de la requête dans le champ Description de la
requête initiale.
2b Dans le champ Type d'assignation, sélectionnez Utilisateur, Groupe ou Conteneur pour indiquer le type d'identités auquel le rôle sera assigné.
2c Dans le sélecteur d'objet, entrez une chaîne de recherche, puis cliquez sur Rechercher.
Sélectionnez les utilisateurs, groupes ou conteneurs à assigner.
Gestion des rôles dans l'application utilisateur 269
Assignation d'un rôle à plusieurs identités. Vous pouvez sélectionner un ou plusieurs utilisateurs, groupes ou conteneurs auxquels assigner le rôle. Si vous sélectionnez plusieurs identités, toutes celles sélectionnées reçoivent les mêmes valeurs d'assignation de rôle.
2d Spécifiez la date de début de l'assignation de rôle dans le champ Date d'entrée en vigueur.
Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a
(où « a » spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante :
2e Spécifiez la date d'expiration de l'assignation de rôle dans le champ Date d'expiration.
Pour spécifier une expiration, cliquez sur Spécifier l'expiration. Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a
(où a spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante.
Par défaut, la date d'expiration est définie sur Pas d'expiration, ce qui indique que cette assignation de rôle reste de vigueur indéfiniment.
3 Cliquez sur Soumettre.
Assignation d'un rôle à partir de la boîte de dialogue Éditer le rôle
1 Dans le Catalogue de rôles, sélectionnez un rôle et cliquez sur Éditer pour ouvrir la boîte de dialogue Éditer le rôle.
2 Cliquez sur l'onglet Assignations.
L'onglet Assignations affiche une liste des assignations accordées pour le rôle sélectionné.
3 Pour ajouter une nouvelle assignation, cliquez sur Assigner.
L'application utilisateur affiche la boîte de dialogue Assigner le rôle :
270 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour des détails sur l'utilisation du formulaire de requête d'assignation de rôle, reportez-vous à
la section « Assignation d'un rôle à partir du catalogue » page 269
.
16.1.6 Rafraîchissement de la liste de rôles
1 Cliquez sur Rafraîchir.
16.1.7 Personnalisation de l'affichage de la liste de rôles
Le Catalogue de rôles permet de sélectionner ou désélectionner des colonnes, ainsi que de les réorganiser dans l'affichage de la liste de tâches. Ce comportement est déterminé par un paramètre de la boîte de dialogue Personnaliser l'affichage du catalogue de rôles. Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans le Catalogue de rôles :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
Gestion des rôles dans l'application utilisateur 271
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Nom du rôle est obligatoire et ne peut pas être supprimée de l'affichage de la liste de rôles.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer.
272 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion des ressources dans l'application utilisateur
Cette section décrit les fonctions de gestion des ressources de l'application utilisateur. Les rubriques sont les suivantes :
Section 17.1, « Consultation du catalogue de ressources », page 273
17.1 Consultation du catalogue de ressources
L'opération Catalogue de ressources de l'onglet Rôles et ressources dans l'interface utilisateur de
Identity Manager vous permet d'afficher les ressources précédemment définis dans le catalogue. Elle vous permet également d'en créer des nouvelles ainsi que de modifier, de supprimer et d'assigner des ressources existantes.
Section 17.1.1, « Affichage des ressources », page 273
Section 17.1.2, « Création de nouvelles ressources », page 275
Section 17.1.3, « Édition d'une ressource existante », page 290
Section 17.1.4, « Suppression de ressources », page 291
Section 17.1.5, « Assignation de ressources », page 291
Section 17.1.6, « Rafraîchissement de la liste des ressources », page 293
Section 17.1.7, « Personnalisation de l'affichage de la liste des ressources », page 294
17.1.1 Affichage des ressources
1 Cliquez sur Catalogue de ressources dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste des ressources actuellement définies dans le catalogue.
17
Filtrage de la liste de ressources
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Catalogue de
ressources.
Gestion des ressources dans l'application utilisateur
273
2 Dans la boîte de dialogue Filtre, spécifiez une chaîne de filtre pour le nom ou la description de la ressource, ou sélectionnez une ou plusieurs catégories dont vous souhaitez afficher les ressources. Cliquez sur Filtre :
3 Pour supprimer le filtre actuel, cliquez sur Effacer.
Définition du nombre maximal de ressources sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste de ressources
1 Pour passer à une autre page de la liste de ressources, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste.
Tri de la liste de ressources
Pour trier la liste de ressources :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
274 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
17.1.2 Création de nouvelles ressources
1 Cliquez sur le bouton Nouvelle en haut de l'affichage Catalogue de ressources :
L'application utilisateur affiche la boîte de dialogue Nouvelle ressource :
2 Spécifiez les informations pour la définition de la ressource, comme décrit ci-dessous :
Gestion des ressources dans l'application utilisateur 275
Champ
Nom d'affichage
Description
Catégories
Propriétaires
Description
Texte utilisé lorsque le nom de la ressource s'affiche dans l'application utilisateur. Lorsque vous créez une ressource, vous ne pouvez pas inclure dans le Nom d'affichage les caractères suivants :
< > , ; \ " + # = / | & *
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom d'affichage, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
Permet de catégoriser les ressources en vue de leur organisation. Les catégories permettent de filtrer les listes de ressources. Les catégories offrent des options de sélection multiple.
Utilisateurs désignés comme les propriétaires de la définition de ressource. Le propriétaire de ressource n'a pas nécessairement l'autorisation d'apporter des modifications à la définition de ressource.
3 Cliquez sur Enregistrer pour sauvegarder la définition de rôle.
L'application utilisateur affiche plusieurs onglets supplémentaires au bas de la fenêtre, lesquels permettent de compléter la définition de ressource.
276 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Définition du droit pour une assignation de ressource
1 Cliquez sur l'onglet Droit.
2 Cliquez sur Parcourir les droits pour sélectionner le droit :
L'application utilisateur affiche une liste des droits disponibles sous forme d'arborescence :
Gestion des ressources dans l'application utilisateur 277
Cette liste affiche tous les pilotes et droits détectés dans l'ensemble de pilotes de l'application utilisateur.
Remarque : si vous n'avez pas configuré la ressource DirXML correctement, lorsque vous accédez à la page Parcourir les droits afin de sélectionner un droit, un message vous indique que vous n'avez pas configuré vos droits pour l'assignation de ressource.
3 Sélectionnez le droit que vous voulez utiliser et cliquez sur OK.
L'onglet Droit affiche des informations sur toutes les valeurs pouvant être nécessaires pour le droit :
278 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Spécifiez les détails de la liaison de droit. Ceux-ci varient selon le type de droit que vous associez à la ressource :
Type de droit
Droit sans valeur
Description
Le droit n'accepte aucune valeur de paramètre. Par exemple, une ressource peut être associée à un droit appelé « Prestations maladie » qui permet simplement au receveur de bénéficier de prestations pour soins de santé. Un tel droit présente un comportement fixe et, dès lors, ne nécessite pas d'informations supplémentaires de la part du demandeur.
Lorsque vous effectuez une liaison avec un droit sans valeur, aucune configuration complémentaire n'est requise.
Gestion des ressources dans l'application utilisateur 279
Type de droit
Droit avec valeur de format libre
Droit à valeur unique
Droit à valeurs multiples
Description
Droit qui nécessite une valeur de paramètre spécifiée comme une chaîne de format libre au moment de la requête. Par exemple, une ressource peut être associée à un droit nommé Vêtements qui permet au demandeur de spécifier une valeur représentant sa couleur préférée.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit avec valeur de format libre » page 280
.
Droit qui nécessite une valeur de paramètre unique. Par exemple, une ressource peut être associée à un droit nommé « Autorisation parking » qui permet au demandeur de sélectionner un emplacement de parking. Les valeurs autorisées sont spécifiées par une liste de droits, qui peut inclure une liste statique de valeurs définies par un administrateur ou une liste dynamique de valeurs générées à partir d'une requête LDAP.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit à valeur unique » page 282
.
Droit qui accepte une ou plusieurs valeurs de paramètre. Par exemple, une ressource peut être associée à un droit nommé « Laissez-passer » qui permet au demandeur de sélectionner un ou plusieurs bâtiments. Les valeurs autorisées sont spécifiées par une liste de droits, qui peut inclure une liste statique de valeurs définies par un administrateur ou une liste dynamique de valeurs générées à partir d'une requête LDAP.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit à valeurs multiples » page 282 .
Liaison à un droit avec valeur de format libre
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Saisissez une valeur de format libre pour la ressource :
280 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
2a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource :
2b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère :
Gestion des ressources dans l'application utilisateur 281
Liaison à un droit à valeur unique
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Sélectionnez une valeur unique dans la liste de droits par défaut :
2 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
2a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource.
2b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère.
2c Dans la liste déroulante Afficher les valeurs à partir de la liste de droits, sélectionnez la liste à utiliser pour l'affichage des valeurs autorisées.
Pour un droit de requête ou défini par l'administrateur, les valeurs autorisées sont fournies par une liste déterminée dans le droit. Les valeurs sont d'abord chargées dans des tables de base de données d'assignation de code pour vous permettre de prévoir des libellés pratiques et des chaînes localisées.
Une fois chargées, ces tables peuvent être utilisées comme source pour la création de listes de droits supplémentaires.
Par défaut, l'application utilisateur crée une liste de droits qui reprend toutes les lignes dans la liste.
Vous pouvez toutefois créer différentes listes de droits si vous souhaitez n'afficher que les lignes sélectionnées.
Liaison à un droit à valeurs multiples
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Utilisez le sélecteur d'objet pour choisir les valeurs de droit :
2 Sélectionnez une ou plusieurs valeurs à partir de la liste de droits par défaut :
282 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
3a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource :
3b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère :
3c Dans la liste déroulante Afficher les valeurs à partir de la liste de droits, sélectionnez la liste à utiliser pour l'affichage des valeurs autorisées.
3d Spécifiez si l'utilisateur peut sélectionner plusieurs valeurs en cochant la case Autorisez
l'utilisateur à demander plusieurs assignations en sélectionnant plusieurs valeurs.
Étant donné que la définition de droit permet plusieurs assignations, vous pouvez spécifier si la ressource doit également autoriser les assignations multiples.
Gestion des ressources dans l'application utilisateur 283
Définition du formulaire de requête
Le formulaire de requête d'une ressource affiche deux types différents de champs :
des champs de paramètre de droit, qui assignent les paramètres de droit pour lesquels l'utilisateur peut fournir des valeurs au moment de la requête ;
des champs de support de décision, qui permettent au demandeur de fournir des informations supplémentaires susceptibles d'aider l'approbateur à décider s'il approuve ou refuse la requête.
L'onglet Formulaire de requête affiche les deux types de champs et fournit une interface utilisateur pour la création et l'édition des champs de support de décision.
Outre les champs figurant sur l'onglet Formulaire de requête, le formulaire de requête inclut toujours les champs obligatoires suivants :
Utilisateur
Raison
Tous les champs du formulaire de requête apparaissent sur le formulaire d'approbation comme valeurs en lecture seule.
Pour définir le formulaire de requête :
1 Cliquez sur l'onglet Formulaire de requête.
L'onglet Formulaire de requête affiche la liste des champs correspondant aux paramètres de droit dont les valeurs sont spécifiées au moment de la requête. Les propriétés des champs de paramètre de droit sont configurées sous l'onglet Opération. Vous ne pouvez pas modifier le comportement des champs qui assignent des paramètres de droit.
2 Pour ajouter un champ de données de support de décision :
2a Cliquez sur le signe plus (+) pour ajouter un nouveau champ :
284 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2b L'onglet Formulaire de requête ajoute un nouveau champ (avec le libellé par défaut
Libellé du champ 1) à la liste des champs et affiche le panneau Propriétés vous permettant de définir les caractéristiques du champ :
2c Pour assigner directement la valeur de support de décision, cliquez sur Maintenant.
Gestion des ressources dans l'application utilisateur 285
Spécifiez un libellé d'affichage pour le champ, ainsi que le type de données et la valeur.
Les types de données suivants sont pris en charge :
Type de données
Opérateur booléen
Nombre entier
Liste
Description
Type de données logique ayant une des deux valeurs suivantes possibles : vrai ou faux.
Séquence de nombres naturels.
Ensemble de valeurs prédéterminées à partir duquel une valeur est sélectionnée.
Séquence de valeurs représentant un texte.
Chaîne
Pour cacher la valeur sur un formulaire de requête, cliquez sur Masquer. Un champ masqué sur le formulaire de requête reste visible sur le formulaire d'approbation.
2d Pour autoriser l'utilisateur à assigner la valeur au moment de la requête, cliquez sur À
l'heure de la requête de ressource.
286 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Spécifiez un libellé d'affichage pour le champ et indiquez si la valeur doit être d'un type de données particulier ou si elle doit venir d'une liste.
Définition des paramètres du flux d'approbation
Pour définir le processus d'approbation :
1 Cliquez sur l'onglet Approbation.
2 Spécifiez si le processus d'approbation de la ressource peut être remplacé par celui d'un rôle.
Pour ce faire, activez ou désactivez la case à cocher Autoriser le remplacement du processus
d'approbation de la ressource par le processus d'approbation du rôle.
Si la case Autoriser le remplacement du processus d'approbation de la ressource par le
processus d'approbation du rôle est cochée, le processus d'approbation du rôle prime toujours sur celui de la ressource lorsque celle-ci est associée à un rôle. Une fois le rôle associé approuvé, la ressource est automatiquement provisionnée, sans aucun besoin d'approbation.
3 Définissez le processus d'approbation d'une opération d'accord comme suit :
3a Ouvrez la section Approbation d'octroi de l'onglet Approbation.
Gestion des ressources dans l'application utilisateur 287
3b Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Approbation personnalisée
Approbation standard
Type d'approbation
Approbateurs
Description
Cochez cette case si la ressource nécessite une approbation lorsqu'elle est sollicitée.
Désélectionnez cette case si la ressource ne nécessite aucune approbation.
Si vous sélectionnez Approbation personnalisée, vous devez également sélectionner une définition d'approbation d'assignation de ressource personnalisée. Il s'agit du nom de la définition de requête de provisioning exécutée lorsque la ressource est demandée.
Si vous sélectionnez Approbation standard, la ressource utilise la définition d'approbation d'assignation de ressource standard spécifiée dans les paramètres de configuration du sous-système de ressources.
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste
Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez
Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : le bouton Infos affiche des explications sur les types d'approbation.
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons Sélecteur d'objet ou Historique.
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à
la Section 1.4.4, « Principales opérations utilisateur », page 26 .
288 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Définissez les détails d'approbation d'une opération de révocation comme suit :
4a Ouvrez la section Approbation de révocation de l'onglet Approbation.
4b Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Identique à la configuration de l'octroi
Description
Cochez cette case si la ressource nécessite une approbation lorsqu'elle est sollicitée.
Désélectionnez cette case si la ressource ne nécessite aucune approbation.
Cochez cette case pour copier les paramètres utilisés pour l'opération d'octroi dans les paramètres de l'opération de révocation.
Pour tous les détails d'approbation, consultez les descriptions de champ de l'opération
d'octroi, qui sont présentées à l' Étape 3b page 288
.
Assignation d'une ressource
.
Vérification de l'état des requêtes
L'opération État des requêtes permet d'afficher l'état de vos requêtes d'assignation de ressource, y compris celles effectuées directement et celles concernant des ressources assignées par le biais de rôles. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération État des requêtes affiche toutes les requêtes d'assignation de ressource, y compris celles en cours d'exécution, en attente d'approbation, approuvées, terminées, refusées ou interrompues.
1 Cliquez sur l'onglet État des requêtes.
Pour chaque champ du formulaire de requête, l'affichage de l'état des requêtes comporte une colonne distincte dans la liste. Par exemple, la colonne Garage est ajoutée à la liste de requêtes pour afficher les valeurs de droit spécifiées pour l'assignation de ressource :
Gestion des ressources dans l'application utilisateur 289
2 Pour afficher les informations détaillées concernant l'état d'une requête, cliquez sur celui-ci :
La fenêtre Détails de l'assignation s'affiche :
Pour des détails sur la signification des valeurs d'état, reportez-vous à la
« Affichage de l'état de vos requêtes », page 175 .
3 Pour retirer une requête, sélectionnez-la, puis cliquez sur Retirer.
Si la requête a été terminée ou interrompue, un message d'erreur s'affiche lorsque vous tentez de la retirer.
17.1.3 Édition d'une ressource existante
1 Sélectionnez une ressource définie précédemment et cliquez sur Éditer.
290 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Apportez les modifications aux paramètres de la ressource, puis cliquez sur Enregistrer.
17.1.4 Suppression de ressources
1 Sélectionnez une ressource définie précédemment et cliquez sur Supprimer.
Impact sur les assignations de ressource existantes. Lorsque vous supprimez une ressource
à laquelle une ou plusieurs identités sont déjà assignées, le système supprime la ressource de ces identités. Si la ressource a été associée à un rôle, le système supprime également toutes les associations de rôles relatives à la ressource supprimée.
17.1.5 Assignation de ressources
Vous pouvez assigner une ressource de l'une des deux manières suivantes :
À partir du Catalogue de ressources
À partir de la boîte de dialogue Éditer la ressource
Ces deux méthodes sont décrites ci-après.
Assignation d'une ressource à partir du catalogue
1 Sélectionnez une ressource définie précédemment dans le Catalogue de ressources et cliquez sur Assigner.
L'application utilisateur affiche le formulaire de requête de ressource :
Gestion des ressources dans l'application utilisateur 291
Les champs Description de la requête initiale et Utilisateur sont obligatoires et figurent sur tous les formulaires de requête de ressource. Afin de sélectionner les utilisateurs pour une assignation de ressource, vous pouvez utiliser le sélecteur d'objet.
Assignation d'une ressource à plusieurs utilisateurs. Vous pouvez sélectionner un ou plusieurs utilisateurs pour l'assignation de ressource. Si vous en choisissez plusieurs, tous reçoivent les mêmes valeurs de paramètre d'assignation de ressource.
Il se peut que le formulaire de requête comprenne des champs supplémentaires afin d'accepter des valeurs pour des éléments de paramètre dynamiques ou de support de décision, comme illustré ci-dessous :
Dans l'exemple ci-dessus, le champ Autorisation bâtiment est utilisé pour accepter une valeur de paramètre de droit, tandis que les champs Nom de la société et Parking requis ? sont des champs de support de décision. Ces champs ne font pas partie de la définition de droit. Ils ont
été ajoutés à la définition de ressource.
292 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Complétez les champs du formulaire de requête.
3 Cliquez sur Soumettre.
Assignation d'une ressource à partir de la boîte de dialogue Éditer la ressource
1 Dans le Catalogue de ressources, sélectionnez une ressource et cliquez sur Éditer pour ouvrir la boîte de dialogue Éditer la ressource.
2 Cliquez sur l'onglet Assignations.
L'onglet Assignations affiche une liste des assignations accordées pour la ressource sélectionnée.
3 Pour ajouter une nouvelle assignation, cliquez sur Assigner.
L'application utilisateur affiche le formulaire de requête de ressource :
Pour des détails sur l'utilisation du formulaire de requête, reportez-vous à la section
« Assignation d'une ressource à partir du catalogue » page 291
.
17.1.6 Rafraîchissement de la liste des ressources
1 Cliquez sur Rafraîchir.
Gestion des ressources dans l'application utilisateur 293
17.1.7 Personnalisation de l'affichage de la liste des ressources
Le Catalogue de ressources permet de sélectionner ou désélectionner des colonnes, ainsi que de les réorganiser dans l'affichage de la liste de tâches. La sélection et l'ordre des colonnes sont contrôlés par des paramètres dans la boîte de dialogue Personnaliser l'affichage du catalogue de ressources.
Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans le Catalogue de ressources :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
294 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Nom de la ressource est obligatoire et ne peut pas être supprimée de l'affichage de la liste des tâches.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer.
Gestion des ressources dans l'application utilisateur 295
296 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion de la séparation des tâches dans l'application utilisateur
Cette section décrit les fonctions de gestion de la séparation des tâches (SoD) de l'application utilisateur. Les rubriques sont les suivantes :
Section 18.1, « Consultation du catalogue de SoD », page 297
18.1 Consultation du catalogue de SoD
L'opération Catalogue de SoD sous l'onglet Rôles et ressources de l'interface utilisateur de Identity
Manager vous permet d'effectuer les tâches suivantes :
Définir une contrainte (ou règle) de séparation des tâches (SoD).
Définir comment traiter les requêtes d'exceptions de contrainte.
Une contrainte SoD est une règle qui rend deux rôles de même niveau réciproquement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Section 18.1.1, « Affichage des contraintes de séparation des tâches », page 297
Section 18.1.2, « Création de nouvelles contraintes SoD », page 299
Section 18.1.3, « Édition d'une contrainte existante de séparation des tâches », page 300
Section 18.1.4, « Suppression des contraintes de séparation des tâches », page 300
Section 18.1.5, « Rafraîchissement de la liste de contraintes de séparation des tâches », page 300
18.1.1 Affichage des contraintes de séparation des tâches
1 Cliquez sur Catalogue de SoD dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste de contraintes de séparation des tâches actuellement définies dans le catalogue.
18
Filtrage de la liste de contraintes de séparation des tâches
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Contraintes de
séparation des tâches.
Gestion de la séparation des tâches dans l'application utilisateur
297
2 Spécifiez une chaîne de filtre ou le nom ou la description d'une contrainte dans la boîte de dialogue Filtre.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Réinitialiser.
Définition du nombre maximal de lignes sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste de contraintes de séparation des tâches
1 Pour passer à une autre page de la liste de contraintes, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste.
Tri de la liste de contraintes de séparation des tâches
Pour trier la liste de contraintes :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
298 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste de contraintes, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
18.1.2 Création de nouvelles contraintes SoD
1 Cliquez sur le bouton Nouvelle en haut de l'affichage Contraintes de séparation des tâches :
L'application utilisateur affiche la boîte de dialogue Nouvelle contrainte de séparation des
tâches :
2 Spécifiez un nom pour la contrainte dans le champ Nom de la contrainte de SoD et saisissez une description dans le champ Description de la contrainte de SoD.
3 Sélectionnez chacun des rôles en conflit dans les deux champs Rôle en conflit. L'ordre des rôles sélectionnés n'a pas d'importance.
Définition des paramètres du flux d'approbation
1 Ouvrez la section Approbation de la page.
2 Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Description
Cochez cette case si la contrainte de SoD nécessite une approbation pour les exceptions.
Dans le cas contraire, désélectionnez la case.
Gestion de la séparation des tâches dans l'application utilisateur 299
Champ
Utiliser les approbateurs par défaut
Approbateurs par défaut
Approbateurs
Description
Sélectionnez Oui si vous souhaitez utiliser la liste par défaut des approbateurs déterminée dans la définition d'approbation de SoD. Si vous sélectionnez Oui, la page affiche la liste des approbateurs spécifiés dans la définition d'approbation. Vous ne pouvez pas modifier cette liste.
Sélectionnez Non si vous souhaitez spécifier une liste différente dans le cadre de la définition de contrainte de SoD. Si vous sélectionnez Non, vous devez utiliser le contrôle Approbateurs pour spécifier les utilisateurs chargés d'approuver les exceptions de SoD.
Affiche une liste en lecture seule des approbateurs spécifiés sur la page Configurer les paramètres des
rôles et des ressources.
Permet de spécifier une liste d'approbateurs dans le cadre de la définition de contrainte.
Sélectionnez Utilisateur si la tâche d'approbation doit être assignée à un ou plusieurs utilisateurs.
Sélectionnez Groupe si la tâche d'approbation doit
être assignée à un groupe. Sélectionnez Conteneur si la tâche d'approbation doit être assignée à un ou plusieurs conteneurs. Sélectionnez Rôle si la tâche d'approbation doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle spécifique, utilisez le bouton Sélecteur d'objet.
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26
.
18.1.3 Édition d'une contrainte existante de séparation des tâches
1 Sélectionnez un rôle défini précédemment et cliquez sur Éditer.
2 Apportez les modifications aux paramètres du rôle, puis cliquez sur Enregistrer.
18.1.4 Suppression des contraintes de séparation des tâches
1 Sélectionnez un rôle défini précédemment et cliquez sur Supprimer.
18.1.5 Rafraîchissement de la liste de contraintes de séparation des tâches
1 Cliquez sur Rafraîchir.
300 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Création et affichage des rapports
Cette section décrit les rapports que vous pouvez créer et afficher à partir de l'onglet Rôles et
ressources. Chaque rapport est un fichier PDF en lecture seule qui donne des informations sur l'état actuel du catalogue de rôles à l'instant de sa génération. Un seul rapport ne reflète pas les modifications apportées aux données sur une longue période. Pour suivre la conformité des informations sur les rôles, utilisez les journaux d'audit.
19
Important : les rapports que vous pouvez créer et consulter à partir de l'onglet Rôles et ressources sont obsolètes et ne seront plus pris en charge dans les versions ultérieures. Novell recommande désormais d'utiliser le module Identity Reporting pour générer des rapports.
Ce chapitre comporte les sections suivantes :
Section 19.1, « À propos des opérations de création de rôles », page 301
Section 19.2, « Rapports de rôle », page 301
Section 19.3, « Rapports SoD », page 305
Section 19.4, « Rapports sur les utilisateurs », page 308
19.1 À propos des opérations de création de rôles
L'onglet Rôles et ressources permet de créer et d'afficher les rapports décrivant l'état actuel des rôles.
Grâce à ces rapports, vous pouvez surveiller, ajouter, modifier et supprimer des rôles ou des séparations de tâches (SoD).
Vous devez être administrateur ou auditeur de rôles pour créer et afficher les rapports de rôle.
L'administrateur de l'application utilisateur a des droits d'administrateur de rôles par défaut.
19.2 Rapports de rôle
Deux rapports de rôle sont disponibles :
Rapport de listes de rôles
Rapport d'assignations de rôle
19.2.1 Le rapport de listes de rôles
Le rapport de listes de rôles affiche les éléments suivants :
Tous les rôles, regroupés par niveau de rôle
Le nom métier de chaque rôle
Le conteneur et la description correspondant à chaque rôle
De façon facultative, les pourcentages de quorum, les rôles contenus, les rôles contenant, les groupes et les conteneurs auquel le rôle est indirectement assigné, ainsi que les droits associés à chaque rôle
Création et affichage des rapports
301
Pour créer et afficher le rapport de liste de rôles :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les rôles.
2 Sélectionnez Rapport de listes de rôles dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Sélectionnez Afficher tous les détails administratifs pour chaque rôle pour vérifier si les informations suivantes sont pertinentes et disponibles :
Pourcentage de quorum
Rôles contenus
Rôles contenant
Groupes auxquels ce rôle est indirectement assigné
Conteneurs auxquels ce rôle est indirectement assigné
Droits associés au rôle
4 Choisissez si vous souhaitez afficher tous les rôles ou les rôles appartenant à un propriétaire précis. Choisissez Sélectionner des propriétaires de rôles pour activer la case correspondante.
Faites votre choix à l'aide de cette icône :
302 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Ouvrez la boîte de dialogue de sélection d'objet.
Pour sélectionner un utilisateur et le prénom ou le nom et saisir un ou plusieurs caractères du nom pour récupérer une liste de sélection. Faites votre choix dans la liste de sélection.
Pour sélectionner un groupe d'utilisateurs, faites votre choix dans la liste de description des groupes. Pour sélectionner une liste d'utilisateurs plus courte, saisissez plusieurs caractères dans la case Description. Faites votre choix dans la liste de sélection.
Pour sélectionner un conteneur d'utilisateurs, cliquez sur un conteneur dans l'arborescence de répertoire.
5 Choisissez si vous souhaitez ou non afficher les rôles à tous les niveaux de sécurité ou sélectionnez un ou plusieurs niveaux à afficher. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez ou non afficher les rôles dans toutes les catégories ou sélectionnez une ou plusieurs catégories à afficher. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-1
Exemple de rapport de listes de rôles
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 303
19.2.2 Le rapport d'assignations de rôle
Le rapport d'assignations de rôle affiche les éléments suivants :
Les rôles, regroupés par niveau de rôle
Le nom métier, le conteneur, la catégorie et la description de chaque rôle
Les utilisateurs assignés au rôle et le nom des approbateurs de ces assignations
Pour créer et afficher le rapport d'assignations de rôle :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les rôles.
2 Sélectionnez Rapport d'assignations de rôle dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Choisissez si vous souhaitez afficher toutes les assignations de rôles ou uniquement celles pour les rôles spécifiés. Si vous choisissez Sélectionner les rôles, la case de sélection est activée et
affiche les icônes de sélection décrites à l' Étape 4 page 302
.
4 Choisissez si vous souhaitez afficher les rôles appartenant à tous les propriétaires de rôle ou à un propriétaire de rôle précis. Si vous choisissez Sélectionner un propriétaire de rôle, la case de
sélection est activée et affiche les icônes de sélection décrites à l' Étape 4 page 302
.
5 Choisissez si vous souhaitez afficher les rôles pour tous les niveaux de rôle ou sélectionner un ou plusieurs niveaux de rôle. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez afficher les rôles pour toutes les catégories de rôle ou sélectionner une ou plusieurs catégories de rôle. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
304 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7 Cliquez sur Afficher uniquement les rôles ayant des assignations pour filtrer le rapport en vue d'inclure uniquement les rôles qui ont été assignés.
8 Si vous choisissez d'afficher les assignations pour tous les rôles plutôt que pour un seul, rendezvous au volet Ordre de tri et regroupement pour grouper les rôles par nom ou par catégorie.
9 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-2
Exemple de rapport d'assignations de rôle
10 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.3 Rapports SoD
Deux rapports décrivent l'état actuel de la séparation de tâches (SoD) :
Rapport de contrainte de SoD
Rapports de violations et d'exceptions SoD
19.3.1 Rapport de contrainte de SoD
Le rapport de contraintes SoD affiche les éléments suivants :
Les contraintes SoD définies par nom
La description de la séparation des tâches
La liste des rôles en conflit
La liste des personnes ayant l'autorisation d'approuver une exception de violation SoD
Pour créer et afficher le rapport de contrainte SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les SoD.
2 Sélectionnez Rapport de contrainte de SoD dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
Création et affichage des rapports 305
3 Choisissez de répertorier toutes les contraintes SoD ou sélectionnez une seule contrainte SoD.
Si vous choisissez Sélectionner une contrainte SoD, la case de sélection est activée. Reportez-
vous à la description des icônes de la case de sélection à l' Étape 4 page 302
.
4 Choisissez de répertorier tous les rôles ou sélectionnez un rôle. Si vous choisissez Sélectionner
un rôle, la case de sélection est activée. Reportez-vous à la description des icônes de la case de sélection à l'
.
5 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-3
Exemple de rapport de contraintes SoD
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.3.2 Rapport de violations et d'exceptions SoD
Le rapport de violations et d'exceptions SoD affiche les éléments suivants :
Le nom de chaque contrainte SoD, leur description et les rôles en conflit.
Les utilisateurs en situation de violation de la contrainte, incluant à la fois les exceptions approuvées et les violations non approuvées. Les utilisateurs peuvent être en situation de violation à cause de leur appartenance à un groupe ou à un conteneur qui leur accorde un rôle en conflit.
306 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les exceptions approuvées. Il s'agit de violations qui ont été approuvées en tant qu'exceptions
SoD.
Le nom des personnes qui ont approuvé ou refusé les exceptions, ainsi que la date et l'heure de l'approbation ou du refus.
Pour créer et afficher le rapport de violations et d'exceptions SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les SoD.
2 Sélectionnez Rapport des violations et des exceptions SoD dans le menu déroulant Sélectionner
un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Sélectionnez Toutes les contraintes SoD pour afficher les violations et les exceptions en attente parmi toutes les contraintes SoD. Vous pouvez aussi choisir Sélectionner une contrainte SoD pour mettre l'accent dans le rapport sur les violations d'une seule contrainte SoD.
4 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
5 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 307
19.4 Rapports sur les utilisateurs
Deux rapports utilisateur sont disponibles :
Rapport des rôles de l'utilisateur
Rapport de droits utilisateur
19.4.1 Rapport des rôles de l'utilisateur
Le rapport des rôles utilisateur affiche les éléments suivants :
Les utilisateurs, les groupes d'utilisateurs ou les conteneurs d'utilisateurs sélectionnés
Les rôles auxquels chaque utilisateur appartient
La date à laquelle l'appartenance au rôle est entrée ou entre en vigueur
La date d'expiration de l'appartenance au rôle
De façon facultative, la source d'appartenance au rôle
Pour créer et afficher un rapport de rôles utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les utilisateurs.
2 Sélectionnez Rapport de rôles utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
3 Dans le volet Utilisateur, sélectionnez un utilisateur, un groupe ou un conteneur à partir duquel vous souhaitez afficher les rôles. Reportez-vous à la description des fonctions de la case de sélection à l'
.
4 Dans le volet Détails de rapport, sélectionnez un ou plusieurs types de détail à rapporter :
308 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Détails Signification
Afficher uniquement les rôles assignés directement
Le rapport de rôles utilisateur affiche tous les rôles directement assignés à l'utilisateur sélectionné, le cas
échéant. Le rapport n'affiche pas les rôles hérités d'une appartenance à un groupe ou un conteneur.
Inclure les informations pour les rôles assignés directement
Le rapport de rôles utilisateur affiche le nom des personnes qui ont approuvé chaque rôle assigné directement et ce, pour chacun des utilisateurs.
Afficher uniquement les utilisateurs auxquels des rôles sont assignés
Le rapport de rôles utilisateur affiche les utilisateurs sélectionnés ayant des rôles assignés. Le rapport n'affiche pas les utilisateurs qui n'ont pas de rôles assignés directement ou indirectement.
5 Dans le volet Ordre de tri et regroupement, choisissez de trier les utilisateurs par prénom ou par nom.
6 Dans le volet Ordre de tri et regroupement, choisissez de trier les rôles de chaque utilisateur par niveau ou par nom.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.4.2 Rapport des droits utilisateur
Le rapport de droits utilisateur affiche les éléments suivants :
Tous les droits par leur nom distinctif
Les utilisateurs titulaires de chaque droit
La date à laquelle le droit de l'utilisateur entre en vigueur
La date à laquelle le droit de l'utilisateur expire
Le rôle que détient l'utilisateur et qui accorde le droit
Création et affichage des rapports 309
Pour créer et afficher un rapport de droits utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les utilisateurs.
2 Sélectionnez Rapport des droits utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
3 Dans le volet Sélection de l'utilisateur , sélectionnez le type d'utilisateur : utilisateur individuel,
groupe ou conteneur. Reportez-vous aux descriptions des icônes de sélection à l' Étape 4 page 302 .
4 Dans le volet Ordre de tri et regroupement, sélectionnez l'une des options suivantes :
Répertorier les détails de droit pour chaque utilisateur
Répertorier les détails d'utilisateur pour chaque droit
5 Sélectionnez Exécuter le rapport pour afficher un rapport PDF similaire aux exemples cités dans la
Figure 19-4 et la Figure 19-5 .
310 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 19-4
Exemple de rapport de droits utilisateur : détails des droits pour chaque utilisateur
Figure 19-5
Exemple de rapport de droits utilisateur : détails des utilisateurs pour chaque droit
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 311
312 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Configuration des paramètres des rôles et des ressources
Cette section décrit l'interface utilisateur pour la configuration des paramètres des rôles et des ressources. Les sujets suivants font l'objet de cette section :
Section 20.2, « Configuration des paramètres des rôles », page 314
Section 20.3, « Configuration des paramètres des ressources », page 314
Section 20.4, « Configuration des paramètres des requêtes de droits », page 315
Section 20.5, « Configuration des paramètres de séparation des tâches », page 315
Section 20.6, « Configuration des paramètres des rapports », page 316
20.1 À propos de l'opération Configurer les paramètres des rôles et des ressources
L'opération Configurer les paramètres des rôles et des ressources permet de définir la configuration de base du système de rôles et de ressources. Cette page comporte les sections suivantes :
Paramètres du rôle
Paramètres des ressources
Paramètres des requêtes de droits
Paramètres des séparations des tâches (SoD)
Paramètres des rapports
Pour modifier la page Configurer les paramètres des rôles et des ressources en mode d'édition, vous devez avoir les deux assignations suivantes :
Administrateur de rôles (ou Gestionnaire de rôles avec l'autorisation Configurer les paramètres
des rôles)
Administrateur de ressources (ou Gestionnaire de ressources avec l'autorisation Configurer les
paramètres des ressources)
Pour afficher les paramètres de la page Configurer les paramètres des rôles et des ressources en mode lecture seule, il vous suffit de disposer de l'une des autorisations susmentionnées.
Lorsque vous êtes en mode d'édition, seuls certains des paramètres de la page Configurer les
paramètres des rôles et des ressources sont modifiables. Les autres affichent des valeurs en lecture seule qui sont définies au moment de l'installation et ne peuvent pas être modifiées.
20
Configuration des paramètres des rôles et des ressources
313
20.2 Configuration des paramètres des rôles
Pour configurer les paramètres des rôles :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des rôles.
Les paramètres suivants sont des valeurs en lecture seule définies au moment de l'installation :
Conteneur de rôle
Conteneur de requête de rôle
Définition de l'approbation de rôle par défaut
3 Spécifiez (en secondes) une Période de bonus d'assignation de rôle.
Cette valeur spécifie le délai (en secondes) qui s'écoule avant la suppression d'une assignation de rôle dans le Catalogue de rôles (0 par défaut). Que signifie une période de bonus de 0 ? Si vous supprimez une personne d'une assignation de rôle, cela signifie que la suppression survient immédiatement et que la révocation des droits qui en découle est immédiate. Vous pouvez utiliser la période de bonus pour retarder la suppression d'un compte qui doit être rajouté par la suite (par exemple, si une personne est déplacée d'un conteneur à un autre). Un droit peut désactiver un compte (élément par défaut) plutôt que le supprimer.
4 Définissez le nom d'affichage pour les niveaux de rôles. Chaque niveau possède un nom d'affichage distinct qui peut être traduit dans plusieurs langues. Pour spécifier des chaînes en langue étrangère, cliquez sur Ajouter une valeur d'affichage de langue.
5 Cliquez sur Enregistrer pour rendre vos paramètres permanents.
20.3 Configuration des paramètres des ressources
Pour afficher les paramètres des ressources :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des ressources.
314 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Ces paramètres contrôlent le comportement des composants de gestion des ressources de l'application utilisateur. Tous les paramètres des ressources sont en lecture seule.
20.4 Configuration des paramètres des requêtes de droits
Pour configurer les paramètres des requêtes de droits :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des requêtes de droits.
Ces paramètres contrôlent le comportement des requêtes de droits exécutées par l'application utilisateur. Vous pouvez définir un intervalle de timeout et un taux de rafraîchissement pour les requêtes de droits. En outre, vous pouvez voir si les valeurs des droits ont été rafraîchies et, le cas échéant, lancer un rafraîchissement manuel.
20.5 Configuration des paramètres de séparation des tâches
Pour configurer les paramètres de séparation des tâches (SoD - Separation of Duties) :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des séparations des tâches (SoD).
Configuration des paramètres des rôles et des ressources 315
Le paramètre Conteneur de SoD est une valeur en lecture seule déterminée au moment de l'installation.
Conteneur de SoD
Définition d'approbation de SoD par défaut
3 Dans le champ Définition d'approbation de SoD, choisissez la définition de requête de provisioning à utiliser pour gérer les approbations de SoD.
4 Sélectionnez un Type d'approbation par défaut de la SoD de Série ou Quorum.
Champ
Série
Quorum
Description
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle. La valeur doit être un nombre entier compris entre 0 et 100.
5 Modifiez les Approbateurs SoD par défaut.
Champ
Approbateurs SoD par défaut
Description
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée
à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Un seul membre du groupe doit approuver. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle. Comme pour les groupes, un seul membre du rôle doit approuver.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26
6 Cliquez sur Enregistrer pour rendre vos paramètres permanents.
20.6 Configuration des paramètres des rapports
La valeur Conteneur de rapport est un paramètre en lecture seule déterminé au moment de l'installation.
316 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Utilisation de l'onglet Conformité
Ces sections décrivent l'utilisation de l'onglet Conformité de l'application utilisateur Identity
Manager :
Chapitre 21, « Présentation de l'onglet Conformité », page 319
Chapitre 22, « Réalisation des requêtes d'attestation », page 335
V
Utilisation de l'onglet Conformité
317
318 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Présentation de l'onglet
Conformité
Cette section présente l'onglet Conformité. Les rubriques incluent :
Section 21.1, « À propos de l'onglet Conformité », page 319
Section 21.2, « Accès à l'onglet », page 322
Section 21.3, « Exploration des fonctions de l'onglet », page 323
Section 21.4, « Opérations de conformité que vous pouvez effectuer », page 324
Section 21.5, « Présentation de la légende des requêtes d'attestation », page 325
Section 21.6, « Principales opérations de conformité », page 327
Pour plus d'informations sur l'ouverture et l'utilisation de l'interface utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 15 .
21.1 À propos de l'onglet Conformité
L'onglet Conformité offre un moyen pratique d'effectuer les opérations basées sur la conformité.
L'onglet Conformité permet de lancer des processus d'attestation et d'en vérifier l'état. L'onglet
Conformité permet de :
Lancer un processus d'attestation permettant aux utilisateurs de confirmer que les informations de leur profil sont exactes
Lancer un processus d'attestation permettant de vérifier les exceptions approuvées et les violations d'un ensemble de contraintes de séparation des tâches (SoD, Separation of Duties)
Lancer un processus d'attestation permettant de vérifier les assignations d'un ensemble de rôles
Lancer un processus d'attestation permettant de vérifier les assignations d'un ensemble d'utilisateurs
Afficher l'état de vos requêtes d'attestation pour analyser les résultats de chaque processus
Conformité et mode proxy
Le mode proxy fonctionne uniquement sous l'onglet Tableau de bord de travail. Il n'est pas pris en charge sous l'onglet Conformité. Si vous utilisez le mode proxy sous l'onglet Tableau de bord de
travail, puis passez à l'onglet Conformité, le mode proxy est désactivé pour les deux onglets.
21.1.1 À propos de la conformité et de l'attestation
Conformité est le processus qui assure qu'une organisation respecte les lois et les réglementations.
L'attestation constitue l'un des principaux éléments de la conformité. Attestation offre à une organisation une méthode permettant de vérifier que le personnel possède une connaissance complète des stratégies organisationnelles et prennent les mesures appropriées pour les respecter. En demandant aux employés ou aux administrateurs d'attester régulièrement l'exactitude des données,
21
Présentation de l'onglet Conformité
319
la direction s'assure que les informations du personnel telles que les profils des utilisateurs, les assignations de rôle et les exceptions de séparation des tâches (SoD, Separation of Duties) approuvées sont à jour et conformes.
Requêtes et processus d'attestation
Pour permettre aux utilisateurs d'une organisation de vérifier l'exactitude des données de l'entreprise, un utilisateur doit effectuer une requête d'attestation. Cette requête lance à son tour un ou plusieurs processus de workflow. Les processus de workflow permettent aux chargés d'attestation d'attester l'exactitude des données. Un processus de workflow distinct est lancé pour chaque chargé d'attestation. Un chargé d'attestation est assigné à une tâche de workflow dans la liste Notifications
de tâches de l'onglet Tableau de bord de travail. Pour terminer le processus de workflow, le chargé d'attestation ouvre la tâche, vérifie les données et atteste qu'elles sont exactes ou inexactes.
Le module de provisioning basé sur les rôles prend en charge quatre types d'attestation :
Profil de l'utilisateur
Violations de SoD
Assignation de rôle
Assignation d'utilisateur
Dans le cas d'un processus d'attestation de profil utilisateur, chaque utilisateur doit être le chargé d'attestation de son propre profil ; aucune autre personne ne peut être le chargé d'attestation. Dans le cas d'une d'attestation de violation de SoD, d'assignation de rôle et d'assignation d'utilisateur, le chargé d'attestation peut être n'importe quel utilisateur, groupe ou rôle. L'initiateur de la requête d'attestation précise si tous les membres ou seul un membre doivent attester pour un groupe ou un rôle. Dans le cas d'un processus d'attestation d'utilisateur, chaque membre doit attester pour un groupe ou un rôle sélectionné.
Pour simplifier le processus de réalisation des requêtes d'attestation, le module de provisioning basé sur les rôles installe un ensemble de définitions de requête par défaut (une par type d'attestation) :
Profil de l'utilisateur : valeur par défaut
Violation de SoD : valeur par défaut
Assignation de rôle : valeur par défaut
Assignation d'utilisateur : valeur par défaut
Ces définitions de requête peuvent servir de base pour effectuer vos propres requêtes. Lorsque vous avez fourni les détails d'une nouvelle requête, vous pouvez les enregistrer et les réutiliser.
Formulaires d'attestation
Chaque workflow est associé à un formulaire d'attestation. Le chargé d'attestation doit vérifier le formulaire et le remplir pour s'assurer de l'exactitude des données. Le formulaire est généralement défini par l'administrateur de conformité.
Chaque formulaire d'attestation contient une question d'attestation obligatoire ainsi qu'un ensemble de questions d'enquête facultatives. La question d'attestation, à laquelle il faut répondre par oui ou par non, permet de valider ou de rejeter les données globales. Les questions d'enquête peuvent être définies de sorte à recueillir des données supplémentaires ou poser des questions éliminatoires.
320 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Le formulaire d'attestation de profil utilisateur comporte également un ensemble d'attributs
utilisateur dont le chargé d'attestation doit vérifier les valeurs. Le formulaire d'attestation pour un processus de violation de SoD, d'assignation de rôle ou d'assignation d'utilisateur comporte un
rapport d'attestation.
Rapports d'attestation
Le rapport d'attestation pour un processus de violation de SoD, d'assignation de rôle ou d'assignation d'utilisateur fournit des informations détaillées que le chargé d'attestation doit valider. Le rapport est généré au lancement du processus d'attestation afin de garantir que tous les utilisateurs consultent les mêmes informations. Le rapport peut être généré dans plusieurs langues, selon les paramètres de langue du rapport précisés pour le processus d'attestation.
État de la requête d'attestation
Lorsqu'une requête d'attestation a été lancée, elle peut être facilement suivie pendant tout son cycle de vie. L'application utilisateur offre un moyen pratique de consulter l'état de la requête dans son ensemble, ainsi que l'état détaillé de chaque processus de workflow associé à la requête. L'état de haut niveau d'une requête constitue une méthode permettant à l'utilisateur de savoir si la requête est en cours d'exécution, terminée, en cours d'initialisation ou en erreur. L'état détaillé fournit des informations concernant le nombre de processus de workflow et l'état de chaque workflow. Il affiche par ailleurs les résultats de l'attestation, lesquels indiquent le nombre de réponses affirmatives et de réponses négatives à la question d'attestation. Les résultats de l'attestation indiquent également les chargés d'attestation qui n'ont effectué aucune opération sur les tâches de workflow qui leur sont assignées.
Sécurité de la conformité
L'onglet Conformité reconnaît un seul rôle d'administrateur nommé Administrateur de conformité.
Un administrateur de conformité est désigné lors de l'installation. D'autres utilisateurs peuvent être assignés ultérieurement à ce rôle. Pour effectuer des assignations supplémentaires, vous devez utiliser la page Provisioning et sécurité RBPM > Assignations de l'administrateur de l'application utilisateur.
Le rôle Administrateur de conformité est décrit en détail ci-après :
Présentation de l'onglet Conformité 321
Tableau 21-1
Rôle système pour les fonctions de conformité
Rôle Description
Administrateur de conformité Administrateur jouissant de toutes fonctionnalités afférentes au domaine Conformité. L'administrateur de conformité peut réaliser toutes les opérations possibles sur tous les objets du domaine
Conformité.
Ces opérations sont les suivantes :
Demander un processus d'attestation de profil utilisateur.
Demander un processus d'attestation de violation de SoD.
Demander un processus d'attestation d'assignation de rôle.
Demander un processus d'attestation d'assignation utilisateur.
Afficher l'état de toutes les requêtes d'attestation soumises.
Remarque : un utilisateur peut être défini comme chargé d'attestation d'un processus d'attestation. Ce chargé d'attestation ne doit pas nécessairement appartenir au rôle Administrateur de conformité.
L'onglet Conformité refuse l'accès aux utilisateurs authentifiés qui ne sont pas membres du rôle
Administrateur de conformité répertorié ci-dessus.
21.2 Accès à l'onglet
Pour accéder à l'onglet Conformité, procédez comme suit :
1 Cliquez sur Conformité dans l'application utilisateur.
Par défaut, l'onglet Conformité affiche la page Demander un processus d'attestation de profil utilisateur.
Si vous ouvrez un autre onglet de l'application utilisateur et souhaitez revenir ensuite au précédent, cliquez sur l'onglet Conformité pour le rouvrir.
322 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
21.3 Exploration des fonctions de l'onglet
Cette section présente les fonctions par défaut de l'onglet Conformité. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système.)
La partie gauche de l'onglet Conformité affiche un menu contenant les opérations que vous pouvez effectuer. Les opérations sont répertoriées dans la catégorie Requêtes d'attestation :
Figure 21-1
Menu de l'onglet Conformité
Les opérations correspondant aux Requêtes d'attestation sont affichées uniquement si vous êtes administrateur de conformité.
Lorsque vous cliquez sur une opération, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Présentation de l'onglet Conformité 323
Figure 21-2
Page affichée pour une opération
La plupart des pages avec lesquelles vous travaillez dans l'onglet Conformité comportent, en haut à droite, un bouton permettant d'afficher la légende de la Conformité :
Pour plus de détails sur la légende de la Conformité, reportez-vous à la
Section 21.5, « Présentation de la légende des requêtes d'attestation », page 325 .
21.4 Opérations de conformité que vous pouvez effectuer
Voici un récapitulatif des opérations disponibles par défaut dans l'onglet Conformité :
324 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 21-2
Opérations de conformité
Catégorie
Requêtes d'attestation
Opération Description
Demander un processus d'attestation de profil utilisateur
Soumet une requête pour qu'un processus d'attestation vérifie les informations des profils utilisateur.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation de profil utilisateur », page 335
.
Demander un processus d'attestation de violation de SoD
Soumet une requête pour qu'un processus d'attestation vérifie les violations et les exceptions d'un ensemble de contraintes de SoD.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation de violation de
.
Demander un processus d'attestation d'assignation de rôle
Soumet une requête pour qu'un processus d'attestation vérifie les assignations des rôles sélectionnés.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation d'assignation de rôle », page 339 .
Demander un processus d'attestation d'assignation utilisateur
Soumet une requête pour qu'un processus d'attestation vérifie les assignations des utilisateurs sélectionnés.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation d'assignation utilisateur », page 341 .
Afficher l'état de la requête d'attestation
Permet de consulter l'état de vos requêtes d'attestation. Vous avez en outre la possibilité de consulter l'état détaillé de chaque workflow ayant démarré pour une requête et
éventuellement d'en retirer.
Pour plus de détails, reportez-vous à la
« Vérification de l'état de vos requêtes d'attestation », page 344
.
21.5 Présentation de la légende des requêtes d'attestation
La plupart des pages avec lesquelles vous travaillez dans l'onglet Conformité comportent, en haut à droite, un bouton permettant d'afficher la légende de la Conformité. Pour afficher la légende, cliquez
sur le bouton Légende, illustré à la Figure 21-3 page 325
:
Figure 21-3
Le bouton Légende
La légende affiche une brève description des icônes utilisées dans l'onglet Conformité. La figure cidessous illustre la légende.
Présentation de l'onglet Conformité 325
Figure 21-4
Légende de la conformité
Le tableau ci-dessous fournit des descriptions détaillées des icônes de la légende.
Tableau 21-3
Icônes de la légende
Icône
Initialisation en cours
En cours d'exécution
Effectué
Erreur
Oui
Non
Interrompu
Description
Indique qu'une requête d'attestation a démarré.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Notez que vous n'avez pas la possibilité d'afficher les détails d'une requête d'initialisation sur la page Afficher l'état de la requête d'attestation.
Indique qu'une requête d'attestation est toujours en cours de traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique que le traitement d'une requête d'attestation est terminé.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'une erreur s'est produite au cours du traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'un chargé d'attestation a vérifié que les informations d'un processus d'attestation sont correctes.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'un chargé d'attestation a invalidé les informations d'un processus d'attestation.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique que le workflow d'une requête d'attestation s'est interrompue avant la fin parce que l'utilisateur l'a retiré ou parce qu'une erreur s'est produite durant son traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
326 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
21.6 Principales opérations de conformité
L'onglet Conformité offre une interface utilisateur cohérente dotée des principaux outils pour accéder aux données et les afficher. Cette section décrit quelques-uns des principaux composants de l'interface utilisateur et comporte des instructions pour les éléments suivants :
Section 21.6.1, « Indication du libellé et de la description d'une requête », page 327
Section 21.6.2, « Définition des chargés d'attestation », page 327
Section 21.6.3, « Indication de l'échéance », page 328
Section 21.6.4, « Définition du formulaire d'attestation », page 329
Section 21.6.5, « Soumission d'une requête d'attestation », page 330
Section 21.6.6, « Enregistrement des détails de la requête », page 331
Section 21.6.7, « Utilisation d'une requête enregistrée », page 332
21.6.1 Indication du libellé et de la description d'une requête
Vous devez définir le libellé l'affichage et la description de tous les types de requête d'attestation.
L'onglet Conformité offre une interface cohérente pour cette tâche.
Pour définir l'étiquette d'affichage et la description de la requête, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Saisissez un libellé dans le champ Libellé d'affichage.
Le libellé d'affichage apparaît dans la liste Mes tâches, la liste des requêtes enregistrées et les autres listes d'affichage comme le nom du processus d'attestation.
Pour obtenir le texte localisé du libellé, cliquez sur le bouton Ajouter une langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
3 Saisissez une description dans le champ Description de la requête.
Lorsque vous vérifiez l'état de la requête dans la page Afficher l'état de la requête d'attestation, la description correspondante apparaît dans les détails de la requête.
Pour obtenir le texte localisé de la description, cliquez sur le bouton Ajouter une langue.
Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
21.6.2 Définition des chargés d'attestation
Les opérations Demander un processus d'attestation de violation de SoD, Demander un processus
d'attestation d'assignation de rôle et Demander un processus d'attestation d'assignation utilisateur offrent une interface cohérente pour définir les chargés d'attestation.
Pour définir les chargés d'attestation pour un processus d'attestation de SoD, d'assignation de rôle ou d'assignation d'utilisateur, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
Présentation de l'onglet Conformité 327
2 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation :
2a Pour ajouter un ou plusieurs utilisateurs à la liste, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 26
.
2b Pour ajouter un ou plusieurs groupes à la liste, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
2c Pour ajouter un ou plusieurs rôles à la liste, sélectionnez Rôle dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
2d Pour supprimer un élément, sélectionnez-le et cliquez sur le bouton Supprimer. Vous pouvez sélectionner plusieurs éléments avant de cliquer sur le bouton Supprimer.
2e Pour les chargés d'attestation de groupes et de rôles, indiquez si tous les membres doivent valider les données ou si un seul membre suffit dans chaque groupe et dans chaque rôle en cliquant sur l'un des boutons suivants :
Chaque membre du ou des groupes et rôles sélectionnés doit attester les données.
Un membre unique de chacun des groupes et rôles sélectionnés doit attester les données.
Dans le cas d'un processus d'attestation de profil utilisateur, chaque membre doit attester pour un groupe ou un rôle sélectionné.
21.6.3 Indication de l'échéance
Une échéance est associée à chaque processus d'attestation. L'échéance indique la durée souhaitée de l'exécution du processus.
L'échéance est requise pour lancer un processus d'attestation, mais pas pour une requête enregistrée.
Pour indiquer l'échéance d'un processus d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
328 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Indiquez dans le champ Échéance la durée souhaitée de l'exécution du processus d'attestation.
Si vous souhaitez indiquer la durée du processus en semaines, jours ou heures, saisissez un nombre dans le champ Durée, puis sélectionnez l'unité de mesure (Semaines, Jours ou Heures).
Si vous préférez définir une date d'expiration, sélectionnez Spécifier la date de fin et utilisez la commande Calendrier pour sélectionner l'heure et la date. Si vous souhaitez que le processus s'exécute indéfiniment, sélectionnez Pas d'expiration.
La valeur indiquée dans le champ Échéance n'est pas stockée avec les détails de la requête enregistrée.
21.6.4 Définition du formulaire d'attestation
Vous devez définir un formulaire d'attestation pour tous les types d'attestation. L'onglet Conformité offre une interface cohérente pour cette tâche.
Pour définir le formulaire d'un processus d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Définissez les détails du formulaire d'attestation de la façon suivante :
2a Cliquez sur le bouton Modifier.
2b Saisissez la question d'attestation dans le champ Question d'attestation.
La question d'attestation est une question obligatoire quel que soit le processus d'attestation. Cette question permet au chargé d'attestation de valider ou d'invalider les données. La réponse à la question est oui ou non. Vous devez définir une question d'attestation lors du lancement des processus d'attestation ; chaque chargé d'attestation doit répondre à cette question pour compléter sa réponse.
Pour obtenir le texte localisé de la question d'attestation, cliquez sur le bouton Ajouter une
langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
2c Dans le cas d'un processus d'attestation de profil utilisateur, vous devez indiquer les attributs de l'utilisateur à vérifier. Sélectionnez dans le champ Attributs utilisateur les attributs à ajouter.
Présentation de l'onglet Conformité 329
La liste des attributs contient ceux qui sont marqués comme affichables dans la couche d'abstraction d'annuaire, à l'exception de ceux qui sont binaires ou calculés.
2d Le champ Questions d'enquête permet ajouter une ou plusieurs questions facultatives auxquelles un chargé d'attestation peut répondre au cours de l'exécution d'un processus d'attestation. Un processus d'attestation n'est pas obligatoire pour pouvoir inclure des questions d'enquête. Toutefois, si elles sont incluses, le chargé d'attestation peut
éventuellement y répondre.
Les étapes suivantes permettent de définir et d'organiser la liste des questions d'enquête :
2d1 Cliquez sur le bouton Ajouter un élément pour ajouter une question d'enquête.
Saisissez le texte localisé de la question à droite de la langue cible et cliquez sur OK.
2d2 Pour déplacer une question au début de la liste, sélectionnez-la et cliquez sur le bouton Déplacer vers le haut.
2d3 Pour déplacer une question au bas de la liste, sélectionnez-la et cliquez sur le bouton
Déplacer vers le bas.
2d4 Pour supprimer une question, sélectionnez-la et cliquez sur le bouton Supprimer.
2d5 Pour obtenir le texte localisé d'une question existante, sélectionnez-la et cliquez sur le bouton Ajouter une langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
2e Une fois que vous avez modifié le formulaire, cliquez sur le bouton Afficher.
Cliquez sur les boutons Afficher ou Modifier pour basculer entre les vues en lecture seule et les vues modifiables.
21.6.5 Soumission d'une requête d'attestation
Après en avoir défini les détails, vous devez soumettre la requête d'attestation pour lancer le processus. Lorsque vous soumettez une requête, l'application utilisateur en affiche le numéro de confirmation. Ce numéro est également qualifié d'ID de corrélation car il corrèle un ensemble de workflows associés à une seule requête.
Les champs suivants sont obligatoires pour lancer une requête :
Tableau 21-4
Champs obligatoires pour lancer une requête
Type d'attestation
Profil de l'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Utilisateurs, Échéance, Question d'attestation
330 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Type d'attestation
Violation de SoD
Assignation de rôle
Assignation d'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Contraintes de SoD, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Libellé d'affichage, Description de la requête,
Vérifier les assignations de, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Libellé d'affichage, Description de la requête,
Vérifier les rôles assignés à, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Pour soumettre une requête d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Soumettre pour lancer le processus d'attestation.
Le numéro de confirmation de votre requête s'affiche en haut de la page. Notez ce numéro afin de pouvoir suivre facilement la progression de votre requête sur la page Afficher l'état de la requête d'attestation. Si vous ne notez pas ce numéro, vous pouvez suivre la requête en utilisant le libellé d'affichage.
21.6.6 Enregistrement des détails de la requête
Lorsque vous définissez les détails d'une requête d'attestation, vous pouvez les enregistrer en vue de les réutiliser ultérieurement. Par exemple, vous pouvez enregistrer les valeurs de paramètre et de formulaire que vous indiquez afin de pouvoir les réutiliser pour une prochaine requête.
Lorsque vous cliquez sur Utiliser une requête enregistrée, le nom que vous indiquez pour celle-ci apparaît dans la liste des requêtes enregistrées, avec l'étiquette d'affichage.
Les champs suivants sont obligatoires pour une requête enregistrée :
Tableau 21-5
Champs obligatoires pour une requête enregistrée
Type d'attestation
Profil de l'utilisateur
Violation de SoD
Assignation de rôle
Champs obligatoires
Libellé d'affichage, Description de la requête,
Question d'attestation
Libellé d'affichage, Description de la requête,
Contraintes de SoD, Paramètres régionaux du rapport, Question d'attestation
Libellé d'affichage, Description de la requête,
Rôles, Paramètres régionaux du rapport, Question d'attestation
Présentation de l'onglet Conformité 331
Type d'attestation
Assignation d'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Paramètres régionaux du rapport, Question d'attestation
Pour enregistrer les détails de la requête, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Enregistrer les détails de la requête.
Saisissez le nom à utiliser pour identifier la requête de processus enregistrée et cliquez sur OK.
Le nom des requêtes enregistrées ne peut pas contenir les caractères < > , ; \
" +
# = / | & *
Les espaces en début ou en fin de nom sont automatiquement supprimés.
Si la requête de processus existe déjà, l'application utilisateur vous invite à remplacer la définition existante.
21.6.7 Utilisation d'une requête enregistrée
Lorsque vous effectuez une requête d'attestation, vous pouvez utiliser les détails d'une requête déjà enregistrée comme base de la nouvelle. Les requêtes enregistrées qui peuvent être sélectionnées dépendent du type de processus d'attestation que vous demandez. Par exemple, si vous effectuez une requête d'attestation de profil utilisateur (voir ci-dessous), vous ne voyez que les requêtes enregistrées qui s'appliquent aux processus d'attestation de profil utilisateur.
Pour utiliser une requête enregistrée, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Utiliser une requête enregistrée.
L'application utilisateur affiche une fenêtre contextuelle vous permettant de sélectionner la requête enregistrée.
332 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2a Pour sélectionner une requête, cliquez sur son nom ou sur le libellé d'affichage. Le nom de la requête est le nom commun (CN) de la définition de requête enregistrée.
2b Pour supprimer une requête enregistrée, cochez la case située à gauche du libellé d'affichage et cliquez sur Supprimer. Vous pouvez supprimer plusieurs requêtes enregistrées d'un simple clic.
Vous ne pouvez pas supprimer les définitions de requête par défaut qui sont installées avec le produit. Par conséquent, aucune case à cocher ne se trouve en regard des définitions de requête par défaut.
Lorsque vous cliquez sur le bouton Supprimer, l'application utilisateur affiche une fenêtre de confirmation avant de supprimer la requête enregistrée.
Présentation de l'onglet Conformité 333
334 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Réalisation des requêtes d'attestation
Cette section explique la procédure permettant de réaliser des requêtes d'attestation. Les rubriques incluent :
Section 22.1, « À propos des opérations de requêtes d'attestation », page 335
Section 22.2, « Demander un processus d'attestation de profil utilisateur », page 335
Section 22.3, « Demander un processus d'attestation de violation de SoD », page 337
Section 22.4, « Demander un processus d'attestation d'assignation de rôle », page 339
Section 22.5, « Demander un processus d'attestation d'assignation utilisateur », page 341
Section 22.6, « Vérification de l'état de vos requêtes d'attestation », page 344
22.1 À propos des opérations de requêtes d'attestation
L'onglet Conformité de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Requêtes d'attestation. Les opérations Requêtes d'attestation permettent d'effectuer des requêtes de processus d'attestation et de vérifier l'état des requêtes que vous avez effectuées.
22.2 Demander un processus d'attestation de profil utilisateur
L'opération Demander un processus d'attestation de profil utilisateur permet de lancer un processus d'attestation pour vérifier un ou plusieurs profils utilisateur. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sous-conteneurs au bas de la liste des éléments sélectionnés.
Pour lancer un processus d'attestation de profil utilisateur, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation de profil utilisateur dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
22
Réalisation des requêtes d'attestation
335
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 21.6.7, « Utilisation d'une requête enregistrée », page 332 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 21.6.1, « Indication du libellé et de la description d'une requête », page 327 .
4 Dans la zone Utilisateurs, sélectionnez les utilisateurs dont les profils doivent être vérifiés :
4a Pour inclure un ou plusieurs utilisateurs de façon explicite, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 26
.
4b Pour inclure les utilisateurs dans un ou plusieurs groupes, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs groupes en cochant leur case puis en cliquant sur Sélectionner.
4c Pour inclure les utilisateurs dans un ou plusieurs rôles, sélectionnez Rôle dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
336 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4d Pour inclure les utilisateurs dans un conteneur, sélectionnez Conteneur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour accéder au conteneur, puis cliquez sur le conteneur pour le sélectionner.
Si vous voulez que le rapport d'assignation d'utilisateur inclue tous les utilisateurs dans les sous-conteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de
sous-conteneurs en bas de la liste des éléments sélectionnés. La case à cocher Inclure tous
les utilisateurs de sous-conteneurs s'affiche uniquement lorsque l'élément Conteneur est sélectionné dans la liste déroulante. Vous pouvez toutefois modifier le paramètre Inclure
tous les utilisateurs de sous-conteneurs sans supprimer ni ajouter l'un de vos conteneurs précédemment sélectionnés.
Vous devez sélectionner au moins un utilisateur, un groupe, un rôle ou un conteneur avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un utilisateur, un groupe, un rôle ou un conteneur pour enregistrer une requête.
5 Le texte du champ Chargés d'attestation est en lecture seule. Dans un processus d'attestation de profil utilisateur, les chargés d'attestation sont les utilisateurs sélectionnés dans le champ
Utilisateurs, ainsi que tous les autres membres des groupes, rôles et conteneurs que vous avez ajoutés au champ Utilisateurs. En effet, chaque utilisateur doit être le chargé d'attestation de son propre profil ; aucun autre utilisateur ne peut l'être.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.3, « Indication de l'échéance », page 328
.
7 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.4, « Définition du formulaire d'attestation », page 329 .
8 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 21.6.5,
« Soumission d'une requête d'attestation », page 330 .
9 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 21.6.6, « Enregistrement des détails de la requête », page 331
.
22.3 Demander un processus d'attestation de violation de SoD
L'opération Demander un processus d'attestation de violation de SoD permet de lancer un processus d'attestation afin de vérifier les violations et les exceptions d'une ou plusieurs contraintes de SoD. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Lorsque vous lancez un processus d'attestation de SoD, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider.
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux contraintes sélectionnées pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation de SoD n'a pas les droits lui permettant de consulter une contrainte de SoD, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les violations et les exceptions de la contrainte.
Réalisation des requêtes d'attestation 337
Pour lancer un processus d'attestation de violation de SoD, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation de violation de SoD dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 21.6.7, « Utilisation d'une requête enregistrée », page 332 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 21.6.1, « Indication du libellé et de la description d'une requête », page 327 .
4 Sélectionnez les contraintes de SoD dont les violations et les exceptions doivent être vérifiées, de la façon suivante :
4a Pour inclure toutes les contraintes existantes, cliquez sur le bouton Toutes les contraintes
SoD.
4b Pour choisir les contraintes individuellement, cliquez sur le bouton Sélectionner des
contraintes de SoD.
Utilisez le Sélecteur d'objet pour sélectionner chaque contrainte. Dans le Sélecteur d'objet, vous pouvez inclure plusieurs contraintes en cochant la case de chaque élément, puis en cliquant sur Sélectionner.
338 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26 .
Vous devez sélectionner au moins une contrainte de SoD avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner une contrainte de SoD pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 21.6.2, « Définition des chargés d'attestation », page 327
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.3, « Indication de l'échéance », page 328
.
7 Dans le champ Langues des rapports, cliquez sur le bouton Ajouter une langue pour indiquer les paramètres régionaux de langue que vous voulez utiliser pour les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut. Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation de SoD, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.4, « Définition du formulaire d'attestation », page 329 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 21.6.5,
« Soumission d'une requête d'attestation », page 330 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 21.6.6, « Enregistrement des détails de la requête », page 331
.
22.4 Demander un processus d'attestation d'assignation de rôle
L'opération Demander un processus d'attestation d'assignation de rôle permet de lancer un processus d'attestation afin de vérifier l'exactitude des assignations pour les rôles sélectionnés. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Lorsque vous lancez un processus d'attestation d'assignation de rôle, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation peuvent vérifier.
Réalisation des requêtes d'attestation 339
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux rôles sélectionnés pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation d'assignation de rôle n'a pas les droits lui permettant de consulter un rôle particulier, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les assignations de rôle.
Le rapport généré pour un processus d'attestation d'assignation de rôle affiche les utilisateurs assignés aux rôles sélectionnés. Seuls les rôles ayant des assignations sont inclus au rapport.
Pour lancer un processus d'attestation d'assignation de rôle, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation d'assignation de rôle dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 21.6.7, « Utilisation d'une requête enregistrée », page 332 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 21.6.1, « Indication du libellé et de la description d'une requête », page 327 .
4 Dans la zone Vérifier les assignations pour, sélectionnez les rôles dont les assignations doivent
être vérifiées, de la façon suivante :
4a Pour inclure tous les rôles existants, cliquez sur le bouton Tous les rôles.
340 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4b Pour choisir les rôles individuellement, cliquez sur le bouton Sélectionner les rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner chaque rôle. Le
Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur
Sélectionner.
Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26 .
Vous devez sélectionner au moins un rôle avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un rôle pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 21.6.2, « Définition des chargés d'attestation », page 327
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.3, « Indication de l'échéance », page 328
.
7 Dans le champ Langues de rapports, cliquez sur le bouton Ajouter une langue pour indiquer les langues à utiliser dans les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut.
Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation d'assignation de rôle, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.4, « Définition du formulaire d'attestation », page 329 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 21.6.5,
« Soumission d'une requête d'attestation », page 330 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 21.6.6, « Enregistrement des détails de la requête », page 331
.
22.5 Demander un processus d'attestation d'assignation utilisateur
L'opération Demander un processus d'attestation d'assignation utilisateur permet de lancer un processus d'attestation pour vérifier l'exactitude des assignations de rôle pour les utilisateurs sélectionnés. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Réalisation des requêtes d'attestation 341
Lorsque vous lancez un processus d'attestation d'assignation d'utilisateur, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider.
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux rôles associés aux utilisateurs sélectionnés pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation d'assignation d'utilisateur n'a pas les droits lui permettant de consulter un rôle particulier, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les assignations d'utilisateur.
Le rapport affiche les assignations de rôles des utilisateurs sélectionnés. Si vous choisissez un conteneur, un groupe ou un rôle, le rapport affiche les assignations de rôles pour les utilisateurs du conteneur, du groupe ou du rôle sélectionné.
Pour lancer un processus d'attestation d'assignation de rôle, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation d'assignation utilisateur dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 21.6.7, « Utilisation d'une requête enregistrée », page 332 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 21.6.1, « Indication du libellé et de la description d'une requête », page 327 .
342 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Dans la zone Vérifier les rôles assignés à, sélectionnez les utilisateurs dont les assignations doivent être vérifiées :
4a Pour inclure un ou plusieurs utilisateurs de façon explicite, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 26
.
4b Pour inclure les utilisateurs dans un ou plusieurs groupes, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
4c Pour inclure les utilisateurs dans un ou plusieurs rôles, sélectionnez Rôle dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
4d Pour inclure les utilisateurs dans un conteneur, sélectionnez Conteneur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour accéder au conteneur, puis cliquez sur le conteneur pour le sélectionner.
Si vous voulez que le rapport d'assignation d'utilisateur inclue tous les utilisateurs dans les sous-conteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de
sous-conteneurs en bas de la liste des éléments sélectionnés. La case à cocher Inclure tous
les utilisateurs de sous-conteneurs s'affiche uniquement lorsque l'élément Conteneur est sélectionné dans la liste déroulante. Vous pouvez toutefois modifier le paramètre Inclure
tous les utilisateurs de sous-conteneurs sans supprimer ni ajouter l'un de vos conteneurs précédemment sélectionnés.
Vous devez sélectionner au moins un utilisateur, un groupe, un rôle ou un conteneur avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un utilisateur, un groupe, un rôle ou un conteneur pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 21.6.2, « Définition des chargés d'attestation », page 327
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.3, « Indication de l'échéance », page 328
.
Réalisation des requêtes d'attestation 343
7 Dans le champ Langues de rapports, cliquez sur le bouton Ajouter une langue pour indiquer les langues à utiliser dans les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut.
Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation d'assignation d'utilisateur, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 21.6.4, « Définition du formulaire d'attestation », page 329 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 21.6.5,
« Soumission d'une requête d'attestation », page 330 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 21.6.6, « Enregistrement des détails de la requête », page 331
.
22.6 Vérification de l'état de vos requêtes d'attestation
L'opération Afficher l'état de la requête d'attestation permet de consulter l'état des requêtes d'attestation. Vous avez en outre la possibilité de consulter l'état détaillé de chaque processus de workflow ayant démarré pour une requête et éventuellement de retirer un ou plusieurs processus en cours.
L'opération Afficher l'état de la requête d'attestation affiche les requêtes d'assignation, notamment celles en cours d'initialisation, en cours d'exécution, terminées ou en erreur.
L'application utilisateur n'impose aucune restriction sur ce que l'administrateur de conformité peut voir sur la page Afficher l'état de la requête d'attestation. Ce rôle permet d'accéder aux informations d'état de toutes les requêtes d'attestation.
Pour consulter vos requêtes d'attestation, procédez comme suit :
1 Cliquez sur Afficher l'état de la requête d'attestation dans la liste des opérations Requêtes
d'attestation.
L'application utilisateur affiche l'état actuel des requêtes d'attestation.
344 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les colonnes figurant dans la liste de requêtes d'attestation sont décrites ci-dessous :
La colonne Libellé d'affichage affiche le nom du processus d'attestation spécifié pour la requête. Vous pouvez afficher les informations d'état détaillées de la requête en cliquant sur le nom d'affichage du processus.
La colonne Demandé par contient l'utilisateur à l'origine de la requête.
La colonne Type d'attestation indique le type du processus d'attestation. Le type détermine le type d'information que le processus doit certifier, de la façon suivante :
Type d'attestation
Profil de l'utilisateur
Violation de SoD
Assignation de rôle
Assignation d'utilisateur
Description
Indique que ce processus vise à assurer l'exactitude des informations de profil utilisateur.
Pour lancer ce type de processus, un administrateur de conformité doit utiliser l'opération
Demander un processus d'assignation de profil
utilisateur.
Indique que ce processus vise à assurer l'exactitude des violations et des exceptions de séparation des tâches. Pour lancer ce type de processus, un administrateur de conformité doit utiliser l'opération Demander un processus
d'attestation de violation de SoD.
Indique que ce processus vise à s'assurer que les utilisateurs disposent de l'accès correct aux ressources, aux informations ou aux systèmes en vérifiant que chaque rôle sélectionné dispose des assignations d'utilisateur correctes. Pour lancer ce type de processus, l'administrateur de conformité doit utiliser l'opération Demander un processus
d'attestation d'assignation de rôle.
Indique que ce processus vise à s'assurer que les utilisateurs disposent de l'accès correct aux ressources, aux informations ou aux systèmes en vérifiant que chaque utilisateur sélectionné dispose des assignations de rôle correctes. Pour lancer ce type de processus, l'administrateur de conformité doit utiliser l'opération Demander un processus
d'attestation d'assignation utilisateur.
Réalisation des requêtes d'attestation 345
La colonne État contient l'état de la requête ainsi qu'un indicateur visuel de l'état.
Sélectionnez l'état dans la liste déroulante État et cliquez sur Filtre pour affiner les résultats lors de la recherche des requêtes ayant un état particulier :
État
Initialisation en cours
En cours d'exécution
Terminé
Erreur
Description
Indique qu'il s'agit d'une nouvelle requête qui vient de démarrer.
Indique que le traitement de la requête d'attestation est toujours en cours de traitement.
Indique que tous les chargés d'attestation ont répondu (ou que chaque processus a été retiré par un administrateur de conformité) et que le traitement de la requête est terminé.
Indique qu'une erreur s'est produite au cours du traitement.
Le message détaillé de l'erreur est consigné dans le journal de suivi ou d'audit actif. Lorsqu'une erreur se produit, vérifiez dans votre journal de suivi ou d'audit si le message d'erreur indique qu'un grave problème doit être résolu.
La colonne Date de la requête affiche la date à laquelle la requête a été effectuée.
La colonne Échéance affiche la date à laquelle tous les processus associés à cette requête doivent être terminés. Si cette colonne est vide, la requête n'a pas d'échéance.
2 Vous pouvez filtrer la liste des requêtes comme suit :
2a Si vous souhaitez afficher uniquement les requêtes commençant par une chaîne de caractères particulière, reportez-vous à la section « Filtrage des données » page 30 pour plus d'informations sur le texte à saisir dans la zone Libellé d'affichage.
2b Si vous souhaitez afficher uniquement les requêtes d'un type particulier, sélectionnez-le dans la liste déroulante Type d'attestation.
2c Pour afficher les requêtes de rôle ayant un état particulier, sélectionnez-le dans la liste déroulante État.
État
Tous
Initialisation en cours
En cours d'exécution
Terminé
Description
Inclut toutes les requêtes.
Inclut les requêtes qui viennent de démarrer.
Inclut les requêtes qui ont démarré et qui sont en cours de traitement.
Inclut les requêtes auxquelles tous les chargés d'attestation ont répondu (ou dont les processus individuels ont été retirés par un administrateur de conformité) et dont le traitement est terminé.
Inclut les requêtes qui ont produit des erreurs. Erreur
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
346 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Pour effectuer une recherche sur le numéro de confirmation généré lors de la première soumission de la requête, saisissez-le dans le champ Numéro de confirmation et cliquez sur
Rechercher.
Le champ Numéro de confirmation prend en charge la longueur maximale autorisée pour un numéro de confirmation, à savoir 255 caractères.
4 Pour définir le nombre maximum de requêtes affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
5 Pour trier la liste de requêtes, cliquez sur l'intitulé de colonne qui contient les données que vous souhaitez trier.
6 Pour afficher les détails d'une requête, cliquez sur son nom dans la colonne Libellé d'affichage, puis faites défiler la page jusqu'à ce qu'apparaisse la zone Détails de la requête.
Remarque : si l'état est Initialisation, il n'est pas possible de cliquer sur le Libellé d'affichage : vous ne pouvez pas afficher les détails d'une requête en cours d'initialisation.
La colonne Chargé d'attestation de la zone de groupe Détails de la requête affiche une icône en regard de chaque chargé d'attestation, laquelle indique si ce dernier est un utilisateur, un groupe ou un rôle. Outre l'affichage des informations qui se trouvent déjà dans le récapitulatif, la zone
Détails de la requête contient des informations sur l'état des processus associés à la requête.
La section Nombre de processus liés donne le nombre total de processus, ainsi que le nombre de processus en cours d'exécution, effectués et terminés.
Réalisation des requêtes d'attestation 347
La section Résultats d'attestation fournit des données sur les réponses des chargés d'attestation :
Données
Réponses « Oui »
Réponses « Non »
Aucune opération entreprise
Description
Fournit le nombre total de chargés d'attestation ayant donné une réponse affirmative à la question d'attestation.
Remarque : le texte par défaut des réponses affirmatives est Oui. Ce texte peut néanmoins être modifié. Lorsque vous modifiez le texte, le programme corrige le libellé du champ en conséquence.
Fournit le nombre total de chargés d'attestation ayant donné une réponse négative à la question d'attestation.
Remarque : le texte par défaut des réponses négatives est Non. Ce texte peut néanmoins être modifié. Lorsque vous modifiez le texte, le programme corrige le libellé du champ en conséquence.
Fournit le nombre total de chargés d'attestation n'ayant pas encore répondu au processus d'attestation. Le total Aucune opération entreprise inclut également les chargés d'attestation qui n'ont jamais répondu ainsi que le processus terminé pour cause d'expiration ou retiré par un administrateur de conformité.
6a Pour afficher les détails d'un formulaire d'attestation, cliquez sur Afficher les détails du
formulaire d'attestation.
348 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les détails du formulaire d'un processus d'attestation affichent le type d'information que les chargés d'attestation doivent vérifier. Les détails du formulaire varient selon que le type d'attestation est Profil utilisateur, Violations de SoD ou Assignation de rôle.
Pour masquer les détails du formulaire, cliquez sur Détails du formulaire d'attestation, en haut de la zone des détails du formulaire.
Pour obtenir des informations sur les détails du formulaire que les chargés d'attestation doivent valider lorsqu'ils réclament une tâche de workflow, reportez-vous à la
Section 10.1.4, « Réclamation d'une tâche », page 146
.
6b Vous pouvez filtrer la liste des processus, de la façon suivante :
6b1 Si vous souhaitez afficher uniquement les processus produisant un résultat particulier, sélectionnez-le dans la liste déroulante Résultat d'attestation.
Résultat
Tous
Oui
Non
Inconnu
Description
Inclut tous les processus.
N'inclut que les processus pour lesquels le chargé d'attestation a répondu par l'affirmative.
N'inclut que les processus pour lesquels le chargé d'attestation a répondu par la négative.
N'inclut que les processus pour lesquels aucune opération n'a été effectuée. Le filtre Inconnu inclut
également les processus pour lesquels un chargé d'attestation n'a jamais répondu et le processus terminé pour cause d'expiration ou retiré par un administrateur de conformité.
6b2 Pour afficher les processus ayant un état particulier, sélectionnez-le dans la liste déroulante État du processus.
État
Tous
En cours d'exécution
Interrompu
Terminé
Description
Inclut tous les processus.
Inclut les processus qui ont démarré et qui sont en cours de traitement.
Inclut les processus qui ont été retirés ou qui sont terminés.
Inclut les processus pour lesquels le chargé d'attestation a répondu ou qui se sont terminés après avoir expiré.
6b3 Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur
Filtre.
6b4 Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
Réalisation des requêtes d'attestation 349
6c Pour définir le nombre maximal des processus affichés par page, sélectionnez-le dans la liste déroulante Maximum de lignes par page.
6d Pour vérifier l'état d'un chargé d'attestation, consultez la colonne État du processus qui lui correspond.
Le champ État du processus affiche l'état du processus, ainsi que l'icône de l'état. L'icône constitue un moyen pratique de voir rapidement l'état. Le tableau ci-dessous présente les codes d'état :
État
En cours d'exécution
Interrompu
Terminé
Description
Le processus a démarré et est en cours de traitement.
Le processus a été retiré sur la page Afficher l'état de la requête d'attestation, ou terminé dans iManager.
Tous les chargés d'attestation ont répondu et le traitement de chaque processus de workflow assigné à un chargé d'attestation a été exécuté.
L'état Terminé inclut les processus auxquels le chargé d'attestation a répondu ainsi que ceux qui se sont terminés après expiration.
6e Pour retirer un ou plusieurs processus, sélectionnez les chargés d'attestation et cliquez sur
Retirer les processus sélectionnés. Si vous souhaitez retirer tous les processus, cliquez sur
Tout. Pour annuler votre sélection, cliquez sur Aucun.
La case Retirer les processus sélectionnés est désactivée si le processus est effectué ou terminé. Le bouton Retirer les processus sélectionnés n'apparaît pas si l'état de la requête de haut niveau est Terminé ou Erreur.
350 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.