IV Utilisation de l'onglet Rôles et ressources. Novell 4.0 Module de provisioning basé sur les rôles
Utilisation de l'onglet Rôles et ressources
Ces sections décrivent le mode d'utilisation de l'onglet Rôles et ressources de l'application utilisateur
Identity Manager.
Chapitre 15, « Présentation de l'onglet Rôles et ressources », page 243
Chapitre 16, « Gestion des rôles dans l'application utilisateur », page 257
Chapitre 17, « Gestion des ressources dans l'application utilisateur », page 273
Chapitre 18, « Gestion de la séparation des tâches dans l'application utilisateur », page 297
Chapitre 19, « Création et affichage des rapports », page 301
Chapitre 20, « Configuration des paramètres des rôles et des ressources », page 313
IV
Utilisation de l'onglet Rôles et ressources
241
242 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Présentation de l'onglet Rôles et ressources
Ce chapitre présente un aperçu de l'onglet Rôles et ressources. Les rubriques sont les suivantes :
Section 15.1, « À propos de l'onglet Rôles et ressources », page 243
Section 15.2, « Accès à l'onglet Rôles et ressources », page 252
Section 15.3, « Exploration des fonctions de l'onglet », page 252
Section 15.4, « Opérations de rôles et de ressources que vous pouvez effectuer », page 254
Section 15.5, « Présentation des icônes de l'onglet Rôles et ressources », page 255
15.1 À propos de l'onglet Rôles et ressources
L'objectif de l'onglet Rôles et ressources est de vous offrir un moyen pratique d'effectuer des opérations de provisioning basé sur les rôles. Celles-ci vous permettent de gérer les définitions ainsi que les assignations de rôles et de ressources au sein de votre organisation. Les assignations de rôle peuvent être assignées aux ressources d'une entreprise (comptes utilisateur, ordinateurs, bases de données). Il est aussi possible d'assigner des ressources directement à des utilisateurs. Par exemple, vous pouvez utiliser l'onglet Rôles et ressources pour effectuer les opérations suivantes :
Formuler des requêtes de rôles et de ressources pour vous-même ou d'autres utilisateurs au sein de votre organisation
Créer des rôles et des relations de rôles dans la hiérarchie de rôles
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle
Consulter les rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs
Lorsqu'une requête d'assignation de rôle ou de ressource nécessite l'autorisation d'une ou de plusieurs personnes au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de rôle nécessitent l'approbation d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Si une requête d'assignation de rôle donne lieu à un conflit SoD potentiel, l'initiateur peut annuler la contrainte SoD et fournir une justification pour prouver la nécessité de créer une exception de contrainte. Dans certains cas, un conflit SoD peut entraîner le démarrage d'un workflow. Le workflow coordonne les approbations nécessaires à l'entrée en vigueur de l'exception SoD.
Votre concepteur de workflow et votre administrateur système sont responsables de la configuration du contenu de l'onglet Rôles et ressources pour vous-même et les autres utilisateurs de votre entreprise. Le flux de contrôle d'un workflow ainsi que l'apparence des formulaires peuvent varier selon la manière dont la définition d'approbation pour le workflow a été déterminée dans Designer pour Identity Manager. En outre, les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
15
Présentation de l'onglet Rôles et ressources
243
15.1.1 À propos des rôles
Cette section présente un aperçu des termes et concepts utilisés dans l'onglet Rôles et ressources :
« Rôles et assignations de rôle » page 244
« Catalogue et hiérarchie de rôles » page 244
« Séparation des tâches (SoD) » page 247
« Rôles : audit et création de rapport » page 248
« Sécurité des rôles » page 248
« Pilote de service de rôle et de ressource » page 250
Rôles et assignations de rôle
Un rôle définit un ensemble d'autorisations liées à un ou plusieurs systèmes cibles ou applications.
L'onglet Rôles et ressources permet aux utilisateurs de formuler des requêtes d'assignation de rôle, c'est-à-dire des associations entre un rôle et un utilisateur, un groupe ou un conteneur. L'onglet Rôles
et ressources permet également de définir des relations entre rôles, qui établissent des associations entre les rôles dans la hiérarchie de rôles.
Vous pouvez assigner des rôles directement à un utilisateur. Dans ce cas, ces assignations directes lui confèrent un accès explicite aux autorisations liées à un rôle. Vous pouvez également définir des
assignations indirectes, qui permettent aux utilisateurs d'acquérir des rôles grâce à leur appartenance
à un groupe, un conteneur ou un rôle associé dans la hiérarchie de rôles.
Lorsque vous effectuez une requête d'assignation de rôle, vous pouvez définir une date d'entrée en
vigueur pour indiquer la date et l'heure d'entrée en vigueur de l'assignation. Si vous ne précisez aucune date, l'assignation est immédiate.
Vous pouvez également définir une date d'expiration pour indiquer la date et l'heure de suppression automatique de cette assignation.
Lorsqu'un utilisateur effectue une requête d'assignation de rôle, le sous-système de rôles et de ressources gère le cycle de vie de la requête de rôle. Pour connaître les opérations qui ont été exécutées au niveau de la requête par des utilisateurs ou le sous-système, vous pouvez vérifier l'état de la requête sous l'onglet État des requêtes dans le Catalogue de rôles.
Catalogue et hiérarchie de rôles
Avant que les utilisateurs puissent commencer à assigner des rôles, ces derniers doivent d'abord être définis dans le Catalogue de rôles. Le Catalogue de rôles est l'espace de stockage pour toutes les définitions de rôle et les données de prise en charge nécessaires au sous-système de rôles et de ressources. Pour configurer le Catalogue de rôles, un administrateur du module de rôles ou un gestionnaire de rôles définit les rôles et leur hiérarchie.
La hiérarchie de rôles établit des relations entre les rôles du catalogue. Définissez les relations de rôle pour accorder plus facilement les autorisations par le biais des assignations de rôle. Par exemple, au lieu d'assigner 50 rôles médicaux distincts chaque fois qu'un docteur rejoint votre
équipe, vous pouvez définir un rôle Docteur et spécifier une relation de rôle entre ce rôle et chacun des rôles médicaux. Assignez des utilisateurs au rôle Docteur pour leur octroyer les autorisations définies pour chaque rôle médical associé.
244 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La hiérarchie de rôles prend en charge trois niveaux. Les rôles définis au plus haut niveau (les rôles métier) déterminent les opérations ayant une signification commerciale au sein de l'organisation. Les rôles définis au niveau intermédiaire (les rôles IT) prennent en charge les fonctions technologiques.
Les rôles définis au plus bas niveau (les rôles d'autorisation) déterminent les privilèges de niveau inférieur. Vous trouverez ci-dessous un exemple de hiérarchie de rôles à trois niveaux pour une organisation médicale. Le plus haut niveau de la hiérarchie se situe à gauche et le plus bas à droite :
Présentation de l'onglet Rôles et ressources 245
Figure 15-1
Exemple de hiérarchie de rôles
246 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Un rôle de niveau supérieur comporte automatiquement les privilèges des rôles de niveau inférieur qu'il contient. Un rôle métier, par exemple, comporte automatiquement les privilèges des rôles IT qu'il contient. De même, un rôle IT comporte automatiquement les privilèges des rôles d'autorisation qu'il contient.
Les relations de rôle ne sont pas autorisées entre les rôles homologues au sein de la hiérarchie. De plus, les rôles de niveau inférieur ne peuvent contenir des rôles de niveau supérieur.
Lorsque vous définissez un rôle, vous pouvez éventuellement désigner un ou plusieurs propriétaires pour ce rôle. Un propriétaire de rôle est un utilisateur désigné comme le propriétaire de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire d'un rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle. Dans certains cas, le propriétaire doit demander à un administrateur de rôles de réaliser les opérations d'administration sur ce rôle.
Lorsque vous définissez un rôle, vous pouvez éventuellement associer le rôle à une ou plusieurs catégories de rôle. Une catégorie de rôle permet de classer les rôles par catégorie afin d'organiser le système de rôles. Une fois qu'un rôle a été associé à une catégorie, vous pouvez utiliser cette catégorie comme filtre lorsque vous affichez le catalogue de rôles.
Si une requête d'assignation de rôle nécessite une approbation, la définition de rôle fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs. Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une requête d'assignation de rôle.
Séparation des tâches (SoD)
La capacité à définir des contraintes SoD est une des caractéristiques clés du sous-système de rôles et de ressources. Une contrainte SoD est une règle qui définit deux rôles jugés en conflit. Les responsables de la sécurité créent les contraintes SoD pour une organisation. Grâce aux contraintes
SoD, ces responsables peuvent empêcher les utilisateurs d'être assignés à des rôles en conflit. Ils peuvent également tenir un suivi d'audit pour conserver une trace des cas où des violations ont été autorisées. Dans une contrainte SoD, les rôles en conflit doivent appartenir au même niveau de la hiérarchie de rôles.
Certaines contraintes SoD peuvent être remplacées sans approbation ; d'autres en nécessitent une.
Les conflits autorisés sans approbation sont des violations SoD. Les conflits approuvés sont des
exceptions SoD approuvées. Le sous-système de rôles et de ressources ne nécessite pas d'approbation pour les violations SoD issues d'assignations indirectes telles que l'adhésion à un groupe ou à un conteneur ou des relations entre rôles.
Si un conflit SoD nécessite une approbation, la définition de contrainte fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs.
Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une exception SoD.
Une liste par défaut est définie dans le cadre de la configuration du sous-système de rôles et de ressources. Cette liste peut cependant être remplacée dans la définition d'une contrainte SoD.
Présentation de l'onglet Rôles et ressources 247
Rôles : audit et création de rapport
Le sous-système de rôles et de ressources comporte une riche fonctionnalité de création de rapports.
Il permet aux auditeurs d'analyser le catalogue de rôles, ainsi que l'état des assignations de rôles et des contraintes, violations et exceptions SoD. La fonctionnalité de création de rapport sur les rôles permet aux auditeurs de rôles et aux administrateurs du module de rôles d'afficher les types de rapports suivants au format PDF :
Rapport de listes de rôles
Rapport de détails de rôle
Rapport d'assignations de rôle
Rapport de contrainte de SoD
Rapport de violations et d'exceptions SoD
Rapport des rôles de l'utilisateur
Rapport des droits utilisateur
Outre la fourniture d'informations via la fonction de création de rapports, le sous-système de rôles et de ressources peut être configuré pour consigner des événements dans les clients d'audit Novell ou
OpenXDAS.
Sécurité des rôles
Le sous-système de rôles et de ressources fait appel à un ensemble de rôles système pour accéder en toute sécurité aux fonctions de l'onglet Rôles et ressources. Chaque opération de menu dans l'onglet
Rôles et ressources est assignée à un ou plusieurs rôles système. Si un utilisateur n'est pas membre d'un des rôles associés à l'opération, l'élément de menu correspondant ne s'affiche pas dans l'onglet
Rôles et ressources.
Les rôles système sont des rôles d'administration définis par le système lors de l'installation à des fins de délégation des tâches administratives. Il s'agit notamment des rôles suivants :
Administrateur de rôles
Gestionnaire de rôles
Les rôles système sont décrits en détail ci-dessous :
248 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Tableau 15-1
Rôles système
Rôle
Administrateur de rôles
Gestionnaire de rôles
Description
Ce rôle système permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également d'exécuter n'importe quel rapport pour tous les utilisateurs quels qu'ils soient. Une personne assignée à ce rôle peut effectuer sans restriction les opérations suivantes dans l'application utilisateur :
Créer, supprimer et modifier les rôles.
Modifier les relations de rôle pour les rôles.
Faire des requêtes d'assignation d'utilisateurs, de groupes ou de conteneurs à des rôles.
Créer, supprimer et modifier les contraintes SoD.
Consulter le catalogue de rôles.
Configurer le sous-système de rôles et de ressources.
Afficher l'état de toutes les requêtes.
Retirer des requêtes d'assignation de rôle.
Exécuter un ou tous les rapports.
Ce rôle système permet aux membres de modifier les rôles et les relations de rôle. Il permet également d'accorder ou de révoquer des assignations de rôle pour les utilisateurs. Une personne assignée à ce rôle peut effectuer les opérations suivantes dans l'application utilisateur mais est limitée par les droits de consultation des répertoires associés aux objets de rôle :
Créer de nouveaux rôles et modifier les rôles existants pour lesquels l'utilisateur possède des droits de consultation.
Modifier les relations de rôle concernant les rôles pour lesquels l'utilisateur possède des droits de consultation.
Faire des requêtes d'assignations d'utilisateurs, de groupes ou de conteneurs à des rôles pour lesquels l'utilisateur a des droits de consultation.
Parcourir le catalogue de rôles (limité en raison des droits de consultation).
Parcourir les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits de consultation des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Retirer les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits de consultation des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Présentation de l'onglet Rôles et ressources 249
Utilisateur authentifié
Outre la prise en charge des rôles système, le sous-système de rôles et de ressources permet l'accès par les utilisateurs authentifiés. Un utilisateur authentifié est un utilisateur logué à l'application utilisateur qui ne dispose pas de privilèges spéciaux grâce à l'appartenance à un rôle système. Un utilisateur authentifié typique peut effectuer toutes les opérations suivantes :
Afficher tous les rôles qui ont été assignés à l'utilisateur.
Faire une requête d'assignation (uniquement pour son compte) concernant les rôles pour lesquels l'utilisateur possède des droits de consultation.
Afficher l'état de la requête concernant les requêtes pour lesquelles l'utilisateur possède des droits de consultation.
Retirer les requêtes d'assignation de rôle concernant les rôles pour lesquels l'utilisateur est à la fois demandeur et destinataire.
Pilote de service de rôle et de ressource
Le sous-système de rôles et de ressources fait appel au pilote de service de rôle et de ressource pour gérer les processus de traitement d'interface dorsale applicables aux rôles. Ce pilote a diverses fonctions dont voici quelques exemples : il gère toutes les assignations de rôle ; il lance les workflow pour les requêtes d'assignations de rôle et les conflits nécessitant une approbation ; il consigne les assignations de rôle indirectes en fonction de l'appartenance à un groupe ou conteneur, ainsi que l'appartenance aux rôles associés. Le pilote a également deux autres fonctions : accorder et retirer les droits utilisateur en fonction de l'appartenance à un rôle, mais aussi réaliser des procédures de nettoyage pour les requêtes qui ont été menées à bien.
Conséquences de la modification des droits assignés à une ressource. Si vous modifiez le droit associé à une ressource existante, le pilote n'accorde pas le nouveau droit aux utilisateurs auxquels la ressource est actuellement assignée. Pour accorder le nouveau droit, vous devez supprimer puis réassigner la ressource aux utilisateurs devant disposer de ce droit.
Pour plus de détails sur le pilote de service de rôle et de ressource, reportez-vous au
Guide
d'administration de l'application utilisateur Identity Manager (http://www.novell.com/ documentation/idmrbpm37/index.html) .
15.1.2 À propos des ressources
Cette section présente un aperçu des termes et concepts de gestion des ressources utilisés dans l'application utilisateur.
À propos du provisioning basé sur les ressources
L'objectif de la fonction de ressource dans l'application utilisateur est de vous fournir une méthode pratique pour réaliser des opérations de provisioning basé sur les ressources. Ces opérations permettent de gérer les définitions et les assignations de ressources au sein de votre organisation.
Les assignations de ressources peuvent être attribuées à des utilisateurs ou des rôles d'une entreprise.
Par exemple, vous pouvez utiliser des ressources pour effectuer les opérations suivantes :
Faire des requêtes de ressources pour vous ou d'autres utilisateurs au sein de votre organisation
Créer des ressources et les assigner à des droits
250 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Lorsqu'une requête d'assignation de ressource nécessite l'autorisation d'une ou de plusieurs personnes au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de ressource nécessitent l'approbation d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Le comportement des ressources dans l'application utilisateur est régi par les règles d'entreprise suivantes :
Les ressources peuvent uniquement être assignées à un utilisateur. Cela n'empêche toutefois pas l'octroi d'une ressource à des utilisateurs inclus dans un conteneur ou un groupe sur la base d'une assignation de rôle implicite. L'assignation de la ressource sera cependant uniquement associée à un utilisateur.
Les ressources peuvent être assignées selon n'importe laquelle des méthodes suivantes :
Directement par un utilisateur via des mécanismes d'IU
Par le biais d'une requête de provisioning
Par le biais d'une assignation de requête de rôle
Par le biais d'une interface Rest ou SOAP
La même ressource peut être accordée à un utilisateur plusieurs fois (pour autant que cette fonction ait été activée dans la définition de la ressource).
Une définition de ressource ne peut être associée qu'à un seul droit.
Une définition de ressource peut être associée à une ou plusieurs références d'un même droit.
Cela permet de prendre en charge les droits pour lesquels les paramètres du droit représentent des autorisations ou des comptes provisionnables sur le système connecté.
Les paramètres de support des droits et décisions peuvent être spécifiés au moment de la conception (statique) ou de la requête (dynamique).
Votre concepteur de workflow et votre administrateur système sont chargés de configurer l'application utilisateur pour vous-même et les autres utilisateurs au sein de votre organisation. Le flux de contrôle d'un workflow basé sur les ressources ainsi que l'apparence des formulaires peuvent varier selon la manière dont la définition d'approbation pour le workflow a été déterminée dans
Designer pour Identity Manager. En outre, les écrans affichés et les opérations disponibles sont généralement déterminés par les exigences de votre fonction et par votre niveau d'autorité.
Ressources
Une ressource est une entité numérique, telle qu'un compte utilisateur, un ordinateur ou une base de données, à laquelle un utilisateur doit avoir accès. L'application utilisateur offre aux utilisateurs finaux un moyen pratique de demander les ressources dont ils ont besoin. Elle propose en outre des outils dont les administrateurs peuvent se servir pour définir des ressources.
Chaque ressource est assignée à un droit. Une définition de ressource ne peut être associée qu'à un seul droit. Elle peut en revanche être associée plusieurs fois au même droit, avec des paramètres de droit différents pour chaque ressource.
Présentation de l'onglet Rôles et ressources 251
Requêtes de ressources
Les ressources ne peuvent être assignées qu'à des utilisateurs. Elles ne peuvent pas l'être à des groupes ou des conteneurs. Toutefois, si un rôle est assigné à un groupe ou un conteneur, les utilisateurs de ce groupe ou conteneur peuvent se voir accorder automatiquement les ressources associées au rôle.
Les requêtes de ressources peuvent nécessiter des approbations. Le processus d'approbation pour une ressource peut être géré par une définition de requête de provisioning ou par un système externe en définissant le code d'état sur la requête de ressource.
Si une requête d'accord de ressource est initiée par une assignation de rôle, il se peut que la ressource ne soit pas accordée, même si le rôle est provisionné. La raison la plus probable serait que les approbations nécessaires n'ont pas été fournies.
Une requête de ressource peut accorder une ressource à un utilisateur ou la lui révoquer.
Pilote de service de rôle et de ressource
L'application utilisateur fait appel au pilote du service de rôles et de ressources pour gérer les processus de traitement d'interface dorsale applicables aux ressources. Par exemple, il gère toutes les requêtes de ressource, lance les workflows pour ces dernières et initie également leur processus de provisioning.
15.2 Accès à l'onglet Rôles et ressources
Pour accéder à l'onglet Rôles et ressources :
1 Cliquez sur Rôles et ressources dans l'application utilisateur.
Par défaut, l'onglet Rôles et ressources affiche la page Catalogue de rôles.
Si vous ouvrez un autre onglet dans l'interface utilisateur puis souhaitez revenir à l'onglet Rôles
et ressources, il suffit de cliquer dessus pour le rouvrir.
15.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Rôles et ressources. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
252 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
La partie gauche de l'onglet Rôles et ressources affiche un menu contenant les opérations que vous pouvez effectuer. Ces opérations sont répertoriées par catégorie (Rôles et ressources, Rapports et
Configuration) :
Il se peut que certains des menus de l'onglet Rôles et ressources ne soient pas disponibles si vous ne possédez pas des autorisations d'accès de navigation spécifiques.
Lorsque vous cliquez sur une opération, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Figure 15-2
Page affichée pour une opération
Présentation de l'onglet Rôles et ressources 253
15.4 Opérations de rôles et de ressources que vous pouvez effectuer
Voici un résumé des opérations que vous pouvez utiliser par défaut dans l'onglet Rôles et
ressources :
Tableau 15-2
Opérations de rôles et de ressources
Catégorie
Rôles et ressources
Opération
Catalogue de rôles
Catalogue de ressources
Catalogue de SoD
Création de rapport sur les rôles
Rapports de rôle
Rapports SoD
Rapports sur les utilisateurs
Description
Cette opération permet de créer, modifier et supprimer des rôles. Elle permet également de définir des relations entre rôles, d'associer des ressources à des rôles et d'assigner ces derniers à des utilisateurs, des groupes et des conteneurs.
Pour plus de détails, reportez-vous au
Chapitre 16, « Gestion des rôles dans l'application utilisateur », page 257
.
Cette opération permet de créer, modifier et supprimer des ressources. Elle permet également d'assigner des ressources à des utilisateurs.
Pour plus de détails, reportez-vous au
Chapitre 17, « Gestion des ressources dans l'application utilisateur », page 273 .
Cette opération permet de définir des contraintes de séparation des tâches (SoD). Une contrainte SoD constitue une règle qui rend deux rôles mutuellement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Pour plus de détails, reportez-vous à la section
« Gestion de la séparation des tâches dans l'application utilisateur » page 297
.
Cette opération permet de créer et d'afficher des rapports qui décrivent l'état actuel des rôles et des assignations de rôle.
Pour plus de détails, reportez-vous à la
« Rapports de rôle », page 301 .
Cette opération permet de créer et d'afficher les rapports décrivant l'état des contraintes, des violations et des exceptions SoD approuvées.
Pour plus de détails, reportez-vous à la
Cette opération permet de créer et d'afficher les rapports décrivant l'état des relations de rôle et des droits pour les utilisateurs.
Pour plus de détails, reportez-vous à la
« Rapports sur les utilisateurs », page 308 .
254 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Catégorie
Configuration
Opération Description
Configuration des paramètres de rôles et de ressources
Cette opération permet de spécifier des paramètres administratifs pour le sous-système de rôles et de ressources.
Pour plus de détails, reportez-vous à la section
« Configuration des paramètres des rôles et des ressources » page 313
.
15.5 Présentation des icônes de l'onglet Rôles et ressources
Lorsque vous utilisez l'onglet Rôles et ressources, de nombreuses icônes vous fournissent des informations importantes. Ces icônes sont les suivantes :
Figure 15-3
Icônes de l'onglet Rôles et ressources
Le tableau ci-dessous offre des descriptions détaillées des icônes utilisées dans l'onglet Rôles et
ressources :
Tableau 15-3
Icônes de l'onglet Rôles et ressources
Icône
Exécution : Traitement
Approbation en attente
Description
Indique qu'une requête de rôle est toujours en cours de traitement.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle est en attente d'approbation pour une exception SoD ou pour l'assignation de rôle elle-même.
Apparaît sur la page État des requêtes.
Présentation de l'onglet Rôles et ressources 255
Icône
Approuvé
Terminé : Provisionné
Refusé
Interrompu
Rôle
Relation de niveau supérieur
Relation de niveau inférieur
Utilisateur
Groupe
Conteneur
Assignation directe
Activation en attente
Description
Indique qu'une requête de rôle a été approuvée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été approuvée.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle a été approuvée et que le rôle a
été assigné au destinataire (utilisateur, groupe ou conteneur).
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle a été refusée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été refusée.
Apparaît sur la page État des requêtes.
Indique qu'une requête de rôle s'est interrompue avant la fin parce que l'utilisateur a annulé la requête ou parce qu'une erreur est survenue au cours du traitement.
Apparaît sur la page État des requêtes.
Indique qu'un objet est un rôle.
Apparaît sur la page État des requêtes.
Indique qu'un rôle a une relation de niveau supérieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Relations entre les rôles.
Indique qu'un rôle a une relation de niveau inférieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Relations entre les rôles.
Indique qu'un objet est un utilisateur.
Apparaît sur la page Assignations de rôles.
Indique qu'un objet est un groupe.
Apparaît sur la page Assignations de rôles.
Indique qu'un objet est un conteneur.
Apparaît sur la page Assignations de rôles.
Indique qu'un rôle a été assigné directement à l'utilisateur, au groupe ou au conteneur sélectionné.
Apparaît sur la page Assignations de rôles.
Indique qu'une requête de rôle est en fin de traitement mais que la date d'activation est ultérieure.
Apparaît sur la page État des requêtes.
256 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion des rôles dans l'application utilisateur
Cette section décrit les fonctions de gestion des rôles de l'application utilisateur. Les rubriques sont les suivantes :
Section 16.1, « Consultation du catalogue de rôles », page 257
16.1 Consultation du catalogue de rôles
L'opération Catalogue de rôles de l'onglet Rôles et ressources dans l'interface utilisateur de Identity
Manager vous permet d'afficher les rôles précédemment définis dans le catalogue. Elle vous permet
également d'en créer des nouveaux ainsi que de modifier, de supprimer et d'assigner des rôles existants.
Section 16.1.1, « Affichage des rôles », page 257
Section 16.1.2, « Création de rôles », page 259
Section 16.1.3, « Édition d'un rôle existant », page 268
Section 16.1.4, « Suppression de rôles », page 268
Section 16.1.5, « Assignation de rôles », page 269
Section 16.1.6, « Rafraîchissement de la liste de rôles », page 271
Section 16.1.7, « Personnalisation de l'affichage de la liste de rôles », page 271
16.1.1 Affichage des rôles
1 Cliquez sur Catalogue de rôles dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste des rôles actuellement définis dans le catalogue.
16
Filtrage de la liste de rôles
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Catalogue de
rôles.
Gestion des rôles dans l'application utilisateur
257
2 Spécifiez une chaîne de filtre pour le nom ou la description de rôle, ou sélectionnez un ou plusieurs niveaux ou catégories dans la boîte de dialogue Filtre.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Réinitialiser.
Définition du nombre maximal de rôles sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
258 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Défilement de la liste de rôles
1 Pour passer à une autre page de la liste de rôles, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste :
Tri de la liste de rôles
Pour trier la liste de rôles :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
16.1.2 Création de rôles
1 Cliquez sur le bouton Nouveau en haut de l'affichage Catalogue de rôles :
L'application utilisateur affiche la boîte de dialogue Nouveau rôle :
Gestion des rôles dans l'application utilisateur 259
2 Spécifiez les informations pour la définition du rôle, comme décrit ci-dessous :
Tableau 16-1
Détails du rôle
Champ
Nom d'affichage
Description
Le texte utilisé lorsque le nom de rôle s'affiche dans l'application utilisateur.
Lorsque vous créez un rôle, vous ne pouvez pas inclure dans le Nom
d'affichage les caractères suivants :
< > , ; \ " + # = / | & *
Description
Niveau de rôle
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au
Tableau 1-1, « Principaux boutons », page 26 .
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom d'affichage, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
(En lecture seule lors de la modification d'un rôle) Choisissez un niveau de rôle dans la liste déroulante.
Vous pouvez définir les niveaux de rôle à l'aide du concepteur de l'éditeur de configuration de rôle Identity Manager.
Sous-conteneur du rôle (En lecture seule lors de la modification d'un rôle) L'emplacement des objets de rôle dans le pilote. Les conteneurs de rôle dépendent des niveaux de rôle.
L'application utilisateur affiche uniquement les conteneurs de rôle dépendant du niveau de rôle que vous choisissez. Vous pouvez créer un rôle directement dans un niveau de rôle ou dans un conteneur au sein du niveau de rôle.
Spécifier le conteneur de rôle est optionnel.
Catégories
Propriétaires
Cette propriété permet de catégoriser les rôles en vue de leur organisation. Les catégories permettent de filtrer les listes de rôles. Les catégories offrent des options de sélection multiple.
Utilisateurs désignés comme les propriétaires de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire de rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle.
260 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Cliquez sur Enregistrer pour sauvegarder la définition de rôle.
L'application utilisateur affiche plusieurs onglets supplémentaires au bas de la fenêtre, lesquels permettent de compléter la définition de rôle.
Définitions des relations entre rôles
L'onglet Relations entre les rôles permet de définir de quelle façon les rôles sont associés dans une hiérarchie d'endiguement de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations. Les relations autorisées comprennent les
éléments suivants :
Les rôles de niveau supérieur (rôles métier) peuvent contenir des rôles de niveau inférieur. Ils ne peuvent pas être contenus dans d'autres rôles. Si vous sélectionnez un rôle de niveau supérieur, la page Relations entre les rôles permet d'ajouter une relation entre rôles de niveau inférieur (enfant) uniquement.
Les rôles intermédiaires (rôles IT) peuvent contenir des rôles de niveau inférieur et être contenus dans des rôles de niveau supérieur. La page Relations entre les rôles permet d'ajouter un rôle tant de niveau inférieur (enfant) que de niveau supérieur (parent).
Les rôles de niveau inférieur (rôles d'autorisation) peuvent être contenus dans des rôles de niveau supérieur mais ne peuvent pas contenir d'autres rôles de niveau inférieur. La page
Relations entre les rôles permet d'ajouter un rôle de niveau supérieur uniquement.
Pour définir une relation entre rôles :
1 Cliquez sur l'onglet Relations entre les rôles.
Gestion des rôles dans l'application utilisateur 261
2 Cliquez sur Ajouter.
La boîte de dialogue Ajouter une relation entre rôles s'affiche.
3 Indiquez une description de la relation dans le champ Description de la requête initiale.
4 Spécifiez le type de relation à définir en le sélectionnant dans la liste déroulante Relation entre
rôles.
Si le nouveau rôle est un rôle IT, la liste déroulante Relation entre rôles permet de définir une relation Enfant ou Parent. Si le nouveau rôle est un rôle métier, la liste déroulante Relation
entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Enfant, étant donné que seuls des rôles de niveau inférieur peuvent être reliés à un rôle métier. Si le nouveau rôle est un rôle d'autorisation, la liste déroulante Relation entre rôles affiche un texte en lecture seule indiquant qu'il s'agit d'une relation Parent, étant donné que seuls des rôles de niveau supérieur peuvent être reliés à un rôle d'autorisation.
La liste de rôles disponibles pour sélection est filtrée en fonction du type que vous avez choisi.
5 Utilisez le sélecteur d'objet à droite du champ Rôles sélectionnés pour déterminer le ou les rôles
à associer au nouveau rôle.
6 Cliquez sur Ajouter.
262 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Association de ressources à des rôles
Pour associer une ressource à un rôle :
1 Cliquez sur l'onglet Ressources.
2 Cliquez sur Ajouter.
L'application utilisateur affiche la boîte de dialogue Ajouter une association de ressource.
3 Utilisez le sélecteur d'objet pour choisir la ressource souhaitée et saisissez un texte expliquant la raison de cette association.
L'assistant affiche une page qui fournit des informations à propos de la ressource sélectionnée, telles que le nom des catégories de la ressource, le propriétaire, le droit et les valeurs de droit.
Gestion des rôles dans l'application utilisateur 263
Pour les droits qui prennent des valeurs de paramètre statiques, qui fournissent des attributs supplémentaires ou des informations détaillées pour le droit, l'assistant affiche les valeurs statiques en regard du libellé Valeur du droit. Pour les droits qui prennent des valeurs dynamiques, l'assistant affiche le formulaire de requête de ressource, qui inclut des champs pour les paramètres dynamiques, ainsi que tous les champs de support de décision définis pour le formulaire.
4 Dans le champ Description de l'association, expliquez pourquoi la ressource est associée au rôle.
264 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
5 Cliquez sur Ajouter pour associer la ressource au rôle.
La liste Associations de ressources affiche la ressource que vous avez ajoutée à la définition de rôle :
Impact sur les assignations de rôles existantes. Lorsque vous ajoutez une nouvelle association de ressource à un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour accorder la ressource à chacune de ces identités.
Pour supprimer une association de ressource d'un rôle :
1 Sélectionnez l'association de ressource dans la liste Associations de ressources.
2 Cliquez sur Supprimer.
Impact sur les assignations de rôles existantes. Lorsque vous supprimez une association de ressource d'un rôle auquel des identités sont déjà assignées, le système initie une nouvelle requête pour révoquer la ressource de chacune de ces identités.
Définition du processus d'approbation pour un rôle
Pour définir le processus d'approbation d'un rôle :
1 Cliquez sur l'onglet Approbation.
2 Spécifiez les informations pour le processus d'approbation, comme décrit ci-dessous :
Tableau 16-2
Détails d'approbation
Champ
Requis
Approbation personnalisée
Description
Cochez cette case si le rôle requiert une approbation et si vous souhaitez que le processus d'approbation exécute la définition standard de l'approbation d'assignation de rôle.
Désélectionnez cette case si le rôle ne nécessite aucune approbation.
Sélectionnez ce bouton d'option si vous souhaitez utiliser une définition d'approbation personnalisée (définition de requête de provisioning).
Utilisez le sélecteur d'objet pour choisir la définition d'approbation.
Gestion des rôles dans l'application utilisateur 265
Champ
Approbation standard
Type d'approbation
Approbateurs
Description
Sélectionnez ce bouton d'option si ce rôle utilise la définition standard de l'approbation d'assignation de rôle spécifiée dans la configuration du sous-système de rôles et de ressources. Le nom de la définition d'approbation s'affiche en lecture seule dans la Définition de
l'approbation d'assignation de rôle ci-dessous.
Vous devez sélectionner le type d'approbation (Série ou Quorum), ainsi que les approbateurs valides.
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez
également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : si vous passez votre souris sur les champs Série et
Quorum, une fenêtre contextuelle apparaît. Elle explique comment ces champs fonctionnent.
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez
Conteneur si la tâche d'approbation de rôle doit être assignée à un conteneur. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un conteneur ou un rôle spécifique, utilisez le sélecteur d'objet. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-
vous à la Section 1.4.4, « Principales opérations utilisateur », page 26 .
Création d'assignations de rôle
Vérification de l'état des requêtes
L'opération État des requêtes permet d'afficher l'état de vos requêtes d'assignation de rôle, notamment celles effectuées directement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération État des requêtes affiche toutes les requêtes d'assignation de rôle, y compris celles en cours d'exécution, en attente d'approbation, approuvées, terminées, refusées ou interrompues.
266 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour afficher l'état des requêtes d'assignation de rôle :
1 Cliquez sur l'onglet État des requêtes.
2 Pour afficher les informations détaillées concernant l'état d'une requête, cliquez sur celui-ci :
La fenêtre Détails de l'assignation s'affiche :
Gestion des rôles dans l'application utilisateur 267
Pour des détails sur la signification des valeurs d'état, reportez-vous à la
« Affichage de l'état de vos requêtes », page 175 .
3 Pour retirer une requête, sélectionnez-la, puis cliquez sur Retirer.
Vous devez disposer des autorisations nécessaires pour retirer une requête.
Si la requête a été terminée ou interrompue, un message d'erreur s'affiche lorsque vous tentez de la retirer.
16.1.3 Édition d'un rôle existant
1 Sélectionnez un rôle défini précédemment et cliquez sur Éditer.
2 Apportez les modifications aux paramètres du rôle, puis cliquez sur Enregistrer.
Droits associés à des rôles existants Les rôles définis dans de précédentes versions du module de provisioning basé sur les rôles peuvent être associés à des droits. Si un rôle est associé à un droit, l'interface utilisateur affiche l'onglet Droits, qui permet de consulter les assignations de droits et
éventuellement de les supprimer. Ces assignations de droits pour les rôles continuent de fonctionner, mais Novell recommande désormais d'associer les droits à des ressources, plutôt qu'à des rôles.
16.1.4 Suppression de rôles
1 Sélectionnez un rôle défini précédemment et cliquez sur Supprimer.
Impact sur les assignations de rôles existantes. Si vous supprimez un rôle qui est associé à une ressource et auquel une ou plusieurs identités sont assignées, le système retire l'assignation de ressource de chaque identité à laquelle la ressource était associée.
Suppression de rôles dans des contraintes SoD. Lorsqu'un rôle en conflit d'une contrainte
SoD est supprimé, le mot Non valide est ajouté entre crochets à la suite du nom de cette contrainte, par exemple Médecin Pharmacien SoD [Non valide] dans la liste du catalogue de
SoD.
Avertissement : un gestionnaire de rôles qui a reçu l'autorisation Supprimer le rôle pour les rôles système (ou pour le conteneur qui englobe ces rôles) peut supprimer les rôles système. Toutefois, ces rôles ne doivent pas être supprimés. La suppression d'un des rôles système entraîne un dysfonctionnement de l'application utilisateur.
268 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
16.1.5 Assignation de rôles
Vous pouvez assigner un rôle de l'une des deux manières suivantes :
À partir du Catalogue de rôles
À partir de la boîte de dialogue Éditer le rôle
Ces deux méthodes sont décrites ci-après.
Assignation d'un rôle à partir du catalogue
1 Sélectionnez un rôle défini précédemment dans le Catalogue de rôles et cliquez sur Assigner.
L'application utilisateur affiche la boîte de dialogue Assigner le rôle :
2 Renseignez les champs de la boîte de dialogue Assigner le rôle :
2a Saisissez un texte décrivant la raison de la requête dans le champ Description de la
requête initiale.
2b Dans le champ Type d'assignation, sélectionnez Utilisateur, Groupe ou Conteneur pour indiquer le type d'identités auquel le rôle sera assigné.
2c Dans le sélecteur d'objet, entrez une chaîne de recherche, puis cliquez sur Rechercher.
Sélectionnez les utilisateurs, groupes ou conteneurs à assigner.
Gestion des rôles dans l'application utilisateur 269
Assignation d'un rôle à plusieurs identités. Vous pouvez sélectionner un ou plusieurs utilisateurs, groupes ou conteneurs auxquels assigner le rôle. Si vous sélectionnez plusieurs identités, toutes celles sélectionnées reçoivent les mêmes valeurs d'assignation de rôle.
2d Spécifiez la date de début de l'assignation de rôle dans le champ Date d'entrée en vigueur.
Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a
(où « a » spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante :
2e Spécifiez la date d'expiration de l'assignation de rôle dans le champ Date d'expiration.
Pour spécifier une expiration, cliquez sur Spécifier l'expiration. Vous pouvez entrer une date au format jj/mm/aaaa hh:mm:ss a
(où a spécifie AM ou PM). Vous pouvez aussi cliquer sur l'icône Calendrier pour sélectionner la date dans la fenêtre contextuelle correspondante.
Par défaut, la date d'expiration est définie sur Pas d'expiration, ce qui indique que cette assignation de rôle reste de vigueur indéfiniment.
3 Cliquez sur Soumettre.
Assignation d'un rôle à partir de la boîte de dialogue Éditer le rôle
1 Dans le Catalogue de rôles, sélectionnez un rôle et cliquez sur Éditer pour ouvrir la boîte de dialogue Éditer le rôle.
2 Cliquez sur l'onglet Assignations.
L'onglet Assignations affiche une liste des assignations accordées pour le rôle sélectionné.
3 Pour ajouter une nouvelle assignation, cliquez sur Assigner.
L'application utilisateur affiche la boîte de dialogue Assigner le rôle :
270 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Pour des détails sur l'utilisation du formulaire de requête d'assignation de rôle, reportez-vous à
la section « Assignation d'un rôle à partir du catalogue » page 269
.
16.1.6 Rafraîchissement de la liste de rôles
1 Cliquez sur Rafraîchir.
16.1.7 Personnalisation de l'affichage de la liste de rôles
Le Catalogue de rôles permet de sélectionner ou désélectionner des colonnes, ainsi que de les réorganiser dans l'affichage de la liste de tâches. Ce comportement est déterminé par un paramètre de la boîte de dialogue Personnaliser l'affichage du catalogue de rôles. Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans le Catalogue de rôles :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
Gestion des rôles dans l'application utilisateur 271
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Nom du rôle est obligatoire et ne peut pas être supprimée de l'affichage de la liste de rôles.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer.
272 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion des ressources dans l'application utilisateur
Cette section décrit les fonctions de gestion des ressources de l'application utilisateur. Les rubriques sont les suivantes :
Section 17.1, « Consultation du catalogue de ressources », page 273
17.1 Consultation du catalogue de ressources
L'opération Catalogue de ressources de l'onglet Rôles et ressources dans l'interface utilisateur de
Identity Manager vous permet d'afficher les ressources précédemment définis dans le catalogue. Elle vous permet également d'en créer des nouvelles ainsi que de modifier, de supprimer et d'assigner des ressources existantes.
Section 17.1.1, « Affichage des ressources », page 273
Section 17.1.2, « Création de nouvelles ressources », page 275
Section 17.1.3, « Édition d'une ressource existante », page 290
Section 17.1.4, « Suppression de ressources », page 291
Section 17.1.5, « Assignation de ressources », page 291
Section 17.1.6, « Rafraîchissement de la liste des ressources », page 293
Section 17.1.7, « Personnalisation de l'affichage de la liste des ressources », page 294
17.1.1 Affichage des ressources
1 Cliquez sur Catalogue de ressources dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste des ressources actuellement définies dans le catalogue.
17
Filtrage de la liste de ressources
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Catalogue de
ressources.
Gestion des ressources dans l'application utilisateur
273
2 Dans la boîte de dialogue Filtre, spécifiez une chaîne de filtre pour le nom ou la description de la ressource, ou sélectionnez une ou plusieurs catégories dont vous souhaitez afficher les ressources. Cliquez sur Filtre :
3 Pour supprimer le filtre actuel, cliquez sur Effacer.
Définition du nombre maximal de ressources sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste de ressources
1 Pour passer à une autre page de la liste de ressources, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste.
Tri de la liste de ressources
Pour trier la liste de ressources :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
274 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste des tâches, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
17.1.2 Création de nouvelles ressources
1 Cliquez sur le bouton Nouvelle en haut de l'affichage Catalogue de ressources :
L'application utilisateur affiche la boîte de dialogue Nouvelle ressource :
2 Spécifiez les informations pour la définition de la ressource, comme décrit ci-dessous :
Gestion des ressources dans l'application utilisateur 275
Champ
Nom d'affichage
Description
Catégories
Propriétaires
Description
Texte utilisé lorsque le nom de la ressource s'affiche dans l'application utilisateur. Lorsque vous créez une ressource, vous ne pouvez pas inclure dans le Nom d'affichage les caractères suivants :
< > , ; \ " + # = / | & *
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom d'affichage, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1, « Principaux boutons », page 26 .
Permet de catégoriser les ressources en vue de leur organisation. Les catégories permettent de filtrer les listes de ressources. Les catégories offrent des options de sélection multiple.
Utilisateurs désignés comme les propriétaires de la définition de ressource. Le propriétaire de ressource n'a pas nécessairement l'autorisation d'apporter des modifications à la définition de ressource.
3 Cliquez sur Enregistrer pour sauvegarder la définition de rôle.
L'application utilisateur affiche plusieurs onglets supplémentaires au bas de la fenêtre, lesquels permettent de compléter la définition de ressource.
276 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Définition du droit pour une assignation de ressource
1 Cliquez sur l'onglet Droit.
2 Cliquez sur Parcourir les droits pour sélectionner le droit :
L'application utilisateur affiche une liste des droits disponibles sous forme d'arborescence :
Gestion des ressources dans l'application utilisateur 277
Cette liste affiche tous les pilotes et droits détectés dans l'ensemble de pilotes de l'application utilisateur.
Remarque : si vous n'avez pas configuré la ressource DirXML correctement, lorsque vous accédez à la page Parcourir les droits afin de sélectionner un droit, un message vous indique que vous n'avez pas configuré vos droits pour l'assignation de ressource.
3 Sélectionnez le droit que vous voulez utiliser et cliquez sur OK.
L'onglet Droit affiche des informations sur toutes les valeurs pouvant être nécessaires pour le droit :
278 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Spécifiez les détails de la liaison de droit. Ceux-ci varient selon le type de droit que vous associez à la ressource :
Type de droit
Droit sans valeur
Description
Le droit n'accepte aucune valeur de paramètre. Par exemple, une ressource peut être associée à un droit appelé « Prestations maladie » qui permet simplement au receveur de bénéficier de prestations pour soins de santé. Un tel droit présente un comportement fixe et, dès lors, ne nécessite pas d'informations supplémentaires de la part du demandeur.
Lorsque vous effectuez une liaison avec un droit sans valeur, aucune configuration complémentaire n'est requise.
Gestion des ressources dans l'application utilisateur 279
Type de droit
Droit avec valeur de format libre
Droit à valeur unique
Droit à valeurs multiples
Description
Droit qui nécessite une valeur de paramètre spécifiée comme une chaîne de format libre au moment de la requête. Par exemple, une ressource peut être associée à un droit nommé Vêtements qui permet au demandeur de spécifier une valeur représentant sa couleur préférée.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit avec valeur de format libre » page 280
.
Droit qui nécessite une valeur de paramètre unique. Par exemple, une ressource peut être associée à un droit nommé « Autorisation parking » qui permet au demandeur de sélectionner un emplacement de parking. Les valeurs autorisées sont spécifiées par une liste de droits, qui peut inclure une liste statique de valeurs définies par un administrateur ou une liste dynamique de valeurs générées à partir d'une requête LDAP.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit à valeur unique » page 282
.
Droit qui accepte une ou plusieurs valeurs de paramètre. Par exemple, une ressource peut être associée à un droit nommé « Laissez-passer » qui permet au demandeur de sélectionner un ou plusieurs bâtiments. Les valeurs autorisées sont spécifiées par une liste de droits, qui peut inclure une liste statique de valeurs définies par un administrateur ou une liste dynamique de valeurs générées à partir d'une requête LDAP.
Vous pouvez assigner une valeur au moment de la conception lorsque vous définissez la ressource, ou autoriser l'utilisateur à assigner une valeur au moment de la requête.
Pour plus d'informations, reportez-vous à la section
« Liaison à un droit à valeurs multiples » page 282 .
Liaison à un droit avec valeur de format libre
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Saisissez une valeur de format libre pour la ressource :
280 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
2a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource :
2b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère :
Gestion des ressources dans l'application utilisateur 281
Liaison à un droit à valeur unique
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Sélectionnez une valeur unique dans la liste de droits par défaut :
2 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
2a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource.
2b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère.
2c Dans la liste déroulante Afficher les valeurs à partir de la liste de droits, sélectionnez la liste à utiliser pour l'affichage des valeurs autorisées.
Pour un droit de requête ou défini par l'administrateur, les valeurs autorisées sont fournies par une liste déterminée dans le droit. Les valeurs sont d'abord chargées dans des tables de base de données d'assignation de code pour vous permettre de prévoir des libellés pratiques et des chaînes localisées.
Une fois chargées, ces tables peuvent être utilisées comme source pour la création de listes de droits supplémentaires.
Par défaut, l'application utilisateur crée une liste de droits qui reprend toutes les lignes dans la liste.
Vous pouvez toutefois créer différentes listes de droits si vous souhaitez n'afficher que les lignes sélectionnées.
Liaison à un droit à valeurs multiples
1 Pour assigner une valeur statique au moment de la conception, sélectionnez Assigner la ou les
valeurs de droit maintenant.
Utilisez le sélecteur d'objet pour choisir les valeurs de droit :
2 Sélectionnez une ou plusieurs valeurs à partir de la liste de droits par défaut :
282 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Pour assigner une valeur dynamique au moment de la requête, sélectionnez Autoriser
l'utilisateur à assigner une ou plusieurs valeurs de droit au moment de la requête de ressource.
3a Spécifiez un libellé que l'utilisateur verra lorsqu'il demandera la ressource :
3b Pour localiser le libellé, cliquez sur le bouton Ajouter une valeur d'affichage de langue et spécifiez le texte du libellé dans la langue étrangère :
3c Dans la liste déroulante Afficher les valeurs à partir de la liste de droits, sélectionnez la liste à utiliser pour l'affichage des valeurs autorisées.
3d Spécifiez si l'utilisateur peut sélectionner plusieurs valeurs en cochant la case Autorisez
l'utilisateur à demander plusieurs assignations en sélectionnant plusieurs valeurs.
Étant donné que la définition de droit permet plusieurs assignations, vous pouvez spécifier si la ressource doit également autoriser les assignations multiples.
Gestion des ressources dans l'application utilisateur 283
Définition du formulaire de requête
Le formulaire de requête d'une ressource affiche deux types différents de champs :
des champs de paramètre de droit, qui assignent les paramètres de droit pour lesquels l'utilisateur peut fournir des valeurs au moment de la requête ;
des champs de support de décision, qui permettent au demandeur de fournir des informations supplémentaires susceptibles d'aider l'approbateur à décider s'il approuve ou refuse la requête.
L'onglet Formulaire de requête affiche les deux types de champs et fournit une interface utilisateur pour la création et l'édition des champs de support de décision.
Outre les champs figurant sur l'onglet Formulaire de requête, le formulaire de requête inclut toujours les champs obligatoires suivants :
Utilisateur
Raison
Tous les champs du formulaire de requête apparaissent sur le formulaire d'approbation comme valeurs en lecture seule.
Pour définir le formulaire de requête :
1 Cliquez sur l'onglet Formulaire de requête.
L'onglet Formulaire de requête affiche la liste des champs correspondant aux paramètres de droit dont les valeurs sont spécifiées au moment de la requête. Les propriétés des champs de paramètre de droit sont configurées sous l'onglet Opération. Vous ne pouvez pas modifier le comportement des champs qui assignent des paramètres de droit.
2 Pour ajouter un champ de données de support de décision :
2a Cliquez sur le signe plus (+) pour ajouter un nouveau champ :
284 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2b L'onglet Formulaire de requête ajoute un nouveau champ (avec le libellé par défaut
Libellé du champ 1) à la liste des champs et affiche le panneau Propriétés vous permettant de définir les caractéristiques du champ :
2c Pour assigner directement la valeur de support de décision, cliquez sur Maintenant.
Gestion des ressources dans l'application utilisateur 285
Spécifiez un libellé d'affichage pour le champ, ainsi que le type de données et la valeur.
Les types de données suivants sont pris en charge :
Type de données
Opérateur booléen
Nombre entier
Liste
Description
Type de données logique ayant une des deux valeurs suivantes possibles : vrai ou faux.
Séquence de nombres naturels.
Ensemble de valeurs prédéterminées à partir duquel une valeur est sélectionnée.
Séquence de valeurs représentant un texte.
Chaîne
Pour cacher la valeur sur un formulaire de requête, cliquez sur Masquer. Un champ masqué sur le formulaire de requête reste visible sur le formulaire d'approbation.
2d Pour autoriser l'utilisateur à assigner la valeur au moment de la requête, cliquez sur À
l'heure de la requête de ressource.
286 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Spécifiez un libellé d'affichage pour le champ et indiquez si la valeur doit être d'un type de données particulier ou si elle doit venir d'une liste.
Définition des paramètres du flux d'approbation
Pour définir le processus d'approbation :
1 Cliquez sur l'onglet Approbation.
2 Spécifiez si le processus d'approbation de la ressource peut être remplacé par celui d'un rôle.
Pour ce faire, activez ou désactivez la case à cocher Autoriser le remplacement du processus
d'approbation de la ressource par le processus d'approbation du rôle.
Si la case Autoriser le remplacement du processus d'approbation de la ressource par le
processus d'approbation du rôle est cochée, le processus d'approbation du rôle prime toujours sur celui de la ressource lorsque celle-ci est associée à un rôle. Une fois le rôle associé approuvé, la ressource est automatiquement provisionnée, sans aucun besoin d'approbation.
3 Définissez le processus d'approbation d'une opération d'accord comme suit :
3a Ouvrez la section Approbation d'octroi de l'onglet Approbation.
Gestion des ressources dans l'application utilisateur 287
3b Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Approbation personnalisée
Approbation standard
Type d'approbation
Approbateurs
Description
Cochez cette case si la ressource nécessite une approbation lorsqu'elle est sollicitée.
Désélectionnez cette case si la ressource ne nécessite aucune approbation.
Si vous sélectionnez Approbation personnalisée, vous devez également sélectionner une définition d'approbation d'assignation de ressource personnalisée. Il s'agit du nom de la définition de requête de provisioning exécutée lorsque la ressource est demandée.
Si vous sélectionnez Approbation standard, la ressource utilise la définition d'approbation d'assignation de ressource standard spécifiée dans les paramètres de configuration du sous-système de ressources.
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste
Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez
Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : le bouton Infos affiche des explications sur les types d'approbation.
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons Sélecteur d'objet ou Historique.
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à
la Section 1.4.4, « Principales opérations utilisateur », page 26 .
288 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
4 Définissez les détails d'approbation d'une opération de révocation comme suit :
4a Ouvrez la section Approbation de révocation de l'onglet Approbation.
4b Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Identique à la configuration de l'octroi
Description
Cochez cette case si la ressource nécessite une approbation lorsqu'elle est sollicitée.
Désélectionnez cette case si la ressource ne nécessite aucune approbation.
Cochez cette case pour copier les paramètres utilisés pour l'opération d'octroi dans les paramètres de l'opération de révocation.
Pour tous les détails d'approbation, consultez les descriptions de champ de l'opération
d'octroi, qui sont présentées à l' Étape 3b page 288
.
Assignation d'une ressource
.
Vérification de l'état des requêtes
L'opération État des requêtes permet d'afficher l'état de vos requêtes d'assignation de ressource, y compris celles effectuées directement et celles concernant des ressources assignées par le biais de rôles. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération État des requêtes affiche toutes les requêtes d'assignation de ressource, y compris celles en cours d'exécution, en attente d'approbation, approuvées, terminées, refusées ou interrompues.
1 Cliquez sur l'onglet État des requêtes.
Pour chaque champ du formulaire de requête, l'affichage de l'état des requêtes comporte une colonne distincte dans la liste. Par exemple, la colonne Garage est ajoutée à la liste de requêtes pour afficher les valeurs de droit spécifiées pour l'assignation de ressource :
Gestion des ressources dans l'application utilisateur 289
2 Pour afficher les informations détaillées concernant l'état d'une requête, cliquez sur celui-ci :
La fenêtre Détails de l'assignation s'affiche :
Pour des détails sur la signification des valeurs d'état, reportez-vous à la
« Affichage de l'état de vos requêtes », page 175 .
3 Pour retirer une requête, sélectionnez-la, puis cliquez sur Retirer.
Si la requête a été terminée ou interrompue, un message d'erreur s'affiche lorsque vous tentez de la retirer.
17.1.3 Édition d'une ressource existante
1 Sélectionnez une ressource définie précédemment et cliquez sur Éditer.
290 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Apportez les modifications aux paramètres de la ressource, puis cliquez sur Enregistrer.
17.1.4 Suppression de ressources
1 Sélectionnez une ressource définie précédemment et cliquez sur Supprimer.
Impact sur les assignations de ressource existantes. Lorsque vous supprimez une ressource
à laquelle une ou plusieurs identités sont déjà assignées, le système supprime la ressource de ces identités. Si la ressource a été associée à un rôle, le système supprime également toutes les associations de rôles relatives à la ressource supprimée.
17.1.5 Assignation de ressources
Vous pouvez assigner une ressource de l'une des deux manières suivantes :
À partir du Catalogue de ressources
À partir de la boîte de dialogue Éditer la ressource
Ces deux méthodes sont décrites ci-après.
Assignation d'une ressource à partir du catalogue
1 Sélectionnez une ressource définie précédemment dans le Catalogue de ressources et cliquez sur Assigner.
L'application utilisateur affiche le formulaire de requête de ressource :
Gestion des ressources dans l'application utilisateur 291
Les champs Description de la requête initiale et Utilisateur sont obligatoires et figurent sur tous les formulaires de requête de ressource. Afin de sélectionner les utilisateurs pour une assignation de ressource, vous pouvez utiliser le sélecteur d'objet.
Assignation d'une ressource à plusieurs utilisateurs. Vous pouvez sélectionner un ou plusieurs utilisateurs pour l'assignation de ressource. Si vous en choisissez plusieurs, tous reçoivent les mêmes valeurs de paramètre d'assignation de ressource.
Il se peut que le formulaire de requête comprenne des champs supplémentaires afin d'accepter des valeurs pour des éléments de paramètre dynamiques ou de support de décision, comme illustré ci-dessous :
Dans l'exemple ci-dessus, le champ Autorisation bâtiment est utilisé pour accepter une valeur de paramètre de droit, tandis que les champs Nom de la société et Parking requis ? sont des champs de support de décision. Ces champs ne font pas partie de la définition de droit. Ils ont
été ajoutés à la définition de ressource.
292 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
2 Complétez les champs du formulaire de requête.
3 Cliquez sur Soumettre.
Assignation d'une ressource à partir de la boîte de dialogue Éditer la ressource
1 Dans le Catalogue de ressources, sélectionnez une ressource et cliquez sur Éditer pour ouvrir la boîte de dialogue Éditer la ressource.
2 Cliquez sur l'onglet Assignations.
L'onglet Assignations affiche une liste des assignations accordées pour la ressource sélectionnée.
3 Pour ajouter une nouvelle assignation, cliquez sur Assigner.
L'application utilisateur affiche le formulaire de requête de ressource :
Pour des détails sur l'utilisation du formulaire de requête, reportez-vous à la section
« Assignation d'une ressource à partir du catalogue » page 291
.
17.1.6 Rafraîchissement de la liste des ressources
1 Cliquez sur Rafraîchir.
Gestion des ressources dans l'application utilisateur 293
17.1.7 Personnalisation de l'affichage de la liste des ressources
Le Catalogue de ressources permet de sélectionner ou désélectionner des colonnes, ainsi que de les réorganiser dans l'affichage de la liste de tâches. La sélection et l'ordre des colonnes sont contrôlés par des paramètres dans la boîte de dialogue Personnaliser l'affichage du catalogue de ressources.
Lorsque vous modifiez la liste de colonnes ou leur ordre, vos personnalisations sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
Pour personnaliser l'affichage des colonnes :
1 Cliquez sur Personnaliser dans le Catalogue de ressources :
L'application utilisateur affiche la liste des colonnes actuellement sélectionnées pour affichage ainsi qu'une liste de colonnes supplémentaires disponibles pour sélection.
2 Pour inclure une colonne supplémentaire dans l'affichage, sélectionnez-la dans la zone de liste
Colonnes disponibles et faites-la glisser dans la zone de liste Colonnes sélectionnées.
Pour sélectionner plusieurs colonnes dans la liste, maintenez la touche Ctrl enfoncée et sélectionnez les colonnes. Pour sélectionner une série de colonnes qui se suivent dans la liste, maintenez la touche Maj enfoncée et sélectionnez les colonnes.
Vous pouvez modifier l'ordre des colonnes dans l'écran en les remontant ou les descendant dans la zone de liste Colonnes sélectionnées.
294 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
3 Pour supprimer une colonne de l'affichage, sélectionnez-la dans la zone de liste Colonnes
sélectionnées et faites-la glisser dans la zone de liste Colonnes disponibles.
La colonne Nom de la ressource est obligatoire et ne peut pas être supprimée de l'affichage de la liste des tâches.
4 Pour sauvegarder vos modifications, cliquez sur Enregistrer.
Gestion des ressources dans l'application utilisateur 295
296 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Gestion de la séparation des tâches dans l'application utilisateur
Cette section décrit les fonctions de gestion de la séparation des tâches (SoD) de l'application utilisateur. Les rubriques sont les suivantes :
Section 18.1, « Consultation du catalogue de SoD », page 297
18.1 Consultation du catalogue de SoD
L'opération Catalogue de SoD sous l'onglet Rôles et ressources de l'interface utilisateur de Identity
Manager vous permet d'effectuer les tâches suivantes :
Définir une contrainte (ou règle) de séparation des tâches (SoD).
Définir comment traiter les requêtes d'exceptions de contrainte.
Une contrainte SoD est une règle qui rend deux rôles de même niveau réciproquement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Section 18.1.1, « Affichage des contraintes de séparation des tâches », page 297
Section 18.1.2, « Création de nouvelles contraintes SoD », page 299
Section 18.1.3, « Édition d'une contrainte existante de séparation des tâches », page 300
Section 18.1.4, « Suppression des contraintes de séparation des tâches », page 300
Section 18.1.5, « Rafraîchissement de la liste de contraintes de séparation des tâches », page 300
18.1.1 Affichage des contraintes de séparation des tâches
1 Cliquez sur Catalogue de SoD dans la liste des opérations Rôles et ressources.
L'application utilisateur affiche une liste de contraintes de séparation des tâches actuellement définies dans le catalogue.
18
Filtrage de la liste de contraintes de séparation des tâches
1 Cliquez sur le bouton Afficher le filtre dans le coin supérieur droit de l'affichage Contraintes de
séparation des tâches.
Gestion de la séparation des tâches dans l'application utilisateur
297
2 Spécifiez une chaîne de filtre ou le nom ou la description d'une contrainte dans la boîte de dialogue Filtre.
3 Cliquez sur Filtre pour appliquer vos critères de sélection.
4 Pour supprimer le filtre actuel, cliquez sur Réinitialiser.
Définition du nombre maximal de lignes sur une page
1 Cliquez sur la liste déroulante Lignes et sélectionnez le nombre de lignes à afficher sur chaque page :
Défilement de la liste de contraintes de séparation des tâches
1 Pour passer à une autre page de la liste de contraintes, cliquez sur le bouton Suivant, Précédent,
Premier ou Dernier au bas de la liste.
Tri de la liste de contraintes de séparation des tâches
Pour trier la liste de contraintes :
1 Cliquez sur l'en-tête de la colonne sur laquelle effectuer le tri.
L'indicateur de tri en forme de pyramide désigne la nouvelle colonne de tri. En cas de tri ascendant, l'indicateur se présente dans sa position droite normale.
Si le tri est descendant, l'indicateur apparaît à l'envers.
La colonne de tri initiale est déterminée par l'administrateur.
298 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Si vous remplacez la colonne de tri initiale, votre colonne de tri est ajoutée à la liste des colonnes obligatoires. Les colonnes obligatoires sont signalées par un astérisque (*).
Lorsque vous modifiez l'ordre de tri pour la liste de contraintes, vos préférences sont enregistrées dans le coffre-fort d'identité avec vos autres préférences utilisateur.
18.1.2 Création de nouvelles contraintes SoD
1 Cliquez sur le bouton Nouvelle en haut de l'affichage Contraintes de séparation des tâches :
L'application utilisateur affiche la boîte de dialogue Nouvelle contrainte de séparation des
tâches :
2 Spécifiez un nom pour la contrainte dans le champ Nom de la contrainte de SoD et saisissez une description dans le champ Description de la contrainte de SoD.
3 Sélectionnez chacun des rôles en conflit dans les deux champs Rôle en conflit. L'ordre des rôles sélectionnés n'a pas d'importance.
Définition des paramètres du flux d'approbation
1 Ouvrez la section Approbation de la page.
2 Spécifiez les détails d'approbation comme décrit ci-dessous :
Champ
Requis
Description
Cochez cette case si la contrainte de SoD nécessite une approbation pour les exceptions.
Dans le cas contraire, désélectionnez la case.
Gestion de la séparation des tâches dans l'application utilisateur 299
Champ
Utiliser les approbateurs par défaut
Approbateurs par défaut
Approbateurs
Description
Sélectionnez Oui si vous souhaitez utiliser la liste par défaut des approbateurs déterminée dans la définition d'approbation de SoD. Si vous sélectionnez Oui, la page affiche la liste des approbateurs spécifiés dans la définition d'approbation. Vous ne pouvez pas modifier cette liste.
Sélectionnez Non si vous souhaitez spécifier une liste différente dans le cadre de la définition de contrainte de SoD. Si vous sélectionnez Non, vous devez utiliser le contrôle Approbateurs pour spécifier les utilisateurs chargés d'approuver les exceptions de SoD.
Affiche une liste en lecture seule des approbateurs spécifiés sur la page Configurer les paramètres des
rôles et des ressources.
Permet de spécifier une liste d'approbateurs dans le cadre de la définition de contrainte.
Sélectionnez Utilisateur si la tâche d'approbation doit être assignée à un ou plusieurs utilisateurs.
Sélectionnez Groupe si la tâche d'approbation doit
être assignée à un groupe. Sélectionnez Conteneur si la tâche d'approbation doit être assignée à un ou plusieurs conteneurs. Sélectionnez Rôle si la tâche d'approbation doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle spécifique, utilisez le bouton Sélecteur d'objet.
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26
.
18.1.3 Édition d'une contrainte existante de séparation des tâches
1 Sélectionnez un rôle défini précédemment et cliquez sur Éditer.
2 Apportez les modifications aux paramètres du rôle, puis cliquez sur Enregistrer.
18.1.4 Suppression des contraintes de séparation des tâches
1 Sélectionnez un rôle défini précédemment et cliquez sur Supprimer.
18.1.5 Rafraîchissement de la liste de contraintes de séparation des tâches
1 Cliquez sur Rafraîchir.
300 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Création et affichage des rapports
Cette section décrit les rapports que vous pouvez créer et afficher à partir de l'onglet Rôles et
ressources. Chaque rapport est un fichier PDF en lecture seule qui donne des informations sur l'état actuel du catalogue de rôles à l'instant de sa génération. Un seul rapport ne reflète pas les modifications apportées aux données sur une longue période. Pour suivre la conformité des informations sur les rôles, utilisez les journaux d'audit.
19
Important : les rapports que vous pouvez créer et consulter à partir de l'onglet Rôles et ressources sont obsolètes et ne seront plus pris en charge dans les versions ultérieures. Novell recommande désormais d'utiliser le module Identity Reporting pour générer des rapports.
Ce chapitre comporte les sections suivantes :
Section 19.1, « À propos des opérations de création de rôles », page 301
Section 19.2, « Rapports de rôle », page 301
Section 19.3, « Rapports SoD », page 305
Section 19.4, « Rapports sur les utilisateurs », page 308
19.1 À propos des opérations de création de rôles
L'onglet Rôles et ressources permet de créer et d'afficher les rapports décrivant l'état actuel des rôles.
Grâce à ces rapports, vous pouvez surveiller, ajouter, modifier et supprimer des rôles ou des séparations de tâches (SoD).
Vous devez être administrateur ou auditeur de rôles pour créer et afficher les rapports de rôle.
L'administrateur de l'application utilisateur a des droits d'administrateur de rôles par défaut.
19.2 Rapports de rôle
Deux rapports de rôle sont disponibles :
Rapport de listes de rôles
Rapport d'assignations de rôle
19.2.1 Le rapport de listes de rôles
Le rapport de listes de rôles affiche les éléments suivants :
Tous les rôles, regroupés par niveau de rôle
Le nom métier de chaque rôle
Le conteneur et la description correspondant à chaque rôle
De façon facultative, les pourcentages de quorum, les rôles contenus, les rôles contenant, les groupes et les conteneurs auquel le rôle est indirectement assigné, ainsi que les droits associés à chaque rôle
Création et affichage des rapports
301
Pour créer et afficher le rapport de liste de rôles :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les rôles.
2 Sélectionnez Rapport de listes de rôles dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Sélectionnez Afficher tous les détails administratifs pour chaque rôle pour vérifier si les informations suivantes sont pertinentes et disponibles :
Pourcentage de quorum
Rôles contenus
Rôles contenant
Groupes auxquels ce rôle est indirectement assigné
Conteneurs auxquels ce rôle est indirectement assigné
Droits associés au rôle
4 Choisissez si vous souhaitez afficher tous les rôles ou les rôles appartenant à un propriétaire précis. Choisissez Sélectionner des propriétaires de rôles pour activer la case correspondante.
Faites votre choix à l'aide de cette icône :
302 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Ouvrez la boîte de dialogue de sélection d'objet.
Pour sélectionner un utilisateur et le prénom ou le nom et saisir un ou plusieurs caractères du nom pour récupérer une liste de sélection. Faites votre choix dans la liste de sélection.
Pour sélectionner un groupe d'utilisateurs, faites votre choix dans la liste de description des groupes. Pour sélectionner une liste d'utilisateurs plus courte, saisissez plusieurs caractères dans la case Description. Faites votre choix dans la liste de sélection.
Pour sélectionner un conteneur d'utilisateurs, cliquez sur un conteneur dans l'arborescence de répertoire.
5 Choisissez si vous souhaitez ou non afficher les rôles à tous les niveaux de sécurité ou sélectionnez un ou plusieurs niveaux à afficher. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez ou non afficher les rôles dans toutes les catégories ou sélectionnez une ou plusieurs catégories à afficher. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-1
Exemple de rapport de listes de rôles
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 303
19.2.2 Le rapport d'assignations de rôle
Le rapport d'assignations de rôle affiche les éléments suivants :
Les rôles, regroupés par niveau de rôle
Le nom métier, le conteneur, la catégorie et la description de chaque rôle
Les utilisateurs assignés au rôle et le nom des approbateurs de ces assignations
Pour créer et afficher le rapport d'assignations de rôle :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les rôles.
2 Sélectionnez Rapport d'assignations de rôle dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Choisissez si vous souhaitez afficher toutes les assignations de rôles ou uniquement celles pour les rôles spécifiés. Si vous choisissez Sélectionner les rôles, la case de sélection est activée et
affiche les icônes de sélection décrites à l' Étape 4 page 302
.
4 Choisissez si vous souhaitez afficher les rôles appartenant à tous les propriétaires de rôle ou à un propriétaire de rôle précis. Si vous choisissez Sélectionner un propriétaire de rôle, la case de
sélection est activée et affiche les icônes de sélection décrites à l' Étape 4 page 302
.
5 Choisissez si vous souhaitez afficher les rôles pour tous les niveaux de rôle ou sélectionner un ou plusieurs niveaux de rôle. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez afficher les rôles pour toutes les catégories de rôle ou sélectionner une ou plusieurs catégories de rôle. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
304 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
7 Cliquez sur Afficher uniquement les rôles ayant des assignations pour filtrer le rapport en vue d'inclure uniquement les rôles qui ont été assignés.
8 Si vous choisissez d'afficher les assignations pour tous les rôles plutôt que pour un seul, rendezvous au volet Ordre de tri et regroupement pour grouper les rôles par nom ou par catégorie.
9 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-2
Exemple de rapport d'assignations de rôle
10 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.3 Rapports SoD
Deux rapports décrivent l'état actuel de la séparation de tâches (SoD) :
Rapport de contrainte de SoD
Rapports de violations et d'exceptions SoD
19.3.1 Rapport de contrainte de SoD
Le rapport de contraintes SoD affiche les éléments suivants :
Les contraintes SoD définies par nom
La description de la séparation des tâches
La liste des rôles en conflit
La liste des personnes ayant l'autorisation d'approuver une exception de violation SoD
Pour créer et afficher le rapport de contrainte SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les SoD.
2 Sélectionnez Rapport de contrainte de SoD dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
Création et affichage des rapports 305
3 Choisissez de répertorier toutes les contraintes SoD ou sélectionnez une seule contrainte SoD.
Si vous choisissez Sélectionner une contrainte SoD, la case de sélection est activée. Reportez-
vous à la description des icônes de la case de sélection à l' Étape 4 page 302
.
4 Choisissez de répertorier tous les rôles ou sélectionnez un rôle. Si vous choisissez Sélectionner
un rôle, la case de sélection est activée. Reportez-vous à la description des icônes de la case de sélection à l'
.
5 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 19-3
Exemple de rapport de contraintes SoD
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.3.2 Rapport de violations et d'exceptions SoD
Le rapport de violations et d'exceptions SoD affiche les éléments suivants :
Le nom de chaque contrainte SoD, leur description et les rôles en conflit.
Les utilisateurs en situation de violation de la contrainte, incluant à la fois les exceptions approuvées et les violations non approuvées. Les utilisateurs peuvent être en situation de violation à cause de leur appartenance à un groupe ou à un conteneur qui leur accorde un rôle en conflit.
306 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Les exceptions approuvées. Il s'agit de violations qui ont été approuvées en tant qu'exceptions
SoD.
Le nom des personnes qui ont approuvé ou refusé les exceptions, ainsi que la date et l'heure de l'approbation ou du refus.
Pour créer et afficher le rapport de violations et d'exceptions SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les SoD.
2 Sélectionnez Rapport des violations et des exceptions SoD dans le menu déroulant Sélectionner
un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Sélectionnez Toutes les contraintes SoD pour afficher les violations et les exceptions en attente parmi toutes les contraintes SoD. Vous pouvez aussi choisir Sélectionner une contrainte SoD pour mettre l'accent dans le rapport sur les violations d'une seule contrainte SoD.
4 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
5 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 307
19.4 Rapports sur les utilisateurs
Deux rapports utilisateur sont disponibles :
Rapport des rôles de l'utilisateur
Rapport de droits utilisateur
19.4.1 Rapport des rôles de l'utilisateur
Le rapport des rôles utilisateur affiche les éléments suivants :
Les utilisateurs, les groupes d'utilisateurs ou les conteneurs d'utilisateurs sélectionnés
Les rôles auxquels chaque utilisateur appartient
La date à laquelle l'appartenance au rôle est entrée ou entre en vigueur
La date d'expiration de l'appartenance au rôle
De façon facultative, la source d'appartenance au rôle
Pour créer et afficher un rapport de rôles utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les utilisateurs.
2 Sélectionnez Rapport de rôles utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
3 Dans le volet Utilisateur, sélectionnez un utilisateur, un groupe ou un conteneur à partir duquel vous souhaitez afficher les rôles. Reportez-vous à la description des fonctions de la case de sélection à l'
.
4 Dans le volet Détails de rapport, sélectionnez un ou plusieurs types de détail à rapporter :
308 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Détails Signification
Afficher uniquement les rôles assignés directement
Le rapport de rôles utilisateur affiche tous les rôles directement assignés à l'utilisateur sélectionné, le cas
échéant. Le rapport n'affiche pas les rôles hérités d'une appartenance à un groupe ou un conteneur.
Inclure les informations pour les rôles assignés directement
Le rapport de rôles utilisateur affiche le nom des personnes qui ont approuvé chaque rôle assigné directement et ce, pour chacun des utilisateurs.
Afficher uniquement les utilisateurs auxquels des rôles sont assignés
Le rapport de rôles utilisateur affiche les utilisateurs sélectionnés ayant des rôles assignés. Le rapport n'affiche pas les utilisateurs qui n'ont pas de rôles assignés directement ou indirectement.
5 Dans le volet Ordre de tri et regroupement, choisissez de trier les utilisateurs par prénom ou par nom.
6 Dans le volet Ordre de tri et regroupement, choisissez de trier les rôles de chaque utilisateur par niveau ou par nom.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
19.4.2 Rapport des droits utilisateur
Le rapport de droits utilisateur affiche les éléments suivants :
Tous les droits par leur nom distinctif
Les utilisateurs titulaires de chaque droit
La date à laquelle le droit de l'utilisateur entre en vigueur
La date à laquelle le droit de l'utilisateur expire
Le rôle que détient l'utilisateur et qui accorde le droit
Création et affichage des rapports 309
Pour créer et afficher un rapport de droits utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rapports > Rapports sur les utilisateurs.
2 Sélectionnez Rapport des droits utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
3 Dans le volet Sélection de l'utilisateur , sélectionnez le type d'utilisateur : utilisateur individuel,
groupe ou conteneur. Reportez-vous aux descriptions des icônes de sélection à l' Étape 4 page 302 .
4 Dans le volet Ordre de tri et regroupement, sélectionnez l'une des options suivantes :
Répertorier les détails de droit pour chaque utilisateur
Répertorier les détails d'utilisateur pour chaque droit
5 Sélectionnez Exécuter le rapport pour afficher un rapport PDF similaire aux exemples cités dans la
Figure 19-4 et la Figure 19-5 .
310 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Figure 19-4
Exemple de rapport de droits utilisateur : détails des droits pour chaque utilisateur
Figure 19-5
Exemple de rapport de droits utilisateur : détails des utilisateurs pour chaque droit
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
Création et affichage des rapports 311
312 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Configuration des paramètres des rôles et des ressources
Cette section décrit l'interface utilisateur pour la configuration des paramètres des rôles et des ressources. Les sujets suivants font l'objet de cette section :
Section 20.2, « Configuration des paramètres des rôles », page 314
Section 20.3, « Configuration des paramètres des ressources », page 314
Section 20.4, « Configuration des paramètres des requêtes de droits », page 315
Section 20.5, « Configuration des paramètres de séparation des tâches », page 315
Section 20.6, « Configuration des paramètres des rapports », page 316
20.1 À propos de l'opération Configurer les paramètres des rôles et des ressources
L'opération Configurer les paramètres des rôles et des ressources permet de définir la configuration de base du système de rôles et de ressources. Cette page comporte les sections suivantes :
Paramètres du rôle
Paramètres des ressources
Paramètres des requêtes de droits
Paramètres des séparations des tâches (SoD)
Paramètres des rapports
Pour modifier la page Configurer les paramètres des rôles et des ressources en mode d'édition, vous devez avoir les deux assignations suivantes :
Administrateur de rôles (ou Gestionnaire de rôles avec l'autorisation Configurer les paramètres
des rôles)
Administrateur de ressources (ou Gestionnaire de ressources avec l'autorisation Configurer les
paramètres des ressources)
Pour afficher les paramètres de la page Configurer les paramètres des rôles et des ressources en mode lecture seule, il vous suffit de disposer de l'une des autorisations susmentionnées.
Lorsque vous êtes en mode d'édition, seuls certains des paramètres de la page Configurer les
paramètres des rôles et des ressources sont modifiables. Les autres affichent des valeurs en lecture seule qui sont définies au moment de l'installation et ne peuvent pas être modifiées.
20
Configuration des paramètres des rôles et des ressources
313
20.2 Configuration des paramètres des rôles
Pour configurer les paramètres des rôles :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des rôles.
Les paramètres suivants sont des valeurs en lecture seule définies au moment de l'installation :
Conteneur de rôle
Conteneur de requête de rôle
Définition de l'approbation de rôle par défaut
3 Spécifiez (en secondes) une Période de bonus d'assignation de rôle.
Cette valeur spécifie le délai (en secondes) qui s'écoule avant la suppression d'une assignation de rôle dans le Catalogue de rôles (0 par défaut). Que signifie une période de bonus de 0 ? Si vous supprimez une personne d'une assignation de rôle, cela signifie que la suppression survient immédiatement et que la révocation des droits qui en découle est immédiate. Vous pouvez utiliser la période de bonus pour retarder la suppression d'un compte qui doit être rajouté par la suite (par exemple, si une personne est déplacée d'un conteneur à un autre). Un droit peut désactiver un compte (élément par défaut) plutôt que le supprimer.
4 Définissez le nom d'affichage pour les niveaux de rôles. Chaque niveau possède un nom d'affichage distinct qui peut être traduit dans plusieurs langues. Pour spécifier des chaînes en langue étrangère, cliquez sur Ajouter une valeur d'affichage de langue.
5 Cliquez sur Enregistrer pour rendre vos paramètres permanents.
20.3 Configuration des paramètres des ressources
Pour afficher les paramètres des ressources :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des ressources.
314 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Ces paramètres contrôlent le comportement des composants de gestion des ressources de l'application utilisateur. Tous les paramètres des ressources sont en lecture seule.
20.4 Configuration des paramètres des requêtes de droits
Pour configurer les paramètres des requêtes de droits :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des requêtes de droits.
Ces paramètres contrôlent le comportement des requêtes de droits exécutées par l'application utilisateur. Vous pouvez définir un intervalle de timeout et un taux de rafraîchissement pour les requêtes de droits. En outre, vous pouvez voir si les valeurs des droits ont été rafraîchies et, le cas échéant, lancer un rafraîchissement manuel.
20.5 Configuration des paramètres de séparation des tâches
Pour configurer les paramètres de séparation des tâches (SoD - Separation of Duties) :
1 Cliquez sur Configurer les paramètres des rôles et des ressources dans le groupe d'opérations
Configuration.
2 Faites défiler la page jusqu'à la section Paramètres des séparations des tâches (SoD).
Configuration des paramètres des rôles et des ressources 315
Le paramètre Conteneur de SoD est une valeur en lecture seule déterminée au moment de l'installation.
Conteneur de SoD
Définition d'approbation de SoD par défaut
3 Dans le champ Définition d'approbation de SoD, choisissez la définition de requête de provisioning à utiliser pour gérer les approbations de SoD.
4 Sélectionnez un Type d'approbation par défaut de la SoD de Série ou Quorum.
Champ
Série
Quorum
Description
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle. La valeur doit être un nombre entier compris entre 0 et 100.
5 Modifiez les Approbateurs SoD par défaut.
Champ
Approbateurs SoD par défaut
Description
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée
à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Un seul membre du groupe doit approuver. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle. Comme pour les groupes, un seul membre du rôle doit approuver.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 26
6 Cliquez sur Enregistrer pour rendre vos paramètres permanents.
20.6 Configuration des paramètres des rapports
La valeur Conteneur de rapport est un paramètre en lecture seule déterminé au moment de l'installation.
316 Guide d'utilisation de l'application utilisateur du module de provisioning basé sur les rôles Identity Manager version 4.0
Enlace público actualizado
El enlace público a tu chat ha sido actualizado.