Guide d'utilisation de l'application utilisateur
Novell
®
Module de provisioning basé sur les rôles
Identity Manager
3.6.1
23 juillet 2008
www.novell.com
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Mentions légales
Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications
à quiconque.
Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous vous engagez à respecter toutes les réglementations de contrôle des exportations et à vous procurer les licences et classifications nécessaires pour exporter, réexporter ou importer des produits livrables. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes noires d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous à la page Web des services de commerce international de Novell (http:// www.novell.com/info/exports/) pour plus d'informations sur l'exportation des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations d'exportation nécessaires.
Copyright © 1997-2007 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.
Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie intégrée au produit décrit dans ce document. En particulier et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs brevets américains mentionnés sur le site Web de Novell relatif aux mentions légales (http://www.novell.com/ company/legal/patents/) (en anglais) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux
États-Unis et dans d'autres pays.
Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
États-Unis www.novell.com
Documentation en ligne : pour accéder à la documentation en ligne la plus récente concernant ce produit
Novell et d'autres, reportez-vous au site Web de documentation Novell (http://www.novell.com/ documentation) .
Marques de Novell
Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell (http://www.novell.com/company/legal/trademarks/tmlist.html) .
Éléments tiers
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.
Table des matières
Partie I Bienvenue dans Identity Manager
17
Si vous êtes invité à fournir des informations supplémentaires . . . . . . . . . . . . . . . . . 24
Partie II Utilisation de l'onglet Self-service d'identité 33
2 Présentation de l'onglet Self-service d'identité
35
3 Utilisation de l'Organigramme
41
Envoi d'un courrier électronique au gestionnaire d'une équipe . . . . . . . . . . . . . . . . . 53
Table des matières
5
4 Utilisation du rapport d'associations
55
59
Définition du paramètre régional préféré dans le navigateur. . . . . . . . . . . . . . . . . . . 71
6 Utilisation de la recherche dans l'annuaire
73
93
8 Création d'utilisateurs ou de groupes
99
6
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Partie III Utilisation de l'onglet Requêtes et approbations 109
9 Présentation de l'onglet Requêtes et approbations
111
123
11 Configuration de vos paramètres de provisioning
143
Création ou modification d'un paramètre de disponibilité . . . . . . . . . . . . . . . . . . . . 148
12 Gestion du travail de votre équipe
159
Table des matières
7
13 Configuration des paramètres de provisioning de votre équipe
187
Partie IV Utilisation de l'onglet Rôles 203
14 Présentation de l'onglet Rôles
205
219
16 Création d'assignations de rôle
221
Assignation d'utilisateurs, de groupes et de conteneurs à un rôle. . . . . . . . . . . . . . 221
241
Référence relative aux propriétés des contraintes SoD . . . . . . . . . . . . . . . . . . . . . 251
18 Création et affichage des rapports de rôle
255
8
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Partie V Utilisation de l'onglet Conformité 265
19 Présentation de l'onglet Conformité
267
20 Réalisation des requêtes d'attestation
283
Table des matières
9
10
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
À propos de ce guide
Ce manuel présente l'interface utilisateur de l'application utilisateur Novell
®
Identity Manager et ses fonctions :
Self-service d'identité (pour les informations de l'utilisateur, les mots de passe et les répertoires)
Requêtes et approbations (pour le provisioning basé sur le workflow)
Rôles (pour les opérations de provisioning basé sur les rôles)
Conformité (pour la conformité réglementaire et l'attestation)
Public
Les informations de ce manuel sont destinées à l'utilisateur final de l'interface utilisateur Identity
Manager.
Conditions préalables
Ce guide suppose que vous utilisez la configuration par défaut de l'interface utilisateur Identity
Manager. Il est néanmoins possible que votre version de l'interface utilisateur ait été personnalisée et présente un aspect et un fonctionnement différents.
Avant de démarrer, vérifiez auprès de votre administrateur système les informations relatives aux
éventuelles modifications personnalisées que vous pouvez rencontrer.
Organisation
Voici un résumé de ce que trouverez dans ce manuel :
Partie
Partie I, « Bienvenue dans Identity Manager », page 15
Partie II, « Utilisation de l'onglet Self-service d'identité », page 33
Description
Introduction à l'interface utilisateur Identity
Manager et à son utilisation
Utilisation de l'onglet Self-service d'identité de l'interface utilisateur Identity Manager pour afficher et utiliser les informations d'identité, notamment :
Organigrammes
Profils (vos détails d'identité)
Recherche dans l'annuaire
Mots de passe
Comptes utilisateurs (etc.)
À propos de ce guide
11
Partie Description
Partie III, « Utilisation de l'onglet Requêtes et approbations », page 109
Partie IV, « Utilisation de l'onglet Rôles », page 203
Utilisation de l'onglet Rôles de l'interface utilisateur
Identity Manager pour :
Faire des requêtes de rôles pour vous ou d'autres utilisateurs de votre organisation
Créer des rôles et des relations de rôles dans la hiérarchie de rôles
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle
Consulter les rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs
Partie V, « Utilisation de l'onglet Conformité », page 265
Utilisation de l'onglet Requêtes et approbations de l'interface utilisateur Identity Manager pour :
Gérer les tâches de provisioning (tâches et demandes de ressource) pour vous-même et votre équipe
Configurer les paramètres de provisioning pour vous-même et votre équipe
Utilisation de l'onglet Conformité de l'interface utilisateur Identity Manager pour :
Faire des requêtes pour les processus d'attestation de profil utilisateur
Faire des requêtes pour les processus d'attestation de violation de séparation des tâches (SoD, Separation of Duties)
Faire des requêtes pour les processus d'attestation d'assignation de rôle
Faire des requêtes pour les processus d'attestation d'assignation d'utilisateur
Commentaires
Nous souhaiterions connaître vos commentaires et suggestions sur ce guide et les autres documentations fournies avec ce produit. Utilisez la fonction Commentaires proposée au bas de chaque page de la documentation en ligne ou accédez à la page Web www.novell.com/ documentation/feedback.html (en anglais).
Mises à jour de la documentation
Pour obtenir la version la plus récente du Guide d'utilisation de l'application utilisateur IDM, visitez le site Web Identity Manager Web (http://www.novell.com/documentation/idmrbpm361/) .
12
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Conventions relatives à la documentation
Dans la documentation Novell, le symbole « supérieur à » (>) est utilisé pour séparer deux opérations dans une étape de procédure, ainsi que deux éléments dans un chemin de références croisées.
Un symbole de marque déposée (
®
,
TM
, etc.) indique qu'il s'agit d'une marque de Novell. L'astérisque
(*) indique une marque de fabricant tiers.
Lorsqu'un nom de chemin peut s'écrire avec une barre oblique pour certaines plates-formes et une barre oblique inverse pour d'autres, il sera toujours présenté avec une barre oblique inverse. Les utilisateurs de plates-formes qui requièrent une barre oblique normale, comme Linux* ou UNIX*, doivent utiliser ces barres obliques, comme l'exige leur logiciel.
À propos de ce guide
13
14
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Bienvenue dans Identity Manager
Lisez d'abord cette section pour découvrir l'application utilisateur Identity Manager et savoir comment commencer à l'utiliser.
Chapitre 1, « Mise en route », page 17
I
Bienvenue dans Identity Manager
15
16
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Mise en route
Cette section indique comment commencer à utiliser l'application utilisateur Identity Manager. Les rubriques incluent :
Section 1.1, « Identity Manager et vous », page 17
Section 1.2, « Accès à l'application utilisateur Identity Manager », page 21
Section 1.3, « Login », page 22
Section 1.4, « Exploration de l'application utilisateur », page 24
Section 1.5, « Étapes suivantes », page 31
1.1 Identity Manager et vous
Novell
®
Identity Manager est un logiciel système qui permet à votre entreprise de gérer en toute sécurité les besoins d'accès de sa communauté d'utilisateurs. Si vous êtes membre de cette communauté d'utilisateurs, vous bénéficiez Identity Manager de plusieurs manières. Par exemple,
Identity Manager permet à votre entreprise :
D'offrir aux utilisateurs l'accès aux informations (recherche d'organigrammes de groupe, de pages blanches du service ou d'employés) et aux ressources (équipement ou comptes sur les systèmes internes) dont ils ont besoin, dès le départ
De synchroniser plusieurs mots de passe dans un seul login pour tous les systèmes
De modifier ou révoquer des droits d'accès de façon instantanée si nécessaire (par exemple lorsqu'une personne est transférée dans un groupe différent ou quitte l'entreprise)
De respecter la conformité vis-à-vis des réglementations gouvernementales
Pour vous apporter directement ces avantages, à vous et à votre équipe, l'application utilisateur
Identity Manager est dotée d'une interface utilisateur à laquelle vous pouvez accéder depuis votre navigateur Web.
1.1.1 Présentation de l'application utilisateur Identity Manager
L'application utilisateur Identity Manager Identity constitue votre fenêtre sur les informations, les ressources et les fonctionnalités Identity Manager. Votre administrateur système détermine les détails de ce que vous pouvez afficher et faire dans l'application utilisateur Identity Manager. En général, il s'agit des éléments suivants.
Self-service d'identité, qui permet :
D'afficher des organigrammes.
De générer des rapports d'applications associés à un utilisateur si vous êtes administrateur.
(Le module de provisioning basé sur les rôles Identity Manager est requis.)
De modifier les informations de votre profil.
D'effectuer une recherche dans un répertoire.
De modifier le mot de passe, la stimulation-réponse de mot de passe et l'indice de mot de passe.
1
Mise en route
17
De consulter l'état de votre stratégie de mot de passe et l'état de synchronisation du mot de passe.
De créer des comptes pour les utilisateurs ou les groupes nouveaux (si vous y êtes autorisé).
Requêtes et approbations, qui permettent :
De faire des requêtes de ressources
De vérifier l'approbation de vos requêtes de ressource
De travailler sur les tâches qui vous sont assignées pour approuver d'autres requêtes de ressource
D'effectuer des requêtes et des approbations en tant que proxy ou délégué pour un autre utilisateur
D'assigner un autre utilisateur devant être votre proxy ou votre délégué (si vous y êtes autorisé)
De gérer toutes ces fonctions de requête et d'approbation pour votre équipe (si vous y êtes autorisé)
De fournir éventuellement une signature numérique pour chaque requête ou approbation
Remarque : les requêtes et approbations nécessitent le module de provisioning basé sur les rôles Identity Manager.
Rôles, qui permettent :
De faire des requêtes d'assignation de rôle et gérer le processus d'approbation associé
De vérifier l'état de vos requêtes de rôle
De définir les rôles et les relations de rôle
De définir les contraintes SoD et gérer le processus d'approbation en cas de requête d'annulation de contrainte faite par un utilisateur
De parcourir le catalogue de rôles
D'afficher les rapports détaillés répertoriant les rôles et les contraintes SoD définis dans le catalogue, ainsi que l'état des assignations de rôle, les exceptions SoD et les droits des utilisateurs
Remarque : la fonction Rôles nécessite le module de provisioning basé sur les rôles Identity
Manager.
Conformité qui permet de :
Demander un processus d'attestation de profil utilisateur
Demander un processus d'attestation de violation de séparation des tâches (SoD,
Separation of Duties)
Demander un processus d'attestation d'assignation de rôle
Demander un processus d'attestation d'assignation utilisateur
Remarque : le module de provisioning basé sur les rôles Identity Manager est requis.
18
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
1.1.2 Présentation générale
Figure 1-1
L'application utilisateur IDM fournit l'interface utilisateur Identity Manager
1.1.3 Utilisations typiques
Voici quelques exemples d'utilisation classique de l'application utilisateur Identity Manager au sein d'une entreprise.
Utilisation du Self-service d'identité
Ella (une utilisatrice finale) récupère son mot de passe oublié par l'intermédiaire des fonctions du self-service d'identité lorsqu'elle se logue.
Erik (un utilisateur final) recherche tous les employés parlant l'allemand sur son lieu de travail.
Eduardo (un utilisateur final) navigue dans l'organigramme, trouve Ella, puis clique sur une icône représentant une enveloppe pour lui envoyer un message.
Mise en route
19
Utilisation des requêtes et approbations
Ernie (un utilisateur final) parcourt la liste des ressources dont il dispose et demande l'accès au système Siebel*.
Amy (une approbatrice) reçoit une notification de requête d'approbation par courrier
électronique (contenant une URL). Elle clique sur le lien, voit s'afficher un formulaire d'approbation, et l'approuve.
Ernie vérifie l'état de sa requête précédente concernant l'accès à Siebel (qui est passée à une seconde personne pour approbation). Il voit qu'elle est toujours en cours de traitement.
Amy part en vacances et indique qu'elle sera temporairement indisponible. À présent, les nouvelles tâches d'approbation lui sont assignées pendant son absence.
Amy ouvre sa liste de tâches d'approbation, voit qu'elle en contient trop pour qu'elle puisse y répondre à temps et en réassigne plusieurs à des collaborateurs.
Patricia (une assistante administrative) agit en tant qu'utilisateur proxy pour Amy et ouvre la liste de tâches de cette dernière afin d'effectuer une tâche d'approbation pour son compte.
Max (un gestionnaire) consulte les listes de tâches des employés de son service. Il sait qu'Amy est en vacances et réassigne ses tâches aux autres personnes du service.
Max effectue une requête pour un compte de base de données d'une personne de son service qui travaille sous son autorité directe.
Max assigne Dan en tant que délégué autorisé pour Amy.
Dan (désormais approbateur délégué) reçoit les tâches d'Amy lorsqu'elle n'est pas disponible.
Max engage un stagiaire non rémunéré, qui ne doit pas figurer dans le système des RH.
L'administrateur système crée l'enregistrement de l'utilisateur pour ce stagiaire et demande que lui soit accordé l'accès à Notes, Active Directory* et Oracle*.
Utilisation des rôles
Maxine (un gestionnaire de rôles) crée les rôles métier Infirmière et Docteur, ainsi que les rôles
IT Administration de médicaments et Délivrance d'ordonnances.
Maxine (un gestionnaire de rôles) définit une relation entre les rôles Infirmière et
Administration de médicaments en spécifiant que le premier rôle inclut le deuxième. Max définit également une relation entre les rôles Docteur et Délivrance d'ordonnances en spécifiant que le premier rôle inclut le deuxième.
Chester (un responsable de la sécurité) définit une contrainte SoD qui spécifie la présence d'un conflit potentiel entre les rôles Docteur et Infirmière. Cela signifie qu'un utilisateur donné ne peut pas être assigné aux deux rôles à la fois. Dans certains cas, un utilisateur qui fait une requête d'assignation de rôle peut souhaiter annuler cette contrainte. Pour définir une exception
SoD, l'utilisateur qui demande l'assignation doit donner une justification.
Ernest (un utilisateur final) parcourt une liste de rôles à sa disposition et fait une requête d'assignation pour le rôle d'infirmière.
Amy (une approbatrice) reçoit une notification de requête d'approbation par courrier
électronique (avec un lien URL). Elle clique sur le lien, voit s'afficher un formulaire d'approbation, puis l'approuve.
Arnold (un gestionnaire de rôles) demande que le rôle Docteur soit assigné à Ernest. Il reçoit une notification l'informant qu'un conflit potentiel existe entre le rôle Docteur et le rôle
Infirmière, auquel Ernest a déjà été assigné. Il fournit une justification pour prouver la nécessité de faire une exception de contrainte SoD.
20
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Edward (un approbateur SoD) reçoit une notification de conflit SoD par courrier électronique.
Il approuve la demande d'Arnold concernant l'annulation de la contrainte SoD.
Amélia (une approbatrice) reçoit une notification de requête d'approbation pour le rôle Docteur par courrier électronique. Elle approuve la requête d'Arnold concernant l'assignation d'Ernest au rôle Docteur.
Bill (un auditeur de rôles) vérifie le rapport des violations et des exceptions SoD et remarque qu'Ernest a été assigné à la fois au rôle Docteur et au rôle Infirmière.
Utilisation des fonctions de conformité
Maxine (un gestionnaire de rôles) crée les rôles métier Infirmière et Docteur, ainsi que les rôles
IT Administration de médicaments et Délivrance d'ordonnances.
Maxine (un gestionnaire de rôles) définit une relation entre les rôles Infirmière et
Administration de médicaments en spécifiant que le premier rôle inclut le deuxième. Max définit également une relation entre les rôles Docteur et Délivrance d'ordonnances en spécifiant que le premier rôle inclut le deuxième.
Chester (un responsable de la sécurité) définit une contrainte SoD qui spécifie la présence d'un conflit potentiel entre les rôles Docteur et Infirmière. Cela signifie qu'un utilisateur donné ne peut pas être assigné aux deux rôles à la fois. Dans certains cas, un utilisateur qui fait une requête d'assignation de rôle peut souhaiter annuler cette contrainte. Pour définir une exception
SoD, l'utilisateur qui demande l'assignation doit donner une justification.
Arnold (un gestionnaire de rôles) demande que le rôle Docteur soit assigné à Ernest. Il reçoit une notification l'informant qu'un conflit potentiel existe entre le rôle Docteur et le rôle
Infirmière, auquel Ernest a déjà été assigné. Il fournit une justification pour prouver la nécessité de faire une exception de contrainte SoD.
Philippe (administrateur du module Conformité) initie un processus d'attestation d'assignation de rôle pour le rôle Infirmière.
Fiona (chargée d'attestation) reçoit une notification de la tâche d'attestation par courrier
électronique (avec un lien URL). Elle clique sur le lien et voit s'afficher un formulaire d'attestation. Elle apporte une réponse affirmative à la question d'attestation, indiquant ainsi que les informations sont correctes.
Philippe (administrateur du module Conformité) initie un nouveau processus de requête d'attestation de profil utilisateur pour les utilisateurs du groupe des ressources humaines.
Chaque utilisateur du groupe des ressources humaines reçoit une notification de la tâche d'attestation par courrier électronique (avec un lien URL). Chaque utilisateur clique sur le lien et voit s'afficher un formulaire d'attestation. Ce formulaire permet à l'utilisateur de vérifier les valeurs des attributs de profil utilisateur. Après avoir vérifié les informations, chaque utilisateur répond à la question d'attestation.
1.2 Accès à l'application utilisateur Identity
Manager
Lorsque vous êtes prêt à utiliser l'application utilisateur Identity Manager, tout ce dont vous devez disposer sur votre ordinateur est un navigateur Web. Identity Manager est compatible avec la plupart des versions de navigateurs les plus courants ; consultez votre administrateur système pour connaître la liste des navigateurs compatibles ou pour obtenir de l'aide afin d'en installer un.
Mise en route
21
Grâce à un navigateur, l'application utilisateur Identity Manager est d'accès aussi simple que n'importe quelle page Web.
Remarque : pour utiliser l'application utilisateur Identity Manager, activez le niveau de confidentialité (au moins Moyenne des cookies dans Internet Explorer) et JavaScript* dans votre navigateur Web.
Pour accéder à l'application utilisateur Identity Manager, ouvrez un navigateur Web et connectezvous à l'adresse (URL) de l'application utilisateur Identity Manager (fournie par votre administrateur système), par exemple http://monserveurapp:8080/IDM.
Par défaut, cela vous donne accès à la page Bienvenue invité de l'application utilisateur :
Figure 1-2
La page Bienvenue invité de l'application utilisateur
D'ici, vous pouvez vous loguer à l'application utilisateur pour accéder à ses fonctions.
1.2.1 Il se peut que votre application utilisateur ait un aspect différent
Si vous voyez une première page différente lorsque vous accédez à l'application utilisateur Identity
Manager, cela vient généralement du fait que l'application a été personnalisée par votre entreprise. À mesure que vous avancez dans votre travail, il se peut que vous remarquiez d'autres fonctions de l'application utilisateur ayant été personnalisées.
Si tel est le cas, interrogez votre administrateur système pour savoir en quoi votre application utilisateur personnalisée diffère de la configuration par défaut décrite dans ce guide.
1.3 Login
Vous devez être un utilisateur autorisé pour vous loguer à l'application utilisateur Identity Manager depuis la page Bienvenue invité. Si vous avez besoin d'aide pour obtenir un nom d'utilisateur et un mot de passe à fournir lors du login, consultez votre administrateur système.
Pour vous loguer à l'application utilisateur Identity Manager :
1 Dans la page Bienvenue invité, cliquez sur le lien Login (dans l'angle supérieur droit).
22
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
L'application utilisateur vous demande votre nom d'utilisateur et votre mot de passe :
2 Saisissez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Login.
1.3.1 Si vous oubliez votre mot de passe
Si vous avez oublié le mot de passe, vous pouvez utiliser le lien Mot de passe oublié ? pour obtenir de l'aide. Lorsque vous êtes invité à vous loguer, ce lien apparaît sur la page par défaut. Vous pouvez en bénéficier si votre administrateur système a configuré une stratégie de mot de passe pour vous.
Pour utiliser la fonction Mot de passe oublié :
1 Lorsque vous êtes invité à vous loguer, cliquez sur le lien Mot de passe oublié ? liaison.
Vous êtes ensuite invité à fournir votre nom d'utilisateur :
2 Saisissez votre nom d'utilisateur et cliquez sur Soumettre.
Si Identity Manager répond qu'il ne trouve aucune stratégie de mot de passe qui vous corresponde, prenez contact avec votre administrateur système pour obtenir de l'aide.
3 Répondez aux stimulations-questions qui s'affichent et cliquez sur Soumettre. Par exemple :
Mise en route
23
Répondez aux questions de vérification d'identité pour obtenir de l'aide à propos de votre mot de passe. En fonction du mode selon lequel l'administrateur système a configuré votre stratégie de mot de passe, vous pouvez :
Afficher un indice relatif à votre mot de passe
Recevoir un courrier électronique contenant votre mot de passe ou un indice associé à ce dernier
Être invité à réinitialiser votre mot de passe
1.3.2 Si vous rencontrez des difficultés pour vous loguer
Si vous ne parvenez pas à vous loguer à l'application utilisateur Identity Manager, vérifiez que vous utilisez le nom d'utilisateur correct et que vous saisissez correctement le mot de passe (orthographe, respect des majuscules et des minuscules, etc.). Si le problème persiste, consultez votre administrateur système. Il peut être utile que vous fournissiez des détails concernant le problème que vous rencontrez (par exemple des messages d'erreur).
1.3.3 Si vous êtes invité à fournir des informations supplémentaires
Il se peut que vous soyez invité à fournir des informations supplémentaires dès que vous vous loguez dans l'application utilisateur Identity Manager. Cela dépend entièrement de la manière dont votre administrateur système a défini votre stratégie de mot de passe (le cas échéant). Par exemple :
S'il s'agit de votre premier login, il se peut que vous soyez invité à définir vos stimulations questions et réponses, ou l'indice de votre mot de passe
Si votre mot de passe a expiré, il se peut que vous soyez invité à le réinitialiser
1.4 Exploration de l'application utilisateur
Lorsque vous vous êtes logué, l'application utilisateur Identity Manager affiche les pages à onglets dans lesquelles vous travaillez.
24
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 1-3
Lorsque vous vous loguez, vous voyez des onglets et l'organigramme
Si vous regardez dans la partie supérieure de l'application utilisateur, vous voyez les principaux onglets :
Self-service d'identité (ouvert par défaut)
Pour en savoir plus sur cet onglet et sur la façon de l'utiliser, reportez-vous à la
« Utilisation de l'onglet Self-service d'identité », page 33
.
Requêtes et approbations
Pour en savoir plus sur cet onglet et sur la façon de l'utiliser, reportez-vous à la
« Utilisation de l'onglet Requêtes et approbations », page 109
.
Remarque : pour activer l'onglet Requêtes et approbations, votre entreprise doit posséder le module de provisioning basé sur les rôles Identity Manager.
Rôles
Pour en savoir plus sur cet onglet et sur la façon de l'utiliser, reportez-vous à la
« Utilisation de l'onglet Rôles », page 203 .
Remarque : pour activer l'onglet Rôles, votre entreprise doit posséder le module de provisioning basé sur les rôles Identity Manager.
Conformité
Pour en savoir plus sur cet onglet et sur la façon de l'utiliser, reportez-vous à la
« Utilisation de l'onglet Conformité », page 265 .
Remarque : pour activer l'onglet Conformité, votre entreprise doit posséder le module de provisioning basé sur les rôles Identity Manager. L'onglet Conformité n'est pas disponible si vous êtes administrateur du module de conformité ou gestionnaire d'attestation.
Pour ouvrir un autre onglet, il suffit de cliquer dessus.
Mise en route
25
1.4.1 Accès à l'aide
Lorsque vous travaillez avec l'application utilisateur Identity Manager, vous pouvez afficher l'aide en ligne pour obtenir la documentation relative à l'onglet que vous utilisez.
1 Ouvrez l'onglet sur lequel vous voulez obtenir des informations (par exemple, Rôles ou
Conformité).
2 Cliquez sur le lien Aide (situé dans l'angle supérieur droit de la page).
La page d'aide de l'onglet ouvert s'affiche.
1.4.2 Langue préférée
Si votre administrateur n'a pas défini de langue préférée pour l'application utilisateur, vous êtes invité à sélectionner votre langue préférée la première fois que vous vous loguez.
1 Lorsque vous y êtes invité, pour ajouter une langue préférée en ouvrant la liste Paramètres
régionaux disponibles, faites une sélection et cliquez sur Ajouter.
Pour plus d'informations, reportez-vous à la Section 5.6, « Choix de la langue », page 70
.
1.4.3 Logout
Lorsque vous avez terminé d'utiliser l'application utilisateur Identity Manager et que souhaitez terminer votre session, vous pouvez vous déloguer.
1 Cliquez sur le lien Logout (situé dans l'angle supérieur droit de la page).
Par défaut, l'application utilisateur vous remercie d'utiliser Novell Identity Manager. Cliquez sur le lien rouge intitulé Revenir au login de Novell Identity Manager pour revenir à une invite de login.
26
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
1.4.4 Principales opérations utilisateur
L'application utilisateur offre une interface utilisateur cohérente dotée des principales opérations de l'utilisateur pour accéder aux données et les afficher. Cette section décrit quelques-uns des principaux composants de l'interface utilisateur et comporte des instructions pour les éléments suivants :
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
« Filtrage des données » page 30
Tableau 1-1
Principaux boutons
Bouton Description
Sélecteur d'objet. Cette fonction permet d'accéder à une boîte de dialogue ou
à une fenêtre de recherche. Vous pouvez saisir des critères de recherche pour différents types d'objets en fonction de l'endroit où vous vous trouvez dans l'application utilisateur. Dans l'onglet Self-service d'identité, par exemple, vous pouvez rechercher des utilisateurs et des groupes tandis que dans l'onglet
Rôles vous pouvez rechercher des utilisateurs, des groupes et des rôles.
Afficher l'historique. Cette fonction fournit des liens vers des données auxquelles vous avez déjà accédé. Vous pouvez sélectionner le lien pour afficher les données correspondant à la sélection précédente. Si vous avez récemment travaillé sur un élément, cliquez sur Afficher l'historique plutôt que d'effectuer une recherche pour gagner du temps.
Réinitialiser. Cette fonction annule la sélection courante.
Mise en route
27
Bouton Description
Localiser. Affiche une boîte de dialogue dans laquelle vous pouvez saisir le texte correspondant à un nom de champ ou à une description dans toutes les langues prises en charge par l'application utilisateur.
Ajouter. Ajoute un nouvel élément ou objet. Vous devez fournir des informations supplémentaires spécifiques au type d'objet que vous ajoutez.
Supprimer. Supprime l'élément sélectionné.
Flèche haut ou flèche bas. Déplace l'objet sélectionné en haut ou en bas de la liste.
Légende. Affiche une description des symboles utilisés dans les onglets
Requêtes et approbations ou Rôles.
Utilisation du bouton de sélecteur d'objet pour effectuer une recherche
Pour utiliser le bouton Sélecteur d'objet :
1 Cliquez sur . La boîte de dialogue Rechercher s'affiche :
28
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Spécifiez vos critères de recherche comme suit :
2a Utilisez la liste déroulante pour sélectionner un champ sur lequel effectuer une recherche.
Les champs affichés dans la liste déroulante varient en fonction de l'endroit à partir duquel vous avez lancé la recherche. Dans cet exemple, vous pouvez indiquer Nom ou
Description.
2b Dans la zone de texte à côté de la liste déroulante, saisissez tout ou partie du texte des critères de recherche (comme le nom ou la description). La recherche permet de trouver toutes les occurrences du type d'objet que vous recherchez et qui commencent par le texte que vous avez saisi. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. En guise d'illustration, tous les exemples de recherche suivants trouvent le rôle Infirmière :
Infirmière n n*
*u
*r
*e
3 Cliquez sur Rechercher.
Les résultats de la recherche s'affichent. Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne. Cet exemple montre une liste des rôles.
Si la liste des résultats comporte un élément qui vous intéresse, passez à l' Étape 4 . Sinon,
revenez à l'
.
4 Sélectionnez l'élément de votre choix dans la liste. La page de recherche se ferme et les données associées à votre sélection sont insérées dans la page courante.
Mise en route
29
Filtrage des données
L'onglet Rôles de l'application utilisateur fournit des filtres qui permettent d'afficher uniquement les données qui vous intéressent. Vous pouvez également limiter le volume de données par page à l'aide du paramètre Maximum de lignes par page. Voici quelques exemples de filtres :
Filtrage par source et assignation de rôle (accessible via l'opération Mes rôles)
Filtrage par état, utilisateur et nom de rôle (accessible via l'opération Afficher l'état de la requête)
Filtrage par catégorie et niveau de rôle (accessible via l'opération Parcourir le catalogue de rôles)
Pour utiliser le filtrage :
1 Indiquez une valeur dans le champ de texte Filtrer par comme suit.
1a Pour limiter le nombre d'éléments à ceux commençant par une chaîne de caractères particulière , saisissez tout ou partie de cette chaîne de caractères dans le champ Filtrer
par. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. En guise d'illustration, tous les exemples de recherche suivants trouvent l'assignation de rôle correspondant à
Infirmière :
Infirmière n n*
*u
*r
*e
Remarque : un filtre sur le nom de rôle ne permet pas de limiter le nombre d'objets provenant du coffre-fort d'identité. Il permet simplement de limiter les objets affichés sur la page en fonction des critères de filtre. En revanche, d'autres filtres (tels que le filtre
État) limitent le nombre d'objets provenant du coffre-fort d'identité.
1b Pour filtrer davantage les éléments affichés, vous pouvez spécifier des critères de filtre supplémentaires. L'application utilisateur permet de sélectionner les critères de différentes manières en fonction des données. Vous pouvez cocher une case ou sélectionner un ou
30
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
plusieurs éléments dans une liste (à l'aide des touches de sélection multiple de vos platesformes). Les critères sont définis avec l'opérateur booléen ET. Seuls les éléments qui correspondent à tous les critères sont donc affichés.
1c Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
1d Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
2 Pour définir le nombre maximum d'éléments affichés par page correspondant au filtre par critères, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
1.5 Étapes suivantes
Après avoir découvert les notions de base de l'application utilisateur Identity Manager, vous pouvez commencer à utiliser ses onglets pour mener à bien votre travail.
Pour en savoir plus sur
Des tâches du self-service d'identité
Des tâches de requête d'approbation
Des tâches sur les rôles
Exécution de tâches en rapport avec la conformité
Reportez-vous à
Partie II, « Utilisation de l'onglet Self-service d'identité », page 33
Partie III, « Utilisation de l'onglet Requêtes et approbations », page 109
Partie IV, « Utilisation de l'onglet Rôles », page 203
Partie V, « Utilisation de l'onglet Conformité », page 265
Mise en route
31
32
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'onglet Self-service d'identité
Ces sections décrivent comment utiliser l'onglet Self-service d'identité de l'interface Utilisateur
Identity Manager pour afficher et utiliser les informations d'identité.
Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35
Chapitre 3, « Utilisation de l'Organigramme », page 41
Chapitre 4, « Utilisation du rapport d'associations », page 55
Chapitre 5, « Utilisation de Mon profil », page 59
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 73
Chapitre 7, « Gestion des mots de passe », page 93
Chapitre 8, « Création d'utilisateurs ou de groupes », page 99
II
Utilisation de l'onglet Self-service d'identité
33
34
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Présentation de l'onglet Selfservice d'identité
Cette section décrit comment commencer à utiliser l'onglet Self-service d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 2.1, « À propos de l'onglet Self-service d'identité », page 35
Section 2.2, « Accès à l'onglet Self-service d'identité », page 35
Section 2.3, « Exploration des fonctions de l'onglet », page 36
Section 2.4, « Actions du self-service d'identité que vous pouvez effectuer », page 38
Pour plus d'informations sur l'ouverture et l'utilisation de l'application utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 17 .
2.1 À propos de l'onglet Self-service d'identité
L'onglet Self-service d'identité vous offre un moyen pratique pour afficher et utiliser par vous-même les informations d'identité. Il offre à votre entreprise davantage de réactivité en vous donnant accès aux informations dont vous avez besoin au moment où vous en avez besoin. Par exemple, l'onglet
Self-service d'identité permet de :
Gérer directement votre compte utilisateur
Rechercher à la demande d'autres utilisateurs et d'autres groupes de l'entreprise
Visualiser de quelle manière ces utilisateurs et ces groupes sont reliés
Répertorier les applications avec lesquelles vous êtes associé
Votre administrateur système a la responsabilité de configurer le contenu de l'onglet Self-service
d'identité pour vous et les autres membres de votre entreprise. Ce que vous voyiez et ce que vous pouvez faire est généralement déterminé par les exigences de votre fonction et par votre niveau d'autorité.
2.2 Accès à l'onglet Self-service d'identité
Par défaut, après vous être logué à l'application utilisateur Identity Manager, l'onglet Self-service
d'identité s'ouvre et affiche sa page Organigramme :
2
Présentation de l'onglet Self-service d'identité
35
Figure 2-1
La page Organigramme de l'onglet Self-service d'identité
Si vous ouvrez un autre onglet de l'application utilisateur Identity Manager et souhaitez revenir au précédent, il vous suffit de cliquer sur l'onglet Self-service d'identité pour le rouvrir.
2.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Self-service d'identité. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système.)
La partie gauche de l'onglet Self-service d'identité affiche un menu des actions que vous pouvez effectuer. Ces actions sont répertoriées par catégorie — Gestion des informations, Gestion des mots
de passe et Gestion de l'annuaire (si vous y êtes autorisé) :
Figure 2-2
Le menu des actions du self-service d'identité
36
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Lorsque vous cliquez sur une action, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre spéciale appelée portlet, qui affiche les détails de l'action concernée. Par exemple, le portlet de la page Organigramme ressemble à cela :
Figure 2-3
Portlet de la page Organigramme
La barre de titre du portlet affiche un ensemble de boutons sur lesquels vous pouvez cliquer pour effectuer des opérations standard. Par exemple :
Tableau 2-1 décrit l'action de ces boutons :
Tableau 2-1
Boutons de la barre de titre du portlet et leurs fonctions
Bouton Fonction
Affiche l'aide du portlet
Imprime le contenu du portlet
Développe le portlet
Si vous voyez d'autres boutons mais n'êtes pas sûr de leur action, pointez votre souris sur ces boutons pour en afficher les descriptions.
Présentation de l'onglet Self-service d'identité
37
2.4 Actions du self-service d'identité que vous pouvez effectuer
d'identité :
Tableau 2-2
Actions disponibles dans l'onglet Self-service d'identité
Catégorie
Gestion des informations
Action Description
Organigramme
Rapport d'associations
Affiche les relations parmi les utilisateurs et les groupes sous la forme d'un organigramme interactif.
Pour plus de détails, reportez-vous au
Chapitre 3, « Utilisation de l'Organigramme », page 41 .
Disponible pour les administrateurs. Affiche les applications auxquelles un utilisateur est associé.
Pour plus de détails, reportez-vous au
Chapitre 4, « Utilisation du rapport d'associations », page 55
.
Mon profil Affiche les détails de votre compte utilisateur et permet de travailler avec ces informations.
Pour plus de détails, reportez-vous au
Chapitre 5, « Utilisation de Mon profil », page 59
.
Recherche dans l'annuaire Permet de rechercher des utilisateurs ou des groupes en entrant des critères de recherche déjà enregistrés.
Pour plus de détails, reportez-vous au
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 73
.
38
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Catégorie Action Description
Gestion des mots de passe Stimulation-réponse de mot de passe
Permet de définir ou de modifier vos réponses valides en stimulations-réponses définies par l'administrateur, et de définir ou de modifier des stimulations-réponses et des réponses définies par l'utilisateur.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 93
.
Définition de l'indice de mot de passe
Permet de définir ou de modifier l'indice de mot de passe.
Modifier le mot de passe
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 93
.
Permet de modifier (réinitialiser) votre mot de passe, conformément aux règles
établies par votre administrateur système.
Gestion des répertoires
État de la stratégie de mot de passe
Statut de synchronisation des mots de passe
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 93
.
Affiche des informations concernant l'efficacité de votre gestion des mots de passe.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 93
.
Affiche le statut de synchronisation des mots de passe de vos applications associées qui se synchronisent avec le coffre-fort d'identité.
Pour plus de détails, reportez-vous au
Chapitre 7, « Gestion des mots de passe », page 93
.
Créer utilisateur ou groupe Utilisable par les administrateurs et les utilisateurs autorisés. Permet de créer un nouvel utilisateur ou un nouveau groupe.
Pour plus de détails, reportez-vous au
Chapitre 8, « Création d'utilisateurs ou de groupes », page 99 .
Présentation de l'onglet Self-service d'identité
39
40
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'Organigramme
Cette section indique comment utiliser la page Organigramme de l'onglet Self-service d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 3.1, « À propos de l'organigramme », page 41
Section 3.2, « Navigation dans l'organigramme », page 44
Section 3.3, « Affichage d'informations détaillées », page 50
Section 3.4, « Envoi d'un courrier électronique à partir d'un organigramme de relations », page 51
Remarque : cette section décrit les fonctions par défaut de la page Organigramme. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
3.1 À propos de l'organigramme
La page Organigramme affiche des relations. Elle peut afficher les relations entre gestionnaires, employés, et groupes d'utilisateurs de votre entreprise, et elle peut afficher d'autres types de relations définies par votre administrateur. L'affichage s'effectue sous la forme d'un organigramme. Dans cet organigramme, chaque personne, chaque groupe ou chaque autre entité est représentée dans un format ressemblant à une carte de visite. La carte de visite servant de point de départ ou de point d'orientation de l'organigramme est la carte racine.
L'organigramme est interactif. Vous pouvez :
Sélectionner et afficher un type de relation.
Définir votre type par défaut favori de relation, par exemple gestionnaire-employé, groupe d'utilisateurs, ou un autre fourni par votre administrateur.
Définir le placement par défaut d'un organigramme de relations à gauche ou à droite de la carte racine.
Ajouter jusqu'à deux niveaux au-dessus de la carte racine dans l'affichage de l'organigramme.
Désigner un autre utilisateur racine de l'organigramme.
Fermer (réduire) ou ouvrir (développer) un organigramme sous une carte.
Rechercher un utilisateur à afficher dans l'organigramme.
Afficher les informations (page Profil) d'un utilisateur sélectionné.
Envoyer les informations de l'utilisateur (sous forme de lien) à un autre utilisateur par courrier
électronique.
Envoyer un nouveau courrier électronique à un utilisateur sélectionné ou à l'équipe d'un gestionnaire.
3
Utilisation de l'Organigramme
41
L'exemple suivant présente l'utilisation de l'Organigramme. La première fois que vous affichez la page Organigramme, elle affiche vos propres relations gestionnaire-employé. Par exemple, Margo
MacKenzie (Directrice du marketing) se logue et voit l'affichage par défaut suivant de la page
Organigramme :
Figure 3-1
Vue par défaut lors du login
Sur sa carte de visite, Margo MacKenzie clique sur le bouton Montez d'un niveau pour agrandir l'organigramme et afficher son gestionnaire :
Figure 3-2
Margo MacKenzie clique sur le bouton « Montez d'un niveau » pour afficher son gestionnaire
Margo clique ensuite sur le bouton Montez d'un niveau dans la carte de son gestionnaire, pour afficher le gestionnaire de ce dernier :
42
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 3-3
Margo clique une seconde fois sur le bouton « Montez d'un niveau » pour afficher le gestionnaire de son gestionnaire
Margo clique ensuite sur Faites de cette entité la nouvelle racine dans sa propre carte. Cela fait de nouveau de sa carte la racine de l'affichage :
Figure 3-4
Margo clique sur « Faites de cette entité la nouvelle racine » dans sa carte
Utilisation de l'Organigramme
43
3.2 Navigation dans l'organigramme
Cette section décrit comment se déplacer dans un organigramme de relations en :
Section 3.2.1, « Navigant vers le niveau supérieur suivant », page 44
Section 3.2.2, « Réinitialisation de la racine de la relation », page 45
Section 3.2.3, « Modifier la relation par défaut », page 46
Section 3.2.4, « Agrandir ou réduire l'organigramme », page 46
Section 3.2.5, « Choix d'une relation à agrandir ou à réduire », page 47
Section 3.2.6, « Recherche d'un utilisateur dans un organigramme », page 49
3.2.1 Navigant vers le niveau supérieur suivant
Pour naviguer et agrandir le niveau supérieur suivant dans l'arborescence de relation :
1 Cliquez sur l'icône Montez d'un niveau dans la carte de niveau supérieur actuelle.
Supposons par exemple que Margo clique sur Montez d'un niveau dans cette vue :
Sa vue s'étend pour inclure le niveau qui est au-dessus d'elle :
44
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Montez d'un niveau n'est disponible que si un gestionnaire est assigné à l'utilisateur de la carte.
Si cette fonction ne vous est pas accessible, consultez votre administrateur.
Vous pouvez monter deux fois d'un niveau pour une carte.
3.2.2 Réinitialisation de la racine de la relation
Pour réinitialiser la racine de votre vue de l'organigramme :
1 Recherchez la carte de l'utilisateur que vous voulez désigner comme nouvelle racine.
2 Cliquez sur Faites de cette entité la nouvelle racine , ou cliquez sur le nom de l'utilisateur
(le nom est un lien) sur cette carte. La carte choisie devient la racine de l'organigramme.
Supposons par exemple que Margo Mackenzie clique sur Faites de cette entité la nouvelle racine dans sa propre carte de cette vue :
Sa carte devient la nouvelle racine et se trouve à présent au sommet de l'organigramme :
Utilisation de l'Organigramme
45
3.2.3 Modifier la relation par défaut
1 Cliquez sur Passer à un organigramme
pour modifier votre relation par défaut.
2 Sélectionnez le type de relation à afficher. Votre administrateur peut utiliser les relations
fournies par Novell (reportez-vous au Tableau 3-1 ) et définir des relations personnalisées.
Tableau 3-1
Types de relations d'organigramme fournies par Novell
Type d'organigramme
Gestionnaire - employé
Groupe d'utilisateurs
Description
Affiche la structure de rapport des gestionnaires et de leurs subordonnés.
Affiche les utilisateurs et les groupes auxquels ils participent.
Margo Mackenzie remplace l'affichage de sa relation par défaut par Groupes d'utilisateurs :
3.2.4 Agrandir ou réduire l'organigramme
L'organigramme de relations par défaut est Gestionnaire-Employé, sauf si vous ou votre administrateur définissez un autre type. Pour agrandir ou réduire l'organigramme par défaut :
1 Recherchez la carte pour laquelle vous voulez agrandir ou réduire l'affichage de la relation par défaut.
2 Cliquez sur le bouton bascule Agrandir/Réduire la relation actuelle .
L'organigramme s'agrandit ou se réduit et affiche ou masque les cartes secondaires reliées à la carte choisie. Par exemple, les deux illustrations suivantes montrent la vue Agrandir et la vue
Réduire.
46
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3.2.5 Choix d'une relation à agrandir ou à réduire
1 Identifiez une carte dont vous voulez afficher les relations.
2 Cliquez sur Choisissez la relation à agrandir/réduire dans cette carte. Une liste déroulante s'ouvre.
3 Sélectionnez une relation et une action dans la liste déroulante :
Action
Agrandir Gestionnaire-employé
Agrandir Groupes d'utilisateurs
Description
Sélectionnez cette option pour ouvrir un organigramme Gestionnaire-employé.
Disponible si l'organigramme est fermé.
Sélectionnez cette option pour ouvrir Groupes d'utilisateurs. Disponible si Groupes d'utilisateurs est fermé.
Utilisation de l'Organigramme
47
Action
Réduire Gestionnaire-employé
Réduire Groupes d'utilisateurs
Description
Sélectionnez cette option pour réduire l'organigramme Gestionnaire-employé d'une carte. Disponible si l'organigramme est ouvert.
Sélectionnez cette option pour réduire les groupes d'utilisateurs d'une carte Disponible si l'organigramme est ouvert.
Des relations supplémentaires sont disponibles dans la liste si votre administrateur les définit.
Dans l'exemple suivant, Margo MacKenzie clique sur Choisissez la relation à développer/réduire et sélectionne Développer les groupes d'utilisateurs :
Elle clique ensuite sur À gauche et voit ce qui suit :
48
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3.2.6 Recherche d'un utilisateur dans un organigramme
Vous pouvez rechercher un utilisateur dans un organigramme. Cette recherche permet de trouver rapidement un utilisateur qui ne se trouve pas dans votre vue actuelle ou dans l'organigramme de relations. L'utilisateur recherché devient la nouvelle racine dans votre vue.
1 Cliquez sur le lien Recherche dans l'angle supérieur gauche de l'organigramme.
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Utilisation de l'Organigramme
49
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et désigne cet utilisateur comme la nouvelle racine dans votre vue de l'organigramme.
3.3 Affichage d'informations détaillées
Vous pouvez afficher les informations détaillées (page Profil) d'un utilisateur sélectionné dans l'organigramme :
1 Recherchez la carte d'un utilisateur dont vous voulez afficher les informations détaillées.
2 Cliquez sur Opérations d'identité
sur cette carte :
Une liste déroulante s'affiche.
3 Cliquez sur Afficher les infos dans la liste déroulante. D'autres options apparaissent si votre administrateur les a définies.
La page Profil s'ouvre et affiche les informations détaillées de l'utilisateur que vous avez choisi :
50
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Cette page est similaire à votre propre page Mon profil dans l'onglet Self-service d'identité.
Toutefois, lorsque vous consultez les informations détaillées d'un autre utilisateur, il se peut que vous ne soyez pas autorisé à afficher certaines des données ou à effectuer certaines opérations sur cette page. Consultez l'administrateur système pour obtenir de l'aide.
Pour en savoir plus sur l'utilisation des fonctions de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 59
.
4 Lorsque vous en avez terminé avec la page Profil, vous pouvez fermer sa fenêtre.
3.4 Envoi d'un courrier électronique à partir d'un organigramme de relations
Cette section décrit :
Section 3.4.3, « Envoi d'un courrier électronique au gestionnaire d'une équipe », page 53
3.4.1 L'envoi par courrier électronique d'informations concernant un utilisateur qui figure dans un organigramme
1 Recherchez la carte de l'utilisateur dont vous voulez envoyer les informations à un autre utilisateur.
2 Cliquez sur l'icône représentant une enveloppe
Un menu contextuel s'ouvre.
sur la carte :
3 Sélectionnez Envoyer les infos par courrier électronique.
Utilisation de l'Organigramme
51
Un nouveau message est créé dans votre client de messagerie par défaut. Les parties suivantes du message sont déjà remplies automatiquement.
Cette partie du message
Objet
Corps
Contient
Le texte :
Identity Information for user-name
Salutation, message, lien, et nom de l'expéditeur.
Le lien (URL) est vers la page Profil affichant les informations détaillées concernant l'utilisateur choisi.
Ce lien invite le destinataire à se loguer à l'application utilisateur Identity Manager avant qu'elle n'affiche une quelconque information. Le destinataire doit disposer de l'autorité appropriée pour afficher ou modifier ces données.
Pour en savoir plus sur l'utilisation des fonctions
de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 59
.
Par exemple :
4 Spécifiez les destinataires du message (et tout contenu supplémentaire de votre choix).
5 Envoyez le message.
52
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3.4.2 Envoi d'un nouveau courrier électronique à un utilisateur figurant dans l'organigramme
1 Recherchez la carte d'un utilisateur auquel vous voulez envoyer un courrier électronique.
2 Cliquez sur l'icône représentant une enveloppe
sur la carte :
Un menu contextuel s'ouvre.
3 Sélectionnez Nouveau courrier électronique.
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la liste À, qui spécifie l'utilisateur que vous avez choisi comme destinataire.
4 Complétez le contenu du message.
5 Envoyez le message.
3.4.3 Envoi d'un courrier électronique au gestionnaire d'une
équipe
1 Recherchez la carte d'un utilisateur qui dirige une équipe à qui vous voulez envoyer un courrier
électronique.
2 Cliquez sur l'icône représentant une enveloppe
Un menu contextuel s'ouvre.
sur la carte :
3 Sélectionnez Envoyer à l'équipe par courrier électronique.
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la Liste à, qui spécifie chaque subordonné immédiat de l'utilisateur (gestionnaire) que vous avez choisi comme destinataire.
4 Complétez le contenu du message.
5 Envoyez le message.
Utilisation de l'Organigramme
53
54
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation du rapport d'associations
Cette section indique comment utiliser la page Rapport d'associations de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 4.1, « À propos du Rapport d'associations », page 55
Section 4.2, « Affichage des associations », page 56
Remarque : cette section décrit les fonctions par défaut de la page Rapport d'associations. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
4.1 À propos du Rapport d'associations
En tant qu'administrateur, vous pouvez utiliser la page Rapport d'associations pour afficher ou corriger certaines associations auxquelles les utilisateurs ont été provisionnés. La table d'application affiche :
Les noms d'applications ou de systèmes avec lesquels l'utilisateur a une association dans la table Associations DirXML du coffre-fort d'identité. (La table Associations est remplie lorsque le coffre-fort d'identité synchronise un compte utilisateur avec un système connecté par l'intermédiaire d'une stratégie ou d'un droit.)
L'instance de l'association.
L'état de l'association. Reportez-vous au Tableau 4-1 pour la description des états.
Tableau 4-1
Table de l'état d'association
État
Traité
Mode Désactivé
En attente
Manuel
Migrer
Indique
Un pilote reconnaît l'utilisateur de l'application cible du pilote. Les utilisateurs peuvent choisir de vérifier s'ils doivent émettre une requête de provisioning d'une application ou d'un système n'apparaissant pas dans leurs listes d'associations. Autre choix : si une application figure dans leurs listes sans qu'ils puissent y accéder, les utilisateurs peuvent choisir de vérifier auprès de l'administrateur des applications pour identifier le problème.
L'application n'est probablement pas disponible pour l'utilisateur.
L'association attend quelque chose.
Un traitement manuel est requis pour mettre en oeuvre l'association.
La migration est requise.
4
Utilisation du rapport d'associations
55
État Indique
N'IMPORTE QUEL Différentes sortes d'états.
Toutes les ressources provisionnées ne sont pas représentées dans le coffre-fort d'identité.
La
Figure 4-1 page 56 présente un exemple de la page Rapport d'associations.
Figure 4-1
La page Rapport d'associations
4.2 Affichage des associations
Lorsque vous cliquez sur Rapport d'associations, les premières associations affichées sont les vôtres. Pour afficher les associations d'un autre utilisateur :
1 Dans l'onglet Self-service d'identité, sous Gestion des informations, cliquez sur Rapport
d'associations.
2 Au-dessus de la table d'associations, cliquez sur Recherche.
3 Dans la fenêtre Recherche de l'objet, sélectionnez Prénom ou Nom dans le menu déroulant et spécifiez une chaîne de recherche. La fenêtre Recherche de l'objet affiche à la fois Prénom et
Nom.
56
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Sélectionnez un nom. La table d'associations affiche les associations correspondant à ce nom.
Utilisation du rapport d'associations
57
58
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de Mon profil
Cette section indique comment utiliser la page Mon profil de l'onglet Self-service d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 5.1, « À propos de Mon profil », page 59
Section 5.2, « Modification de vos informations », page 60
Section 5.3, « Envoi de vos informations par courrier électronique », page 65
Section 5.4, « Affichage de votre organigramme », page 66
Section 5.5, « Lien vers d'autres utilisateurs ou d'autres groupes », page 67
Remarque : cette section décrit les fonctions par défaut de la page Mon profil. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
5.1 À propos de Mon profil
La page Mon profil permet d'afficher les détails de votre compte utilisateur et d'utiliser ces informations le cas échéant. Par exemple, voici ce que voit Kevin Chester (assistant marketing ) lorsqu'il accède à la page Mon profil :
Figure 5-1
Page Détails de Mon profil
5
Si vous voulez modifier certains de ces détails, vous pouvez modifier vos informations (bien qu'il revienne à l'administrateur système de déterminer exactement ce que vous êtes autorisé à modifier).
Supposons par exemple que Kevin Chester clique sur Modifier vos informations. Il voit une page dans laquelle il peut modifier les informations de son profil, lorsque son administrateur lui a accordé les droits correspondants :
Utilisation de Mon profil
59
Figure 5-2
Page Modifier le profil
De retour sur la page principale, Mon profil fournit des liens permettant d'effectuer d'autres opérations utiles sur vos informations. Vous pouvez :
Envoyer vos informations (sous forme de lien) à un autre utilisateur par courrier électronique
Passer à l'affichage de votre organigramme au lieu de celui de vos détails
Sélectionner un autre utilisateur ou un autre groupe de l'organigramme dont vous voulez afficher les détails (si vous y êtes autorisé)
Cliquer sur une adresse électronique pour envoyer un message à ce compte
Indiquer des paramètres régionaux (une langue) pour l'instance de l'application utilisateur que vous utilisez
5.2 Modification de vos informations
Mon profil offre une page d'édition que vous pouvez ouvrir lorsque vous voulez effectuer des modifications.
Il se peut que certaines valeurs ne soient pas modifiables. Les valeurs non modifiables apparaissent sur la page d'édition sous forme de texte en lecture seule ou sous forme de liens. Si vous n'êtes pas certain de ce que vous êtes autorisé à modifier, consultez votre administrateur système.
Pour modifier vos informations :
1 Cliquez sur le lien Modifier vos informations situé en haut de la page Mon profil.
2 Lorsque la page d'édition s'affiche, procédez à vos modifications. Utilisez les boutons de modification du
.
3 Lorsque vous avez terminé vos modifications, cliquez sur Enregistrer les modifications, puis sur Retour.
60
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
5.2.1 Masquer des informations
Lorsque vous masquez une partie des informations, elle est masquée de quiconque utilise l'application utilisateur Identity Manager, vous et l'administrateur système exceptés.
1 Cliquez sur le lien Modifier vos informations situé en haut de la page Mon profil.
2 Sur la page de modification, recherchez un élément que vous voulez masquer.
3 Cliquez sur Cacher à côté de cet élément.
Cacher peut être désactivé pour certains éléments. L'administrateur système peut activer cette fonction pour certains éléments.
5.2.2 Utilisation des boutons de modification
Le
répertorie les boutons de modification que vous pouvez utiliser pour modifier les informations de votre profil.
Tableau 5-1
Boutons de modification
Bouton Fonction
Recherche une valeur à utiliser dans une entrée
Affiche la liste Historique des valeurs utilisées dans une entrée
Ajoute une autre entrée
Supprime une entrée existante et sa valeur
Permet de modifier (spécifier et afficher) une image
Remarque : ajoutez et supprimez des groupes au cours d'opérations d'édition différentes. Si vous supprimez, puis ajoutez des groupes au cours de la même opération d'édition, le nom du groupe supprimé réapparaît lorsque vous cliquez sur le bouton + (ajouter).
Les sections qui suivent décrivent davantage l'utilisation de certains de ces boutons de modification :
« Recherche d'un utilisateur » page 61
« Recherche d'un groupe » page 63
« Utilisation de la liste Historique » page 64
« Modification d'une image » page 65
Recherche d'un utilisateur
1 Cliquez sur Recherche situé à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
Utilisation de Mon profil
61
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
Une recherche de gestionnaire ne recherche que les utilisateurs qui sont des gestionnaires.
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée de la page de modification.
62
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Recherche d'un groupe
1 Cliquez sur Recherche situé à droite d'une entrée (pour laquelle vous voulez rechercher un groupe).
La page Recherche s'affiche :
2 Spécifiez les critères concernant le groupe que vous recherchez :
2a Dans la liste déroulante, votre seul choix est une recherche par Description.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité la description à rechercher.
La recherche trouve chacune des descriptions commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent la description
Marketing :
Marketing marketing m m*
*g
*k*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Utilisation de Mon profil
63
Si vous voyez une liste de groupes dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez le groupe de votre choix dans la liste.
La page Recherche se ferme et insère le groupe dans l'entrée appropriée de la page de modification.
Utilisation de la liste Historique
1 Cliquez sur l'icône Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes).
La liste Historique s'affiche. La valeurs apparaissent par ordre alphabétique.
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionner dans la liste
Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée de la page de modification.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée sur la page de modification.
64
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Modification d'une image
La modification de vos informations peut impliquer l'ajout, le remplacement ou l'affichage d'une image :
1 Sur la page de modification, cliquez sur Afficher pour afficher une image.
2 Cliquez sur l'icône du signe plus pour ajouter une image.
S'il existe déjà une image, vous pouvez cliquer sur l'icône du crayon pour la remplacer ou la supprimer.
3 Cliquez sur ce bouton pour afficher la page Téléchargement du fichier :
Si cet élément a déjà une image, celle-ci s'affiche.
4 Pour ajouter une image ou replacer l'image en cours :
4a Cliquez sur Parcourir et sélectionnez un fichier d'image approprié (GIF ou JPG).
4b Cliquez sur Enregistrer les modifications pour charger le fichier d'image sélectionné dans le serveur.
5 Cliquez sur Fermer la fenêtre pour revenir à la page de modification.
5.3 Envoi de vos informations par courrier
électronique
La page Mon profil permet d'envoyer des informations par courrier électronique, sous forme de liens :
1 Cliquez sur le lien Activer l'envoi d'informations de l'identité situé en haut de la page Mon profil.
Un nouveau message est créé dans votre client de messagerie par défaut. Les parties suivantes du message sont déjà remplies automatiquement.
Cette partie du message
Objet
Contient
Le texte :
Identity Information for your-user-id
Utilisation de Mon profil
65
Cette partie du message
Corps
Contient
Une salutation, un message, un lien et votre nom.
Le lien (URL) est vers la page Profil affichant les informations détaillées vous concernant.
Ce lien invite le destinataire à se loguer à l'application utilisateur
Identity Manager avant qu'elle n'affiche une quelconque information.
Le destinataire doit disposer de l'autorité appropriée pour afficher ou modifier ces données.
Par exemple :
2 Spécifiez les destinataires du message (et tout contenu supplémentaire de votre choix).
3 Envoyez le message.
5.4 Affichage de votre organigramme
Pour basculer de Mon profil vers Organigramme, cliquez sur le lien Afficher l'organigramme situé au milieu de la page Mon profil.
Votre organigramme s'affiche. Par exemple :
66
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pour en savoir plus sur l'utilisation des fonctions de cette page, reportez-vous au Chapitre 3,
« Utilisation de l'Organigramme », page 41
.
5.5 Lien vers d'autres utilisateurs ou d'autres groupes
La page Détail de votre profil peut inclure des liens vers d'autres utilisateurs ou d'autres groupes.
Vous pouvez afficher les détails (page Profil) de n'importe quel autre utilisateur ou groupe apparaissant sous forme de lien dans vos détails.
Pour afficher des informations détaillées concernant un autre utilisateur ou un autre groupe :
1 Tout en consultant ou en modifiant des informations sur la page Mon profil, recherchez les liens qui se réfèrent aux noms des utilisateurs ou des groupes. Déplacez le curseur de votre souris sur un texte pour faire apparaître l'indication d'un lien.
2 Cliquez sur un lien pour afficher les détails de cet utilisateur ou de ce groupe (dans une fenêtre distincte).
3 Lorsque vous en avez terminé avec cette fenêtre de détails, vous pouvez la refermer.
Voici un scénario montrant comment quelqu'un peut se relier aux détails d'un autre utilisateur ou d'un autre groupe. Timothy Swan (vice-président du marketing) se logue dans l'application utilisateur Identity Manager et accède à la page Mon profil :
Utilisation de Mon profil
67
Figure 5-3
La page Mon profil affiche les détails du profil et les opérations du profil
Il clique sur Modifier vos informations.
Figure 5-4
Page Modifier les détails
68
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Il remarque les noms d'utilisateurs (Terry Mellon) et de groupe (Executive Management, Marketing,
Improve Customer Service task force) qui apparaissent sous forme de liens. Il clique sur Marketing et voit une nouvelle fenêtre :
Figure 5-5
Page Détails du groupe
Il s'agit des informations détaillées concernant le groupe Marketing. S'il y est autorisé, il peut cliquer sur Modifier le groupe et utiliser la page Modifier le groupe pour ajouter ou supprimer des membres du groupe, modifier la description du groupe, voire supprimer le groupe.
Les noms des membres du groupe Marketing sont également des liens. Il clique sur Allison Blake et voit :
Figure 5-6
Les liens de la page de détails du groupe vers les profils des membres du groupe
Il s'agit des informations détaillées concernant l'utilisateur Allison Blake (l'un de ses employés).
Il peut cliquer sur Modifier : Utilisateur et si l'administrateur système lui en accordé l'autorisation, modifier les informations détaillées de cet utilisateur (excepté les attributs Service et Région) ou supprimer cet utilisateur.
L'adresse électronique d'Allison est un lien. Lorsqu'il clique dessus, son client de messagerie créer un nouveau message qui lui est destiné.
Utilisation de Mon profil
69
Figure 5-7
Message électronique à l'utilisateur à partir de la page Profil de l'utilisateur
Il peut à présent saisir le contenu du message et l'envoyer.
5.6 Choix de la langue
Vous pouvez sélectionner les paramètres régionaux (la langue) que vous préférez utiliser dans l'application utilisateur Identity Manager. Vous pouvez sélectionner les paramètres régionaux que vous préférez à tout moment dans Mon profil.
1 Cliquez sur Self-service d'identité > Gestion des informations > Mon profil > Modifier les
paramètres régionaux préférés. La page Modifier les paramètres régionaux préférés s'ouvre.
2 Ouvrant la liste déroulante Paramètres régionaux disponibles, faites une sélection et cliquez sur Ajouter pour ajouter une locale.
3 Pour modifier l'ordre de préférence, sélectionnez des paramètres régionaux dans la liste
Paramètres régionaux par ordre de préférence, puis choisissez Vers le haut, Vers le bas ou
Supprimer.
4 Cliquez sur Enregistrer les modifications.
70
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les pages de l'application utilisateur Identity Manager s'affichent dans une ou plusieurs langues
(paramètres régionaux) préférées conformément aux règles suivantes :
1. L'application utilisateur utilise les paramètres régionaux définis dans l'application utilisateur, conformément à l'ordre de la liste des paramètres régionaux préférés.
2. Si aucun paramètre régional préféré n'est défini pour l'application utilisateur, cette dernière utilise les langues de navigateur préférées dans l'ordre de la liste.
3. Si aucun paramètre régional préféré n'est défini pour l'application utilisateur ou le navigateur, le paramètre par défaut de l'application utilisateur est utilisé.
5.6.1 Définition du paramètre régional préféré dans le navigateur
Dans Firefox*, ajoutez les langues dans Outils > Général > Langues > Langues. Placez votre langue préférée en haut de la liste. Dans Internet Explorer, définissez la langue dans Affichage >
Codage.
Utilisation de Mon profil
71
72
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de la recherche dans l'annuaire
Cette section indique comment utiliser la page Recherche dans l'annuaire de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 6.1, « À propos de la recherche dans l'annuaire », page 73
Section 6.2, « Effectuer des recherches de base », page 76
Section 6.3, « Effectuer des recherches avancées », page 76
Section 6.4, « Utilisation des résultats de recherche », page 85
Section 6.5, « Utilisation des recherches enregistrées », page 91
Remarque : cette section décrit les fonctions par défaut de la page Recherche dans l'annuaire. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
6.1 À propos de la recherche dans l'annuaire
La page Recherche dans l'annuaire permet de rechercher des utilisateurs, des groupes ou des équipes
à l'aide de critères de recherche nouveaux ou déjà enregistrés.
Supposons par exemple que Timothy Swan (directeur du marketing) doive rechercher des informations concernant une personne de l'entreprise. Il ouvre la page Recherche dans l'annuaire et voit ce qui suit par défaut :
Figure 6-1
Page Recherche dans l'annuaire
6
N'ayant pas encore de recherche enregistrée qu'il puisse sélectionner, il choisit Nouvelle recherche.
Il existe un utilisateur qu'il souhaite contacter, dont le prénom commence par la lettre C, mais il ne se souvient pas du prénom complet. Il lui suffit de spécifier une recherche de base avec le critère :
Utilisation de la recherche dans l'annuaire
73
Figure 6-2
Spécifier un critère de recherche sur la page Liste de recherches
Les résultats de la recherche s'affichent, permettant à Timothy d'examiner et de travailler avec les informations qu'il a demandées. Par défaut, les informations de l'onglet Identité s'affichent :
Figure 6-3
Résultats de la recherche
Timothy clique sur l'onglet Organisation dans les résultats de la recherche pour accéder à une autre vue des informations. Il se rappelle que la personne qu'il recherche travaille pour Kip Keller, et il restreint la recherche à Cal Central :
74
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 6-4
Utilisez les onglets pour modifier la vue des résultats de recherche
Outre les onglets des différentes vues, la page des résultats de recherche contient des liens et des boutons pour effectuer des opérations sur ses informations. Vous pouvez :
Cliquer sur l'en-tête des colonnes pour trier les lignes d'informations
Cliquer sur sa ligne pour afficher les détails (page Profil) d'un utilisateur ou d'un groupe
Cliquer sur l'icône représentant une enveloppe sur la ligne associée à cet utilisateur pour envoyer un nouveau courrier électronique à un utilisateur
Enregistrer la recherche afin de pouvoir la réutiliser ultérieurement
Exporter les résultats dans un fichier texte
Modifier la recherche via ses critères
Lors de la génération des résultats de recherche, il se peut que vous ayez ne deviez pas vous limiter
à une recherche de base pour décrire les informations souhaitées. Une recherche avancée permet de spécifier des critères complexes.
Si vous souhaitez pouvoir réutiliser une recherche avancée, vous pouvez l'enregistrer. Les recherches enregistrées sont également pratiques pour les recherches de base que vous exécutez fréquemment. Par exemple, Timothy Swan a ajouté des recherches enregistrées qu'il utilise souvent :
Figure 6-5
Recherches enregistrées, sur la page Liste de recherches
Utilisation de la recherche dans l'annuaire
75
6.2 Effectuer des recherches de base
1 Ouvrez la page Recherche dans l'annuaire et cliquez sur Nouvelle recherche. La page
Recherche de base s'affiche par défaut.
2 Dans la liste déroulante Rechercher, indiquez le type d'information à rechercher en sélectionnant Groupe ou Utilisateur.
3 Dans la liste déroulante Catégorie de l'élément, sélectionnez un attribut de recherche. Par exemple :
Last Name
La liste des attributs disponibles est déterminée par ce que vous recherchez (utilisateurs ou groupes).
4 Dans la liste déroulante Expression, sélectionnez une opération de comparaison à effectuer par rapport à l'attribut que vous avez choisi. Par exemple : equals
5 Dans la zone de saisie Terme de recherche, indiquez une valeur à comparer par rapport à l'attribut que vous avez choisi. Par exemple :
Smith
.
6 Cliquez sur Rechercher.
Les résultats de votre recherche s'affichent.
6.3 Effectuer des recherches avancées
Si vous avez besoin de spécifier plusieurs critères lorsque vous recherchez des utilisateurs ou des groupes, vous pouvez utiliser une recherche avancée. Par exemple :
Last Name equals Smith AND Title contains Rep
76
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous spécifiez plusieurs groupes de critères (pour contrôler l'ordre d'évaluation des critères), vous utilisez les mêmes opérations logiques pour les relier. Par exemple, pour effectuer une recherche avancée avec les critères suivants (deux groupes de critères reliés par un ou) :
(Last Name equals Smith AND Title contains Rep) OR (First Name starts with k AND
Department equals Sales)
Spécifiez les informations fournies à la Figure 6-6 page 77
:
Figure 6-6
Spécification d'une recherche avancée dans la page Liste de recherches
Le résultat de cette recherche s'affiche à la Figure 6-7 page 77
.
Figure 6-7
Résultat de la recherche avancée
Pour exécuter une recherche avancée :
1 Ouvrez la page Recherche dans l'annuaire et cliquez sur Nouvelle recherche. La page
Recherche de base s'affiche par défaut.
2 Cliquez sur Recherche avancée. La page Recherche avancée s'affiche :
Utilisation de la recherche dans l'annuaire
77
3 Dans la liste déroulante Rechercher, indiquez le type d'information à rechercher en sélectionnant l'une des options suivantes :
Groupe
Utilisateur
À présent, vous pouvez remplir la section Avec ce critère.
4 Spécifiez un critère d'un groupe de critères :
4a Utilisez la liste déroulante Catégorie de l'élément, pour sélectionner un attribut de recherche. Par exemple :
Last Name
La liste des attributs disponibles est déterminée par ce que vous recherchez (utilisateurs ou groupes).
4b Utilisez la liste déroulante Expression, pour sélectionner une opération de comparaison à effectuer par rapport à l'attribut que vous avez choisi. Par exemple : equals
Pour plus d'informations, reportez-vous à Section 6.3.1, « Sélection d'une expression », page 79
.
4c Utilisez la zone de saisie terme de recherche, pour indiquer une valeur à comparer par rapport à l'attribut que vous avez choisi. Par exemple :
Smith
Pour plus d'informations, reportez-vous à la
Section 6.3.2, « Spécification d'une valeur de comparaison », page 80 .
5 Si vous souhaitez spécifier un autre critère d'un groupe de critères, procédez comme suit.
5a Cliquez sur Ajouter des critères à droite du groupe de critères :
78
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
5b Sur la gauche du nouveau critère, utilisez la liste déroulante Opérateur logique des
critères pour relier ce critère au précédent ; sélectionnez et ou ou. Vous ne pouvez utiliser qu'un seul des deux types d'opérateur logique dans groupe de critères.
5c Répétez cette procédure, en commençant par l'
.
Pour supprimer un critère, cliquez sur Supprimer les critères à sa droite :
6 Si vous voulez spécifier un autre groupe de critères, procédez comme suit.
6a Cliquez sur Ajouter des groupes de critères :
6b Au-dessus du nouveau groupe de critères, utilisez la liste déroulante Opérateur logique
des groupes de critères pour relier ce groupe au précédent ; sélectionnez et ou ou.
6c Répétez cette procédure, en commençant par l'
.
Pour supprimer un groupe de critères, cliquez sur Supprimer le groupe de critères qui se trouve directement au-dessus :
7 Cliquez sur Rechercher.
Les résultats de votre recherche s'affichent.
Pour savoir quoi faire ensuite, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 85 .
6.3.1 Sélection d'une expression
Cliquez sur Expression pour sélectionner un critère de comparaison pour votre recherche. La liste des opérations de comparaison (relationnelle) que vous pouvez utiliser dans un critère est déterminée par le type d'attribut spécifié dans ce critère.
Tableau 6-1
Opérations de comparaison pour la recherche
Si l'attribut est un(e)
Chaîne (texte)
Vous pouvez sélectionner l'une de ces opérations de comparaison
commence par
contient
est égal à
se termine par
est présent(e)
ne commence pas par
ne contient pas
non égal à
ne se termine pas par
n'est pas présent
Utilisation de la recherche dans l'annuaire
79
Si l'attribut est un(e)
Chaîne (texte) avec une liste prédéterminée de choix
Utilisateur ou groupe (ou autre objet identifié par son DN)
Booléen (vrai ou faux)
Utilisateur (catégorie d'élément : Gestionnaire,
Groupe, ou Rapports directs)
Vous pouvez sélectionner l'une de ces opérations de comparaison
est égal à
est présent
non égal à
n'est pas présent
Groupe (catégorie d'élément : Membres)
Heure (au format date-heure ou date seulement)
Nombre (entier)
est égal à
est présent
non égal à
n'est pas présent
est égal à
est présent
non égal à
n'est pas présent
est égal à
supérieur à
supérieur ou égal à
inférieur à
inférieur ou égal à
est présent
non égal à
pas supérieur à
pas supérieur ou égal à
supérieur à
pas inférieur ou égal à
n'est pas présent
6.3.2 Spécification d'une valeur de comparaison
Le type d'attribut spécifié dans un critère détermine également comment spécifier la valeur d'une comparaison dans ce critère :
Tableau 6-2
Méthode de saisie d'une valeur d'une comparaison
Si l'attribut est un(e)
Chaîne (texte)
Chaîne (texte) avec une liste prédéterminée de choix
Vous agissez ainsi pour spécifier la valeur
Saisissez votre texte dans la zone de texte qui s'affiche à droite.
Sélectionnez un choix dans la liste déroulante qui s'affiche à droite.
80
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si l'attribut est un(e)
Utilisateur ou groupe (ou autre objet identifié par son DN)
Heure (au format date-heure ou date seulement)
Nombre (entier)
Booléen (vrai ou faux)
Vous agissez ainsi pour spécifier la valeur
Utilisez les boutons Recherche, Historique, et
Réinitialiser qui s'affichent à droite.
Utilisez les boutons Agenda et réinitialiser qui s'affichent à droite.
Saisissez votre nombre dans la zone de texte qui s'affiche à droite.
Saisissez vrai ou faux dans la zone de texte qui s'affiche à droite.
Ne spécifiez pas de valeur lorsque l'opération de comparaison est l'une des suivantes :
est présent n'est pas présent
Casse du texte
La recherche de texte ne respecte pas la casse. Vous obtenez les mêmes résultats quelle que soit la casse utilisée dans la valeur. Par exemple, tout ce qui suit est équivalent :
McDonald mcdonald
MCDONALD
Caractères génériques dans le texte
Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques. Par exemple :
Mc*
*Donald
*Don*
McD*d
Utilisation des boutons Recherche, Historique et Réinitialiser
Certains critères de recherche affichent les boutons Recherche, Historique et Réinitialiser. Cette section décrit comment utiliser ces boutons :
Tableau 6-3
Boutons Recherche, Historique et Réinitialiser dans les critères de recherche
Bouton Fonction
Recherche une valeur à utiliser dans une comparaison
Affiche une liste de valeurs Historique utilisée dans une comparaison
Utilisation de la recherche dans l'annuaire
81
Bouton Fonction
Réinitialise la valeur d'une comparaison
Pour rechercher un utilisateur :
1 Cliquez sur Recherche à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
82
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée comme la valeur à utiliser pour votre comparaison.
Pour rechercher un groupe comme critère de recherche d'un utilisateur, procédez comme suit.
1 Ajoutez Groupe comme critère de recherche, puis cliquez sur Recherche à droite du champ
Terme de recherche :
La page Recherche affiche les résultats de recherche :
Utilisation de la recherche dans l'annuaire
83
2 Spécifiez les critères concernant le groupe que vous recherchez :
2a Dans la liste déroulante, votre seul choix est une recherche par Description.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité la description à rechercher.
La recherche trouve chacune des descriptions commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent la description
Marketing :
Marketing marketing m m*
*g
*k*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
84
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous voyez une liste de groupes dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez le groupe de votre choix dans la liste.
La page Recherche se ferme et insère la description de ce groupe dans l'entrée appropriée comme la valeur à utiliser pour votre comparaison.
Pour utiliser la liste Historique :
1 Cliquez sur Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes).
La liste Historique affiche les valeurs précédentes de ce critère par ordre alphabétique :
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionnez dans la liste
Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée comme valeur à utiliser dans votre comparaison.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée dans votre comparaison.
6.4 Utilisation des résultats de recherche
Cette section vous indique comment utiliser les résultats qui s'affichent lorsqu'une recherche a abouti :
Section 6.4.1, « À propos des résultats de recherche », page 86
Section 6.4.2, « Utilisation de la liste Recherche », page 87
Section 6.4.3, « Autres actions que vous pouvez effectuer », page 88
Utilisation de la recherche dans l'annuaire
85
6.4.1 À propos des résultats de recherche
Le contenu des résultats de recherche dépend du type de recherche que vous effectuez :
« Pour une recherche d'utilisateur » page 86
« Pour une recherche de groupe » page 86
Sur une page de résultats de recherche, vous pouvez sélectionner
Afficher mes recherches enregistrées
Enregistrer la recherche
Réviser la recherche
Exporter les résultats
Démarrer une nouvelle recherche
Pour une recherche d'utilisateur
Dans les résultats d'une recherche d'utilisateur, la liste des utilisateurs comporte des onglets pour trois vues d'informations :
Identité (coordonnées)
Emplacement (informations géographiques)
Organisation (informations concernant l'organisation)
Figure 6-8
Résultats de recherche d'utilisateur
Pour une recherche de groupe
Les résultats de recherche de groupe de comportent que la vue d'informations Organisation :
86
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 6-9
Résultats de recherche de groupe
6.4.2 Utilisation de la liste Recherche
Vous pouvez utiliser la liste de lignes qui s'affiche de la façon suivante pour représenter vos résultats :
« Pour basculer vers une autre vue » page 87
« Pour trier les lignes d'informations » page 87
« Pour afficher les détails d'un utilisateur ou d'un groupe » page 87
« Pour envoyer un courrier électronique à un utilisateur de la liste de recherches » page 88
Pour basculer vers une autre vue
1 Cliquez sur l'onglet de la vue que vous voulez afficher.
Pour trier les lignes d'informations
1 Cliquez sur l'en-tête de la colonne à trier.
Le tri initial s'effectue par ordre croissant.
2 Pour choisir l'ordre croissant ou décroissant, cliquez de nouveau sur l'en-tête de la colonne
(aussi souvent que vous le souhaitez).
Pour afficher les détails d'un utilisateur ou d'un groupe
1 Cliquez sur la ligne de l'utilisateur ou du groupe dont vous voulez afficher les informations.
Attention, ne cliquez pas directement sur l'icône représentant une enveloppe, sauf si vous voulez envoyer un message.
La page Profil s'ouvre et affiche les informations détaillées de l'utilisateur ou du groupe que vous avez choisi :
Utilisation de la recherche dans l'annuaire
87
Cette page est similaire à votre propre page Mon profil dans l'onglet Self-service d'identité. La seule différence est que, lorsque vous consultez les informations d'un autre utilisateur ou d'un autre groupe (au lieu de vous-même), il se peut que vous ne soyez pas autorisé à afficher certaines des données ou à effectuer certaines opérations sur la page. Consultez l'administrateur système pour obtenir de l'aide.
Pour en savoir plus sur l'utilisation des fonctions de la page Profil, reportez-vous au Chapitre 5,
« Utilisation de Mon profil », page 59
.
2 Lorsque vous en avez terminé avec la page Profil, vous pouvez fermer sa fenêtre.
Pour envoyer un courrier électronique à un utilisateur de la liste de recherches
1 Recherchez la ligne d'un utilisateur auquel vous voulez envoyer un courrier électronique.
2 Cliquez sur Envoyer un courrier électronique sur la ligne de cet utilisateur :
Un nouveau message est créé dans votre client de messagerie par défaut. Le message est vide excepté pour la liste À, qui spécifie l'utilisateur que vous avez choisi comme destinataire.
3 Complétez le contenu du message.
4 Envoyez le message.
6.4.3 Autres actions que vous pouvez effectuer
Lorsque vous affichez des résultats de recherche, vous pouvez également :
« Enregistrer une recherche » page 89
« Exporter les résultats de recherche » page 89
« Réviser les critères de recherche » page 90
88
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Enregistrer une recherche
Pour enregistrer l'ensemble actuel de critères de recherche en vue d'une réutilisation future :
1 Cliquez sur Enregistrer la recherche (au bas de la page).
2 Lorsque vous y êtes invité, indiquez le nom de cette recherche.
Si vous affichez les résultats d'une recherche enregistrée existante, le nom de cette recherche s'affiche par défaut. Cela permet de mettre à jour une recherche enregistrée avec les éventuelles modifications que vous avez apportées aux critères.
Dans le cas contraire, si vous saisissez un nom de recherche qui soit en conflit avec celui d'une recherche enregistrée existante, un numéro de version est ajouté automatiquement à la fin lorsque votre nouvelle recherche est enregistrée.
3 Cliquez sur OK pour enregistrer la recherche.
La page Liste de recherches affiche la liste Mes recherches enregistrées.
Pour en savoir plus sur l'utilisation des recherches enregistrées, reportez-vous à la
« Utilisation des recherches enregistrées », page 91
.
Exporter les résultats de recherche
Pour exporter les résultats de recherche dans un fichier texte :
1 Cliquez sur Exporter les résultats (au bas de la page).
La page Exporter s'affiche :
Par défaut, Afficher à l'écran est sélectionné et CSV est le format choisi dans la liste déroulante.
De ce fait, la page Exporter affiche les résultats de la recherche actuelle au format CSV
(Comma Separated Value).
2 Si vous voulez avoir un aperçu de ces résultats de recherche au format Séparé par des tabulations, sélectionnez Séparé par des tabulations dans la liste déroulante, puis cliquez sur
Continuer.
3 Lorsque vous êtes prêt à exporter vos résultats de recherche en cours dans un fichier texte, cochez la case Exporter vers le disque.
La page Exporter s'affiche :
Utilisation de la recherche dans l'annuaire
89
4 Utilisez la liste Format pour sélectionner le format d'exportation des résultats de recherche.
Format d'exportation
CSV
Séparé par des tabulations
XML (disponible en cas d'exportation sur disque)
Nom par défaut du fichier généré
SearchListResult. date. time.csv
Par exemple :
SearchListResult.27-Sep-05.11.21.47.csv
SearchListResult. date. time.txt
Par exemple :
SearchListResult.27-Sep-05.11.20.51.txt
SearchListResult. date. time.xml
Par exemple :
SearchListResult.27-Sep-05.11.22.51.xml
5 Cliquez sur Exporter.
6 Lorsque vous y êtes invité, indiquez où enregistrer le fichier des résultats de recherche exportés.
7 Lorsque vous avez terminé l'exportation, cliquez sur Fermer la fenêtre.
Réviser les critères de recherche
1 Cliquez sur Réviser la recherche (au bas de la page).
Cela vous ramène à la page de recherche précédente pour modifier vos critères de recherche.
2 Effectuez la révision des critères de recherche conformément aux instructions de ces sections :
Section 6.2, « Effectuer des recherches de base », page 76
Section 6.3, « Effectuer des recherches avancées », page 76
90
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
6.5 Utilisation des recherches enregistrées
Lorsque vous accédez à Recherche dans l'annuaire, la page Mes recherches enregistrées s'affiche par défaut. Cette section décrit ce que l'on peut faire avec des recherches enregistrées :
Section 6.5.1, « Pour afficher les recherches enregistrées », page 91
Section 6.5.2, « Pour exécuter une recherche enregistrée », page 91
Section 6.5.3, « Pour modifier une recherche enregistrée », page 91
Section 6.5.4, « Pour supprimer une recherche enregistrée », page 92
6.5.1 Pour afficher les recherches enregistrées
1 Cliquez sur le bouton Mes recherches enregistrées au pas d'une page Recherche dans
l'annuaire. La page Mes recherches enregistrées s'affiche. La Figure 6-10 page 91 illustre un
exemple de cette page.
Figure 6-10
La page Mes recherches enregistrées
6.5.2 Pour exécuter une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez effectuer.
2 Cliquez sur le nom de la recherche enregistrée (ou sur le début de cette ligne).
Les résultats de votre recherche s'affichent.
Pour savoir quoi faire ensuite, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 85 .
6.5.3 Pour modifier une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez réviser.
2 Cliquez sur Modifier sur la ligne de cette recherche enregistrée.
Cela permet d'accéder à la page de recherche pour modifier les critères de recherche.
3 Effectuez la révision des critères de recherche conformément aux instructions de ces sections :
Section 6.2, « Effectuer des recherches de base », page 76
Section 6.3, « Effectuer des recherches avancées », page 76
4 Pour enregistrer les modifications de la recherche, reportez-vous à la
Section 6.4, « Utilisation des résultats de recherche », page 85 .
Utilisation de la recherche dans l'annuaire
91
6.5.4 Pour supprimer une recherche enregistrée
1 Dans la liste Mes recherches enregistrées, recherchez une recherche enregistrée que vous voulez supprimer.
2 Cliquez sur Supprimer sur la ligne de cette recherche enregistrée.
3 Lorsque vous y êtes invité, cliquez sur OK pour confirmer la suppression.
92
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Gestion des mots de passe
Cette section indique comment utiliser la page Gestion des mots de passe de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 7.1, « À propos de la gestion des mots de passe », page 93
Section 7.2, « Stimulation-réponse de mot de passe », page 94
Section 7.3, « Modification de l'indice du mot de passe », page 95
Section 7.4, « Modifier le mot de passe », page 96
Section 7.5, « État de la stratégie de mot de passe », page 97
Section 7.6, « Statut de synchronisation des mots de passe », page 98
Remarque : cette section décrit les fonctions par défaut des pages de gestion des mots de passe. Il se peut que vous rencontriez certaines différences du fait du rôle de votre travail, de votre niveau d'autorité et des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système pour plus d'informations.
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
7.1 À propos de la gestion des mots de passe
Les pages de gestion des mots de passe permettent d'utiliser les fonctions énumérées au
.
Tableau 7-1
Fonctions de gestion des mots de passe
Cette page de gestion des mots de passe
Permet
Stimulation-réponse de mot de passe De définir ou modifier l'un des éléments suivants :
Vos réponses valides aux stimulations-réponses définies par l'administrateur
Stimulations questions et réponses définies par l'administrateur
Modification de l'indice du mot de passe
Modifier le mot de passe
De définir ou modifier l'indice de votre mot de passe
De modifier (réinitialiser) votre mot de passe, conformément aux règles établies par votre administrateur système.
État de la stratégie de mot de passe De vérifier les exigences de votre stratégie de mot de passe.
Vous pouvez modifier les exigences marquées
Valide
.
7
Gestion des mots de passe
93
Cette page de gestion des mots de passe
Statut de synchronisation des mots de passe
Permet
D'afficher le statut de synchronisation des mots de passe de l'application avec le coffre-fort d'identité.
Remarque : l'accès à des applications avant la fin de la synchronisation provoque des problème d'accès à l'application.
7.2 Stimulation-réponse de mot de passe
Les stimulations questions permettent de vérifier votre identité en cours du login lorsque vous avez oublié votre mot de passe. Si l'administrateur système a défini une stratégie de mot de passe qui active automatiquement cette fonction, vous pouvez utiliser la page Stimulation-réponse de mot de passe pour :
Indiquer les réponses valides lorsque vous répondez aux questions définies par l'administrateur
Indiquer vos propres questions et les réponses valides (si votre stratégie de mot de passe le permet)
Pour utiliser la page Stimulation-réponse de mot de passe :
1 Dans l'onglet Self-service d'identité, cliquez sur Stimulation-réponse de mot de passe > dans le
menu (sous Gestion des mots de passe).
La page Stimulation-réponse de mot de passe s'affiche. Par exemple :
Les zones de texte Réponse s'affichent vides (même si vous avez des réponses déjà définies).
2 Saisissez une réponse appropriée dans chaque zone de texte Réponse (elles sont toutes obligatoires) ou utilisez votre réponse déjà enregistrée.
Assurez-vous que vous indiquez des réponses dont vous vous souviendrez ultérieurement.
3 Indiquez ou modifiez les questions définies par l'utilisateur qui sont requises. Il est déconseillé d'utiliser la même question plus d'une fois.
4 Cliquez sur Soumettre.
Le statut de votre requête s'affiche. Par exemple :
94
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
7.3 Modification de l'indice du mot de passe
L'indice du mot de passe est utilisé au cours du login pour vous aider à vous rappeler de votre mot de passe si vous l'avez oublié. La page Modification de l'indice du mot de passe permet de définir ou de modifier votre indice de mot de passe.
1 Dans l'onglet Self-service d'identité, cliquez sur Modification de l'indice de mot de passe >
dans le menu (sous Gestion des mots de passe).
La page Définition de l'indice de mot de passe s'affiche :
2 Saisissez le nouveau texte de votre indice.
Votre mot de passe ne peut pas apparaître au sein du texte de l'indice.
3 Cliquez sur Soumettre.
Le statut de votre requête s'affiche. Par exemple :
Gestion des mots de passe
95
7.4 Modifier le mot de passe
Vous pouvez utiliser cette page chaque fois que vous avez besoin de modifier votre mot de passe (à la condition que l'administrateur système vous en ait accordé l'autorisation).
1 Dans l'onglet Self-service d'identité, cliquez sur Modifier le mot de passe > dans le menu (sous
Gestion des mots de passe).
La page Modifier le mot de passe s'affiche. Si l'administrateur système a défini une stratégie de mot de passe pour vous, la page Modifier le mot de passe affiche généralement des informations indiquant comment spécifier un mot de passe qui corresponde aux exigences de la stratégie. Par exemple :
Si aucune stratégie de mot de passe ne s'applique, vous voyez s'afficher la page Modifier le mot de passe standard :
2 Saisissez votre mot de passe actuel dans la zone de texte Ancien mot de passe.
3 Saisissez votre nouveau mot de passe dans la zone de texte Nouveau mot de passe.
96
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Saisissez de nouveau votre nouveau mot de passe dans la zone de texte Retapez le mot de
passe.
5 Cliquez sur Soumettre.
6 Vous serez invité à fournir un indice de mot de passe, si la stratégie de sécurité configurée par
.
7 Le statut de votre requête est affiché. Par exemple :
7.5 État de la stratégie de mot de passe
Une stratégie de mot de passe vous est assignée par votre administrateur. Cette stratégie détermine les mesures de sécurité associées à votre mot de passe. Vous pouvez vérifier les exigences de votre stratégie de mot de passe de la façon suivante :
1 Dans l'onglet Self-service d'identité, cliquez sur État de la stratégie de mot de passe dans le menu (sous Gestion des mots de passe). La page État de la stratégie de mot de passe s'affiche.
Par exemple :
Les éléments libellés non valides sont des éléments que vous ne pouvez pas modifier.
Gestion des mots de passe
97
7.6 Statut de synchronisation des mots de passe
La page Statut de synchronisation des mots de passe permet de déterminer si votre mot de passe a
été synchronisé dans les applications. Accédez à une autre application uniquement après la synchronisation de votre mot de passe. L'accès à des applications avant la fin de la synchronisation provoque des problème d'accès à l'application.
1 Dans l'onglet Self-service d'identité, cliquez sur Statut de synchronisation des mots de passe dans le menu (sous Gestion des mots de passe). La page Statut de synchronisation des mots de
passe s'affiche. Les icônes sur lesquelles les couleurs apparaissent indiquent les applications pour lesquelles le mot de passe est synchronisé. Les icônes estompées indiquent les applications qui ne sont pas encore synchronisées. Par exemple :
98
Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Création d'utilisateurs ou de groupes
Cette section indique comment utiliser la page Créer utilisateur ou groupe de l'onglet Self-service
d'identité de l'application utilisateur Identity Manager. Les rubriques incluent :
Section 8.1, « À propos de la création d'utilisateurs ou de groupes », page 99
Section 8.2, « Création d'un utilisateur », page 99
Section 8.3, « Création d'un groupe », page 102
Section 8.4, « Utilisation des boutons de modification », page 103
Pour plus d'informations sur l'ouverture et l'utilisation de l'onglet Self-service d'identité, reportez-
vous au Chapitre 2, « Présentation de l'onglet Self-service d'identité », page 35 .
8.1 À propos de la création d'utilisateurs ou de groupes
Les administrateurs système peuvent utiliser la page Créer utilisateur ou groupe pour créer des utilisateurs ou des groupes. L'administrateur système peut accorder à d'autres utilisateurs
(généralement sélectionnés à des postes d'administration ou de direction) l'accès à cette page.
Il se peut que vous rencontriez des différences par rapport aux fonctions décrites dans cette section, du fait du rôle de votre poste, de votre niveau d'autorité ou des modifications personnalisées réalisées par votre entreprise. Pour plus de détails, consultez l'administrateur système.
La description détaillée de l'activation de l'accès à la page Créer utilisateur ou groupe est fournie à la section « Page Administration » du
Guide d'administration de l'application utilisateur Identity
Manager (http://www.novell.com/documentation/idmrbpm361/index.html) . Pour activer l'accès, ouvrez iManager, ajoutez l'utilisateur en tant qu'ayant droit, et ajoutez le droit assigné nommé Créer
à l'ayant droit.
Pour vérifier les utilisateurs et les groupes qui existent, utilisez la page Recherche dans l'annuaire.
Reportez-vous au
Chapitre 6, « Utilisation de la recherche dans l'annuaire », page 73
.
8.2 Création d'un utilisateur
1 Dans l'onglet Self-service d'identité, cliquez sur Créer utilisateur ou groupe dans le menu (sous
Gestion de l'annuaire, si cette option est affichée).
Le panneau Sélectionner l'objet à créer s'affiche.
8
Création d'utilisateurs ou de groupes
99
2 Utilisez la liste déroulante Type d'objet pour sélectionner Utilisateur, puis cliquez sur
Continuer.
Le panneau Utilisateur - Définir des attributs s'affiche :
3 Spécifiez des valeurs pour les attributs requis suivants :
Attribut
ID utilisateur
Que faut-il spécifier ?
Le nom d'utilisateur de ce nouvel utilisateur.
100 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Attribut
Conteneur
Que faut-il spécifier ?
Une unité organisationnelle dans le coffre-fort d'identité sous lequel vous voulez stocker le nouvel utilisateur (par exemple un utilisateur nommé OU). Par exemple : ou=users,ou=MyUnit,o=MyOrg
Pour connaître l'utilisation des boutons fournis pour spécifier un
conteneur, reportez-vous à la Section 8.4, « Utilisation des boutons de modification », page 103 .
vous ne serez pas invité à fournir un conteneur si l'administrateur système a établi un « créer un conteneur » par défaut pour ce type d'objet.
Prénom de l'utilisateur.
Nom de l'utilisateur.
Prénom
Nom de famille
4 Indiquez des informations en option concernant ce nouvel utilisateur, telles que le titre, le service, la région, l'adresse électronique, le gestionnaire ou le numéro de téléphone.
Pour connaître l'utilisation des boutons fournis pour spécifier les valeurs de certains attributs,
reportez-vous à la Section 8.2, « Création d'un utilisateur », page 99
.
5 Cliquez sur Continuer.
Le panneau Créer un mot de passe s'affiche :
Si une stratégie de mot de passe est en vigueur pour le conteneur cible, ce panneau fournit des informations concernant la manière de spécifier un mot de passe respectant les exigences de cette stratégie. Le mot de passe est également validé par rapport à cette stratégie.
6 Saisissez le mot de passe du nouvel utilisateur dans les zones de texte Mot de passe et
Confirmer le mot de passe, puis cliquez sur Continuer.
Cela définit le mot de passe initial du nouvel utilisateur. Lorsque cet utilisateur se logue pour la première fois, l'application utilisateur Identity Manager l'invite à modifier ce mot de passe.
L'utilisateur et le mot de passe sont créés, puis le panneau Vérifiez s'affiche pour récapituler le résultat :
Création d'utilisateurs ou de groupes 101
Le panneau Vérifiez offre des liens optionnels qui peuvent s'avérer pratiques :
Cliquez sur le nom du nouvel utilisateur pour afficher la page Profil des informations détaillées de cet utilisateur. Dans la page Profil, vous pouvez éditer les informations détaillées de l'utilisateur pour le modifier ou le supprimer.
Cliquez sur Créer un autre objet pour retourner au panneau initial de la page Créer utilisateur ou groupe
8.3 Création d'un groupe
1 Dans l'onglet Self-service d'identité, cliquez sur Créer utilisateur ou groupe dans le menu (sous
Gestion de l'annuaire si cette option est affichée).
Le panneau Sélectionner l'objet à créer s'affiche.
2 Utilisez la liste déroulante Type d'objet pour sélectionner Groupe, puis cliquez sur Continuer.
Le panneau Définir des attributs pour ce groupe s'affiche :
3 Indiquez les valeurs des attributs requis suivants :
Attribut
ID de groupe
Conteneur
Que faut-il spécifier ?
Le nom de groupe de ce nouveau groupe.
Une unité organisationnelle dans le coffre-fort d'identité sous lequel vous voulez stocker le nouveau groupe (par exemple un groupe nommé
OU). Par exemple : ou=groups,ou=MyUnit,o=MyOrg
Pour connaître l'utilisation des boutons fournis pour spécifier un
conteneur, reportez-vous à la Section 8.2, « Création d'un utilisateur », page 99 .
Remarque : vous ne serez pas invité à fournir un Conteneur si l'administrateur système a établi un « créer un conteneur » par défaut pour ce type d'objet.
La description de ce nouveau groupe. Description
4 Cliquez sur Continuer.
Le groupe est créé, puis le panneau Vérifiez s'affiche pour récapituler le résultat :
102 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Bouton
Le panneau Vérifiez offre des liens optionnels qui peuvent s'avérer pratiques :
Cliquez sur le nom du nouvel utilisateur pour afficher la page Profil des informations détaillées de ce groupe.
Dans la page Profil, vous pouvez éditer les informations détaillées du groupe pour le modifier ou le supprimer.
Cliquez sur Créer un autre objet pour retourner au panneau initial de la page Créer utilisateur ou groupe.
8.4 Utilisation des boutons de modification
Le
répertorie les boutons d'édition qui permettent de spécifier les valeurs des attributs.
Tableau 8-1
Boutons d'édition qui permettent de spécifier les utilisateurs et les groupes
Fonction
Recherche une valeur à utiliser dans une entrée.
Affiche la liste Historique des valeurs utilisées dans une entrée.
Réinitialise la valeur d'une entrée sélectionnée.
Ajoute une nouvelle entrée. Vous pouvez ajouter plusieurs entrées.
Indique qu'il existe plusieurs entrées.
Supprime une entrée sélectionnée et sa valeur.
Important : il est possible d'utiliser la page Modifier l'utilisateur de l'onglet Self-service d'identité pour rompre la structure de rapport hiérarchique. Par exemple, vous pouvez ajouter un rapport direct
à un gestionnaire même si un autre gestionnaire lui est assigné, ou vous pouvez faire rendre compte un gestionnaire à une personne de son entreprise.
8.4.1 Pour rechercher un conteneur
1 Cliquez sur Recherche à droite d'une entrée pour laquelle vous voulez rechercher un conteneur.
La page Recherche affiche une arborescence des conteneurs :
Création d'utilisateurs ou de groupes 103
Vous pouvez développer ou réduire les noeuds de l'arborescence (via les boutons + ou -) pour rechercher le conteneur que vous souhaitez.
2 Si nécessaire, indiquez les critères de recherche du conteneur.
Dans la zone de texte, saisissez tout ou partie du nom du conteneur à rechercher. La recherche trouve chacun des noms de conteneur commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent les utilisateurs nommés du conteneur :
Users users u u*
*s
*r*
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
104 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Sélectionnez le conteneur de votre choix dans l'arborescence.
La page Recherche se ferme et insère le nom de ce conteneur dans l'entrée appropriée.
8.4.2 Pour rechercher un utilisateur
1 Cliquez sur Recherche à droite d'une entrée (pour laquelle vous voulez rechercher un utilisateur).
La page Recherche s'affiche :
2 Spécifiez les critères concernant l'utilisateur que vous recherchez :
2a Utilisez la liste déroulante pour sélectionner si la recherche s'effectue par Prénom ou par
Nom.
2b Dans la zone de texte située à côté de la liste déroulante, saisissez en partie ou en totalité le nom à rechercher.
Création d'utilisateurs ou de groupes 105
La recherche trouve chacun des noms commençant par le texte saisi. La casse n'est pas respectée. Vous pouvez éventuellement utiliser l'astérisque (*) comme caractère joker dans votre texte pour représenter aucun ou plusieurs caractères quelconques.
En guise d'illustration, tous les exemples de recherche suivants trouvent le prénom Chip :
Chip chip c c*
*p
*h*
Une recherche de gestionnaire ne recherche que les utilisateurs qui sont des gestionnaires.
3 Cliquez sur Rechercher.
La page Recherche affiche vos résultats de recherche :
Si vous voyez une liste d'utilisateurs dans laquelle figure celui que vous recherchez, accédez à l'
. Sinon, revenez à l'
Pour les trier par ordre croissant ou décroissant, cliquez sur les titres de colonne.
4 Sélectionnez l'utilisateur de votre choix dans la liste.
La page Recherche se ferme et insère le nom de cet utilisateur dans l'entrée appropriée.
8.4.3 Pour utiliser la liste Historique
1 Cliquez sur Historique à droite d'une entrée (dont vous voulez afficher les valeurs précédentes) :
La liste Historique s'affiche avec ses valeurs par ordre alphabétique :
106 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Effectuez l'une des opérations suivantes :
Pour
Sélectionnez dans la liste
Historique
Procédure
Sélectionnez une valeur de votre choix dans la liste.
La liste Historique se ferme et insère cette valeur dans l'entrée appropriée.
La liste Historique se ferme et supprime ses valeurs de cette entrée. L'effacement de la liste Historique ne modifie pas la valeur en cours de l'entrée.
Création d'utilisateurs ou de groupes 107
108 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'onglet Requêtes et approbations
Ces sections décrivent l'utilisation de l'onglet Requêtes et approbations de l'application utilisateur
Identity Manager.
Chapitre 9, « Présentation de l'onglet Requêtes et approbations », page 111
Chapitre 10, « Gestion de votre travail », page 123
Chapitre 11, « Configuration de vos paramètres de provisioning », page 143
Chapitre 12, « Gestion du travail de votre équipe », page 159
Chapitre 13, « Configuration des paramètres de provisioning de votre équipe », page 187
III
Utilisation de l'onglet Requêtes et approbations
109
110 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Présentation de l'onglet Requêtes et approbations
Cette section présente l'onglet Requêtes et approbations. Les rubriques incluent :
Section 9.1, « À propos de l'onglet Requêtes et approbations », page 111
Section 9.2, « Accès à l'onglet Requêtes et approbations », page 112
Section 9.3, « Exploration des fonctions de l'onglet », page 112
Section 9.4, « Opérations de requêtes et approbations que vous pouvez effectuer », page 114
Section 9.5, « Présentation des légendes des requêtes et approbations », page 118
Pour plus d'informations sur l'ouverture et l'utilisation de l'interface utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 17 .
9.1 À propos de l'onglet Requêtes et approbations
L'objectif de l'onglet Requêtes et approbations est de vous offrir un moyen pratique d'effectuer des opérations de provisioning basées sur le workflow. Ces opérations permettent de gérer l'accès des utilisateurs aux ressources sécurisées de votre entreprise. Ces ressources peuvent comporter des entités numériques telles que des comptes utilisateur, des ordinateurs et des bases de données. Par exemple, l'onglet Requêtes et approbations permet de :
Formuler des requêtes de provisioning
Gérer le travail de provisioning (tâches de workflow associées à des requêtes de ressource, de rôle ou d'attestation)
Configurer les paramètres de provisioning pour vous-même et votre équipe
Lorsqu'une requête de provisioning requiert l'autorisation d'un ou de plusieurs individus au sein d'une organisation, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes ne nécessitent l'approbation que d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes. Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Lorsqu'une requête de provisioning est lancée, le système de provisioning assure le suivi du préparateur et du destinataire. Le préparateur est la personne qui a créé la requête. Le destinataire est la personne pour qui la requête a été créée.
Votre concepteur de workflow et votre administrateur système sont responsables de la définition du contenu de l'onglet Requêtes et approbations pour vous et les autres utilisateurs de votre entreprise. le flux de contrôle d'un workflow de provisioning, ainsi que l'apparence des formulaires, peut varier selon le mode de définition de la requête de provisioning dans le concepteur Identity Manager. En outre, ce que vous voyiez et ce que vous pouvez faire est généralement déterminé par les exigences de votre fonction et par votre niveau d'autorité.
9
Présentation de l'onglet Requêtes et approbations
111
Pour plus de détails sur la personnalisation de la conception d'un workflow de provisioning, reportez-vous au Guide de conception de l'application utilisateur Identity Manager (http:// www.novell.com/documentation/idmrbpm361/index.html) . Pour plus de détails sur l'administration des workflows, reportez-vous au
Guide d'administration de l'application utilisateur Identity
Manager (http://www.novell.com/documentation/idmrbpm361/index.html) .
9.2 Accès à l'onglet Requêtes et approbations
Par défaut, après vous être logué à l'interface utilisateur Identity Manager, l'onglet Requêtes et
approbations s'ouvre et affiche la page Mes tâches :
Si vous ouvrez un autre onglet de l'application utilisateur Identity Manager et souhaitez revenir au précédent, il vous suffit de cliquer sur l'onglet Requêtes et approbations pour le rouvrir.
9.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Requêtes et approbations. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
La partie gauche de l'onglet Requêtes et approbations affiche un menu des actions que vous pouvez effectuer. Les opérations sont répertoriées par catégorie (Mon travail, Mes paramètres, Le travail de
mon équipe et Les paramètres de mon équipe) :
112 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les opérations Le travail de mon équipe et Les paramètres de mon équipe ne s'affichent que si vous
êtes un gestionnaire d'équipe.
Lorsque vous cliquez sur une action, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Figure 9-1
Page affichée pour une opération
Présentation de l'onglet Requêtes et approbations 113
La plupart des pages avec lesquelles vous travaillez dans l'onglet Requêtes et approbations comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende des Requêtes et
approbations :
Pour plus de détails sur la légende des Requêtes et approbations, reportez-vous à la Section 9.5,
« Présentation des légendes des requêtes et approbations », page 118 .
9.4 Opérations de requêtes et approbations que vous pouvez effectuer
Voici un résumé des opérations que vous pouvez utiliser par défaut dans l'onglet Requêtes et
approbations :
114 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Tableau 9-1
Opérations de requêtes et approbations
Catégorie
Mon travail
Action
Mes tâches
Demander une ressource
Mes requêtes
Description
Affiche les tâches d'approbation qui vous sont actuellement assignées dans votre file d'attente de workflow. Ces tâches peuvent être associées à des requêtes de ressource, ainsi qu'à des requêtes de rôle ou d'attestation.
Si une tâche nécessite une signature numérique, l'opération
Mes tâches permet de l'approuver ou non avec une signature numérique.
Avertissement : vous devez utiliser Novell Audit (ou
Sentinel) pour protéger les documents que vous signez de manière numérique. Les documents comportant une signature numérique ne sont pas stockés avec les données de workflow dans la base de données de l'application utilisateur. Ils sont stockés dans la base de données de consignation. Vous devez activer la fonction de consignation pour conserver ces documents.
Si une tâche est assignée à plusieurs destinataires, l'opération Mes tâches permet d'afficher les conditions d'approbation de la tâche, ainsi que la liste des destinataires et le statut d'approbation.
Pour plus de détails, reportez-vous au Chapitre 10,
« Gestion de votre travail », page 123 .
Permet de demander une ressource.
Si une ressource nécessite une signature numérique, l'opération Demander une ressource permet d'associer une signature numérique à la requête.
Pour plus de détails, reportez-vous au Chapitre 10,
« Gestion de votre travail », page 123 .
Affiche l'état des requêtes effectuées par ou pour vous. La liste des requêtes comporte ainsi celles dont vous êtes l'initiateur ou le destinataire pour une requête qui autorise les privilèges de consultation des destinataires.
Pour plus de détails, reportez-vous au Chapitre 10,
« Gestion de votre travail », page 123 .
Présentation de l'onglet Requêtes et approbations 115
Catégorie Action Description
Mes paramètres Passage en mode proxy
Modifier la disponibilité Permet de spécifier les requêtes sur lesquelles vous pouvez agir, ainsi que celles sur lesquelles vos délégués assignés peuvent agir.
Pour plus de détails, reportez-vous au Chapitre 11,
« Configuration de vos paramètres de provisioning », page 143
.
Mes assignations de proxy
Permet d'agir comme proxy pour un autre utilisateur.
Pour plus de détails, reportez-vous au Chapitre 11,
« Configuration de vos paramètres de provisioning », page 143
.
Permet d'afficher ou de modifier les assignations de votre proxy. Pour modifier les assignations du proxy, vous devez disposer de l'autorité nécessaire.
Pour plus de détails, reportez-vous au Chapitre 11,
« Configuration de vos paramètres de provisioning », page 143
.
Mes assignations de délégué
Permet d'afficher ou de modifier les assignations de votre délégué. Pour modifier les assignations de délégué, vous devez disposer de l'autorité nécessaire.
Pour plus de détails, reportez-vous au Chapitre 11,
« Configuration de vos paramètres de provisioning », page 143
.
116 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Catégorie
Le travail de mon équipe
Action
Tâches de l'équipe
Demander des ressources pour l'équipe
Requêtes de l'équipe
Description
Affiche les tâches d'approbation assignées aux membres de votre équipe.
Selon les droits définis pour l'équipe, cette opération peut
également permettre de réclamer et/ou de réassigner des tâches.
Si une tâche nécessite une signature numérique, l'opération
Les tâches de mon équipe permet de l'approuver ou non avec une signature numérique.
Si une tâche est assignée à plusieurs destinataires, l'opération Les tâches de l'équipe permet d'afficher les conditions d'approbation de la tâche, ainsi que la liste des destinataires.
Pour plus de détails, reportez-vous au Chapitre 12,
« Gestion du travail de votre équipe », page 159 .
Permet d'effectuer une requête de ressource pour un membre de votre équipe.
Si une ressource nécessite une signature numérique, l'opération Demander des ressources pour l'équipe permet d'associer une signature numérique à la requête.
Pour plus de détails, reportez-vous au Chapitre 12,
« Gestion du travail de votre équipe », page 159 .
Affiche l'état des requêtes effectuées par ou pour des membres de votre équipe.
Pour plus de détails, reportez-vous au Chapitre 12,
« Gestion du travail de votre équipe », page 159 .
Présentation de l'onglet Requêtes et approbations 117
Catégorie Action Description
Les paramètres de mon équipe
Assignations du proxy de l'équipe
Assignations de délégué de l'équipe
Permet de spécifier les assignations du proxy des membres de votre équipe.
Cette fonction doit être activée dans la définition de l'équipe.
Lorsque cette fonction est désactivée, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous au Chapitre 13,
« Configuration des paramètres de provisioning de votre
Permet de spécifier les assignations de délégué des membres de votre équipe.
Cette fonction doit être activée dans la définition des droits de l'équipe. Si les droits de l'équipe permettent aux gestionnaires de faire d'un membre de l'équipe le délégué pour les requêtes de provisioning d'autres membres de l'équipe, cette opération est autorisée pour ces requêtes.
Lorsque cette fonction est désactivée dans la définition des droits de l'équipe, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous au Chapitre 13,
« Configuration des paramètres de provisioning de votre
Disponibilité de l'équipe Permet de spécifier les requêtes sur lesquelles les membres de votre équipe peuvent agir, ainsi que celles sur lesquelles les délégués des membres de votre équipe peuvent agir.
Cette fonction doit être activée dans la définition de l'équipe.
Lorsque cette fonction est désactivée, cette opération n'est pas autorisée.
Pour plus de détails, reportez-vous au Chapitre 13,
« Configuration des paramètres de provisioning de votre
9.5 Présentation des légendes des requêtes et approbations
La plupart des pages avec lesquelles vous travaillez dans l'onglet Requêtes et approbations comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende des Requêtes et
approbations. Pour afficher la légende, cliquez sur le bouton Légende illustré à la Figure 9-2
:
Figure 9-2
Le bouton Légende
La légende offre une brève description des icônes utilisées dans l'onglet Requêtes et approbations.
La
affiche la légende.
118 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 9-3
La légende des requêtes et approbations
Le tableau ci-dessous fournit des descriptions détaillées des icônes de la légende.
Tableau 9-2
Icônes de la légende
Icône
Réclamée
Exécution : Traitement
Terminé : Approuvé
Terminé : Refusé
Interrompu : Retiré
Interrompu : Erreur
Description
Indique si une tâche de workflow particulière a été réclamée par un utilisateur.
Apparaît sur la page Mes tâches.
Indique qu'une requête particulière est toujours en cours de traitement.
Apparaît sur les pages Mes requêtes et Requêtes de l'équipe.
Indique que le traitement d'une requête particulière est terminé et que celle-ci a été approuvée.
Apparaît sur les pages Mes requêtes et Requêtes de l'équipe.
Indique que le traitement d'une requête particulière est terminé et que celle-ci a été refusée.
Apparaît sur les pages Mes requêtes et Requêtes de l'équipe.
Indique qu'une requête particulière a été retirée par un utilisateur
(celui qui a soumis la requête, un gestionnaire d'équipe ou l'administrateur de l'application de provisioning).
Apparaît sur les pages Mes requêtes et Requêtes de l'équipe.
Indique qu'une requête particulière a été interrompue du fait d'une erreur.
Apparaît sur les pages Mes requêtes et Requêtes de l'équipe.
Présentation de l'onglet Requêtes et approbations 119
Icône Description
Éditer
Supprimer
Plusieurs destinataires sont autorisés Indique que cette ressource prend en charge plusieurs destinataires. Lorsque une ressource prend en charge plusieurs destinataires, l'opération Demander des ressources pour l'équipe permet de sélectionner plusieurs utilisateurs comme destinataires.
Apparaît sur la page Demander des ressources pour l'équipe.
Assigné au délégué
Apparaît dans les pages Mes assignations de proxy, Mes assignations de délégué, Assignations du proxy de l'équipe,
Assignations de délégué de l'équipe, Modifier la disponibilité et
Disponibilité de l'équipe.
Indique qu'une tâche de workflow particulière a été déléguée par un autre utilisateur. Cette tâche apparaît dans la file d'attente de l'utilisateur actuel car le délégataire d'origine s'est déclaré indisponible. Du fait que l'utilisateur actuel est le délégué du délégataire d'origine, cet utilisateur voit la tâche.
Apparaît sur les pages Mes tâches et Tâches de l'équipe.
Assigné à l'utilisateur
Assigné au groupe
Assigné à un rôle
Permet de modifier une assignation de proxy ou de délégué.
Pour modifier l'assignation, sélectionnez-la et cliquez sur l'icône
Modifier.
Apparaît dans les pages Mes assignations de proxy, Mes assignations de délégué, Assignations du proxy de l'équipe,
Assignations de délégué de l'équipe, Modifier la disponibilité et
Disponibilité de l'équipe.
Permet de supprimer une assignation de proxy ou de délégué.
Pour supprimer l'assignation, sélectionnez-la et cliquez sur l'icône Supprimer.
Indique qu'une tâche de workflow particulière a été assignée à un utilisateur.
Apparaît sur les pages Mes tâches et Tâches de l'équipe.
Indique qu'une tâche de workflow particulière a été assignée à un groupe.
Apparaît sur les pages Mes tâches et Tâches de l'équipe.
Indique qu'une tâche de workflow a été assignée à un rôle.
Apparaît sur les pages Mes tâches et Tâches de l'équipe.
120 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône
Assigné à plusieurs approbateurs
Disponible pour TOUTES les
requêtes
NON disponible pour les requêtes
spécifiées
NON disponible pour N'IMPORTE
quelle requête
Description
Indique qu'une tâche de workflow particulière a été assignée à plusieurs utilisateurs.
Cette icône s'applique dans les situations suivantes :
Cette tâche a été assignée à un groupe de destinataires, mais un seul destinataire peut la réclamer et l'approuver.
Lorsque cette approbation est accordée, l'exécution de la tâche est considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et tous doivent la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et un quorum d'utilisateurs doit la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée. La définition d'un quorum est configurée par l'administrateur.
Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Apparaît sur les pages Mes tâches et Tâches de l'équipe.
Indique qu'un utilisateur est disponible pour tout type de requête.
Ce paramètre s'applique à la délégation
Apparaît dans les pages Modifier la disponibilité et Disponibilité de l'équipe.
Indique qu'un utilisateur n'est pas disponible pour certaines requêtes pendant une période donnée. Ce paramètre s'applique
à la délégation Pendant la période où l'utilisateur n'est pas disponible pour ces requêtes, l'utilisateur délégué pour agir sur ces requêtes peut travailler sur elles.
Apparaît dans les pages Modifier la disponibilité et Disponibilité de l'équipe.
Indique qu'un utilisateur n'est disponible pour aucune requête actuellement dans le système. Ce paramètre s'applique à la délégation Pendant la période où l'utilisateur n'est pas disponible pour une requête, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
Apparaît dans les pages Modifier la disponibilité et Disponibilité de l'équipe.
Présentation de l'onglet Requêtes et approbations 121
122 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Gestion de votre travail
Cette section donne des instructions pour gérer votre travail de provisioning. Les rubriques incluent :
Section 10.1, « À propos des opérations Mon travail », page 123
Section 10.2, « Gestion de vos tâches », page 123
Section 10.3, « Demande d'une ressource », page 133
Section 10.4, « Vérification du statut de votre requête », page 138
10.1 À propos des opérations Mon travail
L'onglet Requêtes et approbations de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Mon travail. L'opération Mon travail vous donne la possibilité d'effectuer des requêtes de ressource, de vérifier le statut des requêtes que vous avez effectuées, et d'effectuer des tâches ayant été assignées à vous ou à un groupe auquel vous appartenez. Ces tâches peuvent être associées à des requêtes de ressource, ainsi qu'à des requêtes de rôle ou d'attestation.
L'opération Mon travail permet également d'effectuer des tâches en tant que délégué d'un autre utilisateur. Une tâche déléguée apparaît dans votre file d'attente lorsque le délégataire d'origine de la tâche s'est déclaré indisponible et vous a désigné comme délégué.
10
Remarque : le flux de contrôle d'un workflow de provisioning, ainsi que l'apparence des formulaires, peut varier selon le mode de définition de la requête de provisioning dans le concepteur
Identity Manager. Pour plus de détails sur la personnalisation de la conception d'un workflow de provisioning, reportez-vous au Guide de conception de l'application utilisateur Identity Manager
(http://www.novell.com/documentation/idmrbpm361/index.html) .
10.2 Gestion de vos tâches
L'opération Mes tâches permet de vérifier dans votre file d'attente de workflow quelles les tâches vous ont été assignées. Lorsqu'une tâche se trouve dans votre file d'attente, vous devez effectuer l'une des opérations suivantes :
Réclamer la tâche pour pouvoir commencer à travailler dessus
Réassigner la tâche à un autre utilisateur
Remarque : vous devez avoir l'autorité nécessaire pour réassigner des tâches. Pour réassigner une tâche, vous devez être l'administrateur de l'application de provisioning ou un gestionnaire d'équipe ayant reçu cette autorisation dans la définition des droits de l'équipe.
L'opération Mes tâches permet de gérer des tâches de workflow associées à des requêtes de ressource, des requêtes de rôle et des requêtes d'attestation. Dans certains cas, l'interface utilisateur peut être différente et dépend du type de tâche de workflow sur lequel vous choisissez de travailler.
Pour les requêtes d'attestation, l'opération Mes tâches n'affiche que les tâches pour lesquelles vous
êtes désigné en tant que chargé d'attestation.
Gestion de votre travail
123
Lorsque vous revendiquez une tâche associée à une requête de ressource ou à une requête de rôle, vous avez la possibilité d'effectuer une opération qui transfère l'élément de travail à l'activité suivante du workflow. Les opérations que vous pouvez effectuer sont décrites ci-dessous :
Tableau 10-1
Faire suivre des opérations
Faire suivre une opération
Approuver
Refuser
Refuser
Description
Permet de donner votre approbation à la tâche. Lorsque vous approuvez la tâche, l'élément de travail est transféré à l'activité suivante dans le workflow.
Permet de refuser explicitement votre approbation à la tâche. Lorsque vous refusez la tâche, l'élément de travail est transféré à l'activité suivante dans le workflow et la requête est refusée. En général, le processus de workflow se termine lorsqu'une requête est refusée.
Permet de refuser explicitement la tâche. Lorsque vous refusez la tâche, l'élément de travail est transféré à l'activité suivante concernant l'opération refusée dans le workflow.
Lorsque vous réclamez une tâche associée à une requête d'attestation, vous devez valider les informations affichées dans le formulaire d'attestation. En outre, vous devez répondre à la question d'attestation requise, qui indique si vous devez attester l'exactitude des données et, dans certains cas, répondre à une ou plusieurs questions d'enquête. Pour les processus d'attestation de profil utilisateur, le formulaire comporte les données de vos attributs d'utilisateur dont vous devez vérifier l'exactitude. Pour les processus d'assignation de rôle, d'assignation d'utilisateur, et d'attestation de
SoD, le formulaire comporte un rapport contenant l'assignation de rôle, l'assignation d'utilisateur ou les données de SoD que vous devez vérifier.
10.2.1 Affichage de vos tâches
Pour afficher les tâches qui vous ont été assignées :
1 Cliquez sur Mes tâches dans le groupe d'opérations Mon travail.
La liste des tâches de votre file d'attente s'affiche.
124 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pour les requêtes de ressource et de rôle, la colonne Destinataire de la liste des tâches contient les utilisateurs ou les groupes qui recevront la ressource ou le rôle dans le cas où les approbations requises sont accordées. Pour les requêtes d'attestation, la colonne Destinataire contient le nom du chargé d'attestation, qui est celui de l'utilisateur actuellement logué à l'application utilisateur.
La colonne Type de la liste des tâches inclut une icône qui indique si la tâche est actuellement assignée à un utilisateur, à un groupe, à un délégué ou à plusieurs approbateurs. Le type
Assigné à plusieurs approbateurs s'applique dans les situations suivantes :
Cette tâche a été assignée à un groupe de destinataires, mais un seul destinataire peut la réclamer et l'approuver. Lorsque cette approbation est accordée, l'exécution de la tâche est considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et tous doivent la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée.
La tâche a été assignée à plusieurs destinataires, et un quorum d'utilisateurs doit la réclamer et l'approuver avant que l'activité ne puisse être considérée comme terminée. La définition d'un quorum est configurée par l'administrateur. Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Le système de workflow effectue une évaluation courte pour optimiser les quorums.
Lorsqu'une condition d'approbation de quorum atteint le point où aucun quorum n'est possible, l'activité est refusée et la tâche est supprimée des files d'attentes de tous les destinataires.
La colonne Priorité affiche un indicateur pour les tâches à haute priorité. Pour trier la liste des tâches par priorité, cliquez sur la colonne Priorité.
Les tâches de workflow associées aux requêtes d'attestation affichent le nom de tâche
Approbation d'attestation (voir ci-dessous).
Figure 10-1
Tâches de workflow d'une requête d'attestation
10.2.2 Sélection d'une tâche
Pour sélectionner une tâche dans la liste des files d'attente :
1 Cliquez sur le nom de la tâche dans la file d'attente.
Gestion de votre travail 125
Le formulaire Détail de la tâche s'affiche.
Lorsqu'une tâche est assignée à plusieurs approbateurs, le formulaire Détail de la tâche affiche l'icône Approbateurs multiples à côté du champ Assigné à, et affiche un texte sous cette icône pour indiquer que plusieurs approbations sont nécessaires.
2 Pour afficher des informations supplémentaires concernant une tâche assignée à plusieurs approbateurs, cliquez sur le texte situé sous l'icône Approbateurs multiples :
126 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Une fenêtre contextuelle s'affiche pour indiquer combien d'approbations sont requises, qui sont les destinataires actuels, et quel est le statut d'approbation actuel.
Les conditions de la tâche dépendent de la manière dont elle a été configurée par votre administrateur :
Si le type d'approbation est groupe, la tâche a été assignée à plusieurs utilisateurs au sein d'un groupe, mais un seul est supposé la réclamer et l'approuver.
Si le type d'approbation est rôle, la tâche a été assignée à plusieurs utilisateurs au sein d'un rôle, mais seul l'un d'eux doit la réclamer et l'approuver.
Si le type d'approbation est approbateurs multiples, la tâche a été assignée à plusieurs destinataires, et tous les destinataires doivent la réclamer et l'approuver.
Si le type d'approbation est quorum, la tâche a été assignée à plusieurs destinataires, et un quorum de destinataires est suffisant pour l'approuver. La définition d'un quorum est configurée par l'administrateur. Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
Le système de workflow effectue une évaluation courte pour optimiser les quorums.
Lorsqu'une condition d'approbation de quorum atteint le point où aucun quorum n'est possible, l'activité est refusée et la tâche est supprimée des files d'attentes de tous les destinataires.
3 Pour réclamer une tâche, suivez les instructions de la
Section 10.2.3, « Réclamation d'une tâche », page 129 .
4 Pour afficher l'historique des commentaires d'une tâche, cliquez sur Afficher l'historique des
commentaires.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
4a Pour afficher les commentaires de l'utilisateur, cliquez sur Afficher les commentaires de
l'utilisateur.
Gestion de votre travail 127
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité. le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour plus d'informations, reportez-vous au
Guide de conception de
l'application utilisateur Identity Manager (http://www.novell.com/documentation/ idmrbpm361/index.html) .
4b Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
128 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs professionnels n'ont pas besoin de consulter les commentaires du système pour un workflow.
4c Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
4d Cliquez sur Fermer pour fermer la fenêtre.
5 Pour revenir à la liste des tâches, cliquez sur Précédent.
10.2.3 Réclamation d'une tâche
Pour réclamer une tâche sur laquelle travailler :
1 Cliquez sur Réclamer.
Pour les requêtes de ressource et de rôle, la section Détails du formulaire de la page est mise à jour pour inclure les boutons Refuser et Approuver, ainsi que d'autres boutons d'opération que la définition du flux inclut, et activer les champs devant être modifiés.
Gestion de votre travail 129
Pour les requêtes d'attestation, la section Détails du formulaire de la page est mise à jour pour inclure le formulaire d'attestation. L'aspect du formulaire dépend du type d'attestation. Pour les processus d'attestation de profil utilisateur, le formulaire contient les données du profil utilisateur que vous devez valider.
Pour les processus d'assignation de rôle, d'assignation d'utilisateur et d'attestation de SoD, le formulaire comporte un rapport contenant les données que vous devez valider :
Pour tous les types d'attestation, le formulaire affiche des contrôles qui vous permettent de répondre à la question d'attestation, ainsi qu'aux questions d'enquête supplémentaires du processus d'attestation :
Dans le cas d'une requête de ressource, et si la tâche nécessite une signature numérique, l'icône
Signature numérique obligatoire apparaît en haut à droite de la page.
130 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
En outre, dans Internet Explorer, un message s'affiche pour vous avertir que vous devez appuyer sur la barre d'espace ou la touche Entrée pour activer l'applet de signature numérique.
2 Si vous travaillez sur une tâche nécessitant une signature numérique, procédez de la façon suivante :
2a Si vous utilisez une carte à puce, insérez-la dans son lecteur.
2b Dans Internet Explorer, appuyez sur la barre d'espace ou sur la touche Entrée pour activer l'applet.
À cette étape, il se peut que votre navigateur affiche un message d'avertissement de sécurité.
2c Cliquez sur Exécuter pour continuer.
2d Complétez les champs du formulaire d'approbation. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
2e Cochez la case située en regard du message de confirmation de la signature numérique pour indiquer que vous êtes prêt à signer.
Le message de confirmation de la signature numérique varie selon la manière dont la ressource de provisioning a été configurée par l'administrateur.
L'applet affiche ensuite une fenêtre contextuelle qui permet de sélectionner un certificat.
La fenêtre contextuelle répertorie les certificats importés dans le navigateur, ainsi que ceux importés dans la carte à puce (si une carte à puce est connectée).
Gestion de votre travail 131
2f Sélectionnez le certificat que vous voulez utiliser et cliquez sur Sélectionner.
2g Si vous sélectionnez un certificat ayant été importé dans votre navigateur, saisissez le mot de passe de certificat dans le champ Mot de passe du formulaire de requête.
2h Si vous sélectionnez un certificat ayant été importé dans votre carte à puce, saisissez le code PIN de cette dernière et cliquez sur OK.
Il n'est pas nécessaire de saisir le mot de passe du certificat si vous utilisez une carte à puce, car il a déjà été transmis à celle-ci.
Si votre administrateur a accordé droit d'afficher l'aperçu de l'accord de l'utilisateur, le bouton Prévisualiser est activé.
2i Cliquez sur Prévisualiser pour afficher l'accord de l'utilisateur.
Si le type de signature numérique est défini sur Formulaire, un document PDF s'affiche.
Si le type de signature numérique est défini sur Données, un document XML s'affiche.
3 Pour refuser une requête de ressource ou de rôle, cliquez sur Refuser.
132 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Pour approuver une requête de ressource ou de rôle, cliquez sur Approuver.
L'application utilisateur affiche un message indiquant si l'opération s'est bien déroulée.
10.3 Demande d'une ressource
L'opération Demander une ressource permet d'effectuer une requête de ressource. Lorsque vous lancez la requête, l'application utilisateur affiche le formulaire de requête initial. Ce formulaire permet de spécifier toutes les informations nécessaires pour la requête.
Remarque : l'opération Demander une ressource ne vous permet pas de demander des assignations de rôle ou de lancer des requêtes d'attestation. Pour demander des assignations de rôle, vous devez utiliser l'opération Assignations de rôles de l'onglet Rôles. Pour lancer une requête d'attestation, vous devez utiliser l'une des opérations répertoriées sous Requêtes d'attestation, dans l'onglet
Conformité.
Lorsqu'une requête de ressource est soumise, elle démarre un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes de ressources ne nécessitent l'approbation que d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes.
Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Pour demander une ressource :
1 Cliquez sur Demander une ressource dans le groupe d'opérations Mon travail.
La page Demander une ressource s'affiche.
Gestion de votre travail 133
2 Sélectionnez la catégorie de la requête dans la liste déroulante Type de requête. Sélectionnez
Tout pour inclure les requêtes de toutes les catégories disponibles.
3 Cliquez sur Continuer.
La page Demander une ressource affiche la liste des ressources disponibles pour l'utilisateur en cours.
L'application utilisateur applique des contraintes de sécurité pour s'assurer que vous ne voyez que les types de requête pour lesquels vous disposez des droits d'accès.
4 Pour sélectionner la ressource de votre choix, cliquez sur son nom.
La page Demander une ressource affiche le formulaire de requête initial.
Si la ressource que vous avez demandée nécessite une signature numérique, l'icône Signature
numérique obligatoire apparaît dans l'angle supérieur droit de la page. En outre, dans Internet
Explorer, un message s'affiche pour vous avertir que vous devez appuyer sur la barre d'espace ou la touche entrée pour activer l'applet de signature numérique.
134 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
5 Si vous effectuez une requête nécessitant une signature numérique, procédez de la façon suivante :
5a Si vous utilisez une carte à puce, insérez-la dans son lecteur.
5b Dans Internet Explorer, appuyez sur la barre d'espace ou sur la touche Entrée pour activer l'applet.
À cette étape, il se peut que votre navigateur affiche un message d'avertissement de sécurité.
5c Cliquez sur Exécuter pour continuer.
5d Complétez les champs du formulaire de requête initial. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
5e Cochez la case située en regard du message de confirmation de la signature numérique pour indiquer que vous êtes prêt à signer.
Le message de confirmation de la signature numérique varie selon la manière dont la ressource de provisioning a été configurée par l'administrateur.
Gestion de votre travail 135
L'applet affiche ensuite une fenêtre contextuelle qui permet de sélectionner un certificat.
La fenêtre contextuelle répertorie les certificats importés dans le navigateur, ainsi que ceux importés dans la carte à puce (si une carte à puce est connectée).
5f Sélectionnez le certificat que vous voulez utiliser et cliquez sur Sélectionner.
5g Si vous sélectionnez un certificat ayant été importé dans votre navigateur, vous devez saisir le mot de passe de certificat dans le champ Mot de passe du formulaire de requête.
5h Si vous sélectionnez un certificat ayant été importé dans votre carte à puce, saisissez le code PIN de cette dernière et cliquez sur OK.
Il n'est pas nécessaire de saisir le mot de passe du certificat si vous utilisez une carte à puce, car il a déjà été transmis à celle-ci.
Si votre administrateur a accordé droit d'afficher l'aperçu de l'accord de l'utilisateur, le bouton Prévisualiser est activé.
136 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
5i Cliquez sur Prévisualiser pour afficher l'accord de l'utilisateur.
Si le type de signature numérique est défini sur Formulaire, un document PDF s'affiche.
Si le type de signature numérique est défini sur Données, un document XML s'affiche.
Gestion de votre travail 137
6 Si la requête que vous effectuez ne nécessite pas de signature numérique, il vous suffit de remplir les champs du formulaire de requête initial. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
7 Cliquez sur Soumettre.
La page Demander une ressource affiche un message d'état indiquant si la requête a été soumise avec succès.
10.4 Vérification du statut de votre requête
L'opération Mes requêtes permet d'afficher l'état des requêtes que vous avez effectuées. Elle permet d'afficher l'historique et l'état actuel de chaque requête. Elle vous donne en outre la possibilité de retirer une requête qui est toujours en traitement si vous avez changé d'avis et ne souhaitez plus qu'elle se poursuive.
138 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Remarque : l'opération Mes requêtes n'affiche pas les requêtes de rôle ou d'attestation. Pour consulter l'état d'une requête de rôle, vous devez utiliser l'opération Afficher l'état de la requête de l'onglet Rôles. Pour consulter l'état d'une requête d'attestation, vous devez utiliser l'opération
Afficher l'état de la requête d'attestation de l'onglet Conformité.
Pour afficher la liste de vos requêtes :
1 Cliquez sur Mes requêtes dans le groupe d'opérations Mon travail.
2 Sélectionnez la catégorie de la requête dans la liste déroulante Type de requête. Sélectionnez
Tout pour inclure les requêtes de toutes les catégories disponibles.
3 Vous pouvez éventuellement filtrer la liste des requêtes par date en sélectionnant le, avant ou
après, et en remplissant le champ Date de la requête. Pour inclure toutes les requêtes des catégories sélectionnées, laissez le champ Date de la requête vide.
4 Cliquez sur Continuer.
La page Demander une ressource affiche vos requêtes. Cette liste comporte les requêtes actives, ainsi que celles qui ont déjà été approuvées ou refusées. L'administrateur peut contrôler pendant combien de temps les résultats du workflow sont conservés. Par défaut, le système de workflow conserve les résultats de workflow pendant 120 jours.
5 Pour consulter les détails d'une requête, cliquez sur son nom pour la sélectionner :
La page Mes requêtes affiche des détails tels que la date de lancement de la requête et l'état actuel du workflow.
Gestion de votre travail 139
Vous pouvez consulter l'état pour déterminer si un workflow est toujours en cours d'exécution ou s'il a rencontré une erreur. Par exemple, si une requête affiche l'état Exécution : traitement pendant une période exceptionnellement longue, vous pouvez contacter votre administrateur pour vérifier s'il existe un problème.
6 Pour retirer la requête, cliquez sur Retirer.
7 Pour afficher l'historique des commentaires d'une requête, cliquez sur Afficher les
commentaires et l'historique du flux.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
7a Pour afficher les commentaires de l'utilisateur, cliquez sur Afficher les commentaires de
l'utilisateur.
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
140 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité. le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour plus d'informations, reportez-vous au
Guide de conception de l'application utilisateur Identity Manager (http://www.novell.com/documentation/ idmrbpm361/index.html)
.
7b Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs professionnels n'ont pas besoin de consulter les commentaires du système pour un workflow.
7c Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
Gestion de votre travail 141
7d Cliquez sur Fermer pour fermer la fenêtre.
142 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Configuration de vos paramètres de provisioning
Cette section fournit des instructions en vue de la configuration de vos paramètres de provisioning.
Les rubriques incluent :
Section 11.1, « À propos des opérations Mes paramètres », page 143
Section 11.2, « Agir en tant que proxy », page 144
Section 11.3, « Spécification de votre disponibilité », page 146
Section 11.4, « Affichage et modification de vos assignations de proxy », page 151
Section 11.5, « Affichage et modification de vos assignations de délégué », page 153
11.1 À propos des opérations Mes paramètres
L'onglet Requêtes et approbations de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Mes paramètres. Les opérations Mes paramètres vous donnent la possibilité d'agir en tant que proxy pour un autre utilisateur. De plus, elles permettent d'afficher vos assignations de proxy et de délégué. Si vous êtes un gestionnaire d'équipe ou l'administrateur de l'application de provisioning, il se peut également que vous soyez autorisé à définir des assignations de proxy et de délégué, ainsi que les paramètres de disponibilité de l'équipe.
11.1.1 À propos des proxy et des délégués
Un délégué est un utilisateur autorisé à exécuter des travaux à la place d'un autre utilisateur. Une assignation de délégué s'applique à un type particulier de requête.
Un proxy est un utilisateur autorisé à effectuer n'importe quel travail (et à définir des paramètres de provisioning) pour un ou plusieurs utilisateurs, groupes ou conteneurs. Contrairement aux assignations de délégué, les assignations de proxy sont indépendantes des requêtes de ressource, et s'appliquent par conséquent à toutes les opérations sur les travaux et les paramètres.
Les assignations de proxy et de délégué sont associées à des périodes : les assignations de proxy et de délégué sont associées à des périodes. Vous pouvez définir la longueur de la période d'assignation de proxy ou de délégué qui vous convient. Cette période peut également ne pas comporter de date d'expiration.
Les opérations de proxy et de délégué sont consignées : si la fonction de consignation est activée, toutes les opérations effectuées par un mandataire ou un délégué sont consignées avec les opérations effectuées par les autres utilisateurs. Lorsqu'une opération est effectuée par un mandataire ou un délégué, le message du journal indique clairement que l'opération a été effectuée par un mandataire ou un délégué à la place d'un autre utilisateur. En outre, chaque fois qu'une nouvelle assignation de mandataire ou de délégué est définie, cet événement est également consigné.
Assignations de délégué lorsqu'un rôle est l'approbateur : l'application utilisateur n'effectue pas le traitement délégué lorsqu'un approbateur de workflow est un rôle. N'importe quel utilisateur d'un rôle peut prendre en charge les approbations assignées au rôle, de sorte que la délégation n'est pas nécessaire.
11
Configuration de vos paramètres de provisioning
143
Assignations de proxy lorsqu'un rôle est l'approbateur : lorsque vous effectuez des assignations de proxy, l'application utilisateur effectue les contrôles des rôles détenus par l'utilisateur. Il est possible que l'utilisateur soit déjà assigné aux mêmes rôles que la personne pour laquelle vous agissez en tant que proxy. Des conflits avec les rôles de la personne pour laquelle ils doivent agir comme proxy sont également possibles.
11.1.2 Exemples de scénarios d'utilisation
Cette section décrit deux scénarios d'entreprise dans lesquels des proxy et des délégués peuvent être utilisés :
« Scénario d'utilisation de proxy » page 144
« Scénario d'utilisation de délégué » page 144
Scénario d'utilisation de proxy
Supposons que vous soyez un gestionnaire responsable de l'approbation (ou du refus) d'un grand nombre de tâches de workflow au quotidien. Par ailleurs, vous êtes également responsable de la modification des paramètres de provisioning pour un grand nombre d'utilisateurs de votre entreprise.
Dans cette situation, il se peut que vous souhaitiez assigner un proxy afin de décharger une partie de votre travail sur un membre approuvé de votre équipe.
Scénario d'utilisation de délégué
Supposons que vous soyez un gestionnaire responsable de l'approbation ou du refus des requêtes de dix types différents de ressources provisionnées. Ces dix types de requêtes nécessitent une attention régulière, mais vous souhaiteriez qu'une autre personne de votre entreprise prenne en charge six d'entre eux. Dans ce cas, vous pouvez définir un délégué pour ces six types de requêtes de ressource.
Le cas échéant, vous pouvez limiter cette relation de délégué à une période mesurée en heures, jours ou semaines. Vous pouvez également spécifier l'absence d'expiration pour cette relation de délégué,
établissant ainsi cette relation comme un mode d'organisation plus permanent.
11.2 Agir en tant que proxy
L'opération Passage en mode proxy permet d'agir en tant que proxy pour un autre utilisateur.
1 Cliquez sur Passage en mode proxy dans le groupe d'opérations Mes paramètres.
Si vous êtes autorisé à agir en tant que proxy pour au moins un autre utilisateur, l'application utilisateur affiche la liste des utilisateurs.
144 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous n'êtes pas autorisé à agir en tant que proxy pour un autre utilisateur, l'application utilisateur affiche le message suivant :
2 Sélectionnez l'utilisateur pour lequel vous voulez agir comme proxy et cliquez sur Continuer.
Si vous êtes désigné comme proxy pour un groupe ou un conteneur, vous devez sélectionner le groupe ou le conteneur avant l'utilisateur. L'application utilisateur comporte une liste déroulante permettant de sélectionner le groupe ou le conteneur.
L'application utilisateur rafraîchit l'écran et vous ramène à l'opération Mes tâches (l'opération par défaut lorsque vous vous loguez). Le liste des tâches montre les tâches assignées à l'utilisateur pour lesquelles vous agissez en tant que proxy. Un message apparaît au-dessus du groupe Mon travail (ainsi que dans la barre de titre) pour indiquer que vous agissez à présent en tant que proxy pour un autre utilisateur.
Configuration de vos paramètres de provisioning 145
À cette étape, vous pouvez effectuer exactement les mêmes opérations que l'utilisateur pour lequel vous agissez en tant que proxy. La liste des opérations disponibles dépend de votre autorité et de celle de l'utilisateur pour lequel vous agissez en tant que proxy.
11.3 Spécification de votre disponibilité
L'opération Éditer la disponibilité permet de spécifier les requêtes avec assignation de délégué sur lesquelles vous ne pouvez pas travailler pendant une période donnée. Pendant la période où vous n'êtes pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
Si vous préférez ne pas spécifier votre disponibilité pour chaque définition de requête individuellement, vous pouvez utiliser l'opération Modifier la disponibilité pour définir les paramètres globaux relatifs à la délégation.
Suggestion : avant d'utiliser l'opération Modifier la disponibilité, vous devez avoir au moins une assignation de délégué sur laquelle travailler. Vous devez demander à votre gestionnaire d'équipe (ou
à l'administrateur de l'application de provisioning) de créer des assignations de délégué pour vous.
Section 11.3.1, « Définition de votre statut de disponibilité », page 146
Section 11.3.2, « Création ou modification d'un paramètre de disponibilité », page 148
Section 11.3.3, « Suppression d'un paramètre de disponibilité », page 151
11.3.1 Définition de votre statut de disponibilité
1 Cliquez sur Modifier la disponibilité dans le groupe d'opérations Mes paramètres.
L'application utilisateur affiche la page Éditer la disponibilité. Si vous n'avez aucun paramètre de disponibilité existant, la liste est vide :
146 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si aucun délégué ne vous a été assigné, l'application utilisateur affiche un message indiquant que vous ne pouvez pas modifier votre état sur la page Éditer la disponibilité.
Si vous avez un ou plusieurs paramètres de disponibilité, la liste les affiche :
2 Pour consulter les détails concernant une ressource particulière associée à une assignation de disponibilité, cliquez sur le nom de la ressource :
La page affiche ensuite une fenêtre contextuelle fournissant des informations concernant l'assignation de délégué :
Configuration de vos paramètres de provisioning 147
Ces informations sont particulièrement utiles dans les situations où le même nom de ressource apparaît plusieurs fois dans la liste des paramètres de disponibilité.
3 Spécifiez votre statut en sélectionnant l'une des options suivantes dans la liste déroulante
Modifier l'état :
État
Disponible pour TOUTES les
requêtes
NON disponible pour
N'IMPORTE quelle requête
NON disponible pour les
requêtes spécifiées
Description
C'est le statut par défaut. Il indique que vous êtes globalement disponible. Lorsque ce statut est en vigueur, les requêtes qui vous sont assignées ne sont pas déléguées, même si vous avez des délégués assignés.
Le statut Disponible pour TOUTES les requêtes remplace tous les autres paramètres. Si vous modifiez le statut pour l'un des autres paramètres, et si vous le modifiez de nouveau pour
Disponible pour TOUTES les requêtes, tout paramètre
Disponible de façon sélective précédemment défini est supprimé.
Spécifie que vous êtes globalement indisponible pour n'importe quelle définition de requête actuellement dans le système.
Le fait de choisir le statut NON disponible pour N'IMPORTE
quelle requête indique vous vous n'êtes pas disponible pour chaque assignation de délégué existante et modifie le statut actuel en NON disponible pour les requêtes spécifiées. Les assignations sont effectives immédiatement jusqu'à l'expiration de l'assignation de délégué. Ce paramètre n'a pas d'incidence sur la disponibilité des nouvelles assignations créées après cette étape.
Spécifie que vous n'êtes pas disponible pour certaines définitions de requête de ressource. Pendant la période où vous n'êtes pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
L'option NON disponible pour les requêtes spécifiées vous fait accéder à la page Modifier la disponibilité. Il s'agit de la même opération que lorsque vous cliquez sur le bouton Nouveau.
11.3.2 Création ou modification d'un paramètre de disponibilité
1 Pour créer un nouveau paramètre de disponibilité, cliquez sur Nouveau (ou sélectionnez NON
disponible pour les requêtes spécifiées dans la liste déroulante Modifier l'état).
2 Pour modifier un paramètre existant, cliquez sur Modifier en regard du paramètre concerné :
L'application utilisateur affiche un ensemble de contrôles destinés à préciser la période pendant laquelle vous n'êtes pas disponible et à sélectionner les requêtes auxquelles le paramètre s'applique.
La liste des requêtes affichées ne comporte que celles ayant une assignation de délégué.
148 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Spécifiez la période pendant laquelle vous n'êtes pas disponible :
3a Pour spécifier le début de la période, saisissez la date et l'heure de début dans la zone
Indisponible depuis, ou cliquez sur le bouton de l'agenda et en sélectionnant la date et l'heure.
3b Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
la Durée
Date de fin
Description
Permet de spécifier la période en semaines, jours ou heures.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
Indique que ce paramètre d'indisponibilité n'expire pas.
Pas d'expiration
La date de fin que vous spécifiez doit se situer dans la période autorisée par l'assignation de délégué. Par exemple, si l'assignation de délégué expire le 31 octobre 2007, vous ne pouvez pas spécifier la date d'expiration date du 15 novembre 2007 pour le paramètre de disponibilité. Si vous spécifiez la date d'expiration date du 15 novembre 2007, elle est automatiquement corrigée lorsqu'elle doit expirer le 31 octobre 2007.
4 Pour spécifier si vous voulez envoyer des notifications par courrier électronique à d'autres utilisateurs, complétez les champs suivants :
Configuration de vos paramètres de provisioning 149
Champ
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Indique si vous voulez envoyer un courrier
électronique pour notifier un ou plusieurs utilisateurs de cette assignation de disponibilité.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique à tous les utilisateurs que vous sélectionnez.
5 Sélectionnez une ou plusieurs requêtes dans la liste Types de requêtes et cliquez sur Ajouter.
Sur cette page, vous pouvez sélectionner les types de requêtes qui ne doivent pas être acceptées pendant la durée de votre indisponibilité. Cela a pour effet de déléguer ces requêtes à d'autres utilisateurs.
Chaque requête que vous ajoutez est incluse à la liste Indisponible pour la période spécifiée.
150 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
6 Pour indiquer que ce paramètre de disponibilité s'applique à tous les types de requêtes, cliquez sur Tous les types de requêtes au lieu de sélectionner individuellement des types de requêtes.
La case à cocher Tous les types de requêtes n'est disponible que lorsque le type de requête pour l'assignation de délégué est défini sur Tout.
7 Pour supprimer une requête de la liste, cliquez sur Supprimer.
8 Cliquez sur Soumettre pour valider vos modifications.
11.3.3 Suppression d'un paramètre de disponibilité
Pour supprimer un paramètre de disponibilité existant, procédez comme suit.
1 Cliquez sur Supprimer à côté du paramètre :
11.4 Affichage et modification de vos assignations de proxy
L'opération Mes assignations de proxy permet d'afficher vos assignations de proxy. Si vous êtes l'administrateur de l'application de provisioning, vous pouvez également utiliser cette opération pour modifier les assignations de proxy.
Seuls les administrateurs d'application de provisioning et les gestionnaires d'équipe peuvent assigner des proxy, comme indiqué ci-dessous :
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de proxy pour n'importe quel utilisateur de l'entreprise.
Un gestionnaire d'équipe peut avoir la possibilité de définir des paramètres de proxy pour les utilisateurs de son équipe, selon la manière dont l'équipe a été définie. Les proxy doivent
également faire partie de l'équipe. Pour définir un proxy, un gestionnaire d'équipe doit utiliser l'opération Assignations du proxy de l'équipe.
Si un gestionnaire d'équipe a besoin de sélectionner un proxy qui ne fait pas partie de l'équipe, il doit demander à l'administrateur de l'application de provisioning de définir la relation du proxy.
11.4.1 Affichage de vos paramètres de proxy
1 Cliquez sur Mes assignations de proxy dans le groupe d'opérations Mes paramètres.
L'application utilisateur affiche vos paramètres actuels. Les assignations de proxy affichées sont celles qui vous spécifient en tant que proxy pour un autre utilisateur, ainsi que celles qui spécifient un autre utilisateur en tant que proxy pour vous-même.
Si vous n'êtes pas l'administrateur de l'application de provisioning, vous voyez une vue en lecture seule de vos assignations de proxy :
Configuration de vos paramètres de provisioning 151
Si vous disposez de privilèges administratifs, vous voyez s'afficher des boutons qui permettent de créer et de modifier des assignations de proxy.
2 Pour rafraîchir la liste, cliquez sur Rafraîchir.
11.4.2 Création ou modification d'assignations de proxy
1 Pour créer une nouvelle assignation de proxy, cliquez sur Nouveau.
2 Pour modifier une assignation de proxy existante, cliquez sur Modifier en regard de l'assignation :
Si vous êtes l'administrateur de l'application de provisioning, l'application utilisateur présente l'interface suivante vous permettant de définir des assignations de proxy :
3 Si vous êtes l'administrateur de l'application de provisioning, sélectionnez un ou plusieurs utilisateurs, groupes ou conteneurs pour lesquels vous voulez définir un proxy.
Utilisez le Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner un utilisateur, un groupe ou un conteneur.
152 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Si vous êtes un gestionnaire d'équipe, sélectionnez un ou plusieurs utilisateurs pour lesquels vous voulez définir un proxy.
5 Spécifiez un utilisateur devant être le proxy dans le champ Proxy assigné.
6 Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier l'expiration
Description
Indique que cette assignation de proxy n'expire pas.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
7 Cliquez sur Soumettre pour valider vos modifications.
11.4.3 Suppression d'assignations de proxy
Pour supprimer une assignation de proxy existante, procédez comme suit.
1 Cliquez sur Supprimer à côté de l'assignation :
11.5 Affichage et modification de vos assignations de délégué
L'opération Mes assignations de délégué permet d'afficher vos assignations de délégué. Si vous êtes l'administrateur de l'application de provisioning, vous pouvez également utiliser cette opération pour modifier les assignations de délégué.
Seuls les administrateurs d'application de provisioning et les gestionnaires d'équipe peuvent assigner des délégués, comme indiqué ci-dessous :
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de délégué pour n'importe quel utilisateur de l'entreprise.
Un gestionnaire d'équipe peut avoir la possibilité de définir des paramètres de délégué pour les utilisateurs de son équipe, selon la manière dont l'équipe a été définie. Les délégués doivent
également faire partie de l'équipe. Pour définir un délégué, un gestionnaire d'équipe doit utiliser l'opération Assignations de délégué de l'équipe.
Si un gestionnaire d'équipe doit définir une relation de délégué pour des utilisateurs qui ne sont pas sous son autorité, il doit demander à l'administrateur de l'application de provisioning de le faire pour lui.
Suggestion : avant d'utiliser l'opération Modifier la disponibilité, vous devez avoir au moins une assignation de délégué sur laquelle travailler.
11.5.1 Affichage de vos paramètres de délégué
1 Cliquez sur Mes associations de délégué dans le groupe d'opérations Mes paramètres.
Configuration de vos paramètres de provisioning 153
L'application utilisateur affiche vos paramètres actuels.
Si vous n'êtes pas l'administrateur de l'application de provisioning, vous voyez une vue en lecture seule de vos assignations de délégué :
Si vous disposez de privilèges administratifs, vous voyez s'afficher des boutons qui permettent de créer et de modifier des assignations de délégué.
2 Pour rafraîchir la liste, cliquez sur Rafraîchir.
11.5.2 Création ou modification d'assignations de délégué
1 Pour modifier une assignation de délégué existante, cliquez sur Modifier en regard de l'assignation :
Autre choix : pour créer une nouvelle assignation de délégué, cliquez sur Nouveau.
Si vous êtes l'administrateur de l'application de provisioning, l'application utilisateur présente l'interface suivante vous permettant de définir des assignations de proxy de délégué :
154 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Sélectionnez un ou plusieurs utilisateurs, groupes et conteneurs pour lesquels vous voulez définir un délégué.
Utilisez le Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner un utilisateur, un groupe ou un conteneur.
3 Cliquez sur Assigner un délégué. Spécifiez l'utilisateur qui est le délégué dans le champ
Délégué assigné. Vous pouvez également cliquer sur Assigner par relation et sélectionner une relation dans le champ Relation de délégué.
4 Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier l'expiration
Description
Indique que cette assignation de délégué n'expire pas.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur le bouton de l'agenda et les sélectionner dans l'agenda.
5 Sélectionnez la catégorie des requêtes de ressource dans le champ Type de requête.
Sélectionnez Tout pour inclure les requêtes de toutes les catégories disponibles.
6 Sélectionnez une ou plusieurs requêtes que vous souhaitez déléguer dans la liste Requêtes
disponibles dans la catégorie sélectionnée et cliquez sur Ajouter.
Configuration de vos paramètres de provisioning 155
Chaque requête que vous ajoutez est incluse à la liste Requêtes sélectionnées.
Si vous ajoutez plusieurs requêtes, chacune est traitée comme un objet individuel pouvant être modifié séparément.
7 Pour supprimer une requête de la liste, cliquez sur Supprimer.
8 Cliquez sur Soumettre pour valider vos modifications.
L'application utilisateur affiche un message de confirmation précisant si l'assignation de délégué a bien été soumise :
156 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
11.5.3 Suppression d'une assignation de délégué
Pour supprimer une assignation de délégué existante, procédez comme suit.
1 Cliquez sur Supprimer à côté de l'assignation :
Configuration de vos paramètres de provisioning 157
158 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Gestion du travail de votre équipe
Cette section décrit comment utiliser l'onglet Requêtes et approbations pour gérer le travail de provisioning de votre équipe. Les rubriques incluent :
Section 12.1, « À propos des opérations Le travail de mon équipe », page 159
Section 12.2, « Gestion des tâches de votre équipe », page 160
Section 12.3, « Formulation de requêtes pour les équipes », page 177
Section 12.4, « Gestion des requêtes de votre équipe », page 181
12.1 À propos des opérations Le travail de mon
équipe
L'onglet Requêtes et approbations de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Le travail de mon équipe. Les opérations Le travail de mon équipe permettent de travailler avec les tâches et les requêtes des membres de l'équipe dans un workflow. Certaines opérations sont identiques à celles décrites au
Chapitre 10, « Gestion de votre travail », page 123 .
Les opérations que vous effectuez sont déterminées par la définition de l'équipe et par ses droits de requête. L'onglet Requêtes et approbations fonctionne avec les utilisateurs et les équipes existants.
Pour ajouter de nouveaux utilisateurs et de nouvelles équipes, reportez-vous au Chapitre 8,
« Création d'utilisateurs ou de groupes », page 99
.
12
Remarque : le flux de contrôle d'un workflow de provisioning, ainsi que l'apparence des formulaires, peut varier selon le mode de définition de la requête de provisioning dans le concepteur
Identity Manager. Pour plus de détails sur la personnalisation de la conception d'un workflow de provisioning, reportez-vous au
Guide de conception de l'application utilisateur Identity Manager
(http://www.novell.com/documentation/idmrbpm361/index.html)
.
12.1.1 À propos des équipes
Une équipe identifie un groupe d'utilisateurs. Elle détermine qui peut gérer les requêtes de provisioning et les tâches d'approbation qui lui sont associées. La définition de l'équipe comporte la liste des gestionnaires d'équipe, des membres de l'équipe et des options de l'équipe, comme indiqué ci-dessous :
Les gestionnaires d'équipe sont les utilisateurs pouvant administrer des requêtes et des tâches pour l'équipe. Les gestionnaires d'équipe ont également l'autorisation de définir des proxy et des délégués pour les membres de l'équipe. Les gestionnaires d'équipe peuvent être des utilisateurs ou des groupes.
Les membres de l'équipe sont les utilisateurs autorisés à participer à l'équipe. Les membres de l'équipe peuvent être des utilisateurs, des groupes ou des conteneurs au sein du répertoire. Ils peuvent également provenir des relations du répertoire. Par exemple, la liste des membres peut provenir de la relation gestionnaire-employé au sein de l'entreprise. Dans ce cas, les membres de l'équipe sont tous les utilisateurs qui rendent compte au gestionnaire d'équipe.
Gestion du travail de votre équipe
159
Remarque : l'administrateur de l'application de provisioning peut configurer la couche d'abstraction d'annuaire pour prendre en charge les relations en cascade, dans lesquelles plusieurs niveaux d'une entreprise peuvent être incluses au sein d'une équipe. Le nombre de niveaux à inclure peut être configuré par l'administrateur.
Les options de l'équipe déterminent l'étendue des requêtes de provisioning, qui spécifie si l'équipe peut agir sur une requête de provisioning individuelle, sur une ou plusieurs catégories de requêtes, ou sur toutes les requêtes. Les options de l'équipe déterminent également si les gestionnaires d'équipe peuvent définir des proxy pour les membres de l'équipe et/ou définir la disponibilité des membres de l'équipe en vue d'une délégation.
L'administrateur de l'application de provisioning peut assumer toutes les fonctions de gestion de l'équipe.
La définition de l'équipe elle-même est gérée dans iManager par un ou plusieurs gestionnaires administratifs.
12.1.2 À propos des droits de requête de l'équipe
Les droits de requête de l'équipe spécifient une liste de requêtes qui entrent dans le domaine d'une
équipe, ainsi que les opérations que les gestionnaires d'équipe peuvent effectuer sur les requêtes et les tâches de provisioning.
Les droits de requête sont gérés dans iManager par un ou plusieurs gestionnaires administratifs. Le gestionnaire d'équipe n'est pas autorisé à définir ces droits.
Votre administrateur a le pouvoir de définir l'étendue du contrôle des gestionnaires d'équipe selon les besoins de chaque équipe. De ce fait, vous pouvez disposer de droits différents sur les requêtes et les tâches, selon l'équipe pour laquelle vous agissez en tant que gestionnaire. Si vous vous interrogez quant aux droits d'accès d'une équipe donnée, veuillez contacter votre administrateur.
12.2 Gestion des tâches de votre équipe
Lorsqu'une tâche se trouve dans une file d'attente de workflow, vous pouvez effectuer les opérations suivantes :
Section 12.2.1, « Affichage des tâches par membre de l'équipe », page 161
Section 12.2.2, « Affichage des tâches par utilisateur ou par groupe », page 162
Section 12.2.3, « Utilisation des formats d'affichage de la liste des tâches », page 164
Section 12.2.4, « Sélection d'une tâche », page 168
Section 12.2.5, « Réclamation d'une tâche », page 171
Section 12.2.6, « Réassignation d'une tâche », page 175
Section 12.2.7, « Libération d'une tâche », page 176
160 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
12.2.1 Affichage des tâches par membre de l'équipe
Un gestionnaire d'équipe peut voir les tâches d'un membre de l'équipe. Seules les tâches disponibles pour l'équipe peuvent figurer dans la liste des tâches.
1 Cliquez sur Tâches de l'équipe dans le groupe d'opérations Le travail de mon équipe pour afficher la fenêtre Tâches de l'équipe.
2 Cliquez sur la flèche vers le bas Sélectionner une équipe pour afficher les équipes. Sélectionnez une équipe pour laquelle vous avez été désigné gestionnaire.
3 Sélectionnez un utilisateur.
Si la case de sélection Utilisateur contient un nom, cliquez sur la flèche vers le bas Utilisateur pour afficher tous les membres de l'équipe sélectionnée. Cliquez sur le nom de la personne dont vous souhaitez afficher les tâches.
Si la case de sélection Utilisateur est vide, cliquez sur l'icône Sélecteur d'objet pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
Votre administrateur définit votre équipe et spécifie si une liste de sélection remplie automatiquement ou une liste vide avec une icône Sélecteur d'objet doit s'afficher à votre intention à côté de la case de sélection.
4 (Facultatif) Spécifiez un intervalle d'expiration pour trouver les tâches qui expirent pendant la durée sélectionnée. Spécifiez un ou plusieurs chiffres, par exemple 10.
Si vous spécifiez un intervalle de timeout, indiquez s'il doit être exprimé en jours, en semaines ou en mois.
5 Utilisez Filtrer par pour sélectionner le sous-ensemble de tâches que vous souhaitez afficher pour un membre de l'équipe. Pour afficher les tâches qui accordent ou annulent des ressources pour le membre de l'équipe, sélectionnez Destinataire. Pour afficher les tâches dont le membre de l'équipe est responsable de l'exécution, sélectionnez Assigné à. Vous pouvez sélectionner les deux types de tâche.
6 Dans la case de sélection Colonnes de la liste des tâches, sélectionnez une ou plusieurs colonnes de tâche à afficher et cliquez sur la flèche droite pour les ajouter à la liste des tâches.
L'ordre dans lequel vous sélectionnez les colonnes correspond à leur ordre d'apparition à l'écran. Les colonnes disponibles sont les suivantes :
Gestion du travail de votre équipe 161
Tâche. (Requis.)
Requête
Destinataire
Date de la requête
Type
Assignée à
Demandée par
Réclamée
Expiration
Priorité
Signature numérique
7 Cliquez sur Rechercher pour afficher la liste des tâches de l'utilisateur sélectionné.
8 Pour afficher les tâches d'un membre d'une autre équipe ou les tâches d'une autre équipe, revenez à l'
et définissez une nouvelle recherche.
12.2.2 Affichage des tâches par utilisateur ou par groupe
L'administrateur d'une application de provisioning peut afficher les tâches par utilisateur ou par groupe.
1 Cliquez sur Tâches de l'équipe dans le groupe d'opérations Le travail de mon équipe pour afficher la fenêtre Tâches de l'équipe.
2 Pour Type de sélection, choisissez Utilisateur ou Groupe.
3 Pour rechercher un nom, cliquez sur l'icône Sélecteur d'objet , spécifiez les critères de recherche et cliquez sur Rechercher.
Cliquez sur un nom d'utilisateur ou un nom de groupe pour le sélectionner. L'exemple suivant de la page de recherche d'objet décrit une recherche sur tous les groupes :
162 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
4 Spécifiez éventuellement un intervalle d'expiration pour trouver les tâches qui expirent au cours de l'intervalle. Spécifiez un ou plusieurs chiffres.
Si vous spécifiez un intervalle de timeout, indiquez s'il doit être exprimé en jours, en semaines ou en mois.
5 Cliquez sur Filtrer par pour sélectionner un sous-ensemble de tâches. Pour voir les tâches qui accordent ou annulent des ressources pour l'utilisateur ou le groupe, sélectionnez Destinataire.
Pour afficher les tâches dont l'utilisateur ou le groupe est responsable de l'exécution, sélectionnez Assignée à. Vous pouvez sélectionner les deux types de tâche.
6 Dans la case de sélection Colonnes de la liste des tâches, sélectionnez une ou plusieurs descriptions de tâche à afficher, puis cliquez sur la flèche droite pour ajouter les descriptions à la liste des tâches. L'ordre dans lequel vous ajoutez les descriptions correspond à l'ordre d'apparition des en-têtes de colonne dans la liste des tâches. Vous disposez des options suivantes :
Tâche. (Requis.)
Requête
Destinataire
Date de la requête
Type
Assignée à
Demandée par
Réclamée
Expiration
Priorité
Signature numérique
7 Cliquez sur Rechercher pour afficher les tâches.
Gestion du travail de votre équipe 163
Les tâches de groupe affichées sont celles qui sont explicitement assignées au groupe et non celles assignées à ses membres. Pour afficher les tâches assignées à une personne, affichez ses tâches.
8 Pour afficher les tâches d'un autre utilisateur ou groupe, revenez à l'
et définissez une nouvelle recherche.
12.2.3 Utilisation des formats d'affichage de la liste des tâches
La liste des tâches s'affiche au format modèle ou exposé. Votre administrateur choisit le format d'affichage.
Le format d'affichage modèle
Le format modèle est le format d'affichage par défaut. La Figure 12-1
illustre un exemple de cette page.
Figure 12-1
Exemple de liste des tâches au format d'affichage modèle.
L'affichage permet de trier les colonnes par valeur, de définir le nombre de tâches par page et de parcourir la liste des tâches.
Tri d'une colonne par valeur
1 Cliquez sur l'en-tête d'une colonne pour trier les valeurs qu'elle contient.
2 Cliquez de nouveau sur l'en-tête pour inverser l'ordre de tri.
Configuration du nombre de tâches par page
1 Cliquez sur la flèche vers le bas de la case de sélection Nombre de tâches par page située dans le coin supérieur droit, au-dessus de la liste des tâches.
2 Choisissez d'afficher 5, 10 ou 25 tâches par page.
Parcours de la liste des tâches
1 Cliquez sur Premier, Précédent, Suivant et Dernier pour parcourir la liste des tâches.
164 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Le format d'affichage exposé
Le format d'affichage exposé permet de filtrer les données récupérées. La Figure 12-2 illustre un
exemple du format d'affichage exposé :
Figure 12-2
Exemple de liste des tâches au format d'affichage exposé.
Tri d'une colonne par valeur
1 Cliquez sur l'en-tête d'une colonne pour trier les valeurs qu'elle contient.
2 Cliquez de nouveau sur l'en-tête pour inverser l'ordre de tri.
Filtrage de l'affichage des données
Le format d'affichage exposé montre l'intégralité de l'ensemble de données renvoyé par votre recherche. Vous pouvez utiliser des filtres pour filtrer l'ensemble de données. Les filtres sont affichés sur la droite et portent le nom des en-têtes de colonne de votre recherche. Vous pouvez filtrer les données en fonction des valeurs des colonnes Tâche, Requête, Assignée à et Demandée par. Les filtres apparaissent uniquement si les colonnes correspondantes figurent dans l'affichage.
Remarque : l'affichage exposé fait référence aux filtres en tant que facettes.
La
Figure 12-3 illustre un exemple avec un filtre Requête et un filtre Assignée à :
Gestion du travail de votre équipe 165
Figure 12-3
Deux filtres dans l'affichage exposé
Un nombre et, éventuellement, une coche figurent en regard de chaque paramètre de filtre. Le nombre indique le nombre de tâches qui correspondent à ce paramètre dans l'ensemble de filtres actuel. La coche indique si le paramètre de filtre est ou non sélectionné. Au départ, tous les paramètres de filtre sont sélectionnés, ce qui permet d'afficher toutes les données à partir de votre recherche. Si un filtre ne comporte qu'un seul paramètre, ce paramètre est automatiquement sélectionné.
1 Pour afficher un sous-ensemble de données, cliquez sur un ou plusieurs paramètres dans une ou plusieurs cases de filtre.
Remarque : la sélection d'un paramètre dans un filtre peut modifier la disponibilité des paramètres des autres filtres.
Par exemple, si vous cliquez sur le nom de Margo dans le filtre Assignée à et sur celui de Kevin dans le filtre Demandée par, seules les tâches assignées à Margo Mackenzie et demandées par
Kevin Chester sont affichées, comme illustré à la
:
Figure 12-4
Exemple de liste des tâches après application de deux filtres
166 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Exportation de données à partir de votre affichage
1 Pour exporter les données affichées, cliquez sur Copier la liste vers le presse-papiers (en haut de l'écran).
2 Choisissez Valeurs séparées par des tabulations ou HTML généré à partir de cette vue.
L'affichage exposé génère un fichier de texte codé.
3 Copiez le contenu vers le presse-papiers.
4 Collez dans un fichier de destination les données présentes dans le presse-papiers.
5 Cliquez sur Fermer ou appuyez sur Échap pour fermer la fenêtre de texte codé.
Description des icônes d'affichage
Les vues Modèles et Exposé affichent toutes deux des icônes qui indiquent l'état de chaque tâche dans l'ensemble de résultats. Cette section décrit les icônes d'affichage qui apparaissent dans la liste des tâches :
« Colonne Signature numérique » page 168
Colonne Type
Des indicateurs d'état apparaissent dans la colonne Type. Les indicateurs sont définis dans la légende. Pour accéder à la légende, cliquez sur l'icône multicolore située à droite de la barre de titre
Tâches de l'équipe. La
affiche la légende.
Figure 12-5
Icônes qui apparaissent sur l'écran Tâches de l'équipe
Colonne Priorité
Un indicateur rouge correspond à une tâche dont la priorité est élevée. Cette priorité est configurée dans la définition de requête de provisioning créée par votre administrateur.
Gestion du travail de votre équipe 167
Colonne Réclamée
L'icône Réclamée dans la colonne Réclamée indique que la tâche a été réclamée.
Colonne Signature numérique
L'icône Signature numérique dans la colonne Signature numérique indique qu'une signature numérique est requise pour approuver ou refuser la tâche.
12.2.4 Sélection d'une tâche
Pour sélectionner et ouvrir une tâche dans la liste des tâches :
1 Cliquez sur le nom de la tâche.
Le formulaire des détails des tâches de l'équipe s'affiche.
Lorsqu'une tâche est assignée à plusieurs approbateurs, le formulaire Détail de la tâche affiche l'icône Approbateurs multiples à côté du champ Assigné à, et affiche un texte sous cette icône pour indiquer que plusieurs approbations sont nécessaires.
2 Pour afficher des informations supplémentaires concernant une tâche assignée à plusieurs approbateurs, cliquez sur le texte situé sous l'icône Approbateurs multiples :
168 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Une fenêtre contextuelle s'affiche, indiquant combien d'approbations sont requises, qui sont les destinataires actuels, et quel est le statut d'approbation actuel.
Les conditions de la tâche dépendent de la manière dont elle a été configurée par votre administrateur :
Si le type d'approbation est groupe, la tâche a été assignée à plusieurs utilisateurs au sein d'un groupe, mais un seul est supposé la réclamer et l'approuver.
Si le type d'approbation est approbateurs multiples, la tâche a été assignée à plusieurs destinataires, et tous les destinataires doivent la réclamer et l'approuver.
Si le type d'approbation est quorum, la tâche a été assignée à plusieurs destinataires, et un quorum de destinataires est suffisant pour l'approuver. La définition d'un quorum est configurée par l'administrateur. Pour définir le quorum, l'administrateur indique une condition d'approbation qui précise le nombre exact d'approbations ou le pourcentage d'approbations nécessaires.
4 Pour réassigner une tâche, suivez les instructions de la
Section 12.2.6, « Réassignation d'une tâche », page 175 .
5 Pour afficher l'historique des commentaires d'une tâche, cliquez sur Afficher l'historique des
commentaires.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
5a Pour afficher les commentaires de l'utilisateur, cliquez sur Afficher les commentaires de
l'utilisateur.
Gestion du travail de votre équipe 169
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité.
Remarque : le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour plus d'informations, reportez-vous au
Guide de conception de l'application utilisateur Identity Manager (http://www.novell.com/ documentation/idmrbpm361/index.html)
.
5b Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
170 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs professionnels n'ont pas besoin de consulter les commentaires du système pour un workflow.
5c Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
5d Cliquez sur Fermer pour fermer la fenêtre.
6 Pour revenir à la liste des tâches, cliquez sur Précédent.
Remarque : les boutons Réclamer et Réassigner ne sont visibles que si ces opérations sont autorisées par les droits de requête de l'équipe.
12.2.5 Réclamation d'une tâche
Pour réclamer une tâche d'un membre de l'équipe et pourvoir travailler sur celle-ci :
1 Cliquez sur Réclamer.
Gestion du travail de votre équipe 171
La section Détails du formulaire de la page est mise à jour pour inclure les bouton Refuser et
Approuver, ainsi que d'autres boutons d'opération inclus par la définition du flux, et les champs correspondants peuvent être modifiés.
Si la ressource que vous avez demandée nécessite une signature numérique, L'icône Signature numérique obligatoire apparaît dans l'angle supérieur droit de la page.
En outre, dans Internet Explorer, un message s'affiche pour vous avertir que vous devez appuyer sur la barre d'espace ou la touche Entrée pour activer l'applet de signature numérique.
2 Si vous travaillez sur une tâche nécessitant une signature numérique, procédez de la façon suivante :
2a Si vous utilisez une carte à puce, insérez-la dans son lecteur.
2b Dans Internet Explorer, appuyez sur la barre d'espace ou sur la touche Entrée pour activer l'applet.
À cette étape, il se peut que votre navigateur affiche un message d'avertissement de sécurité.
172 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2c Cliquez sur Exécuter pour continuer.
2d Complétez les champs du formulaire d'approbation. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
2e Cochez la case située en regard du message de confirmation de la signature numérique pour indiquer que vous êtes prêt à signer.
Le message de confirmation de la signature numérique varie selon la manière dont la ressource de provisioning a été configurée par l'administrateur.
L'applet affiche ensuite une fenêtre contextuelle qui permet de sélectionner un certificat.
La fenêtre contextuelle répertorie les certificats importés dans le navigateur, ainsi que ceux importés dans la carte à puce (si une carte à puce est connectée).
2f Sélectionnez le certificat que vous voulez utiliser et cliquez sur Sélectionner.
Gestion du travail de votre équipe 173
2g Si vous sélectionnez un certificat ayant été importé dans votre navigateur, vous devez saisir le mot de passe de certificat dans le champ Mot de passe du formulaire de requête.
2h Si vous sélectionnez un certificat ayant été importé dans votre carte à puce, saisissez le code PIN de cette dernière et cliquez sur OK.
Il n'est pas nécessaire de saisir le mot de passe du certificat si vous utilisez une carte à puce, car il a déjà été transmis à celle-ci.
Si votre administrateur a accordé droit d'afficher l'aperçu de l'accord de l'utilisateur, le bouton Prévisualiser est activé.
2i Cliquez sur Prévisualiser pour afficher l'accord de l'utilisateur.
Si le type de signature numérique est défini sur Formulaire, un document PDF s'affiche.
Si le type de signature numérique est défini sur Données, un document XML s'affiche.
3 Pour refuser la requête, cliquez sur Refuser.
4 Pour approuver la requête, cliquez sur Approuver.
174 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
L'application utilisateur affiche un message indiquant si l'opération s'est bien déroulée.
12.2.6 Réassignation d'une tâche
Pour réassigner une tâche d'un membre de l'équipe :
1 Cliquez sur Réassigner dans la fenêtre de détail des tâches de l'équipe.
2 Cliquez sur l'icône Sélecteur d'objet
à côté de la zone de saisie que vous avez choisie.
3 Dans la liste déroulante Réassigner à, sélectionnez l'utilisateur auquel vous voulez réassigner la tâche.
Gestion du travail de votre équipe 175
4 (Facultatif) Saisissez un commentaire dans la zone Commentaires pour expliquer la raison de la réassignation.
5 Cliquez sur Soumettre.
L'application utilisateur affiche un message indiquant si l'opération s'est bien déroulée.
12.2.7 Libération d'une tâche
La libération d'une tâche s'effectue afin qu'elle puisse être assignée ou réclamée par un autre membre.
1 Cliquez sur Libérer dans la fenêtre de détail des tâches de l'équipe.
176 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
12.3 Formulation de requêtes pour les équipes
L'opération Demander des ressources pour l'équipe permet de demander des ressources pour les membres de l'équipe.
1 Cliquez sur Demander des ressources pour l'équipe dans le groupe d'opérations Le travail de
mon équipe.
La page Demander des ressources pour l'équipe s'affiche.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire. Cliquez ensuite sur Continuer.
L'application affiche une page qui permet de sélectionner une catégorie.
3 Sélectionnez la catégorie de la requête dans la liste déroulante Type de requête. Sélectionnez
Tout pour inclure les requêtes de toutes les catégories disponibles.
La liste des catégories disponibles dépend des droits de requête de l'équipe. Si l'étendue de la requête de provisioning de l'équipe n'inclut pas de catégories de ressource, la liste des catégories ne s'affiche pas. Dans ce cas, passez à l'étape suivante pour sélectionner une ressource.
4 Cliquez sur Continuer.
La page Demander des ressources pour l'équipe affiche la liste des ressources que vous pouvez demander. Cette liste ne comporte que les ressources pour lesquelles les gestionnaires d'équipe sont autorisés à lancer des requêtes.
Gestion du travail de votre équipe 177
5 Cliquez sur le nom d'une ressource pour la sélectionner.
6 Cliquez sur le nom d'un Destinataire pour le sélectionner. Le membre de l'équipe que vous sélectionnez est le destinataire de l'équipe.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet à côté de la zone de sélection Destinataire, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
Si la stratégie de flux du workflow a été définie pour prendre e charge plusieurs destinataires, l'application permet de sélectionner un groupe, un conteneur ou une équipe comme destinataire. Selon la manière dont le workflow est configuré, l'application utilisateur peut produire un workflow distinct pour chaque destinataire (afin que la requête puisse être approuvée ou refusée indépendamment pour chaque destinataire) ou initier un flux unique qui inclut plusieurs étapes de provisioning, une par destinataire. Dans le dernier cas, l'approbation ou le refus de la requête s'applique à tous les destinataires.
7 Cliquez sur Continuer.
8 La page Demander des ressources pour l'équipe affiche le formulaire de requête. Complétez les champs du formulaire de requête. Dans l'exemple qui suit, le seul champ obligatoire est Raison
de la requête.
Les champs du formulaire varient selon la ressource que vous avez demandée.
178 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si la ressource que vous avez demandée nécessite une signature numérique, l'icône Signature
numérique obligatoire apparaît dans l'angle supérieur droit de la page.
En outre, dans Internet Explorer, un message s'affiche pour vous avertir que vous devez appuyer sur la barre d'espace ou la touche Entrée pour activer l'applet de signature numérique.
9 Si vous effectuez une requête nécessitant une signature numérique, procédez de la façon suivante :
9a Si vous utilisez une carte à puce, insérez-la dans son lecteur.
9b Dans Internet Explorer, appuyez sur la barre d'espace ou sur la touche Entrée pour activer l'applet.
À cette étape, il se peut que votre navigateur affiche un message d'avertissement de sécurité.
Gestion du travail de votre équipe 179
9c Cliquez sur Exécuter pour continuer.
9d Complétez les champs du formulaire de requête initial. Les champs du formulaire varient en fonction de la ressource que vous avez demandée.
9e Cochez la case située en regard du message de confirmation de la signature numérique pour indiquer que vous êtes prêt à signer.
Le message de confirmation de la signature numérique varie selon la manière dont la ressource de provisioning a été configurée par l'administrateur.
L'applet affiche ensuite une fenêtre contextuelle qui permet de sélectionner un certificat.
La fenêtre contextuelle répertorie les certificats importés dans le navigateur, ainsi que ceux importés dans la carte à puce (si une carte à puce est connectée).
9f Sélectionnez le certificat que vous voulez utiliser et cliquez sur Sélectionner.
180 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
9g Si vous sélectionnez un certificat ayant été importé dans votre navigateur, vous devez saisir le mot de passe de certificat dans le champ Mot de passe du formulaire de requête.
9h Si vous sélectionnez un certificat ayant été importé dans votre carte à puce, saisissez le code PIN de cette dernière et cliquez sur OK.
Il n'est pas nécessaire de saisir le mot de passe du certificat si vous utilisez une carte à puce, car il a déjà été transmis à celle-ci.
Si votre administrateur a accordé droit d'afficher l'aperçu de l'accord de l'utilisateur, le bouton Prévisualiser est activé.
9i Cliquez sur Prévisualiser pour afficher l'accord de l'utilisateur.
Si le type de signature numérique est défini sur Formulaire, un document PDF s'affiche. Si le type de signature numérique est défini sur Données, un document XML s'affiche.
10 Cliquez sur Soumettre.
Un workflow démarre pour l'utilisateur.
La page Demander des ressources pour l'équipe affiche un message d'état indiquant si la requête a été soumise avec succès.
Si votre requête nécessite une autorisation d'une ou plusieurs personnes de l'entreprise, elle démarre un ou plusieurs workflows pour obtenir ces approbations.
12.4 Gestion des requêtes de votre équipe
L'opération Requêtes de l'équipe permet aux gestionnaires d'équipe et à l'administrateur de l'application de provisioning d'afficher l'état et l'historique des requêtes de ressource et de retirer des requêtes de ressource.
Remarque : l'opération Requêtes de l'équipe n'affiche pas les requêtes de rôle ou d'attestation. Pour consulter l'état d'une requête de rôle, vous devez utiliser l'opération Afficher l'état de la requête de l'onglet Rôles. Pour consulter l'état d'une requête d'attestation, vous devez utiliser l'opération
Afficher l'état de la requête d'attestation de l'onglet Conformité.
1 Cliquez sur Requêtes de l'équipe dans le groupe d'opérations Le travail de mon équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Gestion du travail de votre équipe 181
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
L'administrateur de l'application de provisioning ne peut pas filtrer la liste des requêtes de l'équipe par conteneur ou par groupe. L'administrateur doit sélectionner des membres de l'équipe individuellement.
3 Cliquez sur Continuer.
La page Demander des ressources pour l'équipe vous invite à sélectionner un Membre de
l'équipe, le Type de requête (une catégorie) et un filtre Date de la requête.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Après avoir sélectionné un membre de l'équipe, vous pouvez sélectionner le Type de requête
(catégorie) et un filtre Date de la requête. Cliquez sur Continuer.
La page Requêtes de l'équipe comprend :
Chaque ressource demandée
Qui la reçoit
Qui l'a demandée
Le statut de la requête
Les requêtes de l'équipe sont affichées. La liste des requêtes n'inclut que celles qui sont disponibles pour l'équipe.
182 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
6 Pour afficher les détails d'une requête, cliquez sur son nom dans la liste.
La page Détail de la requête affiche des détails tels que
Nom de la ressource
Destinataire de la ressource
Statut des activités qui prennent en charge la requête
Qui a demandé la ressource
Quand la requête a été effectuée
Commentaires
7 Pour afficher l'historique des commentaires d'une requête, cliquez sur Afficher les
commentaires et l'historique du flux.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
7a Pour afficher les commentaires de l'utilisateur, cliquez sur Afficher les commentaires de
l'utilisateur.
Gestion du travail de votre équipe 183
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité. le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour plus d'informations, reportez-vous au
Guide de conception de
l'application utilisateur Identity Manager (http://www.novell.com/documentation/ idmrbpm361/index.html) .
7b Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
184 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs professionnels n'ont pas besoin de consulter les commentaires du système pour un workflow.
7c Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
7d Cliquez sur Fermer pour fermer la fenêtre.
8 Pour retirer la requête, cliquez sur Retirer dans la page Détail de la requête. Retirer est activé pour les processus en cours. Dans les processus terminés, Retirer est désactivé.
Le bouton Retirer ne s'affiche pas avant que des gestionnaires d'équipes n'aient reçu l'autorisation de retirer des requêtes dans les droits de requête de l'équipe.
Gestion du travail de votre équipe 185
186 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Configuration des paramètres de provisioning de votre équipe
Cette section indique comment utiliser les opérations Paramètres de mon équipe dans l'onglet
Requêtes et approbations de l'interface utilisateur Identity Manager. Les rubriques incluent :
Section 13.1, « À propos des opérations Paramètres de mon équipe », page 187
Section 13.2, « Affichage et modification des assignations de proxy de votre équipe », page 187
Section 13.3, « Affichage et modification des assignations de délégué de votre équipe », page 192
Section 13.4, « Spécification de la disponibilité de votre équipe », page 198
13.1 À propos des opérations Paramètres de mon équipe
L'onglet Requêtes et approbations de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Param. de mon équipe. Les opérations Paramètres de mon équipe permettent de :
Créer, afficher et modifier les assignations de proxy actuelles de votre équipe.
Créer, afficher et modifier les assignations de délégué actuelles de votre équipe.
Définir et afficher la disponibilité des membres de l'équipe pour les assignations de délégué.
13.2 Affichage et modification des assignations de proxy de votre équipe
L'opération Assignations du proxy de l'équipe permet de gérer l'assignation de proxy de chacun des membres de votre équipe. Les règles de définition des proxy sont les suivantes :
Si vous êtes le gestionnaire d'équipe, vous pouvez être autorisé à définir des proxy pour les membres de votre équipe. L'autorité permettant de définir des proxy est déterminée par la définition de l'équipe.
Les personnes que vous définissez comme proxy doivent également faire partie de votre
équipe.
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de proxy pour n'importe quel utilisateur, groupe ou conteneur de l'entreprise.
Pour assigner un proxy à un membre de l'équipe :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
13
Configuration des paramètres de provisioning de votre équipe
187
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
La liste des équipes inclut celles pour lesquelles des gestionnaires d'équipe sont autorisés à définir des proxy, ainsi que celles pour lesquelles la possibilité de définir des proxy a été désactivée. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxy, Le gestionnaire peut néanmoins afficher les paramètres de proxy définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut pas modifier ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
Pour trier les assignations de proxy, cliquez sur le champ Proxy assigné.
6 Cliquez sur Nouveau.
188 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des proxy pour les membres de l'équipe.
7 Complétez les champs de la façon suivante :
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Expiration
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que les membres de l'équipe pour lesquels le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si l'assignation réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
9 Cliquez sur Retour aux Assignations du proxy de l'équipe pour créer ou modifier une assignation de proxy.
Pour modifier des assignations de proxy existantes :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Configuration des paramètres de provisioning de votre équipe 189
La liste des équipes inclut celles pour lesquelles des gestionnaires d'équipe sont autorisés à définir des proxy, ainsi que celles pour lesquelles la possibilité de définir des proxy a été désactivée. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxy, Le gestionnaire peut néanmoins afficher les paramètres de proxy définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut pas modifier ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
6 Pour modifier une assignation de proxy, cliquez sur le bouton Modifier qui se trouve en regard de l'assignation à modifier.
Si la définition de l'équipe ne permet pas aux gestionnaires d'équipe de définir des proxy, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
190 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Expiration
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que le membre de l'équipe pour lequel le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si la modification réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
Pour supprimer des assignations de proxy :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Pour supprimer un paramètre de proxy, cliquez sur Supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher une confirmation de ce type :
Submission was successful.Changes will be reflected upon the assigned's next login.
Configuration des paramètres de provisioning de votre équipe 191
Remarque : il est également possible de supprimer une assignation de proxy au cours du processus de modification d'assignation de proxy.
13.3 Affichage et modification des assignations de délégué de votre équipe
L'opération Assignations de délégué de l'équipe permet de gérer les assignations de délégué des membres de l'équipe. Les règles permettant de définir les délégués sont les suivantes :
Vous êtes autorisé à définir les délégués des membres d'une équipe pour laquelle vous avez désigné un gestionnaire, si la définition de l'équipe vous en donne le droit.
Les personnes que vous définissez comme délégués doivent également faire partie de votre
équipe.
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de délégué pour n'importe quel utilisateur, groupe ou conteneur de l'entreprise.
Pour définir une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
192 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Cliquez sur Nouveau.
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des délégués pour les membres de l'équipe.
7 Complétez les champs de la façon suivante :
Configuration des paramètres de provisioning de votre équipe 193
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de
ces modifications
Destinataire
Expiration
Type de requête
Requêtes disponibles dans la
catégorie sélectionnée
Requêtes sélectionnées
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le délégué a été assigné reçoivent une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Sélectionnez une ou plusieurs requêtes de ressource de cette liste et cliquez sur Ajouter.
Cette liste affiche les types de requêtes de ressources ayant
été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer vos assignations.
Si l'enregistrement réussit, un message de ce type s'affiche :
194 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Submission was successful
Please note that any previous availability settings for users referenced in processed delegatee assignment will not be updated automatically. Please check and refresh any existing availability settings for the corresponding users in order to activate these changes.
Pour modifier des assignations de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
Les assignations de délégué du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Pour supprimer une assignation de délégué, cliquez sur le bouton Modifier, sur la ligne de l'assignation à supprimer.
Si les droits de requête de l'équipe n'autorisent pas les gestionnaires à définir des délégués, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
Configuration des paramètres de provisioning de votre équipe 195
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de
ces modifications
Destinataire
Expiration
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seul le membre de l'équipe pour lequel le délégué a été assigné reçoit une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
196 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Type de requête
Description
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Pour indiquer que cette assignation de délégué s'applique à toutes les catégories, définissez le type de requête de l'assignation de délégué sur Tout.
Requêtes disponibles dans la
catégorie sélectionnée
Requêtes sélectionnées
Remarque : l'option Tout n'est disponible que si l'administrateur de provisioning a activé l'option Autoriser toutes les demandes pour votre application.
Sélectionnez une ou plusieurs requêtes de ressource de cette liste et cliquez sur Ajouter.
La liste des requêtes de provisioning n'inclut que les requêtes qui entrent dans le domaine de l'équipe. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe
à définir des délégués, les requêtes de provisioning associées
à l'équipe ne sont pas incluses à la liste.
Cette liste affiche les types de requêtes de ressources ayant
été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Pour supprimer une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe pour afficher les assignations déléguées à ce membre de l'équipe, ainsi que les assignations déléguées depuis ce membre de l'équipe.
2 Pour supprimer une assignation de délégué, cliquez sur le bouton Supprimer, sur la ligne de l'assignation à supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher un message de confirmation.
Configuration des paramètres de provisioning de votre équipe 197
13.4 Spécification de la disponibilité de votre
équipe
L'opération Disponibilité de l'équipe permet de spécifier les requêtes de ressource sur lesquelles les membres de votre équipe ne sont pas autorisés à travailler. Pendant la période au cours de laquelle vous ou les membres de votre équipe n'êtes pas disponibles, les requêtes de ressource de ce type sont dirigées vers la file d'attente du délégué.
Vous pouvez spécifier la disponibilité de chaque requête de ressource individuellement ou globalement. Vous ne pouvez spécifier la disponibilité que pour les utilisateurs auxquels sont assignés des délégués.
1 Cliquez sur Disponibilité de l'équipe dans le groupe d'opérations paramètres de l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir la disponibilité (spécifiée dans la définition de l'équipe), ainsi que celles pour lesquelles la possibilité de définir la disponibilité a été désactivée. Si la définition de l'équipe n'autorise pas les gestionnaires d'équipe à définir la disponibilité, le gestionnaire peut néanmoins afficher les paramètres de disponibilité définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de disponibilité.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner, puis sur Continuer.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
198 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les assignations de disponibilité du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Pour consulter les détails concernant une ressource particulière associée à une assignation de disponibilité, cliquez sur le nom de la ressource :
La page affiche ensuite une fenêtre contextuelle fournissant des informations concernant l'assignation de délégué :
Ces informations sont particulièrement utiles dans les situations où le même nom de ressource apparaît plusieurs fois dans la liste des paramètres de disponibilité.
6 Cliquez sur Nouveau.
Le bouton Nouveau est activé seulement pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des paramètres de disponibilité pour les membres de l'équipe.
7 Spécifiez le statut en sélectionnant l'une des options suivantes dans la liste déroulante Modifier
l'état :
Configuration des paramètres de provisioning de votre équipe 199
État
Disponible pour TOUTES les requêtes
Description
Il s'agit du statut par défaut. Il indique que le membre de l'équipe est globalement disponible. Lorsque ce statut est en vigueur, les requêtes assignées au membre de l'équipe ne sont pas déléguées, même si des délégués sont assignés.
Remarque : si vous modifiez le statut et si vous le modifiez de nouveau pour Disponible pour TOUTES les requêtes, tout paramètre Disponible de façon sélective précédemment défini est supprimé.
NON disponible pour N'IMPORTE
QUELLE requête
Indique que le membre de l'équipe n'est disponible pour aucune requête de ressource actuellement dans le système.
(Connu également sous le nom de globalement indisponible.)
Le choix de ce statut indique que le membre de l'équipe n'est pas disponible pour chaque assignation de délégué existante et modifie le statut actuel en NON disponible pour les requêtes
spécifiées.
Les assignations sont effectives immédiatement et durent jusqu'à l'expiration de l'assignation de délégué.
Remarque : ce paramètre n'a pas d'incidence sur la disponibilité des nouvelles assignations créées après cette
étape.
NON disponible pour les requêtes spécifiées
Lorsque vous sélectionnez cette option, vous êtes invité à spécifier la disponibilité du membre de l'équipe. (Il s'agit de la même opération que lorsque vous cliquez sur le bouton
Nouveau.) Vous êtes invité à spécifier :
Les types de requêtes pour lesquelles le membre de l'équipe n'est pas disponible.
Spécifiez la période d'indisponibilité du membre de l'équipe.
Pendant la période où le membre de l'équipe n'est pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
8 Spécifiez la période d'indisponibilité du membre de l'équipe :
8a Pour spécifier le début de la période, saisissez la date et l'heure de début dans la zone
Indisponible depuis, ou cliquez sur le bouton de l'agenda et sélectionnez la date et l'heure.
200 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
8b Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier la durée
Spécifier la date de fin
Description
Indique que ce paramètre d'indisponibilité n'expire pas.
Permet de spécifier la période en semaines, jours ou heures.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur l'agenda et les sélectionner dans l'agenda.
9 Pour spécifier si vous voulez envoyer des notifications par courrier électronique à d'autres utilisateurs, complétez les champs suivants :
Champ
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Indique si vous voulez envoyer un courrier
électronique pour notifier un ou plusieurs utilisateurs de cette assignation de disponibilité.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
10 Sélectionnez une ou plusieurs requêtes dans la liste Types de requêtes, puis cliquez sur Ajouter.
Sur cette page, vous pouvez sélectionner les types de requêtes que le membre de l'équipe n'accepte pas pendant la période d'indisponibilité. Cela a pour effet de déléguer ces requêtes à d'autres utilisateurs.
Chaque requête que vous ajoutez est incluse à la liste Indisponible pour la période spécifiée.
Si vous ajoutez plusieurs requêtes pour cette période, chacune est traitée comme un objet individuel pouvant être modifié séparément.
11 Pour indiquer que ce paramètre de disponibilité s'applique à tous les types de requêtes, cliquez sur Tous les types de requêtes au lieu de sélectionner individuellement des types de requêtes.
Configuration des paramètres de provisioning de votre équipe 201
La case à cocher Tous les types de requêtes n'est disponible que lorsque le type de requête pour l'assignation de délégué est défini sur Tout.
12 Pour supprimer une requête de la liste, cliquez sur Supprimer.
13 Cliquez sur Soumettre pour enregistrer vos modifications.
202 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'onglet Rôles
Ces sections décrivent la façon d'utiliser l'onglet Rôles de l'application utilisateur Identity Manager.
Chapitre 14, « Présentation de l'onglet Rôles », page 205
Chapitre 15, « Affichage des rôles », page 219
Chapitre 16, « Création d'assignations de rôle », page 221
Chapitre 17, « Gestion des rôles », page 241
Chapitre 18, « Création et affichage des rapports de rôle », page 255
IV
Utilisation de l'onglet Rôles
203
204 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Présentation de l'onglet Rôles
Cette section présente l'onglet Rôles. Les rubriques incluent :
Section 14.1, « À propos de l'onglet Rôles », page 205
Section 14.2, « Accès à l'onglet Rôles », page 211
Section 14.3, « Exploration des fonctions de l'onglet », page 211
Section 14.4, « Opérations de rôle que vous pouvez effectuer », page 213
Section 14.5, « Compréhension de la légende Rôles », page 215
Pour plus d'informations sur l'ouverture et l'utilisation de l'interface utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 17 .
14.1 À propos de l'onglet Rôles
L'objectif de l'onglet Rôles est de vous offrir un moyen pratique d'effectuer des opérations de provisioning basé sur les rôles. Ces opérations permettent de gérer les définitions et les assignations de rôle au sein de votre entreprise. Les assignations de rôle peuvent être mappées aux ressources d'une entreprise (comptes utilisateur, ordinateurs, bases de données). Par exemple, dans l'onglet
Rôles :
Faites des requêtes de rôles pour vous ou d'autres utilisateurs de votre organisation.
Créer des rôles et des relations de rôles dans la hiérarchie de rôles.
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle.
Reportez-vous aux rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs.
Lorsqu'une requête d'assignation de rôle requiert l'autorisation d'une ou de plusieurs personnes au sein d'une entreprise, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de rôle ne nécessitent l'approbation que d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes.
Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Si une requête d'assignation de rôle donne lieu à un conflit SoD potentiel, l'initiateur peut annuler la contrainte SoD et fournir une justification pour prouver la nécessité de créer une exception de contrainte. Dans certains cas, un conflit SoD peut entraîner le démarrage d'un workflow. Le workflow coordonne les approbations nécessaires à l'entrée en vigueur de l'exception SoD.
Votre concepteur de workflow et votre administrateur système sont responsables de la définition du contenu de l'onglet Rôles pour vous et les autres utilisateurs de votre entreprise. Le flux de contrôle pour un workflow basé sur les rôles ou un workflow de SoD peut varier, ainsi que l'apparence des formulaires associés, en fonction de la façon dont la définition de l'approbation a été établie dans le concepteur d'Identity Manager. En outre, ce que vous voyiez et ce que vous pouvez faire est généralement déterminé par les exigences de votre fonction et par votre niveau d'autorité.
14
Présentation de l'onglet Rôles
205
Rôles et mode proxy
Le mode proxy est uniquement opérationnel dans l'onglet Requêtes et approbations. Il n'est pas pris en charge dans l'onglet Rôles. Si vous utilisez le mode proxy dans l'onglet Requêtes et approbations, puis passez à l'onglet Rôles, le mode proxy est désactivé pour les deux onglets.
14.1.1 À propos des rôles
Cette section présente les termes et les concepts utilisés dans l'onglet Rôles :
« Rôles et assignations de rôle » page 206
« Catalogue et hiérarchie de rôles » page 206
« Séparation des tâches (SoD) » page 208
« Rôles : audit et création de rapport » page 208
« Sécurité des rôles » page 209
« Pilote de services de rôles » page 211
Rôles et assignations de rôle
Un rôle définit un ensemble d'autorisations liées à un ou plusieurs systèmes cibles ou applications.
L'onglet Rôles permet aux utilisateurs de faire des requêtes d'assignation de rôle, c'est-à-dire des associations entre un rôle et un utilisateur, un groupe ou un conteneur. L'onglet Rôles permet
également de définir des relations de rôle, qui établissent des associations entre les rôles dans la hiérarchie de rôles.
Vous pouvez assigner des rôles directement à un utilisateur. Dans ce cas, ces assignations directes lui confèrent un accès explicite aux autorisations liées à un rôle. Vous pouvez également définir des
assignations indirectes, qui permettent aux utilisateurs d'acquérir des rôles grâce à leur appartenance
à un groupe, un conteneur ou un rôle associé dans la hiérarchie de rôles.
Lorsque vous effectuez une requête d'assignation de rôle, vous pouvez définir une date d'entrée en
vigueur pour indiquer la date et l'heure d'entrée en vigueur de l'assignation. Si vous ne précisez aucune date, l'assignation est immédiate.
Vous pouvez également définir une date d'expiration pour indiquer la date et l'heure de suppression automatique de cette assignation.
Lorsqu'un utilisateur effectue une requête d'assignation de rôle, le sous-système de rôles gère le cycle de vie de la requête de rôle. Pour connaître les opérations qui ont été exécutées au niveau de la requête, vous pouvez vérifier l'état de la requête sur la page Afficher l'état de la requête.
Catalogue et hiérarchie de rôles
Avant que les utilisateurs puissent commencer à assigner des rôles, il faut tout d'abord définir les rôles dans le catalogue de rôles. Le catalogue de rôles est la zone de stockage pour toutes les définitions de rôle. Il prend en charge les données nécessaires au sous-système de rôles. Pour configurer le catalogue de rôles, un administrateur du module de rôles ou un gestionnaire de rôles définit les rôles et leur hiérarchie.
La hiérarchie de rôles établit des relations entre les rôles du catalogue. Définissez les relations de rôle pour accorder plus facilement les autorisations par le biais des assignations de rôle. Par exemple, au lieu d'assigner 50 rôles médicaux distincts chaque fois qu'un docteur rejoint votre
206 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
équipe, vous pouvez définir un rôle Docteur et spécifier une relation de rôle entre ce rôle et chacun des rôles médicaux. Assignez des utilisateurs au rôle Docteur pour leur octroyer les autorisations définies pour chaque rôle médical associé.
La hiérarchie de rôles prend en charge trois niveaux. Les rôles définis au plus haut niveau (les rôles métier) déterminent les opérations ayant une signification commerciale au sein de l'organisation. Les rôles définis au niveau intermédiaire (les rôles IT) prennent en charge les fonctions technologiques.
Les rôles définis au plus bas niveau (les rôles d'autorisation) déterminent les privilèges de niveau inférieur. Vous trouverez ci-dessous un exemple de hiérarchie de rôles à trois niveaux pour une organisation médicale. Le plus haut niveau de la hiérarchie se situe à gauche et le plus bas à droite :
Figure 14-1
Exemple de hiérarchie de rôles
Un rôle de niveau supérieur comporte automatiquement les privilèges des rôles de niveau inférieur qu'il contient. Un rôle métier, par exemple, comporte automatiquement les privilèges des rôles IT qu'il contient. De même, un rôle IT comporte automatiquement les privilèges des rôles d'autorisation qu'il contient.
Les relations de rôle ne sont pas autorisées entre les rôles homologues au sein de la hiérarchie. De plus, les rôles de niveau inférieur ne peuvent contenir des rôles de niveau supérieur.
Présentation de l'onglet Rôles 207
Lorsque vous définissez un rôle, vous pouvez éventuellement désigner un ou plusieurs propriétaires pour ce rôle. Un propriétaire de rôle est un utilisateur désigné comme le propriétaire de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire d'un rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle. Dans certains cas, le propriétaire doit demander à un administrateur de rôles de réaliser les opérations d'administration sur ce rôle.
Lorsque vous définissez un rôle, vous pouvez éventuellement associer le rôle à une ou plusieurs catégories de rôle. Une catégorie de rôle permet de classer les rôles par catégorie afin d'organiser le système de rôles. Une fois qu'un rôle a été associé à une catégorie, vous pouvez utiliser cette catégorie comme filtre lorsque vous affichez le catalogue de rôles.
Si une requête d'assignation de rôle nécessite une approbation, la définition de rôle fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs. Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une requête d'assignation de rôle.
Séparation des tâches (SoD)
La capacité à définir des contraintes SoD est une des caractéristiques clés du sous-système de rôles.
Une contrainte SoD est une règle qui définit deux rôles jugés en conflit. Les responsables de la sécurité créent les contraintes SoD pour une organisation. Grâce aux contraintes SoD, ces responsables peuvent empêcher les utilisateurs d'être assignés à des rôles en conflit. Ils peuvent
également tenir un suivi d'audit pour conserver une trace des cas où des violations ont été autorisées.
Dans une contrainte SoD, les rôles en conflit doivent appartenir au même niveau de la hiérarchie de rôles.
Certaines contraintes SoD peuvent être remplacées sans approbation ; d'autres en nécessitent une.
Les conflits autorisés sans approbation sont des violations SoD. Les conflits approuvés sont des
exceptions SoD approuvées. Le sous-système de rôles ne nécessite pas d'approbation pour les violations SoD issues d'assignations indirectes (appartenance à un groupe ou à un conteneur ou relations de rôle).
Si un conflit SoD nécessite une approbation, la définition de contrainte fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs.
Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une exception SoD.
Une liste par défaut est définie dans le cadre de la configuration du sous-système de rôles. Cette liste peut cependant être remplacée dans la définition d'une contrainte SoD.
Rôles : audit et création de rapport
Le sous-système de rôles constitue une riche fonctionnalité de création de rapport. Il permet aux auditeurs d'analyser le catalogue de rôles, ainsi que l'état des assignations de rôle et des contraintes, violations et exceptions SoD. La fonctionnalité de création de rapport sur les rôles permet aux auditeurs de rôles et aux administrateurs du module de rôles d'afficher les types de rapports suivants au format PDF :
Rapport de listes de rôles
Rapport de détails de rôle
Rapport d'assignations de rôle
Rapport de contrainte de SoD
Rapport de violations et d'exceptions SoD
208 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Rapport des rôles de l'utilisateur
Rapport des droits utilisateur
Le sous-système de rôles fournit des informations grâce à la fonctionnalité de création de rapport. Il peut en outre être configuré pour consigner les événements dans Novell
®
Audit.
Sécurité des rôles
Le sous-système de rôles fait appel à un ensemble de rôles système pour accéder en toute sécurité aux fonctions de l'onglet Rôles. Chaque opération de menu dans l'onglet Rôles est assignée à un ou plusieurs rôles système. Si un utilisateur n'est pas membre d'un des rôles associés à l'opération, l'élément de menu correspondant ne s'affiche pas dans l'onglet Rôles.
Les rôles système sont des rôles d'administration définis par le système lors de l'installation à des fins de délégation des tâches administratives. Il s'agit notamment des rôles suivants :
Administrateur du module de rôles
Gestionnaire de rôles
Auditeur de rôles
Responsable de sécurité
Les rôles système sont décrits en détail ci-dessous :
Tableau 14-1
Rôles système
Rôle
Administrateur du module de rôles
Description
Ce rôle système permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également d'exécuter n'importe quel rapport pour tous les utilisateurs quels qu'ils soient. Une personne assignée à ce rôle peut effectuer sans restriction les opérations suivantes dans l'application utilisateur :
Créer, supprimer et modifier les rôles.
Modifier les relations de rôle pour les rôles.
Faire des requêtes d'assignation d'utilisateurs, de groupes ou de conteneurs à des rôles.
Créer, supprimer et modifier les contraintes SoD.
Consulter le catalogue de rôles.
Configurer le sous-système de rôles.
Afficher l'état de toutes les requêtes.
Retirer des requêtes d'assignation de rôle.
Exécuter un ou tous les rapports.
Présentation de l'onglet Rôles 209
Rôle
Gestionnaire de rôles
Auditeur de rôles
Responsable de sécurité
Description
Ce rôle système permet aux membres de modifier les rôles et les relations de rôle. Il permet également d'accorder ou de révoquer des assignations de rôle pour les utilisateurs. Une personne assignée à ce rôle peut effectuer les opérations suivantes dans l'application utilisateur mais est limitée par les droits Parcourir des répertoires associés aux objets de rôle :
Créer de nouveaux rôles et modifier les rôles existants pour lesquels l'utilisateur possède des droits Parcourir.
Modifier les relations de rôle concernant les rôles pour lesquels l'utilisateur possède des droits Parcourir.
Faire des requêtes d'assignations d'utilisateurs, de groupes ou de conteneurs à des rôles pour lesquels l'utilisateur a des droits
Parcourir.
Parcourir le catalogue de rôles (limité en raison des droits
Parcourir).
Parcourir les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits Parcourir des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Retirer les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits Parcourir des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Ce rôle système permet aux membres d'exécuter des rapports pour lesquels ils possèdent des droits Parcourir des répertoires.
Ce rôle système permet aux membres de créer, de supprimer ou de modifier les contraintes SoD. Le responsable de sécurité doit posséder des droits Parcourir associés aux contraintes SoD.
Utilisateur authentifié
Outre la prise en charge des rôles système, le sous-système de rôles permet l'accès par les utilisateurs authentifiés. Un utilisateur authentifié est un utilisateur logué à l'application utilisateur qui ne dispose pas de privilèges spéciaux grâce à l'appartenance à un rôle système. Un utilisateur authentifié typique peut effectuer toutes les opérations suivantes :
Afficher tous les rôles qui ont été assignés à l'utilisateur.
Faire une requête d'assignation (uniquement pour son compte) concernant les rôles pour lesquels l'utilisateur possède des droits Parcourir.
Afficher l'état de la requête concernant les requêtes pour lesquelles l'utilisateur possède des droits Parcourir.
Retirer les requêtes d'assignation de rôle concernant les rôles pour lesquels l'utilisateur est à la fois demandeur et destinataire.
210 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pilote de services de rôles
Le sous-système de rôles fait appel au pilote de services de rôles pour gérer le traitement final des rôles. Ce pilote a diverses fonctions dont voici quelques exemples : il gère toutes les assignations de rôle ; il lance les workflow pour les requêtes d'assignations de rôle et les conflits nécessitant une approbation ; il consigne les assignations de rôle indirectes en fonction de l'appartenance à un groupe ou conteneur, ainsi que l'appartenance aux rôles associés. Le pilote a également deux autres fonctions : accorder et retirer les droits utilisateur en fonction de l'appartenance à un rôle, mais aussi réaliser des procédures de nettoyage pour les requêtes qui ont été menées à bien.
Pour plus de détails sur le pilote de services de rôles, reportez-vous au
Guide d'administration de
l'application utilisateur Identity Manager (http://www.novell.com/documentation/idmrbpm361/ index.html) .
14.2 Accès à l'onglet Rôles
Pour accéder à l'onglet Rôles :
1 Cliquez sur Rôles dans l'application utilisateur.
Par défaut, l'onglet Rôles s'ouvre et affiche la page Mes rôles.
Si vous ouvrez un autre onglet de l'application utilisateur et si vous souhaitez ensuite revenir au précédent, il suffit de cliquer sur l'onglet Rôles pour le rouvrir.
14.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Rôles. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
La partie gauche de l'onglet Rôles affiche un menu des opérations que vous pouvez effectuer. Les opérations sont répertoriées par catégorie (Mes rôles, Assignations de rôles, Gestion des rôles et
Création de rapport).
Présentation de l'onglet Rôles 211
Les opérations correspondant à la Gestion des rôles s'affichent uniquement si vous êtes administrateur du module de rôles ou gestionnaire de rôles. L'opération Gestion de la séparation des
tâches dans Gestion des rôles s'affiche uniquement si vous êtes administrateur du module de rôles ou responsable de sécurité. Les opérations Création de rapport sur les rôles s'affichent uniquement si vous êtes administrateur du module de rôles ou auditeur de rôles.
Lorsque vous cliquez sur une action, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Figure 14-2
Page affichée pour une opération
La plupart des pages avec lesquelles vous travaillez dans l'onglet Rôles comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende des Rôles :
212 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pour plus de détails sur la légende des Rôles, reportez-vous à la
Section 14.5, « Compréhension de la légende Rôles », page 215
.
14.4 Opérations de rôle que vous pouvez effectuer
Voici un résumé des opérations que vous pouvez utiliser par défaut dans l'onglet Rôles :
Tableau 14-2
Opérations de rôle
Catégorie Action Description
Mes rôles Mes rôles Cette opération permet d'afficher l'état et les détails de vos rôles approuvés. Elle affiche les rôles dont l'état indique
Provisionné ou Activation en attente mais n'affiche pas les rôles qui n'ont pas encore été approuvés.
Pour plus de détails, reportez-vous au Chapitre 15,
« Affichage des rôles », page 219 .
Assignations de rôles
Assignations de rôles L'opération Assignations de rôles permet aux utilisateurs de demander des assignations de rôle. Cette opération est réservée aux administrateurs du module de rôles, aux gestionnaires de rôles et aux autres utilisateurs authentifiés qui ne sont pas assignés de manière spécifique à l'un des rôles système en place.
Les administrateurs du module de rôles peuvent demander l'assignation d'utilisateurs, de groupes ou de conteneurs aux rôles. Le champ d'action de l'administrateur du module de rôles est illimité.
Les gestionnaires de rôles peuvent demander l'assignation d'utilisateurs, de groupes et de conteneurs aux rôles pour lesquels ils possèdent des droits
Parcourir.
D'autres utilisateurs authentifiés peuvent effectuer pour leur compte des requêtes d'assignation aux rôles pour lesquels ils possèdent des droits Parcourir.
Afficher l'état de la requête
Pour plus de détails, reportez-vous à la
« Assignation de rôles », page 221 .
Cette opération permet d'afficher l'état de vos requêtes de rôles (notamment les requêtes effectuées explicitement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez). Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
Pour plus de détails, reportez-vous à la
« Vérification de l'état de votre requête », page 230
.
Présentation de l'onglet Rôles 213
Catégorie
Gestion des rôles
Action Description
Parcourir le catalogue de rôles
Gérer les rôles
Gestion des relations entre les rôles
Gestion de la séparation des tâches
Configuration du soussystème de rôles
Cette opération permet d'afficher les rôles existants du catalogue de rôles. Vous pouvez également supprimer des
rôles, accéder aux opérations Gestion des relations entre les rôles et
.
Pour plus de détails, reportez-vous à la
« Consultation du catalogue de rôles », page 241 .
Cette opération permet de créer, de modifier ou de supprimer un rôle.
Pour plus de détails, reportez-vous à « Gestion des rôles » page 242
.
Cette opération permet de définir de quelle façon les rôles sont associés dans une hiérarchie de limitation de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations.
Pour plus de détails, reportez-vous à « Gestion de relations de rôle » page 247 .
Cette opération permet de définir une contrainte de séparation des tâches (SoD). Une contrainte SoD constitue une règle qui rend deux rôles mutuellement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Pour plus de détails, reportez-vous à « Gestion des contraintes SoD » page 249
.
Cette opération permet de spécifier des paramètres administratifs pour le sous-système de rôles.
Pour plus de détails, reportez-vous à « Configuration du sous-système de rôles » page 253
.
214 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Catégorie
Création de rapport sur les rôles
Action
Rapports de rôle
Rapports SoD
Rapports sur les utilisateurs
Description
Cette opération permet de créer et d'afficher des rapports qui décrivent l'état actuel des rôles et des assignations de rôle.
Pour plus de détails, reportez-vous à la
« Rapports de rôle », page 255 .
Cette opération permet de créer et d'afficher les rapports décrivant l'état des contraintes, des violations et des exceptions SoD approuvées.
Pour plus de détails, reportez-vous à la
Cette opération permet de créer et d'afficher les rapports décrivant l'état des relations de rôle et des droits pour les utilisateurs.
Pour plus de détails, reportez-vous à la
« Rapports sur les utilisateurs », page 261
.
14.5 Compréhension de la légende Rôles
La plupart des pages avec lesquelles vous travaillez dans l'onglet Rôles comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende Rôles. Pour afficher la légende, cliquez
sur le bouton Légende, illustré à la Figure 9-2
:
Figure 14-3
Le bouton Légende
La légende offre une brève description des icônes utilisées dans l'onglet Rôles. La figure ci-dessous illustre la légende.
Figure 14-4
Légende Rôles
Le tableau ci-dessous fournit des descriptions détaillées des icônes de la légende.
Présentation de l'onglet Rôles 215
Tableau 14-3
Icônes de la légende
Icône
Exécution : Traitement
Approbation en attente
Approuvé
Terminé : Provisionné
Refusé
Interrompu
Rôle
Relation de niveau supérieur
Relation de niveau inférieur
Utilisateur
Groupe
Description
Indique qu'une requête de rôle est toujours en cours de traitement.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle est en attente d'approbation pour une exception SoD ou pour l'assignation de rôle elle-même.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle a été approuvée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été approuvée.
Apparaît sur la page Afficher l'état de la requête.
Cette opération indique qu'une requête de rôle a été approuvée et que le rôle a été assigné au destinataire (utilisateur, groupe ou conteneur).
Apparaît sur les pages Mes rôles, assignations de rôle et Afficher l'état de la requête.
Indique qu'une requête de rôle a été refusée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été refusée.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle s'est interrompue avant la fin parce que l'utilisateur a annulé la requête ou parce qu'une erreur est survenue au cours du traitement.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'un objet est un rôle.
Apparaît sur les pages Mes rôles, Assignations de rôles et
Afficher l'état de la requête.
Indique qu'un rôle a une relation de niveau supérieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Gestion des relations entre les rôles.
Indique qu'un rôle a une relation de niveau inférieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Gestion des relations entre les rôles.
Indique qu'un objet est un utilisateur.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'un objet est un groupe.
Apparaît sur les pages Mes rôles et Assignations de rôles.
216 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône
Conteneur
Assignation directe
Activation en attente
Description
Indique qu'un objet est un conteneur.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'un rôle a été assigné directement à l'utilisateur, au groupe ou au conteneur sélectionné.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'une requête de rôle est en fin de traitement mais que la date d'activation est ultérieure.
Apparaît sur les pages Mes rôles et Afficher l'état de la requête.
Présentation de l'onglet Rôles 217
218 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Affichage des rôles
Cette section fournit des instructions pour afficher les rôles que vous avez définis. Les rubriques incluent :
Section 15.1, « À propos des opérations Mes rôles », page 219
Section 15.2, « Consultation des requêtes de rôle approuvées », page 219
15.1 À propos des opérations Mes rôles
L'onglet Rôles de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé
Mes rôles. Les opérations Mes rôles permettent de consulter vos rôles.
15
15.2 Consultation des requêtes de rôle approuvées
L'opération Mes rôles permet de consulter l'état et les détails pour vos rôles approuvés. Elle affiche les rôles dont l'état indique Provisionné ou Activation en attente mais n'affiche pas les requêtes de rôle qui n'ont pas encore été approuvées.
Pour afficher vos rôles approuvés :
1 Cliquez sur Mes rôles dans la liste des opérations Mes rôles.
L'application utilisateur affiche l'état des assignations de rôle pour l'utilisateur authentifié.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné à l'utilisateur actuel.
La colonne Source indique comment l'assignation de rôle a été effectuée pour l'utilisateur.
Reportez-vous à la description ci-dessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au groupe nom du groupe
Description
Indique que ce rôle a été directement assigné
à l'utilisateur courant.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un rôle associé.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un groupe.
Affichage des rôles
219
Source
Appartenance au conteneur nom du
conteneur
Description
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un conteneur.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée :
État
Provisionné
Activation en attente
Description
Approuvé (si nécessaire) et activé.
Approuvé (le cas échéant) mais pas encore activé car l'assignation de rôle entre en vigueur à une date ultérieure.
2 Vous pouvez filtrer la liste des assignations comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la zone Assignation.
2b Pour afficher les rôles qui sont assignés directement à l'utilisateur, cochez la case Directe.
2c Pour afficher les rôles assignés que l'utilisateur obtient grâce à une relation de rôle ou à son appartenance à un groupe ou un conteneur uniquement, cochez la case Indirecte.
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
Remarque : le filtrage ne s'effectue pas automatiquement. Vous devez cliquer sur le bouton Filtre pour appliquer vos critères.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour afficher les détails d'une assignation de rôle particulière, cliquez sur le nom de l'assignation dans la colonne Assignation, puis faites défiler la page jusqu'à Détails de l'assignation.
220 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Création d'assignations de rôle
Cette section fournit des instructions pour créer des assignations de rôle. Les rubriques incluent :
Section 16.1, « À propos des opérations d'assignation de rôle », page 221
Section 16.2, « Assignation de rôles », page 221
Section 16.3, « Vérification de l'état de votre requête », page 230
16.1 À propos des opérations d'assignation de rôle
L'onglet Rôles de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé
Assignations de rôles. Les opérations Assignations de rôles permettent d'effectuer des requêtes d'assignation de rôle et de vérifier l'état de vos requêtes.
16
16.2 Assignation de rôles
L'opération Assignations de rôles permet aux utilisateurs de demander des assignations de rôle.
Cette opération est réservée aux administrateurs du module de rôles, aux gestionnaires de rôles et aux autres utilisateurs authentifiés qui ne sont pas assignés de manière spécifique à l'un des rôles système en place.
Les administrateurs du module de rôles peuvent demander l'assignation d'utilisateurs, de groupes ou de conteneurs aux rôles. Le champ d'action de l'administrateur du module de rôles est illimité.
Les gestionnaires de rôles peuvent demander l'assignation d'utilisateurs, de groupes et de conteneurs aux rôles pour lesquels ils possèdent des droits Parcourir.
D'autres utilisateurs authentifiés peuvent effectuer des requêtes d'assignation aux rôles pour lesquels ils possèdent des droits Parcourir.
16.2.1 Assignation d'utilisateurs, de groupes et de conteneurs
à un rôle
Pour effectuer une requête d'assignation d'un ou de plusieurs utilisateurs, groupes ou conteneurs à un seul rôle :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles
2 Cliquez sur l'icône Rôle sous Comment voulez-vous afficher les assignations.
Création d'assignations de rôle
221
3 Sélectionnez le rôle auquel vous souhaitez assigner des utilisateurs, groupes ou conteneurs.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le rôle. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27
.
L'application utilisateur affiche l'état actuel des assignations pour le rôle sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom de l'objet assigné au rôle sélectionné.
La colonne Source indique comment l'objet a été assigné au rôle, comme décrit cidessous :
Source
Relations de rôle
Utilisateur assigné à un rôle
Groupe assigné à un rôle
Conteneur assigné à un rôle
Description
Indique que cette assignation représente une relation de rôle. Le nom figurant dans la colonne Assignation est le nom du rôle associé.
Indique que l'utilisateur nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
Indique que le groupe nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
Indique que le conteneur nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée :
222 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4b Pour afficher les assignations des utilisateurs uniquement, cochez la case Utilisateurs.
4c Pour afficher les assignations des groupes uniquement, cochez la case Groupes.
4d Pour afficher les assignations des conteneurs uniquement, cochez la case Conteneurs.
4e Pour afficher les relations des rôles uniquement, cochez la case Rôles .
4f Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4g Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans la liste déroulante Type d'assignation, sélectionnez Utilisateur, Groupe ou
Conteneur pour indiquer quel type d'objet vous souhaitez assigner au rôle sélectionné.
Dans le champ Sélectionner le ou les utilisateurs, indiquez les utilisateurs à assigner.
Remarque : si vous sélectionnez Groupe comme type d'assignation, l'interface utilisateur affiche le champ Sélectionner un/des groupe(s). Si vous sélectionnez Conteneur, l'interface utilisateur affiche le champ Sélectionner un/des conteneur(s).
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
Remarque : l'opération Assignations de rôles permet d'afficher les rôles associés au rôle sélectionné. En revanche, elle ne permet pas de créer des relations de rôle. Pour ce faire, vous devez utiliser l'opération Gestion des relations entre les rôles.
Si un conflit SoD survient lorsqu'un rôle est assigné à un ou plusieurs utilisateurs, l'interface utilisateur affiche la case Conflits SoDen bas de la page. Dans ce cas, vous devez fournir une justification professionnelle pour l'assignation du rôle.
Création d'assignations de rôle 223
Pour fournir une justification :
1 Saisissez une description dans le champ Justification pour expliquer pourquoi une exception de contrainte SoD est nécessaire dans cette situation.
Remarque : vous n'avez pas à fournir de justification dans les cas où la nouvelle assignation de rôle est en conflit avec une assignation existante acquise indirectement par l'utilisateur grâce à une relation de rôle ou à son appartenance à un groupe ou à un conteneur. Si un utilisateur est ajouté à un rôle indirectement et si un conflit SoD potentiel est détecté, l'application utilisateur permet d'ajouter la nouvelle assignation et enregistre la violation à des fins de création de rapport et d'audit. Le cas
échéant, pour corriger ce problème, les administrateurs de rôles peuvent redéfinir les rôles.
16.2.2 Assignation de rôles à un seul utilisateur
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul utilisateur :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles
2 Cliquez sur l'icône Utilisateur sous Comment voulez-vous afficher les assignations.
3 Sélectionnez l'utilisateur à qui vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner l'utilisateur. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour l'utilisateur sélectionné.
224 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation indique le nom du rôle assigné à l'utilisateur sélectionné.
La colonne Source indique comment un rôle a été assigné à l'utilisateur, comme décrit cidessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au groupe nom du groupe
Description
Indique que ce rôle a été directement assigné
à l'utilisateur sélectionné.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un rôle associé.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un groupe.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un conteneur.
Appartenance au conteneur nom du
conteneur
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Assignation.
4b Pour afficher les assignations assignées directement à l'utilisateur, cochez la case Directe.
Création d'assignations de rôle 225
4c Pour afficher les assignations assignées indirectement, cochez la case Indirecte. Les assignations indirectes sont les assignations qu'un utilisateur obtient grâce à une relation de rôle ou grâce à son appartenance à un groupe ou conteneur.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
Si un conflit SoD survient lorsqu'un rôle est assigné à l'utilisateur sélectionné, l'interface utilisateur affiche la case Conflits SoDen bas de la page. Dans ce cas, vous devez fournir une justification professionnelle pour l'assignation du rôle.
Pour fournir une justification :
1 Saisissez une description dans le champ Justification pour expliquer pourquoi une exception de contrainte SoD est nécessaire dans cette situation.
Assignations de rôles indirectes et conflits SoD. Vous n'avez pas à fournir de justification dans les cas où la nouvelle assignation de rôle est en conflit avec une assignation existante acquise indirectement par l'utilisateur grâce à une relation de rôle ou à son appartenance à un groupe ou à un conteneur. Si un utilisateur est ajouté à un rôle indirectement et si un conflit SoD potentiel est détecté, l'application utilisateur permet d'ajouter la nouvelle assignation et enregistre la violation à des fins de création de rapport et d'audit. Le cas échéant, pour corriger ce problème, les administrateurs de rôles peuvent redéfinir les rôles.
16.2.3 Assignation de rôles à un seul groupe
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul groupe :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles.
226 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Cliquez sur l'icône Groupe sous Comment voulez-vous afficher les assignations.
3 Sélectionnez le groupe auquel vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le groupe. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour le groupe sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné au groupe sélectionné.
La colonne Source indique comment un rôle a été assigné au groupe. Reportez-vous à la description ci-dessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Description
Indique que ce rôle a été directement assigné au groupe sélectionné.
Indique que le groupe a obtenu ce rôle grâce
à son assignation à un rôle associé.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
Création d'assignations de rôle 227
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Assignation.
4b Pour afficher les assignations qui ont été assignées directement au groupe, cochez la case
Directe.
4c Pour afficher les assignations qui ont été assignées indirectement, cochez la case Indirecte.
Les assignations indirectes sont les assignations qu'obtient un groupe grâce à une relation de rôle.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
16.2.4 Assignation de rôle à un seul conteneur
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul conteneur :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles.
2 Cliquez sur l'icône Conteneur sous Comment voulez-vous afficher les assignations.
228 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Sélectionnez le conteneur auquel vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le conteneur. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous
à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour le conteneur sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné au conteneur sélectionné.
La colonne Source indique comment un rôle a été assigné au conteneur, comme décrit cidessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au conteneur nom du
conteneur
Description
Indique que ce rôle a été directement assigné au conteneur sélectionné.
Indique que le conteneur a obtenu ce rôle grâce à son assignation à un rôle associé.
Indique que le conteneur a été assigné à ce rôle grâce à son imbrication à un conteneur de niveau supérieur.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
État
Provisionné
Description
Approuvé (si nécessaire) et activé
Création d'assignations de rôle 229
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la zone Assignation.
4b Pour afficher uniquement les assignations qui ont été assignées directement au conteneur, cochez la case Directe.
4c Pour afficher les assignations qui ont été assignées indirectement, cochez la case Indirecte.
Les assignations indirectes sont les assignations qu'obtient un conteneur grâce à une relation de rôle.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Pour étendre cette assignation de rôle aux utilisateurs de tous les sous-conteneurs, sélectionnez Appliquer des assignations de rôles aux sous-conteneurs.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
16.3 Vérification de l'état de votre requête
L'opération Afficher l'état de la requête permet d'afficher l'état de vos requêtes de rôles, notamment les requêtes effectuées directement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération Afficher l'état de la requête affiche toutes les requêtes d'assignation de rôle, notamment celles en cours, en attente d'approbation, approuvées, finalisées, refusées ou interrompues.
L'opération Afficher l'état de la requête affiche également les requêtes effectuées pour créer des relations de rôle grâce à l'opération Gestion des relations entre les rôles.
Ce que vous pouvez afficher et faire sur cette page dépend de votre rôle de sécurité, tel que décrit cidessous.
230 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Tableau 16-1
Fonctions de chaque rôle de sécurité
Rôle de sécurité
Administrateur du module de rôles
Gestionnaire de rôles
Fonctions
Un Administrateur du module de rôles peut effectuer les fonctions suivantes sur la page
Afficher l'état de la requête :
Afficher toutes les requêtes d'assignation de rôle.
Filtrer les requêtes par état et par utilisateur.
Si l'administrateur du module de rôles filtre les requêtes par utilisateur, les résultats affichent les requêtes pour lesquelles l'utilisateur spécifié est demandeur ou destinataire.
L'administrateur du module de rôles n'a pas accès aux commandes pour les requêtes de filtrage par demandeur ou destinataire.
Retirer des requêtes d'assignation de rôle, à condition que l'état de ces requêtes le permette (c'est-à-dire qu'elles ne sont pas encore approuvées, rejetées, finalisées ou interrompues).
Un gestionnaire de rôles peut effectuer les fonctions suivantes sur la page Afficher l'état de la requête :
Afficher l'état des requêtes pour lesquelles l'utilisateur a des droits Parcourir attachés au rôle et pour lesquelles il est demandeur ou destinataire.
Filtrer les requêtes par état et par utilisateur.
Si le gestionnaire de rôles filtre les requêtes par utilisateur, les résultats affichent les requêtes pour lesquelles l'utilisateur spécifié est demandeur ou destinataire. Le gestionnaire de rôles n'a pas accès aux commandes pour les requêtes de filtrage par demandeur ou destinataire.
Retirer les requêtes d'utilisateurs, de groupes et de conteneurs pour lesquels l'utilisateur a des droits Parcourir des répertoires associés au rôle et aux objets cibles (utilisateur, groupe ou conteneur). Pour retirer des requêtes, leur
état doit pouvoir le permettre (requêtes en attente d'approbation, refusées, finalisées ou interrompues).
Création d'assignations de rôle 231
Rôle de sécurité
Utilisateur authentifié
Fonctions
Un utilisateur connecté à l'application utilisateur qui n'est pas membre d'un rôle système peut exécuter n'importe laquelle des fonctions suivantes sur la page Afficher l'état de la requête :
Afficher l'état des requêtes pour lesquelles l'utilisateur est demandeur ou destinataire.
Filtrer les requêtes par état et par demandeur ou destinataire. L'utilisateur authentifié n'a pas accès aux commandes pour le filtrage des requêtes par utilisateur car il ne peut consulter que les requêtes effectuées pour son compte.
Retirer les requêtes pour lesquelles l'utilisateur est à la fois demandeur et destinataire. Pour retirer des requêtes, leur
état doit pouvoir le permettre (requêtes pas encore approuvées, refusées, terminées ou interrompues). L'utilisateur doit en outre avoir des droits Parcourir associés au rôle.
Larges ensembles de résultats. Par défaut, la page Afficher l'état de la requête permet de récupérer jusqu'à 10 000 objets Requête. Si vous tentez de récupérer un ensemble de résultats plus large, un message s'affiche indiquant que vous avez atteint la limite. Dans ce cas, vous devez affiner votre recherche (en spécifiant un utilisateur ou un état particulier, par exemple) pour limiter le nombre d'objets figurant dans l'ensemble de résultats. Remarque : lorsque vous appliquez un filtre à un nom de rôle, le filtre limite les éléments affichés et leur ordre et non le nombre d'objets récupérés.
Pour consulter vos requêtes de rôle :
1 Cliquez sur Afficher l'état de la requête dans la liste des opérations Assignations de rôles.
L'application utilisateur affiche l'état des requêtes de rôles pour l'utilisateur authentifié.
Les colonnes figurant dans la liste de requêtes de rôles sont décrites ci-dessous :
La colonne Nom du rôle affiche le nom du rôle spécifié pour la requête.
La colonne Demandeur identifie l'utilisateur à l'origine de la requête.
232 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
La colonne Destinataire identifie l'utilisateur, le groupe ou le conteneur qui obtient le rôle, en cas d'approbation de la requête. Dans le cas des relations de rôle, la colonne
Destinataire affiche le nom du rôle associé au rôle figurant dans la colonne Nom du rôle.
La colonne État affiche l'état détaillé correspondant à la requête ainsi qu'une icône indiquant le résumé de l'état. Le résumé de l'état affiche l'état général de la requête. Vous pouvez le sélectionner dans le menu Filtre pour affiner les résultats lors de la recherche de requêtes ayant un état particulier :
Icône Résumé de l'état
État détaillé Description
Nouvelle requête
Début d'approbation de SoD -
En attente
Indique qu'il s'agit d'une nouvelle requête en cours de traitement.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
Création d'assignations de rôle 233
Icône Résumé de l'état
État détaillé Description
Début d'approbation de SoD -
Interrompu
Démarrage de l'approbation -
En attente
Indique que le pilote de services de rôles ne parvient pas à démarrer un processus d'approbation SoD et que ce processus est interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
234 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône Résumé de l'état
État détaillé Description
Démarrage de l'approbation -
Suspendu
Exception SoD - Approbation en attente
Approbation en attente
Exception SoD - Approuvé
Indique qu'un processus d'approbation a démarré pour la requête mais que ce processus a été interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation SoD a démarré et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation a démarré pour la requête et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Une requête avec cet état peut être retirée.
Création d'assignations de rôle 235
Icône Résumé de l'état
État détaillé
Approuvé
Provisioning
Activation en attente
Exception SoD - Refusé
Refusé
Provisionné
Nettoyage
Description
Indique que la requête a été approuvée.
Une requête avec cet état peut être retirée.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que l'heure d'activation du rôle est atteinte. Le pilote de services de rôles est en passe d'accorder l'assignation de rôle.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée mais que l'heure d'activation de l'assignation de rôle n'est pas encore atteinte. L'activation en attente ne comporte pas de catégorie de transfert en amont ni d'icône d'état de sécurité. Cela signifie que vous ne pouvez pas filtrer la liste des requêtes en fonction de l'état d'activation en attente.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été refusée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que l'assignation de rôle a été accordée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été traitée et que le pilote de services de rôles est en passe de supprimer les objets internes créés pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
236 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône Résumé de l'état
État détaillé
Annulation
Annulé
Erreur de provisioning
Description
Indique que le pilote de services de rôles annule la requête en raison d'une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été annulée par une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique qu'une erreur est survenue au cours du provisioning (fait d'accorder) ou déprovisioning (fait de révoquer) de l'assignation de rôle.
Dans le cas d'une erreur de provisioning, le message d'erreur précis est consigné dans le journal de suivi ou d'audit, si les deux sont actifs. Lorsqu'une erreur de provisioning survient, vérifiez dans votre journal de suivi ou d'audit si le message d'erreur indique qu'un grave problème doit être résolu.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Remarque : si l'horloge système du serveur où réside le pilote de services de rôles n'est pas synchronisée avec l'horloge système du serveur où l'application utilisateur s'exécute, l'état de la requête peut être différent sur la page Afficher l'état de la requête et sur la page
Assignations de rôles. Par exemple, si vous effectuez une requête d'assignation de rôle qui ne nécessite pas d'approbation, l'état sur la page Afficher l'état de la requête peut indiquer
Provisionné. En revanche, l'état sur la page Assignations de rôles affiche Activation en attente. Si vous patientez environ une minute, vous constatez que l'état sur la page
Assignations de rôles change et passe à Provisionné. Pour vous assurer que l'état est affiché correctement dans l'application utilisateur, vérifiez que vos horloges système sont parfaitement synchronisées.
La colonne Date de la requête affiche la date à laquelle la requête a été effectuée.
La colonne Description de la requête initiale affiche la description qu'a fournie le demandeur au moment où il a effectué la requête.
2 Vous pouvez filtrer la liste des requêtes comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Nom du rôle.
2b Pour afficher uniquement les requêtes qui s'appliquent à un utilisateur particulier, utilisez l'outil Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner l'utilisateur. Pour afficher vos propres requêtes, vous devez sélectionner votre nom dans la liste des
Création d'assignations de rôle 237
utilisateurs. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher
.
Remarque : la commande utilisateur n'est pas disponible si l'utilisateur logué n'est pas administrateur du module de rôles ou gestionnaire de rôles.
2c Pour afficher les requêtes de rôle ayant un résumé d'état particulier, sélectionnez l'état dans la liste déroulante État.
État
Tous
En cours d'exécution
Approbation en attente
Approuvé
Terminé
Refusé
Interrompu
Description
Inclut toutes les requêtes.
Inclut les requêtes qui ont démarré et qui sont en cours de traitement.
Inclut les requêtes en attente d'approbation pour une exception SoD ou pour une assignation de rôle.
Inclut les requêtes qui ont été approuvées, ainsi que les requêtes pour lesquelles une exception SoD a été détectée et approuvée.
Inclut les requêtes qui ont été approuvées et pour lesquelles le rôle a été assigné au destinataire (utilisateur, groupe ou conteneur).
Inclut les requêtes qui ont été rejetées, ainsi que les requêtes pour lesquelles une exception SoD a été détectée et refusée.
Inclut les requêtes interrompues avant d'être terminées parce qu'un utilisateur a annulé l'opération ou parce qu'une erreur est survenue au cours du traitement.
2d Pour afficher uniquement les requêtes pour lesquelles vous êtes demandeur, cochez la case
Demandeur.
Remarque : la commande Demandeur n'est pas disponible si l'utilisateur actuel est administrateur du module de rôles ou gestionnaire de rôles.
2e Pour afficher uniquement les requêtes pour lesquelles vous êtes destinataire, cochez la case Destinataire.
Remarque : la commande Destinataire n'est pas disponible si l'utilisateur logué est administrateur du module de rôles ou gestionnaire de rôles.
2f Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2g Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum de requêtes affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour trier la liste de requêtes, cliquez sur l'intitulé de colonne qui contient les données que vous souhaitez trier.
238 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si plusieurs requêtes d'assignation de rôle partagent un même ID de requêtes communes, il est possible que vous souhaitiez trier les données par description de la requête initiale afin d'afficher l'ensemble des requêtes associées. L'ID de requêtes communes est un identifiant interne (disponible uniquement dans la case Détails de la requête) qui met en corrélation au sein d'un ensemble les assignations de rôle qui ont fait l'objet d'une requête en même temps.
Vous trouverez ci-dessous quelques exemples où un ensemble d'assignations de rôle partage un
ID de requêtes communes :
Une requête unique assigne des rôles multiples à un seul utilisateur.
Une requête unique assigne un seul rôle à de multiples utilisateurs. Ce cas peut se présenter lorsqu'un demandeur assigne un rôle à un groupe ou à un conteneur.
Si un ensemble d'assignations de rôle partage un ID de requêtes communes, un utilisateur peut retirer chacune de ces assignations individuellement. De plus, chaque assignation de rôle peut
être approuvée ou rejetée séparément.
5 Pour afficher les détails d'une requête particulière, cliquez sur l'état dans la colonne État, puis faites défiler la page jusqu'à la case Détails de la requête.
Le champ État affiche l'état de la requête, l'icône Résumé de l'état et sa description. L'icône
(sans oublier le texte associé) constitue un moyen pratique d'afficher l'état d'un seul coup d'oeil.
Le tableau ci-dessous montre comment les différents codes d'état sont assignés aux icônes d'état.
Création d'assignations de rôle 239
Icône État
Exécution : Traitement
Approbation en attente
Approuvé
Activation en attente
Refusé
Terminé : Provisionné
Interrompu
Codes d'états associés
Nouvelle requête
Début d'approbation de SoD - En attente
Début d'approbation de SoD - Interrompu
Démarrage de l'approbation - En attente
Démarrage de l'approbation - Suspendu
Exception SoD - Approbation en attente
Approbation en attente
Exception SoD - Approuvé
Approuvé
Activation en attente
Provisioning
Activation en attente
Exception SoD - Refusé
Refusé
Provisionné
Nettoyage
Annulation
Annulé
Erreur de provisioning
6 Pour retirer une requête, cliquez sur Retirer la requête.
Le bouton Retirer la requête est désactivé si la requête est terminée ou interrompue.
Si une requête partage un ID de requêtes communes avec un ensemble de requêtes associées, vous pouvez retirer chacune des assignations de rôle individuellement.
240 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Gestion des rôles
Cette section décrit la façon de travailler avec la catégorie Gestion des rôles des opérations. Elle se compose des parties suivantes :
Section 17.1, « Consultation du catalogue de rôles », page 241
Section 17.2, « Gestion des rôles », page 242
Section 17.3, « Gestion de relations de rôle », page 247
Section 17.4, « Gestion des contraintes SoD », page 249
Section 17.5, « Configuration du sous-système de rôles », page 253
17.1 Consultation du catalogue de rôles
Pour consulter le catalogue de rôles :
1 Cliquez sur Parcourir le catalogue de rôles dans la liste des opérations Gestion des rôles.
L'application utilisateur affiche la liste actuelle des rôles dans le catalogue de rôles.
17
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Nom du rôle affiche le nom de chaque rôle figurant dans le catalogue.
La colonne Niveau indique le niveau du rôle au sein du catalogue. Par défaut, le catalogue prend en charge trois niveaux avec les noms suivants :
Niveau
Rôle métier
Rôle IT
Rôle d'autorisation
Description
Rôle le plus élevé dans la hiérarchie de rôles.
Rôle intermédiaire dans la hiérarchie de rôles.
Rôle le plus bas dans la hiérarchie de rôles.
La colonne Catégories répertorie les catégories associées au rôle. Les catégories permettent à une entreprise d'organiser les rôles dans le catalogue. Une fois qu'un rôle a
été associé à une catégorie, il peut être utilisé comme filtre pour parcourir le catalogue.
La colonne Opérations permet d'accéder rapidement aux autres pages.
Cliquez sur pour accéder à la page Gestion des relations entre les rôles.
Cliquez sur pour accéder à la page Assignations de rôles.
Gestion des rôles
241
Cliquez sur pour accéder à la page Gérer les rôles.
Cliquez sur pour supprimer le rôle dans la ligne correspondante.
2 Vous pouvez filtrer la liste des rôles comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Nom du rôle.
2b Pour afficher les rôles ayant un niveau spécifique dans la hiérarchie, sélectionnez le niveau souhaité dans la case Niveaux.
2c Pour afficher les rôles qui ont été associés à une catégorie particulière, sélectionnez la catégorie souhaitée dans la case Catégories.
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour afficher les détails d'un rôle particulier, cliquez sur le nom du rôle dans la colonne Nom du
rôle.
L'application utilisateur vous oriente vers la page Gérer les rôles, où vous pouvez consulter les détails du rôle ou apporter des modifications.
17.2 Gestion des rôles
L'opération Gérer les rôles dans l'onglet Rôles de l'interface utilisateur Identity Manager permet de créer un nouveau rôle, mais aussi de modifier ou d'effacer un rôle existant.
Section 17.2.1, « Création de rôles », page 243
Section 17.2.2, « Modification ou suppression de rôles existants », page 243
Section 17.2.3, « Propriétés de rôle », page 245
Remarque : vous ne pouvez pas utiliser cette opération pour créer de nouveaux rôles système ou pour en effacer. En revanche, vous pouvez l'utiliser pour modifier des rôles système.
Ce que vous pouvez afficher et faire sur cette page dépend de votre rôle de sécurité, tel que décrit
Tableau 17-1
Fonctions du rôle de sécurité
Rôle de sécurité
Administrateur du module de rôles
Fonctions
Un administrateur du module de rôles peut :
Créer de nouveaux rôles dans l'ensemble des conteneurs.
Modifier tous les rôles existants.
Supprimer tous les rôles existants (sauf les rôles système).
242 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Rôle de sécurité
Gestionnaire de rôles
Fonctions
Un gestionnaire de rôles peut :
Créer de nouveaux rôles dans l'ensemble des conteneurs (notamment ceux qui ne disposent pas des droits Parcourir). Tous les droits requis sont accordés à l'utilisateur lors de la création du rôle.
Modifier uniquement les rôles pour lesquels ils ont des droits Parcourir.
Supprimer uniquement les rôles pour lesquels ils ont des droits Parcourir.
L'interface utilisateur n'affiche que les niveaux et les conteneurs pour lesquels un gestionnaire de rôles a des droits de navigation. Si le gestionnaire n'a pas les droits de navigation pour un niveau particulier mais dispose de ces droits pour le conteneur enfant, l'interface affiche le niveau. Si le gestionnaire a les droits pour le conteneur enfant mais pas pour le conteneur parent, ce dernier est visible mais ne peut pas être sélectionné.
Lorsqu'un gestionnaire de rôles tente de créer un rôle, l'interface utilisateur vérifie s'il dispose des droits sur le niveau et le conteneur. Si l'utilisateur ne dispose pas des droits nécessaires, l'interface désactive le bouton Nouveau et affiche un message d'erreur.
17.2.1 Création de rôles
1 Cliquez sur Gestion des rôles dans la liste des opérations Gestion des rôles.
2 Cliquez sur Nouveau.
L'application utilisateur vous invite à indiquer le Nom du rôle dans la section Détails du
nouveau rôle de la page Gérer les rôles. Pour plus d'informations sur chacun des champs de
cette section, reportez-vous au Tableau 17-2, « Détails du rôle », page 245 .
3 Naviguez vers Détails d'approbation, puis complétez les champs tel que décrit dans le
Tableau 17-3, « Détails d'approbation », page 246
.
4 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.2.2 Modification ou suppression de rôles existants
1 Cliquez sur Gestion des rôles dans la liste des opérations Gestion des rôles.
Gestion des rôles 243
2 Pour trouver le rôle dont vous souhaitez modifier les détails, utilisez l'outil Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner la contrainte. Pour plus de détails sur l'utilisation
3 Lorsque vous sélectionnez le rôle qui vous intéresse dans la liste, la page de recherche se ferme et affiche les Détails du rôle et les Détails d'approbation pour ce rôle.
La page Gérer les rôles affiche le nom du rôle sélectionné dans la section Détails du rôle.
Suggestion : le lien Gestion des relations entre les rôles constitue un moyen rapide d'accéder à la page Gestion des relations entre les rôles. Si vous avez sélectionné un rôle, son contenu s'affiche afin que vous, puissiez le modifier.
4 Pour supprimer le rôle sélectionné, cliquez sur Supprimer.
Pour plus d'informations sur les détails du rôle que vous pouvez modifier, reportez-vous au
Tableau 17-2, « Détails du rôle », page 245
.
Pour plus d'informations sur les détails d'approbation que vous pouvez modifier, reportez-vous
au Tableau 17-3, « Détails d'approbation », page 246 .
5 Après avoir effectué les modifications, cliquez sur Enregistrer.
244 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
17.2.3 Propriétés de rôle
« Propriétés de Détails du rôle » page 245
« Propriétés des détails d'approbation » page 246
Propriétés de Détails du rôle
Tableau 17-2
Détails du rôle
Champ
Nom du rôle
Description du rôle
Niveau de rôle
Conteneur de rôle
Propriétaires du rôle
Catégories de rôles
Description
Le texte utilisé lorsque le nom de rôle s'affiche dans l'application utilisateur.
Vous ne pouvez pas inclure les caractères suivants dans le Nom du rôle lorsque vous le créez :
< > , ; \ " + # = / | & *
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au
Tableau 1-1, « Principaux boutons », page 27
.
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom de rôle, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application
utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1,
« Principaux boutons », page 27
.
(En lecture seule lors de la modification d'un rôle) Choisissez un niveau de rôle dans la liste déroulante.
Vous pouvez définir les niveaux de rôle à l'aide du concepteur de l'éditeur de configuration de rôle Identity Manager. Pour plus d'informations sur les niveaux de rôle, reportez-vous à la
Section 14.1, « À propos de l'onglet Rôles », page 205
.
(En lecture seule lors de la modification d'un rôle) L'emplacement des objets de rôle dans le pilote. Les conteneurs de rôle dépendent des niveaux de rôle.
L'application utilisateur affiche uniquement les conteneurs de rôle dépendant du niveau de rôle que vous choisissez. Vous pouvez créer un rôle directement dans un niveau de rôle ou dans un conteneur au sein du niveau de rôle.
Spécifier le conteneur de rôle est optionnel.
Un utilisateur qui est désigné comme le propriétaire d'une définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire de rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle.
Cette propriété permet de catégoriser les rôles en vue de leur organisation. Les catégories permettent de filtrer les listes de rôles. Les catégories offrent des options de sélection multiple.
Gestion des rôles 245
Propriétés des détails d'approbation
Tableau 17-3
Détails d'approbation
Champ Description
Définition d'approbation
d'assignation de rôle que le processus d'approbation exécute la définition d'approbation standard correspondant à l'assignation de rôle.
Sélectionnez Non si le rôle ne requiert aucune approbation. spécifiée dans le sous-système de rôles. Le nom de la définition d'approbation s'affiche en lecture seule dans la Définition de
l'approbation d'assignation de rôle ci-dessous.
Vous devez sélectionner le type d'approbation Série ou Quorum, ainsi que les approbateurs valides.
Si vous sélectionnez Non, vous êtes invité à indiquer le nom d'une définition d'approbation personnalisée d'assignation de rôle.
Le nom de la définition de requête de provisioning exécutée lorsque le rôle est requis. Si la valeur de Utiliser l'approbation standard est Oui, elle provient des paramètres de configuration du sous-système de rôles. Si la valeur est Non, vous devez sélectionner le nom de la définition personnalisée de requête de provisioning à utiliser.
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez
également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : si vous passez votre souris sur les champs Série et
Quorum, une fenêtre contextuelle apparaît. Elle explique comment ces champs fonctionnent.
assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle , utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27 .
246 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
17.3 Gestion de relations de rôle
L'opération Gestion des relations entre les rôles de l'onglet Rôles de l'interface utilisateur Identity
Manager permet de définir comment les rôles sont associés dans une hiérarchie d'endiguement de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations. Les relations autorisées comprennent les éléments suivants :
Les rôles de niveau supérieur (rôles métier) peuvent contenir des rôles de niveau inférieur. Ils ne peuvent pas être contenus dans d'autres rôles. Si vous sélectionnez un rôle de niveau supérieur, la page Relations de rôle permet d'ajouter une relation de rôle de niveau inférieur uniquement.
Les rôles intermédiaires (rôles IT) peuvent contenir des rôles de niveau inférieur et être contenus dans des rôles de niveau supérieur. La page Relations de rôle permet d'ajouter des nouveaux rôles de niveau inférieur ou de niveau supérieur.
Les rôles de niveau inférieur (rôles d'autorisation) peuvent être contenus dans des rôles de niveau supérieur mais ne peuvent pas contenir d'autres rôles de niveau inférieur. La page
Relations de rôle permet d'ajouter un rôle de niveau supérieur uniquement.
17.3.1 Création et suppression de relations de rôle
1 Cliquez sur Gestion des relations entre les rôles dans le groupe d'opérations Gestion des rôles.
Suggestion : le lien Éditer les détails du rôle constitue un moyen rapide d'accéder à la page
Gérer les rôles. Si vous avez sélectionné un rôle, son contenu s'affiche afin que vous, puissiez le modifier.
2 Pour trouver le rôle pour lequel vous souhaitez ajouter ou supprimer une relation, utilisez l'outil
Sélecteur d'objet ou Afficher l'historique tel que décrit dans
Section 1.4.4, « Principales opérations utilisateur », page 27
.
3 Sélectionnez le rôle.
Dans cet exemple, le rôle est Infirmière (Campus Ouest). Ce rôle est un rôle de niveau supérieur dans la hiérarchie de rôles. L'interface utilisateur affiche donc un message dans la section Rôle sélectionné contenu dans.
Gestion des rôles 247
Selon le niveau de rôle que vous avez sélectionné, un ou les deux boutons ci-dessous s'affichent :
Nouvelle relation de niveau supérieur
Nouvelle relation de niveau inférieur
4 Pour ajouter une relation, cliquez sur l'un des boutons, puis complétez les détails de la relation de niveau inférieur ou de la relation de niveau supérieur tel que décrit dans le
5 Vous pouvez filtrer la liste des relations de niveau supérieur et de niveau inférieur comme suit :
5a Si vous souhaitez afficher uniquement les relations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans le champ Nom du rôle.
5b Pour afficher les rôles d'un certain niveau, sélectionnez ce niveau dans la liste Niveau.
5c Pour afficher les rôles d'une certaine catégorie, sélectionnez cette catégorie dans la liste
Catégorie.
5d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
5e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
6 Cliquez sur Soumettre pour créer une requête permettant d'ajouter des relations de rôle.
Pour vérifier l'état de la requête, cliquez sur Afficher l'état de la requête. Si l'état indique
Provisionné, cela signifie que la relation de rôle a été ajoutée.
7 Pour supprimer une relation :
7a Naviguez vers la relation que vous souhaitez supprimer, puis cliquez sur .
Vous êtes invité à confirmer votre désir de supprimer la relation.
248 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
7b Cliquez sur OK pour poursuivre la suppression ou sur Annuler pour retourner à la page
Gestion des relations entre les rôles. Vous êtes invité à saisir la Description de la requête
initiale.
Le texte par défaut indique Requête de retrait de relation mais vous pouvez le modifier le cas échéant. Ce texte s'affiche sur la page Afficher l'état de la requête.
7c Cliquez sur OK pour soumettre la requête de suppression. Vous pouvez afficher l'état de cette requête sur la page Afficher l'état de la requête. Si l'état indique Provisionné, cela signifie que la relation a été supprimée.
17.3.2 Gestion des propriétés de relations de rôle
Tableau 17-4
Propriétés de relations de rôle
Champ
Description de la requête initiale
Ajouter des rôles au rôle
sélectionné
Ajouter le rôle sélectionné aux
rôles
Description
Cette valeur apparaît dans Afficher l'état de la requête.
Vous pouvez utiliser cette option pour grouper des requêtes multiples créées au moyen d'une interaction utilisateur car elles partagent un ID de requêtes communes.
Disponible si vous cliquez sur Nouvelle relation de niveau inférieur.
Utilisez les boutons Sélecteur d'objet ou Historique pour localiser le rôle de niveau inférieur à ajouter au rôle sélectionné. Reportez-
vous à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
Disponible si vous cliquez sur Nouvelle relation de niveau
supérieur.
Utilisez les boutons Sélecteur d'objet ou Historique pour localiser le rôle de niveau supérieur à ajouter au rôle sélectionné. Reportez-
vous à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
17.4 Gestion des contraintes SoD
L'opération Gestion de la séparation des tâches dans l'onglet Rôles de l'interface utilisateur Identity
Manager permet de :
Définir une contrainte (ou règle) de séparation des tâches (SoD).
Définir comment traiter les requêtes d'exceptions de contrainte.
Gestion des rôles 249
Une contrainte SoD est une règle qui rend deux rôles de même niveau réciproquement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Section 17.4.1, « Création de nouvelles contraintes SoD », page 250
Section 17.4.2, « Modification des contraintes SoD existantes », page 250
Section 17.4.3, « Référence relative aux propriétés des contraintes SoD », page 251
Accès aux pages. La page Gestion de la séparation des tâches est accessible à l'administrateur de rôles ou au responsable de sécurité. Le responsable de sécurité nécessite des droits Parcourir pour le conteneur SoDDef dans le coffre-fort d'identité. En revanche, il ne nécessite pas de droits Parcourir pour les rôles.
17.4.1 Création de nouvelles contraintes SoD
1 Cliquez sur Gestion de la séparation des tâches dans la liste des opérations Gestion des rôles.
2 Cliquez sur Nouveau.
3 Naviguez vers la section Détails de la nouvelle contrainte SoD. Pour plus d'informations sur la façon de compléter les champs, reportez-vous au
4 Naviguez vers la section Détails d'approbation. Pour plus d'informations sur la façon de
compléter les champs, reportez-vous au Tableau 17-6 page 252 .
5 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.4.2 Modification des contraintes SoD existantes
1 Cliquez sur Gestion de la séparation des tâches dans le groupe d'opérations Gestion des rôles.
250 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Pour afficher ou modifier une contrainte SoD existante, utilisez les outils Sélecteur d'objet ou
Afficher l'historique pour sélectionner la contrainte. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28 .
3 Sélectionnez la séparation de tâches (SoD) de votre choix dans la liste. La page de recherche se ferme et affiche les Détails de contraintes SoD et les Détails d'approbation pour la séparation des tâches sélectionnée.
4 Pour plus d'informations sur comment compléter les champs, reportez-vous au
« Détails des contraintes SoD », page 252 et au Tableau 17-6, « Détails d'approbation », page 252 .
5 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.4.3 Référence relative aux propriétés des contraintes SoD
Tableau 17-5, « Détails des contraintes SoD », page 252
Tableau 17-6, « Détails d'approbation », page 252
Gestion des rôles 251
Tableau 17-5
Détails des contraintes SoD
Champ
Nom de contrainte de SoD
Description
Le nom de la contrainte. Il apparaît dans les rapports et lorsque l'utilisateur demande une exception de contrainte. Vous ne pouvez pas inclure les caractères suivants dans le Nom de la contrainte de SoD lorsque vous créez une contrainte :
< > , ; \ " + # = / | & *
Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur .
Ce nom peut également être spécifié dans l'éditeur SoD du concepteur
Identity Manager.
Description de la contrainte de
SoD
La description de la contrainte.
Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur .
Rôle en conflit
Ce nom peut être spécifié dans l'éditeur SoD du concepteur Identity
Manager.
Le nom du rôle pour lequel vous souhaitez définir une contrainte. Un rôle définit un ensemble de privilèges associés à un ou plusieurs systèmes cibles ou applications.
Rôle en conflit
Ce champ est en lecture seule lors d'une opération de modification.
Le nom du rôle en conflit. Cliquez sur Parcourir pour localiser un rôle existant dans les rôles disponibles.
Ce champ est en lecture seule lors d'une opération de modification.
Remarque : il est important de spécifier les deux rôles en conflit. Peu importe l'ordre dans lequel vous spécifiez les rôles en conflit.
Tableau 17-6
Détails d'approbation
Champ
Approbation requise
Description
Sélectionnez Oui si vous souhaitez lancer un workflow lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD.
Remarque : si l'exception SoD est issue d'une assignation implicite
(par le biais de son appartenance à un groupe ou à un conteneur, par exemple), le fait de sélectionner Oui ne permet pas de démarrer le workflow d'approbation. L'exception SoD est toujours accordée et est consignée comme tel.
Sélectionnez Non si l' utilisateur peut effectuer une requête d'exception de contrainte SoD sans autorisation. Dans ce cas, l'exception est toujours accordée.
252 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Définition d'approbation SoD
Type d'approbation
Utiliser les approbateurs par
défaut
Description
Affiche le nom en lecture seule de la définition de requête de provisioning qui s'exécute lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD. La valeur est issue de l'objet
Configuration de rôles. Elle s'exécute uniquement si l'Approbation
requise indique Oui.
Un champ en lecture seule qui affiche le type de traitement pour la définition de requête de provisioning spécifiée ci-dessus. Cette valeur est issue de l'objet Configuration de rôles.
Sélectionnez Oui si les approbateurs sont spécifiés dans le soussystème de rôles.
Sélectionnez Utilisateur si la tâche d'approbation SoD doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation SoD doit être assignée à un groupe.
Sélectionnez Rôle si la tâche d'approbation de SoD doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons Sélecteur d'objet ou Historique (voir
« Principales opérations utilisateur », page 27 ).
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, utilisez les boutons tel que décrit dans
Section 1.4.4, « Principales opérations utilisateur », page 27 .
17.5 Configuration du sous-système de rôles
La configuration du sous-système de rôles dans l'onglet Rôles de l'interface utilisateur Identity
Manager permet de spécifier les paramètres d'administration du sous-système de rôles.
Pour définir les paramètres d'administration du sous-système de rôles :
1 Cliquez sur Configuration du sous-système de rôles dans le groupe d'opérations Gestion des
rôles.
2 Indiquez (en secondes) une Période de bonus pour la suppression d'assignation de rôle.
Cette valeur spécifie le délai (en secondes) qui s'écoule avant la suppression d'une assignation de rôle dans le catalogue de rôles (0 par défaut). Que signifie une période de bonus de 0 ? Si vous supprimez une personne d'une assignation de rôle, cela signifie que la suppression survient immédiatement et que la révocation des droits qui en découle est immédiate. Vous
Gestion des rôles 253
pouvez utiliser la période de bonus pour retarder la suppression d'un compte qui doit être rajouté par la suite (par exemple, si une personne est déplacée d'un conteneur à un autre). Un droit peut désactiver un compte (élément par défaut) plutôt que le supprimer.
3 Sélectionnez la définition de requête de provisioning à exécuter lorsque vous effectuez une requête d' exception SoD. Vous pouvez spécifier une définition par pilote d'application utilisateur.
3a Pour localiser une définition de requête de provisioning, utilisez les boutons Sélecteur d'objet ou Historique tel que décrit dans la
Section 1.4.4, « Principales opérations utilisateur », page 27
.
4 Sélectionnez un Type d'approbation par défaut de la SoD de Série ou Quorum.
Champ
Série
Description
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste. liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle. La valeur doit être un nombre entier compris entre 0 et 100.
5 Modifiez les Approbateurs SoD par défaut.
Champ
Approbateurs SoD par
défaut
Description
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Un seul membre du groupe doit approuver. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle. Comme pour les groupes, un seul membre du rôle doit approuver.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27
6 Cliquez sur Enregistrer pour enregistrer vos modifications.
254 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Création et affichage des rapports de rôle
Cette section décrit les rapports de rôle, ainsi que la façon de les créer et de les afficher. Chaque rapport est un fichier PDF en lecture seule qui donne des informations sur l'état actuel du catalogue de rôles à l'instant de sa génération. Un seul rapport ne reflète pas les modifications apportées aux données sur une longue période. Pour suivre la conformité des informations sur les rôles, veuillez utiliser les journaux d'audit.
Ce chapitre comporte les sections suivantes :
Section 18.1, « À propos des opérations de création de rôles », page 255
Section 18.2, « Rapports de rôle », page 255
Section 18.3, « Rapports SoD », page 259
Section 18.4, « Rapports sur les utilisateurs », page 261
18.1 À propos des opérations de création de rôles
L'onglet Rôles permet de créer et d'afficher les rapports décrivant l'état actuel des rôles. Grâce à ces rapports, vous pouvez surveiller, ajouter, modifier et supprimer des rôles ou des séparations de tâches (SoD).
Vous devez être administrateur ou auditeur de rôles pour créer et afficher les rapports de rôle.
L'administrateur de l'application utilisateur a des droits d'administrateur de rôles par défaut.
18.2 Rapports de rôle
Deux rapports de rôle sont disponibles :
Rapport de listes de rôles
Rapport d'assignations de rôle
18.2.1 Le rapport de listes de rôles
Le rapport de listes de rôles affiche les éléments suivants :
Tous les rôles, regroupés par niveau de rôle
Le nom métier de chaque rôle
Le conteneur et la description correspondant à chaque rôle
De façon facultative, les pourcentages de quorum, les rôles contenus, les rôles contenant, les groupes et les conteneurs auquel le rôle est indirectement assigné, ainsi que les droits associés à chaque rôle
18
Création et affichage des rapports de rôle
255
Pour créer et afficher le rapport de listes de rôles :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les rôles.
2 Sélectionnez Rapport de listes de rôles dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Cochez la case Afficher tous les détails administratifs pour chaque rôle pour vérifier si les informations suivantes sont pertinentes et disponibles :
Pourcentage de quorum
Rôles contenus
Rôles contenant
Groupes auxquels ce rôle est indirectement assigné
Conteneurs auxquels ce rôle est indirectement assigné
Droits associés au rôle
4 Choisissez si vous souhaitez afficher tous les rôles ou les rôles appartenant à un propriétaire précis. Choisissez Sélectionner un propriétaire de rôle pour activer la case correspondante.
Utilisez les icônes ci-dessous pour faire votre choix :
Ouvrez la boîte de dialogue de sélection d'objet.
Pour sélectionner un utilisateur et le prénom ou le nom et saisir un ou plusieurs caractères du nom pour récupérer une liste de sélection. Faites votre choix dans la liste de sélection.
Pour sélectionner un groupe d'utilisateurs, faites votre choix dans la liste de description des groupes. Pour sélectionner une liste d'utilisateurs plus courte, saisissez plusieurs caractères dans la case Description. Faites votre choix dans la liste de sélection.
Pour sélectionner un conteneur d'utilisateurs, cliquez sur un conteneur dans l'arborescence de répertoire.
256 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Ouvrez la boîte de dialogue de sélection de l'historique. Faites votre choix dans la liste de description des objets ou saisissez quelques caractères dans la case Description pour filtrer votre recherche et récupérer une liste d'objets plus courte.
Réinitialisez la sélection actuelle sur aucune sélection.
5 Choisissez si vous souhaitez ou non afficher les rôles à tous les niveaux de sécurité ou sélectionnez un ou plusieurs niveaux à afficher. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez ou non afficher les rôles dans toutes les catégories ou sélectionnez une ou plusieurs catégories à afficher. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 18-1
Exemple de rapport de listes de rôles
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
18.2.2 Le rapport d'assignations de rôle
Le rapport d'assignations de rôle affiche les éléments suivants :
Les rôles, regroupés par niveau de rôle
Le nom métier, le conteneur, la catégorie et la description de chaque rôle
Les utilisateurs assignés au rôle et le nom des approbateurs de ces assignations
Création et affichage des rapports de rôle 257
Pour créer et afficher le rapport d'assignations de rôle :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les rôles.
2 Sélectionnez Rapport d'assignations de rôle dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Choisissez si vous souhaitez afficher toutes les assignations de rôle ou les assignations pour un rôle précis. Si vous choisissez Sélectionner un rôle, la case de sélection est activée et affiche les
icônes de sélection décrites à l' Étape 4 page 256
.
4 Choisissez si vous souhaitez afficher les rôles appartenant à tous les propriétaires de rôle ou à un propriétaire de rôle précis. Si vous choisissez Sélectionner un propriétaire de rôle, la case de
sélection est activée et affiche les icônes de sélection décrites à l' Étape 4 page 256
.
5 Choisissez si vous souhaitez afficher les rôles pour tous les niveaux de rôle ou sélectionner un ou plusieurs niveaux de rôle. Pour sélectionner un niveau, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs niveaux, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
6 Choisissez si vous souhaitez afficher les rôles pour toutes les catégories de rôle ou sélectionner une ou plusieurs catégories de rôle. Pour sélectionner une catégorie, cliquez dessus dans le menu déroulant correspondant. Pour sélectionner plusieurs catégories, maintenez la touche Maj ou la touche Ctrl enfoncée et cliquez sur ces éléments.
7 Cliquez sur Afficher uniquement les rôles ayant des assignations pour filtrer le rapport en vue d'inclure uniquement les rôles qui ont été assignés.
8 Si vous choisissez d'afficher les assignations pour tous les rôles plutôt que pour un seul, rendezvous au volet Ordre de tri et regroupement pour grouper les rôles par nom ou par catégorie.
9 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
258 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Figure 18-2
Exemple de rapport d'assignations de rôle
10 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
18.3 Rapports SoD
Deux rapports décrivent l'état actuel de la séparation de tâches (SoD) :
Rapport de contrainte de SoD
Rapports de violations et d'exceptions SoD
18.3.1 Rapport de contrainte de SoD
Le rapport de contraintes SoD affiche les éléments suivants :
Les contraintes SoD définies par nom
La description de la séparation des tâches
La liste des rôles en conflit
La liste des personnes ayant l'autorisation d'approuver une exception de violation SoD
Pour créer et afficher le rapport de contrainte SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les SoD.
2 Sélectionnez Rapport de contrainte de SoD dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
Création et affichage des rapports de rôle 259
3 Choisissez de répertorier toutes les contraintes SoD ou sélectionnez une seule contrainte SoD.
Si vous choisissez Sélectionner une contrainte SoD, la case de sélection est activée. Reportez-
vous à la description des icônes de la case de sélection à l' Étape 4 page 256
.
4 Choisissez de répertorier tous les rôles ou sélectionnez un rôle. Si vous choisissez Sélectionner
un rôle, la case de sélection est activée. Reportez-vous à la description des icônes de la case de sélection à l'
.
5 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à l'exemple de la
Figure 18-3
Exemple de rapport de contraintes SoD
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
18.3.2 Rapport de violations et d'exceptions SoD
Le rapport de violations et d'exceptions SoD affiche les éléments suivants :
Le nom de chaque contrainte SoD, leur description et les rôles en conflit.
Les utilisateurs en situation de violation de la contrainte, incluant à la fois les exceptions approuvées et les violations non approuvées. Les utilisateurs peuvent être en situation de violation à cause de leur appartenance à un groupe ou à un conteneur qui leur accorde un rôle en conflit.
Les exceptions approuvées. Il s'agit de violations qui ont été approuvées en tant qu'exceptions
SoD.
Le nom des personnes qui ont approuvé ou refusé les exceptions, ainsi que la date et l'heure de l'approbation ou du refus.
Pour créer et afficher le rapport de violations et d'exceptions SoD :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les SoD.
2 Sélectionnez Rapport des violations et des exceptions SoD dans le menu déroulant Sélectionner
un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
260 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Sélectionnez Toutes les contraintes SoD pour afficher les violations et les exceptions en attente parmi toutes les contraintes SoD. Vous pouvez aussi choisir Sélectionner une contrainte SoD pour mettre l'accent dans le rapport sur les violations d'une seule contrainte SoD.
4 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
5 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
18.4 Rapports sur les utilisateurs
Deux rapports utilisateur sont disponibles :
Rapport des rôles de l'utilisateur
Rapport de droits utilisateur
18.4.1 Rapport des rôles de l'utilisateur
Le rapport des rôles utilisateur affiche les éléments suivants :
Les utilisateurs, les groupes d'utilisateurs ou les conteneurs d'utilisateurs sélectionnés
Les rôles auxquels chaque utilisateur appartient
La date à laquelle l'appartenance au rôle est entrée ou entre en vigueur
La date d'expiration de l'appartenance au rôle
De façon facultative, la source d'appartenance au rôle
Pour créer et afficher un rapport de rôles utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les utilisateurs.
Création et affichage des rapports de rôle 261
2 Sélectionnez Rapport de rôles utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
3 Dans le volet Utilisateur, sélectionnez un utilisateur, un groupe ou un conteneur à partir duquel vous souhaitez afficher les rôles. Reportez-vous à la description des fonctions de la case de sélection à l'
.
4 Dans le volet Détails de rapport, sélectionnez un ou plusieurs types de détail à rapporter :
Détails Signification
Afficher uniquement les rôles assignés
directement
Inclure les informations pour les rôles
assignés directement
Le rapport de rôles utilisateur affiche tous les rôles directement assignés à l'utilisateur sélectionné, le cas échéant. Le rapport n'affiche pas les rôles hérités d'une appartenance à un groupe ou un conteneur.
Le rapport de rôles utilisateur affiche le nom des personnes qui ont approuvé chaque rôle assigné directement et ce, pour chacun des utilisateurs.
Afficher uniquement les utilisateurs auxquels
des rôles sont assignés
Le rapport de rôles utilisateur affiche les utilisateurs sélectionnés ayant des rôles assignés. Le rapport n'affiche pas les utilisateurs qui n'ont pas de rôles assignés directement ou indirectement.
5 Dans le volet Ordre de tri et regroupement, choisissez de trier les utilisateurs par prénom ou par nom.
6 Dans le volet Ordre de tri et regroupement, choisissez de trier les rôles de chaque utilisateur par niveau ou par nom.
7 Cliquez sur Exécuter le rapport pour créer et afficher un rapport PDF similaire à celui de l'exemple ci-dessous.
262 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
8 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
18.4.2 Rapport des droits utilisateur
Le rapport de droits utilisateur affiche les éléments suivants :
Tous les droits par leur nom distinctif
Les utilisateurs titulaires de chaque droit
La date à laquelle le droit de l'utilisateur entre en vigueur
La date à laquelle le droit de l'utilisateur expire
Le rôle que détient l'utilisateur et qui accorde le droit
Pour créer et afficher un rapport de droits utilisateur :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les utilisateurs.
2 Sélectionnez Rapport des droits utilisateur dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner.
Création et affichage des rapports de rôle 263
3 Dans le volet Sélection de l'utilisateur, sélectionnez le type d'utilisateur : utilisateur individuel,
groupe ou conteneur. Reportez-vous aux descriptions des icônes de sélection à l' Étape 4 page 256 .
4 Dans le volet Ordre de tri et regroupement, sélectionnez l'une des options suivantes :
Répertorier les détails de droit pour chaque utilisateur
Répertorier les détails d'utilisateur pour chaque droit
5 Sélectionnez Exécuter le rapport pour afficher un rapport PDF similaire aux exemples cités dans la
.
Figure 18-4
Exemple de rapport de droits utilisateur : détails des droits pour chaque utilisateur
Figure 18-5
Exemple de rapport de droits utilisateur : détails des utilisateurs pour chaque droit
6 Pour enregistrer le rapport, sélectionnez Fichier > Enregistrer une copie dans Adobe Reader.
Spécifiez le répertoire dans lequel enregistrer le fichier et un nom de fichier pour le rapport.
264 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'onglet Conformité
Ces sections décrivent l'utilisation de l'onglet Conformité de l'application utilisateur Identity
Manager :
Chapitre 19, « Présentation de l'onglet Conformité », page 267
Chapitre 20, « Réalisation des requêtes d'attestation », page 283
V
Utilisation de l'onglet Conformité
265
266 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Présentation de l'onglet
Conformité
Cette section présente l'onglet Conformité. Les rubriques incluent :
Section 19.1, « À propos de l'onglet Conformité », page 267
Section 19.2, « Accès à l'onglet », page 270
Section 19.3, « Exploration des fonctions de l'onglet », page 271
Section 19.4, « Opérations de conformité que vous pouvez effectuer », page 272
Section 19.5, « Présentation de la légende des requêtes d'attestation », page 273
Section 19.6, « Principales opérations de conformité », page 275
Pour plus d'informations sur l'ouverture et l'utilisation de l'interface utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 17 .
19.1 À propos de l'onglet Conformité
L'onglet Conformité offre un moyen pratique d'effectuer les opérations basées sur la conformité.
L'onglet Conformité permet de lancer des processus d'attestation et d'en vérifier l'état. L'onglet
Conformité permet de :
Lancer un processus d'attestation permettant aux utilisateurs de confirmer que les informations de leur profil sont exactes
Lancer un processus d'attestation permettant de vérifier les exceptions approuvées et les violations d'un ensemble de contraintes de séparation des tâches (SoD, Separation of Duties)
Lancer un processus d'attestation permettant de vérifier les assignations d'un ensemble de rôles
Lancer un processus d'attestation permettant de vérifier les assignations d'un ensemble d'utilisateurs
Afficher l'état de vos requêtes d'attestation pour analyser les résultats de chaque processus
Conformité et mode proxy
Le mode proxy est uniquement opérationnel dans l'onglet Requêtes et approbations. Il n'est pas pris en charge par l'onglet Conformité. Si vous utilisez le mode proxy dans l'onglet Requêtes et
approbations, puis passez à l'onglet Conformité, le mode proxy est désactivé pour les deux onglets.
19.1.1 À propos de la conformité et de l'attestation
Conformité est le processus qui assure qu'une organisation respecte les lois et les réglementations.
L'attestation constitue l'un des principaux éléments de la conformité. Attestation offre à une organisation une méthode permettant de vérifier que le personnel possède une connaissance complète des stratégies organisationnelles et prennent les mesures appropriées pour les respecter. En demandant aux employés ou aux administrateurs d'attester régulièrement l'exactitude des données,
19
Présentation de l'onglet Conformité
267
la direction s'assure que les informations du personnel telles que les profils des utilisateurs, les assignations de rôle et les exceptions de séparation des tâches (SoD, Separation of Duties) approuvées sont à jour et conformes.
Requêtes et processus d'attestation
Pour permettre aux utilisateurs d'une organisation de vérifier l'exactitude des données de l'entreprise, un utilisateur doit effectuer une requête d'attestation. Cette requête lance à son tour un ou plusieurs processus de workflow. Les processus de workflow permettent aux chargés d'attestation d'attester l'exactitude des données. Un processus de workflow distinct est lancé pour chaque chargé d'attestation. Un chargé d'attestation est assigné à une tâche de workflow dans la liste Mes tâches de l'onglet Requêtes et approbations. Pour terminer le processus de workflow, le chargé d'attestation ouvre la tâche, vérifie les données et atteste qu'elles sont exactes ou inexactes.
Le module de provisioning basé sur les rôles prend en charge quatre types d'attestation :
Profil de l'utilisateur
Violations de SoD
Assignation de rôle
Assignation d'utilisateur
Dans le cas d'un processus d'attestation de profil utilisateur, chaque utilisateur doit être le chargé d'attestation de son propre profil ; aucune autre personne ne peut être le chargé d'attestation. Dans le cas d'une d'attestation de violation de SoD, d'assignation de rôle et d'assignation d'utilisateur, le chargé d'attestation peut être n'importe quel utilisateur, groupe ou rôle. L'initiateur de la requête d'attestation précise si tous les membres ou seul un membre doivent attester pour un groupe ou un rôle. Dans le cas d'un processus d'attestation d'utilisateur, chaque membre doit attester pour un groupe ou un rôle sélectionné.
Pour simplifier le processus de réalisation des requêtes d'attestation, le module de provisioning basé sur les rôles installe un ensemble de définitions de requête par défaut (une par type d'attestation) :
Profil de l'utilisateur : valeur par défaut
Violation de SoD : valeur par défaut
Assignation de rôle : valeur par défaut
Assignation d'utilisateur : valeur par défaut
Ces définitions de requête peuvent servir de base pour effectuer vos propres requêtes. Lorsque vous avez fourni les détails d'une nouvelle requête, vous pouvez les enregistrer et les réutiliser.
Formulaires d'attestation
Chaque workflow est associé à un formulaire d'attestation . Le chargé d'attestation doit vérifier le formulaire et le remplir pour s'assurer de l'exactitude des données. Le formulaire est défini par l'administrateur du module de conformité ou le gestionnaire d'attestation.
Chaque formulaire d'attestation contient une question d'attestation obligatoire ainsi qu'un ensemble de questions d'enquête facultatives. La question d'attestation, à laquelle il faut répondre par oui ou par non, permet de valider ou de rejeter les données globales. Les questions d'enquête peuvent être définies de sorte à recueillir des données supplémentaires ou poser des questions éliminatoires.
268 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Le formulaire d'attestation de profil utilisateur comporte également un ensemble d'attributs
utilisateur dont le chargé d'attestation doit vérifier les valeurs. Le formulaire d'attestation pour un processus de violation de SoD, d'assignation de rôle ou d'assignation d'utilisateur comporte un
rapport d'attestation.
Rapports d'attestation
Le rapport d'attestation pour un processus de violation de SoD, d'assignation de rôle ou d'assignation d'utilisateur fournit des informations détaillées que le chargé d'attestation doit valider. Le rapport est généré au lancement du processus d'attestation afin de garantir que tous les utilisateurs consultent les mêmes informations. Le rapport peut être généré dans plusieurs langues, selon les paramètres de langue du rapport précisés pour le processus d'attestation.
État de la requête d'attestation
Lorsqu'une requête d'attestation a été lancée, elle peut être facilement suivie pendant tout son cycle de vie. L'application utilisateur offre un moyen pratique de consulter l'état de la requête dans son ensemble, ainsi que l'état détaillé de chaque processus de workflow associé à la requête. L'état de haut niveau d'une requête constitue une méthode permettant à l'utilisateur de savoir si la requête est en cours d'exécution, terminée, en cours d'initialisation ou en erreur. L'état détaillé fournit des informations concernant le nombre de processus de workflow et l'état de chaque workflow. Il affiche par ailleurs les résultats de l'attestation, lesquels indiquent le nombre de réponses affirmatives et de réponses négatives à la question d'attestation. Les résultats de l'attestation indiquent également les chargés d'attestation qui n'ont effectué aucune opération sur les tâches de workflow qui leur sont assignées.
Sécurité de la conformité
L'onglet Conformité fait appel à un ensemble de rôles système pour accéder en toute sécurité aux fonctions de conformité. Chaque opération de menu dans l'onglet Conformité est assignée à un ou plusieurs rôles système. Si un utilisateur n'est pas membre de l'un des rôles de sécurité définis pour la conformité, l'onglet Conformité n'est pas disponible.
Les rôles système de la conformité sont définis automatiquement par le système lors de l'installation.
Il s'agit notamment des rôles suivants :
Administrateur du module de conformité
Gestionnaire d'attestation
Un administrateur du module de conformité est désigné lors de l'installation. L'administrateur de module de rôles peut, à l'issue de l'installation, assigner des utilisateurs supplémentaires aux rôles
Administrateur du module de conformité et Gestionnaire d'attestation. Pour effectuer des assignations de rôle supplémentaires, l'administrateur de module de rôles doit utiliser la page
Rôles > Assignations de rôles de l'application utilisateur.
Les rôles système sont décrits en détail ci-dessous :
Présentation de l'onglet Conformité 269
Tableau 19-1
Rôles système
Rôle
Administrateur du module de conformité
Description
Ce rôle système permet aux membres d'utiliser toutes les fonctions de l'onglet Conformité, notamment celles que le gestionnaire d'attestation peut utiliser.
Remarque : dans la version 3.6.1 du module de provisioning basé sur les rôles, les fonctionnalités de l'administrateur du module de conformité sont exactement les mêmes que celles accordées au gestionnaire d'attestation. Dans une prochaine version, l'administrateur du module de conformité bénéficiera de fonctionnalités supplémentaires, à mesure que de nouvelles fonctions seront ajoutées
à l'onglet Conformité.
Gestionnaire d'attestation Ce rôle système permet aux membres d'utiliser toutes les fonctions d'attestation. Ces fonctions sont les suivantes :
Demander un processus d'attestation de profil utilisateur.
Demander un processus d'attestation de violation de SoD.
Demander un processus d'attestation d'assignation de rôle.
Demander un processus d'attestation d'assignation utilisateur.
Afficher l'état de toutes les requêtes d'attestation soumises.
Remarque : un utilisateur peut être défini comme chargé d'attestation d'un processus d'attestation. Il n'est pas nécessaire qu'un chargé d'attestation appartienne au rôle de gestionnaire d'attestation ou d'administrateur du module de conformité.
L'onglet Conformité n'autorise pas l'accès aux utilisateurs authentifiés qui n'appartiennent pas à l'un des rôles système répertoriés ci-dessus.
19.2 Accès à l'onglet
Pour accéder à l'onglet Conformité, procédez comme suit :
1 Cliquez sur Conformité dans l'application utilisateur.
Par défaut, l'onglet Conformité affiche la page Demander un processus d'attestation de profil utilisateur.
270 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous ouvrez un autre onglet de l'application utilisateur et souhaitez revenir ensuite au précédent, cliquez sur l'onglet Conformité pour le rouvrir.
19.3 Exploration des fonctions de l'onglet
Cette section présente les fonctions par défaut de l'onglet Conformité. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système.)
La partie gauche de l'onglet Conformité affiche un menu contenant les opérations que vous pouvez effectuer. Les opérations sont répertoriées dans la catégorie Requêtes d'attestation :
Figure 19-1
Menu de l'onglet Conformité
Les opérations correspondant aux Requêtes d'attestation sont affichées uniquement si vous êtes administrateur du module de conformité ou gestionnaire d'attestation.
Lorsque vous cliquez sur une action, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Présentation de l'onglet Conformité 271
Figure 19-2
Page affichée pour une opération
La plupart des pages avec lesquelles vous travaillez dans l'onglet Conformité comportent, en haut à droite, un bouton permettant d'afficher la légende de la Conformité :
Pour plus de détails sur la légende de la Conformité, reportez-vous à la
Section 19.5, « Présentation de la légende des requêtes d'attestation », page 273 .
19.4 Opérations de conformité que vous pouvez effectuer
Voici un récapitulatif des opérations disponibles par défaut dans l'onglet Conformité :
272 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Tableau 19-2
Opérations de conformité
Catégorie
Requêtes d'attestation
Action Description
Demander un processus d'attestation de profil utilisateur
Soumet une requête pour qu'un processus d'attestation vérifie les informations des profils utilisateur.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation de profil utilisateur », page 283
.
Demander un processus d'attestation de violation de SoD
Soumet une requête pour qu'un processus d'attestation vérifie les violations et les exceptions d'un ensemble de contraintes de SoD.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation de violation de
.
Demander un processus d'attestation d'assignation de rôle
Soumet une requête pour qu'un processus d'attestation vérifie les assignations des rôles sélectionnés.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation d'assignation de rôle », page 287 .
Demander un processus d'attestation d'assignation utilisateur
Soumet une requête pour qu'un processus d'attestation vérifie les assignations des utilisateurs sélectionnés.
Pour plus de détails, reportez-vous à la
« Demander un processus d'attestation d'assignation utilisateur », page 289 .
Afficher l'état de la requête d'attestation
Permet de consulter l'état de vos requêtes d'attestation. Vous avez en outre la possibilité de consulter l'état détaillé de chaque workflow ayant démarré pour une requête et
éventuellement d'en retirer.
Pour plus de détails, reportez-vous à la
« Vérification de l'état de vos requêtes d'attestation », page 292
.
19.5 Présentation de la légende des requêtes d'attestation
La plupart des pages avec lesquelles vous travaillez dans l'onglet Conformité comportent, en haut à droite, un bouton permettant d'afficher la légende de la Conformité. Pour afficher la légende, cliquez
sur le bouton Légende, illustré à la Figure 9-2
:
Figure 19-3
Le bouton Légende
La légende affiche une brève description des icônes utilisées dans l'onglet Conformité. La figure cidessous illustre la légende.
Présentation de l'onglet Conformité 273
Figure 19-4
Légende de la conformité
Le tableau ci-dessous fournit des descriptions détaillées des icônes de la légende.
Tableau 19-3
Icônes de la légende
Icône
Initialisation en cours
En cours d'exécution
Effectué
Erreur
Oui
Non
Interrompu
Description
Indique qu'une requête d'attestation a démarré.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Notez que vous n'avez pas la possibilité d'afficher les détails d'une requête d'initialisation sur la page Afficher l'état de la requête d'attestation.
Indique qu'une requête d'attestation est toujours en cours de traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique que le traitement d'une requête d'attestation est terminé.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'une erreur s'est produite au cours du traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'un chargé d'attestation a vérifié que les informations d'un processus d'attestation sont correctes.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique qu'un chargé d'attestation a invalidé les informations d'un processus d'attestation.
Apparaît sur la page Afficher l'état de la requête d'attestation.
Indique que le workflow d'une requête d'attestation s'est interrompue avant la fin parce que l'utilisateur l'a retiré ou parce qu'une erreur s'est produite durant son traitement.
Apparaît sur la page Afficher l'état de la requête d'attestation.
274 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
19.6 Principales opérations de conformité
L'onglet Conformité offre une interface utilisateur cohérente dotée des principaux outils pour accéder aux données et les afficher. Cette section décrit quelques-uns des principaux composants de l'interface utilisateur et comporte des instructions pour les éléments suivants :
Section 19.6.1, « Indication du libellé et de la description d'une requête », page 275
Section 19.6.2, « Définition des chargés d'attestation », page 275
Section 19.6.3, « Indication de l'échéance », page 276
Section 19.6.4, « Définition du formulaire d'attestation », page 277
Section 19.6.5, « Soumission d'une requête d'attestation », page 278
Section 19.6.6, « Enregistrement des détails de la requête », page 279
Section 19.6.7, « Utilisation d'une requête enregistrée », page 280
19.6.1 Indication du libellé et de la description d'une requête
Vous devez définir le libellé l'affichage et la description de tous les types de requête d'attestation.
L'onglet Conformité offre une interface cohérente pour cette tâche.
Pour définir l'étiquette d'affichage et la description de la requête, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Saisissez un libellé dans le champ Libellé d'affichage.
Le libellé d'affichage apparaît dans la liste Mes tâches, la liste des requêtes enregistrées et les autres listes d'affichage comme le nom du processus d'attestation.
Pour obtenir le texte localisé du libellé, cliquez sur le bouton Ajouter une langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
3 Saisissez une description dans le champ Description de la requête.
Lorsque vous vérifiez l'état de la requête dans la page Afficher l'état de la requête d'attestation, la description correspondante apparaît dans les détails de la requête.
Pour obtenir le texte localisé de la description, cliquez sur le bouton Ajouter une langue.
Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
19.6.2 Définition des chargés d'attestation
Les opérations Demander un processus d'attestation de violation de SoD, Demander un processus
d'attestation d'assignation de rôle et Demander un processus d'attestation d'assignation utilisateur offrent une interface cohérente pour définir les chargés d'attestation.
Présentation de l'onglet Conformité 275
Pour définir les chargés d'attestation pour un processus d'attestation de SoD, d'assignation de rôle ou d'assignation d'utilisateur, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation :
2a Pour ajouter un ou plusieurs utilisateurs à la liste, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 27
.
2b Pour ajouter un ou plusieurs groupes à la liste, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
2c Pour ajouter un ou plusieurs rôles à la liste, sélectionnez Rôle dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
2d Pour supprimer un élément, sélectionnez-le et cliquez sur le bouton Supprimer. Vous pouvez sélectionner plusieurs éléments avant de cliquer sur le bouton Supprimer.
2e Pour les chargés d'attestation de groupes et de rôles, indiquez si tous les membres doivent valider les données ou si un seul membre suffit dans chaque groupe et dans chaque rôle en cliquant sur l'un des boutons suivants :
Chaque membre du ou des groupes et rôles sélectionnés doit attester les données.
Un membre unique de chacun des groupes et rôles sélectionnés doit attester les
données.
Dans le cas d'un processus d'attestation de profil utilisateur, chaque membre doit attester pour un groupe ou un rôle sélectionné.
19.6.3 Indication de l'échéance
Une échéance est associée à chaque processus d'attestation. L'échéance indique la durée souhaitée de l'exécution du processus.
L'échéance est requise pour lancer un processus d'attestation, mais pas pour une requête enregistrée.
276 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pour indiquer l'échéance d'un processus d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Indiquez dans le champ Échéance la durée souhaitée de l'exécution du processus d'attestation.
Si vous souhaitez indiquer la durée du processus en semaines, jours ou heures, saisissez un nombre dans le champ Durée, puis sélectionnez l'unité de mesure (Semaines, Jours ou Heures).
Si vous préférez définir une date d'expiration, sélectionnez Spécifier la date de fin et utilisez la commande Calendrier pour sélectionner l'heure et la date. Si vous souhaitez que le processus s'exécute indéfiniment, sélectionnez Pas d'expiration.
La valeur indiquée dans le champ Échéance n'est pas stockée avec les détails de la requête enregistrée.
19.6.4 Définition du formulaire d'attestation
Vous devez définir un formulaire d'attestation pour tous les types d'attestation. L'onglet Conformité offre une interface cohérente pour cette tâche.
Pour définir le formulaire d'un processus d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Définissez les détails du formulaire d'attestation de la façon suivante :
2a Cliquez sur le bouton Modifier.
2b Saisissez la question d'attestation dans le champ Question d'attestation.
La question d'attestation est une question obligatoire quel que soit le processus d'attestation. Cette question permet au chargé d'attestation de valider ou d'invalider les données. La réponse à la question est oui ou non. Vous devez définir une question d'attestation lors du lancement des processus d'attestation ; chaque chargé d'attestation doit répondre à cette question pour compléter sa réponse.
Pour obtenir le texte localisé de la question d'attestation, cliquez sur le bouton Ajouter une
langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
Présentation de l'onglet Conformité 277
2c Dans le cas d'un processus d'attestation de profil utilisateur, vous devez indiquer les attributs de l'utilisateur à vérifier. Sélectionnez dans le champ Attributs utilisateur les attributs à ajouter.
La liste des attributs contient ceux qui sont marqués comme affichables dans la couche d'abstraction d'annuaire, à l'exception de ceux qui sont binaires ou calculés.
2d Le champ Questions d'enquête permet ajouter une ou plusieurs questions facultatives auxquelles un chargé d'attestation peut répondre au cours de l'exécution d'un processus d'attestation. Un processus d'attestation n'est pas obligatoire pour pouvoir inclure des questions d'enquête. Toutefois, si elles sont incluses, le chargé d'attestation peut
éventuellement y répondre.
Les étapes suivantes permettent de définir et d'organiser la liste des questions d'enquête :
2d1 Cliquez sur le bouton Ajouter un élément pour ajouter une question d'enquête.
Saisissez le texte localisé de la question à droite de la langue cible et cliquez sur OK.
2d2 Pour déplacer une question au début de la liste, sélectionnez-la et cliquez sur le bouton Déplacer vers le haut.
2d3 Pour déplacer une question au bas de la liste, sélectionnez-la et cliquez sur le bouton
Déplacer vers le bas.
2d4 Pour supprimer une question, sélectionnez-la et cliquez sur le bouton Supprimer.
2d5 Pour obtenir le texte localisé d'une question existante, sélectionnez-la et cliquez sur le bouton Ajouter une langue. Saisissez ensuite le texte localisé, à droite de la langue cible, puis cliquez sur OK.
2e Une fois que vous avez modifié le formulaire, cliquez sur le bouton Afficher.
Cliquez sur les boutons Afficher ou Modifier pour basculer entre les vues en lecture seule et les vues modifiables.
19.6.5 Soumission d'une requête d'attestation
Après en avoir défini les détails, vous devez soumettre la requête d'attestation pour lancer le processus. Lorsque vous soumettez une requête, l'application utilisateur en affiche le numéro de confirmation.
Les champs suivants sont obligatoires pour lancer une requête :
Tableau 19-4
Champs obligatoires pour lancer une requête
Type d'attestation
Profil de l'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Utilisateurs, Échéance, Question d'attestation
278 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Type d'attestation
Violation de SoD
Assignation de rôle
Assignation d'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Contraintes de SoD, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Libellé d'affichage, Description de la requête,
Vérifier les assignations de, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Libellé d'affichage, Description de la requête,
Vérifier les rôles assignés à, Chargés d'attestation,
Échéance, Paramètres régionaux du rapport,
Question d'attestation
Pour soumettre une requête d'attestation, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Soumettre pour lancer le processus d'attestation.
Le numéro de confirmation de votre requête s'affiche en haut de la page. Notez ce numéro afin de pouvoir suivre facilement la progression de votre requête sur la page Afficher l'état de la requête d'attestation. Si vous ne notez pas ce numéro, vous pouvez suivre la requête en utilisant le libellé d'affichage.
19.6.6 Enregistrement des détails de la requête
Lorsque vous définissez les détails d'une requête d'attestation, vous pouvez les enregistrer en vue de les réutiliser ultérieurement. Par exemple, vous pouvez enregistrer les valeurs de paramètre et de formulaire que vous indiquez afin de pouvoir les réutiliser pour une prochaine requête.
Lorsque vous cliquez sur Utiliser une requête enregistrée, le nom que vous indiquez pour celle-ci apparaît dans la liste des requêtes enregistrées, avec l'étiquette d'affichage.
Les champs suivants sont obligatoires pour une requête enregistrée :
Tableau 19-5
Champs obligatoires pour une requête enregistrée
Type d'attestation
Profil de l'utilisateur
Violation de SoD
Assignation de rôle
Champs obligatoires
Libellé d'affichage, Description de la requête,
Question d'attestation
Libellé d'affichage, Description de la requête,
Contraintes de SoD, Paramètres régionaux du rapport, Question d'attestation
Libellé d'affichage, Description de la requête,
Rôles, Paramètres régionaux du rapport, Question d'attestation
Présentation de l'onglet Conformité 279
Type d'attestation
Assignation d'utilisateur
Champs obligatoires
Libellé d'affichage, Description de la requête,
Paramètres régionaux du rapport, Question d'attestation
Pour enregistrer les détails de la requête, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Enregistrer les détails de la requête.
Saisissez le nom à utiliser pour identifier la requête de processus enregistrée et cliquez sur OK.
Le nom des requêtes enregistrées ne peut pas contenir les caractères < > , ; \ " + # = / | & *
Les espaces en début ou en fin de nom sont automatiquement supprimés.
Si la requête de processus existe déjà, l'application utilisateur vous invite à remplacer la définition existante.
19.6.7 Utilisation d'une requête enregistrée
Lorsque vous effectuez une requête d'attestation, vous pouvez utiliser les détails d'une requête déjà enregistrée comme base de la nouvelle. Les requêtes enregistrées qui peuvent être sélectionnées dépendent du type de processus d'attestation que vous demandez. Par exemple, si vous effectuez une requête d'attestation de profil utilisateur (voir ci-dessous), vous ne voyez que les requêtes enregistrées qui s'appliquent aux processus d'attestation de profil utilisateur.
Pour utiliser une requête enregistrée, procédez comme suit :
1 Dans le menu de navigation de gauche de l'onglet Conformité, sélectionnez l'opération à effectuer sous Requêtes d'attestation.
2 Cliquez sur Utiliser une requête enregistrée.
L'application utilisateur affiche une fenêtre contextuelle vous permettant de sélectionner la requête enregistrée.
280 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2a Pour sélectionner une requête, cliquez sur son nom ou sur le libellé d'affichage. Le nom de la requête est le nom commun (CN) de la définition de requête enregistrée.
2b Pour supprimer une requête enregistrée, cochez la case située à gauche du libellé d'affichage et cliquez sur Supprimer. Vous pouvez supprimer plusieurs requêtes enregistrées d'un simple clic.
Vous ne pouvez pas supprimer les définitions de requête par défaut qui sont installées avec le produit. Par conséquent, aucune case à cocher ne se trouve en regard des définitions de requête par défaut.
Lorsque vous cliquez sur le bouton Supprimer, l'application utilisateur affiche une fenêtre de confirmation avant de supprimer la requête enregistrée.
Présentation de l'onglet Conformité 281
282 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Réalisation des requêtes d'attestation
Cette section explique la procédure permettant de réaliser des requêtes d'attestation. Les rubriques incluent :
Section 20.1, « À propos des opérations de requêtes d'attestation », page 283
Section 20.2, « Demander un processus d'attestation de profil utilisateur », page 283
Section 20.3, « Demander un processus d'attestation de violation de SoD », page 285
Section 20.4, « Demander un processus d'attestation d'assignation de rôle », page 287
Section 20.5, « Demander un processus d'attestation d'assignation utilisateur », page 289
Section 20.6, « Vérification de l'état de vos requêtes d'attestation », page 292
20.1 À propos des opérations de requêtes d'attestation
L'onglet Conformité de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Requêtes d'attestation. Les opérations Requêtes d'attestation permettent d'effectuer des requêtes de processus d'attestation et de vérifier l'état des requêtes que vous avez effectuées.
20.2 Demander un processus d'attestation de profil utilisateur
L'opération Demander un processus d'attestation de profil utilisateur permet de lancer un processus d'attestation pour vérifier un ou plusieurs profils utilisateur. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sous-conteneurs au bas de la liste des éléments sélectionnés.
Pour lancer un processus d'attestation de profil utilisateur, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation de profil utilisateur dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
20
Réalisation des requêtes d'attestation
283
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 19.6.7, « Utilisation d'une requête enregistrée », page 280 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 19.6.1, « Indication du libellé et de la description d'une requête », page 275 .
4 Dans la zone Utilisateurs, sélectionnez les utilisateurs dont les profils doivent être vérifiés :
4a Pour inclure un ou plusieurs utilisateurs de façon explicite, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 27
.
4b Pour inclure les utilisateurs dans un ou plusieurs groupes, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs groupes en cochant leur case puis en cliquant sur Sélectionner.
4c Pour inclure les utilisateurs dans un ou plusieurs rôles, sélectionnez Rôle dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
4d Pour inclure les utilisateurs dans un conteneur, sélectionnez Conteneur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour accéder au conteneur, puis cliquez sur le conteneur pour le sélectionner.
284 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si vous voulez que le rapport d'assignation d'utilisateur inclue tous les utilisateurs dans les sous-conteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de
sous-conteneurs en bas de la liste des éléments sélectionnés.
Vous devez sélectionner au moins un utilisateur, un groupe, un rôle ou un conteneur avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un utilisateur, un groupe, un rôle ou un conteneur pour enregistrer une requête.
5 Le texte du champ Chargés d'attestation est en lecture seule. Dans un processus d'attestation de profil utilisateur, les chargés d'attestation sont les utilisateurs sélectionnés dans le champ
Utilisateurs, ainsi que tous les autres membres des groupes, rôles et conteneurs que vous avez ajoutés au champ Utilisateurs. En effet, chaque utilisateur doit être le chargé d'attestation de son propre profil ; aucun autre utilisateur ne peut l'être.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.3, « Indication de l'échéance », page 276
.
7 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.4, « Définition du formulaire d'attestation », page 277 .
8 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 19.6.5,
« Soumission d'une requête d'attestation », page 278 .
9 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 19.6.6, « Enregistrement des détails de la requête », page 279
.
20.3 Demander un processus d'attestation de violation de SoD
L'opération Demander un processus d'attestation de violation de SoD permet de lancer un processus d'attestation afin de vérifier les violations et les exceptions d'une ou plusieurs contraintes de SoD. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Lorsque vous lancez un processus d'attestation de SoD, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider.
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux contraintes sélectionnées pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation de SoD n'a pas les droits lui permettant de consulter une contrainte de SoD, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les violations et les exceptions de la contrainte.
Pour lancer un processus d'attestation de violation de SoD, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation de violation de SoD dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
Réalisation des requêtes d'attestation 285
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 19.6.7, « Utilisation d'une requête enregistrée », page 280 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 19.6.1, « Indication du libellé et de la description d'une requête », page 275 .
4 Sélectionnez les contraintes de SoD dont les violations et les exceptions doivent être vérifiées, de la façon suivante :
4a Pour inclure toutes les contraintes existantes, cliquez sur le bouton Toutes les contraintes
SoD.
4b Pour choisir les contraintes individuellement, cliquez sur le bouton Sélectionner des
contraintes de SoD.
Utilisez le Sélecteur d'objet pour sélectionner chaque contrainte. Dans le Sélecteur d'objet, vous pouvez inclure plusieurs contraintes en cochant la case de chaque élément, puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27 .
Vous devez sélectionner au moins une contrainte de SoD avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner une contrainte de SoD pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 19.6.2, « Définition des chargés d'attestation », page 275
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.3, « Indication de l'échéance », page 276
.
286 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
7 Dans le champ Langues des rapports, cliquez sur le bouton Ajouter une langue pour indiquer les paramètres régionaux de langue que vous voulez utiliser pour les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut. Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation de SoD, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.4, « Définition du formulaire d'attestation », page 277 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 19.6.5,
« Soumission d'une requête d'attestation », page 278 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 19.6.6, « Enregistrement des détails de la requête », page 279
.
20.4 Demander un processus d'attestation d'assignation de rôle
L'opération Demander un processus d'attestation d'assignation de rôle permet de lancer un processus d'attestation afin de vérifier l'exactitude des assignations pour les rôles sélectionnés. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Lorsque vous lancez un processus d'attestation d'assignation de rôle, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation peuvent vérifier.
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux rôles sélectionnés pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation d'assignation de rôle n'a pas les droits lui permettant de consulter un rôle particulier, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les assignations de rôle.
Le rapport généré pour un processus d'attestation d'assignation de rôle affiche les utilisateurs assignés aux rôles sélectionnés. Seuls les rôles ayant des assignations sont inclus au rapport.
Pour lancer un processus d'attestation d'assignation de rôle, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation d'assignation de rôle dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
Réalisation des requêtes d'attestation 287
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 19.6.7, « Utilisation d'une requête enregistrée », page 280 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 19.6.1, « Indication du libellé et de la description d'une requête », page 275 .
4 Dans la zone Vérifier les assignations pour, sélectionnez les rôles dont les assignations doivent
être vérifiées, de la façon suivante :
4a Pour inclure tous les rôles existants, cliquez sur le bouton Tous les rôles.
4b Pour choisir les rôles individuellement, cliquez sur le bouton Sélectionner les rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner chaque rôle. Le
Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur
Sélectionner.
Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27 .
Vous devez sélectionner au moins un rôle avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un rôle pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 19.6.2, « Définition des chargés d'attestation », page 275
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.3, « Indication de l'échéance », page 276
.
288 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
7 Dans le champ Langues de rapports, cliquez sur le bouton Ajouter une langue pour indiquer les langues à utiliser dans les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut.
Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation d'assignation de rôle, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.4, « Définition du formulaire d'attestation », page 277 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 19.6.5,
« Soumission d'une requête d'attestation », page 278 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 19.6.6, « Enregistrement des détails de la requête », page 279
.
20.5 Demander un processus d'attestation d'assignation utilisateur
L'opération Demander un processus d'attestation d'assignation utilisateur permet de lancer un processus d'attestation pour vérifier l'exactitude des assignations de rôle pour les utilisateurs sélectionnés. Si vous voulez que le rapport d'assignation d'utilisateur inclut tous les utilisateurs dans les sousconteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de sousconteneurs au bas de la liste des éléments sélectionnés.
Lorsque vous lancez un processus d'attestation d'assignation d'utilisateur, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider.
Il n'est pas nécessaire que les chargés d'attestation aient des droits relatifs aux rôles associés aux utilisateurs sélectionnés pour consulter les rapports. Si un chargé d'attestation sélectionné pour un processus d'attestation d'assignation d'utilisateur n'a pas les droits lui permettant de consulter un rôle particulier, l'application utilisateur lui permet néanmoins d'afficher le rapport montrant les assignations d'utilisateur.
Le rapport affiche les assignations de rôles des utilisateurs sélectionnés. Si vous choisissez un conteneur, un groupe ou un rôle, le rapport affiche les assignations de rôles pour les utilisateurs du conteneur, du groupe ou du rôle sélectionné.
Pour lancer un processus d'attestation d'assignation de rôle, procédez comme suit :
1 Cliquez sur Demander un processus d'attestation d'assignation utilisateur dans la liste des opérations Requêtes d'attestation.
L'application utilisateur affiche une page qui permet d'indiquer les détails d'un processus d'attestation.
Réalisation des requêtes d'attestation 289
2 Si vous souhaitez utiliser les détails d'une requête enregistrée précédemment comme base de cette requête, cliquez sur Utiliser une requête enregistrée. Pour plus d'informations, reportez-
vous à la Section 19.6.7, « Utilisation d'une requête enregistrée », page 280 .
3 Indiquez le libellé d'affichage et la description de la requête. Pour plus d'informations, reportez-
vous à la Section 19.6.1, « Indication du libellé et de la description d'une requête », page 275 .
4 Dans la zone Vérifier les rôles assignés à, sélectionnez les utilisateurs dont les assignations doivent être vérifiées :
4a Pour inclure un ou plusieurs utilisateurs de façon explicite, sélectionnez Utilisateur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les utilisateurs. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
Pour plus de détails sur l'utilisation du Sélecteur d'objet, reportez-vous à la
« Principales opérations utilisateur », page 27
.
4b Pour inclure les utilisateurs dans un ou plusieurs groupes, sélectionnez Groupe dans la liste déroulante.
Utilisez le Sélecteur d'objet pour sélectionner les groupes. Le Sélecteur d'objet permet d'inclure plusieurs utilisateurs en cochant leur case puis en cliquant sur Sélectionner.
4c Pour inclure les utilisateurs dans un ou plusieurs rôles, sélectionnez Rôle dans la liste déroulante.
290 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisez le Sélecteur d'objet pour sélectionner les rôles. Le Sélecteur d'objet permet d'inclure plusieurs rôles en cochant leur case puis en cliquant sur Sélectionner.
4d Pour inclure les utilisateurs dans un conteneur, sélectionnez Conteneur dans la liste déroulante.
Utilisez le Sélecteur d'objet pour accéder au conteneur, puis cliquez sur le conteneur pour le sélectionner.
Si vous voulez que le rapport d'assignation d'utilisateur inclue tous les utilisateurs dans les sous-conteneurs sélectionnés, vous devez cocher la case Inclure tous les utilisateurs de
sous-conteneurs en bas de la liste des éléments sélectionnés.
Vous devez sélectionner au moins un utilisateur, un groupe, un rôle ou un conteneur avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un utilisateur, un groupe, un rôle ou un conteneur pour enregistrer une requête.
5 Dans le champ Chargés d'attestation, indiquez les utilisateurs, les groupes et les rôles qui seront les chargés d'attestation dans le processus d'attestation. Pour plus de détails, reportez-
vous à la Section 19.6.2, « Définition des chargés d'attestation », page 275
.
Vous devez sélectionner au moins un utilisateur, un groupe ou un rôle de chargé d'attestation avant de lancer un processus d'attestation. En revanche, il n'est pas obligatoire de sélectionner un chargé d'attestation pour enregistrer une requête.
6 Indiquez l'échéance du processus d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.3, « Indication de l'échéance », page 276
.
7 Dans le champ Langues de rapports, cliquez sur le bouton Ajouter une langue pour indiquer les langues à utiliser dans les rapports générés pour le processus d'attestation. Sélectionnez les paramètres régionaux par défaut dans la liste déroulante Paramètre régional par défaut.
Sélectionnez ensuite les langues à inclure et cliquez sur OK.
Lorsque vous lancez un processus d'attestation d'assignation d'utilisateur, l'application utilisateur génère un ensemble de rapports localisés que les chargés d'attestation doivent valider. Ces rapports fournissent les mêmes données dans une ou plusieurs langues. Ils sont générés lorsque la requête est soumise afin de garantir que tous les chargés d'attestation consultent le même ensemble de données. Indiquez l'ensemble de langues des rapports qui seront générés et stockés pour le processus d'attestation. Lorsqu'un chargé d'attestation sélectionne une tâche d'attestation pour la vérifier, le système affiche le rapport localisé correspondant à ses paramètres régionaux préférés (ou aux paramètres régionaux du navigateur s'il n'en dispose pas). S'il n'existe aucun rapport pour ces paramètres régionaux, l'application utilisateur affiche le rapport utilisant les paramètres régionaux par défaut.
8 Définissez les détails du formulaire d'attestation. Pour plus d'informations, reportez-vous à la
Section 19.6.4, « Définition du formulaire d'attestation », page 277 .
9 Soumettez la requête. Pour plus d'informations, reportez-vous à la Section 19.6.5,
« Soumission d'une requête d'attestation », page 278 .
10 Vous pouvez également cliquer sur Enregistrer les détails de la requête pour enregistrer les détails associés à une requête de processus d'attestation (tels que les valeurs de paramètre et de formulaire) afin de pouvoir les réutiliser ultérieurement. Pour plus d'informations, reportez-
vous à la Section 19.6.6, « Enregistrement des détails de la requête », page 279
.
Réalisation des requêtes d'attestation 291
20.6 Vérification de l'état de vos requêtes d'attestation
L'opération Afficher l'état de la requête d'attestation permet de consulter l'état des requêtes d'attestation. Vous avez en outre la possibilité de consulter l'état détaillé de chaque processus de workflow ayant démarré pour une requête et éventuellement de retirer un ou plusieurs processus en cours.
L'opération Afficher l'état de la requête d'attestation affiche les requêtes d'assignation, notamment celles en cours d'initialisation, en cours d'exécution, terminées ou en erreur.
L'application utilisateur n'impose aucune restriction sur ce que l'administrateur du module de conformité et le gestionnaire d'attestation peuvent voir sur la page Afficher l'état de la requête d'attestation. Ces deux rôles donnent accès aux informations d'état concernant toutes les requêtes d'attestation.
Pour consulter vos requêtes d'attestation, procédez comme suit :
1 Cliquez sur Afficher l'état de la requête d'attestation dans la liste des opérations Requêtes
d'attestation.
L'application utilisateur affiche l'état actuel des requêtes d'attestation.
Les colonnes figurant dans la liste de requêtes d'attestation sont décrites ci-dessous :
La colonne Libellé d'affichage affiche le nom du processus d'attestation spécifié pour la requête. Vous pouvez afficher les informations d'état détaillées de la requête en cliquant sur le nom d'affichage du processus.
La colonne Demandé par contient l'utilisateur à l'origine de la requête.
La colonne Type d'attestation indique le type du processus d'attestation. Le type détermine le type d'information que le processus doit certifier, de la façon suivante :
292 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Type d'attestation
Profil de l'utilisateur
Violation de SoD
Assignation de rôle
Assignation d'utilisateur
Description
Indique que ce processus vise à assurer l'exactitude des informations de profil utilisateur. Pour lancer ce type de processus, un administrateur du module de conformité ou un Gestionnaire d'attestation doit utiliser l'opération Demander un processus
d'attestation de profil utilisateur.
Indique que ce processus vise à assurer l'exactitude des violations et des exceptions de séparation des tâches. Pour lancer ce type de processus, un administrateur du module de conformité ou un Gestionnaire d'attestation doit utiliser l'opération Demander un
processus d'attestation de violation de SoD.
Indique que ce processus vise à s'assurer que les utilisateurs disposent de l'accès correct aux ressources, aux informations ou aux systèmes en vérifiant que chaque rôle sélectionné dispose des assignations d'utilisateur correctes. Pour lancer ce type de processus, l'administrateur du module de conformité ou le gestionnaire d'attestation doit utiliser l'opération Demander un processus
d'attestation d'assignation de rôle.
Indique que ce processus vise à s'assurer que les utilisateurs disposent de l'accès correct aux ressources, aux informations ou aux systèmes en vérifiant que chaque utilisateur sélectionné dispose des assignations de rôle correctes. Pour lancer ce type de processus, l'administrateur du module de conformité ou le gestionnaire d'attestation doit utiliser l'opération Demander un processus
d'attestation d'assignation utilisateur.
La colonne État contient l'état de la requête ainsi qu'un indicateur visuel de l'état.
Sélectionnez l'état dans la liste déroulante État et cliquez sur Filtre pour affiner les résultats lors de la recherche des requêtes ayant un état particulier :
État
Initialisation en cours
En cours d'exécution
Terminé
Description
Indique qu'il s'agit d'une nouvelle requête qui vient de démarrer.
Indique que le traitement de la requête d'attestation est toujours en cours de traitement.
Indique que tous les chargés d'attestation ont répondu (ou que chaque processus a été retiré par un administrateur du module de conformité ou un gestionnaire d'attestation) et que le traitement de la requête est terminé.
Réalisation des requêtes d'attestation 293
État
Erreur
Description
Indique qu'une erreur s'est produite au cours du traitement.
Le message détaillé de l'erreur est consigné dans le journal de suivi ou d'audit actif. Lorsqu'une erreur se produit, vérifiez dans votre journal de suivi ou d'audit si le message d'erreur indique qu'un grave problème doit être résolu.
La colonne Date de la requête affiche la date à laquelle la requête a été effectuée.
La colonne Échéance affiche la date à laquelle tous les processus associés à cette requête doivent être terminés. Si cette colonne est vide, la requête n'a pas d'échéance.
2 Vous pouvez filtrer la liste des requêtes comme suit :
2a Si vous souhaitez afficher uniquement les requêtes commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la zone Libellé d'affichage.
2b Si vous souhaitez afficher uniquement les requêtes d'un type particulier, sélectionnez-le dans la liste déroulante Type d'attestation.
2c Pour afficher les requêtes de rôle ayant un état particulier, sélectionnez-le dans la liste déroulante État.
État
Tous
Initialisation en cours
En cours d'exécution
Terminé
Description
Inclut toutes les requêtes.
Inclut les requêtes qui viennent de démarrer.
Inclut les requêtes qui ont démarré et qui sont en cours de traitement.
Inclut les requêtes auxquelles tous les chargés d'attestation ont répondu (ou dont les processus individuels ont été retirés par un administrateur du module de conformité ou un gestionnaire d'attestation) et dont le traitement est terminé.
Inclut les requêtes qui ont produit des erreurs. Erreur
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour effectuer une recherche sur le numéro de confirmation généré lors de la première soumission de la requête, saisissez-le dans le champ Numéro de confirmation et cliquez sur
Rechercher.
4 Pour définir le nombre maximum de requêtes affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
5 Pour trier la liste de requêtes, cliquez sur l'intitulé de colonne qui contient les données que vous souhaitez trier.
6 Pour afficher les détails d'une requête, cliquez sur son nom dans la colonne Libellé d'affichage, puis faites défiler la page jusqu'à ce qu'apparaisse la zone Détails de la requête.
294 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Remarque : si l'état est Initialisation, il n'est pas possible de cliquer sur le Libellé d'affichage : vous ne pouvez pas afficher les détails d'une requête en cours d'initialisation.
Outre l'affichage des informations qui se trouvent déjà dans le récapitulatif, la zone Détails de
la requête contient des informations sur l'état des processus associés à la requête.
La section Nombre de processus liés donne le nombre total de processus, ainsi que le nombre de processus en cours d'exécution, effectués et terminés.
La section Résultats d'attestation fournit des données sur les réponses des chargés d'attestation :
Réalisation des requêtes d'attestation 295
Données
Réponses « Oui »
Réponses « Non »
Aucune opération entreprise
Description
Fournit le nombre total de chargés d'attestation ayant donné une réponse affirmative à la question d'attestation.
Remarque : le texte par défaut des réponses affirmatives est Oui. Ce texte peut néanmoins
être modifié. Lorsque vous modifiez le texte, le programme corrige le libellé du champ en conséquence.
Fournit le nombre total de chargés d'attestation ayant donné une réponse négative à la question d'attestation.
Remarque : le texte par défaut des réponses négatives est Non. Ce texte peut néanmoins
être modifié. Lorsque vous modifiez le texte, le programme corrige le libellé du champ en conséquence.
Fournit le nombre total de chargés d'attestation n'ayant pas encore répondu au processus d'attestation. Le total Aucune opération entreprise inclut également les chargés d'attestation qui n'ont jamais répondu ainsi que le processus terminé après expiration ou retiré par un administrateur du module de conformité ou un gestionnaire d'attestation.
6a Pour afficher les détails d'un formulaire d'attestation, cliquez sur Afficher les détails du
formulaire d'attestation.
296 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les détails du formulaire d'un processus d'attestation affichent le type d'information que les chargés d'attestation doivent vérifier. Les détails du formulaire varient selon que le type d'attestation est Profil utilisateur, Violations de SoD ou Assignation de rôle.
Pour masquer les détails du formulaire, cliquez sur Détails du formulaire d'attestation, en haut de la zone des détails du formulaire.
Pour obtenir des informations sur les détails du formulaire que les chargés d'attestation doivent valider lorsqu'ils réclament une tâche de workflow, reportez-vous à la
Section 10.2.3, « Réclamation d'une tâche », page 129
.
6b Vous pouvez filtrer la liste des processus, de la façon suivante :
6b1 Si vous souhaitez afficher uniquement les processus produisant un résultat particulier, sélectionnez-le dans la liste déroulante Résultat d'attestation.
Résultat
Tous
Oui
Non
Inconnu
Description
Inclut tous les processus.
N'inclut que les processus pour lesquels le chargé d'attestation a répondu par l'affirmative.
N'inclut que les processus pour lesquels le chargé d'attestation a répondu par la négative.
N'inclut que les processus pour lesquels aucune opération n'a été effectuée. Le filtre
Inconnu inclut également les processus pour lesquels un chargé d'attestation n'a jamais répondu et le processus effectué après expiration retiré par un administrateur du module de conformité ou un gestionnaire d'attestation.
6b2 Pour afficher les processus ayant un état particulier, sélectionnez-le dans la liste déroulante État du processus.
État
Tous
En cours d'exécution
Interrompu
Terminé
Description
Inclut tous les processus.
Inclut les processus qui ont démarré et qui sont en cours de traitement.
Inclut les processus qui ont été retirés ou qui sont terminés.
Inclut les processus pour lesquels le chargé d'attestation a répondu ou qui se sont terminés après avoir expiré.
Réalisation des requêtes d'attestation 297
6b3 Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur
Filtre.
6b4 Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
6c Pour définir le nombre maximal des processus affichés par page, sélectionnez-le dans la liste déroulante Maximum de lignes par page.
6d Pour vérifier l'état d'un chargé d'attestation, consultez la colonne État du processus qui lui correspond.
Le champ État du processus affiche l'état du processus, ainsi que l'icône de l'état. L'icône constitue un moyen pratique de voir rapidement l'état. Le tableau ci-dessous présente les codes d'état :
État
En cours d'exécution
Interrompu
Terminé
Description
Le processus a démarré et est en cours de traitement.
Le processus a été retiré sur la page Afficher l'état de la requête d'attestation, ou terminé dans iManager.
Tous les chargés d'attestation ont répondu et le traitement de chaque processus de workflow assigné à un chargé d'attestation a
été exécuté.
L'état Terminé inclut les processus auxquels le chargé d'attestation a répondu ainsi que ceux qui se sont terminés après expiration.
6e Pour retirer un ou plusieurs processus, sélectionnez les chargés d'attestation et cliquez sur
Retirer les processus sélectionnés. Si vous souhaitez retirer tous les processus, cliquez sur
Tout. Pour annuler votre sélection, cliquez sur Aucun.
La case Retirer les processus sélectionnés est désactivée si le processus est effectué ou terminé. Le bouton Retirer les processus sélectionnés n'apparaît pas si l'état de la requête de haut niveau est Terminé ou Erreur.
298 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Public link updated
The public link to your chat has been updated.
