9g Si vous sélectionnez un certificat ayant été importé dans votre navigateur, vous devez saisir le mot de passe de certificat dans le champ Mot de passe du formulaire de requête.
9h Si vous sélectionnez un certificat ayant été importé dans votre carte à puce, saisissez le code PIN de cette dernière et cliquez sur OK.
Il n'est pas nécessaire de saisir le mot de passe du certificat si vous utilisez une carte à puce, car il a déjà été transmis à celle-ci.
Si votre administrateur a accordé droit d'afficher l'aperçu de l'accord de l'utilisateur, le bouton Prévisualiser est activé.
9i Cliquez sur Prévisualiser pour afficher l'accord de l'utilisateur.
Si le type de signature numérique est défini sur Formulaire, un document PDF s'affiche. Si le type de signature numérique est défini sur Données, un document XML s'affiche.
10 Cliquez sur Soumettre.
Un workflow démarre pour l'utilisateur.
La page Demander des ressources pour l'équipe affiche un message d'état indiquant si la requête a été soumise avec succès.
Si votre requête nécessite une autorisation d'une ou plusieurs personnes de l'entreprise, elle démarre un ou plusieurs workflows pour obtenir ces approbations.
12.4 Gestion des requêtes de votre équipe
L'opération Requêtes de l'équipe permet aux gestionnaires d'équipe et à l'administrateur de l'application de provisioning d'afficher l'état et l'historique des requêtes de ressource et de retirer des requêtes de ressource.
Remarque : l'opération Requêtes de l'équipe n'affiche pas les requêtes de rôle ou d'attestation. Pour consulter l'état d'une requête de rôle, vous devez utiliser l'opération Afficher l'état de la requête de l'onglet Rôles. Pour consulter l'état d'une requête d'attestation, vous devez utiliser l'opération
Afficher l'état de la requête d'attestation de l'onglet Conformité.
1 Cliquez sur Requêtes de l'équipe dans le groupe d'opérations Le travail de mon équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Gestion du travail de votre équipe 181
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
L'administrateur de l'application de provisioning ne peut pas filtrer la liste des requêtes de l'équipe par conteneur ou par groupe. L'administrateur doit sélectionner des membres de l'équipe individuellement.
3 Cliquez sur Continuer.
La page Demander des ressources pour l'équipe vous invite à sélectionner un Membre de
l'équipe, le Type de requête (une catégorie) et un filtre Date de la requête.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Après avoir sélectionné un membre de l'équipe, vous pouvez sélectionner le Type de requête
(catégorie) et un filtre Date de la requête. Cliquez sur Continuer.
La page Requêtes de l'équipe comprend :
Chaque ressource demandée
Qui la reçoit
Qui l'a demandée
Le statut de la requête
Les requêtes de l'équipe sont affichées. La liste des requêtes n'inclut que celles qui sont disponibles pour l'équipe.
182 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
6 Pour afficher les détails d'une requête, cliquez sur son nom dans la liste.
La page Détail de la requête affiche des détails tels que
Nom de la ressource
Destinataire de la ressource
Statut des activités qui prennent en charge la requête
Qui a demandé la ressource
Quand la requête a été effectuée
Commentaires
7 Pour afficher l'historique des commentaires d'une requête, cliquez sur Afficher les
commentaires et l'historique du flux.
Une fenêtre contextuelle permet d'afficher les commentaires de l'utilisateur et du système.
L'ordre d'apparition des commentaires est déterminé par le tampon horaire associé à chaque commentaire. Les commentaires entrés les premiers s'affichent les premiers. Pour les flux parallèles d'approbation, l'ordre des activités actuellement traitées peut être imprévisible.
7a Pour afficher les commentaires de l'utilisateur, cliquez sur Afficher les commentaires de
l'utilisateur.
Gestion du travail de votre équipe 183
Les commentaires de l'utilisateur comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. La liste des activités affichées inclut les activités de l'utilisateur et de provisioning ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui comporte le nom de l'utilisateur qui est le délégataire actuel de chaque activité. le concepteur du workflow peut désactiver la génération des commentaires de l'utilisateur pour un workflow. Pour plus d'informations, reportez-vous au
Guide de conception de
l'application utilisateur Identity Manager (http://www.novell.com/documentation/ idmrbpm361/index.html) .
7b Pour afficher les commentaires du système, cliquez sur Afficher les commentaires du
système.
184 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les commentaires du système comportent les types d'informations suivants :
La date et l'heure d'ajout de chaque commentaire.
Le nom de l'activité à laquelle s'applique chaque commentaire. Lorsque vous affichez les commentaires du système, toutes les activités du workflow sont répertoriées. La liste de activités inclut celles ayant été traitées ou en cours de traitement.
Le nom de l'utilisateur ayant émis le commentaire. Si le commentaire est généré par le système de workflow, le nom de l'application (par exemple, IDMProv) est celui de l'utilisateur. Les commentaires générés par le système de workflow sont localisés automatiquement.
Le texte du commentaire, qui indique quelle opération a été choisie pour l'activité.
Les commentaires du système ont essentiellement pour objectif le débogage. La plupart des utilisateurs professionnels n'ont pas besoin de consulter les commentaires du système pour un workflow.
7c Pour faire défiler une longue liste de commentaires, cliquez sur les flèches situées au bas de l'écran. Par exemple, pour accéder à la page suivante, cliquez sur la flèche Suivant.
7d Cliquez sur Fermer pour fermer la fenêtre.
8 Pour retirer la requête, cliquez sur Retirer dans la page Détail de la requête. Retirer est activé pour les processus en cours. Dans les processus terminés, Retirer est désactivé.
Le bouton Retirer ne s'affiche pas avant que des gestionnaires d'équipes n'aient reçu l'autorisation de retirer des requêtes dans les droits de requête de l'équipe.
Gestion du travail de votre équipe 185
186 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Configuration des paramètres de provisioning de votre équipe
Cette section indique comment utiliser les opérations Paramètres de mon équipe dans l'onglet
Requêtes et approbations de l'interface utilisateur Identity Manager. Les rubriques incluent :
Section 13.1, « À propos des opérations Paramètres de mon équipe », page 187
Section 13.2, « Affichage et modification des assignations de proxy de votre équipe », page 187
Section 13.3, « Affichage et modification des assignations de délégué de votre équipe », page 192
Section 13.4, « Spécification de la disponibilité de votre équipe », page 198
13.1 À propos des opérations Paramètres de mon équipe
L'onglet Requêtes et approbations de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé Param. de mon équipe. Les opérations Paramètres de mon équipe permettent de :
Créer, afficher et modifier les assignations de proxy actuelles de votre équipe.
Créer, afficher et modifier les assignations de délégué actuelles de votre équipe.
Définir et afficher la disponibilité des membres de l'équipe pour les assignations de délégué.
13.2 Affichage et modification des assignations de proxy de votre équipe
L'opération Assignations du proxy de l'équipe permet de gérer l'assignation de proxy de chacun des membres de votre équipe. Les règles de définition des proxy sont les suivantes :
Si vous êtes le gestionnaire d'équipe, vous pouvez être autorisé à définir des proxy pour les membres de votre équipe. L'autorité permettant de définir des proxy est déterminée par la définition de l'équipe.
Les personnes que vous définissez comme proxy doivent également faire partie de votre
équipe.
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de proxy pour n'importe quel utilisateur, groupe ou conteneur de l'entreprise.
Pour assigner un proxy à un membre de l'équipe :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
13
Configuration des paramètres de provisioning de votre équipe
187
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
La liste des équipes inclut celles pour lesquelles des gestionnaires d'équipe sont autorisés à définir des proxy, ainsi que celles pour lesquelles la possibilité de définir des proxy a été désactivée. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxy, Le gestionnaire peut néanmoins afficher les paramètres de proxy définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut pas modifier ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
Pour trier les assignations de proxy, cliquez sur le champ Proxy assigné.
6 Cliquez sur Nouveau.
188 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des proxy pour les membres de l'équipe.
7 Complétez les champs de la façon suivante :
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Expiration
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que les membres de l'équipe pour lesquels le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si l'assignation réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
9 Cliquez sur Retour aux Assignations du proxy de l'équipe pour créer ou modifier une assignation de proxy.
Pour modifier des assignations de proxy existantes :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
Configuration des paramètres de provisioning de votre équipe 189
La liste des équipes inclut celles pour lesquelles des gestionnaires d'équipe sont autorisés à définir des proxy, ainsi que celles pour lesquelles la possibilité de définir des proxy a été désactivée. Si une définition d'équipe particulière n'autorise pas les gestionnaires d'équipe à définir des proxy, Le gestionnaire peut néanmoins afficher les paramètres de proxy définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut pas modifier ces paramètres, en afficher les détails, ni créer de nouvelles assignations de proxy.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Cliquez sur Continuer.
Les assignations de proxy du membre de l'équipe sélectionné, le cas échéant, sont affichées.
6 Pour modifier une assignation de proxy, cliquez sur le bouton Modifier qui se trouve en regard de l'assignation à modifier.
Si la définition de l'équipe ne permet pas aux gestionnaires d'équipe de définir des proxy, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
190 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Utilisateur
Proxy assigné
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Sélectionnez le membre de l'équipe pour lequel vous voulez assigner un proxy. Vous pouvez sélectionner plusieurs utilisateurs.
Sélectionnez le membre de l'équipe devant agir comme proxy.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de proxy.
Expiration
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme proxy, ainsi que le membre de l'équipe pour lequel le proxy a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le proxy a été assigné reçoivent une notification par courrier
électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que proxy reçoit une notification par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique
à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que l'assignation de proxy demeure en vigueur jusqu'à sa suppression ou sa modification.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de proxy.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Si la modification réussit, un message de ce type s'affiche :
Submission was successful
Changes will be reflected upon the assigned's next login.
Pour supprimer des assignations de proxy :
1 Cliquez sur Assignations de proxy de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Pour supprimer un paramètre de proxy, cliquez sur Supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher une confirmation de ce type :
Submission was successful.Changes will be reflected upon the assigned's next login.
Configuration des paramètres de provisioning de votre équipe 191
Remarque : il est également possible de supprimer une assignation de proxy au cours du processus de modification d'assignation de proxy.
13.3 Affichage et modification des assignations de délégué de votre équipe
L'opération Assignations de délégué de l'équipe permet de gérer les assignations de délégué des membres de l'équipe. Les règles permettant de définir les délégués sont les suivantes :
Vous êtes autorisé à définir les délégués des membres d'une équipe pour laquelle vous avez désigné un gestionnaire, si la définition de l'équipe vous en donne le droit.
Les personnes que vous définissez comme délégués doivent également faire partie de votre
équipe.
L'administrateur de l'application de provisioning a la possibilité de définir des assignations de délégué pour n'importe quel utilisateur, groupe ou conteneur de l'entreprise.
Pour définir une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
192 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Cliquez sur Nouveau.
Le bouton Nouveau n'est activé que pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des délégués pour les membres de l'équipe.
7 Complétez les champs de la façon suivante :
Configuration des paramètres de provisioning de votre équipe 193
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de
ces modifications
Destinataire
Expiration
Type de requête
Requêtes disponibles dans la
catégorie sélectionnée
Requêtes sélectionnées
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seuls les membres de l'équipe pour lesquels le délégué a été assigné reçoivent une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Sélectionnez une ou plusieurs requêtes de ressource de cette liste et cliquez sur Ajouter.
Cette liste affiche les types de requêtes de ressources ayant
été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer vos assignations.
Si l'enregistrement réussit, un message de ce type s'affiche :
194 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Submission was successful
Please note that any previous availability settings for users referenced in processed delegatee assignment will not be updated automatically. Please check and refresh any existing availability settings for the corresponding users in order to activate these changes.
Pour modifier des assignations de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir des délégués (spécifiée dans les droits de requête de l'équipe), ainsi que celles pour lesquelles la possibilité de définir des délégués a été désactivée. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe à définir des délégués, le gestionnaire peut néanmoins afficher les paramètres de délégué définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de délégué.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
Les assignations de délégué du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Sélectionnez un membre de l'équipe dans la liste et cliquez sur Continuer.
Les assignations existantes concernant le membre de l'équipe sont affichées.
6 Pour supprimer une assignation de délégué, cliquez sur le bouton Modifier, sur la ligne de l'assignation à supprimer.
Si les droits de requête de l'équipe n'autorisent pas les gestionnaires à définir des délégués, le bouton Modifier est désactivé.
7 Complétez les champs de la façon suivante :
Configuration des paramètres de provisioning de votre équipe 195
Champ
Utilisateur
Type d'assignation
Notifier les autres utilisateurs de
ces modifications
Destinataire
Expiration
Description
Sélectionnez un ou plusieurs utilisateurs dont vous voulez déléguer le travail.
Assignez l'utilisateur qui peut effectuer le travail délégué en sélectionnant l'une des options suivantes.
Assigner un délégué : sélectionnez un utilisateur dans la liste.
Assigner par relation : sélectionnez la relation de délégué dans la liste déroulante.
Indique si vous voulez envoyer un courrier électronique pour notifier un ou plusieurs utilisateurs de cette assignation de délégué.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Tous : spécifie que l'utilisateur assigné comme délégué, ainsi que le membre de l'équipe pour lequel le délégué a été assigné, reçoivent des notifications par courrier électronique.
Assigner depuis : spécifie que seul le membre de l'équipe pour lequel le délégué a été assigné reçoit une notification par courrier électronique.
Assigner à : spécifie que seul le membre de l'équipe qui doit agir en tant que délégué reçoit une notification par courrier
électronique.
Sélectif : permet d'envoyer des notifications par courrier
électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
Pas d'expiration : sélectionnez Pas d'expiration si vous voulez que la délégation demeure en vigueur jusqu'à sa suppression ou sa modification. En effet, cela rend la délégation permanente.
Spécifier l'expiration : sélectionnez Spécifier l'expiration pour définir une Date de fin. Cliquez sur l'agenda et sélectionnez la date et l'heure d'expiration de l'assignation de délégué.
196 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Type de requête
Description
Sélectionnez une catégorie dans la liste.
Cela remplit la liste des Requêtes disponibles dans la
Catégorie sélectionnée.
Pour indiquer que cette assignation de délégué s'applique à toutes les catégories, définissez le type de requête de l'assignation de délégué sur Tout.
Requêtes disponibles dans la
catégorie sélectionnée
Requêtes sélectionnées
Remarque : l'option Tout n'est disponible que si l'administrateur de provisioning a activé l'option Autoriser toutes les demandes pour votre application.
Sélectionnez une ou plusieurs requêtes de ressource de cette liste et cliquez sur Ajouter.
La liste des requêtes de provisioning n'inclut que les requêtes qui entrent dans le domaine de l'équipe. Si les droits de requête de l'équipe n'autorisent pas les gestionnaires d'équipe
à définir des délégués, les requêtes de provisioning associées
à l'équipe ne sont pas incluses à la liste.
Cette liste affiche les types de requêtes de ressources ayant
été délégués. Pour supprimer un type de requête, sélectionnez-le dans la liste, puis cliquez sur Supprimer.
8 Cliquez sur Soumettre pour enregistrer les sélections.
Pour supprimer une assignation de délégué :
1 Cliquez sur Assignations de délégué de l'équipe dans le groupe d'opérations Paramètres de
l'équipe pour afficher les assignations déléguées à ce membre de l'équipe, ainsi que les assignations déléguées depuis ce membre de l'équipe.
2 Pour supprimer une assignation de délégué, cliquez sur le bouton Supprimer, sur la ligne de l'assignation à supprimer.
Vous êtes invité à confirmer la suppression. Lorsque la suppression est terminée, vous voyez s'afficher un message de confirmation.
Configuration des paramètres de provisioning de votre équipe 197
13.4 Spécification de la disponibilité de votre
équipe
L'opération Disponibilité de l'équipe permet de spécifier les requêtes de ressource sur lesquelles les membres de votre équipe ne sont pas autorisés à travailler. Pendant la période au cours de laquelle vous ou les membres de votre équipe n'êtes pas disponibles, les requêtes de ressource de ce type sont dirigées vers la file d'attente du délégué.
Vous pouvez spécifier la disponibilité de chaque requête de ressource individuellement ou globalement. Vous ne pouvez spécifier la disponibilité que pour les utilisateurs auxquels sont assignés des délégués.
1 Cliquez sur Disponibilité de l'équipe dans le groupe d'opérations paramètres de l'équipe.
2 Cliquez sur Sélectionner une équipe pour sélectionner une équipe dont vous avez été désigné gestionnaire.
La liste des équipes inclut celles pour lesquelles les gestionnaires d'équipe sont autorisés à définir la disponibilité (spécifiée dans la définition de l'équipe), ainsi que celles pour lesquelles la possibilité de définir la disponibilité a été désactivée. Si la définition de l'équipe n'autorise pas les gestionnaires d'équipe à définir la disponibilité, le gestionnaire peut néanmoins afficher les paramètres de disponibilité définis pour les membres de l'équipe par l'administrateur ou par le gestionnaire d'une autre équipe auxquels sont associés ces utilisateurs. Cependant, le gestionnaire d'équipe ne peut ni modifier ni supprimer ces paramètres, en afficher les détails, ou créer de nouvelles assignations de disponibilité.
Si vous êtes administrateur de l'application de provisioning, vous ne voyez pas la case
Sélectionner une équipe.
3 Cliquez sur Continuer.
4 Cliquez sur le nom d'un Membre de l'équipe pour le sélectionner, puis sur Continuer.
Selon la manière dont l'équipe a été définie, il se peut que vous voyiez une icône Sélecteur
d'objet sous la zone de sélection Membre de l'équipe, au lieu d'une liste de membres de l'équipe. Dans ce cas, cliquez sur l'icône pour ouvrir la fenêtre Recherche de l'objet. Spécifiez les critères de recherche du membre de l'équipe, cliquez sur Rechercher et sélectionnez le membre de l'équipe.
198 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les assignations de disponibilité du membre de l'équipe sélectionné, le cas échéant, sont affichées.
5 Pour consulter les détails concernant une ressource particulière associée à une assignation de disponibilité, cliquez sur le nom de la ressource :
La page affiche ensuite une fenêtre contextuelle fournissant des informations concernant l'assignation de délégué :
Ces informations sont particulièrement utiles dans les situations où le même nom de ressource apparaît plusieurs fois dans la liste des paramètres de disponibilité.
6 Cliquez sur Nouveau.
Le bouton Nouveau est activé seulement pour les équipes dans lesquelles les gestionnaires sont autorisés à définir des paramètres de disponibilité pour les membres de l'équipe.
7 Spécifiez le statut en sélectionnant l'une des options suivantes dans la liste déroulante Modifier
l'état :
Configuration des paramètres de provisioning de votre équipe 199
État
Disponible pour TOUTES les requêtes
Description
Il s'agit du statut par défaut. Il indique que le membre de l'équipe est globalement disponible. Lorsque ce statut est en vigueur, les requêtes assignées au membre de l'équipe ne sont pas déléguées, même si des délégués sont assignés.
Remarque : si vous modifiez le statut et si vous le modifiez de nouveau pour Disponible pour TOUTES les requêtes, tout paramètre Disponible de façon sélective précédemment défini est supprimé.
NON disponible pour N'IMPORTE
QUELLE requête
Indique que le membre de l'équipe n'est disponible pour aucune requête de ressource actuellement dans le système.
(Connu également sous le nom de globalement indisponible.)
Le choix de ce statut indique que le membre de l'équipe n'est pas disponible pour chaque assignation de délégué existante et modifie le statut actuel en NON disponible pour les requêtes
spécifiées.
Les assignations sont effectives immédiatement et durent jusqu'à l'expiration de l'assignation de délégué.
Remarque : ce paramètre n'a pas d'incidence sur la disponibilité des nouvelles assignations créées après cette
étape.
NON disponible pour les requêtes spécifiées
Lorsque vous sélectionnez cette option, vous êtes invité à spécifier la disponibilité du membre de l'équipe. (Il s'agit de la même opération que lorsque vous cliquez sur le bouton
Nouveau.) Vous êtes invité à spécifier :
Les types de requêtes pour lesquelles le membre de l'équipe n'est pas disponible.
Spécifiez la période d'indisponibilité du membre de l'équipe.
Pendant la période où le membre de l'équipe n'est pas disponible pour une requête donnée, l'utilisateur délégué pour agir sur cette requête peut travailler sur elle.
8 Spécifiez la période d'indisponibilité du membre de l'équipe :
8a Pour spécifier le début de la période, saisissez la date et l'heure de début dans la zone
Indisponible depuis, ou cliquez sur le bouton de l'agenda et sélectionnez la date et l'heure.
200 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
8b Cliquez sur l'un des éléments suivants pour spécifier le début de la période :
Bouton
Pas d'expiration
Spécifier la durée
Spécifier la date de fin
Description
Indique que ce paramètre d'indisponibilité n'expire pas.
Permet de spécifier la période en semaines, jours ou heures.
Permet de spécifier la date et l'heure de fin. Vous pouvez saisir la date et l'heure, ou cliquer sur l'agenda et les sélectionner dans l'agenda.
9 Pour spécifier si vous voulez envoyer des notifications par courrier électronique à d'autres utilisateurs, complétez les champs suivants :
Champ
Notifier les autres utilisateurs de ces
modifications
Destinataire
Description
Indique si vous voulez envoyer un courrier
électronique pour notifier un ou plusieurs utilisateurs de cette assignation de disponibilité.
Spécifie quels utilisateurs doivent recevoir des notifications par courrier électronique.
Sélectif : permet d'envoyer des notifications par courrier électronique à n'importe quel utilisateur que vous sélectionnez, y compris à des utilisateurs ne figurant pas dans l'équipe.
10 Sélectionnez une ou plusieurs requêtes dans la liste Types de requêtes, puis cliquez sur Ajouter.
Sur cette page, vous pouvez sélectionner les types de requêtes que le membre de l'équipe n'accepte pas pendant la période d'indisponibilité. Cela a pour effet de déléguer ces requêtes à d'autres utilisateurs.
Chaque requête que vous ajoutez est incluse à la liste Indisponible pour la période spécifiée.
Si vous ajoutez plusieurs requêtes pour cette période, chacune est traitée comme un objet individuel pouvant être modifié séparément.
11 Pour indiquer que ce paramètre de disponibilité s'applique à tous les types de requêtes, cliquez sur Tous les types de requêtes au lieu de sélectionner individuellement des types de requêtes.
Configuration des paramètres de provisioning de votre équipe 201
La case à cocher Tous les types de requêtes n'est disponible que lorsque le type de requête pour l'assignation de délégué est défini sur Tout.
12 Pour supprimer une requête de la liste, cliquez sur Supprimer.
13 Cliquez sur Soumettre pour enregistrer vos modifications.
202 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Utilisation de l'onglet Rôles
Ces sections décrivent la façon d'utiliser l'onglet Rôles de l'application utilisateur Identity Manager.
Chapitre 14, « Présentation de l'onglet Rôles », page 205
Chapitre 15, « Affichage des rôles », page 219
Chapitre 16, « Création d'assignations de rôle », page 221
Chapitre 17, « Gestion des rôles », page 241
Chapitre 18, « Création et affichage des rapports de rôle », page 255
IV
Utilisation de l'onglet Rôles
203
204 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Présentation de l'onglet Rôles
Cette section présente l'onglet Rôles. Les rubriques incluent :
Section 14.1, « À propos de l'onglet Rôles », page 205
Section 14.2, « Accès à l'onglet Rôles », page 211
Section 14.3, « Exploration des fonctions de l'onglet », page 211
Section 14.4, « Opérations de rôle que vous pouvez effectuer », page 213
Section 14.5, « Compréhension de la légende Rôles », page 215
Pour plus d'informations sur l'ouverture et l'utilisation de l'interface utilisateur Identity Manager,
reportez-vous au Chapitre 1, « Mise en route », page 17 .
14.1 À propos de l'onglet Rôles
L'objectif de l'onglet Rôles est de vous offrir un moyen pratique d'effectuer des opérations de provisioning basé sur les rôles. Ces opérations permettent de gérer les définitions et les assignations de rôle au sein de votre entreprise. Les assignations de rôle peuvent être mappées aux ressources d'une entreprise (comptes utilisateur, ordinateurs, bases de données). Par exemple, dans l'onglet
Rôles :
Faites des requêtes de rôles pour vous ou d'autres utilisateurs de votre organisation.
Créer des rôles et des relations de rôles dans la hiérarchie de rôles.
Créer des contraintes de séparation des tâches (SoD, Separation of Duties) pour gérer les conflits potentiels entre les assignations de rôle.
Reportez-vous aux rapports qui détaillent l'état en cours du catalogue de rôles et des rôles actuellement assignés aux utilisateurs, aux groupes et aux conteneurs.
Lorsqu'une requête d'assignation de rôle requiert l'autorisation d'une ou de plusieurs personnes au sein d'une entreprise, cette requête lance un workflow. Ce workflow coordonne les approbations nécessaires pour exécuter la requête. Certaines requêtes d'assignation de rôle ne nécessitent l'approbation que d'une seule personne ; d'autres requièrent l'approbation de plusieurs personnes.
Dans certains cas, une requête peut même être effectuée sans aucune approbation.
Si une requête d'assignation de rôle donne lieu à un conflit SoD potentiel, l'initiateur peut annuler la contrainte SoD et fournir une justification pour prouver la nécessité de créer une exception de contrainte. Dans certains cas, un conflit SoD peut entraîner le démarrage d'un workflow. Le workflow coordonne les approbations nécessaires à l'entrée en vigueur de l'exception SoD.
Votre concepteur de workflow et votre administrateur système sont responsables de la définition du contenu de l'onglet Rôles pour vous et les autres utilisateurs de votre entreprise. Le flux de contrôle pour un workflow basé sur les rôles ou un workflow de SoD peut varier, ainsi que l'apparence des formulaires associés, en fonction de la façon dont la définition de l'approbation a été établie dans le concepteur d'Identity Manager. En outre, ce que vous voyiez et ce que vous pouvez faire est généralement déterminé par les exigences de votre fonction et par votre niveau d'autorité.
14
Présentation de l'onglet Rôles
205
Rôles et mode proxy
Le mode proxy est uniquement opérationnel dans l'onglet Requêtes et approbations. Il n'est pas pris en charge dans l'onglet Rôles. Si vous utilisez le mode proxy dans l'onglet Requêtes et approbations, puis passez à l'onglet Rôles, le mode proxy est désactivé pour les deux onglets.
14.1.1 À propos des rôles
Cette section présente les termes et les concepts utilisés dans l'onglet Rôles :
« Rôles et assignations de rôle » page 206
« Catalogue et hiérarchie de rôles » page 206
« Séparation des tâches (SoD) » page 208
« Rôles : audit et création de rapport » page 208
« Sécurité des rôles » page 209
« Pilote de services de rôles » page 211
Rôles et assignations de rôle
Un rôle définit un ensemble d'autorisations liées à un ou plusieurs systèmes cibles ou applications.
L'onglet Rôles permet aux utilisateurs de faire des requêtes d'assignation de rôle, c'est-à-dire des associations entre un rôle et un utilisateur, un groupe ou un conteneur. L'onglet Rôles permet
également de définir des relations de rôle, qui établissent des associations entre les rôles dans la hiérarchie de rôles.
Vous pouvez assigner des rôles directement à un utilisateur. Dans ce cas, ces assignations directes lui confèrent un accès explicite aux autorisations liées à un rôle. Vous pouvez également définir des
assignations indirectes, qui permettent aux utilisateurs d'acquérir des rôles grâce à leur appartenance
à un groupe, un conteneur ou un rôle associé dans la hiérarchie de rôles.
Lorsque vous effectuez une requête d'assignation de rôle, vous pouvez définir une date d'entrée en
vigueur pour indiquer la date et l'heure d'entrée en vigueur de l'assignation. Si vous ne précisez aucune date, l'assignation est immédiate.
Vous pouvez également définir une date d'expiration pour indiquer la date et l'heure de suppression automatique de cette assignation.
Lorsqu'un utilisateur effectue une requête d'assignation de rôle, le sous-système de rôles gère le cycle de vie de la requête de rôle. Pour connaître les opérations qui ont été exécutées au niveau de la requête, vous pouvez vérifier l'état de la requête sur la page Afficher l'état de la requête.
Catalogue et hiérarchie de rôles
Avant que les utilisateurs puissent commencer à assigner des rôles, il faut tout d'abord définir les rôles dans le catalogue de rôles. Le catalogue de rôles est la zone de stockage pour toutes les définitions de rôle. Il prend en charge les données nécessaires au sous-système de rôles. Pour configurer le catalogue de rôles, un administrateur du module de rôles ou un gestionnaire de rôles définit les rôles et leur hiérarchie.
La hiérarchie de rôles établit des relations entre les rôles du catalogue. Définissez les relations de rôle pour accorder plus facilement les autorisations par le biais des assignations de rôle. Par exemple, au lieu d'assigner 50 rôles médicaux distincts chaque fois qu'un docteur rejoint votre
206 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
équipe, vous pouvez définir un rôle Docteur et spécifier une relation de rôle entre ce rôle et chacun des rôles médicaux. Assignez des utilisateurs au rôle Docteur pour leur octroyer les autorisations définies pour chaque rôle médical associé.
La hiérarchie de rôles prend en charge trois niveaux. Les rôles définis au plus haut niveau (les rôles métier) déterminent les opérations ayant une signification commerciale au sein de l'organisation. Les rôles définis au niveau intermédiaire (les rôles IT) prennent en charge les fonctions technologiques.
Les rôles définis au plus bas niveau (les rôles d'autorisation) déterminent les privilèges de niveau inférieur. Vous trouverez ci-dessous un exemple de hiérarchie de rôles à trois niveaux pour une organisation médicale. Le plus haut niveau de la hiérarchie se situe à gauche et le plus bas à droite :
Figure 14-1
Exemple de hiérarchie de rôles
Un rôle de niveau supérieur comporte automatiquement les privilèges des rôles de niveau inférieur qu'il contient. Un rôle métier, par exemple, comporte automatiquement les privilèges des rôles IT qu'il contient. De même, un rôle IT comporte automatiquement les privilèges des rôles d'autorisation qu'il contient.
Les relations de rôle ne sont pas autorisées entre les rôles homologues au sein de la hiérarchie. De plus, les rôles de niveau inférieur ne peuvent contenir des rôles de niveau supérieur.
Présentation de l'onglet Rôles 207
Lorsque vous définissez un rôle, vous pouvez éventuellement désigner un ou plusieurs propriétaires pour ce rôle. Un propriétaire de rôle est un utilisateur désigné comme le propriétaire de la définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire d'un rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle. Dans certains cas, le propriétaire doit demander à un administrateur de rôles de réaliser les opérations d'administration sur ce rôle.
Lorsque vous définissez un rôle, vous pouvez éventuellement associer le rôle à une ou plusieurs catégories de rôle. Une catégorie de rôle permet de classer les rôles par catégorie afin d'organiser le système de rôles. Une fois qu'un rôle a été associé à une catégorie, vous pouvez utiliser cette catégorie comme filtre lorsque vous affichez le catalogue de rôles.
Si une requête d'assignation de rôle nécessite une approbation, la définition de rôle fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs. Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une requête d'assignation de rôle.
Séparation des tâches (SoD)
La capacité à définir des contraintes SoD est une des caractéristiques clés du sous-système de rôles.
Une contrainte SoD est une règle qui définit deux rôles jugés en conflit. Les responsables de la sécurité créent les contraintes SoD pour une organisation. Grâce aux contraintes SoD, ces responsables peuvent empêcher les utilisateurs d'être assignés à des rôles en conflit. Ils peuvent
également tenir un suivi d'audit pour conserver une trace des cas où des violations ont été autorisées.
Dans une contrainte SoD, les rôles en conflit doivent appartenir au même niveau de la hiérarchie de rôles.
Certaines contraintes SoD peuvent être remplacées sans approbation ; d'autres en nécessitent une.
Les conflits autorisés sans approbation sont des violations SoD. Les conflits approuvés sont des
exceptions SoD approuvées. Le sous-système de rôles ne nécessite pas d'approbation pour les violations SoD issues d'assignations indirectes (appartenance à un groupe ou à un conteneur ou relations de rôle).
Si un conflit SoD nécessite une approbation, la définition de contrainte fournit des détails sur le processus de workflow utilisé pour coordonner les approbations, ainsi que la liste des approbateurs.
Les approbateurs sont les personnes qui ont le pouvoir d'approuver ou de rejeter une exception SoD.
Une liste par défaut est définie dans le cadre de la configuration du sous-système de rôles. Cette liste peut cependant être remplacée dans la définition d'une contrainte SoD.
Rôles : audit et création de rapport
Le sous-système de rôles constitue une riche fonctionnalité de création de rapport. Il permet aux auditeurs d'analyser le catalogue de rôles, ainsi que l'état des assignations de rôle et des contraintes, violations et exceptions SoD. La fonctionnalité de création de rapport sur les rôles permet aux auditeurs de rôles et aux administrateurs du module de rôles d'afficher les types de rapports suivants au format PDF :
Rapport de listes de rôles
Rapport de détails de rôle
Rapport d'assignations de rôle
Rapport de contrainte de SoD
Rapport de violations et d'exceptions SoD
208 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Rapport des rôles de l'utilisateur
Rapport des droits utilisateur
Le sous-système de rôles fournit des informations grâce à la fonctionnalité de création de rapport. Il peut en outre être configuré pour consigner les événements dans Novell
®
Audit.
Sécurité des rôles
Le sous-système de rôles fait appel à un ensemble de rôles système pour accéder en toute sécurité aux fonctions de l'onglet Rôles. Chaque opération de menu dans l'onglet Rôles est assignée à un ou plusieurs rôles système. Si un utilisateur n'est pas membre d'un des rôles associés à l'opération, l'élément de menu correspondant ne s'affiche pas dans l'onglet Rôles.
Les rôles système sont des rôles d'administration définis par le système lors de l'installation à des fins de délégation des tâches administratives. Il s'agit notamment des rôles suivants :
Administrateur du module de rôles
Gestionnaire de rôles
Auditeur de rôles
Responsable de sécurité
Les rôles système sont décrits en détail ci-dessous :
Tableau 14-1
Rôles système
Rôle
Administrateur du module de rôles
Description
Ce rôle système permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également d'exécuter n'importe quel rapport pour tous les utilisateurs quels qu'ils soient. Une personne assignée à ce rôle peut effectuer sans restriction les opérations suivantes dans l'application utilisateur :
Créer, supprimer et modifier les rôles.
Modifier les relations de rôle pour les rôles.
Faire des requêtes d'assignation d'utilisateurs, de groupes ou de conteneurs à des rôles.
Créer, supprimer et modifier les contraintes SoD.
Consulter le catalogue de rôles.
Configurer le sous-système de rôles.
Afficher l'état de toutes les requêtes.
Retirer des requêtes d'assignation de rôle.
Exécuter un ou tous les rapports.
Présentation de l'onglet Rôles 209
Rôle
Gestionnaire de rôles
Auditeur de rôles
Responsable de sécurité
Description
Ce rôle système permet aux membres de modifier les rôles et les relations de rôle. Il permet également d'accorder ou de révoquer des assignations de rôle pour les utilisateurs. Une personne assignée à ce rôle peut effectuer les opérations suivantes dans l'application utilisateur mais est limitée par les droits Parcourir des répertoires associés aux objets de rôle :
Créer de nouveaux rôles et modifier les rôles existants pour lesquels l'utilisateur possède des droits Parcourir.
Modifier les relations de rôle concernant les rôles pour lesquels l'utilisateur possède des droits Parcourir.
Faire des requêtes d'assignations d'utilisateurs, de groupes ou de conteneurs à des rôles pour lesquels l'utilisateur a des droits
Parcourir.
Parcourir le catalogue de rôles (limité en raison des droits
Parcourir).
Parcourir les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits Parcourir des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Retirer les requêtes d'assignations de rôle pour les utilisateurs, les groupes et les conteneurs (limité en raison des droits Parcourir des répertoires associés aux objets de rôle, d'utilisateur, de groupe et de conteneur).
Ce rôle système permet aux membres d'exécuter des rapports pour lesquels ils possèdent des droits Parcourir des répertoires.
Ce rôle système permet aux membres de créer, de supprimer ou de modifier les contraintes SoD. Le responsable de sécurité doit posséder des droits Parcourir associés aux contraintes SoD.
Utilisateur authentifié
Outre la prise en charge des rôles système, le sous-système de rôles permet l'accès par les utilisateurs authentifiés. Un utilisateur authentifié est un utilisateur logué à l'application utilisateur qui ne dispose pas de privilèges spéciaux grâce à l'appartenance à un rôle système. Un utilisateur authentifié typique peut effectuer toutes les opérations suivantes :
Afficher tous les rôles qui ont été assignés à l'utilisateur.
Faire une requête d'assignation (uniquement pour son compte) concernant les rôles pour lesquels l'utilisateur possède des droits Parcourir.
Afficher l'état de la requête concernant les requêtes pour lesquelles l'utilisateur possède des droits Parcourir.
Retirer les requêtes d'assignation de rôle concernant les rôles pour lesquels l'utilisateur est à la fois demandeur et destinataire.
210 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pilote de services de rôles
Le sous-système de rôles fait appel au pilote de services de rôles pour gérer le traitement final des rôles. Ce pilote a diverses fonctions dont voici quelques exemples : il gère toutes les assignations de rôle ; il lance les workflow pour les requêtes d'assignations de rôle et les conflits nécessitant une approbation ; il consigne les assignations de rôle indirectes en fonction de l'appartenance à un groupe ou conteneur, ainsi que l'appartenance aux rôles associés. Le pilote a également deux autres fonctions : accorder et retirer les droits utilisateur en fonction de l'appartenance à un rôle, mais aussi réaliser des procédures de nettoyage pour les requêtes qui ont été menées à bien.
Pour plus de détails sur le pilote de services de rôles, reportez-vous au
Guide d'administration de
l'application utilisateur Identity Manager (http://www.novell.com/documentation/idmrbpm361/ index.html) .
14.2 Accès à l'onglet Rôles
Pour accéder à l'onglet Rôles :
1 Cliquez sur Rôles dans l'application utilisateur.
Par défaut, l'onglet Rôles s'ouvre et affiche la page Mes rôles.
Si vous ouvrez un autre onglet de l'application utilisateur et si vous souhaitez ensuite revenir au précédent, il suffit de cliquer sur l'onglet Rôles pour le rouvrir.
14.3 Exploration des fonctions de l'onglet
Cette section décrit les fonctions par défaut de l'onglet Rôles. (Il se peut que votre onglet ait un aspect différent du fait des modifications personnalisées réalisées par votre entreprise ; consultez votre administrateur système ou votre concepteur de workflow.)
La partie gauche de l'onglet Rôles affiche un menu des opérations que vous pouvez effectuer. Les opérations sont répertoriées par catégorie (Mes rôles, Assignations de rôles, Gestion des rôles et
Création de rapport).
Présentation de l'onglet Rôles 211
Les opérations correspondant à la Gestion des rôles s'affichent uniquement si vous êtes administrateur du module de rôles ou gestionnaire de rôles. L'opération Gestion de la séparation des
tâches dans Gestion des rôles s'affiche uniquement si vous êtes administrateur du module de rôles ou responsable de sécurité. Les opérations Création de rapport sur les rôles s'affichent uniquement si vous êtes administrateur du module de rôles ou auditeur de rôles.
Lorsque vous cliquez sur une action, elle affiche la page correspondante sur la droite. Cette page contient généralement une fenêtre montrant les détails de l'opération correspondante. Par exemple, elle peut afficher une liste ou un formulaire dans lequel vous pouvez entrer des données ou effectuer une sélection, comme indiqué ci-dessous :
Figure 14-2
Page affichée pour une opération
La plupart des pages avec lesquelles vous travaillez dans l'onglet Rôles comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende des Rôles :
212 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Pour plus de détails sur la légende des Rôles, reportez-vous à la
Section 14.5, « Compréhension de la légende Rôles », page 215
.
14.4 Opérations de rôle que vous pouvez effectuer
Voici un résumé des opérations que vous pouvez utiliser par défaut dans l'onglet Rôles :
Tableau 14-2
Opérations de rôle
Catégorie Action Description
Mes rôles Mes rôles Cette opération permet d'afficher l'état et les détails de vos rôles approuvés. Elle affiche les rôles dont l'état indique
Provisionné ou Activation en attente mais n'affiche pas les rôles qui n'ont pas encore été approuvés.
Pour plus de détails, reportez-vous au Chapitre 15,
« Affichage des rôles », page 219 .
Assignations de rôles
Assignations de rôles L'opération Assignations de rôles permet aux utilisateurs de demander des assignations de rôle. Cette opération est réservée aux administrateurs du module de rôles, aux gestionnaires de rôles et aux autres utilisateurs authentifiés qui ne sont pas assignés de manière spécifique à l'un des rôles système en place.
Les administrateurs du module de rôles peuvent demander l'assignation d'utilisateurs, de groupes ou de conteneurs aux rôles. Le champ d'action de l'administrateur du module de rôles est illimité.
Les gestionnaires de rôles peuvent demander l'assignation d'utilisateurs, de groupes et de conteneurs aux rôles pour lesquels ils possèdent des droits
Parcourir.
D'autres utilisateurs authentifiés peuvent effectuer pour leur compte des requêtes d'assignation aux rôles pour lesquels ils possèdent des droits Parcourir.
Afficher l'état de la requête
Pour plus de détails, reportez-vous à la
« Assignation de rôles », page 221 .
Cette opération permet d'afficher l'état de vos requêtes de rôles (notamment les requêtes effectuées explicitement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez). Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
Pour plus de détails, reportez-vous à la
« Vérification de l'état de votre requête », page 230
.
Présentation de l'onglet Rôles 213
Catégorie
Gestion des rôles
Action Description
Parcourir le catalogue de rôles
Gérer les rôles
Gestion des relations entre les rôles
Gestion de la séparation des tâches
Configuration du soussystème de rôles
Cette opération permet d'afficher les rôles existants du catalogue de rôles. Vous pouvez également supprimer des
rôles, accéder aux opérations Gestion des relations entre les rôles et
.
Pour plus de détails, reportez-vous à la
« Consultation du catalogue de rôles », page 241 .
Cette opération permet de créer, de modifier ou de supprimer un rôle.
Pour plus de détails, reportez-vous à « Gestion des rôles » page 242
.
Cette opération permet de définir de quelle façon les rôles sont associés dans une hiérarchie de limitation de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations.
Pour plus de détails, reportez-vous à « Gestion de relations de rôle » page 247 .
Cette opération permet de définir une contrainte de séparation des tâches (SoD). Une contrainte SoD constitue une règle qui rend deux rôles mutuellement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Pour plus de détails, reportez-vous à « Gestion des contraintes SoD » page 249
.
Cette opération permet de spécifier des paramètres administratifs pour le sous-système de rôles.
Pour plus de détails, reportez-vous à « Configuration du sous-système de rôles » page 253
.
214 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Catégorie
Création de rapport sur les rôles
Action
Rapports de rôle
Rapports SoD
Rapports sur les utilisateurs
Description
Cette opération permet de créer et d'afficher des rapports qui décrivent l'état actuel des rôles et des assignations de rôle.
Pour plus de détails, reportez-vous à la
« Rapports de rôle », page 255 .
Cette opération permet de créer et d'afficher les rapports décrivant l'état des contraintes, des violations et des exceptions SoD approuvées.
Pour plus de détails, reportez-vous à la
Cette opération permet de créer et d'afficher les rapports décrivant l'état des relations de rôle et des droits pour les utilisateurs.
Pour plus de détails, reportez-vous à la
« Rapports sur les utilisateurs », page 261
.
14.5 Compréhension de la légende Rôles
La plupart des pages avec lesquelles vous travaillez dans l'onglet Rôles comportent, dans l'angle supérieur droit, un bouton qui permet d'afficher la légende Rôles. Pour afficher la légende, cliquez
sur le bouton Légende, illustré à la Figure 9-2
:
Figure 14-3
Le bouton Légende
La légende offre une brève description des icônes utilisées dans l'onglet Rôles. La figure ci-dessous illustre la légende.
Figure 14-4
Légende Rôles
Le tableau ci-dessous fournit des descriptions détaillées des icônes de la légende.
Présentation de l'onglet Rôles 215
Tableau 14-3
Icônes de la légende
Icône
Exécution : Traitement
Approbation en attente
Approuvé
Terminé : Provisionné
Refusé
Interrompu
Rôle
Relation de niveau supérieur
Relation de niveau inférieur
Utilisateur
Groupe
Description
Indique qu'une requête de rôle est toujours en cours de traitement.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle est en attente d'approbation pour une exception SoD ou pour l'assignation de rôle elle-même.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle a été approuvée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été approuvée.
Apparaît sur la page Afficher l'état de la requête.
Cette opération indique qu'une requête de rôle a été approuvée et que le rôle a été assigné au destinataire (utilisateur, groupe ou conteneur).
Apparaît sur les pages Mes rôles, assignations de rôle et Afficher l'état de la requête.
Indique qu'une requête de rôle a été refusée. Si une exception
SoD a été détectée, cet état peut également être utilisé pour indiquer que l'exception a été refusée.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'une requête de rôle s'est interrompue avant la fin parce que l'utilisateur a annulé la requête ou parce qu'une erreur est survenue au cours du traitement.
Apparaît sur la page Afficher l'état de la requête.
Indique qu'un objet est un rôle.
Apparaît sur les pages Mes rôles, Assignations de rôles et
Afficher l'état de la requête.
Indique qu'un rôle a une relation de niveau supérieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Gestion des relations entre les rôles.
Indique qu'un rôle a une relation de niveau inférieur par rapport au rôle sélectionné, ce qui signifie qu'il contient ce dernier.
Apparaît sur la page Gestion des relations entre les rôles.
Indique qu'un objet est un utilisateur.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'un objet est un groupe.
Apparaît sur les pages Mes rôles et Assignations de rôles.
216 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône
Conteneur
Assignation directe
Activation en attente
Description
Indique qu'un objet est un conteneur.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'un rôle a été assigné directement à l'utilisateur, au groupe ou au conteneur sélectionné.
Apparaît sur les pages Mes rôles et Assignations de rôles.
Indique qu'une requête de rôle est en fin de traitement mais que la date d'activation est ultérieure.
Apparaît sur les pages Mes rôles et Afficher l'état de la requête.
Présentation de l'onglet Rôles 217
218 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Affichage des rôles
Cette section fournit des instructions pour afficher les rôles que vous avez définis. Les rubriques incluent :
Section 15.1, « À propos des opérations Mes rôles », page 219
Section 15.2, « Consultation des requêtes de rôle approuvées », page 219
15.1 À propos des opérations Mes rôles
L'onglet Rôles de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé
Mes rôles. Les opérations Mes rôles permettent de consulter vos rôles.
15
15.2 Consultation des requêtes de rôle approuvées
L'opération Mes rôles permet de consulter l'état et les détails pour vos rôles approuvés. Elle affiche les rôles dont l'état indique Provisionné ou Activation en attente mais n'affiche pas les requêtes de rôle qui n'ont pas encore été approuvées.
Pour afficher vos rôles approuvés :
1 Cliquez sur Mes rôles dans la liste des opérations Mes rôles.
L'application utilisateur affiche l'état des assignations de rôle pour l'utilisateur authentifié.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné à l'utilisateur actuel.
La colonne Source indique comment l'assignation de rôle a été effectuée pour l'utilisateur.
Reportez-vous à la description ci-dessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au groupe nom du groupe
Description
Indique que ce rôle a été directement assigné
à l'utilisateur courant.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un rôle associé.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un groupe.
Affichage des rôles
219
Source
Appartenance au conteneur nom du
conteneur
Description
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un conteneur.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée :
État
Provisionné
Activation en attente
Description
Approuvé (si nécessaire) et activé.
Approuvé (le cas échéant) mais pas encore activé car l'assignation de rôle entre en vigueur à une date ultérieure.
2 Vous pouvez filtrer la liste des assignations comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la zone Assignation.
2b Pour afficher les rôles qui sont assignés directement à l'utilisateur, cochez la case Directe.
2c Pour afficher les rôles assignés que l'utilisateur obtient grâce à une relation de rôle ou à son appartenance à un groupe ou un conteneur uniquement, cochez la case Indirecte.
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
Remarque : le filtrage ne s'effectue pas automatiquement. Vous devez cliquer sur le bouton Filtre pour appliquer vos critères.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour afficher les détails d'une assignation de rôle particulière, cliquez sur le nom de l'assignation dans la colonne Assignation, puis faites défiler la page jusqu'à Détails de l'assignation.
220 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Création d'assignations de rôle
Cette section fournit des instructions pour créer des assignations de rôle. Les rubriques incluent :
Section 16.1, « À propos des opérations d'assignation de rôle », page 221
Section 16.2, « Assignation de rôles », page 221
Section 16.3, « Vérification de l'état de votre requête », page 230
16.1 À propos des opérations d'assignation de rôle
L'onglet Rôles de l'application utilisateur Identity Manager comporte un groupe d'opérations nommé
Assignations de rôles. Les opérations Assignations de rôles permettent d'effectuer des requêtes d'assignation de rôle et de vérifier l'état de vos requêtes.
16
16.2 Assignation de rôles
L'opération Assignations de rôles permet aux utilisateurs de demander des assignations de rôle.
Cette opération est réservée aux administrateurs du module de rôles, aux gestionnaires de rôles et aux autres utilisateurs authentifiés qui ne sont pas assignés de manière spécifique à l'un des rôles système en place.
Les administrateurs du module de rôles peuvent demander l'assignation d'utilisateurs, de groupes ou de conteneurs aux rôles. Le champ d'action de l'administrateur du module de rôles est illimité.
Les gestionnaires de rôles peuvent demander l'assignation d'utilisateurs, de groupes et de conteneurs aux rôles pour lesquels ils possèdent des droits Parcourir.
D'autres utilisateurs authentifiés peuvent effectuer des requêtes d'assignation aux rôles pour lesquels ils possèdent des droits Parcourir.
16.2.1 Assignation d'utilisateurs, de groupes et de conteneurs
à un rôle
Pour effectuer une requête d'assignation d'un ou de plusieurs utilisateurs, groupes ou conteneurs à un seul rôle :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles
2 Cliquez sur l'icône Rôle sous Comment voulez-vous afficher les assignations.
Création d'assignations de rôle
221
3 Sélectionnez le rôle auquel vous souhaitez assigner des utilisateurs, groupes ou conteneurs.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le rôle. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27
.
L'application utilisateur affiche l'état actuel des assignations pour le rôle sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom de l'objet assigné au rôle sélectionné.
La colonne Source indique comment l'objet a été assigné au rôle, comme décrit cidessous :
Source
Relations de rôle
Utilisateur assigné à un rôle
Groupe assigné à un rôle
Conteneur assigné à un rôle
Description
Indique que cette assignation représente une relation de rôle. Le nom figurant dans la colonne Assignation est le nom du rôle associé.
Indique que l'utilisateur nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
Indique que le groupe nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
Indique que le conteneur nommé dans la colonne Assignation a déjà été assigné au rôle sélectionné.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée :
222 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4b Pour afficher les assignations des utilisateurs uniquement, cochez la case Utilisateurs.
4c Pour afficher les assignations des groupes uniquement, cochez la case Groupes.
4d Pour afficher les assignations des conteneurs uniquement, cochez la case Conteneurs.
4e Pour afficher les relations des rôles uniquement, cochez la case Rôles .
4f Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4g Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans la liste déroulante Type d'assignation, sélectionnez Utilisateur, Groupe ou
Conteneur pour indiquer quel type d'objet vous souhaitez assigner au rôle sélectionné.
Dans le champ Sélectionner le ou les utilisateurs, indiquez les utilisateurs à assigner.
Remarque : si vous sélectionnez Groupe comme type d'assignation, l'interface utilisateur affiche le champ Sélectionner un/des groupe(s). Si vous sélectionnez Conteneur, l'interface utilisateur affiche le champ Sélectionner un/des conteneur(s).
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
Remarque : l'opération Assignations de rôles permet d'afficher les rôles associés au rôle sélectionné. En revanche, elle ne permet pas de créer des relations de rôle. Pour ce faire, vous devez utiliser l'opération Gestion des relations entre les rôles.
Si un conflit SoD survient lorsqu'un rôle est assigné à un ou plusieurs utilisateurs, l'interface utilisateur affiche la case Conflits SoDen bas de la page. Dans ce cas, vous devez fournir une justification professionnelle pour l'assignation du rôle.
Création d'assignations de rôle 223
Pour fournir une justification :
1 Saisissez une description dans le champ Justification pour expliquer pourquoi une exception de contrainte SoD est nécessaire dans cette situation.
Remarque : vous n'avez pas à fournir de justification dans les cas où la nouvelle assignation de rôle est en conflit avec une assignation existante acquise indirectement par l'utilisateur grâce à une relation de rôle ou à son appartenance à un groupe ou à un conteneur. Si un utilisateur est ajouté à un rôle indirectement et si un conflit SoD potentiel est détecté, l'application utilisateur permet d'ajouter la nouvelle assignation et enregistre la violation à des fins de création de rapport et d'audit. Le cas
échéant, pour corriger ce problème, les administrateurs de rôles peuvent redéfinir les rôles.
16.2.2 Assignation de rôles à un seul utilisateur
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul utilisateur :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles
2 Cliquez sur l'icône Utilisateur sous Comment voulez-vous afficher les assignations.
3 Sélectionnez l'utilisateur à qui vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner l'utilisateur. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour l'utilisateur sélectionné.
224 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation indique le nom du rôle assigné à l'utilisateur sélectionné.
La colonne Source indique comment un rôle a été assigné à l'utilisateur, comme décrit cidessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au groupe nom du groupe
Description
Indique que ce rôle a été directement assigné
à l'utilisateur sélectionné.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un rôle associé.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un groupe.
Indique que l'utilisateur a obtenu ce rôle grâce
à son appartenance à un conteneur.
Appartenance au conteneur nom du
conteneur
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Assignation.
4b Pour afficher les assignations assignées directement à l'utilisateur, cochez la case Directe.
Création d'assignations de rôle 225
4c Pour afficher les assignations assignées indirectement, cochez la case Indirecte. Les assignations indirectes sont les assignations qu'un utilisateur obtient grâce à une relation de rôle ou grâce à son appartenance à un groupe ou conteneur.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
Si un conflit SoD survient lorsqu'un rôle est assigné à l'utilisateur sélectionné, l'interface utilisateur affiche la case Conflits SoDen bas de la page. Dans ce cas, vous devez fournir une justification professionnelle pour l'assignation du rôle.
Pour fournir une justification :
1 Saisissez une description dans le champ Justification pour expliquer pourquoi une exception de contrainte SoD est nécessaire dans cette situation.
Assignations de rôles indirectes et conflits SoD. Vous n'avez pas à fournir de justification dans les cas où la nouvelle assignation de rôle est en conflit avec une assignation existante acquise indirectement par l'utilisateur grâce à une relation de rôle ou à son appartenance à un groupe ou à un conteneur. Si un utilisateur est ajouté à un rôle indirectement et si un conflit SoD potentiel est détecté, l'application utilisateur permet d'ajouter la nouvelle assignation et enregistre la violation à des fins de création de rapport et d'audit. Le cas échéant, pour corriger ce problème, les administrateurs de rôles peuvent redéfinir les rôles.
16.2.3 Assignation de rôles à un seul groupe
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul groupe :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles.
226 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Cliquez sur l'icône Groupe sous Comment voulez-vous afficher les assignations.
3 Sélectionnez le groupe auquel vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le groupe. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour le groupe sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné au groupe sélectionné.
La colonne Source indique comment un rôle a été assigné au groupe. Reportez-vous à la description ci-dessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Description
Indique que ce rôle a été directement assigné au groupe sélectionné.
Indique que le groupe a obtenu ce rôle grâce
à son assignation à un rôle associé.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
Création d'assignations de rôle 227
État
Provisionné
Description
Approuvé (si nécessaire) et activé
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Assignation.
4b Pour afficher les assignations qui ont été assignées directement au groupe, cochez la case
Directe.
4c Pour afficher les assignations qui ont été assignées indirectement, cochez la case Indirecte.
Les assignations indirectes sont les assignations qu'obtient un groupe grâce à une relation de rôle.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
16.2.4 Assignation de rôle à un seul conteneur
Pour effectuer une requête d'assignation d'un ou de plusieurs rôles à un seul conteneur :
1 Cliquez sur Assignations de rôles dans la liste des opérations Assignations de rôles.
2 Cliquez sur l'icône Conteneur sous Comment voulez-vous afficher les assignations.
228 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
3 Sélectionnez le conteneur auquel vous souhaitez assigner un ou plusieurs rôles.
Utilisez l'outil Sélecteur d'objet ou Afficher l'historique pour sélectionner le conteneur. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous
à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
L'application utilisateur affiche l'état actuel des assignations pour le conteneur sélectionné.
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Assignation fournit le nom du rôle assigné au conteneur sélectionné.
La colonne Source indique comment un rôle a été assigné au conteneur, comme décrit cidessous :
Source
Assignation directe
Appartenance au rôle nom du rôle
Appartenance au conteneur nom du
conteneur
Description
Indique que ce rôle a été directement assigné au conteneur sélectionné.
Indique que le conteneur a obtenu ce rôle grâce à son assignation à un rôle associé.
Indique que le conteneur a été assigné à ce rôle grâce à son imbrication à un conteneur de niveau supérieur.
La colonne Date d'entrée en vigueur affiche la date à laquelle l'assignation entre en vigueur. Si aucune date n'est affichée, l'assignation entre en vigueur immédiatement après avoir été demandée.
La colonne Date d'expiration affiche la date à laquelle l'assignation prend fin. Si aucune date n'est affichée, l'assignation reste en vigueur indéfiniment.
La colonne État montre si l'assignation a été ou non accordée et provisionnée :
État
Provisionné
Description
Approuvé (si nécessaire) et activé
Création d'assignations de rôle 229
4 Vous pouvez filtrer la liste des assignations comme suit :
4a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la zone Assignation.
4b Pour afficher uniquement les assignations qui ont été assignées directement au conteneur, cochez la case Directe.
4c Pour afficher les assignations qui ont été assignées indirectement, cochez la case Indirecte.
Les assignations indirectes sont les assignations qu'obtient un conteneur grâce à une relation de rôle.
4d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
4e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
5 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
6 Pour créer une nouvelle assignation, cliquez sur Nouvelle assignation.
Spécifiez les détails de l'assignation dans Détails de l'assignation.
Dans le champ Sélectionner un/des rôle(s), spécifiez les rôles à assigner.
Dans le champ Description de la requête initiale, saisissez le texte qui décrit la requête d'assignation.
Dans le champ Date d'entrée en vigueur, indiquez la date à laquelle vous souhaitez que l'assignation prenne effet. Utilisez la commande Calendrier pour sélectionner la date.
Dans le champ Date d'expiration, indiquez si vous souhaitez spécifier ou non une date d'expiration pour l'assignation. Si vous souhaitez que l'assignation reste en vigueur indéfiniment, sélectionnez Pas d'expiration. Si vous souhaitez définir une date d'expiration, sélectionnez Spécifier l'expiration et utilisez la commande Calendrier pour sélectionner la date.
Pour étendre cette assignation de rôle aux utilisateurs de tous les sous-conteneurs, sélectionnez Appliquer des assignations de rôles aux sous-conteneurs.
Cliquez sur Soumettre pour soumettre une requête d'assignation de rôle.
16.3 Vérification de l'état de votre requête
L'opération Afficher l'état de la requête permet d'afficher l'état de vos requêtes de rôles, notamment les requêtes effectuées directement, ainsi que les requêtes d'assignation de rôle pour les groupes ou les conteneurs auxquels vous appartenez. Elle permet d'afficher l'état actuel de chaque requête. Vous pouvez en outre retirer une requête qui n'est pas finalisée si vous avez changé d'avis et si vous ne souhaitez plus qu'elle se poursuive.
L'opération Afficher l'état de la requête affiche toutes les requêtes d'assignation de rôle, notamment celles en cours, en attente d'approbation, approuvées, finalisées, refusées ou interrompues.
L'opération Afficher l'état de la requête affiche également les requêtes effectuées pour créer des relations de rôle grâce à l'opération Gestion des relations entre les rôles.
Ce que vous pouvez afficher et faire sur cette page dépend de votre rôle de sécurité, tel que décrit cidessous.
230 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Tableau 16-1
Fonctions de chaque rôle de sécurité
Rôle de sécurité
Administrateur du module de rôles
Gestionnaire de rôles
Fonctions
Un Administrateur du module de rôles peut effectuer les fonctions suivantes sur la page
Afficher l'état de la requête :
Afficher toutes les requêtes d'assignation de rôle.
Filtrer les requêtes par état et par utilisateur.
Si l'administrateur du module de rôles filtre les requêtes par utilisateur, les résultats affichent les requêtes pour lesquelles l'utilisateur spécifié est demandeur ou destinataire.
L'administrateur du module de rôles n'a pas accès aux commandes pour les requêtes de filtrage par demandeur ou destinataire.
Retirer des requêtes d'assignation de rôle, à condition que l'état de ces requêtes le permette (c'est-à-dire qu'elles ne sont pas encore approuvées, rejetées, finalisées ou interrompues).
Un gestionnaire de rôles peut effectuer les fonctions suivantes sur la page Afficher l'état de la requête :
Afficher l'état des requêtes pour lesquelles l'utilisateur a des droits Parcourir attachés au rôle et pour lesquelles il est demandeur ou destinataire.
Filtrer les requêtes par état et par utilisateur.
Si le gestionnaire de rôles filtre les requêtes par utilisateur, les résultats affichent les requêtes pour lesquelles l'utilisateur spécifié est demandeur ou destinataire. Le gestionnaire de rôles n'a pas accès aux commandes pour les requêtes de filtrage par demandeur ou destinataire.
Retirer les requêtes d'utilisateurs, de groupes et de conteneurs pour lesquels l'utilisateur a des droits Parcourir des répertoires associés au rôle et aux objets cibles (utilisateur, groupe ou conteneur). Pour retirer des requêtes, leur
état doit pouvoir le permettre (requêtes en attente d'approbation, refusées, finalisées ou interrompues).
Création d'assignations de rôle 231
Rôle de sécurité
Utilisateur authentifié
Fonctions
Un utilisateur connecté à l'application utilisateur qui n'est pas membre d'un rôle système peut exécuter n'importe laquelle des fonctions suivantes sur la page Afficher l'état de la requête :
Afficher l'état des requêtes pour lesquelles l'utilisateur est demandeur ou destinataire.
Filtrer les requêtes par état et par demandeur ou destinataire. L'utilisateur authentifié n'a pas accès aux commandes pour le filtrage des requêtes par utilisateur car il ne peut consulter que les requêtes effectuées pour son compte.
Retirer les requêtes pour lesquelles l'utilisateur est à la fois demandeur et destinataire. Pour retirer des requêtes, leur
état doit pouvoir le permettre (requêtes pas encore approuvées, refusées, terminées ou interrompues). L'utilisateur doit en outre avoir des droits Parcourir associés au rôle.
Larges ensembles de résultats. Par défaut, la page Afficher l'état de la requête permet de récupérer jusqu'à 10 000 objets Requête. Si vous tentez de récupérer un ensemble de résultats plus large, un message s'affiche indiquant que vous avez atteint la limite. Dans ce cas, vous devez affiner votre recherche (en spécifiant un utilisateur ou un état particulier, par exemple) pour limiter le nombre d'objets figurant dans l'ensemble de résultats. Remarque : lorsque vous appliquez un filtre à un nom de rôle, le filtre limite les éléments affichés et leur ordre et non le nombre d'objets récupérés.
Pour consulter vos requêtes de rôle :
1 Cliquez sur Afficher l'état de la requête dans la liste des opérations Assignations de rôles.
L'application utilisateur affiche l'état des requêtes de rôles pour l'utilisateur authentifié.
Les colonnes figurant dans la liste de requêtes de rôles sont décrites ci-dessous :
La colonne Nom du rôle affiche le nom du rôle spécifié pour la requête.
La colonne Demandeur identifie l'utilisateur à l'origine de la requête.
232 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
La colonne Destinataire identifie l'utilisateur, le groupe ou le conteneur qui obtient le rôle, en cas d'approbation de la requête. Dans le cas des relations de rôle, la colonne
Destinataire affiche le nom du rôle associé au rôle figurant dans la colonne Nom du rôle.
La colonne État affiche l'état détaillé correspondant à la requête ainsi qu'une icône indiquant le résumé de l'état. Le résumé de l'état affiche l'état général de la requête. Vous pouvez le sélectionner dans le menu Filtre pour affiner les résultats lors de la recherche de requêtes ayant un état particulier :
Icône Résumé de l'état
État détaillé Description
Nouvelle requête
Début d'approbation de SoD -
En attente
Indique qu'il s'agit d'une nouvelle requête en cours de traitement.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
Création d'assignations de rôle 233
Icône Résumé de l'état
État détaillé Description
Début d'approbation de SoD -
Interrompu
Démarrage de l'approbation -
En attente
Indique que le pilote de services de rôles ne parvient pas à démarrer un processus d'approbation SoD et que ce processus est interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique que le pilote de services de rôles tente de redémarrer un processus d'approbation SoD pour la requête suite à une interruption.
Une requête avec cet état peut être retirée.
234 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône Résumé de l'état
État détaillé Description
Démarrage de l'approbation -
Suspendu
Exception SoD - Approbation en attente
Approbation en attente
Exception SoD - Approuvé
Indique qu'un processus d'approbation a démarré pour la requête mais que ce processus a été interrompu temporairement.
Lorsque le pilote de services de rôles tente de démarrer un workflow et n'y parvient pas (exemple : application utilisateur hors service ou qui ne répond pas), la requête passe à un
état d'attente de réessai qui peut atteindre une minute avant de passer
à un état de réessai (Démarrage du processus d'approbation - En attente). Cet état permet au pilote de faire une tentative de redémarrage du workflow. Ces états empêchent les requêtes qui ne dépendent pas de workflows d'attendre derrière des requêtes bloquées en raison d'un workflow ayant des problèmes de démarrage.
Si une requête affiche cet état de manière prolongée, assurez-vous que l'application utilisateur est en cours d'exécution. Dans ce cas, vérifiez les paramètres de connexion du pilote de services de rôles pour savoir s'ils sont corrects.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation SoD a démarré et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique qu'un processus d'approbation a démarré pour la requête et est en attente d'une ou de plusieurs approbations.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Une requête avec cet état peut être retirée.
Création d'assignations de rôle 235
Icône Résumé de l'état
État détaillé
Approuvé
Provisioning
Activation en attente
Exception SoD - Refusé
Refusé
Provisionné
Nettoyage
Description
Indique que la requête a été approuvée.
Une requête avec cet état peut être retirée.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que l'heure d'activation du rôle est atteinte. Le pilote de services de rôles est en passe d'accorder l'assignation de rôle.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée mais que l'heure d'activation de l'assignation de rôle n'est pas encore atteinte. L'activation en attente ne comporte pas de catégorie de transfert en amont ni d'icône d'état de sécurité. Cela signifie que vous ne pouvez pas filtrer la liste des requêtes en fonction de l'état d'activation en attente.
Une requête avec cet état peut être retirée.
Indique q'une exception SoD a été approuvée pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été refusée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été approuvée (en cas d'approbations obligatoires) et que l'assignation de rôle a été accordée.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été traitée et que le pilote de services de rôles est en passe de supprimer les objets internes créés pour cette requête.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
236 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Icône Résumé de l'état
État détaillé
Annulation
Annulé
Erreur de provisioning
Description
Indique que le pilote de services de rôles annule la requête en raison d'une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique que la requête a été annulée par une opération utilisateur.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Indique qu'une erreur est survenue au cours du provisioning (fait d'accorder) ou déprovisioning (fait de révoquer) de l'assignation de rôle.
Dans le cas d'une erreur de provisioning, le message d'erreur précis est consigné dans le journal de suivi ou d'audit, si les deux sont actifs. Lorsqu'une erreur de provisioning survient, vérifiez dans votre journal de suivi ou d'audit si le message d'erreur indique qu'un grave problème doit être résolu.
Vous n'êtes pas autorisé à retirer une requête dans cet état.
Remarque : si l'horloge système du serveur où réside le pilote de services de rôles n'est pas synchronisée avec l'horloge système du serveur où l'application utilisateur s'exécute, l'état de la requête peut être différent sur la page Afficher l'état de la requête et sur la page
Assignations de rôles. Par exemple, si vous effectuez une requête d'assignation de rôle qui ne nécessite pas d'approbation, l'état sur la page Afficher l'état de la requête peut indiquer
Provisionné. En revanche, l'état sur la page Assignations de rôles affiche Activation en attente. Si vous patientez environ une minute, vous constatez que l'état sur la page
Assignations de rôles change et passe à Provisionné. Pour vous assurer que l'état est affiché correctement dans l'application utilisateur, vérifiez que vos horloges système sont parfaitement synchronisées.
La colonne Date de la requête affiche la date à laquelle la requête a été effectuée.
La colonne Description de la requête initiale affiche la description qu'a fournie le demandeur au moment où il a effectué la requête.
2 Vous pouvez filtrer la liste des requêtes comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Nom du rôle.
2b Pour afficher uniquement les requêtes qui s'appliquent à un utilisateur particulier, utilisez l'outil Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner l'utilisateur. Pour afficher vos propres requêtes, vous devez sélectionner votre nom dans la liste des
Création d'assignations de rôle 237
utilisateurs. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher
.
Remarque : la commande utilisateur n'est pas disponible si l'utilisateur logué n'est pas administrateur du module de rôles ou gestionnaire de rôles.
2c Pour afficher les requêtes de rôle ayant un résumé d'état particulier, sélectionnez l'état dans la liste déroulante État.
État
Tous
En cours d'exécution
Approbation en attente
Approuvé
Terminé
Refusé
Interrompu
Description
Inclut toutes les requêtes.
Inclut les requêtes qui ont démarré et qui sont en cours de traitement.
Inclut les requêtes en attente d'approbation pour une exception SoD ou pour une assignation de rôle.
Inclut les requêtes qui ont été approuvées, ainsi que les requêtes pour lesquelles une exception SoD a été détectée et approuvée.
Inclut les requêtes qui ont été approuvées et pour lesquelles le rôle a été assigné au destinataire (utilisateur, groupe ou conteneur).
Inclut les requêtes qui ont été rejetées, ainsi que les requêtes pour lesquelles une exception SoD a été détectée et refusée.
Inclut les requêtes interrompues avant d'être terminées parce qu'un utilisateur a annulé l'opération ou parce qu'une erreur est survenue au cours du traitement.
2d Pour afficher uniquement les requêtes pour lesquelles vous êtes demandeur, cochez la case
Demandeur.
Remarque : la commande Demandeur n'est pas disponible si l'utilisateur actuel est administrateur du module de rôles ou gestionnaire de rôles.
2e Pour afficher uniquement les requêtes pour lesquelles vous êtes destinataire, cochez la case Destinataire.
Remarque : la commande Destinataire n'est pas disponible si l'utilisateur logué est administrateur du module de rôles ou gestionnaire de rôles.
2f Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2g Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum de requêtes affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour trier la liste de requêtes, cliquez sur l'intitulé de colonne qui contient les données que vous souhaitez trier.
238 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Si plusieurs requêtes d'assignation de rôle partagent un même ID de requêtes communes, il est possible que vous souhaitiez trier les données par description de la requête initiale afin d'afficher l'ensemble des requêtes associées. L'ID de requêtes communes est un identifiant interne (disponible uniquement dans la case Détails de la requête) qui met en corrélation au sein d'un ensemble les assignations de rôle qui ont fait l'objet d'une requête en même temps.
Vous trouverez ci-dessous quelques exemples où un ensemble d'assignations de rôle partage un
ID de requêtes communes :
Une requête unique assigne des rôles multiples à un seul utilisateur.
Une requête unique assigne un seul rôle à de multiples utilisateurs. Ce cas peut se présenter lorsqu'un demandeur assigne un rôle à un groupe ou à un conteneur.
Si un ensemble d'assignations de rôle partage un ID de requêtes communes, un utilisateur peut retirer chacune de ces assignations individuellement. De plus, chaque assignation de rôle peut
être approuvée ou rejetée séparément.
5 Pour afficher les détails d'une requête particulière, cliquez sur l'état dans la colonne État, puis faites défiler la page jusqu'à la case Détails de la requête.
Le champ État affiche l'état de la requête, l'icône Résumé de l'état et sa description. L'icône
(sans oublier le texte associé) constitue un moyen pratique d'afficher l'état d'un seul coup d'oeil.
Le tableau ci-dessous montre comment les différents codes d'état sont assignés aux icônes d'état.
Création d'assignations de rôle 239
Icône État
Exécution : Traitement
Approbation en attente
Approuvé
Activation en attente
Refusé
Terminé : Provisionné
Interrompu
Codes d'états associés
Nouvelle requête
Début d'approbation de SoD - En attente
Début d'approbation de SoD - Interrompu
Démarrage de l'approbation - En attente
Démarrage de l'approbation - Suspendu
Exception SoD - Approbation en attente
Approbation en attente
Exception SoD - Approuvé
Approuvé
Activation en attente
Provisioning
Activation en attente
Exception SoD - Refusé
Refusé
Provisionné
Nettoyage
Annulation
Annulé
Erreur de provisioning
6 Pour retirer une requête, cliquez sur Retirer la requête.
Le bouton Retirer la requête est désactivé si la requête est terminée ou interrompue.
Si une requête partage un ID de requêtes communes avec un ensemble de requêtes associées, vous pouvez retirer chacune des assignations de rôle individuellement.
240 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Gestion des rôles
Cette section décrit la façon de travailler avec la catégorie Gestion des rôles des opérations. Elle se compose des parties suivantes :
Section 17.1, « Consultation du catalogue de rôles », page 241
Section 17.2, « Gestion des rôles », page 242
Section 17.3, « Gestion de relations de rôle », page 247
Section 17.4, « Gestion des contraintes SoD », page 249
Section 17.5, « Configuration du sous-système de rôles », page 253
17.1 Consultation du catalogue de rôles
Pour consulter le catalogue de rôles :
1 Cliquez sur Parcourir le catalogue de rôles dans la liste des opérations Gestion des rôles.
L'application utilisateur affiche la liste actuelle des rôles dans le catalogue de rôles.
17
Les colonnes du tableau de la liste d'assignation sont décrites ci-dessous :
La colonne Nom du rôle affiche le nom de chaque rôle figurant dans le catalogue.
La colonne Niveau indique le niveau du rôle au sein du catalogue. Par défaut, le catalogue prend en charge trois niveaux avec les noms suivants :
Niveau
Rôle métier
Rôle IT
Rôle d'autorisation
Description
Rôle le plus élevé dans la hiérarchie de rôles.
Rôle intermédiaire dans la hiérarchie de rôles.
Rôle le plus bas dans la hiérarchie de rôles.
La colonne Catégories répertorie les catégories associées au rôle. Les catégories permettent à une entreprise d'organiser les rôles dans le catalogue. Une fois qu'un rôle a
été associé à une catégorie, il peut être utilisé comme filtre pour parcourir le catalogue.
La colonne Opérations permet d'accéder rapidement aux autres pages.
Cliquez sur pour accéder à la page Gestion des relations entre les rôles.
Cliquez sur pour accéder à la page Assignations de rôles.
Gestion des rôles
241
Cliquez sur pour accéder à la page Gérer les rôles.
Cliquez sur pour supprimer le rôle dans la ligne correspondante.
2 Vous pouvez filtrer la liste des rôles comme suit :
2a Si vous souhaitez afficher uniquement les assignations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans la case Nom du rôle.
2b Pour afficher les rôles ayant un niveau spécifique dans la hiérarchie, sélectionnez le niveau souhaité dans la case Niveaux.
2c Pour afficher les rôles qui ont été associés à une catégorie particulière, sélectionnez la catégorie souhaitée dans la case Catégories.
2d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
2e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
3 Pour définir le nombre maximum d'assignations affichées par page, sélectionnez un nombre dans la liste déroulante Maximum de lignes par page.
4 Pour afficher les détails d'un rôle particulier, cliquez sur le nom du rôle dans la colonne Nom du
rôle.
L'application utilisateur vous oriente vers la page Gérer les rôles, où vous pouvez consulter les détails du rôle ou apporter des modifications.
17.2 Gestion des rôles
L'opération Gérer les rôles dans l'onglet Rôles de l'interface utilisateur Identity Manager permet de créer un nouveau rôle, mais aussi de modifier ou d'effacer un rôle existant.
Section 17.2.1, « Création de rôles », page 243
Section 17.2.2, « Modification ou suppression de rôles existants », page 243
Section 17.2.3, « Propriétés de rôle », page 245
Remarque : vous ne pouvez pas utiliser cette opération pour créer de nouveaux rôles système ou pour en effacer. En revanche, vous pouvez l'utiliser pour modifier des rôles système.
Ce que vous pouvez afficher et faire sur cette page dépend de votre rôle de sécurité, tel que décrit
Tableau 17-1
Fonctions du rôle de sécurité
Rôle de sécurité
Administrateur du module de rôles
Fonctions
Un administrateur du module de rôles peut :
Créer de nouveaux rôles dans l'ensemble des conteneurs.
Modifier tous les rôles existants.
Supprimer tous les rôles existants (sauf les rôles système).
242 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Rôle de sécurité
Gestionnaire de rôles
Fonctions
Un gestionnaire de rôles peut :
Créer de nouveaux rôles dans l'ensemble des conteneurs (notamment ceux qui ne disposent pas des droits Parcourir). Tous les droits requis sont accordés à l'utilisateur lors de la création du rôle.
Modifier uniquement les rôles pour lesquels ils ont des droits Parcourir.
Supprimer uniquement les rôles pour lesquels ils ont des droits Parcourir.
L'interface utilisateur n'affiche que les niveaux et les conteneurs pour lesquels un gestionnaire de rôles a des droits de navigation. Si le gestionnaire n'a pas les droits de navigation pour un niveau particulier mais dispose de ces droits pour le conteneur enfant, l'interface affiche le niveau. Si le gestionnaire a les droits pour le conteneur enfant mais pas pour le conteneur parent, ce dernier est visible mais ne peut pas être sélectionné.
Lorsqu'un gestionnaire de rôles tente de créer un rôle, l'interface utilisateur vérifie s'il dispose des droits sur le niveau et le conteneur. Si l'utilisateur ne dispose pas des droits nécessaires, l'interface désactive le bouton Nouveau et affiche un message d'erreur.
17.2.1 Création de rôles
1 Cliquez sur Gestion des rôles dans la liste des opérations Gestion des rôles.
2 Cliquez sur Nouveau.
L'application utilisateur vous invite à indiquer le Nom du rôle dans la section Détails du
nouveau rôle de la page Gérer les rôles. Pour plus d'informations sur chacun des champs de
cette section, reportez-vous au Tableau 17-2, « Détails du rôle », page 245 .
3 Naviguez vers Détails d'approbation, puis complétez les champs tel que décrit dans le
Tableau 17-3, « Détails d'approbation », page 246
.
4 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.2.2 Modification ou suppression de rôles existants
1 Cliquez sur Gestion des rôles dans la liste des opérations Gestion des rôles.
Gestion des rôles 243
2 Pour trouver le rôle dont vous souhaitez modifier les détails, utilisez l'outil Sélecteur d'objet ou l'outil Afficher l'historique pour sélectionner la contrainte. Pour plus de détails sur l'utilisation
3 Lorsque vous sélectionnez le rôle qui vous intéresse dans la liste, la page de recherche se ferme et affiche les Détails du rôle et les Détails d'approbation pour ce rôle.
La page Gérer les rôles affiche le nom du rôle sélectionné dans la section Détails du rôle.
Suggestion : le lien Gestion des relations entre les rôles constitue un moyen rapide d'accéder à la page Gestion des relations entre les rôles. Si vous avez sélectionné un rôle, son contenu s'affiche afin que vous, puissiez le modifier.
4 Pour supprimer le rôle sélectionné, cliquez sur Supprimer.
Pour plus d'informations sur les détails du rôle que vous pouvez modifier, reportez-vous au
Tableau 17-2, « Détails du rôle », page 245
.
Pour plus d'informations sur les détails d'approbation que vous pouvez modifier, reportez-vous
au Tableau 17-3, « Détails d'approbation », page 246 .
5 Après avoir effectué les modifications, cliquez sur Enregistrer.
244 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
17.2.3 Propriétés de rôle
« Propriétés de Détails du rôle » page 245
« Propriétés des détails d'approbation » page 246
Propriétés de Détails du rôle
Tableau 17-2
Détails du rôle
Champ
Nom du rôle
Description du rôle
Niveau de rôle
Conteneur de rôle
Propriétaires du rôle
Catégories de rôles
Description
Le texte utilisé lorsque le nom de rôle s'affiche dans l'application utilisateur.
Vous ne pouvez pas inclure les caractères suivants dans le Nom du rôle lorsque vous le créez :
< > , ; \ " + # = / | & *
Vous pouvez traduire ce nom dans n'importe laquelle des langues prises en charge par l'application utilisateur. Pour plus d'informations, reportez-vous au
Tableau 1-1, « Principaux boutons », page 27
.
Le texte utilisé lorsque la description de rôle s'affiche dans l'application utilisateur. Comme pour le nom de rôle, vous pouvez traduire la description de rôle dans n'importe laquelle des langues prises en charge dans l'application
utilisateur. Pour plus d'informations, reportez-vous au Tableau 1-1,
« Principaux boutons », page 27
.
(En lecture seule lors de la modification d'un rôle) Choisissez un niveau de rôle dans la liste déroulante.
Vous pouvez définir les niveaux de rôle à l'aide du concepteur de l'éditeur de configuration de rôle Identity Manager. Pour plus d'informations sur les niveaux de rôle, reportez-vous à la
Section 14.1, « À propos de l'onglet Rôles », page 205
.
(En lecture seule lors de la modification d'un rôle) L'emplacement des objets de rôle dans le pilote. Les conteneurs de rôle dépendent des niveaux de rôle.
L'application utilisateur affiche uniquement les conteneurs de rôle dépendant du niveau de rôle que vous choisissez. Vous pouvez créer un rôle directement dans un niveau de rôle ou dans un conteneur au sein du niveau de rôle.
Spécifier le conteneur de rôle est optionnel.
Un utilisateur qui est désigné comme le propriétaire d'une définition de rôle. Si vous générez des rapports par rapport au catalogue de rôles, vous pouvez filtrer ces rapports en fonction du propriétaire de rôle. Le propriétaire de rôle n'a pas nécessairement l'autorisation d'apporter des modifications à la définition d'un rôle.
Cette propriété permet de catégoriser les rôles en vue de leur organisation. Les catégories permettent de filtrer les listes de rôles. Les catégories offrent des options de sélection multiple.
Gestion des rôles 245
Propriétés des détails d'approbation
Tableau 17-3
Détails d'approbation
Champ Description
Définition d'approbation
d'assignation de rôle que le processus d'approbation exécute la définition d'approbation standard correspondant à l'assignation de rôle.
Sélectionnez Non si le rôle ne requiert aucune approbation. spécifiée dans le sous-système de rôles. Le nom de la définition d'approbation s'affiche en lecture seule dans la Définition de
l'approbation d'assignation de rôle ci-dessous.
Vous devez sélectionner le type d'approbation Série ou Quorum, ainsi que les approbateurs valides.
Si vous sélectionnez Non, vous êtes invité à indiquer le nom d'une définition d'approbation personnalisée d'assignation de rôle.
Le nom de la définition de requête de provisioning exécutée lorsque le rôle est requis. Si la valeur de Utiliser l'approbation standard est Oui, elle provient des paramètres de configuration du sous-système de rôles. Si la valeur est Non, vous devez sélectionner le nom de la définition personnalisée de requête de provisioning à utiliser.
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste.
Sélectionnez Quorum si vous souhaitez qu'un pourcentage des utilisateurs de la liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez
également 100 % si tous les utilisateurs doivent approuver en parallèle.
La valeur doit être un nombre entier compris entre 0 et 100.
Suggestion : si vous passez votre souris sur les champs Série et
Quorum, une fenêtre contextuelle apparaît. Elle explique comment ces champs fonctionnent.
assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle , utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27 .
246 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
17.3 Gestion de relations de rôle
L'opération Gestion des relations entre les rôles de l'onglet Rôles de l'interface utilisateur Identity
Manager permet de définir comment les rôles sont associés dans une hiérarchie d'endiguement de rôles de niveau supérieur et inférieur. Grâce à cette hiérarchie, vous pouvez grouper les autorisations et les ressources des rôles de niveau inférieur dans un rôle de niveau supérieur qui facilite l'assignation des autorisations. Les relations autorisées comprennent les éléments suivants :
Les rôles de niveau supérieur (rôles métier) peuvent contenir des rôles de niveau inférieur. Ils ne peuvent pas être contenus dans d'autres rôles. Si vous sélectionnez un rôle de niveau supérieur, la page Relations de rôle permet d'ajouter une relation de rôle de niveau inférieur uniquement.
Les rôles intermédiaires (rôles IT) peuvent contenir des rôles de niveau inférieur et être contenus dans des rôles de niveau supérieur. La page Relations de rôle permet d'ajouter des nouveaux rôles de niveau inférieur ou de niveau supérieur.
Les rôles de niveau inférieur (rôles d'autorisation) peuvent être contenus dans des rôles de niveau supérieur mais ne peuvent pas contenir d'autres rôles de niveau inférieur. La page
Relations de rôle permet d'ajouter un rôle de niveau supérieur uniquement.
17.3.1 Création et suppression de relations de rôle
1 Cliquez sur Gestion des relations entre les rôles dans le groupe d'opérations Gestion des rôles.
Suggestion : le lien Éditer les détails du rôle constitue un moyen rapide d'accéder à la page
Gérer les rôles. Si vous avez sélectionné un rôle, son contenu s'affiche afin que vous, puissiez le modifier.
2 Pour trouver le rôle pour lequel vous souhaitez ajouter ou supprimer une relation, utilisez l'outil
Sélecteur d'objet ou Afficher l'historique tel que décrit dans
Section 1.4.4, « Principales opérations utilisateur », page 27
.
3 Sélectionnez le rôle.
Dans cet exemple, le rôle est Infirmière (Campus Ouest). Ce rôle est un rôle de niveau supérieur dans la hiérarchie de rôles. L'interface utilisateur affiche donc un message dans la section Rôle sélectionné contenu dans.
Gestion des rôles 247
Selon le niveau de rôle que vous avez sélectionné, un ou les deux boutons ci-dessous s'affichent :
Nouvelle relation de niveau supérieur
Nouvelle relation de niveau inférieur
4 Pour ajouter une relation, cliquez sur l'un des boutons, puis complétez les détails de la relation de niveau inférieur ou de la relation de niveau supérieur tel que décrit dans le
5 Vous pouvez filtrer la liste des relations de niveau supérieur et de niveau inférieur comme suit :
5a Si vous souhaitez afficher uniquement les relations commençant par une chaîne de
caractères particulière, reportez-vous à « Filtrage des données » page 30
pour plus d'informations sur le texte à saisir dans le champ Nom du rôle.
5b Pour afficher les rôles d'un certain niveau, sélectionnez ce niveau dans la liste Niveau.
5c Pour afficher les rôles d'une certaine catégorie, sélectionnez cette catégorie dans la liste
Catégorie.
5d Pour appliquer les critères de filtre que vous avez spécifiés à l'affichage, cliquez sur Filtre.
5e Pour effacer les critères de filtre que vous avez spécifiés, cliquez sur Réinitialiser.
6 Cliquez sur Soumettre pour créer une requête permettant d'ajouter des relations de rôle.
Pour vérifier l'état de la requête, cliquez sur Afficher l'état de la requête. Si l'état indique
Provisionné, cela signifie que la relation de rôle a été ajoutée.
7 Pour supprimer une relation :
7a Naviguez vers la relation que vous souhaitez supprimer, puis cliquez sur .
Vous êtes invité à confirmer votre désir de supprimer la relation.
248 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
7b Cliquez sur OK pour poursuivre la suppression ou sur Annuler pour retourner à la page
Gestion des relations entre les rôles. Vous êtes invité à saisir la Description de la requête
initiale.
Le texte par défaut indique Requête de retrait de relation mais vous pouvez le modifier le cas échéant. Ce texte s'affiche sur la page Afficher l'état de la requête.
7c Cliquez sur OK pour soumettre la requête de suppression. Vous pouvez afficher l'état de cette requête sur la page Afficher l'état de la requête. Si l'état indique Provisionné, cela signifie que la relation a été supprimée.
17.3.2 Gestion des propriétés de relations de rôle
Tableau 17-4
Propriétés de relations de rôle
Champ
Description de la requête initiale
Ajouter des rôles au rôle
sélectionné
Ajouter le rôle sélectionné aux
rôles
Description
Cette valeur apparaît dans Afficher l'état de la requête.
Vous pouvez utiliser cette option pour grouper des requêtes multiples créées au moyen d'une interaction utilisateur car elles partagent un ID de requêtes communes.
Disponible si vous cliquez sur Nouvelle relation de niveau inférieur.
Utilisez les boutons Sélecteur d'objet ou Historique pour localiser le rôle de niveau inférieur à ajouter au rôle sélectionné. Reportez-
vous à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
Disponible si vous cliquez sur Nouvelle relation de niveau
supérieur.
Utilisez les boutons Sélecteur d'objet ou Historique pour localiser le rôle de niveau supérieur à ajouter au rôle sélectionné. Reportez-
vous à « Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28
.
17.4 Gestion des contraintes SoD
L'opération Gestion de la séparation des tâches dans l'onglet Rôles de l'interface utilisateur Identity
Manager permet de :
Définir une contrainte (ou règle) de séparation des tâches (SoD).
Définir comment traiter les requêtes d'exceptions de contrainte.
Gestion des rôles 249
Une contrainte SoD est une règle qui rend deux rôles de même niveau réciproquement exclusifs. Si un utilisateur est assigné à un rôle, il ne peut pas être assigné à un second rôle, sauf si une exception est autorisée pour cette contrainte. Vous pouvez choisir de toujours autoriser les exceptions à la contrainte ou de ne les autoriser que par le biais d'un flux d'approbation.
Section 17.4.1, « Création de nouvelles contraintes SoD », page 250
Section 17.4.2, « Modification des contraintes SoD existantes », page 250
Section 17.4.3, « Référence relative aux propriétés des contraintes SoD », page 251
Accès aux pages. La page Gestion de la séparation des tâches est accessible à l'administrateur de rôles ou au responsable de sécurité. Le responsable de sécurité nécessite des droits Parcourir pour le conteneur SoDDef dans le coffre-fort d'identité. En revanche, il ne nécessite pas de droits Parcourir pour les rôles.
17.4.1 Création de nouvelles contraintes SoD
1 Cliquez sur Gestion de la séparation des tâches dans la liste des opérations Gestion des rôles.
2 Cliquez sur Nouveau.
3 Naviguez vers la section Détails de la nouvelle contrainte SoD. Pour plus d'informations sur la façon de compléter les champs, reportez-vous au
4 Naviguez vers la section Détails d'approbation. Pour plus d'informations sur la façon de
compléter les champs, reportez-vous au Tableau 17-6 page 252 .
5 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.4.2 Modification des contraintes SoD existantes
1 Cliquez sur Gestion de la séparation des tâches dans le groupe d'opérations Gestion des rôles.
250 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
2 Pour afficher ou modifier une contrainte SoD existante, utilisez les outils Sélecteur d'objet ou
Afficher l'historique pour sélectionner la contrainte. Pour plus de détails sur l'utilisation des outils Sélecteur d'objet et Afficher l'historique, reportez-vous à
« Utilisation du bouton de sélecteur d'objet pour effectuer une recherche » page 28 .
3 Sélectionnez la séparation de tâches (SoD) de votre choix dans la liste. La page de recherche se ferme et affiche les Détails de contraintes SoD et les Détails d'approbation pour la séparation des tâches sélectionnée.
4 Pour plus d'informations sur comment compléter les champs, reportez-vous au
« Détails des contraintes SoD », page 252 et au Tableau 17-6, « Détails d'approbation », page 252 .
5 Cliquez sur Enregistrer pour enregistrer vos modifications.
17.4.3 Référence relative aux propriétés des contraintes SoD
Tableau 17-5, « Détails des contraintes SoD », page 252
Tableau 17-6, « Détails d'approbation », page 252
Gestion des rôles 251
Tableau 17-5
Détails des contraintes SoD
Champ
Nom de contrainte de SoD
Description
Le nom de la contrainte. Il apparaît dans les rapports et lorsque l'utilisateur demande une exception de contrainte. Vous ne pouvez pas inclure les caractères suivants dans le Nom de la contrainte de SoD lorsque vous créez une contrainte :
< > , ; \ " + # = / | & *
Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur .
Ce nom peut également être spécifié dans l'éditeur SoD du concepteur
Identity Manager.
Description de la contrainte de
SoD
La description de la contrainte.
Pour le localiser dans n'importe laquelle des langues prises en charge, cliquez sur .
Rôle en conflit
Ce nom peut être spécifié dans l'éditeur SoD du concepteur Identity
Manager.
Le nom du rôle pour lequel vous souhaitez définir une contrainte. Un rôle définit un ensemble de privilèges associés à un ou plusieurs systèmes cibles ou applications.
Rôle en conflit
Ce champ est en lecture seule lors d'une opération de modification.
Le nom du rôle en conflit. Cliquez sur Parcourir pour localiser un rôle existant dans les rôles disponibles.
Ce champ est en lecture seule lors d'une opération de modification.
Remarque : il est important de spécifier les deux rôles en conflit. Peu importe l'ordre dans lequel vous spécifiez les rôles en conflit.
Tableau 17-6
Détails d'approbation
Champ
Approbation requise
Description
Sélectionnez Oui si vous souhaitez lancer un workflow lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD.
Remarque : si l'exception SoD est issue d'une assignation implicite
(par le biais de son appartenance à un groupe ou à un conteneur, par exemple), le fait de sélectionner Oui ne permet pas de démarrer le workflow d'approbation. L'exception SoD est toujours accordée et est consignée comme tel.
Sélectionnez Non si l' utilisateur peut effectuer une requête d'exception de contrainte SoD sans autorisation. Dans ce cas, l'exception est toujours accordée.
252 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Champ
Définition d'approbation SoD
Type d'approbation
Utiliser les approbateurs par
défaut
Description
Affiche le nom en lecture seule de la définition de requête de provisioning qui s'exécute lorsqu'un utilisateur effectue une requête d'exception de contrainte SoD. La valeur est issue de l'objet
Configuration de rôles. Elle s'exécute uniquement si l'Approbation
requise indique Oui.
Un champ en lecture seule qui affiche le type de traitement pour la définition de requête de provisioning spécifiée ci-dessus. Cette valeur est issue de l'objet Configuration de rôles.
Sélectionnez Oui si les approbateurs sont spécifiés dans le soussystème de rôles.
Sélectionnez Utilisateur si la tâche d'approbation SoD doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation SoD doit être assignée à un groupe.
Sélectionnez Rôle si la tâche d'approbation de SoD doit être assignée à un rôle.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons Sélecteur d'objet ou Historique (voir
« Principales opérations utilisateur », page 27 ).
Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, utilisez les boutons tel que décrit dans
Section 1.4.4, « Principales opérations utilisateur », page 27 .
17.5 Configuration du sous-système de rôles
La configuration du sous-système de rôles dans l'onglet Rôles de l'interface utilisateur Identity
Manager permet de spécifier les paramètres d'administration du sous-système de rôles.
Pour définir les paramètres d'administration du sous-système de rôles :
1 Cliquez sur Configuration du sous-système de rôles dans le groupe d'opérations Gestion des
rôles.
2 Indiquez (en secondes) une Période de bonus pour la suppression d'assignation de rôle.
Cette valeur spécifie le délai (en secondes) qui s'écoule avant la suppression d'une assignation de rôle dans le catalogue de rôles (0 par défaut). Que signifie une période de bonus de 0 ? Si vous supprimez une personne d'une assignation de rôle, cela signifie que la suppression survient immédiatement et que la révocation des droits qui en découle est immédiate. Vous
Gestion des rôles 253
pouvez utiliser la période de bonus pour retarder la suppression d'un compte qui doit être rajouté par la suite (par exemple, si une personne est déplacée d'un conteneur à un autre). Un droit peut désactiver un compte (élément par défaut) plutôt que le supprimer.
3 Sélectionnez la définition de requête de provisioning à exécuter lorsque vous effectuez une requête d' exception SoD. Vous pouvez spécifier une définition par pilote d'application utilisateur.
3a Pour localiser une définition de requête de provisioning, utilisez les boutons Sélecteur d'objet ou Historique tel que décrit dans la
Section 1.4.4, « Principales opérations utilisateur », page 27
.
4 Sélectionnez un Type d'approbation par défaut de la SoD de Série ou Quorum.
Champ
Série
Description
Sélectionnez Série si vous souhaitez que tous les utilisateurs de la liste
Approbateurs approuvent le rôle. Les approbateurs sont traités de manière séquentielle selon leur ordre d'apparition dans la liste. liste Approbateurs approuvent le rôle. L'approbation est complète lorsque le pourcentage d'utilisateurs spécifiés est atteint.
Par exemple, si vous souhaitez qu'un utilisateur sur quatre de la liste approuve le rôle, spécifiez Quorum et 25 %. Vous pouvez également 100 % si tous les utilisateurs doivent approuver en parallèle. La valeur doit être un nombre entier compris entre 0 et 100.
5 Modifiez les Approbateurs SoD par défaut.
Champ
Approbateurs SoD par
défaut
Description
Sélectionnez Utilisateur si la tâche d'approbation de rôle doit être assignée à un ou plusieurs utilisateurs. Sélectionnez Groupe si la tâche d'approbation de rôle doit être assignée à un groupe. Un seul membre du groupe doit approuver. Sélectionnez Rôle si la tâche d'approbation de rôle doit être assignée à un rôle. Comme pour les groupes, un seul membre du rôle doit approuver.
Pour localiser un utilisateur, un groupe ou un rôle, utilisez les boutons
Sélecteur d'objet ou Historique. Pour modifier l'ordre des approbateurs dans la liste ou pour supprimer un approbateur, reportez-vous à la
Section 1.4.4, « Principales opérations utilisateur », page 27
6 Cliquez sur Enregistrer pour enregistrer vos modifications.
254 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Création et affichage des rapports de rôle
Cette section décrit les rapports de rôle, ainsi que la façon de les créer et de les afficher. Chaque rapport est un fichier PDF en lecture seule qui donne des informations sur l'état actuel du catalogue de rôles à l'instant de sa génération. Un seul rapport ne reflète pas les modifications apportées aux données sur une longue période. Pour suivre la conformité des informations sur les rôles, veuillez utiliser les journaux d'audit.
Ce chapitre comporte les sections suivantes :
Section 18.1, « À propos des opérations de création de rôles », page 255
Section 18.2, « Rapports de rôle », page 255
Section 18.3, « Rapports SoD », page 259
Section 18.4, « Rapports sur les utilisateurs », page 261
18.1 À propos des opérations de création de rôles
L'onglet Rôles permet de créer et d'afficher les rapports décrivant l'état actuel des rôles. Grâce à ces rapports, vous pouvez surveiller, ajouter, modifier et supprimer des rôles ou des séparations de tâches (SoD).
Vous devez être administrateur ou auditeur de rôles pour créer et afficher les rapports de rôle.
L'administrateur de l'application utilisateur a des droits d'administrateur de rôles par défaut.
18.2 Rapports de rôle
Deux rapports de rôle sont disponibles :
Rapport de listes de rôles
Rapport d'assignations de rôle
18.2.1 Le rapport de listes de rôles
Le rapport de listes de rôles affiche les éléments suivants :
Tous les rôles, regroupés par niveau de rôle
Le nom métier de chaque rôle
Le conteneur et la description correspondant à chaque rôle
De façon facultative, les pourcentages de quorum, les rôles contenus, les rôles contenant, les groupes et les conteneurs auquel le rôle est indirectement assigné, ainsi que les droits associés à chaque rôle
18
Création et affichage des rapports de rôle
255
Pour créer et afficher le rapport de listes de rôles :
1 Ouvrez l'application utilisateur et sélectionnez Rôles > Rapports sur les rôles.
2 Sélectionnez Rapport de listes de rôles dans le menu déroulant Sélectionner un rapport, puis cliquez sur Sélectionner. La page Rapports sur les rôles vous invite à sélectionner les paramètres à inclure dans le rapport.
3 Cochez la case Afficher tous les détails administratifs pour chaque rôle pour vérifier si les informations suivantes sont pertinentes et disponibles :
Pourcentage de quorum
Rôles contenus
Rôles contenant
Groupes auxquels ce rôle est indirectement assigné
Conteneurs auxquels ce rôle est indirectement assigné
Droits associés au rôle
4 Choisissez si vous souhaitez afficher tous les rôles ou les rôles appartenant à un propriétaire précis. Choisissez Sélectionner un propriétaire de rôle pour activer la case correspondante.
Utilisez les icônes ci-dessous pour faire votre choix :
Ouvrez la boîte de dialogue de sélection d'objet.
Pour sélectionner un utilisateur et le prénom ou le nom et saisir un ou plusieurs caractères du nom pour récupérer une liste de sélection. Faites votre choix dans la liste de sélection.
Pour sélectionner un groupe d'utilisateurs, faites votre choix dans la liste de description des groupes. Pour sélectionner une liste d'utilisateurs plus courte, saisissez plusieurs caractères dans la case Description. Faites votre choix dans la liste de sélection.
Pour sélectionner un conteneur d'utilisateurs, cliquez sur un conteneur dans l'arborescence de répertoire.
256 Guide d'utilisation du module de provisioning basé sur les rôles Identity Manager version 3.6.1
Public link updated
The public link to your chat has been updated.
