Guide de présentation - NetIQ...SAP, PeopleSoft, Salesforce, Microsoft SharePoint, Lotus Notes,...

www.novell.com/documentation

Guide de présentationIdentity Manager 4.0.2

juin 2012

Mentions légales

Novell, Inc. exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell, Inc. se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.

Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.

Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou soumis à un embargo par la législation américaine en matière d'exportations. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Reportez-vous aux Services de commerce international (http://www.novell.com/company/policies/trade_services) pour plus d'informations sur l'exploration des logiciels Novell. Novell décline toute responsabilité dans le cas où vous n'obtiendriez pas les autorisations d'exportation nécessaires.

Copyright © 2008-2012 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur.

Novell, Inc.1800 South Novell PlaceProvo, UT 84606États-Uniswww.novell.com

Documentation en ligne : pour accéder à la documentation en ligne la plus récente concernant ce produit Novell et d'autres, reportez-vous à la page Web de documentation Novell (http://www.novell.com/documentation).

Marques de Novell

Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell (http://www.novell.com/company/legal/trademarks/tmlist.html).

Éléments tiers

Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.

http://www.novell.com/company/policies/trade_services

http://www.novell.com/documentation

http://www.novell.com/company/legal/trademarks/tmlist.html

http://www.novell.com/company/legal/trademarks/tmlist.html

Table des matières

À propos de ce guide 5

1 Identity Manager et l'automatisation des processus d'entreprise 7

1.1 Synchronisation des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.2 Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.3 Rôles et attestation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.4 Self-service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.5 Audit, création de rapports et conformité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Fonctionnalités d'Identity Manager 4.0.2 17

2.1 Nouvelles fonctionnalités d'Identity Manager 4.0.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.2 Fonctionnalités d'Identity Manager 4.0.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.3 Fonctionnalités d'Identity Manager 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3 Famille Identity Manager 23

3.1 Identity Manager Advanced Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.2 Identity Manager Standard Edition. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.3 Novell Compliance Management Platform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.4 Activation d'Identity Manager Standard Edition et Advanced Edition. . . . . . . . . . . . . . . . . . . . . . . . . 27

4 Architecture d'Identity Manager 29

4.1 Synchronisation des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304.1.1 Composants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.1.2 Principaux concepts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.2 Workflow, rôles, attestation et self-service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.2.1 Composants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.2.2 Principaux concepts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.3 Audit et création de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

5 Outils d'Identity Manager 41

5.1 Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425.2 Designer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.3 iManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.4 Administrateur d'assignation de rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455.5 Identity Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6 Opérations d'Identity Manager 49

6.1 Coffre-fort d'identité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506.2 Module d'interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526.3 Canaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536.4 Événements et commandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536.5 Stratégie d'assignation de schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546.6 Règle de transformation de l'événement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Table des matières 3

4 Tab

6.6.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556.6.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.7 Filtre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556.7.1 Attribut Sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566.7.2 Attribut Notifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.8 Processeur d'ajout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576.8.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576.8.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.9 Règle de concordance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.9.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.9.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.10 Règle de création . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586.10.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596.10.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

6.11 Règle de placement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596.11.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596.11.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6.12 Règle de transformation de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606.12.1 Canal Éditeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606.12.2 Canal Abonné . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6.13 Règles, stratégies et feuilles de style . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616.13.1 Règle de transformation de l'entrée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626.13.2 Règle de transformation de la sortie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.13.3 Associations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.13.4 Ajouts synthétiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.13.5 Traitement des fusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

7 Étapes suivantes 71

7.1 Élaboration d'une solution Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717.2 Préparation de vos données à des fins de synchronisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717.3 Installation ou mise à niveau d'Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727.4 Configuration d'Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

7.4.1 Synchronisation des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727.4.2 Assignation de rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737.4.3 Configuration de l'application utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737.4.4 Configuration des fonctions d'audit, de création de rapports et de conformité . . . . . . . . . . 73

7.5 Administration d'Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

le des matières

À propos de ce guide

Le présent guide vous présente Novell Identity Manager, un produit WorkloadIQ qui gère les identités et les accès dans les environnements physiques, virtuels et en nuage. Ce manuel explique les problèmes opérationnels qu'Identity Manager peut vous aider à résoudre tout en réduisant les coûts et en assurant la conformité. Il contient également un aperçu technique des composants et outils d'Identity Manager que vous pouvez utiliser pour créer votre solution Identity Manager. Ce guide est organisé de la manière suivante :

Chapitre 1, « Identity Manager et l'automatisation des processus d'entreprise », page 7

Chapitre 2, « Fonctionnalités d'Identity Manager 4.0.2 », page 17

Chapitre 3, « Famille Identity Manager », page 23

Chapitre 4, « Architecture d'Identity Manager », page 29

Chapitre 5, « Outils d'Identity Manager », page 41

Chapitre 6, « Opérations d'Identity Manager », page 49

Chapitre 7, « Étapes suivantes », page 71

Public

Ce guide est destiné aux administrateurs, aux consultants et aux ingénieurs réseau requérant une introduction de haut niveau aux solutions, aux technologies et aux outils professionnels d'Identity Manager.

Mises à jour de la documentation

Vous trouverez la version la plus récente de ce document sur le site Web de la documentation relative à Identity Manager (http://www.netiq.com/documentation/idm402/index.html).

Documentation complémentaire

Pour de la documentation concernant les pilotes Identity Manager, reportez-vous au site Web des pilotes Identity Manager (http://www.netiq.com/documentation/idm402drivers/index.html).

À propos de ce guide 5

http://www.netiq.com/documentation/idm402/index.html


http://www.netiq.com/documentation/idm402drivers/index.html


6 Guide de présentation d'Identity Manager 4.0.2

1 1Identity Manager et l'automatisation des processus d'entreprise

Les informations de cette section décrivent certains des processus d'entreprise que vous pouvez automatiser grâce à l'implémentation d'un système Novell Identity Manager. Si vous connaissez déjà les solutions d'automatisation d'entreprise qu'offre Identity Manager, vous pouvez passer à l'introduction technique du Chapitre 4, « Architecture d'Identity Manager », page 29.

La gestion des besoins d'identité est une fonction essentielle de la plupart des entreprises. Imaginons par exemple, que nous soyons un lundi, tôt dans la matinée. Vous faites défiler la liste des requêtes de votre file d'attente :

Le numéro du téléphone portable de Jim Taylor a changé. Vous devez le mettre à jour dans la base de données des ressources humaines, ainsi que dans quatre autres systèmes indépendants.

Karen Hansen, qui revient juste d'une longue période d'absence, a oublié le mot de passe de sa messagerie. Vous devez l'aider à le retrouver ou à le réinitialiser.

Jose Altimira vient d'embaucher un nouvel employé. Vous devez fournir à cet employé un accès au réseau ainsi qu'un compte de messagerie.

Ida McNamee souhaite accéder à la base de données financière Oracle, ce qui suppose d'obtenir l'approbation de trois responsables différents.

John Harris vient d'être transféré du service des comptes fournisseurs au service juridique. Vous devez lui donner accès aux mêmes ressources que les autres membres de l'équipe du service juridique et supprimer son accès aux ressources du service des comptes fournisseurs.

Karl Jones, votre responsable, a vu une copie de la demande d'accès d'Ida McNamee à la base de données financière et s'inquiète du nombre de personnes pouvant y accéder. Vous devez lui adresser un rapport dressant la liste de toutes les personnes disposant d'un accès à cette base de données.

Vous respirez profondément et commencez par la première demande, en sachant que vous serez soumis à une forte pression pour suivre toutes ces requêtes et que vous aurez encore moins de temps pour terminer les autres projets dont vous êtes responsable.

Si cela ressemble fort à une journée de travail standard pour vous ou pour quelqu'un d'autre dans votre organisation, Identity Manager peut vous aider. En fait, les principales fonctionnalités d'Identity Manager, présentées sur la figure qui suit, peuvent vous aider à automatiser l'ensemble de ces tâches et bien d'autres encore. Ces fonctionnalités, à savoir workflows, rôles, attestation, self-service, audit et création de rapports, utilisent une synchronisation des données multi-système basée sur les stratégies de votre entreprise afin d'automatiser les processus impliqués dans le provisioning des utilisateurs et la gestion des mots de passe, deux des tâches les plus délicates et chronophages pour un service informatique.

Identity Manager et l'automatisation des processus d'entreprise 7

Figure 1-1 Principales fonctionnalités d'Identity Manager

Les sections qui suivent présentent les fonctionnalités d'Identity Manager et montrent comment elles peuvent vous aider à satisfaire les besoins d'identité de votre organisation :

Section 1.1, « Synchronisation des données », page 8

Section 1.2, « Workflow », page 11

Section 1.3, « Rôles et attestation », page 12

Section 1.4, « Self-service », page 14

Section 1.5, « Audit, création de rapports et conformité », page 15

1.1 Synchronisation des donnéesSi votre organisation n'est pas différente des autres, vos données d'identité sont stockées sur plusieurs systèmes. Il est également possible que certaines de vos données d'identité soient stockées sur un système et que vous puissiez sans aucun doute les utiliser sur un autre. Dans les deux cas, vous devez être en mesure de partager et de synchroniser facilement ces données entre vos systèmes.

Identity Manager permet de synchroniser, de transformer et de distribuer des informations parmi une multitude d'applications, de bases de données, de systèmes d'exploitation et d'annuaires tels que SAP, PeopleSoft, Salesforce, Microsoft SharePoint, Lotus Notes, Microsoft Exchange, Microsoft Active Directory, Novell eDirectory, Linux, UNIX et les annuaires LDAP.


Figure 1-2 Identity Manager pour connecter plusieurs systèmes

Vous contrôlez le flux des données entre les différents systèmes connectés. Entre autres choses, vous pouvez déterminer quelles données seront partagées, quel système est la source experte de certaines données, et comment les données sont interprétées et transformées afin de satisfaire les exigences des autres systèmes.

Dans le diagramme suivant, la base de données des ressources humaines SAP est la source experte du numéro de téléphone d'un utilisateur. Le système Lotus Notes utilise également des numéros de téléphone, c'est pourquoi Identity Manager convertit le numéro dans le format requis et le partage avec le système Lotus Notes. Chaque fois que le numéro de téléphone change dans le système de ressources humaines SAP, il est synchronisé sur le système Lotus Notes.

Figure 1-3 Synchronisation des données entre les systèmes connectés

La gestion des données des utilisateurs existants n'est que le début des fonctionnalités de synchronisation des données d'Identity Manager. Identity Manager peut en outre créer de nouveaux comptes utilisateur et supprimer des comptes existants d'annuaires tels qu'Active Directory, de systèmes tels que PeopleSoft et Lotus Notes et de systèmes d'exploitation tels que UNIX et Linux. Par exemple, lorsque vous ajoutez un employé à votre système de ressources humaines SAP, Identity Manager peut créer automatiquement un compte utilisateur dans Active Directory, un compte dans Lotus Notes et un compte dans un système de gestion de comptes NIS Linux.

IdentityManager

PeopleSoft

Lotus Notes

SAP NovelleDirectory

Linux Annuaire LDAP

MicrosoftActive

Directory

MicrosoftExchange

IdentityManager

SAP

801/555-1234 (801) 555-1234

Lotus Notes


Figure 1-4 Création de comptes utilisateur sur des systèmes connectés

Dans le cadre de ses fonctions de synchronisation des données, Identity Manager peut également vous aider à synchroniser des mots de passe entre systèmes. Par exemple, si un utilisateur modifie son mot de passe dans Active Directory, Identity Manager peut le synchroniser dans Lotus Notes et Linux.

IdentityManager

Lotus Notes

SAP

Utilisateur A

Utilisateur A Utilisateur A Utilisateur A

Linux ActiveDirectory


Figure 1-5 Synchronisation de mot de passe entre systèmes connectés

1.2 WorkflowIl est très probable que l'accès des utilisateurs à un grand nombre de ressources de votre organisation ne nécessite aucune approbation. En revanche, il se peut que l'accès à d'autres ressources soit restreint et nécessite l'approbation d'une ou plusieurs personnes.

Identity Manager offre des fonctionnalités de workflow qui permettent d'impliquer dans vos processus de provisioning les approbateurs de ressources appropriés. Supposons par exemple que John, qui dispose déjà d'un compte Active Directory, ait besoin d'accéder à certains rapports financiers via Active Directory. Cela nécessite l'approbation du responsable immédiat de John et du directeur financier. Heureusement, vous avez configuré un workflow d'approbation qui achemine la requête de John à son responsable et, après l'approbation de ce dernier, au directeur financier. L'approbation du directeur financier déclenche le provisioning automatique des droits d'Active Directory dont John a besoin pour accéder aux documents financiers et les consulter.

Lotus Notes

Utilisateur A

Utilisateur A Utilisateur A

Linux

ActiveDirectory

Mot de passe : Novell

Mot de passe : Novell Mot de passe : Novell

IdentityManager


Figure 1-6 Workflow d'approbation pour le provisioning de l'utilisateur

Les workflows peuvent être initiés automatiquement chaque fois qu'un événement déterminé se produit (par exemple, un nouvel utilisateur est ajouté à votre système des ressources humaines) ou manuellement suite à la demande d'un utilisateur. Pour vous assurer que les approbations interviennent au moment opportun, vous pouvez définir des mandataires comme approbateurs et des équipes d'approbation.

1.3 Rôles et attestationIl est fréquent que les utilisateurs aient besoin d'accéder aux ressources en fonction de leurs rôles dans l'organisation. Par exemple, les avocats d'une société d'avocats peuvent avoir besoin d'accéder à un ensemble de ressources différent de celui utilisé par les adjoints juridiques de la société.

Identity Manager permet de fournir l'accès aux utilisateurs en fonction de leur rôle dans l'organisation. Vous définissez les rôles et effectuez les assignations en fonction des besoins de votre organisation. Lorsqu'un utilisateur est assigné à un rôle, Identity Manager lui donne accès aux ressources associées à ce rôle. Si un utilisateur a plusieurs rôles, il bénéficie de l'accès aux ressources associées à tous ces rôles, comme le montre la figure suivante :

Requête émise

Requête approuvée

Requête approuvée

Requête accordée

John Responsable de John

CFO

ActiveDirectory


Figure 1-7 Provisioning des ressources en fonction des rôles

Des utilisateurs peuvent se voir ajouter des rôles automatiquement à la suite d'événements intervenant au sein de votre organisation (par exemple, l'ajout d'un nouvel utilisateur possédant le titre d'avocat à votre base de données de ressources humaines SAP). Si une approbation est requise pour qu'un utilisateur soit ajouté à un rôle, vous pouvez définir des workflows pour acheminer les requêtes de ce rôle aux approbateurs appropriés. Vous pouvez également assigner manuellement des utilisateurs à des rôles.

Dans certains cas, il peut exister des rôles qui ne doivent pas être assignés à la même personne du fait d'un conflit entre ces rôles. Identity Manager offre une fonction de séparation des tâches qui permet d'éviter que des utilisateurs soient assignés à des rôles en conflit sauf si une personne de votre organisation définit une exception à ce conflit.

Les assignations de rôle déterminant l'accès d'un utilisateur aux ressources au sein de votre organisation, il est essentiel de les définir correctement. Des assignations incorrectes peuvent compromettre la conformité avec les réglementations de l'entreprise et les réglementations nationales. Identity Manager vous aide à valider la justesse de vos assignations de rôle par l'intermédiaire d'un processus d'attestation. Grâce à ce processus, les personnes responsables au sein de votre organisation certifient les données associées aux rôles :

Attestation du profil utilisateur : les utilisateurs sélectionnés attestent de leurs propres informations de profil (prénom, nom, titre, service, adresse électronique, etc.) et corrigent les éventuelles informations erronées. Des informations de profil exactes sont essentielles pour disposer d'assignations de rôle correctes.

Attestation de violation de la séparation des tâches : les personnes responsables examinent le rapport de violation de la séparation des tâches et attestent son exactitude. Ce rapport indique les exceptions qui permettent l'assignation d'un utilisateur à des rôles en conflit.

Attestation d'assignation de rôle : les personnes responsables examinent le rapport qui répertorie les rôles sélectionnés, ainsi que les utilisateurs, les groupes et les rôles assignés à chaque rôle. Les personnes responsables doivent ensuite attester l'exactitude des informations.

Attestation de l'assignation des utilisateurs : les personnes responsables examinent le rapport qui répertorie les utilisateurs sélectionnés, ainsi que les rôles auxquels ils sont assignés. Elles doivent ensuite attester l'exactitude des informations.

Ces rapports d'attestation sont principalement conçus pour vous aider à vérifier que les assignations de rôle sont exactes et qu'il existe des raisons valables pour autoriser des exceptions concernant les rôles en conflit.

John

John

Rôle Avocat

John

Rôle Gestionnaire

Ajouté aux rôles

Ressource 1

Ressource 2

Ressource 3

Ressource 4

Ressource 5


1.4 Self-serviceVotre entreprise compte probablement des responsables et des services qui revendiquent à grand cri la gestion des informations et des accès de leurs utilisateurs au lieu de vous les déléguer à vous et à votre équipe. Combien de fois avez-vous entendu « Pourquoi ne puis-je pas changer mon numéro de téléphone portable dans notre annuaire d'entreprise ? » ou « J'appartiens au service Marketing. Pourquoi suis-je tenu d'appeler le service d'assistance pour accéder à la base de données des informations Marketing ? ».

Avec Identity Manager, vous pouvez déléguer des tâches administratives aux personnes qui doivent en être responsables. Par exemple, vous pouvez permettre à des utilisateurs de :

Gérer leurs données personnelles dans l'annuaire de l'entreprise. Vous n'aurez plus à modifier les numéros de téléphone portable : les employés s'en chargent à un emplacement, cette modification se répercutant ensuite sur tous les systèmes que vous avez synchronisés avec Identity Manager.

Changer leurs mots de passe, configurer un indice ou des questions-réponses de vérification d'identité pour les mots de passe oubliés. Plutôt que de vous demander de réinitialiser le mot de passe qu'ils ont oublié, ils peuvent le faire eux-mêmes après avoir reçu un indice ou répondu à une question de vérification d'identité.

Demander l'accès à des ressources telles que des bases de données, des systèmes ou des annuaires. Plutôt que de vous demander l'accès à une application, ils peuvent la sélectionner dans la liste des ressources disponibles.

Outre le self-service pour les utilisateurs, Identity Manager propose l'administration en self-service des fonctions (gestion, service d'assistance, etc.) régissant l'assistance, la surveillance et l'approbation des demandes des utilisateurs. Examinons l'exemple du scénario utilisé dans la Section 1.2, « Workflow », page 11 et illustré ci-dessous.

Figure 1-8 Workflow de provisioning avec self-service

Non seulement John utilise la fonction de self-service d'Identity Manager pour demander l'accès aux documents dont il a besoin, mais le responsable de John et le directeur financier utilisent la fonction de self-service pour approuver cette demande. Le workflow d'approbation établi permet à John de lancer sa demande et d'en suivre la progression. Il permet également au responsable de John et au

Requête émise

Requête approuvée

Requête approuvée

Requête accordée

John Responsable de John

CFO

ActiveDirectory


directeur financier d'y répondre. L'approbation de la requête par le responsable de John et le directeur financier déclenche le provisioning des droits d'Active Directory dont John a besoin pour accéder aux documents financiers et les consulter.

1.5 Audit, création de rapports et conformitéSans Identity Manager, le provisioning des utilisateurs peut s'avérer fastidieux, long et coûteux. Cet effort peut néanmoins paraître dérisoire comparé à la nécessité de vérifier que vos activités de provisioning respectent bien les stratégies, les exigences et les réglementations de votre entreprise. Les personnes concernées ont-elles accès aux ressources dont elles ont besoin ? Les autres sont-elles bien privées de l'accès à ces mêmes ressources ? L'employé qui a commencé son activité hier a-t-il accès au réseau, à sa messagerie et aux six autres systèmes dont il a besoin pour son travail ? L'accès de l'employé qui a quitté l'entreprise la semaine dernière a-t-il été supprimé ?

Avec Identity Manager, vous pouvez être tranquille car vous savez que toutes vos activités de provisioning des utilisateurs, passées et actuelles, sont suivies et consignées à des fins d'audit. Identity Manager contient un espace de stockage intelligent pour les informations relatives aux états en cours et souhaités du coffre-fort d'identité ainsi que des systèmes gérés de votre entreprise. En interrogeant l'entrepôt, vous pouvez récupérer toutes les informations requises pour vous assurer que votre entreprise respecte parfaitement toutes les lois et réglementations applicables.

Cet entrepôt vous offre une vue globale de vos droits métiers, de sorte que vous disposez de toutes les données nécessaires pour voir l'état passé et présent des autorisations accordées aux identités au sein de votre organisation. Fort de cette connaissance, vous pouvez répondre aux requêtes GRC (Governance, Risk and Compliance) les plus complexes.

Identity Manager contient des rapports prédéfinis qui vous permettent d'interroger l'entrepôt d'informations d'identité afin de prouver la conformité des stratégies métiers, informatiques et d'entreprise. Vous pouvez, par ailleurs, créer des rapports personnalisés si ceux prédéfinis ne répondent pas à vos attentes.


2 2Fonctionnalités d'Identity Manager 4.0.2

Novell Identity Manager 4.0.2 propose un environnement identitaire intelligent, qui tire profit de vos ressources informatiques existantes ainsi que de nouveaux modèles informatiques tels que SaaS (Software as a Service) en réduisant les coûts et en assurant la conformité à l'échelle des environnements physiques, virtuels et en nuage. Grâce aux solutions Novell Identity Manager, vous pouvez être sûr que votre entreprise dispose des informations d'identité utilisateur les plus récentes. Vous pouvez garder un contrôle au niveau de l'entreprise en gérant, provisionnant et déprovisionnant les identités au sein du pare-feu, ainsi qu'en réalisant une extension au nuage. Identity Manager peut également vous aider à étendre votre gestion de la conformité au nuage.

Identity Manager 4.0.2 met à votre disposition des fonctions intégrées de gestion des identités, des rôles et des paquetages, ainsi que de création de rapports, afin de préconfigurer et de personnaliser les stratégies de pilote Identity Manager. Vous pouvez en outre appliquer des stratégies de sécurité à plusieurs domaines système. Identity Manager vous permet de gérer le cycle de vie utilisateur en dépit du nombre croissant d'exigences réglementaires et d'appliquer un niveau de protection plus granulaire avec un provisioning des utilisateurs davantage stratégique afin de tenir compte des préoccupations de plus en plus nombreuses en termes de sécurité au sein du pare-feu ou dans l'environnement en nuage. L'environnement identitaire intelligent vous aide à utiliser votre infrastructure existante avec de nouveaux modèles informatiques tels que SaaS.

Section 2.1, « Nouvelles fonctionnalités d'Identity Manager 4.0.2 », page 17

Section 2.2, « Fonctionnalités d'Identity Manager 4.0.1 », page 21

Section 2.3, « Fonctionnalités d'Identity Manager 4.0 », page 21

2.1 Nouvelles fonctionnalités d'Identity Manager 4.0.2 Nouveaux pilotes:

Pilote Bidirectional eDirectory : le pilote Bidirectional eDirectory d'Identity Manager synchronise les données entre le coffre-fort d'identité et eDirectory. Pour plus d'informations, reportez-vous au manuel Identity Manager 4.0.2 Driver for Bidirectional Directory Implementation Guide (Guide d'implémentation du pilote d'Identity Manager 4.0.2 pour Bidirectional eDirectory).

Sentinel Identity Tracking Driver Implementation Guide (Guide d'implémentation du pilote Sentinel Identity Tracking) : le pilote Sentinel Identity Tracking s'intègre à Identity Manager et à Sentinel à des fins de suivi des informations de compte utilisateur. Chaque compte utilisateur peut être associé à plusieurs identifiants de compte pour chaque système de la solution Identity Manager. Le pilote assure le suivi de tous ces identifiants et envoie les informations à Sentinel. Sentinel peut exécuter des rapports pour mettre chaque identifiant de compte en corrélation avec un utilisateur spécifique. Pour plus d'informations, reportez-vous au manuel Driver for Sentinel Implementation Guide (Guide d'implémentation du pilote pour Sentinel).

Fonctionnalités d'Identity Manager 4.0.2 17

Fonctions de gestion des mots de passe:

Améliorations de la stratégie de mot de passe : Identity Manager prend désormais en charge trois nouvelles options de syntaxe de stratégie de mot de passe :

Utiliser la stratégie de complexité Windows

Utiliser la stratégie de mot de passe de Microsoft Server 2008

Utiliser la syntaxe Novell

Pour plus d'informations, reportez-vous à la section « Supported Password Policy Syntax » (Syntaxe de stratégie de mot de passe prise en charge) du manuel Identity Manager 4.0.2 Password Management Guide (Guide de gestion des mots de passe d'Identity Manager 4.0.2).

Fonctions de l'administrateur de l'assignation de rôles:

Synchronisation de l'assignation de codes: Identity Manager 4.0.2 procure des outils permettant d'assurer la synchronisation des tableaux d'assignation de codes entre l'administrateur de l'assignation de rôles et le module de provisioning basé sur les rôles. Lors de la création des assignations dans l'administrateur de l'assignation de rôles, vous avez la possibilité de déclencher un rafraîchissement des assignations de codes dans l'administrateur de l'assignation de rôles ou le module de provisioning basé sur les rôles en cas de discordance dans les assignations de codes. Un rafraîchissement des assignations de codes peut prendre beaucoup de temps s'il est exécuté pour tous les pilotes et tous les droits. Par conséquent, l'administrateur de l'assignation de rôles vous donne la possibilité de déclencher un rafraîchissement uniquement pour les droits pour lesquels une discordance a été découverte. Le module de provisioning basé sur les rôles fournit également de nouveaux noeuds d'extrémité SOAP pour le déclenchement des rafraîchissements d'assignations de codes. Pour plus d'informations sur les modifications apportées à l'administrateur de l'assignation de rôles, reportez-vous à la section « Creating Role Resource Mappings » (Création d'assignations de ressources de rôle) du manuel Novell Identity Manager Role Mapping Administrator 4.0.2 User Guide (Guide de l'utilisateur de l'administrateur de l'assignation de rôles de Novell Identity Manager 4.0.2). Pour plus d'informations sur les noeuds d'extrémité SOAP, reportez-vous à la section « Resource Web Service » (Service Web de ressources) du manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).

Paramètres de création de ressources pour l'administrateur de l'assignation de rôles:

L'administrateur de l'assignation de rôles comprend désormais plusieurs paramètres de création de ressources qui vous permettent de prédéfinir les noms de pilote et de système logique lors de la création de ressources. Grâce à ces paramètres, vous pouvez également sélectionner une catégorie de ressources pour les ressources générées automatiquement. Pour plus d'informations, reportez-vous à la section « Customizing the Resource Names » (Personnalisation des noms de ressources) du manuel Novell Identity Manager Role Mapping Administrator 4.0.2 User Guide (Guide d'utilisation de l'administrateur d'assignation de rôles de Novell Identity Manager 4.0.2).

Fonctions du module de provisioning basé sur les rôles:

Processus d'approbation de la révocation de rôle: Le module de provisioning basé sur les rôles prend désormais en charge l'utilisation des processus d'approbation pour la révocation de rôles. Le processus d'approbation utilisé pour les requêtes de révocation de rôles et la liste des approbateurs sont les mêmes que pour les requêtes d'octroi de rôles. Si vous avez indiqué que vous souhaitez que le processus d'approbation exécute la définition standard de l'approbation d'assignation de rôles, c'est ce processus qui est utilisé. Vous pouvez aussi spécifier un processus d'approbation personnalisé à la fois pour les requêtes


d'octroi de rôles et celles de révocation de rôles. Pour plus d'informations, reportez-vous à la section « Définition du processus d'approbation pour un rôle » du Guide d'utilisation de l'application utilisateur.

Optimisation des opérations de suppression de rôles: Le processus de suppression des rôles a été optimisé dans le module de provisioning basé sur les rôles. Lorsque vous demandez à l'application utilisateur de supprimer un rôle, celle-ci définit d'abord l'état du rôle en question sur Suppression en attente. Le pilote du service de rôles et de ressources prend note du changement d'état et effectue les opérations suivantes :

1. Suppression des assignations de ressources du rôle

2. Suppression du rôle proprement dit

Pour plus d'informations, reportez-vous à la section « Suppression de rôles » du Guide d'utilisation de l'application utilisateur.

Prise en charge de SAML pour les plates-formes 64 bits La prise en charge de SAML pour Single Sign-On a été ajoutée pour les plates-formes 64 bits Linux et Windows. Pour plus d'informations, reportez-vous à la section « Single Sign On (SSO) Configuration » (Configuration de Single Sign-On (SSO)) du manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).

Fonctions du module Novell Identity Reporting:

Prise en charge d'EAS sous Red Hat Enterprise Linux: Le service d'audit d'événements (Event Auditing Service, EAS) fonctionne désormais sous Red Hat Enterprise Linux 5.7 et 6.0 (32 bits et 64 bits).

Nouveau rapport de hiérarchie des rôles: Le rapport de hiérarchie des rôles est une nouvelle composante du module Novell Identity Reporting. Ce rapport indique le contenu de la hiérarchie des rôles, ainsi que les ressources associées à chaque rôle. Pour plus d'informations, reportez-vous à la rubrique relative au rapport de hiérarchie des rôles sous Utilisation des rapports Identity Manager 4.0.2.

Possibilité de purger les données historiques de la base de données de création de rapports: Grâce au module Novell Identity Reporting, vous pouvez désormais purger les données historiques de la base de données de création de rapports. Lorsque le module de création de rapports réalise une opération de purge des données, il ne purge que les données des tables d'historique qui sont plus anciennes que la valeur de conservation que vous avez spécifiée. Toutes les données historiques plus récentes que l'intervalle de conservation sont gardées. L'opération de purge ne supprime aucune donnée actuelle. Pour plus d'informations, reportez-vous à la section « Configuring Settings and Data Collection » (Configuration des paramètres et de la collecte des données) du manuel Identity Reporting Module Guide (Guide du module Identity Reporting).

Fonctions de Designer:

Prise en charge des activités REST pour les workflows L'éditeur de définition de requête de provisioning de Designer 4.0.2 comprend désormais une nouvelle activité qui permet aux utilisateurs d'appeler des noeuds d'extrémité ou ressources REST lors du traitement des données de workflow. Grâce à l'activité REST, les workflows peuvent échanger des données avec les services REST en interne et en externe, et les utilisateurs peuvent utiliser les données reçues d'un service REST comme informations d'aide à la décision dans les formulaires d'approbation.

Pour plus d'informations, reportez-vous à la section « Rest Activity » (Activité REST) du manuel User Application: Design Guide (Guide de conception de l'application utilisateur).


Améliorations de l'activité d'intégration pour les workflows Plusieurs améliorations ont été apportées au niveau de l'activité d'intégration de l'éditeur de définition de requête de provisioning de Designer 4.0.2, notamment la résolution des problèmes d'animation et la réduction de la taille des définitions de requête de provisioning déployées. Par ailleurs, l'activité d'intégration permet désormais aux utilisateurs de générer plus facilement des requêtes SOAP pour l'activité à l'aide de l'interface utilisateur de Designer.

Pour plus d'informations, reportez-vous à la section « Adding an Integration Activity » (Ajout d'une activité d'intégration) du manuel User Application: Design Guide (Guide de conception de l'application utilisateur).

Améliorations des performances dans Designer Les performances de Designer 4.0.2 ont été améliorées à plusieurs égards, notamment au niveau de l'utilisation des différents éditeurs fournis avec le produit, du rendu des pages de configuration dans l'interface utilisateur, ainsi que de la vitesse du contrôleur de projet et de la résolution des problèmes de mémoire. Pour plus d'informations, ouvrez Designer 4.0.2 et sélectionnez Aide > Nouveautés dans la barre d'outils.

Optimisation de Designer pour l'importation facultative de rôles et de ressources Au lieu de devoir importer automatiquement un grand nombre de rôles et de ressources depuis le coffre-fort d'identité lorsqu'ils configurent un projet dans Designer, les utilisateurs peuvent désormais configurer Designer afin qu'il n'importe pas le catalogue de rôles automatiquement. Si un utilisateur n'a pas besoin d'importer de rôles ou de ressources, il a la possibilité de sélectionner l'option Ne pas importer le catalogue de rôles (à l'exception des rôles système) à la page Novell > Provisioning > Importer/Déployer des préférences de Designer. Designer n'importe alors plus le catalogue de rôles automatiquement, ce qui permet aux utilisateurs de gagner du temps et leur évite d'avoir à gérer ces rôles et ressources dans Designer.

Pour plus d'informations, reportez-vous à la section « Configuring Roles » (Configuration des rôles) du manuel User Application: Design Guide (Guide de conception de l'application utilisateur).

Suppression des paquetages inutilisés du catalogue de paquetages dans Designer Si un grand nombre de paquetages inutiles a été importé dans le catalogue de paquetages d'un projet d'un utilisateur, Designer 4.0.2 permet à ce dernier d'éliminer les paquetages inutilisés du catalogue, en supprimant du projet les paquetages importés qui ne sont installés sur aucun pilote, ensemble de pilotes ou coffre-fort d'identité.

Pour plus d'informations, reportez-vous à la section « Removing Packages from the Package Catalog » (Suppression de paquetages du catalogue de paquetages) du manuel Designer 4.0.2 for Identity Manager 4.0.2 Administration Guide (Guide d'administration de Designer 4.0.2 pour Identity Manager 4.0.2).

Fonctions d'Analyzer:

Améliorations des performances dans Analyzer Analyzer 4.0.2 offre de meilleures performances grâce à l'utilisation de la fonction de traitement par lots avec le serveur de base de données MySQL. Analyzer peut désormais importer un million d'enregistrements simultanément dans la base de données Analizer. Pour plus d'informations, reportez-vous à la section « Database Settings » (Paramètres de la base de données) du manuel Analyzer 4.0.2 for Identity Manager Administration Guide (Guide d'administration d'Analyzer 4.0.2 pour Identity Manager).


2.2 Fonctionnalités d'Identity Manager 4.0.1 Activité de requête de ressource : l'activité de requête de ressource vous permet d'automatiser

l'octroi ou la révocation de ressources pour les utilisateurs. Par exemple, vous pouvez créer une définition de requête de provisioning qui provisionne toutes les ressources dont un nouvel employé a besoin le jour de son arrivée. L'activité de requête de ressource peut aussi être utilisée afin d'automatiser l'approbation de cet employé pour des ressources déterminées. Pour plus d'informations sur l'activité de requête de ressource, reportez-vous à la section « Resource Request Activity » (Activité de requête de ressource) du manuel User Application: Design Guide (Guide de conception de l'application utilisateur).

Télémétrie : la télémétrie Identity Manager est une nouvelle tâche introduite dans Identity Manager 4.0.1. Elle fonctionne comme un compteur d'utilisation ou un outil de contrôle des licences qui facilite le travail des clients Identity Manager en leur permettant d'ajouter des licences nécessaires ou d'en supprimer des superflues. Les clients peuvent également bénéficier d'avantages tels que le tarif pour les comptes utilisateur inactifs.

La tâche de télémétrie collecte des informations sur le matériel et le logiciel Identity Manager installé, ainsi que sur l'utilisation qui est faite des pilotes Identity Manager dans l'environnement du client. Une fois le client enregistré auprès du Novell Customer Center, les informations sont envoyées à Novell. Celles-ci permettent à Novell d'offrir une meilleure assistance au client, de développer et de tester Identity Manager de façon plus efficace et plus concrète, ainsi que de prendre d'importantes décisions à l'avenir. Pour plus d'informations, reportez-vous au manuel Identity Manager 4.0.2 Jobs Guide (Guide des tâches d'Identity Manager 4.0.1).

Rapports : Les rapports suivants ont été ajoutés au module Identity Reporting :

Modification de l'état de l'utilisateur dans le coffre-fort d'identité : affiche les événements importants pour les utilisateurs du coffre-fort d'identité.

Modifications de mot de passe utilisateur dans le coffre-fort d'identité : affiche toutes les modifications de mot de passe utilisateur dans le coffre-fort d'identité.

Demandes d'accès par destinataire : affiche les processus de workflow d'assignation de ressource organisés par destinataire.

Demandes d'accès par demandeur : affiche les processus de workflow d'assignation de ressource organisés par demandeur.

Demandes d'accès par ressource : affiche les processus de workflow d'assignation de ressource organisés par ressources.

2.3 Fonctionnalités d'Identity Manager 4.0Outre les nouvelles fonctions susmentionnées dans cette section, Identity Manager 4.0.1 fournit également les fonctions suivantes qui figuraient déjà dans Identity Manager 4.0.

Création de rapports détaillés prêts à l'emploi : le module intégré de création de rapports de la suite Novell Identity Manager 4.x offre une meilleure visibilité de la conformité au sein des déploiements internes et en nuage. Les fonctions de création de rapports vous permettent de consulter l'état d'identité et les droits d'accès d'un utilisateur, ainsi que de rendre compte des opérations et de l'historique de provisioning de ce dernier. Pour plus d'informations, reportez-vous au manuel Identity Reporting Module Guide (Guide du module Identity Reporting).

Meilleure intégration : afin de créer une nouvelle solution Identity Manager dans laquelle tous les composants résident sur le même serveur, Novell Identity Manager 4.x inclut un programme d'installation intégré qui simplifie le processus d'installation et vous permet de configurer plus rapidement votre système. Grâce à ce programme, vous pouvez installer tous les composants


d'Identity Manager en une seule opération, plutôt que chacun séparément. Pour plus d'informations, reportez-vous au Guide du programme d'installation intégré d'Identity Manager 4.0.2.

Gestion des paquetages : Identity Manager 4.x inclut un nouveau concept baptisé Gestion des paquetages. Il s'agit d'un système de création, de distribution et de consommation de blocs de construction de qualité supérieure du contenu de stratégie d'Identity Manager. Pour plus d'informations sur les paquetages Identity Manager, reportez-vous à la section Configuring Packages (Configuration des paquetages) du manuel Designer 4.0.2 for Identity Manager 4.0.2 Administration Guide (Guide d'administration de Designer 4.0.1 pour Identity Manager 4.0.1).

Pilotes compatibles cloud : Identity Manager 4.x propose plusieurs pilotes pour une intégration prête à l'emploi avec SaaS. Les pilotes permettent une intégration transparente avec SaaS et la solution hébergée en fournissant des fonctions telles que le provisioning, le déprovisioning, les processus de requête/d'approbation, les modifications de mot de passe, les mises à jour des profils d'identité et la création de rapports. De nouveaux pilotes SharePoint et Salesforce.com facilitent l'intégration des identités de votre entreprise au sein des applications en nuage. Pour plus d'informations sur les pilotes compatibles cloud, reportez-vous aux manuels Identity Manager 4.0.2 Driver for Salesforce.com Implementation Guide (Guide de mise en oeuvre du pilote Identity Manager 4.0.2 pour Salesforce.com) et Identity Manager 4.0.1 Driver for SharePoint Implementation Guide (Guide de mise en oeuvre du pilote Identity Manager 4.0.1 pour SharePoint).

Coffre-fort d'identité intégré : l'architecture des produits Novell Identity Manager 4.x inclut un coffre-fort d'identité intégré facultatif de sorte qu'il n'est pas nécessaire de créer et de gérer une structure d'annuaire distincte à des fins d'identité. Par ailleurs, les produits Novell Identity Manager 4.x comportent des pilotes qui permettent d'intégrer facilement ce coffre-fort à d'autres espaces de stockage d'informations d'identité de votre entreprise, tels qu'Active Directory ou diverses bases de données. Pour plus d'informations, reportez-vous au Guide du programme d'installation intégré d'Identity Manager 4.0.2.

Gestion simplifiée des rôles et des identités : les produits Novell Identity Manager 4.x simplifient l'intégration de plusieurs espaces de stockage de rôles en un emplacement unique consolidé, de sorte que vous ne devez plus gérer différentes sources d'informations d'identité. À l'aide de l'administrateur de l'assignation de rôles et de sa nouvelle interface intuitive, vous pouvez même assigner des profils et des rôles tiers à Novell Identity Manager 4.x. Pour plus d'informations, reportez-vous au manuel Novell Identity Manager Role Mapping Administrator 4.0.2 User Guide (Guide de l'utilisateur de l'administrateur de l'assignation de rôles Novell Identity Manager 4.0.1).

Outils améliorés : Designer est un outil essentiel qui comprend les informations techniques et métiers permettant de créer une solution Identity Manager adaptée à vos besoins. Designer 4.x a fait l'objet de plusieurs améliorations. Pour consulter la liste des améliorations apportées à Designer, reportez-vous à la rubrique Nouveautés (http://www.novell.com/documentation/designer401/resources/whatsnew/index.html). Pour en savoir plus sur l'administration et les fonctions de Designer, reportez-vous au manuel Designer 4.0.2 for Identity Manager 4.0.2 Administration Guide (Guide d'administration de Designer 4.0.1 pour Identity Manager 4.0.1). Par ailleurs, Identity Manager intègre un outil qui vous permet de simplifier le processus d'analyse et de nettoyage de vos données. Pour plus d'informations, reportez-vous au manuel Analyzer 4.0.2 for Identity Manager Administration Guide (Guide d'administration d'Analyzer 1.2 pour Identity Manager).


http://www.novell.com/documentation/designer401/resources/whatsnew/index.html

3 3Famille Identity Manager

Afin de répondre aux divers besoins des clients, la famille Identity Manager est divisée en 3 groupes de produits différents :

Identity Manager Advanced Edition

Identity Manager Standard Edition

Novell Compliance Management Platform

Identity Manager Advanced Edition intègre les mêmes fonctions qu'Identity Manager Standard Edition, mais aussi des outils supplémentaires. Novell Compliance Management Platform intègre les mêmes fonctions qu'Identity Manager Standard et Advanced Edition, mais aussi des outils supplémentaires.

Figure 3-1 Groupes de produits Identity Manager

Famille Identity Manager 23

Pour une comparaison des fonctions proposées par les versions Standard et Advanced Edition d'Identity Manager, reportez-vous à la comparaison des versions d'Identity Manager (http://www.novell.com/products/identitymanager/features/identitymanager-version-comparison.html).

Section 3.1, « Identity Manager Advanced Edition », page 24

Section 3.2, « Identity Manager Standard Edition », page 24

Section 3.3, « Novell Compliance Management Platform », page 26

Section 3.4, « Activation d'Identity Manager Standard Edition et Advanced Edition », page 27

3.1 Identity Manager Advanced EditionPrincipalement destinée au provisioning des utilisateurs en entreprise, la version Advanced Edition d'Identity Manager 4.0.2 inclut l'intégralité des fonctions proposées par le produit. Elle comprend les fonctions de self-service d'identité de la version Standard Edition, ainsi que l'ensemble des fonctions de provisioning basé sur le workflow. La version Advanced Edition permet d'initier des processus d'approbation de workflow, d'affecter des rôles et des ressources aux utilisateurs et de bénéficier des fonctions de conformité. Elle inclut également le tableau de bord de travail.

Identity Manager 4.0.2 Advanced Edition est disponible sous forme d'image ISO distincte.

Remarque : une version d'évaluation de 90 jours d'Identity Manager 4.0.2 Advanced Edition est disponible.

3.2 Identity Manager Standard EditionAfin de répondre aux différents besoins des clients, Novell a introduit Identity Manager 4.0.2 Standard Edition. Cette version intègre une partie des fonctions disponibles dans la version Advanced Edition.

Identity Manager Standard Edition continue toutefois d'offrir toutes les fonctions qui étaient déjà présentes dans les versions précédentes d'Identity Manager :

Synchronisation des identités

Provisioning automatique basé sur les rôles

Gestion et self-service de mots de passe

Self-service d'identité avec fonctionnalités existantes de pages blanches et de création de tableaux organisationnels

Remarque : les modules d'intégration pour Identity Manager Standard Edition et Advanced Edition restent les mêmes.

Outre les fonctions listées ci-dessus, la version Standard Edition inclut également les fonctions suivantes de la version Advanced Edition :

Apparence de l'interface utilisateur

Module de création de rapports

Structure de création de paquetages de contenu

Prise en charge des API REST et de l'authentification Single Sign-On (SSO)

Outil Analyzer pour l'actualisation


Identity Manager 4.0.2 Standard Edition peut être téléchargé sous forme d'image ISO distincte. Pour effectuer la mise à niveau de la version Standard Edition vers la version Advanced Edition, utilisez l'image ISO Identity Manager Advanced Edition. Cette opération nécessite toutefois l'application de l'activation adéquate. Pour plus d'informations sur la mise à niveau de la version Standard Edition vers la version Advanced Edition, reportez-vous au manuel Identity Manager 4.0.2 Upgrade and Migration Guide (Guide de mise à niveau et de migration d'Identity Manager 4.0.1).

Vous ne pouvez pas utiliser une image ISO Identity Manager Standard Edition pour passer d'une version Advanced Edition à une version Standard Edition. Pour ce faire, vous devez désinstaller la version Advanced Edition de votre serveur avant d'installer l'image ISO Standard Edition à partir du support d'Identity Manager.

La fonctionnalité suivante n'est pas disponible dans la version Standard Edition d'Identity Manager :

L'administrateur de l'assignation de rôles n'est pas disponible.

Les limitations suivantes s'appliquent à l'application utilisateur :

Seul l'onglet Self-service d'identité est accessible aux utilisateurs : dans la version Standard Edition, si vous vous loguez à l'application utilisateur en tant qu'utilisateur normal, vous ne pouvez accéder qu'à l'onglet Self-service d'identité. En revanche, si vous vous loguez en tant qu'administrateur de l'application utilisateur, vous pouvez également accéder à l'onglet Administration.

Les rôles et les ressources ne sont pas pris en charge : la version Advanced Edition est nécessaire pour pouvoir utiliser les rôles et les ressources. L'onglet Rôles et ressources n'est pas disponible dans la version Standard Edition.

L'onglet Conformité n'est pas pris en charge : pour pouvoir accéder à l'onglet Conformité, vous devez disposer de la version Advanced Edition d'Identity Manager 4.0.2. L'onglet Conformité n'est pas disponible dans la version Standard Edition.

Le tableau de bord de travail n'est pas disponible : l'onglet Tableau de bord de travail n'est pas disponible dans la version Standard Edition.

Les rôles personnalisés ne sont pas pris en charge : il n'est pas possible de définir des rôles personnalisés. Seuls les rôles système sont pris en charge par la version Standard Edition.

Les workflows ne sont pas pris en charge : il n'est pas possible d'initier des workflows d'approbation.

API REST : Les API REST relatives aux rôles, ressources et workflows ne disposent pas de licences pour une utilisation avec Identity Manager Standard Edition. Les API REST de self-service de mot de passe disposent d'une licence en vue d'une utilisation avec la version Standard Edition.

Le modèle de sécurité est simplifié : dans la version Standard Edition, le modèle de sécurité s'exécute à un niveau granulaire afin d'éviter l'utilisation fortuite des fonctions de la version Advanced Edition. Vous ne devez assigner que les rôles d'administrateur suivants :

Administrateur de l'application utilisateur : cet administrateur est autorisé à exécuter toutes les fonctions de gestion relatives à l'application utilisateur Identity Manager. Il peut notamment accéder à l'onglet Administration de l'interface utilisateur Identity Manager pour y lancer toute opération d'administration prise en charge.

Administrateur de rapports : cet utilisateur peut accéder à toutes les fonctionnalités du domaine Création de rapports. L'administrateur de la création de rapports peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Création de rapports.


Administrateur de la sécurité : ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité. L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Ce rôle pouvant déléguer et octroyer aux utilisateurs l'accès à toutes les fonctions d'Identity Manager Advanced Edition, il est séparé des rôles d'administration de l'application utilisateur et de la création de rapports.

Remarque : à des fins de tests, Novell ne verrouille pas le modèle de sécurité dans la version Standard Edition. Par conséquent, l'administrateur de la sécurité peut assigner tous les administrateurs de domaine, des administrateurs délégués, ainsi que d'autres administrateurs de la sécurité. Toutefois, comme stipulé dans l'Accord de Licence d'Utilisateur Final, l'utilisation de ces fonctions avancées n'est pas prise en charge dans les environnements de production, où toutes les assignations d'administrateur sont limitées par les licences. Novell peut recueillir des données de surveillance dans la base de données d'audit afin de vérifier que les environnements de production sont conformes. Par ailleurs, Novell recommande de n'octroyer les autorisations de l'administrateur de la sécurité qu'à un seul utilisateur.

Pour plus d'informations sur les fonctions de l'application utilisateur, reportez-vous au manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).

Les limitations suivantes s'appliquent au module Identity Reporting :

Le pilote de passerelle système gérée est désactivé : le pilote de passerelle système gérée peut extraire des informations de n'importe quel système géré activé pour la collecte de données dans Identity Manager 4.0 et versions ultérieures, pour autant qu'il prenne en charge les droits.

Ce pilote est désactivé dans Identity Manager Standard Edition.

Les rapports affichent uniquement les données du coffre-fort d'identité : les rapports générés par Identity Manager Standard Edition affichent uniquement les données du coffre-fort d'identité et ne reprennent aucune information concernant les systèmes (connectés) gérés.

Les rapports n'affichent pas de données historiques : la version Standard Edition ne permet pas de collecter des données d'état historiques pour la création de rapports. Seules les données d'état actuelles peuvent être consultées.

Certains rapports ne sont pas disponibles : Plusieurs nouveaux rapports ont été ajoutés dans Identity Manager 4.0 et les versions ultérieures. La version Standard Edition n'inclut pas de rapports applicables au système connecté et aux données historiques.

Certains rapports ne contiennent aucune donnée : certains rapports ne sont pertinents que si vous disposez d'Identity Manager Advanced Edition, dans la mesure où ces rapports utilisent des données non disponibles dans la version Standard Edition, telles que les rôles, les resources et les processus de workflow.

3.3 Novell Compliance Management PlatformNovell Compliance Management Platform associe aux produits Novell de gestion des identités, des accès et de la sécurité, un ensemble d'outils éprouvés qui simplifient l'implémentation et l'administration de la solution. Cette plate-forme offre une vue globale en temps réel de tous les événements du réseau à l'échelle d'une entreprise. Pour ce faire, elle fusionne les informations relatives aux identités et aux accès avec la technologie de gestion des informations et événements de sécurité. Cette intégration étroite permet de disposer de puissantes fonctions de gestion des risques


afin que la politique de l'entreprise devienne une pratique informatique automatisée. Pour plus d'informations, reportez-vous au site Web de Novell Compliance Management Platform (http://www.novell.com/documentation/ncmp10/).

3.4 Activation d'Identity Manager Standard Edition et Advanced EditionIdentity Manager Advanced Edition et Standard Edition doivent être activés dans les 90 jours à compter de l'installation, faute de quoi ils ne fonctionneront plus. Les fichiers ISO d'Identity Manager Advanced Edition et Standard Edition sont entièrement opérationnels durant 90 jours. À n'importe quel moment au cours de ces 90 jours, ou ultérieurement, vous pouvez choisir d'activer les produits Identity Manager. Pour plus d'informations, reportez-vous à la section « Activation des produits Novell Identity Manager » du Guide d'installation de la structure d'Identity Manager 4.0.2.

Si vous appliquez une activation Standard Edition à un système Advanced Edition non activé existant, le serveur méta-annuaire et les pilotes cessent de fonctionner.

Remarque : si vous possédez les deux versions d'Identity Manager, assurez-vous d'utiliser l'activation appropriée en fonction du serveur.


4 4Architecture d'Identity Manager

Le diagramme suivant illustre les composants d'architecture de haut niveau qui fournissent les fonctionnalités de Novell Identity Manager présentées dans le Chapitre 1, « Identity Manager et l'automatisation des processus d'entreprise », page 7 : synchronisation des données, workflow, rôles, attestation, self-service, audit et création de rapports.

Figure 4-1 Architecture d'Identity Manager

Architecture d'Identity Manager 29

Chaque composant est présenté dans les sections suivantes :

Section 4.1, « Synchronisation des données », page 30

Section 4.2, « Workflow, rôles, attestation et self-service », page 34

Section 4.3, « Audit et création de rapports », page 37

4.1 Synchronisation des donnéesLa synchronisation des données constitue le fondement de l'automatisation des processus de l'entreprise. Sous sa forme la plus simple, la synchronisation correspond au mouvement des données dont un élément a été modifié de l'emplacement de la modification vers les autres emplacements où cet élément est requis. Par exemple, si le numéro de téléphone d'un employé est modifié dans le système des ressources humaines d'une entreprise, cette modification doit apparaître automatiquement dans tous les autres systèmes qui stockent le numéro de téléphone de cet employé.

Identity Manager ne se limite pas à la synchronisation des données d'identité. Identity Manager peut synchroniser n'importe quel type de donnée stockée dans l'application connectée ou dans le coffre-fort d'identité.

La synchronisation des données, notamment celle des mots de passe, est effectuée par les cinq composants de base de la solution Identity Manager : le coffre-fort d'identité, le moteur Identity Manager, les pilotes, le chargeur distant et les applications connectées. Ces composants sont présentés dans le diagramme ci-dessous.


Figure 4-2 Composants de l'architecture Identity Manager

Les sections suivantes décrivent chacun de ces composants et expliquent les concepts que vous devez comprendre pour obtenir une synchronisation efficace entre les systèmes de votre organisation :

Section 4.1.1, « Composants », page 31

Section 4.1.2, « Principaux concepts », page 32

4.1.1 Composants

Coffre-fort d'identité : il sert de méta-annuaire pour les données à synchroniser entre les applications. Par exemple, les données synchronisées d'un système PeopleSoft vers Lotus Notes sont d'abord ajoutées au coffre-fort d'identité, puis envoyées au système Lotus Notes. Par ailleurs, le coffre-fort d'identité stocke les informations spécifiques à Identity Manager, telles que la configuration, les paramètres et les stratégies des pilotes. Novell eDirectory est utilisé pour le coffre-fort d'identité.


Moteur Identity Manager : il traite les modifications apportées aux données du coffre-fort d'identité ou d'une application connectée. Quant aux événements qui se produisent dans le coffre-fort d'identité, le moteur traite leurs modifications et émet des commandes vers l'application via le pilote. Si des événements se produisent dans l'application, le moteur reçoit les modifications du pilote, les traite et émet des commandes vers le coffre-fort d'identité. Le moteur Identity Manager est également désigné sous le terme moteur méta-annuaire.

Pilote : les pilotes se connectent aux applications dont vous voulez gérer les informations d'identité. Un pilote remplit deux fonctions principales : signaler au moteur Identity Manager les modifications apportées aux données (événements) dans l'application et exécuter les modifications de données (commandes) soumises par ce moteur à l'application.

Chargeur distant : les pilotes doivent être installés et exécutés sur le même serveur que l'application à laquelle ils se connectent. Si l'application se trouve sur le même serveur que le moteur Identity Manager, il suffit d'y installer le pilote. Toutefois, si ce n'est pas le cas (en d'autres termes, si l'application est distante du serveur du moteur au lieu d'être locale), vous devez installer le pilote et le chargeur distant sur le serveur de l'application. Le chargeur distant charge le pilote et communique avec le moteur Identity Manager pour le compte du pilote.

Application : système, annuaire, base de données ou système d'exploitation auquel un pilote se connecte. L'application doit fournir des API permettant au pilote de déterminer les modifications apportées à ses données et les rendre effectives. Les applications sont souvent appelées systèmes connectés.

4.1.2 Principaux concepts

Canaux : les données circulent entre le coffre-fort d'identité et un système connecté le long de deux canaux distincts. Le canal Abonné assure la circulation des données du coffre-fort d'identité vers un système connecté ; en d'autres termes, le système connecté s'abonne aux données du coffre-fort d'identité. Le canal Éditeur assure la circulation des données d'un système connecté vers le coffre-fort d'identité ; en d'autres termes, le système connecté publie les données dans le coffre-fort d'identité.

Représentation des données : les données circulent dans les canaux sous la forme de documents XML. Un document XML est créé lorsqu'une modification est apportée dans le coffre-fort d'identité ou dans le système connecté. Il est transmis au moteur Identity Manager qui le traite par l'intermédiaire de l'ensemble de filtres et de stratégies associé au canal du pilote. Lorsque tous les traitements ont été appliqués au document XML, ce dernier est utilisé par le moteur Identity Manager pour lancer les modifications appropriées dans le coffre-fort d'identité (canal Éditeur) ou par le pilote pour lancer les modifications appropriées sur le système connecté (canal Abonné).

Manipulation des données : lorsque les documents XML circulent dans les canaux du pilote, leurs données sont soumises aux stratégies associées aux canaux.

Ces stratégies permettent beaucoup de choses, notamment le changement des formats de données, l'assignation d'attributs entre le coffre-fort d'identité et le système connecté, le blocage conditionnel du flux des données, la génération des notifications par message électronique et la modification du type de modification des données.

Contrôle du flux de données : les filtres, ou stratégies de filtre, contrôlent le flux des données. Ils précisent les éléments de données synchronisés entre le coffre-fort d'identité et le système connecté. Par exemple, les données de l'utilisateur sont généralement synchronisées entre les systèmes. Par conséquent, les données de l'utilisateur sont répertoriées dans le filtre pour la plupart des systèmes connectés. Toutefois, les imprimantes ne présentent généralement pas d'intérêt pour la plupart des applications, c'est pourquoi les données correspondantes n'apparaissent pas dans le filtre de la plupart des systèmes connectés.


Chaque relation entre le coffre-fort d'identité et un système connecté possède deux filtres : un filtre sur le canal Abonné qui contrôle le flux des données du coffre-fort d'identité vers le système connecté, et un filtre sur le canal Éditeur qui contrôle le flux des données du système connecté vers le coffre-fort d'identité.

Sources expertes : la plupart des éléments de données associés à l'identité ont un propriétaire conceptuel. Le propriétaire d'un élément de données est considéré comme la source experte de l'élément. En général, seule la source experte d'un élément de données est autorisée à le modifier.

Le système de messagerie de l'entreprise, par exemple, est généralement considéré comme source experte de l'adresse électronique d'un employé. Si un administrateur de l'annuaire des pages blanches de l'entreprise change l'adresse électronique d'un employé dans ce système, ce changement n'a pas d'effet sur le fait que l'employé reçoive ou non un message électronique à l'adresse modifiée car cette modification doit être faite dans le système de messagerie pour être effective.

Identity Manager utilise des filtres pour indiquer les sources expertes des éléments. Par exemple, si le filtre de la relation entre le système PBX et le coffre-fort d'identité permet au numéro de téléphone d'un employé de circuler du système PBX jusqu'au coffre-fort d'identité mais pas du coffre-fort d'identité au système PBX, ce dernier est la source experte du numéro de téléphone. Si toutes les autres relations du système connecté permettent au numéro de téléphone de circuler du coffre-fort d'identité aux systèmes connectés, mais pas l'inverse, le résultat est que le système PBX est la seule source experte des numéros de téléphones des employés de l'entreprise.

Provisioning automatique : il représente la capacité d'Identity Manager à générer des opérations de provisioning de l'utilisateur autres que la simple synchronisation des éléments de données.

Par exemple, pour un système Identity Manager classique dans lequel la base de données des ressources humaines est la source experte de la plupart des données des employés, l'ajout d'un employé à cette base de données déclenche la création automatique du compte correspondant dans le coffre-fort d'identité. La création du compte du coffre-fort d'identité déclenche à son tour la création automatique du compte de messagerie de l'employé dans le système de messagerie. Les données utilisées pour provisionner le compte du système de messagerie sont obtenues à partir du coffre-fort d'identité et peuvent inclure le nom, l'adresse, le numéro de téléphone de l'employé, etc.

Le provisioning automatique des comptes, de l'accès et des données peut être contrôlé de plusieurs manières :

Valeurs des éléments de données : la création automatique d'un compte dans la base de données d'accès de différents bâtiments peut être contrôlée, par exemple, par une valeur définie dans l'attribut d'emplacement d'un employé.

Workflows d'approbation : la création d'un employé dans le service financier peut, par exemple, déclencher un message électronique automatique adressé au directeur de ce service pour demander l'approbation du compte du nouvel employé dans le système financier. Le message électronique contient un lien vers une page Web dans laquelle le directeur du service financier peut approuver ou rejeter cette demande. L'approbation peut ensuite déclencher la création automatique du compte de l'employé dans le système financier.

Assignations de rôles : prenons l'exemple d'un employé se voyant attribuer le rôle de comptable. Identity Manager provisionne l'employé avec tous les comptes, accès et données assignés au rôle de comptable, par l'intermédiaire des workflows du système (sans intervention humaine), via par des flux d'approbation humains, ou par une combinaison des deux.

Droits : il s'agit des ressources dans les systèmes connectés, par exemple un compte ou l'appartenance à un groupe. Lorsqu'un utilisateur satisfait les critères établis pour un droit dans un système connecté, Identity Manager traite un événement relatif à l'utilisateur qui se voit ainsi accorder l'accès à la ressource. Bien entendu, cela nécessite que toutes les stratégies soient en place


pour permettre l'accès à la ressource. Par exemple, si un utilisateur remplit les critères d'un compte Exchange dans Active Directory, le moteur Identity Manager traite l'utilisateur par l'intermédiaire de l'ensemble des stratégies de pilote Active Directory qui fournissent un compte Exchange.

Le principal avantage des droits tient à ce que vous pouvez définir la logique métier nécessaire à l'accès à une ressource dans un droit plutôt que dans plusieurs stratégies de pilote. Vous pouvez, par exemple, définir un droit de compte donnant à un utilisateur un compte dans quatre systèmes connectés. La décision de fournir ou non un compte à un utilisateur est déterminée par le droit, ce qui signifie qu'il n'est pas nécessaire que les stratégies pour chacun des quatre pilotes incluent la logique métier. Il suffit, au lieu de cela, que les stratégies fournissent le mécanisme pour accorder le compte. Si vous devez effectuer un changement de logique métier, vous le faites dans le droit plutôt que dans chaque pilote.

Travaux : pour une grande part, Identity Manager agit en réponse au modifications des données ou aux demandes des utilisateurs. Par exemple, lorsqu'un élément de donnée change dans un système, Identity Manager change l'élément correspondant dans les autres systèmes. Ou encore, lorsqu'un utilisateur demande l'accès à un système, Identity Manager lance les processus appropriés (workflows, provisioning de ressource, etc.) pour fournir l'accès.

Les travaux permettent à Identity Manager d'effectuer les opérations qui ne sont pas initiées par des modifications de données ou des demandes d'utilisateur. Un travail est constitué des données de configuration stockées dans le coffre-fort d'identité et d'une portion correspondante du code d'implémentation. Identity Manager comporte des travaux prédéfinis qui effectuent des opérations telles que le démarrage ou l'arrêt de pilotes, l'envoi de notifications par message électronique en cas d'expiration de mots de passe et la vérification de l'état de santé des pilotes. Vous pouvez également implémenter des travaux personnalisés pour effectuer d'autres opérations ; un travail personnalisé exige que vous (ou bien un développeur ou un consultant) créiez le code requis pour effectuer l'opération désirée.

Bons de travail : les modifications apportées aux données du coffre-fort d'identité ou d'une application connectée sont généralement traitées immédiatement. Les bons de travail permettent de planifier les tâches devant être effectuées à une date et une heure donnée. Par exemple, un nouvel employé a été embauché mais le début de son activité n'est pas prévu avant un mois. Il faut ajouter cet employé à la base de données des ressources humaines mais ne pas lui donner accès aux ressources de l'entreprise (messagerie, serveurs, etc.) avant la date de sa prise de fonction. Sans bon de travail, l'accès par l'utilisateur serait immédiat. Si vous avez implémenté les bons de travail, un bon de travail est créé pour ne démarrer le provisioning du compte qu'à la date prévue.

4.2 Workflow, rôles, attestation et self-serviceIdentity Manager met à disposition une application spécialisée, l'application utilisateur, qui permet les workflows d'approbation, l'assignation des rôles, l'attestation et le self-service d'identité.

L'application utilisateur standard est incluse avec Identity Manager. Elle offre le self-service du mot de passe pour aider les utilisateurs à mémoriser ou à réinitialiser les mots de passe oubliés, des organigrammes pour gérer les informations dans les annuaires d'utilisateurs, des fonctionnalités de gestion des utilisateurs permettant la création d'utilisateurs dans le coffre-fort d'identité, ainsi qu'un self-service d'identité de base incluant la gestion des informations des profils utilisateur.

Le module de provisioning basé sur les rôles de l'application utilisateur fait partie d'Identity Manager 4.0.2 Advanced Edition. Il inclut une application utilisateur standard proposant des fonctions avancées de self-service, de workflow d'approbation, de provisioning basé sur les rôles, de contraintes de séparation des tâches et d'attestation. Identity Manager 4.0.2 Advanced Edition contient à la fois les fonctions standard et celles du module RBPM.


Figure 4-3 Application utilisateur Identity Manager

Les sections suivantes offrent des descriptions de chacun de ces composants et expliquent les concepts que vous devez comprendre pour les implémenter et les gérer efficacement :

Section 4.2.1, « Composants », page 35

Section 4.2.2, « Principaux concepts », page 36

4.2.1 Composants

Application utilisateur : il s'agit d'une application basée sur navigateur offrant aux utilisateurs et aux administrateurs la possibilité d'effectuer un grand nombre de tâches de self-service d'identité et de provisioning de rôle, notamment la gestion des mots de passe et des données d'identité, le démarrage et le suivi des requêtes de provisioning et d'assignation de rôle, la gestion du processus


d'approbation des requêtes de provisioning, ainsi que la vérification des rapports d'attestation. Elle inclut le moteur de workflow qui permet l'acheminement des requêtes tout au long du processus d'approbation approprié.

Pilote d'application utilisateur : il stocke les informations de configuration et notifie l'application utilisateur chaque fois qu'un changement se produit dans le coffre-fort d'identité. Il peut également être configuré pour permettre à des événements du coffre-fort d'identité de déclencher des workflows et de signaler le succès ou l'échec d'une activité de provisioning d'un workflow à l'application utilisateur afin que les utilisateurs puissent consulter l'état final de leurs demandes.

Pilote de service de rôle et de ressource: il démarre les workflows pour les requêtes d'assignation de rôle et de ressource nécessitant une approbation et gère toutes les assignations de rôles et de ressources, ainsi que les assignations de rôles indirectes en fonction de leur appartenance à un groupe ou à un conteneur. Le pilote a également deux autres fonctions : accorder et retirer les droits utilisateur en fonction de l'appartenance à un rôle, mais aussi réaliser des procédures de nettoyage pour les requêtes qui ont été menées à bien.

4.2.2 Principaux concepts

Provisioning basé sur le workflow : il permet aux utilisateurs de demander l'accès aux ressources. Les requêtes de provisioning sont acheminées par l'intermédiaire d'un workflow prédéfini qui peut inclure l'approbation d'une ou plusieurs personnes. Si toutes les approbations sont accordées, l'utilisateur reçoit l'accès à la ressource. Les requêtes de provisioning peuvent également être initiées de façon indirecte, en réponse à des événements qui se produisent dans le coffre-fort d'identité. L'ajout d'un utilisateur à un groupe, par exemple, peut initier une requête visant à donner à l'utilisateur l'accès à une ressource particulière.

Provisioning basé sur les rôles : il permet aux utilisateurs de recevoir l'accès à des ressources spécifiques en fonction des rôles qui leur sont assignés. Les utilisateurs peuvent se voir assigner un ou plusieurs rôles. Si une assignation de rôle requiert une approbation, la demande d'assignation démarre un workflow.

Séparation des tâches : pour empêcher les utilisateurs d'être assignés à des rôles en conflit, le module de provisioning basé sur le rôle de l'application utilisateur propose une fonction de séparation des tâches. Vous pouvez établir des contraintes de séparation des tâches qui définissent les rôles considérés comme étant en conflit. Lorsque des rôles sont en conflit, les approbateurs de séparation des tâches peuvent approuver ou refuser les exceptions aux contraintes. Les exceptions approuvées sont enregistrées sous la forme de violations de la séparation des tâches et peuvent être consultées par l'intermédiaire du processus d'attestation décrit ci-dessous.

Gestion des rôles : elle doit être effectuée par les personnes assignées aux rôles système Administrateur du module de rôles et Gestionnaire de rôles.

L'administrateur du module de rôles crée ou supprime les rôles et modifie les rôles existants, modifie les relations entre les rôles, accorde ou annule les assignations de rôles pour les utilisateurs et crée, modifie et supprime les contraintes de séparation des tâches.

Le gestionnaire de rôles dispose des même fonctions que l'administrateur du module de rôles à l'exception de la gestion des contraintes de séparation des tâches, de la configuration du système de rôles et de la possibilité d'exécuter tous les rapports. De plus, si l'administrateur du module de rôles dispose d'une étendue illimitée au sein du système de rôles, l'étendue du gestionnaire de rôles est limitée à des utilisateurs, des groupes et des rôles bien spécifiques.


Attestation : les assignations de rôle déterminent l'accès des utilisateurs aux ressources au sein de votre organisation. Les assignations incorrectes risquent de compromettre les réglementations de l'entreprise et les réglementations nationales. Identity Manager vous aide à valider la justesse de vos assignations de rôle par l'intermédiaire d'un processus d'attestation. Grâce à ce processus, les utilisateurs peuvent valider leurs propres informations de profil et les gestionnaires de rôles valider les assignations de rôle et les violations de séparation des tâches.

4.3 Audit et création de rapportsLes fonctions d'audit et de création de rapports sont assurées par le module Identity Reporting, une nouvelle composante d'Identity Manager 4.0.2, comme l'indique le diagramme suivant.

Figure 4-4 Audit et création de rapports Identity Manager


Le module Identity Reporting génère des rapports qui fournissent des informations essentielles sur divers aspects de votre configuration Identity Manager, notamment les données collectées auprès de coffres-forts d'identité et de systèmes gérés tels qu'Active Directory ou SAP. Pour gérer les données, le module Identity Reporting utilise les composants suivants :

Service d'audit d'événements : service qui capture les événements de journal associés aux opérations réalisées dans le module de créations de rapports, telles que l'importation, la modification, la suppression ou la planification d'un rapport. Le service d'audit d'événements EAS capture les événements de journal associés aux opérations effectuées au sein du module de provisioning basé sur les rôles (RBPM) et de l'administrateur d'assignation de rôles (RMA).

Entrepôt d'informations d'identité : espace de stockage pour les informations des types suivants.

Informations de gestion de rapports (telles que les rapports terminés ainsi que les définitions et les planifications de rapports), vues de base de données utilisées pour la création de rapports et informations de configuration.

Données d'identité recueillies par le collecteur de données de rapports, le collecteur de données d'événements et le collecteur de données d'applications non gérées.

Données d'audit, qui incluent les événements collectés par le service d'audit d'événements.

L'entrepôt d'informations d'identité stocke ses données dans la base de données SIEM (Security Information and Event Management).

Service de collecte de données : service qui recueille des informations de plusieurs sources au sein d'une organisation. Le service de collecte de données comporte trois sous-services :

Collecteur de données de rapports : utilise un modèle d'extraction pour récupérer des informations d'une ou de plusieurs sources de données de coffre-fort d'identité. La collecte s'exécute de manière périodique, selon un ensemble de paramètres de configuration. Pour récupérer les données, le collecteur fait appel au pilote de passerelle système gérée.

Collecteur de données d'événements : utilise un modèle de distribution pour rassembler les données d'événements capturées par le pilote du service de collecte de données.

Collecteur de données d'applications non gérées : récupère les données d'une ou de plusieurs applications non gérées en appelant un noeud d'extrémité REST écrit spécifiquement pour chaque application. Les applications non gérées sont des applications de votre entreprise qui ne sont pas connectées au coffre-fort d'identité. Pour plus d'informations, reportez-vous à la section « REST Services for Reporting » (Services REST pour la création de rapports) du manuel Identity Reporting Module Guide (Guide du module Identity Reporting).

Pilote du service de collecte de données : pilote qui capture les modifications apportées aux objets stockés dans un coffre-fort d'identité, tels que les comptes, rôles, ressources, groupes et adhésions à des équipes. Le pilote du service de collecte de données s'enregistre lui-même auprès du service de collecte de données et distribue à ce dernier les événements de modification (tels que la synchronisation de données et l'ajout, la modification ou la suppression d'événements).

Les informations capturées enregistrent les modifications apportées aux objets suivants :

Identités et comptes utilisateur

Rôles et niveaux de rôles

Groupes

Remarque : le module de création de rapports ne prend pas en charge les groupes dynamiques et génère uniquement des rapports sur des données de groupes statiques.


Adhésions à des groupes

Définitions de requêtes de provisioning

Définitions et violations de séparations de tâches

Associations de droits d'utilisateur

Définitions et paramètres de ressources

Assignations de rôles et de ressources

Droits de coffre-fort d'identité, types de droits et pilotes

Pilote de passerelle système gérée : pilote qui collecte des informations des systèmes gérés. Pour récupérer les données des systèmes gérés, le pilote interroge le coffre-fort d'identité. Les données récupérées incluent les éléments suivants :

Liste de tous les systèmes gérés

Liste de tous les comptes des systèmes gérés

Types de droits, valeurs et assignations, ainsi que profils de compte utilisateur pour les systèmes gérés

Création de rapports Identity : l'interface utilisateur du module de création de rapports permet de planifier facilement l'exécution des rapports aux heures creuses de manière à optimiser les performances. Pour plus d'informations sur le module Identity Reporting, reportez-vous au manuel Identity Reporting Module Guide (Guide du module Identity Reporting).

Rapports : Identity Manager contient des rapports prédéfinis qui permettent d'afficher les informations de l'entrepôt d'informations d'identité de manière pratique. Vous pouvez toutefois aussi créer des rapports personnalisés. Pour plus d'informations sur les rapports, reportez-vous au manuel Using Identity Manager 4.0.2 Reports (Utilisation des rapports Identity Manager 4.0). Pour des informations concernant les rapports personnalisés, reportez-vous à la section « Creating Custom Report Definitions » (Création de définitions de rapports personnalisés) du manuel Identity Reporting Module Guide (Guide du module Identity Reporting).

Noeud d'extrémité REST d'application non gérée : une application non gérée est une application qui n'est pas connectée à un coffre-fort d'identité, mais qui contient des données que vous souhaitez reprendre dans des rapports. Si vous définissez un noeud d'extrémité REST pour une application, vous permettez au module de création de rapports de collecter des données auprès de cette dernière.

API d'intégration : le module Identity Reporting fournit un ensemble d'API REST qui permettent d'implémenter un noeud d'extrémité REST pour une application non gérée, ainsi que de créer une application de création de rapports personnalisée.


5 5Outils d'Identity Manager

Identity Manager fournit des outils qui vous aident à créer et tenir à jour votre solution Identity Manager. Chacun remplit une fonction spécifique.

Figure 5-1 Outils d'Identity Manager

Outils d'Identity Manager 41

Designer permet de concevoir, de créer et de configurer votre système Identity Manager dans un environnement hors ligne, puis de déployer vos modifications dans votre système en ligne. Designer fournit également les fonctions de gestion de paquetages pour la préconfiguration et la personnalisation des stratégies de pilote Identity Manager. Analyzer permet, lors de la création de votre solution Identity Manager, d'analyser, de nettoyer et de préparer vos données à des fins de synchronisation.

L'administrateur d'assignation de rôles permet de créer et de gérer les rôles dans l'ensemble de votre solution Identity Manager.

iManager permet d'effectuer les mêmes tâches que Designer, ainsi que de contrôler l'état de santé de votre système, mais il ne prend pas en charge la gestion des paquetages. Il est conseillé d'utiliser iManager pour les tâches d'administration et Designer pour les tâches de configuration qui nécessitent la modification de paquetages, une modélisation et des tests avant déploiement.

Vous trouverez plus d'informations sur chacun de ces outils dans les sections suivantes :

Section 5.1, « Analyzer », page 42

Section 5.2, « Designer », page 43

Section 5.3, « iManager », page 45

Section 5.4, « Administrateur d'assignation de rôles », page 45

Section 5.5, « Identity Reporting », page 46

5.1 AnalyzerAnalyzer est un ensemble d'outils de gestion des identités basé sur Eclipse qui contribue à garantir le respect des stratégies de qualité des données internes, et ce par le biais de l'analyse, du nettoyage, du rapprochement et de la surveillance des données, ainsi que par la création de rapports. Analyzer permet d'analyser, d'optimiser et de contrôler toutes les zones de stockage de données de l'entreprise.


Figure 5-2 Analyzer pour Identity Manager

5.2 DesignerDesigner est un outil basé sur Eclipse qui vous aide à concevoir, déployer et documenter votre système Identity Manager. L' interface graphique de Designer permet de concevoir et de tester votre système dans un environnement hors ligne, de déployer ce système dans votre environnement de production, et de documenter tous les détails de votre système déployé.


Figure 5-3 Designer pour Identity Manager

Conception : Designer dispose d'une interface graphique qui permet de modeler votre système. Cela inclut des vues qui permettent de créer et de contrôler les connexions entre Identity Manager et les applications, de configurer les stratégies et de manipuler la manière dont les données circulent entre les applications connectées.

Déploiement : le travail que vous effectuez dans Designer n'est déployé sur votre environnement de production que si vous initiez le déploiement. Cela donne la liberté d'expérimenter, de tester les résultats et de résoudre les problèmes avant de mettre en ligne votre environnement de production.

Documentation : vous pouvez générer une documentation complète illustrant la hiérarchie de vos systèmes, la configuration des pilotes, la configuration des stratégies, etc. Vous disposez de toutes les informations nécessaires pour comprendre les aspects techniques de votre système et pouvez en vérifier la conformité avec les règles et les stratégies de votre entreprise.


5.3 iManagerNovell iManager est un outil basé sur un navigateur qui offre un point d'administration unique pour un grand nombre de produits Novell, notamment Identity Manager. En utilisant les plug-ins d'Identity Manager pour iManager, vous pouvez gérer Identity Manager et recevoir des informations en temps réel sur la santé et l'état de votre système Identity Manager.

Figure 5-4 Novell iManager

5.4 Administrateur d'assignation de rôles L'administrateur d'assignation de rôles est un service Web qui découvre les autorisations pouvant être octroyées au sein de vos principaux systèmes informatiques. Il permet aux administrateurs informatiques mais aussi aux analystes d'entreprise de définir et gérer les autorisations associées aux différents rôles.


Figure 5-5 Administrateur d'assignation de rôles

5.5 Identity ReportingLe module Identity Reporting génère des rapports qui fournissent des informations essentielles sur divers aspects de votre configuration Identity Manager, notamment les données collectées auprès de coffres-forts d'identité et de systèmes gérés tels qu'Active Directory ou SAP. Le module de création de rapports comprend un ensemble de définitions de rapport prédéfinies que vous pouvez utiliser pour générer des rapports. En outre, il permet d'importer des rapports personnalisés définis dans un outil tiers. L'interface utilisateur du module de création de rapports permet de planifier facilement l'exécution des rapports aux heures creuses de manière à optimiser les performances.


Figure 5-6 Module Identity Reporting

Le module de création de rapports fournit plusieurs points d'intégration ouverts. Par exemple, si vous souhaitez collecter des données concernant des applications tierces non connectées à Identity Manager, vous pouvez implémenter un noeud d'extrémité REST personnalisé afin de recueillir des informations de ces applications. En outre, vous pouvez personnaliser les données distribuées au coffre-fort d'identité. Une fois ces données disponibles, vous pouvez écrire des rapports personnalisés pour les consulter.


6 6Opérations d'Identity Manager

Identity Manager compte quatre composants principaux :

le moteur Identity Manager qui fournit la structure ;

les stratégies d'Identity Manager qui contrôlent l'assignation des attributs et des classes ainsi que la concordance et la création des entrées ;

les filtres d'événements qui contrôlent la direction de la synchronisation de données ;

le module d'interface pilote d'Identity Manager qui sert d'interface entre l'application et le moteur Identity Manager.

Cette section contient une présentation rapide des processus et opérations d'Identity Manager. Elle n'aborde pas l'architecture d'Identity Manager. Vous trouverez les premières explications à ce sujet au Chapitre 4, « Architecture d'Identity Manager », page 29. Pour obtenir des informations détaillées sur l'architecture d'Identity Manager, reportez-vous à la documentation destinée aux développeurs .

Vous devez lire les sections suivantes dans l'ordre afin de comprendre le flux d'événements ainsi que les processus appliqués aux événements dans Identity Manager et le système connecté.

Section 6.1, « Coffre-fort d'identité », page 50

Section 6.2, « Module d'interface », page 52

Section 6.3, « Canaux », page 53

Section 6.4, « Événements et commandes », page 53

Section 6.5, « Stratégie d'assignation de schéma », page 54

Section 6.6, « Règle de transformation de l'événement », page 54

Section 6.7, « Filtre », page 55

Section 6.8, « Processeur d'ajout », page 57

Section 6.9, « Règle de concordance », page 58

Section 6.10, « Règle de création », page 58

Section 6.11, « Règle de placement », page 59

Section 6.12, « Règle de transformation de commande », page 60

Section 6.13, « Règles, stratégies et feuilles de style », page 61

Opérations d'Identity Manager 49

http://www.novell.com/documentation/developer/dirxml/?page=/documentation/developer/dirxml/dirxmlbk/data/a6bc27i.html

6.1 Coffre-fort d'identitéLe coffre-fort d'identité est un référentiel contenant des informations d'identité. Il est aussi connu sous le nom d'arborescence Novell eDirectory. Il stocke les informations propres à Identity Manager, telles que les configurations des pilotes, les paramètres et les stratégies.

Le coffre-fort d'identité peut être réduit à une banque de données privée pour Identity Manager ou considéré de manière plus globale comme un méta-annuaire qui contient des données d'entreprise, à synchroniser entre des applications comprenant plusieurs annuaires, bases de données, systèmes téléphoniques, systèmes d'exploitation et systèmes dédiés aux Ressources humaines. Le coffre-fort d'identité est doté d'un schéma étendu personnalisable. Les données contenues dans le coffre-fort sont accessibles pour tous les protocoles pris en charge par eDirectory, dont les protocoles NCP (NetWare Core Protocol), LDAP et DSML. Identity Manager n'offre pas d'administration centralisée et ne résout pas le problème des administrateurs multiples, avec un administrateur par application. Il résout cependant le problème de l'existence de données en double, mais incohérentes dans chacune des applications. Par exemple, des données synchronisées à partir d'un système PeopleSoft vers Lotus Notes sont d'abord ajoutées au coffre-fort d'identité, puis envoyées au système Lotus Notes. Un environnement Identity Manager type possède un coffre-fort d'identité central, auquel d'autres applications sont connectées. L'architecture Identity Manager peut être considérée comme une multitude de relations individuelles ou comme une architecture en étoile de type « hub and spoke ». Chacune de ces relations est constituée par la connexion qui existe entre le coffre-fort d'identité d'Identity Manager et une application spécifique.


Figure 6-1 Diagramme d'Ishikawa

Ne fait pas partie du thread du canal

Des requêtes hors-bande peuvent être exécutées par n'importe quelle condition ou action dans une règle.

Canal Éditeur

Abonné

Application connectée

Module d'interface pilote (Local ou sur le chargeur distant)

Fichier d'état

Utilisé par la plupart des pilotes

Transformation de la sortie

Assignation du schéma

Processeur de référence

de l'association

sortante


de l'association

entrante


Transformation de l'événement

Séquenceurd'événements

Processeur d'association

pré-filtre


post-filtre

Synchroniser et ignorer le

filtre Éditeur

Transformation de l'entrée

Transformation de la sortie



de l'association

sortante


de l'association

entrante


Transformation de l'entrée

Ajouter ?

Non

Oui

Transformationde la commande

Notifier et réinitialiser

le filtre Abonné

Processeur de traduction

Processeur de traduction

Requêtes hors bande – canal Éditeur- Requête (demande et réponse)- Commande directe de la stratégie- Message d'état

Requêtes hors bande – canal Éditeur- Requête (demande et réponse)- Commande directe de la stratégie- Message d'état

No

OuiAjouter ?

FichierTAO

Cache d'événementdu pilote

Synchroniser et ignorer le filtre Abonné

Transformationde l'événement

Séquenceurd'événements

Processeurd'association

Correspondance

Création

Placement

Correspond à ?

Oui

Correspondance

Création

Placement

Processeurde fusion

Processeurde fusion

Processeurde fusion

Correspond à ?

Non

OuiModifier ?

Transformation de la

commande

Notifier et réinitialiser

le filtre Éditeur

Coffre-fort d'identité

No


Un pilote est un module d'interface d'application, associé à des stratégies, qui permet à Identity Manager de communiquer avec des applications externes afin de synchroniser des données entre cette dernière et le coffre-fort d'identité. Notez que les termes pilote et module d'interface (shim) sont interchangeables. Dans la Figure 6-1, le module d'interface est situé en haut. Il est lié à une application externe et au coffre-fort d'identité. Les règles de gestion des données sont situées entre le module d'interface pilote et le coffre-fort d'identité.

Les données circulent via un système Identity Manager sous la forme de documents XML. Identity Manager est doté d'un vocabulaire XML appelé XDS, qui sert à représenter l'état des objets et des opérations de données avec les valeurs d'attribut correspondantes.

Le moteur Identity Manager utilise le module d'interface pour obtenir des informations à partir d'un système connecté et lui en envoyer. Il utilise les règles de configuration du pilote pour décider des opérations à effectuer et des méthodes à suivre.

Les pilotes se connectent aux applications afin de gérer les objets et les entités. Un pilote a deux responsabilités de base :

signaler les modifications de données (événements) de l'application au moteur Identity Manager ;

appliquer les modifications des données (commandes) envoyées à l'application par le moteur Identity Manager.

L'association d'un pilote de système connecté, des informations de connexion de l'application et d'un ensemble de stratégies est désignée sous le terme « configuration de pilote ». Les configurations de pilote sont stockées dans un ensemble d'objets Annuaire dans le coffre-fort d'identité. L'objet Pilote DirXML contient d'autres objets qui définissent les stratégies et paramètres associés à la configuration.

La configuration de pilote définit un pipeline de données entre une application et le coffre-fort d'identité. La configuration de pilote détermine les éléments pouvant être synchronisés et comment assigner le schéma eDirectory à un schéma d'applications connectées ou à des métadonnées. Par exemple, le prénom d'un utilisateur peut être intitulé Nom dans une application HR mais Prénom dans le coffre-fort d'identité. Dans l'espace de noms de l'application, vous utilisez Nom, mais dans l'espace de noms du coffre-fort d'identité, vous utilisez Prénom. Dans Identity Manager, vous travaillez habituellement avec les noms d'attribut de l'espace de noms du coffre-fort d'identité.

Une relation est établie entre un objet du coffre-fort d'identité et un objet de l'application lorsqu'ils représentent la même entité. Cette relation est appelée association et est stockée dans le coffre-fort d'identité sur l'objet du coffre-fort d'identité associé. L'association établit une relation entre l'objet du coffre-fort d'identité et l'objet dans le système connecté. Les valeurs clés qui identifient de manière unique les objets de systèmes connectés incluent les GUID (Global Unique IDentifier), les DN (Distinguished Name) et les clés primaires des bases de données. Chaque pilote est codé pour utiliser une clé spécifique.

6.2 Module d'interfaceUn module d'interface est un code compilé qui gère la traduction des commandes et des données entre une application et Identity Manager. Le module d'interface pilote est souvent écrit en Java, qui utilise les appels d'une API native que le système rend accessibles aux développeurs. Ces derniers


peuvent inclure des appels LDAP standard, des appels Windows Active Directory natif, des connexions JDBC pour les bases de données SQL. Le module d'interface assume les responsabilités suivantes :

la traduction de ce que l'application comprend, en un document XML standard ;

l'établissement et le maintien de la connexion vers l'application connectée ;

la gestion des commandes envoyées à partir d'Identity Manager et de l'application connectée ;

la surveillance des modifications apportées à l'application connectée.

Par exemple, si le système connecté est un système HR et qu'un nouveau collaborateur est recruté, le module d'interface doit créer un document XML reprenant ces informations. Cette opération est appelée événement d'ajout dans la terminologie Identity Manager. Un document XML est créé pour décrire cet événement auprès du moteur. L'événement est soumis au moteur et un nouvel utilisateur est créé à l'emplacement spécifié. Après la création du nouvel objet Utilisateur dans le coffre-fort d'identité, un événement est généré pour les autres pilotes qui surveillent les modifications apportées aux objets Utilisateur. Par exemple, si vous avez déployé le pilote GroupWise, un événement d'ajout est généré pour le pilote GroupWise afin de créer une boîte de réception des courriers électroniques pour le nouvel utilisateur.

6.3 CanauxLe flux de données entre le coffre-fort d'identité et un système connecté possède deux directions, à savoir le canal Éditeur et canal Abonné. Ces directions sont nommées en partant du point de vue de l'application :

Le canal Abonné est le canal dans lequel les données circulent du coffre-fort d'identité vers l'application via le module d'interface. Les applications s'abonnent aux données du coffre-fort d'identité.

Le canal Éditeur est le canal dans lequel les données circulent de l'application vers le coffre-fort d'identité. Les applications publient des données vers le coffre-fort d'identité.

Il existe des cas dans lesquels une stratégie peut entraîner le renvoi conceptuel des données dans un canal. Cela s'appelle l'écriture différée d'un canal.

6.4 Événements et commandesLa distinction entre Événements et Commandes est subtile, mais néanmoins importante. Le signalement d'une modification des données dans une entrée de canal est un événement. Les événements se produisent dans le coffre-fort d'identité et dans le système connecté. Exemples d'événements :

création d'un objet ;

modification des valeurs d'attribut d'un objet ;

modification du nom d'un objet ;

déplacement d'un objet au sein de la hiérarchie d'objets ;

suppression d'un objet.

Les commandes sont la sortie d'un canal de pilote. Lorsque le module d'interface envoie une notification d'événement à Identity Manager, c'est pour lui indiquer qu'une modification des données s'est produite dans l'application. Identity Manager détermine ensuite, en fonction des


stratégies configurables, les commandes à envoyer au coffre-fort d'identité. Lorsqu'Identity Manager envoie une commande au module d'interface, cela signifie qu'il a déjà accepté en entrée un événement du coffre-fort d'identité, appliqué les stratégies appropriées et déterminé que la modification de l'application représentée par la commande était nécessaire.

Un événement provenant du coffre-fort d'identité et envoyé via le canal Abonné est finalement transformé en commande à soumettre au module d'interface pilote afin d'entraîner une modification dans le système connecté. Un événement provenant de l'application et envoyé via le canal Éditeur est finalement transformé en commande, à soumettre au coffre-fort d'identité afin de synchroniser la modification qui s'est produite dans l'application. Du point de vue de l'ensemble du système, la création ou la mise à jour d'un objet dans le coffre-fort d'identité par le biais d'une commande d'un pilote sur son canal Éditeur peut entraîner la soumission d'événements sur les canaux Abonné d'autres pilotes du système. Cela permet aux modifications d'être répercutées en cascade, vers tous les systèmes connectés.

6.5 Stratégie d'assignation de schémaLa stratégie d'assignation de schéma s'applique à la fois au canal Abonné et au canal Éditeur. La stratégie d'assignation de schéma a pour objectif d'assigner des noms de schéma (en particulier des noms d'attribut et de classe) entre l'espace de nom du coffre-fort d'identité et celui de l'application. La stratégie d'assignation de schéma est appliquée avant la stratégie de transformation de la sortie lorsqu'Identity Manager soumet ou renvoie un document au module d'interface, et après la stratégie de transformation de l'entrée lorsque le pilote soumet ou renvoie un document à Identity Manager. Par exemple, le système HR utilise Nom et le coffre-fort d'identité utilise Prénom, alors qu'ils renvoient tous les deux au même attribut. La stratégie d'assignation de schéma gère les modifications dans les noms entre l'espace de nom de l'application et celui du coffre-fort d'identité. La stratégie d'assignation de schéma est bidirectionnelle. Elle recouvre partiellement les deux canaux. Sur le canal Éditeur, les noms de l'application sont assignés au coffre-fort d'identité. Sur le canal Abonné, les noms du coffre-fort d'identité sont assignés à l'application.

6.6 Règle de transformation de l'événementLa règle de transformation de l'événement s'applique aux événements signalés sur une entrée de canal. Les règles de transformation des événements sont généralement différentes pour les canaux Abonné et Éditeur. Elles servent à modifier le rapport des événements avant qu'Identity Manager continue à traiter les événements.

Les règles de transformation des événements peuvent être utilisées de différentes manières, notamment pour les opérations suivantes :

le filtrage de l'étendue (par exemple, autoriser uniquement les événements sur des objets dans une sous-arborescence particulière, ou ayant une valeur d'attribut particulière) ;

le filtrage d'événements personnalisés (par exemple, interdire les déplacements ou les suppressions) ;

la transformation directe de l'événement en une commande personnalisée à transmettre au système connecté ;

la génération d'événements supplémentaires.

Section 6.6.1, « Canal Éditeur », page 55

Section 6.6.2, « Canal Abonné », page 55


6.6.1 Canal Éditeur

L'entrée du canal Éditeur correspond à la description d'un événement qui provient du système connecté. La règle de transformation des événements sert à modifier cette description des événements émise par le module d'interface pour Identity Manager et est appliquée après la stratégie de transformation de l'entrée et celle d'assignation de schéma, mais avant tout traitement des événements fondé sur les stratégies. Les stratégies implémentées dans la règle de transformation des événements ont un effet sur l'événement, notamment son ajout, sa suppression ou sa modification, mais pas sur les données. Par exemple, vous pouvez créer une stratégie qui empêche l'administrateur du système connecté de créer de nouveaux objets dans le coffre-fort d'identité, ou encore gérer les événements de suppression afin que la suppression d'un objet dans le système connecté entraîne uniquement la modification de l'objet du coffre-fort d'identité associé.

Si une opération d'ajout est convertie en opération de fusion, le document actif est rejeté tout comme l'opération d'ajout synthétique, et le filtre est utilisé pour interroger à la fois le système connecté et le coffre-fort d'identité pour toutes les valeurs. Le paramètre de chaque attribut du filtre permet de décider des opérations à effectuer avec les données. Il est, entre autres, possible de remplacer les informations de la source par les informations de la cible, de remplacer la cible par la source, d'associer les deux et de mettre à jour les deux avec les résultats, ou de ne rien faire.

Si un événement d'ajout contient une valeur d'association, le moteur Identity Manager le convertit en événement de modification.

6.6.2 Canal Abonné

L'entrée du canal Abonné correspond à la description d'un événement qui provient du coffre-fort d'identité. Dans de nombreux cas, le filtre peut servir à déterminer les types d'objets souhaités, ainsi que leurs attributs, mais la stratégie de transformation des événements peut être utilisée pour personnaliser davantage les événements. Cette fonctionnalité, parfois appelée filtrage de l'étendue, permet un contrôle bien plus précis des données. Vous pouvez par exemple utiliser un filtre pour spécifier des objets Utilisateur. Il part du principe que vous souhaitez synchroniser tous les utilisateurs. Si un système connecté est limité à un sous-ensemble des utilisateurs, la transformation de l'événement est utilisée pour décider de la présence ou non d'un événement pour un objet dans l'étendue. Par exemple, si votre système connecté doit comporter uniquement des utilisateurs ayant un attribut de service Vente, vous pouvez créer une règle sur la stratégie de transformation des événements permettant de bloquer tout événement destiné à un utilisateur ne relevant pas du service Vente.

6.7 FiltreLe filtre contrôle le flux de données entre le coffre-fort d'identité et le système connecté. Le filtre joue plusieurs rôles dans une configuration de pilote Identity Manager. La Figure 6-1 montre le filtre à quatre emplacements représentant la plupart de ses rôles, mais il n'existe en réalité qu'un seul filtre pour le pilote.

Alors que les canaux permettent le flux de données, les stratégies et les filtres sont positionnés dans le canal afin de réguler les données qui y transitent et contrôler leur aspect lorsqu'elles parviennent à destination. Par exemple, en configurant le filtre du pilote, vous pouvez bloquer une valeur d'attribut, telle qu'un numéro de téléphone, de sorte qu'elle n'atteigne pas le coffre-fort d'identité à partir du système connecté ou inversement. Cela permet de déterminer si le coffre-fort d'identité ou le système connecté est la source experte, afin de répondre à certaines exigences commerciales. Par exemple, si le filtre de la relation entre le système PBX et le coffre-fort d'identité permet au numéro de


téléphone d'un employé de circuler du système PBX jusqu'au coffre-fort d'identité mais pas du coffre-fort d'identité au système PBX, ce dernier est la source experte du numéro de téléphone. Si toutes les autres relations du système connecté permettent au numéro de téléphone de circuler du coffre-fort d'identité vers les systèmes connectés, mais pas l'inverse, le résultat est que le système PBX est la seule source experte des numéros de téléphone des employés de l'entreprise.

Le filtre de pilote spécifie les classes des objets et les attributs de ces derniers pour lesquels le coffre-fort d'identité traite les événements et les commandes au niveau des deux canaux. Il renseigne au moteur méta-annuaire les événements et les informations intéressantes pour la configuration du pilote. Du côté du coffre-fort d'identité, les événements sont placés dans la file d'attente du pilote s'ils correspondent à une classe d'objet du filtre ainsi qu'à un attribut défini sur Synchroniser, Notifier ou Réinitialiser. Les événements qui se produisent dans le coffre-fort d'identité, mais qui ne correspondent pas aux types de données spécifiés dans le filtre sont ignorés par ce pilote. De·même,·pour·l'application,·les·événements·qui·se·produisent·et·qui·ne·correspondent·pas·aux·types de données spécifiés dans le filtre sont ignorés, bien qu'il soit possible que le module d'interface doive encore les examiner pour vérifier s'ils doivent être gérés. Par exemple, si la configuration du pilote Identity Manager synchronise uniquement les informations utilisateur, le filtre spécifie les objets Utilisateur et les modifications apportées aux autres objets du coffre-fort d'identité sont ignorées. À partir des attributs de classe Utilisateur potentiels, le filtre spécifie les attributs sélectionnés, tels que CN, Prénom, Nom et Numéro de téléphone. Les modifications apportées aux autres attributs de classe Utilisateur sont ignorées. La classe d'objet Utilisateur et l'ensemble des attributs de données associés sont répertoriés dans le filtre pour la plupart des systèmes connectés.

Section 6.7.1, « Attribut Sync », page 56

Section 6.7.2, « Attribut Notifier », page 56

6.7.1 Attribut Sync

Sur le canal Éditeur, une fois qu'un événement a été placé dans la file d'attente pour être traité par le canal et qu'il a subi la transformation de l'entrée, l'assignation de schéma et la transformation d'événement, les attributs Sync sont sélectionnés à partir du document d'entrée et tous les attributs qui ne sont pas définis sur Sync ou Notifier sont supprimés. Les attributs qui sont définis sur Réinitialiser sont également gérés en interrogeant le coffre-fort d'identité pour obtenir la valeur correcte, ensuite renvoyée à l'application afin d'annuler la modification qui vient d'être apportée. Sur le canal Abonné, le filtre Sync fonctionne de la même manière que sur le canal Éditeur. La seule différence vient du fait que les événements proviennent du coffre-fort d'identité plutôt que du système connecté.

6.7.2 Attribut Notifier

L'attribut Notifier vous permet d'utiliser des données d'attribut dans le document d'événement sans synchroniser les données avec le coffre-fort d'identité. Par exemple, vous avez besoin de récupérer le prénom, le deuxième prénom et le nom de famille d'une personne depuis votre système HR afin de créer un compte, mais vous ne souhaitez pas stocker le deuxième prénom dans le coffre-fort d'identité. En définissant l'attribut Deuxième prénom sur Notifier, vous pouvez accéder à la valeur de l'attribut sans devoir la stocker dans le coffre-fort d'identité. Un attribut défini sur Notifier est toujours supprimé du document avant d'être envoyé vers sa destination.


6.8 Processeur d'ajout Section 6.8.1, « Canal Éditeur », page 57



Le processeur d'ajout permet de déterminer si un événement est un événement d'ajout. Il s'agit d'un point de ramification dans le traitement de l'événement par le pilote. S'il s'agit d'un événement d'ajout, il est géré par la règle de concordance. Le module d'interface fournit la valeur d'association, ce qui permet au moteur Identity Manager de rechercher rapidement et facilement l'objet correct dans le coffre-fort d'identité. Les associations sont créées en tant que correspondance entre deux objets ou lorsqu'un objet vient d'être créé dans le coffre-fort d'identité ou dans le système connecté. Une association créée entre deux objets reste active jusqu'à ce que les objets soient supprimés ou que l'association soit annulée par l'administrateur. Bien conçues, les règles de correspondance automatisent la création d'associations entre les objets existant dans le coffre-fort d'identité et dans le système connecté. Pour plus d'informations, reportez-vous à la Section 6.13.3, « Associations », page 63.

S'il ne s'agit pas d'un événement d'ajout, il passe à l'étape de transformation de commande.

6.8.2 Canal Abonné

Sur le canal Abonné, le processeur d'ajout permet de décider si un événement est un événement d'ajout. Dans l'affirmative, il est géré par la règle de concordance. Le moteur Identity Manager utilise la valeur d'association d'un objet du coffre-fort d'identité pour autoriser le module d'interface à modifier l'objet correct dans le système connecté. Pour plus d'informations, reportez-vous à la Section 6.13.3, « Associations », page 63.

S'il ne s'agit pas d'un événement d'ajout, il passe à l'étape de transformation de commande.

Lorsqu'un événement de modification ne contient pas d'association se résolvant sur un objet réel lorsqu'il arrive au niveau du processeur d'ajout, le moteur Identity Manager tente de la créer. Ce processus est appelé ajout synthétique. Il peut avoir lieu sur le canal Éditeur ou Abonné.

Le moteur Identity Manager utilise l'événement de modification pour comprendre quel objet utiliser. Il utilise ensuite le filtre pour renvoyer une requête afin d'obtenir tous les attributs disponibles pour cet objet qui sont définis sur Sync ou Notifier sur le canal actif. Il rejette l'événement de modification et crée un événement d'ajout pour le remplacer. Cet événement d'ajout est ensuite transmis via les règles de concordance, de création, de placement et de transformation de commande (sur le canal Abonné, il passe aussi par l'assignation de schéma et la transformation de la sortie). La règle de transformation des événements ne s'applique pas aux ajouts synthétiques, cette règle se trouvant en amont du processeur d'ajout.


6.9 Règle de concordanceLes règles de concordance établissent des liens entre un objet existant dans le coffre-fort d'identité et un objet existant dans le système connecté. Elles spécifient quelles valeurs de classe et d'attribut doivent correspondre pour qu'un objet dans le coffre-fort d'identité et un objet dans le système connecté soient référencés en tant qu'entrées correspondantes.

Pour trouver la règle de concordance appropriée, il convient d'étudier les deux systèmes impliqués pour trouver les données qui assurent une assignation 1:1. Les attributs tels que le numéro d'ID d'employé, l'adresse électronique et le numéro de badge font partie des données les plus couramment utilisées comme critères de concordance. Si aucun attribut n'est disponible, il est possible d'utiliser les combinaisons d'attributs. Le Nom à lui seul ne constitue pas un bon critère de concordance. Dans les grandes organisations par exemple, il est possible que deux employés aient le même nom de famille. Une concordance basée sur Nom + Prénom donne de meilleurs résultats et une concordance basée sur Nom + Prénom + Service augmente encore la probabilité d'une concordance parfaite. Lorsqu'une concordance réussit, une association est créée entre les deux objets. Lorsqu'une concordance échoue, les règles de création sont utilisées.




La règle de concordance sert à associer un objet dans le coffre-fort d'identité à l'objet correspondant dans l'application. Elle utilise les critères de concordance et interroge le coffre-fort d'identité pour rechercher un objet correspondant. Cette règle renvoie zéro lorsqu'aucun objet ne correspond, le traitement de l'événement d'ajout se poursuit. Elle renvoie 1 lorsqu'un objet correspondant est trouvé, ce qui signifie que l'objet dans le document d'entrée correspond à un objet dans le coffre-fort d'identité. Une fois les objets associés, les données entre les deux objets sont fusionnées selon les paramètres de filtre. Si la règle de concordance trouve plusieurs objets correspondants, le moteur Identity Manager considère qu'il s'agit d'une erreur et abandonne la transaction. Vous devez soit modifier la règle de concordance, soit gérer ce conflit manuellement.

6.9.2 Canal Abonné

Sur le canal Abonné, la règle de concordance fonctionne sur les événements d'ajout et utilise les données du coffre-fort d'identité pour interroger le système connecté afin de rechercher des objets correspondants. La possibilité d'interroger le système connecté à l'aide du module d'interface dépend de la capacité de l'assignation de schéma à annuler les changements de format appliqués aux noms de l'application, et peut également dépendre de la transformation de la sortie.

6.10 Règle de créationLes règles de création sont appliquées aux événements d'ajout lorsque les règles de concordance ne trouvent aucune correspondance. Les règles de création définissent l'ensemble minimum de données qu'un événement doit avoir avant qu'un objet puisse être créé dans le coffre-fort d'identité ou dans le système connecté.





Si la règle de concordance ne trouve pas d'objet concordant dans le coffre-fort d'identité, la règle de création est appliquée au document afin de garantir que celui-ci contienne suffisamment d'informations. Elle est également utilisée pour fournir des valeurs par défaut pour les attributs et peut spécifier un modèle à utiliser lors de la création du nouvel objet. Pour permettre la synchronisation des objets avec le coffre-fort d'identité, certains attributs peuvent être obligatoires dans le schéma afin de créer un utilisateur, tels que CN et Nom. Diverses classes d'objet et différents cas d'utilisation peuvent être soumis à des exigences différentes.

La règle de création peut également mettre son veto à un événement d'ajout si cet événement d'ajout ne respecte pas les conditions imposées par la règle de création. Par exemple, si la règle de création exige qu'un numéro de téléphone soit associé à l'objet et qu'il n'en a pas, l'événement d'ajout échoue.

Les événements rejetés sont à nouveau traités une fois les informations sur les attributs supplémentaires ajoutées dans le système connecté. Il en résulte un événement de modification sans objet associé, que le processeur d'ajout convertit en un ajout synthétique.

6.10.2 Canal Abonné

La règle de création sur le canal Abonné fonctionne de la même manière que sur le canal Éditeur pour déterminer si un événement dispose d'assez d'informations pour créer un objet dans le système connecté. Il convient de connaître le système connecté, mais aussi ses exigences techniques ou commerciales.

La règle de création est souvent utilisée pour examiner les attributs disponibles pour les nouveaux objets (à partir de l'événement source) et met son veto sur la création du nouvel objet s'il manque un ou plusieurs des attributs requis. L'exemple le plus commun sur le canal Abonné consiste à exiger un mot de passe. La création d'un utilisateur dans le coffre-fort d'identité se fait normalement en deux étapes : il est d'abord créé en tant qu'objet Utilisateur, puis un mot de passe est défini. Il arrive souvent que l'objet soit créé, mais que la règle de création échoue en raison de l'absence de mot de passe, attribut requis pour la création d'un nouvel objet Utilisateur. Un peu plus tard, lorsque l'événement lié au mot de passe arrive, le nouvel objet est ajouté.

6.11 Règle de placement Section 6.11.1, « Canal Éditeur », page 59



Si la règle de concordance ne trouve aucun événement correspondant et que la règle de création a vérifié que l'événement respecte les exigences minimales, la règle de placement détermine l'objet à créer ainsi que son emplacement. Pour le canal Éditeur, l'objet est placé dans le coffre-fort d'identité et utilise comme nom un CN (ou UID) et est placé dans un conteneur. Du fait que les règles de placement déterminent l'emplacement, elles déterminent également le nom distinctif des objets. Par exemple, le coffre-fort d'identité place tous les objets dans le conteneur Data\Users\jdoe.



Sur le canal Abonné, la règle de placement fonctionne de la même manière que sur le canal Éditeur. Les placements dans des systèmes connectés peuvent être simples ou complexes. Une règle de placement simple place tous les objets au même emplacement.

Une connaissance approfondie du fonctionnement du système connecté est requise pour les placements dans les systèmes connectés. Prenons comme exemple de placement simple Lotus Notes dans sa configuration par défaut, qui place tous les objets dans le conteneur CN=jdoe/O=novell.

Un exemple plus complexe utiliserait un attribut de code d'emplacement HR pour déterminer l'emplacement d'un objet. Vous pouvez utiliser une table d'assignation pour aider à établir la relation entre un emplacement de placement et une valeur d'attribut.

6.12 Règle de transformation de commande La règle de transformation de commande s'applique aux commandes sur le point d'être transmises à une sortie de canal. Les règles de transformation des événements sont généralement différentes pour les canaux Abonné et Éditeur. La règle de transformation de commande a pour objectif de finaliser le traitement des commandes avant leur envoi au coffre-fort d'identité ou au système connecté.

La règle de transformation de commande possède plusieurs applications possibles, notamment :

la modification du type de commande (par exemple, une commande de suppression d'objet peut être transformée en une modification qui entraînera l'archivage de l'objet) ;

le blocage des commandes ;

l'ajout de commandes supplémentaires ;

le contrôle de la sortie du processus de fusion du moteur Identity Manager.




C'est à ce niveau que la branche précédente du processeur d'ajout rejoint le flux. Tous les événements sont traités par la règle de transformation de commande. La plupart des stratégies de pilote résident dans la transformation de commande, car d'un point de vue conceptuel, c'est à cet emplacement que l'événement est converti en commande. Jusque-là, ce document décrivait un événement s'étant produit dans le système connecté. Cet événement est désormais transformé en commande et appliqué au coffre-fort d'identité. Il s'agit de la dernière occasion de modifier une commande avant qu'elle soit appliquée au coffre-fort d'identité.


Sur le canal Abonné, avant que la stratégie d'assignation de schéma n'ait été appliquée, la plupart des stratégies du pilote résident dans la transformation de commande. En effet, d'un point de vue conceptuel, c'est à cet emplacement que l'événement est converti en commande. La stratégie d'assignation de schéma et la stratégie de transformation de la sortie sont toutes deux exécutées après la stratégie de transformation de commande sur le canal Abonné. Jusque-là, ce document décrivait un événement s'étant produit dans le coffre-fort d'identité. Cet événement est désormais transformé en commande et appliqué au système connecté.


http://www.novell.com/communities/node/2004/using+mapping+tables+idm+set+user+destination

6.13 Règles, stratégies et feuilles de styleDans Identity Manager, une règle est une collection de stratégies. Chaque règle comporte des conditions à remplir et des opérations à exécuter lorsque les conditions sont remplies. La grammaire des conditions est destinée à être lisible pour un être humain et doit, en général, avoir un sens. Par exemple, la condition « si la classe d'objet est égale à l'utilisateur » est vraie si l'objet décrit dans le document actif est un objet Utilisateur, et fausse si l'objet est un groupe. Les conditions sont constituées de groupes de conditions. Au sein d'un groupe de conditions, toutes les conditions peuvent être associées par « et » ou « ou » et le résultat doit être vrai pour que le groupe de conditions soit évalué comme vrai, faute de quoi il est évalué comme faux. Plusieurs groupes de conditions peuvent aussi être associés, à l'aide de « et » et « ou ». Une fois que le ou les groupes de conditions ont été évalués comme vrais, les opérations de la règle sont exécutées.

Figure 6-2 Conditions du générateur de stratégies

Les opérations peuvent agir sur le document actif, et cela suffit généralement. Les opérations peuvent toutefois aussi interroger la source ou la cible (qui pourrait être le coffre-fort d'identité ou le système connecté, selon le canal sur lequel vous vous trouvez) pour obtenir des informations complémentaires. Des opérations peuvent remplacer le document actif par une version modifiée, ou bien le bloquer dans son intégralité. Des opérations peuvent être utilisées pour fabriquer différents documents. Un document qui décrit un événement de suppression dans un système connecté pourrait être testé par une condition (si l'opération est égale à Supprimer) et subir un ensemble d'opérations visant à empêcher la suppression de l'objet associé dans le coffre-fort d'identité (veto) en le modifiant de manière à supprimer sa valeur d'association pour cette application (supprimer une association) ainsi qu'à le désactiver (définir la valeur de l'attribut cible Login Disabled (Login désactivé) = True (Vrai)).

Figure 6-3 Opérations du générateur de stratégies

Les stratégies définissent quelles données sont transférées et comment elles sont synchronisées entre le système connecté et le coffre-fort d'identité. Un ensemble par défaut de stratégies est disponible avec la configuration du pilote. Les autres stratégies peuvent être des personnalisations locales du pilote. Vous pouvez écrire des stratégies en utilisant le script DirXML, XSLT ou le script ECMA.

Une stratégie a pour objectif d'apporter des modifications au document d'entrée afin de produire un document de sortie. La plupart des stratégies sont évaluées soit sur le canal Abonné, soit sur le canal Éditeur. La stratégie d'assignation de schéma, la stratégie de transformation de l'entrée et la stratégie de transformation de la sortie sont évaluées sur les deux canaux. Par exemple, une organisation peut


utiliser inetOrgPerson en tant que classe Utilisateur principale, et une autre société peut employer Utilisateur. Une stratégie peut être implémentée pour ajouter le changement de numéro de téléphone à inetOrgPerson pour la première organisation et une règle distincte peut être implémentée pour que cela fonctionne pour la classe Utilisateur. Les stratégies opèrent des transformations de schéma, spécifient les critères de concordance pour déterminer si un objet existe déjà dans le système connecté ou dans le coffre-fort d'identité et réalisent bien d'autres choses encore. De ce fait, un événement d'ajout signalé par votre système connecté peut devenir une opération de modification dans le coffre-fort d'identité, si une stratégie de concordance détermine que l'objet que vous avez ajouté existe déjà dans le coffre-fort d'identité.

Sur le canal Abonné, lorsqu'un nouvel utilisateur est créé dans le coffre-fort d'identité et que vous souhaitez qu'il soit créé dans le système connecté, avant d'envoyer cette commande au pilote, le moteur Identity Manager appelle une série de stratégies. Ces stratégies définissent la manière dont les objets sont créés et déterminent si un utilisateur correspondant existe déjà dans le système connecté. Elles prennent également des décisions au sujet du placement, fournissent des valeurs par défaut pour les attributs obligatoires non spécifiés, etc. Cet événement d'ajout sera peut-être transformé en événement de modification si l'objet existe dans le système connecté. Les attributs qui n'étaient pas contenus dans l'événement original peuvent être ajoutés afin qu'il soit conforme au modèle de création d'objet du système connecté.

Les feuilles de style définissent les règles de transformation XSLT. Les feuilles de style modifient les commandes d'entrée ou de sortie, changent le type d'un événement ou opèrent d'autres transformations XML arbitraires. Pour plus d'informations, reportez-vous au Identity Manager Style Sheets (Feuilles de style Identity Manager).

Section 6.13.1, « Règle de transformation de l'entrée », page 62

Section 6.13.2, « Règle de transformation de la sortie », page 63

Section 6.13.3, « Associations », page 63

Section 6.13.4, « Ajouts synthétiques », page 63

Section 6.13.5, « Traitement des fusions », page 66

6.13.1 Règle de transformation de l'entrée

La règle de transformation de l'entrée s'applique à la fois au canal Abonné et au canal Éditeur. La règle de transformation de l'entrée a pour objectif d'effectuer une transformation préliminaire sur tous les documents XML envoyés et renvoyés à Identity Manager par le système connecté. La règle de transformation de l'entrée est appliquée aux documents XML envoyés aux commandes XmlCommandProcessor.execute et XmlQueryProcessor.query lorsqu'ils sont appelés par le système connecté et aux documents XML renvoyés par les commandes SubscriptionShim.execute et XmlQueryProcessor.query lorsqu'ils sont invoqués par le moteur Identity Manager. La stratégie de transformation de l'entrée est appliquée avant celle d'assignation de schéma.

La règle de transformation de l'entrée sert souvent à convertir des données du format de l'application au format du coffre-fort d'identité. Lorsque la stratégie de transformation de l'entrée est utilisée pour les transformations de format de données, la stratégie de transformation de la sortie exécute généralement la transformation des données dans le sens opposé (c'est-à-dire que les données sont converties du format du coffre-fort d'identité au format de l'application). Cette règle s'applique dans l'espace de noms de l'application. Elle peut servir à reformater des données, comme par exemple faire passer un numéro de téléphone du format 1(815)555-1212 au format 1-815-555-1212. La règle de transformation de l'entrée est également utilisée pour mener des actions en réponse aux résultats des commandes envoyées au module d'interface. Les noms des schémas sont toujours dans l'espace de noms de l'application dans le fichier XML traité par la stratégie de transformation de l'entrée. Il est


http://www.novell.com/documentation/developer/dirxml/dirxmlbk/data/a81001l.html

http://www.novell.com/documentation/developer/dirxml/dirxmlbk/data/a81001l.html

également possible d'utiliser la règle de transformation de l'entrée pour convertir un format XML arbitraire natif de l'application connectée au format attendu par Identity Manager. De telles transformations doivent être écrites en XSLT car le script DirXML s'applique uniquement au vocabulaire XML spécifique à Identity Manager.

6.13.2 Règle de transformation de la sortie

La stratégie de transformation de la sortie s'applique à la fois au canal Abonné et au canal Éditeur. La stratégie de transformation de la sortie a pour objectif de réaliser une transformation finale sur tous les documents XML envoyés et renvoyés au module d'interface par le moteur Identity Manager. La règle de transformation de la sortie est appliquée aux documents XML envoyés aux commandes SubscriptionShim.execute et XmlQueryProcessor.query lorsqu'ils sont appelés par le moteur Identity Manager et aux documents XML renvoyés depuis XmlCommandProcessor.execute et XmlQueryProcessor.query lorsqu'ils sont appelés par le module d'interface. La règle de transformation de la sortie est appliquée après celle d'assignation de schéma.

La règle de transformation de la sortie est le contraire de la règle de transformation de l'entrée. Elle modifie adéquatement la commande sur le point d'être soumise au module d'interface. Cela implique généralement l'annulation de ce qui a été effectué dans la règle de transformation de l'entrée. Par exemple, si vous avez une règle de transformation de l'entrée qui convertit les numéros de téléphone du format 1(815)555-1212 au format 1-815-555-1212, vous devez avoir une règle de transformation de la sortie qui convertit le format 1-815-555-1212 au format 1(815)555-1212.

Il est également possible d'utiliser la stratégie de transformation de la sortie pour convertir le format utilisé par Identity Manager au format XML arbitraire natif à l'application connectée. De telles transformations doivent être écrites en XSLT car le script DirXML s'applique uniquement au vocabulaire XML spécifique à Identity Manager.

6.13.3 Associations

La valeur d'association constitue un moyen pour Identity Manager de savoir quel objet du système connecté correspond à un objet du coffre-fort d'identité. Dans presque tous les cas, il doit s'agir d'une concordance 1:1 pour qu'il soit possible de dire que « john doe », employé numéro 1234567 dans le système HR correspond exactement à l'objet Utilisateur « jdoe13 » dans le coffre-fort d'identité, à « doe john » dans Active Directory et à « [email protected] » dans le système de messagerie. La plupart des systèmes informatiques possèdent une certaine forme d'identifiant unique interne. eDirectory et Active Directory ont un identificateur global unique ou GUID. De nombreux systèmes HR présentent un numéro d'employé. Les systèmes de messagerie électronique possèdent en général une valeur d'adresse électronique unique pour chaque personne. Identity Manager utilise ces identifiants pour créer son association. Les associations sont stockées dans le coffre-fort d'identité. Sur le canal Abonné, le moteur Identity Manager utilise cette valeur pour permettre au module d'interface de modifier l'objet adéquat dans le système connecté. Sur le canal Éditeur, le module d'interface fournit la valeur d'association, ce qui permet au moteur Identity Manager de rechercher rapidement et facilement l'objet correct dans le coffre-fort d'identité.

6.13.4 Ajouts synthétiques

Si l'opération de modification ne contient pas d'association se résolvant sur un objet réel lorsqu'il arrive au niveau du processeur d'ajout, le moteur Identity Manager convertit l'événement de modification en un processus d'ajout synthétique. Il s'agit du processus d'ajout synthétique, qui peut se produire sur le canal Éditeur ou Abonné. Le moteur Identity Manager utilise l'événement de modification pour déterminer l'objet à utiliser. Il utilise ensuite le filtre pour renvoyer une requête


afin d'obtenir tous les attributs disponibles pour cet objet qui sont définis sur Sync ou Notifier sur le canal actif. Il supprime ensuite l'événement de modification et crée un événement d'ajout pour le remplacer. Cet événement d'ajout est ensuite transmis via les règles de concordance, de création, de placement et de transformation de commande (sur le canal Abonné, il passe aussi par l'assignation de schéma et la transformation de la sortie). La règle de transformation de l'événement n'est pas déclenchée pour les ajouts synthétiques, cette règle se trouvant en amont du processeur d'ajout.


Figure 6-4 Processeur d'association du canal Abonné


6.13.5 Traitement des fusions

Une opération de fusion se produit lorsque le moteur Identity Manager convertit une opération d'ajout en une opération de modification. Cette conversion a généralement lieu lors d'une migration initiale, lorsque la migration envoie des objets via un canal et que la règle de concordance identifie un objet qu'elle peut associer à l'objet en cours de migration.

Lors d'une opération de fusion, le document actif est rejeté (comme l'ajout synthétique) et le filtre est utilisé pour interroger à la fois le système connecté et le coffre-fort d'identité pour toutes les valeurs. Le paramètre de chaque attribut du filtre est utilisé afin de décider des opérations à effectuer avec les données. Il est, entre autres, possible de remplacer les informations de la source par les informations


de la cible, de remplacer la cible par la source, d'associer les deux et de mettre à jour les deux avec les résultats, ou de ne rien faire. Les diagrammes de flux ci-dessous décrivent le processeur de fusion du canal Éditeur et le processeur de fusion du canal Abonné.

Figure 6-5 Processeur de fusion du canal Éditeur


Xform de commande du canal Abonné

Optimiser l'opération

de modification

Créer une commande de

modification pour le coffre-fort

d'identité

Effectuer une opération de fusion par règles de filtre et règles intégrées

Créer une commande de modification

pour l'application

Interroger le coffre-fort

d'identité pour les valeurs

d'attribut dans le filtre Abonné

Interroger le coffre-fort

d'identité pour les valeurs

d'attribut dans le filtre Abonné

Interroger l'application pour

les valeurs d'attribut dans le filtre Éditeur

Interroger l'application pour

les valeurs d'attribut dans le filtre Éditeur


post-filtre

Traitement des correspondances

Non

Non

Oui

Oui

Oui

Oui

Retour au séquenceur d'événements

d'association post-filtre

Mettre en file d'attente la

commande de modification à exécuter pour

le canal Abonné

Classe d'objet dans le filtre

Éditeur ?


Abonné ?


Abonné ?

Processeur de fusion du canal Éditeur


Figure 6-6 Processeur de fusion du canal Abonné

Optimiser l'opération

de modification

Commande de modification de la

construction pour le coffre-fort d'identité

Traitement des correspondances

Commande de modification de la construction pour

l'application

Xform de commande

Interroger le coffre-fort d'identité

pour les valeurs d'attribut dans le filtre Abonné

Interroger le coffre-fort d'identité

pour les valeurs d'attribut dans

le filtre Abonné

Effectuer une opération de fusion par règles de filtre et règles intégrées

Interroger l'application pour les valeurs

d'attribut dans le filtre Éditeur

Interroger l'application pour les

valeurs d'attribut dans le filtre Éditeur

Dans la bande

Dans la bande

Hors bande

Non

Non

Non

Oui

Oui Oui

Retour au séquenceur d'événements



Éditeur ?

Classe d'objet dans le filtre Éditeur ?


Abonné ?

Processeur de fusiondu canal Abonné

Xform de comm

ande de l'éditeur


7 7Étapes suivantes

Une fois que vous avez compris les différents composants qui constituent Identity Manager 4.0.2, vous pouvez utiliser la documentation afin de créer votre solution Identity Manager. Les sections suivantes expliquent où trouver la documentation requise pour les tâches mentionnées :

Section 7.1, « Élaboration d'une solution Identity Manager », page 71

Section 7.2, « Préparation de vos données à des fins de synchronisation », page 71

Section 7.3, « Installation ou mise à niveau d'Identity Manager », page 72

Section 7.4, « Configuration d'Identity Manager », page 72

Section 7.5, « Administration d'Identity Manager », page 74

7.1 Élaboration d'une solution Identity ManagerLa première étape pour concevoir une solution Identity Manager est de décider avec précision ce que vous souhaitez que cette solution fasse au sein de votre entreprise. Reportez-vous à la section « Planning » (Planification) du manuel Identity Manager 4.0.2 Framework Installation Guide (Guide d'installation du moteur Identity Manager 4.0) pour créer un plan de votre solution Identity Manager à l'aide de Designer. Vous pouvez également concevoir votre application utilisateur à l'aide du manuel User Application: Design Guide (Guide de conception de l'application utilisateur).

Designer permet de capturer des informations dans un projet et de les partager avec d'autres personnes. Vous pouvez également modéliser la solution dans Designer avant de commencer les modifications. Pour plus d'informations sur Designer, reportez-vous au manuel Understanding Designer for Identity Manager (Présentation de Designer pour Identity Manager).

7.2 Préparation de vos données à des fins de synchronisationUne fois le plan créé, vous devez préparer les données de votre environnement en vue de la synchronisation. Analyzer est l'outil qui permet d'analyser, de nettoyer et de préparer les données à cette fin. Pour plus d'informations, reportez-vous au manuel Analyzer 4.0.2 for Identity Manager Administration Guide (Guide d'administration d'Analyzer 1.2 pour Identity Manager).

Étapes suivantes 71

7.3 Installation ou mise à niveau d'Identity ManagerUne fois le plan créé et les données préparées, vous pouvez installer Identity Manager. Si votre environnement informatique est de taille réduite ou moyenne et que vous n'avez jamais utilisé Identity Manager, il est préférable de recourir au programme d'installation intégré. Celui-ci installe et configure tous les composants fournis avec Identity Manager. Pour plus d'informations, reportez-vous au Guide du programme d'installation intégré d'Identity Manager 4.0.2.

Si vous avez un système Identity Manager existant ou si votre environnement informatique est vaste, utilisez le manuel Identity Manager 4.0.2 Framework Installation Guide (Guide d'installation du moteur Identity Manager 4.0) pour installer ou mettre à niveau les différents composants d'Identity Manager. Chacun d'eux étant installé et configuré séparément, vous pouvez personnaliser votre solution Identity Manager.

Pour des instructions concernant l'installation, reportez-vous à la section « Installation » du manuel Identity Manager 4.0.2 Framework Installation Guide (Guide d'installation du moteur Identity Manager 4.0).

Pour des instructions concernant la mise à niveau, reportez-vous à la section « Réalisation d'une mise à niveau » du manuel Guide d'installation de la structure Identity Manager 4.0.2.

Si vous migrez un système existant vers un nouveau matériel, reportez-vous à la section « Performing an Upgrade » (Exécution d'une mise à niveau) du manuel Identity Manager 4.0.2 Upgrade and Migration Guide (Guide de mise à niveau et de migration d'Identity Manager 4.0.1).

Si vous devez migrer le module de provisioning basé sur les rôles, reportez-vous au manuel Identity Manager 4.0.2: RBPM and Reporting Migration Guide (Guide de migration du module de provisioning basé sur les rôles et de création de rapports d'Identity Manager 4.0.2).

7.4 Configuration d'Identity ManagerUne fois Identity Manager installé, vous devez configurer les différents composants afin de disposer d'une solution pleinement fonctionnelle.

Section 7.4.1, « Synchronisation des données », page 72

Section 7.4.2, « Assignation de rôles », page 73

Section 7.4.3, « Configuration de l'application utilisateur », page 73

Section 7.4.4, « Configuration des fonctions d'audit, de création de rapports et de conformité », page 73

7.4.1 Synchronisation des données

Identity Manager utilise des pilotes pour synchroniser les données entre plusieurs applications, bases de données, systèmes d'exploitation et répertoires. Dès lors, après avoir installé Identity Manager, vous devez créer et configurer un ou plusieurs pilotes pour chaque système avec lequel vous souhaitez synchroniser les données.

Pour chaque pilote, un guide explique les conditions requises et les étapes de configuration nécessaires à la synchronisation des données. Ces guides sont disponibles sur le site Web de documentation des pilotes Identity Manager 4.0.2 (http://www.netiq.com/documentation/idm402drivers/index.html).




Utilisez le guide spécifique pour chaque système géré afin de créer un pilote pour synchroniser les données d'identité.

7.4.2 Assignation de rôles

En cas de synchronisation d'informations entre les différents systèmes, utilisez l'administrateur d'assignation de rôles (RMA) pour gérer les rôles dans ces systèmes. Pour plus d'informations, reportez-vous au manuel Novell Identity Manager Role Mapping Administrator 4.0.2 User Guide (Guide de l'utilisateur de la version 2.0 de l'administrateur d'assignation de rôles de Novell Identity Manager).

7.4.3 Configuration de l'application utilisateur

L'étape suivante consiste à ajouter une perspective d'entreprise à la solution Identity Manager grâce à l'application utilisateur. L'application utilisateur permet de répondre aux besoins suivants de votre entreprise :

proposer un moyen pratique d'effectuer des opérations de provisioning basées sur les rôles ;

garantir que votre organisation dispose d'une méthode permettant de vérifier que le personnel est parfaitement au courant des stratégies organisationnelles et qu'il prend les mesures appropriées pour les respecter ;

fournir un self-service utilisateur qui permet à un nouvel utilisateur de s'enregistrer lui-même et qui autorise l'accès par des utilisateurs anonymes ou invités ;

assurer que l'accès aux ressources de l'entreprise respecte les stratégies organisationnelles et que le provisioning s'opère dans le cadre de la stratégie de sécurité de l'entreprise ;

réduire la charge administrative que supposent la saisie, la mise à jour et la suppression d'informations utilisateur dans l'ensemble des systèmes de l'entreprise ;

gérer le provisioning manuel et automatisé des identités, services et ressources ;

prendre en charge des workflows complexes.

Le manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur) explique comment configurer ces fonctions de l'application utilisateur.

7.4.4 Configuration des fonctions d'audit, de création de rapports et de conformité

La dernière étape de la création de votre solution Identity Manager, la plus importante, est la configuration des fonctions d'audit, de création de rapports et de conformité de manière à pouvoir vérifier que votre solution est en accord avec les stratégies de votre entreprise. Pour installer et configurer ces fonctions, reportez-vous aux guides suivants :

Audit : reportez-vous au manuel Identity Manager 4.0.2 Reporting Guide for Novell Sentinel (Guide de création de rapports d'Identity Manager 4.0 pour Novell Sentinel).

Création de rapports : reportez-vous aux manuels Identity Reporting Module Guide (Guide du module Identity Reporting) et Using Identity Manager 4.0.2 Reports (Utilisation des rapports Identity Manager 4.0).

Conformité : reportez-vous à la section « Using the Compliance Tab » (Utilisation de l'onglet Conformité) du manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).

Étapes suivantes 73

7.5 Administration d'Identity ManagerUne fois votre solution Identity Manager complète, il existe de nombreux guides qui peuvent vous aider à l'administrer, la tenir à jour et la modifier en fonction de l'évolution de votre entreprise. Les différents guides d'administration sont disponibles sur le site Web de documentation d'Identity Manager 4.0.2 (http://www.netiq.com/documentation/idm402/index.html), sous l'intitulé Administration.




Guide de présentation - NetIQ...SAP, PeopleSoft, Salesforce, Microsoft SharePoint, Lotus Notes,...

Documents

Transcript of Guide de présentation - NetIQ...SAP, PeopleSoft, Salesforce, Microsoft SharePoint, Lotus Notes,...