6.2 Création de droits : présentation
Vous devez savoir au départ ce que vous souhaitez faire avec les droits. Le fonctionnement des droits dépend des fonctionnalités intégrées aux pilotes Identity Manager par le biais des stratégies. Ces stratégies implémentent les règles et traitent les événements entre le coffre-fort d'identité et le système connecté. Si les stratégies du pilote Identity Manager n'indiquent pas ce que vous voulez faire, les droits ne peuvent pas fonctionner. Si, par exemple, vous n'indiquez rien dans la section Opération de la règle Vérifier la modification de l'utilisateur pour une appartenance au groupe dans la stratégie Command, les tentatives d'octroi ou de révocation d'un droit d'appartenance au groupe ne seront pas prises en compte.
Vous devez savoir précisément ce que vous souhaitez faire avec Identity Manager pour pouvoir ensuite définir correctement les fonctions d'octroi ou de révocation pour les ressources des systèmes connectés. Les quatre étapes de la procédure suivante vous aideront à planifier la création et l'utilisation des droits :
- Sachez ce que vous souhaitez accomplir dans votre activité. Identity Manager permet de concevoir et d'implémenter pratiquement tout ce que vous souhaitez, à condition que vous sachiez ce que vous voulez faire. Faites la liste de ce que vous voulez faire, avec des numéros.
- Définissez un droit représentant l'un des points de votre liste. Vous pouvez créer des droits avec ou sans valeur. Les droits associés à une valeur peuvent tirer celle-ci d'une requête externe, ils peuvent être définis par l'administrateur ou avoir une structure libre. Vous trouverez des exemples à la Section 6.4.6, Modèles de droits.
- Ajoutez des stratégies au pilote Identity Manager pour implémenter le droit préalablement défini. Pour créer une stratégie pour un pilote Identity Manager, vous devez bien connaître les scripts XSLT ou DirXML, savoir comment le système connecté gère et reçoit les informations, et savoir comment Novell® eDirectory™ stocke les informations. Sauf si vous êtes un programmeur chevronné en langage DirXML*, cette tâche est réservée aux consultants.
- Définissez un agent de gestion chargé d'accorder ou de révoquer le droit. Si vous souhaitez un processus automatisé, utilisez les droits basés sur le rôle. Si vous préférez un processus manuel, utilisez le provisioning basé sur le workflow.
6.2.1 Pilotes Identity Manager dotés de préconfigurations prenant en charge les droits
Identity Manager est fourni avec un certain nombre de pilotes dotés de préconfigurations contenant déjà des droits et des stratégies permettant de les implémenter. Le pilote est activé pour écouter les activités liées aux droits. Vous devez activer les droits à la première installation du pilote pour que celui-ci intègre les éléments préconfigurés. Les pilotes suivants s'accompagnent de préconfigurations prenant en charge les droits :
- Active Directory*
- Exchange
- GroupWise®
- LDAP
- NIS
- Lotus* Notes*
- NT Domain
- RACF
Ces pilotes préconfigurés respectent les trois premières étapes indiquées plus haut. Les exemples de droits qu'ils contiennent sont utilisables dans les scénarios les plus courants : octroi et révocation de comptes utilisateurs, de groupes et de listes de distribution de courrier électronique. Ils comprennent les éléments suivants :
- Active Directory : octroi et révocation de comptes, d'appartenance à un groupe, de boîtes aux lettres Exchange
- Exchange 5.5 : octroi et révocation de boîtes aux lettres et d'appartenance à un groupe
- GroupWise : octroi et révocation de comptes et de membres de listes de distribution
- LDAP : octroi et révocation de comptes utilisateur
- Linux* et UNIX* : octroi et révocation de comptes
- Lotus Notes : octroi et révocation de comptes utilisateur et d'appartenance à un groupe
- NT Domain : octroi et révocation de comptes utilisateur et d'appartenance à un groupe
- RACF : octroi et révocation de comptes de groupe et d'appartenance à un groupe
Il s'agit là d'exemples de droits et de stratégies que vous pouvez utiliser tels quels (s'ils vous conviennent) ; vous pouvez également les adapter à vos besoins, ou les utiliser comme exemples pour créer vos propres droits et stratégies dans iManager ou Designer. Encore une fois, si vous souhaitez utiliser les droits d'un pilote préconfiguré, vous devez activer les droits lorsque vous créez ce pilote dans Designer ou dans iManager. Les droits préconfigurés ne peuvent pas être ajoutés par la suite, à moins de recréer le pilote.
Si vous avez utilisé des droits avec Identity Manager 2.x et si vous souhaitez les utiliser dans Identity Manager 3, lancez la fonction sous .
6.2.2 Activation des droits sur les autres pilotes Identity Manager
Vous pouvez aussi utiliser les droits sur les pilotes Identity Manager ne comportant pas de droits préconfigurés. Pour activer votre pilote afin qu'il prenne en charge les droits, ajoutez l'attribut DirXML-EntitlementRef au filtre du pilote. Pour ce faire :
- Sélectionnez > .
- Recherchez l'ensemble de pilotes contenant le pilote concerné, puis cliquez sur .
- Dans l'écran Présentation de Identity Manager, sélectionnez l'objet Pilote dans l'ensemble proposé.
- Dans l'ensemble de pilotes, double-cliquez sur le pilote pour afficher l'écran correspondant. Cliquez sur l'icône à droite du coffre-fort d'identité (entourée d'un cercle rouge).
- Sur la page Filtre, sélectionnez , puis descendez en bas de la liste et sélectionnez . Sélectionnez l'attribut et cliquez sur .
- Sur la page Filtre, sélectionnez . Sous l'en-tête S'abonner, sélectionnez . Cliquez sur .
- Cette opération se fait automatiquement lorsque vous créez des droits sur un pilote dans Designer.