Les informations suivantes s'appliquent à tous les droits et non à une implémentation spécifique.
Vous pouvez contrôler les conséquences de l'attribution ou de la suppression d'un droit. Chaque pilote fournit une liste des choix pris en charge qui contrôlent la signification des verbes « accorder » et « révoquer ».
Ainsi, lors de l'ajout d'un compte GroupWise, vous pouvez spécifier que « accorder » signifie en fait attribuer à l'utilisateur un compte désactivé, ce qui oblige l'administrateur à intervenir pour que l'utilisateur puisse accéder au compte en question. Vous pouvez sinon choisir d'activer le compte, ce qui est l'option par défaut.
Par défaut, les configurations de pilote utilisent l'option susceptible de protéger au mieux les données. Ainsi, la signification par défaut de supprimer pour un compte GroupWise est fixée à désactiver, pour empêcher la perte involontaire de comptes en cas d'erreur lorsque l'administrateur modifie des stratégies. Autre exemple : les configurations des pilotes Identity Manager ne révoquent pas les droits qui tirent leurs valeurs d'un compte utilisateur dans un autre système. Si un utilisateur se voit accorder l'appartenance à une liste de distribution de courrier électronique et si, par la suite, l'utilisateur ne satisfait plus aux critères de la stratégie de droit, il est tout simplement exclu de l'appartenance à la stratégie. Les comptes sont désactivés mais l'appartenance à un groupe et les valeurs d'attribut ne sont pas supprimées. Un expert Identity Manager peut personnaliser les configurations de pilote si vous souhaitez un autre résultat.
L'interprétation de la révocation d'un droit est particulièrement importante dans la mesure où la fonctionnalité des droits basés sur le rôle permet de modifier radicalement les droits d'une entreprise dans un environnement de production sans tester les résultats en laboratoire.
Vous pouvez modifier le paramètre d'interprétation des termes « accorder » et « révoquer » en modifiant les variables de configuration globale sur un pilote préconfiguré. Si vous créez votre propre configuration personnalisée, vous pouvez ajouter des GCV permettant d'interpréter l'octroi et la révocation des droits.
Les droits basés sur le rôle sont conçus pour permettre de modifier radicalement les droits, par exemple les droits sur les comptes, en fonction de l'appartenance à la stratégie. Cela signifie cependant que des erreurs faites lors de la modification de stratégies risquent d'engendrer des problèmes. Les configurations de pilote fournies avec Identity Manager utilisent les paramètres les plus bénins. Vous devez savoir comment utiliser les GCV pour éviter de perdre accidentellement des données.
Nous vous recommandons, par exemple, de ne jamais définir sur Supprimer la GCV chargée de l'interprétation de la révocation d'un droit sur un compte.
Une autre mesure pour protéger vos données lorsque vous modifiez ou créez une nouvelle stratégie de droit consiste à désactiver le pilote pour que les modifications ne soient pas effectuées tant que vous n'avez pas terminé de modifier vos stratégies. Vous pouvez alors ensuite redémarrer manuellement le pilote à l'aide du bouton dans l'interface des stratégies de droit. De même, s'il semble qu'un autre utilisateur est en train de modifier des stratégies de droit et si vous essayez de redémarrer le pilote de service de droits à l'aide du bouton , vous êtes invité à ne pas le faire tant que l'autre utilisateur n'a pas fini d'effectuer ses modifications.
La synchronisation des mots de passe se gère de la même manière pour les pilotes qui utilisent les droits basés sur le rôle et pour les autres pilotes, comme indiqué dans Synchronisation de mot de passe sur des systèmes connectés.