5.12 Configuration de la notification par message électronique

Les tâches iManager permettent de spécifier le serveur de messagerie et de personnaliser les modèles pour les notifications par message électronique.

Des modèles de messages sont prévus pour permettre à la synchronisation des mots de passé et au libre-service des mots de passe d'envoyer automatiquement des messages électroniques aux utilisateurs.

Vous ne créez pas de modèles. Ces modèles sont fournis par l'application qui doit les utiliser. Les modèles de message électronique sont des objets Modèle dans le coffre-fort d'identité. Ils sont placés dans le conteneur Sécurité, qui se trouve généralement à la racine de votre arborescence. Même s'il s'agit d'objets du coffre-fort d'identité, vous ne devez les modifier que dans iManager.

Ce cadre est modulaire. À mesure que vous ajoutez de nouvelles applications qui utilisent les modèles de messages électroniques, les modèles peuvent être installés en même temps que les applications qui les utilisent.

Vous contrôlez l'envoi de messages, en fonction des choix que vous avez faits dans iManager. En ce qui concerne les oublis de mots de passe, les notifications ne sont envoyées que si vous choisissez d'utiliser l'une des opérations Mot de passe oublié amenant à l'envoi d'un message électronique : envoi à l'utilisateur d'un mot de passe ou d'un indice par courrier électronique. Reportez-vous à la section « Providing Users with Forgotten Password Self-Service (Libre-service Mot de passe oublié pour les utilisateurs) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).

Lorsque vous sélectionnez l'option Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique, la synchronisation des mots de passe est configurée de telle sorte qu'un message électronique soit envoyé uniquement en cas d'échec de la synchronisation, et uniquement pour les pilotes spécifiés.

Figure 5-16 Configuration de la synchronisation des mots de passe

Vous devez également vérifier que les informations d'authentification SMTP figurent dans les stratégies de pilotes.

5.12.1 Conditions préalables

  • Vérifiez que les utilisateurs du coffre-fort d'identité ont rempli l'attribut Adresse de messagerie Internet.
  • Si vous utilisez les notifications par message électronique pour la synchronisation des mots de passe, vérifiez que les stratégies de pilote définies à cet effet contiennent le mot de passe pour le serveur SMTP. Reportez-vous à la Section 5.12.4, Indication des informations d'authentification SMTP dans les stratégies de pilote.
  • Si vous craignez que certains utilisateurs n'indiquent pas l'adresse de messagerie électronique ou si vous souhaitez enregistrer toutes les notifications d'échec, vous pouvez choisir un compte d'administrateur de mot de passe auquel seront envoyées toutes les notifications, en plus d'être envoyées à l'utilisateur.

    Cette adresse doit se trouver dans le champ À de la stratégie de script Identity Manager. Pour plus d'informations, reportez-vous à la Section 5.12.6, Envoi de notifications par message électronique à l'administrateur.

  • Si eDirectory et Identity Manager se trouvent sur un serveur UNIX, celui-ci doit contenir une réplique des objets de modèle de message électronique.

    Ces objets sont situés dans le conteneur Sécurité, à la racine. Le serveur a donc besoin d'une réplique de la partition racine.

5.12.2 Configuration du serveur SMTP pour envoyer la notification par message électronique

  1. Dans iManager, sélectionnez Mots de passe > Options du serveur de messagerie électronique.

    Description : configuration de l'interface du serveur SMTP

  2. Saisissez les informations suivantes :

    • le nom de l'hôte,
    • le nom (par exemple, Administrateur) qui doit apparaître dans le champ De du message électronique,
    • le nom d'utilisateur et le mot de passe permettant de s'authentifier sur le serveur, le cas échéant.

  3. Cliquez sur OK.

  4. Si vous utilisez la synchronisation des mots de passe avec vos pilotes Identity Manager et si vous souhaitez utiliser la fonction de notification par message électronique, vous devez également :

    1. Vérifier que les stratégies de pilote contiennent le mot de passe si votre serveur SMTP exige une authentification avant l'envoi du message électronique. Reportez-vous à la Section 5.12.4, Indication des informations d'authentification SMTP dans les stratégies de pilote pour plus d'informations.

      Pour les notifications de mot de passe oublié, la spécification des informations d'authentification indiquées à l'Etape 2 dans la page Options du serveur de messagerie électronique suffit, mais pas pour les notifications de synchronisation des mots de passe.

    2. Redémarrez les pilotes Identity Manager qui doivent être mis à jour avec les modifications.

      Le pilote lit les modèles et les informations du serveur SMTP au démarrage uniquement.

  5. Personnalisez les modèles de message électronique comme décrit à Configuration des modèles de message électronique destinés à la notification.

Une fois le serveur de messagerie configuré, les messages électroniques peuvent être envoyés par les applications qui les utilisent, si vous faites appel aux fonctionnalités qui entraînent l'envoi des messages.

5.12.3 Configuration des modèles de message électronique destinés à la notification

Vous pouvez personnaliser ces modèles avec le texte de votre choix. Le nom du modèle traduit son utilisation.

  1. Dans iManager, sélectionnez Mots de passe > Éditer les modèles de messages électroniques.

    Description : liste des modèles de messages électroniques dans iManager

  2. Modifiez les modèles comme vous le souhaitez.

    N'oubliez pas que, si vous souhaitez ajouter des balises de remplacement, vous aurez peut-être besoin de tâches complémentaires. Suivez les instructions de la Section 5.12.5, Ajout de vos balises de remplacement aux modèles de notification par message électronique.

  3. Redémarrez les pilotes Identity Manager qui doivent être mis à jour avec les modifications.

    Le pilote lit les modèles et les informations du serveur SMTP au démarrage uniquement.

5.12.4 Indication des informations d'authentification SMTP dans les stratégies de pilote

Indiquez le nom d'utilisateur et le mot de passe pour le serveur SMTP à la Section 5.12.2, Configuration du serveur SMTP pour envoyer la notification par message électronique. Cela suffit pour les notifications d'oubli de mot de passe.

Par contre, pour les notifications de synchronisation des mots de passe, vous devez également indiquer le mot de passe dans les stratégies de pilote. Le moteur méta-annuaire peut accéder au nom d'utilisateur mais pas au mot de passe, qui doit être fourni par la stratégie de pilote.

Vous devez terminer cette procédure dans les cas suivants :

  • Le serveur SMTP est sécurisé et exige une authentification avant d'envoyer le message électronique.
  • Vous utilisez la synchronisation des mots de passe Identity Manager avec un pilote Identity Manager.
  • Dans les paramètres de synchronisation des mots de passe, vous avez choisi Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique.

Pour ajouter le mot de passe du serveur SMTP à la stratégie du pilote :

  1. Vérifiez que le pilote possède les stratégies nécessaires à la synchronisation des mots de passe.

    Ces stratégies sont fournies dans les exemples de configuration du pilote ou peuvent être ajoutées, comme indiqué à la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe.

  2. Dans iManager, sélectionnez Identity Manager > Présentation de Identity Manager.

  3. Recherchez les ensembles de pilotes ou recherchez et sélectionnez un conteneur qui contient l'ensemble de pilotes.

  4. Dans Présentation du pilote Identity Manager, cliquez sur l'icône du pilote.

  5. Sélectionnez l'icône Transformation de l'entrée ou Transformation de la sortie.

  6. Sélectionnez une stratégie, puis cliquez sur Éditer.

  7. Cliquez sur une règle.

  8. Indiquez le mot de passe du serveur SMTP dans les règles qui incluent les opérations d'envoi d'un message électronique à partir d'un modèle.

    Si vous utilisez par exemple les exemples de configuration de pilote, les stratégies suivantes doivent être modifiées pour la synchronisation des mots de passe.

    Ensemble de stratégies

    Nom de la stratégie

    Nom de la règle

    Transformation en entrée

    Password(Pub)-Sub Email Notifications
    • Envoyer un message électronique en cas d'échec de l'abonnement aux mots de passe
    • Envoyer un message électronique en cas d'échec de la réinitialisation du mot de passe du système connecté à l'aide du mot de passe de la zone de stockage Identity Manager

    Transformation en sortie

    Password(Sub)-Pub Email Notifications
    • Envoyer un message électronique en cas d'échec de la publication d'un mot de passe

    La figure suivante montre un exemple de l'opération d'envoi d'un message électronique à partir d'un modèle qui exige le mot de passe.

    Description : opération d'envoi d'un message électronique à partir d'un modèle, avec champ du mot de passe pour l'authentification sur le serveur SMTP

    Le mot de passe est masqué lorsqu'il est stocké dans le coffre-fort d'identité.

  9. Sélectionnez (marquez) la règle, puis cliquez sur OK.

5.12.5 Ajout de vos balises de remplacement aux modèles de notification par message électronique

Les modèles de notifications par message électronique disposent de certaines balises, qui sont définies par défaut, pour vous aider à personnaliser le message pour l'utilisateur. Vous pouvez également ajouter vos propres balises.

La capacité à ajouter des balises dépend de l'application qui utilise le modèle.

Ajout de balises de remplacement aux modèles de notification par message électronique pour la synchronisation des mots de passe

Vous pouvez ajouter des balises de remplacement aux modèles de notification par message électronique pour la synchronisation des mots de passe. Toutefois, elles ne fonctionneront que si vous les définissez également dans chaque règle de la stratégie de synchronisation de mot de passe qui fait référence au modèle de notification par message électronique. Lorsque vous utilisez une opération d'envoi d'un message électronique à partir d'un modèle, toutes les balises de remplacement déclarées dans le modèle doivent être définies sous la forme d'éléments arg-strings enfants de l'opération.

À titre d'exemple, Identity Manager fournit des balises de remplacement par défaut, incluses avec les modèles de notification par message électronique. Il propose également des stratégies par défaut pour la synchronisation des mots de passe dans les configurations de pilote. Chaque balise par défaut fournie avec le modèle de message électronique est également définie dans chaque règle de la stratégie de synchronisation des mots de passe qui utilise le modèle de message.

Par exemple, la balise UserGivenName est l'une des balises par défaut définies dans le modèle de message électronique Password Set Fail (Échec de définition du mot de passe). Une règle de stratégie intitulée Envoyer un message électronique en cas d'échec de l'abonnement aux mots de passe fait référence à ce modèle lors d'une opération d'envoi d'un message électronique à partir d'un modèle. Cette règle, utilisée dans une stratégie, permet l'envoi d'une notification à l'utilisateur en cas d'échec de la synchronisation d'un mot de passe. Cette même balise UserGivenName est définie sous forme d'élément arg-string dans cette règle.

Comme dans cet exemple, chaque nouvelle balise ajoutée doit être définie dans le modèle de message électronique et dans les règles de stratégie qui font référence à ce modèle, afin que le moteur méta-annuaire puisse insérer les données appropriées à la place de la balise de remplacement lors de l'envoi du message électronique à l'utilisateur.

Vous pouvez faire référence aux balises qui figurent dans les configurations de pilote Identity Manager livrées à titre d'exemple avec Identity Manager.

Vous devez en outre vous souvenir que :

  • Les éléments appelés balises de remplacement dans les modèles de messages électroniques sont appelés jetons dans le Générateur de stratégies.
  • Utilisez le Générateur de stratégies pour faciliter la définition des chaînes d'arguments pour les balises de remplacement, tel qu'expliqué dans cette section.
  • Les balises que vous ajoutez peuvent être définies sur l'un des points suivants :
    • Tout attribut Source ou Destination pour l'utilisateur

      À la différence de l'ajout de balises pour les modèles de messages électroniques en cas d'oubli du mot de passe, l'ajout d'une balise ayant le même nom qu'un attribut sur l'objet Utilisateur du coffre-fort d'identité ne permet pas de faire fonctionner la balise. Comme avec toutes les balises utilisées dans les modèles de notification par message électronique pour la synchronisation des mots de passe, vous devez également définir la balise dans la stratégie qui fait référence au modèle de message électronique.

    • Une valeur de configuration globale
    • Une expression XPATH

    Cela s'oppose aux balises des modèles de message électronique pour le Mot de passe oublié, limités aux attributs utilisateurs eDirectory.

  • À la différence de l'ajout de balises pour les modèles de message électronique de mot de passe oublié, qui exigent que vous utilisiez le nom exact d'un attribut utilisateur eDirectory, vous pouvez nommer les balises de remplacement comme vous le souhaitez. Il suffit que le nom corresponde à celui utilisé pour définir la balise dans les stratégies qui référencent le modèle de message électronique.

Pour définir les balises d'une stratégie, retrouvez toutes les stratégies qui font référence au modèle de notification par message électronique et utilisez le Générateur de stratégies pour leur ajouter les balises. Dans chaque stratégie, modifiez chaque règle faisant référence au modèle.

Pour vous assurer de retrouver toutes ces stratégies, vous pouvez exporter vos configurations de pilote et rechercher dans XML une opération do-send-e-mail associée à un modèle correspondant au nom du modèle de notification.

  1. Dans iManager, sélectionnez Identity Manager > Présentation de Identity Manager.

  2. Sélectionnez l'ensemble de pilotes qui contient le pilote disposant de la stratégie à modifier.

  3. Cliquez sur l'icône du pilote contenant la stratégie à modifier.

  4. Sur le canal Éditeur ou Abonné, cliquez sur l'ensemble de stratégies contenant la stratégie à modifier.

    Par exemple, la configuration du pilote eDirectory livré avec Identity Manager contient une stratégie dans l'ensemble de stratégies Transformation de l'entrée qui fait référence aux deux modèles de notification par message électronique pour la synchronisation des mots de passe.

  5. Cliquez sur la stratégie, puis sur Éditer.

    L'illustration suivante montre comment éditer la stratégie Password(Pub)-Sub Email Notifications pour le pilote eDirectory :

    Description : dans la vue graphique de la configuration du pilote, cliquez sur un ensemble de stratégies pour afficher cette fenêtre et modifier une stratégie

  6. Dans la liste des règles qui s'ouvre, cliquez sur celle qui fait référence au modèle de notification par message électronique.

    Cette liste de règles apparaît par exemple dans la stratégie Password(Pub)-Sub Email Notifications. Ces deux règles font référence à l'un des modèles de message électronique pour la synchronisation des mots de passe. Vous devez modifier les deux règles si vous ajoutez des balises aux deux modèles.

    Description : page montrant deux règles d'une stratégie de synchronisation des mots de passe

    Si vous cliquez sur la première règle, la page suivante s'affiche :

    Description : page permettant d'éditer une règle

  7. Défilez jusqu'à la section Opérations.

    Description : page permettant d'éditer une règle et montrant la liste des opérations

  8. Pour la règle Envoyer un message électronique à partir d'un modèle, cliquez sur le bouton Parcourir Description : bouton Parcourir pour le générateur d'arguments de script pour le champ Saisissez des chaînes.

    Le Générateur de chaînes s'ouvre. La figure suivante montre la liste des chaînes qui s'afficherait pour cet exemple. Les balises par défaut utilisées dans les modèles de notification par message électronique sont déjà définies dans les stratégies de synchronisation des mots de passe faisant partie des configurations de pilote Identity Manager, comme celle-ci. Vous pouvez utiliser les balises par défaut à titre d'exemple.

    Description : page du Générateur de chaînes

  9. Pour définir une balise utilisable dans un modèle de notification par message électronique, cliquez sur Nouvelle chaîne, puis saisissez le nom de la balise.

    Assurez-vous que le nom est exactement identique au nom utilisé dans le modèle de notification par message électronique.

  10. Dans le champ Valeur de chaîne, cliquez sur le bouton ParcourirDescription : bouton Parcourir pour le Générateur d'arguments de script pour vous aider à définir la balise.

  11. Sur la page Générateur d'arguments, spécifiez la valeur à intégrer lorsque cette balise est utilisée dans un modèle de notification par message électronique.

    Vous pouvez définir la balise sur l'un des points suivants :

    • Tout attribut Source ou Destination pour l'utilisateur

      À la différence de l'ajout de balises pour les modèles de messages électroniques en cas d'oubli du mot de passe, l'ajout d'une balise ayant le même nom qu'un attribut sur l'objet Utilisateur du coffre-fort d'identité ne permet pas de faire fonctionner la balise. Comme avec toutes les balises utilisées dans les modèles de notification par message électronique pour la synchronisation des mots de passe, vous devez également définir la balise dans la stratégie qui fait référence au modèle de message électronique.

    • Une valeur de configuration globale
    • Une expression XPATH

    L'illustration suivante montre comment définir la balise :

    Description : page du Générateur de chaînes

    Lorsque vous avez défini la balise et cliqué sur OK, la balise apparaît comme l'une des chaînes de la page du Générateur de chaînes.

  12. N'oubliez pas de cliquer sur OK pour valider toutes les pages, afin d'enregistrer les modifications apportées à la stratégie.

  13. Répétez les étapes de modification des règles dans toutes les stratégies qui font référence au modèle de notification par message électronique.

  14. Ajoutez la balise définie dans la stratégie pour le modèle de notification par message électronique, à l'aide du nom exact utilisé dans les stratégies.

    À ce point de la procédure, vous pouvez utiliser le nom de balise présent dans le corps du modèle de notification par message électronique.

  15. Enregistrez vos modifications et redémarrez le pilote.

Ajout de balises de remplacement aux modèles de notification par message électronique pour les mots de passe oubliés

Pour ajouter les balises aux modèles de notification par message électronique pour les mots de passe oubliés, aidez-vous des instructions suivantes :

  • Vous ne pouvez ajouter que des balises correspondant aux attributs LDAP sur l'objet Utilisateur auquel le message est envoyé.
  • Le nom de la balise que vous ajoutez doit être exactement le même que le nom de l'attribut LDAP sur l'objet utilisateur.

    Pour voir en quoi les attributs LDAP correspondent aux noms des attributs eDirectory, reportez-vous à la stratégie d'assignation de schéma fournie dans le pilote Identity Manager pour LDAP.

  • Aucune autre configuration n'est nécessaire.

5.12.6 Envoi de notifications par message électronique à l'administrateur

La configuration par défaut indique que la notification par message électronique n'est adressée qu'à l'utilisateur. Les stratégies livrées avec Identity Manager utilisent l'adresse électronique de l'objet du coffre-fort d'identité pour l'utilisateur concerné.

Vous pouvez toutefois configurer les stratégies de synchronisation des mots de passe de sorte que les notifications soient également adressées à l'administrateur. Pour cela, vous devez modifier le script Identity Manager pour l'une de ces stratégies.

Adressez une copie cachée à l'administrateur en définissant le jeton avec son adresse électronique.

Pour mettre un administrateur en copie, modifiez la stratégie de génération du message électronique (par exemple PublishPasswordEmails.xml, qui recherche l'adresse électronique où envoyer les notifications), et ajoutez un élément <arg-string> à l'adresse électronique de l'administrateur.

L'exemple suivant montre l'élément arg-string ajouté :

	<arg-string name="to">

     <token-text>Admin@company.com</token-text>

	</arg-string>

N'oubliez pas de redémarrer le pilote après avoir apporté les modifications.

5.12.7 Localisation des modèles de notification par l'adresse de messagerie électronique

Vous devez en outre vous souvenir que :

  • Les modèles par défaut sont rédigés en anglais, mais vous pouvez les personnaliser dans votre langue.
  • Les noms et les définitions des balises de remplacement doivent rester en anglais, de sorte que les définitions de jetons arg-string des stratégies concordent avec les noms des balises de remplacement.
  • Pour les notifications de mot de passe oublié envoyées uniquement par message électronique, vous devez ajouter un paramètre dans le fichier portalservlet.properties afin d'indiquer le codage à utiliser dans le courrier. Par exemple :
    ForgottenPassword.MailEncoding=EUC-JP

    Si ce paramètre n'existe pas, la transformation du courrier ne fera appel à aucun codage.

  • Pour les messages électroniques de synchronisation des mots de passe, vous pouvez spécifier un attribut XML nommé charset sur les éléments suivants : <mail>, <message> et <‘>.

    Pour plus d'informations sur l'utilisation de ces éléments, reportez-vous au DirXML Driver for Manual Task Service Implementation Guide (Guide d'implémentation du pilote DirXML pour le service de tâches manuelles). Vous y trouverez davantage de détails sur les modèles de messages électroniques.