6.8 Résolution des conflits entre les stratégies de droits basés sur le rôle

6.8.1 Présentation des conflits

Lorsque vous créez des stratégies de droits, il se peut que les stratégies qui concernent un utilisateur donné soient en conflit avec l'assignation de droits à ce même utilisateur.

Procédez de la manière suivante pour résoudre ces conflits. Pour certains droits, vous pouvez modifier la résolution de conflit.

  • Les droits qui ne sont pas associés à des valeurs s'ajoutent.Dans la plupart des cas, les droits sur les comptes ne comportent pas de valeur. Si une stratégie de droit accorde à un utilisateur un compte sur un système connecté, cet utilisateur obtient ce compte. Peu importe s'il y a un conflit avec une autre stratégie de droit ; le résultat s'ajoute.

    Cela est toujours le cas ; il n'est pas possible de modifier la méthode de résolution de conflit pour l'attribution de comptes.

    Les droits n'ayant pas de valeur peuvent être comparés à un interrupteur ; ils sont soit activés soit désactivés, c'est-à-dire accordés ou non.

    Ainsi, si la stratégie de droit Responsable attribue à Jean Chandler un compte Exchange mais si cet utilisateur est exclu de la stratégie de droit des employés du service courrier qui attribue également des comptes Exchange, Jean reçoit quand même un compte Exchange.

  • Les droits qui ont des valeurs s'ajoutent par défaut, mais vous pouvez choisir de les résoudre par priorité.Les droits tels que l'appartenance à un groupe sont associés à une liste de noms de groupes pour les valeurs, ou à un attribut doté d'une valeur. Par défaut, ce type de droits s'ajoute également.

    Si vous le souhaitez, vous pouvez modifier la méthode de résolution des conflits pour ce type de droits.

    Le paramètre qui commande la résolution des conflits pour chaque droit est défini dans le droit en question. Chaque type de droit offert par un pilote figure séparément dans le manifeste. Les droits qui ont des valeurs possèdent un attribut de résolution de conflit défini indépendamment pour chaque droit. Le paramètre par défaut de résolution des conflits est Priorité (conflict-resolution="priority"). L'autre valeur possible est conflict-resolution="union".

    • conflict-resolution=“union” — La valeur union signifie que les droits s'ajoutent. Tous les droits accordés du fait de l'appartenance à un stratégie d'un utilisateur lui sont assignés. Les valeurs de droits différentes sont simplement ajoutées et l'utilisateur les obtient toutes.

      Ainsi, si Jameel est membre de la stratégie Organisateurs de salons qui attribue l'appartenance à une liste de distribution de courrier électronique GroupWise nommée Liste de distribution de courrier électronique des salons, mais s'il est exclu de l'appartenance à la stratégie Responsables de salons qui attribue également cette même Liste de distribution de courrier électronique des salons, il obtiendra quand même son appartenance à la liste de distribution de courrier électronique.

      Autre exemple : si Consuela se voit accorder l'appartenance au groupe AD nommé Personnel du service courrier par la stratégie Service courrier, ainsi que l'appartenance au groupe AD nommé Réaction en cas d'urgence par la stratégie Volontaires d'urgence, l'appartenance aux deux groupes lui est accordée dans AD.

      Avec ce paramètre, la position d'une stratégie de droit dans la liste des stratégies est sans importance pour le droit en question.

    • conflict-resolution=“priority” — La valeur « priority » signifie que, si des valeurs dans deux stratégies sont en conflit ou si une stratégie inclut l'utilisateur et si une autre l'exclut, les seuls droits attribués à l'utilisateur sont ceux compris dans la stratégie de droit qui figure en premier dans la liste des stratégies de droit.

      On aurait alors, avec ce paramètre, un résultat différent pour les exemples précédents.

      Dans l'exemple précédent, pour Jameel, si le droit de la liste de distribution de courrier électronique GroupWise avait une valeur de priorité, et la stratégie des responsables de salons était plus haut dans la liste que la stratégie des organisateurs de salons, l'appartenance à la liste de distribution de courrier électronique des salons ne lui serait pas accordée.

      Dans l'exemple ci-dessus, pour Consuela, si le droit d'appartenance au groupe NOS AD avait la valeur « priority », et si la stratégie Service courrier était plus haut dans la liste que la stratégie Volontaires d'urgence, elle ne se verrait accorder que l'appartenance au groupe Personnel du service courrier. On ne lui accorderait pas l'appartenance au groupe de réaction en cas d'urgence car la résolution de conflit ne s'ajoute, prioritairement, pas.

      Cette fonctionnalité peut se révéler utile si, par exemple, vous configurez votre environnement de manière à utiliser les droits basés sur le rôle pour placer les utilisateurs dans une structure hiérarchique sur un autre système. Vous voulez que chaque utilisateur soit placé à un endroit et pas à deux endroits à la fois.

      N'oubliez pas que ce paramètre peut être différent pour chaque droit offert par chaque pilote.

      En général, si vous utilisez le paramètre priorité, il est conseillé de placer les stratégies d'administrateur ou de responsable plus haut dans la liste que les stratégies concernant les utilisateurs finals ou les collaborateurs individuels. Placez les groupes les plus étroits avant les groupes les plus larges.

6.8.2 Modification de la méthode de résolution de conflit pour un droit individuel

  1. Dans iManager, sélectionnez Identity Manager > Présentation de Identity Manager, puis sélectionnez un ensemble de pilotes.

    Une page avec une représentation graphique de tous les pilotes de l'ensemble de pilotes s'affiche.

    Description : sélection de l'ensemble de pilotes

    Figure 6-7 Ensemble de pilotes

  2. Cliquez sur le bouton d'état du pilote et sélectionnez Arrêter le pilote.

  3. Cliquez sur l'icône du pilote qui propose le droit que vous souhaitez modifier.

    Une page proposant des icônes pour le pilote et ses stratégies s'affiche. Sélectionnez l'icône Afficher tous les droits au centre de l'écran (dans un cercle rouge).

    Description : sélection de l'icône Afficher tous les droits

  4. Sur la page Gérer les droits, cliquez sur le nom du droit pour l'afficher dans la visionneuse XML.

  5. Cochez la case Activer l'édition XML.

  6. Dans le XML, repérez la définition du droit que vous souhaitez modifier.

    Voici un exemple de la ligne qu'il vous faut repérer :

    <entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">

  7. Modifiez la valeur conflict-resolution. Les deux valeurs possibles sont les suivantes :

    conflict-resolution="union"

    conflict-resolution="priority"

    Pour plus d'informations sur ces valeurs, reportez-vous à Résolution des conflits entre les stratégies de droits basés sur le rôle.

  8. Cliquez sur Redémarrer pour redémarrer le pilote de service de droits.

6.8.3 Classement des stratégies de droits par ordre de priorité

Par défaut, l'ordre de la liste des stratégies de droits n'a pas d'importance, dans la mesure où les configurations de pilote livrées avec Identity Manager ont comme méthode de résolution des conflits conflict-resolution="union" pour chaque droit.

Si vous modifiez un droit pour lui attribuer la valeur conflict-resolution="priority", l'ordre des stratégies de droits dans la liste a une importance, mais uniquement pour les droits que vous avez modifiés. Pour plus d'informations sur ces valeurs, reportez-vous à Résolution des conflits entre les stratégies de droits basés sur le rôle.

Pour modifier l'ordre des stratégies de droits, utilisez les flèches en regard de la liste des stratégies de droits. La première stratégie dans la liste a la plus haute priorité.

  1. Dans iManager, cliquez sur Droits basés sur le rôle > Droits basés sur le rôle.

  2. Recherchez un ensemble de pilotes, puis sélectionnez-le.

    Une page avec une liste des stratégies de droits s'affiche.

  3. Modifiez la priorité des stratégies de droits à l'aide des flèches pour déplacer les stratégies vers le haut ou vers le bas de la liste.

    Pour attribuer une priorité plus élevée à une stratégie de droit, déplacez-la vers le haut.

    Description : modification de la priorité de la stratégieDescription longue : liste des stratégies de droits dans iManager avec la souris placée sur la flèche montante. L'info-bulle indique Augmenter la priorité.

  4. Cliquez sur Fermer pour redémarrer le pilote.

    Vous devez redémarrer le pilote pour que les modifications de priorités soient appliquées.