6.7 Création de stratégies de droits

Utilisez l'assistant fourni pour créer une stratégie de droit.

  1. Vérifiez que vous avez configuré le pilote de service de droits et que vous avez créé les configurations de pilote nécessaires.

  2. Dans iManager, cliquez sur Droits basés sur le rôle > Droits basés sur le rôle.

  3. Sélectionnez un ensemble de pilotes

    Chaque ensemble de pilotes possède ses propres stratégies de droits.

    La liste des stratégies de droits existantes s'ouvre, comme sur la page illustrée ci-après. Si vous utilisez les droits basés sur le rôle pour la première fois, aucune règle ne figure dans la liste.

    Description : liste des stratégies de droit

  4. Cliquez sur Nouveau.

    L'Assistant de stratégie de droit s'ouvre.

  5. Suivez les étapes 1 à 6 de l'assistant pour créer une nouvelle stratégie. Reportez-vous à l'aide en ligne pour plu d'informations sur chaque étape de l'assistant.

    1. À l'étape 1, spécifiez le nom et la description de la stratégie.

    2. À l'étape 2, définissez le filtre d'appartenance et les paramètres de recherche.

    3. À l'étape 3, définissez les membres statiques. Vous devez pour cela inclure des membres dans les critères de recherche et en exclure.

    4. À l'étape 4, sélectionnez un pilote Identity Manager et indiquez les droits à inclure. Pour créer des droits, reportez-vous à la Section 6.4, Rédaction de droits en langage XML dans iManager. Cliquez sur Ajouter un pilote, puis sélectionnez le droit à ajouter.

      Description : sélection de droits

    5. À l'étape 5, localisez les objets dont vous souhaitez que la stratégie de droits soit un ayant droit.

    6. À l'étape 6, lisez le résumé pour vous assurer que la stratégie de droits a bien le rôle souhaité. Si tel le cas, cliquez sur Terminer. Sinon, cliquez sur Précédent.

  6. Le processus de création de la stratégie de droit éteint le pilote de service de droits. Cliquez sur Redémarrer pour terminer la session.

6.7.1 Définition de l'appartenance à un groupe pour une stratégie de droit

Comme les pilotes Identity Manager, une stratégie de droit ne peut gérer que les objets présents dans une réplique maîtresse ou en lecture/écriture sur le serveur correspondant. Chaque stratégie de droit est associée à un seul objet Ensemble de pilotes, lui-même affecté à un serveur donné.

Seuls les objets Utilisateur (et d'autres types d'objets dérivés de la classe Utilisateur) peuvent être membres d'une stratégie de droit. Pour ouvrir la page Membres d'une stratégie de droits, sélectionnez Droits basés sur le rôle > Droits basés sur le rôle, puis mettez en surbrillance la stratégie de droits à modifier dans la liste des stratégies de droit et sélectionnez l'option Éditer. Dans Internet Explorer, sélectionnez l'onglet Membres ; dans le navigateur Firefox, sélectionnez Éditer les membres dynamiques dans le menu déroulant.

Une stratégie de droit est un objet de groupe dynamique. Les membres d'une stratégie de droit peuvent être définis selon deux méthodes, dynamique ou statique. Les deux méthodes peuvent être utilisées dans une même stratégie de droit.

  • Dynamique : vous pouvez définir des critères d'appartenance à un groupe fondés sur les valeurs des attributs de l'objet, par exemple si l'appellation d'emploi doit ou non contenir le terme Responsable. Les critères que vous spécifiez sont convertis en un filtre LDAP.

    Les utilisateurs qui répondent aux critères choisis appartiennent automatiquement à la stratégie de droit. Vous n'avez pas à les ajouter un par un. La sélection dynamique de membres revient à définir un objet Groupe dynamique.

    Si un objet est modifié et ne satisfait alors plus aux critères d'appartenance à un groupe dynamique, ses droits sont automatiquement supprimés.

    Figure 6-2 Édition des membres dynamiques et statiques

  • Statique : outre la création de critères pour l'appartenance à un groupe dynamique (un filtre LDAP), vous pouvez inclure ou exclure des utilisateurs.

    Vous pouvez ajouter statiquement des membres qui ne satisfont pas aux critères du filtre. Vous pouvez exclure des membres qui satisfont aux critères du filtre mais qui ne doivent pas être inclus dans la stratégie de droit.

6.7.2 Choix des droits pour une stratégie de droit

Les droits permettent d'accorder ou de révoquer l'accès aux services des systèmes connectés et des droits dans le coffre-fort d'identité.

Les pilotes installés avec les droits activés sont fournis avec une liste de droits qui peuvent être attribués à l'aide d'une stratégie de droit. Vous pouvez également créer vos propres droits utilisables dans une stratégie de droit. Les droits que le pilote peut fournir sont des objets enfants du pilote, créé par le développeur pour représenter les fonctions du pilote et du système connecté.

Des droits d'ayant droit sur les objets du coffre-fort d'identité sont immédiatement accordés aux membres de la stratégie de droit. Par défaut, les droits dans les systèmes connectés sont accordés à chaque membre de la stratégie de droit lors de la modification pour cet utilisateur d'un attribut utilisé pour l'appartenance à la stratégie de droit, ou lorsqu'un utilisateur est déplacé dans un autre conteneur ou renommé.

Les droits disponibles sur les systèmes connectés sont les suivants :

  • Comptes
  • Appartenance aux listes de distribution de courrier électronique
  • Appartenance à des listes NOS
  • Attributs pour les objets correspondants des systèmes connectés, peuplés avec les valeurs que vous spécifiez
  • Autres droits que vous personnalisez

Comptes sur les systèmes connectés

Pour ajouter des droits à une stratégie de droit, allez sur la page Droits, puis sélectionnez un pilote. Une fenêtre contextuelle indiquant les droits proposés par ce pilote s'affiche.

Ainsi, sur la capture suivante, deux sortes de droits sont proposés par un pilote GroupWise, le premier dans la liste étant un compte utilisateur GroupWise.

Figure 6-3 Interface de définition des droits

Appartenance à des listes de distribution de courrier électronique et des listes NOS

Pour assigner une appartenance à des groupes sur des systèmes connectés, choisissez le droit d'appartenance dans la liste des droits proposés par un pilote.

La capture suivante présente un exemple, les listes de distribution GroupWise figurant en deuxième position dans la liste.

Figure 6-4 Sélection de listes de distribution GroupWise

Si, dans cet exemple, vous choisissez Listes de distribution GroupWise, une fenêtre contextuelle de requête s'affiche, comme illustré à la capture suivante.

Figure 6-5 Requêtes de valeurs de droits

L'interface de stratégie de droit permet de lancer une requête afin d'obtenir une liste de distribution de courrier électronique ou des listes NOS. Une fois la requête effectuée, vous pouvez choisir de consulter la liste mise en cache.

Les pilotes sont configurés pour renvoyer la liste complète afin que vous puissiez faire votre choix dans la liste qui se trouve sur le système connecté.

REMARQUE:vous pouvez personnaliser un pilote pour limiter la liste aux noms de groupes spécifiés plutôt que d'utiliser une requête qui renvoie la liste complète.

Valeurs d'attribut sur les systèmes connectés

Vous pouvez assigner des valeurs d'attribut aux comptes utilisateur sur les systèmes connectés. L'interface permet de saisir la valeur que vous souhaitez attribuer aux comptes utilisateur.

La capture suivante présente un exemple d'ajout d'une valeur d'attribut pour un attribut Notes, Service.

Figure 6-6 Ajout d'une valeur d'attribut