Cette section contient les informations suivantes :
Lorsque vous créez des règles de droits, il se peut que les règles qui concernent un utilisateur donné soient en conflit avec l'assignation de droits à ce même utilisateur.
Procédez de la manière suivante pour résoudre ces conflits. Pour certains droits, vous pouvez modifier la résolution de conflit.
Les droits qui n'ont pas de valeurs s'ajoutent. La plupart du temps, un compte est un droit qui ne possède pas de valeurs. Si un compte est accordé à un utilisateur sur un système connecté par n'importe quelle règle de droit, l'utilisateur reçoit un compte sur ce système. Peu importe s'il y a un conflit avec une autre règle de droit ; le résultat s'ajoute.
Cela est toujours le cas ; il n'est pas possible de modifier la méthode de résolution de conflit pour l'attribution de comptes.
On pourrait utiliser comme métaphore pour les droits n'ayant pas de valeurs, un interrupteur ; il est soit activé soit désactivé, c'est-à-dire attribué ou non.
Ainsi, si la règle de droit Responsable attribue à Jean Chandler un compte Exchange mais si cet utilisateur est exclu de la règle de droit des employés du service courrier qui attribue également des comptes Exchange, Jean reçoit quand même un compte Exchange.
Les droits qui ont des valeurs s'ajoutent par défaut, mais vous pouvez choisir de les résoudre par priorité. Il s'agit de droits tels que l'appartenance à un groupe avec une liste de noms de groupes pour les valeurs ou un attribut avec une valeur. Par défaut, ce type de droits s'ajoute également.
Vous pouvez modifier la résolution de conflit pour ce type de droits si vous le souhaitez.
Le paramètre qui réglemente la résolution de conflit pour chaque type de droit se trouve dans le manifeste de pilote d'un pilote en question. Chaque type de droit proposé par un pilote est indiqué séparément dans le manifeste. Les droits qui ont des valeurs possèdent un attribut de résolution de conflit défini indépendamment pour chaque droit. Le paramètre par défaut est conflict-resolution="union". L'autre valeur possible est conflict-resolution="priority".
conflict-resolution="union" --- La valeur union signifie que les droits s'ajoutent. Tous les droits accordés du fait de l'appartenance à un règle d'un utilisateur lui sont assignés. Les valeurs de droits différentes sont simplement ajoutées et l'utilisateur les obtient toutes.
Ainsi, si Jameel est membre de la règle des organisateurs de salons qui attribue l'appartenance à une liste de distribution de courrier électronique GroupWise nommée liste de distribution de courrier électronique des salons, et s'il est exclu de l'appartenance à la règle des responsables de salons qui attribue également la liste de distribution de courrier électronique nommée liste de distribution de courrier électronique des salons, il obtiendra quand même son appartenance à la liste de distribution de courrier électronique.
Autre exemple : si l'on attribue à Consuela l'appartenance au groupe AD nommé personnel du service courrier par la règle du service courrier ainsi que l'appartenance au groupe AD nommé réaction en cas d'urgence par la règle des volontaires d'urgence, on lui attribue l'appartenance aux deux groupes dans AD.
Avec ce paramètre, la position d'une règle de droit dans la liste des règles n'est pas importante pour le droit en question.
conflict-resolution="priority" --- Par opposition, une valeur de priorité signifie que, si des valeurs dans deux règles sont en conflit ou si une règle inclut l'utilisateur et qu'une autre l'exclut, les seuls droits attribués à l'utilisateur sont ceux compris dans la règle de droit la plus haut dans la liste des règles de droit.
On aurait alors, avec ce paramètre, un résultat différent pour les exemples précédents.
Dans l'exemple précédent, pour Jameel, si le droit de la liste de distribution de courrier électronique GroupWise avait une valeur de priorité, et la règle des responsables de salons était plus haut dans la liste que la règle des organisateurs de salons, l'appartenance à la liste de distribution de courrier électronique des salons ne lui serait pas accordée.
Dans l'exemple ci-dessus, pour Consuela, si le droit d'appartenance au groupe NOS AD avait une valeur de priorité, et si la règle de la salle de courrier était plus haut dans la liste à la règle des volontaires d'urgence, on ne pourrait lui accorder que l'appartenance au groupe du personnel de la salle de courrier. On ne lui accorderait pas l'appartenance au groupe de réaction en cas d'urgence car la résolution de conflit ne s'ajoute, prioritairement, pas.
Cette fonctionnalité peut se révéler utile si, par exemple, vous configurez votre environnement de manière à utiliser les droits basés sur le rôle pour placer les utilisateurs dans une structure hiérarchique sur un autre système. Vous souhaiteriez alors placer l'utilisateur à un endroit ou un autre, mais pas aux deux en même temps.
N'oubliez pas que le paramètre est indépendant pour chaque droit proposé par chaque pilote.
En règle générale, si vous utilisez le paramètre priorité, il est conseillé de placer les règles d'administrateur ou de responsable plus haut dans la liste que les règles concernant les utilisateurs finals ou les collaborateurs individuels. De même, il est préférable de placer les groupes avec le moins de membres plus haut que les groupes plus fournis.
Dans iManager, cliquez sur Gestion DirXML > Présentation, puis sélectionnez un ensemble de pilotes.
Une page avec une représentation graphique de tous les pilotes de l'ensemble de pilotes s'affiche.
Arrêtez le pilote.
Cliquez sur l'icône du pilote qui propose le droit que vous souhaitez modifier.
Une page proposant des icônes pour les règles du pilote et le pilote s'affiche.
Cliquez sur l'icône du pilote pour ouvrir la page des paramètres du pilote.
Cliquez sur Manifeste du pilote.
Le manifeste du pilote est affiché en XML mais est grisé car il n'est pas en mode d'édition.
Cochez la case Activer la modification du XML.
Dans le XML, repérez la définition du droit que vous souhaitez modifier.
Voici un exemple de la ligne qu'il vous faut repérer :
<entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">
Modifiez la valeur conflict-resolution. Les deux valeurs possibles sont les suivantes :
conflict-resolution="union"
conflict-resolution="priority"
Pour plus d'informations sur ces valeurs, reportez-vous à la section Résolution de conflit entre les règles de droits.
Redémarrez le pilote de service de droit.
Par défaut, l'ordre de la liste des règles de droits n'a pas d'importance, dans la mesure où les configurations de pilote livrées avec Identity Manager 2 ont comme méthode de résolution de conflit conflict-resolution="union" pour chaque droit.
Si vous modifiez un droit pour lui attribuer la valeur conflict-resolution="priority,", alors l'ordre de la liste des règles de droits a une importance, mais uniquement pour les droits que vous avez modifiés. Pour plus d'informations sur ces valeurs, reportez-vous à la section Résolution de conflit entre les règles de droits.
Pour modifier l'ordre des règles de droits, utilisez les flèches en regard de la liste des règles de droits. La première règle dans la liste a la plus haute priorité.
Dans iManager, cliquez sur Droits basés sur le rôle > Droits basés sur le rôle.
Recherchez un ensemble de pilotes, puis sélectionnez-le.
Une page avec une liste des règles de droits s'affiche.
Modifiez la priorité des règles de droits à l'aide des flèches pour déplacer les règles vers le haut ou le bas de la liste.
Déplacez une règle de droit plus haut dans la liste pour lui donner une plus haute priorité.
Cliquez sur le bouton Fermer pour redémarrer le pilote.
Vous devez redémarrer le pilote pour que les modifications de priorités soient appliquées.
Observez la capture ci-dessous pour un exemple de page de liste de règles faisant apparaître les flèches.
