Skip to content

Guide de l'administrateur

Les sections suivantes décrivent comment utiliser la console de gestion de RAC/M Identity pour effectuer les tâches d'exploitation de votre service de GIA ainsi que comment configurer et administrer la solution.

Les divers sujets sont présentés dans l'ordre général du menu principal de la console de gestion.

Note

Les instructions suivantes assument que vous êtes connectés à la console de gestion de RAC/M Identity avec un compte administrateur possédant les droits suffisants.

Voir Se connecter pour la première fois pour plus d'informations.

À propos des opérations

RAC/M Identity est conçu pour fonctionner de façon complètement automatisée, avec un minimum d'efforts requis des pilotes et administrateurs de la solution. Une fois configurée et rodée, la logique d'affaires permet d'automatiser la grande majorité des traitements.

En tant que pilote de la solution, vous devez vous assurer du bon fonctionnement de la solution et vos tâches consistent essentiellement à suivre les indicateurs, à réagir si vous recevez des alertes signalant des erreurs ou des anomalies et à investiguer et résoudre les problèmes le cas échéant.

À cet effet, vous utiliserez principalement la fonction Gestion du menu principal.

L'option Gestion du menu principal permet de:

  • Réviser et exécuter des séquences de traitements
  • Visualiser les journaux
  • Gérer les utilisateurs locaux de RAC/M Identity
  • Gérer les profils de RAC/M Identity
  • Visualiser les événements d'audit

Réviser et exécuter des séquences

En général, les séquences sont paramétrées pour être exécutées automatiquement selon un horaire et un calendrier déterminés lors de la configuration des séquences.

Réviser une séquence

La fenêtre affichée lors de l'ouverture de cette option de menu reflète les résultats de la dernière séquence exécutée. Vous pouvez aussi réviser les résultats détaillés de toute autre séquence.

Pour réviser l'exécution d'une séquence:

  1. Dans le menu GESTION, cliquez sur Exécution de séquence.

  2. Pour réviser l'exécution d'une séquence autre que celle qui est affichée, cliquez sur l'onglet Historique et sélectionnez la séquence à visualiser dans la liste.

Les derniers résultats apparaissent dans le tableau DÉTAILS DU JOURNAL D'EXÉCUTION. Chaque module de la séquence est répertorié avec le nombre d'items traités et le temps qu'il a fallu pour les traiter.

Dans la colonne Code de retour, le code 100 indique que le module a été exécuté avec succès. Tout autre code indique une erreur. Pointez sur l'icône représentant un point d'interrogation à côté de Code de retour pour afficher la liste des codes de retour.

S'il y a des erreurs pendant le traitement, l'état du traitement apparaît en orange ou en rouge.

Pour visualiser le détail des erreurs, vous devez ouvrir le fichier journal des erreurs du module qui a échoué. Il se trouve dans le répertoire que vous avez identifié lors de la configuration du module (voir Configuration d'un module).

Note

Vous pouvez visualiser tous les journaux d'erreurs à partir du menu GESTION de la console d'administration. Voir Visionner les journaux.

Exécuter une séquence manuellement

En général, l'exécution d'une séquence est planifiée automatiquement (voir Configurer une séquence), mais vous pouvez être amené à l'exécuter manuellement, notamment lors des premiers tests de nouvelles séquences.

Pour exécuter une séquence manuellement:

  1. Dans le menu GESTION, cliquez sur Exécution de séquences.

Exécution de la séquence

  1. Dans la liste Séquence à exécuter, sélectionnez la séquence que vous souhaitez exécuter manuellement.

  2. Pour repartir le traitement au début cliquez la case à cocher Redémarrer du début

  3. Cliquez sur Exécuter.

Vous pouvez voir la progression de chaque module au fur et à mesure de son exécution. Vous pouvez revoir les résultats à la fin.

Arrêter et repartir une séquence

Vous pouvez interrompre une séquence en cours d'exécution en cliquant sur le boutons Arrêter et la relancer en cliquant sur le bouton Exécuter.

Visionner les journaux

Pour visionner les journaux:

  1. Dans le menu GESTION, cliquez sur Journaux.

  2. Dans la liste, sélectionnez le fichier que vous souhaitez visionner.

Vous pouvez afficher le contenu des journaux en format brut en cliquant sur l'icônePagesitué en haut à droite de l'écran principal.

Note

Le contenu des journaux d'erreur est très technique et sert essentiellement à investiguer la cause de problèmes. Les journaux sont utiles à l'équipe de support technique d'OKIOK ainsi qu'aux intégrateurs et experts techniques de la solution.

Gérer les utilisateurs locaux

Il existe deux types de comptes utilisateurs RAC/M Identity: Les utilisateurs locaux qui ne sont généralement utilisés que pour la configuration initiale et la mise en place de RAC/M Identity et les comptes utilisateurs fédérés qui sont utilisés au quotidien par les pilotes, les utilisateurs finaux, les opérateurs, les gestionnaires, les approbateurs, les certificateurs, etc. pour effectuer des opérations GIA et gérer une mise en œuvre opérationnelle de RAC/M Identity.

Les comptes locaux sont créés à partir de la console d'administration et sont authentifiés à l'aide de la base de données de mots de passe intégrée. Il ne devrait normalement y avoir qu'un très petit nombre de comptes locaux, idéalement un seul. Les comptes locaux ne sont normalement utilisés que pour l'installation et la configuration initiales de RAC/M Identity.

Les comptes fédérés n'ont pas besoin d'être créés manuellement car ils sont importés d'un annuaire d'entreprise tel qu'Active Directory ou Azure AD. Les comptes fédérés sont authentifiés à l'aide d'un mécanisme d'authentification externe tel qu'Active Directory ou un fournisseur d'authentification SAML et affectés par des règles d'affaires au profil RAC/M Identity approprié en fonction de leurs responsabilités.

Pour créer un compte utilisateur local :

  1. Dans le menu GESTION, cliquez sur Utilisateurs RAC/M.
  2. En haut à droite de la page, cliquez sur le bouton .
  3. Sous Détails, entrez les informations requises comme suit :
ChampDescription
IdentifiantDans la zone de texte, saisissez le nom qui sera utilisé pour connecter à RAC/M Identity.
Nom completDans la zone de texte, saisissez le nom complet de l'utilisateur.
Profil RAC/MDans la liste, sélectionnez le profil que vous souhaitez attribuer à l'utilisateur. Cela détermine les menus et les fonctions auxquels l'utilisateur aura accès.
Si le profil souhaité ne figure pas dans la liste, vous pouvez le créer.
Identité associéeCeci est utilisé pour associer une identité à cet utilisateur interne. Le cas échéant, sélectionnez dans la liste une identité à associer au nouvel utilisateur. L'utilisateur pourra alors s'authentifier en utilisant l'ID et le mot de passe de l'identité associée au lieu de l'identifiant et du mot de passe interne.
Nouveau mot de passeEntrez le mot de passe qui sera utilisé pour vous connecter à RAC/M Identity.
Confirmation du mot de passeRéinscrivez le mot de passe précédemment entré.
  1. Cliquez sur Enregistrer.

Important

Bien que ce mot de passe ne soit utilisé que pour la configuration initiale de RAC/M Identity, il est important que vous choisissiez un mot de passe de haute qualité pour assurer une protection suffisante pendant le processus d'installation et de configuration.

Il sera possible (et recommandé) de désactiver l'utilisation des mots de passe intégrés une fois qu'un fournisseur d'authentification sera configuré.

Pour générer ou révoquer une clé API

Les clés API sont utilisées pour s'authentifier auprès des serveurs de RAC/M Identity lors de l'utilisation de services Web. Une fois générées, elles doivent être copiées et collées là où elles seront utilisées.

Pour générer une clé API :

1- Cliquez sur le bouton Générer.

Pour régénérer une clé d'API :

1- Cliquez sur le bouton Regénérer.

Pour révoquer une clé API :

1- Cliquez sur le bouton Révoquer et confirmez lorsque cela vous est demandé.

Important

Les clés API sont des éléments cryptographiques sensibles qui doivent être protégés pour empêcher tout accès non autorisé aux services Web de RAC/M Identity. Vous devez faire preuve de la plus grande prudence pour éviter que les clés ne soient compromises.

Gérer les profils RAC/M Identity

Dans RAC/M Identity, les profils vous permettent de définir à quels menus et fonctionnalités les utilisateurs auront accès. Ceci est utile pour limiter ce que certains utilisateurs peuvent voir et faire dans la console de gestion en fonction de leurs responsabilités.

Pour créer un profil de RAC/M Identity :

  1. Dans le menu GESTION, cliquez sur Profils RAC/M.
  2. Cliquez sur le bouton Créer nouveau .
  3. Dans la zone de texte Profil RAC/M, incrivez un nom pour le profil.
  4. Dans la liste Page d'acceuil, sélectionnez la page que les utilisateurs verront après s'être connectés.
Page d'accueilDescription
Tableau de bordLa page d'accueil principale présente un tableau de bord complet avec des indicateurs graphiques. Il s'agit de la page d'accueil standard pour l'utilisation de la console d'administration pour les opérateurs et les administrateurs de RAC/M Identity.
Libre-serviceIl s'agit de la page de destination normalement utilisée par les utilisateurs finaux, les gestionnaires, les approbateurs et les certificateurs qui ont seulement besoin d'effectuer des tâches GIA telles que l'émission et l'approbation de demandes ou l'exécution de campagnes de révision d'accès, mais qui n'ont pas besoin d'accéder aux fonctions de gestion de RAC/M Identity.
  1. Sous Éléments, cochez les cases correspondant aux autorisations que vous souhaitez accorder au profil.
  2. Cliquez sur Enregistrer.

Note

N'oubliez pas que les sélections et les modifications s'appliquent à tous les utilisateurs ayant ce profil.

Visualiser le journal d'audit

Le journal d'audit affiche, en ordre chronologique, l'historique détaillé de toutes les requêtes, les décisions et les actions prises par RAC/M Identity qu'elle soient initiées par la console de gestion, le portail libre-service, par les traitements automatisés, les APIs Web ou de tout autre façon.

Le journal d'audit

Le journal d'audit assure la traçabilité complète de tous les événements pouvant affecter les accès et permet de reconstituer les accès détenus par une identité à un moment donné.

Le journal d'audit est très détaillé et donc très volumineux. Afin de faciliter l'analyse et les recherches d'événements spécifiques, des fonctions de filtrage élaborées sont disponibles.

Vous pouvez filtrer par date en cliquant sur l'icône de calendrier situé en haut à droite du filtre et sélectionner ou désélectionner les catégories d'événements ou les événements spécifiques que vous voulez retenir ou retirer.

Les événements qui ajoutent des droits sont illustrés par un rond vert, les événements qui retirent des droits sont illustrés par un rond rouge, alors que les événements liés aux traitements automatisés sont illustrés par un rond bleu.

Pour visualiser le journal d'audit :

  1. Dans le menu GESTION, cliquez sur Audits. L'écran principal affiche les derniers événements de l'audit.
  2. Déterminez la plage de dates à analyser et sélectionnez ou désélectionnez les événements que vous voulez retenir ou éliminer pour fin d'analyse.

L'écran est divisé en deux sections, l'une pour le Flux d'activité et l'autre pour la section Filtre.

Figure - Audit

Flux d'activité

La section de gauche, appelée Flux d'activité, présente une ligne d'historique du plus récent au plus ancien. Chacun de ces enregistrements offre des informations sur l'événement ainsi que des bulles d'information sur les entités impliquées dans cet enregistrement. Certains de ces enregistrements peuvent contenir des informations supplémentaires qui peuvent être affichées en appuyant sur l'icône de liste déroulante.

IcônesDescription
Figure - ÉtendreÉtend la section pour afficher plus d'informations sur un enregistrement d'audit spécifique.
Figure - RechargerRecharge la liste d'audit avec les derniers enregistrements de la base de données.

Si les enregistrements sont liés à des exécutions de séquences, des icônes permettent de comprendre rapidement l'événement :

Icônes de séquenceDescription
Figure - Début de la séquenceDébut de la séquence
Figure - Fin de la séquenceFin de la séquence
Figure - Début du moduleDébut du module
Figure - Fin du moduleFin du module
Filtres

La section de droite représente les filtres qui peuvent être utilisés pour réduire les informations affichées à gauche.

En haut de cette section, deux icônes vous aident à utiliser les filtres:

Icônes de filtreDescription
Figure - Filtre sélectionnéReprésente le nombre de filtres qui ont été sélectionnés.
Figure - CalendrierPermet de sélectionner une date de début et de fin.

Le champ de recherche vous aide à trouver les filtres qui vous intéressent et facilite leur choix. Si vous effectuez une recherche avec cette boîte de filtres, vous avez deux options.

  • Sélectionner tous les résultats de la recherche. Permet de sélectionner tous les éléments visibles dans la liste des filtres.
  • Ajouter les éléments sélectionnés au filtre actuel. Vous permet de faire des sélections dans cette liste et, lorsque vous appuyez sur Appliquer, ces sélections seront ajoutées à la sélection précédente. Si vous ne choisissez pas cette option, lorsque vous appuyez sur Appliquer, les filtres précédemment sélectionnés seront remplacés par ceux choisis avant que vous n'appuyiez sur ce bouton.

Une fois les sélections effectuées, cliquez sur Appliquer pour filtrer la liste à gauche.

Barre latérale d'audit

Lorsque vous ouvrez le panneau détaillé d'une entité, il se peut que la barre latérale d'audit soit présente, identifiée par l'étiquette Flux d'activité. Si c'est le cas, elle se présentera comme suit :

Figure - Barre latérale d'audit fermée

Cliquez sur la barre latérale Flux d'activité pour la faire apparaître. Une fois ouverte, la barre latérale de gauche ressemble à ceci:

Figure - Barre latérale d'audit

La barre latérale Flux d'activités fonctionne comme le Panneau dédié décrit ci-dessus, à quelques exceptions près:

  1. La barre latérale affiche le Flux d'activités lors de l'affichage initial. Si vous cliquez sur l'icône de filtre en haut à droite, la barre latérale passe à la sélection du filtre.
  2. Dans le contexte du filtre, vous pouvez effectuer des sélections et cliquer sur le bouton Appliquer. Lorsque vous cliquez sur le bouton, le contexte redevient le Flux d'activité et le filtre sélectionné affecte la liste.

Fichiers de log des audits

Les actions de l'utilisateur qui déclenchent des audits sont enregistrées par un enregistreur spécial "AUDIT". Les actions qui entraînent l'exécution d'audits par lots ne sont pas enregistrées. Ces actions sont généralement effectuées par le système.

Les audits enregistrés peuvent être envoyés à une solution SIEM en modifiant la configuration de log4j. Voici un exemple qui peut être ajouté à la configuration du fichier [repertoire d'installation]\Okiok Data\RACM Identity\conf\log4j2.xml pour créer un fichier contenant uniquement les logs d'audit :

xml
<Configuration>
    <Appenders>
        ...
        <RollingFile name="Audit" fileName="logs/audits.log" filePattern="logs/audits.log.%i">
            <PatternLayout>
                <Pattern>%d [%X{request_id}] [%X{login}] [%X{user}] [%X{client_ip}] [%-5p] [%t] [%c] %x- %m%n</Pattern>
            </PatternLayout>
            <Policies>
                <SizeBasedTriggeringPolicy size="10MB"/>
            </Policies>
            <DefaultRolloverStrategy max="10"/>
        </RollingFile>
    </Appenders>
    <Loggers>
        ...
        <logger name="AUDIT" level="info" additivity="false">
            <appenderRef ref="console"/>
            <appenderRef ref="Audit"/>
            ...
        </logger>
    </Loggers>
</Configuration>

Voir aussi

La documentation de la librairie Log4j peux être consulté ici: Log4j Configuration

À propos des Gens

Cette section présente comment gérer les Personnes,les Identités et les Comptes dans RAC/M Identity.

À cet effet, vous utiliserez la fonction Gens du menu principal.

Nous utilisons le terme Gens pour désigner l'aspect humain dans la solution RAC/M Identity. Dans ce contexte, les Personnes, les Identités et les Comptes se rapportent aux Gens.

L'option Gens du menu principal permet de:

  • Visualiser, éditer, ajouter et retirer des Personnes
  • Apparier des identités aux Personnes
  • Visualiser, éditer, ajouter et retirer des Identités
  • Apparier des Comptes aux Identités

Les options Approbation des appariements et Apparier les audits sont désuètes et ne doivent pas être utilisées.

Personnes

Les personnes sont des personnes physiques qui interagissent avec les systèmes d'information. Elles doivent être prises en charge par le référentiel d'identité et d'accès RAC/M Identity.

Identités

Les identités correspondent à chacune des relations qu'une personne entretient avec l'organisation. Une personne peut avoir plusieurs identités simultanées.

Exemple

Prenons l'exemple de Chantal St-Germain. Elle travaille à l'hôpital St-Jude. Elle est à la fois médecin praticien et chercheuse. Ainsi, deux inscriptions ont été créées pour elle dans deux sources d'identités distinctes : la base de données des médecins et la base de données des chercheurs universitaires externes.

Une personne possédant deux identités

Ces deux identités lui donnent accès à différentes applications (via des comptes et des accès logiques), à des clés physiques et à des zones de l'hôpital.

Les informations trouvées dans ces sources d'identités diffèrent :

  • Dans la première source d'identité (qui l'identifie comme un médecin praticien), son nom de famille était orthographié "Saint-Germain".
  • Dans la deuxième source d'identité (qui l'identifie comme un chercheur), son nom de famille était orthographié "St-Germain" et la lettre "e" est absente de son prénom.

Bien qu'ils n'aient pas été inscrits de la même façon dans les sources, dans RAC/M Identity, ils sont liés à la même personne et considérés comme Chantale St-Germain.

Comme RAC/M Identity relie ces deux identités à une seule personne, il n'est pas nécessaire de normaliser les différentes identités qui ont été créées dans les systèmes d'origine. Si vous créez une nouvelle identité pour Chantale, elle sera également liée à la bonne personne.

Par conséquent, quand son projet de recherche se terminera, son identité de chercheuse deviendra inactive et les accès correspondants seront révoqués. Mais tous les comptes et accès logiques aux actifs nécessaires pour travailler en tant que médecin, resteront actifs et valides.

Importer des personnes et des identités

Cette section présente les étapes que vous devez suivre pour importer les données d'identités et d'accès, telles que les personnes, les identités, les accès et les droits, dans RAC/M Identity afin d'effectuer les analyses et les traitements de gestion d'identité.

Pour importer des personnes et des identités:

  1. Passez en revue le collecteur IdentitiesImport qui importera les données dans la table d'import. Si les données sont importées depuis un fichier CSV, la primitive utilisée sera ModuleCopyCSVToTable. Si les données sont importées à l'aide d'un connecteur ICF, la primitive utilisée sera ModuleICFImport Data.
  2. Au besoin, utilisez un formateur et des modules supplémentaires si les données sources doivent être adaptées au format de la table RAC/M.
  3. Passez en revue le module IdentificationCopy qui copiera les données de la table d'import dans le référentiel RAC/M. Le module prêt à l'emploi est ModuleCopyColumnsAndInserts.
  4. Examinez les blocs Imports et Copies pour exécuter, entre autres, le collecteur IdentitiesImport et le module IdentificationCopy.
  5. Vérifiez la séquence Imports pour vous assurer qu'elle contient les blocs Imports et Copies.

Vous pouvez ensuite exécuter cette séquence de base pour importer des données.

Ajouter manuellement des personnes et des identités

Normalement, les personnes (personnes) et leurs relations d'affaires (identités) sont ajoutées à RAC/M Identity en important les données des sources d'identités (voir A propose de l'analyse des données) et en convertissant les identités en personnes. Cependant, il se peut que vous deviez créer manuellement une personne, pour un consultant ou un fournisseur par exemple.

Note

Comme il n'existe pas de sources autoritaires pour les Personnes, les Identités sont généralement converties automatiquement en Personnes par la logique d'affaires lorsqu'elles sont importées pour la première fois. Cela élimine pratiquement le besoin de créer manuellement des personnes dans RAC/M Identity.

Ce cas rarissime ne devrait se produire que si une personne doit avoir accès à vos systèmes mais qu'il n'y a pas de source d'identité ou de moyen d'en importer une et de la convertir.

Voir aussi Convertir une Identité en Personne

Ajouter une Personne

Pour ajouter une personne:

  1. Dans la barre de menu, cliquez sur GENS> Personnes.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Entrez les informations requises comme suit : Sous Détails :

    Nom de famille, Second prénom, Prénom

    Incrivez toutes les informations relatives à la personne. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

    Personnes - informations détaillées

    Nom de jeune fille, Nom complet, Numéro de sécurité sociale

    Ces informations ne sont pas obligatoires mais peuvent être utiles pour différencier les personnes portant le même nom.

    Note

    Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance et le numéro d'assurance sociale. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

    Date de naissance, Courriel, Courriel facultatif

    Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne.

  4. Au bas de la page, cliquez sur le bouton Enregistrer. Continuez à saisir les informations et enregistrez les modifications en cliquant sur le bouton Enregistrer. Ouvrez la zone Plus...

    Adresse

    Dans la zone de texte, incrivez l'adresse de la personne.

    Personnes - informations détaillées(suite)

    Numéro de téléphone à domicile, numéro de téléphone supplémentaire, numéro de téléphone cellulaire, numéro de téléavertisseur

    Ces informations ne sont pas obligatoires mais peuvent être utiles si une personne doit être jointe en dehors de l'organisation.

    Date de création et dernière modification

    Ces cases indiquent la date de création de l'entrée dans RAC/M Identity et la date de sa dernière modification. Ceci est utile lorsque des mesures doivent être prises lorsqu'une personne ne travaille plus avec l'organisation ou que son statut a changé.

    Sous Informations supplémentaires :

    Langues

    Dans la zone de texte, incrivez la langue préférée de la personne pour les communications.

    Il est possible d'inscrire une locale spécifique, par exemple "en_US" pour l'anglais américain. La langue choisie est utilisée pour les communications par courriel et la locale est utilisée pour l'affichage des dates. Référez-vous à Configuration de la locale pour plus d'informations.

    Personnes - informations supplémentaires

    Identifiant1 et Identifiant2

    Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

    Attributs étendus

    Cette section affiche les attributs étendus qui ont été attachés à l'objet Personnes. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

  5. Cliquez sur le bouton Enregistrer.

    La personne est ajoutée à RAC/M Identity. Si la personne n'est pas associée à une identité, son Etat effectif est automatiquement défini comme "Terminé".

    Note

    La liste d'identités associées à la personne, située au bas de la page, restera vide jusqu'à ce que vous associiez la personne à une identité dans la page Appariement d'identités ou Identités.

:::

Ajouter une Identité

Note

Les Identités sont généralement importées à partir de sources d'identités comme les systèmes RH, les bases de données d'étudiants ou encore les registres des stagiaires et contractuels. Ceci élimine pratiquement le besoin de créer manuellement des Identités dans RAC/M Identity.

Ce cas rare ne devrait se produire que si une personne doit avoir accès à vos systèmes mais qu'il n'y a pas de source d'identité ou de moyen de l'importer.

Pour ajouter une identité:

  1. Dans la barre de menu, cliquez sur GENS> Identité.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Entrez les informations requises comme suit : Sous Détails :

    Nom de famille, Second prénom, Prénom

    Incrivez toutes les informations relatives à l'identité. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

    Identités - informations détaillées

    Numéro d'employé, source, date de naissance et courriel

    Dans la zone de texte, incrivez le numéro de l'employé ; il est possible qu'il n'y ait pas de numéro si, par exemple, la personne est un consultant externe. La case Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne. Incrivez le courriel de la personne.

    Dans la liste Source, sélectionnez la source d'où proviennent les informations d'identité. Inscrivez le nom de la source existante, comme les systèmes RH par exemple.

    Note

    Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

    Personne associée

    Dans la liste, incrivez le nom ou le prénom de la personne et sélectionnez la personne pour laquelle vous créez cette nouvelle identité. Si le statut de la personne était "Terminé", il deviendra "Actif" après avoir enregistré l'identité si elle est active.

  4. Au bas de la page, cliquez sur le bouton Enregistrer. Sous Emploi :

    Organisation et département

    Dans la liste Organisation, sélectionnez l'organisation pour laquelle la personne travaille sous cette nouvelle identité. Dans la liste Département, sélectionnez un département existant dans lequel la personne travaillera sous cette nouvelle identité ou incrivez le nom du nouveau département s'il a été créé pour les identités qui y travailleront.

    Identités - informations sur l'emploi

    Titre, Lieu de travail, Statut d'emploi et Type d'emploi

    Ouvrez chaque liste et sélectionnez les items qui s'appliquent à la nouvelle identité.

    Centre de coût, date d'embauche et date de cessation d'emploi

    Dans la zone de texte Centre de coût, incrivez le nom du département en charge de la paie de la personne. La Date d'embauche ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé à travailler sous cette nouvelle identité. La Date de fin d'emploi peut être utilisée pour indiquer la date de fin d'emploi afin d'initier le processus de révocation des accès.

    Conseil

    C'est une bonne pratique que d'inscrire une date de fin d'emploi aux contractuels et externes afin de s'assurer que les accès sont révoqués automatiquement lorsque les mandats se terminent.

    Responsable, certificateur, groupe approbateur et groupe à notifier lors de l'approvisionnement

    Dans chacune des listes, incrivez les premières lettres du nom ou cliquez sur la flèche pour ouvrir la liste et sélectionner les supérieurs hiérarchiques, les personnes chargées de réviser et certifier les accès ainsi que les groupes de délégation qui doivent approuver les demandes d'accès.

    Sous Informations complémentaires :

    Adresse, Pays, Téléphone, Type de mobile, Profession, et Langue

    Dans chaque zone de texte, incrivez les informations requises.

    Identités - informations supplémentaires

    Identifiants

    Ces zones de texte peuvent être utilisées pour contenir des éléments d'informations supplémentaires tels que des identifiants qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

    Noms de comptes

    Vous pouvez utiliser ces zones de texte pour saisir les noms de comptes d'accès fondamentaux associés à une identité. Par exemple, ces noms de comptes peuvent être utilisés par la logique d'affaires pour faciliter l'appariement des comptes ou pour créer des comptes dans des systèmes cibles. Ces champs sont typiquement renseignés automatiquement par la logique d'affaires.

    Conseil

    Par exemple, les champs Identifiants et Noms de comptes peuvent être utilisés pour inscrire des comptes ou des nomenclatures de compte différentes du compte primaire qui doivent être utilisées pour certains environnements patrimoniaux tels que les centrales IBM. De cette façon la logique d'affaires sera en mesure de créer des comptes selon des nomenclatures arbitraires.

    Extras

    Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

    Sous Fonctions supplémentaires et Attributs étendus :

    Fonctions supplémentaire, date de début et date de fin

    Dans la liste Fonction supplémentaire, inscrivez les premières lettres de la fonction supplémentaire qui correspond à une responsabilité attribuée à une identité et sélectionnez-la dans la liste ou inscrivez le nom de la fonction supplémentaire à attribuer. Le champ Date de début ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé, ou commencera, cette fonction supplémentaire. Dans le champ Date de fin, saisissez la date à laquelle cette fonction supplémentaire prend fin. Si vous devez ajouter une fonction supplémentaire, cliquez sur le bouton .

    Attributs étendus

    Cette section affiche les attributs étendus qui ont été attachés à l'objet Identités. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

  5. Cliquez sur Enregistrer.

    L'identité est ajoutée.

    Note

    La liste des comptes associés à la personne, située en bas de la page, restera vide jusqu'à ce que les comptes soient appariés, soit automatiquement, soit manuellement dans la page Appariement des identités.

Fusionner les personnes

Si vous vous rendez compte que 2 personnes ou plus créées dans RAC/M Identity correspondent à la même personne physique, vous pouvez les fusionner pour corriger le référentiel.

Pour fusionner des personnes:

  1. Dans la barre de menu, cliquez sur GENS> Personnes.
  2. Dans la zone de texte Recherche, incrivez le nom des entrées multiples.
  3. Dans la liste, cochez la case Fusionner à côté des entrées à fusionner.

Fusion de 2 personnes

  1. Cliquez sur le bouton Fusionner situé en bas de la page.

    La page Fusion de personnes s'ouvre, affichant la liste des personnes que vous avez sélectionnées.

  2. Dans la colonne Cible, sélectionnez la personne que vous souhaitez conserver. Il s'agit de la personne qui restera et qui combinera désormais toutes les informations.

Note

La personne sélectionnée comme cible de la fusion sera la source d'information faisant autorité sur cette personne. Les informations de l'autre personne seront supprimées à l'exception des champs qui seront copiés.

Important

La fusion ne peut pas être annulée. Lors de la prochaine importation de données, les informations ne seront pas dupliquées à nouveau.

  1. Cliquez sur le bouton Fusionner.

    Les personnes ont été fusionnées.

Convertir une identité en personne

Si vous avez une identité orpheline, c'est-à-dire une identité qui n'est pas associée à une personne, et qu'il n'y a personne à qui l'attribuer, vous pouvez créer une personne sur la base de cette identité.

Note

En général, les identités sont automatiquement converties en personnes par la logique d'affaires lors de l'importation initiale d'identités à partir de sources autoritaires. Cette procédure manuelle n'est utilisée que dans le cas rarissime où la logique d'affaires ne peut effectuer la conversion.

Pour convertir une identité en une personne:

  1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

    La page d'appariement des identités

  2. Dans la liste de gauche, sélectionnez l'identité pour laquelle vous souhaitez créer une personne.

    Note

    Si la liste est longue, dans la zone de texte, incrivez les quelques premières lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe.

  3. Cliquez sur le bouton Créer personne.

    La page Personne s'ouvre et les informations déjà contenues dans l'identité sont automatiquement saisies. Vous pouvez compléter la fiche de la personne selon les renseignements disponibles si nécessaire.

  4. Cliquez sur Enregistrer.

    La nouvelle personne est créée et son statut est défini comme "actif".

    Note

    L'identité à partir de laquelle vous avez créé la personne est automatiquement ajoutée à la liste des identités située en bas de la page.

Apparier les identités aux personnes

Si le système n'a pas été en mesure de faire correspondre automatiquement certaines identités parce qu'il n'y a pas de clés uniques (voir Déterminer des identifiants uniques), vous devrez les faire correspondre manuellement.

Pour faire correspondre une identité à une personne:

  1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

    La page d'appariement des identités

  2. Dans la liste de gauche, sélectionnez l'identité à laquelle vous souhaitez associer une personne. Si la la liste est longue, inscrivez quelques lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe. Une liste de personnes identifiées par les algorithmes d'appariement sélectionnés s'affiche dans la section de droite.

  3. Sélectionnez la personne à laquelle vous voulez apparier l'identité.

  4. Cliquez sur le bouton Apparier situé au bas de la page.

    La correspondance entre l'identité et la personne a été établie. L'identité apparaît maintenant dans la liste au bas de la page de détails de la personne.

    Note

    Si la liste est vide, vous pouvez inscrire quelques lettres du nom de la personne que vous recherchez dans la barre de recherche en haut de la zone de droite et cliquer sur la loupe. Une liste de personnes correspondant aux critères de recherche s'affichera. Vous pouvez alors continuer la procédure à partir du point 4 ci-dessus.

    Si elle ne s'y trouve pas, vous pouvez créer une personne ou convertir une identité en personne tel qu'expliqué plus haut.

    Parfois, le système ne peut pas établir de correspondance automatique entre les identités parce que deux personnes se ressemblent tellement qu'il ne peut pas les distinguer. Dans ce cas, vous devez examiner l'ensemble des données pour déterminer la bonne personne.

Dissocier les identités et les personnes

Si une correspondance a été établie mais que vous vous rendez compte que l'identité est associée à la mauvaise personne, vous pouvez les dissocier.

Note

Si cette erreur se produit après une correspondance automatique, révisez les règles de correspondance.

Pour dissocier une identité d'une personne:

  1. Dans la barre de menu, cliquez sur GENS> Personnes. La page Personnes s'ouvre.

  2. Dans la liste, sélectionnez le nom de la personne dont vous voulez retirer une identité (voir Effectuer une recherche dans une page de sélection).

  3. Dans la page Détails des personnes, sous Identités, cliquez sur l'identité que vous voulez dissocier.

    La liste des identités dans une page de personne

  4. Dans la liste Personne associée, effacez le nom de la personne que vous ne voulez pas voir liée à cette identité et cliquez sur Enregistrer.

    Retrait de la personne associée

    L'identité n'est plus associée à la personne et elle apparaît à nouveau dans la liste des identités orphelines de la page Appariement des identités (voir La page d'appariement des identités).

Gérer la situation d'emploi pour une identité

La situation d'emploi d'une identité est gérée via les champs suivants:

  • État d'emploi
  • Date de fin d'emploi

L'état d'emploi a une valeur interne (propre à la solution RAC/M Identity) et une valeur source (importée de la source d'identité), qui peuvent être différentes l'une de l'autre. Si l'identité est gérée par RAC/M Identity et non importée d'une source RH (comme ce pourrait être le cas pour certains contractuels), les deux valeurs seront toujours identiques. La valeur interne est toujours celle qui sera utilisée dans la logique d'affaires et sert de remplacement ("override") de l'état dans la source RH. Ceci permet de traiter les situations où un départ doit être traité avant que les RH ne saisissent l'information nécessaire. La valeur source représente la valeur réelle dans la source d'identité.

Les colonnes dans la table IDENTIFICATION qui gèrent l'état sont SOURCE_EMPLOYMENT_STATUS_ID et EMPLOYMENT_STATUS_ID. La date de fin d'emploi est quant à elle dans TERMINATION_DATE.

Information importante concernant les états d'emploi

Les états d'emploi peuvent contenir un grand nombre de valeurs en provenance des différentes sources d'identité. Il faut utiliser les mappages pour faire correspondre tous ces états à un des états effectifs (Actif, Inactif ou Terminé) que la solution utilise dans sa logique d'affaires.

Relation entre les différents champs d'emploi

Il existe une relation précise entre les champs liés à la situation d'emploi et cette relation dicte comment les règles d'affaires sont appliquées.

  1. Date de fin d'emploi (TERMINATION_DATE): Ce champ est utilisé par la solution pour déclencher un départ de l'identité. C'est le module ModuleHRTerminationDate qui vérifie cette date lors de son exécution et déclenche le départ en modifiant l'état d'emploi (EMPLOYMENT_STATUS_ID).

  2. État d'emploi source (HR_EMPLOYMENT_STATUS_ID): Lorsque ce champ change suite à l'importation de la source RH, il est automatiquement copié dans le champ État d'emploi (EMPLOYMENT_STATUS_ID).

    Ce champ lance également les processus de changement de statut d'emploi lorsque le statut effectif d'emploi change. Par exemple, si un employé passe du statut "Congé maladie" (Inactif) à "Congé long terme" (Inactif), il n'y a pas de changement du statut effectif d'emploi (Inactif -> Inactif) et donc aucun processus lancé. Mais si l'employé passe de "Actif (Actif) à "Retraité" (Terminé), le processus de départ sera lancé.

  3. État d'emploi (EMPLOYMENT_STATUS_ID): Ce champ peut changer de plusieurs façons:

    • Avis de départ immédiat dans le libre-service
    • Lorsque la date de fin d'emploi est arrivée
    • Lorsque le statut d'emploi source change

    Il est souvent utilisé pour remplacer temporairement (Override) l'état d'emploi source. Ensuite, lorsque la source RH change pour refléter le nouveau statut, l'état d'emploi source est copié dans l'état d'emploi et le remplacement temporaire se termine: les deux champs ont la même valeur.

L'état d'emploi

L'état d'emploi d'une identité peut être modifié directement dans la page d'administration en modifiant son état d'emploi ou sa date de fin d'emploi.

Dans la page Détails des identité, sous Identités, consultez les champs État d'emploi et Date de fin d'emploi

Il peut également être modifié à travers une demande dans le libre-service en demandant un Avis de départ - employé ou un Avis de départ - contractuel externe.

La date de fin d'emploi permet de modifier l'état d'une identité à Terminée en spécifiant la date à laquelle elle ne sera plus à l'emploi. Cette façon est idéale pour planifier le départ d'une identité et s'assurer que son état soit modifié à la date de sa fin d'emploi.

Modification via l'import

L'import à partir de la source RH vers RAC/M Identity devrait uniquement modifier les champs RH, soit l'état d'emploi source (SOURCE_EMPLOYMENT_STATUS_ID). De la même façon, RAC/M Identity ne fera pas de modification sur le champ source.

Connecteur et collecteur

Voir les sections Configurer un connecteur ICF et Créer un collecteur pour importer des données.

Lorsqu'un changement dans l'état source est constaté à l'import, RAC/M Identity compare l'état effectif source avec l'état effectif RAC/M Identity. S'ils ne sont pas identiques, cela signifie un changement dans l'état de l'identité. Une demande de modification d'identité est donc lancée. De plus, l'état RAC/M Identity est remplacé par l'état source qui vient d'être importé et l'événement est audité.

Modification via une demande dans le libre-service

Il est possible de faire des demandes dans le libre-service qui ont éventuellement l'effet de modifier l'état d'une identité. Par exemple, il est possible de demander la fin de l'emploi d'une identité. Lorsque ces demandes sont approuvées et complétées, l'état RAC/M Identity est modifié en fonction de la demande. S'il s'agit d'une demande de fin d'emploi, la date de fin d'emploi sera modifiée pour la date choisie.

Modification via l'interface administrateur

Il est seulement possible de modifier l'état RAC/M Identity via l'interface administrateur. L'état source ne peut pas être modifié.

Impacts d'une désactivation

La désactivation d'une identité est habituellement temporaire. Il peut s'agir, par exemple, d'un congé-maladie ou d'un travailleur saisonnier.

Lors de la désactivation d'une identité, RAC/M Identity tentera de désactiver tous les comptes que celle-ci possède. Ces comptes conserveront tous les groupes qui leur sont associés. Cela facilitera leur réactivation, le cas échéant. Pour ce faire, RAC/M Identity lancera des demandes de désactivation pour ces comptes.

Impacts d'une activation

Dans le cas de l'activation d'une identité, RAC/M Identity lancera des requêtes d'activation des comptes qui ont été désactivés préalablement par la solution.

Comptes non réactivés

Si des comptes étaient déjà inactifs avant que le processus de désactivation de l'identité ne soit démarré, ceux-ci ne seront pas réactivés. Cela est nécessaire pour que l'identité n'ait pas plus de droits lors de sa réactivation qu'elle n'en avait lors de sa désactivation.

Une conséquence de cela est que si l'identité n'a pas été désactivée via la solution RAC/M Identity, aucun compte ne sera réactivé car la solution ne sait pas quels comptes étaient actifs ou non au moment de la désactivation.

Prenons par exemple une identité active qui possède deux comptes: techadmin, qui est actif, et labadmin, qui est inactif. L'identité se fait désactiver. Conséquemment, son compte techadmin est également désactivé. Lors de la réactivation de l'identité, seulement le compte techadmin est réactivé. Pour activer labadmin, il faudrait le demander explicitement.

Impacts d'une fin d'emploi

La fin d'emploi d'une identité est habituellement définitive. Il peut s'agir, par exemple, d'un départ à la retraite ou d'une démission. Si une personne dont l'identité a été terminée revient dans l'entreprise, une nouvelle identité est habituellement créée.

Conséquemment, une fin d'emploi démarre un processus de terminaison des comptes. Ce processus varie beaucoup dépendamment des pratiques de l'entreprise et de l'actif visé. Il peut aller de la simple désactivation du compte à la suppression complète.

Processus de terminaison n'implique pas le statut terminé

Les actions prises sur un compte lors du processus de terminaison dépendent de l'intégration faite pour cet actif. En particulier, il est possible que le processus de terminaison ne fasse que désactiver un compte. Dans ce cas, l'état effectif de ce compte sera "Inactif" suite à la terminaison.

Ceci peut sembler contre-intuitif, mais cela reflète en réalité la flexibilité que la solution offre. La solution permet de définir deux processus différents pour les comptes (désactivation et terminaison), mais si cette distinction n'est pas nécessaire pour un actif donné, les deux processus peuvent être identiques et le compte aura le même état à la fin des deux processus.

Traitement des demandes concurrentes

  • Lorsqu'une demande de modification d'identité est traitée, toutes les autres demandes de modification faites antérieurement pour cette identité sont annulées

Diagramme

null

Gérer les comptes d'accès dans RAC/M Identity

Cette section présente comment gérer les comptes d'accès dans RAC/M Identity.

Les comptes permettent aux personnes, aux automatismes et aux dispositifs d'accéder aux systèmes et aux applications. Ils se composent généralement d'un identifiant et d'un mot de passe et sont associés à des droits d'accès permettant d'exécuter certaines fonctions ou d'accéder à certaines informations. Les comptes sont affectés à des identités ; par conséquent, une personne peut posséder différents comptes sous des identités distinctes.

Exemple

Un développeur a accès à son poste de travail Windows, à la solution de suivi des problèmes et à une solution de dépôt de code. Il a des comptes dans chacune de ces solutions et ces comptes doivent être associés à cette identité. Ce même développeur est également en charge de la fête de Noël et peut détenir des comptes pour ce projet particulier. Lorsque le projet de Noël sera terminé, ces comptes ne seront plus requis et peuvent être désactivés.

Les comptes sont ajoutés au référentiel de RAC/M Identity par la logique d'affaires invoquée lors de l'importation des données des systèmes cibles (voir Importer des personnes et des identités).

Comptes personnels et impersonnels

Les comptes personnels sont ceux qui appartiennent à des identités associées à des personnes. Les comptes impersonnels ne sont pas associés à une identité ou à une personne. Par exemple, les comptes techniques, de systèmes, génériques et autres, sont des comptes impersonnels.

Fiduciaires

Afin d'assurer la saine gouvernance des comptes impersonnels, qui sont souvent des comptes à privilèges élevés, ils doivent être assignés à des fiduciaires. Les fiduciaires sont des identités responsables de réviser périodiquement les comptes impersonnels qui leur sont assignés afin d'en valider la pertinence.

Si un fiduciaire quitte l'entreprise ou change de fonction, les comptes impersonnels qui lui sont assignés doivent être réassignés à un autre fiduciaire

Les comptes impersonnels doivent être révoqués dès qu'ils ne sont plus requis.

Comptes appariés et non appariés

Lors de l'importation, la logique d'affaires tente d'apparier les comptes aux identités en utilisant un ensemble d'algorithmes visant à identifier les identités correspondants aux comptes avec le plus de certitude possible. Si un appariement peut être effectué sans équivoque, le compte passe à l'état apparié. Toutefois, dans certains cas il n'est pas possible d'associer un compte à une identité avec certitude, le compte est alors placé dans l'état non-apparié.

La logique d'affaires peut être raffinée itérativement pour améliorer le niveau d'appariement automatique jusqu'à ce qu'il ne reste qu'un petit nombre de comptes à apparier manuellement. Ce sont ces comptes, qui n'ont pas été appariés automatiquement, qui apparaissent dans cette liste et qui doivent être appariés manuellement.

Note

Comme les comptes impersonnels ne peuvent être appariés à des identités, ils apparaîtront dans la liste des comptes non appariés tant qu'ils ne sont pas assignés à des fiduciaires.

La page d'appariement des comptes

La page d'appariement des comptes permet:

  • D'apparier les comptes personnels aux identités
  • D'étiqueter les comptes afin de les organiser selon des catégories
  • D'assigner les comptes techniques aux fiduciaires

La page d'appariement des comptes

Afin de faciliter la navigation, des filtres de recherches sont disponibles. A gauche de l'écran, sont situés les filtres de recherche des comptes, alors que les filtres de recherche des identités sont situés à droite de l'écran.

Filtres de recherche des comptes

Le champ Étiquette/État permet de déterminer quel sous-ensemble de comptes est affiché dans la liste. Par défaut, les comptes non appariés sont affichés. Si des comptes ont déjà été étiquetés, ils peuvent être affichés en sélectionnant l'étiquette appropriée.

Les champs Regroupement d'Actif et Actif permettent de sélectionner un sous-ensemble de comptes associés aux actifs sélectionnés.

La liste des comptes affichés peut être réduite en sélectionnant Afficher seulement les comptes actifs ou en inscrivant quelques lettres des comptes recherchés. Finalement, le bouton Recherche avancée permet de raffiner les critères de recherche.

Filtres de recherche d'identités

La liste d'identités proposées dans la liste de droite est basée sur les filtres sélectionnés sous la rubrique Suggestions. Ces filtres permettent de proposer des sous-ensembles d'identités affichées pour faciliter l'appariement.

FiltresDescription
Fiduciaires de comptePropose des identités qui sont déjà des fiduciaires de comptes.
DiminutifsPropose des identités dont les surnoms (par exemple, "Mike" au lieu de "Michael") peuvent correspondre aux comptes à apparier.
SoundexPropose des identités selon les homophones du nom de famille.
Nom de famille/Prénom permutéPropose des identités qui peuvent correspondre en considérant les permutations du nom et prénom .
Nom de famillePropose des identités sur la base du nom de famille uniquement.
Multiples SoundexPropose des identités selon les homophones du prénom et du nom de famille.

Note

En fonction des filtres sélectionnés, RAC/M Identity tentera d'identifier l'identité la plus plausible pour l'appariement. Si une telle identité peut être déterminée avec un niveau de certitude suffisant, elle sera pré-sélectionnée.

Étiqueter des comptes

Afin de faciliter le travail d'appariement des comptes, les comptes non appariés peuvent être regroupés et étiquetés. Une fois étiquetés, ils peuvent être affichés en blocs et la logique d'affaires peut être paramétrée pour effectuer des traitements spécifiques en fonctions des étiquettes. La page d'appariement des comptes propose un certain nombre d'étiquettes standards au bas de la fenêtre de gauche. De plus, vous pouvez définir et assigner vos propres étiquettes.

Les étiquettes prédéfinies

Note

Le bouton Non-apparié affecte l'état du compte. Les comptes peuvent être dans l'un ou l'autre des états appariés ou non-appariés et être étiquetés avec les étiquettes ci-bas.

ÉtiquetteDescription
Non appariéPlace les comptes dans l'état non-appariés. Ceci peut-être utilisé pour ramener un ou plusieurs comptes qui ont été marqués appariés à l'état original.
TechniqueDésigne les comptes techniques. Ces comptes seront assignés comme des comptes fiduciés aux identités.
OrphelinDésigne des comptes qui ne peuvent être associés à une identité. Ces comptes peuvent représenter un certain risque et devraient être révoqués.
A vérifierDésigne des comptes qu'on ne peut rapidement apparier à une identité et qui requièrent une investigation plus poussée.
HomonymeDésigne des comptes qu'on ne peut rapidement apparier à une identité parce qu'il y a plus d'une identité qui peut correspondre au compte. Ces comptes requièrent une investigation plus poussée.
GénériqueDésigne des comptes qui sont utilisés par plusieurs personnes. Ils ne peuvent être apparier à une seule personne. Ces comptes doivent être assignés à des fiduciaires.
ClientDésigne des comptes qui sont appartiennent à une entité autre que l'organisation qui met en place le sevice de GIA. Cette étiquette est utilisée dans le contexte de services impartis, où les utilisateurs des organisations client ont aussi des comptes dans les systèmes informatiques. Ces comptes doivent être assignés à des fiduciaires.

La liste déroulante affiche les étiquettes personalisées à votre organisation. Elle vous permet d'étiqueter les comptes sélectionnés avec des étiquettes qui sont spécifiques et pertinentes à votre organisation.

Exemple

Les étiquettes personalisées peuvent être utilisées pour marquer les comptes à haut privilèges, par exemple, pour faciliter la définition de campagnes de revues d'accès à privilèges élevés.

Vous pouvez créer des étiquettes personalisées dans le menu CONFIGURATION>Mappage.

Pour étiqueter des comptes:

  1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

    Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

  2. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à étiqueter.

  3. Sélectionnez les comptes que vous souhaitez étiqueter.

  4. Cliquez sur un des boutons au bas de la section de gauche pour étiqueter les comptes sélectionnés ou choississez une étiquette dans la liste déroulante au bas de la page et cliquez sur Marquer.

Apparier des comptes à une identité

Si le système n'a pas été en mesure de faire correspondre automatiquement certains comptes et certaines identités parce qu'il n'existe pas de clés d'identification uniques, vous devrez les faire correspondre manuellement.

Pour apparier un compte à une identité:

  1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

    Par défaut, les comptes non appariés sont affichés dans la liste de gauche. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à apparier

  2. Sélectionnez le ou les comptes que vous souhaitez associer à une personne.

    Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

  3. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

    Appariemment d'un compte à une identité

    Le compte et l'identité ont été mis en correspondance. Le compte apparaît maintenant dans la liste au bas de la page des détails de l'identité.

    Note

    Si plusieurs comptes avec la même nomenclature sont détectés, un panneau s'affichera qui vous proposera d'apparier en bloc l'ensemble des comptes similaires. Ceci facilite et accélère grandement le travail d'appariement manuel.

Dissocier un compte d'une identité

Inversement, si une correspondance a été établie et que vous constatez qu'elle n'aurait pas dû l'être, vous pouvez dissocier un compte d'une identité.

Pour dissocier un compte d'une identité :

  1. Cliquez sur PERSONNE> Identité.
  2. Dans la zone de texte Recherche, incrivez quelques lettres du nom ou prénom de l'identité à laquelle le compte a été associé et cliquez sur la loupe.
  3. Dans la liste, cliquez sur l'identité désirée. La page Détails des identités s'ouvre.
  4. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez dissocier.

Dissocier un compte à partir d'une identité

  1. Cliquez sur OK pour confirmer.

Le compte n'est plus associé à l'identité et est déplacé vers la liste des comptes non-appariés dans la page Appariement des comptes.

Assigner des comptes aux fiduciaires

  1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

    Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

  2. Sélectionner les comptes Techniques ou Génériques non-appariés.

    Utilisez les filtres et la barre de recherche pour raffiner la liste des comptes à assigner.

  3. Sélectionnez les comptes que vous souhaitez assigner. Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

  4. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

Voir aussi

Transférer un compte

Lorsque qu'un compte n'est pas associé à la bonne identité, et que vous savez à qui il devrait être associé, vous pouvez le transférer directement à l'autre identité au lieu de le supprimer puis de le faire correspondre à nouveau.

Pour transférer un compte:

  1. Dans la barre de menu, cliquez sur PERSONNE> Identité.

  2. Dans la liste, cliquez sur la personne dont vous voulez transférer le compte à une autre personne. La page Détails Identité s'ouvre.

  3. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez transférer.

    Sélection du compte à transférer

  4. Dans la boîte de dialogue Transfert de compte, dans la liste Sélectionner une identité, incrivez le nom de l'identité à laquelle vous voulez affecter le compte ou sélectionnez-la dans la liste.

  5. Cliquez sur Transférer.

    Le compte apparaît maintenant dans la liste de comptes dans la page "détails" de l'identité.

À propos des actifs

Cette section présente comment créer et gérer des actifs dans RAC/M Identity.

Dans RAC/M Identity, un Actif est tout composant appartenant à l'organisation que les gens utilisent pour mener leurs activités et qui nécessite des privilèges d'accès, qu'ils soient logiques ou physiques. Les actifs peuvent être, par exemple, des systèmes, des applications, des composantes d'infrastructure ou même des éléments physiques.

Dans ce contexte, le système de paie, les logiciels métiers, le système de messagerie, le réseau sans fil, les applications infonuagiques, les portes, etc. sont tous des exemples d'actifs.

Pour créer et gérer les actifs, vous utiliserez l'option ACTIFS du menu principal.

L'option ACTIFS du menu principal permet de:

  • Visualiser, modifier et ajouter des Regroupements d'actifs
  • Visualiser, modifier et ajouter des Actifs
  • Visualiser, modifier, ajouter et retirer des Comptes d'accès
  • Visualiser, modifier, ajouter et retirer des Groupes
  • Visualiser, modifier, ajouter et retirer des Items
  • Visualiser, modifier, ajouter et retirer des Permissions
  • Visualiser, modifier, ajouter et retirer des Groupes de délégation

Regroupement d'actifs

Afin de faciliter la gestion, les actifs sont toujours associés à un Regroupement d'actifs. Par défaut, les actifs sont associés au regroupement Default. Vous pouvez créer autant de regroupements d'actifs que désiré et y assigner tous les actifs requis.

Exemple

Si votre entreprise intègre plusieurs entités indépendantes qui utilisent des systèmes informatiques similaires comme Active Directory ou Office 365, il peut-être utile de créer des regroupements d'actifs par entités. Ainsi, il n'y aura pas de collision sur les noms d'actifs, même si les actifs sont les mêmes dans les différentes entités car les actifs sont désignés par la forme cannonique "Regroupement d'actif/Actif".

Stratégies de sélection de comptes

Lorsqu'un accès à un actif est octroyé à une identité, un compte doit être créé et lorsque les accès doivent être retirés, les comptes doivent être révoqués. RAC/M Identity intègre plusieurs stratégies pour créer ou sélectionner des comptes dans un contexte d'approvisionnement et de désaprovisionnement automatisé.

Les listes déroulantes proposent plusieurs stratégies ainsi qu'une courte description. Les stratégies sélectionnées au niveau d'un regroupement d'accès s'appliquent à l'ensemble des actifs associés au regroupement si des politiques spécifiques n'ont pas été assignées aux actifs. En général, les stratégies qui retournent plusieurs comptes ou tous les comptes sont plus appropriées pour le désaprovisonnement, alors que les stratégies d'approvisionnenment ne doivent sélectionner ou créer qu'un seul compte.

Les stratégies diffèrent sur la façon dont le ou les comptes sont sélectionnés. Voici une brève description des stratégies disponibles.

Sélectionner n'importe quel compte actif sélectionne un compte actif qui peut être trouvé sur n'importe quel actif auquel l'identité visée a accès. Si aucun compte n'est trouvé, un compte sera créé en utilisant la politique de création de compte associée à l'actif.

Sélectionner tous les comptes sélectionne l'ensemble des comptes, actifs et inactifs, appartenant à l'identité visée sur les actifs associés au regroupemement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désaprovisionnement.

Sélectionner tous les comptes actifs sélectionne l'ensemble des comptes actifs appartenant à l'identité visée sur les actifs associés au regroupemement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désaprovisionnement.

Sélectionner un compte actif ou en créer/activer un basé sur le compte primaire de l'identité sélectionne un compte actif s'il n'y en qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Identité primaire de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

Sélectionner un compte actif ou en créer/activer un basé sur le courriel de l'identité sélectionnera un compte actif s'il n'y en qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Courriel de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

Note

Le contenu des listes déroulantes peut changer au fil de l'évolution de RAC/M Identity. Référez vous au contenu des listes déroulantes et à la description associée pour choisir les stratégies appropriées.

Créer un regroupement d'actifs

Pour créer un regroupement d'actifs:

  1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Saisissez les informations requises comme suit :

    Nom

    Incrivez le nom du regroupement d'actifs. Choisissez un nom significatif et représentatif du regroupement.

    Description

    Saisissez une brève description du regroupement. Elle aidera les pilotes à distinguer entre les différents regroupements d'actifs.

    État

    Dans la liste, sélectionnez Activé pour activer les actifs associés à ce regroupement. C'est à dire qu'ils seront visibles pour la logique d'affaires qui pourra traiter les données d'accès associés à ces actifs et prendre action le cas échéant.

    Sélectionnez Désactivé pour désactiver tous les actifs associés à ce regroupement. Dans ce cas, les actifs ne seront pas visibles à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

    Conseil

    L'état Déactivé peut être utile lorsque les actifs associés au regroupement sont en cours d'intégration ou si le regroupement représente des environnements distincts qui ne doivent pas être activés momentanément.

    Nom technique

    Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_prod_Mtl.

Approvisionnement

  1. Sous Approvisionnement, dans les listes déroulantes, sélectionnez les stratégies de sélection des comptes les plus appropriés pour le provisionnement et le déprovisionnement. Voir Stratégies de sélection de comptes.

    Si vous laissez ces champs vides, les stratégies associées aux actifs seront appliquées.

    • Sous Notification
      • Cette configuration détermine si un courriel est envoyé lorsqu'un compte ou un groupe de ce regroupement d'actifs est approvisionné. Le courriel est envoyé au(x) destinataire(s) spécifié(s).
      • Sélectionnez le niveau de granularité pour Comptes et Groupes à configurer pour les notifications relatives aux événements de provisionnement.
  2. Si des attributs étendus ont été ajoutés à l'objet Regroupement d'actif, vous pouvez y inscrire les valeurs appropriées.

  3. Cliquez sur Enregistrer.

    Le regroupement d'actifs est ajouté à RAC/M Identity. Ce regroupement est maintenant disponible pour y associer des actifs.

Modifier un regroupement d'actifs

Pour modifier un regroupement d'actifs:

  1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

  2. Sélectionnez le regroupement d'actifs que vous voulez modifier. Vous pouvez naviguer directement vers les listes d'Actifs, de Comptes, de Groupes,d'Items et de Permissions associées au regroupement sélectionné en cliquant sur les boutons respectifs.

  3. Effectuez les modifications nécessaires.

  4. Cliquez sur Enregistrer.

Retirer un regroupement d'actifs

Il n'est pas possible de retirer un regroupement d'actifs.

Créer un actif

Dans la majorité des cas, les actifs doivent être créés manuellement, directement dans la console de gestion. Toutefois, il existe quelques situations où les actifs peuvent être ajoutés au référentiel de RAC/M Identity en important les données des sources de données (voir Analyse des données).

C'est le cas par exemple de serveurs ou d'applications qui utilisent un format commun de fichiers plats pour extraire les comptes et les accès associés. C'est aussi le cas pour des serveurs ou des équipements dont la configuration est documentée dans une base de données de gestion des configurations CMDB. Dans ces deux cas, les actifs peuvent être créés automatiquement dans le référentiel sans intervention humaine.

Lors de la création d'un actif vous pouvez inscrire les méta-données et les éléments de configuration qui déterminent le niveau d'intégration ainsi que les détails du fonctionnement de la logique d'affaires par rapport à cet actif. Bien sûr, le niveau d'intégration peut évoluer avec le temps, au fur et à mesure que votre organisation gagne en maturité par rapport aux processus de GIA. Les détails de configuration des actifs visés devront être ajustés en conséquence.

Pour créer manuellement un actif:

  1. Dans la barre de menu, cliquez sur ACTIFS> Actifs.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Entrez les informations requises comme suit :

    Nom

    Incrivez le nom de l'actif. Choisissez un nom significatif et représentatif de l'actif.

    Nom technique

    Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_AD_MTL.

    État

    Dans la liste, sélectionnez Activé pour activer l'actif. C'est à dire qu'il sera visible pour la logique d'affaires qui pourra traiter les données d'accès associés à cet actif et prendre action le cas échéant.

    Sélectionnez Désactivé pour désactiver l'actif. Dans ce cas, l'actif ne seront pas visible à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

    Description

    Saisissez une brève description de l'actif. Elle aidera les pilotes à distinguer entre les différents actifs.

    Regroupement d'actifs

    Sélectionnez ou incrivez quelques lettres pour rechercher le regroupement d'actifs auquel vous voulez associer l'actif. (Voir également Créer un regroupement d'actifs)

    Source de synchronisation du mot de passe

    Si vous prévoyez implanter une fonction de synchronisation de mots de passe, vous pouvez sélectionner l'Actif qui servira de source. C'est à dire, que quand un changement de mot de passe sera effectué sur l'actif source il sera propagé à tous les actifs qui l'utilisent comme source. Typiquement, les sources recommandées sont Active Directory ou Azure Active Directory.

    Pour inscrire un actif source, sélectionnez ou incrivez quelques lettres de l'actif recherché.

    Laisser le champ vide si vous ne prévoyez pas mettre en oeuvre la synchronisation de mot de passe.

    Catégorie

    Les catégories permettent de regrouper logiquement les actifs afin d'effectuer des analyses et des traitements spécifiques. Les catégories peuvent être définies arbitrairement ce qui offre beaucoup de flexibilité pour représenter une structure pertinente à votre organisation.

    Par exemple, des catégories peuvent être définies pour regrouper les actifs par niveau de criticité. Une autre possibilité et de regrouper les actifs par type de systèmes tels que systèmes financiers, systèmes RH, systèmes métiers, etc.

    Sélectionnez une catégorie de la liste déroulante pour catégoriser l'actif si désiré. Vous pouvez laisser le champ vide si une catégorisation n'est pas requise.

    Note

    Les catégories doivent avoir été créées au préalable dans la section CONFIGURATION Mappages pour être disponibles dans la liste déroulante.

    DN

    DN signifie nom distingué (Distinguished Name). Ce champ est utilisé principalement avec des annuaires LDAP et X500. Vous pouvez laisser ce champ vide pour les actifs communs.

    Type de système, OS et Identifiants

    Ces champs sont des champs informationnels facultatifs qui peuvent servir à fournir des informations supplémentaires à la logique d'affaires. Vous pouvez les utiliser pour identifier la nature du système ou d'un serveur ainsi que le système d'exploitation si pertinent. Les champs identifiants peuvent être utilisés pour toute information supplémentaire qui peut être utile à la logique d'affaires.

    Laissez les champs vides si non requis.

    Date de la dernière validation, date de la dernière modification et date de la dernière validation.

    Ces champs sont des indicateurs, mis à jour par RAC/M Identity pour refléter les dates des événements impliquant l'actif.

    Fournisseur de services d'accès

    Cette case à cocher est utilisée pour signaler que l'actif est utilisé pour contrôler l'accès à d'autres actifs. Les annuaires LDAP et les bases de données peuvent être utilisés comme fournisseur de services d'accès. Par exemple, les groupes d'Active Directory ou de Azure AD sont souvent utilisés pour contrôler l'accès à des actifs qui externalisent l'authentification et l'autorisation, tels que Citrix, BitWarden, etc.

    Ceci permet à la logique d'affaires de traiter les groupes de sécurité de l'actif de façon à contrôler les accès pour les actifs qui en dépendent.

    Cette case est typiquement cochée pour un annuaire Active Directory ou Azure AD utilisé pour contrôler l'accès à des actifs configurés comme des Applications logiques. Laissez la case vide pour tous les autres cas.

    Accès disponibles en libre-service

    Lorsque vous cochez cette case, vous autorisez les demandes d'accès à cet actif via le portail libre-service de RAC/M Identity.

  4. Cliquez sur Enregistrer au bas de la page pour sauvegarder l'actif.

    L'actif est ajouté au référentiel.

    Note

    Il est recommandé d'enregistrer l'actif en cours de création même si la configuration n'est pas complètement terminée.

    Boutons Comptes, Groupes, Items, Permissions

    Ces boutons dirigent directement vers des pages de listes qui affichent les éléments représentés par les boutons. Comme l'actif est en cours de création, ces listes sont vides et sans intérêt pour l'instant. Vous pouvez passer directement à la section Approvisionnement.

    Approvisionnement

    Sous Approvisionnement, dans les listes déroulantes, sélectionnez les stratégies de sélection des comptes les plus appropriés pour le provisionnement et le déprovisionnement. Voir Stratégies de sélection de comptes.

    Si vous laissez ces champs vides, les stratégies associées au regroupement d'actifs seront appliquées.

    • Sous Notification
      • Cette configuration détermine si un courriel est envoyé lorsqu'un compte ou un groupe de ce regroupement d'actifs est approvisionné. Le courriel est envoyé au(x) destinataire(s) spécifié(s).
      • Sélectionnez le niveau de granularité pour Comptes et Groupes à configurer pour les notifications relatives aux événements de provisionnement.

    Propriétaire

    Dans la liste, tapez les premières lettres du nom du propriétaire et sélectionnez-le.

    Un propriétaire doit obligatoirement être désigné pour chaque actif. Le propriétaire est responsable de la saine gestion de l'actif et peut être impliqué dans l'approbation des requêtes d'accès et/ou dans la révision et la certification des accès, en particulier au niveau des accès à privilèges élevés.

    Sélectionnez le propriétaire de l'actif en incrivant quelques lettres du nom du propriétaire dans la liste déroulante.

    Groupe administrateur

    Ce champ permet d'assigner un groupe de délégation qui correspond à l'équipe chargée d'exploiter l'actif, tout particulièrement d'exécuter les demandes et les révocations d'accès. C'est aux membres de ce groupe que seront transmises les demandes d'accès une fois approuvées, ainsi que les demandes de révocations d'accès, dans les cas où l'approvisionnement et le désapprovisionnment ne sont pas automatisés.

    Sélectionnez le groupe administrateur de l'actif en incrivant quelques lettres du groupe dans la liste déroulante.

    Conseil

    Il est recommandé d'inscrire un groupe administrateur lors de l'implantation d'un nouvel actif pour assurer la création, la modification et le retrait des accès jusqu'à ce que l'approvisionnement et le désapprovisionnement puissent être totalement automatisés.

    Note

    Les groupes administrateurs doivent avoir été créés au préalable. Voir Créer un groupe de délégation

    Groupe certificateur

    Ce champ vous permet d'attribuer un groupe de délégation qui correspond à l'équipe responsable de la révision de l'élément. Les membres de ce groupe seront chargés d'approuver ou de rejeter les éléments à réviser dans les campagnes de révision.

    Sélectionnez le groupe de certificateurs de l'actif en entrant quelques lettres du groupe dans la liste déroulante.

    Attributs étendus

    Si des attributs étendus ont été ajoutés à l'objet Actif, vous pouvez y inscrire les valeurs appropriées.

    Définir le flux d'approbation

    RAC/M Identity inclus une fonctionalité de flux d'approbation avancée et extrêmement flexible qui permet de définir un mode de fonctionnement comprenant jusqu'à trois niveaux d'approbation par simple paramétrage.

    L'activation de chaque niveau est optionnelle, et peut être déterminée en fonction du niveau de risque associé à l'actif lui-même et aux groupes sous-jacents. Chaque niveau correspond à une étape qui doit être complétée pour passer à la prochaine. Chaque niveau peut invoquer des groupes de délégation afin d'assurer que les approbations soient réalisées le plus rapidement possible, même dans le cas où des intervenants ayant des responsabilités d'approbation sont indisponibles.

    Pour chacun des niveaux suivants,indiquez si le niveau est requis et complétez les informations indiquant qui devra approuver les requêtes, le cas échéant.

    Approbation liée à l'identité

    Sélectionnez Requise si le responsable de la personne qui demande l'accès doit approuver l'accès à cette ressource. Dans ce cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

    Approbation liée au groupe

    Sélectionnez Requise si le propriétaire de la ressource (actif ou groupe) ou un groupe de délégation doit approuver l'accès à cette ressource.

    Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

    Note

    Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

    Approbation spéciale

    Sélectionnez Requise par ce groupe approbateur spécial si vous avez besoin d'un troisième niveau d'approbation.

    Ceci peut être utile, par exemple, pour accorder l'accès à une ressource critique pour laquelle une formation ou une certification spécifique est requise.

    Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

    Note

    Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

  5. Cliquez Enregistrer pour sauvegarder l'actif.

Visualiser ou modifier un actif

Pour visualiser ou modifier un actif:

  1. Dans le menu ACTIFS, cliquez sur Actifs.
  2. Dans la liste, sous la colonne Actifs, sélectionnez l'actif que vous souhaitez visualiser ou modifier. Effectuez les modifications requises
  3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

Ajouter un actif existant à un regroupement d'actifs

Pour ajouter un actif existant à un regroupement d'actifs:

  1. Dans le menu ACTIFS, cliquez sur Actifs.

  2. Dans la liste Regroupement d'actifs, sélectionnez l'actif que vous souhaitez ajouter au regroupement. Les actifs pour lesquels un regroupement d'actifs n'a pas été spécifié se retrouvent dans le regroupement Default.

    Liste d'actifs

  3. Dans la page Détails des actifs, dans la liste déroulante Regroupement d'actifs, sélectionnez le regroupement auquel vous souhaitez ajouter l'actif.

    liste des groupes

  4. Cliquez sur Enregistrer.

    L'actif est maintenant associé au regroupement d'actif. Vous pouvez consulter tous les détails des actifs ainsi que des accès et permissions associés dans la page Détails des regroupements d'actifs.

    Détails du regroupement d'actifs

Créer un groupe de délégation

Un groupe de délégation est un groupe d'identités auxquels le propriétaire du groupe a délégué ses responsabilités. Par exemple, les membres peuvent approuver une demande d'accès si le propriétaire du groupe n'est pas disponible pour le faire.

Pour créer un groupe de délégation:

  1. Dans la barre de menu, cliquez sur Actifs> Groupes de délégation.

  2. En haut à droite de la page, cliquez sur le bouton .

    Détails du groupe de délégation

  3. Sous Détails, entrez les informations requises comme suit :

    Nom

    Incrivez le nom du groupe. Choisissez un nom significatif et représentatif de la nature du groupe de délégation.

    Conseil

    C'est une bonne pratique d'utiliser une syntaxe normalisée pour les groupes de délégation qui inclus l'utilisation et le nom du propriétaire. ex: GD-APP-Charles Tremblay.

    Description

    Incrivez une brève description des responsabilités du groupe de délégation.

    Type de groupe

    Dans la liste déroulante, sélectionnez un type de groupe de délégation. RAC/M Identity inclus deux types fondamentaux de groupes de délégation, soit les types SIMPLE_GROUP et CASCADE_GROUP.

    Les groupes SIMPLE_GROUP dirigent les requêtes à tous les membres simultanément. Dans ce mode, tous les membres reçoivent les notifications et voient les tâches dans le portail libre-service. Dès qu'un des membres approuve une requête, elle est retirée de la liste. Cette approche assure la résolution la plus rapide des requêtes.

    Les groupes CASCADE_GROUP dirigent les requêtes séquentiellement vers chacun des membres selon la priorité indiquée au champ Priorité associé à chaque membre et les paramètres de configuation. Cette approche est utile pour définir une stratégie graduelle d'approbation des demandes.

    Les deux types de groupes existent en deux versions, soit les versions de base qui incluent le propriétaire du groupe, et les versions SIMPLE_EXCL_OWNER et CASCADE_GROUP_EXCL_OWNER qui excluent le propriétaire du groupe, c'est à dire que les requêtes sont transmises à tous les membres sauf au propriétaire du groupe.

    Ces versions sont utiles pour les groupes de délégation dont les propriétaires sont des exécutifs avec peu ou pas de disponibilité pour les tâches opérationnelles.

    Portée du groupe

    Les groupes de délégation dont la portée est Générique peuvent être utilisés pour toutes les tâches d'approbation ou de certification. Ils seront disponibles dans les listes déroulantes des divers objets qui requièrent des groupes de délégation.

    Les groupes de délégation dont la portée est Libre-service sont utilisés pour préciser que les personnes membres peuvent voir les accès détenus par une personne dans le portail libre-service.

    Les groupes de délégation de type Libre-service doivent être associés aux membres des Groupes approbateurs assignés aux identités pour qu'ils puissent voir les accès présentement détenus par celles-ci.

    Portée des groupes de délégation

    Note

    Si le demandeur n'est pas membre du Groupe approbateur ni membre d'un groupe de délégation de type Libre-service appartenant à un des membres du Groupe approbateur de la personne dont il veut visualiser les droits, il pourra effectuer la demande d'accès mais ne pourra visualiser les accès existants ni les retirer.

    Nom technique

    Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: GD_APP_CT.

    Propriétaire

    Dans la liste, sélectionnez la flèche pour l'ouvrir ou incrivez les premières lettres du nom de l'identité propriétaire, puis sélectionnez-la.

    Délégués

    Sous Délégués, dans la liste Recherche de délégués, incrivez les premières lettres du nom de l'identité à ajouter aux membres et cliquez sur le bouton Ajouter.

    Priorité

    Le champ Priorité permet de mettre en oeuvre une stratégie d'escalade progressive en décalant les notifications aux différents membres du groupe après un nombre de rappels déterminé par la valeur du champ Priorité.

    Exemple

    Une valeur de "1" signifie que le membre sera notifié à chaque rappel, alors qu'une valeur de "3" signifie que le membre sera notifié après trois rappels.

  4. Cliquez sur Enregistrer.

Visualiser, modifier ou supprimer un groupe de délégation

Pour visualiser, modifier ou supprimer un groupe de délégation :

  1. Dans le menu ACTIFS, cliquez sur Groupes de délégation.
  2. Dans la liste, sélectionnez le groupe de délégation que vous souhaitez afficher, modifier ou supprimer. Apportez les modifications nécessaires ou cliquez sur le bouton pour le supprimer.
  3. Cliquez sur Save pour enregistrer vos modifications.

À propos des droits d'accès

Cette section présente comment gérer les droits d'accès dans RAC/M Identity.

Dans RAC/M Identity, Accès est un terme générique qui représente un droit d'accès, un privilège ou une permission qui permet à un utilisateur d'accéder à un actif ou à une fonction d'un actif informationnel ou encore qui donne accès à un actif physique comme une clé ou l'accès à une porte.

Pour créer et gérer les accès, vous utilisez l'option ACCÈS du menu principal.

L'option ACCÈS du menu principal permet de:

  • Créer, démarrer, annuler, visualiser et modifier des Campagnes de révisions d'accès
  • Visualiser, modifier et créer des Rôles
  • Visualiser, modifier et créer des Versions de rôles
  • Visualiser, modifier et créer des Sessions de modélisation de rôles
  • Visualiser, modifier, ajouter et retirer des Règles de ségrégation de tâches
  • Visualiser, modifier, ajouter et retirer des Fonctions supplémentaires

À propos de campagnes de révision d'accès

Lors d'une révision d'accès, les certificateurs désignés passent en revue tous les accès et déterminent s'ils sont encore valides ou s'ils doivent être supprimés. De cette façon les accès sont certifiés valides.

RAC/M Identity offre beaucoup de flexibilité au niveau de la définition des campagnes de révision d'accès afin de permettre de mettre en oeuvre un processus durable et efficace, bien adapté à la réalité de chaque entreprise.

Les campagnes peuvent être configurées pour déterminer le contenu et le niveau de détails à réviser, les certificateurs impliqués ainsi que la portée en termes d'identités et d'actifs inclus.

Le comportement exact des campagnes ainsi que les possibilités offertes aux certificateurs sont aussi pleinement configurables.

De plus, les campagnes incrémentales permettent de réduire les efforts de révision en mettant l'emphase sur les changements apportés depuis la dernière révision.

Note

La révision d'accès est aussi souvent appelée recertification, validation d'accès ou vérification des accès.

Note

Pour effectuer la revue d'accès après le lancement de la campagne, consultez la section Campagne de révision des accès.

Créer ou modifier des règles de filtrage (filtres)

Cette section présente comment définir des règles de filtrage en utilisant l'éditeur de règles. L'éditeur de règles est utilisé à plusieurs endroits dans RAC/M Identity.

L'objectif des règles de filtrage est de produire un sous-ensemble d'objets sur lesquels les traitements seront effectués par la logique d'affaires. Les objets retenus sont déterminés en fonction des conditions que vous définissez et du contenu des attributs évalués par les conditions.

Les filtres sont construits en combinant des règles simples, chacune évaluant une seule condition en utilisant les opérateurs booléens ET et OU. Les règles peuvent être regroupés et les sous-groupes combinés de la même façon. Toutes les règles et sous-groupes à l'intérieur d'un groupe ou sous-groupe utilisent l'opérateur associé au groupe.

Les règles de filtrage servent essentiellement dans deux cas:

  • Pour filtrer des identités, ou
  • Pour filtrer des actifs.

L'éditeur de règles

Règles

Les règles sont construites avec une syntaxe simple :

[Opérateur Booléen] 
	[Source d'attribut][Attribut][Opérateur d'égalité][Valeur]	Règle 1
									Règle 2...
  • Opérateur Booléen applique la fonction sélectionnée à l'ensemble des règles et des sous-groupes à l'intérieur d'un groupe.
  • Source d'attribut contient une liste déroulante qui réfère à une source d'attributs:
    • Filtre de base propose les attributs des objets:

    • Personnes et Identités (filtres d'identités) ou

    • Regroupement d'actifs, Actifs, Comptes, Groupes, Items (filtres d'actifs)

    • Autres attributs, (filtres d'actifs).

    • Attributs étendus xxx La liste propose aussi les attributs étendus associés aux objets de la liste. Seuls les objets pertinents aux filtres à construire sont affichés dans la liste.

  • Attribut sélectionnez l'attribut que vous voulez évaluer dans la règle.
  • Opérateur d'égalité sélectionnez = ou != en fonction de si l'attribut doit avoir une valeur égale ou différente de la valeur déterminée.
  • Valeur entrez la valeur désirée.

    Note

    L'opérateur = agit aussi comme l'opérateur contient si l'attribut contient une liste de valeurs.

    Exemple

    Si l'attribut étendu d'identité Certifications contient les valeurs: " HIPAA", "FDA", "NERC", la règle:

    Attributs étendus d'identité Certifications = FDA est vraie.

Pour créer une règle de filtrage:

  1. Naviguez à la page de l'objet auquel vous voulez ajouter une règle de filtrage, telle que les Campagnes de révision d'accès et les Rôles. Cliquez sur les boutons permettant d'ajouter ou d'éditer les règles.

    L'éditeur de règles

  2. Sélectionnez l'opérateur d'égalité que vous voulez utiliser pour le groupe associé:

    • ET : Le résultat est vrai lorsque toutes les règles et sous-groupes sont vraies.
    • OU : Le résultat est vrai lorsque l'une ou l'autre des règles ou sous-groupes sont vraies.
  3. Cliquez sur le bouton pour ajouter des règles à un groupe.

  4. Cliquez sur le bouton pour ajouter un sous-groupe de règles.

  5. Cliquez sur Enregistrer. Les règles de filtrage sont enregistrées dans le référentiel.

Créer une campagne de révision d'accès

Pour créer une campagne de révision d'accès :

  1. Dans la barre de menu, cliquer sur ACCÈS> Campagnes de révision.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Campagne, entrez les informations requises comme suit :

    Nom

    Incrivez le nom de la campagne.

    Détails de la campagne de révision de l'accès

    Description

    Saisissez la description et l'objectif de la campagne.

  4. Cliquez sur Enregistrer.

    Date de démarrage et date de fin

    La Date de début affichera la date à laquelle la campagne sera lancée. La Date de fin ouvre un calendrier dans lequel vous sélectionnez la date de fin de la campagne.

    Mode

    Sélectionnez Campagne interactive pour traiter la campagne en ligne. L'option Campagne hors ligne produits des rapports PDF que les certificateurs révisent. Cette option est désuète et sera retirée dans une version future.

    Sous Type et portée de la campagnee, vous pouvez définir la nature des accès à réviser,le niveau de détails ainsi que la portée. Entrez les informations requises comme suit :

    Type de campagne

    Les campagnes de revues d'accès sont organisées en trois thèmes:

    • Les revues d'identités
    • Les revues de contenu des rôles
    • Les revues de comptes fiduciaires

    Pour les revues d'identités

    • Tous les accès : Permet de réviser tous les accès et autorisations accordés aux identités.
    • Rôles et accès excédentaires : Permet de réviser les rôles accordés aux identités ainsi que tous les accès et autorisations accordés en plus de ceux accordés par les rôles.
    • Uniquement les accès excédentaires aux rôles : Permet de mettre en lumière et réviser les accès et permissions accordés aux identités en plus de ceux accordés par les rôles.
    • Uniquement les conflits de séparation des tâches : Permet de réviser les accès et les autorisations accordés aux identités qui violent des règles de séparation des tâches.
    • Uniquement les comptes (les accès assignés aux comptes sont exclus) : Permet d'effectuer une révision simplifiée des comptes d'accès détenus par les identités sans plus de détails sur les groupes et les permissions.

    Pour les revues de contenu des rôles

    • Rôles et droits inclus : Permet de réviser tous les accès et autorisations associées aux rôles.

    Pour la révision des Comptes fiduciaires

    • Tous les droits : Permet de réviser tous les accès et autorisations associés aux comptes impersonnels.
    • Seulement montrer les comptes (les droits de ces comptes ne sont pas affichés) : Permet d'effectuer une révision simplifiée des comptes impersonnels sans plus de détails sur les groupes et les permissions. Ceci permet de confirmer rapidement la validité des comptes impersonnels par les fiduciaires.

    Comptes fiduciaires

    Cochez cette case si vous souhaitez inclure les comptes impersonnels dans une campagne de revue d'identités.

    Note

    Cette option n'est disponible que lorsque Revue d'identités - Tous les accès ou Revue d'identité - Uniquement les comptes... est sélectionné.

    Filtre supplémentaire

    Cochez cette case pour inclure les identités inactives dans une campagne de revue d'identité.

    Note

    Cette option n'est disponible que lorsque Revue d'identités - Tous les accès est sélectionné.

    Certificateurs

    Afin de déterminer qui va réviser et certifier les accès, sélectionnez l'une des options suivantes :

    • Certificateurs des identités lorsque vous voulez que les certificateurs soient ceux qui sont affectés aux identités.

    Exemple

    Le certificateur peut être le supérieur hiérarchique ou toute autre identité pertinente selon le niveau hiérarchique et la structure organisationnelle.

    • Certificateur des actifs lorsque les accès doivent être révisés par les certificateurs d'actifs.

    Un groupe certificateur peut être assigné explicitement à chaque actif ou groupe.

    • Certificateur désigné lorsque vous voulez spécifier un certificateur spécifique pour l'ensemble de la campagne.

    Un certificateur peut être assigné explicitement à chaque identité par la logique d'affaires qui peut appliquer des règles d'affaires personnalisées pour déterminer qui assigner.

    Ce type de campagne est particulièrement utile pour effectuer des campagnes de revues d'accès très ciblées, à envergure limitée.

    • Certificateurs des droits accordés par les rôles (actifs, groupes ou rôles inclus)

    Disponible seulement pour les campagnes de type Revue du contenu des rôles – Rôles inclus et accès

    Lorsque cette option est choisie, le certificateur sera déterminé en fonction des éléments contenus dans le rôle qui devront être révisés pour déterminer si leur accès doit être inclus dans ce rôle. Ces droits seront assignés à une identité lorsque le rôle est assigné à celui-ci.

    Filtres d'identités et filtres d'actifs

    Pour créer un filtre d'identités

    Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les identités que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès par département, par organisation ou par toute autre façon logique de déterminer les identités à réviser.

    Laissez le champ vide pour inclure toutes les identités.

    Cliquez sur le bouton Supprimer pour supprimer les règles.

    Pour créer un filtre d'actifs

    Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les actifs que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès pour tous les systèmes ou pour un sous-ensemble d'actifs.

    Laissez le champ vide pour inclure tous les actifs.

    Cliquez sur le bouton Supprimer pour supprimer les règles.

    Portée de la campagne de rôle

    Sélectionnez une des options suivantes pour préciser la portée des revues de rôles.

    • Rôles actifs La campagne portera uniquement sur les rôles actifs.
    • Dernières versions de rôles La campagne incluera les dernières versions de tous les rôles, qu'ils soient actifs ou non.
    • Rôles inclus dans les sessions de modélisation de rôles La campagne incluera topus les rôles, organisés par session de modélisation de rôles.
    • Version de rôles La campagne incluera tous les rôles organisés par versions.

    Configuration avancée

    Cette section permet de configurer plusieurs paramètres qui définissent le fonctionnement des campagnes ainsi que les options disponibles aux certificateurs.

    Éléments sans approbateurs

    Cette option permet de déterminer comment les éléments pour qui des approbateurs n'ont pu être résolus sont traités.

    Sous Configuration avancée, sélectionnez une des options suivantes:

    • Exclus de la campagne si vous désirez exclure les éléments pour qui un certificateur n'a pu être déterminé.
    • à Réviser par le gestionnaire de campagne si vous désirez que les éléments pour qui un certificateur n'a pu être déterminé soient révisés par le gestionnaire de campagne.

    Note

    Ces options ne sont pas disponibles si le choix de certificateur est Certificateur désigné.

    Approbation

    Ces options déterminent les choix disponibles aux certificateurs au moment d'approuver les items lors de la revue des accès. Cochez les options pertinentes.

    Fin de campagne

    Cochez cette case si vous voulez que les certificateurs s'authentifient au moment de compléter leur campagne. Cette option permet de rehausser le niveau d'assurance du processus de certification en utilisant l'authentification explicite comme une preuve de présence.

    Permettre la réassignation des items à réviser

    Ces cases à cocher permettent de déterminer si, et à qui, les certificateurs peuvent transférer des items à réviser qu'ils ne peuvent réviser, peu importe la raison. Cochez les cases pertinentes.

    • Au gestionnaire de campagne permet aux certificateurs de transférer des items à réviser au gestionnaire de campagnes.
    • Aux autres certificateurs de la campagne permet aux certificateurs de transférer des items aux autres certificateurs de la campagne.
    • A n'importe quelle identité permet aux certificateurs de transférer des items à n'importe quelle identité.

    Campagne incrémentale

    Cette section permet de déterminer quelles campagnes utiliser pour constituer la référence des campagnes incrémentales.

    Les campagnes incrémentales sont basées sur des campagnes similaires au niveau de trois critères, soit:

    • Le Type de campagne
    • Les Approbateurs
    • Les campagnes doivent être Terminées.

    Les campagnes correspondant à ces trois critères apparaissent dans la liste au bas de la section.

    Utilisez les paramètres et le champ de recherche pour afficher les campagnes de référence désirées. En général, il est préférable de sélectionner les campagnes les plus récentes.

    Sélectionnez les campagnes à utiliser en cochant les cases à gauche du nom des campagnes. La campagne incrémentale mettra en lumière les changements survenus depuis l'ensemble des campagnes constituant la base de référence.

    Note

    Une campgane de révision devient incrémentale en sélectionnant des campagnes de référence.

    Notifications

    Sous Notification, vous pouvez déterminer le gabarit de courriel à utiliser ainsi que les paramètres de rappel et d'escalade.

    Gabarit

    Dans le champ Gabarit, vous pouvez choisir le gabarit de courriel à utiliser pour les rappels. Vous pouvez utiliser le gabarit de base fourni avec la solution ou vous pouvez utiliser un gabarit personalisé selon les couleurs, les logos et les messages de votre entreprise.

    Sélectionnez le gabarit désiré dans la liste déroulante. Un aperçu du gabarit sélectionné est affiché dans la fenêtre de droite.

    Voir aussi

    Voir le RAC/M Identity - Guide de personalisation pour plus de détails sur comment créer ou modifier des gabarits de courriels.

    Intervalle de rappel par courriel (jours)

    Dans le champ Intervalle de rappels par courriel (en jours), saisissez le nombre de jours entre l'envoi des courriels de rappel aux approbateurs qui n'ont pas complété leurs revues d'accès.

    Escalade

    Ce champ permet de déterminer si les rappels seront escaladés au supérieurs hiérarchiques des certificateurs qui tardent à compléter leur revue d'accès. Dans la liste, sélectionnez:

    • Non si aucune escalade n'est désirée;
    • Dernière notification si un courriel doit aussi être transmis aux supérieurs hiérarchiques des certificateurs qui n'ont pas encore complété leur revue lors du dernier rappel programmé;
    • Deux dernières notifications si le courriel d'escalade doit aussi être envoyé si les certificateurs n'ont pas encore complété leurs revue d'accès au moment de l'avant dernier rappel programmé.

    Note

    La configuration des rappels (délai et type) se fait dans le fichier de configuration config.properties (CONFIGURATION> Fichier de configuration).

  5. Cliquez sur:

    • Enregistrer pour sauvegarder la campagne sans la changer d'état.
    • Enregistrer et aperçu pour sauvegarder la campagne et visualiser la portée et l'impact de la campagne
    • Enregistrer et démarrer pour sauvegarder et lancer la campagne.

    Important

    Vous ne pouvez pas apporter de modifications à une campagne une fois qu'elle a été lancée, sauf pour reporter la date de fin.

    Nous vous suggérons fortement de passer en mode aperçu afin de la visualiser et valider le contenu que les certificateurs auront à réviser. Si tout est en ordre, vous pourrez démarrer la campagne.

Démarrer et suivre une campagne de révision

Le lancement d'une campagne de révision d'accès ne nécessite que quelques étapes.

Pour démarrer la campagne de révision:

  1. Dans la barre de menu, cliquez sur ACCÈS> Campagnes de révision.
  2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez lancer.
  3. Dans la page Détails de la campagne, cliquez sur Démarrer.

La campagne commence, son statut passe à En cours.

À droite de la section Campagne, cliquez sur le bouton pour visualiser les paramètres de la campagne.

La partie supérieure de la section affiche le temps restant pour la campagne, son statut et le pourcentage d'achèvement.

Les statistiques sur l'évolution de la campagne sont présentées sous forme de graphiques. La section Rapports contient la liste des rapports générés pour cette campagne. Ces rapports sont générés lorsque vous cliquez sur le bouton Rapports en bas à droite de la section.

La dernière partie du panneau présente l'une des deux possibilités suivantes :

  • La campagne en ligne : Une liste de certificateurs indiquant leur numéro de téléphone, leur adresse électronique et leur progression. Vous pouvez cliquer sur un Certificateur pour accéder à la page de détails de sa campagne.

    La liste Actions vous permet de faire deux choses :

    • Transférer les tâches du certificateur : Ouvre la boîte de dialogue qui vous permet de choisir l'identité à qui transférer les tâches.
    • Envoyer un courriel de rappel : Envoie instantanément un courriel de rappel au certificateur.

La boîte de dialogue de transfert de tâches

La boîte de dialogue de transfert de tâches.

  • Campagne hors ligne : Une liste de documents Excel et PDF. Les colonnes affichent l'icône représentant le type de document, le nom et la date de création (format jour/mois/année).

Terminer une campagne de révision manuellement

Par défaut, une campagne de révision des accès se termine automatiquement lorsque la date de fin est atteinte. Si vous constatez toutefois que tous les accès ont été complètement révisés avant cette date, vous pouvez clôturer la campagne manuellement.

Pour terminer une campagne de révision:

  1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

  2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez arrêter.

  3. Au bas de la page cliquez sur Terminer.

    Le statut de la campagne devient Terminée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Pour plus d'informations sur le suivi des accès et des comptes, reportez-vous à Tâches de révision des accès.

Annuler une campagne de révision

Vous pouvez annuler une campagne de révision des accès.

Pour annuler une campagne de révision:

  1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

  2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez annuler.

  3. Au bas de la page cliquez sur Annuler.

    Le statut de la campagne devient Annulée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Visualiser ou modifier une campagne de révision

Pour visualiser ou modifier une campagne de révision:

  1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.
  2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez visualiser ou modifier.
  3. Effectuez les modifications requises
  4. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de modélisation des rôles

L'objectif de la modélisation des rôles est d'élaborer un modèle optimal, dans lequel la majorité des accès sont attribués par le nombre minimum de rôles sans augmenter le risque de sécurité en donnant des accès trops larges.

La modélisation des rôles s'effectue essentiellement de deux façons complémentaires:

  • Par forage
  • Par peaufinement manuel, souvent aussi appelé modélisation.

Le forage de rôle prend avantage des fonctions analytiques du référentiel pour déterminer les accès communs détenus par plusieurs individus, représentés par des identités. Les accès détenus en commun deviennent la base des rôles définis par forage.

Le peaufinement manuel permet de déterminer précisément le contenu exact des rôles pour bien définir les accès requis.

Il existe plusieurs écoles de pensée et tout autant de stratégies de modélisation des rôles qui peuvent être utilisées selon le contexte humain, organisationnel et technologique de chaque entreprises RAC/M Identity contient les fonctions nécessaires pour modéliser les rôles selon le modèle RBAC en accord avec la norme ANSI/INCITS 359-2012. La solution offre aussi des fonctions avancées permettant d'assigner automatiquement les rôles, rejoignant les objectifs du modèle ABAC.

Créer une session de modélisation de rôle

Dans RAC/M Identity, la page Sessions de modélisation de rôles vous permet de développer, raffiner et faire évoluer le modèle de rôle sans impact sur la production jusqu'à ce que vous soyez prêt à déployer les nouveaux rôles.

Important

Ne cliquez sur le bouton Activer que lorsque le rôle est satisfaisant. Une fois le rôle activé, si vous souhaitez apporter d'autres modifications, vous devrez soit désactiver le rôle, soit utiliser une autre version de ce rôle ou en créer un nouveau.

Pour créer une session de modélisation de rôle:

  1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.
  2. En haut à droite de la page, cliquez sur le bouton .

Nouvelle session de modélisation des rôles

  1. Inscrivez les informations dans les champs comme suit:

Sur la page Sessions de modélisation des rôles, dans la zone de texte Session, incrivez le nom de la session.

Dans la zone de texte Description, incrivez une description de cette session. 4.Cliquez sur Enregistrer.

La nouvelle session est créée.

La prochaine étape est de créer des rôles associés à cette session.

Une fois les rôles créés et peaufinés, vous devez compléter l'assignation des rôles à la session.

Assigner des rôles à une session de modélisation

La section Rôles vous permet de déterminer quels rôles sont associés à une session de modélisation. Les rôles sélectionnés peuvent ensuite être activés ou désactivés en bloc si désiré.

Note

Vous devez avoir créé des rôles avant de pouvoir les assigner à une session de modélisation.

Pour assigner des rôles à la session de modélisation:

  1. Si vous êtes déjà sur la page Détails d'une session de modélisation, passez directement à l'étape 4.

  2. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

  3. Sélectionez la session désirée dans la liste.

    La page Détails de la session de modélisation de rôle s'ouvrira.

  4. Par défaut, la liste des Rôles disponibles affiche tous les rôles disponibles dans le référentiel.

    Vous pouvez réduire la liste soit en affichant les rôles associés à une session de modélisation sélectionnée dans la liste déroulante Sélection de rôles de la session ou en appliquant un filtre avancé comme suit:

    • Filtrer par Sélectionnez l'objet RAC/M Identity ou les attributs étendus associés à utiliser comme filtre.
    • Filtre supplémentaire Sélectionnez l'attribut à utiliser
    • Valeur Inscrivez la valeur de l'attribut qui correspond à votre critère de recherche.
  5. Cliquez sur Appliquer les filtres pour effectuer la recherche.

  6. Sélectionnez le ou les rôles à assigner dans la zone de gauche.

  7. Utiliser les flèches de la zone de gauche pour déplacer les rôles désirés vers la zone de droite. Vous pouvez retirer des rôles sélectionnés de la zone de droite en utilisant les flèches de droite.

  8. Cliquez sur Enregistrer pour sauvegarder la session.

Vous pouvez aussi supprimer un rôle sélectionné en cliquant sur le bouton .

Créer un nouveau rôle par forage

Pour créer un nouveau rôle par forage

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

Sinon,

  1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

  2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter un rôle.

  3. A droite de la section Forage de Rôle, cliquez sur le bouton .

  4. Cliquez sur le bouton Nouveau rôle.

    Création d'un nouveau rôle

    Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

    Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

    Exemple

    Vous voulez créer un rôle pour les cardiologues travaillant à l'hôpital St-Gabriel. Plusieurs cardiologues utilisent l'application PCS et vous fixez le Seuil d'inclusion à 90.

    Lorsque vous générez la session, si 90 % ou plus des cardiologues travaillant à cet hôpital partagent cet accès, alors l'accès à PCS sera inclus dans le rôle. Si moins de 90 % des cardiologues de St-Gabriel détiennent cet accès il ne sera pas inclus au rôle.

    Conseil

    Choisissez une valeur très basse (ex: 1%) pour inclure tous (ou la majorité) les accès détenus par les identités retenues.

    Choisissez une valeur élevée (ex: 99%) pour inclure seulement les accès détenus par l'ensemble des identités.

    Une valeur de 60% à 80% est un bon point de départ.

    Attention

    Portez une attention particulière aux résultats obtenus si le nombre d'identités analysées est très restreint. Par exemple, si seulement 3 identités répondent aux critères de filtrage et que le seuil d'inclusion est fixé à 80, seuls les accès détenus par toutes les identités seront inclus.

    Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

Portée

  1. Vous devez définir quelles sont les identités et les actifs à analyser pour forer le rôle.

    Cliquez sur l'hyperlien Identités ou sur le bouton Editer correspondant pour éditer le filtre d'identités.

    Cliquez sur l'hyperlien Actifs ou sur le bouton Editer correspondant pour éditer le filtre d'actifs.

    Cliquez sur le bouton Effacer pour effacer les filtres.

    Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

  2. Cliquez sur le bouton Générer pour générer le rôle.

    RAC/M Identity parcourt son référentiel et construit le rôle par forage de toutes les identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

    Rôle généré avec succès

  3. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition du rôle.

    Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Le rôle est créé et ajouté à la session de modélisation. Vous pouvez continuer à raffiner le rôle jusqu'à ce qu'il soit satisfaisant.

Créer des rôles multiples par forage

Ce bouton permet de générer plusieurs rôles selon des critères déterminés. Par exemple, vous pouvez forer automatiquement l'ensemble des rôles d'un département, d'une division, d'une organisation ou même de l'entreprise au complet.

En général, les meilleurs résulats sont obtenus en limitant le forage de rôles multiples à des entités homogènes, relativement petites.

Exemple

Vous pouvez forer et générer automatiquement l'ensemble des rôles d'un département. Par exemple, dans un hôpital vous pourriez forer tous les rôles du département de cardiologie.

Pour générer plusieurs rôles à la fois:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

  1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.

  2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

  3. A droite de la section Forage de Rôle, cliquez sur le bouton .

  4. Cliquez sur le bouton Rôles multiples.

La page de génération des rôles multiples

  1. Inscrivez les informations dans les champs comme suit:

    Dans la zone de texte Préfixe du nom du rôle, incrivez un préfixe qui sera ajouté à tous les noms de rôle qui seront créés.

    Cela permet de les identifier dans la page Versions de rôle.

    Note

    N'ajoutez pas d'espace ou de caractères de ponctuation après le préfixe. Les caractères " - " seront insérés automatiquement entre le préfixe et le nom du rôle dérivé de la valeur des attributs variables.

    Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle. Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

    Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

    Portée

    Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

    Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

    Incrivez le nom de l'attribut dont les valeurs seront énumérées pour créer l'ensemble des rôles.

    Exemple

    Si dans le département de cardiologie de l'hôpital St-Gabriel, il y a trois titres différents tels que "Cardiologue", "Préposé" et "Généraliste".

    Le filtre d'identité pourrait être:

    Organisation = St-Gabriel

    Département = Cardiologie

    Et l'attribut variable: Titre

    Ce qui génèrerait les rôles suivants:

    • St-Gabriel - Cardiologie - Cardiologue
    • St-Gabriel - Cardiologie - Préposé
    • St-Gabriel - Cardiologie - Généraliste

    Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

  2. Lorsque la sélection est terminée, cliquez sur Générer.

    RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

    Rôles générés avec succès

  3. Cliquez sur le lien Cliquez ici pour atteindre la liste des rôles situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

    Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

    Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

    Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer un rôle vide

Ce bouton permet d'ajouter un rôle vide à une session de modélisation de rôles. Un rôle "vide" est essentiellement une coquille de rôle que vous pourrez compléter plus tard. Le rôle sera créé avec son nom sans plus.

Cette approche est utile pour crééer des rôles qui seront modélisés manuellement, sans forage.

Pour ajouter un rôle vide:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

  1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

  2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

  3. A droite de la section Forage de Rôle, cliquez sur le bouton .

  4. Cliquez sur le bouton Rôle vide. Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

  5. Cliquez sur Générer.

  6. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

    Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

    Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Créer un nouveau rôle à partir d'un modèle

Vous pouvez créer un nouveau rôle à partir d'un rôle modèle.

Note

Le nom du nouveau rôle sera créé à partir du nom du rôle modèle suivi d'un numéro unique. Vous pouvez renommer le rôle et ajuster la description ainsi que tous les paramètres à votre guise.

Pour dupliquer un rôle:

  1. Cliquez sur ACCÈS> Versions des rôles.

  2. Dans la liste, sélectionnez sur le rôle modèle que vous voulez dupliquer

  3. Cliquez sur le bouton Dupliquer le rôle.

    La page d'édition de rôle s'ouvrira sur l'onglet Détails.

  4. Ajustez les paramètres du nouveau rôle et cliquez sur Enregistrer au bas de la page.

    Un nouveau rôle sera créé. Le nom sera construit à partir du nom du rôle modèle et d'un numéro unique, généré automatiquement, permettant de le distinguer.

    Voir Éditer un rôle pour plus de détails.

Créer une nouvelle version de rôle par forage

Vous pouvez effectuer le forage d'un rôle existant avec des paramètres différents, ce qui créera automatiqument une nouvelle version du rôle et l'ajoutera à la session de modélisation.

Pour créer une nouvelle version par forage:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

  1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

  2. Sélectionez la session désirée dans la liste.

    La page de modélisation de rôle s'ouvrira sur l'onglet Détails.

  3. A droite de la section Forage de Rôle, cliquez sur le bouton .

  4. Cliquez sur Rôle existant.

  5. Sélectionnez un rôle dans la liste Sélectionnez un rôle.

    Vous pouvez utiliser les cases à cocher Débute par et Se termine par pour raffiner la recherche.

  6. Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

    Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

  7. Cochez un des boutons pour déterminer comment seront assignés les membres directement assignés.

    Cochez Assigner directement les membres selon les critères de génération pour assigner directement les identités qui répondent aux critères de filtrage d'actif.

    Note

    Cette option utilise la règle d'assignation du rôle existant pour identifier les identités à assigner directement au rôle, c'est à dire qu'une fois assignés il le resteront à moins d'être retirés manuellement.

    Cochez Aucun membre assigné directement si aucun membre assigné directement ne doit être assigné automatiquement.

    Cochez Garder les membres assignés directement existants pour que les membres directement assignés du rôle existant soient préservés.

    Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

    Portée

    Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

    Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

  8. Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

    Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

  9. Lorsque la sélection est terminée, cliquez sur Générer.

    La page de génération des rôles multiples

    RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

    Rôles générés avec succès

  10. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

    Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

    Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à [Éditer et réviser une version de rôle](#editer-une version-de-role).

    Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer une nouvelle version de rôle à partir d'un modèle

Vous pouvez créer une nouvelle version d'un rôle indépendamment d'une session de modélisation à partir d'une version de rôle existante.

Pour créer une nouvelle version à partir d'un modèle:

  1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
    Sélectionnez la version de rôle à dupliquer.
    La page d'édition de rôles s'ouvrira sur l'onglet Détails.

  2. Cliquez sur le bouton Dupliquer la version du role au bas de la page.

    La page d'édition de rôle s'ouvrira sur l'onglet Détails.

  3. Ajustez les paramètres de la nouvelle version de rôle et cliquez sur Enregistrer au bas de la page.

    Une nouvelle version du rôle sera créée et ajoutée au rôle. Un numéro unique permettant de la distinguer sera généré automatiquement et associé à la version.

    Voir Éditer une version de rôle pour plus de détails.

Éditer une version de rôle

Vous pouvez apporter des modifications à une version de rôle en tout temps soit pour raffiner le rôle ou soit pour le faire évoluer afin de refléter des changements dans votre organisation.

Pour éditer une version de rôle:

  1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
    Sélectionnez la version de rôle à éditer ou réviser.

    La page d'édition de rôles s'ouvrira sur l'onglet Détails.

    Détails du rôle

    Note

    Si la version du rôle est active, très peu de champs peuvent être modifiés.

    Outre le nom et la description, seuls les membres directement assignés et la disponibilité du rôle en libre-service peuvent être modifiés.

    Pour modifier d'autres champs comme les règles d'assignation, il faut d'abord désactiver la version de rôle.

    Attention

    Pour modifier une version de rôle sans affecter le fonctionnement, il faut créer un autre version de rôle.

    Voir Créer une nouvelle version de rôle pour plus de détails.

  2. Effectuez les modifications requises comme suit:

    Nom

    Ajustez le nom du rôle si requis.

    Description

    Ajustez la description du rôle si requis.

    Version de rôle

  3. La liste affiche les différentes versions de ce rôle. Vous pouvez sélectioner une nouvelle version du rôle si désiré.

    L'état de la version sélectionnée ainsi que la dernière date et heure d'activation et de désactivation sont affichées.

    Description des changements dans cette version

    Ce champ est automatiquement initialisé avec le contenu du champ Description. Il peut être édité à votre guise pour refléter les modifications qui seront apportées à la version du rôle.

    Sessions de modélisation de rôles

    Affiche les sessions de modélisation de rôles qui incluent cette version de rôle. Vous pouvez cliquer sur une session de modélisation pour l'ouvrir.

    Critères d'assignation

    Si la version de rôle est Inactive, vous pouvez cliquer sur le bouton Editer pour éditer les règles de filtrage utilisées pour assigner le rôle.

    Note

    Ces règles servent à assigner le rôle automatiquement aux identités qui correspondent aux critères.

    Ces règles sont initialisées à la valeur des règles du filtre d'identités utilisé lors du forage si le rôle a été foré.

    Rôle disponible en libre-service

    Cochez l'une des deux cases suivantes pour régler la disponibilité de ce rôle dans les pages de demandes du portail libre-service:

    • Peut être demandé dans une demande d'accès
    • Peut être ajouté à une demande de modification de rôle

    Approbateurs

    Il est possible de configurer les approbations pour les demandes d'accès d'identité et les demandes de modification de rôle.

    Pour chacun des niveaux d'approbation suivants, indiquez si le niveau est requis et complétez les informations requises, le cas échéant.

    Approbation requise d'un approbateur de l'identité

    Pour les demandes d'accès, cochez cette case si le responsable de la personne qui demande l'accès doit approuver l'attribution de ce rôle.

    Pour les demandes de rôles, cochez cette case si le responsable des membres directs modifiés dans la demande doit approuver le changement de l'identité dans ce rôle.

    Dans les deux cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

    Approbation requise du propriétaire de rôle

    Cochez cette case si le propriétaire du rôle, représenté par son groupe de délégation doit approuver l'attribution du rôle.

    Approbation spéciale

    Cochez la case si un troisième niveau d'approbation est requis pour attribuer ce rôle.

    Si un groupe de délégation autre que celui lié à l'identité ou au propriétaire de rôle doit approuver la demande, sélectionnez le dans la liste déroulante.

    Note

    Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

    Groupes

    Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des groupes au rôle. Si la version est Active vous ne pourrez que visualiser les groupes inclus dans le rôle.

    Les groupes inclus dans cette version du rôle sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

    Vous pouvez ouvrir la page de détails d'un groupe sélectionné en cliquant sur le bouton Bouton edit.

    Détails des groupes inclus

Pour ajouter des groupes au rôle:

  1. Sélectionnez un actif dans la liste déroulante Actif. Les groupes associés à cet actif s'afficheront dans la liste Disponibles.
    Vous pouvez aussi rechercher des groupes dans l'ensemble des groupes existants en utilisant le champ Recherche de groupe.

  2. Sélectionnez un ou plusieurs groupes dans la liste Disponibles. Utilisez la flèche Boutonpour les ajouter au rôle. Vous pouvez utiliser le bouton Bouton edit pour ouvrir le groupe.

    Droits d'accès

    Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des droits d'accès au rôle. Si la version est Active vous ne pourrez que visualiser les droits d'accès inclus dans le rôle.

    Les droits d'accès sont des permissions qui peuvent être associées à des éléments associés aux actifs qui sont différents des groupes.

    Exemple

    Les permissions associées aux répertoires et aux fichiers sur les systèmes *NIX sont représentées par des droits d'accès.

    Détails des droits d'accès inclus

Pour ajouter des droits d'accès au rôle:

  1. Sélectionnez un actif dans la liste déroulante Actif. Les droits d'accès associés à cet actif s'afficheront dans la liste Disponibles.
    Vous pouvez aussi rechercher des droits d'accès dans l'ensemble des droits d'accès existants en utilisant le champ Recherche d'accès.
  2. Sélectionnez un ou plusieurs droits d'accès dans la liste Disponibles. Utilisez la flèche Boutonpour les ajouter au rôle. Vous pouvez utiliser le bouton Bouton edit pour ouvrir le droit d'accès.

Membres assignés directement

Si vous utilisez un modèle de rôle hybride (voir - À propos des rôles), vous pouvez ajouter des membres au rôle manuellement, indépendamment des critères d'assignation qui s'appliquent aux membres assignés automatiquement.

Les identités auxquelles le rôle a été assigné sont affichées dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'une identité sélectionnée en cliquant sur le bouton Bouton edit.

Détails des membres directs

Pour assigner des membres directement:

  1. Dans la zone de texte Recherche d'identité, incrivez quelques lettres du nom de l'identité recherchée. Dans la liste des identités disponibles, sélectionnez l'identité désirée et cliquez sur la flèche pour la déplacer dans la liste Sélectionnés.

Membres assignés automatiquement

Cette section affiche toutes les identités à qui le rôle est assigné automatiquement selon les règles d'assignation que vous avez définies.

Liste des membres automatiquement assignés d'un rôle

Si la version du rôle est active, vous pouvez cliquer sur l'un des membres pour afficher l'onglet de révision permettant de visualiser l'affectation du rôle pour le membre sélectionné.

Note

Si la version du rôle n'est pas active, l'onglet de révision ne contiendra aucune information.

Révision de l'affectation d'un rôle

Inclusion de rôles

Cette section vous permet d'inclure des rôles au rôle courant. Les membres assignés directement et automatiquement au rôle courant recevront aussi les groupes et droits d'accès associés aux rôles inclus.

Voir À propos des hiérarchies de groupes et de rôles pour plus de détails.

Les rôles inclus sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'un rôle sélectionné en cliquant sur le bouton Bouton edit.

Détails des roles inclus

Pour ajouter des rôles inclus:

  1. Dans la zone de texte Recherche de rôle, incrivez quelques lettres du nom du rôle recherché. Dans la liste des roles disponibles, sélectionnez le role désiré et cliquez sur la flèche pour le déplacer dans la liste Sélectionnés.

  2. Cliquez Enregistrer pour sauvegarder les modifications au rôle.

Réviser une version de rôle

Vous pouvez réviser les paramètres d'une version de rôle active ainsi que l'affectation du rôle aux membres assignés directement et automatiquement.

Pour réviser une version de rôle

  1. Si vous êtes déjà en train d'éditer un rôle, allez directement à l'étape 3.

  2. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.

    Sélectionnez la version de rôle à réviser.

    La page d'édition de rôles s'ouvrira sur l'onglet Détails.

  3. Cliquez sur l'onglet Révision

    Révision du'une version de rôle

    Note

    Si la version du rôle n'est pas active, l'onglet de révision ne contiendra aucune information.

Version du rôle

  1. La liste affiche les différentes versions de ce rôle. Sélectionez la version du rôle à réviser.

    La section Information sur ce rôle affiche des informations détaillées sur cette version de rôle.

Affectations

La section Affectations affiche l'effet du rôle sur ses membres.

Vous pouvez visualiser, pour chacun des membres, les groupes et droits d'accès qu'il détient par rapport au contenu du rôle. Les accès détenus en accord avec le rôle sont affichés en vert, les accès détenus en excédent du rôle sont affichés en rouge alors que les accès du rôle non détenus par le membre sont affichés en bleu.

  1. Sélectionnez un membre dans la liste déroulante pour visualiser ses accès.

  2. La case Filtrer les groupes avec les critères du rôle permet de filtrer les actifs analysés pour éviter que les accès associés aux actifs qui ne correspondent pas au rôle apparaissent dans les listes comme des accès excédentaires.

    La case est cochée par défaut et c'est le choix recommandé.

    Exemple

    Une identité a accès à des application bureautiques et à des applications métiers dont les accès sont gérés par des rôles différents. Si on révise le rôle bureautique et que la case n'est pas cochée, les accès liés aux applications métier apparaîtront comme des accès excédentaires en rouge.

  3. À la fin de la révision, si la configuration du rôle est satisfaisante, retournez sur l'onglet Détails et cliquez sur le bouton Activer pour rendre le rôle effectif.

    Note

    Assurez vous que les dernières modifications ont été sauvegardées en cliquant le bouton Enregistrer.

Activer une ou plusieurs versions de rôles

Les versions de rôles peuvent être activés séparément ou plusieurs à la fois.

Pour activer une version de rôle

  1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
    Sélectionnez la version de rôle à activer.
    La page d'édition de rôles s'ouvrira sur l'onglet Détails.
  2. Cliquez sur le bouton Activer au bas de la page. Une fenêtre s'ouvrira pour les option d'activation.
  3. Choisir si l'approvisionnement doit être effectués ou non lors de l'activation.
  4. Cliquez sur le bouton Activer en bas de la fenêtre.

Pour activer plusieurs versions de rôles:

  1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

    Sélectionez la session désirée dans la liste.
    La page de modélisation de rôle s'ouvrira sur l'onglet Détails. Dans la section Rôles, assurez-vous que tous les rôles que vous voulez activer sont dans la liste Rôles sélectionnés.

  2. En haut de la page, cliquez sur le bouton Activer.

    Note

    Si tous les rôles que vous voulez activer ne sont pas dans la liste des rôles sélectionnés, vous pouvez les ajouter soit en créant les rôles manquants ou en ajoutant des rôles existants.

    Voir aussi Assigner des rôles à une session de modélisation pour plus de détails.

Supprimer une version de rôle

Pour supprimer une version de rôle:

  1. Cliquez sur ACCÈS> Versions des rôles.

  2. Dans la liste, sélectionnez sur la version de rôle que vous voulez supprimer

  3. Cliquez sur le bouton .

    Note

    Les versions de rôle doivent être inactives pour être supprimées. Les versions de rôle actives ne peuvent pas être supprimées.

À propos de ségrégation de tâches

Les règles de ségrégation de tâches sont déterminées par les politiques organisationnelles. RAC/M Identity permet de définir et d'appliquer ces règles.

Les règles de ségrégation de tâches sont validées dans plusieurs circonstances. La logique d'affaire des indicateurs analyse périodiquement le contenu du référentiel pour détecter des anomalies et des situations à risque, dont la présence de violations de règles de ségrégation de tâches. Dans ce cas, les violations sont rapportées par des indicateurs et des boutons permettent de naviguer directement vers les situations problématiques afin de les résoudre rapidement.

Les règles sont aussi évaluées lors des campagnes de revues d'accès. Les violations peuvent être incluses dans des campagnes de révision d'accès. Les violations peuvent aussi être documentées par des rapports standards et personalisés.

De façon préventive, les règles de ségrégation de tâches sont aussi évaluées lors de requêtes d'accès en provenance du portail libre-service. Si une requête contient un ou plusieurs accès qui causent une violation de règle, la requête est automatiquement aiguillée vers un intervenant, ou son groupe de délégation, afin de résoudre le conflit.

Dans ce cas, la requête peut être acceptée conditionnellement ou par dérogation, rejetée ou modifiée selon ce qui est le plus approprié.

RAC/M Identity permet de définir la nature des règles de ségrégation de tâches en définissant des règles d'exclusion sur cing types d'objets et attributs:

  • Actif : Par exemple, l'organisation n'autorise personne à posséder un compte dans l'application de saisie des commandes et dans l'application d'exécution des commandes.
  • Groupe : Par exemple, un membre d'un groupe Active Directory représentant les contractuels externes ne peut être membre d'un groupe représentant les gestionnaires.
  • Rôle : Par exemple, un membe du rôle gestionnaire ne doit pas avoir aussi le rôle de représentant syndical.
  • Structure organisationnelle : Par exemple, une identité affectée au service des comptes clients ne doit pas être aussi affectée au service d'audit.
  • Titre : Par exemple, une identité possédant le titre d'infirmière ne peut aussi détenir le titre de cardiologue.

Note

RAC/M Identity analyse les accès détenus par l'ensemble des identités associées à une personne pour détecter les violations de règles de séparation des tâches.

C'est à dire qu'une personne associée à plusieurs identités ne peut détenir des accès qui violeraient des règles de séparation de tâche, même si les accès conflictuels sont attribués à des identités distinctes.

Cette section présente les étapes permettant de créer une ou plusieurs règles de ségrégation des tâches ainsi que de les visualiser et les modifier.

Créer une règle de ségrégation de tâches

Pour créer une règle de ségrégation des tâches:

  1. Dans le menu ACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

    Page de ségrégation des tâches, liste de règles

  2. Sélectionnez la nature de la règle à créer en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

  3. Cliquez sur l'onglet Définition.

  4. En haut à droite de la page, cliquez sur le bouton . Dans la zone de texte Nom, incrivez le nom de la règle. Dans la zone de texte Description, incrivez une description décrivant cette règle. Dans la zone Groupe certificateur, double-cliquez pour ouvrir la liste ou incrivez le nom d'un groupe de délégation. Il s'agit du groupe de délégation qui sera responsable de la révision de cette règle de ségrégation d'accès. Dans les deux cases Item Mutuellement Exclus (l'item exclus dépend de l'onglet sélectionné à l'étape 2.), double-cliquez pour ouvrir la liste ou incrivez le nom des items qui doivent être mutuellement exclus.

  5. Cliquez sur Enregistrer.

La règle est maintenant disponible dans la page de sélection Ségrégation des tâches, dans la liste de l'onglet de la catégorie sélectionnée (onglet Rôle dans notre exemple).

Page de sélection des règles de ségrégation des tâches, liste des rôles

Éditer une règle de ségrégation des tâches

Pour modifier une règle

  1. Dans le menuACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

  2. Sélectionnez la nature de la règle à modifier en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

  3. Cliquez sur la règle désirée pour ouvrir sa page de détails. Effectuez les modifications désirées

  4. Cliquez sur Enregistrer au bas de la page pour sauvegarder vos modifications.

Générer plusieurs règles de ségrégation de tâches

Pour générer plusieurs règles de ségrégation des tâches:

  1. Sur la page de détails Ségrégation des tâches, cliquez sur l'onglet Génération.

  2. Cliquez sur l'onglet de la catégorie pour laquelle vous souhaitez créer des règles (reportez-vous à l'étape 3. de la procédure Créer une règle de ségrégation de tâches.

    Page de détails sur la ségrégation des tâches, génération de règles multiples

    Dans la liste Rôle (dans notre exemple), cliquez sur la flèche ou incrivez le nom pour ouvrir la liste, et sélectionnez le rôle à partir duquel d'autres règles de ségrégation seront créées.

    Dans la zone de texte Nom, incrivez le nom qui sera utilisé comme préfixe pour toutes les règles.

    Dans la zone de texte Description, incrivez la raison de ces règles.

    Dans la zone de texte Certificateur, incrivez le nom du groupe de délégation. Ce groupe sera responsable de la révision des règles.

    Sous Exclusion, dans la liste Rôles à exclure (dans notre exemple), incrivez le nom ou cliquez sur la loupe pour ouvrir la liste et sélectionner les rôles qui doivent être exclus du rôle que vous avez sélectionné comme "élément à isoler".

    Dans la liste de gauche, sélectionnez les rôles et cliquez sur la flèche pour les déplacer vers celle de droite.

    ![Page des détails de la ségrégation des tâches, sélection d'exclusion] (./media/Pg-Access_SegDuty-Gen-Role_Exclusion.png#inline-image)

  3. Cliquez sur Générer.

    Les règles sont disponibles dans la page Segregation of Duties Details, dans la liste de l'onglet de la catégorie sélectionnée (onglet Role dans notre exemple).

    La page de sélection de la répartition des tâches, liste des rôles

    Pour modifier la configuration d'une règle, dans la liste, cliquez sur la règle pour ouvrir sa page de détails.

Créer une fonction supplémentaire

Une fonction supplémentaire est un mécanisme simple qui permet de refléter des responsabilités additionnelles ou complémentaires à celles correspondant aux rôles d'une personne dans l'entreprise. Par exemple, une personne peut se voir attribuer les responsabilités de "Chef d'équipe - développement" pendant une période déterminée ou indéterminée. Ce chapitre présente la procédure de création d'une fonction supplémentaire.

Pour créer une fonction supplémentaire:

  1. Dans le menu ACCÈS, cliquez sur Fonctions supplémentaires.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sur la page Fonctions supplémentaires Détails, dans la zone de texte Nom, incrivez le nom de la fonction supplémentaire.

    La page de détails des fonctions supplémentairess

    Dans la zone de texte Description, incrivez une description de la fonction.

    Dans la zone de texte Identification d'objet externe, incrivez un identifiant unique correspondant à la nouvelle fonction supplémentaire. Cet identifiant constitue un nom technique qui doit être unique et permanent.

  4. Cliquez sur Enregistrer.

    La fonction supplémentaire peut être ajoutée à une identité et utilisée par logique d'affaires pour assigner des rôles automatiquement ou comme paramètre de filtre.

    Utilisation d'une fonction supplémentaire dans un filtre d'identité

À propos de structure organisationnelle

Bien qu'il soit préférable de construire automatiquement la structure organisationnelle à partir des informations de références et de séquences de traitement, il est possible de la construire manuellement.

Cette section décrit comment définir manuellement la structure de votre organisation en décrivant les départements et divisions, la personne responsable de chaque niveau, ainsi que d'autres informations complémentaires telles que la localisation, les centres de coûts, etc.

RAC/M Identity dispose de trois éléments structurels avec lesquels il est possible de travailler, et de multiples niveaux d'organisations et de départements peuvent être ajoutés pour correspondre à votre organisation. Les éléments structurels sont les suivants :

  • Entreprise : Cet élément structurel se trouve au sommet de la hiérarchie. Il correspond au niveau le plus élevé de votre organisation dans son ensemble.
  • Organisation : Il s'agit d'une sous-catégorie de l'entreprise. Elle peut correspondre aux divisions d'une entreprise, aux différents campus d'une université, aux différents hôpitaux d'un même réseau de santé.
  • Département : Il s'agit d'une sous-catégorie de l'organisation. Elle pourrait correspondre aux différents départements des divisions d'une entreprise, aux différents départements d'une université, etc. Dans l'exemple ci-dessous, elle correspond aux départements ou unités de l'hôpital.

Voir aussi

Pour créer la structure organisationnelle:

  1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

    Exemple d'une structure organisationnelle

    Lorsque vous ouvrez la page, seule l'entreprise est affichée. Pour développer l'arbre, cliquez sur le signe plus à gauche des différents éléments de la structure. Lorsque vous sélectionnez un élément de la structure, ses détails apparaissent sur la droite.

    Note

    Bien que vous puissiez modifier les informations directement dans cette page, les modifications pourraient être perdues si la structure organisationnelle est mise à jour via une séquence.

  2. Cliquez sur le + à droite des éléments présents pour ajouter d'autres éléments.

    La page Détails s'ouvre. Inscrivez les informations disponibles dans les champs appropriés.

    Note

    Bien que seuls les champs Nom, Type d'organisation et Nom de l'unité organiationnelle sont obligatoires, nous recommandons de renseigner les autres champs selon la disponibilités des informations. Plus la représentation de la structure organisationnelle est juste et complète, plus elle peut être utilisée par la logique d'affaires pour automatiser les processus.

    Par exemple, le champ Nom du gestionnaire est habituellement utilisé pour aiguiller le premier niveau du flux d'approbation des requêtes. Il est donc fortement recommandé de le renseigner, idéalement de façon automatisée de sorte à assurer la plus haute intégrité possible du référentiel de RAC/M Identity.

    Nom

    Entrez le nom de l'entité à ajouter

    Description

    Entrez une description pour l'entité à ajouter.

    Type d'organisation

    Sélectionnez le type d'entité à ajouter dans la liste déroulante. La nouvelle entité sera positionnée dans la structure organisationnelle selon le type d'entité sélectionné.

    Lieu de travail

    Sélectionnez le lieu de travail où se situe la nouvelle entité. La liste des lieux de travail a été construite dynamiquement à partir des données importées dans le référentiel.

    Nom de l'unité organisationelle...

    Inscrivez un nom unique pour référer à cette identité.

    Champs Identiifer et Extra

    Ces champs sont des champs libres qui peuvent être utilisés pour garder des informations pertinentes aux processus de GIA. Ces informations peuvent être utilisées par la logique d'affaires et les filtres pour guider les processus automatisés.

    Nom de gestionnaire

    Sélectionnez dans la liste déreoulante le nom du gestionnaire de la nouvelle entité. Cette liste a été construite dynamiquement à partir des données importées dans le référentiel.

    Date de dernière modification

    Ce champ, en lectue seulement, affiche la dernière date de modification de cette entité.

  3. Cliquez sur Enregistrer pour sauvegarder la nouvelle entité.

Pour modifier la structure organisationnelle

  1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

  2. Sélectionnez l'item à éditer en cliquant sur l'item. La page de détails s'affiche à droite.

    Apportez les modifications désirées aux informations.

    Lors d'une modification, le champ Unité organisationnelle parente est affiché. Il indique l'unité organidationnelle parente de l'item en cours d'édition.

    Vous pouvez déplacer l'item sous une autre entité en la sélectionnant dans la liste déroulante.

  3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de l'approvisionnement

Cette section décrit comment suivre la progression des flux de travail, des tâches et des requêtes d'approvisionnement découlant des requêtes provenant du portail libre-service ou d'autres sources.

Les divers écrans permettent de visualiser l'état des requêtes et sous re-requêtes, de diagnostiquer des problèmes potentiels et d'y remédier le cas échéant.

Vous pouvez visualiser l'état des requêtes par:

  • Tâches, pour visualiser les tâches d'approbation ou de création/retrait/modification manuelles
  • Requêtes d'identités, pour visualiser les requêtes d'accès faites par le portail libre-service
    • Identités, pour visualiser les requêtes visant les identités
    • Rôles, pour visualiser les requêtes visant les rôles
    • Comptes, pour visualiser les requêtes visant les comptes
    • Groupes, pour visualiser les requêtes visant l'ajout ou le retrait de groupes
    • Demandes écrites, pour visualiser les requêtes demandées dans des champs libres dans le portail libre-service
  • Requêtes de rôle, pour visualiser les requêtes de rôle faites par le portail libre-service

Dans chaque écran, vous pouvez cliquer sur les liens pour naviguer la chaîne de requêtes et de sous-requêtes associées.

Tous les écrans affichent des informations similaires, mais les champs affichés varient selon la nature de la liste.

ColonneDescription
RequêteNuméro de la requête généré automatiquement
IdentitéIdentité associée à la requête
RoleRole associé à la requête
ActifActif visé par la requête
CompteCompte d'accès visé par la requête
GroupeGroupe à ajouter ou retirer par la requête
TypeType de requête ou sous-requête Ajout, Retrait, Modification
ÉtatÉtat de la requête En attente, Provisionné, Complété, Complété (fermé)
CommentaireInformation détaillée sur la requête
DescriptionInformation complémentaire si disponible
Date de créationDate de création de la requête
ApprobationÉtat de l'approbation de la requête En attente, Approuvé, Rejeté

Note

Pour les demandes d'accès, l'état des requêtes passera de Complété à Complété (fermé) une fois que les changements demandés sont détectés dans les systèmes cibles, ce qui confirme que la requête est terminée correctement.

Les valeurs possibles des types de requêtes, des états et des états d'approbation peuvent évoluer dans le temps. Les valeurs indiquées dans le tableau sont à titre informationnel seulement.

Pour visualiser la progression des requêtes en cours:

  1. Dans le menu Approvisonnement, cliquez sur le type de requêtes que vous voulez visualiser. La liste des requêtes en cours s'affiche.

    La liste des requêtes en cours

    Vous pouvez filtrer la liste des requêtes pour n'afficher que les requêtes en erreur par exemple, ou filtrer sur tout autre mot clé en utilisant la zone de recherche à droite de l'écran.

  2. Cliquez sur les hyperliens pour naviguer dans la chaîne des requêtes et sous-requêtes

À propos des rapports

Cette section décrit comment générer des rapports standards, personnalisés et d'anomalies.

Note

Pour les campagnes de révision d'accès, les rapports sont générés à partir des écrans de gestion des campagnes, voir Démarrer et suivre une campagne de révision.

De plus, vous pouvez utiliser des outils de visualisation de données tels que Tableau, PowerBI et autres afin de générer des rapports et produire des tableaux de bord et des indicateurs personalisés.

Générer des rapports standards

RAC/M Identity offre plusieurs rapports standards.

Pour générer des rapports standards:

  1. Dans le menu RAPPORTS, cliquez sur Rapports.

  2. Dans la liste Rapports, sélectionnez le type de rapport que vous souhaitez générer. Une description du rapport apparaît dans la zone de texte Description. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

    La page des détails des rapports

  3. Cliquez sur Générer un rapport.

    Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

    La liste des rapports générés

  4. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports personnalisés

Si aucun des rapports standard ne répond à vos besoins, vous pouvez créer des rapports personalisés en utilisant le format JasperReport via l'interface iReport Designer.

Important

Pour que vos rapports personnalisés apparaissent dans l'interface RAC/M, ils doivent être créés en utilisant le format JasperReport.

Pour créer des rapports personnalisés, vous devez avoir une connaissance de base de SQL et de la syntaxe des requêtes. Vous devez également avoir accès au référentiel RAC/M, et il est aussi fortement recommandé que vous utilisiez un générateur de scripts SQL pour tester vos requêtes avant de les inscrire dans la boîte de dialogue Query Text de iReport Designer.

RAC/M Identity vous permet également d'ajouter des champs à la page Rapports. Ceux-ci sont utilisés comme critères supplémentaires lors de la génération du rapport personnalisé. Ces champs peuvent être :

  • Une liste déroulante : Une liste déroulante est créée si le champ obtient ses données soit de la colonne Application_ID, soit de la colonne Application_Group_ID.
  • Une zone de texte : Une zone de texte est créée si le champ reçoit ses données de n'importe quelle autre colonne.

Pour qu'un champ apparaisse dans l'interface RAC/M, assurez-vous que l'option Use as prompt est sélectionnée dans les paramètres du champ.

Pour plus d'informations sur iReport Designer ou JasperReport, veuillez vous reporter à leur documentation respective.

Pour générer un rapport personnalisé:

  1. Dans le menu RAPPORTS, cliquez sur Rapports.

  2. Dans la liste Rapports, sélectionnez Rapport personnalisé.

  3. Dans la liste Rapport personnalisé, sélectionnez votre rapport personnalisé. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

  4. Cliquez sur Générer le rapport.

    Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

  5. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports d'anomalies

La liste des rapports standard comprend des rapports qui peuvent être utilisés pour examiner les anomalies. Voici des exemples de rapports à utiliser pour identifier des anomalies :

  • Comptes associés à une identité avec un nom différent
  • Comptes terminés entre deux dates
  • Identités associées à une personne ayant une date de naissance différente
  • Identités associées à une personne ayant un nom différent
  • Identités enregistrées après la date de résiliation
  • Identités avec des comptes multiples dans un actif donné
  • Identités avec superviseur dans différents départements
  • Identités sans superviseur
  • Divergences d'identité
  • Identité supprimée entre deux dates
  • Etc.

Ces rapports sont générés de la même manière que les rapports standard (voir Génération de rapports standard).

À propos de la configuration de RAC/M Identity

RAC/M Identity est conçu pour être extrêment flexible et capable de s'adapter aux contextes d'affaires et technologiques de toutes les entreprises, qu'elles soient toutes petites ou très grandes, et ce, sans programmation, par simple configuration. C'est l'approche Low-Code/No-Code.

Cette section décrit comment configurer RAC/M Identity ainsi que les modules et les politiques constituant la logique d'affaires requise pour mettre en œuvre les traitements automatisés souhaités.

Important

Les procédures suivantes permettent de définir et modifier la logique d'affaires de votre service de GIA. Elles requièrent une bonne compréhension du fonctionnement de RAC/M Identity et de votre environnement technologique et sont généralement effectuées par les architectes, intégrateurs ou experts techniques de la solution.

Un mauvais paramétrage pourrait entraîner un dysfonctionnement du service de GIA.

Note

Vous pouvez visualiser les modules, blocs et séquences inclus avec RAC/M Identity afin de mieux comprendre comment configurer les modules et construire des blocs et des séquences.

Voir aussi le Guide de référence technique pour plus d'information.

A cette fin, la fonction CONFIGURATION du menu principal vous-même permet de:

  • Visualiser et éditer les fichiers de configuration de RAC/M Identity
  • Créer, modifier, dupliquer et supprimer des modules (Gestionnaires de fichiers, Formateurs, Collecteurs, Extracteurs, Modules)
  • Créer, modifier, dupliquer et supprimer des Blocs et des Séquences
  • Créer, modifier et supprimer des Mappages
  • Créer, modifier et supprimer des stratégies d'approvisionnement manuel
  • Créer, modifier et supprimer des Connecteurs ICF
  • Créer, modifier et supprimer des Politiques (de compte, de nom d'utilisateur et de mots de passe)
  • Visualiser et éditer les courriels de notifications

Si la configuration des modules diffère selon leur nature, la mise à jour, l'exportation, l'importation, la duplication et la suppression restent les mêmes.

De plus, les modules peuvent être exécutés directement en cliquant sur le bouton Exécuter. Les résultats peuvent être visualisés au menu GESTION sous Exécution de séquences.

Afin d'alléger le texte, seules les instructions détaillées pour la création des modules seront fournies, les autres opérations étant similaires.

Pour plus d'informations sur ces tâches courantes, reportez-vous à Tâches de base.

Visualiser ou éditer un fichier de configuration

Pour visualiser ou éditer un fichier de configuration:

  1. Dans le menu CONFIGURATION, cliquez sur Fichiers de configuration.

  2. Dans la liste, sélectionnez le fichier que vous voulez visualiser ou éditer. Vous pouvez naviguer au début ou à la fin du fichier en utilisant les boutons en haut à droite.

    Vous pouvez visualiser le fichier en format brut un cliquant sur le bouton

    Apportez les modifications requises au fichier.

  3. Cliquez sur Sauvegarder pour sauvegarder vos changements.

Note

Vous devez avoir les permissions requises dans votre profil RAC/M Identity pour pouvoir éditer un fichier de configuration.

Voir Référence des permissions des profils RAC/M Identity pour plus d'information.

Le service RAC/M Identity doit être redémarré pour que vos modifications prennent effet.

Créer un gestionnaire de fichiers

Les gestionnaires de fichiers sont utilisés pour transférer des fichiers entre RAC/M Identity et des serveurs, tels que les sites FTP. Ils peuvent utiliser différents protocoles de transfert, tel que FTPS, SFTP ou SCP ainsi que différents mécanismes d'authentification.

Ils peuvent aussi être utilisés pour manipuler des fichiers situés sur le système de fichiers local de votre instance de RAC/M Identity.

Pour créer un gestionnaire de fichiers:

  1. Dans le menu CONFIGURATION, cliquez sur Gestionnaires de fichiers. La page Gestionnaires de fichiers s'ouvre.

    La page de gestionnaires de fichiers

  2. En haut à droite de la page, cliquez sur le bouton .

    Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau gestionnaire de fichiers.

    Le nom doit être distinctif car il apparaîtra dans une liste de gestionnaires de fichiers.

    Dans la zone de texte Fichier source, incrivez le chemin d'accès au fichier source.

    Dans la zone de texte Fichier de destination, incrivez le chemin d'accès au fichier où les données seront déposées.

    Les fichiers à être traités doivent être déposés dans le répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.

    Dans la zone de texte Fichier d'erreur, incrivez le chemin d'accès du fichier d'erreur. Laissez vide pour utiliser le fichier d'erreur par défaut.

    Dans la zone de texte Description, incrivez une description de ce à quoi ce gestionnaire est utilisé.

    Sous Comportement en cas d'erreur cliquez sur l'option désirée:

    • Arrêter la séquence pour arrêter la séquence de traitement
    • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
    • Continuer avec l'opération suivante pour poursuivre le traitement

    Sous Primitive, dans la liste déroulante Nom, sélectionnez la Primitive que vous voulez utiliser.

    En général, les primitives dont le nom contient le mot External servent à transférer des fichiers entre un serveur externe et votre instance de RAC/M Identity, alors que les primitives dont le nom contient le mot Local servent à manipuler des fichiers sur le système de fichiers local de votre instance de RAC/M Identity.

    Les autres primitives servent à effectuer des traitements spécifiques, voir la description des primitives ou consulter le Guide de référence technique pour plus de détails.

    Si vous avez sélectionné une primitive dont le nom contient le mot External, telle que ModuleExternalSCPGet, ModuleExternalSCPPut, ModuleExternalSFTPMove, ou ModuleExternalSFTPMoveArchive, vous devez compléter les informations sous Connexion.

    ChampDescription
    HôteEntrez l'adresse IP ou le nom du serveur hôte.
    PortIncrivez le port que vous devez utiliser pour vous connecter au serveur.
    CompteIncrivez le nom d'utilisateur utilisé pour vous connecter au serveur.
    Mot de passeIncrivez le mot de passe utilisé pour vous connecter au serveur.
    Clé privéeEntrez la clé privée utilisée par le serveur. Vous aurez généré cette clé à l'aide d'une application tierce.
    Clé publiqueInscrivez la clé publique utilisée pour se connecter au serveur. Vous aurez généré cette clé à l'aide d'une application tierce.
    Bouton TestCliquez sur ce bouton pour tester la connexion.

    Si vous avez sélectionné une primitive telle que ModuleIdentityEventHandler ou ModuleProfileEventHandler, vous devez compléter les informations sous Tables d'événements.

    ChampDescription
    Table d'événements cibleSélectionnez la table RAC/M dans laquelle les données sont envoyées.
    Table d'événements sourceSélectionnez la table d'import dans laquelle les données sont obtenues.

    Sous MAPPAGE DE DONNÉES, inscrivez dans quels champs et comment les informations doivent être déposées si requis.

  3. Au bas de la page, cliquez sur le bouton Enregistrer.

    La section ASSOCIATION AVEC LES BLOCS affiche la liste des séquences et des blocs dans lesquels ce gestionnaire de fichier est utilisé. La liste est vide lorsque le gestionnaire est créé.

Créer un formateur

Les formateurs sont utilisés pour traiter les données dans des fichiers CSV afin de les corriger ou de les transformer. Par exemple, les formateurs peuvent être utilisés pour décoder des champs encodés en BASE 64 ou en HEX, réparer et harmoniser des formats de date, manipuler, ajouter ou retirer des colonnes.

En général, les formateurs traitent un fichier CSV source en entrée et créent un fichier CSV résultat en sortie. Les formateurs peuvent aussi être utilisés pour convertir des fichiers plats en format CSV pour qu'ils puissent être traités par RAC/M Identity.

Exemple

Les formateurs permettent de séparer en deux colonnes le prénom et le nom de famille d'une identité lorsque la source de données contient le nom complet dans une seule colonne.

Pour créer un formateur :

  1. Dans le menu CONFIGURATION, cliquez sur Formateurs.

    La page Formatteurs s'ouvre.

  2. En haut à droite de la page, cliquez sur le bouton .

    Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau formateur. Le nom doit être distinctif car il apparaîtra dans une liste de formateurs.

    Dans la zone de texte Description, saisissez une description de l'utilisation de ce formateur.

    Dans la zone de texte Fichier des erreurs, incrivez le chemin d'accès à l'endroit où vous souhaitez enregistrer le fichier d'erreur. Laissez vide pour utiliser le fichier par défaut.

    Dans la zone de texte Séparateur, incrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).

    Dans la zone de texte Nbre Colonnes, incrivez le nombre de colonnes désirées dans le fichier CSV destination. Ceci servira de validation avant le traitement du fichier.

    Dans le champ Encodage du fichier, inscrivez le type d'encodage correspondant au fichier source. UTF-8 et ISO-8859-1 pour les fichiers .XLSX sont les plus fréquemment utilisés.

    Sous Comportement en cas d'erreur cliquez sur l'option désirée:

    • Arrêter la séquence pour arrêter la séquence de traitement
    • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
    • Continuer avec l'opération suivante pour poursuivre le traitement

    Sous Primitive, dans la liste Nom, sélectionnez le nom de la primitive à utiliser.

    Les primitives dont le nom contient les mots ToCSV sont utilisées pour convertir des fichiers LDIF, XLS, XLSX ou autres, en format CSV pour qu'ils puissent être traités par RAC/M Identity.

    Pour une description détaillée des primitives, voir le Guide de référence technique.

    Sous Sélection de fichiers, dans la zone de texte Fichier CSV source, inscrivez le chemin et le nom du fichier à traiter.

    Dans la liste déroulante Type, sélectionnez le type de fichier à traiter ou laissez à Détecter automatiquement pour laisser RAC/M Identity déterminer automatiquement le type de fichier à traiter.

    Dans la zone de texte Fichier résultat, incrivez le chemin et le nom du fichier CSV qui contiendra le résultat du formatage.

    Note

    Le chemin d'accès des fichiers CSV source et résultat doit être relatif au répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.

    Dans la liste Type d'en-tête, sélectionnez soit En-tête, soit Index.

    En-tête affichera le nom des colonnes alors qu'Index affichera le numéro des colonnes dans la section MAPPAGE DE DONNÉES ci-dessous.

    Dans la liste Fichier modèle source, sélectionnez le fichier modèle s'il y en a un de disponible, correspondant au fichier à traiter.

    Si un fichier modèle est sélectionné, la sélection du type d'en-tête s'applique au fichier modèle plutôt qu'au fichier source.

    Note

    Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

    Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

    Exemple: GRA-template.csv

    1. Cliquez sur le bouton Enregistrer avant de passer aux étapes suivantes.

    Cliquez sur le bouton Charger les en-têtes de colonnes des tables.

    La section MAPPAGE DE DONNÉES s'affiche.

    La section de mappage des données

    Dans la liste Expression régulière, dans la zone de texte située à côté de la colonne source qui doit être formatée, incrivez les paramètres requis par la primitive sélectionnée.

    Exemple

    Si vous utilisez une primitive pour supprimer une chaîne de caractères telle que le préfixe TH- du contenu d'une colonne, vous devez inscrire TH- dans la zone de texte Expression régulière située à côté de la colonne en question.

    Remarque

    Les paramètres qui peuvent être utilisés varient en fonction de la Primitive que vous avez sélectionnée. Pour plus d'informations sur les primitives et leurs paramètres, reportez-vous au Guide de référence technique.

  3. Cliquez sur Enregistrer.

    Le formateur est créé.

Créer un collecteur

Les collecteurs sont utilisés pour importer les données d'un fichier CSV ou d'une source de données via un connecteur ICF vers une table d'import du référentiel RAC/M.

Dans tous les cas, les collecteurs permettent de faire le mappage des données de la source aux champs correspondants de la table d'import du référentiel de RAC/M Identity.

De plus, des traitements peuvent être appliqués lors de l'importation des données tels qu'insérer des constantes, combiner le contenu de plusieurs champs et plusieurs autres.

Collecteur pour un fichier CSV

Pour créer un collecteur afin d'importer des données depuis un fichier CSV:

  1. Dans la barre de menu, cliquez sur CONFIGURATION> Collecteur.

  2. En haut à droite de la page, cliquez sur le bouton .

    Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur.

    Dans la zone de texte Description, incrivez la description de ce à quoi sert le collecteur.

    Dans les zones de texte Fichier de résultat et Fichier d'erreur, incrivez le chemin d'accès au répertoire où se trouve le résultat (fichier .log) de l'importation de données et le chemin d'accès au répertoire pour le fichier d'erreur (fichier .log).

    Dans la zone de texte Séparateur, incrivez le séparateur utilisé dans le fichier CSV.

    Le point-virgule ( ; ) est la valeur par défaut.

    Dans le champ Encodage du fichier, inscrivez le type d'encodage correspondant au fichier source. Par défaut, l'encodage est défini sur ISO-8859-1.

    Sous Comportement en cas d'erreur cliquez sur l'option désirée:

    • Arrêter la séquence pour arrêter la séquence de traitement
    • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
    • Continuer avec l'opération suivante pour poursuivre le traitement
  3. Au bas de la page, cliquez sur le bouton Enregistrer.

    Le collecteur est ajouté à la liste de la page Détails Collecteurs.

    La liste des collecteurs

    Sous Primitive, dans la liste Nom, sélectionnez la primitive à utiliser.

    Les primitives dont le nom contient CSV servent à importer des données à partir d'un fichier CSV dans le référentiel de RAC/M Identity. Ces primitives permettent aussi de déterminer comment traiter le fait que des données existent déjà ou non dans les tables d'import.

    Exemple

    La primitive

    • ModuleCSVUpdateOrInsertTable mets à jour des données existantes dans une table d'import et les créée si elles n'existent pas déjà
    • ModuleCopyCSVToTable les insère mais ignore les données existantes
    • ModuleCSVUpdateTable mets à jour les données existantes mais ne les créée pas si elles existent déjà dans la table d'importation.

    Sélection d'une primitive d'importation

    Pour plus d'informations sur les primitives veuillez consulter le Guide de référence technique.

    Sous Importation de données, entrez les informations comme suit :

    Table cible

    Dans la liste, sélectionnez la table d'import dans laquelle vous souhaitez importer les données.

    Les tables d'import ont le mot IMPORT dans leur nom.

    (Pour plus d'informations sur les tables d'import, reportez-vous à Description de la table d'import).

    Fichier source

    Dans la liste, sélectionnez le fichier CSV que vous souhaitez importer. Pour notre exemple /RH/*.csv.

    Fichier source modèle

    Dans la zone de texte Fichier modèle de la source, sélectionnez-le.

    Les fichiers modèles servent à définir la structure du fichier en termes de colonnes. Ils peuvent être de type CSV, XLSX, ou XLS. Ils doivent être déposés dans le répertoire déterminé dans le fichier de cnfiguration config.properties. De plus, les fichiers modèles peuvent contenir une première ligne d'entête ou non.

    Type d'en-tête de colonne

    Dans la liste, sélectionnez Header pour remplir la table en utilisant le nom de l'en-tête ou Index en utilisant le numéro d'index. Pour notre exemple, Header.

  4. Au bas de la page, cliquez sur Enregistrer.

  5. Cliquez sur le bouton Charger des colonnes à partir de la table et des fichiers source.

    Vous pouvez maintenant mapper les données importées à la table RAC/M dans la section Mappage des données.

    Sous Data Mapping, faites correspondre les données selon les paramètres suivants :

    Colonne de la table cible

    Ces valeurs représentent les titres des colonnes de la table RAC/M.

    Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source.

    Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

    Type de source de données

    Dans cette liste, vous sélectionnez quel sera le type de données qui alimentera la colonne.

    • Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur.

    Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".

    • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est extraite de la sélection effectuée dans la liste Colonne source. Veillez à faire correspondre les formats de date.

    Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.

    • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur.
    • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source.
    • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
    • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
    • Nom_du_fichier : Importe le nom du fichier sélectionné dans la liste Fichier source de la section Importation de données.
    • Column-Hashed : La valeur est hachée pour s'adapter à l'espace alloué dans le tableau.
    • Column_Mask : Une partie de la valeur est masquée à l'aide d'une expression définie dans la zone de texte Constante. Par exemple, pour une valeur source de 00430022887, vous obtiendrez *******2887 si vous utilisez le masque suivant : ^d(7)[a-zA-Z0-9] ou 0043002**** si vous utilisez : [a-zA-Z0-9].{3}$.

    Colonne source

    Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous voulez importer les données.

    Constante/Valeur

    Si vous avez sélectionné Constante ou Colonne_Avec_Défaut comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

    Format

    Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide.

    Par exemple, une date peut avoir la chaîne yyyy-mm-dd.

    Unique

    Cochez cette case si la valeur doit être unique.

  6. Cliquez sur Enregistrer.

Collecteur pour un connecteur ICF

Pour configurer un collecteur afin d'importer des données depuis un connecteur ICF:

  1. Dans la barre de menu, cliquer sur CONFIGURATION> Collecteurs.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur.

  4. Dans la zone de texte Description, incrivez la description de ce à quoi sert le collecteur.

  5. Dans les zones de texte Fichier de résultat et Fichier d'erreur, incrivez le chemin d'accès au répertoire où se trouve le résultat (fichier .log) de l'importation de données et le chemin d'accès au répertoire pour le fichier d'erreur (fichier .log).

  6. Dans la zone de texte Séparateur, incrivez le séparateur utilisé dans le fichier CSV.

    Le point-virgule ( ; ) est la valeur par défaut.

  7. Dans la zone de texte Encodage du fichier, incrivez l'encodage utilisé s'il n'est pas UTF8.

  8. Sélectionnez la façon dont vous souhaitez que la séquence se déroule si une erreur se produit en utilisant ce module.

  9. Au bas de la page, cliquez sur le bouton Enregistrer. Le collecteur est ajouté à la liste Name de la page Collecteurs Details.

  10. Sous Primitive, dans la liste Nom, sélectionnez un module d'importation.

    Vous pouvez utiliser un module prêt à l'emploi ou un module que vous avez configuré vous-même (voir Configuration d'un module. Pour notre exemple, sélectionnez ModuleICFImportData.

Sélection du module d'importation

En fonction de votre choix de module, différentes options d'importation sont disponibles.

  1. Sous Importation de données, entrez les informations requises comme suit : Les paramètres disponibles diffèrent selon votre choix de module d'importation.
ChampDescription
RAC/M TableDans la liste, sélectionnez la table d'import dans laquelle vous souhaitez importer les données.
Pour notre exemple, sélectionnez Application_Account_Import.
Dans la liste déroulante,sélectionnez le connecteur ICF (voir [Configuration et connecteur ICF](#collecteur pour un connecteur-icf).
Classe d'objetDans la liste, sélectionnez la classe d'objet que vous souhaitez utiliser. La sélection dépend du connecteur ICF sélectionné.
Pour notre exemple, sélectionnez Account.
Load Columns from TableCliquer sur ce bouton ouvre la section Data Mapping que vous avez utilisée pour mapper les données source au format de la table.
Le bouton "Charger les attributs du système cible" )permet d'importer des données dans la liste "Attributs du système cible".
  1. Sous Data Mapping, faites correspondre les données selon les paramètres suivants :

    Colonne RAC/M

    Ces valeurs représentent les en-têtes de colonne de la table RAC/M. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

    Data Source Type

    Dans cette liste, vous choisissez quel sera le type de données qui alimentera la colonne.

    • Constant : Le mappage utilisera la valeur que vous avez spécifiée dans la zone de texte Constant/Valeur. Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".
    • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est extraite de la sélection effectuée dans la liste Colonne source. Veillez à faire correspondre les formats de date. Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.
    • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur.
    • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne.
    • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
    • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
    • File_Name : Importe le nom du fichier sélectionné dans la liste Fichier source de la section Importation de données.
    Attribut du système cible.

    Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez importer les données. Les éléments de la liste ont été importés depuis le serveur connecté au connecteur ICF sélectionné lorsque vous avez cliqué sur le bouton Charger l'attribut du système cible.

    Constant/Valeur

    Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

    Format

    Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Dans notre exemple, incrivez la façon dont la date est saisie dans le fichier source (cela pourrait être yyyy-mm-dd).

    Unique

    Cochez cette case si la valeur doit être unique.

  2. Cliquez sur Enregistrer.

Configurer un extracteur

Les extracteurs sont utilisés pour extraire les données du référentiel d'identités et d'accès RAC/M et les convertir dans un format standard (par exemple, un fichier CSV).

Pour configurer un extracteur:

  1. Dans la barre de menu, cliquez sur CONFIGURATION> Extracteur.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouvel extracteur. Le nom doit être distinctif car il apparaîtra dans une liste d'extracteurs.

  4. Dans la zone de texte Description, saisissez une description de l'utilisation de cet extracteur.

  5. Dans la zone de texte Fichier d'erreur, saisissez le chemin d'accès à l'endroit où vous souhaitez enregistrer le fichier d'erreur.

  6. Dans la zone de texte Séparateur, incrivez le type de séparateur que vous voulez utiliser (par exemple, : (deux points), | (pipe), ; (point-virgule), etc.)

  7. Dans la zone de texte Codage du fichier, si vous voulez que le fichier soit codé, incrivez le type de codage.

  8. Sous Comportement en cas d'erreurs, choisissez la façon dont vous voulez que RAC/M réagisse lorsqu'une erreur d'extraction se produit.

  9. Au bas de la page, cliquez sur le bouton Enregistrer.

  10. Sous Primitive, dans la liste Nom, sélectionnez un module d'extraction.

    Pour notre exemple, sélectionnez ModuleTableToCSV.

Sélection du module d'extraction

  1. Sous Importation de données, saisissez les informations requises comme suit :
ChampDescription
Fichier cibleDans la liste, sélectionnez le fichier dans lequel vous voulez importer les données du fichier CSV.
Tableau sourceDans la liste, sélectionnez le tableau RAC/M duquel vous voulez extraire les données.
Pour notre exemple, Identification.
Dans la liste, sélectionnez le fichier modèle que vous utiliserez pour générer le fichier résultant.
La zone Mapping de données ne sera disponible que si un modèle est sélectionné.
Pour notre exemple, RH/gabarit/template_employes.xlxs.
Dans la liste, sélectionnez Header pour remplir la table à l'aide du nom de l'en-tête ou Index à l'aide du numéro d'index.
Pour notre exemple, Header.
  1. Cliquez sur Enregistrer.
  2. Cliquez sur le bouton Charger les colonnes de la table à partir du CSV pour remplir la zone de mappage des données.
  3. Utilisez la section Critères pour ajouter des filtres à l'extraction.
ChampDescription
Dans la liste, sélectionnez les critères que vous voulez utiliser comme filtre.
Dans la zone de texte, incrivez "=" si vous voulez que le filtre soit égal à une valeur spécifique.
Dans la zone de texte, incrivez la valeur du filtre. Si vous incrivez du texte (ou une chaîne de caractères), veillez à l'entourer de guillemets simples (par exemple, 'Nurse'). Vous pouvez utiliser un format de requête SQL pour saisir des valeurs plus avancées.

Pour ajouter un filtre, cliquez sur le bouton Add.

  1. Sous Mappage des données, faites correspondre les données selon les paramètres suivants :

    Colonne RAC/M

    Ces valeurs représentent les en-têtes de colonnes de la table RAC/M. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

    Type de source de données

    Dans cette liste, vous sélectionnez quel sera le type de données qui alimentera la colonne.

    • Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur. Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".
    • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est sélectionnée dans la liste Colonne source. Veillez à faire correspondre les formats de date. Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.
    • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la valeur. Zone de texte Constant/Valeur.
    • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne.
    • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
    • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
    • File_Name : Le mappage utilisera le nom du fichier source comme valeur.
    Colonne source

    Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez importer les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.

    Constante/Valeur

    Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

    Format

    Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Par exemple, une date peut avoir la chaîne yyyy-mm-dd.

    Unique

    Cochez cette case si la valeur doit être unique.

Configurer un module

Chaque module correspond à l'une des logiques d'entreprise de l'organisation, qui est un processus de base utilisé pour manipuler les données dans le référentiel d'identités et d'accès. Le module le plus courant prend les données de la table de mise en attente et les transfère dans la table RAC/M.

Exemple

Pour copier les données de la table Identity_Import dans la table Identification, vous utiliserez le module IdentificationCopy.

Les modules peuvent ensuite être regroupés pour créer des blocs.

Pour obtenir une liste complète des modules prédéfinis et des primitives, reportez-vous au Guide de référence technique.

Pour configurer un module:

  1. Dans le menu CONFIGURATION, cliquez sur Modules.
  2. En haut à droite de la page, cliquez sur le bouton .
  3. Entrez les informations requises comme suit :
  4. a) Sous Détails :

Nom

Incrivez le nom que vous voulez donner au module. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres modules.

Description

Saisissez une description du module. Cela vous aidera à savoir ce qu'il fait.

Fichier de résultats

Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que les résultats de l'exécution (un fichier .log) soient enregistrés. Le fichier est enregistré dans : Identité RACM/logs.

Fichier d'erreur

Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que le fichier d'erreur (un fichier .log) soit enregistré. Le fichier est enregistré dans : Identité RACM/logs.

Comportement en cas d'erreurs

Sélectionnez la manière dont vous souhaitez que RAC/M réagisse lorsqu'une erreur d'importation se produit.

  1. b) Sous Primitive :

Nom

Dans la liste, sélectionnez le segment de code de base que le module doit utiliser pour effectuer sa tâche. >Pour obtenir une liste de ces segments (ou primitives), reportez-vous au *Guide de référence technique.

  1. c) Sous Portée :

Colonne de critères

Incrivez le titre de la colonne que vous voulez utiliser comme filtre.

Opération

Incrivez "=" si vous voulez que le filtre soit égal à une valeur spécifique.

Valeur

Saisissez la valeur du filtre. Si vous saisissez du texte (ou une chaîne de caractères), veillez à l'entourer de guillemets simples (par exemple, 'Infirmière'). Vous pouvez utiliser le format de requête SQL pour utiliser des valeurs plus avancées.

  1. d) Sous Sélection des tableaux :

Table cible

Dans la liste, sélectionnez la table du référentiel d'identités et d'accès dans laquelle vous souhaitez importer les données de la table de transit. Si vous utilisez le module pour manipuler les données sans nécessairement les importer dans le référentiel (par exemple, pour trouver les comptes qui ne sont pas fiables), laissez cette liste vide. Dans ce cas, la section de mappage des données n'apparaîtra pas.

Table source

Dans la liste, sélectionnez la table d'import à partir de laquelle vous souhaitez importer les données. Si vous utilisez le module pour effectuer des tâches de normalisation ou de corrélation, le fichier source sera une table située dans le référentiel RAC/M.

Charger les titres des colonnes à partir des tableaux

Si vous êtes prêt à importer les données, cliquez sur ce bouton pour charger les colonnes de la table de transit vers la table RAC/M. Le tableau de données s'ouvre sous MAPPAGE DES DONNÉES. Utilisez le tableau pour mapper les données ; si aucun mappage n'est nécessaire, descendez jusqu'au bas de la page et cliquez sur Enregistrer.

ChampDescription
Colonne de la table cibleCes valeurs représentent les en-têtes de colonne de la table RAC/M.
Dans cette liste, vous trouverez toutes les colonnes des données de la table d'import. Pour chaque valeur de la Colonne de la table cible, sélectionnez l'élément de la liste que vous voulez faire correspondre à cette valeur cible.
Dans la liste, sélectionnez Date si la valeur est une date et String pour une autre valeur.
FormatIncrivez le format si nécessaire, sinon, laissez la case vide. Par exemple, une date peut avoir la chaîne yyyy-mm-dd.
Type de traitementDans la liste, sélectionnez SRC_EMPTY_OVERIDE_BY_NULL si la valeur est vide et TARGET_IS_NOT_EMPTY_THEN_NO_OVERIDE si vous ne voulez pas remplacer la valeur de la cible.
Cochez cette case si la valeur doit être unique.

Exemple

Un module d'identification pourrait être configuré comme suit :

  1. Dans la barre de menu, cliquez sur CONFIGURATION> Modules.
  2. Cliquez sur le bouton . La page de configuration du module s'ouvre
  3. Sous Détails, incrivez les informations requises.
  4. Sous Primitive, dans la liste Nom, sélectionnez ModuleCopyColumnsAndInsert.
  5. Sous Sélection de table, dans la liste Target Table, sélectionnez Identification.
  6. Dans la liste Table source, sélectionnez Identité_Importation. 7.
  7. Cliquez sur Load Column Headings from Tables. La zone Mapping de données s'ouvre.
  8. Dans la liste Colonne de la table source, à côté de Employee_ID, sélectionnez Employee_ID.
  9. Dans la liste Type de données, sélectionnez String.
  10. Mettez en correspondance l'entrée suivante Colonne de la table cible et ainsi de suite jusqu'à ce que toutes les valeurs soient mises en correspondance.
  11. Cliquez sur Enregistrer.

Le module est créé et ajouté à la liste des modules.

Configurer un bloc

Les blocs sont constitués de composants, qui peuvent être des formateurs, des collecteurs ou des modules. Lorsque ces composants sont assemblés pour effectuer une tâche, ils deviennent des blocs.

Exemple

Si les informations contenues dans une feuille de calcul Excel doivent être ajoutées au référentiel d'identités et d'accès, vous pouvez créer un bloc qui contiendrait un formateur (pour convertir la feuille de calcul Excel au format CSV), un collecteur (pour transférer les données du fichier CSV dans une table de transit RAC/M) et un module personnalisé (pour normaliser les données).

Lorsque des tâches plus élaborées doivent être exécutées, les blocs peuvent être regroupés pour former des séquences.

Pour configurer un bloc:

  1. Dans le menu CONFIGURATION, cliquez sur Blocs.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Détails, dans la zone de texte Nom, incrivez le nom que vous voulez donner au bloc. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres blocs.

  4. Dans la zone de texte Description, incrivez une description du bloc. Cela vous aidera à savoir ce qu'il fait.

  5. Sous Composants sélectionnés, cliquez sur un composant à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre bloc.

    Lorsqu'un composant est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier est affichée). Pour sélectionner plusieurs composants dans un même groupe, utilisez la touche Ctrl.

Informations sur les composants du bloc

Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

Vous pouvez continuer à travailler sur votre bloc en ajoutant, supprimant et modifiant des composants :

Pour déplacer les composants vers le haut et le bas de la liste Composants sélectionnés, utilisez les boutons et . Ceci détermine l'ordre dans lequel les composants sont exécutés.

Pour désactiver temporairement un composant spécifique, sélectionnez le composant et cochez la case Disable.

Pour modifier un composant, sélectionnez le composant et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

Note

Vous pouvez créer un composant entièrement nouveau en cliquant sur le bouton . Cela ouvre une page de configuration vide pour le type de composant correspondant. C'est la même chose que de passer par le menu CONFIGURATION, composant et de cliquer sur le bouton en haut de la page.

Configurer une séquence

Les séquences sont une collection de blocs qui sont exécutés afin d'accomplir un processus.

Pour configurer une séquence:

  1. Dans le menu CONFIGURATION, cliquez sur Séquences.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Détails, dans la zone de texte Nom, incrivez le nom que vous voulez donner à la séquence. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres séquences.

  4. Dans la zone de texte Description, incrivez une description de la séquence. Cela vous aidera à savoir ce qu'elle fait.

  5. Dans les zones de texte Messagerie(s) de notification et Messagerie(s) d'échec, incrivez les adresses électroniques des identités qui doivent être notifiées lorsque la séquence a été exécutée et celles qui doivent être notifiées si une erreur se produit pendant l'exécution d'une séquence.

  6. Dans la zone de texte Schedule, incrivez la chaîne de programmation. La chaîne comprend 6 champs obligatoires et 1 champ facultatif. Chaque champ est séparé par un espace blanc.

    ChampValeurs autoriséesCaractères spéciaux autorisés
    Secondes0-59
    Minutes0-59, - * /
    Heures0-23, - * /
    Jour du mois
    Mois1-12 ou JAN-DEC, - * /
    Jour de la semaine1-7 ou DIM-SAT, - * ? / L ##
    Année (facultatif)Empty, 1970-2199, - * /
    • * (astérisque) spécifie toutes les valeurs. Par exemple, dans le champ Minutes, il signifie "chaque minute".
    • ? (point d'interrogation) est utilisé pour les champs Jour du mois et Jour de la semaine. Il indique "aucune valeur spécifique", ce qui est utile lorsque vous devez spécifier quelque chose dans l'un des deux champs et pas dans l'autre.
    • - (trait d'union) spécifie une plage. Par exemple, 10-12 dans le champ Heures signifie les heures 10 à 12 incluses.
    • , (virgule) spécifie des valeurs supplémentaires. Par exemple, dans le champ Jour de la semaine, LUNDI, MERCREDI, VENDREDI signifie que les jours lundi, mercredi et vendredi sont programmés.
    • / (barre oblique) spécifie l'incrément. Par exemple, dans le champ Secondes, 0/15 signifie que la séquence sera exécutée toutes les 0, 15, 30 et 45 secondes ; si 5/15, elle le sera toutes les 5, 20, 35 et 50 secondes".
    • L (pour last) a une signification différente dans chacun des deux champs dans lesquels il est autorisé. Par exemple, dans le champ Day of the month, il signifie le dernier jour du mois. En revanche, dans le champ Jour de la semaine, il signifie à lui seul 7 ou SAT. Mais dans le champ Jour de la semaine après une autre valeur, il signifie le dernier jour du mois (par exemple 6L signifie le dernier vendredi du mois ; le samedi étant le 7).
    • W (pour weekday) indique le jour de semaine (du lundi au vendredi) le plus proche du jour donné. Par exemple, si vous spécifiez 15W pour le champ Day of the month, cela signifie "le jour de semaine le plus proche du 15 du mois". Ainsi, si le 15 est un samedi, le déclencheur sera le vendredi 14. Si le 15 est un dimanche, le déclencheur sera le lundi 16. Si le 15 est un mardi, le déclenchement aura lieu le mardi 15. Toutefois, si vous spécifiez 1W dans le champ Day of the month et que le 1er est un samedi, le déclenchement aura lieu le lundi 3. le lundi 3 ; il n'y aura pas de "saut" d'un mois à l'autre.
    • ## (dièse ou dièse) spécifie le "n "ième "jj" jour du mois. Par exemple, dans le champ Jour de la semaine, 6##3 signifie "le troisième vendredi du mois" (le 6e jour étant un vendredi et ##3 = le 3e du mois).
  7. Sous Blocks, cliquez sur un bloc à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre séquence.

    Lorsqu'un bloc est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier s'affiche). Pour sélectionner plusieurs composants d'un même groupe, utilisez la touche Ctrl.

Figure 14 - Description des composants de la séquence

Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

Vous pouvez continuer à travailler sur votre séquence en ajoutant, supprimant et modifiant des blocs :

Pour déplacer les blocs vers le haut et le bas de la liste des Composants sélectionnés, utilisez les boutons et . Cela détermine l'ordre dans lequel les blocs sont exécutés.

Pour désactiver temporairement une séquence, sous Détails, cochez la case Désactiver la séquence.

Pour modifier un bloc, sélectionnez le bloc et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

Note

Vous pouvez créer un bloc entièrement nouveau en cliquant sur le bouton . Cela ouvre une page de configuration vide. C'est la même chose que de passer par le verrou CONFIGURATION> Blocs et de cliquer sur le bouton en haut de la page.

Exemple

Une séquence pour importer et copier des données tous les samedis à minuit pourrait être configurée comme suit :

  1. Dans le menu CONFUGURATION, cliquez sur Séquences.
  2. En haut à droite de la page, cliquez sur le bouton .
  3. Sous Détails, dans les zones de texte Nom et Description, incrivez le nom et une description de la séquence.
  4. Sous Blocs, sélectionnez les blocs que vous avez créés pour copier et importer des données.
  5. Dans la liste Blocs sélectionnés, utilisez les boutons et pour vous assurer que le bloc d'importation est exécuté avant le bloc de copie.
  6. Dans la zone de texte Schedule, incrivez 0 0 0 ? * 7 chaîne de caractères.
  7. Au bas de la page, cliquez sur Enregistrer ou Update. :::

La séquence est créée et s'exécutera à l'heure prévue.

Configurer des mappages

Lorsque les données sont initialement importées dans RAC/M, vous devez faire correspondre les données source et les tables RAC/M. C'est notamment le cas pour les statuts. Une organisation peut avoir plusieurs statuts de compte, mais RAC/M n'en a que quelques-uns. Vous devez décider quels statuts RAC/M reflètent chacun des statuts de l'organisation.

La page Mappings est utilisée pour ajouter des catégories, des balises, des sources et des attributs externes lorsque le nom des données sources n'est pas clair ou qu'il est difficile de travailler avec elles, ou pour créer des groupes de travail auxquels se référer ultérieurement.

Important

Tous les choix de cette page sont optionnels sauf Statut. Le statut de toutes les identités doit correspondre dans l'environnement RAC/M. Ceci est nécessaire pour de nombreuses opérations RAC/M.

Voici une description des possibilités dont vous disposez pour mapper les données sources et les données de sortie. Dans la barre de menu, cliquez sur CONFIGURATION> Mappages.

Titres

Les titres sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un titre soit affiché différemment, vous devez modifier son nom de sortie.

Dans la liste Nom technique, sélectionnez le titre pour lequel vous souhaitez un nom de sortie différent. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom d'affichage. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

Cliquez sur Enregistrer.

::: Note d'avertissement Si, pour une raison quelconque, vous devez créer un titre entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. :::

Statut du compte

Les statuts de comptes sont importés pour les actifs et les comptes. Toutefois, les organisations peuvent avoir plusieurs statuts de compte, alors que RAC/M n'en a que quelques-uns. Vous devez donc attribuer un statut RAC/M à chacun des statuts de l'organisation.

Cela doit être fait lors de la toute première importation de données et chaque fois qu'un nouveau statut est créé par l'organisation.

Dans la liste Nom de l'affichage, sélectionnez le statut pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire.

La sélection que vous faites ici deviendra l'identité du statut RAC/M.

Liste des statuts d'identité

Pour voir le statut de l'identité d'origine, cliquez sur GENS> Identité, et cliquez sur l'identité pour ouvrir sa page de détails.

Le statut original de l'identité

Ensuite, dans la liste Nom effectif, sélectionnez le statut RAC/M.

Cliquez sur Enregistrer.

::: Note d'avertissement Si, pour une raison quelconque, vous devez créer un statut entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. S'il s'agit du statut par défaut, cochez la case Statut par défaut. :::

Type d'emploi

Les types d'emploi sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un type d'emploi s'affiche différemment différent, vous devez modifier son nom de sortie.

Dans la liste Nom d'affichage, sélectionnez le type d'emploi pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

::: Note d'avertissement Si pour une raison quelconque, vous devez créer un tout nouveau type d'emploi, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. :::

Catégories

Les catégories sont utilisées lors de la création et de l'importation de biens. Elles vous permettent de définir le niveau du système ou de l'application.

Pour modifier la description, dans la liste Nom d'affichage, sélectionnez la catégorie pour laquelle vous souhaitez modifier la description et, dans la zone de texte Description, incrivez la nouvelle. Cliquez sur Enregistrer.

Si vous avez besoin d'une nouvelle catégorie, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer.

Tags

Les tags sont utilisés pour vous aider à trier les comptes. C'est utile pour faire correspondre les comptes et les identités, surtout si la liste des comptes est très longue. Les balises peuvent également vous aider à créer des groupes de travail pour les identités présentant des caractéristiques similaires.

Pour ajouter une balise à un compte ou à une demande de provisionnement, cliquez sur le bouton situé en haut à droite de la page. Sélectionnez soit Compte soit Demande d'approvisionnement et, dans la liste Nom d'affichage, incrivez ou sélectionnez un nom de balise. Incrivez une description dans la zone de texte Description et cliquez sur Enregistrer.

Sources

Les sources sont utilisées dans la page Identité. Elles vous permettent d'identifier la source d'identité utilisée pour créer une identité.

La page Mappings vous permet de lier la source à un système cible, le cas échéant, ou de créer de nouvelles sources.

Pour lier une source, dans la liste Nom de l'affichage, sélectionnez le nom de la source du fichier que vous voulez lier à un système cible. Dans la zone de texte Description, incrivez une description. Ensuite, incrivez la valeur associée des données importées dans la zone de texte Nom technique.

Si les données sont importées via un connecteur, sélectionnez-le dans la liste Connecteur ICF.

Cliquez sur Enregistrer.

Si vous devez créer une nouvelle source, cliquez sur le bouton situé en haut à droite de la page, saisissez les informations relatives à la source et cliquez sur le bouton Enregistrer.

Attributs étendus

Les attributs étendus apparaissent dans diverses pages. Ils vous permettent d'ajouter des attributs qui vous aideront à relier les différents objets à la bonne personne.

Pour ajouter un attribut étendu, cliquez sur l'onglet attribut et cliquez sur le bouton situé en haut à droite de la page.

Dans la zone de texte Nom d'affichage, incrivez le nom de l'attribut. Dans la zone de texte Description, incrivez une description puis incrivez un nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

S'il doit s'agir d'une clé d'identification unique, cochez la case Is Unique Key. Pour permettre la modification de l'attribut, sélectionnez la zone de texte L'attribut peut être modifié.

Cliquez sur Enregistrer.

L'attribut est ajouté à la liste Nom de colonne des tables de mappage. Il est également ajouté à la page de détails de l'objet (onglet en haut).

Configurer un connecteur ICF

Veuillez vous référer au guide Connecteurs ICF pour plus d'informations.

Configurer les politiques

RAC/M a la possibilité de créer automatiquement des comptes pour les identités lors du provisionnement. Pour ce faire, vous devez créer 3 politiques : mot de passe, compte, et nom d'utilisateur.

Définir les politiques de mot de passe

Ces politiques sont spécifiquement utilisées pour définir comment le mot de passe d'un nouveau compte sera construit.

Pour définir les politiques de mot de passe:

  1. Dans la barre de menu, cliquez sur CONFIGURATION> Politiques de mots de passe.
  2. En haut à droite de la page, cliquez sur le bouton .
  3. Sous Détails, dans la zone de texte Nom, incrivez un nom pour la politique de mot de passe.

Configuration de la politique de mot de passe

  1. Dans la zone de texte Description, incrivez la description de la politique.
  2. Sous Paramètres, saisir les informations comme suit ;
ChampDescription
LongueurTypez la longueur minimale que doit avoir le mot de passe.
Le mot de passe doit comporter au moins deux chiffres.
Le mot de passe doit contenir au moins deux caractères minuscules.
Caractères non alphanumériques Saisissez le nombre minimal de caractères non alphanumériques (par exemple, ##, $, &) que le mot de passe doit comporter.
Caractères majusculesIncrivez le nombre minimal de caractères majuscules que le mot de passe doit comporter.
  1. Cliquez sur Enregistrer.

Définir les politiques de compte

Il s'agit de politiques globales qui sont utilisées pour déterminer comment les demandes de provisionnement seront effectuées. Ces paramètres sont généralement configurés lorsque vous commencez à utiliser RAC/M Identity pour votre organisation ou lorsque vous intégrez une nouvelle application.

Ces politiques s'appliquent à toutes les demandes de d'approvisionnement que vous pouvez consulter dans la section de menu APPROVISIONNEMENT.

Pour définir une politique de compte:

  1. Dans la barre de menu, cliquez sur le bouton CONFIGURATION> Politiques de compte.

  2. En haut à droite de la page, cliquez sur le bouton .

  3. Sous Politiques, dans la zone de texte Nom, incrivez le nom de la politique.

  4. Dans la zone de texte Description, incrivez une description.

  5. Dans la liste Database, sélectionnez soit Config soit Data. Config est si vous avez besoin d'une politique pour une application de configuration et Data pour une base de données.

  6. Dans la liste Nom de la table, sélectionnez la table RAC/M pour laquelle la politique s'appliquera. Les choix diffèrent en fonction de la sélection effectuée dans la liste Database.

  7. Cliquez sur le bouton Enregistrer en bas de la page.

  8. Sous Options, dans la zone de texte Identification RAC/M, incrivez le numéro d'identification généré par RAC/M pour identifier l'actif pour lequel vous voulez créer un compte. Vous pouvez trouver le numéro d'identification sur la page Actifs> Actifs> asset name Details sous Object ID.

  9. Sélectionnez un ou plusieurs des paramètres suivants :

    Groupe de remplacement à l'activation du compte

    Les accès précédents seront remplacés par les nouveaux lors de la réactivation du compte. Cependant, les accès actuels resteront les mêmes.

    Active Directory

    Indique que vous travaillez avec Active Directory. Ceci est nécessaire pour la découverte de l'affectation des groupes.

    Remplacer le groupe lors de la modification du compte

    Les accès précédents seront remplacés par les nouveaux lors de la modification du compte.

  10. Sous Configuration, dans la liste Politique de mot de passe, sélectionnez le mot de passe que vous avez défini dans la section Définition des politiques de mot de passe.

  11. Cliquez sur Enregistrer.

Définir les politiques de nom d'utilisateur

Ces politiques sont spécifiquement utilisées pour définir la manière dont le nom d'utilisateur sera construit.

Pour définir les politiques de nom d'utilisateur:

  1. Dans la barre de menu, cliquez sur CONFIGURATIN> Politiques de nom d'utilisateur.

  2. Sous Politique, procédez comme suit :

    1. a) Dans la liste Nom, sélectionnez le compte pour lequel vous voulez définir les politiques de nom d'utilisateur.

    Reportez-vous à la section Definir les politiques de compte. 2. b) Dans la liste Tableau source, sélectionnez le tableau à partir duquel les données de l'utilisateur seront prises.

    Il s'agit généralement de la table Application_Account. 2. c) Dans la liste Target Table, sélectionnez la table dans laquelle le nom d'utilisateur sera enregistré.

    Il s'agit généralement de la table Application_Account,

  3. Cliquez sur le bouton Enregistrer en bas de la page.

  4. Sous Target Table, entrez les informations requises.

ChampDescription
Colonne sourceDans la liste, sélectionnez la colonne de la source qui contient les données que vous voulez utiliser pour créer le nom d'utilisateur.
Source de donnéesDans la liste, sélectionnez le type de source de chaque colonne.

Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur.
Par exemple, la colonne RAC/M HR_Work_Location_Name pourrait toujours être "Downtown Office".

Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est tirée de la sélection effectuée dans la liste Colonne source. Assurez-vous de faire correspondre les formats de date.
Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.

Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur.

Colonne : Le mappage utilisera la sélection effectuée dans la liste Colonne source.
Par exemple, la colonne RAC/M HR_Empl_Status_ID pourrait prendre sa valeur à partir de la colonne Status du fichier source.

Colonne_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.

Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.

File_Name : Le mappage utilisera le nom du fichier source comme valeur.

Column-Hashed : La valeur est hachée pour s'adapter à l'espace autorisé dans le tableau.

Column_Mask : Une partie de la valeur est masquée à l'aide d'une expression définie dans la zone de texte Constante.
Par exemple, pour une valeur source de 00430022887, vous obtiendrez ******2887 si vous utilisez le masque suivant : ^d(7)[a-zA-Z0-9] ou 0043002**** si vous utilisez : [a-zA-Z0-9].{3}$.
Colonne cibleDans la liste, sélectionnez la colonne dans laquelle le nom d'utilisateur sera créé.
Il s'agit généralement de Nom_du_compte.
ValueSi la source de données est Constante, incrivez la valeur de la constante dans cette zone de texte.
Nombre de caractèresIncrivez le nombre de caractères (en commençant par le début) que vous voulez utiliser à partir des colonnes sources.
Par exemple, vous pourriez utiliser les deux premières lettres du prénom.
RegexCette zone de texte vous permet d'utiliser une syntaxe plus avancée au format Expression régulière.
Bouton "Ajouter une politique d'identification d'utilisateur" : cliquez sur ce bouton pour ajouter une nouvelle politique.
Boutons et Ces boutons déplacent les politiques vers le haut ou le bas. Les politiques sont appliquées l'une après l'autre de haut en bas.

Politique de collision des noms d'utilisateur

Si vous pensez que certains noms d'utilisateur peuvent finir par être identiques (par exemple, si vous utilisez les deux premières lettres du prénom et les deux premières lettres du nom de famille ainsi qu'un numéro), vous pouvez créer des politiques de collision pour modifier le numéro ajouté. Pour ce faire, cochez la case Afficher la section de collision de l'ID utilisateur.

ChampDescription
Entrez un nom pour la politique de collision.
DescriptionIncrivez une description.
Utiliser la valeur séquentielleCochez cette case si vous souhaitez que le nombre ajouté à la fin du nom d'utilisateur augmente de manière séquentielle.
Valeur de départIncrivez le numéro avec lequel vous voulez commencer.
Valeur maximaleIncrivez la valeur maximale que les noms d'utilisateur peuvent atteindre.
S'il n'y a pas de valeur maximale, sélectionnez *Infini.
Nombre minimum de chiffresIncrivez le nombre minimum de chiffres que le numéro doit avoir.
Par exemple, si vous entrez 0, le numéro augmentera comme 1, 2, 3, etc. Si vous entrez 2, le nombre augmentera comme 01, 02, 03, etc.
  1. Cliquez sur le bouton Enregistrer.

Exemple

Voici un exemple de définition d'une politique de nom d'utilisateur.

  1. Sélectionnez le compte pour lequel vous voulez définir des politiques de nom d'utilisateur.
  2. Dans les listes Tableau source et Tableau cible, sélectionnez Application_Account.

Configuration de la politique des noms d'utilisateur

  1. Sous Table cible, dans la liste Colonne source, sélectionnez Nom_Prénom.

  2. Dans la liste Source de données, sélectionnez Colonne.

  3. Dans la liste Colonne cible, sélectionnez Nom_du_compte. 6.

  4. Dans la zone de texte Nombre de caractères, incrivez 2. Les deux premiers caractères du prénom seront utilisés.

  5. Cliquez sur Add User ID Policy.

    1. a) Dans la liste Colonne source, sélectionnez Nom_famille.

    2. b) Dans la liste Source de données, sélectionnez Colonne.

    3. c) Dans la liste Colonne cible, sélectionnez Nom_du_compte.

    4. d) Dans la zone de texte Nombre de caractères, incrivez 2.

      Les deux premiers caractères du nom de famille seront utilisés.

  6. Cliquez sur Add User ID Policy.

    1. a) Dans la Colonne source, sélectionnez Nom_du_compte.

    2. b) Dans la liste Source des données, sélectionnez Constant.

    3. c) Dans la liste Colonne cible, sélectionnez Nom_du_compte.

    4. d) Dans la zone de texte Nombre de caractères, incrivez 01.

      Le nom d'utilisateur se terminera par "01". Ainsi, si le nom de la personne est "John Smith", son nom d'utilisateur sera "josm01".

  7. Cochez la case Afficher la section collision d'identifiants d'utilisateurs.

    1. a) Dans les zones de texte Nom et Description, incrivez les informations requises.
    2. b) Sélectionnez Utiliser une valeur séquentielle.
    3. c) Dans la zone de texte Valeur de départ, incrivez 1.
    4. d) Dans la zone de texte Valeur maximale, incrivez 99.
    5. e) Dans la zone de texte Nombre minimum de chiffres, incrivez 2.
  8. Cliquez sur le bouton Enregistrer.

Consolidation des courriels d'approvisionnement

Les courriels qui sont envoyés lorsqu'une demande d'approvisionnement est traitée sont consolidés. Cela permet de réduire le nombre de courriels reçus par les utilisateurs.

La consolidation se fait par destinataire et par cible de la demande. Autrement dit, chaque courriel consolidé contient l'ensemble des demandes d'approvisionnement pour un destinataire et une cible donnés.

Par exemple, si un même utilisateur fait plusieurs demandes d'ajout et de retrait d'accès pour la même identité, il recevra un courriel contenant les informations sur toutes ces demandes et, selon la configuration en place, un courriel contenant les mots de passe. De la même façon, la cible de ces demandes recevra un courriel consolidé contenant les informations sur toutes les demandes le concernant.

Dans le cas où un utilisateur fait plusieurs demandes pour différentes identités, il recevra un courriel par identité cible, chacun contenant les informations sur toutes les demandes pour cette identité. Quant aux cibles de ces demandes, celles-ci recevront un courriel consolidé contenant tous les accès qui les concernent.

Il en va de même pour tous les destinataires pour une demande d'approvisionnement, soit le demandeur, la cible, le superviseur de la cible et les membres du groupe de notification.

Veuillez vous référer à la section Notification d'approvisionnement pour plus d'informations sur la configuration de ces notifications.

Configuration de la logique d'envoi

Lorsqu'une demande d'approvisionnement est traitée, les notifications sont ajoutées à la file d'attente.

Une tâche automatisée vérifie régulièrement (en fonction de la configuration mail.consolidation.job.quartz) la file d'attente et envoie les courriels consolidés au moment opportun, selon la configuration en place.

Tant que des notifications sont créées régulièrement pour un même destinataire, elles ne sont pas envoyées. Cela permet d'éviter d'envoyer les courriels consolidés avant que toutes les demandes n'aient été traitées.

La tâche détecte si des notifications ont été ajoutées à la file d'attente récemment (il s'agit du paramètre mail.consolidation.min.delay.seconds). Si c'est le cas, elle n'envoie pas de courriel pour ce destinataire. Lorsqu'aucune notification n'a été ajoutée à la file d'attente depuis ce délai, la tâche envoie un courriel consolidé pour ce destinataire.

Afin d'éviter que des notifications s'accumulent indéfiniment dans la file d'attente sans être envoyées, la tâche vérifie également si la notification la plus ancienne pour un destinataire existe depuis plus d'un certain temps (il s'agit du paramètre mail.consolidation.max.delay.seconds). Cela pourrait arriver, par exemple, dans le cas du traitement d'un très grand nombre de demandes. Si c'est le cas, elle envoie les courriels consolidés pour ce destinataire.

Quatre paramètres permettent de configurer la logique d'envoi :

ParamètreDescriptionExemples de valeurs
mail.consolidation.job.enabledActiver ou désactiver la fonctionnalité d'envoi de courriels (si désactivée, aucun courriel n'est envoyé)true (activée) ou false (désactivée)
mail.consolidation.min.delay.secondsPériode de temps minimale avant d'envoyer les courriels consolidés pour un destinataire, en secondes300 (Après 5 minutes)
mail.consolidation.max.delay.secondsPériode de temps maximale avant d'envoyer les courriels consolidés pour un destinataire, en secondes3600 (Après 1 heure)
mail.consolidation.job.quartzIntervalle de temps entre les exécutions de la tâche, dans le format Quartz Scheduler0 */5 * ? * * * (toutes les 5 minutes)

Nouvelle tentative d'envoi de courriels

Lors de l'échec de l'envoi d'un courriel, RAC/M Identity peut réessayer d'envoyer le courriel dans le futur.

Cette fonctionnalité est paramétrisable dans le fichier de configuration via ces trois paramètres:

ParamètreDescriptionExemples de valeurs
mail.retry.enabledActiver ou désactiver la fonctionnalitétrue (activée) ou false (désactivée)
mail.retry.interval.quartzIntervalle de temps entre les tentatives, dans le format Quartz Scheduler0 */5 * ? * * * (toutes les 5 minutes)
mail.retry.period.minutesPériode de temps maximale avant d'abandonner l'envoi, en minutes10080 (Après 1 semaine)

Configuration de la locale

Aperçu

La configuration de la locale permet de personnaliser l'apparence de RAC/M Identity en fonction de la langue et de la région des utilisateurs et/ou de l'organisation. Celle-ci est utilisée pour l'affichage des dates et des heures, ainsi que pour les courriels envoyés aux utilisateurs.

Une locale est une combinaison de la langue et de la région. Par exemple, fr_CA est le français canadien et en_US est l'anglais des États-Unis.

Configuration globale

La langue et la locale par défaut de l'application sont configurées dans le fichier conf/config.properties via le paramètre default.system.language. Celui-ci définit la langue par défaut de l'application lorsqu'aucune langue n'est spécifiée pour un utilisateur. Il peut s'agir d'une langue (fr) ou une locale (fr_CA), mais l'utilisation d'une locale est préférable pour une meilleure précision.

Configuration de la locale pour une langue spécifique

Vous pouvez spécifier une locale par défaut pour les utilisateurs dont la région de la langue n'est pas indiquée dans leur profil. En effet, certains utilisateurs ont fr comme langue, sans que la locale ne soit précisée. Pour ce faire, il suffit d'ajouter default.locale.fr comme paramètre pour le français et default.locale.en pour l'anglais.

Par exemple, default.locale.en=en_US spécifie que la locale par défaut pour les utilisateurs dont la langue est l'anglais est l'anglais des États-Unis. Par défaut, la locale utilisée pour le français est fr_CA (français canadien) et en_CA (anglais canadien) pour l'anglais.

C'est également ce paramètre qui indique le format de dates à utiliser dans l'interface pour le français et l'anglais.

Configuration par identité (courriels uniquement)

Il est possible de configurer la langue et la locale des identités afin de personnaliser la langue et l'affichage des dates dans les courriels qui leur sont envoyés. Par exemple, une identité dont la locale est fr_BE recevra les courriels en français et les dates y seront affichées au format belge.

Les identités dont la langue n'est pas spécifiée reçoivent les courriels dans la langue par défaut définie via le paramètre default.system.language. De même, les dates sont affichées au format de la locale par défaut.

Utilisation de la locale du navigateur

Il est possible d'utiliser la locale du navigateur de l'utilisateur plutôt que celle de l'application pour l'affichage des dates dans l'interface utilisateur. Pour ce faire, il suffit d'ajouter override.browser.locale.for.dates=false dans conf/config.properties.