Guide de l'administrateur ​

Les sections suivantes décrivent comment utiliser la console de gestion de RAC/M Identity pour effectuer les tâches d'exploitation de votre service de GIA ainsi que comment configurer et administrer la solution.

Les divers sujets sont présentés dans l'ordre général du menu principal de la console de gestion.

À propos des opérations ​

RAC/M Identity est conçu pour fonctionner de façon complètement automatisée, avec un minimum d'efforts requis des pilotes et administrateurs de la solution. Une fois configurée et rodée, la logique d'affaires permet d'automatiser la grande majorité des traitements.

En tant que pilote de la solution, vous devez vous assurer du bon fonctionnement de la solution et vos tâches consistent essentiellement à suivre les indicateurs, à réagir si vous recevez des alertes signalant des erreurs ou des anomalies et à investiguer et résoudre les problèmes le cas échéant.

À cet effet, vous utiliserez principalement la fonction Gestion du menu principal.

L'option Gestion du menu principal permet de:

• Réviser et exécuter des séquences de traitements
• Visualiser les journaux
• Gérer les utilisateurs locaux de RAC/M Identity
• Gérer les profils de RAC/M Identity
• Visualiser les événements d'audit

Réviser et exécuter des séquences ​

En général, les séquences sont paramétrées pour être exécutées automatiquement selon un horaire et un calendrier déterminés lors de la configuration des séquences.

Réviser une séquence ​

La fenêtre affichée lors de l'ouverture de cette option de menu reflète les résultats de la dernière séquence exécutée. Vous pouvez aussi réviser les résultats détaillés de toute autre séquence.

Pour réviser l'exécution d'une séquence:

1. Dans le menu GESTION, cliquez sur Exécution de séquence.

2. Pour réviser l'exécution d'une séquence autre que celle qui est affichée, cliquez sur l'onglet Historique et sélectionnez la séquence à visualiser dans la liste.

Les derniers résultats apparaissent dans le tableau DÉTAILS DU JOURNAL D'EXÉCUTION. Chaque module de la séquence est répertorié avec le nombre d'items traités et le temps qu'il a fallu pour les traiter.

Dans la colonne Code de retour, le code 100 indique que le module a été exécuté avec succès. Tout autre code indique une erreur. Pointez sur l'icône représentant un point d'interrogation à côté de Code de retour pour afficher la liste des codes de retour.

S'il y a des erreurs pendant le traitement, l'état du traitement apparaît en orange ou en rouge.

Pour visualiser le détail des erreurs, vous devez ouvrir le fichier journal des erreurs du module qui a échoué. Il se trouve dans le répertoire que vous avez identifié lors de la configuration du module (voir Configuration d'un module).

Exécuter une séquence manuellement ​

En général, l'exécution d'une séquence est planifiée automatiquement (voir Configurer une séquence), mais vous pouvez être amené à l'exécuter manuellement, notamment lors des premiers tests de nouvelles séquences.

Pour exécuter une séquence manuellement:

1. Dans le menu GESTION, cliquez sur Exécution de séquences.

2. Dans la liste Séquence à exécuter, sélectionnez la séquence que vous souhaitez exécuter manuellement.

3. Pour repartir le traitement au début cliquez la case à cocher Redémarrer du début

4. Cliquez sur Exécuter.

Vous pouvez voir la progression de chaque module au fur et à mesure de son exécution. Vous pouvez revoir les résultats à la fin.

Arrêter et repartir une séquence ​

Vous pouvez interrompre une séquence en cours d'exécution en cliquant sur le boutons Arrêter et la relancer en cliquant sur le bouton Exécuter.

Visionner les journaux ​

Pour visionner les journaux:

1. Dans le menu GESTION, cliquez sur Journaux.

2. Dans la liste, sélectionnez le fichier que vous souhaitez visionner.

Vous pouvez afficher le contenu des journaux en format brut en cliquant sur l'icônesitué en haut à droite de l'écran principal.

Gérer les utilisateurs locaux ​

Il existe deux types de comptes utilisateurs RAC/M Identity: Les utilisateurs locaux qui ne sont généralement utilisés que pour la configuration initiale et la mise en place de RAC/M Identity et les comptes utilisateurs fédérés qui sont utilisés au quotidien par les pilotes, les utilisateurs finaux, les opérateurs, les gestionnaires, les approbateurs, les certificateurs, etc. pour effectuer des opérations GIA et gérer une mise en œuvre opérationnelle de RAC/M Identity.

Les comptes locaux sont créés à partir de la console d'administration et sont authentifiés à l'aide de la base de données de mots de passe intégrée. Il ne devrait normalement y avoir qu'un très petit nombre de comptes locaux, idéalement un seul. Les comptes locaux ne sont normalement utilisés que pour l'installation et la configuration initiales de RAC/M Identity.

Les comptes fédérés n'ont pas besoin d'être créés manuellement car ils sont importés d'un annuaire d'entreprise tel qu'Active Directory ou Azure AD. Les comptes fédérés sont authentifiés à l'aide d'un mécanisme d'authentification externe tel qu'Active Directory ou un fournisseur d'authentification SAML et affectés par des règles d'affaires au profil RAC/M Identity approprié en fonction de leurs responsabilités.

Pour créer un compte utilisateur local :

1. Dans le menu GESTION, cliquez sur Utilisateurs RAC/M.
2. En haut à droite de la page, cliquez sur le bouton .
3. Sous Détails, entrez les informations requises comme suit :

5. Cliquez sur Enregistrer.

Pour générer ou révoquer une clé API ​

Les clés API sont utilisées pour s'authentifier auprès des serveurs de RAC/M Identity lors de l'utilisation de services Web. Une fois générées, elles doivent être copiées et collées là où elles seront utilisées.

Pour générer une clé API :

1- Cliquez sur le bouton Générer.

Pour régénérer une clé d'API :

1- Cliquez sur le bouton Regénérer.

Pour révoquer une clé API :

1- Cliquez sur le bouton Révoquer et confirmez lorsque cela vous est demandé.

Gérer les profils RAC/M Identity ​

Dans RAC/M Identity, les profils vous permettent de définir à quels menus et fonctionnalités les utilisateurs auront accès. Ceci est utile pour limiter ce que certains utilisateurs peuvent voir et faire dans la console de gestion en fonction de leurs responsabilités.

Pour créer un profil de RAC/M Identity :

1. Dans le menu GESTION, cliquez sur Profils RAC/M.
2. Cliquez sur le bouton Créer nouveau .
3. Dans la zone de texte Profil RAC/M, incrivez un nom pour le profil.
4. Dans la liste Page d'acceuil, sélectionnez la page que les utilisateurs verront après s'être connectés.

5. Sous Éléments, cochez les cases correspondant aux autorisations que vous souhaitez accorder au profil.
6. Cliquez sur Enregistrer.

Visualiser le journal d'audit ​

Le journal d'audit affiche, en ordre chronologique, l'historique détaillé de toutes les requêtes, les décisions et les actions prises par RAC/M Identity qu'elle soient initiées par la console de gestion, le portail libre-service, par les traitements automatisés, les APIs Web ou de tout autre façon.

Le journal d'audit assure la traçabilité complète de tous les événements pouvant affecter les accès et permet de reconstituer les accès détenus par une identité à un moment donné.

Le journal d'audit est très détaillé et donc très volumineux. Afin de faciliter l'analyse et les recherches d'événements spécifiques, des fonctions de filtrage élaborées sont disponibles.

Vous pouvez filtrer par date en cliquant sur l'icône de calendrier situé en haut à droite du filtre et sélectionner ou désélectionner les catégories d'événements ou les événements spécifiques que vous voulez retenir ou retirer.

Les événements qui ajoutent des droits sont illustrés par un rond vert, les événements qui retirent des droits sont illustrés par un rond rouge, alors que les événements liés aux traitements automatisés sont illustrés par un rond bleu.

Pour visualiser le journal d'audit :

1. Dans le menu GESTION, cliquez sur Audits. L'écran principal affiche les derniers événements de l'audit.
2. Déterminez la plage de dates à analyser et sélectionnez ou désélectionnez les événements que vous voulez retenir ou éliminer pour fin d'analyse.

L'écran est divisé en deux sections, l'une pour le Flux d'activité et l'autre pour la section Filtre.

Flux d'activité ​

La section de gauche, appelée Flux d'activité, présente une ligne d'historique du plus récent au plus ancien. Chacun de ces enregistrements offre des informations sur l'événement ainsi que des bulles d'information sur les entités impliquées dans cet enregistrement. Certains de ces enregistrements peuvent contenir des informations supplémentaires qui peuvent être affichées en appuyant sur l'icône de liste déroulante.

Icônes	Description
	Étend la section pour afficher plus d'informations sur un enregistrement d'audit spécifique.
	Recharge la liste d'audit avec les derniers enregistrements de la base de données.

Si les enregistrements sont liés à des exécutions de séquences, des icônes permettent de comprendre rapidement l'événement :

Icônes de séquence	Description
	Début de la séquence
	Fin de la séquence
	Début du module
	Fin du module

Filtres ​

La section de droite représente les filtres qui peuvent être utilisés pour réduire les informations affichées à gauche.

En haut de cette section, deux icônes vous aident à utiliser les filtres:

Icônes de filtre	Description
	Représente le nombre de filtres qui ont été sélectionnés.
	Permet de sélectionner une date de début et de fin.

Le champ de recherche vous aide à trouver les filtres qui vous intéressent et facilite leur choix. Si vous effectuez une recherche avec cette boîte de filtres, vous avez deux options.

• Sélectionner tous les résultats de la recherche. Permet de sélectionner tous les éléments visibles dans la liste des filtres.
• Ajouter les éléments sélectionnés au filtre actuel. Vous permet de faire des sélections dans cette liste et, lorsque vous appuyez sur Appliquer, ces sélections seront ajoutées à la sélection précédente. Si vous ne choisissez pas cette option, lorsque vous appuyez sur Appliquer, les filtres précédemment sélectionnés seront remplacés par ceux choisis avant que vous n'appuyiez sur ce bouton.

Une fois les sélections effectuées, cliquez sur Appliquer pour filtrer la liste à gauche.

Barre latérale d'audit ​

Lorsque vous ouvrez le panneau détaillé d'une entité, il se peut que la barre latérale d'audit soit présente, identifiée par l'étiquette Flux d'activité. Si c'est le cas, elle se présentera comme suit :

Cliquez sur la barre latérale Flux d'activité pour la faire apparaître. Une fois ouverte, la barre latérale de gauche ressemble à ceci:

La barre latérale Flux d'activités fonctionne comme le Panneau dédié décrit ci-dessus, à quelques exceptions près:

1. La barre latérale affiche le Flux d'activités lors de l'affichage initial. Si vous cliquez sur l'icône de filtre en haut à droite, la barre latérale passe à la sélection du filtre.
2. Dans le contexte du filtre, vous pouvez effectuer des sélections et cliquer sur le bouton Appliquer. Lorsque vous cliquez sur le bouton, le contexte redevient le Flux d'activité et le filtre sélectionné affecte la liste.

Fichiers de log des audits ​

Les actions de l'utilisateur qui déclenchent des audits sont enregistrées par un enregistreur spécial "AUDIT". Les actions qui entraînent l'exécution d'audits par lots ne sont pas enregistrées. Ces actions sont généralement effectuées par le système.

Les audits enregistrés peuvent être envoyés à une solution SIEM en modifiant la configuration de log4j. Voici un exemple qui peut être ajouté à la configuration du fichier [repertoire d'installation]\Okiok Data\RACM Identity\conf\log4j2.xml pour créer un fichier contenant uniquement les logs d'audit :

<Configuration>
    <Appenders>
        ...
        <RollingFile name="Audit" fileName="logs/audits.log" filePattern="logs/audits.log.%i">
            <PatternLayout>
                <Pattern>%d [%X{request_id}] [%X{login}] [%X{user}] [%X{client_ip}] [%-5p] [%t] [%c] %x- %m%n</Pattern>
            </PatternLayout>
            <Policies>
                <SizeBasedTriggeringPolicy size="10MB"/>
            </Policies>
            <DefaultRolloverStrategy max="10"/>
        </RollingFile>
    </Appenders>
    <Loggers>
        ...
        <logger name="AUDIT" level="info" additivity="false">
            <appenderRef ref="console"/>
            <appenderRef ref="Audit"/>
            ...
        </logger>
    </Loggers>
</Configuration>

À propos des Gens ​

Cette section présente comment gérer les Personnes,les Identités et les Comptes dans RAC/M Identity.

À cet effet, vous utiliserez la fonction Gens du menu principal.

Nous utilisons le terme Gens pour désigner l'aspect humain dans la solution RAC/M Identity. Dans ce contexte, les Personnes, les Identités et les Comptes se rapportent aux Gens.

L'option Gens du menu principal permet de:

• Visualiser, éditer, ajouter et retirer des Personnes
• Apparier des identités aux Personnes
• Visualiser, éditer, ajouter et retirer des Identités
• Apparier des Comptes aux Identités

Les options Approbation des appariements et Apparier les audits sont désuètes et ne doivent pas être utilisées.

Personnes ​

Les personnes sont des personnes physiques qui interagissent avec les systèmes d'information. Elles doivent être prises en charge par le référentiel d'identité et d'accès RAC/M Identity.

Identités ​

Les identités correspondent à chacune des relations qu'une personne entretient avec l'organisation. Une personne peut avoir plusieurs identités simultanées.

Importer des personnes et des identités ​

Cette section présente les étapes que vous devez suivre pour importer les données d'identités et d'accès, telles que les personnes, les identités, les accès et les droits, dans RAC/M Identity afin d'effectuer les analyses et les traitements de gestion d'identité.

Pour importer des personnes et des identités:

1. Passez en revue le collecteur IdentitiesImport qui importera les données dans la table d'import. Si les données sont importées depuis un fichier CSV, la primitive utilisée sera ModuleCopyCSVToTable. Si les données sont importées à l'aide d'un connecteur ICF, la primitive utilisée sera ModuleICFImport Data.
2. Au besoin, utilisez un formateur et des modules supplémentaires si les données sources doivent être adaptées au format de la table RAC/M.
3. Passez en revue le module IdentificationCopy qui copiera les données de la table d'import dans le référentiel RAC/M. Le module prêt à l'emploi est ModuleCopyColumnsAndInserts.
4. Examinez les blocs Imports et Copies pour exécuter, entre autres, le collecteur IdentitiesImport et le module IdentificationCopy.
5. Vérifiez la séquence Imports pour vous assurer qu'elle contient les blocs Imports et Copies.

Vous pouvez ensuite exécuter cette séquence de base pour importer des données.

Ajouter manuellement des personnes et des identités ​

Normalement, les personnes (personnes) et leurs relations d'affaires (identités) sont ajoutées à RAC/M Identity en important les données des sources d'identités (voir A propose de l'analyse des données) et en convertissant les identités en personnes. Cependant, il se peut que vous deviez créer manuellement une personne, pour un consultant ou un fournisseur par exemple.

Ajouter une Personne ​

Pour ajouter une personne:

1. Dans la barre de menu, cliquez sur GENS> Personnes.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit : Sous Détails :

   Nom de famille, Second prénom, Prénom ​

   Incrivez toutes les informations relatives à la personne. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

   

   Nom de jeune fille, Nom complet, Numéro de sécurité sociale ​

   Ces informations ne sont pas obligatoires mais peuvent être utiles pour différencier les personnes portant le même nom.

   Note

   Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance et le numéro d'assurance sociale. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

   Date de naissance, Courriel, Courriel facultatif ​

   Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne.

4. Au bas de la page, cliquez sur le bouton Enregistrer. Continuez à saisir les informations et enregistrez les modifications en cliquant sur le bouton Enregistrer. Ouvrez la zone Plus...

   Adresse ​

   Dans la zone de texte, incrivez l'adresse de la personne.

   

   Numéro de téléphone à domicile, numéro de téléphone supplémentaire, numéro de téléphone cellulaire, numéro de téléavertisseur ​

   Ces informations ne sont pas obligatoires mais peuvent être utiles si une personne doit être jointe en dehors de l'organisation.

   Date de création et dernière modification ​

   Ces cases indiquent la date de création de l'entrée dans RAC/M Identity et la date de sa dernière modification. Ceci est utile lorsque des mesures doivent être prises lorsqu'une personne ne travaille plus avec l'organisation ou que son statut a changé.

   Sous Informations supplémentaires :

   Langues ​

   Dans la zone de texte, incrivez la langue préférée de la personne pour les communications.

   

   Identifiant1 et Identifiant2 ​

   Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Attributs étendus ​

   Cette section affiche les attributs étendus qui ont été attachés à l'objet Personnes. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

5. Cliquez sur le bouton Enregistrer.

   La personne est ajoutée à RAC/M Identity. Si la personne n'est pas associée à une identité, son Etat effectif est automatiquement défini comme "Terminé".

   Note

   La liste d'identités associées à la personne, située au bas de la page, restera vide jusqu'à ce que vous associiez la personne à une identité dans la page Appariement d'identités ou Identités.

   Voir aussi

   • A propos de l'analyse des données
   • Apparier les identités aux personnes

:::

Ajouter une Identité ​

Pour ajouter une identité:

1. Dans la barre de menu, cliquez sur GENS> Identité.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit : Sous Détails :

   Nom de famille, Second prénom, Prénom ​

   Incrivez toutes les informations relatives à l'identité. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

   

   Numéro d'employé, source, date de naissance et courriel ​

   Dans la zone de texte, incrivez le numéro de l'employé ; il est possible qu'il n'y ait pas de numéro si, par exemple, la personne est un consultant externe. La case Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne. Incrivez le courriel de la personne.

   Dans la liste Source, sélectionnez la source d'où proviennent les informations d'identité. Inscrivez le nom de la source existante, comme les systèmes RH par exemple.

   Note

   Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

   Personne associée ​

   Dans la liste, incrivez le nom ou le prénom de la personne et sélectionnez la personne pour laquelle vous créez cette nouvelle identité. Si le statut de la personne était "Terminé", il deviendra "Actif" après avoir enregistré l'identité si elle est active.

4. Au bas de la page, cliquez sur le bouton Enregistrer. Sous Emploi :

   Organisation et département ​

   Dans la liste Organisation, sélectionnez l'organisation pour laquelle la personne travaille sous cette nouvelle identité. Dans la liste Département, sélectionnez un département existant dans lequel la personne travaillera sous cette nouvelle identité ou incrivez le nom du nouveau département s'il a été créé pour les identités qui y travailleront.

   

   Titre, Lieu de travail, Statut d'emploi et Type d'emploi ​

   Ouvrez chaque liste et sélectionnez les items qui s'appliquent à la nouvelle identité.

   Centre de coût, date d'embauche et date de cessation d'emploi ​

   Dans la zone de texte Centre de coût, incrivez le nom du département en charge de la paie de la personne. La Date d'embauche ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé à travailler sous cette nouvelle identité. La Date de fin d'emploi peut être utilisée pour indiquer la date de fin d'emploi afin d'initier le processus de révocation des accès.

   Conseil

   C'est une bonne pratique que d'inscrire une date de fin d'emploi aux contractuels et externes afin de s'assurer que les accès sont révoqués automatiquement lorsque les mandats se terminent.

   Responsable, certificateur, groupe approbateur et groupe à notifier lors de l'approvisionnement ​

   Dans chacune des listes, incrivez les premières lettres du nom ou cliquez sur la flèche pour ouvrir la liste et sélectionner les supérieurs hiérarchiques, les personnes chargées de réviser et certifier les accès ainsi que les groupes de délégation qui doivent approuver les demandes d'accès.

   Voir aussi

   • À propos des flux d'approbation
   • À propos des groupes de délégation

   Sous Informations complémentaires :

   Adresse, Pays, Téléphone, Type de mobile, Profession, et Langue ​

   Dans chaque zone de texte, incrivez les informations requises.

   

   Identifiants ​

   Ces zones de texte peuvent être utilisées pour contenir des éléments d'informations supplémentaires tels que des identifiants qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Noms de comptes ​

   Vous pouvez utiliser ces zones de texte pour saisir les noms de comptes d'accès fondamentaux associés à une identité. Par exemple, ces noms de comptes peuvent être utilisés par la logique d'affaires pour faciliter l'appariement des comptes ou pour créer des comptes dans des systèmes cibles. Ces champs sont typiquement renseignés automatiquement par la logique d'affaires.

   Conseil

   Par exemple, les champs Identifiants et Noms de comptes peuvent être utilisés pour inscrire des comptes ou des nomenclatures de compte différentes du compte primaire qui doivent être utilisées pour certains environnements patrimoniaux tels que les centrales IBM. De cette façon la logique d'affaires sera en mesure de créer des comptes selon des nomenclatures arbitraires.

   Extras ​

   Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Sous Fonctions supplémentaires et Attributs étendus :

   Fonctions supplémentaire, date de début et date de fin ​

   Dans la liste Fonction supplémentaire, inscrivez les premières lettres de la fonction supplémentaire qui correspond à une responsabilité attribuée à une identité et sélectionnez-la dans la liste ou inscrivez le nom de la fonction supplémentaire à attribuer. Le champ Date de début ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé, ou commencera, cette fonction supplémentaire. Dans le champ Date de fin, saisissez la date à laquelle cette fonction supplémentaire prend fin. Si vous devez ajouter une fonction supplémentaire, cliquez sur le bouton .

   Voir aussi

   • Créer une fonction supplémentaire

   Attributs étendus ​

   Cette section affiche les attributs étendus qui ont été attachés à l'objet Identités. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

5. Cliquez sur Enregistrer.

   L'identité est ajoutée.

   Note

   La liste des comptes associés à la personne, située en bas de la page, restera vide jusqu'à ce que les comptes soient appariés, soit automatiquement, soit manuellement dans la page Appariement des identités.

Fusionner les personnes ​

Si vous vous rendez compte que 2 personnes ou plus créées dans RAC/M Identity correspondent à la même personne physique, vous pouvez les fusionner pour corriger le référentiel.

Pour fusionner des personnes:

1. Dans la barre de menu, cliquez sur GENS> Personnes.
2. Dans la zone de texte Recherche, incrivez le nom des entrées multiples.
3. Dans la liste, cochez la case Fusionner à côté des entrées à fusionner.

4. Cliquez sur le bouton Fusionner situé en bas de la page.

   La page Fusion de personnes s'ouvre, affichant la liste des personnes que vous avez sélectionnées.

5. Dans la colonne Cible, sélectionnez la personne que vous souhaitez conserver. Il s'agit de la personne qui restera et qui combinera désormais toutes les informations.

6. Cliquez sur le bouton Fusionner.

   Les personnes ont été fusionnées.

   Voir aussi

   • À propos de l'analyse des données
   • Apparier les identités aux personnes

Convertir une identité en personne ​

Si vous avez une identité orpheline, c'est-à-dire une identité qui n'est pas associée à une personne, et qu'il n'y a personne à qui l'attribuer, vous pouvez créer une personne sur la base de cette identité.

Pour convertir une identité en une personne:

1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

   

2. Dans la liste de gauche, sélectionnez l'identité pour laquelle vous souhaitez créer une personne.

   Note

   Si la liste est longue, dans la zone de texte, incrivez les quelques premières lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe.

3. Cliquez sur le bouton Créer personne.

   La page Personne s'ouvre et les informations déjà contenues dans l'identité sont automatiquement saisies. Vous pouvez compléter la fiche de la personne selon les renseignements disponibles si nécessaire.

4. Cliquez sur Enregistrer.

   La nouvelle personne est créée et son statut est défini comme "actif".

   Note

   L'identité à partir de laquelle vous avez créé la personne est automatiquement ajoutée à la liste des identités située en bas de la page.

Apparier les identités aux personnes ​

Si le système n'a pas été en mesure de faire correspondre automatiquement certaines identités parce qu'il n'y a pas de clés uniques (voir Déterminer des identifiants uniques), vous devrez les faire correspondre manuellement.

Pour faire correspondre une identité à une personne:

1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

   

2. Dans la liste de gauche, sélectionnez l'identité à laquelle vous souhaitez associer une personne. Si la la liste est longue, inscrivez quelques lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe. Une liste de personnes identifiées par les algorithmes d'appariement sélectionnés s'affiche dans la section de droite.

3. Sélectionnez la personne à laquelle vous voulez apparier l'identité.

4. Cliquez sur le bouton Apparier situé au bas de la page.

   La correspondance entre l'identité et la personne a été établie. L'identité apparaît maintenant dans la liste au bas de la page de détails de la personne.

   Note

   Si la liste est vide, vous pouvez inscrire quelques lettres du nom de la personne que vous recherchez dans la barre de recherche en haut de la zone de droite et cliquer sur la loupe. Une liste de personnes correspondant aux critères de recherche s'affichera. Vous pouvez alors continuer la procédure à partir du point 4 ci-dessus.

   Si elle ne s'y trouve pas, vous pouvez créer une personne ou convertir une identité en personne tel qu'expliqué plus haut.

   Voir aussi

   • Créer une personne
   • Convertir une identité en personne

   Parfois, le système ne peut pas établir de correspondance automatique entre les identités parce que deux personnes se ressemblent tellement qu'il ne peut pas les distinguer. Dans ce cas, vous devez examiner l'ensemble des données pour déterminer la bonne personne.

Dissocier les identités et les personnes ​

Si une correspondance a été établie mais que vous vous rendez compte que l'identité est associée à la mauvaise personne, vous pouvez les dissocier.

Pour dissocier une identité d'une personne:

1. Dans la barre de menu, cliquez sur GENS> Personnes. La page Personnes s'ouvre.

2. Dans la liste, sélectionnez le nom de la personne dont vous voulez retirer une identité (voir Effectuer une recherche dans une page de sélection).

3. Dans la page Détails des personnes, sous Identités, cliquez sur l'identité que vous voulez dissocier.

   

4. Dans la liste Personne associée, effacez le nom de la personne que vous ne voulez pas voir liée à cette identité et cliquez sur Enregistrer.

   

   L'identité n'est plus associée à la personne et elle apparaît à nouveau dans la liste des identités orphelines de la page Appariement des identités (voir La page d'appariement des identités).

Gérer la situation d'emploi pour une identité ​

La situation d'emploi d'une identité est gérée via les champs suivants:

• État d'emploi
• Date de fin d'emploi

L'état d'emploi a une valeur interne (propre à la solution RAC/M Identity) et une valeur source (importée de la source d'identité), qui peuvent être différentes l'une de l'autre. Si l'identité est gérée par RAC/M Identity et non importée d'une source RH (comme ce pourrait être le cas pour certains contractuels), les deux valeurs seront toujours identiques. La valeur interne est toujours celle qui sera utilisée dans la logique d'affaires et sert de remplacement ("override") de l'état dans la source RH. Ceci permet de traiter les situations où un départ doit être traité avant que les RH ne saisissent l'information nécessaire. La valeur source représente la valeur réelle dans la source d'identité.

Les colonnes dans la table IDENTIFICATION qui gèrent l'état sont SOURCE_EMPLOYMENT_STATUS_ID et EMPLOYMENT_STATUS_ID. La date de fin d'emploi est quant à elle dans TERMINATION_DATE.

Relation entre les différents champs d'emploi ​

Il existe une relation précise entre les champs liés à la situation d'emploi et cette relation dicte comment les règles d'affaires sont appliquées.

1. Date de fin d'emploi (TERMINATION_DATE): Ce champ est utilisé par la solution pour déclencher un départ de l'identité. C'est le module ModuleHRTerminationDate qui vérifie cette date lors de son exécution et déclenche le départ en modifiant l'état d'emploi (EMPLOYMENT_STATUS_ID).

2. État d'emploi source (HR_EMPLOYMENT_STATUS_ID): Lorsque ce champ change suite à l'importation de la source RH, il est automatiquement copié dans le champ État d'emploi (EMPLOYMENT_STATUS_ID).

   Ce champ lance également les processus de changement de statut d'emploi lorsque le statut effectif d'emploi change. Par exemple, si un employé passe du statut "Congé maladie" (Inactif) à "Congé long terme" (Inactif), il n'y a pas de changement du statut effectif d'emploi (Inactif -> Inactif) et donc aucun processus lancé. Mais si l'employé passe de "Actif (Actif) à "Retraité" (Terminé), le processus de départ sera lancé.

3. État d'emploi (EMPLOYMENT_STATUS_ID): Ce champ peut changer de plusieurs façons:

   • Avis de départ immédiat dans le libre-service
   • Lorsque la date de fin d'emploi est arrivée
   • Lorsque le statut d'emploi source change

   Il est souvent utilisé pour remplacer temporairement (Override) l'état d'emploi source. Ensuite, lorsque la source RH change pour refléter le nouveau statut, l'état d'emploi source est copié dans l'état d'emploi et le remplacement temporaire se termine: les deux champs ont la même valeur.

L'état d'emploi ​

L'état d'emploi d'une identité peut être modifié directement dans la page d'administration en modifiant son état d'emploi ou sa date de fin d'emploi.

Dans la page Détails des identité, sous Identités, consultez les champs État d'emploi et Date de fin d'emploi

Il peut également être modifié à travers une demande dans le libre-service en demandant un Avis de départ - employé ou un Avis de départ - contractuel externe.

La date de fin d'emploi permet de modifier l'état d'une identité à Terminée en spécifiant la date à laquelle elle ne sera plus à l'emploi. Cette façon est idéale pour planifier le départ d'une identité et s'assurer que son état soit modifié à la date de sa fin d'emploi.

Modification via l'import ​

L'import à partir de la source RH vers RAC/M Identity devrait uniquement modifier les champs RH, soit l'état d'emploi source (SOURCE_EMPLOYMENT_STATUS_ID). De la même façon, RAC/M Identity ne fera pas de modification sur le champ source.

Lorsqu'un changement dans l'état source est constaté à l'import, RAC/M Identity compare l'état effectif source avec l'état effectif RAC/M Identity. S'ils ne sont pas identiques, cela signifie un changement dans l'état de l'identité. Une demande de modification d'identité est donc lancée. De plus, l'état RAC/M Identity est remplacé par l'état source qui vient d'être importé et l'événement est audité.

Modification via une demande dans le libre-service ​

Il est possible de faire des demandes dans le libre-service qui ont éventuellement l'effet de modifier l'état d'une identité. Par exemple, il est possible de demander la fin de l'emploi d'une identité. Lorsque ces demandes sont approuvées et complétées, l'état RAC/M Identity est modifié en fonction de la demande. S'il s'agit d'une demande de fin d'emploi, la date de fin d'emploi sera modifiée pour la date choisie.

Modification via l'interface administrateur ​

Il est seulement possible de modifier l'état RAC/M Identity via l'interface administrateur. L'état source ne peut pas être modifié.

Impacts d'une désactivation ​

La désactivation d'une identité est habituellement temporaire. Il peut s'agir, par exemple, d'un congé-maladie ou d'un travailleur saisonnier.

Lors de la désactivation d'une identité, RAC/M Identity tentera de désactiver tous les comptes que celle-ci possède. Ces comptes conserveront tous les groupes qui leur sont associés. Cela facilitera leur réactivation, le cas échéant. Pour ce faire, RAC/M Identity lancera des demandes de désactivation pour ces comptes.

Impacts d'une activation ​

Dans le cas de l'activation d'une identité, RAC/M Identity lancera des requêtes d'activation des comptes qui ont été désactivés préalablement par la solution.

Prenons par exemple une identité active qui possède deux comptes: techadmin, qui est actif, et labadmin, qui est inactif. L'identité se fait désactiver. Conséquemment, son compte techadmin est également désactivé. Lors de la réactivation de l'identité, seulement le compte techadmin est réactivé. Pour activer labadmin, il faudrait le demander explicitement.

Impacts d'une fin d'emploi ​

La fin d'emploi d'une identité est habituellement définitive. Il peut s'agir, par exemple, d'un départ à la retraite ou d'une démission. Si une personne dont l'identité a été terminée revient dans l'entreprise, une nouvelle identité est habituellement créée.

Conséquemment, une fin d'emploi démarre un processus de terminaison des comptes. Ce processus varie beaucoup dépendamment des pratiques de l'entreprise et de l'actif visé. Il peut aller de la simple désactivation du compte à la suppression complète.

Traitement des demandes concurrentes ​

• Lorsqu'une demande de modification d'identité est traitée, toutes les autres demandes de modification faites antérieurement pour cette identité sont annulées

Diagramme ​

Gérer les comptes d'accès dans RAC/M Identity ​

Cette section présente comment gérer les comptes d'accès dans RAC/M Identity.

Les comptes permettent aux personnes, aux automatismes et aux dispositifs d'accéder aux systèmes et aux applications. Ils se composent généralement d'un identifiant et d'un mot de passe et sont associés à des droits d'accès permettant d'exécuter certaines fonctions ou d'accéder à certaines informations. Les comptes sont affectés à des identités ; par conséquent, une personne peut posséder différents comptes sous des identités distinctes.

Les comptes sont ajoutés au référentiel de RAC/M Identity par la logique d'affaires invoquée lors de l'importation des données des systèmes cibles (voir Importer des personnes et des identités).

Comptes personnels et impersonnels ​

Les comptes personnels sont ceux qui appartiennent à des identités associées à des personnes. Les comptes impersonnels ne sont pas associés à une identité ou à une personne. Par exemple, les comptes techniques, de systèmes, génériques et autres, sont des comptes impersonnels.

Fiduciaires ​

Afin d'assurer la saine gouvernance des comptes impersonnels, qui sont souvent des comptes à privilèges élevés, ils doivent être assignés à des fiduciaires. Les fiduciaires sont des identités responsables de réviser périodiquement les comptes impersonnels qui leur sont assignés afin d'en valider la pertinence.

Si un fiduciaire quitte l'entreprise ou change de fonction, les comptes impersonnels qui lui sont assignés doivent être réassignés à un autre fiduciaire

Les comptes impersonnels doivent être révoqués dès qu'ils ne sont plus requis.

Comptes appariés et non appariés ​

Lors de l'importation, la logique d'affaires tente d'apparier les comptes aux identités en utilisant un ensemble d'algorithmes visant à identifier les identités correspondants aux comptes avec le plus de certitude possible. Si un appariement peut être effectué sans équivoque, le compte passe à l'état apparié. Toutefois, dans certains cas il n'est pas possible d'associer un compte à une identité avec certitude, le compte est alors placé dans l'état non-apparié.

La logique d'affaires peut être raffinée itérativement pour améliorer le niveau d'appariement automatique jusqu'à ce qu'il ne reste qu'un petit nombre de comptes à apparier manuellement. Ce sont ces comptes, qui n'ont pas été appariés automatiquement, qui apparaissent dans cette liste et qui doivent être appariés manuellement.

La page d'appariement des comptes ​

La page d'appariement des comptes permet:

• D'apparier les comptes personnels aux identités
• D'étiqueter les comptes afin de les organiser selon des catégories
• D'assigner les comptes techniques aux fiduciaires

Afin de faciliter la navigation, des filtres de recherches sont disponibles. A gauche de l'écran, sont situés les filtres de recherche des comptes, alors que les filtres de recherche des identités sont situés à droite de l'écran.

Filtres de recherche des comptes

Le champ Étiquette/État permet de déterminer quel sous-ensemble de comptes est affiché dans la liste. Par défaut, les comptes non appariés sont affichés. Si des comptes ont déjà été étiquetés, ils peuvent être affichés en sélectionnant l'étiquette appropriée.

Les champs Regroupement d'Actif et Actif permettent de sélectionner un sous-ensemble de comptes associés aux actifs sélectionnés.

La liste des comptes affichés peut être réduite en sélectionnant Afficher seulement les comptes actifs ou en inscrivant quelques lettres des comptes recherchés. Finalement, le bouton Recherche avancée permet de raffiner les critères de recherche.

Filtres de recherche d'identités

La liste d'identités proposées dans la liste de droite est basée sur les filtres sélectionnés sous la rubrique Suggestions. Ces filtres permettent de proposer des sous-ensembles d'identités affichées pour faciliter l'appariement.

Étiqueter des comptes ​

Afin de faciliter le travail d'appariement des comptes, les comptes non appariés peuvent être regroupés et étiquetés. Une fois étiquetés, ils peuvent être affichés en blocs et la logique d'affaires peut être paramétrée pour effectuer des traitements spécifiques en fonctions des étiquettes. La page d'appariement des comptes propose un certain nombre d'étiquettes standards au bas de la fenêtre de gauche. De plus, vous pouvez définir et assigner vos propres étiquettes.

La liste déroulante affiche les étiquettes personalisées à votre organisation. Elle vous permet d'étiqueter les comptes sélectionnés avec des étiquettes qui sont spécifiques et pertinentes à votre organisation.

Vous pouvez créer des étiquettes personalisées dans le menu CONFIGURATION>Mappage.

Pour étiqueter des comptes:

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

2. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à étiqueter.

3. Sélectionnez les comptes que vous souhaitez étiqueter.

4. Cliquez sur un des boutons au bas de la section de gauche pour étiqueter les comptes sélectionnés ou choississez une étiquette dans la liste déroulante au bas de la page et cliquez sur Marquer.

Apparier des comptes à une identité ​

Si le système n'a pas été en mesure de faire correspondre automatiquement certains comptes et certaines identités parce qu'il n'existe pas de clés d'identification uniques, vous devrez les faire correspondre manuellement.

Pour apparier un compte à une identité:

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à apparier

2. Sélectionnez le ou les comptes que vous souhaitez associer à une personne.

   Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

3. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

   

   Le compte et l'identité ont été mis en correspondance. Le compte apparaît maintenant dans la liste au bas de la page des détails de l'identité.

   Note

   Si plusieurs comptes avec la même nomenclature sont détectés, un panneau s'affichera qui vous proposera d'apparier en bloc l'ensemble des comptes similaires. Ceci facilite et accélère grandement le travail d'appariement manuel.

Dissocier un compte d'une identité ​

Inversement, si une correspondance a été établie et que vous constatez qu'elle n'aurait pas dû l'être, vous pouvez dissocier un compte d'une identité.

Pour dissocier un compte d'une identité :

1. Cliquez sur PERSONNE> Identité.
2. Dans la zone de texte Recherche, incrivez quelques lettres du nom ou prénom de l'identité à laquelle le compte a été associé et cliquez sur la loupe.
3. Dans la liste, cliquez sur l'identité désirée. La page Détails des identités s'ouvre.
4. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez dissocier.

5. Cliquez sur OK pour confirmer.

Le compte n'est plus associé à l'identité et est déplacé vers la liste des comptes non-appariés dans la page Appariement des comptes.

Assigner des comptes aux fiduciaires ​

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

2. Sélectionner les comptes Techniques ou Génériques non-appariés.

   Utilisez les filtres et la barre de recherche pour raffiner la liste des comptes à assigner.

3. Sélectionnez les comptes que vous souhaitez assigner. Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

4. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

Transférer un compte ​

Lorsque qu'un compte n'est pas associé à la bonne identité, et que vous savez à qui il devrait être associé, vous pouvez le transférer directement à l'autre identité au lieu de le supprimer puis de le faire correspondre à nouveau.

Pour transférer un compte:

1. Dans la barre de menu, cliquez sur PERSONNE> Identité.

2. Dans la liste, cliquez sur la personne dont vous voulez transférer le compte à une autre personne. La page Détails Identité s'ouvre.

3. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez transférer.

   

4. Dans la boîte de dialogue Transfert de compte, dans la liste Sélectionner une identité, incrivez le nom de l'identité à laquelle vous voulez affecter le compte ou sélectionnez-la dans la liste.

5. Cliquez sur Transférer.

   Le compte apparaît maintenant dans la liste de comptes dans la page "détails" de l'identité.

À propos des actifs ​

Cette section présente comment créer et gérer des actifs dans RAC/M Identity.

Dans RAC/M Identity, un Actif est tout composant appartenant à l'organisation que les gens utilisent pour mener leurs activités et qui nécessite des privilèges d'accès, qu'ils soient logiques ou physiques. Les actifs peuvent être, par exemple, des systèmes, des applications, des composantes d'infrastructure ou même des éléments physiques.

Dans ce contexte, le système de paie, les logiciels métiers, le système de messagerie, le réseau sans fil, les applications infonuagiques, les portes, etc. sont tous des exemples d'actifs.

Pour créer et gérer les actifs, vous utiliserez l'option ACTIFS du menu principal.

L'option ACTIFS du menu principal permet de:

• Visualiser, modifier et ajouter des Regroupements d'actifs
• Visualiser, modifier et ajouter des Actifs
• Visualiser, modifier, ajouter et retirer des Comptes d'accès
• Visualiser, modifier, ajouter et retirer des Groupes
• Visualiser, modifier, ajouter et retirer des Items
• Visualiser, modifier, ajouter et retirer des Permissions
• Visualiser, modifier, ajouter et retirer des Groupes de délégation

Regroupement d'actifs ​

Afin de faciliter la gestion, les actifs sont toujours associés à un Regroupement d'actifs. Par défaut, les actifs sont associés au regroupement Default. Vous pouvez créer autant de regroupements d'actifs que désiré et y assigner tous les actifs requis.

Stratégies de sélection de comptes ​

Lorsqu'un accès à un actif est octroyé à une identité, un compte doit être créé et lorsque les accès doivent être retirés, les comptes doivent être révoqués. RAC/M Identity intègre plusieurs stratégies pour créer ou sélectionner des comptes dans un contexte d'approvisionnement et de désaprovisionnement automatisé.

Les listes déroulantes proposent plusieurs stratégies ainsi qu'une courte description. Les stratégies sélectionnées au niveau d'un regroupement d'accès s'appliquent à l'ensemble des actifs associés au regroupement si des politiques spécifiques n'ont pas été assignées aux actifs. En général, les stratégies qui retournent plusieurs comptes ou tous les comptes sont plus appropriées pour le désaprovisonnement, alors que les stratégies d'approvisionnenment ne doivent sélectionner ou créer qu'un seul compte.

Les stratégies diffèrent sur la façon dont le ou les comptes sont sélectionnés. Voici une brève description des stratégies disponibles.

Sélectionner n'importe quel compte actif sélectionne un compte actif qui peut être trouvé sur n'importe quel actif auquel l'identité visée a accès. Si aucun compte n'est trouvé, un compte sera créé en utilisant la politique de création de compte associée à l'actif.

Sélectionner tous les comptes sélectionne l'ensemble des comptes, actifs et inactifs, appartenant à l'identité visée sur les actifs associés au regroupemement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désaprovisionnement.

Sélectionner tous les comptes actifs sélectionne l'ensemble des comptes actifs appartenant à l'identité visée sur les actifs associés au regroupemement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désaprovisionnement.

Sélectionner un compte actif ou en créer/activer un basé sur le compte primaire de l'identité sélectionne un compte actif s'il n'y en qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Identité primaire de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

Sélectionner un compte actif ou en créer/activer un basé sur le courriel de l'identité sélectionnera un compte actif s'il n'y en qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Courriel de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

Créer un regroupement d'actifs ​

Pour créer un regroupement d'actifs:

1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Saisissez les informations requises comme suit :

   Nom ​

   Incrivez le nom du regroupement d'actifs. Choisissez un nom significatif et représentatif du regroupement.

   Description ​

   Saisissez une brève description du regroupement. Elle aidera les pilotes à distinguer entre les différents regroupements d'actifs.

   État ​

   Dans la liste, sélectionnez Activé pour activer les actifs associés à ce regroupement. C'est à dire qu'ils seront visibles pour la logique d'affaires qui pourra traiter les données d'accès associés à ces actifs et prendre action le cas échéant.

   Sélectionnez Désactivé pour désactiver tous les actifs associés à ce regroupement. Dans ce cas, les actifs ne seront pas visibles à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

   Conseil

   L'état Déactivé peut être utile lorsque les actifs associés au regroupement sont en cours d'intégration ou si le regroupement représente des environnements distincts qui ne doivent pas être activés momentanément.

   Nom technique ​

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_prod_Mtl.

Approvisionnement ​

4. Sous Approvisionnement, dans les listes déroulantes, sélectionnez les stratégies de sélection des comptes les plus appropriés pour le provisionnement et le déprovisionnement. Voir Stratégies de sélection de comptes.

   Si vous laissez ces champs vides, les stratégies associées aux actifs seront appliquées.

   • Sous Notification
     • Cette configuration détermine si un courriel est envoyé lorsqu'un compte ou un groupe de ce regroupement d'actifs est approvisionné. Le courriel est envoyé au(x) destinataire(s) spécifié(s).
     • Sélectionnez le niveau de granularité pour Comptes et Groupes à configurer pour les notifications relatives aux événements de provisionnement.

5. Si des attributs étendus ont été ajoutés à l'objet Regroupement d'actif, vous pouvez y inscrire les valeurs appropriées.

6. Cliquez sur Enregistrer.

   Le regroupement d'actifs est ajouté à RAC/M Identity. Ce regroupement est maintenant disponible pour y associer des actifs.

Modifier un regroupement d'actifs ​

Pour modifier un regroupement d'actifs:

1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

2. Sélectionnez le regroupement d'actifs que vous voulez modifier. Vous pouvez naviguer directement vers les listes d'Actifs, de Comptes, de Groupes,d'Items et de Permissions associées au regroupement sélectionné en cliquant sur les boutons respectifs.

3. Effectuez les modifications nécessaires.

4. Cliquez sur Enregistrer.

Retirer un regroupement d'actifs ​

Il n'est pas possible de retirer un regroupement d'actifs.

Créer un actif ​

Dans la majorité des cas, les actifs doivent être créés manuellement, directement dans la console de gestion. Toutefois, il existe quelques situations où les actifs peuvent être ajoutés au référentiel de RAC/M Identity en important les données des sources de données (voir Analyse des données).

C'est le cas par exemple de serveurs ou d'applications qui utilisent un format commun de fichiers plats pour extraire les comptes et les accès associés. C'est aussi le cas pour des serveurs ou des équipements dont la configuration est documentée dans une base de données de gestion des configurations CMDB. Dans ces deux cas, les actifs peuvent être créés automatiquement dans le référentiel sans intervention humaine.

Lors de la création d'un actif vous pouvez inscrire les méta-données et les éléments de configuration qui déterminent le niveau d'intégration ainsi que les détails du fonctionnement de la logique d'affaires par rapport à cet actif. Bien sûr, le niveau d'intégration peut évoluer avec le temps, au fur et à mesure que votre organisation gagne en maturité par rapport aux processus de GIA. Les détails de configuration des actifs visés devront être ajustés en conséquence.

Pour créer manuellement un actif:

1. Dans la barre de menu, cliquez sur ACTIFS> Actifs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit :

   Nom ​

   Incrivez le nom de l'actif. Choisissez un nom significatif et représentatif de l'actif.

   Nom technique ​

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_AD_MTL.

   État ​

   Dans la liste, sélectionnez Activé pour activer l'actif. C'est à dire qu'il sera visible pour la logique d'affaires qui pourra traiter les données d'accès associés à cet actif et prendre action le cas échéant.

   Sélectionnez Désactivé pour désactiver l'actif. Dans ce cas, l'actif ne seront pas visible à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

   Description ​

   Saisissez une brève description de l'actif. Elle aidera les pilotes à distinguer entre les différents actifs.

   Regroupement d'actifs ​

   Sélectionnez ou incrivez quelques lettres pour rechercher le regroupement d'actifs auquel vous voulez associer l'actif. (Voir également Créer un regroupement d'actifs)

   Source de synchronisation du mot de passe ​

   Si vous prévoyez implanter une fonction de synchronisation de mots de passe, vous pouvez sélectionner l'Actif qui servira de source. C'est à dire, que quand un changement de mot de passe sera effectué sur l'actif source il sera propagé à tous les actifs qui l'utilisent comme source. Typiquement, les sources recommandées sont Active Directory ou Azure Active Directory.

   Pour inscrire un actif source, sélectionnez ou incrivez quelques lettres de l'actif recherché.

   Laisser le champ vide si vous ne prévoyez pas mettre en oeuvre la synchronisation de mot de passe.

   Catégorie ​

   Les catégories permettent de regrouper logiquement les actifs afin d'effectuer des analyses et des traitements spécifiques. Les catégories peuvent être définies arbitrairement ce qui offre beaucoup de flexibilité pour représenter une structure pertinente à votre organisation.

   Par exemple, des catégories peuvent être définies pour regrouper les actifs par niveau de criticité. Une autre possibilité et de regrouper les actifs par type de systèmes tels que systèmes financiers, systèmes RH, systèmes métiers, etc.

   Sélectionnez une catégorie de la liste déroulante pour catégoriser l'actif si désiré. Vous pouvez laisser le champ vide si une catégorisation n'est pas requise.

   Note

   Les catégories doivent avoir été créées au préalable dans la section CONFIGURATION Mappages pour être disponibles dans la liste déroulante.

   DN ​

   DN signifie nom distingué (Distinguished Name). Ce champ est utilisé principalement avec des annuaires LDAP et X500. Vous pouvez laisser ce champ vide pour les actifs communs.

   Type de système, OS et Identifiants ​

   Ces champs sont des champs informationnels facultatifs qui peuvent servir à fournir des informations supplémentaires à la logique d'affaires. Vous pouvez les utiliser pour identifier la nature du système ou d'un serveur ainsi que le système d'exploitation si pertinent. Les champs identifiants peuvent être utilisés pour toute information supplémentaire qui peut être utile à la logique d'affaires.

   Laissez les champs vides si non requis.

   Date de la dernière validation, date de la dernière modification et date de la dernière validation. ​

   Ces champs sont des indicateurs, mis à jour par RAC/M Identity pour refléter les dates des événements impliquant l'actif.

   Fournisseur de services d'accès ​

   Cette case à cocher est utilisée pour signaler que l'actif est utilisé pour contrôler l'accès à d'autres actifs. Les annuaires LDAP et les bases de données peuvent être utilisés comme fournisseur de services d'accès. Par exemple, les groupes d'Active Directory ou de Azure AD sont souvent utilisés pour contrôler l'accès à des actifs qui externalisent l'authentification et l'autorisation, tels que Citrix, BitWarden, etc.

   Ceci permet à la logique d'affaires de traiter les groupes de sécurité de l'actif de façon à contrôler les accès pour les actifs qui en dépendent.

   Cette case est typiquement cochée pour un annuaire Active Directory ou Azure AD utilisé pour contrôler l'accès à des actifs configurés comme des Applications logiques. Laissez la case vide pour tous les autres cas.

   Voir aussi

   • Applications logiques

   Accès disponibles en libre-service ​

   Lorsque vous cochez cette case, vous autorisez les demandes d'accès à cet actif via le portail libre-service de RAC/M Identity.

   Voir aussi

   • Intoduction au portail libre-service.

4. Cliquez sur Enregistrer au bas de la page pour sauvegarder l'actif.

   L'actif est ajouté au référentiel.

   Note

   Il est recommandé d'enregistrer l'actif en cours de création même si la configuration n'est pas complètement terminée.

   Boutons Comptes, Groupes, Items, Permissions ​

   Ces boutons dirigent directement vers des pages de listes qui affichent les éléments représentés par les boutons. Comme l'actif est en cours de création, ces listes sont vides et sans intérêt pour l'instant. Vous pouvez passer directement à la section Approvisionnement.

   Approvisionnement ​

   Sous Approvisionnement, dans les listes déroulantes, sélectionnez les stratégies de sélection des comptes les plus appropriés pour le provisionnement et le déprovisionnement. Voir Stratégies de sélection de comptes.

   Si vous laissez ces champs vides, les stratégies associées au regroupement d'actifs seront appliquées.

   • Sous Notification
     • Cette configuration détermine si un courriel est envoyé lorsqu'un compte ou un groupe de ce regroupement d'actifs est approvisionné. Le courriel est envoyé au(x) destinataire(s) spécifié(s).
     • Sélectionnez le niveau de granularité pour Comptes et Groupes à configurer pour les notifications relatives aux événements de provisionnement.

   Propriétaire ​

   Dans la liste, tapez les premières lettres du nom du propriétaire et sélectionnez-le.

   Un propriétaire doit obligatoirement être désigné pour chaque actif. Le propriétaire est responsable de la saine gestion de l'actif et peut être impliqué dans l'approbation des requêtes d'accès et/ou dans la révision et la certification des accès, en particulier au niveau des accès à privilèges élevés.

   Sélectionnez le propriétaire de l'actif en incrivant quelques lettres du nom du propriétaire dans la liste déroulante.

   Groupe administrateur ​

   Ce champ permet d'assigner un groupe de délégation qui correspond à l'équipe chargée d'exploiter l'actif, tout particulièrement d'exécuter les demandes et les révocations d'accès. C'est aux membres de ce groupe que seront transmises les demandes d'accès une fois approuvées, ainsi que les demandes de révocations d'accès, dans les cas où l'approvisionnement et le désapprovisionnment ne sont pas automatisés.

   Sélectionnez le groupe administrateur de l'actif en incrivant quelques lettres du groupe dans la liste déroulante.

   Conseil

   Il est recommandé d'inscrire un groupe administrateur lors de l'implantation d'un nouvel actif pour assurer la création, la modification et le retrait des accès jusqu'à ce que l'approvisionnement et le désapprovisionnement puissent être totalement automatisés.

   Note

   Les groupes administrateurs doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Groupe certificateur ​

   Ce champ vous permet d'attribuer un groupe de délégation qui correspond à l'équipe responsable de la révision de l'élément. Les membres de ce groupe seront chargés d'approuver ou de rejeter les éléments à réviser dans les campagnes de révision.

   Sélectionnez le groupe de certificateurs de l'actif en entrant quelques lettres du groupe dans la liste déroulante.

   Attributs étendus ​

   Si des attributs étendus ont été ajoutés à l'objet Actif, vous pouvez y inscrire les valeurs appropriées.

   Définir le flux d'approbation ​

   RAC/M Identity inclus une fonctionalité de flux d'approbation avancée et extrêmement flexible qui permet de définir un mode de fonctionnement comprenant jusqu'à trois niveaux d'approbation par simple paramétrage.

   L'activation de chaque niveau est optionnelle, et peut être déterminée en fonction du niveau de risque associé à l'actif lui-même et aux groupes sous-jacents. Chaque niveau correspond à une étape qui doit être complétée pour passer à la prochaine. Chaque niveau peut invoquer des groupes de délégation afin d'assurer que les approbations soient réalisées le plus rapidement possible, même dans le cas où des intervenants ayant des responsabilités d'approbation sont indisponibles.

   Pour chacun des niveaux suivants,indiquez si le niveau est requis et complétez les informations indiquant qui devra approuver les requêtes, le cas échéant.

   Approbation liée à l'identité ​

   Sélectionnez Requise si le responsable de la personne qui demande l'accès doit approuver l'accès à cette ressource. Dans ce cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

   Approbation liée au groupe ​

   Sélectionnez Requise si le propriétaire de la ressource (actif ou groupe) ou un groupe de délégation doit approuver l'accès à cette ressource.

   Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Approbation spéciale ​

   Sélectionnez Requise par ce groupe approbateur spécial si vous avez besoin d'un troisième niveau d'approbation.

   Ceci peut être utile, par exemple, pour accorder l'accès à une ressource critique pour laquelle une formation ou une certification spécifique est requise.

   Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

5. Cliquez Enregistrer pour sauvegarder l'actif.

Visualiser ou modifier un actif ​

Pour visualiser ou modifier un actif:

1. Dans le menu ACTIFS, cliquez sur Actifs.
2. Dans la liste, sous la colonne Actifs, sélectionnez l'actif que vous souhaitez visualiser ou modifier. Effectuez les modifications requises
3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

Ajouter un actif existant à un regroupement d'actifs ​

Pour ajouter un actif existant à un regroupement d'actifs:

1. Dans le menu ACTIFS, cliquez sur Actifs.

2. Dans la liste Regroupement d'actifs, sélectionnez l'actif que vous souhaitez ajouter au regroupement. Les actifs pour lesquels un regroupement d'actifs n'a pas été spécifié se retrouvent dans le regroupement Default.

   

3. Dans la page Détails des actifs, dans la liste déroulante Regroupement d'actifs, sélectionnez le regroupement auquel vous souhaitez ajouter l'actif.

   

4. Cliquez sur Enregistrer.

   L'actif est maintenant associé au regroupement d'actif. Vous pouvez consulter tous les détails des actifs ainsi que des accès et permissions associés dans la page Détails des regroupements d'actifs.

   

Créer un groupe de délégation ​

Un groupe de délégation est un groupe d'identités auxquels le propriétaire du groupe a délégué ses responsabilités. Par exemple, les membres peuvent approuver une demande d'accès si le propriétaire du groupe n'est pas disponible pour le faire.

Pour créer un groupe de délégation:

1. Dans la barre de menu, cliquez sur Actifs> Groupes de délégation.

2. En haut à droite de la page, cliquez sur le bouton .

   

3. Sous Détails, entrez les informations requises comme suit :

   Nom ​

   Incrivez le nom du groupe. Choisissez un nom significatif et représentatif de la nature du groupe de délégation.

   Conseil

   C'est une bonne pratique d'utiliser une syntaxe normalisée pour les groupes de délégation qui inclus l'utilisation et le nom du propriétaire. ex: GD-APP-Charles Tremblay.

   Description ​

   Incrivez une brève description des responsabilités du groupe de délégation.

   Type de groupe ​

   Dans la liste déroulante, sélectionnez un type de groupe de délégation. RAC/M Identity inclus deux types fondamentaux de groupes de délégation, soit les types SIMPLE_GROUP et CASCADE_GROUP.

   Les groupes SIMPLE_GROUP dirigent les requêtes à tous les membres simultanément. Dans ce mode, tous les membres reçoivent les notifications et voient les tâches dans le portail libre-service. Dès qu'un des membres approuve une requête, elle est retirée de la liste. Cette approche assure la résolution la plus rapide des requêtes.

   Les groupes CASCADE_GROUP dirigent les requêtes séquentiellement vers chacun des membres selon la priorité indiquée au champ Priorité associé à chaque membre et les paramètres de configuation. Cette approche est utile pour définir une stratégie graduelle d'approbation des demandes.

   Les deux types de groupes existent en deux versions, soit les versions de base qui incluent le propriétaire du groupe, et les versions SIMPLE_EXCL_OWNER et CASCADE_GROUP_EXCL_OWNER qui excluent le propriétaire du groupe, c'est à dire que les requêtes sont transmises à tous les membres sauf au propriétaire du groupe.

   Ces versions sont utiles pour les groupes de délégation dont les propriétaires sont des exécutifs avec peu ou pas de disponibilité pour les tâches opérationnelles.

   Portée du groupe ​

   Les groupes de délégation dont la portée est Générique peuvent être utilisés pour toutes les tâches d'approbation ou de certification. Ils seront disponibles dans les listes déroulantes des divers objets qui requièrent des groupes de délégation.

   Les groupes de délégation dont la portée est Libre-service sont utilisés pour préciser que les personnes membres peuvent voir les accès détenus par une personne dans le portail libre-service.

   Les groupes de délégation de type Libre-service doivent être associés aux membres des Groupes approbateurs assignés aux identités pour qu'ils puissent voir les accès présentement détenus par celles-ci.

   

   Note

   Si le demandeur n'est pas membre du Groupe approbateur ni membre d'un groupe de délégation de type Libre-service appartenant à un des membres du Groupe approbateur de la personne dont il veut visualiser les droits, il pourra effectuer la demande d'accès mais ne pourra visualiser les accès existants ni les retirer.

   Nom technique ​

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: GD_APP_CT.

   Propriétaire ​

   Dans la liste, sélectionnez la flèche pour l'ouvrir ou incrivez les premières lettres du nom de l'identité propriétaire, puis sélectionnez-la.

   Délégués ​

   Sous Délégués, dans la liste Recherche de délégués, incrivez les premières lettres du nom de l'identité à ajouter aux membres et cliquez sur le bouton Ajouter.

   Priorité ​

   Le champ Priorité permet de mettre en oeuvre une stratégie d'escalade progressive en décalant les notifications aux différents membres du groupe après un nombre de rappels déterminé par la valeur du champ Priorité.

   Exemple

   Une valeur de "1" signifie que le membre sera notifié à chaque rappel, alors qu'une valeur de "3" signifie que le membre sera notifié après trois rappels.

4. Cliquez sur Enregistrer.

Visualiser, modifier ou supprimer un groupe de délégation ​

Pour visualiser, modifier ou supprimer un groupe de délégation :

1. Dans le menu ACTIFS, cliquez sur Groupes de délégation.
2. Dans la liste, sélectionnez le groupe de délégation que vous souhaitez afficher, modifier ou supprimer. Apportez les modifications nécessaires ou cliquez sur le bouton pour le supprimer.
3. Cliquez sur Save pour enregistrer vos modifications.

À propos des droits d'accès ​

Cette section présente comment gérer les droits d'accès dans RAC/M Identity.

Dans RAC/M Identity, Accès est un terme générique qui représente un droit d'accès, un privilège ou une permission qui permet à un utilisateur d'accéder à un actif ou à une fonction d'un actif informationnel ou encore qui donne accès à un actif physique comme une clé ou l'accès à une porte.

Pour créer et gérer les accès, vous utilisez l'option ACCÈS du menu principal.

L'option ACCÈS du menu principal permet de:

• Créer, démarrer, annuler, visualiser et modifier des Campagnes de révisions d'accès
• Visualiser, modifier et créer des Rôles
• Visualiser, modifier et créer des Versions de rôles
• Visualiser, modifier et créer des Sessions de modélisation de rôles
• Visualiser, modifier, ajouter et retirer des Règles de ségrégation de tâches
• Visualiser, modifier, ajouter et retirer des Fonctions supplémentaires

À propos de campagnes de révision d'accès ​

Lors d'une révision d'accès, les certificateurs désignés passent en revue tous les accès et déterminent s'ils sont encore valides ou s'ils doivent être supprimés. De cette façon les accès sont certifiés valides.

RAC/M Identity offre beaucoup de flexibilité au niveau de la définition des campagnes de révision d'accès afin de permettre de mettre en oeuvre un processus durable et efficace, bien adapté à la réalité de chaque entreprise.

Les campagnes peuvent être configurées pour déterminer le contenu et le niveau de détails à réviser, les certificateurs impliqués ainsi que la portée en termes d'identités et d'actifs inclus.

Le comportement exact des campagnes ainsi que les possibilités offertes aux certificateurs sont aussi pleinement configurables.

De plus, les campagnes incrémentales permettent de réduire les efforts de révision en mettant l'emphase sur les changements apportés depuis la dernière révision.

Créer ou modifier des règles de filtrage (filtres) ​

Cette section présente comment définir des règles de filtrage en utilisant l'éditeur de règles. L'éditeur de règles est utilisé à plusieurs endroits dans RAC/M Identity.

L'objectif des règles de filtrage est de produire un sous-ensemble d'objets sur lesquels les traitements seront effectués par la logique d'affaires. Les objets retenus sont déterminés en fonction des conditions que vous définissez et du contenu des attributs évalués par les conditions.

Les filtres sont construits en combinant des règles simples, chacune évaluant une seule condition en utilisant les opérateurs booléens ET et OU. Les règles peuvent être regroupés et les sous-groupes combinés de la même façon. Toutes les règles et sous-groupes à l'intérieur d'un groupe ou sous-groupe utilisent l'opérateur associé au groupe.

Les règles de filtrage servent essentiellement dans deux cas:

• Pour filtrer des identités, ou
• Pour filtrer des actifs.

Règles

Les règles sont construites avec une syntaxe simple :

[Opérateur Booléen] 
	[Source d'attribut][Attribut][Opérateur d'égalité][Valeur]	Règle 1
									Règle 2...

• Opérateur Booléen applique la fonction sélectionnée à l'ensemble des règles et des sous-groupes à l'intérieur d'un groupe.
• Source d'attribut contient une liste déroulante qui réfère à une source d'attributs:

  • Filtre de base propose les attributs des objets:

  • Personnes et Identités (filtres d'identités) ou

  • Regroupement d'actifs, Actifs, Comptes, Groupes, Items (filtres d'actifs)

  • Autres attributs, (filtres d'actifs).

  • Attributs étendus xxx La liste propose aussi les attributs étendus associés aux objets de la liste. Seuls les objets pertinents aux filtres à construire sont affichés dans la liste.

• Attribut sélectionnez l'attribut que vous voulez évaluer dans la règle.
• Opérateur d'égalité sélectionnez = ou != en fonction de si l'attribut doit avoir une valeur égale ou différente de la valeur déterminée.
• Valeur entrez la valeur désirée.

  Note

  L'opérateur = agit aussi comme l'opérateur contient si l'attribut contient une liste de valeurs.

  Exemple

  Si l'attribut étendu d'identité Certifications contient les valeurs: " HIPAA", "FDA", "NERC", la règle:

  Attributs étendus d'identité Certifications = FDA est vraie.

Pour créer une règle de filtrage:

1. Naviguez à la page de l'objet auquel vous voulez ajouter une règle de filtrage, telle que les Campagnes de révision d'accès et les Rôles. Cliquez sur les boutons permettant d'ajouter ou d'éditer les règles.

   

2. Sélectionnez l'opérateur d'égalité que vous voulez utiliser pour le groupe associé:

   • ET : Le résultat est vrai lorsque toutes les règles et sous-groupes sont vraies.
   • OU : Le résultat est vrai lorsque l'une ou l'autre des règles ou sous-groupes sont vraies.

3. Cliquez sur le bouton pour ajouter des règles à un groupe.

4. Cliquez sur le bouton pour ajouter un sous-groupe de règles.

5. Cliquez sur Enregistrer. Les règles de filtrage sont enregistrées dans le référentiel.

Créer une campagne de révision d'accès ​

Pour créer une campagne de révision d'accès :

1. Dans la barre de menu, cliquer sur ACCÈS> Campagnes de révision.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Campagne, entrez les informations requises comme suit :

   Nom ​

   Incrivez le nom de la campagne.

   

   Description ​

   Saisissez la description et l'objectif de la campagne.

4. Cliquez sur Enregistrer.

   Date de démarrage et date de fin ​

   La Date de début affichera la date à laquelle la campagne sera lancée. La Date de fin ouvre un calendrier dans lequel vous sélectionnez la date de fin de la campagne.

   Mode ​

   Sélectionnez Campagne interactive pour traiter la campagne en ligne. L'option Campagne hors ligne produits des rapports PDF que les certificateurs révisent. Cette option est désuète et sera retirée dans une version future.

   Sous Type et portée de la campagnee, vous pouvez définir la nature des accès à réviser,le niveau de détails ainsi que la portée. Entrez les informations requises comme suit :

   Type de campagne ​

   Les campagnes de revues d'accès sont organisées en trois thèmes:

   • Les revues d'identités
   • Les revues de contenu des rôles
   • Les revues de comptes fiduciaires

   Pour les revues d'identités

   • Tous les accès : Permet de réviser tous les accès et autorisations accordés aux identités.
   • Rôles et accès excédentaires : Permet de réviser les rôles accordés aux identités ainsi que tous les accès et autorisations accordés en plus de ceux accordés par les rôles.
   • Uniquement les accès excédentaires aux rôles : Permet de mettre en lumière et réviser les accès et permissions accordés aux identités en plus de ceux accordés par les rôles.
   • Uniquement les conflits de séparation des tâches : Permet de réviser les accès et les autorisations accordés aux identités qui violent des règles de séparation des tâches.
   • Uniquement les comptes (les accès assignés aux comptes sont exclus) : Permet d'effectuer une révision simplifiée des comptes d'accès détenus par les identités sans plus de détails sur les groupes et les permissions.

   Pour les revues de contenu des rôles

   • Rôles et droits inclus : Permet de réviser tous les accès et autorisations associées aux rôles.

   Pour la révision des Comptes fiduciaires

   • Tous les droits : Permet de réviser tous les accès et autorisations associés aux comptes impersonnels.
   • Seulement montrer les comptes (les droits de ces comptes ne sont pas affichés) : Permet d'effectuer une révision simplifiée des comptes impersonnels sans plus de détails sur les groupes et les permissions. Ceci permet de confirmer rapidement la validité des comptes impersonnels par les fiduciaires.

   Comptes fiduciaires ​

   Cochez cette case si vous souhaitez inclure les comptes impersonnels dans une campagne de revue d'identités.

   Note

   Cette option n'est disponible que lorsque Revue d'identités - Tous les accès ou Revue d'identité - Uniquement les comptes... est sélectionné.

   Filtre supplémentaire ​

   Cochez cette case pour inclure les identités inactives dans une campagne de revue d'identité.

   Note

   Cette option n'est disponible que lorsque Revue d'identités - Tous les accès est sélectionné.

   Certificateurs ​

   Afin de déterminer qui va réviser et certifier les accès, sélectionnez l'une des options suivantes :

   • Certificateurs des identités lorsque vous voulez que les certificateurs soient ceux qui sont affectés aux identités.

   Exemple

   Le certificateur peut être le supérieur hiérarchique ou toute autre identité pertinente selon le niveau hiérarchique et la structure organisationnelle.

   • Certificateur des actifs lorsque les accès doivent être révisés par les certificateurs d'actifs.

   Un groupe certificateur peut être assigné explicitement à chaque actif ou groupe.

   • Certificateur désigné lorsque vous voulez spécifier un certificateur spécifique pour l'ensemble de la campagne.

   Un certificateur peut être assigné explicitement à chaque identité par la logique d'affaires qui peut appliquer des règles d'affaires personnalisées pour déterminer qui assigner.

   Ce type de campagne est particulièrement utile pour effectuer des campagnes de revues d'accès très ciblées, à envergure limitée.

   • Certificateurs des droits accordés par les rôles (actifs, groupes ou rôles inclus)

   Disponible seulement pour les campagnes de type Revue du contenu des rôles – Rôles inclus et accès

   Lorsque cette option est choisie, le certificateur sera déterminé en fonction des éléments contenus dans le rôle qui devront être révisés pour déterminer si leur accès doit être inclus dans ce rôle. Ces droits seront assignés à une identité lorsque le rôle est assigné à celui-ci.

   Filtres d'identités et filtres d'actifs ​

   Pour créer un filtre d'identités

   Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les identités que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès par département, par organisation ou par toute autre façon logique de déterminer les identités à réviser.

   Laissez le champ vide pour inclure toutes les identités.

   Cliquez sur le bouton Supprimer pour supprimer les règles.

   Voir aussi

   • Créer ou modifier des règles de filtrage¸

   Pour créer un filtre d'actifs

   Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les actifs que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès pour tous les systèmes ou pour un sous-ensemble d'actifs.

   Laissez le champ vide pour inclure tous les actifs.

   Cliquez sur le bouton Supprimer pour supprimer les règles.

   Voir aussi

   • Créer ou modifier des règles de filtrage¸

   Portée de la campagne de rôle ​

   Sélectionnez une des options suivantes pour préciser la portée des revues de rôles.

   • Rôles actifs La campagne portera uniquement sur les rôles actifs.
   • Dernières versions de rôles La campagne incluera les dernières versions de tous les rôles, qu'ils soient actifs ou non.
   • Rôles inclus dans les sessions de modélisation de rôles La campagne incluera topus les rôles, organisés par session de modélisation de rôles.
   • Version de rôles La campagne incluera tous les rôles organisés par versions.

   Configuration avancée ​

   Cette section permet de configurer plusieurs paramètres qui définissent le fonctionnement des campagnes ainsi que les options disponibles aux certificateurs.

   Éléments sans approbateurs ​

   Cette option permet de déterminer comment les éléments pour qui des approbateurs n'ont pu être résolus sont traités.

   Sous Configuration avancée, sélectionnez une des options suivantes:

   • Exclus de la campagne si vous désirez exclure les éléments pour qui un certificateur n'a pu être déterminé.
   • à Réviser par le gestionnaire de campagne si vous désirez que les éléments pour qui un certificateur n'a pu être déterminé soient révisés par le gestionnaire de campagne.

   Note

   Ces options ne sont pas disponibles si le choix de certificateur est Certificateur désigné.

   Approbation ​

   Ces options déterminent les choix disponibles aux certificateurs au moment d'approuver les items lors de la revue des accès. Cochez les options pertinentes.

   Fin de campagne ​

   Cochez cette case si vous voulez que les certificateurs s'authentifient au moment de compléter leur campagne. Cette option permet de rehausser le niveau d'assurance du processus de certification en utilisant l'authentification explicite comme une preuve de présence.

   Permettre la réassignation des items à réviser ​

   Ces cases à cocher permettent de déterminer si, et à qui, les certificateurs peuvent transférer des items à réviser qu'ils ne peuvent réviser, peu importe la raison. Cochez les cases pertinentes.

   • Au gestionnaire de campagne permet aux certificateurs de transférer des items à réviser au gestionnaire de campagnes.
   • Aux autres certificateurs de la campagne permet aux certificateurs de transférer des items aux autres certificateurs de la campagne.
   • A n'importe quelle identité permet aux certificateurs de transférer des items à n'importe quelle identité.

   Campagne incrémentale ​

   Cette section permet de déterminer quelles campagnes utiliser pour constituer la référence des campagnes incrémentales.

   Les campagnes incrémentales sont basées sur des campagnes similaires au niveau de trois critères, soit:

   • Le Type de campagne
   • Les Approbateurs
   • Les campagnes doivent être Terminées.

   Les campagnes correspondant à ces trois critères apparaissent dans la liste au bas de la section.

   Utilisez les paramètres et le champ de recherche pour afficher les campagnes de référence désirées. En général, il est préférable de sélectionner les campagnes les plus récentes.

   Sélectionnez les campagnes à utiliser en cochant les cases à gauche du nom des campagnes. La campagne incrémentale mettra en lumière les changements survenus depuis l'ensemble des campagnes constituant la base de référence.

   Note

   Une campgane de révision devient incrémentale en sélectionnant des campagnes de référence.

   Notifications ​

   Sous Notification, vous pouvez déterminer le gabarit de courriel à utiliser ainsi que les paramètres de rappel et d'escalade.

   Gabarit ​

   Dans le champ Gabarit, vous pouvez choisir le gabarit de courriel à utiliser pour les rappels. Vous pouvez utiliser le gabarit de base fourni avec la solution ou vous pouvez utiliser un gabarit personalisé selon les couleurs, les logos et les messages de votre entreprise.

   Sélectionnez le gabarit désiré dans la liste déroulante. Un aperçu du gabarit sélectionné est affiché dans la fenêtre de droite.

   Voir aussi

   Voir le RAC/M Identity - Guide de personalisation pour plus de détails sur comment créer ou modifier des gabarits de courriels.

   Intervalle de rappel par courriel (jours) ​

   Dans le champ Intervalle de rappels par courriel (en jours), saisissez le nombre de jours entre l'envoi des courriels de rappel aux approbateurs qui n'ont pas complété leurs revues d'accès.

   Escalade ​

   Ce champ permet de déterminer si les rappels seront escaladés au supérieurs hiérarchiques des certificateurs qui tardent à compléter leur revue d'accès. Dans la liste, sélectionnez:

   • Non si aucune escalade n'est désirée;
   • Dernière notification si un courriel doit aussi être transmis aux supérieurs hiérarchiques des certificateurs qui n'ont pas encore complété leur revue lors du dernier rappel programmé;
   • Deux dernières notifications si le courriel d'escalade doit aussi être envoyé si les certificateurs n'ont pas encore complété leurs revue d'accès au moment de l'avant dernier rappel programmé.

   Note

   La configuration des rappels (délai et type) se fait dans le fichier de configuration config.properties (CONFIGURATION> Fichier de configuration).

5. Cliquez sur:

   • Enregistrer pour sauvegarder la campagne sans la changer d'état.
   • Enregistrer et aperçu pour sauvegarder la campagne et visualiser la portée et l'impact de la campagne
   • Enregistrer et démarrer pour sauvegarder et lancer la campagne.

   Important

   Vous ne pouvez pas apporter de modifications à une campagne une fois qu'elle a été lancée, sauf pour reporter la date de fin.

   Nous vous suggérons fortement de passer en mode aperçu afin de la visualiser et valider le contenu que les certificateurs auront à réviser. Si tout est en ordre, vous pourrez démarrer la campagne.

Démarrer et suivre une campagne de révision ​

Le lancement d'une campagne de révision d'accès ne nécessite que quelques étapes.

Pour démarrer la campagne de révision:

1. Dans la barre de menu, cliquez sur ACCÈS> Campagnes de révision.
2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez lancer.
3. Dans la page Détails de la campagne, cliquez sur Démarrer.

La campagne commence, son statut passe à En cours.

À droite de la section Campagne, cliquez sur le bouton pour visualiser les paramètres de la campagne.

La partie supérieure de la section affiche le temps restant pour la campagne, son statut et le pourcentage d'achèvement.

Les statistiques sur l'évolution de la campagne sont présentées sous forme de graphiques. La section Rapports contient la liste des rapports générés pour cette campagne. Ces rapports sont générés lorsque vous cliquez sur le bouton Rapports en bas à droite de la section.

La dernière partie du panneau présente l'une des deux possibilités suivantes :

• La campagne en ligne : Une liste de certificateurs indiquant leur numéro de téléphone, leur adresse électronique et leur progression. Vous pouvez cliquer sur un Certificateur pour accéder à la page de détails de sa campagne.

  La liste Actions vous permet de faire deux choses :

  • Transférer les tâches du certificateur : Ouvre la boîte de dialogue qui vous permet de choisir l'identité à qui transférer les tâches.
  • Envoyer un courriel de rappel : Envoie instantanément un courriel de rappel au certificateur.

La boîte de dialogue de transfert de tâches.

• Campagne hors ligne : Une liste de documents Excel et PDF. Les colonnes affichent l'icône représentant le type de document, le nom et la date de création (format jour/mois/année).

Terminer une campagne de révision manuellement ​

Par défaut, une campagne de révision des accès se termine automatiquement lorsque la date de fin est atteinte. Si vous constatez toutefois que tous les accès ont été complètement révisés avant cette date, vous pouvez clôturer la campagne manuellement.

Pour terminer une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez arrêter.

3. Au bas de la page cliquez sur Terminer.

   Le statut de la campagne devient Terminée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Pour plus d'informations sur le suivi des accès et des comptes, reportez-vous à Tâches de révision des accès.

Annuler une campagne de révision ​

Vous pouvez annuler une campagne de révision des accès.

Pour annuler une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez annuler.

3. Au bas de la page cliquez sur Annuler.

   Le statut de la campagne devient Annulée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Visualiser ou modifier une campagne de révision ​

Pour visualiser ou modifier une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.
2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez visualiser ou modifier.
3. Effectuez les modifications requises
4. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de modélisation des rôles ​

L'objectif de la modélisation des rôles est d'élaborer un modèle optimal, dans lequel la majorité des accès sont attribués par le nombre minimum de rôles sans augmenter le risque de sécurité en donnant des accès trops larges.

La modélisation des rôles s'effectue essentiellement de deux façons complémentaires:

• Par forage
• Par peaufinement manuel, souvent aussi appelé modélisation.

Le forage de rôle prend avantage des fonctions analytiques du référentiel pour déterminer les accès communs détenus par plusieurs individus, représentés par des identités. Les accès détenus en commun deviennent la base des rôles définis par forage.

Le peaufinement manuel permet de déterminer précisément le contenu exact des rôles pour bien définir les accès requis.

Il existe plusieurs écoles de pensée et tout autant de stratégies de modélisation des rôles qui peuvent être utilisées selon le contexte humain, organisationnel et technologique de chaque entreprises RAC/M Identity contient les fonctions nécessaires pour modéliser les rôles selon le modèle RBAC en accord avec la norme ANSI/INCITS 359-2012. La solution offre aussi des fonctions avancées permettant d'assigner dynamiquement les rôles, rejoignant les objectifs du modèle ABAC.

Créer une session de modélisation de rôle ​

Dans RAC/M Identity, la page Sessions de modélisation de rôles vous permet de développer, raffiner et faire évoluer le modèle de rôle sans impact sur la production jusqu'à ce que vous soyez prêt à déployer les nouveaux rôles.

Pour créer une session de modélisation de rôle:

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.
2. En haut à droite de la page, cliquez sur le bouton .

3. Inscrivez les informations dans les champs comme suit:

Sur la page Sessions de modélisation des rôles, dans la zone de texte Session, incrivez le nom de la session.

Dans la zone de texte Description, incrivez une description de cette session. 4.Cliquez sur Enregistrer.

La nouvelle session est créée.

La prochaine étape est de créer des rôles associés à cette session.

Une fois les rôles créés et peaufinés, vous devez compléter l'assignation des rôles à la session.

Assigner des rôles à une session de modélisation ​

La section Rôles vous permet de déterminer quels rôles sont associés à une session de modélisation. Les rôles sélectionnés peuvent ensuite être activés ou désactivés en bloc si désiré.

Pour assigner des rôles à la session de modélisation:

1. Si vous êtes déjà sur la page Détails d'une session de modélisation, passez directement à l'étape 4.

2. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

3. Sélectionez la session désirée dans la liste.

   La page Détails de la session de modélisation de rôle s'ouvrira.

4. Par défaut, la liste des Rôles disponibles affiche tous les rôles disponibles dans le référentiel.

   Vous pouvez réduire la liste soit en affichant les rôles associés à une session de modélisation sélectionnée dans la liste déroulante Sélection de rôles de la session ou en appliquant un filtre avancé comme suit:

   • Filtrer par Sélectionnez l'objet RAC/M Identity ou les attributs étendus associés à utiliser comme filtre.
   • Filtre supplémentaire Sélectionnez l'attribut à utiliser
   • Valeur Inscrivez la valeur de l'attribut qui correspond à votre critère de recherche.

5. Cliquez sur Appliquer les filtres pour effectuer la recherche.

6. Sélectionnez le ou les rôles à assigner dans la zone de gauche.

7. Utiliser les flèches de la zone de gauche pour déplacer les rôles désirés vers la zone de droite. Vous pouvez retirer des rôles sélectionnés de la zone de droite en utilisant les flèches de droite.

8. Cliquez sur Enregistrer pour sauvegarder la session.

Vous pouvez aussi supprimer un rôle sélectionné en cliquant sur le bouton .

Créer un nouveau rôle par forage ​

Pour créer un nouveau rôle par forage

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

Sinon,

1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter un rôle.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Nouveau rôle.

   

   Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

   Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

   Exemple

   Vous voulez créer un rôle pour les cardiologues travaillant à l'hôpital St-Gabriel. Plusieurs cardiologues utilisent l'application PCS et vous fixez le Seuil d'inclusion à 90.

   Lorsque vous générez la session, si 90 % ou plus des cardiologues travaillant à cet hôpital partagent cet accès, alors l'accès à PCS sera inclus dans le rôle. Si moins de 90 % des cardiologues de St-Gabriel détiennent cet accès il ne sera pas inclus au rôle.

   Conseil

   Choisissez une valeur très basse (ex: 1%) pour inclure tous (ou la majorité) les accès détenus par les identités retenues.

   Choisissez une valeur élevée (ex: 99%) pour inclure seulement les accès détenus par l'ensemble des identités.

   Une valeur de 60% à 80% est un bon point de départ.

   Attention

   Portez une attention particulière aux résultats obtenus si le nombre d'identités analysées est très restreint. Par exemple, si seulement 3 identités répondent aux critères de filtrage et que le seuil d'inclusion est fixé à 80, seuls les accès détenus par toutes les identités seront inclus.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

Portée ​

5. Vous devez définir quelles sont les identités et les actifs à analyser pour forer le rôle.

   Cliquez sur l'hyperlien Identités ou sur le bouton Editer correspondant pour éditer le filtre d'identités.

   Cliquez sur l'hyperlien Actifs ou sur le bouton Editer correspondant pour éditer le filtre d'actifs.

   Cliquez sur le bouton Effacer pour effacer les filtres.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

6. Cliquez sur le bouton Générer pour générer le rôle.

   RAC/M Identity parcourt son référentiel et construit le rôle par forage de toutes les identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

7. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition du rôle.

   Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Le rôle est créé et ajouté à la session de modélisation. Vous pouvez continuer à raffiner le rôle jusqu'à ce qu'il soit satisfaisant.

Créer des rôles multiples par forage ​

Ce bouton permet de générer plusieurs rôles selon des critères déterminés. Par exemple, vous pouvez forer automatiquement l'ensemble des rôles d'un département, d'une division, d'une organisation ou même de l'entreprise au complet.

En général, les meilleurs résulats sont obtenus en limitant le forage de rôles multiples à des entités homogènes, relativement petites.

Pour générer plusieurs rôles à la fois:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Rôles multiples.

5. Inscrivez les informations dans les champs comme suit:

   Dans la zone de texte Préfixe du nom du rôle, incrivez un préfixe qui sera ajouté à tous les noms de rôle qui seront créés.

   Cela permet de les identifier dans la page Versions de rôle.

   Note

   N'ajoutez pas d'espace ou de caractères de ponctuation après le préfixe. Les caractères " - " seront insérés automatiquement entre le préfixe et le nom du rôle dérivé de la valeur des attributs variables.

   Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle. Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

   Portée ​

   Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

   Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

   Incrivez le nom de l'attribut dont les valeurs seront énumérées pour créer l'ensemble des rôles.

   Exemple

   Si dans le département de cardiologie de l'hôpital St-Gabriel, il y a trois titres différents tels que "Cardiologue", "Préposé" et "Généraliste".

   Le filtre d'identité pourrait être:

   Organisation = St-Gabriel

   Département = Cardiologie

   Et l'attribut variable: Titre

   Ce qui génèrerait les rôles suivants:

   • St-Gabriel - Cardiologie - Cardiologue
   • St-Gabriel - Cardiologie - Préposé
   • St-Gabriel - Cardiologie - Généraliste

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

6. Lorsque la sélection est terminée, cliquez sur Générer.

   RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

7. Cliquez sur le lien Cliquez ici pour atteindre la liste des rôles situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

   Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

   Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

   Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer un rôle vide ​

Ce bouton permet d'ajouter un rôle vide à une session de modélisation de rôles. Un rôle "vide" est essentiellement une coquille de rôle que vous pourrez compléter plus tard. Le rôle sera créé avec son nom sans plus.

Cette approche est utile pour crééer des rôles qui seront modélisés manuellement, sans forage.

Pour ajouter un rôle vide:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Rôle vide. Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

5. Cliquez sur Générer.

6. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

   Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

   Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Créer un nouveau rôle à partir d'un modèle ​

Vous pouvez créer un nouveau rôle à partir d'un rôle modèle.

Pour dupliquer un rôle:

1. Cliquez sur ACCÈS> Versions des rôles.

2. Dans la liste, sélectionnez sur le rôle modèle que vous voulez dupliquer

3. Cliquez sur le bouton Dupliquer le rôle.

   La page d'édition de rôle s'ouvrira sur l'onglet Détails.

4. Ajustez les paramètres du nouveau rôle et cliquez sur Enregistrer au bas de la page.

   Un nouveau rôle sera créé. Le nom sera construit à partir du nom du rôle modèle et d'un numéro unique, généré automatiquement, permettant de le distinguer.

   Voir Éditer un rôle pour plus de détails.

Créer une nouvelle version de rôle par forage ​

Vous pouvez effectuer le forage d'un rôle existant avec des paramètres différents, ce qui créera automatiqument une nouvelle version du rôle et l'ajoutera à la session de modélisation.

Pour créer une nouvelle version par forage:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

2. Sélectionez la session désirée dans la liste.

   La page de modélisation de rôle s'ouvrira sur l'onglet Détails.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur Rôle existant.

5. Sélectionnez un rôle dans la liste Sélectionnez un rôle.

   Vous pouvez utiliser les cases à cocher Débute par et Se termine par pour raffiner la recherche.

6. Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

   Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

7. Cochez un des boutons pour déterminer comment seront assignés les membres statiques.

   Cochez Assigner les membres statiques selon le filtre pour assigner statiquement les identités qui répondent aux critères de filtrage d'actif.

   Note

   Cette option utilise la règle d'assignation du rôle existant pour identifier les identités à assigner aux membres statiques du rôle, c'est à dire qu'une fois assignés il le resteront à moins d'être retirés manuellement.

   Cochez Aucun membre statique si aucun membre statique ne doit être assigné automatiquement.

   Cochez Garder les memebres statiques existants pour que les membres statiques du rôle existant soient préservés.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

   Portée ​

   Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

8. Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

9. Lorsque la sélection est terminée, cliquez sur Générer.

   

   RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

10. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

    Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

    Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à [Éditer et réviser une version de rôle](#editer-une version-de-role).

    Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer une nouvelle version de rôle à partir d'un modèle ​

Vous pouvez créer une nouvelle version d'un rôle indépendamment d'une session de modélisation à partir d'une version de rôle existante.

Pour créer une nouvelle version à partir d'un modèle:

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à dupliquer.
   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

2. Cliquez sur le bouton Dupliquer la version du role au bas de la page.

   La page d'édition de rôle s'ouvrira sur l'onglet Détails.

3. Ajustez les paramètres de la nouvelle version de rôle et cliquez sur Enregistrer au bas de la page.

   Une nouvelle version du rôle sera créée et ajoutée au rôle. Un numéro unique permettant de la distinguer sera généré automatiquement et associé à la version.

   Voir Éditer une version de rôle pour plus de détails.

Éditer une version de rôle ​

Vous pouvez apporter des modifications à une version de rôle en tout temps soit pour raffiner le rôle ou soit pour le faire évoluer afin de refléter des changements dans votre organisation.

Pour éditer une version de rôle:

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à éditer ou réviser.

   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

   

   Note

   Si la version du rôle est active, très peu de champs peuvent être modifiés.

   Outre le nom et la description, seuls les membres statiques et la disponibilité du rôle en libre-service peuvent être modifiées.

   Pour modifier d'autres champs comme les règles d'assignation, il faut d'abord désactiver la version de rôle.

   Attention

   Pour modifier une version de rôle sans affecter le fonctionnement, il faut créer un autre version de rôle.

   Voir Créer une nouvelle version de rôle pour plus de détails.

2. Effectuez les modifications requises comme suit:

   Nom ​

   Ajustez le nom du rôle si requis.

   Description ​

   Ajustez la description du rôle si requis.

   Version de rôle ​

3. La liste affiche les différentes versions de ce rôle. Vous pouvez sélectioner une nouvelle version du rôle si désiré.

   L'état de la version sélectionnée ainsi que la dernière date et heure d'activation et de désactivation sont affichées.

   Description des changements dans cette version ​

   Ce champ est automatiquement initialisé avec le contenu du champ Description. Il peut être édité à votre guise pour refléter les modifications qui seront apportées à la version du rôle.

   Sessions de modélisation de rôles ​

   Affiche les sessions de modélisation de rôles qui incluent cette version de rôle. Vous pouvez cliquer sur une session de modélisation pour l'ouvrir.

   Critères d'assignation ​

   Si la version de rôle est Inactive, vous pouvez cliquer sur le bouton Editer pour éditer les règles de filtrage utilisées pour assigner le rôle.

   Note

   Ces règles servent à assigner le rôle dynamiquement aux identités qui correspondent aux critères.

   Ces règles sont initialisées à la valeur des règles du filtre d'identités utilisé lors du forage si le rôle a été foré.

   Rôle disponible en libre-service ​

   Cochez cette case si vous voulez que cette version du rôle soit disponible à partir du portail libre-service.

   Approbateurs ​

   Pour chacun des niveaux d'approbation suivants, indiquez si le niveau est requis et complétez les informations requises, le cas échéant.

   Approbation requise d'un approbateur de l'identité ​

   Cochez cette case si le responsable de la personne qui demande l'accès doit approuver l'attribution de ce rôle. Dans ce cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

   Approbation requise du propriétaire de rôle ​

   Cochez cette case si le propriétaire du rôle, représenté par son groupe de délégation doit approuver l'attribution du rôle.

   Approbation spéciale ​

   Cochez la case si un troisième niveau d'approbation est requis pour attribuer ce rôle.

   Si un groupe de délégation autre que celui lié à l'identité ou au propriétaire de rôle doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Groupes ​

   Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des groupes au rôle. Si la version est Active vous ne pourrez que visualiser les groupes inclus dans le rôle.

   Les groupes inclus dans cette version du rôle sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

   Vous pouvez ouvrir la page de détails d'un groupe sélectionné en cliquant sur le bouton .

   

Pour ajouter des groupes au rôle:

4. Sélectionnez un actif dans la liste déroulante Actif. Les groupes associés à cet actif s'afficheront dans la liste Disponibles.
   Vous pouvez aussi rechercher des groupes dans l'ensemble des groupes existants en utilisant le champ Recherche de groupe.

5. Sélectionnez un ou plusieurs groupes dans la liste Disponibles. Utilisez la flèche pour les ajouter au rôle. Vous pouvez utiliser le bouton pour ouvrir le groupe.

   Droits d'accès ​

   Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des droits d'accès au rôle. Si la version est Active vous ne pourrez que visualiser les droits d'accès inclus dans le rôle.

   Les droits d'accès sont des permissions qui peuvent être associées à des éléments associés aux actifs qui sont différents des groupes.

   Exemple

   Les permissions associées aux répertoires et aux fichiers sur les systèmes *NIX sont représentées par des droits d'accès.

   

Pour ajouter des droits d'accès au rôle:

6. Sélectionnez un actif dans la liste déroulante Actif. Les droits d'accès associés à cet actif s'afficheront dans la liste Disponibles.
   Vous pouvez aussi rechercher des droits d'accès dans l'ensemble des droits d'accès existants en utilisant le champ Recherche d'accès.
7. Sélectionnez un ou plusieurs droits d'accès dans la liste Disponibles. Utilisez la flèche pour les ajouter au rôle. Vous pouvez utiliser le bouton pour ouvrir le droit d'accès.

Membres statiques ​

Si vous utilisez un modèle de rôle hybride (voir - À propos des rôles), vous pouvez ajouter des membres au rôle manuellement, indépendamment des règles d'assignation qui s'appliquent aux membres dynamiques.

Les identités auxquelles le rôle a été assigné sont affichées dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'une identité sélectionnée en cliquant sur le bouton .

Pour ajouter des membres statiques:

8. Dans la zone de texte Recherche d'identité, incrivez quelques lettres du nom de l'identité recherchée. Dans la liste des identités disponibles, sélectionnez l'identité désirée et cliquez sur la flèche pour la déplacer dans la liste Sélectionnés.

Membres dynamiques ​

Cette section affiche toutes les identités à qui le rôle est assigné dynamiquement selon les règles d'assignation que vous avez définies.

Si la version du rôle est active, vous pouvez cliquer sur l'un des membres pour afficher l'onglet de révision permettant de visualiser l'affectation du rôle pour le membre sélectionné.

Inclusion de rôles ​

Cette section vous permet d'inclure des rôles au rôle courant. Les membres statiques et dynamiques du rôle courant recevront aussi les groupes et droits d'accès associés aux rôles inclus.

Voir À propos des hiérarchies de groupes et de rôles pour plus de détails.

Les rôles inclus sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'un rôle sélectionné en cliquant sur le bouton .

Pour ajouter des rôles inclus:

9. Dans la zone de texte Recherche de rôle, incrivez quelques lettres du nom du rôle recherché. Dans la liste des roles disponibles, sélectionnez le role désiré et cliquez sur la flèche pour le déplacer dans la liste Sélectionnés.

10. Cliquez Enregistrer pour sauvegarder les modifications au rôle.

Réviser une version de rôle ​

Vous pouvez réviser les paramètres d'une version de rôle active ainsi que l'affectation du rôle aux membres statiques et dynamiques.

Pour réviser une version de rôle

1. Si vous êtes déjà en train d'éditer un rôle, allez directement à l'étape 3.

2. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.

   Sélectionnez la version de rôle à réviser.

   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

3. Cliquez sur l'onglet Révision

   

   Note

   Si la version du rôle n'est pas active, l'onglet de révision ne contiendra aucune information.

Version du rôle ​

4. La liste affiche les différentes versions de ce rôle. Sélectionez la version du rôle à réviser.

   La section Information sur ce rôle affiche des informations détaillées sur cette version de rôle.

Affectations ​

La section Affectations affiche l'effet du rôle sur ses membres.

Vous pouvez visualiser, pour chacun des membres, les groupes et droits d'accès qu'il détient par rapport au contenu du rôle. Les accès détenus en accord avec le rôle sont affichés en vert, les accès détenus en excédent du rôle sont affichés en rouge alors que les accès du rôle non détenus par le membre sont affichés en bleu.

5. Sélectionnez un membre dans la liste déroulante pour visualiser ses accès.

6. La case Filtrer les groupes avec les critères du rôle permet de filtrer les actifs analysés pour éviter que les accès associés aux actifs qui ne correspondent pas au rôle apparaissent dans les listes comme des accès excédentaires.

   La case est cochée par défaut et c'est le choix recommandé.

   Exemple

   Une identité a accès à des application bureautiques et à des applications métiers dont les accès sont gérés par des rôles différents. Si on révise le rôle bureautique et que la case n'est pas cochée, les accès liés aux applications métier apparaîtront comme des accès excédentaires en rouge.

7. À la fin de la révision, si la configuration du rôle est satisfaisante, retournez sur l'onglet Détails et cliquez sur le bouton Activer pour rendre le rôle effectif.

   Voir aussi

   • Activer un ou plusieurs rôles

   Note

   Assurez vous que les dernières modifications ont été sauvegardées en cliquant le bouton Enregistrer.

Activer une ou plusieurs versions de rôles ​

Les versions de rôles peuvent être activés séparément ou plusieurs à la fois.

Pour activer une version de rôle

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à activer.
   La page d'édition de rôles s'ouvrira sur l'onglet Détails.
2. Cliquez sur le bouton Activer au bas de la page.

Pour activer plusieurs versions de rôles:

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

   Sélectionez la session désirée dans la liste.
   La page de modélisation de rôle s'ouvrira sur l'onglet Détails. Dans la section Rôles, assurez-vous que tous les rôles que vous voulez activer sont dans la liste Rôles sélectionnés.

2. En haut de la page, cliquez sur le bouton Activer.

   Note

   Si tous les rôles que vous voulez activer ne sont pas dans la liste des rôles sélectionnés, vous pouvez les ajouter soit en créant les rôles manquants ou en ajoutant des rôles existants.

   Voir aussi Assigner des rôles à une session de modélisation pour plus de détails.

Supprimer une version de rôle ​

Pour supprimer une version de rôle:

1. Cliquez sur ACCÈS> Versions des rôles.

2. Dans la liste, sélectionnez sur la version de rôle que vous voulez supprimer

3. Cliquez sur le bouton .

   Note

   Les versions de rôle doivent être inactives pour être supprimées. Les versions de rôle actives ne peuvent pas être supprimées.

À propos de ségrégation de tâches ​

Les règles de ségrégation de tâches sont déterminées par les politiques organisationnelles. RAC/M Identity permet de définir et d'appliquer ces règles.

Les règles de ségrégation de tâches sont validées dans plusieurs circonstances. La logique d'affaire des indicateurs analyse périodiquement le contenu du référentiel pour détecter des anomalies et des situations à risque, dont la présence de violations de règles de ségrégation de tâches. Dans ce cas, les violations sont rapportées par des indicateurs et des boutons permettent de naviguer directement vers les situations problématiques afin de les résoudre rapidement.

Les règles sont aussi évaluées lors des campagnes de revues d'accès. Les violations peuvent être incluses dans des campagnes de révision d'accès. Les violations peuvent aussi être documentées par des rapports standards et personalisés.

De façon préventive, les règles de ségrégation de tâches sont aussi évaluées lors de requêtes d'accès en provenance du portail libre-service. Si une requête contient un ou plusieurs accès qui causent une violation de règle, la requête est automatiquement aiguillée vers un intervenant, ou son groupe de délégation, afin de résoudre le conflit.

Dans ce cas, la requête peut être acceptée conditionnellement ou par dérogation, rejetée ou modifiée selon ce qui est le plus approprié.

RAC/M Identity permet de définir la nature des règles de ségrégation de tâches en définissant des règles d'exclusion sur cing types d'objets et attributs:

• Actif : Par exemple, l'organisation n'autorise personne à posséder un compte dans l'application de saisie des commandes et dans l'application d'exécution des commandes.
• Groupe : Par exemple, un membre d'un groupe Active Directory représentant les contractuels externes ne peut être membre d'un groupe représentant les gestionnaires.
• Rôle : Par exemple, un membe du rôle gestionnaire ne doit pas avoir aussi le rôle de représentant syndical.
• Structure organisationnelle : Par exemple, une identité affectée au service des comptes clients ne doit pas être aussi affectée au service d'audit.
• Titre : Par exemple, une identité possédant le titre d'infirmière ne peut aussi détenir le titre de cardiologue.

Cette section présente les étapes permettant de créer une ou plusieurs règles de ségrégation des tâches ainsi que de les visualiser et les modifier.

Créer une règle de ségrégation de tâches ​

Pour créer une règle de ségrégation des tâches:

1. Dans le menu ACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

   

2. Sélectionnez la nature de la règle à créer en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

3. Cliquez sur l'onglet Définition.

4. En haut à droite de la page, cliquez sur le bouton . Dans la zone de texte Nom, incrivez le nom de la règle. Dans la zone de texte Description, incrivez une description décrivant cette règle. Dans la zone Groupe certificateur, double-cliquez pour ouvrir la liste ou incrivez le nom d'un groupe de délégation. Il s'agit du groupe de délégation qui sera responsable de la révision de cette règle de ségrégation d'accès. Dans les deux cases Item Mutuellement Exclus (l'item exclus dépend de l'onglet sélectionné à l'étape 2.), double-cliquez pour ouvrir la liste ou incrivez le nom des items qui doivent être mutuellement exclus.

5. Cliquez sur Enregistrer.

La règle est maintenant disponible dans la page de sélection Ségrégation des tâches, dans la liste de l'onglet de la catégorie sélectionnée (onglet Rôle dans notre exemple).

Éditer une règle de ségrégation des tâches ​

Pour modifier une règle

1. Dans le menuACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

2. Sélectionnez la nature de la règle à modifier en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

3. Cliquez sur la règle désirée pour ouvrir sa page de détails. Effectuez les modifications désirées

4. Cliquez sur Enregistrer au bas de la page pour sauvegarder vos modifications.

Générer plusieurs règles de ségrégation de tâches ​

Pour générer plusieurs règles de ségrégation des tâches:

1. Sur la page de détails Ségrégation des tâches, cliquez sur l'onglet Génération.

2. Cliquez sur l'onglet de la catégorie pour laquelle vous souhaitez créer des règles (reportez-vous à l'étape 3. de la procédure Créer une règle de ségrégation de tâches.

   

   Dans la liste Rôle (dans notre exemple), cliquez sur la flèche ou incrivez le nom pour ouvrir la liste, et sélectionnez le rôle à partir duquel d'autres règles de ségrégation seront créées.

   Dans la zone de texte Nom, incrivez le nom qui sera utilisé comme préfixe pour toutes les règles.

   Dans la zone de texte Description, incrivez la raison de ces règles.

   Dans la zone de texte Certificateur, incrivez le nom du groupe de délégation. Ce groupe sera responsable de la révision des règles.

   Sous Exclusion, dans la liste Rôles à exclure (dans notre exemple), incrivez le nom ou cliquez sur la loupe pour ouvrir la liste et sélectionner les rôles qui doivent être exclus du rôle que vous avez sélectionné comme "élément à isoler".

   Dans la liste de gauche, sélectionnez les rôles et cliquez sur la flèche pour les déplacer vers celle de droite.

   ![Page des détails de la ségrégation des tâches, sélection d'exclusion] (./media/Pg-Access_SegDuty-Gen-Role_Exclusion.png#inline-image)

3. Cliquez sur Générer.

   Les règles sont disponibles dans la page Segregation of Duties Details, dans la liste de l'onglet de la catégorie sélectionnée (onglet Role dans notre exemple).

   

   Pour modifier la configuration d'une règle, dans la liste, cliquez sur la règle pour ouvrir sa page de détails.

Créer une fonction supplémentaire ​

Une fonction supplémentaire est un mécanisme simple qui permet de refléter des responsabilités additionnelles ou complémentaires à celles correspondant aux rôles d'une personne dans l'entreprise. Par exemple, une personne peut se voir attribuer les responsabilités de "Chef d'équipe - développement" pendant une période déterminée ou indéterminée. Ce chapitre présente la procédure de création d'une fonction supplémentaire.

Pour créer une fonction supplémentaire:

1. Dans le menu ACCÈS, cliquez sur Fonctions supplémentaires.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sur la page Fonctions supplémentaires Détails, dans la zone de texte Nom, incrivez le nom de la fonction supplémentaire.

   

   Dans la zone de texte Description, incrivez une description de la fonction.

   Dans la zone de texte Identification d'objet externe, incrivez un identifiant unique correspondant à la nouvelle fonction supplémentaire. Cet identifiant constitue un nom technique qui doit être unique et permanent.

4. Cliquez sur Enregistrer.

   La fonction supplémentaire peut être ajoutée à une identité et utilisée par logique d'affaires pour assigner des rôles dynamiquement ou comme paramètre de filtre.

   

À propos de structure organisationnelle ​

Bien qu'il soit préférable de construire automatiquement la structure organisationnelle à partir des informations de références et de séquences de traitement, il est possible de la construire manuellement.

Cette section décrit comment définir manuellement la structure de votre organisation en décrivant les départements et divisions, la personne responsable de chaque niveau, ainsi que d'autres informations complémentaires telles que la localisation, les centres de coûts, etc.

RAC/M Identity dispose de trois éléments structurels avec lesquels il est possible de travailler, et de multiples niveaux d'organisations et de départements peuvent être ajoutés pour correspondre à votre organisation. Les éléments structurels sont les suivants :

• Entreprise : Cet élément structurel se trouve au sommet de la hiérarchie. Il correspond au niveau le plus élevé de votre organisation dans son ensemble.
• Organisation : Il s'agit d'une sous-catégorie de l'entreprise. Elle peut correspondre aux divisions d'une entreprise, aux différents campus d'une université, aux différents hôpitaux d'un même réseau de santé.
• Département : Il s'agit d'une sous-catégorie de l'organisation. Elle pourrait correspondre aux différents départements des divisions d'une entreprise, aux différents départements d'une université, etc. Dans l'exemple ci-dessous, elle correspond aux départements ou unités de l'hôpital.

Pour créer la structure organisationnelle: ​

1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

   

   Lorsque vous ouvrez la page, seule l'entreprise est affichée. Pour développer l'arbre, cliquez sur le signe plus à gauche des différents éléments de la structure. Lorsque vous sélectionnez un élément de la structure, ses détails apparaissent sur la droite.

   Note

   Bien que vous puissiez modifier les informations directement dans cette page, les modifications pourraient être perdues si la structure organisationnelle est mise à jour via une séquence.

2. Cliquez sur le + à droite des éléments présents pour ajouter d'autres éléments.

   La page Détails s'ouvre. Inscrivez les informations disponibles dans les champs appropriés.

   Note

   Bien que seuls les champs Nom, Type d'organisation et Nom de l'unité organiationnelle sont obligatoires, nous recommandons de renseigner les autres champs selon la disponibilités des informations. Plus la représentation de la structure organisationnelle est juste et complète, plus elle peut être utilisée par la logique d'affaires pour automatiser les processus.

   Par exemple, le champ Nom du gestionnaire est habituellement utilisé pour aiguiller le premier niveau du flux d'approbation des requêtes. Il est donc fortement recommandé de le renseigner, idéalement de façon automatisée de sorte à assurer la plus haute intégrité possible du référentiel de RAC/M Identity.

   Nom ​

   Entrez le nom de l'entité à ajouter

   Description ​

   Entrez une description pour l'entité à ajouter.

   Type d'organisation ​

   Sélectionnez le type d'entité à ajouter dans la liste déroulante. La nouvelle entité sera positionnée dans la structure organisationnelle selon le type d'entité sélectionné.

   Lieu de travail ​

   Slectionnez le lieu de travail où se situe la nouvelle entité. La liste des lieux de travail a été construite dynamiquement à partir des données importées dans le régférentiel.

   Nom de l'unité organisationelle... ​

   Inscrivez un nom unique pour référer à cette identité.

   Champs Identiifer et Extra ​

   Ces champs sont des champs libres qui peuvent être utilisés pour garder des informations pertinentes aux processus de GIA. Ces informations peuvent être utilisées par la logique d'affaires et les filtres pour guider les processus automatisés.

   Nom de gestionnaire ​

   Sélectionnez dans la liste déreoulante le nom du gestionnaire de la nouvelle entité. Cette liste a été construite dynamiquement à partir des données importées dans le référentiel.

   Date de dernière modification ​

   Ce champ, en lectue seulement, affiche la dernière date de modification de cette entité.

3. Cliquez sur Enregistrer pour sauvegarder la nouvelle entité.

Pour modifier la structure organisationnelle ​

1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

2. Sélectionnez l'item à éditer en cliquant sur l'item. La page de détails s'affiche à droite.

   Apportez les modifications désirées aux informations.

   Lors d'une modification, le champ Unité organisationnelle parente est affiché. Il indique l'unité organidationnelle parente de l'item en cours d'édition.

   Vous pouvez déplacer l'item sous une autre entité en la sélectionnant dans la liste déroulante.

3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de l'approvisionnement ​

Cette section décrit comment suivre la progression des flux de travail, des tâches et des requêtes d'approvisionnement découlant des requêtes d'accès provenant du portail libre-service ou d'autres sources.

Les divers écrans permettent de visualiser l'état des requêtes et sous re-requêtes, de diagnostiquer des problèmes potentiels et d'y remédier le cas échéant.

Vous pouvez visualiser l'état des requêtes par:

• Tâches, pour visualiser les tâches d'approbation ou de création/retrait/modification manuelles
• Requêtes, pour visualiser les requêtes d'accès faites par le portail libre-service
• Identités, pour visualiser les requêtes visant les identités
• Rôles, pour visualiser les requêtes visant les rôles
• Comptes, pour visualiser les requêtes visant les comptes
• Groupes, pour visualiser les requêtes visant l'ajout ou le retrait de groupes
• Demandes écrites, pour visualiser les requêtes demandées dans des champs libres dans le portail libre-service

Dans chaque écran, vous pouvez cliquer sur les liens pour naviguer la chaîne de requêtes et de sous-requêtes associées.

Tous les écrans affichent des informations similaires, mais les champs affichés varient selon la nature de la liste.

Pour visualiser la progression des requêtes en cours:

1. Dans le menu Approvisonnement, cliquez sur le type de requêtes que vous voulez visualiser. La liste des requêtes en cours s'affiche.

   

   Vous pouvez filtrer la liste des requêtes pour n'afficher que les requêtes en erreur par exemple, ou filtrer sur tout autre mot clé en utilisant la zone de recherche à droite de l'écran.

2. Cliquez sur les hyperliens pour naviguer dans la chaîne des requêtes et sous-requêtes

À propos des rapports ​

Cette section décrit comment générer des rapports standards, personnalisés et d'anomalies.

De plus, vous pouvez utiliser des outils de visualisation de données tels que Tableau, PowerBI et autres afin de générer des rapports et produire des tableaux de bord et des indicateurs personalisés.

Générer des rapports standards ​

RAC/M Identity offre plusieurs rapports standards.

Pour générer des rapports standards:

1. Dans le menu RAPPORTS, cliquez sur Rapports.

2. Dans la liste Rapports, sélectionnez le type de rapport que vous souhaitez générer. Une description du rapport apparaît dans la zone de texte Description. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

   

3. Cliquez sur Générer un rapport.

   Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

   

4. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports personnalisés ​

Si aucun des rapports standard ne répond à vos besoins, vous pouvez créer des rapports personalisés en utilisant le format JasperReport via l'interface iReport Designer.

Pour créer des rapports personnalisés, vous devez avoir une connaissance de base de SQL et de la syntaxe des requêtes. Vous devez également avoir accès au référentiel RAC/M, et il est aussi fortement recommandé que vous utilisiez un générateur de scripts SQL pour tester vos requêtes avant de les inscrire dans la boîte de dialogue Query Text de iReport Designer.

RAC/M Identity vous permet également d'ajouter des champs à la page Rapports. Ceux-ci sont utilisés comme critères supplémentaires lors de la génération du rapport personnalisé. Ces champs peuvent être :

• Une liste déroulante : Une liste déroulante est créée si le champ obtient ses données soit de la colonne Application_ID, soit de la colonne Application_Group_ID.
• Une zone de texte : Une zone de texte est créée si le champ reçoit ses données de n'importe quelle autre colonne.

Pour qu'un champ apparaisse dans l'interface RAC/M, assurez-vous que l'option Use as prompt est sélectionnée dans les paramètres du champ.

Pour plus d'informations sur iReport Designer ou JasperReport, veuillez vous reporter à leur documentation respective.

Pour générer un rapport personnalisé:

1. Dans le menu RAPPORTS, cliquez sur Rapports.

2. Dans la liste Rapports, sélectionnez Rapport personnalisé.

3. Dans la liste Rapport personnalisé, sélectionnez votre rapport personnalisé. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

4. Cliquez sur Générer le rapport.

   Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

5. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports d'anomalies ​

La liste des rapports standard comprend des rapports qui peuvent être utilisés pour examiner les anomalies. Voici des exemples de rapports à utiliser pour identifier des anomalies :

• Comptes associés à une identité avec un nom différent
• Comptes terminés entre deux dates
• Identités associées à une personne ayant une date de naissance différente
• Identités associées à une personne ayant un nom différent
• Identités enregistrées après la date de résiliation
• Identités avec des comptes multiples dans un actif donné
• Identités avec superviseur dans différents départements
• Identités sans superviseur
• Divergences d'identité
• Identité supprimée entre deux dates
• Etc.

Ces rapports sont générés de la même manière que les rapports standard (voir Génération de rapports standard).

À propos de la configuration de RAC/M Identity ​

RAC/M Identity est conçu pour être extrêment flexible et capable de s'adapter aux contextes d'affaires et technologiques de toutes les entreprises, qu'elles soient toutes petites ou très grandes, et ce, sans programmation, par simple configuration. C'est l'approche Low-Code/No-Code.

Cette section décrit comment configurer RAC/M Identity ainsi que les modules et les politiques constituant la logique d'affaires requise pour mettre en œuvre les traitements automatisés souhaités.

A cette fin, la fonction CONFIGURATION du menu principal vous-même permet de:

• Visualiser et éditer les fichiers de configuration de RAC/M Identity
• Créer, modifier, dupliquer et supprimer des modules (Gestionnaires de fichiers, Formateurs, Collecteurs, Extracteurs, Modules)
• Créer, modifier, dupliquer et supprimer des Blocs et des Séquences
• Créer, modifier et supprimer des Mappages
• Créer, modifier et supprimer des stratégies d'approvisionnement manuel
• Créer, modifier et supprimer des Connecteurs ICF
• Créer, modifier et supprimer des Politiques (de compte, de nom d'utilisateur et de mots de passe)
• Visualiser et éditer les courriels de notifications

Si la configuration des modules diffère selon leur nature, la mise à jour, l'exportation, l'importation, la duplication et la suppression restent les mêmes.

De plus, les modules peuvent être exécutés directement en cliquant sur le bouton Exécuter. Les résultats peuvent être visualisés au menu GESTION sous Exécution de séquences.

Afin d'alléger le texte, seules les instructions détaillées pour la création des modules seront fournies, les autres opérations étant similaires.

Pour plus d'informations sur ces tâches courantes, reportez-vous à Tâches de base.

Visualiser ou éditer un fichier de configuration ​

Pour visualiser ou éditer un fichier de configuration:

1. Dans le menu CONFIGURATION, cliquez sur Fichiers de configuration.

2. Dans la liste, sélectionnez le fichier que vous voulez visualiser ou éditer. Vous pouvez naviguer au début ou à la fin du fichier en utilisant les boutons en haut à droite.

   Vous pouvez visualiser le fichier en format brut un cliquant sur le bouton

   Apportez les modifications requises au fichier.

3. Cliquez sur Sauvegarder pour sauvegarder vos changements.

Créer un gestionnaire de fichiers ​

Les gestionnaires de fichiers sont utilisés pour transférer des fichiers entre RAC/M Identity et des serveurs, tels que les sites FTP. Ils peuvent utiliser différents protocoles de transfert, tel que FTPS, SFTP ou SCP ainsi que différents mécanismes d'authentification.

Ils peuvent aussi être utilisés pour manipuler des fichiers situés sur le système de fichiers local de votre instance de RAC/M Identity.

Pour créer un gestionnaire de fichiers:

1. Dans le menu CONFIGURATION, cliquez sur Gestionnaires de fichiers. La page Gestionnaires de fichiers s'ouvre.

   

2. En haut à droite de la page, cliquez sur le bouton .

   Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau gestionnaire de fichiers.

   Le nom doit être distinctif car il apparaîtra dans une liste de gestionnaires de fichiers.

   Dans la zone de texte Fichier source, incrivez le chemin d'accès au fichier source.

   Dans la zone de texte Fichier de destination, incrivez le chemin d'accès au fichier où les données seront déposées.

   Les fichiers à être traités doivent être déposés dans le répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.

   Dans la zone de texte Fichier d'erreur, incrivez le chemin d'accès du fichier d'erreur. Laissez vide pour utiliser le fichier d'erreur par défaut.

   Dans la zone de texte Description, incrivez une description de ce à quoi ce gestionnaire est utilisé.

   Sous Comportement en cas d'erreur cliquez sur l'option désirée:

   • Arrêter la séquence pour arrêter la séquence de traitement
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
   • Continuer avec l'opération suivante pour poursuivre le traitement

   Sous Primitive, dans la liste déroulante Nom, sélectionnez la Primitive que vous voulez utiliser.

   En général, les primitives dont le nom contient le mot External servent à transférer des fichiers entre un serveur externe et votre instance de RAC/M Identity, alors que les primitives dont le nom contient le mot Local servent à manipuler des fichiers sur le système de fichiers local de votre instance de RAC/M Identity.

   Les autres primitives servent à effectuer des traitements spécifiques, voir la description des primitives ou consulter le Guide de référence technique pour plus de détails.

   Si vous avez sélectionné une primitive dont le nom contient le mot External, telle que ModuleExternalSCPGet, ModuleExternalSCPPut, ModuleExternalSFTPMove, ou ModuleExternalSFTPMoveArchive, vous devez compléter les informations sous Connexion.

   Champ	Description
   Hôte	Entrez l'adresse IP ou le nom du serveur hôte.
   Port	Incrivez le port que vous devez utiliser pour vous connecter au serveur.
   Compte	Incrivez le nom d'utilisateur utilisé pour vous connecter au serveur.
   Mot de passe	Incrivez le mot de passe utilisé pour vous connecter au serveur.
   Clé privée	Entrez la clé privée utilisée par le serveur. Vous aurez généré cette clé à l'aide d'une application tierce.
   Clé publique	Inscrivez la clé publique utilisée pour se connecter au serveur. Vous aurez généré cette clé à l'aide d'une application tierce.
   Bouton Test	Cliquez sur ce bouton pour tester la connexion.

   Si vous avez sélectionné une primitive telle que ModuleIdentityEventHandler ou ModuleProfileEventHandler, vous devez compléter les informations sous Tables d'événements.

   Champ	Description
   Table d'événements cible	Sélectionnez la table RAC/M dans laquelle les données sont envoyées.
   Table d'événements source	Sélectionnez la table d'import dans laquelle les données sont obtenues.

   Sous MAPPAGE DE DONNÉES, inscrivez dans quels champs et comment les informations doivent être déposées si requis.

3. Au bas de la page, cliquez sur le bouton Enregistrer.

   La section ASSOCIATION AVEC LES BLOCS affiche la liste des séquences et des blocs dans lesquels ce gestionnaire de fichier est utilisé. La liste est vide lorsque le gestionnaire est créé.

Créer un formateur ​

Les formateurs sont utilisés pour traiter les données dans des fichiers CSV afin de les corriger ou de les transformer. Par exemple, les formateurs peuvent être utilisés pour décoder des champs encodés en BASE 64 ou en HEX, réparer et harmoniser des formats de date, manipuler, ajouter ou retirer des colonnes.

En général, les formateurs traitent un fichier CSV source en entrée et créent un fichier CSV résultat en sortie. Les formateurs peuvent aussi être utilisés pour convertir des fichiers plats en format CSV pour qu'ils puissent être traités par RAC/M Identity.

Pour créer un formateur :

1. Dans le menu CONFIGURATION, cliquez sur Formateurs.

   La page Formatteurs s'ouvre.

2. En haut à droite de la page, cliquez sur le bouton .

   Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau formateur. Le nom doit être distinctif car il apparaîtra dans une liste de formateurs.

   Dans la zone de texte Description, saisissez une description de l'utilisation de ce formateur.

   Dans la zone de texte Fichier des erreurs, incrivez le chemin d'accès à l'endroit où vous souhaitez enregistrer le fichier d'erreur. Laissez vide pour utiliser le fichier par défaut.

   Dans la zone de texte Séparateur, incrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).

   Dans la zone de texte Nbre Colonnes, incrivez le nombre de colonnes désirées dans le fichier CSV destination. Ceci servira de validation avant le traitement du fichier.

   Dans le champ Encodage du fichier, inscrivez le type d'encodage correspondant au fichier source. UTF-8 et ISO-8859-1 pour les fichiers .XLSX sont les plus fréquemment utilisés.

   Sous Comportement en cas d'erreur cliquez sur l'option désirée:

   • Arrêter la séquence pour arrêter la séquence de traitement
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
   • Continuer avec l'opération suivante pour poursuivre le traitement

   Sous Primitive, dans la liste Nom, sélectionnez le nom de la primitive à utiliser.

   Les primitives dont le nom contient les mots ToCSV sont utilisées pour convertir des fichiers LDIF, XLS, XLSX ou autres, en format CSV pour qu'ils puissent être traités par RAC/M Identity.

   Pour une description détaillée des primitives, voir le Guide de référence technique.

   Sous Sélection de fichiers, dans la zone de texte Fichier CSV source, inscrivez le chemin et le nom du fichier à traiter.

   Dans la liste déroulante Type, sélectionnez le type de fichier à traiter ou laissez à Détecter automatiquement pour laisser RAC/M Identity déterminer automatiquement le type de fichier à traiter.

   Dans la zone de texte Fichier résultat, incrivez le chemin et le nom du fichier CSV qui contiendra le résultat du formatage.

   Note

   Le chemin d'accès des fichiers CSV source et résultat doit être relatif au répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.

   Dans la liste Type d'en-tête, sélectionnez soit En-tête, soit Index.

   En-tête affichera le nom des colonnes alors qu'Index affichera le numéro des colonnes dans la section MAPPAGE DE DONNÉES ci-dessous.

   Dans la liste Fichier modèle source, sélectionnez le fichier modèle s'il y en a un de disponible, correspondant au fichier à traiter.

   Si un fichier modèle est sélectionné, la sélection du type d'en-tête s'applique au fichier modèle plutôt qu'au fichier source.

   Note

   Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

   Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

   Exemple: GRA-template.csv

   3. Cliquez sur le bouton Enregistrer avant de passer aux étapes suivantes.

   Cliquez sur le bouton Charger les en-têtes de colonnes des tables.

   La section MAPPAGE DE DONNÉES s'affiche.

   

   Dans la liste Expression régulière, dans la zone de texte située à côté de la colonne source qui doit être formatée, incrivez les paramètres requis par la primitive sélectionnée.

   Exemple

   Si vous utilisez une primitive pour supprimer une chaîne de caractères telle que le préfixe TH- du contenu d'une colonne, vous devez inscrire TH- dans la zone de texte Expression régulière située à côté de la colonne en question.

   Remarque

   Les paramètres qui peuvent être utilisés varient en fonction de la Primitive que vous avez sélectionnée. Pour plus d'informations sur les primitives et leurs paramètres, reportez-vous au Guide de référence technique.

3. Cliquez sur Enregistrer.

   Le formateur est créé.

Créer un collecteur ​

Les collecteurs sont utilisés pour importer les données d'un fichier CSV ou d'une source de données via un connecteur ICF vers une table d'import du référentiel RAC/M.

Dans tous les cas, les collecteurs permettent de faire le mappage des données de la source aux champs correspondants de la table d'import du référentiel de RAC/M Identity.

De plus, des traitements peuvent être appliqués lors de l'importation des données tels qu'insérer des constantes, combiner le contenu de plusieurs champs et plusieurs autres.

Collecteur pour un fichier CSV ​

Pour créer un collecteur afin d'importer des données depuis un fichier CSV:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Collecteur.

2. En haut à droite de la page, cliquez sur le bouton .

   Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur.

   Dans la zone de texte Description, incrivez la description de ce à quoi sert le collecteur.

   Dans les zones de texte Fichier de résultat et Fichier d'erreur, incrivez le chemin d'accès au répertoire où se trouve le résultat (fichier .log) de l'importation de données et le chemin d'accès au répertoire pour le fichier d'erreur (fichier .log).

   Dans la zone de texte Séparateur, incrivez le séparateur utilisé dans le fichier CSV.

   Le point-virgule ( ; ) est la valeur par défaut.

   Dans le champ Encodage du fichier, inscrivez le type d'encodage correspondant au fichier source. Par défaut, l'encodage est défini sur ISO-8859-1.

   Sous Comportement en cas d'erreur cliquez sur l'option désirée:

   • Arrêter la séquence pour arrêter la séquence de traitement
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
   • Continuer avec l'opération suivante pour poursuivre le traitement

3. Au bas de la page, cliquez sur le bouton Enregistrer.

   Le collecteur est ajouté à la liste de la page Détails Collecteurs.

   

   Sous Primitive, dans la liste Nom, sélectionnez la primitive à utiliser.

   Les primitives dont le nom contient CSV servent à importer des données à partir d'un fichier CSV dans le référentiel de RAC/M Identity. Ces primitives permettent aussi de déterminer comment traiter le fait que des données existent déjà ou non dans les tables d'import.

   Exemple

   La primitive

   • ModuleCSVUpdateOrInsertTable mets à jour des données existantes dans une table d'import et les créée si elles n'existent pas déjà
   • ModuleCopyCSVToTable les insère mais ignore les données existantes
   • ModuleCSVUpdateTable mets à jour les données existantes mais ne les créée pas si elles existent déjà dans la table d'importation.

   

   Pour plus d'informations sur les primitives veuillez consulter le Guide de référence technique.

   Sous Importation de données, entrez les informations comme suit :

   Table cible ​

   Dans la liste, sélectionnez la table d'import dans laquelle vous souhaitez importer les données.

   Les tables d'import ont le mot IMPORT dans leur nom.

   (Pour plus d'informations sur les tables d'import, reportez-vous à Description de la table d'import).

   Fichier source ​

   Dans la liste, sélectionnez le fichier CSV que vous souhaitez importer. Pour notre exemple /RH/*.csv.

   Fichier source modèle ​

   Dans la zone de texte Fichier modèle de la source, sélectionnez-le.

   Les fichiers modèles servent à définir la structure du fichier en termes de colonnes. Ils peuvent être de type CSV, XLSX, ou XLS. Ils doivent être déposés dans le répertoire déterminé dans le fichier de cnfiguration config.properties. De plus, les fichiers modèles peuvent contenir une première ligne d'entête ou non.

   Type d'en-tête de colonne ​

   Dans la liste, sélectionnez Header pour remplir la table en utilisant le nom de l'en-tête ou Index en utilisant le numéro d'index. Pour notre exemple, Header.

4. Au bas de la page, cliquez sur Enregistrer.

5. Cliquez sur le bouton Charger des colonnes à partir de la table et des fichiers source.

   Vous pouvez maintenant mapper les données importées à la table RAC/M dans la section Mappage des données.

   Sous Data Mapping, faites correspondre les données selon les paramètres suivants :

   Colonne de la table cible ​

   Ces valeurs représentent les titres des colonnes de la table RAC/M.

   Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source.

   Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

   

   Type de source de données ​

   Dans cette liste, vous sélectionnez quel sera le type de données qui alimentera la colonne.

   • Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur.

   Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".

   • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est extraite de la sélection effectuée dans la liste Colonne source. Veillez à faire correspondre les formats de date.

   Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.

   • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur.
   • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source.
   • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
   • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
   • Nom_du_fichier : Importe le nom du fichier sélectionné dans la liste Fichier source de la section Importation de données.
   • Column-Hashed : La valeur est hachée pour s'adapter à l'espace alloué dans le tableau.
   • Column_Mask : Une partie de la valeur est masquée à l'aide d'une expression définie dans la zone de texte Constante. Par exemple, pour une valeur source de 00430022887, vous obtiendrez *******2887 si vous utilisez le masque suivant : ^d(7)[a-zA-Z0-9] ou 0043002**** si vous utilisez : [a-zA-Z0-9].{3}$.

   Colonne source ​

   Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous voulez importer les données.

   Constante/Valeur ​

   Si vous avez sélectionné Constante ou Colonne_Avec_Défaut comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

   Format ​

   Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide.

   Par exemple, une date peut avoir la chaîne yyyy-mm-dd.

   Unique ​

   Cochez cette case si la valeur doit être unique.

6. Cliquez sur Enregistrer.

Collecteur pour un connecteur ICF ​

Pour configurer un collecteur afin d'importer des données depuis un connecteur ICF:

1. Dans la barre de menu, cliquer sur CONFIGURATION> Collecteurs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur.

4. Dans la zone de texte Description, incrivez la description de ce à quoi sert le collecteur.

5. Dans les zones de texte Fichier de résultat et Fichier d'erreur, incrivez le chemin d'accès au répertoire où se trouve le résultat (fichier .log) de l'importation de données et le chemin d'accès au répertoire pour le fichier d'erreur (fichier .log).

6. Dans la zone de texte Séparateur, incrivez le séparateur utilisé dans le fichier CSV.

   Le point-virgule ( ; ) est la valeur par défaut.

7. Dans la zone de texte Encodage du fichier, incrivez l'encodage utilisé s'il n'est pas UTF8.

8. Sélectionnez la façon dont vous souhaitez que la séquence se déroule si une erreur se produit en utilisant ce module.

9. Au bas de la page, cliquez sur le bouton Enregistrer. Le collecteur est ajouté à la liste Name de la page Collecteurs Details.

10. Sous Primitive, dans la liste Nom, sélectionnez un module d'importation.

    Vous pouvez utiliser un module prêt à l'emploi ou un module que vous avez configuré vous-même (voir Configuration d'un module. Pour notre exemple, sélectionnez ModuleICFImportData.

En fonction de votre choix de module, différentes options d'importation sont disponibles.

11. Sous Importation de données, entrez les informations requises comme suit : Les paramètres disponibles diffèrent selon votre choix de module d'importation.

12. Sous Data Mapping, faites correspondre les données selon les paramètres suivants :

    Colonne RAC/M ​

    Ces valeurs représentent les en-têtes de colonne de la table RAC/M. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

    

    Data Source Type ​

    Dans cette liste, vous choisissez quel sera le type de données qui alimentera la colonne.

    • Constant : Le mappage utilisera la valeur que vous avez spécifiée dans la zone de texte Constant/Valeur. Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".
    • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est extraite de la sélection effectuée dans la liste Colonne source. Veillez à faire correspondre les formats de date. Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.
    • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur.
    • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne.
    • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
    • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
    • File_Name : Importe le nom du fichier sélectionné dans la liste Fichier source de la section Importation de données.

    Attribut du système cible. ​

    Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez importer les données. Les éléments de la liste ont été importés depuis le serveur connecté au connecteur ICF sélectionné lorsque vous avez cliqué sur le bouton Charger l'attribut du système cible.

    Constant/Valeur ​

    Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

    Format ​

    Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Dans notre exemple, incrivez la façon dont la date est saisie dans le fichier source (cela pourrait être yyyy-mm-dd).

    Unique ​

    Cochez cette case si la valeur doit être unique.

13. Cliquez sur Enregistrer.

Configurer un extracteur ​

Les extracteurs sont utilisés pour extraire les données du référentiel d'identités et d'accès RAC/M et les convertir dans un format standard (par exemple, un fichier CSV).

Pour configurer un extracteur:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Extracteur.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouvel extracteur. Le nom doit être distinctif car il apparaîtra dans une liste d'extracteurs.

4. Dans la zone de texte Description, saisissez une description de l'utilisation de cet extracteur.

5. Dans la zone de texte Fichier d'erreur, saisissez le chemin d'accès à l'endroit où vous souhaitez enregistrer le fichier d'erreur.

6. Dans la zone de texte Séparateur, incrivez le type de séparateur que vous voulez utiliser (par exemple, : (deux points), | (pipe), ; (point-virgule), etc.)

7. Dans la zone de texte Codage du fichier, si vous voulez que le fichier soit codé, incrivez le type de codage.

8. Sous Comportement en cas d'erreurs, choisissez la façon dont vous voulez que RAC/M réagisse lorsqu'une erreur d'extraction se produit.

9. Au bas de la page, cliquez sur le bouton Enregistrer.

10. Sous Primitive, dans la liste Nom, sélectionnez un module d'extraction.

    Pour notre exemple, sélectionnez ModuleTableToCSV.

10. Sous Importation de données, saisissez les informations requises comme suit :

11. Cliquez sur Enregistrer.
12. Cliquez sur le bouton Charger les colonnes de la table à partir du CSV pour remplir la zone de mappage des données.
13. Utilisez la section Critères pour ajouter des filtres à l'extraction.

Pour ajouter un filtre, cliquez sur le bouton Add.

14. Sous Mappage des données, faites correspondre les données selon les paramètres suivants :

    Colonne RAC/M ​

    Ces valeurs représentent les en-têtes de colonnes de la table RAC/M. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.

    

    Type de source de données ​

    Dans cette liste, vous sélectionnez quel sera le type de données qui alimentera la colonne.

    • Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur. Par exemple, la colonne HR_Work_Location_Name pourrait toujours être "Downtown Office".
    • Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est sélectionnée dans la liste Colonne source. Veillez à faire correspondre les formats de date. Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source.
    • Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la valeur. Zone de texte Constant/Valeur.
    • Colonne : Le mappage utilisera la sélection faite dans la liste Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne.
    • Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place.
    • Cur_Time : Le mappage utilisera l'heure actuelle comme valeur.
    • File_Name : Le mappage utilisera le nom du fichier source comme valeur.

    Colonne source ​

    Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez importer les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.

    Constante/Valeur ​

    Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.

    Format ​

    Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Par exemple, une date peut avoir la chaîne yyyy-mm-dd.

    Unique ​

    Cochez cette case si la valeur doit être unique.

Configurer un module ​

Chaque module correspond à l'une des logiques d'entreprise de l'organisation, qui est un processus de base utilisé pour manipuler les données dans le référentiel d'identités et d'accès. Le module le plus courant prend les données de la table de mise en attente et les transfère dans la table RAC/M.

Les modules peuvent ensuite être regroupés pour créer des blocs.

Pour obtenir une liste complète des modules prédéfinis et des primitives, reportez-vous au Guide de référence technique.

Pour configurer un module:

1. Dans le menu CONFIGURATION, cliquez sur Modules.
2. En haut à droite de la page, cliquez sur le bouton .
3. Entrez les informations requises comme suit :
4. a) Sous Détails :

Nom ​

Incrivez le nom que vous voulez donner au module. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres modules.

Description ​

Saisissez une description du module. Cela vous aidera à savoir ce qu'il fait.

Fichier de résultats ​

Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que les résultats de l'exécution (un fichier .log) soient enregistrés. Le fichier est enregistré dans : Identité RACM/logs.

Fichier d'erreur ​

Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que le fichier d'erreur (un fichier .log) soit enregistré. Le fichier est enregistré dans : Identité RACM/logs.

Comportement en cas d'erreurs ​

Sélectionnez la manière dont vous souhaitez que RAC/M réagisse lorsqu'une erreur d'importation se produit.

3. b) Sous Primitive :

Nom ​

Dans la liste, sélectionnez le segment de code de base que le module doit utiliser pour effectuer sa tâche. >Pour obtenir une liste de ces segments (ou primitives), reportez-vous au *Guide de référence technique.

3. c) Sous Portée :

Colonne de critères ​

Incrivez le titre de la colonne que vous voulez utiliser comme filtre.

Opération ​

Incrivez "=" si vous voulez que le filtre soit égal à une valeur spécifique.

Valeur ​

Saisissez la valeur du filtre. Si vous saisissez du texte (ou une chaîne de caractères), veillez à l'entourer de guillemets simples (par exemple, 'Infirmière'). Vous pouvez utiliser le format de requête SQL pour utiliser des valeurs plus avancées.

3. d) Sous Sélection des tableaux :

Table cible ​

Dans la liste, sélectionnez la table du référentiel d'identités et d'accès dans laquelle vous souhaitez importer les données de la table de transit. Si vous utilisez le module pour manipuler les données sans nécessairement les importer dans le référentiel (par exemple, pour trouver les comptes qui ne sont pas fiables), laissez cette liste vide. Dans ce cas, la section de mappage des données n'apparaîtra pas.

Table source ​

Dans la liste, sélectionnez la table d'import à partir de laquelle vous souhaitez importer les données. Si vous utilisez le module pour effectuer des tâches de normalisation ou de corrélation, le fichier source sera une table située dans le référentiel RAC/M.

Charger les titres des colonnes à partir des tableaux ​

Si vous êtes prêt à importer les données, cliquez sur ce bouton pour charger les colonnes de la table de transit vers la table RAC/M. Le tableau de données s'ouvre sous MAPPAGE DES DONNÉES. Utilisez le tableau pour mapper les données ; si aucun mappage n'est nécessaire, descendez jusqu'au bas de la page et cliquez sur Enregistrer.

Le module est créé et ajouté à la liste des modules.

Configurer un bloc ​

Les blocs sont constitués de composants, qui peuvent être des formateurs, des collecteurs ou des modules. Lorsque ces composants sont assemblés pour effectuer une tâche, ils deviennent des blocs.

Lorsque des tâches plus élaborées doivent être exécutées, les blocs peuvent être regroupés pour former des séquences.

Pour configurer un bloc:

1. Dans le menu CONFIGURATION, cliquez sur Blocs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom que vous voulez donner au bloc. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres blocs.

4. Dans la zone de texte Description, incrivez une description du bloc. Cela vous aidera à savoir ce qu'il fait.

5. Sous Composants sélectionnés, cliquez sur un composant à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre bloc.

   Lorsqu'un composant est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier est affichée). Pour sélectionner plusieurs composants dans un même groupe, utilisez la touche Ctrl.

Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

Vous pouvez continuer à travailler sur votre bloc en ajoutant, supprimant et modifiant des composants :

Pour déplacer les composants vers le haut et le bas de la liste Composants sélectionnés, utilisez les boutons et . Ceci détermine l'ordre dans lequel les composants sont exécutés.

Pour désactiver temporairement un composant spécifique, sélectionnez le composant et cochez la case Disable.

Pour modifier un composant, sélectionnez le composant et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

Configurer une séquence ​

Les séquences sont une collection de blocs qui sont exécutés afin d'accomplir un processus.

Pour configurer une séquence:

1. Dans le menu CONFIGURATION, cliquez sur Séquences.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom que vous voulez donner à la séquence. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres séquences.

4. Dans la zone de texte Description, incrivez une description de la séquence. Cela vous aidera à savoir ce qu'elle fait.

5. Dans les zones de texte Messagerie(s) de notification et Messagerie(s) d'échec, incrivez les adresses électroniques des identités qui doivent être notifiées lorsque la séquence a été exécutée et celles qui doivent être notifiées si une erreur se produit pendant l'exécution d'une séquence.

6. Dans la zone de texte Schedule, incrivez la chaîne de programmation. La chaîne comprend 6 champs obligatoires et 1 champ facultatif. Chaque champ est séparé par un espace blanc.

   Champ	Valeurs autorisées	Caractères spéciaux autorisés
   	Secondes	0-59
   Minutes	0-59	, - * /
   Heures	0-23	, - * /
   		Jour du mois
   Mois	1-12 ou JAN-DEC	, - * /
   Jour de la semaine	1-7 ou DIM-SAT	, - * ? / L ##
   Année (facultatif)	Empty, 1970-2199	, - * /

   • * (astérisque) spécifie toutes les valeurs. Par exemple, dans le champ Minutes, il signifie "chaque minute".
   • ? (point d'interrogation) est utilisé pour les champs Jour du mois et Jour de la semaine. Il indique "aucune valeur spécifique", ce qui est utile lorsque vous devez spécifier quelque chose dans l'un des deux champs et pas dans l'autre.
   • - (trait d'union) spécifie une plage. Par exemple, 10-12 dans le champ Heures signifie les heures 10 à 12 incluses.
   • , (virgule) spécifie des valeurs supplémentaires. Par exemple, dans le champ Jour de la semaine, LUNDI, MERCREDI, VENDREDI signifie que les jours lundi, mercredi et vendredi sont programmés.
   • / (barre oblique) spécifie l'incrément. Par exemple, dans le champ Secondes, 0/15 signifie que la séquence sera exécutée toutes les 0, 15, 30 et 45 secondes ; si 5/15, elle le sera toutes les 5, 20, 35 et 50 secondes".
   • L (pour last) a une signification différente dans chacun des deux champs dans lesquels il est autorisé. Par exemple, dans le champ Day of the month, il signifie le dernier jour du mois. En revanche, dans le champ Jour de la semaine, il signifie à lui seul 7 ou SAT. Mais dans le champ Jour de la semaine après une autre valeur, il signifie le dernier jour du mois (par exemple 6L signifie le dernier vendredi du mois ; le samedi étant le 7).
   • W (pour weekday) indique le jour de semaine (du lundi au vendredi) le plus proche du jour donné. Par exemple, si vous spécifiez 15W pour le champ Day of the month, cela signifie "le jour de semaine le plus proche du 15 du mois". Ainsi, si le 15 est un samedi, le déclencheur sera le vendredi 14. Si le 15 est un dimanche, le déclencheur sera le lundi 16. Si le 15 est un mardi, le déclenchement aura lieu le mardi 15. Toutefois, si vous spécifiez 1W dans le champ Day of the month et que le 1er est un samedi, le déclenchement aura lieu le lundi 3. le lundi 3 ; il n'y aura pas de "saut" d'un mois à l'autre.
   • ## (dièse ou dièse) spécifie le "n "ième "jj" jour du mois. Par exemple, dans le champ Jour de la semaine, 6##3 signifie "le troisième vendredi du mois" (le 6e jour étant un vendredi et ##3 = le 3e du mois).

7. Sous Blocks, cliquez sur un bloc à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre séquence.

   Lorsqu'un bloc est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier s'affiche). Pour sélectionner plusieurs composants d'un même groupe, utilisez la touche Ctrl.

Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

Vous pouvez continuer à travailler sur votre séquence en ajoutant, supprimant et modifiant des blocs :

Pour déplacer les blocs vers le haut et le bas de la liste des Composants sélectionnés, utilisez les boutons et . Cela détermine l'ordre dans lequel les blocs sont exécutés.

Pour désactiver temporairement une séquence, sous Détails, cochez la case Désactiver la séquence.

Pour modifier un bloc, sélectionnez le bloc et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

Voici une description des possibilités dont vous disposez pour mapper les données sources et les données de sortie. Dans la barre de menu, cliquez sur CONFIGURATION> Mappages.

Titres ​

Les titres sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un titre soit affiché différemment, vous devez modifier son nom de sortie.

Dans la liste Nom technique, sélectionnez le titre pour lequel vous souhaitez un nom de sortie différent. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom d'affichage. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

Cliquez sur Enregistrer.

::: Note d'avertissement Si, pour une raison quelconque, vous devez créer un titre entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. :::

Statut du compte ​

Les statuts de comptes sont importés pour les actifs et les comptes. Toutefois, les organisations peuvent avoir plusieurs statuts de compte, alors que RAC/M n'en a que quelques-uns. Vous devez donc attribuer un statut RAC/M à chacun des statuts de l'organisation.

Cela doit être fait lors de la toute première importation de données et chaque fois qu'un nouveau statut est créé par l'organisation.

Dans la liste Nom de l'affichage, sélectionnez le statut pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire.

La sélection que vous faites ici deviendra l'identité du statut RAC/M.

Pour voir le statut de l'identité d'origine, cliquez sur GENS> Identité, et cliquez sur l'identité pour ouvrir sa page de détails.

Le statut original de l'identité

Ensuite, dans la liste Nom effectif, sélectionnez le statut RAC/M.

Cliquez sur Enregistrer.

::: Note d'avertissement Si, pour une raison quelconque, vous devez créer un statut entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. S'il s'agit du statut par défaut, cochez la case Statut par défaut. :::

Type d'emploi ​

Les types d'emploi sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un type d'emploi s'affiche différemment différent, vous devez modifier son nom de sortie.

Dans la liste Nom d'affichage, sélectionnez le type d'emploi pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

::: Note d'avertissement Si pour une raison quelconque, vous devez créer un tout nouveau type d'emploi, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. :::

Catégories ​

Les catégories sont utilisées lors de la création et de l'importation de biens. Elles vous permettent de définir le niveau du système ou de l'application.

Pour modifier la description, dans la liste Nom d'affichage, sélectionnez la catégorie pour laquelle vous souhaitez modifier la description et, dans la zone de texte Description, incrivez la nouvelle. Cliquez sur Enregistrer.

Si vous avez besoin d'une nouvelle catégorie, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer.

Tags ​

Les tags sont utilisés pour vous aider à trier les comptes. C'est utile pour faire correspondre les comptes et les identités, surtout si la liste des comptes est très longue. Les balises peuvent également vous aider à créer des groupes de travail pour les identités présentant des caractéristiques similaires.

Pour ajouter une balise à un compte ou à une demande de provisionnement, cliquez sur le bouton situé en haut à droite de la page. Sélectionnez soit Compte soit Demande d'approvisionnement et, dans la liste Nom d'affichage, incrivez ou sélectionnez un nom de balise. Incrivez une description dans la zone de texte Description et cliquez sur Enregistrer.

Sources ​

Les sources sont utilisées dans la page Identité. Elles vous permettent d'identifier la source d'identité utilisée pour créer une identité.

La page Mappings vous permet de lier la source à un système cible, le cas échéant, ou de créer de nouvelles sources.

Pour lier une source, dans la liste Nom de l'affichage, sélectionnez le nom de la source du fichier que vous voulez lier à un système cible. Dans la zone de texte Description, incrivez une description. Ensuite, incrivez la valeur associée des données importées dans la zone de texte Nom technique.

Si les données sont importées via un connecteur, sélectionnez-le dans la liste Connecteur ICF.

Cliquez sur Enregistrer.

Si vous devez créer une nouvelle source, cliquez sur le bouton situé en haut à droite de la page, saisissez les informations relatives à la source et cliquez sur le bouton Enregistrer.

Attributs étendus ​

Les attributs étendus apparaissent dans diverses pages. Ils vous permettent d'ajouter des attributs qui vous aideront à relier les différents objets à la bonne personne.

Pour ajouter un attribut étendu, cliquez sur l'onglet attribut et cliquez sur le bouton situé en haut à droite de la page.

Dans la zone de texte Nom d'affichage, incrivez le nom de l'attribut. Dans la zone de texte Description, incrivez une description puis incrivez un nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

S'il doit s'agir d'une clé d'identification unique, cochez la case Is Unique Key. Pour permettre la modification de l'attribut, sélectionnez la zone de texte L'attribut peut être modifié.

Cliquez sur Enregistrer.

L'attribut est ajouté à la liste Nom de colonne des tables de mappage. Il est également ajouté à la page de détails de l'objet (onglet en haut).

Configurer un connecteur ICF ​

Veuillez vous référer au guide Connecteurs ICF pour plus d'informations.

Configurer les politiques ​

RAC/M a la possibilité de créer automatiquement des comptes pour les identités lors du provisionnement. Pour ce faire, vous devez créer 3 politiques : mot de passe, compte, et nom d'utilisateur.

Définir les politiques de mot de passe ​

Ces politiques sont spécifiquement utilisées pour définir comment le mot de passe d'un nouveau compte sera construit.

Pour définir les politiques de mot de passe:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Politiques de mots de passe.
2. En haut à droite de la page, cliquez sur le bouton .
3. Sous Détails, dans la zone de texte Nom, incrivez un nom pour la politique de mot de passe.

4. Dans la zone de texte Description, incrivez la description de la politique.
5. Sous Paramètres, saisir les informations comme suit ;

6. Cliquez sur Enregistrer.

Définir les politiques de compte ​

Il s'agit de politiques globales qui sont utilisées pour déterminer comment les demandes de provisionnement seront effectuées. Ces paramètres sont généralement configurés lorsque vous commencez à utiliser RAC/M Identity pour votre organisation ou lorsque vous intégrez une nouvelle application.

Ces politiques s'appliquent à toutes les demandes de d'approvisionnement que vous pouvez consulter dans la section de menu APPROVISIONNEMENT.

Pour définir une politique de compte:

1. Dans la barre de menu, cliquez sur le bouton CONFIGURATION> Politiques de compte.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Politiques, dans la zone de texte Nom, incrivez le nom de la politique.

4. Dans la zone de texte Description, incrivez une description.

5. Dans la liste Database, sélectionnez soit Config soit Data. Config est si vous avez besoin d'une politique pour une application de configuration et Data pour une base de données.

6. Dans la liste Nom de la table, sélectionnez la table RAC/M pour laquelle la politique s'appliquera. Les choix diffèrent en fonction de la sélection effectuée dans la liste Database.

7. Cliquez sur le bouton Enregistrer en bas de la page.

8. Sous Options, dans la zone de texte Identification RAC/M, incrivez le numéro d'identification généré par RAC/M pour identifier l'actif pour lequel vous voulez créer un compte. Vous pouvez trouver le numéro d'identification sur la page Actifs> Actifs> asset name Details sous Object ID.

9. Sélectionnez un ou plusieurs des paramètres suivants :

   Groupe de remplacement à l'activation du compte ​

   Les accès précédents seront remplacés par les nouveaux lors de la réactivation du compte. Cependant, les accès actuels resteront les mêmes.

   Active Directory ​

   Indique que vous travaillez avec Active Directory. Ceci est nécessaire pour la découverte de l'affectation des groupes.

   Remplacer le groupe lors de la modification du compte ​

   Les accès précédents seront remplacés par les nouveaux lors de la modification du compte.

10. Sous Configuration, dans la liste Politique de mot de passe, sélectionnez le mot de passe que vous avez défini dans la section Définition des politiques de mot de passe.

11. Cliquez sur Enregistrer.

Définir les politiques de nom d'utilisateur ​

Ces politiques sont spécifiquement utilisées pour définir la manière dont le nom d'utilisateur sera construit.

Pour définir les politiques de nom d'utilisateur:

1. Dans la barre de menu, cliquez sur CONFIGURATIN> Politiques de nom d'utilisateur.

2. Sous Politique, procédez comme suit :

   2. a) Dans la liste Nom, sélectionnez le compte pour lequel vous voulez définir les politiques de nom d'utilisateur.

   Reportez-vous à la section Definir les politiques de compte. 2. b) Dans la liste Tableau source, sélectionnez le tableau à partir duquel les données de l'utilisateur seront prises.

   Il s'agit généralement de la table Application_Account. 2. c) Dans la liste Target Table, sélectionnez la table dans laquelle le nom d'utilisateur sera enregistré.

   Il s'agit généralement de la table Application_Account,

3. Cliquez sur le bouton Enregistrer en bas de la page.

4. Sous Target Table, entrez les informations requises.

Champ	Description
Colonne source	Dans la liste, sélectionnez la colonne de la source qui contient les données que vous voulez utiliser pour créer le nom d'utilisateur.
Source de données	Dans la liste, sélectionnez le type de source de chaque colonne. Constant : Le mappage utilisera la valeur que vous spécifiez dans la zone de texte Constante/Valeur. Par exemple, la colonne RAC/M HR_Work_Location_Name pourrait toujours être "Downtown Office". Date : Le mappage utilisera le format de date que vous spécifiez dans la zone de texte Format. La date est tirée de la sélection effectuée dans la liste Colonne source. Assurez-vous de faire correspondre les formats de date. Par exemple, la colonne Hire_Date_Str pourrait afficher la date qui a été saisie dans la colonne "Hire date" du fichier source. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur. Colonne : Le mappage utilisera la sélection effectuée dans la liste Colonne source. Par exemple, la colonne RAC/M HR_Empl_Status_ID pourrait prendre sa valeur à partir de la colonne Status du fichier source. Colonne_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place. Cur_Time : Le mappage utilisera l'heure actuelle comme valeur. File_Name : Le mappage utilisera le nom du fichier source comme valeur. Column-Hashed : La valeur est hachée pour s'adapter à l'espace autorisé dans le tableau. Column_Mask : Une partie de la valeur est masquée à l'aide d'une expression définie dans la zone de texte Constante. Par exemple, pour une valeur source de 00430022887, vous obtiendrez ******2887 si vous utilisez le masque suivant : ^d(7)[a-zA-Z0-9] ou 0043002**** si vous utilisez : [a-zA-Z0-9].{3}$.
Colonne cible	Dans la liste, sélectionnez la colonne dans laquelle le nom d'utilisateur sera créé. Il s'agit généralement de Nom_du_compte.
Value	Si la source de données est Constante, incrivez la valeur de la constante dans cette zone de texte.
Nombre de caractères	Incrivez le nombre de caractères (en commençant par le début) que vous voulez utiliser à partir des colonnes sources. Par exemple, vous pourriez utiliser les deux premières lettres du prénom.
Regex	Cette zone de texte vous permet d'utiliser une syntaxe plus avancée au format Expression régulière.
Bouton "Ajouter une politique d'identification d'utilisateur" : cliquez sur ce bouton pour ajouter une nouvelle politique.
Boutons et	Ces boutons déplacent les politiques vers le haut ou le bas. Les politiques sont appliquées l'une après l'autre de haut en bas.

Politique de collision des noms d'utilisateur ​

Si vous pensez que certains noms d'utilisateur peuvent finir par être identiques (par exemple, si vous utilisez les deux premières lettres du prénom et les deux premières lettres du nom de famille ainsi qu'un numéro), vous pouvez créer des politiques de collision pour modifier le numéro ajouté. Pour ce faire, cochez la case Afficher la section de collision de l'ID utilisateur.

5. Cliquez sur le bouton Enregistrer.

Consolidation des courriels d'approvisionnement ​

Les courriels qui sont envoyés lorsqu'une demande d'approvisionnement est traitée sont consolidés. Cela permet de réduire le nombre de courriels reçus par les utilisateurs.

La consolidation se fait par destinataire et par cible de la demande. Autrement dit, chaque courriel consolidé contient l'ensemble des demandes d'approvisionnement pour un destinataire et une cible donnés.

Par exemple, si un même utilisateur fait plusieurs demandes d'ajout et de retrait d'accès pour la même identité, il recevra un courriel contenant les informations sur toutes ces demandes et, selon la configuration en place, un courriel contenant les mots de passe. De la même façon, la cible de ces demandes recevra un courriel consolidé contenant les informations sur toutes les demandes le concernant.

Dans le cas où un utilisateur fait plusieurs demandes pour différentes identités, il recevra un courriel par identité cible, chacun contenant les informations sur toutes les demandes pour cette identité. Quant aux cibles de ces demandes, celles-ci recevront un courriel consolidé contenant tous les accès qui les concernent.

Il en va de même pour tous les destinataires pour une demande d'approvisionnement, soit le demandeur, la cible, le superviseur de la cible et les membres du groupe de notification.

Veuillez vous référer à la section Notification d'approvisionnement pour plus d'informations sur la configuration de ces notifications.

Configuration de la logique d'envoi ​

Lorsqu'une demande d'approvisionnement est traitée, les notifications sont ajoutées à la file d'attente.

Une tâche automatisée vérifie régulièrement (en fonction de la configuration mail.consolidation.job.quartz) la file d'attente et envoie les courriels consolidés au moment opportun, selon la configuration en place.

Tant que des notifications sont créées régulièrement pour un même destinataire, elles ne sont pas envoyées. Cela permet d'éviter d'envoyer les courriels consolidés avant que toutes les demandes n'aient été traitées.

La tâche détecte si des notifications ont été ajoutées à la file d'attente récemment (il s'agit du paramètre mail.consolidation.min.delay.seconds). Si c'est le cas, elle n'envoie pas de courriel pour ce destinataire. Lorsqu'aucune notification n'a été ajoutée à la file d'attente depuis ce délai, la tâche envoie un courriel consolidé pour ce destinataire.

Afin d'éviter que des notifications s'accumulent indéfiniment dans la file d'attente sans être envoyées, la tâche vérifie également si la notification la plus ancienne pour un destinataire existe depuis plus d'un certain temps (il s'agit du paramètre mail.consolidation.max.delay.seconds). Cela pourrait arriver, par exemple, dans le cas du traitement d'un très grand nombre de demandes. Si c'est le cas, elle envoie les courriels consolidés pour ce destinataire.

Quatre paramètres permettent de configurer la logique d'envoi :

Nouvelle tentative d'envoi de courriels ​

Lors de l'échec de l'envoi d'un courriel, RAC/M Identity peut réessayer d'envoyer le courriel dans le futur.

Cette fonctionnalité est paramétrisable dans le fichier de configuration via ces trois paramètres: