Guide de l'administrateur

Les sections suivantes décrivent comment utiliser la console de gestion de RAC/M Identity pour effectuer les tâches d'exploitation de votre service de GIA ainsi que comment configurer et administrer la solution.

Les divers sujets sont présentés dans l'ordre général du menu principal de la console de gestion.

Note

Les instructions suivantes assument que vous êtes connectés à la console de gestion de RAC/M Identity avec un compte administrateur possédant les droits suffisants.

Voir Se connecter pour la première fois pour plus d'informations.

À propos des opérations

RAC/M Identity est conçu pour fonctionner de façon complètement automatisée, avec un minimum d'efforts requis des pilotes et administrateurs de la solution. Une fois configurée et rodée, la logique d'affaires permet d'automatiser la grande majorité des traitements.

En tant que pilote de la solution, vous devez vous assurer du bon fonctionnement de la solution et vos tâches consistent essentiellement à suivre les indicateurs, à réagir si vous recevez des alertes signalant des erreurs ou des anomalies et à investiguer et résoudre les problèmes le cas échéant.

À cet effet, vous utiliserez principalement la fonction Gestion du menu principal.

L'option Gestion du menu principal permet de:

• Réviser et exécuter des séquences de traitements
• Visualiser les journaux
• Gérer les utilisateurs locaux de RAC/M Identity
• Gérer les profils de RAC/M Identity
• Visualiser les événements d'audit

Réviser et exécuter des séquences

En général, les séquences sont paramétrées pour être exécutées automatiquement selon un horaire et un calendrier déterminés lors de la configuration des séquences.

Réviser une séquence

La fenêtre affichée lors de l'ouverture de cette option de menu reflète les résultats de la dernière séquence exécutée. Vous pouvez aussi réviser les résultats détaillés de toute autre séquence.

Pour réviser l'exécution d'une séquence:

1. Dans le menu GESTION, cliquez sur Exécution de séquence.

2. Pour réviser l'exécution d'une séquence autre que celle qui est affichée, cliquez sur l'onglet Historique et sélectionnez la séquence à visualiser dans la liste.

Les derniers résultats apparaissent dans le tableau DÉTAILS DU JOURNAL D'EXÉCUTION. Chaque module de la séquence est répertorié avec le nombre d'items traités et le temps qu'il a fallu pour les traiter.

Dans la colonne Code de retour, le code 100 indique que le module a été exécuté avec succès. Tout autre code indique une erreur. Pointez sur l'icône représentant un point d'interrogation à côté de Code de retour pour afficher la liste des codes de retour.

S'il y a des erreurs pendant le traitement, l'état du traitement apparaît en orange ou en rouge.

Pour visualiser le détail des erreurs, vous devez ouvrir le fichier journal des erreurs du module qui a échoué. Il se trouve dans le répertoire que vous avez identifié lors de la configuration du module (voir Configurer un module).

Note

Vous pouvez visualiser tous les journaux d'erreurs à partir du menu GESTION de la console d'administration. Voir Visionner les journaux.

Exécuter une séquence manuellement

En général, l'exécution d'une séquence est planifiée automatiquement (voir Configurer une séquence), mais vous pouvez être amené à l'exécuter manuellement, notamment lors des premiers tests de nouvelles séquences.

Pour exécuter une séquence manuellement:

1. Dans le menu GESTION, cliquez sur Exécution de séquences.

2. Dans la liste Séquence à exécuter, sélectionnez la séquence que vous souhaitez exécuter manuellement.

3. Pour repartir le traitement au début cliquez la case à cocher Redémarrer du début

4. Cliquez sur Exécuter.

Vous pouvez voir la progression de chaque module au fur et à mesure de son exécution. Vous pouvez revoir les résultats à la fin.

Arrêter et repartir une séquence

Vous pouvez interrompre une séquence en cours d'exécution en cliquant sur le boutons Arrêter et la relancer en cliquant sur le bouton Exécuter.

Visionner les journaux

Pour visionner les journaux:

1. Dans le menu GESTION, cliquez sur Journaux.

2. Dans la liste, sélectionnez le fichier que vous souhaitez visionner.

Vous pouvez afficher le contenu des journaux en format brut en cliquant sur l'icônesitué en haut à droite de l'écran principal.

Note

Le contenu des journaux d'erreur est très technique et sert essentiellement à investiguer la cause de problèmes. Les journaux sont utiles à l'équipe de support technique d'OKIOK ainsi qu'aux intégrateurs et experts techniques de la solution.

Gérer les utilisateurs locaux

Il existe deux types de comptes utilisateurs RAC/M Identity: Les utilisateurs locaux qui ne sont généralement utilisés que pour la configuration initiale et la mise en place de RAC/M Identity et les comptes utilisateurs fédérés qui sont utilisés au quotidien par les pilotes, les utilisateurs finaux, les opérateurs, les gestionnaires, les approbateurs, les certificateurs, etc. pour effectuer des opérations GIA et gérer une mise en œuvre opérationnelle de RAC/M Identity.

Les comptes locaux sont créés à partir de la console d'administration et sont authentifiés à l'aide de la base de données de mots de passe intégrée. Il ne devrait normalement y avoir qu'un très petit nombre de comptes locaux, idéalement un seul. Les comptes locaux ne sont normalement utilisés que pour l'installation et la configuration initiales de RAC/M Identity.

Les comptes fédérés n'ont pas besoin d'être créés manuellement car ils sont importés d'un annuaire d'entreprise tel qu'Active Directory ou Entra ID. Les comptes fédérés sont authentifiés à l'aide d'un mécanisme d'authentification externe tel qu'Active Directory ou un fournisseur d'authentification SAML et affectés par des règles d'affaires au profil RAC/M Identity approprié en fonction de leurs responsabilités.

Pour créer un compte utilisateur local :

1. Dans le menu GESTION, cliquez sur Utilisateurs RAC/M.
2. En haut à droite de la page, cliquez sur le bouton .
3. Sous Détails, entrez les informations requises comme suit :

Champ	Description
Identifiant	Dans la zone de texte, saisissez le nom qui sera utilisé pour connecter à RAC/M Identity.
Nom complet	Dans la zone de texte, saisissez le nom complet de l'utilisateur.
Profil RAC/M	Dans la liste, sélectionnez le profil que vous souhaitez attribuer à l'utilisateur. Cela détermine les menus et les fonctions auxquels l'utilisateur aura accès. Si le profil souhaité ne figure pas dans la liste, vous pouvez le créer.
Identité associée	Ceci est utilisé pour associer une identité à cet utilisateur interne. Le cas échéant, sélectionnez dans la liste une identité à associer au nouvel utilisateur. L'utilisateur pourra alors s'authentifier en utilisant l'ID et le mot de passe de l'identité associée au lieu de l'identifiant et du mot de passe interne.
Nouveau mot de passe	Entrez le mot de passe qui sera utilisé pour vous connecter à RAC/M Identity.
Confirmation du mot de passe	Réinscrivez le mot de passe précédemment entré.

5. Cliquez sur Enregistrer.

Important

Bien que ce mot de passe ne soit utilisé que pour la configuration initiale de RAC/M Identity, il est important que vous choisissiez un mot de passe de haute qualité pour assurer une protection suffisante pendant le processus d'installation et de configuration.

Il sera possible (et recommandé) de désactiver l'utilisation des mots de passe intégrés une fois qu'un fournisseur d'authentification sera configuré.

Pour générer ou révoquer une clé API

Les clés API sont utilisées pour s'authentifier auprès des serveurs de RAC/M Identity lors de l'utilisation de services Web. Une fois générées, elles doivent être copiées et collées là où elles seront utilisées.

Pour générer une clé API :

1- Cliquez sur le bouton Générer.

Pour régénérer une clé d'API :

1- Cliquez sur le bouton Regénérer.

Pour révoquer une clé API :

1- Cliquez sur le bouton Révoquer et confirmez lorsque cela vous est demandé.

Important

Les clés API sont des éléments cryptographiques sensibles qui doivent être protégés pour empêcher tout accès non autorisé aux services Web de RAC/M Identity. Vous devez faire preuve de la plus grande prudence pour éviter que les clés ne soient compromises.

Gérer les profils RAC/M Identity

Dans RAC/M Identity, les profils vous permettent de définir à quels menus et fonctionnalités les utilisateurs auront accès. Ceci est utile pour limiter ce que certains utilisateurs peuvent voir et faire dans la console de gestion en fonction de leurs responsabilités.

Pour créer un profil de RAC/M Identity :

1. Dans le menu GESTION, cliquez sur Profils RAC/M.
2. Cliquez sur le bouton Créer nouveau .
3. Dans la zone de texte Profil RAC/M, incrivez un nom pour le profil.
4. Dans la liste Page d'acceuil, sélectionnez la page que les utilisateurs verront après s'être connectés.

Page d'accueil	Description
Tableau de bord	La page d'accueil principale présente un tableau de bord complet avec des indicateurs graphiques. Il s'agit de la page d'accueil standard pour l'utilisation de la console d'administration pour les opérateurs et les administrateurs de RAC/M Identity.
Libre-service	Il s'agit de la page de destination normalement utilisée par les utilisateurs finaux, les gestionnaires, les approbateurs et les certificateurs qui ont seulement besoin d'effectuer des tâches GIA telles que l'émission et l'approbation de demandes ou l'exécution de campagnes de révision d'accès, mais qui n'ont pas besoin d'accéder aux fonctions de gestion de RAC/M Identity.

5. Sous Éléments, cochez les cases correspondant aux autorisations que vous souhaitez accorder au profil.
6. Cliquez sur Enregistrer.

Note

N'oubliez pas que les sélections et les modifications s'appliquent à tous les utilisateurs ayant ce profil.

Voir aussi

• Référence des permissions pour les Profils RAC/M Identity
• Comprendre le portail libre-service de RAC/M Identity

Visualiser le journal d'audit

Le journal d'audit affiche, en ordre chronologique, l'historique détaillé de toutes les requêtes, les décisions et les actions prises par RAC/M Identity qu'elle soient initiées par la console de gestion, le portail libre-service, par les traitements automatisés, les APIs Web ou de tout autre façon.

Le journal d'audit assure la traçabilité complète de tous les événements pouvant affecter les accès et permet de reconstituer les accès détenus par une identité à un moment donné.

Le journal d'audit est très détaillé et donc très volumineux. Afin de faciliter l'analyse et les recherches d'événements spécifiques, des fonctions de filtrage élaborées sont disponibles.

Vous pouvez filtrer par date en cliquant sur l'icône de calendrier situé en haut à droite du filtre et sélectionner ou désélectionner les catégories d'événements ou les événements spécifiques que vous voulez retenir ou retirer.

Les événements qui ajoutent des droits sont illustrés par un rond vert, les événements qui retirent des droits sont illustrés par un rond rouge, alors que les événements liés aux traitements automatisés sont illustrés par un rond bleu.

Pour visualiser le journal d'audit :

1. Dans le menu GESTION, cliquez sur Audits. L'écran principal affiche les derniers événements de l'audit.
2. Déterminez la plage de dates à analyser et sélectionnez ou désélectionnez les événements que vous voulez retenir ou éliminer pour fin d'analyse.

L'écran est divisé en deux sections, l'une pour le Flux d'activité et l'autre pour la section Filtre.

Flux d'activité

La section de gauche, appelée Flux d'activité, présente une ligne d'historique du plus récent au plus ancien. Chacun de ces enregistrements offre des informations sur l'événement ainsi que des bulles d'information sur les entités impliquées dans cet enregistrement. Certains de ces enregistrements peuvent contenir des informations supplémentaires qui peuvent être affichées en appuyant sur l'icône de liste déroulante.

Icônes	Description
	Étend la section pour afficher plus d'informations sur un enregistrement d'audit spécifique.
	Recharge la liste d'audit avec les derniers enregistrements de la base de données.

Si les enregistrements sont liés à des exécutions de séquences, des icônes permettent de comprendre rapidement l'événement :

Icônes de séquence	Description
	Début de la séquence
	Fin de la séquence
	Début du module
	Fin du module

Filtres

La section de droite représente les filtres qui peuvent être utilisés pour réduire les informations affichées à gauche.

En haut de cette section, deux icônes vous aident à utiliser les filtres:

Icônes de filtre	Description
	Représente le nombre de filtres qui ont été sélectionnés.
	Permet de sélectionner une date de début et de fin.

Le champ de recherche vous aide à trouver les filtres qui vous intéressent et facilite leur choix. Si vous effectuez une recherche avec cette boîte de filtres, vous avez deux options.

• Sélectionner tous les résultats de la recherche. Permet de sélectionner tous les éléments visibles dans la liste des filtres.
• Ajouter les éléments sélectionnés au filtre actuel. Vous permet de faire des sélections dans cette liste et, lorsque vous appuyez sur Appliquer, ces sélections seront ajoutées à la sélection précédente. Si vous ne choisissez pas cette option, lorsque vous appuyez sur Appliquer, les filtres précédemment sélectionnés seront remplacés par ceux choisis avant que vous n'appuyiez sur ce bouton.

Une fois les sélections effectuées, cliquez sur Appliquer pour filtrer la liste à gauche.

Barre latérale d'audit

Lorsque vous ouvrez le panneau détaillé d'une entité, il se peut que la barre latérale d'audit soit présente, identifiée par l'étiquette Flux d'activité. Si c'est le cas, elle se présentera comme suit :

Cliquez sur la barre latérale Flux d'activité pour la faire apparaître. Une fois ouverte, la barre latérale de gauche ressemble à ceci:

La barre latérale Flux d'activités fonctionne comme le Panneau dédié décrit ci-dessus, à quelques exceptions près:

1. La barre latérale affiche le Flux d'activités lors de l'affichage initial. Si vous cliquez sur l'icône de filtre en haut à droite, la barre latérale passe à la sélection du filtre.
2. Dans le contexte du filtre, vous pouvez effectuer des sélections et cliquer sur le bouton Appliquer. Lorsque vous cliquez sur le bouton, le contexte redevient le Flux d'activité et le filtre sélectionné affecte la liste.

Fichiers de log des audits

Les actions de l'utilisateur qui déclenchent des audits sont enregistrées par un enregistreur spécial "AUDIT". Les actions qui entraînent l'exécution d'audits par lots ne sont pas enregistrées. Ces actions sont généralement effectuées par le système.

Les audits enregistrés peuvent être envoyés à une solution SIEM en modifiant la configuration de log4j. Voici un exemple qui peut être ajouté à la configuration du fichier [repertoire d'installation]\Okiok Data\RACM Identity\conf\log4j2.xml pour créer un fichier contenant uniquement les logs d'audit :

<Configuration>
    <Appenders>
        ...
        <RollingFile name="Audit" fileName="logs/audits.log" filePattern="logs/audits.log.%i">
            <PatternLayout>
                <Pattern>%d [%X{request_id}] [%X{login}] [%X{user}] [%X{client_ip}] [%-5p] [%t] [%c] %x- %m%n</Pattern>
            </PatternLayout>
            <Policies>
                <SizeBasedTriggeringPolicy size="10MB"/>
            </Policies>
            <DefaultRolloverStrategy max="10"/>
        </RollingFile>
    </Appenders>
    <Loggers>
        ...
        <logger name="AUDIT" level="info" additivity="false">
            <appenderRef ref="console"/>
            <appenderRef ref="Audit"/>
            ...
        </logger>
    </Loggers>
</Configuration>

Voir aussi

La documentation de la librairie Log4j peux être consulté ici: Log4j Configuration

À propos des Gens

Cette section présente comment gérer les Personnes,les Identités et les Comptes dans RAC/M Identity.

À cet effet, vous utiliserez la fonction Gens du menu principal.

Nous utilisons le terme Gens pour désigner l'aspect humain dans la solution RAC/M Identity. Dans ce contexte, les Personnes, les Identités et les Comptes se rapportent aux Gens.

L'option Gens du menu principal permet de:

• Visualiser, éditer, ajouter et retirer des Personnes
• Apparier des identités aux Personnes
• Visualiser, éditer, ajouter et retirer des Identités
• Apparier des Comptes aux Identités

Les options Approbation des appariements et Apparier les audits sont désuètes et ne doivent pas être utilisées.

Personnes

Les personnes sont des personnes physiques qui interagissent avec les systèmes d'information. Elles doivent être prises en charge par le référentiel d'identité et d'accès RAC/M Identity.

Identités

Les identités correspondent à chacune des relations qu'une personne entretient avec l'organisation. Une personne peut avoir plusieurs identités simultanées.

Exemple

Prenons l'exemple de Chantal St-Germain. Elle travaille à l'hôpital St-Jude. Elle est à la fois médecin praticien et chercheuse. Ainsi, deux inscriptions ont été créées pour elle dans deux sources d'identités distinctes : la base de données des médecins et la base de données des chercheurs universitaires externes.

Ces deux identités lui donnent accès à différentes applications (via des comptes et des accès logiques), à des clés physiques et à des zones de l'hôpital.

Les informations trouvées dans ces sources d'identités diffèrent :

• Dans la première source d'identité (qui l'identifie comme un médecin praticien), son nom de famille était orthographié "Saint-Germain".
• Dans la deuxième source d'identité (qui l'identifie comme un chercheur), son nom de famille était orthographié "St-Germain" et la lettre "e" est absente de son prénom.

Bien qu'ils n'aient pas été inscrits de la même façon dans les sources, dans RAC/M Identity, ils sont liés à la même personne et considérés comme Chantale St-Germain.

Comme RAC/M Identity relie ces deux identités à une seule personne, il n'est pas nécessaire de normaliser les différentes identités qui ont été créées dans les systèmes d'origine. Si vous créez une nouvelle identité pour Chantale, elle sera également liée à la bonne personne.

Par conséquent, quand son projet de recherche se terminera, son identité de chercheuse deviendra inactive et les accès correspondants seront révoqués. Mais tous les comptes et accès logiques aux actifs nécessaires pour travailler en tant que médecin, resteront actifs et valides.

Importer des personnes et des identités

Cette section présente les étapes que vous devez suivre pour importer les données d'identités et d'accès, telles que les personnes, les identités, les accès et les droits, dans RAC/M Identity afin d'effectuer les analyses et les traitements de gestion d'identité.

Pour importer des personnes et des identités:

1. Passez en revue le collecteur IdentitiesImport qui importera les données dans la table d'import. Si les données sont importées depuis un fichier CSV, la primitive utilisée sera ModuleCopyCSVToTable. Si les données sont importées à l'aide d'un connecteur ICF, la primitive utilisée sera ModuleICFImport Data.
2. Au besoin, utilisez un formateur et des modules supplémentaires si les données sources doivent être adaptées au format de la table RAC/M.
3. Passez en revue le module IdentificationCopy qui copiera les données de la table d'import dans le référentiel RAC/M. Le module prêt à l'emploi est ModuleCopyColumnsAndInserts.
4. Examinez les blocs Imports et Copies pour exécuter, entre autres, le collecteur IdentitiesImport et le module IdentificationCopy.
5. Vérifiez la séquence Imports pour vous assurer qu'elle contient les blocs Imports et Copies.

Vous pouvez ensuite exécuter cette séquence de base pour importer des données.

Voir aussi

• A propos de l'importation de données

Ajouter manuellement des personnes et des identités

Normalement, les personnes (personnes) et leurs relations d'affaires (identités) sont ajoutées à RAC/M Identity en important les données des sources d'identités (voir A propose de l'analyse des données) et en convertissant les identités en personnes. Cependant, il se peut que vous deviez créer manuellement une personne, pour un consultant ou un fournisseur par exemple.

Note

Comme il n'existe pas de sources autoritaires pour les Personnes, les Identités sont généralement converties automatiquement en Personnes par la logique d'affaires lorsqu'elles sont importées pour la première fois. Cela élimine pratiquement le besoin de créer manuellement des personnes dans RAC/M Identity.

Ce cas rarissime ne devrait se produire que si une personne doit avoir accès à vos systèmes mais qu'il n'y a pas de source d'identité ou de moyen d'en importer une et de la convertir.

Voir aussi Convertir une Identité en Personne

Ajouter une Personne

Pour ajouter une personne:

1. Dans la barre de menu, cliquez sur GENS> Personnes.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit : Sous Détails :

   Nom de famille, Second prénom, Prénom

   Incrivez toutes les informations relatives à la personne. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

   

   Nom de jeune fille, Nom complet, Numéro de sécurité sociale

   Ces informations ne sont pas obligatoires mais peuvent être utiles pour différencier les personnes portant le même nom.

   Note

   Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance et le numéro d'assurance sociale. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

   Date de naissance, Courriel, Courriel facultatif

   Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne.

4. Au bas de la page, cliquez sur le bouton Enregistrer. Continuez à saisir les informations et enregistrez les modifications en cliquant sur le bouton Enregistrer. Ouvrez la zone Plus...

   Adresse

   Dans la zone de texte, incrivez l'adresse de la personne.

   

   Numéro de téléphone à domicile, numéro de téléphone supplémentaire, numéro de téléphone cellulaire, numéro de téléavertisseur

   Ces informations ne sont pas obligatoires mais peuvent être utiles si une personne doit être jointe en dehors de l'organisation.

   Date de création et dernière modification

   Ces cases indiquent la date de création de l'entrée dans RAC/M Identity et la date de sa dernière modification. Ceci est utile lorsque des mesures doivent être prises lorsqu'une personne ne travaille plus avec l'organisation ou que son statut a changé.

   Sous Informations supplémentaires :

   Langues

   Dans la zone de texte, incrivez la langue préférée de la personne pour les communications.

   Il est possible d'inscrire une locale spécifique, par exemple "en_US" pour l'anglais américain. La langue choisie est utilisée pour les communications par courriel et la locale est utilisée pour l'affichage des dates. Référez-vous à Configuration de la locale pour plus d'informations.

   

   Identifiant1 et Identifiant2

   Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Attributs étendus

   Cette section affiche les attributs étendus qui ont été attachés à l'objet Personnes. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

5. Cliquez sur le bouton Enregistrer.

   La personne est ajoutée à RAC/M Identity. Si la personne n'est pas associée à une identité, son Etat effectif est automatiquement défini comme "Terminé".

   Note

   La liste d'identités associées à la personne, située au bas de la page, restera vide jusqu'à ce que vous associez la personne à une identité dans la page Appariement d'identités ou Identités.

   Voir aussi

   • A propos de l'analyse des données
   • Apparier les identités aux personnes

Ajouter une Identité

Note

Les Identités sont généralement importées à partir de sources d'identités comme les systèmes RH, les bases de données d'étudiants ou encore les registres des stagiaires et contractuels. Ceci élimine pratiquement le besoin de créer manuellement des Identités dans RAC/M Identity.

Ce cas rare ne devrait se produire que si une personne doit avoir accès à vos systèmes mais qu'il n'y a pas de source d'identité ou de moyen de l'importer.

Pour ajouter une identité:

1. Dans la barre de menu, cliquez sur GENS> Identité.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit : Sous Détails :

   Nom de famille, Second prénom, Prénom

   Incrivez toutes les informations relatives à l'identité. Le contenu de la zone de texte Nom de famille apparaîtra dans la première colonne du tableau de RAC/M Identity. Le Prénom apparaîtra dans la troisième colonne.

   

   Numéro d'employé, source, date de naissance et courriel

   Dans la zone de texte, incrivez le numéro de l'employé ; il est possible qu'il n'y ait pas de numéro si, par exemple, la personne est un consultant externe. La case Date de naissance ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année de la date de naissance de la personne. Incrivez le courriel de la personne.

   Dans la liste Source, sélectionnez la source d'où proviennent les informations d'identité. Inscrivez le nom de la source existante, comme les systèmes RH par exemple.

   Note

   Assurez-vous de vous conformer à vos politiques et aux lois applicables sur la protection des informations personnelles par rapport à la saisie et à l'utilisation des informations des utilisateurs telles que la date de naissance. Dans la plupart des juridictions, ces informations sont considérées comme hautement confidentielles et leur utilisation est encadrée par des lois et règlements.

   Personne associée

   Dans la liste, incrivez le nom ou le prénom de la personne et sélectionnez la personne pour laquelle vous créez cette nouvelle identité. Si le statut de la personne était "Terminé", il deviendra "Actif" après avoir enregistré l'identité si elle est active.

4. Au bas de la page, cliquez sur le bouton Enregistrer. Sous Emploi :

   Organisation et département

   Dans la liste Organisation, sélectionnez l'organisation pour laquelle la personne travaille sous cette nouvelle identité. Dans la liste Département, sélectionnez un département existant dans lequel la personne travaillera sous cette nouvelle identité ou incrivez le nom du nouveau département s'il a été créé pour les identités qui y travailleront.

   

   Titre, Lieu de travail, Statut d'emploi et Type d'emploi

   Ouvrez chaque liste et sélectionnez les items qui s'appliquent à la nouvelle identité.

   Centre de coût, date d'embauche et date de cessation d'emploi

   Dans la zone de texte Centre de coût, incrivez le nom du département en charge de la paie de la personne. La Date d'embauche ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé à travailler sous cette nouvelle identité. La Date de fin d'emploi peut être utilisée pour indiquer la date de fin d'emploi afin d'initier le processus de révocation des accès.

   Conseil

   C'est une bonne pratique que d'inscrire une date de fin d'emploi aux contractuels et externes afin de s'assurer que les accès sont révoqués automatiquement lorsque les mandats se terminent.

   Responsable, certificateur, groupe approbateur et groupe à notifier lors de l'approvisionnement

   Dans chacune des listes, incrivez les premières lettres du nom ou cliquez sur la flèche pour ouvrir la liste et sélectionner les supérieurs hiérarchiques, les personnes chargées de réviser et certifier les accès ainsi que les groupes de délégation qui doivent approuver les demandes d'accès.

   Voir aussi

   • À propos des flux d'approbation
   • À propos des groupes de délégation

   Sous Informations complémentaires :

   Adresse, Pays, Téléphone, Type de mobile, Profession, et Langue

   Dans chaque zone de texte, incrivez les informations requises.

   

   Identifiants

   Ces zones de texte peuvent être utilisées pour contenir des éléments d'informations supplémentaires tels que des identifiants qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Noms de comptes

   Vous pouvez utiliser ces zones de texte pour saisir les noms de comptes d'accès fondamentaux associés à une identité. Par exemple, ces noms de comptes peuvent être utilisés par la logique d'affaires pour faciliter l'appariement des comptes ou pour créer des comptes dans des systèmes cibles. Ces champs sont typiquement renseignés automatiquement par la logique d'affaires.

   Conseil

   Par exemple, les champs Identifiants et Noms de comptes peuvent être utilisés pour inscrire des comptes ou des nomenclatures de compte différentes du compte primaire qui doivent être utilisées pour certains environnements patrimoniaux tels que les centrales IBM. De cette façon la logique d'affaires sera en mesure de créer des comptes selon des nomenclatures arbitraires.

   Extras

   Ces zones de texte peuvent être utilisées pour contenir des informations supplémentaires qui peuvent être utiles à la logique d'affaires dans les séquences, la modélisation des rôles ou les revues d'accès.

   Sous Fonctions supplémentaires et Attributs étendus :

   Fonctions supplémentaire, date de début et date de fin

   Dans la liste Fonction supplémentaire, inscrivez les premières lettres de la fonction supplémentaire qui correspond à une responsabilité attribuée à une identité et sélectionnez-la dans la liste ou inscrivez le nom de la fonction supplémentaire à attribuer. Le champ Date de début ouvre un calendrier dans lequel vous sélectionnez le jour, le mois et l'année où la personne a commencé, ou commencera, cette fonction supplémentaire. Dans le champ Date de fin, saisissez la date à laquelle cette fonction supplémentaire prend fin. Si vous devez ajouter une fonction supplémentaire, cliquez sur le bouton .

   Voir aussi

   • Créer une fonction supplémentaire

   Attributs étendus

   Cette section affiche les attributs étendus qui ont été attachés à l'objet Identités. Ils peuvent être utilisés pour contenir une liste de valeurs séparées par des virgules qui sont pertinentes pour gérer l'accès à vos systèmes d'information, comme les certifications, les formations, les qualifications, les intérêts, etc.

5. Cliquez sur Enregistrer.

   L'identité est ajoutée.

   Note

   La liste des comptes associés à la personne, située en bas de la page, restera vide jusqu'à ce que les comptes soient appariés, soit automatiquement, soit manuellement dans la page Appariement des identités.

Fusionner les personnes

Si vous vous rendez compte que 2 personnes ou plus créées dans RAC/M Identity correspondent à la même personne physique, vous pouvez les fusionner pour corriger le référentiel.

Pour fusionner des personnes:

1. Dans la barre de menu, cliquez sur GENS> Personnes.
2. Dans la zone de texte Recherche, incrivez le nom des entrées multiples.
3. Dans la liste, cochez la case Fusionner à côté des entrées à fusionner.

4. Cliquez sur le bouton Fusionner situé en bas de la page.

   La page Fusion de personnes s'ouvre, affichant la liste des personnes que vous avez sélectionnées.

5. Dans la colonne Cible, sélectionnez la personne que vous souhaitez conserver. Il s'agit de la personne qui restera et qui combinera désormais toutes les informations.

Note

La personne sélectionnée comme cible de la fusion sera la source d'information faisant autorité sur cette personne. Les informations de l'autre personne seront supprimées à l'exception des champs qui seront copiés.

Important

La fusion ne peut pas être annulée. Lors de la prochaine importation de données, les informations ne seront pas dupliquées à nouveau.

6. Cliquez sur le bouton Fusionner.

   Les personnes ont été fusionnées.

   Voir aussi

   • À propos de l'analyse des données
   • Apparier les identités aux personnes

Convertir une identité en personne

Si vous avez une identité orpheline, c'est-à-dire une identité qui n'est pas associée à une personne, et qu'il n'y a personne à qui l'attribuer, vous pouvez créer une personne sur la base de cette identité.

Note

En général, les identités sont automatiquement converties en personnes par la logique d'affaires lors de l'importation initiale d'identités à partir de sources autoritaires. Cette procédure manuelle n'est utilisée que dans le cas rarissime où la logique d'affaires ne peut effectuer la conversion.

Pour convertir une identité en une personne:

1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

   

2. Dans la liste de gauche, sélectionnez l'identité pour laquelle vous souhaitez créer une personne.

   Note

   Si la liste est longue, dans la zone de texte, incrivez les quelques premières lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe.

3. Cliquez sur le bouton Créer personne.

   La page Personne s'ouvre et les informations déjà contenues dans l'identité sont automatiquement saisies. Vous pouvez compléter la fiche de la personne selon les renseignements disponibles si nécessaire.

4. Cliquez sur Enregistrer.

   La nouvelle personne est créée et son statut est défini comme "actif".

   Note

   L'identité à partir de laquelle vous avez créé la personne est automatiquement ajoutée à la liste des identités située en bas de la page.

Apparier les identités aux personnes

Si le système n'a pas été en mesure de faire correspondre automatiquement certaines identités parce qu'il n'y a pas de clés uniques (voir Déterminer des identifiants uniques), vous devrez les faire correspondre manuellement.

Pour faire correspondre une identité à une personne:

1. Dans la barre de menu, cliquez sur GENS> Appariement des identités. La page Appariement des identités s'ouvre.

   

2. Dans la liste de gauche, sélectionnez l'identité à laquelle vous souhaitez associer une personne. Si la la liste est longue, inscrivez quelques lettres de l'identité que vous recherchez et cliquez sur le bouton de la loupe. Une liste de personnes identifiées par les algorithmes d'appariement sélectionnés s'affiche dans la section de droite.

3. Sélectionnez la personne à laquelle vous voulez apparier l'identité.

4. Cliquez sur le bouton Apparier situé au bas de la page.

   La correspondance entre l'identité et la personne a été établie. L'identité apparaît maintenant dans la liste au bas de la page de détails de la personne.

   Note

   Si la liste est vide, vous pouvez inscrire quelques lettres du nom de la personne que vous recherchez dans la barre de recherche en haut de la zone de droite et cliquer sur la loupe. Une liste de personnes correspondant aux critères de recherche s'affichera. Vous pouvez alors continuer la procédure à partir du point 4 ci-dessus.

   Si elle ne s'y trouve pas, vous pouvez créer une personne ou convertir une identité en personne tel qu'expliqué plus haut.

   Voir aussi

   • Créer une personne
   • Convertir une identité en personne

   Parfois, le système ne peut pas établir de correspondance automatique entre les identités parce que deux personnes se ressemblent tellement qu'il ne peut pas les distinguer. Dans ce cas, vous devez examiner l'ensemble des données pour déterminer la bonne personne.

Dissocier les identités et les personnes

Si une correspondance a été établie mais que vous vous rendez compte que l'identité est associée à la mauvaise personne, vous pouvez les dissocier.

Note

Si cette erreur se produit après une correspondance automatique, révisez les règles de correspondance.

Pour dissocier une identité d'une personne:

1. Dans la barre de menu, cliquez sur GENS> Personnes. La page Personnes s'ouvre.

2. Dans la liste, sélectionnez le nom de la personne dont vous voulez retirer une identité (voir Effectuer une recherche dans une page de sélection).

3. Dans la page Détails des personnes, sous Identités, cliquez sur l'identité que vous voulez dissocier.

   

4. Dans la liste Personne associée, effacez le nom de la personne que vous ne voulez pas voir liée à cette identité et cliquez sur Enregistrer.

   

   L'identité n'est plus associée à la personne et elle apparaît à nouveau dans la liste des identités orphelines de la page Appariement des identités (voir La page d'appariement des identités).

Gérer la situation d'emploi pour une identité

La situation d'emploi d'une identité est gérée via les champs suivants:

• État d'emploi
• Date de fin d'emploi

L'état d'emploi a une valeur interne (propre à la solution RAC/M Identity) et une valeur source (importée de la source d'identité), qui peuvent être différentes l'une de l'autre. Si l'identité est gérée par RAC/M Identity et non importée d'une source RH (comme ce pourrait être le cas pour certains contractuels), les deux valeurs seront toujours identiques. La valeur interne est toujours celle qui sera utilisée dans la logique d'affaires et sert de remplacement ("override") de l'état dans la source RH. Ceci permet de traiter les situations où un départ doit être traité avant que les RH ne saisissent l'information nécessaire. La valeur source représente la valeur réelle dans la source d'identité.

Les colonnes dans la table IDENTIFICATION qui gèrent l'état sont SOURCE_EMPLOYMENT_STATUS_ID et EMPLOYMENT_STATUS_ID. La date de fin d'emploi est quant à elle dans TERMINATION_DATE.

Information importante concernant les états d'emploi

Les états d'emploi peuvent contenir un grand nombre de valeurs en provenance des différentes sources d'identité. Il faut utiliser les mappages pour faire correspondre tous ces états à un des états effectifs (Actif, Inactif ou Terminé) que la solution utilise dans sa logique d'affaires.

Relation entre les différents champs d'emploi

Il existe une relation précise entre les champs liés à la situation d'emploi et cette relation dicte comment les règles d'affaires sont appliquées.

1. Date de fin d'emploi (TERMINATION_DATE): Ce champ est utilisé par la solution pour déclencher un départ de l'identité. C'est le module ModuleHRTerminationDate qui vérifie cette date lors de son exécution et déclenche le départ en modifiant l'état d'emploi (EMPLOYMENT_STATUS_ID).

2. État d'emploi source (HR_EMPLOYMENT_STATUS_ID): Lorsque ce champ change suite à l'importation de la source RH, il est automatiquement copié dans le champ État d'emploi (EMPLOYMENT_STATUS_ID).

   Ce champ lance également les processus de changement de statut d'emploi lorsque le statut effectif d'emploi change. Par exemple, si un employé passe du statut "Congé maladie" (Inactif) à "Congé long terme" (Inactif), il n'y a pas de changement du statut effectif d'emploi (Inactif -> Inactif) et donc aucun processus lancé. Mais si l'employé passe de "Actif (Actif) à "Retraité" (Terminé), le processus de départ sera lancé.

3. État d'emploi (EMPLOYMENT_STATUS_ID): Ce champ peut changer de plusieurs façons:

   • Avis de départ immédiat dans le libre-service
   • Lorsque la date de fin d'emploi est arrivée
   • Lorsque le statut d'emploi source change

   Il est souvent utilisé pour remplacer temporairement (Override) l'état d'emploi source. Ensuite, lorsque la source RH change pour refléter le nouveau statut, l'état d'emploi source est copié dans l'état d'emploi et le remplacement temporaire se termine: les deux champs ont la même valeur.

L'état d'emploi

L'état d'emploi d'une identité peut être modifié directement dans la page d'administration en modifiant son état d'emploi ou sa date de fin d'emploi.

Dans la page Détails des identité, sous Identités, consultez les champs État d'emploi et Date de fin d'emploi

Il peut également être modifié à travers une demande dans le libre-service en demandant un Avis de départ - employé ou un Avis de départ - contractuel externe.

La date de fin d'emploi permet de modifier l'état d'une identité à Terminée en spécifiant la date à laquelle elle ne sera plus à l'emploi. Cette façon est idéale pour planifier le départ d'une identité et s'assurer que son état soit modifié à la date de sa fin d'emploi.

Modification via l'import

L'import à partir de la source RH vers RAC/M Identity devrait uniquement modifier les champs RH, soit l'état d'emploi source (SOURCE_EMPLOYMENT_STATUS_ID). De la même façon, RAC/M Identity ne fera pas de modification sur le champ source.

Connecteur et collecteur

Voir les sections Configurer un connecteur ICF et Créer un collecteur pour importer des données.

Lorsqu'un changement dans l'état source est constaté à l'import, RAC/M Identity compare l'état effectif source avec l'état effectif RAC/M Identity. S'ils ne sont pas identiques, cela signifie un changement dans l'état de l'identité. Une demande de modification d'identité est donc lancée. De plus, l'état RAC/M Identity est remplacé par l'état source qui vient d'être importé et l'événement est audité.

Modification via une demande dans le libre-service

Il est possible de faire des demandes dans le libre-service qui ont éventuellement l'effet de modifier l'état d'une identité. Par exemple, il est possible de demander la fin de l'emploi d'une identité. Lorsque ces demandes sont approuvées et complétées, l'état RAC/M Identity est modifié en fonction de la demande. S'il s'agit d'une demande de fin d'emploi, la date de fin d'emploi sera modifiée pour la date choisie.

Modification via l'interface administrateur

Il est seulement possible de modifier l'état RAC/M Identity via l'interface administrateur. L'état source ne peut pas être modifié.

Impacts d'une désactivation

La désactivation d'une identité est habituellement temporaire. Il peut s'agir, par exemple, d'un congé-maladie ou d'un travailleur saisonnier.

Lors de la désactivation d'une identité, RAC/M Identity tentera de désactiver tous les comptes que celle-ci possède. Ces comptes conserveront tous les groupes qui leur sont associés. Cela facilitera leur réactivation, le cas échéant. Pour ce faire, RAC/M Identity lancera des demandes de désactivation pour ces comptes.

Impacts d'une activation

Dans le cas de l'activation d'une identité, RAC/M Identity lancera des requêtes d'activation des comptes qui ont été désactivés préalablement par la solution.

Comptes non réactivés

Si des comptes étaient déjà inactifs avant que le processus de désactivation de l'identité ne soit démarré, ceux-ci ne seront pas réactivés. Cela est nécessaire pour que l'identité n'ait pas plus de droits lors de sa réactivation qu'elle n'en avait lors de sa désactivation.

Une conséquence de cela est que si l'identité n'a pas été désactivée via la solution RAC/M Identity, aucun compte ne sera réactivé car la solution ne sait pas quels comptes étaient actifs ou non au moment de la désactivation.

Prenons par exemple une identité active qui possède deux comptes: techadmin, qui est actif, et labadmin, qui est inactif. L'identité se fait désactiver. Conséquemment, son compte techadmin est également désactivé. Lors de la réactivation de l'identité, seulement le compte techadmin est réactivé. Pour activer labadmin, il faudrait le demander explicitement.

Impacts d'une fin d'emploi

La fin d'emploi d'une identité est habituellement définitive. Il peut s'agir, par exemple, d'un départ à la retraite ou d'une démission. Si une personne dont l'identité a été terminée revient dans l'entreprise, une nouvelle identité est habituellement créée.

Conséquemment, une fin d'emploi démarre un processus de terminaison des comptes. Ce processus varie beaucoup dépendamment des pratiques de l'entreprise et de l'actif visé. Il peut aller de la simple désactivation du compte à la suppression complète.

Processus de terminaison n'implique pas le statut terminé

Les actions prises sur un compte lors du processus de terminaison dépendent de l'intégration faite pour cet actif. En particulier, il est possible que le processus de terminaison ne fasse que désactiver un compte. Dans ce cas, l'état effectif de ce compte sera "Inactif" suite à la terminaison.

Ceci peut sembler contre-intuitif, mais cela reflète en réalité la flexibilité que la solution offre. La solution permet de définir deux processus différents pour les comptes (désactivation et terminaison), mais si cette distinction n'est pas nécessaire pour un actif donné, les deux processus peuvent être identiques et le compte aura le même état à la fin des deux processus.

Traitement des demandes concurrentes

• Lorsqu'une demande de modification d'identité est traitée, toutes les autres demandes de modification faites antérieurement pour cette identité sont annulées

Diagramme

Gérer les comptes d'accès dans RAC/M Identity

Cette section présente comment gérer les comptes d'accès dans RAC/M Identity.

Les comptes permettent aux personnes, aux automatismes et aux dispositifs d'accéder aux systèmes et aux applications. Ils se composent généralement d'un identifiant et d'un mot de passe et sont associés à des droits d'accès permettant d'exécuter certaines fonctions ou d'accéder à certaines informations. Les comptes sont affectés à des identités ; par conséquent, une personne peut posséder différents comptes sous des identités distinctes.

Exemple

Un développeur a accès à son poste de travail Windows, à la solution de suivi des problèmes et à une solution de dépôt de code. Il a des comptes dans chacune de ces solutions et ces comptes doivent être associés à cette identité. Ce même développeur est également en charge de la fête de Noël et peut détenir des comptes pour ce projet particulier. Lorsque le projet de Noël sera terminé, ces comptes ne seront plus requis et peuvent être désactivés.

Les comptes sont ajoutés au référentiel de RAC/M Identity par la logique d'affaires invoquée lors de l'importation des données des systèmes cibles (voir Importer des personnes et des identités).

Comptes personnels et impersonnels

Les comptes personnels sont ceux qui appartiennent à des identités associées à des personnes. Les comptes impersonnels ne sont pas associés à une identité ou à une personne. Par exemple, les comptes techniques, de systèmes, génériques et autres, sont des comptes impersonnels.

Fiduciaires

Afin d'assurer la saine gouvernance des comptes impersonnels, qui sont souvent des comptes à privilèges élevés, ils doivent être assignés à des fiduciaires. Les fiduciaires sont des identités responsables de réviser périodiquement les comptes impersonnels qui leur sont assignés afin d'en valider la pertinence.

Si un fiduciaire quitte l'entreprise ou change de fonction, les comptes impersonnels qui lui sont assignés doivent être réassignés à un autre fiduciaire

Les comptes impersonnels doivent être révoqués dès qu'ils ne sont plus requis.

Comptes appariés et non appariés

Lors de l'importation, la logique d'affaires tente d'apparier les comptes aux identités en utilisant un ensemble d'algorithmes visant à identifier les identités correspondants aux comptes avec le plus de certitude possible. Si un appariement peut être effectué sans équivoque, le compte passe à l'état apparié. Toutefois, dans certains cas il n'est pas possible d'associer un compte à une identité avec certitude, le compte est alors placé dans l'état non-apparié.

La logique d'affaires peut être raffinée itérativement pour améliorer le niveau d'appariement automatique jusqu'à ce qu'il ne reste qu'un petit nombre de comptes à apparier manuellement. Ce sont ces comptes, qui n'ont pas été appariés automatiquement, qui apparaissent dans cette liste et qui doivent être appariés manuellement.

Note

Comme les comptes impersonnels ne peuvent être appariés à des identités, ils apparaîtront dans la liste des comptes non appariés tant qu'ils ne sont pas assignés à des fiduciaires.

La page d'appariement des comptes

La page d'appariement des comptes permet:

• D'apparier les comptes personnels aux identités
• D'étiqueter les comptes afin de les organiser selon des catégories
• D'assigner les comptes techniques aux fiduciaires

Afin de faciliter la navigation, des filtres de recherches sont disponibles. A gauche de l'écran, sont situés les filtres de recherche des comptes, alors que les filtres de recherche des identités sont situés à droite de l'écran.

Filtres de recherche des comptes

Le champ Étiquette/État permet de déterminer quel sous-ensemble de comptes est affiché dans la liste. Par défaut, les comptes non appariés sont affichés. Si des comptes ont déjà été étiquetés, ils peuvent être affichés en sélectionnant l'étiquette appropriée.

Les champs Regroupement d'Actif et Actif permettent de sélectionner un sous-ensemble de comptes associés aux actifs sélectionnés.

La liste des comptes affichés peut être réduite en sélectionnant Afficher seulement les comptes actifs ou en inscrivant quelques lettres des comptes recherchés. Finalement, le bouton Recherche avancée permet de raffiner les critères de recherche.

Filtres de recherche d'identités

La liste d'identités proposées dans la liste de droite est basée sur les filtres sélectionnés sous la rubrique Suggestions. Ces filtres permettent de proposer des sous-ensembles d'identités affichées pour faciliter l'appariement.

Filtres	Description
Fiduciaires de compte	Propose des identités qui sont déjà des fiduciaires de comptes.
Diminutifs	Propose des identités dont les surnoms (par exemple, "Mike" au lieu de "Michael") peuvent correspondre aux comptes à apparier.
Soundex	Propose des identités selon les homophones du nom de famille.
Nom de famille/Prénom permuté	Propose des identités qui peuvent correspondre en considérant les permutations du nom et prénom .
Nom de famille	Propose des identités sur la base du nom de famille uniquement.
Multiples Soundex	Propose des identités selon les homophones du prénom et du nom de famille.

Note

En fonction des filtres sélectionnés, RAC/M Identity tentera d'identifier l'identité la plus plausible pour l'appariement. Si une telle identité peut être déterminée avec un niveau de certitude suffisant, elle sera pré-sélectionnée.

Étiqueter des comptes

Afin de faciliter le travail d'appariement des comptes, les comptes non appariés peuvent être regroupés et étiquetés. Une fois étiquetés, ils peuvent être affichés en blocs et la logique d'affaires peut être paramétrée pour effectuer des traitements spécifiques en fonctions des étiquettes. La page d'appariement des comptes propose un certain nombre d'étiquettes standards au bas de la fenêtre de gauche. De plus, vous pouvez définir et assigner vos propres étiquettes.

Note

Le bouton Non-apparié affecte l'état du compte. Les comptes peuvent être dans l'un ou l'autre des états appariés ou non-appariés et être étiquetés avec les étiquettes ci-bas.

Étiquette	Description
Non apparié	Place les comptes dans l'état non-appariés. Ceci peut-être utilisé pour ramener un ou plusieurs comptes qui ont été marqués appariés à l'état original.
Technique	Désigne les comptes techniques. Ces comptes seront assignés comme des comptes fiduciés aux identités.
Orphelin	Désigne des comptes qui ne peuvent être associés à une identité. Ces comptes peuvent représenter un certain risque et devraient être révoqués.
A vérifier	Désigne des comptes qu'on ne peut rapidement apparier à une identité et qui requièrent une investigation plus poussée.
Homonyme	Désigne des comptes qu'on ne peut rapidement apparier à une identité parce qu'il y a plus d'une identité qui peut correspondre au compte. Ces comptes requièrent une investigation plus poussée.
Générique	Désigne des comptes qui sont utilisés par plusieurs personnes. Ils ne peuvent être apparier à une seule personne. Ces comptes doivent être assignés à des fiduciaires.
Client	Désigne des comptes qui sont appartiennent à une entité autre que l'organisation qui met en place le sevice de GIA. Cette étiquette est utilisée dans le contexte de services impartis, où les utilisateurs des organisations client ont aussi des comptes dans les systèmes informatiques. Ces comptes doivent être assignés à des fiduciaires.

La liste déroulante affiche les étiquettes personalisées à votre organisation. Elle vous permet d'étiqueter les comptes sélectionnés avec des étiquettes qui sont spécifiques et pertinentes à votre organisation.

Exemple

Les étiquettes personalisées peuvent être utilisées pour marquer les comptes à haut privilèges, par exemple, pour faciliter la définition de campagnes de revues d'accès à privilèges élevés.

Vous pouvez créer des étiquettes personalisées dans le menu CONFIGURATION>Mappage.

Voir aussi

• Configurer des mappages

Pour étiqueter des comptes:

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

2. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à étiqueter.

3. Sélectionnez les comptes que vous souhaitez étiqueter.

4. Cliquez sur un des boutons au bas de la section de gauche pour étiqueter les comptes sélectionnés ou choississez une étiquette dans la liste déroulante au bas de la page et cliquez sur Marquer.

Apparier des comptes à une identité

Si le système n'a pas été en mesure de faire correspondre automatiquement certains comptes et certaines identités parce qu'il n'existe pas de clés d'identification uniques, vous devrez les faire correspondre manuellement.

Pour apparier un compte à une identité:

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche. Utilisez les filtres et la barre de recherche des comptes pour raffiner la liste des comptes à apparier

2. Sélectionnez le ou les comptes que vous souhaitez associer à une personne.

   Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

3. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

   

   Le compte et l'identité ont été mis en correspondance. Le compte apparaît maintenant dans la liste au bas de la page des détails de l'identité.

   Note

   Si plusieurs comptes avec la même nomenclature sont détectés, un panneau s'affichera qui vous proposera d'apparier en bloc l'ensemble des comptes similaires. Ceci facilite et accélère grandement le travail d'appariement manuel.

Dissocier un compte d'une identité

Inversement, si une correspondance a été établie et que vous constatez qu'elle n'aurait pas dû l'être, vous pouvez dissocier un compte d'une identité.

Pour dissocier un compte d'une identité :

1. Cliquez sur PERSONNE> Identité.
2. Dans la zone de texte Recherche, incrivez quelques lettres du nom ou prénom de l'identité à laquelle le compte a été associé et cliquez sur la loupe.
3. Dans la liste, cliquez sur l'identité désirée. La page Détails des identités s'ouvre.
4. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez dissocier.

5. Cliquez sur OK pour confirmer.

Le compte n'est plus associé à l'identité et est déplacé vers la liste des comptes non-appariés dans la page Appariement des comptes.

Assigner des comptes aux fiduciaires

1. Dans la barre de menu, cliquez sur GENS> Appariement des comptes.

   Par défaut, les comptes non appariés sont affichés dans la liste de gauche.

2. Sélectionner les comptes Techniques ou Génériques non-appariés.

   Utilisez les filtres et la barre de recherche pour raffiner la liste des comptes à assigner.

3. Sélectionnez les comptes que vous souhaitez assigner. Utilisez les filtres d'identités dans la section de droite pour afficher des identités potentielles.

4. Sélectionnez une identité dans la liste et cliquez sur le bouton Apparier.

Voir aussi

• Fiduciaires

Transférer un compte

Lorsque qu'un compte n'est pas associé à la bonne identité, et que vous savez à qui il devrait être associé, vous pouvez le transférer directement à l'autre identité au lieu de le supprimer puis de le faire correspondre à nouveau.

Pour transférer un compte:

1. Dans la barre de menu, cliquez sur PERSONNE> Identité.

2. Dans la liste, cliquez sur la personne dont vous voulez transférer le compte à une autre personne. La page Détails Identité s'ouvre.

3. Sous Comptes, cliquez sur le bouton à côté du compte que vous voulez transférer.

   

4. Dans la boîte de dialogue Transfert de compte, dans la liste Sélectionner une identité, incrivez le nom de l'identité à laquelle vous voulez affecter le compte ou sélectionnez-la dans la liste.

5. Cliquez sur Transférer.

   Le compte apparaît maintenant dans la liste de comptes dans la page "détails" de l'identité.

À propos des actifs

Cette section présente comment créer et gérer des actifs dans RAC/M Identity.

Dans RAC/M Identity, un Actif est tout composant appartenant à l'organisation que les gens utilisent pour mener leurs activités et qui nécessite des privilèges d'accès, qu'ils soient logiques ou physiques. Les actifs peuvent être, par exemple, des systèmes, des applications, des composantes d'infrastructure ou même des éléments physiques.

Dans ce contexte, le système de paie, les logiciels métiers, le système de messagerie, le réseau sans fil, les applications infonuagiques, les portes, etc. sont tous des exemples d'actifs.

Pour créer et gérer les actifs, vous utiliserez l'option ACTIFS du menu principal.

L'option ACTIFS du menu principal permet de:

• Visualiser, modifier et ajouter des Regroupements d'actifs
• Visualiser, modifier et ajouter des Actifs
• Visualiser, modifier, ajouter et retirer des Comptes d'accès
• Visualiser, modifier, ajouter et retirer des Groupes
• Visualiser, modifier, ajouter et retirer des Items
• Visualiser, modifier, ajouter et retirer des Permissions
• Visualiser, modifier, ajouter et retirer des Groupes de délégation

Regroupement d'actifs

Afin de faciliter la gestion, les actifs sont toujours associés à un Regroupement d'actifs. Par défaut, les actifs sont associés au regroupement Default. Vous pouvez créer autant de regroupements d'actifs que désiré et y assigner tous les actifs requis.

Exemple

Si votre entreprise intègre plusieurs entités indépendantes qui utilisent des systèmes informatiques similaires comme Active Directory ou Microsoft 365, il peut-être utile de créer des regroupements d'actifs par entités. Ainsi, il n'y aura pas de collision sur les noms d'actifs, même si les actifs sont les mêmes dans les différentes entités car les actifs sont désignés par la forme cannonique "Regroupement d'actif/Actif".

Stratégies d'approvisionnement

La liste déroulante Type d'approvisionnement permet de définir et configurer la stratégie d'approvisionnement utilisée par le système pour créer, modifier, désactiver ou supprimer des comptes sur les systèmes cibles. Ces stratégies permettent de configurer les règles à appliquer et les actions à prendre en fonction du mode d'approvisionnement tel que manuel ou automatisé.

La liste déroulante propose plusieurs stratégies incluant Approvisionnement manuel, Aucun, Connecteur ICF et Logique.

Les stratégies sélectionnées au niveau d'un regroupement d'accès s'appliquent à l'ensemble des actifs associés au regroupement si des politiques spécifiques n'ont pas été assignées aux actifs. En revanche, si une stratégie a été assignée à un actif, c'est cette stratégie qui sera appliquée.

Les paramètres de configuration diffèrent en fonction de la stratégie sélectionnée.

Approvisionnement manuel

Cette stratégie est utilisée pour effectuer l'approvisionnement manuellement par un opérateur ou une équipe de support, plutôt que par un connecteur automatique.

Le système crée un billet (ou tâche) décrivant les actions à exécuter sur le système cible, et peut notifier les parties concernées selon les options définies ci-dessous.

Configuration d'approvisionnement manuel

La liste déroulante permet de choisir le modèle du courriel à envoyer lors d'une requête d'approvisionnement manuel. Vous pouvez définir autant de modèles que requis. Les modèles de courriel permettent de personnaliser les destinataires, la structure, l'aspect visuel et le contenu dynamique des courriels. Les modèles sont configurés à la section CONFIGURATION> Approvisionnement manuel.

Paramètres d'aiguillage du billet

Permet de renseigner une valeur qui sera inscrite dans le courriel. Cette valeur peut être utilisée pour aiguiller le billet vers les équipes ou groupes responsables de leur exécution. Ceci est particulièrement utile lorsque le courriel est transmis à une boîte de réception d'un système de billetterie afin d'ouvrir un billet automatiquement.

Stratégie de sélection de compte pour l'approvisionnement

Spécifie comment le système choisit le ou les comptes cibles lors de la création ou de l'activation d'un compte.

Lorsqu'un accès à un actif est octroyé à une identité, un compte doit être créé et lorsque les accès doivent être retirés, les comptes doivent être révoqués. RAC/M Identity intègre plusieurs stratégies pour créer ou sélectionner des comptes dans un contexte d'approvisionnement et de désapprovisionnement automatisé. En général, les stratégies qui retournent plusieurs comptes ou tous les comptes sont plus appropriées pour le désapprovisionnement, alors que les stratégies d'approvisionnement ne doivent sélectionner ou créer qu'un seul compte.

Voici quelques options disponibles :

• Utiliser la configuration du regroupement d'actifs

  La stratégie spécifiée au niveau du regroupement d'actif sera affichée à droite du texte et sera utilisée pour l'actif courant.

• Sélectionner n'importe quel compte actif

  Sélectionne un compte actif qui peut être trouvé sur n'importe quel actif auquel l'identité visée a accès. Si aucun compte n'est trouvé, un compte sera créé en utilisant la politique de création de compte associée à l'actif.

• Sélectionner tous les comptes

  Sélectionne l'ensemble des comptes, actifs et inactifs, appartenant à l'identité visée sur les actifs associés au regroupement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désapprovisionnement.

• Sélectionner tous les comptes actifs

  Sélectionne l'ensemble des comptes actifs appartenant à l'identité visée sur les actifs associés au regroupement. Cette stratégie est typiquement utilisée pour retirer l'ensemble des comptes d'une identité lors du désapprovisionnement.

• Sélectionner un compte actif ou en créer/activer un basé sur le compte primaire de l'identité

  Sélectionne un compte actif s'il n'y en a qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Identité primaire de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

• Sélectionner un compte actif ou en créer/activer un basé sur le courriel de l'identité

  Sélectionnera un compte actif s'il n'y en a qu'un seul, sinon une erreur sera retournée. S'il n'y en a aucun, un nouveau compte sera créé ou réactivé en utilisant le contenu du champ Courriel de l'objet Identité visé. Si ce champ est vide, un nouveau compte sera créé en utilisant la politique de création de comptes associée à l'actif. Cette stratégie est recommandée pour l'approvisionnement.

Note

Le contenu des listes déroulantes peut changer au fil de l'évolution de RAC/M Identity. Référez-vous au contenu des listes déroulantes et à la description associée pour choisir les stratégies appropriées.

Stratégie de sélection de compte pour le déprovisionnement

Définit comment les comptes sont identifiés lors de la désactivation ou de la suppression. En général, les stratégies qui retournent tous les comptes actifs ou tous les comptes sont utilisées. Voir les options disponibles à la section Stratégie de sélection de compte pour l'approvisionnement.

Approvisionnement sans réconciliation du système cible

Dans ce mode, la solution envoie une demande pour faire l'approvisionnement manuellement selon le mécanisme sélectionné. La solution assume qu'il n'y aura pas de réconciliation du système cible, alors elle représente les changements directement dans le référentiel aussitôt que la demande a été envoyée.

Notifications

Les notifications permettent d'informer les parties concernées (demandeur, cible, superviseur, groupe d'approvisionnement) lors des différentes étapes du cycle de vie du compte.

Pour chacune des situations suivantes:

Lors de la création ou de l'activation d'un compte

Lors de la modification des accès

Lors d'un changement de mot de passe

Veuillez sélectionner une des options de notification suivantes:

• Utiliser la configuration du regroupement d'actifs

  Si cette case est cochée, ce sont les choix effectués au niveau du regroupement d'actifs qui seront utilisés, tel qu'indiqué à la droite du texte.

• Ne pas envoyer de notification

  Si cette case est cochée, aucune notification n'est envoyée.

• Envoyer une notification à :

  Cochez les cases ci-dessous pour envoyer un courriel de notification aux destinataires correspondants.

  Destinataire	Description
  Cible	L'identité pour laquelle la requête est émise, aussi appellée sujet.
  Demandeur	L'identité qui a effectué la demande ayant généré la requête
  Superviseur de la cible	L'identité indiquée comme le superviseur de la cible.
  Groupe de notification d'approvisionnement de la cible	L'ensemble des délégués faisant partie du groupe de notification assigné à la cible.

Envoi séparé du mot de passe

Précise si le mot de passe doit être envoyé dans un message distinct pour renforcer la sécurité. Idéalement, le mot de passe devrait toujours être envoyé dans un courriel séparé.

Aucun

Cette stratégie n'effectue aucun approvisionnement, ni manuel, ni automatisé. Cette stratégie est surtout employée pour des environnements de démonstration, de formation et de non-production. Elle peut être utile pour s'assurer qu'aucune action d'approvisionnement n'est prise pour certains actifs dans des circonstances particulières.

Connecteur ICF

Cette stratégie est utilisée pour effectuer l'approvisionnement automatisé des comptes et des accès. Elle prend avantage des connecteurs ICF configurés pour permettre l'ajout, retrait et modification des comptes et des accès vers les divers actifs informationnels.

Connecteur ICF d'approvisionnement

La liste déroulante propose les connecteurs ICF qui ont été configurés pour votre environnement. Vous devez choisir le connecteur approprié en fonction de l'actif visé. Voir Configurer un connecteur ICF.

Instruction d'approvisionnement

La liste propose des choix permettant de déterminer si des modalités de réalisation spécifique sont requises.

Instruction	Description
Aucun	Aucune instruction spécifique requise.
Approvisionnement manuel	Utilise le connecteur ICF en mode d'approvisionnement manuel. Voir Approvisionnement manuel

Stratégie de sélection de compte pour l'approvisionnement

Stratégie de sélection de compte pour le déprovisionnement

Notification

Ces champs sont similaires à ceux décrits à la section Approvisionnement manuel. Voir Approvisionnement manuel pour plus de détails.

Logique

Cette stratégie est utilisée lorsque des applications externalisent leur authentification et autorisation vers un annuaire AD.

Dans ce cas, la majorité des détails sont définis au niveau de l'actif, seuls les champs pour sélectionner les comptes lors de l'approvisionnement et du désapprovisionnement sont présentés.

Stratégie de sélection de compte pour l'approvisionnement

Stratégie de sélection de compte pour le déprovisionnement

Notification

Ces champs sont similaires à ceux décrits à la section Approvisionnement manuel. Voir Approvisionnement manuel pour plus de détails.

Voir aussi

Applications logiques

Créer un regroupement d'actifs

Pour créer un regroupement d'actifs:

1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Saisissez les informations requises comme suit :

   Nom

   Incrivez le nom du regroupement d'actifs. Choisissez un nom significatif et représentatif du regroupement.

   Description

   Saisissez une brève description du regroupement. Elle aidera les pilotes à distinguer entre les différents regroupements d'actifs.

   État

   Dans la liste, sélectionnez Activé pour activer les actifs associés à ce regroupement. C'est à dire qu'ils seront visibles pour la logique d'affaires qui pourra traiter les données d'accès associés à ces actifs et prendre action le cas échéant.

   Sélectionnez Désactivé pour désactiver tous les actifs associés à ce regroupement. Dans ce cas, les actifs ne seront pas visibles à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

   Conseil

   L'état Déactivé peut être utile lorsque les actifs associés au regroupement sont en cours d'intégration ou si le regroupement représente des environnements distincts qui ne doivent pas être activés momentanément.

   Nom technique

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_prod_Mtl.

Approvisionnement

4. Sous Approvisionnement, sélectionnez la stratégie d'approvisionnement la plus appropriée. Voir Stratégies d'approvisionnement.

5. Si des attributs étendus ont été ajoutés à l'objet Regroupement d'actif, vous pouvez y inscrire les valeurs appropriées.

6. Cliquez sur Enregistrer.

   Le regroupement d'actifs est ajouté à RAC/M Identity. Ce regroupement est maintenant disponible pour y associer des actifs.

Modifier un regroupement d'actifs

Pour modifier un regroupement d'actifs:

1. Dans la barre de menu, cliquez sur ACTIFS> Regroupements d'actifs.

2. Sélectionnez le regroupement d'actifs que vous voulez modifier. Vous pouvez naviguer directement vers les listes d'Actifs, de Comptes, de Groupes,d'Items et de Permissions associées au regroupement sélectionné en cliquant sur les boutons respectifs.

3. Effectuez les modifications nécessaires.

4. Cliquez sur Enregistrer.

Retirer un regroupement d'actifs

Il n'est pas possible de retirer un regroupement d'actifs.

Créer un actif

Dans la majorité des cas, les actifs doivent être créés manuellement, directement dans la console de gestion. Toutefois, il existe quelques situations où les actifs peuvent être ajoutés au référentiel de RAC/M Identity en important les données des sources de données (voir Analyse des données).

C'est le cas par exemple de serveurs ou d'applications qui utilisent un format commun de fichiers plats pour extraire les comptes et les accès associés. C'est aussi le cas pour des serveurs ou des équipements dont la configuration est documentée dans une base de données de gestion des configurations CMDB. Dans ces deux cas, les actifs peuvent être créés automatiquement dans le référentiel sans intervention humaine.

Lors de la création d'un actif vous pouvez inscrire les méta-données et les éléments de configuration qui déterminent le niveau d'intégration ainsi que les détails du fonctionnement de la logique d'affaires par rapport à cet actif. Bien sûr, le niveau d'intégration peut évoluer avec le temps, au fur et à mesure que votre organisation gagne en maturité par rapport aux processus de GIA. Les détails de configuration des actifs visés devront être ajustés en conséquence.

Pour créer manuellement un actif:

1. Dans la barre de menu, cliquez sur ACTIFS> Actifs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Entrez les informations requises comme suit :

   Nom

   Incrivez le nom de l'actif. Choisissez un nom significatif et représentatif de l'actif.

   Nom technique

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: Medusa_AD_MTL.

   État

   Dans la liste, sélectionnez Activé pour activer l'actif. C'est à dire qu'il sera visible pour la logique d'affaires qui pourra traiter les données d'accès associés à cet actif et prendre action le cas échéant.

   Sélectionnez Désactivé pour désactiver l'actif. Dans ce cas, l'actif ne seront pas visible à la logique d'affaires et aucune analyse ne sera effectuée ni aucune action ne sera prise.

   Description

   Saisissez une brève description de l'actif. Elle aidera les pilotes à distinguer entre les différents actifs.

   Regroupement d'actifs

   Sélectionnez ou incrivez quelques lettres pour rechercher le regroupement d'actifs auquel vous voulez associer l'actif. (Voir également Créer un regroupement d'actifs)

   Source de synchronisation du mot de passe

   Si vous prévoyez implanter une fonction de synchronisation de mots de passe, vous pouvez sélectionner l'Actif qui servira de source. C'est à dire, que quand un changement de mot de passe sera effectué sur l'actif source il sera propagé à tous les actifs qui l'utilisent comme source. Typiquement, les sources recommandées sont Active Directory ou Entra ID.

   Pour inscrire un actif source, sélectionnez ou incrivez quelques lettres de l'actif recherché.

   Laisser le champ vide si vous ne prévoyez pas mettre en oeuvre la synchronisation de mot de passe.

   Catégorie

   Les catégories permettent de regrouper logiquement les actifs afin d'effectuer des analyses et des traitements spécifiques. Les catégories peuvent être définies arbitrairement ce qui offre beaucoup de flexibilité pour représenter une structure pertinente à votre organisation.

   Par exemple, des catégories peuvent être définies pour regrouper les actifs par niveau de criticité. Une autre possibilité et de regrouper les actifs par type de systèmes tels que systèmes financiers, systèmes RH, systèmes métiers, etc.

   Sélectionnez une catégorie de la liste déroulante pour catégoriser l'actif si désiré. Vous pouvez laisser le champ vide si une catégorisation n'est pas requise.

   Note

   Les catégories doivent avoir été créées au préalable dans la section CONFIGURATION Mappages pour être disponibles dans la liste déroulante.

   DN

   DN signifie nom distingué (Distinguished Name). Ce champ est utilisé principalement avec des annuaires LDAP et X500. Vous pouvez laisser ce champ vide pour les actifs communs.

   Type de système, OS et Identifiants

   Ces champs sont des champs informationnels facultatifs qui peuvent servir à fournir des informations supplémentaires à la logique d'affaires. Vous pouvez les utiliser pour identifier la nature du système ou d'un serveur ainsi que le système d'exploitation si pertinent. Les champs identifiants peuvent être utilisés pour toute information supplémentaire qui peut être utile à la logique d'affaires.

   Laissez les champs vides si non requis.

   Date de la dernière validation, date de la dernière modification et date de la dernière validation.

   Ces champs sont des indicateurs, mis à jour par RAC/M Identity pour refléter les dates des événements impliquant l'actif.

   Fournisseur de services d'accès

   Cette case à cocher est utilisée pour signaler que l'actif est utilisé pour contrôler l'accès à d'autres actifs. Les annuaires LDAP et les bases de données peuvent être utilisés comme fournisseur de services d'accès. Par exemple, les groupes d'Active Directory ou de Entra ID sont souvent utilisés pour contrôler l'accès à des actifs qui externalisent l'authentification et l'autorisation, tels que Citrix, BitWarden, etc.

   Ceci permet à la logique d'affaires de traiter les groupes de sécurité de l'actif de façon à contrôler les accès pour les actifs qui en dépendent.

   Cette case est typiquement cochée pour un annuaire Active Directory ou Entra ID utilisé pour contrôler l'accès à des actifs configurés comme des Applications logiques. Laissez la case vide pour tous les autres cas.

   Voir aussi

   • Applications logiques

   Accès disponibles en libre-service

   Lorsque vous cochez cette case, vous autorisez les demandes d'accès à cet actif via le portail libre-service de RAC/M Identity.

   Voir aussi

   • Intoduction au portail libre-service.

4. Cliquez sur Enregistrer au bas de la page pour sauvegarder l'actif.

   L'actif est ajouté au référentiel.

   Note

   Il est recommandé d'enregistrer l'actif en cours de création même si la configuration n'est pas complètement terminée.

   Boutons Comptes, Groupes, Items, Permissions

   Ces boutons dirigent directement vers des pages de listes qui affichent les éléments représentés par les boutons. Comme l'actif est en cours de création, ces listes sont vides et sans intérêt pour l'instant. Vous pouvez passer directement à la section Approvisionnement.

   Approvisionnement

   Sous Approvisionnement, dans les listes déroulantes, sélectionnez la stratégie d'approvisionnement la plus appropriée. Voir Stratégies d'approvisionnement.

   Propriétaire

   Dans la liste, tapez les premières lettres du nom du propriétaire et sélectionnez-le.

   Un propriétaire doit obligatoirement être désigné pour chaque actif. Le propriétaire est responsable de la saine gestion de l'actif et peut être impliqué dans l'approbation des requêtes d'accès et/ou dans la révision et la certification des accès, en particulier au niveau des accès à privilèges élevés.

   Sélectionnez le propriétaire de l'actif en incrivant quelques lettres du nom du propriétaire dans la liste déroulante.

   Groupe administrateur

   Ce champ permet d'assigner un groupe de délégation qui correspond à l'équipe chargée d'exploiter l'actif, tout particulièrement d'exécuter les demandes et les révocations d'accès. C'est aux membres de ce groupe que seront transmises les demandes d'accès une fois approuvées, ainsi que les demandes de révocations d'accès, dans les cas où l'approvisionnement et le désapprovisionnment ne sont pas automatisés.

   Sélectionnez le groupe administrateur de l'actif en incrivant quelques lettres du groupe dans la liste déroulante.

   Conseil

   Il est recommandé d'inscrire un groupe administrateur lors de l'implantation d'un nouvel actif pour assurer la création, la modification et le retrait des accès jusqu'à ce que l'approvisionnement et le désapprovisionnement puissent être totalement automatisés.

   Note

   Les groupes administrateurs doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Groupe certificateur

   Ce champ vous permet d'attribuer un groupe de délégation qui correspond à l'équipe responsable de la révision de l'élément. Les membres de ce groupe seront chargés d'approuver ou de rejeter les éléments à réviser dans les campagnes de révision.

   Sélectionnez le groupe de certificateurs de l'actif en entrant quelques lettres du groupe dans la liste déroulante.

   Attributs étendus

   Si des attributs étendus ont été ajoutés à l'objet Actif, vous pouvez y inscrire les valeurs appropriées.

   Définir le flux d'approbation

   RAC/M Identity inclus une fonctionalité de flux d'approbation avancée et extrêmement flexible qui permet de définir un mode de fonctionnement comprenant jusqu'à trois niveaux d'approbation par simple paramétrage.

   L'activation de chaque niveau est optionnelle, et peut être déterminée en fonction du niveau de risque associé à l'actif lui-même et aux groupes sous-jacents. Chaque niveau correspond à une étape qui doit être complétée pour passer à la prochaine. Chaque niveau peut invoquer des groupes de délégation afin d'assurer que les approbations soient réalisées le plus rapidement possible, même dans le cas où des intervenants ayant des responsabilités d'approbation sont indisponibles.

   Pour chacun des niveaux suivants,indiquez si le niveau est requis et complétez les informations indiquant qui devra approuver les requêtes, le cas échéant.

   Approbation liée à l'identité

   Sélectionnez Requise si le responsable de la personne qui demande l'accès doit approuver l'accès à cette ressource. Dans ce cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

   Approbation liée au groupe

   Sélectionnez Requise si le propriétaire de la ressource (actif ou groupe) ou un groupe de délégation doit approuver l'accès à cette ressource.

   Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Approbation spéciale

   Sélectionnez Requise par ce groupe approbateur spécial si vous avez besoin d'un troisième niveau d'approbation.

   Ceci peut être utile, par exemple, pour accorder l'accès à une ressource critique pour laquelle une formation ou une certification spécifique est requise.

   Si un groupe de délégation doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

5. Cliquez Enregistrer pour sauvegarder l'actif.

Visualiser ou modifier un actif

Pour visualiser ou modifier un actif:

1. Dans le menu ACTIFS, cliquez sur Actifs.
2. Dans la liste, sous la colonne Actifs, sélectionnez l'actif que vous souhaitez visualiser ou modifier. Effectuez les modifications requises
3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

Ajouter un actif existant à un regroupement d'actifs

Pour ajouter un actif existant à un regroupement d'actifs:

1. Dans le menu ACTIFS, cliquez sur Actifs.

2. Dans la liste Regroupement d'actifs, sélectionnez l'actif que vous souhaitez ajouter au regroupement. Les actifs pour lesquels un regroupement d'actifs n'a pas été spécifié se retrouvent dans le regroupement Default.

   

3. Dans la page Détails des actifs, dans la liste déroulante Regroupement d'actifs, sélectionnez le regroupement auquel vous souhaitez ajouter l'actif.

   

4. Cliquez sur Enregistrer.

   L'actif est maintenant associé au regroupement d'actif. Vous pouvez consulter tous les détails des actifs ainsi que des accès et permissions associés dans la page Détails des regroupements d'actifs.

   

Créer un groupe de délégation

Un groupe de délégation est un groupe d'identités auxquels le propriétaire du groupe a délégué ses responsabilités. Par exemple, les membres peuvent approuver une demande d'accès si le propriétaire du groupe n'est pas disponible pour le faire.

Pour créer un groupe de délégation:

1. Dans la barre de menu, cliquez sur Actifs> Groupes de délégation.

2. En haut à droite de la page, cliquez sur le bouton .

   

3. Sous Détails, entrez les informations requises comme suit :

   Nom

   Incrivez le nom du groupe. Choisissez un nom significatif et représentatif de la nature du groupe de délégation.

   Conseil

   C'est une bonne pratique d'utiliser une syntaxe normalisée pour les groupes de délégation qui inclus l'utilisation et le nom du propriétaire. ex: GD-APP-Charles Tremblay.

   Description

   Incrivez une brève description des responsabilités du groupe de délégation.

   Type de groupe

   Dans la liste déroulante, sélectionnez un type de groupe de délégation. RAC/M Identity inclus deux types fondamentaux de groupes de délégation, soit les types SIMPLE_GROUP et CASCADE_GROUP.

   Les groupes SIMPLE_GROUP dirigent les requêtes à tous les membres simultanément. Dans ce mode, tous les membres reçoivent les notifications et voient les tâches dans le portail libre-service. Dès qu'un des membres approuve une requête, elle est retirée de la liste. Cette approche assure la résolution la plus rapide des requêtes.

   Les groupes CASCADE_GROUP dirigent les requêtes séquentiellement vers chacun des membres selon la priorité indiquée au champ Priorité associé à chaque membre et les paramètres de configuation. Cette approche est utile pour définir une stratégie graduelle d'approbation des demandes.

   Les deux types de groupes existent en deux versions, soit les versions de base qui incluent le propriétaire du groupe, et les versions SIMPLE_EXCL_OWNER et CASCADE_GROUP_EXCL_OWNER qui excluent le propriétaire du groupe, c'est à dire que les requêtes sont transmises à tous les membres sauf au propriétaire du groupe.

   Ces versions sont utiles pour les groupes de délégation dont les propriétaires sont des exécutifs avec peu ou pas de disponibilité pour les tâches opérationnelles.

   Portée du groupe

   Les groupes de délégation dont la portée est Générique peuvent être utilisés pour toutes les tâches d'approbation ou de certification. Ils seront disponibles dans les listes déroulantes des divers objets qui requièrent des groupes de délégation.

   Les groupes de délégation dont la portée est Libre-service sont utilisés pour préciser que les personnes membres peuvent voir les accès détenus par une personne dans le portail libre-service.

   Les groupes de délégation de type Libre-service doivent être associés aux membres des Groupes approbateurs assignés aux identités pour qu'ils puissent voir les accès présentement détenus par celles-ci.

   

   Note

   Si le demandeur n'est pas membre du Groupe approbateur ni membre d'un groupe de délégation de type Libre-service appartenant à un des membres du Groupe approbateur de la personne dont il veut visualiser les droits, il pourra effectuer la demande d'accès mais ne pourra visualiser les accès existants ni les retirer.

   Nom technique

   Incrivez un nom qui sera utilisé par RAC/M Identity comme clé unique. Un bon nom technique doit être unique, permanent et refléter l'objet associé. exemple: GD_APP_CT.

   Propriétaire

   Dans la liste, sélectionnez la flèche pour l'ouvrir ou incrivez les premières lettres du nom de l'identité propriétaire, puis sélectionnez-la.

   Délégués

   Sous Délégués, dans la liste Recherche de délégués, incrivez les premières lettres du nom de l'identité à ajouter aux membres et cliquez sur le bouton Ajouter.

   Priorité

   Le champ Priorité permet de mettre en oeuvre une stratégie d'escalade progressive en décalant les notifications aux différents membres du groupe après un nombre de rappels déterminé par la valeur du champ Priorité.

   Exemple

   Une valeur de "1" signifie que le membre sera notifié à chaque rappel, alors qu'une valeur de "3" signifie que le membre sera notifié après trois rappels.

4. Cliquez sur Enregistrer.

Visualiser, modifier ou supprimer un groupe de délégation

Pour visualiser, modifier ou supprimer un groupe de délégation :

1. Dans le menu ACTIFS, cliquez sur Groupes de délégation.
2. Dans la liste, sélectionnez le groupe de délégation que vous souhaitez afficher, modifier ou supprimer. Apportez les modifications nécessaires ou cliquez sur le bouton pour le supprimer.
3. Cliquez sur Save pour enregistrer vos modifications.

À propos des droits d'accès

Cette section présente comment gérer les droits d'accès dans RAC/M Identity.

Dans RAC/M Identity, Accès est un terme générique qui représente un droit d'accès, un privilège ou une permission qui permet à un utilisateur d'accéder à un actif ou à une fonction d'un actif informationnel ou encore qui donne accès à un actif physique comme une clé ou l'accès à une porte.

Pour créer et gérer les accès, vous utilisez l'option ACCÈS du menu principal.

L'option ACCÈS du menu principal permet de:

• Créer, démarrer, annuler, visualiser et modifier des Campagnes de révisions d'accès
• Visualiser, modifier et créer des Rôles
• Visualiser, modifier et créer des Versions de rôles
• Visualiser, modifier et créer des Sessions de modélisation de rôles
• Visualiser, modifier, ajouter et retirer des Règles de ségrégation de tâches
• Visualiser, modifier, ajouter et retirer des Fonctions supplémentaires

À propos de campagnes de révision d'accès

Lors d'une révision d'accès, les certificateurs désignés passent en revue tous les accès et déterminent s'ils sont encore valides ou s'ils doivent être supprimés. De cette façon les accès sont certifiés valides.

RAC/M Identity offre beaucoup de flexibilité au niveau de la définition des campagnes de révision d'accès afin de permettre de mettre en oeuvre un processus durable et efficace, bien adapté à la réalité de chaque entreprise.

Les campagnes peuvent être configurées pour déterminer le contenu et le niveau de détails à réviser, les certificateurs impliqués ainsi que la portée en termes d'identités et d'actifs inclus.

Le comportement exact des campagnes ainsi que les possibilités offertes aux certificateurs sont aussi pleinement configurables.

De plus, les campagnes incrémentales permettent de réduire les efforts de révision en mettant l'emphase sur les changements apportés depuis la dernière révision.

Note

La révision d'accès est aussi souvent appelée recertification, validation d'accès ou vérification des accès.

Note

Pour effectuer la revue d'accès après le lancement de la campagne, consultez la section Campagne de révision des accès.

Créer ou modifier des règles de filtrage (filtres)

Cette section présente comment définir des règles de filtrage en utilisant l'éditeur de règles. L'éditeur de règles est utilisé à plusieurs endroits dans RAC/M Identity.

L'objectif des règles de filtrage est de produire un sous-ensemble d'objets sur lesquels les traitements seront effectués par la logique d'affaires. Les objets retenus sont déterminés en fonction des conditions que vous définissez et du contenu des attributs évalués par les conditions.

Les filtres sont construits en combinant des règles simples, chacune évaluant une seule condition en utilisant les opérateurs booléens ET et OU. Les règles peuvent être regroupés et les sous-groupes combinés de la même façon. Toutes les règles et sous-groupes à l'intérieur d'un groupe ou sous-groupe utilisent l'opérateur associé au groupe.

Les règles de filtrage servent essentiellement dans deux cas:

• Pour filtrer des identités, ou
• Pour filtrer des actifs.

Règles

Les règles sont construites avec une syntaxe simple :

[Opérateur Booléen] 
	[Source d'attribut][Attribut][Opérateur d'égalité][Valeur]	Règle 1
									Règle 2...

• Opérateur Booléen applique la fonction sélectionnée à l'ensemble des règles et des sous-groupes à l'intérieur d'un groupe.
• Source d'attribut contient une liste déroulante qui réfère à une source d'attributs:

  • Filtre de base propose les attributs des objets:

  • Personnes et Identités (filtres d'identités) ou

  • Regroupement d'actifs, Actifs, Comptes, Groupes, Items (filtres d'actifs)

  • Autres attributs, (filtres d'actifs).

  • Attributs étendus xxx La liste propose aussi les attributs étendus associés aux objets de la liste. Seuls les objets pertinents aux filtres à construire sont affichés dans la liste.

• Attribut sélectionnez l'attribut que vous voulez évaluer dans la règle.
• Opérateur d'égalité sélectionnez = ou != en fonction de si l'attribut doit avoir une valeur égale ou différente de la valeur déterminée.
• Valeur entrez la valeur désirée.

  Note

  L'opérateur = agit aussi comme l'opérateur contient si l'attribut contient une liste de valeurs.

  Exemple

  Si l'attribut étendu d'identité Certifications contient les valeurs: " HIPAA", "FDA", "NERC", la règle:

  Attributs étendus d'identité Certifications = FDA est vraie.

Pour créer une règle de filtrage:

1. Naviguez à la page de l'objet auquel vous voulez ajouter une règle de filtrage, telle que les Campagnes de révision d'accès et les Rôles. Cliquez sur les boutons permettant d'ajouter ou d'éditer les règles.

   

2. Sélectionnez l'opérateur d'égalité que vous voulez utiliser pour le groupe associé:

   • ET : Le résultat est vrai lorsque toutes les règles et sous-groupes sont vraies.
   • OU : Le résultat est vrai lorsque l'une ou l'autre des règles ou sous-groupes sont vraies.

3. Cliquez sur le bouton pour ajouter des règles à un groupe.

4. Cliquez sur le bouton pour ajouter un sous-groupe de règles.

5. Cliquez sur Enregistrer. Les règles de filtrage sont enregistrées dans le référentiel.

Créer une campagne de révision d'accès

Pour créer une campagne de révision d'accès :

1. Dans la barre de menu, cliquer sur ACCÈS> Campagnes de révision.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Campagne, entrez les informations requises comme suit :

   Nom

   Incrivez le nom de la campagne.

   

   Description

   Saisissez la description et l'objectif de la campagne.

4. Cliquez sur Enregistrer.

   Date de démarrage et date de fin

   La Date de début affichera la date à laquelle la campagne sera lancée. La Date de fin ouvre un calendrier dans lequel vous sélectionnez la date de fin de la campagne.

   Mode

   Sélectionnez Campagne interactive pour traiter la campagne en ligne. L'option Campagne hors ligne produits des rapports PDF que les certificateurs révisent. Cette option est désuète et sera retirée dans une version future.

   Sous Type et portée de la campagnee, vous pouvez définir la nature des accès à réviser,le niveau de détails ainsi que la portée. Entrez les informations requises comme suit :

   Type de campagne

   Les campagnes de revues d'accès sont organisées en trois thèmes:

   • Les revues d'identités
   • Les revues de contenu des rôles
   • Les revues de comptes fiduciaires

   Pour les revues d'identités

   • Tous les accès : Permet de réviser tous les accès et autorisations accordés aux identités.
   • Rôles et accès excédentaires : Permet de réviser les rôles accordés aux identités ainsi que tous les accès et autorisations accordés en plus de ceux accordés par les rôles.
   • Uniquement les accès excédentaires aux rôles : Permet de mettre en lumière et réviser les accès et permissions accordés aux identités en plus de ceux accordés par les rôles.
   • Uniquement les conflits de séparation des tâches : Permet de réviser les accès et les autorisations accordés aux identités qui violent des règles de séparation des tâches.
   • Uniquement les comptes (les accès assignés aux comptes sont exclus) : Permet d'effectuer une révision simplifiée des comptes d'accès détenus par les identités sans plus de détails sur les groupes et les permissions.

   Pour les revues de contenu des rôles

   • Rôles et droits inclus : Permet de réviser tous les accès et autorisations associées aux rôles.

   Pour la révision des Comptes fiduciaires

   • Tous les droits : Permet de réviser tous les accès et autorisations associés aux comptes impersonnels.
   • Seulement montrer les comptes (les droits de ces comptes ne sont pas affichés) : Permet d'effectuer une révision simplifiée des comptes impersonnels sans plus de détails sur les groupes et les permissions. Ceci permet de confirmer rapidement la validité des comptes impersonnels par les fiduciaires.

   Comptes fiduciaires

   Cochez cette case si vous souhaitez inclure les comptes impersonnels dans une campagne de revue d'identités.

   Note

   Cette option n'est disponible que lorsque Revue d'identités - Tous les accès ou Revue d'identité - Uniquement les comptes... est sélectionné.

   Filtre supplémentaire

   Cochez cette case pour inclure les identités inactives dans une campagne de revue d'identité.

   Note

   Cette option n'est disponible que lorsque Revue d'identités - Tous les accès est sélectionné.

   Certificateurs

   Afin de déterminer qui va réviser et certifier les accès, sélectionnez l'une des options suivantes :

   • Certificateurs des identités lorsque vous voulez que les certificateurs soient ceux qui sont affectés aux identités.

   Exemple

   Le certificateur peut être le supérieur hiérarchique ou toute autre identité pertinente selon le niveau hiérarchique et la structure organisationnelle.

   • Certificateur des actifs lorsque les accès doivent être révisés par les certificateurs d'actifs.

   Un groupe certificateur peut être assigné explicitement à chaque actif ou groupe.

   • Certificateur désigné lorsque vous voulez spécifier un certificateur spécifique pour l'ensemble de la campagne.

   Un certificateur peut être assigné explicitement à chaque identité par la logique d'affaires qui peut appliquer des règles d'affaires personnalisées pour déterminer qui assigner.

   Ce type de campagne est particulièrement utile pour effectuer des campagnes de revues d'accès très ciblées, à envergure limitée.

   • Certificateurs des droits accordés par les rôles (actifs, groupes ou rôles inclus)

   Disponible seulement pour les campagnes de type Revue du contenu des rôles – Rôles inclus et accès

   Lorsque cette option est choisie, le certificateur sera déterminé en fonction des éléments contenus dans le rôle qui devront être révisés pour déterminer si leur accès doit être inclus dans ce rôle. Ces droits seront assignés à une identité lorsque le rôle est assigné à celui-ci.

   Filtres d'identités et filtres d'actifs

   Pour créer un filtre d'identités

   Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les identités que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès par département, par organisation ou par toute autre façon logique de déterminer les identités à réviser.

   Laissez le champ vide pour inclure toutes les identités.

   Cliquez sur le bouton Supprimer pour supprimer les règles.

   Voir aussi

   • Créer ou modifier des règles de filtrage¸

   Pour créer un filtre d'actifs

   Cliquez sur le bouton Editer pour ajouter des règles permettant de filtrer les actifs que vous voulez inclure dans la campagne. Par exemple, vous pouvez effectuer des revues d'accès pour tous les systèmes ou pour un sous-ensemble d'actifs.

   Laissez le champ vide pour inclure tous les actifs.

   Cliquez sur le bouton Supprimer pour supprimer les règles.

   Voir aussi

   • Créer ou modifier des règles de filtrage¸

   Portée de la campagne de rôle

   Sélectionnez une des options suivantes pour préciser la portée des revues de rôles.

   • Rôles actifs La campagne portera uniquement sur les rôles actifs.
   • Dernières versions de rôles La campagne incluera les dernières versions de tous les rôles, qu'ils soient actifs ou non.
   • Rôles inclus dans les sessions de modélisation de rôles La campagne incluera topus les rôles, organisés par session de modélisation de rôles.
   • Version de rôles La campagne incluera tous les rôles organisés par versions.

   Configuration avancée

   Cette section permet de configurer plusieurs paramètres qui définissent le fonctionnement des campagnes ainsi que les options disponibles aux certificateurs.

   Éléments sans approbateurs

   Cette option permet de déterminer comment les éléments pour qui des approbateurs n'ont pu être résolus sont traités.

   Sous Configuration avancée, sélectionnez une des options suivantes:

   • Exclus de la campagne si vous désirez exclure les éléments pour qui un certificateur n'a pu être déterminé.
   • à Réviser par le gestionnaire de campagne si vous désirez que les éléments pour qui un certificateur n'a pu être déterminé soient révisés par le gestionnaire de campagne.

   Note

   Ces options ne sont pas disponibles si le choix de certificateur est Certificateur désigné.

   Approbation

   Ces options déterminent les choix disponibles aux certificateurs au moment d'approuver les items lors de la revue des accès. Cochez les options pertinentes.

   Fin de campagne

   Cochez cette case si vous voulez que les certificateurs s'authentifient au moment de compléter leur campagne. Cette option permet de rehausser le niveau d'assurance du processus de certification en utilisant l'authentification explicite comme une preuve de présence.

   Permettre la réassignation des items à réviser

   Ces cases à cocher permettent de déterminer si, et à qui, les certificateurs peuvent transférer des items à réviser qu'ils ne peuvent réviser, peu importe la raison. Cochez les cases pertinentes.

   • Au gestionnaire de campagne permet aux certificateurs de transférer des items à réviser au gestionnaire de campagnes.
   • Aux autres certificateurs de la campagne permet aux certificateurs de transférer des items aux autres certificateurs de la campagne.
   • A n'importe quelle identité permet aux certificateurs de transférer des items à n'importe quelle identité.

   Campagne incrémentale

   Cette section permet de déterminer quelles campagnes utiliser pour constituer la référence des campagnes incrémentales.

   Les campagnes incrémentales sont basées sur des campagnes similaires au niveau de trois critères, soit:

   • Le Type de campagne
   • Les Approbateurs
   • Les campagnes doivent être Terminées.

   Les campagnes correspondant à ces trois critères apparaissent dans la liste au bas de la section.

   Utilisez les paramètres et le champ de recherche pour afficher les campagnes de référence désirées. En général, il est préférable de sélectionner les campagnes les plus récentes.

   Sélectionnez les campagnes à utiliser en cochant les cases à gauche du nom des campagnes. La campagne incrémentale mettra en lumière les changements survenus depuis l'ensemble des campagnes constituant la base de référence.

   Note

   Une campgane de révision devient incrémentale en sélectionnant des campagnes de référence.

   Notifications

   Sous Notification, vous pouvez déterminer le gabarit de courriel à utiliser ainsi que les paramètres de rappel et d'escalade.

   Gabarit

   Dans le champ Gabarit, vous pouvez choisir le gabarit de courriel à utiliser pour les rappels. Vous pouvez utiliser le gabarit de base fourni avec la solution ou vous pouvez utiliser un gabarit personalisé selon les couleurs, les logos et les messages de votre entreprise.

   Sélectionnez le gabarit désiré dans la liste déroulante. Un aperçu du gabarit sélectionné est affiché dans la fenêtre de droite.

   Voir aussi

   Voir le RAC/M Identity - Guide de personalisation pour plus de détails sur comment créer ou modifier des gabarits de courriels.

   Intervalle de rappel par courriel (jours)

   Dans le champ Intervalle de rappels par courriel (en jours), saisissez le nombre de jours entre l'envoi des courriels de rappel aux approbateurs qui n'ont pas complété leurs revues d'accès.

   Escalade

   Ce champ permet de déterminer si les rappels seront escaladés au supérieurs hiérarchiques des certificateurs qui tardent à compléter leur revue d'accès. Dans la liste, sélectionnez:

   • Non si aucune escalade n'est désirée;
   • Dernière notification si un courriel doit aussi être transmis aux supérieurs hiérarchiques des certificateurs qui n'ont pas encore complété leur revue lors du dernier rappel programmé;
   • Deux dernières notifications si le courriel d'escalade doit aussi être envoyé si les certificateurs n'ont pas encore complété leurs revue d'accès au moment de l'avant dernier rappel programmé.

   Note

   La configuration des rappels (délai et type) se fait dans le fichier de configuration config.properties (CONFIGURATION> Fichier de configuration).

5. Cliquez sur:

   • Enregistrer pour sauvegarder la campagne sans la changer d'état.
   • Enregistrer et aperçu pour sauvegarder la campagne et visualiser la portée et l'impact de la campagne
   • Enregistrer et démarrer pour sauvegarder et lancer la campagne.

   Important

   Vous ne pouvez pas apporter de modifications à une campagne une fois qu'elle a été lancée, sauf pour reporter la date de fin.

   Nous vous suggérons fortement de passer en mode aperçu afin de la visualiser et valider le contenu que les certificateurs auront à réviser. Si tout est en ordre, vous pourrez démarrer la campagne.

Démarrer et suivre une campagne de révision

Le lancement d'une campagne de révision d'accès ne nécessite que quelques étapes.

Pour démarrer la campagne de révision:

1. Dans la barre de menu, cliquez sur ACCÈS> Campagnes de révision.
2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez lancer.
3. Dans la page Détails de la campagne, cliquez sur Démarrer.

La campagne commence, son statut passe à En cours.

À droite de la section Campagne, cliquez sur le bouton pour visualiser les paramètres de la campagne.

La partie supérieure de la section affiche le temps restant pour la campagne, son statut et le pourcentage d'achèvement.

Les statistiques sur l'évolution de la campagne sont présentées sous forme de graphiques. La section Rapports contient la liste des rapports générés pour cette campagne. Ces rapports sont générés lorsque vous cliquez sur le bouton Rapports en bas à droite de la section.

La dernière partie du panneau présente l'une des deux possibilités suivantes :

• La campagne en ligne : Une liste de certificateurs indiquant leur numéro de téléphone, leur adresse électronique et leur progression. Vous pouvez cliquer sur un Certificateur pour accéder à la page de détails de sa campagne.

  La liste Actions vous permet de faire deux choses :

  • Transférer les tâches du certificateur : Ouvre la boîte de dialogue qui vous permet de choisir l'identité à qui transférer les tâches.
  • Envoyer un courriel de rappel : Envoie instantanément un courriel de rappel au certificateur.

La boîte de dialogue de transfert de tâches.

• Campagne hors ligne : Une liste de documents Excel et PDF. Les colonnes affichent l'icône représentant le type de document, le nom et la date de création (format jour/mois/année).

Terminer une campagne de révision manuellement

Par défaut, une campagne de révision des accès se termine automatiquement lorsque la date de fin est atteinte. Si vous constatez toutefois que tous les accès ont été complètement révisés avant cette date, vous pouvez clôturer la campagne manuellement.

Pour terminer une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez arrêter.

3. Au bas de la page cliquez sur Terminer.

   Le statut de la campagne devient Terminée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Pour plus d'informations sur le suivi des accès et des comptes, reportez-vous à Tâches de révision des accès.

Annuler une campagne de révision

Vous pouvez annuler une campagne de révision des accès.

Pour annuler une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.

2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez annuler.

3. Au bas de la page cliquez sur Annuler.

   Le statut de la campagne devient Annulée. Les gestionnaires et les propriétaires de ressources ne peuvent plus accepter ou révoquer les accès au sein de cette campagne.

Visualiser ou modifier une campagne de révision

Pour visualiser ou modifier une campagne de révision:

1. Dans le menu ACCÈS, cliquez sur Campagnes de révision.
2. Sur la page de sélection Campagnes, cliquez sur la campagne que vous voulez visualiser ou modifier.
3. Effectuez les modifications requises
4. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de modélisation des rôles

L'objectif de la modélisation des rôles est d'élaborer un modèle optimal, dans lequel la majorité des accès sont attribués par le nombre minimum de rôles sans augmenter le risque de sécurité en donnant des accès trops larges.

La modélisation des rôles s'effectue essentiellement de deux façons complémentaires:

• Par forage
• Par peaufinement manuel, souvent aussi appelé modélisation.

Le forage de rôle prend avantage des fonctions analytiques du référentiel pour déterminer les accès communs détenus par plusieurs individus, représentés par des identités. Les accès détenus en commun deviennent la base des rôles définis par forage.

Le peaufinement manuel permet de déterminer précisément le contenu exact des rôles pour bien définir les accès requis.

Il existe plusieurs écoles de pensée et tout autant de stratégies de modélisation des rôles qui peuvent être utilisées selon le contexte humain, organisationnel et technologique de chaque entreprises RAC/M Identity contient les fonctions nécessaires pour modéliser les rôles selon le modèle RBAC en accord avec la norme ANSI/INCITS 359-2012. La solution offre aussi des fonctions avancées permettant d'assigner automatiquement les rôles, rejoignant les objectifs du modèle ABAC.

Voir aussi

• À propos des rôles

Créer une session de modélisation de rôle

Dans RAC/M Identity, la page Sessions de modélisation de rôles vous permet de développer, raffiner et faire évoluer le modèle de rôle sans impact sur la production jusqu'à ce que vous soyez prêt à déployer les nouveaux rôles.

Important

Ne cliquez sur le bouton Activer que lorsque le rôle est satisfaisant. Une fois le rôle activé, si vous souhaitez apporter d'autres modifications, vous devrez soit désactiver le rôle, soit utiliser une autre version de ce rôle ou en créer un nouveau.

Pour créer une session de modélisation de rôle:

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.
2. En haut à droite de la page, cliquez sur le bouton .

3. Inscrivez les informations dans les champs comme suit:

Sur la page Sessions de modélisation des rôles, dans la zone de texte Session, incrivez le nom de la session.

Dans la zone de texte Description, incrivez une description de cette session. 4.Cliquez sur Enregistrer.

La nouvelle session est créée.

La prochaine étape est de créer des rôles associés à cette session.

Voir aussi

• Créer un nouveau rôle par forage
• Créer des rôles multiples par forage
• Créer un rôle vide
• Créer un nouveau rôle à partir d'un modèle
• Créer une nouvelle version de rôle à partir d'un modèle
• Créer une nouvelle version de rôle par forage

Une fois les rôles créés et peaufinés, vous devez compléter l'assignation des rôles à la session.

Assigner des rôles à une session de modélisation

La section Rôles vous permet de déterminer quels rôles sont associés à une session de modélisation. Les rôles sélectionnés peuvent ensuite être activés ou désactivés en bloc si désiré.

Note

Vous devez avoir créé des rôles avant de pouvoir les assigner à une session de modélisation.

Pour assigner des rôles à la session de modélisation:

1. Si vous êtes déjà sur la page Détails d'une session de modélisation, passez directement à l'étape 4.

2. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

3. Sélectionez la session désirée dans la liste.

   La page Détails de la session de modélisation de rôle s'ouvrira.

4. Par défaut, la liste des Rôles disponibles affiche tous les rôles disponibles dans le référentiel.

   Vous pouvez réduire la liste soit en affichant les rôles associés à une session de modélisation sélectionnée dans la liste déroulante Sélection de rôles de la session ou en appliquant un filtre avancé comme suit:

   • Filtrer par Sélectionnez l'objet RAC/M Identity ou les attributs étendus associés à utiliser comme filtre.
   • Filtre supplémentaire Sélectionnez l'attribut à utiliser
   • Valeur Inscrivez la valeur de l'attribut qui correspond à votre critère de recherche.

5. Cliquez sur Appliquer les filtres pour effectuer la recherche.

6. Sélectionnez le ou les rôles à assigner dans la zone de gauche.

7. Utiliser les flèches de la zone de gauche pour déplacer les rôles désirés vers la zone de droite. Vous pouvez retirer des rôles sélectionnés de la zone de droite en utilisant les flèches de droite.

8. Cliquez sur Enregistrer pour sauvegarder la session.

Vous pouvez aussi supprimer un rôle sélectionné en cliquant sur le bouton .

Créer un nouveau rôle par forage

Pour créer un nouveau rôle par forage

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

Sinon,

1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter un rôle.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Nouveau rôle.

   

   Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

   Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

   Exemple

   Vous voulez créer un rôle pour les cardiologues travaillant à l'hôpital St-Gabriel. Plusieurs cardiologues utilisent l'application PCS et vous fixez le Seuil d'inclusion à 90.

   Lorsque vous générez la session, si 90 % ou plus des cardiologues travaillant à cet hôpital partagent cet accès, alors l'accès à PCS sera inclus dans le rôle. Si moins de 90 % des cardiologues de St-Gabriel détiennent cet accès il ne sera pas inclus au rôle.

   Conseil

   Choisissez une valeur très basse (ex: 1%) pour inclure tous (ou la majorité) les accès détenus par les identités retenues.

   Choisissez une valeur élevée (ex: 99%) pour inclure seulement les accès détenus par l'ensemble des identités.

   Une valeur de 60% à 80% est un bon point de départ.

   Attention

   Portez une attention particulière aux résultats obtenus si le nombre d'identités analysées est très restreint. Par exemple, si seulement 3 identités répondent aux critères de filtrage et que le seuil d'inclusion est fixé à 80, seuls les accès détenus par toutes les identités seront inclus.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

Portée

5. Vous devez définir quelles sont les identités et les actifs à analyser pour forer le rôle.

   Cliquez sur l'hyperlien Identités ou sur le bouton Editer correspondant pour éditer le filtre d'identités.

   Cliquez sur l'hyperlien Actifs ou sur le bouton Editer correspondant pour éditer le filtre d'actifs.

   Cliquez sur le bouton Effacer pour effacer les filtres.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

6. Cliquez sur le bouton Générer pour générer le rôle.

   RAC/M Identity parcourt son référentiel et construit le rôle par forage de toutes les identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

7. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition du rôle.

   Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Le rôle est créé et ajouté à la session de modélisation. Vous pouvez continuer à raffiner le rôle jusqu'à ce qu'il soit satisfaisant.

Créer des rôles multiples par forage

Ce bouton permet de générer plusieurs rôles selon des critères déterminés. Par exemple, vous pouvez forer automatiquement l'ensemble des rôles d'un département, d'une division, d'une organisation ou même de l'entreprise au complet.

En général, les meilleurs résulats sont obtenus en limitant le forage de rôles multiples à des entités homogènes, relativement petites.

Exemple

Vous pouvez forer et générer automatiquement l'ensemble des rôles d'un département. Par exemple, dans un hôpital vous pourriez forer tous les rôles du département de cardiologie.

Pour générer plusieurs rôles à la fois:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Rôles multiples.

5. Inscrivez les informations dans les champs comme suit:

   Dans la zone de texte Préfixe du nom du rôle, incrivez un préfixe qui sera ajouté à tous les noms de rôle qui seront créés.

   Cela permet de les identifier dans la page Versions de rôle.

   Note

   N'ajoutez pas d'espace ou de caractères de ponctuation après le préfixe. Les caractères " - " seront insérés automatiquement entre le préfixe et le nom du rôle dérivé de la valeur des attributs variables.

   Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle. Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

   Portée

   Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

   Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

   Incrivez le nom de l'attribut dont les valeurs seront énumérées pour créer l'ensemble des rôles.

   Exemple

   Si dans le département de cardiologie de l'hôpital St-Gabriel, il y a trois titres différents tels que "Cardiologue", "Préposé" et "Généraliste".

   Le filtre d'identité pourrait être:

   Organisation = St-Gabriel

   Département = Cardiologie

   Et l'attribut variable: Titre

   Ce qui génèrerait les rôles suivants:

   • St-Gabriel - Cardiologie - Cardiologue
   • St-Gabriel - Cardiologie - Préposé
   • St-Gabriel - Cardiologie - Généraliste

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

6. Lorsque la sélection est terminée, cliquez sur Générer.

   RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

7. Cliquez sur le lien Cliquez ici pour atteindre la liste des rôles situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

   Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

   Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

   Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer un rôle vide

Ce bouton permet d'ajouter un rôle vide à une session de modélisation de rôles. Un rôle "vide" est essentiellement une coquille de rôle que vous pourrez compléter plus tard. Le rôle sera créé avec son nom sans plus.

Cette approche est utile pour crééer des rôles qui seront modélisés manuellement, sans forage.

Pour ajouter un rôle vide:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans la barre de menu, cliquez sur ACCÈS> Sessions de modélisation des rôles.

2. Sélectionnez la session de modélisation à laquelle vous voulez ajouter des rôles.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur le bouton Rôle vide. Dans la zone de texte Nom du rôle, incrivez le nom du rôle.

5. Cliquez sur Générer.

6. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

   Cette action ouvre la page qui vous permet de compléter, d'éditer et de réviser le rôle nouvellement créé.

   Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à Éditer un rôle.

Créer un nouveau rôle à partir d'un modèle

Vous pouvez créer un nouveau rôle à partir d'un rôle modèle.

Note

Le nom du nouveau rôle sera créé à partir du nom du rôle modèle suivi d'un numéro unique. Vous pouvez renommer le rôle et ajuster la description ainsi que tous les paramètres à votre guise.

Pour dupliquer un rôle:

1. Cliquez sur ACCÈS> Versions des rôles.

2. Dans la liste, sélectionnez sur le rôle modèle que vous voulez dupliquer

3. Cliquez sur le bouton Dupliquer le rôle.

   La page d'édition de rôle s'ouvrira sur l'onglet Détails.

4. Ajustez les paramètres du nouveau rôle et cliquez sur Enregistrer au bas de la page.

   Un nouveau rôle sera créé. Le nom sera construit à partir du nom du rôle modèle et d'un numéro unique, généré automatiquement, permettant de le distinguer.

   Voir Éditer un rôle pour plus de détails.

Créer une nouvelle version de rôle par forage

Vous pouvez effectuer le forage d'un rôle existant avec des paramètres différents, ce qui créera automatiqument une nouvelle version du rôle et l'ajoutera à la session de modélisation.

Pour créer une nouvelle version par forage:

Si vous venez de créer une session de modélisation de rôle, passez directement à l'étape 4.

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

2. Sélectionez la session désirée dans la liste.

   La page de modélisation de rôle s'ouvrira sur l'onglet Détails.

3. A droite de la section Forage de Rôle, cliquez sur le bouton .

4. Cliquez sur Rôle existant.

5. Sélectionnez un rôle dans la liste Sélectionnez un rôle.

   Vous pouvez utiliser les cases à cocher Débute par et Se termine par pour raffiner la recherche.

6. Dans la zone Seuil d'inclusion des droits, incrivez un pourcentage. Ce pourcentage détermine le pourcentage d'identités, de la population retenue, qui doit détenir un accès pour qu'il soit inclus au rôle.

   Voir Créer un nouveau rôle par forage pour plus de détails sur le seuil d'inclusion.

7. Cochez un des boutons pour déterminer comment seront assignés les membres directement assignés.

   Cochez Assigner directement les membres selon les critères de génération pour assigner directement les identités qui répondent aux critères de filtrage d'actif.

   Note

   Cette option utilise la règle d'assignation du rôle existant pour identifier les identités à assigner directement au rôle, c'est à dire qu'une fois assignés il le resteront à moins d'être retirés manuellement.

   Cochez Aucun membre assigné directement si aucun membre assigné directement ne doit être assigné automatiquement.

   Cochez Garder les membres assignés directement existants pour que les membres directement assignés du rôle existant soient préservés.

   Cochez la case Inclure les comptes inactifs si vous désirez que le forage de rôle prenne en considération les comptes inactifs et les accès associés.

   Portée

   Dans la boîte de dialogue Critères : Filtres, dans les listes, sélectionnez le type de filtre et validez ou éditez les règles.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

8. Sous Attributs variables pour la création de rôles multiples, à côté de Identité, cliquez sur le bouton Editer.

   Pour la procédure complète sur la façon de définir des filtres, voir Créer ou modifier des règles de filtrage.

9. Lorsque la sélection est terminée, cliquez sur Générer.

   

   RAC/M Identity parcourt son référentiel et construit les rôles par forage des identités et des actifs qui correspondent aux filtres et aux paramètres sélectionnés.

   

10. Cliquez sur le lien Cliquez ici pour modifier ce rôle situé dans la bande verte au haut de l'écran pour compléter la définition des rôle.

    Cette action ouvre la page Détails qui vous permet de compléter, d'éditer et de réviser les rôle nouvellement créés.

    Pour plus d'informations sur l'édition et la révision des rôles, reportez-vous à [Éditer et réviser une version de rôle](#editer-une version-de-role).

    Les rôles sont créés et ajoutés à la session de modélisation. Vous pouvez continuer à raffiner les rôles jusqu'à ce qu'il soient satisfaisants.

Créer une nouvelle version de rôle à partir d'un modèle

Vous pouvez créer une nouvelle version d'un rôle indépendamment d'une session de modélisation à partir d'une version de rôle existante.

Pour créer une nouvelle version à partir d'un modèle:

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à dupliquer.
   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

2. Cliquez sur le bouton Dupliquer la version du role au bas de la page.

   La page d'édition de rôle s'ouvrira sur l'onglet Détails.

3. Ajustez les paramètres de la nouvelle version de rôle et cliquez sur Enregistrer au bas de la page.

   Une nouvelle version du rôle sera créée et ajoutée au rôle. Un numéro unique permettant de la distinguer sera généré automatiquement et associé à la version.

   Voir Éditer une version de rôle pour plus de détails.

Éditer une version de rôle

Vous pouvez apporter des modifications à une version de rôle en tout temps soit pour raffiner le rôle ou soit pour le faire évoluer afin de refléter des changements dans votre organisation.

Voir aussi

• À propos des rôles

Pour éditer une version de rôle:

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à éditer ou réviser.

   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

   

   Note

   Si la version du rôle est active, très peu de champs peuvent être modifiés.

   Outre le nom et la description, seuls les membres directement assignés et la disponibilité du rôle en libre-service peuvent être modifiés.

   Pour modifier d'autres champs comme les règles d'assignation, il faut d'abord désactiver la version de rôle.

   Attention

   Pour modifier une version de rôle sans affecter le fonctionnement, il faut créer un autre version de rôle.

   Voir Créer une nouvelle version de rôle pour plus de détails.

2. Effectuez les modifications requises comme suit:

   Nom

   Ajustez le nom du rôle si requis.

   Description

   Ajustez la description du rôle si requis.

   Version de rôle

3. La liste affiche les différentes versions de ce rôle. Vous pouvez sélectioner une nouvelle version du rôle si désiré.

   L'état de la version sélectionnée ainsi que la dernière date et heure d'activation et de désactivation sont affichées.

   Description des changements dans cette version

   Ce champ est automatiquement initialisé avec le contenu du champ Description. Il peut être édité à votre guise pour refléter les modifications qui seront apportées à la version du rôle.

   Sessions de modélisation de rôles

   Affiche les sessions de modélisation de rôles qui incluent cette version de rôle. Vous pouvez cliquer sur une session de modélisation pour l'ouvrir.

   Propriétaire

   Sélectionnez un groupe de délégation qui sera responsable du rôle. Si requis, les membres du groupe désigné recevront les demandes d'approbation d'assignation du rôle et seront responsables d'effectuer les campagnes de révision du contenu du rôle.

   Critères d'assignation

   Si la version de rôle est Inactive, vous pouvez cliquer sur le bouton Editer pour éditer les règles de filtrage utilisées pour assigner le rôle.

   Note

   Ces règles servent à assigner le rôle automatiquement aux identités qui correspondent aux critères.

   Ces règles sont initialisées à la valeur des règles du filtre d'identités utilisé lors du forage si le rôle a été foré.

   Rôle disponible en libre-service

   Cochez l'une des deux cases suivantes pour régler la disponibilité de ce rôle dans les pages de demandes du portail libre-service:

   • Peut être demandé dans une demande d'accès
   • Peut être ajouté à une demande de modification de rôle

   Approbateurs

   Il est possible de configurer les approbations pour les demandes d'accès d'identité et les demandes de modification de rôle.

   Pour chacun des niveaux d'approbation suivants, indiquez si le niveau est requis et complétez les informations requises, le cas échéant.

   Approbation requise d'un approbateur de l'identité

   Pour les demandes d'accès, cochez cette case si le responsable de la personne qui demande l'accès doit approuver l'attribution de ce rôle.

   Pour les demandes de rôles, cochez cette case si le responsable des membres directs modifiés dans la demande doit approuver le changement de l'identité dans ce rôle.

   Dans les deux cas, c'est le Groupe approbateur défini au niveau de l'identité qui sera utilisé.

   Approbation requise du propriétaire de rôle

   Cochez cette case si le propriétaire du rôle, représenté par son groupe de délégation doit approuver l'attribution du rôle.

   Approbation spéciale

   Cochez la case si un troisième niveau d'approbation est requis pour attribuer ce rôle.

   Si un groupe de délégation autre que celui lié à l'identité ou au propriétaire de rôle doit approuver la demande, sélectionnez le dans la liste déroulante.

   Note

   Les groupes de délégation doivent avoir été créés au préalable. Voir Créer un groupe de délégation

   Groupes

   Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des groupes au rôle. Si la version est Active vous ne pourrez que visualiser les groupes inclus dans le rôle.

   Les groupes inclus dans cette version du rôle sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

   Vous pouvez ouvrir la page de détails d'un groupe sélectionné en cliquant sur le bouton .

   

Pour ajouter des groupes au rôle:

4. Sélectionnez un actif dans la liste déroulante Actif. Les groupes associés à cet actif s'afficheront dans la liste Disponibles.
   Vous pouvez aussi rechercher des groupes dans l'ensemble des groupes existants en utilisant le champ Recherche de groupe.

5. Sélectionnez un ou plusieurs groupes dans la liste Disponibles. Utilisez la flèche pour les ajouter au rôle. Vous pouvez utiliser le bouton pour ouvrir le groupe.

   Droits d'accès

   Si la version de rôle est Inactive, cette section vous permet d'ajouter ou de retirer manuellement des droits d'accès au rôle. Si la version est Active vous ne pourrez que visualiser les droits d'accès inclus dans le rôle.

   Les droits d'accès sont des permissions qui peuvent être associées à des éléments associés aux actifs qui sont différents des groupes.

   Exemple

   Les permissions associées aux répertoires et aux fichiers sur les systèmes *NIX sont représentées par des droits d'accès.

   

Pour ajouter des droits d'accès au rôle:

6. Sélectionnez un actif dans la liste déroulante Actif. Les droits d'accès associés à cet actif s'afficheront dans la liste Disponibles.
   Vous pouvez aussi rechercher des droits d'accès dans l'ensemble des droits d'accès existants en utilisant le champ Recherche d'accès.
7. Sélectionnez un ou plusieurs droits d'accès dans la liste Disponibles. Utilisez la flèche pour les ajouter au rôle. Vous pouvez utiliser le bouton pour ouvrir le droit d'accès.

Membres assignés directement

Si vous utilisez un modèle de rôle hybride (voir - À propos des rôles), vous pouvez ajouter des membres au rôle manuellement, indépendamment des critères d'assignation qui s'appliquent aux membres assignés automatiquement.

Les identités auxquelles le rôle a été assigné sont affichées dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'une identité sélectionnée en cliquant sur le bouton .

Pour assigner des membres directement:

8. Dans la zone de texte Recherche d'identité, incrivez quelques lettres du nom de l'identité recherchée. Dans la liste des identités disponibles, sélectionnez l'identité désirée et cliquez sur la flèche pour la déplacer dans la liste Sélectionnés.

Membres assignés automatiquement

Cette section affiche toutes les identités à qui le rôle est assigné automatiquement selon les règles d'assignation que vous avez définies.

Si la version du rôle est active, vous pouvez cliquer sur l'un des membres pour afficher l'onglet de révision permettant de visualiser l'affectation du rôle pour le membre sélectionné.

Note

Si la version du rôle n'est pas active, l'onglet de révision ne contiendra aucune information.

Inclusion de rôles

Cette section vous permet d'inclure des rôles au rôle courant. Les membres assignés directement et automatiquement au rôle courant recevront aussi les groupes et droits d'accès associés aux rôles inclus.

Voir À propos des hiérarchies de groupes et de rôles pour plus de détails.

Les rôles inclus sont affichés dans la liste de droite. Vous pouvez en retirer en utilisant les boutons de droite.

Vous pouvez ouvrir la page de détails d'un rôle sélectionné en cliquant sur le bouton .

Pour ajouter des rôles inclus:

9. Dans la zone de texte Recherche de rôle, incrivez quelques lettres du nom du rôle recherché. Dans la liste des roles disponibles, sélectionnez le role désiré et cliquez sur la flèche pour le déplacer dans la liste Sélectionnés.

10. Cliquez Enregistrer pour sauvegarder les modifications au rôle.

Réviser une version de rôle

Vous pouvez réviser les paramètres d'une version de rôle active ainsi que l'affectation du rôle aux membres assignés directement et automatiquement.

Pour réviser une version de rôle

1. Si vous êtes déjà en train d'éditer un rôle, allez directement à l'étape 3.

2. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.

   Sélectionnez la version de rôle à réviser.

   La page d'édition de rôles s'ouvrira sur l'onglet Détails.

3. Cliquez sur l'onglet Révision

   

   Note

   Si la version du rôle n'est pas active, l'onglet de révision ne contiendra aucune information.

Version du rôle

4. La liste affiche les différentes versions de ce rôle. Sélectionez la version du rôle à réviser.

   La section Information sur ce rôle affiche des informations détaillées sur cette version de rôle.

Affectations

La section Affectations affiche l'effet du rôle sur ses membres.

Vous pouvez visualiser, pour chacun des membres, les groupes et droits d'accès qu'il détient par rapport au contenu du rôle. Les accès détenus en accord avec le rôle sont affichés en vert, les accès détenus en excédent du rôle sont affichés en rouge alors que les accès du rôle non détenus par le membre sont affichés en bleu.

5. Sélectionnez un membre dans la liste déroulante pour visualiser ses accès.

6. La case Filtrer les groupes avec les critères du rôle permet de filtrer les actifs analysés pour éviter que les accès associés aux actifs qui ne correspondent pas au rôle apparaissent dans les listes comme des accès excédentaires.

   La case est cochée par défaut et c'est le choix recommandé.

   Exemple

   Une identité a accès à des application bureautiques et à des applications métiers dont les accès sont gérés par des rôles différents. Si on révise le rôle bureautique et que la case n'est pas cochée, les accès liés aux applications métier apparaîtront comme des accès excédentaires en rouge.

7. À la fin de la révision, si la configuration du rôle est satisfaisante, retournez sur l'onglet Détails et cliquez sur le bouton Activer pour rendre le rôle effectif.

   Voir aussi

   • Activer un ou plusieurs rôles

   Note

   Assurez vous que les dernières modifications ont été sauvegardées en cliquant le bouton Enregistrer.

Activer une ou plusieurs versions de rôles

Les versions de rôles peuvent être activés séparément ou plusieurs à la fois.

Pour activer une version de rôle

1. Dans le menu ACCÈS, cliquez sur Rôles ou Versions de rôles.
   Sélectionnez la version de rôle à activer.
   La page d'édition de rôles s'ouvrira sur l'onglet Détails.
2. Cliquez sur le bouton Activer au bas de la page. Une fenêtre s'ouvrira pour les option d'activation.
3. Choisir si l'approvisionnement doit être effectués ou non lors de l'activation.
4. Cliquez sur le bouton Activer en bas de la fenêtre.

Pour activer plusieurs versions de rôles:

1. Dans le menu ACCÈS, cliquez sur Sessions de modélisation de rôles.

   Sélectionez la session désirée dans la liste.
   La page de modélisation de rôle s'ouvrira sur l'onglet Détails. Dans la section Rôles, assurez-vous que tous les rôles que vous voulez activer sont dans la liste Rôles sélectionnés.

2. En haut de la page, cliquez sur le bouton Activer.

   Note

   Si tous les rôles que vous voulez activer ne sont pas dans la liste des rôles sélectionnés, vous pouvez les ajouter soit en créant les rôles manquants ou en ajoutant des rôles existants.

   Voir aussi Assigner des rôles à une session de modélisation pour plus de détails.

Supprimer une version de rôle

Pour supprimer une version de rôle:

1. Cliquez sur ACCÈS> Versions des rôles.

2. Dans la liste, sélectionnez sur la version de rôle que vous voulez supprimer

3. Cliquez sur le bouton .

   Note

   Les versions de rôle doivent être inactives pour être supprimées. Les versions de rôle actives ne peuvent pas être supprimées.

À propos de ségrégation de tâches

Les règles de ségrégation de tâches sont déterminées par les politiques organisationnelles. RAC/M Identity permet de définir et d'appliquer ces règles.

Les règles de ségrégation de tâches sont validées dans plusieurs circonstances. La logique d'affaire des indicateurs analyse périodiquement le contenu du référentiel pour détecter des anomalies et des situations à risque, dont la présence de violations de règles de ségrégation de tâches. Dans ce cas, les violations sont rapportées par des indicateurs et des boutons permettent de naviguer directement vers les situations problématiques afin de les résoudre rapidement.

Les règles sont aussi évaluées lors des campagnes de revues d'accès. Les violations peuvent être incluses dans des campagnes de révision d'accès. Les violations peuvent aussi être documentées par des rapports standards et personalisés.

De façon préventive, les règles de ségrégation de tâches sont aussi évaluées lors de requêtes d'accès en provenance du portail libre-service. Si une requête contient un ou plusieurs accès qui causent une violation de règle, la requête est automatiquement aiguillée vers un intervenant, ou son groupe de délégation, afin de résoudre le conflit.

Dans ce cas, la requête peut être acceptée conditionnellement ou par dérogation, rejetée ou modifiée selon ce qui est le plus approprié.

RAC/M Identity permet de définir la nature des règles de ségrégation de tâches en définissant des règles d'exclusion sur cing types d'objets et attributs:

• Actif : Par exemple, l'organisation n'autorise personne à posséder un compte dans l'application de saisie des commandes et dans l'application d'exécution des commandes.
• Groupe : Par exemple, un membre d'un groupe Active Directory représentant les contractuels externes ne peut être membre d'un groupe représentant les gestionnaires.
• Rôle : Par exemple, un membe du rôle gestionnaire ne doit pas avoir aussi le rôle de représentant syndical.
• Structure organisationnelle : Par exemple, une identité affectée au service des comptes clients ne doit pas être aussi affectée au service d'audit.
• Titre : Par exemple, une identité possédant le titre d'infirmière ne peut aussi détenir le titre de cardiologue.

Note

RAC/M Identity analyse les accès détenus par l'ensemble des identités associées à une personne pour détecter les violations de règles de séparation des tâches.

C'est à dire qu'une personne associée à plusieurs identités ne peut détenir des accès qui violeraient des règles de séparation de tâche, même si les accès conflictuels sont attribués à des identités distinctes.

Cette section présente les étapes permettant de créer une ou plusieurs règles de ségrégation des tâches ainsi que de les visualiser et les modifier.

Créer une règle de ségrégation de tâches

Pour créer une règle de ségrégation des tâches:

1. Dans le menu ACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

   

2. Sélectionnez la nature de la règle à créer en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

3. Cliquez sur l'onglet Définition.

4. En haut à droite de la page, cliquez sur le bouton . Dans la zone de texte Nom, incrivez le nom de la règle. Dans la zone de texte Description, incrivez une description décrivant cette règle. Dans la zone Groupe certificateur, double-cliquez pour ouvrir la liste ou incrivez le nom d'un groupe de délégation. Il s'agit du groupe de délégation qui sera responsable de la révision de cette règle de ségrégation d'accès. Dans les deux cases Item Mutuellement Exclus (l'item exclus dépend de l'onglet sélectionné à l'étape 2.), double-cliquez pour ouvrir la liste ou incrivez le nom des items qui doivent être mutuellement exclus.

5. Cliquez sur Enregistrer.

La règle est maintenant disponible dans la page de sélection Ségrégation des tâches, dans la liste de l'onglet de la catégorie sélectionnée (onglet Rôle dans notre exemple).

Éditer une règle de ségrégation des tâches

Pour modifier une règle

1. Dans le menuACCÈS, cliquez sur Ségrégation des tâches. La page Ségrégation des tâches s'ouvre sur la liste des règles existantes par rapport aux actifs.

2. Sélectionnez la nature de la règle à modifier en cliquant sur l'onglet désiré (Actif, Groupe, Rôle, Structure organisationnelle ou Titre).

3. Cliquez sur la règle désirée pour ouvrir sa page de détails. Effectuez les modifications désirées

4. Cliquez sur Enregistrer au bas de la page pour sauvegarder vos modifications.

Générer plusieurs règles de ségrégation de tâches

Pour générer plusieurs règles de ségrégation des tâches:

1. Sur la page de détails Ségrégation des tâches, cliquez sur l'onglet Génération.

2. Cliquez sur l'onglet de la catégorie pour laquelle vous souhaitez créer des règles (reportez-vous à l'étape 3. de la procédure Créer une règle de ségrégation de tâches.

   

   Dans la liste Rôle (dans notre exemple), cliquez sur la flèche ou incrivez le nom pour ouvrir la liste, et sélectionnez le rôle à partir duquel d'autres règles de ségrégation seront créées.

   Dans la zone de texte Nom, incrivez le nom qui sera utilisé comme préfixe pour toutes les règles.

   Dans la zone de texte Description, incrivez la raison de ces règles.

   Dans la zone de texte Certificateur, incrivez le nom du groupe de délégation. Ce groupe sera responsable de la révision des règles.

   Sous Exclusion, dans la liste Rôles à exclure (dans notre exemple), incrivez le nom ou cliquez sur la loupe pour ouvrir la liste et sélectionner les rôles qui doivent être exclus du rôle que vous avez sélectionné comme "élément à isoler".

   Dans la liste de gauche, sélectionnez les rôles et cliquez sur la flèche pour les déplacer vers celle de droite.

   ![Page des détails de la ségrégation des tâches, sélection d'exclusion] (./media/Pg-Access_SegDuty-Gen-Role_Exclusion.png#img-with-border-no-shadow)

3. Cliquez sur Générer.

   Les règles sont disponibles dans la page Segregation of Duties Details, dans la liste de l'onglet de la catégorie sélectionnée (onglet Role dans notre exemple).

   

   Pour modifier la configuration d'une règle, dans la liste, cliquez sur la règle pour ouvrir sa page de détails.

Créer une fonction supplémentaire

Une fonction supplémentaire est un mécanisme simple qui permet de refléter des responsabilités additionnelles ou complémentaires à celles correspondant aux rôles d'une personne dans l'entreprise. Par exemple, une personne peut se voir attribuer les responsabilités de "Chef d'équipe - développement" pendant une période déterminée ou indéterminée. Ce chapitre présente la procédure de création d'une fonction supplémentaire.

Pour créer une fonction supplémentaire:

1. Dans le menu ACCÈS, cliquez sur Fonctions supplémentaires.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sur la page Fonctions supplémentaires Détails, dans la zone de texte Nom, incrivez le nom de la fonction supplémentaire.

   

   Dans la zone de texte Description, incrivez une description de la fonction.

   Dans la zone de texte Identification d'objet externe, incrivez un identifiant unique correspondant à la nouvelle fonction supplémentaire. Cet identifiant constitue un nom technique qui doit être unique et permanent.

4. Cliquez sur Enregistrer.

   La fonction supplémentaire peut être ajoutée à une identité et utilisée par logique d'affaires pour assigner des rôles automatiquement ou comme paramètre de filtre.

   

À propos de structure organisationnelle

Bien qu'il soit préférable de construire automatiquement la structure organisationnelle à partir des informations de références et de séquences de traitement, il est possible de la construire manuellement.

Cette section décrit comment définir manuellement la structure de votre organisation en décrivant les départements et divisions, la personne responsable de chaque niveau, ainsi que d'autres informations complémentaires telles que la localisation, les centres de coûts, etc.

RAC/M Identity dispose de trois éléments structurels avec lesquels il est possible de travailler, et de multiples niveaux d'organisations et de départements peuvent être ajoutés pour correspondre à votre organisation. Les éléments structurels sont les suivants :

• Entreprise : Cet élément structurel se trouve au sommet de la hiérarchie. Il correspond au niveau le plus élevé de votre organisation dans son ensemble.
• Organisation : Il s'agit d'une sous-catégorie de l'entreprise. Elle peut correspondre aux divisions d'une entreprise, aux différents campus d'une université, aux différents hôpitaux d'un même réseau de santé.
• Département : Il s'agit d'une sous-catégorie de l'organisation. Elle pourrait correspondre aux différents départements des divisions d'une entreprise, aux différents départements d'une université, etc. Dans l'exemple ci-dessous, elle correspond aux départements ou unités de l'hôpital.

Voir aussi

• À propos de la structure organisationnelle dans Concepts de RAC/M Identity

Créer la structure organisationnelle:

1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

   

   Lorsque vous ouvrez la page, seule l'entreprise est affichée. Pour développer l'arbre, cliquez sur le signe plus à gauche des différents éléments de la structure. Lorsque vous sélectionnez un élément de la structure, ses détails apparaissent sur la droite.

   Note

   Bien que vous puissiez modifier les informations directement dans cette page, les modifications pourraient être perdues si la structure organisationnelle est mise à jour via une séquence.

2. Cliquez sur le + à droite des éléments présents pour ajouter d'autres éléments.

   La page Détails s'ouvre. Inscrivez les informations disponibles dans les champs appropriés.

   Note

   Bien que seuls les champs Nom, Type d'organisation et Nom de l'unité organiationnelle sont obligatoires, nous recommandons de renseigner les autres champs selon la disponibilités des informations. Plus la représentation de la structure organisationnelle est juste et complète, plus elle peut être utilisée par la logique d'affaires pour automatiser les processus.

   Par exemple, le champ Nom du gestionnaire est habituellement utilisé pour aiguiller le premier niveau du flux d'approbation des requêtes. Il est donc fortement recommandé de le renseigner, idéalement de façon automatisée de sorte à assurer la plus haute intégrité possible du référentiel de RAC/M Identity.

   Nom

   Entrez le nom de l'entité à ajouter

   Description

   Entrez une description pour l'entité à ajouter.

   Type d'organisation

   Sélectionnez le type d'entité à ajouter dans la liste déroulante. La nouvelle entité sera positionnée dans la structure organisationnelle selon le type d'entité sélectionné.

   Lieu de travail

   Sélectionnez le lieu de travail où se situe la nouvelle entité. La liste des lieux de travail a été construite dynamiquement à partir des données importées dans le référentiel.

   Nom de l'unité organisationelle...

   Inscrivez un nom unique pour référer à cette identité.

   Champs Identiifer et Extra

   Ces champs sont des champs libres qui peuvent être utilisés pour garder des informations pertinentes aux processus de GIA. Ces informations peuvent être utilisées par la logique d'affaires et les filtres pour guider les processus automatisés.

   Nom de gestionnaire

   Sélectionnez dans la liste déreoulante le nom du gestionnaire de la nouvelle entité. Cette liste a été construite dynamiquement à partir des données importées dans le référentiel.

   Date de dernière modification

   Ce champ, en lectue seulement, affiche la dernière date de modification de cette entité.

3. Cliquez sur Enregistrer pour sauvegarder la nouvelle entité.

Modifier la structure organisationnelle

1. Dans le menu ORGANISATION, cliquez sur Structure. La structure organisationnelle s'affiche dans la section de gauche.

2. Sélectionnez l'item à éditer en cliquant sur l'item. La page de détails s'affiche à droite.

   Apportez les modifications désirées aux informations.

   Lors d'une modification, le champ Unité organisationnelle parente est affiché. Il indique l'unité organidationnelle parente de l'item en cours d'édition.

   Vous pouvez déplacer l'item sous une autre entité en la sélectionnant dans la liste déroulante.

3. Cliquez sur Enregistrer pour sauvegarder vos modifications.

À propos de l'approvisionnement

Cette section décrit comment suivre la progression des flux de travail, des tâches et des requêtes d'approvisionnement découlant des requêtes provenant du portail libre-service ou d'autres sources.

Les divers écrans permettent de visualiser l'état des requêtes et sous re-requêtes, de diagnostiquer des problèmes potentiels et d'y remédier le cas échéant.

Vous pouvez visualiser l'état des requêtes par:

• Tâches, pour visualiser les tâches d'approbation ou de création/retrait/modification manuelles
• Requêtes d'identités, pour visualiser les requêtes d'accès faites par le portail libre-service
  • Identités, pour visualiser les requêtes visant les identités
  • Rôles, pour visualiser les requêtes visant les rôles
  • Comptes, pour visualiser les requêtes visant les comptes
  • Groupes, pour visualiser les requêtes visant l'ajout ou le retrait de groupes
  • Demandes écrites, pour visualiser les requêtes demandées dans des champs libres dans le portail libre-service
• Requêtes de rôle, pour visualiser les requêtes de rôle faites par le portail libre-service

Dans chaque écran, vous pouvez cliquer sur les liens pour naviguer la chaîne de requêtes et de sous-requêtes associées.

Tous les écrans affichent des informations similaires, mais les champs affichés varient selon la nature de la liste.

Colonne	Description
Requête	Numéro de la requête généré automatiquement
Identité	Identité associée à la requête
Role	Role associé à la requête
Actif	Actif visé par la requête
Compte	Compte d'accès visé par la requête
Groupe	Groupe à ajouter ou retirer par la requête
Type	Type de requête ou sous-requête Ajout, Retrait, Modification
État	État de la requête En attente, Provisionné, Complété, Complété (fermé)
Commentaire	Information détaillée sur la requête
Description	Information complémentaire si disponible
Date de création	Date de création de la requête
Approbation	État de l'approbation de la requête En attente, Approuvé, Rejeté

Note

Pour les demandes d'accès, l'état des requêtes passera de Complété à Complété (fermé) une fois que les changements demandés sont détectés dans les systèmes cibles, ce qui confirme que la requête est terminée correctement.

Les valeurs possibles des types de requêtes, des états et des états d'approbation peuvent évoluer dans le temps. Les valeurs indiquées dans le tableau sont à titre informationnel seulement.

Pour visualiser la progression des requêtes en cours:

1. Dans le menu Approvisonnement, cliquez sur le type de requêtes que vous voulez visualiser. La liste des requêtes en cours s'affiche.

   

   Vous pouvez filtrer la liste des requêtes pour n'afficher que les requêtes en erreur par exemple, ou filtrer sur tout autre mot clé en utilisant la zone de recherche à droite de l'écran.

2. Cliquez sur les hyperliens pour naviguer dans la chaîne des requêtes et sous-requêtes

À propos des rapports

Cette section décrit comment générer des rapports standards, personnalisés et d'anomalies.

Note

Pour les campagnes de révision d'accès, les rapports sont générés à partir des écrans de gestion des campagnes, voir Démarrer et suivre une campagne de révision.

De plus, vous pouvez utiliser des outils de visualisation de données tels que Tableau, PowerBI et autres afin de générer des rapports et produire des tableaux de bord et des indicateurs personalisés.

Générer des rapports standards

RAC/M Identity offre plusieurs rapports standards.

Pour générer des rapports standards:

1. Dans le menu RAPPORTS, cliquez sur Rapports.

2. Dans la liste Rapports, sélectionnez le type de rapport que vous souhaitez générer. Une description du rapport apparaît dans la zone de texte Description. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

   

3. Cliquez sur Générer un rapport.

   Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

   

4. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports personnalisés

Si aucun des rapports standard ne répond à vos besoins, vous pouvez créer des rapports personalisés en utilisant le format JasperReport via l'interface iReport Designer.

Important

Pour que vos rapports personnalisés apparaissent dans l'interface RAC/M, ils doivent être créés en utilisant le format JasperReport.

Pour créer des rapports personnalisés, vous devez avoir une connaissance de base de SQL et de la syntaxe des requêtes. Vous devez également avoir accès au référentiel RAC/M, et il est aussi fortement recommandé que vous utilisiez un générateur de scripts SQL pour tester vos requêtes avant de les inscrire dans la boîte de dialogue Query Text de iReport Designer.

RAC/M Identity vous permet également d'ajouter des champs à la page Rapports. Ceux-ci sont utilisés comme critères supplémentaires lors de la génération du rapport personnalisé. Ces champs peuvent être :

• Une liste déroulante : Une liste déroulante est créée si le champ obtient ses données soit de la colonne Application_ID, soit de la colonne Application_Group_ID.
• Une zone de texte : Une zone de texte est créée si le champ reçoit ses données de n'importe quelle autre colonne.

Pour qu'un champ apparaisse dans l'interface RAC/M, assurez-vous que l'option Use as prompt est sélectionnée dans les paramètres du champ.

Pour plus d'informations sur iReport Designer ou JasperReport, veuillez vous reporter à leur documentation respective.

Pour générer un rapport personnalisé:

1. Dans le menu RAPPORTS, cliquez sur Rapports.

2. Dans la liste Rapports, sélectionnez Rapport personnalisé.

3. Dans la liste Rapport personnalisé, sélectionnez votre rapport personnalisé. En fonction de votre choix de rapport, différentes zones de texte et listes deviennent disponibles.

4. Cliquez sur Générer le rapport.

   Le rapport apparaît sous forme de fichier PDF et de fichier Excel dans la liste de droite. Si la liste est longue, incrivez un mot clé dans la zone de texte Filtre de la liste.

5. Cliquez sur le fichier PDF pour le visualiser dans votre navigateur ou cliquez sur le fichier Excel pour le télécharger sur votre poste de travail.

Générer des rapports d'anomalies

La liste des rapports standard comprend des rapports qui peuvent être utilisés pour examiner les anomalies. Voici des exemples de rapports à utiliser pour identifier des anomalies :

• Comptes associés à une identité avec un nom différent
• Comptes terminés entre deux dates
• Identités associées à une personne ayant une date de naissance différente
• Identités associées à une personne ayant un nom différent
• Identités enregistrées après la date de résiliation
• Identités avec des comptes multiples dans un actif donné
• Identités avec superviseur dans différents départements
• Identités sans superviseur
• Divergences d'identité
• Identité supprimée entre deux dates
• Etc.

Ces rapports sont générés de la même manière que les rapports standard (voir Génération de rapports standard).

À propos de la configuration de RAC/M Identity

RAC/M Identity est une solution IGA hautement flexible, conçue pour s’adapter aux environnements organisationnels et technologiques de toutes tailles sans programmation, uniquement par configuration. C’est l’approche Low-Code / No-Code : les traitements automatisés sont construits par assemblage de composants configurables, plutôt que par développement de code ou de scripts.

Cette section explique comment configurer la logique d’affaires de RAC/M Identity pour automatiser l’ensemble des processus de gestion des identités et des accès.

Important

Les opérations de configuration modifient la logique d’affaires de votre service de GIA. Elles doivent être effectuées par des architectes, intégrateurs ou experts techniques maîtrisant RAC/M Identity et votre environnement.

Un paramétrage incorrect pourrait entraîner un fonctionnement non conforme du service de GIA.

À propos de la logique d'affaires

La logique d'affaires de RAC/M Identity permet d'effectuer tous les traitements liés à la gestion des identités et des accès.

Elle repose sur trois niveaux hiérarchiques :

Modules
Plus petite unité de traitement. Chaque module met en œuvre une primitive choisie dans un catalogue de dizaines d’opérations spécialisées (analyse, validation, transformation, import/export, notifications, etc.). Aucun code requis.

Blocs
Ensemble cohérent de modules exécutant un traitement complexe (ex. : importer et réconcilier les données d’une source).

Séquences
Orchestration de plusieurs blocs. Elles peuvent être exécutées automatiquement (horaire planifié) ou manuellement.

Certaines familles de modules sont spécialisées, par exemple:

• Gestionnaires de fichiers
• Formateurs
• Collecteurs
• Extracteurs

Cette architecture permet de composer facilement des processus complexes tout en maintenant une lecture claire et structurée de la logique.

Intégration simplifiée des sources d'identité et des systèmes cibles

Afin d'obtenir des résultats rapides et de simplifier la configuration de la logique d'affaire, OKIOK fournit un ensemble d'éléments prédéfinis incluant des modules, des blocs et des séquences pleinement fonctionnels qui ne requièrent qu'un paramétrage minimal afin de pouvoir être utilisés dans votre environnement technologique.

Ces éléments permettent d'effectuer les divers traitements liés à la gestion des identités et des accès tels que:

• la préparation du référentiel
• l'importation des identités
• l'importation des données d'accès
• la résolution des rôles
• la génération des requêtes d'accès automatisées et manuelle
• l'exécution des requêtes d'accès
• l'envoi d'alertes et de courriels de notifications
• l'analyse du référentiel pour détecter des situations à risque ou des anomalies
• plusieurs autres traitements spécifiques

De plus, OKIOK fournit plusieurs exemples de séquences de traitement qui sont en utilisation courante chez des clients qui peuvent être utilisées comme base de départ rapide.

Vous pouvez visualiser les modules, blocs et séquences inclus avec RAC/M Identity afin de mieux comprendre comment configurer les modules et personliser les blocs et les séquences.

Voir aussi le Documentation de référence pour plus d'information.

Pour accélérer les projets d’intégration, RAC/M Identity propose des gabarits de blocs et de séquences préconfigurées comprenant l'ensemble de la logique d'affaires requise pour effectuer les opérations complexes liées aux processus de gestion des identités et des accès.

Ces gabarits incluent la logique nécessaire pour :

• Établir une connection avec un actif spécifique (connecteur)
• Effectuer l'importation, la validation et l'enrichissement des données
• Effectuer l'approvisionnement automatisé (création, activation, modification, désactivation et retrait des comptes et des accès)

Intégration en un clic

L'utilisation de gabarits permet d’intégrer rapidement des sources d’identité ou des systèmes cibles courants, avec un effort minimal et sans configuration répétitive.

De plus, la logique d'affaire résultante peut être personalisée pour se conformer aux politiques, normes et pratiques par le paramétrage des politiques et stratégies ou en ajoutant ou retirant des éléments de traitement au besoin.

Voir aussi

• Configurer un Bloc
• Configurer une Séquence

pour en savoir plus sur les gabarits de blocs et séquences.

A cette fin, la fonction CONFIGURATION du menu principal vous permet de:

• Visualiser et éditer les fichiers de configuration et de scripts de RAC/M Identity
• Créer, modifier, dupliquer et supprimer des modules (Gestionnaires de fichiers, Formateurs, Collecteurs, Extracteurs, Modules)
• Créer, modifier, dupliquer et supprimer des Blocs et des Séquences
• Créer, modifier et supprimer des Mappages
• Créer, modifier et supprimer des stratégies d'approvisionnement manuel
• Créer, modifier et supprimer des Connecteurs ICF
• Créer, modifier et supprimer des Politiques (de compte, de nom d'utilisateur et de mots de passe)
• Valider les courriels de notifications

Note

Même si la configuration exacte des modules diffère selon leur nature, la mise à jour, l'exportation, l'importation, la duplication et la suppression restent les mêmes.

Afin d'alléger le texte, seules les instructions détaillées pour la création des modules seront fournies, les opérations de configuration et de suppression étant similaires.

Pour plus d'informations sur ces tâches courantes, reportez-vous à Tâches de base.

Éditer un fichier de configuration ou de script

Pour visualiser ou éditer un fichier de configuration ou de script:

1. Dans le menu CONFIGURATION, cliquez sur Fichiers de configuration ou sur Fichiers de scripts.

2. Dans la liste, sélectionnez le fichier que vous voulez visualiser ou éditer. Vous pouvez naviguer au début ou à la fin du fichier en utilisant les boutons en haut à droite.

   Vous pouvez visualiser le fichier en format brut un cliquant sur le bouton

   Apportez les modifications requises au fichier.

3. Cliquez sur Sauvegarder pour sauvegarder vos changements.

Note

Vous devez avoir les permissions requises dans votre profil RAC/M Identity pour pouvoir éditer un fichier de configuration ou de script

Voir Référence des permissions des profils RAC/M Identity pour plus d'information.

Important

Si vous modifiez un fichier de configuration, le service RAC/M Identity doit être redémarré pour que vos modifications prennent effet.

Configurer un gestionnaire de fichiers

Les gestionnaires de fichiers sont utilisés pour transférer des fichiers entre RAC/M Identity et des serveurs, tels que les sites FTP. Ils peuvent utiliser différents protocoles de transfert, tel que FTPS, SFTP ou SCP ainsi que différents mécanismes d'authentification.

Ils peuvent aussi être utilisés pour manipuler des fichiers situés sur le système de fichiers local de votre instance de RAC/M Identity.

Pour créer un Gestionnaire de fichiers:

1. Dans le menu CONFIGURATION, cliquez sur Gestionnaires de fichiers. La page Gestionnaires de fichiers s'ouvre.

   

2. En haut à droite de la page, cliquez sur le bouton .

   Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau gestionnaire de fichiers.

   Le nom doit être distinctif car il apparaîtra dans une liste de gestionnaires de fichiers.

3. Dans la zone de texte Fichier source, incrivez le chemin d'accès et le nom du fichier source. Utilisez le caratère de substitution "*" pour désigner plusieurs fichiers.

4. Dans la zone de texte Fichier de destination, incrivez le chemin d'accès dans lequel les fichiers de destination seront déposés. Ceux-ci porteront les mêmes noms que les fichiers sources.

   Note

   Le chemin d'accès des fichiers CSV source et résultat doit être relatif au répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.

5. Dans la zone de texte Fichier des erreurs, incrivez le chemin d'accès du fichier d'erreur. Laissez vide pour utiliser le fichier d'erreur par défaut.

6. Dans la zone de texte Description, incrivez une description suffisamment détaillée du nouveau gestionnaire de fichiers.

7. Sous Comportement en cas d'erreur cliquez sur l'option désirée:

   • Arrêter la séquence pour arrêter la séquence de traitement
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
   • Continuer avec l'opération suivante pour poursuivre le traitement

8. Sous Primitive, dans la liste déroulante Nom, sélectionnez la Primitive que vous voulez utiliser.

   En général, les primitives dont le nom contient le mot External servent à transférer des fichiers entre un serveur externe et votre instance de RAC/M Identity, alors que les primitives dont le nom contient le mot Local servent à manipuler des fichiers sur le système de fichiers local de votre instance de RAC/M Identity.

   Les autres primitives servent à effectuer des traitements spécifiques, voir la description des primitives ou consulter le Guide de référence technique pour plus de détails.

   Si vous avez sélectionné une primitive dont le nom contient le mot External, telle que ModuleExternalSCPGet, ModuleExternalSCPPut, ModuleExternalSFTPMove, ou ModuleExternalSFTPMoveArchive, vous devez compléter les informations sous Connexion.

   Champ	Description
   Hôte	Entrez l'adresse IP ou le nom du serveur hôte.
   Port	Incrivez le port que vous devez utiliser pour vous connecter au serveur.
   Compte	Incrivez le nom d'utilisateur utilisé pour vous connecter au serveur.
   Mot de passe	Incrivez le mot de passe utilisé pour vous connecter au serveur. Le mot de passe sera chiffré automatiquement dès que vous sauvegarderez les changements.
   Clé privée	Entrez la clé privée utilisée par le serveur. Vous aurez généré cette clé à l'aide d'une application tierce.
   Clé publique	Inscrivez la clé publique utilisée pour se connecter au serveur. Vous aurez généré cette clé à l'aide d'une application tierce.

   Cliquez sur le bouton Test pour tester la connexion.

   Si vous avez sélectionné une primitive telle que ModuleIdentityEventHandler ou ModuleProfileEventHandler, vous devez compléter les informations sous Tables d'événements.

   Champ	Description
   Table d'événements cible	Sélectionnez la table RAC/M dans laquelle les données sont envoyées.
   Table d'événements source	Sélectionnez la table d'import dans laquelle les données sont obtenues.

9. Sous MAPPAGE DE DONNÉES, inscrivez dans quels champs et comment les informations doivent être déposées si requis.

   Champ	Description
   Table cible	Nom de la table du référentiel dans lequel les données seront déposées. Vous pouvez importer des données dans différentes tables du référentiel. Pour plus d'information sur les tables des bases de données de RAC/M Identity, consultez Objets et tables du référentiel
   Critères	Dans la liste, sélectionnez l'actif ou la source d'identité à renseigner en fonction de la table cible sélectionnée. Si vous sélectionnez APPLICATION_ACCOUNT, la liste déroulante Critères proposera des actifs alors que si vous sélectionnez IDENTIFICATION déroulante proposera des sources d'identités.
   Colonne de la table cible	Cette liste propose les en-têtes de colonnes de la table cible. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.
   Type de données source	Dans cette liste, sélectionnez le type de données qui alimentera la colonne. Constant : La valeur sera celle spécifiée dans la zone de texte Constante. Date : La valeur sera la date obtenue de la source, convertie selon le format indiqué dans la zone de texte Format (ex: yyyy-mm-dd HH:MM:ss). Veillez à faire correspondre les formats de date. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur. Colonne : Le valeur est obtenue directement de la Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne. Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si aucune valeur est présente dans la source, une valeur par défaut est utilisée provenant du paramètre Constante/Valeur. Cur_Time : La valeur sera la date et l'heure au moment de l'exécution. File_Name : Le mappage utilisera le nom du fichier source comme valeur (applicable seulement pour les modules qui traitent des fichiers). COLUMN_HASHED: La valeur obtenue de la source est transformée par hachage afin d'obtenir une valeur anonymisée. COLUMN_MASK : Une valeur est obtenue de la source selon le paramètre Attribut du système cible et ensuite masquée en utilisant une expression régulière spécifiée dans le paramètre FORMAT.
   Source	Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez extraire les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.
   Constante	Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans ce champ.
   Format	Si le type de source utilise un format spécifique, saisissez-le dans ce champ; sinon, laissez le champ vide. Par exemple, une date peut utiliser le format yyyy-mm-dd. Le format peut aussi contenir des expressions régulières, pour spécifier un masque à appliquer aux valeurs par exemple. Exemple 1 : Format: ^d{7}[a-zA-Z0-9] Pour la valeur source: 00430022887 On obtient le résultat: *******2887 Exemple 2 : Format: [a-zA-Z0-9].{3}$ Pour la valeur source: 00430022887 On obtient le résultat: 0040002*****
   Unique	Cochez cette case si la valeur doit être unique.

10. Au bas de la page, cliquez sur le bouton Enregistrer.

    La section RÉFÉRENCÉ PAR affiche la liste des séquences et des blocs dans lesquels ce gestionnaire de fichier est utilisé. La liste est vide lorsque le gestionnaire est créé.

Configurer un Formateur

Les formateurs sont utilisés pour traiter les données dans des fichiers plats et CSV afin de les corriger ou de les transformer. Par exemple, les formateurs peuvent être utilisés pour décoder des champs encodés en BASE 64 ou en HEX, réparer et harmoniser des formats de date, manipuler, ajouter ou retirer des colonnes.

En général, les formateurs traitent un fichier CSV source en entrée et créent un fichier CSV résultat en sortie. Les formateurs peuvent aussi être utilisés pour convertir des fichiers plats en format CSV pour qu'ils puissent être traités par RAC/M Identity.

Exemple

Les formateurs permettent de séparer en deux colonnes le prénom et le nom de famille d'une identité lorsque la source de données contient le nom complet dans une seule colonne.

Pour créer un Formateur :

1. Dans le menu CONFIGURATION, cliquez sur Formateurs.

   La page Formatteurs s'ouvre.

2. En haut à droite de la page, cliquez sur le bouton .

   Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouveau formateur. Le nom doit être distinctif car il apparaîtra dans une liste de formateurs.

3. Dans la zone de texte Description, saisissez une description de l'utilisation de ce formateur.

4. Saisissez les champs suivants

   Champ	Description
   Fichier des erreurs	Inscrivez le chemin d'accès à l'endroit où vous souhaitez enregistrer le fichier d'erreur. Laissez vide pour utiliser le fichier par défaut.
   Séparateur	Inscrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).
   Nbre Colonnes	Inscrivez le nombre de colonnes désirées dans le fichier CSV destination.
   Encodage du fichier	Inscrivez le type d'encodage correspondant au fichier source. UTF-8 et ISO-8859-1 sont les plus fréquemment utilisés.

5. Sous Comportement en cas d'erreur cliquez sur l'option désirée:

   • Arrêter la séquence pour arrêter la séquence de traitement
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant
   • Continuer avec l'opération suivante pour poursuivre le traitement

6. Sous Primitive, dans la liste Nom, sélectionnez le nom de la primitive à utiliser.

   Les primitives dont le nom contient les mots ToCSV sont utilisées pour convertir des fichiers LDIF, XLS, XLSX ou autres, en format CSV pour qu'ils puissent être traités par RAC/M Identity.

   Pour une description détaillée des primitives, voir le Guide de référence technique.

7. Sous Sélection de fichiers, saissez les champs suivants:

   Champ	Description
   Fichier CSV source	Inscrivez le chemin et le nom du fichier à traiter.
   Type	Sélectionnez le type de fichier à traiter ou laissez à Détecter automatiquement pour laisser RAC/M Identity déterminer automatiquement le type de fichier à traiter.
   Fichier résultat	Incrivez le chemin et le nom du fichier CSV qui contiendra le résultat du formatage. Le chemin d'accès des fichiers CSV source et résultat doit être relatif au répertoire de travail de RAC/M Identity, tel que défini par la propriété path.source.csv dans le fichier config.properties.
   Type d'en-tête	Sélectionnez soit En-tête, soit Index. En-tête affichera le nom des colonnes Index affichera le numéro des colonnes dans la section MAPPAGE DE DONNÉES ci-dessous.
   Fichier modèle source	Sélectionnez le fichier modèle s'il y en a un de disponible, correspondant au fichier à traiter. Si un fichier modèle est sélectionné, la sélection du type d'en-tête s'applique au fichier modèle plutôt qu'au fichier source.

   Note

   Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

   Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

   Exemple: GRA-template.csv

8. Cliquez sur le bouton Enregistrer avant de passer aux étapes suivantes.

9. Cliquez sur le bouton Charger les en-têtes de colonnes des tables.

   La section MAPPAGE DE DONNÉES s'affiche.

   

10. Pour chacune des lignes correspondant aux colonnes du fichier source, inscrivez une Expression régulière ainsi que l'encodage désiré.
    UTF-8 et ISO-8859-1 sont les plus fréquemment utilisés.

    Exemple

    Si vous utilisez une primitive pour supprimer une chaîne de caractères telle que le préfixe TH- du contenu d'une colonne, vous devez inscrire TH- dans la zone de texte Expression régulière située à côté de la colonne en question.

    Remarque

    Les paramètres qui peuvent être utilisés varient en fonction de la Primitive que vous avez sélectionnée. Pour plus d'informations sur les primitives et leurs paramètres, reportez-vous au Guide de référence technique.

11. Cliquez sur Enregistrer, le formateur est créé.

Configurer un Collecteur CSV

Les collecteurs sont des modules spécialisés utilisés pour importer les données d'un fichier CSV ou d'une source de données via un connecteur ICF vers une table d'import du référentiel RAC/M.

Dans tous les cas, les collecteurs permettent de faire le mappage des données de la source aux champs correspondants de la table d'import du référentiel de RAC/M Identity.

De plus, des traitements peuvent être appliqués lors de l'importation des données tels qu'insérer des constantes, combiner le contenu de plusieurs champs et plusieurs autres.

Pour créer un collecteur afin d'importer des données depuis un fichier CSV:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Collecteur.

2. En haut à droite de la page, cliquez sur le bouton . Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur. Le nom doit être distinctif car il apparaîtra dans une liste de collecteurs.

3. Dans la zone de texte Description, incrivez la description de l'utilisation de ce collecteur.

4. Saisissez les champs suivants:

   Champ	Description
   Fichier de destination	Ce champ n'est pas utilisé pour un collecteur
   Fichier des erreurs	Inscrivez le chemin d'accès au répertoire pour le fichier d'erreur. Laissez à blanc pour utiliser le fichier par défaut.
   Séparateur	Inscrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).
   Encodage du fichier	Inscrivez le type d'encodage désiré. ISO-8859-1 et UTF-8 permettent de représenter les caractères accentués. La valeur par défaut est ISO-8859-1.

5. Sous Comportement en cas d'erreurs, sélectionnez la façon dont vous voulez que RAC/M réagisse lorsqu'une erreur d'extraction se produit.

   • Arrêter la séquence pour arrêter immédiatement l'exécution de la séquence en cours.
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et pousuivre avec le bloc suivant.
   • Continuer avec l'opération suivante pour ignorer l'erreur et poursuivre le traitement

6. Sous Primitive, dans la liste déroulante Nom, sélectionnez une primitive dont le nom contient CSV.

   Les primitives dont le nom contient CSV servent à importer des données à partir d'un fichier CSV dans le référentiel de RAC/M Identity. Les différentes versions de primitives permettent aussi de déterminer comment traiter le fait que des données existent déjà ou non dans les tables d'import.

   Exemple

   Les primitives suivantes diffèrent dans la façon dont les données sont créées, mises à jour et insérées dans les tables d'import.

   ModuleCSVUpdateOrInsertTable mets à jour des données existantes dans la table d'import et les créée si elles n'existent pas déjà

   ModuleCSVConcatAndUpdateOrInsertTable concatenate les données importées aux données existantes et les mets à jour dans la table d'import et les créée si elles n'existent pas déjà

   ModuleCopyCSVToTable insère les valeurs du fichiers CSV sauf si elles existent déjà dans la table

   ModuleCSVUpdateTable mets à jour les données existantes mais ne les créée pas si elles existent déjà dans la table d'importation.

   Pour notre exemple, sélectionnez ModuleCopyCSVToTable.

   

   Pour plus d'informations sur les primitives veuillez consulter le Guide de référence technique.

7. Au bas de la page, cliquez sur le bouton Enregistrer avant de passer aux étapes suivantes. Le collecteur est ajouté à la liste de la page Détails Collecteurs.

8. Sous Importation de données, entrez les informations comme suit :

   Champ	Description
   Table cible	Dans la liste, sélectionnez la table d'import dans laquelle vous souhaitez importer les données. Les tables d'import ont le mot IMPORT dans leur nom. Pour plus d'informations sur les tables d'import, reportez-vous à Description de la table d'import.
   Fichier source	Dans la liste, sélectionnez le fichier CSV que vous souhaitez importer. Pour notre exemple /RH/*.csv.
   Fichier source modèle	Dans la zone de texte Fichier modèle de la source, sélectionnez un fichier qui servira de gabarit pour construire le fichier cible. Les fichiers modèles servent à définir la structure du fichier en termes de colonnes. Ils peuvent être de type CSV, XLSX, ou XLS. Ils doivent être déposés dans le répertoire déterminé dans le fichier de configuration config.properties. De plus, les fichiers modèles peuvent contenir une première ligne d'entête ou non.
   Type d'en-tête de colonne	Dans la liste, sélectionnez Header pour remplir la table en utilisant le nom de l'en-tête ou Index en utilisant le numéro d'index. Pour notre exemple, choisissez Header.

9. Au bas de la page, cliquez sur Enregistrer.

   Note

   Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

   Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

   Exemple: GRA-template.csv

10. Cliquez sur le bouton Charger des colonnes à partir de la table et des fichiers source.

    Vous pouvez maintenant faire correspondre les données importées aux colonnes de la table RAC/M dans la section Mappage des données.

11. Sous Mappage des données, faites correspondre les données selon les paramètres suivants :

    Champ	Description
    Colonne de la table cible	Cette liste propose les en-têtes de colonnes de la table cible. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes du fichier source dans la même colonne de la table cible. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.
    Type de données source	Dans cette liste, sélectionnez le type de données qui alimentera la colonne. Constant : La valeur sera celle spécifiée dans la zone de texte Constante/Valeur. Par exemple, le contenu de la colonne HR_Work_Location_Name pourrait être mis à "Montréal". Date : La valeur sera la date obtenue de la source, convertie selon le format indiqué dans la zone de texte Format (ex: yyyy-mm-dd HH:MM:ss). Veillez à faire correspondre les formats de date. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur. Colonne : Le valeur est obtenue directement de la Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne. Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si aucune valeur est présente dans la source, une valeur par défaut est utilisée provenant du paramètre Constante/Valeur. Cur_Time : La valeur sera la date et l'heure au moment de l'exécution. File_Name : Le mappage utilisera le nom du fichier source comme valeur (applicable seulement pour les modules qui traitent des fichiers). COLUMN_HASHED : La valeur obtenue de la source est transformée par hachage afin d'obtenir une valeur anonymisée. COLUMN_MASK : Une valeur est obtenue de la source selon le paramètre Attribut du système cible et ensuite masquée en utilisant une expression régulière spécifiée dans le paramètre FORMAT.
    Colonne source	Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez extraire les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.
    Constante/Valeur	Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.
    Format	Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Par exemple, une date peut utiliser le format yyyy-mm-dd. Le format peut aussi contenir des expressions régulières, pour spécifier un masque à appliquer aux valeurs par exemple. Exemple 1 : Format: ^d{7}[a-zA-Z0-9] Pour la valeur source: 00430022887 On obtient le résultat: *******2887 Exemple 2 : Format: [a-zA-Z0-9].{3}$ Pour la valeur source: 00430022887 On obtient le résultat: 0040002*****
    Unique	Cochez cette case si la valeur doit être unique.

12. Cliquez sur Enregistrer. Le collecteur est complété.

Configurer un Collecteur ICF

Un collecteur ICF permet d'importer ou exporter des données en utilisant un connecteur ICF configuré spécifiquement pour une source d'identité ou un système cible. Les connecteurs ICF doivent être configurés au préalable. Voir Configurer un connecteur ICF pour plus de détails.

Pour configurer un collecteur afin d'importer ou d'exporter des données depuis un connecteur ICF:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Collecteur.

2. En haut à droite de la page, cliquez sur le bouton . Sous Détails, dans la zone de texte Nom, incrivez le nom du collecteur. Le nom doit être distinctif car il apparaîtra dans une liste de collecteurs.

3. Dans la zone de texte Description, incrivez la description de l'utilisation de ce collecteur, en particulier s'il sert à importer des données ou à effectuer l'approvisionnement vers un système cible.

4. Saisissez les champs suivants:

   Champ	Description
   Fichier de destination	Ce champ n'est pas utilisé pour un collecteur.
   Fichier des erreurs	Inscrivez le chemin d'accès au répertoire pour le fichier d'erreur. Laissez à blanc pour utiliser le fichier par défaut.
   Séparateur	Inscrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).
   Encodage du fichier	Inscrivez le type d'encodage désiré. ISO-8859-1 et UTF-8 permettent de représenter les caractères accentués. La valeur par défaut est ISO-8859-1.

5. Sous Comportement en cas d'erreurs, sélectionnez la façon dont vous voulez que RAC/M Identity réagisse lorsqu'une erreur se produit.

   • Arrêter la séquence pour arrêter immédiatement l'exécution de la séquence en cours.
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant.
   • Continuer avec l'opération suivante pour ignorer l'erreur et poursuivre le traitement

6. Sous Primitive, dans la liste déroulante Nom, sélectionnez une primitive dont le nom contient ICF.

   Les primitives dont le nom contient ICF utilisent un connecteur ICF configuré pour une source d'identité ou un système cible spécifique pour importer ou exporter des données.

   Les primitives dont le nom inclus "IMPORT" permettent d'importer des données, alors que celles dont le nom inclus "Provisioning" servent à exporter (provisonner) des données vers une source d'identité ou un système cible. Le nom indique aussi les types d'objets à traiter tels que les Identités (Identity), les comptes (Account), ou les groupes (Profile). Celles qui n'incluent pas de type d'objet peuvent être utilisées pour importer ou provisionner n'importe quel type d'objets.

   La zone Description décrit la primitive et le paramétrage à utiliser.

   Pour notre exemple, sélectionnez ModuleTableToCSV.

   

   Pour plus d'informations sur les primitives veuillez consulter le Guide de référence technique.

7. Au bas de la page, cliquez sur le bouton Enregistrer avant de passer aux étapes suivantes

   Le collecteur est ajouté à la liste de la page Détails Collecteurs.

8. Sous Importation de données, entrez les informations comme suit :

   Champ	Description
   Table cible	Dans la liste, sélectionnez la table d'import dans laquelle vous souhaitez importer les données. Les tables d'import ont le mot IMPORT dans leur nom. Pour plus d'informations sur les tables d'import, reportez-vous à Description de la table d'import.
   Fichier source	Dans la liste, sélectionnez le fichier CSV que vous souhaitez importer. Pour notre exemple /RH/*.csv.
   Fichier source modèle	Dans la zone de texte Fichier modèle de la source, sélectionnez un fichier qui servira de gabarit pour construire le fichier cible. Les fichiers modèles servent à définir la structure du fichier en termes de colonnes. Ils peuvent être de type CSV, XLSX, ou XLS. Ils doivent être déposés dans le répertoire déterminé dans le fichier de configuration config.properties. De plus, les fichiers modèles peuvent contenir une première ligne d'entête ou non.
   Type d'en-tête de colonne	Dans la liste, sélectionnez Header pour remplir la table en utilisant le nom de l'en-tête ou Index en utilisant le numéro d'index. Pour notre exemple, choisissez Header.

9. Au bas de la page, cliquez sur Enregistrer.

   Note

   Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

   Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

   Exemple: GRA-template.csv

10. Cliquez sur le bouton Charger des colonnes à partir de la table et des fichiers source.

    Vous pouvez maintenant faire correspondre les données importées aux colonnes de la table RAC/M dans la section Mappage des données.

11. Sous Mappage des données, faites correspondre les données selon les paramètres suivants :

    Champ	Description
    Colonne de la table cible	Cette liste propose les en-têtes de colonnes de la table cible. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer plusieurs colonnes dans le fichier source. Par exemple, la colonne RAC/M HR_Department_ID pourrait prendre sa valeur à partir des colonnes Hospital et Department du fichier source, que vous sépareriez à l'aide d'un trait d'union.
    Type de données source	Dans cette liste, sélectionnez le type de données qui alimentera la colonne. Constant : La valeur sera celle spécifiée dans la zone de texte Constante/Valeur. Par exemple, le contenu de la colonne HR_Work_Location_Name pourrait être mis à "Montréal". Date : La valeur sera la date obtenue de la source, convertie selon le format indiqué dans la zone de texte Format (ex: yyyy-mm-dd HH:MM:ss). Veillez à faire correspondre les formats de date. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur. Colonne : Le valeur est obtenue directement de la Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne. Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si aucune valeur est présente dans la source, une valeur par défaut est utilisée provenant du paramètre Constante/Valeur. Cur_Time : La valeur sera la date et l'heure au moment de l'exécution. File_Name : Le mappage utilisera le nom du fichier source comme valeur (applicable seulement pour les modules qui traitent des fichiers). COLUMN_HASHED: La valeur obtenue de la source est transformée par hachage afin d'obtenir une valeur anonymisée. COLUMN_MASK : Une valeur est obtenue de la source selon le paramètre Attribut du système cible et ensuite masquée en utilisant une expression régulière spécifiée dans le paramètre FORMAT.
    Colonne source	Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez extraire les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.
    Constante/Valeur	Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.
    Format	Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Par exemple, une date peut utiliser le format yyyy-mm-dd. Le format peut aussi contenir des expressions régulières, pour spécifier un masque à appliquer aux valeurs par exemple. Exemple 1 : Format: ^d{7}[a-zA-Z0-9] Pour la valeur source: 00430022887 On obtient le résultat: *******2887 Exemple 2 : Format: [a-zA-Z0-9].{3}$ Pour la valeur source: 00430022887 On obtient le résultat: 0040002*****
    Unique	Cochez cette case si la valeur doit être unique.

12. Cliquez sur Enregistrer. Le collecteur est complété.

Configurer un Extracteur

Les extracteurs sont utilisés pour extraire les données du référentiel d'identités et d'accès RAC/M et les convertir dans un format standard (par exemple, un fichier CSV).

Pour configurer un extracteur:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Extracteur.

2. En haut à droite de la page, cliquez sur le bouton . Sous Détails, dans la zone de texte Nom, incrivez le nom de ce nouvel extracteur. Le nom doit être distinctif car il apparaîtra dans une liste d'extracteurs.

3. Saisissez les champs suivants:

   Champ	Description
   Fichier des erreurs	Inscrivez le chemin d'accès au répertoire pour le fichier d'erreur. Laissez à blanc pour utiliser le fichier par défaut.
   Séparateur	Inscrivez le type de séparateur que vous voulez utiliser (par exemple, " :", "|", " ;", etc.).
   Encodage du fichier	Inscrivez le type d'encodage désiré. ISO-8859-1 et UTF-8 permettent de représenter les caractères accentués. La valeur par défaut est ISO-8859-1.

4. Sous Comportement en cas d'erreurs, sélectionnez la façon dont vous voulez que RAC/M Identity réagisse lorsqu'une erreur se produit.

   • Arrêter la séquence pour arrêter immédiatement l'exécution de la séquence en cours.
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant.
   • Continuer avec l'opération suivante pour ignorer l'erreur et poursuivre le traitement

5. Au bas de la page, cliquez sur le bouton Enregistrer.

6. Sous Primitive, dans la liste déroulante Nom, sélectionnez une primitive d'extraction.

   Pour notre exemple, sélectionnez ModuleTableToCSV.

Les champs affichés dépendent de la primitive sélectionnée.

Note

En général, les primitives dont le nom inclus SQL permettent d'accéder aux données du référentiel par des requêtes SQL offrant ainsi une flexibilité maximale, alors que les autres utilisent des filtres paramétrables pour sélectionner les tables et les colonnes du référentiel.

Les champs suivants sont pertinents à la primitive ModuleTableToCSV selon notre exemple.

Voir aussi

Pour plus d'information sur les objets et les tables des bases de données de RAC/M Identity, consultez Objets et tables du référentiel.

7. Sous Importation de données, saisissez les informations requises comme suit :

   Champ	Description
   Fichier cible	Dans la liste, sélectionnez le fichier dans lequel vous voulez exporter les données en format CSV.
   Table source	Dans la liste, sélectionnez la table RAC/M duquel vous voulez extraire les données. Pour notre exemple, Identification.
   Fichier gabarit	Dans la liste déroulante, sélectionnez le fichier gabarit qui servira de modèle pour générer le fichier cible. Le gabarit est un fichier qui contient au moins une ligne contenant les titres des colonnes, permettant de définir la structure du fichier cible. La zone Mappage de données ne sera disponible que si un modèle est sélectionné. Pour notre exemple, RH/gabarit/template_employes.xlsx.
   Type d'en tête de colonne	Dans la liste déroulante, sélectionnez Header pour remplir la table à l'aide du nom de l'en-tête ou Index à l'aide du numéro d'index. Pour notre exemple, choisissez Header.

   Note

   Les fichiers modèles doivent contenir au moins une ligne. Si le fichier modèle contient des en-têtes de colonnes, elles peuvent être utilisées pour identifier les colonnes dans la section MAPPAGE DE DONNÉES.

   Les fichiers modèles doivent avoir le mot template dans leur nom pour être reconnus comme des fichiers modèles, doivent être du même type que le fichier source à traiter, tel que .XLSX ou .CSV. et être déposés dans le répertoire de travail de RAC/M Identity ou un sous-répertoire.

   Exemple: GRA-template.csv

8. Cliquez sur Enregistrer avant de passer aux étapes suivantes.

9. Cliquez sur le bouton Charger les colonnes de la table à partir du CSV pour remplir la zone de mappage des données.

10. Utilisez la section Critères pour ajouter des filtres à l'extraction.
    Ces filtres sont construits à partir des colonnes de la table sélectionnée et chaque ligne constitue un critère évalué.
    Par exemple, un critère peut être EXPIRATION_DATE < 2025/12/01 pour extraire tous les comptes qui expirent avant le 1er décembre 2025.

    Champ	Description
    Colonne	Sélectionnez la colonne désirée à partir de la liste déroulante.
    Opération	Incrivez "=", ">", "<" ou "<>" pour que le filtre soit égal, plus grand, plus petit ou différent d'une valeur spécifique.
    Valeur	Inscrivez la valeur du filtre. Si vous incrivez du texte (ou une chaîne de caractères), veillez à l'entourer de guillemets simples (par exemple, 'Nurse'). Vous pouvez utiliser un format de requête SQL pour saisir des valeurs plus avancées.

    Pour ajouter un critère supplémentaire, cliquez sur le bouton Ajout de critères.

11. La section Mappage des données, permet de déterminer comment les données sont extraites et d'appliquer des traitements au besoin pour construire le fichier cible. Par exemple, des colonnes du fichier cibles peuvent être fixées à une valeur constante. Vous pouvez ajouter autant de règles que requis avec le bouton .

    

    Champ	Description
    Colonne du fichier cible	Cette liste propose les en-têtes de colonnes du fichier cible. Vous pouvez ajouter une colonne du même nom en cliquant sur le bouton . Cela vous permet de concaténer des données provenant de plusieurs colonnes de la table source.
    Type de données source	Dans cette liste, sélectionnez le type de données qui alimentera la colonne. Constant : La valeur sera celle spécifiée dans la zone de texte Constante/Valeur. Par exemple, le contenu de la colonne HR_Work_Location_Name pourrait être mis à "Montréal". Date : La valeur sera la date obtenue de la source, convertie selon le format indiqué dans la zone de texte Format (ex: yyyy-mm-dd HH:MM:ss). Veillez à faire correspondre les formats de date. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Constant/Valeur. Colonne : Le valeur est obtenue directement de la Colonne source. Dans notre exemple, pour Nom_du_compte, sélectionnez Colonne. Column_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si aucune valeur est présente dans la source, une valeur par défaut est utilisée provenant du paramètre Constante/Valeur. Cur_Time : La valeur sera la date et l'heure au moment de l'exécution. File_Name : Le mappage utilisera le nom du fichier source comme valeur (applicable seulement pour les modules qui traitent des fichiers). COLUMN_HASHED: La valeur obtenue de la source est transformée par hachage afin d'obtenir une valeur anonymisée. COLUMN_MASK : Une valeur est obtenue de la source selon le paramètre Attribut du système cible et ensuite masquée en utilisant une expression régulière spécifiée dans le paramètre FORMAT.
    Colonne source	Dans la liste, sélectionnez le nom de la colonne de la table source à partir de laquelle vous souhaitez extraire les données. Si vous sélectionnez une colonne avec le suffixe "_ID", l'icône apparaît, vous permettant de parcourir le référentiel RAC/M et de trouver la colonne précise que vous voulez utiliser. Lorsque vous cliquez sur l'icône, la table cible s'ouvre dans une boîte de dialogue. Cliquez sur une colonne pour la sélectionner. Pour naviguer vers une table secondaire, cliquez sur cette même icône à côté de la colonne "_ID" qui renvoie à la table secondaire.
    Constante/Valeur	Si vous avez sélectionné Constant ou Column_With_Default comme type de source de données, incrivez la valeur à utiliser dans cette zone de texte.
    Format	Si le type de source utilise un format spécifique, saisissez-le dans cette zone de texte ; sinon, laissez la zone vide. Par exemple, une date peut utiliser le format yyyy-mm-dd. Le format peut aussi contenir des expressions régulières, pour spécifier un masque à appliquer aux valeurs par exemple. Exemple 1 : Format: ^d{7}[a-zA-Z0-9] Pour la valeur source: 00430022887 On obtient le résultat: *******2887 Exemple 2 : Format: [a-zA-Z0-9].{3}$ Pour la valeur source: 00430022887 On obtient le résultat: 0040002*****
    Unique	Cochez cette case si la valeur doit être unique.

12. Une fois le mappage de toutes les colonnes du fichier cible complété, cliquez sur Enregistrer, l'extracteur est complété.

Configurer un Module générique

Les modules génériques sont utilisés pour analyser, transformer, enrichir, importer ou exporter des données du référentiel, envoyer des alertes ou des notifications par courriel, ou effectuer tout autre traitement requis.

Exemple

Le module IdentificationCopy prend les données d'une table d'import et les transfère dans une table principale du référentiel. Il peut donc être utilisé pour copier les données de la table IDENTITY_Import dans la table IDENTIFICATION après que les données aient étées importées d'une source d'identités.

Pour obtenir une liste complète des modules prédéfinis et primitives disponibles reportez-vous au Guide de référence technique.

Pour configurer un Module générique:

1. Dans le menu CONFIGURATION, cliquez sur Modules.

2. En haut à droite de la page, cliquez sur le bouton . Sous Détails, dans le champ Nom, Incrivez le nom que vous voulez donner au module. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres modules.

3. Dans la zone de texte Description, Saisissez une description du module. Cela vous aidera à savoir ce qu'il fait.

4. Saisissez les champs suivants:

   Champ	Description
   Fichier de résultats	Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que les résultats de l'exécution (un fichier .log) soient enregistrés. Le fichier est enregistré dans : RACM Identity/logs.
   Fichier des erreurs	Saisissez le chemin d'accès au répertoire dans lequel vous souhaitez que le fichier d'erreur (un fichier .log) soit enregistré. Le fichier est enregistré dans : RACM Identity/logs. Laissez à blanc pour utiliser le fichier par défaut.

5. Sous Comportement en cas d'erreurs, sélectionnez la façon dont vous voulez que RAC/M Identity réagisse lorsqu'une erreur se produit.

   • Arrêter la séquence pour arrêter immédiatement l'exécution de la séquence en cours.
   • Ignorer les opérations restantes... pour arrêter les traitements du bloc courant et poursuivre avec le bloc suivant.
   • Continuer avec l'opération suivante pour ignorer l'erreur et poursuivre le traitement

6. Sous Primitive, dans la liste déroulante Nom, Sélectionnez la primitive appropriée pour effectuer le traitement requis. Une brève description de la primitive sélectionnée est affichée.

   Les champs affichés au-dessous de la description varient en fonction de la primitve sélectionnée

   Pour obtenir une liste à jour des primitives disponibles, reportez-vous au Guide de référence technique.

7. Utilisez la section Portée pour ajouter des filtres au traitement. Ces filtres sont construits à partir des colonnes de la table sélectionnée.

   Champ	Description
   Colonne du critère à ajouter	Incrivez le titre de la colonne que vous voulez utiliser comme filtre.
   Opération	Incrivez "=", ">", "<" ou "<>" si vous voulez que le filtre soit égal, plus grand, plus petit ou différent d'une valeur spécifique.
   Valeur	Saisissez la valeur du filtre. Si vous saisissez du texte (ou une chaîne de caractères), veillez à l'entourer de guillemets simples (par exemple, 'Infirmière'). Vous pouvez utiliser le format de requête SQL pour utiliser des valeurs plus avancées.

8. Sous Sélection des tables, inscrivez les noms des tables cible et sources des données à traiter.

   Champ	Description
   Table cible	Dans la liste déroulante, sélectionnez la table du référentiel d'identités et d'accès dans laquelle vous souhaitez importer les données de la table de transit. Si vous utilisez le module pour manipuler les données sans nécessairement les importer dans le référentiel (par exemple, pour trouver les comptes qui ne sont pas fiables), laissez cette liste vide. Dans ce cas, la section de mappage des données n'apparaîtra pas.
   Table source	Dans la liste, sélectionnez la table d'import à partir de laquelle vous souhaitez importer les données. Si vous utilisez le module pour effectuer des tâches de normalisation ou de corrélation, le fichier source sera une table située dans le référentiel RAC/M.

9. Cliquez sur Chercher les en-têtes de colonne des tables pour charger les noms des colonnes des tables source et cible. Le tableau de données s'ouvre sous MAPPAGE DES DONNÉES. Utilisez le tableau pour mapper les données ; si aucun mappage n'est nécessaire, descendez jusqu'au bas de la page et cliquez sur Enregistrer.

   Champ	Description
   Colonne de la table cible	Cette liste propose les en-têtes de colonnes de la table cible.
   Colonne de la table source	Dans cette liste, vous trouverez toutes les colonnes des données de la table source. Pour chaque valeur de la Colonne de la table cible, sélectionnez la col;e de la table source que vous voulez faire correspondre à cette valeur cible.
   Type de données	Dans la liste, sélectionnez Date si la valeur est une date et String pour une autre valeur.
   Format	Incrivez le format si nécessaire, sinon, laissez la case vide. Par exemple, une date peut avoir la chaîne yyyy-mm-dd.
   Type de traitement	Dans la liste, sélectionnez: SRC_EMPTY_OVERIDE_BY_NULL pour forcer une valeur nulle si la valeur est vide et TARGET_IS_NOT_EMPTY_THEN_NO_OVERIDE si vous ne voulez pas remplacer la valeur de la cible dans le cas d<une valeur nulle dans la colonne source.
   Identifiant unique	Cochez cette case si la valeur doit être unique.

   Exemple

   Un module pour copier les identités importées vers le réféfrentiel pourrait être configuré comme suit :

   1. Dans la barre de menu, cliquez sur CONFIGURATION> Modules.
   2. Cliquez sur le bouton . La page de configuration du module s'ouvre
   3. Sous Détails, incrivez les informations requises.
   4. Sous Primitive, dans la liste Nom, sélectionnez ModuleCopyColumnsAndInsert.
   5. Sous Sélection des tables, dans la liste Table Cible, sélectionnez Identification.
   6. Dans la liste Table source, sélectionnez IDENTITY_IMPORT. 7.
   7. Cliquez sur Chercher les en-têtes de colonne des tables. La zone Mappage de données s'ouvre.
   8. Dans la liste Colonne de la table source, à côté de Employee_ID, sélectionnez Employee_ID.
   9. Dans la liste Type de données, sélectionnez String.
   10. Mettez en correspondance l'entrée suivante Colonne de la table cible et ainsi de suite jusqu'à ce que toutes les valeurs soient mises en correspondance.
   11. Cliquez sur Enregistrer.

   Le module est créé et ajouté à la liste des modules.

Configurer un Bloc

Les blocs sont constitués de composants, qui peuvent être des formateurs, des collecteurs ou des modules. Lorsque ces composants sont assemblés pour effectuer une tâche, ils deviennent des blocs.

Exemple

Si les informations contenues dans une feuille de calcul Excel doivent être ajoutées au référentiel d'identités et d'accès, vous pouvez créer un bloc qui contiendrait un formateur (pour convertir la feuille de calcul Excel au format CSV), un collecteur (pour transférer les données du fichier CSV dans une table de transit RAC/M) et un module personnalisé (pour normaliser les données).

Lorsque des tâches plus élaborées doivent être exécutées, les blocs peuvent être regroupés pour former des séquences.

Pour configurer un Bloc:

1. Dans le menu CONFIGURATION, cliquez sur Blocs.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom que vous voulez donner au bloc. Le nom doit être distinctif car il apparaîtra dans une liste avec plusieurs autres blocs.

4. Dans la zone de texte Description, incrivez une description du bloc. Cela vous aidera à savoir ce qu'il fait.

5. Sous Composants sélectionnés, cliquez sur un composant à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre bloc.

   Lorsqu'un composant est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier est affichée). Pour sélectionner plusieurs composants dans un même groupe, utilisez la touche Ctrl.

Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

Vous pouvez continuer à travailler sur votre bloc en ajoutant, supprimant et modifiant des composants :

Pour déplacer les composants vers le haut et le bas de la liste Composants sélectionnés, utilisez les boutons et . Ceci détermine l'ordre dans lequel les composants sont exécutés.

Pour désactiver temporairement un composant spécifique, sélectionnez le composant et cochez la case Disable.

Pour modifier un composant, sélectionnez le composant et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

Note

Vous pouvez créer un composant entièrement nouveau en cliquant sur le bouton . Cela ouvre une page de configuration vide pour le type de composant correspondant. C'est la même chose que de passer par le menu CONFIGURATION, composant et de cliquer sur le bouton en haut de la page.

Configurer une Séquence

Les séquences constituent la logique d'affaires utilisée pour:

• intégrer les sources d'identités et les systèmes cibles
• analyser le référentiel afin de détecter les anomalies et les situations à risque
• détecter les événements déclencheurs tels que les embauches, départs, mouvement latéraux, promotions et autres événements pertinents et exécuter les actions appropriées au cycle de vie des identités
• transmettre des alertes et des notifications le cas échéant
• effectuer tout autre traitement requis.

Elles sont construites à partir de blocs, eux-même constitués de modules, assemblés pour effectuer un ensemble de traitements visant à accomplir une tâche complexe telle que synchroniser les sources d'identités et le systèmes cibles, lancer les flux d'approvisionnement, etc.

Les séquences sont normalement exécutées selon des horaires et des fréquences déterminées mais peuvent aussi être lancées manuellement par les pilotes.

Afin de simplifier la configuration de tâches complexes, RAC/M Identity propose des gabarits de séquences pleinement fonctionnelles, réduisant ainsi au strict minimum le paramétrage requis.

Pour configurer une Séquence:

1. Dans le menu CONFIGURATION, cliquez sur Séquences.

2. En haut à droite de la page, cliquez sur le bouton .

   Un panneau contenant des tuiles représentant des gabarits de séquences disponibles s'affiche. Vous pouvez réduire le nombre de gabarits affichés en utilisant les filtres sous Catégories à gauche de l'écran.

   

   Sélectionnez la tuile qui correspond le mieux à la source d'identité ou au système cible que vous désirez intégrer. Pour intégrer une source ou un système cible qui n'apparait pas dans la liste, vous pouvez sélectionner une tuile similaire à la source ou au système visé et vous pouvez modifier la séquence, les blocs et les modules qui la constitue pour personaliser le traitement selon vos besoin.

   Sélectionnez Séquence vide pour configurer une nouvelle séquence distincte de celles présentées.

   Dans ce cas, dans la zone de texte Nom de la séquence, incrivez un nom distinctif car il apparaîtra dans une liste avec plusieurs autres séquences et passez directement à l'étape 5.

   Un panneau s'ouvrira avec les paramètres de configuration. Les champs affichés dépendent de la tuile sélectionnée.

   

3. Sous Nouvelle séquence, dans la zone de texte Nom de la séquence, incrivez un nom distinctif car il apparaîtra dans une liste avec plusieurs autres séquences. Ce nom sera utilisé pour toutes les composantes (blocs et modules) constituant la séquence.

   Renseignez les champs suivants selon le tableau ci-dessous:

   Champ	Description
   Effacer les configurations de la séquence si elles existent	Cochez cette option pour supprimer les configurations existantes avant de créer la nouvelle séquence.
   Serveur	Adresse du serveur cible (nom DNS ou adresse IP) vers lequel la connexion sera établie.
   Port	Numéro de port utilisé pour la connexion au système cible. Par défaut : 636.
   Nom distinct de connexion (Bind DN)	Identifiant complet du compte de service utilisé pour se connecter au répertoire cible.
   Mot de passe de connexion (Bind Password)	Mot de passe associé au compte spécifié dans le Bind DN.
   Contexte de base	Point d’ancrage LDAP (Base DN) à partir duquel les recherches et opérations seront effectuées.
   Nom de l’actif	Nom logique attribué à l’actif représentant la source d'identité ou le système cible (ex. : ServiceNow).
   Nom technique de l’actif	Identifiant technique unique de l’actif, utilisé dans les scripts et les journaux d’exécution.
   Nom du regroupement d’actifs	Nom du groupe fonctionnel auquel l’actif est rattaché. Par défaut : Default Grouping.
   Nom technique du regroupement d’actifs	Identifiant technique du regroupement d’actifs. Valeur par défaut : default.
   Générer le bloc de provisionnement	Cochez cette option pour créer automatiquement le bloc de provisionnement associé à la séquence.
   Nom distinct relatif (RDN) d’usagers	Spécifie le conteneur LDAP (RDN) où les objets usagers seront créés ou mis à jour. Lors du provisionnement des nouveaux comptes, ceux-ci vont être ajoutés directement sous le Contexte de base. Si vous voulez les ajouter dans un nom distinct (DN) sous-jacent, veuillez le spécifier ici. (Spécifiez seulement le DN sans le contexte de base) Champ optionnel.

   Cliquez Générer pour générer la séquence, incluant les blocs et les modules qui la constituent. Ces blocs et ces modules seront préconfigurés selon la nomenclature de la séquence afin de faciliter la gestion.

   

4. Effectuez chacune des étapes indiquées pour compléter la configuration. Les étapes affichées en hyperlien lancent un écran qui ouvre directement sur l'objet à paramétrer. Vous pouvez fermer la nouvelle fenêtre après que vous avez complété le paramétrage et sauvegardé l'objet modifié.

   Cliquez sur Terminer la configuration de la séquence pour compléter la configuration. Un écran s'ouvre avec les paramètres de la séquence.

   

5. Dans la zone de texte Description, incrivez une description de la séquence. Cela vous aidera à savoir ce qu'elle fait.

6. Dans les zones de texte Courriel(s) de notification et Courriels en cas d'échec, incrivez les adresses électroniques des identités qui doivent être notifiées lorsque la séquence a été exécutée et celles qui doivent être alertées si une erreur se produit pendant l'exécution d'une séquence.

7. Dans la zone de texte Horaire, incrivez la chaîne de programmation pour définir l'horaire d'exécution automatisée selon la syntaxe Quartz. La chaîne comprend 6 champs obligatoires et 1 champ facultatif. Chaque champ est séparé par un espace blanc.

   Champ	Valeurs autorisées	Caractères spéciaux autorisés
   Secondes	0-59	, - * /
   Minutes	0-59	, - * /
   Heures	0-23	, - * /
   Jour du mois	1-31	, - * ? / L W
   Mois	1-12 ou JAN-DEC	, - * /
   Jour de la semaine	1-7 ou DIM-SAT	, - * ? / L ##
   Année (facultatif)	Empty, 1970-2199	, - * /

   • * (astérisque) spécifie toutes les valeurs. Par exemple, dans le champ Minutes, il signifie "chaque minute".
     
   • ? (point d'interrogation) est utilisé pour les champs Jour du mois et Jour de la semaine. Il indique "aucune valeur spécifique", ce qui est utile lorsque vous devez spécifier quelque chose dans l'un des deux champs et pas dans l'autre.
   • - (trait d'union) spécifie une plage. Par exemple, 10-12 dans le champ Heures signifie les heures 10 à 12 incluses.
   • , (virgule) spécifie des valeurs supplémentaires. Par exemple, dans le champ Jour de la semaine, LUNDI, MERCREDI, VENDREDI signifie que les jours lundi, mercredi et vendredi sont programmés.
   • / (barre oblique) spécifie l'incrément. Par exemple, dans le champ Secondes, 0/15 signifie que la séquence sera exécutée toutes les 0, 15, 30 et 45 secondes ; si 5/15, elle le sera toutes les 5, 20, 35 et 50 secondes".
   • L (pour last) a une signification différente dans chacun des deux champs dans lesquels il est autorisé. Par exemple, dans le champ Jour du mois, il signifie le dernier jour du mois. En revanche, dans le champ Jour de la semaine, il signifie à lui seul 7 ou SAT. Mais dans le champ Jour de la semaine après une autre valeur, il signifie le dernier jour du mois (par exemple 6L signifie le dernier vendredi du mois ; le samedi étant le 7).
   • W (pour weekday) indique le jour de semaine (du lundi au vendredi) le plus proche du jour donné. Par exemple, si vous spécifiez 15W pour le champ Jour du mois, cela signifie "le jour de semaine le plus proche du 15 du mois". Ainsi, si le 15 est un samedi, le déclencheur sera le vendredi 14. Si le 15 est un dimanche, le déclencheur sera le lundi 16. Si le 15 est un mardi, le déclenchement aura lieu le mardi 15. Toutefois, si vous spécifiez 1W dans le champ Jour du mois et que le 1er est un samedi, le déclenchement aura lieu le lundi 3. le lundi 3 ; il n'y aura pas de "saut" d'un mois à l'autre.
   • ## (dièse ou dièse) spécifie le "n "ième "jj" jour du mois. Par exemple, dans le champ Jour de la semaine, 6##3 signifie "le troisième vendredi du mois" (le 6e jour étant un vendredi et ##3 = le 3e du mois).

8. Pour prévenir que cette séquence exécute en même temps qu'une autre, sélectionnez un groupe dans la liste déroulante ou inscrivez un nouveau de nom de groupe dans le champ Groupe de prévention d'exécution simuiltanée. Ceci est important pour permettre à une séquence de compléter avant qu'un autre exécute afin de traiter des données qui pouraient être en cours d'importation par exemple.

   Si une séquence tente d'exécuter pendant qu'une autre séquence faisant partie d'un groupe d'exclusion est en cours d'exécution, elle sera mise en attente jusqu'à ce la première séquence complète.

9. Sous Blocs, cliquez sur un bloc à gauche pour le sélectionner et cliquez sur le bouton pour l'ajouter à votre séquence.

   Lorsqu'un bloc est sélectionné, sa description s'ouvre à droite de la page. (Lorsque plusieurs composants sont sélectionnés, seule la description du premier s'affiche). Pour sélectionner plusieurs composants d'un même groupe, utilisez la touche Ctrl.

   

   Une fois que vous avez ajouté tous les composants nécessaires dans la liste Composants sélectionnés, cliquez sur le bouton Enregistrer pour créer le bloc et l'ajouter à la liste des blocs disponibles. Les modifications ultérieures seront enregistrées en cliquant sur le bouton Enregistrer.

   Vous pouvez continuer à travailler sur votre séquence en ajoutant, supprimant et modifiant des blocs :

   Pour déplacer les blocs vers le haut et le bas de la liste des Composants sélectionnés, utilisez les boutons et . Cela détermine l'ordre dans lequel les blocs sont exécutés.

   Pour désactiver temporairement une séquence, sous Détails, cochez la case Désactiver la séquence.

   Pour modifier un bloc, sélectionnez le bloc et cliquez sur le bouton . La page Configuration correspondante s'ouvre.

   Note

   Vous pouvez créer un bloc entièrement nouveau en cliquant sur le bouton . Cela ouvre une page de configuration vide. C'est la même chose que de passer par le menu CONFIGURATION> Blocs et de cliquer sur le bouton en haut de la page.

   Exemple

   Une séquence pour importer et copier des données tous les samedis à minuit pourrait être configurée comme suit:

   1. Dans le menu CONFIGURATION, cliquez sur Séquences.
   2. En haut à droite de la page, cliquez sur le bouton .
   3. Sélectionnez Séquence vide
   4. Sous Détails, dans les zones de texte Nom et Description, incrivez le nom et une description de la séquence.
   5. Sous Blocs, sélectionnez les blocs que vous avez créés pour copier et importer des données.
   6. Dans la liste Blocs sélectionnés, utilisez les boutons et pour vous assurer que le bloc d'importation est exécuté avant le bloc de copie.
   7. Dans la zone de texte Schedule, incrivez 0 0 0 ? * 7 chaîne de caractères.
   8. Au bas de la page, cliquez sur Enregistrer ou Update.

   La séquence est créée et s'exécutera à l'heure prévue.

Configurer des Mappages

Lorsque les données sont initialement importées dans RAC/M, vous devez faire correspondre les données source et les tables RAC/M. C'est notamment le cas pour les statuts. Une organisation peut avoir plusieurs statuts de compte, mais RAC/M n'en a que quelques-uns. Vous devez décider quels statuts RAC/M reflètent chacun des statuts de l'organisation.

La page Mappages est utilisée pour ajouter des catégories, des balises, des sources et des attributs externes lorsque le nom des données sources n'est pas clair ou qu'il est difficile de travailler avec elles, ou pour créer des groupes de travail auxquels se référer ultérieurement.

Important

Tous les choix de cette page sont optionnels sauf Statut. Le statut de toutes les identités doit correspondre dans l'environnement RAC/M. Ceci est nécessaire pour de nombreuses opérations RAC/M.

Voici une description des possibilités dont vous disposez pour mapper les données sources et les données de sortie. Dans la barre de menu, cliquez sur CONFIGURATION> Mappages.

Titres

Les titres sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un titre soit affiché différemment, vous devez modifier son nom de sortie.

Dans la liste Nom technique, sélectionnez le titre pour lequel vous souhaitez un nom de sortie différent. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom d'affichage. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

Cliquez sur Enregistrer.

Note d'avertissement

Si, pour une raison quelconque, vous devez créer un titre entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer.

Statut du compte

Les statuts de comptes sont importés pour les actifs et les comptes. Toutefois, les organisations peuvent avoir plusieurs statuts de compte, alors que RAC/M n'en a que quelques-uns. Vous devez donc attribuer un statut RAC/M à chacun des statuts de l'organisation.

Cela doit être fait lors de la toute première importation de données et chaque fois qu'un nouveau statut est créé par l'organisation.

Dans la liste Nom de l'affichage, sélectionnez le statut pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire.

La sélection que vous faites ici deviendra l'identité du statut RAC/M.

Pour voir le statut de l'identité d'origine, cliquez sur GENS> Identité, et cliquez sur l'identité pour ouvrir sa page de détails.

Le statut original de l'identité

Ensuite, dans la liste Nom effectif, sélectionnez le statut RAC/M.

Cliquez sur Enregistrer.

Note d'avertissement

Si, pour une raison quelconque, vous devez créer un statut entièrement nouveau, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer. S'il s'agit du statut par défaut, cochez la case Statut par défaut.

Type d'emploi

Les types d'emploi sont importés pour les personnes et les identités. Si vous souhaitez que le nom d'un type d'emploi s'affiche différemment différent, vous devez modifier son nom de sortie.

Dans la liste Nom d'affichage, sélectionnez le type d'emploi pour lequel vous souhaitez attribuer un RAC/M un. Vous pouvez lui donner une description, mais ce n'est pas nécessaire. Incrivez ensuite le nouveau nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

Note d'avertissement

Si pour une raison quelconque, vous devez créer un tout nouveau type d'emploi, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer.

Catégories

Les catégories sont utilisées lors de la création et de l'importation de biens. Elles vous permettent de définir le niveau du système ou de l'application.

Pour modifier la description, dans la liste Nom d'affichage, sélectionnez la catégorie pour laquelle vous souhaitez modifier la description et, dans la zone de texte Description, incrivez la nouvelle. Cliquez sur Enregistrer.

Si vous avez besoin d'une nouvelle catégorie, en haut à droite de la page, cliquez sur le bouton . Remplissez les zones de texte et cliquez sur le bouton Enregistrer.

Tags

Les tags sont utilisés pour vous aider à trier les comptes. C'est utile pour faire correspondre les comptes et les identités, surtout si la liste des comptes est très longue. Les balises peuvent également vous aider à créer des groupes de travail pour les identités présentant des caractéristiques similaires.

Pour ajouter une balise à un compte ou à une demande de provisionnement, cliquez sur le bouton situé en haut à droite de la page. Sélectionnez soit Compte soit Demande d'approvisionnement et, dans la liste Nom d'affichage, incrivez ou sélectionnez un nom de balise. Incrivez une description dans la zone de texte Description et cliquez sur Enregistrer.

Sources

Les sources sont utilisées dans la page Identité. Elles vous permettent d'identifier la source d'identité utilisée pour créer une identité.

La page Mappages vous permet de lier la source à un système cible, le cas échéant, ou de créer de nouvelles sources.

Pour lier une source, dans la liste Nom de l'affichage, sélectionnez le nom de la source du fichier que vous voulez lier à un système cible. Dans la zone de texte Description, incrivez une description. Ensuite, incrivez la valeur associée des données importées dans la zone de texte Nom technique.

Si les données sont importées via un connecteur, sélectionnez-le dans la liste Connecteur ICF.

Cliquez sur Enregistrer.

Si vous devez créer une nouvelle source, cliquez sur le bouton situé en haut à droite de la page, saisissez les informations relatives à la source et cliquez sur le bouton Enregistrer.

Attributs étendus

Les attributs étendus apparaissent dans diverses pages. Ils vous permettent d'ajouter des attributs qui vous aideront à relier les différents objets à la bonne personne.

Pour ajouter un attribut étendu, cliquez sur l'onglet attribut et cliquez sur le bouton situé en haut à droite de la page.

Dans la zone de texte Nom d'affichage, incrivez le nom de l'attribut. Dans la zone de texte Description, incrivez une description puis incrivez un nom dans la zone de texte Nom technique. Il s'agit du nom qui sera utilisé dans RAC/M Identity.

S'il doit s'agir d'une clé d'identification unique, cochez la case Is Unique Key. Pour permettre la modification de l'attribut, sélectionnez la zone de texte L'attribut peut être modifié.

Cliquez sur Enregistrer.

L'attribut est ajouté à la liste Nom de colonne des tables de mappage. Il est également ajouté à la page de détails de l'objet (onglet en haut).

Configurer l'Approvisionnement manuel

Cette page vous permet de configurer les courriels transmis aux groupes de support pour traiter l'ensemble des demandes d'accès résultant des traitements automatisés effectués par la logique d'affaires. Elle permet aussi de configurer des scripts Groovy qui peuvent être utilisés dans un contexte d'approvisionnement manuel.

La structure et le contenu des courriels sont personalisés en utilisant le langage MVFLEX Expression Language (MVEL) qui permet d'include des données dynamiques tirées du référentiel.

Les stratégies définies içi pourront être assignées aux actifs qui ne sont pas intégrés par des connecteurs bidirectionnels.

Pour configurer une stratégie d'approvisionnement manuel

1. Dans la barre de menu, cliquez sur CONFIGURATION> Approvisionnement manuel.

2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Détails, dans la zone de texte Nom, incrivez le nom de cette nouvelle stratégie. Le nom doit être distinctif car il apparaîtra dans une liste de stratégies.

4. Dans la zone de texte Description, saisissez une description de cette stratégie.

5. À la section Détail, renseignez les paramètres suivants:

   Paramètre	Description
   Type d’approvisionnement	Permet de choisir le mode d’exécution du processus d’approvisionnement manuel. Deux options sont disponibles : - Courriel : le système envoie un courriel généré à partir d’un script MVEL. - Script : permet de définir un script Groovy à exécuter.
   Destinataire	Définit le type de destinataire du courriel d’approvisionnement manuel : - Courriel : un ou plusieurs destinataires définis par adresse électronique. Ex: groupe de support TI responsable de gérer les accès aux applications et systèmes cibles. - Gestionnaire d’actif : le courriel est envoyé au gestionnaire associé à l’actif ciblé et à ses délégués.
   Courriel	Champ de saisie de l’adresse de destination. Exemple : lblais@wcd8w.onmicrosoft.com.
   Langue du contenu	Sélectionne la langue du message (anglais ou français). L’interface permet de définir des scripts MVEL distincts pour chaque langue.
   Script MVEL pour le sujet	Champ de texte dans lequel est défini le script MVEL générant dynamiquement le sujet du courriel. Exemple : Manual Requests - @{target.?fullName or "Not Available"} Ce script insère automatiquement le nom complet de la cible ou la mention Not Available si l’information est absente.
   Script MVEL pour le corps	Zone de texte contenant le script MVEL qui génère le corps du message. Le contenu peut inclure du code HTML et des expressions dynamiques MVEL. Exemple illustré : html<br><!DOCTYPE html><br><html><head><meta charset="utf-8"><style>body {font-family: 'Open Sans'; font-size:12px; color:#5e5e5e;}</style></head><body>...</body></html><br>
   Requête pour la prévisualisation	Permet de sélectionner une requête de workflow existante dans le référentiel de données RAC/M Identity afin de simuler un contexte réel et tester le rendu du courriel.
   Gabarit pour la prévisualisation	Option alternative pour sélectionner un gabarit prédéfini utilisé comme base du message de test.

   La zone Prévisualisation du sujet / du corps affiche le résultat de la génération dynamique du sujet et du corps du courriel selon le script.

   Bonnes pratiques

   • Utilisez la prévisualisation pour valider le rendu du message avant activation.
   • Incluez des variables MVEL pour personnaliser les messages (nom de la cible, système, demandeur, etc.).
   • Privilégiez l’envoi à des groupes de notification configurés plutôt qu’à des adresses fixes, pour simplifier la maintenance.
   • Lorsque le mot de passe est communiqué, assurez-vous qu’il soit envoyé via un courriel séparé conformément aux politiques de sécurité.
   • Documentez chaque script MVEL et conservez une version validée dans votre référentiel de configuration.

Configurer un Connecteur ICF

Veuillez vous référer au guide Connecteurs ICF pour plus d'informations.

Configurer les Politiques

RAC/M Identity permet d'approvisionner automatiquement les comptes et les accès dans les systèmes cibles. Afin que les comptes et les mots de passe créés automatiquement respectent votre nomenclature d'entreprise et vos politiques de mots de passe, vous devez définir trois politiques: mot de passe, compte, et nom d'utilisateur dans cette séquence.

Configurer une politique de mot de passe

Les politiques de mots de passe sont utilisées pour définir comment le mot de passe d'un nouveau compte sera construit.

Pour définir les politiques de mot de passe:

1. Dans la barre de menu, cliquez sur CONFIGURATION> Politiques de mots de passe.
2. En haut à droite de la page, cliquez sur le bouton .
3. Sous Détails, dans la zone de texte Nom, incrivez un nom pour la politique de mot de passe.

4. Dans la zone de texte Description, incrivez la description de la politique.
5. Sous Paramètres, saisir les informations comme suit ;

Champ	Description
Longueur	Saisissez la longueur minimale du mot de passe qui sera généré.
Chiffres	Saisissez le nombre minimum de chiffres que doit comporter le mot de passe.
Lettres minuscules	Saisissez le nombre minimum de lettres minuscules que doit comporter le mot de passe.
Caractères non alphanumériques	Saisissez le nombre minimal de caractères non alphanumériques (par exemple, ##, $, &) que doit comporter le mot de passe.
Lettres majuscules	Saisissez le nombre minimum de lettres majuscules que doit comporter le mot de passe.

6. Cliquez sur Enregistrer.

Lors de la création ou de l'activation d'un compte, les mots de passe seront générés de façon aléatoire de façon a respecter les règles définies ci-dessus.

Configurer une politique de compte

Les politiques de comptes permettent de déterminer comment les comptes sont créés ainsi que les actions à prendre lorsque des comptes sont créés automatiquement. Lorsqu'une politique de compte est créée, une politique de nom d'utilisateur est automatiquement créée avec le même nom. Vous devez configurer cette politique pour aligner la syntaxe des identifiants et la stratégie de résolution des collisions sur vos politiques de création de comptes.

Pour définir une politique de compte:

1. Dans la barre de menu, cliquez sur le bouton CONFIGURATION> Politiques de compte.
2. En haut à droite de la page, cliquez sur le bouton .

3. Sous Politique, dans la zone de texte Nom, incrivez le nom de la politique de compte.
4. Dans la zone de texte Description, incrivez une description claire de cette politique.

Saisissez les champs suivants

Champ	Description
Base de données	Base de données du référentiel Config ou Data. La base de données Config contient les paramètres de configuration de RAC/M Identity, alors que la base de données Data contient l'ensemble des données d'accès du référentiel. Sélectionnez Data.
Nom de la table	La liste déroulante affiche les tables de la base de données sélectionnée. Pour configurer une politique de compte pour un actif, sélectionnez APPLICATION.

5. Cliquez sur le bouton Enregistrer en bas de la page pour créer la politique. Une politique de nom d'utilisateur est créée automatiquement avec le même nom.

6. Sous Options, dans la zone de texte Id RAC/M, incrivez le numéro d'identification unique généré par RAC/M pour identifier l'actif pour lequel vous voulez créer un compte.

   • Pour trouver le numéro d'identification d'un actif, dans le menu principal, cliquez sur ACTIFS>Actifs.
     
   • Inscrivez le nom de l'actif dans la zone de recherche en haut à droite de l'écran.
     
   • Sélectionnez l'actif désiré. L'identifiant unique RAC/M Identity apparait en haut en gauche sous Object ID.
   • Complétez la configuration de la politique de compte en cliquant sur CONFIGURATION>Politique de compte et sélectionnez la politique à configurer dans la liste déroulante.

7. Cochez les cases suivantes pour déterminer les actions à prendre lorsqu'un compte est créé.

   Champ	Description
   Sur l'activation d'un compte écraser les groupes	Lors de l’activation du compte, les appartenances aux groupes existants sur le système cible seront remplacées par celles définies dans le référentiel.
   Active Directory	Cochez cette case si la politique s'applique à Active Directory.
   Générer un mot de passe lors de l'activation du compte	Cochez cette case pour qu'un mot de passe soit généré et transmis à l'utilisateur lors de l'activation ou réactivation d'un compte.
   Retirer les groupes lors de la terminaison de compte	Cochez cette case pour que le compte soit retiré des groupes auxquels il est membre lorsque qu'un compte est terminé.
   Conserver le mot de passe provisionné	Cochez cette case pour que le mot de passe qui a été généré soit conservé.

8. Sous Configuration, dans la liste Politique de mot de passe, sélectionnez une politique de mot de passe que vous avez définie.

9. Cliquez sur Enregistrer.

La section Politique de nom d'utilisateur illustre la configuration de la politique de nom d'utilisateur associée.

Note

Configurez la politique de nom d’utilisateur liée à la politique de compte pour que les comptes créés automatiquement respectent la syntaxe exigée par vos politiques et normes internes.

Configurer une Politique de nom d'utilisateur

Ces politiques sont utilisées pour définir la manière dont le nom d'utilisateur sera construit ainsi que la stratégie de résolution des collisions. Chaque politique est associée à la politique de compte du même nom.

Pour configurer une politique de nom d'utilisateur:

1. Dans la barre de menu, cliquez sur CONFIGURATION>Politiques de nom d'utilisateur.
2. Sous Politique, dans la liste déroulante Nom, sélectionnez la politique de compte pour laquelle vous voulez configurer la politique de nom d'utilisateur.
3. Dans la liste Table source, sélectionnez la table du référentiel à partir de laquelle les données pour construire le nom d'utilisateur (identifiant) seront prises. Généralement, les identifiants sont construits à partir du nom et du prénom de l'utilisateur. Si tel est le cas, sélectionnez la table IDENTIFICATION.
4. Dans la liste Table cible, sélectionnez la table dans laquelle le nom d'utilisateur sera créé. En général, les comptes sont définis dans la table APPLICATION_ACCOUNT.
5. Cliquez sur le bouton Enregistrer en bas de la page.
6. La section TABLE CIBLE vous permet de définir précisémment la façon de construire les noms d'utilisateur à partir des données de la table source. Renseignez les paramètres requis en fonction du tableau suivant:

Champ	Description
Colonne source	Dans la liste, sélectionnez la colonne de la table source qui contient les données que vous voulez utiliser pour créer le nom d'utilisateur. En général, les colonnes FIRST_NAME, LAST_NAME et FULL_NAME de la table IDENTIFICATION contenant respectivemet le prénom, le nom de famille et le nom complet de l'identité sont utilisées comme source. D'autres colonnes et d'autres tables peuvent être utilisées pour construire les identifiants pour des identités impersonnelles.
Source de données	Dans cette liste, sélectionnez le type de données qui alimentera la colonne. Constant : Le mappage utilisera la valeur que vous spécifiez dans le champ Valeur. Date : Le mappage utilisera le format de date que vous spécifiez dans le champ Format. La date est tirée de la sélection effectuée dans la liste Colonne source. Assurez-vous de faire correspondre les formats de date. Cur_User : Le mappage utilisera l'utilisateur que vous spécifiez dans la zone de texte Valeur. Colonne : Le mappage utilisera la sélection effectuée dans la liste Colonne source. Colonne_with_Default : Le mappage utilisera le contenu directement de la source (colonne, fichier ou connecteur). Si rien n'est trouvé, la valeur dans la zone de texte Constant/Value est utilisée à la place. Cur_Time : Le mappage utilisera l'heure actuelle comme valeur. File_Name : Le mappage utilisera le nom du fichier source comme valeur. Column-Hashed : La valeur est hachée pour s'adapter à l'espace autorisé dans le tableau. Column_Mask : Une partie de la valeur est masquée à l'aide d'une expression définie dans la zone de texte Constante. Par exemple, pour une valeur source de 00430022887, vous obtiendrez ******2887 si vous utilisez le masque suivant : ^\d{7}[a-zA-Z0-9] ou 0043002**** si vous utilisez : [a-zA-Z0-9].{3}$.
Colonne cible	Dans la liste, sélectionnez la colonne dans laquelle le nom d'utilisateur sera créé. Il s'agit généralement de ACCOUNT_NAME.
Valeur	Si la source de données est Constante, incrivez la valeur de la constante dans ce champ.
Nombre de caractères	Incrivez le nombre de caractères (en commençant par le début) que vous voulez utiliser à partir des colonnes sources. Par exemple, vous pourriez utiliser les deux premières lettres du prénom.
Expression régulière	Cette zone de texte vous permet d'utiliser une syntaxe plus avancée au format Expression régulière.

5. Cliquez sur le bouton Ajouter pour ajouter une ligne à la politique.

   Les boutons et permettent de déplacer les éléments de la politique vers le haut ou le bas afin d'établir l'ordre de construction des noms d'utilisateurs.

   Les boutons permettent de retirer un élément de la politique.

Politique de collision des noms d'utilisateur

Au fil du temps, les collisions sur les noms d'utilisateurs sont inévitables. Par exemple, des collisions se produisent si deux personnes (identités) ont des noms et des prénoms qui se ressemblent ou parce qu'un compte avec cette même syntaxe existe déjà dans un système.

Afin de résoudre automatiquement ces situations de façon robuste, RAC/M Identity permet de définir des politiques de résolution des collisions. 6. Cochez la case Afficher la section de collision de l'ID utilisateur pour afficher la section de définition des politiques de collision. 7. Dans le champ Nom, inscrivez un nom pour cette politique de collision. 8. Dans le champ Description, insctivez une description de cette politique.

Renseignez les champs suivants en fonction de la stratégie de résolution désirée.

Champ	Description
Utiliser une valeur séquentielle	Cochez cette case si vous souhaitez qu'un nombre soit ajouté à la fin du nom d'utilisateur et qu'il augmente de manière séquentielle si des collisions sont détectées. Par exemple si on tente de céér un compte jsmith, mais qu'il en existe déjà un, cette option peut créer un compte jsmith1.
Valeur de départ	Incrivez le valeur du premier numéro séquentiel.
Valeur maximale	Incrivez la valeur maximale du numéro séquentiel. S'il n'y a pas de valeur maximale, sélectionnez Infini.
Nombre minimum de chiffres	Incrivez le nombre minimum de chiffres que le numéro doit avoir. Par exemple, si vous entrez 0, le numéro augmentera comme 1, 2, 3, etc. Si vous entrez 2, le nombre augmentera comme 01, 02, 03, etc.

5. Cochez la case Autoriser la collision pour la même personne si vous désirez qu'un compte existant soit réutilisé. Ceci peut être désirable dans quelques cas d'usage.

Exemple

* Dans le cas de personnes qui quittent et qui reviennent dans l'organisation, comme des étudiants en médecine ou des travailleurs saisonniers. Dans ce cas, des identités différentes sont créées à chaque nouvelle période d'emploi, une seule étant active à la fois. Dans ce cas, il est désirable que la nouvelle identité réutilise les mêmes comptes afin de faciliter la traçabilité et optimiser l,expérience utilisateur.
* Dans le cas où une personne physique détient plus d'une identité active, une situation fréquente dans le milieu universitaire et médical.Dans ce cas, il est désirable que les mêmes comptes soient utilisés par les diverses identités. Par exemple, une personne ayant des responsabilités de chercheur, de médecin et d'administrateur peut utiliser un seul compte dans Active Directory et ENTRA ID pour les trois identités.

5. Cliquez sur le bouton Enregistrer.

Valider les courriels

RAC/M Identity inclus plusieurs dizaines de courriels complètement personalisables en termes d'apparence, de structure et de contenu. Ces courriels sont utilisés dans plusieurs circonstances telles que pour:

• notifier les divers intervenants que des tâches leur ont été assignées
• informer les intervenants de la progression de leur requêtes
• rappeller aux certificateurs de compléter leur campagne de certification
• notifier du fonctionnement normal des opération ou alerter en cas d'anomalie
• transmettre des requêtes d'accès à un groupe de support pour résolution manuelle
• communiquer, notifier ou alerter un ou plusieurs intervenants au besoin

La rubrique Courriels du menu principal permet de valider que la personalisation des courriels est complète et correcte.

Pour valider les courriels

1. Dans la barre de menu, cliquez sur CONFIGURATION> Courriels.

2. La section Configuration permet de définir la configuration du serveur SMTP utilisé pour tester les courriels.
   Cette page donne la possibilité d’utiliser la configuration SMTP globale du système ou de définir une configuration personnalisée adaptée à des environnements spécifiques.

   

   Option	Description
   Utiliser la configuration du système	Sélectionne la configuration SMTP définie globalement dans RAC/M Identity. Cette configuration est utilisée par défaut pour tous les modules et processus du système.
   Utiliser une configuration spécifique	Permet de définir une configuration SMTP propre à cette instance ou à des besoins particuliers (ex. : serveur de test, relais de messagerie sécurisé, ou domaine dédié).

   Paramètres de la configuration spécifique

   Lorsque l’option Utiliser une configuration spécifique est sélectionnée, les champs suivants doivent être configurés :

   Champ	Description
   Hôte du serveur de courriel	Nom de domaine ou adresse IP du serveur SMTP utilisé pour l’envoi des messages (ex. : smtp.office365.com).
   Port	Port de communication SMTP (ex. : 25, 465 ou 587 selon le fournisseur de messagerie et la méthode de chiffrement).
   Délai d’attente maximal (en ms)	Temps maximal en millisecondes que le système attendra avant d’interrompre une tentative de connexion. Par défaut : 30000 (soit 30 secondes).
   Nombre de réessais	Nombre de tentatives que le système effectuera en cas d’échec de l’envoi. Valeur par défaut : 3.
   Activer TLS	Cochez cette case pour chiffrer la communication entre RAC/M Identity et le serveur SMTP via le protocole TLS (Transport Layer Security).
   Courriel de l’expéditeur	Adresse courriel qui apparaîtra dans le champ De des messages envoyés (ex. : noreply@organisation.ca).
   Méthode d’authentification	Sélection du mode d’authentification : • Authentification de base — Nom d’utilisateur et mot de passe classiques. • Authentification OAuth2 — Utilise un jeton d’accès pour les services modernes (Microsoft 365, Gmail, etc.).
   Nom d’utilisateur (optionnel)	Identifiant utilisé pour l’authentification SMTP. Ce champ peut être laissé vide si le serveur ne requiert pas d’authentification.
   Mot de passe (optionnel)	Mot de passe associé au compte SMTP. Utilisé uniquement si l’authentification de base est activée.

   Important

   Lorsque possible, privilégiez l’authentification OAuth2 pour les environnements d’entreprise intégrés à Microsoft 365, Google Workspace ou autres services modernes.

   Destinataires de test

   Champ	Description
   Destinataire(s) séparé(s) par un point-virgule	Permet d’indiquer une ou plusieurs adresses courriel utilisées pour les tests de configuration. Les adresses doivent être séparées par un point-virgule ";".

   Conseil

   Utilisez une adresse de test interne afin de valider la configuration avant d’envoyer des notifications aux utilisateurs finaux.

   Exemple de configuration (Microsoft 365)

   Paramètre	Valeur
   Hôte du serveur de courriel	smtp.office365.com
   Port	587
   Délai d’attente maximal	30000
   Nombre de réessais	3
   Activer TLS	✅
   Courriel de l’expéditeur	noreply@organisation.ca
   Authentification	OAuth2
   Nom d’utilisateur	noreply@organisation.ca

   Exemple de configuration (Serveur interne)

   Paramètre	Valeur
   Hôte du serveur de courriel	mail.interne.local
   Port	25
   Délai d’attente maximal	20000
   Nombre de réessais	2
   Activer TLS	☐
   Courriel de l’expéditeur	alertes@intra.local
   Authentification	Aucune
   Nom d’utilisateur	(vide)

   Validation de la configuration

   Une fois la configuration enregistrée :

   1. Accédez à la section Test des courriels.
   2. Entrez une adresse de test dans le champ Destinataire(s).
   3. Sélectionnez un gabarit de courriel à tester.
   4. Cliquez sur Tester pour valider l’envoi.
   5. Vérifiez la réception du courriel dans la boîte de test.

   Note

   Si le courriel est reçu correctement, la configuration SMTP est fonctionnelle.

   Informations complémentaires

   • Les configurations SMTP sont utilisées par tous les modules RAC/M Identity : approvisionnement, campagnes, notifications système et réinitialisations de mot de passe.
   • En cas d’erreur d’envoi, les journaux d’application détaillent le code d’erreur et le message retourné par le serveur SMTP (ex. 535 Authentication failed, 421 Timeout, etc.).

Pour valider un ou pusieurs courriels

3. Pour valider un ou plusieurs courriels, dans la section Gabarits de courriel à tester, sélectionnez les paramètres des validations à effectuer.

   Paramètre	Description
   Sélectionner tout	Sélectionne tous les gabarits disponibles pour le test.
   Langue du test	Permet de choisir la version linguistique à tester : Français et/ou Anglais.
   Thème pour les gabarits de campagne	Définit le thème visuel appliqué aux courriels de type campagne (ex. : thème Défaut).

4. La section suivante affiche la liste des différents gabarits de courriel disponibles pour validation. Les gabarits sont regroupés selon leur contexte d'utilisation. Vous pouvez sélectionner tous les courriels d'une catégorie en cliquant sur la case à cocher de la catégorie ou vous pouvez choisir des courriels spécifiques.

   Catégories de courriels

   Catégorie	Exemple de gabarits
   Campagnes	Courriels liés aux campagnes de revue d’accès, incluant le démarrage, les rappels et la clôture.
   Demandes	Courriels envoyés lors de demandes d'accès incluant création, activation, modifcation, retrait, d'identité, de comptes, de droit d'accès, de rôles, de transferts, d'avis de départ etc.
   Approvisionnement	Courriels envoyés dans le cadre d’approvisionnement automatisé et manuel ainsi que toute autre communication.

5. Cliquez sur le bouton Envoyer pour générer et envoyer un exemple des gabarits sélectionnés au destinataire désigné.

   Résultats du test

   Lorsqu’un gabarit est testé :

   1. Le système génère le message selon les paramètres courants (langue, thème, variables de démonstration).
   2. Le courriel est envoyé à l’adresse ou aux adresses indiquées dans le champ des destinataires.
   3. Le rendu visuel et le contenu peuvent être validés directement dans la boîte de réception.

   Important :

   Lors des tests, les variables dynamiques (ex. nom d’utilisateur, date, identifiant de campagne) sont remplacées par des valeurs de démonstration afin d’éviter tout envoi réel de données sensibles.

   Bonnes pratiques

   1. Toujours valider les gabarits après une mise à jour du système ou une modification du contenu HTML.
   2. Tester chaque langue pour s’assurer que les caractères spéciaux et accents s’affichent correctement (UTF-8).
   3. Utiliser une adresse de test interne avant d’activer les notifications pour les utilisateurs finaux.
   4. Vérifier la cohérence visuelle entre les gabarits : logos, couleurs, polices et signatures.
   5. Documenter les versions des gabarits utilisés pour la conformité (SOC 2, audit interne, etc.).

À propos des courriels d'approvisionnement

Les courriels qui sont envoyés lorsqu'une demande d'approvisionnement est traitée sont consolidés. Cela permet de réduire le nombre de courriels reçus par les utilisateurs.

La consolidation se fait par destinataire et par cible de la demande. Autrement dit, chaque courriel consolidé contient l'ensemble des demandes d'approvisionnement pour un destinataire et une cible donnés.

Par exemple, si un même utilisateur fait plusieurs demandes d'ajout et de retrait d'accès pour la même identité, il recevra un courriel contenant les informations sur toutes ces demandes et, selon la configuration en place, un courriel contenant les mots de passe. De la même façon, la cible de ces demandes recevra un courriel consolidé contenant les informations sur toutes les demandes le concernant.

Dans le cas où un utilisateur fait plusieurs demandes pour différentes identités, il recevra un courriel par identité cible, chacun contenant les informations sur toutes les demandes pour cette identité. Quant aux cibles de ces demandes, celles-ci recevront un courriel consolidé contenant tous les accès qui les concernent.

Il en va de même pour tous les destinataires pour une demande d'approvisionnement, soit le demandeur, la cible, le superviseur de la cible et les membres du groupe de notification.

Veuillez vous référer à la section Notification d'approvisionnement pour plus d'informations sur la configuration de ces notifications.

Configurer la logique d'envoi

Lorsqu'une demande d'approvisionnement est traitée, les notifications sont ajoutées à la file d'attente.

Une tâche automatisée vérifie régulièrement (en fonction de la configuration mail.consolidation.job.quartz) la file d'attente et envoie les courriels consolidés au moment opportun, selon la configuration en place.

Tant que des notifications sont créées régulièrement pour un même destinataire, elles ne sont pas envoyées. Cela permet d'éviter d'envoyer les courriels consolidés avant que toutes les demandes n'aient été traitées.

La tâche détecte si des notifications ont été ajoutées à la file d'attente récemment (il s'agit du paramètre mail.consolidation.min.delay.seconds). Si c'est le cas, elle n'envoie pas de courriel pour ce destinataire. Lorsqu'aucune notification n'a été ajoutée à la file d'attente depuis ce délai, la tâche envoie un courriel consolidé pour ce destinataire.

Afin d'éviter que des notifications s'accumulent indéfiniment dans la file d'attente sans être envoyées, la tâche vérifie également si la notification la plus ancienne pour un destinataire existe depuis plus d'un certain temps (il s'agit du paramètre mail.consolidation.max.delay.seconds). Cela pourrait arriver, par exemple, dans le cas du traitement d'un très grand nombre de demandes. Si c'est le cas, elle envoie les courriels consolidés pour ce destinataire.

Quatre paramètres permettent de configurer la logique d'envoi :

Paramètre	Description	Exemples de valeurs
mail.consolidation.job.enabled	Activer ou désactiver la fonctionnalité d'envoi de courriels (si désactivée, aucun courriel n'est envoyé)	true (activée) ou false (désactivée)
mail.consolidation.min.delay.seconds	Période de temps minimale avant d'envoyer les courriels consolidés pour un destinataire, en secondes	300 (Après 5 minutes)
mail.consolidation.max.delay.seconds	Période de temps maximale avant d'envoyer les courriels consolidés pour un destinataire, en secondes	3600 (Après 1 heure)
mail.consolidation.job.quartz	Intervalle de temps entre les exécutions de la tâche, dans le format Quartz Scheduler	0 */5 * ? * * * (toutes les 5 minutes)

Configurer les retransmissions de courriels

Lors de l'échec de l'envoi d'un courriel, RAC/M Identity peut réessayer d'envoyer le courriel dans le futur.

Cette fonctionnalité est paramétrisable dans le fichier de configuration via ces trois paramètres:

Paramètre	Description	Exemples de valeurs
mail.retry.enabled	Activer ou désactiver la fonctionnalité	true (activée) ou false (désactivée)
mail.retry.interval.quartz	Intervalle de temps entre les tentatives, dans le format Quartz Scheduler	0 */5 * ? * * * (toutes les 5 minutes)
mail.retry.period.minutes	Période de temps maximale avant d'abandonner l'envoi, en minutes	10080 (Après 1 semaine)

À propos de la localisation

La configuration de la locale permet de personnaliser l'apparence de RAC/M Identity en fonction de la langue et de la région des utilisateurs et/ou de l'organisation. Celle-ci est utilisée pour l'affichage des dates et des heures, ainsi que pour les courriels envoyés aux utilisateurs.

Une locale est une combinaison de la langue et de la région. Par exemple, fr_CA est le français canadien et en_US est l'anglais des États-Unis.

Configurer la locale globalement

La langue et la locale par défaut de l'application sont configurées dans le fichier conf/config.properties via le paramètre default.system.language. Celui-ci définit la langue par défaut de l'application lorsqu'aucune langue n'est spécifiée pour un utilisateur. Il peut s'agir d'une langue (fr) ou une locale (fr_CA), mais l'utilisation d'une locale est préférable pour une meilleure précision.

Configurer pour une langue spécifique

Vous pouvez spécifier une locale par défaut pour les utilisateurs dont la région de la langue n'est pas indiquée dans leur profil. En effet, certains utilisateurs ont fr comme langue, sans que la locale ne soit précisée. Pour ce faire, il suffit d'ajouter default.locale.fr comme paramètre pour le français et default.locale.en pour l'anglais.

Par exemple, default.locale.en=en_US spécifie que la locale par défaut pour les utilisateurs dont la langue est l'anglais est l'anglais des États-Unis. Par défaut, la locale utilisée pour le français est fr_CA (français canadien) et en_CA (anglais canadien) pour l'anglais.

C'est également ce paramètre qui indique le format de dates à utiliser dans l'interface pour le français et l'anglais.

Configurer par identité (courriels uniquement)

Il est possible de configurer la langue et la locale des identités afin de personnaliser la langue et l'affichage des dates dans les courriels qui leur sont envoyés. Par exemple, une identité dont la locale est fr_BE recevra les courriels en français et les dates y seront affichées au format belge.

Les identités dont la langue n'est pas spécifiée reçoivent les courriels dans la langue par défaut définie via le paramètre default.system.language. De même, les dates sont affichées au format de la locale par défaut.

Utiliser la locale du navigateur

Il est possible d'utiliser la locale du navigateur de l'utilisateur plutôt que celle de l'application pour l'affichage des dates dans l'interface utilisateur. Pour ce faire, il suffit d'ajouter override.browser.locale.for.dates=false dans conf/config.properties.