RAC/M IdentityGuide de l'utilisateur
Comprendre le portail libre-service de RAC/M Identity
Dans ce chapitre, vous apprendrez à utiliser le portail libre-service intégré pour demander un nouvel accès aux ressources ou pour modifier ou supprimer les accès existants, modifier vos droits d'accès par le biais de l'appartenance à un groupe ou à un rôle, répondre aux demandes d'approbation si vous êtes un approbateur, et effectuer des révisions d'accès ou de rôle si vous êtes désigné pour le faire.
A propos du portail libre-service
RAC/M Identity offre un portail libre-service complet et personnalisable qui permet aux utilisateurs d'initier des requêtes pour signaler l'arrivée, la mutation ou le départ de personnes, représentées par des identités internes ou externes à l'entreprise. De plus, le portail permet d'effectuer et d'approuver des requêtes pour ajouter ou retirer des accès, soit directement ou par des rôles, pour le demandeur ou pour une tierce partie.
Le portail permet aussi d'effectuer ces requêtes pour des comptes impersonnels ou des identités machines.
Finalement, le portail permet aussi aux certificateurs désignés d'exécuter les campagnes de révision d'accès et de rôles qui leur sont assignées.
Principe de conception
Un principe de conception important du portail libre service est la simplification de la présentation et du fonctionnement afin d'optimiser l'expérience utilisateur. Le but visé est que les utilisateurs puissent utiliser le portail sans formation préallable.
A cet effet, la présentation est épurée, de sorte à ne rendre disponible que les boutons et fonctions permis et à n'afficher que les informations pertinentes. Ce concept a été élaboré et raffiné en partenariat avec des clients d'OKIOK jusqu'à ce que les objectifs de convivialité aient été atteints.
Le portail libre-service est basé sur une interface réactive qui permet l'utilisation à partir d'appareils mobiles tels que des téléphones intelligents et des tablettes qui supportent un fureteur Web compatible tel que Safari et Chrome.
Les requêtes initiées par le portail libre service sont validées pour déterminer si elles violent des règles d'affaires telles que les règles de séparation de tâches et un message est affiché au demandeur le cas échéant. Celui-ci peut choisir de corriger la demande ou de l'initier quand même. Si une requête contenant une violation de règle est initiée, celle-ci sera automatiquemnet prise en charge par le flux d'approbation afin que la condition soit résolue avant que les étapes d'approbation et de provisionnement soient effectuées.
La page d'accueil
Pour atteindre la page d'accueil, naviguez à la page de connexion dans votre fureteur. Si vous ne connaissez pas l'addresse du portail libre-service, informez vous auprès de votre service de support informatique.
L'addresse peut ressembler à ceci: https://votreorganisation.racmidentity.com/
Cliquez sur le bouton Se connecter avec Microsoft pour vous connecter avec les justificatifs d'authentification fédérée avec Microsoft365. Cliquez sur le bouton approprié pour vous connecter avec une autre source d'authentification fédérée s'il y en a d'autres d'affichées.
Note
L'utilisation d'un identifiant et mot de passe local est habituellement réservé aux personnes impliquées dans la mise en oeuvre initiale de la solution et n'est généralement pas requise pour les opérations quotidiennes.
Sur la page d'accueil, les tuiles situées à gauche affichent les requêtes disponibles selon la configuration du portail et le profil de l'utilisateur, alors que l'espace central est divisé en trois zones. La zone du haut affiche la liste des tâches en attente, la zone du centre affiche la liste des requêtes en cours, alors que la zone du bas affiche les campagnes de revues d'accès en cours.
Voici la description de quelques fonctions disponibles.
Note
La nomenclature, les couleurs et l'ordonnancement des tuiles et des champs sont personalisables pour chaque client. Les libellés suivants sont utilisés à titre d'exemple.
Note
Dans le texte qui suit, le terme Demandeur réfère à la personne qui utilise le portail libre-service pour faire une demande, alors que le terme Sujet désigne la personne pour qui la demande est faite. Si une personne fait une demande pour elle-même, elle est à la fois le demandeur et le sujet.
Le terme Demande désigne la demande d'accès formulée par le demandeur en utilisant le portail libre-service. Une Demande peut contenir plusieurs Requêtes pour ajouter ou retirer des rôles ou des accès spécifiques. En particulier, une demande contenant un ou plusieurs rôles peut générer plusieurs requêtes distinctes pour ajouter ou retirer des droits dans plusieurs actifs en utilisant des flux d'approbation et de provisonnement distincts.
Description des demandes disponibles
Demande d'accès
La tuile de demande d'accès permet de demander d'ajouter des accès à une identité existante ou à un compte impersonnel. Elle permet aussi de signaler la mutation d'une identité.
Pour demander un accès pour une identité:
Dans la section 1- Faire la demande pour
Dans la liste déroulante, du champ Choisir une identité, inscrivez quelques lettres du nom de l'identité pour qui l'accès est demandé et sélectionnez l'identité recherchée dans la liste affichée
Cochez la case Transfert d'un employé si cette demande est pour signaler une mutation.
Note
Le comportement par défaut lors d'une mutation est de retirer tous les accès présentement détenus qui ne sont pas explicitement demandés dans la requête. Ceci permet d'éviter l'accumulation de droits car les accès et les droits existants sont systématiquement retirés à moins d'être explicitement demandés.
Dans la section 2- Ajouter à la demande
- Choisissez une des options suivantes:
Afficher les rôles et les droits attribués dans votre organisation cette option est sélectionnée par défaut et permet d'afficher uniquement la liste des rôles et des accès qui sont présentement attribués à des identités de votre organisation. Si le demandeur est un gestionnaire, ce sont seulement les rôles et les droits attribués aux identités sous sa responsabilité qui sont affichés.
Afficher uniquement les rôles et les droits attribués des identités ayant un groupe de notification dont vous êtes membre pour afficher les rôles et les accès basés sur les identités qui possèdent un groupe de notification dont l'identité actuellement connectée est propriétaire ou membre.
- Pour afficher les rôles et les accès disponibles à la demande
- RAC/M Identity va se servir de l'identité actuellement authentifier pour récupérer tous les groupes de délégation dont il est le propriétaire ou est membre.
- Par la suite, une recherche est faite pour trouver toutes les identités qui possèdent ce groupe de délégation assigné en tant que groupe de notification.
- Finalement, toutes les identités retournées servent à récupérer les rôles et accès que ces identités possèdent.
Note
Cette option spécifique doit être activée par un administrateur système pour être visible. Voir le fichier config.properties et modifier la configuration self.service.display_entitlement_list_based_on_notification_group
- Pour afficher les rôles et les accès disponibles à la demande
Afficher les rôles et les droits en fonction de l'identité suivante pour afficher les rôles et les accès d'une identité spécifique. Ceci permet au demandeur de choisir les rôles et les accès à demander en fonction d'une identité qui peut servir de référence tout en évitant le problème du "copier coller" qui demande en bloc l'ensemble des rôles et des accès détenus par une identité. Dans la liste déroulante, inscrivez quelques lettres du nom de l'identité de référence et sélectionnez l'identité recherchée dans la liste affichée
Afficher tous les rôles et les droits pour afficher l'ensemble des rôles et des accès disponibles dans votre organisation.
Note
Tous les rôles et droits sélectionnés dans une requête d'accès doivent être approuvés selon les flux d'approbation pertinents ce qui assure la sécurité du processus même si l'ensemble des rôles et des accès peuvent être demandés.
La zone située immédiatement au dessous à gauche contient des tabulateurs qui affichent les rôles et les droits qui peuvent être demandés selon l'option choisie, alors que le troisième affiche un champ libre qui peut être utilisé pour formuler une demande spéciale qui ne peut être comblée par les choix affichés.
Pour ajouter un rôle à la demande:
Sélectionnez le tabulateur Ajouter des rôles
Dans la liste déroulante Rechercher des rôles, inscrivez quelques lettres du rôle recherché et cliquez sur le bouton Ajouter pour l'ajouter à la demande.
Le rôle ajouté est inscrit dans la section de droite qui contient la liste des rôles et des droits à ajouter.
Vous pouvez visualiser le détail des accès contenus dans les rôles affichés en cliquant sur un rôle. Une fenêtre similaire à celle-ci s'ouvre et affiche le contenu du rôle.
Pour ajouter un droit à la demande:
Sélectionnez le tabulateur Ajouter des droits
Dans la liste déroulante Actifs, inscrivez quelques lettres de l'actif pour lequel vous voulez ajouter des droits et sélectionnez le dans la liste.
Dans la liste déroulante Rechercher des droits, vous pouvez inscrire quelques lettres du groupe recherché pour filtrer le contenu de la liste et cliquez sur le bouton Ajouter d'un droit pour l'ajouter à la demande.
Le droit ajouté est inscrit dans la section de droite qui contient la liste des rôles et des droits à ajouter.
Vous pouvez visualiser le détail des droits affichés en cliquant sur un droit.
Cliquez sur l'icône de calendrier pour ajouter une date et une heure de fin à un rôle ou un droit. Si une date et une heure est spécifiée, le rôle ou le droit sera retiré automatiquement à cette date et heure et l'icône sera affiché en noire. Ne pas spécifier de date si le rôle ou le droit ne doit pas être retirés à une date prédéterminée.
Vous pouvez ajouter autant de rôles et de droits d'accès que requis.
Si vous ne trouvez pas les rôles que vous cherchez
Cliquez sur le lien Le rôle que je cherche n'est pas présent. Ceci aura pour effet de changer l'option à Afficher tous les rôles afin de retirer le filtre et permettre l'affichage de tous les rôles disponibles dans l'organisation.
Si vous n'arrivez toujours pas à trouver le rôle que vous cherchez, cliquez sur le lien Je veux demander un droit afin d'ouvrir le tabulateur qui affiche les droits d'accès.
Si vous ne trouvez pas les droits que vous cherchez
Cliquez sur le lien Le droit que je cherche n'est pas présent. Ceci aura pour effet de changer l'option à Afficher tous les droits afin de retirer le filtre et permettre l'affichage de tous les droits disponibles dans l'organisation.
Si vous n'arrivez toujours pas à trouver le droit que vous cherchez, cliquez sur le lien Je ne trouve pas le droit que je cherche afin d'ouvrir le tabulateur qui affiche Demande écrite qui permet de demander un accès en texte libre.
Note
Ce lien est disponible pour offrir une solution dans les cas de situation problématique et ne dois pas être utilisé comme mécanisme général pour formuler des requêtes d'accès car celles-ci doivent être traitées manuellement.
Violation de règle d'affaires
Si un rôle ou un droit ajouté cause la violation d'une règle d'affaires comme une règle de séparation de tâche, un icône rouge est affiché avec le rôle ou le droit en cause. Cliquez sur l'icône pour afficher une explication de la violation. Vous pouvez prendre action pour retirer le rôle ou le droit qui cause la violation ou vous pouvez décider de lancer la demande. Dans ce cas, la violation sera détectée par le flux d'approbation qui va forcer une étape de résolution avant que la demande puisse être approuvée et provisionnée.
- Cochez la case Ajouter une justification pour ajouter un texte qui accompagnera votre demande. Ce texte peut contenir une explication ou une justification pour votre demande qui sera transmise aux approbateurs.
- Cliquez sur Soumettre la demande
Demande de révocation d'accès pour d'autres
La tuile de révocation d'accès permet de demander de révoquer des accès à une identité existante.
Pour demander la révocation d'accès pour une identité:
Dans la section 1- Faire la demande pour
Dans la liste déroulante, du champ Choisir une identité, inscrivez quelques lettres du nom de l'identité à laquelle vous voulez retirer des droits.
Note
Étant donné que les flux de travail sont généralement configurés pour supprimer des accès sans nécessiter d'approbation, des contrôles stricts ont été mis en place pour empêcher la suppression accidentelle ou malveillante d'accès. À cette fin, seules les identités pour lesquelles le demandeur fait partie du groupe de délégation Approbateur apparaîtront dans la liste déroulante.
Dans la section 2- Sélection des droits à retirer
La zone située immédiatement au dessous à gauche contient des tabulateurs qui affichent les rôles et les droits qui peuvent être retirés.
Pour ajouter un rôle à la demande:
Sélectionnez le tabulateur Rôles
Dans la liste déroulante Filtrer les rôles, inscrivez quelques lettres du rôle à retirer, et cliquez sur le bouton Ajouter du rôle à retirer pour l'ajouter à la demande.
Le rôle est inscrit dans la section de droite qui contient la liste des rôles et des droits à retirer.
Vous pouvez visualiser le détail des accès contenus dans les rôles affichés en cliquant sur un rôle. Une fenêtre décrivant le contenu du rôle s'ouvre et affiche le contenu du rôle.
Pour ajouter un accès à la demande:
Sélectionnez le tabulateur Accès
Dans la liste déroulante Actifs, inscrivez quelques lettres de l'actif pour lequel vous voulez ajouter des droits et sélectionnez le dans la liste.
Dans la liste déroulante Filtrer les accès, vous pouvez inscrire quelques lettres du groupe recherché pour filtrer le contenu de la liste et cliquez sur le bouton Ajouter d'un droit pour l'ajouter à la demande.
Le droit ajouté est inscrit dans la section de droite qui contient la liste des rôles et des droits à ajouter.
Vous pouvez visualiser le détail des droits affichés en cliquant sur un droit.
Cliquez sur l'icône de calendrier pour spécifier la date et heure de retrait d'un rôle ou un d'un droit, celui-ci sera retiré automatiquement à cette date et heure et l'icône sera affiché en rouge.
Note
Si une date et heure ne sont pas spécifiées, les rôles ou droits ne seront pas retirés automatiquement ou le seront à la date et heure prévues originalement.
Vous pouvez ajouter autant de rôles et de droits d'accès que requis.
Cochez la case Ajouter une justification pour ajouter un texte qui accompagnera votre demande. Ce texte peut contenir une explication ou une justification popur votre demande qui sera transmise aux approbateurs.
Cliquez sur Soumettre la demande
Demande d'activation de comptes
La tuile de demande d'activation de comptes permet de demander l'activation d'un compte pour une identité existante.
Pour demander l'activation d'un compte pour une identité:
Dans la section 1- Faire la demande pour
- Dans la liste déroulante, du champ Choisir une identité, inscrivez quelques lettres du nom de l'identité pour qui l'activation est demandé et sélectionnez l'identité recherchée dans la liste affichée
Dans la section 2 - Sélection des comptes à activer
Pour ajouter un compte à la demande:
Sélectionner l'option Afficher uniquement les comptes inactifs pour filtrer la liste retourné.
L'activation d'un compte est normalement nécessaire uniquement pour un compte inactif. Dans certaines situations (ex: lorsqu'un compte a été désactivé récemment et n'est pas encore réconcilié), un utilisateur peut vouloir réactiver un compte qui semble actif. Dans ces cas, il faut retirer le filtre afin d'afficher tous les comptes.
Dans la liste déroulante Actifs, inscrivez quelques lettres de l'actif pour lequel vous voulez ajouter des droits et sélectionnez le dans la liste.
Dans la liste déroulante Rechercher des comptes, vous pouvez inscrire quelques lettres du compte recherché pour filtrer le contenu de la liste et cliquez sur le bouton Activer d'un compte pour l'ajouter à la demande.
Le compte ajouté est inscrit dans la section de droite qui contient des comptes de la demande.
Cliquez sur l'icône de calendrier pour ajouter une date et une heure de début. Si une date et une heure est spécifiée, le compte sera activé automatiquement à cette date et heure et l'icône sera affiché en noire. Ne pas spécifier de date si le compte doit être activé dans les plus bref délai.
Vous pouvez ajouter autant de comptes que requis.
Violation de règle d'affaires
Si un compte ajouté cause la violation d'une règle d'affaires comme une règle de séparation de tâche, un icône rouge est affiché avec le compte en cause. Cliquez sur l'icône pour afficher une explication de la violation. Vous pouvez prendre action pour retirer le compte qui cause la violation ou vous pouvez décider de lancer la demande. Dans ce cas, la violation sera détectée par le flux d'approbation qui va forcer une étape de résolution avant que la demande puisse être approuvée et provisionnée.
- Cochez la case Ajouter une justification pour ajouter un texte qui accompagnera votre demande. Ce texte peut contenir une explication ou une justification pour votre demande qui sera transmise aux approbateurs.
- Cliquez sur Soumettre la demande
Demande d'intégration d'un contractuel
Cette tuile permet de demander l'intégration d'une identité contractuelle, externe à votre organisation.
Pour demander l'intégration d'une identité externe:
Dans la section 1- Demande d'intégration
- Inscrivez le Prénom et le Nom de l'identité à intégrer et cliquez sur le bouton Vérifier. Ceci permet de déterminer si cette identité est déjà inscrite au référentiel. Si c'est le cas, une liste d'identités correspondantes sera affichée avec des informations complémentaires permettant de les distinguer. La pratique recommandée est de sélectionner l'identité correspondante afin de la réutiliser et assurer la traçabilité.
- Dans la section Coordonnées professionnelles, inscrivez le Nom de compagnie et les numéros de téléphone correspondants.
Dans la section 3-Emploi, saisissez les informations requises dans les cinq champs obligatoires.
- Dans le champ Étape 1 - Choisir une division, inscrivez quelques lettres de l'unité organisationnelle à laquelle l'identité externe sera assignée et sélectionnez là à partir de la liste affichée.
- Dans le champ Étape 2 - Choisir un responsable, inscrivez quelques lettres du nom de la personne qui sera responsable de l'identité externe et sélectionnez là à partir de la liste affichée.
- Dans le champ Étape 3 - Choisir un titre, inscrivez quelques lettres du titre ou poste de la personne et sélectionnez le à partir de la liste affichée.
- Dans le champ Étape 4 - Choisir un lieu de travail, inscrivez quelques lettres du lieu de travail auquel l'identité externe sera assignée et sélectionnez le à partir de la liste affichée.
- Dans le champ Étape 5 - Choisir une langue, inscrivez quelques lettres de la langue préférée de la personne à intégrer et sélectionnez là à partir de la liste affichée.
Dans la section 4- Ajouter à la demande, inscrivez les rôles et les accès à demander.
Note
Si des règles d'affaires et des rôles dynamiques ont été définis, il est possible que les accès de base et même les rôles métiers soient attribués automatiquement lors de l'intégration sans que vous ayez à demander des rôles et des accès explicitement. Dans ce cas, vous pouvez passer directement à la section 5- Période de service.
Choisissez une des options suivantes:
- Afficher les rôles et les droits attribués dans votre organisation cette option est sélectionnée par défaut et permet d'afficher uniquement la liste des rôles et des accès qui sont présentement attribués à des identités de votre organisation. Si le demandeur est un gestionnaire, ce sont seulement les rôles et les droits attribués aux identités sous sa responsabilité qui sont affichés.
- Afficher uniquement les rôles et les droits attribués des identités ayant un groupe de notification dont vous êtes membre pour afficher les rôles et les accès basés sur les identités qui possèdent un groupe de notification dont l'identité actuellement connectée est propriétaire ou membre.
- Pour afficher les rôles et les accès disponibles à la demande
- RAC/M Identity va se servir de l'identité actuellement authentifier pour récupérer tous les groupes de délégation dont il est le propriétaire ou est membre.
- Par la suite, une recherche est faite pour trouver toutes les identités qui possèdent ce groupe de délégation assigné en tant que groupe de notification.
- Finalement, toutes les identités retournées servent à récupérer les rôles et accès que ces identités possèdent.
- Pour afficher les rôles et les accès disponibles à la demande
Note
Cette option spécifique doit être activée par un administrateur système pour être visible. Voir le fichier config.properties et modifier la configuration self.service.display_entitlement_list_based_on_notification_group
Afficher les rôles et les droits en fonction de l'identité suivante pour afficher les rôles et les accès d'une identité spécifique. Ceci permet au demandeur de choisir les rôles et les accès à demander en fonction d'une identité qui peut servir de référence tout en évitant le problème du "copier coller" qui demande en bloc l'ensemble des rôles et des accès détenus par une identité.
Dans la liste déroulante, inscrivez quelques lettres du nom de l'identité de référence et sélectionnez l'identité recherchée dans la liste affichée
Afficher tous les rôles et les droits pour afficher l'ensemble des rôles et des accès disponibles dans votre organisation.
Note
Tous les rôles et droits sélectionnés dans une requête d'accès doivent être approuvés selon les flux d'approbation pertinents ce qui assure la sécurité du processus même si l'ensemble des rôles et des accès peuvent être demandés.
La zone située immédiatement au dessous à gauche contient des tabulateurs qui affichent les rôles et les droits qui peuvent être demandés selon l'option choisie, alors que le troisième affiche un champ libre qui peut être utilisé pour formuler une demande spéciale qui ne peut être comblée par les choix affichés.
Pour ajouter un rôle à la demande:
Sélectionnez le tabulateur Ajouter des rôles
Dans la liste déroulante Rechercher des rôles, inscrivez quelques lettres du rôle recherché et cliquez sur le bouton Ajouter pour l'ajouter à la demande.
Le rôle ajouté est inscrit dans la section de droite qui contient la liste des rôles et des droits à ajouter.
Vous pouvez visualiser le détail des accès contenus dans les rôles affichés en cliquant sur un rôle. Une fenêtre similaire à celle-ci s'ouvre et affiche le contenu du rôle.
Pour ajouter un droit à la demande:
Sélectionnez le tabulateur Ajouter des droits
Dans la liste déroulante Actifs, inscrivez quelques lettres de l'actif pour lequel vous voulez ajouter des droits et sélectionnez le dans la liste.
Dans la liste déroulante Rechercher des droits, vous pouvez inscrire quelques lettres du groupe recherché pour filtrer le contenu de la liste et cliquez sur le bouton Ajouter d'un droit pour l'ajouter à la demande.
Le droit ajouté est inscrit dans la section de droite qui contient la liste des rôles et des droits à ajouter.
Vous pouvez visualiser le détail des droits affichés en cliquant sur un droit.
Cliquez sur l'icône de calendrier pour ajouter une date et une heure de fin à un rôle ou un droit. Si une date et une heure est spécifiée, le rôle ou le droit sera retiré automatiquement à cette date et heure et l'icône sera affiché en noire. Ne pas spécifier de date si le rôle ou le droit ne doit pas être retirés à une date prédéterminée.
Vous pouvez ajouter autant de rôles et de droits d'accès que requis.
Si vous ne trouvez pas les rôles que vous cherchez
Cliquez sur le lien Le rôle que je cherche n'est pas présent. Ceci aura pour effet de changer l'option à Afficher tous les rôles afin de retirer le filtre et permettre l'affichage de tous les rôles disponibles dans l'organisation.
Si vous n'arrivez toujours pas à trouver le rôle que vous cherchez, cliquez sur le lien Je veux demander un droit afin d'ouvrir le tabulateur qui affiche les droits d'accès.
Si vous ne trouvez pas les droits que vous cherchez
Cliquez sur le lien Le droit que je cherche n'est pas présent. Ceci aura pour effet de changer l'option à Afficher tous les droits afin de retirer le filtre et permettre l'affichage de tous les rôles disponibles dans l'organisation.
Si vous n'arrivez toujours pas à trouver le droit que vous cherchez, cliquez sur le lien Je ne trouve pas le droit que je cherche afin d'ouvrir le tabulateur qui affiche Demande écrite qui permet de demander un accès en texte libre.
Note
Cette option est le dernier recours pour les utilisateurs, mais elle devrait être utilisée le moins souvent possible pour formuler des requêtes d'accès car celles-ci doivent être traitées manuellement.
- Cochez la case Ajouter une justification pour ajouter un texte qui accompagnera votre demande. Ce texte peut contenir une explication ou une justification popur votre demande qui sera transmise aux approbateurs.
Dans la section 5-Période de service
Inscrivez dans le champ Date d'embauche la date et l'heure à laquelle l'embauche devient effective que les accès doivent être accordés.
Inscrivez dans le champ Date de fin d'emploi la date et l'heure à laquelle l'emploi se termine et les accès doivent être retirés.
Note
Le processus exact et les actions prises lors de la fin d'emploi sont déterminés par des règles d'affaires et peuvent varier selon plusieurs facteurs tels que le niveau hiérarchique ou la nature des responsabilités de l'identité visée.
Avis de départ - contractuel
La tuile d'avis de départ d'un contractuel externe permet d'initier la fin d'emploi d'une identité externe comme un contractuel.
Pour initier le départ d'une identité externe:
Dans la section Demande
- Dans la liste déroulante, du champ Identité, inscrivez quelques lettres du nom de l'identité visée et sélectionnez là à partir de la liste.
- Dans le champ Date de fin inscrivez la date et l'heure à laquelle le départ est effectif et que les accès doivent être retirés.
Note
Le processus exact et les actions prises lors de la fin d'emploi sont déterminés par des règles d'affaires et peuvent varier selon plusieurs facteurs tels que le niveau hiérarchique ou la nature des responsabilités de l'identité visée.
Dans la section Actions supplémentaires remplissez les questions.
Note
Le contenu de cette section est déterminé par des règles d'affaires configurées selon les processus pertinents pour votre organisation. Les items affichés et les options disponibles peuvent différer de l'exemple utilisé. Voir la section sur la configuration des questions pour plus de détails.
Avis de départ - employé
La tuile d'avis de départ d'un employé permet d'initier la fin d'emploi d'une identité employée.
Pour initier le départ d'un employé(e):
Dans la section Demande
- Dans la liste déroulante, du champ Identité, inscrivez quelques lettres du nom de l'identité visée et sélectionnez là à partir de la liste.
- Dans le champ Date de fin inscrivez la date et l'heure à laquelle le départ est effectif et que les accès doivent être retirés.
Note
Le processus exact et les actions prises lors de la fin d'emploi sont déterminés par des règles d'affaires et peuvent varier selon plusieurs facteurs tels que le niveau hiérarchique ou la nature des responsabilités de l'identité visée.
Dans la section Actions supplémentaires remplissez les questions.
Note
Le contenu de cette section est déterminé par des règles d'affaires configurées selon les processus pertinents pour votre organisation. Les items affichés et les options disponibles peuvent différer de l'exemple utilisé. Voir la section sur la configuration des questions pour plus de détails.
Tâches assignées
Dans cette section, vous trouverez des informations sur les tâches administratives qui peuvent vous être assignées.
Les demandes de changement faites à partir du portail libre-service sont automatiquement prises en charge par les flux d'approbation et les flux de provisionnement.
En tant que gestionnaire, approbateur ou personne responsable de résoudre des conflits de règles d'affaires, vous recevrez une notification par courriel lorsque des tâches vous sont assignées directement ou à un groupe de délégation auquel vous appartenez.
Vous verrez les tâches qui vous ont été assignées dans la section Tâches du portail libre-service de RAC/M Identity. Vous pouvez approuver ou rejeter les demandes de modifications d'accès contenues ou résoudre les conflits associés à une requête.
Les tâches affichées peuvent vous avoir été attribuées spécifiquement ou attribuées à un groupe de délégation auquel vous appartenez. Dans ce cas, selon le paramétrage du groupe de délégation, tous les membres du groupe peuvent recevoir la même tâche et, dès qu'un membre du groupe la complète, la tâche est retirée de la liste de tous les autres délégués, Cette approche favorise la résolution rapide des demandes d'approbation.
Note
Plusieurs stratégie de délégation sont possibles. Celles-ci sont déterminées par le paramétrage des groupes de délégation.
Voir aussi
Pour compléter les tâches qui vous sont assignées
- Dans la section Tâches, cliquez sur le numéro ou la description d'une des tâche affichée.
La page Détails de la tâche s'ouvre et affiche plusieurs informations pertinentes au sujet de la demande. En particulier, les rôles et les accès demandés ainsi que ceux détenus présentement par l'identité visée sont affichés pour donner de le maximum d'information contextuelle à la personne qui doit approuver la demande.
Approuver, rejeter ou modifier une demande
Dans l'exemple ci-haut, la tâche d'approbation concerne une violation de règle de séparation de tâche, indiquée par une pastille rouge associée à la requête dans la section de droite.
Cliquez sur la pastille rouge pour visualiser les détails de la violation.
Vous avez trois possibilités pour compléter une tâche d'approbation, soit Modifier la requête, Approuver la requête ou Rejeter la requête.
Pour modifier la requête
Pour modifier une requête, cliquez sur le bouton Modifier
Une icône est affichée à droite du rôle ou du droit à modifier. Cliquez sur l'icône pour ouvrir le menu déroulant et sélectionnez l'option désirée.
- Sélectionnez Approuver pour approuver le rôle ou le droit.
- Sélectionnez Approuver temporairement pour approuver pendant une période déterminée le rôle ou le droit. Dans ce cas, un calendrier s'ouvre pour vous permettre de déterminer la date à laquelle l'accès sera retiré. Une nouvelle requête sera automatiquement créée pour retirer l'accès à la date déterminée.
- Sélectionnez Rejeter pour rejeter le rôle ou le droit.
Pour approuver ou rejeter la demande
Pour approuver ou rejeter une demande, cliquez sur le bouton Approuver ou Rejeter.
Un courriel est envoyé au demandeur, indiquant que la demande a été approuvée ou rejetée.
Vous, en tant que demandeur, ainsi que le sujet pour lequel la requête a été faite, pouvez suivre la progression de la requête au fur et à mesure des étapes du flux d'approbation et du flux de provisionnement dans le portail libre-service.
Suivi des demandes et des requêtes
En tant que demandeur ou sujet d'une requête, vous pouvez suivre sa progression tout au long du flux d'approbation et du flux de provisionnement.
Pour voir les demandes complétées, cochez la case Visualiser les items complétés.
Pour visualiser une demande
- Dans la section Demandes d'accès, cliquez sur le numéro ou la description d'une des tâche affichée.
La page détail s'ouvre et affiche plusieurs informations pertinentes au sujet de la demande.
Informations générales
La section du haut affiche des informations générales sur le sujet de la demande.
Flux d'approbation
La section Flux d'approbation illustre la progression de la demande par rapport aux quatre étapes possibles du flux d'approbation. La première étape est utilisée pour approuver une requète contenant une violation à une règle d'affaires telle que la séparation de tâches (SOD).
La deuxième étape est utilisée si le flux d'approbation liés aux rôles ou aux droits demandés requiert l'approbation du gestionnaire ou de la personne responsable du sujet.
La troisième étape est utilisée si le flux d'approbation requiert l'approbation du propriétaire ou détenteur de l'actif visé.
La quatrième étape est utilisée si le flux d'approbation requiert une approbation spéciale, habituellement réservé à des droits à privilège élevé ou à haut risque.
Dans les sections suivantes, les champs Origine, Type, Date et État reflètent des informations pertinentes aux différentes requêtes affichées. Le champ:
- Origine, reflète le fait que la requête ait été émise directement par le demandeur ou dérivée d'une demande.
- Type indique la nature de la requête par rapport à une création, ajout, modification ou retrait.
- Date indique la date de création de la requête.
- État reflète l'état de la requête par rapport à son cycle de vie. Il peut contenir les valeurs suivantes:
Ouvert signifie que la requête est en cours.
Complété signifie que toutes les étapes de traitement ont été complétées, mais que le résultat n'a pas encore été confirmé par l'importation des informations de l'application cible.
Par exemple, une demande qui a été provisionnée, c'est à dire créée automatiquement dans une application cible, ou qui a ouvert un billet dans un système de billetterie pour créer ou modifier un accès manuellement est considérée complétée.
Complété (fermé), signifie que la modification a été confirmée par l'importation et la réconciliation des informations à partir de l'application cible visée.
Erreur, signifie que la requête n'a pas été complétée, possiblement à cause d'une erreur dans le traitement. Par exemple, un état d'erreur sera inscrit si une connexion à l'application cible ne peut être établie à cause de paramètres de connexion invalides ou expirés, si l'application est indisponible ou si une panne réseau ou un problème technique perturbe le système.
Changements de l'identité
La section Changements de l'identité contient la liste des requêtes visant l'identité du sujet.
Tout changement apporté aux champs de l'identité sont indiqués juste au-dessous.
Rôles demandés
La section Rôles demandés contient la liste des requêtes visant des rôles, associées à la demande courante.
L'ajout et le retrait de rôles peut entraîner la création de plusieurs sous-requêtes pour ajouter ou retirer des droits.
Comptes demandés
La section Comptes demandés contient la liste des requêtes visant des comptes, associées à la demande courante.
Dans l'exemple ci-haut on voit deux requêtes d'assignation de comptes dans des actifs distincts.
Groupes demandés
La section Groupes demandés contient la liste des requêtes visant des groupes, associées à la demande courante.
Dans l'exemple ci-haut on voit deux requêtes d'assignation de groupes, dans deux actifs distincts.
Demandes écrites
La section Demandes écrites contient le texte des demandes écrites qui sont typiquement saisies et résolues manuellement par l'ouverture d'un billet dans un système de billeterie.
Le champ Ticket contient le numéro de billet associé à la requête si disponible par le biais d'une intégration bidirectionnelle.
Campagnes de révision des accès
Dans cette section, vous trouverez les informations nécessaires pour exécuter les campagnes de révision d'accès qui vous sont assignées.
Lors d'une révision d'accès, vous, en tant que certificateur, devez passer en revue tous les accès afin de déterminer s'ils sont encore valides ou s'ils doivent être supprimés. De cette façon les accès sont certifiés valides.
La nature des items à réviser et le niveau de détail des campagnes dépend de la configuration de la campagne, tel que déterminé par le gestionnnaire de campagne.
Note
Avant de procéder à la révision des accès, il peut être utile de suivre une courte session de formation ou de visionner une présentation afin de vous familiariser avec les concepts clés.
Veuillez contacter votre service de support technique pour obtenir l'information sur le matériel et les outils disponibles.
La section Campagnes de révision de la page d'accueil du portail libre-service affiche la liste des campagnes de révision d'accès qui vous ont été assignées.
Cochez la case Visualiser les items fermés pour afficher les campagnes complétées.
Si votre nom apparait dans la colonne Certificateur assigné, c'est que la campagne vous a été assignée directement. Si un nom autre que le vôtre apparait dans cette colonne c'est que vous êtes membre d'un groupe de délégation associé à la personne indiquée et que la campagne a été assignée à ce groupe de délégation.
Pour réviser les accès
1- Cliquez sur le nom de la campagne que vous voulez effectuer. La liste des items à réviser apparaît.
Les items à réviser sont organisés selon le certificateur et le tabulateur choisi.
La sélection du certificateur permet d'afficher les autres campagnes auxquelles vous avez accès.
Le premier tabulateur permet d'organiser la liste d'items à réviser par identité, par item, par groupe ou par rôle. Ce tabulateur est sélectionné par défaut sur l'option Par identité et présente une vue complète des items à réviser organisée par ordre alphabétique des identités. Le nombre affiché à côté des options indique le nombre d'items à réviser.
Le tabulateur
- Tout Permet de revenir à la liste sélectionnée par le premier tabulateur.
- Non Révisé affiche la liste d'items non révisés.
- Révisé affiche la liste d'items révisés.
- Préapprouvé affiche la liste des items préaprouvés. Les items préaprouvés apparaissent seulement dans les campagnes incrémentales.
Les différentes options permettent d'organiser la liste des items à réviser de différentes façons.
Approuver ou révoquer des items
- Cliquez sur le bouton
pour ouvrir l'item à réviser.
Lorsque la liste est organisée par identités, vous pouvez approuver ou révoquer les rôles ou les accès en bloc en cliquant sur les boutons 
ou 
correspondant à l'identité.
Vous pouvez approuver ou révoquer les rôles ou les accès item par item en cliquant sur les boutons correspondant à chaque item.
Plus d'actions
Plusieurs autres options sont possibles en cliquant sur le bouton Plus d'action situé à droite de chaque item.
- Accepté même effet que cliquer sur le bouton approuver
- Conditionnel indique que l'acception est conditionnelle, un commentaire peut être ajouté pour indiquer la condition.
- En attente indique que l'acception est en attente d'un événement, un commentaire peut être ajouté pour indiquer la condition.
- En cours indique que l'acception est en cours de traitement, un commentaire peut être ajouté pour indiquer la condition.
- Approuver avec commentaires même effet que cliquer sur le bouton approuver mais avec un commentaire. Un panneau s'ouvre avec un champ de texte libre pour saisir le commentaire.
- Révoquer avec commentaires même effet que cliquer sur le bouton révoquer mais avec un commentaire. Un panneau s'ouvre avec un champ de texte libre pour saisir le commentaire.
- Approuver temporairement permet d'approuver l'item mais avec date limite. Un panneau s'ouvre permettant d'indiquer une date de début et une date de fin de la période d'approbation ainsi qu'un champ de texte libre pour saisir le commentaire.
- Commentaire permet de saisir un commentaire.
- Réinitialiser permet d'annuler tous les changements et de remettre l'item dans l'état original.
Les éléments de la campagne de révision sont considérés en cours de révision jusqu'à ce qu'une décision ait été prise à leur sujet. Une fois que tous les éléments ont été révisés, il faut compléter la campagne en cliquant sur le bouton Compléter.
Tant que la campagne n'est pas Complétée, des modifications peuvent être apportées aux décisions de révision. Quand la campagne est Complétée les changements apportés aux rôles et droits d'accès seront effectués automatiquement par les flux d'approbation et de provisionnement.