Gestion du cycle de vie d'un compte

Le cycle de vie des comptes est un processus qui s'inscrit dans le cadre de la gouvernance des identités et qui consiste à gérer les comptes utilisateurs sur la cible à partir de IBM® Verify. Vous pouvez configurer l'application des accès et l'annulation de l'application des accès des comptes utilisateur.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Configurez les informations de base de l'instance de l'application dans l'onglet « Général ». Voir la section « Configuration des informations de base de l'application ».
  • Suivez les instructions de configuration de cycle de vie de compte d'application fournies.

A propos de cette tâche

Si l'option est prise en charge par votre application, vous pouvez configurer une stratégie pour l'application afin d'appliquer les accès au compte. Pour obtenir la liste des applications, consultez la section « Applications prenant en charge le provisionnement ».

Procédure

  1. Sélectionnez Applications > Applications.
  2. Sélectionnez les options d'application des accès et d'annulation des accès au compte.
    1. Choisissez l'une des options suivantes pour appliquer les accès à un compte :
      Activé
      Crée un compte lorsque l'habilitation est affectée à un utilisateur. Il s'agit du paramètre par défaut.
      Désactivé
      Le compte est créé en dehors de Verify.
    2. Choisissez l'une des options suivantes pour annuler les accès à un compte :
      Activé
      Les accès à un compte sont annulés lorsque l'habilitation est retirée d'un utilisateur. Si cette option est sélectionnée, l'option de délai supplémentaire est activée.
      Désactivé
      Le compte a été désactivé en dehors de Verify. Si cette option est sélectionnée, le délai supplémentaire et l'action d'annulation des accès sont désactivés.
      Remarque : le type d'application, ainsi que les paramètres de mise en service et de désactivation, déterminent les options affichées pour l'application.
    3. Si votre application prend en charge la synchronisation des mots de passe, sélectionnez l'action pour le mot de passe du compte.
      Voir les applications prenant en charge la synchronisation des mots de passe.
      Synchroniser le mot de passe utilisateur Cloud Directory
      Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
      Générer le mot de passe
      Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
      Aucune
      Cette option applique des accès au compte sans mot de passe.
    4. Cochez la case pour indiquer si vous souhaitez envoyer une notification par e-mail à l'utilisateur lorsque des droits d'accès sont appliqués au compte.
      Remarque : pour l'option « Active Directory », vous pouvez choisir d'envoyer la notification contenant le mot de passe généré à l'utilisateur, à son supérieur hiérarchique ou aux deux.
    5. Sélectionnez le délai supplémentaire.
      L'annulation de l'application des accès d'un compte peut être planifiée pour être effectuée après un délai de grâce spécifié. Cette option est configurable si l'annulation de l'application des accès est activée et si l'action d'annulation de l'application des accès est configurée pour supprimer le compte. Sélectionnez le nombre de jours pendant lequel le compte peut être conservé à l'état suspendu une fois son habilitation supprimée. Par défaut, le délai est de 30 jours.
    6. Sélectionnez l'action d'annulation des accès.
      Cette option est configurable pour l'action d'annulation des accès activée pour suspendre ou supprimer le compte. Si l'annulation des accès est désactivée, l'action d'annulation des accès est désactivée.
  3. Facultatif : sélectionnez un profil d'application.
    Si vous souhaitez créer un profil, cliquez sur Create new application profile pour démarrer l'assistant de création de profil. Voir la section « Gestion des profils d'application ».
    Remarque : si vous souhaitez associer un profil autre que celui par défaut, assurez-vous qu'il a bien été créé avant d'enregistrer la configuration du cycle de vie du compte. Une fois enregistré, vous ne pouvez plus associer un autre profil d'application, mais vous pouvez modifier le profil sélectionné.
  4. Configurez l'authentification d'API.
    Les zones qui sont affichées dépendent de l'application pour laquelle vous configurez le cycle de vie de compte. Vous pouvez obtenir les informations pour ces zones en suivant les instructions de configuration du cycle de vie de compte fournies.
    1. Suivez les instructions de configuration qui sont fournies pour l'application.
    2. Indiquez les informations d'authentification pour les zones depuis la procédure de configuration.
    3. Cliquez sur « Tester la connexion » pour vérifier si une connexion au point de terminaison cible peut être établie à l'aide des identifiants configurés.
  5. Dans la section « Mappages d'attributs », attribuez un attribut utilisateur correspondant Verify à chacun des attributs de l'application.
    Mappez les attributs en fonction des exigences de l'application. Le mappage des attributs détermine la manière dont l'application utilise les attributs utilisateur provenant de Verify. Les attributs sont renseignés avec les valeurs contenues dans l'attribut utilisateur associé Verify . Pour créer une règle personnalisée de mappage d'attributs, consultez la section Création d'une règle personnalisée de mappage d'attributs.
    1. Sélectionnez Verify l'attribut dans le menu.
    2. Facultatif : sélectionnez une transformation pour la valeur.
      Vous pouvez choisir de transformer la valeur avec l'une des transformations intégrées qui sont fournies dans le menu Transformation. Le paramètre par défaut est None, ce qui signifie que la valeur est transmise inchangée. Grâce à la prise en charge des scripts, vous pouvez créer une transformation personnalisée pour modifier la Verify valeur de l'attribut et l'attribuer à l'attribut « Target ». Voir la section « Création d'une règle personnalisée pour le mappage d'attributs ».
    3. Sélectionnez l'attribut Cible dans le menu attribut.
    4. Facultatif : si l'application prend en charge cette fonctionnalité, cochez les cases « Garder la valeur à jour » pour les attributs que vous souhaitez voir mis à jour en cas de modification dans IBM Verify.
      Les modifications apportées aux valeurs d'attribut dans le profil de l'utilisateur remplacent automatiquement les valeurs d'attribut correspondantes dans l'application cible. Pour certaines valeurs d'attribut telles que user_name qui ne peuvent pas être modifiées, la case à cocher est inactive.
    Remarque :
    • Chaque fois qu'un utilisateur est désactivé ou réactivé dans Verify, Verify le compte est suspendu ou rétabli dans l'application cible.
    • Lorsqu'une règle personnalisée est spécifiée pour le mappage d'attributs, une transformation intégrée ne peut pas s'appliquer à elle.
    • Faites correspondre les mêmes cibles et Verify attributs dans la table d'attributs inverse.
    • Ces mappages d'attributs sont utilisés pour l'application des accès aux comptes et la synchronisation des comptes dans l'application cible.
    • Lors de la correction de la synchronisation des comptes, les modifications apportées au profil utilisateur ne déclenchent pas de notification par e-mail.
  6. Cliquez sur Enregistrer.
    Si vous n'avez pas testé la connexion précédemment, vous êtes invité à le faire ou à sauvegarder vos informations avec les stratégies d'application des accès désactivées.