Sommaire
|
Attributs de service d’administration
Le service d'administration comprend les attributs d'organisation et les attributs globaux. Les valeurs affectées aux attributs globaux s'appliquent à la totalité de la configuration de Sun Java System Access Manager et sont transmises à chaque organisation configurée. Elles ne peuvent pas être affectées directement aux rôles ou aux organisations dans la mesure où les attributs globaux ont pour finalité de personnaliser l'application Access Manager. Les valeurs affectées aux attributs d'organisation sont les valeurs par défaut de chaque organisation configurée et elles peuvent être modifiées lorsque le service est enregistré pour l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées de l'organisation. Les attributs d'administration se répartissent en :
Attributs globaux
Les attributs globaux du service d'administration sont les suivants :
Activer la gestion des fédérations
Lorsque vous sélectionnez cette option, la gestion des fédérations est activée. Elle est sélectionnée par défaut. Pour désactiver cette fonction, il suffit de désélectionner l’option. L’onglet Service de gestion des fédérations n’apparaît plus dans la console.
Activer la gestion des utilisateurs
Lorsque la valeur attribuée à ce champ est Vrai, la gestion des utilisateurs est activée. Elle est activée par défaut.
Afficher les conteneurs de personnes
Cet attribut indique si les conteneurs de personnes apparaissent ou non dans la console Access Manager. Si cette option est sélectionnée, l’option de menu Conteneurs de personnes figure dans le menu Afficher pour les organisations, les conteneurs et les conteneurs de groupes. Les conteneurs de personnes n’apparaissent au niveau supérieur que pour un DIT plat.
Les conteneurs de personnes sont des unités d’organisation renfermant les profils utilisateur. Il est recommandé d’utiliser un seul conteneur de personnes dans votre DIT et d’exploiter la flexibilité des rôles pour gérer les comptes et les services. Par défaut, la console Access Manager masque le conteneur de personnes. Toutefois, si vous avez plusieurs conteneurs de personnes dans votre DIT, sélectionnez Afficher les conteneurs de personnes pour qu’ils apparaissent en tant qu’objets gérés dans la console Access Manager.
Afficher les conteneurs dans le menu Afficher
Cet attribut indique si des conteneurs apparaissent ou non dans le menu Afficher de la console Access Manager. La valeur par défaut est faux. Un administrateur a le choix entre ces deux options :
Afficher les conteneurs de groupes
Cet attribut indique si les conteneurs de groupes apparaissent ou non dans la console Access Manager. Si cette option est sélectionnée, l’option Conteneurs de groupes figure dans le menu Afficher pour les organisations, les conteneurs et les conteneurs de groupes. Les conteneurs de groupes sont les unités d’organisation des groupes.
Type de groupe géré
Cette option détermine si des groupes d'abonnements créés via la console sont statiques ou dynamiques. La console créera et affichera des groupes d'abonnements qui sont soit statiques, soit dynamiques, mais non les deux. (Les groupes filtrés sont toujours pris en charge, quelle que soit la valeur donnée à cet attribut.) Par défaut, les groupes sont dynamiques.
- Dans un groupe statique , chaque membre est explicitement désigné à l'aide de la classe d'objets groupOfNames ou groupOfUniqueNames. L'entrée de groupe contient l'attribut uniqueMember pour chaque membre du groupe. Les membres des groupes statiques sont ajoutés manuellement ; l'entrée utilisateur elle-même reste inchangée. Les groupes statiques conviennent aux groupes ne comportant que peu de membres.
- Un groupe dynamique utilise un attribut memberOf pour l'entrée de chaque membre du groupe. Les membres des groupes dynamiques sont générés à l'aide d'un filtre LDAP qui recherche et renvoie toutes les entrées contenant l'attribut memberOf. Les groupes dynamiques conviennent aux groupes qui comportent un très grand nombre de membres.
- Un groupe filtré utilise un filtre LDAP pour rechercher et renvoyer des membres qui répondent aux critères du filtre. Par exemple, le filtre peut générer des membres avec un ID utilisateur (uid=g*) ou une adresse électronique (mail=*@sun.com) spécifique. Dans ces exemples, le filtre LDAP renverrait tous les utilisateurs dont l'ID commence par g ou dont l'adresse électronique se termine par sun.com. Les groupes filtrés ne peuvent être créés que dans la vue Gestion des utilisateurs en choisissant Appartenance par filtre.
Un administrateur peut sélectionner l'une des options suivantes :
Autorisations de rôles par défaut
Cet attribut définit une liste d'instructions de contrôle d'accès (ACI - Access Control Instruction) ou autorisations utilisées pour accorder des privilèges lors de la création de rôles. Une de ces instructions est sélectionnée selon le niveau d'autorisation souhaité. Access Manager est livré avec quatre autorisations de rôle par défaut :
Aucune autorisation
Aucune autorisation de rôle ne peut être définie.
Admin organisation
L'administrateur d'organisation a accès en lecture et en écriture à toutes les entrées de l'organisation configurée.
Admin assistance org.
L'administrateur assistance d'organisation a accès en lecture à toutes les entrées de l'organisation configurée et a accès en écriture à l'attribut userPassword.
Admin des modalités de l'organisation
L'administrateur des modalités de l'organisation a accès en lecture et en écriture à toutes les modalités de l'organisation. L'administrateur des modalités de l'organisation ne peut pas créer de modalité d'orientation pour une organisation pair.
Activer l'arborescence des composants de domaine
L'arborescence de composants de domaine est une structure DIT spécifique utilisée par de nombreux composants Sun Java System pour faire correspondre des noms DNS à des entrées d'organisations.
Lorsque cette option est activée, l'entrée d'arborescence des composants de domaine est créée pour une organisation, à condition que le nom DNS de cette organisation ait été introduit au moment de sa création. Le champ Nom DNS apparaîtra dans la page Création d'organisation. Cette option n'est applicable qu'aux organisations de niveau supérieur et ne s'affiche pas pour les sous-organisations.
Toute modification d'état de l'attribut inetdomainstatus effectuée avec le SDK Access Manager dans l'arborescence des organisations met à jour l'état de l'entrée correspondante dans l'arborescence des composants de domaine. (Les changements d'état effectués par un autre biais que le SDK Access Manager ne seront pas synchronisés.) Par exemple, si une nouvelle organisation sun est créée avec sun.com comme attribut de nom DNS, l'entrée suivante est créée dans l'arborescence des composants de domaine :
dc=sun,dc=com,o=internet,root suffix
L'arborescence des composants de domaine peut, en option, avoir son propre suffixe de racine, configuré en réglant com.iplanet.am.domaincomponent dans AMConfig.properties. Par défaut, ce suffixe est celui de la racine Access Manager. Si vous souhaitez un autre suffixe, vous devez le créer avec les commandes LDAP. Les ACI des administrateurs qui créent des organisations ont dû être modifiées pour leur donner un accès illimité à la nouvelle racine de l'arborescence des composants de domaine.
Activer les groupes administratifs
Cette option détermine si les groupes DomainAdministrators et DomainHelpDeskAdministrators doivent être créés. Si cette option est sélectionnée (vrai), ces groupes sont créés et associés aux rôles Admin organisation et Admin assistance organisation. Une fois les groupes créés, l'ajout ou la suppression d'un utilisateur dans l'un des rôles associés se répercute automatiquement dans le groupe correspondant. L'inverse n'est toutefois pas vrai : l'ajout ou la suppression d'un utilisateur dans l'un de ces groupes ne se répercute pas dans le rôle correspondant.
Les groupes DomainAdministrators et DomainHelpDeskAdministrators ne sont créés que dans les organisations créées après l'activation de cette option.
Activer la suppression de l'utilisateur conforme
Cette option spécifie si l'entrée d'un utilisateur sera supprimée du répertoire ou simplement marquée comme supprimée. Lorsque l'entrée d'un utilisateur est supprimée et que cette option est activée (vrai), cette entrée est maintenue dans le répertoire, mais est marquée comme supprimée. Les entrées d'utilisateurs marquées comme supprimées ne sont pas renvoyées par les recherches dans Directory Server. Si cette option n'est pas sélectionnée, l'entrée de l'utilisateur est supprimée du répertoire.
ACI de rôles administratifs dynamiques
Cet attribut définit les instructions de contrôle d'accès pour les rôles administrateur qui sont créés de façon dynamique lorsque la configuration d’un groupe ou d’une organisation s’effectue à l'aide du Access Manager. Ces rôles sont utilisés pour accorder des privilèges administratifs permettant de regrouper d’une manière particulière des entrées créées. Les ACI par défaut ne peuvent être modifiées que dans cette liste d'attributs.
Admin assistance conteneur
L'administrateur assistance de conteneur a accès en lecture à toutes les entrées d'une unité d'organisation et en écriture à l'attribut userPassword dans les entrées utilisateur de cette unité de conteneur uniquement.
Admin assistance org.
L'administrateur assistance d'organisation a accès en lecture à toutes les entrées d'une organisation et a accès en écriture à l'attribut userPassword.
Remarque
Lorsqu'une sous-organisation est créée, rappelez-vous que les rôles d'administration sont créés dans celle-ci, et non dans l'organisation parente.
Admin conteneur
L'administrateur de conteneur a accès en lecture et en écriture à toutes les entrées d'une unité d'organisation LDAP. Dans Access Manager, l'unité d'organisation LDAP est souvent appelée conteneur.
Admin des modalités de l'organisation
L'administrateur des modalités de l'organisation a accès en lecture et en écriture à toutes les modalités et il peut toutes les créer, les affecter, les modifier et les supprimer.
Admin conteneur de personnes
Par défaut, toute entrée utilisateur dans une organisation qui vient d'être créée est un membre du conteneur de personnes de cette organisation. L'administrateur de conteneur de personnes a accès en lecture et en écriture à toutes les entrées utilisateur du conteneur de personnes de l'organisation. N'oubliez pas que ce rôle n'a PAS accès en lecture et en écriture aux attributs qui contiennent des DN de rôles et de groupes et ne peut donc pas modifier les attributs d'un rôle ou d'un groupe ni en retirer un utilisateur.
Admin groupe
L'administrateur de groupe a accès en lecture et en écriture à tous les membres d'un groupe spécifique et peut créer des utilisateurs, affecter des utilisateurs aux groupes qu'il gère et supprimer les utilisateurs qu'il a créés.
Lorsqu'un groupe est créé, le rôle Admin groupe est automatiquement généré avec les privilèges nécessaires à l'administration du groupe. Il n'est pas automatiquement affecté à un membre du groupe. Il doit être affecté au créateur du groupe ou à quiconque ayant accès au rôle Administrateur de groupe.
Admin niveau supérieur
L'administrateur de niveau supérieur a accès en lecture et en écriture à toutes les entrées de l'organisation de niveau supérieur. En d'autres termes, ce rôle Admin niveau supérieur possède des privilèges pour chaque configuration principale de l'application Access Manager.
Admin organisation
L'administrateur d'organisation a accès en lecture et en écriture à toutes les entrées d'une organisation. Lorsqu'une organisation est créée, le rôle Admin organisation est automatiquement généré avec les privilèges nécessaires à l'administration de l'organisation.
Classes du service de profil utilisateur
Cet attribut répertorie la liste des services dont l'affichage pourra être personnalisé dans la page Profil utilisateur. L'affichage par défaut généré par la console risque de ne pas être suffisant pour visualiser certains services. Cet attribut permet de créer un affichage personnalisé pour n'importe quel service, apportant un contrôle total sur le contenu et la façon dont les informations sur ce service sont affichées. La syntaxe est la suivante :
service name | relative url
Liste des attributs du nud de composant d'annuaire
Ce champ détermine le jeu d'attributs à définir dans l'entrée d'arborescence des composants de domaine lors de la création d'un objet. Les paramètres par défaut sont les suivants :
- maildomainwelcomemessage ;
- preferredmailhost ;
- mailclientattachmentquota ;
- mailroutingsmarthost ;
- mailroutingsmarthost ;
- mailroutingsmarthost ;
- mailaccessproxyreplay ;
- preferredlanguage ;
- domainuidseparator ;
- maildomainmsgquota ;
- maildomainallowedserviceaccess ;
- preferredmailmessagestore ;
- maildomaindiskquota ;
- maildomaindiskquota ;
- objectclass=maildomain ;
- mailroutinghosts.
Filtres de la recherche portant sur les objets supprimés
Ce champ définit les filtres de la recherche portant sur les objets à supprimer lorsque le mode Suppression de l'utilisateur conforme est activé.
Conteneur de personnes par défaut
Cet attribut spécifie le conteneur de personnes par défaut dans lequel est créé l’utilisateur.
Conteneur de groupes par défaut
Cet attribut spécifie le conteneur de groupes par défaut dans lequel est créé le groupe.
Conteneur d’agents par défaut
Cet attribut spécifie le conteneur d’agents par défaut dans lequel est créé l’agent.
Attribut d'organisation
Les attributs d'organisation du service d'administration sont les suivants :
Conteneur de personnes par défaut du groupe
Ce champ détermine le conteneur de personnes par défaut dans lequel les utilisateurs seront placés une fois créés. Aucune valeur par défaut n'est définie. Le DN d'un conteneur de personnes constitue une valeur valide. Consultez la remarque relative à l'attribut Liste des conteneurs de personnes du groupe pour savoir dans quel ordre sont affectés les conteneurs de personnes.
Liste des conteneurs de personnes du groupe
Ce champ définit une liste de conteneurs de personnes dans laquelle un administrateur de groupe peut faire son choix lors de la création d'un utilisateur. Cette liste peut être utilisée s'il existe plusieurs conteneurs de personnes dans l'arborescence des répertoires. (Si aucun conteneur de personnes n'est indiqué dans cette liste ou dans le champ Conteneur de personnes par défaut du groupe, les utilisateurs sont créés dans le conteneur de personnes par défaut du Access Manager, ou=people.) Il n'existe pas de valeur par défaut pour ce champ. La syntaxe de cet attribut est la suivante :
dn du groupe | dn du conteneur de personnes
Classe d'affichage du profil utilisateur
Cet attribut permet d'indiquer la classe Java que doit utiliser la console Access Manager lorsqu'elle affiche les pages Profil utilisateur.
Classe d'affichage du profil utilisateur final
Cet attribut permet d'indiquer la classe Java que doit utiliser la console Access Manager lorsqu'elle affiche les pages Profil utilisateur final.
Afficher les rôles sur la page du profil utilisateur
Cette option détermine si une liste des rôles affectés à un utilisateur est affichée dans sa page Profil utilisateur. Si la valeur de l’option est faux (non sélectionnée), les rôles de l'utilisateur sont affichés dans la page Profil utilisateur uniquement pour les administrateurs. La valeur par défaut est faux.
Afficher les groupes sur la page du profil utilisateur
Cette option détermine si une liste des groupes affectés à un utilisateur est affichée dans sa page Profil utilisateur. Si la valeur de cette option est faux (non sélectionnée), les groupes de l'utilisateur sont affichés dans la page Profil utilisateur uniquement pour les administrateurs. La valeur par défaut est faux.
Activer l'auto-abonnement d'un utilisateur à un groupe
Cette option détermine si les utilisateurs peuvent s'inscrire d'eux-mêmes aux groupes qui acceptent les abonnements. Si la valeur de cette option est faux (non sélectionnée), seul un administrateur est autorisé à modifier les appartenances dans la page Profil utilisateur. La valeur par défaut est faux.
Remarque
Cette option s’applique uniquement lorsque Afficher les groupes sur la page du profil utilisateur est sélectionnée.
Options d'affichage du profil utilisateur
Cette option détermine les attributs de service affichés dans la page Profil utilisateur. Un administrateur peut sélectionner les options suivantes :
Rôles par défaut lors de la création d'utilisateur
Cette liste définit les rôles qui sont affectés automatiquement aux utilisateurs créés. Aucune valeur par défaut n'est définie. Un administrateur peut entrer le DN d'un ou de plusieurs rôles.
Remarque
Ce champ n'accepte qu'une adresse complète de nom distinctif, et non un nom de rôle. Les rôles peuvent uniquement être des rôles Access Manager et non des rôles LDAP (Directory Server).
Onglets de la console d'administration
Ce champ répertorie les classes Java des modules qui apparaissent en haut de la console. La syntaxe est la suivante : clé i18N | nom de classe java. (La clé i18N est utilisée pour la localisation du nom de l'entrée dans le menu Afficher.)
Maximum de résultats renvoyés par la recherche
Ce champ définit le nombre maximal de résultats pouvant être renvoyés par une recherche. La valeur par défaut est de 100.
Délai d'attente de recherche
Ce champ définit la durée (en secondes) maximale de la recherche. Il sert à mettre fin à des recherches qui pourraient durer trop longtemps. Une fois la durée maximale atteinte, le programme renvoie une erreur. La valeur par défaut est de 5 secondes.
Nom du répertoire JSP
Ce champ détermine le nom du répertoire contenant les fichiers .jsp utilisés pour produire la console, afin de donner à une organisation une apparence différente (personnalisation). Les fichiers .jsp doivent être copiés dans le répertoire spécifié dans ce champ.
Documents de l'Aide en ligne
Ce champ énumère les liens d'aide en ligne qui seront créés dans la page d'aide principale Access Manager. Cela permet aux autres applications d'ajouter leurs liens d'aide en ligne à la page Access Manager. Le format de cet attribut est le suivant :
cléi18lien| page html à charger en cas de clic | fichier de propriétés i18n | serveur distant
Remarque
serveur distant est un argument optionnel qui vous permet d’indiquer le serveur distant sur lequel se trouve le document d’aide en ligne.
Par exemple :
Aide de IdentityServer | /AMAdminHelp.html | amAdminModuleMsgs
Services requis
Ce champ énumère les services qui sont ajoutés de manière dynamique aux entrées des utilisateurs lors de leur création. Les administrateurs peuvent choisir les services ajoutés lors de la création.
Cet attribut n'est pas utilisé par la console, mais par le SDK Access Manager. Aux utilisateurs créés de manière dynamique et créés par l’utilitaire à ligne de commande amadmin seront attribués les services répertoriés dans cet attribut.
Clé de recherche d'utilisateur
Cet attribut définit le nom d'attribut à utiliser lors d'une recherche simple dans la page Navigation. La valeur par défaut de cet attribut est cn. Par exemple, si cet attribut utilise la valeur par défaut :
Si vous entrez j* dans le champ Nom de la zone Navigation, les utilisateurs dont le nom commence par « j » ou « J » seront affichés.
Attribut de retour de la recherche d'utilisateur
Ce champ définit le nom d'attribut à entrer pour l'affichage des utilisateurs renvoyés par une recherche simple. L'attribut par défaut est uid cn. Il permet d'afficher l'ID et le nom complet de l'utilisateur.
Le premier nom d'attribut de la liste sert également de clé pour trier les jeux d'utilisateurs renvoyés. Pour éviter toute dégradation des performances, utilisez un attribut dont la valeur est définie dans une entrée utilisateur.
Liste de notification de la création d'utilisateur
Ce champ définit une liste d'adresses électroniques auxquelles une notification sera envoyée lors de la création d'un utilisateur. Vous pouvez définir plusieurs adresses électroniques, comme indiqué dans la syntaxe suivante :
adresse_électronique|paramètre_régional|jeu_de_caractères
adresse_électronique|paramètre_régional|jeu_de_caractères
adresse_électronique|paramètre_régional|jeu_de_caractères
La liste de notification accepte aussi différents paramètres en utilisant l'option |paramètre_régional. Par exemple, pour envoyer la notification à un administrateur en France :
utilisateuruntel@exemple.com|fr|fr
Remarque
L'ID de messagerie de l'expéditeur peut être modifié en changeant la propriété 497 dans le fichier amProfile.properties, qui est situé, par défaut, dans AccessManager-base/SUNWam/locale.
Liste de notification de la suppression d'utilisateur
Ce champ définit une liste d'adresses électroniques auxquelles une notification sera envoyée lors de la suppression d'un utilisateur. Vous pouvez définir plusieurs adresses électroniques, comme indiqué dans la syntaxe suivante :
adresse_électronique|paramètre_régional|jeu_de_caractères
adresse_électronique|paramètre_régional|jeu_de_caractères
adresse_électronique|paramètre_régional|jeu_de_caractères
La liste de notification accepte aussi différents paramètres en utilisant l'option |paramètre_régional. Par exemple, pour envoyer la notification à un administrateur en France :
utilisateuruntel@exemple.com|fr|fr
Liste de notification de la modification d'utilisateur
Ce champ définit une liste d'attributs et d'adresses électroniques associées à l'attribut. Lorsqu'une modification apportée à un utilisateur concerne un attribut défini dans la liste, une notification sera envoyée à l'adresse électronique associée à l'attribut. Plusieurs adresses peuvent être associées à chaque attribut. Vous pouvez définir plusieurs adresses électroniques, comme indiqué dans la syntaxe suivante :
attrName adresse_électronique|paramètre_régional|jeu_de_caractères adresse_électronique|paramètre_régional|jeu_de_caractères .....
attrName adresse_électronique|paramètre_régional|jeu_de_caractères adresse_électronique|paramètre_régional|jeu_de_caractères .....
Le mot-clé auto peut remplacer une des adresses. Dans ce cas, le courrier est envoyé à l’utilisateur dont le profil a été modifié.
Par exemple :
gestionnaire utilisateuruntel@sun.com|auto|admin@sun.com
Le courrier sera envoyé à l’adresse spécifiée dans l’attribut gestionnaire, à utilisateuruntel@sun.com, à admin@sun et à la personne qui a modifié l’utilisateur (auto).
La liste de notification accepte aussi différents paramètres en utilisant l'option |paramètre_régional. Par exemple, pour envoyer la notification à un administrateur en France :
gestionnaire utilisateuruntel@sun.com|auto|admin@sun.com|fr
Remarque
Le nom d'attribut est tel qu'il apparaît dans le schéma Directory Server ; il ne s’agit pas du pseudo utilisé dans la console.
Nombre d’entrées max. par page
Cet attribut permet de déterminer le nombre de lignes pouvant être affichées sur une page. La valeur par défaut est 25. Par exemple, si le résultat de la recherche d'un utilisateur renvoie 100 lignes, 4 pages de 25 lignes chacune seront nécessaires.
Classes du module d’écoute des événements
Cet attribut comporte la liste des utilisateurs qui reçoivent des événements de création, de modification ou de suppression depuis la console Access Manager.
Classes de pré- et post-traitement
Ce champ définit une liste de classes de mise en uvre utilisant des plug-ins permettant d'étendre la classe com.iplanet.am.sdk.AMCallBack afin qu'elle reçoive des rappels lors d'opérations de pré- et post-traitement pour les utilisateurs, les organisations, les rôles et les groupes. Les opérations disponibles sont les suivantes :
Vous devez entrer le nom complet de la classe du plug-in. Par exemple :
com.iplanet.am.sdk.AMCallbacSample
Vous devez ensuite modifier le chemin d'accès de la classe du conteneur Web (à partir de la base d'installation Access Manager) de sorte qu'il contienne le chemin d'accès complet à la classe du plug-in.
Activer la récupération des attributs externes
Cette option active la fonction de rappel pour que les plug-ins puissent récupérer les attributs externes (c'est-à-dire, tout attribut propre à une application externe). Les attributs externes ne sont pas mis en mémoire cache dans le kit SDK Access Manager. Dès lors, cet attribut vous permet d'activer la récupération des attributs au niveau de chaque organisation. Cette option est désactivée par défaut.
Caractères de l'ID utilisateur non valides
Cet attribut définit la liste des caractères non autorisés dans un nom d'utilisateur.
Ils doivent être séparés par le caractère « | ». Par exemple :
*|(|)|&|!
Classe de plug-in de validation du mot de passe et de l'ID utilisateur
Cette classe fournit un mécanisme de plug-in de validation du mot de passe et de l’ID utilisateur.
Les méthodes de cette classe doivent être annulées par les modules de plug-in d’implémentation qui valident l’ID utilisateur et/ou le mot de passe de l’utilisateur. Les modules de plug-in d’implémentation sont appelés chaque fois qu’une valeur d’ID utilisateur ou de mot de passe est ajoutée ou modifiée à l’aide de la console Access Manager, de l’interface à ligne de commande amadmin ou à l’aide du kit SDK.
Les plug-ins qui étendent cette classe peuvent être configurés par organisation. Si un plug-in n’est pas configuré pour une organisation, le plug-in configuré au niveau global est alors utilisé.
En cas d’échec de la validation du plug-in, le module peut envoyer une exception pour notifier l’application d’indiquer l’erreur dans l’ID utilisateur ou le mot de passe fourni par l’utilisateur.
Sommaire |