Le coffre-fort d'identité contient toutes les informations dont Identity Manager a besoin. Le coffre-fort d'identité sert de méta-annuaire pour les données que vous souhaitez synchroniser entre les différents systèmes connectés. Par exemple, les données synchronisées d'un système PeopleSoft vers Lotus Notes sont d'abord ajoutées au coffre-fort d'identité, puis envoyées au système Lotus Notes. Il stocke également les informations propres à Identity Manager, telles que les configurations des pilotes, les paramètres et les stratégies.
Le coffre-fort d'identité utilise une base de données eDirectory NetIQ. Pour plus d'informations sur l'utilisation d'eDirectory, reportez-vous au NetIQ eDirectory 9.1 Administration Guide (Guide d'administration de NetIQ eDirectory 8.8).
Le moteur Identity Manager traite tous les changements de données qui interviennent au niveau du coffre-fort d'identité ou d'une application connectée. Quant aux événements qui se produisent dans le coffre-fort d'identité, le moteur traite leurs modifications et émet des commandes vers l'application via le pilote. Si des événements se produisent dans l'application, le moteur reçoit les modifications du pilote, les traite et émet des commandes vers le coffre-fort d'identité. Les pilotes connectent le moteur Identity Manager aux applications. Un pilote remplit deux fonctions principales : signaler au moteur Identity Manager les modifications apportées aux données (événements) dans l'application et exécuter les modifications de données (commandes) soumises par ce moteur à l'application. Les pilotes doivent être installés sur le même serveur que l'application connectée.
Le moteur Identity Manager est également désigné sous le terme « moteur méta-annuaire ». Le serveur sur lequel le moteur Identity Manager s'exécute est appelé serveur Identity Manager. Vous pouvez disposer de plusieurs serveurs Identity Manager dans votre environnement, en fonction du workload serveur.
Le chargeur distant Identity Manager charge les pilotes et communique avec le moteur Identity Manager au nom des pilotes installés sur des serveurs distants. Si l'application s'exécute sur le même serveur que le moteur Identity Manager, vous pouvez installer le pilote sur ce serveur. Cependant, si l'application ne s'exécute pas sur le même serveur que le moteur Identity Manager, vous devez installer le pilote sur le serveur de l'application. Pour faciliter le workload ou la configuration de votre environnement, vous pouvez installer le chargeur distant sur un serveur distinct des serveurs équipés du serveur Tomcat et Identity Manager.
Pour plus d'informations sur le chargeur distant, reportez-vous à la Section 10.1.2, Présentation du chargeur distant.
Identity Manager comprend l'entrepôt d'informations d'identité, c'est-à-dire un espace de stockage intelligent pour les informations relatives aux états réels et souhaités du coffre-fort d'identité et des systèmes connectés au sein de votre organisation. Cet entrepôt vous offre une vue globale de vos droits métier, de sorte que vous disposez de toutes les données nécessaires pour connaître l'état passé et présent des autorisations accordées aux identités au sein de votre organisation.
En interrogeant l'entrepôt, vous pouvez récupérer toutes les informations requises pour vous assurer que votre entreprise respecte parfaitement toutes les lois et réglementations applicables. Fort de cette connaissance, vous pouvez répondre aux requêtes GRC (Governance, Risk and Compliance) les plus complexes.
L'infrastructure de l'entrepôt d'informations d'identité nécessite les composants suivants :
L'entrepôt d'informations d'identité stocke ses informations dans la base de données SIEM de Sentinel Log Management for IGA. Le composant de création de rapports, Identity Reporting, vous permet d'auditer et de générer des rapports sur votre solution Identity Manager. Vous pouvez utiliser ces rapports pour aider votre entreprise à respecter les normes de conformité qu'elle doit observer. Vous pouvez exécuter des rapports prédéfinis pour démontrer la conformité par rapport aux stratégies métier, IT et de l'entreprise. Vous pouvez, par ailleurs, créer des rapports personnalisés si ceux prédéfinis ne répondent pas à vos attentes. Utilisez Identity Reporting pour générer des rapports sur des informations métier essentielles concernant divers aspects de votre configuration Identity Manager, notamment les données collectées à partir des coffres-forts d'identité et des systèmes connectés. L'interface utilisateur d'Identity Reporting permet de planifier facilement l'exécution des rapports aux heures creuses de manière à optimiser les performances. Pour plus d'informations sur Identity Reporting, reportez-vous au manuel Administrator Guide to NetIQ Identity Reporting (Guide de l'administrateur de NetIQ Identity Reporting).
Le service de collecte de données utilise le pilote Services de collecte de données pour capturer les modifications apportées aux objets stockés dans un coffre-fort d'identité, tels que les comptes, rôles, ressources, groupes et adhésions à des équipes. Le pilote s'enregistre lui-même auprès du service et distribue à ce dernier les événements de modification (tels que la synchronisation de données et l'ajout, la modification ou la suppression d'événements).
Le service comprend trois sous-services :
Collecteur de données de rapports : utilise un modèle d'extraction pour récupérer des informations d'une ou de plusieurs sources de données de coffre-fort d'identité. La collecte s'exécute de manière périodique, selon un ensemble de paramètres de configuration. Pour récupérer les données, le collecteur fait appel au pilote de passerelle système gérée.
Collecteur de données d'événements : utilise un modèle de distribution pour rassembler les données d'événements capturées par le pilote du service de collecte de données.
Collecteur de données d'applications non gérées : récupère les données d'une ou de plusieurs applications non gérées en appelant un noeud d'extrémité REST écrit spécifiquement pour chaque application. Les applications non gérées sont des applications de votre entreprise qui ne sont pas connectées au coffre-fort d'identité.
Le pilote de passerelle système gérée interroge le coffre-fort d'identité pour collecter les types d'informations suivants auprès des systèmes gérés :
Liste de tous les systèmes gérés
Liste de tous les comptes des systèmes gérés
Types de droits, valeurs et assignations, ainsi que profils de compte utilisateur pour les systèmes gérés