Les ensembles et les groupes sont des types d'objets différents dans FIM, mais les utilisateurs souhaitent souvent que les ensembles soient basés sur l'appartenance à un groupe. Nous avons trouvé un moyen de le faire avec des attributs personnalisés.
- Nous avons créé un nouvel attribut multivalué de référence appelé SecurityGroups.
2. Ensuite, nous avons ajouté une liaison à l'objet User pour cet attribut.
3. Nous avons ajouté cet attribut aux autorisations de filtrage.
4. Ajout de l'attribut à la règle de politique de gestion "Administration : Les administrateurs peuvent lire et mettre à jour les utilisateurs."
5. Lorsque nous créons ou modifions une personne et que nous voulons qu'elle fasse partie d'un groupe, nous saisissons le nom du groupe dans ce champ.
6. Nous pouvons également modifier les critères d'appartenance à un groupe de sorte que lorsqu'un utilisateur se voit ajouter cet attribut, il devient membre de ce groupe.
7. De même, nous pouvons créer un ensemble basé sur cet attribut.
8. Maintenant, nous pouvons utiliser cet ensemble dans nos règles de politique de gestion pour gérer les autorisations et le groupe de sécurité peut être utilisé pour se synchroniser avec Active Directory.
C'est une approche un peu détournée, mais elle a bien fonctionné pour nous. Nous avons pu développer d'autres fonctionnalités souhaitées par le client grâce à cette méthode. Par exemple, il souhaitait que les utilisateurs ne puissent affecter un autre utilisateur qu'à un groupe de sécurité dont l'affectateur était membre. Nous avons créé un flux de travail qui construirait automatiquement des ensembles et des règles de politique de gestion pour gérer cela lorsqu'un groupe est créé.
Tout d'abord, le flux de travail a créé un ensemble pour le nouvel objet Groupe :
Et l'ensemble des utilisateurs comme décrit à l'étape 7 ci-dessus.
Ensuite, il crée une règle de politique de gestion pour accorder une autorisation au groupe de sécurité. Si un utilisateur n'était pas dans l'ensemble pour ce groupe, il n'aurait pas les permissions de vue sur l'objet groupe de sécurité et, par conséquent, ne pourrait pas l'assigner à un utilisateur via l'attribut groupe de sécurité (nous n'avons pas du tout autorisé l'accès au menu groupe de sécurité pour ces utilisateurs).
