Gestion des certificats (3)

• CLM Audit – permet de visualiser le réglage du modèle de profil, d’approuver les requêtes et de générer les rapports.

• CLM Enrollment Agent – permet au détenteur de demander un certificat pour le compte d’un autre utilisateur.

• CLM Request Enroll – permet l’initiation, l’exécution ou la terminaison d’une requête d’enrôlement.

• CLM Request Recover – permet l’initiation des opérations de reprise de clé de cryptage à partir de la base de données CA.

• CLM Request Renew – permet l’initiation, l’exécution ou la terminaison d’une demande de renouvellement quand un certificat d’utilisateur original approche de sa date d’expiration et doit être remplacé par un nouveau certificat possédant une nouvelle période de validité.

• CLM Request Revoke – permet de mettre fin à la validité d’un certificat avant sa date d’expiration (par exemple, on peut révoquer un certificat après le vol du portable d’un utilisateur).

• CLM Request Unblock Smart Card – permet de réinitialiser le PIN utilisateur d’une smart card, rétablissant ainsi l’accès au matériel de clé de la smart card.

En outre, les objets modèles de profils incluent la permission CLM Enroll. Les utilisateurs qui demandent des certificats inclus dans un modèle de profil doivent se voir attribuer la permission CLM Enroll sur le modèle du profil. Si un utilisateur demande un certificat pour le compte d’un autre, à la fois le demandeur (agent d’enrôlement) et l’utilisateur cible doivent se voir attribuer les permissions CLM Enroll.

A noter que les permissions de gestion des certificats ILM 2007 ne peuvent être attribuées qu’à des utilisateurs, des groupes globaux, ou des groupes universels. Les attributions de permissions faites aux groupes locaux de domaines sont ignorées.

Emplacements d’attribution des permissions.
Dans la gestion des certificats ILM 2007, une bonne gestion des permissions suppose un entrelacement des cinq emplacements d’attribution des permissions suivants. La figure 1 illustre ces emplacements.

1. Service Connection Point – Si un utilisateur ou un groupe bénéficie d’une permission étendue CLM au SCP, l’utilisateur peut accéder au portail Web de gestion CLM. Une attribution de permission au SCP se traduit par une attribution potentielle des permissions. Les permissions n’entrent en vigueur que si une permission correspondante est attribuée à un utilisateur ou à un groupe. Pour participer aux flux CLM, les utilisateurs n’ont besoin que de permissions Read sur le SCP.

2. Profile Template Object – Un utilisateur ou un groupe doit se voir attribuer la permission Read et CLM Enroll sur l’objet modèle du profil pour permettre l’enrôlement des certificats d’après le modèle du profil. Si le flux inclut un manager agissant comme un agent d’enrôlement, à la fois le manager et les utilisateurs cibles doivent recevoir la permission CLM Enroll.

3. Users/Groups – L’emplacement d’attribution des permissions est intimement lié au SCP. On l’a vu, la permission SCP est une attribution potentielle. Vous pourriez effectuer l’action attribuée sur quelque utilisateur ou groupe. Une attribution de permission sur un utilisateur ou un groupe ferme cette boucle. La permission de l’utilisateur ou du groupe définit la cible de l’action de gestion.

4. Certificate Template(s) – Si le flux requiert la soumission de demandes de certificats à une autorité de certification (CA), le demandeur doit posséder les permissions Read et Enroll sur les modèles de certificats inclus.

5. Within a Management Policy – La dernière attribution des permissions se produit dans une stratégie de gestion. Les managers participant à un flux doivent obtenir le droit d’initier, d’approuver ou d’agir comme un agent d’enrôlement dans un flux. Autre possibilité : vous pouvez valider l’option self-service pour permettre à un utilisateur d’initier les demandes de flux personnelles.

Reporting.
La gestion des certificats ILM 2007 soigne particulièrement le reporting. En général, on peut classer les rapports en trois catégories principales :

• CLM Summary Reports – Fournissent des rapports récapitulatifs pour toutes les demandes gérées, l’utilisation de certificats, l’expiration des certificats et les inventaires de smart cards. Ces rapports sont utiles pour présenter à la direction un rapport sur l’état de tous les certificats gérés par ILM 2007.

• CLM Detail Reports – Fournissent des rapports détaillés pour les smart cards, historiques des smart cards, demandes, utilisation des modèles de certificats, et listes de révocation de certificats. Les rapports détaillés sont utiles pour rechercher l’utilisation des certificats pour une certaine personne ou pour un certain appareil smart card.

• CLM Settings Reports – Fournissent une information de paramétrage détaillée pour les modèles de certificats ou les modèles de profils. Ces rapports servent à documenter les paramétrages finalisés définis pour chaque modèle de certificat ou modèle de profil que vous déployez.