Portail d'administration eIAM

Accès au portail d'administration eIAM



Instance du portail eIAM        Production PROD         Réception ABN         Référence REF
    Link


Tableau de bord du portail eIAM
Tableau de bord du portail eIAM

Tableau de bord du portail eIAM / Gestion déléguée
Tableau de bord du portail eIAM / Gestion déléguée

Modifier le service/l'unité subordonnée (actions)

Sélectionner ou marquer l'unité, puis sélectionner "Action" "Modifier".
Sélectionner ou marquer l'unité, puis sélectionner "Action" "Modifier".


Modifier l'unité
Nom d'affichage, abréviation (4 langues), commentaires, notes de modification
Ajouter des attributs personnalisés SAP-BP-ID, rue, GLN ou Sub-Unit.

Saisir les utilisateurs avec l'autorisation 'Del. Management'

Via User Management -> Gestion déléguée vers 'Sélection de l'unité'.
Via User Management -> Gestion déléguée vers 'Sélection de l'unité'.

Sélectionner le département/l'unité souhaité(e) & 'Continuer' vers 'Sélection de l'utilisateur'.
Sélectionner le département/l'unité souhaité(e) & 'Continuer' vers 'Sélection de l'utilisateur'.


Remarque
Si "Strict-Onboarding" est configuré pour le client d'accès correspondant dans les Portal Properties, le "Numéro de téléphone portable" doit être obligatoirement saisi (champ obligatoire). Cela s'applique également au Bulk-Onboarding des nouveaux utilisateurs (voir la section ci-dessous Fonctionnalité Bulk-Onboarding).

Sélectionner l'utilisateur souhaité & 'Suivant' vers 'Gérer les autorisations'.
Sélectionner l'utilisateur souhaité & 'Suivant' vers 'Gérer les autorisations'.


Expliquer la différence entre les deux registres ...(autorisations propres / rôles à déléguer)

Onglet 'Donner des autorisations'
Dans cet onglet, l'administrateur peut attribuer à l'utilisateur des rôles individuels ou des rôles collectifs de l'application concernée.

En outre, des rôles avec des attributs peuvent être attribués à cet endroit.
En outre, des rôles avec des attributs peuvent être attribués à cet endroit.


Expliquer le cas particulier des rôles avec attributs:


Onglet 'Accorder des autorisations pour l'administration déléguée'
Dans cet onglet, l'administrateur peut activer différents paramètres pour l'utilisateur dans le rôle d'administrateur (futur) délégué. D'un point de vue technique, ce traitement est comparable à 'Ajouter un rôle IDM' dans IDM.


  • Checkbox "Gestion déléguée des (sous-)unités"
    "Administration déléguée des (sous-)unités":
    Si activé, le rôle IDM DelegatedAdmin_SubUnit est attribué à l'utilisateur.
  • Checkbox "Gestion déléguée des utilisateurs"
    "Delegated Administration of Users":
    Si activé, le rôle IDM DelegatedAdmin_User est attribué à l'utilisateur.
  • Checkbox "Gestion déléguée des permissions"
    "Delegated Administration of Permissions":
    Si cette case est cochée, le rôle IDM DelegatedAdmin_Permissions est attribué à l'utilisateur. Si la case est cochée, il faut ensuite ajouter les rôles/business roles que le Del. Administrator peut attribuer à d'autres utilisateurs


  • Checkbox "y compris substitution (délégation supplémentaire des droits de gestion à des suppléants possible)" "incl. substitution": Si activée, permet à l'utilisateur de modifier l'onglet 'Grant Delegated Management Permissions'

Vérification avant envoi:

Afficher des informations détaillées via le bouton de fonction 'Afficher plus'
Afficher des informations détaillées via le bouton de fonction 'Afficher plus'

Autorisations accordées
Autorisations accordées

Droits de gestion délégués accordés
Droits de gestion délégués accordés

Détails des droits de gestion délégués
Détails des droits de gestion délégués


Envoyer le lien d'embarquement ou l'e-mail de notification


Remarque
Le bouton de fonction 'Envoyer un e-mail de notification / Envoyer un e-mail d'onboarding' n'est activé que si du texte est saisi dans le champ Justification de l'autorisation (traçabilité).

Notification de clôture:


Reaset Onboarding

La réinitialisation de l'embarquement pour les utilisateurs déjà intégrés peut être effectuée dans le portail administrateur via l'option suivante.
Image du portail eIAM Gestion déléguée avec sélection des utilisateurs et sélection de la fonction Reset Onboarding.
Feature: reset onboarding


Exemple : courriel d'onboarding à l'utilisateur


Exemple : mail de notification en cas de changement de permissions


Chemin manuel Onboarding (Impression)

Décrire en prose pourquoi cela peut être nécessaire....

Imprimer
Imprimer


Option: Enregistrer les liens onboarding dans ...


Option: Envoyer un mail onboarding

Déjà décrite sous 'Envoyer un lien d'onboarding'.

Fonctionnalité Bulk-Onboarding

Avec cette extension, il est désormais possible d'attribuer des rôles delegAdmin à l'utilisateur directement lors de l'onboarding. Les rôles delegAdmin suivants peuvent être indiqués par utilisateur dans le fichier .csv étendu.


Rôles IDM DelegAdmin supportés
  • DelegatedManager_User
  • DelegatedManager_Subunit
  • DelegatedManager_Permission
  • DelegatedManager_DelegMgmt_Permission

Fichier CVS

Nom Champ obligatoire Exemple Explication
firstName Oui Jean Prénom
lastName Oui Model Nom
email Oui jmodel@test.com E-mail Adresse
language Oui fr langue
numéro de mobile
                             		 seulement pour Strict-Onboarding 0041791234567 numéro de téléphone
addressLine1 seulement en cas d'onboarding par lettre Engehalde 22 rue
addressLine2 uniquement en cas d'onboarding par lettre Informatique SA indication supplémentaire
postalCode seulement en cas d'onboarding par lettre 3005 code postal
city seulement en cas d'onboarding par lettre Berne localité
countryCode uniquement pour l'onboarding par lettre ch pays
additionalRoles Non DelegatedManager_User
DelegatedManager_Subunit
DelegatedManager_Permission
DelegatedManager_DelegMgmt
_Permission

Par défaut : aucun

Un ou plusieurs des rôles IDM pris en charge mentionnés ci-dessus
unitExtId Non 1234


Par défaut : l'unité sélectionnée au début du Bulk-Onboarding a été sélectionné 		ExtId de l'unité dans laquelle l'utilisateur doit être inclus. Doit être soit l'unité sélectionnée dans AdminPortal, soit une unité enfant subordonnée à cette unité
nom du profil Non
                  		TestProfil Si le nom du profil est défini dans le fichier CSV (c'est-à-dire que la valeur dans la colonne pour une ligne n'est pas vide), il devrait avoir la priorité sur l'adresse e-mail qui pourrait provenir de la fonction onboardingDataSotrage si elle est activée pour le client.


Si la fonction onboardingDataSotrage est activée et qu'il n'y a rien dans la colonne profileName pour la ligne concernée, le nom de profil devrait rester l'adresse e-mail.

Conditions de réussite du Bulk-Onboarding étendu

  1. seuls les rôles IDM supportés mentionnés ci-dessus sont présents
  2. les rôles IDM sont correctement formatés (séparateur correct)
  3. l'administrateur exécutant a les droits nécessaires pour attribuer tous les rôles IDM demandés
Si l'une de ces conditions n'est pas remplie, l'onboarding ne démarre pas et un message d'erreur s'affiche (le message d'erreur contient le numéro de ligne et un texte de justification, par ex. pas de droits).

Modifier les utilisateurs avec autorisation 'Del. Management' (actions)

Actions', 'Modifier'


  • Modifier les données de l'utilisateur
    Nom d'affichage, abréviation (4 langues), commentaires, notes de modification
    Custom Attributes SAP-BP-ID, rue, GLN
    Champs obligatoires: Prénom, nom et eMail
  • Supprimer/archiver l'utilisateur.
    L'utilisateur et le profil sont désactivés.
    L'utilisateur est marqué pour être supprimé après 95 jours (ArchiveDate).
    L'adresse e-mail est supprimée et complétée par l'ExtID de l'utilisateur.
    Les données d'identification sont supprimées.
    Les informations de profil sont conservées.
  • Désactiver l'utilisateur
    Pas de question de sécurité
    L'utilisateur et le profil sont désactivés (et restent ainsi....)
  • Envoyer un nouveau lien d'embarquement

Modifier les profils

Ajouter un nouveau profil


Séparation des différentes tâches (par ex. activités d'administrateur et d'utilisateur)

Modifier les profils
- Modifier le nom


- Archiver le profil


- Désactiver


Le statut du profil est désactivé dans l'IDM.
Désactiver temp. en cas de tâches/changement de poste.
Fournir les mêmes fonctionnalités que dans l'IDM.

Onboarding

Décrire le déroulement.

État de l'onboarding



Ouvert                         Cet utilisateur est prêt à accorder des autorisations.
Prêt Cet utilisateur a au moins un rôle et est donc prêt pour l'onboarding.
en cours Un onboarding réussi a été créé pour un utilisateur. Ni le profil ni le compte n'ont le statut "onboarding", il s'agit simplement du statut de l'onboarding. Un lien d'onboarding est valable pendant 30 jours.
en retard Un utilisateur dispose de 30 jours pour terminer le processus d'onboarding. Passé ce délai, le statut d'onboarding de l'utilisateur est "onboarding en retard". -> Informer l'utilisateur
expiré Le code d'onboarding est expiré (valable 30 jours).
-> Les administrateurs des utilisateurs doivent envoyer un nouveau code d'onboarding.
complété Un utilisateur a réussi l'onboarding avec le lien d'onboarding.

Cette étape permet de lier les données fiables saisies dans le portail eIAM (autorisations/rôles) avec le compte utilisateur CH-LOGIN.

Effectuer l'onboarding

Conditions préalables:
  • Enregistrement CH-LOGIN effectué avec succès.
  • L'utilisateur a été enregistré dans le portail eIAM et a reçu l'email d'onboarding.

    • 1 Veuillez ouvrir le mail d'onboarding que vous avez reçu

    2 Veuillez sélectionner le code d'embarquement.
    Veuillez le copier dans le presse-papier via Ctrl-C.

    3 Veuillez cliquer sur le lien d'embarquement

    4 Veuillez cliquer sur l'option : CH-LOGIN.

    5 Connectez-vous à CH-LOGIN avec un compte d'utilisateur existant / ou avec le nouveau compte d'utilisateur créé à l'étape 1.

    6 Collez le code d'embarquement via Ctrl-V depuis le presse-papiers.
    Cliquez ensuite sur 'Envoyer le code d'embarquement'

    7 Une fois la procédure d''onboarding' réussie, vous serez redirigé vers l'espace d'autogestion 'My-Account'. Dans la section 'Mes applications', vous trouverez toutes les applications eGov Services pour lesquelles vous êtes autorisé


    People Picker

    La fonctionnalité "People Picker" est automatiquement disponible pour chaque manager délégué avec le rôle DelegatedManager_User. Avec People Picker, les identités eIAM déjà existantes peuvent être recherchées dans le contexte de l'entreprise, directement intégrées dans le mandant d'accès et ensuite autorisées par le manager délégué. Sans qu'un processus d'invitation ne soit nécessaire pour cela. La recherche de comptes eIAM n'est possible qu'avec une adresse e-mail entièrement qualifiée. Aucun joker n'est autorisé pour la recherche. Le masque des résultats de recherche affiche au gestionnaire délégué une liste de résultats de recherche, y compris le type d'identité. L'identité souhaitée peut être sélectionnée dans la liste. L'utilisateur reçoit ensuite une notification par e-mail "Votre compte a été créé" avec l'indication de la méthode de login, c'est-à-dire FED-LOGIN ou CH-LOGIN, qui doit être utilisée pour l'accès à l'application.

    Le "People Picker" supporte les types d'identité suivants:

    • Collaborateurs (internes/externes) de l'administration fédérale centrale et décentralisée (CIS-BV / CIS-OTHERS) - Authentifié par FED-LOGIN
    • Collaborateurs des administrations cantonales et communales (équipés d'une Smart Card SG-PKI) (CIS-KTV) - Authentifié par FED-LOGIN
    • Externes, affiliés à l'administration fédérale, qui n'ont pas été onboarded via les processus RH (nHEC+) - Authentifié via CH-LOGIN
    Options:
    Pas d'utilisation de People Picker dans le mandant d'accès (opt-out)
    • Le "People Picker" est disponible par défaut dans tous les mandants d'accès de eIAM qui utilisent la gestion déléguée. Les responsables de mandants d'accès peuvent demander que la fonction soit globalement désactivée sur leur mandant.
      • Dans ce cas, la fonction n'est pas affichée aux gestionnaires délégués.
    • Le "People Picker" permet par défaut la recherche sur tous les domaines de messagerie. Les responsables de domaine peuvent demander à ce que la recherche d'identités à partir de ce domaine soit globalement interdite (blacklisting).
      • Un message d'erreur correspondant est affiché au responsable délégué lorsqu'il recherche une identité avec une adresse e-mail dans un tel domaine.