Dans ITIM, un service est placé dans une "Business Unit". Une fois défini, il n'est pas possible de le bouger via la console ITIM (ce serait possible en modifiant son attribut erparent dans l'annuaire, mais pas supporté ni conseillé par IBM).
Le placement d'un service ITIM permet de le positionner par rapport à des règles de provisionnement ou encore des règles de sélection de service. Si on bouge un service, est peut donc potentiellement être en dehors du périmètre de ces règles.
Les différentes approches
Si on se réfère au document de Design Guide IBM [Référence : Identity Management Design Guide with IBM Tivoli Identity Manager (RedBooks, SG24-6996-03)], les approches les plus communes pour le placement des services sont les suivantes :
- Au niveau Racine
- Dans les domaines d'administration
- Distribués dans la structure de l'organisation
Placement au niveau Racine
L'un des avantages de cette option est que les services et les politiques de provisionnement ou de sélection de services peuvent facilement être trouvés, puisqu'ils sont à un seul endroit.
Cette solution est intéressante dans un contexte de management très centralisé, mais probablement difficile à gérer dès lors qu'il y a un grand nombre de services : la délégation doit être gérée via des ACL complexes.
Dans les domaines d'administration
Lorsqu'il y a une séparation logique des services en différents groupes dans une organisation, et que la gestion des services fonctionne indépendamment les uns des autres, il peut être intéressant de prendre cette approche.
La délégation de la gestion des services est alors simple, car il y a moins de règles de contrôles (ACL) à configurer.
Dans ce cas, si on utilise une règle de provisionnement et une règle de sélection de services, il faut que ces dernières soient positionnées au niveau supérieur par rapport aux domaines d'administation dans lesquels sont placés les services.
Distribués dans la structure de l'organisation
Cette approche est intéressante pour s'assurer que les politiques de provisionnement ne peuvent s'appliquer uniquement sur les services concernés.
Si les services sont séparés en fonction de la structure de l'organisation, c'est une option qui peut être adoptée.
En conclusion
Généralement on utilise un mix de ces approches : les services centralisés sont placés soit à la racine, soit au niveau le plus haut de la structure où ils sont utilisés (cas d'un annuaire global par exemple). Les services localisés (Active Directory dans des succursales ou des magasins) sont placés dans le domaine d'administration duquel ils dépendent. Ainsi leur gestion peut être déléguée au responsable du domaine (qui peut être défini comme Owner).
Dans le cas de multiples AD, on utilisera une politique de sélection de services et une politique de provisionnement, positionné au niveau supérieur, afin de couvrir tout le périmètre.