Sun Java System Identity Manager 6.0 2005Q4M3 管理指南 |
1
Identity Manager 概述
Sun Java System Identity Manager 系统使您能够安全有效地管理对帐户和资源的访问。通过为您提供快速处理周期性和日常任务的权能和工具,Identity Manager 有助于为内部和外部客户提供优越的服务。
简介当今的企业需要其 IT 服务不断提高灵活性和能力。以前,管理对业务信息和系统的访问需要直接与有限数量的帐户进行交互。现在,管理访问则日渐意味着不仅要处理数量不断增加的内部客户,还要处理企业外部的合作伙伴和客户。
访问需求的增加可产生庞大的管理开销。作为管理员,您必须安全有效地使人们(企业内部或外部人员)能够顺利工作。同时,在提供初始访问后,您还面临连续、复杂的问题,诸如忘记密码与更改角色以及业务关系等。
Identity Manager 专用于帮助您应对动态环境下的这些管理难题。通过使用 Identity Manager 来分布访问管理开销,更易于解决您面临的主要复杂问题:如何定义访问? 定义访问之后,如何维护灵活性和进行控制?
一种安全而灵活的设计允许您设置 Identity Manager 以适应您企业的结构并应对这些复杂问题。将 Identity Manager 对象映射到您管理的实体(用户和资源),可显著提高您的运行效率。
Identity Manager 系统的目标
Identity Manager 解决方案使您能够:
定义用户访问
更广泛意义的企业用户可以是与公司存在某种关系的任何人,包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中,用户以用户帐户表示。
根据他们与您的业务和其他实体的关系,用户需要访问不同的目标,诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述,这些目标称为资源。
因为用户针对其访问的每个资源通常具有一个或多个身份,所以 Identity Manager 会创建单个虚拟身份,它映射到各个不同的资源。这允许您将用户作为单个实体进行管理。
图 1. Identity Manager 用户帐户与资源的关系
为有效管理大量用户,您需要用逻辑方法将他们分组。在多数公司中,用户被分组到各职能部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述,此类组称为组织。
另一种分组用户的方法是按照类似特征,如公司关系或工作职责。Identity Manager 将这些分组视为角色。
在 Identity Manager 系统中,您可为用户帐户分配角色,以便于有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。
Identity Manager 用户的直接或间接管理也可通过应用策略实现,这些策略设置了规则和密码及用户验证选项。
委托管理
要成功分布用户身份管理的职责,您需要在灵活性和控制之间寻求合适的平衡点。通过授予选择 Identity Manager 用户管理员权限并委托管理任务,您就能够将身份管理职责分配给最了解用户需求的那些人(如招聘部门的经理),从而可以减少开销并提高效率。具有此类扩展权限的用户称为 Identity Manager 管理员。
但是,委托仅能够在安全模式下发挥作用。为维持适当的控制级别,Identity Manager 允许您为管理员分配不同级别的权能。权能会批准系统内各种级别的访问和操作。
Identity Manager 工作流模型还包括用来确保某些操作需要批准的方法。Identity Manager 管理员可以使用工作流保持对任务的控制并跟踪任务的进度。有关工作流的详细信息,请参见《Identity Manager 工作流、表单和视图》。
Identity Manager 对象清楚地了解 Identity Manager 对象及它们交互的方式对成功管理和部署系统极为重要。其中包括:
用户帐户
Identity Manager 用户帐户
用户帐户设置过程是动态的过程。根据您在帐户设置期间选择的角色,您可以或多或少地提供一些资源特定的信息,以创建帐户。与分配的角色相关的资源类型和数量决定了创建帐户所需的信息量。
您将授予用户管理权限,用以管理用户帐户、资源和其他 Identity Manager 系统对象及任务。Identity Manager 管理员管理组织,并被分配了一定的权能,以应用于每个受管理组织中的对象。
角色
角色是一类 Identity Manager 对象,代表 Identity Manager 用户类型且允许将资源分组并分配给用户。通常,角色表示用户的工作职责。例如,在一个金融机构中,角色可能对应于各个工作职责,如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。
角色定义用户的一组基本资源和资源属性。也可定义与其他角色之间的关系;例如,包含或排除其他角色的角色。
具有相同角色的用户共享对公共基本资源组的访问权限。可为每个用户分配一个或多个角色,或者不分配角色。
图 2. 用户帐户、角色、资源间的关系
如上图所示,用户 1 和用户 2 通过分配角色 2 共享访问相同资源组的权限。但是,用户 1 还可通过分配角色 1 访问附加资源。
资源和资源组
在 Identity Manager 资源中,存储关于如何与要在其中创建帐户的某个资源或系统相连接的信息。Identity Manager 提供对以下资源的访问:
每种 Identity Manager 资源存储的信息被分成以下若干个主要组:
Identity Manager 用户帐户通过以下方式被授予对资源的访问权限:
图 3. 资源分配
相关的 Identity Manager 对象(即资源组),可用分配资源的方法将其分配给用户帐户。资源组与资源相关联,因此您可按特定顺序在各资源上创建帐户。
组织
组织是 Identity Manager 容器,用于实现管理委托。它们定义由 Identity Manager 管理员控制或管理的实体的范围。
组织也可表示转至基于目录的资源的直接链接;这些链接称为虚拟组织。虚拟组织允许直接管理资源数据而无需将信息载入 Identity Manager 信息库。利用虚拟组织镜像现有目录结构和成员资格,Identity Manager 去除了重复且费时的设置任务。
包含其他组织的组织称作父组织。可在平面结构中创建组织,也可在分层结构中排列组织。分层结构可代表您用来管理用户帐户的部门、地理区域或其他逻辑部门。
权能
可为每个用户分配权能或权限组,以使其能够通过 Identity Manager 执行管理操作。权能允许管理用户在系统内执行某些任务并对 Identity Manager 对象进行操作。
通常,您应根据特定工作职责(如密码重设或帐户批准)分配权能。通过为各个用户分配权能和权限,可创建一个分层管理结构,该结构在不危及数据保护安全的情况下提供具有针对性的访问和权限。
Identity Manager 提供一组用于常见管理功能的默认权能。满足您具体需求的权能也可被创建和分配。
管理员角色
管理员角色使您能够为某个管理用户管理的每一个组织集合定义唯一的一组权能。管理员角色被分配了各种权能和受控组织,然后该角色可被分配给管理用户。
权能和受控组织可直接分配给管理员角色。这些权能和受控组织也可在管理用户每次登录到 Identity Manager 时间接地(动态)分配。Identity Manager 规则控制动态分配。
对象关系
下表概要说明了各 Identity Manager 对象及它们之间的关系。
表 1. Identity Manager 对象关系
Identity Manager 术语Identity Manager 界面和指南定义以下这些术语:
管理员角色
唯一的一组权能,用于分配给管理用户的每一组组织。
管理员
设置 Identity Manager 或负责操作任务(如创建用户和管理对资源的访问)的人。
管理员界面
Identity Manager 的主要管理视图。
批准者
具备管理权能的用户,负责批准或拒绝访问请求。
业务流程编辑器 (BPE)
Identity Manager 表单、规则和工作流的图形视图。
权能
控制在 Identity Manager 中执行的操作的用户帐户的一组访问权限;Identity Manager 中的低级别访问控制。
表单
与 Web 页相关的对象,包含浏览器如何在该页上显示用户视图属性的规则。表单可合并业务逻辑,并经常用于在视图数据显示给用户之前对其进行操作。
身份模板
定义用户的资源帐户名称。
组织
用于实现管理委托的 Identity Manager 容器。组织定义由管理员控制或管理的实体(如用户帐户、资源和管理员帐户)的范围。组织提供“其中”上下文,主要用于实现 Identity Manager 的管理目的。
策略
建立 Identity Manager 帐户的限制。Identity Manager 策略建立用户、密码和验证选项,并且绑定到组织或用户。资源密码和帐户 ID 策略设置规则、允许的字词和属性值,且与各个资源绑定。
资源
在 Identity Manager 中,资源存储关于如何与要在其中创建帐户的某个资源或系统相连接的信息。Identity Manager 可访问的资源包括主机安全管理器、数据库、目录服务、应用程序、操作系统、ERP 系统及消息平台。
资源适配器
Identity Manager 组件,提供 Identity Manager 引擎和资源间的链接。Identity Manager 可使用此组件管理给定资源上的用户帐户(包括创建、更新、删除、验证和扫描功能),并利用该资源进行传递验证。
资源适配器帐户
Identity Manager 资源适配器使用的证书,用来访问受管理的资源。
资源组
用于指示创建、删除和更新用户资源帐户的资源的集合。
资源向导
Identity Manager 工具,用于指导您完成资源创建和修改的过程(包括资源参数、帐户属性、身份模板和 Identity Manager 参数的设置和配置)。
角色
在 Identity Manager 中,指一类用户的模板或配置文件。每个用户都能被分配一个或多个角色,这些角色定义帐户资源访问权限和默认资源属性。
规则
Identity Manager 信息库中的对象,包含以 XPRESS、XML Object 或 JavaScript 语言编写的函数。规则提供一种存储常用的逻辑或静态变量的机制,以便在表单、工作流和角色中重新使用这些变量。
模式
资源的用户帐户属性列表。
模式映射
某个资源的资源帐户属性与 Identity Manager 帐户属性之间的映射。Identity Manager 帐户属性创建可转至多个资源的公共链接,且由表单引用。
用户
拥有 Identity Manager 系统帐户的人。用户可拥有 Identity Manager 中一定范围的权能;而具有扩展权能的用户为 Identity Manager 管理员。
用户帐户
使用 Identity Manager 创建的帐户。指一个 Identity Manager 帐户或 Identity Manager 资源上的多个帐户。用户帐户的设置过程是动态过程;要填写的信息或字段取决于通过角色分配直接或间接提供给用户的资源。
用户界面
Identity Manager 系统的受限视图。专为不具备管理权能的用户而设计,该视图允许这些用户执行一定范围的自服务任务,如更改密码和设置验证问题的回答。
工作流
符合逻辑的可重复过程,在此过程中,文档、信息或任务从一个参与者传递至另一个参与者。Identity Manager 工作流包括多个过程,它们可对用户帐户的创建、更新、启用、禁用和删除进行控制。