|
| |
| Sun Java System Identity Manager 2005Q4M3 管理指南 | |
1
Identity Manager 簡介
Sun Java™ System Identity Manager 系統可以讓您安全並有效地管理帳號與資源的存取。Identity Manager 可提供讓您快速處理定期與每日工作所需之權能與工具,為內部與外部客戶提供卓越的服務。
概述今日的企業需要 IT 服務為其提供持續增加的靈活性以及各項權能。過去,對企業資訊與系統存取的管理需要直接與有限數目的帳號互動。而後越來越多的情況顯示,管理存取不僅意味著處理增加的內部客戶數目,同時也需處理您企業以外的合作夥伴與客戶。
由於此類與日俱增的需求可能產生龐大的管理費用。身為管理員,您必須讓人們
(不論是企業內部或外部) 有效與安全地執行他們的工作。而在您提供初始存取權之後,您將持續面對更複雜的挑戰,例如忘記密碼、變更角色與企業關係。我們特別開發出 Identity Manager 以協助您在動態的環境中處理這些管理方面的挑戰。在使用 Identity Manager 以分配存取管理費用之後,面對主要挑戰時您將有一套完整的解決方案:我如何定義存取權?定義之後,我要如何維持靈活的彈性與控制?
一套安全卻又極具靈活性的設計可以讓您根據您企業結構設定 Identity Manager,以面對上述挑戰。藉由將 Identity Manager 物件對映至您管理的實體 (使用者與資源),您將可以大幅提昇您的作業效率。
Identity Manager 系統的目標
Identity Manager 解決方案可以讓您:
定義使用者存取
更廣泛意義的企業使用者可以是與您公司有關聯的任何人,包括員工、用戶、夥伴、供應商或採購人員。在 Identity Manager 系統中,使用者是以使用者帳號來代表。
由於使用者與您的企業和其他實體的關係各有不同,因此使用者需要存取的內容 (例如電腦系統、資料庫中儲存的資料或特定的電腦應用程式) 也會有所差異。在 Identity Manager 專用術語中,這些內容即為資源。
因為通常使用者在他們存取的每個資源上都具有一個或多個身份,所以Identity Manager 會建立單一的虛擬身份來對映到不同的資源。這可讓您將使用者當成單一實體的身份來管理。
圖 1. Identity Manager 使用者帳號與資源的關係
若要有效地管理大量使用者,您需要以邏輯的方式將使用者加以分組。在多數的公司中,使用者按職能機關或部門分組。一般而言,這些部門中的每個部門都需要存取不同的資源。在 Identity Manager 專用術語中,此種群組類型即稱為組織。
將使用者分組的另一種方式則是依照類似的特性分類,例如公司關係或職務類別。Identity Manager 將這些群組識別為角色。
在 Identity Manager 系統中,將角色指定給使用者帳號可以增加啟用與停用資源存取權的效率。而指定帳號給組織可以使得管理責任的委派更有效率。
Identity Manager 使用者也直接或間接透過應用策略進行管理,策略可設定規則、密碼和使用者驗證選項。
委託管理
若要成功地分配使用者身份管理的責任,您需要正確平衡靈活性與控制程度。透過授予選取 Identity Manager 使用者管理員特權並委託管理工作,您就可將身份管理的責任交由最瞭解使用者需要的人員 (例如人力招募經理),從而減少管理費用並提昇效率。擁有這些更多權限的使用者稱為 Identity Manager 管理員。
但是委派只有在安全模式中才可運作。為了維持適當的控制層級,Identity Manager 讓您能夠將不同的權能層級指定給管理員。各種權能可向管理員授權系統中的不同存取權與行動層級。
Identity Manager 工作流程模型也包括一個用以確保某些操作必須經過核准的方法。使用工作流程,Identity Manager 管理員可保留對工作的控制權,並且可以追蹤其進度。如需有關工作流程的詳細資訊,請參閱「Identity Manager 工作流程、表單與視圖」。
Identity Manager 物件Identity Manager 物件的明確描述以及物件如何互動對於成功的管理與系統部署非常重要。這些情況說明如下:
使用者帳號
Identity Manager 使用者帳號:
使用者帳號設定程序為動態的。根據您在帳號設定期間所進行的角色選擇,您可以提供較多或較少資源特定的資訊來建立帳號。與指定角色相關的資源的數目與類型決定了在帳號建立時需要資訊的多寡。
您授予使用者管理使用者帳號、資源與其他 Identity Manager 系統物件和工作的管理特權。Identity Manager 管理員負責管理組織,並指定應用於每個受管理組織中物件的權能範圍。
角色
所謂角色是指代表 Identity Manager 使用者類型的 Identity Manager 物件,它允許將資源分組並指定給使用者。一般而言,角色代表使用者職務類別。例如在金融機構中,角色可能相當於銀行行員、貸款員、分支經理、記帳員、會計人員或行政主任等職務類別。
角色定義使用者的基本資源組以及資源屬性。也可以定義與其他角色之間的關係;例如包含或排除其他角色的角色。
擁有相同角色的使用者會存取共同的基礎資源群組。您可以將一個或多個角色指定給每位使用者,或是不指定角色。
圖 2. 使用者帳號,角色,資源關係
如上圖所示,使用者 1 和使用者 2 藉由被指定為角色 2 而共同存取相同資源。而使用者 1 還可藉由被指定為角色 1 而存取額外資源。
資源與資源群組
Identity Manager 資源會儲存如何與建立帳號的資源或系統連線的相關資訊。Identity Manager 提供存取的資源包括:
每個 Identity Manager 資源所儲存的資訊會分類成數個主要群組:
Identity Manager 使用者帳號透過以下途徑獲取資源存取:
圖 3. 指定資源
可以用與指定資源相同的方式將相關的 Identity Manager 物件 (資源群組) 指定給使用者帳號。資源群組可關聯個項資源,以便您可以特定的順序在資源上建立帳號。
組織
組織是用來啟用管理委託的 Identity Manager 容器。它們會定義 Identity Manager 管理員所控制或管理的實體範圍。
組織也可表示與以目錄為基礎的資源的直接連結;這些組織稱為虛擬組織。透過虛擬組織可直接管理資源資料,而無需將資訊載入 Identity Manager 儲存庫。藉由透過虛擬組織鏡像現有目錄結構與成員資格,Identity Manager 可消除重複且耗時的設定步驟。
包含其他組織的組織為父系組織。您可以建立平面結構的組織,或將組織排列成階層式結構。階層可以表示您用以管理使用者帳號的部門、地理區域或其他邏輯部門。
權能
可給每位使用者指定權能或權限群組,使其能夠透過 Identity Manager 執行管理動作。權能可允許管理使用者執行系統中的特定工作,並操作 Identity Manager 物件。
一般而言,您會根據特定的工作責任來指定權能,例如密碼重設或帳號核准。透過將權能與權限指定給個別的使用者,您可建立一個階層式的管理結構,從而提供目標存取權與特權而不會危及資料保護的安全。
Identity Manager 提供一組預設權能,可用於常規的管理功能。也可以建立與指定符合您特定需求的權能。
管理員角色
透過管理員角色,您可以為由管理使用者管理的每個組織集定義一組唯一的權能。會給管理員角色指定各種權能和受控組織,隨後可將該管理員角色指定給管理使用者。
權能與受控組織可以直接指定給管理員角色,也可以在管理使用者每次登入 Identity Manager 時間接 (動態) 地指定。動態指定由 Identity Manager 規則控制。
Object Relationships
下表為 Identity Manager 物件及其相互關係的簡要介紹。
表 1. Identity Manager 物件關係
Identity Manager 專用術語Identity Manager 介面與指南定義這些專用術語如下:
管理員角色
指定給管理使用者的每組組織的獨特權能群組。
管理員
設定 Identity Manager 或負責營運作業 (如建立使用者和管理資源的存取權) 的人員。
管理員介面
Identity Manager 的主要管理檢視。
核准人
具有管理權能的使用者,負責核准或拒絕存取請求。
業務程序編輯器 (BPE)
Identity Manager 表單、規則和工作流程的圖形檢視。
權能
使用者帳號的存取權群組,可監控 Identity Manager 所執行的動作;Identity Manager 內部的低層級存取權控制。
表單
網頁所關聯的物件,包含瀏覽器如何在該網頁上顯示使用者檢視屬性的規則。表單可包含業務邏輯,且通常可用來操作檢視資料,再將該資料呈現給使用者。
身份範本
定義使用者的資源帳號名稱。
組織
用來啟用管理委託的 Identity Manager 容器。組織可定義管理員控制或管理的實體範圍 (如使用者帳號、資源和管理員帳號)。組織提供了「適用環境」上下文,主要用於 Identity Manager 的管理作業。
策略
Identity Manager 帳號的建立限制。Identity Manager 策略可建立使用者、密碼和驗證選項,並繫結到組織或使用者。資源密碼和帳號 ID 策略設定規則、允許的文字和屬性值,並繫結到個別資源。
資源
在 Identity Manager 中,儲存如何與建立帳號的資源或系統連線的相關資訊。Identity Manager 提供的存取資源包括主機安全管理程式、資料庫、目錄服務、應用程式、作業系統、ERP 系統和訊息平台。
資源配接卡
提供 Identity Manager 引擎與資源之間的連結的 Identity Manager 元件。此元件可讓 Identity Manager 管理指定資源上的使用者帳號 (包括建立、更新、刪除、驗證及掃描功能),以及利用該資源來通過驗證。
資源配接卡帳號
Identity Manager 資源配接卡用來存取受控資源的憑證。
資源群組
為資源集合,可發出建立、刪除及更新使用者資源帳號的命令。
資源精靈
用來指示資源建立和修改程序步驟的 Identity Manager 工具,包括安裝及配置資源參數、帳號屬性、身份範本和 Identity Manager 參數。
角色
Identity Manager 中某類使用者之範本或設定檔。每個使用者可指定給一或多個角色,這些角色定義帳號資源存取權和預設的資源屬性。
規則
Identity Manager 儲存庫中的物件,包含以 XPRESS、XML 物件或 JavaScript 語言所撰寫的函數。規則提供了一個機制,可用來儲存常用的邏輯或靜態變數,以便在表單、工作流程和角色中重複使用。
模式
資源的使用者帳號屬性之清單。
模式對映
資源帳號屬性到資源的 Identity Manager 帳號屬性的對映。Identity Manager 帳號屬性可建立到多個資源的共用連結,並由表單參照。
使用者
擁有 Identity Manager 系統帳號的人員。使用者可擁有 Identity Manager 中的某些權能;擁有擴充權能的人即為 Identity Manager 管理員。
使用者帳號
使用 Identity Manager 建立的帳號。參考 Identity Manager 帳號或 Identity Manager 資源上的帳號。使用者帳號設定程序是動態的;需要完成哪些資訊或欄位,則取決於系統透過指定角色,將資源提供給使用者的方式 (直接或間接)。
使用者介面
Identity Manager 系統的有限檢視。針對不含管理權能的使用者所特別設計的介面,可讓該使用者執行某個範圍的自助工作,如變更密碼及設定身份驗證問題的答案。
工作流程
一個邏輯上的且可重複的進程,在此進程中,文件、資訊或工作在參與者之間傳送。Identity Manager 工作流程是由多個進程組成,這些程序可以控制使用者帳號的建立、更新、啟用、停用與刪除。
