|
| |
| Sun Java™ System Identity Manager 7.0 管理指南 | |
第 5 章
管理本章介绍在 Identity Manager 系统中执行一系列管理级任务的信息和过程,例如创建和管理 Identity Manager 管理员和组织,还介绍在 Identity Manager 中如何使用角色、权能和管理角色。
按以下主题对信息进行分组:
了解 Identity Manager 管理Identity Manager 管理员是具有扩展 Identity Manager 权限的用户。您可以建立 Identity Manager 管理员来管理:
Identity Manager 以直接或间接分配下列项目的方式区分管理员和用户:
委托管理
在多数公司内,执行管理任务的雇员具有特定职责和其他多种职责。在很多情况下,管理员需要执行对其他用户或管理员透明或者有限定范围的帐户管理任务。
例如,管理员可能只负责创建 Identity Manager 用户帐户。由于该职责的范围有限,管理员可能不需要有关用于创建用户帐户的资源或者系统中存在的角色或组织的特定信息。
Identity Manager 仅允许管理员查看和管理特定的、定义范围内的那些对象,以此来支持职责的划分和此委托管理模型。
Identity Manager 通过下列措施实现将单独系统活动委托给管理员的功能:
设置新用户帐户或编辑用户帐户时,您可以在 "Create User" 页中为用户指定委托。
您也可以从 "Work Items" 选项卡委托工作项目,例如批准请求。有关详细信息,请参见委托工作项目。
创建管理员可通过扩展 Identity Manager 用户的权能创建 Identity Manager 管理员。创建或编辑用户时,可以通过下列方法为该用户提供管理控制:
要授予用户管理权限,请在菜单栏中选择 Accounts 以转至 Identity Manager "Accounts" 区域。对于新用户,请在 "Create User" 页中选择 Security 选项卡以分配管理员属性。
要将管理员属性分配给现有用户,请在 "Accounts" 列表中选择用户,然后通过从 "User Actions" 列表中选择 "Edit User Capabilities" 以编辑用户的权能。下图对打开的 "Security" 表单进行了说明:
图 5-1 "User Account Security" 页:指定管理员权限
选择一个或多个选项,以建立管理控制:
- Controlled Organizations — 选择一个或多个组织。该管理员可以控制选定组织中的对象以及在分层结构中处于该组织之下的任何组织中的对象。管理员控制的范围由分配给他的权能进一步定义。必须在此区域进行选择。
- Capabilities — 在此管理员控制的组织内选择其将拥有的一项或多项权能。有关 Identity Manager 权能的详细信息和描述,请阅读第 4 章“配置”。
- User Form — 选择此管理员在创建和编辑 Identity Manager 用户时将使用的用户表单(如果分配了该权能)。如果不直接分配用户表单,管理员将继承已分配给其所属组织的用户表单。此处选定的表单会取代在该管理员组织内选定的任何表单。
- Forward Approval Requests To — 选择一个用户,以将所有当前暂挂批准请求转发至该用户。还可以从 "Approvals" 页进行此管理员设置。
- Delegate Work Items To — 使用此选项指定用户帐户的委托(如果可用)。您可以指定 IDMManager、一个或多个选定的用户,或使用委托批准者规则。
过滤管理员视图
将用户表单分配给组织和管理员,即可建立用户信息的特定管理员视图。在两个级别设置对用户信息的访问:
第 4 章“配置”介绍您可以分配的内置 Identity Manager 权能。
更改管理员密码
管理员密码可以由分配了管理密码更改权能的管理员进行更改,或由管理员拥有者更改。
管理员可以在下列位置更改其他管理员密码:
管理员可从 "Passwords" 区域更改自己的密码。选择 Passwords,然后选择 Change My Password 以访问自助服务密码字段。
验明管理员操作
您可以设定一个选项,以要求管理员在处理特定帐户变更前输入其 Identity Manager 登录密码。如果密码无效,则该帐户操作不能继续。
支持此选项的 Identity Manager 页为:
请按以下各部分中所述设置这些选项:
编辑用户验明选项
按如下所示在 account/modify.jsp 页中设置此选项:
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");
其中,该选项的值是包含以下一个或多个用户视图属性名称的列表(以逗号分隔):
"Change User Password and Reset User Password Challenge" 选项
按如下所示在 admin/changeUserPassword.jsp 和 admin/resetUserPassword 页中设置此选项:
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");
其中,选项值可以是 true 或 false。
更改验证问题回答
使用 "Passwords" 区域更改已经为帐户验证问题设置的回答。在菜单栏中,选择 Passwords,然后选择 Change My Answers。
有关验证的详细信息,请参见用户验证。
自定义管理员界面中的管理员名称显示
可以在某些 Identity Manager 管理员界面页和区域(例如以下区域)中按属性(例如电子邮件或全称)而不是按 accountId 来显示 Identity Manager 管理员:
要配置 Identity Manager 以使用显示名称,可将以下内容添加到 UserUIConfig 对象:
<AdminDisplayAttribute>
<String>attribute_name</String>
</AdminDisplayAttribute>例如,要使用电子邮件属性作为显示名称,可将以下属性名称添加到 UserUIconfig:
<AdminDisplayAttribute>
<String>email</String>
</AdminDisplayAttribute>
了解 Identity Manager 组织组织允许您:
通过创建组织并将用户分配到组织分层结构中的不同位置,可以设置委托管理的阶段。包含一个或多个其他组织的组织称为父组织。
所有 Identity Manager 用户(包括管理员)被静态分配给一个组织。用户还可以被动态地分配给其他组织。
Identity Manager 管理员被额外分配给控制组织。
创建组织在 Identity Manager "Accounts" 区域创建组织。要创建组织,请执行以下步骤:
- 在菜单栏中选择 Accounts。
- 在 "Accounts" 页上的 "New Actions" 列表中选择 New Organization。
图 5-2 说明了 "Create Organization" 屏幕。
图 5-2 "Create Organization" 屏幕
将用户分配给组织
每个用户都是一个组织的静态成员,并且可以是多个组织的动态成员。组织成员资格由以下内容确定:
从 "Create Organization" 页的 "User Members Rule" 字段中选择用户成员规则。图 5-3 显示了用户成员规则的示例。
图 5-3 创建组织:用户成员规则选择
以下示例显示如何设置可以动态控制组织用户成员资格的用户成员规则。
关键定义和包含项
- 对于出现在 "User Member Rule" 选项框中的规则,必须将其 authType 设置为 authType='UserMembersRule'。
- 该环境是目前已验证的 Identity Manager 用户的会话。
- 已定义的变量 (defvar) Team players 为属于 Windows Active Directory 组织单位 (Organization Unit, ou) Pro Ball Team 成员的每位用户获取标识名 (Distinguished Name, dn)。
- 对于找到的每位用户,附加逻辑会将 Pro Ball Team ou 中每位成员用户的 dn 与前缀为冒号的 Identity Manager 资源的名称(例如 :smith-AD)连接在一起。
- 返回的结果将是按照格式 dn:smith-AD 连接了 Identity Manager 资源名称的 dn 的列表。
以下为用户成员规则示例的语法示例。
分配组织控制
从 "Create User" 或 "Edit User" 页分配一个或多个组织的管理控制。选择 Security 表单选项卡以显示 "Controlled Organizations" 字段。
您还可以从 "Admin Roles" 字段分配一个或多个管理员角色,从而分配组织的管理控制。
了解目录连接和虚拟组织目录连接是与分层相关的一组组织,它镜像目录资源的实际层级容器集合。目录资源通过使用分层容器来使用分层名称空间。目录资源示例包括 LDAP 服务器和 Windows Active Directory 资源。
目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织,并且还镜像目录资源容器中的一个容器(已定义资源的基本环境容器的子容器)。图 5-4 说明了此结构。
图 5-4 Identity Manager 虚拟组织
目录连接可以在任一点被连接到现有 Identity Manager 组织结构中。但是,目录连接不能连接到现有目录连接之内或之下。
如果已将目录连接添加到 Identity Manager 组织树中,就可以在该目录连接的环境中创建或删除虚拟组织。此外,您可以随时刷新由目录连接组成的虚拟组织集,以确保虚拟组织集与目录资源容器保持同步。不能在目录连接内创建非虚拟组织。
可以采用与 Identity Manager 组织一样的方法,使 Identity Manager 对象(例如用户、资源和角色)成为虚拟组织的成员,并且可用于虚拟组织。
设置目录连接
从 Identity Manager "Accounts" 区域设置目录连接:
刷新虚拟组织
此过程从所选组织向下刷新虚拟组织并使之与相关目录资源重新同步。在列表中选择虚拟组织,然后在 "Organization Actions" 列表中选择 "Refresh Organization"。
删除虚拟组织
删除虚拟组织时,可以从两个删除选项中选择:
选择其中一个选项,然后单击 Delete。
了解和管理权能权能是 Identity Manager 系统中的权限组。权能代表管理作业职责(如重设密码或管理用户帐户)。每个 Identity Manager 管理用户都分配有一个或多个权能,这些权能提供了一组权限而不会损害数据保护。
并非所有 Identity Manager 用户都需要分配有权能;而只有那些要通过 Identity Manager 执行一项或多项管理操作的用户才需要。例如,使用户可以更改自己的密码并不需要为用户分配权能,但要更改其他用户的密码就需要分配权能。
分配的权能决定了您可以访问 Identity Manager 的管理员界面的哪些区域。所有 Identity Manager 管理用户都可以访问 Identity Manager 的一定区域,包括:
权能类别
Identity Manager 将权能定义为:
内置权能(随 Identity Manager 系统提供的权能)是受保护的权能,即,不能对它们进行编辑。但是,可以在创建的权能中使用它们。
受保护的(内置)权能在列表中以红色钥匙(或红色钥匙和文件夹)图标指示。创建和可编辑的权能在权能列表中以绿色钥匙(或绿色钥匙和文件夹)图标指示。
使用权能
创建权能
要创建权能,请单击 New。命名新的权能,然后选择与该权能相关的权能、分配者和组织。必须至少选择一个要向其分配权能的组织。
编辑权能
要编辑未受保护的权能,请在列表中右键单击该权能,然后选择 Edit。
不能编辑内置权能;但是,可以用其他名称保存,以创建您自己的权能或在您创建的权能中使用它们。
保存和重命名权能
要克隆权能(用其他名称保存权能以创建新的权能):
您可以对这个新权能进行编辑,即使复制的权能是受保护的。
分配权能
从 "Create User" 和 "Edit User" 页为用户分配权能。还可以通过分配管理员角色(通过界面中的 "Security" 区域设置),将权能分配给用户。有关详细信息,请参见了解和管理管理员角色。
权能分层结构
基于任务的权能包含在以下功能性权能分层结构中:
帐户管理员
管理员角色管理员
Auditor 管理员
Auditor 报告管理员
批量帐户管理员
批量更改帐户管理员
批量资源密码管理员
权能管理员
更改帐户管理员
配置证书
导入/导出管理员
许可证管理员
登录管理员
元视图管理员
组织管理员
密码管理员(需要进行验证)
策略管理员
协调管理员
Remedy 集成管理员
报告管理员
资源管理员
资源对象管理员
资源密码管理员
角色管理员
安全管理员
服务提供商管理员
服务提供商管理员角色管理员
用户帐户管理员
查看组织
查看资源
Waveset 管理员
权能定义
表 5-1 说明了每个基于任务的权能并着重说明每个权能可访问的选项卡和子选项卡。按名称的字母顺序列出权能。
所有权能都授予用户或管理员访问 Passwords > Change My Password 和 Change My Answers 选项卡的权限。
表 5-1 Identity Manager 权能描述
权能
管理员/用户可执行的操作:
访问这些选项卡和子选项卡:
访问查看详细信息报告管理员
创建、编辑、删除和执行访问查看详细信息报告
Reports > Run Reports 选项卡、View Reports 选项卡 - 仅 "Access Review Detail Report"
Reports > View Dashboards
访问查看摘要报告管理员
创建、编辑、删除和执行访问查看摘要报告
Reports - 仅 "Access Review Summary Report"
Reports > View Dashboards
帐户管理员
对用户执行所有操作,包括分配权能。不包括批量操作。
Accounts - List Accounts、Find Users、Extract to File、Load from File 和 Load from Resource 选项卡
Passwords - 所有子选项卡
Work Items - Approvals 子选项卡
Tasks - 所有子选项卡
管理员报告管理员
创建、编辑、删除和运行管理员报告。
Reports - Manage Reports 和 Run Reports 子选项卡(仅管理员报告)
管理员角色管理员
创建、编辑和删除管理员角色。
Security - Admin Roles 子选项卡
批准者管理员
批准或拒绝其他用户发出的请求。
仅 "Default"
分配审计策略
将审计策略分配给用户帐户和组织。
Accounts - "User Actions" 列表中的 Edit User Audit Policy。
Accounts - "Organization Actions" 列表中的 Edit Organization Audit Policy。
分配组织审计策略
仅将审计策略分配给组织。
Accounts - "Organization Actions" 列表中的 Edit Organization Audit Policy;List Accounts 选项卡
分配用户审计策略
仅将审计策略分配给用户。
Accounts - "User Actions" 列表中的 Edit User Audit Policy;List Accounts 选项卡;Find Users 选项卡
分配用户权能
更改用户权能分配(分配和取消分配)。
Accounts - List Accounts(仅 "Edit")和 Find Users 子选项卡。
必须与另一个用户管理员权能一起分配(例如,“创建用户”或“启用用户”)。
审计策略管理员
创建、修改和删除审计策略。
Compliance - Manage Policies
审计策略扫描报告管理员
创建、修改、删除和执行审计策略扫描报告。
Reports - 仅 "Audit Policy Scan Report"
审计报告管理员
创建、修改、删除和执行审计报告。
Reports - 仅 "Audit Report"
已审计的属性报告管理员
创建、修改、删除和执行已审计的属性报告。
Reports - 仅 "Audited Attribute Report"
审计日志报告管理员
创建、修改、删除和执行审计日志报告。
Reports - 仅 "AuditLog Report"
Auditor 访问扫描管理员
创建、编辑和删除周期性访问查看扫描
Compliance - Manage Access Scans
Auditor 管理员
设置、管理和监视审计策略、审计扫描和用户遵循性。
Compliance - 所有子选项卡
Reports - "Run Reports"、"View Reports" 和 "Manage Auditor Reports"
Accounts - "Edit User Audit Policies" 和 "Edit Organization Audit Policies" 操作。
Auditor 证明者
当启用了组织安全性后,需要证明其他用户的证明。
仅 "Default"
Auditor 周期性访问查看管理员
管理周期性访问查看 (Periodic Access Review, PAR)、管理访问扫描、管理证明和管理 PAR 报告。
Compliance - Manage Access Scans、Access Review 子选项卡
Auditor 修正者
修正、缓解和转发审计策略违规。
Remediations - 所有子选项卡
Auditor 报告管理员
创建、修改、删除和执行任何 Auditor 报告。
Reports - 对 Auditor 报告的所有操作
Auditor 查看用户
查看与用户关联的遵循性信息。
Accounts - List Accounts、Find Users 选项卡
审计策略违规历史管理员
创建、修改、删除和执行审计策略违规历史报告。
Reports - 仅 "AuditPolicy Violation History" 报告
批量帐户管理员
对用户执行常规和批量操作,包括分配权能。
Accounts - 所有子选项卡
Passwords - 所有子选项卡
Approvals - 所有子选项卡
Tasks - 所有子选项卡
批量更改帐户管理员
对现有用户执行除删除之外的常规和批量操作,包括分配权能。
Accounts - List Accounts、Find Users 和 Launch Bulk Actions 子选项卡。无法创建或删除用户。
Passwords - 所有子选项卡
Approvals - 所有子选项卡
Tasks - 所有子选项卡
批量更改用户帐户管理员
执行除删除现有用户之外的常规和批量操作。
Accounts - List Accounts、Find Users 和 Launch Bulk Actions 子选项卡。无法创建、删除用户或向用户分配权能。
Passwords - 所有子选项卡
Tasks - 所有子选项卡
批量创建用户
分配资源和启动用户创建请求(通过使用批量操作对单个用户执行操作)。
Accounts - List Accounts(仅 "Create")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量删除用户
删除 Identity Manager 用户帐户;取消置备、取消分配资源帐户和解除其链接(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Create")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量删除 IDM 用户
删除现有 Identity Manager 用户帐户(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Delete")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量取消置备用户
删除现有资源帐户并解除其链接(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Deprovision")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量禁用用户
禁用现有用户和资源帐户(通过使用批量操作对单个用户执行操作)。
Accounts - List Accounts(仅 "Disable")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量启用用户
启用现有用户和资源帐户(通过使用批量操作对单个用户执行操作)。
Accounts - List Accounts(仅 "Enable")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量取消分配用户
取消分配现有资源帐户并解除其链接(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Unassign")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量解除用户的链接
解除现有资源帐户的链接(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Unlink")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量更新用户
更新现有用户和资源帐户(针对各个用户并使用批量操作)。
Accounts - List Accounts(仅 "Update")、Find Users 和 Launch Bulk Actions 子选项卡
Tasks - 所有子选项卡
批量用户帐户管理员
对用户执行所有常规和批量操作。
Accounts - 所有子选项卡
Passwords - 所有子选项卡
Tasks - 所有子选项卡
权能管理员
创建、修改和删除权能。
Configure - Capabilities 子选项卡
更改帐户管理员
对现有用户执行除删除外的所有操作,包括分配权能。不包括批量操作
Accounts - 所有子选项卡。无法删除用户。
Passwords - 所有子选项卡
Approvals - 所有子选项卡
Tasks - 所有子选项卡
Reports - 创建管理员和用户报告,运行和编辑管理员报告,运行组织范围内的审计日志报告。无法运行组织范围以外的管理员和用户报告。
更改活动同步资源管理员
更改活动同步资源参数
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
Resources - 对于活动同步资源:"Edit" 操作菜单和 "Edit Active Sync Parameters"
更改密码管理员
更改用户和资源帐户密码。
Accounts - List Accounts 和 Find Users 子选项卡(仅 "Change Password")
Passwords - 所有子选项卡
Tasks - 所有子选项卡。仅 "Export Password Scan" 任务(从 Run Tasks 子选项卡)
更改密码管理员(需要进行验证)
成功确认用户的验证问题回答后更改用户和资源帐户密码。
Accounts - List Accounts 和 Find Users 子选项卡(仅 "Change Password";操作前需要进行验证)
Passwords - 所有子选项卡
Tasks - 所有子选项卡。仅 "Export Password Scan" 任务(从 Run Tasks 子选项卡)
更改资源密码管理员
更改资源管理员帐户密码。
Tasks - 所有子选项卡
Resources - List Resources 子选项卡。仅更改资源密码(在操作菜单的 Manage Connection-->Change Password 中)
更改用户帐户管理员
执行除删除现有用户之外的所有操作。不包括批量操作
Accounts - List Accounts 和 Find Users 子选项卡。无法创建、删除用户或向用户分配权能。
Passwords - 所有子选项卡
Tasks - 所有子选项卡
配置审计
配置系统中审计的事件和配置组。
Configure - Audit Events 子选项卡
配置证书
配置信任证书和 CRL。
Security - Certificates子选项卡
控制活动同步资源管理员
控制活动同步资源状态(如启动、停止和刷新)。
Tasks - Find Tasks、All Tasks 和 Run Tasks
Resources - 对于活动同步资源:活动同步操作菜单(所有选项)
创建用户
分配资源和启动用户创建请求。不包括批量操作
Accounts - List Accounts(仅 "Create")和 Find Users 子选项卡
Tasks - 所有子选项卡
删除用户
删除 Identity Manager 用户帐户;取消置备、取消分配资源帐户和解除其链接。不包括批量操作。
Accounts - List Accounts(仅 "Delete")和 Find Users 子选项卡
Tasks - 所有子选项卡
删除 IDM 用户
删除 Identity Manager 用户帐户。不包括批量操作。
Accounts - List Accounts(仅 "Delete")和 Find Users 子选项卡
Tasks - 所有子选项卡
取消置备用户
删除现有资源帐户并解除其链接。不包括批量操作。
Accounts - List Accounts(仅 "Deprovision")和 Find Users 子选项卡
Tasks - 所有子选项卡
禁用用户
禁用现有用户和资源帐户。不包括批量操作
Accounts - List Accounts(仅 "Disable")和 Find Users 子选项卡
Tasks - 所有子选项卡
启用用户
启用现有用户和资源帐户。不包括批量操作
Accounts - List Accounts(仅 "Enable")和 Find Users 子选项卡
Tasks - 所有子选项卡
导入用户
从定义的资源导入用户。
Accounts - Extract to File、Load from File 和 Load from Resource 子选项卡
导入/导出管理员
导入和导出所有类型的对象。
Configure - Import Exchange File 子选项卡
许可证管理员
设置 Identity System 产品许可证
通过此权能可以使用 lh license 命令。(但无法使用管理员界面。)
登录管理员
编缉给定登录界面的登录模块集。
Configure - Login 子选项卡
元视图管理员
修改身份属性配置
Meta View - Identity Attributes 选项卡
组织管理员
创建、编辑和删除组织。
Accounts - List Accounts 子选项卡(仅 "Edit Organizations"、"Create Organizations"、"Edit Directory Junctions"、"Create Directory Junctions" 和 "Delete Organizations")
组织批准者
批准新组织的请求。
Work Items - Approvals 子选项卡
组织违规历史管理员
创建、修改、删除和执行组织违规历史报告。
Reports - 仅 "Organization Violation History" 报告
密码管理员
更改和重设用户和资源帐户密码。
Accounts - List Accounts(仅列出、更改和重设密码)和 Find Users 子选项卡
Passwords - 所有子选项卡
Tasks - 所有子选项卡
密码管理员(需要进行验证)
成功确认用户的验证问题回答后更改和重设用户和资源帐户密码。
Accounts - List Accounts(仅列出、更改和重设密码;操作成功前需要进行验证)和 Find Users 子选项卡
Passwords - 所有子选项卡
Tasks - 所有子选项卡
策略管理员
创建、编辑和删除策略。
Configure - Policy 子选项卡
策略摘要报告管理员
创建、修改、删除和执行策略摘要报告。
Reports - 仅 "Policy Summary Report"
协调管理员
编辑协调策略和控制协调任务。
Server Tasks - 所有子选项卡(查看协调任务)。
Resources - List Resources 子选项卡
协调报告管理员
创建、编辑、删除和运行协调报告。
Reports - Run Reports(仅 "Account Index Report")和 Manage Reports 子选项卡
协调请求管理员
管理协调请求。
Tasks - 所有子选项卡
Resources - List Resources 子选项卡(仅列出和协调功能)
Remedy 集成管理员
修改 Remedy 集成配置。
Tasks - 所有子选项卡(查看任务,运行角色同步)
Configure - Remedy Integration 子选项卡
重命名用户
重命名现有用户和资源帐户。
Accounts - "List Accounts" 子选项卡(列出范围内的所有帐户,重命名用户)
报告管理员
配置审计设置和运行所有报告类型。
Tasks - 所有子选项卡(查看任务,运行角色同步)
Reports - 所有子选项卡
重设密码管理员
重设用户和资源帐户密码。
Accounts - List Accounts 和 Find Users 子选项卡(仅 "Reset Password")
Passwords - 所有子选项卡
Tasks - 所有子选项卡。仅 "Export Password Scan" 任务(从 Run Tasks 子选项卡)
重设密码管理员(需要进行验证)
成功确认用户的验证问题回答后重设用户和资源帐户密码。
Accounts - List Accounts 和 Find Users 子选项卡(仅 "Reset Password";操作成功前需要进行验证)
Passwords - 所有子选项卡
Tasks - 所有子选项卡。仅 "Export Password Scan" 任务(从 Run Tasks 子选项卡)
重设资源密码管理员
重设资源管理员帐户密码。
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
Resources - List Resources 子选项卡。仅重设资源密码(在操作菜单的 Manage Connection
--> Reset Password 中)资源管理员
创建、修改和删除资源。
Reports - 资源用户报告、资源组报告返回范围以外资源上的错误。
Resources - List Resources 子选项卡(编辑全局策略,编辑参数和资源组。无法管理连接或资源对象。)
资源组管理员
创建、编辑和删除资源组。
Resources - List Resource Groups 子选项卡
资源对象管理员
创建、修改和删除资源对象。
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡(查看涉及资源对象的任务)。
Resources - List Resources 子选项卡(仅列出和管理资源对象)
资源密码管理员
更改和重设资源代理帐户密码。
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
Resources - List Resources 子选项卡。仅更改资源密码(在操作菜单的 Manage Connection-->Change Password 中)
资源报告管理员
创建、编辑、删除和运行资源报告。
Reports - 所有子选项卡(仅资源报告)
资源违规历史管理员
创建、修改、删除和执行资源违规历史报告。
Reports - 仅 "Resource Violation History" 报告
风险分析管理员
创建、编辑、删除和运行风险分析。
Risk Analysis - 所有子选项卡
角色管理员
创建、修改和删除角色。
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡(同步角色)
Roles - 所有子选项卡
角色报告管理员
创建、编辑、删除和运行资源报告。
Reports - 仅 "Role Report"
运行访问查看详细信息报告
运行访问查看详细信息报告
Reports - 仅 "Access Review Detail Report"
运行访问查看摘要报告
运行访问查看摘要报告
Reports - 仅 "Access Review Summary Report"
运行管理员报告
运行管理员报告。
Reports - 仅 "Admin Report"
运行审计策略扫描管理员
运行和管理审计策略扫描报告
Reports - 仅 "Audit Policy Scan Report"
运行审计策略扫描报告
运行审计策略扫描报告。
Reports - 仅 "Audit Policy Scan Report"
运行审计报告
运行审计报告。
Reports - 仅 "AuditLog Report" 和 "Usage Report"
运行已审计的属性报告
执行已审计的属性报告。
Reports - 仅 "Audited Attribute Report"
Reports > View Dashboards
运行 Auditor 报告
运行任何 Auditor 报告。
Reports - 任何 Auditor 报告
Reports > View Dashboards
运行审计日志报告
执行 "AuditLog Report"。
Reports - 仅 "AuditLog Report"
运行审计策略违规历史
执行组织违规历史报告。
Reports - 仅 "Organization Violation History" 报告
Reports > View Dashboards
运行策略摘要报告
执行策略摘要报告。
Reports - 仅 "Policy Summary Report"
运行组织违规历史
执行组织违规历史报告。
Reports - 仅 "Organization Violation History" 报告
Reports > View Dashboards
运行协调报告
运行协调报告。
Reports - 仅 "AuditLog Report" 和 "Usage Report"
运行资源报告
运行资源报告。
Reports - 仅 "AuditLog Report" 和 "Usage Report"
运行资源违规历史
执行资源违规历史报告。
Reports - 仅 "Resource Violation History" 报告
运行风险分析
运行风险分析。
Reports - "Run Risk Analysis" 和 "View Risk Analysis" 子选项卡
运行角色报告
运行角色报告。
Reports - 仅 "Role Report"
运行任务报告
运行任务报告。
Reports - 仅 "Task Report"
运行用户访问报告
执行详细用户报告。
Reports - 仅 "User Access Report"
Reports > View Dashboards
运行用户报告
运行用户报告。
Reports - 仅 "User Report"
运行违规摘要报告
执行违规摘要报告。
Reports - 仅 "Violation Summary Report"
Reports > View Dashboards
安全管理员
创建具有权能的用户;管理加密密钥、登录配置和策略。
Accounts - List Accounts(删除、创建、更新、编辑、更改并编辑密码)和 Find Users 子选项卡(审计报告)
Passwords - 所有子选项卡
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
Reports - 所有子选项卡
Resources - List Resources(列出和控制资源对象)
Security - Policies 和 Login 子选项卡
任务划分报告管理员
创建、编辑、运行和删除任务划分报告。
Report - 仅 "Separation of Duties Report" 的所有操作
运行任务划分报告
运行任务划分报告
Report - 仅 "Separation of Duties Report"
Reports > View Dashboards
服务提供商管理员角色
管理服务提供商管理员角色以及相关的规则。
Security - Admin Roles 选项卡
服务提供商管理员
创建、编辑和管理服务提供商用户和事务;配置事务数据库和跟踪的事件。
Accounts - Manage Service Provider Users 子选项卡
Server Tasks > Service Provider Transactions 选项卡
Reports > View Dashboards 选项卡
Reports > Dashboard Configuration 选项卡
Service Provider - 所有子选项卡
服务提供商创建用户
为服务提供商(外联网)用户创建用户帐户。
Accounts - Manage Service Provider Users 子选项卡
服务提供商删除用户
删除服务提供商用户帐户。
Accounts - Manage Service Provider Users 子选项卡
服务提供商更新用户
更新服务提供商用户帐户。
Accounts - Manage Service Provider Users 子选项卡
服务提供商用户管理员
管理服务提供商(外联网)用户。
Accounts > Manage Service Provider Users - 所有子选项卡
服务提供商查看用户
查看服务提供商(外联网)用户帐户信息。
Accounts - Manage Service Provider Users 子选项卡
SPML 访问
允许访问 Identity Manager 中的服务置备标记语言 (Service Provisioning Markup Language, SPML) 功能。
Security - Capabilities 子选项卡
任务报告管理员
创建、编辑、删除和运行任务报告。
Reports - 仅 "Task Report"。
取消分配用户
取消分配现有资源帐户并解除其链接。不包括批量操作。
Accounts - List Accounts(仅 "Unassign")和 Find Users 子选项卡
Tasks - 所有子选项卡
解除用户的链接
解除现有资源帐户的链接。不包括批量操作。
Accounts - List Accounts(仅 "Unlink")和 Find Users 子选项卡
Tasks - 所有子选项卡
解除锁定用户
对于支持解除锁定的现有用户资源帐户,解除其锁定。不包括批量操作。
Accounts - List Accounts(仅 "Unlock")和 Find Users 子选项卡
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
更新用户
编辑现有用户和启动用户更新请求。
Accounts - 编辑和更新用户
Tasks - 管理现有任务(通过 All Tasks 子选项卡)
用户访问报告管理员
创建、运行、编辑和删除用户访问报告
Reports - 仅 "User Access Report"
Reports > View Dashboards
用户帐户管理员
对用户执行所有操作。
Accounts - List Accounts、Find Users、Extract to File、Load from File 和 Load from Resource 子选项卡。无法分配用户权能(List Accounts 子选项卡上的 Security 表单选项卡)。
Tasks - Find Tasks、All Tasks 和 Run Tasks 子选项卡
用户报告管理员
创建、编辑、删除和运行用户报告。
Reports - "Run user Report"。
查看用户
查看单个用户详细信息。
Accounts - 从列表中选择用户以查看单个用户帐户信息。不允许执行任何更改操作。
违规摘要报告管理员
创建、修改、删除和执行违规摘要报告。
Reports - 仅 "Violation Summary Report"
Reports > View Dashboards
Waveset 管理员
执行系统范围内的任务,如修改系统配置对象。
Server Tasks - 所有子选项卡。同步角色,编辑源适配器模板和调度报告
Reports - 所有子选项卡
Resources - 列出资源(仅列出,不允许进行更改操作)
Configure - Audit、Email Templates、Form and Process Mappings 和 Servers 子选项卡
了解和管理管理员角色通过管理员角色可将一组唯一的权能和控制范围或受管理的组织分配给一个或多个管理员。可将多个管理员角色分配给一个管理员。这可使管理员在一个控制范围内具有一组权能,而在另一个控制范围内具有另外一组权能。
例如,某个管理员角色可能会向已分配该管理员角色的管理员授予创建和编辑用户(这些用户为在该管理员角色中指定的受控组织的成员)的权限。而另一个分配给同一管理员的管理员角色可能仅授予在由该管理员角色指定的受控组织中更改用户密码的权限。
建议将管理员角色用于授予管理员权限,而不用于直接将权能和受控组织分配给用户。通过管理员角色可以重复使用权能和范围或控制对,并可简化大量用户的管理员权限的管理工作。
可以直接或间接(动态)将权能或组织(或两者)分配给管理员角色:
有关设置上述规则的关键信息,请参见以下内容。
可以直接或间接(动态)将管理员角色分配给管理员:
管理员角色规则
Identity Manager 提供了可用于为管理员角色创建规则的样例规则。这些规则位于 Identity Manager 安装目录的 sample/adminRoleRules.xml 中。表 5-2 提供了规则名称以及必须为规则指定的 authType。
表 5-2 管理员角色样例规则
规则名称
authType
受控组织规则
ControlledOrganizationsRule
权能规则
CapabilitiesRule
向用户分配管理员角色规则
UserIsAssignedAdminRoleRule
注
有关为服务提供商用户管理员角色提供的样例规则的信息,请参见“服务提供商管理”一章中的委托管理。
用户管理员角色
Identity Manager 中包括名为“用户管理员角色”的内置管理员角色。默认情况下,该管理员角色不具有任何分配的权能或受控组织分配。无法将其删除。在登录时,此管理员角色将被隐含分配给所有用户(最终用户和管理员),而不管用户登录到何种界面(例如用户界面、管理员界面、控制台或 IDE)。
注
有关为服务提供商用户创建管理员角色的信息,请参见“服务提供商管理”一章中的委托管理。
可以通过管理员界面编辑用户管理员角色(选择 Security,然后再选择 Admin Roles)。
因为通过这种管理员角色静态分配的所有权能或受控组织都将分配给所有用户,所以建议通过规则来分配权能和受控组织。这会使不同的用户能够拥有不同的权能或没有权能,分配范围将取决于用户身份、所属部门或是否为管理人员,可以在规则的上下文中查询这些信息。
用户管理员角色不会使工作流中使用的 authorized=true 标志过时,也不会取而代之。对于工作流(正在执行的工作流除外)所访问的对象,如果用户不拥有访问权限,这种标志将仍然适用。这本质上是使用户可以进入以超级用户身份运行模式。
但是,如果用户对工作流外的一个或多个对象拥有特定访问权限,并且可能对工作流内的一个或多个对象拥有这种权限,通过用户管理员角色进行的权能和受控组织动态分配将能够实现对这些对象进行动态细化授权。
创建和编辑管理员角色
要创建或编辑管理员角色,您必须分配有“管理员角色管理员”权能。要在管理员界面中访问管理员角色,请单击 Security,然后单击 Admin Roles 选项卡。"Admin Roles" 列表页允许您为 Identity Manager 用户和服务提供商用户创建、编辑和删除管理员角色。
要编辑现有管理员角色,请单击列表中的名称。单击 New 可创建管理员角色。Identity Manager 将显示“创建管理员角色”选项(在图 5-5 中进行了说明)。"Create Admin Role" 视图显示了四个选项卡,您可以使用这些选项卡指定常规属性、权能和新管理员角色的范围以及向用户的角色分配。
图 5-5 "Admin Role Create" 页:"General" 选项卡
"General" 选项卡
使用创建管理员角色或编辑管理员角色视图中的 "General" 选项卡可指定管理员角色的以下基本特性:
如果为 Identity Manager 用户(或对象)创建管理员角色,请选择 "Identity Objects"。如果创建管理员角色以向服务提供商用户授予访问权限,请选择 "Service Provider Users"。
注
有关创建管理员角色以向服务提供商用户授予访问权限的信息,请参见“服务提供商管理”一章中的委托管理。
Scope of Control
使用此选项卡(如图 5-6 所示)可指定此组织的成员可管理的组织,也可以指定用于确定由管理员角色的用户管理组织的规则,以及选择管理员角色的用户表单。
图 5-6 创建管理员角色:控制范围
- Controlled Organizations — 从 "Available Organizations" 列表中选择此管理员角色对其有管理权限的组织。
- Controlled Organizations Rule — 选择在用户登录时评估的规则,以确定由分配了此管理员角色的用户所控制的组织的个数(零个或多个)。选定的规则必须具有 ControlledOrganizationsRule authType。默认情况下,将选择 "No Controlled Organization Rule"。
- Controlled Organizations User Form — 选择分配了此管理员角色的用户在创建或编辑属于此管理员角色受控组织的用户时使用的用户表单。默认情况下,将选择 "No Controlled Organizations User Form"。
分配权能
分配给管理员角色的权能将确定已分配管理员角色的用户所具有的管理权限。例如,此管理员角色可能被限制为仅为管理员角色的受控组织创建用户。这种情况下,可以分配创建用户权能。
在 "Capabilities" 选项卡中,请选择以下选项:
将用户表单分配给管理员角色
您可为某个管理员角色的成员指定用户表单。使用创建管理员角色或编辑管理员角色视图中的 "Assign To Users" 选项卡可指定分配。
当在该管理员所控制的组织中创建或编辑用户时,被分配管理员角色的管理员将会使用此用户表单。通过管理员角色分配的用户表单将覆盖从该管理员所在组织继承的任何用户表单。不会覆盖直接分配给该管理员的用户表单。
将按以下优先级顺序来决定编辑用户时要使用的用户表单:
如果为该管理员分配了多个管理员角色,这些角色控制相同的组织,但指定不同的用户表单,则在管理员尝试创建或编辑这些组织中的用户时会显示错误消息。如果管理员尝试分配两个或多个管理员角色,这些角色控制相同的组织,但指定不同的用户表单,则会显示错误消息。如果未解决此冲突,则不能保存变更。
管理工作项目某些在 Identity Manager 中由任务生成的工作流进程可以创建操作项目或工作项目。这些工作项目可能是分配给 Identity Manager 帐户的批准请求或某些其他操作请求。
Identity Manager 将对界面 "Work Items" 区域中的所有工作项目进行分组,使您可以查看一个位置的所有暂挂请求并对其做出响应。
工作项目类型
工作项目可能属于以下类型之一:
要查看每种工作项目类型的暂挂工作项目,请在菜单栏中单击 Work Items 选项卡。可以访问工作项目以从此选项卡中管理请求,也可以选择一种工作项目类型以列出此类型的请求。
使用工作项目请求
要对工作项目请求做出响应,请在界面的 "Work Items" 区域中单击工作项目类型之一。从请求列表中选择项目,然后单击用于指示您要执行操作的按钮之一。这些工作项目选项因工作项目类型而异。
有关对请求做出响应的详细信息,请参见以下主题:
查看工作项目历史
使用 "Work Items" 区域中的 "History" 选项卡可以查看先前工作项目操作的结果。图 5-7 显示了工作项目历史的视图示例。
图 5-7 工作项目历史视图
委托工作项目
工作项目拥有者可以通过将工作项目委托给其他用户一段指定的时间来管理工作负荷。以下项目可用于委托工作项目:
要停止委托工作项目,请在 "Delegate Work Items" 页上选择 None。
帐户批准将用户添加到 Identity Manager 系统后,作为批准者分配给新帐户的管理员必须对帐户创建进行验证。Identity Manager 支持适用于这些 Identity Manager 对象的三类批准:
- 组织 — 需要批准要添加到组织的用户帐户。
- 角色 — 需要批准要分配给角色的用户帐户。
- 资源 — 需要批准要授权访问资源的用户帐户。
注
您可以配置 Identity Manager 以获得数字签名的批准。有关说明,请参见配置数字签名的批准。
设置批准者
为上述每一类批准设置批准者都是可选的,但建议进行此类设置。对于在其中设置批准者的每个类别,帐户创建至少都需要一个批准。如果一个批准者拒绝批准请求,则不会创建帐户。
可以将多个批准者分配给各个类别。因为一个类别内只需要一个批准,所以可设置多个批准者,以帮助确保不会延迟或停止工作流。如果一个批准者不可用,则其他批准者可用于处理请求。批准仅适用于帐户创建。默认情况下,帐户更新和删除不需要批准;但是,可以自定义此过程以要求批准。
Identity Manager 以工作流程图的方式说明了帐户创建请求的批准过程和状态。可以通过使用 Identity Manager IDE 自定义工作流,以更改批准流程、捕获帐户删除并捕获更新。
有关 IDE、工作流和更改批准工作流的说明示例的详细信息,请参见 Identity Manager 工作流、表单和视图。
图 5-8 说明了帐户创建工作流和批准适合工作流进程的位置。
图 5-8 帐户创建工作流
Identity Manager 批准者可以批准或拒绝批准请求。要使用数字签名批准帐户,必须先按配置数字签名的批准中所述设置数字签名。
可以在 Identity Manager 界面的 "Work Items" 区域中查看暂挂批准和管理批准。在 "Work Items" 页中,单击 My Work Items 以查看暂挂批准。单击 Approvals 选项卡以管理批准。
对批准签名
可以按以下步骤对批准签名。
- 在 Identity Manager 管理员界面中,选择 Work Items。
- 单击 Approvals 选项卡。
- 从列表中选择一个或多个批准。
- 输入批准的注释,然后单击 Approve。
Identity Manager 提示是否要信任 applet。
- 单击 Always。
Identity Manager 将显示带日期的批准摘要。
- 输入或单击 Browse 以找到密钥库位置(在配置签名的批准期间设置此位置,如为获得签名批准的客户端配置过程中的步骤 10m 所述)。
- 输入密钥库密码(在配置签名的批准期间设置此密码,如为获得签名批准的客户端配置过程中的步骤 10l 所述)。
- 单击 Sign 批准请求。
对后续批准签名
对某个批准签名之后,只需输入密钥库密码,然后单击 Sign,即可执行后续批准操作。(Identity Manager 将通过先前的批准记忆密钥库的位置。)
配置数字签名的批准
可以使用以下信息和过程来设置数字签名的批准。本节讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准所需的服务器端和客户端配置。
为获得签名批准的服务器端配置
要启用服务器端配置,请执行以下步骤:
- 在系统配置中,设置 security.nonrepudiation.signedApprovals=true
- 将证书颁发机构 (certificate authority, CA) 的证书添加为信任证书。为此,必须首先获得证书的副本。
例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:
- 将证书作为信任证书添加到 Identity Manager 中:
- 添加 CA 的证书撤销列表 (Certificate Revocation List, CRL):
- 单击 Test Connection 验证 URL。
- 单击 Save。
- 可以使用 jarsigner 对 applets/ts1.jar 签名。
注
有关详细信息,请参阅 http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html。Identity Manager 附带的 ts1.jar 文件使用自签名证书来签名,不应将其用于生产系统。在生产中,应使用由信任 CA 颁发的代码签名证书重新对此文件签名。
为获得签名批准的客户端配置
要启用客户端配置,请执行以下步骤:
必备条件
客户机系统必须运行安装了 JRE 1.4 或更高版本的 Web 浏览器。
过程
先获取证书和专用密钥,然后将其导出到 PKCS#12 密钥库中。
例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:
查看事务签名
按以下步骤查看 Identity Manager 审计日志报告中的事务签名。
委托批准
如果您拥有批准者权能,则可以将未来的批准请求委托给一个或多个用户(受托者)一段指定的时间。用户无需批准者权能即可成为受托者。
委托功能仅适用于未来的批准请求。现有请求(已在 "Awaiting Approval" 选项卡下列出)通过转发功能转发。
要设置委托,请在 Approvals 区域中选择 Delegate My Approvals 选项卡。
如果为您分配了以下权能:可委托 WorkItem 或 WorkItem 的任何 authType 扩展(包括 Approval、OrganizationApproval、ResourceApproval 和 RoleApproval),或者可扩展 WorkItem 或其 authType 之一的任何自定义子类型时,您才可以访问委托功能。
还可以从 "Create User"/"Edit User"/"View User" 页的 "Security" 表单选项卡和用户界面主菜单中委托批准。
受托者可以代表您在有效的委托期内批准任何请求。委托的批准请求包括受托者的姓名。
请求的审计日志条目
如果已委托请求,则已批准和已拒绝的批准请求的审计日志条目将包括您(委托者)的姓名。当创建或修改用户时,对用户委托的批准者信息的更改将记录在审计日志条目的详细更改区域中。
基于任务。这些是处于最简单的任务级别的权能。
功能性。功能性权能包含一项或多项其他功能性或基于任务的权能。
