第 11 章身份审计

本章介绍了 Identity Manager 中的功能，这些功能使您可以设置审计控制以监视和管理企业信息系统和应用程序中的审计和遵循性。

所述功能重点介绍了如何执行审计查看和实现实践，以帮助您维护安全性控制并管理对联邦委托法规的遵循性。

身份审计的目标

自动检测遵循性违规，便于通过即时通知进行快速修正

请求时提供有关内部审计控制有效性的关键信息

身份证书查看的自动化控制可降低操作风险

准备详述用户活动和符合调整要求的综合报告

简化周期性查看的过程以维护安全性和对法规的遵循性

标识用户帐户的潜在利益冲突权能

了解身份审计

Identity Manager 提供两种不同的功能，用于审计用户帐户权限和访问权限以及维护和证明遵循性。这些功能是基于策略的遵循性和周期性访问查看。

基于策略的遵循性

Identity Manager 通过使用审计策略系统使管理员可以维护公司建立的所有用户帐户要求的遵循性。

审计策略可用于通过两种不同却互补的方法来确保遵循性：连续遵循性和周期性遵循性。

在置备操作可能在 Identity Manager 外部执行的环境中，这两种技术更具互补性。无论何时，只要不执行或遵循现有审计策略的进程可更改帐户，就需要周期性遵循性。

连续遵循性

连续遵循性表示策略将应用于所有置备操作，因此无法使用与当前策略不兼容的方法修改帐户。

通过将审计策略分配给组织和/或用户即可启用连续遵循性。对用户执行的任何置备操作均会调用用户分配的策略和组织分配的策略。

组织分配的策略是以分层结构方式获取的单值策略。换句话说，任何用户都仅有一个有效的组织策略，该策略就是分配给最低级别组织的策略。例如：

周期性遵循性

周期性遵循性表示 Identity Manager 根据需要评估策略，任何不兼容的条件均被捕获为遵循性违规。

执行周期性遵循性扫描时，您可以选择要在扫描中使用的策略。扫描过程混合了直接分配的策略（用户分配的策略和组织分配的策略）和任意一组选定的策略。

组织	直接分配的策略	有效的策略
Austin	策略 A	策略 A
销售		策略 A
开发	策略 B	策略 B
支持		策略 B
测试	策略 C	策略 C
财务		策略 A
Houston		<无>


注	在前面的示例中，直接分配的策略可以是策略列表。

具有 Auditor 管理员权能的 Identity Manager 管理员可以创建审计策略，并通过周期性查看监视对这些审计策略的遵循性和策略违规。可以通过修正和缓解过程管理违规。有关 Auditor 管理员权能的详细信息，请参见了解和管理权能。

Identity Manager 审计允许常规的用户扫描，并执行审计策略以检测是否与已建立的帐户限制有偏差。一旦检测到违规，便会启动修正活动。这些规则可以是 Identity Manager 提供的标准审计策略规则，也可以是自定义的用户定义的规则。

基于策略的遵循性的逻辑任务流

周期性访问查看


注	您必须先为遵循性管理启用和配置审计，然后才能执行审计查看和管理遵循性。有关信息，请参见启用审计。

Identity Manager 提供了周期性访问查看功能，使管理员与其他责任方可以临时或定期查看并验证用户访问权限。有关该功能的更多信息，请参见周期性访问查看和证明一节。

启用审计

必须先启用 Identity Manager 审计日志记录系统并将其配置为收集审计事件，您才能开始管理遵循性和访问查看。默认情况下将启用审计系统。具有配置审计权能的 Identity Manager 管理员可以配置审计。

Identity Manager 可提供遵循性管理审计配置组。要查看或修改遵循性管理组存储的事件，请从菜单栏中选择 Configure，然后单击 Audit。在 "Audit Configuration" 页上，选择 Compliance Management 审计组名称。

界面的 "Compliance" 区域

可在 Identity Manager 管理员界面的 "Compliance" 区域中创建和管理审计策略。在菜单栏中选择 Compliance 可访问 "Manage Policies" 页，该页列出了您有权查看和编辑的策略。您还可以在该区域中管理访问扫描。

管理策略

创建新的审计策略

选择要查看或编辑的策略

删除策略

您可以在使用审计策略一节中找到有关这些任务的更多详细信息

管理访问扫描

使用 "Compliance" 区域中的 "Manage Access Scans" 选项卡可定义、修改和运行访问查看扫描。您可以使用此区域定义要运行或调度为周期性访问查看的扫描。有关该功能的更多信息，请参见周期性访问查看和证明。

访问查看

"Compliance" 区域中的该选项卡使您可以访问帮助您监视访问查看进程的信息。它将显示一个包含信息链接（在基于 Web 的界面中可用）的扫描结果的摘要报告，这些链接使您可以访问有关查看状态和暂挂活动的更多详细信息。

关于审计策略

审计策略是针对一个或多个资源的一组用户的帐户限制的定义。它是由定义策略限制的规则和发生违规后用于处理违规的工作流组成的。审计扫描使用审计策略中定义的条件判断组织中是否发生了违规。

Policy rules，其中可包含以 XPRESS、XML Object 或 JavaScript 语言编写的定义特定违规的函数。

Remediation workflow，可在审计扫描识别出策略规则的违规时启动（可选）。

Remediators，或经授权可对策略违规进行响应的指定管理员。修正者可以是单个用户或用户组。

Organization assignments，定义策略适用的组织

User assignments，定义应用此策略的用户。

审计策略规则

在审计策略中，规则会根据属性定义可能的冲突。审计员规则中的变量只限于与用户相关的特定资源的属性。审计策略中可包含引用大范围资源的上百条规则。

参数可被传递给规则以控制其行为，并且，规则可引用和修改表单或修正工作流所维护的变量。

规则必须包含 SUBTYPE_AUDIT_POLICY_RULE 类型定义。由 "Audit Policy Wizard" 生成或从中引用的规则会自动分配此类型。

有关规则逻辑的讨论，请参见 Identity Manager 部署工具中的“使用规则”。

修正工作流

创建定义策略违规的规则后，选择将在审计扫描过程中检测到违规时启动的工作流。Identity Manager 提供默认的“标准修正”工作流，它为“审计策略”扫描提供默认的修正进程。在其他操作中，此默认修正工作流为给每个指定的级别 1 修正者（如有必要，还可以是后续级别的修正者）生成通知邮件。

修正者


注	与 Identity Manager 工作流进程不同，必须为修正工作流分配 AuthType=AuditorAdminTask and the SUBTYPE_REMEDIATION_WORKFLOW 类型。如果要导入用于审计扫描的工作流，则必须手动添加此属性。有关更多信息，请参见（可选）将工作流导入 Identity Manager 。

如果分配修正工作流，则必须至少指定一个修正者。可以最多指定三个级别的授权修正者。有关修正的其他信息，请参见本章中的“修正和缓解”。

审计策略方案示例

您负责处理应付账款和应收帐款，而且必须执行一些过程，以防止责任集中于会计部门雇员的潜在危险。此策略执行四个规则，以检查负责处理应付帐款的人员是否还负责处理应收帐款。

四个规则组成的集合，其中的每一个规则都指定构成策略违规的条件

启动修正任务的相关工作流

指定的管理员或修正者组，他们有权查看并响应上述规则中指定的策略违规

规则识别策略违规后（即，用户授权过多），相关工作流可启动与修正相关的特定任务，包括自动通知选择的修正者。

级别 1 修正者是审计扫描识别出策略违规时要联系的第一个修正者。如果为审计策略指定多个级别，则当超出该区域中标识的提升时间段时，Identity Manager 会通知下一级别中标识的修正者。

组织和修正工作流区域

此区域还列出与审计策略相关的修正工作流。“标准修正”工作流为每个级别 1 修正者生成工作项目和电子邮件通知。第一个修正者对违规工作项目操作，以使进程能够继续进行。如果在策略中指定的超时限制内没有修正者执行操作，则 Identity Manager 会将违规升级至策略中的下一修正级别（假设新的修正者集和超时）。

使用审计策略

Identity Manager 提供 "Audit Policy Wizard"，该向导可帮助您轻松设置审计策略。定义审计策略后，您可以对策略执行各种操作，例如修改或删除该策略。本节中的主题介绍了如何创建和管理审计策略和审计策略规则。

创建审计策略

"Audit Policy Wizard" 可指导您完成创建审计策略的过程。要访问"Audit Policy Wizard"，请在界面的 Compliance 区域中单击 Manage Policies，然后创建新的审计策略。

选择或创建用于定义策略限制的规则

分配批准者并建立提升限制

分配修正工作流

完成每个向导屏幕中显示的任务后，单击 Next 移至下一步骤。

准备工作

确定要在 "Audit Policy Wizard" 中创建策略所使用的规则。这些规则由您要创建的策略的类型和要定义的特定限制确定。

导入要包含在新策略中的任何修正工作流或规则。

请确保您具有创建审计策略所需的管理员权能。请参见了解和管理权能中的所需权能。

确定所需规则

您在策略中指定的限制会在您创建或导入的规则集中实现。使用 "Audit Policy Wizard" 创建规则时，您需要：

确定要使用的特定资源。

从资源的有效属性列表中选择帐户属性。

选择要对属性施加的条件。

输入用于比较的值。

（可选）将任务划分规则导入 Identity Manager 中

"Audit Policy Wizard" 无法创建任务划分规则。必须在 Identity Manager 的外部构建这些规则，并使用 "Configure" 选项卡上的 "Import Exchange File" 选项导入。

（可选）将工作流导入 Identity Manager

要使用 Identity Manager 当前未提供的修正工作流，请完成以下任务以导入外部工作流：

设置 authType='AuditorAdminTask' and add subtype='SUBTYPE_REMEDIATION_WORKFLOW'。您可以选择使用 Identity Manager IDE 或 XML编辑器设置这些配置对象。

使用 "Import Exchange File" 选项导入工作流。（可从 "Configure" 选项卡访问此功能）。

成功导入工作流后，它会显示在 "Audit Policy Wizard" 的 "Remediation Workflow" 选项列表中。

命名和描述审计策略

在 "Audit Policy Wizard" 屏幕（如图 11-1 所示）中输入新策略的名称及其简要描述。

如果选择不为规则命名，则 Identity Manager 会分配一个默认名称，其格式为：Policy_Name::Rule1。

如果您只希望在执行扫描时访问选定的资源，请启用 Restrict target resources 选项。

选择规则

使用此屏幕开始定义规则或将规则包含在策略中的过程。创建策略时您的大部分工作是定义和创建规则。


注	如果审计策略不限制资源，则在扫描期间将访问用户具有帐户的所有资源。如果这些规则仅使用某些资源，则将策略限制为这些资源会更有效。

如图 11-2 所示，您可以选择使用 Identity Manager 规则向导创建自己的规则，也可结合使用现有规则。默认情况下将选择 "Rule Wizard" 选项。有关创建规则的说明，请单击 Next 启动 "Rule Wizard" 并转至使用规则向导创建新规则。

选择现有规则

选择规则选项后，请单击 Existing Rule 将现有规则包含在新策略中。然后，单击 Next 查看并选择您有权访问的现有审计策略规则。

添加规则

您可创建其他规则，也可导入现有规则。规则向导仅允许在每项规则中使用一个资源。导入的规则可根据需要引用多个资源。


注	如果看不到先前已导入到 Identity Manager 中的规则的名称，请确认您已在规则中添加了审计策略规则中描述的附加属性。

根据需要，单击 AND 或 OR 继续添加规则。要删除规则，请选择规则然后单击 Remove。

仅在所有规则的布尔表达式均评估为 true 时，才发生策略违规。使用 AND/OR 运算符对规则分组后，即使所有的规则均未评估为 true，策略也可能评估为 true。Identity Manager 仅在规则评估为 true，且策略表达式也评估为 true 时，才创建违规。

选择修正工作流

使用此屏幕选择要与此策略关联的“修正”工作流。此处分配的工作流确定检测到审计策略违规时在 Identity Manager 中执行的操作。


注	有关导入您在 XML 编辑器或 Identity Manager 集成开发环境 (IDE) 中创建的工作流的信息，请参见（可选）将工作流导入 Identity Manager。

要指定将与此修正工作流关联的修正者，请单击 Specify Remediators?如果启用此复选框，随后单击 Next，则会显示 "Assign Remediators" 页。如果不启用此复选框，则向导会在下一步显示 "Audit Policy Wizard Assign Organizations" 屏幕。

为修正选择管理员和超时时间

如果选择指定修正者，则检测到此策略违规时，会通知分配了此审计策略的修正者。

您可以选择分配至少一个级别 1 修正者，或指定的管理员。检测到策略违规时，会先通过修正工作流启动的电子邮件与级别 1 修正者联系。如果在级别 1 修正者响应前已达到指定的提升超时时间段，则 Identity Manager 会接着联系此处指定的级别 2 修正者。Identity Manager 仅在升级时间段结束之前级别 1 和级别 2 修正者都没有响应时，才联系级别 3 修正者。

"Assigning Remediators" 是可选选项。如果选择此选项，则请单击 Next 以在指定设置后进入下一个屏幕。

选择可访问此策略的组织

使用该屏幕（如图 11-5 所示）可选择可以查看和编辑此策略的组织。

创建策略后，会在 "Compliance" 选项卡中的策略视图中列出该策略。

使用规则向导创建新规则

如果选择通过使用 "Audit Policy Wizard" 中的 "Rule Wizard" 选项创建规则，则请在以下部分中所述的屏幕中输入信息。

命名和描述新规则

（可选）使用此屏幕可输入描述性文本，每当 Identity Manager 显示规则时，这些描述性文本就会显示在该规则名称旁。请输入简洁易懂且能够描述规则的描述。此描述显示在 Identity Manager 的 "Review Policy Violations" 页中。

例如，如果要创建一个规则，用以确定 Oracle ERP responsibilityKey 属性值同时为 Payable User 和 Receivable User 的用户，则可在 "Description" 字段中输入以下文本：确定同时具有应付款用户和应收款用户职责的用户。

选择规则引用的资源

使用此屏幕选择规则要引用的资源。每个规则变量必须对应于此资源的一个属性。您有权查看的所有资源将显示在此选项列表中。在此例中，选择 Oracle ERP。

创建规则表达式


注	支持每个可用资源适配器的大多数（不是全部）属性。有关可用的特定属性的信息，请参见 Identity Manager 资源参考资料。

使用此屏幕输入新规则的规则表达式。此示例创建一个规则，在该规则中，用户的 Oracle ERP responsibilityKey 属性值不能同时为 Payable User 和 Receivable User 属性值。

从可用属性列表中选择用户属性。此属性将直接对应于规则变量。

从列表中选择逻辑条件。有效条件包括 =（等于）、!=（不等于）、<（小于）、<=（小于等于）、>（大于）、>=（大于等于）、is true、is null、is not null 和 contains。针对此示例的用途，您可以在可能的属性条件列表中选择 contains。

输入表达式的值。例如，如果输入 Payable user，则指定了 responsibilityKey 属性值为 Payable user 的 Oracle ERP 用户。

（可选）单击 AND 或 OR 运算符添加另一行并创建另一个表达式。

图 11-8 审计策略向导：选择规则表达式屏幕
使用选择规则表达式屏幕可指定新规则的规则语法。

此规则返回一个布尔值。如果两个语句都为真，则规则返回 TRUE 值，这样便导致策略违规。


注	.Identity Manager 不支持规则嵌套控制。如果指定了多个规则，则策略评估者将始终先执行 AND 操作，再执行 OR 操作。例如 R1 AND R2 AND R3 或 R4 AND R5 (R1 + R2 + R3) \| (R4 + R5)。

要从规则中删除表达式，请选中属性条件，然后单击 Remove。

单击 Next 继续使用 "Audit Policy Wizard"。然后就可以通过使用向导创建新规则或添加现有规则来添加附加规则。

编辑审计策略

添加或删除规则

调整有权访问此策略的组织的列表

更改与每个修正级别关联的提升超时时间

更改与此策略关联的修正工作流

编辑策略页

单击 "Audit Policy" 名称列中的策略名，以打开 "Edit Audit Policy" 页。"Edit Audit Policy" 页将打开。此页将审计策略信息划分为以下区域：

标识和规则区域

修正者和提升超时时间区域

工作流和组织区域

图 11-9 "Edit Audit Policy" 页：标识和规则区域
编辑策略页使您可以编辑策略名称与描述、添加规则和删除规则。

编辑策略名称和描述

添加或删除规则



注	不能使用此产品直接编辑现有规则。使用 Identity Manager IDE 或 XML 编辑器编辑规则，然后将其导入到 Identity Manager 中。然后即可删除上一版本，并添加新修订的版本。

编辑审计策略名称和描述

选择 "Policy Description" 字段和 "Rule Name" 字段中的文本并输入新文本，以编辑这两个字段。

从策略中删除规则

向策略中添加规则

单击 Add 追加一个新字段，可使用该字段选择要添加的规则。

更改策略使用的规则

修正者区域

为策略删除或分配修正者。

调整提升超时时间。

删除或分配修正者

通过选择名称以及使用

将每个修正者级别左侧列中的选项移到右侧列，来选择一个或多个修正级别的修正者。必须至少选择一个修正者。

调整提升超时时间

修正工作流和组织区域

图 11-11 显示了用于为审计策略指定修正工作流和组织的区域。

更改在发生策略违规时启动的修正工作流。

调整有权访问此策略的组织。

更改修正工作流

要更改分配给策略的工作流，可在选项列表中选择备用工作流。默认情况下，不向审计策略分配工作流。

分配或删除组织可视性

删除审计策略

从系统中删除审计策略时，同时会删除所有引用此策略的违规。


注	如果未向审计策略分配工作流，则将不会向任何修正者分配违规。

当您单击 "Manage Policies" 查看策略时，可从界面的 "Compliance" 区域删除策略。要删除审计策略，请在策略视图中选择策略名称，然后单击 Delete。

审计策略疑难解答

调试规则

<block trace='true'>
<and>
<contains>
<ref>accounts[AD].firstname</ref>
<s>Sam</s>
</contains>
<contains>
<ref>accounts[AD].lastname</ref>
<s>Smith</s>
</contains>
</and>
</block>

问题：我无法在 Identity Manager 界面中看到我的工作流。

请确认已在工作流中添加了 subtype='SUBTYPE_REMEDIATION_WORKFLOW' 属性。在 Identity Manager 界面中无法看到没有此子类型的工作流。

分配审计策略

要将审计策略分配给组织，用户必须至少具有分配组织审计策略权能。要将审计策略分配给用户，用户必须具有分配用户审计策略权能。具有分配审计策略权能的用户同时具有这两种权能。

要分配组织级别的策略，请在 "Accounts" 选项卡上选择 "Organization"，然后在 "Assigned audit policies" 列表中选择策略。

要分配用户级别策略，请单击 "Accounts" 选项卡中的 "User"。然后，在用户表单中选择 "Compliance" 选项卡，并在 "Assigned audit policies" 列表中选择策略。

审计策略扫描和报告

本节介绍了有关审计策略扫描的信息，以及运行和管理审计扫描的步骤。

扫描用户和组织

扫描是对单个用户或组织运行选定审计策略的方法。您可能要扫描用户或组织以查看是否发生了特定违规，或执行未分配给用户或组织的策略。您可以从界面的 Accounts 区域启动扫描。


	您还可以从 "Server Tasks" 选项卡启动审计策略扫描。

单击 Accounts 选项卡。

在 "Accounts" 列表中，执行以下任一操作：

选择一个或多个用户，然后从 "User Actions" 选项列表中选择 Scan。

选择一个或多个组织，然后从 "Organization Actions" 选项列表中选择 Scan。

在 "Report Title" 字段中为扫描指定标题。此字段为必填字段。您也可以在 "Report Summary" 字段中为扫描指定描述。

选择一个或多个要运行的审计策略。必须至少指定一个策略。

选择 Policy Mode。这决定了选定的策略与已分配策略的用户的交互方式。分配可直接来自用户或来自分配了用户的组织。

选中 Execute Remediation Workflow? 以运行在审计策略中分配的修正工作流。如果审计策略未定义修正工作流，将不运行任何修正。

选中 Email Report 以指定报告的收件人。您也可使 Identity Manager 附加一个包含 CSV（逗号分隔值）格式报告的文件。

如果要覆盖默认 PDF 选项，则启用 Override default PDF options 复选框。

单击 Launch 开始扫描。

要查看审计扫描的报告结果，请查看 "Auditor Reports"。

使用 Auditor 报告

Identity Manager 提供了许多 Auditor 报告。下表介绍了这些报告。

表 11-1 Auditor 报告描述
Auditor 报告类型	描述
访问查看详细报告	显示所有用户权利记录的当前状态。该报告可以按用户的组织、访问查看和访问查看实例、权利记录的状态和证明者进行过滤。
访问查看摘要报告	提供有关所有访问查看的摘要信息。它概述了列出的每个访问查看扫描的扫描的用户、扫描的策略以及证明活动的状态。
审计策略摘要报告	该报告概述了所有审计策略的关键元素，包括每个策略的规则、修正者和工作流。
已审计的属性报告	该报告显示所有指示指定的资源帐户属性变更的审计记录。该报告可搜索每个已存储的可审计属性的审计数据。它将基于任何扩展的属性搜索数据，而这些扩展的属性可从 WorkflowServices 或标记为可审计的资源属性指定。
审计策略违规历史	在指定时间段内创建的每个策略的所有遵循性违规的图形视图。可以按策略过滤该报告，并可以按天、周、月或季对其进行分组。
用户访问报告	显示特定用户的审计记录和用户属性。
组织违规历史	在特定时间段内创建的每个资源的所有遵循性违规的图形视图。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
资源违规历史	在指定时间范围内创建的每个资源的所有遵循性违规的图形视图。
任务划分报告	显示冲突表中安排的任务划分违规。使用基于 Web 的界面时，您可以通过单击链接来访问其他信息。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
Violation Summary Report	显示当前所有的遵循性违规。可以按修正者、资源、规则、用户或策略过滤该报告。

创建 Auditor 报告

要生成报告，首先必须创建报告。您可以为报告指定各种条件，包括指定接收报告结果的电子邮件收件人。创建并保存报告后，可在 "Run Reports" 页中查看该报告。

图 11-13 显示了具有已定义 Auditor 报告列表的 "Run Reports" 页示例。

从菜单栏中选择 Reports。

选择 Auditor Reports 作为报告类型，然后在报告的 New 列表中选择以下报告选项之一：

Access Review Detail Report

Access Review Summary Report

Audit Policy Summary Report

Audited Attribute Report

AuditPolicy Violation History

User Access Report

Organization Violation History

Resource Violation History

Separation of Duties Report

Violation Summary Report

将显示报告对话框。报告对话框的字段和布局因每个报告类型而异。有关指定报告条件的信息，请参阅联机帮助。

运行报告而不保存 — 单击 Run 开始运行报告。Identity Manager 将不保存报告（如果定义了新报告）或已更改的报告条件（如果已编辑了现有报告）。

保存报告 — 单击 Save 保存报告。保存报告后，您可从 "Run Reports" 页（报告列表）运行报告。

从 "Run Reports" 页运行报告后，您可以通过 "View Reports" 选项卡立即查看或稍后查看输出。

有关调度报告的信息，请参见调度报告。

修正和缓解

本节介绍如何使用 Identity Manager 修正来保护您的重要资产。以下主题详述了 Identity Manager 修正进程的元素：

关于修正

Identity Manager 在检测到未解决的（未缓解的）审计策略违规时，将创建一个修正请求，该请求必须由修正者（指定的管理员，允许评估并响应审计策略违规）进行处理。

Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作，则 Identity Manager 会将违规升级至级别 2 修正者，开始新的超时期间。如果级别 2 修正者在超时之前未响应，则该请求再次被升级至级别 3 修正者。

要执行修正，必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的，但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。

修正工作流进程

默认情况下，Identity Manager 会执行标准修正工作流，从而为审计策略扫描提供修正处理。

标准修正工作流生成一个包含有关遵循性违规信息的修正请求（查看类型的工作项目），并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时，工作流会更改现有遵循性对象的状态并向其分配一个到期日期。

可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true，则将为每个用户/策略/规则组合创建新的遵循性违规（如果该组合当前尚不具有违规）。如果该组合具有违规，并且违规处于已缓解状态，则工作流进程将不执行任何操作。如果未缓解现有违规，则其反复出现次数将增加一次。

修正响应

Remediated：修正者指示已经为修复有关资源的问题而进行了工作。


注	在进行下次审计扫描前，将不会删除违规。

Mitigate：修正者允许违规，并在一定的时间内对用户违规进行免除。


注	Identity Manager 检测到到期的免除时，它会将此已缓解的违规返回至暂挂违规。

Forward：修正者将解决违规的职责重新分配给另外一个人。

例如，假设你的企业建立了一个规则，规定用户无法同时负责“应付帐款”和“应收帐款”，并且，您收到了用户违反此规则的通知。

如果该用户是一个主管，并且在公司雇佣其他人负责其中的一个职位之前，他同时负责这两个职位，则可以缓解此违规，并签发一个最长六个月的免除期。

如果用户违反此规则，可请求 Oracle ERP 管理员更正此冲突，然后，在资源的相关问题解决修复后修正此违规。

修正电子邮件模板

Identity Manager 提供了一个 "Policy Violation Notice" 电子邮件模板（可通过选择 Configuration 选项卡，然后再选择 Email Templates 子选项卡获得）。可对此模板进行配置，以通知修正者暂挂违规。有关详细信息，请参见自定义电子邮件模板。

分配修正权能

选择 Accounts 选项卡，然后在 "Accounts" 列表中单击管理帐户以打开 "Edit User" 页。

在 "Edit User" 页上，单击 Security 子选项卡。

在 "Available Capabilities" 列表中选择 Auditor 修正者，并使用

按钮将其移动至 "Assigned Capabilities" 列表中。

完成后，单击 Save。



注	有关 Auditor 修正者权能的详细信息，请参见了解和管理权能。

使用修正页

选择 "Work Items"，然后选择 Identity Manager 中的 Remediations 选项卡以访问 "Remediations" 页。

查看所有暂挂和已完成的修正请求

缓解一个或多个修正请求

修正一个或多个修正请求

转发一个或多个修正请求

查看修正请求

进行操作之前，可通过 "Remediations" 页查看有关修正请求的详细信息。


注	根据您的权能，您可以对其他修正者或管理员的修正请求进行查看和操作。

查看暂挂请求

查看已完成的请求

将 "Remediations" 表中的请求排序

更新表格

查看暂挂请求

您可使用 List Remediations for 选项来查看不同修正者的暂挂修正请求：

选择其他修正者的登录名可以查看其暂挂请求。

选择 All Remediators 可以查看所有暂挂请求。

Remediator：分配的修正者名称。



注	查看自己的修正请求时，不显示 "Remediator" 列。

Request：修正者请求的操作。单击请求文本查看关于策略违规的更多信息并处理请求。

Date of Request：发出修正请求的日期和时间。

Description：策略违规的简明描述。

查看已完成的请求

要查看已完成的修正请求，请单击 My Work Items 选项卡，然后单击 History 选项卡。屏幕将显示先前已修正的工作项目的列表。

结果表（由 AuditLog 报告生成）提供关于每个修正请求的以下信息：

Timestamp：修正请求的日期和时间

Subject：处理请求的修正者的名称

Action：修正者是否缓解或修正了请求

Type：始终指示 ComplianceViolation

Object Name：被违反的审计策略的名称

Resource：提供修正者的帐户 ID（或可能显示 N/A）

ID：始终显示 N/A

Result：始终显示 Success

"Audit Events Details" 页提供关于已完成请求的信息，包括有关修正或缓解、事件参数
（如果适用）以及可审计的属性的信息。

单击 OK 将返回 "Previously remediated by Configurator" 页，然后在此页上单击 OK 将返回 "Remediations" 页。

将 "Remediations" 表中的请求排序

可单击表的标题，将 "Remediation" 表的内容排序。单击一次按升序排序，再次单击按降序排序。

单击 "Remediator"，按修正者名称的字母顺序排序该表。

单击 "Request"，按请求名称的字母顺序排序该表。

单击 "Date of Request"，按时间和日期顺序排序该表。

单击 "Description"，按请求描述的字母顺序排序该表。

单击 "Timestamp"，按时间和日期顺序排序该表。

单击 "Subject"，按处理请求的修正者的名称顺序排序该表。

单击 "Action"，按操作的字母顺序排序该表。

单击 "Object Name"，按违规策略名称的字母顺序排序该表。



注	各个 "Type"、"Resource"、"ID" 和 "Result" 列总是显示相同的值，因此，这些列中没有排序值。

更新表格

要更新 "Remediations" 表中提供的信息，请单击 Refresh。"Remediation" 页将通过任何新的策略违规更新该表。

缓解策略违规

您可在 "Remediations" 页或 "Review Policy Violations" 页中缓解策略违规。

在 "Remediations" 页

在表中选择行以指定要缓解的请求。

选中一个或多个复选框，以指定要缓解的请求。

选中表标题中的复选框，以缓解表中列出的所有请求。



注	注意，Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量缓解。

单击 Mitigate。

显示 "Mitigate Policy Violation" 页（或 "Mitigate Multiple Policy Violations" 页），如下所示：

图 11-14 "Mitigate Policy Violation" 页

在 "Explanation" 字段中输入关于缓解的注释。（此字段为必填字段）。

记住，您的注释可提供针对此操作的审计跟踪，因此，请确保输入完整、有意义的信息。例如，解释缓解策略违规的原因、日期、选择免除期的原因。

直接在 "Expiration Date" 字段中键入日期 (YYYY-MM-DD) 可提供免除的到期日期，也可单击日期

按钮后在日历中选择日期。



注	如果不提供日期，则免除会无限期有效。

完成后，单击 OK 保存更改并返回到 "Remediations" 页。

修正策略违规

使用表中的复选框指定要修正的请求。

选中表中的一个或多个复选框，以指定要修正的请求。

选中表标题中的复选框，以修正表中列出的所有请求。

如果选择了多个请求，请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量修正。

单击 Remediated。

屏幕将显示 "Remediate Policy Violation" 页（或 "Remediate Multiple Policy Violations" 页）。

在 "Comments" 字段中输入关于修正的注释。

记住，您的注释可提供针对此操作的审计跟踪，因此，请确保输入完整、有意义的信息。例如，解释修正策略违规的原因，还可提供日期。

完成后，单击 OK 保存更改并返回 "Remediations" 页。

转发修正请求

如有必要，可将一个或多个修正请求转发给另一个修正者，方法如下：

使用表中的复选框指定要转发的请求。

选中表标题中的复选框，以转发表中列出的所有请求。

选中表中的各个复选框，以转发一个或多个请求。

单击 Forward。

屏幕将显示 "Select and Confirm Forwarding" 页。

图 11-15 "Select and Confirm Forwarding" 页
请求被转发给管理员，同时表被更新。

在 "Forward to" 选项列表中选择另一个修正者的名称，然后单击 OK。

屏幕重新显示 "Remediations" 页时，新的修正者的名称将显示在表的 "Remediator" 列中。

周期性访问查看和证明

Identity Manager 提供了用于处理访问查看的进程，通过访问查看，管理员或其他责任方可以查看并验证用户访问权限。该进程有助于标识并管理随时间变化的用户权限积累，还有助于维护沙宾法案 (Sarbanes-Oxley)、HIPAA（Health Insurance Portability and Accountability Act，健康保险便利及责任法案）以及其他联邦管制委托授权的遵循性。

可以临时执行访问查看，也可以根据预定定期执行（例如每一日历季度），这使您可以进行周期性访问查看，以保持用户权限的级别正确。访问查看可包括审计扫描。

关于周期性访问查看

周期性访问查看是用于证明在某个特定的时间点，一组雇员对相应的资源具有适当权限的周期性进程。

访问查看扫描 — 定义并运行或计划运行的扫描，可以评估指定的一组用户的用户权利，并执行基于规则的评估以确定是否需要进行证明。

证明 — 通过批准或拒绝用户权利来响应证明请求的进程。

用户权利是指示用户帐户或特定一组资源的详细信息的记录。

访问查看扫描

要启动周期性访问查看，首先必须至少定义一个访问扫描。

访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有审计策略和用于确定要手动证明的权利记录以及执行者的规则。

访问查看工作流进程

构建用户列表、获取每个用户的帐户信息并评估审计策略

创建用户权利记录

确定每个用户权利记录是否需要证明

向每个证明者分配工作项目

等待所有证明者批准或等待首次拒绝

如果在指定的超时期间内未收到对请求的任何响应，则提升到下一个证明者

使用解决方案更新用户权利记录

所需的管理员权能

要进行周期性访问查看并管理查看进程，用户必须具有 Auditor 周期性访问查看管理员权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。

要分配这些权能，请编辑用户帐户并修改安全属性。有关这些权能及其他 Auditor 权能的详细信息，请参见了解和管理权能。

证明

证明是由一个或多个指定的证明者执行的认证进程，以确认在特定日期用户权利是否存在。在访问查看过程中，证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户，但无需是 Identity Manager 管理员。

证明工作流

Identity Manager 使用证明工作流，该工作流在访问扫描标识需要查看的权利记录后启动。工作流将根据访问扫描中定义的规则进行确定。

由访问扫描评估的规则将确定是否需要手动证明用户权利记录，或是否可自动批准或拒绝该记录。如果需要手动证明用户权利记录，则访问扫描将使用第二个规则来确定适当的证明者。

要手动证明的每个用户权利记录均将分配给工作流，每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送，该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流，否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知，并且通知数目可能较大（取决于扫描的用户数）。

证明安全访问

工作项目拥有者

工作项目拥有者的直接或间接管理员

控制工作项目拥有者所属组织的管理员

已通过验证检查验证的用户

这些验证选项用于 authType AttestationWorkItem 的工作项目。默认情况下，验证检查的行为如下：

拥有者为尝试执行该操作的用户，或

拥有者位于由尝试执行该操作的用户所控制的组织中，或

拥有者为尝试执行该操作的用户的下属。

controlOrg — 有效值为 "true" 或 "false"

subordinate — 有效值为 "true" 或 "false"；

firstLevel — 包括在结果中的第一个下属级别；0 表示下属

lastLevel — 包括在结果中的最后一个下属级别；-1 表示所有级别

firstLevel 和 lastLevel 的整数值默认为 0 和 -1，表示直接和间接下属。

委托证明

默认情况下，访问扫描工作流会优先处理由用户为证明工作项目和通知创建的委托。访问扫描管理员可取消选择 "Follow Delegation" 选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户，但尚未为访问查看扫描设置 "Follow Delegation" 选项，则该证明者（而非已向其分配委托的用户）将收到证明请求通知和工作项目。

计划进行周期性访问查看

对于任何企业，访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤，有助于将成本和时间降至最低。但是，某些进程仍然十分耗时。例如，从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率，并极大地降低投入。

根据所涉及的用户数和资源数，扫描时间将有很大的差别。

使用多个 Identity Manager 服务器进行并行处理将提高访问查看进程的速度。

自定义证明工作流以及规则增强了您的控制能力，并带来了更高的效率：

使用 "Attestor Escalation Rules" 有助于缩短证明请求的响应时间。

了解如何使用 "Review Determination Rules" 通过自动确定要手动查看的权利记录来节省时间。

通过指定扫描级别通知工作流来捆绑扫描的证明请求通知。

创建访问扫描

选择 Compliance > Manage Access Scans。

在 "Create New Access Scan" 页上，向访问扫描分配名称。

或者，添加有助于标识扫描的说明。

从以下选项中选择 User Scope Type：（此字段为必填字段）。

Members of Organization(s) — 选择该选项可扫描一个或多个选定组织的所有成员。

Reports to manager(s) — 选择该选项可扫描已报告给选定管理员的所有用户。管理员层次结构取决于用户的 Lighthouse 帐户的 Identity Manager 属性。

According to attribute condition rule — 选择该选项可以选择可指定要扫描的用户类型的规则。Identity Manager 提供了以下规则：

All Administrators

All Non-Administrators

Users without a Manager



注	可通过使用 Identity Manager 集成开发环境 (IDE) 来添加用户范围规则。有关详细信息，请参见 Identity Manager 部署工具。

如果用户范围为组织或管理员，则可使用 "Recursive Scope" 选项。此选项允许按受控成员链进行递归式用户选择。

如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规，请通过将您的选项从 "Available Audit Policies" 移动到 "Current Audit Policies" 列表，来选择要应用到此扫描的审计策略。

向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是，除此之外，由审计策略检测到的任何违规都将存储在用户权利记录中。此信息可简化自动批准或拒绝，因为该规则可将用户权利记录中是否存在违规作为其逻辑的一部分。

如果在上述步骤中选择了同时扫描审计策略，则可以使用 Policy mode 选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。

应用选定策略并忽略其他分配

仅在用户尚不具有任何分配时才应用选定策略

除了分配给用户的策略外，还应用选定策略

（可选）指定 Review Process Owner。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者，则对于在响应证明请求时遇到潜在冲突的证明者，他可以选择放弃而无需批准或拒绝用户权利，并且证明请求将会转发给该查看进程拥有者。单击选择框（省略号）可搜索用户帐户并进行选择。

Follow delegation — 选择此选项可以对访问扫描启用委托。如果已选中此选项，访问扫描将仅应用委托设置。默认情况下将启用 "Follow Delegation"。

Restrict target resources — 选择此选项可限制扫描目标资源。

此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源，每个用户权利记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集，您可以大大缩短 Identity Manager 创建用户权利记录所需的处理时间。

Execute Violation Remediations — 选择该选项可在检测到违规时启用审计策略的修正工作流。

如果选择此选项，则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。

Access Approval Workflow — 选择默认的标准证明工作流或选择自定义的工作流（如果有）。

此工作流用于将要查看的用户权利记录显示给适当的证明者（如同由证明者规则确定）。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了升级，此工作流将负责升级暂停过久的工作项目。如果未指定任何工作流，则用户证明将无限期地处于暂挂状态。

Attestor Rule — 选择默认的证明者规则，或选择自定义的证明者规则（如果有）。

证明者规则将作为输入值提供给用户权利记录，并且返回证明者名称列表。如果选择了 "Follow Delegation"，则访问扫描将按照原始名称列表中每个用户所配置的委托信息，把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环，则将放弃委托信息，并且工作项目将提交给原始证明者。Default Attestor 规则指示证明者应为权利记录所代表的用户管理器 (idmManager)，或配置器帐户（如果该用户的 idmManager 为空）。如果证明需包括资源拥有者以及管理员，则必须使用自定义规则。有关自定义规则的信息，请参见 Identity Manager 部署工具指南。

Attestor Escalation Rule — 使用该选项可指定 "Default Escalation Attestor" 规则，或选择自定义规则（如果有）。您也可以为规则指定升级超时值。

该规则将为已经过升级超时阶段的工作项目指定升级链。"Default Escalation Attestor" 规则将升级到分配的证明者管理器 (idmManager)，或升级到配置器（如果证明者的 idmManager 值为空）。

您可以以分钟、小时或天数为单位指定升级超时值。

Review Determination Rule — 选择以下规则之一以指定扫描进程将如何确定部署权利记录：（此字段为必填字段）。

Reject Changed Users — 自动拒绝用户权利记录，如果该用户权利与上一个具有相同访问扫描定义的用户权利不同，且已批准上一个用户权利。否则，强制执行手动证明并批准所有与先前已批准的用户权利相同的用户权利。

Review Changed Users — 强制执行手动证明任一用户权利记录，如果该用户权利与上一个具有相同访问扫描定义的用户权利不同，且已批准上一个用户权利。批准所有与先前已批准的用户权利相同的用户权利。

Review Everyone — 强制执行手动证明所有用户权利记录。



注	"Reject Changed Users" 和 "Review Changed Users" 规则将比较用户权利和相同访问扫描（其中已批准权利记录）的上一个实例。您可以通过复制并修改规则来更改此行为，以将比较操作限制在帐户数据的选定部分。有关自定义规则的信息，请参见 Identity Manager 部署工具。

Notification Workflow — 选择以下选项之一可为每个工作项目指定通知行为。

None — 是默认选项。此选项可导致证明者会因他必须证明的每个用户权利而收到一封电子邮件通知。

ScanNotification — 此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。

如果访问扫描中指定了查看进程拥有者，则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见步骤 7。

ScanNotification 工作流使用以下电子邮件模板

访问扫描开始通知

访问扫描结束通知

批量证明通知

您可以自定义 ScanNotification 工作流。

Violation limit — 使用该选项可指定扫描在异常中止之前可发出的最大遵循性违规数。默认限制为 1000。空白值表示无限制。

虽然通常情况下在审计扫描或访问扫描期间，策略违规数目与用户数目相比相对较小，但是设置此值可提供保护，以免受可大量增加违规数目的有缺陷策略的影响。例如，请考虑以下情况：

如果访问扫描涉及 50K 用户并为每个用户生成两到三个违规，则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。

Organizations — 选择可使用此访问扫描对象的组织。此字段为必填字段。

删除访问扫描

您可以删除一个或多个访问扫描。要删除访问扫描，请从 "Compliance" 选项卡中选择 "Manage Access Scans"，选择扫描名称然后单击 Delete。

管理访问查看

定义访问扫描之后，即可将其作为访问查看的一部分使用或调度。启动访问查看之后，可使用若干个任务管理查看进程。

启动访问查看

要启动访问查看，请在管理员界面的 Server Tasks > Run Tasks 区域中选择访问查看任务。在 "Launch Task" 页中，指定访问查看的名称。从 "Available Access Scans" 列表中选择扫描并将其移动至 "Selected" 列表。如果选择了多个扫描，则可以选择以下启动选项之一：

immediately — 选择此选项后，在单击 "Launch" 按钮时将立即开始运行扫描。如果在启动任务中为多个扫描选择了此选项，则扫描将并行运行。

after waiting — 此选项可使您指定在启动扫描之前等待的时间，该时间与访问查看任务的启动相关。



注	您可以在访问查看会话期间启动多个扫描。但是，考虑到每个扫描可能涉及大量的用户，因此要完成扫描进程可能要耗费几天的时间。最佳实践证明您可以分别管理扫描。例如，您可以启动某个扫描以立即运行，并调度其他扫描在错开的时间进行。

启动访问查看时，屏幕将显示工作流程图以指明该进程中执行的步骤。

调度访问查看任务


注	分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。

可从 "Server Tasks" 区域中调度访问查看任务。例如，要设置周期性访问查看，请使用 Manage Schedule 选项卡定义进度表。您可以将任务调度为每月或每季度发生一次。

要定义进度表，请在 "Schedule Tasks" 页中选择任务，然后填写 "Create task schedule" 页中的信息。

管理访问查看进度


注	默认情况下，Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看，请将 "Results Options" 设置为删除。如果 "Results Options" 未设置为删除，则不会运行新的查看，因为先前任务的结果仍然存在。

使用 "Access Reviews" 选项卡可监视访问查看的进度。可通过 Compliance 选项卡访问该功能。

如前面的图中所示，从 "Access Reviews" 选项卡可查看所有活动的和先前已处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看：

Status — 访问进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成。

Launch Date — 启动访问查看任务的日期（时间戳）。

Total Users — 要扫描的用户总数。

Total Entitlements — 为查看生成的权利记录总数。

Pending Entitlements — 尚未进行证明的权利记录数目。

要查看关于查看的更多详细信息，请选择该查看以打开摘要报告。

在基于 Web 的界面中，可以单击某个链接访问每个访问扫描、组织以及证明者的状态信息。

您还可以通过运行 "Access Review Summary Report" 在报告中查看和下载这些信息。

修改扫描属性

设置访问扫描之后，您可以编辑扫描以指定新选项，例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。

要编辑扫描定义，请从 "Access Scans" 列表中将其选中，然后在 "Edit Access Review Scan" 页中修改属性。

取消访问查看


注	更改访问扫描的范围可能会更改新获得的用户权利记录中的信息，因为如果 Review Determination Rule 将比较用户权利与以前的用户权利记录，则该更改可能对此规则产生影响。

在 "Access Reviews" 选项卡中，可单击 Terminate 以停止选定的进行中的查看。终止查看将导致以下操作：

取消调度所有已调度的扫描

停止所有活动的扫描

删除所有暂挂工作流和工作项目

所有暂挂用户权利都将标记为已取消

用户已完成的所有证明将保留不变

删除访问查看任务

您可以删除访问查看任务，如果该任务的状态为已终止或已完成。无法删除正在进行中的访问查看任务，除非先将其终止。

删除访问查看任务将删除由该查看生成的所有用户权利记录。删除操作将记录在审计日志中。

要删除访问查看任务，请在菜单栏中选择 "Server Tasks" 然后选择 Run Tasks > Delete Access Review。

管理证明责任

您可以从 Identity Manager 管理员或用户界面中管理证明请求。本节提供了有关响应证明请求以及证明中包含的责任的信息。

访问查看通知

在扫描期间，当证明请求需要证明者的批准时，Identity Manager 将向证明者发送通知。如果已委托证明者职责，则证明请求将发送给委托者。如果定义了多个证明者，则每个证明者都将收到一封电子邮件通知。

请求将显示为 Identity Manager 界面中的 Attestation 工作项目。当已分配的证明者登录到 Identity Manager 时，屏幕将显示暂挂的证明工作项目。

查看暂挂请求

从界面的 "Work Items" 区域查看证明工作项目。选择 "Work Items" 区域中的 Attestation 选项卡，即可列出所有需要批准的权利记录。从 "Attestations" 页，您还可以列出所有直接报告和指定用户（您可对其进行直接或间接控制）的权利记录。

My Work Items 选项卡将显示分配的各种类别，以及每种类别的暂挂工作项目数。

查看和批准权利记录

证明工作项目包含需要查看的用户权利记录。权利记录提供了有关用户访问权限、已分配资源以及策略违规的信息。

Approve — 证明从权利记录中所记录的日期开始，权利是适当的。

Reject — 权利记录指示当前无法验证的可能差异。

Forward — 可使您为查看指定其他收件人。

Abstain — 对此记录的证明不适当，并且尚未发现更适当的证明者。证明工作项目将转发至查看进程拥有者。仅在访问查看任务中已定义查看进程拥有者时，才可使用此选项。

如果在指定的升级超时阶段之前，证明者未采取以上任何一种操作对请求进行响应，则通知将发送至升级链中的下一个证明者。在记录响应之前，通知进程将继续。

访问查看报告

Identity Manager 提供了以下报告，以使您可以评估访问查看的结果：

Access Review Detail Report — 该报告以表形式提供了以下信息：

Name — 用户权利记录的名称

Status — 访问进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成

Attestor — 分配为记录证明者的 Identity Manager 用户

Scan Date — 记录扫描何时发生的时间戳

Disposition Date — 证明权利记录的日期（时间戳）

Organization — 权利记录中的用户组织

Manager — 已扫描用户的管理员

Resources — 用户拥有其帐户且已捕获至该用户权利的资源

Violations — 查看期间检测到的违规数目

单击报告中的名称可打开用户权利记录。图 11-18 显示了用户权利记录视图中提供的信息示例。

Access Review Summary Report — 此报告（已在管理访问查看进度中讨论，并在图 11-17 中说明）将显示有关为报告选择的访问扫描的以下摘要信息：

Review Name — 访问扫描的名称

Status — 启动查看的时间戳

User Count — 为查看扫描的用户数目

Entitlement Count — 生成的权利记录数目

Approved — 已批准的权利记录数目

Rejected — 已拒绝的权利记录数目

Pending — 仍处于暂挂状态的权利记录数目

Canceled — 已取消的权利记录数目

这些报告均可从 "Run Reports" 页以可移植文档格式 (PDF) 或逗号分隔值 (CSV) 格式下载。

身份审计任务参考

表 11-2 提供了通常执行的身份审计任务的快速参考。该表显示了开始每项任务时应转到的主要 Identity Manager 界面位置，并显示执行任务时可以使用的替代位置或方法（如果可用）。

表 11-2 身份审计任务参考
要执行的操作：	转至：
创建、编辑或删除审计策略	Compliance 选项卡，Manage Policies 子选项卡
定义修正者和分配修正工作流	Compliance 选项卡，Manage Policies 子选项卡
对一个或多个用户或组织执行审计扫描	Accounts 选项卡，从 "User Actions" 或 "Organization Actions" 列表中选择 Scan
对策略违规修正请求进行响应	Work Items 选项卡，Remediations 子选项卡
缓解策略违规	Work Items 选项卡，Remediations 子选项卡
查看已修正的策略违规	Work Items 选项卡，Remediations 子选项卡
生成审计策略报告	Reports 选项卡，Run Report 子选项卡
禁用或启用审计	Configure 选项卡，Audit 子选项卡
设置要捕获的审计事件	Configure 选项卡，Audit 子选项卡
编辑管理员审计权能	Security 选项卡，Capabilities 子选项卡
设置审计通知使用的电子邮件模板	Configure 选项卡，Email Templates 子选项卡
导入数据文件/规则（如 XML 格式的表单）	Configure 选项卡，Import Exchange File 子选项卡
定义访问查看扫描	Compliance 选项卡，Manage Scans 子选项卡
运行访问查看	Server Tasks 选项卡，Run Task 子选项卡
终止访问查看	Compliance 选项卡，Access Reviews 子选项卡
调度访问查看	Server Tasks 选项卡，Manage Schedule 子选项卡
设置周期性访问查看	Compliance 选项卡，Manage Access Scans 子选项卡
监视访问查看状态	Compliance 选项卡，Access Reviews 子选项卡
分配证明者	Compliance 选项卡，Manage Access Scans 子选项卡
执行证明者责任（查看和证明用户权利）	Work Items 选项卡，My Work Items 选项卡，Attestation 子选项卡
查看任务划分报告	Reports 选项卡，Run Report 子选项卡

上一页目录索引下一页
Sun Java™ System Identity Manager 7.0 管理指南