Sun Java System Identity Manager 7.0 管理指南 |
第 1 章
Identity Manager 概述Sun Java System Identity Manager 系统使您可以安全高效地管理和审计对帐户和资源的访问。通过为您提供快速处理周期性和日常任务的权能和工具,Identity Manager 有助于为内部和外部客户提供优越的服务。
本章通过以下主题进行了概述:
简介当今的企业需要其 IT 服务不断提高灵活性和能力。以前,管理对业务信息和系统的访问需要直接与有限数量的帐户进行交互。现在,管理访问则日渐意味着不仅要处理数量不断增加的内部客户,还要处理企业外部的合作伙伴和客户。
访问需求的增加可产生庞大的管理开销。作为管理员,您必须安全有效地使人们(企业内部或外部人员)能够顺利工作。同时,在提供初始访问后,您还面临连续、复杂的问题,诸如忘记密码与更改角色以及业务关系等。
此外,当今的企业面临对关键业务信息的安全性和完整性进行控制的严格要求。在受与遵循性相关的法案(例如,Sarbanes-Oxley (SOX) Act(沙宾法案)、Health Insurance Portability and Accountability Act (HIPAA)(健康保险流通与责任法案)和 Gramm-Leach-Bliley (GLB) Act(金融服务现代化法案))所控制的环境中,由监控和报告活动而产生的开销非常重要并且昂贵。您必须能够对访问控制的更改做出快速反应,还必须满足有助于保证业务安全的数据收集和报告的要求。
Identity Manager 专用于帮助您应对动态环境下的这些管理难题。通过使用 Identity Manager 来分散访问管理开销和处理遵循性负担,更易于解决您面临的主要复杂问题:如何定义访问?定义访问之后,如何维护灵活性和进行控制?
一种安全而灵活的设计允许您设置 Identity Manager 以适应您企业的结构并应对这些复杂问题。将 Identity Manager 对象映射到您管理的实体(用户和资源),可显著提高运行效率。
在服务提供商环境中,Identity Manager 还将这些权能扩展到管理外联网用户。
Identity Manager 系统的目标
Identity Manager 解决方案使您可以达到以下目标:
- 管理帐户对大量不同系统和资源的访问。
- 安全地管理每个用户的一组帐户的动态帐户信息。
- 设置委托权限以创建和管理用户帐户数据。
- 处理大量企业资源以及日益增加的大量外联网客户及合作伙伴。
- 安全地授权用户访问企业信息系统。利用 Identity Manager,您能具备授予、管理和撤销对内部和外部组织的访问权限的完全集成功能。
- 通过不保留数据来保持数据同步。Identity Manager 解决方案支持上级系统管理工具应当遵守的两条关键原则:
- 定义审计策略以使用用户访问权限管理遵循性以及通过自动修正操作和电子邮件警报管理违规。
- 执行周期性访问查看,并定义使验证用户权限的过程自动化的证明查看和批准过程。
- 通过面板监视关键信息并审计和查看统计信息。
定义用户访问
更广泛意义的企业用户可以是与公司存在某种关系的任何人,包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中,用户以用户帐户表示。
根据他们与您的业务和其他实体的关系,用户需要访问不同的目标,诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述,这些目标称为资源。
因为用户针对其访问的每个资源通常具有一个或多个身份,所以 Identity Manager 会创建单个虚拟身份,此身份映射到各个不同的资源。这允许您将用户作为单个实体进行管理。请参见图 1-1。
图 1-1 Identity Manager 用户帐户与资源的关系
为有效管理大量用户,您需要用逻辑方法将他们分组。在多数公司中,用户被分组到按职能或地理位置划分的各部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述,此类型的组称为组织。
另一种对用户分组的方法是按照类似特征,如公司关系或工作职责。Identity Manager 将这些组称为角色。
在 Identity Manager 系统中,您可为用户帐户分配角色,以便有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。
Identity Manager 用户的直接或间接管理也可通过应用策略实现,这些策略设置了规则和密码及用户验证选项。
委托管理
要成功分布用户身份管理的职责,您需要在灵活性和控制之间寻求合适的平衡点。通过授予选择 Identity Manager 用户管理员权限并委托管理任务,您就能够将身份管理职责分配给最了解用户需求的那些人(如招聘部门的经理),从而可以减少开销并提高效率。具有此类扩展权限的用户称为 Identity Manager 管理员。
但是,委托仅能够在安全模式下发挥作用。为维持适当的控制级别,Identity Manager 允许您为管理员分配不同级别的权能。权能会批准系统内各种级别的访问和操作。
Identity Manager 工作流模型还包括用来确保某些操作需要批准的方法。Identity Manager 管理员可以使用工作流保持对任务的控制并跟踪任务的进度。有关工作流的详细信息,请参见 Identity Manager 工作流、表单和视图。
Identity Manager 对象清楚地了解 Identity Manager 对象及它们交互的方式对成功管理和部署系统极为重要。其中包括:
用户帐户
Identity Manager 用户帐户:
用户帐户设置过程是动态的过程。根据您在帐户设置期间选择的角色,您可以或多或少地提供一些特定于资源的信息,以创建帐户。与分配的角色相关的资源类型和数量决定了创建帐户所需的信息量。
您可以授予用户管理权限来管理用户帐户、资源和其他 Identity Manager 系统对象和任务。Identity Manager 管理员可以管理组织,并被分配了一定范围的权能,以应用于每个受管理组织中的对象。
角色
角色是 Identity Manager 对象,代表 Identity Manager 用户类型且允许将资源分组并分配给用户。通常,角色表示用户的工作职责。例如,在一个金融机构中,角色可能对应于各个工作职责,如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。
角色定义用户的一组基本资源和资源属性。也可定义与其他角色之间的关系;例如,包含或排除其他角色的角色。
具有相同角色的用户共享对公共基本资源组的访问权限。可为每个用户分配一个或多个角色,或者不分配角色。
如图 1-2 所示,通过角色 2 的分配,用户 1 和用户 2 可以共享访问相同资源集的权限。但是,通过角色 1 的分配,用户 1 还可访问其他资源。
图 1-2 用户帐户、角色、资源间的关系
资源和资源组
Identity Manager 资源存储了关于如何与要在其中创建帐户的某个资源或系统相连接的信息。Identity Manager 提供对以下资源的访问:
每个 Identity Manager 资源存储的信息被归类为以下若干个主要组:
通过以下分配可向 Identity Manager 用户帐户提供访问资源的权限,如图 1-3 中所示:
相关的 Identity Manager 对象(即资源组),可用分配资源的方法将其分配给用户帐户。资源组与资源相关联,因此您可按特定顺序在各资源上创建帐户。同时,它们简化了将多个资源分配给用户帐户的过程。有关资源组的信息,请参见资源组。
组织和虚拟组织
组织是用于启用管理委托的 Identity Manager 容器。它们定义 Identity Manager 管理员控制或管理的实体的范围。
组织也可表示指向基于目录的资源的直接链接;这些链接称为虚拟组织。虚拟组织允许直接管理资源数据而无需将信息加载到 Identity Manager 系统信息库。利用虚拟组织镜像现有目录结构和成员资格,Identity Manager 去除了重复且费时的设置任务。
包含其他组织的组织称为父组织。可在平面结构中创建组织,也可在分层结构中排列组织。分层结构可代表您用来管理用户帐户的部门、地理区域或其他逻辑部门。
目录连接
目录连接是与分层相关的一组组织,它镜像目录资源的实际层级容器集合。目录资源通过使用分层容器来使用分层名称空间。目录资源的示例包括 LDAP 服务器和 Windows Active Directory 资源。
目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织,并且还镜像目录资源容器(已定义资源的基本上下文容器的子容器)中的一个容器。
可以采用与组织一样的方法,使 Identity Manager 用户成为虚拟组织的成员,并且可用于虚拟组织。
权能
可为每个用户分配权能或权限组,以使其能够通过 Identity Manager 执行管理操作。权能允许管理用户在系统内执行某些任务并对 Identity Manager 对象进行操作。
通常,您应根据特定工作职责(如密码重设或帐户批准)分配权能。通过为各个用户分配权能和权限,可创建一个分层管理结构,该结构在不危及数据保护安全的情况下提供具有针对性的访问和权限。
Identity Manager 提供一组用于常见管理功能的默认权能。满足您具体需求的权能也可被创建和分配。
管理员角色
管理员角色使您能够为某个管理用户管理的每一个组织集合定义唯一的一组权能。管理员角色被分配了各种权能和受控组织,然后该角色可被分配给管理用户。
权能和受控组织可直接分配给管理员角色。这些权能和受控组织也可在管理用户每次登录到 Identity Manager 时间接地(动态)分配。Identity Manager 规则控制动态分配。
策略
策略通过建立帐户 ID、登录和密码特征的约束,对 Identity Manager 用户设置限制。Identity system 帐户策略建立用户、密码以及验证策略选项和约束。资源密码和帐户 ID 策略设置长度规则、字符类型规则以及允许的字词和属性值。字典策略使 Identity Auditor 可以对照字词数据库检查密码,以确保密码不会轻易受到字典攻击。
审计策略
区别于其他系统策略,审计策略会为一组特定资源的用户定义策略违规。审计策略会建立一个或多个规则,用于判断用户是否违规。这些规则取决于以资源定义的一个或多个属性为基础的条件。当系统扫描用户时,它使用在分配给该用户的审计策略中定义的条件,以确定是否发生违规。
对象关系
下表概要说明了各 Identity Manager 对象及它们之间的关系。
Identity Manager 术语Identity Manager 界面和指南定义以下这些术语:
访问查看
证明一组雇员在特定日期具有适当的用户权利的管理和审计过程。
管理员角色
唯一的一组权能,用于分配给管理用户的每一组组织。
管理员
安装 Identity Manager 或负责操作任务(如创建用户和管理对资源的访问)的人。
管理员界面
Identity Manager 的主要管理视图。
批准者
具备管理权能的用户,负责批准或拒绝访问请求。
证明
访问查看期间由证明者执行的操作,用于确认用户权利是否适当。
证明任务
需要证明的用户权利查看的逻辑集合。如果将用户权利分配给同一证明者并从相同的访问查看实例中生成,则用户权利将分组到单一的证明任务。
证明者
负责验证(证明)用户权利是否适当的用户。证明者在 Identity Manager 中具有扩展权限,这些扩展权限是管理需要证明的用户权利所必需的。
业务进程编辑器 (Business Process Editor, BPE)
Identity Manager 表单、规则和工作流的图形视图。尽管 Identity Manager 的当前版本仍支持 BPE,但已使用 Identity Manager IDE 取代了 BPE。
权能
控制在 Identity Manager 中执行的操作的用户帐户的访问权限组;Identity Manager 中的低级别访问控制。
目录连接
分层相关的一组组织,这些组织镜像目录资源的实际层级容器集合。目录连接中的每个组织都是虚拟组织。
升级超时
为工作项目请求指定的时间范围,在这个时间范围内分配的工作项目拥有者在 Identity Manager 进程将此工作项目发送给下一个分配的响应者之前必须做出响应。
表单
与 Web 页相关的对象,包含浏览器如何在该页上显示用户视图属性的规则。表单可合并业务逻辑,并经常用于在视图数据显示给用户之前对其进行操作。
身份模板
定义用户的资源帐户名称。
组织
用于启用管理委托的 Identity Manager 容器。组织定义由管理员控制或管理的实体(如用户帐户、资源和管理员帐户)的范围。组织提供“其中”上下文,主要用于实现 Identity Manager 的管理目的。
周期性访问查看
按照周期性间隔(例如每季度)执行的访问查看。
策略
建立 Identity Manager 帐户的限定条件。Identity Manager 策略建立用户、密码和验证选项,并绑定到组织或用户。资源密码和帐户 ID 策略设置规则、允许的字词和属性值,并绑定到各个资源。
修正者
指定作为为审计策略分配的修正者的 Identity Manager 用户。
Identity Manager 检测到需要修正的遵循性违规时,会创建修正工作项目并将工作项目发送到修正者的工作项目列表。
资源
在 Identity Manager 中,存储有关如何连接到创建了帐户的资源或系统的信息。Identity Manager 可访问的资源包括主机安全管理器、数据库、目录服务、应用程序、操作系统、ERP 系统及消息平台。
资源适配器
Identity Manager 组件,提供 Identity Manager 引擎和资源间的链接。Identity Manager 可使用此组件管理给定资源上的用户帐户(包括创建、更新、删除、验证和扫描功能),并利用该资源进行传递验证。
资源适配器帐户
由 Identity Manager 资源适配器使用的证书,用以访问受管理的资源。
资源组
用于指示创建、删除和更新用户资源帐户的资源的集合。
资源向导
指导完成资源创建和修改过程(包括资源参数、帐户属性、身份模板和 Identity Manager 参数的设置和配置)的 Identity Manager 工具。
角色
在 Identity Manager 中,指一类用户的模板或配置文件。每个用户都能被分配一个或多个角色,这些角色定义帐户资源访问权限和默认资源属性。
规则
Identity Manager 信息库中的对象,包含以 XPRESS、XML Object 或 JavaScript 语言编写的函数。规则提供一种存储常用的逻辑或静态变量的机制,以便在表单、工作流和角色中重新使用这些变量。
模式
资源的用户帐户属性列表。
模式映射
将资源帐户属性映射到资源的 Identity Manager 帐户属性。Identity Manager 帐户属性可创建转至多个资源的常用链接,且由表单进行引用。模式映射可显示为资源向导的一部分。
服务提供商用户
服务提供商的外联网用户或客户,不同于服务提供商公司的员工或内联网用户。
用户
拥有 Identity Manager 系统帐户的人。用户可拥有 Identity Manager 中一定范围的权能;而具有扩展权能的用户为 Identity Manager 管理员。
用户帐户
使用 Identity Manager 创建的帐户。指 Identity Manager 帐户或 Identity Manager 资源上的帐户。用户帐户的设置过程是动态过程;要填写的信息或字段取决于通过角色分配直接或间接提供给用户的资源。
用户权利
显示某个特定日期向某个用户分配的资源及其资源重要属性的用户视图。
用户界面
Identity Manager 系统的受限视图。专为不具备管理权能的用户而设计,该视图允许这些用户执行一定范围的自服务任务,如更改密码和设置验证问题的回答。
虚拟组织
在目录连接中定义的组织。请参见目录连接。
工作流
符合逻辑的可重复过程,在此过程中,文档、信息或任务从一个参与者传递至另一个参与者。Identity Manager 工作流包括多个过程,它们可对用户帐户的创建、更新、启用、禁用和删除进行控制。
工作项目
Identity Manager 中的工作流、表单或过程生成的操作请求,此操作请求将分配给已指定为批准者、证明者或修正者的用户。