上一頁      目錄      索引      下一頁
Sun Java™ System Identity Manager 7.0 管理指南

第 5 章
管理

本章將提供有關在 Identity Manager 系統中執行一系列管理層級作業 (例如建立和管理 Identity Manager 管理員和組織) 的資訊與程序。還將提供有關如何在 Identity Manager 中使用角色、權能和管理角色的資訊。

這些資訊分別在以下主題中提供：

瞭解 Identity Manager 管理
建立管理員
瞭解 Identity Manager 組織
建立組織
瞭解目錄結合與虛擬組織
瞭解與管理權能
瞭解與管理管理員角色
管理工作項目
帳號核准

---

瞭解 Identity Manager 管理

Identity Manager 管理員是擁有擴充 Identity Manager 特權的使用者。您可以建立 Identity Manager 管理員以管理：

使用者帳號
系統物件，例如角色與資源
組織

Identity Manager 以直接或間接指定下列項目的方式區別管理員與使用者：

權能。將存取權限授予 Identity Manager 使用者、組織、角色和資源的一系列權限。
控制的組織。被指定控制某組織後，管理員可以管理該組織中的物件，以及在階層中位於該組織以下的所有組織中的物件。

委託管理

在大多數公司中，具有欲執行管理工作的員工會擁有特定與不同的責任。多數情況下，管理員需要執行帳號管理作業，而這些作業對其他使用者或管理員而言是不需設定的，或者具有某些範圍限制。

例如，某管理員可能只負責建立 Identity Manager 使用者帳號。具有該有限責任範圍的管理員，不大可能需要有關其建立使用者帳號之資源的特定資訊，或有關系統內現有角色或組織的特定資訊。

Identity Manager 支援責任分離與此委託管理模式，方法是僅允許管理員檢視並管理特定的已定義範圍之內的物件。

Identity Manager 透過如下方法將個別系統活動委託給管理員進行管理：

提供對特定組織及這些組織中物件的有限控制
篩選 Identity Manager 使用者建立與編輯頁面的管理員檢視
以權能的形式給予管理員特定的工作責任

在設定新使用者帳號或編輯某使用者帳號時，您可以從 [Create User] 頁面為使用者指定委託。

您也可以從 [Work Items] 標籤委託工作項目，例如要核准的請求。請參閱委託工作項目，以取得詳細資訊。

---

建立管理員

您可以透過延伸 Identity Manager 使用者的權能來建立 Identity Manager 管理員。建立或編輯使用者時，您可以給予他們管理控制權，方法是：

指定其可管理的組織
指定其管理組織中的權能
選取在建立與編輯 Identity Manager 使用者時將使用的表單 (若指定了允許其執行這些動作的權能)
選取接收等待核准請求的核准人 (若指定了允許其核准請求的權能)

若要授予使用者管理權限，請在功能表列中選取 [ Accounts] 以移至 Identity Manager 的 [Accounts] 區域。對於新使用者，請從 [Create User] 頁面中選取 [Security] 標籤，以指定管理員屬性。

若要為現有使用者指定管理員屬性，請從 [User Actions] 清單中選取 [Edit User Capabilities]，然後在 [Accounts] 清單中選取使用者並編輯該使用者的權能。開啟的安全性表單如下圖所示：

圖 5-1  [User Account Security] 頁面：指定管理員權限

選取一或多項以建立管理控制：

[Controlled Organizations] — 選取一個或多個組織。管理員可控制所選組織或階層中其下任何組織的物件。其控制的範圍由其指定的權能進一步定義。您必須在此區域中進行選擇。
[Capabilities] — 選取此管理員在其控制的組織中將擁有的一項或多項權能。如需有關 Identity Manager 權能的更多資訊或說明，請閱讀第 4 章「配置」。
[User Form] — 選取此管理員在建立和編輯 Identity Manager 使用者時將使用的使用者表單 (若已指定該權能)。如果您不直接指定使用者表單，管理員將會沿用指定給他所屬組織的使用者表單。此處所選的表單會取代此管理員的組織內選定的任何表單。
[Forward Approval Requests To] — 選取使用者，以將所有擱置的核准請求轉寄給該使用者。此管理員設定也可以在 [Approvals] 頁面中設定。
[Delegate Work Items To] — 如果可用，使用此選項可指定對使用者帳號的委託。您可以指定您的 IDMManager、一個或多個已選取的使用者，也可以使用委託核准規則。

篩選管理員檢視

藉由指定使用者表單給組織與管理員，您可以建立使用者資訊的特定管理員檢視。使用者資訊的存取權設定為兩個層級：

[Organization] — 當您建立組織時，您可以指定該組織的所有管理員在建立與編輯 Identity Manager 使用者時將使用的使用者表單。在管理員層級設定的任何表單將會覆寫此處設定的表單。若未替管理員或組織選取表單，Identity Manager 會繼承為父組織選取的表單。若此處沒有設定表單，則 Identity Manager 會使用系統配置中設定的預設表單。
[Administrator] — 當您指定使用者管理權能時，您可以直接將使用者表單指定給管理員。若您沒有指定表單，則管理員會繼承指定給其組織的表單 (或若沒有為組織設定表單時，繼承系統配置中設定的預設表單)。

第 4 章「配置」說明您可以指定的內建 Identity Manager 權能。

變更管理員密碼

具有指定的管理員密碼變更權能的管理員或管理員所有者均可變更管理員密碼。

管理員可以變更其他管理員的密碼，途徑有：

[Accounts] 區域 — 從清單中選取管理員，然後從 [User Actions] 清單中選取 [Change Password]。
[Edit User] 頁面 — 選取 [Identity] 表單標籤，然後輸入並確認新密碼。
[Passwords] 區域 — 輸入管理員名稱，然後按一下 [Change Password]。

提示	輸入一個或多個字元，然後按一下 [Find] 以列出所有相符的項目。

管理員可以在 [Passwords] 區域變更其自己的密碼。選取 [Passwords]，然後選取 [Change My Password] 可以存取自助密碼欄位。

備註	套用到帳號的 Identity Manager 帳號策略會決定密碼限制，例如密碼到期時間、重設選項，與通知選擇。其他密碼限制可由設定於管理員資源的密碼策略來設定。

質疑管理員動作

您可以設定一個選項，要求管理員在處理特定帳號變更之前，提供他的 Identity Manager 豋入密碼。如果密碼錯誤，則無法繼續執行帳號動作。

支援這個選項的 Identity Manager 頁有：

編輯使用者 (account/modify.jsp)
變更使用者密碼 (admin/changeUserPassword.jsp)
重設使用者密碼 (admin/resetUserPassword.jsp)

請按照以下章節中說明設定這些選項：

[Edit User Challenge] 選項

請按如下所示在 account/modify.jsp 頁面中設定此選項：

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");

其中，選項的值是一份以逗點分隔的清單，內含一個或多個使用者檢視屬性名稱：

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
resources
roles

[Change User Password and Reset User Password Challenge] 選項

請按如下所示在 admin/changeUserPassword.jsp 與 admin/resetUserPassword 頁面中設定此選項：

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");

其中，選項的值可以是 true 或 false。

變更認證問題的答案

使用 [Passwords] 區域可變更您為帳號身份驗證問題設定的答案。從功能表列中，選取 [Passwords]，然後選取 [Change My Answers]。

如需有關認證的更多資訊，請參閱使用者認證。

在管理員介面中自訂管理員名稱顯示

在某些 Identity Manager 管理員介面頁面和區域中，可以依屬性 (例如電子郵件或完整名稱) 而非帳號 ID 顯示 Identity Manager 管理員，例如以下區域：

Edit User (forward approvals selection list)
Role table
Create/Edit Role
Create/Edit Resource
Create/Edit Organization/Directory Junction
Approvals

若要將 Identity Manager 配置為使用顯示名稱，請將以下內容增加到 UserUIConfig 物件中：

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

例如，若要將電子郵件屬性做為顯示名稱，請將以下屬性名稱增加到 UserUIconfig 中：

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

瞭解 Identity Manager 組織

利用組織可執行以下動作：

有邏輯並安全地管理使用者帳號與管理員
限制對資源、應用程式、角色與其他 Identity Manager 物件的存取權

藉由建立組織並指定使用者至組織層級中的不同位置，您可以設定委託管理階段。包含一個或多個其他組織的組織稱為父系組織。

所有 Identity Manager 使用者 (包括管理員) 皆靜態地指定給一個組織。使用者也可以被動態地指定給其他組織。

Identity Manager 管理員會另外指定，以控制組織。

---

建立組織

組織於 Identity Manager 帳號區域中建立。若要建立組織，請執行以下步驟：

從功能表列中，選取 [Accounts]。
從 [Accounts] 頁面的 [New Actions] 清單中，選取 [New Organization]。

提示	若要在組織階層的特定位置建立組織，請在清單中選取組織，然後從 [New Actions] 清單中選取 [New Organization]。

圖 5-2 將說明 [Create Organization] 螢幕。

圖 5-2  [Create Organization] 螢幕

指定使用者給組織

每個使用者均為一個組織的靜態成員，且可以是多個組織的動態成員。組織成員資格由以下決定：

直接 (靜態) 指定 — 從 [Create User] 或 [Edit User] 頁面，將使用者直接指定給組織。(選取 [Identity] 表單標籤可顯示 [Organizations] 欄位。)使用者必須直接指定給一個組織。
規則導向 (動態) 指定 — 藉由將評估時可傳回一組成員使用者的規則指定給組織，將使用者動態指定給組織。Identity Manager 將於以下情況評估使用者成員規則：
列出組織中的使用者時
尋找使用者 (透過 [Find Users] 頁面)，包括搜尋具備使用者成員規則的組織中的使用者
請求使用者存取權，且目前管理員控制的組織具有使用者成員規則

從 [Create Organization] 頁面的 [User Members Rule] 欄位選擇使用者成員規則。圖 5-3 為使用者成員規則的範例。

圖 5-3  建立組織：使用者成員規則選取

以下範例顯示了如何設定可以動態控制組織的使用者成員資格的使用者成員規則。

備註	如需有關在 Identity Manager 中建立和使用規則的資訊，請參閱「Identity Manager Deployment Tools」。

金鑰定義與內含項

欲使某規則顯示在 [User Member Rule] 選項方塊中，其 authType 必須設定為 authType=UserMembersRule。
上下文是目前驗證的 Identity Manager 使用者的階段作業。
定義的變數 (defvar) Team players 會為做為 Windows Active Directory 組織單位 (ou) Pro Ball Team 成員的每個使用者取得辨別名稱 (dn)。
對於找到的使用者，附加邏輯會將 Pro Ball Team ou 之每個成員使用者的 dn 與使用冒號前綴的 Identity Manager 資源名稱 (如 :smith-AD) 鏈結在一起。
傳回的結果將是與 Identity Manager 資源名稱鏈結的 dn 清單，格式為 dn:smith-AD。

以下是使用者成員規則範例的語法範例。

代碼範例 5-1  使用者成員規則範例

<Rule name='Get Team Players'      authType='UserMembersRule'>    <defvar name='Team players'>       <block>          <defvar name='player names'>             <list/>          </defvar>    <dolist name='users'>       <invoke class='com.waveset.ui.FormUtil'             name='getResourceObjects'>          <ref>context</ref>          <s>User</s>          <s>singleton-AD</s>          <map>             <s>searchContext</s>             <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>             <s>searchScope</s>             <s>subtree</s>             <s>searchAttrsToGet</s>             <list>                <s>distinguishedName</s>             </list>          </map>       </invoke>       <append name='player names'>       <concat>          <get>             <ref>users</ref>             <s>distinguishedName</s>          </get>             <s>:sampson-AD</s>       </concat>       </append>    </dolist>       <ref>player names</ref>    </block>    </defvar>       <ref>Team players</ref> </Rule>

指定組織控制

從 [Create User] 或 [Edit User] 頁面指定一個或多個組織的管理控制。選取 [Security] 表單標籤可顯示 [Controlled Organizations] 欄位。

您也可以透過從 [Admin Roles] 欄位指定一個或多個管理角色，來指定組織的管理控制。

---

瞭解目錄結合與虛擬組織

目錄結合是一組階層相關的組織，它鏡射一組目錄資源的實際階層式容器。目錄資源透過利用階層容器來使用階層名稱空間。目錄資源的範例有 LDAP 伺服器與 Windows Active Directory 資源。

目錄結合中的每個組織皆是虛擬組織。目錄結合中最頂層的虛擬組織是表示定義於資源中的基底環境的容器的鏡射。目錄結合中的其餘虛擬組織為頂層虛擬組織的直接或間接子系，而且還鏡射一個為已定義資源的基底環境容器之子系的目錄資源容器。圖 5-4 說明了此結構。

圖 5-4  Identity Manager 虛擬組織

可以在任一點將目錄結合連接至現有 Identity Manager 組織結構。然而，不能在現有目錄結合之內或之下連接目錄結合。

您將目錄結合新增至 Identity Manager 組織樹後，可以建立或刪除該目錄結合中上下文裡的虛擬組織。除此之外，您可以隨時更新內含目錄結合的虛擬組織集，來確保其與目錄資源容器保持同步。您無法在目錄結合中建立非虛擬組織。

您可以使用與 Identity Manager 組織相同的方式來建立虛擬組織的 Identity Manager 物件 (例如使用者、資源與角色) 成員，並可用於其中。

設定目錄結合

您可以在 Identity Manager 帳號區域中設定目錄結合：

從 Identity Manager 功能表列中，選取 [Accounts]。
在 [Accounts] 清單中，選取一個 Identity Manager 組織，然後在 [New Actions] 清單中，選取 [New Directory Junction]。

您選取的組織將成為設定的虛擬組織的父系組織。

Identity Manager 顯示 [Create Directory Junction] 頁面。

選取設定虛擬組織的選項：
[Parent organization] — 這個欄位包含您從 [Accounts] 清單中選取的組織；不過，您可以從清單中選取不同的父系組織。
[Directory resource] — 選取您要在虛擬組織中鏡射其結構的現有目錄之目錄資源。
[User form] — 選取要套用至這個組織中的管理員的使用者表單。
[Identity Manager account policy] — 選取策略或選取預設選項 (繼承的) 來繼承父系組織的策略。
[Approvers] — 選取可以核准與這個組織相關的請求的管理員。

更新虛擬組織

此程序從選取的組織開始，向下更新虛擬組織並使之與相關目錄資源重新同步化。在清單中選取虛擬組織，然後在 [Organization Actions] 清單中，選取 [Refresh Organization]。

刪除虛擬組織

刪除虛擬組織時，您可以從兩個刪除選項中選取：

僅刪除 Identity Manager 組織 — 僅刪除 Identity Manager 目錄結合。
刪除 Identity Manager 組織和資源容器 — 刪除 Identity Manager 目錄結合與本機資源上的對應組織。

選取一個選項，然後按一下 [Delete]。

---

瞭解與管理權能

權能為 Identity Manager 系統中的多組權利。權能表示管理工作責任，例如重設密碼或管理使用者帳號。每個 Identity Manager 管理使用者均被指定了一項或多項權能，這會提供一組不會危及資料保護的權限。

不是所有的 Identity Manager 使用者都需要為其指定權能；只有那些將透過 Identity Manager 執行一個或多個管理動作的使用者才需要。例如，使用者要變更其密碼不需要指定的權能，但是要變更其他使用者的密碼則需要一個指定的權能。

為您指定的權能會掌控您可存取 Identity Manager 管理介面的哪些區域。所有 Identity Manager 管理使用者可以存取特定的 Identity Manager 區域，包括：

[Home] 和 [Help]標籤
[Passwords] 標籤 (僅限 [Change My Password] 和 [Change My Answers] 子標籤)
Reports (限於和管理員的特定責任相關的類型)

權能類別

Identity Manager 定義權能如下：

作業型。這些是位於最簡單作業層級上的權能。
功能性。功能性權能包含一個或多個其他功能性權能或作業型權能。

內建權能 (隨 Identity Manager 系統提供) 是受保護的，表示您無法對其進行編輯。但是您可以在建立的權能中使用它們。

受保護 (內建) 權能在清單中以紅色鑰匙 (或紅色鑰匙及資料夾) 圖示標示。您建立並可編輯的權能在權能清單中以綠色鑰匙 (或綠色鑰匙及資料夾) 圖示標示。

使用權能

在功能表列中，選取 [Security]。
選取 [Capabilities] 標籤以顯示 Identity Manager 權能清單。

建立權能

若要建立權能，請按一下 [New]。命名新權能，然後選取要與此權能相關聯的權能、指定者和組織。您必須至少選取一個要為其指定權能的組織。

編輯權能

若要編輯非保護的權能，請在清單中按一下滑鼠右鍵，然後選取 [Edit]。

您無法編輯內建權能，但是可以使用不同的名稱儲存它們以建立您自己的權能，或在您建立的權能中使用它們。

儲存並重新命名權能

若要複製權能 (以不同的名稱儲存權能以建立新權能)，請：

在清單中的權能上按一下滑鼠右鍵，然後選取 [Save As]。
輸入新名稱，然後按一下 [OK]。

您可以編輯新權能，即使複製的權能受到保護。

指定權能

從 [Create and Edit User] 頁將權能指定給使用者。您也可以透過指定管理員角色 (透過介面中的 [Security] 區域設定) 將權能指定給使用者。請參閱瞭解與管理管理員角色，以取得詳細資訊。

權能階層

作業型權能位於下列功能性權能階層中：

帳號管理員

核准人管理員
組織核准人
資源核准人
角色核准人
指定使用者權能
SPML 存取
使用者帳號管理員
建立使用者
刪除使用者
刪除 IDM 使用者
取消佈建使用者
取消指定使用者
取消連結使用者
停用使用者
啟用使用者
密碼管理員
變更密碼管理員
重設密碼管理員
重新命名使用者
解除鎖定使用者
更新使用者
檢視使用者
匯入使用者

管理員角色管理員

連線權能
連線權能規則
連線控制的組織規則
連線組織

Auditor 管理員

指定稽核策略
指定組織稽核策略
指定使用者稽核策略
稽核策略管理員
Auditor 檢視使用者
Auditor 定期存取檢閱管理員
Auditor 存取掃描管理員
Auditor 報告管理員
密碼管理員
使用者帳號管理員
指定使用者權能

Auditor 報告管理員

存取檢閱詳細資訊報告管理員
執行存取檢閱詳細資訊報告
存取檢閱摘要報告管理員
執行存取檢閱摘要報告
稽核策略掃描報告管理員
執行稽核策略掃描報告
已稽核的屬性報告管理員
執行已稽核的屬性報告
稽核策略違規歷程記錄管理員
執行稽核策略違規歷程記錄報告
組織違規歷程記錄管理員
執行組織違規歷程記錄報告
策略摘要報告管理員
資源違規歷程記錄管理員
執行資源違規歷程記錄報告
執行 Auditor 報告
責任分離報告管理員
執行責任分離報告
使用者存取報告管理員
執行使用者存取報告
違規摘要報告管理員

批次帳號管理員

核准人管理員
指定使用者權能
批次使用者帳號管理員
批次建立使用者
批次刪除使用者
批次刪除 IDM 使用者
批次取消佈建使用者
批次取消指定使用者
批次取消連結使用者
批次停用使用者
批次啟用使用者
密碼管理員
重新命名使用者
解除鎖定使用者
檢視使用者
匯入使用者

批次變更帳號管理員

核准人管理員
指定使用者權能
批次變更使用者帳號管理員
批次停用使用者
批次啟用使用者
批次更新使用者
密碼管理員
重新命名使用者
解除鎖定使用者
檢視使用者

批次資源密碼管理員

批次變更資源密碼管理員
批次重設資源密碼管理員

權能管理員

變更帳號管理員

核准人管理員
指定使用者權能
變更使用者帳號管理員
密碼管理員
變更密碼管理員
重設密碼管理員
停用使用者
啟用使用者
重新命名使用者
解除鎖定使用者
更新使用者
檢視使用者

配置憑證

匯入/匯出管理員

授權管理員

登入管理員

中介檢視管理員

組織管理員

密碼管理員 (需要驗證)

變更密碼管理員 (需要驗證)
重設密碼管理員 (需要驗證)

策略管理員

調解管理員

調解請求管理員

Remedy 整合管理員

報告管理員

管理員報告管理員
執行管理員報告
稽核報告管理員
執行稽核報告
Auditor 報告管理員
調解報告管理員
執行調解報告
資源報告管理員
執行資源報告
風險分析管理員
執行風險分析
角色報告管理員
執行角色報告
作業報告管理員
執行作業報告
使用者報告管理員
執行使用者報告
配置稽核

資源管理員

變更 Active Sync 資源管理員
控制 Active Sync 資源管理員
資源群組管理員

資源物件管理員

資源密碼管理員

變更資源密碼管理員
重設資源密碼管理員

角色管理員

安全管理員

「服務提供者」的管理員

「服務提供者」的使用者管理員
「服務提供者」的建立使用者
「服務提供者」的刪除使用者
「服務提供者」的更新使用者
服務提供者檢視使用者

服務提供者管理員角色管理員

使用者帳號管理員

刪除使用者
密碼管理員
建立使用者
停用使用者
啟用使用者
匯入使用者
重新命名使用者
解除鎖定使用者
更新使用者

檢視組織

列出組織

檢視資源

列出資源

Waveset 管理員

權能定義

表 5-1 描述各個作業型權能，並列出每個權能可以存取的標籤與子標籤。這些權能按名稱的字母順序列出。

所有權能都允許使用者或管理員存取 [Passwords] > [Change My Password] 和 [Change My Answers] 標籤。

表 5-1  Identity Manager 權能說明  

權能	允許管理員/使用者：	可以存取這些標籤與子標籤：
存取檢閱詳細資訊報告管理員	建立、編輯、刪除和執行存取檢閱詳細資訊報告	[Reports] > [Run Reports] 標籤，[View Reports] 標籤 — 僅 [Access Review Detail Reports] [Reports] > [View Dashboards]
存取檢閱摘要報告管理員	建立、編輯、刪除和執行存取檢閱摘要報告	[Reports] — 僅 [Access Review Summary Reports] [Reports] > [View Dashboards]
帳號管理員	對使用者執行所有作業，包括指定權能。不包括批次處理作業。	[Accounts] — [List Accounts]、[Find Users]、[Extract to File]、[Load from File]、[Load from Resource] 標籤 [Passwords] — 所有子標籤 [Work Items] — [Approvals] 子標籤 [Tasks] — 所有子標籤
管理員報告管理員	建立、編輯、刪除和執行管理員報告。	[Reports] — [Manage Reports]，[Run Reports] 子標籤 (僅 [Administrator Report])
管理員角色管理員	建立、編輯和刪除管理員角色。	[Security] — [Admin Roles] 子標籤
核准人管理員	核准或拒絕由其他使用者發起的請求。	僅 [Default]
指定稽核策略	為使用者帳號和組織指定稽核策略。	[Accounts] — [User Actions] 清單中的 [Edit User Audit Policy]。 [Accounts] — [Organization Actions] 清單中的 [Edit Organization Audit Policy]。
指定組織稽核策略	僅為組織指定稽核策略。	[Accounts] — [Organization Actions] 清單中的 [Edit Organization Audit Policy]；[List Accounts] 標籤
指定使用者稽核策略	僅為使用者指定稽核策略。	[Accounts] — [User Actions] 清單中的 [Edit User Audit Policy]；[Find Users] 標籤
指定使用者權能	變更使用者的權能指定 (指定和取消指定)。	[Accounts] — [List Accounts] (僅 [Edit])，[Find Users] 子標籤。 必須以另一項使用者管理員權能指定 (例如，「建立使用者」或「啟用使用者」)。
稽核策略管理員	建立、修改和刪除稽核策略。	[Compliance] — [Manage Policies]
稽核策略掃描報告管理員	建立、修改、刪除和執行「稽核策略掃描報告」。	[Reports] — 僅 [Audit Policy Scan Report]
稽核報告管理員	建立、修改、刪除和執行稽核報告。	[Reports] — 僅 [Audit Report]
已稽核的屬性報告管理員	建立、修改、刪除和執行「已稽核的屬性報告」。	[Reports] — 僅 [Audited Attribute Report]
稽核記錄報告管理員	建立、修改、刪除和執行「稽核記錄報告」。	[Reports] — 僅 [AuditLog Report]
Auditor 存取掃描管理員	建立、編輯和刪除定期存取檢閱掃描	[Compliance] — [Manage Access Scans]
Auditor 管理員	設定、管理和監視稽核策略、稽核掃描和使用者規範遵循。	[Compliance] — 所有子標籤 [Reports] — [Run Reports]、[View Reports] 和 [Manage Auditor Reports] [Accounts] — [Edit User Audit Policies] 和 [Edit Organization Audit Policies] 動作。
Auditor 驗證者	啟用組織安全性後，需要驗證其他使用者的驗證。	僅 [Default]
Auditor 定期存取檢閱管理員	管理定期存取檢閱 (PAR)、管理存取掃描、管理驗證、管理 PAR 報告。	[Compliance] — [Manage Access Scans]、[Access Review] 子標籤
Auditor 修正者	補救、緩解和轉寄稽核策略違規。	[Remediations] — 所有子標籤
Auditor 報告管理員	建立、修改、刪除和執行所有 Auditor 報告。	[Reports] — 對 Auditor 報告的所有動作
Auditor 檢視使用者	檢視與使用者關聯的規範遵循資訊。	[Accounts] — [List Accounts]、[Find Users] 標籤
稽核策略違規歷程記錄管理員	建立、修改、刪除和執行「稽核策略違規歷程記錄」報告。	[Reports] — 僅 [AuditPolicy Violation History Report]
批次帳號管理員	對使用者執行一般和批次作業，包括指定權能。	[Accounts] — 所有子標籤 [Passwords] — 所有子標籤 [Approvals] — 所有子標籤 [Tasks] — 所有子標籤
批次變更帳號管理員	對現有使用者執行一般與批次處理作業，包括指定權能，但刪除作業除外。	[Accounts] — [List Accounts]、[Find Users]、[Launch Bulk Actions] 子標籤。無法建立或刪除使用者。 [Passwords] — 所有子標籤 [Approvals] — 所有子標籤 [Tasks] — 所有子標籤
批次變更使用者帳號管理員	對現有使用者執行一般和批次作業，但刪除作業除外。	[Accounts] — [List Accounts]、[Find Users]、[Launch Bulk Actions] 子標籤。無法建立、刪除或指定給使用者的權能。 [Passwords] — 所有子標籤 [Tasks] — 所有子標籤
批次建立使用者	指定資源和發起使用者建立請求 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Create])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次刪除使用者	刪除 Identity Manager 使用者帳號；取消佈建、取消指定與取消連結資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Create])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次刪除 IDM 使用者	刪除現有 Identity Manager 使用者帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Delete])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次取消佈建使用者	刪除並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Deprovision])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次停用使用者	停用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Disable])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次啟用使用者	啟用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Enable])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次取消指定使用者	取消指定並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Unassign])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次取消連結使用者	取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Unlink])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次更新使用者	更新現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	[Accounts] — [List Accounts] (僅 [Update])、[Find Users]、[Launch Bulk Actions] 子標籤 [Tasks] — 所有子標籤
批次使用者帳號管理員	對使用者執行所有一般和批次作業。	[Accounts] — 所有子標籤 [Passwords] — 所有子標籤 [Tasks] — 所有子標籤
權能管理員	建立、修改和刪除權能。	[Configure] — [Capabilities] 子標籤
變更帳號管理員	對現有使用者執行所有作業，包括指定權能，但刪除作業除外。不包括批次作業	[Accounts] — 所有子標籤。無法刪除使用者。 [Passwords] — 所有子標籤 [Approvals] — 所有子標籤 [Tasks] — 所有子標籤 [Reports] — 在範圍內建立管理員與使用者報告、執行及編輯報告，以及執行稽核記錄報告。無法在範圍外的組織上執行管理員與使用者報告。
變更 Active Sync 資源管理員	變更 Active Sync 資源參數。	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 [Resources] — 對於 Active Sync 資源：[Edit] 動作功能表，[Edit Active Sync Parameters]
變更密碼管理員	變更使用者和資源帳號密碼。	[Accounts] — [List Accounts]、[Find Users] 子標籤 (僅限 [Change Password]) [Passwords] — 所有子標籤 [Tasks] — 所有子標籤。僅 [Export Password Scan] 作業 (從 [Run Tasks] 子標籤)
變更密碼管理員 (需要驗證)	在成功驗證使用者身份認證問題答案後，變更使用者和資源帳號密碼。	[Accounts] — [List Accounts]、[Find Users] 子標籤 (僅限 [Change Password]；必須先驗證才能執行動作) [Passwords] — 所有子標籤 [Tasks] — 所有子標籤。僅 [Export Password Scan] 作業 (從 [Run Tasks] 子標籤)
變更資源密碼管理員	變更資源管理員帳號密碼。	[Tasks] — 所有子標籤 [Resources] — [List Resources] 子標籤。僅變更資源密碼 (從 [Actions] 功能表中的 [Manage Connection] --> [Change Password])
變更使用者帳號管理員	對現有使用者執行所有作業，但刪除作業除外。不包括批次作業	[Accounts] — [List Accounts]、[Find Users] 子標籤。無法建立、刪除或指定給使用者的權能。 [Passwords] — 所有子標籤 [Tasks] — 所有子標籤
配置稽核	配置系統中稽核的事件和配置群組。	[Configure] — [Audit Events] 子標籤
配置憑證	配置可信任的憑證和 CRL。	[Security] — [Certificates] 子標籤
控制 Active Sync 資源管理員	控制 Active Sync 資源狀態 (如開始、停止和更新)	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] [Resources] — 對於 Active Sync 資源：Active Sync 動作功能表 (所有選擇)
建立使用者	指定資源和發起使用者建立請求。不包括批次作業	[Accounts] — [List Accounts] (僅 [Create])、[Find Users] 子標籤 [Tasks] — 所有子標籤
刪除使用者	刪除 Identity Manager 使用者帳號；取消佈建、取消指定與取消連結資源帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Delete])、[Find Users] 子標籤 [Tasks] — 所有子標籤
刪除 IDM 使用者	刪除 Identity Manager 使用者帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Delete])、[Find Users] 子標籤 [Tasks] — 所有子標籤
取消佈建使用者	刪除並取消連結現有的資源帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Deprovision])、[Find Users] 子標籤 [Tasks] — 所有子標籤
停用使用者	停用現有的使用者和資源帳號。不包括批次作業	[Accounts] — [List Accounts] (僅 [Disable])、[Find Users] 子標籤 [Tasks] — 所有子標籤
啟用使用者	啟用現有的使用者和資源帳號。不包括批次作業	[Accounts] — [List Accounts] (僅 [Enable])、[Find Users] 子標籤 [Tasks] — 所有子標籤
匯入使用者	從定義的資源匯入使用者。	[Accounts] — [Extract to File]、[Load from File]、[Load from Resource] 子標籤
匯入/匯出管理員	匯入和匯出所有類型的物件。	[Configure] — [Import Exchange File] 子標籤
授權管理員	設定 Identity 系統產品授權	提供 lh license 指令存取。(此能力不提供非管理員介面標籤。)
登入管理員	編輯指定登入介面的一組登入模組。	[Configure] — [Login] 子標籤
中介檢視管理員	修改身份識別屬性配置	[Meta View] — [Identity Attributes] 標籤
組織管理員	建立、編輯和刪除組織。	[Accounts] — [List Accounts] 子標籤 (僅 [Edit Organizations]、[Create Organization]、[Edit Directory Junction]、[Create Directory Junction] 和 [Delete Organizations])
組織核准人	核准新組織請求。	[Work Items] — [Approvals] 子標籤
組織違規歷程記錄管理員	建立、修改、刪除和執行「組織違規歷程記錄」報告。	[Reports] — 僅 [Organization Violation History Report]
密碼管理員	變更和重設使用者與資源帳號密碼。	[Accounts] — [List Accounts] (僅限列出、變更及重設密碼)、[Find Users] 子標籤 [Passwords] — 所有子標籤 [Tasks] — 所有子標籤
密碼管理員 (需要驗證)	在成功驗證使用者的身份認證問題答案後，變更和重設使用者與資源帳號密碼。	[Accounts] — [List Accounts] (僅限列出、變更及重設密碼；必須先驗證才能進行下一個動作)、[Find Users] 子標籤 [Passwords] — 所有子標籤 [Tasks] — 所有子標籤
策略管理員	建立、編輯和刪除策略。	[Configure] — [Policy] 子標籤
策略摘要報告管理員	建立、修改、刪除和執行「策略摘要報告」。	[Reports] — 僅 [Policy Summary Report]
調解管理員	編輯調解策略和控制調解作業。	[Server Tasks] — 所有子標籤 (檢視調解作業)。 [Resources] — [List Resources] 子標籤。
調解報告管理員	建立、編輯、刪除和執行調解報告。	[Reports] — [Run Reports] (僅 [Account Index Report])、[Manage Reports] 子標籤
調解請求管理員	管理調解請求。	[Tasks] — 所有子標籤 [Resources] — [List Resources] 子標籤 (僅限列出及調解功能)。
Remedy 整合管理員	修改 Remedy 整合配置。	[Tasks] — 所有子標籤 (檢視作業，執行角色同步化)。 [Configure] — [Remedy Integration] 子標籤
重新命名使用者	重新命名現有的使用者和資源帳號。	[Accounts] — [List Accounts] 子標籤 (列出範圍中的所有帳號、重新命名使用者)
報告管理員	配置稽核設定和執行所有報告類型。	[Tasks] — 所有子標籤 (檢視作業，執行角色同步化)。 [Reports] — 所有子標籤
重設密碼管理員	重設使用者和資源帳號密碼。	[Accounts] — [List Accounts]、[Find Users] 子標籤 (僅限 [Reset Password]) [Passwords] — 所有子標籤 [Tasks] — 所有子標籤。僅 [Export Password Scan] 作業 (從 [Run Tasks] 子標籤)
重設密碼管理員 (需要驗證)	在成功驗證使用者的身份認證問題答案後，重設使用者和資源帳號密碼。	[Accounts] — [List Accounts]、[Find Users] 子標籤 (僅限 [Reset Password]；必須先驗證才能執行動作) [Passwords] — 所有子標籤 [Tasks] — 所有子標籤。僅 [Export Password Scan] 作業 (從 [Run Tasks] 子標籤)
重設資源密碼管理員	重設資源管理員帳號密碼。	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 [Resources] — [List Resources] 子標籤。僅重設資源密碼 (透過 [Actions] 功能表的 [Manage Connection] -->重設密碼)
資源管理員	建立、修改和刪除資源。	[Reports] — 資源使用者報告及資源群組報告會傳回有關範圍之外資源的錯誤。 [Resources] — [List Resources] 子標籤 (編輯全域策略、編輯參數、資源群組。無法管理連線或資源物件)。
資源群組管理員	建立、編輯和刪除資源群組。	[Resources] — [List Resource Groups] 子標籤
資源物件管理員	建立、修改和刪除資源物件。	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 (檢視涉及資源物件的作業) [Resources] — [List Resources] 子標籤 (僅限列出及管理資源物件)。
資源密碼管理員	變更和重設資源代理帳號密碼。	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 [Resources] — [List Resources] 子標籤。僅變更資源密碼 (從 [Actions] 功能表中的 [Manage Connection] > [Change Password])
資源報告管理員	建立、編輯、刪除和執行資源報告。	[Reports] — 所有子標籤 (僅限資源報告)
資源違規歷程記錄管理員	建立、修改、刪除和執行「資源違規歷程記錄」報告。	[Reports] — 僅 [Resource Violation History Report]
風險分析管理員	建立、編輯、刪除和執行風險分析。	[Risk Analysis] — 所有子標籤
角色管理員	建立、修改和刪除角色。	[Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 (同步化角色) [Roles] — 所有子標籤
角色報告管理員	建立、編輯、刪除和執行資源報告。	[Reports] — 僅 [Role Report]
執行存取檢閱詳細資訊報告	執行存取檢閱詳細資訊報告	[Reports] — 僅 [Access Review Detail Report]
執行存取檢閱摘要報告	執行存取檢閱摘要報告	[Reports] — 僅 [Access Review Summary Report]
執行管理員報告	執行管理員報告。	[Reports] — 僅 [Admin Report]。
執行稽核策略掃描管理員	執行和管理稽核策略掃描報告	[Reports] — 僅 [Audit Policy Scan Report]
執行稽核策略掃描報告	執行稽核策略掃描報告。	[Reports] — 僅 [Audit Policy Scan Report]
執行稽核報告	執行稽核報告。	[Reports] — 僅 [AuditLog Report] 及 [Usage Report]
執行已稽核的屬性報告	執行「已稽核的屬性報告」。	[Reports] — 僅 [Audited Attribute Report] [Reports] > [View Dashboards]
執行 Auditor 報告	執行任何 Auditor 報告。	[Reports] — 任何 Auditor 報告 [Reports] > [View Dashboards]
執行稽核記錄報告	執行「稽核記錄報告」。	[Reports] — 僅 [AuditLog Report]
執行稽核策略違規歷程記錄	執行「組織違規歷程記錄」報告。	[Reports] — 僅 [AuditPolicy Violation History Report] [Reports] > [View Dashboards]
執行策略摘要報告	執行「策略摘要報告」。	[Reports] — 僅 [Policy Summary Report]
執行組織違規歷程記錄	執行「組織違規歷程記錄」報告。	[Reports] — 僅 [Organization Violation History Report] [Reports] > [View Dashboards]
執行調解報告	執行調解報告。	[Reports] — 僅 [AuditLog Report] 及 [Usage Report]
執行資源報告	執行資源報告。	[Reports] — 僅 [AuditLog Report] 及 [Usage Report]
執行資源違規歷程記錄	執行「資源違規歷程記錄」報告。	[Reports] — 僅 [Resource Violation History Report]
執行風險分析	執行風險分析。	[Reports] — [Run Risk Analysis]、[View Risk Analysis] 子標籤
執行角色報告	執行角色報告。	[Reports] — 僅 [Role Report]
執行作業報告	執行作業報告。	[Reports] — 僅 [Task Report]
執行使用者存取報告	執行「詳細使用者報告」。	[Reports] — 僅 [User Access Report] [Reports] > [View Dashboards]
執行使用者報告	執行使用者報告。	[Reports] — 僅 [User Report]
執行違規摘要報告	執行「違規摘要」報告。	[Reports] — 僅 [Violation Summary Report] [Reports] > [View Dashboards]
安全管理員	建立具有權能的管理員、管理加密金鑰、登入配置和策略。	[Accounts] — [List Accounts] (刪除、建立、更新、編輯、變更及編輯密碼)、[Find Users] 子標籤 (稽核報告) [Passwords] — 所有子標籤 [Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤 [Reports] — 所有子標籤 [Resources] — [List Resources] (列出及控制資源物件)。 [Security] — [Policies]、[Login] 子標籤
責任分離報告管理員	建立、編輯、執行和刪除責任分離報告。	[Report] — 僅限對責任分離報告的所有動作
執行責任分離報告	執行責任分離報告	[Reports] — 僅 [Separation of Duties Report] [Reports] > [View Dashboards]
服務提供者管理員角色	管理服務提供者管理員角色和關聯的規則。	[Security] — [Admin Roles] 標籤
「服務提供者」的管理員	建立、編輯和管理服務提供者使用者和作業事件；配置作業事件資料庫和追蹤的事件。	[Accounts] — [Manage Service Provider Users] 子標籤 [Server Tasks] > [Service Provider Transactions] 標籤 [Reports] > [View Dashboards] 標籤 [Reports] > [Dashboard Configuration] 標籤 [Service Provider] — 所有子標籤
「服務提供者」的建立使用者	為服務提供者 (企業外部網路) 使用者建立使用者帳號。	[Accounts] — [Manage Service Provider Users] 子標籤
「服務提供者」的刪除使用者	刪除服務提供者使用者帳號。	[Accounts] — [Manage Service Provider Users] 子標籤
「服務提供者」的更新使用者	更新服務提供者使用者帳號。	[Accounts] — [Manage Service Provider Users] 子標籤
服務提供者使用者管理員	管理服務提供者 (企業外部網路) 使用者。	[Accounts] > [Manage Service Provider Users] — 所有子標籤
服務提供者檢視使用者	檢視服務提供者 (企業外部網路) 使用者帳號資訊。	[Accounts] — [Manage Service Provider Users] 子標籤
SPML 存取	允許存取 Identity Manager 中的服務佈建標記語言 (SPML) 功能。	[Security] — [Capabilities] 子標籤
作業報告管理員	建立、編輯、刪除和執行作業報告。	[Reports] — 僅 [Task Report]。
取消指定使用者	取消指定並取消連結現有的資源帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Unassign])、[Find Users] 子標籤 [Tasks] — 所有子標籤
取消連結使用者	取消連結現有的資源帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Unlink])、[Find Users] 子標籤 [Tasks] — 所有子標籤
取消鎖定使用者	解除鎖定現有使用者支援解除鎖定的資源帳號。不包括批次處理作業。	[Accounts] — [List Accounts] (僅 [Unlock])，[Find Users] 子標籤 [Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤
更新使用者	編輯現有使用者和發起使用者更新請求。	[Accounts] — 編輯和更新使用者 [Tasks] — 管理現有作業 (從 [All Tasks] 子標籤)
使用者存取報告管理員	建立、執行、編輯和刪除使用者存取報告	[Reports] — 僅 [User Access Report] [Reports] > [View Dashboards]
使用者帳號管理員	對使用者執行所有作業。	[Accounts] — [List Accounts]、[Find Users]、[Extract to File]、[Load from File]、[Load from Resource] 子標籤。無法指定使用者權能 ([List Accounts] 子標籤上的 [Security] 表單標籤)。 [Tasks] — [Find Tasks]、[All Tasks]、[Run Tasks] 子標籤
使用者報告管理員	建立、編輯、刪除和執行使用者報告。	[Reports] — [Run User Report]。
檢視使用者	檢視個別使用者詳細資訊。	[Accounts] — 從清單選取使用者以檢視個別使用者帳號資訊。不允許執行變更動作。
違規摘要報告管理員	建立、修改、刪除和執行「違規摘要」報告。	[Reports] — 僅 [Violation Summary Report] [Reports] > [View Dashboards]
Waveset 管理員	執行系統範圍的作業，如修改系統配置物件。	[Server Tasks] — 所有子標籤。同步化角色、編輯來源配接器範本，並排程報告。 [Reports] — 所有子標籤 [Resources] — [List Resources] (僅列出，不允許變更動作) [Configure] — [Audit]、[Email Templates]、[Form and Process Mappings] 和 [Servers] 子標籤

---

瞭解與管理管理員角色

管理員角色可將權能和控制範圍或受管理組織的唯一集合指定給一個或多個管理員。可將多個管理員角色指定給一個管理員。這可讓管理員在一個控制範圍內具有一個權能集，而在另一個控制範圍內具有不同的權能集。

例如，對於指定了某管理員角色的管理員，該管理員角色可授予其建立和編輯屬於該管理員角色所指定受控制組織成員之使用者的權限。然而，指定給該管理員的其他管理員角色僅可授予其在該管理員角色所指定受控制組織中變更使用者密碼的權限。

建議將管理員角色用於授予管理員權限，而非直接將權能和受控制組織指定給使用者。管理員角色允許重複使用權能及範圍或控制配對，並可簡化大量使用者的管理員權限的管理工作。

可以直接或間接 (動態) 將權能或組織 (或二者) 指定給某個管理員角色：

直接 — 使用此方法，會將權能和/或受控制組織明確指定給管理員角色。例如您可將使用者報告管理員權能與 Top 受控制組織指定給某管理員角色。
動態 (間接) — 此方法使用權能和受控制組織指定規則。每當已指定該管理員角色的管理員登入時，均會評估該規則，以根據認證管理員動態確定權能和/或受控制組織的明確集合。

例如，當使用者登入時：

如果其 Active Directory (AD) 使用者稱謂為管理者，則該權能規則可能會傳回 [Account Administrator] 做為要指定的權能。
如果其 Active Directory (AD) 使用者部門為銷售，則受控制組織規則可能傳回 [Marketing] 做為要指定的受控制組織。

請參閱以下有關設定這些規則的重要資訊。

可以直接或間接 (動態) 將管理員角色指定給管理員：

直接 — 明確將管理員角色指定給管理員 (使用者帳號)。
間接 (動態) — 使用管理員角色規則來指定管理員角色。Identity Manager 會在每次管理員登入時對該規則進行評估，以確定是否要將管理員角色指定給認證管理員。

例如，當使用者登入時，如果其 Active Directory (AD) 使用者城市為 Austin 並且州為 Texas，則該規則可能傳回 true。這樣，便指定了管理員角色。

備註	可為每個登入介面 (例如，使用者介面或管理員介面) 啟用或停用將管理員角色動態指定給使用者，方法是將系統配置屬性 security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface 設定為 true 或 false。所有介面的預設均為 false。

管理員角色規則

Identity Manager 提供了可用於建立管理員角色規則的範例規則。這些規則位於 Identity Manager 安裝目錄中的 sample/adminRoleRules.xml。表 5-2 提供了規則名稱以及您必須為規則指定的 authType。

表 5-2  管理員角色範例規則

規則名稱	authType
受控制組織規則	ControlledOrganizationsRule
權能規則	CapabilitiesRule
已為使用者指定管理員角色規則	UserIsAssignedAdminRoleRule

備註	如需有關為服務提供者使用者管理員角色提供之範例規則的資訊，請參閱「服務提供者管理」一章中委託管理。

使用者管理員角色

Identity Manager 包含內建管理員角色，名為「使用者管理員角色」。依預設，未向其指定權能或受控制組織。您無法將其刪除。此管理員角色在登入時即已指定給所有使用者 (一般使用者和管理員)，而與其登入的介面 (例如使用者介面、管理員介面、主控台介面或 IDE 介面) 無關。

備註	如需有關為服務提供者使用者建立管理員角色的資訊，請參閱「服務提供者管理」一章中委託管理。

您可以透過管理員介面編輯使用者管理員角色 (選取 [Security]，然後選取 [Admin Roles])。

由於透過此管理員角色靜態指定的任何權能或控制的組織，會指定給所有的使用者，所以建議透過規則來指定權能與控制的組織。這將使不同的使用者有不同的權能 (或沒有權能)，而且指定將根據某些因素 (例如他們的身分、所屬的部門或是否為管理員) 來確定範圍，這些因素可以在規則的上下文中查詢。

使用者管理員角色不停用或替代工作流程中使用的 authorized=true 旗標。當使用者不應存取由工作流程存取的物件時，此旗標依然適用，除非工作流程正在執行。本質上來說，這會讓使用者進入以超級使用者身份執行模式。

然而如果使用者應該要能在工作流程外 (也可能在工作流程內) 存取一個或多個物件，則利用使用者管理員角色動態指定權能和受控制組織的方式，就能讓這些物件有動態、精細的授權機制。

建立和編輯管理員角色

若要建立或編輯管理員角色，必須要為您指定「管理員角色管理員」權能。若要在管理員介面中存取管理員角色，請按一下 [Security]，然後按一下 [Admin Roles] 標籤。[Admin Roles] 清單頁可讓您為 Identity Manager 使用者和服務提供者使用者建立、編輯和刪除管理員角色。

若要編輯現有的管理員角色，請按一下清單中的名稱。按一下 [New] 可建立管理員角色。Identity Manager 會顯示 [Create Admin Role] 選項 (如圖 5-5 所示)。[Create Admin Role] 檢視顯示四個標籤，您可以用來指定一般屬性、權能和新管理員角色的範圍，以及將角色指定給使用者。

圖 5-5  管理員角色建立頁面：[General] 標籤

[General] 標籤

可使用 [Create Admin Role] 或 [Edit Admin Role] 檢視的 [General] 標籤來指定管理員角色的以下基本特徵：

[Name] — 此管理員角色的唯一名稱。

例如，您可以為對財務部門 (或組織) 中的使用者具有管理權能的使用者建立財務管理員角色

[Type] — 為類型選取 [Identity Objects] 或 [Service Provider Users]。這是必填欄位。

如果您為 Identity Manager 使用者 (或物件) 建立管理員角色，請選取 [Identity Objects]。如果您建立管理員角色是為了將存取權限授予服務提供者使用者，請選取 [Service Provider Users]。

備註	如需有關建立管理員角色以將存取權限授予服務提供者使用者的資訊，請參閱「服務提供者管理」一章中委託管理。

[Assigners] — 選取可以將此管理員角色指定給其他使用者的使用者。

如果未選取任何使用者，則唯一能夠指定此管理員角色的使用者為建立此管理員角色的使用者。如果建立該管理員角色的使用者並沒有指定 [Assign User Capabilities] 權能，請選取一個或多個使用者做為 [Assigners]，以確保至少有一位使用者能夠為其他使用者指定管理員角色。

[Organizations] — 選取可使用此管理員角色的一或多個組織。這是必填欄位。

管理員可管理階層中指定組織或指定組織下的任何組織中的物件。

控制範圍

使用此標籤 (如圖 5-6 所示) 可指定此組織的成員可以管理的組織，或指定可確定該管理員角色之使用者所要管理組織的規則，以及為該管理員角色選取使用者表單。

圖 5-6  建立管理員角色：控制範圍

[Controlled Organizations] — 從 [Available Organizations] 清單中選取此管理員角色有權管理的組織。
[Controlled Organizations Rule] — 為已指定該管理員角色的使用者所要控制的零個或多個組織選取在使用者登入時要進行評估的規則。選取的規則必須具有 ControlledOrganizationsRule authType。依預設，不會選取任何受控制組織規則。
[Controlled Organizations User Form] — 選取使用者表單，已指定該管理員角色的使用者將在建立或編輯屬於此管理員角色之受控制組織的使用者時使用該表單。依預設，不會選取任何受控制組織使用者表單。

透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。不會置換直接指定給管理員的使用者表單。

指定權能

指定給管理員角色的權能決定已指定該管理員角色之使用者的權限。例如，此管理員角色可能被限制於僅為其控制的組織建立使用者。在這種情況下，您可以指定建立使用者權能。

在 [Capabilities] 標籤上，可選取以下選項：

[Capabilities] — 這些是管理員角色使用者所用有的對其受控制組織的特定權能 (管理權限)。您可以從可用權能清單中選取一個或多個權能，並將它們移至 [Assigned Capabilities] 清單。
[Capabilities Rule] — 選取使用者登入時將評估的規則，將決定為已指定該管理員角色的使用者授予的零個或多個權能之清單。選取的規則必須具有 CapabilitiesRule authType。

將使用者表單指定給管理員角色

您可將使用者表單指定給管理員角色的成員。使用 [Create Admin Role] 或 [Edit Admin Role] 檢視中的 [Assign To Users] 標籤來指定此指定。

指定管理角色的管理員在建立或編輯使用者 (隸屬該管理角色所控制的組織) 時，將使用這個使用者表單。透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。不會置換直接指定給管理員的使用者表單。

編輯使用者時將使用的使用者表單取決於以下優先順序：

如果直接將使用者表單指定給管理員，則會使用該表單。
如果沒有將使用者表單直接指定給管理員，但管理員已被指定可執行下列功能的管理員角色：
控制正在建立或編輯的使用者為其成員的組織，而且
指定使用者表單

則會使用該使用者表單。

如果沒有將使用者表單直接或透過管理員角色間接指定給管理員，則會使用指定給管理員之成員組織的使用者表單 (從管理員的成員組織開始，直到 Top 的下一層級)。
如果沒有指定使用者表單給任何一個管理員成員組織，則會使用預設使用者表單。

如果管理員被指定多個管理員角色，這些角色控制相同的組織但指定了不同的使用者表單，則當其嘗試在該組織中建立或編輯使用者時會顯示錯誤。如果管理員嘗試指定兩個或兩個以上控制相同組織但指定了不同使用者表單的管理員角色，則會顯示錯誤。除非解決衝突，否則無法儲存變更。

---

管理工作項目

由 Identity Manager 中作業產生的某些工作流程程序可建立動作項目或工作項目。這些工作項目可能是核准請求，或指定給 Identity Manager 帳號的某些其他動作請求。

Identity Manager 將所有工作項目聚集到介面的 [Work Items] 區域中，以使您可以從一個位置檢視和回應所有擱置請求。

工作項目類型

工作項目可以是以下任一類型：

[Approvals] — 對新帳號或帳號變更的核准請求。
[Attestations] — 檢視並核准使用者權限的請求。
[Remediations] — 修正或緩解使用者帳號策略違規的請求。
[Other] — 標準類型的動作項目請求，但有一個類型除外，即從自訂工作流程中產生的動作請求。

若要檢視每個工作項目類型的擱置工作項目，請按一下功能表列中的 [Work Items] 標籤。您可以存取您的工作項目以透過此標籤管理請求，或選取其中一種工作項目類型以列出對此類型的請求。

備註	如果您是具有擱置工作項目 (或委託工作項目) 的工作項目所有者，則在您登入 Identity Manager 使用者介面時會顯示您的 [Work Items] 清單。

處理工作項目請求

若要回應工作項目請求，請按一下介面之 [Work Items] 區域中的一個工作項目類型。從請求清單中選取項目，然後按一下一個可用按鈕以指示您要執行的動作。工作項目選項因工作項目類型而異。

如需有關回應請求的更多資訊，請參閱以下主題：

帳號核准
管理驗證責任
修正與緩解

檢視工作項目歷程記錄

使用 [Work Items] 區域中的 [History] 標籤可檢視先前工作項目動作的結果。圖 5-7 為工作項目歷程記錄檢視範例。

圖 5-7  工作項目歷程記錄檢視

委託工作項目

工作項目所有者可透過將工作項目委託給其他使用者達指定的時間長度，來管理工作負荷量。以下項目可用於委託工作項目：

[My Manager] — 將工作項目請求委託給為您帳號指定的管理員。
[Selected Users] — 將工作項目請求委託給您從搜尋結果清單中選取的一個或多個使用者。
[Delegate Approvers Rule] — 指定解析工作項目時要評估的規則。請從可用規則中選取規則。

若要停止委託工作項目，請在 [Delegate Work Items] 頁面中選取 [None]。

---

帳號核准

將使用者新增至 Identity Manager 系統時，指定為新帳號核准人的管理員必須驗證帳號建立。Identity Manager 支援三個核准種類，並套用至以下 Identity Manager 物件：

[Organization] — 若要將使用者帳號增加至組織，需要核准。
[Role] — 若要將使用者帳號指定給角色，需要核准。
[Resource] — 若要授予使用者帳號存取資源的權限，需要核准。

備註	您可以將 Identity Manager 配置為數字簽名的核准。如需說明，請參閱配置數位簽署的核准。

設定核准人

為這些種類中的每一種設定核准人是可選作業，但建議執行這個作業。對於已設定核准人的每個種類，帳號的建立至少需要進行一次核准。若一個核准人拒絕核准請求，則帳號不會建立。

您可以將多個核准人指定給每個種類。因為種類中只需要一次核准，您可以設定多個核准人以協助確保工作流程不會延遲或終止。若某個核准人無法使用，則其他核准人可以處理請求。核准僅適用於帳號設定。依預設，帳號更新與刪除不需要核准；然而，您可以自訂此程序，使其需要核准。

Identity Manager 會用一個工作流程圖來說明核准程序及帳號建立請求的狀態。您可以自訂工作流程，方法是使用 Identity Manager IDE 變更核准流程、擷取帳號刪除與擷取更新。

如需有關 IDE、工作流程以及變更核准工作流程之圖示範例的更多資訊，請參閱「Identity Manager Workflows, Forms, and Views」。

圖 5-8 說明了帳號建立工作流程，以及工作流程程序中適合進行核准的位置。

圖 5-8  帳號建立工作流程

Identity Manager 核准人既可核准也可拒絕核准請求。若要核准使用數位簽名的帳號，您必須先按照配置數位簽署的核准中的說明設定數位簽名。

您可以從 Identity Manager 介面的 [Work Items] 區域檢視擱置核准與管理核准。在 [Work Items] 頁面中，按一下 [My Work Items] 以檢視擱置核准。按一下 [Approvals] 標籤以管理核准。

簽署核准

遵循下列步驟來簽署核准。

在 Identity Manager 管理員介面中，選取 [Work Items]。
按一下 [Approvals] 標籤。
從清單中選取一或多個核准。
輸入核准註釋，然後按一下 [Approve]。

Identity Manager 提示您並詢問是否信任該 Applet。

按一下 [Always]。

Identity Manager 將顯示一個註有日期的核准摘要。

按 Enter 鍵或按一下 [Browse] 以找到金錀庫的位置 (此位置在配置簽署的核准期間設定，如簽署核准的用戶端配置程序中步驟 10m 所述)。
輸入金錀庫密碼 (此密碼在配置簽署的核准期間設定，如簽署核准的用戶端配置程序中步驟 101 所述)。
按一下 [Sign] 核准請求。

簽署後續核准

簽署核准之後，後續同意動作僅需輸入金鑰庫密碼並按一下 [Sign]。(Identity Manager 應該會從上一次核准中記住金鑰庫位置。)

配置數位簽署的核准

使用以下資訊與程序來設定數位簽署的核准。本小節討論的主題說明了將憑證和 CRL 增加至 Identity Manager 所需的伺服器端和用戶端簽署核准配置。

簽署核准的伺服器端配置

若要啟用伺服器端配置，請執行以下步驟：

在系統配置中，設定 security.nonrepudiation.signedApprovals=true
將您的認證機構 (CA) 的憑證增加為可信任的憑證。若要如此，您必須首先取得憑證的副本。

例如，如果您正在使用 Microsoft CA，請遵循如下類似步驟：

請至 http://IPAddress/certsrv，並使用管理權限登入。
從清單中選取擷取 CA 憑證或憑證撤銷清單，然後按一下 [Next]。
下載並儲存 CA 憑證。
將憑證增加至 Identity Manager 做為可信任的憑證：
從管理員介面選取 [Configure]，然後選取 [Certificates]。Identity Manager 將顯示 [Certificates] 頁面。

圖 5-9  憑證



在 [Trusted CA Certificates] 區域中，按一下 [Add]。Identity Manager 將顯示 [Import Certificate] 頁面。
瀏覽至並選取可信任的憑證，然後按一下 [Import]。

現在憑證即顯示在可信任的憑證清單中。

增加 CA 的憑證撤銷清單 (CRL)：
在 [Certificates] 頁面的 [CRLs] 區域中，按一下 [Add]。
輸入 CA CRL 的 URL。

備註	憑證撤銷清單 (CRL) 為被撤銷或無效的憑證序列號之清單。 CA CRL 的 URL 可以為 http 或 LDAP。 每個 CA 具有不同的 URL 來發行 CRL；您可以透過瀏覽 CA 憑證的 CRL 發佈點擴充來確定此位置。

按一下 [Test Connection] 以驗證該 URL。
按一下 [Save]。
使用 jarsigner 簽署 applets/ts1.jar。

備註	請參閱 http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html，以取得更多資訊。Identity Manager 隨附的 ts1.jar 檔案使用自我簽署憑證進行簽署，不應用於生產系統。在生產中，此檔案應該使用可信任憑證發出的編碼簽署憑證來重新簽署。

簽署核准的用戶端配置

若要啟用用戶端配置，請執行以下步驟：

先決條件

用戶系統必須執行 JRE 1.4 或更高版本的 Web 瀏覽器。

程序

取得憑證和私密金鑰，然後將他們匯出至 PKCS#12 金鑰庫。

例如，如果您正在使用 Microsoft CA，請遵循如下類似步驟：

使用 Internet Explorer 瀏覽至 http://IPAddress/certsrv，然後使用管理權限登入。
選取 [Request a certificate]，然後按一下 [Next]。
選取 [Advanced request]，然後按一下 [Next]。
按 [Next]。
選取憑證範本使用者。
選取下列選項：
Mark keys as exportable
Enable strong key protection
Use local machine store
按一下 [Submit]，然後按一下[OK]。
按一下 [Install this certificate]。
選取 [Run] —> [mmc] 以啟動 mmc。
加入憑證快照：
選取 [Console]>[Add/Remove Snap-in]。
按一下 [Add...]。
選取電腦帳號。
按 [Next]，然後按一下 [Finish]。
按一下 [Close]。
按一下 [OK]。
移至 [Certificates] —> [Personal] —> [Certificates]。
在 [Administrator All Tasks] —> [Export] 上按一下滑鼠右鍵。
按 [Next]。
按 [Next] 來確認匯出私密金鑰。
按 [Next]。
提供密碼，然後按 [Next]。
將 CertificateLocation 歸檔。
按 [Next]，然後按一下 [Finish]。按一下 [OK] 來確認。

備註	請記下您在用戶端配置的步驟 101 (密碼) 和 10m (憑證位置) 中使用的資訊。您將需要該資訊來簽署核准。

檢視作業事件簽名

遵循下列步驟來檢視 Identity Manager 稽核記錄報告中的作業事件簽名。

從 Identity Manager 管理員介面，選取 [Reports]。
在 [Run Reports] 頁面上，從 [New...] 選項清單中選取 [AuditLog Report]。
在 [Report Title] 欄位中，輸入標題 (例如「Approvals」)。
在 [Organizations selection] 區域中，選取所有組織。
選取 [Actions] 選項，然後選取 [Approve]。
按一下 [Save] 儲存報告，並返回至 [Run Reports] 頁面。
按一下 [Run] 執行該核准報告。
按一下詳細資訊連結來查看作業事件簽名資訊，其中包括：
核發者
主旨
憑證序列號
簽署的訊息
簽名
簽名演算法

委託核准

如果您具有核准人權能，則可以將未來的核准請求委託給一個或多個使用者 (受委託人) 達指定的時間長度。使用者無需核准人權能即可受委託。

委託功能僅適用於未來的核准請求。現有請求 ([Awaiting Approval] 標籤下列出的請求) 透過轉寄功能進行轉寄。

若要設定委託，請在 [Approvals] 區域中選取 [Delegate My Approvals] 標籤。

如果您具有任何指定的權能，其授予您對工作項目或工作項目的任何 authType 延伸 (包括 Approval、OrganizationApproval、ResourceApproval 以及 RoleApproval)，或者延伸工作項目或其 authType 之一的任何自訂子類型的委託權限，則您可以存取委託功能。

您也可以從 [Create User]/[Edit User]/[View User] 頁面的 [Security] 表單標籤，以及使用者介面主功能表委託核准。

受委託人可以在有效的委託期間代表您核准任何請求。委託的核准請求會包含受委託人的名稱。

請求的稽核記錄項目

如果已委託請求，則已核准和已拒絕之核准請求的稽核記錄項目會包含您 (委託人) 的名稱。當建立或修改使用者時，對使用者委託核准人資訊的變更將記錄在稽核記錄項目的詳細變更區段中。

上一頁      目錄      索引      下一頁

---

文件號碼： 820-0141。   Copyright 2006 Sun Microsystems, Inc. 版權所有。