第 11 章
身份識別稽核
本章說明了 Identity Manager 中的功能,這些功能可讓您設定稽核控制以監視和管理企業資訊系統和應用程式中的稽核與規範遵循。
所述功能的重點在於如何執行稽核檢閱和實作實踐,以協助您維護安全性控制和管理對聯邦法規的規範遵循。
在本章中,您將瞭解以下概念與作業:
身份識別稽核的目標
身份識別稽核解決方案可透過以下方法提高稽核效能︰
Identity Manager 稽核策略功能可讓您定義違規的規則 (條件)。定義之後,系統便會掃描違反既定策略的動作,例如未經授權的存取變更或錯誤的存取權限。如果偵測到這類動作,系統會根據定義的層級上報鏈通知適當的人員或應用程式。接著,使用者呼叫的工作或自動由策略違規呼叫的工作流程便會補救 (更正) 該違規。
您可以執行定期存取檢閱 (PAR) 來收集使用者軟體權利文件記錄,並確定哪些軟體權利文件需要檢閱。然後 PAR 程序便會向指定驗證者通知要檢閱的擱置請求,並在驗證者對這些請求執行的動作完成後更新狀態或擱置請求。
瞭解身份識別稽核
Identity Manager 提供兩項不同的功能,用於稽核使用者帳號權限和存取權限以及維護和認證規範遵循,即基於策略的規範遵循和定期存取檢閱。
基於策略的規範遵循
Identity Manager 透過稽核策略系統使管理員能夠維護公司建立之所有使用者帳號需求的規範遵循。
稽核策略可用於透過以下兩種不同卻互補的方式來確保規範遵循:連續規範遵循和定期規範遵循。
在佈建作業可能在 Identity Manager 外部執行的環境中,這兩種技術更具互補性。無論何時,只要不執行現有稽核策略的程序可變更帳號,就需要定期規範遵循。
連續規範遵循
連續規範遵循表示策略套用至所有佈建作業,如此便無法使用與目前策略不相容的方式修改帳號。
透過將稽核策略指定給組織和/或使用者可啟用連續規範遵循。對使用者執行的所有佈建作業都將導致同時呼叫使用者指定的策略和組織指定的策略。
組織指定的策略是以階層方式取得的單一值策略。換言之,對於任何使用者都僅有一個有效的組織策略,該策略就是指定給最低層組織的策略。例如:
|
組織
|
直接指定的策略
|
有效的策略
|
|
Austin
|
策略 A
|
策略 A
|
|
銷售
|
|
策略 A
|
|
開發
|
策略 B
|
策略 B
|
|
支援
|
|
策略 B
|
|
測試
|
策略 C
|
策略 C
|
|
財務
|
|
策略 A
|
|
Houston
|
|
<無>
|
|
|
備註
|
在前面的範例中,直接指定的策略可以是一系列策略。
|
|
定期規範遵循
定期規範遵循表示 Identity Manager 依需要評估策略,並且將所有不相容的條件擷取為規範遵循違規。
執行定期規範遵循掃描時,您可以選取要在掃描中使用的策略。掃描程序會調合直接指定的策略 (使用者指定的策略和組織指定的策略) 與任意一組已選取的策略。
具有 Auditor 管理員權能的 Identity Manager 管理員可以建立稽核策略,並透過定期檢閱監視對這些策略的規範遵循與策略違規。可透過修正和緩解程序管理違規。如需有關 Auditor 管理員權能的更多資訊,請參閱瞭解與管理權能。
Identity Manager 稽核允許常規的使用者掃描,並且會執行稽核策略以偵測是否與已建立的帳號限制有偏差。一旦偵測到違規,便會啟動修正作業。這些規則可以是 Identity Manager 提供的標準稽核策略規則,也可以是自訂的使用者定義規則。
|
|
備註
|
必須先為規範遵循管理啟動並配置稽核,然後您才能執行稽核檢閱和管理規範遵循。如需相關資訊,請參閱啟用稽核。
|
|
基於策略之規範遵循的邏輯作業流程
下圖顯示了用於完成本小節中所述稽核作業的邏輯作業流程。
定期存取檢閱
Identity Manager 提供定期存取檢閱功能,可讓管理員與其他責任方臨時或定期檢閱和驗證使用者存取權限。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
啟用稽核
必須先啟用 Identity Manager 稽核記錄系統並將其配置為收集稽核事件,您才能開始管理規範遵循與存取檢閱。依預設,啟用稽核系統。具有配置稽核權能的 Identity Manager 管理員可以配置稽核。
Identity Manager 提供規範遵循管理稽核配置群組。若要檢視或修改規範遵循管理群組儲存的事件,請選取功能表列中的 [Configure],然後按一下 [Audit]。在 [Audit Configuration] 頁面中,選取 [Compliance Management] 稽核群組名稱。
如需有關設定稽核配置群組的更多資訊,請參閱「配置」一章中的配置稽核群組和稽核事件。
如需有關稽核系統如何記錄事件的資訊,請參閱第 12 章「稽核記錄」。
介面的 [Compliance] 區域
您可以在 Identity Manager 管理員介面的 [Compliance] 區域中建立並管理稽核策略。選取功能表列中的 [Compliance] 以存取 [Manage Policies] 頁面,該頁面會列出您有權檢視和編輯的策略。您還可以在此區域中管理存取掃描。
管理策略
在 [Manage Policies] 頁面中,您可以使用稽核策略完成以下作業︰
- 建立新的稽核策略
- 選取策略以進行檢視或編輯
- 刪除策略
「處理稽核策略」小節中將提供有關這些作業的更詳細資訊。
管理存取掃描
使用 [Compliance] 區域中的 [Manage Access Scans] 標籤可定義、修改和執行存取檢閱掃描。您可以使用此區域定義要執行或要排定為定期存取檢閱的掃描。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
存取檢閱
[Compliance] 區域中的 [Access Review] 標籤可讓您存取可協助您監視存取檢閱進度的資訊。其將顯示包含資訊連結 (在網路型介面中可用) 的掃描結果摘要報告,這些資訊連結可讓您存取有關檢閱狀態和擱置作業的更詳細資訊。
如需有關此功能的更多資訊,請參閱管理存取檢閱。
關於稽核策略
稽核策略是針對一個或多個資源之一組使用者的帳號限制的定義。其包括定義策略限制的規則,以及發生違規後用於處理違規的工作流程。稽核掃描會使用在稽核策略中定義的條件來評估您的組織中是否發生違規狀況。
稽核策略包含以下元件:
- [Policy rules],可包含以 XPRESS、XML Object 或 JavaScript 語言撰寫之定義特定違規的函數。
- [Remediation workflow],當稽核掃描識別出策略規則違規時,便會選擇性地將其啟動。
- 補救者,即授權要回應策略違規的指定管理員。修正者可以是個別使用者或使用者群組。
- 組織指定,定義可使用此策略的組織
- [User assignments],定義應套用此策略的使用者。
稽核策略規則
在稽核策略中,規則會根據屬性來定義可能的衝突。Auditor 規則中的變數受限於與使用者相關聯的特定資源的屬性。稽核策略可能包含參照廣泛資源的上百個規則。
引數可以傳遞至規則以控制其行為,而規則可以參照和修改表單或補救工作流程所維護的變數。
規則必須包含 SUBTYPE_AUDIT_POLICY_RULE 類型定義。系統會自動為透過稽核策略精靈產生或從中參照的規則指定此類型。
Rule subtype='SUBTYPE_AUDIT_POLICY_RULE'
請參閱「Identity Manager Deployment Tools」中的「使用規則」,以取得有關規則邏輯的討論。
修正工作流程
建立定義策略違規的規則後,您要選取當稽核掃描偵測到違規時,將啟動的工作流程。Identity Manager 提供預設的「標準補救」工作流程,為「稽核策略」掃描提供預設的補救處理程序。除了其他動作之外,這個預設補救工作流程還會產生通知電子郵件給每個指定的第 1 級補救者 (必要時也會寄給其他層級的補救者)。
|
|
備註
|
修正工作流程與 Identity Manager 工作流程程序不同,必須為修正工作流程指定 AuthType=AuditorAdminTask and the SUBTYPE_REMEDIATION_WORKFLOW 類型。若您匯入工作流程以便用於稽核掃描,您必須手動新增這個屬性。請參閱(可選擇) 將工作流程匯入 Identity Manager 以取得更多資訊。
|
|
修正者
如果您指定修正工作流程,則必須至少指定一個修正者。您最多可以指定三個層級的授權修正者。如需有關修正的附加資訊,請參閱本章中的「修正與緩解」。
您必須先指定修正工作流程,才能指定修正者。
稽核策略方案範例
您負責應付帳款及應收帳款,並且必須實作某些程序來預防責任集中在會計部門員工身上的潛在風險。這個策略會執行四個規則來檢查應付帳款的負責人員並未同時又負責應收帳款。
- 四個規則集,每個規則分別都指定一個構成策略違規的條件
- 啟動補救工作的相關聯的工作流程
- 指定的管理員或修正者群組,他們有權檢視和回應前述規則指定的策略違規
當規則辨別出策略違規 (也就是使用者擁有太多職權) 之後,相關聯的工作流程可以啟動特定的補救相關工作,包括自動通知選定補救者。
第 1 級補救者是當稽核掃描辨別出策略違規時,所要聯絡的第一批補救者。如果為稽核策略指定了多個層級,則當超過此區域中識別的提升期間時,Identity Manager 會通知下一層級中識別的修正者。
組織和補救工作流程區域
顯示目前和可能擁有這個策略的存取權限的組織。
此區域也會列出與稽核策略相關聯的補救工作流程「標準補救」工作流程會分別為每個第 1 級補救者產生工作項目和電子郵件通知。當第一位補救者對違規的工作項目採取行動時,此作業便得以繼續進行。如果在策略指定的逾時限制內沒有任何修正者採取動作,則 Identity Manager 會將違規提升至策略中的下一個修正層級 (取得新的修正者集與逾時)。
處理稽核策略
Identity Manager 提供稽核策略精靈,可協助您輕鬆設定稽核策略。定義稽核策略後,您可以對該策略執行各種動作,例如修改或刪除該策略。本小節中的主題說明了如何建立與管理稽核策略和稽核策略規則。
建立稽核策略
「稽核策略精靈」會引導您完成建立稽核策略的程序。若要存取稽核策略精靈,請在介面的 [Compliance] 區域中按一下 [Manage Policies],並建立新的稽核策略。
使用此精靈時,您將執行以下作業來建立稽核策略:
- 選取或建立您要用來定義策略限制的規則
- 指定核准人並建立上報限制
- 指定修正工作流程
完成每個精靈螢幕中顯示的工作後,按 [Next] 移至下一個步驟。
開始之前
建立稽核策略之前需要大量規劃,包括以下作業:
辨別您需要的規則
您在策略中指定的限制將在您建立或匯入的規則集中實作。使用稽核策略精靈建立規則時,您將:
- 識別正在使用的特定資源。
- 從資源的有效屬性清單中選取帳號屬性。
- 選取要強加在屬性上的條件。
- 輸入用於比較的值。
(可選擇) 將責任分離規則匯入 Identity Manager
稽核策略精靈無法建立責任分離規則。必須在 Identity Manager 外部建構這些規則,並使用 [Configure] 標籤中的 [Import Exchange File] 選項將其匯入。
(可選擇) 將工作流程匯入 Identity Manager
若要使用 Identity Manager 目前未提供的修正工作流程,請完成以下作業以匯入外部工作流程︰
- 設定 authType=AuditorAdminTask and add subtype=SUBTYPE_REMEDIATION_WORKFLOW。您可以選擇使用 Identity Manager IDE 或 XML 編輯器來設定這些配置物件。
- 使用「匯入交換檔案」選項來匯入工作流程。(您可以從「配置」標籤存取這項功能)。
成功匯入工作流程後,其便會顯示在 [Audit Policy Wizard] 中的 [Remediation Workflow] 選項清單中。
命名和說明稽核策略
在 [Audit Policy Wizard] 螢幕 (如圖 11-1 所示) 中輸入新策略的名稱及其簡要描述。
圖 11-1 稽核策略精靈︰輸入名稱與描述螢幕
如果選擇不命名規則,Identity Manager 會使用下列格式來指定預設名稱:Policy_Name::Rule1。
如果您希望在執行掃描時僅存取已選取的資源,請啟用 [Restrict target resources] 選項。
|
|
備註
|
如果稽核策略不限制資源,則掃描期間將存取使用者具有帳戶的所有資源。如果規則僅使用一些資源,則將策略限制為僅這些資源會更加有效。
|
|
按 [Next] 繼續下一頁。
選取規則
使用這個螢幕來啟動在策略中定義或包含規則的程序。建立策略時,您的工作主要就是定義和建立規則。
如圖 11-2 所示,您可以選擇使用 Identity Manager 規則精靈建立自己的規則,或結合現有規則。依預設會選取 [Rule Wizard] 選項。按 [Next] 啟動規則精靈,然後移至使用規則精靈建立新規則以取得有關建立規則的說明。
圖 11-2 稽核策略精靈︰選取規則類型螢幕
選取現有規則
選取規則選項後,按一下 [Existing Rule] 以將現有規則包含在新策略中。然後,按 [Next] 以檢視並選取您可以存取的現有稽核策略規則。
從 [Rules] 選項清單中選取其他規則,然後按 [Next]。
|
|
備註
|
如果看不到之前匯入 Identity Manager 的規則名稱,請確認您已將稽核策略規則中所述的附加屬性增加至規則中。
|
|
增加規則
您可以建立其他規則,也可以匯入現有規則。規則精靈僅允許在一項規則中使用一個資源。匯入的規則可依需要參照多個資源。
如有必要,請按一下 [AND] 或 [OR] 以繼續增加規則。若要移除某規則,請選取該規則,然後按一下 [Remove]。
僅當所有規則的布林表示式均評估為 true 時,才會發生策略違規。使用 AND/OR 運算子對規則進行分組後,即使所有規則均未評估為 true,策略也可能評估為 true。Identity Manager 僅針對評估為 true 的規則建立違規 (僅當策略表示式評估為 true 時)。
選取補救工作流程
使用這個螢幕來選取要與此策略相關聯的「補救」工作流程。此處指定的工作流程可決定在偵測到稽核策略違規時,要在 Identity Manager 內採取的行動。
圖 11-3 稽核策略精靈︰選取修正工作流程螢幕
若要指定要與此修正工作流程相關聯的修正者,請按一下 [Specify Remediators?]啟用此核取方塊後按 [Next],將顯示 [Assign Remediators] 頁面。如果未啟用此核取方塊,則 [Audit Policy Wizard] 會接著顯示 [Assign Organizations] 螢幕。
為補救選取管理員和逾時
如果您選取指定修正者,則當偵測到針對此策略的違規時,指定給此稽核策略的修正者會收到通知。
您可以選擇指定至少一個第 1 級修正者,或指定的管理員。偵測到策略違規時,補救工作流程首先會使用電子郵件來聯絡第 1 級補救者。如果已達到指定的提升逾時期間而第 1 級修正者尚未回應,則 Identity Manager 接著會連絡您在此處指定的第 2 級修正者。僅當第 1 級或第 2 級修正者在提升時間段結束之前均無回應時,Identity Manager 才會連絡第 3 級修正者。
[Assigning Remediators] 是可選選項。如果您選取此選項,請按 [Next] 以在指定設定後繼續至下一個螢幕。
圖 11-4 稽核策略精靈︰選取第 1 級修正者區域
選取可以存取此策略的組織
使用圖 11-5 所示螢幕,可選取可以檢視和編輯此策略的組織。
圖 11-5 稽核策略精靈︰指定組織可視性螢幕
當您建立策略之後,策略便會列在可以從 [Compliance] 標籤存取的策略檢視中。
使用規則精靈建立新規則
如果您選擇使用 [Audit Policy Wizard] 中的 [Rule Wizard] 選項建立規則,請接著在下面各部分中所述的螢幕中輸入資訊。
命名和說明新規則
(可選擇) 使用此螢幕可輸入描述性文字,每次 Identity Manager 顯示規則時,描述性文字都會顯示在規則名稱旁邊。請輸入簡潔易懂且能夠描述規則的描述。這段說明會顯示在 Identity Manager 內的 [Review Policy Violations] 頁面中。
圖 11-6 稽核策略精靈︰輸入規則描述螢幕
例如,如果您建立的規則可識別同時具有 Oracle ERP responsibilityKey 屬性值 Payable User 與 Receivable User 屬性值的使用者,則可以在 [Description] 欄位中輸入以下文字:識別同時具有 Payable User 和 Receivable User 責任的使用者。
使用 [Comments] 欄位可提供有關規則的附加資訊。
選取規則參照的資源
使用這個螢幕來選取規則將參照的資源。每個規則變數都必須對應到這個資源的屬性。您具有檢視存取權限的所有資源都會顯示在這個選項清單中。在此範例中,已選取 Oracle ERP。
圖 11-7 稽核策略精靈︰選取資源螢幕
|
|
備註
|
支援每個可用資源適配器的大多數 (但不是全部) 的屬性。如需有關可用的特定屬性的資訊,請參閱「Identity Manager Resources Reference」。
|
|
按 [Next] 移至下一頁。
建立規則表示式
使用此螢幕可為您的新規則輸入規則表示式。此範例所建立的規則不允許具有 Oracle ERP responsibilityKey 屬性值 Payable User 的使用者同時具有 Receivable User 屬性值。
- 從可用屬性清單中選取使用者屬性。這個屬性會直接對應到規則變數。
- 從清單中選取邏輯條件。有效的條件包括 = (等於)、!= (不等於)、< (小於)、<= (小於或等於)、> (大於)、>= (大於或等於)、true、null、not null、以及 contains。針對此範例的目的,您可以從可能的屬性條件清單中選取 Contains。
- 輸入表示式的值。例如,如果輸入 Payable user,則您在指定具有 responsibilityKeys 屬性值 Payable user 的 Oracle ERP 使用者。
- (可選擇) 按一下 [AND] 或 [OR] 運算子以增加另一行並建立其他表示式。
圖 11-8 稽核策略精靈︰選取規則表示式螢幕
此規則會傳回布林值。如果兩個陳述式都為 true,那麼規則會傳回 TRUE 值,進而引發策略違規。
|
|
備註
|
Identity Manager 不支援規則套疊控制。如果指定了多個規則,則策略評估器永遠先執行 AND 作業,然後再執行 OR 作業。例如,R1 AND R2 AND R3 or R4 AND R5 (R1 + R2 + R3) | (R4 + R5)。
|
|
以下程式碼範例顯示了您已在此螢幕中建立之規則的 XML:
代碼範例 11-1 新建立之規則的 XML 語法範例
|
|
|
<Description>Payable User/Receivable User</Description>
|
|
<RuleArgument name='resource' value='Oracle ERP'>
|
|
<Comments>Resource specified when audit policy was created.</Comments>
|
|
<String>Oracle ERP</String>
|
|
</RuleArgument>
|
|
<and>
|
|
<contains>
|
|
<ref>accounts[Oracle ERP].responsibilityKeys</ref>
|
|
<s>Receivable User</s>
|
|
</contains>
|
|
<contains>
|
|
<ref>accounts[Oracle ERP].responsibilityKeys</ref>
|
|
<s>Payables User</s>
|
|
</contains>
|
|
</and>
|
|
<MemberObjectGroups>
|
|
<ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>
|
|
</MemberObjectGroups>
|
|
</Rule>
|
|
若要從規則中移除表示式,請選取屬性條件,然後按一下 [Remove]。
按 [Next] 以繼續執行 [Audit Policy Wizard]。接著,藉由使用精靈來建立新規則或新增現有規則,您將有機會新增其他規則。
編輯稽核策略
稽核策略的常見編輯工作包括:
- 新增或刪除規則
- 調整具有此策略存取權限的組織清單
- 變更與各個補救層級相關聯的上報逾時
- 變更與此策略相關聯的補救工作流程
編輯策略頁面
在 [Audit Policy] 名稱欄中按一下策略名稱,即可開啟 [Edit Audit Policy] 頁面。[Edit Audit Policy] 頁面隨即開啟。此頁面將稽核策略資訊分類成以下區域:
使用這個頁面區域可以:
- 編輯策略名稱和說明
- 新增或刪除規則
|
|
備註
|
您無法使用此產品來直接編輯現有的規則。請使用 Identity Manager IDE 或 XML 編輯器來編輯規則,然後將其匯入 Identity Manager。然後您可以移除舊版本,並加入新修改的版本。
|
|
編輯稽核策略名稱和說明
藉由選取欄位中的文字並輸入新文字,可以編輯 [Policy Description] 欄位和 [Rule Name] 欄位。
從策略中刪除規則
按一下規則名稱前面的 [Select] 按鈕,然後按一下 [Remove]。
新增規則到策略
按一下 [Add] 來附加您可以用來選取新增規則的新欄位。
變更策略使用的規則
在 [Rule Name] 欄中,從選項清單中選取其他規則。
修正者區域
圖 11-10 顯示了用於為策略指定修正者的修正者區域。
圖 11-10 [Edit Audit Policy] 頁面︰指定修正者
使用這個頁面區域可以:
移除或指定補救者
透過選取名稱並使用 
將每個修正層級之左側欄中的選項移至右側欄,來為一個或多個修正層級選取修正者。您必須至少選取一個修正者。
調整上報逾時
選取逾時值然後輸入新值。預設的逾時值為 60 分鐘。
修正工作流程與組織區域
圖 11-11 顯示了用於為稽核策略指定修正工作流程和組織的區域。
圖 11-11 [Edit Audit Policy] 頁面︰修正工作流程與組織
使用這個頁面區域可以:
- 變更發生策略違規時啟動的修正工作流程。
- 調整可以存取此策略的組織。
變更補救工作流程
若要變更指定給策略的工作流程,您可以從選項清單中選取替代工作流程。依預設,不為稽核策略指定任何工作流程。
|
|
備註
|
如果沒有為稽核策略指定任何工作流程,則不會將違規指定給任何修正者。
|
|
從清單中選取補救工作流程,然後按一下 [Save]。
指定或移除組織的可視性
調整可使用此稽核策略的組織,然後按一下儲存。
刪除稽核策略
從系統刪除稽核策略後,所有參照該策略的違規也將被刪除。
按一下 [Manage Policies] 以檢視策略後,可從介面的 [Compliance] 區域刪除策略。若要刪除稽核策略,請在策略檢視中選取策略名稱,然後按一下 [Delete]。
對稽核策略進行疑難排解
使用策略規則除錯程式通常是解決稽核策略問題的最佳辦法。
對規則進行除錯
若要對規則除錯,請將下列追蹤元素新增到規則程式碼中。
<block trace='true'>
<and>
�<contains>
��<ref>accounts[AD].firstname</ref>
��<s>Sam</s>
�</contains>
�<contains>
��<ref>accounts[AD].lastname</ref>
��<s>Smith</s>
�</contains>
</and>
</block>
問題:在 Identity Manager 介面中看不到我的工作流程。
請確認已將 subtype='SUBTYPE_REMEDIATION_WORKFLOW' 屬性增加到您的工作流程中。如果沒有這個子類型,便無法在 Identity Manager 介面中看到工作流程。
指定稽核策略
若要將稽核策略指定給組織,使用者必須至少具有指定組織稽核策略權能。若要將稽核策略指定給使用者,使用者必須具有指定使用者稽核策略權能。具有指定稽核策略權能的使用者同時具有這兩項權能。
若要指定組織層級策略,請在 [Accounts] 標籤中選取 [Organization],然後從 [Assigned audit policies] 清單中選取策略。
如要指定使用者層級策略,請按一下 [Accounts] 標籤中的 [User]。然後,在使用者表單中選擇 [Compliance] 標籤,並從 [Assigned audit policies] 清單中選取策略。
稽核策略掃描和報告
此小節提供了有關稽核策略掃描的資訊,以及執行與管理稽核掃描的程序。
掃描使用者與組織
掃描是對個別使用者或組織執行選定稽核策略的方法。您可能要掃描使用者或組織以查看是否發生了特定違規,或執行未指定給使用者或組織的策略。您可以從介面的 [Accounts] 區域啟動掃描。
|
|
|
您也可以從 [Server Tasks] 標籤啟動稽核策略掃描。
|
|
若要從 [Accounts] 區域啟動對使用者帳號或組織的掃描,請︰
- 按一下 [Accounts] 標籤。
- 在 [Accounts] 清單中,執行以下任一作業︰
- 選取一個或多個使用者,然後從 [User Actions] 選項清單中選取 [Scan]。
- 選取一個或多個組織,然後從 [Organization Actions] 選項清單中選取 [Scan]。
螢幕上將顯示 [Launch Task] 對話方塊。表 11-2 是稽核策略使用者掃描的 [Launch Task] 頁面範例。
圖 11-12 [Launch Task] 對話方塊
![使用 [Launch Task] 對話方塊可配置掃描,以對使用者或組織執行已選取的稽核策略。](images/launch_scan_task6.gif)
- 在 [Report Title] 欄位中指定掃描的標題。這是必填欄位。您可以選擇是否要在 [Report Summary] 欄位中指定掃描的說明。
- 選取一或多個要執行的稽核策略。您必須至少指定一個策略。
- 選取 [Policy Mode]。這會決定選取的策略將如何與已經具有策略指定的使用者互動。指定可以直接來自使用者或來自使用者被指定到的組織。
- 核取 [Execute Remediation Workflow?] 來執行稽核策略中指定的補救工作流程。如果稽核策略並未定義補救工作流程,此時便不會執行補救。
- 核取 [Email Report] 來指定報告的收件人。您也可以讓 Identity Manager 附加包含 CSV (逗號分隔值) 格式的報告的檔案。
- 如果您想要置換預設 PDF 選項,請啟用 [Override default PDF options] 核取方塊。
- 按一下 [Launch] 開始掃描。
若要檢視稽核掃描的結果報告,請檢視 Auditor 報告。
使用 Auditor 報告
Identity Manager 提供了許多 Auditor 報告。下表說明了這些報告。
表 11-1 Auditor 報告說明
|
Auditor 報告類型
|
說明
|
|
存取檢閱詳細資訊報告
|
顯示所有使用者軟體權利文件記錄的目前狀態。可依使用者的組織、存取檢閱與存取檢閱實例、軟體權利文件記錄的狀態和驗證者篩選此報告。
|
|
存取檢閱摘要報告
|
提供有關所有存取檢閱的摘要資訊。其概述了所列的每個存取檢閱掃描之已掃描使用者、已掃描策略和驗證作業的狀態。
|
|
稽核策略摘要報告
|
概述了所有稽核策略的關鍵元素,包括每個策略的規則、修正者和工作流程。
|
|
已稽核的屬性報告
|
顯示所有指示特定資源帳號屬性變更的稽核記錄。
此報告發掘已儲存之所有可稽核屬性的稽核資料。此報告會找出以任何擴充屬性為基礎的資料,您可以從 WorkflowServices 或標示為可稽核的資源屬性來指定它們。
|
|
稽核策略違規歷程記錄
|
在指定時間段內建立的每個策略之所有規範遵循違規的圖形化檢視。您可依策略篩選此報告,並且可按天、週、月或季對其進行分組。
|
|
使用者存取報告
|
顯示指定使用者的稽核記錄與使用者屬性。
|
|
組織違規歷程記錄
|
在指定時間段內建立的每個資源之所有規範遵循違規的圖形化檢視。您可依組織篩選此報告,並且可按天、週、月或季對其進行分組。
|
|
資源違規歷程記錄
|
在指定時間範圍內建立的每個資源之所有規範遵循違規的圖形化檢視。
|
|
責任分離報告
|
顯示安排在衝突表中的責任分離違規。使用網路型介面,您可以按一下連結來存取附加資訊。
您可依組織篩選此報告,並且可按天、週、月或季對其進行分組。
|
|
違規摘要報告
|
顯示目前的所有規範遵循違規。您可依修正者、資源、規則、使用者或策略篩選此報告。
|
您可從 Identity Manager 介面的 [Reports] 標籤中取得這些報告。
建立 Auditor 報告
若要產生報告,您必須首先建立報告。您可為報告指定各種條件,包括指定接收報告結果的電子郵件收件者。建立並儲存報告後,其將顯示在 [Run Reports] 頁面中。
圖 11-13 顯示了包含已定義之 Auditor 報告清單的 [Run Reports] 頁面範例。
圖 11-13 執行報告頁面選擇
若要建立 Auditor 報告,請執行以下程序:
- 從功能表列中,選取 [Reports]。
- 選取 [Auditor Reports] 報告類型,然後在 [New] 報告清單中選取以下任一報告選項︰
- 存取檢閱詳細資訊報告
- 存取檢閱摘要報告
- 稽核策略摘要報告
- 已稽核的屬性報告
- 稽核策略違規歷程記錄
- 使用者存取報告
- 組織違規歷程記錄
- 資源違規歷程記錄
- 責任分離報告
- 違規摘要報告
將會顯示報告對話方塊。報告對話方塊的欄位與版面配置會因各種報告類型而異。請參閱線上說明,以取得有關指定報告條件的資訊。
輸入並選取報告條件之後,您可以:
- 執行報告但不儲存 — 按一下 [Run] 以開始執行報告。Identity Manager 不會儲存報告 (如果您定義了新報告) 或變更的報告條件 (如果您編輯了現有報告)。
- 儲存報告 — 按一下 [Save] 以儲存報告。儲存報告後,您可以從 [Run Reports] 頁面 (報告清單) 執行此報告。
從 [Run Reports] 頁面執行報告後,您可以立即或稍後從 [View Reports] 標籤中檢視輸出。
修正與緩解
本小節說明了如何使用 Identity Manager 修正來保護您的重要資產。以下主題討論了 Identity Manager 修正程序的元素︰
關於修正
當 Identity Manager 偵測到未解決 (未緩解) 的稽核策略違規時,其會建立修正請求,此修正請求必須由修正者 (可以評估和回應稽核策略違規的指定管理員) 加以解決。
Identity Manager 可讓您定義三個層級的補救者上報。補救請求最初會傳送給第 1 級補救者。如果第 1 級補救者在逾時期限到期前沒有對補救請求採取任何行動,Identity Manager 會將違規上報至第 2 級補救者,並開始新的逾時期限。如果第 2 級補救者在逾時期限到期前並未回應,則該請求會再次上報至第 3 級補救者。
若要執行補救,您必須在企業中至少指定一位補救者。您可以選擇是否要為每個層級指定多位補救者,但是建議您最好這麼做。多位補救者將有助於確保工作流程不會延誤或停滯。
指定修正權能提供指定補救者的指示。
修正工作流程程序
依預設,Identity Manager 實作標準修正工作流程,以針對稽核策略掃描提供修正處理。
標準修正工作流程會產生修正請求 (檢閱類型的工作項目,其中包含有關規範遵循違規的資訊),並向稽核策略中任命的每個第 1 級修正者傳送電子郵件通知。當修正者緩解違規時,工作流程會變更現有規範遵循物件的狀態,並為其指定過期時間。
規範遵循違規僅可透過使用者、策略名稱和規則名稱的組合進行識別。當稽核策略評估為 true 時,則將為每個使用者/策略/規則組合建立新的規範遵循違規 (如果目前該組合尚無違規)。如果該組合確實有違規,且違規處於緩解狀態,則工作流程程序不會採取任何動作。如果未緩解現有違規,則其重複計數將遞增。
如需有關修正工作流程的更多資訊,請參閱關於稽核策略。
補救回應
依照預設,會為每位補救者提供三個回應選項:
如果違規是有目的的 (例如,需要兩個群組的商業案例),您可以長期緩解違規。您也可以短期緩解違規 (例如,當資源的系統管理員在休假中,而您不知道如何修復問題)。
Identity Manager 會儲存緩解違規的補救者名稱,並儲存指定給免責的過期日期以及該人員提供的所有註釋。
|
|
備註
|
當 Identity Manager 偵測到過期的免責時,它會將緩解違規恢復成擱置違規。
|
|
請從以下轉寄選項中進行選取:
- [Peer] — 具有修正者權能的使用者 (預設)
- [Controlled] — 您控制之具有修正者權能的使用者
- [All] — 所有具有修正者權能的使用者
例如,您的企業建立一條規則,規定使用者不能同時負責「應付帳款」與「應收帳款」,而您收到有使用者違反這一規則的通知。
- 如果在公司雇用其他人擔任該職位之前,該使用者是負責這兩種角色的主管,那麼您可以緩解違規,並核發最多六個月的免責。
- 如果使用者違反規定,您可以要求您的 Oracle ERP 管理員來補救衝突,然後在該資源的問題解決後,緩解違規。
修正電子郵件範本
Identity Manager 提供「策略違規通知」電子郵件範本 (啟用方法是選取 [Configuration] 標籤,然後選取 [Email Templates] 子標籤)。您可以將此範本配置為向補救者通知擱置違規。如需更多資訊,請參閱自訂電子郵件範本。
指定修正權能
若要為您企業中的管理員指定修正權能,請執行以下步驟︰
- 選取 [Accounts] 標籤,然後按一下 [Accounts] 清單中的管理帳號以開啟 [Edit User] 頁面。
- 在 [Edit User] 頁面中,按一下 [Security] 子標籤。
- 從 [Available Capabilities] 清單中選取 [Auditor Remediator],並使用
按鈕將其移至 [Assigned Capabilities] 清單中。 - 完成後按一下 [Save]。
|
|
備註
|
如需有關 Auditor 修正者權能的更多資訊,請參閱瞭解與管理權能。
|
|
使用 [Remediations] 頁面
選取工作項目,然後選取 Identity Manager 中的 [Remediations] 標籤,以存取 [Remediations] 頁面。
您可使用此頁面執行以下作業︰
- 檢視所有擱置中與已完成的補救請求
- 緩解一或多項補救請求
- 補救一或多項補救請求
- 轉寄一或多項補救請求
檢視修正請求
採取行動之前,您可以先使用 [Remediations] 頁面來檢視有關補救請求的詳細資訊。
|
|
備註
|
視您的權能而定,您可能可以檢視其他補救者或管理員的補救請求並對其採取行動。
|
|
以下主題與檢視修正請求有關
檢視擱置請求
依照預設,您的登入名稱和擱置請求會顯示在 [Remediations] 表格中。
您可以使用 [List Remediations for] 選項來檢視其他修正者的擱置修正請求:
產生的表格會提供以下有關各個請求的資訊:
檢視已完成的請求
若要檢視已完成的修正請求,請按一下 [My Work Items] 標籤,然後按一下 [History] 標籤。螢幕上將顯示先前修正的工作項目清單。
產生的表格 (由 AuditLog 報告產生) 提供有關每個修正請求的以下資訊:
- [Timestamp]:補救請求的日期與時間
- [Subject]:處理請求的補救者名稱
- [Action]:補救者是否已緩解或補救 請求
- [Type]:永遠指示 ComplianceViolation
- [Object Name]:所違反的稽核策略名稱
- [Resource]:提供修正者的帳號 ID (或者可能指示 N/A)
- [ID]:永遠指示 N/A
- [Result]:永遠指示 Success
按一下表格中的時間戳記可開啟 [Audit Events Details] 頁面。
[Audit Events Details] 頁面提供已完成請求的相關資訊,包括關於補救或緩解、事件參數
(如果有的話) 以及可稽核屬性的資訊。
按一下 [OK] 可返回 [Previously remediated by Configurator] 頁面,在此頁面上按一下 [OK] 可返回 [Remediations] 頁面。
對 [Remediations] 表中的請求進行排序
您可以按一下表格標題來排序 [Remediations] 表格的內容。按一下可依向上順序排序,再按一下即可依向下順序排序。
若要對 [Remediations] 標籤中的擱置請求進行排序,請︰
- 按一下 [Remediator] 依補救者名稱的字母順序來排序表格。
- 按一下 [Request] 依請求名稱的字母順序來排序表格。
- 按一下 [Date of Request] 依時間與日期的先後順序來排序表格。
- 按一下 [Description] 依請求說明的字母順序來排序表格。
若要對 [History] 標籤中的已完成請求進行排序,請︰
- 按一下 [Timestamp] 依時間與日期的先後順序來排序表格。
- 按一下 [Subject] 依處理請求的補救者名稱的字母順序來排序表格。
- 按一下 [Action] 依動作的字母順序來排序表格。
- 按一下 [Object Name] 依違反的策略名稱的字母順序來排序表格。
|
|
備註
|
[Type]、[Resource]、[ID] 和 [Result] 欄永遠會顯示相同值,因此沒有排序這些欄的值。
|
|
更新表格
若要更新 [Remediations] 表中提供的資訊,請按一下 [Refresh]。[Remediation] 頁面會使用新的策略違規來更新該表。
緩解策略違規
您可以從 [Remediations] 頁面或 [Review Policy Violations] 頁面緩解策略違規。
從 [Remediations] 頁面
若要從 [Remediations] 頁面緩解擱置策略違規,請:
- 在表格中選取列以指定要緩解的請求。
- 按一下 [Mitigate]。
[Mitigate Policy Violation] 頁面 (或 [Mitigate Multiple Policy Violations] 頁面) 顯示如下:
圖 11-14 [Mitigate Policy Violation] 頁面
![存取 [Mitigate Policy Violation] 頁面。](images/Mitigate_MultiplePolicy_Violations_page17.gif)
- 在 [Explanation] 欄位中輸入您有關緩解的註釋。(這是必填欄位。)
請記住,您的註釋可為這個動作提供稽核線索,因此請務必輸入完整、有用的資訊。例如,說明您緩解策略違規的原因、日期,以及選擇免責期限的原因。
- 直接在 [Expiration Date] 欄位中輸入日期 (YYYY-MM-DD),或按一下日期
按鈕並從行事曆中選取日期,這兩種方法都可以指定免責的過期日期。
- 完成時按一下 [OK] 來儲存您的變更,並返回 [Remediations] 頁面。
補救策略違規
若要補救一或多項策略違規,請:
- 使用表格中的核取方塊來指定要修正的請求。
- 啟用表格中的一個或多個個別核取方塊,以指定要修正的請求。
- 啟用表格標頭中的核取方塊,以修正表格中列出的所有請求。
- 按一下 [Remediated]。
- 螢幕上將顯示 [Remediate Policy Violation] 頁面 (或 [Remediate Multiple Policy Violations] 頁面)。
- 在 [Comments] 欄位中輸入您有關補救的註釋。
請記住,您的註釋可為這個動作提供稽核線索,因此請務必輸入完整、有用的資訊。例如,說明您要補救策略違規的原因或者日期。
- 完成時按一下 [OK] 來儲存您的變更,並返回 [Remediations] 頁面。
轉寄補救請求
必要時,您可以轉寄一或多個補救請求給另一位補救者,如下所示:
- 使用表格中的核取方塊來指定要轉寄的請求。
- 按一下 [Forward]。
- 螢幕上將顯示 [Select and Confirm Forwarding] 頁面。
圖 11-15 [Select and Confirm Forwarding] 頁面
- 從 [Forward to] 選項清單中選取另一位修正者的名稱,然後按一下 [OK]。
再次顯示 [Remediations] 頁面時,新修正者的名稱將顯示在表格的 [Remediator] 欄中。
定期存取檢閱與驗證
Identity Manager 提供執行存取檢閱的程序,存取檢閱可讓管理員或其他責任方檢閱和驗證使用者存取權限。此程序有助於持續識別與管理使用者權限積累,還有助於維護對 Sarbanes-Oxley、HIPAA 與其他聯邦命令的規範遵循。
可臨時執行存取檢閱或將其排定為定期進行 (例如每個行事曆季度一次),從而使您可以執行定期存取檢閱來維護使用者權限的正確層級。存取檢閱可包括稽核掃描。
關於定期存取檢閱
定期存取檢閱是用於驗證一組員工在特定時間對相應資源是否具有相應權限的定期程序。
定期存取檢閱涉及以下作業︰
- 存取檢閱掃描 — 您定義與執行 (或排定執行) 的掃描,該掃描可評估指定使用者集的使用者軟體權利文件,並執行基於規則的評估以確定是否需要驗證。
- 驗證 — 透過核准或拒絕使用者軟體權利文件回應驗證請求的程序。
使用者軟體權利文件是指示使用者帳號或特定資源集之詳細資訊的記錄。
存取檢閱掃描
若要啟動定期存取檢閱,您必須首先至少定義一個存取掃描。
存取掃描可定義要掃描的對象、掃描要包括的資源、掃描期間要評估的所有稽核策略,以及用於確定要手動驗證哪些軟體權利文件記錄和由誰執行驗證的規則。
存取檢閱工作流程程序
通常,Identity Manager 存取檢閱程序按如下步驟工作︰
- 建構使用者清單、取得每個使用者的帳號資訊並評估稽核策略
- 建立使用者軟體權利文件記錄
- 確定是否需要驗證每個使用者軟體權利文件記錄
- 為每個驗證者指定工作項目
- 等待所有驗證者核准或首次拒絕
- 如果在指定逾時期間內未收到任何對請求的回應,則提升至下一個驗證者
- 使用解決方案更新使用者軟體權利文件記錄
必要的管理員權能
若要執行定期存取檢閱並管理檢閱程序,使用者必須具有 Auditor 定期存取檢閱管理員權能。具有 Auditor 存取掃描管理員權能的使用者可以建立並管理存取掃描。
若要指定這些權能,請編輯使用者帳號並修改安全性屬性。如需有關這些和其他 Auditor 權能的更多資訊,請參閱瞭解與管理權能。
驗證
驗證是由一個或多個指定驗證者執行的認證程序,可確認在特定日期使用者軟體權利文件是否存在。存取檢閱期間,驗證者會透過電子郵件通知接收存取檢閱驗證請求的通知。驗證者必須是 Identity Manager 使用者,但無需是 Identity Manager 管理員。
驗證工作流程
Identity Manager 使用在存取掃描識別到需要檢閱之軟體權利文件記錄時啟動的驗證工作流程。該工作流程根據存取掃描中定義的規則做出此決定。
存取掃描評估的規則可確定是否需要手動驗證使用者軟體權利文件記錄,或是否可以自動核准或拒絕該記錄。如果需要手動驗證使用者軟體權利文件記錄,則存取掃描將使用第二個規則來確定誰是適當的驗證者。
每個要手動驗證的使用者軟體權利文件記錄都將指定給工作流程,每個驗證者負責一項工作項目。可使用 ScanNotification 工作流程傳送給這些工作項目之驗證者的通知,該工作流程針對每個掃描將項目隨附在一個通知中。除非已選取 ScanNotification 工作流程,否則通知將針對使用者軟體權利文件。這表示驗證者可針對每個掃描收到多份通知,並且其數目可能很大,這取決於掃描的使用者數目。
驗證安全性存取
已授權以下 Identity Manager 使用者存取驗證工作項目︰
- 工作項目所有者
- 工作項目所有者的直接或間接管理員
- 控制工作項目所有者所屬組織的管理員
- 已透過認證檢查進行驗證的使用者
這些授權選項適用於 authType AttestationWorkItem 的工作項目。依預設,授權檢查的運作方式如下︰
- 所有者是嘗試動作的使用者,或
- 所有者屬於嘗試動作之使用者控制的組織,或
- 所有者是嘗試動作之使用者的從屬。
可透過修改以下選項獨立配置第二次和第三次檢查︰
- controlOrg — 有效值為「true」或「false」
- subordinate — 有效值為「true」或「false」;
- firstLevel — 要包括在結果中的第一個從屬層級;0 表示直接報告
- lastLevel — 要包括在結果中的最後一個從屬層級;-1 表示所有層級
firstLevel 和 lastLevel 的整數值預設為 0 和 -1,表示直接和間接從屬。
可透過以下方法增加或修改這些選項︰
UserForm:AccessApprovalList approval/editAttestation.jsp
委託驗證
依預設,存取掃描工作流程讓使用者建立的驗證工作項目和通知委託優先。存取掃描管理員可取消選取 [Follow Delegation] 選項來忽略委託設定。如果驗證者已將所有工作項目委託給其他使用者,但是沒有為存取檢閱掃描設定 [Follow Delegation] 選項,則該委託所指定給的驗證者 (而非使用者) 將接收驗證請求通知和工作項目。
計劃定期存取檢閱
對於任何企業來說,存取檢閱可能都是費時費力的程序。Identity Manager 定期存取檢閱程序可自動化該程序的許多部分,從而有助於將涉及的成本與時間降至最低。然而,某些程序仍很耗費時間。例如,從許多位置中擷取成千上萬使用者之使用者帳號資料的程序就可能需要相當長的時間。手動驗證記錄的動作也將很耗費時間。合理的計劃可提昇程序效率,從而大大降低投入。
計劃定期存取檢閱時要考慮以下注意事項︰
一個大規模組織執行單一定期存取檢閱時,掃描可能要花費一天或幾天的時間,而完成手動驗證可能也要花費一週或幾週的時間。
例如,根據以下計算,對於一個具有 50,000 名使用者與十個資源的組織,完成存取掃描可能需要大約一天的時間︰
1 秒/資源 * 50K 名使用者 * 10 個資源 / 5 個同步運作執行緒 = 28 小時
如果資源很分散,則處理時間可能會增加。
- 瞭解如何使用檢閱確定規則自動確定哪些軟體權利文件記錄需手動檢閱,以節省時間。
- 透過指定掃描層級通知工作流程來隨附掃描的驗證請求通知。
建立存取掃描
若要定義存取檢閱掃描,請執行以下步驟︰
- 選取 [Compliance] > [Manage Access Scans]。
- 在 [Create New Access Scan] 頁面上,指定存取掃描的名稱。
- (可選擇) 增加有助於識別掃描的描述。
- 從以下選項中選取 [User Scope Type]︰(這是必填欄位。)
- [Members of Organization(s)] — 選擇此選項可掃描一個或多個已選取組織的所有成員。
- [Reports to manager(s)] — 選擇此選項可掃描向已選取管理員報告的所有使用者。管理員階層由使用者 Lighthouse 帳號的 Identity Manager 屬性決定。
- [According to attribute condition rule] — 選擇此選項可選取用於指定要掃描之使用者類型的規則。Identity Manager 提供以下規則︰
- 如果您還選擇在存取檢閱掃描期間掃描稽核策略以偵測違規,請將您的選項從 [Available Audit Policies] 移至 [Current Audit Policies],以選取要套用至此掃描的稽核策略。
將稽核策略增加至存取掃描會導致對同一使用者集採用與執行稽核掃描相同的運作方式。但是,除此之外,稽核策略偵測到的所有違規都將儲存在使用者軟體權利文件記錄中。此資訊可使自動核准或拒絕更簡便,因為此規則可將使用者軟體權利文件記錄中違規的存在與否做為其邏輯的一部分。
- 如果您還選擇掃描前面步驟中的稽核策略,則可以使用 [Policy mode] 選項指定存取掃描如何確定要針對指定使用者執行的稽核策略。可同時為使用者指定使用者層級和/或組織層級的策略。預設存取掃描運作方式為,僅當使用者尚未具有任何指定的策略時才套用為存取掃描指定的策略。
- 套用選取的策略並忽略其他指定的策略
- 僅在使用者尚未具有指定的策略時才套用已選取的策略
- 同時套用選取的策略和為使用者指定的策略
- (可選擇) 指定[Review Process Owner]。使用此選項可指定定義之存取檢閱作業的所有者。如果已指定檢閱程序所有者,則回應驗證請求時可能遇到衝突的使用者在核准或拒絕使用者軟體權利文件時可棄權,從而將驗證請求轉寄給檢閱程序所有者。按一下選取 (省略號) 方塊可搜尋使用者帳號並進行選取。
- [Follow delegation] — 選取此選項可為存取掃描啟用委託。如果已核取此選項,則存取掃描將僅遵循委託設定。依預設,啟用 [Follow Delegation]。
- [Restrict target resources] — 選取此選項可限制掃描目標資源。
此設定可直接影響存取掃描的效率。如果未限制目標資源,則每個使用者軟體權利文件記錄都將包含使用者連結之每個資源的帳號資訊。這表示在掃描期間,將查詢每個使用者的每個指定資源。透過使用此選項指定資源子集,您可以大大縮短 Identity Manager 建立使用者軟體權利文件記錄所需的處理時間。
- [Execute Violation Remediations] — 選取此選項可在偵測到違規時啟用稽核策略的修正工作流程。
如果選取此選項,則偵測到之對任何指定稽核策略的違規都將導致執行相應的稽核策略修正工作流程。
- [Access Approval Workflow] — 選取預設的標準驗證工作流程或選取自訂的工作流程 (如果有)。
此工作流程用於將要檢閱的使用者軟體權利文件記錄顯示給適當的驗證者 (由驗證者規則確定)。預設的標準驗證工作流程將為每個驗證者建立一個工作項目。如果存取掃描指定提升,則此工作流程將負責提升休止過久的工作項目。如果為指定任何工作流程,則使用者驗證將無限期地處於擱置狀態。
- [Attestor Rule] — 選取預設驗證者規則,或選取自訂驗證者規則 (如果有)。
將使用者軟體權利文件記錄做為輸入提供給驗證者規則,該規則將傳回驗證者名稱清單。如果選取 [Follow Delegation],則存取掃描會遵循原始名稱清單中每個使用者配置的委託資訊,將名稱清單轉送給適當的使用者。如果 Identity Manager 使用者的委託導致路由循環,則將捨棄委託資訊,並將工作項目傳送至原始驗證者。預設驗證者規則指示驗證者應為軟體權利文件記錄表示之使用者的管理員 (idmManager),或配置程式帳號 (如果該使用者的 idmManager 為空)。如果驗證需涉及資源所有者與管理員,則必須使用自訂規則。如需有關自訂規則的資訊,請參閱「Identity Manager Deployment Tools」指南。
- [Attestor Escalation Rule] — 使用此選項指定預設提升驗證者規則,或選取自訂規則 (如果有)。您還可以指定規則的提升逾時值。
此規則可指定已超過提升逾時期間之工作項目的提升鏈。預設提升驗證者規則提升至指定驗證者的管理員 (idmManager) 或配置程式 (如果驗證者的 idmManager 值為空)。
您可以分鍾、小時或天指定提升逾時。
- [Review Determination Rule] — 選取以下任一規則來指定掃描程序如何確定軟體權利文件記錄的處理方式:(這是必填欄位。)
- [Reject Changed Users] — 如果某使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同,且已核准上一個使用者軟體權利文件,則自動拒絕該記錄。否則,強制執行手動驗證,並核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。
- [Review Changed Users] — 如果任何使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同,且已核准上一個使用者軟體權利文件,則對該記錄強制執行手動驗證。核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。
- [Review Everyone] — 對所有使用者軟體權利文件記錄強制執行手動驗證。
|
|
備註
|
拒絕變更的使用者和檢閱變更的使用者規則將使用者軟體權利文件與核准軟體權利文件記錄之相同存取掃描的上一個實例相比較。
您可以透過複製和修改規則來變更該運作方式,以便將比較限制在帳號資料的已選取部分。請參閱「Identity Manager Deployment Tools」以取得有關自訂規則的資訊。
|
|
- [Notification Workflow] — 選取以下任一選項以指定每個工作項目的通知運作方式。
- [None] — 此為預設選項。此選項可讓驗證者收到針對其必須驗證之每個個別使用者軟體權利文件的電子郵件通知。
- [ScanNotification] — 該選項可將驗證請求隨附在單一通知中。通知可指示為收件者指定了多少驗證請求。
如果存取掃描中指定了檢閱程序所有者,則當掃描開始和結束時,ScanNotification 工作流程還將向檢閱程序所有者傳送通知。請參閱步騆 7。
ScanNotification 工作流程使用以下電子郵件範本
您可以自訂 ScanNotification 工作流程。
- [Violation limit] — 使用此選項可指定掃描在中斷前可發出之規範遵循違規的最大數目。預設限制為 1000。空值欄位表示無限制。
儘管與使用者數目相比,稽核掃描或存取掃描期間的策略違規數目通常很小,但設定此值可防止能大大增加違規數目之不完善策略帶來的不良影響。例如,考慮以下情況︰
如果存取掃描涉及 50K 使用者,並針對每個使用者產生兩到三個違規,則每個規範遵循違規的修正成本將對 Identity Manager 系統產生不良影響。
- [Organizations] — 選取可使用該存取掃描物件的組織。這是必填欄位。
按一下 [Save] 儲存掃描定義。
刪除存取掃描
您可以刪除一個或多個存取掃描。若要刪除存取掃描,請從 [Compliance] 標籤中選取 [Manage Access Scans],再選取掃描的名稱,然後按一下 [Delete]。
管理存取檢閱
定義存取掃描後,您便可以使用它或將其排定為存取檢閱的一部分。啟動存取檢閱後,可使用多項作業來管理檢閱程序。
使用以下作業啟動與管理存取檢閱。
啟動存取檢閱
若要啟動存取檢閱,請從管理員介面的 [Server Tasks] > [Run Tasks] 區域中選取 [Access Review] 作業。在 [Launch Task] 頁面中,指定存取檢閱的名稱。從 [Available Access Scans] 清單中選取掃描,然後將其移至 [Selected] 清單。如果您選取多個掃描,則可以選擇以下任一啟動選項︰
- [immediately] — 按一下 [Launch] 按鈕後,此選項會立即開始執行掃描。如果您在 [Launch Task] 中為多個掃描選取該選項,則掃描將並列執行。
- [after waiting] — 此選項可讓您指定啟動掃描前要等待的時間段,該時間段與存取檢閱作業的啟動有關。
|
|
備註
|
您可以在存取檢閱階段作業期間啟動多個掃描。但是,由於每個掃描可能都涉及大量使用者,因此掃描程序可能需要數天才能完成。最佳實踐表明您應分別管理掃描。例如,您可以啟動一個掃描以使其立即執行,而交錯排定其他掃描。
|
|
按一下 [Launch] 以啟動存取檢閱程序。
|
|
備註
|
您為存取檢閱指定的名稱很重要。某些報告可能會比較具有相同名稱之定期執行的存取檢閱。
|
|
當您啟動存取檢閱時,螢幕上將顯示工作流程程序圖,其中顯示該程序的步驟。
排定存取檢閱作業
您可從 [Server Tasks] 區域排定存取檢閱作業。例如,若要定期設定存取檢閱,請使用 [Manage Schedule] 標籤定義排程。您可以將作業排定為每月或每季發生一次。
若要定義排程,請在 [Schedule Tasks] 頁面中選取作業,然後填寫 [Create task schedule] 頁面中的資訊。
按一下 [Save] 儲存已排定的作業。
|
|
備註
|
依預設,Identity Manager 可將存取檢閱作業的結果保留一週。如果您選擇不到一週便排定一次檢閱,請將 [Results Options] 設定為 [delete]。如果未將 [Results Options] 設定為 [delete],則不會執行新檢閱,因為先前作業的結果仍然存在。
|
|
管理存取檢閱進度
使用 [Access Reviews] 標籤可監視存取檢閱的進度。透過 [Compliance] 標籤存取該功能。
圖 11-16 [Access Reviews] 頁面
如前面的圖中所示,透過 [Access Reviews] 標籤,您可以檢閱所有使用中和先前已處理之存取檢閱的摘要。提供了所列之每個存取檢閱的以下資訊︰
- [Status] — 檢閱程序的目前狀態:正在啟動、正在終止、已終止、正在執行數個掃描、已排定數個掃描、正在等待驗證或已完成。
- [Launch Date] — 啟動存取檢閱作業的日期 (時間戳記)。
- [Total Users] — 要掃描的使用者總數。
- [Total Entitlements] — 針對檢閱產生的軟體權利文件記錄總數。
- [Pending Entitlements] — 尚未驗證的軟體權利文件記錄數目。
若要檢視有關檢閱的更詳細資訊,請選取該檢閱以開啟摘要報告。
圖 11-17 顯示了存取檢閱摘要報告範列。
圖 11-17 存取檢閱摘要報告頁面
在網路型介面中,您可以按一下某連結以存取有關每個存取掃描、組織和驗證者的狀態資訊。
您還可以執行存取檢閱摘要報告,以檢閱和下載報告中的此資訊。
修改掃描屬性
設定存取掃描後,您可以編輯掃描以指定新選項,例如指定在執行存取掃描時要掃描的目標資源,或要針對其掃描違規的稽核策略。
若要編輯掃描定義,請從 [Access Scans] 清單中選取該定義,然後在 [Edit Access Review Scan] 頁面中修改屬性。
您必須按一下 [Save] 才能儲存對掃描定義所做的所有變更。
|
|
備註
|
變更存取掃描的範圍可能會變更新取得之使用者軟體權利文件記錄中的資訊,因為如果檢閱確定規則正在將使用者軟體權利文件與舊的使用者軟體權利文件記錄相比較,則其可能會對此規則產生影響。
|
|
取消存取檢閱
在 [Access Reviews] 標籤中,您可以按一下 [Terminate] 以停止進行中的已選取檢閱。終止檢閱將導致發生以下動作︰
- 取消排定所有已排定的掃描
- 停止所有正在執行的掃描
- 刪除所有擱置的工作流程和工作項目
- 將所有擱置的使用者軟體權利文件都標記為已取消
- 將使用者完成的所有驗證保留不變
刪除存取檢閱作業
如果存取檢閱作業的狀態為已終止或已完成,則您可以刪除該作業。您必須先終止進行中的存取檢閱作業,才能將其刪除。
刪除存取檢閱作業將刪除該檢閱產生的所有使用者軟體權利文件記錄。刪除動作將記錄在稽核記錄中。
如要刪除存取檢閱作業,請選取功能表列中的 [Server Tasks],然後選取 [Run Tasks] > [Delete Access Review]。
管理驗證責任
您可以透過 Identity Manager 管理員或使用者介面管理驗證請求。本小節提供有關回應驗證請求以及驗證中所涉及之責任的資訊。
存取檢閱通知
如果驗證請求需要驗證者的核准,則在掃描期間 Identity Manager 會向驗證者傳送通知。如果已委託驗證者責任,則將驗證請求傳送給受委託人。如果定義了多個驗證者,則每個驗證者都將收到一份電子郵件通知。
請求將在 Identity Manager 介面中顯示為 [Attestation] 工作項目。當指定的驗證者登入 Identity Manager 時,將顯示擱置的驗證工作項目。
檢視擱置請求
從介面的 [Work Items] 區域檢視驗證工作項目。選取 [Work Items] 區域中的 [Attestation] 標籤,可列出所有需要核准的軟體權利文件記錄。在 [Attestations] 頁面中,您還可以列出所有直接報告和您可直接或間接控制之特定使用者的軟體權利文件記錄。
[My Work Items] 標籤顯示每類指定,以及各類指定的擱置工作項目數。
檢閱與核准軟體權利文件記錄
驗證工作項目包含需要檢閱的使用者軟體權利文件記錄。軟體權利文件記錄提供有關使用者存取權限、指定的資源及策略違規的資訊。
以下是對驗證請求的可能回應︰
- [Approve] — 針對軟體權利文件記錄中記錄的日期,驗證軟體權利文件是否正確。
- [Reject] — 軟體權利文件記錄指示目前無法驗證之可能的不一致。
- [Forward] — 可讓您為檢閱指定其他收件者。
- [Abstain] — 對此記錄的驗證不正確,但尚未發現更適當的驗證者。驗證工作項目將轉寄至檢閱程序所有者。僅當存取檢閱作業中已定義檢閱程序所有者時,才可使用此選項。
如果在指定的提升逾時期間之前,驗證者未採取以上任一動作來回應請求,則會將通知傳送至提升鏈中的下一個驗證者。直到記錄回應後通知程序才會停止。
您可以透過 [Compliance] > [Access Reviews] 標籤監視驗證狀態。
存取檢閱報告
Identity Manager 提供以下報告,可讓您評估存取檢閱的結果︰
按一下該報告中的名稱可開啟使用者軟體權利文件記錄。圖 11-18 顯示了使用者軟體權利文件記錄檢視中提供的資訊範例。
圖 11-18 使用者軟體權利文件記錄
- [Access Review Summary Report] — 此報告 (也已在管理存取檢閱進度中討論,並在圖 11-17 中說明) 顯示以下有關您為報告選取之存取掃描的摘要資訊︰
- [Review Name] — 存取掃描的名稱
- [Status] — 啟動檢閱的時間戳記
- [User Count] — 針對檢閱掃描的使用者數目
- [Entitlement Count] — 產生的軟體權利文件記錄數目
- [Approved] — 已核准的軟體權利文件記錄數目
- [Rejected] — 已拒絕的軟體權利文件記錄數目
- [Pending] — 仍處於擱置狀態的軟體權利文件記錄數目
- [Canceled] — 已取消的軟體權利文件記錄數目
這些報告均可從 [Run Reports] 頁面,以可移植文件格式 (PDF) 或逗號分隔值 (CSV) 格式下載。
身份識別稽核作業參照
表 11-2 提供了經常執行之身份識別稽核作業的快速參照。此表格顯示了您開始每項作業的主要 Identity Manager 介面位置,以及可用於執行作業的替代位置或方法 (如果有)。
表 11-2 身份識別稽核作業參照
|
若要執行以下作業:
|
請至:
|
|
建立、編輯或刪除稽核策略
|
[Compliance] 標籤,[Manage Policies] 子標籤
|
|
定義修正者並指定修正工作流程
|
[Compliance] 標籤,[Manage Policies] 子標籤
|
|
對一或多個使用者或組織執行稽核掃描
|
[Accounts] 標籤,從 [User Actions] 或 [Organization Actions] 清單中選取 [Scan]
|
|
回應策略違規修正請求
|
[Work Items] 標籤,[Remediations] 子標籤
|
|
緩解策略違規
|
[Work Items] 標籤,[Remediations] 子標籤
|
|
檢閱補救的策略違規
|
[Work Items] 標籤,[Remediations] 子標籤
|
|
產生稽核策略報告
|
[Reports] 標籤,[Run Report] 子標籤
|
|
停用或啟用稽核
|
[Configure] 標籤,[Audit] 子標籤
|
|
設定要擷取的稽核事件
|
[Configure] 標籤,[Audit] 子標籤
|
|
編輯管理員稽核權能
|
[Security] 標籤,[Capabilities] 子標籤
|
|
設定稽核通知的電子郵件範本
|
[Configure] 標籤,[Email Templates] 子標籤
|
|
匯入資料檔/規則 (例如 XML 格式表單)
|
[Configure] 標籤,[Import Exchange File] 子標籤
|
|
定義存取檢閱掃描
|
[Compliance] 標籤,[Manage Scans] 子標籤
|
|
執行存取檢閱
|
[Server Tasks] 標籤,[Run Task] 子標籤
|
|
終止存取檢閱
|
[Compliance] 標籤,[Access Reviews] 子標籤
|
|
排定存取檢閱
|
[Server Tasks] 標籤,[Manage Schedule] 子標籤
|
|
設定定期存取檢閱
|
[Compliance] 標籤,[Manage Access Scans] 子標籤
|
|
監視存取檢閱狀態
|
[Compliance] 標籤,[Access Reviews] 子標籤
|
|
指定驗證者
|
[Compliance] 標籤,[Manage Access Scans] 子標籤
|
|
執行驗證者責任 (檢閱與認證使用者軟體權利文件)
|
[Work Items] 標籤,[My Work Items] 標籤,[Attestation] 子標籤
|
|
檢閱責任分離報告
|
[Reports] 標籤,[Run Report] 子標籤
|
![使用此 [Audit Policy Wizard] 頁面可指定策略名稱,並提供該策略的簡要描述。](images/wizard_name5.gif)
![使用 [Run Reports] 頁面可執行 Auditor 報告,以及以 CSV 或 PDF 格式下載報告。](images/run_new_report19.gif)
![[Access Reviews] 頁面可讓您監視存取檢閱的進度。](images/access_review_tab18.gif)
