Sun Java System Identity Manager 7.0 管理指南 |
第 11 章
身份識別稽核本章說明了 Identity Manager 中的功能,這些功能可讓您設定稽核控制以監視和管理企業資訊系統和應用程式中的稽核與規範遵循。
所述功能的重點在於如何執行稽核檢閱和實作實踐,以協助您維護安全性控制和管理對聯邦法規的規範遵循。
在本章中,您將瞭解以下概念與作業:
身份識別稽核的目標身份識別稽核解決方案可透過以下方法提高稽核效能︰
瞭解身份識別稽核Identity Manager 提供兩項不同的功能,用於稽核使用者帳號權限和存取權限以及維護和認證規範遵循,即基於策略的規範遵循和定期存取檢閱。
基於策略的規範遵循
Identity Manager 透過稽核策略系統使管理員能夠維護公司建立之所有使用者帳號需求的規範遵循。
稽核策略可用於透過以下兩種不同卻互補的方式來確保規範遵循:連續規範遵循和定期規範遵循。
在佈建作業可能在 Identity Manager 外部執行的環境中,這兩種技術更具互補性。無論何時,只要不執行現有稽核策略的程序可變更帳號,就需要定期規範遵循。
連續規範遵循
連續規範遵循表示策略套用至所有佈建作業,如此便無法使用與目前策略不相容的方式修改帳號。
透過將稽核策略指定給組織和/或使用者可啟用連續規範遵循。對使用者執行的所有佈建作業都將導致同時呼叫使用者指定的策略和組織指定的策略。
組織指定的策略是以階層方式取得的單一值策略。換言之,對於任何使用者都僅有一個有效的組織策略,該策略就是指定給最低層組織的策略。例如:
定期規範遵循
定期規範遵循表示 Identity Manager 依需要評估策略,並且將所有不相容的條件擷取為規範遵循違規。
執行定期規範遵循掃描時,您可以選取要在掃描中使用的策略。掃描程序會調合直接指定的策略 (使用者指定的策略和組織指定的策略) 與任意一組已選取的策略。
具有 Auditor 管理員權能的 Identity Manager 管理員可以建立稽核策略,並透過定期檢閱監視對這些策略的規範遵循與策略違規。可透過修正和緩解程序管理違規。如需有關 Auditor 管理員權能的更多資訊,請參閱瞭解與管理權能。
Identity Manager 稽核允許常規的使用者掃描,並且會執行稽核策略以偵測是否與已建立的帳號限制有偏差。一旦偵測到違規,便會啟動修正作業。這些規則可以是 Identity Manager 提供的標準稽核策略規則,也可以是自訂的使用者定義規則。
備註 必須先為規範遵循管理啟動並配置稽核,然後您才能執行稽核檢閱和管理規範遵循。如需相關資訊,請參閱啟用稽核。
基於策略之規範遵循的邏輯作業流程
下圖顯示了用於完成本小節中所述稽核作業的邏輯作業流程。
定期存取檢閱
Identity Manager 提供定期存取檢閱功能,可讓管理員與其他責任方臨時或定期檢閱和驗證使用者存取權限。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
啟用稽核必須先啟用 Identity Manager 稽核記錄系統並將其配置為收集稽核事件,您才能開始管理規範遵循與存取檢閱。依預設,啟用稽核系統。具有配置稽核權能的 Identity Manager 管理員可以配置稽核。
Identity Manager 提供規範遵循管理稽核配置群組。若要檢視或修改規範遵循管理群組儲存的事件,請選取功能表列中的 [Configure],然後按一下 [Audit]。在 [Audit Configuration] 頁面中,選取 [Compliance Management] 稽核群組名稱。
如需有關設定稽核配置群組的更多資訊,請參閱「配置」一章中的配置稽核群組和稽核事件。
如需有關稽核系統如何記錄事件的資訊,請參閱第 12 章「稽核記錄」。
介面的 [Compliance] 區域您可以在 Identity Manager 管理員介面的 [Compliance] 區域中建立並管理稽核策略。選取功能表列中的 [Compliance] 以存取 [Manage Policies] 頁面,該頁面會列出您有權檢視和編輯的策略。您還可以在此區域中管理存取掃描。
管理策略
在 [Manage Policies] 頁面中,您可以使用稽核策略完成以下作業︰
「處理稽核策略」小節中將提供有關這些作業的更詳細資訊。
管理存取掃描
使用 [Compliance] 區域中的 [Manage Access Scans] 標籤可定義、修改和執行存取檢閱掃描。您可以使用此區域定義要執行或要排定為定期存取檢閱的掃描。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
存取檢閱
[Compliance] 區域中的 [Access Review] 標籤可讓您存取可協助您監視存取檢閱進度的資訊。其將顯示包含資訊連結 (在網路型介面中可用) 的掃描結果摘要報告,這些資訊連結可讓您存取有關檢閱狀態和擱置作業的更詳細資訊。
如需有關此功能的更多資訊,請參閱管理存取檢閱。
關於稽核策略稽核策略是針對一個或多個資源之一組使用者的帳號限制的定義。其包括定義策略限制的規則,以及發生違規後用於處理違規的工作流程。稽核掃描會使用在稽核策略中定義的條件來評估您的組織中是否發生違規狀況。
稽核策略包含以下元件:
稽核策略規則
在稽核策略中,規則會根據屬性來定義可能的衝突。Auditor 規則中的變數受限於與使用者相關聯的特定資源的屬性。稽核策略可能包含參照廣泛資源的上百個規則。
引數可以傳遞至規則以控制其行為,而規則可以參照和修改表單或補救工作流程所維護的變數。
規則必須包含 SUBTYPE_AUDIT_POLICY_RULE 類型定義。系統會自動為透過稽核策略精靈產生或從中參照的規則指定此類型。
Rule subtype='SUBTYPE_AUDIT_POLICY_RULE'
請參閱「Identity Manager Deployment Tools」中的「使用規則」,以取得有關規則邏輯的討論。
修正工作流程
建立定義策略違規的規則後,您要選取當稽核掃描偵測到違規時,將啟動的工作流程。Identity Manager 提供預設的「標準補救」工作流程,為「稽核策略」掃描提供預設的補救處理程序。除了其他動作之外,這個預設補救工作流程還會產生通知電子郵件給每個指定的第 1 級補救者 (必要時也會寄給其他層級的補救者)。
備註 修正工作流程與 Identity Manager 工作流程程序不同,必須為修正工作流程指定 AuthType=AuditorAdminTask and the SUBTYPE_REMEDIATION_WORKFLOW 類型。若您匯入工作流程以便用於稽核掃描,您必須手動新增這個屬性。請參閱(可選擇) 將工作流程匯入 Identity Manager 以取得更多資訊。
修正者
如果您指定修正工作流程,則必須至少指定一個修正者。您最多可以指定三個層級的授權修正者。如需有關修正的附加資訊,請參閱本章中的「修正與緩解」。
您必須先指定修正工作流程,才能指定修正者。
稽核策略方案範例
您負責應付帳款及應收帳款,並且必須實作某些程序來預防責任集中在會計部門員工身上的潛在風險。這個策略會執行四個規則來檢查應付帳款的負責人員並未同時又負責應收帳款。
當規則辨別出策略違規 (也就是使用者擁有太多職權) 之後,相關聯的工作流程可以啟動特定的補救相關工作,包括自動通知選定補救者。
第 1 級補救者是當稽核掃描辨別出策略違規時,所要聯絡的第一批補救者。如果為稽核策略指定了多個層級,則當超過此區域中識別的提升期間時,Identity Manager 會通知下一層級中識別的修正者。
組織和補救工作流程區域
顯示目前和可能擁有這個策略的存取權限的組織。
此區域也會列出與稽核策略相關聯的補救工作流程「標準補救」工作流程會分別為每個第 1 級補救者產生工作項目和電子郵件通知。當第一位補救者對違規的工作項目採取行動時,此作業便得以繼續進行。如果在策略指定的逾時限制內沒有任何修正者採取動作,則 Identity Manager 會將違規提升至策略中的下一個修正層級 (取得新的修正者集與逾時)。
處理稽核策略Identity Manager 提供稽核策略精靈,可協助您輕鬆設定稽核策略。定義稽核策略後,您可以對該策略執行各種動作,例如修改或刪除該策略。本小節中的主題說明了如何建立與管理稽核策略和稽核策略規則。
建立稽核策略
「稽核策略精靈」會引導您完成建立稽核策略的程序。若要存取稽核策略精靈,請在介面的 [Compliance] 區域中按一下 [Manage Policies],並建立新的稽核策略。
使用此精靈時,您將執行以下作業來建立稽核策略:
完成每個精靈螢幕中顯示的工作後,按 [Next] 移至下一個步驟。
開始之前
建立稽核策略之前需要大量規劃,包括以下作業:
- 識別您在稽核策略精靈中建立策略時要使用的規則。這些規則由您正在建立的策略類型以及您要定義的特定限制決定。
- 匯入您要在新策略中包含的所有補救工作流程或規則。
- 請確保您具有建立稽核策略所需的管理員權能。請參閱瞭解與管理權能中的必要權能。
辨別您需要的規則
您在策略中指定的限制將在您建立或匯入的規則集中實作。使用稽核策略精靈建立規則時,您將:
(可選擇) 將責任分離規則匯入 Identity Manager
稽核策略精靈無法建立責任分離規則。必須在 Identity Manager 外部建構這些規則,並使用 [Configure] 標籤中的 [Import Exchange File] 選項將其匯入。
(可選擇) 將工作流程匯入 Identity Manager
若要使用 Identity Manager 目前未提供的修正工作流程,請完成以下作業以匯入外部工作流程︰
成功匯入工作流程後,其便會顯示在 [Audit Policy Wizard] 中的 [Remediation Workflow] 選項清單中。
命名和說明稽核策略
在 [Audit Policy Wizard] 螢幕 (如圖 11-1 所示) 中輸入新策略的名稱及其簡要描述。
圖 11-1 稽核策略精靈︰輸入名稱與描述螢幕
如果選擇不命名規則,Identity Manager 會使用下列格式來指定預設名稱:Policy_Name::Rule1。
如果您希望在執行掃描時僅存取已選取的資源,請啟用 [Restrict target resources] 選項。
按 [Next] 繼續下一頁。
選取規則
使用這個螢幕來啟動在策略中定義或包含規則的程序。建立策略時,您的工作主要就是定義和建立規則。
如圖 11-2 所示,您可以選擇使用 Identity Manager 規則精靈建立自己的規則,或結合現有規則。依預設會選取 [Rule Wizard] 選項。按 [Next] 啟動規則精靈,然後移至使用規則精靈建立新規則以取得有關建立規則的說明。
圖 11-2 稽核策略精靈︰選取規則類型螢幕
選取現有規則
選取規則選項後,按一下 [Existing Rule] 以將現有規則包含在新策略中。然後,按 [Next] 以檢視並選取您可以存取的現有稽核策略規則。
從 [Rules] 選項清單中選取其他規則,然後按 [Next]。
備註 如果看不到之前匯入 Identity Manager 的規則名稱,請確認您已將稽核策略規則中所述的附加屬性增加至規則中。
增加規則
您可以建立其他規則,也可以匯入現有規則。規則精靈僅允許在一項規則中使用一個資源。匯入的規則可依需要參照多個資源。
如有必要,請按一下 [AND] 或 [OR] 以繼續增加規則。若要移除某規則,請選取該規則,然後按一下 [Remove]。
僅當所有規則的布林表示式均評估為 true 時,才會發生策略違規。使用 AND/OR 運算子對規則進行分組後,即使所有規則均未評估為 true,策略也可能評估為 true。Identity Manager 僅針對評估為 true 的規則建立違規 (僅當策略表示式評估為 true 時)。
選取補救工作流程
使用這個螢幕來選取要與此策略相關聯的「補救」工作流程。此處指定的工作流程可決定在偵測到稽核策略違規時,要在 Identity Manager 內採取的行動。
圖 11-3 稽核策略精靈︰選取修正工作流程螢幕
備註 如需有關匯入您已在 XML 編輯器或 Identity Manager 整合開發環境 (IDE) 中建立之工作流程的資訊,請參閱(可選擇) 將工作流程匯入 Identity Manager。
若要指定要與此修正工作流程相關聯的修正者,請按一下 [Specify Remediators?]啟用此核取方塊後按 [Next],將顯示 [Assign Remediators] 頁面。如果未啟用此核取方塊,則 [Audit Policy Wizard] 會接著顯示 [Assign Organizations] 螢幕。
為補救選取管理員和逾時
如果您選取指定修正者,則當偵測到針對此策略的違規時,指定給此稽核策略的修正者會收到通知。
您可以選擇指定至少一個第 1 級修正者,或指定的管理員。偵測到策略違規時,補救工作流程首先會使用電子郵件來聯絡第 1 級補救者。如果已達到指定的提升逾時期間而第 1 級修正者尚未回應,則 Identity Manager 接著會連絡您在此處指定的第 2 級修正者。僅當第 1 級或第 2 級修正者在提升時間段結束之前均無回應時,Identity Manager 才會連絡第 3 級修正者。
[Assigning Remediators] 是可選選項。如果您選取此選項,請按 [Next] 以在指定設定後繼續至下一個螢幕。
圖 11-4 稽核策略精靈︰選取第 1 級修正者區域
選取可以存取此策略的組織
使用圖 11-5 所示螢幕,可選取可以檢視和編輯此策略的組織。
圖 11-5 稽核策略精靈︰指定組織可視性螢幕
當您建立策略之後,策略便會列在可以從 [Compliance] 標籤存取的策略檢視中。
使用規則精靈建立新規則
如果您選擇使用 [Audit Policy Wizard] 中的 [Rule Wizard] 選項建立規則,請接著在下面各部分中所述的螢幕中輸入資訊。
命名和說明新規則
(可選擇) 使用此螢幕可輸入描述性文字,每次 Identity Manager 顯示規則時,描述性文字都會顯示在規則名稱旁邊。請輸入簡潔易懂且能夠描述規則的描述。這段說明會顯示在 Identity Manager 內的 [Review Policy Violations] 頁面中。
圖 11-6 稽核策略精靈︰輸入規則描述螢幕
例如,如果您建立的規則可識別同時具有 Oracle ERP responsibilityKey 屬性值 Payable User 與 Receivable User 屬性值的使用者,則可以在 [Description] 欄位中輸入以下文字:識別同時具有 Payable User 和 Receivable User 責任的使用者。
使用 [Comments] 欄位可提供有關規則的附加資訊。
選取規則參照的資源
使用這個螢幕來選取規則將參照的資源。每個規則變數都必須對應到這個資源的屬性。您具有檢視存取權限的所有資源都會顯示在這個選項清單中。在此範例中,已選取 Oracle ERP。
圖 11-7 稽核策略精靈︰選取資源螢幕
按 [Next] 移至下一頁。
建立規則表示式
使用此螢幕可為您的新規則輸入規則表示式。此範例所建立的規則不允許具有 Oracle ERP responsibilityKey 屬性值 Payable User 的使用者同時具有 Receivable User 屬性值。
- 從可用屬性清單中選取使用者屬性。這個屬性會直接對應到規則變數。
- 從清單中選取邏輯條件。有效的條件包括 = (等於)、!= (不等於)、< (小於)、<= (小於或等於)、> (大於)、>= (大於或等於)、true、null、not null、以及 contains。針對此範例的目的,您可以從可能的屬性條件清單中選取 Contains。
- 輸入表示式的值。例如,如果輸入 Payable user,則您在指定具有 responsibilityKeys 屬性值 Payable user 的 Oracle ERP 使用者。
- (可選擇) 按一下 [AND] 或 [OR] 運算子以增加另一行並建立其他表示式。
圖 11-8 稽核策略精靈︰選取規則表示式螢幕
此規則會傳回布林值。如果兩個陳述式都為 true,那麼規則會傳回 TRUE 值,進而引發策略違規。
備註 Identity Manager 不支援規則套疊控制。如果指定了多個規則,則策略評估器永遠先執行 AND 作業,然後再執行 OR 作業。例如,R1 AND R2 AND R3 or R4 AND R5 (R1 + R2 + R3) | (R4 + R5)。
以下程式碼範例顯示了您已在此螢幕中建立之規則的 XML:
代碼範例 11-1 新建立之規則的 XML 語法範例
若要從規則中移除表示式,請選取屬性條件,然後按一下 [Remove]。
按 [Next] 以繼續執行 [Audit Policy Wizard]。接著,藉由使用精靈來建立新規則或新增現有規則,您將有機會新增其他規則。
編輯稽核策略
稽核策略的常見編輯工作包括:
編輯策略頁面
在 [Audit Policy] 名稱欄中按一下策略名稱,即可開啟 [Edit Audit Policy] 頁面。[Edit Audit Policy] 頁面隨即開啟。此頁面將稽核策略資訊分類成以下區域:
使用這個頁面區域可以:
編輯稽核策略名稱和說明
藉由選取欄位中的文字並輸入新文字,可以編輯 [Policy Description] 欄位和 [Rule Name] 欄位。
從策略中刪除規則
按一下規則名稱前面的 [Select] 按鈕,然後按一下 [Remove]。
新增規則到策略
按一下 [Add] 來附加您可以用來選取新增規則的新欄位。
變更策略使用的規則
在 [Rule Name] 欄中,從選項清單中選取其他規則。
修正者區域
圖 11-10 顯示了用於為策略指定修正者的修正者區域。
圖 11-10 [Edit Audit Policy] 頁面︰指定修正者
使用這個頁面區域可以:
移除或指定補救者
透過選取名稱並使用 將每個修正層級之左側欄中的選項移至右側欄,來為一個或多個修正層級選取修正者。您必須至少選取一個修正者。
調整上報逾時
選取逾時值然後輸入新值。預設的逾時值為 60 分鐘。
修正工作流程與組織區域
圖 11-11 顯示了用於為稽核策略指定修正工作流程和組織的區域。
圖 11-11 [Edit Audit Policy] 頁面︰修正工作流程與組織
使用這個頁面區域可以:
變更補救工作流程
若要變更指定給策略的工作流程,您可以從選項清單中選取替代工作流程。依預設,不為稽核策略指定任何工作流程。
從清單中選取補救工作流程,然後按一下 [Save]。
指定或移除組織的可視性
調整可使用此稽核策略的組織,然後按一下儲存。
刪除稽核策略
從系統刪除稽核策略後,所有參照該策略的違規也將被刪除。
按一下 [Manage Policies] 以檢視策略後,可從介面的 [Compliance] 區域刪除策略。若要刪除稽核策略,請在策略檢視中選取策略名稱,然後按一下 [Delete]。
對稽核策略進行疑難排解
使用策略規則除錯程式通常是解決稽核策略問題的最佳辦法。
對規則進行除錯
若要對規則除錯,請將下列追蹤元素新增到規則程式碼中。
<block trace='true'>
<and>
<contains>
<ref>accounts[AD].firstname</ref>
<s>Sam</s>
</contains>
<contains>
<ref>accounts[AD].lastname</ref>
<s>Smith</s>
</contains>
</and>
</block>問題:在 Identity Manager 介面中看不到我的工作流程。
請確認已將 subtype='SUBTYPE_REMEDIATION_WORKFLOW' 屬性增加到您的工作流程中。如果沒有這個子類型,便無法在 Identity Manager 介面中看到工作流程。
指定稽核策略若要將稽核策略指定給組織,使用者必須至少具有指定組織稽核策略權能。若要將稽核策略指定給使用者,使用者必須具有指定使用者稽核策略權能。具有指定稽核策略權能的使用者同時具有這兩項權能。
若要指定組織層級策略,請在 [Accounts] 標籤中選取 [Organization],然後從 [Assigned audit policies] 清單中選取策略。
如要指定使用者層級策略,請按一下 [Accounts] 標籤中的 [User]。然後,在使用者表單中選擇 [Compliance] 標籤,並從 [Assigned audit policies] 清單中選取策略。
稽核策略掃描和報告此小節提供了有關稽核策略掃描的資訊,以及執行與管理稽核掃描的程序。
掃描使用者與組織
掃描是對個別使用者或組織執行選定稽核策略的方法。您可能要掃描使用者或組織以查看是否發生了特定違規,或執行未指定給使用者或組織的策略。您可以從介面的 [Accounts] 區域啟動掃描。
若要從 [Accounts] 區域啟動對使用者帳號或組織的掃描,請︰
螢幕上將顯示 [Launch Task] 對話方塊。表 11-2 是稽核策略使用者掃描的 [Launch Task] 頁面範例。
圖 11-12 [Launch Task] 對話方塊
- 在 [Report Title] 欄位中指定掃描的標題。這是必填欄位。您可以選擇是否要在 [Report Summary] 欄位中指定掃描的說明。
- 選取一或多個要執行的稽核策略。您必須至少指定一個策略。
- 選取 [Policy Mode]。這會決定選取的策略將如何與已經具有策略指定的使用者互動。指定可以直接來自使用者或來自使用者被指定到的組織。
- 核取 [Execute Remediation Workflow?] 來執行稽核策略中指定的補救工作流程。如果稽核策略並未定義補救工作流程,此時便不會執行補救。
- 核取 [Email Report] 來指定報告的收件人。您也可以讓 Identity Manager 附加包含 CSV (逗號分隔值) 格式的報告的檔案。
- 如果您想要置換預設 PDF 選項,請啟用 [Override default PDF options] 核取方塊。
- 按一下 [Launch] 開始掃描。
若要檢視稽核掃描的結果報告,請檢視 Auditor 報告。
使用 Auditor 報告
Identity Manager 提供了許多 Auditor 報告。下表說明了這些報告。
表 11-1 Auditor 報告說明
Auditor 報告類型
說明
存取檢閱詳細資訊報告
顯示所有使用者軟體權利文件記錄的目前狀態。可依使用者的組織、存取檢閱與存取檢閱實例、軟體權利文件記錄的狀態和驗證者篩選此報告。
存取檢閱摘要報告
提供有關所有存取檢閱的摘要資訊。其概述了所列的每個存取檢閱掃描之已掃描使用者、已掃描策略和驗證作業的狀態。
稽核策略摘要報告
概述了所有稽核策略的關鍵元素,包括每個策略的規則、修正者和工作流程。
已稽核的屬性報告
顯示所有指示特定資源帳號屬性變更的稽核記錄。
此報告發掘已儲存之所有可稽核屬性的稽核資料。此報告會找出以任何擴充屬性為基礎的資料,您可以從 WorkflowServices 或標示為可稽核的資源屬性來指定它們。
稽核策略違規歷程記錄
在指定時間段內建立的每個策略之所有規範遵循違規的圖形化檢視。您可依策略篩選此報告,並且可按天、週、月或季對其進行分組。
使用者存取報告
顯示指定使用者的稽核記錄與使用者屬性。
組織違規歷程記錄
在指定時間段內建立的每個資源之所有規範遵循違規的圖形化檢視。您可依組織篩選此報告,並且可按天、週、月或季對其進行分組。
資源違規歷程記錄
在指定時間範圍內建立的每個資源之所有規範遵循違規的圖形化檢視。
責任分離報告
顯示安排在衝突表中的責任分離違規。使用網路型介面,您可以按一下連結來存取附加資訊。
您可依組織篩選此報告,並且可按天、週、月或季對其進行分組。
違規摘要報告
顯示目前的所有規範遵循違規。您可依修正者、資源、規則、使用者或策略篩選此報告。
您可從 Identity Manager 介面的 [Reports] 標籤中取得這些報告。
建立 Auditor 報告
若要產生報告,您必須首先建立報告。您可為報告指定各種條件,包括指定接收報告結果的電子郵件收件者。建立並儲存報告後,其將顯示在 [Run Reports] 頁面中。
圖 11-13 顯示了包含已定義之 Auditor 報告清單的 [Run Reports] 頁面範例。
圖 11-13 執行報告頁面選擇
若要建立 Auditor 報告,請執行以下程序:
將會顯示報告對話方塊。報告對話方塊的欄位與版面配置會因各種報告類型而異。請參閱線上說明,以取得有關指定報告條件的資訊。
輸入並選取報告條件之後,您可以:
從 [Run Reports] 頁面執行報告後,您可以立即或稍後從 [View Reports] 標籤中檢視輸出。
- 如需有關排定報告的資訊,請參閱排定報告。
修正與緩解本小節說明了如何使用 Identity Manager 修正來保護您的重要資產。以下主題討論了 Identity Manager 修正程序的元素︰
關於修正
當 Identity Manager 偵測到未解決 (未緩解) 的稽核策略違規時,其會建立修正請求,此修正請求必須由修正者 (可以評估和回應稽核策略違規的指定管理員) 加以解決。
Identity Manager 可讓您定義三個層級的補救者上報。補救請求最初會傳送給第 1 級補救者。如果第 1 級補救者在逾時期限到期前沒有對補救請求採取任何行動,Identity Manager 會將違規上報至第 2 級補救者,並開始新的逾時期限。如果第 2 級補救者在逾時期限到期前並未回應,則該請求會再次上報至第 3 級補救者。
若要執行補救,您必須在企業中至少指定一位補救者。您可以選擇是否要為每個層級指定多位補救者,但是建議您最好這麼做。多位補救者將有助於確保工作流程不會延誤或停滯。
指定修正權能提供指定補救者的指示。
修正工作流程程序
依預設,Identity Manager 實作標準修正工作流程,以針對稽核策略掃描提供修正處理。
標準修正工作流程會產生修正請求 (檢閱類型的工作項目,其中包含有關規範遵循違規的資訊),並向稽核策略中任命的每個第 1 級修正者傳送電子郵件通知。當修正者緩解違規時,工作流程會變更現有規範遵循物件的狀態,並為其指定過期時間。
規範遵循違規僅可透過使用者、策略名稱和規則名稱的組合進行識別。當稽核策略評估為 true 時,則將為每個使用者/策略/規則組合建立新的規範遵循違規 (如果目前該組合尚無違規)。如果該組合確實有違規,且違規處於緩解狀態,則工作流程程序不會採取任何動作。如果未緩解現有違規,則其重複計數將遞增。
如需有關修正工作流程的更多資訊,請參閱關於稽核策略。
補救回應
依照預設,會為每位補救者提供三個回應選項:
例如,您的企業建立一條規則,規定使用者不能同時負責「應付帳款」與「應收帳款」,而您收到有使用者違反這一規則的通知。
修正電子郵件範本
Identity Manager 提供「策略違規通知」電子郵件範本 (啟用方法是選取 [Configuration] 標籤,然後選取 [Email Templates] 子標籤)。您可以將此範本配置為向補救者通知擱置違規。如需更多資訊,請參閱自訂電子郵件範本。
指定修正權能
若要為您企業中的管理員指定修正權能,請執行以下步驟︰
- 選取 [Accounts] 標籤,然後按一下 [Accounts] 清單中的管理帳號以開啟 [Edit User] 頁面。
- 在 [Edit User] 頁面中,按一下 [Security] 子標籤。
- 從 [Available Capabilities] 清單中選取 [Auditor Remediator],並使用 按鈕將其移至 [Assigned Capabilities] 清單中。
- 完成後按一下 [Save]。
備註 如需有關 Auditor 修正者權能的更多資訊,請參閱瞭解與管理權能。
使用 [Remediations] 頁面
選取工作項目,然後選取 Identity Manager 中的 [Remediations] 標籤,以存取 [Remediations] 頁面。
您可使用此頁面執行以下作業︰
檢視修正請求
採取行動之前,您可以先使用 [Remediations] 頁面來檢視有關補救請求的詳細資訊。
以下主題與檢視修正請求有關
檢視擱置請求
依照預設,您的登入名稱和擱置請求會顯示在 [Remediations] 表格中。
您可以使用 [List Remediations for] 選項來檢視其他修正者的擱置修正請求:
產生的表格會提供以下有關各個請求的資訊:
檢視已完成的請求
若要檢視已完成的修正請求,請按一下 [My Work Items] 標籤,然後按一下 [History] 標籤。螢幕上將顯示先前修正的工作項目清單。
產生的表格 (由 AuditLog 報告產生) 提供有關每個修正請求的以下資訊:
按一下表格中的時間戳記可開啟 [Audit Events Details] 頁面。
[Audit Events Details] 頁面提供已完成請求的相關資訊,包括關於補救或緩解、事件參數
(如果有的話) 以及可稽核屬性的資訊。按一下 [OK] 可返回 [Previously remediated by Configurator] 頁面,在此頁面上按一下 [OK] 可返回 [Remediations] 頁面。
對 [Remediations] 表中的請求進行排序
您可以按一下表格標題來排序 [Remediations] 表格的內容。按一下可依向上順序排序,再按一下即可依向下順序排序。
若要對 [Remediations] 標籤中的擱置請求進行排序,請︰
若要對 [History] 標籤中的已完成請求進行排序,請︰
更新表格
若要更新 [Remediations] 表中提供的資訊,請按一下 [Refresh]。[Remediation] 頁面會使用新的策略違規來更新該表。
緩解策略違規
您可以從 [Remediations] 頁面或 [Review Policy Violations] 頁面緩解策略違規。
從 [Remediations] 頁面
若要從 [Remediations] 頁面緩解擱置策略違規,請:
- 在表格中選取列以指定要緩解的請求。
- 按一下 [Mitigate]。
[Mitigate Policy Violation] 頁面 (或 [Mitigate Multiple Policy Violations] 頁面) 顯示如下:
圖 11-14 [Mitigate Policy Violation] 頁面
- 在 [Explanation] 欄位中輸入您有關緩解的註釋。(這是必填欄位。)
請記住,您的註釋可為這個動作提供稽核線索,因此請務必輸入完整、有用的資訊。例如,說明您緩解策略違規的原因、日期,以及選擇免責期限的原因。
- 直接在 [Expiration Date] 欄位中輸入日期 (YYYY-MM-DD),或按一下日期 按鈕並從行事曆中選取日期,這兩種方法都可以指定免責的過期日期。
- 完成時按一下 [OK] 來儲存您的變更,並返回 [Remediations] 頁面。
補救策略違規
若要補救一或多項策略違規,請:
轉寄補救請求
必要時,您可以轉寄一或多個補救請求給另一位補救者,如下所示:
再次顯示 [Remediations] 頁面時,新修正者的名稱將顯示在表格的 [Remediator] 欄中。
定期存取檢閱與驗證Identity Manager 提供執行存取檢閱的程序,存取檢閱可讓管理員或其他責任方檢閱和驗證使用者存取權限。此程序有助於持續識別與管理使用者權限積累,還有助於維護對 Sarbanes-Oxley、HIPAA 與其他聯邦命令的規範遵循。
可臨時執行存取檢閱或將其排定為定期進行 (例如每個行事曆季度一次),從而使您可以執行定期存取檢閱來維護使用者權限的正確層級。存取檢閱可包括稽核掃描。
關於定期存取檢閱
定期存取檢閱是用於驗證一組員工在特定時間對相應資源是否具有相應權限的定期程序。
定期存取檢閱涉及以下作業︰
使用者軟體權利文件是指示使用者帳號或特定資源集之詳細資訊的記錄。
存取檢閱掃描
若要啟動定期存取檢閱,您必須首先至少定義一個存取掃描。
存取掃描可定義要掃描的對象、掃描要包括的資源、掃描期間要評估的所有稽核策略,以及用於確定要手動驗證哪些軟體權利文件記錄和由誰執行驗證的規則。
存取檢閱工作流程程序
通常,Identity Manager 存取檢閱程序按如下步驟工作︰
必要的管理員權能
若要執行定期存取檢閱並管理檢閱程序,使用者必須具有 Auditor 定期存取檢閱管理員權能。具有 Auditor 存取掃描管理員權能的使用者可以建立並管理存取掃描。
若要指定這些權能,請編輯使用者帳號並修改安全性屬性。如需有關這些和其他 Auditor 權能的更多資訊,請參閱瞭解與管理權能。
驗證
驗證是由一個或多個指定驗證者執行的認證程序,可確認在特定日期使用者軟體權利文件是否存在。存取檢閱期間,驗證者會透過電子郵件通知接收存取檢閱驗證請求的通知。驗證者必須是 Identity Manager 使用者,但無需是 Identity Manager 管理員。
驗證工作流程
Identity Manager 使用在存取掃描識別到需要檢閱之軟體權利文件記錄時啟動的驗證工作流程。該工作流程根據存取掃描中定義的規則做出此決定。
存取掃描評估的規則可確定是否需要手動驗證使用者軟體權利文件記錄,或是否可以自動核准或拒絕該記錄。如果需要手動驗證使用者軟體權利文件記錄,則存取掃描將使用第二個規則來確定誰是適當的驗證者。
每個要手動驗證的使用者軟體權利文件記錄都將指定給工作流程,每個驗證者負責一項工作項目。可使用 ScanNotification 工作流程傳送給這些工作項目之驗證者的通知,該工作流程針對每個掃描將項目隨附在一個通知中。除非已選取 ScanNotification 工作流程,否則通知將針對使用者軟體權利文件。這表示驗證者可針對每個掃描收到多份通知,並且其數目可能很大,這取決於掃描的使用者數目。
驗證安全性存取
已授權以下 Identity Manager 使用者存取驗證工作項目︰
這些授權選項適用於 authType AttestationWorkItem 的工作項目。依預設,授權檢查的運作方式如下︰
可透過修改以下選項獨立配置第二次和第三次檢查︰
firstLevel 和 lastLevel 的整數值預設為 0 和 -1,表示直接和間接從屬。
可透過以下方法增加或修改這些選項︰
UserForm:AccessApprovalList approval/editAttestation.jsp
委託驗證
依預設,存取掃描工作流程讓使用者建立的驗證工作項目和通知委託優先。存取掃描管理員可取消選取 [Follow Delegation] 選項來忽略委託設定。如果驗證者已將所有工作項目委託給其他使用者,但是沒有為存取檢閱掃描設定 [Follow Delegation] 選項,則該委託所指定給的驗證者 (而非使用者) 將接收驗證請求通知和工作項目。
計劃定期存取檢閱
對於任何企業來說,存取檢閱可能都是費時費力的程序。Identity Manager 定期存取檢閱程序可自動化該程序的許多部分,從而有助於將涉及的成本與時間降至最低。然而,某些程序仍很耗費時間。例如,從許多位置中擷取成千上萬使用者之使用者帳號資料的程序就可能需要相當長的時間。手動驗證記錄的動作也將很耗費時間。合理的計劃可提昇程序效率,從而大大降低投入。
計劃定期存取檢閱時要考慮以下注意事項︰
建立存取掃描
若要定義存取檢閱掃描,請執行以下步驟︰
- 選取 [Compliance] > [Manage Access Scans]。
- 在 [Create New Access Scan] 頁面上,指定存取掃描的名稱。
- (可選擇) 增加有助於識別掃描的描述。
- 從以下選項中選取 [User Scope Type]︰(這是必填欄位。)
- 如果您還選擇在存取檢閱掃描期間掃描稽核策略以偵測違規,請將您的選項從 [Available Audit Policies] 移至 [Current Audit Policies],以選取要套用至此掃描的稽核策略。
將稽核策略增加至存取掃描會導致對同一使用者集採用與執行稽核掃描相同的運作方式。但是,除此之外,稽核策略偵測到的所有違規都將儲存在使用者軟體權利文件記錄中。此資訊可使自動核准或拒絕更簡便,因為此規則可將使用者軟體權利文件記錄中違規的存在與否做為其邏輯的一部分。
- 如果您還選擇掃描前面步驟中的稽核策略,則可以使用 [Policy mode] 選項指定存取掃描如何確定要針對指定使用者執行的稽核策略。可同時為使用者指定使用者層級和/或組織層級的策略。預設存取掃描運作方式為,僅當使用者尚未具有任何指定的策略時才套用為存取掃描指定的策略。
- (可選擇) 指定[Review Process Owner]。使用此選項可指定定義之存取檢閱作業的所有者。如果已指定檢閱程序所有者,則回應驗證請求時可能遇到衝突的使用者在核准或拒絕使用者軟體權利文件時可棄權,從而將驗證請求轉寄給檢閱程序所有者。按一下選取 (省略號) 方塊可搜尋使用者帳號並進行選取。
- [Follow delegation] — 選取此選項可為存取掃描啟用委託。如果已核取此選項,則存取掃描將僅遵循委託設定。依預設,啟用 [Follow Delegation]。
- [Restrict target resources] — 選取此選項可限制掃描目標資源。
此設定可直接影響存取掃描的效率。如果未限制目標資源,則每個使用者軟體權利文件記錄都將包含使用者連結之每個資源的帳號資訊。這表示在掃描期間,將查詢每個使用者的每個指定資源。透過使用此選項指定資源子集,您可以大大縮短 Identity Manager 建立使用者軟體權利文件記錄所需的處理時間。
- [Execute Violation Remediations] — 選取此選項可在偵測到違規時啟用稽核策略的修正工作流程。
如果選取此選項,則偵測到之對任何指定稽核策略的違規都將導致執行相應的稽核策略修正工作流程。
- [Access Approval Workflow] — 選取預設的標準驗證工作流程或選取自訂的工作流程 (如果有)。
此工作流程用於將要檢閱的使用者軟體權利文件記錄顯示給適當的驗證者 (由驗證者規則確定)。預設的標準驗證工作流程將為每個驗證者建立一個工作項目。如果存取掃描指定提升,則此工作流程將負責提升休止過久的工作項目。如果為指定任何工作流程,則使用者驗證將無限期地處於擱置狀態。
- [Attestor Rule] — 選取預設驗證者規則,或選取自訂驗證者規則 (如果有)。
將使用者軟體權利文件記錄做為輸入提供給驗證者規則,該規則將傳回驗證者名稱清單。如果選取 [Follow Delegation],則存取掃描會遵循原始名稱清單中每個使用者配置的委託資訊,將名稱清單轉送給適當的使用者。如果 Identity Manager 使用者的委託導致路由循環,則將捨棄委託資訊,並將工作項目傳送至原始驗證者。預設驗證者規則指示驗證者應為軟體權利文件記錄表示之使用者的管理員 (idmManager),或配置程式帳號 (如果該使用者的 idmManager 為空)。如果驗證需涉及資源所有者與管理員,則必須使用自訂規則。如需有關自訂規則的資訊,請參閱「Identity Manager Deployment Tools」指南。
- [Attestor Escalation Rule] — 使用此選項指定預設提升驗證者規則,或選取自訂規則 (如果有)。您還可以指定規則的提升逾時值。
此規則可指定已超過提升逾時期間之工作項目的提升鏈。預設提升驗證者規則提升至指定驗證者的管理員 (idmManager) 或配置程式 (如果驗證者的 idmManager 值為空)。
您可以分鍾、小時或天指定提升逾時。
- [Review Determination Rule] — 選取以下任一規則來指定掃描程序如何確定軟體權利文件記錄的處理方式:(這是必填欄位。)
- [Reject Changed Users] — 如果某使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同,且已核准上一個使用者軟體權利文件,則自動拒絕該記錄。否則,強制執行手動驗證,並核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。
- [Review Changed Users] — 如果任何使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同,且已核准上一個使用者軟體權利文件,則對該記錄強制執行手動驗證。核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。
- [Review Everyone] — 對所有使用者軟體權利文件記錄強制執行手動驗證。
- [Notification Workflow] — 選取以下任一選項以指定每個工作項目的通知運作方式。
如果存取掃描中指定了檢閱程序所有者,則當掃描開始和結束時,ScanNotification 工作流程還將向檢閱程序所有者傳送通知。請參閱步騆 7。
ScanNotification 工作流程使用以下電子郵件範本
您可以自訂 ScanNotification 工作流程。
- [Violation limit] — 使用此選項可指定掃描在中斷前可發出之規範遵循違規的最大數目。預設限制為 1000。空值欄位表示無限制。
儘管與使用者數目相比,稽核掃描或存取掃描期間的策略違規數目通常很小,但設定此值可防止能大大增加違規數目之不完善策略帶來的不良影響。例如,考慮以下情況︰
如果存取掃描涉及 50K 使用者,並針對每個使用者產生兩到三個違規,則每個規範遵循違規的修正成本將對 Identity Manager 系統產生不良影響。
- [Organizations] — 選取可使用該存取掃描物件的組織。這是必填欄位。
按一下 [Save] 儲存掃描定義。
刪除存取掃描
您可以刪除一個或多個存取掃描。若要刪除存取掃描,請從 [Compliance] 標籤中選取 [Manage Access Scans],再選取掃描的名稱,然後按一下 [Delete]。
管理存取檢閱
定義存取掃描後,您便可以使用它或將其排定為存取檢閱的一部分。啟動存取檢閱後,可使用多項作業來管理檢閱程序。
使用以下作業啟動與管理存取檢閱。
啟動存取檢閱
若要啟動存取檢閱,請從管理員介面的 [Server Tasks] > [Run Tasks] 區域中選取 [Access Review] 作業。在 [Launch Task] 頁面中,指定存取檢閱的名稱。從 [Available Access Scans] 清單中選取掃描,然後將其移至 [Selected] 清單。如果您選取多個掃描,則可以選擇以下任一啟動選項︰
按一下 [Launch] 以啟動存取檢閱程序。
當您啟動存取檢閱時,螢幕上將顯示工作流程程序圖,其中顯示該程序的步驟。
排定存取檢閱作業
您可從 [Server Tasks] 區域排定存取檢閱作業。例如,若要定期設定存取檢閱,請使用 [Manage Schedule] 標籤定義排程。您可以將作業排定為每月或每季發生一次。
若要定義排程,請在 [Schedule Tasks] 頁面中選取作業,然後填寫 [Create task schedule] 頁面中的資訊。
按一下 [Save] 儲存已排定的作業。
備註 依預設,Identity Manager 可將存取檢閱作業的結果保留一週。如果您選擇不到一週便排定一次檢閱,請將 [Results Options] 設定為 [delete]。如果未將 [Results Options] 設定為 [delete],則不會執行新檢閱,因為先前作業的結果仍然存在。
管理存取檢閱進度
使用 [Access Reviews] 標籤可監視存取檢閱的進度。透過 [Compliance] 標籤存取該功能。
圖 11-16 [Access Reviews] 頁面
如前面的圖中所示,透過 [Access Reviews] 標籤,您可以檢閱所有使用中和先前已處理之存取檢閱的摘要。提供了所列之每個存取檢閱的以下資訊︰
若要檢視有關檢閱的更詳細資訊,請選取該檢閱以開啟摘要報告。
圖 11-17 顯示了存取檢閱摘要報告範列。
圖 11-17 存取檢閱摘要報告頁面
在網路型介面中,您可以按一下某連結以存取有關每個存取掃描、組織和驗證者的狀態資訊。
您還可以執行存取檢閱摘要報告,以檢閱和下載報告中的此資訊。
修改掃描屬性
設定存取掃描後,您可以編輯掃描以指定新選項,例如指定在執行存取掃描時要掃描的目標資源,或要針對其掃描違規的稽核策略。
若要編輯掃描定義,請從 [Access Scans] 清單中選取該定義,然後在 [Edit Access Review Scan] 頁面中修改屬性。
您必須按一下 [Save] 才能儲存對掃描定義所做的所有變更。
取消存取檢閱
在 [Access Reviews] 標籤中,您可以按一下 [Terminate] 以停止進行中的已選取檢閱。終止檢閱將導致發生以下動作︰
刪除存取檢閱作業
如果存取檢閱作業的狀態為已終止或已完成,則您可以刪除該作業。您必須先終止進行中的存取檢閱作業,才能將其刪除。
刪除存取檢閱作業將刪除該檢閱產生的所有使用者軟體權利文件記錄。刪除動作將記錄在稽核記錄中。
如要刪除存取檢閱作業,請選取功能表列中的 [Server Tasks],然後選取 [Run Tasks] > [Delete Access Review]。
管理驗證責任
您可以透過 Identity Manager 管理員或使用者介面管理驗證請求。本小節提供有關回應驗證請求以及驗證中所涉及之責任的資訊。
存取檢閱通知
如果驗證請求需要驗證者的核准,則在掃描期間 Identity Manager 會向驗證者傳送通知。如果已委託驗證者責任,則將驗證請求傳送給受委託人。如果定義了多個驗證者,則每個驗證者都將收到一份電子郵件通知。
請求將在 Identity Manager 介面中顯示為 [Attestation] 工作項目。當指定的驗證者登入 Identity Manager 時,將顯示擱置的驗證工作項目。
檢視擱置請求
從介面的 [Work Items] 區域檢視驗證工作項目。選取 [Work Items] 區域中的 [Attestation] 標籤,可列出所有需要核准的軟體權利文件記錄。在 [Attestations] 頁面中,您還可以列出所有直接報告和您可直接或間接控制之特定使用者的軟體權利文件記錄。
[My Work Items] 標籤顯示每類指定,以及各類指定的擱置工作項目數。
檢閱與核准軟體權利文件記錄
驗證工作項目包含需要檢閱的使用者軟體權利文件記錄。軟體權利文件記錄提供有關使用者存取權限、指定的資源及策略違規的資訊。
以下是對驗證請求的可能回應︰
如果在指定的提升逾時期間之前,驗證者未採取以上任一動作來回應請求,則會將通知傳送至提升鏈中的下一個驗證者。直到記錄回應後通知程序才會停止。
您可以透過 [Compliance] > [Access Reviews] 標籤監視驗證狀態。
存取檢閱報告
Identity Manager 提供以下報告,可讓您評估存取檢閱的結果︰
- [Access Review Detail Report] — 該報告以表格的格式提供以下資訊:
- [Name] — 使用者軟體權利文件記錄的名稱
- [Status] — 檢閱程序的目前狀態:正在啟動、正在終止、已終止、正在執行數個掃描、已排定數個掃描、正在等待驗證或已完成
- [Attestor] — 指定為記錄驗證者的 Identity Manager 使用者
- [Scan Date] — 記錄之掃描發生的時間戳記
- [Disposition Date] — 驗證軟體權利文件記錄的日期 (時間戳記)
- [Organization] — 軟體權利文件記錄中使用者的組織
- [Manager] — 已掃描使用者的管理員
- [Resources] — 使用者在其上具有帳號的資源,已擷取至該使用者軟體權利文件中
- [Violations] — 檢閱期間偵測到的違規數目
按一下該報告中的名稱可開啟使用者軟體權利文件記錄。圖 11-18 顯示了使用者軟體權利文件記錄檢視中提供的資訊範例。
圖 11-18 使用者軟體權利文件記錄
這些報告均可從 [Run Reports] 頁面,以可移植文件格式 (PDF) 或逗號分隔值 (CSV) 格式下載。
身份識別稽核作業參照表 11-2 提供了經常執行之身份識別稽核作業的快速參照。此表格顯示了您開始每項作業的主要 Identity Manager 介面位置,以及可用於執行作業的替代位置或方法 (如果有)。
表 11-2 身份識別稽核作業參照
若要執行以下作業:
請至:
建立、編輯或刪除稽核策略
[Compliance] 標籤,[Manage Policies] 子標籤
定義修正者並指定修正工作流程
[Compliance] 標籤,[Manage Policies] 子標籤
對一或多個使用者或組織執行稽核掃描
[Accounts] 標籤,從 [User Actions] 或 [Organization Actions] 清單中選取 [Scan]
回應策略違規修正請求
[Work Items] 標籤,[Remediations] 子標籤
緩解策略違規
[Work Items] 標籤,[Remediations] 子標籤
檢閱補救的策略違規
[Work Items] 標籤,[Remediations] 子標籤
產生稽核策略報告
[Reports] 標籤,[Run Report] 子標籤
停用或啟用稽核
[Configure] 標籤,[Audit] 子標籤
設定要擷取的稽核事件
[Configure] 標籤,[Audit] 子標籤
編輯管理員稽核權能
[Security] 標籤,[Capabilities] 子標籤
設定稽核通知的電子郵件範本
[Configure] 標籤,[Email Templates] 子標籤
匯入資料檔/規則 (例如 XML 格式表單)
[Configure] 標籤,[Import Exchange File] 子標籤
定義存取檢閱掃描
[Compliance] 標籤,[Manage Scans] 子標籤
執行存取檢閱
[Server Tasks] 標籤,[Run Task] 子標籤
終止存取檢閱
[Compliance] 標籤,[Access Reviews] 子標籤
排定存取檢閱
[Server Tasks] 標籤,[Manage Schedule] 子標籤
設定定期存取檢閱
[Compliance] 標籤,[Manage Access Scans] 子標籤
監視存取檢閱狀態
[Compliance] 標籤,[Access Reviews] 子標籤
指定驗證者
[Compliance] 標籤,[Manage Access Scans] 子標籤
執行驗證者責任 (檢閱與認證使用者軟體權利文件)
[Work Items] 標籤,[My Work Items] 標籤,[Attestation] 子標籤
檢閱責任分離報告
[Reports] 標籤,[Run Report] 子標籤