|
| |
| Sun Java™ System Identity Manager 7.0 管理指南 | |
第 1 章
Identity Manager 簡介Sun Java™ System Identity Manager 系統可讓您安全有效地管理和稽核對帳號和資源的存取。Identity Manager 為您提供快速處理定期工作與每日工作的權能與工具,可讓您為內部與外部客戶提供卓越的服務。
本章將提供有關以下主題的簡介:
概述今日的企業需要 IT 服務為其提供持續增加的靈活性以及各項權能。過去,對企業資訊與系統存取的管理需要直接與有限數目的帳號互動。而後越來越多的情況顯示,管理存取不僅意味著處理增加的內部客戶數目,同時也需處理您企業以外的合作夥伴與客戶。
由於此類存取需要增加所產生的管理費用或許非常龐大。身為管理員,您必須讓人們 (不論是企業內部或外部) 有效與安全地執行他們的工作。而在您提供初始存取權之後,您將持續面對更複雜的挑戰,例如忘記密碼、變更角色與企業關係。
此外,今日的企業面臨管理關鍵商業資訊之安全性與完整性的嚴格需求。在受到與遵循性相關的法律規定的環境下,諸如「沙賓法案 (SOX)」、「醫療保險機動及責任法案 (HIPAA)」、以及「美國金融服務現代化法案 (GLB)」,為了監控和報告活動所產生的管理費用益發龐大及高昂。您必須能夠快速回應存取控制中的變動,以及滿足那些可確保企業安全的資料收集與報告需求。
我們特別開發出 Identity Manager 以協助您在動態環境中處理這些管理方面的挑戰。透過使用 Identity Manager 分配存取管理費用並解決規範遵循問題,您可以輕鬆建立應對主要挑戰的解決方案:我如何定義存取權?定義之後,我要如何維持靈活的彈性與控制?
Identity Manager 的設計安全而又極具靈活性,可以讓您根據您企業的結構對其進行設定,以應對這些挑戰。藉由將 Identity Manager 物件對映至您管理的實體 (使用者與資源),您將可以大幅提昇作業效率。
在服務提供者環境中,Identity Manager 還將這些權能延伸至管理企業外部網路使用者。
Identity Manager 系統的目標
Identity Manager 解決方案可讓您實現以下目標:
- 對廣泛的系統與資源之帳號存取進行管理。
- 為每位使用者的系列帳號安全地管理動態帳號資訊。
- 設定委託權限以建立並管理使用者帳號資料。
- 處理大量企業資源以及日益增加的大量企業外部網路客戶與合作夥伴。
- 安全地授權使用者企業資訊系統存取權。藉由 Identity Manager,您可擁有完整的整合功能,以授予、管理與撤銷內部與外部組織中的存取權限。
- 透過不保留資料的方式保持資料同步。Identity Manager 解決方案支援上層系統管理工具應當遵守的兩個主要原則:
- 定義稽核策略以管理是否遵循使用者存取權限規範,並透過自動修正動作和電子郵件警示來管理違規。
- 執行定期存取檢閱、定義驗證檢閱,以及核准自動驗證使用者權限的程序之程序。
- 透過面板監視關鍵資訊,以及稽核與檢閱統計。
定義使用者存取
更廣泛意義的企業使用者可以是與您公司有關聯的任何人,包括員工、用戶、夥伴、供應商或採購人員。在 Identity Manager 系統中,使用者以使用者帳號來代表。
由於使用者與您的企業和其他實體的關係各有不同,因此使用者需要存取的內容 (例如電腦系統、資料庫中儲存的資料或特定的電腦應用程式) 也會有所差異。在 Identity Manager 專有名詞中,這些內容即為資源。
因為通常使用者在他們存取的每個資源上都具有一個或多個身份,所以 Identity Manager 會建立單一的虛擬身份來對映到不同的資源。這可讓您將使用者當成單一實體的身份來管理。請參閱圖 1-1。
圖 1-1 Identity Manager 使用者帳號與資源的關係
若要有效地管理大量使用者,您需要以邏輯的方式將使用者加以分組。在大多數公司中,使用者按職能部門或地理部門分組。一般而言,這些部門中的每個部門都需要存取不同的資源。在 Identity Manager 專有名詞中,這種類型的群組稱為組織。
將使用者分組的另一種方式是依照類似的特性 (例如公司關係或工作職能) 進行分類。Identity Manager 將這些群組識別為角色。
在 Identity Manager 系統中,將角色指定給使用者帳號可以提昇啟用與停用資源存取的效率。而指定帳號給組織可以使得管理責任的委派更有效率。
也可以應用策略來直接或間接管理 Identity Manager 使用者。策略可設定規則、密碼和使用者認證選項。
委託管理
若要成功地分配使用者身份管理的責任,您需要正確平衡靈活性與控制程度。透過授予選取 Identity Manager 使用者管理員特權並委託管理工作,您可將身份管理的責任交由最瞭解使用者需要的人員 (例如人力招募經理),從而減少管理費用並提昇效率。擁有這些延伸權限的使用者稱為 Identity Manager 管理員。
但是委派只有在安全模式中才可運作。為了維持適當的控制層級,Identity Manager 可讓您將不同的權能層級指定給管理員。各種權能可向管理員授權系統中的不同存取權與行動層級。
Identity Manager 工作流程模型也包括一個用以確保某些操作必須經過核准的方法。使用工作流程,Identity Manager 管理員可保留對工作的控制權,並可追蹤其進度。如需有關工作流程的詳細資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
Identity Manager 物件Identity Manager 物件的明確描述以及物件如何互動對於成功的系統管理與部署非常重要。這些情況說明如下:
使用者帳號
Identity Manager 使用者帳號:
使用者帳號設定程序為動態的。根據您在帳號設定期間所進行的角色選擇,您可以提供較多或較少資源特定的資訊來建立帳號。與指定角色相關的資源的數目與類型決定了在帳號建立時需要資訊的多寡。
您可以授予使用者管理使用者帳號、資源與其他 Identity Manager 系統物件和工作的管理權限。Identity Manager 管理員負責管理組織,並被指定了適用於每個受管理組織中之物件的一系列權能。
角色
所謂角色是指代表 Identity Manager 使用者類型的 Identity Manager 物件,它允許將資源分組並指定給使用者。一般而言,角色代表使用者職務類別。例如在金融機構中,角色可能相當於銀行行員、貸款員、分支經理、記帳員、會計人員或行政主任等職務類別。
角色定義使用者的基本資源組以及資源屬性。也可以定義與其他角色之間的關係;例如包含或排除其他角色的角色。
擁有相同角色的使用者會存取共同的基礎資源群組。您可以為每個使用者指定一個或多個角色,也可以不指定任何角色。
如圖 1-2 所示,使用者 1 和使用者 2 藉由被指定為角色 2 而共同存取相同資源。而使用者 1 還可藉由被指定為角色 1 而存取其他資源。
圖 1-2 使用者帳號,角色,資源關係
資源與資源群組
Identity Manager 資源會儲存有關如何與建立帳號的資源或系統建立連線的資訊。可透過 Identity Manager 存取的資源包括:
每個 Identity Manager 資源所儲存的資訊會分類成數個主要群組:
Identity Manager 使用者帳號透過以下指定存取資源,如圖 1-3 所示:
可以用與指定資源相同的方式將相關的 Identity Manager 物件 (資源群組) 指定給使用者帳號。資源群組可關聯個項資源,以便您可以特定的順序在資源上建立帳號。此外,它們可以簡化將多個資源指定給使用者帳號的程序。如需有關資源群組的資訊,請參閱資源群組。
組織與虛擬組織
組織是指用於啟用管理委派的 Identity Manager 容器。它們定義 Identity Manager 管理員所控制或管理的實體範圍。
組織也可表示與目錄式資源的直接連結;它們稱為虛擬組織。透過虛擬組織可直接管理資源資料,而無需將資訊載入 Identity Manager 儲存庫。透過藉由虛擬組織鏡像現有目錄結構與成員身份,Identity Manager 可消除重複且耗時的設定作業。
包含其他組織的組織為父系組織。您可以建立平面結構的組織,或將組織排列成階層式結構。階層可以表示您用以管理使用者帳號的部門、地理區域或其他邏輯部門。
目錄結合
目錄結合是一組階層式的相關組織,它鏡射一組目錄資源的實際階層式容器。目錄資源透過使用階層容器來使用階層名稱空間。目錄資源的範例有 LDAP 伺服器與 Windows Active Directory 資源。
目錄結合中的每個組織皆是虛擬組織。目錄結合中最頂層的虛擬組織是表示定義於資源中的基底環境的容器的鏡射。目錄結合中其餘的虛擬組織為頂層虛擬組織的直接或間接子系,而且還鏡射一個為已定義資源的基底環境容器之子系的目錄資源容器。
您可以使用與組織相同的方式讓 Identity Manager 使用者成為虛擬組織的成員或供其所用。
權能
可為每個使用者指定權能或權限群組,使其能夠透過 Identity Manager 執行管理動作。權能可允許管理使用者在系統中執行特定工作,並操作 Identity Manager 物件。
一般而言,您會根據特定的工作責任來指定權能,例如密碼重設或帳號核准。透過將權能與權限指定給個別的使用者,您可建立一個階層式的管理結構,從而提供目標存取權與特權而不會危及資料保護的安全。
Identity Manager 提供一組預設權能,可用於一般的管理功能。也可以建立與指定符合您特定需求的權能。
管理員角色
透過管理員角色,您可以為由管理使用者管理的每個組織集定義一組唯一的權能。會給管理員角色指定各種權能和受控組織,隨後可將該管理員角色指定給管理使用者。
權能與受控組織可以直接指定給管理員角色,它們也可以在管理使用者每次登入 Identity Manager 時,間接 (動態) 地指定。動態指定由 Identity Manager 規則控制。
策略
藉由為帳號 ID、登入與密碼特性建立限制,策略可為 Identity Manager 使用者設定限制。Identity System 帳號策略可建立使用者、密碼和認證策略選項及限制。資源密碼和帳號 ID 策略設定長度規則、字元類型規則以及允許的文字和屬性值。字典策略可讓 Identity Auditor 根據文字資料庫來檢查密碼,以確保不會遭受簡單的字典攻擊。
稽核策略
與其他系統策略不同,稽核策略針對特定資源的使用者群組定義策略違規。稽核策略建立一或多個規則,並根據這些規則來評估使用者的遵循性違規。這些規則需視資源所定義之一或多個屬性而定。當系統掃描使用者時,會使用指定給該使用者的稽核策略所定義的條件來判定有無發生遵循性違規。
Object Relationships
下表為 Identity Manager 物件及其相互關係的簡要介紹。
Identity Manager 專有名詞Identity Manager 介面與指南定義這些專有名詞如下:
存取檢閱
驗證一組員工在特定日期是否具有適當的使用者軟體權利文件的管理和稽核程序。
管理員角色
指定給管理使用者的每組組織的獨特權能群組。
管理員
設定 Identity Manager 或負責營運作業的人員,如建立使用者和管理資源的存取。
管理員介面
Identity Manager 的主要管理檢視。
核准人
具有管理權能的使用者,負責核准或拒絕存取請求。
驗證
驗證者在進行存取檢閱過程中執行的動作,以確認使用者軟體權利文件是適當的。
驗證作業
需要驗證之使用者軟體權利文件檢閱的邏輯集合。如果將使用者軟體權利文件指定給同一驗證者,並且它們產生於同一存取檢閱實例,則它們將分組為單一驗證作業。
驗證者
負責檢驗 (驗證) 使用者軟體權利文件是否適當的使用者。驗證者在 Identity Manager 中具有延伸權限,這些權限是管理需要驗證的使用者軟體權利文件所必需。
業務程序編輯器 (BPE)
Identity Manager 表單、規則和工作流程的圖形檢視。BPE 雖然仍受支援,但在目前版本的 Identity Manager 中已由 Identity Manager IDE 取代。
權能
使用者帳號的存取權群組,可監控 Identity Manager 所執行的動作;Identity Manager 內部的低層級存取控制。
目錄結合
組織的階層式相關集合,可鏡射目錄資源的階層容器實際集合。目錄結合中的每個組織皆是虛擬組織。
提昇逾時
為工作項目請求指定的時間範圍;在此時間範圍內,指定的工作項目所有者必須在 Identity Manager 程序會將其傳送至下一個指定的回應者之前做出回應。
表單
網頁所關聯的物件,包含瀏覽器如何在該網頁上顯示使用者檢視屬性的規則。表單可包含業務邏輯,且通常可用來操作檢視資料,再將該資料呈現給使用者。
身份識別範本
定義使用者的資源帳號名稱。
組織
用於啟用管理委派的 Identity Manager 容器。組織可定義管理員控制或管理的實體範圍 (如使用者帳號、資源和管理員帳號)。組織提供了「位置」環境,主要用於 Identity Manager 的管理作業。
定期存取檢閱
在定期間隔執行的存取檢閱,例如每個日曆季。
策略
建立 Identity Manager 帳號的限制。Identity Manager 策略可建立使用者、密碼和認證選項,並繫結到組織或使用者。資源密碼和帳號 ID 策略可設定規則、允許的文字和屬性值,並繫結到個別資源。
修正者
指定為稽核策略之指定修正者的 Identity Manager 使用者。
當 Identity Manager 偵測到需要修正的規範遵循違規時,會建立一個修正工作項目並將該工作項目傳送至修正者的工作項目清單。
資源
在 Identity Manager 中,儲存如何與建立帳號的資源或系統連線的相關資訊。Identity Manager 提供的存取資源包括主機安全管理程式、資料庫、目錄服務、應用程式、作業系統、ERP 系統和訊息平台。
資源配接器
提供 Identity Manager 引擎與資源之間之連結的 Identity Manager 元件。此元件可讓 Identity Manager 管理指定資源的使用者帳號 (包括建立、更新、刪除、認證及掃描功能),以及利用該資源來通過認證。
資源配接器帳號
Identity Manager 資源適配器用來存取受管資源的憑證。
資源群組
為資源集合,可發出建立、刪除及更新使用者資源帳號的命令。
資源精靈
可用來指示資源建立和修改程序步驟的 Identity Manager 工具,包括安裝及配置資源參數、帳號屬性、身份識別範本和 Identity Manager 參數。
角色
Identity Manager 中的使用者類別之範本或設定檔。每個使用者可指定給一或多個角色,這些角色定義帳號資源存取權和預設的資源屬性。
規則
Identity Manager 儲存庫中的物件,包含以 XPRESS、XML 物件或 JavaScript 語言所撰寫的函數。規則提供了一個機制,可用來儲存常用的邏輯或靜態變數,以便在表單、工作流程和角色中重複使用。
模式
資源的使用者帳號屬性之清單。
模式對映
資源帳號屬性與資源的 Identity Manager 帳號屬性間的對映。Identity Manager 帳號屬性可為多個資源建立一個共用連結,並由表單參照。模式對映做為資源精靈的一部分顯示。
服務提供者使用者
企業外部網路使用者,或單獨從服務提供者公司的人員或企業內部網路使用者中區別出來的服務提供者用戶。
使用者
擁有 Identity Manager 系統帳號的人員。使用者可在 Identity Manager 中擁有某些權能;擁有延伸權能的使用者即為 Identity Manager 管理員。
使用者帳號
使用 Identity Manager 建立的帳號。指 Identity Manager 帳號或位於 Identity Manager 資源上的帳號。使用者帳號設定程序是動態的;需要完成哪些資訊或欄位,則取決於系統透過指定角色,將資源提供給使用者的方式 (直接或間接)。
使用者軟體權利文件
針對特定日期的單一使用者,顯示指定資源及其重要屬性的使用者檢視。
使用者介面
Identity Manager 系統的有限檢視。針對不含管理權能的使用者所特別設計的介面,可讓該使用者執行某個範圍的自助工作,如變更密碼及設定身份驗證問題的答案。
虛擬組織
在目錄結合內定義的組織。請參閱「目錄結合」。
工作流程
一個邏輯且可重複的程序,可讓文件、資訊或作業在參與者之間傳送。Identity Manager 工作流程包含多個程序,可控制使用者帳號的建立、更新、啟用、停用和刪除。
工作項目
Identity Manager 中的工作流程、表單或程序所產生的動作請求,已將其指定給指定為核准人、驗證者或修正者的使用者。
