第 11 章身份审计

本章介绍了 Identity Manager 中的功能，这些功能使您可以设置审计控制以监视和管理企业信息系统和应用程序中的审计和遵循性。

关于身份审计

Identity Manager 将审计定义为对企业范围内身份数据的系统捕获、分析和响应，以确保遵循内部和外部的策略与法规。

遵循会计和数据隐私法案并不是一项简单的任务。Identity Manager 的审计功能提供了一种灵活的方法，可让您实现适用于企业的遵循性解决方案。

在大多数环境下，会有不同的组涉及到遵循性：内部和外部审计小组（视审计为主要任务）；非审计人员（可能将审计视为非正式任务）。IT 通常也与遵循性有关，这有助于将内部审计小组的要求付诸于选定解决方案的实现。成功实现审计解决方案的关键在于准确地捕获非审计人员的知识、控制和过程，然后自动应用这些信息。

本章所述功能的重点在于如何执行审计查看和实现实践，以帮助您维护安全性控制，并管理对联邦委托法规的遵循性。

身份审计的目标

自动检测遵循性违规，便于通过即时通知进行快速修正

请求时提供有关内部审计控制有效性的关键信息

身份证书查看的自动化控制可降低操作风险

准备详述用户活动和符合调整要求的综合报告

简化周期性查看的过程以维护安全性和法规遵循性

标识用户帐户的潜在利益冲突权能

了解身份审计

Identity Manager 提供两种不同的功能，用于审计用户帐户权限和访问权限，以及维护和证明遵循性。这些功能是基于策略的遵循性和周期性访问查看。

基于策略的遵循性

对于公司针对所有用户帐户建立的要求，Identity Manager 通过审计策略系统使管理员能够维护对这些要求的遵循性。

可以使用审计策略通过两种不同却互补的方法来确保遵循性：连续遵循性和周期性遵循性。

对于置备操作可能在 Identity Manager 外部执行的环境，这两种技术更具互补性。如果帐户可能被不执行或不遵循现有审计策略的进程所更改，则需要周期性遵循性。

连续遵循性

连续遵循性表示策略将应用于所有置备操作，因此无法使用不符合当前策略的方法修改帐户。

通过将审计策略分配给组织和/或用户，可以启用连续遵循性。对用户执行的任何置备操作都将导致对分配给用户和组织的策略进行评估。如果评估产生了任何策略失败，都会中断置备操作。

基于组织的策略集是分层定义的。任何用户都只有一个有效的组织策略集。所应用的策略集是分配给最低级别组织的策略集。例如：

周期性遵循性

组织	直接分配的策略集	有效的策略
Austin	策略 A1、A2	策略 A1、A2
销售		策略 A1、A2
开发	策略 B、C2	策略 B、C2
支持		策略 B、C2
测试	策略 D、E5	策略 D、E5
财务		策略 A1、A2
Houston		<无>

周期性遵循性表示 Identity Manager 将根据需要评估策略。任何不符合的情况均会被捕获为遵循性违规。

执行周期性遵循性扫描时，您可以选择要在扫描中使用的策略。扫描过程混合了直接分配的策略（分配给用户的策略和分配给组织的策略）和任意一组选定的策略。

具有“审计者管理员”权能的 Identity Manager 用户可以创建审计策略，并通过定期执行策略扫描和查看策略违规来监视对这些策略的遵循性。可以通过修正和缓解过程管理违规。

Identity Manager 审计允许常规的用户扫描，执行审计策略以检测是否与既定的帐户限制有偏差。一旦检测到违规，便会启动修正活动。这些规则可以是 Identity Manager 提供的标准审计策略规则，也可以是自定义的用户定义规则。

基于策略的遵循性的逻辑任务流

周期性访问查看

Identity Manager 提供了周期性访问查看功能，使管理员与其他责任方可以临时或定期查看并验证用户访问权限。有关该功能的详细信息，请参见周期性访问查看和证明。

启用审计日志记录

必须先启用 Identity Manager 审计日志记录系统并将其配置为收集审计事件，您才能开始管理遵循性和访问查看。默认情况下将启用审计系统。具有配置审计权能的 Identity Manager 管理员可以配置审计。

Identity Manager 可提供遵循性管理审计配置组。要查看或修改遵循性管理组存储的事件，请从菜单栏中选择配置，然后单击审计。在 "Audit Configuration" 页上，选择 Compliance Management 审计组名称。

电子邮件模板

身份审计在许多操作中使用电子邮件通知。其中每个通知都会使用一个电子邮件模板对象。电子邮件模板允许对电子邮件消息的标题和正文进行自定义。

表 11-1 身份审计电子邮件模板
模板名称	用途
访问查看修正通知	最初在修正状态下创建用户权利文件时通过访问查看发送给修正者。
批量证明通知	证明者具有暂挂证明时通过访问查看发送给证明者。
策略违规通知	发生违规时通过审计策略扫描发送给修正者。
访问扫描开始通知	访问查看启动扫描时发送给访问扫描的拥有者。
访问扫描结束通知	访问扫描完成时发送给访问扫描的拥有者。

管理员界面的遵循性区域

可在 Identity Manager 管理员界面的“遵循性”区域中创建和管理审计策略。在菜单栏中选择遵循性可访问“管理策略”页，该页列出了您有权查看和编辑的策略。您还可以在该区域中管理访问扫描。

管理策略

创建审计策略

选择要查看或编辑的策略

删除策略

管理访问扫描

使用“遵循性”区域中的管理访问扫描选项卡可创建、修改和删除访问扫描。可在此处定义要运行或要调度为周期性访问查看的扫描。有关该功能的详细信息，请参见周期性访问查看和证明。

访问查看

使用“遵循性”区域中的该选项卡，可以启动、终止、删除和监视访问查看的过程。它将显示扫描结果的摘要报告，并提供一些信息链接，通过这些链接可以访问有关查看状态和暂挂活动的更多详细信息。

关于审计策略

审计策略针对一个或多个资源的一组用户定义了帐户限制。它由定义策略限制的规则和发生违规后用于处理违规的工作流组成。审计扫描使用审计策略中定义的条件来判断组织中是否发生了违规。

Policy rules，其中可包含以 XPRESS、XML Object 或 JavaScript 语言编写的定义特定违规的函数。

Remediation workflow，可在审计扫描识别出策略规则的违规时启动（可选）。

修正者，或经授权可对策略违规进行响应的指定用户。修正者可以是单个用户或用户组。

审计策略规则

在审计策略中，规则会根据属性定义可能的冲突。审计策略中可包含引用大范围资源的上百条规则。在规则评估过程中，规则可以访问一个或多个资源中的用户帐户数据。审计策略可以限制哪些资源可供规则使用。

规则可以仅检查单个资源的单个属性，也可以检查多个资源的多个属性。

规则必须为 SUBTYPE_AUDIT_POLICY_RULE 或 SUBTYPE_AUDIT_POLICY_SOD_RULE 子类型。由审计策略向导生成或引用的规则会自动分配此子类型。

规则必须属于 authType AuditPolicyRule。由审计策略向导生成的规则将自动分配此 authType。

有关规则逻辑的讨论，请参见“Identity Manager 部署工具”中的“使用规则”。

修正工作流

创建用于定义策略违规的规则后，可以选择将在审计扫描检测到违规时启动的工作流。Identity Manager 提供默认的“标准修正”工作流，它为审计策略扫描提供默认的修正处理。在其他操作中，此默认修正工作流为给每个指定的级别 1 修正者（如有必要，还可以是后续级别的修正者）生成通知邮件。

修正者


注	与 Identity Manager 工作流进程不同，必须为修正工作流分配 AuthType=AuditorAdminTask 和 SUBTYPE_REMEDIATION_WORKFLOW 子类型。如果要导入用于审计扫描的工作流，则必须手动添加此属性。有关详细信息，请参见（可选）将工作流导入 Identity Manager。

如果分配修正工作流，则必须至少指定一个修正者。最多可以为审计策略指定三个级别的修正者。有关修正的详细信息，请参见本章中的遵循性违规修正和缓解。

审计策略方案示例

您负责处理应付账款和应收帐款，而且必须执行一些过程，以防止责任集中于会计部门雇员的潜在危险。此策略必须确保负责处理应付帐款的人员无需负责处理应收帐款。

由四条规则组成的集合。每条规则指定一个构成策略违规的条件。

启动修正任务的工作流。

指定的管理员或修正者组，他们有权查看并响应由上述规则创建的策略违规。

规则识别出策略违规后（在此方案中，用户授权过多），相关工作流可启动与修正相关的特定任务，包括自动通知选择修正者。

级别 1 修正者是审计扫描识别出策略违规时要联系的第一个修正者。当超出该区域中标识的提升时间段时，Identity Manager 会通知下一级别的修正者（如果为审计策略指定了多个级别）。

使用审计策略

Identity Manager 提供了审计策略向导功能，以帮助您设置审计策略。定义审计策略后，您可以对策略执行各种操作，如修改或删除该策略。本节中的主题介绍了如何创建和管理审计策略和审计策略规则。

审计策略向导还可以创建规则，但仅限于它可以创建的规则类型。使用 Identity Manager IDE 可创建功能更强大的规则供向导使用。

默认情况下，使用向导创建的所有规则都属于 authType AuditPolicyRule。您所创建的任何审计策略规则（使用向导或 Identity Manager IDE）都应该指定此 authType。

规则必须为 SUBTYPE_AUDIT_POLICY_RULE 子类型。由审计策略向导生成的规则将自动分配此子类型。

创建审计策略

"Audit Policy Wizard" 可指导您完成创建审计策略的过程。要访问"Audit Policy Wizard"，请在界面的 Compliance 区域中单击 Manage Policies，然后创建新的审计策略。

选择或创建用于定义策略限制的规则

分配批准者并建立提升限制

分配修正工作流

完成每个向导屏幕中显示的任务后，单击 Next移至下一步骤。

准备工作

确定要在 "Audit Policy Wizard" 中创建策略所使用的规则。您所选择的规则由要创建的策略类型和要定义的特定限制确定。

导入要包含在新策略中的任何修正工作流或规则。

请确保您具有创建审计策略所需的权能。请参见了解和管理权能中的所需权能。

确定所需规则

您在策略中指定的限制会在您创建或导入的规则集中实现。使用审计策略向导创建规则时，应执行以下操作：

确定要使用的特定资源。

从资源的有效属性列表中选择帐户属性。

选择要对属性施加的条件。

输入用于比较的值。

（可选）将任务划分规则导入 Identity Manager 中

"Audit Policy Wizard" 无法创建任务划分规则。必须在 Identity Manager 的外部构建这些规则，并使用配置选项卡上的导入交换文件选项导入这些规则。

（可选）将工作流导入 Identity Manager

要使用 Identity Manager 当前未提供的修正工作流，请完成以下任务以导入外部工作流：

设置 authType='AuditorAdminTask' 并添加 subtype='SUBTYPE_REMEDIATION_WORKFLOW'。您可以选择使用 Identity Manager IDE 或 XML编辑器设置这些配置对象。

使用“导入交换文件”选项导入工作流。（可从配置选项卡访问此功能）。

成功导入工作流后，它会显示在 "Audit Policy Wizard" 的 "Remediation Workflow" 选项列表中。

命名和描述审计策略

在审计策略向导（如图 11-1 所示）中输入新策略的名称及其简要描述。


注	审计策略名称不能包含以下字符：'（撇号）、.（句点）、\|（管道字符）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）或 =（等号）。

如果您只希望在执行扫描时访问选定的资源，请启用 Restrict target resources 选项。

如果您希望在违规修正后立即重新扫描用户，请启用允许违规重新扫描选项。

选择规则类型

使用此页面可以开始定义规则或将规则包含在策略中。（创建策略时您的大部分工作是定义和创建规则。）


注	如果审计策略不限制资源，则在扫描期间将访问用户具有帐户的所有资源。如果这些规则仅使用少数资源，则将策略限定为这些资源会更有效。

如图 11-2 所示，您可以选择使用 Identity Manager 规则向导创建您自己的规则，也可以结合使用现有规则。默认情况下将选择 "Rule Wizard" 选项。有关创建规则的说明，请单击下一步启动“规则向导”并转至使用规则向导创建新规则。

选择现有规则

选择规则选项后，请单击 Existing Rule 将现有规则包含在新策略中。然后，单击 Next 查看并选择您有权访问的现有审计策略规则。

添加规则

可以使用向导创建其他规则，也可以导入规则。规则向导仅允许在每项规则中使用一个资源。导入的规则可根据需要引用多个资源。


注	如果看不到先前已导入到 Identity Manager 中的规则的名称，请确认您已在规则中添加了审计策略规则中描述的附加属性。

根据需要，单击 AND 或 OR 继续添加规则。要删除规则，请选择规则然后单击 Remove。

仅在所有规则的布尔表达式均评估为 true 时，才发生策略违规。使用 AND/OR 运算符对规则分组后，即使所有的规则均未评估为 true，策略也可能评估为 true。Identity Manager 仅在规则评估为 true，且策略表达式也评估为 true 时，才创建违规。审计策略向导无法明确控制布尔表达式嵌套，因此最好不要构建深层表达式。

选择修正工作流

使用此屏幕选择要与此策略关联的“修正”工作流。此处分配的工作流确定检测到审计策略违规时在 Identity Manager 中执行的操作。


注	将为每个失败的审计策略启动一个工作流。对于由特定策略的策略扫描所创建的每个遵循性违规，每个工作流都将包含一个或多个工作项目。


注	有关导入通过 XML 编辑器或 Identity Manager 集成开发环境 (IDE) 创建的工作流的信息，请参见（可选）将工作流导入 Identity Manager。

选择修正用户表单规则可以选择一条规则，用于计算通过修正编辑用户时所应用的用户表单。默认情况下，编辑用户以响应修正工作项目的修正者将使用为其分配的用户表单。如果审计策略指定了修正用户表单，则会使用此表单。这样在审计策略指出特定的问题时，可以使用与之对应的特定表单。

要指定将与此修正工作流关联的修正者，请选择是否指定修正者？。如果启用此选项，然后单击下一步，则会显示“指定修正者”页。如果不启用此选项，向导接下来会显示“审计策略向导分配组织”屏幕。

为修正选择修正者和超时时间

如果选择指定修正者，则检测到此策略违规时，会通知分配了此审计策略的修正者。此外，默认工作流还会向修正者分配修正工作项目。任何 Identity Manager 用户都可以成为修正者。

您可以选择至少分配一个级别 1 修正者，或指定的用户。检测到策略违规时，会首先通过电子邮件（由修正工作流启动）与级别 1 修正者联系。如果在级别 1 修正者响应前已达到指定的提升超时时间段，则 Identity Manager 会接着联系此处指定的级别 2 修正者。Identity Manager 仅在提升时间段结束之前级别 1 和级别 2 修正者都没有响应时，才联系级别 3 修正者。


注	如果为选定的最高级别修正者指定了提升超时值，则提升超时时将从列表中删除工作项目。默认情况下，提升超时值设置为 0。在这种情况下，工作项目不会过期，并保留在修正者的列表中。

"Assigning Remediators" 是可选选项。如果选择此选项，请在指定设置后单击下一步以进入下一个屏幕。

要将用户添加到可用的修正者列表中，请输入用户 ID，然后单击添加。或者，也可以单击 ...（更多）以搜索用户 ID。在“前缀”字段中输入一个或多个字符，然后单击查找。从搜索列表中选择用户后，单击添加可将该用户添加到修正者列表中。单击解除可关闭搜索区域。

要从修正者列表中删除用户 ID，请在列表中选择该 ID，然后单击删除。

选择可访问此策略的组织

使用该屏幕（如图 11-5 所示）可选择可以查看和编辑此策略的组织。

选择组织后，单击完成可创建审计策略并返回到“管理策略”页。现在此列表中将显示新创建的策略。

使用规则向导创建新规则

如果选择通过审计策略向导中的“规则向导”选项创建规则，请在以下各节所述的页面上输入信息。

命名和描述新规则

可以选择命名并描述新规则。使用此页面可输入描述性文本，每当 Identity Manager 显示规则时，这些描述性文本就会显示在该规则名称旁。请输入简洁易懂且能够描述规则的描述。此描述显示在 Identity Manager 的 "Review Policy Violations" 页中。

例如，如果要创建一条规则，用以确定 Oracle ERP responsibilityKey 属性值同时为 Payable User 和 Receivable User 的用户，则可在 "Description" 字段中输入以下文本：确定同时具有应付款用户和应收款用户职责的用户。

选择规则引用的资源

使用此页面可以选择规则要引用的资源。每个规则变量必须对应于此资源的一个属性。您有权查看的所有资源将显示在此选项列表中。在此例中，选择 Oracle ERP。

创建规则表达式


注	支持每个可用资源适配器的大多数（不是全部）属性。有关可用的特定属性的信息，请参见“Identity Manager 资源参考资料”。

使用此屏幕输入新规则的规则表达式。此示例创建一条规则，在该规则中，用户的 Oracle ERP responsibilityKey 属性值不能同时为 Payable User 和 Receivable User 属性值。

从可用属性列表中选择用户属性。此属性将直接对应于规则变量。

从列表中选择逻辑条件。有效条件包括 =（等于）、!=（不等于）、<（小于）、<=（小于等于）、>（大于）、>=（大于等于）、is true、is null、is not null、is empty 和 contains。针对此示例的用途，您可以在可能的属性条件列表中选择 contains。

输入表达式的值。例如，如果输入 Payable user，则指定了 responsibilityKey 属性值为 Payable user 的 Oracle ERP 用户。

（可选）单击 AND 或 OR 运算符添加另一行并创建另一个表达式。

图 11-8 审计策略向导：选择规则表达式屏幕
使用选择规则表达式屏幕可指定新规则的规则语法。

此规则返回一个布尔值。如果两个语句都为真，则策略规则返回 TRUE 值，这样便导致策略违规。


注	Identity Manager 不支持规则嵌套控制。如果指定了多条规则，则策略评估者将始终先执行 AND 操作，再执行 OR 操作。例如 R1 AND R2 AND R3 或 R4 AND R5 (R1 + R2 + R3) \| (R4 + R5)。

要从规则中删除表达式，请选中属性条件，然后单击 Remove。

单击 Next 继续使用 "Audit Policy Wizard"。然后即可使用向导创建新规则或添加现有规则，以添加更多规则。

编辑审计策略

添加或删除规则

更改目标资源

调整有权访问策略的组织列表

更改与每个修正级别关联的提升超时时间

更改与策略关联的修正工作流

编辑策略页

单击“审计策略”名称列中的策略名称，以打开“编辑审计策略”页。此页将审计策略信息归类到以下区域：

标识和规则区域

修正者和提升超时时间区域

工作流和组织区域

图 11-9 "Edit Audit Policy" 页：标识和规则区域
编辑策略页使您可以编辑策略名称与描述、添加规则和删除规则。

编辑策略描述

添加或删除规则



注	不能使用此产品直接编辑现有规则。可以使用 Identity Manager IDE 或 XML 编辑器编辑规则，然后将其导入到 Identity Manager 中。然后即可删除上一版本，并添加新修订的版本。

编辑审计策略描述

通过选择“描述”字段中的文本然后输入新文本，可以编辑审计策略描述。

编辑选项

可随意选择或取消选择限制目标资源或允许违规重新扫描选项。

从策略中删除规则

要从策略中删除规则，可单击规则名称前面的选择按钮，然后单击删除。

向策略中添加规则

单击 Add 追加一个新字段，可使用该字段选择要添加的规则。

更改策略使用的规则

修正者区域

图 11-10 显示了“修正者”区域的一部分，可在其中为策略分配级别 1、级别 2 和级别 3 修正者。

为策略删除或分配修正者

调整提升超时时间

删除或分配修正者

通过输入用户 ID 然后单击添加，可以选择一个或多个级别的修正者。要搜索用户 ID，请单击 ...（更多）。必须至少选择一个修正者。

调整提升超时时间

选择超时值，然后输入新值。默认情况下未设置任何超时值。

修正工作流和组织区域


注	如果为选定的最高级别修正者指定了提升超时值，则提升超时时将从列表中删除工作项目。

图 11-11 显示了用于为审计策略指定修正工作流和组织的区域。

更改在发生策略违规时启动的修正工作流

选择修正用户表单规则

调整有权访问此策略的组织

更改修正工作流

要更改分配给策略的工作流，可在选项列表中选择备用工作流。默认情况下，不向审计策略分配工作流。

选择修正用户表单规则

可以选择一条规则，以计算通过修正编辑用户时所应用的用户表单。

分配或删除组织可视性

示例策略

Identity Manager 提供了以下示例策略（可从“审计策略”列表中访问这些策略）：


注	如果未向审计策略分配工作流，则将不会向任何修正者分配违规。

IDM 角色比较策略

IDM 帐户累积策略

IDM 角色比较策略

此示例策略允许您将用户的当前访问权限与 Identity Manager 角色所指定的访问权限进行比较。该策略可确保为用户设置由角色指定的所有资源属性。

用户缺少由角色指定的任何资源属性

用户的资源属性与角色所指定的资源属性不同

IDM 帐户累积策略

此示例策略可验证用户拥有的所有帐户是否至少由该用户所拥有的一个角色引用。

如果分配给用户的角色未明确引用某些资源，而该用户在任一此类资源上拥有帐户，则此策略将会失败。

删除审计策略

从 Identity Manager 中删除审计策略时，同时会删除所有引用此策略的违规。

当您单击 "Manage Policies" 查看策略时，可从界面的 "Compliance" 区域删除策略。要删除审计策略，请在策略视图中选择策略名称，然后单击删除。

审计策略疑难解答

通常，对策略规则进行调试是解决审计策略问题的最好方法。

调试规则

<block trace='true'>
<and>
  <contains>
    <ref>accounts[AD].firstname</ref>
    <s>Sam</s>
  </contains>
  <contains>
    <ref>accounts[AD].lastname</ref>
    <s>Smith</s>
  </contains>
</and>
</block>

问题

解决方案

您已经在工作流中添加了 subtype='SUBTYPE_REMEDIATION_WORKFLOW' 属性。在 Identity Manager 管理员界面中看不到没有此子类型的工作流。

您具有 authType AuditorAdminTask 的权能。

您可以控制工作流所在的组织。

问题

解决方案

每条规则都属于 subtype='SUBTYPE_AUDIT_POLICY_RULE' 或 subtype='SUBTYPE_AUDIT_POLICY_SOD_RULE' 子类型。

您具有 authType AuditPolicyRule 的权能。

您可以控制工作流所在的组织。

分配审计策略

要将审计策略分配给组织，用户必须（至少）具有“分配组织审计策略”权能。要将审计策略分配给用户，该用户必须具有“分配用户审计策略”权能。具有分配审计策略权能的用户同时具有这两种权能。

要分配组织级别的策略，请在“帐户”选项卡上选择“组织”，然后在“分配的审计策略”列表中选择策略。

单击“帐户”区域中的用户。

在用户表单中选择遵循性。

在“分配的审计策略”列表中选择策略。



注	在修正用户违规时，将始终对直接分配给该用户的审计策略（即，通过用户帐户或组织分配所分配的策略）进行重新评估。

审计策略扫描和报告

本节介绍了有关审计策略扫描的信息，以及运行和管理审计扫描的步骤。

扫描用户和组织

扫描可以在单个的用户或组织上运行选定的审计策略。您可能要扫描用户或组织以查看是否发生了特定违规，或执行未分配给用户或组织的策略。可以从界面的帐户区域启动扫描。


注	您还可以从“服务器任务”选项卡中启动或调度审计策略扫描。

选择帐户。

在“帐户”列表中，执行以下任一操作：

选择一个或多个用户，然后从“用户操作”选项列表中选择扫描。

选择一个或多个组织，然后从 "Organization Actions" 选项列表中选择 Scan。

在 "Report Title" 字段中为扫描指定标题。此字段为必填字段。您也可以在 "Report Summary" 字段中为扫描指定描述。

选择一个或多个要运行的审计策略。必须至少指定一个策略。

选择 Policy Mode。这决定了选定的策略与已分配策略的用户的交互方式。分配可直接来自用户或来自分配了用户的组织。

（可选）选择不创建违规选项。启用此选项后，将对审计策略进行评估并报告违规，但不会创建或更新遵循性违规，也不会执行修正工作流。但是，由扫描产生的任务将显示应该创建的违规，这样在测试审计策略时，此选项非常有用。

选中 Execute Remediation Workflow? 以运行在审计策略中分配的修正工作流。如果审计策略未定义修正工作流，将不运行任何修正工作流。

编辑违规限制值，以设置扫描中止前可发出的最大遵循性违规数。此值提供一种安全保护措施，可限制运行审计策略（这些审计策略在检查时可能过于危险）所带来的风险。空值表示未设置任何限制。

选中 Email Report 以指定报告的收件人。您也可使 Identity Manager 附加一个包含 CSV（逗号分隔值）格式报告的文件。

如果要覆盖默认 PDF 选项，则启用覆盖默认 PDF 选项选项。

单击 Launch 开始扫描。

要查看审计扫描的报告结果，请查看 "Auditor Reports"。

使用 Auditor 报告

Identity Manager 提供了许多 Auditor 报告。下表介绍了这些报告。

表 11-2 Auditor 报告描述
Auditor 报告类型	描述
访问查看范围	显示选定访问查看所指的用户之间的重叠部分或差异部分。由于大多数访问查看的用户范围都由查询或某项成员资格操作所指定，因此实际的用户集会随时间而变化。此报告可显示由两个不同的访问查看所指定的用户之间的重叠部分和/或差异部分（以确定查看在操作中是否有效）；由两个不同的访问查看所生成的权利文件之间的重叠部分和/或差异部分（以确定范围是否随时间而变化）；用户和权利文件之间的重叠部分和/或差异部分（以确定是否为查看范围内的所有用户生成了权利文件）。
访问查看详细信息	显示所有用户权利文件记录的当前状态。该报告可以按用户的组织、访问查看和访问查看实例、权利文件记录的状态以及证明者进行过滤。
访问查看摘要	提供有关所有访问查看的摘要信息。它概述了列出的每个访问查看扫描的扫描的用户、扫描的策略以及证明活动的状态。
访问扫描用户范围	比较选定的扫描以确定扫描范围中包含哪些用户。它可显示重叠部分（包含在所有扫描中的用户）或差异部分（包含在多个扫描但未包含在全部扫描中的用户）。尝试组织多个访问扫描以包含相同用户或不同用户（视扫描需求而定）时，此报告非常有用。
审计策略摘要	该报告概述了所有审计策略的关键元素，包括每个策略的规则、修正者和工作流。
审计的属性	该报告显示所有指示指定的资源帐户属性变更的审计记录。该报告可搜索每个已存储的可审计属性的审计数据。它将基于任何扩展的属性搜索数据，而这些扩展的属性可从 WorkflowServices 或标记为可审计的资源属性指定。
审计策略违规历史	在指定时间段内创建的每个策略的所有遵循性违规的图形视图。可以按策略过滤该报告，并可以按天、周、月或季对其进行分组。
用户访问	显示特定用户的审计记录和用户属性。
组织违规历史	在特定时间段内创建的每个资源的所有遵循性违规的图形视图。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
资源违规历史	在指定时间范围内创建的每个资源的所有遵循性违规的图形视图。
任务划分	显示冲突表中安排的任务划分违规。使用基于 Web 的界面时，您可以通过单击链接来访问其他信息。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
违规摘要	显示当前所有的遵循性违规。可以按修正者、资源、规则、用户或策略过滤该报告。

创建 Auditor 报告

要运行报告，必须先创建报告模板。您可以为报告指定各种条件，包括指定接收报告结果的电子邮件收件人。创建并保存报告模板后，可在“运行报告”页中查看该报告模板。

图 11-13 显示了具有已定义 Auditor 报告列表的 "Run Reports" 页示例。

从菜单栏中选择 Reports。

选择审计者报告作为报告类型。

在报告的新建列表中选择一个报告。

将显示“定义报告”页。报告对话框的字段和布局因每个报告类型而异。有关指定报告条件的信息，请参阅 Identity Manager 帮助。

运行报告而不保存 - 单击运行开始运行报告。Identity Manager 不保存报告（如果定义了新报告）或已更改的报告条件（如果编辑了现有报告）。

保存报告 - 单击保存保存报告。保存报告后，您可从 "Run Reports" 页（报告列表）运行报告。

从 "Run Reports" 页运行报告后，您可以通过 "View Reports" 选项卡立即查看或稍后查看输出。

有关调度报告的信息，请参见调度报告。

遵循性违规修正和缓解

本节介绍如何使用 Identity Manager 修正来保护您的重要资产。以下主题详述了 Identity Manager 修正进程的元素：

关于修正

Identity Manager 在检测到未解决的（未缓解的）审计策略遵循性违规时，将创建一个修正请求，该请求必须由修正者（指定的用户，允许评估并响应审计策略违规）进行处理。

修正者提升

Identity Manager 允许您定义三个修正者提升的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作，则 Identity Manager 会将违规提升至级别 2 修正者，并开始新的超时时间段。如果级别 2 修正者在超时之前未响应，则该请求再次被提升至级别 3 修正者。

要执行修正，必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的，但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。

修正安全性访问

修正工作项目拥有者

修正工作项目拥有者的直接或间接管理员

控制修正工作项目拥有者所属组织的管理员

拥有者为尝试执行该操作的用户，或

拥有者位于由尝试执行该操作的用户所控制的组织中，或

拥有者为尝试执行该操作的用户的下属

controlOrg - 有效值为 "true" 或 "false"。

subordinate - 有效值为 "true" 或 "false"。

lastLevel - 包括在结果中的最后一个下属级别；-1 表示所有级别。lastLevel 的整数值默认为 -1，表示直接或间接下属。

修正工作流进程

Identity Manager 提供了标准修正工作流，从而为审计策略扫描提供修正处理。

标准修正工作流生成一个包含有关遵循性违规信息的修正请求（查看类型的工作项目），并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时，工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。

可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true，则将为每个用户/策略/规则组合创建新的遵循性违规（如果该组合当前尚不具有违规）。如果该组合具有违规，并且违规处于已缓解状态，则工作流进程将不执行任何操作。如果未缓解现有违规，则其反复出现次数将增加一次。

修正响应

修正 - 修正者指出已经为修复资源问题执行了某些操作。


注	修正后，在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描，则违规修正后将立即对用户进行重新扫描。

缓解 - 修正者允许违规，并在一定的时间内对用户违规进行免除。


注	Identity Manager 检测到到期的免除时，它会将违规从已缓解状态返回至暂挂状态。

转发 - 修正者将解决违规的职责重新分配给另外一个人。

修正示例

您的企业建立了一条规则，规定用户无法同时负责“应付帐款”和“应收帐款”，并且您收到了用户违反此规则的通知。

如果该用户是一个主管，并且在公司雇佣其他人负责其中的一个职位之前，他同时负责这两个职位，则可以缓解此违规，并签发一个最长六个月的免除期。

如果用户违反此规则，可请求 Oracle ERP 管理员更正此冲突，然后，在资源的相关问题解决修复后修正此违规。或者，您还可以将修正请求转发给 Oracle ERP 管理员。

修正电子邮件模板

Identity Manager 提供了一个 "Policy Violation Notice" 电子邮件模板（可通过选择 Configuration 选项卡，然后再选择 Email Templates 子选项卡获得）。可对此模板进行配置，以通知修正者暂挂违规。有关详细信息，请参见自定义电子邮件模板。

使用修正页

查看暂挂违规

排列策略违规的优先级

缓解一个或多个策略违规

修正一个或多个策略违规

转发一个或多个策略违规

从修正工作项目中编辑用户

查看策略违规

进行操作之前，可通过“修正”页查看有关违规的详细信息。

根据您所具有的权能或您在 Identity Manager 权能分层结构中的位置，您可能可以查看其他修正者的违规并对这些违规执行操作。

查看暂挂请求

查看已完成的请求

更新表格

查看暂挂请求

默认情况下，分配给您的暂挂请求将显示在“修正”表中。您可使用 List Remediations for 选项来查看不同修正者的暂挂修正请求：

选择我的直接报告可查看组织中直接向您报告的用户的暂挂请求。

选择搜索用户可输入或查找您要查看其暂挂请求的一个或多个用户。输入用户 ID，然后单击应用以查看该用户的暂挂请求。或者，也可以单击 ...（更多）以搜索用户。找到并选择用户之后，单击解除可关闭搜索区域。

修正者 - 所分配的修正者的名称。仅当查看其他修正者的修正请求时才会显示此列。

用户 - 发送请求的用户。

审计策略/请求 - 请求修正者执行的操作。

审计规则/描述 - 请求的修正注释。

违规状态 - 违规的当前状态。

严重程度 - 分配给请求的严重程度（“无”、“低”、“中”、“高”或“严重”）

优先级 - 分配给请求的优先级（“无”、“低”、“中”、“高”或“紧急”）

Date of Request：发出修正请求的日期和时间。



注	每个用户都可以选择一个自定义表单，以显示与特定修正者相关的修正数据。要分配自定义表单，请选择用户表单上的遵循性选项卡。

查看已完成的请求

要查看已完成的修正请求，请单击 My Work Items 选项卡，然后单击 History 选项卡。将显示先前已修正的工作项目的列表。

结果表（由 AuditLog 报告生成）提供关于每个修正请求的以下信息：

时间戳 - 修正请求的日期和时间

主体 - 处理请求的修正者的名称

操作 - 修正者是缓解还是修正了请求

类型 - 遵循性违规或用户权利文件

对象名称 - 所违反的审计策略的名称

资源 - 提供修正者的帐户 ID（也可能显示 N/A）

ID - 始终显示 N/A

结果 - 始终显示成功

“审计事件详细信息”页提供有关已完成请求的信息，包括有关修正或缓解、事件参数（如果适用）和可审计属性的信息。

更新表格

要更新 "Remediations" 表中提供的信息，请单击 Refresh。“修正”页将通过任何新的修正请求更新该表。

排列策略违规的优先级

可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以在“修正”页中排列违规的优先级。

在列表中选择一个或多个违规。

单击确定优先级。

将显示“排列策略违规优先级”页。

（可选）设置违规的严重程度。选项包括“无”、“低”、“中”、“高”或“严重”。

（可选）设置违规的优先级。选项包括“无”、“低”、“中”、“高”或“紧急”。

完成选择后单击确定。Identity Manager 将返回到修正列表。



注	只能对类型为 CV（Compliance Violation，遵循性违规）的修正设置严重程度和优先级值。

缓解策略违规

在 "Remediations" 页

在表中选择行以指定要缓解的请求。

选中一个或多个选项，以指定要缓解的请求。

选中表标题中的选项，以缓解表中列出的所有请求。



注	Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量缓解。只能缓解包含遵循性违规的请求，而不能缓解其他修正请求。

单击 Mitigate。

将显示“缓解策略违规”页（或“缓解多项策略违规”页）：

图 11-14 "Mitigate Policy Violation" 页

在“说明”字段中输入有关缓解的注释。（此字段为必填字段）。

您的注释可提供针对此操作的审计跟踪，因此，请确保输入完整、有意义的信息。例如，解释缓解策略违规的原因、日期、选择免除期的原因。

直接在“到期日期”字段中键入日期（格式为 YYYY-MM-DD）可提供免除的到期日期，也可单击日期

按钮后在日历中选择日期。



注	如果不提供日期，则免除会无限期有效。

单击确定以保存更改并返回到“修正”页。

修正策略违规

使用表中的复选框指定要修正的请求。

选中表中的一个或多个复选框，以指定要修正的请求。

选中表标题中的复选框，以修正表中列出的所有请求。

如果选择了多个请求，请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量修正。

单击修正。

屏幕将显示 "Remediate Policy Violation" 页（或 "Remediate Multiple Policy Violations" 页）。

在 "Comments" 字段中输入关于修正的注释。

单击确定以保存更改并返回到“修正”页。



注	在修正用户违规时，将始终对直接分配给该用户的审计策略（即，通过用户帐户或组织分配所分配的策略）进行重新评估。

转发修正请求

使用表中的复选框指定要转发的请求。

选中表标题中的复选框，以转发表中列出的所有请求。

选中表中的各个复选框，以转发一个或多个请求。

单击 Forward。

将显示“选择并确认转发”页。

图 11-15 "Select and Confirm Forwarding" 页
请求被转发给管理员，同时表被更新。

在“转发至”字段中输入修正者名称，然后单击确定。或者，也可以单击 ...（更多）以搜索修正者名称。从搜索列表中选择一个名称，然后单击设置在“转发至”字段中输入该名称。单击解除可关闭搜索区域。

重新显示“修正”页时，新的修正者名称将显示在表的“修正者”列中。

从修正工作项目中编辑用户

从修正工作项目中，您可以（具有适当的用户编辑权能）编辑用户以修正问题（如相关的权利文件历史中所述）。

要编辑用户，请单击“查看修正请求”页中的编辑用户。随后出现的“编辑用户”页中将显示以下内容：

此工作项目的与用户相关的权利文件历史

用户的属性。此处显示的选项与“帐户”区域中所提供的“编辑用户”表单上的选项相同。


注	保存用户编辑后，将会运行“更新用户”工作流。由于此工作流可能需要进行批准，因此对用户帐户所做的更改在保存后的一段时间内可能无效。如果审计策略允许重新扫描，并且“更新用户”工作流尚未完成，则后续的策略扫描可能会检测到相同的违规。

周期性访问查看和证明

Identity Manager 提供了用于处理访问查看的进程，通过访问查看，管理员或其他责任方可以查看并验证用户访问权限。该进程有助于识别和管理随时间累积的用户权限，还有助于维护沙宾法案 (Sarbanes-Oxley)、GLBA 以及其他联邦管制委托授权的遵循性。

可以根据需要执行访问查看，也可以调度为定期执行（例如每个日历季度执行一次），这使您可以执行周期性访问查看，以维护正确级别的用户权限。访问查看可以包括审计策略扫描（可选）。

关于周期性访问查看

周期性访问查看是用于证明在某个特定的时间点，一组雇员对相应的资源具有适当权限的周期性进程。

访问查看扫描 - 定义并运行（或调度运行）的扫描，可以评估指定的一组用户的用户权利文件，并执行基于规则的评估以确定是否需要进行证明。

证明 - 通过批准或拒绝用户权利文件来响应证明请求的进程。

用户权利文件是在一组特定资源上的用户帐户的详细信息记录。

访问查看扫描

访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有可选审计策略，以及用于确定要手动证明的权利文件记录以及执行者的规则。

访问查看工作流进程

构建用户列表、获取每个用户的帐户信息，以及评估可选审计策略

创建用户权利文件记录

确定每个用户权利文件记录是否需要证明

向每个证明者分配工作项目

等待所有证明者批准或等待首次拒绝

如果在指定的超时期间内未收到对请求的任何响应，则提升到下一个证明者

使用解决方案更新用户权利文件记录

所需的管理员权能

要进行周期性访问查看并管理查看进程，用户必须具有“审计者周期性访问查看管理员”权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。

要分配这些权能，请编辑用户帐户并修改安全属性。有关这些权能及其他权能的详细信息，请参见了解和管理权能。

证明

证明是由一个或多个指定的证明者执行的认证进程，以确认在特定日期用户权利文件的适当性。在访问查看过程中，证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户，但无需是 Identity Manager 管理员。

证明工作流

Identity Manager 使用证明工作流，该工作流在访问扫描识别出需要查看的权利文件记录后启动。访问扫描将根据其中定义的规则进行确定。

由访问扫描评估的规则将确定是否需要手动证明用户权利文件记录，或是否可自动批准或拒绝该记录。如果需要手动证明用户权利文件记录，访问扫描将使用第二条规则来确定适当的证明者。

要手动证明的每个用户权利文件记录均将分配给工作流，每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送，对于每个证明者，该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流，否则向每个用户权利文件发送通知。这表示每次扫描时证明者可接收多个通知，并且通知数目可能较大（取决于扫描的用户数）。

证明安全访问

工作项目拥有者

工作项目拥有者的直接或间接管理员

控制工作项目拥有者所属组织的管理员

已通过验证检查验证的用户

拥有者为尝试执行该操作的用户，或

拥有者位于由尝试执行该操作的用户所控制的组织中，或

拥有者为尝试执行该操作的用户的下属。

controlOrg - 有效值为 "true" 或 "false"

subordinate - 有效值为 "true" 或 "false"

lastLevel - 包含在结果中的最后一个下属级别；-1 表示所有级别

委托证明


注	如果将证明安全设置为受组织控制，则还需要“审计者证明者”权能以修改其他用户的证明。

默认情况下，访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择 "Follow Delegation" 选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户，但尚未为访问查看扫描设置“按照委托”选项，则该证明者（而非已向其分配委托的用户）将收到证明请求通知和工作项目。

计划进行周期性访问查看

对于任何企业，访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤，有助于将成本和时间降至最低。但是，某些进程仍然十分耗时。例如，从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率，并极大地降低投入。

根据所涉及的用户数和资源数，扫描时间将有很大的差别。

使用多个 Identity Manager 服务器进行并行处理将提高访问查看进程的速度。

自定义证明工作流以及规则增强了您的控制能力，并带来了更高的效率：

使用 "Attestor Escalation Rules" 有助于缩短证明请求的响应时间。

了解如何使用 "Review Determination Rules" 通过自动确定要手动查看的权利文件记录来节省时间。

通过指定扫描级别通知工作流来捆绑扫描的证明请求通知。

调节扫描任务

在扫描过程中，有多个线程会访问用户的视图，还可能访问用户具有帐户的资源。访问视图之后，会对多个审计策略和规则进行评估，这可能会导致创建遵循性违规。

为了防止两个线程同时更新相同的用户视图，该过程将针对此用户名建立一个内存中的锁定。如果无法在 5 秒（默认值）之内建立此锁定，则会向扫描任务中写入一个错误并跳过该用户，从而防止对同一组用户进行并发扫描。

可以编辑多个“可调节参数”的值，这些参数是作为任务参数提供给扫描任务的：

clearUserLocks（布尔值）- 如果为 "true"，将在扫描开始前解除所有当前用户锁定。

userLock （整数）- 尝试锁定用户时等待的时间（以毫秒为单位）。默认值为 5 秒。负值将禁用对该扫描的锁定。

scanDelay（整数）- 分发扫描线程之间的休眠时间（以毫秒为单位）。默认值为 0（无延迟）。如果为此参数提供值，则扫描速度会变慢，但系统对其他操作的响应能力将变强。

maxThreads（整数）- 用于处理扫描的并发线程数。默认值为 5。如果资源的响应速度很慢，则增大此数值可能会提高扫描吞吐量。

要更改这些参数的值，请编辑相应的“任务定义”表单。有关此任务的详细信息，请参见“Identity Manager 工作流、表单和视图”。

创建访问扫描

选择遵循性，然后选择管理访问扫描。

单击新建以显示“创建新的访问扫描”页。

为访问扫描指定名称。



注	访问扫描名称不能包含以下字符：'（撇号）、.（句点）、\|（管道字符）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）或 =（等号）。

（可选）添加有助于识别扫描的描述。

（可选）启用动态权利文件选项。如果启用该选项，则会为证明者提供以下附加选项：

可以立即重新扫描暂挂证明，以刷新权利文件数据并重新评估证明需求。

可以将暂挂证明路由到其他用户以进行修正。经过修正后，权利文件数据将被刷新并重新进行评估，以确定是否需要证明。

从以下选项中选择 User Scope Type：（此字段为必填字段）。

根据属性条件规则 - 选择此选项可以根据选定的用户范围规则扫描用户。Identity Manager 提供了以下规则：

所有管理员

All Non-Administrators

Users without a Manager



注	可通过使用 Identity Manager 集成开发环境 (IDE) 来添加用户范围规则。有关详细信息，请参见Identity Manager 部署工具。

分配给资源 - 选择此选项可扫描在一个或多个选定资源上具有帐户的所有用户。选择此选项后，页面将显示“用户范围资源”区域，可在该区域中指定资源。

组织成员 - 选择此选项可扫描一个或多个选定组织的所有成员。

报告给管理员 - 选择此选项可扫描已报告给选定管理员的所有用户。管理员分层结构取决于用户 Lighthouse 帐户的 Identity Manager 属性。

如果用户范围为组织或管理员，则可使用“递归范围”选项。此选项允许按受控成员链进行递归式用户选择。

如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规，请通过将您的选项从“可用审计策略”移动到“当前审计策略”列表，来选择要应用到此扫描的审计策略。

向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是，除此之外，由审计策略检测到的任何违规都将存储在用户权利文件记录中。此信息可简化自动批准或拒绝，因为该规则可将用户权利文件记录中是否存在违规作为其逻辑的一部分。

如果在上述步骤中扫描了审计策略，则可以使用策略模式选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。

应用选定策略并忽略其他分配

仅在用户尚不具有任何分配时才应用选定策略

除了分配给用户的策略外，还应用选定策略

（可选）指定 Review Process Owner。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者，则对于在响应证明请求时遇到潜在冲突的证明者，他可以选择放弃而无需批准或拒绝用户权利文件，并且证明请求将会转发给该查看进程拥有者。单击选择框（省略号）可搜索用户帐户并进行选择。

按照委托 - 选择此选项可以对访问扫描启用委托。如果已选中此选项，访问扫描将仅应用委托设置。默认情况下将启用 "Follow Delegation"。

限制目标资源 - 选择此选项可限制扫描目标资源。

此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源，每个用户权利文件记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集，您可以大大缩短 Identity Manager 创建用户权利文件记录所需的处理时间。

执行违规修正 - 选择此选项可在检测到违规时启用审计策略的修正工作流。

如果选择此选项，则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。

通常不应该选择此选项，除非情况比较复杂。

访问批准工作流 - 选择默认的标准证明工作流或选择自定义的工作流（如果可用）。

此工作流用于将要查看的用户权利文件记录显示给适当的证明者（如同由证明者规则确定）。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了提升，此工作流将负责提升暂停过久的工作项目。如果未指定任何工作流，则用户证明将无限期地处于暂挂状态。

证明者规则 - 选择“默认证明者”规则，或选择自定义的证明者规则（如果可用）。

证明者规则将作为输入值提供给用户权利文件记录，并且返回证明者名称列表。如果选择了 "Follow Delegation"，则访问扫描将按照原始名称列表中每个用户所配置的委托信息，把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环，则将放弃委托信息，并且工作项目将提交给原始证明者。默认证明者规则指示证明者应该是权利文件记录所代表的用户的管理员 (idmManager)，或者是配置器帐户（如果该用户的 idmManager 为 null）。如果证明需包括资源拥有者以及管理员，则必须使用自定义规则。有关自定义规则的信息，请参见 Identity Manager 部署工具指南。

证明者提升规则 - 使用此选项可指定“默认提升证明者”规则，或选择自定义规则（如果可用）。您也可以为规则指定提升超时值。默认的提升超时值为 0 天。

该规则将为已经过提升超时阶段的工作项目指定提升链。“默认提升证明者”规则将提升到所分配的证明者的管理员 (idmManager)，或提升到配置器（如果证明者的 idmManager 值为 null）。

您可以以分钟、小时或天数为单位指定提升超时值。

查看确定规则 - 选择以下规则之一可指定扫描进程将如何确定权利文件记录的处理方式：（此字段为必填字段）。

拒绝更改的用户 - 自动拒绝用户权利文件记录，如果该用户权利文件与上一个具有相同访问扫描定义的用户权利文件不同，且已批准上一个用户权利文件。否则，强制执行手动证明并批准所有与先前已批准的用户权利文件相同的用户权利文件。默认情况下，此规则只比较用户视图的“帐户”部分。

查看更改的用户 - 强制执行手动证明任一用户权利文件记录，如果该用户权利文件与上一个具有相同访问扫描定义的用户权利文件不同，且已批准上一个用户权利文件。批准所有与先前已批准的用户权利文件相同的用户权利文件。默认情况下，此规则只比较用户视图的“帐户”部分。

查看所有用户 - 强制执行手动证明所有用户权利文件记录。



注	"Reject Changed Users" 和 "Review Changed Users" 规则将比较用户权利文件和相同访问扫描（其中已批准权利文件记录）的上一个实例。您可以通过复制并修改规则来更改此行为，以便将比较操作限制在用户视图的任何选定部分。有关自定义规则的信息，请参见 Identity Manager 部署工具。

此规则可以返回以下值：

-1 - 不需要任何证明

0 - 自动拒绝证明

1 - 需要手动证明

2 - 自动批准证明

3 - 自动修正证明（自动修正）

修正者规则 - 选择规则，用于确定在执行自动修正时，应该由谁修正特定用户的权利文件。该规则可以检查用户的当前用户权利文件和违规，并且必须返回应该负责修正的用户的列表。如果未指定任何规则，则不会执行任何修正。权利文件具有遵循性违规时通常会使用此规则。

修正用户表单规则 - 选择规则，用于在编辑用户时为证明修正者选择相应的表单。修正者可以设置自己的表单（将覆盖此表单）。如果扫描搜集与自定义表单匹配的特定数据，则应设置此表单规则。

通知工作流 - 选择以下选项之一可为每个工作项目指定通知行为。

无 - 此为默认选项。此选项可导致证明者会因他必须证明的每个用户权利文件而收到一封电子邮件通知。

ScanNotification - 此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。

如果访问扫描中指定了查看进程拥有者，则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见步骤 9。

ScanNotification 工作流使用以下电子邮件模板

访问扫描开始通知

访问扫描结束通知

批量证明通知

您可以自定义 ScanNotification 工作流。

违规限制 - 使用此选项可指定扫描在中止之前可发出的最大遵循性违规数。默认限制为 1000。值字段为空表示无限制。

虽然通常情况下在审计扫描或访问扫描期间，策略违规数目与用户数目相比相对较小，但是设置此值可提供保护，以免受可大量增加违规数目的有缺陷策略的影响。例如，请考虑以下情况：

如果访问扫描涉及 50,000 个用户并为每个用户生成两到三个违规，则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。

组织 - 选择可使用此访问扫描对象的组织。此字段为必填字段。

删除访问扫描

您可以删除一个或多个访问扫描。要删除访问扫描，请从遵循性选项卡中选择管理访问扫描，选择扫描名称，然后单击删除。

管理访问查看

定义访问扫描之后，即可将其作为访问查看的一部分使用或调度。启动访问查看之后，可使用多个选项管理查看进程。请阅读以下各节以了解详细信息：

启动访问查看

单击遵循性 > 访问查看页中的启动查看。

在服务器任务 > 运行任务页中选择“访问查看”任务。

在所显示的“启动任务”页中，指定访问查看的名称。从 "Available Access Scans" 列表中选择扫描并将其移动至 "Selected" 列表。如果选择了多个扫描，则可以选择以下启动选项之一：

立即 - 选择此选项后，单击“启动”按钮时将立即开始运行扫描。如果在启动任务中为多个扫描选择了此选项，则扫描将并行运行。

等待 - 此选项可使您指定在启动扫描之前等待的时间，该时间与访问查看任务的启动相关。



注	您可以在访问查看会话期间启动多个扫描。但是，考虑到每个扫描可能涉及大量的用户，因此要完成扫描进程可能要耗费数小时的时间。最佳实践证明您可以分别管理扫描。例如，您可以启动某个扫描以立即运行，并调度其他扫描在错开的时间进行。

启动访问查看时，将显示工作流程图以指明该进程中执行的步骤。

调度访问查看任务


注	分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。

可从 "Server Tasks" 区域中调度访问查看任务。例如，要设置周期性访问查看，请选择管理进度表，然后定义进度表。您可以将任务调度为每月或每季度发生一次。

要定义进度表，请在“调度任务”页中选择“访问查看”任务，然后填写“创建任务进度表”页上的信息。

管理访问查看进度


注	默认情况下，Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看，请将“结果选项”设置为删除。如果 "Results Options" 未设置为删除，则不会运行新的查看，因为先前任务的结果仍然存在。

可以使用访问查看选项卡监视访问查看的进度。可通过 Compliance 选项卡访问该功能。

在访问查看选项卡中，您可以查看所有活动的和以前处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看：

状态 - 查看进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成。

启动日期 - 启动访问查看任务的日期（时间戳）。

用户总数 - 要扫描的用户总数。

权利文件详细信息 - 表中的附加列，按状态提供权利文件总数。其中包括暂挂、已批准、已拒绝、已终止和已修正的权利文件的详细信息，以及权利文件总数。

要查看关于查看的更多详细信息，请选择该查看以打开摘要报告。

单击组织或证明者表单选项卡可查看按这些对象分类的扫描信息。

您还可以通过运行 "Access Review Summary Report" 在报告中查看和下载这些信息。

修改扫描属性

设置访问扫描之后，您可以编辑扫描以指定新选项，例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。

要编辑扫描定义，请从“访问扫描”列表中将其选中，然后在“编辑访问查看扫描”页中修改属性。

取消访问查看


注	更改访问扫描的范围可能会更改新获得的用户权利文件记录中的信息，因为如果“查看确定规则”对用户权利文件和以前的用户权利文件记录进行比较，则更改可能会对此规则产生影响。

在访问查看页中，单击终止可停止进行中的选定查看。终止查看将导致以下操作：

取消调度所有已调度的扫描

停止所有活动的扫描

删除所有暂挂工作流和工作项目

所有暂挂证明都被标记为已取消

用户已完成的所有证明将保留不变

删除访问查看

如果访问查看任务的状态为已终止或已完成，则可以删除该访问查看。无法删除正在进行中的访问查看任务，除非先将其终止。

删除访问查看将删除由该查看生成的所有用户权利文件记录。删除操作将记录在审计日志中。

管理证明责任

您可以从 Identity Manager 管理员或用户界面中管理证明请求。本节提供了有关响应证明请求以及证明中包含的责任的信息。

访问查看通知

在扫描期间，当证明请求需要证明者的批准时，Identity Manager 将向证明者发送通知。如果已委托证明者职责，则将请求发送给委托者。如果定义了多个证明者，则每个证明者都将收到一封电子邮件通知。


注	取消和删除访问查看可能导致对大量 Identity Manager 对象和任务进行更新，完成该过程可能需要几分钟的时间。可以通过在服务器任务 > 所有任务中查看任务结果来检查操作的进度。

请求将显示为 Identity Manager 界面中的 Attestation 工作项目。当已分配的证明者登录到 Identity Manager 时，屏幕将显示暂挂的证明工作项目。

查看暂挂请求

从界面的 "Work Items" 区域查看证明工作项目。选择 "Work Items" 区域中的 Attestation 选项卡，即可列出所有需要批准的权利文件记录。在“证明”页中，您还可以列出所有直接报告和指定用户（您可对其进行直接或间接控制）的权利文件记录。

对权利文件记录执行操作

证明工作项目包含需要查看的用户权利文件记录。权利文件记录提供了有关用户访问权限、已分配资源以及策略违规的信息。

批准 - 证明从权利文件记录中所记录的日期开始，权利文件是适当的。

拒绝 - 权利文件记录指出当前无法验证或修正的可能差异。

重新扫描 - 请求重新扫描以重新评估用户权利文件。

转发 - 允许您为查看指定其他收件人。

放弃 - 对此记录的证明不合适，并且尚未发现更合适的证明者。证明工作项目将转发至查看进程拥有者。仅在访问查看任务中已定义查看进程拥有者时，才可使用此选项。

如果在指定的提升超时阶段之前，证明者未采取以上任何一种操作对请求进行响应，则通知将发送至提升链中的下一个证明者。在记录响应之前，通知进程将继续。

闭环修正

将权利文件标记为需要请求其他用户进行修复（请求修正）。在这种情况下，将创建一个新的修正工作项目，并将其分配给一个或多个指定的修正者。

请求对权利文件进行重新评估（重新扫描）。在这种情况下，将对用户权利文件进行重新扫描和再次评估。原始的证明工作项目将会结束。根据访问扫描中定义的规则，如果权利文件仍需要证明，将创建一个新的证明工作项目。

请求修正

您可以将暂挂证明路由到其他用户以进行修正（如果访问扫描已定义此操作）。


注	可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利文件”选项启用此功能。

从证明列表中选择一个或多个权利文件，然后单击请求修正。

将显示“选择并确认请求修正”页。

输入用户名，然后单击添加将该用户添加到“转发至”字段。或者，也可以单击 ...（更多）以搜索用户。在搜索列表中选择用户，然后单击添加将该用户添加到“转发至”列表。单击解除可关闭搜索区域。

在“注释”字段输入注释，然后单击继续。

Identity Manager 将返回到证明列表。



注	修正请求的详细信息将显示在各用户权利文件的“历史”区域中。

重新扫描证明

您可以对暂挂证明进行重新扫描和重新评估（如果访问扫描已定义此操作）。


注	可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利文件”选项启用此功能。

从证明列表中选择一个或多个权利文件，然后单击重新扫描。

将显示“重新扫描用户权利文件”页。

在“注释”区域输入有关重新扫描操作的注释，然后单击继续。

转发证明工作项目

可以将一个或多个证明工作项目转发至其他用户。转发证明：

在证明列表中选择一个或多个工作项目，然后单击转发。

将显示“选择并确认转发”页。

在“转发至”字段中输入用户名。或者，也可以单击 ...（更多）以搜索用户名。

在“注释”字段中输入有关转发操作的注释。

单击继续。

Identity Manager 将返回到证明列表。



注	转发操作的详细信息将显示在各用户权利文件的“历史”区域中。

对访问查看操作进行数字签名

您可以设置数字签名以处理访问查看操作。有关配置数字签名的信息，请参见对批准签名。此处讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准时所需的服务器端和客户端配置。

访问查看报告

Identity Manager 提供了以下报告，以使您可以评估访问查看的结果：

访问查看范围报告 - 此报告指出选定访问查看所指的用户之间的重叠部分或差异部分。由于大多数访问查看的用户范围都由查询或某项成员资格操作所指定，因此实际的用户集会随时间而变化。

此报告可显示由两个不同的访问查看所指定的用户之间的重叠部分和/或差异部分（以确定查看在操作中是否有效）；由两个不同的访问查看所生成的权利文件之间的重叠部分和/或差异部分（以确定范围是否随时间而变化）；用户和权利文件之间的重叠部分和/或差异部分（以确定是否为查看范围内的所有用户生成了权利文件）。

访问查看详细信息报告 - 此报告以表的形式提供了以下信息：

名称 - 用户权利文件记录的名称

状态 - 查看进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成

证明者 - 分配为记录证明者的 Identity Manager 用户

扫描日期 - 记录扫描何时发生的时间戳

处理日期 - 证明权利文件记录的日期（时间戳）

组织 - 权利文件记录中的用户组织

管理员 - 已扫描的用户的管理员

资源 - 用户拥有其帐户且已捕获至该用户权利文件的资源

违规 - 查看期间检测到的违规数

单击报告中的名称可打开用户权利文件记录。图 11-17 显示了用户权利文件记录视图中提供的信息示例。

访问查看摘要报告 - 此报告（已在管理访问查看进度中讨论，并在图 11-16 中说明）将显示有关为报告选择的访问扫描的以下摘要信息：

查看名称 - 访问扫描的名称

状态 - 启动查看的时间戳

用户计数 - 查看中已扫描的用户数

权利文件计数 - 所生成的权利文件记录数

已批准 - 已批准的权利文件记录数

已拒绝 - 已拒绝的权利文件记录数

暂挂 - 仍处于暂挂状态的权利文件记录数

已取消 - 已取消的权利文件记录数

这些报告均可从 "Run Reports" 页以可移植文档格式 (PDF) 或逗号分隔值 (CSV) 格式下载。

访问查看修正

可以在“工作项目”选项卡的“修正”区域中管理遵循性违规修正和缓解以及访问查看修正。但是，这两种修正类型之间存在着差异。本节介绍了访问查看修正的特有行为，以及它与遵循性违规修正和缓解中所述的修正任务和信息之间的差异。

关于访问查看修正

证明者请求修正用户权利文件时，“标准证明”工作流将创建一个修正请求，该请求必须由修正者（可以评估和响应修正请求的指定用户）进行处理。

只能修正问题，而无法缓解问题。必须在问题解决之后，证明才能继续。

访问查看产生修正后，“访问查看”面板将跟踪与该查看有关的所有证明者和修正者。

修正者提升

修正工作流进程

证明者请求修正用户权利文件时，“标准证明”工作流将执行以下操作：

生成修正请求（类型为 accessReviewRemediation），其中包含需要修正的用户权利文件的有关信息。

向请求的修正者发送电子邮件。

接着，新的修正者可以选择编辑用户（使用 Identity Manager 或独立编辑），然后在工作项目达到要求后将其标记为已修正。此时，将对用户权利文件进行重新扫描和再次评估。

修正响应

修正 - 修正者指出已经为修复问题执行了某些操作。

转发 - 修正者将解决修正请求的职责重新分配给另外一个人。

编辑用户 - 修正者选择直接编辑用户以修正问题。

使用“修正”页

对于所有访问查看修正工作项目，“类型”列将显示为 UE（user entitlement，用户权利文件）。

不支持的访问查看修正操作

身份审计任务参考

表 11-3 提供了通常执行的身份审计任务的快速参考。该表显示了开始每项任务时应转到的主要 Identity Manager 界面位置，并显示执行任务时可以使用的替代位置或方法（如果可用）。

表 11-3 身份审计任务参考
要执行的操作：	转至：
创建、编辑或删除审计策略	Compliance 选项卡，Manage Policies 子选项卡
为审计策略定义修正者并分配修正工作流	Compliance 选项卡，Manage Policies 子选项卡
对一个或多个用户或组织执行审计扫描	Accounts 选项卡，从 "User Actions" 或 "Organization Actions" 列表中选择 Scan
对策略违规修正请求进行响应	Work Items 选项卡，Remediations 子选项卡
缓解策略违规	Work Items 选项卡，Remediations 子选项卡
查看已修正的策略违规	Work Items 选项卡，Remediations 子选项卡
生成审计策略报告	Reports 选项卡，Run Report 子选项卡
禁用或启用审计	Configure 选项卡，Audit 子选项卡
设置要捕获的审计事件	Configure 选项卡，Audit 子选项卡
编辑管理员审计权能	Security 选项卡，Capabilities 子选项卡
设置审计通知使用的电子邮件模板	Configure 选项卡，Email Templates 子选项卡
导入数据文件/规则（如 XML 格式的表单）	Configure 选项卡，Import Exchange File 子选项卡
定义访问查看扫描	Compliance 选项卡，Manage Scans 子选项卡
运行访问查看	Compliance 选项卡，Access Reviews 子选项卡
终止访问查看	Compliance 选项卡，Access Reviews 子选项卡
调度访问查看	Server Tasks 选项卡，Manage Schedule 子选项卡
设置周期性访问查看	Compliance 选项卡，Manage Access Scans 子选项卡
监视访问查看状态	Compliance 选项卡，Access Reviews 子选项卡
配置证明者	Compliance 选项卡，Manage Access Scans 子选项卡
执行证明者责任（查看和证明用户权利文件）	Work Items 选项卡，My Work Items 选项卡，Attestation 子选项卡
查看任务划分报告	Reports 选项卡，Run Report 子选项卡

上一页目录索引下一页
Sun Java[TM] System Identity Manager 7.1 管理