第 15 章审计：监视遵循性

本章重点介绍如何执行审计查看和实现实践，以帮助您管理对联邦委托法规的遵循性。

审计策略扫描和报告

本节介绍了有关审计策略扫描的信息，以及运行和管理审计扫描的步骤。

扫描用户和组织

扫描可以在单个的用户或组织上运行选定的审计策略。您可能要扫描用户或组织以查看是否发生了特定违规，或执行未分配给用户或组织的策略。可以从界面的帐户区域中启动扫描。


注	您还可以从“服务器任务”选项卡中启动或调度审计策略扫描。

要从“帐户”区域中启动对用户帐户或组织的扫描，请执行以下步骤：

在管理员界面中，单击主菜单中的帐户。

在“帐户”列表中，执行以下任一操作：

选择一个或多个用户，然后从“用户操作”选项列表中选择扫描。

选择一个或多个组织，然后从“组织操作”选项列表中选择扫描。

在报告标题字段中，指定扫描的标题。此字段为必填字段。您可以选择在报告摘要字段中指定扫描的描述。

选择一个或多个要运行的审计策略。必须至少指定一个策略。

选择策略模式。这决定了选定的策略与已分配策略的用户的交互方式。分配可直接来自用户或来自分配了用户的组织。

（可选）选择不创建违规选项。启用此选项后，将对审计策略进行评估并报告违规，但不会创建或更新遵循性违规，也不会执行修正工作流。但是，由扫描产生的任务将显示应该创建的违规，这样在测试审计策略时，此选项非常有用。

选中是否执行修正工作流？以运行在审计策略中分配的修正工作流。如果审计策略未定义修正工作流，将不运行任何修正工作流。

编辑违规限制值，以设置扫描中止前可发出的最大遵循性违规数。此值提供一种安全保护措施，可限制运行审计策略（这些审计策略在检查时可能过于危险）所带来的风险。空值表示未设置任何限制。

选中电子邮件报告以指定报告的收件人。您也可使 Identity Manager 附加一个包含 CSV（Comma-separated Values，逗号分隔值）格式报告的文件。

如果要覆盖默认 PDF 选项，则启用覆盖默认 PDF 选项选项。

单击启动开始扫描。

要查看审计扫描的报告结果，请查看“审计者报告”。

使用审计者报告

Identity Manager 提供了许多审计者报告。下表介绍了这些报告。

表 15-1 审计者报告描述
审计者报告类型	描述
访问查看范围	显示选定访问查看所指的用户之间的重叠部分或差异部分。由于大多数访问查看的用户范围都由查询或某项成员资格操作所指定，因此实际的用户集会随时间而变化。此报告可显示由两个不同的访问查看所指定的用户之间的重叠部分和/或差异部分（以确定查看在操作中是否有效）；由两个不同的访问查看所生成的权利文件之间的重叠部分和/或差异部分（以确定范围是否随时间而变化）；用户和权利文件之间的重叠部分和/或差异部分（以确定是否为查看范围内的所有用户生成了权利文件）。
访问查看详细信息	显示所有用户权利记录的当前状态。该报告可以按用户的组织、访问查看和访问查看实例、权利文件记录的状态以及证明者进行过滤。
访问查看摘要	提供有关所有访问查看的摘要信息。它概述了列出的每个访问查看扫描的扫描的用户、扫描的策略以及证明活动的状态。
访问扫描用户范围	比较选定的扫描以确定扫描范围中包含哪些用户。它可显示重叠部分（包含在所有扫描中的用户）或差异部分（包含在多个扫描但未包含在全部扫描中的用户）。尝试组织多个访问扫描以包含相同用户或不同用户（视扫描需求而定）时，此报告非常有用。
审计策略摘要	该报告概述了所有审计策略的关键元素，包括每个策略的规则、修正者和工作流。
审计的属性	该报告显示所有指示指定的资源帐户属性变更的审计记录。该报告可搜索每个已存储的可审计属性的审计数据。它将基于任何扩展的属性搜索数据，而这些扩展的属性可从 WorkflowServices 或标记为可审计的资源属性指定。有关配置此报告的信息，请参见配置审计属性报告。
审计策略违规历史	在指定时间段内创建的每个策略的所有遵循性违规的图形视图。可以按策略过滤该报告，并可以按天、周、月或季对其进行分组。
用户访问	显示特定用户的审计记录和用户属性。
组织违规历史	在特定时间段内创建的每个资源的所有遵循性违规的图形视图。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
资源违规历史	在指定时间范围内创建的每个资源的所有遵循性违规的图形视图。
任务划分	显示冲突表中安排的任务划分违规。使用基于 Web 的界面时，您可以通过单击链接来访问其他信息。可以按组织过滤该报告，并可以按天、周、月或季对其进行分组。
违规摘要	显示当前所有的遵循性违规。可以按修正者、资源、规则、用户或策略过滤该报告。

可通过 Identity Manager 界面中的“报告”选项卡查看这些报告。

创建审计者报告

要运行报告，必须先创建报告模板。您可以为报告指定各种条件，包括指定接收报告结果的电子邮件收件人。创建并保存报告模板后，可在“运行报告”页中查看该报告模板。


注	RULE_EVAL_COUNT 值等于在策略扫描期间计算的规则数。该值有时包含在报告中。 Identity Manager 按如下方式计算 RULE_EVAL_COUNT 值：扫描的用户数 x（策略中的规则数 + 1）计算中包含 +1 是因为，Identity Manager 还将策略规则计算在内，这是实际确定是否违反策略的规则。策略规则检查审计规则结果，并执行布尔逻辑以得出策略结果。例如，如果策略 A 包含三个规则，策略 B 包含两个规则，并且您已扫描 10 个用户，则 RULE_EVAL_COUNT 值等于 70，原因如下： 10 个用户 x（3 + 1 + 2 + 1 个规则）

图 15-2 显示了具有已定义审计者报告列表的“运行报告”页示例。

在管理员界面中，单击主菜单中的报告。

将打开“运行报告”页。

选择审计者报告作为报告类型。

在报告的新建列表中选择一个报告。

将显示“定义报告”页。报告对话框的字段和布局因每个报告类型而异。有关指定报告条件的信息，请参阅 Identity Manager 帮助。

运行报告而不保存 - 单击运行开始运行报告。Identity Manager 不保存报告（如果定义了新报告）或已更改的报告条件（如果编辑了现有报告）。

保存报告 - 单击保存可保存报告。保存报告后，您可从“运行报告”页（报告列表）运行报告。

从“运行报告”页运行报告后，您可以通过“查看报告”选项卡立即查看或稍后查看输出。

有关调度报告的信息，请参见调度报告。

配置审计属性报告

审计属性报告（请参见表 15-1）可以报告对 Identity Manager 用户和帐户所做的属性级别的更改。但是，标准的审计日志记录不会生成足够的审计日志数据来支持完整的查询表达式。

它会将更改的属性写入审计日志的 acctAttrChanges 字段中，但是更改属性的写入方式使报告查询只能基于更改属性的名称来与记录匹配。报告查询不能准确地与属性值进行匹配。

可以通过指定以下参数对报告进行配置，使其与包含对属性 lastname 的更改的记录进行匹配：


注	由于数据在 acctAttrChanges 字段中的存储方式，必须使用 Condition='contains'。此字段不是多值字段。实际上，它是一个包含所有更改属性的 before/after 值的数据结构，其形式为 attrname=value。因此，上述设置允许报告查询与 lastname=xxx 的任何实例相匹配。

也可以只捕获那些特定属性为特定值的审计记录。为此，请按照更多... 上的配置 “审计”选项卡部分中的过程进行操作。选中审计整个工作流复选框，单击添加属性按钮以选择为生成报告而要记录的属性，然后单击保存。

接下来，启用任务模板配置（如果尚未启用）。为此，请按照更多... 上的启用任务模板部分中的过程进行操作。不要更改选定的进程类型列表中的默认值，只需单击保存。

现在，工作流可以提供能够同时与属性名称和属性值匹配的审计记录了。虽然启用此级别的审计可以提供更多的信息，但是要注意，这会显著增加性能开销，从而使工作流的运行速度变慢。

遵循性违规修正和缓解

本节介绍如何使用 Identity Manager 修正来保护您的重要资产。以下主题详述了 Identity Manager 修正进程的元素：

关于修正

Identity Manager 在检测到未解决的（未缓解的）审计策略遵循性违规时，将创建一个修正请求，该请求必须由修正者（指定的用户，允许评估并响应审计策略违规）进行处理。

修正者提升

Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作，则 Identity Manager 会将违规提升至级别 2 修正者，并开始新的超时时间段。如果级别 2 修正者在超时之前未响应，则该请求再次被升级至级别 3 修正者。

要执行修正，必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的，但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。

修正安全性访问

修正工作项目拥有者

修正工作项目拥有者的直接或间接管理员

控制修正工作项目拥有者所属组织的管理员

拥有者为尝试执行该操作的用户，或

拥有者位于由尝试执行该操作的用户所控制的组织中，或

拥有者为尝试执行该操作的用户的下属

controlOrg - 有效值为 "true" 或 "false"。

subordinate - 有效值为 "true" 或 "false"。

lastLevel - 包括在结果中的最后一个下属级别；-1 表示所有级别。lastLevel 的整数值默认为 -1，表示直接或间接下属。

修正工作流进程

Identity Manager 提供了标准修正工作流，从而为审计策略扫描提供修正处理。

标准修正工作流生成一个包含有关遵循性违规信息的修正请求（查看类型的工作项目），并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时，工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。

可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true，则将为每个用户/策略/规则组合创建新的遵循性违规（如果该组合当前尚不具有违规）。如果该组合具有违规，并且违规处于已缓解状态，则工作流进程将不执行任何操作。如果未缓解现有违规，则其反复出现次数将增加一次。

修正响应

修正 - 修正者指出已经为修复资源问题执行了某些操作。


注	修正后，在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描，则违规修正后将立即对用户进行重新扫描。

缓解 - 修正者允许违规，并在一定的时间内对用户违规进行免除。


注	Identity Manager 检测到到期的免除时，它会将违规从已缓解状态返回至暂挂状态。

转发 - 修正者将解决违规的职责重新分配给另外一个人。

修正示例

您的企业建立了一条规则，规定用户无法同时负责“应付帐款”和“应收帐款”，并且您收到了用户违反此规则的通知。

如果该用户是一个主管，并且在公司雇佣其他人负责其中的一个职位之前，他同时负责这两个职位，则可以缓解此违规，并签发一个最长六个月的免除期。

如果用户违反此规则，可请求 Oracle ERP 管理员更正此冲突，然后，在资源的相关问题解决修复后修正此违规。或者，您还可以将修正请求转发给 Oracle ERP 管理员。

修正电子邮件模板

Identity Manager 提供了一个“策略违规通知”电子邮件模板（可通过选择配置选项卡，然后再选择电子邮件模板子选项卡获得）。可对此模板进行配置，以通知修正者暂挂违规。有关详细信息，请参见自定义电子邮件模板。

使用修正页

查看暂挂违规

排列策略违规的优先级

缓解一个或多个策略违规

修正一个或多个策略违规

转发一个或多个策略违规

从修正工作项目中编辑用户

查看策略违规

进行操作之前，可通过“修正”页查看有关违规的详细信息。

根据您所具有的权能或您在 Identity Manager 权能分层结构中的位置，您可能可以查看其他修正者的违规并对这些违规执行操作。

查看暂挂请求

查看已完成的请求

更新表格

查看暂挂请求

默认情况下，分配给您的暂挂请求将显示在“修正”表中。您可使用列出修正选项来查看不同修正者的暂挂修正请求：

选择我的直接报告可查看组织中直接向您报告的用户的暂挂请求。

选择搜索用户可输入或查找您要查看其暂挂请求的一个或多个用户。输入用户 ID，然后单击应用以查看该用户的暂挂请求。或者，也可以单击 ...（更多）以搜索用户。找到并选择用户之后，单击解除可关闭搜索区域。

修正者 - 所分配的修正者的名称。仅当查看其他修正者的修正请求时才会显示此列。

用户 - 发送请求的用户。

审计策略/请求 - 请求修正者执行的操作。

审计规则/描述 - 请求的修正注释。

违规状态 - 违规的当前状态。

严重程度 - 分配给请求的严重程度（“无”、“低”、“中”、“高”或“严重”）

优先级 - 分配给请求的优先级（“无”、“低”、“中”、“高”或“紧急”）

请求日期：发出修正请求的日期和时间。



注	每个用户都可以选择一个自定义表单，以显示与特定修正者相关的修正数据。要分配自定义表单，请选择用户表单上的遵循性选项卡。

查看已完成的请求

要查看已完成的修正请求，请单击我的工作项目选项卡，然后单击历史选项卡。将显示先前已修正的工作项目的列表。

结果表（由 AuditLog 报告生成）提供关于每个修正请求的以下信息：

时间戳 - 修正请求的日期和时间

主体 - 处理请求的修正者的名称

操作 - 修正者是缓解还是修正了请求

类型 - ComplianceViolation 或 User Entitlement

对象名称 - 所违反的审计策略的名称

资源 - 提供修正者的帐户 ID（也可能显示 N/A）

ID - 与策略违规相关的帐户 ID。

结果 - 始终显示成功

“审计事件详细信息”页提供有关已完成请求的信息，包括有关修正或缓解、事件参数（如果适用）和可审计属性的信息。

更新表格

要更新“修正”表中提供的信息，请单击刷新。“修正”页将通过任何新的修正请求更新该表。

排列策略违规的优先级

可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以在“修正”页中排列违规的优先级。

在列表中选择一个或多个违规。

单击确定优先级。

将显示“排列策略违规优先级”页。

（可选）设置违规的严重程度。选项包括“无”、“低”、“中”、“高”或“严重”。

（可选）设置违规的优先级。选项包括“无”、“低”、“中”、“高”或“紧急”。

完成选择后单击确定。Identity Manager 将返回到修正列表。



注	只能对类型为 CV（Compliance Violation，遵循性违规）的修正设置严重程度和优先级值。

缓解策略违规

在“修正”页

在表中选择行以指定要缓解的请求。

选中一个或多个选项，以指定要缓解的请求。

选中表标题中的选项，以缓解表中列出的所有请求。



注	Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量缓解。只能缓解包含遵循性违规的请求，而不能缓解其他修正请求。

单击缓解。

将显示“缓解策略违规”页（或“缓解多项策略违规”页）：

图 15-3 “缓解策略违规”页
访问“缓解策略违规”页。

在“说明”字段中输入有关缓解的注释。（此字段为必填字段）。

您的注释可提供针对此操作的审计跟踪，因此，请确保输入完整、有意义的信息。例如，解释缓解策略违规的原因、日期、选择免除期的原因。

直接在“到期日期”字段中键入日期（格式为 YYYY-MM-DD）以提供免除的到期日期，也可单击日期日期按钮图标

按钮，然后从日历中选择一个日期。



注	如果不提供日期，则免除会无限期有效。

单击确定以保存更改并返回到“修正”页。

修正策略违规

使用表中的复选框指定要修正的请求。

选中表中的一个或多个复选框，以指定要修正的请求。

选中表标题中的复选框，以修正表中列出的所有请求。

如果选择了多个请求，请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量修正。

单击修正。

屏幕将显示“修正策略违规”页（或“修正多个策略违规”页）。

在“注释”字段中输入关于修正的注释。

单击确定以保存更改并返回到“修正”页。



注	在修正用户违规时，将始终对直接分配给该用户的审计策略（即，通过用户帐户或组织分配所分配的策略）进行重新评估。

转发修正请求

使用表中的复选框指定要转发的请求。

选中表标题中的复选框，以转发表中列出的所有请求。

选中表中的各个复选框，以转发一个或多个请求。

单击转发。

将显示“选择并确认转发”页。

图 15-4 “选择并确认转发”页
请求被转发给管理员，同时表被更新。

在“转发至”字段中输入修正者名称，然后单击确定。或者，也可以单击 ...（更多）以搜索修正者名称。从搜索列表中选择一个名称，然后单击设置在“转发至”字段中输入该名称。单击解除可关闭搜索区域。

重新显示“修正”页时，新的修正者名称将显示在表的“修正者”列中。

从修正工作项目中编辑用户

从修正工作项目中，您可以（具有适当的用户编辑权能）编辑用户以修正问题（如相关的权利文件历史中所述）。

要编辑用户，请单击“查看修正请求”页中的编辑用户。随后出现的“编辑用户”页中将显示以下内容：

此工作项目的与用户相关的权利文件历史

用户的属性。此处显示的选项与“帐户”区域中所提供的“编辑用户”表单上的选项相同。


注	保存用户编辑后，将会运行“更新用户”工作流。由于此工作流可能需要进行批准，因此对用户帐户所做的更改在保存后的一段时间内可能无效。如果审计策略允许重新扫描，并且“更新用户”工作流尚未完成，则后续的策略扫描可能会检测到相同的违规。

周期性访问查看和证明

Identity Manager 提供了用于处理访问查看的进程，通过访问查看，管理员或其他责任方可以查看并验证用户访问权限。该进程有助于识别和管理随时间累积的用户权限，还有助于维护沙宾法案 (Sarbanes-Oxley)、GLBA 以及其他联邦管制委托授权的遵循性。

可以根据需要执行访问查看，也可以调度为定期执行（例如每个日历季度执行一次），这使您可以执行周期性访问查看，以维护正确级别的用户权限。访问查看可以包括审计策略扫描（可选）。

关于周期性访问查看

周期性访问查看是用于证明在某个特定的时间点，一组雇员对相应的资源具有适当权限的周期性进程。

访问查看扫描 - 执行基于规则的用户权利评估以确定是否需要证明的扫描。

证明 - 通过批准或拒绝用户权利文件来响应证明请求的进程。

用户权利是在一组特定资源上的用户帐户的详细信息记录。

访问查看扫描

访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有可选审计策略，以及用于确定要手动证明的权利文件记录以及执行者的规则。

访问查看工作流进程

构建用户列表、获取每个用户的帐户信息，以及评估可选审计策略

创建用户权利记录

确定每个用户权利记录是否需要证明

向每个证明者分配工作项目

等待所有证明者批准或等待首次拒绝

如果在指定的超时期间内未收到对请求的任何响应，则提升到下一个证明者

使用解决方案更新用户权利记录

所需的管理员权能

要执行周期性访问查看并管理查看进程，用户必须具有“审计者周期性访问查看管理员”权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。

要分配这些权能，请编辑用户帐户并修改安全属性。有关这些权能及其他权能的详细信息，请参见了解和管理权能。

证明

证明是由一个或多个指定的证明者执行的认证进程，以确认在特定日期用户权利文件的适当性。在访问查看过程中，证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户，但无需是 Identity Manager 管理员。

证明工作流

Identity Manager 使用证明工作流，该工作流在访问扫描标识需要查看的权利记录后启动。访问扫描将根据其中定义的规则进行确定。

由访问扫描评估的规则将确定是否需要手动证明用户权利记录，或是否可自动批准或拒绝该记录。如果需要手动证明用户权利文件记录，访问扫描将使用第二条规则来确定适当的证明者。

要手动证明的每个用户权利文件记录均将分配给工作流，每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送，对于每个证明者，该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流，否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知，并且通知数目可能较大（取决于扫描的用户数）。

证明安全访问

工作项目拥有者

工作项目拥有者的直接或间接管理员

控制工作项目拥有者所属组织的管理员

已通过验证检查验证的用户

拥有者为尝试执行该操作的用户，或

拥有者位于由尝试执行该操作的用户所控制的组织中，或

拥有者为尝试执行该操作的用户的下属。

controlOrg - 有效值为 "true" 或 "false"

subordinate - 有效值为 "true" 或 "false"

lastLevel - 包含在结果中的最后一个下属级别；-1 表示所有级别

委托证明


注	如果将证明安全设置为受组织控制，则还需要“审计者证明者”权能以修改其他用户的证明。

默认情况下，访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择“按照委托”选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户，但尚未为访问查看扫描设置“按照委托”选项，则该证明者（而非已向其分配委托的用户）将收到证明请求通知和工作项目。

计划进行周期性访问查看

对于任何企业，访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤，有助于将成本和时间降至最低。但是，某些进程仍然十分耗时。例如，从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率，并极大地降低投入。

根据所涉及的用户数和资源数，扫描时间将有很大的差别。

使用多个 Identity Manager 服务器进行并行处理将提高访问查看进程的速度。

自定义证明工作流以及规则增强了您的控制能力，并带来了更高的效率：

使用“证明者提升规则”帮助改进证明请求的响应时间。

了解如何使用“查看确定规则”通过自动确定需要手动查看的权利记录来节省时间。

通过指定扫描级别通知工作流来捆绑扫描的证明请求通知。

调节扫描任务

在扫描过程中，有多个线程会访问用户的视图，还可能访问用户具有帐户的资源。访问视图之后，会对多个审计策略和规则进行评估，这可能会导致创建遵循性违规。

为了防止两个线程同时更新相同的用户视图，该过程将针对此用户名建立一个内存中的锁定。如果无法在 5 秒（默认值）之内建立此锁定，则会向扫描任务中写入一个错误并跳过该用户，从而防止对同一组用户进行并发扫描。

可以编辑多个“可调节参数”的值，这些参数是作为任务参数提供给扫描任务的：

clearUserLocks（布尔值） - 如果为 "true"，将在扫描开始前解除所有当前用户锁定。

userLock（整数） - 尝试锁定用户时等待的时间（以毫秒为单位）。默认值为 5 秒。负值将禁用对该扫描的锁定。

scanDelay（整数） - 分发扫描线程之间的休眠时间（以毫秒为单位）。默认值为 0（无延迟）。如果为此参数提供值，则扫描速度会变慢，但系统对其他操作的响应能力将变强。

maxThreads（整数） - 用于处理扫描的并发线程数。默认值为 5。如果资源的响应速度很慢，则增大此数值可能会提高扫描吞吐量。

要更改这些参数的值，请编辑相应的“任务定义”表单。有关此任务的详细信息，请参见“Identity Manager 工作流、表单和视图”。

创建访问扫描

选择遵循性，然后选择管理访问扫描。

单击新建以显示“创建新的访问扫描”页。

为访问扫描指定名称。



注	访问扫描名称不能包含以下字符： '（撇号）、.（句点）、\|（管道符号）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、\（反斜杠）或 =（等号）。还应该避免使用以下字符： _（下划线）、%（百分号）、^（插入符号）和 *（星号）。

或者，添加有助于识别扫描的描述。

（可选）启用动态权利文件选项。如果启用该选项，则会为证明者提供以下附加选项：

可以立即重新扫描暂挂证明，以刷新权利文件数据并重新评估证明需求。

可以将暂挂证明路由到其他用户以进行修正。经过修正后，权利文件数据将被刷新并重新进行评估，以确定是否需要证明。

从以下选项中选择用户范围类型：（此字段为必填字段）。

根据属性条件规则 - 选择此选项可以根据选定的用户范围规则扫描用户。Identity Manager 提供了以下默认规则：

所有管理员

我的所有报告

所有非管理员

我的直接报告

没有 Manager 的用户



注	可通过使用 Identity Manager 集成开发环境 (IDE) 来添加用户范围规则。有关 IDE 的信息，请参见 Identity Manager IDE。

分配给资源 - 选择此选项可扫描在一个或多个选定资源上具有帐户的所有用户。选择此选项后，页面将显示“用户范围资源”，可以用其指定资源。

根据特定角色 - 选择此选项可扫描至少包含指定的一个角色或包含指定的所有角色的所有成员。

组织成员 - 选择此选项可扫描一个或多个选定组织的所有成员。

报告给管理员 - 选择此选项可扫描已报告给选定管理员的所有用户。管理员分层结构取决于用户 Lighthouse 帐户的 Identity Manager 属性。

如果用户范围为组织或管理员，则可使用“递归范围”选项。此选项允许按受控成员链进行递归式用户选择。

如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规，请通过将您的选项从“可用审计策略”移动到“当前审计策略”列表来选择要应用到此扫描的审计策略。

向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是，除此之外，由审计策略检测到的任何违规都将存储在用户权利文件记录中。此信息可简化自动批准或拒绝，因为该规则可将用户权利记录中是否存在违规作为其逻辑的一部分。

如果在上述步骤中扫描了审计策略，则可以使用策略模式选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。

应用选定策略并忽略其他分配

仅在用户尚不具有任何分配时才应用选定策略

除了分配给用户的策略外，还应用选定策略

（可选）指定查看进程所有者。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者，则对于在响应证明请求时遇到潜在冲突的证明者，他可以选择放弃而无需批准或拒绝用户权利，并且证明请求将会转发给该查看进程拥有者。单击选择框（省略号）可搜索用户帐户并进行选择。

按照委托 - 选择此选项可以对访问扫描启用委托。如果已选中此选项，访问扫描将仅应用委托设置。默认情况下将启用“按照委托”。

限制目标资源 - 选择此选项可限制扫描目标资源。

此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源，每个用户权利记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集，您可以大大缩短 Identity Manager 创建用户权利记录所需的处理时间。

执行违规修正 - 选择此选项可在检测到违规时启用审计策略的修正工作流。

如果选择此选项，则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。

通常不应该选择此选项，除非情况比较复杂。

访问批准工作流 - 选择默认的标准证明工作流或选择自定义的工作流（如果可用）。

此工作流用于将要查看的用户权利记录显示给适当的证明者（如同由证明者规则确定）。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了升级，此工作流将负责升级暂停过久的工作项目。如果未指定任何工作流，则用户证明将无限期地处于暂挂状态。



注	Identity Manager 部署工具手册包含有关 Identity Auditor 规则、可以对其进行自定义的方式以及原因的详细信息。请参阅“使用规则”一章的“自定义默认规则和规则库”一节中的“审计者规则”主题。

证明者规则 - 选择“默认证明者”规则，或选择自定义的证明者规则（如果可用）。

证明者规则将作为输入值提供给用户权利记录，并且返回证明者名称列表。如果选择了“按照委托”，则访问扫描将按照原始名称列表中每个用户所配置的委托信息，把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环，则将放弃委托信息，并且工作项目将提交给原始证明者。默认证明者规则指示证明者应该是权利文件记录所代表的用户的管理员 (idmManager)，或者是配置器帐户（如果该用户的 idmManager 为 null）。如果证明需包括资源拥有者以及管理员，则必须使用自定义规则。有关自定义证明者规则的信息，请参见 Identity Manager 部署工具手册。

证明者提升规则 - 使用此选项可指定“默认提升证明者”规则，或选择自定义规则（如果可用）。您也可以为规则指定升级超时值。默认的提升超时值为 0 天。

该规则将为已经过升级超时阶段的工作项目指定升级链。“默认提升证明者”规则将提升到所分配的证明者的管理员 (idmManager)，或提升到配置器（如果证明者的 idmManager 值为 null）。

您可以以分钟、小时或天数为单位指定升级超时值。

Identity Manager 部署工具手册包含有关证明者提升规则的其他信息。

查看确定规则 - 选择以下规则之一可指定扫描进程将如何确定权利文件记录的处理方式：（此字段为必填字段）。

拒绝更改的用户 - 自动拒绝用户权利文件记录，如果该用户权利文件与上一个具有相同访问扫描定义的用户权利文件不同，且已批准上一个用户权利文件。否则，强制执行手动证明并批准所有与先前已批准的用户权利相同的用户权利。默认情况下，此规则只比较用户视图的“帐户”部分。

查看更改的用户 - 强制执行手动证明任一用户权利文件记录，如果该用户权利文件与上一个具有相同访问扫描定义的用户权利文件不同，且已批准上一个用户权利文件。批准所有与先前已批准的用户权利相同的用户权利。默认情况下，此规则只比较用户视图的“帐户”部分。

查看所有用户 - 强制执行手动证明所有用户权利文件记录。



注	“拒绝更改的用户”和“查看更改的用户”规则将比较用户权利和相同访问扫描（其中已批准权利记录）的上一个实例。您可以通过复制并修改规则来更改此行为，以便将比较操作限制在用户视图的任何选定部分。有关自定义规则的信息，请参见《Identity Manager 部署工具》。

此规则可以返回以下值：

-1 - 不需要任何证明

0 - 自动拒绝证明

1 - 需要手动证明

2 - 自动批准证明

3 - 自动修正证明（自动修正）

Identity Manager 部署工具手册包含有关查看确定规则的其他信息。

修正者规则 - 选择规则，用于确定在执行自动修正时，应该由谁修正特定用户的权利文件。该规则可以检查用户的当前用户权利文件和违规，并且必须返回应该负责修正的用户的列表。如果未指定任何规则，则不会执行任何修正。权利文件具有遵循性违规时通常会使用此规则。

Identity Manager 部署工具手册包含有关修正者规则的其他信息。

修正用户表单规则 - 选择规则，用于在编辑用户时为证明修正者选择相应的表单。修正者可以设置自己的表单（将覆盖此表单）。如果扫描搜集与自定义表单匹配的特定数据，则应设置此表单规则。

Identity Manager 部署工具手册包含有关查看确定规则的其他信息。

通知工作流 - 选择以下选项之一可为每个工作项目指定通知行为。

无 - 此为默认选项。此选项可导致证明者会因他必须证明的每个用户权利而收到一封电子邮件通知。

ScanNotification - 此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。

如果访问扫描中指定了查看进程拥有者，则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见步骤 9。

ScanNotification 工作流使用以下电子邮件模板

访问扫描开始通知

访问扫描结束通知

批量证明通知

您可以自定义 ScanNotification 工作流。

违规限制 - 使用此选项可指定扫描在中止之前可发出的最大遵循性违规数。默认限制为 1000。值字段为空表示无限制。

虽然通常情况下在审计扫描或访问扫描期间，策略违规数目与用户数目相比相对较小，但是设置此值可提供保护，以免受可大量增加违规数目的有缺陷策略的影响。例如，请考虑以下情况：

如果访问扫描涉及 50,000 个用户并为每个用户生成两到三个违规，则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。

组织 - 选择可使用此访问扫描对象的组织。此字段为必填字段。

删除访问扫描

您可以删除一个或多个访问扫描。要删除访问扫描，请从遵循性选项卡中选择管理访问扫描，选择扫描名称，然后单击删除。

管理访问查看

定义访问扫描之后，即可将其作为访问查看的一部分使用或调度。启动访问查看之后，可使用多个选项管理查看进程。请阅读以下各节以了解详细信息：

启动访问查看

单击遵循性 > 访问查看页中的启动查看。

在服务器任务 > 运行任务页中选择“访问查看”任务。

在所显示的“启动任务”页中，指定访问查看的名称。从“可用的访问扫描”列表中选择扫描并将其移动至“选定”列表。如果选择了多个扫描，则可以选择以下启动选项之一：

立即 - 选择此选项后，单击“启动”按钮时将立即开始运行扫描。如果在启动任务中为多个扫描选择了此选项，则扫描将并行运行。

等待 - 此选项可使您指定在启动扫描之前等待的时间，该时间与访问查看任务的启动相关。



注	您可以在访问查看会话期间启动多个扫描。但是，考虑到每个扫描可能涉及大量的用户，因此要完成扫描进程可能要耗费数小时的时间。最佳实践证明您可以分别管理扫描。例如，您可以启动某个扫描以立即运行，并调度其他扫描在错开的时间进行。

启动访问查看时，将显示工作流程图以指明该进程中执行的步骤。

调度访问查看任务


注	分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。

可从“服务器任务”区域中调度访问查看任务。例如，要设置周期性访问查看，请选择管理进度表，然后定义进度表。您可以将任务调度为每月或每季度发生一次。

要定义进度表，请在“调度任务”页中选择“访问查看”任务，然后填写“创建任务进度表”页上的信息。

管理访问查看进度


注	默认情况下，Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看，请将“结果选项”设置为删除。如果“结果选项”未设置为删除，则不会运行新的查看，因为先前任务的结果仍然存在。

可以使用访问查看选项卡监视访问查看的进度。可通过遵从性选项卡访问该功能。

在访问查看选项卡中，您可以查看所有活动的和以前处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看：

状态 - 查看进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成。

启动日期 - 启动访问查看任务的日期（时间戳）。

用户总数 - 要扫描的用户总数。

权利文件详细信息 - 表中的附加列，按状态提供权利文件总数。其中包括暂挂、已批准、已拒绝、已终止和已修正的权利文件的详细信息，以及权利文件总数。

要查看关于查看的更多详细信息，请选择该查看以打开摘要报告。

单击组织或证明者表单选项卡可查看按这些对象分类的扫描信息。

您还可以通过运行“访问查看摘要报告”在报告中查看和下载这些信息。

修改扫描属性

设置访问扫描之后，您可以编辑扫描以指定新选项，例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。

要编辑扫描定义，请从“访问扫描”列表中将其选中，然后在“编辑访问查看扫描”页中修改属性。

取消访问查看


注	更改访问扫描的范围可能会更改新获得的用户权利文件记录中的信息，因为如果“查看确定规则”对用户权利文件和以前的用户权利文件记录进行比较，则更改可能会对此规则产生影响。

在访问查看页中，单击终止可停止进行中的选定查看。终止查看将导致以下操作：

取消调度所有已调度的扫描

停止所有活动的扫描

删除所有暂挂工作流和工作项目

所有暂挂证明都被标记为已取消

用户已完成的所有证明将保留不变

删除访问查看

如果访问查看任务的状态为已终止或已完成，则可以删除该访问查看。无法删除正在进行中的访问查看任务，除非先将其终止。

删除访问查看将删除由该查看生成的所有用户权利文件记录。删除操作将记录在审计日志中。

管理证明责任

您可以从 Identity Manager 管理员或用户界面中管理证明请求。本节提供了有关响应证明请求以及证明中包含的责任的信息。

访问查看通知

在扫描期间，当证明请求需要证明者的批准时，Identity Manager 将向证明者发送通知。如果已委托证明者职责，则将请求发送给委托者。如果定义了多个证明者，则每个证明者都将收到一封电子邮件通知。


注	取消和删除访问查看可能导致对大量 Identity Manager 对象和任务进行更新，完成该过程可能需要几分钟的时间。可以通过在服务器任务 > 所有任务中查看任务结果来检查操作的进度。

请求将显示为 Identity Manager 界面中的证明工作项目。当已分配的证明者登录到 Identity Manager 时，屏幕将显示暂挂的证明工作项目。

查看暂挂请求

从界面的“工作项目”区域查看证明工作项目。选择“工作项目”区域中的证明选项卡，即可列出所有需要批准的权利文件记录。在“证明”页中，您还可以列出所有直接报告和指定用户（您可对其进行直接或间接控制）的权利文件记录。

对权利文件记录执行操作

证明工作项目包含需要查看的用户权利记录。权利记录提供了有关用户访问权限、已分配资源以及策略违规的信息。

批准 - 证明从权利文件记录中所记录的日期开始，权利文件是适当的。

拒绝 - 权利文件记录指出当前无法验证或修正的可能差异。

重新扫描 - 请求重新扫描以重新评估用户权利文件。

转发 - 允许您为查看指定其他收件人。

放弃 - 对此记录的证明不合适，并且尚未发现更合适的证明者。证明工作项目将转发至查看进程拥有者。仅在访问查看任务中已定义查看进程拥有者时，才可使用此选项。

如果在指定的升级超时阶段之前，证明者未采取以上任何一种操作对请求进行响应，则通知将发送至升级链中的下一个证明者。在记录响应之前，通知进程将继续。

闭环修正

将权利文件标记为需要请求其他用户进行修复（请求修正）。在这种情况下，将创建一个新的修正工作项目，并将其分配给一个或多个指定的修正者。

请求对权利文件进行重新评估（重新扫描）。在这种情况下，将对用户权利文件进行重新扫描和再次评估。原始的证明工作项目将会结束。根据访问扫描中定义的规则，如果权利文件仍需要证明，将创建一个新的证明工作项目。

请求修正

您可以将暂挂证明路由到其他用户以进行修正（如果访问扫描已定义此操作）。


注	可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利文件”选项启用此功能。

从证明列表中选择一个或多个权利文件，然后单击请求修正。

将显示“选择并确认请求修正”页。

输入用户名，然后单击添加将该用户添加到“转发至”字段。或者，也可以单击 ...（更多）以搜索用户。在搜索列表中选择用户，然后单击添加将该用户添加到“转发至”列表。单击解除可关闭搜索区域。

在“注释”字段输入注释，然后单击继续。

Identity Manager 将返回到证明列表。



注	修正请求的详细信息将显示在各用户权利文件的“历史”区域中。

重新扫描证明

您可以对暂挂证明进行重新扫描和重新评估（如果访问扫描已定义此操作）。


注	可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利文件”选项启用此功能。

从证明列表中选择一个或多个权利文件，然后单击重新扫描。

将显示“重新扫描用户权利文件”页。

在“注释”区域输入有关重新扫描操作的注释，然后单击继续。

转发证明工作项目

在证明列表中选择一个或多个工作项目，然后单击转发。

将显示“选择并确认转发”页。

在“转发至”字段中输入用户名。或者，也可以单击 ...（更多）以搜索用户名。

在“注释”字段中输入有关转发操作的注释。

单击继续。

Identity Manager 将返回到证明列表。



注	转发操作的详细信息将显示在各用户权利文件的“历史”区域中。

对访问查看操作进行数字签名

您可以设置数字签名以处理访问查看操作。有关配置数字签名的信息，请参见对批准签名。此处讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准时所需的服务器端和客户端配置。

访问查看报告

Identity Manager 提供了以下报告，以使您可以评估访问查看的结果：

访问查看覆盖报告 - 此报告可以根据定义报告的方式按表格形式提供以下信息：

名称 - 包含用户权利重叠和/或差异的用户列表

此报告还可能包含其他列，用于显示包含重叠和/或差异的访问查看。

访问查看详细信息报告 - 此报告以表的形式提供了以下信息：

名称 - 用户权利文件记录的名称

状态 - 查看进程的当前状态：正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成

证明者 - 分配为记录证明者的 Identity Manager 用户

扫描日期 - 记录扫描何时发生的时间戳

处理日期 - 证明权利文件记录的日期（时间戳）

组织 - 权利文件记录中的用户组织

管理员 - 已扫描的用户的管理员

资源 - 用户拥有其帐户且已捕获至该用户权利文件的资源

违规 - 查看期间检测到的违规数

单击报告中的名称可打开用户权利文件记录。图 15-6 显示了用户权利文件记录视图中提供的信息示例。

访问查看摘要报告 - 此报告（已在管理访问查看进度中讨论，并在图 15-5 中说明）将显示有关为报告选择的访问扫描的以下摘要信息：

查看名称 - 访问扫描的名称

日期 - 启动查看的时间戳

用户计数 - 查看中已扫描的用户数

权利文件计数 - 所生成的权利文件记录数

已批准 - 已批准的权利文件记录数

已拒绝 - 已拒绝的权利文件记录数

暂挂 - 仍处于暂挂状态的权利文件记录数

已取消 - 已取消的权利文件记录数

这些报告均可从“运行报告”页以可移植文档格式 (Portable Document Format, PDF) 或逗号分隔值 (Comma-separated Value, CSV) 格式下载。

访问查看修正

可以在“工作项目”选项卡的“修正”区域中管理遵循性违规修正和缓解以及访问查看修正。但是，这两种修正类型之间存在着差异。本节介绍了访问查看修正的特有行为，以及它与遵循性违规修正和缓解中所述的修正任务和信息之间的差异。

关于访问查看修正

证明者请求修正用户权利文件时，“标准证明”工作流将创建一个修正请求，该请求必须由修正者（可以评估和响应修正请求的指定用户）进行处理。

只能修正问题，而无法缓解问题。必须在问题解决之后，证明才能继续。

访问查看产生修正后，“访问查看”面板将跟踪与该查看有关的所有证明者和修正者。

修正者提升

修正工作流进程

证明者请求修正用户权利文件时，“标准证明”工作流将执行以下操作：

生成修正请求（类型为 accessReviewRemediation），其中包含需要修正的用户权利文件的有关信息。

向请求的修正者发送电子邮件。

接着，新的修正者可以选择编辑用户（使用 Identity Manager 或独立编辑），然后在工作项目达到要求后将其标记为已修正。此时，将对用户权利文件进行重新扫描和再次评估。

修正响应

修正 - 修正者指出已经为修复问题执行了某些操作。

转发 - 修正者将解决修正请求的职责重新分配给另外一个人。

编辑用户 - 修正者选择直接编辑用户以修正问题。

使用“修正”页

对于所有访问查看修正工作项目，“类型”列将显示为 UE（User Entitlement，用户权利文件）。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理