第 1 章 Identity Manager 概述

Sun Identity Manager 系统使您可以管理和审计对帐户和资源的访问。通过为您提供快速处理周期性和日常用户置备及审计任务的权能和工具，Identity Manager 有助于为内部和外部客户提供优越的服务。

简介

当今的企业要求 IT 服务不断提高灵活性和能力。以前，管理对业务信息和系统的访问需要直接与有限数量的帐户进行交互。现在，管理访问则日渐意味着不仅要处理数量不断增加的内部客户，还要处理企业外部的合作伙伴和客户。

访问需求的增加可产生庞大的管理开销。作为管理员，您必须安全有效地使人们（企业内部或外部人员）能够顺利工作。同时，在提供初始访问后，您还面临连续、复杂的问题，诸如忘记密码与更改角色以及业务关系等。

此外，当今的企业面临对关键业务信息的安全性和完整性进行控制的严格要求。在受与遵循性相关的法案（例如，Sarbanes-Oxley (SOX) Act（沙宾法案）、Health Insurance Portability and Accountability Act（HIPAA，健康保险流通与责任法案）和 Gramm-Leach-Bliley (GLB) Act（金融服务现代化法案））所控制的环境中，由监控和报告活动而产生的开销非常重要并且昂贵。您必须能够对访问控制的更改做出快速反应，还必须满足有助于保证业务安全的数据收集和报告的要求。

Identity Manager 专用于帮助您应对动态环境下的这些管理难题。通过使用 Identity Manager 来分散访问管理开销和处理遵循性负担，更易于解决您面临的主要复杂问题：如何定义访问？定义访问之后，如何维护灵活性和进行控制？

一种安全而灵活的设计允许您设置 Identity Manager 以适应您企业的结构并应对这些复杂问题。将 Identity Manager 对象映射到您管理的实体（用户和资源），可显著提高运行效率。

在服务提供者环境中，Identity Manager 还将这些权能扩展到管理外联网用户。

Identity Manager 系统的目标

定义用户访问资源的权限

更广泛意义的企业用户可以是与公司存在某种关系的任何人，包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中，用户以用户帐户表示。

根据他们与您的业务和其他实体的关系，用户需要访问不同的目标，诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述，这些目标称为资源。

因为用户针对其访问的每个资源通常具有一个或多个身份，所以 Identity Manager 会创建单个虚拟身份，此身份映射到各个不同的资源。这允许您将用户作为单个实体进行管理。请参见图 1-1。

为有效管理大量用户，您需要用逻辑方法将他们分组。在多数公司中，用户被分组到按职能或地理位置划分的各部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述，此类型的组称为组织。

另一种对用户分组的方法是按照类似特征，如公司关系或工作职责。Identity Manager 将这些组称为角色。

在 Identity Manager 系统中，您可为用户帐户分配角色，以便有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。

Identity Manager 用户的直接或间接管理也可通过应用策略实现，这些策略设置了规则和密码及用户验证选项。

用户类型

Identity Manager 提供两种用户类型：Identity Manager 用户和服务提供者用户（如果针对服务提供者实现配置了 Identity Manager 系统）。这两种类型允许您根据用户与公司的关系，来区分可能具有不同置备要求的用户，例如外联网用户与内联网用户。

服务提供者实现的一个典型方案是同时具有内部用户和外部用户（客户）的服务提供者公司，这些用户要使用 Identity Manager 进行管理。有关配置服务提供者实现的信息，请参见 Identity Manager 服务提供者部署。

可以在配置用户帐户时指定 Identity Manager 用户类型。有关服务提供者用户的详细信息，请参见第 17 章服务提供者管理。

委托管理

要成功分布用户身份管理的职责，您需要在灵活性和控制之间寻求合适的平衡点。通过授予选择 Identity Manager 用户管理员权限并委托管理任务，您就能够将身份管理职责分配给最了解用户需求的那些人（如招聘部门的经理），从而可以减少开销并提高效率。具有此类扩展权限的用户称为 Identity Manager 管理员。

但是，委托仅能够在安全模式下发挥作用。为维持适当的控制级别，Identity Manager 允许您为管理员分配不同级别的权能。权能会批准系统内各种级别的访问和操作。

Identity Manager 工作流模型还包括用来确保某些操作需要批准的方法。Identity Manager 管理员可以使用工作流保持对任务的控制并跟踪任务的进度。有关工作流的详细信息，请参见 Identity Manager 工作流、表单和视图。

Identity Manager 对象

清楚地了解 Identity Manager 对象及它们交互的方式对成功管理和部署系统极为重要。这些对象包括：

用户帐户

用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。

用户帐户设置过程是动态的过程。根据您在帐户设置期间选择的角色，您可以或多或少地提供一些特定于资源的信息，以创建帐户。与分配的角色相关的资源类型和数量决定了创建帐户所需的信息量。

管理员是指具有额外权限的用户，可通过这些权限管理用户帐户、资源和其他 Identity Manager 系统对象和任务。Identity Manager 管理员可以管理组织，并被分配了一定范围的权能，以应用于每个受管理组织中的对象。

角色

角色是一个 Identity Manager 对象，它允许对资源访问权限进行分组并将其有效地分配给用户。角色分为以下四种角色类型：


注	在命名 Identity Manager 对象时，不要使用以下字符： '（撇号）、.（句点）、\|（管道符号）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、\（反斜杠）或 =（等号）。还应该避免使用以下字符： _（下划线）、%（百分号）、^（插入符号）和 *（星号）。

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常，业务角色表示用户的工作职责。

IT 角色、应用程序和资产将资源权利（或访问权限）划分到各个组中。要为用户提供资源访问权限，请将 IT 角色、应用程序和资产分配给业务角色，以使用户在工作时能够访问所需的资源。

IT 角色、应用程序和资产可以是必需、条件或可选角色。必需资源将始终分配给用户。条件资源具有一定的条件，这些条件的计算值必须为 true 才能分配该资源。可选资源可以单独进行申请并会在经批准后分配给用户。

由于资源可以为条件或可选资源，因此，具有相同常规作业描述的用户可以具有相同的业务角色，但仍具有不同的访问权限。这种方法允许业务角色设计者定义粗粒度的资源访问，以使用户遵守相关的规定；同时仍为用户管理员提供了一定的灵活性，以微调用户的访问权限。通过采用这种方法，无需再为企业中的每种访问需求变化形式都定义新的业务角色（此问题称为角色爆炸）。

资源和资源组

Identity Manager 存储了有关如何连接到资源或系统的信息。Identity Manager 提供对以下资源的访问：

有两种方法可将资源分配给用户。可以将资源直接分配给用户（这称为单独分配或直接分配），也可以将资源分配给角色，然后再将角色分配给用户（这称为基于角色的分配或间接分配）。

相关的 Identity Manager 对象（即资源组），可用分配资源的方法将其分配给用户帐户。资源组与资源相关联，因此您可按特定顺序在各资源上创建帐户。同时，它们简化了将多个资源分配给用户帐户的过程。

组织和虚拟组织

组织是用于启用管理委托的 Identity Manager 容器。它们定义 Identity Manager 管理员控制或管理的实体的范围。

组织也可表示指向基于目录的资源的直接链接；这些链接称为虚拟组织。虚拟组织允许直接管理资源数据而无需将信息加载到 Identity Manager 系统信息库。利用虚拟组织镜像现有目录结构和成员资格，Identity Manager 去除了重复且费时的设置任务。

包含其他组织的组织称为父组织。可在平面结构中创建组织，也可在分层结构中排列组织。分层结构可代表您用来管理用户帐户的部门、地理区域或其他逻辑部门。

目录连接

目录连接是与分层相关的一组组织，它镜像目录资源的实际层级容器集合。目录资源通过使用分层容器来使用分层名称空间。目录资源的示例包括 LDAP 服务器和 Windows Active Directory 资源。

目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织，并且还镜像目录资源容器（已定义资源的基本上下文容器的子容器）中的一个容器。

可以采用与组织一样的方法，使 Identity Manager 用户成为虚拟组织的成员，并且可用于虚拟组织。

权能

可为每个用户分配权能或权限组，以使其能够通过 Identity Manager 执行管理操作。权能允许管理用户在系统内执行某些任务并对 Identity Manager 对象进行操作。

通常，您应根据特定工作职责（如密码重设或帐户批准）分配权能。通过为各个用户分配权能和权限，可创建一个分层管理结构，该结构在不危及数据保护安全的情况下提供具有针对性的访问和权限。

Identity Manager 提供一组用于常见管理功能的默认权能。满足您具体需求的权能也可被创建和分配。

管理员角色

Identity Manager 管理员角色使您能够为某个管理用户管理的每一个组织集合定义唯一的一组权能。管理员角色被分配了各种权能和受控组织，然后该角色可被分配给管理用户。

权能和受控组织可直接分配给管理员角色。这些权能和受控组织也可在管理用户每次登录到 Identity Manager 时间接地（动态）分配。Identity Manager 规则控制动态分配。

策略

策略通过建立帐户 ID、登录和密码特征的约束，对 Identity Manager 用户设置限制。Identity system 帐户策略建立用户、密码以及验证策略选项和约束。资源密码和帐户 ID 策略设置长度规则、字符类型规则以及允许的字词和属性值。字典策略使 Identity Auditor 可以对照字词数据库检查密码，以确保密码不会轻易受到字典攻击。

审计策略

区别于其他系统策略，审计策略会为一组特定资源的用户定义策略违规。审计策略会建立一个或多个规则，用于判断用户是否违规。这些规则取决于以资源定义的一个或多个属性为基础的条件。当系统扫描用户时，它使用在分配给该用户的审计策略中定义的条件，以确定是否发生违规。

对象关系

表 1-1 Identity Manager 对象关系（第 1 页，共 2 页）
Identity Manager 对象	它是什么？	适用目标
用户帐户	Identity Manager 和一种或多种资源上的帐户。用户数据可从资源加载到 Identity Manager。具有扩展权限的一类特殊用户（Identity Manager 管理员）	角色通常，每个用户帐户都被分配了一个或多个角色。组织用户帐户作为组织的一部分安排在分层结构中。Identity Manager 管理员还额外管理组织。资源各资源均可被分配给用户帐户。权能管理员被分配了适用于其管理的组织的权能。
角色	业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。应用程序和 IT 角色用于将资源划分到各个组中，以便通过业务角色将资源分配给用户。在大型组织中，基于角色的资源分配可简化资源管理。	资源和资源组可将资源和资源组分配给资产、应用程序和 IT 角色。用户帐户可将具有类似特征的用户帐户分配给业务角色。资产、应用程序和 IT 角色可将资产、应用程序和 IT 角色分配给业务角色。
资源	存储有关帐户受到管理的系统、应用程序或其他资源的信息。	角色可将资源分配给应用程序和 IT 角色，然后再将这些角色分配给业务角色。用户帐户将从其业务角色分配不严格地“继承”资源访问权限。用户帐户资源可分别分配给用户帐户。
资源组	经排序的资源组。	角色可将资源组分配给角色；用户帐户通过其业务角色分配“继承”资源访问权限。用户帐户资源组可直接分配给用户帐户。
组织	定义由管理员管理的实体的范围；具有分层结构。	资源给定组织中的管理员可访问某些资源或所有资源。管理员组织由具有管理权限的用户管理（控制）。管理员可管理一个或多个组织。给定组织中的管理权限可传递至其子组织。用户帐户每个用户帐户都可被分配到一个 Identity Manager 组织以及一个或多个目录组织。
目录连接	分层相关的一组组织，这些组织镜像目录资源的实际层级容器集合。	组织目录连接中的每个组织都是虚拟组织。
管理员角色	为分配给管理员的每一组组织定义唯一的一组权能。	管理员管理员角色被分配给管理员。权能和组织权能和组织被直接或间接（动态）分配给管理员角色。
权能	定义一组系统权限。	管理员权能被分配给管理员。
策略	设置密码和验证限制。	用户帐户策略被分配给用户帐户。组织策略被分配给组织或由组织继承。
审计策略	设置用于判断用户是否违规的规则。	用户帐户审计策略被分配给用户帐户。组织审计策略被分配给组织。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理