版权      索引      下一页
Sun[TM] Identity Manager 8.0 管理

目录

表

图

前言

目标读者

阅读本书之前

本书中使用的约定

印刷约定

符号

相关文档

本文档集中的文档

联机访问 Sun 资源

联系 Sun 技术支持

相关的第三方 Web 站点引用

Sun 欢迎您提出意见

第 1 章   Identity Manager 概述

简介

Identity Manager 系统的目标

定义用户访问资源的权限

用户类型

委托管理

Identity Manager 对象

用户帐户

角色

资源和资源组

组织和虚拟组织

目录连接

权能

管理员角色

策略

审计策略

对象关系

第 2 章   Identity Manager UI 入门

Identity Manager 管理员界面

登录到 Identity Manager 管理员界面

会话限制和 Cookie

忘记用户 ID

Identity Manager 最终用户界面

五个最终用户界面选项卡

主页

工作项目

请求

委托

配置文件

登录到 Identity Manager 最终用户界面

忘记用户 ID

帮助和指导

Identity Manager 帮助

Identity Manager 指导

Identity Manager 的“调试”页

Identity Manager IDE

后续内容

第 3 章   用户和帐户管理

界面的帐户区域

帐户区域中的操作列表

在“帐户列表”区域中搜索

用户帐户状态

“用户”页（创建/编辑/查看）

标识

资源

角色

安全

委托

属性

遵循性

创建用户和使用用户帐户

启用进程图

创建用户

为用户创建多个资源帐户

为什么要针对每种资源为每个用户分配多个帐户？

配置帐户类型

分配帐户类型

查找和查看用户帐户

编辑用户

查看用户帐户

编辑用户帐户

将用户重新分配给其他组织

重命名用户

更新与帐户关联的资源

更新单个用户帐户上的资源

更新多个用户帐户上的资源

删除 Identity Manager 用户帐户

从用户帐户中删除资源

从单个用户帐户中删除资源

从多个用户帐户中删除资源

更改用户密码

从“用户列表”页中更改密码

从主菜单中更改密码

重设用户密码

从“用户列表”页中重设密码

使用 Identity Manager 帐户策略使密码到期

禁用、启用和解除锁定用户帐户

禁用用户帐户

启用用户帐户

解除锁定用户帐户

批量帐户操作

启动批量帐户操作

使用操作列表

批量操作视图属性

关联和确认规则

关联规则

确认规则

管理帐户安全和权限

设置密码策略

创建策略

字典策略选则

密码历史记录策略

不得包含词

不得包含属性

实现密码策略

用户验证

个性化验证问题

验证后忽略更改密码质询

分配管理权限

用户自行搜索

启用自行搜索

匿名注册

启用匿名注册

配置匿名注册

用户注册过程

第 4 章   角色和资源

了解和管理角色

什么是角色？

运用角色类型

管理在 8.0 之前的版本中创建的角色

使用角色类型设计灵活的角色

创建角色

填写“创建角色”表单

输入角色的名称和描述

分配资源和资源组

分配角色和角色排除

指定角色所有者和角色批准者

指定通知

启动更改批准工作项目和批准工作项目

编辑和管理角色

搜索角色

查看角色

编辑角色

克隆角色

将角色分配给角色

从角色中删除角色

启用和禁用角色

删除角色

将资源或资源组分配给角色

从角色中删除资源或资源组

管理用户角色分配

将角色分配给用户

在特定日期激活和取消激活角色

更新分配给用户的角色

查找分配给角色的用户

删除分配给用户的角色

配置角色类型

将角色类型配置为可直接分配给用户

使角色类型具有可分配的激活日期和取消激活日期

启用和禁用更改批准工作项目和更改通知工作项目

配置“角色列表”页将加载的最大行数

同步 Identity Manager 角色和资源角色

了解和管理资源

什么是资源？

界面中的资源区域

管理资源列表

打开“配置受管理的资源”页

启用资源类型

添加自定义资源

创建资源

管理资源

查看资源列表

使用资源向导编辑资源

使用资源列表命令选项编辑资源

使用帐户属性

编辑资源帐户属性

资源组

全局资源策略

设置其他超时值

批量资源操作

第 5 章   配置和系统维护

配置 Identity Manager 策略

什么是策略？

打开“策略”页

策略类型

策略中不得包含属性

字典策略

配置字典策略

实现字典策略

自定义电子邮件模板

编辑电子邮件模板

电子邮件模板中的 HTML 和链接

电子邮件正文中允许使用的变量

配置审计组和审计事件

“审计配置”页

打开“审计配置”页

配置审计组

Remedy 集成

配置 Identity Manager 服务器设置

协调程序设置

查看协调程序状态

调度程序设置

电子邮件模板服务器设置

JMX

配置 JMX 轮询设置

查看 JMX 数据

编辑默认服务器设置

配置最终用户界面

在最终用户界面中启用进程图

注册 Identity Manager

从控制台中注册 Identity Manager

register 命令

从管理员界面中注册 Identity Manager

编辑 Identity Manager 配置对象

从系统日志中删除记录

第 6 章   管理

了解 Identity Manager 管理

委托管理

创建管理员

过滤管理员视图

更改管理员密码

验明管理员操作

为选项卡式用户表单启用验明选项

为“更改用户密码”和“重设用户密码”表单启用验明选项

更改验证问题回答

自定义管理员界面中的管理员名称显示

了解 Identity Manager 组织

创建组织

将用户分配给组织

用户成员规则示例

分配组织控制

了解目录连接和虚拟组织

设置目录连接

刷新虚拟组织

删除虚拟组织

了解和管理权能

权能类别

使用权能

查看“权能”页

创建权能

编辑权能

保存和重命名权能

分配权能

了解和管理管理员角色

管理员角色规则

用户管理员角色

创建和编辑管理员角色

“常规”选项卡

控制范围

分配权能

将用户表单分配给管理员角色

“最终用户”组织

最终用户受控组织规则

管理工作项目

工作项目类型

使用工作项目请求

查看工作项目历史

委托工作项目

审计日志条目

查看当前委托

查看以前的委托

创建委托

委托给删除的用户

结束委托

批准

设置帐户批准者

对批准签名

对后续批准签名

配置数字签名的批准和操作

为获得签名批准的服务器端配置

使用 PKCS12 获得签名批准的客户端配置

必备条件

过程

使用 PKCS11 获得签名批准的客户端配置

查看事务签名

第 7 章   数据加载和同步

数据同步工具：使用哪一个？

搜索

提取到文件

从文件加载

关于 CSV 文件格式

从资源加载

协调

协调简介

关于协调策略

编辑协调策略

启动协调

取消协调

查看协调状态

查看详细的协调状态

在资源列表中查看协调状态

使用帐户索引

搜索帐户索引

检查帐户索引

使用帐户

使用用户

使用任务进度表重复规则

如何安排协调运行时间

“接受所有日期”样例规则

活动同步适配器

配置同步

编辑同步策略

编辑活动同步适配器

调节活动同步适配器性能

更改轮询时间间隔

指定运行适配器的主机

启动和停止

适配器日志记录

第 8 章   报告

使用报告

报告类型

运行报告

查看报告

创建报告

编辑和克隆报告

用电子邮件发送报告

调度报告

下载报告数据

配置报告输出

Identity Manager 报告

审计日志报告

单个用户审计日志报告

实时报告

摘要报告

系统日志报告

使用情况报告

使用情况报告图表

工作流报告

配置工作流以捕获审计计时事件

为工作流报告指定要存储的属性

定义工作流报告

审计者报告

使用图形

查看定义的图形

创建图形

编辑图形

删除图形

使用面板

创建面板

编辑面板

删除面板

系统监视

跟踪的事件配置

风险分析

创建风险分析报告

调度风险分析报告

第 9 章   任务模板

启用任务模板

配置任务模板

配置“常规”选项卡

对于创建用户模板或更新用户模板

对于删除用户模板

配置“通知”选项卡

配置用户通知

配置管理员通知

配置“批准”选项卡

启用批准（“批准”选项卡的“批准启用”部分）

指定附加批准者（“批准”选项卡的“附加批准者”部分）

配置批准表单（“批准”选项卡的“批准表单配置”部分）

配置 “审计”选项卡

配置“置备”选项卡

配置“生效和失效”选项卡

配置生效

配置失效

配置“数据转换”选项卡

第 10 章   审计日志记录

概述

Identity Manager 审计哪些内容？

通过工作流创建审计事件

com.waveset.session.WorkflowServices 应用程序

修改工作流以记录标准审计事件

示例

修改工作流以记录计时审计事件

示例

计时审计事件存储哪些信息？

审计配置

filterConfiguration

帐户管理

Identity System 之外的更改

遵循性管理

配置管理

事件管理

登录/注销

密码管理

资源管理

角色管理

安全管理

服务提供者 Edition

任务管理

extendedTypes

extendedActions

extendedResults

publishers

数据库模式

waveset.log

waveset.logattr

审计日志截断

审计日志配置

调整列长度限制

从审计日志中删除记录

防止审计日志篡改

配置防篡改日志记录

使用自定义审计发布器

启用自定义审计发布器

控制台、文件、JDBC 和执行脚本的发布器类型

JMS 发布器类型

为什么使用 JMS？

点对点或者发布和订阅？

配置 JMS 发布器类型

JMX 发布器类型

什么是 JMX？

Identity Manager 的 JMX 发布器实现

配置 JMX 发布器类型

使用 JMX 客户机查看审计事件

在 MBean 中查询其他信息

开发自定义审计发布器

生命周期

配置

开发格式化程序

注册发布器/格式化程序

第 11 章   PasswordSync

什么是 PasswordSync？

安装之前

安装 Microsoft .NET 1.1

将 PasswordSync 配置为使用 SSL

卸载 PasswordSync 的先前版本

在 Windows 上安装 PasswordSync

配置 PasswordSync

在 Windows 上调试 PasswordSync

错误日志

从 Windows 中卸载 PasswordSync

在应用服务器上部署 PasswordSync

添加和配置 JMS 侦听器适配器

实现同步用户密码工作流

设置通知

使用 Sun JMS Server 配置 PasswordSync

概述

示例方案

创建和存储受管理对象

在 LDAP 目录中存储受管理对象

在文件中存储受管理对象

为该方案配置 JMS 侦听器适配器

配置活动同步

测试配置

有关 PasswordSync 的常见问题 PasswordSync

在不使用 Java Messaging Service 的情况下能否实现 PasswordSync？

PasswordSync 是否可以与用于强制执行自定义密码策略的其他 Windows
密码过滤器一起使用？

是否可以将 PasswordSync Servlet 安装在 Identity Manager 以外的其他应用服务器上？

PasswordSync 服务是否将密码以明文发送到 lh 服务器？

密码更改有时是否会导致 com.waveset.exception.ItemNotLocked？

第 12 章   安全

安全功能

限制并发登录会话

密码管理

传递验证

关于登录应用程序

登录约束规则

编辑登录应用程序

设置 Identity Manager 会话限制

禁用对应用程序的访问

编辑登录模块组

编辑登录模块

登录模块处理逻辑

配置公共资源的验证

配置 X509 证书验证

必备条件

在 Identity Manager 中配置 X509 证书验证

创建和导入登录关联规则

测试 SSL 连接

诊断问题

加密的使用和管理

受加密保护的数据

服务器加密密钥的问题及答案

服务器加密密钥来自哪里？

在哪里维护服务器加密密钥？

服务器如何知道使用哪个密钥对已加密的数据进行解密和重新加密？

如何更新服务器加密密钥？

如果更改“当前”服务器密钥，则会对现有加密数据造成什么样的影响？

如果导入的加密数据没有可用的加密密钥，此时会出现什么情况？

怎样保护服务器密钥？

我可以导出服务器密钥以安全地存储在外部吗？

将对服务器和网关之间的哪些数据进行加密？

有关网关密钥的问题及答案

加密或解密数据的网关密钥来自哪里？

如何将网关密钥分发到网关？

我可以更新网关密钥（用于加密或解密服务器到网关有效负载）吗？

在服务器、网关的什么地方存储网关密钥？

怎样保护网关密钥？

我可以导出网关密钥以安全地存储在外部吗？

如何销毁服务器和网关密钥？

管理服务器加密

使用验证类型保护对象

安全实践

安装时

使用时

第 13 章   身份审计：基本概念

关于身份审计

身份审计的目标

了解身份审计

基于策略的遵循性

连续遵循性

周期性遵循性

基于策略的遵循性的逻辑任务流

周期性访问查看

使用管理员界面中的身份审计

界面的“遵循性”部分

管理策略

管理访问扫描

访问查看

身份审计任务界面参考

电子邮件模板

启用审计日志记录

关于审计策略

使用审计策略规则创建策略

使用修正工作流解决策略违规问题

指定修正者

审计策略方案示例

第 14 章   审计：审计策略

使用审计策略

审计策略规则

创建审计策略

打开审计策略向导

创建审计策略：概述

准备工作

确定所需规则

（可选）将任务划分规则导入 Identity Manager 中

（可选）将工作流导入 Identity Manager

命名和描述审计策略

选择规则类型

选择现有规则

使用规则向导创建新规则

添加附加规则

选择修正工作流

为修正选择修正者和超时时间

选择可访问此策略的组织

编辑审计策略

编辑策略页

编辑审计策略描述

编辑选项

从策略中删除规则

向策略中添加规则

更改策略使用的规则

修正者区域

删除或分配修正者

调整提升超时时间

修正工作流和组织区域

更改修正工作流

选择修正用户表单规则

分配或删除组织可视性

示例策略

IDM 角色比较策略

IDM 帐户累积策略

删除审计策略

审计策略疑难解答

调试规则

分配审计策略

解除审计者权能限制

第 15 章   审计：监视遵循性

审计策略扫描和报告

扫描用户和组织

使用审计者报告

创建审计者报告

配置审计属性报告

遵循性违规修正和缓解

关于修正

修正者提升

修正工作流进程

修正响应

修正电子邮件模板

使用修正页

查看策略违规

查看暂挂请求

查看已完成的请求

更新表格

排列策略违规的优先级

缓解策略违规

在“修正”页

修正策略违规

转发修正请求

从修正工作项目中编辑用户

周期性访问查看和证明

关于周期性访问查看

访问查看扫描

证明

计划进行周期性访问查看

调节扫描任务

创建访问扫描

删除访问扫描

管理访问查看

启动访问查看

调度访问查看任务

管理访问查看进度

修改扫描属性

取消访问查看

删除访问查看

管理证明责任

访问查看通知

查看暂挂请求

对权利文件记录执行操作

闭环修正

转发证明工作项目

对访问查看操作进行数字签名

访问查看报告

访问查看修正

关于访问查看修正

修正者提升

修正工作流进程

修正响应

使用“修正”页

不支持的访问查看修正操作

第 16 章   数据导出器

什么是数据导出器？

计划实现数据导出器

配置数据导出器

定义读取连接和写入连接

定义仓库配置信息

配置仓库模型

配置仓库任务

修改配置对象

测试数据导出器

配置取证查询

创建查询

保存取证查询

加载查询

维护数据导出器

监视数据导出器

监视日志记录

审计日志

系统日志

第 17 章   服务提供者管理

服务提供者功能概述

增强的最终用户页面

密码和帐户 ID 策略

Identity Manager 与服务提供者同步

Access Manager 集成

初始配置

编辑主配置

目录配置

用户表单和策略

事务数据库

跟踪的事件配置

同步帐户索引

标注配置

编辑用户搜索配置

事务管理

设置默认事务执行选项

设置事务持久性存储

设置高级事务处理设置

监视事务

委托管理

通过组织授权委托

通过管理员角色分配委托

启用服务提供者管理员角色委托

配置服务提供者用户管理员角色

委托服务提供者用户管理员角色

管理服务提供者用户

用户组织

创建用户和帐户

搜索服务提供者用户

高级搜索

搜索结果

链接帐户

删除、取消分配帐户或解除帐户的链接

设置搜索选项

最终用户界面

样例

注册

“主页”屏幕和配置文件屏幕

同步

配置同步

监视同步

启动和停止同步

迁移用户

配置服务提供者审计事件

附录 A   lh 参考消息

用法

用法说明

类

命令

示例

syslog 命令

用法

选项

附录 B   审计日志数据库模式

Oracle

DB2

MySQL

SQL Server

审计日志数据库映射

附录 C   用户界面快速参考
附录 D   权能定义

基于任务的权能定义

功能性权能定义

索引

版权      索引      下一页

---

文件号码：820-5435。 版权所有 2008 Sun Microsystems, Inc. 保留所有权利。