上一頁      目錄      索引      下一頁
Sun[TM] Identity Manager 8.0 管理

第 14 章
稽核：稽核策略

本章說明如何使用「稽核策略精靈」，以建立、編輯、刪除及指定「稽核策略」。

在本章中，將可瞭解以下概念與作業：

使用稽核策略
建立稽核策略
編輯稽核策略
刪除稽核策略
對稽核策略進行疑難排解
指定稽核策略

---

使用稽核策略

若要建立稽核策略，請使用 Identity Manager 的稽核策略精靈。定義稽核策略後，即可對策略執行各項動作，例如修改或刪除策略。

稽核策略規則

稽核策略規則可定義特定的違規。策略規則可包含以 XPRESS、XML 物件或 JavaScript 語言所撰寫的函數。

您可使用稽核策略精靈建立簡單的規則，或使用 Identity Manager IDE 或 XML 編輯器建立更強大的規則。

規則必須為子類型 SUBTYPE_AUDIT_POLICY_RULE。稽核策略精靈所產生的規則會自動指定為此子類型。
規則必須屬於 authType AuditPolicyRule。稽核策略精靈所產生的規則會自動指定為此 authType 類型。

使用稽核策略精靈建立的規則會傳回 true 或 false 值。傳回 true 值的策略規則會導致策略違規。但使用 Identity Manager IDE 時，卻可建立在稽核掃描或存取檢閱期間，會略過使用者的規則。傳回 ignore 值的稽核策略規則，會停止該使用者的規則處理，並跳至下一位目標使用者。

如需有關建立稽核策略規則的資訊，請參閱「Identity Manager Deployment Tools」 一書中的「使用規則」。

---

建立稽核策略

請使用稽核策略精靈，建立稽核策略。

開啟稽核策略精靈

稽核策略精靈會引導您完成建立稽核策略的程序。

若要存取稽核策略精靈，請執行以下步驟︰

登入管理員介面 (更多... )。
按一下 [規範遵循] 標籤。

[管理策略] 子標籤或功能表會隨即開啟。

若要建立新的稽核策略，請按一下 [新增]。

建立稽核策略：簡介

使用此精靈可執行以下作業以建立稽核策略：

選取或建立要用以定義策略限制的規則
指定核准人並建立上報限制
指定修正工作流程

完成每個精靈螢幕中顯示的工作後，按 [下一步] 移至下一個步驟。

開始之前

請先謹慎規劃，再建立稽核策略！ 開始之前，請先確認是否已完成下列作業：

找出您在稽核策略精靈中建立策略時會使用的規則。所選擇的規則由您所建立的策略類型，以及您要定義的特定限制決定。請參閱下一節的找出所需的規則，以取得更多資訊。
匯入要在新的策略中包含的所有修正工作流程或規則。請參閱 (選擇性) 將工作流程匯入 Identity Manager (下文)，以取得更多資訊。
請確定您具有建立稽核策略所需的權能。請參閱瞭解與管理權能以瞭解必要權能。

找出所需的規則

您在策略中指定的限制將會實作在您所建立或匯入的規則集中。使用稽核策略精靈建立規則時，請執行下列步驟：

找出正在使用的特定資源。
從資源的有效屬性清單中選取帳號屬性。
選取要強加在屬性上的條件。
輸入用於比較的值。

如需不使用「稽核策略精靈」建立稽核策略規則的資訊，請參閱「Identity Manager Deployment Tools」一書。

(選擇性) 將權責區分規則匯入 Identity Manager

稽核策略精靈無法建立權責區分規則。必須在 Identity Manager 外部建構這些規則，並使用 [配置] 標籤中的 [匯入交換檔案] 選項匯入規則。

(選擇性) 將工作流程匯入 Identity Manager

若要使用 Identity Manager 目前並未提供的修正工作流程，請匯入外部工作流程。使用 XML 編輯器或 Identity Manager IDE 可以建立自訂的工作流程 (更多...)。

若要匯入外部工作流程，請執行以下步驟：

設定 authType=AuditorAdminTask 並增加 subtype=SUBTYPE_REMEDIATION_WORKFLOW。您可以選擇使用 Identity Manager IDE 或 XML 編輯器，設定這些配置物件。
使用 [匯入交換檔案] 選項匯入工作流程。
登入管理員介面 (更多... )。
按一下 [配置] 標籤，然後再按一下 [匯入交換檔案] 子標籤或功能表。

[匯入交換檔案] 頁面會隨即開啟。

瀏覽至要上傳的工作流程檔案，然後按一下 [匯入]。

成功匯入工作流程後，它便會顯示在稽核策略精靈 (更多... ) 的 [修正工作流程] 選項清單中。

命名與說明稽核策略

在稽核策略精靈中輸入新策略的名稱及簡短說明，如圖 14-1 所示。

圖14-1 稽核策略精靈：輸入名稱與描述螢幕

備註	稽核策略名稱不得包含以下字元：' (所有格符號)、 . (小數點號)、| (管線符號)、[ (左括號)、] (右括號)、, (逗號)、 : (冒號)、$ (美元符號)、" (雙引號)、\ (反斜線) 或 = (等號)。 也應避免下列字元： _ (底線)、% (百分比符號)、^ (指數符號) 和 * (星號)。

若希望在執行掃描時僅存取所選取的資源，請選取 [限制目標資源] 選項。

若要在修正違規之後立即重新掃描使用者，請選取 [允許違規重新掃描] 選項。

備註	若稽核策略不限制資源，則掃描期間將會存取使用者具有帳號的所有資源。若規則僅使用某些資源，則將策略限定為這些資源會更有效率。

按 [下一步] 繼續至下一頁。

選取規則類型

使用此頁面可開始定義或包含策略中規則的程序 (建立策略的工作主要就是定義與建立規則)。

如圖 14-2 所示，您可以選擇使用 Identity Manager 規則精靈建立自己的規則，或結合使用現有規則。規則精靈僅允許在一項規則中使用一個資源。匯入的規則可依需要參照多個資源。

依預設會選取 [規則精靈] 選項。

圖14-2 稽核策略精靈︰選取規則類型螢幕

按一下 [現有的規則]，再按 [下一步] 選取使用 Identity Manager IDE 建立的規則 (更多...)。執行下節「選取現有的規則」步驟。

否則，請按一下 [規則精靈]，再按 [下一步]。執行下節中的步驟。

選取現有的規則

若要在新策略中包含現有的規則，請選取 [選取規則類型螢幕] 中的 [現有的規則] (圖 14-2)，再按 [下一步]。然後，從 [選取現有的規則] 下拉式功能表中選取現有的稽核策略規則。

備註	若看不到之前匯入 Identity Manager 的規則名稱，請確認您已將建立具有稽核策略規則的策略中所述的額外屬性增加至規則中。

按 [下一步]。

跳至增加額外規則一節。

使用規則精靈建立新規則

若選擇使用稽核策略精靈中的 [規則精靈] 選項建立規則，請在以下各節說明的頁面中繼續輸入資訊。

命名與說明新規則

選擇性地為新規則命名並加以說明。使用此頁面可輸入描述性文字，每次當 Identity Manager 顯示該規則時，描述性文字都會出現在規則名稱旁邊。請輸入簡潔清楚且能夠描述規則的說明。這段說明會顯示在 Identity Manager 內的 [檢閱策略違規] 頁面中。

圖14-3 稽核策略精靈︰輸入規則說明螢幕

例如，若建立的規則可識別同時具有 Oracle ERP responsibilityKey 屬性值 Payable User 與 Receivable User 屬性值的使用者，則可以在 [描述] 欄位中輸入以下文字：找出同時具有 Payable User 和 Receivable User 責任的使用者。 

使用 [註釋] 欄位可提供有關規則的額外資訊。

選取規則參照的資源

使用此頁面可選取規則將參照的資源。每個規則變數都必須對應到其資源的屬性。您具有檢視存取權限的所有資源都會顯示在此選項清單中。在此範例中，已選取 Oracle ERP。

圖14-4 稽核策略精靈︰選取資源螢幕

備註	支援每個可用資源介面的大多數 (但不是全部) 的屬性。如需有關可用之特定屬性的資訊，請參閱「Identity Manager Resources Reference」。

按 [下一步] 移至下一頁。

建立規則表示式

使用此螢幕可為您的新規則輸入規則表示式。此範例所建立的規則不允許具有 Oracle ERP responsibilityKey 屬性值 Payable User 的使用者同時具有 Receivable User 屬性值。

從可用屬性清單中選取使用者屬性。此屬性會直接對應到規則變數。
從清單選取邏輯條件。有效的條件包括 = (等於)、!= (不等於)、< (小於)、<= (小於或等於)、> (大於)、>= (大於或等於)、為 true、為空、不為空、為空、包含。針對此範例的目的，您可以從可能的屬性條件清單中選取包含。
輸入表示式的值。例如，若輸入 Payable user，則是在指定具有 responsibilityKeys 屬性值 Payable user 的 Oracle ERP 使用者。
(選擇性) 按一下 [AND] 或 [OR] 運算子以增加另一行並建立其他表示式。

圖14-5 稽核策略精靈︰選取規則表示式螢幕

此規則會傳回布林值。若兩個陳述式都為 true，則策略規則會傳回 TRUE 值，進而引發策略違規。

備註	Identity Manager 不支援規則巢式控制。此外，使用稽核策略精靈建立的策略，如果在規則之間有不同的布林值運算子，會產生無法預期的結果，因為未指定評估順序。 如果是複雜的規則表示式，請使用 XML 編輯器建立規則，勿用稽核策略精靈。使用 XML 編輯器可讓您在必要時只讓各規則間使用一個布林值運算子。

以下程式碼範例顯示了您已在此螢幕中建立之規則的 XML：

編碼樣例 14-1 新建立之規則的 XML 語法範例

<Description>Payable User/Receivable User</Description>   <RuleArgument name='resource' value='Oracle ERP'>     <Comments>Resource specified when audit policy was created.</Comments>     <String>Oracle ERP</String>   </RuleArgument>     <and>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Receivable User</s>       </contains>       <contains>         <ref>accounts[Oracle ERP].responsibilityKeys</ref>         <s>Payables User</s>       </contains>     </and>     <MemberObjectGroups>       <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>     </MemberObjectGroups> </Rule>

若要從規則中移除表示式，請選取屬性條件，然後按一下 [移除]。

按 [下一步] 以繼續執行「稽核策略精靈」。您會有機會增加更多的規則，可以利用增加現有的規則或再度使用精靈皆可。

增加額外規則

您可匯入現有的規則 (更多... ) 或使用精靈 (更多... ) 以建立其他規則。

請視需要按一下 [AND] 或 [OR] 以繼續增加規則。若要移除某規則，請選取該規則後按一下 [移除]。

只有在所有規則的布林表示式均計算為 true 時，才會發生策略違規。使用 AND/OR 運算子分組規則後，即使所有規則均未計算為 true，策略也可能會計算為 true。Identity Manager 僅會針對計算為 true 的規則建立違規 (僅當策略表示式評估為 true 時)。稽核策略精靈無法明確控制布林表示式巢狀套疊，因此最好不要建立層級太深的表示式。

備註	Identity Manager 不支援規則巢式控制。此外，使用稽核策略精靈建立具有布林表示式巢式的策略，會產生無法預期的結果。 如需複雜的規則表示式，請使用 XML 編輯器建立參照需要使用的所有規則之獨立 XPRESS 規則。

選取修正工作流程

使用此螢幕可選取要與此策略相關聯的「修正工作流程」。此處所指定的工作流程會決定在偵測到稽核策略違規時，要在 Identity Manager 內採取的行動。

備註	針對每個失敗的稽核策略，各會啟動一個工作流程。針對每項規範遵循違規 (由特定策略的策略掃描所建立)，每個工作流程都會包含一個或多個工作項目。

圖14-6 稽核策略精靈︰選取修正工作流程螢幕

備註	如需有關匯入您使用 XML 編輯器或 Identity Manager Integrated Development Environment (IDE) 所建立之工作流程的資訊，請參閱 (選擇性) 將工作流程匯入 Identity Manager。

使用 [修正使用者表單規則] 下拉式功能表選取一項規則，以計算在透過修正作業編輯使用者時應套用的使用者表單。依預設，編輯使用者以回應修正工作項目的修正者，將使用指定給該修正者的使用者表單。若稽核策略指定了修正使用者表單，則會改用此表單。如此可在稽核策略指出特定的問題時，使用與之對應的專用表單。

若要指定與此修正工作流程相關聯的修正者，請選取 [是否指定修正者？] 核取方塊。若選取此選項，則按 [下一步] 便會顯示 [指定修正者] 頁面。若不選取此選項，則精靈會接著顯示 [稽核策略精靈指定組織] 畫面。

針對修正選取修正者及逾時

若指定修正者，則當偵測到針對此策略的違規時，指定給此稽核策略的修正者會收到通知。此外，預設的工作流程也會為其指定修正工作項目。任何 Identity Manager 使用者皆可為修正者。

您可以選擇指定至少一個層級 1 修正者或指定的使用者。偵測到策略違規時，修正工作流程首先會使用電子郵件連絡層級 1 修正者。若已達到指定的上報逾時期間但層級 1 修正者尚未回應，則 Identity Manager 接著會連絡您在此處指定的層級 2 修正者。只有在層級 1 和層級 2 修正者於上報期間結束之前均無回應時，Identity Manager 才會連絡層級 3 修正者。

備註	若為所選的最高層級修正者指定了上報逾時時間值，則在上報逾時後，即會從清單中移除工作項目。上報逾時時間的預設值為 0。在此情況下，工作項目將不會過期，而會持續保留在修正者清單中。

[指定修正者] 是非必要選項。若選取此選項，請在指定設定後按 [下一步]，以繼續移至下一個螢幕。

若要將使用者增加至可用的修正者清單，請輸入使用者 ID，然後按一下 [增加]。或者，按一下 [...] (更多)，以搜尋使用者 ID。在 [開頭為] 欄位中輸入一個或多個字元，然後按一下 [尋找]。從搜尋清單選取使用者後，按一下 [增加] 即可將該使用者增加至修正者清單。按一下 [解除] 以關閉搜尋區域。

若要從修正者清單移除使用者 ID，請從清單中進行選取，然後按一下 [移除]。

圖14-7 稽核策略精靈︰選取層級 1 修正者區域

選取可存取此策略的組織

使用圖 14-8 所示螢幕，可選取可以檢視及編輯此策略的組織。

圖14-8 稽核策略精靈︰指定組織可視性螢幕

選取組織後，按一下 [完成] 即可建立稽核策略並回到 [管理策略] 頁面。此時新建立的策略會顯示於此清單中。

---

編輯稽核策略

稽核策略的常見編輯工作包括：

增加或刪除規則
變更目標資源
調整具有此策略存取權限的組織清單
變更與各個修正層級相關聯的上報逾時時間
變更與此策略相關聯的修正工作流程

編輯策略頁面

在 [稽核策略] 名稱欄中，按一下策略名稱即可開啟 [編輯稽核策略] 頁面。此頁面將稽核策略資訊歸類分組如下：

識別與規則區域
修正者與上報逾時時間區域
工作流程與組織區域

圖14-9 編輯稽核策略頁面︰識別與規則區域

使用此頁面區域可以：

編輯策略描述
增加或刪除規則

備註	您無法使用此產品直接編輯現有的規則。請使用 Identity Manager IDE 或 XML 編輯器編輯規則，然後將規則匯入 Identity Manager。然後可以移除舊版本，並加入新修改的版本。

編輯稽核策略描述

選取 [描述] 欄位中的文字並輸入新文字，以編輯稽核策略描述。

編輯選項

選擇性選取或取消選取 [限制目標資源] 或 [允許違規重新掃描] 選項。

從策略中刪除規則

若要從策略刪除規則，請按一下規則名稱前面的 [選取] 按鈕，然後按一下 [移除]。

增加規則到策略

按一下 [增加] 即可附加新的欄位，以供您用以選取要增加的規則。

變更策略使用的規則

在 [規則名稱] 欄中，從選項清單中選取其他規則。

修正者區域

圖 14-10 中顯示 [修正] 區域的一部分，您可於此處指定層級 1、層級 2、層級 3 的策略修正者。

圖14-10 編輯稽核策略頁面：指定修正者

使用此頁面區域可以：

為策略移除或指定修正者
調整上報逾時時間

移除或指定修正者

輸入使用者 ID 以針對一個或多個修正層級選取修正者，然後按一下 [增加]。若要搜尋使用者 ID，請按一下 [...] (更多)。您必須至少選取一個修正者。

若要移除修正者，請選取清單中的使用者 ID，然後按一下 [移除]。

調整上報逾時時間

選取逾時值然後輸入新值。依預設將不會設定逾時值。

備註	若為所選的最高層級修正者指定了上報逾時時間值，則在上報逾時後，即會從清單中移除工作項目。

修正工作流程與組織區域

圖 14-11 顯示了用於為稽核策略指定修正工作流程和組織的區域。

圖14-11 編輯稽核策略頁面：修正工作流程與組織

使用此頁面區域可以：

變更在發生策略違規時啟動的修正工作流程
選取修正使用者表單規則
調整具有此策略存取權限的組織

變更修正工作流程

若要變更指定給策略的工作流程，可以從選項清單選取替代的工作流程。依預設，不會為稽核策略指定任何工作流程。

備註	若沒有為稽核策略指定任何工作流程，則不會將違規指定給任何修正者。

從清單中選取修正工作流程，然後按一下 [儲存]。

選取修正使用者表單規則

選擇性地選取在透過修正作業編輯使用者時，計算所套用之使用者表單的規則。

指定或移除組織的可視性

調整可使用此稽核策略的組織，然後按一下 [儲存]。

策略範例

Identity Manager 提供下列可從 [稽核策略] 清單中存取的策略範例：

IDM 角色比較策略
IDM 帳號累積策略

IDM 角色比較策略

此策略範例可讓您對使用者目前的存取權與 Identity Manager 角色所指定的存取權進行比較。此策略可確保已為使用者設定由角色所指定的所有資源屬性。

此策略在下列情況下將失敗：

使用者缺少角色所指定的任一資源屬性
使用者的資源屬性與角色所指定的屬性不同

IDM 帳號累積策略

此策略範例會驗證該使用者所擁有的所有帳號，是否至少由一個同樣由該使用者所擁有的角色所參照。

若指定給該使用者的角色並未明確參照某些資源，但此使用者此類資源擁有帳號，則此策略會失敗。

---

刪除稽核策略

從 Identity Manager 刪除稽核策略後，所有參照該策略的違規也將一併刪除。

按一下 [管理策略] 檢視策略後，可從介面的 [規範遵循] 區域刪除策略。若要刪除稽核策略，請在策略檢視中選取策略名稱，然後按一下 [刪除]。

---

對稽核策略進行疑難排解

對策略規則進行除錯通常是解決稽核策略問題的最佳辦法。

對規則進行除錯

若要對規則進行除錯，請將下列追蹤元素增加到規則程式碼中。

<block trace='true'>
<and>
<contains>
<ref>accounts[AD].firstname</ref>
<s>Sam</s>
</contains>
<contains>
<ref>accounts[AD].lastname</ref>
<s>Smith</s>
</contains>
</and>
</block>

問題

在 Identity Manager 介面中看不到我的工作流程。

解決方法

請確認：

您已將 subtype='SUBTYPE_REMEDIATION_WORKFLOW' 屬性增加至工作流程中。若沒有此子類型，便無法在 Identity Manager 管理員介面中看到工作流程。
您具有 authType AuditorAdminTask 的權能。
您所控制的組織就是工作流程所在的組織。

問題

我已匯入的規則未顯示在稽核策略精靈中。

解決方法

請確認：

每個規則皆屬於 subtype=SUBTYPE_AUDIT_POLICY_RULE 或 subtype=SUBTYPE_AUDIT_POLICY_SOD_RULE。
您具有 authType AuditPolicyRule 的權能。
您所控制的組織就是工作流程所在的組織。

---

指定稽核策略

若要將稽核策略指定給組織，使用者必須至少要具有「指定組織稽核策略」權能。若要將稽核策略指定給使用者，使用者必須具有「指定使用者稽核策略」權能。具有「指定稽核策略」權能的使用者同時具有此兩項權能。

若要指定組織層級的策略，請在 [帳號] 標籤中選取 [組織]，然後從 [指定的稽核策略] 清單中選取策略。

若要指定使用者層級的策略，請執行以下步驟：

按一下 [帳號] 區域中的使用者。
選取使用者表單中的 [規範遵循]。
選取 [指定的稽核策略] 清單中之策略。

備註	在對使用者的違規進行修正時，將一律重新計算直接指定給該使用者的稽核策略 (亦即透過使用者帳號或組織指定所指定的策略)。

解決稽核員權能限制

依預設，頂層物件 (物件群組) 中會包含執行稽核作業所需的權能。因此，只有控制頂層的管理員可以指定這些權能給其他管理員。

您可以將權能增加至其他組織，藉此解決此項限制。Identity Manager 提供兩個公用程式 (位於 sample/scripts 目錄) 以協助執行此作業。

若要增加所需權能，對 [頂層] 以外的組織執行稽核作業，請執行以下步驟：

執行以下指令列出所有權能 (AdminGroup) 及其相關組織 (物件群組)：

beanshell objectGroupUpdate.bsh -type AdminGroup -action list -csv

此指令會擷取輸出並匯出為逗號分隔值 (CSV) 檔案。

可視需要編輯此 CSV 檔案以調整權能的組織位置。
執行此指令以更新 Identity Manager。

beanshell objectGroupUpdate.bsh -data CSVFileName -action add -groups NewObjectGroup

上一頁      目錄      索引      下一頁

---

文件號碼：820-5436。  Copyright 2008 Sun Microsystems, Inc. 版權所有。