第 15 章稽核：監視規範遵循

本章重點在於如何進行稽核檢閱並實作實務，協助您遵循聯邦法規規範。

稽核策略掃描和報告

此小節提供了有關稽核策略掃描的資訊，以及執行與管理稽核掃描的程序。

掃描使用者與組織

掃描會對個別使用者或組織執行選定的稽核策略。您可能要掃描使用者或組織以查看是否發生了特定違規，或執行未指定給使用者或組織的策略。請從介面的 [帳號] 區域中啟動掃描。


備註	您也可以從 [伺服器作業] 標籤啟動或排程稽核策略掃描。

若要從 [帳號] 區域啟動對使用者帳號或組織的掃描，請執行以下步驟：

在管理員介面中，按一下主功能表的 [帳號]。

在 [帳號] 清單中，執行以下任一動作︰

選取一個或多個使用者，然後從 [使用者動作] 選項清單中選取 [掃描]。

選取一個或多個組織，然後從 [組織動作] 選項清單中選取 [掃描]。

在 [報告標題] 欄位中指定掃描的標題。這是必填欄位。您可以選擇性地在 [報告摘要] 欄位中指定掃描的說明。

選取一個或多個要執行的稽核策略。您必須至少指定一個策略。

選取 [策略模式]。這會決定選取的策略將如何與已經具有策略指定的使用者互動。指定可以直接來自使用者或來自使用者被指定到的組織。

選擇性選取 [不建立違規] 選項。當您啟用此選項時，將會計算稽核策略並報告違規，但不會建立或更新規範遵循違規，也不會執行修正工作流程。但是，由掃描而產生的作業會顯示應該建立的違規，這樣在測試稽核策略時，此選項會有所幫助。

核取 [是否執行修正工作流程？] 以執行稽核策略中指定的修正工作流程。如果稽核策略並未定義修正工作流程，此時便不會執行修正工作流程。

編輯 [違規限制] 值，以設定掃描在中斷前可發出之規範遵循違規的最大數目。此值是一種保護機制，可減少因執行在檢查時攻擊性過強的稽核策略所帶來的風險。空值表示不設定限制。

核取 [電子郵件報告] 來指定報告的收件者。您也可以讓 Identity Manager 附加包含 CSV (逗號分隔值) 格式的報告的檔案。

如果您想要置換預設的 PDF 選項，請啟用 [置換預設 PDF 選項] 選項。

按一下 [啟動] 開始掃描。

若要檢視稽核掃描的結果報告，請檢視 Auditor 報告。

使用 Auditor 報告

Identity Manager 提供了許多 Auditor 報告。下表說明了這些報告。

表 15-1 Auditor 報告說明
Auditor 報告類型	描述
存取檢閱範圍	顯示選取的存取檢閱所意指的各使用者間有何重疊或差異。因為大部分存取檢閱的使用者範圍都是透過查詢或某項成員身份作業進行指定，所以確切的使用者集會隨時間而有所不同。此報告可顯示兩個不同存取檢閱所指定的使用者之間有何重疊和 (或) 差異 (以便查看檢閱在作業中是否有效)；兩個不同存取檢閱所產生的軟體權利文件之間有何重疊和 (或) 差異 (以便查看範圍是否隨時間而變更)；或使用者與軟體權利文件之間有何重疊和 (或) 差異 (以便查看是否已為檢閱範圍內的所有使用者都產生了軟體權利文件)。
存取檢閱的詳細資訊	顯示所有使用者軟體權利文件記錄的目前狀態。可依使用者的組織、存取檢閱與存取檢閱實例、軟體權利文件記錄的狀態和驗證者來篩選此報告。
存取檢閱摘要	提供有關所有存取檢閱的摘要資訊。其概述了所列的每個存取檢閱掃描之已掃描使用者、已掃描策略和驗證作業的狀態。
存取掃描使用者範圍	比較選取的掃描，以判斷哪些使用者包含於掃描範圍內。其將顯示重疊 (包含於所有掃描中的使用者) 或差異 (並未包含於所有掃描中，但包含於多個掃描中的使用者)。嘗試組織多個存取掃描以涵蓋相同或不同使用者時 (視是否需要掃描而定)，此報告很有用。
稽核策略摘要	概述了所有稽核策略的關鍵元素，包括每個策略的規則、修正者和工作流程。
已稽核的屬性	顯示所有指示特定資源帳號屬性變更的稽核記錄。此報告發掘已儲存之所有可稽核屬性的稽核資料。此報告會找出以任何擴充屬性為基礎的資料，您可以從 WorkflowServices 或標記為可稽核的資源屬性來指定它們。如需有關配置此報告的資訊，請參閱配置已稽核的屬性報告。
稽核策略違規歷程記錄	在指定時間段內建立的每個策略之所有規範遵循違規的圖形化檢視。可依策略篩選此報告，並依天、週、月或季進行分組。
使用者存取	顯示指定使用者的稽核記錄與使用者屬性。
組織違規歷程記錄	在指定時間段內建立的每個資源之所有規範遵循違規的圖形化檢視。可依組織篩選，並依天、週、月或季進行分組。
資源違規歷程記錄	在指定時間範圍內建立的每個資源之所有規範遵循違規的圖形化檢視。
權責區分	顯示安排在衝突表中的責任分離違規。使用網路型介面，您可以按一下連結來存取額外資訊。您可依組織篩選此報告，並且可按天、週、月或季對其進行分組。
違規摘要	顯示目前的所有規範遵循違規。您可依修正者、資源、規則、使用者或策略篩選此報告。

建立 Auditor 報告

若要執行報告，您必須先建立報告範本。您可為報告指定各種條件，包括指定接收報告結果的電子郵件收件者。報告範本在建立並儲存後，將顯示在 [執行報告] 頁面中。


備註	RULE_EVAL_COUNT 值等於在策略掃描期間計算的規則數目。此值有時會包含在報告中。 Identity Manager 會如下計算 RULE_EVAL_COUNT 值：掃描的使用者數目 x (策略中的規則數目 + 1) 因為 Identity Manager 也會計算策略規則 (實際決定是否違反策略的規則)，所以計算中會包含 +1。策略規則會檢查稽核規則結果，並執行布林邏輯以找出策略結果。例如，若策略 A 有三個規則，而策略 B 有兩個規則，而且已掃描十位使用者，則 RULE_EVAL_COUNT 值等於 70，原因是 10 位使用者 x (3 + 1 + 2 + 1 個規則)

圖 15-2 顯示了包含已定義之 Auditor 報告清單的 [執行報告] 頁面範例。

在管理員介面中，按一下主功能表的 [報告]。

[執行報告] 頁面會隨即開啟。

選取 [稽核員報告] 為報告類型。

在報告的 [新增] 清單中，選取一個報告。

[定義報告] 頁面會隨即出現。報告對話方塊的欄位與版面配置會因各種報告類型而異。請參閱 Identity Manager 說明，以取得有關指定報告條件的資訊。

執行報告但不儲存 - 按一下 [執行] 即可開始執行報告。Identity Manager 不會儲存報告 (如果您已定義新報告) 或變更的報告條件 (如果您已編輯現有報告)。

儲存報告 - 按一下 [儲存] 以儲存報告。儲存報告後，您可以從 [執行報告] 頁面 (報告清單) 執行此報告。

從 [執行報告] 頁面執行報告後，您可以立即或稍後從 [檢視報告] 標籤中檢視輸出。

如需有關排定報告的資訊，請參閱排定報告。

配置已稽核的屬性報告

[已稽核的屬性報告] (請參閱表 15-1) 可報告 Identity Manager 使用者和帳號的屬性層級變更。不過，標準稽核記錄產生的稽核記錄資料，不足以支援完整的查詢表示式。

標準稽核記錄確實會將變更的屬性寫入稽核記錄的 acctAttrChanges 欄位中，但寫入已變更屬性的方式，僅能讓報告查詢根據變更的屬性名稱比對記錄。報告查詢無法正確比對屬性值。

您可以指定下列參數，將此報告配置為比對包含 lastname 屬性變更的記錄：


備註	由於 acctAttrChanges 欄位中儲存資料的方式，所以 Condition='contains' 為必要。此欄位不能有多個值。此值基本上就是資料結構，包含所有變更屬性的 before/after 值，並使用 attrname=value 格式的資料結構。因此，上述設定可讓報告查詢比對 lastname=xxx 的任何實例。

也可以只擷取具有特定屬性 (內含特定值) 的稽核記錄。若要執行此動作，請遵循更多... 之配置 [稽核] 標籤一節中的程序進行。請選取 [稽核整個工作流程] 核取方塊，並按一下 [增加屬性] 按鈕，選取您想要記錄的屬性以進行報告，然後按一下 [儲存]。

接著，請啟用作業範本配置 (若尚未啟用)。若要執行此動作，請遵循更多... 之啟用作業範本一節中的程序進行。請勿變更 [已選取的程序類型] 清單中之預設值，只要按一下 [儲存]。

工作流程現在可提供適合同時比對屬性名稱及其值的稽核記錄。雖然啟動此稽核層級會提供更多資訊，但是請注意這會使效能大幅下滑，且工作流程執行起來會較慢。

修正與緩解規範遵循違規

本小節說明了如何使用 Identity Manager 修正來保護您的重要資產。以下主題討論了 Identity Manager 修正程序的元素︰

關於修正

Identity Manager 偵測到未解決 (未緩解) 的稽核策略規範遵循違規時，會建立修正請求，此修正請求必須由修正者 (可以計算和回應稽核策略違規的指定使用者) 加以處理。

修正者上報

Identity Manager 可讓您定義三個層級的修正者上報。修正請求最初會傳送給層級 1 的修正者。如果層級 1 的修正者在逾時期限到期前沒有對修正請求採取任何行動，Identity Manager 會將違規上報至層級 2 的修正者，並開始新的逾時期限。如果第層級 2 的修正者在逾時期限到期前並未回應，則該請求會再次上報至層級 3 的修正者。

若要執行修正，您必須在企業中至少指定一位修正者。您可以選擇是否要為每個層級指定多位修正者，但是建議您最好這麼做。多位修正者將有助於確保工作流程不會延誤或停滯。

修正安全性存取

這些授權選項適用於 authType RemediationWorkItem 類型的工作項目。

修正工作項目所有者

修正工作項目所有者的直接或間接管理員

對修正工作項目所有者所屬組織進行控制的管理員

所有者是嘗試執行動作的使用者，或

所有者屬於由嘗試執行動作之使用者所控制的組織，或

所有者是嘗試執行動作之使用者的從屬

controlOrg - 有效值為 true 或 false。

subordinate - 有效值為 true 或 false。

lastLevel - 要包括在結果中的最後一個從屬層級；-1 表示所有層級。lastLevel 的整數值預設為 -1，表示直接與間接的從屬。

修正工作流程程序

Identity Manager 提供標準修正工作流程，以針對稽核策略掃描提供修正處理。

標準修正工作流程會產生修正請求 (檢閱類型的工作項目，其中包含有關規範遵循違規的資訊)，並向稽核策略中任命的每個層級 1 修正者傳送電子郵件通知。當修正者緩解違規時，工作流程會變更現有規範遵循違規物件的狀態，並為其指定過期時間。

規範遵循違規僅可透過使用者、策略名稱和規則名稱的組合進行識別。當稽核策略計算為 true 時，則將為每個使用者/策略/規則組合建立新的規範遵循違規 (如果目前該組合尚無違規)。如果該組合確實有違規，且該違規處於已緩解狀態，則工作流程程序不會採取任何動作。如果未緩解現有違規，則其重複計數將遞增。

修正回應

修正 - 修正者指出已採取行動來修復資源上的問題。


備註	修正後，直到執行下一次稽核掃描才會刪除違規。若稽核策略配置為允許重新掃描，則會在修正違規完成時立即重新掃描使用者。

緩解 - 修正者允許違規，並授予使用者在特定期間對此違規免責。


備註	當 Identity Manager 偵測到過期的免責時，就會將違規從緩解狀態恢復成擱置狀態。

轉寄 - 修正者將解決違規的責任重新指定給另一位人員。

修正範例

您的企業建立了一條規則，規定使用者不能同時負責「應付帳款」與「應收帳款」，而您收到有使用者違反這一規則的通知。

如果在公司雇用其他人擔任該職位之前，該使用者是負責這兩種角色的主管，那麼您可以緩解違規，並核發最多六個月的免責。

如果使用者違反規定，您可以要求您的 Oracle ERP 管理員來修正衝突，然後在該資源的問題解決後，緩解違規。此外，您可以將修正請求轉寄給 Oracle ERP 管理員。

修正電子郵件範本

Identity Manager 提供「策略違規通知」電子郵件範本 (啟用方法是選取 [配置] 標籤，然後選取 [電子郵件範本] 子標籤)。您可以將此範本配置為向修正者通知擱置違規。如需更多資訊，請參閱自訂電子郵件範本。

使用 [修正] 頁面

選取 [工作項目]，然後選取 [修正] 即可存取 [修正] 頁面。

檢視擱置的違規

排定策略違規的優先權

緩解一個或多個策略違規

修正一個或多個策略違規

轉寄一個或多個違規

從修正工作項目編輯使用者

檢視策略違規

採取行動之前，您可以先使用 [修正] 頁面檢視有關違規的詳細資訊。

根據您的權能或在 Identity Manager 權能階層中的位置，可能可以檢視其他修正者的違規，並對這些違規採取行動。

檢視擱置請求

檢視已完成的請求

更新表格

檢視擱置請求

依預設，指定給您的擱置請求會顯示在 [修正] 表格中。您可以使用 [列出修正對象] 選項來檢視其他修正者的擱置修正請求：

選取 [我的直接報告] 即可檢視組織中直接對您報告之使用者的擱置請求。

選取 [搜尋使用者]，以輸入或找出您要檢視其擱置請求的一個或多個使用者。輸入使用者 ID，再按一下 [套用] 即可檢視該使用者的擱置請求。或者，按一下 [...(更多)] 以搜尋使用者。找出使用者並選取該使用者後，請按一下 [解除] 以關閉 [搜尋] 區域。

修正者 - 所指定修正者的名稱。只有在您檢視其他修正者的修正請求時，才會顯示此欄。

使用者 - 提出請求的使用者。

稽核策略/請求 - 請求修正者執行的動作。

稽核規則/描述 - 請求的修正註釋。

違規狀態 - 違規的目前狀態。

嚴重性 - 指定給請求的嚴重性 ([無]、[低]、[中]、[高] 或 [嚴重])

優先權 - 指定給請求的優先權 ([無]、[低]、[中]、[高] 或 [緊急])

請求日期：發出修正請求的日期與時間。



備註	每個使用者均可選擇自訂表單，以顯示與該特定修正者相關的修正資料。若要指定自訂表單，請選取使用者表單上的 [規範遵循] 標籤。

檢視已完成的請求

若要檢視已完成的修正請求，請按一下 [我的工作項目] 標籤，然後按一下 [歷程記錄] 標籤。將顯示先前已修正之工作項目的清單。

產生的表格 (由 AuditLog 報告產生) 提供有關每個修正請求的以下資訊：

時間戳記 - 對請求進行修正時的日期與時間

主旨 - 處理請求之修正者的名稱

動作 - 修正者是否已緩解或已修正請求

類型 - ComplianceViolation 或 UserEntitlement

物件名稱 - 所違反的稽核策略之名稱

資源 - 提供修正者的帳號 ID (或可能顯示為 [不適用])

ID - 與策略違規相關的帳號 ID。

結果 - 一律顯示為 [成功]

[稽核事件詳細資訊] 頁面提供已完成請求的相關資訊，包括有關修正或緩解、事件參數 (如果適用) 與可稽核的屬性之資訊。

更新表格

若要更新 [修正] 表中提供的資訊，請按一下 [重新整理]。[修正] 頁面會使用新的修正請求更新表格。

排定策略違規的優先權

您可以為策略違規指定優先權與 (或) 嚴重性，以排定其優先權。從 [修正] 頁面為違規排定優先權。

從清單中選取一個或多個違規。

按一下 [排定優先權]。

[排定策略違規優先權] 頁面會隨即開啟。

選擇性為違規設定嚴重性。其選項包括 [無]、[低]、[中]、[高] 或 [嚴重]。

選擇性為違規設定優先權。其選項包括 [無]、[低]、[中]、[高] 或 [緊急]。

完成選取後，按一下 [確定]。Identity Manager 即可返回修正清單。



備註	只有 CV (規範遵循違規) 類型的修正可設定嚴重性與優先權值。

緩解策略違規

從 [修正] 頁面

若要從 [修正] 頁面緩解擱置策略違規，請執行以下步驟：

在表格中選取列以指定要緩解的請求。

啟用一個或多個個別的選項，以指定要緩解的請求。

啟用表格標頭中的選項，以緩解表格中列出的所有請求。



備註	Identity Manager 僅允許您輸入一組說明緩解動作的註釋。除非所有違規都有關聯，而且單一註釋便已足夠，否則您可能不會想要執行批次緩解。您只能緩解含有規範遵循違規的請求。無法緩解其他修正請求。

按一下 [緩解]。

[緩解策略違規] 頁面 (或 [緩解多項策略違規] 頁面) 會隨即出現：

圖 15-3 [緩解策略違規] 頁面
存取 [Mitigate Policy Violation] 頁面。

在 [說明] 欄位中輸入有關緩解的註釋。(這是必填欄位。)

您的註釋可為此動作提供稽核線索，因此請務必輸入完整、有用的資訊。例如，說明您緩解策略違規的原因、日期，以及選擇免責期限的原因。

提供免責的過期日期，方法是在 [過期日期] 欄位中直接鍵入日期 (格式為 YYYY-MM-DD)，或按一下日期 [日期] 按鈕圖示

按鈕，並從行事曆選取日期。



備註	若未提供日期，免責就會無限期有效。

按一下 [確定]，儲存您的變更並回到 [修正] 頁面。

修正策略違規

使用表格中的核取方塊來指定要修正的請求。

啟用表格中的一個或多個個別核取方塊，以指定要修正的請求。

啟用表格標頭中的核取方塊，以修正表格中列出的所有請求。

如果選取多個請求，請記住 Identity Manager 僅允許輸入一組註釋來說明修正動作。除非所有違規都有關聯，而且單一註釋便已足夠，否則您可能不會想要執行批次修正。

按一下 [修正]。

螢幕上將顯示 [修正策略違規] 頁面 (或 [修正多項策略違規] 頁面)。

在 [註釋] 欄位中輸入您有關修正的註釋。

按一下 [確定]，儲存您的變更並回到 [修正] 頁面。



備註	在對使用者的違規進行修正時，將一律重新計算直接指定給該使用者的稽核策略 (亦即透過使用者帳號或組織指定所指定的策略)。

轉寄修正請求

使用表格中的核取方塊來指定要轉寄的請求。

啟用表格標頭中的核取方塊，以轉寄表格中列出的所有請求。

啟用表格中的個別核取方塊，以轉寄一個或多個請求。

按一下 [轉寄]。

[選取並確認轉寄] 頁面會隨即出現。

圖 15-4 [選取並確認轉寄] 頁面
請求已轉寄給「管理員」，且表格已更新。

在 [轉寄給] 欄位中輸入修正者名稱，然後按一下 [確定]。或者，您也可以按一下 [...] (更多) 以搜尋修正者名稱。從搜尋清單中選取名稱，然後按一下 [設定] 即可在 [轉寄給] 欄位中輸入該名稱。按一下 [解除] 以關閉 [搜尋] 區域。

再次顯示 [修正] 頁面時，新修正者的名稱即會顯示在表格的 [修正者] 欄中。

從修正工作項目編輯使用者

從修正工作項目中，您可以 (需具有適當的使用者編輯權能) 編輯使用者以修正問題，如相關軟體權利文件歷程記錄所說明。

若要編輯使用者，請從 [檢閱修正請求] 頁面按一下 [編輯使用者]。[編輯使用者] 頁面會隨即出現，其中顯示：

適用於此工作項目並與使用者相關聯的軟體權利文件歷程記錄

使用者的屬性。此處所出現的選項，與 [帳號] 區域中所提供的 [編輯使用者] 表單上所顯示的選項相同。


備註	儲存使用者編輯項目後，將使得 [更新使用者] 工作流程開始執行。因為此工作流程可能需要經過核准，所以在儲存使用者帳號的變更之後，可能有一段時間這些變更無法生效。若稽核策略允許重新掃描，而 [更新使用者] 工作流程尚未完成，則後續的策略掃描可能會偵測到相同的違規。

定期存取檢閱與驗證

Identity Manager 提供執行存取檢閱的程序，存取檢閱可讓管理員或其他責任方檢閱和驗證使用者存取權限。此程序有助於識別與管理隨時間積累的使用者權限，還有助於維護對「沙賓法案 (SOX)」、「美國金融服務現代化法案 (GLBA)」與其他聯邦法規的規範遵循。

存取檢閱可在您需求時執行，或排程為定期進行 (例如每個行事曆季度執行一次)，從而讓您可以執行定期存取檢閱來維護使用者權限的正確層級。存取檢閱可選擇性包括稽核策略掃描。

關於定期存取檢閱

定期存取檢閱是定期執行的程序，用於驗證一組員工在指定的時間對相應資源是否具有相應的權限。

存取檢閱掃描 - 執行使用者軟體權利文件之規則型評估的掃描，可決定是否需要驗證。

驗證 - 透過核准或拒絕使用者軟體權利文件回應驗證請求的程序。

使用者軟體權利文件是一組特定資源上使用者帳號的詳細記錄。

存取檢閱掃描

存取掃描可定義要掃描的對象、掃描中所包括的資源、掃描期間要計算的所有選用性稽核策略，以及用於確定要手動驗證哪些軟體權利文件記錄和由誰執行驗證的規則。

存取檢閱工作流程程序

一般而言，Identity Manager 存取檢閱工作流程會執行下列作業：

建構使用者清單、取得每個使用者的帳號資訊，以及計算選用性稽核策略

建立使用者軟體權利文件記錄

確定是否需要驗證每個使用者軟體權利文件記錄

為每個驗證者指定工作項目

等待所有驗證者核准，或等待首次拒絕

如果在指定逾時期限內未收到對請求的任何回應，則上報至下一個驗證者

使用解決方案更新使用者軟體權利文件記錄

必要的管理員權能

若要執行定期存取檢閱並管理檢閱程序，則使用者必須具有「稽核員定期存取檢閱管理員」權能。具有 Auditor 存取掃描管理員權能的使用者可以建立並管理存取掃描。

若要指定這些權能，請編輯使用者帳號並修改安全性屬性。如需有關這些權能和其他權能的更多資訊，請參閱瞭解與管理權能。

驗證

驗證是由一個或多個指定驗證者執行的認證程序，可確認在特定日期使用者軟體權利文件是否存在。存取檢閱期間，驗證者會透過電子郵件通知接收存取檢閱驗證請求的通知。驗證者必須是 Identity Manager 使用者，但無需是 Identity Manager 管理員。

驗證工作流程

Identity Manager 使用在存取掃描識別到需要檢閱之軟體權利文件記錄時啟動的驗證工作流程。存取掃描會根據該存取掃描中所定義的規則做出此決定。

存取掃描計算的規則可確定是否需要手動驗證使用者軟體權利文件記錄，或是否可以自動核准或拒絕該記錄。如果需要手動驗證使用者軟體權利文件記錄，則存取掃描將使用第二個規則來確定誰是適當的驗證者。

每個要手動驗證的使用者軟體權利文件記錄都將指定給工作流程，每位驗證者負責一個工作項目。可使用 ScanNotification 工作流程將這些工作項目的通知傳送給驗證者，該工作流程會針對每個掃描、每個驗證者將項目隨附在一個通知中。除非已選取 ScanNotification 工作流程，否則通知將針對使用者軟體權利文件。這表示驗證者可針對每個掃描收到多份通知，並且其數目可能很大，這取決於掃描的使用者數目。

驗證安全性存取

這些授權選項適用於 authType AttestationWorkItem 類型的工作項目。

工作項目所有者

工作項目所有者的直接或間接管理員

控制工作項目所有者所屬組織的管理員

已透過認證檢查進行驗證的使用者

所有者是嘗試動作的使用者，或

所有者屬於嘗試動作之使用者所控制的組織，或

所有者是嘗試動作之使用者的從屬。

controlOrg - 有效值為 true 或 false

subordinate - 有效值為 true 或 false

lastLevel - 要包括在結果中的最後一個從屬層級；-1 表示所有層級

委託驗證


備註	若將驗證作業的安全性設為由組織進行控制，則還需要「稽核員驗證者」權能，才可以修改其他使用者的驗證。

依預設，存取掃描工作流程會優先處理使用者針對驗證工作項目與通知所建立的 [存取檢閱驗證作業] 與 [存取檢閱修正] 等類型的工作項目委派。存取掃描管理員可取消選取 [遵循委派] 選項來忽略委派設定。如果驗證者已將所有工作項目委託給其他使用者，但是沒有針對存取檢閱掃描設定 [遵循委派] 選項，則驗證者 (而非負責處理該委派的指定使用者) 將收到驗證請求通知和工作項目。

計劃定期存取檢閱

對於任何企業來說，存取檢閱可能都是費時費力的程序。Identity Manager 定期存取檢閱程序可自動執行存取檢閱程序的許多部分，從而有助於將涉及的成本與時間降至最低。然而，某些程序仍很耗費時間。例如，從許多位置中擷取成千上萬使用者之使用者帳號資料的程序就可能需要相當長的時間。手動驗證記錄的動作也將很耗費時間。合理的計劃可提昇程序效率，從而大大降低投入。

根據所涉及使用者和資源數量的不同，掃描時間可能會有很大差異。

使用多個 Identity Manager 伺服器進行並列處理可加快存取檢閱程序的速度。

自訂驗證工作流程與規則可讓您獲得更好的控制力，並可提高效率︰

使用驗證者上報規則可協助縮短對驗證請求的回應時間。

瞭解如何使用檢閱確定規則自動確定哪些軟體權利文件記錄需手動檢閱，以節省時間。

透過指定掃描層級通知工作流程來隨附掃描的驗證請求通知。

調校掃描作業

在掃描程序期間，有多個執行緒會存取使用者的檢視，而可能存取使用者具有帳號的資源。在完成存取檢閱後，會計算多個稽核策略與規則，這可能導致發生規範遵循違規。

為防止兩個執行緒同時更新同一個使用者檢視，該程序會針對此使用者名稱建立常駐記憶體鎖定。若無法在 5 秒 (預設值) 內建立此鎖定，即會在掃描作業中寫入錯誤，並且會略過使用者，藉以防止同一組使用者同時進行掃描處理。

您可以編輯數個「可調校參數」的值，這些參數可作為掃描作業的作業引數：

clearUserLocks (布林值) - 若為 true，則所有目前的使用者鎖定都會在掃描啟動前解除。

userLock (整數值) - 嘗試鎖定使用者時所等候的時間 (以毫秒為單位)。預設值為 5 秒。負數值會停用對該掃描的鎖定。

scanDelay (整數值) - 派送掃描執行緒之間所暫停的時間 (以毫秒為單位)。預設值為 0 (無延遲)。若您為此引數設定了值，掃描即會變慢，但系統對其他作業的回應能力將變強。

maxThreads (整數值) - 用於處理掃描之同步運作執行緒的數目。預設值為 5。若資源的回應速度非常慢，則增加此數值或許可上報掃描流量。

若要變更這些參數值，請編輯對應的 [作業定義] 表單。如需有關此作業的更多資訊，請參閱「Identity Manager Workflows, Forms, and Views」。

建立存取掃描

選取 [規範遵循]，然後選取 [管理存取掃描]。

按一下 [新增]，以顯示 [建立新的存取掃描] 頁面。

為存取掃描指定名稱。



備註	存取掃描名稱不能包含以下字元： ' (所有格符號)、. (點號)、\| (管線符號)、[ (左括號)、] (右括號)、, (逗號)、: (冒號)、$ (美元符號)、" (雙引號)、\ (反斜線) 或 = (等號)。也應避免下列字元： _ (底線)、% (百分比符號)、^ (指數符號) 和 * (星號)。

選擇性增加有助於識別掃描的描述。

選擇性啟用 [動態軟體權利文件] 選項。若啟用此選項，則會為驗證者提供以下額外選項：

可立即重新掃描擱置的驗證，以重新整理軟體權利文件資料並重新計算驗證需求。

可將擱置的驗證路由至另一位使用者以進行修正。在修正後會重新整理並重新計算軟體權利文件資料，以判斷是否需要進行此驗證。

從以下選項中選取 [使用者範圍類型]︰(這是必填欄位。)

根據屬性條件規則 - 選擇此選項即可根據所選 [使用者範圍類型] 掃描使用者。Identity Manager 提供下列預設規則：

全部管理員

我的所有報告

所有非管理員

我的直接報告

無管理員的使用者



備註	您可以使用 Identity Manager Integrated Development Environment (IDE) 增加使用者範圍設定規則。如需有關 IDE 的資訊，請參閱 Identity Manager IDE。

已指定給資源 - 選擇此選項可以掃描所有在一個或多個所選取資源上具有帳號的使用者。當您選擇此選項時，此頁面會顯示 [使用者範圍資源]，讓您指定資源。

根據特定角色 - 選擇此選項可掃描所有成員，這些成員至少擁有您指定的一個角色，或擁有您指定的所有角色。

組織成員 - 選擇此選項即可掃描一個或多個所選組織的所有成員。

給管理員的報告 - 選擇此選項即可掃描向所選管理員報告的所有使用者。管理員階層由使用者的 Lighthouse 帳號之 Identity Manager 屬性決定。

如果使用者範圍是組織或管理員，則 [是否為遞迴範圍] 選項可用。此選項允許透過受控制成員鏈遞迴選取使用者。

如果您還選擇在存取檢閱掃描期間掃描稽核策略以偵測違規，請將您選取的項目從 [可用稽核策略] 移至 [目前的稽核策略] 清單，以選取要套用至此掃描的稽核策略。

將稽核策略增加至存取掃描會導致對同一使用者集採用與執行稽核掃描相同的運作方式。但是，除此之外，稽核策略偵測到的所有違規還會儲存在使用者軟體權利文件記錄中。此資訊可使自動核准或拒絕更簡便，因為此規則可將使用者軟體權利文件記錄中違規的存在與否作為其邏輯的一部分。

如果已掃描前述步驟中的稽核策略，則可以使用 [策略模式] 選項，指定存取掃描如何確定要針對指定使用者所執行的稽核策略。可同時為使用者指定使用者層級和/或組織層級的策略。預設存取掃描運作方式為，僅當使用者尚未具有任何指定的策略時才套用為存取掃描指定的策略。

套用選取的策略並忽略其他指定的策略

僅在使用者尚未具有指定的策略時才套用已選取的策略

同時套用選取的策略和為使用者指定的策略

(選擇性) 指定[檢視程序所有者]。使用此選項可指定定義之存取檢閱作業的所有者。如果已指定檢閱程序所有者，則回應驗證請求時可能遇到衝突的使用者在核准或拒絕使用者軟體權利文件時可棄權，從而將驗證請求轉寄給檢閱程序所有者。按一下選取 (省略號) 方塊可搜尋使用者帳號並進行選取。

遵循委派 - 選取此選項即可為存取掃描啟用委派。如果已核取此選項，則存取掃描將僅遵循委派設定。依預設，啟用 [遵循委派]。

限制目標資源 - 選取此選項即可限制要掃描的目標資源。

此設定可直接影響存取掃描的效率。如果未限制目標資源，則每個使用者軟體權利文件記錄都將包含使用者連結之每個資源的帳號資訊。這表示在掃描期間，將查詢每個使用者的每個指定資源。透過使用此選項指定資源子集，您可以大大縮短 Identity Manager 建立使用者軟體權利文件記錄所需的處理時間。

執行違規修正 - 選取此選項即可在偵測到違規時，啟用稽核策略的修正工作流程。

選取此選項後，如果針對任何指定的稽核策略偵測到違規，都將導致執行相應的稽核策略修正工作流程。

此選項通常不應選取，除非情況較為複雜。

存取核准工作流程 - 選取預設的標準驗證作業工作流程，或選取自訂的工作流程 (如果適用)。

此工作流程用於將要檢閱的使用者軟體權利文件記錄顯示給適當的驗證者 (由驗證者規則確定)。預設的標準驗證工作流程將為每個驗證者建立一個工作項目。若存取掃描指定上報，則此工作流程會負責上報休止時間太久的工作項目。若未指定工作流程，則使用者驗證會無限期地保持在擱置狀態。



備註	「Identity Manager Deployment Tools」一書包含 Identity Auditor 規則、自訂它們的方式以及原因的詳細資訊。請參閱「Working with Rules」一章之「Customizing Default Rules and Rule Libraries」小節的「Auditor Rules」主題。

驗證者規則 - 選取預設驗證者規則，或選取自訂驗證者規則 (如果適用)。

將使用者軟體權利文件記錄作為輸入提供給驗證者規則，該規則將傳回驗證者名稱清單。如果選取 [遵循委派]，則存取掃描會遵循原始名稱清單中每個使用者配置的委派資訊，將名稱清單轉送給適當的使用者。如果 Identity Manager 使用者的委派導致路由循環，則會捨棄委派資訊，並將工作項目傳送至最初的驗證者。預設驗證者規則指出驗證者應是軟體權利文件記錄所表示之使用者的管理員 (idmManager)，或是配置程式帳號 (如果該使用者的 idmManager 為空)。如果驗證需涉及資源所有者與管理員，則必須使用自訂規則。如需有關自訂驗證者規則的資訊，請參閱「Identity Manager Deployment Tools」一書。

驗證者上報規則 - 使用此選項，可指定預設上報驗證者規則，或選取自訂規則 (如果適用)。您還可以指定規則的上報逾時時間值。預設的上報逾時時間值為 0 天。

此規則可指定已超過上報逾時期間之工作項目的上報鏈。預設上報驗證者規則會上報指定至驗證者的管理員 (idmManager) 或配置程式 (如果驗證者的 idmManager 值為空)。

您可以分鐘、小時或天指定上報逾時時間值。

「Identity Manager Deployment Tools」一書包含有關「驗證者上報規則」的額外資訊。

檢閱確定規則 - 選取以下任一規則，以指定掃描程序如何確定軟體權利文件記錄的處理方式：(這是必填欄位。)

拒絕已變更的使用者 - 如果某個使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同，且已核准上一個使用者軟體權利文件，則自動拒絕該記錄。否則，強制執行手動驗證，並核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。依預設，此規則只會比較使用者檢視的「帳號」部分。

檢閱已變更的使用者 - 如果任何使用者軟體權利文件記錄與同一存取掃描定義中的上一個使用者軟體權利文件不同，且已核准上一個使用者軟體權利文件，則對該記錄強制執行手動驗證。核准與先前已核准之使用者軟體權利文件相同的所有使用者軟體權利文件。依預設，此規則只會比較使用者檢視的「帳號」部分。

檢閱全部 - 對所有使用者軟體權利文件記錄強制執行手動驗證。



備註	拒絕變更的使用者和檢閱變更的使用者規則將使用者軟體權利文件與核准軟體權利文件記錄之相同存取掃描的上一個實例相比較。您可以透過複製和修改規則來變更該運作方式，將比較限定在任何選取的使用者檢視部分。請參閱「Identity Manager Deployment Tools」以取得有關自訂規則的資訊。

此規則可能傳回的值包括：

-1 - 不需要驗證

0 - 自動拒絕驗證

1 - 必須手動驗證

2 - 自動核准驗證

3 - 自動修正驗證 (自動修正)

「Identity Manager Deployment Tools」一書包含有關「檢閱決定規則」的額外資訊。

修正者規則 - 選取規則以用於決定在執行自動修正時，誰應修正特定使用者的軟體權利文件。該規則可檢查使用者目前的使用者軟體權利文件與違規，且必須傳回應執行修正作業之使用者的清單。如果未指定規則，則不會進行修正。此規則經常用於軟體權利文件發生規範遵循違規的情況。

「Identity Manager Deployment Tools」一書包含有關「修正者規則」的額外資訊。

修正使用者表單規則 - 選取規則以用於在編輯使用者時，選取要用來驗證修正者的適當表單。修正者可設定其自己的表單，而置換此表單。若掃描收集要與自訂表單相符的特定資料，請設定此表單規則。

「Identity Manager Deployment Tools」一書包含有關「檢閱決定規則」的額外資訊。

通知工作流程 - 選取以下任一選項即可指定每個工作項目的通知運作方式。

無 - 此為預設選項。此選項可讓驗證者收到針對其必須驗證之每個個別使用者軟體權利文件的電子郵件通知。

ScanNotification - 此選項可將所有驗證請求隨附在單一通知中。通知可指示為收件者指定了多少驗證請求。

如果存取掃描中指定了檢閱程序所有者，則當掃描開始和結束時，ScanNotification 工作流程還將向檢閱程序所有者傳送通知。請參閱步驟 9。

ScanNotification 工作流程使用以下電子郵件範本

存取掃描開始通知

存取掃描結束通知

批次驗證通知

您可以自訂 ScanNotification 工作流程。

違規限制 - 使用此選項，可指定掃描在中斷前可發出之規範遵循違規的最大數目。預設限制為 1000。欄位為空則表示無限制。

儘管在稽核掃描或存取掃描期間，策略違規數通常會比使用者數少很多，但設定此值可防止會導致違規數大量增加之不完善策略所帶來的不良影響。例如，考慮以下情況︰

如果存取掃描涉及 50,000 名使用者，並針對每個使用者產生兩到三個違規，則每個規範遵循違規的修正成本將對 Identity Manager 系統產生不良影響。

組織 - 選取可使用該存取掃描物件的組織。這是必填欄位。

刪除存取掃描

您可以刪除一個或多個存取掃描。若要刪除存取掃描，請從 [規範遵循] 標籤中選取 [管理存取掃描]，再選取掃描的名稱，然後按一下 [刪除]。

管理存取檢閱

定義存取掃描後，即可將其作為存取檢閱的一部分使用或進行排程。啟動存取檢閱後，將有多個選項可用於管理檢閱程序。如需相關資訊，請參閱以下各節：

啟動存取檢閱

若要從管理員介面啟動存取檢閱，請使用下列其中一種方法：

從 [規範遵循] > [存取檢閱] 頁面，按一下 [啟動檢閱]。

在 [伺服器作業] > [執行作業] 頁面中，選取 [存取檢閱] 作業。

在所顯示的 [啟動作業] 頁面中，指定存取檢閱的名稱。從 [可用的存取掃描] 清單中選取掃描，然後將其移至 [已選取] 清單。如果您選取多個掃描，則可以選擇以下任一啟動選項︰

立即 - 若選取此選項，則會在您按一下 [啟動] 按鈕後立即開始執行掃描。如果您在 [啟動作業] 中為多個掃描選取該選項，則掃描將並列執行。

需等待 - 此選項可讓您指定啟動掃描前要等待的時間，該時間與存取檢閱作業的啟動有關。



備註	您可以在存取檢閱階段作業期間啟動多個掃描。但是，由於每個掃描可能都涉及大量使用者，因此掃描程序可能需要好幾個小時才能完成。最佳實踐表明您應分別管理掃描。例如，您可以啟動一個掃描以使其立即執行，而交錯排定其他掃描。

當您啟動存取檢閱時，螢幕上將顯示工作流程程序圖以說明該程序的步驟。

排程存取檢閱作業


備註	您為存取檢閱指定的名稱很重要。某些報告可以對具有相同名稱之定期執行的存取檢閱進行比較。

您可從 [伺服器作業] 區域排定存取檢閱作業。例如，若要設定需定期執行的存取檢閱，請選取 [管理排程]，然後定義排程。您可以將作業排定為每月或每季發生一次。

若要定義排程，請在 [排程作業] 頁面中選取 [存取檢閱] 作業，然後在 [建立作業排程] 頁面中填入資訊。

管理存取檢閱進度


備註	依預設，Identity Manager 可將存取檢閱作業的結果保留一週。如果您選擇將某個檢閱排程為一週執行多次，請將 [結果選項] 設定為 [刪除]。如果未將 [結果選項] 設定為 [刪除]，則不會執行新檢閱，因為先前作業的結果仍然存在。

使用 [存取檢閱] 標籤即可監視存取檢閱的進度。透過 [規範遵循] 標籤存取該功能。

您可以透過 [存取檢閱] 標籤，檢閱所有使用中的和先前已處理的存取檢閱之摘要。提供了所列之每個存取檢閱的以下資訊︰

狀態 - 檢閱程序的目前狀態：正在啟動、正在終止、已終止、正在執行數個掃描、已排定數個掃描、正在等待驗證或已完成。

啟動日期 - 啟動存取檢閱作業的日期 (時間戳記)。

使用者總數 - 要掃描的使用者之總數。

軟體權利文件詳細資訊 - 表格中附加的一些欄，依狀態提供軟體權利文件總數。其中包括擱置、已核准、已拒絕、已終止與已修正的軟體權利文件之詳細資訊，以及軟體權利文件總數。

若要檢視有關檢閱的更詳細資訊，請選取該檢閱以開啟摘要報告。

按一下 [組織] 或 [驗證者] 表單標籤，以檢視依這些物件分類的掃描資訊。

您還可以執行存取檢閱摘要報告，以檢閱和下載報告中的此資訊。

修改掃描屬性

設定存取掃描後，您可以編輯掃描以指定新選項，例如指定在執行存取掃描時要掃描的目標資源，或要針對其掃描違規的稽核策略。

若要編輯掃描定義，請從 [存取掃描] 清單中選取該掃描，然後在 [編輯存取檢閱掃描] 頁面中修改屬性。

您必須按一下 [儲存] 才能儲存對掃描定義所做的所有變更。

取消存取檢閱


備註	變更存取掃描的範圍可能會變更最新取得之使用者軟體權利文件記錄中的資訊，因為此項變更會影響[檢閱確定規則] (如果此規則對使用者軟體權利文件與舊的使用者軟體權利文件記錄進行比較)。

在 [存取檢閱] 頁面中按一下 [終止]，即可停止進行中的所選檢閱。終止檢閱將導致執行以下動作︰

取消排定所有已排定的掃描

停止所有正在執行的掃描

刪除所有擱置的工作流程和工作項目

所有擱置驗證者都會標記為已取消

將使用者完成的所有驗證保留不變

刪除存取檢閱

在 [存取檢閱] 頁面中按一下 [刪除]，即可刪除所選檢閱。

如果存取檢閱作業的狀態為已終止或已完成，則您可以刪除該作業。您必須先終止進行中的存取檢閱作業，才能將其刪除。

刪除存取檢閱作業將刪除該檢閱產生的所有使用者軟體權利文件記錄。刪除動作將記錄在稽核記錄中。

若要刪除存取檢閱，請在 [存取檢閱] 頁面中按一下 [刪除]。

管理驗證責任

您可以透過 Identity Manager 管理員或使用者介面管理驗證請求。本小節提供有關回應驗證請求以及驗證中所涉及之責任的資訊。

存取檢閱通知

如果驗證請求需要驗證者的核准，則在掃描期間 Identity Manager 會向驗證者傳送通知。如果已委託驗證者責任，則請求會被傳送給受委託人。如果定義了多個驗證者，則每個驗證者都將收到一份電子郵件通知。


備註	取消及刪除存取檢閱將導致更新大量 Identity Manager 物件與作業，這可能需要數分鐘才能完成。您可以在 [伺服器作業] > [全部作業] 中檢視作業結果，以檢查作業進度。

請求將在 Identity Manager 介面中顯示為 [驗證] 工作項目。當指定的驗證者登入 Identity Manager 時，將顯示擱置的驗證工作項目。

檢視擱置請求

從介面的 [工作項目] 區域檢視驗證工作項目。選取 [工作項目] 區域中的 [驗證] 標籤，可列出所有需要核准的軟體權利文件記錄。在 [驗證作業] 頁面中，您還可以針對所有直接給您的報告和您可直接或間接控制的特定使用者，列出其軟體權利文件記錄。

根據軟體權利文件記錄執行動作

驗證工作項目包含需要檢閱的使用者軟體權利文件記錄。軟體權利文件記錄提供有關使用者存取權限、指定的資源及策略違規的資訊。

核准 - 驗證自軟體權利文件記錄中所記錄的日期開始，軟體權利文件是適用的。

拒絕 - 軟體權利文件記錄指出目前無法驗證或修正的可能差異。

重新掃描 - 請求重新掃描，以重新計算使用者的軟體權利文件。

轉寄 - 可讓您為檢閱指定其他收件者。

棄權 - 對此記錄的驗證不適用，並且尚未發現更適當的驗證者。驗證工作項目將轉寄至檢閱程序所有者。僅當存取檢閱作業中已定義檢閱程序所有者時，才可使用此選項。

如果在指定的上報逾時期間之前，驗證者未採取以上任一動作來回應請求，則會將通知傳送至上報鏈中的下一個驗證者。直到記錄回應後通知程序才會停止。

封閉迴圈修正

將軟體權利文件標記為必須請求其他使用者進行更正 (即「請求修正」)。在此情況下，會建立新的修正工作項目，並將其指定給一個或多個指定的修正者。

請求對軟體權利文件進行重新評估 (重新掃描)。在此情況下，會重新掃描並重新計算使用者軟體權利文件。原始驗證工作項目會結束。若根據存取掃描中所定義的規則仍需要驗證軟體權利文件，則會建立新的驗證工作項目。

請求修正

您可以將擱置的驗證路由至其他使用者以進行修正 (如果存取掃描已定義此作業)。


備註	[建立存取掃描] 或 [編輯存取掃描] 頁面上的 [動態軟體權利文件] 選項可啟用此功能。

從驗證清單中選取一個或多個軟體權利文件，然後按一下 [請求修正]。

[選取並確認請求修正] 頁面會隨即出現。

輸入使用者名稱，然後按一下 [增加] 即可將該使用者增加至 [轉寄給] 欄位中。或者，您也可以按一下 [...] (更多) 以搜尋使用者。選取搜尋清單中的使用者，然後按一下 [增加]，將該使用者增加至 [轉寄給] 清單中。按一下 [解除] 以關閉 [搜尋] 區域。

在 [註釋] 欄位中輸入註釋，然後按一下 [繼續]。

Identity Manager 會返回至驗證清單。



備註	修正請求的詳細資訊會出現在個別使用者軟體權利文件的 [歷程記錄] 區域中。

重新掃描驗證

您可以對擱置的驗證進行重新掃描與重新計算 (如果存取掃描已定義此作業)。


備註	[建立存取掃描] 或 [編輯存取掃描] 頁面上的 [動態軟體權利文件] 選項可啟用此功能。

從驗證清單中選取一個或多個軟體權利文件，然後按一下 [重新掃描]。

[重新掃描使用者軟體權利文件] 頁面會隨即出現。

在 [註釋] 區域中輸入重新掃描動作的相關註釋，然後按一下 [繼續]。

轉寄驗證工作項目

在驗證清單中選取一個或多個工作項目，然後按一下 [轉寄]。

[選取並確認轉寄] 頁面會隨即出現。

在 [轉寄給] 欄位中輸入使用者名稱。或者，您也可以按一下 [...](更多) 以搜尋使用者名稱。

在 [註釋] 欄位中輸入轉寄動作的相關註釋。

按一下 [繼續]。

Identity Manager 會返回至驗證清單。



備註	轉寄動作的詳細資訊會出現在個別使用者軟體權利文件的 [歷程記錄] 區域中。

以數位方式簽署存取檢閱動作

您可以設定數位簽署以處理存取檢閱動作。如需有關配置數位簽署的資訊，請參閱簽署核准。該小節討論的主題說明了將憑證和 CRL 增加至 Identity Manager 以取得簽署的核准所需之伺服器端配置和用戶端配置。

存取檢閱報告

存取檢閱範圍報告 - 此報告可以視報告的定義方式，使用表格格式提供下列資訊：

名稱 - 使用者軟體權利文件有所重疊及 (或) 差異的使用者清單

此報告也可能會包含附加欄，以顯示包含重疊及 (或) 差異的存取檢閱。

存取檢閱詳細資訊報告 - 該報告以表格的格式提供以下資訊：

名稱 - 使用者軟體權利文件記錄的名稱

狀態 - 檢閱程序的目前狀態：正在啟動、正在終止、已終止、正在執行數個掃描、已排定數個掃描、正在等待驗證或已完成

驗證者 - 指定作為記錄之驗證者的 Identity Manager 使用者

掃描日期 - 記錄掃描何時發生的時間戳記

處理日期 - 驗證軟體權利文件記錄時的日期 (時間戳記)

組織 - 軟體權利文件記錄中使用者的組織

管理員 - 已掃描之使用者的管理員

資源 - 使用者在其上具有帳號的資源，已擷取至該使用者軟體權利文件中

違規 - 檢閱期間所偵測到的違規數目

按一下該報告中的名稱可開啟使用者軟體權利文件記錄。圖 15-6 顯示使用者軟體權利文件記錄檢視中提供的資訊範例。

[存取檢閱摘要報告] - 此報告也已在管理存取檢閱進度中討論並在圖 15-5 中說明，其中會顯示以下有關您為報告選取之存取掃描的摘要資訊︰

檢閱名稱 - 存取掃描的名稱

日期 - 檢閱於何時啟動的時間戳記

使用者計數 - 該檢閱中已掃描的使用者數目

軟體權利文件計數 - 所產生的軟體權利文件記錄數目

已核准 - 已核准的軟體權利文件記錄數目

已拒絕 - 已拒絕的軟體權利文件記錄數目

擱置 - 仍處於擱置狀態的軟體權利文件記錄數目

已取消 - 已取消的軟體權利文件記錄數目

這些報告均可從 [執行報告] 頁面，以可移植文件格式 (PDF) 或逗號分隔值 (CSV) 格式下載。

存取檢閱修正

規範遵循違規修正與緩解以及存取檢閱修正，均可從 [工作項目] 標籤的 [修正] 區域中加以管理。但這兩種修正類型有其不同之處。本節說明存取檢閱修正的獨特運作方式，以及它與修正與緩解規範遵循違規中說明的修正作業與資訊有何不同。

關於存取檢閱修正

當驗證者請求對使用者軟體權利文件進行修正時，標準修正工作流程會建立修正請求，而此請求必須由修正者 (可計算及回應修正請求的指定使用者) 加以處理。

只能修正問題，而無法緩解問題。必須在問題解決後，驗證才能繼續。

從存取檢閱產生修正後，[存取檢閱] 面板會追蹤所有涉及該檢閱的驗證者與修正者。

修正者上報

修正工作流程程序

當驗證者請求對使用者軟體權利文件進行修正時，標準修正工作流程會執行下列作業：

產生修正請求 (類型為 accessReviewRemediation)，其中包含需修正之使用者軟體權利文件的相關資訊。

傳送電子郵件給請求的修正者。

接著，新的修正者可選擇編輯使用者 (使用 Identity Manager 或獨立編輯)，然後在工作項目達到要求後將其標記為已修正。屆時會重新掃描並再次計算使用者的軟體權利文件。

修正回應

修正 - 修正者指出已採取行動以修復問題。

轉寄 - 修正者將解決修正請求的責任重新指定給另一位人員。

編輯使用者 - 修正者選擇直接編輯使用者以修正問題。

使用修正頁面

針對所有屬於存取檢閱修正工作項目的修正工作項目，[類型] 欄會顯示為 UE (使用者軟體權利文件)。

上一頁目錄索引下一頁
Sun[TM] Identity Manager 8.0 管理