|
| |
| Sun[TM] Identity Manager 8.0 管理 | |
第 13 章
身份識別稽核: 基本概念本章介紹身份識別稽核及稽核控制背後的概念。稽核控制可用以監視及管理整個企業資訊系統及應用程式的稽核與規範遵循。
在本章中,將可瞭解以下概念與作業:
關於身份識別稽核Identity Manager 將稽核定義為在企業範圍內,對身份識別資料的系統化擷取、分析與回應,以確保遵循內部與外部的策略與規範。
要遵循會計與資料隱私權的法律規範並不容易。Identity Manager 的稽核功能提供了靈活的方法,可讓您實作適用於您的企業之規範遵循解決方案。
在大部分的環境中,會有不同的群組涉及到規範遵循:內部與外部稽核小組 (視稽核為主要工作);與非稽核工作人員 (稽核對他們而言可能是雜務)。IT 通常也與規範遵循有關,他們會協助將內部稽核小組的需求付諸於選定的解決方案實作。成功實作稽核解決方案的關鍵,在於精確擷取非稽核工作人員的知識、控制與程序,然後以自動化的方式應用這些資訊。
身份識別稽核的目標身份識別稽核可改進稽核效能如下:
瞭解身份識別稽核Identity Manager 提供了一項功能可用於稽核使用者帳號權限和存取權限,另有功能可用以維護及認證規範遵循, 即是基於策略的規範遵循和定期存取檢閱等功能。
基於策略的規範遵循
針對公司建立之適用於所有使用者帳號的需求,Identity Manager 透過稽核策略系統使管理員能夠維護對這些需求的規範遵循。
您可以使用稽核策略,透過以下兩種不同卻互補的方式確保規範遵循: 連續性規範遵循和定期規範遵循。
在佈建作業可能於 Identity Manager 外部執行的環境中,這兩種技術更具互補性。只要帳號可能被不執行或不遵循現有稽核策略的程序所變更,就需要定期規範遵循。
連續規範遵循
連續規範遵循是指稽核策略會套用至所有佈建作業,如此便無法使用與目前策略不相容的方式修改帳號。
將稽核策略指定給組織和 (或) 使用者,即可啟用連續規範遵循。對使用者執行的所有佈建作業,都將導致使用者指定的策略受到計算。若此評估產生了任何策略失敗,都將中斷佈建作業。
組織型策略集會以階層方式定義。任一使用者都只有一個生效的組織策略集。所套用的是指定給最低層級組織的策略集。例如:
組織
直接指定的策略集
有效的策略
Austin
策略 A1、A2
策略 A1、A2
銷售
策略 A1、A2
開發
策略 B、C2
策略 B、C2
支援
策略 B、C2
測試
策略 D、E5
策略 D、E5
財務
策略 A1、A2
Houston
<無>
定期規範遵循
定期規範遵循是指 Identity Manager 會隨需求計算策略。任何不符合的情況都會擷取為規範遵循違規。
執行定期規範遵循掃描時,您可以選取要在掃描中使用的策略。掃描程序會對直接指定的策略 (使用者指定的策略和組織指定的策略) 與任意一組所選取的策略進行調合。
具有 Auditor 管理員權能的 Identity Manager 使用者可以建立稽核策略,並透過定期執行策略掃描與檢閱是否有策略違規,以監視對這些策略的規範遵循。可透過修正和緩解程序管理違規。
如需有關 Auditor 管理員權能的更多資訊,請參閱瞭解與管理權能。
Identity Manager 稽核可定期掃描使用者。這些掃描執行稽核策略,偵測已建立帳號限制中的偏差。一旦偵測到違規,便會啟動修正作業。這些規則可以是 Identity Manager 提供的標準稽核策略規則,也可以是使用者定義的自訂規則。
基於策略之規範遵循的邏輯作業流程
圖 13-1 顯示建立策略性稽核控制的邏輯作業流程。
定期存取檢閱
Identity Manager 提供定期存取檢閱功能,可讓管理員與其他責任方臨時或定期檢閱和驗證使用者存取權限。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
圖 13-1 建立策略性規範遵循的邏輯作業流程
在管理員介面中使用身份識別稽核本節說明如何存取管理員介面中的「身份識別稽核」功能, 也會討論用於身份識別稽核的電子郵件通知範本。
介面的 [規範遵循] 區段
若要建立並管理稽核策略,請使用 Identity Manager 管理員介面的 [規範遵循] 區段。
若要移至建立與管理稽核策略的 [規範遵循] 區段,請執行以下步驟:
- 登入管理員介面 (更多... )。
- 按一下功能表列中的 [規範遵循]。
[規範遵循] 區段有三個子標籤 (或功能表項目):
管理策略
[管理策略] 頁面會列出您有權檢視與編輯的策略。您還可以在此區域中管理存取掃描。
在 [管理策略] 頁面中,您可以使用稽核策略完成以下作業︰
「使用稽核策略」一節中將提供有關這些作業的詳細資訊。
管理存取掃描
使用 [管理存取掃描] 標籤可建立、修改及刪除存取掃描。您可以在此區域中定義要執行或要排程為定期存取檢閱的掃描。如需有關此功能的更多資訊,請參閱定期存取檢閱與驗證。
存取檢閱
[存取檢閱] 標籤可讓您啟動、終止與刪除存取檢閱,以及監視存取檢閱的進度。其中顯示掃描結果的摘要報告並提供一些資訊連結,可讓您存取有關檢閱狀態和擱置作業的更多詳細資訊。
如需有關此功能的更多資訊,請參閱管理存取檢閱。
身份識別稽核作業介面參照
若要查閱在管理員介面中執行其他身份識別稽核作業的方法,請參閱附錄 C。此快速參照資料能告訴您該由何處著手各式稽核作業。
電子郵件範本
身份識別稽核在許多作業中都可使用電子郵件通知。其中每一則通知都會使用一個電子郵件範本物件。電子郵件範本可用於自訂電子郵件訊息的標頭與內文。
表 13-1 身份識別稽核電子郵件範本
範本名稱
用途
存取檢閱修正通知
在最初建立修正狀態的使用者軟體權利文件時,由存取檢閱傳送給修正者。
批次驗證通知
在驗證者有擱置的驗證時,由存取檢閱傳送給驗證者。
策略違規通知
在發生違規時,由稽核策略掃描傳送給修正者。
存取掃描開始通知
在存取檢閱啟動掃描時,傳送給該存取掃描的所有者。
存取掃描結束通知
在存取掃描完成時,傳送給該存取掃描的所有者。
啟用稽核記錄您必須先啟用 Identity Manager 稽核記錄系統並將其配置為收集稽核事件,才能開始管理規範遵循與存取檢閱。依預設,啟用稽核系統。具有「配置稽核」權能的 Identity Manager 管理員可配置稽核。
Identity Manager 提供規範遵循管理稽核配置群組。
若要檢視或修改「規範遵循管理」群組所儲存的事件,請執行下列動作:
- 登入管理員介面 (更多... )。
- 從功能表列選取 [配置],然後按一下 [稽核]。
- 在 [稽核配置] 頁面中,選取 [規範遵循管理] 稽核群組名稱。
如需有關設定稽核配置群組的更多資訊,請參閱「配置」一章中配置稽核群組和稽核事件。
如需有關稽核系統如何記錄事件的資訊,請參閱第 10 章「稽核記錄」。
關於稽核策略稽核策略可針對一個或多個資源的一組使用者,定義其帳號限制。其中包括用於定義策略限制的規則,以及在發生違規後用於處理違規的工作流程。稽核掃描會使用在稽核策略中定義的條件,計算組織中是否發生違規狀況。
稽核策略包含以下元件:
建立具有稽核策略規則的策略
在稽核策略中,規則會根據屬性來定義可能的衝突。稽核策略可能包含參照廣泛資源的上百個規則。在規則評估期間,該規則可存取一個或多個資源的使用者帳號資料。稽核策略可能會限定哪些資源可供規則使用。
規則可以僅檢查單一資源的單一屬性,也可以檢查多個資源的多項屬性。
利用修正工作流程處理策略違規
您在建立用於定義策略違規的規則之後,可選取當稽核掃描期間偵測到違規時將啟動的工作流程。Identity Manager 提供預設的標準修正工作流程,為稽核策略掃描提供預設的修正處理。除了其他動作之外,這個預設修正工作流程還會產生通知電子郵件給每個指定的層級 1 修正者 (必要時也會寄給其他層級的修正者)。
備註
與 Identity Manager 工作流程程序不同,必須將修正工作流程指定為 AuthType=AuditorAdminTask 和 SUBTYPE_REMEDIATION_WORKFLOW 子類型。若您匯入工作流程以便用於稽核掃描,您必須手動新增這個屬性。請參閱 (選擇性) 將工作流程匯入 Identity Manager,以取得更多資訊。
指定修正者
如果您指定修正工作流程,則必須至少指定一個修正者。您最多可以指定三個層級的稽核策略修正者。如需有關修正的更多資訊,請參閱修正與緩解規範遵循違規。
您必須先指定修正工作流程,才能指定修正者。
稽核策略方案範例
假設您負責應付帳款及應收帳款,且必須實作某些程序以預防責任集中在會計部門員工身上的潛在風險。這個策略必須確保應付帳款的負責人員並未同時負責處理應收帳款。
此稽核策略中將包含:
當規則識別出策略違規 (在此案例中為使用者擁有太多授權) 之後,相關聯的工作流程就會啟動指定的相關修正作業,包括自動通知選定的修正者。
層級 1 的修正者是指當稽核掃描識別出策略違規時,所要連絡的第一批修正者。如果為稽核策略指定了多個層級,則當超過此區域中所確定的上報期限時,Identity Manager 會通知下一層級的修正者。
下一節「使用稽核策略」將說明如何使用稽核策略精靈,建立稽核策略。