|
| |
| Sun[TM] Identity Manager 8.0 管理 | |
第 1 章
Identity Manager 簡介Sun Identity Manager 系統可讓您管理和稽核對帳號和資源的存取權。Identity Manager 提供權能與工具,讓您可以快速處理定期與日常的使用者佈建及稽核作業,為內部與外部客戶提供卓越的服務。
本章將提供有關以下主題的簡介:
概述今日的企業需要 IT 服務滿足其不斷增加的彈性以及各項權能需求。過去,對企業資訊與系統存取的管理需要直接與有限數目的帳號互動。現在,管理存取不僅意味著處理日益增加的內部客戶數目,同時也需處理您企業以外的合作夥伴與客戶。
由於此類存取需要增加所產生的管理費用或許非常龐大。身為管理員,您必須透過有效並且安全的方式,讓所有人 (不論是企業內部或外部) 皆能執行他們的工作。而在您提供初始存取權之後,您將持續面對更複雜的挑戰,例如忘記密碼、變更角色與企業關係。
此外,今日的企業面臨管理關鍵商業資訊之安全性與完整性的嚴格需求。在受到與規範遵循相關法律約束的環境下,諸如「沙賓法案 (SOX)」、「醫療保險機動及責任法案 (HIPAA)」,以及「美國金融服務現代化法案 (GLBA)」,為了對作業進行監控和報告而產生的費用益發龐大及昂貴。您必須能夠快速回應存取控制中的變動,以及滿足那些可確保企業安全的資料收集與報告需求。
我們特別開發出 Identity Manager 以協助您在動態環境中處理這些管理方面的挑戰。透過使用 Identity Manager 分配存取管理費用並解決規範遵循問題,您可以輕鬆建立應對主要挑戰的解決方案:我如何定義存取權?定義之後,我要如何維持靈活的彈性與控制?
Identity Manager 的設計安全而又極具靈活性,可以讓您根據您企業的結構對其進行設定,以應對這些挑戰。透過將 Identity Manager 物件對映至您管理的實體 (即使用者與資源),將可以大幅提升作業效率。
在服務提供者環境中,Identity Manager 還將這些權能延伸至管理企業外部網路使用者。
Identity Manager 系統的目標
Identity Manager 解決方案可讓您實現以下目標:
- 對廣泛的系統與資源之帳號存取進行管理。
- 以安全方式為每位使用者的系列帳號管理動態帳號資訊。
- 設定委託權限以建立並管理使用者帳號資料。
- 處理大量企業資源以及日益增加的大量企業外部網路客戶與合作夥伴。
- 安全地授權使用者企業資訊系統存取權。藉由 Identity Manager,您可擁有完整的整合功能,以授予、管理與撤銷內部與外部組織中的存取權限。
- 透過不保留資料的方式保持資料同步。Identity Manager 解決方案支援上層系統管理工具應當遵守的兩個主要原則:
- 定義稽核策略以管理是否遵循使用者存取權限規範,並透過自動修正動作和電子郵件警示來管理違規。
- 執行定期存取檢閱、定義驗證檢閱,以及核准自動驗證使用者權限的程序之程序。
- 透過面板監視關鍵資訊,以及稽核與檢閱統計。
定義使用者對資源的存取權
更廣泛意義的企業使用者可以是與您公司有關聯的任何人,包括員工、用戶、夥伴、供應商或採購人員。在 Identity Manager 系統中,使用者以使用者帳號來代表。
由於使用者與您的企業和其他實體的關係各有不同,因此使用者需要存取的內容 (例如電腦系統、資料庫中儲存的資料或特定的電腦應用程式) 也會有所差異。在 Identity Manager 專有名詞中,這些內容即為資源。
因為通常使用者在他們存取的每個資源上都具有一個或多個身份,所以 Identity Manager 會建立單一的虛擬身份來對映到不同的資源。這可讓您將使用者當成單一實體的身份來管理。請參閱圖 1-1。
圖 1-1 Identity Manager 使用者帳號資源關係
若要以效率極高的方式管理大量使用者,您需要以邏輯的方式將使用者加以分組。在大多數公司中,使用者按職能部門或地理部門分組。一般而言,這些部門中的每個部門都需要存取不同的資源。在 Identity Manager 專有名詞中,這種類型的群組稱為組織。
將使用者分組的另一種方式是依照類似的特性 (例如公司關係或工作職能) 進行分類。Identity Manager 將這些群組識別為角色。
在 Identity Manager 系統中,將角色指定給使用者帳號可以提昇啟用與停用資源存取的效率。而指定帳號給組織可以使得管理責任的委派更有效率。
也可以應用策略來直接或間接管理 Identity Manager 使用者。策略可設定規則、密碼和使用者認證選項。
使用者類型
Identity Manager 提供兩種使用者類型:Identity Manager 使用者與服務提供者使用者 (若將 Identity Manager 系統配置為可用於服務提供者實作)。這兩種類型可讓您根據使用者與公司之間的關係,區分出可能有不同佈建需求的使用者,例如區分企業外部網路使用者與企業內部網路使用者的不同需求。
服務提供者實作最常見的情況,是需要使用 Identity Manager 管理內部使用者與外部使用者 (客戶) 的服務提供者公司。如需有關配置服務提供者實作的資訊,請參閱「Identity Manager Service Provider Deployment」。
您需要在配置使用者帳號時指定 Identity Manager 使用者類型。如需有關服務提供者使用者的更多資訊,請參閱第 17 章「服務提供者管理」。
託管
若要成功地分配使用者身份管理的責任,您需要正確平衡靈活性與控制程度。透過授予選取 Identity Manager 使用者管理員特權並委託管理工作,您可將身份管理的責任交由最瞭解使用者需要的人員 (例如人力招募經理),從而減少管理費用並提昇效率。擁有這些延伸權限的使用者稱為 Identity Manager 管理員。
但是委派只有在安全模式中才可運作。為了維持適當的控制層級,Identity Manager 可讓您將不同的權能層級指定給管理員。各種權能可向管理員授權系統中的不同存取權與行動層級。
Identity Manager 工作流程模型也包括一個用以確保某些操作必須經過核准的方法。使用工作流程,Identity Manager 管理員可保留對工作的控制權,並可追蹤其進度。如需有關工作流程的詳細資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
Identity Manager 物件Identity Manager 物件的明確描述以及物件如何互動對於成功的系統管理與部署非常重要。這些物件如下:
使用者帳號
使用者是指擁有 Identity Manager 系統帳號的任何人。Identity Manager 為每個使用者儲存一系列資料。這些資訊共同構成使用者的 Identity Manager 身份識別。
Identity Manager 使用者帳號:
使用者帳號設定程序是動態的。根據您在帳號設定期間所進行的角色選擇,您可以提供較多或較少資源特定的資訊來建立帳號。與指定角色相關的資源的數目與類型決定了在帳號建立時需要資訊的多寡。
管理員是擁有額外權限的使用者,其可管理使用者帳號、資源以及其他 Identity Manager 系統物件與作業。Identity Manager 管理員負責管理組織,並被指定了適用於每個受管組織中之物件的一系列權能。
如需有關使用者帳號的更多資訊,請參閱第 3 章「使用者和帳號管理」。如需有關管理員帳號的更多資訊,請參閱第 6 章「管理」。
角色
角色是 Identity Manager 物件,可將資源存取權限分組,並以效率極高的方式指定給使用者。角色分為四種角色類型:
商務角色可將組織中執行類似作業的人員執行其工作責任時所需的存取權限,進行分組。一般而言,商務角色代表使用者工作職能。
IT 角色、應用程式和資產則會將資源軟體權利文件 (或存取權限) 劃分為不同群組。為了提供使用者對資源的存取權,會將「IT 角色」、「應用程式」和「資產」指定給「商務角色」,讓使用者可以存取執行其工作時所需要的資源。
「IT 角色」、「應用程式」和「資產」可以是必要、條件式或選擇性項目。必要資源一律會指定給使用者。條件式資源的條件則必須計算為 true,才會指定資源。選擇性資源可以個別請求,並在核准之後指定給使用者。
因為資源可以是條件式或選擇性資源,所以具有相同一般工作說明的使用者可能擁有相同的「商務角色」,但仍然擁有不同的存取權限。此方式允許「商務角色」設計者定義資源的概略性存取權以遵守法規,同時仍然允許使用者管理員微調使用者存取權限的彈性。運用此方式,就不需要針對企業中的每組存取需求定義新的「商務角色」(此問題稱為「角色擴張」)。
您可以將一個或多個角色指定給使用者,也可不指定任何角色。
如需有關角色的更多資訊,請參閱瞭解與管理角色。
資源與資源群組
Identity Manager 會儲存如何連線至資源或系統的資訊。可透過 Identity Manager 存取的資源包括:
每個 Identity Manager 資源都會儲存下列種類的資訊:
有兩種方式可將資源指定給使用者。您可以直接將資源指定給使用者 (這稱為個別或直接指定),或先將資源指定給角色,然後再將角色指定給使用者 (此為角色型或間接指定)。
可以用與指定資源相同的方式將相關的 Identity Manager 物件 (資源群組) 指定給使用者帳號。資源群組可關聯個項資源,以便您可以特定的順序在資源上建立帳號。此外,它們可以簡化將多個資源指定給使用者帳號的程序。
如需有關資源群組的更多資訊,請參閱資源群組。
組織與虛擬組織
組織是指用於啟用管理委派的 Identity Manager 容器。它們定義 Identity Manager 管理員所控制或管理的實體範圍。
組織也可代表與目錄型資源的直接連結。這些稱之為「虛擬組織」。透過虛擬組織可直接管理資源資料,而無需將資訊載入 Identity Manager 儲存庫。透過藉由虛擬組織鏡像現有目錄結構與成員身份,Identity Manager 可消除重複且耗時的設定作業。
包含其他組織的組織為父系組織。您可以建立平面結構的組織,或將組織排列成階層式結構。階層可以表示您用以管理使用者帳號的部門、地理區域或其他邏輯部門。
如需有關組織的更多資訊,請參閱瞭解 Identity Manager 組織。
目錄結合
目錄結合是一組階層式的相關組織,對一個目錄資源中的一組實際階層式容器進行鏡像。目錄資源透過使用階層容器來使用階層名稱空間。目錄資源的範例有 LDAP 伺服器與 Windows Active Directory 資源。
目錄結合中的每個組織皆是虛擬組織。目錄結合中最頂層的虛擬組織是表示定義於資源中的基底環境的容器的鏡像。目錄結合中其餘的虛擬組織為頂層虛擬組織的直接或間接子系組織,是所定義資源基底環境容器之子系目錄資源容器的鏡像。
您可以使用與組織相同的方式讓 Identity Manager 使用者成為虛擬組織的成員或供其所用。
如需有關目錄結合的更多資訊,請參閱瞭解目錄結合與虛擬組織。
權能
可為每個使用者指定權能或權限群組,使其能夠透過 Identity Manager 執行管理動作。權能可允許管理使用者在系統中執行特定工作,並操作 Identity Manager 物件。
一般而言,您會根據特定的工作責任來指定權能,例如密碼重設或帳號核准。透過將權能與權限指定給個別的使用者,您可建立一個階層式的管理結構,從而提供目標存取權與特權而不會危及資料保護的安全。
Identity Manager 提供一組預設權能,可用於一般的管理功能。也可以建立與指定符合您特定需求的權能。
如需有關權能的更多資訊,請參閱瞭解與管理權能。
管理員角色
Identity Manager 管理員角色可讓您為管理使用者所管理的每個組織集,定義一組唯一的權能。會給管理員角色指定各種權能和所控制的組織,隨後可將該管理員角色指定給管理使用者。
權能與所控制的組織可以直接指定給管理員角色,它們也可以在管理使用者每次登入 Identity Manager 時,間接 (動態) 地指定。動態指定由 Identity Manager 規則控制。
如需有關管理員角色的更多資訊,請參閱瞭解與管理管理員角色。
策略
策略藉由為帳號 ID、登入與密碼特性建立限制,以設定 Identity Manager 使用者的限制。Identity System 帳號策略可建立使用者、密碼和認證策略選項及限制。資源密碼和帳號 ID 策略設定長度規則、字元類型規則以及允許的文字和屬性值。字典策略可讓 Identity Auditor 根據文字資料庫來檢查密碼,以確保不會遭受簡單的字典攻擊。
如需有關策略的更多資訊,請參閱什麼是策略?。
稽核策略
與其他系統策略不同,稽核策略針對特定資源的使用者群組定義策略違規。稽核策略建立一個或多個規則,並根據這些規則來計算使用者的遵循性違規。這些規則需視資源所定義之一個或多個屬性而定。當系統掃描使用者時,會使用指定給該使用者的稽核策略所定義的條件來判定有無發生遵循性違規。
如需更多關於稽核策略的資訊,請參閱關於稽核策略。
物件關係
表 1-1 提供 Identity Manager 物件與其關係的快速參考。
