目錄

表

圖

前言

本書適用對象

閱讀本書之前

本書中使用的慣例

印刷排版慣例

符號

相關文件

此文件集中的書籍

存取 Sun 線上資源

連絡 Sun 技術支援

相關協力廠商網站參照

Sun 歡迎您提出寶貴意見

第 1 章 Identity Manager 簡介
概述

Identity Manager 系統的目標

定義使用者對資源的存取權

使用者類型

託管

Identity Manager 物件

使用者帳號

角色

資源與資源群組

組織與虛擬組織

目錄結合

權能

管理員角色

策略

稽核策略

物件關係

第 2 章 Identity Manager UI 入門
Identity Manager 管理員介面

登入 Identity Manager 管理員介面

階段作業限制與 Cookie

忘記使用者 ID

Identity Manager 一般使用者介面

五個一般使用者介面標籤

首頁

工作項目

請求

委派

設定檔

登入 Identity Manager 一般使用者介面

忘記使用者 ID

說明與指導

Identity Manager Help

Identity Manager 指導

Identity Manager 除錯頁面

Identity Manager IDE

下面要查看哪一個章節

第 3 章使用者和帳號管理
介面的 [帳號] 區域

帳號區域中的動作清單

在 [帳號清單] 區域中搜尋

使用者帳號狀態

使用者頁面 (建立/編輯/檢視)

身份識別

資源

角色

安全性

委派

屬性

規範遵循

建立使用者及使用使用者帳號

啟用進程圖

建立使用者

為使用者建立多個資源帳號

為何要為每項資源的每位使用者指定多個帳號？

配置帳號類型

指定帳號類型

尋找及檢視使用者帳號

編輯使用者

檢視使用者帳號

編輯使用者帳號

重新將使用者指定給其他組織

重新命名使用者

更新與帳號相關聯的資源

更新單一使用者帳號的資源

更新多個使用者帳號的資源

刪除 Identity Manager 使用者帳號

刪除使用者帳號的資源

刪除單一使用者帳號的資源

刪除多個使用者帳號的資源

變更使用者密碼

從使用者清單頁面變更密碼

從主功能表變更密碼

重設使用者密碼

從使用者清單頁面重設密碼

使用 Identity Manager 帳號策略設定密碼過期日

停用、啟用及解除鎖定使用者帳號

停用使用者帳號

啟用使用者帳號

解除鎖定使用者帳號

批次處理帳號動作

啟動批次處理帳號動作

使用動作清單

批次處理動作檢視屬性

相互關聯與確認規則

相互關聯規則

確認規則

管理帳號安全性和權限

設定密碼策略

建立策略

字典策略選擇

密碼歷程記錄策略

不得包含字詞

不得包含屬性

實作密碼策略

使用者認證

個人化的認證問題

認證後略過變更密碼詢問

指定管理權限

使用者自我探索

啟用自我探索

匿名註冊

啟用匿名註冊

配置匿名註冊

使用者註冊程序

第 4 章角色與資源
瞭解與管理角色

角色是甚麼？

角色類型運作

管理在 8.0 版之前的版本中建立的角色

使用角色類型設計彈性角色

建立角色

填寫建立角色表單

輸入角色的名稱與描述

指定資源與資源群組

指定角色與角色排除

指定角色所有者與角色核准人

指定通知

啟動變更核准與核准工作項目

編輯與管理角色

搜尋角色

檢視角色

編輯角色

複製角色

指定角色給其他角色

從角色中移除角色

啟用及停用角色

刪除角色

指定資源或資源群組給角色

移除角色的資源或資源群組

管理使用者角色指定

指定角色給使用者

在特定日期啟用及停用角色

更新指定給使用者的角色

尋找獲得指定角色的使用者

移除指定給使用者的角色

配置角色類型

配置可直接指定給使用者的角色類型

啟用角色類型指定啟用日期與停用日期的功能

啟用及停用變更核准與變更通知工作項目

配置角色清單頁面將載入的最大列數

同步化 Identity Manager 角色和資源角色

瞭解與管理資源

甚麼是資源？

介面中的 [資源] 區域

管理資源清單

開啟配置受管資源頁面

啟用資源類型

增加自訂資源

建立資源

使用資源精靈建立資源

管理資源

檢視資源清單

使用資源精靈編輯資源

使用資源清單指令選項編輯資源

使用帳號屬性

編輯資源帳號屬性

資源群組

全域資源策略

設定其他逾時值

批次處理資源動作

第 5 章配置與系統維護
配置 Identity Manager 策略

什麼是策略？

開啟策略頁面

策略類型

策略中的「不得包含」屬性

字典策略

配置字典策略

實作字典策略

自訂電子郵件範本

編輯電子郵件範本

電子郵件範本中的 HTML 和連結

電子郵件內文中允許的變數

配置稽核群組和稽核事件

稽核配置頁面

開啟稽核配置頁面

配置稽核群組

Remedy 整合

配置 Identity Manager 伺服器設定

調解器設定

檢視調解器狀態

排程程式設定

電子郵件範本伺服器設定

JMX

配置 JMX 輪詢設定

檢視 JMX 資料

編輯預設伺服器設定

配置一般使用者介面

啟用一般使用者介面中的進程圖

註冊 Identity Manager

從主控台註冊 Identity Manager

register 指令

從管理員介面註冊 Identity Manager

編輯 Identity Manager 配置物件

移除系統記錄檔中的記錄

第 6 章管理
瞭解 Identity Manager 管理

託管

建立管理員

篩選管理員檢視

變更管理員密碼

質疑管理員動作

啟用標籤式使用者表單的詰問選項

啟用 [變更使用者密碼] 和 [重設使用者密碼] 表單的詰問選項

變更認證問題的答案

在管理員介面中自訂管理員名稱顯示

瞭解 Identity Manager 組織

建立組織

指定使用者給組織

使用者成員規則範例

指定組織控制

瞭解目錄結合與虛擬組織

設定目錄結合

重新整理虛擬組織

刪除虛擬組織

瞭解與管理權能

權能類別

使用權能

檢視權能頁面

建立權能

編輯權能

儲存並重新命名權能

指定權能

瞭解與管理管理員角色

管理員角色規則

使用者管理員角色

建立和編輯管理員角色

[一般] 標籤

控制範圍

指定權能

將使用者表單指定給管理員角色

一般使用者組織

一般使用者所控制的組織規則

管理工作項目

工作項目類型

處理工作項目請求

檢視工作項目歷程記錄

委託工作項目

稽核記錄項目

檢視目前的委派

檢視先前的委派

建立委派

委派給已刪除的使用者

結束委派

核准

設定帳號核准人

簽署核准

簽署後續核准

配置數位簽署的核准與動作

簽署的核准之伺服器端配置

使用 PKCS12 之簽署核准的用戶端配置

必要條件

程序

使用 PKCS11 之簽署核准的用戶端配置

檢視作業事件簽署

第 7 章資料載入和同步化
資料同步化工具：選哪一個好？

探索

擷取至檔案

從檔案載入

關於 CSV 檔案格式

從資源載入

調解

調解概念摘要

關於調解策略

編輯調解策略

啟動調解

取消調解

檢視調解狀態

檢視詳細的調解狀態

檢視資源清單中的調解狀態

使用帳號索引

搜尋帳號索引

檢查帳號索引

使用帳號

運用使用者

使用作業排程重複規則

調解執行次數的排程方式

「接受全部日期」規則範例

Active Sync 介面

配置同步化

編輯同步化策略

編輯 Active Sync 介面

調校 Active Sync 介面效能

變更輪詢間隔

指定將執行介面的主機

啟動與停止

介面記錄

第 8 章報告
使用報告

報告類型

執行報告

檢視報告

建立報告

編輯及複製報告

通過電子郵件傳送報告

排定報告

下載報告資料

配置報告輸出

Identity Manager 報告

稽核記錄報告

個別使用者稽核記錄報告

即時報告

摘要報告

系統記錄檔報告

使用情況報告

使用情況報告圖表

工作流程報告

配置工作流程以擷取稽核時序事件

指定要為工作流程報告儲存的屬性

定義工作流程報告

稽核員報告

使用圖形

檢視已定義的圖形

建立圖形

編輯圖形

刪除圖形

使用面板

建立面板

編輯面板

刪除面板

系統監視

追蹤的事件配置

風險分析

建立風險分析報告

排程風險分析報告

第 9 章作業範本
啟用作業範本

配置作業範本

配置 [一般] 標籤

對於 [建立使用者範本] 或 [更新使用者範本]

對於 [刪除使用者範本]

配置 [通知] 標籤

配置使用者通知

配置管理員通知

配置 [核准] 標籤

啟用核准 ([核准啟用] 區段的 [核准] 標籤)

指定其他核准人 ([其他核准人] 區段的 [核准] 標籤)

配置核准表單 ([核准表單配置] 區段的 [核准] 標籤)

配置 [稽核] 標籤

配置 [佈建] 標籤

配置 [生效和失效] 標籤

配置生效

配置失效

配置 [資料轉換] 標籤

第 10 章稽核記錄
簡介

Identity Manager 稽核的內容為何？

透過工作流程建立稽核事件

com.waveset.session.WorkflowServices 應用程式

修改工作流程以記錄標準稽核事件

範例

修改工作流程以記錄計時稽核事件

範例

計時稽核事件儲存的資訊為何？

稽核配置

filterConfiguration

帳號管理

Identity Manager 之外的變更

規範遵循管理

配置管理

事件管理

登入/登出

密碼管理

資源管理

角色管理

安全管理

Service Provider Edition

作業管理

extendedTypes

extendedActions

extendedResults

publishers

資料庫模式

waveset.log

waveset.logattr

稽核記錄截斷

稽核記錄配置

調整欄長度限制

移除稽核記錄中的記錄

防止稽核記錄竄改

配置防竄改記錄

使用自訂稽核發佈程式

啟用自訂稽核發佈程式

主控台、檔案、JDBC 和執行程序檔的發佈程式類型

JMS 發佈程式類型

為何要使用 JMS？

點對點或發佈與訂閱？

配置 JMS 發佈程式類型

JMX 發佈程式類型

何謂 JMX？

Identity Manager 的 JMX 發佈程式實作

配置 JMX 發佈程式類型

使用 JMX 用戶端檢視稽核事件

查詢 MBean 以取得額外資訊

開發自訂稽核發佈程式

生命週期

配置

開發格式化程式

註冊發佈程式/格式化程式

第 11 章 PasswordSync
什麼是 PasswordSync？

安裝前注意事項

安裝 Microsoft .NET 1.1

配置 PasswordSync 使用 SSL

解除安裝舊版的 PasswordSync

在 Windows 上安裝 PasswordSync

配置 PasswordSync

在 Windows 上對 PasswordSync 執行除錯

錯誤記錄

解除安裝 Windows 上的 PasswordSync

在應用程式伺服器上部署 PasswordSync

增加及配置 JMS 偵聽程式介面

實作同步化使用者密碼工作流程

設定通知

使用 Sun JMS 伺服器配置 PasswordSync

簡介

方案範例

建立與儲存受管理物件

將受管理物件儲存在 LDAP 目錄中

將受管理物件儲存在檔案中

為此方案配置 JMS 偵聽程式介面

配置 Active Sync

測試您的配置

相關常見問題 PasswordSync

是否可以不使用 Java Messaging Service 而實作 PasswordSync？

PasswordSync 是否可以與其他用於強制自訂密碼策略的 Windows 密碼篩選器配合使用？

是否可以將 PasswordSync Servlet 安裝在 Identity Manager 以外的其他應用伺服器上？

PasswordSync 服務是否將密碼以明文傳送至 lh 伺服器？

有時密碼變更會導致 com.waveset.exception.ItemNotLocked？

第 12 章安全性
安全性功能

限制同步運作的登入階段作業

密碼管理

通過式認證

關於登入應用程式

登入限制規則

編輯登入應用程式

設定 Identity Manager 階段作業限制

停用對應用程式的存取

編輯登入模組群組

編輯登入模組

登入模組處理邏輯

配置共用資源的認證

配置 X509 憑證認證

必要條件

配置 Identity Manager 中 X509 憑證認證

建立並匯入登入相互關聯規則

測試 SSL 連線

診斷問題

加密使用和管理

受加密保護的資料

伺服器加密金鑰問題與回覆

伺服器加密金鑰來自何處？

在何處維護伺服器加密金鑰？

伺服器如何知道使用哪個金鑰對已加密資料進行解密和重新加密？

如何更新伺服器加密金鑰？

如果變更「目前」伺服器金鑰，會對現有加密資料造成什麼影響？

當您匯入的加密資料沒有加密金鑰可用時，會發生什麼狀況？

如何保護伺服器金鑰？

我可以匯出伺服器金鑰以安全地儲存在外部嗎？

哪些資料會在伺服器和閘道之間進行加密？

閘道金鑰問題與回覆

加密或解密資料的閘道金鑰來自何處？

如何將閘道金鑰分發至閘道？

我可以更新用於加密或解密伺服器至閘道有效負載的閘道金鑰嗎？

閘道金鑰儲存在伺服器、閘道的什麼地方？

如何保護閘道金鑰？

我可以匯出閘道金鑰以安全地儲存在外部嗎？

如何銷毀伺服器和閘道金鑰？

管理伺服器加密

使用授權類型保護物件安全

安全性使用方案

設定時

在使用期間

第 13 章身份識別稽核：基本概念
關於身份識別稽核

身份識別稽核的目標

瞭解身份識別稽核

基於策略的規範遵循

連續規範遵循

定期規範遵循

基於策略之規範遵循的邏輯作業流程

定期存取檢閱

在管理員介面中使用身份識別稽核

介面的 [規範遵循] 區段

管理策略

管理存取掃描

存取檢閱

身份識別稽核作業介面參照

電子郵件範本

啟用稽核記錄

關於稽核策略

建立具有稽核策略規則的策略

利用修正工作流程處理策略違規

指定修正者

稽核策略方案範例

第 14 章稽核：稽核策略
使用稽核策略

稽核策略規則

建立稽核策略

開啟稽核策略精靈

建立稽核策略：簡介

開始之前

找出所需的規則

(選擇性) 將權責區分規則匯入 Identity Manager

(選擇性) 將工作流程匯入 Identity Manager

命名與說明稽核策略

選取規則類型

選取現有的規則

使用規則精靈建立新規則

增加額外規則

選取修正工作流程

針對修正選取修正者及逾時

選取可存取此策略的組織

編輯稽核策略

編輯策略頁面

編輯稽核策略描述

編輯選項

從策略中刪除規則

增加規則到策略

變更策略使用的規則

修正者區域

移除或指定修正者

調整上報逾時時間

修正工作流程與組織區域

變更修正工作流程

選取修正使用者表單規則

指定或移除組織的可視性

策略範例

IDM 角色比較策略

IDM 帳號累積策略

刪除稽核策略

對稽核策略進行疑難排解

對規則進行除錯

指定稽核策略

解決稽核員權能限制

第 15 章稽核：監視規範遵循
稽核策略掃描和報告

掃描使用者與組織

使用 Auditor 報告

建立 Auditor 報告

配置已稽核的屬性報告

修正與緩解規範遵循違規

關於修正

修正者上報

修正工作流程程序

修正回應

修正電子郵件範本

使用 [修正] 頁面

檢視策略違規

檢視擱置請求

檢視已完成的請求

更新表格

排定策略違規的優先權

緩解策略違規

從 [修正] 頁面

修正策略違規

轉寄修正請求

從修正工作項目編輯使用者

定期存取檢閱與驗證

關於定期存取檢閱

存取檢閱掃描

驗證

計劃定期存取檢閱

調校掃描作業

建立存取掃描

刪除存取掃描

管理存取檢閱

啟動存取檢閱

排程存取檢閱作業

管理存取檢閱進度

修改掃描屬性

取消存取檢閱

刪除存取檢閱

管理驗證責任

存取檢閱通知

檢視擱置請求

根據軟體權利文件記錄執行動作

封閉迴圈修正

轉寄驗證工作項目

以數位方式簽署存取檢閱動作

存取檢閱報告

存取檢閱修正

關於存取檢閱修正

修正者上報

修正工作流程程序

修正回應

使用修正頁面

不支援的存取檢閱修正動作

第 16 章資料匯出程式
何謂資料匯出程式？

規劃實作資料匯出程式

配置資料匯出程式

定義讀取與寫入連線

定義倉儲配置資訊

配置倉儲模型

配置倉儲作業

修改配置物件

測試資料匯出程式

配置鑑識查詢

建立查詢

儲存鑑識查詢

載入查詢

維護資料匯出程式

監視資料匯出程式

監視記錄

稽核記錄

系統記錄檔

第 17 章服務提供者管理
服務提供者功能簡介

增強的一般使用者頁面

密碼與帳號 ID 策略

Identity Manager 和服務提供者同步化

Access Manager 整合

初始配置

編輯主配置

目錄配置

使用者表單策略

作業事件資料庫

追蹤的事件配置

同步化帳號索引

圖說文字配置

編輯使用者搜尋配置

作業事件管理

設定預設作業事件執行選項

設定作業事件永久存放區

設定進階作業事件處理設定

監視作業事件

託管

透過組織授權進行委派

透過管理員角色指定進行委派

啟用服務提供者管理員角色委派

配置服務提供者使用者管理員角色

委託服務提供者使用者管理員角色

管理服務提供者使用者

使用者組織

建立使用者和帳號

搜尋服務提供者使用者

進階搜尋

搜尋結果

連結帳號

刪除、取消指定或取消連結帳號

設定搜尋選項

一般使用者介面

範例

註冊

[首頁] 螢幕和 [設定檔] 螢幕

同步化

配置同步化

監視同步化

啟動和停止同步化

遷移使用者

配置服務提供者稽核事件

附錄 A lh 參照
用法

用法說明

class

指令

範例

syslog 指令

用法

選項

附錄 B 稽核記錄資料庫模式
Oracle

DB2

MySQL

SQL Server

稽核記錄資料庫對映

附錄 C 使用者介面快速參照
附錄 D 權能定義
作業型權能定義

功能性權能定義

索引

版權索引下一頁

文件號碼：820-5436。 Copyright 2008 Sun Microsystems, Inc. 版權所有。