Sun Identity Manager 8.1 业务管理员指南

Identity Manager 对象

清楚地了解 Identity Manager 对象及它们交互的方式对成功管理和部署系统极为重要。这些对象包括：

注 –

在命名 Identity Manager 对象时，不要使用以下字符：

’（撇号）、.（句点）、|（管道符号）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、\（反斜杠）或 =（等号）。

还应该避免使用以下字符：_（下划线）、%（百分号）、^（插入符号）和 *（星号）。

Identity Manager 用户帐户

用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。

Identity Manager 用户帐户：

使用户能够访问一种或多种资源，并管理这些资源上的用户帐户数据。
作为分配的角色，以使用户能够访问多种资源。
是组织的一部分，组织决定了用户帐户由谁来管理及如何管理。

用户帐户设置过程是动态的过程。根据您在帐户设置期间选择的角色，您可以或多或少地提供一些特定于资源的信息，以创建帐户。与分配的角色相关的资源类型和数量决定了创建帐户所需的信息量。

管理员是指具有额外权限的用户，可通过这些权限管理用户帐户、资源和其他 Identity Manager 系统对象和任务。Identity Manager 管理员可以管理组织，并被分配了一定范围的权能，以应用于每个受管理组织中的对象。

有关用户帐户的详细信息，请参见第 3 章。有关管理员帐户的详细信息，请参见第 6 章。

Identity Manager 角色

角色是一个 Identity Manager 对象，通过该对象，可以将资源访问权限分组并有效地分配给用户。角色分为以下四种角色类型：

业务角色
IT 角色
应用程序
资产

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常，业务角色表示用户的工作职责。

IT 角色、应用程序和资产将资源权利（或访问权限）划分到各个组中。要为用户提供资源访问权限，请将 IT 角色、应用程序和资产分配给业务角色，以使用户在工作时能够访问所需的资源。

IT 角色、应用程序和资产可以是必需、条件或可选角色。

必需角色始终分配给用户。
条件角色具有一定的条件，其计算值必须为 true 才能分配该角色。
可选角色可以单独进行申请并会在经批准后分配给用户。

由于角色可以为条件或可选资源，因此，具有相同常规作业描述的用户可以具有相同的业务角色，但仍具有不同的访问权限。这种方法允许业务角色设计者定义粗粒度的角色访问，以使用户遵守相关的规定；同时仍为用户管理员提供了一定的灵活性，以微调用户的访问权限。通过采用这种方法，无需再为企业中的每种访问需求变化形式都定义新的业务角色（此问题称为角色爆炸）。

可以为用户分配一个或多个角色，也可以不分配角色。

注 –

有关角色的详细信息，请参见了解和管理角色。

资源和资源组

Identity Manager 存储了有关如何连接到资源或系统的信息。Identity Manager 可访问的资源包括：

数字资源，例如以下资源：
- 主机安全管理器
- 数据库
- 目录服务（如 LDAP）
- 应用程序
- 操作系统
- ERP 系统（如 SAP^TM）
非数字资源或 Identity Manager 的外部资源，例如以下资源：
- 移动电话
- 台式计算机
- 便携式计算机
- 安全徽章

每个 Identity Manager 资源都存储了以下类型的信息：

资源参数
Identity Manager 参数
帐户信息（包括帐户属性和身份模板）

有两种方法可将资源分配给用户。可以将资源直接分配给用户（这称为单独或直接分配），也可以将资源分配给角色，然后再将角色分配给用户（这称为基于角色或间接分配）。

单独分配。将各个资源直接分配给用户帐户。
基于角色的分配。将一个或多个资源分配给角色（应用程序、资产或 IT 角色）。然后，将应用程序、资产或 IT 角色分配给业务角色。最后，将一个或多个业务角色分配给用户帐户。

相关的 Identity Manager 对象（即资源组），可用分配资源的方法将其分配给用户帐户。资源组与资源相关联，因此您可按特定顺序在各资源上创建帐户。同时，它们简化了将多个资源分配给用户帐户的过程。

有关资源组的详细信息，请参见资源组。

组织和虚拟组织

组织是 Identity Manager 容器，用于实现管理委托。它们定义 Identity Manager 管理员控制或管理的实体的范围。

组织也可表示指向基于目录的资源的直接链接。这些链接称为虚拟组织。虚拟组织允许直接管理资源数据而无需将信息载入 Identity Manager 信息库。利用虚拟组织镜像现有目录结构和成员资格，Identity Manager 去除了重复且费时的设置任务。

包含其他组织的组织称为父组织。可在平面结构中创建组织，也可在分层结构中排列组织。分层结构可代表您用来管理用户帐户的部门、地理区域或其他逻辑部门。

有关组织的详细信息，请参见了解 Identity Manager 组织。

目录连接

目录连接是与分层相关的一组组织，它镜像目录资源的实际层级容器集合。目录资源通过使用分层容器来使用分层名称空间。目录资源的示例包括 LDAP 服务器和 Windows Active Directory 资源。

目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织，并且还镜像目录资源容器中的一个容器（已定义资源的基本环境容器的子容器）。

可以采用与组织一样的方法，使 Identity Manager 用户成为虚拟组织的成员，并且可用于虚拟组织。

有关目录连接的详细信息，请参见了解目录连接和虚拟组织。

Identity Manager 权能

可为每个用户分配权能或权限组，以使其能够通过 Identity Manager 执行管理操作。权能允许管理用户在系统内执行某些任务并对 Identity Manager 对象进行操作。

通常，您应根据特定工作职责（如密码重设或帐户批准）分配权能。通过为各个用户分配权能和权限，可创建一个分层管理结构，该结构在不危及数据保护安全的情况下提供具有针对性的访问和权限。

Identity Manager 提供一组用于常见管理功能的默认权能。满足您具体需求的权能也可被创建和分配。

有关权能的详细信息，请参见了解和管理权能。

管理员角色

Identity Manager 管理员角色使您能够为某个管理用户管理的每一个组织集合定义唯一的一组权能。管理员角色被分配了各种权能和受控组织，然后该角色可被分配给管理用户。

权能和受控组织可直接分配给管理员角色。这些权能和受控组织也可在管理用户每次登录到 Identity Manager 时间接地（动态）分配。Identity Manager 规则控制动态分配。

有关管理员角色的详细信息，请参见了解和管理管理员角色。

Identity Manager 策略

策略通过建立对帐户 ID、登录和密码特征的限制，对 Identity Manager 用户设置限制。Identity System 帐户策略建立用户、密码以及验证策略选项和限制。资源密码和帐户 ID 策略 设置长度规则、字符类型规则以及允许的字词和属性值。字典策略使 Identity Auditor 可以对照字词数据库检查密码，以确保密码不会轻易受到字典攻击。

有关策略的详细信息，请参见什么是策略？。

审计策略

区别于其他系统策略，审计策略会为一组特定资源的用户定义策略违规。审计策略会建立一个或多个规则，用于判断用户是否违规。这些规则取决于以资源定义的一个或多个属性为基础的条件。当系统扫描用户时，它使用在分配给该用户的审计策略中定义的条件，以确定是否发生违规。

有关审计策略的详细信息，请参见关于审计策略。

对象关系

下表简要说明了 Identity Manager 对象以及它们之间的关系。

表 1–1 Identity Manager 对象关系


Identity Manager 对象	它是什么？	适用目标
用户帐户	Identity Manager 和一种或多种资源上的帐户。用户数据可从资源加载到 Identity Manager。具有扩展权限的一类特殊用户（Identity Manager 管理员）	角色。通常，每个用户帐户都被分配了一个或多个角色。组织。用户帐户作为组织的一部分安排在分层结构中。Identity Manager 管理员还额外管理组织。资源。各资源均可被分配给用户帐户。权能。管理员被分配了适用于其管理的组织的权能。
角色	业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。应用程序和 IT 角色用于将资源划分到各个组中，以便通过业务角色将资源分配给用户。在大型组织中，基于角色的资源分配可简化资源管理。	资源和资源组。可将资源和资源组分配给资产、应用程序和 IT 角色。用户帐户。可将具有类似特征的用户帐户分配给业务角色。资产、应用程序和 IT 角色。可将资产、应用程序和 IT 角色分配给业务角色。
资源	存储有关帐户受到管理的系统、应用程序或其他资源的信息。	角色。可将资源分配给应用程序和 IT 角色，然后再将这些角色分配给业务角色。用户帐户将从其业务角色分配不严格地“继承”资源访问权限。用户帐户。资源可分别分配给用户帐户。
资源组	经排序的资源组。	角色。资源组被分配给角色；用户帐户通过分配业务角色“继承”资源的访问权限。用户帐户。资源组可直接分配给用户帐户。
组织	定义由管理员管理的实体的范围；具有分层结构。	资源。给定组织中的管理员可访问某些资源或所有资源。管理员。组织由具有管理权限的用户管理（控制）。管理员可管理一个或多个组织。给定组织中的管理权限可传递至其子组织。用户帐户。每个用户帐户都可被分配到一个 Identity Manager 组织以及一个或多个目录组织。
目录连接	分层相关的一组组织，这些组织镜像目录资源的实际层级容器集合。	组织。目录连接中的每个组织都是虚拟组织。
管理员角色	为分配给管理员的每一组组织定义唯一的一组权能。	管理员。管理员角色被分配给管理员。权能和组织。权能和组织被直接或间接（动态）分配给管理员角色。
权能	定义一组系统权限。	管理员。权能被分配给管理员。
策略	设置密码和验证限制。	用户帐户。策略被分配给用户帐户。组织。策略被分配给组织或由组织继承。
审计策略	设置用于判断用户是否违规的规则。	用户帐户。审计策略被分配给用户帐户。组织。审计策略被分配给组织。