管理帐户安全和权限

本节讨论了您可以执行哪些操作来提供用户帐户的安全访问并管理 Identity Manager 中的用户权限。

• 设置密码策略

• 用户验证

• 分配管理权限

设置密码策略

资源密码策略建立对密码的限制。强大的密码策略可提供增强的安全性，从而有助于保护资源不会遭受未经授权的登录尝试。可以编辑密码策略来设置或选择一定范围的特征值。

要开始使用密码策略，请单击主菜单中的“安全性”，然后单击“策略”。

要编辑密码策略，请在“策略”列表中单击该策略。要创建密码策略，请在 "New" 选项列表中选择 "String Quality Policy"。

有关策略的详细信息，请参见配置 Identity Manager 策略。

创建策略

密码策略是字符串质量策略的默认类型。在命名新策略并提供可选描述后，请为定义新策略的规则选择选项和参数。

长度规则

长度规则设置密码所需字符长度的最小值和最大值。选择此选项以启用规则，然后为规则输入限制值。

策略类型

选择策略类型按钮之一。如果选择“其他”选项，则必须在提供的文本字段中输入该类型。

字符类型规则

字符类型规则确定密码中可以包括的某些类型字符和数字的最少数量和最多数量。

其中包括：

• 字母、数字、大写、小写和特殊字符的最少数量和最多数量

• 嵌入的数字字符的最少数量和最多数量

• 重复字符和顺序字符的最多数量

• 开始字母和数字字符的最少数量

为每个字符类型规则输入一个数字限制值；或者输入 "All" 指示所有字符必须都是该类型字符。

字符类型规则的最小数目

还可以设置必须通过验证的字符类型规则的最小数目，如图 3–7 中所示。必须通过的最小数量是 1。最大数量不能超过您启用的字符类型规则数。

要将必须通过的最小数量设置为最高值，请输入 "All"。

图 3–7 密码策略（字符类型）规则

字典策略选项

可以选择根据字典中的词语检查密码，以防范简单的字典攻击。

在能够使用此选项之前，您必须：

• 配置字典

• 加载字典的词

从 "Policies" 页配置字典。有关如何设置字典的详细信息，请参见什么是字典策略？。

密码历史记录策略

可以禁止再次使用直接在新选密码之前使用的密码。

在 "Number of Previous Passwords that Cannot be Reused" 字段中，输入一个大于 1 的数字，以禁止再次使用当前和先前密码。例如，如果输入数值 3，新密码就不能与当前密码或直接在当前密码之前使用的两个密码相同。

您也可禁止再次使用先前密码中使用过的类似字符。在 "Maximum Number of Similar Characters from Previous Passwords that Cannot be Reused" 字段中，输入不能在新密码中重复使用的一个或多个先前密码中的连续字符数。例如，如果输入了值 7，且先前密码为 password1，则新密码不能为 password2 或 password3。

如果输入了值 0，则无论顺序如何，所有字符都不得相同。例如，如果先前密码为 abcd，则新密码不能包含字符 a、b、c 或 d。

此规则可应用于一个或多个先前密码。检查的先前密码的数量是“不能再次使用的先前密码数”字段中指定的数量。

不得包含词

可输入一个或多个密码不能包含的词。在输入框中，每行输入一个词。

还可以通过配置和实现字典策略排除词。有关详细信息，请参见什么是字典策略？。

不得包含属性

可以输入一个或多个密码不能包含的属性。

您可以指定以下属性：

• accountID

• email

• firstname

• fullname

• lastname

可在 UserUIConfig 配置对象中更改密码“不得包含”属性允许的设置。有关详细信息，请参见策略中不得包含属性。

实现密码策略

密码策略是为每个资源建立的。要将某个密码策略应用于指定资源，请从“密码策略”选项列表中选择它，“密码策略”选项列表位于“创建/编辑资源向导：Identity Manager 参数”页的“策略配置”区域中。

用户验证

如果用户忘记了密码或重设了密码，该用户可通过回答一个或多个帐户验证问题来获得访问 Identity Manager 的权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分，由您来设定。与密码策略不同，Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户（在“创建用户”页和“编辑用户”页中）。

在帐户策略中设置验证

1. 单击主菜单中的“安全性”，然后单击“策略”。

2. 从策略列表中选择“默认 Identity Manager 帐户策略”。

   验证选项位于该页的 "Secondary Authentication Policy Options" 区域中。

   要点！首次设置时，用户应登录到“用户界面”并提供对验证问题的初始答案。如果不设置这些问题，用户必须使用密码才能成功登录。

   验证问题策略决定了用户执行以下操作时所发生的情况：在登录页上单击“忘记密码？”按钮或访问“更改我的回答”页。用户验证介绍了其中的每个选项。

   选项	描述
   所有	要求用户回答所有策略定义的问题以及个性化问题。
   任何	Identity Manager 将显示所有策略定义的问题以及个性化问题。必须指定用户必须回答的问题数量。
   下一步	要求用户在首次登录时回答所有可能的策略定义问题。   如果用户在登录期间单击“忘记密码？”按钮，Identity Manager 将显示第一个问题。如果用户的回答不正确，Identity Manager 将显示下一个问题，直至用户正确回答了验证问题并登录，否则根据指定的失败尝试次数限制将其锁定。此策略不支持用户生成的问题。
   随机	允许管理员指定用户必须回答的问题数。Identity Manager 将从策略中定义的问题以及用户定义的问题列表中随机选择并显示指定数量的问题。用户必须回答所有显示的问题。
   循环	Identity Manager 从配置的问题列表中选择下一个问题，并将此问题分配给用户。为第一个用户分配验证问题列表中的第一个问题，为第二个用户分配第二个问题。此模式会一直持续下去，直至用户数超出问题数。此时，会按顺序依次将问题分配给用户。例如，如果共有 10 个问题，则将为第 11 个和第 21 个用户分配第一个问题。  仅显示选定的问题。如果您希望用户每次回答不同的问题，则需要使用“随机”策略，并将问题数设置为 1。  用户无法定义自己的验证问题。有关此功能的详细信息，请参见个性化验证问题。

   可以检验您的验证选择，方法是：登录到 Identity Manager 用户界面，单击“忘记密码？”按钮，并回答显示的一个或多个问题。

   图 3–8 显示了“用户帐户验证”屏幕的示例。

   图 3–8 User Account Authentication

   
   

个性化验证问题

在 Identity Manager 帐户策略中，您可以选择一个选项，以允许用户在用户界面和管理员界面中提供自己的验证问题。此外，可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。

然后用户可以在 "Change Answers to Authentication Questions" 页添加和更改问题。图 3–9 显示了此页的示例。

图 3–9 更改答案：个性化验证问题

验证后忽略更改密码质询

用户回答一个或多个问题成功通过验证后，默认情况下，系统会要求该用户提供一个新密码。但是，可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性，来配置 Identity Manager 忽略更改密码质询。

有关编辑系统配置对象的说明，请参见编辑 Identity Manager 配置对象。

要在成功验证后忽略所有应用程序的更改密码质询，请在系统配置对象中将 bypassChangePassword 属性设置如下：

示例 3–2 设置属性以忽略更改密码质询

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

要对特定应用程序禁用此密码质询，请将其设置如下：

示例 3–3 设置属性以禁用更改密码质询

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...

分配管理权限

可以将 Identity Manager 管理权限或权能分配给用户，如下所述：

• 管理员角色。分配了管理员角色的用户继承由角色定义的权能和受控组织。默认情况下，所有 Identity Manager 用户帐户在创建后都将分配用户管理员角色。有关管理员角色和创建管理员角色的详细信息，请参见第 5 章中的了解和管理 Identity Manager 资源。

• 权能。权能是由规则定义的。Identity Manager 提供了一系列权能，这些权能按照功能分为几个组，您可以从中进行选择。分配权能可以更为细化地分配管理权限。有关权能和创建权能的信息，请参见第 6 章中的了解和管理权能。

• 受控组织。受控组织授予对指定组织的管理控制权限。有关详细信息，请参见第 6 章中的了解 Identity Manager 组织。

有关 Identity Manager 管理员和管理职责的详细信息，请参见第 6 章。