Identity Manager 在检测到未解决的(未缓解的)审计策略遵循性违规时,将创建一个修正请求,该请求必须由修正者进行处理。修正者是一个指定的用户,允许其评估并响应审计策略违规。
Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作,则 Identity Manager 会将违规提升至级别 2 修正者,并开始新的超时时间段。如果级别 2 修正者在超时之前未响应,则该请求再次被升级至级别 3 修正者。
要执行修正,必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的,但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。
这些验证选项用于 authType RemediationWorkItem 的工作项目。
修正工作项目拥有者
修正工作项目拥有者的直接或间接管理员
控制修正工作项目拥有者所属组织的管理员
默认情况下,验证检查的行为是以下行为之一:
所有者为尝试执行该操作的用户
所有者位于由尝试执行该操作的用户控制的组织中
拥有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下选项单独配置:
controlOrg。有效值为 true 或 false。
subordinate。有效值为 true 或 false。
lastLevel。包括在结果中的最后一个下属级别;-1 表示所有级别。lastLevel 的整数值默认为 -1,表示直接或间接下属。
可通过以下方式添加或修改这些选项:
用户表单:修正列表
Identity Manager 提供了标准修正工作流,从而为审计策略扫描提供修正处理。
标准修正工作流生成一个包含有关遵循性违规信息的修正请求(查看类型的工作项目),并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时,工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。
可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true,则将为每个用户/策略/规则组合创建新的遵循性违规(如果该组合当前尚不具有违规)。如果该组合具有违规,并且违规处于已缓解状态,则工作流进程将不执行任何操作。如果未缓解现有违规,则其反复出现次数将增加一次。
有关修正工作流的详细信息,请参见关于审计策略。
默认情况下,为每个修正者提供三个响应选项:
修正。修正者指示已经为修复有关资源的问题而进行了工作。
修改遵循性违规时,Identity Manager 会创建一个审计事件来记录修正。此外,Identity Manager 还存储修正者名称及提供的所有注释。
修正后,在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描,则违规修正后将立即对用户进行重新扫描。
缓解。修正者允许违规,并在一定的时间内对用户违规进行免除。
如果是经过权衡后的违规(例如,一个属于两个组的业务案例),则可长期缓解此违规。您也可以短期缓解违规(例如,因资源的系统管理员休假,您不知道如何修复问题的情况)。
Identity Manager 中存储了缓解违规的修正者的名称、免除的到期日期及提供的所有注释。
Identity Manager 检测到到期的免除时,它会将违规从已缓解状态返回至暂挂状态。
转发。修正者将解决违规的职责重新分配给另外一个人。
您的企业建立了一条规则,规定用户无法同时负责“应付帐款”和“应收帐款”,并且您收到了用户违反此规则的通知。
如果该用户是一个主管,并且在公司雇佣其他人负责其中的一个职位之前,他同时负责这两个职位,则可以缓解此违规,并签发一个最长六个月的免除期。
如果用户违反此规则,可请求 Oracle ERP 管理员更正此冲突,然后,在资源的相关问题解决修复后修正此违规。或者,您还可以将修正请求转发给 Oracle ERP 管理员。