test

Sun Identity Manager 8.1 业务管理员指南

周期性访问查看和证明

Identity Manager 提供了用于处理访问查看的进程,通过访问查看,管理员或其他责任方可以查看并验证用户访问权限。该进程有助于识别和管理随时间累积的用户权限,还有助于维护沙宾法案 (Sarbanes-Oxley)、GLBA 以及其他联邦管制委托授权的遵循性。

可以根据需要执行访问查看,也可以调度为定期执行(例如每个日历季度执行一次),这使您可以执行周期性访问查看,以维护正确级别的用户权限。访问查看可以包括审计策略扫描(可选)。

关于周期性访问查看

周期性访问查看是用于证明在某个特定的时间点,一组雇员对相应的资源具有适当权限的周期性进程。

周期性访问查看包括以下活动:

用户权利是在一组特定资源上的用户帐户的详细信息记录。

访问查看扫描

要启动周期性访问查看,必须首先至少定义一个访问扫描。

访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有可选审计策略,以及用于确定要手动证明的权利记录以及执行者的规则。

访问查看工作流进程

通常,Identity Manager 访问查看工作流可以:

有关修正权能的描述,请参见访问查看修正

所需的管理员权能

要执行周期性访问查看并管理查看进程,用户必须具有“审计者周期性访问查看管理员”权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。

要分配这些权能,请编辑用户帐户并修改安全属性。有关这些权能及其他权能的详细信息,请参见第 6 章中的了解和管理权能

证明进程

证明是由一个或多个指定的证明者执行的认证进程,以确认在特定日期用户权利的适当性。在访问查看过程中,证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户,但无需是 Identity Manager 管理员。

证明工作流

Identity Manager 使用证明工作流,该工作流在访问扫描标识需要查看的权利记录后启动。访问扫描将根据其中定义的规则进行确定。

由访问扫描评估的规则将确定是否需要手动证明用户权利记录,或是否可自动批准或拒绝该记录。如果需要手动证明用户权利记录,访问扫描将使用第二条规则来确定适当的证明者。

要手动证明的每个用户权利记录均将分配给工作流,每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送,对于每个证明者,该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流,否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知,并且通知数目可能较大(取决于扫描的用户数)。

证明安全访问

这些验证选项用于 authType AttestationWorkItem 的工作项目:

默认情况下,验证检查的行为是以下行为之一

第二个和第三个检查可通过修改以下表单属性单独配置:

lastLevel 的整数值默认为 -1,表示直接或间接下属。

可以在以下位置添加或修改这些选项:

用户表单:访问批准列表

注 –

如果将证明安全设置为受组织控制,则还需要“审计者证明者”权能以修改其他用户的证明。

委托证明

默认情况下,访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择“按照委托”选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户,但尚未为访问查看扫描设置“按照委托”选项,则该证明者(而非已向其分配委托的用户)将收到证明请求通知和工作项目。

计划进行周期性访问查看

对于任何企业,访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤,有助于将成本和时间降至最低。但是,某些进程仍然十分耗时。例如,从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率,并极大地降低投入。

计划进行周期性访问查看需要注意以下事项:

调节扫描任务

在扫描过程中,有多个线程会访问用户的视图,还可能访问用户具有帐户的资源。访问视图之后,会对多个审计策略和规则进行评估,这可能会导致创建遵循性违规。

为了防止两个线程同时更新相同的用户视图,该过程将针对此用户名建立一个内存中的锁定。如果无法在 5 秒(默认值)之内建立此锁定,则会向扫描任务中写入一个错误并跳过该用户,从而防止对同一组用户进行并发扫描。

可以编辑多个“可调节参数”的值,这些参数是作为任务参数提供给扫描任务的:

要更改这些参数的值,请编辑相应的“任务定义”表单。有关详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 2  章 “Identity Manager Forms”

创建访问扫描

Procedure定义访问查看扫描

  1. 选择“遵循性”->“管理访问扫描”。

  2. 单击“新建”以显示“创建新的访问扫描”页。

  3. 为访问扫描指定名称。

    注 –

    访问扫描名称不能包含以下字符:

    '(撇号)、.(句点)、|(管道符号)、[(左括号)、](右括号)、,(逗号)、:(冒号)、$(美元符号)、"(双引号)、\(反斜杠)或 =(等号)

    另外,还要避免使用以下字符:_(下划线)、%(百分号)、^(插入符号)和 *(星号)

  4. 添加有助于识别扫描的描述(可选)。

  5. 启用“动态权利”选项为证明者提供附加选项。

    这些选项包括:

    • 可以立即重新扫描暂挂证明,以刷新权利数据并重新评估证明需求。

    • 可以将暂挂证明路由到其他用户以进行修正。进行修正后,权利数据会被刷新并重新评估,以确定证明的必要性。

  6. 指定“用户范围类型”(必需)。

    从以下选项中进行选择:

    • 根据属性条件规则。根据选定的用户范围规则扫描用户。

      Identity Manager 提供了以下默认规则:

      • 所有管理员

        注 –

        可通过使用 Identity Manager IDE 来添加用户范围规则。有关 Identity Manager IDE 的信息,请访问 https://identitymanageride.dev.java.net/

      • 我的所有下属

      • All Non-Administrators

      • 我的直接下属

      • Users without a Manager

    • 分配给资源。扫描在一个或多个选定资源上具有帐户的所有用户。选择此选项后,页面将显示“用户范围资源”,可以用其指定资源。

    • 根据特定角色。扫描至少包含指定的一个角色或包含指定的所有角色的所有成员。

    • 组织成员。选择该选项可扫描一个或多个选定组织的所有成员。

    • 报告给管理员。扫描已报告给选定管理员的所有用户。管理员层次结构取决于用户的 Lighthouse 帐户的 Identity Manager 属性。

      如果用户范围为组织管理员,则可使用“递归范围”选项。此选项允许按受控成员链进行递归式用户选择。

  7. 如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规,请通过将您的选项从“可用审计策略”移动到“当前审计策略”列表,来选择要应用到此扫描的审计策略。

    向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是,除此之外,由审计策略检测到的任何违规都将存储在用户权利记录中。此信息可简化自动批准或拒绝,因为该规则可将用户权利记录中是否存在违规作为其逻辑的一部分。

  8. 如果在上述步骤中扫描了审计策略,则可以使用“策略模式”选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。

    1. 应用选定策略并忽略其他分配

    2. 仅在用户尚不具有任何分配时才应用选定策略

    3. 除了分配给用户的策略外,还应用选定策略

  9. (可选)指定查看进程所有者。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者,则对于在响应证明请求时遇到潜在冲突的证明者,他可以选择放弃而无需批准或拒绝用户权利,并且证明请求将会转发给该查看进程拥有者。单击选择框(省略号)可搜索用户帐户并进行选择。

  10. 按照委托。选择此选项可以对访问扫描启用委托。如果已选中此选项,访问扫描将仅应用委托设置。默认情况下将启用“按照委托”。

  11. 限制目标资源。选择此选项可限制扫描目标资源。

    此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源,每个用户权利记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集,您可以大大缩短 Identity Manager 创建用户权利记录所需的处理时间。

  12. 执行违规修正。选择该选项可在检测到违规时启用审计策略的修正工作流。

    如果选择此选项,则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。

    通常不应该选择此选项,除非情况比较复杂。

  13. 访问批准工作流。选择默认的标准证明工作流或选择自定义的工作流(如果有)。

    此工作流用于将要查看的用户权利记录显示给适当的证明者(如同由证明者规则确定)。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了升级,此工作流将负责升级暂停过久的工作项目。如果未指定任何工作流,则用户证明将无限期地处于暂挂状态。

    .

    注 –

    有关在此步骤和以下步骤中提到的 Identity Auditor 规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4  章 “Working with Rules”

  14. 证明者规则。选择默认的证明者规则,或选择自定义的证明者规则(如果有)。

    证明者规则将作为输入值提供给用户权利记录,并且返回证明者名称列表。如果选择了“按照委托”,则访问扫描将按照原始名称列表中每个用户所配置的委托信息,把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环,则将放弃委托信息,并且工作项目将提交给原始证明者。默认证明者规则指示证明者应该是权利记录所代表的用户的管理员 (idmManager),或者是配置器帐户(如果该用户的 idmManager 为 null)。如果证明需包括资源拥有者以及管理员,则必须使用自定义规则。

  15. 证明者提升规则。使用此选项可指定“默认提升证明者”规则,或选择自定义规则(如果可用)。您也可以为规则指定升级超时值。默认的提升超时值为 0 天。

    该规则将为已经过升级超时时间段的工作项目指定升级链。“默认提升证明者”规则将提升到所分配的证明者的管理员 (idmManager),或提升到配置器(如果证明者的 idmManager 值为 null)。

    您可以以分钟、小时或天数为单位指定升级超时值。

    手册包含有关证明者提升规则的其他信息。

  16. 查看确定规则。(必需

    选择以下规则之一以指定扫描进程将如何确定部署权利记录:

    • 拒绝更改的用户。自动拒绝用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。否则,强制执行手动证明并批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。

    • 查看更改的用户。强制执行手动证明任一用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。

    • 查看所有人。强制执行手动证明所有用户权利记录。

    "Reject Changed Users" 和 "Review Changed Users" 规则将比较用户权利和相同访问扫描(其中已批准权利记录)的上一个实例。

    您可以通过复制并修改规则来更改此行为,以便将比较操作限制在用户视图的任何选定部分。

    此规则可以返回以下值:

    • -1. 不需要证明

    • 0. 自动拒绝证明

    • 1. 需要手动证明

    • 2. 自动批准证明

    • 3. 自动修正证明(自动修正)

      手册包含有关查看确定规则的其他信息。

  17. 修正者规则。选择要使用的规则,以确定在自动修正的情况下,应由谁修正特定用户的权利。该规则可以检查用户的当前用户权利和违规,并且必须返回应该负责修正的用户的列表。如果未指定任何规则,则不会执行任何修正。权利具有遵循性违规时通常会使用此规则。

  18. 修正用户表单规则。选择规则,用于在编辑用户时为证明修正者选择相应的表单。修正者可以设置自己的表单(将覆盖此表单)。如果扫描搜集与自定义表单匹配的特定数据,则应设置此表单规则。

  19. 通知工作流。

    选择以下选项之一可为每个工作项目指定通知行为。

    • 。此选项为默认选项。此选项可导致证明者会因他必须证明的每个用户权利而收到一封电子邮件通知。

    • ScanNotification。此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。

      如果访问扫描中指定了查看进程拥有者,则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见创建访问扫描

      ScanNotification 工作流使用以下电子邮件模板:

      • 访问扫描开始通知

      • 访问扫描结束通知

      • 批量证明通知

        您可以自定义 ScanNotification 工作流。

  20. 违规限制。使用该选项可指定扫描在异常中止之前可发出的最大遵循性违规数。默认限制为 1000。值字段为空表示无限制。

    虽然通常情况下在审计扫描或访问扫描期间,策略违规数目与用户数目相比相对较小,但是设置此值可提供保护,以免受可大量增加违规数目的有缺陷策略的影响。例如,请考虑以下情况:

    如果访问扫描涉及 50,000 个用户并为每个用户生成两到三个违规,则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。

  21. 组织。选择可使用此访问扫描对象的组织。此字段为必填字段。

    单击“保存”可保存扫描定义。

删除访问扫描

您可以删除一个或多个访问扫描。要删除访问扫描,请从“遵循性”选项卡中选择“管理访问扫描”,选择扫描名称,然后单击“删除”。

管理访问查看

定义访问扫描之后,即可将其作为访问查看的一部分使用或调度。启动访问查看之后,可使用多个选项管理查看进程。

请阅读以下各节以了解详细信息:

启动访问查看

要从管理员界面启动访问查看,请使用以下方法之一:

在所显示的“启动任务”页中,指定访问查看的名称。从 "Available Access Scans" 列表中选择扫描并将其移动至 "Selected" 列表。

如果选择了多个扫描,则可以选择以下启动选项之一:

注 –

您可以在访问查看会话期间启动多个扫描。但是,考虑到每个扫描可能涉及大量的用户,因此要完成扫描进程可能要耗费数小时的时间。最佳实践证明您可以分别管理扫描。例如,您可以启动某个扫描以立即运行,并调度其他扫描在错开的时间进行。

单击“启动”可启动访问查看进程。

注 –

分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。

启动访问查看时,将显示工作流程图以指明该进程中执行的步骤。

调度访问查看任务

可从 "Server Tasks" 区域中调度访问查看任务。例如,要设置周期性访问查看,请选择“管理进度表”,然后定义进度表。您可以将任务调度为每月或每季度发生一次。

要定义进度表,请在“调度任务”页中选择“访问查看”任务,然后填写“创建任务进度表”页上的信息。

单击“保存”以保存已调度的任务。

注 –

默认情况下,Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看,请将“结果选项”设置为删除。如果 "Results Options" 未设置为删除,则不会运行新的查看,因为先前任务的结果仍然存在。

管理访问查看进度

使用 "Access Reviews" 选项卡可监视访问查看的进度。可通过“遵循性”选项卡访问该功能。

在“访问查看”选项卡中,您可以查看所有活动的和以前处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看:

要查看关于查看的更多详细信息,请选择该查看以打开摘要报告。

图 15–5 显示了示例访问查看摘要报告。

图 15–5 “访问查看摘要报告”页

该图显示了示例访问查看摘要报告

单击“组织”或“证明者”表单选项卡可查看按这些对象进行分类的扫描信息。

您还可以通过运行 "Access Review Summary Report" 在报告中查看和下载这些信息。

修改扫描属性

设置访问扫描之后,您可以编辑扫描以指定新选项,例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。

要编辑扫描定义,请从“访问扫描”列表中将其选中,然后在“编辑访问查看扫描”页中修改属性。

必须单击“保存”才能保存对扫描定义所做的所有更改。

注 –

更改访问扫描的范围可能会更改新获得的用户权利记录中的信息,因为如果“查看确定规则”对用户权利和以前的用户权利记录进行比较,则更改可能会对此规则产生影响。

取消访问查看

在“访问查看”页中,单击“终止”可停止进行中的选定查看。

终止查看将导致以下操作:

删除访问查看

在“访问查看”页中,单击“删除”可删除选定的查看。

如果访问查看任务的状态为已终止已完成,则可以删除该访问查看。无法删除正在进行中的访问查看任务,除非先将其终止。

删除访问查看将删除由该查看生成的所有用户权利记录。删除操作将记录在审计日志中。

要删除访问查看,请单击“访问查看”页中的“删除”。

注 –

取消和删除访问查看可能导致对大量 Identity Manager 对象和任务进行更新,完成该过程可能需要几分钟的时间。可以通过在“服务器任务”->“所有任务”中查看任务结果来检查操作的进度。

管理证明责任

您可以从 Identity Manager 管理员界面或用户界面中管理证明请求。本节提供了有关响应证明请求以及证明中包含的责任的信息。

访问查看通知

在扫描期间,当证明请求需要证明者的批准时,Identity Manager 会向证明者发送通知。如果已委托证明者职责,则将请求发送给委托者。如果定义了多个证明者,则每个证明者都将收到一封电子邮件通知。

请求将显示为 Identity Manager 界面中的证明工作项目。当已分配的证明者登录到 Identity Manager 时,屏幕将显示暂挂的证明工作项目。

查看暂挂证明请求

从界面的“工作项目”区域查看证明工作项目。选择“工作项目”区域中的“证明”选项卡,即可列出所有需要批准的权利记录。在“证明”页中,您还可以列出所有直接报告和指定用户(您可对其进行直接或间接控制)的权利记录。

对权利记录执行操作

证明工作项目包含需要查看的用户权利记录。权利记录提供了有关用户访问权限、已分配资源以及策略违规的信息。

对证明请求可能会做出以下响应:

如果在指定的升级超时时间段之前,证明者未采取以上任何一种操作对请求进行响应,则通知将发送至升级链中的下一个证明者。在记录响应之前,通知进程将继续。

可以从“遵循性”->“访问查看”选项卡中监视证明状态。

闭环修正

您可以避免拒绝用户权利,方法如下:

请求修正

您可以将暂挂证明路由到其他用户以进行修正(如果访问扫描已定义此操作)。

注 –

可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利”选项启用此功能。

Procedure从其他用户请求修正

  1. 从证明列表中选择一个或多个权利,然后单击“请求修正”。

    将显示“选择并确认请求修正”页。

  2. 输入用户名,然后单击“添加”将该用户添加到“转发至”字段。或者,单击 ...(更多)以搜索用户。在搜索列表中选择用户,然后单击“添加”将该用户添加到“转发至”列表。单击“解除”可关闭搜索区域。

  3. 在“注释”字段输入注释,然后单击“继续”。

    Identity Manager 将返回到证明列表。

    注 –

    修正请求的详细信息将显示在各用户权利的“历史”区域中。

重新扫描证明

您可以对暂挂证明进行重新扫描和重新评估(如果访问扫描已定义此操作)。

注 –

可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利”选项启用此功能。

Procedure重新扫描暂挂证明

  1. 从证明列表中选择一个或多个权利,然后单击“重新扫描”。

    将显示“重新扫描用户权利”页。

  2. 在“注释”区域输入有关重新扫描操作的注释,然后单击“继续”。

转发证明工作项目

可以将一个或多个证明工作项目转发至其他用户。

Procedure转发证明

  1. 在证明列表中选择一个或多个工作项目,然后单击“转发”。

    将显示“选择并确认转发”页。

  2. 在“转发至”字段中输入用户名。或者,单击 "..."(更多)以搜索用户名。

  3. 在“注释”字段中输入有关转发操作的注释。

  4. 单击“继续”。

    Identity Manager 将返回到证明列表。

    注 –

    转发操作的详细信息将显示在各用户权利的“历史”区域中。

对访问查看操作进行数字签名

您可以设置数字签名以处理访问查看操作。有关配置数字签名的信息,请参见对批准签名。此处讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准时所需的服务器端和客户端配置。

访问查看报告

Identity Manager 提供了以下报告,您可以使用这些报告评估访问查看的结果: