周期性访问查看是用于证明在某个特定的时间点,一组雇员对相应的资源具有适当权限的周期性进程。
周期性访问查看包括以下活动:
访问查看扫描。执行基于规则的用户权利评估以确定是否需要证明的扫描。
证明。通过批准或拒绝用户权利来响应证明请求的进程。
用户权利是在一组特定资源上的用户帐户的详细信息记录。
要启动周期性访问查看,必须首先至少定义一个访问扫描。
访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有可选审计策略,以及用于确定要手动证明的权利记录以及执行者的规则。
通常,Identity Manager 访问查看工作流可以:
构建用户列表、获取每个用户的帐户信息,以及评估可选审计策略
创建用户权利记录
确定每个用户权利记录是否需要证明
向每个证明者分配工作项目
等待所有证明者批准或等待首次拒绝
如果在指定的超时时间段内未收到对请求的任何响应,则提升到下一个证明者
使用解决方案更新用户权利记录
有关修正权能的描述,请参见访问查看修正。
要执行周期性访问查看并管理查看进程,用户必须具有“审计者周期性访问查看管理员”权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。
要分配这些权能,请编辑用户帐户并修改安全属性。有关这些权能及其他权能的详细信息,请参见第 6 章中的了解和管理权能。
证明是由一个或多个指定的证明者执行的认证进程,以确认在特定日期用户权利的适当性。在访问查看过程中,证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户,但无需是 Identity Manager 管理员。
Identity Manager 使用证明工作流,该工作流在访问扫描标识需要查看的权利记录后启动。访问扫描将根据其中定义的规则进行确定。
由访问扫描评估的规则将确定是否需要手动证明用户权利记录,或是否可自动批准或拒绝该记录。如果需要手动证明用户权利记录,访问扫描将使用第二条规则来确定适当的证明者。
要手动证明的每个用户权利记录均将分配给工作流,每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送,对于每个证明者,该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流,否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知,并且通知数目可能较大(取决于扫描的用户数)。
这些验证选项用于 authType AttestationWorkItem 的工作项目:
工作项目拥有者
工作项目拥有者的直接或间接管理员
控制工作项目拥有者所属组织的管理员
已通过验证检查验证的用户
默认情况下,验证检查的行为是以下行为之一:
所有者为尝试执行该操作的用户
所有者位于由尝试执行该操作的用户控制的组织中
所有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下表单属性单独配置:
controlOrg — 有效值为 true 或 false
subordinate — 有效值为 true 或 false
lastLevel — 包括在结果中的最后一个下属级别;-1 表示所有级别
lastLevel 的整数值默认为 -1,表示直接或间接下属。
可以在以下位置添加或修改这些选项:
用户表单:访问批准列表。
如果将证明安全设置为受组织控制,则还需要“审计者证明者”权能以修改其他用户的证明。
默认情况下,访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择“按照委托”选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户,但尚未为访问查看扫描设置“按照委托”选项,则该证明者(而非已向其分配委托的用户)将收到证明请求通知和工作项目。