证明进程
证明是由一个或多个指定的证明者执行的认证进程,以确认在特定日期用户权利的适当性。在访问查看过程中,证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户,但无需是 Identity Manager 管理员。
证明工作流
Identity Manager 使用证明工作流,该工作流在访问扫描标识需要查看的权利记录后启动。访问扫描将根据其中定义的规则进行确定。
由访问扫描评估的规则将确定是否需要手动证明用户权利记录,或是否可自动批准或拒绝该记录。如果需要手动证明用户权利记录,访问扫描将使用第二条规则来确定适当的证明者。
要手动证明的每个用户权利记录均将分配给工作流,每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送,对于每个证明者,该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流,否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知,并且通知数目可能较大(取决于扫描的用户数)。
证明安全访问
这些验证选项用于 authType AttestationWorkItem 的工作项目:
-
工作项目拥有者
-
工作项目拥有者的直接或间接管理员
-
控制工作项目拥有者所属组织的管理员
-
已通过验证检查验证的用户
默认情况下,验证检查的行为是以下行为之一:
-
所有者为尝试执行该操作的用户
-
所有者位于由尝试执行该操作的用户控制的组织中
-
所有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下表单属性单独配置:
-
controlOrg — 有效值为 true 或 false
-
subordinate — 有效值为 true 或 false
-
lastLevel — 包括在结果中的最后一个下属级别;-1 表示所有级别
lastLevel 的整数值默认为 -1,表示直接或间接下属。
可以在以下位置添加或修改这些选项:
用户表单:访问批准列表。
注 –
如果将证明安全设置为受组织控制,则还需要“审计者证明者”权能以修改其他用户的证明。
委托证明
默认情况下,访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择“按照委托”选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户,但尚未为访问查看扫描设置“按照委托”选项,则该证明者(而非已向其分配委托的用户)将收到证明请求通知和工作项目。
- © 2010, Oracle Corporation and/or its affiliates