创建访问扫描
定义访问查看扫描
-
选择“遵循性”->“管理访问扫描”。
-
单击“新建”以显示“创建新的访问扫描”页。
-
为访问扫描指定名称。
注 –访问扫描名称不能包含以下字符:
'(撇号)、.(句点)、|(管道符号)、[(左括号)、](右括号)、,(逗号)、:(冒号)、$(美元符号)、"(双引号)、\(反斜杠)或 =(等号)
另外,还要避免使用以下字符:_(下划线)、%(百分号)、^(插入符号)和 *(星号)
-
添加有助于识别扫描的描述(可选)。
-
启用“动态权利”选项为证明者提供附加选项。
这些选项包括:
-
可以立即重新扫描暂挂证明,以刷新权利数据并重新评估证明需求。
-
可以将暂挂证明路由到其他用户以进行修正。进行修正后,权利数据会被刷新并重新评估,以确定证明的必要性。
-
-
指定“用户范围类型”(必需)。
从以下选项中进行选择:
-
根据属性条件规则。根据选定的用户范围规则扫描用户。
Identity Manager 提供了以下默认规则:
-
所有管理员
注 –可通过使用 Identity Manager IDE 来添加用户范围规则。有关 Identity Manager IDE 的信息,请访问 https://identitymanageride.dev.java.net/。
-
我的所有下属
-
All Non-Administrators
-
我的直接下属
-
Users without a Manager
-
-
分配给资源。扫描在一个或多个选定资源上具有帐户的所有用户。选择此选项后,页面将显示“用户范围资源”,可以用其指定资源。
-
根据特定角色。扫描至少包含指定的一个角色或包含指定的所有角色的所有成员。
-
组织成员。选择该选项可扫描一个或多个选定组织的所有成员。
-
报告给管理员。扫描已报告给选定管理员的所有用户。管理员层次结构取决于用户的 Lighthouse 帐户的 Identity Manager 属性。
如果用户范围为组织或管理员,则可使用“递归范围”选项。此选项允许按受控成员链进行递归式用户选择。
-
-
如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规,请通过将您的选项从“可用审计策略”移动到“当前审计策略”列表,来选择要应用到此扫描的审计策略。
向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是,除此之外,由审计策略检测到的任何违规都将存储在用户权利记录中。此信息可简化自动批准或拒绝,因为该规则可将用户权利记录中是否存在违规作为其逻辑的一部分。
-
如果在上述步骤中扫描了审计策略,则可以使用“策略模式”选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。
-
(可选)指定查看进程所有者。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者,则对于在响应证明请求时遇到潜在冲突的证明者,他可以选择放弃而无需批准或拒绝用户权利,并且证明请求将会转发给该查看进程拥有者。单击选择框(省略号)可搜索用户帐户并进行选择。
-
按照委托。选择此选项可以对访问扫描启用委托。如果已选中此选项,访问扫描将仅应用委托设置。默认情况下将启用“按照委托”。
-
限制目标资源。选择此选项可限制扫描目标资源。
此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源,每个用户权利记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集,您可以大大缩短 Identity Manager 创建用户权利记录所需的处理时间。
-
执行违规修正。选择该选项可在检测到违规时启用审计策略的修正工作流。
如果选择此选项,则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。
通常不应该选择此选项,除非情况比较复杂。
-
访问批准工作流。选择默认的标准证明工作流或选择自定义的工作流(如果有)。
此工作流用于将要查看的用户权利记录显示给适当的证明者(如同由证明者规则确定)。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了升级,此工作流将负责升级暂停过久的工作项目。如果未指定任何工作流,则用户证明将无限期地处于暂挂状态。
.
注 –有关在此步骤和以下步骤中提到的 Identity Auditor 规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4 章 “Working with Rules”。
-
证明者规则。选择默认的证明者规则,或选择自定义的证明者规则(如果有)。
证明者规则将作为输入值提供给用户权利记录,并且返回证明者名称列表。如果选择了“按照委托”,则访问扫描将按照原始名称列表中每个用户所配置的委托信息,把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环,则将放弃委托信息,并且工作项目将提交给原始证明者。默认证明者规则指示证明者应该是权利记录所代表的用户的管理员 (idmManager),或者是配置器帐户(如果该用户的 idmManager 为 null)。如果证明需包括资源拥有者以及管理员,则必须使用自定义规则。
-
证明者提升规则。使用此选项可指定“默认提升证明者”规则,或选择自定义规则(如果可用)。您也可以为规则指定升级超时值。默认的提升超时值为 0 天。
该规则将为已经过升级超时时间段的工作项目指定升级链。“默认提升证明者”规则将提升到所分配的证明者的管理员 (idmManager),或提升到配置器(如果证明者的 idmManager 值为 null)。
您可以以分钟、小时或天数为单位指定升级超时值。
手册包含有关证明者提升规则的其他信息。
-
查看确定规则。(必需)
选择以下规则之一以指定扫描进程将如何确定部署权利记录:
-
拒绝更改的用户。自动拒绝用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。否则,强制执行手动证明并批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。
-
查看更改的用户。强制执行手动证明任一用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。
-
查看所有人。强制执行手动证明所有用户权利记录。
"Reject Changed Users" 和 "Review Changed Users" 规则将比较用户权利和相同访问扫描(其中已批准权利记录)的上一个实例。
您可以通过复制并修改规则来更改此行为,以便将比较操作限制在用户视图的任何选定部分。
此规则可以返回以下值:
-
-1. 不需要证明
-
0. 自动拒绝证明
-
1. 需要手动证明
-
2. 自动批准证明
-
3. 自动修正证明(自动修正)
手册包含有关查看确定规则的其他信息。
-
-
修正者规则。选择要使用的规则,以确定在自动修正的情况下,应由谁修正特定用户的权利。该规则可以检查用户的当前用户权利和违规,并且必须返回应该负责修正的用户的列表。如果未指定任何规则,则不会执行任何修正。权利具有遵循性违规时通常会使用此规则。
-
修正用户表单规则。选择规则,用于在编辑用户时为证明修正者选择相应的表单。修正者可以设置自己的表单(将覆盖此表单)。如果扫描搜集与自定义表单匹配的特定数据,则应设置此表单规则。
-
通知工作流。
选择以下选项之一可为每个工作项目指定通知行为。
-
无。此选项为默认选项。此选项可导致证明者会因他必须证明的每个用户权利而收到一封电子邮件通知。
-
ScanNotification。此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。
如果访问扫描中指定了查看进程拥有者,则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见创建访问扫描。
ScanNotification 工作流使用以下电子邮件模板:
-
访问扫描开始通知
-
访问扫描结束通知
-
批量证明通知
您可以自定义 ScanNotification 工作流。
-
-
-
违规限制。使用该选项可指定扫描在异常中止之前可发出的最大遵循性违规数。默认限制为 1000。值字段为空表示无限制。
虽然通常情况下在审计扫描或访问扫描期间,策略违规数目与用户数目相比相对较小,但是设置此值可提供保护,以免受可大量增加违规数目的有缺陷策略的影响。例如,请考虑以下情况:
如果访问扫描涉及 50,000 个用户并为每个用户生成两到三个违规,则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。
-
组织。选择可使用此访问扫描对象的组织。此字段为必填字段。
单击“保存”可保存扫描定义。
- © 2010, Oracle Corporation and/or its affiliates