test

Sun Identity Manager 8.1 业务管理员指南

配置取证查询

通过使用取证查询,Identity Manager 可以读取已存储在数据仓库中的数据。这些查询可以根据用户、角色或相关数据类型的当前或历史值来找出用户或角色。取证查询类似于“查找用户”或“查找角色”报告,但也有所不同,原因是它可以根据历史数据评估匹配条件,并且允许搜索与正在查询的用户或角色具有不同数据类型的属性。

取证查询的用途是使用 Identity Manager 对结果执行操作。取证查询并不是一种通用报告工具。

取证查询可能会提出类似于以下内容的问题:

无法保存取证查询的结果。应该使用商业报告工具完成仓库数据的常规报告。

创建查询

取证查询可以搜索用户对象或角色对象。取证查询可能非常复杂,允许创建者针对相关数据类型选择一个或多个属性条件。用户取证查询可以搜索数据类型为 User、Account、ResourceAccount、Role、Entitlement 和 WorkItem 的属性。角色取证查询可以搜索数据类型为 Role、User 和 Work Item 的属性。

在单个数据类型中,所有属性条件之间具有逻辑“与”关系,因此,必须符合所有条件才能匹配。默认情况下,各个数据类型之间的匹配项具有逻辑“与”关系;但如果选中了“使用 OR”复选框,则各个数据类型之间的匹配项具有逻辑“或”关系。

仓库可能包含单个用户对象或角色对象的多条记录,而单个查询可能会返回同一个用户或角色的多个匹配项。为便于区分这些匹配项,可以使用日期范围限制每种数据类型,以便仅将指定日期范围内的记录视为匹配项。可以使用日期范围限制每种相关数据类型,因此,可以发出以下形式的查询:


find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

日期范围是从午夜开始到午夜结束。例如,范围从 2007 年 5 月 3 日到 2007 年 5 月 5 日,时间长度为 48 小时。它不包含从 2007 年 5 月 5 日开始的任何记录。

每个属性条件的操作数(要进行比较的值)都必须指定为查询定义的一部分。该模式将某些属性限制为具有一组有限的可能值;而对其他属性则没有任何限制。例如,必须以 YYYY-MM-DD HH:mm:ss 格式输入大多数日期字段。

注 –

由于仓库中可能有大量数据,并且查询具有一定的复杂性,因此可能需要很长时间才能生成查询结果。如果在运行取证查询时离开查询页,则无法看到查询结果。

Procedure创建取证查询

  1. 在管理员界面中,单击主菜单中的“遵循性”。

    将打开“审计策略”页(“管理策略”选项卡)。

  2. 单击“取证查询”次级选项卡。

    将打开“搜索数据仓库”页。

    图 16–5 搜索数据仓库

    该图显示了“搜索数据仓库”页

  3. 从“类型”下拉菜单中,选择是搜索用户记录还是搜索角色记录。

  4. 选中“使用 OR”复选框,以使 Identity Manager 对查询的每种数据类型的结果执行逻辑“或”运算。默认情况下,系统对结果执行逻辑“与”运算。

  5. 选择一个表示将出现在取证查询中的数据类型的选项卡。

    1. 单击“添加条件”。将显示一组下拉菜单。

    2. 从左侧的下拉菜单中选择一个操作数(要检查的条件),从右侧的下拉菜单中选择比较类型,然后输入要搜索的字符串或整数。可能的操作数列表是按外部模式定义的。有关每个操作数的说明,请参阅联机帮助。

    3. (可选)选择一个日期范围以缩小查询范围。

      根据需要,在当前选定的数据类型中添加更多条件。对于将包含在取证查询定义中的所有数据类型,请重复此步骤。

  6. 在可用属性中,选择要在取证查询结果中显示的属性。

  7. 在“只返回前”字段中,指定一个值。在使用多种数据类型中的条件时,限制将应用于每种类型的子查询,并且最终结果是所有子查询的交集。因此,最终结果可能会由于子查询限制而排除某些记录。

  8. 单击“搜索”以立即运行取证查询,或者单击“保存查询”以重复使用该查询。有关重复使用取证查询的信息,请参见保存取证查询

保存取证查询

在配置了一个查询并(可选)执行该查询以确保它生成所需的结果后,可以保存该查询以供以后执行。

Procedure保存取证查询

  1. 在“搜索数据仓库”页中,单击“保存查询”。将打开“保存取证查询 (Forensic Query)”页。

  2. 指定查询的名称和描述。

  3. 选中“保存条件值”复选框,以保存在“搜索数据仓库”页中输入的条件值(字符串和整数)。如果未选中此复选框,则保存的取证查询将用作模板,您必须在每次运行查询时输入值。

  4. 任何人都可以执行任何已保存的查询,但默认情况下,只有查询创建者可以修改查询。要允许其他用户修改您的查询,请选中“允许他人更改此查询”复选框。

  5. 由于查询将返回用户对象或角色对象,因此,您可以选择要在结果中显示的对象属性。如果要显示“要显示的属性”列表中未包含的属性,您可以转到“数据导出器配置”页,然后在用户或角色类型中添加新的可显示属性。

加载查询

您可以加载任何用户保存的任何查询,但是只能修改自己创建的查询,或由其他人标记为可被任何人修改的查询。

Procedure加载取证查询

  1. 在“搜索数据仓库”页中,单击“加载查询”。将打开“加载取证查询 (Forensic Query)”页。如果已将查询保存为模板,“查询摘要”列将显示不完整的查询。

  2. 选中查询左侧的复选框,然后单击“加载查询”。