第 1 章 Identity Manager 概述

Sun Identity Manager 系统使您可以管理和审计对帐户和资源的访问。通过为您提供快速处理周期性和日常用户置备及审计任务的权能和工具，Identity Manager 有助于为内部和外部客户提供优越的服务。

本章包含以下主题：

• 简介

• Identity Manager 对象

简介

当今的企业需要其 IT 服务不断提高灵活性和能力。以前，管理对业务信息和系统的访问需要直接与有限数量的帐户进行交互。现在，管理访问则日渐意味着不仅要处理数量不断增加的内部客户，还要处理企业外部的合作伙伴和客户。

访问需求的增加可产生庞大的管理开销。作为管理员，您必须安全有效地使人们（企业内部或外部人员）能够顺利工作。同时，在提供初始访问后，您还面临连续、复杂的问题，诸如忘记密码与更改角色以及业务关系等。

此外，当今的企业面临对关键业务信息的安全性和完整性进行控制的严格要求。在受与遵循性相关的法案（例如，Sarbanes-Oxley (SOX) Act（沙宾法案）、Health Insurance Portability and Accountability Act（HIPAA，健康保险流通与责任法案）和 Gramm-Leach-Bliley (GLB) Act（金融服务现代化法案））所控制的环境中，由监控和报告活动而产生的开销非常重要并且昂贵。您必须能够对访问控制的更改做出快速反应，还必须满足有助于保证业务安全的数据收集和报告的要求。

Identity Manager 专用于帮助您应对动态环境下的这些管理难题。通过使用 Identity Manager 来分散访问管理开销和处理遵循性负担，更易于解决您面临的主要复杂问题：如何定义访问？定义访问之后，如何维护灵活性和进行控制？

一种安全而灵活的设计允许您设置 Identity Manager 以适应您企业的结构并应对这些复杂问题。将 Identity Manager 对象映射到您管理的实体（用户和资源），可显著提高运行效率。

在服务提供者环境中，Identity Manager 还将这些权能扩展到管理外联网用户。

Identity Manager 系统的目标

Identity Manager 解决方案使您可以达到以下目标：

• 管理帐户对大量不同系统和资源的访问。

• 安全地管理每个用户的一组帐户的动态帐户信息。

• 设置委托权限以创建和管理用户帐户数据。

• 处理大量企业资源以及日益增加的大量外联网客户及合作伙伴。

• 安全地授权用户访问企业信息系统。利用 Identity Manager，您能具备授予、管理和撤销对内部和外部组织的访问权限的完全集成功能。

• 通过不保留数据来保持数据同步。Identity Manager 解决方案支持上级系统管理工具应当遵守的两条关键原则：

  • 产品应对其管理的系统产生最小的影响。

  • 产品不会因增加了其他要管理的资源而使企业管理更复杂。

  定义审计策略以使用用户访问权限管理遵循性以及通过自动修正操作和电子邮件警报管理违规。

• 执行周期性访问查看，并定义使验证用户权限的过程自动化的证明查看和批准过程。

• 通过面板监视关键信息并审计和查看统计信息。

定义用户访问资源的权限

更广泛意义的企业用户可以是与公司存在某种关系的任何人，包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中，用户以用户帐户表示。

根据他们与您的业务和其他实体的关系，用户需要访问不同的目标，诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述，这些目标称为资源。

因为用户针对其访问的每个资源通常具有一个或多个身份，所以 Identity Manager 会创建单个虚拟身份，此身份映射到各个不同的资源。这允许您将用户作为单个实体进行管理。请参见图 1–1。

图 1–1 Identity Manager 用户帐户资源关系

为有效管理大量用户，您需要用逻辑方法将他们分组。在多数公司中，用户被分组到按职能或地理位置划分的各部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述，此类型的组称为组织。

另一种对用户分组的方法是按照类似特征，如公司关系或工作职责。Identity Manager 将这些组称为角色。

在 Identity Manager 系统中，您可为用户帐户分配角色，以便有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。

Identity Manager 用户的直接或间接管理也可通过应用策略实现，这些策略设置了规则和密码及用户验证选项。

了解用户类型

Identity Manager 提供两种用户类型：Identity Manager 用户和服务提供者用户（如果针对服务提供者实现配置了 Identity Manager 系统）。这两种类型允许您根据用户与公司的关系，来区分可能具有不同置备要求的用户，例如外联网用户与内联网用户。

服务提供者实现的一个典型方案是同时具有内部用户和外部用户（客户）的服务提供者公司，这些用户要使用 Identity Manager 进行管理。有关配置服务提供者实现的信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

可以在配置用户帐户时指定 Identity Manager 用户类型。有关服务提供者用户的详细信息，请参见第 17 章。

委托管理

要成功分布用户身份管理的职责，您需要在灵活性和控制之间寻求合适的平衡点。通过授予选择 Identity Manager 用户管理员权限并委托管理任务，您就能够将身份管理职责分配给最了解用户需求的那些人（如招聘部门的经理），从而可以减少开销并提高效率。具有此类扩展权限的用户称为 Identity Manager 管理员。

但是，委托仅能够在安全模式下发挥作用。为维持适当的控制级别，Identity Manager 允许您为管理员分配不同级别的权能。权能会批准系统内各种级别的访问和操作。

Identity Manager 工作流模型还包括用来确保某些操作需要批准的方法。Identity Manager 管理员可以使用工作流保持对任务的控制并跟踪任务的进度。有关工作流的详细信息，请参见《Sun Identity Manager Deployment Reference》中的第 1  章 “Workflow”。

Identity Manager 对象

清楚地了解 Identity Manager 对象及它们交互的方式对成功管理和部署系统极为重要。这些对象包括：

• Identity Manager 用户帐户

• Identity Manager 角色

• 资源和资源组

• 组织和虚拟组织

• 目录连接

• Identity Manager 权能

• 管理员角色

• Identity Manager 策略

• 审计策略

• 对象关系

---

注 –

在命名 Identity Manager 对象时，不要使用以下字符：

’（撇号）、.（句点）、|（管道符号）、[（左括号）、]（右括号）、,（逗号）、:（冒号）、$（美元符号）、"（双引号）、\（反斜杠）或 =（等号）。

还应该避免使用以下字符：_（下划线）、%（百分号）、^（插入符号）和 *（星号）。

---

Identity Manager 用户帐户

用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。

Identity Manager 用户帐户：

• 使用户能够访问一种或多种资源，并管理这些资源上的用户帐户数据。

• 作为分配的角色，以使用户能够访问多种资源。

• 是组织的一部分，组织决定了用户帐户由谁来管理及如何管理。

用户帐户设置过程是动态的过程。根据您在帐户设置期间选择的角色，您可以或多或少地提供一些特定于资源的信息，以创建帐户。与分配的角色相关的资源类型和数量决定了创建帐户所需的信息量。

管理员是指具有额外权限的用户，可通过这些权限管理用户帐户、资源和其他 Identity Manager 系统对象和任务。Identity Manager 管理员可以管理组织，并被分配了一定范围的权能，以应用于每个受管理组织中的对象。

有关用户帐户的详细信息，请参见第 3 章。有关管理员帐户的详细信息，请参见第 6 章。

Identity Manager 角色

角色是一个 Identity Manager 对象，通过该对象，可以将资源访问权限分组并有效地分配给用户。角色分为以下四种角色类型：

• 业务角色

• IT 角色

• 应用程序

• 资产

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常，业务角色表示用户的工作职责。

IT 角色、应用程序和资产将资源权利（或访问权限）划分到各个组中。要为用户提供资源访问权限，请将 IT 角色、应用程序和资产分配给业务角色，以使用户在工作时能够访问所需的资源。

IT 角色、应用程序和资产可以是必需、条件或可选角色。

• 必需角色始终分配给用户。

• 条件角色具有一定的条件，其计算值必须为 true 才能分配该角色。

• 可选角色可以单独进行申请并会在经批准后分配给用户。

由于角色可以为条件或可选资源，因此，具有相同常规作业描述的用户可以具有相同的业务角色，但仍具有不同的访问权限。这种方法允许业务角色设计者定义粗粒度的角色访问，以使用户遵守相关的规定；同时仍为用户管理员提供了一定的灵活性，以微调用户的访问权限。通过采用这种方法，无需再为企业中的每种访问需求变化形式都定义新的业务角色（此问题称为角色爆炸）。

可以为用户分配一个或多个角色，也可以不分配角色。

---

注 –

有关角色的详细信息，请参见了解和管理角色。

---

资源和资源组

Identity Manager 存储了有关如何连接到资源或系统的信息。Identity Manager 可访问的资源包括：

• 数字资源，例如以下资源：

  • 主机安全管理器

  • 数据库

  • 目录服务（如 LDAP）

  • 应用程序

  • 操作系统

  • ERP 系统（如 SAP^TM）

• 非数字资源或 Identity Manager 的外部资源，例如以下资源：

  • 移动电话

  • 台式计算机

  • 便携式计算机

  • 安全徽章

每个 Identity Manager 资源都存储了以下类型的信息：

• 资源参数

• Identity Manager 参数

• 帐户信息（包括帐户属性和身份模板）

有两种方法可将资源分配给用户。可以将资源直接分配给用户（这称为单独或直接分配），也可以将资源分配给角色，然后再将角色分配给用户（这称为基于角色或间接分配）。

• 单独分配。将各个资源直接分配给用户帐户。

• 基于角色的分配。将一个或多个资源分配给角色（应用程序、资产或 IT 角色）。然后，将应用程序、资产或 IT 角色分配给业务角色。最后，将一个或多个业务角色分配给用户帐户。

相关的 Identity Manager 对象（即资源组），可用分配资源的方法将其分配给用户帐户。资源组与资源相关联，因此您可按特定顺序在各资源上创建帐户。同时，它们简化了将多个资源分配给用户帐户的过程。

有关资源组的详细信息，请参见资源组。

组织和虚拟组织

组织是 Identity Manager 容器，用于实现管理委托。它们定义 Identity Manager 管理员控制或管理的实体的范围。

组织也可表示指向基于目录的资源的直接链接。这些链接称为虚拟组织。虚拟组织允许直接管理资源数据而无需将信息载入 Identity Manager 信息库。利用虚拟组织镜像现有目录结构和成员资格，Identity Manager 去除了重复且费时的设置任务。

包含其他组织的组织称为父组织。可在平面结构中创建组织，也可在分层结构中排列组织。分层结构可代表您用来管理用户帐户的部门、地理区域或其他逻辑部门。

有关组织的详细信息，请参见了解 Identity Manager 组织。

目录连接

目录连接是与分层相关的一组组织，它镜像目录资源的实际层级容器集合。目录资源通过使用分层容器来使用分层名称空间。目录资源的示例包括 LDAP 服务器和 Windows Active Directory 资源。

目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织，并且还镜像目录资源容器中的一个容器（已定义资源的基本环境容器的子容器）。

可以采用与组织一样的方法，使 Identity Manager 用户成为虚拟组织的成员，并且可用于虚拟组织。

有关目录连接的详细信息，请参见了解目录连接和虚拟组织。

Identity Manager 权能

可为每个用户分配权能或权限组，以使其能够通过 Identity Manager 执行管理操作。权能允许管理用户在系统内执行某些任务并对 Identity Manager 对象进行操作。

通常，您应根据特定工作职责（如密码重设或帐户批准）分配权能。通过为各个用户分配权能和权限，可创建一个分层管理结构，该结构在不危及数据保护安全的情况下提供具有针对性的访问和权限。

Identity Manager 提供一组用于常见管理功能的默认权能。满足您具体需求的权能也可被创建和分配。

有关权能的详细信息，请参见了解和管理权能。

管理员角色

Identity Manager 管理员角色使您能够为某个管理用户管理的每一个组织集合定义唯一的一组权能。管理员角色被分配了各种权能和受控组织，然后该角色可被分配给管理用户。

权能和受控组织可直接分配给管理员角色。这些权能和受控组织也可在管理用户每次登录到 Identity Manager 时间接地（动态）分配。Identity Manager 规则控制动态分配。

有关管理员角色的详细信息，请参见了解和管理管理员角色。

Identity Manager 策略

策略通过建立对帐户 ID、登录和密码特征的限制，对 Identity Manager 用户设置限制。Identity System 帐户策略建立用户、密码以及验证策略选项和限制。资源密码和帐户 ID 策略 设置长度规则、字符类型规则以及允许的字词和属性值。字典策略使 Identity Auditor 可以对照字词数据库检查密码，以确保密码不会轻易受到字典攻击。

有关策略的详细信息，请参见什么是策略？。

审计策略

区别于其他系统策略，审计策略会为一组特定资源的用户定义策略违规。审计策略会建立一个或多个规则，用于判断用户是否违规。这些规则取决于以资源定义的一个或多个属性为基础的条件。当系统扫描用户时，它使用在分配给该用户的审计策略中定义的条件，以确定是否发生违规。

有关审计策略的详细信息，请参见关于审计策略。

对象关系

下表简要说明了 Identity Manager 对象以及它们之间的关系。

表 1–1 Identity Manager 对象关系

Identity Manager 对象	它是什么？	适用目标
用户帐户	Identity Manager 和一种或多种资源上的帐户。用户数据可从资源加载到 Identity Manager。  具有扩展权限的一类特殊用户（Identity Manager 管理员）	角色。通常，每个用户帐户都被分配了一个或多个角色。 组织。用户帐户作为组织的一部分安排在分层结构中。Identity Manager 管理员还额外管理组织。 资源。各资源均可被分配给用户帐户。 权能。管理员被分配了适用于其管理的组织的权能。
角色	业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。应用程序和 IT 角色用于将资源划分到各个组中，以便通过业务角色将资源分配给用户。在大型组织中，基于角色的资源分配可简化资源管理。	资源和资源组。可将资源和资源组分配给资产、应用程序和 IT 角色。 用户帐户。可将具有类似特征的用户帐户分配给业务角色。 资产、应用程序和 IT 角色。可将资产、应用程序和 IT 角色分配给业务角色。
资源	存储有关帐户受到管理的系统、应用程序或其他资源的信息。	角色。可将资源分配给应用程序和 IT 角色，然后再将这些角色分配给业务角色。用户帐户将从其业务角色分配不严格地“继承”资源访问权限。 用户帐户。资源可分别分配给用户帐户。
资源组	经排序的资源组。	角色。资源组被分配给角色；用户帐户通过分配业务角色“继承”资源的访问权限。 用户帐户。资源组可直接分配给用户帐户。
组织	定义由管理员管理的实体的范围；具有分层结构。	资源。给定组织中的管理员可访问某些资源或所有资源。 管理员。组织由具有管理权限的用户管理（控制）。管理员可管理一个或多个组织。给定组织中的管理权限可传递至其子组织。 用户帐户。每个用户帐户都可被分配到一个 Identity Manager 组织以及一个或多个目录组织。
目录连接	分层相关的一组组织，这些组织镜像目录资源的实际层级容器集合。	组织。目录连接中的每个组织都是虚拟组织。
管理员角色	为分配给管理员的每一组组织定义唯一的一组权能。	管理员。管理员角色被分配给管理员。 权能和组织。权能和组织被直接或间接（动态）分配给管理员角色。
权能	定义一组系统权限。	管理员。权能被分配给管理员。
策略	设置密码和验证限制。	用户帐户。策略被分配给用户帐户。 组织。策略被分配给组织或由组织继承。
审计策略	设置用于判断用户是否违规的规则。	用户帐户。审计策略被分配给用户帐户。 组织。审计策略被分配给组织。