简介

当今的企业需要其 IT 服务不断提高灵活性和能力。以前，管理对业务信息和系统的访问需要直接与有限数量的帐户进行交互。现在，管理访问则日渐意味着不仅要处理数量不断增加的内部客户，还要处理企业外部的合作伙伴和客户。

访问需求的增加可产生庞大的管理开销。作为管理员，您必须安全有效地使人们（企业内部或外部人员）能够顺利工作。同时，在提供初始访问后，您还面临连续、复杂的问题，诸如忘记密码与更改角色以及业务关系等。

此外，当今的企业面临对关键业务信息的安全性和完整性进行控制的严格要求。在受与遵循性相关的法案（例如，Sarbanes-Oxley (SOX) Act（沙宾法案）、Health Insurance Portability and Accountability Act（HIPAA，健康保险流通与责任法案）和 Gramm-Leach-Bliley (GLB) Act（金融服务现代化法案））所控制的环境中，由监控和报告活动而产生的开销非常重要并且昂贵。您必须能够对访问控制的更改做出快速反应，还必须满足有助于保证业务安全的数据收集和报告的要求。

Identity Manager 专用于帮助您应对动态环境下的这些管理难题。通过使用 Identity Manager 来分散访问管理开销和处理遵循性负担，更易于解决您面临的主要复杂问题：如何定义访问？定义访问之后，如何维护灵活性和进行控制？

一种安全而灵活的设计允许您设置 Identity Manager 以适应您企业的结构并应对这些复杂问题。将 Identity Manager 对象映射到您管理的实体（用户和资源），可显著提高运行效率。

在服务提供者环境中，Identity Manager 还将这些权能扩展到管理外联网用户。

Identity Manager 系统的目标

Identity Manager 解决方案使您可以达到以下目标：

• 管理帐户对大量不同系统和资源的访问。

• 安全地管理每个用户的一组帐户的动态帐户信息。

• 设置委托权限以创建和管理用户帐户数据。

• 处理大量企业资源以及日益增加的大量外联网客户及合作伙伴。

• 安全地授权用户访问企业信息系统。利用 Identity Manager，您能具备授予、管理和撤销对内部和外部组织的访问权限的完全集成功能。

• 通过不保留数据来保持数据同步。Identity Manager 解决方案支持上级系统管理工具应当遵守的两条关键原则：

  • 产品应对其管理的系统产生最小的影响。

  • 产品不会因增加了其他要管理的资源而使企业管理更复杂。

  定义审计策略以使用用户访问权限管理遵循性以及通过自动修正操作和电子邮件警报管理违规。

• 执行周期性访问查看，并定义使验证用户权限的过程自动化的证明查看和批准过程。

• 通过面板监视关键信息并审计和查看统计信息。

定义用户访问资源的权限

更广泛意义的企业用户可以是与公司存在某种关系的任何人，包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中，用户以用户帐户表示。

根据他们与您的业务和其他实体的关系，用户需要访问不同的目标，诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述，这些目标称为资源。

因为用户针对其访问的每个资源通常具有一个或多个身份，所以 Identity Manager 会创建单个虚拟身份，此身份映射到各个不同的资源。这允许您将用户作为单个实体进行管理。请参见图 1–1。

图 1–1 Identity Manager 用户帐户资源关系

为有效管理大量用户，您需要用逻辑方法将他们分组。在多数公司中，用户被分组到按职能或地理位置划分的各部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述，此类型的组称为组织。

另一种对用户分组的方法是按照类似特征，如公司关系或工作职责。Identity Manager 将这些组称为角色。

在 Identity Manager 系统中，您可为用户帐户分配角色，以便有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。

Identity Manager 用户的直接或间接管理也可通过应用策略实现，这些策略设置了规则和密码及用户验证选项。

了解用户类型

Identity Manager 提供两种用户类型：Identity Manager 用户和服务提供者用户（如果针对服务提供者实现配置了 Identity Manager 系统）。这两种类型允许您根据用户与公司的关系，来区分可能具有不同置备要求的用户，例如外联网用户与内联网用户。

服务提供者实现的一个典型方案是同时具有内部用户和外部用户（客户）的服务提供者公司，这些用户要使用 Identity Manager 进行管理。有关配置服务提供者实现的信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

可以在配置用户帐户时指定 Identity Manager 用户类型。有关服务提供者用户的详细信息，请参见第 17 章。

委托管理

要成功分布用户身份管理的职责，您需要在灵活性和控制之间寻求合适的平衡点。通过授予选择 Identity Manager 用户管理员权限并委托管理任务，您就能够将身份管理职责分配给最了解用户需求的那些人（如招聘部门的经理），从而可以减少开销并提高效率。具有此类扩展权限的用户称为 Identity Manager 管理员。

但是，委托仅能够在安全模式下发挥作用。为维持适当的控制级别，Identity Manager 允许您为管理员分配不同级别的权能。权能会批准系统内各种级别的访问和操作。

Identity Manager 工作流模型还包括用来确保某些操作需要批准的方法。Identity Manager 管理员可以使用工作流保持对任务的控制并跟踪任务的进度。有关工作流的详细信息，请参见《Sun Identity Manager Deployment Reference》中的第 1  章 “Workflow”。