用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。
通过使用 Identity Manager 的“帐户”/“用户列表”页,您可以管理 Identity Manager 用户。要访问此区域,请单击管理员界面菜单栏上的帐户。
帐户列表显示所有 Identity Manager 用户帐户。帐户按组织和虚拟组织进行分组,这些组织以文件夹的形式分层表示。
您可以按全名 ("Name")、用户的姓 ("Last Name") 或用户的名 ("First Name") 对帐户列表进行排序。单击标题栏可以按列进行排序。单击同一标题栏可以在升序和降序间切换。按全称(“名称”列)排序时,分层结构中所有级别的所有项都按字母顺序排序。
要展开分层结构视图,查看组织中的帐户,请单击文件夹旁的三角指示符。再次单击指示符可折叠视图。
可以使用操作列表(位于帐户区域的顶部和底部,如帐户区域中的操作列表中所示)执行一系列操作。
操作列表选项分为:
新建操作。创建用户、组织和目录连接。
用户操作。编辑、查看和更改用户状态;更改和重设密码;删除、启用、禁用、解除锁定、移动、更新和重命名用户;运行用户审计报告。
组织操作。执行一系列组织和用户操作。
使用帐户区域搜索功能查找用户和组织。从列表中选择“组织”或“用户”,在搜索区域中输入用户或组织名称开头的一个或多个字符,然后单击搜索。有关在帐户区域中搜索的详细信息,请参见查找和查看用户帐户。
每个用户帐户旁边显示的图标指示当前已分配帐户的状态。表 3–1 介绍了每个图标所表示的含义。
表 3–1 用户帐户状态图标描述
指示器 |
状态 |
---|---|
|
已锁定用户的 Identity Manager 帐户。请注意,此图标仅反映了 Identity Manager 帐户的锁定状态,而不反映用户的任何资源帐户的状态。 在超过 Identity Manager 帐户策略中定义的 Identity Manager 帐户登录尝试失败的最大次数后,将会锁定用户。在允许的最大次数中,仅计算 Identity Manager 帐户的密码或提问式登录失败次数。因此,如果 Identity Manager 登录应用程序(即,管理员界面、最终用户界面等)的登录模块组中不包含 Identity Manager 登录模块,则不会考虑 Identity Manager 失败的密码策略。不过,无论为给定 Identity Manager 登录应用程序配置了哪种登录模块栈,只要提问式登录失败次数超过在 Identity Manager 帐户策略中配置的最大次数,都可能会导致用户锁定并显示该图标。 有关如何解除帐户锁定的信息,请参见解除锁定用户帐户。 |
|
已锁定管理员的 Identity Manager 帐户。请注意,此图标仅反映了 Identity Manager 帐户的锁定状态,而不反映管理员的任何资源帐户的状态。有关详细信息,请参见上面对用户锁定图标的描述。 |
|
已在所有已分配资源和 Identity Manager 中禁用此帐户。(启用帐户时,不显示图标。) 有关如何启用已禁用的帐户的信息,请参见禁用、启用和解除锁定用户帐户。 |
|
帐户被部分禁用,表示在一个或多个已分配资源上被禁用。 |
|
系统尝试在一个或多个资源上创建或更新 Identity Manager 用户帐户,但未成功。(如果在所有已分配资源上更新了某一帐户,则不显示图标。) |
在“管理员”列中,如果 Identity Manager 找不到与列出的名称匹配的 Identity Manager 帐户,则管理员的用户名将显示在括号内。
本节介绍了管理员界面中提供的“创建用户”、“编辑用户”和“查看用户”页。本章后面介绍了如何使用这些页面。
本文档介绍了随 Identity Manager 提供的一组默认“创建用户”、“编辑用户”和“查看用户”页。不过,为了更好地反映业务流程或特定管理员权能,应创建针对您的环境的自定义用户表单。有关自定义用户表单的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 2 章 “Identity Manager Forms”。
默认 Identity Manager 用户页面将划分到以下选项卡或部分中:
身份
分配
安全
委托
属性
遵循性
“身份”区域定义了用户的帐户 ID、名称、联系人信息、管理员、控制的组织和 Identity Manager 帐户密码。它还标识用户可以访问的资源以及控制每个资源帐户的密码策略。
有关设置帐户密码策略的信息,请参阅本章中标题为管理帐户安全和权限的一节。
下图展示了“创建用户”页的“身份”区域。
“资源”区域可用于为用户直接分配资源和资源组。还可以分配资源排除。
直接分配的资源为通过角色分配间接分配给用户的资源提供补充。角色分配概要描述了一类用户。角色通过间接分配定义用户对资源的访问。
“角色”选项卡用于将一个或多个角色分配给用户,以及管理这些角色分配。
有关此选项卡的信息,请参见将角色分配给用户。
在 Identity Manager 术语中,分配了扩展权能的用户称为 Identity Manager 管理员。可以使用“安全性”选项卡为用户分配管理员权限。
有关使用“安全性”选项卡创建管理员的详细信息,请参见创建和管理管理员。
安全表单包含以下几个部分。
管理员角色。为用户分配一个或多个管理角色。角色是一对特定的权能和受控组织,有助于以协调的方式为用户分配管理职责。
权能。在 Identity Manager 系统中启用权限。通常根据工作职责向每个 Identity Manager 管理员分配一项或多项权能。
了解和管理权能中介绍了权能。附录 D包含基于任务的权能及其定义的列表。该附录还列出了可使用每种权能访问的选项卡和子选项卡。
受控组织。分配该用户有权以管理员身份管理的组织。该管理员可管理已分配组织以及在分层结构中处于该组织之下的任何组织中的对象。
要拥有管理员权能,必须至少为用户分配一个管理员角色,或一个或多个权能,以及一个或多个受控组织。有关 Identity Manager 管理员的详细信息,请参见了解 Identity Manager 管理。
用户表单。指定管理员在创建和编辑用户时将使用的用户表单。如果选择 None,管理员将继承分配给其组织的用户表单。
查看用户表单。指定管理员在查看用户时将使用的用户表单。如果选择 None,管理员将继承分配给其组织的查看用户表单。
帐户策略。设置密码和验证限制。
“创建用户”页上的“委托”选项卡允许您在指定的时间内将工作项目委托给其他用户。有关委托工作项目的详细信息,请参阅委托工作项目。
“创建用户”页上的“属性”选项卡定义与分配的资源关联的帐户属性。列出的属性按分配的资源分类,具体情况根据分配资源的不同而不同。
“遵循性”选项卡:
允许您为用户帐户选择证明和修正表单。
指定为用户帐户分配的审计策略,包括通过用户的组织分配生效的策略。仅可以通过编辑用户的当前组织或将用户移动到其他组织来更改这些策略分配。
指示策略扫描、违规和免除的当前状态,如下图所示(如果适用于用户帐户)。此信息包括选定用户上一次审计策略扫描的日期和时间。
要分配审计策略,请将选定策略从可用审计策略列表移动到当前审计策略列表中。
通过从用户操作列表中选择查看遵循性违规日志并指定要查看的条目范围,可以查看在特定时间段内为用户记录的遵循性违规。