安全实践

作为 Identity Manager 管理员，可以通过在安装时和安装后遵照以下建议进一步减少受保护帐户和数据的安全风险。

安装时

在安装期间减少安全风险：

• 通过使用 HTTPS 的安全 Web 服务器访问 Identity Manager。

• 重设默认 Identity Manager 管理员帐户（管理员和配置器）的密码。要进一步保护这些帐户的安全，可将其重命名。

• 限制对 "Configurator" 帐户的访问。

• 将管理员的权能集限制为仅是他们的工作职责所需的那些操作，并且通过设置组织分层结构限制管理员权能。

• 更改 Identity Manager 索引信息库的默认密码。

• 启用审计功能，以跟踪 Identity Manager 应用程序中的活动。

• 编辑 Identity Manager 目录中的文件的权限。

• 自定义工作流以插入批准或其他检查点。

• 开发恢复过程，以描述如何在出现紧急情况时恢复 Identity Manager 环境。

使用时

在使用期间减少安全风险：

• 定期更改默认 Identity Manager 管理员帐户（管理员和配置器）的密码。

• 如果当前没有使用 Identity Manager，请注销该系统。

• 设置或了解 Identity Manager 会话的默认超时时间段。会话超时值可能不同，因为可以为每个登录应用程序单独设置这些值。

如果您的应用服务器是 Servlet 2.2 兼容的服务器，则 Identity Manager 安装进程会将 HTTP 会话超时设置为默认值 30 分钟。通过编辑属性可以更改此值；但是，应将此值设置得更小，以提高安全性。不要将此值设置为高于 30 分钟。

要更改会话超时值

1. 编辑 web.xml 文件，该文件位于应用服务器目录树中的 idm/WEB-INF 目录中。

2. 更改下列各行中的数字值：

   <session-config> <session-timeout>30</session-timeout></session-config>