第 13 章 身份审计:基本概念
本章介绍了身份审计和审计控制背后的概念。审计控制可用于监控和管理企业信息系统和应用程序中的审计和遵循性。
在本章中,您可以了解以下概念和任务:
关于身份审计
Identity Manager 将审计定义为对企业范围内身份数据的系统捕获、分析和响应,以确保遵循内部和外部的策略与法规。
遵循会计和数据隐私法案并不是一项简单的任务。Identity Manager 的审计功能提供了一种灵活的方法,可让您实现适用于企业的遵循性解决方案。
在大多数环境下,会有不同的组涉及到遵循性:内部和外部审计小组(视审计为主要任务);非审计人员(可能将审计视为非正式任务)。IT 通常也与遵循性有关,这有助于将内部审计小组的要求付诸于选定解决方案的实现。成功实现审计解决方案的关键在于准确地捕获非审计人员的知识、控制和过程,然后自动应用这些信息。
身份审计的目标
身份审计提高了审计性能,如下所示:
-
身份审计自动检测遵循性违规,便于通过即时通知进行快速修正
利用 Identity Manager 审计策略功能,可以定义违规的规则(即,条件)。定义完成后,系统会扫描是否存在违反既定策略的情况(例如,未授权的访问更改或错误的访问权限)。检测时,系统会根据已定义的提升链通知相应的人员。然后,用户调用的任务或者由策略违规自动调用的工作流可以修正(更正)违规。
-
按需提供有关内部审计控制有效性的关键信息
Auditor 报告提供有关违规和异常的摘要状态信息,以便快速分析风险状态。“报告”选项卡还提供违规的图形报告。您可以按资源、组织或策略查看违规,并根据您定义的报告特征自定义每个图表。
-
身份证书查看的自动化控制可降低操作风险
利用工作流权能可将策略和访问违规自动通知给选定的查看者。
-
准备详述用户活动和符合调整要求的综合报告
使用“报告”区域可定义详细的报告和图表,其中提供有关访问历史和权限以及其他策略违规的信息。系统会通过报告权能保留可在其中进行搜索的安全和综合的身份审计跟踪,以访问数据,更新用户概要文件。
-
简化周期性查看的过程以维护安全性和对法规的遵循性
执行周期性访问查看可收集用户权利记录,并确定哪些权利需要查看。然后,该进程会向指定的证明者通知要查看的暂挂请求,并在证明者完成对这些请求所执行的操作后更新状态或暂挂请求。
-
标识用户帐户的潜在利益冲突权能
Identity Manager 提供了任务划分报告,可标识具有特定权能或权限(可能导致利益冲突)的用户。
了解身份审计
Identity Manager 提供了一项用于审计用户帐户权限和访问权限的功能,还提供了另一项用于维护和证明遵循性的功能。这些功能是基于策略的遵循性和周期性访问查看。
基于策略的遵循性
对于公司针对所有用户帐户建立的要求,Identity Manager 通过审计策略系统使管理员能够维护对这些要求的遵循性。
可以使用审计策略通过两种不同却互补的方法来确保遵循性:连续遵循性和周期性遵循性。
对于置备操作可能在 Identity Manager 外部执行的环境,这两种技术更具互补性。如果帐户可能被不执行或不遵循现有审计策略的进程所更改,则需要周期性遵循性。
连续遵循性
连续遵循性表示审计策略将应用于所有置备操作,因此不能使用不符合当前策略的方法修改帐户。
可以通过将审计策略分配给组织和/或用户来启用连续遵循性。对用户执行的任何置备操作都将导致对分配给用户的策略进行评估。如果评估产生了任何策略失败,都会中断置备操作。
基于组织的策略集是分层定义的。任何用户都只有一个有效的组织策略集。所应用的策略集是分配给最低级别组织的策略集。例如:
|
组织 |
直接分配的策略集 |
有效的策略 |
|---|---|---|
|
Austin |
策略 A1、A2 |
策略 A1、A2 |
|
销售 |
策略 A1、A2 |
|
|
开发 |
策略 B、C2 |
策略 B、C2 |
|
支持 |
策略 B、C2 |
|
|
测试 |
策略 D、E5 |
策略 D、E5 |
|
财务 |
策略 A1、A2 |
|
|
Houston |
<无> |
周期性遵循性
周期性遵循性表示 Identity Manager 将根据需要评估策略。任何不符合的情况均会被捕获为遵循性违规。
执行周期性遵循性扫描时,您可以选择要在扫描中使用的策略。扫描过程混合了直接分配的策略(分配给用户的策略和分配给组织的策略)和任意一组选定的策略。
具有“审计者管理员”权能的 Identity Manager 用户可以创建审计策略,并通过定期执行策略扫描和查看策略违规来监视对这些策略的遵循性。可以通过修正和缓解过程管理违规。
有关审计者管理员权能的详细信息,请参见第 6 章中的了解和管理权能。
Identity Manager 审计允许常规的用户扫描。这些扫描执行审计策略以检测是否与既定的帐户限制有偏差。一旦检测到违规,便会启动修正活动。这些规则可以是 Identity Manager 提供的标准审计策略规则,也可以是自定义的用户定义规则。
基于策略的遵循性的逻辑任务流
图 13–1 显示了一个用于建立基于策略的审计控制的逻辑任务流。
周期性访问查看
Identity Manager 提供了周期性访问查看功能,使管理员与其他责任方可以临时或定期查看并验证用户访问权限。有关该功能的详细信息,请参见周期性访问查看和证明。
图 13–1 用于建立基于策略的遵循性的逻辑任务流
使用管理员界面中的身份审计
本节介绍了如何使用管理员界面访问身份审计功能。还介绍了身份审计中使用的电子邮件通知模板。
使用界面的“遵循性”部分
要创建和管理审计策略,请使用 Identity Manager 管理员界面的遵循性部分。
使用“遵循性”部分创建和管理审计策略
-
登录到管理员界面(登录到 Identity Manager 最终用户界面)。
-
在菜单栏中单击“遵循性”。
“遵循性”部分中包含以下子选项卡(或菜单项):
-
管理策略
-
管理访问扫描
-
访问查看
-
管理策略
“管理策略”页列出了您有权查看和编辑的策略。您还可以在该区域中管理访问扫描。
在“管理策略”页中,您可以使用审计策略完成以下任务:
-
创建审计策略
-
选择要查看或编辑的策略
-
删除策略
可以在审计策略方案示例一节中找到有关这些任务的详细信息。
管理访问扫描
可以使用“管理访问扫描”选项卡来创建、修改和删除访问扫描。可在此处定义要运行或要调度为周期性访问查看的扫描。有关该功能的详细信息,请参见周期性访问查看和证明。
访问查看
通过使用“访问查看”选项卡,您可以启动、终止、删除和监视访问查看的过程。它将显示扫描结果的摘要报告,并提供一些信息链接,通过这些链接可以访问有关查看状态和暂挂活动的更多详细信息。
有关该功能的更多信息,请参见管理访问查看。
身份审计任务界面参考
要了解如何使用管理员界面执行其他身份审计任务,请参见表 B–8。此快速参考介绍了应该从哪里启动各种审计任务。
电子邮件模板
身份审计在许多操作中使用电子邮件通知。其中每个通知都会使用一个电子邮件模板对象。电子邮件模板允许对电子邮件消息的标题和正文进行自定义。
表 13–1 身份审计电子邮件模板|
模板名称 |
用途 |
|---|---|
|
访问查看修正通知 |
最初在修正状态下创建用户权利时通过访问查看发送给修正者。 |
|
批量证明通知 |
证明者具有暂挂证明时通过访问查看发送给证明者。 |
|
策略违规通知 |
发生违规时通过审计策略扫描发送给修正者。 |
|
访问扫描开始通知 |
访问查看启动扫描时发送给访问扫描的拥有者。 |
|
访问扫描结束通知 |
访问扫描完成时发送给访问扫描的拥有者。 |
启用审计日志记录
必须先启用 Identity Manager 审计日志记录系统并将其配置为收集审计事件,您才能开始管理遵循性和访问查看。默认情况下将启用审计系统。具有配置审计权能的 Identity Manager 管理员可以配置审计。
Identity Manager 可提供遵循性管理审计配置组。
可以使用以下步骤查看或修改遵循性管理组存储的事件:
-
登录到管理员界面(登录到 Identity Manager 最终用户界面)。
-
在菜单栏中选择“配置”,然后单击“审计”。
-
在“审计配置”页上,选择遵循性管理审计组名称。
注 –
-
有关设置审计配置组的详细信息,请参见配置审计组和审计事件。
-
有关审计系统如何记录事件的信息,请参见第 10 章。
关于审计策略
审计策略针对一个或多个资源的一组用户定义了帐户限制。它由定义策略限制的规则和发生违规后用于处理违规的工作流组成。审计扫描使用审计策略中定义的条件来判断组织中是否发生了违规。
以下组件构成审计策略:
-
策略规则定义了特定违规。策略规则可以包含使用 XPRESS 语言、XML 对象语言或 JavaScript 语言编写的函数。
-
修正工作流(可选)在审计扫描发现违反策略规则时启动。
-
修正者是经授权可对策略违规进行响应的指定用户。修正者可以是单个用户或用户组。
使用审计策略规则创建策略
在审计策略中,规则会根据属性定义可能的冲突。审计策略中可包含引用大范围资源的上百条规则。在规则评估过程中,规则可以访问一个或多个资源中的用户帐户数据。审计策略可以限制哪些资源可供规则使用。
规则可以仅检查单个资源的单个属性,也可以检查多个资源的多个属性。
使用修正工作流解决策略违规问题
创建用于定义策略违规的规则后,可以选择将在审计扫描检测到违规时启动的工作流。Identity Manager 提供默认的“标准修正”工作流,它为审计策略扫描提供默认的修正处理。在其他操作中,此默认修正工作流为给每个指定的级别 1 修正者(如有必要,还可以是后续级别的修正者)生成通知邮件。
注 –
与 Identity Manager 工作流进程不同,必须为修正工作流分配 AuthType=AuditorAdminTask 和 SUBTYPE_REMEDIATION_WORKFLOW 子类型。如果要导入用于审计扫描的工作流,则必须手动添加此属性。有关详细信息,请参见(可选)将任务划分规则导入到 Identity Manager 中。
指定修正者
如果分配修正工作流,则必须至少指定一个修正者。最多可以为审计策略指定三个级别的修正者。有关修正的详细信息,请参见遵循性违规修正和缓解。
您必须先分配修正工作流,才能分配修正者。
审计策略方案示例
假定您负责处理应付账款和应收帐款,而且必须执行一些手续,以防止责任集中于会计部门雇员的潜在危险。此策略必须确保负责处理应付帐款的人员无需负责处理应收帐款。
该审计策略将包含以下内容:
-
一组规则。每条规则指定一个构成策略违规的条件。
-
一个启动修正任务的工作流。
-
一组指定的管理员或修正者,他们有权查看并响应由上述规则创建的策略违规。
规则识别出策略违规后(在此方案中,用户授权过多),相关工作流可启动与修正相关的特定任务,包括自动通知选择修正者。
级别 1 修正者是审计扫描识别出策略违规时要联系的第一个修正者。当超出该区域中标识的提升时间段时,Identity Manager 会通知下一级别的修正者(如果为审计策略指定了多个级别)。
下一节“使用审计策略”介绍了如何使用审计策略向导创建审计策略。
- © 2010, Oracle Corporation and/or its affiliates