了解身份审计
Identity Manager 提供了一项用于审计用户帐户权限和访问权限的功能,还提供了另一项用于维护和证明遵循性的功能。这些功能是基于策略的遵循性和周期性访问查看。
基于策略的遵循性
对于公司针对所有用户帐户建立的要求,Identity Manager 通过审计策略系统使管理员能够维护对这些要求的遵循性。
可以使用审计策略通过两种不同却互补的方法来确保遵循性:连续遵循性和周期性遵循性。
对于置备操作可能在 Identity Manager 外部执行的环境,这两种技术更具互补性。如果帐户可能被不执行或不遵循现有审计策略的进程所更改,则需要周期性遵循性。
连续遵循性
连续遵循性表示审计策略将应用于所有置备操作,因此不能使用不符合当前策略的方法修改帐户。
可以通过将审计策略分配给组织和/或用户来启用连续遵循性。对用户执行的任何置备操作都将导致对分配给用户的策略进行评估。如果评估产生了任何策略失败,都会中断置备操作。
基于组织的策略集是分层定义的。任何用户都只有一个有效的组织策略集。所应用的策略集是分配给最低级别组织的策略集。例如:
|
组织 |
直接分配的策略集 |
有效的策略 |
|---|---|---|
|
Austin |
策略 A1、A2 |
策略 A1、A2 |
|
销售 |
策略 A1、A2 |
|
|
开发 |
策略 B、C2 |
策略 B、C2 |
|
支持 |
策略 B、C2 |
|
|
测试 |
策略 D、E5 |
策略 D、E5 |
|
财务 |
策略 A1、A2 |
|
|
Houston |
<无> |
周期性遵循性
周期性遵循性表示 Identity Manager 将根据需要评估策略。任何不符合的情况均会被捕获为遵循性违规。
执行周期性遵循性扫描时,您可以选择要在扫描中使用的策略。扫描过程混合了直接分配的策略(分配给用户的策略和分配给组织的策略)和任意一组选定的策略。
具有“审计者管理员”权能的 Identity Manager 用户可以创建审计策略,并通过定期执行策略扫描和查看策略违规来监视对这些策略的遵循性。可以通过修正和缓解过程管理违规。
有关审计者管理员权能的详细信息,请参见第 6 章中的了解和管理权能。
Identity Manager 审计允许常规的用户扫描。这些扫描执行审计策略以检测是否与既定的帐户限制有偏差。一旦检测到违规,便会启动修正活动。这些规则可以是 Identity Manager 提供的标准审计策略规则,也可以是自定义的用户定义规则。
基于策略的遵循性的逻辑任务流
图 13–1 显示了一个用于建立基于策略的审计控制的逻辑任务流。
周期性访问查看
Identity Manager 提供了周期性访问查看功能,使管理员与其他责任方可以临时或定期查看并验证用户访问权限。有关该功能的详细信息,请参见周期性访问查看和证明。
图 13–1 用于建立基于策略的遵循性的逻辑任务流
- © 2010, Oracle Corporation and/or its affiliates