关于审计策略
审计策略针对一个或多个资源的一组用户定义了帐户限制。它由定义策略限制的规则和发生违规后用于处理违规的工作流组成。审计扫描使用审计策略中定义的条件来判断组织中是否发生了违规。
以下组件构成审计策略:
-
策略规则定义了特定违规。策略规则可以包含使用 XPRESS 语言、XML 对象语言或 JavaScript 语言编写的函数。
-
修正工作流(可选)在审计扫描发现违反策略规则时启动。
-
修正者是经授权可对策略违规进行响应的指定用户。修正者可以是单个用户或用户组。
使用审计策略规则创建策略
在审计策略中,规则会根据属性定义可能的冲突。审计策略中可包含引用大范围资源的上百条规则。在规则评估过程中,规则可以访问一个或多个资源中的用户帐户数据。审计策略可以限制哪些资源可供规则使用。
规则可以仅检查单个资源的单个属性,也可以检查多个资源的多个属性。
使用修正工作流解决策略违规问题
创建用于定义策略违规的规则后,可以选择将在审计扫描检测到违规时启动的工作流。Identity Manager 提供默认的“标准修正”工作流,它为审计策略扫描提供默认的修正处理。在其他操作中,此默认修正工作流为给每个指定的级别 1 修正者(如有必要,还可以是后续级别的修正者)生成通知邮件。
注 –
与 Identity Manager 工作流进程不同,必须为修正工作流分配 AuthType=AuditorAdminTask 和 SUBTYPE_REMEDIATION_WORKFLOW 子类型。如果要导入用于审计扫描的工作流,则必须手动添加此属性。有关详细信息,请参见(可选)将任务划分规则导入到 Identity Manager 中。
指定修正者
如果分配修正工作流,则必须至少指定一个修正者。最多可以为审计策略指定三个级别的修正者。有关修正的详细信息,请参见遵循性违规修正和缓解。
您必须先分配修正工作流,才能分配修正者。
审计策略方案示例
假定您负责处理应付账款和应收帐款,而且必须执行一些手续,以防止责任集中于会计部门雇员的潜在危险。此策略必须确保负责处理应付帐款的人员无需负责处理应收帐款。
该审计策略将包含以下内容:
-
一组规则。每条规则指定一个构成策略违规的条件。
-
一个启动修正任务的工作流。
-
一组指定的管理员或修正者,他们有权查看并响应由上述规则创建的策略违规。
规则识别出策略违规后(在此方案中,用户授权过多),相关工作流可启动与修正相关的特定任务,包括自动通知选择修正者。
级别 1 修正者是审计扫描识别出策略违规时要联系的第一个修正者。当超出该区域中标识的提升时间段时,Identity Manager 会通知下一级别的修正者(如果为审计策略指定了多个级别)。
下一节“使用审计策略”介绍了如何使用审计策略向导创建审计策略。
- © 2010, Oracle Corporation and/or its affiliates