本章介绍如何执行审计查看和实现实践,以帮助您管理对联邦委托法规的遵循性。
在本章中,您可以了解以下概念和任务:
本节介绍了有关审计策略扫描的信息,以及运行和管理审计扫描的步骤。
扫描可以在单个的用户或组织上运行选定的审计策略。您可能要扫描用户或组织以查看是否发生了特定违规,或执行未分配给用户或组织的策略。可以从界面的“帐户”区域启动扫描。
您还可以从“服务器任务”选项卡中启动或调度审计策略扫描。
在管理员界面中,从主菜单中选择“帐户”。
在“帐户”列表中,执行以下任一操作:
选择一个或多个用户,然后从“用户操作”选项列表中选择“扫描”。
选择一个或多个组织,然后从“组织操作”选项列表中选择“扫描”。
将显示“启动任务”对话框。图 15–1 是审计策略用户扫描的“启动任务”页示例。
在“报告标题”字段中输入扫描的标题。(必需)
指定其余选项。
这些选项包括:
报告摘要:输入扫描的描述。
添加策略:选择一个或多个要运行的审计策略。必须至少指定一个策略。
策略模式:选择策略模式,以确定选定策略与已分配策略的用户之间的交互方式。分配可直接来自用户或来自分配了用户的组织。
不创建违规:如果要对审计策略进行评估并报告违规,但不希望创建或更新遵循性违规,也不希望执行修正工作流,则启用此框。不然,扫描操作的任务结果会显示创建的违规。在测试审计策略时,此选项非常有用。
是否执行修正工作流?:启用此框可运行在审计策略中分配的修正工作流。如果审计策略未定义修正工作流,将不运行任何修正工作流。
违规限制:编辑此框可设置扫描中止前可发出的最大遵循性违规数。此值提供一种安全保护措施,可限制运行审计策略(这些审计策略在检查时可能过于危险)所带来的风险。空值表示未设置任何限制。
电子邮件报告:启用此框可指定报告收件人。也可以让 Identity Manager 附加一个包含 CSV(Comma-separated Values,逗号分隔值)格式报告的文件。
覆盖默认 PDF 选项:启用此框可覆盖默认 PDF 选项。
单击“启动”开始扫描。
要查看审计扫描的报告结果,请查看“审计者报”。
Identity Manager 提供了许多审计者报告。下表介绍了这些报告。
表 15–1 Auditor 报告描述
Auditor 报告类型 |
描述 |
---|---|
访问查看范围 |
显示选定访问查看所指的用户之间的重叠部分或差异部分。由于大多数访问查看的用户范围都由查询或某项成员资格操作所指定,因此实际的用户集会随时间而变化。此报告可显示由两个不同的访问查看所指定的用户之间的重叠部分和/或差异部分(以确定查看在操作中是否有效);由两个不同的访问查看所生成的权利之间的重叠部分和/或差异部分(以确定范围是否随时间而变化);用户和权利之间的重叠部分和/或差异部分(以确定是否为查看范围内的所有用户生成了权利)。 |
访问查看详细信息 |
显示所有用户权利记录的当前状态。该报告可以按用户的组织、访问查看和访问查看实例、权利记录的状态和证明者进行过滤。 |
访问查看摘要 |
提供有关所有访问查看的摘要信息。它概述了列出的每个访问查看扫描的扫描的用户、扫描的策略以及证明活动的状态。 |
访问扫描用户范围 |
比较选定的扫描以确定扫描范围中包含哪些用户。它可显示重叠部分(包含在所有扫描中的用户)或差异部分(包含在多个扫描但未包含在全部扫描中的用户)。尝试组织多个访问扫描以包含相同用户或不同用户(视扫描需求而定)时,此报告非常有用。 |
审计策略摘要 |
该报告概述了所有审计策略的关键元素,包括每个策略的规则、修正者和工作流。 |
审计的属性 |
该报告显示所有指示指定的资源帐户属性变更的审计记录。 该报告可搜索每个已存储的可审计属性的审计数据。它将基于任何扩展的属性搜索数据,而这些扩展的属性可从 WorkflowServices 或标记为可审计的资源属性指定。有关配置此报告的信息,请参见配置审计属性报告。 |
审计策略违规历史 |
在指定时间段内创建的每个策略的所有遵循性违规的图形视图。可以按策略过滤该报告,并可以按天、周、月或季对其进行分组。 |
用户访问 |
显示特定用户的审计记录和用户属性。 |
组织违规历史 |
在特定时间段内创建的每个资源的所有遵循性违规的图形视图。可以按组织过滤该报告,并可以按天、周、月或季对其进行分组。 |
资源违规历史 |
在指定时间范围内创建的每个资源的所有遵循性违规的图形视图。 |
任务划分 |
显示冲突表中安排的任务划分违规。使用基于 Web 的界面时,您可以通过单击链接来访问其他信息。 可以按组织过滤该报告,并可以按天、周、月或季对其进行分组。 |
违规摘要 |
显示当前所有的遵循性违规。可以按修正者、资源、规则、用户或策略过滤该报告。 |
可通过 Identity Manager 界面中的“报告”选项卡查看这些报告。
RULE_EVAL_COUNT 值等于在策略扫描期间计算的规则数。该值有时包含在报告中。
Identity Manager 按如下方式计算 RULE_EVAL_COUNT 值:
扫描的用户数 x(策略中的规则数 + 1)
计算中包含 +1 是因为,Identity Manager 还将策略规则计算在内,这是实际确定是否违反策略的规则。策略规则检查审计规则结果,并执行布尔逻辑以得出策略结果。
例如,如果策略 A 包含三个规则,策略 B 包含两个规则,并且您已扫描 10 个用户,则 RULE_EVAL_COUNT 值等于 70,原因如下:
10 个用户 x(3 + 1 + 2 + 1 个规则)
要运行报告,必须先创建报告模板。您可以为报告指定各种条件,包括指定接收报告结果的电子邮件收件人。创建并保存报告模板后,可在“运行报告”页中查看该报告模板。
下图显示了具有已定义审计者报告列表的“运行报告”页示例。
在管理员界面中,单击主菜单中的“报告”。
将打开“运行报告”页。
选择“审计者报告”作为报告类型。
在报告的“新建”列表中选择一个报告。
将显示“定义报告”页。报告对话框的字段和布局因每个报告类型而异。有关指定报告条件的信息,请参阅 Identity Manager 帮助。
输入并选择了报告条件后,您可以执行以下操作:
运行报告而不保存。
单击“运行”开始运行报告。Identity Manager 不保存报告(如果定义新报告)或更改的报告条件(如果编辑现有报告)。
保存报告。
单击“保存”以保存报告。保存报告后,您可从“运行报告”页(报告列表)运行报告。从“运行报告”页运行报告后,您可以通过“查看报告”选项卡立即查看或稍后查看输出。
有关调度报告的信息,请参见调度报告。
审计属性报告(请参见表 15–1)可以报告对 Identity Manager 用户和帐户所做的属性级别的更改。但是,标准的审计日志记录不会生成足够的审计日志数据来支持完整的查询表达式。
标准的审计日志记录会将更改的属性写入审计日志的 acctAttrChanges 字段中,但是更改属性的写入方式使报告查询只能基于更改属性的名称来与记录匹配。报告查询不能准确地与属性值进行匹配。
可以通过指定以下参数对报告进行配置,使其与包含对属性 lastname 所做的更改的记录进行匹配:
Attribute Name = ’acctAttrChanges’ Condition = ’contains’ Value = ’lastname’
由于数据在 acctAttrChanges 字段中的存储方式,必须使用 Condition=’contains’。此字段不具有多值属性。实际上,它是一个包含所有更改属性的之前/之后值的数据结构,其表示形式为 attrname=value。因此,上述设置允许报告查询与 lastname= xxx 的任何实例相匹配。
也可以只捕获那些特定属性为特定值的审计记录。为此,请按照配置“审计”选项卡一节中的步骤进行操作。选中“审计整个工作流”复选框,单击“添加属性”按钮以选择为生成报告而要记录的属性,然后单击“保存”。
接下来,启用任务模板配置(如果尚未启用)。为此,请按照启用任务模板一节中的步骤进行操作。不要更改“选定的进程类型”列表中的默认值,只需单击“保存”。
现在,工作流可以提供能够同时匹配属性名称和属性值的审计记录了。虽然,启用此级别的审计可以提供更多的信息,但是要注意,这会显著增加性能开销,使工作流的运行速度变慢。
本节介绍如何使用 Identity Manager 修正来保护您的重要资产。
以下主题详述了 Identity Manager 修正进程的元素:
Identity Manager 在检测到未解决的(未缓解的)审计策略遵循性违规时,将创建一个修正请求,该请求必须由修正者进行处理。修正者是一个指定的用户,允许其评估并响应审计策略违规。
Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作,则 Identity Manager 会将违规提升至级别 2 修正者,并开始新的超时时间段。如果级别 2 修正者在超时之前未响应,则该请求再次被升级至级别 3 修正者。
要执行修正,必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的,但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。
这些验证选项用于 authType RemediationWorkItem 的工作项目。
修正工作项目拥有者
修正工作项目拥有者的直接或间接管理员
控制修正工作项目拥有者所属组织的管理员
默认情况下,验证检查的行为是以下行为之一:
所有者为尝试执行该操作的用户
所有者位于由尝试执行该操作的用户控制的组织中
拥有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下选项单独配置:
controlOrg。有效值为 true 或 false。
subordinate。有效值为 true 或 false。
lastLevel。包括在结果中的最后一个下属级别;-1 表示所有级别。lastLevel 的整数值默认为 -1,表示直接或间接下属。
可通过以下方式添加或修改这些选项:
用户表单:修正列表
Identity Manager 提供了标准修正工作流,从而为审计策略扫描提供修正处理。
标准修正工作流生成一个包含有关遵循性违规信息的修正请求(查看类型的工作项目),并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时,工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。
可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true,则将为每个用户/策略/规则组合创建新的遵循性违规(如果该组合当前尚不具有违规)。如果该组合具有违规,并且违规处于已缓解状态,则工作流进程将不执行任何操作。如果未缓解现有违规,则其反复出现次数将增加一次。
有关修正工作流的详细信息,请参见关于审计策略。
默认情况下,为每个修正者提供三个响应选项:
修正。修正者指示已经为修复有关资源的问题而进行了工作。
修改遵循性违规时,Identity Manager 会创建一个审计事件来记录修正。此外,Identity Manager 还存储修正者名称及提供的所有注释。
修正后,在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描,则违规修正后将立即对用户进行重新扫描。
缓解。修正者允许违规,并在一定的时间内对用户违规进行免除。
如果是经过权衡后的违规(例如,一个属于两个组的业务案例),则可长期缓解此违规。您也可以短期缓解违规(例如,因资源的系统管理员休假,您不知道如何修复问题的情况)。
Identity Manager 中存储了缓解违规的修正者的名称、免除的到期日期及提供的所有注释。
Identity Manager 检测到到期的免除时,它会将违规从已缓解状态返回至暂挂状态。
转发。修正者将解决违规的职责重新分配给另外一个人。
您的企业建立了一条规则,规定用户无法同时负责“应付帐款”和“应收帐款”,并且您收到了用户违反此规则的通知。
如果该用户是一个主管,并且在公司雇佣其他人负责其中的一个职位之前,他同时负责这两个职位,则可以缓解此违规,并签发一个最长六个月的免除期。
如果用户违反此规则,可请求 Oracle ERP 管理员更正此冲突,然后,在资源的相关问题解决修复后修正此违规。或者,您还可以将修正请求转发给 Oracle ERP 管理员。
Identity Manager 提供了一个“策略违规通知”电子邮件模板(可通过选择“配置”选项卡,然后再选择“电子邮件模板”子选项卡获得)。可对此模板进行配置,以通知修正者暂挂违规。有关详细信息,请参见第 4 章中的自定义电子邮件模板。
选择“工作项目”->“修正”以访问“修正”页。
您可使用此页执行以下操作:
查看暂挂违规
排列策略违规的优先级
缓解一个或多个策略违规
修正一个或多个策略违规
转发一个或多个策略违规
从修正工作项目中编辑用户
进行操作之前,可通过“修正”页查看有关违规的详细信息。
根据您所具有的权能或您在 Identity Manager 权能分层结构中的位置,您可能可以查看其他修正者的违规并对这些违规执行操作。
以下是与查看违规相关的主题:
默认情况下,分配给您的暂挂请求将显示在“修正”表中。
您可使用“列出修正”选项来查看不同修正者的暂挂修正请求:
选择“我的直接报告”可查看组织中直接向您报告的用户的暂挂请求。
选择“搜索用户”可输入或查找您要查看其暂挂请求的一个或多个用户。输入用户 ID,然后单击“应用”以查看该用户的暂挂请求。或者,单击 ...(更多)以搜索用户。找到并选择用户之后,单击“解除”可关闭搜索区域。
生成的表中提供关于每个请求的以下信息:
修正者。分配的修正者的名称。仅当查看其他修正者的修正请求时才会显示此列。
用户。发送请求的用户。
审计策略/请求。修正者请求的操作。
审计规则/描述。请求的修正注释。
违规状态。违规的当前状态。
严重程度。分配给请求的严重程度(“无”、“低”、“中”、“高”或“严重”)。
优先级。分配给请求的优先级(“无”、“低”、“中”、“高”或“紧急”)。
请求日期:发出修正请求的日期和时间。
每个用户都可以选择一个自定义表单,以显示与特定修正者相关的修正数据。要分配自定义表单,请选择用户表单上的“遵循性”选项卡。
要查看已完成的修正请求,请单击“我的工作项目”选项卡,然后单击“历史”选项卡。将显示先前已修正的工作项目的列表。
结果表(由 AuditLog 报告生成)提供关于每个修正请求的以下信息:
时间戳。修正请求的日期和时间
主体。处理请求的修正者的名称
操作。修正者是缓解还是修正了请求
类型。遵循性违规或用户权利
对象名称。被违反的审计策略的名称
资源。提供修正者的帐户 ID(或可能显示 N/A)
ID。与策略违规相关的帐户 ID
结果。始终指示 Success
单击表格中的时间戳将打开“审计事件详细信息”页。
“审计事件详细信息”页提供有关已完成请求的信息,包括有关修正或缓解、事件参数(如果适用)和可审计属性的信息。
要更新“修正”表中提供的信息,请单击“刷新”。“修正”页将通过任何新的修正请求更新该表。
可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以在“修正”页中排列违规的优先级。
在列表中选择一个或多个违规。
单击“确定优先级”。
将显示“排列策略违规优先级”页。
(可选)设置违规的严重程度。选项包括“无”、“低”、“中”、“高”或“严重”。
(可选)设置违规的优先级。选项包括“无”、“低”、“中”、“高”或“紧急”。
完成选择后单击“确定”。Identity Manager 将返回到修正列表。
只能对类型为 CV(Compliance Violation,遵循性违规)的修正设置严重程度和优先级值。
可以在“修正”和“查看策略违规”页中缓解策略违规。
在表中选择行以指定要缓解的请求。
选中一个或多个选项,以指定要缓解的请求。
选中表标题中的选项,以缓解表中列出的所有请求。
Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的,只需一个单独的注释即可,否则,您可能不想执行批量缓解。
只能缓解包含遵循性违规的请求,而不能缓解其他修正请求。
单击“缓解”。
将显示“缓解策略违规”页(或“缓解多项策略违规”页)。
在“说明”字段中输入有关缓解的注释。(必需)
您的注释可提供针对此操作的审计跟踪,因此,请确保输入完整、有意义的信息。例如,解释缓解策略违规的原因、日期、选择免除期的原因。
直接在“到期日期”字段中键入日期(格式为 YYYY-MM-DD)可提供免除的到期日期,也可单击日期按钮后在日历中选择日期。
如果不提供日期,则免除会无限期有效。
单击“确定”以保存更改并返回到“修正”页。
使用表中的复选框指定要修正的请求。
选中表中的一个或多个复选框,以指定要修正的请求。
选中表标题中的复选框,以修正表中列出的所有请求。
如果选择了多个请求,请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的,只需一个单独的注释即可,否则,您可能不想执行批量修正。
单击“修正”。
屏幕将显示“修正策略违规”页(或“修正多项策略违规”页)。
在“注释”字段中输入关于修正的注释。
单击“确定”以保存更改并返回到“修正”页。
在修正用户违规时,将始终对直接分配给该用户的审计策略(即,通过用户帐户或组织分配所分配的策略)进行重新评估。
可将一个或多个修正请求转发给另一个修正者。
使用表中的复选框指定要转发的请求。
选中表标题中的复选框,以转发表中列出的所有请求。
选中表中的各个复选框,以转发一个或多个请求。
单击“转发”。
将显示“选择并确认转发”页。
在“转发至”字段中输入修正者名称,然后单击“确定”。或者,也可以单击 ...(更多)以搜索修正者名称。从搜索列表中选择一个名称,然后单击“设置”在“转发至”字段中输入该名称。单击“解除”可关闭搜索区域。
重新显示“修正”页时,新的修正者名称将显示在表的“修正者”列中。
从修正工作项目中,您可以(具有适当的用户编辑权能)编辑用户以修正问题(如相关的权利历史中所述)。
要编辑用户,请单击“查看修正请求”页中的“编辑用户”。随后出现的“编辑用户”页中将显示以下内容:
此工作项目的与用户相关的权利历史
用户的属性
此处显示的选项与“帐户”区域中所提供的“编辑用户”表单上的选项相同。
修改用户之后,请单击“保存”。
保存用户编辑后,将会运行“更新用户”工作流。由于此工作流可能需要进行批准,因此对用户帐户所做的更改在保存后的一段时间内可能无效。如果审计策略允许重新扫描,并且“更新用户”工作流尚未完成,则后续的策略扫描可能会检测到相同的违规。
Identity Manager 提供了用于处理访问查看的进程,通过访问查看,管理员或其他责任方可以查看并验证用户访问权限。该进程有助于识别和管理随时间累积的用户权限,还有助于维护沙宾法案 (Sarbanes-Oxley)、GLBA 以及其他联邦管制委托授权的遵循性。
可以根据需要执行访问查看,也可以调度为定期执行(例如每个日历季度执行一次),这使您可以执行周期性访问查看,以维护正确级别的用户权限。访问查看可以包括审计策略扫描(可选)。
周期性访问查看是用于证明在某个特定的时间点,一组雇员对相应的资源具有适当权限的周期性进程。
周期性访问查看包括以下活动:
访问查看扫描。执行基于规则的用户权利评估以确定是否需要证明的扫描。
证明。通过批准或拒绝用户权利来响应证明请求的进程。
用户权利是在一组特定资源上的用户帐户的详细信息记录。
要启动周期性访问查看,必须首先至少定义一个访问扫描。
访问扫描定义了将进行扫描的对象、扫描的资源、扫描过程中要评估的所有可选审计策略,以及用于确定要手动证明的权利记录以及执行者的规则。
通常,Identity Manager 访问查看工作流可以:
构建用户列表、获取每个用户的帐户信息,以及评估可选审计策略
创建用户权利记录
确定每个用户权利记录是否需要证明
向每个证明者分配工作项目
等待所有证明者批准或等待首次拒绝
如果在指定的超时时间段内未收到对请求的任何响应,则提升到下一个证明者
使用解决方案更新用户权利记录
有关修正权能的描述,请参见访问查看修正。
要执行周期性访问查看并管理查看进程,用户必须具有“审计者周期性访问查看管理员”权能。具有 Auditor 访问扫描管理员权能的用户可创建并管理访问扫描。
要分配这些权能,请编辑用户帐户并修改安全属性。有关这些权能及其他权能的详细信息,请参见第 6 章中的了解和管理权能。
证明是由一个或多个指定的证明者执行的认证进程,以确认在特定日期用户权利的适当性。在访问查看过程中,证明者会通过电子邮件通知接收访问查看证明请求的通知。证明者必须是 Identity Manager 用户,但无需是 Identity Manager 管理员。
Identity Manager 使用证明工作流,该工作流在访问扫描标识需要查看的权利记录后启动。访问扫描将根据其中定义的规则进行确定。
由访问扫描评估的规则将确定是否需要手动证明用户权利记录,或是否可自动批准或拒绝该记录。如果需要手动证明用户权利记录,访问扫描将使用第二条规则来确定适当的证明者。
要手动证明的每个用户权利记录均将分配给工作流,每个证明者负责一个工作项目。给这些工作项目证明者的通知可使用 ScanNotification 工作流发送,对于每个证明者,该工作流可在每次扫描时将这些项目捆绑到一个通知中。除非已选定 ScanNotification 工作流,否则向每个用户权利发送通知。这表示每次扫描时证明者可接收多个通知,并且通知数目可能较大(取决于扫描的用户数)。
这些验证选项用于 authType AttestationWorkItem 的工作项目:
工作项目拥有者
工作项目拥有者的直接或间接管理员
控制工作项目拥有者所属组织的管理员
已通过验证检查验证的用户
默认情况下,验证检查的行为是以下行为之一:
所有者为尝试执行该操作的用户
所有者位于由尝试执行该操作的用户控制的组织中
所有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下表单属性单独配置:
controlOrg — 有效值为 true 或 false
subordinate — 有效值为 true 或 false
lastLevel — 包括在结果中的最后一个下属级别;-1 表示所有级别
lastLevel 的整数值默认为 -1,表示直接或间接下属。
可以在以下位置添加或修改这些选项:
用户表单:访问批准列表。
如果将证明安全设置为受组织控制,则还需要“审计者证明者”权能以修改其他用户的证明。
默认情况下,访问扫描工作流会优先处理用户为证明工作项目和通知所创建的“访问查看证明”和“访问查看修正”类型的委托。访问扫描管理员可取消选择“按照委托”选项以忽略委托设置。如果证明者已将所有工作项目委托给另一用户,但尚未为访问查看扫描设置“按照委托”选项,则该证明者(而非已向其分配委托的用户)将收到证明请求通知和工作项目。
对于任何企业,访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤,有助于将成本和时间降至最低。但是,某些进程仍然十分耗时。例如,从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率,并极大地降低投入。
计划进行周期性访问查看需要注意以下事项:
根据所涉及的用户数和资源数,扫描时间将有很大的差别。
对大型组织进行一次周期性访问查看时,扫描会耗费一天或多天的时间,而完成手动证明则需一周或多周的时间。
例如,对于具有 50,000 个用户和十个资源的组织,根据以下计算,完成访问扫描可能需要约一天的时间:
1 秒/资源 * 50K 用户 * 10 资源 / 5 并发线程 = 28 小时
如果资源分布于各地,则网络时延会增加进程时间。
使用多个 Identity Manager 服务器进行并行处理将提高访问查看进程的速度。
当扫描的并非公共资源时,运行并行扫描最为有效。定义访问查看时,通过对每个扫描使用不同资源来创建多个扫描并将资源限制为特定的一组资源。然后,启动任务时,选择多个扫描并将它们调度为立即运行。
自定义证明工作流以及规则增强了您的控制能力,并带来了更高的效率:
例如,自定义 "Attestor" 规则可将证明任务扩展到多个证明者。证明进程将相应地分配工作项目并发送通知。
使用 "Attestor Escalation Rules" 有助于缩短证明请求的响应时间。
设置 "Default Escalation Attestor" 规则或使用自定义规则来设置证明者的提升链。另外,指定提升超时值。
了解如何使用 "Review Determination Rules" 通过自动确定要手动查看的权利文件记录来节省时间。
通过指定扫描级别通知工作流来捆绑扫描的证明请求通知。
在扫描过程中,有多个线程会访问用户的视图,还可能访问用户具有帐户的资源。访问视图之后,会对多个审计策略和规则进行评估,这可能会导致创建遵循性违规。
为了防止两个线程同时更新相同的用户视图,该过程将针对此用户名建立一个内存中的锁定。如果无法在 5 秒(默认值)之内建立此锁定,则会向扫描任务中写入一个错误并跳过该用户,从而防止对同一组用户进行并发扫描。
可以编辑多个“可调节参数”的值,这些参数是作为任务参数提供给扫描任务的:
clearUserLocks(布尔值)。如果为 true,将在扫描开始前解除所有当前用户锁定。
userLock(整数)。尝试锁定用户时等待的时间(以毫秒为单位)。默认值为 5 秒。负值将禁用对该扫描的锁定。
scanDelay(整数)。分发扫描线程之间的休眠时间(以毫秒为单位)。默认值为 0(无延迟)。如果为此参数提供值,则扫描速度会变慢,但系统对其他操作的响应能力将变强。
maxThreads(整数)。用于处理扫描的并发线程数。默认值为 5。如果资源的响应速度很慢,则增大此数值可能会提高扫描吞吐量。
要更改这些参数的值,请编辑相应的“任务定义”表单。有关详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 2 章 “Identity Manager Forms”。
选择“遵循性”->“管理访问扫描”。
单击“新建”以显示“创建新的访问扫描”页。
为访问扫描指定名称。
访问扫描名称不能包含以下字符:
'(撇号)、.(句点)、|(管道符号)、[(左括号)、](右括号)、,(逗号)、:(冒号)、$(美元符号)、"(双引号)、\(反斜杠)或 =(等号)
另外,还要避免使用以下字符:_(下划线)、%(百分号)、^(插入符号)和 *(星号)
添加有助于识别扫描的描述(可选)。
启用“动态权利”选项为证明者提供附加选项。
这些选项包括:
可以立即重新扫描暂挂证明,以刷新权利数据并重新评估证明需求。
可以将暂挂证明路由到其他用户以进行修正。进行修正后,权利数据会被刷新并重新评估,以确定证明的必要性。
指定“用户范围类型”(必需)。
从以下选项中进行选择:
根据属性条件规则。根据选定的用户范围规则扫描用户。
Identity Manager 提供了以下默认规则:
所有管理员
可通过使用 Identity Manager IDE 来添加用户范围规则。有关 Identity Manager IDE 的信息,请访问 https://identitymanageride.dev.java.net/。
我的所有下属
All Non-Administrators
我的直接下属
Users without a Manager
分配给资源。扫描在一个或多个选定资源上具有帐户的所有用户。选择此选项后,页面将显示“用户范围资源”,可以用其指定资源。
根据特定角色。扫描至少包含指定的一个角色或包含指定的所有角色的所有成员。
组织成员。选择该选项可扫描一个或多个选定组织的所有成员。
报告给管理员。扫描已报告给选定管理员的所有用户。管理员层次结构取决于用户的 Lighthouse 帐户的 Identity Manager 属性。
如果用户范围为组织或管理员,则可使用“递归范围”选项。此选项允许按受控成员链进行递归式用户选择。
如果您选择同时扫描审计策略以便在访问查看扫描期间检测违规,请通过将您的选项从“可用审计策略”移动到“当前审计策略”列表,来选择要应用到此扫描的审计策略。
向访问扫描结果中添加审计策略的行为与在同一用户组中执行审计扫描的行为相同。但是,除此之外,由审计策略检测到的任何违规都将存储在用户权利记录中。此信息可简化自动批准或拒绝,因为该规则可将用户权利记录中是否存在违规作为其逻辑的一部分。
如果在上述步骤中扫描了审计策略,则可以使用“策略模式”选项指定访问扫描如何确定要为给定用户执行的审计策略。用户可同时具有按用户级别和/或组织级别分配的策略。默认的访问扫描行为将在用户仍不具有任何指定策略时才应用指定给访问扫描的策略。
(可选)指定查看进程所有者。使用此选项可指定已定义的访问查看任务的拥有者。如果已指定一个查看进程拥有者,则对于在响应证明请求时遇到潜在冲突的证明者,他可以选择放弃而无需批准或拒绝用户权利,并且证明请求将会转发给该查看进程拥有者。单击选择框(省略号)可搜索用户帐户并进行选择。
按照委托。选择此选项可以对访问扫描启用委托。如果已选中此选项,访问扫描将仅应用委托设置。默认情况下将启用“按照委托”。
限制目标资源。选择此选项可限制扫描目标资源。
此设置会对访问扫描的效率产生直接的负面影响。如果未限制目标资源,每个用户权利记录均将包括用户链接到的每个资源的帐户信息。这表示在扫描期间将为每个用户查询所有分配的资源。通过使用该选项指定资源的子集,您可以大大缩短 Identity Manager 创建用户权利记录所需的处理时间。
执行违规修正。选择该选项可在检测到违规时启用审计策略的修正工作流。
如果选择此选项,则针对任何分配的审计策略所检测到的违规将导致执行相应审计策略的修正工作流。
通常不应该选择此选项,除非情况比较复杂。
访问批准工作流。选择默认的标准证明工作流或选择自定义的工作流(如果有)。
此工作流用于将要查看的用户权利记录显示给适当的证明者(如同由证明者规则确定)。默认的标准证明工作流为每个证明者创建一个工作项目。如果访问扫描指定了升级,此工作流将负责升级暂停过久的工作项目。如果未指定任何工作流,则用户证明将无限期地处于暂挂状态。
.
有关在此步骤和以下步骤中提到的 Identity Auditor 规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4 章 “Working with Rules”。
证明者规则。选择默认的证明者规则,或选择自定义的证明者规则(如果有)。
证明者规则将作为输入值提供给用户权利记录,并且返回证明者名称列表。如果选择了“按照委托”,则访问扫描将按照原始名称列表中每个用户所配置的委托信息,把名称列表转换成相应用户。如果 Identity Manager 用户的委托导致路由循环,则将放弃委托信息,并且工作项目将提交给原始证明者。默认证明者规则指示证明者应该是权利记录所代表的用户的管理员 (idmManager),或者是配置器帐户(如果该用户的 idmManager 为 null)。如果证明需包括资源拥有者以及管理员,则必须使用自定义规则。
证明者提升规则。使用此选项可指定“默认提升证明者”规则,或选择自定义规则(如果可用)。您也可以为规则指定升级超时值。默认的提升超时值为 0 天。
该规则将为已经过升级超时时间段的工作项目指定升级链。“默认提升证明者”规则将提升到所分配的证明者的管理员 (idmManager),或提升到配置器(如果证明者的 idmManager 值为 null)。
您可以以分钟、小时或天数为单位指定升级超时值。
手册包含有关证明者提升规则的其他信息。
查看确定规则。(必需)
选择以下规则之一以指定扫描进程将如何确定部署权利记录:
拒绝更改的用户。自动拒绝用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。否则,强制执行手动证明并批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。
查看更改的用户。强制执行手动证明任一用户权利记录,如果该用户权利与上一个具有相同访问扫描定义的用户权利不同,且已批准上一个用户权利。批准所有与先前已批准的用户权利相同的用户权利。默认情况下,此规则只比较用户视图的“帐户”部分。
查看所有人。强制执行手动证明所有用户权利记录。
"Reject Changed Users" 和 "Review Changed Users" 规则将比较用户权利和相同访问扫描(其中已批准权利记录)的上一个实例。
您可以通过复制并修改规则来更改此行为,以便将比较操作限制在用户视图的任何选定部分。
此规则可以返回以下值:
-1. 不需要证明
0. 自动拒绝证明
1. 需要手动证明
2. 自动批准证明
3. 自动修正证明(自动修正)
手册包含有关查看确定规则的其他信息。
修正者规则。选择要使用的规则,以确定在自动修正的情况下,应由谁修正特定用户的权利。该规则可以检查用户的当前用户权利和违规,并且必须返回应该负责修正的用户的列表。如果未指定任何规则,则不会执行任何修正。权利具有遵循性违规时通常会使用此规则。
修正用户表单规则。选择规则,用于在编辑用户时为证明修正者选择相应的表单。修正者可以设置自己的表单(将覆盖此表单)。如果扫描搜集与自定义表单匹配的特定数据,则应设置此表单规则。
通知工作流。
选择以下选项之一可为每个工作项目指定通知行为。
无。此选项为默认选项。此选项可导致证明者会因他必须证明的每个用户权利而收到一封电子邮件通知。
ScanNotification。此选项可将证明请求捆绑到单个通知中。通知可指示分配给收件人的证明请求数目。
如果访问扫描中指定了查看进程拥有者,则 ScanNotification 工作流还将在扫描开始和结束时向查看进程拥有者发送通知。请参见创建访问扫描。
ScanNotification 工作流使用以下电子邮件模板:
访问扫描开始通知
访问扫描结束通知
批量证明通知
您可以自定义 ScanNotification 工作流。
违规限制。使用该选项可指定扫描在异常中止之前可发出的最大遵循性违规数。默认限制为 1000。值字段为空表示无限制。
虽然通常情况下在审计扫描或访问扫描期间,策略违规数目与用户数目相比相对较小,但是设置此值可提供保护,以免受可大量增加违规数目的有缺陷策略的影响。例如,请考虑以下情况:
如果访问扫描涉及 50,000 个用户并为每个用户生成两到三个违规,则对每个遵循性违规的修正成本可能会对 Identity Manager 系统产生不利影响。
组织。选择可使用此访问扫描对象的组织。此字段为必填字段。
单击“保存”可保存扫描定义。
您可以删除一个或多个访问扫描。要删除访问扫描,请从“遵循性”选项卡中选择“管理访问扫描”,选择扫描名称,然后单击“删除”。
定义访问扫描之后,即可将其作为访问查看的一部分使用或调度。启动访问查看之后,可使用多个选项管理查看进程。
请阅读以下各节以了解详细信息:
要从管理员界面启动访问查看,请使用以下方法之一:
单击“遵循性”->“访问查看”页中的“启动查看”。
在“服务器任务”->“运行任务”页中选择“访问查看”任务。
在所显示的“启动任务”页中,指定访问查看的名称。从 "Available Access Scans" 列表中选择扫描并将其移动至 "Selected" 列表。
如果选择了多个扫描,则可以选择以下启动选项之一:
立即。选择此选项后,单击“启动”按钮时将立即开始运行扫描。如果在启动任务中为多个扫描选择了此选项,则扫描将并行运行。
等待。此选项可使您指定在启动扫描之前等待的时间,该时间与访问查看任务的启动相关。
您可以在访问查看会话期间启动多个扫描。但是,考虑到每个扫描可能涉及大量的用户,因此要完成扫描进程可能要耗费数小时的时间。最佳实践证明您可以分别管理扫描。例如,您可以启动某个扫描以立即运行,并调度其他扫描在错开的时间进行。
单击“启动”可启动访问查看进程。
分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。
启动访问查看时,将显示工作流程图以指明该进程中执行的步骤。
可从 "Server Tasks" 区域中调度访问查看任务。例如,要设置周期性访问查看,请选择“管理进度表”,然后定义进度表。您可以将任务调度为每月或每季度发生一次。
要定义进度表,请在“调度任务”页中选择“访问查看”任务,然后填写“创建任务进度表”页上的信息。
单击“保存”以保存已调度的任务。
默认情况下,Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看,请将“结果选项”设置为删除。如果 "Results Options" 未设置为删除,则不会运行新的查看,因为先前任务的结果仍然存在。
使用 "Access Reviews" 选项卡可监视访问查看的进度。可通过“遵循性”选项卡访问该功能。
在“访问查看”选项卡中,您可以查看所有活动的和以前处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看:
状态。查看进程的当前状态:正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成。
启动日期。启动访问查看任务的日期(时间戳)。
用户总数。要扫描的用户总数。
权利详细信息。表中的附加列,按状态提供权利总数。其中包括暂挂、已批准、已拒绝、已终止和已修正的权利的详细信息,以及权利总数。
“已修正”列指出当前处于 REMEDIATING 状态的权利数。权利在修正后将变为 PENDING 状态,因此在访问查看结束后,此列的值为零。
要查看关于查看的更多详细信息,请选择该查看以打开摘要报告。
图 15–5 显示了示例访问查看摘要报告。
单击“组织”或“证明者”表单选项卡可查看按这些对象进行分类的扫描信息。
您还可以通过运行 "Access Review Summary Report" 在报告中查看和下载这些信息。
设置访问扫描之后,您可以编辑扫描以指定新选项,例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。
要编辑扫描定义,请从“访问扫描”列表中将其选中,然后在“编辑访问查看扫描”页中修改属性。
必须单击“保存”才能保存对扫描定义所做的所有更改。
更改访问扫描的范围可能会更改新获得的用户权利记录中的信息,因为如果“查看确定规则”对用户权利和以前的用户权利记录进行比较,则更改可能会对此规则产生影响。
在“访问查看”页中,单击“终止”可停止进行中的选定查看。
终止查看将导致以下操作:
取消调度所有已调度的扫描
停止所有活动的扫描
删除所有暂挂工作流和工作项目
所有暂挂证明都被标记为已取消
用户已完成的所有证明将保留不变
在“访问查看”页中,单击“删除”可删除选定的查看。
如果访问查看任务的状态为已终止或已完成,则可以删除该访问查看。无法删除正在进行中的访问查看任务,除非先将其终止。
删除访问查看将删除由该查看生成的所有用户权利记录。删除操作将记录在审计日志中。
要删除访问查看,请单击“访问查看”页中的“删除”。
取消和删除访问查看可能导致对大量 Identity Manager 对象和任务进行更新,完成该过程可能需要几分钟的时间。可以通过在“服务器任务”->“所有任务”中查看任务结果来检查操作的进度。
您可以从 Identity Manager 管理员界面或用户界面中管理证明请求。本节提供了有关响应证明请求以及证明中包含的责任的信息。
在扫描期间,当证明请求需要证明者的批准时,Identity Manager 会向证明者发送通知。如果已委托证明者职责,则将请求发送给委托者。如果定义了多个证明者,则每个证明者都将收到一封电子邮件通知。
请求将显示为 Identity Manager 界面中的证明工作项目。当已分配的证明者登录到 Identity Manager 时,屏幕将显示暂挂的证明工作项目。
从界面的“工作项目”区域查看证明工作项目。选择“工作项目”区域中的“证明”选项卡,即可列出所有需要批准的权利记录。在“证明”页中,您还可以列出所有直接报告和指定用户(您可对其进行直接或间接控制)的权利记录。
证明工作项目包含需要查看的用户权利记录。权利记录提供了有关用户访问权限、已分配资源以及策略违规的信息。
对证明请求可能会做出以下响应:
批准。证明从权利记录中所记录的日期开始,权利是适当的。
拒绝。权利记录指出当前无法验证或修正的可能差异。
重新扫描。请求重新扫描以重新评估用户权利。
转发。可使您为查看指定其他收件人。
放弃。对此记录的证明不合适,并且尚未发现更合适的证明者。证明工作项目将转发至查看进程拥有者。仅在访问查看任务中已定义查看进程拥有者时,才可使用此选项。
如果在指定的升级超时时间段之前,证明者未采取以上任何一种操作对请求进行响应,则通知将发送至升级链中的下一个证明者。在记录响应之前,通知进程将继续。
可以从“遵循性”->“访问查看”选项卡中监视证明状态。
您可以避免拒绝用户权利,方法如下:
将权利标记为需要请求其他用户进行修复(请求修正)。在这种情况下,将创建一个新的修正工作项目,并将其分配给一个或多个指定的修正者。
接着,新的修正者可以选择编辑用户(使用 Identity Manager 或独立编辑),然后在工作项目达到要求后将其标记为已修正。此时,将对用户权利进行重新扫描和再次评估。
请求对权利进行重新评估(重新扫描)。在这种情况下,将对用户权利进行重新扫描和再次评估。原始的证明工作项目将会结束。根据访问扫描中定义的规则,如果权利仍需要证明,将创建一个新的证明工作项目。
您可以将暂挂证明路由到其他用户以进行修正(如果访问扫描已定义此操作)。
可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利”选项启用此功能。
从证明列表中选择一个或多个权利,然后单击“请求修正”。
将显示“选择并确认请求修正”页。
输入用户名,然后单击“添加”将该用户添加到“转发至”字段。或者,单击 ...(更多)以搜索用户。在搜索列表中选择用户,然后单击“添加”将该用户添加到“转发至”列表。单击“解除”可关闭搜索区域。
在“注释”字段输入注释,然后单击“继续”。
Identity Manager 将返回到证明列表。
修正请求的详细信息将显示在各用户权利的“历史”区域中。
您可以对暂挂证明进行重新扫描和重新评估(如果访问扫描已定义此操作)。
可以通过“创建访问扫描”或“编辑访问扫描”页上的“动态权利”选项启用此功能。
可以将一个或多个证明工作项目转发至其他用户。
在证明列表中选择一个或多个工作项目,然后单击“转发”。
将显示“选择并确认转发”页。
在“转发至”字段中输入用户名。或者,单击 "..."(更多)以搜索用户名。
在“注释”字段中输入有关转发操作的注释。
单击“继续”。
Identity Manager 将返回到证明列表。
转发操作的详细信息将显示在各用户权利的“历史”区域中。
您可以设置数字签名以处理访问查看操作。有关配置数字签名的信息,请参见对批准签名。此处讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准时所需的服务器端和客户端配置。
Identity Manager 提供了以下报告,您可以使用这些报告评估访问查看的结果:
访问查看覆盖报告。以表格形式提供包含用户权利重叠和/或差异的用户列表,具体取决于定义报告的方式。此报告还可能包含其他列,用于显示包含重叠和/或差异的访问查看。
访问查看详细信息报告。该报告以表格形式提供了以下信息:
名称。用户权利记录的名称
状态。查看进程的当前状态:正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成
证明者。分配为记录证明者的 Identity Manager 用户
扫描日期。记录扫描何时发生的时间戳
处理日期。证明权利记录的日期(时间戳)
组织。权利记录中的用户组织
管理器。已扫描用户的管理员
资源。用户拥有其帐户且已捕获至该用户权利的资源
违规。查看期间检测到的违规数目
单击报告中的名称可打开用户权利记录。访问查看报告显示了用户权利记录视图中提供的信息示例。
访问查看摘要报告。
此报告(已在管理访问查看进度中讨论,并在图 15–5 中展示)显示有关为报告选择的访问扫描的以下摘要信息:
查看名称。访问扫描的名称
日期。启动查看的时间戳
用户计数。为查看扫描的用户数目
权利计数。生成的权利记录数目
已批准。已批准的权利记录数目
已拒绝。已拒绝的权利记录数目
暂挂。仍处于暂挂状态的权利记录数目
已取消。已取消的权利记录数目
这些报告均可从“运行报告”页以可移植文档格式 (PDF) 或逗号分隔值 (CSV) 格式下载。
可以在“工作项目”选项卡的“修正”区域中管理遵循性违规修正和缓解以及访问查看修正。但是,这两种修正类型之间存在着差异。本节介绍了访问查看修正的特有行为,以及它与遵循性违规修正和缓解中所述的修正任务和信息之间的差异。
证明者请求修正用户权利时,“标准证明”工作流将创建一个修正请求,该请求必须由修正者(可以评估和响应修正请求的指定用户)进行处理。
只能修正问题,而无法缓解问题。必须在问题解决之后,证明才能继续。
访问查看产生修正后,“访问查看”面板将跟踪与该查看有关的所有证明者和修正者。
访问查看修正请求最高只能提升至初始修正者。
访问查看修正的逻辑是在“标准证明”工作流中定义的。
证明者请求修正用户权利时,“标准证明”工作流将执行以下操作:
生成修正请求(类型为 accessReviewRemediation),其中包含需要修正的用户权利的有关信息。
向请求的修正者发送电子邮件。
接着,新的修正者可以选择编辑用户(使用 Identity Manager 或独立编辑),然后在工作项目达到要求后将其标记为已修正。此时,将对用户权利进行重新扫描和再次评估。
默认情况下,为访问查看修正者提供了三个响应选项:
修正。修正者指示已经为修复问题执行了某些操作。
接着将对用户权利进行重新扫描和再次评估。如果用户权利再次被标记为需要证明,则原始证明者将在“证明”工作项目列表中再次看到该用户权利。
修正请求操作的详细信息将显示在各用户权利的“历史”区域中。
转发。修正者将解决修正请求的职责重新分配给另外一个人。
转发操作的详细信息将显示在各用户权利的“历史”区域中。
编辑用户。修正者选择直接编辑用户以修正问题。
仅当修正者具有修改用户的权限时才会显示此按钮。更改用户并单击“保存”后,修正者将进入“修正确认”页,以提供用于描述对用户所做更改的注释。
接着将对用户权利进行重新扫描和再次评估。如果用户权利再次被标记为需要证明,则原始证明者将在“证明”工作项目列表中再次看到该用户权利。
编辑的详细信息将在各用户权利的“历史”区域中显示为修正请求操作。
对于所有访问查看修正工作项目,“类型”列将显示为 UE(user entitlement,用户权利)。
访问查看修正不支持排列优先级和缓解功能。