遵循性违规修正和缓解

本节介绍如何使用 Identity Manager 修正来保护您的重要资产。

以下主题详述了 Identity Manager 修正进程的元素：

• 关于修正

• 修正电子邮件模板

• 使用“修正”页

• 查看策略违规

• 排列策略违规的优先级

• 缓解策略违规

• 修正策略违规

• 转发修正请求

• 从修正工作项目中编辑用户

关于修正

Identity Manager 在检测到未解决的（未缓解的）审计策略遵循性违规时，将创建一个修正请求，该请求必须由修正者进行处理。修正者是一个指定的用户，允许其评估并响应审计策略违规。

修正者提升

Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作，则 Identity Manager 会将违规提升至级别 2 修正者，并开始新的超时时间段。如果级别 2 修正者在超时之前未响应，则该请求再次被升级至级别 3 修正者。

要执行修正，必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的，但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。

修正安全性访问

这些验证选项用于 authType RemediationWorkItem 的工作项目。

• 修正工作项目拥有者

• 修正工作项目拥有者的直接或间接管理员

• 控制修正工作项目拥有者所属组织的管理员

默认情况下，验证检查的行为是以下行为之一：

• 所有者为尝试执行该操作的用户

• 所有者位于由尝试执行该操作的用户控制的组织中

• 拥有者为尝试执行该操作的用户的下属

第二个和第三个检查可通过修改以下选项单独配置：

• controlOrg。有效值为 true 或 false。

• subordinate。有效值为 true 或 false。

• lastLevel。包括在结果中的最后一个下属级别；-1 表示所有级别。lastLevel 的整数值默认为 -1，表示直接或间接下属。

可通过以下方式添加或修改这些选项：

用户表单：修正列表

修正工作流进程

Identity Manager 提供了标准修正工作流，从而为审计策略扫描提供修正处理。

标准修正工作流生成一个包含有关遵循性违规信息的修正请求（查看类型的工作项目），并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时，工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。

可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true，则将为每个用户/策略/规则组合创建新的遵循性违规（如果该组合当前尚不具有违规）。如果该组合具有违规，并且违规处于已缓解状态，则工作流进程将不执行任何操作。如果未缓解现有违规，则其反复出现次数将增加一次。

有关修正工作流的详细信息，请参见关于审计策略。

修正响应

默认情况下，为每个修正者提供三个响应选项：

• 修正。修正者指示已经为修复有关资源的问题而进行了工作。

  修改遵循性违规时，Identity Manager 会创建一个审计事件来记录修正。此外，Identity Manager 还存储修正者名称及提供的所有注释。

  ---

  注 –

  修正后，在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描，则违规修正后将立即对用户进行重新扫描。

  ---

• 缓解。修正者允许违规，并在一定的时间内对用户违规进行免除。

  如果是经过权衡后的违规（例如，一个属于两个组的业务案例），则可长期缓解此违规。您也可以短期缓解违规（例如，因资源的系统管理员休假，您不知道如何修复问题的情况）。

  Identity Manager 中存储了缓解违规的修正者的名称、免除的到期日期及提供的所有注释。

  ---

  注 –

  Identity Manager 检测到到期的免除时，它会将违规从已缓解状态返回至暂挂状态。

  ---

• 转发。修正者将解决违规的职责重新分配给另外一个人。

修正示例

您的企业建立了一条规则，规定用户无法同时负责“应付帐款”和“应收帐款”，并且您收到了用户违反此规则的通知。

• 如果该用户是一个主管，并且在公司雇佣其他人负责其中的一个职位之前，他同时负责这两个职位，则可以缓解此违规，并签发一个最长六个月的免除期。

• 如果用户违反此规则，可请求 Oracle ERP 管理员更正此冲突，然后，在资源的相关问题解决修复后修正此违规。或者，您还可以将修正请求转发给 Oracle ERP 管理员。

修正电子邮件模板

Identity Manager 提供了一个“策略违规通知”电子邮件模板（可通过选择“配置”选项卡，然后再选择“电子邮件模板”子选项卡获得）。可对此模板进行配置，以通知修正者暂挂违规。有关详细信息，请参见第 4 章中的自定义电子邮件模板。

使用“修正”页

选择“工作项目”->“修正”以访问“修正”页。

您可使用此页执行以下操作：

• 查看暂挂违规

• 排列策略违规的优先级

• 缓解一个或多个策略违规

• 修正一个或多个策略违规

• 转发一个或多个策略违规

• 从修正工作项目中编辑用户

查看策略违规

进行操作之前，可通过“修正”页查看有关违规的详细信息。

根据您所具有的权能或您在 Identity Manager 权能分层结构中的位置，您可能可以查看其他修正者的违规并对这些违规执行操作。

以下是与查看违规相关的主题：

• 查看暂挂请求

• 查看已完成的请求

• 更新表

查看暂挂请求

默认情况下，分配给您的暂挂请求将显示在“修正”表中。

您可使用“列出修正”选项来查看不同修正者的暂挂修正请求：

• 选择“我的直接报告”可查看组织中直接向您报告的用户的暂挂请求。

• 选择“搜索用户”可输入或查找您要查看其暂挂请求的一个或多个用户。输入用户 ID，然后单击“应用”以查看该用户的暂挂请求。或者，单击 ...（更多）以搜索用户。找到并选择用户之后，单击“解除”可关闭搜索区域。

生成的表中提供关于每个请求的以下信息：

• 修正者。分配的修正者的名称。仅当查看其他修正者的修正请求时才会显示此列。

• 用户。发送请求的用户。

• 审计策略/请求。修正者请求的操作。

• 审计规则/描述。请求的修正注释。

• 违规状态。违规的当前状态。

• 严重程度。分配给请求的严重程度（“无”、“低”、“中”、“高”或“严重”）。

• 优先级。分配给请求的优先级（“无”、“低”、“中”、“高”或“紧急”）。

• 请求日期：发出修正请求的日期和时间。

---

注 –

每个用户都可以选择一个自定义表单，以显示与特定修正者相关的修正数据。要分配自定义表单，请选择用户表单上的“遵循性”选项卡。

---

查看已完成的请求

要查看已完成的修正请求，请单击“我的工作项目”选项卡，然后单击“历史”选项卡。将显示先前已修正的工作项目的列表。

结果表（由 AuditLog 报告生成）提供关于每个修正请求的以下信息：

• 时间戳。修正请求的日期和时间

• 主体。处理请求的修正者的名称

• 操作。修正者是缓解还是修正了请求

• 类型。遵循性违规或用户权利

• 对象名称。被违反的审计策略的名称

• 资源。提供修正者的帐户 ID（或可能显示 N/A）

• ID。与策略违规相关的帐户 ID

• 结果。始终指示 Success

单击表格中的时间戳将打开“审计事件详细信息”页。

“审计事件详细信息”页提供有关已完成请求的信息，包括有关修正或缓解、事件参数（如果适用）和可审计属性的信息。

更新表

要更新“修正”表中提供的信息，请单击“刷新”。“修正”页将通过任何新的修正请求更新该表。

排列策略违规的优先级

可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以在“修正”页中排列违规的优先级。

编辑违规的优先级或严重程度

1. 在列表中选择一个或多个违规。

2. 单击“确定优先级”。

   将显示“排列策略违规优先级”页。

3. （可选）设置违规的严重程度。选项包括“无”、“低”、“中”、“高”或“严重”。

4. （可选）设置违规的优先级。选项包括“无”、“低”、“中”、“高”或“紧急”。

5. 完成选择后单击“确定”。Identity Manager 将返回到修正列表。

   ---

   注 –

   只能对类型为 CV（Compliance Violation，遵循性违规）的修正设置严重程度和优先级值。

   ---

缓解策略违规

可以在“修正”和“查看策略违规”页中缓解策略违规。

在“修正”页

在“修正”页中缓解暂挂策略违规

1. 在表中选择行以指定要缓解的请求。

   • 选中一个或多个选项，以指定要缓解的请求。

   • 选中表标题中的选项，以缓解表中列出的所有请求。

   Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量缓解。

   只能缓解包含遵循性违规的请求，而不能缓解其他修正请求。

2. 单击“缓解”。

   将显示“缓解策略违规”页（或“缓解多项策略违规”页）。

   图 15–3 “缓解策略违规”页

   
   

3. 在“说明”字段中输入有关缓解的注释。（必需）

   您的注释可提供针对此操作的审计跟踪，因此，请确保输入完整、有意义的信息。例如，解释缓解策略违规的原因、日期、选择免除期的原因。

4. 直接在“到期日期”字段中键入日期（格式为 YYYY-MM-DD）可提供免除的到期日期，也可单击日期按钮后在日历中选择日期。

   ---

   注 –

   如果不提供日期，则免除会无限期有效。

   ---

5. 单击“确定”以保存更改并返回到“修正”页。

修正策略违规

修正一个或多个策略违规

1. 使用表中的复选框指定要修正的请求。

   • 选中表中的一个或多个复选框，以指定要修正的请求。

   • 选中表标题中的复选框，以修正表中列出的所有请求。

     如果选择了多个请求，请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的，只需一个单独的注释即可，否则，您可能不想执行批量修正。

2. 单击“修正”。

3. 屏幕将显示“修正策略违规”页（或“修正多项策略违规”页）。

4. 在“注释”字段中输入关于修正的注释。

5. 单击“确定”以保存更改并返回到“修正”页。

   ---

   注 –

   在修正用户违规时，将始终对直接分配给该用户的审计策略（即，通过用户帐户或组织分配所分配的策略）进行重新评估。

   ---

转发修正请求

可将一个或多个修正请求转发给另一个修正者。

转发修正请求

1. 使用表中的复选框指定要转发的请求。

   • 选中表标题中的复选框，以转发表中列出的所有请求。

   • 选中表中的各个复选框，以转发一个或多个请求。

2. 单击“转发”。

   将显示“选择并确认转发”页。

   图 15–4 “选择并确认转发”页

   
   

3. 在“转发至”字段中输入修正者名称，然后单击“确定”。或者，也可以单击 ...（更多）以搜索修正者名称。从搜索列表中选择一个名称，然后单击“设置”在“转发至”字段中输入该名称。单击“解除”可关闭搜索区域。

   重新显示“修正”页时，新的修正者名称将显示在表的“修正者”列中。

从修正工作项目中编辑用户

从修正工作项目中，您可以（具有适当的用户编辑权能）编辑用户以修正问题（如相关的权利历史中所述）。

要编辑用户，请单击“查看修正请求”页中的“编辑用户”。随后出现的“编辑用户”页中将显示以下内容：

• 此工作项目的与用户相关的权利历史

• 用户的属性

  此处显示的选项与“帐户”区域中所提供的“编辑用户”表单上的选项相同。

修改用户之后，请单击“保存”。

---

注 –

保存用户编辑后，将会运行“更新用户”工作流。由于此工作流可能需要进行批准，因此对用户帐户所做的更改在保存后的一段时间内可能无效。如果审计策略允许重新扫描，并且“更新用户”工作流尚未完成，则后续的策略扫描可能会检测到相同的违规。

---