本节介绍如何使用 Identity Manager 修正来保护您的重要资产。
以下主题详述了 Identity Manager 修正进程的元素:
Identity Manager 在检测到未解决的(未缓解的)审计策略遵循性违规时,将创建一个修正请求,该请求必须由修正者进行处理。修正者是一个指定的用户,允许其评估并响应审计策略违规。
Identity Manager 允许您定义三个修正者升级的级别。修正请求最先发送到级别 1 修正者。如果在超时之前级别 1 修正者没有对修正请求进行操作,则 Identity Manager 会将违规提升至级别 2 修正者,并开始新的超时时间段。如果级别 2 修正者在超时之前未响应,则该请求再次被升级至级别 3 修正者。
要执行修正,必须至少为您的企业指定一个修正者。为每个级别指定一个以上的修正者是可选的,但它是建议做法。多个修正者可帮助确保工作流不被延迟或停止。
这些验证选项用于 authType RemediationWorkItem 的工作项目。
修正工作项目拥有者
修正工作项目拥有者的直接或间接管理员
控制修正工作项目拥有者所属组织的管理员
默认情况下,验证检查的行为是以下行为之一:
所有者为尝试执行该操作的用户
所有者位于由尝试执行该操作的用户控制的组织中
拥有者为尝试执行该操作的用户的下属
第二个和第三个检查可通过修改以下选项单独配置:
controlOrg。有效值为 true 或 false。
subordinate。有效值为 true 或 false。
lastLevel。包括在结果中的最后一个下属级别;-1 表示所有级别。lastLevel 的整数值默认为 -1,表示直接或间接下属。
可通过以下方式添加或修改这些选项:
用户表单:修正列表
Identity Manager 提供了标准修正工作流,从而为审计策略扫描提供修正处理。
标准修正工作流生成一个包含有关遵循性违规信息的修正请求(查看类型的工作项目),并向审计策略中指定的每个级别 1 修正者发送一个电子邮件通知。修正者缓解违规时,工作流会更改现有遵循性违规对象的状态并向其分配一个到期日期。
可以通过将用户、策略名称和规则名称进行组合来唯一标识遵循性违规。如果审计策略评估为 true,则将为每个用户/策略/规则组合创建新的遵循性违规(如果该组合当前尚不具有违规)。如果该组合具有违规,并且违规处于已缓解状态,则工作流进程将不执行任何操作。如果未缓解现有违规,则其反复出现次数将增加一次。
有关修正工作流的详细信息,请参见关于审计策略。
默认情况下,为每个修正者提供三个响应选项:
修正。修正者指示已经为修复有关资源的问题而进行了工作。
修改遵循性违规时,Identity Manager 会创建一个审计事件来记录修正。此外,Identity Manager 还存储修正者名称及提供的所有注释。
修正后,在进行下次审计扫描前将不会删除违规。如果将审计策略配置为允许重新扫描,则违规修正后将立即对用户进行重新扫描。
缓解。修正者允许违规,并在一定的时间内对用户违规进行免除。
如果是经过权衡后的违规(例如,一个属于两个组的业务案例),则可长期缓解此违规。您也可以短期缓解违规(例如,因资源的系统管理员休假,您不知道如何修复问题的情况)。
Identity Manager 中存储了缓解违规的修正者的名称、免除的到期日期及提供的所有注释。
Identity Manager 检测到到期的免除时,它会将违规从已缓解状态返回至暂挂状态。
转发。修正者将解决违规的职责重新分配给另外一个人。
您的企业建立了一条规则,规定用户无法同时负责“应付帐款”和“应收帐款”,并且您收到了用户违反此规则的通知。
如果该用户是一个主管,并且在公司雇佣其他人负责其中的一个职位之前,他同时负责这两个职位,则可以缓解此违规,并签发一个最长六个月的免除期。
如果用户违反此规则,可请求 Oracle ERP 管理员更正此冲突,然后,在资源的相关问题解决修复后修正此违规。或者,您还可以将修正请求转发给 Oracle ERP 管理员。
Identity Manager 提供了一个“策略违规通知”电子邮件模板(可通过选择“配置”选项卡,然后再选择“电子邮件模板”子选项卡获得)。可对此模板进行配置,以通知修正者暂挂违规。有关详细信息,请参见第 4 章中的自定义电子邮件模板。
选择“工作项目”->“修正”以访问“修正”页。
您可使用此页执行以下操作:
查看暂挂违规
排列策略违规的优先级
缓解一个或多个策略违规
修正一个或多个策略违规
转发一个或多个策略违规
从修正工作项目中编辑用户
进行操作之前,可通过“修正”页查看有关违规的详细信息。
根据您所具有的权能或您在 Identity Manager 权能分层结构中的位置,您可能可以查看其他修正者的违规并对这些违规执行操作。
以下是与查看违规相关的主题:
默认情况下,分配给您的暂挂请求将显示在“修正”表中。
您可使用“列出修正”选项来查看不同修正者的暂挂修正请求:
选择“我的直接报告”可查看组织中直接向您报告的用户的暂挂请求。
选择“搜索用户”可输入或查找您要查看其暂挂请求的一个或多个用户。输入用户 ID,然后单击“应用”以查看该用户的暂挂请求。或者,单击 ...(更多)以搜索用户。找到并选择用户之后,单击“解除”可关闭搜索区域。
生成的表中提供关于每个请求的以下信息:
修正者。分配的修正者的名称。仅当查看其他修正者的修正请求时才会显示此列。
用户。发送请求的用户。
审计策略/请求。修正者请求的操作。
审计规则/描述。请求的修正注释。
违规状态。违规的当前状态。
严重程度。分配给请求的严重程度(“无”、“低”、“中”、“高”或“严重”)。
优先级。分配给请求的优先级(“无”、“低”、“中”、“高”或“紧急”)。
请求日期:发出修正请求的日期和时间。
每个用户都可以选择一个自定义表单,以显示与特定修正者相关的修正数据。要分配自定义表单,请选择用户表单上的“遵循性”选项卡。
要查看已完成的修正请求,请单击“我的工作项目”选项卡,然后单击“历史”选项卡。将显示先前已修正的工作项目的列表。
结果表(由 AuditLog 报告生成)提供关于每个修正请求的以下信息:
时间戳。修正请求的日期和时间
主体。处理请求的修正者的名称
操作。修正者是缓解还是修正了请求
类型。遵循性违规或用户权利
对象名称。被违反的审计策略的名称
资源。提供修正者的帐户 ID(或可能显示 N/A)
ID。与策略违规相关的帐户 ID
结果。始终指示 Success
单击表格中的时间戳将打开“审计事件详细信息”页。
“审计事件详细信息”页提供有关已完成请求的信息,包括有关修正或缓解、事件参数(如果适用)和可审计属性的信息。
要更新“修正”表中提供的信息,请单击“刷新”。“修正”页将通过任何新的修正请求更新该表。
可以通过向策略违规分配优先级和/或严重程度来排列策略违规的优先级。可以在“修正”页中排列违规的优先级。
在列表中选择一个或多个违规。
单击“确定优先级”。
将显示“排列策略违规优先级”页。
(可选)设置违规的严重程度。选项包括“无”、“低”、“中”、“高”或“严重”。
(可选)设置违规的优先级。选项包括“无”、“低”、“中”、“高”或“紧急”。
完成选择后单击“确定”。Identity Manager 将返回到修正列表。
只能对类型为 CV(Compliance Violation,遵循性违规)的修正设置严重程度和优先级值。
可以在“修正”和“查看策略违规”页中缓解策略违规。
在表中选择行以指定要缓解的请求。
选中一个或多个选项,以指定要缓解的请求。
选中表标题中的选项,以缓解表中列出的所有请求。
Identity Manager 只允许输入一组描述缓解操作的注释。除非各个违规是相关的,只需一个单独的注释即可,否则,您可能不想执行批量缓解。
只能缓解包含遵循性违规的请求,而不能缓解其他修正请求。
单击“缓解”。
将显示“缓解策略违规”页(或“缓解多项策略违规”页)。
在“说明”字段中输入有关缓解的注释。(必需)
您的注释可提供针对此操作的审计跟踪,因此,请确保输入完整、有意义的信息。例如,解释缓解策略违规的原因、日期、选择免除期的原因。
直接在“到期日期”字段中键入日期(格式为 YYYY-MM-DD)可提供免除的到期日期,也可单击日期按钮后在日历中选择日期。
如果不提供日期,则免除会无限期有效。
单击“确定”以保存更改并返回到“修正”页。
使用表中的复选框指定要修正的请求。
选中表中的一个或多个复选框,以指定要修正的请求。
选中表标题中的复选框,以修正表中列出的所有请求。
如果选择了多个请求,请记住 Identity Manager 仅允许输入一组注释来说明修正操作。除非各个违规是相关的,只需一个单独的注释即可,否则,您可能不想执行批量修正。
单击“修正”。
屏幕将显示“修正策略违规”页(或“修正多项策略违规”页)。
在“注释”字段中输入关于修正的注释。
单击“确定”以保存更改并返回到“修正”页。
在修正用户违规时,将始终对直接分配给该用户的审计策略(即,通过用户帐户或组织分配所分配的策略)进行重新评估。
可将一个或多个修正请求转发给另一个修正者。
使用表中的复选框指定要转发的请求。
选中表标题中的复选框,以转发表中列出的所有请求。
选中表中的各个复选框,以转发一个或多个请求。
单击“转发”。
将显示“选择并确认转发”页。
在“转发至”字段中输入修正者名称,然后单击“确定”。或者,也可以单击 ...(更多)以搜索修正者名称。从搜索列表中选择一个名称,然后单击“设置”在“转发至”字段中输入该名称。单击“解除”可关闭搜索区域。
重新显示“修正”页时,新的修正者名称将显示在表的“修正者”列中。
从修正工作项目中,您可以(具有适当的用户编辑权能)编辑用户以修正问题(如相关的权利历史中所述)。
要编辑用户,请单击“查看修正请求”页中的“编辑用户”。随后出现的“编辑用户”页中将显示以下内容:
此工作项目的与用户相关的权利历史
用户的属性
此处显示的选项与“帐户”区域中所提供的“编辑用户”表单上的选项相同。
修改用户之后,请单击“保存”。
保存用户编辑后,将会运行“更新用户”工作流。由于此工作流可能需要进行批准,因此对用户帐户所做的更改在保存后的一段时间内可能无效。如果审计策略允许重新扫描,并且“更新用户”工作流尚未完成,则后续的策略扫描可能会检测到相同的违规。