对于任何企业,访问查看都是一个费时费力的过程。Identity Manager 周期性访问查看通过自动执行进程的诸多步骤,有助于将成本和时间降至最低。但是,某些进程仍然十分耗时。例如,从数以千计的用户的多个位置获取用户帐户数据的进程就十分耗时。手动证明记录的操作同样十分耗时。合理的计划可提高进程的效率,并极大地降低投入。
计划进行周期性访问查看需要注意以下事项:
根据所涉及的用户数和资源数,扫描时间将有很大的差别。
对大型组织进行一次周期性访问查看时,扫描会耗费一天或多天的时间,而完成手动证明则需一周或多周的时间。
例如,对于具有 50,000 个用户和十个资源的组织,根据以下计算,完成访问扫描可能需要约一天的时间:
1 秒/资源 * 50K 用户 * 10 资源 / 5 并发线程 = 28 小时
如果资源分布于各地,则网络时延会增加进程时间。
使用多个 Identity Manager 服务器进行并行处理将提高访问查看进程的速度。
当扫描的并非公共资源时,运行并行扫描最为有效。定义访问查看时,通过对每个扫描使用不同资源来创建多个扫描并将资源限制为特定的一组资源。然后,启动任务时,选择多个扫描并将它们调度为立即运行。
自定义证明工作流以及规则增强了您的控制能力,并带来了更高的效率:
例如,自定义 "Attestor" 规则可将证明任务扩展到多个证明者。证明进程将相应地分配工作项目并发送通知。
使用 "Attestor Escalation Rules" 有助于缩短证明请求的响应时间。
设置 "Default Escalation Attestor" 规则或使用自定义规则来设置证明者的提升链。另外,指定提升超时值。
了解如何使用 "Review Determination Rules" 通过自动确定要手动查看的权利文件记录来节省时间。
通过指定扫描级别通知工作流来捆绑扫描的证明请求通知。
在扫描过程中,有多个线程会访问用户的视图,还可能访问用户具有帐户的资源。访问视图之后,会对多个审计策略和规则进行评估,这可能会导致创建遵循性违规。
为了防止两个线程同时更新相同的用户视图,该过程将针对此用户名建立一个内存中的锁定。如果无法在 5 秒(默认值)之内建立此锁定,则会向扫描任务中写入一个错误并跳过该用户,从而防止对同一组用户进行并发扫描。
可以编辑多个“可调节参数”的值,这些参数是作为任务参数提供给扫描任务的:
clearUserLocks(布尔值)。如果为 true,将在扫描开始前解除所有当前用户锁定。
userLock(整数)。尝试锁定用户时等待的时间(以毫秒为单位)。默认值为 5 秒。负值将禁用对该扫描的锁定。
scanDelay(整数)。分发扫描线程之间的休眠时间(以毫秒为单位)。默认值为 0(无延迟)。如果为此参数提供值,则扫描速度会变慢,但系统对其他操作的响应能力将变强。
maxThreads(整数)。用于处理扫描的并发线程数。默认值为 5。如果资源的响应速度很慢,则增大此数值可能会提高扫描吞吐量。
要更改这些参数的值,请编辑相应的“任务定义”表单。有关详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 2 章 “Identity Manager Forms”。