定义访问扫描之后,即可将其作为访问查看的一部分使用或调度。启动访问查看之后,可使用多个选项管理查看进程。
请阅读以下各节以了解详细信息:
要从管理员界面启动访问查看,请使用以下方法之一:
单击“遵循性”->“访问查看”页中的“启动查看”。
在“服务器任务”->“运行任务”页中选择“访问查看”任务。
在所显示的“启动任务”页中,指定访问查看的名称。从 "Available Access Scans" 列表中选择扫描并将其移动至 "Selected" 列表。
如果选择了多个扫描,则可以选择以下启动选项之一:
立即。选择此选项后,单击“启动”按钮时将立即开始运行扫描。如果在启动任务中为多个扫描选择了此选项,则扫描将并行运行。
等待。此选项可使您指定在启动扫描之前等待的时间,该时间与访问查看任务的启动相关。
您可以在访问查看会话期间启动多个扫描。但是,考虑到每个扫描可能涉及大量的用户,因此要完成扫描进程可能要耗费数小时的时间。最佳实践证明您可以分别管理扫描。例如,您可以启动某个扫描以立即运行,并调度其他扫描在错开的时间进行。
单击“启动”可启动访问查看进程。
分配给访问查看的名称很重要。某些报告可能会对具有相同名称的周期性运行的访问查看进行比较。
启动访问查看时,将显示工作流程图以指明该进程中执行的步骤。
可从 "Server Tasks" 区域中调度访问查看任务。例如,要设置周期性访问查看,请选择“管理进度表”,然后定义进度表。您可以将任务调度为每月或每季度发生一次。
要定义进度表,请在“调度任务”页中选择“访问查看”任务,然后填写“创建任务进度表”页上的信息。
单击“保存”以保存已调度的任务。
默认情况下,Identity Manager 可将访问查看任务的结果保留一周。如果选择在不到一周的时间内即调度一次查看,请将“结果选项”设置为删除。如果 "Results Options" 未设置为删除,则不会运行新的查看,因为先前任务的结果仍然存在。
使用 "Access Reviews" 选项卡可监视访问查看的进度。可通过“遵循性”选项卡访问该功能。
在“访问查看”选项卡中,您可以查看所有活动的和以前处理的访问查看的摘要。以下信息会提供给所列出的每个访问查看:
状态。查看进程的当前状态:正在启动、正在终止、已终止、正在执行的扫描数、已调度的扫描数、等待证明或已完成。
启动日期。启动访问查看任务的日期(时间戳)。
用户总数。要扫描的用户总数。
权利详细信息。表中的附加列,按状态提供权利总数。其中包括暂挂、已批准、已拒绝、已终止和已修正的权利的详细信息,以及权利总数。
“已修正”列指出当前处于 REMEDIATING 状态的权利数。权利在修正后将变为 PENDING 状态,因此在访问查看结束后,此列的值为零。
要查看关于查看的更多详细信息,请选择该查看以打开摘要报告。
图 15–5 显示了示例访问查看摘要报告。
单击“组织”或“证明者”表单选项卡可查看按这些对象进行分类的扫描信息。
您还可以通过运行 "Access Review Summary Report" 在报告中查看和下载这些信息。
设置访问扫描之后,您可以编辑扫描以指定新选项,例如指定要扫描的目标资源或指定运行访问扫描时要为违规扫描的审计策略。
要编辑扫描定义,请从“访问扫描”列表中将其选中,然后在“编辑访问查看扫描”页中修改属性。
必须单击“保存”才能保存对扫描定义所做的所有更改。
更改访问扫描的范围可能会更改新获得的用户权利记录中的信息,因为如果“查看确定规则”对用户权利和以前的用户权利记录进行比较,则更改可能会对此规则产生影响。
在“访问查看”页中,单击“终止”可停止进行中的选定查看。
终止查看将导致以下操作:
取消调度所有已调度的扫描
停止所有活动的扫描
删除所有暂挂工作流和工作项目
所有暂挂证明都被标记为已取消
用户已完成的所有证明将保留不变
在“访问查看”页中,单击“删除”可删除选定的查看。
如果访问查看任务的状态为已终止或已完成,则可以删除该访问查看。无法删除正在进行中的访问查看任务,除非先将其终止。
删除访问查看将删除由该查看生成的所有用户权利记录。删除操作将记录在审计日志中。
要删除访问查看,请单击“访问查看”页中的“删除”。
取消和删除访问查看可能导致对大量 Identity Manager 对象和任务进行更新,完成该过程可能需要几分钟的时间。可以通过在“服务器任务”->“所有任务”中查看任务结果来检查操作的进度。