Documentation Home
> Sun Identity Manager 8.1 业务管理员指南
Sun Identity Manager 8.1 业务管理员指南
Book Information
索引
数字和符号
A
B
C
D
E
F
I
J
L
M
O
P
R
S
T
U
W
X
安
按
帮
报
编
表
部
仓
操
策
查
产
超
创
词
代
导
登
电
调
逗
对
方
访
分
风
服
更
公
功
工
故
关
管
规
后
会
活
获
基
加
角
结
解
禁
进
控
类
联
列
密
面
模
默
目
配
批
启
签
取
全
权
确
任
日
删
身
审
生
失
事
视
受
授
属
数
搜
提
通
同
图
外
网
委
文
系
限
协
卸
修
虚
选
验
页
疑
移
应
映
用
约
运
在
暂
帐
证
指
置
重
周
注
传
状
资
字
自
组
遵
前言
第 1 章 Identity Manager 概述
简介
Identity Manager 系统的目标
定义用户访问资源的权限
了解用户类型
委托管理
Identity Manager 对象
Identity Manager 用户帐户
Identity Manager 角色
资源和资源组
组织和虚拟组织
目录连接
Identity Manager 权能
管理员角色
Identity Manager 策略
审计策略
对象关系
第 2 章 Identity Manager 用户界面入门
Identity Manager 管理员界面
登录到 Identity Manager 管理员界面
打开管理员界面
会话限制和 Cookie
忘记用户 ID
Identity Manager 最终用户界面
五个最终用户界面选项卡
“主页”选项卡
“工作项目”选项卡
“请求”选项卡
“委托”选项卡
“配置文件”选项卡
登录到 Identity Manager 最终用户界面
打开最终用户界面
找回忘记的用户 ID
帮助和指导
Identity Manager 帮助
Identity Manager 指导
Identity Manager 的“调试”页
Identity Manager IDE
后续内容
第 3 章 用户和帐户管理
界面的“帐户”区域
帐户区域中的操作列表
在“帐户列表”区域中搜索
用户帐户状态
“用户”页(创建/编辑/查看)
“身份”选项卡
“资源”选项卡
“角色”选项卡
“安全性”选项卡
“委托”选项卡
“属性”选项卡
“遵循性”选项卡
创建用户和使用用户帐户
启用进程图
在 Identity Manager 中启用进程图
在 Identity Manager 中创建用户
为用户创建多个资源帐户
为什么要针对每种资源为每个用户分配多个帐户?
配置帐户类型
分配帐户类型
查找和查看用户帐户
编辑用户
查看用户帐户
编辑用户帐户
将用户重新分配给其他组织
移动用户
重命名用户
更新与帐户关联的资源
更新单个用户帐户上的资源
更新多个用户帐户上的资源
删除 Identity Manager 用户帐户
从用户帐户中删除资源
从单个用户帐户中删除资源
为单个用户帐户启动删除、取消分配或解除链接操作
从多个用户帐户中删除资源
为多个用户启动删除、取消分配或解除链接操作
更改用户密码
从“用户列表”页中更改密码
从主菜单中更改密码
重设用户密码
从“用户列表”页中重设密码
使用 Identity Manager 帐户策略使密码到期
禁用、启用和解除锁定用户帐户
禁用用户帐户
通过密码重设启用资源上的用户帐户
解除锁定用户帐户
密码登录尝试失败
提问式登录尝试失败
批量帐户操作
启动批量帐户操作
启动批量帐户操作
使用操作列表
Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令
Create、Update 和 CreateOrUpdate 命令
有多个值的字段
字段值中的特殊字符
批量操作视图属性
关联和确认规则
关联规则
将扩展属性设置为可查询属性
确认规则
管理帐户安全和权限
设置密码策略
创建策略
长度规则
策略类型
字符类型规则
字典策略选项
密码历史记录策略
不得包含词
不得包含属性
实现密码策略
用户验证
在帐户策略中设置验证
个性化验证问题
验证后忽略更改密码质询
分配管理权限
用户自行搜索
启用自行搜索
启用自行搜索
匿名注册
启用匿名注册
启用匿名注册功能
配置匿名注册
用户注册过程
第 4 章 配置业务管理对象
配置 Identity Manager 策略
什么是策略?
打开“策略”页
策略中不得包含属性
什么是字典策略?
配置字典策略
实现字典策略
自定义电子邮件模板
编辑电子邮件模板
自定义电子邮件模板
电子邮件模板中的 HTML 和链接
电子邮件正文中允许使用的变量
配置审计组和审计事件
打开“审计配置”页
配置审计组
为审计配置组添加事件
编辑审计配置组中的事件
Remedy 集成
配置最终用户界面
设置用于在最终用户界面中显示信息的选项
在最终用户界面中启用进程图
注册 Identity Manager
从控制台中注册 Identity Manager
使用 register 命令
register 命令用法
register 命令选项
从控制台中注册 Identity Manager
从管理员界面中注册 Identity Manager
编辑 Identity Manager 配置对象
第 5 章 角色和资源
了解和管理角色
什么是角色?
运用角色类型
管理在 8.0 之前的版本中创建的角色
使用角色类型设计灵活的角色
设计业务角色
设计 IT 角色
设计应用程序和资产
角色类型总览
创建角色
使用创建角色表单创建角色
分配资源和资源组
编辑分配的资源属性值
分配角色和角色排除
指定角色所有者和角色批准者
指定通知
启动更改批准工作项目和批准工作项目
编辑和管理角色
搜索角色
查看角色
编辑角色
克隆角色
将角色分配给其他角色
删除分配给其他角色的角色
启用或禁用角色
删除角色
将资源或资源组分配给角色
删除分配给角色的资源或资源组
管理用户角色分配
将角色分配给用户
在特定日期激活和取消激活角色
编辑延迟任务扫描程序进度表
更新分配给用户的角色
手动更新分配的用户
计划更新角色用户任务
查找分配给特定角色的用户
从用户中删除一个或多个角色
配置角色类型
将角色类型配置为可直接分配给用户
使角色类型具有可分配的激活日期和取消激活日期
启用或禁用更改批准和更改通知工作项目
配置“列出角色”页可加载的最大行数
同步 Identity Manager 角色和资源角色
将 Identity Manager 角色与资源角色同步
了解和管理 Identity Manager 资源
什么是资源?
界面中的资源区域
管理资源列表
打开“配置受管理的资源”页
启用资源类型
添加自定义资源
创建资源
管理资源
查看资源列表
使用资源向导编辑资源
使用资源列表命令编辑资源
查看或编辑资源帐户属性
资源组
全局资源策略
编辑策略属性
设置其他超时值
批量资源操作
了解和管理外部资源
什么是外部资源?
为什么使用外部资源?
配置外部资源
配置外部资源数据存储库
配置数据库类型数据存储库
配置操作脚本
配置目录类型数据存储库
配置置备程序通知
配置电子邮件通知
配置 Remedy 通知
创建外部资源
置备外部资源
为用户分配外部资源
响应外部资源置备请求
取消分配外部资源和解除其链接
外部资源故障排除
第 6 章 管理
了解 Identity Manager 管理
委托管理
创建和管理管理员
创建管理员
过滤管理员视图
更改管理员密码
验明管理员操作
为选项卡式用户表单启用质询选项
为更改用户密码表单和重设用户密码表单启用质询选项
更改验证问题回答
自定义在“管理员界面”中显示的管理员名称
了解 Identity Manager 组织
创建组织
创建组织
将用户分配给组织
分配组织控制
了解目录连接和虚拟组织
设置目录连接
设置目录连接
刷新虚拟组织
删除虚拟组织
了解和管理权能
权能类别
使用权能
查看“权能”页
打开“权能”页
创建权能
创建权能
编辑权能
编辑未受保护的权能
保存和重命名权能
克隆权能
为用户分配权能
了解和管理管理员角色
管理员角色规则
用户管理员角色
创建和编辑管理员角色
“常规”选项卡
控制范围
为管理员角色分配权能
将用户表单分配给管理员角色
最终用户组织
最终用户受控组织规则
管理工作项目
工作项目类型
使用工作项目请求
查看工作项目历史
委托工作项目
审计日志条目
查看当前委托
查看当前委托
查看以前的委托
查看先前的委托
创建委托
创建委托
委托给删除的用户
结束委托
结束一个或多个委托
批准用户帐户
设置帐户批准者
对批准签名
对批准进行签名
配置数字签名的批准和操作
为签名的批准启用服务器端配置
使用 PKCS12 为签名的批准启用服务器端配置
使用 PKCS11 为签名的批准启用客户端配置
查看事务签名
查看事务签名
配置 XMLDSIG 格式的签名批准
批准数据格式
安装和设置
批准配置
第 7 章 数据加载和同步
数据同步工具:使用哪一个?
帐户搜索功能
提取到文件
提取帐户
从文件加载
关于 CSV 文件格式
加载帐户
从资源加载
导入帐户
帐户协调
协调简介
关于协调策略
编辑协调策略
编辑协调策略
启动协调
定期运行协调
立即运行协调
取消协调
查看协调状态
查看详细的协调状态
在“资源列表”中查看协调状态
使用帐户索引
搜索帐户索引
检查帐户索引
检查帐户索引
使用帐户
使用用户
使用任务进度表重复规则
如何安排协调运行时间
查看“接受所有日期”示例规则
活动同步适配器
配置同步
编辑或配置同步
编辑活动同步适配器
停止同步
调节活动同步适配器性能
更改轮询时间间隔
指定运行适配器的主机
启动和停止
适配器日志记录
第 8 章 报告
使用报告
报告类型
运行报告
运行报告
查看报告
查看报告
创建报告
创建新报告
编辑和克隆报告
编辑或克隆报告
发送电子邮件报告
调度报告
下载报告数据
配置报告输出
Identity Manager 报告
审计日志报告
定义审计日志报告
单个用户审计日志报告
定义单个用户审计日志报告
实时报告
定义实时报告
摘要报告
定义摘要报告
系统日志报告
定义系统日志报告
使用情况报告
定义使用情况报告
工作流报告
配置工作流以捕获审计计时事件
为工作流报告指定要存储的属性
定义工作流报告
Auditor 报告
使用图形
查看定义的图形
查看定义的图形
创建面板图形
编辑面板图形
删除定义的图形
使用面板
查看面板
创建面板
编辑面板
删除面板
系统监视
跟踪的事件配置
风险分析
创建风险分析报告
计划风险分析报告
第 9 章 任务模板
启用任务模板
映射进程类型
配置任务模板
配置任务模板
配置“常规”选项卡
对于创建用户模板或更新用户模板
更改默认任务名称
对于删除用户模板
指定如何删除/取消置备用户帐户
配置“通知”选项卡
配置用户通知
配置管理员通知
通过属性指定管理员通知收件人
通过指定属性获取通知收件人的帐户 ID
通过规则指定管理员通知收件人
通过指定规则获取通知收件人的帐户 ID
通过查询指定管理员通知收件人
通过查询指定资源获取通知收件人的帐户 ID
通过管理员列表指定管理员通知收件人
配置“批准”选项卡
配置批准
启用批准(“批准”选项卡的“启用批准”部分)
指定附加批准者(“批准”选项卡的“附加批准者”部分)
通过属性决定附加批准者
通过规则决定附加批准者
通过查询决定附加批准者
通过管理员列表决定附加批准者
配置批准超时
配置“决定提升批准者来源”部分
配置“批准超时任务”部分
配置批准表单(“批准”选项卡的“批准表单配置”部分)
为附加批准者配置批准表单
将属性添加到批准表单中
删除属性
从批准表单中删除属性
配置“审计”选项卡
配置审计
删除属性
配置“置备”选项卡
配置“生效和失效”选项卡
配置生效
配置生效
指定时间
将置备延迟到指定时间
将置备延迟到指定日历日期
通过指定属性决定置备日期和时间
通过评估规则来决定置备日期和时间
配置失效
配置失效
配置“数据转换”选项卡
第 10 章 审计日志记录
审计日志记录概述
Identity Manager 对哪些内容进行审计?
通过工作流创建审计事件
com.waveset.session.WorkflowServices 应用程序
修改工作流以记录标准审计事件
工作流示例
修改工作流以记录计时审计事件
示例:在工作流中启动和停止审计事件
计时审计事件存储哪些信息?
审计配置
filterConfiguration 属性
帐户管理组
Identity System 之外的更改组
遵循性管理组
配置管理组
事件管理组
登录/注销组
密码管理组
资源管理组
角色管理组
安全管理组
服务提供者 组
任务管理组
extendedTypes 属性
extendedActions 属性
extendedResults 属性
publishers 属性
数据库模式
waveset.log 表
waveset.logattr 表
审计日志截断
审计日志配置
调整列长度限制
从审计日志中删除记录
使用自定义审计发布器
启用自定义审计发布器
控制台、文件、JDBC 和执行脚本的发布器类型
JMS 发布器类型
为什么使用 JMS?
点对点或者发布和订阅?
配置 JMS 发布器类型
JMX 发布器类型
什么是 JMX?
Identity Manager 的 JMX 发布器实现
配置 JMX 发布器类型
使用 JMX 客户机查看审计事件
在 MBean 中查询其他信息
开发自定义审计发布器
发布器生命周期
发布器配置
开发格式化程序
注册发布器/格式化程序
第 11 章 PasswordSync
什么是 PasswordSync?
安装之前
安装 Microsoft .NET 1.1
将 PasswordSync 配置为使用 SSL
卸载 PasswordSync 的先前版本
在 Windows 上安装和配置 PasswordSync
安装 PasswordSync 配置应用程序
配置 PasswordSync
无提示安装 PasswordSync
捕获安装参数将其写入到配置文件中
无提示安装 PasswordSync
在应用服务器上部署 PasswordSync
添加和配置 JMS 侦听器适配器
添加 JMS 侦听器资源适配器
实现“同步用户密码”工作流
设置通知
在 Sun JMS Server 中配置 PasswordSync
示例方案
创建和存储管理对象
将管理对象存储到 LDAP 目录
使用 Message Queue 命令行工具
存储连接工厂对象
存储目的地对象
将管理对象存储到文件
存储连接工厂对象
在代理上创建目的地
为该方案配置 JMS 侦听器适配器
配置活动同步
配置 JMS 侦听器以进行同步
测试配置
在 Windows 上调试 PasswordSync
在 Windows 上卸载 PasswordSync
有关 PasswordSync 的常见问题
第 12 章 安全
安全功能
限制并发登录会话
管理密码
传递验证
关于登录应用程序
登录约束规则
登录约束规则示例
编辑登录应用程序
设置 Identity Manager 会话限制
禁用对应用程序的访问
编辑登录模块组
编辑登录模块
配置公共资源的验证
配置 X509 证书验证
配置必备条件
确保选择了客户机证书的“客户机验证”选项
在 Identity Manager 中配置 X509 证书验证
配置 X509 证书验证
创建和导入登录关联规则
测试 SSL 连接
诊断问题
更正 HTTP 请求中的客户机证书属性名称
加密的使用和管理
受加密保护的数据
有关服务器加密密钥的常见问题
有关网关密钥的常见问题
管理服务器加密
访问“管理服务器加密”页
配置服务器加密
使用验证类型保护对象
安全实践
安装时
使用时
要更改会话超时值
第 13 章 身份审计:基本概念
关于身份审计
身份审计的目标
了解身份审计
基于策略的遵循性
连续遵循性
周期性遵循性
基于策略的遵循性的逻辑任务流
周期性访问查看
使用管理员界面中的身份审计
使用界面的“遵循性”部分
使用“遵循性”部分创建和管理审计策略
管理策略
管理访问扫描
访问查看
身份审计任务界面参考
电子邮件模板
启用审计日志记录
关于审计策略
使用审计策略规则创建策略
使用修正工作流解决策略违规问题
指定修正者
审计策略方案示例
第 14 章 审计:审计策略
使用审计策略
审计策略规则
创建审计策略
打开审计策略向导
创建审计策略:概述
准备工作
确定所需规则
(可选)将任务划分规则导入到 Identity Manager 中
(可选)将工作流导入到 Identity Manager 中
导入外部工作流
命名和描述审计策略
选择规则类型
选择现有规则
使用规则向导创建新规则
命名和描述新规则
选择规则引用的资源
创建规则表达式
创建规则表达式
添加规则
选择修正工作流
为修正选择修正者和超时时间
选择可访问此策略的组织
编辑审计策略
编辑策略页
编辑审计策略描述
编辑选项
从策略中删除规则
向策略中添加规则
更改策略使用的规则
修正者区域
删除或分配修正者
调整提升超时时间
修正工作流和组织区域
更改修正工作流
选择修正用户表单规则
分配或删除组织可视性
示例策略
IDM 角色比较策略
IDM 帐户累积策略
删除审计策略
审计策略疑难解答
分配审计策略
分配用户级别的策略
解除审计者权能限制
添加权能
第 15 章 审计:监视遵循性
审计策略扫描和报告
扫描用户和组织
扫描用户帐户或组织
使用审计者报告
创建 Auditor 报告
创建审计者报告
配置审计属性报告
遵循性违规修正和缓解
关于修正
修正者提升
修正安全性访问
修正工作流进程
修正响应
修正示例
修正电子邮件模板
使用“修正”页
查看策略违规
查看暂挂请求
查看已完成的请求
更新表
排列策略违规的优先级
编辑违规的优先级或严重程度
缓解策略违规
在“修正”页
在“修正”页中缓解暂挂策略违规
修正策略违规
修正一个或多个策略违规
转发修正请求
转发修正请求
从修正工作项目中编辑用户
周期性访问查看和证明
关于周期性访问查看
访问查看扫描
访问查看工作流进程
所需的管理员权能
证明进程
证明工作流
证明安全访问
委托证明
计划进行周期性访问查看
调节扫描任务
创建访问扫描
定义访问查看扫描
删除访问扫描
管理访问查看
启动访问查看
调度访问查看任务
管理访问查看进度
修改扫描属性
取消访问查看
删除访问查看
管理证明责任
访问查看通知
查看暂挂证明请求
对权利记录执行操作
闭环修正
请求修正
从其他用户请求修正
重新扫描证明
重新扫描暂挂证明
转发证明工作项目
转发证明
对访问查看操作进行数字签名
访问查看报告
访问查看修正
关于访问查看修正
访问查看修正请求提升
修正工作流进程
访问查看修正响应
“修正”页
不支持的访问查看修正操作
第 16 章 数据导出器
什么是数据导出器?
计划实现数据导出器
实现数据导出器
配置数据导出器
配置数据导出器
定义读取连接和写入连接
定义读取连接和写入连接
定义仓库配置信息
定义仓库配置信息
配置仓库模型
配置仓库模型
配置导出器自动化
配置导出器自动化
配置仓库任务
配置仓库配置信息
修改配置对象
测试数据导出器
启动数据仓库导出器启动程序
配置取证查询
创建查询
创建取证查询
保存取证查询
保存取证查询
加载查询
加载取证查询
维护数据导出器
监视数据导出器
监视日志记录
审计日志
系统日志
第 17 章 服务提供者管理
服务提供者功能概述
增强的最终用户页面
密码和帐户 ID 策略
Identity Manager 和服务提供者同步
Access Manager 集成
初始配置
编辑主配置
编辑服务提供者实现的配置对象
目录配置
填写“目录配置”表单
用户表单和策略
为服务提供者用户管理指定表单和策略
事务数据库
配置事务数据库
配置“跟踪的事件配置”
为服务提供者跟踪事件指定时区和收集间隔
同步帐户索引
定义资源的索引属性
标注配置
编辑用户搜索配置
配置默认搜索设置以搜索服务提供者用户
事务管理
设置默认事务执行选项
配置服务提供者事务
设置事务持久性存储
在“服务提供者事务配置”页中设置选项
设置高级事务处理设置
指定高级事务处理设置
监视事务
搜索事务
服务提供者用户的委托管理
通过组织授权委托
通过管理员角色分配委托
启用服务提供者管理员角色委托
配置服务提供者用户管理员角色
配置服务提供者用户管理员角色
指定控制范围
指定权能
为用户分配管理员角色
委托服务提供商用户管理员角色
管理服务提供商用户
用户组织
创建用户和帐户
创建服务提供者帐户
搜索服务提供者用户
高级搜索
执行服务提供者用户的高级搜索
搜索结果
链接帐户
链接用户帐户
删除、取消分配帐户或解除帐户的链接
删除、取消分配用户帐户或解除用户帐户的链接
设置搜索选项
设置服务提供者用户的搜索选项
最终用户界面
最终用户页面示例
新用户注册
“主页”屏幕和配置文件屏幕
服务提供者用户同步
配置同步
监视同步
启动和停止同步
禁用服务提供者活动同步
迁移用户
迁移现有 Identity Manager 用户
配置服务提供者审计事件
附录 A lh 参考消息
lh 命令语法
用法说明
lh 命令示例
syslog 命令
syslog 命令用法
syslog 命令选项
附录 B 审计日志数据库模式
Oracle 数据库类型
DB2 数据库类型
MySQL 数据库类型
SQL Server 数据库类型
审计日志数据库映射
附录 C 用户界面快速参考
Identity Manager 界面任务参考
附录 D 权能定义
基于任务的权能定义
功能性权能定义
词汇表
© 2010, Oracle Corporation and/or its affiliates