Novell Doc: Identity Manager 4.0.1 Übersichtshandbuch

4.3 Revision und Berichterstellung

Revision und Berichterstellung stehen über das Identitätsberichterstellungsmodul, eine neue Funktion von Identity Manager 4.0.1, zur Verfügung (siehe nachfolgendes Diagramm).

Abbildung 4-4 Revision und Berichterstellung in Identity Manager

Mit dem Identitätsberichterstellungsmodul können Sie Berichte generieren, die unternehmenskritische Informationen zu verschiedenen Aspekten Ihrer Identity Manager-Konfiguration liefern, einschließlich erfasster Informationen zu Identitätsdepots oder verwalteten Systemen, z. B. Active Directory oder SAP. Das Identitätsberichterstellungsmodul verwaltet die Daten mittels folgender Komponenten:

Event Auditing Service: Dieser Dienst protokolliert Aktionen, die im Berichterstellungsmodul durchgeführt wurden, z. B. das Importieren, Ändern, Löschen oder Planen eines Berichts. Der Event Auditing Service (EAS) protokolliert Aktionen, die im rollenbasierten Bereitstellungsmodul und im Rollenzuordnungsadministrator durchgeführt wurden.

Identitätsinformations-Warehouse: Repository für folgende Informationen:

Berichtverwaltungsinformationen, z. B. Berichtsdefinitionen, Berichtzeitpläne und abgeschlossene Berichte, für die Berichterstellung verwendete Datenbankansichten und Konfigurationsinformationen.
Identifikationsdaten, die vom Berichtsdatenkollektor, vom ereignisgesteuerten Datenkollektor und vom Datenkollektor für nicht verwaltete Anwendungen gesammelt wurden.
Revisionsdaten mit Ereignissen, die vom Event Auditing Service erfasst wurden.

Die Daten des Identitätsinformations-Warehouses werden in der SIEM-Datenbank (Security Information and Event Management) gespeichert.

Datenerfassungsdienst: Ein Dienst, der Informationen von verschiedenen Quellen innerhalb der Organisation sammelt. Der Datenerfassungsdienst ist in drei Unterdienste unterteilt:

Berichtsdatenkollektor: Verwendet ein Pull-Modell zum Abrufen von Daten aus einer oder mehreren Identitätsdepot-Datenquellen. Die Sammlung der Daten wird regelmäßig auf Grundlage der festgelegten Konfigurationsparameter durchgeführt. Der Kollektor ruft zum Abrufen der Daten den Treiber „Verwaltetes System - Gateway“ auf.
Ereignisgesteuerter Datenkollektor: Verwendet ein Push-Modell zum Sammeln von Ereignisdaten, die vom Datenerfassungsdiensttreiber erfasst wurden.
Datenkollektor für nicht verwaltete Anwendungen: Ruft Daten von einer oder mehreren nicht verwalteten Anwendungen ab, indem er einen speziell für jede Anwendung geschriebenen REST-Endpunkt aufruft. Nicht verwaltete Anwendungen sind Anwendungen in Ihrem Unternehmen, die nicht mit dem Identitätsdepot verbunden sind. Weitere Informationen hierzu finden Sie unter REST Services for Reporting (REST-Dienste für Berichterstellung) im Identity Reporting Module Guide (Handbuch zum Identitätsberichterstellungsmodul).

Datenerfassungsdiensttreiber: Ein Treiber, der Änderungen an Objekten im Identitätsdepot erfasst, z. B. Konten, Rollen, Ressourcen, Gruppen und Teammitgliedschaften. Der Datenerfassungsdiensttreiber registriert sich beim Datenerfassungsdienst und gibt Änderungsereignisse (z. B. Datensynchronisierung sowie Hinzufügen, Ändern und Löschen von Ereignissen) an den Datenerfassungsdienst weiter.

Änderungen an folgenden Objekten werden aufgezeichnet:

Benutzerkonten und Identitäten
Rollen und Rollenebenen
Gruppen

HINWEIS:Dynamische Gruppen werden vom Berichterstellungsmodul nicht unterstützt. Es werden nur Berichte von statischen Gruppen generiert.
Gruppenmitgliedschaften
Bereitstellungsanforderungsdefinitionen
Funktionstrennungsdefinitionen und -verletzungen
Benutzerberechtigungsverknüpfungen
Ressourcendefinitionen und Ressourcenparameter
Rollen- und Ressourcenzuweisungen
Identitätsdepotberechtigungen, Berechtigungstypen und Treiber

Treiber „Verwaltetes System - Gateway“ Dieser Treiber sammelt Daten von verwalteten Systemen. Der Treiber führt zum Abrufen der Daten der verwalteten Systeme eine Identitätsdepotabfrage durch. Folgende Daten werden abgerufen:

Liste aller verwalteten Systeme
Liste mit allen Konten für die verwalteten Systeme
Berechtigungstypen, Werte und Zuweisungen sowie Benutzerkontenprofile für die verwalteten Systeme

Identitätsberichterstellung: Über die Benutzeroberfläche des Berichterstellungsmoduls können Sie problemlos festlegen, dass die Berichtgenerierung außerhalb der Hauptgeschäftszeit ausgeführt und somit die Systemleistung nicht beeinträchtigt wird. Weitere Informationen hierzu finden Sie im Identity Reporting Module Guide (Handbuch zum Identitätsberichterstellungsmodul).

Berichte: Identity Manager enthält vordefinierte Berichte, um die Daten im Identitätsinformations-Warehouse sinnvoll darzustellen. Sie können auch benutzerdefinierte Berichte erstellen. Weitere Informationen zu den Berichten finden Sie unter Verwenden von Identity Manager 4.0 Berichten. Weitere Informationen zu benutzerdefinierten Berichten finden Sie unter Creating Custom Report Definitions (Erstellen von benutzerdefinierten Berichtsdefinitionen) im Identity Reporting Module Guide (Handbuch zum Identitätsberichterstellungsmodul).

REST-Endpunkt für nicht verwaltete Anwendung: Eine nicht verwaltete Anwendung ist eine Anwendung, die nicht mit dem Identitätsdepot verbunden ist, jedoch Daten enthält, die im Bericht aufgezeichnet werden sollen. Wenn Sie einen REST-Endpunkt für die Anwendung festlegen, kann das Berichterstellungsmodul Daten aus der Anwendung abrufen.

Integrations-API: Das Identitätsberichterstellungsmodul bietet mehrere REST-APIs, mit denen Sie REST-Endpunkte für nicht verwaltete Anwendungen festlegen sowie benutzerdefinierte Anwendungen für die Berichterstellung schreiben können.