4.2 工作流程、角色、证明和自助服务

Identity Manager 提供了专门的应用程序:User Application,该应用程序可提供批准工作流程、角色指派、证明和身份自助服务。

Identity Manager 中包含标准的 User Application。标准版本提供了以下功能:口令自助服务,可帮助用户记住或重设置忘记的口令;组织结构图,可帮助管理用户目录信息;用户管理功能,可在身份库中创建用户;以及基本身份自助服务,如管理用户简介信息。

User Application Roles Based Provisioning Module 是 Identity Manager 4.0.1 Advanced Edition 的一部分。它包括带有高级自助服务、批准工作流程、基于角色的供应、责任分离限制和证明功能的标准 User Application。Identity Manager 4.0.1 Advanced Edition 包含标准功能和 Roles Based Provisioning Module 功能。

图 4-3 Identity Manager User Application

以下各节介绍其中各个组件并解释您应了解的概念,以便有效地实施和管理组件:

4.2.1 组件

User Application: User Application 是基于浏览器的万维网应用程序,使用户和业务管理员能够执行各种身份自助服务和角色供应任务,包括管理口令和身份数据、启动和监视供应及角色指派请求、管理供应请求的批准流程以及校验证明报告。它包括工作流程引擎,可通过相应的批准流程控制请求的路由。

User Application 驱动程序: User Application 驱动程序储存配置信息,并在身份库中发生更改时立即通知 User Application。还可将它配置为允许身份库中的事件触发工作流程,并向 User Application 报告工作流程供应活动的成功或失败情况,以便用户可以查看其请求的最终状态。

Role and Resource Service 驱动程序: Role and Resource Service 驱动程序可管理所有角色和资源指派,启动角色和资源指派请求(要求批准)的工作流程,以及根据组和容器成员资格维护间接角色指派。该驱动程序还根据用户的角色成员资格为其授予和撤消权利,并且执行已完成请求的清理过程。

4.2.2 主要概念

基于工作流程的供应: 基于工作流程的供应为用户提供了一种请求访问资源的方法。供应请求通过预定义工作流程(可能包括来自一个或多个人的批准)进行路由。如果所有批准均已授予,则用户将收到对资源的访问权。还可间接启动供应请求以响应身份库中发生的事件。例如,向组中添加用户可能启动授予用户对某个特定资源的访问权的请求。

基于角色的供应: 基于角色的供应提供了一种根据所指派的角色让用户接收对特定资源访问权的方法。可为用户指派一个或多个角色。如果角色指派需要批准,则指派请求将启动一个工作流程。

责任分离: 为避免将用户指派到冲突角色,User Application 基于角色的供应模块提供了责任分离功能。您可建立责任分离约束,定义视为冲突的角色。如果有角色冲突,责任分离批准者可批准或拒绝任何约束例外。已批准的例外将记录为责任分离违反,并可通过下述证明流程进行审阅。

角色管理: 角色的管理必须由指派有角色模块管理员和角色管理员系统角色的个人完成。

“角色模块管理员”可创建新角色、修改现有角色和去除角色、修改角色之间的关系、授予或撤消用户的角色指派以及创建、修改和去除责任分离约束。

“角色管理员”除了可执行与“角色模块管理员”相同的操作之外,还能管理责任分离约束、配置角色系统和运行所有报告。“角色模块管理员”在角色系统中没有范围限制,而“角色管理员”的范围限于特定用户、组和角色。

证明: 角色证明可确定用户对贵组织中资源的访问权,错误的指派可能会危及与企业和政府规定的一致性。Identity Manager 可通过证明流程帮助您验证角色指派的正确性。使用此流程,个人用户可验证各自的简介信息,而角色管理员可验证角色指派和责任分离违反。