4.3 审计和报告
审计和报告是 Identity Manager 4.0.1 的一项新功能,由身份报告模块提供,如下面的图表所示。
图 4-4 Identity Manager 审计和报告
身份报告模块生成显示 Identity Manager 配置各方面相关的重要业务信息,包括从身份库和受管系统(如 Active Directory 或 SAP)中收集的信息。身份报告模块使用以下组件管理数据:
事件审计服务: 该服务捕获与在报告模块中所执行的操作(比如报告的导入、修改、删除或安排)关联的日志事件。事件审计服务 (EAS) 捕获与在基于角色的供应模块 (RBPM) 和角色映射管理器 (RMA) 中所执行的操作关联的日志事件。
身份信息仓库: 是以下类型信息的储存库:
-
报告管理信息(比如报告定义、报告安排和已完成报告)、用于报告的数据库视图以及配置信息。
-
报告数据收集器、事件驱动的数据收集器和非受管应用程序数据收集器收集的身份数据。
-
审计数据,其中包括事件审计服务收集的事件。
身份信息仓库将其数据储存在 Security Information and Event Management (SIEM) 数据库中。
数据收集服务: 该服务从组织内的各种源收集信息。数据收集服务包括三个子服务:
-
报告数据收集器: 使用拉式设计模型从一个或多个身份库数据源中检索数据。它根据一组配置参数确定的周期定期运行收集。为了检索数据,收集器需调用受管系统网关驱动程序。
-
事件驱动的数据收集器: 使用推式设计模型收集由数据收集服务驱动程序捕获的事件数据。
-
非受管应用程序数据收集器: 通过调用专门为每个应用程序编写的 REST 端点,从一个或多个非受管应用程序中检索数据。非受管应用程序是指您企业中未连接到身份库的应用程序。有关详细信息,请参见《身份报告模块指南》中的
用于报告的 REST 服务
。
数据收集服务驱动程序: 该驱动程序捕获身份库中储存的对象(比如帐户、角色、资源、组和小组成员资格)的更改。数据收集服务驱动程序向数据收集服务进行注册,并将更改事件(比如数据同步、添加、修改和删除事件)推入数据收集服务。
捕获的信息记录对以下对象所做的更改:
-
用户帐户和身份
-
角色和角色级别
-
组
注:报告模块不支持动态组,只能生成静态组数据的报告。
-
组成员资格
-
供应请求定义
-
责任分离定义和违反
-
用户权利关联
-
资源定义和资源参数
-
角色和资源指派
-
身份库权利、权利类型和驱动程序
受管系统网关驱动程序: 该驱动程序从受管系统中收集信息。为了检索受管系统数据,该驱动程序需查询身份库。检索的数据包括以下内容:
-
所有受管系统列表
-
所有受管系统帐户列表
-
受管系统的权利类型、值和指派以及用户帐户配置文件
身份报告: 报告模块的用户界面使安排报告在非高峰时段运行以优化性能变得非常简单。有关身份报告模块的详细信息,请参见《身份报告模块指南》。
报告:
Identity Manager 包括的预定义报告以有用、能耗尽的方式显示身份信息仓库中的信息。您也可以创建自定义报告。有关报告的详细信息,请参见 使用 Identity Manager 4.0 报告。有关自定义报告的信息,请参见《身份报告模块指南》中的创建自定义报告定义
。
非受管应用程序 REST 端点: 非受管应用程序是指未连接到身份库,但仍包括您要报告的数据的应用程序。通过为应用程序定义 REST 端点,可以让报告模块从该应用程序中收集数据。
集成 API: 身份报告模块提供了一组 REST API,允许为非受管应用程序实施 REST 端点,并编写自定义报告应用程序。