1.1 Identity Manager 和用户

Novell Identity Manager 是一种系统软件产品,组织可使用它来安全地管理用户团体的访问需求。如果您是该用户团体的成员,则可以在很多方面受益于 Identity Manager。 例如,组织可以借助 Identity Manager 实现以下功能:

为使您及小组能直接受益于这些好处,Identity Manager User Application 提供了一个可通过 Web 浏览器使用的用户界面。

1.1.1 Identity Manager User Application 介绍

使用 Identity Manager User Application 可以查看 Identity Manager 的信息、角色、资源和功能。 在 Identity Manager User Application 中可查看的内容细节和可执行的具体操作由系统管理员确定。 通常包括:

  • 身份自助服务,其功能为:

    • 显示组织结构图

    • 报告和用户关联的应用程序(如果您是管理员)。(需要使用 Roles Based Provisioning Module for Identity Manager。)

    • 编辑配置文件中的信息

    • 搜索目录

    • 更改口令、口令询问应答和口令提示

    • 检查您的口令策略状态和口令同步状态

    • 为新用户或组创建帐户(如果您得到授权)

  • 角色,其功能为:

    • 请求角色指派和管理角色指派请求的批准流程

    • 检查角色请求的状态

    • 定义角色和角色关系

    • 定义责任分离 (SoD) 限制并在用户请求覆盖限制时管理批准流程

    • 浏览“角色编目”

    • 查看详细的报告,这些报告列出了角色和编目中定义的责任分离限制,以及角色指派的当前状态、职责异常的分离,以及用户权利

    注:只有 Identity Manager 4.0.1 Advanced Edition 才有定义自定义角色的功能。Standard Edition 仅支持使用系统角色。

  • 资源,其功能为:

    • 请求资源指派和管理资源指派请求的批准进程

    • 检查资源请求的状态

    • 浏览资源编目

    注:资源需要 Identity Manager 4.0.1 Advanced Edition。Standard Edition 不支持该功能。

  • 工作流程处理,其功能为:

    • 请求自定义的工作流程处理

    • 检查角色、资源和处理请求的批准情况

    • 处理向您指派的、批准其他请求的任务

    • 以其他人的代理或委托的身份执行处理请求和批准

    • 将其他用户指派为您的代理或委托(如果您有权限)

    • 为您的小组管理所有这些请求和批准功能(如果您有权限)

    注:工作流程过程需要 Identity Manager 4.0.1 Advanced Edition。Standard Edition 不支持该功能。

  • 合规性,其功能为:

    • 请求用户简介证明流程

    • 请求责任分离 (SoD) 证明流程

    • 请求角色指派证明流程

    • 请求用户指派证明流程

    注:合规性需要 Identity Manager 4.0.1 Advanced Edition。Standard Edition 不支持该功能。

重要说明:User Application 是一个应用程序,不是框架。产品文档中概述了 User Application 内可以修改的区域。产品文档中未说明的区域不能修改。

1.1.2 整体流程图

图 1-1 IDM User Application 提供 Identity Manager 的用户界面

1.1.3 典型用途

下面是用户在组织中使用 Identity Manager User Application 的一些典型示例。

使用身份自助服务

  • Ella(一个终端用户)在登录后通过身份自助服务功能重新获得她忘记的口令。

  • Erik(一个最终用户)执行搜索,查找其所在位置所有说德语的员工。

  • Eduardo(一个最终用户)浏览组织结构图、查找 Ella,然后单击电子邮件图标向她发送讯息。

使用角色和资源

  • Maxine(一个角色管理员)创建 Nurse 与 Doctor 业务角色和 Administer Drugs 与 Write Prescriptions IT 角色。Maxine 创建这些角色需要的一些资源,并将资源与角色关联。

  • Maxine(一个角色管理者)定义 Nurse 与 Administer Drugs 角色之间的关系,并且指定 Nurse 角色包含 Administer Drugs 角色。Max 还定义了 Write Prescriptions 与 Doctor 角色之间的关系,并且指定 Doctor 角色包含 Write Prescriptions 角色。

  • Chester(一个安全专员)定义责任分离限制,该限制指定 Doctor 和 Nurse 角色之间存在潜在冲突。这意味着通常不应将同一用户同时指派给两个角色。在某些情况下,请求角色指派的个人可能希望覆盖此限制。 要定义责任分离异常,请求指派的个人必须提供调整。

  • Ernest(一个终端用户)浏览可用角色列表,然后请求指派给 Nurse 角色。

  • Amelia(一个批准者)通过电子邮件(其中包含 URL)接收批准请求的通知。她单击链接,随即出现了一个批准表格,然后对此表格进行批准。

  • Arnold(一个角色管理员)请求将 Ernest 指派给 Doctor 角色。他将收到通知,说明 Doctor 角色与 Nurse 角色之间存在潜在冲突,而 Ernest 已经指派给了后一个角色。他提供有关作出责任分离限制异常的调整。

  • Edward(一个责任分离批准者)通过电子邮件收到有关责任分离冲突的通知。他批准 Arnold 关于覆盖该责任分离限制的请求。

  • Amelia(一个批准者)通过电子邮件收到有关 Doctor 角色的批准请求的通知。她批准 Arnold 关于将 Ernest 指派给 Doctor 角色的请求。

  • Bill(一个角色审核员)查看 SoD 违反和异常报告并了解到将 Ernest 同时指派给了 Doctor 和 Nurse 角色。此外,他还了解到已为 Ernest 指派了与这些角色关联的资源。

使用处理请求

  • Ernie(一个终端用户)浏览可用资源的列表,然后请求访问 Siebel * 系统。

  • Amy(一个批准者)通过电子邮件(其中包含 URL)接收某个批准请求的通知。 她单击链接,随即出现了一个批准表格,然后对此表格进行批准。

  • Ernie 查看上次请求访问 Siebel 的状态(现在该请求已转至另一个用户以待批准)。 他看到该请求仍在处理中。

  • Amy 将去度假,所以她表明自己暂时离开。在她离开期间,不会有新的批准任务指派给她。

  • Amy 打开批准任务列表,发现由于任务太多而无法及时回复,因此她将部分任务重指派给同事。

  • Pat(一位行政助理,担任 Amy 的代理用户)打开 Amy 的任务列表,然后替她执行批准任务。

  • Max(一位经理)查看部门中人员的任务列表。 他知道 Amy 正在度假,因此他将任务重指派给部门中的其他人。

  • Max 为部门中直接向他汇报的某个用户发出了申请数据库帐户的请求。

  • Max 将 Dan 指派为 Amy 的授权代表。

  • Amy 离开时,Dan(现在为受委托的批准人)接收她的任务。

  • Max 聘用了一个无薪实习员工,不应将该员工输入 HR 系统。 系统管理员为该实习员工创建用户记录,然后请求向他授予对 Notes、Active Directory* 和 Oracle* 的访问权限。

使用合规性

  • Maxine(一个角色管理员)创建 Nurse 与 Doctor 业务角色和 Administer Drugs 与 Write Prescriptions IT 角色。

  • Maxine(一个角色管理者)定义 Nurse 与 Administer Drugs 角色之间的关系,并且指定 Nurse 角色包含 Administer Drugs 角色。Max 还定义了 Write Prescriptions 与 Doctor 角色之间的关系,并且指定 Doctor 角色包含 Write Prescriptions 角色。

  • Chester(一个安全专员)定义责任分离限制,该限制指定 Doctor 和 Nurse 角色之间存在潜在冲突。这意味着通常不应将同一用户同时指派给两个角色。在某些情况下,请求角色指派的个人可能希望覆盖此限制。 要定义责任分离异常,请求指派的个人必须提供调整。

  • Arnold(一个角色管理员)请求将 Ernest 指派给 Doctor 角色。他将收到通知,说明 Doctor 角色与 Nurse 角色之间存在潜在冲突,而 Ernest 已经指派给了后一个角色。他提供有关作出责任分离限制异常的调整。

  • Philip(合规性模块管理员)启动了针对“护士”角色的角色指派证明流程。

  • Fiona(证明者)通过电子邮件(包含 URL)收到证明任务的通知。她单击链接,然后看到一个证明表单。她对证明问题做出肯定回答,因而认同该信息是正确的。

  • Philip(合规性模块管理员)为人力资源组中的用户启动了新的用户简介证明流程的请求。

  • 人力资源组中的每个用户都通过电子邮件(包含 URL)收到了证明任务通知。每个用户都单击链接,然后看到一个证明表单。该表单使用户可以审阅各种用户简介属性的值。审阅信息后,每个用户都回答证明问题。