1.1 Identity Manager 和您

Novell Identity Manager 是一個系統軟體產品,您的組織可用其安全地管理使用者社群的存取需求。如果您是該社群的一員,Identity Manager 會讓您受益無窮。例如,Identity Manager 可以讓組織:

為了讓您或您的小組直接獲益,Identity Manager 使用者應用程式提供了一個可以在網頁瀏覽器中使用的使用者介面。

1.1.1 Identity Manager 使用者介面簡介

Identity Manager 使用者應用程式可用於檢視 Identity Manager 的各種資訊、角色、資源和功能。系統管理員可以決定您在 Identity Manager 使用者應用程式中可以查看的內容和可以執行的動作。通常包括:

  • 身分自助服務,讓您可以進行下列各項動作:

    • 顯示組織圖

    • 若您為管理員,可以提報與使用者有關的應用程式 (需要 Identity Manager Roles Based Provisioning Module)

    • 編輯設定檔中的資訊

    • 搜尋目錄

    • 變更您的密碼、密碼處理安全回應和密碼提示

    • 檢視您的密碼規則狀態和密碼同步化狀態

    • 建立新使用者或群組的帳戶 (需要得到授權)

  • 角色,讓您可以進行下列各項動作︰

    • 申請角色指定及管理角色指定申請的核准程序

    • 檢查角色申請的狀態

    • 定義角色和角色關係

    • 定義職務分離 (SoD) 條件約束及管理使用者申請覆寫條件約束的核准程序

    • 瀏覽角色目錄

    • 查看列出下列內容的詳細報告:目錄中定義的角色和職務分離條件約束、角色指定的目前狀態、職務分離例外和使用者授權

    附註:只有 Identity Manager 4.0.1 Advanced Edition 才提供定義自定角色的功能。Standard Edition 僅支援使用系統角色。

  • 資源,讓您可以進行下列各項動作︰

    • 申請資源指定及管理資源指定申請的核准程序

    • 檢查資源申請的狀態

    • 瀏覽資源目錄

    附註:資源需要安裝 Identity Manager 4.0.1 Advanced Edition 才能使用。Standard Edition 不支援此功能。

  • 工作流程程序,讓您可以進行下列各項動作︰

    • 申請自定工作流程程序

    • 檢查您的角色、資源和程序申請是否已核准

    • 執行指定給您的任務,以核准其他申請

    • 做為其他人的代理或委託人執行程序申請與核准

    • 指定其他人做為您的代理或委託人 (需要得到授權)

    • 管理小組所有的申請與核准功能 (需要得到授權)

    附註:工作流程程序需要安裝 Identity Manager 4.0.1 Advanced Edition 才能使用。Standard Edition 不支援此功能。

  • 法規遵循,讓您可以進行下列各項動作:

    • 申請使用者設定檔證明程序

    • 申請職務分離 (SoD) 證明程序

    • 申請角色指定證明程序

    • 申請使用者指定證明程序

    附註:法規遵循需要安裝 Identity Manager 4.0.1 Advanced Edition 才能使用。Standard Edition 不支援此功能。

重要:使用者應用程式是一個應用程式,而不是一個架構。使用者應用程式中支援修改的區域會在產品文件中列出。產品文件中未列出的區域不支援修改。

1.1.2 應用綜觀

圖 1-1 IDM 使用者應用程式提供 Identity Manager 的使用者介面

1.1.3 一般用途

下列範例說明介紹組織內的人員一般如何使用 Identity Manager 使用者應用程式。

使用身分自助服務

  • Ella (一般使用者) 在登入時使用身分自助服務功能復原她忘記的密碼。

  • Erik (一般使用者) 執行了一次搜尋,尋找他所在位置中說德文的員工。

  • Eduardo (一般使用者) 透過瀏覽組織圖找到 Ella,並按一下電子郵件圖示向她傳送一封郵件。

使用角色與資源

  • Maxine (角色管理員) 建立了 Nurse (護士) 和 Doctor (醫生) 這兩個業務角色,以及 Administer Drugs (管理藥品) 和 Write Prescriptions (開處方) 這兩個 IT 角色。Maxine 建立了以上角色所需的數個資源,並將資源與角色關聯起來。

  • Maxine (角色管理員) 定義了 Nurse 和 Administer Drugs 這兩個角色之間的關係,指定 Nurse 角色包含 Administer Drugs 角色。Max 還定義了 Write Prescriptions 和 Doctor 這兩個角色之間的關係,指定 Doctor 角色包含 Write Prescriptions 角色。

  • Chester (安全官) 定義了一個職務分離條件約束,指定 Doctor 與 Nurse 這兩個角色之間存在潛在的衝突。這表示一般情況下不可以將同一位使用者同時指定給兩個角色。在某些情況下,申請角色指定的個人可能想覆寫此條件約束。若要定義職務分離例外,申請指定的個人必須提供論證。

  • Ernest (一般使用者) 瀏覽可用的角色清單,然後申請指定 Nurse 角色。

  • Amelia (核准人) 收到核准申請的電子郵件通知 (內含 URL)。按一下連結後,便出現一張核准表單,她隨即將其核准。

  • Arnold (角色管理員) 申請為 Ernest 指定 Doctor 角色。他收到通知得知 Doctor 角色與 Nurse 角色之間存在潛在衝突,因為已將 Ernest 指定為 Nurse 角色。他提供一個論證來建立職務分離條件約束例外。

  • Edward (職務分離核准人) 收到職務分離衝突的電子郵件通知。他核准了 Arnold 覆寫職務分離條件約束的申請。

  • Amelia (核准人) 收到 Doctor 角色的核准申請電子郵件通知。她核准了 Arnold 提出的為 Ernest 指定 Doctor 角色的申請。

  • Bill (角色稽核員) 檢視「SoD 違規與例外報告」,看到 Ernest 同時指定為 Doctor 和 Nurse 這兩個角色。此外,Bill 發現與以上角色相關聯的資源也已經指定給 Ernest。

使用程序申請

  • Ernie (一般使用者) 瀏覽可用的資源清單,然後申請 Siebel* 系統的存取權限。

  • Amy (核准人) 透過電子郵件收到核准申請的通知,內含一個 URL。 按一下連結後,便出現一張核准表單,她隨即將其核准。

  • Ernie 要檢查上一次申請 Siebel 存取權限的狀態 (已交由第二人核准)。他看到該申請還在處理中。

  • Amy 去度假,所以她表示暫時外出。外出期間,沒有新的核准任務指定給她。

  • Amy 開啟她的核准任務清單,看到其中有太多必須及時回應的任務,因此她重新指定幾個給其他同事。

  • Pat (行政助理,是 Amy 的代理使用者) 開啟 Amy 的任務清單,幫她執行核准任務。

  • Max (經理) 檢視部門員工的任務清單,發現 Amy 正在度假,於是將任務重新指定給部門的其他人員。

  • Max 為其部門的直接下屬申請資料庫帳戶。

  • Max 指定 Dan 為 Amy 的授權委託人。

  • Amy 外出期間,由 Dan (現在是委託核准人) 接收 Amy 的任務。

  • Max 僱了一名不支薪的實習生,這名實習生的資料不應輸入 HR 系統。所以系統管理員為這名實習生建立使用者記錄,並為他申請 Notes、Active Directory* 和 Oracle* 的存取權限。

使用法規遵循

  • Maxine (角色管理員) 建立了 Nurse (護士) 和 Doctor (醫生) 這兩個業務角色,以及 Administer Drugs (管理藥品) 和 Write Prescriptions (開處方) 這兩個 IT 角色。

  • Maxine (角色管理員) 定義了 Nurse 和 Administer Drugs 這兩個角色之間的關係,指定 Nurse 角色包含 Administer Drugs 角色。Max 還定義了 Write Prescriptions 和 Doctor 這兩個角色之間的關係,指定 Doctor 角色包含 Write Prescriptions 角色。

  • Chester (安全官) 定義了一個職務分離條件約束,指定 Doctor 與 Nurse 這兩個角色之間存在潛在的衝突。這表示一般情況下不可以將同一位使用者同時指定給兩個角色。在某些情況下,申請角色指定的個人可能想覆寫此條件約束。若要定義職務分離例外,申請指定的個人必須提供論證。

  • Arnold (角色管理員) 申請為 Ernest 指定 Doctor 角色。他收到通知得知 Doctor 角色與 Nurse 角色之間存在潛在衝突,因為已將 Ernest 指定為 Nurse 角色。他提供一個論證來建立職務分離條件約束例外。

  • Philip (法規遵循模組管理員) 為 Nurse 角色啟始一個角色指定證明程序。

  • Fiona (證明者) 會透過電子郵件 (內含 URL) 接收到證明任務的通知。在按一下連結後,她會看到一張證明表單。她要針對證明問題做出肯定回答,藉此表示她同意所提供的是正確的資訊。

  • Philip (法規遵循模組管理員) 為人力資源群組內的使用者,針對使用者設定檔證明程序啟始一個新申請。

  • 人力資源群組內的每個使用者會透過電子郵件 (內含 URL) 接收到證明任務的通知。每個使用者在按一下連結後,會看到一張證明表單。此表單可讓使用者檢閱使用者設定檔的各種屬性值。在檢閱資訊之後,每個使用者要回答證明問題。