2.2 工作流程、角色、證明與自助服務
Identity Manager 提供一個專業的應用程式,即「使用者應用程式」,它提供了核准工作流程、角色指定、證明和身分自助服務。
標準的「使用者應用程式」隨附於 Identity Manager 中。標準版提供密碼自助服務 (幫助使用者記住密碼或重設忘記的密碼)、組織圖 (管理使用者目錄資訊)、使用者管理功能 (允許在 Identity Vault 中建立使用者),以及基本的身分自助服務 (例如管理使用者設定檔資訊)。
「使用者應用程式角色提供模組」是另外銷售的 Identity Manager 附加產品。當您新增「角色提供模組」時,標準的「使用者應用程式」功能會擴充為包含進階自助服務、核准工作流程、角色型提供、「職務分離」條件約束,以及證明。
圖 2-3 Identity Manager 使用者應用程式
下列幾節說明每一個元件,並為您解說在組織裡的各系統之間有效地實作和管理元件所應該瞭解的概念:
2.2.1 元件
使用者應用程式: 「使用者應用程式」是在瀏覽器中執行的 Web 應用程式,可讓使用者和企業管理員執行各種身分自助服務和角色提供任務,包括管理密碼和身分識別資料、啟始和監看提供和角色指定申請、管理提供申請的核准程序,以及驗證證明報告。它包含工作流程引擎,可在適當的核准程序中控制申請的呈交。
使用者應用程式驅動程式: 「使用者應用程式」驅動程式會儲存組態資訊,且只要 Identity Vault 中一有變動,就會通知「使用者應用程式」。也可以將它設為允許 Identity Vault 中的事件觸發工作流程,並向「使用者應用程式」回報工作流程的提供活動是成功或失敗,以便使用者檢視其申請的最終狀態。
角色服務驅動程式: 「角色服務」驅動程式可管理所有角色指定、啟動工作流程來處理需要核准的角色指定申請,以及根據群組和容器成員資格來維護間接角色指定。該驅動程式還會根據使用者的角色成員資格,向使用者授予和撤銷授權,並對已完成的申請執行清理程序。
2.2.2 重要概念
工作流程為主的提供: 「工作流程為主的提供」可讓使用者申請對資源的存取。提供申請會經由預先定義的工作流程來呈遞,可能包含需經過一人或多人的核准。只要授予所有核准,使用者就會收到資源的存取。為因應 Identity Vault 中發生的事件,也可以間接地啟始提供申請。例如,將使用者新增至群組可能會啟始申請,要求將特定資源的存取授予使用者。
角色提供: 「角色提供」可以根據指定給使用者的角色,讓使用者獲得特定資源的存取。可以指定一或多個角色給使用者。如果角色指定需要核准,則指定申請會啟動工作流程。
權限分散: 為了避免將衝突的角色給指定使用者,「使用者應用程式角色提供模組」提供一項「職務分離」功能。您可以建立定義處於衝突之角色狀態的職務分離「條件約束」。當角色發生衝突時,職務分離「核准人」可以核准或拒絕條件約束的任何「例外」。核准的例外會記錄成職務分離「違規」,可透過以下說明的證明程序來檢閱。
角色管理: 必須由已指定到「角色模組管理員」和「角色管理員」系統角色的人來管理角色。
「角色模組管理員」可以建立新的角色、修改現有的角色及移除角色;修改角色之間的關係、授予或撤銷使用者的角色指定;以及建立、修改及移除「職務分離」條件約束。
「角色管理員」可以做的事與「角色模組管理員」相同,但無法管理「職務分離」條件約束、設定「角色」系統及執行所有報告。此外,「角色模組管理員」在「角色」系統內的活動範圍不受限制,而「角色管理員」範圍則侷限於明確指定的使用者、群組和角色。
證明: 角色指定可決定使用者在組織內的資源存取,指定不正確會違反公司和政府的法規。Identity Manager 可透過證明程序,協助您驗證角色指定的正確性。透過這個程序,使用者個人可以驗證自己的設定檔資訊,而角色管理員可以驗證角色指定和「職務分離」違規。