创建、管理和检查报表及证明过程
创建、管理和检查报表及证明过程 本 OBE 教程将向您介绍和演示如何使用 Oracle 身份管理器来创建公司员工报表。此外,通过本教程,您可以了解证明和证明过程,包括如何使用它们来为公司用户相关和事务相关的数据建立内控措施、过程和策略。最后,您将学习如何创建、管理和检查证明过程。
在本教程中,Robert 和 Jane 将作为用户,Sun Java Directory Server 作为资源。 大约 2 个小时
本 OBE 教程包括下列主题:  将鼠标置于此图标上以加载和查看本教程的所有屏幕截图。(警告:此操作会同时加载所有屏幕截图,网速较慢时,响应时间可能会比较长。)
注意:此外,您还可以在下列步骤中将鼠标放在每个单独的图标上,从而仅加载和查看与该步骤相关的屏幕截图。 这些屏幕截图不能反映用户的具体环境。只是说明如何在 Oracle 身份管理器中找到特定功能。
Oracle 身份管理器是一个具有高度灵活性和可伸缩性的企业身份管理系统,用于在企业 IT 资源内集中控制用户帐户和访问权限。它提供了供应、身份和角色管理、审批和请求管理、基于策略的权限管理、技术集成以及自动化审计和合规性等功能。 Oracle 身份管理器的特性和优点包括身份及角色管理(用户和组管理、针对用户的自助服务功能和委托管理)、供应(审批与请求管理和可配置的工作流模型)、基于策略的权限、协调以及证明支持(用于审计和合规性目的)。 返回主题列表
Linda 是 Mydo Main Corporation 的网络管理员。在 Mydo Main,Linda 负责执行对机构内各种用户的身份和访问进行管理的任务。为执行这些任务,她使用 Oracle 身份管理器来创建公司员工报表。此外,她需了解证明,这是一个审定过程,即审定为用户相关和事务相关的数据而建立的内控措施、过程和策略的过程。了解证明后,她可以创建和管理证明过程,这是一个设置和构建证明工作流的框架。 Jane 是 Mydo Main Corporation 产品管理部门的员工。她是全职员工,公司为她供应 Sun Java Directory Server 资源。Robert 也是 Mydo Main 的全职员工,他是 Jane 的经理。作为 Jane 的经理,Robert 负责检查任何 Jane 的证明过程,并对它们采取相关措施(即确认、弹回和拒绝,或将它们委托给另一检查员)。简而言之,Robert 必须决定是否应 向 Jane 供应 Sun Java Directory Server 资源。 返回主题列表
开始本教程之前,您应该: 返回主题列表
Linda 是为 Mydo Main Corporation 安装和配置的 Oracle 身份管理器环境的管理员。作为管理员,她的职责之一是创建本公司员工的报表。 她可为员工创建两种报表: - 运营报表: 这些报表包含员工可以访问的资源的相关信息。也就是说,这些报表说明了员工与资源的当前关系。
- 历史报表: 这些报表包含用户受雇于公司期间与此用户相关的资源的信息。也就是说,这些报表包含关于用户与资源的过往关联关系的生命周期数据。
Linda 可创建四种运营报表: - Who Has What: 此快照报表为 Linda 提供了某一用户具有访问权的资源列表。使用该表,她能查询 Oracle 数据库中 Oracle 身份管理器库了解特定用户当前能访问的资源。此报表也可用于合规性目的。
- Resource Access List: 利用此快照报表,Linda 能够查询 Oracle 身份管理器库了解供应有某一资源的所有现有用户。此报表也可用于合规性目的。
- Entitlements Summary: 此快照报表为 Linda 提供了一个供应有某一特定资源的各 Oracle 身份管理器用户的状态级别(或权限)列表。此报表也可用于合规性目的。
- Policy List: 此快照报表为 Linda 提供了一个为 Oracle 身份管理器中某一特定用户组创建的所有访问策略的列表。此报表也可用于合规性目的。
Linda 还可创建五种历史报表:
- User Resource Access History: 使用此报表,Linda 可以查看用户在其生命周期内有权访问的资源。与 Who Has What 运营报表不同,此报表不是用户当前可以访问的资源的快照报表。此报表可用于审计和合规性目的。
- Resource Access List History: 使用此生命周期报表,Linda 可以查询供应有某一资源的所有现有用户。此报表与 Resource Access List 运营报表不同,因为它不是当前供应有某一资源的用户的快照报表。此报表也可用于审计和合规性目的。
- User Profile History: 使用此生命周期报表,Linda 可以查看用户的档案记录。此报表与用户最近的档案的快照报表不同。此报表也可用于审计和合规性目的。
- User Membership History: 使用此报表,Linda 可以查看特定用户在其生命周期内所属的组。此报表也可用于审计和合规性目的。
- Group Membership History: 使用此生命周期报表,Linda 可以查看属于特定组的所有用户(自组建立时起)。此报表也可用于审计和合规性目的。
在此 OBE 中,Linda 需要创建一个运营报表和一个历史报表。首先,她要创建 Who Has What 运营报表。通过创建此报表,她确认向 Jane 这一 Mydo Main Corporation 的全职员工供应了 Sun Java Directory Server 资源。然后,Linda 需要创建 Resource Access List History 历史报表。这样,她可以查询供应有 Sun Java Directory Server 资源的所有现有用户。 要创建报表,执行以下步骤:
1. | 启动您的 Oracle 身份管理器服务器和管理控制台。 注: 要了解更多有关加载、设置、启动 Oracle 身份管理器的信息,请参考标题为“安装 Oracle 身份管理器”的 OBE。 |
2. | 以“超级用户”帐户登录到 Oracle 身份管理器的管理控制台(即,在 User ID 域中输入 xelsysadm,在 Password 域中输入 abcd1234)。 注: 首次使用一个特定帐户登录 Oracle 身份管理器时,您必须选择和回答“质询”问题。这些问题用于在您重设口令时确认您的身份。但是,对于使用该帐户进行的所有后续登录,则不显示这些问题。您将直接进入 Oracle 身份管理器管理控制台的主页。 要了解更多关于选择和回答“质询”问题的信息,请参考标题为“安装 Oracle 身份管理器”的 OBE。 |
3. | 在 Reports 文件夹中打开 Operational Reports 表单。 将显示 Linda 可以创建的运营报表列表。 |
4. |
从显示的报表列表中,单击表示所需的运营报表名称的链接(即,选择 Who Has What 运营报表)。 将显示 Who Has What – Input Parameters 表单。
|
| 5. | 在此 OBE 中,Linda 按各自的 ID 搜索用户。因此,在 Userid 域中,输入目标用户的 ID(即,在该域中输入 JANE.FULLTIME)。然后,单击 Submit。 显示 Who Has What - Report Display 表单,显示此用户有权访问的资源。 您可以看到,iPlanet User 连接器已经分配给 Jane。连接器表示供应给她的资源(即 Sun Java Directory Server)。 Linda 现在已准备好创建 Resource Access List History 历史报表。这样,她可以查询供应有 Sun Java Directory Server 资源的所有现有用户。 |
6. | 在 Reports 文件夹中打开 Historical Reports。 将显示 Linda 可以创建的历史报表列表。 |
7. |
从显示的报表列表中,单击表示所需的历史报表名称的链接(即,选择 Resource Access List History 历史报表)。 将显示 Resource Access List History – Input Parameters 表单。
|
| 8. | 在此 OBE 中,Linda 按各自的名称搜索资源。因此,单击 Resource Name 域右侧的放大镜。 |
| 9. | 在显示的 Lookup 窗口中,选择指定的连接器左侧显示的选项(即,选择 iPlanet User 选项)。单击 Select。 选择的资源显示在 Resource Access List History – Input Parameters 表单的 Resource Name 域中。 |
| 10. | 单击 Submit。 将显示 Resource Access List History – Report Display 表单,显示在指定资源的整个生命周期内供应有该资源的所有用户。 Linda 创建了一个运营报表和一个历史报表。通过创建 Who Has What 运营报表,她确认向 Jane 这一 Mydo Main Corporation 的全职员工供应了 Sun Java Directory Server 资源。通过创建 Resource Access List History 历史报表,她查询了供应有这一资源的所有现有用户。 Linda 已经了解如何创建报表以查看用户与资源的关联关系,现在她需要了解证明和证明过程。证明是一个审定过程,即审定为用户相关和事务相关的数据建立的内控措施、过程和策略的过程。证明过程是设置和创建证明工作流的框架。 在本 OBE 的下一部分,Linda 将了解证明和证明过程以创建它们。 | 返回主题列表
Linda 现已准备好了解证明。证明是一个审定过程,即审定为用户相关和事务相关的数据建立的内控措施、过程和策略的过程。此外,它提供了签署过 IT 环境中存在的数据或过程的人员的审计追踪,尤其是: - 有权访问资源的 Oracle 身份管理器用户(“谁”)
- 这些用户可以访问资源的原因(“原因”)
- 这些用户可以访问其资源的日期和时间(“时间”)
证明过程是设置和创建证明工作流的框架。此过程包含以下运行时组件:
- 用户:此用户负责检查证明过程。该用户可以是特定的 Oracle 身份管理器用户、属于特定组的用户、委托的用户或用户管理员。此外,Linda 可以对 Oracle 身份管理器进行配置,以自动分配证明过程的检查员。
- 数据:要证明的数据可以是用户档案数据到分配给用户的资源访问权和权限。这些特权和权限可以基于用户管理员或用户所属的组织或组,也可特定于某一资源。
- 计划: 证明过程可计划为定期运行(如每三月),也可按需运行。
Linda 已经了解了证明和证明过程,现在她已准备好创建证明过程。但是,现在 Sun Java Directory Server 资源的 Oracle 身份管理器连接器没有完成证明过程必需的组件。为改变这一状况,Linda 需要执行 90_dml_insert_attestation.sql 脚本。该脚本将组件添加到连接器以使证明过程得以完成。 要执行该脚本,执行以下步骤:
1. | 停止运行您的 Oracle 身份管理器服务器和管理控制台。 注: 要了解更多关于关闭 Oracle 身份管理器的信息,请参考标题为“安装 Oracle 身份管理器”的 OBE。 停止运行 JBoss 应用服务器后,将显示以下窗口: 不要单击此窗口中的任何按钮。这样做将突然停止您的应用服务器(即不能执行其关闭操作)。等待几秒钟,窗口将自动关闭。 |
2. | 单击桌面左下角的 Start 按钮。在弹出菜单中选择 Run 菜单项。
将显示 Run 窗口。
|
| 3. |
在 Open 域中输入 cmd。单击 OK。
将显示 DOS 窗口。
|
| 4. | 导航至 E:\OIM_Installs\Attestation_Fix 目录。在 DOS 提示符下,输入 sqlplus oimuser/abcd1234 @90_dml_insert_attestation.sql。
|
| 5. | 按 [Enter] 键。执行 90_dml_insert_attestation.sql 脚本。脚本执行完成后,显示 SQL 提示符。 |
| 6. | 在 SQL 提示符下输入 exit。 | | 7. | 按 [Enter] 键。SQL 提示符将由 DOS 提示符替代。 |
| 8. | 在 DOS 提示符下输入 exit。 | | 9. | 按 [Enter] 键。DOS 窗口关闭。 这表明执行了 90_dml_insert_attestation.sql 脚本。因此,Linda 可为与 Sun Java Directory Server 资源相关的 Oracle 身份管理器连接器创建一个证明过程。 证明过程的运行时组件之一是负责检查过程的用户。在此 OBE 中,检查员为 Jane 的经理 Robert。但是,现在 Jane 并没有分配给她的经理。因此,Linda 必须分配 Robert 为 Jane 的经理。然后,Robert 将负责检查任何 Jane 的证明过程,并对它们采取相关措施(即确认、弹回和拒绝,或将它们委托给另一检查员)。 在本 OBE 的下一部分中,Linda 将分配 Robert 为 Jane 的经理。因此他将检查任何 Jane 的证明过程并采取相关措施。 | 返回主题列表
Linda 现在已经准备好为与 Sun Java Directory Server 资源相关的 Oracle 身份管理器连接器创建一个证明过程。此过程的组件之一是负责检查过程的用户。在此 OBE 中,检查员为 Jane 的经理 Robert。 但是,现在 Jane 并没有分配给她的经理。因此,Linda 必须分配 Robert 为 Jane 的经理。然后,Robert 将负责检查任何 Jane 的证明过程,并对它们采取相关措施(即确认、弹回和拒绝,或将它们委托给另一检查员)。 要为用户分配检查员,执行以下步骤:
1. | 启动您的 Oracle 身份管理器服务器和管理控制台。 |
2. | 以“超级用户”帐户登录到 Oracle 身份管理器的管理控制台(即,在 User ID 域中输入 xelsysadm,在 Password 域中输入 abcd1234)。 | | 3. | 在 Users 文件夹中打开 Manage User 表单。
将显示 Manage User 表单。 |
| 4. | 从该表单内显示的组合框中选择 User ID。然后,在组合框右侧的文本框中,输入指定用户的 ID(即,在文本框中输入 JANE.FULLTIME)。最后,单击 Search User。 |
| 5. | 从显示的结果集中,单击包含此用户 ID 的链接。
将显示 User Detail 表单。 |
6. | 单击 Edit。 将显示 Edit User 表单。 |
7. | 单击 Manager ID 查找域右侧的放大镜。 |
8. | 在显示的 Lookup 窗口中,选择与将成为 Jane 的经理的用户的 ID 相关的选项(即 RLAVALLI)。单击 Select。
Edit User 表单再次处于活动状态。但现在 Manager ID 域已经填充了分配给此用户的经理的 ID。 |
9. | 单击 Save。
将显示 User Detail 表单,显示此用户的经理的 ID。 Linda 分配 Robert 为 Jane 的经理。现在,Robert 将负责检查任何 Jane 的证明过程,并对它们采取相关措施(即确认、弹回和拒绝,或将它们委托给另一检查员)。 在本 OBE 的下一部分中,Linda 将为 Jane 创建证明过程。然后,Jane 的经理 Robert 检查此过程,验证 Jane 是否应有供应给她的资源(即 Sun Java Directory Server 资源)的访问权。 | 返回主题列表
Linda 现在已准备好为 Jane 创建证明过程。然后,Jane 的经理 Robert 检查此过程,验证 Jane 是否应有 Sun Java Directory Server 资源的访问权。这是供应给 Jane 的资源。 创建证明过程分四个阶段: - 定义关于证明过程的高级信息。该信息包括名称、唯一标识码和过程说明信息。
- 定义证明过程的范围和检查员。该信息包括:
- 应如何赋予用户资源访问权(称为证明数据范围)。目前,用户可基于其用户管理员、组、或组织来获取资源访问权。或者 Linda 可以指定用户可以有单个资源的访问权。
- 应检查证明过程的用户。目前,检查员可以是获取资源的各用户的经理,一个检查员可以检查获取资源的所有用户。
- 定义证明过程的管理详细信息。这些详细信息包括证明过程运行的频率(即证明计划)和证明过程的过程拥有者组。如果检查员无效(即如果检查员状态为 Disabled 或 Deleted)或检查员弹回了证明过程,则会通过电子邮件通知该组。您还可以配置证明过程,以在检查员拒绝处理此过程时通知过程拥有者组。
- 验证证明过程的信息。
要创建证明过程,执行以下步骤:
| 1. | 在 Attestation 文件夹中打开 Create Attestation Process 表单。 将显示 Create Attestation Process 表单的 Define Process 面板。 |
2. | 在此表单的 Define Process 面板中,输入证明过程的值,如下所示: | 域 | 值 |
| Name | iPlanet Resource | | Code | 0001A |
| Description | Attestation process for users who are provisioned with the Sun Java Directory Server resource. | 注:证明过程的代码最大长度为 32 个字符。 |
3. | 单击 Continue。 将显示 Create Attestation Process 表单的 Define Attestation Scope And Reviewer 面板。 |
4. | 在此表单的 Define Attestation Scope And Reviewer 面板中,输入证明范围和检查员的值,如下所示:
| 域 | 值 |
| User access for a single resource | iPlanet User | | Each user’s manager 选项 | [选中] | |
5. | 单击 Continue。 将显示 Create Attestation Process 表单的 Define Administration Details 面板。 |
6. | 在此表单的 Define Administration Details 面板中,输入管理详细信息的值,如下所示:
| 域 | 值 |
| Run every 3 months 选项 | [选中] |
| Process owner group | SYSTEM ADMINISTRATORS | | “Email process owner if reviewer refuses attestation request”复选框 | [选中] |
| Starting on 域 | [选择一个将来的日期。] | |
7. | 单击 Continue。 将显示 Create Attestation Process 表单的 Verify Info Page 面板。 |
8. | 验证证明过程的所有信息都是正确的。然后单击 Create Process。 将显示一则确认消息。 如果当前的日期与证明过程计划运行的日期匹配(本 OBE 中为 2007 年 5 月 21 日),Oracle 身份管理器会将此过程发送给 Robert。Robert 是 Jane 的经理。公司向 Jane 供应了 Sun Java Directory Server 资源。因此,Robert 可以检查 Jane 的此证明过程。 尽管 Linda 设定了证明过程的计划运行日期,但是要确认该过程可以使用,她需要按需执行该过程。
| 9. | 单击 iPlanet Resource 链接。此链接包含证明过程的名称。 将显示 Attestation Process Details 表单。 |
10. | 单击 Run Now。 将显示第二个确认消息。 |
11. | 单击 Confirm Run Now。 Attestation Process Details 表单将再次处于活动状态。这表明已执行证明过程。 Linda 已为 Jane 创建了一个证明过程。Jane 的经理 Robert 现在必须检查此过程,确认 Jane 应有 Sun Java Directory Server 资源的访问权。这是供应给 Jane 的资源。 在本 OBE 的下一部分中,Robert 将检查 Jane 的证明过程。
| 返回主题列表
在本 OBE 的前一部分中,Linda 为 Jane 创建了一个证明过程。Jane 是 Mydo Main Corporation 员工,公司向她供应了 Sun Java Directory Server 资源。Jane 的经理 Robert 现在必须检查此证明过程,确认 Jane 应有这一资源的访问权。 要检查证明过程,执行以下步骤:
1. | 退出 Oracle 身份管理器管理控制台。 |
2. | 以 Jane 的经理 Robert 的帐户登录到 Oracle 身份管理器的管理控制台(即,在 User ID 域中即输入 RLAVALLI,在 Password 域中输入 rlavalli)。 将显示 SELECT CHALLENGE QUESTIONS 表单。 |
3. | 选择所有显示在此表单中的复选框。单击 Select。 将显示 PROVIDE CHALLENGE ANSWERS 表单。 |
4. | 向该表单添加以下值: | 域 |
值 | | What is the name of your pet? | Matty |
| What is the city of your birth? | New York | | What is your favorite color? | Black |
| What is your mother's maiden name? | Agneta |
| 5. | 单击 Save。 将显示 CHALLENGE QUESTION AND ANSWER CONFIRMATION 表单。 |
6. | 单击 OK。 将显示 Robert 管理控制台的主页。 |
7. |
在 To-Do List 文件夹中打开 Attestation Request Inbox 表单。 将显示 Attestation Request Inbox 表单。 |
8. |
单击 iPlanet Resource 链接。此链接包含 Robert 需要检查的证明过程的名称。 将显示 Attestation Request 表单。 |
9. |
在此 OBE 中,Robert 确信应向 Jane 供应 Sun Java Directory Server 资源。因此,选择 Certify 选项。单击 Save。 将显示 Save Actions 表单。 |
10. |
在 Comments 文本域中,输入以下文本:The user is entitled to this resource。 这表示 Robert 所执行的操作的说明信息。然后,单击 Save Actions。 Attestation Request 表单再次处于激活状态。 注:Comments 列中现在填充了一个图形,表示输入的说明信息。要查看此信息,将鼠标置于图形上。它将作为工具提示显示。 |
11. |
单击 Submit Attestation。 将显示 Attestation Request Confirmation 表单。 |
12. |
单击 Confirm Submit。 Attestation Request Inbox 表单再次处于激活状态。 证明过程不再显示。这表示 Robert 已经检查了它。 现在 Robert 已检查了证明过程,Linda 可以登录 Oracle 身份管理器以查看关于它的高级和详细信息。此信息包括证明过程的状态(即 Robert 确认了 Jane 应有 Sun Java Directory Server 资源的访问权)。 在本 OBE 的下一部分中,Linda 将查看有关证明过程的信息。
| 返回主题列表
在本 OBE 的上一部分中,Robert 检查了 Jane 的证明过程并采取了相关措施。即,Robert 确认了 Jane 应有 Sun Java Directory Server 资源的访问权。 Linda 现在可以登录 Oracle 身份管理器以查看关于此证明过程的高级和详细信息,包括其状态(即,Robert 确认了 Jane 的过程)。 要查看证明过程,执行以下步骤:
1. | 退出 Oracle 身份管理器管理控制台。 |
2. | 以“超级用户”帐户登录到 Oracle 身份管理器的管理控制台(即,在 User ID 域中输入 xelsysadm,在 Password 域中输入 abcd1234)。 | | 3. | 在 Attestation 文件夹中打开 Attestation Dashboard 表单。
将显示 Attestation Dashboard 表单。
从此表单中,Linda 可以查看有关证明过程的信息,包括:
- 其名称和唯一标识码
- 将其提交给检查员 Robert 的日期和时间
- 采取措施的日期和时间
- 运行实例的总数
- 每一实例的状态(即,是已确认、弹回、拒绝它,还是将其委托给另一检查员)
注: 单击 iPlanet Resource 链接后,Linda 可以查看有关证明过程的详细信息,包括范围、检查员和管理详细信息。
提示:要返回 Attestation Dashboard 表单,单击 Back To Search Results 链接。 |
| 4. | 单击 Current Request Date 列中包含的日期和时间戳。此戳表示 Robert 接收证明过程的日期和时间。
将显示 Attestation Request Detail 表单。
从此表单中,Linda 可以查看有关此证明过程的其他信息,包括: - 获取此指定资源的目标用户。在此 OBE 中,目标用户为 Jane。
- 供应给此用户的资源。在此 OBE 中,供应的资源为 Sun Java Directory Server 资源。
- 证明过程和处理它的检查员的状态。在此 OBE 中,检查员 Robert 确认了此证明过程。
- 委托路径(如果将证明过程委托给另一检查员)。对于本 OBE,没有委托路径。
- 检查员添加到证明过程中的任何注释。在此 OBE 中,Robert 添加了以下注释:The user is entitled to this resource。
注:要查看更多关于 Jane(目标用户)、iPlanet User(供应给该用户的资源)或 Robert(检查员)的详细信息,请单击其各自名称下的链接。 | 返回主题列表 在本教程中,您学习了如何:
 | 创建报表 | |
了解证明过程 | | 为用户分配检查员 | |
创建证明过程 | | 检查证明过程 | | 查看证明过程 | 返回主题列表 返回主题列表 将鼠标置于该图标上可以隐藏所有的屏幕截图。
| 
书签