Пакет Identity Manager представляет собой взаимосвязанный набор веб-приложений Identity в навигаторе. Они дают вашей организации возможность управлять учетными записями и разрешениями, связанными с целым рядом ролей и ресурсов, которые доступны пользователям. Приложения Identity можно настроить таким образом, чтобы предоставить пользователям возможность самообслуживания (например, доступ к таким функциям, как запрос ролей и изменение паролей). Кроме того, можно настраивать рабочие процессы, чтобы повысить эффективность назначения ролей и ресурсов и управления ими.
В состав приложений Identity входят перечисленные ниже компоненты.
Панель управления Identity Manager является отправной точкой во всех приложениях Identity. Из нее в качестве пользователя вы можете выполнять следующие действия:
управлять параметрами профиля и паролем;
просматривать и выполнять свои задачи, например утверждать запросы пользователя на доступ;
запрашивать разрешения для ролей, ресурсов или процессов;
проверять состояние и протокол своих запросов на разрешения;
находить других пользователей своей организации.
В качестве пользователя с соответствующей ролью администратора вы можете выполнять следующие задачи:
создавать и изменять профили пользователей;
создавать и изменять коллективы — наборы пользователей и группы, которые могут запрашивать персонифицированный доступ к информации и выполнять назначенные им задачи подтверждения.
Администратора каталога — это основной инструмент для управления ролями и ресурсами, относящимися к различным подключенным системам в организациях, в которых используется Identity Manager. Хотя каталог не является уникальной базой данных или набором файлов, в нем объединена все информация о ролях, ресурсах и связях между ними.
Пользователь, которому предоставлены права администратора ролей, может выполнять следующие задачи:
создавать, удалять и изменять роли;
создавать процессы для утверждения и отзыва ролей;
создавать роли и устанавливать связи между ними в пределах иерархии ролей;
создавать, удалять и изменять ограничения разделения обязанностей (SoD), позволяющие управлять возможными конфликтами между пользователями;
просматривать список созданных ролей;
определять, с каким контейнером связана та или иная роль.
Пользователь, которому предоставлены права администратора ресурсов, может выполнять следующие задачи:
создавать ресурсы как на основе наделения прав, так и без него;
удалять и изменять ресурсы;
создавать процессы для утверждения и отзыва ресурсов;
связывать ресурсы с ролями в составе других ролей, групп и контейнеров организации;
просматривать список ресурсов;
определять, с каким контейнером связан тот или иной ресурс.
Администратор каталога — более современный инструмент для управления ролями и ресурсами по сравнению с приложением IDM. Однако он не поддерживает назначение разрешений или прав владения для ролей и ресурсов.
Первоначально приложение IDM входило в состав модуля Roles Based Provisioning Module (RBPM). Некоторые из функций RBPM перенесены в панель управления и администратор каталога. Приложение IDM по-прежнему поддерживает перечисленные ниже функции и возможности, которые пока отсутствуют в двух других компонентах.
Создание групп пользователей (обычно в соответствии с их служебным положением, например принадлежностью к финансовому отделу).
Назначение ролей и ресурсов таким ресурсам организации, как учетные записи пользователей, компьютеры и базы данных.
Назначение прав владения и настройка методов утверждения ролей и ресурсов.
Настройка параметров управления паролями, чтобы пользователи могли сбрасывать их самостоятельно.
Обеспечение наличия в организации средств информирования сотрудников о требованиях организационной политики и контроля их действий по ее соблюдению.
Проверка соответствия параметров доступа к корпоративным ресурсам требованиям организационной политики, а процедуры персонифицированного доступа к информации — корпоративной политике безопасности. Вы можете предоставлять пользователям доступ к данным электронных персон в соответствии с требованиям корпоративной политики безопасности.
Создание рабочих процессов для снижения административной нагрузки, связанной с вводом, обновлением и удалением пользовательской информации во всех системах предприятия. На этих рабочих процессах основан веб-интерфейс, с помощью которого пользователи управляют распределенными данными электронных персон и в котором инициируются соответствующие процессы.
Поддержка сложных рабочих процессов, а также автоматическое и ручное управление персонифицированным доступом к информации, сервисам, ресурсам и активам.
Обеспечивать персонифицированный доступ к информации можно вручную. Для этого потребуется создать рабочие процессы, направляющие запросы на доступ к одному или нескольким уполномоченным. Для автоматического персонифицированного доступа к информации приложение IDM настраивается так, чтобы рабочий процесс запускался автоматически в ответ на событие, возникающее в хранилище. Панель управления может запускать рабочий процесс, когда пользователь запрашивает разрешение.