身份库包含 Identity Manager 需要的所有信息。身份库充当要在各个已连接系统之间同步的数据的元目录。例如,从 PeopleSoft 系统同步到 Lotus Notes 的数据将首先添加到身份库,然后再发送给 Lotus Notes 系统。身份库还会储存特定于 Identity Manager 的信息,例如驱动程序配置、参数和策略。
身份库使用 NetIQ eDirectory 数据库。有关使用 eDirectory 的详细信息,请参见《NetIQ eDirectory 9.1 Administration Guide》(NetIQ eDirectory 8.8 管理指南)。
Identity Manager 引擎用于处理身份库或已连接应用程序中发生的所有数据更改。对于身份库中发生的事件,引擎将处理更改并通过驱动程序向应用程序发出命令。对于应用程序中发生的事件,引擎将接收驱动程序中的更改、处理更改然后向身份库发出命令。驱动程序会将 Identity Manager 引擎连接到多个应用程序。驱动程序有两个基本责任:将应用程序中的数据更改(事件)报告给 Identity Manager 引擎,以及执行由 Identity Manager 引擎提交给应用程序的数据更改(命令)。驱动程序必须安装在已连接应用程序所在的服务器上。
Identity Manager 引擎也称为元目录引擎。用来运行 Identity Manager 引擎的服务器称为 Identity Manager 服务器。您的环境中可以有多个 Identity Manager 服务器,具体视服务器工作负载而定。
Identity Manager Remote Loader 可装载驱动程序,并代表远程服务器上安装的驱动程序来与 Identity Manager 引擎通讯。如果应用程序与 Identity Manager 引擎在同一个服务器上运行,您便可以将驱动程序安装在该服务器上。但是,如果应用程序与 Identity Manager 引擎不在同一个服务器上运行,您必须将驱动程序安装在应用程序所在的服务器上。要改善环境的工作负载或配置,您可以将 Remote Loader 安装在单独的服务器上,不要将其与 Tomcat 和 Identity Manager 服务器安装在同一个服务器上。
有关 Remote Loader 的详细信息,请参见部分 10.1.2, 了解 Remote Loader。
Identity Manager 中包含身份信息仓库,后者是用于储存组织中身份库与已连接系统的实际和预期状态相关信息的智能储存库。身份信息仓库使您能够全面了解业务权利,提供了解授予组织中用户身份的授权和许可权限的过去和当前状态的所需信息。
查询身份信息仓库时,您可以检索确保贵组织完全符合相关业务法律和规定的所有所需信息。掌握这些信息后,您甚至可以回答最复杂的管理风险和合规性 (GRC) 问题。
身份信息仓库的基础结构需要使用下列组件:
身份信息仓库将其信息储存在 Sentinel Log Management for IGA 的 SIEM 数据库中。Identity Reporting 组件可让您审计和创建有关 Identity Manager 解决方案的报告。您可以使用这些报告来帮助满足企业的合规性法规。您可以运行预定义的报告,以证明对业务、IT 及企业策略的合规性状况。如果预定义报告不能满足您的需求,您还可以创建自定义报告。使用 Identity Reporting 可报告有关 Identity Manager 配置各方面的重要业务信息,包括从身份库和已连接系统收集而来的信息。Identity Reporting 的用户界面便于您将报告安排在非高峰时间运行,从而实现性能优化。有关 Identity Reporting 的详细信息,请参见《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理员指南)。
数据收集服务使用数据收集服务驱动程序来捕获对储存在身份库中的对象(例如帐户、角色、资源、组和小组成员资格)所做的更改。驱动程序向该服务进行注册,并将更改事件(例如数据同步、添加、修改和删除事件)推送到该服务。
该服务包括三个子服务:
报告数据收集器: 使用拉式设计模型从一个或多个身份库数据源中检索数据。它根据一组配置参数确定的周期定期运行收集。为了检索数据,收集器需调用受管系统网关驱动程序。
事件驱动的数据收集器: 使用推式设计模型收集由数据收集服务驱动程序捕获的事件数据。
非受管应用程序数据收集器: 通过调用专门为每个应用程序编写的 REST 端点,从一个或多个非受管应用程序中检索数据。非受管应用程序是指您企业中未连接到身份库的应用程序。
受管系统网关驱动程序会查询身份库,以便从受管系统中收集下列类型的信息:
所有受管系统列表
所有受管系统帐户列表
受管系统的权利类型、值和指派以及用户帐户配置文件