Identity Vault 包含 Identity Manager 需要的所有資訊。Identity Vault 充當要在各個連接的系統之間同步化之資料的 Metadirectory。例如,從 PeopleSoft 系統同步至 Lotus Notes 的資料會先新增至 Identity Vault,然後再傳送至 Lotus Notes 系統。Identity Vault 還會儲存特定於 Identity Manager 的資訊,例如驅動程式組態、參數和規則。
Identity Vault 使用 NetIQ eDirectory 資料庫。如需關於使用 eDirectory 的詳細資訊,請參閱《NetIQ eDirectory 9.1 Administration Guide》(NetIQ eDirectory 8.8 管理指南)。
Identity Manager 引擎負責處理 Identity Vault 或連接的應用程式中發生的所有資料變更。對於 Identity Vault 中發生的事件,引擎會處理變更,並透過驅動程式發出指令給應用程式。對於應用程式中發生的事件,引擎會接收驅動程式送來的變更、處理變更,然後發出指令給 Identity Vault。驅動程式 可將 Identity Manager 引擎連接至多個應用程式。驅動程式有兩項基本責任:將應用程式中的資料變更 (事件) 報告給 Identity Manager 引擎;將 Identity Manager 引擎提交的資料變更 (指令) 貫徹到應用程式。驅動程式必須安裝在連接的應用程式所在的伺服器上。
Identity Manager 引擎也稱為 Metadirectory 引擎。用來執行 Identity Manager 引擎的伺服器稱為 Identity Manager 伺服器。您的環境中可以有多個 Identity Manager 伺服器,具體視伺服器工作負載而定。
Identity Manager 遠端載入器可載入驅動程式,並代表遠端伺服器上安裝的驅動程式與 Identity Manager 引擎通訊。如果應用程式與 Identity Manager 引擎在同一個伺服器上執行,您便可以將驅動程式安裝在該伺服器上。但是,如果應用程式與 Identity Manager 引擎不在同一個伺服器上執行,您必須將驅動程式安裝在應用程式所在的伺服器上。若要改善您環境的工作負載或組態,可以將遠端載入器安裝在單獨的伺服器上,不要將其與 Tomcat 和 Identity Manager 伺服器安裝在同一部伺服器上。
如需遠端載入器的詳細資訊,請參閱節 10.1.2, 瞭解遠端載入器。
Identity Manager 中包含 身分資訊倉儲,後者是用於儲存組織中 Identity Vault 與所連接系統實際和預期狀態相關資訊的智慧型儲存庫。身分資訊倉儲可提供的資訊供您查看授權過去和目前的狀態,以及為組織中各個身分授予的許可權,從而讓您全方位瞭解您的企業授權。
在查詢身分資訊倉儲時,您可以擷取確定您所在組織完全遵守相關商業法律與法規所需的所有資訊。具備了這些知識,您甚至可以回答最為複雜的組織治理、風險管理及法規遵循 (GRC) 方面的查詢。
身分資訊倉儲的基礎架構需要使用下列元件︰
身分資訊倉儲將其資訊儲存在 Sentinel Log Management for IGA 的 SIEM 資料庫中。Identity Reporting 元件可讓您稽核和建立有關 Identity Manager 解決方案的報告。您可以使用這些報告來確保符合貴企業的法規遵循規定。您可以執行預先定義的報告,以證明對業務、IT 及企業規則的遵循狀況。如果預先定義的報告不符合您的需要,您也可以建立自訂報告。使用 Identity Reporting 可報告有關 Identity Manager 組態各方面的重要業務資訊,包括從 Identity Vault 和連接的系統收集而來的資訊。Identity Reporting 的使用者介面便於您將報告排程在非高峰時間執行,從而實現效能最佳化。如需 Identity Reporting 的詳細資訊,請參閱《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理員指南)。
資料收集服務使用資料收集服務驅動程式來擷取對儲存在 Identity Vault 中的物件 (例如帳戶、角色、資源、群組和團隊成員資格) 所做的變更。驅動程式會向該服務註冊自身,並將變更事件 (例如資料同步、新增、修改及刪除事件) 推送至該服務。
該服務包括三個子服務︰
報告資料收集器: 使用提取設計模型從一或多個 Identity Vault 資料來源擷取資料。收集動作會定期執行,具體時間由一組組態參數決定。為了擷取資料,收集器會呼叫受管理系統閘道驅動程式。
事件驅動資料收集器: 使用推送設計模型蒐集資料收集服務驅動程式所擷取的事件資料。
非受管理應用程式資料收集器: 透過呼叫專為每個非受管理應用程式撰寫的 REST 端點,從一或多個應用程式擷取資料。非受管理應用程式是指企業內未連接至 Identity Vault 的應用程式。
受管理系統閘道驅動程式會查詢 Identity Vault,以便從受管理系統中收集下列類型的資訊︰
所有受管理系統的清單
所有受管理系統帳戶的清單
受管理系統的授權類型、值、指定及使用者帳戶設定檔