IDStarV5.0身份管理平台
目录
1关于本手册
本手册旨在指导用户使用身份管理平台IDStarV5.0。本手册的读者需掌握以下知识:
1)已经阅读过IDStarV5.0的产品说明文档,了解IDStarV5.0产品的基本功能结构。
2)掌握IE或其它浏览器的使用。
本手册的读者包括以下两类:
1)身份管理平台管理员
2)身份管理平台项目实施人员
2系统介绍
IDStarV5.0的身份管理平台,旨在为身份管理员提供一个统一的、友好的操作界面,以方便管理员管理用户和组的数据,提示管理员当前平台所有面临的问题,帮助管理员对身份管理平台进行实时的监控和维护。
概括来讲,IDStarV5.0身份管理平台实现了以下功能:
1)概况模块,包括:
今日帐号概况:给用户展现身份管理平台内帐号的总数,当天帐号增加、修改、删除、密码修改的次数。
今日认证概况:展现当天认证的总数,当天认证成功和认证失败的次数。
服务器状态:展现当前配置的服务器运行情况,可查询服务器的CPU使用率、内存使用率及硬盘使用率的当前和历史数据。
系统结构图:展现身份管理平台系统的运行环境架构,可以自定义上传系统的结构图。
2)帐号管理模块,包括:
帐号列表:具有对帐号进行增加、删除、修改、查询以及转为校友、过期设置、锁定、解锁、加入容器和加入组的功能。
批量操作:通过Excel文件对帐号进行批量的增加、删除、修改、过期设置、锁定解锁和转为校友的功能。
帐号同步:配置指定的时间,定时从远程数据库中同步数据到身份管理平台。
帐号容器:具有对容器进行增加、删除、修改的功能。
帐号元数据:具有对LDAP中帐号属性进行编辑和新增的功能,以及设置属性是否显示在帐号列表中的功能。
帐号统计:查询本周、本月、本季度、本年对帐号进行的增加、修改、删除以及密码修改的情况,并以图表的形式展现。
3)认证管理模块,包括:
认证应用:具有增加、修改、删除和查询帐号所能访问应用系统的信息的功能
认证统计:查询每天的每个小时、本周、本月、本季度、本年登录系统成功和失败的情况,或者某个时间点内的登录成功和失败的情况,并以图表的形式展现。根据帐号、IP、认证结果以及时间范围查询登录情况,并以列表的形式展现。
4)授权管理模块,包括:
群组授权:增加、删除、修改、查询组的功能以及向指定的组中增加、删除帐号和添加、删除应用授权的功能。
应用授权:对指定帐号添加或删除应用授权的功能。
批量授权:通过Excel文件批量的向指定组中增加、删除帐号。
授权统计:查询本周、本月、本季度、本年帐号入组和出组情况的功能,并以图表的形式展现。根据操作情况对帐号入组和出组情况查询的功能,并以列表的形式展现。
5)审计管理模块,包括:
帐号审计:统计查询在一定时期内休眠帐号、孤儿帐号、密码强度不符合要求的帐号和不符合规范的帐号的功能。
认证审计:统计查询在一定时期内恶意认证帐号和暴力密码猜解帐号以及恶意认证IP的功能。
授权审计:统计查询空组和无组帐号的功能。
差异审计:统计查询数据库和LDAP不一致的帐号的功能。
6) 监控管理模块,包括:
总体状态:统计查询一定时期内配置的服务器使用状态,包括CUP、内存、硬盘信息以及服务器的会话信息,并以图表的形式展现。
服务器状态:显示配置的服务器当前的CPU、内存、硬盘使用率的状态图。
会话状态:查询配置的服务器会话个数并以柱状图的形式展现。统计查询一定时期内配置的服务器会话信息。
监控配置:包括监控服务器配置、监控时间配置、告警阀值配置。
7)系统管理模块 ,包括:
操作日志:根据时间、操作者、操作对象、操作类型、操作IP及操作结果查询身份管理平台进行的操作,如果数据库中记录太多并且这些记录已经没有用处时,可以删除一定时期内的日志的功能。可以设置最近日志的天数以及日志迁移到历史日志的执行时间。
历史日志:根据条件对管理平台操作的历史日志进行查询。如果数据库中记录太多并且这些记录已经没有用处时,可以删除历史日志
配置管理:具有密码策略定义,自助服务设置和配置同步功能。
IDStarV5.0身份管理平台的用户有两类,分别是身份管理平台IDStarV5.0的工程实施人员和身份管理平台IDStarV5.0的各类管理员。各类管理员的命名和权限规定如下:
管理员类别 | 管理员权限 |
超级管理员 | 拥有固定名(admin),作用于身份管理平台自身的管理,同时需要完成平台初始化的设定工作,以保证身份管理平台可以正常运行。 |
3操作约定
3.1主界面样式
身份管理平台的用户主界面如上图所示,分为以下区域:
系统工具栏:放置系统功能按钮,包括 “控制面板”(仅超级管理员可见)和“退出”,以及欢迎信息。
菜单栏:进入各项功能的导航链接,根据不同的用户角色,显示不同的菜单项, 分为一级菜单和二级菜单,
内容显示区:通过菜单项进入某项功能后,如果该功能包含多项子功能,则通过点击相应链接进入各个子功能。
3.2基于角色的访问控制
针对统一身份认证平台的安全性要求,身份管理平台采用了基于角色的访问控制技术。
角色和所具有的权限如下:
角色 | 责任描述 | 权限 |
超级管理员 | 拥有固定名(admin)对身份管理平台本身的配置和管理员进行管理,以及数据的初始化。 | 平台管理功能及包含的所有功能 |
3.3规范化的列表分页浏览
以查询帐号列表功能为例,身份管理平台所有的数据浏览均参照该模式,分页浏览的操作方式均与上图一致。
3.4文件批量操作
针对用户身份数据管理中,大数据量批量操作的状况多的特点,身份管理平台采用了文件批量操作的模式作为可选操作手段。用户可以按照样例要求编辑批量操作文件(Excel格式),将所需要操作的用户数据添加到文件中,系统可将文件上载后,解析出数据后执行相应操作。
4系统使用
4.1基本操作
4.1.1登录
访问方式:http://idstar.wiscom.com.cn:9086/cmstar/index.portal
其中:红包部分idstar.wiscom.com.cn表示运行身份管理平台系统所在的服务器的域名
绿色部分9086表示运行身份管理平台系统的服务器分配的端口号
访问身份管理平台,会自动跳转到登录界面,输入用户名密码后,点击登录。
登录成功后进入以下界面:
4.1.2注销
在主界面上方的系统工具栏中点击“退出登录”按钮,系统注销当前用户,退回到登录页面。
4.2系统功能模块
因为系统管理员帐号包括所有的功能模块,而数据管理员只有帐号模块和授权模块,所以以下就以系统管理员帐号为例说明系统的使用,数据管理员帐号的使用与系统管理员帐号使用一样。
4.2.1功能1——概况
当以admin帐号或者系统管理员 帐号成功登录系统后,会显示概况模块的页面,,分为系统概况和系统结构,其中系统概况分为3个区域:今日帐号概况、今日认证概况和今日服务器状态。
4.2.1.1系统概况
4.2.1.1.1今日帐号概况
可以查看到平台内的帐号总数、今日添加帐号、删除帐号、修改帐号、密码修改帐号的个数,下面以添加帐号功能为例说明,其他的类似。
4.2.1.1.2今日认证概况
显示今天登录身份管理平台成功和失败的帐号的统计图,以小时为单位。
4.2.1.1.3服务器今日状态
可查看今日服务器的总体运行状态以及详细信息。
点击“查看历史数据”后,可查看服务器的所有状态记录。
4.2.1.2系统结构
系统结构用来展现身份管理平台系统的部署架构情况。
点击“系统结构图”,如果首次使用或者想替换掉原来的系统结构图的话可以点击“选取文件”,选择好上传文件后,点击上传按钮:
弹出“上传成功”提示信息后出现以下页面。
4.2.2功能2——帐号管理
4.2.2.1帐号列表
4.2.2.1.1查询帐号
点击“帐号列表”,查询所有的帐号的信息。
可以直接在上图的空白栏里输入或选中想要查询的内容,完成后点击搜索。
4.2.2.1.2 添加帐号
点击“添加账号”按钮图标:
弹出添加帐号的页面,其中属性名前带有符号*的为必填项。
“常规”页中填写项说明:
帐号:只能填写英文或者数字,不可以填写中文。而且填写的帐号在身份管理系统平台中必须唯一,如果出现了重复的情况,在填写完帐号的全部信息点击确定时,系统会提示您错误信息。
姓名:表示该帐号使用者的姓名。
帐号状态:活动表示帐号可用;不活动表示帐号不可用。
密码策略:密码策略分为弱、中、强三级,具体定义可通过“?”图标获取。
密码:密码必须符合密码策略的要求,否则无法保存数据。
过期时间:表示帐号在这个时间以后将处于不可用状态。
容器名:表示帐号加入的容器。
加入组:表示帐号加入的组,可多选,加入不同的组即表示给帐号赋予不同的访问权限。
别名:在别名一栏中的文本框中填写别名后点击添加按钮来添加别名,添加的别名不可以与身份管理系统平台中已有的别名和帐号有重复,如果出现了重复的情况,在填写完帐号的全部信息点击确定时,系统会提示您相关错误信息。
具体如下图:
“详情”页中填写项说明:
该页面中的内容为用户属性和自定义属性中状态为显示的属性,可在帐号元属性中配置。
填写完所有的信息后,可点击“确定”完成帐号添加工作。
4.2.2.1.3删除帐号
对于删除单个帐号,点击此帐号所对应的删除图标,如下图所示
删除成功后会在页面上方提示“删除帐号操作成功”
对于批量删除帐号,先选中要删除帐号前面的小方框,再点击“批量删除”按钮
4.2.2.1.4转为校友
对于某个或某些帐号,其拥有者离校时,学校不想删除这些数据,需要保留这些帐号的信息,但是作为校友处理。但是会对帐号的所属组信息、活动状态和过期时间进行特定的限制。
先选择要转为校友的帐号,再点击“转为校友”按钮:
弹出以下页面:
容器名:选择离校后帐号所属的容器。
帐号状态:离校后,该帐号的状态是活动,还是不活动?
过期时间:离校后,该帐号是否会要求在哪天过期?
选择完成后,点击“确定”即可完成转为校友操作。
4.2.2.1.5过期设置
对于某些帐号,如临时帐号,只允许其拥有一段时间的使用权限,要求给帐号一个有效的期限。同时,对于一些要离校的帐号,可能需要有个缓冲时间,如一周,一周后该帐号即失效。
先选择要进行过期设置的帐号,再点击“过期设置”按钮
弹出以下页面,选择过期时间后,点击“确定”按钮,即可完成过期设置操作。
4.2.2.1.6锁定
对于某些帐号,他们的行为有异常时,如一天内频繁登失败(有猜测密码嫌疑),需要禁用该帐号,但是不需删除。
先选择要进入过期设置的帐号,再点击“批量锁定”按钮,即可完成锁定操作。
4.2.2.1.7解锁
对于被禁用的帐号,查明情况后需要恢复帐号的可用性。
先选择要进行解锁设置的帐号,再点击“批量解锁”按钮,即可完成解锁操作。
4.2.2.1.8修改密码
先选择要修改密码的账号,点击“修改密码”按钮。
进入如下提示框,选择密码策略,分为弱中强三种,不同的密码策略对密码的要求不同,具体定义可通过“?”图标获取,然后输入两次新密码,点击确定,即可完成修改密码操作。
4.2.2.1.9编辑帐号
点击如下图所示的帐号的编辑图标
弹出以下页面,姓名必填属性,帐号是不能修改的,密码不填写时表示不对以前的密码进行修改,否则进行修改,当修改完属性后点出确定按钮,即可完成编辑帐号操作。
4.2.2.2批量操作
4.2.2.2.1操作步骤
有些用户没有系统进行维护,只存在于Excel文件中,单个操作的工作量也比较大,因此需要给予Excel文件进行批量的数据维护,包括增删改查等。
如果还没有文件批量操作的模板,可以点击下图所示链接下载批量操作模板,里面的属性可以根据实际情况进行增加或删除,但属性名称必须确保和模板上的属性名称一致。
【注意】以下以批量增加操作为例说明批量操作的使用过程,其他的操作与批量增加操作类似(做出不同的选择即可),就不再单独说明。
批量操作的使用过程如下:
在“批量增加”页面中:
容器名:增加帐号或转为校友操作时,需加入到那个组。
帐号状态:帐号新增时,帐号初始状态是活动还是不活动。
过期时间:帐号新增时,帐号是否存在过期时间。
确定输入值后,上传准备好的Excel文件,点击“确定”:
显示进行批量操作的Excel文件中的帐号信息,以供操作者确认:
确认无误后点“确认”按钮,新增操作开始执行。
操作执行完毕之后,会显示操作的结果,显示成功的数目和失败的数目:
如果批量增加过程中有增加错误帐号,则会出现以下页面,显示失败的帐号及其失败原因:
4.2.2.2.2Excel文件说明
这里批量操作中的Excel样例文件名叫batchSample.xls,帐号模块中的所有批量操作都可以使用该文件,具体说明如下:
批量增加
要求将新增帐号需要的属性信息填完整,如上图。在需要的情况下,可以增加属性,但是增加的属性不能超过平台支持的范围,如下图新增几个帐号(属性包括uid、姓名、过期时间、密码、邮箱地址和帐号状态):
【注意】此处帐号状态(status)和过期时间(lifeTime)可以不必写入,而是在批量添加页面中对应控件中输入相应值,系统优先使用控件中的值。
身份管理平台支持的所有帐号属性如下:
属性名称 | Excel列属性名 | 是否必须 |
帐号 | uid | 是 |
姓名 | cn | 是 |
密码 | password | 是 |
帐号状态 * | status | 否(默认是活动的) |
过期时间 * | lifeTime | 否 |
别名 | alise | 否 |
securityEmail | 否 | |
学号 | eduPersonStudentID | 否 |
工号 | eduPersonStaffID | 否 |
证件号 | eduPersonCardID | 否 |
单位 | eduPersonOrgDN | 否 |
专业 | eduPersonMajor | 否 |
性别 | gender | 否 |
电话 | telephoneNumber | 否 |
住址 | eduPersonStreet | 否 |
* 可以再页面进行配置
批量修改
要求将要修改帐号的uid(用于识别帐号)和要修改的属性及相应的值写入Excel文件,其他不必填写。如下图:
其他批量动作
只要求在Excel文件中提供uid,以供系统识别,其他属性可不填写,如下图:
4.2.2.3帐号同步
对于有应用系统管理的用户数据(如人事系统管理教职工),这些数据会存储于数据库中,需通过同步机制定时将用户数据抽取至身份管理平台,形成用户的电子身份帐号。这部分内容对应于IDStarV2.X和3.X中的数据同步工具。
在数据源端(即作为身份数据来源的关系型数据库)需要创建差异视图,每一类用户都需要创建一套差异视图,如本专科生、研究生、教职工的差异视图均是分别独立创建的。差异视图是由某类用户的基本信息表(如T_BZKS,注意,在V1.6的集成中心库模式中分成两个表,分别是T_BZKS和T_BZKS_ZX)和相应的基本信息基本表(如,T_BZKS_BASIC)比较而得。其中,基本信息基本表是为了帐号数据同步而专门创建的表。基本信息基本表和差异视图可在添加帐号同步任务时自动生成,如果自动生成的基本表和差异视图不能满足需求,也可以在数据源端手动创建,或者自动生成后再至数据源端手动修改。基本信息基本表和差异视图的详细介绍如下:
基本信息基本表
基本信息基本表的表名一般为用户基本信息表后增加BASIC字样,如本专科生的基本信息基本表的表名是T_BZKS_BASIC。
基本信息基本表的字段为身份管理平台需要的那些基本字段,且字段名跟用户的基本信息表的字段名一一对应。如我们通常只需要从本专科生基本信息中抽取用户的学号和姓名,则基本信息基本表(T_BZKS_BASIC)的字段包括ID(学号)、CN(姓名)和SFZX(是否在校,用以判断用户是否已经离校)。
差异视图
差异视图(通常命名为V_BZKS)包含了基本信息表(如T_BZKS)和基本信息基本表(T_BZKS_BASIC)对应字段的差异数据,字段名同基本信息表。此外,差异视图中还包含了一些帐号同步功能要求的字段信息,包括:
password——用户信息进入身份管理平台后的初始密码,通常取身份证号码后六位(注意:不得少于六位)。
actiontype——帐号同步操作的类型,“add”、“update”和“end”(离校)取其一。
在产品包“\Build\身份管理平台(IMP)\差异视图”目录下给出了差异视图创建的示例sql文件,请实施人员根据现场项目经理的具体要求做出调整(请特别关注集成中心库模式的版本),并创建差异视图。
4.2.2.3.1帐号同步任务查询
进入“帐号同步”模块后,界面首先显示当前平台存在的帐号同步任务:
4.2.2.3.2增加帐号同步任务
点击“添加”按钮,添加同步任务:
输入“任务名称”和“任务说明”,选择同步时间的执行方式,下图的例子表示同步任务每隔6小时执行一次:
填写数据库连接设置,输入数据库的相关链接参数,并测试是否连通,下图表示数据库连接成功:
填写同步任务数据来源表后,如果数据库中没有创建基本信息基本表和差异视图,点击“创建差异视图与基本表”按钮可以自动生成差异视图:
点击“创建差异视图与基本表”按钮后,在打开的对话框中选择来源表中代表帐号名、姓名、初始密码和是否在校属性的字段(其中帐号名和姓名为必填)后,可手动修改创建的基本表和差异视图的名称,可根据实际需要修改初始密码策略,如下图表示初始密码是ID字段的后6位。 点击确定即可生成差异视图与基本表。
点击确定后,页面上会自动生成基本表、差异视图和统一身份认证帐号的字段映射关系。如果数据库已存在差异视图和基本信息基本表,也可以输入表名后,手动添加字段的映射关系。
请特别注意“SFZX”这个字段,它专门用于帐号终结时。
帐号进入策略设置同步添加帐号时,帐号加入的容器、帐号是否活动、以及帐号的过期时间。
帐号终结策略设置同步终结帐号(即离校帐号)时,是否删除帐号。当保留帐号时,帐号加入的容器、帐号是否活动、帐号的过期时间,以及是否保留帐号原来的组信息。
【注意】帐号的进入和终结策略需由项目经理和学校确认。
全部填写完成后,点击“确定”按钮,即可完成创建同步任务,并跳转回同步任务列表任务。新建的同步任务初始状态为未启动,如需启动,需选中同步任务后点击启动按钮。
4.2.2.3.3删除帐号同步任务
先选中要删除的同步任务,然后点击“删除”按钮。
4.2.2.3.4编辑帐号同步任务
先找到要编辑的同步任务,点击此任务后面的“编辑”按钮。
打开以下页面,具体修改操作功能请参考增加帐号同步任务部分的说明。
4.2.2.3.5启动帐号同步
先选中要启动的一条或多条记录,然后点击“启动”按钮。
同步启动成功后,任务状态这一栏会显示为绿色。
4.2.2.3.6停止帐号同步
先选中要停止的一条或多条记录,然后点击“停止”按钮。
同步停止成功后,任务状态这一栏会变为灰色。
4.2.2.4帐号容器
帐号容器用来标识帐号所属的类型,帐号在创建时,即需加入某一指定容器,并且一个帐号同时只能存在于一个容器内。
4.2.2.4.1添加容器
在容器列表页面,点击“添加容器”按钮。
在“添加容器”对话框中填写容器id和容器名,点击“确定”按钮即可完成容器的创建。
4.2.2.4.2删除容器
在容器列表中点击右侧删除图标,即可删除该行容器。
也可以通过复选框选中多个容器,然后点击“删除容器”按钮来进行删除。
【注意】只能删除没有帐号的空容器,当容器中的成员数不为0时,无法删除掉该容器。
4.2.2.4.3编辑容器
在容器列表中点击右侧删除图标,即可编辑该行容器。
注:编辑容器只能修改容器名,不能修改容器ID。
4.2.2.5帐号元数据
帐号元数据即ldap中的帐号属性,分为系统属性、用户属性和自定义属性三种类型。其中系统属性为帐号基本信息,不能修改;用户属性为帐号详细信息,只能修改是否显示状态;自定义属性可添加和修改。
帐号编辑处的详情,是由帐号元数据的用户属性和自定义属性中设置为显示的元数据构成。
4.2.2.5.1添加元数据
在帐号元数据列表页面,点击“添加属性”。
跳转到添加属性页面,只能添加自定义属性,填写对应信息后点击确定即可添加成功。
4.2.2.5.2删除属性
在帐号元数据列表右侧,点击删除按钮,即可删除元数据。只能删除自定义属性。
4.2.2.5.3编辑属性
在帐号元数据列表右侧,点击编辑按钮,即可编辑该条元数据。只能编辑用户属性和自定义属性,其中用户属性只能修改是否显示状态。
4.2.2.6帐号统计
用户需要了解平台内帐号概要情况,包括帐号增加、删除、修改和密码修改的情况。同时期望能够直观看出帐号变化的趋势。如一周内各天的帐号变化情况。
点击“帐号统计”按钮,可以查看帐号添加、帐号修改、帐号删除、帐号密码修改的统计图,默认为本周的记录统计,还可以分别查询本月、本季度、本年的统计图。
通过点击统计图,可以查看当前统计项的详细记录。在详细记录页面,可以根据条件进行查询。
也可以通过下拉框,直接显示出某种操作的详细记录列表。
4.2.3功能3——认证管理
4.2.3.1认证应用
用户需要控制全校所有的要集成并应用身份管理平台帐号的系统。对于每个要求集成的系统,均需要拥有一个特殊的应用帐号,以达到集成目的。
4.2.3.1.1查询认证应用
还可以根据条件进行查询:
4.2.3.1.2添加认证应用
当有新系统需要与身份管理平台进行集成时,点击“添加应用”按钮:
出现以下界面,其中
应用名称:建议用中文名称。
应用URL:为应用的访问地址。
属性:表示应用能获取到的ldap属性。
填写完成后点击“提交”按钮, 即可添加应用。
4.2.3.1.3删除认证应用
在认证应用列表页面,点击右侧删除图标,即可删除掉该条应用。
4.2.3.1.4编辑认证应用
在认证应用列表页面,点击右侧编辑图标,即可编辑该条应用。
4.2.3.2认证统计
4.2.3.2.1认证概况
用户需要了解当前平台所有帐号的认证情况,包括各个时间段认证成功的数量和认证失败的数量。需要看到帐号认证行为的趋势。
上面2个区域默认为当天认证系统成功和失败的统计图,下面2个区域默认为本周认证系统成功和失败的统计图,上图为了方便演示,将下面两个时间改为本月内。
可以选择时间,查询某一天的认证成功或失败的统计图:
可以通过点击统计图表,查询所选时间的统计项的详细记录。
4.2.3.2.2认证记录
用户需要了解某个特定时间段内发生的认证行为的细节,包括哪个帐号在哪个时间点发生了认证,认证的结果是成功还是失败,这个目的可通过查询认证记录实现。
默认为当天的所有认证记录。
可以输入查询条件进行查询,包括认证账号、认证IP,认证结果以及起始时间等条件,下图修改了起始时间,查询2013年1月7日至2013年1月22日的信息:
4.2.4功能4——授权管理
4.2.4.1群组授权
4.2.4.1.1群组树
授权管理,左侧为群组树,点击某一群组,右侧页面显示该组中的帐号列表。
4.2.4.1.2删除人员
在群组树中选中要删除人员的组,然后在右侧帐号列表的复选框中选中要删除的人员,点击“批量删除”按钮。
也可以直接点击列表右侧的删除图标,单个删除人员。
4.2.4.1.3添加人员
在群组树中选中要删除人员的组,点击“添加人员”按钮。
在帐号列表中复选框选中需要添加的人员,点击“保存人员”按钮,即可将用户添加到该组。
也可以点击列表右侧的添加图标,将用户单个添加到该组。
4.2.4.1.4添加应用
在群组树中选中要添加应用的组,点击“认证应用授权列表”标签,然后点击“添加应用”按钮,设置对应信息后点击确定,即可将应用添加到该组。
4.2.4.2用户授权
用户授权界面可以实现对某个用户的应用授权。
4.2.4.2.1添加应用
在左侧用户列表中选中需要添加应用的用户,点击右侧的“添加应用”按钮,填写对应的内容,点击确定即可将应用授权给该用户。
可以输入查询条件进行查询,帐号和姓名支持模糊查询,如:
4.2.4.2.2删除应用
在左侧用户列表中选中需要添加应用的用户,点击右侧的“批量删除”按钮,即可将应用授权从该用户中删除。也可以点击右侧删除图标单个删除应用授权。
4.2.4.3批量授权
点击批量授权界面进入此界面,可以通过Excel将用户批量加入到指定组,或者批量从指定组中移除用户。使用方法可参照功能批量操作-批量操作。
4.2.4.4授权统计
统计某个时间段内,帐号加入组和从组中移出帐号的操作情况。
统计选项下拉框选择账号入组。
统计选项下拉框选择账号出组。
4.2.5功能5——审计管理
4.2.5.1帐号审计
帐号审计包括4类问题帐号的审计,它们是休眠帐号、孤儿帐号、帐号密码强度不符合要求的帐号和不符合规范的帐号。
4.2.5.1.1休眠帐号
所谓休眠帐号,即N天内没有认证过的帐号,可帮助管理员发现废弃的帐号。这里的N可以灵活定义。
点击“XX个休眠帐号”,可查看休眠帐号的详情:
点击“自定义”可以设置休眠帐号的规则,即对N天进行设置:
4.2.5.1.2孤儿帐号
所谓孤儿帐号,即没有创建来源的帐号,我们认为这些帐号没有属主,因此叫孤儿帐号。
点击页面上“XX个孤儿帐号”即可查到所有的孤儿帐号详情,且可以进行搜索。
4.2.5.1.3密码强度不符合要求的帐号
所谓密码强度不符合要求,即指帐号的密码强度小于平台对其的规定(密码策略),如,平台要求某帐号的密码策略是“中”,但是该帐号密码的强度是“弱”,则该帐号将被审计出来。
点“XX个帐号密码强度不符合要求”,可查看密码强度不符合要求帐号的详细记录,可以输入查询条件进行查询:
4.2.5.1.4不符合规范的帐号
所谓帐号不符合规范,即指帐号的命名规则或帐号的长度不符合学校的要求。如,学校中并不存在长度为5的帐号,如果某个帐号为5,则会被审计出来:
这里的帐号规范定义可设置:
说明:
帐号长度——定义全校帐号的各种长度,不符合这个长度要求的帐号将被审计出来。如本例,定义账号的长度为16位、4位或者6位,除此以外的账号长度都不合规范,会被审计出来。
帐号起始——定义全校帐号的各种起始字符串,不符合这个起始字符串要求的帐号将被审计出来。如本例,账号起始字符串要求是0715,testg,fd,33,test。
【注意】帐号规范定义可以为空,这样平台就不再审计不符合规范的帐号。
4.2.5.2认证审计
认证审计通过分析平台内所有帐号的认证记录,对可能存在的问题提出审计。
4.2.5.2.1恶意认证帐号
所谓“恶意认证帐号”是指,某个帐号用户名密码正确,能够成功认证。但是,该帐号内一天发起的认证次数过多,有恶意攻击以消耗服务资源的嫌疑。点击“XX个恶意认证帐号”可查看恶意认证帐号的详情,且可根据条件查询帐号,同时可以自定义成功认证次数的上限值。
恶意认证帐号的认定规则可以自定义,如图:
4.2.5.2.2暴力密码猜解帐号
所谓暴力密码猜解帐号是指一天内认证失败的次数超过N次的帐号,这里的N可以自定义。我们认为这样的帐号有猜解密码的可能性。点击“XX个暴力密码猜解帐号”,可以查看暴力密码猜解帐号的详情,且可根据条件进行帐号过滤。暴力密码猜解帐号的判断标准(即N的值)可以自定义:
4.2.5.2.3恶意认证IP
所谓恶意认证IP,即某个IP地址发出的认证请求超过N(N可自定义)。我们认为这样的IP地址有恶意攻击服务器的可能性,故将其审计出来。可以点击“XX个恶意认证IP”来看查看恶意认证IP的详情,可通过如下方式修改N的定义:
4.2.5.3授权审计
授权审计可查出有关组的问题,包括空组的个数和无组帐号的个数。我们认为空组意味着这个组没有用处,而帐号不属于任何组也不符合高校的业务场景。
4.2.5.3.1空组
点击“XX个空组”,会在页面的下方显示空组帐号的详细记录,可以输入查询条件进行查询:
4.2.5.3.2无组帐号
点击“XX个无组帐号”,会在页面的下方显示无组帐号的详细记录,可以输入查询条件进行查询:
4.2.5.4差异审计
由于身份数据在后台分别存储在LDAP和关系数据库中,因此理论上存在数据不一致的情况,即LDAP中的数据和关系型数据中的数据存在差异。
差异审计功能即是为了找出数据的差异。该差异数据并非实时得到,而是由后台任务按照规定的时间计算得到的,目的是为了避免在系统繁忙时消耗系统资源。对于任务的执行时间,可以灵活配置,通常都设置在凌晨为宜。
【注意】配置差异审计的执行时间请与授权审计的执行时间错开,一般错开时间为2小时。
4.2.5.4.1LDAP丢失帐号
点击“XX个LDAP丢失帐号”可审计出数据库中存在,而LDAP中不存在的帐号:
选中目标帐号,点击“消除差异”按钮,可将这些只存在于数据库中的帐号删除,已达到消除差异的目的。
4.2.5.4.2数据库丢失帐号
点击“XX个数据库丢失帐号”,可审计出LDAP中存在,但数据库中不存在的帐号:
选中目标帐号,点击“消除差异”按钮,可将这些只存在于LDAP中的帐号加入至数据库中,从而达到消除差异的目的。
4.2.6功能6——监控管理
4.2.6.1总体状态
总体状态可让用户了解当前平台运行的健康状况,看是否存在问题。如果配置了服务器,会显示它们在一定时期内的总体状态、CPU、内存,硬盘、会话的统计图,默认显示当天的统计信息:
4.2.6.2服务器状态
用户可了解服务器的历史状态情况,包括磁盘空间、CPU使用率和内存使用率以及时发现问题。如果配置了多个服务器,则会在页面中分别显示配置的服务器状态,包括CPU、内存和硬盘的使用率:
可查看服务器状态的历史数据,在状态选项中选择“查看历史数据”,会出现以下页面(没有配置的服务器则不会显示):
4.2.6.3会话状态
4.2.6.4监控配置
监控需要进行一些初始化配置,也可以进行一些配置调整。配置项包括监控服务器设置、监控时间配置和告警阀值配置。
4.2.6.4.1监控服务器配置
点击监控服务器配置,出现以下页面:
点击某服务器右侧编辑图标,进入监控配置编辑页面,如下图所示。
也可以点击添加服务器,但是被添加的服务器需要部署监控系统。添加服务器界面如下图所示。
4.2.6.4.2监控时间配置
点击“监控时间配置”:
出现以下页面:
【说明】
是否自动运行:选中代表启动后台监控功能,不选中代表不启动监控功能。默认是选中的。
开始时间:指多少分钟后开始执行监控任务。
间隔时间:每隔多少分钟监控一次,即获取一次监控数据。以默认的五分钟为宜。
定时监控的数据将会被存到数据库,配置完成后点击提交即可。
4.2.6.4.3告警阀值配置
点击“告警阀值配置”:
出现以下页面:
【说明】
CPU告警阀值:当服务器的CPU使用率超过该值时,系统认为CPU使用不正常。
内存告警阀值:当服务器的内存使用率超过该值时,系统认为内存使用不正常。
磁盘告警阀值:当服务器的磁盘使用率超过该值时,系统认为磁盘使用不正常。
4.2.7功能7——系统管理
4.2.7.1操作日志
4.2.7.1.1查询操作日志
默认是查询所有日志记录:
可以输入查询条件进行查询:
4.2.7.1.2删除日志
为避免系统存储的操作日志过多,平台允许管理员删除某段时间内的操作日志。点击操作日志列表页面的“删除日志”。
在删除日志对话框中,选择开始时间和结束时间,点击“确定”按钮,即可删除该时间内的操作日志。
4.2.7.1.3日志迁移配置
为了提高常用日志查询的速度,身份管理平台的操作日志分为最近日志和历史日志,可通过日志迁移配置设置近期日志的保存天数,以及将日志从最近日志迁移到历史日志的任务执行时间。
点击“日志迁移配置”按钮,设置最近日志保存天数和开始时间值后,点击确定即可完成设置。下图中的设置表示最近日志保存365天以内的日志,并且在每天的2点,系统自动将最近日志中365天以外的数据迁移到历史日志中。
4.2.7.2历史日志
历史日志中的数据来源自历史日志表,历史日志表的数据量可能会非常大,所以查询历史日志的效率一般比操作日志慢。历史日志页面的查询方式与操作日志相似。
4.2.7.3配置管理
4.2.7.3.1密码策略定义
对于不同的应用场景,对密码策略的定义有不同的需求,通过密码策略自定义可以灵活满足不同应用场景。可以对密码强度:弱,中,强进行定义。
4.2.7.3.2自助服务设置
自助服务设置,顾名思义就是配置自助服务系统内的一些功能及显示,主要配置项包括显示属性、邮箱设置和退出设置。
通过超级管理帐号(admin)或者系统管理员帐号进入身份管理平台,点击“系统”菜单,选择“自助服务设置”功能项:
系统配置
4.2.7.4应用帐号
应用帐号用于创建和编辑连接ldap的帐号,目前提供只读和读写2种权限。
5常见问题处理
6附录
== 文档结束 ==