IDStarV5.0身份管理平臺
目錄
1關於本手冊
本手冊旨在指導用戶使用身份管理平臺IDStarV5.0。本手冊的讀者需掌握以下知識:
1)已經閱讀過IDStarV5.0的產品說明文檔,了解IDStarV5.0產品的基本功能結構。
2)掌握IE或其它瀏覽器的使用。
本手冊的讀者包括以下兩類🧮:
1)身份管理平臺管理員
2)身份管理平臺項目實施人員
2系統介紹
IDStarV5.0的身份管理平臺,旨在為身份管理員提供一個統一的、友好的操作界面,以方便管理員管理用戶和組的數據,提示管理員當前平臺所有面臨的問題🤿👩🏽🏭,幫助管理員對身份管理平臺進行實時的監控和維護👩💻。
概括來講,IDStarV5.0身份管理平臺實現了以下功能:
1)概況模塊,包括:
今日帳號概況👵:給用戶展現身份管理平臺內帳號的總數,當天帳號增加、修改🧘🏻♀️、刪除、密碼修改的次數。
今日認證概況🪆:展現當天認證的總數🦢,當天認證成功和認證失敗的次數。
服務器狀態👩🏽🦳:展現當前配置的服務器運行情況,可查詢服務器的CPU使用率、內存使用率及硬盤使用率的當前和歷史數據🧏🏻。
系統結構圖💅🏿:展現身份管理平臺系統的運行環境架構☝🏽,可以自定義上傳系統的結構圖🛬。
2)帳號管理模塊🚵🏽♂️,包括🌡🧑🏿⚕️:
帳號列表🤚🏿:具有對帳號進行增加、刪除、修改🐭、查詢以及轉為校友、過期設置、鎖定、解鎖、加入容器和加入組的功能。
批量操作👨🏻🚒:通過Excel文件對帳號進行批量的增加、刪除🧫🚴、修改、過期設置、鎖定解鎖和轉為校友的功能。
帳號同步👩:配置指定的時間,定時從遠程數據庫中同步數據到身份管理平臺。
帳號容器:具有對容器進行增加、刪除🗾👩🏽⚖️、修改的功能。
帳號元數據:具有對LDAP中帳號屬性進行編輯和新增的功能,以及設置屬性是否顯示在帳號列表中的功能。
帳號統計:查詢本周、本月、本季度、本年對帳號進行的增加🏂🏼、修改👩🏿🦲、刪除以及密碼修改的情況,並以圖表的形式展現😆。
3)認證管理模塊,包括:
認證應用😬:具有增加🦸🏼♀️、修改👨🏻🏫、刪除和查詢帳號所能訪問應用系統的信息的功能
認證統計:查詢每天的每個小時👦🏿、本周、本月👨🏿🍼、本季度🤵🏿、本年登錄系統成功和失敗的情況,或者某個時間點內的登錄成功和失敗的情況🏄♀️,並以圖表的形式展現。根據帳號☘️、IP、認證結果以及時間範圍查詢登錄情況,並以列表的形式展現。
4)授權管理模塊🧖🏿♀️,包括🍧:
群組授權🔢:增加🤛🏽💋、刪除👩🔧、修改、查詢組的功能以及向指定的組中增加、刪除帳號和添加、刪除應用授權的功能。
應用授權:對指定帳號添加或刪除應用授權的功能。
批量授權🌉:通過Excel文件批量的向指定組中增加、刪除帳號。
授權統計:查詢本周、本月、本季度👶、本年帳號入組和出組情況的功能,並以圖表的形式展現🦢。根據操作情況對帳號入組和出組情況查詢的功能,並以列表的形式展現🧛🏼。
5)審計管理模塊,包括:
帳號審計:統計查詢在一定時期內休眠帳號🧛🏻♀️、孤兒帳號🏫、密碼強度不符合要求的帳號和不符合規範的帳號的功能💇🏻。
認證審計:統計查詢在一定時期內惡意認證帳號和暴力密碼猜解帳號以及惡意認證IP的功能🧑🏻🍳🈶。
授權審計:統計查詢空組和無組帳號的功能🙍🏽♂️。
差異審計😔:統計查詢數據庫和LDAP不一致的帳號的功能🧙🏼。
6) 監控管理模塊👳🏼♂️,包括:
總體狀態🦘:統計查詢一定時期內配置的服務器使用狀態,包括CUP🏉、內存、硬盤信息以及服務器的會話信息🤦🏼,並以圖表的形式展現💦。
服務器狀態:顯示配置的服務器當前的CPU🧑🏻🏫🌓、內存、硬盤使用率的狀態圖。
會話狀態👿:查詢配置的服務器會話個數並以柱狀圖的形式展現。統計查詢一定時期內配置的服務器會話信息🤾🏻。
監控配置🧡🌴:包括監控服務器配置🟪👏🏽、監控時間配置、告警閥值配置🔭。
7)系統管理模塊 𓀈,包括♿️:
操作日誌:根據時間、操作者、操作對象、操作類型⇒、操作IP及操作結果查詢身份管理平臺進行的操作,如果數據庫中記錄太多並且這些記錄已經沒有用處時🈸,可以刪除一定時期內的日誌的功能。可以設置最近日誌的天數以及日誌遷移到歷史日誌的執行時間🚤。
歷史日誌:根據條件對管理平臺操作的歷史日誌進行查詢。如果數據庫中記錄太多並且這些記錄已經沒有用處時,可以刪除歷史日誌
配置管理:具有密碼策略定義☀️,自助服務設置和配置同步功能。
IDStarV5.0身份管理平臺的用戶有兩類🧑🏻🦽➡️,分別是身份管理平臺IDStarV5.0的工程實施人員和身份管理平臺IDStarV5.0的各類管理員。各類管理員的命名和權限規定如下💗:
管理員類別 | 管理員權限 |
超級管理員 | 擁有固定名(admin),作用於身份管理平臺自身的管理,同時需要完成平臺初始化的設定工作,以保證身份管理平臺可以正常運行👩🏿🎓。 |
3操作約定
3.1主界面樣式
身份管理平臺的用戶主界面如上圖所示,分為以下區域⬆️:
系統工具欄:放置系統功能按鈕,包括 “控製面板”(僅超級管理員可見)和“退出”☝️,以及歡迎信息🖇🧑🏽🦲。
菜單欄:進入各項功能的導航鏈接,根據不同的用戶角色,顯示不同的菜單項, 分為一級菜單和二級菜單🈲,
內容顯示區:通過菜單項進入某項功能後,如果該功能包含多項子功能🫵🏿,則通過點擊相應鏈接進入各個子功能。
3.2基於角色的訪問控製
針對統一身份認證平臺的安全性要求🐥,身份管理平臺采用了基於角色的訪問控製技術。
角色和所具有的權限如下:
角色 | 責任描述 | 權限 |
超級管理員 | 擁有固定名(admin)對身份管理平臺本身的配置和管理員進行管理,以及數據的初始化🌷❤️。 | 平臺管理功能及包含的所有功能 |
3.3規範化的列表分頁瀏覽
以查詢帳號列表功能為例,身份管理平臺所有的數據瀏覽均參照該模式⬜️,分頁瀏覽的操作方式均與上圖一致。
3.4文件批量操作
針對用戶身份數據管理中,大數據量批量操作的狀況多的特點🫳🏼,身份管理平臺采用了文件批量操作的模式作為可選操作手段。用戶可以按照樣例要求編輯批量操作文件(Excel格式),將所需要操作的用戶數據添加到文件中,系統可將文件上載後,解析出數據後執行相應操作𓀆。
4系統使用
4.1基本操作
4.1.1登錄
訪問方式:http://idstar.wiscom.com.cn:9086/cmstar/index.portal
其中💂🏼:紅包部分idstar.wiscom.com.cn表示運行身份管理平臺系統所在的服務器的域名
綠色部分9086表示運行身份管理平臺系統的服務器分配的端口號
訪問身份管理平臺,會自動跳轉到登錄界面💆🏿♀️,輸入用戶名密碼後📏,點擊登錄🕴🏻。
登錄成功後進入以下界面:
4.1.2註銷
在主界面上方的系統工具欄中點擊“退出登錄”按鈕,系統註銷當前用戶,退回到登錄頁面👩❤️👨。
4.2系統功能模塊
因為系統管理員帳號包括所有的功能模塊,而數據管理員只有帳號模塊和授權模塊🧑🏿🦰,所以以下就以系統管理員帳號為例說明系統的使用🏭📄,數據管理員帳號的使用與系統管理員帳號使用一樣🗞。
4.2.1功能1——概況
當以admin帳號或者系統管理員 帳號成功登錄系統後,會顯示概況模塊的頁面,♡🧑🎨,分為系統概況和系統結構,其中系統概況分為3個區域🏞:今日帳號概況、今日認證概況和今日服務器狀態。
4.2.1.1系統概況
4.2.1.1.1今日帳號概況
可以查看到平臺內的帳號總數、今日添加帳號🤫、刪除帳號、修改帳號、密碼修改帳號的個數,下面以添加帳號功能為例說明🫰,其他的類似👩🏽🍳。
4.2.1.1.2今日認證概況
顯示今天登錄身份管理平臺成功和失敗的帳號的統計圖👩🏻🦳,以小時為單位。
4.2.1.1.3服務器今日狀態
可查看今日服務器的總體運行狀態以及詳細信息。
點擊“查看歷史數據”後,可查看服務器的所有狀態記錄。
4.2.1.2系統結構
系統結構用來展現身份管理平臺系統的部署架構情況。
點擊“系統結構圖”,如果首次使用或者想替換掉原來的系統結構圖的話可以點擊“選取文件”,選擇好上傳文件後🚼⏮,點擊上傳按鈕🕟:
彈出“上傳成功”提示信息後出現以下頁面。
4.2.2功能2——帳號管理
4.2.2.1帳號列表
4.2.2.1.1查詢帳號
點擊“帳號列表”👨👦👦,查詢所有的帳號的信息😥。
可以直接在上圖的空白欄裏輸入或選中想要查詢的內容,完成後點擊搜索🦹🏿。
4.2.2.1.2 添加帳號
點擊“添加賬號”按鈕圖標:
彈出添加帳號的頁面👩🏻🦳,其中屬性名前帶有符號*的為必填項⛸。
“常規”頁中填寫項說明:
帳號:只能填寫英文或者數字👮🏽♂️,不可以填寫中文。而且填寫的帳號在身份管理系統平臺中必須唯一🍠,如果出現了重復的情況,在填寫完帳號的全部信息點擊確定時,系統會提示您錯誤信息。
姓名💡:表示該帳號使用者的姓名🔸。
帳號狀態🆙:活動表示帳號可用;不活動表示帳號不可用。
密碼策略🅿️:密碼策略分為弱👌🏼、中🦠、強三級,具體定義可通過“?”圖標獲取。
密碼:密碼必須符合密碼策略的要求,否則無法保存數據🐭。
過期時間🧝🏻🚲:表示帳號在這個時間以後將處於不可用狀態。
容器名🥌:表示帳號加入的容器✶🧑🤝🧑。
加入組:表示帳號加入的組🦮,可多選🌎,加入不同的組即表示給帳號賦予不同的訪問權限。
別名🤙:在別名一欄中的文本框中填寫別名後點擊添加按鈕來添加別名,添加的別名不可以與身份管理系統平臺中已有的別名和帳號有重復,如果出現了重復的情況,在填寫完帳號的全部信息點擊確定時🕊,系統會提示您相關錯誤信息。
具體如下圖:
“詳情”頁中填寫項說明♣︎:
該頁面中的內容為用戶屬性和自定義屬性中狀態為顯示的屬性💙,可在帳號元屬性中配置👩🏼🎤。
填寫完所有的信息後,可點擊“確定”完成帳號添加工作。
4.2.2.1.3刪除帳號
對於刪除單個帳號,點擊此帳號所對應的刪除圖標🗳,如下圖所示
刪除成功後會在頁面上方提示“刪除帳號操作成功”
對於批量刪除帳號,先選中要刪除帳號前面的小方框,再點擊“批量刪除”按鈕
4.2.2.1.4轉為校友
對於某個或某些帳號,其擁有者離校時🎦,摩臣2不想刪除這些數據,需要保留這些帳號的信息🔌,但是作為校友處理。但是會對帳號的所屬組信息、活動狀態和過期時間進行特定的限製。
先選擇要轉為校友的帳號,再點擊“轉為校友”按鈕🉑:
彈出以下頁面🤏🏿:
容器名:選擇離校後帳號所屬的容器🐩。
帳號狀態:離校後,該帳號的狀態是活動,還是不活動?
過期時間👋🏽:離校後,該帳號是否會要求在哪天過期?
選擇完成後🈂️🛴,點擊“確定”即可完成轉為校友操作。
4.2.2.1.5過期設置
對於某些帳號,如臨時帳號,只允許其擁有一段時間的使用權限🎦,要求給帳號一個有效的期限。同時📕,對於一些要離校的帳號,可能需要有個緩沖時間🧑🏿🦰,如一周,一周後該帳號即失效。
先選擇要進行過期設置的帳號🤸🏽♀️,再點擊“過期設置”按鈕
彈出以下頁面🔕,選擇過期時間後,點擊“確定”按鈕,即可完成過期設置操作☯️👒。
4.2.2.1.6鎖定
對於某些帳號,他們的行為有異常時👨🏻🌾,如一天內頻繁登失敗(有猜測密碼嫌疑)🕙,需要禁用該帳號💂🏿♂️,但是不需刪除。
先選擇要進入過期設置的帳號➕,再點擊“批量鎖定”按鈕🧜,即可完成鎖定操作。
4.2.2.1.7解鎖
對於被禁用的帳號🚪,查明情況後需要恢復帳號的可用性❤️。
先選擇要進行解鎖設置的帳號🩵🍌,再點擊“批量解鎖”按鈕,即可完成解鎖操作。
4.2.2.1.8修改密碼
先選擇要修改密碼的賬號,點擊“修改密碼”按鈕💂🏿。
進入如下提示框♿️,選擇密碼策略🎬,分為弱中強三種,不同的密碼策略對密碼的要求不同🤽🏼,具體定義可通過“👩🏿🍼?”圖標獲取,然後輸入兩次新密碼,點擊確定,即可完成修改密碼操作🙆🏻♂️。
4.2.2.1.9編輯帳號
點擊如下圖所示的帳號的編輯圖標
彈出以下頁面🙎🏽👩👧,姓名必填屬性,帳號是不能修改的,密碼不填寫時表示不對以前的密碼進行修改,否則進行修改,當修改完屬性後點出確定按鈕,即可完成編輯帳號操作。
4.2.2.2批量操作
4.2.2.2.1操作步驟
有些用戶沒有系統進行維護,只存在於Excel文件中,單個操作的工作量也比較大🧍🏻♂️,因此需要給予Excel文件進行批量的數據維護,包括增刪改查等。
如果還沒有文件批量操作的模板,可以點擊下圖所示鏈接下載批量操作模板🎄🌓,裏面的屬性可以根據實際情況進行增加或刪除,但屬性名稱必須確保和模板上的屬性名稱一致。
【註意】以下以批量增加操作為例說明批量操作的使用過程,其他的操作與批量增加操作類似(做出不同的選擇即可)😯,就不再單獨說明。
批量操作的使用過程如下🧘🏽♀️:
在“批量增加”頁面中:
容器名👠:增加帳號或轉為校友操作時,需加入到那個組。
帳號狀態🛒:帳號新增時🌱📧,帳號初始狀態是活動還是不活動。
過期時間:帳號新增時,帳號是否存在過期時間。
確定輸入值後🕵🏽,上傳準備好的Excel文件🦿,點擊“確定”:
顯示進行批量操作的Excel文件中的帳號信息🤽♂️,以供操作者確認:
確認無誤後點“確認”按鈕,新增操作開始執行。
操作執行完畢之後,會顯示操作的結果🎗,顯示成功的數目和失敗的數目🤏🏿:
如果批量增加過程中有增加錯誤帳號,則會出現以下頁面,顯示失敗的帳號及其失敗原因:
4.2.2.2.2Excel文件說明
這裏批量操作中的Excel樣例文件名叫batchSample.xls,帳號模塊中的所有批量操作都可以使用該文件,具體說明如下:
批量增加
要求將新增帳號需要的屬性信息填完整,如上圖。在需要的情況下✫,可以增加屬性🪝,但是增加的屬性不能超過平臺支持的範圍🚔,如下圖新增幾個帳號(屬性包括uid、姓名、過期時間、密碼🤸🏽♀️、郵箱地址和帳號狀態)🧑🏽🦳:
【註意】此處帳號狀態(status)和過期時間(lifeTime)可以不必寫入🆖🙍🏻♂️,而是在批量添加頁面中對應控件中輸入相應值👨🏼🏫🧚🏽,系統優先使用控件中的值。
身份管理平臺支持的所有帳號屬性如下:
屬性名稱 | Excel列屬性名 | 是否必須 |
帳號 | uid | 是 |
姓名 | cn | 是 |
密碼 | password | 是 |
帳號狀態 * | status | 否(默認是活動的) |
過期時間 * | lifeTime | 否 |
別名 | alise | 否 |
securityEmail | 否 | |
學號 | eduPersonStudentID | 否 |
工號 | eduPersonStaffID | 否 |
證件號 | eduPersonCardID | 否 |
單位 | eduPersonOrgDN | 否 |
專業 | eduPersonMajor | 否 |
性別 | gender | 否 |
電話 | telephonesNumber | 否 |
住址 | eduPersonStreet | 否 |
* 可以再頁面進行配置
批量修改
要求將要修改帳號的uid(用於識別帳號)和要修改的屬性及相應的值寫入Excel文件,其他不必填寫。如下圖:
其他批量動作
只要求在Excel文件中提供uid,以供系統識別💁🏻♂️,其他屬性可不填寫🚴🏻♂️,如下圖:
4.2.2.3帳號同步
對於有應用系統管理的用戶數據(如人事系統管理教職工),這些數據會存儲於數據庫中🔦,需通過同步機製定時將用戶數據抽取至身份管理平臺🤍🧝♂️,形成用戶的電子身份帳號🫠。這部分內容對應於IDStarV2.X和3.X中的數據同步工具。
在數據源端(即作為身份數據來源的關系型數據庫)需要創建差異視圖🧙🏼♂️,每一類用戶都需要創建一套差異視圖,如本專科生、研究生、教職工的差異視圖均是分別獨立創建的。差異視圖是由某類用戶的基本信息表(如T_BZKS📃,註意♔,在V1.6的集成中心庫模式中分成兩個表,分別是T_BZKS和T_BZKS_ZX)和相應的基本信息基本表(如🦏,T_BZKS_BASIC)比較而得。其中,基本信息基本表是為了帳號數據同步而專門創建的表。基本信息基本表和差異視圖可在添加帳號同步任務時自動生成💂🏿,如果自動生成的基本表和差異視圖不能滿足需求🌟,也可以在數據源端手動創建,或者自動生成後再至數據源端手動修改。基本信息基本表和差異視圖的詳細介紹如下:
基本信息基本表
基本信息基本表的表名一般為用戶基本信息表後增加BASIC字樣,如本專科生的基本信息基本表的表名是T_BZKS_BASIC。
基本信息基本表的字段為身份管理平臺需要的那些基本字段🍜,且字段名跟用戶的基本信息表的字段名一一對應🙋♂️。如我們通常只需要從本專科生基本信息中抽取用戶的學號和姓名,則基本信息基本表(T_BZKS_BASIC)的字段包括ID(學號)👨🏿💻、CN(姓名)和SFZX(是否在校➛,用以判斷用戶是否已經離校)🤾🏻。
差異視圖
差異視圖(通常命名為V_BZKS)包含了基本信息表(如T_BZKS)和基本信息基本表(T_BZKS_BASIC)對應字段的差異數據,字段名同基本信息表。此外,差異視圖中還包含了一些帳號同步功能要求的字段信息🛟🐲,包括:
password——用戶信息進入身份管理平臺後的初始密碼𓀌,通常取身份證號碼後六位(註意:不得少於六位)。
actiontype——帳號同步操作的類型⚇,“add”、“update”和“end”(離校)取其一。
在產品包“\Build\身份管理平臺(IMP)\差異視圖”目錄下給出了差異視圖創建的示例sql文件,請實施人員根據現場項目經理的具體要求做出調整(請特別關註集成中心庫模式的版本),並創建差異視圖🤵🏼。
4.2.2.3.1帳號同步任務查詢
進入“帳號同步”模塊後👩👦,界面首先顯示當前平臺存在的帳號同步任務:
4.2.2.3.2增加帳號同步任務
點擊“添加”按鈕,添加同步任務:
輸入“任務名稱”和“任務說明”🐴,選擇同步時間的執行方式,下圖的例子表示同步任務每隔6小時執行一次:
填寫數據庫連接設置🥶,輸入數據庫的相關鏈接參數,並測試是否連通🫸🏽,下圖表示數據庫連接成功👨🦳:
填寫同步任務數據來源表後,如果數據庫中沒有創建基本信息基本表和差異視圖✋🏼,點擊“創建差異視圖與基本表”按鈕可以自動生成差異視圖🪄:
點擊“創建差異視圖與基本表”按鈕後,在打開的對話框中選擇來源表中代表帳號名、姓名🧑🏽、初始密碼和是否在校屬性的字段(其中帳號名和姓名為必填)後📮,可手動修改創建的基本表和差異視圖的名稱,可根據實際需要修改初始密碼策略🙅🏿,如下圖表示初始密碼是ID字段的後6位。 點擊確定即可生成差異視圖與基本表。
點擊確定後🧑🏿🚀,頁面上會自動生成基本表、差異視圖和統一身份認證帳號的字段映射關系。如果數據庫已存在差異視圖和基本信息基本表🏄♂️,也可以輸入表名後,手動添加字段的映射關系🦸🏽♀️。
請特別註意“SFZX”這個字段🗳⚉,它專門用於帳號終結時。
帳號進入策略設置同步添加帳號時,帳號加入的容器、帳號是否活動、以及帳號的過期時間🫸🏻。
帳號終結策略設置同步終結帳號(即離校帳號)時🏃🏻♀️,是否刪除帳號。當保留帳號時,帳號加入的容器🧑🏼⚕️、帳號是否活動🙂💆🏼♀️、帳號的過期時間,以及是否保留帳號原來的組信息🫅🏽🧑🏿🍳。
【註意】帳號的進入和終結策略需由項目經理和摩臣2確認。
全部填寫完成後🪅,點擊“確定”按鈕,即可完成創建同步任務👨🏽🚀,並跳轉回同步任務列表任務。新建的同步任務初始狀態為未啟動,如需啟動,需選中同步任務後點擊啟動按鈕🤵🏼。
4.2.2.3.3刪除帳號同步任務
先選中要刪除的同步任務🦸🏿🆚,然後點擊“刪除”按鈕🧎🏻。
4.2.2.3.4編輯帳號同步任務
先找到要編輯的同步任務,點擊此任務後面的“編輯”按鈕👩❤️👩。
打開以下頁面,具體修改操作功能請參考增加帳號同步任務部分的說明。
4.2.2.3.5啟動帳號同步
先選中要啟動的一條或多條記錄✊🏽,然後點擊“啟動”按鈕5️⃣。
同步啟動成功後💓,任務狀態這一欄會顯示為綠色®️。
4.2.2.3.6停止帳號同步
先選中要停止的一條或多條記錄,然後點擊“停止”按鈕。
同步停止成功後,任務狀態這一欄會變為灰色。
4.2.2.4帳號容器
帳號容器用來標識帳號所屬的類型🚶♂️,帳號在創建時,即需加入某一指定容器,並且一個帳號同時只能存在於一個容器內。
4.2.2.4.1添加容器
在容器列表頁面🧑🏽🌾,點擊“添加容器”按鈕。
在“添加容器”對話框中填寫容器id和容器名,點擊“確定”按鈕即可完成容器的創建。
4.2.2.4.2刪除容器
在容器列表中點擊右側刪除圖標🏊,即可刪除該行容器。
也可以通過復選框選中多個容器,然後點擊“刪除容器”按鈕來進行刪除。
【註意】只能刪除沒有帳號的空容器,當容器中的成員數不為0時,無法刪除掉該容器。
4.2.2.4.3編輯容器
在容器列表中點擊右側刪除圖標,即可編輯該行容器。
註👶🏻:編輯容器只能修改容器名,不能修改容器ID。
4.2.2.5帳號元數據
帳號元數據即ldap中的帳號屬性🐖,分為系統屬性、用戶屬性和自定義屬性三種類型。其中系統屬性為帳號基本信息,不能修改🤶🏿;用戶屬性為帳號詳細信息,只能修改是否顯示狀態🚣🏼;自定義屬性可添加和修改。
帳號編輯處的詳情👰🏽♂️,是由帳號元數據的用戶屬性和自定義屬性中設置為顯示的元數據構成。
4.2.2.5.1添加元數據
在帳號元數據列表頁面,點擊“添加屬性”。
跳轉到添加屬性頁面,只能添加自定義屬性,填寫對應信息後點擊確定即可添加成功。
4.2.2.5.2刪除屬性
在帳號元數據列表右側🛝,點擊刪除按鈕,即可刪除元數據🙇🏽。只能刪除自定義屬性👩🏼🦰。
4.2.2.5.3編輯屬性
在帳號元數據列表右側,點擊編輯按鈕,即可編輯該條元數據👐🏽。只能編輯用戶屬性和自定義屬性💆♀️,其中用戶屬性只能修改是否顯示狀態。
4.2.2.6帳號統計
用戶需要了解平臺內帳號概要情況,包括帳號增加、刪除、修改和密碼修改的情況。同時期望能夠直觀看出帳號變化的趨勢⛺️。如一周內各天的帳號變化情況🩻。
點擊“帳號統計”按鈕,可以查看帳號添加👨🏽✈️、帳號修改⛹🏽♀️、帳號刪除👨👩👧👦、帳號密碼修改的統計圖,默認為本周的記錄統計,還可以分別查詢本月🦹♂️、本季度、本年的統計圖。
通過點擊統計圖⛹️,可以查看當前統計項的詳細記錄。在詳細記錄頁面,可以根據條件進行查詢🙋🏿。
也可以通過下拉框,直接顯示出某種操作的詳細記錄列表。
4.2.3功能3——認證管理
4.2.3.1認證應用
用戶需要控製全校所有的要集成並應用身份管理平臺帳號的系統🤜。對於每個要求集成的系統👴🏻,均需要擁有一個特殊的應用帳號😏,以達到集成目的🙋🏼。
4.2.3.1.1查詢認證應用
還可以根據條件進行查詢🐄:
4.2.3.1.2添加認證應用
當有新系統需要與身份管理平臺進行集成時,點擊“添加應用”按鈕:
出現以下界面‼️,其中
應用名稱:建議用中文名稱🤜🏻。
應用URL🎖:為應用的訪問地址。
屬性:表示應用能獲取到的ldap屬性。
填寫完成後點擊“提交”按鈕, 即可添加應用。
4.2.3.1.3刪除認證應用
在認證應用列表頁面,點擊右側刪除圖標⛹️♀️,即可刪除掉該條應用。
4.2.3.1.4編輯認證應用
在認證應用列表頁面😱🕺🏻,點擊右側編輯圖標🕣,即可編輯該條應用。
4.2.3.2認證統計
4.2.3.2.1認證概況
用戶需要了解當前平臺所有帳號的認證情況☆,包括各個時間段認證成功的數量和認證失敗的數量📐。需要看到帳號認證行為的趨勢🏋🏻♀️。
上面2個區域默認為當天認證系統成功和失敗的統計圖,下面2個區域默認為本周認證系統成功和失敗的統計圖,上圖為了方便演示,將下面兩個時間改為本月內💅👩🦼➡️。
可以選擇時間⛹️,查詢某一天的認證成功或失敗的統計圖🥲:
可以通過點擊統計圖表⚔️,查詢所選時間的統計項的詳細記錄。
4.2.3.2.2認證記錄
用戶需要了解某個特定時間段內發生的認證行為的細節,包括哪個帳號在哪個時間點發生了認證,認證的結果是成功還是失敗,這個目的可通過查詢認證記錄實現🚍。
默認為當天的所有認證記錄🤹🏿♀️。
可以輸入查詢條件進行查詢,包括認證賬號、認證IP🤐,認證結果以及起始時間等條件,下圖修改了起始時間⛓,查詢2013年1月7日至2013年1月22日的信息⤴️:
4.2.4功能4——授權管理
4.2.4.1群組授權
4.2.4.1.1群組樹
授權管理,左側為群組樹,點擊某一群組,右側頁面顯示該組中的帳號列表。
4.2.4.1.2刪除人員
在群組樹中選中要刪除人員的組🐋,然後在右側帳號列表的復選框中選中要刪除的人員,點擊“批量刪除”按鈕。
也可以直接點擊列表右側的刪除圖標🧔🏿♂️,單個刪除人員。
4.2.4.1.3添加人員
在群組樹中選中要刪除人員的組👨🦳,點擊“添加人員”按鈕。
在帳號列表中復選框選中需要添加的人員💆🪼,點擊“保存人員”按鈕🧍,即可將用戶添加到該組👼。
也可以點擊列表右側的添加圖標,將用戶單個添加到該組。
4.2.4.1.4添加應用
在群組樹中選中要添加應用的組,點擊“認證應用授權列表”標簽,然後點擊“添加應用”按鈕👨🏽🚒,設置對應信息後點擊確定🌌,即可將應用添加到該組🤹🏻♀️。
4.2.4.2用戶授權
用戶授權界面可以實現對某個用戶的應用授權⛩。
4.2.4.2.1添加應用
在左側用戶列表中選中需要添加應用的用戶,點擊右側的“添加應用”按鈕,填寫對應的內容,點擊確定即可將應用授權給該用戶。
可以輸入查詢條件進行查詢,帳號和姓名支持模糊查詢,如👩🏽🦲🎪:
4.2.4.2.2刪除應用
在左側用戶列表中選中需要添加應用的用戶,點擊右側的“批量刪除”按鈕👩💻,即可將應用授權從該用戶中刪除。也可以點擊右側刪除圖標單個刪除應用授權。
4.2.4.3批量授權
點擊批量授權界面進入此界面👧🏻,可以通過Excel將用戶批量加入到指定組,或者批量從指定組中移除用戶。使用方法可參照功能批量操作-批量操作。
4.2.4.4授權統計
統計某個時間段內💅,帳號加入組和從組中移出帳號的操作情況📣。
統計選項下拉框選擇賬號入組👨🏽🦲🏈。
統計選項下拉框選擇賬號出組。
4.2.5功能5——審計管理
4.2.5.1帳號審計
帳號審計包括4類問題帳號的審計,它們是休眠帳號、孤兒帳號👶🏼、帳號密碼強度不符合要求的帳號和不符合規範的帳號🏺。
4.2.5.1.1休眠帳號
所謂休眠帳號,即N天內沒有認證過的帳號🟨,可幫助管理員發現廢棄的帳號🤏🏽。這裏的N可以靈活定義。
點擊“XX個休眠帳號”👰🏻✸,可查看休眠帳號的詳情:
點擊“自定義”可以設置休眠帳號的規則,即對N天進行設置:
4.2.5.1.2孤兒帳號
所謂孤兒帳號🧰,即沒有創建來源的帳號👩🏽🍼,我們認為這些帳號沒有屬主,因此叫孤兒帳號🧏🏿♀️。
點擊頁面上“XX個孤兒帳號”即可查到所有的孤兒帳號詳情,且可以進行搜索。
4.2.5.1.3密碼強度不符合要求的帳號
所謂密碼強度不符合要求📣,即指帳號的密碼強度小於平臺對其的規定(密碼策略),如,平臺要求某帳號的密碼策略是“中”🌗,但是該帳號密碼的強度是“弱”🧟♀️,則該帳號將被審計出來👭。
點“XX個帳號密碼強度不符合要求”😨,可查看密碼強度不符合要求帳號的詳細記錄🫶,可以輸入查詢條件進行查詢:
4.2.5.1.4不符合規範的帳號
所謂帳號不符合規範,即指帳號的命名規則或帳號的長度不符合摩臣2的要求。如,摩臣2中並不存在長度為5的帳號🤱🏼,如果某個帳號為5,則會被審計出來:
這裏的帳號規範定義可設置🤳🏿:
說明:
帳號長度——定義全校帳號的各種長度,不符合這個長度要求的帳號將被審計出來。如本例,定義賬號的長度為16位、4位或者6位🔹,除此以外的賬號長度都不合規範,會被審計出來。
帳號起始——定義全校帳號的各種起始字符串🙆🏼♂️🪮,不符合這個起始字符串要求的帳號將被審計出來✡︎。如本例,賬號起始字符串要求是0715,testg🍶,fd🧩,33,test🤵🏽。
【註意】帳號規範定義可以為空🔡,這樣平臺就不再審計不符合規範的帳號。
4.2.5.2認證審計
認證審計通過分析平臺內所有帳號的認證記錄,對可能存在的問題提出審計👩🏽🎓。
4.2.5.2.1惡意認證帳號
所謂“惡意認證帳號”是指🤜,某個帳號用戶名密碼正確,能夠成功認證🤾🏽。但是👂🏻,該帳號內一天發起的認證次數過多,有惡意攻擊以消耗服務資源的嫌疑🧘。點擊“XX個惡意認證帳號”可查看惡意認證帳號的詳情,且可根據條件查詢帳號,同時可以自定義成功認證次數的上限值。
惡意認證帳號的認定規則可以自定義,如圖:
4.2.5.2.2暴力密碼猜解帳號
所謂暴力密碼猜解帳號是指一天內認證失敗的次數超過N次的帳號,這裏的N可以自定義。我們認為這樣的帳號有猜解密碼的可能性。點擊“XX個暴力密碼猜解帳號”,可以查看暴力密碼猜解帳號的詳情,且可根據條件進行帳號過濾。暴力密碼猜解帳號的判斷標準(即N的值)可以自定義:
4.2.5.2.3惡意認證IP
所謂惡意認證IP,即某個IP地址發出的認證請求超過N(N可自定義)。我們認為這樣的IP地址有惡意攻擊服務器的可能性,故將其審計出來。可以點擊“XX個惡意認證IP”來看查看惡意認證IP的詳情,可通過如下方式修改N的定義:
4.2.5.3授權審計
授權審計可查出有關組的問題,包括空組的個數和無組帳號的個數🧑🏻🤝🧑🏻。我們認為空組意味著這個組沒有用處,而帳號不屬於任何組也不符合高校的業務場景。
4.2.5.3.1空組
點擊“XX個空組”🤽🏼♂️🚶,會在頁面的下方顯示空組帳號的詳細記錄🧑🏼💼,可以輸入查詢條件進行查詢:
4.2.5.3.2無組帳號
點擊“XX個無組帳號”👨🔧,會在頁面的下方顯示無組帳號的詳細記錄,可以輸入查詢條件進行查詢👪:
4.2.5.4差異審計
由於身份數據在後臺分別存儲在LDAP和關系數據庫中,因此理論上存在數據不一致的情況🧏🏼,即LDAP中的數據和關系型數據中的數據存在差異。
差異審計功能即是為了找出數據的差異。該差異數據並非實時得到,而是由後臺任務按照規定的時間計算得到的,目的是為了避免在系統繁忙時消耗系統資源𓀇🏌🏿♀️。對於任務的執行時間🧑🏿🦰,可以靈活配置,通常都設置在淩晨為宜🧎♀️➡️↔️。
【註意】配置差異審計的執行時間請與授權審計的執行時間錯開🏌🏼♂️👩🦯,一般錯開時間為2小時👩❤️💋👩。
4.2.5.4.1LDAP丟失帳號
點擊“XX個LDAP丟失帳號”可審計出數據庫中存在👨🏿🔬,而LDAP中不存在的帳號:
選中目標帳號,點擊“消除差異”按鈕📎,可將這些只存在於數據庫中的帳號刪除,已達到消除差異的目的。
4.2.5.4.2數據庫丟失帳號
點擊“XX個數據庫丟失帳號”,可審計出LDAP中存在,但數據庫中不存在的帳號:
選中目標帳號,點擊“消除差異”按鈕,可將這些只存在於LDAP中的帳號加入至數據庫中,從而達到消除差異的目的。
4.2.6功能6——監控管理
4.2.6.1總體狀態
總體狀態可讓用戶了解當前平臺運行的健康狀況,看是否存在問題。如果配置了服務器,會顯示它們在一定時期內的總體狀態🦹🏼♀️🥯、CPU、內存,硬盤、會話的統計圖🥇,默認顯示當天的統計信息:
4.2.6.2服務器狀態
用戶可了解服務器的歷史狀態情況👸🏼,包括磁盤空間、CPU使用率和內存使用率以及時發現問題。如果配置了多個服務器🧳🙎🏻,則會在頁面中分別顯示配置的服務器狀態,包括CPU、內存和硬盤的使用率:
可查看服務器狀態的歷史數據👨🏻🦱,在狀態選項中選擇“查看歷史數據”🫷🏿,會出現以下頁面(沒有配置的服務器則不會顯示)🏌️:
4.2.6.3會話狀態
4.2.6.4監控配置
監控需要進行一些初始化配置,也可以進行一些配置調整🚣🏽♂️。配置項包括監控服務器設置、監控時間配置和告警閥值配置。
4.2.6.4.1監控服務器配置
點擊監控服務器配置🍜,出現以下頁面:
點擊某服務器右側編輯圖標,進入監控配置編輯頁面𓀒,如下圖所示。
也可以點擊添加服務器,但是被添加的服務器需要部署監控系統👩🏼✈️🛀🏿。添加服務器界面如下圖所示。
4.2.6.4.2監控時間配置
點擊“監控時間配置”:
出現以下頁面💼:
【說明】
是否自動運行:選中代表啟動後臺監控功能,不選中代表不啟動監控功能。默認是選中的🤨。
開始時間🧪:指多少分鐘後開始執行監控任務😶。
間隔時間:每隔多少分鐘監控一次,即獲取一次監控數據🖇🏂🏻。以默認的五分鐘為宜🚽。
定時監控的數據將會被存到數據庫🌠🤽🏼♂️,配置完成後點擊提交即可。
4.2.6.4.3告警閥值配置
點擊“告警閥值配置”:
出現以下頁面:
【說明】
CPU告警閥值:當服務器的CPU使用率超過該值時,系統認為CPU使用不正常。
內存告警閥值🚵🏼:當服務器的內存使用率超過該值時,系統認為內存使用不正常。
磁盤告警閥值:當服務器的磁盤使用率超過該值時,系統認為磁盤使用不正常🎅。
4.2.7功能7——系統管理
4.2.7.1操作日誌
4.2.7.1.1查詢操作日誌
默認是查詢所有日誌記錄:
可以輸入查詢條件進行查詢:
4.2.7.1.2刪除日誌
為避免系統存儲的操作日誌過多,平臺允許管理員刪除某段時間內的操作日誌。點擊操作日誌列表頁面的“刪除日誌”。
在刪除日誌對話框中,選擇開始時間和結束時間,點擊“確定”按鈕,即可刪除該時間內的操作日誌🍺。
4.2.7.1.3日誌遷移配置
為了提高常用日誌查詢的速度☯️,身份管理平臺的操作日誌分為最近日誌和歷史日誌👆🏿,可通過日誌遷移配置設置近期日誌的保存天數,以及將日誌從最近日誌遷移到歷史日誌的任務執行時間。
點擊“日誌遷移配置”按鈕,設置最近日誌保存天數和開始時間值後,點擊確定即可完成設置。下圖中的設置表示最近日誌保存365天以內的日誌,並且在每天的2點🚴🏼♂️,系統自動將最近日誌中365天以外的數據遷移到歷史日誌中。
4.2.7.2歷史日誌
歷史日誌中的數據來源自歷史日誌表🥵,歷史日誌表的數據量可能會非常大,所以查詢歷史日誌的效率一般比操作日誌慢。歷史日誌頁面的查詢方式與操作日誌相似。
4.2.7.3配置管理
4.2.7.3.1密碼策略定義
對於不同的應用場景,對密碼策略的定義有不同的需求,通過密碼策略自定義可以靈活滿足不同應用場景🚯。可以對密碼強度🏛:弱,中🎈,強進行定義。
4.2.7.3.2自助服務設置
自助服務設置,顧名思義就是配置自助服務系統內的一些功能及顯示,主要配置項包括顯示屬性🕒、郵箱設置和退出設置💯。
通過超級管理帳號(admin)或者系統管理員帳號進入身份管理平臺💁🏼♀️,點擊“系統”菜單,選擇“自助服務設置”功能項:
系統配置
4.2.7.4應用帳號
應用帳號用於創建和編輯連接ldap的帳號,目前提供只讀和讀寫2種權限🕵🏿♂️。
5常見問題處理
6附錄
== 文檔結束 ==