身分識別監管和管理 (IGA) 是一項服務,可讓您的企業取得稽核線索和認證的資料,並幫助組織擁有者即時管理自助服務存取請求、核准、違反和 API Token。

IGA 服務附帶兩組功能:基本和進階。它僅適用於具有聯盟網域的組織。

透過在組織中使用 IGA 服務,VMware Cloud Services 使用者能夠執行以下操作:

如果您是 使用基本 IGA 使用進階 IGA
組織擁有者
  • Cloud Services Console 中的身分識別與存取管理 > 監管頁面存取 IGA 儀表板。
  • 啟用或停用組織成員提交自助服務請求以請求其他角色的功能。
  • 透過管理傳入的組織和服務角色請求,以監管對組織中服務的存取權。
  • 監控違規並立即回應威脅。
  • 在連結到企業身分識別提供者的任何啟用了監管的組織中上線服務。
組織成員

如何在我的組織中啟用「身分識別監管和管理」進階功能

如果您的網域已聯盟,則可以為聯盟網域中的所有組織啟用其他「身分識別監管和管理」(IGA) 進階功能。

啟用組織中的進階 IGA 功能需要下列項目:

如需有關企業聯盟的詳細資訊,請參閱設定與 VMware Cloud Services 的企業聯盟

啟用進階 IGA 功能後,非組織成員可以在上線期間請求連結組織中的組織和服務角色存取權。若要進一步瞭解此功能,請參閱如何使用聯盟帳戶上線

如何管理對其他角色的自助服務請求

身為已啟用身分識別監管和管理 (IGA) 組織的組織擁有者,您可以透過 Cloud Services Console 中的監管 > 請求頁面管理組織和服務角色請求。

只有在組織中啟用了用於提交自助服務請求的選項時,組織成員才能使用此選項。

如果已啟用其他角色請求,則組織成員可透過以下方法請求存取權... 如果未啟用其他角色請求...
按一下 Cloud Services 目錄中服務動態磚上的請求存取權連結。 無法按下服務動態磚上的請求存取權連結。
按一下我的帳戶 > 我的角色頁面上的請求角色連結。 我的帳戶 > 我的角色頁面上不顯示請求角色連結。

如何啟用或停用自助服務請求

若要啟用或停用對組織中其他角色的自助服務請求,請執行以下操作:
  1. 移至監管 > 請求,然後按一下設定
  2. 按一下其他角色請求滑桿以啟用或停用該設定。
  3. 按一下儲存

如何處理擱置中的請求?

組織和服務角色存取權的所有傳入請求均會列於擱置中的請求區段中。過去的請求可讓您檢視在組織中建立的所有請求的歷史資料。

若要核准或拒絕請求,請在擱置中的請求清單中選取一或多個項目,然後按一下相應的按鈕。請求角色存取權的使用者會在請求獲得核准或拒絕時收到電子郵件通知。

是否可以在核准存取請求之前進行修改?

身為組織擁有者,您可以修改組織成員請求的服務角色存取權的期間。您可以按一下 請求識別碼連結來檢視原始請求的期間。若要變更請求的期間,請按一下 核准,然後選取 核准並修改。變更設定並提交您進行的變更。
備註: 核准並修改選項僅適用於服務角色存取請求,不適用於組織角色。

組織擁有者無法修改組織成員最初請求的服務或角色存取權。如果您要向請求者提供有關您願意核准之適當存取層級的指引,可以選擇在拒絕其請求時包含訊息。請求者會收到電子郵件通知,並可以使用適當的組織和服務角色提交新的存取權請求。

如何監控組織中違反原則的行為

身為啟用了身分識別監管和管理 (IGA) 的組織中的組織擁有者,您可以監控組織中的使用者登入以及使用 OAuth 應用程式和 API Token 進行登入的存取違規。您可以定義和修改觸發違規的原則。

您可以透過為 Oauth 應用程式和 API Token 啟用各種觸發,例如非作用中的 API Token、非作用中的 OAuth 擁有者、廣泛的服務範圍、OAuth 應用程式不安全或未經核准的 URI,為已啟用 IGA 的組織中的登入設定違規原則。
備註: 如果啟用了「來源網域」驗證原則,則對於從原則設定不允許的網域執行的所有登入嘗試,都會擷取使用者存取違規。

程序

  1. 使用您的公司帳戶登入 Cloud Services Console
  2. 導覽至身分識別與存取管理 > 監管 > 違規
  3. 按一下設定
  4. 在開啟的違規設定頁面中,適當地修改 OAuth 應用程式和 API Token 的設定。
  5. 按一下儲存

結果

違規儀表板會重新整理,以根據新設定顯示違規。

儀表板上的資訊將每日更新。

如何對組織中違反原則的行為採取動作

身為監控違規的啟用了身分識別監管和管理 (IGA) 的組織擁有者,您可以針對在組織中發現的違規採取動作。您可以透過導覽到身分識別與存取管理 > 監管 > 違規,存取完整的違規清單。

在組織中擷取的違規按登入 VMware Cloud Services 時使用並觸發違規的驗證方法類型進行分組。按一下相應的索引標籤可檢視完整清單以及您可以對違規採取的可行因應措施。
  • OAuth 應用程式索引標籤顯示觸發違規的應用程式的名稱、嚴重性、說明以及建立 OAuth 應用程式的組織成員的電子郵件。
  • API Token 索引標籤顯示觸發違規的 API Token 的名稱、嚴重性、說明以及建立 API Token 的組織成員的電子郵件。
  • 使用者存取索引標籤顯示登入嘗試觸發違規的組織成員的電子郵件、嚴重性、發生違規的日期以及發生違規的來源網域。對於從「來源網域」驗證原則不允許的任何網域進行的登入嘗試,將擷取使用者存取違規。如需詳細資訊,請參閱 如何在網域層級管理使用者存取權
下表說明了可對組織中的違規採取的動作。
若要... 執行下列動作...
變更違規的可見度 此動作會將違規的可見度狀態從作用中變更為已隱藏。此動作不會刪除違規,且可以還原。
  1. 找到要隱藏的違規,然後按一下相應的雙箭頭 (雙箭頭圖示) 以展開其詳細資料。
  2. 選取要隱藏的作用中違規旁邊的核取方塊。
  3. 按一下隱藏

    該違規不再顯示在詳細資料區段中。

顯示隱藏的違規 此動作將顯示狀態為已隱藏的違規。
  • 展開違規的詳細資料區段,然後開啟顯示全部切換按鈕。將顯示已隱藏的所有違規。
從組織中移除 OAuth 應用程式 此動作將移除 OAuth 應用程式,並阻止其存取組織。OAuth 應用程式不會刪除,但不會進一步報告此應用程式的違規。移除動作無法從違規頁面還原 - 若要監控此 OAuth 應用程式的違規,必須再次將其新增至組織。
  1. 違規頁面上,開啟 OAuth 應用程式索引標籤。
  2. 找到要移除的應用程式。
  3. 選取名稱旁邊的核取方塊。
  4. 按一下移除
編輯違規的嚴重性 根據您組織的需求,可以為任何違規準則定義嚴重性。
  1. 違規頁面中,按一下設定
  2. 使用嚴重性下拉式功能表變更要修改的每個違規準則的設定。
  3. 按一下儲存