用户访问控制工具包

用户访问控制测试分析机器人工具包是一种用于监控用户访问控制的“分析即服务”解决方案。它将 Active Directory、人力资源管理系统和其他应用程序(如 SAP、Oracle 和 Salesforce)中的用户列表进行比较。

工具包是一个预配置的解决方案,适用于大多数客户。部署后,您可以在我们发布新脚本时使用新脚本更新分析机器人工具包。通过添加自定义脚本来优化工具包,您可以进一步自定义。导入的数据可以输出到结果应用程序或 Excel 文件。

说明

用户访问控制测试分析机器人不支持下列应用程序:

  • Analytics Exchange (AX)
  • 用于生产目的的机器人应用程序云代理
  • 自定义分析和数据源
  • 除 Excel/结果应用程序输出以外的任何报告

系统和订阅要求

请确保您满足下列订阅和系统要求,以使用用户访问控制测试分析机器人工具包。

要求 说明
ACL Robotics 企业版 机器人工具包以插件的形式提供

本地部署机器人代理版本 15

验证要安装的版本 - Unicode 版或非 Unicode 版
ACL for Windows 版本 15
  • 请确保该安装使用与机器人代理相同的编码(Unicode 或非 Unicode)。
  • 拥有 ACL for Windows 的本地安装可能有助于排错或开发自定义脚本。
源应用程序的数据集成机器人 请确保源应用程序的数据集成机器人已被成功部署到您的组织中并且当前正在运行。

关于工具包

该工具包会在 Diligent One 中安装多个组件。

组件 计数 名称
集合 2

用户访问控制测试分析 - 开发模式

用户访问控制测试分析 - 生产模式
分析

2

 用户访问控制测试分析(每个集合一个)
机器人 1 用户访问控制测试分析
分析表 10 有关详细信息,请参阅用户访问控制测试分析

User Access Controls Testing Analysis Robot (用户访问控制测试分析机器人)

用户访问控制测试分析机器人在该工具包被安装时自动创建。该机器人包含下列内容:

  • 分析脚本 - 包含用于导入和处理数据的核心脚本。

    说明

    您不应该修改分析脚本。修改这些脚本可能导致在运行任务的过程中失败。任何必需的修改都应该在用户分析配置文件中进行配置或者作为自定义分析脚本上传。

  • (可选)自定义分析脚本 - 被手动上传以向该机器人增加新的客户特定分析功能或者进行数据逻辑更改的脚本。这些脚本优先于默认的分析脚本,应该予以仔细地审核。

  • 配置文件 - 在下表中列出的所有配置文件都在该机器人的输入/输出选项卡中提供。

    文件名 描述 众数
    UA_Default_
    Analytic_Configuration.xlsx

    包含默认配置

    说明

    您不应该修改此文件。修改该文件可能导致在运行任务的过程中失败。任何必需的修改都应该在用户分析配置文件中进行配置或者作为自定义分析脚本上传。

    		 由该机器人自动生成
    Result_Table_IDs.csv 在各自的开发集合和生产集合中包含被导出至结果应用程序的表的目的地。

    由该机器人自动生成
    User Analytic Configuration file (用户分析配置文件)

    包含必须覆盖在默认分析配置文件中提供的配置的自定义配置。

    此文件中的配置优先于默认分析配置文件中的输入。

    说明:如果自定义超出用户分析配置文件的功能,则可以添加一个自定义脚本。

    		 在实施该工具包时手动上传

  • 机器人任务 - 执行该机器人内的默认和自定义脚本,并且包含以下信息。

    参数 描述
    Export to HighBond Results? (导出至 HighBond 结果应用程序吗?)

    指定是否将所导入的数据导出至结果应用程序。可用的选项如下所示:

    • 导出至结果应用程序 - 覆盖 - 每当数据被导出时覆盖结果应用程序表中的数据。
    • 导出至结果应用程序 - 附加 - 将数据附加至结果应用程序表。
    • 不导出 - 不将数据导出至结果应用程序。
    导出至 Excel 吗?

    指定是否将当前结果导出至 Excel 文件。可用的选项如下所示:

    • 导出到 Excel
    • 不导出
    HighBond 访问令牌

    连接到结果应用程序所需的令牌。如果导出至结果应用程序的功能被禁用,则可以为此参数提供任何随机值。

已链接表

来自数据集成机器人的必需的共享表被链接到用户访问控制测试分析机器人的输入/输出选项卡。当分析机器人任务运行时,它从所链接的表中拉取数据并使用其处理所定义的核心分析逻辑。

说明

您可以创建多个分析机器人并只链接必需的表,以便分隔专用任务或任务集的机器人。

用户访问控制测试分析

下表中列出了用户访问控制测试工具包的分析。

错误日志记录

在运行任务的过程中检测到的任何错误都被记录到各个分析的错误日志表。如果记录计数是 0,则错误消息会被写入错误日志表。

提示

请在任务运行之后审核错误日志,即使该分析未返回异常也是如此,以确保该表未被标记为包含 0 个记录。例如,如果该文件的格式不正确,则来自用户分析配置文件的用户输入参数可能被忽略。

每个分析完成的工作

分析名称 描述
UA01AD_No_
Expiry_Passwords

此分析报告其密码被设置为不过期的 Active Directory 账户。此类账户由 UserAccountControl 域中的特定值标识。结果同时包括已启用的和已禁用的账户。

UserAccountControl 域的默认值被作为参数保持在默认分析配置文件中。如果您向分析中添加其他报告域,则继续使用 Member 域的数据准备和分析脚本可能生成记录长度错误,尤其是在与 UNICODE 机器人代理一起使用的时候。

v_no_expiry 是一个位于默认分析配置文件Default_Config_Params 工作表中且可供此分析使用的默认参数。如果该默认参数不适用或者不完整,您可以在用户分析配置文件中声明必需的值。请确保您遵循默认分析配置文件中的格式和命名规范。您可以使用空格分隔格式,每个单个值前后不要带任何引号,而是将整个字符串放在双引号中。

此分析的结果表是 R_UA01AD_No_Expiry_Passwords
UA02AD_Active_
Default_Accounts

此分析将一系列用户定义默认账户与 Active Directory 中的用户表进行匹配,并且报告其默认账户看起来处于活动状态(已启用)的用户。要分析的默认账户通常是与访问特权相关联的预定义账户。

结果中会显示上次设置该密码的日期以及自上次重置该密码以来经过的天数。只有已启用的账户被基于 UserAccountControl 域中的值包括在该分析中。

Account_List 是一个位于默认分析配置文件PARAM_AD_Default_Accounts 工作表中且可供此分析使用的默认参数。如果该默认参数不适用或者不完整,您可以在用户分析配置文件中声明必需的值。请确保您遵循默认分析配置文件中的格式和命名规范。

说明

为了在 Active Directory 用户表和默认账户之间进行联接,从 RDN 域中除去 CN= 或其他前缀。因此,提供参数表中的默认账户名称时必须不带 CN= 或其他前缀(例如,将该值提供为 Administrator 而不是 CN=Administrator)。

此分析的结果表是 R_UA02_AD_Active_Default_Accounts
UA02UNIX_Active_
Default_Accounts

此分析将一系列用户定义默认账户与 /etc/Passwd 中的 User_Name 域进行匹配,并且报告那些看起来处于活动状态(已启用)的账户。要分析的默认账户通常是与访问特权相关联的预定义账户。

结果中会显示上次设置该密码的日期以及自上次重置以来经过的天数。结果中只报告活动(已启用)账户。该分析所标记的任何非活动(已禁用)账户都被在结果中排除。

说明

此分析需要文件 /etc/shadow。如果此文件在所使用的 UNIX 版本中不存在,您可能需要添加一个自定义分析脚本以测试已启用账户的状态。如果 etc/shadow 存在,则可能需要一个自定义脚本,但其已禁用或已锁定密码的编码不同。

Account_List 是一个位于默认分析配置文件PARAM_UNIX_Default_Accounts 工作表中且可供此分析使用的默认参数。如果该默认参数不适用或者不完整,您可以在用户分析配置文件中声明必需的值。请确保您遵循默认分析配置文件中的格式和命名规范。

此分析的结果表是 R_UA02UNIX_Active_Default_Accounts
UA03ORCL_Oracle_
AD_Mismatch

此分析识别其活动 Oracle ERP 用户账户无法匹配活动的 Active Directory 用户账户的实例。它排除其电子邮件地址是 nobody@localhost 的 Oracle 用户账户。

此分析的结果表是 R_UA03ORCL_Oracle_AD_Mismatch
UA03SAP_SAP_AD_
Mismatch

此分析识别其活动 SAP ERP 用户账户无法匹配活动的 Active Directory 用户账户的实例。SAP ERP 数据集成机器人按用户类型 ‘A'(对话)或 'C’(通信)过滤源表 USR02

此分析的结果表是 R_UA03SAP_SAP_AD_Mismatch
UA03SF_SF_AD_
Mismatch

此分析识别其活动 Salesforce CRM 用户账户无法匹配活动的 Active Directory 用户账户的实例。活动 Salesforce 用户账户由域 IsActive 中的值 T 标识。

此分析的结果表是 R_UA03SF_SF_AD_Mismatch
UA04AD_NonAdmin_
特权

此分析将与管理特权相关联的关键 Active Directory 组的成员与包含被授予此类访问权限的用户账户的用户维护参数表进行比较。结果中将报告这些关键组中未被列为授权管理用户的成员。

当前支持嵌套组,并且该分析只分析表 Group 中的 Member 域。

参数表 PARAM_AD_Auth_Admin_Users 列出的管理用户账户被视为 PARAM_AD_Critical_Groups 中列出的所有特权组进行授权。此分析当前不支持测试对特定组的访问权限。

Active Directory 导入流程对要导入的最大字符数设置限额。某些成员列表的长度可能超过此字符限额,可能被截断。Error_Log 表列出受此限额影响的组。

默认分析配置文件PARAM_AD_Critical_GroupsPARAM_AD_Auth_Admin_Users 工作表中有两个可供此分析使用的默认参数。如果默认参数不适用或者不完整,您可以在用户分析配置文件中声明必需的值。请确保您遵循默认分析配置文件中的格式和命名规范。

  • Group_List、NonAdmin_Privilege - 您可以添加所有适用特权组的 sAMAccountName,即使它们已被列在默认表中。

  • RDN - 添加所有授权管理用户账户的 RDN。

此分析的结果表是 R_UA04AD_NonAdmin_Privilege
UA04UNIX_NonAdmin_
特权

此分析将有关访问关键安全组的活动 UNIX 用户账户与包含被授予此类访问权限的用户账户的用户维护参数表进行比较。结果中将报告这些关键组中未被列为授权管理用户的成员。

说明

该参数表可能包含虚构的用户账户,以便在样本数据模式下运行时创建异常。建议您审核默认参数表结果以验证数据。

结果中只报告活动(已启用)账户。该分析所标记的任何非活动(已禁用)账户都被从结果中排除。其状态无法确定的账户被在结果中列为未确定

默认分析配置文件PARAM_UNIX_Auth_Admin_Users 工作表中有两个可供此分析使用的默认参数。如果默认参数不适用或者不完整,您可以在用户分析配置文件中声明必需的值。请确保您遵循默认分析配置文件中的格式和命名规范。

  • Source_System - 如果正在分析单个系统,则可以使此域保持空白。

  • Account_Group - 添加所有授权管理用户账户的 RDN。

此分析的结果表是 R_UA04AD_NonAdmin_Privilege
UA05AD_Multiple_
账户

此分析报告具有多个活动账户的 Active Directory 用户。管理用户可能拥有单独的账户以执行管理操作,而常规用户可能没有多个账户。您可以使用此分析的输出验证非预期用户不具有多个活动账户,如在系统实施过程中创建的测试账户、默认系统账户或者继承的账户。

此分析的结果可进一步用于验证管理用户具有单独的活动账户以执行他们的管理和日常操作。

此分析的结果表是 R_UA05AD_Multiple_Accounts
UA06UNIX_Root_
权限

此分析报告在 UNIX 环境中具有根(超级用户)权限的用户。它包括两个部分,并组合为单个结果表:

  • 对于 UID 测试 - 标识其 UID 为 0 的所有用户名

  • 对于 GID 测试 - 标识其 GID 为 0 的所有用户名

此分析的结果表是 R_UA06UNIX_Root_Privileges