Kit di strumenti per i controlli degli accessi utente

Il kit di strumenti del robot dell'analisi dei testing di controllo degli accessi utente è una soluzione Analytics-as-a-Service per monitorare i controlli degli accessi utente. Confronta gli elenchi degli utenti in Active Directory, nei sistemi di gestione delle risorse umane e in altre applicazioni come SAP, Oracle e Salesforce.

Il kit di strumenti è fornito come soluzione preconfigurata che è applicabile alla maggior parte dei clienti. Una volta implementato, puoi aggiornare il kit di strumenti del robot di analisi con nuovi script man mano che li rilasciamo. Puoi personalizzarlo ulteriormente aggiungendo script personalizzati per raffinare il kit di strumenti. I dati importati possono essere esportati in file Risultati o Excel.

Nota

Il robot dell'analisi dei testing di controllo degli accessi utente non supporta quanto segue:

  • Analytics Exchange (AX)
  • Agente cloud dei robot per propositi di produzione
  • Analisi e origini di dati personalizzate
  • Qualsiasi creazione di rapporti diversa dagli output di Excel/Risultati

Requisiti di sistema e sottoscrizione

Assicurarsi di soddisfare i seguenti requisiti di sistema e sottoscrizione per poter utilizzare il kit di strumenti del robot dell'analisi dei testing di controllo degli accessi utente.

Requisito Note
Edizione ACL Robotics Enterprise I kit di strumenti del robot sono disponibili come componenti aggiuntivi

Agente Robot on-premise versione 15

Verificare la versione da installare: Unicode o non Unicode
ACL per Windows versione 15
  • Assicurarsi che l'installazione utilizzi la stessa codifica di Agente Robot (Unicode o non Unicode).
  • Disporre di un'installazione in locale di ACL per Windows può essere utile per la risoluzione dei problemi o per lo sviluppo di script personalizzati.
Robot d'integrazione dati per l'applicazione di origine Assicurarsi che il robot d'integrazione dati per l'applicazione di origine sia stato distribuito correttamente nell'organizzazione e sia attualmente in esecuzione.

Informazioni sul kit di strumenti

Con il kit di strumenti si possono installare diversi componenti in Diligent One.

Componente Conteggio Nome
Raccolta 2

Analisi dei testing di controllo degli accessi utente - Modalità di sviluppo

Analisi dei testing di controllo degli accessi utente - Modalità di produzione
Analisi

2

 Analisi dei testing di controllo degli accessi utente (una per raccolta)
Robot 1 Analisi dei testing di controllo degli accessi utente
Tabelle di analisi 10 Per maggiori informazioni, consultare Analisi per il testing di controllo degli accessi utente.

Robot dell'analisi dei testing di controllo degli accessi utente

Quando viene installato il kit di strumenti, viene automaticamente creato il robot dell'analisi dei testing di controllo degli accessi utente. Questo robot contiene quanto segue:

  • Script di analisi: contiene gli script principali per importare ed elaborare i dati.

    Nota

    Gli script di analisi non devono essere modificati. Eventuali modifiche possono causare malfunzionamenti durante l'esecuzione delle attività. Qualsiasi modifica necessaria deve essere configurata nel file di configurazione dell'analisi utente oppure caricata come script di analisi personalizzati.

  • (Facoltativo) Script di analisi personalizzati: script che vengono caricati manualmente per aggiungere al robot nuove capacità di analisi orientate al cliente oppure per eseguire modifiche logiche dei dati. Questi script hanno la precedenza su quelli di analisi predefiniti e devono essere revisionati attentamente.

  • File di configurazione: tutti file di configurazione elencati nella tabella seguente sono disponibili nella scheda Input/Output del robot.

    Nome del file Descrizione Modalità
    UA_Default_
    Analytic_Configuration.xlsx

    Contiene configurazioni predefinite

    Nota

    Questo file non deve essere modificato. Eventuali modifiche possono causare malfunzionamenti durante l'esecuzione delle attività. Qualsiasi modifica necessaria deve essere configurata nel file di configurazione dell'analisi utente oppure caricata come script di analisi personalizzati.

    		 Generato automaticamente dal robot
    Result_Table_IDs.csv Contiene le destinazioni per le tabelle esportate in Risultati all'interno delle rispettive raccolte Sviluppo e Produzione.

    Generato automaticamente dal robot
    File di configurazione dell'analisi utente

    Contiene configurazioni personalizzate che devono sovrascrivere le configurazioni fornite nel file di configurazione dell'analisi predefinito.

    Le configurazioni contenute in questo file hanno la precedenza sugli input contenuti nel file di configurazione dell'analisi predefinito.

    NOTA: se le personalizzazioni superano le capacità del file di configurazione dell'analisi utente, è possibile aggiungere uno script personalizzato.

    		 Caricato manualmente durante l'implementazione del kit di strumenti

  • Attività del robot: esegue gli script predefiniti e personalizzati nel robot e contiene le seguenti informazioni.

    Parametro Descrizione
    Esportare in Risultati di HighBond?

    Specificare se si desidera esportare i dati importati in Risultati. Le opzioni disponibili sono le seguenti:

    • Esporta in Risultati - Sovrascrivi: sovrascrive i dati nelle tabelle dei risultati ogni volta che vengono esportati.
    • Esporta in Risultati - Aggiungi: aggiunge i dati alle tabelle dei risultati.
    • Non esportare: non esporta i dati in Risultati.
    Esportare in Excel?

    Specificare se si desidera esportare o meno i risultati attuali in un file Excel. Le opzioni disponibili sono le seguenti:

    • Esporta in Excel
    • Non esportare
    Token di accesso Diligent One

    Token necessario per la connessione a Risultati. Se l'esportazione in Risultati è disabilitata, si può inserire un valore casuale per questo parametro.

Tabelle collegate

Le tabelle necessarie e condivise dai robot d'integrazione dati sono collegate al robot dell'analisi dei testing di controllo degli accessi utente nella scheda Input/Output. Quando è in esecuzione, l'attività del robot dell'analisi estrae i dati dalle tabelle collegate e li usa per elaborare la logica dell'analisi principale definita.

Nota

È possibile creare più robot dell'analisi e collegare solo le tabelle necessarie per assegnare i robot ad attività o a insiemi di attività specializzate.

Analisi per il testing di controllo degli accessi utente

Le analisi per il testing di controllo degli accessi utente sono elencate nella tabella seguente.

Registrazione degli errori

Tutti gli errori rilevati durante l'esecuzione dell'attività vengono registrati nella tabella Log di errore per ciascuna analisi. Se il conteggio del record è pari a 0, viene scritto un messaggio di errore nella tabella Log di errore.

Consiglio

Per assicurarsi che la tabella non venga segnalata con 0 record, occorre revisionare il log di errore dopo l'esecuzione dell'attività anche se l'analisi non ha restituito eccezioni. Per esempio, i parametri di immissione utente dal file di configurazione dell'analisi utente possono essere ignorati se il file non è formattato correttamente.

Attività delle varie analisi

Nome dell'analisi Descrizione
UA01AD_No_
Expiry_Passwords

Questa analisi segnala agli account Active Directory le password impostate per non scadere. Questi account sono identificati da valori specifici nel campo UserAccountControl. I risultati comprendono account abilitati e non abilitati.

I valori predefiniti per il campo UserAccountControl vengono mantenuti come parametro nel file di configurazione dell'analisi predefinito. Se si aggiungono all'analisi ulteriori campi di creazione di rapporti, la preparazione dei dati e gli script di analisi che portano avanti il campo Member possono generare errori di lunghezza del record, specialmente quando vengono utilizzati con Agenti robot UNICODE.

v_no_expiry è un parametro predefinito disponibile per questa analisi nel foglio di lavoro Default_Config_Params del file di configurazione dell'analisi predefinito. Se il parametro predefinito non è applicabile o non è completo, è possibile dichiarare i valori obbligatori nel file di configurazione dell'analisi utente. Assicurarsi di seguire le convenzioni relative al formato e alla denominazione come indicato nel file di configurazione dell'analisi predefinito. Attorno a ciascun valore individuale è possibile utilizzare un formato delimitato da spazi senza virgolette e racchiudere l'intera stringa tra doppi apici.

La tabella dei risultati per questa analisi è R_UA01AD_No_Expiry_Passwords.
UA02AD_Active_
Default_Accounts

Questa analisi abbina un elenco di account predefiniti definiti dall'utente alla tabella Utente in Active Directory e segnala gli utenti con account predefiniti che sembrano essere attivi (abilitati). Gli account predefiniti che devono essere analizzati sono di solito account predefiniti associati a un accesso privilegiato.

Nei risultati vengono visualizzati il numero di giorni che sono passati dall'ultima reimpostazione della password e la data in cui è stata impostata la password per l'ultima volta. Nell'analisi vengono inclusi solo gli account abilitati in base al valore contenuto nel campo UserAccountControl.

Account_List è un parametro predefinito disponibile per questa analisi nel foglio di lavoro PARAM_AD_Default_Accounts del file di configurazione dell'analisi predefinito. Se il parametro predefinito non è applicabile o non è completo, è possibile dichiarare i valori obbligatori nel file di configurazione dell'analisi utente. Assicurarsi di seguire le convenzioni relative al formato e alla denominazione come indicato nel file di configurazione dell'analisi predefinito.

Nota

Il campo RDN viene privato di CN= o di altri prefissi per l'associazione tra la tabella Utente di Active Directory e gli account predefiniti. Quindi, i nomi degli account predefiniti nella tabella dei parametri devono essere inseriti senza CN= o prefissi (per esempio, occorre inserire il valore come Amministratore e non come CN=Amministratore).

La tabella dei risultati per questa analisi è R_UA02_AD_Active_Default_Accounts.
UA02UNIX_Active_
Default_Accounts

Questa analisi abbina un elenco di account predefiniti definiti dall'utente al campo User_Name nel file /etc/Passwd e segnala gli utenti che sembrano essere attivi (abilitati). Gli account predefiniti che devono essere analizzati sono di solito account predefiniti associati a un accesso privilegiato.

Nei risultati vengono visualizzati il numero di giorni che sono passati dall'ultima reimpostazione e la data in cui è stata impostata la password per l'ultima volta. Nei risultati vengono segnalati solo gli account attivi (abilitati). Tutti gli account inattivi (disabilitati) contrassegnati dall'analisi vengono esclusi nei risultati.

Nota

Questa analisi richiede il file /etc/shadow. Se il file non è presente nella versione di UNIX utilizzata, potrebbe essere necessario aggiungere uno script di analisi personalizzato per testare lo stato dell'account abilitato. Potrebbe essere necessario uno script personalizzato se esiste il file etc/shadow, ma la sua codifica per le password disabilitate o bloccate è diversa.

Account_List è un parametro predefinito disponibile per questa analisi nel foglio di lavoro PARAM_UNIX_Default_Accounts del file di configurazione dell'analisi predefinito. Se il parametro predefinito non è applicabile o non è completo, è possibile dichiarare i valori obbligatori nel file di configurazione dell'analisi utente. Assicurarsi di seguire le convenzioni relative al formato e alla denominazione come indicato nel file di configurazione dell'analisi predefinito.

La tabella dei risultati per questa analisi è R_UA02UNIX_Active_Default_Accounts.
UA03ORCL_Oracle_
AD_Mismatch

Questa analisi identifica le istanze in cui gli account utente Oracle ERP non possono essere abbinati a un account utente Active Directory attivo. Esclude gli account utente Oracle il cui indirizzo e-mail è nobody@localhost.

La tabella dei risultati per questa analisi è R_UA03ORCL_Oracle_AD_Mismatch.
UA03SAP_SAP_AD_
Mismatch

Questa analisi identifica le istanze in cui gli account utente SAP ERP non possono essere abbinati a un account utente Active Directory attivo. Il robot d'integrazione dati SAP ERP filtra la tabella di origine USR02 per tipo di utente ‘A' (Dialogo) o 'C’ (Comunicazione).

La tabella dei risultati per questa analisi è R_UA03SAP_SAP_AD_Mismatch.
UA03SF_SF_AD_
Mismatch

Questa analisi identifica le istanze in cui gli account utente Salesforce CRM non possono essere abbinati a un account utente Active Directory attivo. Gli account utente Salesforce attivi vengono identificati dal valore T nel campo IsActive.

La tabella dei risultati per questa analisi è R_UA03SF_SF_AD_Mismatch.
UA04AD_NonAdmin_
Privilegio

Questa analisi confronta i membri di gruppi Active Directory critici associati a privilegi amministrativi con una tabella di parametri mantenuta dall'utente e contenente gli account utente autorizzati a tale accesso. Nei risultati vengono segnalati i membri di questi gruppi critici che non sono elencati come utenti amministrativi autorizzati.

Attualmente, i gruppi annidati sono supportati e l'analisi analizza solo il campo Member in Gruppo della tabella.

Gli account utente amministrativi elencati nella tabella dei parametri PARAM_AD_Auth_Admin_Users sono considerati autorizzati per tutti i gruppi privilegiati elencati in PARAM_AD_Critical_Groups. Attualmente, il testing per l'accesso a un gruppo specifico non è supportato da questa analisi.

Il processo di importazione di Active Directory imposta un limite al numero massimo di caratteri da importare. La lunghezza di alcuni elenchi di membri può superare questo limite di caratteri e può essere troncata. Nella tabella Log di errore sono elencati i gruppi interessati da questa limitazione.

Due parametri predefiniti sono disponibili per questa analisi nei fogli di lavoro PARAM_AD_Critical_Groups e PARAM_AD_Auth_Admin_Users del file di configurazione dell'analisi predefinito. Se i parametri predefiniti non sono applicabili o non sono completi, è possibile dichiarare i valori obbligatori nel file di configurazione dell'analisi utente. Assicurarsi di seguire le convenzioni relative al formato e alla denominazione come indicato nel file di configurazione dell'analisi predefinito.

  • Group_List, NonAdmin_Privilege: è possibile aggiungere il campo sAMAccountName di tutti i gruppi privilegiati applicabili anche se non sono già elencati nella tabella predefinita.

  • RDN: aggiungere il campo RDN di tutti gli account utente amministrativi autorizzati.

La tabella dei risultati per questa analisi è R_UA04AD_NonAdmin_Privilege.
UA04UNIX_NonAdmin_
Privilegio

Questa analisi confronta gli account utente UNIX attivi con accesso a gruppi di sicurezza critici con una tabella di parametri mantenuta dall'utente e contenente gli account utente autorizzati a tale accesso. Nei risultati vengono segnalati i membri di questi gruppi critici che non sono elencati come utenti amministrativi autorizzati.

Nota

La tabella dei parametri può contenere account utente fittizi per creare eccezioni quando viene eseguita in modalità dati di esempio. Si consiglia di revisionare i risultati della tabella dei parametri predefiniti per verificare i dati.

Nei risultati vengono segnalati solo gli account attivi (abilitati). Tutti gli account inattivi (disabilitati) contrassegnati dall'analisi vengono esclusi dai risultati. Gli account il cui stato non può essere determinato sono elencati come Non determinato nei risultati.

Due parametri predefiniti sono disponibili per questa analisi nel foglio di lavoro PARAM_UNIX_Auth_Admin_Users del file di configurazione dell'analisi predefinito. Se i parametri predefiniti non sono applicabili o non sono completi, è possibile dichiarare i valori obbligatori nel file di configurazione dell'analisi utente. Assicurarsi di seguire le convenzioni relative al formato e alla denominazione come indicato nel file di configurazione dell'analisi predefinito.

  • Source_System: è possibile lasciare questo campo vuoto se viene analizzato un singolo sistema.

  • Account_Group: aggiungere il campo RDN di tutti gli account utente amministrativi autorizzati.

La tabella dei risultati per questa analisi è R_UA04AD_NonAdmin_Privilege.
UA05AD_Multiple_
Accounts

Questa analisi segnala gli utenti Active Directory con più account attivi. Mentre gli utenti amministrativi possono avere account separati per le operazioni amministrative, gli utenti normali non possono avere account multipli. È possibile utilizzare l'output di questa analisi per verificare che gli utenti indesiderati non abbiano più account attivi, come ad esempio gli account di prova creati durante le implementazioni del sistema, gli account di sistema predefiniti o gli account ereditati.

I risultati di questa analisi possono essere utilizzati inoltre per verificare che gli utenti amministrativi dispongano di account attivi separati per le operazioni amministrative e quotidiane.

La tabella dei risultati per questa analisi è R_UA05AD_Multiple_Accounts.
UA06UNIX_Root_
Privileges

Questa analisi segnala gli utenti con privilegi root (Superutente) in un ambiente UNIX. Comprende due parti, combinate in un'unica tabella dei risultati:

  • Per il testing UID: identifica tutti i nomi utente con UID pari a 0

  • Per il testing GID: identifica tutti i nomi utente con GID pari a 0

La tabella dei risultati per questa analisi è R_UA06UNIX_Root_Privileges.