Sun Java System Identity Manager 6.0 2005Q4M3 管理指南 |
4
管理
本章介绍在 Identity Manager 系统中执行一系列管理级任务的信息和步骤,例如:
了解 Identity Manager 管理Identity Manager 管理员是具有扩展 Identity Manager 权限的用户。您可以建立 Identity Manager 管理员来管理:
Identity Manager 通过以下内容的分配区分管理员和用户:
委托管理
在多数公司内,执行管理任务的雇员具有特定职责和其他多种职责。在很多情况下,管理员需要执行对其他用户或管理员“公开”或者有限定范围的帐户管理任务。
例如,管理员可能只负责创建 Identity Manager 用户帐户。由于该责任的有限范围,管理员可能不需要有关用于创建用户帐户的资源或者系统中存在的角色或组织的特定信息。
Identity Manager 仅允许管理员“查看”和管理特定的、定义范围内的那些对象,以此来支持职责的划分和此委托管理模型。
Identity Manager 通过下列措施实现将单独系统活动委托给管理员的功能:
了解 Identity Manager 组织组织允许您:
通过创建组织并将用户分配到组织分层结构中的不同位置,可以设置委托管理的阶段。包含一个或多个其他组织的组织称为父组织。
所有 Identity Manager 用户(包括管理员)被静态分配给一个组织。用户还可以被动态地分配到其他组织。
Identity Manager 管理员被额外分配给控制组织。
创建组织
在 Identity Manager“帐户”区域创建组织。要创建组织:
将用户分配给组织
每个用户都是一个组织的静态成员,并且可以是多个组织的动态成员。组织成员资格由以下内容确定:
以下示例显示如何设置能够动态控制组织的用户成员资格的用户成员规则。
注 有关在 Identity Manager 中创建和使用规则的信息,请参见《Identity Manager 部署工具》。
关键定义和包含项
- 对于出现在 "User Member Rule" 选项框中的规则,其 authType 必须设置为 authType=’UserMembersRule’。
- 该环境是目前已验证的 Identity Manager 用户的会话。
- 已定义的变量 (defvar) 'Astros players' 为 Windows Active Directory ou 'Houston Astros' 成员的每位用户获取 dn。
- 对于找到的每位用户,附加逻辑会将 'Houston Astros' ou 的每位成员用户的 dn 与前缀为冒号的 Identity Manager 资源的名称(例如 ":dogbreath-AD")连接在一起。
- 返回的结果将是与格式为 "<dn>:dogbreath-AD" 的 Identity Manager 资源名称连接的 dn 列表。
用户成员规则示例
<Rule name='Get Astros players'
authType='UserMembersRule'>
<defvar name='Astros players'>
<block>
<defvar name='player names'>
<list/>
</defvar>
<dolist name='users'>
<invoke class='com.waveset.ui.FormUtil'
name='getResourceObjects'>
<ref>context</ref>
<s>User</s>
<s>dogfish-AD</s>
<map>
<s>searchContext</s>
<s>OU=Houston Astros,DC=dev-ad,DC=waveset,DC=com</s>
<s>searchScope</s>
<s>subtree</s>
<s>searchAttrsToGet</s>
<list>
<s>distinguishedName</s>
</list>
</map>
</invoke>
<append name='player names'>
<concat>
<get>
<ref>users</ref>
<s>distinguishedName</s>
</get>
<s>:dogbreath-AD</s>
</concat>
</append>
</dolist>
<ref>player names</ref>
</block>
</defvar>
<ref>Astros players</ref>
</Rule>
分配组织控制
从“创建用户”或“编辑用户”页分配一个或多个组织的管理控制。选择 Security 表单选项卡显示 "Controlled Organizations" 字段。
您还可以从“管理员角色”字段分配一个或多个管理员角色,从而分配组织的管理控制。
了解目录连接和虚拟组织目录连接是与分层相关的一组组织,它镜像目录资源的实际层级容器集合。目录资源通过使用层级容器来使用层级名称空间。目录资源示例包括 LDAP 服务器和 Windows Active Directory 资源。
目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织,并且还镜像目录资源容器中的一个容器(已定义资源的基本环境容器的子容器)。
图 3. Identity Manager 虚拟组织
目录连接可以在任一点被连接到现有 Identity Manager 组织结构中。但是,目录连接不能连接到现有目录连接之内或之下。
如果已将目录连接添加到 Identity Manager 组织树中,就可以在该目录连接的环境中创建或删除虚拟组织。此外,您可以随时刷新由目录连接组成的虚拟组织集,以确保虚拟组织集与目录资源容器保持同步。不能在目录连接内创建非虚拟组织。
可以采用与 Identity Manager 组织一样的方法,使 Identity Manager 对象(例如用户、资源和角色)成为虚拟组织的成员,并且可用于虚拟组织。
设置目录连接
从 Identity Manager“帐户”区域设置目录连接:
刷新虚拟组织
此过程从所选组织向下刷新虚拟组织并使之与相关目录资源重新同步。在列表中选择虚拟组织,然后在 "Organization Actions" 列表中选择 "Refresh Organization"。
删除虚拟组织
删除虚拟组织时,可以从两个删除选项中选择:
选择其中一个选项,然后单击删除。
创建管理员可通过扩展 Identity Manager 用户的权能“创建”Identity Manager 管理员。创建或编辑用户时,可以通过下列方法为该用户提供管理控制:
要授予用户管理权限,请选择 Accounts 转至 Identity Manager "Accounts" 区域,然后选择 Security 表单选项卡。
选择一个或多个选项,以建立管理控制:
- Controlled Organizations――选择一个或多个组织。该管理员可以控制选定组织中的对象以及在分层结构中处于该组织之下的任何组织中的对象。管理员控制的范围由分配给他的权能进一步定义。必须在此区域进行选择。
- User Form――选择此管理员在创建和编辑 Identity Manager 用户时将使用的用户表单(如果分配了该权能)。如果不直接分配用户表单,管理员将继承已分配给其所属组织的用户表单。此处选定的表单会取代在该管理员组织内选定的任何表单。
- Forward Approval Requests To――选择一个用户,所有暂挂批准请求都要转发到该用户。还可以从 "Approvals" 页进行此管理员设置。
图 4. 创建管理员
过滤管理员视图
将用户表单分配给组织和管理员,即可建立用户信息的特定管理员视图。在两个级别设置对用户信息的访问:
- 组织――创建组织时,分配该组织内的所有管理员在创建并编辑 Identity Manager 用户时使用的用户表单。任何在管理员级设置的表单都会覆盖在此设置的表单。如果没有为管理员或组织选择表单,Identity Manager 会继承为父组织选择的表单。如果未在父组织设置表单,Identity Manager 会使用在系统配置中设置的默认表单。
- 管理员――分配用户管理权能时,可以将用户表单直接分配给管理员。如果未分配表单,管理员会继承分配给其组织的表单(或者,在没有为该组织设置表单时继承在系统配置中设置的默认表单)。
注 第 5 章“配置”介绍了您可以分配的内置 Identity Manager 权能。
更改管理员密码
管理员密码可以由分配了管理密码更改权能的管理员进行更改,或由管理员拥有者更改。
管理员可以在下列位置更改其他管理员密码:
管理员可从“密码”区域更改自己的密码。选择 Passwords,然后选择 Change My Password 以访问自服务密码字段。
注 应用于帐户的 Identity Manager 帐户策略决定密码限制条件,例如密码到期日期、重设选项和通知选择。其他密码限制条件可以按照在管理员的资源中设置的密码策略设置。
验明管理员操作
您可以设定一个选项,以要求管理员在处理特定帐户变更前输入其 Identity Manager 登录密码。如果密码无效,则该帐户操作不能继续。
支持此选项的 Identity Manager 页为:
按如下所示在 account/modify.jsp 页中设置此选项:
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");
其中,该选项的值是包含以下一个或多个用户视图属性名称的列表(以逗号分隔):
按如下所示在 admin/changeUserPassword.jsp 和 admin/resetUserPassword 页中设置此选项:
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");
其中,选项值可以是 true 或 false。
更改验证问题回答
使用“密码”区域更改已经为帐户验证问题设置的回答。在菜单栏中,选择 Passwords,然后选择 Change My Answers。
有关验证的详细信息,请参见“用户验证”。
自定义在管理员界面中显示的管理员名称
可以在 Identity Manager 管理员界面页和区域上按属性(例如,电子邮件或全名)而不是按帐户 ID 来显示 Identity Manager 管理员。其中包括:
要配置 Identity Manager 以使用显示名称,可将以下内容添加到 UserUIConfig 对象:
<AdminDisplayAttribute>
<String>"attribute_name"</String>
</AdminDisplayAttribute>例如,要使用电子邮件属性作为显示名称,可将其添加到 UserUIconfig:
<AdminDisplayAttribute>
<String>email</String>
</AdminDisplayAttribute>
批准用户被添加到 Identity Manager 系统后,作为批准者分配给新帐户的管理员必须对帐户创建进行验证。Identity Manager 支持适用于这些 Identity Manager 对象的三类批准:
设置批准者
为上述每一类批准设置批准者都是可选的,但建议进行此类设置。对于在其中设置批准者的每个类别,帐户创建都至少需要一个批准。如果一个批准者拒绝批准请求,则不会创建帐户。
可以将多个批准者分配给各个类别。因为一个类别内只需要一个批准,所以可设置多个批准者,以帮助确保不会延迟或停止工作流。如果一个批准者不可用,则其他批准者可用于处理请求。批准仅适用于帐户创建。默认情况下,帐户更新和删除不需要批准;但是,可以自定义此过程以要求批准。
Identity Manager 以工作流程图的方式说明了帐户创建请求的批准过程和状态。可以通过使用“业务进程编辑器”(Business Process Editor, BPE) 自定义工作流,以更改批准流程、捕获帐户删除并捕获更新。
有关 BPE、工作流和更改批准工作流的说明示例的详细信息,请参见《Identity Manager 工作流、表单和视图》。
图 5. 帐户创建工作流