配置

本章介绍使用“管理员界面”设置 Identity Manager 对象的信息和步骤。

了解角色

什么是角色？

Identity Manager 角色定义在其中管理帐户的资源的集合。使用角色可概要描述一类用户，从而将具有相似特征的 Identity Manager 用户划分为一组。

可将每个用户分配到一个或多个角色，或者不分配到角色。所有分配给某个角色的用户都共享访问相同基本资源组的权限。

所有与某个角色相关的资源都会间接地分配给相应用户。间接分配不同于直接分配，在直接分配中，资源是专为用户选定的。

当您创建或编辑角色时，Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中，并允许您在创建或保存该角色前插入批准或其他操作。

您可通过“管理员界面”的“创建用户”和“编辑用户”页将角色分配给用户。

创建角色

编辑已分配的资源属性值

在“创建角色”页上，单击“分配的资源”区域中的设置属性值，以显示分配给该角色的每个资源的属性列表。在此“编辑”属性页中，可以为每个属性指定新值，并确定如何设置属性值。Identity Manager 允许直接设置值，或使用一个规则来设置值；它还提供用于覆盖或合并现有值的一些选项。

编辑角色

查找角色

使用“查找角色”区域搜索角色。该搜索功能将返回一列与搜索条件匹配的角色。

克隆角色

可以利用现有角色的选项创建新角色。为此，请执行以下操作：

重命名角色

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下，同步时资源被分配给角色。这适用于与任务一起创建的角色，同时也适用于现有的、与某个资源角色名匹配的 Identity Manager 角色。

在菜单栏中，选择 Tasks，然后选择 Run Tasks，以访问 Synchronize Identity Manager Roles with Resource Roles 任务页。

了解资源

什么是资源？

Identity Manager 资源存储关于如何连接到在其中创建帐户的资源或系统的信息。Identity Manager 资源定义有关某个资源的相关属性，并帮助指定资源信息如何在 Identity Manager 中显示。

资源区域

资源按类型分组，它按照已命名的文件夹显示在列表中。要展开层次视图并查看当前已定义的资源，请单击文件夹旁的指示符。再次单击该指示符可折叠视图。

当展开资源类型文件夹后，它会动态更新并显示包含的资源对象数量（如果它是支持多个组的资源类型）。

从资源列表中选择一个对象，然后从以下某个选项列表中进行选择，以启动一个管理任务：

当您创建或编辑资源时，Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中，并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

从资源列表中可以选择要创建的资源，而该列表可从“管理员界面”的“配置”区域管理。从 Resource Type Actions 选项列表中选择 Configure Managed Resources，以选择要用于填充资源列表的资源。

创建资源

自定义资源	资源类
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory ActiveSync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustManagerResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financials	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

可使用资源向导创建资源。资源向导将引导您完成创建 Identity Manager 资源适配器的过程，以管理资源上的对象。

使用下一步和上一步在页间移动。完成所有选择后，单击保存以保存该资源，并返回到列表页。

管理资源

可以通过资源列表在资源上执行一系列编辑操作。除了在每个“资源向导”页上编辑权能外，还可以：

使用帐户属性

Identity Manager 资源使用模式映射定义来自外部资源的属性（资源帐户属性）的名称和类型；然后它们将上述属性映射到标准 Identity Manager 帐户属性。通过建立模式映射（在“资源向导”的“帐户属性”页上），可以：

要访问这些值，请从资源列表中选择资源，然后从 Resource Actions 列表中选择 Edit Resource Schema。

模式映射的左列（标题为 Identity System User Attribute）包含 Identity Manager 帐户属性的名称，这些名称由 Identity Manager 的 Administrator 和 User 界面中使用的表单所引用。模式映射的右列（标题为“资源用户属性”）包含来自外部源的属性名称。

通过定义 Identity System 属性名称，来自不同资源的属性可以用公共名称定义。例如，在 Active Directory 资源上，Identity Manager 中的 lastname 属性被映射到 Active Directory 资源属性 sn；在 GroupWise 上，fullname 属性可以映射到 GroupWise 属性 Surname。这样，管理员仅需要填写一次 lastname 的值；当保存用户后，该值将传递给具有不同名称的资源。

资源组

使用资源区域还可以管理资源组，使您可以对资源进行分组，以按特定顺序更新这些资源。通过在组中加入资源并对资源排序，然后将组分配给用户，可确定创建、更新和删除该用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败，则其余资源不会被更新。这种关系类型对相关资源很重要。

例如，Exchange 5.5 资源依赖于现有的 Windows NT 或 Windows Active Directory 帐户：在可以成功创建 Exchange 帐户之前，其中之一必须存在。通过使用 Windows NT 资源和 Exchange 5.5 资源（按顺序）创建资源组，可以确保创建用户时的顺序正确。反过来，此顺序可以确保删除用户时资源按正确顺序删除。

选择 Resources，然后选择 List Resource Groups 以显示当前定义的资源组列表。在该页单击新建以定义资源组。定义资源组时，有一个选项区域允许您在选择资源后对所选资源排序，并可以选择可以使用该资源组的组织。

了解 ChangeLog

阅读本节中有关 Identity Manager ChangeLog 功能的信息以及有助于配置和使用 ChangeLog 的过程。

什么是 ChangeLog？

通过 ChangeLog 可以查看 Identity Manager 资源中包含的身份属性信息。每个 ChangeLog 都定义为捕获对身份属性子集的更改。

随着资源中属性数据的更改，ActiveSync 适配器将捕获更改信息，然后将其写入 ChangeLog。然后，专为与企业资源进行交互而开发的自定义脚本将读取 ChangeLog 并更新资源。

使用 ChangeLog 可以通过自定义脚本间接与来自置备系统的资源进行通信，因而 ChangeLog 功能与 Identity Manager 的标准资源活动同步和协调功能有所不同。

ChangeLog 与安全

Identity Manager 的 ChangeLog 功能需要本地文件系统中指定目录的写入权限。默认情况下，某些 Web 容器不允许本地文件系统访问其托管的 Web 模块（如 Identity Manager）。

可以通过编辑 Java 策略文件来授予访问权限。如果将 /tmp/changelogs 用作上述指定目录，策略文件应该包含：

grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

编辑该文件可能就已足够；但是，如果使用自己的文件（而非默认文件），则服务器运行时将使用诸如以下所示的选项：

在这种情况下，编辑由 java.security.policy 系统属性标识的文件。

ChangeLog 功能要求

配置身份属性

使用以下信息和过程可以配置身份属性并选择要应用身份属性的 Identity System 应用程序。

使用身份属性

要配置身份属性，请选择 Configure，然后从 Identity Manager Administrator 界面中选择 Identity Attributes。将显示 Identity Attributes 页。

要添加身份属性，请单击 Add Attribute。将身份属性添加到列表中后，可以通过在列表中单击其名称予以编辑。要删除一个或多个身份属性，请选中相应属性，然后单击 Remove Selected Attributes。

选择应用程序

使用 Enabled Applications 区域选择要应用身份属性的 Identity System 应用程序。从 Available Applications 区域中选择一个或多个应用程序，然后将其移至 Enabled Applications 区域。在单击 Save 后，操作才会生效。

添加和编辑身份属性

在 Add Identity Attributes 页或 Edit Identity Attributes 页中，进行以下选择以添加或编辑身份属性：

添加目标资源

删除目标资源

要删除一个或多个目标资源，请在列表中选择相应目标资源，然后单击 Remove Selected Targets。

导入身份属性

使用导入身份属性功能可以选择一个或多个要用于导入和填充身份属性值的表单。Identity Manager 将分析导入的表单值，然后通过“最佳猜测”推测出身份属性；但是，在导入后可能需要编辑身份属性。

配置 ChangeLog

可以通过创建 ChangeLog 策略和 ChangeLog 来配置 ChangeLog。每个 ChangeLog 都必须有关联的 ChangeLog 策略。ChangeLog 定义更改子集，其中的更改由 ActiveSync 检测到并通过身份属性来推送，应写入日志。与其关联的 ChangeLog 策略定义写入 ChangeLog 文件的方式。自定义脚本将使用 ChangeLog 文件。

要配置 ChangeLog 和 ChangeLog 策略，请选择 Configure，然后从 Administrator 界面菜单栏中选择 ChangeLogs。

Identity Manager 将显示 ChangeLog Configuration 页，其中有两个摘要区域。

ChangeLog 策略摘要

ChangeLog policies 摘要区域显示当前已定义的 ChangeLog 策略。要编辑现有 ChangeLog 策略，请在列表中单击其名称。要创建新 ChangeLog 策略，请单击 Create Policy。

要删除一项或多项 ChangeLog 策略，请在列表中选择相应的策略，然后单击 Remove Policy。（无需确认即可执行此操作。）

ChangeLog 摘要

ChangeLog 摘要区域显示当前已定义的 ChangeLog。要编辑现有 ChangeLog，请在列表中单击其名称。要创建新 ChangeLog，请单击 Create ChangeLog。

要删除一个或多个 ChangeLog，请在列表中选择相应的 ChangeLog，然后单击 Remove ChangeLog。（无需确认即可执行此操作。）

保存对 ChangeLog 配置的更改

必须在 ChangeLog Configuration 页中保存对 ChangeLog 配置（即 ChangeLog 策略或定义的 ChangeLog）进行的所有更改。单击 Save 保存更改并返回至 Identity Manager Configure 页。

创建和编辑 ChangeLog 策略

在 Edit ChangeLog Policy 页上输入内容或进行选择，可以创建或编辑 ChangeLog 策略：

单击 OK 可以返回至 ChangeLog Configuration 页。必须在 Configuration 页中单击 OK 才能保存新 ChangeLog 策略或对现有策略的更改。

创建和编辑 ChangeLog

在 Edit ChangeLogs 页中输入内容和进行选择，可以创建或编辑 ChangeLog：

单击 OK 可以返回至 ChangeLog Configuration 页。必须在 Configuration 页中单击 OK 才能保存新 ChangeLog 或对现有 ChangeLog 的更改。

示例

请查看此示例，其中详细说明了如何设置身份属性和用于捕获属性数据特定集合的 ChangeLog。

示例：定义身份属性

在此示例中，两个 Identity Manager 资源（资源 1 和资源 2）向第三个资源（资源 3）提供源数据。资源 3 未与 Identity Manager 系统直接连接。需要建立一个 ChangeLog，以便从资源 1 和资源 2 送往资源 3 的数据中拉取并维护一个数据子集。

示例：配置 ChangeLog

在定义身份属性之后定义名为 PhoneList ChangeLog 的 ChangeLog。该 ChangeLog 用于将身份属性子集写入 ChangeLog 文件。

PhoneList ChangeLog 中的 ChangeLogView

资源 1 或资源 2 中的记录发生更改时，系统会将 ChangeLog 记录（来自身份属性的所有数据）的整个数据集合（不只是更改）写入该 ChangeLog。自定义脚本将读取该信息并用其填充资源 3。

CSV 文件格式

对于 ChangeLog 写入的以逗号分隔值 (comma-separated value, CSV) 文件，阅读本节可以了解有关其格式的信息。

请考虑由行和列构成的 ChangeLog 文件，如电子表格或数据库表。每“行”就是文件中的一行。

ChangeLog 格式使用前两行描述其自身。这两行共同定义“模式”，即表中每个“单元”（行中逗号之间的值）的逻辑名称和逻辑类型。

第一行指定文件中属性的名称。第二行描述属性值的类型。其他行显示更改事件的所有数据。

列

文件中的第一列具有特殊意义。此列用于定义操作类型；例如，更改事件是创建操作、修改操作还是删除操作。该列的名称始终为 changeType，类型始终为 T（表示文本）。该列中的值为以下一种：ADD、MOD 或 DEL。

仅有一列中应显示条目的唯一标识符（主关键字），通常为文件中的第二列。

其他列仅用于命名属性。该名称是取自 ChangeLog View 表内的列名称值。

行

除定义文件“模式”的前两个标题行外，其余的行都显示属性的值。这些值按第一行中的列顺序显示。ChangeLog 从身份属性应用，因而包含在删除更改时有关用户的所有已知数据。

此外，其中没有表示 null（或未设置）的特殊标记值。如果检测到更改时没有发现值，ChangeLog 将写入一个空字符串。

文本值

文本值不能含有换行符。如果文件需要换行符，请使用二进制值类型。

二进制值

多文本值

多文本值的写入方式类似于文本值，但这种值以逗号分隔，两侧有方括号（使用 [ 和 ]）。

多二进制值

多二进制值的写入方式类似于二进制值（以 Base64 编码），但这种值也以逗号分隔，两侧有方括号（使用 [ 和 ]）。

格式设置示例

ChangeLog 文件名

配置轮转和序列

示例

该策略产生的文件名类似于以下名称。（其中每次轮转中都有两个序列文件。）

属性	<==	From Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstName	<==	EmployeeInfo.givename
lastName	<==	EmployeeInfo.surname
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + " " + middleInitial + " " + lastName
phoneNumber	<==	EmployeeInfo.phone

列名称	类型	身份属性
empId	Text	employee
fullname	Text	fullname
phone	Text	phoneNumber

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

可见，1 月 1 日有 3 次轮转，每次间隔 8 小时，从 07:00:00 开始。1 月 2 日与此类似，仅名称中与日 (20060102) 对应的部分不同。

编写 ChangeLog 脚本

了解策略

什么是策略？

Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的限制，对 Identity Manager 用户设置限制。

可在“策略”页创建和编辑 Identity Manager 策略。在菜单栏中选择 Configure，然后选择 Policies。在显示的列表页中，可以编辑现有策略和创建新的策略。

字典策略

字典策略使 Identity Manager 可以对照字词数据库检查密码，以确保密码不会轻易受到字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成，从而使利用字典也很难猜出在系统中生成或更改的密码。

字典策略扩展了能够用该策略进行设置的密码排除列表。（此列表是使用“管理员界面”密码“编辑策略”页中的“不得包含词”选项实现的。）

配置字典策略

实现字典策略

从 Identity Manager 策略区域实现字典策略。在“策略”页中单击以编辑密码策略。在“编辑策略”页中，选择“根据字典的词检查密码”选项。字典策略实现后，系统会根据字典来检查所有更改的或生成的密码。

了解权能

权能是 Identity Manager 系统中的权限组。权能代表管理作业职责（如重设密码或管理用户帐户）。每个 Identity Manager 管理用户都分配有一个或多个权能，这些权能提供了一组权限而不会损害数据保护。

并非所有 Identity Manager 用户都需要分配有权能；而只有那些要通过 Identity Manager 执行一项或多项管理操作的用户才需要。例如，使用户可以更改自己的密码并不需要为用户分配权能，但要更改其他用户的密码就需要分配权能。

分配的权能决定了您可以访问 Identity Manager 的“管理员界面”的哪些区域。所有 Identity Manager 管理用户都可以访问 Identity Manager 的一定区域，包括：

权能类别

内置权能（随 Identity Manager 系统提供的权能）是受保护的权能，即，不能对它们进行编辑。但是，可以在创建的权能中使用它们。

受保护的（内置）权能在列表中以红色钥匙（或红色钥匙和文件夹）图标指示。创建和可编辑的权能在权能列表中以绿色钥匙（或绿色钥匙和文件夹）图标指示。

使用权能

创建权能

编辑权能

要编辑未受保护的权能，请在列表中右键单击，然后选择编辑。

保存和重命名权能

您可以对这个新权能进行编辑，即使复制的权能是受保护的。

分配权能

权能分层结构

帐户管理员

管理员角色管理员

批量帐户管理员

批量更改帐户管理员

权能管理员

更改帐户管理员

导入/导出管理员

登录管理员

组织管理员

密码管理员（需要进行验证）

策略管理员

协调管理员

Remedy 集成管理员

报告管理员

资源管理员

资源对象管理员

资源密码管理员

角色管理员

安全管理员

查看组织

查看资源

Waveset 管理员

权能定义

下表说明了每个基于任务的权能并着重说明每个权能可访问的选项卡和子选项卡。

所有权能都授予用户或管理员访问更改我的密码和更改我的回答子选项卡（密码选项卡）的权限。


权能	管理员/用户可执行的操作：	访问这些选项卡和子选项卡：
帐户管理员	对用户执行所有操作，包括分配权能。不包括批量操作。	Accounts - List Accounts、Find Users、Extract to File、Load from File、Load from Resource 子选项卡密码 - 所有子选项卡批准 - 所有子选项卡任务 - 所有子选项卡
管理员报告管理员	创建、编辑、删除和运行管理员报告。	报告 - 管理报告、运行报告子选项卡（仅管理员报告）
管理员角色管理员	创建、编辑和删除管理员角色。	配置 - 管理员角色子选项卡
批准者	批准或拒绝其他用户发出的请求。	批准 - 所有子选项卡
分配用户权能	更改用户权能分配（分配和取消分配）。	帐户 - 列出帐户（仅编辑）、查找用户子选项卡。必须与另一个用户管理员权能一起分配（例如，“创建用户”或“启用用户”）。
审计报告管理员	创建、编辑、删除和运行审计报告。	报告 - 仅审计报告
批量帐户管理员	对用户执行常规和批量操作，包括分配权能。	帐户 - 所有子选项卡密码 - 所有子选项卡批准 - 所有子选项卡任务 - 所有子选项卡
批量更改帐户管理员	对现有用户执行除删除之外的常规和批量操作，包括分配权能。	帐户 - 列出帐户、查找用户、启动批量操作子选项卡。无法创建或删除用户。密码 - 所有子选项卡批准 - 所有子选项卡任务 - 所有子选项卡
批量更改用户帐户管理员	执行除删除现有用户之外的常规和批量操作。	Accounts - List Accounts、Find Users、Launch Bulk Actions 子选项卡无法创建、删除用户或向用户分配权能密码 - 所有子选项卡任务 - 所有子选项卡
批量创建用户	分配资源和启动用户创建请求（通过使用批量操作对单个用户执行操作）。	帐户 - 列出帐户（仅创建）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量删除用户	删除 Identity Manager 用户帐户；取消置备、取消分配资源帐户和解除其链接（针对各个用户并使用批量操作）。	帐户 - 列出帐户（仅创建）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量删除 IDM 用户	删除现有 Identity Manager 用户帐户（针对各个用户并使用批量操作）。	帐户 - 列出帐户（仅删除）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量取消置备用户	删除现有资源帐户并解除其链接（针对各个用户并使用批量操作）。	Accounts - List Accounts（仅取消置备）、Find Users、Launch Bulk Actions 子选项卡任务 - 所有子选项卡
批量禁用用户	禁用现有用户和资源帐户（通过使用批量操作对单个用户执行操作）。	帐户 - 列出帐户（仅禁用）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量启用用户	启用现有用户和资源帐户（通过使用批量操作对单个用户执行操作）。	帐户 - 列出帐户（仅启用）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量取消分配用户	取消分配现有资源帐户并解除其链接（针对各个用户并使用批量操作）。	Accounts - List Accounts（仅取消分配）、Find Users、Launch Bulk Actions 子选项卡任务 - 所有子选项卡
批量解除用户的链接	解除现有资源帐户的链接（针对各个用户并使用批量操作）。	Accounts - List Accounts（仅解除链接）、Find Users、Launch Bulk Actions 子选项卡任务 - 所有子选项卡
批量更新用户	更新现有用户和资源帐户（针对各个用户并使用批量操作）。	帐户 - 列出帐户（仅更新）、查找用户、启动批量操作子选项卡任务 - 所有子选项卡
批量用户帐户管理员	对用户执行所有常规和批量操作。	帐户 - 所有子选项卡密码 - 所有子选项卡任务 - 所有子选项卡
权能管理员	创建、修改和删除权能。	配置 - 权能子选项卡
更改帐户管理员	对现有用户执行除删除外的所有操作，包括分配权能。不包括批量操作	帐户 - 所有子选项卡。无法删除用户。密码 - 所有子选项卡批准 - 所有子选项卡任务 - 所有子选项卡报告 - 创建管理员和用户报告，运行和编辑管理员报告，运行组织范围内的审计日志报告。无法运行组织范围以外的管理员和用户报告。
更改活动同步资源管理员	更改活动同步资源参数	任务 - 查找任务，所有任务，运行任务子选项卡资源 - 对于活动同步资源：编辑操作菜单“编辑活动同步参数”
更改密码管理员	更改用户和资源帐户密码。	帐户 - 列出帐户、查找用户子选项卡（仅“更改密码”）密码 - 所有子选项卡任务 - 所有子选项卡仅导出密码扫描任务（从运行任务子选项卡）
更改密码管理员（需要进行验证）	成功确认用户的验证问题回答后更改用户和资源帐户密码。	帐户 - 列出帐户，查找用户子选项卡（仅更改密码，操作成功前需要进行验证）密码 - 所有子选项卡任务 - 所有子选项卡仅导出密码扫描任务（从运行任务子选项卡）
更改资源密码管理员	更改资源管理员帐户密码。	任务 - 所有子选项卡资源 - 列出资源子选项卡。仅更改资源密码（在操作菜单的管理连接--> 更改密码中）
更改用户帐户管理员	执行除删除现有用户之外的所有操作。不包括批量操作	Accounts - List Accounts、Find Users 子选项卡无法创建、删除用户或向用户分配权能密码 - 所有子选项卡任务 - 所有子选项卡
配置审计	配置在系统内审计的活动。	配置 - 审计事件子选项卡
控制活动同步资源管理员	控制活动同步资源状态（如启动、停止和刷新）。	任务 - 查找任务，所有任务，运行任务资源 - 对于活动同步资源：活动同步操作菜单（所有选项）
创建用户	分配资源和启动用户创建请求。不包括批量操作	帐户 - 列出帐户（仅创建）、查找用户子选项卡任务 - 所有子选项卡
删除用户	删除 Identity Manager 用户帐户；取消置备、取消分配资源帐户和解除其链接。不包括批量操作。	帐户 - 列出帐户（仅删除）、查找用户子选项卡任务 - 所有子选项卡
删除 IDM 用户	删除 Identity Manager 用户帐户。不包括批量操作。	帐户 - 列出帐户（仅删除）、查找用户子选项卡任务 - 所有子选项卡
取消置备用户	删除现有资源帐户并解除其链接。不包括批量操作。	Accounts - List Accounts（仅取消置备）、Find Users 子选项卡任务 - 所有子选项卡
禁用用户	禁用现有用户和资源帐户。不包括批量操作	帐户 - 列出帐户（仅禁用）、查找用户子选项卡任务 - 所有子选项卡
启用用户	启用现有用户和资源帐户。不包括批量操作	帐户 - 列出帐户（仅启用）、查找用户子选项卡任务 - 所有子选项卡
导入用户	从定义的资源导入用户。	帐户 - 提取到文件、从文件加载、从资源加载子选项卡
导入/导出管理员	导入和导出所有类型的对象。	配置 - 导入交换文件子选项卡
许可证管理员	设置 Identity System 产品许可证	通过此权能可以使用 lh license 命令。（但无法使用 Administrator 界面。）
登录管理员	编缉给定登录界面的登录模块集。	配置 - 登录子选项卡
组织管理员	创建、编辑和删除组织。	帐户 - 列出帐户子选项卡（仅编辑和创建组织和目录连接，删除组织）
密码管理员	更改和重设用户和资源帐户密码。	帐户 - 列出帐户（仅列出、更改和重设密码）、查找用户子选项卡密码 - 所有子选项卡任务 - 所有子选项卡
密码管理员（需要进行验证）	成功确认用户的验证问题回答后更改和重设用户和资源帐户密码。	帐户 - 列出帐户（仅列出、更改和重设密码；操作成功前需要进行验证）、查找用户子选项卡密码 - 所有子选项卡任务 - 所有子选项卡
策略管理员	创建、编辑和删除“策略”。	配置 - 策略子选项卡
协调管理员	编辑协调策略和控制协调任务。	任务 - 所有子选项卡（查看协调任务）资源 - 列出资源子选项卡
协调报告管理员	创建、编辑、删除和运行协调报告。	报告 - 运行报告（仅“帐户索引”报告）、管理报告子选项卡
协调请求管理员	管理协调请求。	任务 - 所有子选项卡资源 - 列出资源子选项卡（仅列出和协调功能）
Remedy 集成管理员	修改 Remedy 集成配置。	任务 - 所有子选项卡（查看任务，运行角色同步）配置 - Remedy 集成子选项卡
重命名用户	重命名现有用户和资源帐户。	帐户 - 列出帐户子选项卡（列出范围内的所有帐户，重命名用户）
报告管理员	配置审计设置和运行所有报告类型。	任务 - 所有子选项卡（查看任务，运行角色同步）报告 - 所有子选项卡
重设密码管理员	重设用户和资源帐户密码。	帐户 - 列出帐户、查找用户子选项卡（仅“重设密码”）密码 - 所有子选项卡任务 - 所有子选项卡仅导出密码扫描任务（从运行任务子选项卡）
重设密码管理员（需要进行验证）	成功确认用户的验证问题回答后重设用户和资源帐户密码。	帐户 - 列出帐户，查找用户子选项卡（仅重设密码，操作成功前需要进行验证）密码 - 所有子选项卡任务 - 所有子选项卡仅导出密码扫描任务（从运行任务子选项卡）
重设资源密码管理员	重设资源管理员帐户密码。	任务 - 查找任务、所有任务、运行任务子选项卡资源 - 列出资源子选项卡。仅重设资源密码（在操作菜单的 Manage Connection --> Reset Password 中）
资源管理员	创建、修改和删除资源。	报告 - 资源用户报告、资源组报告返回资源以外的错误。资源 - 列出资源子选项卡（编辑全局策略，编辑参数和资源组）无法管理连接或资源对象。
资源组管理员	创建、编辑和删除资源组。	资源 - 列出资源组子选项卡
资源对象管理员	创建、修改和删除资源对象。	任务 - 查找任务，所有任务，运行任务子选项卡（查看涉及资源对象的任务）。资源 - 列出资源子选项卡（仅列出和管理资源对象）
资源密码管理员	更改和重设资源代理帐户密码。	Tasks - Find Tasks、All Tasks、Run Tasks 子选项卡资源 - 列出资源子选项卡。仅更改资源密码（在操作菜单的管理连接--> 更改密码中）
资源报告管理员	创建、编辑、删除和运行资源报告。	报告 - 所有子选项卡（仅资源报告）
风险分析管理员	创建、编辑、删除和运行风险分析。	Risk Analysis - 所有子选项卡
角色管理员	创建、修改和删除角色。	任务 - 查找任务，所有任务，运行任务子选项卡（同步角色）角色 - 所有子选项卡
角色报告管理员	创建、编辑、删除和运行资源报告。	报告 - 仅角色报告
运行管理员报告	运行管理员报告。	报告 - 仅管理员报告
运行审计报告	运行审计报告。	报告 - 仅“审计日志”和“使用情况”报告
运行协调报告	运行协调报告。	报告 - 仅“审计日志”和“使用情况”报告
运行资源报告	运行资源报告。	Reports - 仅 AuditLog 和 Usage 报告
运行风险分析	运行风险分析。
运行角色报告	运行角色报告。	报告 - 仅角色报告
运行任务报告	运行任务报告。	报告 - 仅任务报告
运行用户报告	运行用户报告。	报告 - 仅用户报告
安全管理员	创建具有权能的用户；管理加密密钥、登录配置和策略。	帐户 - 列出帐户（删除、创建、更新、编辑、更改并编辑密码）、查找用户子选项卡（审计报告）密码 - 所有子选项卡任务 - 查找任务，所有任务，运行任务子选项卡报告 - 所有子选项卡资源 - 列出资源（列出和控制资源对象）配置 - 策略、登录子选项卡
任务报告管理员	创建、编辑、删除和运行任务报告。	报告 - 创建和管理任务报告
取消分配用户	取消分配现有资源帐户并解除其链接。不包括批量操作。	Accounts - List Accounts（仅取消分配）、Find Users 子选项卡任务 - 所有子选项卡
解除用户的链接	解除现有资源帐户的链接。不包括批量操作。	Accounts - List Accounts（仅解除链接）、Find Users 子选项卡任务 - 所有子选项卡
解除锁定用户	对于支持解除锁定的现有用户资源帐户，解除其锁定。不包括批量操作。	帐户 - 列出帐户（仅解除锁定）、查找用户子选项卡任务 - 查找任务，所有任务，运行任务子选项卡
更新用户	编辑现有用户和启动用户更新请求。	帐户 - 编辑和更新用户任务 - 管理现有任务（通过所有任务子选项卡）
用户帐户管理员	对用户执行所有操作。	帐户 - 列出帐户、查找用户、提取到文件、从文件加载、从资源加载子选项卡。无法分配用户权能（列出帐户子选项卡上的安全表单选项卡）。任务 - 查找任务，所有任务，运行任务子选项卡
用户报告管理员	创建、编辑、删除和运行用户报告。	报告 - 运行用户报告。
查看用户	查看单个用户详细信息。	遵从性 - 从列表中选择用户以查看单个用户帐户信息。不允许执行任何更改操作。
Waveset 管理员	执行系统范围内的任务，如修改系统配置对象。	任务 - 所有子选项卡同步角色，编辑源适配器模板和调度报告报告 - 所有子选项卡资源 - 列出资源（仅列出，不允许进行更改操作）配置 - 审计事件、电子邮件模板、表单和进程映射子选项卡

了解管理员角色

管理员角色可以实现为管理员管理的每个组织集合分配唯一的一组权能。可为管理员角色分配权能和受控组织；然后可将该角色分配给管理用户。

可以为每个用户分配一个或多个管理员角色。一个管理员角色可分配给一个或多个
用户。

用户管理员角色

Identity Manager 中包括名为“用户”的内置管理员角色。默认情况下，该角色不包含任何权能或受控组织分配，无法删除。这种管理员角色在登录时隐式分配给所有用户（最终用户和管理员）。

可以通过 Administrator 界面编辑用户管理员角色（选择 Configure，然后再选择 Admin Roles）。

因为通过这种管理员角色静态分配的所有权能或受控组织都将分配给所有用户，所以建议通过规则来分配权能和受控组织。这会使不同的用户能够拥有不同的权能或没有权能，分配范围将取决于用户身份、所属部门或是否为管理人员，可以在规则的上下文中查询这些信息。

用户管理员角色不会使工作流中使用的 authorized=true 标志过时，也不会取而代之。对于工作流（正在执行的工作流除外）所访问的对象，如果用户不拥有访问权限，这种标志将仍然适用。这本质上是使用户可以进入“以超级用户身份运行”模式。

但是，如果用户对工作流外的一个或多个对象拥有特定访问权限，并且可能对工作流内的一个或多个对象拥有这种权限，通过用户管理员角色进行的权能和受控组织动态分配将能够实现对这些对象进行动态细化授权。

示例

以下示例中的步骤将显示如何在动态环境中使用用户管理员角色。

这种设置将使登录到 User 界面中的管理人员能够管理其雇员，并防止雇员在登录到 User 界面中时执行管理功能。

创建和编辑管理员角色

要创建或编辑管理员角色，您必须分配有“管理员角色管理员”权能。要访问管理员角色区域，请单击配置，然后单击管理员角色。“管理员角色”列表页允许创建、编辑和删除 Identity Manager 中的管理员角色。

要编辑现有管理员角色，请单击列表中的名称。单击新建以创建管理员角色。Identity Manager 显示“创建管理员角色”页，您可以在其中指定新管理员角色的权能和范围。

限定受控组织范围

对于包括在管理员角色中的每个直接分配和受控的组织，可以定义用户可以操作的对象范围。可以选择包括或排除通常对该用户控制的每个组织都可用的一个或多个对象。

例如，对于能够在包含大范围资源的某个组织内创建、更新和删除用户的用户，可将其访问权限限定为该组织内的某个特定资源子集。为此，您可以创建一个具有以下特征的管理员角色：

为此，请在“创建管理员角色”页的“选择要从选定组织包含/排除的对象”区域中进行选择。

如果添加和排除列表中都包含某个项目，则该项目将从管理员角色中排除。

将用户表单分配给管理员角色

您可将用户表单指定为管理员角色属性。分配了该管理员角色的管理员将在创建或编辑由该管理员角色控制的组织的用户时使用此用户表单。通过管理员角色分配的用户表单将覆盖从该管理员所在组织继承的任何用户表单。不会覆盖直接分配给该管理员的用户表单。

如果为该管理员分配了多个管理员角色，这些角色控制相同的组织，但指定不同的用户表单，则在管理员尝试创建或编辑这些组织中的用户时会显示错误消息。如果管理员尝试分配两个或多个管理员角色，这些角色控制相同的组织，但指定不同的用户表单，则会显示错误消息。如果未解决此冲突，则不能保存变更。

权能规则和受控组织规则

以下示例描述了如何设置权能规则或受控组织规则，这些规则能够动态控制为分配有管理员角色的用户提供的已分配权能或受控组织。

权能规则：关键定义和包含项

权能规则示例

受控组织规则：关键定义

受控组织规则示例

了解电子邮件模板

Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板：

自定义电子邮件模板

可以通过自定义电子邮件模板为收件人提供具体指导，告诉他如何完成一项任务或查看结果。例如，您可能想要自定义“帐户创建批准”模板以将批准者引导到帐户批准页：

请转至 http://host.example.com:8080/idm/approval/approval.jsp，以批准 $(fullname) 的帐户创建。

电子邮件模板中的 HTML 和链接

可以在电子邮件模板中插入 HTML 格式的内容，使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容，请选择“启用 HTML”选项。

电子邮件正文中允许使用的变量

也可以在电子邮件模板正文中包括变量的引用，格式为 $(Name)；例如：您的密码 $(password) 已恢复。

模板	允许的变量
密码复设	$(password) – 新生成的密码
更新批准	$(fullname) – 用户的全称 $(role) – 用户的角色
更新通知	$(fullname) – 用户的全称 $(role) – 用户的角色
报告	$(report) – 生成的报告 $(id) – 任务实例的编码 ID $(timestamp) – 电子邮件发送的时间
请求资源	$(fullname) – 用户的全称 $(resource) – 资源类型
风险分析	$(report) – 风险分析报告
临时密码重设	$(password) – 新生成的密码 $(expiry) – 密码到期日期

审计组配置

要配置审计配置组，请在菜单栏中选择 Configure，然后选择 Audit Events。

“审计事件”页显示审计配置组的列表，每个列表可包含一个或多个事件。对于每个组，您可记录成功事件、失败事件或两者都记录。

单击列表中的审计配置组以显示“编辑审计配置组”页。此页允许您选择审计事件的类型，将在系统审计日志的审计配置组中记录这些类型。

编辑审计配置组中的事件

要编辑组中的事件，您可为对象类型添加或删除操作。要这样做，请将“操作”列中的项目从该对象类型的“可用”区域移动到”选定的”区域，然后单击“确定”。

为审计配置组添加事件

要在组中添加事件，请单击 New。Identity Manager 将事件添加到页的底部。从列表的“对象类型”列中选择一个对象类型，然后将“操作”列中的一个或多个项目从新对象类型的“可用”区域移动到”选定的”区域。单击“确定”将事件添加到该组。

Remedy 集成

可以将 Identity Manager 与 Remedy 服务器集成，从而使之能够根据指定的模板发送 Remedy 票证。

Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好，可以在使用已定义模板的合适时间执行调用，以打开 Remedy 票证。有关配置工作流的详细信息，请参见《Identity Manager 工作流、表单和视图》。

配置 Identity Manager 服务器设置

可编辑特定于服务器的设置，以使 Identity Manager 服务器仅运行特定任务。为此，请选择 Configure，然后选择 Servers。

要编辑单个服务器的设置，可在“配置服务器”页的列表中选择一个服务器。Identity Manager 显示“编辑服务器设置”页，可在其中编辑协调程序和调度程序设置。

协调程序设置

默认情况下，协调程序设置显示在 Edit Server Settings 页上。您可接受默认值或取消选择“使用默认值”选项以指定一个值：

调度程序设置

在“编辑服务器设置”页上单击调度程序以显示调度程序选项。您可接受默认值或取消选择“使用默认值”选项以指定一个值：

编辑默认服务器设置

“默认服务器设置”功能使您可设置所有 Identity Manager 服务器的默认设置。除非您在各个服务器设置页上进行了不同的选择，否则服务器将继承这些设置。要编辑默认设置，请单击编辑默认服务器设置。“编辑默认服务器设置”页显示与各个服务器设置页相同的选项。

除非您已取消选择该设置的“使用默认值”选项，否则对每个默认服务器设置的更改会应用到对应的服务器设置。

签名的批准

可以使用以下信息和过程来设置数字签名的批准。步骤和示例适用于：

配置签名的批准

服务器端配置

客户机端配置

必备条件

客户机系统必须运行安装了 JRE 1.4 或更高版本的 Web 浏览器。

过程

对批准签名

对后续批准签名

对某个批准签名之后，只需输入密钥库密码，然后单击 Sign，即可执行后续批准操作。（Identity Manager 将通过先前的批准记忆密钥库的位置。）

上一页目录下一页
Sun Java System Identity Manager 6.0 2005Q4M3 管理指南