![]() | |
Sun Java System Identity Manager 2005Q4M3 管理指南 |
5
配置
本章提供有關使用「管理員介面」設定 Identity Manager 物件的資訊和程序。
在本章中,您可以瞭解關於下列項目的更多內容:
瞭解角色請閱讀本節以瞭解有關在 Identity Manager 中設定角色的資訊。
角色是甚麼?
Identity Manager 角色可定義管理帳號之資源的集合。 角色可讓您設定使用者的類別,將具有類似特性的 Identity Manager 使用者進行分組。
您可以指定每個使用者到一個或多個角色,或者不指定為任何角色。 指定到一個角色的所有使用者會分享相同資源基礎群組的存取權。
與角色相關的所有資源被間接指定給使用者。 間接指定不同於直接指定,在直接指定中,資源是為使用者特別選定的。
建立或編輯角色時,Identity Manager 會啟動 ManageRole 工作流程。 這個工作流程會在儲存庫中儲存新的或更新的角色,並讓您在建立或儲存角色之前插入核准或其他動作。
您可透過 [管理員介面] 的 [建立和編輯使用者] 頁面將角色指定給使用者。
建立角色
若要建立角色,請:
[建立角色] 頁面可讓您:
編輯指定的資源屬性值
在 [建立角色] 頁面上的 [指定的資源] 區按一下設定屬性值以顯示指定給角色的每一資源的屬性清單。 在此 [編輯] 屬性頁面中,您可以指定每個屬性的新值並決定如何設定屬性值。Identity Manager 可讓您直接設定值或使用規則設定值,也提供置換或合併現有值的一組選項。
編輯角色
若要對角色進行修改,請:
尋找角色
使用 [尋找角色] 區搜尋角色。 搜尋功能會傳回符合您搜尋條件的角色清單。
您可以按以下的一或多個搜尋類型來搜尋角色:
若要搜尋角色,請選取 [Roles],然後選取 [Find Roles]。
複製角色
您可以使用現有角色中的選項建立新角色。 若要執行這個動作,請:
重新命名角色
若要重新命名角色,請:
同步化 Identity Manager 角色和資源角色
您可以將 Identity Manager 角色與原本在資源中建立的角色同步化。 依照預設,在進行同步時,資源將被指定給角色。 角色可以是作業所建立的角色,也可以是符合其中一個資源角色名稱的現有 Identity Manager 角色。
在功能表列中,選取 [Tasks],然後選取 [Run Tasks] 以存取 [Synchronize Identity Manager Roles with Resource Roles] 作業頁面。
瞭解資源請閱讀本節以獲得協助您設定 Identity Manager 資源的資訊和程序。
甚麼是資源?
Identity Manager 資源儲存有關如何連結到建立帳戶之資源或系統的資訊。Identity Manager 資源定義關於資源的相關屬性並協助指定資源資訊在 Identity Manager 中如何顯示。
Identity Manager 提供廣泛資源類型的資源,包括:
資源區
Identity Manager 顯示關於 [資源] 頁中現有資源的資訊。
若要存取資源,請選取功能表列上的 [Resources]。
資源依照類型分組,在清單中以命名的資料夾表示。 若要展開階層式視圖並查看目前定義的資源,請按一下資料夾旁邊的指示器。 再按一下該指示器可以摺疊視圖。
當您展開資源類型資料夾時,它會動態更新並顯示其包含的資源物件數目 (如果它是支援群組的資源類型)。
有些資源具有您可以管理的其他物件,包括:
從資源清單中選取一個物件,然後從以下選項清單之一中進行選取以啟動管理作業:
建立或編輯資源時,Identity Manager 會啟動 ManageResource 工作流程。 這個工作流程會在儲存庫中儲存新的或更新的資源,並讓您在建立或儲存資源之前插入核准或其他動作。
管理資源清單
您可以從清單中選取要建立的資源,該清單透過 [管理員介面] 的 [配置] 區進行管理 從 [Resource Type Actions] 選項清單中選取 [Configure Managed Resources],來選擇要寫入資源清單的資源。
在 [Managed Resources] 頁面中,Identity Manager 將資源劃分為兩類:
若要增加自訂資源,請:
下表列出自訂資源類別。
建立資源
您可使用資源精靈建立資源。 資源精靈會指導您完成建立 Identity Manager 資源配接卡的過程,然後您就可以使用該配接卡來管理資源中的物件。
使用此「資源精靈」可設定下列項目:
若要建立資源,請:
- 從 [Resource Type Actions] 選項清單中選取 [New Resource]。
Identity Manager 顯示 [New Resource] 頁面。
- 選取資源類型,然後按一下 [New] 以顯示 [Resource Wizard Welcome] 頁面。
附註 或者,也可以從資源清單中選取資源類型,然後再從 [Resource Type Actions] 清單中選取 [New Resource]。 在此情況下,Identity Manager 不會顯示 [New Resource] 頁面,而是立即啟動資源精靈。
- 按一下下一步開始定義資源。 所顯示的「資源精靈」步驟和頁面順序如下:
- 資源參數 — 設定用於控制認證和資源配接卡運作方式的資源專用參數。 輸入參數,然後按一下 [Test Connection] 來確保連線有效。 確認後,按一下 [Next] 以設定帳號屬性。
圖 1. 資源精靈:資源參數
- 帳號屬性 (模式對映) — 將 Identity Manager 帳號屬性對映到資源帳號屬性。
若要新增屬性,按一下新增屬性。 選取一個或多個屬性,然後按一下刪除選取的屬性從模式對映中刪除屬性。 當完成時,按一下下一步設定身份識別範本。
圖 2. 資源精靈:帳號屬性 (模式對映)
- 身份識別範本 — 定義使用者的帳號名稱語法。 此功能對階層式名稱空間特別重要。
從 [插入屬性] 清單中選取屬性。 從範本刪除屬性,在清單中按一下並從字串中刪除一個或多個項目。 刪除屬性名稱以及前置與後置的 $ (錢幣符號) 字元。
圖 3. 資源精靈:身份識別範本
- Identity 系統參數 — 設定資源的 Identity Manager 參數,包括重試和策略配置。
圖 4. 資源精靈:Identity 系統參數
使用下一頁和上一頁在頁面中移動。 當您完成所有選項後,按一下 [儲存] 來儲存資源並回到清單頁。
管理資源
您可以對資源清單中的資源採取多種編輯動作。 除了在每一 [資源精靈] 頁上的編輯權限外,您還可以:
- 刪除資源 — 選取一個或多個資源,然後從 [Resource Actions] 清單中選取 [Delete]。 同時您可以選取多種類型的資源。 如果有任何角色或資源群組跟資源相關聯,則無法刪除該資源。
- 搜尋資源物件 — 選取資源,然後從 [Resource Object Actions] 清單中選取 [Find Resource Object] 來依物件特性尋找資源物件 (例如組織、組織單位、群組或人員)。
- 管理資源物件 — 對於某些資源類型,您可以建立新的物件。 選取資源,然後從 [Resource Object Actions] 清單中選取 [Create Resource Object]。
- 重新命名資源 — 選取資源,然後從 [Resource Actions] 清單中選取 [Rename]。 在出現的輸入方塊中輸入新的名稱,然後按一下 [Rename]。
- 複製資源 — 選取資源,然後從 [Resource Actions] 清單中選取 [Save As]。 在出現的輸入方塊中輸入新的名稱。 複製資源會以您選取的名稱出現在資源清單中。
使用帳號屬性
Identity Manager 資源使用模式對映定義來自外部資源的屬性之名稱和類型 (資源帳號屬性);然後它們會將這些屬性對映到標準 Identity Manager 帳號屬性。 透過設定模式對映 (在 [資源精靈] 的 [帳號屬性] 頁中),您可以:
若要存取這些值,請從資源清單中選取資源,然後從 [Resource Actions] 清單中選取 [Edit Resource Schema]。
模式對映的左欄 (標題為「Identity system User Attribute」) 包含 Identity Manager 帳號屬性的名稱,這些屬性由 Identity Manager 管理員和使用者介面中所使用的表單參照。 模式對映 (標題為「資源使用者屬性」) 的右欄包含來自外部來源的屬性名稱。
透過定義 Identity 系統屬性名稱,可以用共用名稱定義來自不同資源的屬性。 例如,在 Active Directory 資源上,Identity Manager 中的 lastname 屬性對映到 Active Directory 資源屬性 sn;在 GroupWise 上,fullname 屬性可以對映到 GroupWise 屬性 Surname。 因此,要求管理員只用一次完成 lastname 的值;當儲存使用者以後,會以不同的名稱將其傳送到資源。
資源群組
同樣使用資源區來管理資源群組,這可讓您對資源進行分組以按特定順序更新這些資源。 在群組中加入及排序資源並將該群組指定給某個使用者,即可確定該使用者之資源的建立、更新和刪除順序。
依次對每個資源執行動作。 如果對某一資源執行的動作失敗,則不會更新其餘資源。 這種類型的關係對相關資源很重要。
例如,一個 Exchange 5.5 資源依賴現有的 Windows NT 或 Windows Active Directory 帳號:在成功建立 Exchange 帳號前,必須存在這些項目其中之一。 在以 (依序) Windows NT 資源和 Exchange 5.5 資源建立資源群組後,您需要在建立使用者時確保正確的序列。 反之,此順序也確保您在刪除使用者時以正確的序列刪除資源。
選取 [Resources],然後選取 [List Resource Groups] 以顯示目前定義的資源群組之清單。 在該頁中,按一下新增定義資源群組。 在定義資源群組時,選項區可讓您選擇並排序選取的資源,以及選取可使用該資源群組的組織。
瞭解變更記錄檔請閱讀本節,以取得有關 Identity Manager 變更記錄檔功能的資訊,和有助於配置並使用變更記錄檔的程序。
什麼是變更記錄檔?
可以在變更記錄檔中檢視 Identity Manager 資源包含的 Identity 屬性資訊。 將每個變更記錄檔定義為擷取 Identity 屬性某個子集的變更。
當資源上的屬性資料變更後,ActiveSync 配接卡會擷取該資訊,然後將變更寫入變更記錄檔。 自訂程序檔是專門開發用來與企業中的資源互動,然後讀取變更記錄檔並更新資源。
變更記錄檔功能與 Identity Manager 的標準資源之 ActiveSync 和調解功能不同,因為它與佈建系統資源間接通訊 (透過自訂程序檔)。
變更記錄檔與安全性
Identity Manager 的變更記錄檔功能需要具有寫入本機檔案系統中指定目錄的權限。 依預設,某些 Web 容器不允許本機檔案系統存取託管的 Web 模組 (如 Identity Manager)。
透過編輯 Java 策略檔案,您可以取得存取授權。 若將 /tmp/changelogs 做為目錄,策略檔案應包含:
grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};您必須為每個指定的變更記錄檔目錄定義一個檔案權限。
Java 的預設安全策略檔案位於:
$JAVA_HOME/jre/lib/security/java.policy
編輯此檔案即可;但如果您使用自己的檔案 (非預設檔案),則伺服器將執行以下選項:
-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy
在此情況下,請編輯由 java.security.policy 系統特性識別的檔案。
附註 編輯安全策略檔案之後,您可能需要重新啟動 Web 容器。
變更記錄檔功能的需求
變更記錄檔功能需要您配置 Identity 屬性,然後才能配置變更記錄檔。
配置 Identity 屬性
使用以下資訊與程序來配置 Identity 屬性,並選取將要套用 Identity 屬性的 Identity 系統應用程式。
處理 Identity 屬性
若要配置 Identity 屬性,請選取 [Configure],然後從 Identity Manager 管理員介面選取 [Identity Attributes]。 顯示 [Identity Attributes] 頁面。
若要增加 Identity 屬性,請按一下 [Add Attribute]。 增加至清單後,透過在清單中按一下 Identity 屬性名稱來編輯該屬性。 若要移除一個或多個 Identity 屬性,請先選取要移除的屬性,然後按一下 [Remove Selected Attributes]。
附註 您必須按一下 [Save],才能執行該動作。
選取應用程式
使用 [Enabled Applications] 區域來選取將套用 Identity 屬性的 Identity 系統應用程式。 從 [Available applications] 區域中選取一個或多個應用程式,然後將它們移至 [Enabled applications] 區域。 您必須按一下 [Save],才能執行該動作。
附註 若要使用變更記錄檔功能,您必須啟用 ActiveSync 應用程式。
增加和編輯 Identity 屬性
從 [Add Identity Attributes] 或 [Edit Identity Attributes] 頁面,請進行以下這些選取以增加或編輯 Identity 屬性:
- Attribute Name — 選取或輸入屬性名稱。 從提供的預設值 (來自資源模式對映項目、作業中的 Identity 屬性與使用者擴充的屬性) 中進行選取;或在文字方塊中輸入值。
- Sources — 選取一個或多個來源,從中寫入此 Identity 屬性的值。 將按順序評估這些來源,並將 Identity 屬性設定為第一個非空值。
- Attribute Properties — 使用此區域可設定 Identity 屬性的特性。
- Identity Attribute is authoritative — Identity 屬性的值強制設定在所有的目標上。 選取此選項,會導致由來源確定的值會置換使用者在表單中輸入的任何值。 通常,應該選取此選項。
- Store attribute in IDM repository — 選取此選項,以將 Identity 屬性儲存在本機的 Identity 系統儲存庫中。 如果 Identity 系統使用者被授權儲存 Identity 屬性,或者屬性可以處理查詢,則應該選取此選項。
- Set value on all assigned resources — 如果 Identity 屬性將全域設定在支援此屬性的所有資源上,則選取此選項。
- Targets — 選取應該設定該 Identity 屬性的目標資源。 如果未定義目標,則按一下 [Add Target]。 若要從清單中移除目標,請選取該目標,然後按一下 [Remove Selected Targets]。
按一下 [OK] 來增加該 Identity 屬性並返回至 [Identity Attributes] 頁面。 必須在 [Identity Attributes] 頁面上按一下 [Save] 來儲存增加的屬性。
增加目標資源
提示 如果 Identity 屬性僅用於變更記錄檔,則不必為 Identity 屬性設定目標。 例如,如果您要使用變更記錄檔,還要使用標準的「輸入表單」來將資料推入 ActiveSync,則您可以這樣做。 如果沒有目標,則 MetaView 將僅評估 Identity 屬性的值;不會在其他任何資源上設定這些屬性。
進行選取以增加應該設定 Identity 屬性的目標資源:
- Target Resource — 選取應該設定所選 Identity 屬性的目標資源。
- Target Attribute — 選取在目標資源上將接收其值的屬性名稱。
- Condition — 選取要執行的規則,以確定是否應該在此目標資源上設定選取的 Identity 屬性。 此規則應該返回 true 或 false 值。 如果未設定條件,則對於選取的事件類型,會自動設定目標屬性。
- Apply To: — 選取事件類型,對於這些選取的事件類型,會在目標資源上設定選取的 Identity 屬性。 這些選取與條件共同確定是否設定目標屬性。
按一下 [OK] 以增加目標資源,並返回至 [Add Identity Attribute] 或 [Edit Identity Attribute] 頁面。
移除目標資源
若要移除一個或多個目標資源,請從清單中選取它們,然後按一下
[Remove Selected Targets]。匯入 Identity 屬性
使用匯入 Identity 屬性功能,您可以選取一個或多個表單來匯入並寫入 Identity 屬性值。 Identity Manager 將分析匯入的表單值並對 Identity 屬性進行「最佳猜測」;但是在匯入後編輯 Identity 屬性是必要的。
進行這些匯入選取:
- Merge with existing Identity Attributes — 如果選取此選項,則 Identity Manager 會將匯入的值與現有的 Identity 屬性合併。 如果未選取,則會在匯入執行之前清除 Identity 屬性。
- Forms to import — 從 [Available Forms] 區域中選取一個或多個表單來寫入 Identity 屬性。
按一下 [Import] 來匯入該表單。 顯示 [Identity Attributes] 頁面,其中會列出新的或合併的 Identity 屬性。
按一下 [Save] 以儲存 Identity 屬性的變更。
附註 如果有需要校正的 Identity 屬性條件,則 Identity Manager 將顯示 [Warning] 頁面,其中列出一個或多個警告。 按一下 [OK] 以返回至 [Configure] 區域。
配置變更記錄檔
透過建立變更記錄檔策略與變更記錄檔,配置變更記錄檔。 每個變更記錄檔必須具有一個關聯的變更記錄檔策略。 變更記錄檔定義變更子集 (由 ActiveSync 偵測到並推入 Identity 屬性) 應該寫入記錄。 其關聯的變更記錄檔策略定義寫入變更記錄檔的方式。 變更記錄檔將被自訂程序檔消耗。
若要配置變更記錄檔與變更記錄檔策略,請選取 [Configure],然後從管理員介面功能表列選取 [ChangeLogs]。
Identity Manager 會顯示 [ChangeLog Configuration] 頁面,其中顯示兩個摘要區域。
圖 5. 變更記錄檔配置
變更記錄檔策略摘要
變更記錄檔策略摘要區域顯示目前定義的變更記錄檔策略。 若要編輯現有的變更記錄檔策略,請按一下清單中該策略的名稱。 若要建立變更記錄檔策略,請按一下 [Create Policy]。
若要移除一個或多個變更記錄檔策略,請從清單中選取它們,然後按一下 [Remove Policy]。 (不需要確認此動作。)
變更記錄檔摘要
變更記錄檔摘要區域顯示目前定義的變更記錄檔。 若要編輯現有的變更記錄檔,請按一下清單中該變更記錄檔的名稱。 若要建立變更記錄檔,請按一下 [Create ChangeLog]。
若要移除一個或多個變更記錄檔,請從清單中選取它們,然後按一下
[Remove ChangeLog]。 (不需要確認此動作。)儲存變更記錄檔配置變更
您對變更記錄檔配置 (無論是變更記錄檔策略還是定義的變更記錄檔) 做出任何變更之後,必須從 [ChangeLog Configuration] 頁面儲存這些變更。 按一下 [Save] 以儲存變更,並返回至 [Identity Manager 配置] 頁面。
建立和編輯變更記錄檔策略
在 [Edit ChangeLog Policy] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔策略:
- Policy Name — 為策略輸入唯一的名稱。
- Daily Start Time — 建立每天用來評估週轉開始或變更的時間。 使用此策略的變更記錄檔將在該時間啟動新的週轉,並以從該時間評估的增量啟動新的週轉。 例如,如果啟動時間設定為午夜 (00:00) 且 [Rotations Per Day] 設定為 3,則記錄檔的前綴將在 00:00、08:00 與 16:00 變更。
檔案名稱遵循樣式「cl_User_yyyyMMddHHmmss.n.suffix」,其中「HHmmss」是最近啟動週轉的時間。 (「.n」是序列號,.suffix 是在變更記錄檔定義中提供的後綴。)
在使用「00:00」做為啟動時間,3 做為週轉數的情況下,如果您在某天上午 9:24 啟動變更記錄檔,則產生的週轉名稱將包含最近啟動週轉的時間 (例如,08:00)。 這樣,檔案名稱將以 cl_User_yyyyMMdd080000 開頭。 在 16:00 時,新的週轉 (檔案名稱上的新前綴) 將啟動。
- Rotations Per Day — 指定每天您要週轉記錄的次數。 例如,如果您要每 4 小時週轉一次,則輸入值 6。
此值僅限於非負整數。 值 0 表示忽略此欄位。 如果欄位為非零,則忽略「Maximum Age of a Rotation」設定。
如果以秒為單位指定週轉的時間長度,且「Rotations Per Day」欄位為 0,則此值用來確定週轉的期間。
此值僅限於非負整數值。 如果您為「Rotations Per Day」指定非零數字,則使用該指定的值 (不使用此值)。 如果這兩個欄位的值均為 0,則僅套用序列資訊。 (在此情況下,也不會使用 [Daily Start Time]。)
- Number of Rotations to Keep — 指定允許累計的週轉次數,超過此次數 Identity Manager 將刪除週轉。 例如,如果您現在每天執行 3 次週轉,並要在記錄中保留 2 天的變更,則指定值 6。
- Maximum File Size in Bytes — 如果向目前的檔案寫入變更後將超過此限制,則將啟動新記錄檔 (具有相同的週轉前綴,但具有新的序列號)。 值 0 表示不使用此限制。 會使用所有值為非零的限制欄位 (大小、行數、時間);但是,會在檢查其他限制之前檢查該限制。
- Maximum File Size in Lines — 如果寫入變更將導致目前檔案的行數超出此限制,則會建立新的序列檔案,且將行寫入該新檔案。 值 0 表示「沒有限制」。 會在檢查大小限制之後、檢查時間限制之前檢查此限制。
- Maximum File Age in Seconds — 如果收到變更,且現有的序列檔案的存在時間已經超過這裡指定的秒數,則會建立新的序列檔案再寫入變更。 值 0 表示不使用此限制。 其他限制如果為非零,會在該值之前套用。
按一下 [OK] 以返回至 [ChangeLog Configuration] 頁面。 您必須從配置頁面按一下 [OK],才能將新的變更記錄檔策略或變更儲存至現有的策略。
建立和編輯變更記錄檔
在 [Edit ChangeLogs] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔:
- ChangeLog Name — 為變更記錄檔輸入唯一的名稱。
- Active — 如果您選取此選項,則在變更記錄檔通過 ActiveSync 資源匯入 Identity 屬性時,它將監視並寫入變更 (ActiveSync 必須為 Identity 屬性應用程式,才能實現此作業)。
- Filter — 輸入要使用的變更記錄檔篩選器的名稱。 「Noop」表示使用預設篩選器,此篩選器可接受所有變更。 對於大多數情況,選取該篩選器即可。 否則,它必須命名一個實作 com.sun.idm.changelog.ChangeLogFilter 的 Java 類別。此類別必須位於伺服器的類別路徑中,必須具有公共預設建構子。
- Log these Operations — 記錄選取類型的事件,包括建立、更新與刪除。 忽略未選取的事件。
- ChangeLog View — 使用此表格可定義變更記錄檔的內容 (欄)。 每個表格列指定變更記錄檔中的一欄。 按一下 [Add Column] 可增加變更記錄檔欄。 每個欄都有名稱、類型與 Identity 屬性名稱。 列的順序表示欄的順序。 定義欄之後,使用「Up」與「Down」按鈕為其排序。
附註 在每個變更記錄檔中,表格中均有名為「changeType」的默認第一欄。 此默認第一欄指出變更的類型。 此欄的類型為「Text」。 記錄中的資料將是下列值之一:「ADD」、「MOD」或「DEL」。
- Use the Policy Named — 從清單中選取定義的變更記錄檔策略以用於記錄。
- Output Path — 輸入在檔案系統上將包含該記錄檔的目錄名稱。 此路徑可以是網路掛載的位置;但最好使用伺服器本機上的目錄。 同樣也建議每個變更記錄檔使用唯一的位置。
- Suffix — 為變更記錄檔輸入後綴 (例如,.csv)。 選取的後綴可以用來區別這些檔案與其他的變更記錄檔。
按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。 您必須從配置頁面按一下 [OK],才能將新的變更記錄檔或變更儲存至現有的變更記錄檔。
範例
檢視範例,其中詳細說明如何設定 Identity 屬性與變更記錄檔以擷取特定屬性資料集。
範例:定義 Identity 屬性
在此範例中,兩個 Identity Manager 資源 (資源 1 與資源 2) 向第三個資源 (資源 3) 提供來源資料。 資源 3 不直接連接至 Identity Manager 系統。 需要變更記錄檔來從資源 1 和資源 2 提取資料子集並保留到資源 3 中。
資源 1:EmployeeInfo
employeeNumber*
givenname
mi
surname
phone資源 2:OrgInfo
employeeNum*
managerEmpNum
departmentNumber資源 3:PhoneList
empId*
fullname
phone
department
附註 * 表示用來關聯記錄的鍵。
這些 Identity 屬性如下定義。
範例:配置變更記錄檔
定義 Identity 屬性後,定義稱為 PhoneList ChangeLog 的變更記錄檔。 目的是將 Identity 屬性的子集寫入變更記錄檔。
PhoneList ChangeLog 中的變更記錄檔視圖
當資源 1 或資源 2 中的記錄發生變更之後,變更記錄檔記錄 (來自 Identity 屬性的所有資料) 的資料全集 (不僅是變更) 將寫入變更記錄檔。 自訂程序檔會讀取該資訊並將其寫入資源 3。
CSV 檔案格式
請閱讀本節,以取得有關由變更記錄檔寫入的逗號分隔值 (CSV) 檔案的格式之資訊。
想像一下列與欄格式的變更記錄檔,例如試算表或資料庫表格。 每「列」為檔案中的每行。
變更記錄檔格式使用前兩列來進行自我說明。 這兩列可一併用於定義「模式」;亦即表格中每個「儲存格」( 列上逗號之間的值) 的邏輯名稱與邏輯類型。
第一列命名檔案中的屬性。 第二列說明屬性值的類型。 其他列表示變更事件的所有資料。
變更記錄檔以 Java UTF-8 格式進行編碼。
欄
檔案中的第一欄具有特殊的重要性。 它會定義作業類型,例如,變更事件是否為建立、修改或刪除動作。 它總是命名為 changeType,並總為類型 T (表示文字)。 其值為 ADD、MOD 或 DEL 之一。
每一欄應該準確具有一個唯一的項目識別碼 (主鍵)。 一般為檔案中的第二欄。
其他欄僅命名屬性。 名稱來自於 [ChangeLog View] 表格中的 [Column Name] 值。
列
定義檔案「模式」的前兩個標頭列之後,剩餘的列為屬性的值。 值以第一列中欄位的順序顯示。 變更記錄檔套用自 Identity 屬性,因此包含偵測到變更時所有已知的使用者資料。
而且,沒有表示空 (或未設定) 的特殊指示值。 如果偵測到變更時,而值不存在,則變更記錄檔會寫入空字串。
根據檔案第二列指定的欄類型,對值進行編碼。 支援的類型如下:
文字值
文字值寫入為字串,但有兩種例外:
文字值不能包含換行。 如果檔案需要換行,則使用二進位值類型。
二進位值
二進位值以 Base64 進行編碼。
多文字值
多文字值與文字值寫入方式相似,但用逗號分隔並使用 [ 與 ] 括住。
多進位值
多進位值與二進位值寫入方式相似 (以 Base64 編碼),但也用逗號分隔並使用 [ 與 ] 括住。
格式範例
以下範例說明各種輸出格式。 每個範例均遵循以下格式:
column1, column2, column3, column4
每個範例的欄 3 均顯示範例文字。
變更記錄檔名稱
檔案名稱遵循以下格式:
servername_User_timestamp.sequenceNumber.suffix
其中:
配置週轉與序列
這些可在變更記錄檔策略物件中定義,並從變更記錄檔參考。
範例
如果策略定義週轉為:
則將產生與如下類似的檔案名稱。 (在其中每個週轉中,均有兩個序列檔案。)
myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csvmyServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv1 月 1 日顯示 3 個週轉,間隔 8 小時,開始於 07:00:00。1 月 2 日 與之類似;僅對應於日期 (20060102) 的名稱部分有所不同。
寫入變更記錄檔程序檔
請閱讀本節,以取得有關變更記錄檔程序檔寫入器有用的資訊。
- 程序檔一般會連續執行,等待新資料、新檔案或在作業之間暫停,然後讀取檔案並將每行的變更套用至後端資源。
- 變更記錄檔支援刪除作業,但 DEL 行僅包含 accountId 值。
- 透過使用週轉與序列,可以決定程序檔執行的頻率。 例如,如果您可以指定:
- 每個變更記錄檔都可以代表後端系統中的記錄。 為了使程序檔讀取記錄更加簡單,Identity Manager 總是將所有的資料寫入給定記錄,無論它是否變更。 程序檔可能「盲目地」套用記錄中的資料。
但是,他們需要確保後端資源 (或程序檔),特別是對於 ADD 與 DEL,可以:
- 最好等待出現序列檔案,然後套用之前的檔案。 例如,直到出現 .2 檔案後再套用 .1 檔案。 當出現 .3 檔案時,再套用 .2 檔案。套用檔案後,請注意您在磁碟上進行這些作業。 此方法可讓您避免使用諸如 fstat 或 tail -f 等呼叫。
瞭解策略請閱讀本節以獲得關於配置策略的資訊和程序。
什麼是策略?
藉由建立 Identity Manager 帳戶 ID、登入和密碼特性的限制條件,Identity Manager 策略可設定 Identity Manager 使用者的限制。
您需在 [策略] 頁中建立並編輯 Identity Manager 策略。 在功能表列中,選取 [Configure],然後選取 [Policies]。 在顯示的清單頁中,可以編輯現有策略並建立新策略。
策略分類如下:
- Identity 系統帳號策略 — 建立使用者、密碼和認證策略選項及限制條件。 透過 [Create and Edit Organization] 以及 [Create and Edit User] 頁面,您可將 Identity 系統帳號策略指定給組織或使用者。
圖 6. Identity Manager 策略
您可以設定或選取的選項包括:
- String Quality Policies — 字串品質策略包含策略類型,例如密碼、AccountID 與認證,並設定長度規則、字元類型規則與允許的文字與屬性值。 這種類型的策略繫結到每個 Identity Manager 資源,並在每一資源頁中設定。
圖 7. 建立/編輯密碼策略
您可以為密碼和帳號 ID 設定的選項和規則包括:
字典策略
字典策略可使 Identity Manager 根據文字資料庫來檢查密碼,以確保它們不會遭受簡單的字典攻擊。 Identity Manager 可搭配使用此策略與其他策略設定來強制限定密碼的長度及結構,讓攻擊者難以使用字典來猜測系統所產生或變更的密碼。
字典策略可擴充密碼排除清單,您可以使用策略來設定該清單。 (您可使用 [管理員介面] 密碼 [編輯策略] 頁中的 [不得包含文字] 選項來執行這份清單。)
配置字典策略
若要設定字典策略,您必須:
請遵循下列步驟:
- 在功能表列中,選取 [Configure],然後選取 [Policies]。
- 按一下配置字典顯示 [字典配置] 頁。
- 選取並輸入資料庫資訊:
- Database Type — 選取要用來儲存字典的資料庫類型 (Oracle、DB2、SQLServer 或 MySQL)。
- Host — 輸入正在執行資料庫的主機名稱。
- User — 輸入連線至資料庫時使用的使用者名稱。
- Password — 輸入連線至資料庫時使用的密碼。
- Port — 輸入資料庫偵聽的連接埠。
- Connection URL — 輸入連線時要使用的 URL。 以下是可用的範本變數:
- Driver Class — 輸入與資料庫進行互動時要使用的 JDBC 驅動程式類別。
- Database Name — 輸入要載入字典的資料庫名稱。
- Dictionary Filename — 輸入載入字典時要使用的檔案名稱。
- 按一下測試以測試資料庫連線。
- 如果連線測試成功,請按一下載入文字來載入字典。
附註 載入作業可能得花費幾分鐘才能完成。
- 按一下測試確認字典已正確載入。
執行字典策略
從 Identity Manager 策略區執行字典策略。 在 [策略] 頁面中,按一下以編輯密碼策略。 在 [編輯策略] 頁面中,選取 [根據字典文字檢查密碼] 選項。 執行之後,將根據字典來檢查所有變更和產生的密碼。
瞭解權能權能為 Identity Manager 系統中的多組權利。 權能表示管理工作責任,例如重設密碼或管理使用者帳號。 每個 Identity Manager 管理使用者均被指定了一項或多項權能,這會提供一組不會危及資料保護的權限。
不是所有的 Identity Manager 使用者都需要為其指定權能;只有那些將透過 Identity Manager 執行一個或多個管理動作的使用者才需要。 例如,使用者要變更其密碼不需要指定的權能,但是要變更其他使用者的密碼則需要一個指定的權能。
為您指定的權能會掌控您可存取 Identity Manager 管理介面的哪些區域。 所有 Identity Manager 管理使用者可以存取特定的 Identity Manager 區域,包括:
權能類別
Identity Manager 如下定義類別:
內建權能 (隨 Identity Manager 系統提供) 是受保護的,表示您無法編輯它們。 但是您可以在建立的權能中使用它們。
受保護 (內建) 權能在清單中以紅色鑰匙 (或紅色鑰匙及資料夾) 圖示標示。 您建立並可編輯的權能在權能清單中以綠色鑰匙 (或綠色鑰匙及資料夾) 圖示標示。
使用權能
建立權能
若要建立權能,請按一下新增。
編輯權能
若要編輯非保護的權能,在清單中按一下滑鼠右鍵,然後選取編輯。
附註 您無法編輯內建權能;不過您可以用不同的名稱儲存它們以建立您自己的權能,或是在您建立的權能中使用它們。
儲存並重新命名權能
若要「複製」權能 (以不同的名稱儲存它以建立新的權能):
您可以編輯新權能,即使複製的權能受到保護。
指定權能
從 [建立和編輯使用者] 頁將權能指定給使用者。
附註 您也可以透過指定管理員角色 (您透過 [安全性] 區所設定) 將權能指定給使用者。 詳細資訊請參閱瞭解管理員角色。
權能階層
作業型權能位於下列功能性權能階層中:
帳號管理員
管理員角色管理員
批次帳號管理員
批次變更帳號管理員
權能管理員
變更帳號管理員
匯入/匯出管理員
登入管理員
組織管理員
密碼管理員 (需要驗證)
策略管理員
調解管理員
Remedy 整合管理員
報告管理員
資源管理員
資源物件管理員
資源密碼管理員
角色管理員
安全管理員
檢視組織
檢視資源
Waveset 管理員
權能定義
下表描述各個作業型權能,並列出每個權能可以存取的標籤與子標籤。
所有的權能會允許使用者或管理員存取變更我的密碼和變更我的答案子標籤 (密碼標籤中)。
表 1. Identity Manager 權能說明
瞭解管理員角色管理員角色能指定管理員所管理的一組組織之唯一權能集。 會給管理員角色指定各種權能和受控組織,隨後便可將該角色指定給管理使用者。
指派給管理員角色的權能和組織可為:
- Direct — 此選項可讓您將特定權能、控制的組織或將這兩者指定給管理員角色。
- Dynamic (間接) — 此選項使用權能和控制的組織規則動態決定,指定的使用者每次登入 Identity Manager 時,透過管理員角色賦予該使用者的權能和控制的組織。
附註 關於設定這些規則的關鍵資訊,請參閱權能規則與控制的組織規則。
您可以指定一或多個管理員角色給每位使用者。 而同一個管理員角色可以指定給一或多個使用者。
使用者管理員角色
Identity Manager 包含內建管理員角色,標題為「User」。 依預設,它不包含權能或控制的組織指定,且無法刪除。 此管理員角色在登入時默認指定給所有使用者 (一般使用者與管理員)
您可以透過管理員介面編輯使用者管理員角色 (選取 [Configure],然後選取 [Admin Roles])。
由於透過此管理員角色靜態指定的任何權能或控制的組織,會指定給所有的使用者,所以建議透過規則來指定權能與控制的組織。 這將使不同的使用者有不同的權能 (或沒有權能),而且指定將根據某些因素 (例如他們的身分、所屬的部門或是否為管理員) 來確定範圍,這些因素可以在規則的上下文中查詢。
使用者管理員角色不停用或替代工作流程中使用的 authorized=true 旗標。 當使用者不應存取由工作流程存取的物件時,此旗標依然適用,除非工作流程正在執行。 本質上來說,這會讓使用者進入「以超級使用者身份執行」的模式。
然而,當使用者應該具有特定權限在工作流程外或工作流程內存取一個或多個物件時,則透過使用者管理員角色動態指定權能和控制的組織,會啟動對這些物件的動態、細致認證。
範例
以下範例中的步驟說明如何在動態環境中使用使用者管理員角色。
當使用者登入時,則:
此設定將使管理員登入使用者介面來管理他們的雇員,並禁止雇員登入使用者介面後執行管理功能。
建立和編輯管理員角色
若要建立或編輯管理員角色,必須要為您指定「管理員角色管理員」權能。 若要存取管理員角色區,按一下配置,然後按一下管理員角色。 [管理員角色] 清單頁可讓您建立、編輯和刪除 Identity Manager 中的管理員角色。
若要編輯現有的管理員角色,請按一下清單中的名稱。 按一下新增建立管理員角色。Identity Manager 會顯示 [建立管理員角色] 頁,您可以於其中指定新管理員角色的權能和範圍。
圖 8. 管理員角色:建立頁
設定控制組織的範圍
對於包含在管理員角色中的每個直接指定的控制組織,您可以定義使用者可於其中執行動作的物件範圍。 您可以選擇包括或排除一個或多個物件,這些物件通常可用於每個由使用者控制的組織。
例如,您可以選擇限制可在組織內建立、更新並刪除使用者的使用者之存取權,該組織包括組織內特定資源子集範圍內的各種資源。 若要這麼做,您可以用這些特性建立管理員角色:
若要這麼做,在 [建立管理員角色] 頁的 [選取要包含/排除的物件] 區中進行選取。
圖 9. 管理員角色:針對控制組織的包含/排除選項
如果您將一個項目同時包含在包含與排除清單中,則將會從管理員角色中將其排除。
將使用者表單指定給管理員角色
您可將使用者表單指定為管理員角色的一個屬性。 被指定管理員角色的管理員在其管理員角色控制的組織中建立或編輯使用者時,將使用這個使用者表單。 透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。 不會置換直接指定給管理員的使用者表單。
編輯使用者時將使用的使用者表單取決於以下優先順序:
如果管理員被指定多個管理員角色,這些角色控制相同的組織但指定了不同的使用者表單,則當其嘗試在該組織中建立或編輯使用者時會顯示錯誤。 如果管理員嘗試指定兩個或兩個以上控制相同組織但指定了不同使用者表單的管理員角色,則會顯示錯誤。 除非解決衝突,否則無法儲存變更。
權能規則與控制的組織規則
下列範例顯示您如何設定權能規則或控制的組織規則,這些規則可以動態控制指定的權能或是賦予給使用者 (已為其指定管理員角色) 的控制組織。
附註 如需有關在 Identity Manager 中建立和使用規則的資訊,請參閱「Identity Manager 部署工具」。
權能規則:金鑰定義與內含項
- 權能規則必須包含 authType=’CapabilitiesRule’ 項目。 這是確保您可以從管理員角色頁中選取規則所必需的。
- 上下文是目前認證的 Identity Manager 使用者的使用者視圖。
- 在下列範例規則中,定義的變數 (defvar)「user groups」在名為「ranger-AD」的 Windows Active Directory 伺服器上取得目前認證的 Identity Manager 使用者的帳號,並傳回使用者目前為其所屬成員的群組清單。
- 條件邏輯 (cond) 檢查目前認證的 Identity Manager 使用者是否為「manager」群組的成員。 如果是,則會為使用者指定 Identity Manager 權能「登入管理員」和「資源管理員」。 如果不是,則不會指定任何 Identity Manager 權能。
範例權能規則
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Rule authType='CapabilitiesRule' name='If Manager'>
<block>
<defvar name='user groups'>
<get>
<invoke name='getResourceObject' class='com.waveset.ui.FormUtil'>
<ref>context</ref>
<s>ranger-AD</s>
<s>User</s>
<ref>accountInfo.accounts[ranger-AD].accountId</ref>
<map>
<s>searchAttrsToGet</s>
<list>
<s>memberOf</s>
</list>
</map>
</invoke>
<s>user.attributes.memberOf</s>
</get>
</defvar>
<cond>
<contains>
<ref>user groups</ref>
<s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>
</contains>
<list>
<s>Login Administrator</s>
<s>Resource Administrator</s>
</list>
</cond>
</block>
<MemberObjectGroups>
<ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset' name='Waveset'/>
</MemberObjectGroups>
</Rule>
控制的組織規則:金鑰定義
- 控制的組織規則必須包含 authType=’ControlledOrganizationsRule’ 項目。 這可讓您從管理員角色頁中選取規則。
- 上下文是目前認證的 Identity Manager 使用者的使用者視圖。
- 在下列範例規則中,定義的變數 (defvar)「user groups」在名為「ranger-AD」的 Windows Active Directory 伺服器上取得目前認證的 Identity Manager 使用者的帳號,並傳回使用者目前為其所屬成員的群組清單。
- 條件邏輯 (cond) 檢查目前認證的 Identity Manager 使用者是否為「manager」群組的成員。 如果是,則會為使用者指定 Identity Manager「Waveset」組織的控制權。 如果不是,則不會指定任何組織控制權。
範例控制組織規則
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Rule authType='ControlledOrganizationsRule' name='Get managed departments'>
<block>
<defvar name='user groups'>
<get>
<invoke name='getResourceObject' class='com.waveset.ui.FormUtil'>
<ref>context</ref>
<s>ranger-AD</s>
<s>User</s>
<ref>accountInfo.accounts[ranger-AD].accountId</ref>
<map>
<s>searchAttrsToGet</s>
<list>
<s>memberOf</s>
</list>
</map>
</invoke>
<s>user.attributes.memberOf</s>
</get>
</defvar>
<cond>
<contains>
<ref>user groups</ref>
<s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>
</contains>
<list>
<s>Waveset</s>
</list>
</cond>
</block>
<MemberObjectGroups>
<ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset' name='Waveset'/>
</MemberObjectGroups>
</Rule>
瞭解電子郵件範本Identity Manager 使用電子郵件範本傳送動作的資訊和請求給使用者和核准人。 系統包括以下各項的範本:
- 帳號建立核准 — 將通知傳送給核准人,告知新帳號正在等待其核准。 只要將相關角色的「佈建通知選項」設成核准,系統就會傳送此通知。
- 帳號建立通知 — 傳送已使用指定的特定角色建立帳號的通知。 在 [建立角色」或 [編輯角色] 頁面的 [通知收件人] 欄位中選取一或多位管理員時,系統將傳送此通知。
- 密碼重設 — 傳送重設 Identity Manager 密碼的通知。 根據相關的 Identity Manager 策略所選的「重設通知選項] 值,系統會立即通知重設密碼的管理員
(在 Web 瀏覽器中),或以電子郵件通知其密碼已重設的使用者。- 密碼同步化通知 — 通知使用者已在所有資源上成功完成密碼變更。 通知會列出已成功更新的資源,並指出密碼變更請求的來源。
- 密碼同步化失敗通知 — 通知使用者在所有資源上未成功完成密碼變更。 通知會提供錯誤清單並指出密碼變更請求的來源。
- 調解帳號事件、調解帳號事件、調解摘要 — 分別從「通知調解回應」、「通知調解開始」和「通知調解完成」預設工作流程呼叫。 通知將依照每個工作流程中的配置傳送。
- 報告 — 將產生的報告傳送給指定的收件者清單中的收件者。
- 請求資源 — 將已請求資源的通知傳給資源管理員。 當管理員從 [資源] 區域中請求資源時,系統會傳送此通知。
- 重試通知 — 傳送通知給管理員,說明對資源所進行的特定作業嘗試失敗達到指定的次數。
- 風險分析 — 傳送風險分析報告。 將一或多名電子郵件收件人指定為資源掃描的部分時,系統將傳送此報告。
- 臨時密碼重設 — 將已提供給帳號的臨時密碼通知傳送給使用者或角色核准人。 根據相關的 Identity Manager 策略所選的「密碼重設通知選項」值,系統會立即向使用者顯示通知 (在 Web 瀏覽器中)、以電子郵件通知使用者,或以電子郵件通知角色核准人。
自訂電子郵件範本
您可以自訂電子郵件範本以便為收件人提供特定的方向,告知對方如何完成作業或檢視結果。 例如,您可能想要自訂 [帳號建立核准] 範本,將核准人導向帳號核准頁面:
請前往 http://host.example.com:8080/idm/approval/approval.jsp 來核准為 $ (完整名稱) 所建立的帳號。
若要自訂「帳號建立核准」範本:
電子郵件範本中的 HTML 和連結
您可以將 HTML 格式的內容插入電子郵件範本,以便在電子郵件訊息內文中顯示該內容。 內容可包含文字、圖形和 Web 連結資訊。 若要啟用 HTML 格式的內容,請選取
[啟用 HTML] 選項。電子郵件內文中允許的變數
您也可以在電子郵件範本內文中包含變數的參照,格式為 $(Name);例如: 您的密碼 $(password) 已復原。
下表中定義每個範本所允許的變數。
表 2. 電子郵件範本變數
稽核群組配置設定稽核配置群組可讓您記錄和報告您選取的系統事件。
若要配置稽核配置群組,請從功能表列中選取 [Configure],然後選取 [Audit Events]。
[稽核事件] 頁會顯示稽核配置群組的清單,這些群組可能分別包含一或多個事件。 您可以針對各個群組記錄成功事件、失敗事件或兩者均記錄。
按一下清單中的稽核配置群組以顯示 [編輯稽核配置群組] 頁面。 此頁可讓您選取要在系統稽核記錄中當作稽核配置群組的一部份來記錄的稽核事件類型。
編輯稽核配置群組中的事件
若要編輯群組中的事件,您可以新增或刪除某個物件類型的動作。 若要執行這個動作,請將該物件類型的 [動作] 欄中的項目從 [可用的] 移至 [已選取的] 區域,然後按一下確定。
新增事件到稽核配置群組
若要將事件增加到群組,請按一下 [New]。 Identity Manager 會在頁面底部新增事件。 從 [物件類型] 欄的清單中選取物件類型,然後將新物件類型的 [動作] 欄中的一或多個項目從 [可用的] 區域移至 [已選取的] 區域。 按一下 [確定],將事件增加到群組中。
Remedy 整合您可以將 Identity Manager 與 Remedy 伺服器整合,使其根據指定的範本傳送 Remedy 票證。
在管理員介面的兩個區域中設定 Remedy 整合:
Remedy 票證的建立透過 Identity Manager 工作流程進行配置。 根據您的喜好設定,可以在適當的時間進行呼叫,此呼叫將使用定義的範本開啟 Remedy 票證。 如需有關配置工作流程的更多資訊,請參閱「Identity Manager 工作流程、表單與視圖」。
配置 Identity Manager 伺服器設定您可以編輯伺服器特定設定,好讓 Identity Manager 伺服器只執行特定的作業。 若要如此,請選取 [Configure],然後選取 [Servers]。
若要編輯個別伺服器的設定,請選取 [配置伺服器] 頁面中清單內的伺服器。 Identity Manager 會顯示 [編輯伺服器設定] 頁面,在此您可以編輯調解器和排程程式設定。
調解器設定
依預設,調解器設定會顯示在 [Edit Server Settings] 頁面中。 您可以接受預設值或取消選取 [使用] 預設選項來指定設定值:
排程程式設定
按一下 [編輯伺服器設定] 頁上的排程程式以顯示排程程式選項。 您可以接受預設值或取消選取 [使用] 預設選項來指定設定值:
按一下儲存來儲存伺服器設定的變更。
編輯預設伺服器設定
預設伺服器設定功能可讓您為所有的 Identity Manager 伺服器設定預設設定。 除非您在個別伺服器設定頁中選取不同選項,否則伺服器會繼承這些設定。 若要編輯預設設定,請按一下編輯預設伺服器設定。 [編輯預設伺服器設定] 頁面顯示與個別伺服器設定頁面一樣的選項。
您對每個預設伺服器設定所做的變更會傳遞至對應的個別伺服器設定,除非您取消選取該設定的 [使用] 預設選項。
按一下儲存來儲存伺服器設定的變更。
簽署的核准使用以下資訊與程序來設定數位簽署的核准。 執行以下作業的步驟與範例:
配置簽署的核准
遵循下列步驟來配置簽署的核准。
伺服器端配置
啟用伺服器端配置:
- 在系統配置中,設定 security.nonrepudiation.signedApprovals=true
- 將您的認證機構 (CA) 的憑證增加為可信任的憑證。 若要如此,您必須首先取得憑證的副本。
例如,如果您正在使用 Microsoft CA,請遵循如下類似步驟:
- 將憑證增加至 Identity Manager 做為可信任的憑證:
- 增加 CA 的憑證撤銷清單 (CRL):
- 按一下 [Test Connection] 以確認該 URL。
- 按一下儲存。
- 使用 jarsigner 簽署 applets/ts1.jar。
附註 請參閱 http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html,以取得更多資訊。 Identity Manager 隨附的 ts1.jar 檔案使用自我簽署憑證進行簽署,不應用於生產系統。 在生產中,此檔案應該使用可信任憑證發出的編碼簽署憑證來重新簽署。
用戶端配置
遵循下列步驟來啟用用戶端配置:
先決條件
用戶系統必須執行 JRE 1.4 或更高版本的 Web 瀏覽器。
程序
取得憑證和私密金鑰,然後將他們匯出至 PKCS#12 金鑰庫。
例如,如果您正在使用 Microsoft CA,請遵循如下類似步驟:
- 使用 Internet Explorer 瀏覽至 http://IPAddress/certsrv,並使用管理權限登入。
- 選取 [Request a certificate],然後按一下 [Next]。
- 選取 [Advanced request],然後按一下 [Next]。
- 按一下下一步。
- 選取憑證範本使用者。
- 選取下列選項:
- 按一下 [Submit],然後按一下[OK]。
- 按一下 [Install this certificate]。
- 選取 [Run] —> [mmc] 來啟動 mmc。
- 加入憑證快照:
- 選取 [Console]—>[Add/Remove Snap-in]。
- 按一下 [Add...]。
- 選取電腦帳號。
- 按一下 [Next],然後按一下 [Finish]。
- 按一下 [Close]。
- 按一下 [確定]。
- 移至 [ Certificates]—>[Personal]—>[Certificates]。
- 以滑鼠右鍵按一下 [Administrator All Tasks]>[Export]。
- 按一下下一步。
- 按一下 [Next] 來確認匯出私密金鑰。
- 按一下下一步。
- 提供密碼,然後按一下 [Next]。
- 將 CertificateLocation 歸檔。
- 按一下 [Next],然後按一下 [Finish]。 按一下 [OK] 來確認。
簽署核准
遵循下列步驟來簽署核准。
簽署後續核准
簽署核准之後,後續同意動作僅需輸入金鑰庫密碼並按一下 [Sign]。 (Identity Manager 應該會從上一次核准中記住金鑰庫位置。)
檢視作業事件簽名
遵循下列步驟來檢視 Identity Manager 稽核記錄報告中的作業事件簽名。