配置

本章提供有關使用「管理員介面」設定 Identity Manager 物件的資訊和程序。

瞭解角色

角色是甚麼？

Identity Manager 角色可定義管理帳號之資源的集合。角色可讓您設定使用者的類別，將具有類似特性的 Identity Manager 使用者進行分組。

您可以指定每個使用者到一個或多個角色，或者不指定為任何角色。指定到一個角色的所有使用者會分享相同資源基礎群組的存取權。

與角色相關的所有資源被間接指定給使用者。間接指定不同於直接指定，在直接指定中，資源是為使用者特別選定的。

建立或編輯角色時，Identity Manager 會啟動 ManageRole 工作流程。這個工作流程會在儲存庫中儲存新的或更新的角色，並讓您在建立或儲存角色之前插入核准或其他動作。

您可透過 [管理員介面] 的 [建立和編輯使用者] 頁面將角色指定給使用者。

建立角色

編輯指定的資源屬性值

在 [建立角色] 頁面上的 [指定的資源] 區按一下設定屬性值以顯示指定給角色的每一資源的屬性清單。在此 [編輯] 屬性頁面中，您可以指定每個屬性的新值並決定如何設定屬性值。Identity Manager 可讓您直接設定值或使用規則設定值，也提供置換或合併現有值的一組選項。

編輯角色

尋找角色

使用 [尋找角色] 區搜尋角色。搜尋功能會傳回符合您搜尋條件的角色清單。

複製角色

您可以使用現有角色中的選項建立新角色。若要執行這個動作，請：

重新命名角色

同步化 Identity Manager 角色和資源角色

您可以將 Identity Manager 角色與原本在資源中建立的角色同步化。依照預設，在進行同步時，資源將被指定給角色。角色可以是作業所建立的角色，也可以是符合其中一個資源角色名稱的現有 Identity Manager 角色。

在功能表列中，選取 [Tasks]，然後選取 [Run Tasks] 以存取 [Synchronize Identity Manager Roles with Resource Roles] 作業頁面。

瞭解資源

請閱讀本節以獲得協助您設定 Identity Manager 資源的資訊和程序。

甚麼是資源？

Identity Manager 資源儲存有關如何連結到建立帳戶之資源或系統的資訊。Identity Manager 資源定義關於資源的相關屬性並協助指定資源資訊在 Identity Manager 中如何顯示。

資源區

資源依照類型分組，在清單中以命名的資料夾表示。若要展開階層式視圖並查看目前定義的資源，請按一下資料夾旁邊的指示器。再按一下該指示器可以摺疊視圖。

當您展開資源類型資料夾時，它會動態更新並顯示其包含的資源物件數目 (如果它是支援群組的資源類型)。

從資源清單中選取一個物件，然後從以下選項清單之一中進行選取以啟動管理作業：

建立或編輯資源時，Identity Manager 會啟動 ManageResource 工作流程。這個工作流程會在儲存庫中儲存新的或更新的資源，並讓您在建立或儲存資源之前插入核准或其他動作。

管理資源清單

您可以從清單中選取要建立的資源，該清單透過 [管理員介面] 的 [配置] 區進行管理從 [Resource Type Actions] 選項清單中選取 [Configure Managed Resources]，來選擇要寫入資源清單的資源。

在 [Managed Resources] 頁面中，Identity Manager 將資源劃分為兩類：

建立資源

自訂資源	資源類別
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory ActiveSync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustManagerResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financials	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

您可使用資源精靈建立資源。資源精靈會指導您完成建立 Identity Manager 資源配接卡的過程，然後您就可以使用該配接卡來管理資源中的物件。

使用下一頁和上一頁在頁面中移動。當您完成所有選項後，按一下 [儲存] 來儲存資源並回到清單頁。

管理資源

您可以對資源清單中的資源採取多種編輯動作。除了在每一 [資源精靈] 頁上的編輯權限外，您還可以：

使用帳號屬性

Identity Manager 資源使用模式對映定義來自外部資源的屬性之名稱和類型 (資源帳號屬性)；然後它們會將這些屬性對映到標準 Identity Manager 帳號屬性。透過設定模式對映 (在 [資源精靈] 的 [帳號屬性] 頁中)，您可以：

若要存取這些值，請從資源清單中選取資源，然後從 [Resource Actions] 清單中選取 [Edit Resource Schema]。

模式對映的左欄 (標題為「Identity system User Attribute」) 包含 Identity Manager 帳號屬性的名稱，這些屬性由 Identity Manager 管理員和使用者介面中所使用的表單參照。模式對映 (標題為「資源使用者屬性」) 的右欄包含來自外部來源的屬性名稱。

透過定義 Identity 系統屬性名稱，可以用共用名稱定義來自不同資源的屬性。例如，在 Active Directory 資源上，Identity Manager 中的 lastname 屬性對映到 Active Directory 資源屬性 sn；在 GroupWise 上，fullname 屬性可以對映到 GroupWise 屬性 Surname。因此，要求管理員只用一次完成 lastname 的值；當儲存使用者以後，會以不同的名稱將其傳送到資源。

資源群組

同樣使用資源區來管理資源群組，這可讓您對資源進行分組以按特定順序更新這些資源。在群組中加入及排序資源並將該群組指定給某個使用者，即可確定該使用者之資源的建立、更新和刪除順序。

依次對每個資源執行動作。如果對某一資源執行的動作失敗，則不會更新其餘資源。這種類型的關係對相關資源很重要。

例如，一個 Exchange 5.5 資源依賴現有的 Windows NT 或 Windows Active Directory 帳號：在成功建立 Exchange 帳號前，必須存在這些項目其中之一。在以 (依序) Windows NT 資源和 Exchange 5.5 資源建立資源群組後，您需要在建立使用者時確保正確的序列。反之，此順序也確保您在刪除使用者時以正確的序列刪除資源。

選取 [Resources]，然後選取 [List Resource Groups] 以顯示目前定義的資源群組之清單。在該頁中，按一下新增定義資源群組。在定義資源群組時，選項區可讓您選擇並排序選取的資源，以及選取可使用該資源群組的組織。

瞭解變更記錄檔

請閱讀本節，以取得有關 Identity Manager 變更記錄檔功能的資訊，和有助於配置並使用變更記錄檔的程序。

什麼是變更記錄檔？

可以在變更記錄檔中檢視 Identity Manager 資源包含的 Identity 屬性資訊。將每個變更記錄檔定義為擷取 Identity 屬性某個子集的變更。

當資源上的屬性資料變更後，ActiveSync 配接卡會擷取該資訊，然後將變更寫入變更記錄檔。自訂程序檔是專門開發用來與企業中的資源互動，然後讀取變更記錄檔並更新資源。

變更記錄檔功能與 Identity Manager 的標準資源之 ActiveSync 和調解功能不同，因為它與佈建系統資源間接通訊 (透過自訂程序檔)。

變更記錄檔與安全性

Identity Manager 的變更記錄檔功能需要具有寫入本機檔案系統中指定目錄的權限。依預設，某些 Web 容器不允許本機檔案系統存取託管的 Web 模組 (如 Identity Manager)。

透過編輯 Java 策略檔案，您可以取得存取授權。若將 /tmp/changelogs 做為目錄，策略檔案應包含：

grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

編輯此檔案即可；但如果您使用自己的檔案 (非預設檔案)，則伺服器將執行以下選項：

在此情況下，請編輯由 java.security.policy 系統特性識別的檔案。

變更記錄檔功能的需求

變更記錄檔功能需要您配置 Identity 屬性，然後才能配置變更記錄檔。

配置 Identity 屬性

使用以下資訊與程序來配置 Identity 屬性，並選取將要套用 Identity 屬性的 Identity 系統應用程式。

處理 Identity 屬性

若要配置 Identity 屬性，請選取 [Configure]，然後從 Identity Manager 管理員介面選取 [Identity Attributes]。顯示 [Identity Attributes] 頁面。

若要增加 Identity 屬性，請按一下 [Add Attribute]。增加至清單後，透過在清單中按一下 Identity 屬性名稱來編輯該屬性。若要移除一個或多個 Identity 屬性，請先選取要移除的屬性，然後按一下 [Remove Selected Attributes]。

選取應用程式

使用 [Enabled Applications] 區域來選取將套用 Identity 屬性的 Identity 系統應用程式。從 [Available applications] 區域中選取一個或多個應用程式，然後將它們移至 [Enabled applications] 區域。您必須按一下 [Save]，才能執行該動作。

增加和編輯 Identity 屬性

從 [Add Identity Attributes] 或 [Edit Identity Attributes] 頁面，請進行以下這些選取以增加或編輯 Identity 屬性：

增加目標資源

移除目標資源

若要移除一個或多個目標資源，請從清單中選取它們，然後按一下
[Remove Selected Targets]。

匯入 Identity 屬性

使用匯入 Identity 屬性功能，您可以選取一個或多個表單來匯入並寫入 Identity 屬性值。 Identity Manager 將分析匯入的表單值並對 Identity 屬性進行「最佳猜測」；但是在匯入後編輯 Identity 屬性是必要的。

配置變更記錄檔

透過建立變更記錄檔策略與變更記錄檔，配置變更記錄檔。每個變更記錄檔必須具有一個關聯的變更記錄檔策略。變更記錄檔定義變更子集 (由 ActiveSync 偵測到並推入 Identity 屬性) 應該寫入記錄。其關聯的變更記錄檔策略定義寫入變更記錄檔的方式。變更記錄檔將被自訂程序檔消耗。

若要配置變更記錄檔與變更記錄檔策略，請選取 [Configure]，然後從管理員介面功能表列選取 [ChangeLogs]。

Identity Manager 會顯示 [ChangeLog Configuration] 頁面，其中顯示兩個摘要區域。

變更記錄檔策略摘要

變更記錄檔策略摘要區域顯示目前定義的變更記錄檔策略。若要編輯現有的變更記錄檔策略，請按一下清單中該策略的名稱。若要建立變更記錄檔策略，請按一下 [Create Policy]。

若要移除一個或多個變更記錄檔策略，請從清單中選取它們，然後按一下 [Remove Policy]。 (不需要確認此動作。)

變更記錄檔摘要

變更記錄檔摘要區域顯示目前定義的變更記錄檔。若要編輯現有的變更記錄檔，請按一下清單中該變更記錄檔的名稱。若要建立變更記錄檔，請按一下 [Create ChangeLog]。

若要移除一個或多個變更記錄檔，請從清單中選取它們，然後按一下
[Remove ChangeLog]。 (不需要確認此動作。)

儲存變更記錄檔配置變更

您對變更記錄檔配置 (無論是變更記錄檔策略還是定義的變更記錄檔) 做出任何變更之後，必須從 [ChangeLog Configuration] 頁面儲存這些變更。按一下 [Save] 以儲存變更，並返回至 [Identity Manager 配置] 頁面。

建立和編輯變更記錄檔策略

在 [Edit ChangeLog Policy] 頁面上提供輸入並進行選取，以建立或編輯變更記錄檔策略：

按一下 [OK] 以返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK]，才能將新的變更記錄檔策略或變更儲存至現有的策略。

建立和編輯變更記錄檔

在 [Edit ChangeLogs] 頁面上提供輸入並進行選取，以建立或編輯變更記錄檔：

按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK]，才能將新的變更記錄檔或變更儲存至現有的變更記錄檔。

範例

檢視範例，其中詳細說明如何設定 Identity 屬性與變更記錄檔以擷取特定屬性資料集。

範例：定義 Identity 屬性

在此範例中，兩個 Identity Manager 資源 (資源 1 與資源 2) 向第三個資源 (資源 3) 提供來源資料。資源 3 不直接連接至 Identity Manager 系統。需要變更記錄檔來從資源 1 和資源 2 提取資料子集並保留到資源 3 中。

範例：配置變更記錄檔

定義 Identity 屬性後，定義稱為 PhoneList ChangeLog 的變更記錄檔。目的是將 Identity 屬性的子集寫入變更記錄檔。

PhoneList ChangeLog 中的變更記錄檔視圖

當資源 1 或資源 2 中的記錄發生變更之後，變更記錄檔記錄 (來自 Identity 屬性的所有資料) 的資料全集 (不僅是變更) 將寫入變更記錄檔。自訂程序檔會讀取該資訊並將其寫入資源 3。

CSV 檔案格式

請閱讀本節，以取得有關由變更記錄檔寫入的逗號分隔值 (CSV) 檔案的格式之資訊。

想像一下列與欄格式的變更記錄檔，例如試算表或資料庫表格。每「列」為檔案中的每行。

變更記錄檔格式使用前兩列來進行自我說明。這兩列可一併用於定義「模式」；亦即表格中每個「儲存格」( 列上逗號之間的值) 的邏輯名稱與邏輯類型。

第一列命名檔案中的屬性。第二列說明屬性值的類型。其他列表示變更事件的所有資料。

欄

檔案中的第一欄具有特殊的重要性。它會定義作業類型，例如，變更事件是否為建立、修改或刪除動作。它總是命名為 changeType，並總為類型 T (表示文字)。其值為 ADD、MOD 或 DEL 之一。

每一欄應該準確具有一個唯一的項目識別碼 (主鍵)。一般為檔案中的第二欄。

其他欄僅命名屬性。名稱來自於 [ChangeLog View] 表格中的 [Column Name] 值。

列

定義檔案「模式」的前兩個標頭列之後，剩餘的列為屬性的值。值以第一列中欄位的順序顯示。變更記錄檔套用自 Identity 屬性，因此包含偵測到變更時所有已知的使用者資料。

而且，沒有表示空 (或未設定) 的特殊指示值。如果偵測到變更時，而值不存在，則變更記錄檔會寫入空字串。

根據檔案第二列指定的欄類型，對值進行編碼。支援的類型如下：

文字值

文字值不能包含換行。如果檔案需要換行，則使用二進位值類型。

二進位值

多文字值

多文字值與文字值寫入方式相似，但用逗號分隔並使用 [ 與 ] 括住。

多進位值

多進位值與二進位值寫入方式相似 (以 Base64 編碼)，但也用逗號分隔並使用 [ 與 ] 括住。

格式範例

變更記錄檔名稱

配置週轉與序列

這些可在變更記錄檔策略物件中定義，並從變更記錄檔參考。

範例

則將產生與如下類似的檔案名稱。 (在其中每個週轉中，均有兩個序列檔案。)

屬性	<==	來自 Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstname	<==	EmployeeInfo.givename
lastname	<==	EmployeeInfo.givename
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + “ “ + middleInitial + “ “ + lastName
phoneNumber	<==	EmployeeInfo.phone

欄名稱	類型	Identity 屬性
empId	Text	employee
fullname	Text	fullname
phone	Text	phoneNumber

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1 月 1 日顯示 3 個週轉，間隔 8 小時，開始於 07:00:00。1 月 2 日與之類似；僅對應於日期 (20060102) 的名稱部分有所不同。

寫入變更記錄檔程序檔

請閱讀本節，以取得有關變更記錄檔程序檔寫入器有用的資訊。

瞭解策略

什麼是策略？

藉由建立 Identity Manager 帳戶 ID、登入和密碼特性的限制條件，Identity Manager 策略可設定 Identity Manager 使用者的限制。

您需在 [策略] 頁中建立並編輯 Identity Manager 策略。在功能表列中，選取 [Configure]，然後選取 [Policies]。在顯示的清單頁中，可以編輯現有策略並建立新策略。

字典策略

字典策略可使 Identity Manager 根據文字資料庫來檢查密碼，以確保它們不會遭受簡單的字典攻擊。 Identity Manager 可搭配使用此策略與其他策略設定來強制限定密碼的長度及結構，讓攻擊者難以使用字典來猜測系統所產生或變更的密碼。

字典策略可擴充密碼排除清單，您可以使用策略來設定該清單。 (您可使用 [管理員介面] 密碼 [編輯策略] 頁中的 [不得包含文字] 選項來執行這份清單。)

配置字典策略

執行字典策略

從 Identity Manager 策略區執行字典策略。在 [策略] 頁面中，按一下以編輯密碼策略。在 [編輯策略] 頁面中，選取 [根據字典文字檢查密碼] 選項。執行之後，將根據字典來檢查所有變更和產生的密碼。

瞭解權能

權能為 Identity Manager 系統中的多組權利。權能表示管理工作責任，例如重設密碼或管理使用者帳號。每個 Identity Manager 管理使用者均被指定了一項或多項權能，這會提供一組不會危及資料保護的權限。

不是所有的 Identity Manager 使用者都需要為其指定權能；只有那些將透過 Identity Manager 執行一個或多個管理動作的使用者才需要。例如，使用者要變更其密碼不需要指定的權能，但是要變更其他使用者的密碼則需要一個指定的權能。

為您指定的權能會掌控您可存取 Identity Manager 管理介面的哪些區域。所有 Identity Manager 管理使用者可以存取特定的 Identity Manager 區域，包括：

權能類別

內建權能 (隨 Identity Manager 系統提供) 是受保護的，表示您無法編輯它們。但是您可以在建立的權能中使用它們。

受保護 (內建) 權能在清單中以紅色鑰匙 (或紅色鑰匙及資料夾) 圖示標示。您建立並可編輯的權能在權能清單中以綠色鑰匙 (或綠色鑰匙及資料夾) 圖示標示。

使用權能

建立權能

編輯權能

若要編輯非保護的權能，在清單中按一下滑鼠右鍵，然後選取編輯。

儲存並重新命名權能

指定權能

權能階層

帳號管理員

管理員角色管理員

批次帳號管理員

批次變更帳號管理員

權能管理員

變更帳號管理員

匯入/匯出管理員

登入管理員

組織管理員

密碼管理員 (需要驗證)

策略管理員

調解管理員

Remedy 整合管理員

報告管理員

資源管理員

資源物件管理員

資源密碼管理員

角色管理員

安全管理員

檢視組織

檢視資源

Waveset 管理員

權能定義

下表描述各個作業型權能，並列出每個權能可以存取的標籤與子標籤。

所有的權能會允許使用者或管理員存取變更我的密碼和變更我的答案子標籤 (密碼標籤中)。


權能	允許管理員/使用者：	可以存取這些標籤與子標籤：
帳號管理員	對使用者執行所有作業，包括指定權能。不包括批次處理作業。	帳號 — 列出帳號、尋找使用者、擷取至檔案、從檔案載入、從資源載入子標籤密碼 — 所有子標籤核准 — 所有子標籤作業 — 所有子標籤
管理員報告管理員	建立、編輯、刪除和執行管理員報告。	報告 — 管理報告、執行報告子標籤 (僅限管理員報告)
管理員角色管理員	建立、編輯和刪除管理員角色。	配置 — 管理員角色子標籤
核准人	核准或拒絕由其他使用者發起的請求。	核准 — 所有子標籤
指定使用者權能	變更使用者的權能指定 (指定和取消指定)。	帳號 — 列出帳號 (僅編輯)、尋找使用者子標籤。必須以另一項使用者管理員權能指定 (例如，「建立使用者」或「啟用使用者」)。
稽核報告管理員	建立、編輯、刪除和執行稽核報告。	報告 — 僅限稽核報告
批次帳號管理員	對使用者執行一般和批次作業，包括指定權能。	帳號 — 所有子標籤密碼 — 所有子標籤核准 — 所有子標籤作業 — 所有子標籤
批次變更帳號管理員	對現有使用者執行一般與批次處理作業，包括指定權能，但刪除作業除外。	帳號 — 列出帳號、尋找使用者、啟動批次處理動作子標籤。無法建立或刪除使用者。密碼 — 所有子標籤核准 — 所有子標籤作業 — 所有子標籤
批次變更使用者帳號管理員	對現有使用者執行一般和批次作業，但刪除作業除外。	帳號 — 列出帳號、尋找使用者、啟動批次處理動作子標籤。無法建立、刪除或指定給使用者的權能。密碼 — 所有子標籤作業 — 所有子標籤
批次建立使用者	指定資源和發起使用者建立請求 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅建立)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次刪除使用者	刪除 Identity Manager 使用者帳號；取消佈建、取消指定與取消連結資源帳號 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅建立)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次刪除 IDM 使用者	刪除現有 Identity Manager 使用者帳號 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅刪除)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次取消佈建使用者	刪除並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	Accounts — [List Accounts] (僅取消佈建)、[Find Users]、[Launch Bulk Actions] 子標籤作業 — 所有子標籤
批次停用使用者	停用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅停用)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次啟用使用者	啟用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅啟用)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次取消指定使用者	取消指定並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	Accounts — [List Accounts] (僅取消指定)、[Find Users]、[Launch Bulk Actions] 子標籤作業 — 所有子標籤
批次取消連結使用者	取消連結現有資源帳號 (對於個別使用者並使用批次作業)。	Accounts — [List Accounts] (僅取消連結)、[Find Users]、[Launch Bulk Actions] 子標籤作業 — 所有子標籤
批次更新使用者	更新現有使用者和資源帳號 (對於個別使用者並使用批次作業)。	帳號 — 列出帳號 (僅更新)、尋找使用者、啟動批次處理動作子標籤作業 — 所有子標籤
批次使用者帳號管理員	對使用者執行所有一般和批次作業。	帳號 — 所有子標籤密碼 — 所有子標籤作業 — 所有子標籤
權能管理員	建立、修改和刪除權能。	配置 — 權能子標籤
變更帳號管理員	對現有使用者執行所有作業，包括指定權能，但刪除作業除外。不包括批次作業	帳號 — 所有子標籤。無法刪除使用者。密碼 — 所有子標籤核准 — 所有子標籤作業 — 所有子標籤報告 — 在範圍內建立管理員與使用者報告、執行及編輯報告，以及執行稽核記錄報告。無法在範圍外的組織上執行管理員與使用者報告。
變更 Active Sync 資源管理員	變更 Active Sync 資源參數。	作業 — 尋找作業、所有作業、執行作業子標籤資源 — 對於 Active Sync 資源：編輯動作功能表，編輯 Active Sync 參數
變更密碼管理員	變更使用者和資源帳號密碼。	帳號 — 列出帳號、尋找使用者子標籤 (僅限「變更密碼」密碼 — 所有子標籤作業 — 所有子標籤。僅限「匯出密碼掃描」作業 (從執行作業子標籤)
變更密碼管理員 (需要驗證)	在成功驗證使用者身份認證問題答案後，變更使用者和資源帳號密碼。	帳號 — 列出帳號、尋找使用者子標籤 (僅限「變更密碼」；必須先驗證再進行下一個動作) 密碼 — 所有子標籤作業 — 所有子標籤。僅限「匯出密碼掃描」作業 (從執行作業子標籤)
變更資源密碼管理員	變更資源管理員帳號密碼。	Tasks — 所有子標籤資源 — 列出資源子標籤。僅變更密碼 (從動作功能表中的管理連線-->變更密碼)
變更使用者帳號管理員	對現有使用者執行所有作業，但刪除作業除外。不包括批次作業	帳號 — 列出帳號、尋找使用者子標籤無法建立、刪除或指定給使用者的權能。密碼 — 所有子標籤作業 — 所有子標籤
配置稽核	配置在系統中所稽核的活動。	配置 — 稽核事件子標籤
控制 Active Sync 資源管理員	控制 Active Sync 資源狀態 (如開始、停止和更新)	作業 — 尋找作業、全部作業、執行作業資源 — 對於 Active Sync 資源：Active Sync 動作功能表 (所有選擇)
建立使用者	指定資源和發起使用者建立請求。不包括批次作業	帳號 — 列出帳號 (僅建立)、尋找使用者子標籤作業 — 所有子標籤
刪除使用者	刪除 Identity Manager 使用者帳號；取消佈建、取消指定與取消連結資源帳號。不包括批次處理作業。	帳號 — 列出帳號 (僅刪除)、尋找使用者子標籤作業 — 所有子標籤
刪除 IDM 使用者	刪除 Identity Manager 使用者帳號。不包括批次處理作業。	帳號 — 列出帳號 (僅刪除)、尋找使用者子標籤作業 — 所有子標籤
取消佈建使用者	刪除並取消連結現有的資源帳號。不包括批次處理作業。	Accounts - [List Accounts] (僅取消佈建)、[Find Users] 子標籤作業 — 所有子標籤
停用使用者	停用現有的使用者和資源帳號。不包括批次作業	帳號 — 列出帳號 (僅停用)、尋找使用者子標籤作業 — 所有子標籤
啟用使用者	啟用現有的使用者和資源帳號。不包括批次作業	帳號 — 列出帳號 (僅啟用)、尋找使用者子標籤作業 — 所有子標籤
匯入使用者	從定義的資源匯入使用者。	帳號 — 擷取至檔案、從檔案載入、從資源載入子標籤
匯入/匯出管理員	匯入和匯出所有類型的物件。	配置 — 匯入交換檔案子標籤
授權管理員	設定 Identity 系統產品授權	提供 lh 授權指令存取。 (此能力不提供非管理員介面標籤。)
登入管理員	編輯指定登入介面的一組登入模組。	配置 — 登入子標籤
組織管理員	建立、編輯和刪除組織。	帳號 — 列出帳號子標籤 (僅限編輯和建立組織與目錄結合、刪除組織)
密碼管理員	變更和重設使用者與資源帳號密碼。	帳號 — 列出帳號 (僅限列出、變更及重設密碼)、尋找使用者子標籤密碼 — 所有子標籤作業 — 所有子標籤
密碼管理員 (需要驗證)	在成功驗證使用者的身份認證問題答案後，變更和重設使用者與資源帳號密碼。	帳號 — 列出帳號 (僅限列出、變更及重設密碼；必須先驗證再進行下一個動作)、尋找使用者子標籤密碼 — 所有子標籤作業 — 所有子標籤
策略管理員	建立、編輯和刪除策略。	配置 — 策略子標籤
調解管理員	編輯調解策略和控制調解作業。	作業 — 所有子標籤 (檢視調解作業)。資源 — 列出資源子標籤。
調解報告管理員	建立、編輯、刪除和執行調解報告。	報告 — 執行報告(僅限帳號索引報告)、管理報告子標籤
調解請求管理員	管理調解請求。	作業 — 所有子標籤資源 — 列出資源子標籤 (僅限列出及調解功能)。
Remedy 整合管理員	修改 Remedy 整合配置。	作業 — 所有子標籤 (檢視作業，執行角色同步化)。配置 — Remedy 整合子標籤
重新命名使用者	重新命名現有的使用者和資源帳號。	帳號 — 列出帳號子標籤 (列出範圍中的所有帳號、重新命名使用者)
報告管理員	配置稽核設定和執行所有報告類型。	作業 — 所有子標籤 (檢視作業，執行角色同步化)。報告 — 所有子標籤
重設密碼管理員	重設使用者和資源帳號密碼。	帳號 — 列出帳號、尋找使用者子標籤 (僅限「重設密碼」密碼 — 所有子標籤作業 — 所有子標籤。僅限「匯出密碼掃描」作業 (從執行作業子標籤)
重設密碼管理員 (需要驗證)	在成功驗證使用者的身份認證問題答案後，重設使用者和資源帳號密碼。	帳號 — 列出帳號、尋找使用者子標籤 (僅重設密碼；必須先驗證再進行下一個動作) 密碼 — 所有子標籤作業 — 所有子標籤。僅限「匯出密碼掃描」作業 (從執行作業子標籤)
重設資源密碼管理員	重設資源管理員帳號密碼。	作業 — 尋找作業、所有作業、執行作業子標籤資源 — 列出資源子標籤。僅重設資源 (從動作功能表中的 [Manage Connection] --> [Reset Password])
資源管理員	建立、修改和刪除資源。	報告 — 資源使用者報告及資源群組報告會傳回範圍外資源上的錯誤。資源 — 列出資源子標籤 (編輯全域策略、編輯參數、資源群組。無法管理連線或資源物件)。
資源群組管理員	建立、編輯和刪除資源群組。	資源 — 列出資源群組子標籤
資源物件管理員	建立、修改和刪除資源物件。	作業 — 尋找作業、所有作業、執行作業子標籤 (檢視與資源物件有關的作業)。資源 — 列出資源子標籤 (僅限列出及管理資源物件)。
資源密碼管理員	變更和重設資源代理帳號密碼。	作業 — 尋找作業、所有作業、執行作業子標籤資源 — 列出資源子標籤。僅變更密碼 (從動作功能表中的管理連線-->變更密碼)
資源報告管理員	建立、編輯、刪除和執行資源報告。	報告 — 所有子標籤 (僅限資源報告)
風險分析管理員	建立、編輯、刪除和執行風險分析。	Risk Analysis — 所有子標籤
角色管理員	建立、修改和刪除角色。	作業 — 尋找作業、所有作業、執行作業子標籤 (同步化角色) 角色 — 所有子標籤
角色報告管理員	建立、編輯、刪除和執行資源報告。	報告 — 僅限角色報告
執行管理員報告	執行管理員報告。	報告 — 僅限管理報告。
執行稽核報告	執行稽核報告。	報告 — 僅限稽核記錄報告及使用情況報告
執行調解報告	執行調解報告。	報告 — 僅限稽核記錄報告及使用情況報告
執行資源報告	執行資源報告。	報告 — 僅限稽核記錄報告及使用情況報告
執行風險分析	執行風險分析。
執行角色報告	執行角色報告。	報告 — 僅限角色報告
執行作業報告	執行作業報告。	報告 — 僅限作業報告
執行使用者報告	執行使用者報告。	報告 — 僅限使用者報告
安全管理員	建立具有權能的管理員、管理加密金鑰、登入配置和策略。	帳號 — 列出帳號 (刪除、建立、更新、編輯、變更及編輯密碼)、尋找使用者子標籤 (稽核報告) 密碼 — 所有子標籤作業 — 尋找作業、所有作業、執行作業子標籤報告 — 所有子標籤資源 — 列出資源 (列出及控制資源物件)。配置 — 策略、登入子標籤
作業報告管理員	建立、編輯、刪除和執行作業報告。	報告 — 建立及管理作業報告
取消指定使用者	取消指定並取消連結現有的資源帳號。不包括批次處理作業。	Accounts — [List Accounts] (僅取消指定)、[Find Users] 子標籤作業 — 所有子標籤
取消連結使用者	取消連結現有的資源帳號。不包括批次處理作業。	Accounts — [List Accounts] (僅取消連結)、[Find Users] 子標籤作業 — 所有子標籤
取消鎖定使用者	解除鎖定現有使用者支援解除鎖定的資源帳號。不包括批次處理作業。	帳號 — 列出帳號 (僅解除鎖定)、尋找使用者子標籤。作業 — 尋找作業、所有作業、執行作業子標籤
更新使用者	編輯現有使用者和發起使用者更新請求。	帳號 — 編輯和更新使用者作業 — 管理現有作業 (從全部作業子標籤)
使用者帳號管理員	對使用者執行所有作業。	帳號 — 列出帳號、尋找使用者、擷取至檔案、從檔案載入、從資源載入子標籤。無法指定使用者權能 (在列出帳號子標籤上的安全性表單標籤)。作業 — 尋找作業、所有作業、執行作業子標籤
使用者報告管理員	建立、編輯、刪除和執行使用者報告。	報告 — 執行使用者報告。
檢視使用者	檢視個別使用者詳細資訊。	帳號 — 從清單選取使用者以檢視個別使用者帳號資訊。不允許執行變更動作。
Waveset 管理員	執行系統範圍的作業，如修改系統配置物件。	作業 — 所有子標籤。同步化角色、編輯來源配接卡範本，並排程報告。報告 — 所有子標籤資源 — 列出資源 (僅列出，不允許變更動作) 配置 — 稽核事件、電子郵件範本、表單與程序對映子標籤

瞭解管理員角色

管理員角色能指定管理員所管理的一組組織之唯一權能集。會給管理員角色指定各種權能和受控組織，隨後便可將該角色指定給管理使用者。

您可以指定一或多個管理員角色給每位使用者。而同一個管理員角色可以指定給一或多個使用者。

使用者管理員角色

Identity Manager 包含內建管理員角色，標題為「User」。依預設，它不包含權能或控制的組織指定，且無法刪除。此管理員角色在登入時默認指定給所有使用者 (一般使用者與管理員)

您可以透過管理員介面編輯使用者管理員角色 (選取 [Configure]，然後選取 [Admin Roles])。

由於透過此管理員角色靜態指定的任何權能或控制的組織，會指定給所有的使用者，所以建議透過規則來指定權能與控制的組織。這將使不同的使用者有不同的權能 (或沒有權能)，而且指定將根據某些因素 (例如他們的身分、所屬的部門或是否為管理員) 來確定範圍，這些因素可以在規則的上下文中查詢。

使用者管理員角色不停用或替代工作流程中使用的 authorized=true 旗標。當使用者不應存取由工作流程存取的物件時，此旗標依然適用，除非工作流程正在執行。本質上來說，這會讓使用者進入「以超級使用者身份執行」的模式。

然而，當使用者應該具有特定權限在工作流程外或工作流程內存取一個或多個物件時，則透過使用者管理員角色動態指定權能和控制的組織，會啟動對這些物件的動態、細致認證。

範例

以下範例中的步驟說明如何在動態環境中使用使用者管理員角色。

此設定將使管理員登入使用者介面來管理他們的雇員，並禁止雇員登入使用者介面後執行管理功能。

建立和編輯管理員角色

若要建立或編輯管理員角色，必須要為您指定「管理員角色管理員」權能。若要存取管理員角色區，按一下配置，然後按一下管理員角色。 [管理員角色] 清單頁可讓您建立、編輯和刪除 Identity Manager 中的管理員角色。

若要編輯現有的管理員角色，請按一下清單中的名稱。按一下新增建立管理員角色。Identity Manager 會顯示 [建立管理員角色] 頁，您可以於其中指定新管理員角色的權能和範圍。

設定控制組織的範圍

對於包含在管理員角色中的每個直接指定的控制組織，您可以定義使用者可於其中執行動作的物件範圍。您可以選擇包括或排除一個或多個物件，這些物件通常可用於每個由使用者控制的組織。

例如，您可以選擇限制可在組織內建立、更新並刪除使用者的使用者之存取權，該組織包括組織內特定資源子集範圍內的各種資源。若要這麼做，您可以用這些特性建立管理員角色：

若要這麼做，在 [建立管理員角色] 頁的 [選取要包含/排除的物件] 區中進行選取。

如果您將一個項目同時包含在包含與排除清單中，則將會從管理員角色中將其排除。

將使用者表單指定給管理員角色

您可將使用者表單指定為管理員角色的一個屬性。被指定管理員角色的管理員在其管理員角色控制的組織中建立或編輯使用者時，將使用這個使用者表單。透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。不會置換直接指定給管理員的使用者表單。

如果管理員被指定多個管理員角色，這些角色控制相同的組織但指定了不同的使用者表單，則當其嘗試在該組織中建立或編輯使用者時會顯示錯誤。如果管理員嘗試指定兩個或兩個以上控制相同組織但指定了不同使用者表單的管理員角色，則會顯示錯誤。除非解決衝突，否則無法儲存變更。

權能規則與控制的組織規則

下列範例顯示您如何設定權能規則或控制的組織規則，這些規則可以動態控制指定的權能或是賦予給使用者 (已為其指定管理員角色) 的控制組織。

權能規則：金鑰定義與內含項

範例權能規則

控制的組織規則：金鑰定義

範例控制組織規則

瞭解電子郵件範本

Identity Manager 使用電子郵件範本傳送動作的資訊和請求給使用者和核准人。系統包括以下各項的範本：

自訂電子郵件範本

您可以自訂電子郵件範本以便為收件人提供特定的方向，告知對方如何完成作業或檢視結果。例如，您可能想要自訂 [帳號建立核准] 範本，將核准人導向帳號核准頁面：

請前往 http://host.example.com:8080/idm/approval/approval.jsp 來核准為 $ (完整名稱) 所建立的帳號。

電子郵件範本中的 HTML 和連結

您可以將 HTML 格式的內容插入電子郵件範本，以便在電子郵件訊息內文中顯示該內容。內容可包含文字、圖形和 Web 連結資訊。若要啟用 HTML 格式的內容，請選取
[啟用 HTML] 選項。

電子郵件內文中允許的變數

您也可以在電子郵件範本內文中包含變數的參照，格式為 $(Name)；例如：您的密碼 $(password) 已復原。

範本	允許的變數
密碼重設	$(password) — 最新產生的密碼
更新核准	$(fullname) — 使用者的全名 $(role) — 使用者的角色
更新通知	$(fullname) — 使用者的全名 $(role) — 使用者的角色
報告	$(report) — 產生的報告 $(id) — 作業實例的編碼 ID $(timestamp) — 傳送電子郵件的時間
請求資源	$(fullname) — 使用者的全名 $(resource) — 資源類型
風險分析	$(report) — 風險分析報告
臨時密碼重設	$(password) — 最新產生的密碼 $(expiry) — 密碼過期日期

稽核群組配置

若要配置稽核配置群組，請從功能表列中選取 [Configure]，然後選取 [Audit Events]。

[稽核事件] 頁會顯示稽核配置群組的清單，這些群組可能分別包含一或多個事件。您可以針對各個群組記錄成功事件、失敗事件或兩者均記錄。

按一下清單中的稽核配置群組以顯示 [編輯稽核配置群組] 頁面。此頁可讓您選取要在系統稽核記錄中當作稽核配置群組的一部份來記錄的稽核事件類型。

編輯稽核配置群組中的事件

若要編輯群組中的事件，您可以新增或刪除某個物件類型的動作。若要執行這個動作，請將該物件類型的 [動作] 欄中的項目從 [可用的] 移至 [已選取的] 區域，然後按一下確定。

新增事件到稽核配置群組

若要將事件增加到群組，請按一下 [New]。 Identity Manager 會在頁面底部新增事件。從 [物件類型] 欄的清單中選取物件類型，然後將新物件類型的 [動作] 欄中的一或多個項目從 [可用的] 區域移至 [已選取的] 區域。按一下 [確定]，將事件增加到群組中。

Remedy 整合

您可以將 Identity Manager 與 Remedy 伺服器整合，使其根據指定的範本傳送 Remedy 票證。

Remedy 票證的建立透過 Identity Manager 工作流程進行配置。根據您的喜好設定，可以在適當的時間進行呼叫，此呼叫將使用定義的範本開啟 Remedy 票證。如需有關配置工作流程的更多資訊，請參閱「Identity Manager 工作流程、表單與視圖」。

配置 Identity Manager 伺服器設定

您可以編輯伺服器特定設定，好讓 Identity Manager 伺服器只執行特定的作業。若要如此，請選取 [Configure]，然後選取 [Servers]。

若要編輯個別伺服器的設定，請選取 [配置伺服器] 頁面中清單內的伺服器。 Identity Manager 會顯示 [編輯伺服器設定] 頁面，在此您可以編輯調解器和排程程式設定。

調解器設定

依預設，調解器設定會顯示在 [Edit Server Settings] 頁面中。您可以接受預設值或取消選取 [使用] 預設選項來指定設定值：

排程程式設定

按一下 [編輯伺服器設定] 頁上的排程程式以顯示排程程式選項。您可以接受預設值或取消選取 [使用] 預設選項來指定設定值：

編輯預設伺服器設定

預設伺服器設定功能可讓您為所有的 Identity Manager 伺服器設定預設設定。除非您在個別伺服器設定頁中選取不同選項，否則伺服器會繼承這些設定。若要編輯預設設定，請按一下編輯預設伺服器設定。 [編輯預設伺服器設定] 頁面顯示與個別伺服器設定頁面一樣的選項。

您對每個預設伺服器設定所做的變更會傳遞至對應的個別伺服器設定，除非您取消選取該設定的 [使用] 預設選項。

簽署的核准

使用以下資訊與程序來設定數位簽署的核准。執行以下作業的步驟與範例：

配置簽署的核准

伺服器端配置

用戶端配置

先決條件

程序

簽署核准

簽署後續核准

簽署核准之後，後續同意動作僅需輸入金鑰庫密碼並按一下 [Sign]。 (Identity Manager 應該會從上一次核准中記住金鑰庫位置。)

檢視作業事件簽名

遵循下列步驟來檢視 Identity Manager 稽核記錄報告中的作業事件簽名。

上一頁目錄下一頁
Sun Java System Identity Manager 2005Q4M3 管理指南