Sun Java logo     上一頁      目錄      下一頁     

Sun logo
Sun Java System Identity Manager 2005Q4M3 管理指南  

5

配置

本章提供有關使用「管理員介面」設定 Identity Manager 物件的資訊和程序。

在本章中,您可以瞭解關於下列項目的更多內容:


瞭解角色

請閱讀本節以瞭解有關在 Identity Manager 中設定角色的資訊。

角色是甚麼?

Identity Manager 角色可定義管理帳號之資源的集合。 角色可讓您設定使用者的類別,將具有類似特性的 Identity Manager 使用者進行分組。

您可以指定每個使用者到一個或多個角色,或者不指定為任何角色。 指定到一個角色的所有使用者會分享相同資源基礎群組的存取權。

與角色相關的所有資源被間接指定給使用者。 間接指定不同於直接指定,在直接指定中,資源是為使用者特別選定的。

建立或編輯角色時,Identity Manager 會啟動 ManageRole 工作流程。 這個工作流程會在儲存庫中儲存新的或更新的角色,並讓您在建立或儲存角色之前插入核准或其他動作。

您可透過 [管理員介面] 的 [建立和編輯使用者] 頁面將角色指定給使用者。

建立角色

若要建立角色,請:

  1. 在功能表列中,選取 [Roles]
  2. 在 [角色] 清單頁面中,按一下新增

[建立角色] 頁面可讓您:

編輯指定的資源屬性值

在 [建立角色] 頁面上的 [指定的資源] 區按一下設定屬性值以顯示指定給角色的每一資源的屬性清單。 在此 [編輯] 屬性頁面中,您可以指定每個屬性的新值並決定如何設定屬性值。Identity Manager 可讓您直接設定值或使用規則設定值,也提供置換或合併現有值的一組選項。

編輯角色

若要對角色進行修改,請:

  1. 在功能表列中,選取 [Roles]
  2. 在 [角色] 清單頁面中,按一下清單中的角色。

尋找角色

使用 [尋找角色] 區搜尋角色。 搜尋功能會傳回符合您搜尋條件的角色清單。

您可以按以下的一或多個搜尋類型來搜尋角色:

若要搜尋角色,請選取 [Roles],然後選取 [Find Roles]

複製角色

您可以使用現有角色中的選項建立新角色。 若要執行這個動作,請:

  1. 選取要編輯的角色。
  2. 在 [名稱] 欄位中輸入新的名稱,然後按一下儲存
  3. Identity Manager 顯示 [建立或重新命名] 頁面。

  4. 按一下建立可建立新角色。

重新命名角色

若要重新命名角色,請:

  1. 選取要編輯的角色。
  2. 在 [名稱] 欄位中輸入新的名稱,然後按一下儲存
  3. Identity Manager 顯示 [建立或重新命名] 頁面。

  4. 按一下重新命名變更角色名稱。

同步化 Identity Manager 角色和資源角色

您可以將 Identity Manager 角色與原本在資源中建立的角色同步化。 依照預設,在進行同步時,資源將被指定給角色。 角色可以是作業所建立的角色,也可以是符合其中一個資源角色名稱的現有 Identity Manager 角色。

在功能表列中,選取 [Tasks],然後選取 [Run Tasks] 以存取 [Synchronize Identity Manager Roles with Resource Roles] 作業頁面。


瞭解資源

請閱讀本節以獲得協助您設定 Identity Manager 資源的資訊和程序。

甚麼是資源?

Identity Manager 資源儲存有關如何連結到建立帳戶之資源或系統的資訊。Identity Manager 資源定義關於資源的相關屬性並協助指定資源資訊在 Identity Manager 中如何顯示。

Identity Manager 提供廣泛資源類型的資源,包括:

資源區

Identity Manager 顯示關於 [資源] 頁中現有資源的資訊。

若要存取資源,請選取功能表列上的 [Resources]

資源依照類型分組,在清單中以命名的資料夾表示。 若要展開階層式視圖並查看目前定義的資源,請按一下資料夾旁邊的指示器。 再按一下該指示器可以摺疊視圖。

當您展開資源類型資料夾時,它會動態更新並顯示其包含的資源物件數目 (如果它是支援群組的資源類型)。

有些資源具有您可以管理的其他物件,包括:

從資源清單中選取一個物件,然後從以下選項清單之一中進行選取以啟動管理作業:

建立或編輯資源時,Identity Manager 會啟動 ManageResource 工作流程。 這個工作流程會在儲存庫中儲存新的或更新的資源,並讓您在建立或儲存資源之前插入核准或其他動作。

管理資源清單

您可以從清單中選取要建立的資源,該清單透過 [管理員介面] 的 [配置] 區進行管理 從 [Resource Type Actions] 選項清單中選取 [Configure Managed Resources],來選擇要寫入資源清單的資源。

在 [Managed Resources] 頁面中,Identity Manager 將資源劃分為兩類:

若要增加自訂資源,請:

  1. 按一下增加自訂資源,在表格中新增一列。
  2. 輸入資源的資源類別路徑,或輸入您自訂開發的資源。
  3. 按一下儲存新增資源到 [資源] 清單。

下表列出自訂資源類別。

自訂資源

資源類別

Access Manager

com.waveset.adapter.AccessManagerResourceAdapter

ACF2

com.waveset.adapter.ACF2ResourceAdapter

ActivCard

com.waveset.adapter.ActivCardResourceAdapter

Active Directory

com.waveset.adapter.ADSIResourceAdapter

Active Directory ActiveSync

com.waveset.adapter.ActiveDirectoryActiveSyncAdapter

ClearTrust

com.waveset.adapter.ClearTrustManagerResourceAdapter

DB2

com.waveset.adapter.DB2ResourceAdapter

INISafe Nexess

com.waveset.adapter.INISafeNexessResourceAdapter

Microsoft SQL Server

com.waveset.adapter.MSSQLServerResourceAdapter

MySQL

com.waveset.adapter.MySQLResourceAdapter

Natural

com.waveset.adapter.NaturalResourceAdapter

NDS SecretStore

com.waveset.adapter.NDSSecretStoreResourceAdapter

Oracle

com.waveset.adapter.OracleResourceAdapter

Oracle Financials

com.waveset.adapter.OracleERPResourceAdapter

OS400

com.waveset.adapter.OS400ResourceAdapter

PeopleSoft

com.waveset.adapter.PeopleSoftCompIntfcAdapter
com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter

RACF

com.waveset.adapter.RACFResourceAdapter

SAP

com.waveset.adapter.SAPResourceAdapter

SAP HR

com.waveset.adapter.SAPHRResourceAdapter

SAP Portal

com.waveset.adapter.SAPPortalResourceAdapter

Scripted Host

com.waveset.adapter.ScriptedHostResourceAdapter

SecurID

com.waveset.adapter.SecurIdResourceAdapter
com.waveset.adapter.SecurIdUnixResourceAdapter

Siebel

com.waveset.adapter.SiebelResourceAdapter

SiteMinder

com.waveset.adapter.SiteminderAdminResourceAdapter
com.waveset.adapter.SiteminderLDAPResourceAdapter
com.waveset.adapter.SiteminderExampleTableResourceAdapter

Sun ONE Identity Server

com.waveset.adapter.SunISResourceAdapter

Sybase

com.waveset.adapter.SybaseResourceAdapter

Top Secret

com.waveset.adapter.TopSecretResourceAdapter

建立資源

您可使用資源精靈建立資源。 資源精靈會指導您完成建立 Identity Manager 資源配接卡的過程,然後您就可以使用該配接卡來管理資源中的物件。

使用此「資源精靈」可設定下列項目:

若要建立資源,請:

  1. 從 [Resource Type Actions] 選項清單中選取 [New Resource]。
  2. Identity Manager 顯示 [New Resource] 頁面。

  3. 選取資源類型,然後按一下 [New] 以顯示 [Resource Wizard Welcome] 頁面。

  4. 附註  或者,也可以從資源清單中選取資源類型,然後再從 [Resource Type Actions] 清單中選取 [New Resource]。 在此情況下,Identity Manager 不會顯示 [New Resource] 頁面,而是立即啟動資源精靈。

  5. 按一下下一步開始定義資源。 所顯示的「資源精靈」步驟和頁面順序如下:
    • 資源參數 — 設定用於控制認證和資源配接卡運作方式的資源專用參數。 輸入參數,然後按一下 [Test Connection] 來確保連線有效。 確認後,按一下 [Next] 以設定帳號屬性。

    • 在「資源精靈」中設定資源參數。

      圖 1. 資源精靈:資源參數

    • 帳號屬性 (模式對映) — 將 Identity Manager 帳號屬性對映到資源帳號屬性。
    • 若要新增屬性,按一下新增屬性。 選取一個或多個屬性,然後按一下刪除選取的屬性從模式對映中刪除屬性。 當完成時,按一下下一步設定身份識別範本。


      模式對映將 Identity Manager 帳號屬性對映到資源帳號屬性。

      圖 2. 資源精靈:帳號屬性 (模式對映)

    • 身份識別範本 — 定義使用者的帳號名稱語法。 此功能對階層式名稱空間特別重要。
    • 從 [插入屬性] 清單中選取屬性。 從範本刪除屬性,在清單中按一下並從字串中刪除一個或多個項目。 刪除屬性名稱以及前置與後置的 $ (錢幣符號) 字元。


      身份識別範本定義使用者的帳號名稱語法。

      圖 3. 資源精靈:身份識別範本

    • Identity 系統參數 — 設定資源的 Identity Manager 參數,包括重試和策略配置。

    • 使用 [Identity Manager 參數] 頁設定重試和策略配置,以及 ActiveSync 配置。

      圖 4. 資源精靈:Identity 系統參數

使用下一頁上一頁在頁面中移動。 當您完成所有選項後,按一下 [儲存] 來儲存資源並回到清單頁。

管理資源

您可以對資源清單中的資源採取多種編輯動作。 除了在每一 [資源精靈] 頁上的編輯權限外,您還可以:

使用帳號屬性

Identity Manager 資源使用模式對映定義來自外部資源的屬性之名稱和類型 (資源帳號屬性);然後它們會將這些屬性對映到標準 Identity Manager 帳號屬性。 透過設定模式對映 (在 [資源精靈] 的 [帳號屬性] 頁中),您可以:

若要存取這些值,請從資源清單中選取資源,然後從 [Resource Actions] 清單中選取 [Edit Resource Schema]。

模式對映的左欄 (標題為「Identity system User Attribute」) 包含 Identity Manager 帳號屬性的名稱,這些屬性由 Identity Manager 管理員和使用者介面中所使用的表單參照。 模式對映 (標題為「資源使用者屬性」) 的右欄包含來自外部來源的屬性名稱。

透過定義 Identity 系統屬性名稱,可以用共用名稱定義來自不同資源的屬性。 例如,在 Active Directory 資源上,Identity Manager 中的 lastname 屬性對映到 Active Directory 資源屬性 sn;在 GroupWise 上,fullname 屬性可以對映到 GroupWise 屬性 Surname。 因此,要求管理員只用一次完成 lastname 的值;當儲存使用者以後,會以不同的名稱將其傳送到資源。

資源群組

同樣使用資源區來管理資源群組,這可讓您對資源進行分組以按特定順序更新這些資源。 在群組中加入及排序資源並將該群組指定給某個使用者,即可確定該使用者之資源的建立、更新和刪除順序。

依次對每個資源執行動作。 如果對某一資源執行的動作失敗,則不會更新其餘資源。 這種類型的關係對相關資源很重要。

例如,一個 Exchange 5.5 資源依賴現有的 Windows NT 或 Windows Active Directory 帳號:在成功建立 Exchange 帳號前,必須存在這些項目其中之一。 在以 (依序) Windows NT 資源和 Exchange 5.5 資源建立資源群組後,您需要在建立使用者時確保正確的序列。 反之,此順序也確保您在刪除使用者時以正確的序列刪除資源。

選取 [Resources],然後選取 [List Resource Groups] 以顯示目前定義的資源群組之清單。 在該頁中,按一下新增定義資源群組。 在定義資源群組時,選項區可讓您選擇並排序選取的資源,以及選取可使用該資源群組的組織。


瞭解變更記錄檔

請閱讀本節,以取得有關 Identity Manager 變更記錄檔功能的資訊,和有助於配置並使用變更記錄檔的程序。

什麼是變更記錄檔?

可以在變更記錄檔中檢視 Identity Manager 資源包含的 Identity 屬性資訊。 將每個變更記錄檔定義為擷取 Identity 屬性某個子集的變更。

當資源上的屬性資料變更後,ActiveSync 配接卡會擷取該資訊,然後將變更寫入變更記錄檔。 自訂程序檔是專門開發用來與企業中的資源互動,然後讀取變更記錄檔並更新資源。

變更記錄檔功能與 Identity Manager 的標準資源之 ActiveSync 和調解功能不同,因為它與佈建系統資源間接通訊 (透過自訂程序檔)。

變更記錄檔與安全性

Identity Manager 的變更記錄檔功能需要具有寫入本機檔案系統中指定目錄的權限。 依預設,某些 Web 容器不允許本機檔案系統存取託管的 Web 模組 (如 Identity Manager)。

透過編輯 Java 策略檔案,您可以取得存取授權。 若將 /tmp/changelogs 做為目錄,策略檔案應包含:

grant {
    permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

您必須為每個指定的變更記錄檔目錄定義一個檔案權限。

Java 的預設安全策略檔案位於:

$JAVA_HOME/jre/lib/security/java.policy

編輯此檔案即可;但如果您使用自己的檔案 (非預設檔案),則伺服器將執行以下選項:

-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy

在此情況下,請編輯由 java.security.policy 系統特性識別的檔案。


附註  編輯安全策略檔案之後,您可能需要重新啟動 Web 容器。

變更記錄檔功能的需求

變更記錄檔功能需要您配置 Identity 屬性,然後才能配置變更記錄檔。

配置 Identity 屬性

使用以下資訊與程序來配置 Identity 屬性,並選取將要套用 Identity 屬性的 Identity 系統應用程式。

處理 Identity 屬性

若要配置 Identity 屬性,請選取 [Configure],然後從 Identity Manager 管理員介面選取 [Identity Attributes]。 顯示 [Identity Attributes] 頁面。

若要增加 Identity 屬性,請按一下 [Add Attribute]。 增加至清單後,透過在清單中按一下 Identity 屬性名稱來編輯該屬性。 若要移除一個或多個 Identity 屬性,請先選取要移除的屬性,然後按一下 [Remove Selected Attributes]。


附註  您必須按一下 [Save],才能執行該動作。

選取應用程式

使用 [Enabled Applications] 區域來選取將套用 Identity 屬性的 Identity 系統應用程式。 從 [Available applications] 區域中選取一個或多個應用程式,然後將它們移至 [Enabled applications] 區域。 您必須按一下 [Save],才能執行該動作。


附註  若要使用變更記錄檔功能,您必須啟用 ActiveSync 應用程式。

增加和編輯 Identity 屬性

從 [Add Identity Attributes] 或 [Edit Identity Attributes] 頁面,請進行以下這些選取以增加或編輯 Identity 屬性:

增加目標資源


提示  如果 Identity 屬性僅用於變更記錄檔,則不必為 Identity 屬性設定目標。 例如,如果您要使用變更記錄檔,還要使用標準的「輸入表單」來將資料推入 ActiveSync,則您可以這樣做。 如果沒有目標,則 MetaView 將僅評估 Identity 屬性的值;不會在其他任何資源上設定這些屬性。

進行選取以增加應該設定 Identity 屬性的目標資源:

移除目標資源

若要移除一個或多個目標資源,請從清單中選取它們,然後按一下
[Remove Selected Targets]

匯入 Identity 屬性

使用匯入 Identity 屬性功能,您可以選取一個或多個表單來匯入並寫入 Identity 屬性值。 Identity Manager 將分析匯入的表單值並對 Identity 屬性進行「最佳猜測」;但是在匯入後編輯 Identity 屬性是必要的。

進行這些匯入選取:

配置變更記錄檔

透過建立變更記錄檔策略與變更記錄檔,配置變更記錄檔。 每個變更記錄檔必須具有一個關聯的變更記錄檔策略。 變更記錄檔定義變更子集 (由 ActiveSync 偵測到並推入 Identity 屬性) 應該寫入記錄。 其關聯的變更記錄檔策略定義寫入變更記錄檔的方式。 變更記錄檔將被自訂程序檔消耗。

若要配置變更記錄檔與變更記錄檔策略,請選取 [Configure],然後從管理員介面功能表列選取 [ChangeLogs]

Identity Manager 會顯示 [ChangeLog Configuration] 頁面,其中顯示兩個摘要區域。

[ChangeLog Configuration] 頁面可讓您配置變更記錄檔與變更記錄檔策略。

圖 5. 變更記錄檔配置

變更記錄檔策略摘要

變更記錄檔策略摘要區域顯示目前定義的變更記錄檔策略。 若要編輯現有的變更記錄檔策略,請按一下清單中該策略的名稱。 若要建立變更記錄檔策略,請按一下 [Create Policy]。

若要移除一個或多個變更記錄檔策略,請從清單中選取它們,然後按一下 [Remove Policy]。 (不需要確認此動作。)

變更記錄檔摘要

變更記錄檔摘要區域顯示目前定義的變更記錄檔。 若要編輯現有的變更記錄檔,請按一下清單中該變更記錄檔的名稱。 若要建立變更記錄檔,請按一下 [Create ChangeLog]。

若要移除一個或多個變更記錄檔,請從清單中選取它們,然後按一下
[Remove ChangeLog]。 (不需要確認此動作。)

儲存變更記錄檔配置變更

您對變更記錄檔配置 (無論是變更記錄檔策略還是定義的變更記錄檔) 做出任何變更之後,必須從 [ChangeLog Configuration] 頁面儲存這些變更。 按一下 [Save] 以儲存變更,並返回至 [Identity Manager 配置] 頁面。

建立和編輯變更記錄檔策略

在 [Edit ChangeLog Policy] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔策略:

按一下 [OK] 以返回至 [ChangeLog Configuration] 頁面。 您必須從配置頁面按一下 [OK],才能將新的變更記錄檔策略或變更儲存至現有的策略。

建立和編輯變更記錄檔

在 [Edit ChangeLogs] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔:

按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。 您必須從配置頁面按一下 [OK],才能將新的變更記錄檔或變更儲存至現有的變更記錄檔。

範例

檢視範例,其中詳細說明如何設定 Identity 屬性與變更記錄檔以擷取特定屬性資料集。

範例:定義 Identity 屬性

在此範例中,兩個 Identity Manager 資源 (資源 1 與資源 2) 向第三個資源 (資源 3) 提供來源資料。 資源 3 不直接連接至 Identity Manager 系統。 需要變更記錄檔來從資源 1 和資源 2 提取資料子集並保留到資源 3 中。

資源 1:EmployeeInfo
employeeNumber*
givenname
mi
surname
phone

資源 2:OrgInfo
employeeNum*
managerEmpNum
departmentNumber

資源 3:PhoneList
empId*
fullname
phone
department


附註  * 表示用來關聯記錄的鍵。

這些 Identity 屬性如下定義。

屬性

<==

來自 Resource.Attribute

employee

<==

EmployeeInfo.employeeNumber

dept

<==

OrgInfo.departmentNumber

reportsTo

<==

OrgInfo.managerEmpNum

firstname

<==

EmployeeInfo.givename

lastname

<==

EmployeeInfo.givename

middleInitial

<==

EmployeeInfo.mi

fullname

<==

firstName + “ “ + middleInitial + “ “ + lastName

phoneNumber

<==

EmployeeInfo.phone

範例:配置變更記錄檔

定義 Identity 屬性後,定義稱為 PhoneList ChangeLog 的變更記錄檔。 目的是將 Identity 屬性的子集寫入變更記錄檔。

PhoneList ChangeLog 中的變更記錄檔視圖

欄名稱

類型

Identity 屬性

empId

Text

employee

fullname

Text

fullname

phone

Text

phoneNumber

當資源 1 或資源 2 中的記錄發生變更之後,變更記錄檔記錄 (來自 Identity 屬性的所有資料) 的資料全集 (不僅是變更) 將寫入變更記錄檔。 自訂程序檔會讀取該資訊並將其寫入資源 3。

CSV 檔案格式

請閱讀本節,以取得有關由變更記錄檔寫入的逗號分隔值 (CSV) 檔案的格式之資訊。

想像一下列與欄格式的變更記錄檔,例如試算表或資料庫表格。 每「列」為檔案中的每行。

變更記錄檔格式使用前兩列來進行自我說明。 這兩列可一併用於定義「模式」;亦即表格中每個「儲存格」( 列上逗號之間的值) 的邏輯名稱與邏輯類型。

第一列命名檔案中的屬性。 第二列說明屬性值的類型。 其他列表示變更事件的所有資料。

變更記錄檔以 Java UTF-8 格式進行編碼。

檔案中的第一欄具有特殊的重要性。 它會定義作業類型,例如,變更事件是否為建立、修改或刪除動作。 它總是命名為 changeType,並總為類型 T (表示文字)。 其值為 ADD、MOD 或 DEL 之一。

每一欄應該準確具有一個唯一的項目識別碼 (主鍵)。 一般為檔案中的第二欄。

其他欄僅命名屬性。 名稱來自於 [ChangeLog View] 表格中的 [Column Name] 值。

定義檔案「模式」的前兩個標頭列之後,剩餘的列為屬性的值。 值以第一列中欄位的順序顯示。 變更記錄檔套用自 Identity 屬性,因此包含偵測到變更時所有已知的使用者資料。

而且,沒有表示空 (或未設定) 的特殊指示值。 如果偵測到變更時,而值不存在,則變更記錄檔會寫入空字串。

根據檔案第二列指定的欄類型,對值進行編碼。 支援的類型如下:

文字值

文字值寫入為字串,但有兩種例外:

文字值不能包含換行。 如果檔案需要換行,則使用二進位值類型。

二進位值

二進位值以 Base64 進行編碼。

多文字值

多文字值與文字值寫入方式相似,但用逗號分隔並使用 [ 與 ] 括住。

多進位值

多進位值與二進位值寫入方式相似 (以 Base64 編碼),但也用逗號分隔並使用 [ 與 ] 括住。

格式範例

以下範例說明各種輸出格式。 每個範例均遵循以下格式:

column1, column2, column3, column4

每個範例的欄 3 均顯示範例文字。

變更記錄檔名稱

檔案名稱遵循以下格式:

servername_User_timestamp.sequenceNumber.suffix

其中:

配置週轉與序列

這些可在變更記錄檔策略物件中定義,並從變更記錄檔參考。

範例

如果策略定義週轉為:

則將產生與如下類似的檔案名稱。 (在其中每個週轉中,均有兩個序列檔案。)

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1 月 1 日顯示 3 個週轉,間隔 8 小時,開始於 07:00:00。1 月 2 日 與之類似;僅對應於日期 (20060102) 的名稱部分有所不同。

寫入變更記錄檔程序檔

請閱讀本節,以取得有關變更記錄檔程序檔寫入器有用的資訊。


瞭解策略

請閱讀本節以獲得關於配置策略的資訊和程序。

什麼是策略?

藉由建立 Identity Manager 帳戶 ID、登入和密碼特性的限制條件,Identity Manager 策略可設定 Identity Manager 使用者的限制。

您需在 [策略] 頁中建立並編輯 Identity Manager 策略。 在功能表列中,選取 [Configure],然後選取 [Policies]。 在顯示的清單頁中,可以編輯現有策略並建立新策略。

策略分類如下:

字典策略

字典策略可使 Identity Manager 根據文字資料庫來檢查密碼,以確保它們不會遭受簡單的字典攻擊。 Identity Manager 可搭配使用此策略與其他策略設定來強制限定密碼的長度及結構,讓攻擊者難以使用字典來猜測系統所產生或變更的密碼。

字典策略可擴充密碼排除清單,您可以使用策略來設定該清單。 (您可使用 [管理員介面] 密碼 [編輯策略] 頁中的 [不得包含文字] 選項來執行這份清單。)

配置字典策略

若要設定字典策略,您必須:

請遵循下列步驟:

  1. 在功能表列中,選取 [Configure],然後選取 [Policies]
  2. 按一下配置字典顯示 [字典配置] 頁。
  3. 選取並輸入資料庫資訊:
    • Database Type — 選取要用來儲存字典的資料庫類型 (Oracle、DB2、SQLServer 或 MySQL)。
    • Host — 輸入正在執行資料庫的主機名稱。
    • User — 輸入連線至資料庫時使用的使用者名稱。
    • Password — 輸入連線至資料庫時使用的密碼。
    • Port — 輸入資料庫偵聽的連接埠。
    • Connection URL — 輸入連線時要使用的 URL。 以下是可用的範本變數:
      • %h — 主機
      • %p — 連接埠
      • %d — 資料庫名稱
    • Driver Class — 輸入與資料庫進行互動時要使用的 JDBC 驅動程式類別。
    • Database Name — 輸入要載入字典的資料庫名稱。
    • Dictionary Filename — 輸入載入字典時要使用的檔案名稱。
  4. 按一下測試以測試資料庫連線。
  5. 如果連線測試成功,請按一下載入文字來載入字典。

  6. 附註  載入作業可能得花費幾分鐘才能完成。

  7. 按一下測試確認字典已正確載入。

執行字典策略

從 Identity Manager 策略區執行字典策略。 在 [策略] 頁面中,按一下以編輯密碼策略。 在 [編輯策略] 頁面中,選取 [根據字典文字檢查密碼] 選項。 執行之後,將根據字典來檢查所有變更和產生的密碼。


瞭解權能

權能為 Identity Manager 系統中的多組權利。 權能表示管理工作責任,例如重設密碼或管理使用者帳號。 每個 Identity Manager 管理使用者均被指定了一項或多項權能,這會提供一組不會危及資料保護的權限。

不是所有的 Identity Manager 使用者都需要為其指定權能;只有那些將透過 Identity Manager 執行一個或多個管理動作的使用者才需要。 例如,使用者要變更其密碼不需要指定的權能,但是要變更其他使用者的密碼則需要一個指定的權能。

為您指定的權能會掌控您可存取 Identity Manager 管理介面的哪些區域。 所有 Identity Manager 管理使用者可以存取特定的 Identity Manager 區域,包括:

權能類別

Identity Manager 如下定義類別:

內建權能 (隨 Identity Manager 系統提供) 是受保護的,表示您無法編輯它們。 但是您可以在建立的權能中使用它們。

受保護 (內建) 權能在清單中以紅色鑰匙 (或紅色鑰匙及資料夾) 圖示標示。 您建立並可編輯的權能在權能清單中以綠色鑰匙 (或綠色鑰匙及資料夾) 圖示標示。

使用權能

  1. 在功能表列中,選取 [Configure]
  2. 選取 [Capabilities] 以顯示 Identity Manager 權能清單。

建立權能

若要建立權能,請按一下新增

編輯權能

若要編輯非保護的權能,在清單中按一下滑鼠右鍵,然後選取編輯


附註  您無法編輯內建權能;不過您可以用不同的名稱儲存它們以建立您自己的權能,或是在您建立的權能中使用它們。

儲存並重新命名權能

若要「複製」權能 (以不同的名稱儲存它以建立新的權能):

您可以編輯新權能,即使複製的權能受到保護。

指定權能

從 [建立和編輯使用者] 頁將權能指定給使用者。


附註  您也可以透過指定管理員角色 (您透過 [安全性] 區所設定) 將權能指定給使用者。 詳細資訊請參閱瞭解管理員角色

權能階層

作業型權能位於下列功能性權能階層中:

帳號管理員
管理員角色管理員
批次帳號管理員
批次變更帳號管理員
權能管理員
變更帳號管理員
匯入/匯出管理員
登入管理員
組織管理員
密碼管理員 (需要驗證)
策略管理員
調解管理員
Remedy 整合管理員
報告管理員
資源管理員
資源物件管理員
資源密碼管理員
角色管理員
安全管理員
檢視組織
檢視資源
Waveset 管理員

權能定義

下表描述各個作業型權能,並列出每個權能可以存取的標籤與子標籤。

所有的權能會允許使用者或管理員存取變更我的密碼變更我的答案子標籤 (密碼標籤中)。

權能

允許管理員/使用者:

可以存取這些標籤與子標籤:

帳號管理員

對使用者執行所有作業,包括指定權能。 不包括批次處理作業。

帳號列出帳號尋找使用者擷取至檔案從檔案載入從資源載入子標籤

密碼 — 所有子標籤

核准 — 所有子標籤

作業 — 所有子標籤

管理員報告管理員

建立、編輯、刪除和執行管理員報告。

報告管理報告執行報告子標籤 (僅限管理員報告)

管理員角色管理員

建立、編輯和刪除管理員角色。

配置管理員角色子標籤

核准人

核准或拒絕由其他使用者發起的請求。

核准 — 所有子標籤

指定使用者權能

變更使用者的權能指定 (指定和取消指定)。

帳號列出帳號 (僅編輯)、尋找使用者子標籤。

必須以另一項使用者管理員權能指定 (例如,「建立使用者」或「啟用使用者」)。

稽核報告管理員

建立、編輯、刪除和執行稽核報告。

報告 — 僅限稽核報告

批次帳號管理員

對使用者執行一般和批次作業,包括指定權能。

帳號 — 所有子標籤

密碼 — 所有子標籤

核准 — 所有子標籤

作業 — 所有子標籤

批次變更帳號管理員

對現有使用者執行一般與批次處理作業,包括指定權能,但刪除作業除外。

帳號列出帳號尋找使用者啟動批次處理動作子標籤。 無法建立或刪除使用者。

密碼 — 所有子標籤

核准 — 所有子標籤

作業 — 所有子標籤

批次變更使用者帳號管理員

對現有使用者執行一般和批次作業,但刪除作業除外。

帳號列出帳號尋找使用者啟動批次處理動作子標籤。 無法建立、刪除或指定給使用者的權能。

密碼 — 所有子標籤

作業 — 所有子標籤

批次建立使用者

指定資源和發起使用者建立請求 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅建立)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次刪除使用者

刪除 Identity Manager 使用者帳號;取消佈建、取消指定與取消連結資源帳號 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅建立)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次刪除 IDM 使用者

刪除現有 Identity Manager 使用者帳號 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅刪除)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次取消佈建使用者

刪除並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。

Accounts[List Accounts] (僅取消佈建)、[Find Users][Launch Bulk Actions] 子標籤

作業 — 所有子標籤

批次停用使用者

停用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅停用)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次啟用使用者

啟用現有使用者和資源帳號 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅啟用)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次取消指定使用者

取消指定並取消連結現有資源帳號 (對於個別使用者並使用批次作業)。

Accounts[List Accounts] (僅取消指定)、[Find Users][Launch Bulk Actions] 子標籤

作業 — 所有子標籤

批次取消連結使用者

取消連結現有資源帳號 (對於個別使用者並使用批次作業)。

Accounts[List Accounts] (僅取消連結)、[Find Users][Launch Bulk Actions] 子標籤

作業 — 所有子標籤

批次更新使用者

更新現有使用者和資源帳號 (對於個別使用者並使用批次作業)。

帳號列出帳號 (僅更新)、尋找使用者啟動批次處理動作子標籤

作業 — 所有子標籤

批次使用者帳號管理員

對使用者執行所有一般和批次作業。

帳號 — 所有子標籤

密碼 — 所有子標籤

作業 — 所有子標籤

權能管理員

建立、修改和刪除權能。

配置權能子標籤

變更帳號管理員

對現有使用者執行所有作業,包括指定權能,但刪除作業除外。 不包括批次作業

帳號 — 所有子標籤。 無法刪除使用者。

密碼 — 所有子標籤

核准 — 所有子標籤

作業 — 所有子標籤

報告 — 在範圍內建立管理員與使用者報告、執行及編輯報告,以及執行稽核記錄報告。 無法在範圍外的組織上執行管理員與使用者報告。

變更 Active Sync 資源管理員

變更 Active Sync 資源參數。

作業尋找作業所有作業執行作業子標籤

資源 對於 Active Sync 資源:編輯動作功能表,編輯 Active Sync 參數

變更密碼管理員

變更使用者和資源帳號密碼。

帳號 列出帳號、尋找使用者子標籤 (僅限「變更密碼」

密碼 — 所有子標籤

作業 — 所有子標籤。 僅限「匯出密碼掃描」作業 (從執行作業子標籤)

變更密碼管理員 (需要驗證)

在成功驗證使用者身份認證問題答案後,變更使用者和資源帳號密碼。

帳號 列出帳號、尋找使用者子標籤 (僅限「變更密碼」;必須先驗證再進行下一個動作)

密碼 — 所有子標籤

作業 — 所有子標籤。 僅限「匯出密碼掃描」作業 (從執行作業子標籤)

變更資源密碼管理員

變更資源管理員帳號密碼。

Tasks 所有子標籤

資源 列出資源子標籤。 僅變更密碼 (從動作功能表中的管理連線-->變更密碼)

變更使用者帳號管理員

對現有使用者執行所有作業,但刪除作業除外。 不包括批次作業

帳號列出帳號、尋找使用者子標籤 無法建立、刪除或指定給使用者的權能。

密碼 — 所有子標籤

作業 — 所有子標籤

配置稽核

配置在系統中所稽核的活動。

配置稽核事件子標籤

控制 Active Sync 資源管理員

控制 Active Sync 資源狀態 (如開始、停止和更新)

作業尋找作業全部作業執行作業

資源 — 對於 Active Sync 資源:Active Sync 動作功能表 (所有選擇)

建立使用者

指定資源和發起使用者建立請求。 不包括批次作業

帳號列出帳號 (僅建立)、尋找使用者子標籤

作業 — 所有子標籤

刪除使用者

刪除 Identity Manager 使用者帳號;取消佈建、取消指定與取消連結資源帳號。 不包括批次處理作業。

帳號列出帳號 (僅刪除)、尋找使用者子標籤

作業 — 所有子標籤

刪除 IDM 使用者

刪除 Identity Manager 使用者帳號。 不包括批次處理作業。

帳號列出帳號 (僅刪除)、尋找使用者子標籤

作業 — 所有子標籤

取消佈建使用者

刪除並取消連結現有的資源帳號。 不包括批次處理作業。

Accounts - [List Accounts] (僅取消佈建)、[Find Users] 子標籤

作業 — 所有子標籤

停用使用者

停用現有的使用者和資源帳號。 不包括批次作業

帳號列出帳號 (僅停用)、尋找使用者子標籤

作業 — 所有子標籤

啟用使用者

啟用現有的使用者和資源帳號。 不包括批次作業

帳號 列出帳號 (僅啟用)、尋找使用者子標籤

作業 — 所有子標籤

匯入使用者

從定義的資源匯入使用者。

帳號擷取至檔案從檔案載入從資源載入子標籤

匯入/匯出管理員

匯入和匯出所有類型的物件。

配置匯入交換檔案子標籤

授權管理員

設定 Identity 系統產品授權

提供 lh 授權指令存取。 (此能力不提供非管理員介面標籤。)

登入管理員

編輯指定登入介面的一組登入模組。

配置登入子標籤

組織管理員

建立、編輯和刪除組織。

帳號列出帳號子標籤 (僅限編輯和建立組織與目錄結合、刪除組織)

密碼管理員

變更和重設使用者與資源帳號密碼。

帳號列出帳號 (僅限列出、變更及重設密碼)、尋找使用者子標籤

密碼 — 所有子標籤

作業 — 所有子標籤

密碼管理員 (需要驗證)

在成功驗證使用者的身份認證問題答案後,變更和重設使用者與資源帳號密碼。

帳號列出帳號 (僅限列出、變更及重設密碼;必須先驗證再進行下一個動作)、尋找使用者子標籤

密碼 — 所有子標籤

作業 — 所有子標籤

策略管理員

建立、編輯和刪除策略。

配置策略子標籤

調解管理員

編輯調解策略和控制調解作業。

作業 — 所有子標籤 (檢視調解作業)。

資源列出資源子標籤。

調解報告管理員

建立、編輯、刪除和執行調解報告。

報告執行報告(僅限帳號索引報告)、管理報告子標籤

調解請求管理員

管理調解請求。

作業 — 所有子標籤

資源列出資源子標籤 (僅限列出及調解功能)。

Remedy 整合管理員

修改 Remedy 整合配置。

作業 — 所有子標籤 (檢視作業,執行角色同步化)。

配置Remedy 整合子標籤

重新命名使用者

重新命名現有的使用者和資源帳號。

帳號 — 列出帳號子標籤 (列出範圍中的所有帳號、重新命名使用者)

報告管理員

配置稽核設定和執行所有報告類型。

作業 — 所有子標籤 (檢視作業,執行角色同步化)。

報告 — 所有子標籤

重設密碼管理員

重設使用者和資源帳號密碼。

帳號 列出帳號、尋找使用者子標籤 (僅限「重設密碼」

密碼 — 所有子標籤

作業 — 所有子標籤。 僅限「匯出密碼掃描」作業 (從執行作業子標籤)

重設密碼管理員
(需要驗證)

在成功驗證使用者的身份認證問題答案後,重設使用者和資源帳號密碼。

帳號 列出帳號、尋找使用者子標籤 (僅重設密碼;必須先驗證再進行下一個動作)

密碼 — 所有子標籤

作業 — 所有子標籤。 僅限「匯出密碼掃描」作業 (從執行作業子標籤)

重設資源密碼管理員

重設資源管理員帳號密碼。

作業 尋找作業所有作業執行作業子標籤

資源 列出資源子標籤。 僅重設資源 (從動作功能表中的
[Manage Connection] -->
[Reset Password]
)

資源管理員

建立、修改和刪除資源。

報告 — 資源使用者報告及資源群組報告會傳回範圍外資源上的錯誤。

資源列出資源子標籤 (編輯全域策略、編輯參數、資源群組。 無法管理連線或資源物件)。

資源群組管理員

建立、編輯和刪除資源群組。

資源列出資源群組子標籤

資源物件管理員

建立、修改和刪除資源物件。

作業尋找作業所有作業執行作業子標籤 (檢視與資源物件有關的作業)。

資源列出資源子標籤 (僅限列出及管理資源物件)。

資源密碼管理員

變更和重設資源代理帳號密碼。

作業 尋找作業所有作業執行作業子標籤

資源 列出資源子標籤。 僅變更密碼 (從動作功能表中的管理連線-->變更密碼)

資源報告管理員

建立、編輯、刪除和執行資源報告。

報告 — 所有子標籤 (僅限資源報告)

風險分析管理員

建立、編輯、刪除和執行風險分析。

Risk Analysis — 所有子標籤

角色管理員

建立、修改和刪除角色。

作業尋找作業所有作業
執行作業子標籤 (同步化角色)

角色 — 所有子標籤

角色報告管理員

建立、編輯、刪除和執行資源報告。

報告 — 僅限角色報告

執行管理員報告

執行管理員報告。

報告 — 僅限管理報告。

執行稽核報告

執行稽核報告。

報告 — 僅限稽核記錄報告及使用情況報告

執行調解報告

執行調解報告。

報告 — 僅限稽核記錄報告及使用情況報告

執行資源報告

執行資源報告。

報告 僅限稽核記錄報告及使用情況報告

執行風險分析

執行風險分析。

 

執行角色報告

執行角色報告。

報告 — 僅限角色報告

執行作業報告

執行作業報告。

報告 — 僅限作業報告

執行使用者報告

執行使用者報告。

報告 — 僅限使用者報告

安全管理員

建立具有權能的管理員、管理加密金鑰、登入配置和策略。

帳號列出帳號 (刪除、建立、更新、編輯、變更及編輯密碼)、尋找使用者子標籤 (稽核報告)

密碼 — 所有子標籤

作業尋找作業所有作業
執行作業子標籤

報告 — 所有子標籤

資源列出資源 (列出及控制資源物件)。

配置策略登入子標籤

作業報告管理員

建立、編輯、刪除和執行作業報告。

報告 — 建立及管理作業報告

取消指定使用者

取消指定並取消連結現有的資源帳號。 不包括批次處理作業。

Accounts[List Accounts] (僅取消指定)、[Find Users] 子標籤

作業 — 所有子標籤

取消連結使用者

取消連結現有的資源帳號。 不包括批次處理作業。

Accounts[List Accounts] (僅取消連結)、[Find Users] 子標籤

作業 — 所有子標籤

取消鎖定使用者

解除鎖定現有使用者支援解除鎖定的資源帳號。 不包括批次處理作業。

帳號列出帳號 (僅解除鎖定)、尋找使用者子標籤。

作業尋找作業所有作業執行作業子標籤

更新使用者

編輯現有使用者和發起使用者更新請求。

帳號 — 編輯和更新使用者

作業 — 管理現有作業 (從全部作業子標籤)

使用者帳號管理員

對使用者執行所有作業。

帳號列出帳號尋找使用者擷取至檔案從檔案載入從資源載入子標籤。 無法指定使用者權能 (在列出帳號子標籤上的安全性表單標籤)。

作業尋找作業所有作業執行作業子標籤

使用者報告管理員

建立、編輯、刪除和執行使用者報告。

報告 — 執行使用者報告。

檢視使用者

檢視個別使用者詳細資訊。

帳號 — 從清單選取使用者以檢視個別使用者帳號資訊。 不允許執行變更動作。

Waveset 管理員

執行系統範圍的作業,如修改系統配置物件。

作業 — 所有子標籤。 同步化角色、編輯來源配接卡範本,並排程報告。

報告 — 所有子標籤

資源 — 列出資源 (僅列出,不允許變更動作)

配置稽核事件電子郵件範本表單與程序對映子標籤

表 1. Identity Manager 權能說明


瞭解管理員角色

管理員角色能指定管理員所管理的一組組織之唯一權能集。 會給管理員角色指定各種權能和受控組織,隨後便可將該角色指定給管理使用者。

指派給管理員角色的權能和組織可為:

您可以指定一或多個管理員角色給每位使用者。 而同一個管理員角色可以指定給一或多個使用者。

使用者管理員角色

Identity Manager 包含內建管理員角色,標題為「User」。 依預設,它不包含權能或控制的組織指定,且無法刪除。 此管理員角色在登入時默認指定給所有使用者 (一般使用者與管理員)

您可以透過管理員介面編輯使用者管理員角色 (選取 [Configure],然後選取 [Admin Roles])。

由於透過此管理員角色靜態指定的任何權能或控制的組織,會指定給所有的使用者,所以建議透過規則來指定權能與控制的組織。 這將使不同的使用者有不同的權能 (或沒有權能),而且指定將根據某些因素 (例如他們的身分、所屬的部門或是否為管理員) 來確定範圍,這些因素可以在規則的上下文中查詢。

使用者管理員角色不停用或替代工作流程中使用的 authorized=true 旗標。 當使用者不應存取由工作流程存取的物件時,此旗標依然適用,除非工作流程正在執行。 本質上來說,這會讓使用者進入「以超級使用者身份執行」的模式。

然而,當使用者應該具有特定權限在工作流程外或工作流程內存取一個或多個物件時,則透過使用者管理員角色動態指定權能和控制的組織,會啟動對這些物件的動態、細致認證。

範例

以下範例中的步驟說明如何在動態環境中使用使用者管理員角色。

  1. 建立 ou 的兩個 Active Directory:
    • "Chicago Cubs" && "New York Yankees"
  2. 在每個 ou 中建立三個 Active Directory 使用者,使用以下屬性集:
    • Chicago Cubs:
      • Dusty Baker (title = 'manager', manager = '')
      • Kerry Woods (title = 'pitcher', manager = 'Dusty Baker')
      • Mark Prior (title = 'pitcher', manager = 'Dusty Baker')
    • New York Yankees
      • Joe Torre (title = 'manager', manager = '')
      • Alex Rodriguiz (title = '3rd', manager = 'Joe Torre')
      • Derek Jeter (title = 'shortstop', manager = 'Joe Torre')
  3. 將以下規則指定給使用者管理員角色:
    • capabilitesRule ==> If Team Manager Assign Account Admin Capability
    • controlledOrganizationsRule ==> If Team Manager Assign Control of My Team
  4. 建立 Identity Manager 組織 (名為「My Team」) 並指定:
    • userMembersRule ==> Get My Team

當使用者登入時,則:

此設定將使管理員登入使用者介面來管理他們的雇員,並禁止雇員登入使用者介面後執行管理功能。

建立和編輯管理員角色

若要建立或編輯管理員角色,必須要為您指定「管理員角色管理員」權能。 若要存取管理員角色區,按一下配置,然後按一下管理員角色。 [管理員角色] 清單頁可讓您建立、編輯和刪除 Identity Manager 中的管理員角色。

若要編輯現有的管理員角色,請按一下清單中的名稱。 按一下新增建立管理員角色。Identity Manager 會顯示 [建立管理員角色] 頁,您可以於其中指定新管理員角色的權能和範圍。

使用 [建立管理員角色] 頁設定管理員角色。

圖 8. 管理員角色:建立頁

設定控制組織的範圍

對於包含在管理員角色中的每個直接指定的控制組織,您可以定義使用者可於其中執行動作的物件範圍。 您可以選擇包括或排除一個或多個物件,這些物件通常可用於每個由使用者控制的組織。

例如,您可以選擇限制可在組織內建立、更新並刪除使用者的使用者之存取權,該組織包括組織內特定資源子集範圍內的各種資源。 若要這麼做,您可以用這些特性建立管理員角色:

若要這麼做,在 [建立管理員角色] 頁的 [選取要包含/排除的物件] 區中進行選取。

您可以從管理員角色中包含或排除一個或多個物件。

圖 9. 管理員角色:針對控制組織的包含/排除選項

如果您將一個項目同時包含在包含與排除清單中,則將會從管理員角色中將其排除。

將使用者表單指定給管理員角色

您可將使用者表單指定為管理員角色的一個屬性。 被指定管理員角色的管理員在其管理員角色控制的組織中建立或編輯使用者時,將使用這個使用者表單。 透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。 不會置換直接指定給管理員的使用者表單。

編輯使用者時將使用的使用者表單取決於以下優先順序:

如果管理員被指定多個管理員角色,這些角色控制相同的組織但指定了不同的使用者表單,則當其嘗試在該組織中建立或編輯使用者時會顯示錯誤。 如果管理員嘗試指定兩個或兩個以上控制相同組織但指定了不同使用者表單的管理員角色,則會顯示錯誤。 除非解決衝突,否則無法儲存變更。

權能規則與控制的組織規則

下列範例顯示您如何設定權能規則或控制的組織規則,這些規則可以動態控制指定的權能或是賦予給使用者 (已為其指定管理員角色) 的控制組織。


附註  如需有關在 Identity Manager 中建立和使用規則的資訊,請參閱「Identity Manager 部署工具」。

權能規則:金鑰定義與內含項

範例權能規則

<?xml version='1.0' encoding='UTF-8'?>

<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>

<Rule authType='CapabilitiesRule' name='If Manager'>

   <block>

      <defvar name='user groups'>

         <get>

            <invoke name='getResourceObject'               class='com.waveset.ui.FormUtil'>

         <ref>context</ref>

            <s>ranger-AD</s>

            <s>User</s>

         <ref>accountInfo.accounts[ranger-AD].accountId</ref>

         <map>

            <s>searchAttrsToGet</s>

               <list>

            <s>memberOf</s>

               </list>

         </map>

         </invoke>

            <s>user.attributes.memberOf</s>

         </get>

      </defvar>

   <cond>

      <contains>

         <ref>user groups</ref>

            <s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>

      </contains>

      <list>

         <s>Login Administrator</s>

         <s>Resource Administrator</s>

      </list>

   </cond>

   </block>

   <MemberObjectGroups>

      <ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset'        name='Waveset'/>

   </MemberObjectGroups>

</Rule>

控制的組織規則:金鑰定義

範例控制組織規則

<?xml version='1.0' encoding='UTF-8'?>

<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>

<Rule authType='ControlledOrganizationsRule' name='Get managed departments'>

   <block>

      <defvar name='user groups'>

         <get>

            <invoke name='getResourceObject'               class='com.waveset.ui.FormUtil'>

            <ref>context</ref>

               <s>ranger-AD</s>

               <s>User</s>

            <ref>accountInfo.accounts[ranger-AD].accountId</ref>

            <map>

               <s>searchAttrsToGet</s>

            <list>

               <s>memberOf</s>

            </list>

            </map>

         </invoke>

            <s>user.attributes.memberOf</s>

         </get>

      </defvar>

   <cond>

      <contains>

      <ref>user groups</ref>

         <s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>

   </contains>

      <list>

         <s>Waveset</s>

      </list>

     </cond>

   </block>

   <MemberObjectGroups>

   <ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset'        name='Waveset'/>

   </MemberObjectGroups>

</Rule>


瞭解電子郵件範本

Identity Manager 使用電子郵件範本傳送動作的資訊和請求給使用者和核准人。 系統包括以下各項的範本:

自訂電子郵件範本

您可以自訂電子郵件範本以便為收件人提供特定的方向,告知對方如何完成作業或檢視結果。 例如,您可能想要自訂 [帳號建立核准] 範本,將核准人導向帳號核准頁面:

請前往 http://host.example.com:8080/idm/approval/approval.jsp 來核准為 $ (完整名稱) 所建立的帳號。

若要自訂「帳號建立核准」範本:

  1. 在功能表列中,選取 [Configure]
  2. 在 [Configure] 頁面中,選取 [Email Templates]
  3. 按一下以選取 [帳號建立核准] 範本:

  4. 使用 [Edit Email Templates] 頁面,自訂當動作發生時,電子郵件的傳送地以及收件者的詳細資訊。

    圖 10. 自訂電子郵件範本

  5. 輸入範本的詳細資訊:
    • 在 [SMTP 主機] 欄位中,輸入 SMTP 伺服器名稱,以便傳送電子郵件通知。
    • 在 [寄件者] 欄位中,自訂來源電子郵件地址。
    • 在 [收件者] 和 [副本] 欄位中,指定將會接收電子郵件通知的一或多個電子郵件地址或 Identity Manager 帳號。
    • 在 [電子郵件內文] 欄位中,自訂內容以提供指向您的 Identity Manager 位置的指標。
  6. 按一下儲存

  7. 附註  您也可以使用「業務程序編輯器」(BPE) 修改電子郵件範本。 如需有關 BPE 的詳細資訊,請參閱「Identity Manager 部署工具」。

電子郵件範本中的 HTML 和連結

您可以將 HTML 格式的內容插入電子郵件範本,以便在電子郵件訊息內文中顯示該內容。 內容可包含文字、圖形和 Web 連結資訊。 若要啟用 HTML 格式的內容,請選取
[啟用 HTML] 選項。

電子郵件內文中允許的變數

您也可以在電子郵件範本內文中包含變數的參照,格式為 $(Name);例如: 您的密碼 $(password) 已復原。

下表中定義每個範本所允許的變數。

範本

允許的變數

密碼重設

$(password) 最新產生的密碼

更新核准

$(fullname) 使用者的全名

$(role) 使用者的角色

更新通知

$(fullname) 使用者的全名

$(role) 使用者的角色

報告

$(report) 產生的報告

$(id) 作業實例的編碼 ID

$(timestamp) 傳送電子郵件的時間

請求資源

$(fullname) 使用者的全名

$(resource) 資源類型

風險分析

$(report) 風險分析報告

臨時密碼重設

$(password) 最新產生的密碼

$(expiry) 密碼過期日期

表 2. 電子郵件範本變數


稽核群組配置

設定稽核配置群組可讓您記錄和報告您選取的系統事件。

若要配置稽核配置群組,請從功能表列中選取 [Configure],然後選取 [Audit Events]

[稽核事件] 頁會顯示稽核配置群組的清單,這些群組可能分別包含一或多個事件。 您可以針對各個群組記錄成功事件、失敗事件或兩者均記錄。

按一下清單中的稽核配置群組以顯示 [編輯稽核配置群組] 頁面。 此頁可讓您選取要在系統稽核記錄中當作稽核配置群組的一部份來記錄的稽核事件類型。

編輯稽核配置群組中的事件

若要編輯群組中的事件,您可以新增或刪除某個物件類型的動作。 若要執行這個動作,請將該物件類型的 [動作] 欄中的項目從 [可用的] 移至 [已選取的] 區域,然後按一下確定

新增事件到稽核配置群組

若要將事件增加到群組,請按一下 [New]。 Identity Manager 會在頁面底部新增事件。 從 [物件類型] 欄的清單中選取物件類型,然後將新物件類型的 [動作] 欄中的一或多個項目從 [可用的] 區域移至 [已選取的] 區域。 按一下 [確定],將事件增加到群組中。


Remedy 整合

您可以將 Identity Manager 與 Remedy 伺服器整合,使其根據指定的範本傳送 Remedy 票證。

在管理員介面的兩個區域中設定 Remedy 整合:

Remedy 票證的建立透過 Identity Manager 工作流程進行配置。 根據您的喜好設定,可以在適當的時間進行呼叫,此呼叫將使用定義的範本開啟 Remedy 票證。 如需有關配置工作流程的更多資訊,請參閱「Identity Manager 工作流程、表單與視圖」。


配置 Identity Manager 伺服器設定

您可以編輯伺服器特定設定,好讓 Identity Manager 伺服器只執行特定的作業。 若要如此,請選取 [Configure],然後選取 [Servers]

若要編輯個別伺服器的設定,請選取 [配置伺服器] 頁面中清單內的伺服器。 Identity Manager 會顯示 [編輯伺服器設定] 頁面,在此您可以編輯調解器和排程程式設定。

調解器設定

依預設,調解器設定會顯示在 [Edit Server Settings] 頁面中。 您可以接受預設值或取消選取 [使用] 預設選項來指定設定值:

排程程式設定

按一下 [編輯伺服器設定] 頁上的排程程式以顯示排程程式選項。 您可以接受預設值或取消選取 [使用] 預設選項來指定設定值:

按一下儲存來儲存伺服器設定的變更。

編輯預設伺服器設定

預設伺服器設定功能可讓您為所有的 Identity Manager 伺服器設定預設設定。 除非您在個別伺服器設定頁中選取不同選項,否則伺服器會繼承這些設定。 若要編輯預設設定,請按一下編輯預設伺服器設定。 [編輯預設伺服器設定] 頁面顯示與個別伺服器設定頁面一樣的選項。

您對每個預設伺服器設定所做的變更會傳遞至對應的個別伺服器設定,除非您取消選取該設定的 [使用] 預設選項。

按一下儲存來儲存伺服器設定的變更。


簽署的核准

使用以下資訊與程序來設定數位簽署的核准。 執行以下作業的步驟與範例:

配置簽署的核准

遵循下列步驟來配置簽署的核准。

伺服器端配置

啟用伺服器端配置:

  1. 在系統配置中,設定 security.nonrepudiation.signedApprovals=true
  2. 將您的認證機構 (CA) 的憑證增加為可信任的憑證。 若要如此,您必須首先取得憑證的副本。
  3. 例如,如果您正在使用 Microsoft CA,請遵循如下類似步驟:

    1. 請至 http://IPAddress/certsrv,並使用管理權限登入。
    2. 從清單中選取擷取 CA 憑證或憑證撤銷清單,然後按一下 [Next]
    3. 下載並儲存 CA 憑證。
  4. 將憑證增加至 Identity Manager 做為可信任的憑證:
    1. 從管理員介面,選取 [Configure],然後選取 [Certificates]。Identity Manager 將顯示 [Certificates] 頁面。

    2. 使用 [Certificates] 區域來建立可信任的 CA 憑證與 CRL。

      圖 11. 憑證

    3. 在 [Trusted CA Certificates] 區域中,按一下 [Add]。Identity Manager 將顯示 [Import Certificate] 頁面。
    4. 瀏覽至並選取可信任的憑證,然後按一下 [Import]
    5. 現在憑證即顯示在可信任的憑證清單中。

  5. 增加 CA 的憑證撤銷清單 (CRL):
    1. 在 [Certificates] 頁面的 [CRLs] 區域中,按一下 [Add]
    2. 輸入 CA CRL 的 URL。

    3. 備註:

    4. 憑證撤銷清單 (CRL) 為被撤銷或無效的憑證序列號之清單。
    5. CA CRL 的 URL 可以為 http 或 LDAP。
    6. 每個 CA 具有不同的 URL 來發行 CRL;您可以透過瀏覽 CA 憑證的 CRL 發佈點擴充來確定此位置。
  6. 按一下 [Test Connection] 以確認該 URL。
  7. 按一下儲存
  8. 使用 jarsigner 簽署 applets/ts1.jar。

  9. 附註  請參閱 http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html,以取得更多資訊。 Identity Manager 隨附的 ts1.jar 檔案使用自我簽署憑證進行簽署,不應用於生產系統。 在生產中,此檔案應該使用可信任憑證發出的編碼簽署憑證來重新簽署。

用戶端配置

遵循下列步驟來啟用用戶端配置:

先決條件

用戶系統必須執行 JRE 1.4 或更高版本的 Web 瀏覽器。

程序

取得憑證和私密金鑰,然後將他們匯出至 PKCS#12 金鑰庫。

例如,如果您正在使用 Microsoft CA,請遵循如下類似步驟:

  1. 使用 Internet Explorer 瀏覽至 http://IPAddress/certsrv,並使用管理權限登入。
  2. 選取 [Request a certificate],然後按一下 [Next]
  3. 選取 [Advanced request],然後按一下 [Next]
  4. 按一下下一步
  5. 選取憑證範本使用者。
  6. 選取下列選項:
    1. Mark keys as exportable
    2. Enable strong key protection
    3. Use local machine store
  7. 按一下 [Submit],然後按一下[OK]
  8. 按一下 [Install this certificate]
  9. 選取 [Run] —> [mmc] 來啟動 mmc。
  10. 加入憑證快照:
    1. 選取 [Console]—>[Add/Remove Snap-in]。
    2. 按一下 [Add...]
    3. 選取電腦帳號。
    4. 按一下 [Next],然後按一下 [Finish]
    5. 按一下 [Close]
    6. 按一下 [確定]
    7. 移至 [ Certificates]—>[Personal]—>[Certificates]。
    8. 以滑鼠右鍵按一下 [Administrator All Tasks]>[Export]。
    9. 按一下下一步
    10. 按一下 [Next] 來確認匯出私密金鑰。
    11. 按一下下一步
    12. 提供密碼,然後按一下 [Next]
    13. CertificateLocation 歸檔。
    14. 按一下 [Next],然後按一下 [Finish]。 按一下 [OK] 來確認。

簽署核准

遵循下列步驟來簽署核准。

  1. 從 Identity Manager 管理員介面,選取 [Approvals]
  2. 從清單中選取核准。
  3. 輸入核准註釋,然後按一下 [Approve]
  4. Identity Manager 提示您並詢問是否信任該 Applet。

  5. 按一下 [Always]
  6. Identity Manager 將顯示一個註有日期的核准摘要。

  7. 輸入或按一下 [Browse] 來尋找金鑰庫的位置 (伺服器端配置程序的步驟 10m 提供此位置)。
  8. 輸入金鑰庫密碼 (伺服器端配置程序的步驟 10l 提供此密碼)。
  9. 按一下 [Sign] 來核准請求。

簽署後續核准

簽署核准之後,後續同意動作僅需輸入金鑰庫密碼並按一下 [Sign]。 (Identity Manager 應該會從上一次核准中記住金鑰庫位置。)

檢視作業事件簽名

遵循下列步驟來檢視 Identity Manager 稽核記錄報告中的作業事件簽名。

  1. 從 Identity Manager 管理員介面,選取 [Reports]
  2. 在 [Run Reports] 頁面上,從 [New...] 選項清單中選取 [AuditLog Report]。
  3. 在 [Report Title] 欄位中,輸入標題 (例如「Approvals」)。
  4. 在 [Organizations selection] 區域中,選取所有組織。
  5. 選取 [Actions] 選項,然後選取 [Approve]。
  6. 按一下 [Save] 來儲存報告,並返回至 [Run Reports] 頁面。
  7. 按一下 [Run] 來執行該核准報告。
  8. 按一下詳細資訊連結來查看作業事件簽名資訊,其中包括:
    • 核發者
    • 主旨
    • 憑證序列號
    • 簽署的訊息
    • 簽名
    • 簽名演算法


上一頁      目錄      下一頁     


Copyright 2006 Sun Microsystems, Inc. 版權所有。