Sun Java logo     上一页      目录      下一页     

Sun logo
Sun Java System Identity Installation Pack 2005Q4M3 SP4 发行说明  

文档补充和更正


关于 Identity 系统软件指南

Identity 系统软件文档包含多个指南,它们在 Identity Install Pack CD 中以 Acrobat (.pdf) 格式提供。本发行版包含以下指南。

Identity 系统软件

Install Pack 安装(Identity_Install_Pack_Installation_2005Q4M3.pdf) — 介绍如何安装和更新 Identity 系统软件。

Identity Manager

Identity Auditor

Identity Auditor 管理指南 (IDA_Administration_2005Q4M3.pdf) — 介绍 Identity Auditor 管理员界面。

Identity Manager Service Provider Edition


联机指南内容导航

使用 Acrobat 的“书签”功能即可在这些指南中导航。单击书签面板中的章节名称,可以跳至文档中相应章节的位置。

在 Web 浏览器中导航至 idm/doc,便可以在安装的任何 Identity Manager 中查看 Identity Manager 文档集。


Install Pack 安装

更正

前言

从“如何在本指南中查找信息”中删除了对附录 H 的错误交叉引用。(ID-12369)

第 1 章:安装之前

第 2 章:安装用于 Tomcat 的 Identity Install Pack

本章现在支持 Apache Tomcat 应用服务器 4.1.x 版或 5.0.x 版。

第 4 章:安装用于 WebSphere 的 Identity Install Pack

第 7/8 章:安装用于 Sun ONE/Sun Java System Application Server 7/8 的 Identity Install Pack

第 14 章:卸载应用程序

已从“删除软件”>“在 UNIX 上”>“步骤 3”下的语法示例中删除 _Version_ 。(ID-7762)

第 15 章:安装应用程序(手动安装)

已将“安装步骤”>“步骤 3: 配置 Identity Install Pack 索引数据库连接”>“非 Xwindows 环境”>“步骤 3”下的语法示例更正为:(ID-5821)

3. 使用以下命令设置许可证密钥:

cd idm/bin
./lh license set -f LicenseKeyFile

附录 A:索引数据库参考

描述 SQL Server 的行已更改为以下内容:

如果您选择的是:

输入

SQL Server

与 Microsoft SQL Server 2005 JDBC 驱动程序结合使用的默认值:


URL:"jdbc:sqlserver://host.your.com:1433;DatabaseName=dbname"


JDBC 驱动程序:com.microsoft.sqlserver.jdbc.SQLServerDriver


作为如下用户连接:waveset

将以下值与 Microsoft SQL Server 2000 JDBC 驱动程序结合使用:


URL:"jdbc:microsoft:sqlserver://host.your.com:1433; DatabaseName=dbname;SelectMethod=Cursor"


JDBC 驱动程序:com.microsoft.jdbc.sqlserver.SQLServerDriver


作为如下用户连接:waveset

输入索引数据库的位置以及设置该数据库时选择的密码。

注:必须使用同一版本的 JDBC 驱动程序来执行所有 SQL Server 连接。这适用于系统信息库以及所有管理或需要 SQL Server 帐户或表的资源适配器,其中包括 Microsoft SQL 适配器、Microsoft Identity Integration Server 适配器、数据库表适配器、执行脚本的 JDBC 适配器以及任何基于这些适配器的自定义适配器。如果尝试使用不同版本的驱动程序,则会发生冲突错误。

附录 C:为 Identity Manager 配置数据源

配置 JDBC 提供者

使用 WebSphere 的管理控制台配置新 JDBC 提供者。

  1. 单击左边窗格中的资源选项卡,以显示资源类型列表。
  2. 单击 JDBC 提供者,以显示已配置 JDBC 提供者表。
  3. 单击已配置 JDBC 提供者表上方的新建按钮。
  4. 从 JDBC 数据库类型、jdbc 类型和实现类型列表中选择。单击“下一步”。
  5. 在此例中将使用 Oracle、Oracle JDBC 驱动和连接池数据源。

  6. 继续配置常规属性。
    • 指定名称。
    • 类路径字段中指定包含 JDBC 驱动程序的 JAR 的路径。例如,要指定 Oracle 瘦驱动程序,则指定的路径类似于:
    • /usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB-INF/lib/oraclejdbc.jar


      注 可以使用管理控制台指定包含 JDBC 驱动程序的 JAR 的路径。从标识为环境的菜单中,选择 WebSphere 变量菜单项。在此窗格上,首先选择要为其定义此环境变量的单元节点服务器。然后指定 JAR 的路径作为此变量的值。

    • 实现类名字段中指定 JDBC 驱动程序类的全限定名称。
      • 对于 Oracle 瘦驱动程序,此值为 oracle.jdbc.pool.OracleConnectionPoolDataSource
      • 对于 db2 jcc 驱动程序,此值为 com.ibm.db2.jcc.DB2ConnectionPoolDataSource
    • 也可以根据自己的选择更改提供者的名称或描述。
    • 完成后,单击表底部的确定按钮。右边窗格应该显示您添加的提供者。

要配置使用此 JDBC 提供者的数据源,请参见“将 Identity Manager 系统信息库指向数据源”。

配置 Websphere JDBC 数据源

  1. 使用 WebSphere 的管理控制台定义要与现有 JDBC 提供者一起使用的数据源。如果需要定义新的 JDBC 提供者以便与 Identity Install Pack 一起使用,请参见“配置 JDBC 提供者”。

在完成配置数据源之前,必须先配置验证数据。这些别名包含用于连接 DBMS 的证书。

配置 5.1 验证数据
  1. 单击左边窗格中的安全选项卡,以显示安全配置类型列表。
  2. 单击左边窗格中的 JAAS 配置选项卡,以显示 JAAS 配置类型列表。
  3. 单击左边窗格中的 J2C 验证数据选项卡。右边窗格将显示验证数据条目表。
  4. 单击验证数据条目表上方的新建按钮。右边窗格将显示可以配置的常规属性表。
  5. 为新的验证数据条目配置常规属性。注意以下内容:
    • 别名是在为数据源配置 DBMS 证书时显示在选择列表中的名称。
    • 用户 ID 是用于连接 DBMS 的名称。
    • 密码是用于连接 DBMS 的密码。

下一步,配置数据源。

配置 6.x 验证数据
  1. 单击安全 > 全局安全
  2. 在“验证”下,单击 JAAS 配置 > J2C 验证数据。随后显示 J2C 验证数据条目面板。
  3. 单击新建
  4. 输入唯一的别名、有效用户 ID、有效密码和简短描述(可选)。
  5. 单击确定应用。不需要验证用户 ID 和密码。
  6. 单击保存

  7. 注 新创建的条目是可见的,无需重新启动应用服务器进程就可以在数据源定义中使用。不过此条目只有在重新启动服务器后才生效。

配置数据源


注 如果在 Websphere 5.x 群集中配置数据源,请参见“在 Websphere 群集中配置数据源”了解详细信息。

  1. 单击左边窗格中的资源选项卡,以显示资源类型列表。
  2. 单击 JDBC 提供者,以显示已配置 JDBC 提供者表。
  3. 单击表中 JDBC 提供者的名称。右边窗格将显示为选定 JDBC 提供者配置的常规属性表。
  4. 向下滚动到其他属性表。单击数据源。右边窗格将显示已配置为与此 JDBC 提供者一起使用的数据源表。

  5. 注 注意 WebSphere 管理控制台中框架顶部的范围字段。确保节点服务器为空,以便在新建删除按钮下出现用于配置的单元信息。

  6. 单击数据源表上方的新建按钮。右边窗格将显示要配置的常规属性表。
  7. 为新的数据源配置常规属性。注意以下内容:
    • JNDI 名称是目录服务中数据源对象的路径。
      此处指定的值必须与下面一行中 -f 参数的值相同
      setRepo -tdbms -iinitCtxFac -ffilepath
    • 容器管理的持久性应该保持为未选中。Identity Install Pack 不使用 Enterprise Java Bean (EJB)。
    • 组件管理的验证别名指向用于访问此数据源指向的 DBMS 的证书。
    • 从下拉式列表中选择包含适当的 DBMS 证书集的别名。有关更多信息,请参见配置 5.1 验证数据
    • 不使用容器管理的验证别名。将此值设置为(none)。Identity Install Pack 与此数据源指向的 DBMS 建立自己的连接。
    • 配置完此面板后,单击确定。将显示“数据源”页。
  8. 单击所创建的数据源。然后向下滚动到接近底部的“其他属性”表。单击自定义属性链接。
  9. 右边窗格将显示 DBMS 专用属性表。

  10. 为此数据源配置自定义属性。单击每个属性的链接以设置其属性。注意以下内容:
    • URL 是唯一的必需属性。此数据库 URL 标识数据库实例,并包含 driverType、serverName、portNumber 和 databaseName。也可以将其中的一些指定为单独的属性。
    • 此示例中的 driverType 是“瘦”类型的。
    • serverName 是主机名(或 IP 地址)。
    • databaseName 通常是缩写的数据库名称。
    • 对于 Oracle,默认的 portNumber 为 1521。
    • preTestSQLString 可能值得配置为诸如 SELECT 1 FROM USEROBJ 之类的值。此 SQL 查询会确认 USERJOB 表是否存在且是否可访问。
  11. 如果要为性能调节配置这些属性,还可以从“其他属性”表中单击连接池链接。

附录 E:配置 JCE

应显示如下所示的说明:


注 由于必须为此发行版安装 JDK 1.4.2,所有支持的环境现在都应包含 JCE 1.2,此附录中的信息将不再适用。

补充

第 1 章:安装之前

第 2 章:安装用于 Tomcat 的 Identity Install Pack

第 13 章:更新 Identity Manager

添加了对“Identity Manager 升级”的交叉引用,以帮助用户查找完整的升级信息。(ID-12366)

第 15 章:安装应用程序(手动安装)

在“安装步骤”>“步骤 2: 安装应用程序软件”下增加了以下说明:(ID-8344)


注 从 5.0 SP3 发行版起,适配器类现在包含于 idmadapter.jar 文件中。如果您有自定义适配器,可能需要更新您的类路径。

附录 B:配置 MySQL

在“配置 MySQL”>“步骤 3 启动 MySql 进程”下增加了以下信息:(ID-12461)

如果尚未启动此进程,则使用以下步骤注册和启动 MySQL。
在 Windows 上,如果您安装在 c:\mysql 之外的目录中,则创建名为 c:\my.cnf 的文件,此文件包含以下内容:

[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_bin

在 Windows 上,安装并启动服务:

cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysql

附录 C:为 Identity Manager 配置数据源

在“为 Identity Manager 配置 WebSphere 数据源”>“将 Identity Manager 系统信息库指向数据源”下增加了以下信息:(ID-12071)

8. 将系统信息库指向新位置。例如:

lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory -fDataSourcePath

在上例中,DataSourcePath 可以为 jdbc/jndinamebootstrap_port 是 WebSphere 服务器引导程序地址端口。

-Djava.ext.dirs 选项会将 WebSphere 的 lib/java/jre/lib/ext/ 目录下的所有 JAR 文件都添加到类路径。setrepo 命令要正常运行,必须这样做。

更改 -f 选项,使其与您在配置数据源时为 JNDI 名称字段指定的值相匹配。有关此命令的更多信息,请参见 setrepo 参考。


Identity Manager 升级

补充

第 1 章:升级概述

已将下面一段添加到示例升级部分:(ID-12467)

编辑角色表单中的超级角色字段时要小心。超级角色本身可以是嵌套角色。超级角色字段和子角色字段指明角色及其相关资源或资源组的嵌套关系。在将超级角色应用于用户时,超级角色会包含与任何指定子角色关联的资源。超级角色字段会显示出来,以指明包含所显示角色的角色。

第 3 章:制定升级计划

已将以下内容添加到“从 Identity Manager 5.x 升级到 6.x”部分。(ID-12361)

步骤 2:更新系统信息库数据库模式

Identity Manager 6.0 涉及引入用于任务、组、组织的新表以及 syslog 表的模式更改。必须创建这些新的表结构并移动现有数据。


注 在更新系统信息库模式之前,请对系统信息库表进行完全备份。

  1. Identity Manager 使用两个表存储用户对象。示例脚本(位于 sample 目录中)可以用于进行模式更改。
  2. 请参阅 sample/upgradeto2005Q4M3.DatabaseName 脚本来更新系统信息库表。


    注 MySQL 数据库的更新大同小异。有关详细信息,请参阅 sample/upgradeto2005Q4M3.mysql


Identity Manager 管理指南

补充

第 4 章:管理

委托批准

如果您拥有批准者权能,则可以将您未来的批准请求委托给一个或多个用户(受托者)一段指定的时间。用户无需批准者权能即可成为受托者。

委托功能仅适用于未来的批准请求。现有请求(在“等待批准”选项卡下列出)将通过转发功能进行转发。

要设置委托,请选择批准区域的委托我的批准选项卡。


说明

在有效的委托期间,委托可以代表您自己批准任何请求。委托批准请求包含委托的名称。

请求的审计日志条目

如果请求被委托,则批准和拒绝批准请求的审计日志条目将包含您(委托者)的姓名。在创建或修改用户时,对用户委托批准者信息的更改将记录在审计日志条目的详细更改部分。

第 5 章:配置

在资源更改中配置身份属性

身份属性定义资源上属性之间互相关联的方式。在创建或修改资源时,可能会影响这些属性关系。

在保存资源时,Identity Manager 会显示“是否配置身份属性?”页。可以在这里选择:

重新启用“是否配置身份属性?”页

如果禁用了此页,则可以使用下列方法之一重新启用它:

<Field name='accounts[Lighthouse].properties.displayMetaViewPage'>
  <Display class='Checkbox'>
    <Property name='label' value='Display Meta View?'/>
  </Display>
</Field>

配置属性

使用“在资源更改中配置身份属性”页,从要用作身份属性源和目标的已修改资源的模式映射中选择属性。在某些情况下,您不能选择“源”和“目标”列中的属性。以下情况您不能选择属性作为源:

以下情况您不能选择该属性作为目标:

第 7 章:安全

限制并发登录会话

默认情况下,Identity Manager 用户可以使用并发登录会话。不过,您可以将并发会话数目限定为每个登录应用程序一个,方法是更改系统配置对象中 security.authn.singleLoginSessionPerApp 配置属性的值。此属性是一个对象,它为每个登录应用程序名称(如管理员界面、用户界面或 BPE)包含一个属性。将此属性的值更改为 true 会强制每个用户在一个登录会话中。

如果强制实施,则用户可以登录到多个会话。不过,只有最后一次登录的会话保持活动和有效。如果用户对无效会话执行操作,系统会自动强制他离开会话,并且此会话终止。

第 8 章:报告

在标题为“摘要报告”的部分中,用户报告的描述现在包含通过管理器搜索用户的功能:(ID-12690)

第 10 章:PasswordSync

Windows PasswordSync 的故障转移部署

PasswordSync 的体系结构消除了 Identity Manager 的 Windows 密码同步部署中的任何单点故障。

如果您配置每个 Active Directory 域控制器 (ADC) 通过负载平衡器连接到一系列 JMS 客户机中的某一个(参见下图),则 JMS 客户机会将消息发送给消息队列代理群集,这确保任意消息队列失败时都不会丢失消息。


注 消息队列群集可能需要数据库来持久存放消息。(在供应商的产品文档中应提供有关配置消息队列代理群集的说明。)

正在运行配置为自动故障转移的 JMS 侦听器适配器的 Identity Manager 服务器将与消息队列代理群集联系。尽管此适配器一次仅在一个 Identity Manager 上执行,但如果主 ActiveSync 服务器失败,此适配器将开始在辅 Identity Manager 服务器上轮询与密码有关的消息,并将密码更改传播到下游资源。

不使用 Java 通讯服务来实现 PasswordSync

若要不使用 JMS 而实现 PasswordSync,请使用以下标志启动配置应用程序:

Configure.exe -direct

在指定 -direct 标志时,配置应用程序会显示“用户”选项卡。使用“配置 PasswordSync”中介绍的过程配置 PasswordSync,但以下几条例外:

如果不使用 JMS 实现 PasswordSync,则无需创建 JMS 侦听器适配器。因此,应忽略“部署 PasswordSync”中列出的过程。如果要设置通知,可能需要更改“更改用户密码”工作流。


注 此后,如果在未指定 -direct 标志的情况下运行配置应用程序,则 PasswordSync 将要求配置 JMS。使用 -direct 标志重新启动应用程序可以再次绕过 JMS。

更正

第 5 章:资源

在自定义资源类表中,按如下所示更正了 ClearTrust 资源适配器的自定义资源类:(ID-12681)

com.waveset.adapter.ClearTrustResourceAdapter

第 10 章:PasswordSync

在标题为“配置 PasswordSync”的部分中,在 JMS 设置对话框下,队列名称的描述应更正为以下内容:

lh 参考

命令语法已更新为正确指出指定选项后的空间。(ID-12798)

当出于安全原因使用 -p 选项时,应将密码指定为包含密码的文本文件的路径,而不是直接在命令行指定。

示例
license 命令

用法

license [options] { status | set {parameters} }

选项

set 选项的参数必须以 -f File 形式表示。


Identity Manager 工作流、表单和视图

第 1 章:工作流

本章中的手动操作讨论应包含以下信息:

如果工作项目的 itemType 设置为向导,则默认情况下,工作项目在检查 WorkItem 视图时会绕过获取转发批准者。如果 itemType 不是向导,则 Identity Manager 仍将提取转发批准者,除非 CustomUserList 作为手动操作使用的表单的属性设置为 true。(ID-10777)

为此,在表单中包含以下代码:

<Form>

   <Properties>

      Property name='CustomUserLists' value='true'/>

   </Properties>

第 2 章:工作流服务

第 3 章:表单

Identity Manager 可以在显示中标识是否需要资源模式映射中的某个属性。“编辑用户”表单通过 *(星号)标识这些属性。默认情况下,Identity Manager 会在紧跟属性名称的文本字段后显示此星号。(ID-10662)

要自定义星号的位置,请执行以下步骤:

  1. 使用 Identity Manager BPE 或选择的 XML 编辑器,打开组件属性配置对象。
  2. EditForm.defaultRequiredAnnotationLocation=left 添加到 <SimpleProperties> 标记中。
  3. defaultRequiredAnnotationLocation 的有效值包括 left、right 和 none。

  4. 保存更改,然后重新启动应用服务器。

第 4 章:FormUtil 方法

参数

描述

LighthouseContext

指定当前用户的 Lighthouse 上下文。

policy

(必需)指定测试字符串所依据的策略名称。

value

(必需)标识要检查的字符串值。

map

(可选)提供字符串中不得包含的数据映射。

returnNull –(可选)如果设置为 true,则此方法在成功时返回 null 对象

pwdhistory

(可选)以大写、加密格式列出用户先前的密码。

owner

(必需)标识正在检查其字符串值的用户。

此方法返回的值为 true 表示此字符串通过策略测试。如果字符串没有通过策略测试,则此方法将返回一条错误消息。如果在 map 参数中将 returnNull 选项设置为 true,则此方法在成功时返回 null 对象。

参数

描述

s

指定当前用户的 Lighthouse 上下文(会话)。

organizations

指定一个或多个组织名称的列表。支持的组织列表包括通过列出类型为 ObjectGroup 的所有对象返回的组织列表。

此方法返回:

true – 表示当前已验证的 Identity Manager 用户控制列表中的任一组织。

false – 表示当前已验证的 Identity Manager 用户没有控制列表中的任何组织。

第 5 章:视图

帐户类型

此 Identity Manager 发行版支持在具有帐户类型的资源上为用户分配多个帐户。(ID-12697) 在将资源分配给用户时,现在可以有选择地分配资源上的帐户类型,不过具有以下限制:

管理员首先必须在资源上定义帐户类型,然后才能将其与资源关联起来。还必须定义 IdentityRule。(有关身份规则的示例,请参见 samples/identityRules.xml。)

Identity Manager 使用 IdentityRule 子类型将规则与帐户类型关联起来。此规则将根据需要生成 accountIds。(这些规则的功能与身份模板类似,但在 XPRESS 中实现并具有访问 LighthouseContext API 的权限)。

有关如何使用 Identity Manager 管理员界面将帐户类型分配给资源的讨论,请参见 Identity Manager 管理。

忽略帐户类型

如果忽略资源上的帐户类型,则 Identity Manager 将分配默认的帐户类型,此规则向后兼容。不过,如果资源没有定义帐户类型,则系统会禁用此功能。

默认帐户类型使用身份模板。不过,您还可以指定默认类型使用指定的规则,而不是身份模板。

默认帐户类型是唯一的,用户可以分配此类型的多个帐户。不过,建议最好不要分配同一类型的多个帐户。

与视图有关的更改

以下对 Identity Manager 视图的更改支持帐户类型。

委托批准者视图

使用此视图可以将一个或多个 Identity Manager 用户作为委托批准者分配给现有的批准者。此功能允许批准者将其一段指定时间内的批准权能委托给本身可能不是批准者的用户。高级属性包括:(ID-12754)


注 用户视图包含这些相同的属性(名称属性例外)。这些新属性包含在 accounts[Lighthouse]. namespace 中。

name

标识委托批准的用户。

delegateApproversTo

指定将接受用户委托批准的人员,有效值包括 manager、selectedUsers 或 delegateApproversRule。

delegateApproversSelected
delegateApproversStartDate

指定开始批准委托的日期。默认情况下,所选开始日期的时和分为当日上午 12:01。

delegateApproversEndDate

指定结束批准委托的日期。默认情况下,所选结束日期的时和分为当日晚上 11:59。

角色视图文档已更新为如下内容。(ID-12390)

角色视图

用于定义 Identity Manager 角色对象。

在登入时,此视图会启动“管理角色”工作流。默认情况下,此工作流只将视图更改提交给系统信息库,但还提供钩子用于批准和其他自定义操作。

下表列出此视图的高级属性。

属性

可编辑?

数据类型

必需

name

读/写

字符串

resources

读/写

列表

applications

读/写

列表

roles

读/写

列表

assignedResources

读/写

列表

notifications

读/写

列表

approvers

读/写

列表

properties

读/写

列表

 

organizations

读/写

列表

表 1. 角色视图属性

name

标识角色的名称。此属性与 Identity Manager 系统信息库中的角色对象名称对应。

resources

指定本地分配的资源的名称。

applications

指定本地分配的应用程序的名称(资源组)。

roles

指定本地分配的角色的名称。

assignedResources

通过 resources、applications 和 roles 分配的所有资源的平面列表。

属性

可编辑?

数据类型

resourceName

 

字符串

name

 

字符串

attributes

 

对象


resourceName

标识已分配资源的名称。


name

标识资源名称或 ID(最好是 ID)。


attributes

标识资源的特征。所有子属性都是字符串,并且是可编辑的。

属性

描述

name

资源属性的名称

valueType

为此属性设置的值类型。允许的值包括“规则”、“文本”或“无”。

requirement

此属性设置的值类型。允许的值包括“规则”、“文本”、“无”、“值”、“与值合并”、“与值删除”、“与值合并,清除现有值”、“授权设置值”、 “授权与值合并”和“授权与值合并,清除现有值”。

rule

如果值类型为“规则”,则指定规则名称。

value

如果规则类型为“文本”,则指定值。

表 2. 属性选项(角色视图)

第 6 章:XPRESS 语言

第 8 章:HTML 显示组件

示例


单条警报消息

<Field>
   <Display class='InlineAlert'>
      <Property name='alertType' value='warning'/>

      <Property name='header' value='Data not Saved'/>
      <Property name='value' value='The data entered is not yet saved.
          Please click Save to save the information.'/>

   </Display>

</Field>


多条警报消息

只能在 InlineAlert 属性中定义 alertType。可以在 InlineAlert$AlertItems 中定义其他属性。

<Field>

   <Display class='InlineAlert'>

      <Property name='alertType' value='error'/>

   </Display>

   <Field>

     <Display class='InlineAlert$AlertItem'>

        <Property name='header' value='Server Unreachable'/>

        <Property name='value' value='The specified server could not

       be contacted.Please view the logs for more information.'/>

        <Property name='linkURL' value='viewLogs.jsp'/>

        <Property name='linkText' value='View logs'/>

        <Property name='linkTitle' value='Open a new window with  

           the server logs'/>

     </Display>

  </Field>

  <Field>

     <Display class='InlineAlert$AlertItem'>

        <Property name='header' value='Invalid IP Address'/>

        <Property name='value' value='The IP address entered is

       in an invalid subnet.Please use the 192.168.0.x subnet.'/>      </Display>

  </Field>

</Field>

多选组件

显示多选对象,Identity Manager 将其显示为两个并列的文本选择关键字,其中一个框中定义好的一组值可以移到另一个框中。左框中的值由 allowedValues 属性定义,通常通过调用 Java 方法(如 FormUtil.getResources)动态获取值。右侧多选框中显示的值将从关联视图属性(通过字段名称标识)的当前值中填充。

可以通过 availabletitle 和 selectedtitle 属性为此多选对象中的每个框设置表单标题。

如果您希望 MultiSelect 组件不使用 applet,请将 noApplet 属性设置为 true。


注 如果在运行 Safari 浏览器的系统上运行 Identity Manager,则必须自定义包含多选组件的所有表单,以设置 noApplet 选项。按以下方式设置此选项:

<Display class='MultiSelect'>

<Property name='noApplet' value='true'/>

 ...

此显示组件的属性包括:

选择组件

显示单选对象。列表框的值必须由 allowedValues 属性提供。

此显示组件的属性有:


Identity Manager 技术部署概述

以下对关联工作流、表单和 JSP 的讨论属于 Identity Manager 技术部署概述 (ID-7332) 的体系结构概述。

进程执行

用户在页面的字段中输入数据并单击“保存”时,视图、工作流和表单组件将一起工作来执行处理数据所必需的进程。

Identity Manager 中的每个页面都有与其关联的视图、工作流和表单,以执行必需的数据处理。以下两个表格中列出了这些关联的工作流、视图和表单。

Identity Manager 用户界面进程

以下表格显示与从以下 Identity Manager 用户界面页启动的进程有关的表单、视图和工作流:

用户界面页面

表单

视图

工作流

主菜单


endUserMenu


默认最终用户菜单

用户

视图为只读。无法在此页面上进行修改

更改密码


endUserChangePassword


默认更改密码表单

密码


changeUserPassword


默认更改用户密码

更改其他帐户属性


endUserForm


默认最终用户表单

用户

更新用户

检查进程状态


endUserTaskList


默认最终用户任务列表

列表

视图包括由用户启动的 TaskInstance 对象的信息

进程状态

页面由 TaskViewResults 类生成

可用进程


endUserLaunchList


默认最终用户启动列表

列表

视图包括用户可访问的 TaskDefinition 对象的信息

启动进程

启动选定的 TaskDefinition

由 TaskDefinition 定义

进程

更改对验证问题的回答


changeAnswers


默认更改用户答案表单

ChangeUserAnswers

自行搜索

只能链接至现有资源帐户


selfDiscovery


默认自行搜索

用户

更新用户

收件箱


endUserWorkItemList


默认最终用户工作项目列表

列表

视图包含有关当前用户直接拥有的 WorkItem 的信息

收件箱项目编辑

由 WorkItem 指定或自动生成

WorkItem

管理员界面进程

以下表格列出与从这些 Identity Manager 管理员界面页启动的进程有关的表单、视图、工作流和 JSP:

管理员界面页

表单

视图

工作流

创建组织和编辑组织

系统配置映射

根据上下文,可以为以下几种表单之一:


组织表单


组织重命名表单


目录连接表单


虚拟组织表单


虚拟组织刷新表单

组织

创建用户


userForm


默认选项卡式用户表单

用户


createUser


默认创建用户

更新用户


userForm


默认选项卡式用户表单

用户


updateUser


默认更新用户

禁用用户的资源帐户


disableUser


默认禁用用户

禁用


disableUser


默认禁用用户

重命名用户


renameUser


默认重命名用户表单

RenameUser


renameUser


默认重命名用户

更新用户的资源帐户


reprovisionUser


默认重新置备表单

重新置备


updateUser


默认更新用户

解除锁定用户的资源帐户


unlockUser


默认解除锁定用户

解除锁定


unlockUser


默认解除锁定用户

删除用户的资源帐户


deprovisionUser


默认取消置备表单

取消置备


deleteUser


默认删除用户

更改用户密码

使用与最终用户 GUI 相同的工作流,但使用不同的表单


changePassword


默认更改用户密码表单

ChangeUserPassword


changeUserPassword


默认更改用户密码

重设用户密码


resetPassword


默认重置用户密码表单

ResetUserPassword


changeUserPassword


默认更改用户密码

更改我的密码

与“最终用户更改密码”的视图、表单和工作流相同,但是 JSP 不同


endUserChangePassword


默认更改密码表单

密码


changeUserPassword


默认更改用户密码

更改我的答案

与“最终用户更改答案”的视图、表单相同,但是 JSP 不同


changeAnswers


默认更改用户答案表单

ChangeUserAnswers

批准


workItemList


默认工作项目列表


默认表单包括工作项目确认

WorkItemList

 

编辑 WorkItem

WorkItem 视图登入将导致恢复创建此视图的工作流,但是只处理工作项目登入,并不创建工作流

由 WorkItem 指定,或自动生成

WorkItem

启动任务

启动选定的 TaskDefinition

由 TaskDefinition 定义

进程

创建和更新预定任务

没有与 TaskDefinition 表单合并的系统配置映射、默认任务进度表表单

通过组合 TaskDefinition 表单与任务进度表表单(作为包装对象)生成此表单

任务进度表

创建角色和编辑角色

没有系统配置映射

默认角色表单和角色重命名表单取决于具体上下文

角色


manageRole


默认管理角色

编辑资源

没有系统配置映射,根据上下文,表单包括:


更改资源帐户密码表单


重置资源帐户密码表单


编辑资源策略表单


资源重命名表单


资源向导 <资源类型>


资源向导。

允许特定类型的向导表单,默认为资源向导

资源


manageResource


默认管理资源

编辑权能

changeCapabilities,默认更改用户权能表单

ChangeUserCapabilities

Java 服务器页面 (Java Server Pages, JSP) 及其在 Identity Manager 中的角色

以下表格介绍随系统一起提供的 JSP 及其管理员和用户界面页。

用于 Identity Manager 用户界面的 JSP

页面

关联 JSP

主菜单

user/main.jsp

更改密码

user/changePassword.jsp

更改其他帐户属性

user/changeAll.jsp

检查进程状态

user/processStatusList.jsp

进程状态

user/processStatus.jsp

可用进程

user/processList.jsp

启动进程

user/processLaunch.jsp

更改对验证问题的回答

user/changeAnswers.jsp

自行搜索

user/selfDiscover.jsp

收件箱

user/workItemList.jsp

收件箱项目编辑

user/workItemEdit.jsp

用于管理员界面的 JSP

页面

关联 JSP

创建组织和编辑组织

security/orgedit.jsp

创建用户

account/modify.jsp

更新用户

account/modify.jsp

禁用用户的资源帐户

account/resourceDisable.jsp

重命名用户

account/renameUser.jsp

更新用户的资源帐户

account/resourceReprovision.jsp

解除锁定用户的资源帐户

admin/resourceUnlock.jsp

删除用户的资源帐户

account/resourceDeprovision.jsp

更改用户密码

admin/changeUserPassword.jsp

重设用户密码

admin/resetUserPassword.jsp

更改我的密码

admin/changeself.jsp

更改我的答案

admin/changeAnswers.jsp

批准

approval/approval.jsp

编辑 WorkItem

approval/itemEdit.jsp

启动任务

task/taskLaunch.jsp

创建和更新预定任务

task/editSchedule.jsp

创建角色和编辑角色

roles/applicationmodify.jsp

编辑资源

resources/modify.jsp

编辑权能

account/modifyCapabilities.jsp

附录 A:编辑配置对象

在 A-4 页上,默认 QueryableAttrNames 的列表还应列出 idmManager


Identity Manager 6.0 资源参考资料

Access Manager 适配器

在过程“常规配置”中的步骤 5 应作如下阐述:

5.    如果以下几行不存在,请将其添加到 java.security 文件:

security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider

每一行中 security.provider 后的数字指定 Java 参考安全提供者类的顺序,而且此顺序是唯一的。在您的环境中,序列号可能不同。如果您在 java.security 文件中有多个安全提供者,则请按上述给定顺序插入新的安全提供者,然后对现有的安全提供者重新编号。请不要删除现有的安全提供者,且不要复制现有的任何提供者。(ID-12044)

Active Directory 适配器

Active Directory 现在支持 thumbnailPhoto(Windows 2000 Server 和更高版本)和 jpegPhoto (Windows 2003) 二进制属性。

BridgeStream SmartRoles 适配器

Identity Manager 现在提供在 SmartRoles 中置备用户的 BridgeStream SmartRoles 资源适配器。此适配器将用户放置在 SmartRoles 内的适当组织中,以使 SmartRoles 可以确定这些用户应具有哪些业务角色。

在从 SmartRoles 中检索用户时,适配器将检索用户的业务角色。这些业务角色可以用在 Identity Manager 中,以确定应向用户分配的 Identity Manager 角色、资源、属性和访问权限。

此外,SmartRoles 可以作为使用活动同步的用户更改的源。您可以将 SmartRoles 用户加载到 Identity Manager 并进行协调。

有关此适配器的详细信息,请参见 Sun Java™ System Identity Manager 资源参考资料补充资料。(ID-12714)

ClearTrust 适配器

数据库表适配器

此适配器支持二进制数据类型,包括 Oracle 中的 BLOB。必须在模式映射上将相应的属性标记为二进制。示例二进制属性包括图形文件、音频文件和证书。

Flat File Active Sync 适配器

HP OpenVMS 适配器

Identity Manager 现在提供支持 VMS 版本 7.0 和更高版本的 HP OpenVMS 资源适配器。有关此适配器的详细信息,请参见 Sun Java™ System Identity Manager 资源参考资料补充资料。(ID-8556)

JMS 侦听器适配器

JMS 侦听器适配器现在支持同步消息处理,而不是异步处理。因此,“使用说明”的“连接”部分的第二段应为以下内容:

JMS 侦听器适配器在同步模式下运行。它会在目标的 JNDI 名称字段指定的队列或主题目标上建立同步消息使用方。在每次轮询间隔期间,适配器将会接收和处理所有可用的消息。此外,通过为邮件选择器字段定义有效的 JMS 邮件选择器字符串,可以限定邮件(可选)。

“邮件映射”部分应包含以下内容:

在适配器处理限定邮件时,首先会使用邮件映射字段指定的机制,将收到的 JMS 邮件转换为指定值的映射。此结果映射称为邮件值映射

然后,使用帐户属性模式映射将邮件值映射转换为活动同步映射。如果适配器指定了帐户属性,则适配器会在邮件值映射中搜索关键字名称,此关键字名称将在模式映射中显示为资源用户属性。如果关键字名称存在,则会将值复制到活动同步映射,而活动同步映射中的条目名称将被转换为模式映射中 Identity system 用户属性列中指定的名称。

如果邮件值映射包含一个使用帐户属性模式映射无法转换的条目,则邮件值映射中的此条目会按原样复制到活动同步映射。

LDAP 适配器

二进制帐户属性支持

现在支持 inetOrgPerson 对象类中的以下二进制帐户属性:

资源用户属性

LDAP 语法

描述

audio

Audio

音频文件。

jpegPhoto

JPEG

JPEG 格式的图像。

userCertificate

certificate

二进制格式的证书。

可能支持其他二进制帐户,但尚未对其进行测试。

禁用和启用帐户

LDAP 适配器提供了几种方法来禁用 LDAP 资源上的帐户。使用以下方法之一来禁用帐户。


将密码更改为未知值

要通过将密码更改为未知值帐户的方式来禁用帐户,请将 LDAP 激活方法LDAP 激活参数字段保留为空。这是禁用帐户的默认方法。此帐户可以通过分配新密码来重新启用。


分配 nsmanageddisabledrole 角色

要使用 nsmanageddisabledrole LDAP 角色来禁用和启用帐户,请按如下步骤配置 LDAP 资源:

  1. 在“资源参数”页上,将 LDAP 激活方法字段设置为 nsmanageddisabledrole
  2. LDAP 激活参数字段设置为 IDMAttribute=CN=nsmanageddisabledrole,baseContext。(IDMAttribute 将在下一步骤的模式中指定。)
  3. 在“帐户属性”页上,添加 IDMAttribute 作为 Identity System 用户属性。将“资源用户”属性设置为 nsroledn。属性必须是字符串类型。
  4. 在 LDAP 资源上创建名为 nsAccountInactivationTmp 的组,并作为成员分配 CN=nsdisabledrole,baseContext

现在可以禁用 LDAP 帐户。要使用 LDAP 控制台验证,请检查 nsaccountlock 属性的值。值为 true 表示帐户已锁定。

如果稍后重新启用此帐户,则从角色中将其删除。


设置 nsAccountLock 属性

要使用 nsAccountLock 属性来禁用和启用帐户,请按如下步骤配置 LDAP 资源:

  1. 在“资源参数”页上,将 LDAP 激活方法字段设置为 nsaccountlock
  2. LDAP 激活参数字段设置为 IDMAttribute=true。(IDMAttribute 将在下一步骤的模式中指定。)例如,accountLockAttr=true
  3. 在“帐户属性”页上,添加 LDAP 激活参数字段中指定的值作为 Identity System 用户属性。将“资源用户”属性设置为 nsaccountlock。属性必须是字符串类型。
  4. 将资源的 nsAccountLock LDAP 属性设置为 true
  5. Identity Manager 会在禁用某个帐户时将 nsaccountlock 设置为 true。它还假定之前已存在且 nsaccountlock 设置为 true 的 LDAP 用户也处于禁用状态。如果 nsaccountlock 为 true 以外的任何值(包括 null),则系统会认为该用户处于启用状态。


不使用 nsmanageddisabledrolensAccountLock 属性禁用帐户

如果 nsmanageddisabledrolensAccountLock 属性在目录服务器上不可用,但目录服务器使用类似方法来禁用帐户,请将以下类名之一输入 LDAP 激活方法字段。在 LDAP 激活参数字段中输入的值因类的不同而异。

类名

何时使用:

com.waveset.adapter.util.
ActivationByAttributeEnableFalse

目录服务器通过将属性设置为 false 来启用帐户,通过将属性设置为 true 来禁用帐户。

将属性添加到模式映射。然后,在 LDAP 激活参数字段中输入属性的 Identity Manager 名称(在模式映射的左侧定义)。

com.waveset.adapter.util.
ActivationByAttributeEnableTrue

目录服务器通过将属性设置为 true 来启用帐户,通过将属性设置为 false 来禁用帐户。

将属性添加到模式映射。然后,在 LDAP 激活参数字段中输入属性的 Identity Manager 名称(在模式映射的左侧定义)。

com.waveset.adapter.util.
ActivationByAttributePullDisablePushEnable

Identity Manager 应该通过从 LDAP 获取属性/值对来禁用帐户,通过将属性/值对推入 LDAP 来启用帐户。

将属性添加到模式映射。然后,在 LDAP 激活参数字段中输入属性/值对。使用属性的 Identity Manager 名称(在模式映射的左侧定义)。

com.waveset.adapter.util.
ActivationByAttributePushDisablePullEnable

Identity Manager 应该通过将属性/值对推入 LDAP 来禁用帐户,通过从 LDAP 获取属性/值对来启用帐户。

将属性添加到模式映射。然后,在 LDAP 激活参数字段中输入属性/值对。使用属性的 Identity Manager 名称(在模式映射的左侧定义)。

com.waveset.adapter.util.
ActivationNsManagedDisabledRole

目录使用特定的角色来确定帐户状态。如果将帐户分配给此角色,则帐户被禁用。

将角色名称添加到模式映射。然后,使用以下格式在 LDAP 激活参数字段中输入值:

IDMAttribute=CN=roleName,baseContext

IDMAttribute 是角色的 Identity Manager 名称(在模式映射的左侧定义)。

主机适配器(ACF2、Natural、RACF、Top Secret)

适用于 Web Emulator Class Library 的 Attachmate Reflection (Reflection ECL) 可用于连接主机资源。此库与 IBM Host on Demand API 相兼容。请按照产品随附的所有安装说明进行操作。然后,执行“安装说明”和“SSL 配置”中所述的步骤。

安装说明

按照以下步骤,使用 Attachmate Reflection ECL 建立连接:

  1. 将资源添加到 Identity Manager 资源列表,如 Identity Manager 资源参考资料 中所述。
  2. 将相应的 JAR 文件复制到 Identity Manager 安装的 WEB-INF/lib 目录。
    • RWebSDK.jar
    • wrqtls12.jar
    • profile.jar
  3. 将下列定义添加到 Waveset.properties 文件中,以定义用于管理终端会话的服务:
  4. serverSettings.serverId.mainframeSessionType=Value

    serverSettings.default.mainframeSessionType=Value

    Value 可以设置为:

    • 1 — IBM Host On—Demand (HOD)
    • 3 — Attachmate WRQ
    • 如果没有明确设置这些属性,则 Identity Manager 会首先尝试使用 WRQ,然后再使用 HOD。

  5. 在 WebSphere Application Server 中安装 Attachmate 库时,将属性 com.wrq.profile.dir=LibraryDirectory 添加到 WebSphere/AppServer/configuration/config.ini 文件中。
  6. 这样,Attachmate 代码便能查找许可文件。

  7. 重新启动应用服务器,以使对 Waveset.properties 文件所做的修改生效。

执行“SSL 配置”中所述的步骤。

SSL 配置

适用于 Web Emulator Class Library 的 Attachmate Reflection (Reflection ECL) 与 IBM Host on Demand API 相兼容。请按照产品随附的所有安装说明进行操作。然后,在 Identity Manager 中执行以下步骤。

  1. 如果资源尚不具备称为“会话属性”的资源属性,请使用 Identity Manager IDE 或调试页将该属性添加到资源对象。在 <ResourceAttributes> 部分中添加以下定义:
  2. <ResourceAttribute name='Session Properties' displayName='Session Properties' description='Session Properties' multi='true'>

    </ResourceAttribute>

  3. 转到资源的“资源参数”页,然后将下列值添加到“会话属性”资源属性:
  4. encryptStream
    true
    hostURL
    tn3270://hostname:SSLport
    keystoreLocation
    Path_To_Trusted_ps.pfx_file

Oracle/Oracle ERP 适配器

本发行版中,Identity Manager 资源参考资料中的 Oracle/Oracle ERP 一章被分成两个独立的章。请参阅 Sun Java System Identity Manager 资源参考资料补充资料来了解新的两章。 (ID-12758)

Oracle 适配器

Oracle ERP 适配器

审计职责

向 Oracle ERP 适配器添加了多个属性来支持审计功能。(ID-11725)

要审计分配给用户的职责的子项目(如表单和函数),请将 auditorObject 添加到模式映射。auditorObject 是一个包含一组职责对象的复杂属性。在职责对象中会始终返回以下属性:

如果返回通讯录集和/或组织资源参数设置为 TRUE,则还返回以下属性:

除了 responsibility、setOfBooksName、setOfBooksId、organizationalUnitId 和 organizationalUnitName 属性外,属性名称与可能添加到模式映射中的帐户属性名称相匹配。帐户属性包含分配给用户的值的完整集合。responsibility 对象中包含的属性是此职责特有的。

auditorResps[] 视图提供对职责属性的访问权限。以下表单的代码片段返回分配给用户的所有活动职责(及其属性)。

<defvar name='audObj'>

   <invoke name='get'>

      <ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>

   </invoke>

</defvar>

<!-- this returns list of responsibility objects -->

<defvar name='respList'>

   <invoke name='get'>

      <ref>audObj</ref>

      <s>auditorResps[*]</s>

   </invoke>

</defvar>

例如:

Oracle EBS 12 支持

Oracle ERP 适配器支持 Oracle E-Business Suite (EBS) 版本 12。可能不再需要对 Oracle ERP 用户表单的各部分进行编辑或注释,具体取决于 Identity Manager 资源参考资料中所述的 ERP 安装版本。

FormRef 属性目前支持以下属性:

无论从何处引用用户表单,都应该输入这些属性。例如,选项卡式用户表单可能需要类似以下的内容来支持发行版 12。

<FormRef name='Oracle ERP User Form'>
   <Property name='RESOURCE_NAME' value='Oracle ERP R12'/>
   <Property name='VERSION' value='12'/>
   <Property name='RESP_DESCR_COL_EXISTS' value='TRUE'/>
</FormRef>

SAP 适配器

信息类型

名称

支持的子类型

0000

操作

不适用

0001

组织分配

不适用

0002

个人数据

不适用

0006

地址

01(永久住所),03(家庭住所)

0105

通信

MAIL(电子邮件地址),0010(Internet 地址)

SAPHRActiveSyncAdapter 现在支持 mySAP ERP ECC 5.0 (SAP 5.0)。 因此,对“资源配置说明”作了以下更改 (ID-12769):

SAP 资源适配器

以下资源配置说明仅适用于 SAP 资源适配器。 

要使用户能更改自己的 SAP 密码,请执行以下步骤:

  1. 设置更改时用户提供密码资源属性。
  2. 在模式映射的两侧添加 WS_USER_PASSWORD。不需要修改用户表单或其他表单。

SAP HR Active Sync 适配器

以下资源配置说明仅适用于 SAP HR Active Sync 适配器。

SAP Application Link Enabling (ALE) 技术支持在 SAP 与外部系统(如 Identity Manager)之间进行通信。SAP HR Active Sync 适配器使用出站 ALE 接口。在出站 ALE 接口中,基本逻辑系统成为出站消息的发送方和入站消息的接收方。在对数据库进行更改(如雇用雇员、更新职位数据、解雇雇员等)时,SAP 用户将有可能登录到基本逻辑系统/客户机。还必须为接收客户机定义逻辑系统/客户机。此逻辑系统将充当出站消息的接收方。对于两个系统之间的消息类型,活动同步适配器将使用 HRMD_A 消息类型。消息类型具有跨系统发送数据的特征,而且与数据的结构有关,也称为 IDoc 类型(如 HRMD_A05)。

以下步骤提供了 SAP 上活动同步适配器接收来自 SAP HR 的授权内容时所需的配置:


注 必须配置 SAP 系统参数才能启用 HRMD_A IDoc 的 Application Link Enabling (ALE)。这允许在两个应用程序系统之间进行数据分发,也称为消息传送

创建逻辑系统

根据您当前的 SAP 环境,可能不需要创建逻辑系统。您可能只需要修改现有的分发模型,方法是将 HRMD_A 消息类型添加到先前配置的模型视图。不过,一定要按照 SAP 提供的建议来创建逻辑系统和配置 ALE 网络,这一点很重要。以下说明假定您要创建新逻辑系统和新模型视图。

  1. 输入事务代码 SPRO,然后显示 SAP Reference IMGproject(或适用于您组织的项目)。
  2. 根据您使用的 SAP 版本,执行以下步骤之一:
    • 对于 SAP 4.6,单击基本组件 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 定义逻辑系统
    • 对于 SAP 4.7,单击 SAP Web 应用服务器 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 定义逻辑系统
    • 对于 SAP 5.0,单击 SAP Netweaver > SAP Web 应用服务器 > IDOC Interface/Application Link Enabling (ALE) > 基本设置 > 逻辑系统 > 定义逻辑系统
  3. 单击编辑 > 新建条目
  4. 输入要创建的逻辑系统的名称和描述 (IDMGR)。
  5. 保存输入。

将客户机分配给逻辑系统

  1. 输入事务代码 SPRO,然后显示 SAP Reference IMGproject(或适用于您组织的项目)。
  2. 根据您使用的 SAP 版本,执行以下步骤之一:
    • 对于 SAP 4.6,单击基本组件 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 将客户机分配给逻辑系统
    • 对于 SAP 4.7,单击 SAP Web 应用服务器 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 将客户机分配给逻辑系统
    • 对于 SAP 5.0,单击 SAP Netweaver > SAP Web 应用服务器 > IDOC Interface/Application Link Enabling (ALE) > 基本设置 > 逻辑系统 > 将客户机分配给逻辑系统
  3. 选择客户机。
  4. 单击转至 > 详细信息,显示“客户机详细信息”对话框。
  5. 在“逻辑系统”字段中,输入要分配给此客户机的逻辑系统。
  6. 在“客户机的更改和传送”部分,单击自动记录更改
  7. 保存输入。

创建分发模型

要创建分发模型:

  1. 确保您已登录到发送系统/客户机。
  2. 输入事务代码 BD64。确保您处于更改模式。
  3. 单击编辑 > 模型视图 > 创建
  4. 为视图输入简短的技术性名称以及开始日期和结束日期,然后单击继续
  5. 选择要创建的视图,然后单击添加消息类型
  6. 定义发送方/逻辑系统名称。
  7. 定义接收方/服务器名称。
  8. 在“保护客户机复制和比较工具”部分中,单击保护级别:无限制
  9. 定义要使用的消息类型 (HRMD_A),然后单击继续
  10. 单击保存

将 RFC 服务器模块注册到 SAP 网关

在初始化过程中,活动同步适配器会注册到 SAP 网关。它会将“IDMRFC”用作其 ID。此值必须与 SAP 应用程序中设置的值相匹配。您必须配置 SAP 应用程序,以便 RFC 服务器模块可以创建一个句柄来处理它。要将 RFC 服务器模块注册为 RFC 目标:

  1. 在 SAP 应用程序中,转至事务 SM59。
  2. 展开 TCP/IP 连接目录。
  3. 单击创建 (F8)
  4. 在“RFC 目标”字段中,输入 RFC 目标系统的名称。(IDMRFC)。
  5. 将连接类型设置为 T(通过 TCP/IP 启动外部程序)。
  6. 输入新 RFC 目标的描述,然后单击保存
  7. 对于激活类型,请单击“注册”按钮。
  8. 设置程序 ID。建议使用与 RFC 目标 (IDMRFC) 相同的值,然后单击“输入”。
  9. 如果 SAP 系统是 Unicode 系统,则必须为 Unicode 配置端口。单击特殊选项选项卡,寻找“目标系统中的字符宽度”部分。这里有针对 unicode 和非 unicode 的设置。
  10. 使用位于顶部的按钮(测试连接Unicode 测试)测试指向 Identity Manager 资源的连接。必须启动适配器才能通过测试。

创建端口定义

端口是发送 IDoc 的通信通道。端口描述发送系统和接收系统之间的技术链接。您应为此解决方案配置 RFC 端口。要创建端口定义:

  1. 输入事务代码 WE21
  2. 选择事务 RFC,然后单击创建图标。输入 RFC 目标的 IDMRFC
  3. 保存所做的更改。

修改端口定义

如果生成合作伙伴配置文件,则输入的端口定义可能不正确。要使系统正常工作,您需要修改端口定义。

  1. 输入事务代码 WE20
  2. 选择合作伙伴类型 LS
  3. 选择您接收的合作伙伴配置文件。
  4. 选择出站参数,然后单击显示
  5. 选择消息类型 HRMD_A
  6. 单击出站选项,然后修改接收方端口,它就是您创建的 RFC 端口名 (IDMGR)。
  7. 在输出模式中,选择立即传送 IDoc,以便在创建 IDoc 后立即进行发送。
  8. 在“IDoc 类型”部分选择一种基本类型:
    • 对于 SAP 4.6,选择 HRMD_A05
    • 对于 SAP 4.7 或 5.0,选择 HRMD_A06
  9. 单击继续/保存

执行脚本的 JDBC 适配器

Identity Manager 现在提供执行脚本的 JDBC 资源适配器,以支持在任何数据库模式和任何 JDBC 可访问的数据库中对用户帐户进行管理。此适配器还支持活动同步,以轮询数据库中的帐户更改。有关此适配器的详细信息,请参见 Sun Java™ System Identity Manager 资源参考资料补充资料。(ID-12506)

Shell 脚本适配器

Identity Manager 现在提供 Shell 脚本资源适配器,以支持对 Shell 脚本控制的资源进行管理。这些 Shell 脚本运行在资源的宿主系统上。此适配器是一种通用适配器,因此具有高度的可配置性。

Siebel CRM 适配器

现在可以创建和更新需要父/子业务组件导航的 Siebel 对象。这是一种高级功能,在 Identity Manager 中通常不会实现。

此高级导航功能允许您有选择地指定以下创建和更新子业务组件所需的信息:

在创建和更新操作时可以使用高级导航规则。不能将此规则用于其他类型的操作。

要实现 Siebel CRM 适配器的高级导航功能,您必须执行以下任务:

Sun Java System Access Manager 适配器

安装和配置 Sun Java System Access Manager(Access Manager 7.0 之前的版本)

“安装和配置 Sun Java System Access Manager”过程中的步骤 4 和步骤 8 应为如下内容 (ID-13087):

  1. 创建一个目录,以放置从 Sun Java System Access Manager 服务器复制的文件。在本过程中,此目录叫做 CfgDir。Sun Java System Access Manager 位于 AccessMgrHome
  2. 将以下文件从 AccessMgrHome 复制到 CfgDir。请不要复制目录结构。
    • lib/*.*
    • locale/*.properties
    • config/serverconfig.xml
    • config/SSOConfig.properties(Identity Server 2004Q2 和更高版本)
    • config/ums/ums.xml
  3. 在 UNIX 上,可能需要更改 CfgDir 中的 jar 文件的权限,以允许进行通常的读取访问。运行以下命令来更改权限:
  4. chmod a+r CfgDir/*.jar

  5. 通过以下方式预先设置 Java 类路径:
    • WindowsCfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
      CfgDir/am_logging.jar
    • UNIXCfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
      CfgDir/am_logging.jar
  6. 如果您使用的是版本 6.0,则将 Java 系统属性设置为指向 CfgDir。使用与下面一行类似的命令:
  7. java -Dcom.iplanet.coreservices.configpath=CfgDir

  8. 如果您使用的是版本 6.1 或更高版本,则添加或编辑 CfgDir/AMConfig.properties 文件中的以下几行:
  9. com.iplanet.services.configpath=CfgDircom.iplanet.security.
    SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl

    com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
    factory.JSSESocketFactory

    com.iplanet.security.encryptor=com.iplanet.services.util.
    JCEEncryption

    第一行设置 configpath。最后三行更改安全设置。

  10. CfgDir/am_*.jar 文件复制到 $WSHOME/WEB-INF/lib。如果您使用的是版本 6.0,则还应将 jss311.jar 文件复制到 $WSHOME/WEB-INF/lib 目录。
  11. 如果 Identity Manager 在 Windows 上运行,并且您使用的是 Identity Server 6.0,则将 IdServer\lib\jss\*.dll 复制到 CfgDir 并将 CfgDir 添加到系统路径。

  12. 注 如果 Identity Manager 安装在除 Sun Java System Access Manager 之外的其他系统上,则应在这种环境中检查以下错误条件。在后续尝试中,如果尝试连接到 Sun Java System Access Manager 资源时返回错误 java.lang.ExceptionInInitializerError,后跟 java.lang.NoClassDefFoundError,则应检查不正确或缺少的配置数据。

    还应检查 jar 文件中是否有 java.lang.NoClassDefFoundError 所指出的类。预先设置 jar 文件的类路径,此文件包含指向应用服务器上 Java 类路径的类。

安装和配置 Sun Java System Access Manager(传统模式下的版本 7.0 和更高版本)

使用以下步骤安装和配置传统模式的资源适配器。

  1. 按照 Sun Java™ System Access Manager 7 2005Q4 开发者指南提供的说明,从 Sun Access Manager 安装中构建客户机 SDK。
  2. 从生成的 war 文件中提取 AMConfig.propertiesamclientsdk.jar 文件。
  3. AMConfig.properties 的副本放入以下目录:
  4. InstallDir/WEB-INF/classes

  5. amclientsdk.jar 的副本放入以下目录:
  6. InstallDir/WEB-INF/lib

Sun Java System Communications Services 适配器

Top Secret 适配器

Identity Manager 资源参考资料错误地指出 Top Secret 适配器支持重命名帐户。此适配器不支持重命名 Top Secret 帐户。

第 3 章:将操作添加至资源

在“Windows NT 示例”一节中,所有三个示例的 Field 名称均定义错误。应使用 resourceAccounts.currentResourceAccounts[NT].attributes. 替换 accounts[NT].attributes. 的实例。例如,在“示例 3: 删除用户后所执行的操作”部分中,步骤 4 中的 Field 名称应定义如下:

<Field name= 'resourceAccounts.currentResourceAccounts[NT].attributes.delete after action'>


Identity Manager 调优、故障排除和错误消息

补充

更正

由于必须为此发行版安装 JDK 1.4.2,在第 1 章“性能调节,优化 J2EE 环境”中有关从 idm\WEB-INF\lib 目录删除 Cryptix jar(cryptix-jceapi.jarcryptix-jce-provider.jar)的说明将不再适用(除非要从 Identity Manager 的上一版本进行升级)。


Identity Manager 部署工具

更正

第 7 章:使用 Identity Manager Web 服务

在“ExtendedRequest 示例”部分提供的 launchProcess 示例已进行如下更正 (ID-13044):

launchProcess

以下示例显示 launchProcess 请求的一般格式。
(视图 — 处理视图)。

ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);


使用 helpTool

Identity Manager 6.0 发行版增加了一个新功能,此功能使您可以搜索 HTML 格式的联机帮助和文档文件。此搜索引擎基于 SunLabs "Nova" 搜索引擎技术。

使用 Nova 引擎有两个阶段:索引检索。在索引阶段,分析输入文档并创建检索阶段使用的索引。在检索阶段,可获取一些包含上下文的“段”,您查询的项即存在于上下文中。段检索进程需要提供原始 HTML 文件,因此这些文件必须存在于搜索引擎可访问的文件系统中。

helpTool 是一个 Java 程序,它执行两个基本功能:

从命令行执行 helpTool,如下所示:

$ java -jar helpTool.jar

usage:HelpTool

-d Destination directory

-h This help information

-i Directory or JAR containing input files, no wildcards

-n Directory for Nova index

-o Output file name

-p Indexing properties file

重新生成/重新创建联机帮助索引

用于联机帮助的 HTML 文件封装在 JAR 文件中。必须将这些文件提取到一个目录下以用于搜索引擎。使用以下步骤:

  1. 将 helpTool 分发解压缩至临时目录。(详细信息 TBD)
  2. 在此示例中,我们将文件提取到 /tmp/helpTool

  3. 在 UNIX shell 或 Windows 命令窗口中,将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。
  4. 例如,Sun Java System Application Server 的目录可能如下所示:

    /opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

  5. 将当前工作目录更改为 help/ 目录。

  6. 注 从此目录运行 helpTool 很重要,否则将无法正确生成索引。此外,您应通过删除 index/help/ 子目录中的内容来删除旧索引文件。

  7. 收集用于命令行参数的以下信息:


目标目录

html/help/en_US

:使用适合安装的语言环境字符串。


输入文件

../WEB-INF/lib/idm.jar


Nova 索引目录

index/help


输出文件名

index_files_help.txt

:文件名不重要,但是如果此文件已存在,则将退出工具。


索引属性文件

index/index.properties

  1. 运行以下命令:
  2. $ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
    WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties

    Extracted 475 files.

    [15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878

    [15/Dec/2005:13:11:38] PM Making meta file:index/help/MF: 0

    [15/Dec/2005:13:11:38] PM Created active file:index/help/AL

    [15/Dec/2005:13:11:40] MP Partition:1, 475 documents, 5496 terms.

    [15/Dec/2005:13:11:40] MP Finished dumping:1 index/help 0.266

    [15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h

    [15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish

    [15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878

重新生成/重新创建文档索引

使用以下步骤重新生成或重新创建文档索引:

  1. 将 helpTool 分发解压缩至临时目录。(详细信息 TBD)
  2. 在此示例中,我们将文件提取到 /tmp/helpTool

  3. 在 UNIX shell 或 Windows 命令窗口中,将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。
  4. 例如,Sun Java System Application Server 的目录可能如下所示:

    /opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm

  5. 将当前工作目录更改为 help/ 目录。

  6. 注 必须从此目录运行 helpTool,否则将无法正确生成索引。此外,您应通过删除 index/docs/ 子目录中的内容来删除旧索引文件。

  7. 收集用于命令行参数的以下信息:


目标目录

html/docs


输入文件

../doc/HTML/en_US

:此工具将 en_US/ 目录和子目录复制到目标目录。


Nova 索引目录

index/docs


输出文件名

index_files_docs.txt

:文件名不重要,但是如果此文件已存在,则将退出工具。


索引属性文件

index/index.properties

  1. 运行以下命令:
  2. $ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties

    Copied 84 files.

    Copied 105 files.

    Copied 1 files.

    Copied 15 files.

    Copied 1 files.

    Copied 58 files.

    Copied 134 files.

    Copied 156 files.

    Copied 116 files.

    Copied 136 files.

    Copied 21 files.

    Copied 37 files.

    Copied 1 files.

    Copied 13 files.

    Copied 2 files.

    Copied 19 files.

    Copied 20 files.

    Copied 52 files.

    Copied 3 files.

    Copied 14 files.

    Copied 3 files.

    Copied 3 files.

    Copied 608 files.

    [15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067

    [15/Dec/2005:13:24:25] PM Making meta file:index/docs/MF: 0

    [15/Dec/2005:13:24:25] PM Created active file:index/docs/AL

    [15/Dec/2005:13:24:28] MP Partition:1, 192 documents, 38488 terms.

    [15/Dec/2005:13:24:29] MP Finished dumping:1 index/docs 0.617

    [15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h

    [15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish

    [15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067



上一页      目录      下一页     


版权所有 2008 Sun Microsystems, Inc. 保留所有权利。