Sun logo      上一個      目錄      索引      下一個     

Sun ONE Identity Server 6.1 管理指南

第 16 章
管理服務屬性

管理服務由全域屬性與組織屬性組成。套用於全域屬性的值也套用於整個 Sun ONE Identity Server 配置,並由每個配置的組織繼承。由於全域屬性的目標是自訂 Identity Server 應用程式,因此這些值無法直接套用於角色或組織。套用於組織屬性的值是每個配置組織的預設值,並且在向組織註冊此服務時可以變更。組織屬性不會由組織項目來繼承。管理屬性分為:

全域屬性

管理服務中的全域屬性包括:

啟用聯合管理

選取此欄位會啟用聯合管理。依預設會選取此欄位。若要停用此功能,請取消選取該欄位,主控台中將不會顯示 [聯合管理服務] 標籤。

啟用使用者管理

選取此欄位 (True) 會啟用使用者管理。依預設會啟用使用者管理。

顯示個人容器

此屬性指定是否在 Identity Server 主控台中顯示 [個人容器]。如果選取此選項,組織、容器與群組容器的 [檢視] 功能表中將顯示 [個人容器] 功能表選項。僅在平面 DIT 的頂層才會顯示 [個人容器]。

個人容器是包含使用者設定檔的組織單元。建議您在 DIT 中使用單一個人容器,並充分利用角色的靈活性來管理帳戶與服務。Identity Server 主控台的預設運作方式是隱藏 [個人容器]。但是,如果在 DIT 中有多重個人容器,請選取 [顯示個人容器],以將個人容器顯示為 Identity Server 主控台中的受管理物件。

在功能表中顯示容器

此屬性指定是否在 Identity Server 主控台的 [檢視] 功能表中顯示任何容器。預設值為 false。管理員可以選擇性地選擇以下兩個值之一:

顯示群組容器

此屬性指定是否在 Identity Server 主控台中顯示 [群組容器]。如果選取此選項,組織、容器與群組容器的 [檢視] 功能表中將顯示 [群組容器] 功能表選項。群組容器是群組的組織單元。

受管理群組類型

此選項指定透過主控台建立的是靜態訂閱群組還是動態訂閱群組。主控台將建立並顯示靜態訂閱群組或動態訂閱群組,但不能兩者皆選。(無論此屬性給定何值,將始終支援過濾群組。)預設值為動態。

管理員可以選取以下一種選項:

預設角色權限 (ACI)

此屬性定義在建立新角色時,用來授與管理員權限的預設存取控制指令 (ACI) 或權限清單。可以依據所需權限層級選取其中一個 ACI。Identity Server 隨附了四種預設角色權限:

無權限

對角色不設定權限。

組織管理員

組織管理員對配置組織中的所有項目均具有讀取寫入存取權限。

組織說明桌面管理員

組織說明桌面管理員具有對配置組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

組織策略管理員

組織策略管理員對組織中的所有策略均具有讀取寫入存取權限。組織策略管理員無法建立同級組織的參考策略。

使用格式 aci_name | aci_desc | dn:aci ## dn:aci ## dn:aci 定義角色,其中:

  • aci_name 為 ACI 的名稱。
  • aci_desc 為這些 ACI 所允許之存取權限的描述。為了使描述更簡單易懂,請假定此描述的讀者不瞭解 ACI 或其他目錄概念。

aci_nameaci_descamAdminUserMsgs.properties 檔案中包含的 i18n 鍵值。顯示在主控台中的值來自 .properties 檔案,可以使用鍵值擷取這些值。

  • dn:aci 表示由 ## 分隔的 DN 與 ACI 對,Identity Server 會在關聯的 DN 項目中設定每個 ACI。此格式還支援可以取代值的標籤 (否則必須在 ACI 中逐字指定這些值):ROLENAME、ORGANIZATION、GROUPNAME 與 PCNAME。使用這些標籤可讓您非常靈活地定義角色,以將其作為預設角色。基於一種預設角色建立角色時,ACI 中的標籤將解析為從新角色 DN 中提取的值。

啟用網域元件樹

網域元件樹 (DC 樹) 是許多 Sun ONE 元件使用的特定 DIT 結構,用於在 DNS 名稱與組織的項目之間建立對映。

如果在建立組織時輸入了組織的 DNS 名稱,則啟用此選項會建立組織的 DC 樹項目。[建立組織] 頁面中將顯示 [DNS 名稱] 欄位。此選項僅適用於頂層組織,對於子組織將不會顯示此選項。

透過 Identity Server SDK 對組織樹中的 inetdomainstatus 屬性所做的任何狀態變更都將更新對應的 DC 樹項目狀態。(不是透過 Identity Server SDK 進行的狀態更新將不會同步進行。)例如,如果建立一個 DNS 名稱屬性為 sun.com 的新組織 sun,則將在 DC 樹中建立以下項目:

dc=sun,dc=com,o=internet,root suffix

透過在 AMConfig.properties 中設定 com.iplanet.am.domaincomponent,可以選擇性地配置 DC 樹的根字尾。依預設,其設定為 Identity Server root。如果需要其他字尾,則必須使用 LDAP 指令建立此字尾。需要修改建立組織的管理員 ACI,以便它們能夠無限制地存取新的 DC 樹根。

啟用管理員群組

此選項指定是否建立 DomainAdministrators 和 DomainHelpDeskAdministrators 群組。如果選取此選項 (true),會建立這些群組,並分別與組織管理員角色和組織說明桌面管理員角色相關聯。一旦建立了這些群組,在某個關聯角色中加入或移除使用者時,相應的群組中也會加入或移除該使用者。但是,該運作方式不可反向進行。在某個群組中加入或移除使用者時,將不會在使用者關聯角色中加入或移除此使用者。

僅在啟用此選項後所建立的組織中,才會建立 DomainAdministrators 和 DomainHelpDeskAdministrators 群組。

此選項不適用於子組織,root org 除外。在 root org 中,會建立 ServiceAdministrators 與 ServiceHelpDesk Administrators 群組,並將它們分別與頂層管理員角色與頂層說明桌面管理員角色關聯。同樣的運作方式在此也適用。

啟用相容性使用者刪除

此選項指定是否從目錄中刪除使用者的項目,還是僅將其標記為已刪除。如果在選取此選項 (true) 的情況下刪除使用者項目,使用者的項目仍將存在於此目錄中,但是將會標記為已刪除。Directory Server 搜尋時不會傳回標記為已刪除的使用者項目。如果未選取此選項,則將從目錄中刪除使用者的項目。

動態管理員角色 ACI

此屬性定義管理員角色 (使用 Identity Server 配置群組或組織時動態建立的角色) 的存取控制指令。這些角色用於為所建立的特定項目群組授與管理權限。僅在此屬性清單中才可修改預設 ACI。

警告

組織層級管理員的存取權限比群組管理員大。但是,依預設,使用者加入至群組管理員角色後,該使用者可以變更此群組中的任何成員密碼。其中包括作為此群組成員的任何組織管理員。

容器說明桌面管理員

容器說明桌面管理員角色對組織單元中的所有項目均具有讀取存取權限,但是僅對此容器單元中使用者項目的 userPassword 屬性具有寫入存取權限。

組織說明桌面管理員

組織說明桌面管理員具有對組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

建立子組織時,請記住在子組織中建立管理角色,而不是在父系組織中建立。

容器管理員

容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入存取權限。在 Identity Server 中,LDAP 組織單元常指容器。

組織策略管理員

組織策略管理員具有對所有策略的讀取寫入存取權限,可以建立、指定、修改和刪除此組織內的所有策略。

個人容器管理員

依預設,新建組織中的任何使用者項目均為該組織的個人容器的成員。個人容器管理員對組織的個人容器中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入存取權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。

可以透過 Identity Server 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。

群組管理員

群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。

建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。角色必須由群組建立者或任何具有群組管理員角色存取權限的人員指定。

頂層管理員

頂層管理員對頂層組織中的所有項目均具有讀取寫入存取權限。換句話說,此頂層管理員角色具有 Identity Server 應用程式中每個配置主體所擁有的權限。

組織管理員

組織管理員對組織中的所有項目均具有讀取寫入存取權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。

使用者設定檔服務類別

此屬性列出將在 [使用者設定檔] 頁面中具有自訂顯示的服務。對於某些服務,主控台產生的預設顯示可能無法滿足需要。此屬性為任何服務建立自訂顯示,並完全控制顯示服務資訊的內容與方式。語法如下所示:

service name | relative url

[建立使用者] 頁面中將不會顯示此屬性中列出的服務。必須在 [使用者設定檔] 頁面中執行自訂服務顯示的所有資料配置。

DC 節點屬性清單

此欄位定義建立物件時將在 DC 樹項目中設定的一組屬性。預設參數包括:

用於已刪除物件的搜尋過濾器

此欄位定義啟用使用者相容性刪除模式時用於要刪除物件的搜尋過濾器。

組織屬性

管理服務中的組織屬性包括:

群組預設個人容器

此欄位指定預設的個人容器 (使用者建立後將放置於其中的容器)。此欄位沒有預設值。有效值為個人容器 DN。請參閱 [群組個人容器清單] 屬性下的注意事項,以瞭解個人容器退回的次序。

群組個人容器清單

此欄位指定個人容器的清單,群組管理員在建立新使用者時可以從中選擇個人容器。如果在目錄樹中有多重個人容器,則可以使用此清單。(如果未在此清單或 [群組預設個人容器] 欄位中指定任何個人容器,則將在預設的 Identity Server 個人容器 ou=people 中建立使用者。)此欄位沒有預設值。此屬性的語法如下所示:

group name|dn of people container

建立使用者時,會檢查此屬性中是否有放置此項目的容器。如果此屬性為空,將會檢查 [群組預設個人容器] 屬性是否存在容器。如果後一個屬性為空,則將在 ou=people 下建立此項目。

使用者設定檔顯示類別

此屬性指定顯示 [使用者設定檔] 頁面時,Identity Server 主控台所使用的 Java 類別。

顯示使用者的角色

此選項指定是否在使用者的使用者設定檔頁面中顯示指定給使用者的角色清單。如果值為 false (未選取),使用者設定檔頁面將僅對管理員顯示使用者的角色。預設值為 false

顯示使用者的群組

此選項指定是否在使用者的使用者設定檔頁面中顯示指定給使用者的群組清單。如果值為 false (未選取),使用者設定檔頁面將僅對管理員顯示使用者的群組。預設值為 false

使用者群組自訂閱

此選項指定使用者是否可以將自己加入至可自由訂閱的群組。如果值為 false,則使用者設定檔頁面僅允許管理員修改使用者的群組成員身份。預設值為 false

此選項僅在選取 [顯示使用者的群組] 選項時才適用。

使用者設定檔顯示選項

此功能表指定將顯示在使用者設定檔頁面中的服務屬性。管理員可以選取以下選項:

使用者建立預設角色

此清單定義將自動指定給新建使用者的角色。此欄位沒有預設值。管理員可以輸入一個或多個角色的 DN。

此欄位僅採用完整的識別名稱位址,不採用角色名稱。

檢視功能表項目

此欄位列出將在主控台頂端的 [檢視] 功能表中顯示的 Java 服務類別。語法為 i18N key | java class name。(i18N key 作為 [檢視] 功能表中項目的本土化名稱。)

搜尋傳回的最大結果數

此欄位定義搜尋傳回的最大結果數。預設值為 100。

警告

將此屬性設定為大的值時請小心。如需大小限制的資訊,請參閱以下位置的「Sun ONE Directory Server Installation and Tuning Guide」

http://docs.sun.com/db/doc/816-6697-10

搜尋逾時 (秒)

此欄位定義搜尋在逾時之前所執行的時間 (秒數)。可以使用它終止潛在的長時間搜尋。達到最大搜尋時間後,會傳回一個錯誤。預設值為 5 秒。

JSP 目錄名稱

此欄位指定包含 .jsp 檔案的目錄名稱,該檔案用於建構主控台,以使組織具有不同外觀 (自訂)。需要將 .jsp 檔案複製到此欄位中指定的目錄。

線上說明文件

此欄位列出將在主 Identity Server 說明頁面上建立的線上說明連結。這樣其他應用程式可以在 Identity Server 頁面中加入其線上說明連結。此屬性的格式如下所示:

linki18nkey | 按一下時要載入的 html 頁面 | i18n 屬性檔案

例如:

IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs

必需的服務

此欄位列出在建立使用者的項目時動態加入其中的服務。管理員可以選擇建立時要加入的服務。

此屬性並非由主控台使用,而是由 Identity Server SDK 使用。動態建立的使用者和由 amadmin 指令行公用程式建立的使用者,將被指定給此屬性中列出的服務。

使用者搜尋關鍵字

此屬性定義在 [導覽] 頁面中執行簡單搜尋時要依據的屬性名稱。此屬性的預設值為 cn。例如,如果此屬性使用預設值:

如果在導覽框架的 [名稱] 欄位中輸入 j*,則會顯示名稱以「j」或「J」開頭的使用者。

使用者搜尋傳回屬性

此欄位定義顯示簡單搜尋傳回的使用者時所使用的屬性名稱。此屬性的預設值為 uid cn。這將顯示使用者 ID 和使用者的全名。

列在最前面的屬性名稱還會作為關鍵字來排序將被傳回的一組使用者。若要避免效能降低,請使用在使用者的項目中設定值的屬性。

使用者建立通知清單

此欄位定義建立新使用者時要將通知傳送至的電子郵件位址清單。可以指定多重電子郵件位址,如以下語法中所示:

e-mail|locale|charset

e-mail|locale|charset

e-mail|locale|charset

透過使用 |locale 選項,通知清單還可接受不同的語言環境。例如,將通知傳送至在法國的管理員:

someuser@example.com|fr|fr

請參閱表 19-1,以取得語言環境清單。

透過修改 amProfile.properties (依預設位於 IdentityServer_base/Identity-Server/SUNWam/locale) 中的屬性 497,可以變更寄件者電子郵件 ID。

使用者刪除通知清單

此欄位定義刪除使用者時要將通知傳送至的電子郵件位址清單。可以指定多重電子郵件位址,如以下語法中所示:

e-mail|locale|charset

e-mail|locale|charset

e-mail|locale|charset

透過使用 |locale 選項,通知清單還可接受不同的語言環境。例如,將通知傳送至在法國的管理員:

someuser@example.com|fr|fr

請參閱表 19-1,以取得語言環境清單。

透過修改 amProfile.properties (依預設位於 IdentityServer_base/Identity-Server/SUNWam/locale) 中的屬性 497,可以變更寄件者電子郵件 ID。預設寄件者 ID 為 DSAME

使用者修改通知清單

此欄位定義屬性及其關聯的電子郵件位址清單。如果修改了清單中定義的使用者屬性,通知將會傳送至與此屬性關聯的電子郵件位址。每個屬性都可以具有不同的關聯位址集。可以指定多重電子郵件位址,如以下語法中所示:

attrName e-mail|locale|charset e-mail|locale|charset .....

attrName e-mail|locale|charset e-mail|locale|charset .....

可以使用 self 關鍵字來取代其中一個位址。這時將向其設定檔已修改的使用者傳送電子郵件。

例如:

manager someuser@sun.com|self|admin@sun.com

電子郵件將傳送至 manager 屬性中指定的位址:someuser@sun.comadmin@sun 以及修改了使用者的人員 (self)。

通過使用 |locale 選項,通知清單還可以接受不同的語言環境。例如,將通知傳送至在法國的管理員:

manager someuser@sun.com|self|admin@sun.com|fr

請參閱表 19-1,以取得語言環境清單。

此屬性名稱與 Directory Server 綱目中顯示的名稱相同,但與主控台中顯示的名稱不同。

每頁的最大項目數

此屬性允許您定義每頁可顯示的最大列數。預設值為 25。例如,如果使用者搜尋傳回 100 列,則會顯示 4 頁,每頁顯示 25 列。

顯示選項

此屬性允許您加入值,以在 Identity Server 主控台中配置顯示選項。輸入值並按一下 [加入] 可以配置顯示選項。可能的值如下所示:

表 16-1 顯示選項值

參數

描述和語法

generateUserCN

設定為 true 時,此參數將在建立使用者時動態產生使用者 CN。預設值為 false。語法:

generateUserCN=[false|true]

userAttributeNameForProfileTitle

決定在 [使用者設定檔] 頁面的標題上顯示的使用者屬性值。預設值為 uid。

語法:

userAttributeNameForProflleTitle=[uid|userAttribute]

autoSelect

設定為 true (預設值) 時,此參數可讓 Identity Server 自動選取 [導覽] 檢視中給定身份物件類型的第一個項目。

語法:

autoselect=[true|false]

disableIntitialSearch

此值將停用 Identity Server 對一個或多個身份物件類型的初始搜尋。停用初始搜尋可縮短顯示 Identity Server 主控台的時間。主控台中與此指令對應的服務屬性是顯示選項,即管理服務中的組織屬性。此主控台選項優先於 com.iplanet.am.console.display.off 中定義的任何值。如果在 AMConfig.properties 中配置此屬性,請勿使用主控台進行配置 (反之亦然)。

語法 (用逗號分隔多重值):

disableInitialSearch=[users|organizaitons|peopleContainers|organizationalUnits|roles|groups|policies]

defaultUserView

此參數設定 [使用者設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。

語法:

defaultUserView=[roles|groups|services|IplanetAMUserService|service name]

defaultGroupView

此參數設定 [群組設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。

語法:

defaultGroupView=[general|users]

defaultRoleView

此參數設定 [角色設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。

語法:

defaultRoleView=[general|users|services]

defaultPolicyView

此參數設定 [策略設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。

語法:

defaultPolicyView=[general|rules|subjects|referrals|conditions]

defaultFederationHostedProviderView

此參數設定聯合管理模組的 [託管供應商設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。語法:

defaultFederationHostedProviderView=[general|serviceProvider|identityProvider|authenticaionDomain|trustedProviders|identityServerConfiguration]

defaultFederationRemoteProviderView

此參數設定聯合管理模組的 [遠端供應商設定檔] 頁面之 [檢視] 功能表中的預設檢視。所有值均依預設設定。語法:

defaultFederationRemoteProviderView=[general|serviceProvider|identityProvider|authenticaionDomain]

rootNavMenu

此參數設定根字尾導覽檢視中身份物件的預設檢視。所有值均依預設設定。

語法:

rootNavMenu=[organizations|organizationalUnits|groupContainers|peopleContainers|roles|groups|users|policies]

organizationNavMenu

此參數設定組織導覽檢視中身份物件的預設檢視。所有值均依預設設定。

語法:

organizationNavMenu=[organizations|organizationalUnits|groupContainers|peopleContainers|roles|groups|users|policies]

groupContainerNavMenu

此參數設定群組容器導覽檢視中身份物件的預設檢視。所有值均依預設設定。

語法:

groupContainerNavMenu=[groupContainers|groups]

peopleContainerNavMenu

此參數設定個人容器導覽檢視中身份物件的預設檢視。所有值均依預設設定。

語法:

peopleContainerNavMenu=[peopleContainers|users]

federationNavMenu

此參數設定聯合管理模組導覽檢視中身份物件的預設檢視。所有值均依預設設定。

語法:

federationNavMenu=[authenticationDomains|hostedProviders|remoteProviders]

userProfileMenu

此參數設定 [使用者設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

userProfileMenu=[roles|groups|services|iPlanetAMUserService|service name]

groupProfileMenu

此參數設定 [群組設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

groupProfileMenu=[general|users]

roleProfileMenu

此參數設定 [角色設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

roleProfileMenu=[general|users|services]

policyProfileMenu

此參數設定 [策略設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

policyProfileMenu=[general|rules|subjects|referrals|conditions]

federationRemoteProviderProfileMenu

此參數設定 [聯合遠端供應商設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

federationRemoteProviderProfileMenu=[general|serviceProvider| identityProvider|authenticationDomain]

FederationHostedProviderProfileMenu

此參數設定 [聯合託管供應商設定檔] 頁面中的子檢視功能表項目。所有值均依預設設定。

語法:

federationHostedProviderProfileMenu=[general|serviceProvider|identityProvider|authenticationDomain|trustedProviders|identityServerConfiguration]

事件偵聽程式類別

此屬性包含接收 Identity Server 主控台中建立、修改和刪除等事件的偵聽程式清單。

處理前和處理後的類別

此欄位經由外掛程式定義實施類別清單,這些外掛程式可延伸 com.iplanet.am.sdk.AMCallBack 類別,以在針對使用者、組織、角色和群組的處理前作業和處理後作業期間接收回呼。這些作業包括:

您必須輸入外掛程式的完整類別名稱,例如:

com.iplanet.am.sdk.AMCallbacSample

然後,您必須變更 Web 容器的類別路徑 (來自 Identity Server 安裝基準),使之包括外掛程式類別所在位置的完整路徑。

啟用外部屬性擷取

此選項可讓外掛程式的回呼擷取外部屬性 (任何特定於外部應用程式的屬性)。外部屬性並不在 Identity Server SDK 中進行快取,因此該屬性可讓您按組織層級啟用屬性擷取。依預設,不啟用此選項。



上一個      目錄      索引      下一個     

Copyright 2003 Sun Microsystems, Inc.。版權所有。