第 17 章�
管理服務屬性
管理服務由全域屬性與組織屬性組成。套用於全域屬性的值也套用於整個 Sun Java System Identity Server 配置,並由每個配置的組織繼承。由於全域屬性的目標是自訂 Identity Server 應用程式,因此這些值無法直接套用於角色或組織。套用於組織屬性的值是每個配置組織的預設值,並且在向組織註冊此服務時可以變更。組織屬性不會由組織項目來繼承。管理屬性分為:
全域屬性
管理服務中的全域屬性包括:
啟用聯盟管理
選取此欄位會啟用聯盟管理。依預設會選取此欄位。若要停用此功能,請取消選取該欄位,主控台中將不會顯示 [聯盟管理服務] 標籤。
啟用使用者管理
選取此欄位 (True) 會啟用使用者管理。依預設會啟用使用者管理。
顯示用戶容器
此屬性指定是否在 Identity Server 主控台中顯示 [用戶容器]。如果選取此選項,組織、容器與群組容器的 [檢視] 功能表中將顯示 [用戶容器] 功能表選項。僅在平面 DIT 的頂層才會顯示 [用戶容器]。
用戶容器是包含使用者設定檔的組織單元。建議您在 DIT 中使用單一用戶容器,並充分利用角色的靈活性來管理帳戶與服務。Identity Server 主控台的預設運作方式是隱藏 [用戶容器]。但是,如果在 DIT 中有多重用戶容器,請選取 [顯示用戶容器],以將用戶容器顯示為 Identity Server 主控台中的受管理物件。
在檢視功能表中顯示容器
此屬性指定是否在 Identity Server 主控台的 [檢視] 功能表中顯示任何容器。預設值為 false。管理員可以選擇性地選擇以下兩個值之一:
- false (未選取核取方塊) - 組織與其他容器頂層的 [檢視] 功能表選項中不會列出容器。
- true (選取核取方塊) - 組織與其他容器頂層的 [檢視] 功能表選項中將列出容器。
顯示群組容器
此屬性指定是否在 Identity Server 主控台中顯示 [群組容器]。如果選取此選項,組織、容器與群組容器的 [檢視] 功能表中將顯示 [群組容器] 功能表選項。群組容器是群組的組織單元。
受管理群組類型
此選項指定透過主控台建立的是靜態訂閱群組還是動態訂閱群組。主控台將建立並顯示靜態訂閱群組或動態訂閱群組,但不能兩者皆選。(無論此屬性給定何值,將始終支援過濾群組。)預設值為動態。
- 靜態群組會使用 groupOfNames 或 groupOfUniqueNames 物件類別明確列出每個群組成員。群組項目包含此群組每個成員的 uniqueMember 屬性。可以手動加入靜態群組成員,使用者項目本身保持不變。靜態群組適用於成員較少的群組。
- 動態群組使用的是每個群組成員項目中的 memberOf 屬性。LDAP 過濾可以搜尋並傳回包含 memberOf 屬性的所有項目。透過使用該過濾,可以產生動態群組成員。動態群組適用於具有很多成員的群組。
- 過濾群組使用 LDAP 過濾搜尋並傳回滿足過濾要求的成員。例如,過濾可以產生具有特定 uid (uid=g*) 或電子郵件位址 (mail=*@sun.com) 的成員。在這些範例中,LDAP 過濾會分別傳回 uid 以 g 開頭或電子郵件位址以 sun.com 結尾的所有使用者。在 [使用者管理] 檢視內,只能透過選擇 [依過濾確定成員身份] 來建立過濾群組。
管理員可以選取以下一種選項:
- Dynamic - 透過 [依訂閱確定成員身份] 選項建立的將是動態群組。
- Static - 透過 [依訂閱確定成員身份] 選項建立的將是靜態群組。
預設角色權限 (ACI)
此屬性定義在建立新角色時,用來授與管理員權限的預設存取控制指令 (ACI) 或權限清單。可以依據所需權限層級選取其中一個 ACI。Identity Server 隨附了四種預設角色權限:
無權限
對角色不設定權限。
組織管理員
組織管理員對配置組織中的所有項目均具有讀取寫入存取權限。
組織說明桌面管理員
組織說明桌面管理員具有對配置組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。
組織策略管理員
組織策略管理員對組織中的所有策略均具有讀取寫入存取權限。組織策略管理員無法建立同級組織的參考策略。
|
|
注意
|
使用格式 aci_name | aci_desc | dn:aci ## dn:aci ## dn:aci 定義角色,其中:
aci_name 與 aci_desc 是 amAdminUserMsgs.properties 檔案中包含的 i18n 密鑰。顯示在主控台中的值來自 .properties 檔案,可以使用密鑰擷取這些值。
- dn:aci 表示由 ## 分隔的 DN 與 ACI 對,Identity Server 會在關聯的 DN 項目中設定每個 ACI。此格式也支援可以被值取代的標籤,這些值必須用別的方法在 ACI 中正確指定:ROLENAME、ORGANIZATION、GROUPNAME 與 PCNAME。使用這些標籤可讓您非常靈活地定義角色,以將其作為預設角色。基於一種預設角色建立角色時,ACI 中的標籤將解析為從新角色 DN 中提取的值。
|
|
啟用網域程式元件樹
網域程式元件樹 (DC 樹) 是許多 Sun Java System 程式元件使用的特定 DIT 結構,用於在 DNS 名稱與組織項目之間建立對映。
如果在建立組織時輸入了組織的 DNS 名稱,則啟用此選項會建立組織的 DC 樹項目。[建立組織] 頁面中將顯示 [DNS 名稱] 欄位。此選項僅適用於頂層組織,對於子組織將不會顯示此選項。
透過 Identity Server SDK 對組織樹中的 inetdomainstatus 屬性所做的任何狀態變更都將更新對應的 DC 樹項目狀態。(不是透過 Identity Server SDK 進行的狀態更新將不會同步進行。)例如,如果建立一個 DNS 名稱屬性為 sun.com 的新組織 sun,則將在 DC 樹中建立以下項目:
dc=sun,dc=com,o=internet,root suffix
透過在 AMConfig.properties 中設定 com.iplanet.am.domaincomponent,可以選擇性地配置 DC 樹的根字尾。依預設,其設定為 Identity Server root。如果需要其他字尾,則必須使用 LDAP 指令建立此字尾。需要修改建立組織的管理員 ACI,以便它們能夠無限制地存取新的 DC 樹根。
啟用管理群組
此選項指定是否建立 DomainAdministrators 和 DomainHelpDeskAdministrators 群組。如果選取此選項 (true),會建立這些群組,並分別與組織管理員角色和組織說明桌面管理員角色相關聯。一旦建立了這些群組,在某個關聯角色中加入或移除使用者時,相應的群組中也會加入或移除該使用者。但是,該運作方式不可反向進行。在某個群組中加入或移除使用者時,將不會在使用者關聯角色中加入或移除此使用者。
僅在啟用此選項後所建立的組織中,才會建立 DomainAdministrators 和 DomainHelpDeskAdministrators 群組。
|
|
注意
|
此選項不適用於子組織,root org 除外。在 root org 中,會建立 ServiceAdministrators 與 ServiceHelpDesk Administrators 群組,並將它們分別與頂層管理員角色與頂層說明桌面管理員角色關聯。同樣的運作方式在此也適用。
|
|
啟用相容使用者刪除
此選項指定是否從目錄中刪除使用者的項目,還是僅將其標籤為已刪除。如果在選取此選項 (true) 的情況下刪除使用者項目,使用者項目仍將存在於此目錄中,但是將會標籤為已刪除。Directory Server 搜尋時不會傳回標籤為已刪除的使用者項目。如果未選取此選項,則將從目錄中刪除使用者的項目。
動態管理角色 ACI
此屬性定義管理員角色 (使用 Identity Server 配置群組或組織時動態建立的角色) 的存取控制指令。這些角色用於為所建立的特定項目群組授與管理權限。僅在此屬性清單中才可修改預設 ACI。
|
|
警告
|
組織層級管理員的存取權限比群組管理員大。但是,依預設,使用者加入至群組管理員角色後,該使用者可以變更此群組中的任何成員密碼。其中包括作為此群組成員的任何組織管理員。
|
|
容器說明桌面管理員
容器說明桌面管理員角色對組織單元中的所有項目均具有讀取存取權限,但是僅對此容器單元中使用者項目的 userPassword 屬性具有寫入存取權限。
組織說明桌面管理員
組織說明桌面管理員具有對組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。
|
|
注意
|
建立子組織時,請記住在子組織中建立管理角色,而不是在父系組織中建立。
|
|
容器管理員
容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入存取權限。在 Identity Server 中,LDAP 組織單元常指容器。
組織策略管理員
組織策略管理員具有對所有策略的讀取寫入存取權限,可以建立、指定、修改和刪除此組織內的所有策略。
用戶容器管理員
依預設,新建組織中的任何使用者項目均為該組織的用戶容器的成員。用戶容器管理員對組織的用戶容器中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入存取權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。
|
|
注意
|
可以透過 Identity Server 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。
|
|
群組管理員
群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。
建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。角色必須由群組建立者或任何具有群組管理員角色存取權限的人員指定。
頂層管理員
頂層管理員對頂層組織中的所有項目均具有讀取寫入存取權限。換句話說,此頂層管理員角色具有 Identity Server 應用程式中每個配置主體所擁有的權限。
組織管理員
組織管理員對組織中的所有項目均具有讀取寫入存取權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。
使用者設定檔服務類別
此屬性列出將在 [使用者設定檔] 頁面中具有自訂顯示的服務。對於某些服務,主控台產生的預設顯示可能無法滿足需要。此屬性為任何服務建立自訂顯示,並完全控制顯示服務資訊的內容與方式。語法如下所示:
service name | relative url
|
|
注意
|
[建立使用者] 頁面中將不會顯示此屬性中列出的服務。必須在 [使用者設定檔] 頁面中執行自訂服務顯示的所有資料配置。
|
|
DC 節點屬性清單
此欄位定義建立物件時將在 DC 樹項目中設定的一組屬性。預設參數包括:
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
用於已刪除物件的搜尋過濾器
此欄位定義啟用使用者相容性刪除模式時用於要刪除物件的搜尋過濾器。
預設用戶容器
此屬性指定在其中建立使用者的預設用戶容器。
預設群組容器
此屬性指定在其中建立群組的預設群組容器。
預設代理程式容器
此屬性指定在其中建立代理程式的預設代理程式容器。
組織屬性
管理服務中的組織屬性包括:
群組預設用戶容器
此欄位指定預設的用戶容器 (使用者建立後將放置於其中的容器)。無預設值。有效值為用戶容器 DN。請參閱 [群組用戶容器清單] 屬性下的注意事項,以瞭解用戶容器退回的次序。
群組用戶容器清單
此欄位指定用戶容器的清單,群組管理員在建立新使用者時可以從中選擇用戶容器。如果在目錄樹中有多重用戶容器,則可以使用此清單。(如果未在此清單或 [群組預設用戶容器] 欄位中指定任何用戶容器,則將在預設的 Identity Server 用戶容器 ou=people 中建立使用者。)此欄位沒有預設值。此屬性的語法如下所示:
dn of group | dn of people container
|
|
注意
|
建立使用者時,會檢查此屬性中是否有放置此項目的容器。如果此屬性為空,將會檢查 [群組預設用戶容器] 屬性是否存在容器。如果後一個屬性為空,則將在 ou=people 下建立此項目。
|
|
使用者設定檔顯示類別
此屬性指定顯示 [使用者設定檔] 頁面時,Identity Server 主控台所使用的 Java 類別。
一般使用者設定檔顯示類別
此屬性指定顯示 [一般使用者設定檔] 頁面時,Identity Server 主控台所使用的 Java 類別。
在使用者設定檔頁面上顯示角色
此選項指定是否在使用者的 [使用者設定檔] 頁面中顯示指定給使用者的角色清單。如果值為 false (未選取),[使用者設定檔] 頁面將僅對管理員顯示使用者的角色。預設值為 false。
在使用者設定檔頁面上顯示群組
此選項指定是否在使用者的 [使用者設定檔] 頁面中顯示指定給使用者的群組清單。如果值為 false (未選取),[使用者設定檔] 頁面將僅對管理員顯示使用者的群組。預設值為 false。
啟用使用者群組自訂閱
此選項指定使用者是否可以將自己加入至可自由訂閱的群組。如果值為 false,則使用者設定檔頁面僅允許管理員修改使用者的群組成員身份。預設值為 false。
使用者設定檔顯示選項
此功能表指定將顯示在使用者設定檔頁面中的服務屬性。管理員可以選取以下選項:
使用者建立預設角色
此清單定義將自動指定給新建使用者的角色。無預設值。管理員可以輸入一個或多個角色的 DN。
|
|
注意
|
此欄位僅採用完整的識別名稱位址,不採用角色名稱。角色僅可是 Identity Server 角色,不可為 LDAP (Directory Server) 角色。
|
|
管理主控台標籤
此欄位列出將在主控台頂端顯示的 Java 模組類別。語法為 i18N key | java class name。(i18N 密鑰作為 [檢視] 功能表中項目的本土化名稱。)
搜尋傳回的最大結果數
此欄位定義搜尋傳回的最大結果數。預設值為 100。
搜尋逾時
此欄位定義搜尋在逾時之前所執行的時間 (秒數)。可以使用它終止潛在的長時間搜尋。達到最大搜尋時間後,會傳回一個錯誤。預設值為 5 秒。
JSP 目錄名稱
此欄位指定包含 .jsp 檔案的目錄名稱,該檔案用於建構主控台,以使組織具有不同外觀 (自訂)。需要將 .jsp 檔案複製到此欄位中指定的目錄。
線上說明文件
此欄位列出將在主 Identity Server 說明頁面上建立的線上說明連結。這樣其他應用程式可以在 Identity Server 頁面中加入其線上說明連結。此屬性的格式如下所示:
linki18nkey | html page to load when clicked | i18n properties file | remote server
|
|
注意
|
遠端伺服器為可選引數,可讓您指定線上說明文件所在的遠端伺服器。
|
|
例如:
IdentityServer Help | /AMAdminHelp.html | amAdminModuleMsgs
必需的服務
此欄位列出在建立使用者項目時動態加入其中的服務。管理員可以選擇建立時要加入的服務。
此屬性並非由主控台使用,而是由 Identity Server SDK 使用。動態建立的使用者和由 amadmin 指令行公用程式建立的使用者,將被指定給此屬性中列出的服務。
使用者搜尋關鍵字
此屬性定義在 [導覽] 頁面中執行簡單搜尋時要依據的屬性名稱。此屬性的預設值為 cn。例如,如果此屬性使用預設值:
如果在 [導覽] 框架的 [名稱] 欄位中輸入 j*,則會顯示名稱以「j」或「J」開頭的使用者。
使用者搜尋傳回屬性
此欄位定義顯示簡單搜尋傳回的使用者時所使用的屬性名稱。此屬性的預設值為 uid cn。這將顯示使用者 ID 和使用者的全名。
列在最前面的屬性名稱還會作為關鍵字來排序將被傳回的一組使用者。若要避免效能降低,請使用在使用者的項目中設定值的屬性。
使用者建立通知清單
此欄位定義建立新使用者時要將通知傳送至的電子郵件位址清單。可以指定多重電子郵件位址,如以下語法中所示:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通過使用 |locale 選項,通知清單還可以接受不同的語言環境。例如,將通知傳送至在法國的管理員:
someuser@example.com|fr|fr
請參閱表 20-1,以取得語言環境的清單。
|
|
注意
|
透過修改 amProfile.properties (依預設位於 IdentityServer_base/SUNWam/locale) 中的特性 497,可以變更寄件者電子郵件 ID。
|
|
使用者刪除通知清單
此欄位定義刪除使用者時要將通知傳送至的電子郵件位址清單。可以指定多重電子郵件位址,如以下語法中所示:
e-mail|locale|charset
e-mail|locale|charset
e-mail|locale|charset
通過使用 |locale 選項,通知清單還可以接受不同的語言環境。例如,將通知傳送至在法國的管理員:
someuser@example.com|fr|fr
請參閱表 20-1,以取得語言環境的清單。
|
|
注意
|
透過修改 amProfile.properties (依預設位於 IdentityServer_base/SUNWam/locale) 中的特性 497,可以變更寄件者電子郵件 ID。預設寄件者 ID 為 DSAME。
|
|
使用者修改通知清單
此欄位定義屬性及其關聯的電子郵件位址清單。如果修改了清單中定義的使用者屬性,通知將會傳送至與此屬性關聯的電子郵件位址。每個屬性都可以具有不同的關聯位址集。可以指定多重電子郵件位址,如以下語法中所示:
attrName e-mail|locale|charset e-mail|locale|charset .....
attrName e-mail|locale|charset e-mail|locale|charset .....
可以使用 self 關鍵字來取代其中一個位址。這時將向其設定檔已修改的使用者傳送電子郵件。
例如:
manager someuser@sun.com|self|admin@sun.com
電子郵件將傳送至 manager 屬性中指定的位址:someuser@sun.com、admin@sun 以及修改了使用者的人員 (self)。
通過使用 |locale 選項,通知清單還可以接受不同的語言環境。例如,將通知傳送至在法國的管理員:
manager someuser@sun.com|self|admin@sun.com|fr
請參閱表 20-1,以取得語言環境的清單。
|
|
注意
|
此屬性名稱與 Directory Server 模式中顯示的名稱相同,但與主控台中顯示的名稱不同。
|
|
每頁顯示的最大項目數
此屬性允許您定義每頁可顯示的最大列數。預設值為 25。例如,如果使用者搜尋傳回 100 列,則會顯示 4 頁,每頁顯示 25 列。
事件偵聽程式類別
此屬性包含接收 Identity Server 主控台中建立、修改和刪除等事件的偵聽程式清單。
處理前和處理後的類別
此欄位經由外掛程式定義實施類別清單,這些外掛程式可延伸 com.iplanet.am.sdk.AMCallBack 類別,以在針對使用者、組織、角色和群組的處理前作業和處理後作業期間接收回呼。這些作業包括:
- 建立
- 刪除
- 修改
- 將使用者加入角色/群組
- 從角色/群組中刪除使用者
您必須輸入外掛程式的完整類別名稱,例如:
com.iplanet.am.sdk.AMCallbacSample
然後,您必須變更 Web 容器的類別路徑 (來自 Identity Server 安裝基準),使之包括外掛程式類別所在位置的完整路徑。
啟用外部屬性擷取
此選項可讓外掛程式的回呼擷取外部屬性 (任何特定於外部應用程式的屬性)。外部屬性並不在 Identity Server SDK 中進行快取,因此該屬性可讓您按組織層級啟用屬性擷取。依預設,不啟用此選項。
使用者 ID 與密碼驗證外掛程式類別
此類別提供使用者 ID 與密碼驗證外掛程式機制。
此類別的方法需要透過實施驗證使用者 ID 和/或使用者密碼的外掛程式模組來置換。無論何時使用 Identity Server 主控台、amadmin 指令行介面或 SDK 加入或修改使用者 ID 或密碼值,都將呼叫實施外掛程式模組。
可以根據每個組織配置延伸此類別的外掛程式。如果沒有為組織配置外掛程式,將使用在全域層級上配置的外掛程式。
如果驗證外掛程式失敗,外掛程式模組可拋出異常,以通知應用程式指示使用者所提供之使用者 ID 或密碼中的錯誤。
