上一页      目录      下一页
Sun Java System Identity Manager 6.0 2005Q4M3 管理指南

4

管理

本章介绍在 Identity Manager 系统中执行一系列管理级任务的信息和步骤，例如：

创建 Identity Manager 管理员和委托管理
定义组织和虚拟组织
创建和管理管理员

---

了解 Identity Manager 管理

Identity Manager 管理员是具有扩展 Identity Manager 权限的用户。您可以建立 Identity Manager 管理员来管理：

用户帐户
系统对象，例如角色和资源
组织

Identity Manager 通过以下内容的分配区分管理员和用户：

扩展权能。管理员将扩展权能应用到各个受管理组织中的帐户、角色和资源。
受控组织。分配了控制组织的权限后，该管理员就可以管理该组织中以及分层结构中该组织之下的任何组织中的对象。

委托管理

在多数公司内，执行管理任务的雇员具有特定职责和其他多种职责。在很多情况下，管理员需要执行对其他用户或管理员“公开”或者有限定范围的帐户管理任务。

例如，管理员可能只负责创建 Identity Manager 用户帐户。由于该责任的有限范围，管理员可能不需要有关用于创建用户帐户的资源或者系统中存在的角色或组织的特定信息。

Identity Manager 仅允许管理员“查看”和管理特定的、定义范围内的那些对象，以此来支持职责的划分和此委托管理模型。

Identity Manager 通过下列措施实现将单独系统活动委托给管理员的功能：

提供对特定组织以及这些组织内的对象的有限控制
过滤 Identity Manager 用户创建和编辑页的管理员视图
以权能形式为管理员提供特定作业任务

---

了解 Identity Manager 组织

组织允许您：

合乎逻辑并安全地管理用户帐户和管理员
限制对资源、应用程序、角色和其他 Identity Manager 对象的访问

通过创建组织并将用户分配到组织分层结构中的不同位置，可以设置委托管理的阶段。包含一个或多个其他组织的组织称为父组织。

所有 Identity Manager 用户（包括管理员）被静态分配给一个组织。用户还可以被动态地分配到其他组织。

Identity Manager 管理员被额外分配给控制组织。

创建组织

在 Identity Manager“帐户”区域创建组织。要创建组织：

在菜单栏中选择 Accounts。
在 "Accounts" 页的 "New Actions" 列表中选择 "New Organization"。

---

提示 要在组织分层结构的特定位置上创建组织，请在列表中选择组织，然后在 "New Actions" 列表中选择 "New Organization"。

---





图 1. 创建组织

将用户分配给组织

每个用户都是一个组织的静态成员，并且可以是多个组织的动态成员。组织成员资格由以下内容确定：

直接（静态）分配――从 "Create User" 或 "Edit User" 页将用户直接分配给组织。（选择 Identity 表单选项卡以显示 "Organizations" 字段。） 用户必须被直接分配给一个组织。
规则驱动（动态）分配――通过将规则分配给组织将用户动态分配给组织，评估组织时，返回一组成员用户。Identity Manager 将在下列情况下评估用户成员规则：
列出组织中的用户。
查找用户（使用“查找用户”页），包括搜索具有用户成员规则的组织中的用户。
请求访问用户，并且当前管理员控制具有成员规则的组织。

在“创建组织”页的“用户成员规则”字段中选择用户成员规则。





图 2. 创建组织：用户成员规则选择

以下示例显示如何设置能够动态控制组织的用户成员资格的用户成员规则。

---

注 有关在 Identity Manager 中创建和使用规则的信息，请参见《Identity Manager 部署工具》。

---

关键定义和包含项

对于出现在 "User Member Rule" 选项框中的规则，其 authType 必须设置为 authType=’UserMembersRule’。
该环境是目前已验证的 Identity Manager 用户的会话。
已定义的变量 (defvar) 'Astros players' 为 Windows Active Directory ou 'Houston Astros' 成员的每位用户获取 dn。
对于找到的每位用户，附加逻辑会将 'Houston Astros' ou 的每位成员用户的 dn 与前缀为冒号的 Identity Manager 资源的名称（例如 ":dogbreath-AD"）连接在一起。
返回的结果将是与格式为 "<dn>:dogbreath-AD" 的 Identity Manager 资源名称连接的 dn 列表。

用户成员规则示例

<Rule name='Get Astros players'

   authType='UserMembersRule'>

   <defvar name='Astros players'>

      <block>

   <defvar name='player names'>

      <list/>

   </defvar>

   <dolist name='users'>

      <invoke class='com.waveset.ui.FormUtil'

            name='getResourceObjects'>

      <ref>context</ref>

      <s>User</s>

      <s>dogfish-AD</s>

      <map>

         <s>searchContext</s>

         <s>OU=Houston Astros,DC=dev-ad,DC=waveset,DC=com</s>

         <s>searchScope</s>

         <s>subtree</s>

         <s>searchAttrsToGet</s>

         <list>

            <s>distinguishedName</s>

         </list>

      </map>

      </invoke>

      <append name='player names'>

      <concat>

         <get>

            <ref>users</ref>

            <s>distinguishedName</s>

         </get>

            <s>:dogbreath-AD</s>

      </concat>

      </append>

   </dolist>

      <ref>player names</ref>

   </block>

   </defvar>

      <ref>Astros players</ref>

</Rule>

分配组织控制

从“创建用户”或“编辑用户”页分配一个或多个组织的管理控制。选择 Security 表单选项卡显示 "Controlled Organizations" 字段。

您还可以从“管理员角色”字段分配一个或多个管理员角色，从而分配组织的管理控制。

---

了解目录连接和虚拟组织

目录连接是与分层相关的一组组织，它镜像目录资源的实际层级容器集合。目录资源通过使用层级容器来使用层级名称空间。目录资源示例包括 LDAP 服务器和 Windows Active Directory 资源。

目录连接中的每个组织都是虚拟组织。目录连接中的最顶层虚拟组织是代表资源中定义的基本上下文的容器的镜像。目录连接中的其余虚拟组织是顶层虚拟组织的直接或间接子组织，并且还镜像目录资源容器中的一个容器（已定义资源的基本环境容器的子容器）。

图 3. Identity Manager 虚拟组织

目录连接可以在任一点被连接到现有 Identity Manager 组织结构中。但是，目录连接不能连接到现有目录连接之内或之下。

如果已将目录连接添加到 Identity Manager 组织树中，就可以在该目录连接的环境中创建或删除虚拟组织。此外，您可以随时刷新由目录连接组成的虚拟组织集，以确保虚拟组织集与目录资源容器保持同步。不能在目录连接内创建非虚拟组织。

可以采用与 Identity Manager 组织一样的方法，使 Identity Manager 对象（例如用户、资源和角色）成为虚拟组织的成员，并且可用于虚拟组织。

设置目录连接

从 Identity Manager“帐户”区域设置目录连接：

在 Identity Manager 菜单栏中，选择 Accounts。
在 "Accounts" 列表中选择 Identity Manager 组织，然后在 "New Actions" 列表中选择 "New Directory Junction"。

您选择的组织将是所设置的虚拟组织的父组织。

Identity Manager 将显示“创建目录连接”页。

进行选择即可设置虚拟组织：
Parent organization――此字段包含从 "Accounts" 列表中选择的组织；但是您也可以从该列表中选择不同的父组织。
Directory resource――选择目录资源，该目录资源管理您要在虚拟组织中镜像目录结构的现有目录。
User form――选择要应用于该组织内的管理员的用户表单。
Identity Manager account policy――选择一个策略，或者选择默认选项（已继承），以继承父组织的策略。
Approvers――选择可以批准与此组织相关的请求的管理员。

刷新虚拟组织

此过程从所选组织向下刷新虚拟组织并使之与相关目录资源重新同步。在列表中选择虚拟组织，然后在 "Organization Actions" 列表中选择 "Refresh Organization"。

删除虚拟组织

删除虚拟组织时，可以从两个删除选项中选择：

Delete the Identity Manager organization only――仅删除 Identity Manager 目录连接。
Delete the Identity Manager organization and the resource container――删除 Identity Manager 目录连接和本机资源上的相应组织。

选择其中一个选项，然后单击删除。

---

创建管理员

可通过扩展 Identity Manager 用户的权能“创建”Identity Manager 管理员。创建或编辑用户时，可以通过下列方法为该用户提供管理控制：

指定该用户可以管理的组织
在该用户管理的组织内分配权能
选择该用户在创建并编辑 Identity Manager 用户时将使用的表单（如果分配的权功允许他执行这些操作）
选择接收暂挂批准请求的批准者（如果分配的权能允许批准者批准请求）

要授予用户管理权限，请选择 Accounts 转至 Identity Manager "Accounts" 区域，然后选择 Security 表单选项卡。

选择一个或多个选项，以建立管理控制：

Controlled Organizations――选择一个或多个组织。该管理员可以控制选定组织中的对象以及在分层结构中处于该组织之下的任何组织中的对象。管理员控制的范围由分配给他的权能进一步定义。必须在此区域进行选择。
Capabilities――选择此管理员对其控制的组织所拥有的一项或多项权能。有关 Identity Manager 权能的详细信息和描述，请阅读第 5 章，配置。
User Form――选择此管理员在创建和编辑 Identity Manager 用户时将使用的用户表单（如果分配了该权能）。如果不直接分配用户表单，管理员将继承已分配给其所属组织的用户表单。此处选定的表单会取代在该管理员组织内选定的任何表单。
Forward Approval Requests To――选择一个用户，所有暂挂批准请求都要转发到该用户。还可以从 "Approvals" 页进行此管理员设置。





图 4. 创建管理员

过滤管理员视图

将用户表单分配给组织和管理员，即可建立用户信息的特定管理员视图。在两个级别设置对用户信息的访问：

组织――创建组织时，分配该组织内的所有管理员在创建并编辑 Identity Manager 用户时使用的用户表单。任何在管理员级设置的表单都会覆盖在此设置的表单。如果没有为管理员或组织选择表单，Identity Manager 会继承为父组织选择的表单。如果未在父组织设置表单，Identity Manager 会使用在系统配置中设置的默认表单。
管理员――分配用户管理权能时，可以将用户表单直接分配给管理员。如果未分配表单，管理员会继承分配给其组织的表单（或者，在没有为该组织设置表单时继承在系统配置中设置的默认表单）。

---

注 第 5 章“配置”介绍了您可以分配的内置 Identity Manager 权能。

---

更改管理员密码

管理员密码可以由分配了管理密码更改权能的管理员进行更改，或由管理员拥有者更改。

管理员可以在下列位置更改其他管理员密码：

"Accounts" 区域――在列表中选择管理员，然后在 "User Actions" 列表中选择 "Change Password"。
"Edit User" 页――选择 Identity 表单选项卡，然后输入新密码并确认。
"Passwords" 区域――输入管理员名称，然后单击 Change Password。

---

提示 输入一个或多个字符，然后单击查找，以列出所有匹配项。

---

管理员可从“密码”区域更改自己的密码。选择 Passwords，然后选择 Change My Password 以访问自服务密码字段。

---

注 应用于帐户的 Identity Manager 帐户策略决定密码限制条件，例如密码到期日期、重设选项和通知选择。其他密码限制条件可以按照在管理员的资源中设置的密码策略设置。

---

验明管理员操作

您可以设定一个选项，以要求管理员在处理特定帐户变更前输入其 Identity Manager 登录密码。如果密码无效，则该帐户操作不能继续。

支持此选项的 Identity Manager 页为：

Edit User (account/modify.jsp)
Change User Password (admin/changeUserPassword.jsp)
Reset User Password (admin/resetUserPassword.jsp)

按如下所示在 account/modify.jsp 页中设置此选项：

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");

其中，该选项的值是包含以下一个或多个用户视图属性名称的列表（以逗号分隔）：

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
资源
角色

按如下所示在 admin/changeUserPassword.jsp 和 admin/resetUserPassword 页中设置此选项：

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");

其中，选项值可以是 true 或 false。

更改验证问题回答

使用“密码”区域更改已经为帐户验证问题设置的回答。在菜单栏中，选择 Passwords，然后选择 Change My Answers。

有关验证的详细信息，请参见“用户验证”。

自定义在管理员界面中显示的管理员名称

可以在 Identity Manager 管理员界面页和区域上按属性（例如，电子邮件或全名）而不是按帐户 ID 来显示 Identity Manager 管理员。其中包括：

编辑用户（转发批准选项列表）
角色表
创建/编辑角色
创建/编辑资源
创建/编辑组织/目录连接
批准

要配置 Identity Manager 以使用显示名称，可将以下内容添加到 UserUIConfig 对象：

<AdminDisplayAttribute>
  <String>"attribute_name"</String>
</AdminDisplayAttribute>

例如，要使用电子邮件属性作为显示名称，可将其添加到 UserUIconfig：

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

批准

用户被添加到 Identity Manager 系统后，作为批准者分配给新帐户的管理员必须对帐户创建进行验证。Identity Manager 支持适用于这些 Identity Manager 对象的三类批准：

组织――需要批准要添加到组织的用户帐户。
角色――需要批准要分配给角色的用户帐户。
资源――需要批准要授权访问资源的用户帐户。

---

注 您可以配置 Identity Manager 以获得数字签名批准。有关此功能的信息，请参阅“配置”一章中的“签名的批准”。

---

设置批准者

为上述每一类批准设置批准者都是可选的，但建议进行此类设置。对于在其中设置批准者的每个类别，帐户创建都至少需要一个批准。如果一个批准者拒绝批准请求，则不会创建帐户。

可以将多个批准者分配给各个类别。因为一个类别内只需要一个批准，所以可设置多个批准者，以帮助确保不会延迟或停止工作流。如果一个批准者不可用，则其他批准者可用于处理请求。批准仅适用于帐户创建。默认情况下，帐户更新和删除不需要批准；但是，可以自定义此过程以要求批准。

Identity Manager 以工作流程图的方式说明了帐户创建请求的批准过程和状态。可以通过使用“业务进程编辑器”(Business Process Editor， BPE) 自定义工作流，以更改批准流程、捕获帐户删除并捕获更新。

有关 BPE、工作流和更改批准工作流的说明示例的详细信息，请参见《Identity Manager 工作流、表单和视图》。

图 5. 帐户创建工作流

上一页      目录      下一页

---

版权所有 2006 Sun Microsystems, Inc. 保留所有权利。