9
任务模板
Identity Manager 的任务模板使您可以使用 Administrator 界面配置某些工作流行为,以此作为编写自定义工作流的替代方法。
Identity Manager 提供了以下可以配置的任务模板:
- Create User Template――配置属性以创建用户任务。
- Delete User Template――配置属性以删除用户任务。
- Update User Template――配置属性以更新用户任务。
请阅读以下各节,以了解有关使用任务模板的信息:
启用任务模板
在使用任务模板之前,必须映射任务模板进程。要映射进程类型,请执行以下步骤:
- 从 Identity Manager Administrator 界面,选择 Tasks,然后选择 Configure Tasks。
图 1. 配置任务
Configure Tasks 页包含带有以下各列的表:
- Name――提供创建用户模板、删除用户模板和更新用户模板的链接。
- Action――包含以下按钮之一:
- Process Mapping――列出针对每个模板映射的进程类型。
- Description――提供每个模板的简短描述。
- 单击 Enable 打开模板的 "Edit Process Mappings" 页。
例如,针对 Create User Template 将显示以下页面:
图 2. "Edit Process Mappings" 页
注 默认进程类型(在本例中,为 createUser)自动显示在 "Selected Process Types" 列表中。如果需要,可从菜单中选择其他进程类型。
- 通常,针对每个模板只映射一种进程类型。
- 如果从 "Selected Process Types" 列表中删除进程类型而不选择替换的进程类型,则将显示 "Required Process Mappings" 部分,指示您选择新任务映射。
图 3. "Required Process Mappings" 部分
- 单击 Save 以映射选定的进程类型,并返回 "Configure Tasks" 页。
注 重新显示 "Configure Tasks" 页后,Edit Mapping 按钮将替换 Enable 按钮,而进程名称将列在 "Process Mapping" 列中。
图 4. 更新后的 "Configure Tasks" 表
- 为其余每个模板重复映射进程。
注:
- 可以通过选择 Configure > Form and Process Mappings 来验证映射。显示 "Configure Form and Process Mappings" 页后,向下滚动到 "Process Mappings" 表,验证以下进程类型已映射至表中显示的 "Process Name Mapped To" 条目。
|
Process Type
|
Process Name Mapped To
|
|
createUser
|
Create User Template
|
|
deleteUser
|
Delete User Template
|
|
updateUser
|
Update User Template
|
如果成功启用模板,则 "Process Name Mapped To" 条目应该全部包含词 Template。
成功映射模板进程类型后,可以配置任务模板。
配置任务模板
要配置各种任务模板,请按照以下步骤操作:
- 在 "Task Template" 表中选择 "Name" 链接。将显示以下页面之一:
- Edit Task Template Create User Template――打开此页可以编辑用于创建新用户帐户的模板。
- Edit Task Template Delete User Template――打开此页可以编辑用于删除或取消置备用户帐户的模板。
- Edit Task Template Update User Template――打开此页可以编辑用于更新现有用户信息的模板。
每个 "Edit Task Template" 页都包含一组选项卡,作为用户工作流的主要配置区域。
下表介绍了每个选项卡及其用途,以及每个选项卡都由哪些模板使用。
|
选项卡名称
|
用途
|
模板
|
|
General
(默认选项卡)
|
使您可以定义在 "Home" 和 "Account" 页上的任务栏中以及 "Tasks" 页的任务实例表中如何显示任务名称。
|
仅适用于 Create User Task Template 和 Update User Task Template
|
|
使您可以指定如何删除/取消置备用户帐户
|
仅适用于 Delete User Template
|
|
通知
|
使您可以配置 Identity Manager 调用进程时发送给管理员和用户的电子邮件通知。
|
所有模板
|
|
Approvals
|
使您可以按类型启用或禁用批准、指定其他批准者以及在 Identity Manager 执行某些任务之前指定帐户数据的属性。
|
所有模板
|
|
Audit
|
使您可以启用和配置工作流的审计。
|
所有模板
|
|
Provisioning
|
使您可以在后台运行任务并允许 Identity Manager 在任务失败时重试该任务。
|
仅适用于 Create User Task Template 和 Update User Task Template
|
|
Sunrise and Sunset
|
使您可以在指定日期/时间执行创建任务(生效),或在指定日期/时间执行删除任务(失效)。
|
仅适用于 Create User Task Template
|
|
Data Transformations
|
使您可以配置在置备期间如何变换用户数据。
|
仅适用于 Create User Task Template 和 Update User Task Template
|
- 选择一个选项卡以配置模板的工作流功能。
以下各节提供了配置这些选项卡的说明:
- 配置完模板后,单击 Save 按钮以保存所做的更改。
配置 "General" 选项卡
本节提供配置 "General" 选项卡的说明。
注 由于 "Create User Template" 和 "Update User Template" 的 "Edit Task Template" 页是相同的,因此在同一小节中说明这两张选项卡的配置。
对于 Create User Template 或 Update User Template
默认情况下,打开 "Edit Task Template Create User Template" 或 "Edit Task Template Update User Template" 后,将显示 "General" 选项卡页。此页如下图所示,由 "Task Name" 文本字段和菜单构成。
图 5. "General" 选项卡:创建用户模板
任务名称可以包含文字文本和/或属性引用,在任务执行期间解析该名称。
要更改默认任务名称,请执行以下步骤:
- 在 Task Name 字段中键入名称。
可以编辑或完全替换默认的任务名称。
- Task Name 菜单提供当前为视图(与此模板配置的任务相关)定义的属性列表。从菜单中选择一个属性(可选)。
Identity Manager 将在 "Task Name" 字段的条目中附加该属性名称。例如:
Create user $(accountId) $(user.global.email)
- 完成后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
在 "Home" 和 "Accounts" 选项卡底部的 Identity Manager 任务栏中,将显示新的任务名称。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
对于 Delete User Template
默认情况下,打开 "Edit Task Template Delete User Template" 后,将显示 "General" 选项卡页。
要指定如何删除/取消置备用户帐户,请执行以下步骤:
- 使用 Delete Identity Manager Account 按钮可以指定是否可以在删除操作期间删除 Identity Manager 帐户,选项如下:
- Never――启用此按钮可以禁止删除帐户。
- Only if user has no linked accounts after deprovisioning――如果启用此按钮,则仅当用户帐户在取消置备后没有链接的资源帐户时才可以删除用户帐户。
- Always――启用此按钮可以始终允许删除用户帐户,即使仍分配有资源帐户。
- 使用 Resource Accounts Deprovisioning 框以控制所有资源帐户的取消置备操作,选项如下:
- Delete All――启用此框可以删除所有已分配的资源中的全部用户帐户。
- Unassign All――启用此框可以取消分配给用户的所有资源帐户, 但不删除资源帐户。
- Unlink All――启用此框可以断开 Identity Manager 系统与资源帐户的全部链接。如果尚未链接分配给用户的帐户,则用户将以带有徽章的形式显示,以表明需要更新。
注 这些控制选项将取代在 "Individual Resource Accounts Deprovisioning" 表中的选择。
- 使用 Individual Resource Accounts Deprovisioning 框以
对用户取消置备进行更为细化的操作(与 Resource Accounts Deprovisioning 相比),选项如下:
- Delete――启用此框可以删除资源中的用户帐户。
- Unassign――如果启用此框,则将不再直接把用户分配给资源, 但不删除资源帐户。
- Unlink――启用此框可以断开 Identity Manager 系统与资源帐户的链接。如果尚未链接分配给用户的帐户,则用户将以带有徽章的形式显示,以表明需要更新。
注 如果要为不同的资源分别指定取消配置策略,则 Individual Resource Accounts Deprovisioning 选项将很有用。例如,大部分客户都不会删除 Active Directory 用户,因为每个 Active Directory 用户都有一个全局标识符,该标识符无法在删除后重新创建。
不过,在添加新资源的环境中,可能不希望使用此选项,因为每次添加新资源时都必须更新取消置备配置。
- 完成后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
配置 "Notification" 选项卡
所有任务模板都支持在 Identity Manager 调用进程后(通常在该进程完成后)发送电子邮件通知给管理员和用户。可以使用 "Notification" 选项卡配置这些通知。
注 Identity Manager 使用电子邮件模板将信息和操作请求传送给管理员、批准者和用户。有关 Identity Manager 电子邮件模板的更多信息,请参见本指南中标题为“了解电子邮件模板”的一节。
下图显示了 Create User Template 的 "Notification" 页。
图 6. "Notification" 选项卡:创建用户模板
要指定 Identity Manager 确定通知收件人的方式,请完成以下过程:
- 完成 Administrator Notifications 部分。
- 完成 User Notifications 部分。
- 完成后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
配置管理员通知
从 Determine Notification Recipients from 菜单选择选项以确定通知管理员收件人的方法。
- None(默认)――不通知任何管理员。
- Attribute――选择此选项可以根据用户视图中指定的属性来获取通知收件人的帐户 ID。继续通过属性指定收件人。
- Rule――选择此选项可以按照特定规则进行评估,以获取通知收件人的帐户 ID。继续通过规则指定收件人。
- Query――选择此选项可以通过查询特定资源,来获取通知收件人的帐户 ID。继续通过查询指定收件人。
通过属性指定收件人
要通过特定属性获取通知收件人的帐户 ID,请执行以下步骤:
注 该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
- 从 Determine Notification Recipients from 菜单中选择 Attribute,将显示以下新选项:
图 7. 管理员通知:属性
- Notification Recipient Attribute――提供用于确定收件人帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。
- Email Template――提供电子邮件模板的列表。
- 从 Notification Recipient Attribute 菜单中选择属性。
属性名称将显示在菜单旁的文本字段中。
- 从 Email Template 菜单中选择模板,以指定管理员通知电子邮件的格式。
通过规则指定收件人
要通过特定规则获取通知收件人的帐户 ID,请执行以下步骤:
注 评估后,此规则必须返回表示单个帐户 ID 的字符串或帐户 ID 列表。
- 从 Determine Notification Recipients from 菜单中选择 Rule,"Notification" 表单中将显示以下新选项:
图 8. 管理员通知:规则
- Notification Recipient Rule――提供评估后返回收件人帐户 ID 的规则(当前为系统定义)列表。
- Email Template――提供电子邮件模板的列表。
- 从 Notification Recipient Rule 菜单中选择规则。
- 从 Email Template 菜单中选择模板,以指定管理员通知电子邮件的格式。
通过查询指定收件人
注 目前只支持 LDAP 和 Active Directory 资源查询。
要通过查询特定资源获取通知收件人的帐户 ID,请执行以下步骤:
- 从 Determine Notification Recipients from 菜单中选择 Query,"Notification" 表单中将显示以下新选项:
图 9. 管理员通知:查询
- Notification Recipient Administrator Query――提供由以下菜单组成的表格,以用于构建查询:
- Resource to Query――提供当前为系统定义的资源列表。
- Resource Attribute to Query――提供当前为系统定义的资源属性列表。
- Attribute to Compare――提供当前为系统定义的属性列表。
- Email Template――提供电子邮件模板的列表。
- 从这些菜单中选择资源、资源属性和要比较的属性以构建查询。
- 从 Email Template 菜单中选择模板,以指定管理员通知电子邮件的格式。
通过管理员列表指定收件人
从 Determine Notification Recipients from 菜单中选择 Administrators List,"Notification" 表单中将显示以下新选项:
图 10. 管理员通知:管理员列表
- Administrators to Notify――提供带有可用管理员列表的选择工具。
- Email Template――提供电子邮件模板的列表。
- 在 "Available Administrators" 列表中选择一个或多个管理员,然后使用
按钮或 
按钮将所选名称移至 "Selected Administrators" 列表中。 - 从 Email Template 菜单中选择模板,以指定管理员通知电子邮件的格式。
配置用户通知
指定要通知的用户后,还必须指定(用于生成电子邮件通知)电子邮件模板的名称。
要就创建、更新或删除用户通知用户,请启用 Notify user 复选框,然后从该菜单中选择电子邮件模板。
图 11. 指定电子邮件模板
配置 "Approvals" 选项卡
可以使用 "Approvals" 选项卡指定其他批准者,并在 Identity Manager 执行创建、删除或更新用户任务之前指定任务批准表单的属性。
通常,在执行某些任务之前,需要与特定组织、资源或角色关联的管理员来批准这些任务。Identity Manager 还允许您指定其他批准者――需要批准任务的其他管理员。
注 如果在工作流中配置了 Additional Approvers,则需要原有批准者和在模板中指定的所有其他批准者的共同批准。
下图说明初始 "Approval" 页的管理用户界面
图 12. "Approvals" 选项卡:创建用户模板
要配置批准,请执行以下步骤:
- 完成 "Approvals Enablement" 部分(请参见启用批准)。
- 完成 "Additional Approvers" 部分(请参见指定其他批准者)。
- 完成 "Approval Form Configuration" 部分(仅适用于 Create User Template 和 Update User Template)(请参见配置批准表单)。
- 配置完 "Approvals" 选项卡后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
启用批准
如果使用以下 Approvals Enablement 复选框,则只有通过批准才能继续执行创建用户、删除用户或更新用户任务。
注 默认情况下,已针对 Create User Template 和 Update User Template 启用这些复选框,但对于 Delete User Template 却是禁用的。
- Organization Approvals――如果启用此复选框,则需要所有配置的组织批准者的批准。
- Resource Approvals――如果启用此复选框,则需要所有配置的资源批准者的批准。
- Role Approvals――如果启用此复选框,则需要所有配置的角色批准者的批准。
指定其他批准者
使用 Determine additional approvers from 菜单,可以指定 Identity Manager 将为创建用户、删除用户或更新用户任务确定其他批准者的方式。此菜单上的选项包括:
|
选项
|
描述
|
|
None(默认)
|
执行任务不需要其他批准者。
|
|
Attribute
|
批准者的帐户 ID 是从用户视图中指定的属性内获取的。
|
|
Rule
|
批准者的帐户 ID 是按照特定规则进行评估而获取的。
|
|
Query
|
批准者的帐户 ID 是通过查询特定资源而获取的。
|
|
Administrator List
|
直接从列表中选择批准者。
|
选择这些选项中的任何一个(除 None 以外),管理用户界面中都将显示附加选项。将从指定其他批准者开始说明如何配置这些选项。
使用以下各节提供的说明,可以指定确定其他批准者的方法。
通过属性
要通过属性确定其他批准者,请执行以下步骤:
- 从 Determine additional approvers from 菜单中选择 Attribute。
注 该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
将显示以下新选项:
图 13. 其他批准者:属性
- Approver Attribute――提供用于确定批准者帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。
- Approval times out after――提供方法以指定批准超时。
注 Approval times out after 设置对原始批准和提升批准都起作用。
- 通过 Approver Attribute 菜单选择属性。
所选属性将显示在旁边的文本字段中。
- 决定是否要为批准请求指定超时值。
- 如果不打算指定超时值,则可以继续配置批准表单,或保存更改然后配置其他选项卡。
通过规则
要通过特定规则获取批准者的帐户 ID,请执行以下步骤:
- 从 Determine additional approvers from 菜单中选择 Rule。
注 评估后,此规则必须返回表示单个帐户 ID 的字符串或帐户 ID 列表。
将显示以下新选项。
图 14. 其他批准者:规则
- Approver Rule――提供评估后返回收件人帐户 ID 的规则(当前为系统定义)列表。
- Approval times out after――提供方法以指定批准超时。
注 Approval times out after 设置对原始批准和提升批准都起作用。
- 从 Approver Rule 菜单中选择规则。
- 决定是否要为批准请求指定超时值。
- 如果不打算指定超时值,则可以继续配置批准表单,或保存更改然后配置其他选项卡。
通过查询
注 目前只支持 LDAP 和 Active Directory 资源查询。
要通过查询特定资源获取批准者帐户 ID,请执行以下步骤:
- 从 Determine additional approvers from 菜单中选择 Query,将显示以下
新选项:
图 15. 其他批准者:查询
- Approval Administrator Query――提供由以下菜单组成的表格,以用于构建查询:
- Resource to Query――提供当前为系统定义的资源列表。
- Resource Attribute to Query――提供当前为系统定义的资源属性列表。
- Attribute to Compare――提供当前为系统定义的属性列表。
- Approval times out after――提供方法以指定批准超时。
注 Approval times out after 设置对原始批准和提升批准都起作用。
- 按如下步骤构建一个查询:
- 从“要查询的资源”菜单中选择资源。
- 从 Resource Attribute to Query 和 Attribute to Compare 菜单中选择属性。
- 决定是否要为批准请求指定超时值。
- 如果不打算指定超时值,则可以继续配置批准表单,或保存更改然后配置其他选项卡。
通过管理员列表
要直接从管理员列表中选择其他批准者,请执行以下步骤:
- 从 Determine additional approvers from 菜单中选择 Administrators List,将显示以下新选项:
图 16. 其他批准者:管理员列表
- Administrators to Notify――提供带有可用管理员列表的选择工具。
- Approval Form――提供用户表单列表,其他批准者可以使用该列表批准或拒绝批准请求。
- Approval times out after――提供方法以指定批准超时。
注 Approval times out after 设置对原始批准和提升批准都起作用。
- 在 "Available Administrators" 列表中选择一个或多个管理员,然后使用
按钮或 
按钮将所选名称移至 "Selected Administrators" 列表中。 - 决定是否要为批准请求指定超时值。
- 如果不打算指定超时值,则可以继续配置批准表单,或保存更改然后配置其他选项卡。
配置批准超时
要配置批准超时,请执行以下步骤:
- 启用批准超时复选框。
旁边的文本字段和菜单将变为活动状态,并显示 Timeout Action 按钮,如下图中所示。
图 17. 批准超时选项
- 使用 Approval times out after 文本字段和菜单可以指定超时值,步骤如下:
- 从菜单中选择以秒、分钟、小时或天为单位。
- 在文本字段中输入数字,以表示要指定的超时秒数、分钟数、小时数或天数。
注 Approval times out after 设置对原始批准和提升批准都起作用。
- 启用以下 Timeout Action 按钮之一,以指定批准请求超时后将采取的操作:
- Reject Request――如果在指定的超时值之前没有批准,Identity Manager 将自动拒绝请求。
- Escalate the approval――如果在指定的超时值之前没有批准,Identity Manager 将自动把该请求提升至另一批准者。
启用此按钮后,将显示新选项;必须通过这些选项指定 Identity Manager 确定提升批准的批准者的方式。请继续阅读提升批准以获取有关说明。
- Execute a task――如果在指定的超时值之前没有批准批准请求,Identity Manager 将自动执行备用任务。
启用此按钮,将显示 Approval Timeout Task 菜单,可以通过该菜单指定批准请求超时后要执行的任务。请继续阅读执行任务以获取有关说明。
提升批准
启用 "Timeout Action" 旁的 Escalate the approval 按钮后,将显示如下 Determine escalation approvers from 菜单:
图 18. "Determine Escalation Approvers From" 菜单
从该菜单中选择以下选项之一来指定如何确定提升批准的批准者。
- Attribute――根据新用户视图中指定的属性来决定批准者帐户 ID。
注 该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
显示 Escalation Administrator Attribute 菜单时,从列表中选择属性。所选属性将显示在旁边的文本字段中。
图 19. "Escalation Administrator Attribute" 菜单
- Rule――按照特定规则进行评估,以确定批准者帐户 ID。
注 评估后,此规则必须返回表示单个帐户 ID 的字符串或帐户 ID 列表。
显示 Escalation Administrator Rule 菜单时,从列表中选择规则。
图 20. "Escalation Administrator Rule" 菜单
- Query――通过查询特定资源确定批准者帐户 ID。
显示 Escalation Administrator Query 菜单时,按如下步骤构建查询:
- 从“要查询的资源”菜单中选择资源。
- 从“要查询的资源属性”菜单中选择属性。
- 从 Attribute to Compare 菜单中选择属性。
图 21. "Escalation Administrator Query" 菜单
- Administrator List(默认)――直接从列表中选择 批准者。
显示 Escalation Administrator 选择工具后,按如下步骤选择批准者:
图 22. "Escalation Administrator" 选择工具
- 从 Available Administrators 列表中选择一个或多个管理员的名称。
- 使用
按钮或 
按钮将这些名称移至 Selected Administrators 列表中。
执行任务
启用 "Timeout Action" 旁的 Execute a task 按钮后,将显示如下 Approval Timeout Task 菜单:
图 23. "Approval Timeout Task" 菜单
指定批准请求超时后要执行的任务。例如,可以允许请求者提交帮助台请求或发送报告给管理员。
配置批准表单
注 Delete User Template 不包含 "Approval Form Configuration" 部分。只能针对 Create User Template 和 Update User Template 配置此部分。
可以使用 "Approval Form Configuration" 部分的功能选择批准表单,然后将属性添加到批准表单(或从中删除属性)。
图 24. 批准表单配置
默认情况下,"Approval Attributes" 表包含以下标准属性:
要为其他批准者配置批准表单,请执行以下步骤:
- 从 Approval Form 菜单中选择表单。
批准者将使用此表单来批准或拒绝批准请求。
- 启用 Approval Attributes 表的 Editable 列中的复选框,以使批准者可以编辑属性值。
例如,如果启用 user.waveset.accountId 复选框,则批准者可以更改用户的帐户 ID。
注 如果修改了批准表单中特定于帐户的任何属性,则在实际置备用户时,具有相同名称的所有全局属性值也将被覆盖。
例如,如果资源 R1 存在于带有 description 模式属性的系统中,而您将 user.accounts[R1].description 属性作为可编辑的属性添加到批准表单中,则任何对批准表单中 description 属性值的更改都将覆盖仅从资源 R1 的 global.description 传播来的值。
- 单击 Add Attribute 或 Remove Selected Attribute(s) 按钮,以指定将来自新用户帐户数据的属性显示在批准表单中。
注 除非修改 XML 文件,否则不能从批准表单中删除默认属性。
添加属性
要将属性添加到批准表单
- 单击 "Approval Attributes" 表下的 Add Attribute 按钮。
"Approval Attributes" 表中的 Attribute name 菜单将变为活动状态,如下图所示:
图 25. 添加批准属性
- 从菜单中选择一个属性。
选定属性的名称将显示在旁边的文本字段中,而属性的默认显示名称则显示在 "Form Display Name" 列中。
例如,如果选择 user.waveset.organization 属性,则可以在表中进行如下更改:
- 如果需要,可以更改默认属性名称或默认表单显示名称,方法是将新名称键入相应的文本字段。
- 若要允许批准者更改属性值,可启用 Editable 复选框。
例如,批准者可能要覆盖诸如用户电子邮件地址之类的信息。
- 重复以上步骤以指定其他属性。
删除属性
注 除非修改 XML 文件,否则不能从批准表单中删除默认属性。
要从批准表单中删除属性,请执行以下步骤:
- 启用 "Approval Attributes" 表的最左列中的一个或多个复选框。
- 单击 Remove Selected Attribute(s) 按钮,以立即从 "Approval Attributes" 表中删除选定的属性。
例如,单击 Remove Selected Attribute(s) 按钮后,将从下表中删除 user.global.firstname 和 user.waveset.organization。
图 26. 删除批准属性
配置 "Audit" 选项卡
所有可配置的 Task Templates 都支持配置工作流以审计某些任务。特别地,可以配置 "Audit" 选项卡以控制是否审计工作流事件,以及指定将存储哪些属性以供报告。
图 27. 审计 Create User Template
要通过 User Template 的 "Audit" 选项卡配置审计,请执行以下步骤:
- 启用 Audit entire workflow 复选框以激活工作流审计功能。
- 单击 Add Attribute 按钮(在 "Audit Attributes" 部分),以选择要记录的属性以供报告。
- 当 "Audit Attributes" 表中显示 Select an attribute 菜单后,从列表中选择属性。
属性名称将显示在旁边的文本字段中。
图 28. 添加属性
要从“审计属性”表格中删除属性,
- 启用要删除的属性旁边的复选框。
图 29. 删除 user.global.email 属性
- 单击“删除选定的属性”按钮。
配置完此选项卡后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
配置 "Provisioning" 选项卡
注 此选项卡仅适用于 Create User Template 和 Update User Template。
可以使用 "Provisioning" 选项卡配置以下与置备有关的选项:
图 30. "Provisioning" 选项卡:创建用户模板
- Provision in the background――启用此复选框可以在后台运行创建、删除或更新任务,而不是同步运行任务。
后台置备允许您在执行任务时继续在 Identity Manager 中工作。
- Add Retry link to the task result――启用此复选框可以在执行任务发生置备错误时,将 Retry 链接添加到用户界面。Retry 链接可让用户在第一次尝试失败后再次尝试执行该任务。
配置完 "Provisioning" 选项卡后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
配置 "Sunrise and Sunset" 选项卡
注 此选项卡仅适用于 Create User Template。
使用 "Sunrise and Sunset" 选项卡,可以选择一种方法来确定以下事件发生的时间和日期:
- 针对新用户进行置备(生效)。
- 取消针对新用户的置备(失效)。
例如,可以为六个月后合同到期的临时工指定失效日期。
图 31. "Sunrise and Sunset" 选项卡:创建用户模板
本节其余部分提供了有关配置 "Sunrise and Sunset" 选项卡的说明。信息通过以下方式进行组织:
配置生效
本小节提供的说明用于确定对新用户进行置备的时间和日期,以及用于指定将拥有生效工作项目的用户。
要配置生效,请执行以下步骤:
- 从 Determine sunrise from 菜单中选择以下选项之一,以指定 Identity Manager 确定置备的时间和日期的方法。
- Specifying a Time――在指定的未来时间进行置备。请继续阅读指定时间以获取有关说明。
- Specifying a Date――在指定的未来日期进行置备。请继续阅读指定日期以获取有关说明。
- Specifying an Attribute――根据用户视图中的属性值,来确定置备的日期和时间。此属性必须包含日期/时间字符串。指定包含日期/时间字符串的属性后,可以指定数据必须符合的数据格式。
请继续阅读指定属性以获取有关说明。
- Specifying a Rule――根据规则(评估后将产生日期/时间字符串)来确定置备时间。与指定属性一样,可以指定数据必须符合的数据格式。
请继续阅读指定规则以获取有关说明。
注 Determine sunrise from 菜单的默认选项为 None,即允许立即进行置备。
- 从 Work Item Owner 菜单中选择用户,该用户将拥有生效工作项目。
注 可在 "Approvals" 选项卡中找到生效工作项目。
- 配置完生效后,可以
- 选择其他选项卡以继续编辑 Create User Template。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
指定时间
要在指定时间进行置备,请执行以下步骤:
- 从 Determine sunrise from 菜单中选择 Specified time。
- 当新的文本字段和菜单显示在 Determine sunrise from 菜单右侧后,在空白的文本字段中键入数字并从旁边的菜单中选择时间单位。
例如,如果要在两小时后置备新用户,则进行如下指定:
图 32. 在两个小时后置备新用户
指定日期
要在指定日历日期进行置备,请执行以下步骤:
- 从 Determine sunrise from 菜单中选择 Specified day。
Determine sunrise from 菜单右侧将显示如下新菜单。
图 33. 新菜单
- 使用这些新菜单来指定在哪个月、哪一周的哪一天进行置备。
例如,如果要在九月的第二个星期一置备新用户,则进行如下指定:
图 34. 按照日期置备新用户
指定属性
要根据用户帐户数据中的属性值来确定置备日期和时间,请执行以下步骤:
- 从 Determine sunrise from 菜单中选择 Attribute,以下选项将变为活动状态:
- Sunrise Attribute菜单――提供当前为视图(与此模板配置的任务相关)定义的属性列表。
- Specific Date Format 复选框和菜单――使您可以指定属性值的日期格式字符串(如果需要)。
注 如果未启用 Specific Date Format 复选框,则日期字符串必须符合 FormUtil 方法的 convertDateToString 可接受的格式。请查阅产品文档,以了解支持的日期格式的完整列表。
- 从 Sunrise Attribute 菜单中选择属性。
- 如果需要,启用 Specific Date Format 复选框,并在 Specific Date Format 字段变为活动状态后输入日期格式字符串。
例如,如果要根据使用了日、月和年格式的 waveset.accountId 属性值来置备新用户,则进行如下指定:
图 35. 通过属性置备新用户
指定规则
要通过评估特定规则来确定置备日期和时间,请执行以下步骤:
- 从 Determine sunrise from 菜单中选择 Rule,以下选项将变为活动状态:
- Sunrise Rule 菜单――提供当前为系统定义的规则列表。
- Specific Date Format 复选框和菜单――使您可以针对规则返回的值指定日期格式字符串(如果需要)。
注 如果未启用 Specific Date Format 复选框,则日期字符串必须符合 FormUtil 方法的 convertDateToString 可接受的格式。请查阅产品文档,以了解支持的日期格式的完整列表。
- 从 Sunrise Rule 菜单中选择规则。
- 如果需要,启用 Specific Date Format 复选框,并在 Specific Date Format 字段变为活动状态后输入日期格式字符串。
例如,如果要根据使用了年、月、日、小时、分钟和秒格式的电子邮件规则来置备新用户,请进行如下指定:
图 36. 通过规则置备新用户
配置失效
配置失效部分(取消置备)的选项和过程与配置生效部分针对生效(置备)提供的选项和过程相同。
唯一的不同之处是 Sunset 部分还提供了 Sunset Task 菜单,这是因为您还必须指定任务以在特定日期和时间取消对用户的置备。
要配置失效,请执行以下步骤:
- 使用 Determine sunset from 菜单指定方法来确定取消置备的时间:
注 Determine sunset from 菜单的默认选项为 None,即允许立即取消置备。
- Specified time――在指定的未来时间取消置备。请查看指定时间以获取有关说明。
- Specified date――在指定的未来日历日期取消置备。请查看指定日期以获取有关说明。
- Attribute――根据用户的帐户数据中的属性值,来确定取消置备的日期和时间。此属性必须包含日期/时间字符串。指定包含日期/时间字符串的属性后,可以指定可以指定数据必须符合的数据格式。
请查看指定属性以获取有关说明。
- Rule――根据规则(评估后将产生日期/时间字符串)来确定取消置备时间。与指定属性一样,可以指定数据必须符合的日期格式。
请查看指定规则以获取有关说明。
- 使用 Sunset Task 菜单指定任务以在特定日期和时间取消对用户的置备。
- 配置完此选项卡后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
配置 "Data Transformations" 选项卡
注 此选项卡仅适用于 Create User Template 和 Update User Template。
如果要在执行工作流的过程中更改用户帐户数据,则可以使用 "Data Transformations" 选项卡指定在置备期间 Identity Manager 如何变换数据。
例如,如果要使表单或根据规则生成符合公司策略的电子邮件地址,或如果要生成生效或失效日期。
选择 "Data Transformations" 选项卡后,将显示以下页面:
图 37. "Data Transformations" 选项卡:创建用户模板
此页由以下部分组成:
- Before Approval Actions――如果要在将批准请求发送到特定批准者之前变换用户帐户数据,请配置此部分的选项。
- Before Provision Actions――如果要在置备操作之前变换用户帐户数据,请配置此部分的选项。
- Before Notification Actions――如果要在将通知发送到指定收件人之前变换用户帐户数据,请配置此部分的选项。
在每个部分均可以配置以下选项:
- Form to Apply 菜单――提供当前为您的系统配置的表单列表。使用该菜单可以指定将用于变换用户帐户数据的表单。
- Rule to Run 菜单――提供当前为您的系统配置的规则列表。使用该菜单可以指定将用于变换用户帐户数据的规则。
配置完此选项卡后,可以
- 选择其他选项卡以继续编辑模板。
- 单击 Save 以保存更改并返回到 "Configure Tasks" 页。
- 单击 Cancel 以放弃更改并返回到 "Configure Tasks" 页。
