|
| |
| Sun Java System Identity Manager 6.0 2005Q4M3 管理指南 | |
3
用户和帐户管理
本章介绍通过 Identity Manager 管理员界面管理用户的信息和步骤。您将了解到 Identity Manager 用户和帐户管理任务,包括:
关于用户帐户数据用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。
从管理员界面的 "Create User" 页(Accounts 选项卡)角度,Identity Manager 将用户数据划分为四个区域:
身份
"Identity" 区域定义用户的帐户 ID、用户名、联系人信息、控制的组织和 Identity Manager 帐户密码。它还标识用户可以访问的资源以及控制每个资源帐户的密码策略。
注 有关设置帐户密码策略的信息,请参阅本章的“设置密码策略”部分。
下图说明 "Create User" 页的 "Identity" 区域。
图 1. 创建用户――身份
分配
"Assignments" 区域为访问 Identity Manager 对象(如资源)设置限制。
单击 Assignments 表单选项卡以设置:
安全
在 Identity Manager 术语中,分配了扩展管理权能的用户称为 Identity Manager 管理员。"Security" 区域通过以下分配,为用户建立这些扩展管理权能:
属性
"Attributes" 区域定义与已分配的资源相关的帐户属性。列出的属性按分配的资源分类,具体情况根据分配资源的不同而不同。
图 3. 创建用户 属性
帐户区域在 Identity Manager 帐户区域内可管理 Identity Manager 用户。要访问此区域,请在管理员界面中选择 Accounts。
帐户列表显示所有 Identity Manager 用户帐户。帐户按组织和虚拟组织分组,用若干文件夹分层表示。
您可以按全名 ("Name")、用户的姓 ("Last Name") 或用户的名 ("First Name") 对帐户列表进行排序。
单击标题栏可按列排序。单击同一个标题栏可在升序和降序这两种方式之间切换。
注 如果按全名("Name" 列)排序,则分层结构中所有级别的所有项目都按字母顺序排列。
要展开分层结构视图,查看组织中的帐户,请单击文件夹旁的三角指示符。再次单击该指示符可以折叠此视图。
图 4. 帐户列表
帐户区域中的操作列表
使用操作列表(位于帐户区域的顶部和底部)可以执行一系列操作。操作列表选项分为:
在帐户区域中搜索
使用帐户区域搜索功能查找用户和组织。在列表中选择 "Organizations" 或 "Users",在搜索区域中输入一个或多个字符,然后单击 Search。
用户帐户状态
每个用户帐户旁显示的图标指示当前已分配帐户状态:
使用用户帐户从管理员界面的 "Accounts" 区域,您可以在这些系统对象上执行一系列操作。
用户
查看
要查看用户帐户的详细信息,请在列表中选择用户,然后从 "User Actions" 列表中选择 "View"。
"View User" 页显示编辑或创建用户时建立的身份、分配、安全和属性信息选项的子集。无法编辑 "View User" 页上的信息。单击 Cancel 可以返回至 "Accounts" 列表。
创建("New Actions" 列表,"New User" 选项)
要创建用户帐户,请在 "New Actions" 列表中选择 "New User"。
提示 如果要在组织中而非顶部创建用户,请选择组织文件夹,然后在 "New Actions" 列表中选择 "New User"。
在一个区域中的可用选项可能取决于您在其他区域中所做的选择。
"Create User" 页(也称为用户表单)是多页表单,可用来设置用户的以下数据:
单击表单选项卡在“创建用户”页中导航。可以按任意顺序在表单选项卡间移动。完成选择后,可以使用两个选项来保存用户帐户:
状态指示器
状态
正在进行保存。
保存过程已暂停。这通常表示该过程正在等待批准。
已顺利完成保存。这并不表示用户已被成功保存;只是表示保存的过程没有任何错误。
尚未开始保存。
已完成保存过程,但是出现一个或多个错误。
提示 将鼠标移至状态指示器中显示的用户图标的上方,便可看到有关后台保存过程的详细信息。
创建多个用户帐户(身份)
可以在单个资源上创建多个用户帐户。创建(或编辑)用户并为用户分配一个或多个资源时,也可在该资源上请求和定义附加帐户。
编辑
要编辑帐户信息,请选择以下操作之一:
进行更改并保存更改后,Identity Manager 将显示“更新资源帐户”页。此页显示分配给用户的资源帐户以及将应用于帐户的更改。选择“更新所有资源帐户”将更改应用于所有已分配的资源;或者单独选择与此用户相关的一个或多个资源帐户进行更新,或者不选择任何资源帐户进行更新。
图 5. 编辑用户(更新资源帐户)
再次单击保存完成编辑,或者单击返回编辑进行进一步更改。
移动用户(用户操作)
"Change Organization of User" 任务使您可以从当前分配给用户的组织中删除该用户,然后将用户重新分配给或移动到新的组织。
要将用户移动到其他组织,请在列表中选择一个或多个用户帐户,然后在 "User Actions" 列表中选择 "Move"。
重命名(用户操作)
重命名资源上的帐户通常是个复杂的操作。因此,Identity Manager 提供一个单独的功能来重命名用户的 Identity Manager 帐户或重命名与该用户相关的一个或多个资源帐户。
要使用重命名功能,请在列表中选择用户帐户,然后在 "User Actions" 列表中选择 "Rename" 选项。
使用 "Rename User" 页可更改用户帐户名、相关资源帐户名和与用户的 Identity Manager 帐户相关的资源帐户属性。
注 某些资源类型不支持帐户重命名功能。
如下图所示,此用户拥有已分配的 Active Directory 资源。在重命名过程中,您可以更改:
禁用用户(用户操作、组织操作)
如果禁用用户帐户,即更改了此帐户,使得该用户无法再登录到 Identity Manager 或该用户的已分配资源帐户。
注 对于不支持帐户禁用功能的已分配资源,禁用用户帐户的方式是分配随机生成的新密码。
禁用单个用户帐户
要禁用用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Disable"。
在显示的“禁用”页中,选择要禁用的资源帐户,然后单击确定。Identity Manager 将显示禁用 Identity Manager 用户帐户及其所有相关资源帐户的结果。此帐户列表指示用户帐户已禁用。
图 7. 禁用帐户
禁用多个用户帐户
可以同时禁用两个或更多 Identity Manager 用户帐户。
在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Disable"。
注 如果选择禁用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会禁用所有选定用户帐户上的所有资源。
启用用户(用户操作、组织操作)
用户帐户的启用过程与禁用过程相反。对于不支持帐户启用功能的资源,Identity Manager 会随机生成一个新密码。根据选定的通知选项,它还会在管理员的结果页中显示该密码。
然后用户可以重设自己的密码(通过验证进程),具有管理员权限的用户也可以重设该密码。
启用单个用户帐户
要启用用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Enable"。
在显示的“启用”页中,选择要启用的资源,然后单击确定。Identity Manager 会显示启用 Identity Manager 帐户及其所有相关资源帐户的结果。
启用多个用户帐户
可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Enable"。
注 如果选择启用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会启用所有选定用户帐户上的所有资源。
更新用户(用户操作、组织操作)
在更新操作中,Identity Manager 更新与用户帐户相关的资源。从帐户区域执行的更新操作会将先前对用户进行的任何暂挂更改发送到选定的资源。可能出现这种情况的条件是:
更新用户帐户时,您可以:
更新单个用户帐户
要更新用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Update"。
在 "Update Resource Accounts" 页中,选择一个或多个要更新的资源帐户,或者选择 "Update All resource accounts" 更新所有已分配的资源帐户。完成选择后,单击 OK 开始更新过程。或者,单击 Save in Background 在后台执行操作。
使用确认页确认将数据发送到每个资源。
图 8. 更新资源帐户
更新多个帐户
可以同时更新两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Update"。
注 如果选择更新多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会更新所有选定用户帐户上的所有资源。
解除锁定用户(用户操作、组织操作)
用户因登录重试次数超过为资源建立的登录限制,可能被锁定在一个或多个资源帐户之外。用户的有效 Lighthouse 帐户策略可以建立最大密码或问题登录尝试失败次数。
用户因超过最大密码登录尝试失败次数而被锁定后,将不允许验证到任何 Identity Manager 应用程序界面(包括用户界面、管理员界面、"Forgot My Password"、BPE、SOAP 和控制台)。如果用户因超过最大问题登录尝试失败次数而被锁定,则可以验证到除 "Forgot My Password" 以外的任何 Identity Manager 应用程序界面。
密码登录尝试失败
如果因密码登录尝试失败而锁定,用户帐户将保持锁定状态,直到:
问题登录尝试失败
如果因超过问题登录尝试失败最大次数而锁定,用户帐户将保持锁定状态,直到:
具有相应权能的管理员可以对处于锁定状态的用户执行以下操作:
处于锁定状态的用户无法登录到包括管理员界面、用户界面和 BPE 的任何 Identity Manager 应用程序。无论通过向验证问题提供其用户 ID 和答案尝试用 Identity Manager 用户 ID 和密码登录,还是通过一个或多个资源登录,此限制都适用。
要解除锁定帐户,请在列表中选择一个或多个用户帐户,然后在 "User Actions" 或 "Organization Actions" 列表中选择 "Unlock Users"。
删除(用户操作、组织操作)
删除操作包括从资源删除 Identity Manager 用户帐户访问权限的多个选项:
要开始删除操作,请选择用户帐户,然后在 "User Actions" 或 "Organization Actions" 列表中选择相应的删除操作。
Identity Manager 将显示“删除资源帐户”页。
删除用户帐户和资源帐户
要删除 Identity Manager 用户帐户或资源帐户,请在“删除”列中进行选择,然后单击确定。要删除所有资源帐户,选择“删除所有资源帐户”选项,然后单击确定。
取消分配或解除链接资源帐户
要从 Identity Manager 用户帐户取消分配资源帐户或解除与资源帐户的链接,请在“取消分配”列或“解除链接”列中进行单独选择,然后单击确定。要取消分配所有资源帐户,请选择“取消分配所有资源帐户”或“解除链接所有资源帐户”选项,然后单击确定。
图 9. 删除用户帐户和资源帐户
查找帐户使用 Identity Manager 查找功能可搜索用户帐户。输入和选择搜索参数以后,Identity Manager 将查找与您的选择匹配的所有帐户。
要搜索帐户,请在菜单栏中选择 Accounts,然后选择 Find Users。可按以下一种或多种搜索类型搜索帐户:
搜索结果列表显示与您的搜索条件相匹配的所有帐户。在结果页中,您可以:
设置密码策略资源密码策略建立对密码的限制。可以编辑密码策略来设置或选择一定范围的特征值。
要开始使用密码策略,请从菜单栏选择 Configure,然后选择 Policies。
要编辑密码策略,请在 "Policies" 列表中选择密码策略。要创建密码策略,请在 "New" 选项列表中选择 "String Quality Policy"。
创建策略
密码策略是字符串质量策略的默认类型。命名并提供新策略的可选描述后,您需要为定义新策略的规则选择选项和参数。
长度规则
长度规则设置密码所需字符长度的最小值和最大值。选择以启用规则,然后为规则输入限制值。
字符类型规则
字符类型规则确定密码中可以包括的某些类型字符和数字的最少数量和最多数量。其中包括:
为每个字符类型规则输入一个数字限制值;或者输入“所有”指示所有字符必须都是该类型字符。
字符类型规则的最小数量
还可以设置必须通过验证的字符类型规则的最小数量。必须通过验证的最小数量是 1。最大数量不能超过启用的字符类型规则数。
提示 要将必须通过的最小数量设置为最高值,请输入“所有”。
图 11. 密码策略(字符类型)规则
字典策略选项
可以选择根据字典中的词检查密码。在能够使用此选项之前,您必须:
从“策略”页配置字典。有关如何设置字典的更多信息,请参阅《Identity Manager 部署工具》中名为“配置字典支持”的一章。
密码历史记录策略
可以禁止再次使用直接在新选密码之前使用的密码。
在“不能再次使用的先前密码数”字段中,输入一个大于 1 的数字,以禁止再次使用当前和先前密码。例如,如果输入数值 3,新密码就不能与当前密码或直接在当前密码之前使用的两个密码相同。
您也可禁止再次使用先前密码中使用过的类似字符。在“先前密码中不能重复使用的最多类似字符数”字段中,输入不能在新密码中重复使用的一个或多个先前密码中的连续字符数。例如,如果输入了值 7,且先前密码为 password1,则新密码不能为 password2 或 password3。
如果输入了值 0,则无论顺序如何,所有字符都不得相同。例如,如果先前密码为 abcd,则新密码不能包含字符 a、b、c 或 d。
此规则可应用于先前的一个或多个密码。检查的先前密码的数量是“不能再次使用的先前密码数”字段中指定的数量。
不得包含词
可输入一个或多个密码不能包含的词。在输入框中,每行输入一个词。
注 还可以通过配置和实现字典策略排除词。有关更多信息,请参阅“配置”一章。
不得包含属性
选择一个或多个密码不能包含的属性。属性包括:
实现密码策略
密码策略是为每个资源建立的。要将某个密码策略应用于指定资源,请从 "Password Policy" 选项列表中选择它,"Password Policy" 选项列表在 "Create Resource Wizard: Identity Manager Parameters" 或 "Edit Resource Wizard: Identity Manager Parameters" 页的 "Policy Configuration" 区域中。
使用用户帐户密码所有 Identity Manager 用户都被分配了一个密码。设置 Identity Manager 用户密码后,该密码被用于同步该用户的资源帐户密码。如果不能同步一个或多个资源帐户密码(例如,为了遵守必需的密码策略),则可单独进行设置。
更改用户帐户密码
要更改用户帐户密码:
输入并确认新密码信息,然后单击更改密码,更改所列资源帐户的用户密码。Identity Manager 将显示一个工作流程图,说明密码更改操作的执行顺序。
图 12. 更改用户密码
重置用户帐户密码
重设 Identity Manager 用户帐户密码的过程与更改过程类似。重设过程与密码更改过程的不同之处为重设过程不需要您指定新密码。而是由 Identity Manager 为用户帐户、资源帐户或这些帐户的组合随机生成新密码(根据您的选择和密码策略)。
分配给用户的策略(无论是通过直接分配还是通过用户的组织间接分配)控制多个重置选项,其中包括:
重设时密码到期
默认情况下,重设用户密码时密码立即到期。这表示重设密码后,用户首次登录时,必须选择新密码才能进行访问。可在表单中改写此默认值,这样,用户密码的到期日期就取决于与用户相关的“Lighthouse 帐户策略”中的密码到期策略设置。
例如,在“重设用户密码表单”中,将 resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword 的值设置为 false。
有两种利用“Lighthouse 帐户策略”中的“重设选项”字段使密码到期的方法:
用户自行搜索用户可以使用 Identity Manager 用户界面搜索资源帐户。这意味着拥有 Identity Manager 身份的用户可以与现有的但未关联的资源帐户相关联。
启用自行搜索
要启用自行搜索,必须编辑特殊配置对象(最终用户资源),然后将允许用户在其中搜索帐户的每个资源的名称添加到该对象中。为此,请执行以下操作:
启用自行搜索后,在 Identity Manager 的“用户界面”中会为用户显示一个新菜单项(向其他帐户通知 Identity Manager)。用户可以使用该区域从可用列表中选择一个资源,然后输入资源帐户 ID 和密码,将此帐户与其 Identity Manager 身份链接。
用户验证如果用户忘记密码或密码被重设,则该用户可通过回答一个或多个帐户验证问题来获得对 Identity Manager 的访问权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分,由您来设定。与密码策略不同,Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户(在“创建用户”页和“编辑用户”页中)。
在帐户策略中设置验证:
要点!首次设置时,用户应登录到 Identity Manager 的“用户界面”并提供对验证问题的初始回答。 如果不设置这些问题,用户必须使用密码才能成功登录。
根据验证规则集,可要求用户回答:
个性化验证问题
在 Lighthouse 帐户策略中,您可以选择选项以允许用户在用户界面和管理员界面中提供自己的验证问题。此外,可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。
然后用户可以在 "Change Answers to Authentication Questions" 页添加和更改问题。
图 15. 更改答案――个性化验证问题
验证后忽略更改密码质询
用户回答一个或多个问题成功通过验证后,默认情况下,系统会要求该用户提供一个新密码。但是,可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性,来配置 Identity Manager 忽略更改密码质询。
要在成功验证后忽略所有应用程序的更改密码质询,请在系统配置对象中将 bypassChangePassword 属性设置如下:
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...要对特定应用程序禁用此属性,请将其设置如下:
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
批量帐户操作可以对 Identity Manager 帐户执行若干批量操作,这样您便可以同时对多个帐户进行操作。您可启动的批量操作包括:
- 删除――删除、取消分配和解除链接任意选定资源帐户。选择 "Target the Identity Manager Account" 选项,以删除每个用户的 Identity Manager 帐户。
- 删除和解除链接――删除任意选定资源帐户并解除这些帐户与用户的链接。
- 禁用――禁用任何选定的资源帐户。选择“以 Identity Manager 帐户为目标”选项以禁用每个用户的 Identity Manager 帐户。
- 启用――启用任何选定的资源帐户。选择 "Target the Identity Manager Account" 选项以启用每个用户的 Identity Manager 帐户。
- 取消分配――解除任意选定资源帐户的链接,并删除这些资源上分配的 Identity Manager 用户帐户。取消分配并不从资源中删除帐户。不能取消分配已通过角色或资源组间接分配给 Identity Manager 用户的帐户。
- 解除链接――删除资源帐户与 Identity Manager 用户帐户的关联(链接)。解除链接并不从资源中删除帐户。如果将已经通过角色或资源组间接分配给 Identity Manager 用户的帐户解除链接,可在更新用户时恢复该链接。
如果在文件或应用程序(如电子邮件客户机或电子表格程序)中有一个用户列表,则批量操作将发挥最佳功能。可将上述列表复制并粘贴到此界面页的一个字段中,也可从文件加载这个用户列表。
这些操作中的许多操作都可对某个用户搜索的结果执行。在帐户选项卡下的“查找用户”页上搜索用户。
启动批量帐户操作
要启动批量帐户操作,请选择或输入值,然后单击启动。Identity Manager 会启动后台任务,以执行批量操作。
提示 要监视批量操作任务的状态,请转至任务选项卡,然后单击该任务链接。
使用操作列表
可使用逗号分隔值 (comma-separated values, CSV) 格式指定批量操作列表。这样您便可在单个操作列表中混合各种不同的操作类型。此外,可指定更复杂的创建和更新操作。
CSV 格式由两个或多个输入行组成。每一行由逗号分隔的值列表组成。第一行包含字段名称。其余行的每一行都对应于要对 Identity Manager 用户、该用户的资源帐户或这两者执行的操作。每一行都应包含相同个数的值。空值将保持相应字段值不变。
任何批量操作 CSV 输入中都必需有这两个字段:
- user――包含 Identity Manager 用户的名称。
- command――包含对 Identity Manager 用户采取的操作。有效命令有:
- Delete――对资源帐户、Identity Manager 帐户或这两者执行删除、取消分配和解除链接操作。
- DeleteAndUnlink――删除资源帐户并将其解除链接。
- Disable――禁用资源帐户、Identity Manager 帐户或两者都禁用。
- Enable――启用资源帐户、Identity Manager 帐户或两者都启用。
- Unassign――取消分配资源帐户并将其解除链接。
- Unlink――将资源帐户解除链接。
- Create――创建 Identity Manager 帐户。或者创建资源帐户。
- Update――更新 Identity Manager 帐户。或者创建、更新或删除资源帐户。
- CreateOrUpdate――如果 Identity Manager 帐户尚不存在,则执行创建操作。否则执行更新操作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign
和 Unlink 命令如果您要执行删除、删除并解除链接、禁用、启用、取消分配或解除链接操作,则需要指定的唯一附加字段是 resources。使用 resources 字段指定哪些资源上的哪些帐户将受到影响。它可具有下列值:
以下是几个此类操作的 CSV 格式示例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update 和 CreateOrUpdate 命令
如果您要执行 Create、Update 或 CreateOrUpdate 命令,则除了 user 和 command 字段之外,还可指定“用户视图”中的字段。使用的字段名称是视图中属性的路径表达式。有关“用户视图”中的可用属性信息,请参见《Identity Manager 工作流、表单和视图》。如果您正使用自定义“用户表单”,则该表单中的字段名称包含您可使用的一些路径表达式。
在批量操作中使用的一些较常见的路径表达式有:
示例
以下是创建和更新操作的 CSV 格式的示例:
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California有多个值的字段
某些字段可以有多个值。这些字段称为多值字段。例如,waveset.resources 字段可用于为一个用户分配多个资源。可以使用竖线 (|) 字符(也称为“管道”字符)在一个字段中分隔多个值。可以按如下方法指定多值的语法:
value0 | value1 [ | value2 ... ]
更新现有用户的多值字段时,您可能并不希望使用一个或多个新值替换当前字段值。您可能要删除一些值或添加一些值至当前值。可以使用字段指令指定如何处理现有字段的值。字段指令在字段值之前,并且由竖线字符包围:
|directive [ ; directive ] | field values
您可选择下列指令:
字段值中的特殊字符
如果字段值带有逗号 (,) 或双引号 (“) 字符,或者要保留前导或结尾空格,则必须将字段值用一对双引号引上 (“field_value”)。这样就需要将字段值中的双引号替换为两个双引号 (") 字符。例如,“John "Johnny" Smith”字段的结果值应为 John ""Johnny"" Smith。
如果字段值中包含竖线 (|) 或反斜杠 (\) 字符,则必须前置一个反斜杠(\| 或 \\)。
批量操作视图属性
执行 Create、Update 或 CreateOrUpdate 操作时,“用户视图”中有一些只在批量操作处理过程中使用或可用的附加属性。可在“用户表单”中引用这些属性,以提供批量操作的特定性能。这些属性如下所列:
- waveset.bulk.fields.field_name――这些属性包含从 CSV 输入中读入的字段的值,其中 field_name 是字段名称。例如,command 和 user 字段分别在带有路径表达式 waveset.bulk.fields.command 和 waveset.bulk.fields.user 的属性中。
- waveset.bulk.fieldDirectives.field_name――只对那些指定了指令的字段定义这些属性。值为指令字符串。
- waveset.bulk.abort――将此布尔型属性设置为 true 可异常中止当前操作。
- waveset.bulk.abortMessage――将此属性设置为消息字符串,当 waveset.bulk.abort 设置为 true 时,便可显示该消息字符串。如果未设置此属性,将显示一条普通中止消息。
关联和确认规则
当操作时没有可用的 Identity Manager 用户名来输入用户字段,请使用关联和确认规则。如果没有为用户字段指定值,则必须在启动批量操作时指定关联规则。如果确实为用户字段指定了值,则不会针对该操作评估关联和确认规则。
关联规则会查找与操作字段匹配的 Identity Manager 用户。确认规则会对照操作字段测试 Identity Manager 用户,以确定用户是否为匹配项。此两阶段式方法允许 Identity Manager 通过快速查找可能的用户(基于名称或属性)并仅针对可能的用户执行繁琐的检查,以优化关联过程。
分别创建子类型为 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 的规则对象,以创建关联或确认规则。
关联规则
为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一:
常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件(参考 Type.USER 的可查询属性)的列表。
关联规则的处理过程应相对简便,但应尽可能缩小范围。如有可能,将繁琐的处理过程转给确认规则。
属性条件必须参考 Type.USER 的可查询属性。这些可查询属性被配置为 Identity Manager UserUIConfig 对象中的 QueryableAttrNames。
关联扩展属性需要特殊配置:
确认规则
任意确认规则的输入为:
如果用户与操作字段匹配,则确认规则会返回字符串形式的布尔值 true;否则,它会返回值 false。
典型的确认规则会将用户视图的内部值与操作字段的值进行比较。作为关联进程可选的第二阶段,确认规则执行不能在关联规则中表达的检查(或关联规则中因太繁琐而不能评估的检查)。总之,只有在下列情况才需要确认规则:
为关联规则返回的每个匹配用户运行一次确认规则。
