Sun Java logo     上一頁      目錄      下一頁     

Sun logo
Sun Java System Identity Manager 2005Q4M3 管理指南  

4

管理指南

本章將提供在 Identity Manager 系統中執行一系列管理層級工作的資訊與程序,例如:

瞭解 Identity Manager 管理

Identity Manager 管理員是擁有擴充 Identity Manager 特權的使用者。 您可以建立 Identity Manager 管理員以管理:

Identity Manager 透過以下指定區別管理員與使用者:

委託管理

在大多數公司中,具有欲執行管理工作的員工會擁有特定與不同的責任。 在很多情況中,管理員必須執行帳號管理工作,而該工作對其他使用者或管理員而言是「透明」的,或者具有某些範圍限制。

例如,某管理員可能只負責建立 Identity Manager 使用者帳號。 具有該有限責任範圍的管理員,不大可能需要關於其建立使用者帳號的資源的特定資訊;或關於系統內現有角色或組織的特定資訊。

Identity Manager 支援責任分離與此委託管理模式,方法是僅允許管理員「查看」並管理特定的已定義範圍之內的物件。

Identity Manager 透過如下方法將個別系統活動委託給管理員進行管理:

瞭解 Identity Manager 組織

利用組織可執行以下動作:

藉由建立組織並指定使用者至組織層級中的不同位置,您可以設定委託管理階段。 包含一個或多個其他組織的組織稱為父系組織

所有 Identity Manager 使用者 (包括管理員) 皆靜態指定給一個組織。 使用者也可以被動態地指定給其他組織。

Identity Manager 管理員會另外指定以控制組織。

建立組織

組織於 Identity Manager 帳號區域中建立。 若要建立組織:

  1. 從功能表列中,選取 [Accounts]
  2. 從 [Accounts] 頁面的 [New Actions] 清單中,選取 [New Organization]。

    3. 提示  若要在組織階層的特定位置建立組織,請在清單中選取一個組織,然後從 [New Actions] 清單中選取 [New Organization]。


    使用 [建立組織] 頁面來設定 Identity Manager 組織。

    圖 1. 建立組織

指定使用者給組織

每個使用者均為一個組織的靜態成員,且可以是多個組織的動態成員。 組織成員資格由以下決定:

以下範例顯示了您如何設定可以動態控制組織的使用者成員資格的使用者成員規則。

附註  如需關於在 Identity Manager 中建立和使用規則的相關資訊,請參閱 Identity Manager 部署工具。

金鑰定義與內含項

使用者成員規則範例

<Rule name='Get Astros players'

   authType='UserMembersRule'>

   <defvar name='Astros players'>

      <block>

   <defvar name='player names'>

      <list/>

   </defvar>

   <dolist name='users'>

      <invoke class='com.waveset.ui.FormUtil'

            name='getResourceObjects'>

      <ref>context</ref>

      <s>User</s>

      <s>dogfish-AD</s>

      <map>

         <s>searchContext</s>

         <s>OU=Houston Astros,DC=dev-ad,DC=waveset,DC=com</s>

         <s>searchScope</s>

         <s>subtree</s>

         <s>searchAttrsToGet</s>

         <list>

            <s>distinguishedName</s>

         </list>

      </map>

      </invoke>

      <append name='player names'>

      <concat>

         <get>

            <ref>users</ref>

            <s>distinguishedName</s>

         </get>

            <s>:dogbreath-AD</s>

      </concat>

      </append>

   </dolist>

      <ref>player names</ref>

   </block>

   </defvar>

      <ref>Astros players</ref>

</Rule>

指定組織控制

從 [建立使用者] 或 [編輯使用者] 頁面指定一個或多個組織的管理控制。 選取 [Security] 表單標籤可顯示 [Controlled Organizations] 欄位。

您也可以透過從 [管理角色] 欄位指定一個或多個管理角色,來指定組織的管理控制。

瞭解目錄結合與虛擬組織

目錄結合是一組階層相關的組織,它鏡射一組目錄資源的實際階層式容器。 目錄資源透過利用階層容器來使用階層名稱空間。 目錄資源的範例有 LDAP 伺服器與 Windows Active Directory 資源。

目錄集合中每個組織皆是虛擬組織。 目錄結合中最頂層的虛擬組織是表示定義於資源中的基本上下文的容器的鏡射。 目錄結合中的其餘虛擬組織為頂層虛擬組織的直接間接子系,而且還鏡射一個為已定義資源的基本上下文容器之子系的目錄資源容器。

對映目錄型資源的 Identity Manager 虛擬組織。

圖 3. Identity Manager 虛擬組織

可以在任一點將目錄結合連接至現有 Identity Manager 組織結構。 然而,不能在現有目錄結合之內或之下連接目錄結合。

您將目錄結合新增至 Identity Manager 組織樹後,可以建立或刪除該目錄結合中上下文裡的虛擬組織。 除此之外,您可以隨時更新內含目錄結合的虛擬組織集,來確保其與目錄資源容器保持同步。 您無法在目錄結合中建立非虛擬組織。

您可以使用與 Identity Manager 組織相同的方式來建立虛擬組織的 Identity Manager 物件 (例如使用者、資源與角色) 成員,並可用於其中。

設定目錄結合

您可以在 Identity Manager 帳號區域中設定目錄結合:

  1. 從 Identity Manager 功能表列中,選取 [Accounts]
  2. 在 [Accounts] 清單中,選取一個 Identity Manager 組織,然後在 [New Actions] 清單中,選取 [New Directory Junction]。

    3. 您選取的組織將成為設定的虛擬組織的父系組織。

    Identity Manager 顯示 [建立目錄結合] 頁面。

  3. 選取設定虛擬組織的選項:
    • 父系組織 — 這個欄位包含您從 [Accounts] 清單中選取的組織;不過,您可以從清單中選取不同的父系組織。
    • 目錄資源 — 選取您要在虛擬組織中鏡射其結構的現有目錄之目錄資源。
    • 使用者表單 — 選取要套用至這個組織中的管理員的使用者表單。
    • Identity Manager 帳號策略 — 選取策略或選取預設選項 (繼承的) 來繼承父系組織的策略。
    • 核准人 — 選取可以核准與這個組織相關的請求的管理員。

更新虛擬組織

此程序從選取的組織開始,向下更新虛擬組織並使之與相關目錄資源重新同步化。 在清單中選取虛擬組織,然後在 [Organization Actions] 清單中,選取 [Refresh Organization]。

刪除虛擬組織

刪除虛擬組織時,您可以從兩個刪除選項中選取:

選取一個選項,然後按一下刪除

建立管理員

您可以藉由擴充 Identity Manager 使用者的權能來「建立」Identity Manager 管理員。 建立或編輯使用者時,您可以給予他們管理控制權,方法是:

若要給予使用者管理權限,請選取 [Accounts],以移至 [Identity Manager Accounts] 區域,然後選取 [Security] 表單標籤。

選取一或多項以建立管理控制:

篩選管理員檢視

藉由指定使用者表單給組織與管理員,您可以建立使用者資訊的特定管理員檢視。 使用者資訊的存取權設定為兩個層級:

變更管理員密碼

具有指定的管理員密碼變更權能的管理員或管理員所有者均可變更管理員密碼。

管理員可以變更其他管理員的密碼,途徑有:

管理員可以在 [密碼] 區域變更其自己的密碼。 選取 [Passwords],然後選取 [Change My Password] 以存取自助密碼欄位。

附註  套用到帳號的 Identity Manager 帳號策略會決定密碼限制,例如密碼到期時間、重設選項,與通知選擇。 其他密碼限制可由設定於管理員資源的密碼策略來設定。

質疑管理員動作

您可以設定一個選項,要求管理員在處理特定帳號變更之前,提供他的 Identity Manager 豋入密碼。 如果密碼錯誤,則無法繼續執行帳號動作。

支援這個選項的 Identity Manager 頁有:

請按如下所示在 account/modify.jsp 頁中設定此選項:

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");

其中,選項的值是一份以逗點分隔的清單,內含一個或多個使用者檢視屬性名稱:

請按如下所示在 admin/changeUserPassword.jsp 與 admin/resetUserPassword 頁中設定此選項:

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");

其中,選項的值可以是 truefalse

變更身份驗證問題的答案

使用 [密碼] 區域可變更您為帳號身份驗證問題設定的答案。 從功能表列中,選取 [Passwords],然後選取 [Change My Answers]

如需關於認證的更多資訊,請參閱使用者認證

在管理員介面中自訂管理員名稱顯示

在某些 Identity Manager 管理員介面頁面和區域中,可以顯示管理員的某些屬性 (例如電子郵件或全名) 而非帳號 ID。 其中包括:

若要將 Identity Manager 配置為使用顯示名稱,請將以下內容加入到 UserUIConfig 物件中:

<AdminDisplayAttribute>
  <String>"attribute_name"</String>
</AdminDisplayAttribute>

例如,若要使用電子郵件屬性來當作顯示名稱,請在 UserUIconfig 中加入:

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

核准

將使用者新增至 Identity Manager 系統時,指定為新帳號核准人的管理員必須驗證帳號建立。Identity Manager 支援三個核准種類,並套用至以下 Identity Manager 物件:

設定核准人

為這些種類中的每一種設定核准人是可選作業,但建議執行這個作業。 對於其中設定了核准人的每個種類,帳號的建立至少需要進行一次核准。 若一個核准人拒絕核准請求,則帳號不會建立。

您可以將多個核准人指定給每個種類。 因為種類中只需要一次核准,您可以設定多個核准人以協助確保工作流程不會延遲或終止。 若某個核准人無法使用,則其他核准人可以處理請求。 核准僅適用於帳號設定。 依預設,帳號更新與刪除不需要核准;然而,您可以自訂此程序,使其需要核准。

Identity Manager 會用一個工作流程圖來說明核准程序及帳號建立請求的狀態。 您可以自訂工作流程,方法是使用「業務程序編輯器 (BPE)」來變更核准流程、擷取帳號刪除與擷取更新。

如需關於 BPE、工作流程以及變更核准工作流程的圖示範例的更多資訊,請參閱「Identity Manager 工作流程、表單與視圖」。

工作流程以圖形形式顯示帳號建立程序的步驟。

圖 5. 帳號建立工作流程



上一頁      目錄      下一頁     

Copyright 2006 Sun Microsystems, Inc. 版權所有。