9
作業範本
Identity Manager 作業範本可讓您使用管理員介面來配置某些工作流程運作方式,做為編寫自訂工作流程的替代方法。
Identity Manager 提供了以下作業範本,您可對其進行配置:
- Create User Template — 配置建立使用者作業的特性。
- Delete User Template — 配置刪除使用者作業的特性。
- Update User Template — 配置更新使用者作業的特性。
請閱讀以下章節,以取得有關使用作業範本的資訊:
- 啟用作業範本 — 說明如何在您的系統中啟用作業範本。
- 配置作業範本 — 說明如何使用作業範本來配置工作流程運作方式。
啟用作業範本
在使用作業範本之前,您必須對映作業範本程序。若要對映程序類型,請:
- 從 [Identity Manager Administrator] 介面中,選取 [Tasks],然後選取 [Configure Tasks]。
![[Configure Tasks] 頁面。](images/task_templates7.gif)
圖 1. 配置作業
[Configure Tasks] 頁面包含一個表格,其中具有以下欄:
- Name — 提供 [Create User Templates]、[Delete User Templates] 和 [Update User Templates] 的連結。
- Action — 包含以下按鈕之一:
- Enable — 如果您尚未啟用範本,則顯示此按鈕。
- Edit Mapping — 啟用範本之後會顯示此按鈕。
啟用和編輯程序對映的程序是一樣的。
- Process Mapping — 列出每個範本對映的程序類型。
- Description — 提供每個範本的簡短描述。
- 按一下 [Enable] 以開啟範本的 [Edit Process Mappings] 頁面。
例如,對於 [Create User Template],會顯示以下頁面:
![[Edit Process Mappings] 頁面。](images/Edit_Process_Mappings15.gif)
圖 2. [Edit Process Mappings] 頁面
附註 預設程序類型 (在此情況下,為 createUser) 會自動顯示在 [Selected Process Types] 清單中。如有必要,您可以從該功能表中選取其他程序類型。
- 通常,請勿為每個範本對映多個程序類型。
- 如果從 [Selected Process Types] 清單中移除程序類型,但未選取替代的程序類型,則將顯示 [Required Process Mappings] 區段,指示您選取一個新的作業對映。
![[Required Process Mappings] 區段。](images/Required_processes17.gif)
圖 3. [Required Process Mappings] 區段
- 按一下 [Save] 可對映選取的程序類型並返回到 [Configure Tasks] 頁面。
附註 重新顯示 [Configure Tasks] 頁面後,[Edit Mapping] 按鈕將替代 [Enable] 按鈕,而且程序名稱將列在 [Process Mapping] 欄中。
![更新的 [Configure Tasks] 表。](images/Edit_Process_Mappings216.gif)
圖 4. 更新的配置作業表
- 為剩餘的每個範本重複該對映程序。
備註:
- 您可以透過選取 [Configure] > [Form and Process Mappings] 來驗證對映。顯示 [Configure Form and Process Mappings] 頁面後,向下捲動到 [Process Mappings] 表,並驗證以下程序類型已對映到該表中顯示的 [Process Name Mapped To] 項目。
|
程序類型
|
將程序名稱對映到
|
|
createUser
|
Create User Template
|
|
deleteUser
|
Delete User Template
|
|
updateUser
|
Update User Template
|
如果成功啟用範本,則 [Process Name Mapped To] 項目應該均包含文字 Template。
成功對映範本程序類型後,可以配置該作業範本。
配置作業範本
若要配置不同的作業範本,請遵循以下步驟:
- 在 [Task Template] 表中選取一個 [Name] 連結。將顯示以下頁面之一:
- Edit Task Template Create User Template — 開啟此頁面可編輯用於建立新使用者帳號的範本。
- Edit Task Template Delete User Template — 開啟此頁面可編輯用於刪除或取消佈建使用者帳號的範本。
- Edit Task Template Update User Template — 開啟此頁面可編輯用於更新現有使用者資訊的範本。
每個 [Edit Task Template] 頁面包含一組標籤,代表使用者工作流程的主要配置區域。
下表說明每個標籤、其用途以及哪些範本使用該標籤。
|
標籤名稱
|
用途
|
範本
|
|
General
(預設標籤)
|
使您可以定義作業名稱在 [Home] 和 [Account] 頁面上的作業列中以及 [Tasks] 頁面的作業實例表中如何顯示。
|
僅 [Create User Task Template] 和 [Update User Task Template]
|
|
讓您可以指定如何刪除/取消佈建使用者帳號
|
僅 [Delete User Template]
|
|
Notification
|
讓您可以配置在 Identity Manager 呼叫程序時傳送給管理員和使用者的電子郵件通知。
|
所有範本
|
|
Approvals
|
讓您可以按類型啟用或停用核准、定義附加核准人、在 Identity Manager 執行某些作業之前指定帳號資料的屬性。
|
所有範本
|
|
稽核
|
讓您可以啟用和配置工作流程的稽核。
|
所有範本
|
|
Provisioning
|
讓您可以在背景執行作業並允許 Identity Manager 在作業失敗後重試該作業。
|
僅 [Create User Task Template] 和 [Update User Task Template]
|
|
Sunrise and Sunset
|
讓您可以在指定日期/時間之前暫停建立作業 (sunrise) 或在指定日期/時間之前暫停刪除作業 (sunset)。
|
僅 [Create User Task Template]
|
|
Data Transformations
|
讓您可以配置在佈建期間如何變換使用者資料。
|
僅 [Create User Task Template] 和 [Update User Task Template]
|
- 選取其中一個標籤來配置範本的工作流程功能。
以下章節提供了配置這些標籤的說明:
- 您配置完這些範本後,請按一下 [Save] 按鈕以儲存您的變更。
配置 [General] 標籤
本節提供配置 [General] 標籤的說明。
附註 對於 [Create User Template] 和 [Update User Template],[Edit Task Template] 頁面是相同的,因此在一節中說明如何配置標籤。
對於 [Create User Template] 或 [Update User Template]
開啟 [Edit Task Template Create User Template] 或 [Edit Task Template Update User Template] 後,依預設會顯示 [General] 標籤頁面。此頁面由 [Task Name] 文字欄位和功能表組成,如下圖所示。
圖 5. [General] 標籤:Create User Template
作業名稱可以包含字元和/ 或可在作業執行期間解析的屬性參考。
若要變更預設作業名稱,請執行以下步驟:
- 在 [Task Name] 欄位鍵入名稱。
您可以編輯或完全替代預設的作業名稱。
- [Task Name] 功能表會提供目前為與此範本配置的作業相關聯的視圖而定義的屬性清單。從功能表中選取一個屬性 (可選擇)。
Identity Manager 會將該屬性名稱附加到 [Task Name] 欄位中的項目。例如:
Create user $(accountId) $(user.global.email)
- 完成後,您可以
- 選取其他標籤繼續編輯該範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
在 [Home] 和 [Accounts] 標籤的底部,Identity Manager 作業列中,將顯示新的作業名稱。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
對於 [Delete User Template]
開啟 [Edit Task Template Delete User Template] 後,依預設會顯示 [General] 標籤頁面。
若要指定如何刪除/取消佈建使用者帳號,請執行以下步驟:
- 使用 [Delete Identity Manager Account] 按鈕可以指定 Identity Manager 帳號是否可以在刪除作業期間被刪除,如下所示:
- Never — 啟用此按鈕可以防止帳號被刪除。
- Only if user has no linked accounts after deprovisioning — 啟用此按鈕,則僅當取消佈建後沒有連結的資源帳號時,才可以刪除使用者帳號。
- Always — 啟用此按鈕,可以始終允許刪除使用者帳號,即使仍然存在指定的資源帳號。
- 使用 [Resource Accounts Deprovisioning] 方塊來控制所有資源帳號的資源帳號的取消佈建作業,如下所示:
- Delete All — 啟用此方塊,可以刪除所有指定資源中代表該使用者的全部帳號。
- Unassign All — 啟用此方塊,可以取消指定給該使用者所有資源帳號。無法刪除資源帳號。
- Unlink All — 啟用此方塊,可以中斷 Identity Manager 系統與資源帳號的全部連結。擁有指定但未連結帳號的使用者顯示時會帶有標記,以表示需要更新。
附註 這些控制項會置換 [Individual Resource Accounts Deprovisioning] 表中的運作方式。
- 使用 [Individual Resource Accounts Deprovisioning] 方塊,可以
對使用者取消佈建進行更細致的操作 (與 [Resource Accounts Deprovisioning] 相比),如下所示:
- Delete — 啟用此方塊,可以刪除資源中代表該使用者的帳號。
- Unassign — 啟用此方塊,該使用者將不再直接指定到資源。無法刪除資源帳號。
- Unlink — 啟用此方塊,可以中斷 Identity Manager 系統與資源帳號的連結。擁有指定但未連結帳號的使用者顯示時會帶有標記,以表示需要更新。
附註 如果您需要為不同的資源單獨指定取消佈建策略,則 [Individual Resource Accounts Deprovisioning] 選項將很有用。例如,大部分客戶不想刪除 Active Directory 使用者,因為每個使用者具有一個全域識別碼,刪除後便無法重新建立。
但是,在增加新資源的環境中,您可能不需要使用此選項,因為每次增加新資源時都必須更新取消佈建配置。
- 完成後,您可以
- 選取其他標籤繼續編輯該範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
配置 [Notification] 標籤
所有作業範本都支援在 Identity Manager 呼叫程序後 (通常在該程序完成後),向管理員和使用者傳送電子郵件通知。您可以使用 [Notification] 標籤來配置這些通知。
附註 Identity Manager 使用電子郵件範本,向管理員、核准人和使用者傳送資訊和動作請求。如需有關 Identity Manager 電子郵件範本的更多資訊,請參閱本指南中標題為「瞭解電子郵箱範本」的小節。
下圖顯示 [Create User Template] 的 [Notification] 頁面。
圖 6. [Notification] 標籤Create User Template
若要指定 Identity Manager 如何確定通知收件者,請遵循以下程序:
- 完成 [Administrator Notifications] 區段。
- 完成 [User Notifications] 區段。
- 完成後,您可以
- 選取其他標籤繼續編輯該範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
配置管理員通知
從 [Determine Notification Recipients from] 功能表中選取一個選項,以確定通知管理員收件者的方法。
- None (預設) — 不通知任何管理員。
- Attribute — 選取此選項可從使用者視圖中指定的屬性中導出通知收件者的帳號 ID。繼續執行透過屬性指定收件者。
- Rule — 選取此選項可以透過評估特定規則,來導出通知收件者的帳戶 ID。繼續執行透過規則指定收件者。
- Query — 選取此選項可以透過查詢特定資源,來導出通知收件者的帳戶 ID。繼續執行透過查詢指定收件者。
- Administrator List — 選取此選項可以從清單明確選擇通知收件者。繼續執行從管理員清單指定收件者。
透過屬性指定收件者
若要從指定屬性導出通知收件者帳號 ID,請使用以下步驟:
附註 此屬性必須解析為可表示單一帳號 ID 的字串或解析為帳號 ID 的清單。
- 從 [Determine Notification Recipients from] 功能表中選取 [Attribute],將會顯示以下新選項:
圖 7. 管理員通知:屬性
- Notification Recipient Attribute — 提供用於確定收件者帳號 ID 的屬性清單
(目前為與此範本配置的作業相關聯的視圖而定義)。
- Email Template — 提供電子郵件範本的清單。
- 從 [Notification Recipient Attribute] 功能表中選取屬性。
屬性名稱會顯示在功能表旁邊的文字欄位中。
- 從 [Email Template] 功能表中選取範本,以指定通知電子郵件的格式。
透過規則指定收件者
若要從指定規則導出通知收件者帳號 ID,請使用以下步驟:
附註 評估之後,此規則必須傳回代表單一帳號 ID 的字串或其元素為帳號 ID 的清單。
- 從 [Determine Notification Recipients from] 功能表中選取 [Rule],將會在 [Notification] 表單中顯示以下新選項:
圖 8. 管理員通知:規則
- Notification Recipient Rule — 提供目前為您的系統定義的規則清單,評估之後,它會傳回收件者的帳號 ID。
- Email Template — 提供電子郵件範本的清單。
- 從 [Notification Recipient Rule] 功能表中選取規則。
- 從 [Email Template] 功能表中選取範本,以指定通知電子郵件的格式。
透過查詢指定收件者
附註 目前僅支援 LDAP 和 Active Directory 資源查詢。
若要透過查詢指定資源導出通知收件者帳號 ID,請使用以下步驟:
- 從 [Determine Notification Recipients from] 功能表中選取 [Query],將會在 [Notification] 表單中顯示以下新選項:
圖 9. 管理員通知:查詢
- Notification Recipient Administrator Query — 提供包含以下功能表的表格,可用來建構查詢:
- Resource to Query — 提供目前為系統定義的資源清單。
- Resource Attribute to Query — 提供目前為系統定義的資源屬性清單。
- Attribute to Compare — 提供目前為系統定義的屬性清單。
- Email Template — 提供電子郵件範本的清單。
- 從這些功能表中選取資源、資源屬性和要比較的屬性以建構查詢。
- 從 [Email Template] 功能表中選取範本,以指定通知電子郵件的格式。
從管理員清單指定收件者
從 [Determine Notification Recipients from] 功能表中選取 [Administrators List],將會在 [Notification] 表單中顯示以下新選項:
圖 10. 管理員通知:管理員清單
- Administrators to Notify — 提供選取工具和可用管理員的清單。
- Email Template — 提供電子郵件範本的清單。
- 在 [Available Administrators] 清單中選取一個或多個管理員,然後使用
按鈕或 
按鈕將所選名稱移至 [Selected Administrators] 清單中。 - 從 [Email Template] 功能表中選取範本,以指定通知電子郵件的格式。
配置使用者通知
指定要通知的使用者時,您還必須指定要用於產生通知電子郵件的電子郵件範本名稱。
若要通知使用者被建立、被更新或被刪除,請啟用 [Notify user] 核取方塊,然後從該功能表中選取電子郵件範本。
圖 11. 指定電子郵件範本
配置 [Approvals] 標籤
您可以使用 [Approvals] 標籤指定附加核准人,並在 Identity Manager 執行建立、刪除或更新使用者作業之前指定作業核准表單的屬性。
以前,需要與特定機構、資源或角色相關聯的管理員核准某些作業才能執行。Identity Manager 也允許您指定附加核准人,即需要核准該作業的附加管理員。
附註 如果您為工作流程配置附加核准人,則需要取得原有核准人和範本中指定的任何附加核准人的核准。
下圖說明了初始 [Approval] 頁面管理使用者介面
圖 12. [Approvals] 標籤Create User Template
若要配置核准,請使用以下步驟:
- 完成 [Approvals Enablement] 區段 (請參閱啟用核准)。
- 完成 [Additional Approvers] 區段 (請參閱指定附加核准人)。
- 完成 [Approval Form Configuration] 區段 (僅 [Create User Template] 和 [Update User Template]) (請參閱配置核准表單)。
- 您配置完 [Approvals] 標籤後,可以
- 選取其他標籤繼續編輯該範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
啟用核准
使用以下 [Approvals Enablement] 核取方塊可以在建立使用者、刪除使用者或更新使用者作業進行之前要求核准。
附註 依預設,這些核取方塊對於 [Create User Template] 和 [Update User Template] 已啟用,但對於 [Delete User Template] 已停用。
- Organization Approvals — 啟用此核取方塊可以要求所有配置的組織核准人進行核准。
- Resource Approvals — 啟用此核取方塊可以要求所有配置的資源核准人進行核准。
- Role Approvals — 啟用此核取方塊可以要求所有配置的角色核准人進行核准。
指定附加核准人
使用 [Determine additional approvers from] 功能表可以指定 Identity Manager 將如何為建立使用者、刪除使用者或更新使用者作業確定附加核准人。此功能表上的選項包括:
|
選項
|
說明
|
|
None (預設)
|
執行作業不需要附加核准人。
|
|
屬性
|
核准人的帳號 ID 是從使用者的視圖中指定的屬性中導出的。
|
|
規則
|
透過評估指定的規則,導出收件者的帳號 ID。
|
|
查詢
|
透過查詢特定資源,導出收件者的帳號 ID。
|
|
管理員清單
|
從清單明確選擇核准人。
|
如果選取這些選項中的任何一個 (除了 [None]),則管理使用者介面中都將顯示附加選項。配置這些選項的說明從指定附加核准人開始。
使用以下各章節提供的說明來指定確定附加核准人的方法。
透過屬性
若要透過屬性確定附加核准人,
- 從 [Determine additional approvers from] 功能表選取 [Attribute]。
附註 此屬性必須解析為可表示單一帳號 ID 的字串或解析為帳號 ID 的清單。
將顯示以下新選項:
圖 13. 附加核准人:屬性
- Approver Attribute — 提供用於確定核准人帳號 ID 的屬性清單 (目前為與此範本配置的作業相關聯的視圖而定義)。
- Approval times out after — 提供指定核准逾時的方法。
附註 Approval times out after 設定將影響初始核准和提升核准。
- 使用 [Approver Attribute] 功能表來選取屬性。
選取的屬性將顯示在旁邊的文字欄位中。
- 決定您是否要在指定的時間期間之後核准逾時請求。
- 如果您要指定逾時時間期間,則請繼續閱讀配置核准逾時,以取得說明。
- 如果您不想指定逾時時間段,則可以繼續執行配置核准表單,或儲存變更並繼續配置其他標籤。
透過規則
若要從指定規則導出核准收件者帳號 ID,請使用以下步驟:
- 從 [Determine additional approvers from] 功能表選取 [Rule]。
附註 評估之後,此規則必須傳回代表單一帳號 ID 的字串或其元素為帳號 ID 的清單。
將顯示以下新選項。
圖 14. 附加核准人:規則
- Approver Rule — 提供目前為您的系統定義的規則清單,評估之後,它會傳回收件者的帳號 ID。
- Approval times out after — 提供指定核准逾時的方法。
附註 Approval times out after 設定將影響初始核准和提升核准。
- 從 [Approver Rule] 功能表中選取規則。
- 決定您是否要在指定的時間期間之後核准逾時請求。
- 如果您要指定逾時時間期間,則請繼續閱讀配置核准逾時,以取得說明。
透過查詢
附註 目前僅支援 LDAP 和 Active Directory 資源查詢。
若要透過查詢指定資源導出核准人帳號 ID,請使用以下步驟:
- 從 [Determine additional approvers from] 功能表中選取 [Query],將會顯示以下新選項:
圖 15. 附加核准人:查詢
- Approval Administrator Query — 提供包含以下功能表的表格,可用來建構查詢:
- Resource to Query — 提供目前為系統定義的資源清單。
- Resource Attribute to Query — 提供目前為系統定義的資源屬性清單。
- Attribute to Compare — 提供目前為系統定義的屬性清單。
- Approval times out after — 提供指定核准逾時的方法。
附註 Approval times out after 設定將影響初始核准和提升核准。
- 如下所示,建構一個查詢:
- 從 [要查詢的資源] 功能表中選取資源。
- 從 [Resource Attribute to Query] 和 [Attribute to Compare] 功能表中選取屬性。
- 決定您是否要在指定的時間期間之後核准逾時請求。
- 如果您要指定逾時時間期間,則請繼續閱讀配置核准逾時,以取得說明。
- 如果您不想指定逾時時間段,則可以繼續執行配置核准表單,或儲存變更並繼續配置其他標籤。
透過管理員清單
若要從管理員清單中明確選擇附加核准人,
- 從 [Determine additional approvers from] 功能表中選取 [Administrators List],將會顯示以下新選項:
圖 16. 附加核准人:管理員清單
- Administrators to Notify — 提供選取工具和可用管理員的清單。
- Approval Form — 提供附加核准人可以用於核准或拒絕核准人請求的使用者表單之清單。
- Approval times out after — 提供指定核准逾時的方法。
附註 Approval times out after 設定將影響初始核准和提升核准。
- 在 [Available Administrators] 清單中選取一個或多個管理員,然後使用
按鈕或 
按鈕將所選名稱移至 [Selected Administrators] 清單中。 - 決定您是否要在指定的時間期間之後核准逾時請求。
- 如果您要指定逾時時間期間,則請繼續閱讀配置核准逾時,以取得說明。
- 如果您不想指定逾時時間段,則可以繼續執行配置核准表單,或儲存變更並繼續配置其他標籤。
配置核准逾時
若要配置核准逾時,
- 啟用該核取方塊。
旁邊的文字欄位和功能表變為可使用狀態,並顯示 [Timeout Action] 按鈕,如下圖中所示。
圖 17. [Approval Timeout] 選項
- 使用 [Approval times out after] 文字欄位和功能表可以指定逾時時間期間,如下所示:
- 從功能表中選取 [seconds]、[minutes]、[hours] 或 [days]。
- 在文字欄位中輸入數字,表示您要為逾時指定多少秒、分鐘、小時或天。
附註 Approval times out after 設定將影響初始核准和提升核准。
- 啟用以下 [Timeout Action] 按鈕之一,以指定核准逾時後應執行的作業:
- Reject Request — 如果請求在指定的逾時時間期間之前沒有被核准,Identity Manager 將自動拒絕該請求。
- Escalate the approval — 如果請求在指定的逾時時間期間之前沒有被核准,Identity Manager 將自動將該請求提升至其他核准人。
啟用此按鈕後,將顯示新的選項,因為您必須指定 Identity Manager 將如何為提升核准確定核准人。繼續閱讀提升核准,以取得說明。
- Execute a task — 如果核准請求在指定的逾時時間期間之前沒有被核准,Identity Manager 將自動執行替代作業。
啟用此按鈕,並顯示 [Approval Timeout Task] 功能表後,您可以指定在核准請求逾時後要執行的作業。繼續閱讀執行作業,以取得說明。
提升核准
啟用 [Timeout Action] [Escalate the approval] 按鈕後,[Determine escalation approvers from] 功能表將如下顯示:
圖 18. [Determine Escalation Approvers From] 功能表
從此功能表中選取以下選項之一來指定如何為提升核准確定核准人。
- Attribute — 從新使用者的視圖中指定的屬性中確定核准人的帳號 ID。
附註 此屬性必須解析為可表示單一帳號 ID 的字串或解析為帳號 ID 的清單。
顯示 [Escalation Administrator Attribute] 功能表時,從清單中選取屬性。選取的屬性將顯示在旁邊的文字欄位中。
圖 19. [Escalation Administrator Attribute] 功能表
- Rule — 透過評估指定的規則,確定核准人帳號 ID。
附註 評估之後,此規則必須傳回代表單一帳號 ID 的字串或其元素為帳號 ID 的清單。
顯示 [Escalation Administrator Rule] 功能表時,從清單中選取規則。
圖 20. [Escalation Administrator Rule] 功能表
- Query — 透過查詢特定資源,確定核准人帳號 ID。
顯示 [Escalation Administrator Query] 功能表時,如下所示建構查詢:
- 從 [要查詢的資源] 功能表中選取資源。
- 從 [要查詢的資源屬性] 功能表中選取屬性。
- 從 [Attribute to Compare] 功能表中選取屬性。
圖 21. [Escalation Administrator Query] 功能表
- Administrator List (預設) — 從清單中明確選擇核准人。
顯示 [Escalation Administrator] 選取工具後,如下選取核准人:
圖 22. [Escalation Administrator] 選取工具
- 從 [Available Administrators] 清單中,選取一個或多個管理員名稱。
- 使用
按鈕或 
按鈕將這些名稱移到 [Selected Administrators] 清單中。
執行作業
啟用 [Timeout Action] [Execute a task] 按鈕後,[Approval Timeout Task] 功能表將如下顯示:
圖 23. [Approval Timeout Task] 功能表
指定核准請求逾時後要執行的作業。例如,您可以允許請求者向管理員傳送說明請求或傳送報告。
配置核准表單
附註 [Delete User Template] 不包含 [Approval Form Configuration] 區段。您僅可以為 [Create User Template] 和 [Update User Template] 配置此區段。
您可以使用 [Approval Form Configuration] 區段中的功能來選取核准表單,並將屬性增加到核准表單 (或從表單中移除屬性)。
圖 24. 核准表單配置
依預設,[Approval Attributes] 表格包含以下標準屬性:
若要為附加核准人配置核准表單:
- 從 [Approval Form] 功能表中選取表單。
核准人將使用此表單來核准或拒絕核准請求。
- 啟用 [Approval Attributes] 表格的 [Editable] 欄中的核取方塊,以使核准人可以編輯屬性值。
例如,如果您啟用 [user.waveset.accountId] 核取方塊,則核准者可以變更使用者的帳號 ID。
附註 如果您修改了核准表單中任何帳號專用的屬性,則在實際佈建使用者時,也會置換所有相同名稱的全域屬性值。
例如,如果在系統中存在資源 R1,其具有 description 模式屬性,而您將 user.accounts[R1].description 屬性做為可編輯的屬性增加到核准表單中,則任何對核准表單中 description 屬性值的變更均會置換僅從資源 R1 的 global.description 取得的值。
- 按一下 [Add Attribute] 或 [Remove Selected Attribute(s)] 按鈕,以指定要在核准表單中顯示的新使用者帳號資料的屬性。
附註 除非修改 XML 檔案,否則不能從核准表單中移除預設屬性。
增加屬性
將屬性增加到核准表單
- 按一下 [Approval Attributes] 表格下的 [Add Attribute] 按鈕。
在 [Approval Attributes] 表格中,[Attribute name] 功能表將變為可使用狀態,如下圖中所示:
![將核准屬性增加到 [Approval Attributes] 表格。](images/Adding_Approval_Attributes31.gif)
圖 25. 增加核准屬性
- 從功能表中選取屬性。
選取的屬性名稱將顯示在旁邊的文字欄位中,且屬性的預設顯示名稱將顯示在 [Form Display Name] 欄中。
例如,如果您選取 user.waveset.organization 屬性,則該表格將包含以下資訊:
- 如有必要,您可以透過在相應的文字欄位中鍵入新名稱,來變更預設屬性名稱或預設表單顯示名稱。
- 若要讓核准人可以變更屬性值,請啟用 [Editable] 核取方塊。
例如,核准人可能要置換資訊,如使用者的電子郵件地址。
- 重複這些步驟以指定附加屬性。
移除屬性
附註 除非修改 XML 檔案,否則不能從核准表單中移除預設屬性。
若要從核准表單移除屬性,請使用以下步驟:
- 啟用 [Approval Attributes] 表最左欄中的一個或多個核取方塊。
- 按一下 [Remove Selected Attribute(s)] 按鈕,可以立即移除從 [Approval Attributes] 表中選取的屬性。
例如,如果按一下 [Remove Selected Attribute(s)] 按鈕,則 user.global.firstname 和 user.waveset.organization 將從下表移除。
![從 [Approval Attributes] 表移除核准屬性。](images/Removing_Approval_Attributes29.gif)
圖 26. 移除核准屬性
配置 [Audit] 標籤
所有可配置的作業範本均支援配置工作流程稽核某些作業。尤其,您可以配置 [Audit]
標籤以控制是否稽核工作流程事件,並指定儲存哪些屬性以用於報告。
圖 27. 稽核建立使用者範本
若要從使用者範本的 [Audit] 標籤配置稽核,請:
- 啟用 [Audit entire workflow] 核取方塊以啟動工作流程稽核功能。
- 按一下 [Add Attribute] 按鈕 (在 [Audit Attributes] 區段中),以選取您要記錄的屬性以進行報告。
- [Select an attribute] 功能表顯示在 [Audit Attributes] 表中後,從清單中選取屬性。
屬性名稱將顯示在旁邊的文字欄位中。
圖 28. 增加屬性
若要移除 [稽核屬性] 表格中的屬性:
- 啟用您想移除之屬性旁的核取方塊。
圖 29. 移除 user.global.email 屬性
- 按一下 [移除選取的屬性] 按鈕。
您配置完此標籤後,可以
- 選取其他標籤繼續編輯範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
配置 [Provisioning] 標籤
附註 此標籤僅適用於 [Create User Template] 和 [Update User Template]。
您可以使用 [Provisioning] 標籤來配置與佈建相關的以下選項:
圖 30. [Provisioning] 標籤:Create User Template
- Provision in the background — 啟用此核取方塊可以在背景中執行建立、刪除或更新作業,而非同步執行作業。
在背景中佈建可讓您在執行作業時繼續在 Identity Manager 中工作。
- Add Retry link to the task result — 啟用此核取方塊可以在作業執行中產生佈建錯誤時,將 [Retry] 連結增加到使用者介面。[Retry] 連結可讓使用者在第一次嘗試失敗後再次嘗試執行該作業。
您配置完 [Provisioning] 標籤後,可以
- 選取其他標籤繼續編輯範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
配置 [Sunrise and Sunset] 標籤
附註 此標籤僅對 [Create User Template] 可用。
您可以使用 [Sunrise and Sunset] 標籤,來選取確定以下時間和日期的方法
- 為新使用者進行佈建 (生效)。
- 為新使用者取消佈建 (失效)。
例如,您可以為六個月後合同到期的臨時工指定失效日期。
![配置 [Sunrise and Sunset] 標籤。](images/SunriseSunset_tab12.gif)
圖 31. [Sunrise and Sunset] 標籤:Create User Template
本節的剩餘部分提供了配置 [Sunrise and Sunset] 標籤的說明。資訊組織如下:
配置生效
本節提供確定對於新使用者進行佈建的時間和日期,以及指定將擁有生效工作項目的使用者的說明。
若要配置生效,請:
- 從 [Determine sunrise from] 功能表選取以下選項之一,以指定 Identity Manager 將如何確定佈建的時間和日期。
- Specifying a Time — 將佈建延遲到未來的指定時間。繼續閱讀指定時間,以取得說明。
- Specifying a Date — 將佈建延遲到未來的指定日曆日期。繼續閱讀指定日期,以取得說明。
- Specifying an Attribute — 根據使用者視圖中的屬性,將佈建延遲到指定的日期和時間。屬性必須包含日期/時間字串。指定屬性包含日期/時間字串後,您可以指定資料將遵循的日期格式。
繼續閱讀指定屬性,以取得說明。
- Specifying a Rule — 根據評估後產生日期/時間字串的規則延遲取消佈建。同指定屬性時一樣,您可以指定資料將遵循的日期格式。
繼續閱讀指定規則,以取得說明。
附註 [Determine sunrise from] 功能表預設為 [None] 選項,允許立即進行佈建。
- 從 [Work Item Owner] 功能表選取使用者,以指定擁有生效工作項目的使用者。
附註 生效工作項目在 [Approvals] 標籤中可用。
- 配置完生效後,您可以
- 選取其他標籤繼續編輯 [Create User Template]。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
指定時間
若要將佈建延遲到指定時間,
- 從 [Determine sunrise from] 功能表選取 [Specified time]。
- 當新的文字欄位和功能表顯示在 [Determine sunrise from] 功能表右側後,將空白的文字欄位中鍵入數字,並從該功能表選取時間單位。
例如,如果您要在兩小時後佈建一個新使用者,則如下指定:
圖 32. 在兩個小時後佈建一個新使用者
指定日期
若要將佈建延遲到指定日曆時間,
- 從 [Determine sunrise from] 功能表選取 [Specified day]。
下列新功能表將顯示在 [Determine sunrise from] 功能表的右側。
圖 33. 新功能表
- 使用這些新功能表來指定在哪個月、哪一週的哪一天進行佈建。
例如,如果您要在九月的第二個星期一佈建新使用者,則如下指定:
圖 34. 透過日期佈建新使用者。
指定屬性
若要根據使用者帳號資料中的屬性值來確定佈建日期和時間,
- 從 [Determine sunrise from] 功能表中選取 [Attribute] ,以下選項將變為可使用狀態:
- [Sunrise Attribute] 功能表 — 提供目前為與此範本配置的作業相關聯的視圖而定義的屬性清單。
- [Specific Date Format] 核取方塊和功能表 — 讓您可以指定屬性值的日期格式字串 (如有必要)。
附註 若您未啟用 [Specific Date Format] 核取方塊,則日期字串必須遵循 FormUtil 方法 convertDateToString 可接受的格式。請參閱產品說明文件,以取得支援的日期格式的完整清單。
- 從 [Sunrise Attribute] 功能表中選取屬性。
- 如有必要,啟用 [Specific Date Format] 核取方塊,並在 [Specific Date Format] 欄位可使用後,輸入日期格式字串。
例如,若要根據 waveset.accountId 屬性值,使用日、月和年格式佈建新使用者,請指定以下屬性:
圖 35. 透過屬性佈建新使用者。
指定規則
若要透過評估指定規則來確定佈建日期和時間,
- 從 [Determine sunrise from] 功能表中選取 [Rule] ,以下選項將變為可使用狀態:
- [Sunrise Rule] 功能表 — 提供目前為系統定義的規則清單。
- [Specific Date Format] 核取方塊和功能表 — 讓您可以指定規則傳回值的日期格式字串 (如有必要)。
附註 若您未啟用 [Specific Date Format] 核取方塊,則日期字串必須遵循 FormUtil 方法 convertDateToString 可接受的格式。請參閱產品說明文件,以取得支援的日期格式的完整清單。
- 從 [Sunrise Rule] 功能表中選取規則。
- 如有必要,啟用 [Specific Date Format] 核取方塊,並在 [Specific Date Format] 欄位可使用後,輸入日期格式字串。
例如,若要根據電子郵箱規則,使用年、月、日、小時、分鐘和秒格式佈建新使用者,請指定以下屬性:
圖 36. 透過規則佈建新使用者。
配置失效
配置失效 (取消佈建) 的選項和程序與「配置生效」小節提供的選項和程序相同。
唯一的不同是失效區段還提供了 [Sunset Task] 功能表,因為您必須指定作業才能在指定日期和時間取消佈建使用者。
若要配置失效,
- 使用 [Determine sunset from] 功能表指定用於確定進行取消佈建時間的方法:
附註 [Determine sunset from] 功能表預設為 [None] 選項,允許立即進行取消佈建。
- Specified time — 將取消佈建延遲到未來的指定時間。請參閱指定時間,以取得說明。
- Specified date — 將取消佈建延遲到未來的指定日曆日期。請參閱指定日期,以取得說明。
- Attribute — 根據使用者帳號資料中的屬性,將佈建延遲到指定的日期和時間。屬性必須包含日期/時間字串。指定屬性包含日期/時間字串後,您可以指定資料將遵循的日期格式。
請參閱指定屬性,以取得說明。
- Rule — 根據評估後產生日期/時間字串的規則延遲取消佈建。同指定屬性時一樣,您可以指定資料將遵循的日期格式。
請參閱指定規則,以取得說明。
- 使用 [Sunset Task] 功能表,指定作業以在指定的日期和時間取消佈建使用者。
- 您配置完此標籤後,可以
- 選取其他標籤繼續編輯範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
配置 [Data Transformations] 標籤
附註 此標籤僅對 [Create User Template] 和 [Update User Template] 可用。
如果您要在執行工作流程時變更使用者帳號資料,則可以使用 [Data Transformations] 標籤指定在佈建期間 Identity Manager 如何變換資料。
例如,如果您要表單或規則產生遵循公司策略的電子郵件地址,或者您要產生生效或失效日期。
選取 [Data Transformations] 標籤後,將顯示以下頁面:
圖 37. [Data Transformations] 標籤:Create User Template
此頁面包括以下區段:
- Before Approval Actions — 如果您要在將核准請求傳送到指定核准人之前變換使用者帳號資料,則配置此區段的選項。
- Before Provision Actions — 如果您要在佈建動作之前變換使用者帳號資料,則配置此區段的選項。
- Before Notification Actions — 如果您要在將通知傳送到指定收件者之前變換使用者帳號資料,則配置此區段的選項。
您可以在每個區段中配置以下選項:
- [Form to Apply] 功能表 — 提供目前為系統配置的表單清單。使用這些功能表可以指定表單,以用於從使用者帳號變換資料。
- [Rule to Run] 功能表 — 提供目前為系統配置的規則清單。使用這些功能表可以指定規則,以用於從使用者帳號變換資料。
您配置完此標籤後,可以
- 選取其他標籤繼續編輯範本。
- 按一下 [Save] ,以儲存變更並返回到 [Configure Tasks] 頁面。
- 按一下 [Cancel],以放棄變更並返回到 [Configure Tasks] 頁面。
9
作業範本
![建立使用者的 [General] 標籤。](images/General_CreateUser4.gif)
![[Create User Template] 的 [Notification] 標籤。](images/CreateUser_Notifications12.gif)
![配置 [Approvals] 標籤:[Create User Task Template]/[Update User Task Template] 的初始 [Approvers] 標籤。](images/Approvals_form10.gif)
![使用 [Determine Escalation Approvers from] 功能表,來指定用於確定核准人帳號 ID 的方法。](images/Determine_Escalation26.gif)
![配置 [Provisioning] 標籤](images/Provisioning_tab39.gif)
![配置 [Data Transformations] 標籤。](images/DataTransformations_tab14.gif)