3
使用者和帳號管理
本章提供透過 Identity Manager 管理員介面管理使用者的資訊與程序。您將瞭解到 Identity Manager 使用者和帳號管理工作,包括:
關於使用者帳號資料
使用者是指擁有 Identity Manager 系統帳號的任何人。Identity Manager 為每個使用者儲存一系列資料。 總體而言,此類資訊會構成每個使用者的 Identity Manager 身份。
從管理員介面的 [Create User] 頁面 ([Accounts] 標籤) 來看,Identity Manager 將使用者資料劃分為四個區域:
身份
[Identity] 區域定義使用者的帳號 ID、名稱、連絡人資訊、管理組織及 Identity Manager 帳號密碼。它還識別使用者可以存取的資源以及管理每個資源帳號的密碼策略。
附註 如需有關設定帳號密碼策略的資訊,請閱讀本章中標題為「設定密碼策略」的小節。
下圖說明 [Create User] 頁面的 [Identity] 區域。
圖 1. 建立使用者 - 身份
指定
[Assignments] 區域設定存取 Identity Manager 物件 (如資源) 的限制。
按一下 [Assignments] 表單標籤以設定:
- Identity Manager 帳號策略指定 — 建立密碼和認證限制。
- 角色指定 — 概括一類使用者。角色通過間接指定來定義使用者對資源的存取。
- 資源和資源群組存取 — 顯示可以直接指定給使用者的可用資源和資源群組,以及不允許使用者存取的資源。這些資源補充透過角色指定間接指定給使用者的資源。
安全性
在 Identity Manager 術語中,指定了擴充權能的使用者為 Identity Manager 管理員。[Security] 區域透過指定以下項,為使用者建立這些擴充權能:
- 管理員角色 — 組合一組特定且唯一的權能和控制的組織,以對管理使用者實現協調指定。
- 權能 — 在 Identity Manager 系統中啟用權限。通常會根據工作責任,為每個 Identity Manager 管理員指定一項或多項權能。
- 控制的組織 — 指定該使用者有權以管理員身份管理的組織。他可以管理已指定組織及階層中處於該組織之下的任何組織中的物件。
![[建立使用者 - 安全性] 表單會為使用者建立擴充的管理權能。](images/create_user_security_tab13.gif)
圖 2. 建立使用者 - 安全性
屬性
[Attributes] 區域定義與已指定資源關聯的帳號屬性。列出的屬性按指定的資源分類,具體情況根據已指定資源的不同而異。
圖 3. 建立使用者 - 屬性
帳號區域
Identity Manager 帳號區域可讓您管理 Identity Manager 使用者。若要存取此區域,請在管理員介面中選取 [Accounts]。
帳號清單會顯示所有的 Identity Manager 使用者帳號。帳號會被分組為組織與虛擬組織,在資料夾中以階層方式表示。
您可以按全名 ([Name])、使用者姓氏 ([Last Name]) 或使用者名字 ([First Name]) 對帳號清單進行排序。
按一下標題列可以按照欄排序。按一下相同標題列可以在向上與向下排序順序之間切換。
附註 如果按全名 ([Name] 欄) 排序,則階層中處於所有級別的所有項目都將按字母順序排序。
若要展開階層式視圖並察看組織中的帳號,請按一下資料夾旁邊的三角形指示器。再次按一下該指示器可以摺疊此視圖。
圖 4. 帳號清單
帳號區域中的動作清單
使用動作清單 (位於帳號區域的頂部和底部) 可以執行一系列動作。動作清單選項分為:
- New Actions — 建立使用者、組織和目錄結合。
- User Actions — 編輯、檢視和變更使用者狀態;變更和重設密碼;刪除、啟用、停用、解除鎖定、移動、更新和重新命名使用者;以及執行使用者稽核報告。
- Organization Actions — 執行一系列組織和使用者動作。
在帳號區域中搜尋
使用帳號區域搜尋功能查找使用者和組織。從清單中選取 [Organizations] 或 [Users],在搜尋區域中輸入一個或多個字元,然後按一下 [Search]。
使用者帳號狀態
顯示在每一位使用者帳號旁、指示已指定帳號的當前狀態的圖示:
|
指示器
|
狀態
|
|
|
Identity Manager 使用者帳號已鎖定。這意味著使用者因不成功的登入嘗試超過為資源建立的限制而鎖定在資源帳號之外。
|
|
|
Identity Manager 管理員帳號已鎖定。
|
|
|
在所有已指定資源和 Identity Manager 中停用此帳號。
(啟用帳號時,不出現圖示。)
|
|
|
帳號已部分停用,表示在一個或多個已指定資源上停用。
|
|
|
系統嘗試在一個或多個資源上建立或更新 Identity Manager 使用者帳號,但失敗。
(更新所有指定資源的帳號時,不出現圖示。)
|
運用使用者帳號
從管理員介面的帳號區域,您可以對這些系統物件執行一系列動作。
- Users — 檢視、建立、編輯、移動、重新命名、取消佈建、啟用、停用、更新、解除鎖定、刪除、取消指定、取消連結與稽核
- Passwords — 變更和重設
- Organizations — 建立、編輯、更新和刪除
- Directory Junctions — 建立
使用者
檢視
若要檢視使用者帳號的詳細資訊,請在清單中選取使用者,然後從 [User Actions] 清單中選取 [View]。
[View User] 頁面顯示編輯或建立使用者時所選身份、指定、安全性和屬性資訊的子集。無法編輯 [View User] 頁面上的資訊。按一下 [取消] 以返回至 [Accounts] 清單。
建立 ([New Actions] 清單、[New User] 選項)
若要建立使用者帳號,請在 [New Actions] 清單中選取 [New User]。
提示 如果您要在組織中 (非頂部) 建立使用者,請選取組織資料夾,然後在 [New Actions] 清單中選取 [New User]。
在一個區域可選擇之選項可能取決於您在另一個區域中所做的選擇。
[Create Use] 頁面 (也稱為使用者表單) 是一個多頁表單,可讓您設定使用者的:
按一下表單標籤可以瀏覽 [建立使用者] 頁面。您可以依任何順序在表單標籤中移動。完成選取後,您可以使用兩個選項來儲存使用者帳號:
- Save — 儲存使用者帳號。如果您給帳號指定了大量資源,則此過程可能會花費一些時間。
- Background Save — 此程序以背景工作的方式儲存使用者帳號,這讓您可以繼續使用 Identity Manager。對於每個執行中的儲存工作,[Accounts] 頁面、[Find User Results] 頁面以及首頁上將顯示工作狀態指示器。
|
狀態指示器
|
狀態
|
|
|
儲存程序正在執行。
|
|
|
儲存程序已暫停。通常,這表示程序正在等待核准。
|
|
|
程序已順利完成。這並不表示使用者已成功儲存;只表示程序在無錯情況下完成。
|
|
|
程序尚未啟動。
|
|
|
程序已完成,但發生一個或多個錯誤。
|
提示 將滑鼠移動到狀態指示器內部所顯示的使用者圖示上,就可以看到背景儲存程序的詳細資訊。
建立多個使用者帳號 (身份)
您可以在單一資源上建立一個或多個使用者帳號。建立 (或編輯) 使用者並為使用者指定一個或多個資源時,您也可在該資源上請求和定義附加帳號。
編輯
若要編輯帳號資訊,請選擇其中一個動作:
建立與儲存變更後,Identity Manager 會顯示 [更新資源帳號] 頁面。此頁面顯示指定給使用者的資源帳號,以及將套用至帳號的變更。選取 [更新全部資源帳號] 將變更套用至已指定的全部資源;或個別選取無、一個、或多個與欲更新的使用者相關的資源帳號。
圖 5. 編輯使用者 (更新資源帳號)
再按一下儲存以完成編輯作業,或按一下返回編輯以建立更進一步的變更。
移動使用者 ([User Actions])
[Change Organization of User] 工作可讓您從目前指定的組織中移除使用者,然後將使用者重新指定給或移動至新組織。
若要將使用者移動至其他組織,請在清單中選取一個或多個使用者帳號,然後在 [User Actions] 清單中選取 [Move]。
重新命名 ([User Actions])
一般而言,重新命名資源上的帳號是一個複雜的動作。 因為這個原因,Identity Manager 提供一個單獨功能,來重新命名使用者的 Identity Manager 帳號或者一個或多個與該使用者關聯的資源帳號。
若要使用重新命名功能,請在清單中選取使用者帳號,然後在 [User Actions] 清單中選取 [Rename] 選項。
[Rename User] 頁面可讓您變更使用者帳號名稱、關聯的資源帳號名稱以及與使用者的 Identity Manager 帳號關聯的資源帳號屬性。
附註 某些資源類型不支援帳號重新命名。
如下圖所示,使用者擁有指定的 Active Directory 資源。重新命名期間,您可以變更:
停用使用者 ([User Actions]、[Organization Actions])
停用使用者帳號時,您可更改該帳號,以便使用者無法再登入 Identity Manager 或其指定的資源帳號。
附註 對於不支援帳號停用的指定資源,將藉由指定隨機產生的密碼來停用使用者帳號。
停用單一使用者帳號
若要停用使用者帳號,請在清單中選取此帳號,然後在 [User Actions] 清單中選取 [Disable]。
在顯示的 [停用] 頁面上,選取要停用的資源帳號,然後按一下確定。Identity Manager 顯示停用 Identity Manager 使用者帳號與全部相關資源帳號的結果。帳號清單表示使用者帳號已停用。
圖 7. 已停用的帳號
停用多個使用者帳號
您可以同時停用兩個或兩個以上 Identity Manager 使用者帳號。
在清單中選取多個使用者帳號,然後在 [User Actions] 清單中選取 [Disable]。
附註 當您選擇停用多個使用者帳號時,您無法個別從每個使用者帳號中選取指定的資源帳號。此程序會停用您選取的全部使用者帳號的全部資源。
啟用使用者 ([User Actions]、[Organization Actions])
使用者帳號啟用與停用程序相反。對於不支援帳號啟用的資源,Identity Manager 會產生新的隨機密碼。 根據選取的通知選項,也會在管理員的結果頁面上顯示該密碼。
使用者接下來可重設密碼 (透過身份認證程序),或由具有管理員權限的使用者重設。
啟用單一使用者帳號
若要啟用使用者帳號,請在清單中選取此帳號,然後在 [User Actions] 清單中選取 [Enable]。
在顯示的 [啟用] 頁面上,選取要啟用的資源,然後按一下確定。Identity Manager 顯示啟用 Identity Manager 帳號與全部相關資源帳號的結果。
啟用多個使用者帳號
您可以同時啟用兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後在 [User Actions] 清單中選取 [Enable]。
附註 當您選擇啟用多個使用者帳號時,您無法個別從每個使用者帳號中選取指定的資源帳號。此程序會啟用您選取的全部使用者帳號的全部資源。
更新使用者 ([User Actions]、[Organization Actions])
在更新動作中,Identity Manager 會更新與使用者帳號相關的資源。從帳號區域執行的更新會將任何之前為使用者建立的擱置變更傳送至選取的資源。這個情況會在以下狀態發生:
當您更新使用者帳號時,您可以:
- 選擇指定的資源帳號是否將接收更新的資訊。
- 更新所有資源帳號,或從清單中選取個別帳號。
更新單一使用者帳號
若要更新使用者帳號,請在清單中選取此帳號,然後在 [User Actions] 清單中選取 [Update]。
在 [Update Resource Accounts] 頁面中,選取一個或多個要更新的資源,或者選取 [Update All resource accounts] 以更新所有已指定的資源帳號。完成後,按一下 [OK] 以開始更新程序。或者,按一下 [Save in Background] 以作為背景程序執行該動作。
確認頁面會確認送至每個資源的資料。
圖 8. 更新資源帳號
更新多個帳號
您可以同時更新兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後在 [User Actions] 清單中選取 [Update]。
附註 當您選擇更新多個使用者帳號時,您無法個別從每個使用者帳號中選取指定的資源帳號。此程序會更新您選取的全部使用者帳號的全部資源。
解除鎖定使用者 ([User Actions]、[Organization Actions])
因為使用者登入重試次數已超過為該資源建立的登入限制,所以可能將該使用者鎖定在一個或多個資源帳號之外。 使用者的有效 Lighthouse 帳號策略建立密碼或問題登入嘗試可以失敗的最大次數。
當使用者因超過密碼登入嘗試失敗的最大次數而鎖定時,將不允許他對任何 Identity Manager 應用程式介面 (包括使用者介面、管理員介面、Forgot My Password、BPE、SOAP 和主控台) 進行認證。如果使用者因超過問題登入嘗試失敗的最大次數而鎖定,則他可以對除 [Forgot My Password] 以外的任何 Identity Manager 應用程式介面進行認證。
密碼登入嘗試失敗
如果因密碼登入嘗試失敗而鎖定,使用者帳號將保持鎖定狀態,直到:
- 管理使用者為其解除鎖定。 若要成功解除鎖定帳戶,必須為管理員指定解除鎖定使用者功能,並且管理員必須具有使用者成員組織的管理控制。
- 目前日期與時間晚於使用者的鎖定過期日期與時間 (若鎖定過期日期與時間已
設定)。([Lihthouse Account Policy] 中的 [Lock Timeout] 值可以設定鎖定過期時間。)
問題登入嘗試失敗
如果因超過問題登入嘗試失敗的最大次數而鎖定,使用者帳號將保持鎖定狀態,直到:
- 管理使用者為其解除鎖定。 若要成功解除鎖定帳戶,必須為管理員指定解除鎖定使用者功能,並且管理員必須具有使用者成員組織的管理控制。
- 已鎖定的使用者或具有相應權能的使用者可以變更或重設使用者的密碼。
具有相應權能的管理員可以對處於鎖定狀態的使用者執行以下作業:
- 更新 (包括資源重新佈建)
- 變更或重設密碼
- 停用或啟用
- 重新命名
- 解除鎖定
處於鎖定狀態的使用者無法登入任何 Identity Manager 應用程式 (包括管理員介面、使用者介面和 BPE)。使用者無論透過提供使用者 ID 和認證問題的答案,還是透過一個或多個資源通路來嘗試使用其 Identity Manager 使用者 ID 和密碼登入,此限制都適用。
若要解除鎖定帳號,請在清單中選取一個或多個使用者帳號,然後從 [User Actions] 或 [Organization Actions] 清單中選取 [Unlock Users]。
刪除 ([User Actions]、[Organization Actions])
刪除動作包括從資源移除 Identity Manager 使用者帳號存取的多個選項:
- Delete — 對於選取的每個資源,Identity Manager 會刪除關聯的資源帳號。也會解除 Identity Manager 使用者與選取資源的連結。
- Unassign — 對於選取的每個資源,Identity Manager 會從使用者的已指定資源清單中移除關聯的資源。也會解除使用者與選取資源的連結。相關的資源帳號不會被刪除。
- Unlink — 對於選取的每個資源,Identity Manager 會從 Identity Manager 使用者中移除關聯的資源帳號資訊。
附註 如果您取消連結透過角色或資源群組已間接指定給使用者的帳號,則該連結可在更新使用者時復原。
若要開始刪除動作,請選取使用者帳號,然後在 [User Actions] 或 [Organization Actions] 清單中選取相應的刪除動作。
Identity Manager 顯示 [刪除資源帳號] 頁面。
刪除「使用者帳號」與「資源帳號」
若要刪除 Identity Manager 使用者帳號或資源帳號,請在 [刪除] 欄位中進行選取,然後按一下確定。若要刪除全部資源帳號,請選取 [刪除全部資源帳號] 選項,然後按一下確定。
取消指定或取消連結資源帳號
若要從 Identity Manager 使用者帳號取消指定或解除連結資源帳號,請在 [取消指定] 或 [解除連結] 欄位中進行個別選擇,然後按一下確定。若要取消指定全部資源帳號,請選取 [取消指定全部資源帳號] 或 [解除連結全部資源帳號] 選項,然後按一下確定。
圖 9. 刪除「使用者帳號」與「資源帳號」
尋找帳號
Identity Manager 尋找功能可讓您搜尋使用者帳號。輸入和選取搜尋參數後,Identity Manager 將尋找與您的選項相符的所有帳號。
若要搜尋帳號,請從功能表列中選取 [Accounts],然後選取 [Find Users]。您可按下列一個或多個搜尋類型來搜尋帳號:
搜尋結果清單會顯示符合您搜尋的所有帳號。從此結果頁面中,您可以:
- 選取欲編輯的使用者帳號。若要編輯帳號,請在搜尋結果清單中按一下此帳號;或在清單中選取此帳號,然後按一下 [Edit]。
- 在一個或多個帳號上執行動作 (例如啟用、停用、解除鎖定、刪除、更新或變更/重設密碼)。若要執行動作,請在搜尋結果清單中選取一個或多個帳號,然後按一下適當的動作。
- 建立使用者帳號。
![按一下 [使用者帳號搜尋結果] 頁面中的名稱,可檢視或編輯帳號資訊。](images/find_user_results10.gif)
圖 10. 使用者帳號搜尋結果
設定密碼策略
資源密碼策略可用於建立密碼限制。您可以編輯密碼策略以設定或選取字元範圍值。
若要開始使用密碼策略,請從功能表列中選取 [Configure],然後選取 [Policies]。
若要編輯密碼策略,請在 [Policies] 清單中選取密碼策略。若要建立密碼策略,請從 [New] 選項清單中選取 [String Quality Policy]。
建立策略
密碼策略是字串品質策略的預設類型。為新策略命名並提供選擇性說明後,您需要為定義該策略的規則選取選項和參數。
長度規則
長度規則設定密碼必需的最短與最長字元長度。請進行選取以啟用規則,然後輸入規則的限制值。
字元類型規則
字元類型規則設定密碼中可包含的某些類型字元及數字的最大與最小數目。其中包括:
- 字母、數字、大寫、小寫與特殊字元的最小與最大數目
- 內嵌數字字元的最小與最大數目
- 重複與循序字元的最多數目
- 開始字母與數字字元的最少數目
輸入每個字元類型規則的數字限制值;或輸入「全部」以表示所有字元均必須為該類型。
字元類型規則的最少字元數
您也可以設定必須通過驗證的字元類型規則的最少數目。必須通過的最小數目為 1。而最大數目不可超過您已啟用的字元類型規則數目。
提示 若要將必須通過的最少數目設定為最高值,請輸入「全部」。
圖 11. 密碼策略 (字元類型) 規則
字典策略選擇
您可以選擇比照字典中的字詞來檢查密碼。在您可以使用此選項之前,您必須:
可以從 [策略] 頁面配置字典。如需有關如何設定字典的詳細資訊,請閱讀「Identity Manager 部署工具」中標題為「Configuring Dictionary Support」的一章。
密碼歷程記錄策略
可以禁止重新使用在新選密碼之前剛使用過的密碼。
在 [不可重複使用的舊密碼數目] 欄位中,輸入大於一的數值可禁止再次使用目前與之前的密碼。例如,若輸入的數值為 3,則新密碼不可與目前密碼或其之前使用的兩個密碼相同。
您也可以禁止重複使用與曾經用過的密碼類似的字元。在 [不可重複使用舊密碼中之類似字元的最大數目] 欄位中,輸入新密碼不得重複先前密碼的連續字元數目。例如,若是輸入值為 7,且舊密碼為 password1,則新密碼便不可以是 password2 或 password3。
如果輸入值為 0,則不論順序如何,所有字元都必須不同。例如,舊密碼若是 abcd,則新密碼中便不可以含有字元 a、b、c 或 d。
此規則可套用至一或多個舊密碼上。所檢查的舊密碼數就是 [不可重複使用的舊密碼數目] 欄位中所指定的數字。
不得包含字詞
您可以輸入一個或多個密碼不可包含的字。在輸入方塊中,在每一行輸入一個字。
附註 您也可以透過配置並實作字典策略來排除字詞。如需詳細資訊,請閱讀標題為「配置」的一章。
不得包含屬性
選取一個或多個密碼不可包含的屬性。屬性包括:
- 帳號 ID
- email
- firstname
- fullname
- lastname
附註 您可以在 UserUIConfig 配置物件中變更密碼允許的「不得包含」屬性集。UserUIConfig 中的密碼屬性列示在 <PolicyPasswordAttributeNames> 中。
執行密碼策略
會為每個資源建立密碼策略。若要將密碼策略置於特定資源中,請在 [密碼策略] 選項清單中將其選取,該清單位於「建立或編輯資源精靈」的 [策略配置] 區域:Identity Manager [參數] 頁面。
運用使用者帳號密碼
所有 Identity Manager 使用者皆有指定的密碼。 Identity Manager 使用者密碼設定後,用於同步化該使用者的資源帳號密碼。若一個或多個資源帳號密碼無法同步化
(例如,遵循必要的密碼策略),則可分別設定它們。
變更使用者帳號密碼
若要變更使用者帳號密碼:
- 在功能表列中,選取 [Passwords]。
依預設,會出現 [變更使用者密碼] 頁面。
- 輸入或搜尋您要變更其密碼的使用者。選擇下列選項之一:
- 輸入使用者名稱,然後按一下變更密碼。
- 在 [使用者 ID] 欄位中輸入名稱的一個或多個字母,然後按一下尋找。Identity Manager 會傳回其 ID 中包含已輸入字元的所有使用者的清單。按一下以選取一名使用者,然後返回 [變更使用者密碼] 頁。
輸入並確認新密碼資訊,然後按一下變更密碼以變更所列資源帳號的使用者密碼。Identity Manager 會顯示一個工作流程圖,表示變更密碼動作的順序。
圖 12. 變更使用者密碼
重設使用者帳號密碼
重設 Identity Manager 使用者帳號密碼的程序與變更程序類似。重設程序與密碼變更程序不同處為您不需指定新密碼。而是由 Identity Manager 隨機產生使用者帳號、資源帳號,或兩者組合的新密碼 (根據您的選擇與密碼策略)。
指定給使用者的策略 (直接指定或透過使用者的組織) 控制數個重設選項,包括:
- 在停用重設之前,重設密碼的頻率為何
- 顯示或傳送新密碼的位置。根據為角色選取的 [重設通知選項],Identity Manager 會使用電子郵件傳送新密碼給使用者,或 (在 [結果] 頁面) 將其顯示給要求重設的 Identity Manager 管理員。
重設時密碼過期
依預設,密碼在您重設時會立即過期。這表示當使用者在重設後第一次登入時,必須先選取新密碼才能存取。此預設值可在表單中置換,從而根據與使用者相關的 [Lighthouse 帳號策略] 中設定的過期密碼策略而確定讓使用者密碼是否過期。
例如,在 [重設使用者密碼表單] 中,您會將 resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword 設為 false 值。
在 [Lighthouse 帳號策略] 的 [重設選項] 欄位中,有兩種密碼過期方法:
- permanent — 當重設密碼時,會使用在 passwordExpiry 策略屬性中指定的時期計算出相對於目前日期的密碼過期日期,然後為使用者設定此日期。如果沒有指定值,則變更或重設的密碼將永不過期。
- temporary — 當重設密碼時,會使用在 tempPasswordExpiry 策略屬性中指定的時期計算出相對於目前日期的密碼過期日期,然後為使用者設定此日期。如果沒有指定值,則變更或重設的密碼將永不過期。如果 tempPasswordExpiry 的值設為 0,密碼會立即過期。
附註 只在重設密碼時 (隨機變更),才會套用 tempPasswordExpiry 屬性;此屬性不會套用至密碼變更。
使用者自我探索
Identity Manager「使用者介面」允許使用者探索資源帳號。這表示具有 Identity Manager 身份的使用者可與現有的但無關聯的資源帳號相關聯。
啟用自我探索
若要啟用自我探索,您必須編輯特殊配置物件 (一般使用者資源),並新增至允許使用者探索帳號的每個資源的名稱。若要執行這個動作:
- 開啟 Identity Manager [系統設定] 頁 (idm/debug)。
- 從 [配置] 類型清單中選取 [配置] ,然後按一下列出物件。
- 按一下 [一般使用者資源] 旁的編輯來顯示配置物件。
- 新增 <String>Resource</String>,其中 Resource 與儲存庫中資源物件的名稱相符。
圖 13. 一般使用者資源配置物件
- 按一下儲存。
啟用自我探索後,使用者用 Identity Manager「使用者介面」上的一項新功能表項目表示 (向 Identity Manager 通知其他帳號)。此區域允取該使用者從可用清單選取資源,然後輸入資源帳號 ID 與密碼來連結帳號與其 Identity Manager 身份。
使用者認證
若使用者忘記其密碼或其密碼被重設,則可以回答一個或多個帳號認證問題以存取 Identity Manager。這些問題與管理這些問題的規則是 Identity Manager 帳號策略的一部份,可以由您建立。不同於密碼策略,Identity Manager 帳號策略被直接或透過指定給使用者的組織指定給使用者 (位於 [建立並編輯使用者] 頁面)。
在帳號策略中設定認證:
- 從功能表列中,選取 [Configure],然後選取 [Policies]。
- 從策略清單中選取 [預設 Lighthouse 帳號策略]。
在頁面的 [輔助身份認證策略選項] 區域中會提供認證選項。
重要事項! 第一次設定時,使用者必須登入 Identity Manager 使用者介面,並提供其認證問題的初始答案。若未設定這些答案,則使用者無法在不使用其密碼的情況下成功登入。
根據認證規則設定,您可以要求使用者回答:
- 全部認證問題
- 任何一個認證問題
- 隨機從問題集選取問題;問題數目由您指定的值決定
- 從問題集中依序選取的一個或多個問題
附註 您可以確認您的認證選擇,方法為登入 Identity Manager 使用者介面,按一下忘記密碼?,然後回答出現的問題。
圖 14. 使用者帳號認證
個性化的認證問題
在 Lighthouse 帳號策略中,您可以選取選項以讓使用者可以在使用者介面和管理員介面中提供自己的認證問題。此外,透過使用個性化的認證問題,您還可以設定使用者為成功登入所必須提供和回答問題的最大數目。
然後,使用者可在 [Change Answers to Authentication Questions] 頁面中增加和變更問題。
圖 15. 變更回答 — 個性化的認證問題
認證後略過變更密碼質詢
使用者透過回答一個或多個問題成功通過認證後,依預設,系統將要求他提供一個新密碼。您可以將 Identity Manager 配置為略過變更密碼質詢,但是透過設定 bypassChangePassword 系統配置特性,可以略過一個或多個 Identity Manager 應用程式。
若要在成功認證後略過所有應用程式的變更密碼質詢,請在系統配置物件中將 bypassChangePassword 特性設定如下:
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
若要對特定應用程式停用此屬性,請將其設定如下:
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
批次處理帳號動作
您可以在 Identity Manager 帳號上執行數個批次處理動作,以同時處理多個帳號。您可以發起的批次處理動作為:
- 刪除 — 刪除、取消指定和解除連結所有選取的資源帳號。 選取 [Target the Identity Manager Account] 選項可刪除每一位使用者的 Identity Manager 帳號。
- 刪除與解除連結— 刪除選取的任何資源帳號,並解除該帳號與使用者的連結。
- 停用 — 停用選取的所有資源帳號。選取 [以 Identity Manager 帳號為目標] 選項可停用每個使用者的 Identity Manager 帳號。
- 啟用 — 啟用選取的所有資源帳號。 選取 [Target the Identity Manager Account] 選項可啟用每一位使用者的 Identity Manager 帳號。
- Unassign — 取消任意選取資源帳號的連結,並移除這些資源上指定的 Identity Manager 使用者帳號。取消指定不會移除資源的帳號。對於透過角色或資源群組間接指定給 Identity Manager 使用者的帳號,您無法取消指定其帳號。
- Unlink — 移除資源帳號與 Identity Manager 使用者帳號的關聯 (連結)。解除連結不會從資源中移除該帳號。如果您解除透過角色或資源群組間接指定給 Identity Manager 使用者的帳號連結,則更新使用者時該連結會還原。
如果您的檔案或應用程式中有一份使用者清單,如電子郵件用戶端或試算表程式,則批次處理動作就能有最好的執行效果。您可以將清單複製並貼上至此介面頁面的欄位中,也可以從檔案載入使用者清單。
根據使用者的搜尋結果,可以執行其中許多動作。在帳號標籤的 [尋找使用者] 頁面上搜尋使用者。
啟動批次處理帳號動作
若要啟動批次處理動作,請選取或輸入值,然後按一下啟動。Identity Manager 會啟動背景工作以執行批次處理動作。
提示 若要監視批次處理動作的作業狀態,請前往[作業]標籤,再按一下作業連結。
使用動作清單
您可以使用逗號分隔值 (CSV) 格式指定批次處理動作清單。這能讓您在一份動作清單中混用不同的動作類型。此外,您可以指定更複雜的建立與更新動作。
CSV 格式包含兩個或多個輸入行。每行包含一份以逗點分隔的值清單。第一行包含欄位名稱。剩餘的每一行對應欲對 Identity Manager 使用者、使用者的資源帳號或二者所執行的一個動作。每一行應該包含同樣數量的值。若為空值則相應的欄位值將不會變更。
任何批次處理動作 CSV 輸入都需要兩個欄位:
- user — 包含 Identity Manager 使用者的名稱。
- command — 包含對 Identity Manager 使用者採取的動作。有效的指令有:
- ��Delete — 刪除、取消指定與取消連結資源帳號、Identity Manager 帳號或二者。
- ��DeleteAndUnlink — 刪除與取消連結資源帳號。
- ��Disable — 停用資源帳號、Identity Manager 帳號或二者。
- ��Enable — 啟用資源帳號、Identity Manager 帳號或二者。
- Unassign — 取消指定與解除連結資源帳號。
- ��Unlink — 取消連結資源帳號。
- ��Create — 建立 Identity Manager 帳號。選擇性地建立資源帳號。
- ��Update — 更新 Identity Manager 帳號。選擇性地建立、更新或刪除資源帳號。
- ��CreateOrUpdate — 如果 Identity Manager 帳號尚不存在,則執行建立動作。否則執行更新動作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign
和 Unlink 指令
執行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 動作時,需要指定的唯一欄位是資源。使用資源欄位可指定哪些資源上的哪些帳號將受影響。它可有下列值:
- ��all — 處理所有資源帳號 (包括 Identity Manager 帳號)。
- ��resonly — 處理 Identity Manager 帳號以外的所有資源帳號。
- ��resource_name [ | resource_name ... ] — 處理指定的資源帳號。指定 Identity Manager 以處理 Identity Manager 帳號。
以下是幾個此類動作的 CSV 格式範例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server
Create、Update 和 CreateOrUpdate 指令
如果您正在執行 Create、Update 或 CreateOrUpdate 指令,則您除了指定 [使用者] 與 [指令] 欄位外,還可以指定 [使用者檢視] 中的欄位。使用的欄位名稱是檢視中的屬性之路徑表示式。如需有關使用者檢視中可用屬性的資訊,請參閱「Identity Manager 工作流程、表單與視圖」。如果是使用自訂的「使用者表單」,您就能使用表單的欄位名稱中的部分路徑表示式。
在批次處理動作中使用的一些較常見的路徑表示式有:
- ��waveset.roles — 要指定給 Identity Manager 帳號的一個或多個角色名稱清單。
- ��waveset.resources — 要指定給 Identity Manager 帳號的一個或多個資源名稱清單。
- ��waveset.applications — 要指定給 Identity Manager 帳號的一個或多個角色名稱清單。
- ��waveset.organization — 放置 Identity Manager 帳號的組織名稱。
- ��accounts[resource_name].attribute_name — 資源帳號屬性。屬性的名稱列示在資源的綱目中。
範例
以下是建立和更新動作的 CSV 格式範例:
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California
具有多個值的欄位
一些欄位可擁有多個值。它們又稱為多值欄位。例如,您可以使用 waveset.resources 欄位將多個資源指定給一位使用者。您可以使用垂直列 (|) 字元 (也稱為「管道」字元) 來分隔一個欄位的多個值。您可以指定下列多值語法:
value0 | value1 [ | value2 ... ]
對現有的使用者更新多值欄位時,您可能不想將現行欄位的值替代為一或多個新值。您可能想要移除一些值或加入現行值中。您可以使用欄位指令來指定如何處理現有欄位的值。欄位指令移到欄位值的前面,並以垂直列字元括住:
|directive [ ; directive ] | field values
您可從下列指令中選擇:
- ��Replace — 將目前值換成指定的值。若未指定指示詞 (或僅指定 List 指示詞),則此指示詞是預設值。
- ��Merge — 將指定值增加到目前值。系統將篩選出重複值。
- ��Remove — 從目前值移除指定值。
- ��List — 以處理多值的方式強制處理欄位的值,即使該欄位只有一個值也一樣。通常不需要這個指令,因為不論值的數量有多少,系統都會適當處理大部分的欄位。這是唯一能與其他指示詞一起指定的指示詞。
附註 欄位值區分大小寫。這在您指定 Merge 與 Remove 指示詞時特別重要。這些值必須完全符合,才能正確地移除值,或避免在合併時出現多個類似值。
欄位值的特殊字元
如果您的欄位值中有逗號 (,) 或雙引號 (") 字元,或想要保留前導或結尾的空格,則需要在欄位值兩旁加上一對雙引號 ("欄位值")。接下來需要以兩個雙引號 (") 字元來取代欄位值中的雙引號。例如,"John "Johnny" Smith" 欄位值的結果應該是
"John ""Johnny"" Smith"。
如果您的欄位值中有垂直列 (|) 或反斜線 (\) 字元,則您需要在它前面加上一條反斜線 (\| 或 \\)。
批次處理動作檢視屬性
執行 Create、Update 或 CreateOrUpdate 動作時,「使用者檢視」中有一些屬性只能在批次處理動作處理中使用。您可以在 [使用者表單] 中參考這些屬性,讓批次處理動作執行特定的動作。這些屬性如下所示:
- ��waveset.bulk.fields.field_name — 這些屬性包含從 CSV 輸入中讀取的欄位值,其中 field_name 是欄位的名稱。例如,指令與使用者欄位分別位於路徑表示式為 waveset.bulk.fields.command 與 waveset.bulk.fields.user 的屬性中。
- ��waveset.bulk.fieldDirectives.field_name — 僅會針對為其指定了指令的那些欄位定義這些屬性。此值為指示字串。
- ��waveset.bulk.abort — 將這個布林屬性設為 true,以中斷目前動作。
- ��waveset.bulk.abortMessage — 將此屬性設為訊息字串,以便在 waveset.bulk.abort 設為 true 時顯示。若未設定此屬性,則會顯示一般中斷訊息。
相互關聯與確認規則
當您沒有可用來填入動作的使用者欄位的 Identity Manager 使用者名稱時,可使用相互關聯與確認規則。若未指定使用者欄位值,啟動批次處理動作時,您就必須指定相互關聯規則。若未指定使用者欄位值,那麼就不會對該動作評估相互關聯與確認規則。
相互關聯規則會尋找符合動作欄位的 Identity Manager 使用者。確認規則會根據動作欄位來測試 Identity Manager 使用者,以便確定是否是符合的使用者。這樣的兩階段式方法可讓 Identity Manager 快速尋找可能的使用者 (根據名稱或屬性) 並且只對可能的使用者執行龐雜的檢查,藉此最佳化相互關聯。
建立相互關聯或確認規則的方法是分別建立 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 子類型的規則物件。
相互關聯規則
相互關聯規則的輸入是動作欄位的對映。輸出必須為下列其中之一:
- 字串 (包含使用者名稱或 ID)
- 字串元素清單 (各個使用者名稱或 ID)
- WSAttribute 元素清單
- AttributeCondition 元素清單
典型的相互關聯規則會根據動作中的欄位值來產生使用者名稱清單。相互關聯規則也可能會產生用來選取使用者的屬性條件清單 (參考 Type.USER 的可查詢屬性)。
相對來說,相互關聯規則應該比較簡便,但是應該盡可能縮小範圍。可能的話,將龐雜的處理留給確認規則。
屬性條件必須參考 Type.USER 的可查詢屬性。在 Identity Manager UserUIConfig 物件中會將它們配置為 QueryableAttrNames。
在延伸屬性上進行相互關聯需要特殊配置:
- 必須在 UserUIConfig 中將延伸屬性指定為可查詢 (加入 QueryableAttrNames 清單)。
- Identity Manager 應用程式 (或應用程式伺服器) 可能需要重新啟動,UserUIConfig 變更才會生效。
確認規則
對確認規則的輸入包括:
如果使用者符合動作欄位,確認規則會傳回字串形式的布林值 true;否則會傳回 false 值。
典型的確認規則會比對來自使用者檢視的內部值與動作欄位的值。確認規則還可當作相互關聯作業中的可選擇第二階段,也就是執行無法在相互關聯規則中表示的檢查
(或是太龐雜而無法在相互關聯規則中評估的檢查)。一般而言,您只有在以下情況會需要確認規則:
- 相互關聯規則可能傳回多個符合的使用者
- 無法查詢必須比對的使用者值
系統會對相互關聯規則傳回的每個符合的使用者各執行一次確認規則。
![利用 [建立使用者 - 身份] 表單可以建立使用者身份、例如帳號 ID 與密碼。](images/create_user_identity_tab.gif)
![[Create User - Attributes] 表單使您可以定義與已指定資源關聯的帳號屬性。](images/create_user_attributes_tab14.gif)
![[更新資源帳號] 頁面顯示指定的資源帳號,以及將套用至帳號的變更。](images/update_resource_accounts15.gif)
![[重新命名] 使用者頁面可讓您變更帳號與資源帳號名稱。](images/rename_user6.gif)
![[停用資源帳號結果] 頁面會顯示停用使用者帳號與資源帳號的結果。](images/disable_resource7.gif)
![使用 [更新資源帳號] 以更新一個或多個使用者的帳號。](images/update_resource_accounts8.gif)
![使用 [刪除資源帳號] 頁面來刪除、取消指定以及解除連結資源帳號。](images/delete_resource_accounts9.gif)
![[Change Answers to Authentication Questions] 頁面可讓您增加和變更認證問題和回答。](images/personalized_authentication25.gif)