Sun Java System Identity Installation Pack 2005Q4M3 SP2 发行说明 |
文档补充和更正
关于 Identity 系统软件指南Identity 系统软件文档包含多个指南,它们在 Identity Install Pack CD 中以 Acrobat (.pdf) 格式提供。本发行版包含以下指南。
Identity 系统软件
Install Pack 安装 (Identity_Install_Pack_Installation_2005Q4M3.pdf) —介绍如何安装和更新 Identity 系统软件。
Identity Manager
- Identity Manager 管理(IDM_Administration_2005Q4M3.pdf) —简要介绍 Identity Manager 管理员界面和用户界面。
- Identity Manager 升级(IDM_Upgrade_2005Q4M3.pdf) —提供规划和执行升级的帮助信息。
注 对于此发行版,将“Identity Manager 技术部署”和“Identity Manager 技术参考资料”重新组织为以下出版物:
- Identity Manager 技术部署概述 (IDM_Deployment_Overview_2005Q4M3.pdf) —对 Identity Manager 产品(包括对象体系结构)的概念性概述并介绍基本产品组件。
- Identity Manager 工作流、表单和视图 (IDM_Workflows_Forms_Views_2005Q4M3.pdf) —介绍如何使用 Identity Manager 工作流、表单和视图的参考信息和过程性信息(包括自定义这些对象所需的工具的信息)。
- Identity Manager 部署工具 (IDM_Deployment_Tools_2005Q4M3.pdf) —介绍如何使用不同的 Identity Manager 部署工具的参考信息和过程性信息,包括规则和规则库、普通任务和进程、字典支持以及由 Identity Manager 服务器提供的基于 SOAP 的 Web 服务界面。
- Identity Manager 资源参考资料 (IDM_Resources_Reference_2005Q4M3.pdf) —介绍如何将资源的帐户信息加载到 Sun Java System Identity Manager 并进行同步的参考信息和过程性信息。ResourcesRef_Addendum_2005Q4M3SP1.pdf 中介绍了其他适配器。
- Identity Manager 审计日志 (IDM_Audit_Logging_2005Q4M3.pdf) —介绍如何将资源的帐户信息加载到 Sun Java System Identity Manager 并进行同步的参考信息和过程性信息。
- Identity Manager 调优、故障排除和错误消息 (IDM_Troubleshooting_2005Q4M3.pdf) —介绍 Identity Manager 错误消息和异常的参考信息和过程性信息,并为跟踪和故障排除工作中可能遇到的问题提供指导。
Identity Auditor
Identity Auditor 管理 (IDA_Administration_2005Q4M3.pdf) —介绍 Identity Auditor 管理员界面。
Identity Manager Service Provider Edition
联机指南内容导航使用 Acrobat 的“书签”功能即可在这些指南中导航。单击书签面板中的章节名称,可以跳至文档中相应章节的位置。
在 Web 浏览器中导航至 idm/doc,便可以在安装的任何 Identity Manager 中查看 Identity Manager 文档集。
Install Pack 安装更正
前言
从“如何在本指南中查找信息”中删除了对附录 H 的错误交叉引用。(ID-12369)
第 1 章:安装之前
第 2 章: 安装用于 Tomcat 的 Identity Install Pack
本章现在支持 Apache Tomcat 应用服务器 4.1.x 版或 5.0.x 版。
第 4 章: 安装用于 WebSphere 的 Identity Install Pack
- 本章现在处理 Websphere 5.1 express 和 6.0 的安装。(ID-12655, 12656) 在指出的位置增加了以下说明和信息:
注 安装 Identity Install Pack 6.0 或更高版本时不需要执行以下步骤。
4. 转到分段目录,删除以下文件(如果有):
WEB-INF\lib\cryptix-jce-provider.jar
WEB-INF\lib\cryptix-jce-api.jar
25. 从以下 WebSphere 网址下载最新的 jlog package:
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
注 jlog package 现已合并到 WebSphere 6.0 版中。下载此软件包的目的是只供低版本使用。
- 由于必须为此发行版安装 JDK 1.4.2,因此“针对 JDK 1.3.x:”部分将不再适用。该章的“针对 JDK 1.4”部分应更改为“针对 JDK 1.4.2”。
第 7/8 章: 安装用于 Sun ONE/Sun Java System Application Server 7/8 的 Identity Install Pack
- 在“安装步骤”>“步骤 5:编辑 server.policy 文件”>“示例权限”下增加了以下更正信息:(ID-12292)
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- 在“安装步骤”>“步骤 5:编辑 server.policy 文件”>“示例权限”下增加了以下信息:
如果要与 Identity Manager Service Provider Edition 一起运行,请将以下权限添加到上述 server.policy 文件条目中:
permission java.lang.RuntimePermission "shutdownHooks";
第 14 章: 卸载应用程序
已从“删除软件”>“在 UNIX 上”>“步骤 3”下的语法示例中删除 _Version_。(ID-7762)
第 15 章: 安装应用程序(手动安装)
已将“安装步骤”>“步骤 3:配置 Identity Install Pack 索引数据库连接”>“非 Xwindows 环境”>“步骤 3”的语法示例更正为:(ID-5821)
3. 使用以下命令设置许可证密钥:
cd idm/bin
./lh license set -f LicenseKeyFile附录 A:索引数据库参考
表条目 SQL Server 下的语法示例已更改为:(ID-12784)
URL:
“sqlserver://host.your.com:1433; DatabaseName=dbname;SelectMethod=Cursor”附录 C: 为 Identity Manager 配置数据源
- 不支持多个 IIOP URL。(ID-12499) 在“为 Identity Manager 配置 WebSphere 数据源”>“配置 Websphere 5 数据源”>“在 Websphere 群集中配置数据源”下已删除以下不正确的信息:
如果应用服务器没有在 BOOTSTRAP_ADDRESS 属性中指定的相同端口,则 java.naming.provider.url 可以指定多个 URL,例如:
iiop://localhost:9812,iiop://localhost:9813.
- WebSphere 版本 5 中使用的所有 j2c.properties 现在都包含在 WebSphere 版本 6 的 resources.xml 文件中。已添加有关“配置 Websphere 5.1/6.x 数据源”和“配置 6.x 验证数据”的信息。已删除“配置 Websphere 4.x 数据源”的信息。(ID-12767) 以下几部分都有更改:
配置 JDBC 提供者
使用 WebSphere 的管理控制台配置新 JDBC 提供者。
- 单击左边窗格中的资源选项卡,以显示资源类型列表。
- 单击 JDBC 提供者,以显示已配置 JDBC 提供者表。
- 单击已配置 JDBC 提供者表上方的新建按钮。
- 从 JDBC 数据库类型、jdbc 类型和实现类型列表中选择。单击“下一步”。
在此例中将使用 Oracle、Oracle JDBC 驱动和连接池数据源。
- 继续配置常规属性。
- 指定名称。
- 在类路径字段中指定包含 JDBC 驱动程序的 JAR 的路径。例如,要指定 Oracle 瘦驱动程序,则指定的路径类似于:
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB-INF/lib/oraclejdbc.jar
注 可以使用管理控制台指定包含 JDBC 驱动程序的 JAR 的路径。从标识为环境的菜单中,选择 WebSphere 变量菜单项。在此窗格上,首先选择要为其定义此环境变量的单元、节点和服务器。然后指定 JAR 的路径作为此变量的值。
- 在实现类名字段中指定 JDBC 驱动程序类的全限定名称。
- 也可以根据自己的选择更改提供者的名称或描述。
完成后,单击表底部的确定按钮。右边窗格应该显示您添加的提供者。
要配置使用此 JDBC 提供者的数据源,请参见“将 Identity Manager 系统信息库指向数据源”。
配置 Websphere JDBC 数据源
在完成配置数据源之前,必须先配置验证数据。这些别名包含用于连接 DBMS 的证书。
配置 5.1 验证数据
下一步,配置数据源。
配置 6.x 验证数据
配置数据源
注 如果在 Websphere 5.x 群集中配置数据源,请参见“在 Websphere 群集中配置数据源”了解详细信息。
- 单击左边窗格中的资源选项卡,以显示资源类型列表。
- 单击 JDBC 提供者,以显示已配置 JDBC 提供者表。
- 单击表中 JDBC 提供者的名称。右边窗格将显示为选定 JDBC 提供者配置的常规属性表。
- 向下滚动到其他属性表。单击数据源。右边窗格将显示已配置为与此 JDBC 提供者一起使用的数据源表。
注 注意 WebSphere 管理控制台中框架顶部的范围字段。确保节点和服务器为空,以便在新建和删除按钮下出现用于配置的单元信息。
- 单击数据源表上方的新建按钮。右边窗格将显示要配置的常规属性表。
- 为新的数据源配置常规属性。注意以下内容:
- JNDI 名称是目录服务中数据源对象的路径。
此处指定的值必须与下面一行中 -f 参数的值相同
setRepo -tdbms -iinitCtxFac -ffilepath。- 容器管理的持久性应该保持为未选中。Identity Install Pack 不使用 Enterprise Java Bean (EJB)。
- 组件管理的验证别名指向用于访问此数据源指向的 DBMS 的证书。
- 从下拉式列表中选择包含适当的 DBMS 证书集的别名。有关更多信息,请参见配置 5.1 验证数据。
- 不使用容器管理的验证别名。将此值设置为(none)。Identity Install Pack 与此数据源指向的 DBMS 建立自己的连接。
- 配置完此面板后,单击确定。将显示“数据源”页。
- 单击所创建的数据源。然后向下滚动到接近底部的“其他属性”表。单击自定义属性链接。
右边窗格将显示 DBMS 专用属性表。
- 为此数据源配置自定义属性。单击每个属性的链接以设置其属性。注意以下内容:
- 如果要为性能调节配置这些属性,还可以从“其他属性”表中单击连接池链接。
附录 E: 配置 JCE
应显示如下所示的说明:
注 由于必须为此发行版安装 JDK 1.4.2,所有支持的环境现在都应包含 JCE 1.2,此附录中的信息将不再适用。
补充
第 1 章:安装之前
- 在“安装任务流”>“Bullet 安装和配置 Identity Install Pack 软件”下增加了以下说明:(ID-8431)
注 在 Unix 或 Linux 系统中:
- 在“必备条件任务”>“设置索引数据库”>“设置 SQL Server”>“步骤 3b”下增加了以下说明:(ID-11835)
注 以下文件需要放在 $WSHOME/WEB-INF/lib 目录中:
db2jcc
db2jcc_license_cisuz.jar or db2jcc_license_cu.jar- 在“支持的软件和环境”>“应用服务器”下增加了以下说明:(ID-12385)
注 当前应用服务器容器必须支持 UTF-8。
第 2 章: 安装用于 Tomcat 的 Identity Install Pack
- 将以下步骤添加到“安装步骤”>“步骤 1:安装 Tomcat 软件”>“在 UNIX 上安装”:(ID-12487)
2. 将 Java mail.jar 和 activation.jar 文件添加到 ./tomcat/common/lib 目录。邮件和激活 jar 文件可以在以下网址找到:
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html- 将以下步骤添加到“安装步骤”>“步骤 1:安装 Tomcat 软件”>“在 UNIX 上安装”:(ID-12462)
3. 在配置 Tomcat 以支持 UTF-8 时,将 URIEncoding="UTF-8" 属性添加到 TOMCAT DIRconf/server.xml 文件的 connector 元素中,例如:
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on the port specified during installation -->
<Connector port="8080"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" redirectPort="8443"
acceptCount="100" debug="0" connectionTimeout="20000"
disableUploadTimeout="true"
URIEncoding="UTF-8" />
4. 在配置 Tomcat 以支持 UTF-8 时,还在 java vm 选项中添加了
-Dfile.encoding=UTF-8。第 13 章:更新 Identity Manager
添加了对“Identity Manager 升级”的交叉引用,以帮助用户查找完整的升级信息。(ID-12366)
第 15 章: 安装应用程序(手动安装)
在“安装步骤”>“步骤 2:安装应用程序软件”下增加了以下说明:(ID-8344)
注 从 5.0 SP3 发行版起,适配器类现在包含于 idmadapter.jar 文件中。如果您有自定义适配器,可能需要更新您的类路径。
附录 B: 配置 MySQL
在“配置 MySQL”>“步骤 3 启动 MySql 进程”下增加了以下信息:(ID-12461)
如果尚未启动此进程,则使用以下步骤注册和启动 MySQL。
在 Windows 上,如果您安装在 c:\mysql 之外的目录中,则创建名为 c:\my.cnf 的文件,此文件包含以下内容:[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_bin在 Windows 上,安装并启动服务:
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysql附录 C: 为 Identity Manager 配置数据源
在“为 Identity Manager 配置 WebSphere 数据源”>“将 Identity Manager 系统信息库指向数据源”下增加了以下信息:(ID-12071)
8. 将系统信息库指向新位置。例如:
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory -fDataSourcePath在上例中,DataSourcePath 可以为 jdbc/jndiname。bootstrap_port 是 WebSphere 服务器引导程序地址端口。
-Djava.ext.dirs 选项会将 WebSphere 的 lib/ 和 java/jre/lib/ext/ 目录下的所有 JAR 文件都添加到类路径。setrepo 命令要正常运行,必须这样做。
更改 -f 选项,使其与您在配置数据源时为 JNDI 名称字段指定的值相匹配。有关此命令的更多信息,请参见“setrepo 参考”。
Identity Manager 升级补充
第 1 章:升级概述
已将下面一段添加到“示例升级”部分:(ID-12467)
编辑“角色表单”中的超级角色字段时要小心。超级角色本身可以是嵌套角色。超级角色字段和子角色字段指明角色及其相关资源或资源组的嵌套关系。在将超级角色应用于用户时,超级角色会包含与任何指定子角色关联的资源。超级角色字段会显示出来,以指明包含所显示角色的角色。
第 3 章: 制定升级计划
已将以下内容添加到“从 Identity Manager 5.x 升级到 6.x”部分。
(ID-12361)步骤 2:更新系统信息库数据库模式
Identity Manager 6.0 涉及引入用于任务、组、组织的新表以及 syslog 表的模式更改。必须创建这些新的表结构并移动现有数据。
注 在更新系统信息库模式之前,请对系统信息库表进行完全备份。
Identity Manager 管理指南补充
第 4 章:管理
委托批准
如果您拥有批准者权能,则可以将您未来的批准请求委托给一个或多个用户(受托者)一段指定的时间。用户无需批准者权能即可成为受托者。
委托功能仅适用于未来的批准请求。现有请求(在“等待批准”选项卡下列出)将通过转发功能进行转发。
要设置委托,请选择批准区域的委托我的批准选项卡。
说明
在有效的委托期间,委托可以代表您自己批准任何请求。委托批准请求包含委托的名称。
请求的审计日志条目
如果请求被委托,则批准和拒绝批准请求的审计日志条目将包含您(委托者)的姓名。在创建或修改用户时,对用户委托批准者信息的更改将记录在审计日志条目的详细更改部分。
第 5 章:配置
在资源更改中配置身份属性
身份属性定义资源上属性之间互相关联的方式。在创建或修改资源时,可能会影响这些属性关系。
在保存资源时,Identity Manager 会显示“是否配置身份属性?”页。可以在这里选择:
重新启用“配置身份属性?”页
如果禁用了此页,则可以使用下列方法之一重新启用它:
<Field name='accounts[Lighthouse].properties.displayMetaViewPage'>
<Display class='Checkbox'>
<Property name='label' value='Display Meta View?'/>
</Display>
</Field>配置属性
使用“在资源更改中配置身份属性”页,从要用作身份属性源和目标的已修改资源的模式映射中选择属性。在某些情况下,您不能选择“源”和“目标”列中的属性。以下情况您不能选择属性作为源:
以下情况您不能选择该属性作为目标:
第 7 章:安全
限制并发登录会话
默认情况下,Identity Manager 用户可以使用并发登录会话。不过,您可以将并发会话数目限定为每个登录应用程序一个,方法是更改系统配置对象中
security.authn.singleLoginSessionPerApp 配置属性的值。此属性是一个对象,它为每个登录应用程序名称(如管理员界面、用户界面或 BPE)包含一个属性。将此属性的值更改为 true 会强制每个用户在一个登录会话中。如果强制实施,则用户可以登录到多个会话。不过,只有最后一次登录的会话保持活动和有效。如果用户对无效会话执行操作,系统会自动强制他离开此会话,并且此会话终止。
第 8 章:报告
在标题为“摘要报告”的部分中,用户报告的描述现在包含通过管理器搜索用户的功能:(ID-12690)
第 10 章:PasswordSync
Windows PasswordSync 的故障转移部署
PasswordSync 的体系结构消除了 Identity Manager 的 Windows 密码同步部署中的任何单点故障。
如果您配置每个 Active Directory 域控制器 (ADC) 通过负载平衡器连接到一系列 JMS 客户机中的某一个(参见下图),则 JMS 客户机会将消息发送给消息队列代理群集,这确保任意消息队列失败时都不会丢失消息。
注 消息队列群集可能需要数据库来持久存放消息。(在供应商的产品文档中应提供有关配置消息队列代理群集的说明。)
正在运行配置为自动故障转移的 JMS 侦听器适配器的 Identity Manager 服务器将与消息队列代理群集联系。尽管此适配器一次仅在一个 Identity Manager 上执行,但如果主 ActiveSync 服务器失败,此适配器将开始在辅 Identity Manager 服务器上轮询与密码有关的消息,并将密码更改传播到下游资源。
不使用 Java 通讯服务来实现 PasswordSync
若要不使用 JMS 而实现 PasswordSync,请使用以下标志启动配置应用程序:
Configure.exe -direct
在指定 -direct 标志时,配置应用程序会显示“用户”选项卡。使用“配置 PasswordSync”中介绍的过程配置 PasswordSync,但以下几条例外:
如果不使用 JMS 实现 PasswordSync,则无需创建 JMS 侦听器适配器。因此,应忽略“部署 PasswordSync”中列出的过程。如果要设置通知,可能需要更改“更改用户密码”工作流。
注 此后,如果您没有指定 -direct 标志运行配置应用程序,则 PasswordSync 将要求配置 JMS。使用 -direct 标志重新启动应用程序可以再次忽略 JMS。
更正
第 5 章:资源
在自定义资源类表中,按如下所示更正了 ClearTrust 资源适配器的自定义资源类:
(ID-12681)com.waveset.adapter.ClearTrustResourceAdapter
第 10 章:PasswordSync
在标题为“配置 PasswordSync”的部分中,在 JMS 设置对话框下,队列名称的描述应更正为以下内容:
lh 参考
命令语法已更新为正确指出指定选项后的空间。(ID-12798)
当出于安全原因使用 -p 选项时,应将密码指定为包含密码的文本文件的路径,而不是直接在命令行指定。
示例
license 命令
用法
license [options] { status | set {parameters} }
选项
set 选项的参数必须以 -f File 形式表示。
Identity Manager 工作流、表单和视图第 1 章:工作流
本章中的手动操作讨论应包含以下信息:
如果工作项目的 itemType 设置为向导,则默认情况下,工作项目在检查 WorkItem 视图时将不会转发批准者。如果 itemType 不是向导,则 Identity Manager 仍将提取转发批准者,除非 CustomUserList 作为手动操作使用的表单的属性设置为 true。(ID-10777)
为此,在表单中包含以下代码:
<Form>
<Properties>
Property name='CustomUserLists' value='true'/>
</Properties>
第 2 章:工作流服务
Identity Manager 提供 checkStringQualityPolicy 工作流服务方法,此方法将根据字符串策略检查指定字符串的值。(ID-12428, 12440)
名称
必需
有效值
描述
policy
是
标识策略(字符串)
map
否
提供字符串不得包含的数据映射。(映射)
returnNull --(可选)如果设置为 true,则此方法在成功时返回 null 对象。
value
是
指定要检查的字符串的值。(对象)
pwdhistory
否
以大写、加密格式列出用户先前的密码。
owner
是
标识正在检查其字符串值的用户。
此方法返回 checkPolicyResult 对象。值为 true 表示字符串通过策略测试。如果字符串没有通过策略测试,则此方法将返回一条错误消息。如果在 map 参数中将 returnNull 选项设置为 true,则此方法在成功时返回 null 对象。
第 3 章:表单
Identity Manager 可以在显示中标识是否需要资源模式映射中的某个属性。“编辑用户”表单通过 *(星号)标识这些属性。默认情况下,Identity Manager 会在紧跟属性名称的文本字段后显示此星号。(ID-10662)
要自定义星号的位置,请执行以下步骤:
第 4 章:FormUtil 方法
此方法返回的值为 true 表示此字符串通过策略测试。如果字符串没有通过策略测试,则此方法将返回一条错误消息。如果在 map 参数中将 returnNull 选项设置为 true,则此方法在成功时返回 null 对象。
参数
描述
s
指定当前用户的 Lighthouse 上下文(会话)。
organizations
指定一个或多个组织名称的列表。支持的组织列表包括通过列出类型为 ObjectGroup 的所有对象返回的组织列表。
此方法返回:
true —表示当前已验证的 Identity Manager 用户控制列表中的任一组织。
false —表示当前已验证的 Identity Manager 用户没有控制列表中的任何组织。
第 5 章:视图
帐户类型
此 Identity Manager 发行版支持在具有帐户类型的资源上为用户分配多个帐户。(ID-12697) 在将资源分配给用户时,现在可以有选择地分配资源上的帐户类型,不过具有以下限制:
管理员首先必须在资源上定义帐户类型,然后才能将其与资源关联起来。还必须定义 IdentityRule。(有关身份规则的示例,请参见 samples/identityRules.xml。)
Identity Manager 使用 IdentityRule 子类型将规则与帐户类型关联起来。此规则将根据需要生成 accountIds。(这些规则的功能与身份模板类似,但在 XPRESS 中实现并具有访问 LighthouseContext API 的权限)。
有关如何使用 Identity Manager 管理员界面将帐户类型分配给资源的讨论,请参见 “Identity Manager 管理”。
忽略帐户类型
如果忽略资源上的帐户类型,则 Identity Manager 将分配默认的帐户类型,此规则向后兼容。不过,如果资源没有定义帐户类型,则系统会禁用此功能。
默认帐户类型使用身份模板。不过,您还可以指定默认类型使用指定的规则,而不是身份模板。
默认帐户类型是唯一的,用户可以分配此类型的多个帐户。不过,建议最好不要分配同一类型的多个帐户。
与视图有关的更改
以下对 Identity Manager 视图的更改支持帐户类型。
- 资源视图现在提供有 accountType 属性(列表)。每个条目是一个具有
identityRule 属性的对象,它指定用于为此类型生成 accountIds 的规则。- 角色和应用程序视图的 resources 属性现在允许使用限定资源分配。这些限定分配的语法为 <resource name>|<account type>。
- 用户视图现在包含 waveset.resourceAssignments 属性,它可以进行限定资源分配。(waveset.resources 只包含未限定引用。) 您可以更改任一属性,但建议最好只使用 waveset.resourceAssignment 进行更新,而使用 waveset.resources 进行只读操作。)
访问用户视图 accounts 属性中对象的方式并没有随着此新功能的添加而更改。使用限定资源名称来索引 accounts 列表(例如,accounts[resource|type] 可以选择此资源和类型组合的资源帐户。如果您没有指定类型,仍可通过 accounts[resource] 访问这些对象。)
- 相关视图(包括取消置备和更改密码)也使用这种解决方法。此列表中的对象现在还有一个新属性 accountType,它指定资源帐户的帐户类型。
委托批准者视图
使用此视图可以将一个或多个 Identity Manager 用户作为委托批准者分配给现有的批准者。此功能允许批准者将其一段指定时间内的批准权能委托给本身可能不是批准者的用户。高级属性包括:(ID-12754)
注 用户视图包含这些相同的属性(名称属性例外)。这些新属性包含在 accounts[Lighthouse]. namespace 中。
name
标识委托批准的用户。
delegateApproversTo
指定将接受用户委托批准的人员,有效值包括 manager、selectedUsers 或 delegateApproversRule。
delegateApproversSelected
delegateApproversStartDate
指定开始批准委托的日期。默认情况下,所选开始日期的时和分为当日上午 12:01。
delegateApproversEndDate
指定结束批准委托的日期。默认情况下,所选结束日期的时和分为当日晚上 11:59。
角色视图文档已更新为如下内容。(ID-12390)
角色视图
用于定义 Identity Manager 角色对象。
在登入时,此视图会启动“管理角色”工作流。默认情况下,此工作流只将视图更改提交给系统信息库,但还提供钩子用于批准和其他自定义操作。
下表列出此视图的高级属性。
属性
可编辑?
数据类型
必需
name
读/写
字符串
是
resources
读/写
列表
否
applications
读/写
列表
否
roles
读/写
列表
否
assignedResources
读/写
列表
否
notifications
读/写
列表
否
approvers
读/写
列表
否
properties
读/写
列表
organizations
读/写
列表
是
表 1. 角色视图属性
name
标识角色的名称。此属性与 Identity Manager 系统信息库中的角色对象名称对应。
resources
指定本地分配的资源的名称。
applications
指定本地分配的应用程序的名称(资源组)。
roles
指定本地分配的角色的名称。
assignedResources
通过 resources、applications 和 roles 分配的所有资源的平面列表。
resourceName标识已分配资源的名称。
name标识资源名称或 ID(最好是 ID)。
attributes标识资源的特征。所有子属性都是字符串,并且是可编辑的。
表 2. 属性选项(角色视图)
第 6 章:XPRESS 语言
第 8 章:HTML 显示组件
- SortingTable 组件的描述已进行如下修订:
用于创建一个表,其内容可按列标题进行排序。子组件确定此表的内容。每列创建一个子组件(由 columns 属性定义)。列通常包含在 FieldLoop 中。
在显示表单元格时,此组件会优先实现子组件的 align、valign 和 width 属性。(ID-12606)
- Identity Manager 现在提供 InlineAlert 显示组件。(ID-12606)
显示错误、警告、成功或信息警报框。此组件通常位于页的顶部。通过定义类型为 InlineAlert$AlertItem 的子组件,可以在单个警报框中显示多个警报。
此显示组件的属性包括:
- alertType —指定要显示的警报类型。此属性确定要使用的样式和图像。有效值为错误、警告、成功和信息。此属性的值默认为信息。此属性只对 InlineAlert 有效。
- header —指定为警报框显示的标题。它可以为字符串或消息对象。此属性对 InlineAlert 或 InlineAlert$AlertItem 有效。
- value —指定要显示的警报消息。此值可以为字符串或消息对象。此属性对 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkURL —指定要在警报框底部显示的可选 URL。此属性对 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkText —为 linkURL 指定文本。它可以为字符串或消息对象。此属性对 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkTitle —为 linkURL 指定标题。它可以为字符串或消息对象。此属性对 InlineAlert 或 InlineAlert$AlertItem 有效。
示例
单条警报消息<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='warning'/><Property name='header' value='Data not Saved'/>
<Property name='value' value='The data entered is not yet saved.
Please click Save to save the information.'/></Display>
</Field>
多条警报消息只能在 InlineAlert 属性中定义 alertType。 可以在 InlineAlert$AlertItems 中定义其他属性。
<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='error'/>
</Display>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Server Unreachable'/>
<Property name='value' value='The specified server could not
be contacted.Please view the logs for more information.'/>
<Property name='linkURL' value='viewLogs.jsp'/>
<Property name='linkText' value='View logs'/>
<Property name='linkTitle' value='Open a new window with
the server logs'/>
</Display>
</Field>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Invalid IP Address'/>
<Property name='value' value='The IP address entered is
in an invalid subnet. Please use the 192.168.0.x subnet.'/> </Display>
</Field>
</Field>
- Identity Manager 现在提供选择器显示组件。(ID-12729)
为下面的搜索字段提供单值字段或多值字段(分别与文本组件或 ListEditor 组件类似)。在执行搜索后,Identity Manager 会在搜索字段下显示结果,并将结果填入值字段中。
与其他容器组件不同,Selector 具有值(即使用 search 结果填入的字段)。包含的字段通常是搜索条件字段。Selector 实现一个属性,以显示搜索结果的内容。
属性包括:
- fixedWidth —指定组件是否应具有固定宽度(与多选组件的行为相同)。(布尔)
- multivalued —指明值是列表还是字符串。(此属性值确定是为值显示 ListEditor 字段还是文本字段)。(布尔)
- allowTextEntry —指明必须从提供的列表中选择值,还是手动输入值。(布尔)
- valueTitle —指定要在 value 组件上使用的标签。(字符串)
- pickListTitle —指定要在 picklist 组件上使用的标签。(字符串)
- pickValues —picklist 组件中的可用值(如果为 null,则不显示 picklist)。(列表)
- pickValueMap —picklist 中值的显示标签的映射。(映射或列表)
- sorted —指出应在 picklist 中对值进行排序(如果是多值且未排序,则还会排序值列表)。(布尔)
- clearFields —列出在选择“清除”按钮时应重置的字段。(列表)
以下属性仅在多值组件中有效:
- ordered —指明值的顺序很重要。(布尔)
- allowDuplicates —指出值列表是否可以包含重复值。(布尔)
- valueMap —为列表中的值提供显示标签的映射。(映射)
这些属性仅在单值组件中有效:
- nullLabel —指定用于表示 null 的标签。(字符串)
- Select 和 MultiSelect 组件的描述已进行如下修订,以包括对 caseInsensitive 属性的讨论。(ID-13364)
多选组件
显示多选对象,Identity Manager 将其显示为两个并列的文本选择关键字,其中一个框中定义好的一组值可以移到另一个框中。左框中的值由 allowedValues 属性定义,通常通过调用 Java 方法(如 FormUtil.getResources)动态获取值。右侧多选框中显示的值将从关联视图属性(通过字段名称标识)的当前值中填充。
可以通过 availabletitle 和 selectedtitle 属性为此多选对象中的每个框设置表单标题。
如果您希望 MultiSelect 组件不使用 applet,请将 noApplet 属性设置为 true。
注 如果在运行 Safari 浏览器的系统上运行 Identity Manager,则必须自定义包含多选组件的所有表单,以设置 noApplet 选项。按以下方式设置此选项:
<Display class='MultiSelect'>
<Property name='noApplet' value='true'/>
...
此显示组件的属性包括:
- availableTitle —指定可用框的标题。
- selectedTitle —指定所选框的标题。
- ordered —定义所选项目是否可以在文本框的项目列表内上移或下移。值为 true 表示将会显示其他按钮以允许所选项目上移或下移。
- allowedValues —指定与多选对象的左框关联的值。此值必须是字符串列表。注:<Constraints> 元素可用于填充此框,但这种用法已过时。
- sorted —指定按字母顺序对两个框中的值进行排序。
- noApplet —指定多选组件是以 applet 实现还是以一对标准的 HTML 选择框实现。默认值是使用 applet,它可以更好地处理长的值列表。有关在运行 Safari 浏览器的系统上使用此选项的信息,请参见上文的说明。
- typeSelectThreshold —(仅在 noApplet 属性设置为 true 时可用。) 控制是否在 allowedValue 列表下显示预输入选择框。如果左侧选择框中的条目数达到此属性定义的阈值,则会在此选择框下显示附加的文本输入字段。在将字符键入此文本字段时,选择框将滚动以显示匹配的条目(如果有)。例如,如果输入 w,则选择框将滚动到以 w 开头的第一个条目。
- width —指定所选框的宽度(像素)。默认值为 150。
- height —指定所选框的高度(像素)。默认值为 400。
- caseInsensitive —用于执行区分大小写的比较。
选择组件
显示单选对象。列表框的值必须由 allowedValues 属性提供。
此显示组件的属性有:
- allowedValues —指定要在列表框中显示的可选值的列表。
- allowedOthers —设置此属性后,指定应容许使用 allowedValues 列表中不存在的初始值,且初始值应静默添加到列表中。
- autoSelect —设置为 true 后,如果字段的初始值为 null,则此属性会使系统自动选择 allowedValues 列表中的第一个值。
- caseInsensitive —用于执行区分大小写的比较。
- multiple —设置为 true 后,允许选择多个值。
- nullLabel —指定在没有选择值时在列表框顶部显示的文本。
- optionGroupMap —允许选择器使用 <optgroup> 标记在组中显示选项。确定映射格式,以使映射关键字为组标签,元素是可选择的项目列表。(值必须是 allowedValues 的成员才能显示。)
- size —(可选)指定要显示的最大行数。如果行数超过此大小,则会添加滚动条。
- sorted —设置为 true 后,会对列表中的值进行排序。
- valueMap —将原始值映射为显示的值。
此组件支持 command 和 onChange 属性。
- 对 DatePicker 组件的讨论应介绍以下新属性。(ID-14802)
DatePicker HTML 组件现在允许您选择不连续的日期。您可以指定日期范围集,以便从日历中挑选特定的日期。
DatePicker 实现了以下两个新属性:
SelectAfter —限定日历中显示的可选日期为输入日期或它之后的日期。此属性值可以是日期字符串或 Java 日期对象。
<Property name='SelectAfter' value='**/**/****'/>
SelectBefore —限定日历中显示的可选日期为输入日期或它之前的日期。此属性值可以是日期字符串或 Java 日期对象。
<Property name='SelectBefore' value='**/**/****'/>
只要使用实现 <Display class='DatePicker'> 标记的表单,就应将这些变量添加到表单以建立日期范围。如果没有设置这些属性,则日历将不会限制在可以选择的日期中。
Identity Manager 技术部署概述以下对关联工作流、表单和 JSP 的讨论属于“Identity Manager 技术部署概述” (ID-7332) 的体系结构概述。
进程执行
用户在页面的字段中输入数据并单击“保存”时,视图、工作流和表单组件将一起工作来执行处理数据所必需的进程。
Identity Manager 中的每个页面都有与其关联的视图、工作流和表单,以执行必需的数据处理。以下两个表格中列出了这些关联的工作流、视图和表单。
Identity Manager 用户界面进程
以下表格显示与从以下 Identity Manager 用户界面页启动的进程有关的表单、视图和工作流:
管理员界面进程
以下表格列出与从这些 Identity Manager 管理员界面页启动的进程有关的表单、视图、工作流和 JSP:
Java 服务器页面 (Java Server Pages, JSP) 及其在 Identity Manager 中的角色
以下表格介绍随系统一起提供的 JSP 及其管理员和用户界面页。
用于 Identity Manager 用户界面的 JSP
用于管理员界面的 JSP
Identity Manager 6.0 资源参考资料
- PDF 版本文档中的“资源参考资料”>“Active Directory”>“帐户属性”>“帐户属性支持”下的“支持的帐户属性”列表要比 HTML 版本中的新。请参考 PDF 版本的文档。(ID-12630)
- 位于以下 URL 的 Identity Manager 6.0 资源参考资料 2005Q4M3 顶层节点不包含指向标题为 Domino 的部分的链接:(ID-12636)
http://docs.sun.com/app/docs/doc/819-4520
请通过打开此节点或以下 URL 的 Contents 来查找 Domino 部分:
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Access Manager 适配器
在过程“常规配置”中的步骤 5 应作如下阐述:
5. 如果以下几行不存在,请将其添加到 java.security 文件:
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider每一行中 security.provider 后的数字指定 Java 参考安全提供者类的顺序,而且此顺序是唯一的。在您的环境中,序列号可能不同。如果您在 java.security 文件中有多个安全提供者,则请按上述给定顺序插入新的安全提供者,然后对现有的安全提供者重新编号。请不要删除现有的安全提供者,且不要复制现有的任何提供者。(ID-12044)
Active Directory 适配器
Active Directory 现在支持 thumbnailPhoto(Windows 2000 Server 和更高版本)和 jpegPhoto (Windows 2003) 二进制属性。
BridgeStream SmartRoles 适配器
Identity Manager 现在提供在 SmartRoles 中置备用户的 BridgeStream SmartRoles 资源适配器。此适配器将用户放置在 SmartRoles 内的适当组织中,以使 SmartRoles 可以确定这些用户应具有哪些业务角色。
在从 SmartRoles 中检索用户时,适配器将检索用户的业务角色。这些业务角色可以用在 Identity Manager 中,以确定应向用户分配的 Identity Manager 角色、资源、属性和访问权限。
此外,SmartRoles 可以作为使用活动同步的用户更改的源。您可以将 SmartRoles 用户加载到 Identity Manager 并进行协调。
有关此适配器的详细信息,请参见“Sun Java System Identity Manager 资源参考补充资料”。(ID-12714)
ClearTrust 适配器
数据库表适配器
此适配器支持二进制数据类型,包括 Oracle 中的 BLOB。必须在模式映射上将相应的属性标记为二进制。示例二进制属性包括图形文件、音频文件和证书。
Flat File Active Sync 适配器
HP OpenVMS 适配器
Identity Manager 现在提供支持 VMS 版本 7.0 和更高版本的 HP OpenVMS 资源适配器。有关此适配器的详细信息,请参见“Sun Java System Identity Manager 资源参考补充资料”。(ID-8556)
JMS 侦听器适配器
JMS 侦听器适配器现在支持同步消息处理,而不是异步处理。因此,“使用说明”的“连接”部分的第二段应为以下内容:
JMS 侦听器适配器在同步模式下运行。它会在目标的 JNDI 名称字段指定的队列或主题目标上建立同步消息使用方。在每次轮询间隔期间,适配器将会接收和处理所有可用的消息。此外,通过为邮件选择器字段定义有效的 JMS 邮件选择器字符串,可以限定邮件(可选)。
“邮件映射”部分应包含以下内容:
在适配器处理限定邮件时,首先会使用邮件映射字段指定的机制,将收到的 JMS 邮件转换为指定值的映射。此结果映射称为邮件值映射。
然后,使用帐户属性模式映射将邮件值映射转换为活动同步映射。如果适配器指定了帐户属性,则适配器会在邮件值映射中搜索关键字名称,此关键字名称将在模式映射中显示为资源用户属性。如果关键字名称存在,则会将值复制到活动同步映射,而活动同步映射中的条目名称将被转换为模式映射中 Identity System 用户属性列中指定的名称。
如果邮件值映射包含一个使用帐户属性模式映射无法转换的条目,则邮件值映射中的此条目会按原样复制到活动同步映射。
LDAP 适配器
二进制帐户属性支持
现在支持 inetOrgPerson 对象类中的以下二进制帐户属性:
资源用户属性
LDAP 语法
描述
audio
Audio
音频文件。
jpegPhoto
JPEG
JPEG 格式的图像。
userCertificate
certificate
二进制格式的证书。
可能支持其他二进制帐户,但尚未对其进行测试。
禁用和启用帐户
LDAP 适配器提供了几种方法来禁用 LDAP 资源上的帐户。使用以下方法之一来禁用帐户。
将密码更改为未知值要通过将密码更改为未知值帐户来禁用帐户,请将激活方法和激活参数字段留为空白。这是禁用帐户的默认方法。此帐户可以通过分配新密码来重新启用。
分配 nsmanageddisabledrole 角色要使用 nsmanageddisabledrole LDAP 角色来禁用和启用帐户,请按如下步骤配置 LDAP 资源:
现在可以禁用 LDAP 帐户。要使用 LDAP 控制台验证,请检查 nsaccountlock 属性的值。值为 true 表示帐户已锁定。
如果稍后重新启用此帐户,则从角色中将其删除。
设置 nsAccountLock 属性要使用 nsAccountLock 属性来禁用和启用帐户,请按如下步骤配置 LDAP 资源:
现在可以禁用 LDAP 帐户。要使用 LDAP 控制台验证,请检查 nsaccountlock 属性的值。值为 true 表示帐户已锁定。
如果稍后重新启用此帐户,则属性被删除。
不使用 nsmanageddisabledrole 和 nsAccountLock 属性禁用帐户如果目录服务器上的 nsmanageddisabledrole 和 nsAccountLock 属性不可用,但目录服务器使用类似方法来禁用帐户,请将以下类名之一输入激活方法字段。在激活参数字段中输入的值因类的不同而异。
Oracle/Oracle ERP 适配器
在本发行版中,“Identity Manager 资源参考资料”中的 Oracle/Oracle ERP 一章被分成两个独立的章。请参阅“Sun Java System Identity Manager 资源参考补充资料”来了解新的两章。(ID-12758)
Oracle 适配器
noCascade 帐户属性指示在删除用户时是否执行连锁式删除。默认情况下,将执行连锁式删除。要禁用连锁式删除:
Oracle ERP 适配器
Oracle ERP 适配器现在提供 employee_number 帐户属性,代表 per_people_f 表中的 employee_number (ID-12796):
审计职责
已将多个属性添加到 Oracle ERP 适配器以支持审计功能。(ID-11725)
要审计分配给用户的职责的子项目(如表单和函数),请将 auditorObject 添加到模式映射。auditorObject 是一个包含一组职责对象的复杂属性。在职责对象中会始终返回以下属性:
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
注 通过在 fnd_form_functions 表中查询 PARAMETERS 列中是否有以下任一项,就可以确定 readOnly 和 ReadWrite 属性:
如果返回通讯录集和/或组织资源参数设置为 TRUE,则还返回以下属性:
除了 responsibility、setOfBooksName、setOfBooksId、organizationalUnitId 和
organizationalUnitName 属性外,属性名称与可能添加到模式映射中的帐户属性名称相匹配。帐户属性包含分配给用户的值的完整集合。responsibility 对象中包含的属性是此职责特有的。auditorResps[] 视图提供对职责属性的访问权限。以下表单的代码片段返回分配给用户的所有活动职责(及其属性)。
<defvar name='audObj'>
<invoke name='get'>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name='respList'>
<invoke name='get'>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
例如:
SAP 适配器
信息类型
名称
支持的子类型
0000
操作
不适用
0001
组织分配
不适用
0002
个人数据
不适用
0006
地址
01(永久住所),03(家庭住所)
0105
通信
MAIL(电子邮件地址),0010(Internet 地址)
SAPHRActiveSyncAdapter 现在支持 mySAP ERP ECC 5.0 (SAP 5.0)。因此,对“资源配置说明”作了以下更改 (ID-12769):
SAP 资源适配器
以下资源配置说明仅适用于 SAP 资源适配器。
要使用户能更改自己的 SAP 密码,请执行以下步骤:
SAP HR Active Sync 适配器
以下资源配置说明仅适用于 SAP HR Active Sync 适配器。
SAP Application Link Enabling (ALE) 技术支持在 SAP 与外部系统(如 Identity Manager)之间进行通信。SAP HR Active Sync 适配器使用出站 ALE 接口。在出站 ALE 接口中,基本逻辑系统成为出站消息的发送方和入站消息的接收方。在对数据库进行更改(如雇用雇员、更新职位数据、解雇雇员等)时,SAP 用户将有可能登录到基本逻辑系统/客户机。还必须为接收客户机定义逻辑系统/客户机。此逻辑系统将充当出站消息的接收方。对于两个系统之间的消息类型,活动同步适配器将使用 HRMD_A 消息类型。消息类型具有跨系统发送数据的特征,而且与数据的结构有关,也称为 IDoc 类型(如 HRMD_A05)。
以下步骤提供了 SAP 上活动同步适配器接收来自 SAP HR 的授权内容时所需的配置:
注 必须配置 SAP 系统参数才能启用 HRMD_A IDoc 的 Application Link Enabling (ALE)。这允许在两个应用程序系统之间进行数据分发,也称为消息传送。
创建逻辑系统
根据您当前的 SAP 环境,可能不需要创建逻辑系统。您可能只需要修改现有的分发模型,方法是将 HRMD_A 消息类型添加到先前配置的模型视图。不过,一定要按照 SAP 提供的建议来创建逻辑系统和配置 ALE 网络,这一点很重要。以下说明假定您要创建新逻辑系统和新模型视图。
将客户机分配给逻辑系统
- 输入事务代码 SPRO,然后显示 SAP Reference IMGproject(或适用于您组织的项目)。
- 根据您使用的 SAP 版本,执行以下步骤之一:
- 对于 SAP 4.6,单击基本组件 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 将客户机分配给逻辑系统。
- 对于 SAP 4.7,单击 SAP Web 应用服务器 > Application Link Enabling (ALE) > 发送和接收系统 > 逻辑系统 > 将客户机分配给逻辑系统。
- 对于 SAP 5.0,单击 SAP Netweaver > SAP Web 应用服务器 > IDOC Interface/ Application Link Enabling (ALE) > 基本设置 > 逻辑系统 > 将客户机分配给逻辑系统。
- 选择客户机。
- 单击转至 > 详细信息,显示“客户机详细信息”对话框。
- 在“逻辑系统”字段中,输入要分配给此客户机的逻辑系统。
- 在“客户机的更改和传送”部分,单击自动记录更改。
- 保存输入。
创建分发模型
要创建分发模型:
将 RFC 服务器模块注册到 SAP 网关
在初始化过程中,活动同步适配器会注册到 SAP 网关。它会将“IDMRFC”用作其 ID。此值必须与 SAP 应用程序中设置的值相匹配。您必须配置 SAP 应用程序,以便 RFC 服务器模块可以创建一个句柄来处理它。要将 RFC 服务器模块注册为 RFC 目标:
- 在 SAP 应用程序中,转至事务 SM59。
- 展开 TCP/IP 连接目录。
- 单击创建 (F8)。
- 在 RFC 目标字段中,输入 RFC 目标系统的名称。(IDMRFC)。
- 将连接类型设置为 T(通过 TCP/IP 启动外部程序)。
- 输入新 RFC 目标的描述,然后单击保存。
- 对于激活类型,请单击“注册”按钮。
- 设置程序 ID。建议使用与 RFC 目标 (IDMRFC) 相同的值,然后单击“输入”。
- 如果 SAP 系统是 Unicode 系统,则必须为 Unicode 配置端口。单击特殊选项选项卡,寻找“目标系统中的字符宽度”部分。这里有针对 unicode 和非 unicode 的设置。
- 使用位于顶部的按钮(测试连接和 Unicode 测试)测试指向 Identity Manager 资源的连接。必须启动适配器才能通过测试。
创建端口定义
端口是发送 IDoc 的通信通道。端口描述发送系统和接收系统之间的技术链接。您应为此解决方案配置 RFC 端口。要创建端口定义:
修改端口定义
如果生成合作伙伴配置文件,则输入的端口定义可能不正确。要使系统正常工作,您需要修改端口定义。
执行脚本的 JDBC 适配器
Identity Manager 现在提供执行脚本的 JDBC 资源适配器,以支持在任何数据库模式和任何 JDBC 可访问的数据库中对用户帐户进行管理。此适配器还支持活动同步,以轮询数据库中的帐户更改。有关此适配器的详细信息,请参见“Sun Java System Identity Manager 资源参考补充资料”。(ID-12506)
Shell 脚本适配器
Identity Manager 现在提供 Shell 脚本资源适配器,以支持对 Shell 脚本控制的资源进行管理。这些 Shell 脚本运行在资源的宿主系统上。此适配器是一种通用适配器,因此具有高度的可配置性。
Siebel CRM 适配器
现在可以创建和更新需要父/子业务组件导航的 Siebel 对象。这是一种高级功能,在 Identity Manager 中通常不会实现。
此高级导航功能允许您有选择地指定以下创建和更新子业务组件所需的信息:
在创建和更新操作时可以使用高级导航规则。不能将此规则用于其他类型的操作。
要实现 Siebel CRM 适配器的高级导航功能,您必须执行以下任务:
- 将属性添加到资源用户属性(右侧)命名为 PARENT_COMP_ID 的模式映射。
- 使用调试页手动将以下 ResourceAttribute 添加到资源的 XML 文件:
<ResourceAttribute name='AdvancedNavRule'
displayName='Advanced Nav Rule'
value='MY_SIEBEL_NAV_RULE'></ResourceAttribute>
用有效的规则名称替换 MY_SIEBEL_NAV_RULE。
- 编写高级导航规则。此规则将使用两个变量:
resource.action —值必须是 create 或 update。
resource.objectType —为进行正常的帐户维护,此值将为 account。
此规则必须返回含有以下一个或多个名称/值对的映射:
$WSHOME/sample/rules/SiebelNavigationRule.xml 中提供了示例导航规则。
Sun Java System Access Manager 适配器
安装和配置 Sun Java System Access Manager(Access Manager 7.0 之前的版本)
“安装和配置 Sun Java System Access Manager”过程中的步骤 4 和步骤 8 应为如下内容 (ID-13087):
- 创建一个目录,以放置从 Sun Java System Access Manager 服务器复制的文件。在本过程中,此目录叫做 CfgDir。Sun Java System Access Manager 位于
AccessMgrHome。- 将以下文件从 AccessMgrHome 复制到 CfgDir。请不要复制目录结构。
- 在 UNIX 上,可能需要更改 CfgDir 中的 jar 文件的权限,以允许进行通常的读取访问。运行以下命令来更改权限:
chmod a+r CfgDir/*.jar
- 通过以下方式预先设置 Java 类路径:
- 如果您使用的是版本 6.0,则将 Java 系统属性设置为指向 CfgDir。使用与下面一行类似的命令:
java -Dcom.iplanet.coreservices.configpath=CfgDir
- 如果您使用的是版本 6.1 或更高版本,则添加或编辑
CfgDir/AMConfig.properties 文件中的以下几行:com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImplcom.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactorycom.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryption第一行设置 configpath。最后三行更改安全设置。
- 将 CfgDir/am_*.jar 文件复制到 $WSHOME/WEB-INF/lib。如果您使用的是版本 6.0,则还应将 jss311.jar 文件复制到 $WSHOME/WEB-INF/lib 目录。
- 如果 Identity Manager 在 Windows 上运行,并且您使用的是 Identity Server 6.0,则将 IdServer\lib\jss\*.dll 复制到 CfgDir 并将 CfgDir 添加到系统路径。
注 如果 Identity Manager 安装在除 Sun Java System Access Manager 之外的其他系统上,则应在这种环境中检查以下错误条件。在后续尝试中,如果尝试连接到 Sun Java System Access Manager 资源时返回错误
java.lang.ExceptionInInitializerError,后跟 java.lang.NoClassDefFoundError,则应检查不正确或缺少的配置数据。
还应检查 jar 文件中是否有 java.lang.NoClassDefFoundError 所指出的类。预先设置 jar 文件的类路径,此文件包含指向应用服务器上 Java 类路径的类。
安装和配置 Sun Java System Access Manager(传统模式下的版本 7.0 和更高版本)
使用以下步骤安装和配置传统模式的资源适配器。
Sun Java System Communications Services 适配器
Top Secret 适配器
“Identity Manager 资源参考资料”错误地指出 Top Secret 适配器支持重命名帐户。此适配器不支持重命名 Top Secret 帐户。
Identity Manager 调优、故障排除和错误消息补充
- 现在可以使用 com.waveset.task.Scheduler 上的标准跟踪设备来跟踪任务调度程序(如果任务出现问题)。
有关更多信息,请参见“Sun Java System Identity Manager 调优、故障排除和错误消息”中的“跟踪 Identity Manager 服务器”。
- 要调试在特定输入方法下某个级别发生的问题,请考虑在此方法级别进行跟踪。Identity Manager 现在提供只跟踪一个方法及其直接和间接子调用的功能。(ID-14967)
要启用此功能,请使用 subcalls 修饰符设置某个范围的跟踪级别,如下所示:
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
此示例会跟踪级别 4 的 reconcileAccount() 方法和级别 2 的所有子调用。
有关更多信息,请参见“Sun Java System Identity Manager 调优、故障排除和错误消息”中的“定义跟踪配置”。
更正
由于必须为此发行版安装 JDK 1.4.2,在第 1 章“性能调节,优化 J2EE 环境”中有关从 idm\WEB-INF\lib 目录删除 Cryptix jar(cryptix-jceapi.jar 和
cryptix-jce-provider.jar)的说明将不再适用(除非要从 Identity Manager 的上一版本进行升级)。
Identity Manager 部署工具更正
第 7 章: 使用 Identity Manager Web 服务
在“ExtendedRequest 示例”部分提供的 launchProcess 示例已进行如下更正
(ID-13044):launchProcess
以下示例显示 launchProcess 请求的一般格式。
(视图 —处理视图)。ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
使用 helpToolIdentity Manager 6.0 发行版增加了一个新功能,此功能使您可以搜索 HTML 格式的联机帮助和文档文件。此搜索引擎基于 SunLabs "Nova" 搜索引擎技术。
使用 Nova 引擎有两个阶段:索引和检索。在索引阶段,分析输入文档并创建检索阶段使用的索引。在检索阶段,可获取一些包含上下文的“段”,您查询的项即存在于上下文中。段检索进程需要提供原始 HTML 文件,因此这些文件必须存在于搜索引擎可访问的文件系统中。
helpTool 是一个 Java 程序,它执行两个基本功能:
从命令行执行 helpTool,如下所示:
$ java -jar helpTool.jar
usage:HelpTool
-d Destination directory
-h This help information
-i Directory or JAR containing input files, no wildcards
-n Directory for Nova index
-o Output file name
-p Indexing properties file
重新生成/重新创建联机帮助索引
用于联机帮助的 HTML 文件封装在 JAR 文件中。必须将这些文件提取到一个目录下以用于搜索引擎。使用以下步骤:
- 将 helpTool 分发解压缩至临时目录。(详细信息 TBD)
在此示例中,我们将文件提取到 /tmp/helpTool。
- 在 UNIX shell 或 Windows 命令窗口中,将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。
例如,Sun Java System Application Server 的目录可能如下所示:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 将当前工作目录更改为 help/ 目录。
注 从此目录运行 helpTool 很重要,否则将无法正确生成索引。此外,您应通过删除 index/help/ 子目录中的内容来删除旧索引文件。
- 收集用于命令行参数的以下信息:
目标目录:html/help/en_US
注:使用适合安装的语言环境字符串。
输入文件:../WEB-INF/lib/idm.jar
Nova 索引目录:index/help
输出文件名:index_files_help.txt
注:文件名不重要,但是如果此文件已存在,则将退出工具。
索引属性文件:index/index.properties
- 运行以下命令:
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.propertiesExtracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file:index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file:index/help/AL
[15/Dec/2005:13:11:40] MP Partition:1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping:1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
重新生成/重新创建文档索引
使用以下步骤重新生成或重新创建文档索引:
- 将 helpTool 分发解压缩至临时目录。(详细信息 TBD)
在此示例中,我们将文件提取到 /tmp/helpTool。
- 在 UNIX shell 或 Windows 命令窗口中,将此目录更改为 Identity Manager 应用程序在您的 Web 容器中部署的位置。
例如,Sun Java System Application Server 的目录可能如下所示:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 将当前工作目录更改为 help/ 目录。
注 必须从此目录运行 helpTool,否则将无法正确生成索引。此外,您应通过删除 index/docs/ 子目录中的内容来删除旧索引文件。
- 收集用于命令行参数的以下信息:
目标目录:html/docs
输入文件:../doc/HTML/en_US
注:此工具将 en_US/ 目录和子目录复制到目标目录。
Nova 索引目录:index/docs
输出文件名:index_files_docs.txt
注:文件名不重要,但是如果此文件已存在,则将退出工具。
索引属性文件:index/index.properties
- 运行以下命令:
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:13:24:25] PM Making meta file:index/docs/MF: 0
[15/Dec/2005:13:24:25] PM Created active file:index/docs/AL
[15/Dec/2005:13:24:28] MP Partition:1, 192 documents, 38488 terms.
[15/Dec/2005:13:24:29] MP Finished dumping:1 index/docs 0.617
[15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h
[15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067