文件增訂與校正
關於 Identity 系統軟體指南
Identity 系統軟體文件編排為多個指南。這些指南採用 Acrobat (.pdf) 格式,可從 Identity Install Pack CD 上獲得。本發行版本包括以下指南。
Identity 系統軟體
「Install Pack Installation」 (Identity_Install_Pack_Installation_2005Q4M3.pdf) — 說明如何安裝和更新 Identity 系統軟體。
Identity Manager
- 「Identity Manager 管理指南」(IDM_Administration_2005Q4M3.pdf) — 提供 Identity Manager 管理員和使用者介面的簡介。
- 「Identity Manager Upgrade」(IDM_Upgrade_2005Q4M3.pdf) — 提供規劃和執行升級的輔助資訊。
備註
對於此發行版本,將「Identity Manager Technical Deployment」和「Identity Manager Technical Reference」重新組織為以下出版物:
- 「Identity Manager Technical Deployment Overview」 (IDM_Deployment_Overview_2005Q4M3.pdf) — Identity Manager 產品 (包括物件架構) 的概念性簡介以及對基本產品元件的簡介。
- 「Identity Manager Workflows, Forms, and Views」 (IDM_Workflows_Forms_Views_2005Q4M3.pdf) — 說明如何使用 Identity Manager 工作流程、表單和檢視的參照資訊和程序資訊,包括有關自訂這些物件所需工具的資訊。
- 「Identity Manager Deployment Tools」 (IDM_Deployment_Tools_2005Q4M3.pdf) — 說明如何使用不同 Identity Manager 部署工具的參照資訊和程序資訊,包括規則和規則程式庫、一般作業和程序、字典支援以及由 Identity Manager 伺服器提供的基於 SOAP 的 Web 服務介面。
- 「Identity Manager Resources Reference」 (IDM_Resources_Reference_2005Q4M3.pdf) — 說明如何將資源的帳號資訊載入並同步到 Sun Java™ System Identity Manager 的參照資訊和程序資訊。其他配接卡則在 ResourcesRef_Addendum_2005Q4M3SP1.pdf 中進行記錄說明。
- 「Identity Manager Audit Logging」 (IDM_Audit_Logging_2005Q4M3.pdf) — 說明如何將資源的帳號資訊載入並同步到 Sun Java™ System Identity Manager 的參照資訊和程序資訊。
- 「Identity Manager Tuning, Troubleshooting, and Error Messages」 (IDM_Troubleshooting_2005Q4M3.pdf) — 說明 Identity Manager 錯誤訊息和異常,以及為追蹤和疑難排解工作中可能遇到的問題提供說明的參照資訊和程序資訊。
Identity Auditor
「Identity Auditor Administration」 (IDA_Administration_2005Q4M3.pdf) — 提供有關 Identity Auditor 管理員介面的簡介。
Identity Manager Service Provider Edition
- 「Identity Manager Service Provider Edition Administration Addendum」 (SPE_Administration_Addendum_2005Q4M3SP1.pdf) — 介紹 Identity Manager SPE 功能。
- 「Identity Manager Service Provider Edition Deployment」 (SPE_Deployment_2005Q4M3_SP1.pdf) — 提供 Identity Manager SPE 部署資訊。
瀏覽線上指南
使用 [Acrobat 書籤] 功能來瀏覽指南。按一下書籤面板中的小節名稱,可跳至文件中相應小節的位置。
透過在 Web 瀏覽器中瀏覽至 idm/doc,可從任何 Identity Manager 安裝中看到 Identity Manager 文件集。
Install Pack Installation
校正
Preface
在「How to Find Information in this Guide」中移除錯誤的「Appendix H」交互參照。(ID-12369)
Chapter 1:Before You Install
- 從「Supported Resource」表格中移除支援的資源 Microsoft Exchange 5.5。此資源已停用。(ID-12682)
- 在「Supported Resources」表格中新加入支援的資源 Lotus Notes® 6.5.4 (Domino)。(ID-12226)
- 在多個實例中新加入 JDK 1.5 做為支援的 Java 版本。(ID-12984)
- 在「Supported Resources」表格中將 ERP 系統 SAP 資訊修改為:(ID-12635)
- SAP® R/3 v4.5、v4.6
- SAP® R/3 Enterprise 4.7 (SAP BASIS 6.20)
- SAP® NetWeaver Enterprise Portal 2004 (SAP BASIS 6.40)
- SAP® NetWeaver Enterprise Portal 2004s (SAP BASIS 7.00)
- 在「Supported Resources」表格中將 Red Hat 資訊修改為:
- Red Hat Linux Advanced Server 2.1
- Red Hat Linux Enterprise Server 3.0、4.0
- 在「Supported Software and Environments」中新加入「Repository Database Servers」小節以及下列資訊:(ID-12425)
- 適用於 Linux、UNIX® 和 Windows® 平台的 IBM® DB2® Universal Database
(7.x、8.1、8.2 版本)
- Microsoft SQL Server™ 2000
- MySQL™ 4.1
- Oracle 9i® 和 Oracle Database 10g、10gR1 及 10gR2®
Chapter 2: Installing Identity Install Pack for Tomcat
本章現在支援 Apache Tomcat 應用程式伺服器 4.1.x 或 5.0.x 版本。
Chapter 4: Installing Identity Install Pack for WebSphere
- 本章現在說明 Websphere 5.1 Express 和 6.0 的安裝。(ID-12655、12656) 在指定處新加入以下備註和資訊:
備註
以下是安裝 Identity Install Pack 6.0 或更高版本的必要步驟。
4. 變更為中繼目錄,若有以下檔案,請將其刪除:
WEB-INF\lib\cryptix-jce-provider.jar
WEB-INF\lib\cryptix-jce-api.jar
25. 從 WebSphere 下載最新的 jlog package,網址是:
http://www.alphaworks.ibm.com/tech/loggingtoolkit4j
備註
jlog package 現已合併到 WebSphere 的 6.0 版本。只需為較早版本下載 jlog package。
- 由於必須為此發行版本安裝 JDK 1.4.2,因此「For JDK 1.3.x:」小節將不再適用。該章的「For JDK 1.4」小節應變更為「For JDK 1.4.2」。
Chapters 7/8: Installing Identity Install Pack for Sun ONE/Sun Java System Application Server 7/8
- 在「Installation Steps」>「Step 5: Edit the server.policy File」> 範例權限底下新加入以下校正後的資訊:(ID-12292)
permission java.io.FilePermission "/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/ idm/config/trace1.log", "read,write,delete";
permission java.io.FilePermission "$(java.io.tmpdir)$(/)*", "read,write,delete";
- 在「Installation Steps」>「Step 5: Edit the server.policy File」> 範例權限底下新加入以下資訊:
如果您要以 Identity Manager Service Provider Edition 執行,請將以下權限加入上述 server.policy 檔之中。
permission java.lang.RuntimePermission "shutdownHooks";
Chapter 14: UnInstalling Applications
在「Remove the Software」>「On UNIX」> 步驟 3 底下的語法範例中移除 _Version_。(ID-7762)
Chapter 15: Installing The Applications (Manual Installation)
在「Installation Steps」>「Step 3: Configure the Identity Install Pack Index Database Connection」>「Non-Xwindows Environments」> 步驟 3 底下將語法範例校正為:(ID-5821)
3. 使用以下指令設定您的授權金鑰:
cd idm/bin
./lh license set -f LicenseKeyFile
Appendix A: Index Database Reference
將表格項目 SQL Server 底下的語法範例變更為:(ID-12784)
URL:
sqlserver://host.your.com:1433; DatabaseName=dbname;SelectMethod=Cursor
Appendix C: Configuring Data Sources for Identity Manager
- 不支援多重 IIOP URL。(ID-12499) 將「Configuring a WebSphere Data Source for Identity Manager」>「Configuring a Websphere 5 Data Source」>「Configure the DataSource in a Websphere Cluster」底下不正確的資訊移除:
如果應用程式伺服器的連接埠與 BOOTSTRAP_ADDRESS 特性中指定的不同,則 java.naming.provider.url 可指定多重 URL,例如:
iiop://localhost:9812,iiop://localhost:9813。
- WebSphere 版本 5 使用的所有 j2c.properties 現在都成為 WebSphere 版本 6 中 resources.xml 檔的一部分。新加入有關配置 Websphere 5.1/6.x 資料來源和配置 6.x 認證資料的資訊。移除有關配置 Websphere 4.x 資料來源的資訊。(ID-12767) 變更涉及以下小節:
Configuring a JDBC Provider
使用 WebSphere 的管理主控台配置新的 JDBC 提供者。
- 按一下左窗格中的 [資源] 標籤以顯示資源類型清單。
- 按一下 [JDBC 提供者] 以顯示已配置的 JDBC 提供者表。
- 按一下已配置的 JDBC 提供者表上方的 [新增] 按鈕。
- 從 JDBC 資料庫類型清單中選取 jdbc 類型和實作類型。按 [下一步]。
此範例中將使用 Oracle、Oracle JDBC 驅動程式、連線池資料來源。
- 繼續配置一般特性。
- 指定名稱。
- 在 [類別路徑] 欄位中指定包含 JDBC 驅動程式的 JAR 路徑。例如,若要指定 Oracle 精簡型驅動程式,請指定類似於以下路徑的路徑:
/usr/WebSphere/AppServer/installedApps/idm/idm.ear/idm.war/WEB-INF/lib/oraclejdbc.jar
備註
您可以使用管理主控台來指定包含 JDBC 驅動程式的 JAR 路徑。從 [環境] 功能表標籤中,選取 [WebSphere 變數] 功能表項目。在該窗格中,先選擇儲存格、節點及伺服器,為它們定義此環境變數。然後將 JAR 路徑指定為此變數的值。
- 在 [實作類別名稱] 欄位中指定完全合格的 JDBC 驅動程式類別名稱。
- 對於 Oracle 精簡型驅動程式,此值為 oracle.jdbc.pool.OracleConnectionPoolDataSource。
- 對於 db2 jcc 驅動程式,此值為 com.ibm.db2.jcc.DB2ConnectionPoolDataSource
- 也可以將提供者的名稱或說明變更為您選擇的任一名稱或說明。
完成後,請按一下表底部的 [確定] 按鈕。右窗格中應顯示您增加的提供者。
若要配置使用此 JDBC 提供者的資料來源,請參閱「Point the Identity Manager Repository to the Data Source」。
Configuring a Websphere JDBC Data Source
- 使用 WebSphere 管理主控台定義使用現有 JDBC 提供者的資料來源。如果需要定義新 JDBC 提供者與 Identity Install Pack 配合使用,請參閱「Configuring a JDBC Provider」。
您必須先配置認證資料,才能完成對資料來源的配置。這些別名包含用於連線 DBMS 的憑證。
Configure the 5.1 Authentication Data
- 按一下左窗格中的 [安全性] 標籤以顯示安全性配置類型清單。
- 按一下左窗格中的 [JAAS 配置] 標籤以顯示 JAAS 配置類型清單。
- 按一下左窗格中的 [J2C 認證資料] 標籤。右窗格顯示認證資料項目表。
- 按一下認證資料項目表上方的 [新建] 按鈕。右窗格顯示可以配置的一般特性表。
- 配置新認證資料項目的一般特性。請注意以下內容:
然後,配置資料來源。
Configure the 6.x Authentication Data
- 按一下 [安全性] > [全域安全性]。
- 在 [認證] 底下,按一下 [JAAS 配置] > [J2C 認證資料]。將顯示 [J2C 認證資料項目] 窗格。
- 按一下 [新增]。
- 輸入唯一別名、有效使用者 ID、有效密碼及簡短描述 (選擇性)。
- 按一下 [確定] 或 [套用]。不需要驗證使用者 ID 和密碼。
- 按一下 [儲存]。
備註
不需重新啟動應用程式伺服器程序以在資料來源定義中使用新建立的項目,便可看到新建立的項目。但只有在伺服器重新啟動之後,項目才會生效。
Configure the Data Source
備註
如果是在 Websphere 5.x 叢集中配置資料來源,請參閱「Configure the DataSource in a Websphere Cluster」以取得更多資訊。
- 按一下左窗格中的 [資源] 標籤以顯示資源類型清單。
- 按一下 [JDBC 提供者] 以顯示已配置的 JDBC 提供者表。
- 按一下表中的 JDBC 提供者名稱。右窗格顯示為已選取的 JDBC 提供者配置的一般特性表。
- 向下捲動至其他特性表。按一下 [資料來源]。右窗格顯示一個為與此 JDBC 提供者配合使用而配置的資料來源表。
備註
請注意 WebSphere 管理主控台中框架最上方的 [範圍] 欄位。確定 [節點] 和 [伺服器] 是空白的,這樣在 [新增] 和 [刪除] 按鈕下方才會出現供配置使用的儲存格資訊。
- 按一下資料來源表上方的 [新增] 按鈕。右窗格顯示要配置的一般特性表。
- 配置新資料來源的一般特性。請注意以下內容:
- [JNDI 名稱] 是目錄服務中的資料來源物件的路徑。
您必須將此值指定為
setRepo -tdbms -iinitCtxFac -ffilepath 中 -f 引數的值。
- [容器管理式的持續性] 應保留為取消核取狀態。Identity Install Pack 不使用企業 Java Bean (EJB)。
- [元件管理式認證別名] 指向將用於存取 DBMS (此資料來源指向該 DBMS) 的憑證。
- 不使用 [容器管理式認證別名]。將此值設為 (none)。Identity Install Pack 將自行連線 DBMS (此資料來源指向該 DBMS)。
- 配置完此面板後按一下 [確定]。[資料來源] 頁面顯示。
- 按一下您建立的資料來源。然後向下捲動至接近底部的其他特性表。按一下 [自訂特性] 連結。
右窗格顯示 DBMS 特定特性表。
- 配置此資料來源的自訂特性。按一下每個特性的連結以設定其值。請注意以下內容:
- [URL] 是唯一的必需特性。此資料庫 URL 識別資料庫實例,且包含 driverType、serverName、portNumber 和 databaseName。您也可以將其中某些特性指定為個別特性。
- 此範例中的 [driverType] 為精簡型。
- [serverName] 為主機名稱 (或 IP 位址)。
- [databaseName] 通常是一個較短的資料庫名稱。
- 對於 Oracle,預設 [portNumber] 為 1521。
- [preTestSQLString] 可能需要配置為 SELECT 1 FROM USEROBJ 之類的值。此 SQL 查詢確認 USERJOB 表是否存在並且可以存取。
- 如果要出於效能調校的目的配置附加特性,還可以從附加特性表中按一下 [連線池] 連結。
Appendix E: Configuring JCE
應出現類似於以下文字的備註:
備註
由於必須為此發行版本安裝 JDK 1.4.2,因此所有支援的環境現在都應包含 JCE 1.2,並且此附錄中的資訊將不再適用。
增訂
Chapter 1: Before You Install
- 在「Setup Task Flow」>「Bullet Install and configure the Identity Install Pack software」底下新加入以下備註:(ID-8431)
備註
在 Unix 或 Linux 系統上:
- 安裝 Identity Install Pack 版本 5.0 - 5.0 SP1 時,必須存在 /var/tmp,且執行安裝程式的使用者可以寫入它。
- 安裝 Identity Install Pack 版本 5.0 SP2 和更高版本時,必須存在 /var/opt/sun/install,且執行安裝程式的使用者可以寫入它。
- 為「Prerequisite Tasks」>「Set Up an Index Database」>「Setting Up SQL Server」> 步驟 3b 新加入以下備註:(ID-11835)
備註
$WSHOME/WEB-INF/lib 目錄中需有下列檔案:
db2jcc
db2jcc_license_cisuz.jar or db2jcc_license_cu.jar
- 在 「Supported Software and Environments」>「Application Servers」底下新加入以下備註:(ID-12385)
備註
您目前的應用程式伺服器容器必須支援 UTF-8。
Chapter 2: Installing Identity Install Pack for Tomcat
- 為「Installation Steps」>「Step 1: Install the Tomcat Software」>「Installing on UNIX」新加入以下步驟:(ID-12487)
2. 將 mail.jar 和 activation.jar Java 檔加入 ./tomcat/common/lib 目錄。郵件和啟動 jar 檔位於:
http://java.sun.com/products/javamail
http://java.sun.com/products/beans/glasgow/jaf.html
- 為「Installation Steps」>「Step 1: Install the Tomcat Software」>「Installing on UNIX」新加入以下步驟:(ID-12462)
3. 安裝 Tomcat 以支援 UTF-8 時,將 URIEncoding="UTF-8" 屬性加入 TOMCAT DIRconf/server.xml 檔中的 connector 元素,例如:
<!-- Define a non-SSL Coyote HTTP/1.1 Connector on the port specified during installation -->
<Connector port="8080"
��maxThreads="150"
��minSpareThreads="25"
��maxSpareThreads="75"
��enableLookups="false" redirectPort="8443"
��acceptCount="100" debug="0" connectionTimeout="20000"
��disableUploadTimeout="true"
��URIEncoding="UTF-8" />
4. 配置 Tomcat 以支援 UTF-8 時,在您的 java vm 選項中也加入
「-Dfile.encoding=UTF-8」。
Chapter 13: Updating Identity Manager
新加入「Identity Manager Upgrade」的交互參照,協助使用者尋找完整的升級資訊。(ID-12366)
Chapter 15: Installing The Applications (Manual Installation)
在「Installation Steps」>「Step 2: Install the Application Software」底下新加入以下備註:(ID-8344)
備註
自 5.0 SP3 發行版本開始,idmadapter.jar 檔中就包含配接卡類別。若有自訂的配接卡,就必須更新類別路徑。
Appendix B: Configuring MySQL
在「Configuring MySQL」> 步驟 3「Start the MySql process」底下新加入以下資訊:(ID-12461)
如果尚未啟動此程序,請使用以下步驟註冊和啟動 MySQL。
在 Windows 系統上,若您是在 c:\mysql 以外的目錄中安裝,則建立包含以下內容且名為 c:\my.cnf 的檔案:
[mysqld]
basedir=d:/mysql/
default-character-set=utf8
default-collation=utf8_bin
在 Windows 上,安裝並啟動服務:
cd <MySQL_Install_Dir>/bin
mysqld-nt --install
net start mysql
Appendix C: Configuring Data Sources for Identity Manager
在「Configuring a WebSphere Data Source for Identity Manager」>「Point the Identity Manager Repository to the Data Source」底下新加入以下資訊:(ID-12071)
8. 將儲存庫指向新位置。例如:
lh -Djava.ext.dirs=$JAVA_HOME/jre/lib/ext:$WAS_HOME/lib setRepo
-tdbms -iinitCtxFac
-ffilepath -uiiop://localhost:bootstrap_port
-Uusername
-Ppassword
-toracle icom.ibm.websphere.naming.WsnInitialContextFactory -fDataSourcePath
在以上範例中,DataSourcePath 可以是 jdbc/jndiname。bootstrap_port 是 WebSphere 伺服器啟動程式位址連接埠。
-Djava.ext.dirs 選項將 WebSphere 的 lib/ 和 java/jre/lib/ext/ 目錄中的所有 JAR 檔加入 CLASSPATH。這對於 setrepo 指令的正常執行是非常必要的。
請變更 -f 選項,以使其與在配置資料來源時為 [JNDI 名稱] 欄位指定的值相符。請參閱「setrepo Reference」,以取得此指令的更多資訊。
Identity Manager Upgrade
增訂
Chapter 1: Upgrade Overview
在「Example Upgrade」小節中新加入以下內容:(ID-12467)
編輯 [角色表單] 中的超級角色欄位時需格外小心。超級角色本身可以是巢式角色。超級角色和子角色欄位指出角色的巢式關係以及角色相關聯的資源或資源群組。套用到使用者時,超級角色則包括與任何指定子角色相關聯的資源。顯示的超級角色欄位指明包含所顯示角色的角色。
Chapter 3: Develop the Upgrade Plan
在「Upgrade From Identity Manager 5.x to 6.x」小節中新加入以下內容。(ID-12361)
步驟 2:更新儲存庫資料庫模式
Identity Manager 6.0 中的模式變更包括引入作業、群組、組織及 syslog 表的新表格。您必須建立這些新表格結構,並移除現有的資料。
備註
更新儲存庫模式之前,先將您的儲存庫表格做完整的備份。
- Identity Manager 使用兩個表格儲存使用者物件。範例程序檔 (位於 sample 目錄) 可用於進行模式變更。
請參閱 sample/upgradeto2005Q4M3.DatabaseName 程序檔,更新您的儲存庫表格。
備註
這與 MySQL 資料庫的更新有很大關係。請參閱 sample/upgradeto2005Q4M3.mysql,以取得進一步資訊。
Identity Manager 管理指南
增訂
- 如果已配置生效,則建立使用者會建立可在 [核准] 標籤中檢視的工作項目。核准此項目會覆寫生效日期並建立帳號;拒絕此項目會取消帳號的建立。
- 排定協調時,您現在可以提供用於自訂排程的規則名稱。例如,規則可以將排定於星期六的協調推遲至下個星期一。(ID-11391)
第 4 章:管理
委託核准
如果您具有核准人權能,則可以在指定的未來某段時間內將核准請求委託給一個或多個使用者(受委託人)。使用者無需核准人權能即可受委託。
委託功能僅適用於未來的核准請求。現有請求 ([正在等待核准] 標籤下列出的請求) 透過轉寄功能進行轉寄。
若要設定委託,請在 [核准] 區域中選取 [委託我的核准] 標籤。
備註
- 如果您具有任何指定的權能,其授予您對工作項目或工作項目的任何 authType 延伸 (包括 Approval、OrganizationApproval、ResourceApproval 以及 RoleApproval),或者延伸工作項目或其 authType 之一的任何自訂子類型的委託權限,則您可以存取委託功能。
- 您也可以從 [建立使用者]/[編輯使用者]/[檢視使用者] 頁面的 [安全性] 表單標籤,以及使用者介面主功能表委託核准。
受委託人可以在有效的委託期間代表您核准任何請求。委託的核准請求會包含受委託人的名稱。
請求的稽核記錄項目
如果已委託請求,則已核准和已拒絕之核准請求的稽核記錄項目會包含您 (委託人) 的名稱。當建立或修改使用者時,對使用者委託核准人資訊的變更將記錄在稽核記錄項目的詳細變更區段中。
第 5 章:配置
根據資源變更配置身份識別屬性
身份識別屬性定義了資源上屬性彼此間的關係。建立或修改資源時,會影響這些屬性關係。
儲存資源時,Identity Manager 會顯示 [配置身份識別屬性?] 頁面。在該頁面上,您可以選擇:
- 繼續向前進入 [根據資源變更配置身份識別屬性] 頁面,並配置屬性。按一下 [是] 繼續。
- 返回資源清單。按一下 [否] 返回。
- 停用此頁面以便將來更新資源。按一下 [不要再詢問我] 以停用頁面。
備註
只有具修改 MetaView 權能的使用者才能夠看到 [不要再詢問我] 按鈕。
重新啟動 [配置身份識別屬性?]頁面
若此頁面已停用,則使用以下方法之一將其重新啟動:
- 使用 Identity Manager 除錯設備來編輯登入使用者的 WSUser 物件。將 idm_showMetaViewFromResourceChangesPage 特性的值變更為 true。
- 在使用者表單 (例如,「標籤式使用者表單」) 中加入類似以下範例的欄位,然後在 [編輯使用者] 頁面中變更此設定的值:
<Field name='accounts[Lighthouse].properties.displayMetaViewPage'>
<Display class='Checkbox'>
<Property name='label' value='Display Meta View?'/>
</Display>
</Field>
配置屬性
在 [根據資源變更配置身份識別屬性] 頁面中,從修改後資源的模式對映中選取屬性,用來做為身份識別屬性的來源和目標。在部分情況下,無法選取 [來源] 與 [目標] 欄中的屬性。如果有下列情況,就無法選取屬性做為來源:
- 在模式對映中,屬性被標示為加密
- 在模式對映中,屬性被標示為唯寫
如果有下列情況,就無法選取屬性做為目標:
- 有一個全域儲存的同名身份識別屬性。例如,有一個全域身份識別屬性名為「firstname」,則選取 firstname 目標選項後就不能再取消選取。
- 在模式對映中,屬性被標示為唯讀。
- 資源的建立和變更帳號功能已停用,或不被資源所支援。
第 7 章:安全性
限制同步運作的登入階段作業
依預設,Identity Manager 使用者可以具有同步運作的登入階段作業。不過,您可以透過變更系統配置物件中 security.authn.singleLoginSessionPerApp 配置屬性的值,來將同步運作階段作業限制為每個登入應用程式一個。該屬性是一個物件,針對每個登入應用程式名稱 ( 例如,管理員介面、使用者介面或 BPE) 其中都包含一個屬性。將該屬性的值變更為 true 會強制每個使用者具有單一登入階段作業。
如果已強制,則使用者可以登入多個階段作業;但是,僅最後登入的階段作業保持使用中狀態並且有效。如果使用者對無效的階段作業執行動作,則會自動強制其退出階段作業,並且階段作業會終止。
第 8 章:報告
在「摘要報告」小節,使用者報告的說明中現在包括了按管理員搜尋使用者的功能:(ID-12690)
第 10 章:PasswordSync
- 新加入關於以 Sun JMS 伺服器配置 Windows PasswordSync 的說明。請參閱此版本說明隨附的「Configuring PasswordSync with a Sun JMS Server」文件。(ID-11788)
- 新加入以下小節,描述具備容錯移轉功能的 PasswordSync 高可用性架構。(ID-12634)
- 新加入一個小節,描述如何在不使用 Java Messaging Server 的情況下實作 PasswordSync。(ID-14974)
Windows PasswordSync 的容錯移轉部署
PasswordSync 的架構有助於消除 Identity Manager 之 Windows 密碼同步化部署中的任何單一故障點。
如果您將每個 Active Directory 網域控制器 (Active Directory Domain Controller, ADC) 配置為透過負載平衡器連線到一系列 JMS 用戶端之一 (見下圖),則 JMS 用戶端可以向 Message Queue 代理程式叢集傳送訊息,以確保有 Message Queue 發生故障時不會遺失訊息。
備註
Message Queue 叢集可能需要一個用於保留訊息的資料庫。(在供應商的產品文件中應提供有配置 Message Queue 代理程式叢集的說明。)
執行配置為自動容錯移轉之 JMS 偵聽程式配接卡的 Identity Manager 伺服器將連絡 Message Queue 代理程式叢集。儘管該配接卡每次僅在一個 Identity Manager 上執行,但是如果主 ActiveSync 伺服器失敗,伺服器發生故障,則該配接卡將開始在次要 Identity Manager 伺服器上輪詢密碼相關訊息,並將密碼變更向外傳播到下行流程的資源。
不使用 Java Messaging Service 的情況下實作 PasswordSync
要在不使用 JMS 的情況下實作 PasswordSync,可用以下旗標啟動配置應用程式:
Configure.exe -direct
指定 -direct 旗標後,配置應用程式會顯示 [使用者] 標籤。按「配置 PasswordSync」中說明的程序配置 PasswordSync,但下列幾點除外:
- 請勿配置 [JMS 設定] 和 [JMS 特性] 標籤。
- 在 [使用者] 標籤中,指定連線 Identity Manager 時要使用的帳號 ID 和密碼。
若是在不使用 JMS 的情況下實作 PasswordSync,則不需要建立 JMS 偵聽程式配接卡。因此,您應略過「部署 PasswordSync」中列出的程序。如果您要設定通知,可能需要改變「變更使用者密碼」的工作流程。
備註
若在之後執行配置應用程式時沒有指定 -direct 旗標,則 PasswordSync 需要配置 JMS。以 -direct 旗標重新啟動應用程式,以再次略過 JMS。
校正
第 5 章:資源
在自訂資源類別表格中,ClearTrust 資源配接卡的自訂資源類別已校正如下:(ID-12681)
com.waveset.adapter.ClearTrustResourceAdapter
第 10 章:PasswordSync
在「配置 PasswordSync」小節的「JMS 設定對話方塊」底下,佇列名稱的描述校正如下:
lh 參照
指令語法已經更新,正確指明在指定選項後有一個空格。(ID-12798)
使用 -p 選項時,基於安全性理由,應將 Password 指定為路徑,指向包含密碼的文字檔,而不是在指令行中直接指定密碼。
範例
- lh com.waveset.session.WavesetConsole
- lh console
- lh console -u $user -p PathtoPassword.txt
- lh setup -U Administrator -P PathtoPassword.txt
- lh setRepo -c -A Administrator -C PathtoPassword.txt
- lh setRepo -t LocalFiles -f $WSHOME
license 指令
用法
license [options] { status | set {parameters} }
選項
- -U username (如果重新命名了 Configurator 帳號)
- -P PathtoPassword.txt (如果變更了 Configurator 密碼)
set 選項的參數必須為 -f File 形式。
Identity Manager Workflows, Forms, and Views
Chapter 1: Workflows
本章中手動操作的討論應包含下列資訊:
若工作項目的 [itemType] 設為精靈,依預設,當離開 WorkItem 檢視時,工作項目會略過取得轉寄核准人的程序。若 itemType 不是精靈,則 Identity Manager 仍會擷取轉寄核准人,除非 CustomUserList 設為 true 以做為與手動操作配合使用之表單的特性。(ID-10777)
若要執行這個動作,請在表單中包含以下程式碼:
<Form>
<Properties>
Property name='CustomUserLists' value='true'/>
</Properties>
Chapter 2: Workflow Services
Identity Manager 提供的 checkStringQualityPolicy 工作流程服務方法,可以針對字串策略檢查指定字串的值。(ID-12428、12440)
|
名稱
|
是否必需
|
有效值
|
說明
|
|
policy
|
是
|
|
識別策略 (字串)
|
|
map
|
否
|
|
提供字串不得包含之資料的對映。(對映)
returnNull -- (選擇性) 若設為 true,則方法會在成功時傳回空物件。
|
|
value
|
是
|
|
指定要檢查的字串的值。(物件)
|
|
pwdhistory
|
否
|
|
以大寫字母、加密格式列出使用者的舊密碼。
|
|
owner
|
是
|
|
識別檢查的字串值所屬的使用者。
|
方法將傳回 checkPolicyResult 物件。true 值表示字串通過策略測試。如果字串沒有通過策略測試,方法會傳回錯誤訊息。如果在 map 參數上將 returnNull 選項設為 true,方法會在成功時傳回空物件。
Chapter 3: Forms
Identity Manager 可以識別顯示中是否需要資源的模式對映中的屬性。[編輯使用者] 表單可以用 * (星號) 識別這些屬性。依預設,Identity Manager 在屬性名稱後的文字欄位之後顯示該星號。(ID-10662)
若要自訂星號的位置,請遵循以下步驟:
- 使用 Identity Manager BPE 或您選擇的 XML 編輯器,開啟 [元件特性] 配置物件。
- 將 EditForm.defaultRequiredAnnotationLocation=left 加入 <SimpleProperties> 標籤。
defaultRequiredAnnotationLocation 的有效值包括 left、right 和 none。
- 儲存變更,然後重新啟動應用程式伺服器。
Chapter 4: FormUtil Methods
- Identity Manager 提供的 checkStringQualityPolicy FormUtil 方法,可以針對字串策略檢查指定字串的值。(ID-12428、12440)
checkStringQualityPolicy(LighthouseContext s, String policy, Object value, Map map, List pwdhistory, String owner)
|
參數
|
說明
|
|
LighthouseContext
|
指定目前使用者的 Lighthouse 環境。
|
|
policy
|
(必要) 指定測試字串時所針對的策略的名稱。
|
|
value
|
(必要) 識別要檢查的字串值。
|
|
map
|
(選擇性) 提供字串不得包含之資料的對映。
returnNull -- (選擇性) 若設為 true,則方法會在成功時傳回空物件
|
|
pwdhistory
|
(選擇性) 以大寫字母、加密格式列出使用者的舊密碼。
|
|
owner
|
(必要) 識別檢查的字串值所屬的使用者。
|
此方法傳回的 true 值表示字串通過策略測試。如果字串沒有通過策略測試,方法會傳回錯誤訊息。如果在 map 參數上將 returnNull 選項設為 true,方法會在成功時傳回空物件。
- Identity Manager 現在提供 controlsAtLeastOneOrganization FormUtil 方法。(ID-9260)
controlsAtLeastOneOrganization(LighthouseContext s, List organizations)
throws WavesetException {
決定目前已取得認證的使用者是否可以控制在一個或多個組織 (ObjectGroup) 名稱清單中指定的任何組織。支援的組織清單包括透過列出所有 ObjectGroup 類型的物件而傳回的內容。
|
參數
|
說明
|
|
s
|
指定目前使用者的 Lighthouse 環境 (階段作業)。
|
|
organizations
|
指定一個或多個組織名稱的清單。支援的組織清單包括透過列出所有 ObjectGroup 類型的物件而傳回的內容。
|
此方法會傳回:
true – 表示目前已取得認證的 Identity Manager 使用者可以控制清單中的任何組織。
false – 表示目前已取得認證的 Identity Manager 使用者不可以控制清單中的任何組織。
Chapter 5: Views
帳號類型
此發行版本的 Identity Manager 可以指定使用者在資源中有不同帳號類型的多個帳號。(ID-12697) 現在,當您指定資源給使用者時,可以指定資源的帳號類型,但有以下限制:
- 資源的每個帳號可有一種 (只能有一種) 類型。
- 使用者通常只有一個指定類型的帳號。
管理員必須先定義資源的帳號類型,才可以建立其與資源的關聯。也必須定義 IdentityRule。(如需身份識別規則的範例,請參閱 samples/identityRules.xml。)
Identity Manager 使用 IdentityRule 子類型來建立規則與帳號類型之間的關聯。此規則根據需要產生 accountId。(這些規則的運作方式與身份識別範本類似,但是在 XPRESS 中實作,並且可以存取 LighthouseContext API)。
請查閱「Identity Manager 管理指南」,瞭解有關如何使用 Identity Manager 管理員介面為資源指定帳號類型的討論。
略過帳號類型
如果您略過資源的帳號類型,Identity Manager 會指定具向下相容能力的預設帳號類型。然而,若所有資源皆沒有定義帳號類型,便會停用此功能。
預設帳號類型使用身份識別範本。但是,您也可以指定預設類型使用指定的規則,而非身份識別範本。
預設帳號類型是唯一的,使用者可以指定多個該類型的帳號。不過,實際操作時的建議是最好不要指定多個相同類型的帳號。
與檢視相關的變更
Identity Manager 檢視的以下變更支援帳號類型。
- 現在,[資源] 檢視具有 accountType 屬性 (清單)。每個
項目皆為具有 identityRule 屬性的物件,該屬性可命名
此帳號類型的 accountId 產生規則。
- [角色] 和 [應用程式] 檢視的 resources 屬性現在可以使用合格的資源指定。這些合格指定的語法是 <resource name>|<account type>。
- [使用者] 檢視現在包含 waveset.resourceAssignments 屬性,用來擷取合格的資源指定。(waveset.resources 只包含不合格的參照。) 兩個屬性都可以變更,但實際操作時的建議是只使用 waveset.resourceAssignment 進行更新,而 waveset.resources 用於唯讀目的。)
雖然新增了該功能,但 [使用者] 檢視 accounts屬性中物件的存取方式仍沒有改變。使用合格的資源名稱來索引 accounts 清單 (例如,accounts[resource|type] 會選取符合該資源和類型組合的資源帳號。如果沒有指定類型,仍可以用 accounts[resource] 存取這些物件。)
- 包括 [取消佈建] 和 [變更密碼] 在內的相關檢視也使用此類定址方式。此清單中的物件現也具有一個新屬性 accountType,用來指定資源帳號的帳號類型。
委託核准人檢視
使用此檢視可以將一個或多個 Identity Manager 使用者指定為現有核准人的委託核准人。這使得核准人可以在指定的一段時間內將他的核准權能委託給使用者,這些使用者本身原來可能不是核准人。高層級的屬性包括:(ID-12754)
備註
[使用者] 檢視也包含這些屬性 (但 name 屬性除外)。這些新屬性包含在 accounts[Lighthouse].namespace 之中。
name
識別進行委託核准的使用者。
delegateApproversTo
指定要將核准委託給哪一位使用者,有效值包括 manager、selectedUsers 或 delegateApproversRule。
delegateApproversSelected
- 如果 delegateApproversRule 的值是 selectedUsers,則列出選取的使用者名稱。
- 如果 delegateApproversTo 的值是 delegatedApproversRule,則識別選取的規則。
- 如果 delegateApproversTo 的值是 manager,則此屬性沒有值。
delegateApproversStartDate
指定核准委託的開始日期。依預設,所選開始日期的具體時間是當天的凌晨 12:01。
delegateApproversEndDate
指定核准委託的結束日期。依預設,所選結束日期的具體時間是當天的晚間 11:59。
[角色] 檢視文件已經更新,具體內容如下。(ID-12390)
角色檢視
用於定義 Identity Manager 角色物件。
登入後,此檢視會啟動管理角色工作流程。依預設,此工作流程只確認儲存庫的檢視變更,但它也會攔截核准和其他自訂設定。
下表列出了此檢視的高層級屬性。
|
屬性
|
可編輯?
|
資料類型
|
是否必需
|
|
name
|
讀取/寫入
|
字串
|
是
|
|
resources
|
讀取/寫入
|
清單
|
否
|
|
applications
|
讀取/寫入
|
清單
|
否
|
|
roles
|
讀取/寫入
|
清單
|
否
|
|
assignedResources
|
讀取/寫入
|
清單
|
否
|
|
notifications
|
讀取/寫入
|
清單
|
否
|
|
approvers
|
讀取/寫入
|
清單
|
否
|
|
properties
|
讀取/寫入
|
清單
|
|
|
organizations
|
讀取/寫入
|
清單
|
是
|
表 1. 角色檢視屬性
name
識別角色的名稱。這與 Identity Manager 儲存庫中角色物件的名稱相對應。
resources
指定在本機指定的資源的名稱。
applications
指定在本機指定的應用程式 (資源群組) 的名稱。
roles
指定在本機指定的角色的名稱。
assignedResources
透過資源、應用程式、角色指定的所有資源的平面清單。
|
屬性
|
可編輯?
|
資料類型
|
|
resourceName
|
|
字串
|
|
name
|
|
字串
|
|
attributes
|
|
物件
|
resourceName
識別指定資源的名稱。
name
識別資源名稱或 ID (最好是 ID)。
attributes
識別資源的特性。所有子屬性都是字串並且可以編輯。
|
屬性
|
說明
|
|
name
|
資源屬性的名稱
|
|
valueType
|
為此屬性設定的值的類型。允許的值包括「角色」、「文字」或「無」。
|
|
requirement
|
此屬性所設定的值的類型。允許的值包括「角色」、「文字」、「無」、「值」、「與值合併」、「從值移除」、「與值合併,清除現有」、「授權設定值」、 「授權與值合併」、「授權與值合併,清除現有」。
|
|
rule
|
若值類型為「規則」,則指定規則名稱。
|
|
value
|
若規則類型為「文字」,則指定值。
|
表 2. 屬性選項 (角色檢視)
- notifications -- 列出管理員的名稱,此處的管理員必須核准是否將該角色指定給使用者。
- approvers -- 指定核准人的名稱,此處的核准人必須核准是否將該角色指定給使用者。
- properties -- 識別儲存在該角色中的使用者定義的特性。
- organizations -- 列出該角色成員所屬的組織。
- [資源帳號] 檢視 ([取消佈建] 檢視、[停用] 檢視、[啟用] 檢視、[密碼] 檢視、[重新命名使用者] 檢視、[重新佈建] 檢視、[解除鎖定] 檢視) 現在支援兩個新的檢視選項,可用來擷取使用者的資源帳號屬性。(ID-12482)
- fetchAccounts – (布林值) 使檢視針對指定給使用者的資源,納入帳號屬性。
- fetchAccountResources – 列出資源名稱的擷取來源。如果沒有指定,會使用所有指定的資源。
您可以輕鬆地將這些選項設為表單特性。(如需更多資訊,請參閱本指南中「Views」一章的 [WorkItem List view])。
Chapter 6: XPRESS Language
- 目前在「XPRESS language」一章中沒有說明 instanceOf 函數。此函數可識別物件是否是 name 參數所指定類型的實例。(ID-12700)
name – 識別檢查時依據的物件類型。
根據子表示式物件是否為 name 參數所指定類型的實例,此函數會傳回 1 或 0 (true 或 false)。
以下表示式會傳回 1,因為 ArrayList 是 List
<instanceof name='List'>
<new class='java.util.ArrayList'/>
</instanceof>
Chapter 8: HTML Display Components
- SortingTable 元件的說明已修改如下:
用來建立一種表格,表格的內容可依欄標題排序。子元件決定了此表格的內容。每一欄 (由 columns 特性定義) 建立一個子元件。通常,欄是包含在 FieldLoop 之中。
在描繪表格的儲存格時,此元件會遵從子元件的 align、valign 和 width 特性。(ID-12606)
- Identity Manager 現在提供 InlineAlert 顯示元件。(ID-12606)
顯示錯誤、警告、成功或資訊性警示方塊。此元件通常位於頁面的最上方。將子元件定義為 InlineAlert$AlertItem 類型,就可以在單一警示方塊中顯示多則警示。
此顯示元件的特性包括:
- alertType – 指定要顯示的警示類型。此特性決定了要使用的樣式和影像。有效值包括 error、warning、success 及 info。此特性的預設值是 info。此特性只對 InlineAlert 有效。
- header – 指定警示方塊顯示的標題。可以是字串或訊息物件。此特性只對 InlineAlert 或 InlineAlert$AlertItem 有效。
- value – 指定要顯示的警示訊息。其值可以是字串或訊息物件。此特性只對 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkURL – 指定要顯示在警示最下方的選擇性 URL。此特性只對 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkText – 指定 linkURL 的文字。可以是字串或訊息物件。此特性只對 InlineAlert 或 InlineAlert$AlertItem 有效。
- linkTitle – 指定 linkURL 的標題。可以是字串或訊息物件。此特性只對 InlineAlert 或 InlineAlert$AlertItem 有效。
範例
單一警示訊息
<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='warning'/>
<Property name='header' value='Data not Saved'/>
<Property name='value' value='The data entered is not yet saved.
Please click Save to save the information.'/>
</Display>
</Field>
多則警示訊息
alertType 只能在 InlineAlert 特性中定義 。 其他特性可以在 InlineAlert$AlertItems 中定義。
<Field>
<Display class='InlineAlert'>
<Property name='alertType' value='error'/>
</Display>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Server Unreachable'/>
<Property name='value' value='The specified server could not
be contacted. Please view the logs for more information.'/>
<Property name='linkURL' value='viewLogs.jsp'/>
<Property name='linkText' value='View logs'/>
<Property name='linkTitle' value='Open a new window with
the server logs'/>
</Display>
</Field>
<Field>
<Display class='InlineAlert$AlertItem'>
<Property name='header' value='Invalid IP Address'/>
<Property name='value' value='The IP address entered is
in an invalid subnet. Please use the 192.168.0.x subnet.'/> </Display>
</Field>
</Field>
- Identity Manager 現在提供 Selector 顯示元件。(ID-12729)
提供一個單值或多值的欄位 (分別類似 Text 或 ListEditor 元件),並且下方具有搜尋欄位。執行搜尋後,Identity Manager 會在搜尋欄位下方顯示結果,並將結果寫入值欄位中。
和其他容器元件不同,Selector 有一個值 (即我們以搜尋結果填入的欄位)。包含的欄位通常是搜尋條件欄位。Selector 實作一個特性以顯示搜尋結果的內容。
特性包括:
- fixedWidth – 指定元件是否有固定寬度 (與 Multiselect 行為相同)。(布林值)
- multivalued – 指明值是清單還是字串。(此特性的值決定是為該值描繪 ListEditor 還是 Text 欄位)。(布林值)
- allowTextEntry – 指明值是必須從提供的清單中選取還是可以手動輸入。(布林值)
- valueTitle – 指定 value 元件上要使用的標籤。(字串)
- pickListTitle – 指定 picklist 元件上要使用的標籤。(字串)
- pickValues – picklist 元件的可用值 (若為空值,則不顯示 picklist)。(清單)
- pickValueMap – picklist 之值的顯示標籤對映。(對映或清單)
- sorted – 指明 picklist 中的值應該進行排序 (若有多個值但是沒有排序,也會對值清單進行排序)。(布林值)
- clearFields – 列出選取 [清除] 按鈕時應該重設的欄位。(清單)
以下特性只有在多值的元件中有效:
- ordered – 指明值的順序很重要。(布林值)
- allowDuplicates – 指明值清單是否可包含重複項目。(布林值)
- valueMap – 提供清單之值的顯示標籤對映。(對映)
這些特性僅在單值的元件中有效:
- nullLabel – 指定一個用於指示空值的標籤。(字串)
- 已經修訂有關 Select 和 MultiSelect 元件的說明,新加入了針對 caseInsensitive 特性的討論,具體內容如下。(ID-13364)
MultiSelect 元件
顯示可在其中進行多個選擇的物件,Identity Manager 會將其顯示為兩個緊鄰的文字選擇方塊,其中一個方塊中是定義好的值集,這些值可以移到另一個方塊中。在左側方塊中的值是由 allowedValues 特性定義,通常是透過呼叫 Java 方法 (如 FormUtil.getResources) 動態取得這些值。在右側的多選項方塊中所顯示的值則來自相關聯檢視屬性(由欄位名稱加以識別)的目前值。
使用 availabletitle 和 selectedtitle 特性,可以設定此多選項物件中每個方塊的表單標題。
若要使 MultiSelect 元件不使用 applet,則將 noApplet 特性設為 true。
備註
在執行 Safari 瀏覽器的系統上執行 Identity Manager 時,必須自訂所有包含 MultiSelect 元件的表單以設定 noApplet 選項。設定此選項如下:
<Display class='MultiSelect'>
<Property name='noApplet' value='true'/>
...
此顯示元件的特性包括:
- availableTitle – 指定可用方塊的標題。
- selectedTitle – 指定所選方塊的標題。
- ordered – 定義是否可以在文字方塊的項目清單中向上或向下移動所選項目。true 值表示將描繪額外的按鈕,以允許向上或向下移動所選項目。
- allowedValues – 指定與多選項物件左側方塊相關聯的值。此值必須為字串清單。備註: <Constraints> 元素可用來寫入此方塊,但目前已停用該元素。
- sorted – 指定兩個方塊中的值都按照字母順序排序。
- noApplet – 指定以 applet 還是一對標準 HTML 選取方塊實作 MultiSelect 元件。預設是使用 applet,它比較善於處理較長的值清單。如需在執行 Safari 瀏覽器的系統上使用此選項的相關資訊,請參閱上述一則備註。
- typeSelectThreshold – (僅在 noApplet 特性設為 true 時可用。) 控制隨打即找的選取方塊是否出現在 allowedValue 清單下。當左側選取方塊中的項目數達到此特性定義的臨界值時,選取方塊下方便會出現額外的文字輸入欄位。當您在此文字欄位中鍵入字元時,選取方塊會捲動至相符的項目 (如果存在的話)。例如,若輸入 w,選取方塊會捲動至以 w 開頭的第一個項目。
- width – 指定所選方塊的寬度,以像素為單位。預設值為 150。
- height – 指定所選方塊的高度,以像素為單位。預設值為 400。
- caseInsensitive -- 用於執行大小寫不需相符的比較。
Select 元件
顯示單選項物件。清單方塊中的值必須由 allowedValues 特性提供。
此顯示元件的特性包括:
- allowedValues – 指定要顯示在值方塊中的可選取值清單。
- allowedOthers – 若設定了此特性,則表示不在 allowedValues 清單中的初始值也應被容許,並可在無訊息提示的情況下加入該清單。
- autoSelect – 若設定為 true,則當該欄位的初始值為空時,憑藉此特性會自動選取 allowedValues 清單中的第一個值。
- caseInsensitive -- 用於執行大小寫不需相符的比較。
- multiple – 若設定為 true,則表示可選取多個值。
- nullLabel – 指定未選取值時,要顯示在清單方塊最上方的文字。
- optionGroupMap – 允許選擇器使用 <optgroup> 標籤,以群組方式描繪選項。將對映格式化,使對映的關鍵字成為群組標籤,且元素成為可選取項目清單。(值必須是 allowedValues 的成員,才可以描繪。)
- size – (選擇性) 指定顯示的最大列數。若列數超過此大小,則會加上捲動軸。
- sorted – 若設定為 true,則對清單中的值排序。
- valueMap – 將原始值對映到顯示值。
該元件支援 command 和 onChange 特性。
- DatePicker 元件的討論中應說明以下新特性。(ID-14802)
DatePicker HTML 元件現在允許您選取不連續的日期。您可以指定日期範圍集,從日曆中挑選特定日期。
DatePicker 實作以下兩個新特性:
SelectAfter -- 將顯示在日曆中的可選取日期限制為所輸入日期當天以及之後的日期。此特性值可以是日期字串或 Java 日期物件。
<Property name='SelectAfter' value='**/**/****'/>
SelectBefore -- 將顯示在日曆中的可選取日期限制為所輸入日期當天以及之前的日期。此特性值可以是日期字串或 Java 日期物件。
<Property name='SelectBefore' value='**/**/****'/>
不論在何處使用實作 <Display class='DatePicker'> 標籤的表單,請將這些變數加入表單中,用以設定日期範圍。如果您沒有設定這些特性,日曆中的可選取日期就沒有限制。
Identity Manager Technical Deployment Overview
以下對關聯工作流程、表單和 JSP 的論述屬於 Identity Manager Technical Deployment Overview (ID-7332) 的架構簡介。
程序執行
如果使用者在某個頁面上的某個欄位中輸入資料並按一下 [儲存],則檢視、工作流程和表單元件將一起工作來執行處理資料所需的程序。
Identity Manager 中的每個頁面均包含關聯的檢視、工作流程和表單,以執行所需的資料處理。以下兩個表中列出了這些工作流程、檢視和表單的關聯。
Identity Manager 使用者介面程序
下表說明與從以下 Identity Manager [使用者介面] 頁面啟動的程式有關的表單、檢視和工作流程:
|
使用者介面
頁面
|
表單
|
檢視
|
工作流程
|
|
主功能表
|
endUserMenu
預設一般使用者功能表
|
使用者
檢視為唯讀的。無法在此頁面上進行任何修改。
|
無
|
|
變更密碼
|
endUserChangePassword
預設變更密碼表單
|
密碼
|
changeUserPassword
預設變更使用者密碼
|
|
變更其他帳號屬性
|
endUserForm
預設一般使用者表單
|
使用者
|
更新使用者
|
|
檢查程序狀態
|
endUserTaskList
預設一般使用者作業清單
|
清單
檢視包含有關由使用者啟動的 TaskInstance 物件的資訊
|
無
|
|
程序狀態
頁面由 TaskViewResults 類別產生
|
無
|
無
|
無
|
|
可用程序
|
endUserLaunchList
預設一般使用者啟動清單
|
清單
檢視包含有關使用者可存取的 TaskDefinition 物件的資訊
|
無
|
|
啟動程序
啟動選取的 TaskDefinition
|
由 TaskDefinition 定義
|
程序
|
無
|
|
變更認證問題的答案
|
changeAnswers
預設變更使用者答案表單
|
ChangeUserAnswers
|
無
|
|
自行探索
僅可連結至既有資源帳號
|
selfDiscovery
預設自行探索
|
使用者
|
更新使用者
|
|
收件匣
|
endUserWorkItemList
預設一般使用者工作項目清單
|
清單
檢視包含有關目前使用者直接擁有的 WorkItem 的資訊
|
無
|
|
收件匣項目編輯
|
由 WorkItem 指定或自動產生
|
WorkItem
|
無
|
管理員介面程序
下表說明與從這些 Identity Manager [管理員介面] 頁面啟動的程式有關的表單、檢視、工作流程和 JSP:
|
管理員介面頁面
|
表單
|
檢視
|
工作流程
|
|
建立組織和編輯組織
|
系統配置對映
根據環境,可為以下數種表單之一:
組織表單
組織重新命名表單
目錄連接表單
虛擬組織表單
虛擬組織重新整理表單
|
組織
|
無
|
|
建立使用者
|
userForm
預設標籤式使用者表單
|
使用者
|
createUser
預設建立使用者
|
|
更新使用者
|
userForm
預設標籤式使用者表單
|
使用者
|
updateUser
預設更新使用者
|
|
停用使用者的資源帳號
|
disableUser
預設停用使用者
|
停用
|
disableUser
預設停用使用者
|
|
重新命名使用者
|
renameUser
預設重新命名使用者表單
|
RenameUser
|
renameUser
預設重新命名使用者
|
|
更新使用者的資源帳號
|
reprovisionUser
預設重新佈建表單
|
重新佈建
|
updateUser
預設更新使用者
|
|
解除鎖定使用者的資源帳號
|
unlockUser
預設解除鎖定使用者
|
解除鎖定
|
unlockUser
預設解除鎖定使用者
|
|
刪除使用者的資源帳號
|
deprovisionUser
預設取消佈建表單
|
取消佈建
|
deleteUser
預設刪除使用者
|
|
變更使用者密碼
使用與一般使用者 GUI 相同的工作流程,但使用不同的表單
|
changePassword
預設變更使用者密碼表單
|
ChangeUserPassword
|
changeUserPassword
預設變更使用者密碼
|
|
重設使用者密碼
|
resetPassword
預設重設使用者密碼表單
|
ResetUserPassword
|
changeUserPassword
預設變更使用者密碼
|
|
變更我的密碼
與 [一般使用者變更密碼] 的檢視、表單和工作流程相同,但是 JSP 不同
|
endUserChangePassword
預設變更密碼表單
|
密碼
|
changeUserPassword
預設變更使用者密碼
|
|
變更我的答案
與 [一般使用者變更答案] 的檢視、表單相同,但是 JSP 不同
|
changeAnswers
預設變更使用者答案表單
|
ChangeUserAnswers
|
無
|
|
核准
|
workItemList
預設工作項目清單
預設表單包含工作項目確認
|
WorkItemList
|
無
|
|
編輯 WorkItem
登入 WorkItem 檢視會導致繼續執行建立此檢視的工作流程,但是僅處理工作項目登入不會建立工作流程
|
由 WorkItem 指定,或自動產生
|
WorkItem
|
無
|
|
啟動作業
啟動選取的 TaskDefinition
|
由 TaskDefinition 定義
|
程序
|
無
|
|
建立和更新排定的任務
|
沒有與 TaskDefinition 表單合併的系統配置對映、預設作業排程表單
通過將 TaskDefinition 表單與作業排程表單組合為包裝程式來產生此表單
|
作業排程
|
無
|
|
建立角色和編輯角色
|
無系統配置對映
預設角色表單和角色重新命名表單取決於環境
|
角色
|
manageRole
預設管理角色
|
|
編輯資源
|
無系統配置對映,根據環境,表單包括:
變更資源帳號密碼表單
重設資源帳號密碼表單
編輯資源策略表單
資源重新命名表單
資源精靈 <資源類型>
資源精靈。
允許特定類型的精靈表單,預設為資源精靈
|
資源
|
manageResource
預設管理資源
|
|
編輯能力
|
changeCapabilities,預設變更使用者能力表單
|
ChangeUserCapabilities
|
無
|
Java Server Pages (JSP) 及其在 Identity Manager 中的角色
下表說明系統隨附的 JSP 及其管理員和使用者介面頁面。
適用於 Identity Manager 使用者介面的 JSP
|
頁面
|
關聯的 JSP
|
|
主功能表
|
user/main.jsp
|
|
變更密碼
|
user/changePassword.jsp
|
|
變更其他帳號屬性
|
user/changeAll.jsp
|
|
檢查程序狀態
|
user/processStatusList.jsp
|
|
程序狀態
|
user/processStatus.jsp
|
|
可用程序
|
user/processList.jsp
|
|
啟動程序
|
user/processLaunch.jsp
|
|
變更認證問題的答案
|
user/changeAnswers.jsp
|
|
自行探索
|
user/selfDiscover.jsp
|
|
收件匣
|
user/workItemList.jsp
|
|
收件匣項目編輯
|
user/workItemEdit.jsp
|
適用於管理員介面的 JSP
|
頁面
|
關聯的 JSP
|
|
建立組織和編輯組織
|
security/orgedit.jsp
|
|
建立使用者
|
account/modify.jsp
|
|
更新使用者
|
account/modify.jsp
|
|
停用使用者的資源帳號
|
account/resourceDisable.jsp
|
|
重新命名使用者
|
account/renameUser.jsp
|
|
更新使用者的資源帳號
|
account/resourceReprovision.jsp
|
|
解除鎖定使用者的資源帳號
|
admin/resourceUnlock.jsp
|
|
刪除使用者的資源帳號
|
account/resourceDeprovision.jsp
|
|
變更使用者密碼
|
admin/changeUserPassword.jsp
|
|
重設使用者密碼
|
admin/resetUserPassword.jsp
|
|
變更我的密碼
|
admin/changeself.jsp
|
|
變更我的答案
|
admin/changeAnswers.jsp
|
|
核准
|
approval/approval.jsp
|
|
編輯 WorkItem
|
approval/itemEdit.jsp
|
|
啟動作業
|
task/taskLaunch.jsp
|
|
建立和更新排定的任務
|
task/editSchedule.jsp
|
|
建立角色和編輯角色
|
roles/applicationmodify.jsp
|
|
編輯資源
|
resources/modify.jsp
|
|
編輯能力
|
account/modifyCapabilities.jsp
|
Identity Manager 6.0 Resources Reference
- 此文件 PDF 版本中的「Supported Account Attributes」清單 (位於「Resources Reference」> 「Active Directory」> 「Account Attributes」>「Account Attribute Support」下) 比 HTML 版本中的更新。請參閱 PDF 版本。(ID-12630)
- 位於下列 URL 處的「Identity Manager 6.0 Resources Reference 2005Q4M3」的頂層節點沒有指向「Domino」小節的連結:(ID-12636)
http://docs.sun.com/app/docs/doc/819-4520
要找到「Domino」小節,請開啟此節點的「Contents」或下列 URL:
http://docs.sun.com/source/819-4520/Domino_Exchange.html#wp999317
Access Manager 配接卡
「General Configuration」程序中的步驟 5 應描述如下內容:
5. java.security 檔案中若沒有下列幾行,則將這些內容加入該檔案中:
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.net.ssl.internal.ssl.Provider
各行中 security.provider 之後的編號指定了 Java 對安全性提供者類別的查詢順序,該編號應該是唯一的。在您的環境中,序列號可能與此不同。若您的 java.security 檔案中已有多個安全性提供者,請依上述順序插入新的安全性提供者,然後重新指定現有安全性提供者的編號。請勿移除現有的安全性提供者,也不要包含任何重複的提供者。(ID-12044)
Active Directory 配接卡
Active Directory 現在支援 thumbnailPhoto (Windows 2000 Server 以及更高版本) 和 jpegPhoto (Windows 2003) 二進位屬性。
BridgeStream SmartRoles 配接卡
Identity Manager 現在提供 BridgeStream SmartRoles 資源配接卡,用來佈建 SmartRoles 中的使用者。此配接卡將使用者置於 SmartRoles 的適當組織中,讓 SmartRoles 可以決定這些使用者應該具有哪些業務角色。
從 SmartRoles 擷取使用者時,該配接卡會擷取使用者的業務角色。可在 Identity Manager 中使用這些業務角色來決定應指定給使用者的 Identity Manager 角色、資源、屬性,以及存取權。
此外,SmartRoles 可以是使用 Active Sync 執行之使用者變更的來源。您也可以將 SmartRoles 使用者載入 Identity Manager 然後進行調解。
如需有關該配接卡的詳細資訊,請參閱「Sun Java™ System Identity Manager Resources Reference Addendum」。(ID-12714)
ClearTrust 配接卡
- ClearTrust 資源配接卡現在支援 5.5.2 版本的 ClearTrust。
- 「Identity Manager Installation Notes」程序的步驟 2 和 3 應描述如下內容 (ID-12906):
- 將 Clear Trust 安裝 CD 中的 ct_admin_api.jar 檔案複製到
WEB-INF\lib 目錄中。
- 若使用 SSL,將以下檔案複製到 WEB-INF\lib 目錄中。
備註
如果是佈建 RSA Clear Trust 5.5.2 資源,則 SSL 通訊不需要其他程式庫。
- asn1.jar
- certj.jar
- jce1_2-do.jar
- jcert.jar
- jnet.jar
- jsafe.jar
- jsaveJCE.jar
- jsse.jar
- rsajsse.jar
- sslj.jar
資料庫表格配接卡
此配接卡支援 Oracle 中的二進位資料類型,包括 BLOB。對應的屬性必須在模式對映上標示為二進位。範例二進位屬性包括圖形檔、音訊檔以及憑證。
Flat File Active Sync 配接卡
- 管理使用者對於包含平面檔案的目錄必須具有讀取和寫入權限。若啟用了 [僅處理差異] Active Sync 參數,則此使用者也必須具有刪除權限。
此外,管理員帳號對於 Active Sync [記錄檔案路徑] 欄位中指定的目錄必須具有讀取、寫入和刪除的權限。(ID-12477)
- 如果平面檔案的格式是 LDIF,則可指定二進位屬性,如圖形檔、音訊檔和憑證。CSV 和以管道字元分隔的檔案不支援二進位屬性。
HP OpenVMS 配接卡
Identity Manager 現在提供 HP OpenVMS 資源配接卡,該配接卡支援 VMS 7.0 及更高版本。如需有關該配接卡的詳細資訊,請參閱「Sun Java™ System Identity Manager Resources Reference Addendum」。(ID-8556)
JMS 偵聽程式配接卡
JMS 偵聽程式配接卡現在支援同步訊息處理,而不是非同步處理。因此,「Usage Notes」的「Connections」小節第二段應描述如下:
JMS 偵聽程式配接卡是在同步模式中執行。它會對佇列或 [目標的 JNDI 名稱] 欄位指定的主題目標建立同步訊息用戶。在每次輪詢間隔期間,配接卡會接收並處理所有可用訊息。透過在 [訊息選擇器] 欄位中定義有效的 JMS 訊息選擇器字串,可以 ( 選擇性地) 額外限定訊息。
「Message Mapping」小節應包含以下內容:
當配接卡處理合格的訊息時,會使用 [訊息對映] 欄位中指定的機制,將收到的 JMS 訊息先轉換為已命名之值的對映。此結果對映稱為「訊息值對映」。
然後會使用帳號屬性模式對映,將訊息值對映轉換為 Active Sync 對映。如果配接卡有指定的帳號屬性,則配接卡會搜尋訊息值對映中也做為資源使用者屬性出現在模式對映內的關鍵字名稱。若存在,則將值複製到 Active Sync 對映中,但 Active Sync 對映中的項目名稱會轉換成模式對映中 [Identity 系統使用者屬性] 欄所指定的名稱。
如果訊息值對映中有項目不能使用帳號屬性模式對映加以轉換,則訊息值對映中的該項目便會被複製到 Active Sync 對映,並不做任何改變。
LDAP 配接卡
二進位帳號屬性支援
現在支援 inetOrgPerson 物件類別的以下二進位帳號屬性:
|
資源使用者屬性
|
LDAP 語法
|
說明
|
|
audio
|
音訊
|
音訊檔。
|
|
jpegPhoto
|
JPEG
|
JPEG 格式的影像。
|
|
userCertificate
|
憑證
|
二進位格式的憑證。
|
可能也支援其他二進位帳號,但尚未進行相關的測試。
停用與啟用帳號
LDAP 配接卡提供了數種可以停用 LDAP 資源帳號的方式。使用以下技術之一可停用帳號。
將密碼變更為不明的值
若要利用將密碼變更為不明值的方式停用帳號,請將 [啟用方法] 和 [啟用參數] 欄位留為空白。這是停用帳號的預設方法。透過指定新的密碼就可以重新啟用帳號。
指定 nsmanageddisabledrole 角色
要使用 nsmanageddisabledrole LDAP 角色停用和啟用帳號,請將 LDAP 資源配置如下:
- 在 [資源參數] 頁面上,將 [啟用方法] 欄位設定為 nsmanageddisabledrole。
- 將 [啟用參數] 欄位設定為 IDMAttribute=CN=nsmanageddisabledrole,baseContext。(IDMAttribute 會在下一個步驟的模式中指定。)
- 在 [帳號屬性] 頁面上,加入 IDMAttribute 做為 [Identity System使用者屬性]。將 [資源使用者屬性] 設定為 nsroledn。屬性必須是字串類型。
- 在 LDAP 資源上建立名為 nsAccountInactivationTmp 的群組,然後指定 CN=nsdisabledrole,baseContext 為成員。
現在便可停用 LDAP 帳號了。若要使用 LDAP 主控台進行驗證,請檢查 nsaccountlock 屬性的值。true 值表示帳號已被鎖定。
如果在稍後重新啟用帳號,則會從該角色中移除該帳號。
設定 nsAccountLock 屬性
要使用 nsAccountLock 屬性停用和啟用帳號,請將 LDAP 資源配置如下:
- 在 [資源參數] 頁面上,將 [啟用方法] 欄位設定為 nsaccountlock。
- 將 [啟用參數] 欄位設定為您將在下一個步驟中定義之屬性的名稱。另需指定一個用於測試的值。例如,accountLockAttr=true。
- 在 [帳號屬性] 頁面上,加入在 [啟用參數] 欄位中指定的值做為 [Identity System使用者屬性]。將 [資源使用者屬性] 設定為 nsaccountlock。屬性必須是字串類型。
現在便可停用 LDAP 帳號了。若要使用 LDAP 主控台進行驗證,請檢查 nsaccountlock 屬性的值。true 值表示帳號已被鎖定。
如果在稍後重新啟用帳號,則會移除該屬性。
在不使用 nsmanageddisabledrole 和 nsAccountLock 屬性的情況下停用帳號
如果在您的目錄伺服器上無法使用 nsmanageddisabledrole 和 nsAccountLock 屬性,目錄伺服器仍可使用類似的方法停用帳號,在 [啟用方法] 欄位中輸入以下類別名稱。[啟用參數] 欄位中要輸入的值則根據類別而定。
|
類別名稱
|
何時使用:
|
|
com.waveset.adapter.util.
ActivationByAttributeEnableFalse
|
目錄伺服器可將屬性設為 false 以啟用帳號,將屬性設為 true 則停用帳號。
將屬性加入模式對映中。然後在 [啟用參數] 欄位中輸入屬性 (在模式對映的左側定義) 的 Identity Manager 名稱。
|
|
com.waveset.adapter.util.
ActivationByAttributeEnableTrue
|
目錄伺服器可將屬性設為 true 以啟用帳號,將屬性設為 false 則停用帳號。
將屬性加入模式對映中。然後在 [啟用參數] 欄位中輸入屬性 (在模式對映的左側定義) 的 Identity Manager 名稱。
|
|
com.waveset.adapter.util.
ActivationByAttributePullDisablePushEnable
|
Identity Manager 透過從 LDAP 提取屬性/值對可以停用帳號,將屬性/值對推入 LDAP 則可以啟用帳號。
將屬性加入模式對映中。然後在 [啟用參數] 欄位中輸入屬性/值對。使用屬性的 Identity Manager 名稱,如模式對映左側所定義。
|
|
com.waveset.adapter.util.
ActivationByAttributePushDisablePullEnable
|
Identity Manager 透過將屬性/值對推入 LDAP 可以停用帳號,從 LDAP 提取屬性/值對則可以啟用帳號。
將屬性加入模式對映中。然後在 [啟用參數] 欄位中輸入屬性/值對。使用屬性的 Identity Manager 名稱,如模式對映左側所定義。
|
|
com.waveset.adapter.util.
ActivationNsManagedDisabledRole
|
目錄使用特定角色來決定帳號狀態。若將帳號指定給該角色,則帳號會停用。
將角色名稱加入模式對映中。然後在 [啟用參數] 欄位中輸入值,格式如下:
IDMAttribute=CN=roleName,baseContext
IDMAttribute 是角色的 Identity Manager 名稱,如模式對映左側所定義。
|
Oracle/Oracle ERP 配接卡
在此次發行中,「Identity Manager Resources Reference」的「Oracle/Oracle ERP」一章分成了兩章。請參閱「Sun Java™ System Identity Manager Resources Reference Addendum」以檢視這兩個新的章節。(ID-12758)
Oracle 配接卡
- 在配接卡表格以及「Identity Manager Resources Reference」第 1 章的 Oracle 配接卡小節中,錯誤地刪除了 Oracle 8i 的支援資訊。Identity Manager 仍支援 Oracle 8i 做為資源。(ID-13078)
- 在該章「Cascade Deletes」小節的步驟 1 中,updateableAttributes 區段名稱已校正為 updatableAttributes,如下所示 (ID-13075):
noCascade 帳號屬性指明是否在刪除使用者時執行連鎖式刪除。依據預設,會執行連鎖式刪除。若要停用連鎖式刪除:
- 在「系統配置物件」的 updatableAttributes 區段加入一個項目。
Oracle ERP 配接卡
Oracle ERP 配接卡現在提供一個 employee_number 帳號屬性,用於表示 per_people_f 表格中的 employee_number (ID-12796):
- 當您在建立過程輸入一個值時,配接卡會嘗試在 per_people_f 表格中查詢使用者記錄、 擷取 person_id 至建立 API,並將 person_id 插入 fnd_user 表格的 employee_id 欄中。
- 如果建立時沒有輸入 employee_number,則不會嘗試進行連結。
- 如果找不到建立時輸入的 employee_number,則配接卡會丟出異常。
- 如果 employee_number 在配接卡模式中,則配接卡會嘗試傳回 getUser 的 employee_number。
稽核責任
Oracle ERP 配接卡中新加入多個屬性以支援稽核功能。(ID-11725)
若要稽核指定給使用者之責任的子項目 (如表單和函數),請將 auditorObject 加入模式對映。auditorObject 是複雜的屬性,包含一系列責任物件。責任物件中一般會傳回以下屬性:
- responsibility
- userMenuNames
- menuIds
- userFunctionNames
- functionIds
- formIds
- formNames
- userFormNames
- readOnlyFormIds
- readWriteOnlyFormIds
- readOnlyFormNames
- readOnlyUserFormNames
- readWriteOnlyFormNames
- readWriteOnlyUserFormNames
- functionNames
- readOnlyFunctionNames
- readWriteOnlyFunctionNames
備註
在 fnd_form_functions 表格的 PARAMETERS 欄查詢以下內容之一,即可識別 readOnly 和 ReadWrite 屬性:
- QUERY_ONLY=YES
- QUERY_ONLY="YES"
- QUERY_ONLY = YES
- QUERY_ONLY = "YES"
- QUERY_ONLY=Y
- QUERY_ONLY="Y"
- QUERY_ONLY = Y
- QUERY_ONLY = "Y"
如果將 [傳回通訊錄集和/或組織] 資源參數設為 TRUE,則也會傳回以下屬性:
- setOfBooksName
- setOfBooksId
- organizationalUnitName
- organizationalUnitId
屬性名稱符合模式對映中可以加入的帳號屬性名稱,但 responsibility、setOfBooksName、setOfBooksId、organizationalUnitId、organizationalUnitName 屬性除外。帳號屬性包含指定給使用者的值的彙集。responsibility 物件包含的屬性是責任專屬的。
在 auditorResps[] 檢視中可以存取 responsibility 屬性。以下表單片段會傳回所有指定給使用者的使用中責任 (及其屬性)。
<defvar name='audObj'>
<invoke name='get'>
<ref>accounts[Oracle ERP 11i VIS].auditorObject</ref>
</invoke>
</defvar>
<!-- this returns list of responsibility objects -->
<defvar name='respList'>
<invoke name='get'>
<ref>audObj</ref>
<s>auditorResps[*]</s>
</invoke>
</defvar>
例如:
- auditorResps[0].responsibility 傳回第一個責任物件的名稱。
- auditorResps[0].formNames 傳回第一個責任物件的 formNames。
SAP 配接卡
- 在「Account Attributes」小節中, 描述 SAP HR Active Sync 配接卡所支援之預設 iDoc infotypes 的表格已經校正。0105 通訊 infotype 的支援子類型已經從 EMAIL 變更為 MAIL,如下所示 (ID-12880):
依預設,支援以下 infotype:
|
Infotype
|
名稱
|
支援的子類型
|
|
0000
|
動作
|
不適用
|
|
0001
|
組織指定
|
不適用
|
|
0002
|
個人資料
|
不適用
|
|
0006
|
地址
|
01 (永久地址)、03 (住家地址)
|
|
0105
|
通訊
|
MAIL (電子郵件位址)、0010
(網際網路位址)
|
SAPHRActiveSyncAdapter 現在支援 mySAP ERP ECC 5.0 (SAP 5.0)。
因此,「Resource Configuration Notes」中做了以下變更 (ID-12769):
SAP 資源配接卡
以下資源配置說明僅適用於 SAP 資源配接卡。
若要讓使用者能夠變更其 SAP 密碼,請執行以下步驟:
- 設定 [使用者提供變更時所用的密碼] 資源屬性。
- 將 WS_USER_PASSWORD 加入模式對映的兩端。您不需要修改使用者表單或其他表單。
SAP HR Active Sync 配接卡
以下資源配置說明僅適用於 SAP HR Active Sync 配接卡。
SAP 應用程式連結促動 (SAP Application Link Enabling, ALE) 技術使 SAP 可與外部系統 (如 Identity Manager) 通訊。SAP HR Active Sync 配接卡使用外傳式 ALE 介面。在外傳式 ALE 介面中,基本邏輯系統成為外傳訊息的傳送者以及內送訊息的接收者。當進行資料庫變更時 (如雇用員工、更新職位資料、解雇員工等等),SAP 使用者可能需要登入基本邏輯系統/用戶端。接收用戶端也必須定義邏輯系統/用戶端。這個邏輯系統將充當外傳訊息的接收者。對於兩個系統之間的訊息類型,Active Syn 配接卡會使用 HRMD_A 訊息類型。訊息類型描述在系統之間傳送之資料的特徵,並與資料的結構相關,也稱為 IDoc 類型 (例如,HRMD_A05)。
若要讓 Active Sync 配接卡從 SAP HR 接收授權輸入,則需透過以下步驟提供 SAP 上所需的配置:
備註
您必須配置 SAP 系統參數以啟用 HRMD_A IDoc 的應用程式連結促動 (Application Link Enabling, ALE) 處理。這樣則可以在兩個應用程式系統之間分布資料,也稱為訊息傳送。
建立邏輯系統
根據您目前的 SAP 環境,您可能不需要建立邏輯系統。您可能只需要修改現有分布模型,做法是將 HRMD_A 訊息類型加入先前配置的模型檢視中。但是,您必須遵循 SAP 對邏輯系統及 ALE 網路配置的建議,這一點很重要。以下說明假設您正在建立新的邏輯系統和新的模型檢視。
- 輸入作業事件代碼 SPRO,然後顯示 SAP 參照 IMGproject (或適用於您組織的專案)。
- 根據您使用的 SAP 版本,執行以下步驟之一:
- 若使用 SAP 4.6,按一下 [基本元件] > [應用程式連結促動 (ALE)] > [傳送與接收系統] > [邏輯系統] > [定義邏輯系統]。
- 若使用 SAP 4.7,按一下 [SAP Web Application Server] > [應用程式連結促動 (ALE)] > [傳送與接收系統] > [邏輯系統] > [定義邏輯系統]。
- 若使用 SAP 5.0,按一下 [SAP Netweaver] > [SAP Web Application Server] > [IDOC 介面/應用程式連結促動 (ALE)] > [基本設定] > [邏輯系統] > [定義邏輯系統]。
- 按一下 [編輯] > [新項目]。
- 輸入您要建立的邏輯系統的名稱和描述 (IDMGR)。
- 儲存輸入。
指定用戶端給邏輯系統
- 輸入作業事件代碼 SPRO,然後顯示 SAP 參照 IMGproject (或適用於您組織的專案)。
- 根據您使用的 SAP 版本,執行以下步驟之一:
- 若使用 SAP 4.6,按一下 [基本元件] > [應用程式連結促動 (ALE)] > [傳送與接收系統] > [邏輯系統] > [指定用戶端給邏輯系統]。
- 若使用 SAP 4.7,按一下 [SAP Web Application Server] > [應用程式連結促動 (ALE)] > [傳送與接收系統] > [邏輯系統] > [指定用戶端給邏輯系統]。
- 若使用 SAP 5.0,按一下 [SAP Netweaver] > [SAP Web Application Server] > [IDOC 介面/應用程式連結促動 (ALE)] > [基本設定] > [邏輯系統] > [指定用戶端給邏輯系統]。
- 選取用戶端。
- 按一下 [移至] > [詳細資訊] 以顯示 [用戶端詳細資訊] 對話方塊。
- 在 [邏輯系統] 欄位中,輸入要指定給此用戶端的邏輯系統。
- 在 [用戶端變更與傳輸] 區段中,按一下 [自動記錄變更]。
- 儲存輸入。
建立分布模型
若要建立分布模型:
- 確認您已登入傳送系統/用戶端。
- 輸入作業事件代碼 BD64。確定您是處於 [變更] 模式中。
- 按一下 [編輯]> [模型檢視] > [建立]。
- 輸入檢視的簡短名稱和技術名稱,以及開始日期和結束日期,然後按一下 [繼續]。
- 選取您所建立的檢視,然後按一下 [增加訊息類型]。
- 定義傳送者/邏輯系統的名稱。
- 定義接收者/伺服器的名稱。
- 在 [保護用戶端複製程式和比較工具] 區段中,按一下 [保護層級:無限制]。
- 定義您要使用的訊息類型 (HRMD_A),然後按一下 [繼續]。
- 按一下 [儲存]。
在 SAP 閘道中註冊 RFC 伺服器模組
在初始化期間,Active Sync 配接卡會在 SAP 閘道中註冊。它使用「IDMRFC」做為其 ID。這個值必須符合在 SAP 應用程式中設定的值。您必須配置 SAP 應用程式,使 RFC 伺服器模組可以建立其控點。若要將 RFC 伺服器模組註冊為 RFC 目標:
- 在 SAP 應用程式中,移至作業事件 SM59。
- 展開 TCP/IP 連線目錄。
- 按一下 [建立 (F8)]。
- 在 RFC 目標欄位中,輸入 RFC 目標系統的名稱。(IDMRFC)。
- 將連線類型設為 T (經由 TCP/IP 啟動外部程式)。
- 輸入新 RFC 目標的描述,然後按一下 [儲存]。
- 按一下 [啟用類型] 的 [註冊] 按鈕。
- 設定程式 ID。我們建議您使用和 RFC 目標相同的值 (IDMRFC),然後按一下 [輸入]。
- 若 SAP 系統為 Unicode 系統,就必須將連接埠配置為適用 Unicode。按一下 [特殊選項] 標籤,找到 [目標系統中的字元寬度] 區段。其中有 Unicode 和非 Unicode 的設定。
- 使用頂端的按鈕 ([測試連線] 和 [Unicode 測試]) 測試與 Identity Manager 資源的連線。必須啟動配接卡以供測試之用。
建立連接埠定義
連接埠是 IDocs 所傳送至的通訊通道。連接埠描述傳送和接收系統之間的技術連結。您應為此解決方案配置 RFC 連接埠。若要建立連接埠定義:
- 輸入作業事件代碼 WE21。
- 選取作業事件 RFC,然後按一下 [建立] 圖示。輸入 IDMRFC 做為 RFC 目標。
- 儲存變更。
修改連接埠定義
當您產生夥伴設定檔後,之前輸入的連接埠定義可能變得不正確。為了讓系統正常運作,您需要修改連接埠定義。
- 輸入作業事件代碼 WE20。
- 選取 [夥伴類型 LS]。
- 選取您的接收夥伴設定檔。
- 選取 [外傳參數],然後按一下 [顯示]。
- 選取訊息類型 HRMD_A。
- 按一下 [外傳選項],然後將接收者連接埠修改成您建立的 RFC 連接埠名稱 (IDMGR)。
- 從輸出模式中,選取 [立即傳送 IDoc] 以便在 IDoc 建立完畢後立即傳送。
- 在 [IDoc 類型] 區段中,選取基本類型:
- 按一下 [繼續]/[儲存]。
執行程序檔的 JDBC 配接卡
Identity Manager 現在提供「執行程序檔的 JDBC」資源配接卡,以支援任何資料庫模式及任何 JDBC 可存取資料庫中的使用者帳號管理。此配接卡也支援 Active Sync 輪詢資料庫中的帳號變更。如需有關該配接卡的詳細資訊,請參閱「Sun Java™ System Identity Manager Resources Reference Addendum」。(ID-12506)
Shell 程序檔配接卡
Identity Manager 現在提供 Shell 程序檔資源配接卡,以支援對 shell 程序檔 (此程序檔是在資源所在系統上執行) 所控制的資源進行管理。此配接卡為通用的配接卡,因此可配置性很高。
Siebel CRM 配接卡
現在可以建立和更新需要父系/子商務元件瀏覽的 Siebel 物件了。這是個進階功能,通常不會在 Identity Manager 中實作。
此進階瀏覽功能讓您可以選擇性指定在建立和更新子商務元件時所需的以下資訊:
- 商務物件名稱
- 父系商務元件名稱
- 父系搜尋屬性
- 目標商務元件
- 目標搜尋屬性
- 範圍中屬性 (商務元件的哪些屬性應該設定/更新)
- 選擇性共同作業
建立及更新動作時可以使用進階瀏覽規則。該規則不可用於其他類型的動作。
要實作 Siebel CRM 配接卡的進階瀏覽功能,必須執行以下作業:
- 在模式對映中加入一個屬性,該模式對映的資源使用者屬性 (右側) 名為 PARENT_COMP_ID。
- 透過除錯頁面,手動加入以下資源屬性到您資源的 XML 中
<ResourceAttribute name='AdvancedNavRule'
displayName='Advanced Nav Rule'
value='MY_SIEBEL_NAV_RULE'>
</ResourceAttribute>
用有效的規則名稱取代 MY_SIEBEL_NAV_RULE。
- 寫入進階瀏覽規則。規則中預期應有以下兩個變數:
resource.action — 其值必須為 create 或 update。
resource.objectType — 對於一般帳號維護,此值為 account。
規則必須傳回對映以及一個或多個以下名稱/值對:
|
屬性
|
定義
|
|
busObj
|
商務物件的名稱。
|
|
parentBusComp
|
busObj 的父系商務元件名稱。通過移動到商務元件的第一個合格 (請參閱 parentSearchAttr) 記錄,便可更新該商務物件的環境。
|
|
parentSearch
Attr
|
parentBusComp 中用作搜尋欄位的屬性。要搜尋的值應為屬性 (其資源使用者屬性名稱為 PARENT_COMP_ID) 的值。
|
|
busComp
|
要建立或更新的最終商務元件的名稱。如果是建立,則會在商務物件中建立此商務元件的新記錄。如果是進行更新,則移動到商務元件的第一個合格 (請參閱 searchAttr) 記錄,便可選取要更新的商務元件記錄。
|
|
searchAttr
|
busComp 中用作搜尋欄位的屬性。要搜尋的值是使用者的帳號 ID。
|
|
attributes
|
字串清單,用於指定在 busComp 中要設定或更新的欄位集。此清單會置換在資源的模式對映中為所執行動作定義的屬性。
|
|
coAction
|
如果請求的動作 (resource.action) 是 create,則指定 coAction 值為 update,用以指示配接卡也在建立後立即執行更新。如果建立無法設定所有必要欄位,從而必須進行更新以在邏輯上完成建立,則需要執行此動作。除非 resource.action 為 create 且 coAction 設為 update,否則會忽略這個屬性。
|
$WSHOME/sample/rules/SiebelNavigationRule.xml 中提供了瀏覽規則的範例。
Sun Java System Access Manager 配接卡
安裝與配置 Sun Java System Access Manager (早於 Access Manager 7.0 的版本)
「Installing and Configuring Sun Java System Access Manager」程序的步驟 4 和 8 應描述如下 (ID-13087):
- 建立一個目錄,用於放置從 Sun Java System Access Manager 伺服器上複製的檔案。在這個程序中,此目錄稱為 CfgDir。Sun Java System Access Manager 的位置稱為 AccessMgrHome。
- 將以下檔案從 AccessMgrHome 複製到 CfgDir。請勿複製目錄結構。
- 在 UNIX 上,可能需要變更 CfgDir 中 jar 檔的權限,以便准許通用的讀取權限。執行以下指令變更權限:
chmod a+r CfgDir/*.jar
- 將下列內容前置於 JAVA 類別路徑中:
- Windows: CfgDir;CfgDir/am_sdk.jar;CfgDir/am_services.jar;
CfgDir/am_logging.jar
- UNIX: CfgDir:CfgDir/am_sdk.jar:CfgDir/am_services.jar:
CfgDir/am_logging.jar
- 如果您是使用 6.0 版本,請將 Java 系統特性設為指向您的 CfgDir。使用類似以下的指令:
java -Dcom.iplanet.coreservices.configpath=CfgDir
- 如果您是使用 6.1 或更高版本,請在 CfgDir/AMConfig.properties 檔案中加入或編輯下列幾行:
com.iplanet.services.configpath=CfgDircom.iplanet.security.
SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.
factory.JSSESocketFactory
com.iplanet.security.encryptor=com.iplanet.services.util.
JCEEncryption
第一行會設定 configpath。最後三行會變更安全性設定。
- 將 CfgDir/am_*.jar 檔案複製到 $WSHOME/WEB-INF/lib。如果您是使用 6.0 版本,也要將 jss311.jar 檔案複製到 $WSHOME/WEB-INF/lib 目錄。
- 如果 Identity Manager 是在 Windows 上執行,且您是使用 Identity Server 6.0,請將 IdServer\lib\jss\*.dll 複製到 CfgDir,並在您的系統路徑中加入 CfgDir。
備註
若 Identity Manager 與 Sun Java System Access Manager 安裝在不同的系統,請檢查以下錯誤情況。當嘗試連線到 Sun Java System Access Manager 資源時,如果在後續的嘗試中傳回 java.lang.ExceptionInInitializerError 錯誤 (然後是 java.lang.NoClassDefFoundError),則檢查錯誤的或缺少的配置資料。
同樣,也檢查 java.lang.NoClassDefFoundError 所指示的 jar 檔案。將包含類別之 jar 檔案的類別路徑前置於應用程式伺服器上的 JAVA 類別路徑中。
安裝與配置 Sun Java System Access Manager (7.0 及更高版本,舊有模式)
使用以下步驟安裝與配置舊有模式的資源配接卡。
- 遵循「Sun Java™ System Access Manager 7 2005Q4 Developer's Guide」中的說明,從 Sun Access Manager 安裝建立用戶端 SDK。
- 從產生的 war 檔案中擷取 AMConfig.properties 和 amclientsdk.jar 檔案。
- 複製一份 AMConfig.properties 到以下目錄中:
InstallDir/WEB-INF/classes
- 複製一份 amclientsdk.jar 到以下目錄中:
InstallDir/WEB-INF/lib
Sun Java System Communications Services 配接卡
- 可於建立使用者之後,在代理伺服器資源上執行的範例程序檔有誤。應該使用以下程序檔:(ID-12536)
SET PATH=c:\Sun\Server-Root\lib
SET SYSTEMROOT=c:\winnt
SET CONFIGROOT=C:/Sun/Server-Root/Config
mboxutil -c -P user/%WSUSER_accountId%.*
- 現在支援 inetOrgPerson 物件類別的以下二進位帳號屬性:
|
資源使用者屬性
|
LDAP 語法
|
說明
|
|
audio
|
音訊
|
音訊檔。
|
|
jpegPhoto
|
JPEG
|
JPEG 格式的影像。
|
|
userCertificate
|
憑證
|
二進位格式的憑證。
|
可能也支援其他二進位帳號,但尚未進行相關測試。
Top Secret 配接卡
「Identity Manager Resources Reference」中關於 Top Secret 配接卡支援重新命名帳號的說明不正確。該配接卡不支援重新命名 Top Secret 帳號。
Identity Manager Tuning, Troubleshooting, and Error Messages
增訂
- 現在,您可以在作業出現問題時使用 com.waveset.task.Scheduler 上的標準追蹤功能來追蹤作業排程程式。
請參閱「Sun Java™ System Identity Manager Tuning, Troubleshooting, and Error Messages」中的「Tracing the Identity Manager Server」,以取得更多資訊。
- 若要替發生於特定輸入方法之下某個層級中的問題除錯,可考慮在方法層級進行追蹤。Identity Manager 現在提供一個功能,可以只追蹤方法及其直接和間接子呼叫。(ID-14967)
若要啟用此功能,可利用 subcalls 修飾詞設定追蹤層級,如下所示:
trace 4,subcalls=2 com.waveset.recon.ReconTask$WorkerThread#reconcileAccount
這會追蹤層級 4 的 reconcileAccount() 方法及其在層級 2 的所有子呼叫。
請參閱「Sun Java™ System Identity Manager Tuning, Troubleshooting, and Error Messages」中的「Defining a Trace Configuration」,以取得更多資訊。
校正
由於必須為此發行版本安裝 JDK 1.4.2,在第 1 章「Performance Tuning, Optimizing the J2EE Environment」中有關從 idm\WEB-INF\lib 目錄移除 Cryptix jar (cryptix-jceapi.jar 和 cryptix-jce-provider.jar) 的說明將不再適用 (除非要從 Identity Manager 的舊版本進行升級)。
Identity Manager Deployment Tools
校正
Chapter 7: Using Identity Manager Web Services
「ExtendedRequest Examples」小節中提供的 launchProcess 範例校正如下 (ID-13044):
launchProcess
以下範例顯示了 launchProcess 請求的典型格式。
(檢視 — 程序檢視)。
ExtendedRequest req = new ExtendedRequest();
req.setOperationIdentifier("launchProcess");
req.setAsynchronous(false);
req.setAttribute("process", "Custom Process Name");
req.setAttribute("taskName", "Custom Process Display Name");
SpmlResponse res = client.request(req);
使用 helpTool
Identity Manager 6.0 發行版本新增了一項功能,可讓您搜尋 HTML 格式的線上說明和文件檔案。此搜尋引擎基於 SunLabs「Nova」搜尋引擎技術。
使用 Nova 引擎分兩個階段:建立索引和擷取。在建立索引階段,會分析輸入文件並建立要在擷取階段使用的索引。在擷取階段,可取得由在其中找到查詢字詞的上下文組成的「段」。由於段擷取程序需要提供原始的 HTML 檔案,因此這些檔案必須存在於搜尋引擎可存取的檔案系統中。
helpTool 是 Java 程式,可執行兩種基本的功能:
- 將 HTML 原始碼檔案複製到搜尋引擎已知的位置
- 建立在擷取階段使用的索引
您可從指令行執行 helpTool,如下所示:
$ java -jar helpTool.jar
usage:HelpTool
-d Destination directory
-h This help information
-i Directory or JAR containing input files, no wildcards
-n Directory for Nova index
-o Output file name
-p Indexing properties file
重新建立線上說明索引
用於線上說明的 HTML 檔案壓縮在 JAR 檔案中。您必須將這些檔案擷取到一個目錄下以用於搜尋引擎。請使用以下程序:
- 將 helpTool 發行軟體解壓縮至暫存目錄。(詳細資訊 TBD)
在此範例中,我們將檔案擷取到 /tmp/helpTool。
- 在 UNIX shell 或 Windows 指令視窗中,將此目錄變更為您的 Web 容器中部署 Identity Manager 應用程式的位置。
例如,Sun Java System Application Server 的目錄可能如下所示:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 將目前的工作目錄變更為 help/ 目錄。
備註
從此目錄執行 helpTool 很重要,否則將無法正確建立索引。此外,您應透過刪除 index/help/ 子目錄中的內容來刪除舊索引檔案。
- 收集用於指令行引數的以下資訊:
|
目標目錄:
|
html/help/en_US
備註:請使用適合安裝的語言環境字串。
|
|
輸入檔案:
|
.../WEB-INF/lib/idm.jar
|
|
Nova 索引目錄:
|
index/help
|
|
輸出檔案名稱:
|
index_files_help.txt
備註:檔案名稱並不重要,但是如果此檔案已存在,則會結束工具。
|
|
索引特性檔案:
|
index/index.properties
|
- 執行以下指令:
$ java -jar /tmp/helpTool/helpTool.jar -d html/help/en_US -i ../
WEB-INF/lib/idm.jar -n index/help -o help_files_help.txt -p index/index.properties
Extracted 475 files.
[15/Dec/2005:13:11:38] PM Init index/help AWord 1085803878
[15/Dec/2005:13:11:38] PM Making meta file:index/help/MF: 0
[15/Dec/2005:13:11:38] PM Created active file:index/help/AL
[15/Dec/2005:13:11:40] MP Partition:1, 475 documents, 5496 terms.
[15/Dec/2005:13:11:40] MP Finished dumping:1 index/help 0.266
[15/Dec/2005:13:11:40] IS 475 documents, 6.56 MB, 2.11 s, 11166.66 MB/h
[15/Dec/2005:13:11:40] PM Waiting for housekeeper to finish
[15/Dec/2005:13:11:41] PM Shutdown index/help AWord 1085803878
重新建立文件索引
請使用以下步驟重新建立文件索引:
- 將 helpTool 發行軟體解壓縮至暫存目錄。(詳細資訊 TBD)
在此範例中,我們將檔案擷取到 /tmp/helpTool。
- 在 UNIX shell 或 Windows 指令視窗中,將此目錄變更為您的 Web 容器中部署 Identity Manager 應用程式的位置。
例如,Sun Java System Application Server 的目錄可能如下所示:
/opt/SUNWappserver/domains/domain1/applications/j2ee-modules/idm
- 將目前的工作目錄變更為 help/ 目錄。
備註
必須從此目錄執行 helpTool,否則將無法正確建立索引。此外,您應透過刪除 index/docs/ 子目錄中的內容來刪除舊索引檔案。
- 收集用於指令行引數的以下資訊:
|
目標目錄:
|
html/docs
|
|
輸入檔案:
|
../doc/HTML/en_US
備註:此工具會將 en_US/ 目錄和子目錄複製到目標目錄。
|
|
Nova 索引目錄:
|
index/docs
|
|
輸出檔案名稱:
|
index_files_docs.txt
備註:檔案名稱並不重要,但是如果此檔案已存在,則會結束工具。
|
|
索引特性檔案:
|
index/index.properties
|
- 執行以下指令:
$ java -jar /tmp/helpTool/helpTool.jar -d html/docs -i ../doc/HTML/en_US -n index/docs -o help_files_docs.txt -p index/index.properties
Copied 84 files.
Copied 105 files.
Copied 1 files.
Copied 15 files.
Copied 1 files.
Copied 58 files.
Copied 134 files.
Copied 156 files.
Copied 116 files.
Copied 136 files.
Copied 21 files.
Copied 37 files.
Copied 1 files.
Copied 13 files.
Copied 2 files.
Copied 19 files.
Copied 20 files.
Copied 52 files.
Copied 3 files.
Copied 14 files.
Copied 3 files.
Copied 3 files.
Copied 608 files.
[15/Dec/2005:13:24:25] PM Init index/docs AWord 1252155067
[15/Dec/2005:13:24:25] PM Making meta file:index/docs/MF: 0
[15/Dec/2005:13:24:25] PM Created active file:index/docs/AL
[15/Dec/2005:13:24:28] MP Partition:1, 192 documents, 38488 terms.
[15/Dec/2005:13:24:29] MP Finished dumping:1 index/docs 0.617
[15/Dec/2005:13:24:29] IS 192 documents, 14.70 MB, 3.81 s, 13900.78 MB/h
[15/Dec/2005:13:24:29] PM Waiting for housekeeper to finish
[15/Dec/2005:13:24:30] PM Shutdown index/docs AWord 1252155067
