上一页      目录      索引      下一页
Sun Java™ System Identity Manager 7.0 管理指南

第 4 章
配置

本章介绍使用 "Administrator Interface" 设置 Identity Manager 对象和服务器进程的信息和步骤。有关 Identity Manager 对象的详细信息，请参见“概述”一章中的 Identity Manager 对象。

注	有关为服务提供商实现配置 Identity Manager 的信息，请参见第 13 章“服务提供商管理”。

本章按以下主题进行组织：

了解和管理角色
配置 Identity Manager 资源
Identity Manager ChangeLog
配置身份属性和事件
配置 Identity Manager 策略
自定义电子邮件模板
配置审计组和审计事件
Remedy 集成
配置 Identity Manager 服务器设置

---

了解和管理角色

阅读本节可以了解有关在 Identity Manager 中设置角色的信息。

什么是角色？

Identity Manager 角色定义在其中管理帐户的资源的集合。使用角色可概要描述一类用户，从而将具有相似特征的 Identity Manager 用户划分为一组。

可将每个用户分配到一个或多个角色，或者不分配到角色。所有分配给某个角色的用户都共享访问相同基本资源组的权限。

所有与某个角色关联的资源都会间接地分配给相应用户。间接分配不同于直接分配，在直接分配中，资源是专为用户选定的。

当您创建或编辑角色时，Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中，并允许您在创建或保存该角色前插入批准或其他操作。

您可通过 "Administrator Interface" 的 "Create User" 和 "Edit User" 页将角色分配给用户。

创建角色

可以使用以下方法之一创建角色：

在 Identity Manager 菜单栏中，选择 Roles。
在 "Roles" 页中单击 New。

"Create Role" 页允许您：

将资源和资源组分配给角色。
选择角色批准者和通知选项。

提示	要了解有关批准进程的详细信息，请参阅帐户批准。

排除角色。就是说，如果此角色被分配给某个用户，则排除的一个角色或多个角色不会被分配。
选择可以分配此角色的组织。
编辑分配给此角色的资源的属性值。

编辑已分配的资源属性值

在 "Create Role" 页上的 "Assigned Resources" 区域中单击 Set Attribute Values，以显示分配给该角色的每个资源的属性列表。在此 "Edit" 属性页中，可以为每个属性指定新值，并确定如何设置属性值。Identity Manager 允许直接设置值，或使用一个规则来设置值；它还提供用于覆盖或合并现有值的一些选项。

选择以设置每个资源帐户属性的值：

Value override — 选择以下选项之一：
None — 默认选项。不设置任何值。
Rule — 使用规则设置值。如果选择此选项，则必须从列表中选择规则名称。
Text — 使用指定的文本设置值。如果选择此选项，则必须输入文本。
How to set — 选择以下选项之一：
Default value — 使规则或文本作为默认属性值。用户可更改或覆盖此值。
Set to value — 将属性值设置为规则或文本指定的值。设置该值将覆盖任何用户更改。
Merge with value — 合并当前属性值与规则或文本指定的值。
Merge with value, clear existing — 删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。
Remove from value — 从属性值中删除规则或文本指定的值。
Authoritative set to value — 将属性值设置为规则或文本指定的值。设置该值将覆盖任何用户更改。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。
Authoritative merge with value — 合并当前属性值与规则或文本指定的值。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。

对于多值属性，必须编辑系统信息库中的角色对象，以指明它占据一个逗号分隔值 (Comma-separated Value, CSV) 字符串；例如：

<RoleAttribute name='attrs role:Database Table:attrs' csv='true'>

Authoritative merge with value, clear existing — 删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。如果删除角色，则即使该属性先前具有相应值，仍会清除此角色指定的属性值。
Rule Name — 如果在 "Value override" 区域选择 "Rule"，则需要从列表中选择规则。
Text — 如果在 "Value override" 区域选择 "Text"，则需要输入要添加至属性值、从属性值删除或用作属性值的文本。

单击 OK 可保存所做的更改并返回 "Create Role" 或 "Edit Role" 页。

管理角色

可以从 "Roles" 页上的角色列表中对角色执行一系列操作。

Edit roles — 在角色列表中选择角色，并在打开的页中修改角色的属性。
Find roles — 在 "Roles" 区域中，选择 Find Roles。可按以下一种或多种搜索类型搜索角色：
名称
可用性
批准者
资源
资源组

如果选择多种搜索类型，则搜索必须符合所有指定条件才能成功地返回结果。搜索不区分大小写。

Clone or rename a role — 选择要编辑的角色，在 "Name" 字段中输入新名称，然后单击 Save。在显示的页中，单击 Create 以创建新角色。

重命名角色

要重命名角色，请执行以下步骤：

选择要编辑的角色。
在 "Name" 字段中输入新名称，然后单击 Save。

Identity Manager 将显示 "Create or Rename" 页。

单击 Rename 以更改角色名称。

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下，同步时资源被分配给角色。这适用于与任务一起创建的角色，同时也适用于现有的、与某个资源角色名匹配的 Identity Manager 角色。

在菜单栏中，选择 Tasks，然后选择 Run Tasks 选项卡，以访问 "Synchronize Identity System Roles with Resource Roles" 任务页。要启动任务，请指定同步任务的名称、资源、要使用的资源角色属性以及将应用角色的组织，然后单击 "Launch"。

---

配置 Identity Manager 资源

阅读本节的信息和过程可以帮助您设置 Identity Manager 资源。

什么是资源？

Identity Manager 资源存储关于如何连接到在其中创建帐户的资源或系统的信息。Identity Manager 资源定义有关某个资源的相关属性，并帮助指定资源信息如何在 Identity Manager 中显示。

Identity Manager 提供类型广泛的资源，包括：

主机安全管理器
数据库
目录服务
操作系统
企业资源计划 (Enterprise Resource Planning, ERP) 系统
消息平台

界面中的资源区域

Identity Manager 在 "Resources" 页上显示关于现有资源的信息。

要访问资源，请选择菜单栏上的 Resources。

资源按类型分组，它按照已命名的文件夹显示在列表中。要展开层次视图并查看当前已定义的资源，请单击文件夹旁的指示符。再次单击该指示符可以折叠此视图。

当展开资源类型文件夹后，它会动态更新并显示包含的资源对象数量（如果它是支持多个组的资源类型）。

有些资源含有可以管理的附加对象，包括以下对象：

组织
组织单位
组
 角色

从资源列表中选择一个对象，然后从以下某个选项列表中进行选择，以启动一个管理任务：

Resource Actions — 用于对资源执行一系列操作，包括编辑、活动同步、重命名和删除；还可以使用资源对象和管理资源连接。
Resource Object Actions — 编辑、创建、删除、重命名、另存和查找资源对象。
Resource Type Actions — 编辑资源策略、使用帐户索引和配置受管理的资源。

当您创建或编辑资源时，Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中，并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

从资源列表中可以选择要创建的资源，而该列表可通过管理员界面的 "Resources" 选项卡进行管理。从 "Resource Type Actions" 选项列表中选择 "Configure Managed Resources"，以选择要用于填充资源列表的资源。

在 "Managed Resources" 页上，Identity Manager 将资源分为两类：

Identity Manager resources — 包含在此表中的资源通常是由 Identity Manager 管理的资源。该表显示了资源类型和版本。通过选择 "Managed?" 列中的选项来选择一个或多个资源，然后单击 Save 将其添加到资源列表。
Custom resources — 使用此页面区域可以将自定义资源添加到 "Resources" 列表中。

要添加自定义资源：

单击 Add Custom Resource 向表中添加一行。
输入资源的资源类路径或输入您自定义创建的资源。
单击 Save 将资源添加到 "Resources" 列表。

表 4-1 列出了自定义资源类。

表 4-1  自定义资源类

自定义资源	资源类
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory Active Sync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financial	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

创建资源

可使用 Resource Wizard 创建资源。"Resource Wizard" 将引导您完成创建 Identity Manager 资源适配器的过程，以管理资源上的对象。

使用 "Resource Wizard" 可以设置：

资源特定的参数 — 创建此资源类型的特定实例时，可以从 Identity Manager 界面修改这些值。
帐户属性 — 在资源的模式映射中定义。这些值确定 Identity Manager 用户属性如何与资源上的属性映射。
帐户 DN 或身份模板 — 包括用户的帐户名称语法，它对分层结构的名称空间尤其重要。
Identity Manager 的资源参数 — 设置策略、建立资源批准者，并设置组织对资源的访问权限。

创建资源：

从 "Resource Type Actions" 选项列表中选择 New Resource。

Identity Manager 将显示 "New Resource" 页。

选择资源类型，然后单击 New，以显示 "Resource Wizard Welcome" 页。

注	也可先从资源列表中选择资源类型，然后再从 "Resource Type Actions" 列表中选择 "New Resource"。在这种情况下，Identity Manager 不会显示 "New Resource" 页，而是直接启动资源向导。

单击 Next 开始定义资源。"Resource Wizard" 步骤和页面按以下顺序显示：
Resource Parameters — 设置控制验证和资源适配器行为的资源特定参数。输入参数，然后单击 Test Connection，以确保连接有效。在确认连接有效后，单击 Next 设置帐户属性。图 4-1 显示了 "Resource Parameters" 页。

图 4-1  Resource Wizard：Resource Parameters



Account Attributes（模式映射） — 将 Identity Manager 帐户属性映射到资源帐户属性。

要添加属性，请单击 Add Attribute。选择一个或多个属性，然后单击 Delete Selected Attributes 从模式映射中删除属性。完成后，单击 Next 设置身份模板。

图 4-2 显示了 "Resource Wizard" 中的 "Account Attributes" 页。

图 4-2  Resource Wizard：Account Attributes（模式映射）



Identity Template — 定义用户的帐户名称语法。此功能对分层结构的名称空间尤其重要。

从 "Insert Attributes" 列表中选择属性。要从模板中删除属性，请在列表中单击，然后从信息串中删除一个或多个项目。删除属性名称以及前导和后续的 $（美元符号）字符。

图 4-3  Resource Wizard：Identity Template



Identity System Parameters — 为资源设置 Identity Manager 参数，包括重试和策略配置，如图 4-4 中所示。

图 4-4  Resource Wizard：Identity System Parameters

使用 Next 和 Back 在页间移动。完成所有选择后，单击 Save 以保存该资源，并返回至列表页。

管理资源

可以通过资源列表在资源上执行一系列编辑操作。除了在每个 "Resource Wizard" 页上编辑权能外，还可以：

删除资源 — 选择一个或多个资源，然后从 "Resource Actions" 列表中选择 "Delete"。可以同时选择几种类型的资源。不能删除与任何角色或资源组相关的资源。
搜索资源对象 — 选择某个资源，然后从 "Resource Object Actions" 列表中选择 "Find Resource Object" 以按对象特征查找资源对象（如组织、组织单位、组或个人）。
管理资源对象 — 对于某些资源类型，可以创建新的对象。选择资源，然后从 "Resource Object Actions" 列表中选择 "Create Resource Object"。
重命名资源 — 选择某个资源，然后从 "Resource Actions" 列表中选择 "Rename"。在出现的输入框中输入新的名称，然后单击 Rename。
克隆资源 — 选择某个资源，然后从 "Resource Actions" 列表中选择 "Save As"。在出现的输入框中输入新名称。克隆的资源以选择的名称显示在资源列表中。
对资源执行批量操作 — 指定一个资源列表和应用（从 CSV 格式的输入）到列表中所有资源的操作。然后启动批量操作以启动批量操作后台任务。

使用帐户属性

Identity Manager 资源使用模式映射定义来自外部资源的属性（资源帐户属性）的名称和类型；然后它们将上述属性映射到标准 Identity Manager 帐户属性。通过建立模式映射（在 "Resource Wizard" 的 "Account Attributes" 页上），可以：

仅将资源属性限制在公司需要的范围内。
创建与多个资源共用的公共 Identity Manager 属性名称。
标识所需用户属性和属性类型。

要访问这些值，请从资源列表中选择资源，然后从 "Resource Actions" 列表中选择 Edit Resource Schema。

模式映射的左列（标题为 "Identity system User Attribute"）包含 Identity Manager 帐户属性的名称，这些名称由 Identity Manager 的管理员界面和用户界面中使用的表单所引用。模式映射的右列（标题为 "Resource User Attribute"）包含来自外部源的属性名称。

通过定义 Identity System 属性名称，来自不同资源的属性可以用公共名称定义。例如，在 Active Directory 资源上，Identity Manager 中的 lastname 属性被映射到 Active Directory 资源属性 sn；在 GroupWise 上，fullname 属性可以被映射到 GroupWise 属性 Surname。这样，管理员仅需要填写一次 lastname 的值；当保存用户后，该值将传递给具有不同名称的资源。

资源组

使用资源区域还可以管理资源组，使您可以对资源进行分组，以按特定顺序更新这些资源。通过在组中加入资源并对资源排序，然后将组分配给用户，可确定创建、更新和删除该用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败，则其余资源不会被更新。这种关系类型对相关资源很重要。

例如，Exchange 5.5 资源依赖于现有的 Windows NT 或 Windows Active Directory 帐户：在可以成功创建 Exchange 帐户之前，其中之一必须存在。通过使用 Windows NT 资源和 Exchange 5.5 资源（按顺序）创建资源组，可以确保创建用户时的顺序正确。反过来，此顺序可以确保删除用户时资源按正确顺序删除。

选择 Resources，然后选择 List Resource Groups 以显示当前定义的资源组列表。在该页单击 New 以定义资源组。定义资源组时，有一个选项区域允许您在选择资源后对所选资源排序，并可以选择可以使用该资源组的组织。

全局资源策略

可以在资源的全局资源策略中编辑属性。在 "Edit Global Resource Policy Attributes" 页中，可以编辑以下策略属性：

Default Capture Timeout — 输入一个值（以毫秒为单位），以指定适配器超时前从命令行提示时算起该适配器应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当命令或脚本的结果很重要且将由适配器解析时，将使用此设置。

此设置的默认值为 30000（30 秒）。

Default Wait for Timeout — 输入一个值（以毫秒为单位），以指定在执行检查以查看命令是否使字符（或结果）就绪之前，脚本化适配器在两次轮询之间应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当适配器不检查命令或脚本的结果时，将使用此设置。
Wait for Ignore Case — 输入一个值（以毫秒为单位），以指定适配器在超时之前应等待命令行提示的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。不区分大小写（大写或小写）时，将使用此设置。
Resource Account Password Policy — （如果适用）选择要应用于选定资源的资源帐户密码策略。None 是默认选项。
Excluded Resource Accounts Rule — （如果适用）选择管理排除资源帐户的规则。None 是默认选项。

必须单击 Save 才能保存对策略所做的更改。

设置其他超时值

通过编辑 Waveset.properties 文件可以修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定此值，则系统将使用默认值 50。

要设置此值，请将以下行添加到 Waveset.properties 文件：

com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds。

批量资源操作

通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。

图 4-5 显示了使用创建操作的批量操作的启动页。

图 4-5  "Launch Bulk Resource Actions" 页

用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择 From Action List 以指定多个操作。

Actions — 要指定单个操作，请选择以下选项之一："Create"、"Clone"、"Update"、"Delete"、"Change Password" 和 "Reset Password"。

对于单个操作选项，系统将显示选项，可以使用这些选项指定与该操作有关的资源。对于 "Create" 操作，您需要指定资源类型。

如果指定 "From Action List"，请使用 Get action list from 区域指定要使用的包含操作的文件或在输入区域中指定的操作。

注	在输入区域列表中或在文件中输入的操作必须为以逗号分隔值 (Comma-separated Value, CSV) 格式。

Maximum Results Per Page — 使用此选项可指定在每个任务结果页上显示的批量操作结果的最大数目。默认值为 200。

单击 Launch 以启动操作，该操作将作为后台任务运行。

---

Identity Manager ChangeLog

阅读本节中有关 Identity Manager ChangeLog 功能的信息以及有助于配置和使用 ChangeLog 的过程。

什么是 ChangeLog？

通过 ChangeLog 可以查看 Identity Manager 资源中包含的身份属性信息。每个 ChangeLog 都定义为捕获对身份属性子集的更改。

随着资源中属性数据的更改，活动同步适配器将捕获信息，然后将更改写入 ChangeLog。然后，专为与企业资源进行交互而开发的自定义脚本将读取 ChangeLog 并更新资源。

使用 ChangeLog 可以通过自定义脚本间接与来自置备系统的资源进行通信，因此 ChangeLog 功能与 Identity Manager 的标准资源活动同步和协调功能有所不同。

ChangeLog 与安全

Identity Manager 的 ChangeLog 功能需要本地文件系统中指定目录的写入权限。默认情况下，某些 Web 容器不允许本地文件系统访问其托管的 Web 模块（如 Identity Manager）。

可以通过编辑 Java 策略文件来授予访问权限。如果将 /tmp/changelogs 用作目录，策略文件应该包含：

grant {
    permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

必须为指定的每个 ChangeLog 目录定义文件权限。

默认的 Java 安全策略文件位于：

$JAVA_HOME/jre/lib/security/java.policy

编辑该文件可能就已足够；但是，如果使用自己的文件（而非默认文件），则服务器运行时将使用诸如以下所示的选项：

-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy

在这种情况下，编辑由 java.security.policy 系统属性标识的文件。

注	可能需要在编辑安全策略文件后重新启动 Web 容器。

ChangeLog 功能要求

ChangeLog 功能要求先配置身份属性再配置 ChangeLog。

注	完成配置身份属性和事件一节中所述的步骤可以满足这些要求。

配置 ChangeLog

可以通过创建 ChangeLog 策略和 ChangeLog 来配置 ChangeLog。每个 ChangeLog 都必须有关联的 ChangeLog 策略。ChangeLog 定义更改子集，其中的更改由活动同步检测到并通过身份属性来推送，应写入日志。与其关联的 ChangeLog 策略定义写入 ChangeLog 文件的方式。自定义脚本将使用 ChangeLog 文件。

要配置 ChangeLog 和 ChangeLog 策略，请选择 Meta View，然后选择 ChangeLogs。

Identity Manager 将显示 "ChangeLog Configuration" 页，其中有两个摘要区域。

注	如果尚未配置身份属性，则 "ChangeLogs" 选项卡不可见。

图 4-6  ChangeLog Configuration

ChangeLog 策略摘要

ChangeLog 策略摘要区域显示当前已定义的 ChangeLog 策略。要编辑现有 ChangeLog 策略，请在列表中单击其名称。要创建 ChangeLog 策略，请单击 Create Policy。

要删除一项或多项 ChangeLog 策略，请在列表中选择相应的策略，然后单击 Remove Policy。（无需确认即可执行此操作。）

ChangeLog 摘要

ChangeLog 摘要区域显示当前已定义的 ChangeLog。要编辑现有 ChangeLog，请在列表中单击其名称。要创建 ChangeLog，请单击 Create ChangeLog。

要删除一个或多个 ChangeLog，请在列表中选择相应的 ChangeLog，然后单击 Remove ChangeLog。（无需确认即可执行此操作。）

保存对 ChangeLog 配置的更改

必须在“ChangeLog 配置”页中保存对 ChangeLog 配置（即 ChangeLog 策略或定义的 ChangeLog）进行的所有更改。单击 Save 以保存更改并返回至元视图。

创建和编辑 ChangeLog 策略

在 "Edit ChangeLog Policy" 页上输入内容或进行选择，可以创建或编辑 ChangeLog 策略：

Policy Name — 输入策略的唯一名称。
Daily Start Time — 确定每天的时间，用于计算轮转开始或发生更改的时间。使用此策略的 ChangeLog 将于此时开始新轮转，并从此时起每隔一个计算的时间增量开始一次新轮转。例如，如果开始时间设置在午夜 (00:00)，"Rotations Per Day" 为 3，则日志文件的前缀将在 00:00、08:00 和 16:00 发生变化。

系统将按以下模式命名文件：cl_User_yyyyMMddHHmmss.n.suffix，其中 HHmmss 是轮转最近一次开始的时间。(（n 是序列号，suffix 是在 ChangeLog 定义中提供的后缀。）

使用 "00:00" 作为开始时间并且每天轮转次数为 3 时，如果要在某天上午 9:24 激活 ChangeLog，则产生的轮转名称将包含最近的轮转开始时间（如 08:00）。在这种情况下，文件名将以 cl_User_yyyyMMdd080000 开头。新轮转（文件名的新前缀）将在 16:00 开始。

Rotations Per Day — 指定每天要轮转日志的次数。例如，如果要每隔 4 小时轮转一次，请输入值 6。

此值必须为非负整数。值 0 表示忽略此字段。如果此字段的值不是零，则会忽略 "Maximum Age of a Rotation" 设置。

如果以秒为单位指定轮转的时间，并且 "Rotations Per Day" 字段的值为 0，则轮转时间值将用于确定轮转的周期。

此值必须为非负整数。如果在 "Rotations Per Day" 字段中指定了非零值，则会使用该值（不会使用轮转时间值）。如果这两个字段的值都是 0，将仅应用序列信息。（这种情况下甚至不使用 "Daily Start Time" 的值。）

Number of Rotations to Keep — 指定在 Identity Manager 删除轮转之前允许累积的轮转次数。例如，如果每天轮转 3 次，并且要在日志中保存 2 天的更改，请指定值 6。
Maximum File Size in Bytes — 如果要向当前文件写入更改时将超出此限制，则会启用一个新的日志文件（其轮转前缀相同，但序列号不同）。值 0 表示不采用此限制。所有非零限制字段（大小、行数、使用期限）都将被使用；但是，系统将先检查此限制再检查其他限制。
Maximum File Size in Lines — 如果写入更改会使当前文件的行数超出此限制，则会创建一个新序列文件，超出的行将写入新文件。值 0 表示无限制。系统将在大小限制后和使用期限限制前检查此限制。
Maximum File Age in Seconds — 如果收到更改并且现有序列文件的使用期限已超过此处指定的秒数，则系统将先创建一个新序列文件再写入更改。值 0 表示不采用此限制。系统将先应用其他非零限制再应用此限制。

单击 OK 返回至 "ChangeLog Configuration" 页。必须在配置页中单击 "OK" 才能保存新 ChangeLog 策略或对现有策略的更改。

创建和编辑 ChangeLog

在 "Edit ChangeLogs" 页中输入内容和进行选择，可以创建或编辑 ChangeLog：

ChangeLog Name — 输入 ChangeLog 的唯一名称。
Active — 如果选择此选项，则 ChangeLog 将在更改通过活动同步资源并进入身份属性时监视并写入更改（必须将活动同步作为身份属性应用程序，才能进行此操作）。
Filter — 输入要使用的 ChangeLog 过滤器的名称。Noop 表示使用默认过滤器，即接受所有更改。对于大多数情况，这已足够。否则，必须指定一个实现 com.sun.idm.changelog.ChangeLogFilter 的 Java 类。该类必须位于服务器的类路径中，而且必须具有公共默认构造函数。
Log these Operations — 记录选定类型的事件，包括创建、更新和删除。未选定的事件将被忽略。
ChangeLog View — 使用此表可以定义 ChangeLog 的内容（列）。表中每行都将指定 ChangeLog 中的列。单击 Add Column 添加 ChangeLog 列。每列都有名称、类型和身份属性名称。行的顺序将表明列的顺序。定义列之后，可以使用 Up 和 Down 按钮对列进行排序。

注	在每个 ChangeLog 中名为 changeType 的表内，第一列都是隐藏的。隐藏的第一列指示更改的类型。此列的类型为 "Text"。日志中的数据将使用以下一种值：ADD、MOD 或 DEL。

Use the Policy Named — 从列表中选择用于日志记录的已定义 ChangeLog 策略。
Output Path — 输入文件系统中目录的名称，该目录中将包含日志文件。该目录可以在网络中的非本地位置；但最好使用服务器的本地目录。建议仅在每个位置只存储一个 ChangeLog。
Suffix — 输入用于 ChangeLog 文件的后缀（例如，.csv）。可以用选定的后缀来区分这些文件和其他 ChangeLog 文件。

单击 OK 返回至 "ChangeLog Configuration" 页。必须在配置页中单击 "OK" 才能保存新 ChangeLog 或对现有 ChangeLog 的更改。

示例

以下示例详细说明了如何设置身份属性和用于捕获属性数据特定集的 ChangeLog。

示例：定义身份属性

在此示例中，两个 Identity Manager 资源（资源 1 和资源 2）向第三个资源（资源 3）提供源数据。资源 3 未与 Identity Manager 系统直接连接。需要建立一个 ChangeLog，以便从资源 1 和资源 2 送往资源 3 的数据中拉取并维护一个数据子集。

资源 1：EmployeeInfo
employeeNumber*
givenname
mi
surname
phone

资源 2：OrgInfo
employeeNum*
managerEmpNum
departmentNumber

资源 3：PhoneList
empId*
fullname
phone
department

注	* 表示用于关联记录的关键字。

下表定义了身份属性。

表 4-2  用于使用更改日志示例的身份属性  

属性	<==	From Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstName	<==	EmployeeInfo.givename
lastName	<==	EmployeeInfo.surname
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + ??+ middleInitial + ??+ lastName
phoneNumber	<==	EmployeeInfo.phone

示例：配置 ChangeLog

在定义身份属性之后定义名为 PhoneList ChangeLog 的 ChangeLog。该 ChangeLog 用于将身份属性子集写入 ChangeLog 文件。

PhoneList ChangeLog 中的 ChangeLogView

列名称	类型	身份属性
empId	文本	employee
fullname	文本	fullname
phone	文本	phoneNumber

资源 1 或资源 2 中的记录发生更改时，系统会将 ChangeLog 记录（来自身份属性的所有数据）的整个数据集合（不只是更改）写入该 ChangeLog。自定义脚本将读取该信息并用其填充资源 3。

ChangeLog 中的 CSV 文件格式

对于 ChangeLog 写入的以逗号分隔值 (Comma-separated Value, CSV) 文件，阅读本节可以了解有关其格式的信息。

请考虑由行和列构成的 ChangeLog 文件，如电子表格或数据库表。每“行”就是文件中的一行。

ChangeLog 格式使用前两行描述其自身。这两行共同定义“模式”，即表中每个“单元”（行中逗号之间的值）的逻辑名称和逻辑类型。

第一行指定文件中属性的名称。第二行描述属性值的类型。其他行显示更改事件的所有数据。

ChangeLog 文件以 Java UTF-8 格式编码。

列

文件中的第一列具有特殊意义。此列用于定义操作类型；例如，更改事件是创建操作、修改操作还是删除操作。该列的名称始终为 changeType，类型始终为 T（表示文本）。其值为以下值之一：ADD、MOD 或 DEL。

仅有一列中应显示条目的唯一标识符（主关键字），通常为文件中的第二列。

其他列仅用于命名属性。该名称是取自 ChangeLog 视图表内的列名称值。

行

除定义文件模式的前两个标题行外，其余的行都显示属性的值。这些值按第一行中的列顺序显示。ChangeLog 从身份属性应用，因而包含在删除更改时有关用户的所有已知数据。

此外，其中没有表示 null（或未设置）的特殊标记值。如果检测到更改时没有发现值，ChangeLog 将写入一个空字符串。

值根据文件第二行指定的列类型编码。支持的类型包括：

T：文本
B：二进制
MT：多文本
MB：多二进制

文本值

文本值以字符串的形式写入，有两种例外：

如果值包含 ,（逗号），则 Identity Manager 将通过插入 \（反斜杠）字符对值中的逗号进行转义。例如，如果 fullname 的值是 Doe, John，则 Identity Manager 写入的值将是
Doe \,John。
如果值包含 \（反斜杠）字符，则 Identity Manager 将通过添加另一个 \ 对其进行转义。例如，如果 homedir 的值包含 C:\users\home，则 Identity Manager 写入日志的值将是 C:\\users\\home。

文本值不能包含换行符。如果文件需要换行符，请使用二进制值类型。

二进制值

二进制值以 Base64 编码。

多文本值

多文本值的写入方式类似于文本值，但这种值以逗号分隔，两侧有方括号（使用 [ 和 ]）。

多二进制值

多二进制值的写入方式类似于二进制值（以 Base64 编码），但这种值也以逗号分隔，两侧有方括号（使用 [ 和 ]）。

格式设置示例

以下示例说明了各种输出格式。每个示例的格式如下：

column1,column2,column3,column4

每个示例的第 3 列显示示例文本。

文本 (T) 数据在文件中显示为字符串：

ADD,account0,一些文本数据,column4

二进制 (B) 数据显示为 base64 编码格式。

ADD,account0,FGResWE23WDE==,column4

多文本 (MT) 的显示格式如下：

ADD,account0,[一,二,三],column4

多二进制 (MB) 的显示格式如下：

ADD,account0,[FGResWE23WDE==,FGRCAFEBADE3sseGHSD],column4

注	Base64 字母表中不包括 ,（逗号）、[（左方括号）、]（右方括号）字符或换行符。

ChangeLog 文件名

文件名的格式如下：

servername_User_timestamp.sequenceNumber.suffix

其中：

timestamp 是开始使用或轮转使用此日志的时间。将具有相同时间戳的文件视为一个轮转。
sequenceNumber 是一种单调递增的值，用于将轮转拆分成文件子集，这些文件受字节数上限、行数或秒数的限制。这些文件中的每个文件都称为一个序列文件。
suffix 是在 ChangeLog 配置中定义的文件扩展名，通常是 .csv。

配置轮转和序列

轮转和序列在 ChangeLogPolicy 对象中定义，从 ChangeLog 中引用。

示例

某项策略将如下定义轮转：

从上午 7:00 开始。
每天轮转 3 次，持续两天

该策略产生的文件名类似于以下名称。（其中每次轮转中都有两个序列文件。）

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

可见，1 月 1 日有 3 次轮转，每次间隔 8 小时，从 07:00:00 开始。1 月 2 日 与此类似，仅名称中与日 (20060102) 对应的部分不同。

编写 ChangeLog 脚本

阅读本节可以了解有关有助于编写 ChangeLog 脚本的信息。

脚本很可能会持续运行，等待新数据、新文件或在无活动时休眠；然后只是读取文件并将每行的更改应用于后端资源。
ChangeLog 支持删除操作；但 DEL 行中将只包括 accountId 值。
使用轮转和序列可以确定运行脚本的频率。例如，可以指定：
在午夜轮转；在首次轮转后，每晚都对上一次轮转运行脚本。
每 4 小时轮转一次，从上午 8:00 开始，然后每 4 小时运行一次脚本（在 8 点、12 点、16 点、20 点、24 点、4 点……）
在不轮转的情况下运行脚本，使脚本在序列号突变时读取序列文件。可以控制序列号增大的方式；可以通过大小、数值运算或时间来控制。
可以将每个 ChangeLog 都视为表示后端系统中的记录。为便于脚本读取日志，Identity Manager 始终写入给定记录的所有数据（不论其是否已更改）。脚本可以“盲目”地在记录中应用数据。

但它们需要确保后端资源（或脚本）可以进行以下两种操作之一（尤其是对于 ADD 和 DEL）：

以幂等方式应用数据。(（幂等表示，如果重复应用数据，则不会产生任何效果。）如果脚本从头至尾读取两次 ChangeLog，则资源中数据记录的状态在每次读取后将完全相同。
最多应用一次数据。例如，对于添加和删除操作，如果资源无法实现幂等，则脚本必须通过仅读取一次日志条目或跟踪其进度确保仅应用一次更改。

一种可取的方法可能是待序列文件出现后应用先前的文件。例如，在 .2 文件出现后应用 .1 文件。在 .3 文件出现后，应用 .2。应用文件后，请记录您已对磁盘进行此操作。通过这种方法可以避免使用 fstat 或
tail -f 等调用。

---

配置身份属性和事件

可以使用管理员界面的 "Meta View" 区域配置身份属性和事件。使用以下部分中的信息和步骤可以配置 Identity Manager 身份属性和身份事件，以及选择要应用属性和事件的 Identity Manager 系统应用程序。

使用身份属性

要配置身份属性，请选择 MetaView，然后选择 Identity Attributes。将显示 "Identity Attributes" 页。下图显示了此页的示例。

图 4-7  在 "Meta View" 中配置 "Identity Attributes"

要添加身份属性，请单击 Add Attribute。将身份属性添加到列表中后，可以通过在列表中单击其名称予以编辑。要删除一个或多个身份属性，请选择相应属性，然后单击 Remove Selected Attributes。

可以选择一个或多个要添加到属性或从属性中删除的响应。

在单击 Save 后，操作才会生效。

如果自上次修改身份属性之后，资源已更改，则 "Identity Attributes" 页将显示以下警告消息（图 4-8）。单击警告消息中的 Configure the Identity Attributes from resource changes 以同化更改。

图 4-8  

"Resources Have Changed" 警告消息

密码

配置活动同步，以在一个或多个资源上创建用户。创建 Identity Manager 用户时需要指定密码，但出于安全原因，多数资源不允许读取密码。如果尚未设置密码生成，请单击 Configure password generation。

选择如何设置身份用户以及通过活动同步创建的其他资源帐户的密码：

Use default password — 选择此选项，然后输入密码。password.password 身份属性将通过此值设置用户密码。
Use rule to generate password — 选择此选项以选择密码生成使用的规则。password.password 身份属性将使用选定的规则生成密码。
Use Identity System Account Policy password generation — 选择此选项以选择密码生成使用的策略。选择此选项会将 waveset.assignedLhPolicy 身份属性设置为选定的策略。如果未配置选定的策略以生成密码，并且您具有创建和修改策略所需的权限，则页面将重新显示其他选项，通过这些选项您可以创建策略的副本或修改现有策略。

此选项可根据为 Identity System 帐户策略配置的密码策略生成随机密码。由于依赖于随机密码生成，因此这是最安全的密码生成选项。

选择应用程序

使用 "Enabled Applications" 区域选择要应用身份属性的 Identity System 应用程序。从 "Available applications" 区域中选择一个或多个应用程序，然后将其移至 "Enabled Applications" 区域。在单击 Save 后，操作才会生效。

注	要使用 ChangeLog 功能，必须启用活动同步应用程序。有关详细信息，请参见活动同步适配器。

添加和编辑身份属性

在 "Add Identity Attributes" 页或 "Edit Identity Attributes" 页中，进行以下选择以添加或编辑身份属性：

Attribute Name — 选择或输入属性名称。从所提供的默认值中进行选择（从资源模式映射条目、可操作的身份属性和用户扩展的属性中选择）；或在文本框中输入值。
Sources — 选择一个或多个源，用于填充此身份属性的值。将按顺序对源进行评估，然后将身份属性设置为第一个非 null 值。
Resource — 该值来自选定资源的选定属性。
Rule — 该值来自选定规则的评估。
Constant — 该值被设置为提供的常量值。

单击 +（加号）可以添加新行，以选择另一个源。单击源旁边的 -（减号）可以将其删除。要对源重新排序，请单击箭头以在列表中按升序或降序排序。

Attribute Properties — 使用此区域可指定身份属性的属性设置。
How to set Identity Attribute — 选择以下选项之一可指定 Identity Manager 将如何在资源上设置属性值：
Set to value — 在所有目标上按照授权设置身份属性的值。选择此选项会使由源确定的值覆盖用户在表单中输入的所有值。对于典型实现，此选项是适当的设置。
Default value — 仅在目标上未设置值时，才设置属性值。
Merge with value — 将值添加到现有值。重复的值将被过滤掉。
Store attribute in IDM repository — 选择该选项可以在本地将身份属性存储在 Identity System 系统信息库中。如果要对身份属性强制存储 Identity System 用户，或者需要该属性能够处理查询，请选择此选项。
Set value on all assigned resources — 如果应在支持身份属性的所有已分配资源上全局设置该属性，请选择此选项。
Targets — 选择将设置此身份属性的目标资源。如果未指定目标，则单击 Add Target。要从列表中删除目标，请选择相应目标，然后单击 Remove Selected Targets。

单击 OK 添加身份属性并返回至 "Identity Attributes" 页。必须单击 "Identity Attributes" 页上的 Save 才能保存添加的身份属性。

添加目标资源

如果仅将身份属性用于 ChangeLog，则不必为身份属性设置目标。例如，如果要使用 ChangeLog，但还要使用标准的“输入表单”来通过活动同步推送数据，则可以为身份属性设置目标。如果没有任何目标，则 MetaView 将仅计算身份属性的值，而不会对任何其他资源设置这些值。

进行选择以添加要设置身份属性的目标资源：

Target Resource — 选择将设置选定身份属性的目标资源。
Target Attribute — 选择将取得该值的目标资源属性的名称。
Condition — 选择要运行的规则，此规则用于确定是否要对此目标资源设置选定的身份属性。此规则将返回值 true 或 false。如果未设置条件，则始终会对选定的事件类型设置目标属性。
Apply To: — 选择事件类型，将针对这些类型对此目标资源设置选定的身份属性。这些选项与“条件”共同确定是否应设置目标属性。

单击 OK 以添加目标资源并返回至 "Add Identity Attribute" 页或 "Edit Identity Attribute" 页。

删除目标资源

要删除一个或多个目标资源，请在列表中选择相应目标资源，然后单击 Remove Selected Targets。

导入身份属性

使用导入身份属性功能可以选择一个或多个要用于导入和填充身份属性值的表单。Identity Manager 将分析导入的表单值，然后通过“最佳猜测”推测出身份属性；但是，在导入后可能需要编辑身份属性。

选择以下导入选项：

Merge with existing Identity Attributes — 如果选择此选项，Identity Manager 会将导入的值与现有身份属性合并。如果未选择此选项，则会先清除身份属性再进行导入。
Forms to import — 从 "Available Forms" 区域中选择一个或多个表单来填充身份属性。

单击 Import 以导入表单。将显示 "Identity Attributes" 页，其中列出新的身份属性或合并的身份属性。

单击 Save 以保存对身份属性的更改。

注	如果有身份属性条件需要更正，Identity Manager 将显示 "Warning" 页，其中列出一条或多条警告。单击 OK 可以返回至 "Configure" 区域。

配置身份事件

还可以为由 Identity Manager 管理的资源配置身份事件，以定义在这些资源上发生的事件的行为。在身份事件中定义的行为将在活动同步期间使用，以确定事件发生的时间以及执行相应操作以对该事件做出响应的时间。

例如，您可以配置身份事件，以检测用于触发要删除的身份用户和所有其他资源帐户的授权人力资源 (Human Resources, HR) 系统上的删除，并对其做出响应。

要配置身份事件，请选择 MetaView，然后选择 Identity Events 选项卡。在 "Identity Events" 页上，单击 Add Event 并指定事件类型。还可以通过选择 "Identity Event" 页上的事件并指定以下选项来编辑身份事件。

Event Type — 选择 "Delete"、"Enable" 或 "Disable" 以指定配置的身份事件类型。
Sources — 选择要应用身份事件的资源（例如对于 Active Directory 为 AD）。如果资源需要事件检测规则来检测和响应事件（因为其不具有本机支持），请在 determined by 字段中选择规则。可以添加和删除资源。
Responses — 从 "Response" 列表中选择响应，或单击 Add Response 以添加响应（如果未定义任何响应）。要从选择列表中删除响应，请选择相应响应，然后单击 Remove Selected Responses。

完成选择后，单击 OK。

---

配置 Identity Manager 策略

阅读本节可以了解配置用户策略的信息和步骤。

什么是策略？

Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的限制，对 Identity Manager 用户设置限制。

注	Identity Manager 还提供专用于审计用户遵循性的审计策略。第 11 章“身份审计”中对审计策略进行了论述。

可在 "Policies" 页中创建和编辑 Identity Manager 用户策略。在菜单栏中选择 Security，然后选择 Policies。在显示的列表页中，可以编辑现有策略和创建新的策略。

策略按以下类型分类：

Identity System 帐户策略 — 建立用户、密码以及验证策略选项和约束。通过 "Create Organization" 和 "Edit Organization" 页以及 "Create User" 和 "Edit User" 页，可以将 Identity System 帐户策略（在图 4-9 中显示）分配给组织或用户。

图 4-9  Identity Manager 策略

可以设置或选择的选项包括：

User policy options — 指定 Identity Manager 在用户不能正确回答验证问题时如何处理用户帐户
Password policy options — 设置密码到期日期、到期前的警告时间以及重设选项
Authentication policy options — 确定以何种方式向用户显示验证问题、用户是否可以提供其自己的验证问题，以及建立可以向用户显示的问题库（最多 10 个问题）。

SPE System Account policies — 此策略类型在服务提供商实现中使用，为服务提供商用户建立用户、密码和验证策略选项和约束。通过 "Create Organization" 和 "Edit Organization" 页以及 "Create SPE User" 和 "Edit SPE User" 页，可将策略分配给组织或用户。
String Quality Policies — 字符串质量策略包括密码、AccountID、验证等策略，可以设置长度规则、字符类型规则，还可以设置允许的字词和属性值。此策略类型绑定到每个 Identity Manager 资源，并在每个资源页上进行设置。图 4-10 提供了一个示例。

图 4-10  创建/编辑密码策略

可以为密码和帐户 ID 设置的选项和规则包括：

Length rules — 确定最小和最大长度。
Character type rules — 设置字母、数字、大写、小写、重复和顺序字符的最小和最大允许值。
Password re-use limits — 指定在当前密码之前使用的、不能重新使用的密码的数量。当用户试图更改其密码时，新密码将与密码历史记录进行比较，以确保该密码是唯一密码。出于安全原因，以前密码的数字签名将被保存；而新密码将与此进行比较。
Prohibited words and attribute values — 指定不能作为 ID 或密码的组成部分使用的字词和属性。

策略中不得包含属性

可在 UserUIConfig 配置对象中更改“不得包含”属性允许的设置。UserUIConfig 中列出的属性如下：

<PolicyPasswordAttributeNames> — 策略类型 "Password"
<PolicyAccountAttributeNames> — 策略类型 "AccountId"
<PolicyOtherAttributeNames> — 策略类型 "Other"

字典策略

字典策略使 Identity Manager 可以对照字词数据库检查密码，以确保密码不会轻易受到字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成，从而使利用字典也很难猜出在系统中生成或更改的密码。

字典策略扩展了能够用该策略进行设置的密码排除列表。（此列表是使用 "Administrator Interface" 密码 "Edit Policy" 页中的 "Must Not Contain Words" 选项实现的。）

配置字典策略

要设置字典策略，必须：

配置字典服务器支持
加载字典

请按照以下步骤操作：

在菜单栏中选择 Configure，然后选择 Policies。
单击 Configure Dictionary 显示 "Dictionary Configuration" 页。
选择并输入数据库信息：
Database Type — 选择用于存储字典的数据库类型（Oracle、DB2、SQLServer 或 MySQL）。
Host — 输入数据库正在其中运行的主机的名称。
User — 输入连接到数据库时要使用的用户名。
Password — 输入连接到数据库时要使用的密码。
Port — 输入数据库正在侦听的端口。
Connection URL — 输入要在连接时使用的 URL。可使用以下模板变量：
%h — 主机
%p — 端口
%d — 数据库名称
Driver Class — 输入与数据库交互时使用的 JDBC 驱动程序类。
Database Name — 输入将要加载字典的数据库名称。
Dictionary Filename — 输入要在加载字典时使用的文件名。
单击 Test 以测试数据库连接。
如果连接测试成功，请单击 Load Words 以加载字典。加载任务可能需要几分钟才能完成。
单击 Test 以确保正确加载字典。

实现字典策略

从 Identity Manager 策略区域实现字典策略。在 "Policies" 页中单击以编辑密码策略。在 "Edit Policy" 页中，选择 "Check passwords against dictionary words" 选项。字典策略实现后，系统会根据字典来检查所有更改的或生成的密码。

---

自定义电子邮件模板

Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板：

Access Review Notice — 发送需要查看用户访问权限的通知。当必须修正或缓解访问策略的违规时，系统发送此通知。
Account Creation Approval — 向批准者发送通知，告知有新帐户等待其批准。当相关角色的 "Provisioning Notification Option" 设置为批准时，系统发送此通知。
Account Creation Notification — 发送通知，告知已经用特定角色分配创建了一个帐户。当在 "Create Role" 或 "Edit Role" 页的 "Notification recipients" 字段中选择了一个或多个管理员时，系统会发送此通知。
Account Deletion Approval — 向批准者发送通知，告知有用户帐户删除操作等待其批准。当在 "Create Role" 或 "Edit Role" 页的 "Notification recipients" 字段中选择了一个或多个管理员时，系统会发送此通知。
Account Deletion Notification — 发送通知，告知已删除帐户。
Account Update Notification — 向指定电子邮件地址或用户帐户发送通知，告知已更新帐户。
Password Reset — 发送 Identity Manager 密码重设通知。根据为相关 Identity Manager 策略选择的 "Reset Notification Option" 值，系统会立即（在 Web 浏览器中）为重设密码的管理员显示通知，或者向密码将被重设的相应用户发送电子邮件。
Password Synchronization Notice — 通知用户已成功完成对所有资源的密码更改。这种通知将列出已成功更新的资源，还将指明密码更改请求的来源。
Password Synchronization Failure Notice — 通知用户未成功完成对所有资源的密码更改。这种通知将列出错误，还将指明密码更改请求的来源。
Policy Violation Notice — 发送帐户已发生策略违规的通知。
Reconcile Account Event、Reconcile Resource Event、Reconcile Summary — 分别由 "Notify Reconcile Response"、"Notify Reconcile Start" 和 "Notify Reconcile Finish" 默认工作流调用。通知按照在每个工作流中的配置发送。
Report — 向指定的一列收件人发送生成的报告。
Request Resource — 向资源管理员发送通知，告知某个资源已被请求。当管理员从 "Resources" 区请求资源时，系统会发送此通知。
Retry Notification — 向管理员发送通知，告知已对某个资源尝试了指定次数的特定操作，但未成功。
Risk Analysis — 发送风险分析报告。当一个或多个电子邮件收件人被指定为资源扫描的组成部分时，系统会发送此报告。
Temporary Password Reset — 向用户或角色批准者发送通知，告知已经为帐户提供了临时密码。根据为相关 Identity Manager 策略选择的 "Password Reset Notification Option" 值，系统会立即（在 Web 浏览器中）为用户显示通知，发送电子邮件给用户，或者发送电子邮件给角色批准者。

编辑电子邮件模板

可以通过自定义电子邮件模板为收件人提供具体指导，告诉他如何完成一项任务或如何查看结果。例如，您可能想要通过添加以下消息自定义 "Account Creation Approval" 模板以将批准者引导到帐户批准页：

请转至 http://host.example.com:8080/idm/approval/approval.jsp 以批准为 $(fullname) 创建帐户。

要自定义电子邮件模板，请执行以下步骤（该步骤使用 "Account Creation Approval" 模板作为示例）：

在菜单栏中选择 Configure。
在 "Configure" 页中选择 Email Templates。
单击以选择 "Account Creation Approval" 模板。

图 4-11  编辑电子邮件模板



输入模板的详细信息：
在 "SMTP Host" 字段中，输入 SMTP 服务器名称以便发送电子邮件通知。
在 "From" 字段中，自定义发件地址。
在 "To" 和 "Cc" 字段中，输入一个或多个将收到电子邮件通知的电子邮件地址或 Identity Manager 帐户。
在 "Email Body" 字段中，自定义内容以提供指向 Identity Manager 位置的指针。
单击 Save。

也可以通过使用 Identity Manager IDE 修改电子邮件模板。有关 IDE 的详细信息，请参见 Identity Manager 部署工具。

电子邮件模板中的 HTML 和链接

可以在电子邮件模板中插入 HTML 格式的内容，使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容，请选择 "HTML Enabled" 选项。

电子邮件正文中允许使用的变量

也可以在电子邮件模板正文中包括变量的引用，格式为 $(Name)；例如：您的密码 $(password) 已恢复。

下表定义了每个模板允许使用的变量。

.

表 4-3  电子邮件模板变量

模板	允许的变量
密码重设	$(password) — 新生成的密码
更新批准	$(fullname) — 用户的全称 $(role) — 用户的角色
更新通知	$(fullname) — 用户的全称 $(role) — 用户的角色
报告	$(report) — 生成的报告 $(id) — 任务实例的编码 ID $(timestamp) — 电子邮件发送的时间
请求资源	$(fullname) — 用户的全称 $(resource) — 资源类型
风险分析	$(report) — 风险分析报告
临时密码重设	$(password) — 新生成的密码 $(expiry) — 密码到期日期

---

配置审计组和审计事件

设置审计配置组使您可以记录和报告您选择的系统事件。配置审计组和事件需要配置审计管理权能。

要配置审计配置组，请在菜单栏中选择 Configure，然后选择 Audit。

"Audit Configuration" 页将显示审计组的列表，每个组可包含一个或多个事件。对于每个组，您可记录成功事件、失败事件或两者都记录。

单击列表中的审计组以显示 "Edit Audit Configuration Group" 页。此页允许您选择审计事件的类型，将在系统审计日志的审计配置组中记录这些类型。

检查是否已选中 "Enable Audit" 复选框。清除复选框以禁用审计系统。

编辑审计配置组中的事件

要编辑组中的事件，您可为对象类型添加或删除操作。要执行此操作，请将 "Actions" 列中的项目从该对象类型的 Available 区域移动到 Selected 区域，然后单击 OK。

为审计配置组添加事件

要在组中添加事件，请单击 New。Identity Manager 将事件添加到页的底部。从列表的 "Object Type" 列中选择一个对象类型，然后将 "Actions" 列中的一个或多个项目从新对象类型的 "Available" 区域移动到 "Selected" 区域。单击 OK 将事件添加到该组。

---

Remedy 集成

可以将 Identity Manager 与 Remedy 服务器集成，从而使之能够根据指定的模板发送 Remedy 票证。

在 "Administrator Interface" 界面的两个区域设置 Remedy 集成：

Remedy server settings — 通过在 "Resources" 区域创建 Remedy 资源来设置 Remedy 配置。资源设置完成后，请测试连接以确保集成可用。
Remedy template — Remedy 资源设置完成后，定义 Remedy 模板。要执行此操作，请选择 Configure，然后选择 Remedy Integration。然后选择 Remedy 模式和资源。

Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好，可以在使用已定义模板的合适时间执行调用，以打开 Remedy 票证。有关配置工作流的详细信息，请参见 Identity Manager 工作流、表单和视图。

---

配置 Identity Manager 服务器设置

可编辑特定于服务器的设置，以使 Identity Manager 服务器仅运行特定任务。为此，请选择 Configure，然后选择 Servers。

要编辑单个服务器的设置，可在 "Configure Servers" 页的列表中选择一个服务器。Identity Manager 将显示 "Edit Server Settings" 页，可在其中编辑协调程序、调度程序、JMX 和其他设置。

协调程序设置

默认情况下，协调程序设置显示在 "Edit Server Settings" 页上。您可接受默认值或取消选定 Use default 选项以指定一个值：

Parallel Resource Limit — 指定协调程序可并行处理的最大资源数。
Minimum Worker Threads — 指定协调程序将始终保持活动状态的处理线程的数量。
Maximum Worker Threads — 指定协调程序可使用的处理线程的最大数量。协调程序将仅启动工作量所需的线程数；这就限制了线程的数量。

调度程序设置

在 "Edit Server Settings" 页上单击 Scheduler 以显示调度程序选项。您可接受默认值或取消选择 "Use default" 选项以指定一个值：

Scheduler Startup — 选择调度程序的启动模式：
Automatic — 启动服务器时启动。此为默认启动模式。
Manual — 启动服务器时启动，但保持暂停直到手动启动。
Disabled — 启动服务器时不启动。
Tracing Enabled — 选择此选项可激活调度程序对标准输出的调试跟踪。
Maximum Concurrent Tasks — 选择此选项可指定调度程序在任意时刻运行的任务的最大数量（默认情况外）。对超过此限制的其他任务的请求将被延迟，或在其他服务器上运行。
Task Restrictions — 指定可在服务器上执行的任务集。为此，请从可用任务列表中选择一个或多个任务。所选任务的列表可以是包含列表或排除列表，这取决于您选择的选项。您可选择允许除列表中选定任务以外的所有任务（默认行为），或仅允许选定的任务。

单击 Save 以保存对服务器设置的更改。

电子邮件模板服务器设置

单击 "Servers" 菜单上的 Email Templates 可指定默认 SMTP 服务器设置。

使用此选项时，通过清除 Use Default 选项并输入要使用的邮件服务器可指定默认电子邮件服务器（默认情况除外）。输入的文本将用于替换电子邮件模板中的 smtpHost 变量。

JMX

使用此设置可启用 JMX 群集轮询并配置轮询线程的间隔。通过转到 Identity Manager 调试页并单击 Show MBean Info 按钮可查看收集的 JMX 数据。

要启用 JMX 轮询，请单击 "Servers" 选项卡中的 JMX，并选择以下选项：

Enable JMX — 使用此选项可启用或禁用 JMX 群集 MBean 的轮询线程。要启用 JMX，请清除默认选项（使用默认值 [false]）。

注	由于会使用轮询周期的系统资源，请仅在要使用 JMX 时启用此选项。

Polling Interval (ms) — 启用 JMX 后，使用此选项可更改服务器轮询系统信息库更改的默认间隔。指定间隔（以毫秒为单位）。

默认的轮询间隔设置为 60000 毫秒。要更改该值，请清除此选项的复选框并在提供的输入字段中输入新值。

单击 Save 以保存对服务器设置的更改。

编辑默认服务器设置

默认服务器设置功能使您可以设置所有 Identity Manager 服务器的默认设置。除非您在各个服务器设置页上进行了不同的选择，否则服务器将继承这些设置。要编辑默认设置，请单击 Edit Default Server Settings。"Edit Default Server Settings" 页显示与各个服务器设置页相同的选项。

除非您已取消选择该设置的 "Use default" 选项，否则对每个默认服务器设置的更改会应用到对应的服务器设置。

单击 Save 以保存对服务器设置的更改。

上一页      目录      索引      下一页

---

文件号码： 820-0140。   版权所有 2006 Sun Microsystems, Inc. 保留所有权利。