Sun Java System Identity Manager 7.0 管理指南 |
第 4 章
配置本章介绍使用 "Administrator Interface" 设置 Identity Manager 对象和服务器进程的信息和步骤。有关 Identity Manager 对象的详细信息,请参见“概述”一章中的 Identity Manager 对象。
注
有关为服务提供商实现配置 Identity Manager 的信息,请参见第 13 章“服务提供商管理”。
本章按以下主题进行组织:
了解和管理角色阅读本节可以了解有关在 Identity Manager 中设置角色的信息。
什么是角色?
Identity Manager 角色定义在其中管理帐户的资源的集合。使用角色可概要描述一类用户,从而将具有相似特征的 Identity Manager 用户划分为一组。
可将每个用户分配到一个或多个角色,或者不分配到角色。所有分配给某个角色的用户都共享访问相同基本资源组的权限。
所有与某个角色关联的资源都会间接地分配给相应用户。间接分配不同于直接分配,在直接分配中,资源是专为用户选定的。
当您创建或编辑角色时,Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中,并允许您在创建或保存该角色前插入批准或其他操作。
您可通过 "Administrator Interface" 的 "Create User" 和 "Edit User" 页将角色分配给用户。
创建角色
可以使用以下方法之一创建角色:
- 在 Identity Manager 菜单栏中,选择 Roles。
- 在 "Roles" 页中单击 New。
"Create Role" 页允许您:
- 将资源和资源组分配给角色。
- 选择角色批准者和通知选项。
提示 要了解有关批准进程的详细信息,请参阅帐户批准。
- 排除角色。就是说,如果此角色被分配给某个用户,则排除的一个角色或多个角色不会被分配。
- 选择可以分配此角色的组织。
- 编辑分配给此角色的资源的属性值。
编辑已分配的资源属性值
在 "Create Role" 页上的 "Assigned Resources" 区域中单击 Set Attribute Values,以显示分配给该角色的每个资源的属性列表。在此 "Edit" 属性页中,可以为每个属性指定新值,并确定如何设置属性值。Identity Manager 允许直接设置值,或使用一个规则来设置值;它还提供用于覆盖或合并现有值的一些选项。
选择以设置每个资源帐户属性的值:
- Value override — 选择以下选项之一:
- How to set — 选择以下选项之一:
- Default value — 使规则或文本作为默认属性值。用户可更改或覆盖此值。
- Set to value — 将属性值设置为规则或文本指定的值。设置该值将覆盖任何用户更改。
- Merge with value — 合并当前属性值与规则或文本指定的值。
- Merge with value, clear existing — 删除当前属性值;将值设置为此分配角色与其他分配角色所指定值的合并值。
- Remove from value — 从属性值中删除规则或文本指定的值。
- Authoritative set to value — 将属性值设置为规则或文本指定的值。设置该值将覆盖任何用户更改。如果删除角色,则即使该属性先前具有相应值,新属性值仍会是空值。
- Authoritative merge with value — 合并当前属性值与规则或文本指定的值。如果删除角色,则即使该属性先前具有相应值,新属性值仍会是空值。
- Rule Name — 如果在 "Value override" 区域选择 "Rule",则需要从列表中选择规则。
- Text — 如果在 "Value override" 区域选择 "Text",则需要输入要添加至属性值、从属性值删除或用作属性值的文本。
单击 OK 可保存所做的更改并返回 "Create Role" 或 "Edit Role" 页。
管理角色
可以从 "Roles" 页上的角色列表中对角色执行一系列操作。
如果选择多种搜索类型,则搜索必须符合所有指定条件才能成功地返回结果。搜索不区分大小写。
重命名角色
要重命名角色,请执行以下步骤:
同步 Identity Manager 角色和资源角色
可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下,同步时资源被分配给角色。这适用于与任务一起创建的角色,同时也适用于现有的、与某个资源角色名匹配的 Identity Manager 角色。
在菜单栏中,选择 Tasks,然后选择 Run Tasks 选项卡,以访问 "Synchronize Identity System Roles with Resource Roles" 任务页。要启动任务,请指定同步任务的名称、资源、要使用的资源角色属性以及将应用角色的组织,然后单击 "Launch"。
配置 Identity Manager 资源阅读本节的信息和过程可以帮助您设置 Identity Manager 资源。
什么是资源?
Identity Manager 资源存储关于如何连接到在其中创建帐户的资源或系统的信息。Identity Manager 资源定义有关某个资源的相关属性,并帮助指定资源信息如何在 Identity Manager 中显示。
Identity Manager 提供类型广泛的资源,包括:
界面中的资源区域
Identity Manager 在 "Resources" 页上显示关于现有资源的信息。
要访问资源,请选择菜单栏上的 Resources。
资源按类型分组,它按照已命名的文件夹显示在列表中。要展开层次视图并查看当前已定义的资源,请单击文件夹旁的指示符。再次单击该指示符可以折叠此视图。
当展开资源类型文件夹后,它会动态更新并显示包含的资源对象数量(如果它是支持多个组的资源类型)。
有些资源含有可以管理的附加对象,包括以下对象:
从资源列表中选择一个对象,然后从以下某个选项列表中进行选择,以启动一个管理任务:
当您创建或编辑资源时,Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中,并允许您在创建或保存该资源前插入批准或其他操作。
管理资源列表
从资源列表中可以选择要创建的资源,而该列表可通过管理员界面的 "Resources" 选项卡进行管理。从 "Resource Type Actions" 选项列表中选择 "Configure Managed Resources",以选择要用于填充资源列表的资源。
在 "Managed Resources" 页上,Identity Manager 将资源分为两类:
要添加自定义资源:
表 4-1 列出了自定义资源类。
创建资源
可使用 Resource Wizard 创建资源。"Resource Wizard" 将引导您完成创建 Identity Manager 资源适配器的过程,以管理资源上的对象。
使用 "Resource Wizard" 可以设置:
创建资源:
- 从 "Resource Type Actions" 选项列表中选择 New Resource。
Identity Manager 将显示 "New Resource" 页。
- 选择资源类型,然后单击 New,以显示 "Resource Wizard Welcome" 页。
注
也可先从资源列表中选择资源类型,然后再从 "Resource Type Actions" 列表中选择 "New Resource"。在这种情况下,Identity Manager 不会显示 "New Resource" 页,而是直接启动资源向导。
- 单击 Next 开始定义资源。"Resource Wizard" 步骤和页面按以下顺序显示:
- Resource Parameters — 设置控制验证和资源适配器行为的资源特定参数。输入参数,然后单击 Test Connection,以确保连接有效。在确认连接有效后,单击 Next 设置帐户属性。图 4-1 显示了 "Resource Parameters" 页。
图 4-1 Resource Wizard:Resource Parameters
- Account Attributes(模式映射) — 将 Identity Manager 帐户属性映射到资源帐户属性。
要添加属性,请单击 Add Attribute。选择一个或多个属性,然后单击 Delete Selected Attributes 从模式映射中删除属性。完成后,单击 Next 设置身份模板。
图 4-2 显示了 "Resource Wizard" 中的 "Account Attributes" 页。
图 4-2 Resource Wizard:Account Attributes(模式映射)
- Identity System Parameters — 为资源设置 Identity Manager 参数,包括重试和策略配置,如图 4-4 中所示。
图 4-4 Resource Wizard:Identity System Parameters
使用 Next 和 Back 在页间移动。完成所有选择后,单击 Save 以保存该资源,并返回至列表页。
管理资源
可以通过资源列表在资源上执行一系列编辑操作。除了在每个 "Resource Wizard" 页上编辑权能外,还可以:
- 删除资源 — 选择一个或多个资源,然后从 "Resource Actions" 列表中选择 "Delete"。可以同时选择几种类型的资源。不能删除与任何角色或资源组相关的资源。
- 搜索资源对象 — 选择某个资源,然后从 "Resource Object Actions" 列表中选择 "Find Resource Object" 以按对象特征查找资源对象(如组织、组织单位、组或个人)。
- 管理资源对象 — 对于某些资源类型,可以创建新的对象。选择资源,然后从 "Resource Object Actions" 列表中选择 "Create Resource Object"。
- 重命名资源 — 选择某个资源,然后从 "Resource Actions" 列表中选择 "Rename"。在出现的输入框中输入新的名称,然后单击 Rename。
- 克隆资源 — 选择某个资源,然后从 "Resource Actions" 列表中选择 "Save As"。在出现的输入框中输入新名称。克隆的资源以选择的名称显示在资源列表中。
- 对资源执行批量操作 — 指定一个资源列表和应用(从 CSV 格式的输入)到列表中所有资源的操作。然后启动批量操作以启动批量操作后台任务。
使用帐户属性
Identity Manager 资源使用模式映射定义来自外部资源的属性(资源帐户属性)的名称和类型;然后它们将上述属性映射到标准 Identity Manager 帐户属性。通过建立模式映射(在 "Resource Wizard" 的 "Account Attributes" 页上),可以:
要访问这些值,请从资源列表中选择资源,然后从 "Resource Actions" 列表中选择 Edit Resource Schema。
模式映射的左列(标题为 "Identity system User Attribute")包含 Identity Manager 帐户属性的名称,这些名称由 Identity Manager 的管理员界面和用户界面中使用的表单所引用。模式映射的右列(标题为 "Resource User Attribute")包含来自外部源的属性名称。
通过定义 Identity System 属性名称,来自不同资源的属性可以用公共名称定义。例如,在 Active Directory 资源上,Identity Manager 中的 lastname 属性被映射到 Active Directory 资源属性 sn;在 GroupWise 上,fullname 属性可以被映射到 GroupWise 属性 Surname。这样,管理员仅需要填写一次 lastname 的值;当保存用户后,该值将传递给具有不同名称的资源。
资源组
使用资源区域还可以管理资源组,使您可以对资源进行分组,以按特定顺序更新这些资源。通过在组中加入资源并对资源排序,然后将组分配给用户,可确定创建、更新和删除该用户资源的顺序。
活动依次在每个资源上执行。如果某个操作在一个资源上失败,则其余资源不会被更新。这种关系类型对相关资源很重要。
例如,Exchange 5.5 资源依赖于现有的 Windows NT 或 Windows Active Directory 帐户:在可以成功创建 Exchange 帐户之前,其中之一必须存在。通过使用 Windows NT 资源和 Exchange 5.5 资源(按顺序)创建资源组,可以确保创建用户时的顺序正确。反过来,此顺序可以确保删除用户时资源按正确顺序删除。
选择 Resources,然后选择 List Resource Groups 以显示当前定义的资源组列表。在该页单击 New 以定义资源组。定义资源组时,有一个选项区域允许您在选择资源后对所选资源排序,并可以选择可以使用该资源组的组织。
全局资源策略
可以在资源的全局资源策略中编辑属性。在 "Edit Global Resource Policy Attributes" 页中,可以编辑以下策略属性:
- Default Wait for Timeout — 输入一个值(以毫秒为单位),以指定在执行检查以查看命令是否使字符(或结果)就绪之前,脚本化适配器在两次轮询之间应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当适配器不检查命令或脚本的结果时,将使用此设置。
- Wait for Ignore Case — 输入一个值(以毫秒为单位),以指定适配器在超时之前应等待命令行提示的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。不区分大小写(大写或小写)时,将使用此设置。
- Resource Account Password Policy — (如果适用)选择要应用于选定资源的资源帐户密码策略。None 是默认选项。
- Excluded Resource Accounts Rule — (如果适用)选择管理排除资源帐户的规则。None 是默认选项。
必须单击 Save 才能保存对策略所做的更改。
设置其他超时值
通过编辑 Waveset.properties 文件可以修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定此值,则系统将使用默认值 50。
要设置此值,请将以下行添加到 Waveset.properties 文件:
com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds。
批量资源操作
通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。
图 4-5 显示了使用创建操作的批量操作的启动页。
图 4-5 "Launch Bulk Resource Actions" 页
用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择 From Action List 以指定多个操作。
单击 Launch 以启动操作,该操作将作为后台任务运行。
Identity Manager ChangeLog阅读本节中有关 Identity Manager ChangeLog 功能的信息以及有助于配置和使用 ChangeLog 的过程。
什么是 ChangeLog?
通过 ChangeLog 可以查看 Identity Manager 资源中包含的身份属性信息。每个 ChangeLog 都定义为捕获对身份属性子集的更改。
随着资源中属性数据的更改,活动同步适配器将捕获信息,然后将更改写入 ChangeLog。然后,专为与企业资源进行交互而开发的自定义脚本将读取 ChangeLog 并更新资源。
使用 ChangeLog 可以通过自定义脚本间接与来自置备系统的资源进行通信,因此 ChangeLog 功能与 Identity Manager 的标准资源活动同步和协调功能有所不同。
ChangeLog 与安全
Identity Manager 的 ChangeLog 功能需要本地文件系统中指定目录的写入权限。默认情况下,某些 Web 容器不允许本地文件系统访问其托管的 Web 模块(如 Identity Manager)。
可以通过编辑 Java 策略文件来授予访问权限。如果将 /tmp/changelogs 用作目录,策略文件应该包含:
grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};必须为指定的每个 ChangeLog 目录定义文件权限。
默认的 Java 安全策略文件位于:
$JAVA_HOME/jre/lib/security/java.policy
编辑该文件可能就已足够;但是,如果使用自己的文件(而非默认文件),则服务器运行时将使用诸如以下所示的选项:
-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy
在这种情况下,编辑由 java.security.policy 系统属性标识的文件。
ChangeLog 功能要求
ChangeLog 功能要求先配置身份属性再配置 ChangeLog。
注
完成配置身份属性和事件一节中所述的步骤可以满足这些要求。
配置 ChangeLog
可以通过创建 ChangeLog 策略和 ChangeLog 来配置 ChangeLog。每个 ChangeLog 都必须有关联的 ChangeLog 策略。ChangeLog 定义更改子集,其中的更改由活动同步检测到并通过身份属性来推送,应写入日志。与其关联的 ChangeLog 策略定义写入 ChangeLog 文件的方式。自定义脚本将使用 ChangeLog 文件。
要配置 ChangeLog 和 ChangeLog 策略,请选择 Meta View,然后选择 ChangeLogs。
Identity Manager 将显示 "ChangeLog Configuration" 页,其中有两个摘要区域。
图 4-6 ChangeLog Configuration
ChangeLog 策略摘要
ChangeLog 策略摘要区域显示当前已定义的 ChangeLog 策略。要编辑现有 ChangeLog 策略,请在列表中单击其名称。要创建 ChangeLog 策略,请单击 Create Policy。
要删除一项或多项 ChangeLog 策略,请在列表中选择相应的策略,然后单击 Remove Policy。(无需确认即可执行此操作。)
ChangeLog 摘要
ChangeLog 摘要区域显示当前已定义的 ChangeLog。要编辑现有 ChangeLog,请在列表中单击其名称。要创建 ChangeLog,请单击 Create ChangeLog。
要删除一个或多个 ChangeLog,请在列表中选择相应的 ChangeLog,然后单击 Remove ChangeLog。(无需确认即可执行此操作。)
保存对 ChangeLog 配置的更改
必须在“ChangeLog 配置”页中保存对 ChangeLog 配置(即 ChangeLog 策略或定义的 ChangeLog)进行的所有更改。单击 Save 以保存更改并返回至元视图。
创建和编辑 ChangeLog 策略
在 "Edit ChangeLog Policy" 页上输入内容或进行选择,可以创建或编辑 ChangeLog 策略:
- Number of Rotations to Keep — 指定在 Identity Manager 删除轮转之前允许累积的轮转次数。例如,如果每天轮转 3 次,并且要在日志中保存 2 天的更改,请指定值 6。
- Maximum File Size in Bytes — 如果要向当前文件写入更改时将超出此限制,则会启用一个新的日志文件(其轮转前缀相同,但序列号不同)。值 0 表示不采用此限制。所有非零限制字段(大小、行数、使用期限)都将被使用;但是,系统将先检查此限制再检查其他限制。
- Maximum File Size in Lines — 如果写入更改会使当前文件的行数超出此限制,则会创建一个新序列文件,超出的行将写入新文件。值 0 表示无限制。系统将在大小限制后和使用期限限制前检查此限制。
- Maximum File Age in Seconds — 如果收到更改并且现有序列文件的使用期限已超过此处指定的秒数,则系统将先创建一个新序列文件再写入更改。值 0 表示不采用此限制。系统将先应用其他非零限制再应用此限制。
单击 OK 返回至 "ChangeLog Configuration" 页。必须在配置页中单击 "OK" 才能保存新 ChangeLog 策略或对现有策略的更改。
创建和编辑 ChangeLog
在 "Edit ChangeLogs" 页中输入内容和进行选择,可以创建或编辑 ChangeLog:
- ChangeLog Name — 输入 ChangeLog 的唯一名称。
- Active — 如果选择此选项,则 ChangeLog 将在更改通过活动同步资源并进入身份属性时监视并写入更改(必须将活动同步作为身份属性应用程序,才能进行此操作)。
- Filter — 输入要使用的 ChangeLog 过滤器的名称。Noop 表示使用默认过滤器,即接受所有更改。对于大多数情况,这已足够。否则,必须指定一个实现 com.sun.idm.changelog.ChangeLogFilter 的 Java 类。该类必须位于服务器的类路径中,而且必须具有公共默认构造函数。
- Log these Operations — 记录选定类型的事件,包括创建、更新和删除。未选定的事件将被忽略。
- ChangeLog View — 使用此表可以定义 ChangeLog 的内容(列)。表中每行都将指定 ChangeLog 中的列。单击 Add Column 添加 ChangeLog 列。每列都有名称、类型和身份属性名称。行的顺序将表明列的顺序。定义列之后,可以使用 Up 和 Down 按钮对列进行排序。
- Use the Policy Named — 从列表中选择用于日志记录的已定义 ChangeLog 策略。
- Output Path — 输入文件系统中目录的名称,该目录中将包含日志文件。该目录可以在网络中的非本地位置;但最好使用服务器的本地目录。建议仅在每个位置只存储一个 ChangeLog。
- Suffix — 输入用于 ChangeLog 文件的后缀(例如,.csv)。可以用选定的后缀来区分这些文件和其他 ChangeLog 文件。
单击 OK 返回至 "ChangeLog Configuration" 页。必须在配置页中单击 "OK" 才能保存新 ChangeLog 或对现有 ChangeLog 的更改。
示例
以下示例详细说明了如何设置身份属性和用于捕获属性数据特定集的 ChangeLog。
示例:定义身份属性
在此示例中,两个 Identity Manager 资源(资源 1 和资源 2)向第三个资源(资源 3)提供源数据。资源 3 未与 Identity Manager 系统直接连接。需要建立一个 ChangeLog,以便从资源 1 和资源 2 送往资源 3 的数据中拉取并维护一个数据子集。
资源 1:EmployeeInfo
employeeNumber*
givenname
mi
surname
phone资源 2:OrgInfo
employeeNum*
managerEmpNum
departmentNumber资源 3:PhoneList
empId*
fullname
phone
department
下表定义了身份属性。
示例:配置 ChangeLog
在定义身份属性之后定义名为 PhoneList ChangeLog 的 ChangeLog。该 ChangeLog 用于将身份属性子集写入 ChangeLog 文件。
PhoneList ChangeLog 中的 ChangeLogView
资源 1 或资源 2 中的记录发生更改时,系统会将 ChangeLog 记录(来自身份属性的所有数据)的整个数据集合(不只是更改)写入该 ChangeLog。自定义脚本将读取该信息并用其填充资源 3。
ChangeLog 中的 CSV 文件格式
对于 ChangeLog 写入的以逗号分隔值 (Comma-separated Value, CSV) 文件,阅读本节可以了解有关其格式的信息。
请考虑由行和列构成的 ChangeLog 文件,如电子表格或数据库表。每“行”就是文件中的一行。
ChangeLog 格式使用前两行描述其自身。这两行共同定义“模式”,即表中每个“单元”(行中逗号之间的值)的逻辑名称和逻辑类型。
第一行指定文件中属性的名称。第二行描述属性值的类型。其他行显示更改事件的所有数据。
ChangeLog 文件以 Java UTF-8 格式编码。
列
文件中的第一列具有特殊意义。此列用于定义操作类型;例如,更改事件是创建操作、修改操作还是删除操作。该列的名称始终为 changeType,类型始终为 T(表示文本)。其值为以下值之一:ADD、MOD 或 DEL。
仅有一列中应显示条目的唯一标识符(主关键字),通常为文件中的第二列。
其他列仅用于命名属性。该名称是取自 ChangeLog 视图表内的列名称值。
行
除定义文件模式的前两个标题行外,其余的行都显示属性的值。这些值按第一行中的列顺序显示。ChangeLog 从身份属性应用,因而包含在删除更改时有关用户的所有已知数据。
此外,其中没有表示 null(或未设置)的特殊标记值。如果检测到更改时没有发现值,ChangeLog 将写入一个空字符串。
值根据文件第二行指定的列类型编码。支持的类型包括:
文本值
文本值以字符串的形式写入,有两种例外:
文本值不能包含换行符。如果文件需要换行符,请使用二进制值类型。
二进制值
二进制值以 Base64 编码。
多文本值
多文本值的写入方式类似于文本值,但这种值以逗号分隔,两侧有方括号(使用 [ 和 ])。
多二进制值
多二进制值的写入方式类似于二进制值(以 Base64 编码),但这种值也以逗号分隔,两侧有方括号(使用 [ 和 ])。
格式设置示例
以下示例说明了各种输出格式。每个示例的格式如下:
column1,column2,column3,column4
每个示例的第 3 列显示示例文本。
ChangeLog 文件名
文件名的格式如下:
servername_User_timestamp.sequenceNumber.suffix
其中:
配置轮转和序列
轮转和序列在 ChangeLogPolicy 对象中定义,从 ChangeLog 中引用。
示例
某项策略将如下定义轮转:
该策略产生的文件名类似于以下名称。(其中每次轮转中都有两个序列文件。)
myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csvmyServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv可见,1 月 1 日有 3 次轮转,每次间隔 8 小时,从 07:00:00 开始。1 月 2 日 与此类似,仅名称中与日 (20060102) 对应的部分不同。
编写 ChangeLog 脚本
阅读本节可以了解有关有助于编写 ChangeLog 脚本的信息。
配置身份属性和事件可以使用管理员界面的 "Meta View" 区域配置身份属性和事件。使用以下部分中的信息和步骤可以配置 Identity Manager 身份属性和身份事件,以及选择要应用属性和事件的 Identity Manager 系统应用程序。
使用身份属性
要配置身份属性,请选择 MetaView,然后选择 Identity Attributes。将显示 "Identity Attributes" 页。下图显示了此页的示例。
图 4-7 在 "Meta View" 中配置 "Identity Attributes"
要添加身份属性,请单击 Add Attribute。将身份属性添加到列表中后,可以通过在列表中单击其名称予以编辑。要删除一个或多个身份属性,请选择相应属性,然后单击 Remove Selected Attributes。
可以选择一个或多个要添加到属性或从属性中删除的响应。
在单击 Save 后,操作才会生效。
如果自上次修改身份属性之后,资源已更改,则 "Identity Attributes" 页将显示以下警告消息(图 4-8)。单击警告消息中的 Configure the Identity Attributes from resource changes 以同化更改。
图 4-8
"Resources Have Changed" 警告消息
密码
配置活动同步,以在一个或多个资源上创建用户。创建 Identity Manager 用户时需要指定密码,但出于安全原因,多数资源不允许读取密码。如果尚未设置密码生成,请单击 Configure password generation。
选择如何设置身份用户以及通过活动同步创建的其他资源帐户的密码:
- Use default password — 选择此选项,然后输入密码。password.password 身份属性将通过此值设置用户密码。
- Use rule to generate password — 选择此选项以选择密码生成使用的规则。password.password 身份属性将使用选定的规则生成密码。
- Use Identity System Account Policy password generation — 选择此选项以选择密码生成使用的策略。选择此选项会将 waveset.assignedLhPolicy 身份属性设置为选定的策略。如果未配置选定的策略以生成密码,并且您具有创建和修改策略所需的权限,则页面将重新显示其他选项,通过这些选项您可以创建策略的副本或修改现有策略。
选择应用程序
使用 "Enabled Applications" 区域选择要应用身份属性的 Identity System 应用程序。从 "Available applications" 区域中选择一个或多个应用程序,然后将其移至 "Enabled Applications" 区域。在单击 Save 后,操作才会生效。
注
要使用 ChangeLog 功能,必须启用活动同步应用程序。有关详细信息,请参见活动同步适配器。
添加和编辑身份属性
在 "Add Identity Attributes" 页或 "Edit Identity Attributes" 页中,进行以下选择以添加或编辑身份属性:
- Attribute Properties — 使用此区域可指定身份属性的属性设置。
- Targets — 选择将设置此身份属性的目标资源。如果未指定目标,则单击 Add Target。要从列表中删除目标,请选择相应目标,然后单击 Remove Selected Targets。
添加目标资源
如果仅将身份属性用于 ChangeLog,则不必为身份属性设置目标。例如,如果要使用 ChangeLog,但还要使用标准的“输入表单”来通过活动同步推送数据,则可以为身份属性设置目标。如果没有任何目标,则 MetaView 将仅计算身份属性的值,而不会对任何其他资源设置这些值。
进行选择以添加要设置身份属性的目标资源:
删除目标资源
要删除一个或多个目标资源,请在列表中选择相应目标资源,然后单击 Remove Selected Targets。
导入身份属性
使用导入身份属性功能可以选择一个或多个要用于导入和填充身份属性值的表单。Identity Manager 将分析导入的表单值,然后通过“最佳猜测”推测出身份属性;但是,在导入后可能需要编辑身份属性。
选择以下导入选项:
配置身份事件
还可以为由 Identity Manager 管理的资源配置身份事件,以定义在这些资源上发生的事件的行为。在身份事件中定义的行为将在活动同步期间使用,以确定事件发生的时间以及执行相应操作以对该事件做出响应的时间。
例如,您可以配置身份事件,以检测用于触发要删除的身份用户和所有其他资源帐户的授权人力资源 (Human Resources, HR) 系统上的删除,并对其做出响应。
要配置身份事件,请选择 MetaView,然后选择 Identity Events 选项卡。在 "Identity Events" 页上,单击 Add Event 并指定事件类型。还可以通过选择 "Identity Event" 页上的事件并指定以下选项来编辑身份事件。
完成选择后,单击 OK。
配置 Identity Manager 策略阅读本节可以了解配置用户策略的信息和步骤。
什么是策略?
Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的限制,对 Identity Manager 用户设置限制。
注
Identity Manager 还提供专用于审计用户遵循性的审计策略。第 11 章“身份审计”中对审计策略进行了论述。
可在 "Policies" 页中创建和编辑 Identity Manager 用户策略。在菜单栏中选择 Security,然后选择 Policies。在显示的列表页中,可以编辑现有策略和创建新的策略。
策略按以下类型分类:
- Identity System 帐户策略 — 建立用户、密码以及验证策略选项和约束。通过 "Create Organization" 和 "Edit Organization" 页以及 "Create User" 和 "Edit User" 页,可以将 Identity System 帐户策略(在图 4-9 中显示)分配给组织或用户。
图 4-9 Identity Manager 策略
- SPE System Account policies — 此策略类型在服务提供商实现中使用,为服务提供商用户建立用户、密码和验证策略选项和约束。通过 "Create Organization" 和 "Edit Organization" 页以及 "Create SPE User" 和 "Edit SPE User" 页,可将策略分配给组织或用户。
- String Quality Policies — 字符串质量策略包括密码、AccountID、验证等策略,可以设置长度规则、字符类型规则,还可以设置允许的字词和属性值。此策略类型绑定到每个 Identity Manager 资源,并在每个资源页上进行设置。图 4-10 提供了一个示例。
图 4-10 创建/编辑密码策略
策略中不得包含属性
可在 UserUIConfig 配置对象中更改“不得包含”属性允许的设置。UserUIConfig 中列出的属性如下:
字典策略
字典策略使 Identity Manager 可以对照字词数据库检查密码,以确保密码不会轻易受到字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成,从而使利用字典也很难猜出在系统中生成或更改的密码。
字典策略扩展了能够用该策略进行设置的密码排除列表。(此列表是使用 "Administrator Interface" 密码 "Edit Policy" 页中的 "Must Not Contain Words" 选项实现的。)
配置字典策略
要设置字典策略,必须:
请按照以下步骤操作:
实现字典策略
从 Identity Manager 策略区域实现字典策略。在 "Policies" 页中单击以编辑密码策略。在 "Edit Policy" 页中,选择 "Check passwords against dictionary words" 选项。字典策略实现后,系统会根据字典来检查所有更改的或生成的密码。
自定义电子邮件模板Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板:
- Access Review Notice — 发送需要查看用户访问权限的通知。当必须修正或缓解访问策略的违规时,系统发送此通知。
- Account Creation Approval — 向批准者发送通知,告知有新帐户等待其批准。当相关角色的 "Provisioning Notification Option" 设置为批准时,系统发送此通知。
- Account Creation Notification — 发送通知,告知已经用特定角色分配创建了一个帐户。当在 "Create Role" 或 "Edit Role" 页的 "Notification recipients" 字段中选择了一个或多个管理员时,系统会发送此通知。
- Account Deletion Approval — 向批准者发送通知,告知有用户帐户删除操作等待其批准。当在 "Create Role" 或 "Edit Role" 页的 "Notification recipients" 字段中选择了一个或多个管理员时,系统会发送此通知。
- Account Deletion Notification — 发送通知,告知已删除帐户。
- Account Update Notification — 向指定电子邮件地址或用户帐户发送通知,告知已更新帐户。
- Password Reset — 发送 Identity Manager 密码重设通知。根据为相关 Identity Manager 策略选择的 "Reset Notification Option" 值,系统会立即(在 Web 浏览器中)为重设密码的管理员显示通知,或者向密码将被重设的相应用户发送电子邮件。
- Password Synchronization Notice — 通知用户已成功完成对所有资源的密码更改。这种通知将列出已成功更新的资源,还将指明密码更改请求的来源。
- Password Synchronization Failure Notice — 通知用户未成功完成对所有资源的密码更改。这种通知将列出错误,还将指明密码更改请求的来源。
- Policy Violation Notice — 发送帐户已发生策略违规的通知。
- Reconcile Account Event、Reconcile Resource Event、Reconcile Summary — 分别由 "Notify Reconcile Response"、"Notify Reconcile Start" 和 "Notify Reconcile Finish" 默认工作流调用。通知按照在每个工作流中的配置发送。
- Report — 向指定的一列收件人发送生成的报告。
- Request Resource — 向资源管理员发送通知,告知某个资源已被请求。当管理员从 "Resources" 区请求资源时,系统会发送此通知。
- Retry Notification — 向管理员发送通知,告知已对某个资源尝试了指定次数的特定操作,但未成功。
- Risk Analysis — 发送风险分析报告。当一个或多个电子邮件收件人被指定为资源扫描的组成部分时,系统会发送此报告。
- Temporary Password Reset — 向用户或角色批准者发送通知,告知已经为帐户提供了临时密码。根据为相关 Identity Manager 策略选择的 "Password Reset Notification Option" 值,系统会立即(在 Web 浏览器中)为用户显示通知,发送电子邮件给用户,或者发送电子邮件给角色批准者。
编辑电子邮件模板
可以通过自定义电子邮件模板为收件人提供具体指导,告诉他如何完成一项任务或如何查看结果。例如,您可能想要通过添加以下消息自定义 "Account Creation Approval" 模板以将批准者引导到帐户批准页:
请转至 http://host.example.com:8080/idm/approval/approval.jsp 以批准为 $(fullname) 创建帐户。
要自定义电子邮件模板,请执行以下步骤(该步骤使用 "Account Creation Approval" 模板作为示例):
也可以通过使用 Identity Manager IDE 修改电子邮件模板。有关 IDE 的详细信息,请参见 Identity Manager 部署工具。
电子邮件模板中的 HTML 和链接
可以在电子邮件模板中插入 HTML 格式的内容,使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容,请选择 "HTML Enabled" 选项。
电子邮件正文中允许使用的变量
也可以在电子邮件模板正文中包括变量的引用,格式为 $(Name);例如:您的密码 $(password) 已恢复。
下表定义了每个模板允许使用的变量。
.
配置审计组和审计事件设置审计配置组使您可以记录和报告您选择的系统事件。配置审计组和事件需要配置审计管理权能。
要配置审计配置组,请在菜单栏中选择 Configure,然后选择 Audit。
"Audit Configuration" 页将显示审计组的列表,每个组可包含一个或多个事件。对于每个组,您可记录成功事件、失败事件或两者都记录。
单击列表中的审计组以显示 "Edit Audit Configuration Group" 页。此页允许您选择审计事件的类型,将在系统审计日志的审计配置组中记录这些类型。
检查是否已选中 "Enable Audit" 复选框。清除复选框以禁用审计系统。
编辑审计配置组中的事件
要编辑组中的事件,您可为对象类型添加或删除操作。要执行此操作,请将 "Actions" 列中的项目从该对象类型的 Available 区域移动到 Selected 区域,然后单击 OK。
为审计配置组添加事件
要在组中添加事件,请单击 New。Identity Manager 将事件添加到页的底部。从列表的 "Object Type" 列中选择一个对象类型,然后将 "Actions" 列中的一个或多个项目从新对象类型的 "Available" 区域移动到 "Selected" 区域。单击 OK 将事件添加到该组。
Remedy 集成可以将 Identity Manager 与 Remedy 服务器集成,从而使之能够根据指定的模板发送 Remedy 票证。
在 "Administrator Interface" 界面的两个区域设置 Remedy 集成:
Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好,可以在使用已定义模板的合适时间执行调用,以打开 Remedy 票证。有关配置工作流的详细信息,请参见 Identity Manager 工作流、表单和视图。
配置 Identity Manager 服务器设置可编辑特定于服务器的设置,以使 Identity Manager 服务器仅运行特定任务。为此,请选择 Configure,然后选择 Servers。
要编辑单个服务器的设置,可在 "Configure Servers" 页的列表中选择一个服务器。Identity Manager 将显示 "Edit Server Settings" 页,可在其中编辑协调程序、调度程序、JMX 和其他设置。
协调程序设置
默认情况下,协调程序设置显示在 "Edit Server Settings" 页上。您可接受默认值或取消选定 Use default 选项以指定一个值:
调度程序设置
在 "Edit Server Settings" 页上单击 Scheduler 以显示调度程序选项。您可接受默认值或取消选择 "Use default" 选项以指定一个值:
单击 Save 以保存对服务器设置的更改。
电子邮件模板服务器设置
单击 "Servers" 菜单上的 Email Templates 可指定默认 SMTP 服务器设置。
使用此选项时,通过清除 Use Default 选项并输入要使用的邮件服务器可指定默认电子邮件服务器(默认情况除外)。输入的文本将用于替换电子邮件模板中的 smtpHost 变量。
JMX
使用此设置可启用 JMX 群集轮询并配置轮询线程的间隔。通过转到 Identity Manager 调试页并单击 Show MBean Info 按钮可查看收集的 JMX 数据。
要启用 JMX 轮询,请单击 "Servers" 选项卡中的 JMX,并选择以下选项:
单击 Save 以保存对服务器设置的更改。
编辑默认服务器设置
默认服务器设置功能使您可以设置所有 Identity Manager 服务器的默认设置。除非您在各个服务器设置页上进行了不同的选择,否则服务器将继承这些设置。要编辑默认设置,请单击 Edit Default Server Settings。"Edit Default Server Settings" 页显示与各个服务器设置页相同的选项。
除非您已取消选择该设置的 "Use default" 选项,否则对每个默认服务器设置的更改会应用到对应的服务器设置。
单击 Save 以保存对服务器设置的更改。