Sun Java System Identity Manager 7.0 管理指南 |
第 6 章
数据同步与加载本章介绍有关使用 Identity Manager 数据同步和加载功能的信息和过程。您将了解有关数据同步工具(搜索、协调和同步)以及如何使用这些工具保持数据最新的信息。
数据同步工具:使用哪一个?按照以下准则选择 Identity Manager 数据同步工具以执行任务。
搜索Identity Manager 帐户搜索功能帮助简化快速部署和加速帐户创建任务。这些功能包括:
使用这些工具可以创建新的 Identity Manager 用户,或者将某个资源上的帐户与现有 Identity Manager 用户帐户关联。
提取到文件
使用此功能将资源帐户从资源提取到一个 XML 或 CSV 文本文件中。这样做可以在将提取数据导入 Identity Manager 之前对其进行查看和更改。
要提取帐户:
如果选择打开该文件,则可能需要选择查看程序。
从文件加载
使用此功能将资源帐户(通过 Identity Manager 从资源提取的帐户或从另一文件源提取的帐户)加载到 Identity Manager 中。由 Identity Manager 的提取到文件功能创建的文件为 XML 格式的文件。如果加载一列新用户,则数据文件通常采用 CSV 格式。
关于 CSV 文件格式
通常,要加载的帐户在一个电子表格中列出并以逗号分隔值 (Comma-separated Value, CSV) 格式保存,以便加载到 Identity Manager 中。CSV 文件内容必须遵循以下格式准则:
要加载帐户:
- 在菜单栏中选择 Accounts,然后选择 Load from File。
Identity Manager 会显示 "Load from File" 页,可使用该页指定加载选项,然后继续:
- User Form — 当加载过程创建了 Identity Manager 用户时,用户表单会分配组织以及角色、资源和其他属性。选择要应用于每个资源帐户的用户表单。
- Account Correlation Rule — 帐户关联规则选择可能拥有每个无拥有者的资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性,关联规则会返回一个名称列表或属性条件列表,用于选择潜在拥有者。选择一个规则,以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。
- Account Confirmation Rule — 帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后,若用户拥有该帐户,则确认规则返回 true,否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择 No Confirmation Rule,Identity Manager 将接受所有潜在拥有者,而不进行确认。
- Load Only Matching — 选择此选项可仅将与现有 Identity Manager 用户匹配的帐户加载到 Identity Manager 中。如果选择此选项,则加载将放弃任何不匹配的资源帐户。
- Update Attributes — 选择此选项可用加载的帐户的属性值替换当前 Identity Manager 用户的属性值。
- Merge Attributes — 输入一个或多个用逗号分隔的属性名,这些属性的值应被合并(去掉重复部分)而不被覆盖。此选项仅用于列表类型的属性,例如组和邮递列表。还必须选择 "Update Attributes" 选项。
- Result Level — 选择一个阈值,加载进程在达到该阈值时将为帐户记录单独的结果:
- 在 "File to Upload" 字段中,指定要加载的文件,然后单击 Load Accounts。
图 6-2 说明了 "Load from File" 屏幕中的可用字段和选项。
图 6-2 从文件加载
如果帐户与现有用户匹配(或关联),则加载进程会将帐户合并到用户中。该进程也将通过任何不相关的输入帐户创建新的 Identity Manager 用户(除非指定“必需相关”)。
bulkAction.maxParseErrors 配置变量会设置加载文件时可发现的错误数的限制。默认情况下,限制为 10 个错误。如果发现的错误数达到了 maxParseErrors 的值,则会停止解析。
从资源加载
使用此功能可根据您指定的选项直接提取帐户并将其导入 Identity Manager。
要导入帐户,请在菜单栏中选择 Accounts,然后选择 Load from Resource。
Identity Manager 允许指定加载选项,然后继续。"Load from Resource" 页面与 "Load from File" 页面中的可用加载选项及这些选项的操作结果相同。
协调使用协调功能可突出显示 Identity Manager 上的资源帐户与某个资源上实际存在的帐户之间的不一致性,并定期关联帐户数据。
因为协调专用于进行中的比较,因此其具有以下特征:
也可以将协调配置为在处理资源过程中的下列每一点处启动任意工作流:
从“资源”区域访问 Identity Manager 协调功能。"Resources" 列表显示每个资源上次协调的时间及其当前协调状态。
关于协调策略
协调策略允许您按资源为每个协调任务建立一组响应。您可在策略中选择运行协调的服务器、确定协调发生的频率和时间,以及设置对协调期间遇到的每种情况作出响应。可以将协调配置为检测对帐户属性进行的本机更改(不是通过 Identity Manager 进行的更改)。
编辑协调策略
要编辑协调策略:
Identity Manager 将显示 "Edit Reconciliation Policy" 页面,可在其中进行下列策略选择:
在策略中选择 Identity Manager 对资源运行协调应该采用的模式。选择 Do not reconcile 禁用针对目标资源的协调。
- Full Reconciliation Schedule — 如果启用完全模式协调,则按固定的进度表自动执行协调。在策略中指定针对资源运行完全式协调的频率。选择 "Inherit" 选项从更高级别策略继承指定的进度表。
- Incremental Reconciliation Schedule — 如果启用增量模式协调,则按固定的进度表自动执行协调。在策略中指定针对资源运行增量式协调的频率。选择 Inherit 选项从较高级别的策略继承指定的进度表。
- Attribute-level Reconciliation — 可以将协调配置为检测对帐户属性进行的本机更改(即,不是通过 Identity Manager 进行的更改)。指定协调是否应检测对 Reconciled Account Attributes 中指定的属性进行的本机更改。
- Account Correlation Rule — 帐户关联规则选择可能拥有每个无拥有者的资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性,关联规则会返回一个名称列表或属性条件列表,用于选择潜在拥有者。选择一个规则,以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。
- Account Confirmation Rule — 帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后,若用户拥有该帐户,则确认规则返回 true,否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择 No Confirmation Rule,Identity Manager 将接受所有潜在拥有者,而不进行确认。
- Proxy Administrator — 指定执行协调响应时使用的管理员。协调只能执行指定的代理管理员可以执行的那些操作。响应将使用与此管理员相关的用户表单(如需要)。
从这些响应选项(可用选项因情况而异)中选择一个:
- Create new Identity Manager user based on resource account — 运行资源帐户属性的用户表单以创建新用户。该资源帐户不会因任何更改而被更新。
- Create resource account for Identity Manager user — 使用用户表单重新生成资源帐户属性,以重新创建缺少的资源帐户。
- Delete resource account and Disable resource account — 删除/禁用资源上的帐户。
- Link resource account to Identity Manager user and Unlink resource account from Identity Manager user — 向用户添加资源帐户分配或从用户中删除资源帐户分配。未执行任何表单处理。
- Pre-reconciliation Workflow — 可以将协调配置为在对资源进行协调之前运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 "Do not run workflow"。
- Per-account Workflow — 可将协调配置为在对每种资源帐户情况做出响应后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 "Do not run workflow"。
- Post-reconciliation Workflow — 可将协调配置为在完成协调资源之后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 Do not run workflow。
单击 Save 以保存策略更改。
启动协调
有两个选项可用于启动协调任务:
协调将按照您在策略中设置的参数运行。如果在策略中针对协调设置了定期进度表,则协调将继续按指定方式运行。
取消协调
要取消协调,请选择资源,然后在 "Resource Actions" 列表中选择 Cancel Reconciliation。
查看协调状态
"Resources" 列表中的 "Status" 列可报告若干种协调状态。其中包括:
资源上每个帐户的详细状态信息都可用。在列表中选择资源,然后在 "Resource Actions" 列表中选择 View Reconciliation Status。
使用帐户索引
帐户索引会记录 Identity Manager 已知的每个资源帐户的最新已知状态。它主要由协调来维护,但是需要时其他 Identity Manager 功能也会更新帐户索引。
搜索工具不更新帐户索引。
搜索帐户索引
要搜索帐户索引,请在 "Resource Actions" 列表中选择 Search Account Index。
选择一种搜索类型,然后输入或选择搜索属性。单击 Search 以查找与所有搜索条件均匹配的帐户。
单击 Search 以根据搜索参数来搜索帐户。要限制搜索结果,也可在 Limit results to 字段中指定数量。默认限制为找到的前 1000 个帐户。
单击 Reset Query 以清除该页并进行新的选择。
检查帐户索引
也可以查看所有 Identity Manager 用户帐户,并可选择对每个用户分别协调帐户。要执行此操作,请选择 Resources,然后选择 Examine Account Index。
表格会显示 Identity Manager 已知的所有资源帐户(无论 Identity Manager 用户是否拥有该帐户)。此信息按资源或 Identity Manager 组织分组。要更改此视图,请从 "Change index view" 列表中进行选择。
使用帐户
要使用资源上的帐户,请选择 Group by resource 索引视图。Identity Manager 会为每种类型的资源显示文件夹。通过展开文件夹导航到特定资源。单击资源旁边 + 或 - 以显示 Identity Manager 已知的所有资源帐户。
自上次对资源进行协调以来直接添加到该资源的帐户不会显示出来。
根据给定帐户的当前情况,可以执行几种操作。也可以查看帐户详细信息或选择协调该帐户。
使用用户
要使用 Identity Manager 用户,请选择 Group by user 索引视图。在此视图中,Identity Manager 用户和组织显示为类似 "Accounts List" 页的分层结构。要查看当前分配给 Identity Manager 中某个用户的帐户,请导航到该用户并单击用户名旁的指示符。在该用户名的下方将显示该用户的所有帐户和 Identity Manager 已知的这些帐户的当前状态。
根据给定帐户的当前情况,可以执行几种操作。也可以查看帐户详细信息或选择协调该帐户。
活动同步适配器Identity Manager 活动功能允许存储在授权外部资源(如应用程序或数据库)中的信息与 Identity Manager 用户数据同步。为 Identity Manager 资源配置同步可使其能够侦听或轮询对授权资源的更改。
您可以通过使用元视图,或通过在资源同步策略中指定输入表单(适用于适当的目标对象类型)来配置资源属性更改流向 Identity Manager 的方式。
使用元视图可指定数据更新的方式,以及指定要为活动同步应用程序启用的身份属性。有关配置身份属性的详细信息,请参见配置身份属性和事件。
继续下一节以配置同步。
配置同步
Identity Manager 使用同步策略启用资源的同步。要配置同步,请在 "Resources" 选项卡上选择您要为其配置同步的资源,然后从 "Resource Actions" 列表中选择 Edit Synchronization Policy。
编辑同步策略
在 "Edit Synchronization Policy" 页中指定以下选项以配置同步:
- Target Object Type — 选择要对其应用策略的用户类型,"Identity Manager Users" 或 "Service Provider Edition Users"。
注
在服务提供商实现中,必须配置同步策略(指定 "Service Provider Edition Users" 为对象类型)以启用这些用户的数据同步。有关服务提供商用户的详细信息,请参见第 13 章“服务提供商管理”。
- Scheduling Settings — 使用此段可指定启动方法以及轮询进度表。
"Startup Type" 可以是 "Manual"、"Automatic"、"Automatic with Failover" 或 "Disabled":
使用 Start Date 和 Start Time 选项可指定何时开始轮询。通过选择间隔并输入间隔值(秒、分钟、小时、天、周、月)可指定轮询周期。
如果您设置的轮询开始日期和时间还未到达,则轮询将按指定的时间开始。如果您设置的轮询开始日期和时间已经过去,则 Identity Manager 将根据此信息和轮询间隔来确定轮询的开始时间。例如:
此种情况下,资源将于 2005 年 7 月 25 日开始轮询(下一个星期一)。
如果不指定开始日期或时间,则资源会立即开始轮询。如果采用此方法,则每次应用服务器重新启动时,为活动同步配置的所有资源均将立即开始轮询。典型的方法是设置开始日期和时间。
- Resource Specific Settings — 使用此段可指定同步以何种方式确定要为资源处理的数据。
- Common Settings — 可为数据同步活动指定以下常规设置:
- Proxy Administrator — 选择负责处理更新的管理员。所有操作将通过分配给此管理员的权能进行授权。您应选择具有空用户表单的代理管理员。
- Input Form — 选择将处理数据更新的输入表单。此可选配置项目允许在将属性保存到帐户之前对其进行转换。
- Rules — 使用该选项可指定数据同步过程中要使用的规则:
- Process Rule — 选择此规则可指定要为每个传入帐户运行的进程规则。此选项会覆盖所有其他选项。如果指定进程规则,则会为每一行运行该进程,无论此资源的其他设置如何。既可以是进程名称,也可以是进程名称的评估规则。
- Correlation Rule — 选择关联规则可以覆盖在资源的协调策略中指定的关联规则。关联规则使资源帐户与 Identity System 帐户相关联。
- Confirmation Rule — 选择确认规则可以覆盖在资源的协调策略中指定的确认规则。
- Resolve Process Rule — 选择此规则可指定在数据供应的记录中存在多个匹配项时将运行的任务定义的名称。此进程将提示管理员进行手动操作。既可以是进程名称,也可以是进程名称的评估规则。
- Delete Rule — 选择将针对每个传入的用户更新进行评估并返回 true 或 false 的规则,以确定是否应进行删除操作。
- Create Unmatched Accounts — 启用此选项 (true) 后,则适配器将尝试创建在 Identity Manager 系统中未找到的帐户。如果未启用此选项,则适配器将通过由 "Resolve Process Rule" 返回的进程来运行帐户。
- Logging Settings — 为以下日志记录选项指定值:
单击 Save 以保存资源的策略设置。
编辑活动同步适配器
在编辑活动同步适配器之前,请停止同步。在 "Edit Synchronization Policy" 页中,选择 Disabled 作为 Identity Manager 用户的 Startup Type;对于服务提供商用户,请取消选择 Enable Synchronization 选项。将显示警告消息,指示已禁用活动同步。
为资源禁用同步将导致在保存更改时停止同步任务。
调节活动同步适配器性能
由于同步是后台任务,因此 ActiveSync 适配器配置可能影响服务器性能。调谐 ActiveSync 适配器性能涉及以下任务:
通过资源列表管理活动同步适配器。选择活动同步适配器,然后从 "Resource Actions" 列表的 Synchronization 段选择开始、停止和状态刷新控制操作。
更改轮询时间间隔
轮询时间间隔决定活动同步适配器何时开始处理新信息。应根据正在执行的活动类型确定轮询时间间隔。例如,如果适配器每次从数据库读入相当长的用户列表并在 Identity Manager 中更新所有用户,则可以考虑在每天早晨运行此进程。某些适配器可能需要快速搜索要处理的新项目,可以设置为每分钟运行一次。
指定运行适配器的主机
要指定运行适配器的主机,请编辑文件 waveset.properties。将 sources.hosts 属性编辑为以下选项之一:
可将需要更多内存和 CPU 循环的活动同步适配器配置为在专用服务器上运行,以帮助平衡系统负载。
启动和停止
可禁用、手动启动或自动启动活动同步适配器。要启动或停止活动同步适配器,您必须具有相应的管理员权能以更改活动同步资源。有关管理员权能的信息,请参见权能类别。
如果将适配器设置为自动启动,则当应用服务器重新启动时,该适配器也将重新启动。启动适配器后,它将立即运行并按指定的轮询时间间隔执行。如果您停止某一适配器,则它将在下次检查停止标志时停止。
适配器日志记录
适配器日志捕获有关适配器当前处理情况的信息。日志捕获的详细信息量取决于您为该日志设置的日志级别。适配器日志对调试问题和查看适配器处理进度都很有用。
每个适配器都有自己的日志文件、路径和日志级别。可以在 "Synchronization Policy" 的 "Logging" 段为相应的用户类型("Identity Manager Users" 或 "Service Provider Users")指定这些值。
删除适配器日志
只能在适配器已经停止时删除适配器日志。多数情况下会在删除日志之前对其进行复制,以便归档。