第 6 章数据同步与加载

第 6 章
数据同步与加载

本章介绍有关使用 Identity Manager 数据同步和加载功能的信息和过程。您将了解有关数据同步工具（搜索、协调和同步）以及如何使用这些工具保持数据最新的信息。

数据同步工具：使用哪一个？

按照以下准则选择 Identity Manager 数据同步工具以执行任务。

表 6-1 使用数据同步工具执行的任务
如果要：	请选择此功能：
初次将资源帐户引入 Identity Manager，在加载之前没有查看	从资源加载
初次将资源帐户引入 Identity Manager，加载之前可以选择性地查看和编辑数据	提取到文件，从文件加载
定期将资源帐户引入 Identity Manager，根据配置的策略对每个帐户执行操作。	协调资源
将资源帐户更改推送到或引入 Identity Manager	使用活动同步适配器进行同步（多个资源实现）

搜索

Identity Manager 帐户搜索功能帮助简化快速部署和加速帐户创建任务。这些功能包括：

Extract to File — 将资源适配器返回的资源帐户提取到一个文件（采用 CSV 或 XML 格式）。在将数据导入 Identity Manager 之前，可以对此文件进行操作。

Load from File — 读取文件（采用 CSV 或 XML 格式）中的帐户并将它们加载到 Identity Manager 中。

Load from Resource — 结合其他两个搜索功能，从资源提取帐户并将它们直接加载到 Identity Manager 中。

使用这些工具可以创建新的 Identity Manager 用户，或者将某个资源上的帐户与现有 Identity Manager 用户帐户关联。

提取到文件

使用此功能将资源帐户从资源提取到一个 XML 或 CSV 文本文件中。这样做可以在将提取数据导入 Identity Manager 之前对其进行查看和更改。

要提取帐户：

在菜单栏中选择 Accounts，然后选择 Extract to File。

选择要从中提取帐户的资源。

为输出帐户信息选择文件格式。可以将数据提取到 XML 文件，或提取到以逗号分隔值 (CSV) 格式编排帐户属性的文本文件中。

单击 Download。Identity Manager 将显示 "File Download" 对话框，您可以在该对话框中选择保存或查看提取的文件。

如果选择打开该文件，则可能需要选择查看程序。

从文件加载

使用此功能将资源帐户（通过 Identity Manager 从资源提取的帐户或从另一文件源提取的帐户）加载到 Identity Manager 中。由 Identity Manager 的提取到文件功能创建的文件为 XML 格式的文件。如果加载一列新用户，则数据文件通常采用 CSV 格式。

关于 CSV 文件格式

通常，要加载的帐户在一个电子表格中列出并以逗号分隔值 (Comma-separated Value, CSV) 格式保存，以便加载到 Identity Manager 中。CSV 文件内容必须遵循以下格式准则：

第 1 行 — 以逗号分隔的形式列出每个字段的列标题或模式属性。

第 2 行到最后 — 以逗号分隔的形式列出在第 1 行中定义的每个属性的值。如果某个字段值没有数据，则该字段必须用相邻的逗号表示。

例如，一个文件的前三行可能类似于下图中的文件条目：

firstname,middleinitial,lastname,accountId,asciipassword,EmployeeID,Department,Phone
John,Q,Example,E1234,E1234,1234,Operations,555-222-1111
Jane,B,Doe,E1111,E1111,1111,,555-222-4444

图 6-1 用于加载数据的格式正确的 CSV 文件的示例
CVS 格式的文件内容

在本例中，第二个用户 (Jane Doe) 没有部门。缺少的值用相邻的逗号 (,,) 表示。

要加载帐户：

在菜单栏中选择 Accounts，然后选择 Load from File。

Identity Manager 会显示 "Load from File" 页，可使用该页指定加载选项，然后继续：

User Form — 当加载过程创建了 Identity Manager 用户时，用户表单会分配组织以及角色、资源和其他属性。选择要应用于每个资源帐户的用户表单。

Account Correlation Rule — 帐户关联规则选择可能拥有每个无拥有者的资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性，关联规则会返回一个名称列表或属性条件列表，用于选择潜在拥有者。选择一个规则，以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。

Account Confirmation Rule — 帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后，若用户拥有该帐户，则确认规则返回 true，否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择 No Confirmation Rule，Identity Manager 将接受所有潜在拥有者，而不进行确认。



注	如果在您的环境中，关联规则为每个帐户选择最多一个拥有者，则您不需要确认规则。

Load Only Matching — 选择此选项可仅将与现有 Identity Manager 用户匹配的帐户加载到 Identity Manager 中。如果选择此选项，则加载将放弃任何不匹配的资源帐户。

Update Attributes — 选择此选项可用加载的帐户的属性值替换当前 Identity Manager 用户的属性值。

Merge Attributes — 输入一个或多个用逗号分隔的属性名，这些属性的值应被合并（去掉重复部分）而不被覆盖。此选项仅用于列表类型的属性，例如组和邮递列表。还必须选择 "Update Attributes" 选项。

Result Level — 选择一个阈值，加载进程在达到该阈值时将为帐户记录单独的结果：

Errors only — 仅在加载帐户的过程中产生错误消息时才记录单独的结果。

Warnings and errors — 在加载帐户的过程中产生警告或错误消息时记录单独的结果。

Informational and above — 为每个帐户记录单独的结果。这会导致加载进程运行得更慢。

在 "File to Upload" 字段中，指定要加载的文件，然后单击 Load Accounts。



注	如果输入文件不包含用户列，则为使加载能够正确继续进行，必须选择确认规则。与加载过程相关的任务实例名称基于输入文件名；因此，如果重复使用某文件名，则与最近的加载过程相关的任务实例将覆盖以前所有任务实例。

图 6-2 说明了 "Load from File" 屏幕中的可用字段和选项。

图 6-2 从文件加载
使用加载进程从文件加载帐户。

如果帐户与现有用户匹配（或关联），则加载进程会将帐户合并到用户中。该进程也将通过任何不相关的输入帐户创建新的 Identity Manager 用户（除非指定“必需相关”）。

bulkAction.maxParseErrors 配置变量会设置加载文件时可发现的错误数的限制。默认情况下，限制为 10 个错误。如果发现的错误数达到了 maxParseErrors 的值，则会停止解析。

从资源加载

使用此功能可根据您指定的选项直接提取帐户并将其导入 Identity Manager。

要导入帐户，请在菜单栏中选择 Accounts，然后选择 Load from Resource。

Identity Manager 允许指定加载选项，然后继续。"Load from Resource" 页面与 "Load from File" 页面中的可用加载选项及这些选项的操作结果相同。

协调

使用协调功能可突出显示 Identity Manager 上的资源帐户与某个资源上实际存在的帐户之间的不一致性，并定期关联帐户数据。

因为协调专用于进行中的比较，因此其具有以下特征：

比搜索过程更明确地诊断帐户情况，支持的响应也更广泛

被预定（搜索不能）

提供增量模式（搜索始终为完全模式）

检测本机更改（搜索不能）

也可以将协调配置为在处理资源过程中的下列每一点处启动任意工作流：

协调任何帐户之前

每个帐户

协调所有帐户之后

从“资源”区域访问 Identity Manager 协调功能。"Resources" 列表显示每个资源上次协调的时间及其当前协调状态。

关于协调策略

协调策略允许您按资源为每个协调任务建立一组响应。您可在策略中选择运行协调的服务器、确定协调发生的频率和时间，以及设置对协调期间遇到的每种情况作出响应。可以将协调配置为检测对帐户属性进行的本机更改（不是通过 Identity Manager 进行的更改）。

编辑协调策略

要编辑协调策略：

在菜单栏中选择 Resources。

在 "Resources" 列表分层结构中选择资源。

在 "Resource Actions" 选项列表中选择 Edit Reconciliation Policy。

Identity Manager 将显示 "Edit Reconciliation Policy" 页面，可在其中进行下列策略选择：

Reconciliation Server — 在群集环境中，每台服务器都可以运行协调。请在策略中指定哪台 Identity Manager 服务器将运行针对资源的协调。

Reconciliation Modes — 可以在不同模式下执行协调，这样能够将不同质量的结果最优化：

Full reconciliation — 协调最彻底（以速度为代价）。

Incremental reconciliation — 协调速度最快（以彻底性为代价）。

在策略中选择 Identity Manager 对资源运行协调应该采用的模式。选择 Do not reconcile 禁用针对目标资源的协调。

Full Reconciliation Schedule — 如果启用完全模式协调，则按固定的进度表自动执行协调。在策略中指定针对资源运行完全式协调的频率。选择 "Inherit" 选项从更高级别策略继承指定的进度表。

Incremental Reconciliation Schedule — 如果启用增量模式协调，则按固定的进度表自动执行协调。在策略中指定针对资源运行增量式协调的频率。选择 Inherit 选项从较高级别的策略继承指定的进度表。



注	并非所有资源都支持增量式协调。

Attribute-level Reconciliation — 可以将协调配置为检测对帐户属性进行的本机更改（即，不是通过 Identity Manager 进行的更改）。指定协调是否应检测对 Reconciled Account Attributes 中指定的属性进行的本机更改。



注	如果在您的环境中，关联规则为每个帐户选择最多一个拥有者，则您不需要确认规则。

Proxy Administrator — 指定执行协调响应时使用的管理员。协调只能执行指定的代理管理员可以执行的那些操作。响应将使用与此管理员相关的用户表单（如需要）。

还可以选择 "No Proxy Administrator" 选项。如果选择了此选项，则可以查看协调结果，但不运行任何响应操作或工作流。

Situation Options（和 "Response"）— 协调会识别若干类型的情况。在 "Response" 列中指定协调应执行的任何操作：

CONFIRMED — 所需帐户存在。

DELETED — 所需帐户不存在。

FOUND — 协调进程在分配的资源上找到匹配帐户。

MISSING — 分配给用户的资源上不存在匹配的帐户。

COLLISION — 两个或多个 Identity Manager 用户被分配给资源上的同一帐户。

UNASSIGNED — 协调进程在未分配给用户的资源上找到匹配帐户。

UNMATCHED — 帐户与任何用户都不匹配。

DISPUTED — 帐户与多个用户匹配。

从这些响应选项（可用选项因情况而异）中选择一个：

Create new Identity Manager user based on resource account — 运行资源帐户属性的用户表单以创建新用户。该资源帐户不会因任何更改而被更新。

Create resource account for Identity Manager user — 使用用户表单重新生成资源帐户属性，以重新创建缺少的资源帐户。

Delete resource account and Disable resource account — 删除/禁用资源上的帐户。

Link resource account to Identity Manager user and Unlink resource account from Identity Manager user — 向用户添加资源帐户分配或从用户中删除资源帐户分配。未执行任何表单处理。

Pre-reconciliation Workflow — 可以将协调配置为在对资源进行协调之前运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 "Do not run workflow"。

Per-account Workflow — 可将协调配置为在对每种资源帐户情况做出响应后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 "Do not run workflow"。

Post-reconciliation Workflow — 可将协调配置为在完成协调资源之后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 Do not run workflow。

单击 Save 以保存策略更改。

启动协调

有两个选项可用于启动协调任务：

Reconciliation schedule — 您可在 "Edit Reconciliation Policy" 页中设置协调进度表，以定期运行协调。

Immediate reconciliation — 立即运行协调。要执行此操作，请在资源列表中选择资源，然后在 "Resource Actions" 列表中选择以下选项之一：

Full Reconcile Now

Incremental Reconcile Now

协调将按照您在策略中设置的参数运行。如果在策略中针对协调设置了定期进度表，则协调将继续按指定方式运行。

取消协调

要取消协调，请选择资源，然后在 "Resource Actions" 列表中选择 Cancel Reconciliation。

查看协调状态

"Resources" 列表中的 "Status" 列可报告若干种协调状态。其中包括：

unknown — 状态未知。最新协调任务的结果不可用。

disabled — 协调已禁用。

failed — 未能完成最新的协调。

success — 已成功完成最新的协调。

completed with errors — 最新协调已完成，但出现错误。



注	必须刷新此页才能查看状态变化（这些信息不会自动刷新）。

资源上每个帐户的详细状态信息都可用。在列表中选择资源，然后在 "Resource Actions" 列表中选择 View Reconciliation Status。

使用帐户索引

帐户索引会记录 Identity Manager 已知的每个资源帐户的最新已知状态。它主要由协调来维护，但是需要时其他 Identity Manager 功能也会更新帐户索引。

搜索工具不更新帐户索引。

搜索帐户索引

要搜索帐户索引，请在 "Resource Actions" 列表中选择 Search Account Index。

选择一种搜索类型，然后输入或选择搜索属性。单击 Search 以查找与所有搜索条件均匹配的帐户。

Resource account name — 选择此选项，再选择其中一个修改符号（开头为、包含或是），然后输入部分帐户名称或完整的帐户名称。

Resource is one of — 选择此选项，然后从列表中选择一个或多个资源，以查找位于指定资源上的已协调帐户。

Owner — 选择此选项，再选择一个修改符号（开头为、包含或是），然后输入拥有者的完整或部分名称。要搜索无拥有者帐户，搜索处于 "UNMATCHED" 或 "DISPUTED" 情况下的帐户。

Situation is one of — 选择此选项，然后从列表中选择一种或多种情况，以查找处于指定情况下的已协调帐户。

单击 Search 以根据搜索参数来搜索帐户。要限制搜索结果，也可在 Limit results to 字段中指定数量。默认限制为找到的前 1000 个帐户。

单击 Reset Query 以清除该页并进行新的选择。

检查帐户索引

也可以查看所有 Identity Manager 用户帐户，并可选择对每个用户分别协调帐户。要执行此操作，请选择 Resources，然后选择 Examine Account Index。

表格会显示 Identity Manager 已知的所有资源帐户（无论 Identity Manager 用户是否拥有该帐户）。此信息按资源或 Identity Manager 组织分组。要更改此视图，请从 "Change index view" 列表中进行选择。

使用帐户

要使用资源上的帐户，请选择 Group by resource 索引视图。Identity Manager 会为每种类型的资源显示文件夹。通过展开文件夹导航到特定资源。单击资源旁边 + 或 - 以显示 Identity Manager 已知的所有资源帐户。

自上次对资源进行协调以来直接添加到该资源的帐户不会显示出来。

根据给定帐户的当前情况，可以执行几种操作。也可以查看帐户详细信息或选择协调该帐户。

使用用户

要使用 Identity Manager 用户，请选择 Group by user 索引视图。在此视图中，Identity Manager 用户和组织显示为类似 "Accounts List" 页的分层结构。要查看当前分配给 Identity Manager 中某个用户的帐户，请导航到该用户并单击用户名旁的指示符。在该用户名的下方将显示该用户的所有帐户和 Identity Manager 已知的这些帐户的当前状态。

根据给定帐户的当前情况，可以执行几种操作。也可以查看帐户详细信息或选择协调该帐户。

活动同步适配器

Identity Manager 活动功能允许存储在授权外部资源（如应用程序或数据库）中的信息与 Identity Manager 用户数据同步。为 Identity Manager 资源配置同步可使其能够侦听或轮询对授权资源的更改。

您可以通过使用元视图，或通过在资源同步策略中指定输入表单（适用于适当的目标对象类型）来配置资源属性更改流向 Identity Manager 的方式。

使用元视图可指定数据更新的方式，以及指定要为活动同步应用程序启用的身份属性。有关配置身份属性的详细信息，请参见配置身份属性和事件。

继续下一节以配置同步。

配置同步

Identity Manager 使用同步策略启用资源的同步。要配置同步，请在 "Resources" 选项卡上选择您要为其配置同步的资源，然后从 "Resource Actions" 列表中选择 Edit Synchronization Policy。

编辑同步策略

在 "Edit Synchronization Policy" 页中指定以下选项以配置同步：

Target Object Type — 选择要对其应用策略的用户类型，"Identity Manager Users" 或 "Service Provider Edition Users"。



注	在服务提供商实现中，必须配置同步策略（指定 "Service Provider Edition Users" 为对象类型）以启用这些用户的数据同步。有关服务提供商用户的详细信息，请参见第 13 章“服务提供商管理”。

Scheduling Settings — 使用此段可指定启动方法以及轮询进度表。

"Startup Type" 可以是 "Manual"、"Automatic"、"Automatic with Failover" 或 "Disabled"：

Automatic or Automatic with failover — 启动 Identity System 时启动授权源。

Manual — 要求管理员启动授权源。

Disabled — 禁用资源。

使用 Start Date 和 Start Time 选项可指定何时开始轮询。通过选择间隔并输入间隔值（秒、分钟、小时、天、周、月）可指定轮询周期。

如果您设置的轮询开始日期和时间还未到达，则轮询将按指定的时间开始。如果您设置的轮询开始日期和时间已经过去，则 Identity Manager 将根据此信息和轮询间隔来确定轮询的开始时间。例如：

在 2005 年 7 月 18 日（星期二）配置活动同步资源

将资源设置为每周轮询，开始日期为 2005 年 7 月 4 日（星期一），时间是上午 9 点。

此种情况下，资源将于 2005 年 7 月 25 日开始轮询（下一个星期一）。

如果不指定开始日期或时间，则资源会立即开始轮询。如果采用此方法，则每次应用服务器重新启动时，为活动同步配置的所有资源均将立即开始轮询。典型的方法是设置开始日期和时间。

Resource Specific Settings — 使用此段可指定同步以何种方式确定要为资源处理的数据。

Common Settings — 可为数据同步活动指定以下常规设置：

Proxy Administrator — 选择负责处理更新的管理员。所有操作将通过分配给此管理员的权能进行授权。您应选择具有空用户表单的代理管理员。

Input Form — 选择将处理数据更新的输入表单。此可选配置项目允许在将属性保存到帐户之前对其进行转换。

Rules — 使用该选项可指定数据同步过程中要使用的规则：

Process Rule — 选择此规则可指定要为每个传入帐户运行的进程规则。此选项会覆盖所有其他选项。如果指定进程规则，则会为每一行运行该进程，无论此资源的其他设置如何。既可以是进程名称，也可以是进程名称的评估规则。

Correlation Rule — 选择关联规则可以覆盖在资源的协调策略中指定的关联规则。关联规则使资源帐户与 Identity System 帐户相关联。

Confirmation Rule — 选择确认规则可以覆盖在资源的协调策略中指定的确认规则。

Resolve Process Rule — 选择此规则可指定在数据供应的记录中存在多个匹配项时将运行的任务定义的名称。此进程将提示管理员进行手动操作。既可以是进程名称，也可以是进程名称的评估规则。

Delete Rule — 选择将针对每个传入的用户更新进行评估并返回 true 或 false 的规则，以确定是否应进行删除操作。

Create Unmatched Accounts — 启用此选项 (true) 后，则适配器将尝试创建在 Identity Manager 系统中未找到的帐户。如果未启用此选项，则适配器将通过由 "Resolve Process Rule" 返回的进程来运行帐户。

Logging Settings — 为以下日志记录选项指定值：

Maximum Log Archives — 如果大于零，则保留最新的 N 个日志文件。如果等于零，则重复使用单个日志文件。如果为 -1，则保留日志文件。

Maximum Active Log Age — 在此时间段过后，活动日志将被归档。如果时间为零，则不发生基于时间的归档。如果 "Maximum Log Archives" 为零，则在指定时间段之后，活动日志将被截断并重新使用。此使用期限条件将独立于 "Maximum Log File Size" 指定的条件进行评估。

输入一个数字，然后选择时间单位（天、小时、分钟、月、秒或周）。默认单位是天。

Log File Path — 输入要创建活动和归档日志文件的目录的路径。日志文件名将以资源名称开头。

Maximum Log file Size — 输入活动日志文件的最大大小（以字节为单位）。当活动日志文件大小达到最大值时，该文件将被归档。如果 "Maximum Log Archives" 为零，则在指定时间段之后，活动日志将被截断并重新使用。此大小条件将独立于 "Maximum Active Log Age" 指定的使用期限条件进行评估。

Log Level — 输入日志级别：

0 — 不记录

1 — 错误

2 — 信息

3 — 详细

4 — 调试

单击 Save 以保存资源的策略设置。

编辑活动同步适配器

在编辑活动同步适配器之前，请停止同步。在 "Edit Synchronization Policy" 页中，选择 Disabled 作为 Identity Manager 用户的 Startup Type；对于服务提供商用户，请取消选择 Enable Synchronization 选项。将显示警告消息，指示已禁用活动同步。

为资源禁用同步将导致在保存更改时停止同步任务。

调节活动同步适配器性能

由于同步是后台任务，因此 ActiveSync 适配器配置可能影响服务器性能。调谐 ActiveSync 适配器性能涉及以下任务：

通过资源列表管理活动同步适配器。选择活动同步适配器，然后从 "Resource Actions" 列表的 Synchronization 段选择开始、停止和状态刷新控制操作。

更改轮询时间间隔

轮询时间间隔决定活动同步适配器何时开始处理新信息。应根据正在执行的活动类型确定轮询时间间隔。例如，如果适配器每次从数据库读入相当长的用户列表并在 Identity Manager 中更新所有用户，则可以考虑在每天早晨运行此进程。某些适配器可能需要快速搜索要处理的新项目，可以设置为每分钟运行一次。

指定运行适配器的主机

要指定运行适配器的主机，请编辑文件 waveset.properties。将 sources.hosts 属性编辑为以下选项之一：

设置 sources.hosts=hostname1,hostname2,hostname3。这列出了要运行活动同步适配器的计算机的主机名。适配器将在此字段中列出的第一个可用主机上运行。



注	输入的 hostname 必须与服务器的 Identity Manager 列表中的条目匹配。可以通过 "Configure" 选项卡查看服务器列表。

或

设置 sources.hosts=localhost。通过该设置，适配器将在尝试为资源启动活动同步的第一个 Identity Manager 服务器上运行。



注	在群集环境中，如需指定特定服务器，应使用第一个选项。此属性设置仅适用于 Identity Manager 用户同步。服务提供商用户同步的主机配置将由同步策略来确定。

可将需要更多内存和 CPU 循环的活动同步适配器配置为在专用服务器上运行，以帮助平衡系统负载。

启动和停止

可禁用、手动启动或自动启动活动同步适配器。要启动或停止活动同步适配器，您必须具有相应的管理员权能以更改活动同步资源。有关管理员权能的信息，请参见权能类别。

如果将适配器设置为自动启动，则当应用服务器重新启动时，该适配器也将重新启动。启动适配器后，它将立即运行并按指定的轮询时间间隔执行。如果您停止某一适配器，则它将在下次检查停止标志时停止。

适配器日志记录

适配器日志捕获有关适配器当前处理情况的信息。日志捕获的详细信息量取决于您为该日志设置的日志级别。适配器日志对调试问题和查看适配器处理进度都很有用。

每个适配器都有自己的日志文件、路径和日志级别。可以在 "Synchronization Policy" 的 "Logging" 段为相应的用户类型（"Identity Manager Users" 或 "Service Provider Users"）指定这些值。

删除适配器日志

只能在适配器已经停止时删除适配器日志。多数情况下会在删除日志之前对其进行复制，以便归档。

上一页目录索引下一页
Sun Java™ System Identity Manager 7.0 管理指南