第 13 章服务提供商管理

本章介绍了在 Sun Java System Identity Manager 中管理服务提供商 (SPE) 功能所需要了解的信息。要使用此信息，了解轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录和联合管理会很有帮助。有关服务提供商实现的更深入介绍，请参见 Identity Manager SPE 部署。

服务提供商功能概述

在服务提供商环境中，您需要可以管理所有最终用户（外联网用户和内联网用户）的用户置备。使用 Identity Manager Service Provider Edition 功能，公司管理员可以将身份帐户分为两种不同的类型：Identity Manager 用户和服务提供商用户。Identity Manager 中的服务提供商用户是已配置为 "Service Provider User" 类型的用户帐户。

通过提供以下功能，将 Identity Manager 用户置备和审计权能扩展到服务提供商实现：

增强的最终用户页面

提供了可以为服务提供商实现自定义的增强的最终用户页面。

密码和帐户 ID 策略

如同其他 Identity Manager 用户一样，您可以定义服务提供商用户和资源帐户的帐户 ID 和密码策略。

可使用 SPE System Account Policy（已添加到主 "Policies" 表）为服务提供商用户激活策略检查代码。

Identity Manager 与服务提供商同步

可以将 Identity Manager 与服务提供商帐户同步配置为在任何 Identity Manager 服务器上运行或限制在选定的服务器上运行。

如同 Identity Manager 同步一样，通过 "Resources" 页上的 "Resource Actions" 选项可以轻松地停止和启动服务提供商同步。请参见启动和停止同步。

Identity Manager 用户同步的输入表单与服务提供商用户同步的输入表单不同。请参见最终用户界面。

Access Manager 集成

您可以使用 Sun Java System Access Manager 7 2005Q4 在服务提供商最终用户页面上进行验证。如果配置了与 Access Manager 集成，则 Access Manager 可确保只有经过验证的用户才可以访问最终用户页面。

服务提供商需要用户名以进行审计。更新 AMAgent.properties 文件可以将用户的 ID 添加到 HTTP 标头，例如：

最终用户页面验证过滤器会将 HTTP 标头值置入 HTTP 会话（其他代码希望该标头值置入其中）。

初始配置

要配置服务提供商功能，请执行以下步骤编辑目录服务器的 Identity Manager 配置对象：

编辑主配置

编辑用户搜索配置



注	在继续之前，请确保您已经：定义了 LDAP 资源。默认情况下已导入名为 SPE 最终用户目录的样例资源。如果要将用户信息和配置信息存储在不同的目录中，您可以配置多个资源。此模式必须包括 XML 对象的映射。为目录资源配置的基本上下文仅适用于存储在该目录中的用户。如果需要，可配置服务提供商帐户策略。

编辑主配置

以配置者权限登录到 Identity Manager。

在菜单栏中单击 Service Provider。

单击 Edit Main Configuration。屏幕上将显示 SPE Configuration 页。在 "SPE Configuration" 页中的以下段中，根据需要输入信息或进行选择：

目录配置

在“目录配置”小节中，将介绍为服务提供商用户配置 LDAP 目录和指定 Identity Manager 属性的信息。

图 13-1 显示了 "SPE Configuration" 页的这一区域，以及下一节中介绍的 "User Forms and Policy" 区域。

从列表中选择 SPE End-User Directory。

选择在其中存储所有服务提供商用户数据的 LDAP 目录资源。

输入 Account ID Attribute Name。

这是包括帐户的唯一简短标识符的 LDAP 帐户属性名称。它被视为用户通过 API 进行验证及帐户访问时使用的名称。该属性名称必须在模式映射中定义。

指定 IDM Organization Attribute Name。

该选项指定包含组织（该组织是 LDAP 帐户在 Identity Manager 中所属的组织）名称或 ID 的 LDAP 帐户属性名称。它用于 LDAP 帐户的委托管理。属性名称必须存在于 LDAP 资源模式映射中，并且是 Identity Manager 系统属性名称（模式映射左边的名称）。



注	如果要通过组织授权启用委托管理，则应指定 Identity Manager 组织属性名称（如果需要，还应指定 "IDM Organization Attribute Name Contains ID"）。

如果您选择 IDM Organization Attribute Name Contains ID，请启用该选项。

如果 LDAP 资源属性（是指 LDAP 帐户所属的 Identity Manager 组织）包含 Identity Manager 组织的 ID 而非名称，请选择该选项。

如果您选择 Compress User XML，请启用该选项。

如果您选择压缩存储在目录中的用户 XML，请选择该选项。

单击 Test Directory Configuration 以验证配置的条目。



注	您可以根据需要测试目录、事务和审计配置。要对以上三方面进行全面测试，请单击三个测试配置按钮。

用户表单和策略

在 "User Forms and Policy" 区域（如上面的图 13-1 所示）中，请指定要用于服务提供商用户管理的表单和策略。

从列表中选择 End User Form。

除了委托管理员页面和同步期间，该表单可用于所有其他环境。如果选择 None，则不使用默认用户表单。

从列表中选择 Administrator User Form。

这是用于管理员上下文中的默认用户表单。该表单包括服务提供商帐户编辑页。如果选择 None，则不使用默认用户表单。



注	如果不选择 "Administrator User Form"，则管理员将无法通过 Identity Manager 创建或编辑服务提供商用户。

从列表中选择 Synchronization User Form。

使用服务提供商同步任务时，请使用默认服务提供商用户表单。如果选择 None，则不使用默认用户表单。

从列表中选择 Account Policy。

这些选项包括通过 "Configure" > "Policies" 定义的任何身份帐户策略。

从列表中选择 Is Account Locked Rule。

选择要针对服务提供商用户视图运行的规则，该规则可以确定帐户是否锁定。

选择 Lock Account Rule。

选择要针对服务提供商用户视图运行的规则，该规则可以在视图中设置能锁定帐户的属性。

选择 Unlock Account Rule。

选择要针对服务提供商用户视图运行的规则，该规则可以在视图中设置能解除锁定帐户的属性。

事务数据库

使用 "SPE Configuration" 页的此段（如图 13-2 所示）来配置事务数据库。仅当使用 JDBC 事务持久性存储时，才需要使用这些选项。更改其中的任何值均需要重新启动服务器以将其应用。

输入以下数据库信息：

Driver Class — 指定 JDBC 驱动程序类名。

Driver Prefix — 此字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

Connection URL Template — 此字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

Host — 输入正在运行该数据库的主机的名称。

Port — 输入数据库服务器侦听的端口号。

Database Name — 输入要使用的数据库的名称。

User Name — 输入有权读取、更新和删除选定数据库中事务和审计表中各行的数据库用户的 ID。

Password — 输入数据库用户密码。

Transaction Table — 输入选定数据库中用于存储暂挂事务的表名称。

启用 Automatically Create Schema 选项，可以使 Identity Manager 自动创建表的模式。

生产系统应禁用该选项。对于生产系统，请自定义 web/samples 中的样例数据库初始化脚本。

如果适用，单击 Test Transaction Configuration 以验证您的条目。

继续到 "Service Provider Configuration" 页的下一段以配置跟踪的事件。

跟踪的事件配置

启用事件收集后，您便可以实时跟踪统计信息，从而有助于维护预期级别和商定级别的服务。默认情况下启用事件收集，如图 13-3 所示。清除 Enable event collection 复选框将禁用收集。

图 13-3 服务提供商配置（跟踪的事件、帐户索引和标注配置）

要设置时区并指定服务提供商跟踪事件的收集间隔，请执行以下步骤：

从列表中选择 Time zone。

选择记录跟踪事件时要使用的时区，或选择 Set to Server Default 以使用服务器上设置的时区。

选择 Time Scales to collect 选项。

按以下时间间隔聚集的收集：每 10 秒钟、每分钟、每小时、每日、每周和每月。禁用您不希望按其进行收集的任何间隔。

同步帐户索引

在服务提供商实现中使用 ActiveSync 资源时，可能需要定义 Account Indexes 以正确地将此资源发送的事件与服务提供商目录中的用户相关联。

默认情况下，资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中，不会始终发送 accountId；例如，从 ActiveDirectory 中删除事件仅包含 ActiveDirectory 生成的帐户 GUID。

guid — 该属性通常包含系统生成唯一标识符。

身份 — 该属性通常与除 LDAP 资源之外的所有资源的 accountId 相同，在 LDAP 资源中 identity 包含对象的完整 DN。

如果需要使用 guid 或 identity 进行关联，则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后，便可将其用于搜索过滤器以关联同步事件。

要定义帐户索引，请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供商目录的资源定义，并在模式映射中为每个 ActiveSync 资源的 GUID 或 identity 属性添加属性。例如，如果从 ActiveDirectory 同步，则可以定义映射到未使用的目录属性（例如管理员）的名为 AD-GUID 的属性。

在配置页的 "Synchronization Account Indexes" 区域中，单击 New Index 按钮。

表单可扩展为包含资源选项字段，之后是两个属性选项字段。在选择资源之前，属性选项字段保持为空

从列表中选择 Resource。

现在，属性字段包含在模式映射中为选定资源定义的值。

为 Guid Attribute 或 Full Identity Attribute 选择适当的索引属性。

通常不必同时设置二者。如果同时设置二者，则软件首先尝试使用 GUID 进行关联，然后使用完整身份进行关联。

您可以再次单击 New Index 以定义其他资源的索引属性。

要删除索引，请单击 Resource 选项字段右侧的 Delete 按钮。

删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

标注配置

选择 "Callout Configuration" 段中的该选项可以启用标注。启用标注后，将显示标注映射，使您可以为每个列出的事务类型选择操作前和操作后选项。


注	删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

如果指定操作后标注，请使用 Wait for post-operation callout 选项指定事务必须等待操作后标注处理完成后才能完成。这可确保仅在操作后标注成功完成后才能执行任何相关事务。

编辑用户搜索配置


注	在 "SPE Configuration" 页上所有段的选择完成后，单击 Save 完成配置。

使用此页（如图 13-4 所示）为 "Manage Service Provider Users" 页上委托管理员进行的搜索配置默认搜索设置。这些默认值适用于 "Manage Service Provider Users" 页上的所有用户，但是可以根据每个会话将其覆盖。

要配置默认搜索设置以搜索服务提供商用户，请执行以下步骤：

在菜单栏中单击 Service Provider。

单击 Edit User Search Configuration。

输入 Maximum Results Returned 的数值（默认值为 100）。

输入 Results Per Page 的数值（默认值为 10）。

使用箭头键选择 Result Attributes to Display 旁的 Available Attributes。

从列表中选择 Attribute to search。

从列表中选择 Search Operation。

单击 Save。



注	只有在注销并重新登录后，对搜索配置所做的更改才会生效。如果尚未配置 SPE 目录，则无法使用这些配置对象。

事务管理

某个事务可以封装单个置备操作，例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成，需要将其写入事务持久性存储。

设置默认事务执行选项

这些选项控制事务的执行方式，包括同步/异步处理及何时在事务持久性存储中对其进行持久性处理。可以在 IDMXUser 视图中或通过用于对其进行处理的表单覆盖这些选项。有关更多信息，请参见 Identity Manager SPE 部署。

单击 Service Provider > Edit Transaction Configuration。屏幕上将显示 SPE Transaction Configuration 页。

图 13-5 显示了 "Default Transaction Execution Options" 区域。

图 13-5 事务配置
在服务提供商配置中设置默认事务执行选项

从以下选项中选择 Guaranteed Consistency Level，以指定用户更新的事务一致性级别：

None — 不保证用户的资源更新按顺序进行

Local — 保证由同一服务器处理的用户的资源更新按顺序进行。

Complete — 保证所有服务器的用户的所有资源更新按顺序进行。此选项要求在进行尝试或异步处理之前保留所有事务。

选择以下您选择启用的默认事务执行选项：

Wait for First Attempt — 规定了当 IDMXUser 视图对象登入时控制权如何返回给调用方。如果启用该选项，则在置备事务完成一次尝试之前，登入操作将阻塞。如果禁用异步处理，则当控制权返回时，事务要么成功，要么失败。如果启用异步处理，则事务将在后台继续重试。如果禁用该选项，则登入操作将在尝试置备事务之前将控制权返回给调用方。请考虑启用该选项。

Enable Asynchronous Processing — 该选项控制置备事务的处理在登入调用返回后是否继续。由于只同步进行一次尝试，因此如果需要重试事务，请启用该选项。

选择 Enable Asynchronous Processing 后，请输入 Retry Timeout 值。该值是服务器重试失败的置备事务的时间上限（毫秒）。该设置补充单个资源的重试设置，包括服务提供商用户 LDAP 目录。例如，如果在达到资源重试限制之前达到了该限制，则事务将异常中止。如果该值为负，则重试次数仅受单个资源的设置的限制。

Persist Transactions Before Attempting — 如果启用，置备事务将在尝试前被写入到事务持久性存储中。由于大多数置备事务在第一次尝试时就会成功，因此启用该选项可能会导致不必要的系统开销。考虑禁用该选项，除非 Wait for First Attempt 选项已禁用。如果选择 "Complete" 一致性级别，则无法使用该选项。

Persist Transactions Before Asynchronous Processing（默认选项） — 如果启用，置备事务将在异步处理前被写入到事务持久性存储中。如果 "Wait for First Attempt" 选项已启用，则需要重试的事务将在控制权返回到调用方前具有持久性。如果 "Wait for First Attempt" 选项已禁用，则事务会在尝试前一直具有持久性。建议启用该选项。如果选择 "Complete" 一致性级别，则无法使用该选项。

Persist Transactions on Each Update — 如果启用，置备事务将在每次重试尝试后具有持久性。由于事务持久性存储可以从 Search Transaction 页进行搜索并且总是最新的，因此该操作可以帮助隔离问题。

设置事务持久性存储

"SPE Transaction Configuration" 页上的这些选项适用于事务持久性存储。可以配置要在存储中显示的存储类型以及其他可查询属性，如下图所示。

从列表中选择所需的 Transaction Persistent Store Type。

如果选择了 Database 选项，则在服务提供商配置主页中配置的 RDBMS 将用于使置备事务具有持久性。这保证了必须重试的事务不会在服务器重新启动时丢失。选择该选项要求在服务提供商配置主页中配置 RDBMS。如果选择了 Simulated memory-based 选项，则要求重试的事务将仅存储到内存中并且将在服务器重新启动时丢失。在生产环境中，请启用 Database 选项。



注	基于内存的事务持久性存储不适合在群集环境中使用。更改 Transaction Persistent Store Type 后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

如果需要，请输入 Customized queryable user attributes。

选择要在事务摘要中显示的 IDMXUser 对象的附加属性。这些属性可以从搜索事务页中查询并显示在搜索结果中。它们包括：

User path expression — 将路径表达式输入到 IDMXUser 对象中。

Display name — 选择与路径表达式对应的显示名称。该显示名称显示在事务搜索页中。

设置高级事务处理设置

这些高级选项控制事务管理器的内部工作。除非性能分析说明提供的默认值不是最佳的，否则不要对其进行更改。所有条目都是必需的。

图 13-5 说明了 "Edit Transaction Configuration" 页上的 "Advanced Transaction Processing Settings" 区域。

请输入所需的 Worker Threads（默认值为 100）。

这是用来处理事务的线程数。该值限定了可以并发处理的事务数。这些线程在启动时静态分配。



注	更改 Worker Threads 设置后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

输入所需的 Lease Duration (ms)（默认值为 600000）。

它控制服务器将锁定要重试的事务的时间。需要时将更新租用。但是，如果服务器没有完全关闭，则在原始服务器租用到期前其他服务器不能锁定事务。该值至少应为一分钟。将该值设置得较小可能会影响事务持久性存储的负荷。

输入所需的 Lease Renewal (ms) 时间（默认值为 300000）。

此选项可控制更新锁定事务的租用的时间。当租用时间还剩余该毫秒值时，租用会更新。

输入所需的 Retain Completed Transactions in Store (ms)（默认值为 360000）。

从事务持久性存储中删除完成的事务前要等待的时间（毫秒）。除非事务被配置为立即具有持久性，否则事务持久性存储不会包含所有完成的事务。

输入所需的 Ready Queue Low Water Mark（默认值为 400）。

当事务调度程序的准备运行事务队列降到该限制以下时，将使用可用的准备运行事务重新填充队列，最高可到高水位限制。

输入所需的 Ready Queue High Water Mark（默认值为 800）。

当事务调度程序的准备运行事务队列降到低水位限制以下时，将使用可用的准备运行事务重新填充队列，最高可到该限制。

输入所需的 Pending Queue Low Water Mark（默认值为 2000）。

事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

输入所需的 Pending Queue High Water Mark（默认值为 2000）。

事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

输入所需的 Scheduler Period (ms)（默认值为 500）。

这是事务调度程序应运行的频率。当运行时，事务调度程序会将准备运行事务从暂挂队列移动到就绪队列，并执行其他周期性任务，例如，使事务具有持久性以进入事务持久性存储中。

单击 Save 接受设置。

监视事务

服务提供商事务将写入事务持久性存储中。您可以在事务持久性存储中搜索事务以查看事务状态。

使用 "Transactions Search" 页可以指定搜索条件，从而使您可以根据与事务事件相关的特定条件（例如用户、类型、状态、事务 ID、当前状态和事务的成功或失败）来过滤要查看的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务，以阻止其进一步的尝试。


注	使用 "Edit Transaction Configuration" 页（请参见“事务管理”），管理员可以控制使事务具有持久性的时间。例如，即使事务尚未进行首次尝试，也可以使其立即具有持久性。

登录到 Identity Manager。

在菜单栏中单击 Server Tasks。

单击 Service Provider Transactions。

屏幕上将显示 SPE Transaction Search 页，您可以在该页中指定搜索条件。



注	搜索仅返回与以下所有选定条件匹配的事务。这类似于 Accounts > Find Users 页。

如果需要，请选择 User Name。

这允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。



注	如果已在 "服务提供商 Transaction Configuration" 页上配置任何自定义的可查询用户属性，则它们会在此显示。例如，如果将它们配置为自定义的可查询用户属性，则您可以选择根据 "Last Name" 或 "Full Name" 进行搜索。

如果需要，请选择针对 Type 搜索。

这允许您搜索选定类型的事务。

如果需要，请选择针对 State 搜索。

这允许您搜索处于以下选定状态的事务：

Unattempted 表示尚未尝试的事务。

Pending retry 表示这样的事务：已经尝试一次或多次，具有一个或多个错误，并计划重试，重试次数不超过为单个资源配置的重试限制。

Success 表示已经成功完成的事务。

Failure 表示已经完成但具有一个或多个故障的事务。

如果需要，请选择针对 Attempts 搜索。

这允许您根据事务已尝试的次数搜索这些事务。将会重试失败的事务，重试次数不超过为单个资源配置的重试限制。

如果需要，请选择针对 Submitted 搜索。

这允许您根据事务初次提交的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对 Completed 搜索。

这允许您根据事务完成的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对 Cancelled Status 搜索。

这允许您根据事务是否已取消搜索这些事务。

如果需要，请选择针对 Transaction ID 搜索。

这允许您根据事务唯一的 ID 搜索这些事务。使用该选项可以根据您输入的出现在所有审计日志记录中的 ID 值查找事务。

如果需要，请选择针对 Running On（哪一台服务器）搜索。

这允许您根据运行事务的服务提供商服务器搜索这些事务。服务器的标识符基于它的计算机名称，除非它已在 Waveset.properties 文件中被覆盖。

将搜索结果数限制为从列表中选择的首个条目数。

返回的结果数不会超过指定的限制值。即使有更多的结果可用，也不会做任何指示。

图 13-8 搜索事务
指定要搜索服务提供商用户事务的搜索条件。

单击 Search。

将显示搜索结果。

如果需要，请单击结果页面底部的 Download All Matched Transactions。这将把结果保存为 XML 格式的文件。



注	您可以取消搜索结果中返回的事务。选择结果表中的事务，然后单击 Cancel Selected。您无法取消已完成或已被取消的事务。

委托管理

通过使用 Identity Manager 管理员角色或通过基于组织的授权模型可启用服务提供商用户的委托管理。

通过组织授权委托

默认情况下，Identity Manager 通过基于组织的授权模型提供管理职责的委托。在基于组织的授权模型中创建委托管理员时，请谨记以下几点：

服务提供商管理员是具有特定权能和受控组织的 Identity Manager 用户。

用户的组织属性值可以是 Identity Manager 组织的名称，也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的 Identity Manager Organization Attribute Name Contains ID 字段的设置。

您可以创建 Identity Manager 分层结构，并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识，而不是组织的简单名称。

服务提供商用户通过目录服务器中的用户属性获取其组织。

您必须在目录服务器资源的模式映射中设置这些属性。

通过管理员的受控组织列表的完全匹配进行属性的比较。目录中存储的值必须与组织名称相匹配，而不是整个分层结构。如果管理员控制 Top:orgA:sub1，则 sub1 必须为存储在服务提供商用户的组织属性中的值。

如果未设置属性或属性与 Identity Manager 组织不对应，则会将服务提供商用户视为 Top 组织的成员。这需要 Service Provider Edition 管理员在 Top 中具有服务提供商用户权能来管理这些用户。

属性设置可确定按服务提供商管理员进行搜索的范围。

要创建委托管理员帐户，应先创建 Identity Manager 管理员，然后添加服务提供商管理员权能。具有特定于 Service Provider Edition 任务的权能，可以将其分配给用户（在 Edit User 页的 Security 选项卡中）。受控组织可指定管理员可以修改的服务提供商用户。适用于服务提供商用户的所有资源均适用于所有 Identity Manager 管理员。



注	有关 Identity Manager 委托管理的更多信息，请参见第 5 章“管理”中的“委托管理”。

通过管理员角色分配委托

要授予对服务提供商用户的细化权能和控制范围，请使用服务提供商用户管理员角色。可以将管理员角色配置为在登录时动态分配给一个或多个 Identity Manager 用户或服务提供商用户。

可以定义规则并将其分配给管理员角色，管理员角色可指定授予分配了管理员角色的用户的权能（例如 Service Provider Create User）。

要将管理员角色委托用于服务提供商用户，您必须在 Identity Manager 系统配置中将其启用。

如果启用通过管理员角色分配进行委托，则 "SPE Configuration" 中的 "IDM Organization Attribute Name" 不是必填项。

启用服务提供商管理员角色委托

要启用服务提供商管理员角色委托（SPE 委托管理），请使用 Identity Manager 调试页将系统配置对象中的以下属性设置为 true：

其中 app name 为 Identity Manager 应用程序（例如管理员界面），object type 为 Service Provider Users

可以为每个 Identity Manager 应用程序（例如管理员界面或用户界面）和每个对象类型启用该属性。当前，唯一受支持的对象类型为 Service Provider Users。默认值为 false。

例如，要为 Identity Manager 管理员启用 SPE 委托管理，请将系统配置配置对象中的以下属性设置为 "true"：

如果为给定的 Identity Manager 或服务提供商应用程序禁用（设置为 false）了 SPE 委托管理，则会使用基于组织的授权模型。

启用 SPE 委托管理后，跟踪的事件会捕获有关执行的授权规则数和持续时间的信息。这些统计信息可以在面板中找到

配置服务提供商用户管理员角色

要配置服务提供商用户管理员角色，请执行以下步骤创建管理员角色并指定控制范围、权能和应将其分配给的用户：



注	在创建服务提供商用户管理员角色之前，应为管理员角色定义搜索上下文、搜索过滤器、搜索过滤器后、权能和用户分配规则。您必须指定规则的 authType 才能使用这些规则，即 SPEUsersSearchContextRule、SPEUsersSearchFilterRule、SPEUsersAfterSearchFilterRule、CapabilitiesOnSPEUserRule、UserIsAssignedAdminRoleRule、SPEUserIsAssignedAdminRoleRule。 Identity Manager 提供了样例规则，您可以使用这些样例规则为服务提供商用户管理员角色创建这些规则。您可以在 Identity Manager 安装目录的 sample/adminRoleRules.xml 中找到这些规则。有关为您的环境创建这些规则的更多信息，请参见 Identity Manager SPE 部署。

在 "Security" 选项卡上，选择 "Admin Roles"，然后单击 New 打开 "Create Admin Role" 页。

指定管理员角色的名称，并选择 Service Provider Users 类型。

请按以下各节所述指定 "Scope of Control"、"Capabilities" 和 "Assign To Service Provider Users" 选项。

指定控制范围

服务提供商用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供商最终用户可以查看的服务提供商用户。如果请求在目录中列出服务提供商用户，则会强制指定控制范围。

您可以为服务提供商用户管理员角色控制范围指定以下一个或多个设置：

User search context — 指定是使用规则还是文本字符串来开始搜索。

User search filter — 指定搜索过滤器是应用规则还是文本字符串。

After user search filter rule — 选择在应用用户搜索过滤器后将应用的规则。

指定权能

服务提供商用户管理员角色的权能用于指定请求用户对所请求访问的服务提供商用户具有的权能和权限。如果请求查看、创建、修改或删除服务提供商用户，则会强制指定权能。

在 "Capabilities" 选项卡上，选择要为该管理员角色应用的 "Capabilities Per User Rule"。

将管理员角色分配给服务提供商用户

通过指定将在登录时进行评估以确定是否向验证用户分配管理员角色的规则，可以将服务提供商用户管理员角色动态地分配给服务提供商用户。

单击 "Assign To Service Provider Users" 选项卡，然后选择要为分配应用的规则。

委托服务提供商用户管理员角色


注	必须为每个登录界面（例如用户界面和管理员界面）启用将管理员角色动态分配给用户，方法是将以下系统配置对象设置为 true： security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface 所有界面的默认值为 false。

默认情况下，服务提供商用户可以将分配给他们的服务提供商用户管理员角色分配（或委托）给其控制范围内的其他服务提供商用户。

事实上，任何具有编辑服务提供商用户权能的 Identity Manager 用户均可将分配给他们的服务提供商用户管理员角色分配给其控制范围内的服务提供商用户。

服务提供商用户管理员角色还可以包括分配者列表，无论是何控制范围，这些分配者均可分配管理员角色。这些直接分配可以确保至少一个已知用户帐户可以分配管理员角色。

管理服务提供商用户

本节包含通过 Identity Manager 管理服务提供商用户的步骤和信息。本节包含以下主题：

用户组织

通过服务提供商，用户的属性值可以确定将该用户分配给哪个组织。这是由服务提供商主配置（请参见初始配置）中的 Identity Manager Organization Attribute Name 字段指定的。但是，这些组织的名称必须与目录服务器中分配的用户属性值相匹配。

如果定义了 Identity Manager Organization Attribute Name，则 "Create User" 或 "Edit User" 页上将显示可用组织的多选项列表。默认情况下显示组织的简称。您可以修改 SPE 用户表单以显示完整的组织路径。

您可以选择哪个属性将成为组织名称属性。然后便可在服务提供商用户管理页面中使用该组织名称属性限制可以搜索并管理该用户的管理员。

创建用户和帐户

所有服务提供商用户均必须在服务提供商目录中具有账户。如果用户具有其他资源的帐户，则这些帐户的链接将存储在用户的目录条目中，因此查看用户时可使用有关这些帐户的信息。


注	现在具有服务提供商和资源帐户的帐户 ID 和密码策略。可从主 "Policies" 表中获取 SPE System Account Policy。


注	提供了用于创建和编辑用户的服务提供商用户表单样例。自定义该表单以满足您在服务提供商环境中管理用户的需求。有关更多信息，请参见 Identity Manager 工作流、表单和视图。

请在菜单栏中单击 Accounts。

单击 Manage Service Provider Users 选项卡。

单击 Create Account。



注	使用默认的服务提供商用户表单时，实际显示的字段取决于在服务提供商目录资源的 "Account Attributes" 表（模式映射）中配置的属性。而且，当您向用户（例如委托管理员）分配资源时，将看到新添加到显示部分中的段，您可以在其中指定这些资源的属性值。您也可以自定义字段。

根据需要输入以下值：

accountid（此字段为必填字段）

password

confirmation（这是密码确认）

firstname（此字段为必填字段）

lastname（此字段为必填字段）

fullname

email

home phone

cell phone

password retry count

account unlock time

使用箭头键从 "Available" 列表中分配所有所需的 "Resources"。

Account Status 用于显示帐户处于锁定还是解除锁定状态。单击该选项可以锁定或解除锁定帐户。

图 13-9 创建服务提供商用户和帐户
创建服务提供商用户和帐户属性。



注	该表单可根据为目录帐户（在顶部）定义的属性自动填充资源帐户属性的值。例如，如果资源定义 firstName，则产品将使用目录帐户中的 firstName 值对其进行填充。但是在此初始填充后，对这些属性的修改不会推送到资源帐户。如果需要，可自定义提供的服务提供商用户表单样例。

单击 Save 以创建用户帐户。

搜索服务提供商用户

服务提供商包括可配置的搜索权能，可帮助管理用户帐户。搜索仅返回在您的范围（如组织所定义的，或可能由其他因子所定义的）内的用户。

要执行服务提供商用户的基本搜索，请在 Identity Manager 界面中的 Accounts 区域中，单击 Manage Service Provider Users，然后输入搜索值并单击 Search。

高级搜索

搜索结果

删除、取消分配帐户或解除帐户的链接

设置搜索选项

高级搜索

要执行服务提供商用户的高级搜索，请从 "Service Provider Users Search" 页中单击 Advanced，然后完成以下操作：

从列表中选择所需的 Attribute。

从列表中选择所需的 Operation。

通过指定一组条件以过滤搜索返回的用户，且返回的用户必须满足所有指定的条件。

输入所需的搜索值，然后单击 Search。

图 13-10 搜索用户
指定属性条件以搜索服务提供商用户。

单击 Add Condition 并指定新的属性。

选择项目并单击 Remove Selected Condition(s)。

搜索结果

服务提供商搜索结果将显示在表中，如图 13-11 中所示。单击属性的列标题，可以按任意属性对结果进行排序。显示的结果取决于您选择的属性。

使用箭头按钮可转至结果的首页、上一页、下一页和尾页。在文本框中输入数字并按 Enter 键，可跳转至特定页。

通过搜索结果页，可以删除用户或解除资源帐户的链接，方法是通过选择一个或多个用户然后单击 Delete 按钮。该操作将打开删除用户页，并显示其他选项（请参见“删除、取消分配帐户或解除帐户的链接”）。

删除、取消分配帐户或解除帐户的链接

要删除、取消分配用户帐户或解除用户帐户的链接，请执行以下步骤：

登录到 Identity Manager。

请在菜单栏中单击 Accounts。

单击 Manage Service Provider Users。

执行基本搜索或高级搜索。

选择所需的用户。

单击 Delete 按钮。

如果需要，请选择其中一个全局选项：

Delete All resource accounts



注	删除资源将删除该资源帐户，但资源分配依然存在。对用户进行后续更新将重新创建帐户。但删除资源始终会将该资源帐户解除链接。

Unassign All resource accounts



注	取消分配资源将删除该资源分配。取消分配会将资源帐户解除链接。取消分配资源时，将不删除该资源帐户。

解除所有资源帐户的链接



注	解除链接将删除用户和资源帐户之间的链接，但并不删除帐户。也不会删除资源分配，因此对用户进行后续更新将重新链接帐户或在资源上新建帐户。

也可以在 Delete、Unassign 或 Unlink 列中为一个或多个资源帐户选择一个操作。

选择所需用户帐户后，单击 OK。

图 13-12 删除、取消分配帐户或解除帐户的链接
删除服务提供商用户时，您可以删除、取消分配帐户或解除帐户的链接。

设置搜索选项

在菜单栏中单击 Accounts。

单击 Service Provider。

单击 Options。



注	这些选项仅对当前登录会话有效。这些选项会影响搜索结果的显示方式，它们会影响基本搜索结果和高级搜索结果，并且某些设置仅对新搜索有效。

输入 Maximum Results Returned。

输入 Number of Results Per Page。

使用箭头键从 Available Attributes 中选择所需的 Display Attribute。

图 13-13 设置服务提供商用户的搜索选项
设置服务提供商用户的搜索选项。

最终用户界面

随附的最终用户页面样例提供了 xSP 环境中典型的注册和自助服务示例。这些样例是可扩展的并且可以对其进行自定义。您可以更改外观、修改页面之间的导航规则或显示用于部署的特定于语言环境的消息。有关自定义最终用户页面的详细信息，请参见 Identity Manager SPE 部署。

除了审计自助服务和注册事件以外，还可以使用电子邮件模板将通知发送给受影响的用户。还提供了使用帐户 ID 和密码策略以及帐户锁定的示例。应用程序开发者还可以使用 Identity Manager 表单。如果需要，可以扩展或替换作为 Servlet 过滤器实现的模块验证服务。这将允许与访问管理系统（如 Sun Java System Access Manager）集成。

样例

使用随附的样例最终用户页面，用户可以通过一系列易于导航的屏幕注册和维护基本用户信息，并接收其操作的电子邮件通知。示例页面包括以下功能：

密码更改

用户名更改

质询问题更改

通知地址更改

处理忘记用户名的情况

处理忘记密码的情况

电子邮件通知

审计



注	Identity Manager 使用验证表进行注册。仅允许该表中的用户进行注册。例如，当用户 Betty Childs 注册时，如果在验证表中找到 Betty Childs 的条目（包含电子邮件地址 bchilds@example.com），则接受注册。

可以为您的部署轻松地自定义这些页面。可以自定义以下内容：

品牌化

配置选项（例如失败的登录尝试次数）

添加/删除页面

要求新用户注册。在注册期间用户可以设置其登录、质询问题和通知信息。

"Home" 屏幕和配置文件屏幕

图 13-15 显示了最终用户 "Home" 选项卡和配置文件页面。用户可以更改其登录 ID 和密码、管理通知及创建质询问题。

同步

通过同步策略可启用服务提供商用户的同步。要使用 Identity Manager 为服务提供商用户同步资源上属性的更改，您必须配置服务提供商同步。以下主题介绍了如何在服务提供商实现中启用同步：

配置同步

监视同步

启动和停止同步

迁移用户



注	从 Identity Manager 的 Resources 区域的资源列表中配置服务提供商同步。

配置同步

要配置服务提供商同步，请按配置同步中的说明编辑资源的同步策略。编辑同步策略时，必须指定以下选项以启用服务提供商用户的同步进程。

选择 Service Provider Edition User 作为目标对象类型。

在 "Scheduling Settings" 段中，选择 Enable Synchronization。


注	确认规则和表单必须使用 IDMXUser 视图，而非 Identity Manager 输入用户视图（有关更多信息，请参见 Identity Manager SPE 部署）。这是必需的，因为确认规则会访问关联规则中标识的每个用户的用户视图，从而影响同步性能。

单击 Save 可以保存策略定义。如果在策略中未禁用同步，则按指定对其进行调度。如果指定禁用同步，则将停止同步服务（如果当前正在运行）。如果启用，则重新启动 Identity Manager 服务器时，或在 "Synchronization Resource Action" 下选择 Start for Service Provider时，将启动同步。

监视同步

在 "Resource" 列表上的描述字段中查看同步状态。

使用 JMX 界面监视同步度量。

启动和停止同步

默认情况下，为服务提供商实现配置 Identity Manager 时，启用服务提供商同步。要禁用服务提供商活动同步，请执行以下步骤：

在 Resources 区域中，选择资源然后单击 Edit Synchronization Policy 以编辑策略。

清除 Enable Synchronization 复选框。

单击 Save。

保存策略后，同步将停止。

要停止同步而不将其禁用，请从 "Synchronization Resource Action" 中选择 Stop for Service Provider。

迁移用户

服务提供商功能包含示例用户迁移任务及关联的脚本。该任务可将现有的 Identity Manager 用户迁移到服务提供商用户目录。本节介绍如何使用示例迁移任务。建议您修改该示例以用于您的环境。


注	如果通过使用资源操作停止同步，而不是禁用同步，则启动任何 Identity Manager 服务器后将再次启动同步。

请在菜单栏中单击 Tasks。

单击 Run Tasks

单击 SPE Migration。

输入唯一的 Task Name。

从列表中选择 Resource。

这是 Identity Manager 中表示服务提供商目录服务器的资源。不会迁移在 Identity Manager 用户中找到的该资源的链接。

输入 Identity Attribute。

这是包含目录用户的唯一简短身份的 Identity Manager 用户属性。

从列表中选择 Identity Rule。

这是可以通过 Identity Manager 用户的属性计算目录用户名称的可选规则。身份规则可以计算简单名称（通常为 uid），然后会通过资源的身份模板处理该简短名称，以形成目录服务器的识别名 (DN)。该规则还可以返回不使用 ID 模板的完全指定的 DN。

单击 Launch 可启动后台迁移任务。

配置服务提供商审计事件

在服务提供商实现中，Identity Manager 的审计日志记录系统可以审计与外联网用户活动相关的事件。Identity Manager 提供了 Service Provider Edition 审计配置组（默认情况下已启用），该配置组可指定为服务提供商用户记录的审计事件。请参见图 13-16。

有关审计日志记录和修改 Service Provider Edition 审计配置组中事件的更多信息，请参见第 12 章“审计日志记录”。

上一页目录索引下一页
Sun Java™ System Identity Manager 7.0 管理指南