|
| |
| Sun Java™ System Identity Manager 7.0 管理指南 | |
第 3 章
用户和帐户管理本章介绍通过 Identity Manager Administrator interface 管理用户的信息和步骤。您将了解到 Identity Manager 用户和帐户管理任务,包括:
关于用户帐户数据用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。
在 "Administrator interface" 的 "Create User" 页(Accounts 选项卡)中,Identity Manager 将用户数据归在四个区域中:
身份
"Identity" 区域定义用户的帐户 ID、用户名、联系人信息、控制的组织和 Identity Manager 帐户密码。它还标识用户可以访问的资源以及控制每个资源帐户的密码策略。
注
有关设置帐户密码策略的信息,请参阅本章使用用户帐户密码中的相关节。
下图说明 "Create User" 页的 "Identity" 区域。
图 3-1 Create User - Identity
分配
"Assignments" 区域为访问 Identity Manager 对象(如资源)设置限制。
单击 Assignments 表单选项卡以设置以下分配:
安全
在 Identity Manager 术语中,分配了扩展权能的用户称为 Identity Manager 管理员。使用 "Security" 选项卡可以通过以下分配为用户建立这些扩展管理权能:
- Admin roles — 组合一组特定且唯一的权能和受控组织,有助于将调整的分配用于管理用户。
- Capabilities — 在 Identity Manager 系统中启用权限。通常根据工作职责向每个 Identity Manager 管理员分配一项或多项权能。
- Controlled organizations — 分配该用户有权限以管理员身份管理的组织。该管理员可管理已分配组织以及在分层结构中处于该组织之下的任何组织中的对象。
.
注
要拥有管理员权能,用户必须被分配至少一个管理员角色,或一个或多个权能以及一个或多个受控组织。有关 Identity Manager 管理员的详细信息,请参见了解 Identity Manager 管理。
- User Form — 指定管理员在创建和编辑用户时将使用的用户表单。如果选择 None,管理员将继承分配给其组织的用户表单。
- View User Form — 指定管理员在查看用户时将使用的用户表单。如果选择 None,管理员将继承分配给其组织的查看用户表单。
- Delegate work items to — 将用户帐户的工作项目委托给用户的管理员、一个或多个其他用户或委托批准者规则指定的用户。要禁用工作项目的委托,请将该值设置为 "None"。
属性
"Create User" 页上的 "Attributes" 选项卡定义与分配的资源关联的帐户属性。列出的属性按分配的资源分类,具体情况根据分配资源的不同而不同。
遵循性
"Compliance" 选项卡指定为用户帐户分配的审计策略,包括通过用户的组织分配生效的策略。仅可以通过编辑用户的当前组织或将用户移动到其他组织来更改这些策略分配。
此页还指示策略扫描、违规和免除的当前状态,如下图所示(如果适用于用户帐户)。
图 3-2 "Create User" 页 — "Compliance" 选项卡
要分配审计策略,请将选定策略从 "Available Audit" 列表中移动到 "Current Audit Policies" 列表中。
界面的帐户区域在 Identity Manager 帐户区域内可管理 Identity Manager 用户。要访问此区域,请从 "Administrator interface" 菜单栏中选择 Accounts。
帐户列表显示所有 Identity Manager 用户帐户。帐户按组织和虚拟组织分组,用若干文件夹分层表示。
您可以按全名 ("Name")、用户的姓 ("Last Name") 或用户的名 ("First Name") 对帐户列表进行排序。单击标题栏可按列排序。单击同一个标题栏可在升序和降序这两种方式之间切换。如果按全名("Name" 列)排序,则分层结构中所有级别的所有项目都按字母顺序排列。
要展开分层结构视图,查看组织中的帐户,请单击文件夹旁的三角指示符。再次单击该指示符可以折叠此视图。
帐户区域中的操作列表
使用操作列表(位于帐户区域的顶部和底部,如图 3-3 所示)可以执行一系列操作。操作列表选项分为:
在 "Accounts List" 区域中搜索
使用帐户区域搜索功能查找用户和组织。从列表中选择 "Organizations" 或 "Users",在搜索区域中输入用户或组织名称开头的一个或多个字符,然后单击 Search。有关在帐户区域中搜索的详细信息,请参见查找帐户。
用户帐户状态
每个用户帐户旁显示的图标指示当前已分配帐户的状态。表 3-1 介绍了每个图标所表示的含义。
使用用户帐户从 "Administrator interface" 的帐户区域中,您可以在以下系统对象上执行一系列操作:
用户
本节中的主题重点介绍管理用户帐户。有关 Identity Manager 组织和创建目录连接的深入讨论,请参见第 5 章“管理”。
查看
要查看用户帐户的详细信息,请在列表中选择用户,然后从 "User Actions" 列表中选择 View。
"View User" 页显示编辑或创建用户时建立的身份、分配、安全和属性信息选项的子集。无法编辑 "View User" 页上的信息。单击 Cancel 返回至 "Accounts " 列表。
创建("New Actions" 列表,"New User" 选项)
要创建用户帐户,请从 "New Actions" 列表中选择 New User。如果要在除顶层以外的组织中创建用户,请选择组织文件夹,然后从 "New Actions" 列表中选择 New User。
在一个区域中的可用选项可能取决于您在其他区域中所做的选择。
"Create User" 页(由用户表单定义)使您可以为用户帐户设置以下项目:
要更好地反映业务进程或特定管理员权能,可以专为您的环境配置用户表单。有关自定义用户表单的详细信息,请参见 Identity Manager 工作流、表单和视图。
单击 "Create User" 页上的选项卡可浏览创建用户设置。可以按任意顺序在选项卡间移动。完成选择后,可以使用两个选项来保存用户帐户:
状态指示器(如下表所述)可以帮助您监视保存进程的进度。
表 3-2 后台保存任务状态指示器的说明
状态指示器
状态
正在进行保存。
保存过程已暂停。这通常表示该过程正在等待批准。
已顺利完成保存。这并不表示用户已被成功保存;只是表示保存的过程没有任何错误。
尚未开始保存。
已完成保存过程,但是出现一个或多个错误。
将鼠标移至状态指示器中显示的用户图标的上方,便可看到有关后台保存过程的详细信息。
创建多个用户帐户(身份)
可以在单个资源上创建多个用户帐户。创建(或编辑)用户并为用户分配一个或多个资源时,也可在该资源上请求和定义附加帐户。
编辑
要编辑帐户信息,请选择以下操作之一:
进行更改并保存更改后,Identity Manager 将显示 "Update Resource Accounts" 页。此页显示分配给用户的资源帐户以及将应用于帐户的更改。选择 Update All resource accounts 将更改应用于所有分配的资源;或者单独选择与此用户关联的一个或多个资源帐户进行更新,或者不选择任何资源帐户进行更新。
图 3-4 编辑用户(更新资源帐户)
再次单击 Save 完成编辑,或者单击 Return to Edit 进行进一步更改。
移动用户(用户操作)
“更改用户组织”任务使您可以从当前分配给用户的组织中删除该用户,然后将用户重新分配给或移动到新的组织。
要将用户移动到其他组织,请在列表中选择一个或多个用户帐户,然后从 "User Actions" 列表中选择 Move。
重命名(用户操作)
重命名资源上的帐户通常是个复杂的操作。因此,Identity Manager 提供一个单独的功能来重命名用户的 Identity Manager 帐户或重命名与该用户关联的一个或多个资源帐户。
要使用重命名功能,请在列表中选择用户帐户,然后从 "User Actions" 列表中选择 Rename 选项。
使用 "Rename User" 页可更改用户帐户名、相关资源帐户名和与用户的 Identity Manager 帐户相关的资源帐户属性。
如下图所示,此用户拥有已分配的 Active Directory 资源。在重命名过程中,您可以更改:
禁用用户(用户操作、组织操作)
如果禁用用户帐户,即更改了此帐户,使得该用户无法再登录到 Identity Manager 或该用户的已分配资源帐户。
禁用单个用户帐户
要禁用用户帐户,请在列表中选择此帐户,然后从 "User Actions" 列表中选择 Disable。
在显示的 "Disable" 页中,选择要禁用的资源帐户,然后单击 OK。Identity Manager 将显示禁用 Identity Manager 用户帐户及其所有关联资源帐户的结果。此帐户列表指示用户帐户已禁用。
图 3-6 说明了 "Disable" 页上的禁用帐户。
图 3-6 禁用帐户
禁用多个用户帐户
可以同时禁用两个或更多 Identity Manager 用户帐户。
在列表中选择多个用户帐户,然后从 "User Actions" 列表中选择 Disable。
启用用户(用户操作、组织操作)
用户帐户的启用过程与禁用过程相反。对于不支持帐户启用功能的资源,Identity Manager 会随机生成一个新密码。根据选定的通知选项,它还会在管理员的结果页中显示该密码。
然后用户可以重设自己的密码(通过验证进程),具有管理员权限的用户也可以重设该密码。
启用单个用户帐户
要启用用户帐户,请在列表中选择此帐户,然后从 "User Actions" 列表中选择 Enable。
在显示的 "Enable" 页中,选择要启用的资源,然后单击 OK。Identity Manager 将显示启用 Identity Manager 帐户及其所有相关资源帐户的结果。
启用多个用户帐户
可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Enable"。
更新用户(用户操作、组织操作)
在更新操作中,Identity Manager 更新与用户帐户相关的资源。从帐户区域执行的更新操作会将先前对用户进行的任何暂挂更改发送到选定的资源。可能出现这种情况的条件是:
更新用户帐户时,有以下选项可供选择:
更新单个用户帐户
要更新用户帐户,请在列表中选择此帐户,然后从 "User Actions" 列表中选择 Update。
在 "Update Resource Accounts" 页中,选择一个或多个要更新的资源,或者选择 Update All resource accounts 更新所有分配的资源帐户。完成选择后,单击 OK 开始更新过程。或者,单击 Save in Background 在后台执行操作。
使用确认页确认将数据发送到每个资源。
图 3-7 说明了 "Update Resource Accounts" 页。在图中,Lighthouse 是指 Identity Manager。
图 3-7 Update Resource Accounts
更新多个帐户
可以同时更新两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后从 "User Actions" 列表中选择 Update。
解除锁定用户(用户操作、组织操作)
用户因登录重试次数超过为资源建立的登录限制,可能被锁定在一个或多个资源帐户之外。用户的有效 Lighthouse 帐户策略可以建立最大密码或问题登录尝试失败次数。
用户因超过最大密码登录尝试失败次数而被锁定后,将不允许验证到任何 Identity Manager 应用程序界面(包括 User interface、Administrator interface、Forgot My Password、Identity Manager IDE、SOAP 和控制台)。如果用户因超过最大问题登录尝试失败次数而被锁定,则可以验证到除 "Forgot My Password" 以外的任何 Identity Manager 应用程序界面。
密码登录尝试失败
如果因密码登录尝试失败而锁定,用户帐户将保持锁定状态,直到:
问题登录尝试失败
如果因超过问题登录尝试失败最大次数而锁定,用户帐户将保持锁定状态,直到执行以下操作之一:
具有相应权能的管理员可以对处于锁定状态的用户执行以下操作:
处于锁定状态的用户无法登录到包括 Administrator interface、User interface 和 Identity Manager IDE 的任何 Identity Manager 应用程序。无论通过向验证问题提供其用户 ID 和答案尝试用 Identity Manager 用户 ID 和密码登录,还是通过一个或多个资源登录,此限制都适用。
要解除锁定帐户,请在列表中选择一个或多个用户帐户,然后在 "User Actions" 或 "Organization Actions" 列表中选择 "Unlock Users"。
删除(用户操作、组织操作)
删除操作包括从资源删除 Identity Manager 用户帐户访问权限的多个选项:
要开始删除操作,请选择用户帐户,然后在 "User Actions" 或 "Organization Actions" 列表中选择相应的删除操作。
Identity Manager 将显示 "Delete Resource Accounts" 页。
删除用户帐户和资源帐户
要删除 Identity Manager 用户帐户或资源帐户,请在 "Delete" 列中进行选择,然后单击 OK。要删除所有资源帐户,请选择 "Delete All resource accounts" 选项,然后单击 OK。
取消分配或解除资源帐户的链接
要从 Identity Manager 用户帐户取消分配资源帐户或解除资源帐户的链接,请在 "Unassign" 列或 "Unlink" 列中进行单独选择,然后单击 OK。要取消分配所有资源帐户,请选择 "Unassign All resource accounts" 或 "Unlink All resource accounts" 选项,然后单击 OK。
图 3-8 删除用户帐户和资源帐户
密码
可以使用 Change Password 和 Reset Password 用户操作来调用 "Edit User" 页以及更改或重设选定用户的用户密码。另请参见使用用户帐户密码。
查找帐户使用 Identity Manager 查找功能可搜索用户帐户。输入和选择搜索参数以后,Identity Manager 将查找与您的选择匹配的所有帐户。
要搜索帐户,请在菜单栏中选择 Accounts,然后选择 Find Users。可按以下一种或多种搜索类型搜索帐户:
搜索结果列表显示与您的搜索条件相匹配的所有帐户。在结果页中,您可以:
批量帐户操作可以对 Identity Manager 帐户执行若干批量操作,这样您便可以同时对多个帐户进行操作。可以启动以下批量操作:
- Delete — 删除、取消分配任意选定的资源帐户和解除其链接。选择 "Target the Identity Manager Account" 选项,以删除每个用户的 Identity Manager 帐户。
- Delete and Unlink — 删除任意选定的资源帐户并解除这些帐户与用户的链接。
- Disable — 禁用任意选定的资源帐户。选择 "Target the Identity Manager Account" 选项以禁用每个用户的 Identity Manager 帐户。
- Enable — 启用任意选定的资源帐户。选择 "Target the Identity Manager Account" 选项以启用每个用户的 Identity Manager 帐户。
- Unassign, Unlink — 解除任意选定的资源帐户的链接,并删除对这些资源的 Identity Manager 用户帐户分配。取消分配并不从资源中删除帐户。不能取消分配已通过角色或资源组间接分配给 Identity Manager 用户的帐户。
- Unlink — 删除资源帐户与 Identity Manager 用户帐户的关联(链接)。解除链接并不从资源中删除帐户。如果将已经通过角色或资源组间接分配给 Identity Manager 用户的帐户解除链接,可在更新用户时恢复该链接。
如果在文件或应用程序(如电子邮件客户机或电子表格程序)中有一个用户列表,则批量操作将发挥最佳功能。可将上述列表复制并粘贴到此界面页的一个字段中,也可从文件加载这个用户列表。
这些操作中的许多操作都可对某个用户搜索的结果执行。在 Accounts 选项卡下的 "Find Users" 页上搜索用户。
当任务完成后显示任务结果时,可通过单击 Download CSV 将批量帐户操作的结果保存为 CSV 文件。
启动批量帐户操作
要启动批量帐户操作,请选择或输入值,然后单击 Launch。Identity Manager 会启动后台任务,以执行批量操作。
要监视批量操作任务的状态,请转至 Tasks 选项卡,然后单击该任务链接。
使用操作列表
可以使用逗号分隔值 (Comma-separated Value, CSV) 格式指定批量操作列表。这样您便可在单个操作列表中混合各种不同的操作类型。此外,可指定更复杂的创建和更新操作。
CSV 格式由两个或多个输入行组成。每一行由逗号分隔的值列表组成。第一行包含字段名称。其余行的每一行都对应于要对 Identity Manager 用户、该用户的资源帐户或这两者执行的操作。每一行都应包含相同个数的值。空值将保持相应字段值不变。
任何批量操作 CSV 输入中都必需有这两个字段:
- user — 包含 Identity Manager 用户的名称。
- command — 包含对 Identity Manager 用户执行的操作。有效命令有:
- Delete — 对资源帐户、Identity Manager 帐户或这两者执行删除、取消分配和解除链接操作。
- DeleteAndUnlink — 删除资源帐户并将其解除链接。
- Disable — 禁用资源帐户、Identity Manager 帐户或两者都禁用。
- Enable — 启用资源帐户、Identity Manager 帐户或两者都启用。
- Unassign — 取消分配资源帐户并解除其链接。
- Unlink — 将资源帐户解除链接。
- Create — 创建 Identity Manager 帐户。或者创建资源帐户。
- Update — 更新 Identity Manager 帐户。或者创建、更新或删除资源帐户。
- CreateOrUpdate — 如果 Identity Manager 帐户不存在,则执行创建操作。否则执行更新操作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令
如果您要执行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 操作,则需要指定的唯一附加字段是 resources。使用 resources 字段指定哪些资源上的哪些帐户将受到影响。它可具有下列值:
下面是这些操作中几个操作的 CSV 格式的示例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update 和 CreateOrUpdate 命令
如果您要执行 Create、Update 或 CreateOrUpdate 命令,则除了 user 和 command 字段之外,还可指定 "User View" 中的字段。使用的字段名称是视图中属性的路径表达式。有关 "User View" 中可用属性的信息,请参见 Identity Manager 工作流、表单和视图。如果您正使用自定义 "User Form",则该表单中的字段名称包含您可使用的一些路径表达式。
在批量操作中使用的一些较常见的路径表达式有:
下面是创建和更新操作的 CSV 格式的示例:
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Window s Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California有多个值的字段
某些字段可以有多个值。这些字段称为多值字段。例如,waveset.resources 字段可用于为一个用户分配多个资源。可以使用竖线 (|) 字符(也称为“管道”字符)在一个字段中分隔多个值。可以按如下方法指定多值的语法:
value0 | value1 [ | value2 ... ]
更新现有用户的多值字段时,您可能并不希望使用一个或多个新值替换当前字段值。您可能要删除一些值或添加一些值至当前值。可以使用字段指令指定如何处理现有字段的值。字段指令在字段值之前,并且由竖线字符包围,如下所示:
|directive [ ; directive ] | field values
您可选择下列指令:
字段值中的特殊字符
如果字段值带有逗号 (,) 或双引号 (? 字符,或者要保留前导或结尾空格,则必须将字段值用一对双引号引上 (“field_value”)。这样就需要将字段值中的双引号替换为两个双引号 (") 字符。例如,"John ""Johnny"" Smith" 的字段值为 John "Johnny" Smith。
如果字段值中包含竖线 (|) 或反斜杠 (\) 字符,则必须前置一个反斜杠(\| 或 \\)。
批量操作视图属性
执行 Create、Update 或 CreateOrUpdate 操作时,"User View" 中有一些只在批量操作处理过程中使用或可用的附加属性。可在 "User Form" 中引用这些属性,以提供批量操作的特定性能。这些属性如下所列:
- waveset.bulk.fields.field_name — 这些属性包含从 CSV 输入中读入的字段的值,其中 field_name 是字段名称。例如,command 和 user 字段分别在带有路径表达式 waveset.bulk.fields.command 和 waveset.bulk.fields.user 的属性中。
- waveset.bulk.fieldDirectives.field_name — 只对那些指定了指令的字段定义这些属性。值为指令字符串。
- waveset.bulk.abort — 将此布尔型属性设置为 true 可中止当前操作。
- waveset.bulk.abortMessage — 将此属性设置为消息字符串,当 waveset.bulk.abort 设置为 true 时,便可显示该消息字符串。如果未设置此属性,将显示一条普通中止消息。
使用用户帐户密码所有 Identity Manager 用户都被分配了一个密码。设置 Identity Manager 用户密码后,该密码被用于同步该用户的资源帐户密码。如果不能同步一个或多个资源帐户密码(例如,为了遵守必需的密码策略),则可单独进行设置。
更改用户帐户密码
要更改用户帐户密码:
- 在菜单栏中选择 Passwords。
默认情况下,将显示 "Change User Password" 页,如下图所示。
图 3-10 Change User Password
- 选择搜索项目(例如帐户名称、电子邮件地址、姓或名),然后选择搜索类型(开头为、包含或是)。
- 在条目字段中键入搜索项目的一个或多个字母,然后单击 Find。Identity Manager 会返回用户 ID 中包含输入的字符的所有用户的列表。单击以选择某个用户并返回到 "Change User Password" 页。
- 输入并确认新密码信息,然后单击 Change Password 以更改所列资源帐户的用户密码。Identity Manager 将显示一个工作流程图,说明密码更改操作的执行顺序。
重设用户帐户密码
重设 Identity Manager 用户帐户密码的过程与更改过程类似。重设过程与密码更改过程的不同之处为重设过程不需要您指定新密码。而是由 Identity Manager 为用户帐户、资源帐户或这些帐户的组合随机生成新密码(根据您的选择和密码策略)。
分配给用户的策略(无论是通过直接分配还是通过用户的组织分配)控制多个重设选项,其中包括:
重设时密码到期
默认情况下,重设用户密码时密码立即到期。这表示重设密码后,用户首次登录时,必须选择新密码才能进行访问。可在表单中改写此默认值,这样,用户密码的到期日期就取决于与用户相关的 "Lighthouse Account Policy" 中的密码到期策略设置。
例如,在 "Reset User Password Form" 中,将 resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword 的值设置为 false。
有两种利用 "Lighthouse Account Policy" 中的 "Reset Option" 字段使密码到期的方法:
管理帐户安全和权限本节讨论了您可以执行哪些操作来提供用户帐户的安全访问并管理 Identity Manager 中的用户权限。
设置密码策略
资源密码策略建立对密码的限制。强大的密码策略可提供增强的安全性,从而有助于保护资源不会遭受未经授权的登录尝试。可以编辑密码策略来设置或选择一定范围的特征值。
要开始使用密码策略,请在菜单栏中选择 Security,然后选择 Policies。
要编辑密码策略,请在 "Policies" 列表中选择密码策略。要创建密码策略,请从 "New" 选项列表中选择 String Quality Policy。
创建策略
密码策略是字符串质量策略的默认类型。命名并提供新策略的可选描述后,您需要为定义新策略的规则选择选项和参数。
长度规则
长度规则设置密码所需字符长度的最小值和最大值。选择此选项以启用规则,然后为规则输入限制值。
字符类型规则
字符类型规则确定密码中可以包括的某些类型字符和数字的最少数量和最多数量。其中包括:
为每个字符类型规则输入一个数字限制值;或者输入 "All" 指示所有字符必须都是该类型字符。
还可以设置必须通过验证的字符类型规则的最小数量,如图 3-11 所示。必须通过的最小数量是 1。最大数量不能超过您启用的字符类型规则数。
图 3-11 密码策略(字符类型)规则
字典策略选则
可以选择根据字典中的词检查密码。在能够使用此选项之前,您必须:
从 "Policies" 页配置字典。有关如何设置字典的详细信息,请参阅 Identity Manager 部署工具中的“配置字典支持”一章。
密码历史记录策略
可以禁止再次使用直接在新选密码之前使用的密码。
在 "Number of Previous Passwords that Cannot be Reused" 字段中,输入一个大于 1 的数字,以禁止再次使用当前和先前密码。例如,如果输入数值 3,新密码就不能与当前密码或直接在当前密码之前使用的两个密码相同。
您也可禁止再次使用先前密码中使用过的类似字符。在 "Maximum Number of Similar Characters from Previous Passwords that Cannot be Reused" 字段中,输入不能在新密码中重复使用的一个或多个先前密码中的连续字符数。例如,如果输入了值 7,且先前密码为 password1,则新密码不能为 password2 或 password3。
如果输入了值 0,则无论顺序如何,所有字符都不得相同。例如,如果先前密码为 abcd,则新密码不能包含字符 a、b、c 或 d。
此规则可应用于先前的一个或多个密码。检查的先前密码的数量是 "Number of Previous Passwords that Cannot be Reused" 字段中指定的数量。
不得包含词
可输入一个或多个密码不能包含的词。在输入框中,每行输入一个词。
还可以通过配置和实现字典策略排除词。有关详细信息,请参见字典策略。
不得包含属性
选择一个或多个密码不能包含的属性。属性包括:
可在 UserUIConfig 配置对象中更改密码“不得包含”属性允许的设置。UserUIConfig 中的密码属性列于 <PolicyPasswordAttributeNames> 中。
实现密码策略
密码策略是为每个资源建立的。要将某个密码策略应用于指定资源,请从 "Password Policy" 选项列表中选择它,"Password Policy" 选项列表在 "Create Resource Wizard:Identity Manager Parameters" 或 "Edit Resource Wizard:Identity Manager Parameters" 页的 "Policy Configuration" 区域中。
用户验证
如果用户忘记密码或密码被重设,则该用户可通过回答一个或多个帐户验证问题来获得对 Identity Manager 的访问权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分,由您来设定。与密码策略不同,Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户(在 "Create User" 页和 "Edit User" 页中)。
在帐户策略中设置验证:
要点!首次设置时,用户应登录到 Identity Manager 的 "User interface" 并提供对验证问题的初始回答。如果不设置这些问题,用户必须使用密码才能成功登录。
根据验证规则集,可要求用户对以下问题做出回答:
可以检验您的验证选择,方法是:登录到 Identity Manager 的 "User interface",单击 "Forgot Your Password?",并回答显示的一个或多个问题。
图 3-12 显示了 "User Account Authentication" 屏幕的示例。
图 3-12 User Account Authentication
个性化验证问题
在 Lighthouse 帐户策略中,您可以选择选项以允许用户在用户界面和管理员界面中提供自己的验证问题。此外,可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。
然后用户可以在 "Change Answers to Authentication Questions" 页添加和更改问题。图 3-13 显示了此页的示例。
图 3-13 更改答案 — 个性化验证问题
验证后忽略更改密码质询
用户回答一个或多个问题成功通过验证后,默认情况下,系统会要求该用户提供一个新密码。但是,可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性,来配置 Identity Manager 忽略更改密码质询。
要在成功验证后忽略所有应用程序的更改密码质询,请在系统配置对象中将 bypassChangePassword 属性设置如下:
要对特定应用程序禁用此密码质询,请将其设置如下:
代码示例 3-2 设置属性以禁用更改密码质询
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
分配管理权限
可以将 Identity Manager 管理权限或权能分配给用户,如下所述:
- 管理员角色 — 分配了管理员角色的用户继承由角色定义的权能和受控组织。默认情况下,所有 Identity Manager 用户帐户在创建后都将分配用户管理员角色。有关管理员角色和创建管理员角色的详细信息,请参见第 4 章中的“配置 Identity Manager 资源”。
- 权能 — 权能由规则定义。Identity Manager 提供了一系列权能,按照功能分为几个组,您可以从中进行选择。分配权能可以更为细化地分配管理权限。有关权能和创建权能的信息,请参见第 5 章中的“了解和管理权能”。
- 受控组织 — 受控组织授予对指定组织的管理控制权限。有关详细信息,请参见第 5 章中的“了解 Identity Manager 组织”。
有关 Identity Manager 管理员和管理任务的详细信息,请参见第 5 章“管理”。
用户自行搜索用户可以使用 Identity Manager User interface 搜索资源帐户。这意味着拥有 Identity Manager 身份的用户可以与现有的但未关联的资源帐户相关联。
启用自行搜索
要启用自行搜索,必须编辑特殊配置对象(最终用户资源),然后将允许用户在其中搜索帐户的每个资源的名称添加到该对象中。使用以下步骤执行此操作:
- 打开 Identity Manager 的 "System Settings" 页 (idm/debug)。
- 从 "Configuration" 类型列表中选择 Configuration,然后单击 List Objects。
- 单击 "End User Resources" 旁的 Edit 显示配置对象。
- 添加 <String>Resource</String>,其中 Resource 与系统信息库中的资源对象的名称相匹配,如图 3-14 所示。
图 3-14 最终用户资源配置对象
- 单击 Save。
启用自行搜索后,将在 Identity Manager User interface 上为用户显示新的菜单项(通知 Identity Manager 有关其他帐户的信息)。用户可以使用该区域从可用列表中选择资源,然后输入资源帐户 ID 和密码,将此帐户与其 Identity Manager 身份链接。
关联和确认规则当操作时没有可用的 Identity Manager 用户名来输入用户字段,请使用关联和确认规则。如果没有为用户字段指定值,则必须在启动批量操作时指定关联规则。如果确实为用户字段指定了值,则不会针对该操作评估关联和确认规则。
关联规则会查找与操作字段匹配的 Identity Manager 用户。确认规则会对照操作字段测试 Identity Manager 用户,以确定用户是否为匹配项。此两阶段式方法允许 Identity Manager 通过快速查找可能的用户(基于名称或属性)并仅针对可能的用户执行繁琐的检查,以优化关联过程。
通过分别创建子类型为 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 的规则对象来创建关联或确认规则。
有关关联和确认规则的详细信息,请参见 Identity Manager Technical Deployment Overview 中的“数据加载和同步”一章。
关联规则
为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一:
常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件(参考 Type.USER 的可查询属性)的列表。
关联规则的处理过程应相对简便,但应尽可能缩小范围。如有可能,将繁琐的处理过程转给确认规则。
属性条件必须参考 Type.USER 的可查询属性。这些可查询属性被配置为 Identity Manager UserUIConfig 对象中的 QueryableAttrNames。
关联扩展属性需要特殊配置:
确认规则
任意确认规则的输入如下:
如果用户与操作字段匹配,则确认规则会返回字符串形式的布尔值 true;否则,它会返回值 false。
典型的确认规则会将用户视图的内部值与操作字段的值进行比较。作为关联进程可选的第二阶段,确认规则执行不能在关联规则中表达的检查(或关联规则中因太繁琐而不能评估的检查)。总之,只有在下列情况下才需要确认规则:
为关联规则返回的每个匹配用户运行一次确认规则。
