上一頁      目錄      索引      下一頁
Sun Java™ System Identity Manager 7.0 管理指南

第 4 章
配置

本章提供有關使用管理員介面設定 Identity Manager 物件和伺服器程序的資訊和程序。如需有關 Identity Manager 物件的更多資訊，請參閱簡介一章中的 Identity Manager 物件。

備註	如需有關為服務提供者實作配置 Identity Manager 的資訊，請參閱第 13 章「服務提供者管理」。

本章包含以下主題：

瞭解與管理角色
配置 Identity Manager 資源
Identity Manager 變更記錄檔
配置身份識別屬性和事件
配置 Identity Manager 策略
自訂電子郵件範本
配置稽核群組和稽核事件
Remedy 整合
配置 Identity Manager 伺服器設定

---

瞭解與管理角色

請閱讀本節以瞭解有關在 Identity Manager 中設定角色的資訊。

角色是甚麼？

Identity Manager 角色可定義管理帳號之資源的集合。角色可讓您設定使用者的類別，將具有類似特性的 Identity Manager 使用者進行分組。

您可以指定每個使用者到一個或多個角色，或者不指定為任何角色。指定到一個角色的所有使用者會分享相同資源基礎群組的存取權。

與角色相關的所有資源均被間接指定給使用者。間接指定不同於直接指定，在直接指定中，資源是為使用者特別選取的。

建立或編輯角色時，Identity Manager 會啟動 ManageRole 工作流程。這個工作流程會在儲存庫中儲存新的或更新的角色，並讓您在建立或儲存角色之前插入核准或其他動作。

您可透過 [Administrator Interface] 的 [Create and Edit User] 頁面將角色指定給使用者。

建立角色

您可以使用以下任一方法建立角色：

從 Identity Manager 功能表列中，選取 [Roles]。
在 [Roles] 頁面中，按一下 [New]。

[Create Role] 頁面可讓您：

將資源和資源群組指定給角色。
選取角色核准人並進行通知選擇。

提示	若要瞭解有關核准程序的更多資訊，請參閱帳號核准。

排除角色。這表示如果將此角色指定給一個使用者，則排除的角色可能也不會被指定。
選取可將此角色指定到的組織。
編輯指定給角色之資源的屬性值。

編輯指定的資源屬性值

在 [Create Role] 頁面上的 [Assigned Resources] 區域按一下 [Set Attribute Values] 可顯示指定給角色的每一資源的屬性清單。在此 [Edit] 屬性頁面中，您可以指定每個屬性的新值並決定如何設定屬性值。Identity Manager 可讓您直接設定值或使用規則設定值，也提供置換或合併現有值的一組選項。

選取用於建立各資源帳號屬性值的選項：

[Value override] — 選取以下某個選項：
[None] — 預設的選項。未建立任何值。
[Rule] — 使用規則來設定值。如果您選取此選項，則必須從清單中選取規則名稱。
[Text] — 使用指定文字來設定值。如果您選取此選項，則必須輸入文字。
[How to set] — 選取以下任一選項：
[Default value] — 將規則或文字設定為預設屬性值。使用者可以變更或置換該值。
[Set to value] — 依規則或文字所指定的方式設定屬性值。系統將設定值，並置換使用者所做的任何變更。
[Merge with value] — 將目前的屬性值與規則或文字所指定的值合併。
[Merge with value, clear existing] — 移除目前的屬性值，並將值設定為此角色和其他指定角色所指定值的合併值。
[Remove from value] — 移除屬性值中由規則或文字所指定的值。
[Authoritative set to value] — 依規則或文字所指定的方式設定屬性值。系統將設定值，並置換使用者所做的任何變更。如果移除角色，則新屬性值會是空值，即使該屬性先前具有相應值。
[Authoritative merge with value] — 將目前的屬性值與規則或文字所指定的值合併。如果移除角色，則新屬性值會是空值，即使該屬性先前具有相應值。

對於多值屬性，您必須編輯儲存庫中的角色物件，指示其包含逗號分隔值 (CSV) 字串；例如：

<RoleAttribute name='attrs role:Database Table:attrs' csv='true'>

[Authoritative merge with value, clear existing] — 移除目前的屬性值，並將值設定為此角色和其他指定角色所指定值的合併值。如果移除角色，則會清除該角色指定的屬性值，即使該屬性先前具有相應值。
[Rule Name] — 如果您在 [Value override] 區域中選取 [Rule]，請從清單中選取規則。
[Text] — 如果您在 [Value override] 區域中選取 [Text]，請輸入要增加至屬性值、自屬性值中刪除或做為屬性值的文字。

按一下 [OK] 儲存變更，並返回 [Create Role] 或 [Edit Role] 頁面。

管理角色

您可以對 [Roles] 頁面上角色清單中的角色執行一系列動作。

[Edit roles] — 在角色清單中選取角色，並在開啟的頁面中修改角色的屬性。
[Find roles] — 在 [Roles] 區域選取 [Find roles]。您可以按以下的一或多個搜尋類型來搜尋角色：
名稱
可用性
核准人
資源
資源群組

如果您選取多個搜尋類型，則搜尋必須符合所有指定條件才能順利傳回結果。搜尋並不區分大小寫。

[Clone or rename a role] — 選取要編輯的角色，在 [Name] 欄位中輸入新的名稱，然後按一下 [Save]。在顯示的頁面中，按一下 [Create] 以建立新角色。

重新命名角色

若要重新命名角色，請執行以下步驟：

選取要編輯的角色。
在 [Name] 欄位中輸入新的名稱，然後按一下 [Save]。

Identity Manager 顯示 [Create or Rename] 頁面。

按一下 [Renam]變更角色名稱。

同步化 Identity Manager 角色和資源角色

您可以將 Identity Manager 角色與原本在資源中建立的角色同步化。依照預設，在進行同步時，資源將被指定給角色。角色可以是作業所建立的角色，也可以是符合其中一個資源角色名稱的現有 Identity Manager 角色。

在功能表列中，選取 [Tasks]，然後選取 [Run Tasks] 標籤，以存取 [Synchronize Identity System Roles with Resource Roles] 作業頁面。若要啟動作業，請指定同步化作業的名稱、資源、要使用的資源角色屬性以及將套用角色的組織，然後按一下 [Launch]。

---

配置 Identity Manager 資源

請閱讀本節以獲得協助您設定 Identity Manager 資源的資訊和程序。

甚麼是資源？

Identity Manager 資源儲存有關如何連結到建立帳戶之資源或系統的資訊。Identity Manager 資源定義關於資源的相關屬性並協助指定資源資訊在 Identity Manager 中如何顯示。

Identity Manager 提供廣泛資源類型的資源，包括：

主機安全管理程式
資料庫
目錄服務
作業系統
企業資源規劃 (ERP) 系統
訊息平台

介面中的 [資源] 區域

Identity Manager 顯示關於 [Resources] 頁中現有資源的資訊。

若要存取資源，請選取功能表列上的 [Resources]。

資源依照類型分組，在清單中以命名的資料夾表示。若要展開階層式視圖並查看目前定義的資源，請按一下資料夾旁邊的指示器。再次按一下該指示器可以摺疊此視圖。

當您展開資源類型資料夾時，它會動態更新並顯示其包含的資源物件數目 (如果它是支援群組的資源類型)。

有些資源具有其他您可以管理的物件，包括：

組織
組織單位
群組
 角色

從資源清單中選取一個物件，然後從以下選項清單之一中進行選取以啟動管理作業：

[Resource Actions] — 在資源上執行一系列動作，包括編輯、啟動同步化、重新命名與刪除；還包括處理資源物件和管理資源連線。
[Resource Object Actions] — 編輯、建立、刪除、重新命名、另存新檔與尋找資源物件。
[Resource Type Actions] — 編輯資源策略、處理帳號索引和配置受管理的資源。

建立或編輯資源時，Identity Manager 會啟動 ManageResource 工作流程。這個工作流程會在儲存庫中儲存新的或更新的資源，並讓您在建立或儲存資源之前插入核准或其他動作。

管理資源清單

您可以從清單中選取要建立的資源，該清單透過管理員介面的 [Resources] 標籤進行管理。從 [Resource Type Actions] 選項清單中選取 [Configure Managed Resources]，來選擇要寫入資源清單的資源。

在 [Managed Resources] 頁面中，Identity Manager 將資源劃分為兩類：

[Identity Manager Resources] — 此表格中包括的資源是最常由 Identity Manager 管理的資源。此表格顯示資源類型及版本。藉由在 [Managed?] 欄中選取選項來選擇一個或多個資源，然後按一下 [Save] 將其增加到 [Resources] 清單。
[Custom resources] — 使用此頁面區域可將自訂資源增加到 [Resources] 清單中。

若要增加自訂資源，請：

按一下 [Add Custom Resource]，在表格中新增一列。
輸入資源的資源類別路徑，或輸入您自訂開發的資源。
按一下 [Save] 將資源新增到 [Resources] 清單。

表 4-1 列出了自訂資源類別。

表 4-1  自訂資源類別

自訂資源	資源類別
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory Active Sync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financials	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

建立資源

您可使用資源精靈建立資源。資源精靈會指導您完成建立 Identity Manager 資源配接卡的過程，然後您就可以使用該配接卡來管理資源中的物件。

使用此「資源精靈」可設定下列項目：

資源專用參數 — 當建立此資源類型的特定實例時，您可以從 Identity Manager 介面修改這些值。
帳號屬性 — 在資源的模式對映中定義。這些決定 Identity Manager 使用者屬性如何對映到資源中的屬性。
帳號 DN 或身份識別範本 — 包括使用者的帳號名稱語法，這對階層式名稱空間特別重要。
用於資源的 Identity Manager 參數 — 設定策略、建立資源核准人、設定組織對資源的存取權。

若要建立資源，請：

從 [Resource Type Actions] 選項清單中選取 [New Resource]。

Identity Manager 顯示 [New Resource] 頁面。

選取資源類型，然後按一下 [New] 以顯示 [Resource Wizard Welcome] 頁面。

備註	或者，也可以從資源清單中選取資源類型，然後再從 [Resource Type Actions] 清單中選取 [New Resource]。在此情況下，Identity Manager 不會顯示 [New Resource] 頁面，而是立即啟動資源精靈。

按 [Next] 開始定義資源。資源精靈的步驟和頁面以如下順序顯示：
[Resource Parameters] — 設定用於控制認證和資源配接卡運作方式的資源特定參數。輸入參數，然後按一下 [Test Connection] 來確保連線有效。確認後，按 [Next] 以設定帳號屬性。圖 4-1 顯示了 [Resource Parameters] 頁面。

圖 4-1  資源精靈：資源參數



[Account Attributes (Schema Map)] — 將 Identity Manager 帳號屬性對映到資源帳號屬性。

若要新增屬性，按一下 [Add Attribute]。選取一個或多個屬性，然後按一下[Delete Selected Attributes]從模式對映中刪除屬性。完成後，按 [Next] 設定身份識別範本。

圖 4-2 顯示了資源精靈中的 [Account Attributes] 頁面。

圖 4-2  資源精靈：帳號屬性 (模式對映)



[Identity Template] — 定義使用者的帳號名稱語法。此功能對階層式名稱空間特別重要。

從 [Insert Attributes] 清單中選取屬性。從範本刪除屬性，在清單中按一下並從字串中刪除一個或多個項目。刪除屬性名稱以及前置與後置的 $ (美元符號) 字元。

圖 4-3  資源精靈：身份識別範本



[Identity System Parameters] — 設定資源的 Identity Manager 參數，包括重試和策略配置，如圖 4-4 所示。

圖 4-4  資源精靈：Identity 系統參數

使用 [Next] 和 [Back] 在頁面中移動。當您完成所有選項後，請按一下 [Save] 來儲存資源並回到清單頁。

管理資源

您可以對資源清單中的資源執行一系列編輯動作。除了在每一 [Resource Wizard] 頁上的編輯權限外，您還可以：

刪除資源 — 選取一個或多個資源，然後從 [Resource Actions] 清單中選取 [Delete]。同時您可以選取多種類型的資源。如果有任何角色或資源群組跟資源相關聯，則無法刪除該資源。
搜尋資源物件 — 選取資源，然後從 [Resource Object Actions] 清單中選取 [Find Resource Object]，以按照物件特性尋找資源物件 (例如組織、組織單位、群組或人員)。
管理資源物件 — 對於某些資源類型，您可以建立新的物件。選取資源，然後從 [Resource Object Actions] 清單中選取 [Create Resource Object]。
重新命名資源 — 選取資源，然後從 [Resource Actions] 清單中選取 [Rename]。在出現的輸入方塊中輸入新名稱，然後按一下 [Rename]。
複製資源 — 選取資源，然後從 [Resource Actions] 清單中選取 [Save As]。在出現的輸入方塊中輸入新的名稱。複製資源會以您選取的名稱出現在資源清單中。
對資源執行批次處理作業 — 指定資源和動作清單，以套用 (從 CSV 格式的輸入) 至清單中的所有資源。然後啟動批次作業，以啟動批次處理作業背景作業。

使用帳號屬性

Identity Manager 資源使用模式對映定義來自外部資源 (資源帳號屬性) 的屬性名稱和類型；然後它們會將這些屬性對映到標準的 Identity Manager 帳號屬性。透過設定模式對映 (在 [Resource Wizard] 的 [Account Attributes] 頁中)，您可以：

將資源屬性限制為只有您公司所必需的那些屬性。
建立用於多個資源的共用 Identity Manager 屬性名稱。
識別必要的使用者屬性和屬性類型。

若要存取這些值，請從資源清單中選取資源，然後從 [Resource Actions] 清單中選取 [Edit Resource Schema]。

模式對映的左欄 (標題為 [Identity system User Attribute]) 包含 Identity Manager 帳號屬性的名稱，這些屬性由 Identity Manager 管理員和使用者介面中所使用的表單參照。模式對映 (標題為「資源使用者屬性」) 的右欄包含來自外部來源的屬性名稱。

透過定義 Identity 系統屬性名稱，可以使用共用名稱定義來自不同資源的屬性。例如，在 Active Directory 資源上，Identity Manager 中的 lastname 屬性對映至 Active Directory 資源屬性 sn；在 GroupWise 上，fullname 屬性可以對映至 GroupWise 屬性 Surname。因此，要求管理員只用一次完成 lastname 的值；當儲存使用者以後，會以不同的名稱將其傳送到資源。

資源群組

同樣使用資源區來管理資源群組，這可讓您對資源進行分組以按特定順序更新這些資源。在群組中加入及排序資源並將該群組指定給某個使用者，即可確定該使用者之資源的建立、更新和刪除順序。

依次對每個資源執行動作。如果對某一資源執行的動作失敗，則不會更新其餘資源。這種類型的關係對相關資源很重要。

例如，一個 Exchange 5.5 資源依賴現有的 Windows NT 或 Windows Active Directory 帳號：在成功建立 Exchange 帳號前，必須存在這些項目其中之一。在以 (依序) Windows NT 資源和 Exchange 5.5 資源建立資源群組後，您需要在建立使用者時確保正確的序列。反之，此順序也確保您在刪除使用者時以正確的序列刪除資源。

選取 [Resources]，然後選取 [List Resource Groups] 以顯示目前定義的資源群組之清單。在該頁中，按一下 [New] 定義資源群組。在定義資源群組時，選項區可讓您選擇並排序選取的資源，以及選取可使用該資源群組的組織。

全域資源策略

您可以在 [Global Resource Policy] 中編輯資源的特性。在 [Edit Global Resource Policy Attributes] 頁面中，您可以編輯以下策略屬性：

[Default Capture Timeout] — 輸入一個值 (以毫秒為單位)，以指定在指令行提示之後配接卡逾時之前，配接卡應等待的最長時間。此值僅適用於 GenericScriptResourceAdapter 或 ShellScriptSourceBase 配接卡。當指令或程序檔的結果很重要且將由配接卡剖析時，請使用此設定。

此設定的預設值為 30000 (30 秒)。

[Default Wait for Timeout] — 輸入一個值 (以毫秒為單位)，以指定在輪詢之間檢查指令是否具有就緒字元 (或結果) 之前，程序檔配接卡應等待的最長時間。此值僅適用於 GenericScriptResourceAdapter 或 ShellScriptSourceBase 配接卡。當配接卡不檢查指令或程序檔結果時，請使用此設定。
[Wait for Ignore Case] — 輸入一個值 (以毫秒為單位)，以指定在逾時之前配接卡應等待指令行提示的最長時間。此值僅適用於 GenericScriptResourceAdapter 或 ShellScriptSourceBase 配接卡。當不區分大小寫 (大寫或小寫) 時，請使用此設定。
[Resource Account Password Policy] — 請選取要套用至所選資源的資源帳號密碼策略 (如果適用)。預設選項為 [None]。
[Excluded Resource Accounts Rule] — 請選取管理已排除資源帳號的規則 (如果適用)。預設選項為 [None]。

您必須按一下 [Save] 才能儲存對策略所做的變更。

設定其他逾時值

您可以編輯 Waveset 特性檔案，以修改 maxWaitMilliseconds 特性。maxWaitMilliseconds 特性可控制監視作業逾時的頻率。如果未指定該值，系統將使用預設值 50。

若要設定該值，請將以下內容增加到 Waveset 特性檔案中：

com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

批次處理資源動作

您可以透過使用 CSV 格式的檔案或透過建立或指定作業要套用的資料，在資源上執行批次處理作業。

圖 4-5 顯示了使用建立動作的批次處理作業的啟動頁面。

圖 4-5  啟動批次處理資源動作頁面

批次處理資源作業的可用選項取決於您選取的作業動作。您可以指定要套用至作業的單一動作，或選取 [From Action List] 以指定多個動作。

[Actions] — 若要指定單一動作，請選取以下某個選項：[Create]、[Clone]、[Update]、[Delete]、[Change Password]、[Reset Password]。

對於單一動作選項，將會向您提供用於指定動作所涉及資源的選項。對於 [Create] 動作，您將指定資源類型。

如果您指定 [From Action List]，請使用 [Get action list from] 區域指定要使用的含動作檔案或您在 [Input] 區域中指定的動作。

備註	您在 [Input] 區域清單中或在檔案中輸入的動作必須為逗號分隔值 (CSV) 格式。

[Maximum Results Per Page] — 使用此選項可以指定在每個作業結果頁面上要顯示的批次處理動作結果的最大數目。預設值為 200。

按一下 [Launch] 可以啟動作業，其將做為背景作業執行。

---

Identity Manager 變更記錄檔

請閱讀本節，以取得有關 Identity Manager 變更記錄檔功能的資訊，和有助於配置並使用變更記錄檔的程序。

什麼是變更記錄檔？

可以在變更記錄檔中檢視 Identity Manager 資源包含的身份識別屬性資訊。將每個變更記錄檔定義為擷取身份識別屬性某個子集的變更。

資源上的屬性資料變更後，Active Sync 配接卡會擷取該資訊，然後將變更寫入變更記錄檔。自訂程序檔是專門開發用來與企業中的資源互動，然後讀取變更記錄檔並更新資源。

變更記錄檔功能與 Identity Manager 之標準資源使用中的同步化和調解功能不同，因為它與佈建系統資源間接通訊 (透過自訂程序檔)。

變更記錄檔與安全性

Identity Manager 的變更記錄檔功能需要具有寫入本機檔案系統中指定目錄的權限。依預設，某些 Web 容器不允許本機檔案系統存取託管的 Web 模組 (如 Identity Manager)。

透過編輯 Java 策略檔案，您可以取得存取授權。若將 /tmp/changelogs 做為目錄，則策略檔案應包含：

grant {
    permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

您必須為每個指定的變更記錄檔目錄定義一個檔案權限。

Java 的預設安全策略檔案位於：

$JAVA_HOME/jre/lib/security/java.policy

編輯此檔案即可；但如果您使用自己的檔案 (非預設檔案)，則伺服器將執行以下選項：

-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy

在此情況下，請編輯由 java.security.policy 系統特性識別的檔案。

備註	編輯安全策略檔案之後，您可能需要重新啟動 Web 容器。

變更記錄檔功能的需求

變更記錄檔功能需要您配置身份識別屬性，然後才能配置變更記錄檔。

備註	請完成配置身份識別屬性和事件小節中說明的程序，以滿足這些需求。

配置變更記錄檔

透過建立變更記錄檔策略與變更記錄檔，配置變更記錄檔。每個變更記錄檔必須具有一個關聯的變更記錄檔策略。變更記錄檔定義應將哪些變更子集 (由 Active Sync 偵測並透過身份識別屬性推入) 寫入記錄中。其關聯的變更記錄檔策略定義寫入變更記錄檔的方式。變更記錄檔將被自訂程序檔消耗。

若要配置變更記錄檔和變更記錄檔策略，請選取 [Meta View]，然後選取 [ChangeLogs]。

Identity Manager 會顯示 [ChangeLog Configuration] 頁面，其中顯示兩個摘要區域。

備註	如果尚未配置任何身份識別屬性，則 [ChangeLogs] 標籤不可見。

圖 4-6  變更記錄檔配置

變更記錄檔策略摘要

變更記錄檔策略摘要區域顯示目前定義的變更記錄檔策略。若要編輯現有的變更記錄檔策略，請按一下清單中該策略的名稱。若要建立變更記錄檔策略，請按一下 [Create Policy]。

若要移除一個或多個變更記錄檔策略，請從清單中選取它們，然後按一下 [Remove Policy]。(不需要確認此動作。)

變更記錄檔摘要

變更記錄檔摘要區域顯示目前定義的變更記錄檔。若要編輯現有的變更記錄檔，請按一下清單中該變更記錄檔的名稱。若要建立變更記錄檔，請按一下 [Create ChangeLog]。

若要移除一個或多個變更記錄檔，請從清單中選取它們，然後按一下 [Remove ChangeLog]。(不需要確認此動作。)

儲存變更記錄檔配置變更

您對變更記錄檔配置 (無論是變更記錄檔策略還是定義的變更記錄檔) 做出任何變更之後，必須從 [ChangeLog Configuration] 頁面儲存這些變更。按一下 [Save] 以儲存變更並返回至 [Meta View]。

建立和編輯變更記錄檔策略

在 [Edit ChangeLog Policy] 頁面上提供輸入並進行選取，以建立或編輯變更記錄檔策略：

[Policy Name] — 為策略輸入唯一的名稱。
[Daily Start Time] — 建立每天用來評估自動重建開始或變更的時間。使用此策略的變更記錄檔將在該時間啟動新的週轉，並以從該時間評估的增量啟動新的週轉。例如，如果啟動時間設定為午夜 (00:00) 且 [Rotations Per Day] 設定為 3，則記錄檔的前綴將在 00:00、08:00 與 16:00 變更。

檔案名稱遵循 cl_User_yyyyMMddHHmmss.n.suffix 式樣，其中 HHmmss 是最近啟動自動重建的時間。(n 是序列號，suffix 是在變更記錄檔定義中提供的後綴。)

在使用「00:00」做為啟動時間，3 做為週轉數的情況下，如果您在某天上午 9:24 啟動變更記錄檔，則產生的週轉名稱將包含最近啟動週轉的時間 (例如，08:00)。在此情況下，檔案名稱將以 cl_User_yyyyMMdd080000 開頭。在 16:00 時，新的週轉 (檔案名稱上的新前綴) 將啟動。

[Rotations Per Day] — 指定每天您要週轉記錄的次數。例如，如果您要每 4 小時週轉一次，則輸入值 6。

此值僅限於非負整數。值 0 表示忽略此欄位。如果此欄位為非零值，則將忽略 [Maximum Age of a Rotation] 設定。

如果以秒為單位指定自動重建的時間長度，且 [Rotations Per Day] 欄位為 0，則此值將用於確定自動重建的週期。

此值僅限於非負整數值。如果您將 [Rotations Per Day] 指定為非零數值，則將使用該指定的值 (不使用此值)。如果這兩個欄位的值均為 0，則僅套用序列資訊。(在此情況下，甚至不使用 [Daily Start Time]。)

[Number of Rotations to Keep] — 指定允許累計的週轉次數，超過此次數 Identity Manager 將刪除週轉。例如，如果您現在每天執行 3 次週轉，並要在記錄中保留 2 天的變更，則指定值 6。
[Maximum File Size in Bytes] — 如果向目前的檔案寫入變更後將超過此限制，則將啟動新記錄檔 (具有相同的自動重建前綴，但具有新的序列號)。值 0 表示不使用此限制。會使用所有值為非零的限制欄位 (大小、行數、時間)；但是，會在檢查其他限制之前檢查該限制。
[Maximum File Size in Lines] — 如果寫入變更將導致目前檔案的行數超出此限制，則會建立新的序列檔案，且將行寫入新檔案。值 0 表示無限制。會在檢查大小限制之後、檢查時間限制之前檢查此限制。
[Maximum File Age in Seconds] — 如果收到變更，且現有的序列檔案的存在時間已經超過此處指定的秒數，則會在寫入變更之前建立新的序列檔案。值 0 表示不使用此限制。其他限制如果為非零，會在該值之前套用。

按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK]，才能將新的變更記錄檔策略或變更儲存至現有的策略。

建立和編輯變更記錄檔

在 [Edit ChangeLogs] 頁面上提供輸入並進行選取，以建立或編輯變更記錄檔：

[ChangeLog Name] — 為變更記錄檔輸入唯一的名稱。
[Active] — 如果您選取此選項，則變更記錄檔將在變更經過 Active Sync 資源並進入身份識別屬性時監視並寫入變更 (Active Sync 必須為身份識別屬性應用程式，才能實現此作業)。
[Filter] — 輸入要使用的變更記錄檔篩選器的名稱。Noop 表示使用預設篩選器，此篩選器可接受所有變更。對於大多數情況，選取該篩選器即可。若不使用預設篩選器，則必須命名一個實作 com.sun.idm.changelog.ChangeLogFilter 的 Java 類別。此類別必須在伺服器的類別路徑中，且必須具有公用預設建構子。
[Log these Operations] — 記錄所選類型的事件，包括 [Create]、[Update] 與 [Delete]。忽略未選取的事件。
[ChangeLog View] — 使用此表格可定義變更記錄檔的內容 (欄)。每個表格列指定變更記錄檔中的一欄。按一下 [Add Column] 可增加變更記錄檔欄。每個欄都有名稱、類型與身份識別屬性名稱。列的順序表示欄的順序。定義欄之後，使用 [Up] 與 [Down] 按鈕對欄進行排序。

備註	在每個變更記錄檔中，表格中均有一個名為 changeType 的隱含第一欄。此隱含第一欄指出變更的類型。此欄的類型為 [Text]。記錄中的資料將是下列值之一：ADD、MOD 或 DEL。

[Use the Policy Named] — 從清單中選取已定義的變更記錄檔策略以用於記錄。
[Output Path] — 輸入檔案系統上將包含該記錄檔的目錄名稱。此路徑可以是網路掛載的位置；但最好使用伺服器本機上的目錄。同樣也建議每個變更記錄檔使用唯一的位置。
[Suffix] — 為變更記錄檔輸入後綴 (例如，.csv)。選取的後綴可以用來區別這些檔案與其他的變更記錄檔。

按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK]，才能將新的變更記錄檔或變更儲存至現有的變更記錄檔。

範例

以下範例詳細說明了如何設定身份識別屬性與變更記錄檔，以擷取特定屬性資料集。

範例：定義身份識別屬性

在此範例中，兩個 Identity Manager 資源 (資源 1 與資源 2) 向第三個資源 (資源 3) 提供來源資料。資源 3 不直接連接至 Identity Manager 系統。需要變更記錄檔來從資源 1 和資源 2 提取資料子集並保留到資源 3 中。

資源 1：EmployeeInfo
employeeNumber*
givenname
mi
surname
phone

資源 2：OrgInfo
employeeNum*
managerEmpNum
departmentNumber

資源 3：PhoneList
empId*
fullname
phone
department

備註	* 表示用來關聯記錄的鍵。

下表中定義了身份識別屬性。

表 4-2  使用變更記錄檔之範例的身份識別屬性  

屬性	<==	來自 Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstname	<==	EmployeeInfo.givename
lastname	<==	EmployeeInfo.givename
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + °?°?+ middleInitial + °?°?+ lastName
phoneNumber	<==	EmployeeInfo.phone

範例：配置變更記錄檔

定義身份識別屬性後，定義稱為 PhoneList ChangeLog 的變更記錄檔。目的是將身份識別屬性的子集寫入變更記錄檔。

PhoneList ChangeLog 中的變更記錄檔視圖

欄名稱	類型	身份識別屬性
empId	文字	employee
fullname	文字	fullname
phone	文字	phoneNumber

當資源 1 或資源 2 中的記錄發生變更之後，變更記錄檔記錄 (來自身份識別屬性的所有資料) 的資料全集 (不僅是變更) 將寫入變更記錄檔。自訂程序檔會讀取該資訊並將其寫入資源 3。

變更記錄檔中的 CSV 檔案格式

請閱讀本節，以取得有關由變更記錄檔寫入的逗號分隔值 (CSV) 檔案的格式之資訊。

想像一下列與欄格式的變更記錄檔，例如試算表或資料庫表格。每「列」為檔案中的每行。

變更記錄檔格式使用前兩列來進行自我說明。這兩列可一併用於定義「模式」；亦即表格中每個「儲存格」( 列上逗號之間的值) 的邏輯名稱與邏輯類型。

第一列命名檔案中的屬性。第二列說明屬性值的類型。其他列表示變更事件的所有資料。

變更記錄檔以 Java UTF-8 格式進行編碼。

欄

檔案中的第一欄具有特殊的重要性。它會定義作業類型，例如，變更事件是否為建立、修改或刪除動作。其名稱永遠為 changeType，類型永遠為 T (表示文字)。其值為以下值之一：ADD、MOD 或 DEL。

每一欄應該準確具有一個唯一的項目識別碼 (主鍵)。一般為檔案中的第二欄。

其他欄僅命名屬性。名稱來自於 [ChangeLog View] 表格中的 [Column Name] 值。

列

在定義檔案模式的前兩個標頭列之後，剩餘的列為屬性的值。值以第一列中欄位的順序顯示。變更記錄檔套用自身份識別屬性，因此包含偵測到變更時所有已知的使用者資料。

而且，沒有表示空 (或未設定) 的特殊指示值。如果偵測到變更時，而值不存在，則變更記錄檔會寫入空字串。

根據檔案第二列指定的欄類型，對值進行編碼。支援的類型如下：

T：文字
B：二進位
MT：多文字
MB：多進位

文字值

文字值寫入為字串，但有兩種例外：

如果值包含 , (逗號)，則 Identity Manager 會透過插入 \ (反斜線) 字元來退出值中的逗號。例如，如果 fullname 的值為 Doe, John，則 Identity Manager 會將該值寫入為
Doe \,John。
如果值包含 \ (反斜線) 字元，則 Identity Manager 會另加一個 \ 來退出該字元。例如，如果 homedir 的值包含 C:\users\home，則 Identity Manager 會將 C:\\users\\home 寫入記錄。

文字值不能包含換行字元。如果檔案需要換行，則請使用二進位值類型。

二進位值

二進位值以 Base64 進行編碼。

多文字值

多文字值與文字值的寫入方式相似，但用逗號分隔並使用 [ 與 ] 括起來。

多進位值

多進位值與二進位值寫入方式相似 (以 Base64 編碼)，但也用逗號分隔並使用 [ 與 ] 括住。

格式範例

以下範例說明各種輸出格式。每個範例均遵循以下格式：

column1, column2, column3, column4

每個範例的欄 3 均顯示範例文字。

文字 (T) 資料在檔案中顯示為字串：

ADD,account0,some text data,column4

二進位 (B) 資料顯示為 base64 編碼。

ADD,account0,FGResWE23WDE==,column4

多文字 (MT) 顯示為：

ADD,account0,[one,two,three],column4

多文字 (MB) 顯示為：

ADD,account0,[FGResWE23WDE==,FGRCAFEBADE3sseGHSD],column4

備註	Base64 字母不包含 , (逗號)、[ (左括號) 或 ] (右括號) 字元，或換行符號。

變更記錄檔名稱

檔案名稱遵循以下格式：

servername_User_timestamp.sequenceNumber.suffix

其中：

timestamp 為此記錄啟動或自動重建的時間。將具有相同時間戳記的檔案視為自動重建。
sequenceNumber 為單增長數字，用來將自動重建分割為檔案子集，並由位元、行或秒的最大數目控制。每個檔案子集稱為一個序列檔案。
suffix 為變更記錄檔配置中定義的檔案副檔名，通常為 .csv。

配置週轉與序列

這些可在變更記錄檔策略物件中定義，並從變更記錄檔參考。

範例

如果某策略將自動重建定義為：

開始於上午 7:00
每天選轉 3 次，持續兩天

則將產生與如下類似的檔案名稱。(在其中每個週轉中，均有兩個序列檔案。)

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1 月 1 日顯示 3 個週轉，間隔 8 小時，開始於 07:00:00。1 月 2 日 與之類似；僅對應於日期 (20060102) 的名稱部分有所不同。

寫入變更記錄檔程序檔

請閱讀本節，以取得有關變更記錄檔程序檔寫入器有用的資訊。

程序檔一般會連續執行，等待新資料、新檔案或在作業之間暫停，然後讀取檔案並將每行的變更套用至後端資源。
變更記錄檔支援刪除作業，但是只有 accountId 值將包含在 DEL 行中。
透過使用週轉與序列，可以決定程序檔執行的頻率。例如，如果您可以指定：
在午夜啟動週轉，然後每晚根據前一週轉執行程序檔。
每 4 小時週轉一次，從上午 8:00 開始，然後每四小時執行程序檔 (時間分別為 8、12、16、20、24、4...)
無週轉，但執行程序檔，從而當序列號溢滿時會讀取序列檔案。您可以控制序列號如何遞增；它可以是以大小為基礎、以數字作業為基礎或以時間為基礎。
每個變更記錄檔都可以代表後端系統中的記錄。為了使程序檔讀取記錄更加簡單，Identity Manager 總是將所有的資料寫入給定記錄，無論它是否變更。程序檔可能「盲目地」套用記錄中的資料。

但是，其需要確保後端資源 (或程序檔) 可以 (特別是對於 ADD 與 DEL)：

等冪處理此作業。(等冪指如果套用資料多於一次，則等於未進行任何作業。)如果程序檔從開啟至結束共兩次讀取變更記錄檔，則資源中資料記錄的狀態在每次傳入後應該完全相同。
(最多) 執行一次。例如，如果資源對於增加與刪除動作無法進行等冪作業，則程序檔必須確保僅套用一次變更，透過僅讀取記錄項目一次或以其他方式追蹤其進度。

最好等待出現序列檔案，然後套用之前的檔案。例如，直到出現 .2 檔案後再套用 .1 檔案。當出現 .3 檔案時，再套用 .2 檔案。套用檔案後，請注意您在磁碟上進行這些作業。此方法可讓您避免使用諸如 fstat 或
tail -f 等呼叫。

---

配置身份識別屬性和事件

您可以使用管理員介面的 [Meta View] 區域配置身份識別屬性和事件。請使用以下小節中的資訊和程序配置 Identity Manager 身份識別屬性和身份識別事件，以及選取將套用這些屬性和事件的 Identity Manager 系統應用程式。

處理身份識別屬性

若要配置身份識別屬性，請選取 [MetaView]，然後選取 [Identity Attributes]。螢幕將顯示 [Identity Attributes] 頁面。下圖為此頁面的一個範例。

圖 4-7  在 [Meta View] 中配置 [Identity Attributes]

若要增加身份識別屬性，請按一下 [Add Attribute]。增加至清單後，透過在清單中按一下身份識別屬性名稱來編輯該屬性。若要移除一個或多個身份識別屬性，請選取要移除的屬性，然後按一下 [Remove Selected Attributes]。

您可以選取一個或多個要增加到屬性中或要從其中移除的回應。

您必須按一下 [Save]，才能執行該動作。

如果自從您上次修改身份識別屬性以後，資源已發生變更，則 [Identity Attributes] 頁面將顯示以下警告訊息 (圖 4-8)。按一下警告訊息中的 [Configure the Identity Attributes from resource changes] 以同化變更。

圖 4-8

[Resources Have Changed] 警告訊息

密碼

Active Sync 配置為在一個或多個資源上建立使用者。Identity Manager 使用者需要在建立時指定一個密碼，但大多數資源出於安全性原因不允許讀取密碼。如果密碼產生尚未設定，請按一下 [Configure password generation]。

選取如何在身份識別使用者和透過 Active Sync 建立的其他資源帳號上設定密碼：

[Use default password] — 選取此選項，然後輸入一個密碼。password.password 身份識別屬性將從此值設定使用者密碼。
[Use rule to generate password] — 選取此選項可選取密碼產生要使用的規則。password.password 身份識別屬性使用所選的規則來產生密碼。
[Use Identity System Account Policy password generation] — 選取此選項可以選取密碼產生要使用的策略。選取此選項會將 waveset.assignedLhPolicy 身份識別屬性設定為所選的策略。如果所選的策略未配置為產生密碼，並且您具有建立和修改策略所需的權限，則頁面會重新顯示其他選項，可以讓您建立策略副本或修改現有策略。

此選項會根據為 Identity 系統帳號策略配置的密碼策略產生隨機密碼。由於其依賴於隨機密碼產生，因此這是最安全的密碼產生選項。

選取應用程式

使用 [Enabled Applications] 區域來選取將套用身份識別屬性的 Identity 系統應用程式。從 [Available applications] 區域中選取一個或多個應用程式，然後將它們移至 [Enabled applications] 區域。您必須按一下 [Save]，才能執行該動作。

備註	若要使用變更記錄檔功能，您必須啟用 Active Sync 應用程式。如需更多資訊，請參閱 Active Sync 配接卡。

增加和編輯身份識別屬性

從 [Add Identity Attributes] 或 [Edit Identity Attributes] 頁面，請進行以下這些選取以增加或編輯身份識別屬性：

[Attribute Name] — 選取或輸入屬性名稱。從提供的預設值 (來自資源模式對映項目、作業中的身份識別屬性與使用者擴充的屬性) 中進行選取；或在文字方塊中輸入值。
[Sources] — 選取一個或多個來源，從中寫入此身份識別屬性的值。將按順序評估這些來源，並將身份識別屬性設定為第一個非空值。
[Resource] — 該值來自於所選資源上已選取的屬性。
[Rule] — 該值來自於對所選規則的評估。
[Constant] — 該值設定為提供的常數值。

按一下 [+] (加號) 可增加新行以選取其他來源。按一下來源旁邊的 [-] (減號) 可將其刪除。若要對來源進行重新排序，請按一下箭頭，以在清單中上下移動來源。

[Attribute Properties] — 使用此區域可指定身份識別屬性的特性設定。
[How to set Identity Attribute] — 選取以下某個選項可以指定 Identity Manager 將如何設定資源上的屬性值。
[Set to value] — 身份識別屬性的值為所有目標上的授權設定值。選取此選項將導致由來源確定的值會置換使用者在表單中輸入的任何值。此選項是典型實作的適當設定。
[Default value] — 僅當目標上未設定值時設定屬性值。
[Merge with value] — 將值增加到現有值。系統將篩選出重複值。
[Store attribute in IDM repository] — 選取此選項，以將身份識別屬性儲存在本機的 Identity 系統儲存庫中。如果 Identity 系統使用者被授權儲存身份識別屬性，或者屬性可以處理查詢，則應該選取此選項。
[Set value on all assigned resources] — 如果身份識別屬性將全域設定在支援此屬性的所有資源上，則選取此選項。
[Targets] — 選取應該設定該身份識別屬性的目標資源。如果未定義目標，請按一下 [Add Target]。若要從清單中移除目標，請選取該目標，然後按一下 [Remove Selected Targets]。

按一下 [OK] 可增加該身份識別屬性並返回至 [Identity Attributes] 頁面。必須在 [Identity Attributes] 頁面上按一下 [Save] 才能儲存增加的屬性。

增加目標資源

如果身份識別屬性僅用於變更記錄檔，則不必為身份識別屬性設定目標。例如，如果您要使用變更記錄檔，還要使用標準的「輸入表單」推入資料 (透過 Active Sync)，則您可以這樣做。如果沒有目標，則 [MetaView] 將僅評估身份識別屬性的值；而不會在其他任何資源上設定這些屬性。

進行選取以增加應該設定身份識別屬性的目標資源：

[Target Resource] — 選取應該設定所選身份識別屬性的目標資源。
[Target Attribute] — 選取在目標資源上將接收其值的屬性名稱。
[Condition] — 選取要執行的規則，以確定是否應該在此目標資源上設定所選的身份識別屬性。此規則應該返回 true 或 false 值。如果未設定條件，則對於選取的事件類型，會自動設定目標屬性。
Apply To: — 選取事件類型，對於這些選取的事件類型，會在目標資源上設定選取的身份識別屬性。這些選取與條件共同確定是否設定目標屬性。

按一下 [OK] 可以增加目標資源，並返回至 [Add Identity Attribute] 或 [Edit Identity Attribute] 頁面。

移除目標資源

若要移除一個或多個目標資源，請從清單中選取它們，然後按一下 [Remove Selected Targets]。

匯入身份識別屬性

使用匯入身份識別屬性功能，您可以選取一個或多個表單來匯入並寫入身份識別屬性值。Identity Manager 將分析匯入的表單值並對身份識別屬性進行「最佳猜測」；但是在匯入後編輯身份識別屬性是必要的。

進行這些匯入選取：

[Merge with existing Identity Attributes] — 如果選取此選項，則 Identity Manager 會將匯入的值與現有的身份識別屬性合併。如果未選取，則會在匯入執行之前清除身份識別屬性。
[Forms to import] — 從 [Available Forms] 區域中選取一個或多個表單來寫入身份識別屬性。

按一下 [Import] 可匯入這些表單。顯示 [Identity Attributes] 頁面，其中會列出新的或合併的身份識別屬性。

按一下 [Save] 可儲存身份識別屬性的變更。

備註	如果有需要校正的身份識別屬性條件，則 Identity Manager 將顯示 [Warning] 頁面，其中列出一個或多個警告。按一下 [OK] 可返回至 [Configure] 區域。

配置身份識別事件

您還可以配置由 Identity Manager 管理之資源的身份識別事件，以定義發生在這些資源上之事件的運作方式。身份識別事件中定義的運作方式在 Active Sync 期間用於確定事件的發生時間，並採取適當的動作回應該事件。

例如，您可以將身份識別事件配置為在您的授權人力資源 (HR) 系統 (可觸發要刪除的身份識別使用者和其他所有資源帳號) 上偵測並回應刪除。

若要配置身份識別事件，請選取 [MetaView]，然後選取 [Identity Events] 標籤。在 [Identity Events] 頁面中，按一下 [Add Event] 並指定事件類型。您也可以透過選取 [Identity Events] 頁面中的事件並指定以下選項，來編輯身份識別事件。

[Event Type] — 選取 [Delete]、[Enable] 或 [Disable] 可以指定您要配置的身份識別事件類型。
[Sources] — 選取將套用身份識別事件的資源 (例如，AD 表示 Active Directory)。如果資源需要事件偵測規則以偵測事件並對事件做出回應 (因為其不具有本機支援)，請在 [determined by] 欄位中選取規則。您可以增加和移除資源。
[Responses] — 從 [Responses] 清單中選取回應，或按一下 [Responses] 可以增加回應 (如果未定義任何回應)。若要從選項清單中移除某回應，請選取該回應，然後按一下 [Remove Selected Responses]。

完成選取後請按一下 [OK]。

---

配置 Identity Manager 策略

請閱讀本小節以取得有關配置使用者策略的資訊和程序。

什麼是策略？

藉由建立 Identity Manager 帳戶 ID、登入和密碼特性的限制條件，Identity Manager 策略可設定 Identity Manager 使用者的限制。

備註	Identity Manager 還提供了專門用於稽核使用者規範遵循的稽核策略。第 11 章「身份識別稽核」中論述了稽核策略。

您可以在 [Policies] 頁面中建立並編輯 Identity Manager 使用者策略。在功能表列中，選取 [Security]，然後選取 [Policies]。在顯示的清單頁中，可以編輯現有策略並建立新策略。

策略可分為以下類型：

Identity 系統帳號策略 — 建立使用者、密碼和認證策略選項及限制條件。透過 [Create Organization]、[Edit Organization]、[Create User] 和 [Edit User] 頁面，您可將 Identity 系統帳號策略 (如圖 4-9 所示) 指定給組織或使用者。

圖 4-9  Identity Manager 策略

您可以設定或選取的選項包括：

[User policy options] — 指定使用者在未能正確回答認證問題時，Identity Manager 應如何處理使用者帳戶
[Password policy options] — 設定密碼過期、過期前的警告時間以及重設選項
[Authentication policy options] — 確定如何向使用者顯示認證問題，使用者是否可以提供其自己的認證問題，並建立可以向使用者顯示的問題庫 (最多 10 項)。

[SPE System Account policies] — 此策略類型用於在服務提供者實作中為服務提供者使用者建立使用者、密碼和認證策略選項與限制。透過 [Create Organization]、[Edit Organization]、[Create SPE User] 和 [Edit SPE User] 頁面，您可將這些策略指定給組織或使用者。
[String Quality Policies] — 字串品質策略包括策略類型 (例如密碼、帳號 ID 和認證)，並可設定長度規則、字元類型規則和允許的文字與屬性值。此類型的策略繫結到每個 Identity Manager 資源，並在每個資源頁面中設定。圖 4-10 提供了一個範例。

圖 4-10  建立/編輯密碼策略

您可以為密碼和帳號 ID 設定的選項及規則包括：

[Length rules] — 決定最小長度和最大長度。
[Character type rules] — 設定允許的字母、數字、大寫、小寫、重複及連續字元最小值和最大值。
[Password re-use limits] — 指定在目前密碼之前不能重複使用的密碼數。當使用者試圖變更密碼時，將比對新密碼和密碼記錄以確保此為專屬密碼。為了安全起見，會儲存先前密碼的數位簽章，新的密碼會與此項進行比對。
[Prohibited words and attribute values] — 指定不能 ID 或密碼中不能包含的文字和屬性。

策略中的「不得包含」屬性

您可以在 UserUIConfig 配置物件中變更允許的「不得包含」屬性集。UserUIConfig 中列出了這些屬性，如下所示：

<PolicyPasswordAttributeNames> — 策略類型「密碼」
<PolicyAccountAttributeNames> — 策略類型「帳號 ID」
<PolicyOtherAttributeNames> — 策略類型「其他」

字典策略

字典策略可使 Identity Manager 根據文字資料庫來檢查密碼，以確保它們不會遭受簡單的字典攻擊。Identity Manager 可搭配使用此策略與其他策略設定來強制限定密碼的長度及結構，讓攻擊者難以使用字典來猜測系統所產生或變更的密碼。

字典策略可擴充密碼排除清單，您可以使用策略來設定該清單。(您可使用 [Administrator Interface] 密碼 [Edit Policy] 頁中的 [Not Contain Words] 選項來執行這份清單。)

配置字典策略

若要設定字典策略，您必須：

配置字典伺服器支援
載入字典

請遵循下列步驟：

在功能表列中，選取 [Configure]，然後選取 [Policies]。
按一下 [Configure Dictionary] 顯示 [Dictionary Configuration] 頁。
選取並輸入資料庫資訊：
[Database Type] — 選取要用來儲存字典的資料庫類型 (Oracle、DB2、SQLServer 或 MySQL)。
[Host] — 輸入正在執行資料庫的主機名稱。
[User] — 輸入連線至資料庫時使用的使用者名稱。
[Password] — 輸入連線至資料庫時使用的密碼。
[Port] — 輸入資料庫偵聽的連接埠。
[Connection URL] — 輸入連線時要使用的 URL。以下是可用的範本變數：
%h — 主機
%p — 連接埠
%d — 資料庫名稱
[Driver Class] — 輸入與資料庫進行互動時要使用的 JDBC 驅動程式類別。
[Database Name] — 輸入要載入字典的資料庫名稱。
[Dictionary Filename] — 輸入載入字典時要使用的檔案名稱。
按一下 [Test] 可測試資料庫連線。
如果連線測試成功，請按一下 [Load Words] 載入字典。載入作業可能得花費幾分鐘才能完成。
按一下 [Test] 可確認字典已正確載入。

執行字典策略

從 Identity Manager 策略區執行字典策略。在 [Policies] 頁面中，按一下以編輯密碼策略。在 [Edit Policy] 頁面中，選取 [Check passwords against dictionary words] 選項。執行之後，將根據字典來檢查所有變更和產生的密碼。

---

自訂電子郵件範本

Identity Manager 使用電子郵件範本傳送動作的資訊和請求給使用者和核准人。系統包括以下各項的範本：

[Access Review Notice] — 傳送使用者的存取權限需要加以檢閱的通知。必須補救或緩解存取策略的違規時，系統會傳送此通知。.
[Account Creation Approval] — 將通知傳送給核准人，告知新帳號正在等待其核准。只要將相關角色的「佈建通知選項」設成核准，系統就會傳送此通知。
[Account Creation Notification] — 傳送已使用指定的特定角色建立帳號的通知。在 [Create Role」或 [Edit Role] 頁面的 [Notification recipients] 欄位中選取一或多位管理員時，系統將傳送此通知。
[Account Deletion Approval] — 向核准人傳送通知，告知使用者帳號刪除動作正在等待核准。在 [Create Role」或 [Edit Role] 頁面的 [Notification recipients] 欄位中選取一或多位管理員時，系統將傳送此通知。
[Account Deletion Notification] — 傳送已刪除帳號的通知。
[Account Update Notification] — 將已更新帳號的通知傳送至指定的電子郵件地址或使用者帳號。
[Password Reset] — 傳送重設 Identity Manager 密碼的通知。根據相關的 Identity Manager 策略所選的「重設通知選項] 值，系統會立即通知重設密碼的管理員 (在 Web 瀏覽器中)，或以電子郵件通知其密碼已重設的使用者。
[Password Synchronization Notice] — 通知使用者已在所有資源上成功完成密碼變更。通知會列出已成功更新的資源，並指出密碼變更請求的來源。
[Password Synchronization Failure Notice] — 通知使用者未在所有資源上成功完成密碼變更。通知會提供錯誤清單並指出密碼變更請求的來源。
[Policy Violation Notice] — 傳送發生帳號策略違規的通知。
[Reconcile Account Event]、[Reconcile Resource Event]、[Reconcile Summary] — 分別從 [Notify Reconcile Response]、[Notify Reconcile Start] 和 [Notify Reconcile Finish] 預設工作流程呼叫。通知將依照每個工作流程中的配置傳送。
[Report] — 將產生的報告傳送給指定收件者清單中的收件者。
[Request Resource] — 將已請求資源的通知傳送給資源管理員。當管理員從 [Resources] 區域中請求資源時，系統會傳送此通知。
[Retry Notification] — 傳送通知給管理員，說明對資源所進行的特定作業嘗試失敗達到指定的次數。
[Risk Analysis] — 傳送風險分析報告。將一或多名電子郵件收件人指定為資源掃描的部分時，系統將傳送此報告。
[Temporary Password Reset] — 將已向帳號提供臨時密碼的通知傳送給使用者或角色核准人。根據相關的 Identity Manager 策略所選的「密碼重設通知選項」值，系統會立即向使用者顯示通知 (在 Web 瀏覽器中)、以電子郵件通知使用者，或以電子郵件通知角色核准人。

編輯電子郵件範本

您可以自訂電子郵件範本以便為收件者提供特定的指導，告知其如何完成作業或如何查看結果。例如，您可能要自訂 [Account Creation Approval] 範本，以透過增加以下訊息來將核准人導向至帳號核准頁面：

請至 http://host.example.com:8080/idm/approval/approval.jsp，以核准為 $(fullname) 所建立的帳號。

若要自訂電子郵件範本，請將 [Account Creation Approval] 範本用做範例，並執行以下程序：

在功能表列中，選取 [Configure]。
在 [Configure] 頁面中，選取 [Email Templates]。
按一下以選取 [Account Creation Approval] 範本：

圖 4-11  編輯電子郵件範本



輸入範本的詳細資訊：
在 [SMTP Host] 欄位中，輸入 SMTP 伺服器名稱，以便傳送電子郵件通知。
在 [From] 欄位中，自訂來源電子郵件地址。
在 [To] 和 [Cc] 欄位中，指定將會接收電子郵件通知的一或多個電子郵件地址或 Identity Manager 帳號。
在 [Email Body] 欄位中，自訂內容以提供指向您的 Identity Manager 位置的指標。
按一下 [Save]。

您也可以使用 Identity Manager IDE 修改電子郵件範本。如需有關 IDE 的更多資訊，請參閱「Identity Manager Deployment Tools」。

電子郵件範本中的 HTML 和連結

您可以將 HTML 格式的內容插入電子郵件範本，以便在電子郵件訊息內文中顯示該內容。內容可包含文字、圖形和 Web 連結資訊。若要啟用 HTML 格式的內容，請選取 [HTML Enabled] 選項。

電子郵件內文中允許的變數

您也可以在電子郵件範本內文中包含變數參照，格式為 $(Name)；例如：您的密碼 $(password) 已復原。

下表中定義每個範本所允許的變數。

表 4-3  電子郵件範本變數

範本	允許的變數
密碼重設	$(password) — 最新產生的密碼
更新核准	$(fullname) — 使用者的完整名稱 $(role) — 使用者的角色
更新通知	$(fullname) — 使用者的完整名稱 $(role) — 使用者的角色
報告	$(report) — 產生的報告 $(id) — 作業實例的編碼 ID $(timestamp) — 傳送電子郵件的時間
請求資源	$(fullname) — 使用者的完整名稱 $(resource) — 資源類型
風險分析	$(report) — 風險分析報告
臨時密碼重設	$(password) — 最新產生的密碼 $(expiry) — 密碼過期日期

---

配置稽核群組和稽核事件

設定稽核配置群組可讓您記錄和報告您選取的系統事件。配置稽核群組和事件需要 [Configure Audit] 管理權能。

若要配置稽核配置群組，請從功能表列中選取 [Configure]，然後選取 [Audit]。

[Audit Configuration] 頁面會顯示稽核群組清單，這些群組均可能包含一個或多個事件。您可以針對各個群組記錄成功事件、失敗事件或兩者均記錄。

按一下清單中的稽核群組以顯示 [Edit Audit Configuration Group] 頁面。此頁可讓您選取要在系統稽核記錄中當作稽核配置群組的一部份來記錄的稽核事件類型。

檢查是否已選取 [Enable Audit] 核取方塊。取消選取該核取方塊可停用稽核系統。

編輯稽核配置群組中的事件

若要編輯群組中的事件，您可以新增或刪除某個物件類型的動作。若要執行此作業，請將該物件類型之 [Actions] 欄中的項目從 [Available] 區域移至 [Selected] 區域，然後按一下 [OK]。

新增事件到稽核配置群組

若要將事件增加到群組，請按一下 [New]。Identity Manager 會在頁面底部新增事件。從 [Object Type] 欄的清單中選取物件類型，然後將新物件類型的 [Actions] 欄中的一或多個項目從 [Available] 區域移至 [Selected] 區域。按一下 [OK] 可將事件增加到群組中。

---

Remedy 整合

您可以將 Identity Manager 與 Remedy 伺服器整合，使其根據指定的範本傳送 Remedy 票證。

在管理員介面的兩個區域中設定 Remedy 整合：

[Remedy server settings] — 透過從 [Resources] 區域建立 Remedy 資源來設定 Remedy 配置。在設定資源後，測試連線以確保啟用整合。
[Remedy template] — 在設定 Remedy 資源後，定義 Remedy 範本。若要執行此作業，請選取 [Configure]，然後選取 [Remedy Integration]。然後您將選取 Remedy 模式和資源。

Remedy 票證的建立透過 Identity Manager 工作流程進行配置。根據您的喜好設定，可以在適當的時間進行呼叫，此呼叫將使用定義的範本開啟 Remedy 票證。如需有關配置工作流程的更多資訊，請參閱「Identity Manager Workflows, Forms, and Views」。

---

配置 Identity Manager 伺服器設定

您可以編輯伺服器特定設定，好讓 Identity Manager 伺服器只執行特定的作業。若要執行此作業，請選取 [Configure]，然後選取 [Servers]。

若要編輯個別伺服器的設定，請選取 [Configure Servers] 頁面中清單內的伺服器。Identity Manager 會顯示 [Edit Server Settings] 頁面，在此您可以編輯調解器、排程程式、JMX 及其他設定。

調解器設定

依預設，調解器設定會顯示在 [Edit Server Settings] 頁面中。您可以接受預設值或透過取消選取 [Use default] 選項來指定值：

[Parallel Resource Limit] — 指定調解器可以同時處理的最大資源數目。
[Minimum Worker Threads] — 指定調解器會一直持續作用的處理執行緒數目。
[Maximum Worker Threads] — 指定調解器可以使用的最大處理執行緒數目。調解器只會啟動工作負荷量需要的執行緒數目；這將限制執行緒數目。

排程程式設定

按一下 [Edit Server Settings] 頁上的 [Scheduler] 可以顯示排程程式選項。您可以接受預設值或取消選取 [Use] 預設選項來指定設定值：

[Scheduler Startup] — 選取排程程式的啟動模式：
[Automatic] — 伺服器啟動時啟動。這是預設的啟動模式。
[Manual] — 伺服器啟動時啟動，但在手動啟動之前保持暫停狀態。
[Disabled] — 伺服器啟動時不啟動。
[Tracing Enabled] — 選取此選項即可啟動標準輸出的排程程式除錯追蹤。
[Maximum Concurrent Tasks] — 選取此選項可指定排程程式將在任何一個時間執行的作業最大數目 (預設除外)。超過此限制的附加作業請求將會延遲或在其他伺服器上執行。
[Task Restrictions] — 指定可以在伺服器上執行的作業組合。若要執行這個動作，請從可用作業清單中選取一項或多項作業。視您選取的選項而定，選取的作業清單可以是包含或排除清單。您可以選擇要允許清單中選取的作業以外的所有作業 (預設運作方式)，或只允許選取的作業。

按一下 [Save] 可儲存伺服器設定變更。

電子郵件範本伺服器設定

按一下 [Servers] 功能表中的 [Email Templates]，可以指定 [Default SMTP Server] 設定。

如果不使用預設，則可使用此選項，透過取消選取 [Use Default] 選項並輸入要使用的郵件伺服器，來指定預設電子郵件伺服器。您輸入的文字用於替代 [Email Templates] 中的 smtpHost 變數。

JMX

使用此設定可以啟用 JMX 叢集輪詢並配置輪詢執行緒的間隔。透過移至 Identity Manager 除錯頁面並按一下 [Show MBean Info] 按鈕，可以檢視已收集的 JMX 資料。

若要啟用 JMX 輪詢，請按一下 [Servers] 標籤上的 [JMX]，並選取以下選項：

[Enable JMX] — 使用此選項可啟用或停用 JMX 叢集 MBean 的輪詢執行緒。若要啟用 JMX，請清除預設選項 ([Use Default (false)])。

備註	因為將系統資源用於輪詢循環，所以請僅在您要使用 JMX 時啟用此選項。

[Polling Interval (ms)] — 啟用 JMX 後，使用此選項可變更伺服器輪詢儲存庫是否有變更的間隔。以毫秒為單位指定間隔。

預設論詢間隔為 60000 毫秒。若要對其進行變更，請取消核取此選項的核取方塊，並在提供的輸入欄位中輸入新值。

按一下 [Save] 可儲存伺服器設定變更。

編輯預設伺服器設定

預設伺服器設定功能可讓您為所有的 Identity Manager 伺服器設定預設設定。除非您在個別伺服器設定頁中選取不同選項，否則伺服器會繼承這些設定。若要編輯預設設定，請按一下 [Edit Default Server Settings]。[Default Server Settings] 頁面顯示與個別伺服器設定頁面一樣的選項。

您對每個預設伺服器設定所做的變更會傳遞至對應的個別伺服器設定，除非您取消選取該設定的 [Use] 預設選項。

按一下 [Save] 可儲存伺服器設定變更。

上一頁      目錄      索引      下一頁

---

文件號碼： 820-0141。   Copyright 2006 Sun Microsystems, Inc. 版權所有。