Sun Java System Identity Manager 7.0 管理指南 |
第 4 章
配置本章提供有關使用管理員介面設定 Identity Manager 物件和伺服器程序的資訊和程序。如需有關 Identity Manager 物件的更多資訊,請參閱簡介一章中的 Identity Manager 物件。
備註 如需有關為服務提供者實作配置 Identity Manager 的資訊,請參閱第 13 章「服務提供者管理」。
本章包含以下主題:
瞭解與管理角色請閱讀本節以瞭解有關在 Identity Manager 中設定角色的資訊。
角色是甚麼?
Identity Manager 角色可定義管理帳號之資源的集合。角色可讓您設定使用者的類別,將具有類似特性的 Identity Manager 使用者進行分組。
您可以指定每個使用者到一個或多個角色,或者不指定為任何角色。指定到一個角色的所有使用者會分享相同資源基礎群組的存取權。
與角色相關的所有資源均被間接指定給使用者。間接指定不同於直接指定,在直接指定中,資源是為使用者特別選取的。
建立或編輯角色時,Identity Manager 會啟動 ManageRole 工作流程。這個工作流程會在儲存庫中儲存新的或更新的角色,並讓您在建立或儲存角色之前插入核准或其他動作。
您可透過 [Administrator Interface] 的 [Create and Edit User] 頁面將角色指定給使用者。
建立角色
您可以使用以下任一方法建立角色:
- 從 Identity Manager 功能表列中,選取 [Roles]。
- 在 [Roles] 頁面中,按一下 [New]。
[Create Role] 頁面可讓您:
- 將資源和資源群組指定給角色。
- 選取角色核准人並進行通知選擇。
提示 若要瞭解有關核准程序的更多資訊,請參閱帳號核准。
- 排除角色。這表示如果將此角色指定給一個使用者,則排除的角色可能也不會被指定。
- 選取可將此角色指定到的組織。
- 編輯指定給角色之資源的屬性值。
編輯指定的資源屬性值
在 [Create Role] 頁面上的 [Assigned Resources] 區域按一下 [Set Attribute Values] 可顯示指定給角色的每一資源的屬性清單。在此 [Edit] 屬性頁面中,您可以指定每個屬性的新值並決定如何設定屬性值。Identity Manager 可讓您直接設定值或使用規則設定值,也提供置換或合併現有值的一組選項。
選取用於建立各資源帳號屬性值的選項:
- [Value override] — 選取以下某個選項:
- [How to set] — 選取以下任一選項:
- [Default value] — 將規則或文字設定為預設屬性值。使用者可以變更或置換該值。
- [Set to value] — 依規則或文字所指定的方式設定屬性值。系統將設定值,並置換使用者所做的任何變更。
- [Merge with value] — 將目前的屬性值與規則或文字所指定的值合併。
- [Merge with value, clear existing] — 移除目前的屬性值,並將值設定為此角色和其他指定角色所指定值的合併值。
- [Remove from value] — 移除屬性值中由規則或文字所指定的值。
- [Authoritative set to value] — 依規則或文字所指定的方式設定屬性值。系統將設定值,並置換使用者所做的任何變更。如果移除角色,則新屬性值會是空值,即使該屬性先前具有相應值。
- [Authoritative merge with value] — 將目前的屬性值與規則或文字所指定的值合併。如果移除角色,則新屬性值會是空值,即使該屬性先前具有相應值。
- [Rule Name] — 如果您在 [Value override] 區域中選取 [Rule],請從清單中選取規則。
- [Text] — 如果您在 [Value override] 區域中選取 [Text],請輸入要增加至屬性值、自屬性值中刪除或做為屬性值的文字。
按一下 [OK] 儲存變更,並返回 [Create Role] 或 [Edit Role] 頁面。
管理角色
您可以對 [Roles] 頁面上角色清單中的角色執行一系列動作。
如果您選取多個搜尋類型,則搜尋必須符合所有指定條件才能順利傳回結果。搜尋並不區分大小寫。
重新命名角色
若要重新命名角色,請執行以下步驟:
同步化 Identity Manager 角色和資源角色
您可以將 Identity Manager 角色與原本在資源中建立的角色同步化。依照預設,在進行同步時,資源將被指定給角色。角色可以是作業所建立的角色,也可以是符合其中一個資源角色名稱的現有 Identity Manager 角色。
在功能表列中,選取 [Tasks],然後選取 [Run Tasks] 標籤,以存取 [Synchronize Identity System Roles with Resource Roles] 作業頁面。若要啟動作業,請指定同步化作業的名稱、資源、要使用的資源角色屬性以及將套用角色的組織,然後按一下 [Launch]。
配置 Identity Manager 資源請閱讀本節以獲得協助您設定 Identity Manager 資源的資訊和程序。
甚麼是資源?
Identity Manager 資源儲存有關如何連結到建立帳戶之資源或系統的資訊。Identity Manager 資源定義關於資源的相關屬性並協助指定資源資訊在 Identity Manager 中如何顯示。
Identity Manager 提供廣泛資源類型的資源,包括:
介面中的 [資源] 區域
Identity Manager 顯示關於 [Resources] 頁中現有資源的資訊。
若要存取資源,請選取功能表列上的 [Resources]。
資源依照類型分組,在清單中以命名的資料夾表示。若要展開階層式視圖並查看目前定義的資源,請按一下資料夾旁邊的指示器。再次按一下該指示器可以摺疊此視圖。
當您展開資源類型資料夾時,它會動態更新並顯示其包含的資源物件數目 (如果它是支援群組的資源類型)。
有些資源具有其他您可以管理的物件,包括:
從資源清單中選取一個物件,然後從以下選項清單之一中進行選取以啟動管理作業:
建立或編輯資源時,Identity Manager 會啟動 ManageResource 工作流程。這個工作流程會在儲存庫中儲存新的或更新的資源,並讓您在建立或儲存資源之前插入核准或其他動作。
管理資源清單
您可以從清單中選取要建立的資源,該清單透過管理員介面的 [Resources] 標籤進行管理。從 [Resource Type Actions] 選項清單中選取 [Configure Managed Resources],來選擇要寫入資源清單的資源。
在 [Managed Resources] 頁面中,Identity Manager 將資源劃分為兩類:
若要增加自訂資源,請:
表 4-1 列出了自訂資源類別。
建立資源
您可使用資源精靈建立資源。資源精靈會指導您完成建立 Identity Manager 資源配接卡的過程,然後您就可以使用該配接卡來管理資源中的物件。
使用此「資源精靈」可設定下列項目:
若要建立資源,請:
- 從 [Resource Type Actions] 選項清單中選取 [New Resource]。
Identity Manager 顯示 [New Resource] 頁面。
- 選取資源類型,然後按一下 [New] 以顯示 [Resource Wizard Welcome] 頁面。
備註 或者,也可以從資源清單中選取資源類型,然後再從 [Resource Type Actions] 清單中選取 [New Resource]。在此情況下,Identity Manager 不會顯示 [New Resource] 頁面,而是立即啟動資源精靈。
- 按 [Next] 開始定義資源。資源精靈的步驟和頁面以如下順序顯示:
- [Resource Parameters] — 設定用於控制認證和資源配接卡運作方式的資源特定參數。輸入參數,然後按一下 [Test Connection] 來確保連線有效。確認後,按 [Next] 以設定帳號屬性。圖 4-1 顯示了 [Resource Parameters] 頁面。
圖 4-1 資源精靈:資源參數
- [Account Attributes (Schema Map)] — 將 Identity Manager 帳號屬性對映到資源帳號屬性。
若要新增屬性,按一下 [Add Attribute]。選取一個或多個屬性,然後按一下[Delete Selected Attributes]從模式對映中刪除屬性。完成後,按 [Next] 設定身份識別範本。
圖 4-2 顯示了資源精靈中的 [Account Attributes] 頁面。
圖 4-2 資源精靈:帳號屬性 (模式對映)
- [Identity System Parameters] — 設定資源的 Identity Manager 參數,包括重試和策略配置,如圖 4-4 所示。
圖 4-4 資源精靈:Identity 系統參數
使用 [Next] 和 [Back] 在頁面中移動。當您完成所有選項後,請按一下 [Save] 來儲存資源並回到清單頁。
管理資源
您可以對資源清單中的資源執行一系列編輯動作。除了在每一 [Resource Wizard] 頁上的編輯權限外,您還可以:
- 刪除資源 — 選取一個或多個資源,然後從 [Resource Actions] 清單中選取 [Delete]。同時您可以選取多種類型的資源。如果有任何角色或資源群組跟資源相關聯,則無法刪除該資源。
- 搜尋資源物件 — 選取資源,然後從 [Resource Object Actions] 清單中選取 [Find Resource Object],以按照物件特性尋找資源物件 (例如組織、組織單位、群組或人員)。
- 管理資源物件 — 對於某些資源類型,您可以建立新的物件。選取資源,然後從 [Resource Object Actions] 清單中選取 [Create Resource Object]。
- 重新命名資源 — 選取資源,然後從 [Resource Actions] 清單中選取 [Rename]。在出現的輸入方塊中輸入新名稱,然後按一下 [Rename]。
- 複製資源 — 選取資源,然後從 [Resource Actions] 清單中選取 [Save As]。在出現的輸入方塊中輸入新的名稱。複製資源會以您選取的名稱出現在資源清單中。
- 對資源執行批次處理作業 — 指定資源和動作清單,以套用 (從 CSV 格式的輸入) 至清單中的所有資源。然後啟動批次作業,以啟動批次處理作業背景作業。
使用帳號屬性
Identity Manager 資源使用模式對映定義來自外部資源 (資源帳號屬性) 的屬性名稱和類型;然後它們會將這些屬性對映到標準的 Identity Manager 帳號屬性。透過設定模式對映 (在 [Resource Wizard] 的 [Account Attributes] 頁中),您可以:
若要存取這些值,請從資源清單中選取資源,然後從 [Resource Actions] 清單中選取 [Edit Resource Schema]。
模式對映的左欄 (標題為 [Identity system User Attribute]) 包含 Identity Manager 帳號屬性的名稱,這些屬性由 Identity Manager 管理員和使用者介面中所使用的表單參照。模式對映 (標題為「資源使用者屬性」) 的右欄包含來自外部來源的屬性名稱。
透過定義 Identity 系統屬性名稱,可以使用共用名稱定義來自不同資源的屬性。例如,在 Active Directory 資源上,Identity Manager 中的 lastname 屬性對映至 Active Directory 資源屬性 sn;在 GroupWise 上,fullname 屬性可以對映至 GroupWise 屬性 Surname。因此,要求管理員只用一次完成 lastname 的值;當儲存使用者以後,會以不同的名稱將其傳送到資源。
資源群組
同樣使用資源區來管理資源群組,這可讓您對資源進行分組以按特定順序更新這些資源。在群組中加入及排序資源並將該群組指定給某個使用者,即可確定該使用者之資源的建立、更新和刪除順序。
依次對每個資源執行動作。如果對某一資源執行的動作失敗,則不會更新其餘資源。這種類型的關係對相關資源很重要。
例如,一個 Exchange 5.5 資源依賴現有的 Windows NT 或 Windows Active Directory 帳號:在成功建立 Exchange 帳號前,必須存在這些項目其中之一。在以 (依序) Windows NT 資源和 Exchange 5.5 資源建立資源群組後,您需要在建立使用者時確保正確的序列。反之,此順序也確保您在刪除使用者時以正確的序列刪除資源。
選取 [Resources],然後選取 [List Resource Groups] 以顯示目前定義的資源群組之清單。在該頁中,按一下 [New] 定義資源群組。在定義資源群組時,選項區可讓您選擇並排序選取的資源,以及選取可使用該資源群組的組織。
全域資源策略
您可以在 [Global Resource Policy] 中編輯資源的特性。在 [Edit Global Resource Policy Attributes] 頁面中,您可以編輯以下策略屬性:
- [Default Wait for Timeout] — 輸入一個值 (以毫秒為單位),以指定在輪詢之間檢查指令是否具有就緒字元 (或結果) 之前,程序檔配接卡應等待的最長時間。此值僅適用於 GenericScriptResourceAdapter 或 ShellScriptSourceBase 配接卡。當配接卡不檢查指令或程序檔結果時,請使用此設定。
- [Wait for Ignore Case] — 輸入一個值 (以毫秒為單位),以指定在逾時之前配接卡應等待指令行提示的最長時間。此值僅適用於 GenericScriptResourceAdapter 或 ShellScriptSourceBase 配接卡。當不區分大小寫 (大寫或小寫) 時,請使用此設定。
- [Resource Account Password Policy] — 請選取要套用至所選資源的資源帳號密碼策略 (如果適用)。預設選項為 [None]。
- [Excluded Resource Accounts Rule] — 請選取管理已排除資源帳號的規則 (如果適用)。預設選項為 [None]。
您必須按一下 [Save] 才能儲存對策略所做的變更。
設定其他逾時值
您可以編輯 Waveset 特性檔案,以修改 maxWaitMilliseconds 特性。maxWaitMilliseconds 特性可控制監視作業逾時的頻率。如果未指定該值,系統將使用預設值 50。
若要設定該值,請將以下內容增加到 Waveset 特性檔案中:
com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.
批次處理資源動作
您可以透過使用 CSV 格式的檔案或透過建立或指定作業要套用的資料,在資源上執行批次處理作業。
圖 4-5 顯示了使用建立動作的批次處理作業的啟動頁面。
圖 4-5 啟動批次處理資源動作頁面
批次處理資源作業的可用選項取決於您選取的作業動作。您可以指定要套用至作業的單一動作,或選取 [From Action List] 以指定多個動作。
按一下 [Launch] 可以啟動作業,其將做為背景作業執行。
Identity Manager 變更記錄檔請閱讀本節,以取得有關 Identity Manager 變更記錄檔功能的資訊,和有助於配置並使用變更記錄檔的程序。
什麼是變更記錄檔?
可以在變更記錄檔中檢視 Identity Manager 資源包含的身份識別屬性資訊。將每個變更記錄檔定義為擷取身份識別屬性某個子集的變更。
資源上的屬性資料變更後,Active Sync 配接卡會擷取該資訊,然後將變更寫入變更記錄檔。自訂程序檔是專門開發用來與企業中的資源互動,然後讀取變更記錄檔並更新資源。
變更記錄檔功能與 Identity Manager 之標準資源使用中的同步化和調解功能不同,因為它與佈建系統資源間接通訊 (透過自訂程序檔)。
變更記錄檔與安全性
Identity Manager 的變更記錄檔功能需要具有寫入本機檔案系統中指定目錄的權限。依預設,某些 Web 容器不允許本機檔案系統存取託管的 Web 模組 (如 Identity Manager)。
透過編輯 Java 策略檔案,您可以取得存取授權。若將 /tmp/changelogs 做為目錄,則策略檔案應包含:
grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};您必須為每個指定的變更記錄檔目錄定義一個檔案權限。
Java 的預設安全策略檔案位於:
$JAVA_HOME/jre/lib/security/java.policy
編輯此檔案即可;但如果您使用自己的檔案 (非預設檔案),則伺服器將執行以下選項:
-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy
在此情況下,請編輯由 java.security.policy 系統特性識別的檔案。
變更記錄檔功能的需求
變更記錄檔功能需要您配置身份識別屬性,然後才能配置變更記錄檔。
備註 請完成配置身份識別屬性和事件小節中說明的程序,以滿足這些需求。
配置變更記錄檔
透過建立變更記錄檔策略與變更記錄檔,配置變更記錄檔。每個變更記錄檔必須具有一個關聯的變更記錄檔策略。變更記錄檔定義應將哪些變更子集 (由 Active Sync 偵測並透過身份識別屬性推入) 寫入記錄中。其關聯的變更記錄檔策略定義寫入變更記錄檔的方式。變更記錄檔將被自訂程序檔消耗。
若要配置變更記錄檔和變更記錄檔策略,請選取 [Meta View],然後選取 [ChangeLogs]。
Identity Manager 會顯示 [ChangeLog Configuration] 頁面,其中顯示兩個摘要區域。
圖 4-6 變更記錄檔配置
變更記錄檔策略摘要
變更記錄檔策略摘要區域顯示目前定義的變更記錄檔策略。若要編輯現有的變更記錄檔策略,請按一下清單中該策略的名稱。若要建立變更記錄檔策略,請按一下 [Create Policy]。
若要移除一個或多個變更記錄檔策略,請從清單中選取它們,然後按一下 [Remove Policy]。(不需要確認此動作。)
變更記錄檔摘要
變更記錄檔摘要區域顯示目前定義的變更記錄檔。若要編輯現有的變更記錄檔,請按一下清單中該變更記錄檔的名稱。若要建立變更記錄檔,請按一下 [Create ChangeLog]。
若要移除一個或多個變更記錄檔,請從清單中選取它們,然後按一下 [Remove ChangeLog]。(不需要確認此動作。)
儲存變更記錄檔配置變更
您對變更記錄檔配置 (無論是變更記錄檔策略還是定義的變更記錄檔) 做出任何變更之後,必須從 [ChangeLog Configuration] 頁面儲存這些變更。按一下 [Save] 以儲存變更並返回至 [Meta View]。
建立和編輯變更記錄檔策略
在 [Edit ChangeLog Policy] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔策略:
- [Number of Rotations to Keep] — 指定允許累計的週轉次數,超過此次數 Identity Manager 將刪除週轉。例如,如果您現在每天執行 3 次週轉,並要在記錄中保留 2 天的變更,則指定值 6。
- [Maximum File Size in Bytes] — 如果向目前的檔案寫入變更後將超過此限制,則將啟動新記錄檔 (具有相同的自動重建前綴,但具有新的序列號)。值 0 表示不使用此限制。會使用所有值為非零的限制欄位 (大小、行數、時間);但是,會在檢查其他限制之前檢查該限制。
- [Maximum File Size in Lines] — 如果寫入變更將導致目前檔案的行數超出此限制,則會建立新的序列檔案,且將行寫入新檔案。值 0 表示無限制。會在檢查大小限制之後、檢查時間限制之前檢查此限制。
- [Maximum File Age in Seconds] — 如果收到變更,且現有的序列檔案的存在時間已經超過此處指定的秒數,則會在寫入變更之前建立新的序列檔案。值 0 表示不使用此限制。其他限制如果為非零,會在該值之前套用。
按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK],才能將新的變更記錄檔策略或變更儲存至現有的策略。
建立和編輯變更記錄檔
在 [Edit ChangeLogs] 頁面上提供輸入並進行選取,以建立或編輯變更記錄檔:
- [ChangeLog Name] — 為變更記錄檔輸入唯一的名稱。
- [Active] — 如果您選取此選項,則變更記錄檔將在變更經過 Active Sync 資源並進入身份識別屬性時監視並寫入變更 (Active Sync 必須為身份識別屬性應用程式,才能實現此作業)。
- [Filter] — 輸入要使用的變更記錄檔篩選器的名稱。Noop 表示使用預設篩選器,此篩選器可接受所有變更。對於大多數情況,選取該篩選器即可。若不使用預設篩選器,則必須命名一個實作 com.sun.idm.changelog.ChangeLogFilter 的 Java 類別。此類別必須在伺服器的類別路徑中,且必須具有公用預設建構子。
- [Log these Operations] — 記錄所選類型的事件,包括 [Create]、[Update] 與 [Delete]。忽略未選取的事件。
- [ChangeLog View] — 使用此表格可定義變更記錄檔的內容 (欄)。每個表格列指定變更記錄檔中的一欄。按一下 [Add Column] 可增加變更記錄檔欄。每個欄都有名稱、類型與身份識別屬性名稱。列的順序表示欄的順序。定義欄之後,使用 [Up] 與 [Down] 按鈕對欄進行排序。
- [Use the Policy Named] — 從清單中選取已定義的變更記錄檔策略以用於記錄。
- [Output Path] — 輸入檔案系統上將包含該記錄檔的目錄名稱。此路徑可以是網路掛載的位置;但最好使用伺服器本機上的目錄。同樣也建議每個變更記錄檔使用唯一的位置。
- [Suffix] — 為變更記錄檔輸入後綴 (例如,.csv)。選取的後綴可以用來區別這些檔案與其他的變更記錄檔。
按一下 [OK] 返回至 [ChangeLog Configuration] 頁面。您必須從配置頁面按一下 [OK],才能將新的變更記錄檔或變更儲存至現有的變更記錄檔。
範例
以下範例詳細說明了如何設定身份識別屬性與變更記錄檔,以擷取特定屬性資料集。
範例:定義身份識別屬性
在此範例中,兩個 Identity Manager 資源 (資源 1 與資源 2) 向第三個資源 (資源 3) 提供來源資料。資源 3 不直接連接至 Identity Manager 系統。需要變更記錄檔來從資源 1 和資源 2 提取資料子集並保留到資源 3 中。
資源 1:EmployeeInfo
employeeNumber*
givenname
mi
surname
phone資源 2:OrgInfo
employeeNum*
managerEmpNum
departmentNumber資源 3:PhoneList
empId*
fullname
phone
department
下表中定義了身份識別屬性。
範例:配置變更記錄檔
定義身份識別屬性後,定義稱為 PhoneList ChangeLog 的變更記錄檔。目的是將身份識別屬性的子集寫入變更記錄檔。
PhoneList ChangeLog 中的變更記錄檔視圖
當資源 1 或資源 2 中的記錄發生變更之後,變更記錄檔記錄 (來自身份識別屬性的所有資料) 的資料全集 (不僅是變更) 將寫入變更記錄檔。自訂程序檔會讀取該資訊並將其寫入資源 3。
變更記錄檔中的 CSV 檔案格式
請閱讀本節,以取得有關由變更記錄檔寫入的逗號分隔值 (CSV) 檔案的格式之資訊。
想像一下列與欄格式的變更記錄檔,例如試算表或資料庫表格。每「列」為檔案中的每行。
變更記錄檔格式使用前兩列來進行自我說明。這兩列可一併用於定義「模式」;亦即表格中每個「儲存格」( 列上逗號之間的值) 的邏輯名稱與邏輯類型。
第一列命名檔案中的屬性。第二列說明屬性值的類型。其他列表示變更事件的所有資料。
變更記錄檔以 Java UTF-8 格式進行編碼。
欄
檔案中的第一欄具有特殊的重要性。它會定義作業類型,例如,變更事件是否為建立、修改或刪除動作。其名稱永遠為 changeType,類型永遠為 T (表示文字)。其值為以下值之一:ADD、MOD 或 DEL。
每一欄應該準確具有一個唯一的項目識別碼 (主鍵)。一般為檔案中的第二欄。
其他欄僅命名屬性。名稱來自於 [ChangeLog View] 表格中的 [Column Name] 值。
列
在定義檔案模式的前兩個標頭列之後,剩餘的列為屬性的值。值以第一列中欄位的順序顯示。變更記錄檔套用自身份識別屬性,因此包含偵測到變更時所有已知的使用者資料。
而且,沒有表示空 (或未設定) 的特殊指示值。如果偵測到變更時,而值不存在,則變更記錄檔會寫入空字串。
根據檔案第二列指定的欄類型,對值進行編碼。支援的類型如下:
文字值
文字值寫入為字串,但有兩種例外:
文字值不能包含換行字元。如果檔案需要換行,則請使用二進位值類型。
二進位值
二進位值以 Base64 進行編碼。
多文字值
多文字值與文字值的寫入方式相似,但用逗號分隔並使用 [ 與 ] 括起來。
多進位值
多進位值與二進位值寫入方式相似 (以 Base64 編碼),但也用逗號分隔並使用 [ 與 ] 括住。
格式範例
以下範例說明各種輸出格式。每個範例均遵循以下格式:
column1, column2, column3, column4
每個範例的欄 3 均顯示範例文字。
變更記錄檔名稱
檔案名稱遵循以下格式:
servername_User_timestamp.sequenceNumber.suffix
其中:
配置週轉與序列
這些可在變更記錄檔策略物件中定義,並從變更記錄檔參考。
範例
如果某策略將自動重建定義為:
則將產生與如下類似的檔案名稱。(在其中每個週轉中,均有兩個序列檔案。)
myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csvmyServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv1 月 1 日顯示 3 個週轉,間隔 8 小時,開始於 07:00:00。1 月 2 日 與之類似;僅對應於日期 (20060102) 的名稱部分有所不同。
寫入變更記錄檔程序檔
請閱讀本節,以取得有關變更記錄檔程序檔寫入器有用的資訊。
配置身份識別屬性和事件您可以使用管理員介面的 [Meta View] 區域配置身份識別屬性和事件。請使用以下小節中的資訊和程序配置 Identity Manager 身份識別屬性和身份識別事件,以及選取將套用這些屬性和事件的 Identity Manager 系統應用程式。
處理身份識別屬性
若要配置身份識別屬性,請選取 [MetaView],然後選取 [Identity Attributes]。螢幕將顯示 [Identity Attributes] 頁面。下圖為此頁面的一個範例。
圖 4-7 在 [Meta View] 中配置 [Identity Attributes]
若要增加身份識別屬性,請按一下 [Add Attribute]。增加至清單後,透過在清單中按一下身份識別屬性名稱來編輯該屬性。若要移除一個或多個身份識別屬性,請選取要移除的屬性,然後按一下 [Remove Selected Attributes]。
您可以選取一個或多個要增加到屬性中或要從其中移除的回應。
您必須按一下 [Save],才能執行該動作。
如果自從您上次修改身份識別屬性以後,資源已發生變更,則 [Identity Attributes] 頁面將顯示以下警告訊息 (圖 4-8)。按一下警告訊息中的 [Configure the Identity Attributes from resource changes] 以同化變更。
圖 4-8
[Resources Have Changed] 警告訊息
密碼
Active Sync 配置為在一個或多個資源上建立使用者。Identity Manager 使用者需要在建立時指定一個密碼,但大多數資源出於安全性原因不允許讀取密碼。如果密碼產生尚未設定,請按一下 [Configure password generation]。
選取如何在身份識別使用者和透過 Active Sync 建立的其他資源帳號上設定密碼:
- [Use default password] — 選取此選項,然後輸入一個密碼。password.password 身份識別屬性將從此值設定使用者密碼。
- [Use rule to generate password] — 選取此選項可選取密碼產生要使用的規則。password.password 身份識別屬性使用所選的規則來產生密碼。
- [Use Identity System Account Policy password generation] — 選取此選項可以選取密碼產生要使用的策略。選取此選項會將 waveset.assignedLhPolicy 身份識別屬性設定為所選的策略。如果所選的策略未配置為產生密碼,並且您具有建立和修改策略所需的權限,則頁面會重新顯示其他選項,可以讓您建立策略副本或修改現有策略。
選取應用程式
使用 [Enabled Applications] 區域來選取將套用身份識別屬性的 Identity 系統應用程式。從 [Available applications] 區域中選取一個或多個應用程式,然後將它們移至 [Enabled applications] 區域。您必須按一下 [Save],才能執行該動作。
備註 若要使用變更記錄檔功能,您必須啟用 Active Sync 應用程式。如需更多資訊,請參閱 Active Sync 配接卡。
增加和編輯身份識別屬性
從 [Add Identity Attributes] 或 [Edit Identity Attributes] 頁面,請進行以下這些選取以增加或編輯身份識別屬性:
- [Attribute Properties] — 使用此區域可指定身份識別屬性的特性設定。
- [Targets] — 選取應該設定該身份識別屬性的目標資源。如果未定義目標,請按一下 [Add Target]。若要從清單中移除目標,請選取該目標,然後按一下 [Remove Selected Targets]。
增加目標資源
如果身份識別屬性僅用於變更記錄檔,則不必為身份識別屬性設定目標。例如,如果您要使用變更記錄檔,還要使用標準的「輸入表單」推入資料 (透過 Active Sync),則您可以這樣做。如果沒有目標,則 [MetaView] 將僅評估身份識別屬性的值;而不會在其他任何資源上設定這些屬性。
進行選取以增加應該設定身份識別屬性的目標資源:
移除目標資源
若要移除一個或多個目標資源,請從清單中選取它們,然後按一下 [Remove Selected Targets]。
匯入身份識別屬性
使用匯入身份識別屬性功能,您可以選取一個或多個表單來匯入並寫入身份識別屬性值。Identity Manager 將分析匯入的表單值並對身份識別屬性進行「最佳猜測」;但是在匯入後編輯身份識別屬性是必要的。
進行這些匯入選取:
配置身份識別事件
您還可以配置由 Identity Manager 管理之資源的身份識別事件,以定義發生在這些資源上之事件的運作方式。身份識別事件中定義的運作方式在 Active Sync 期間用於確定事件的發生時間,並採取適當的動作回應該事件。
例如,您可以將身份識別事件配置為在您的授權人力資源 (HR) 系統 (可觸發要刪除的身份識別使用者和其他所有資源帳號) 上偵測並回應刪除。
若要配置身份識別事件,請選取 [MetaView],然後選取 [Identity Events] 標籤。在 [Identity Events] 頁面中,按一下 [Add Event] 並指定事件類型。您也可以透過選取 [Identity Events] 頁面中的事件並指定以下選項,來編輯身份識別事件。
- [Event Type] — 選取 [Delete]、[Enable] 或 [Disable] 可以指定您要配置的身份識別事件類型。
- [Sources] — 選取將套用身份識別事件的資源 (例如,AD 表示 Active Directory)。如果資源需要事件偵測規則以偵測事件並對事件做出回應 (因為其不具有本機支援),請在 [determined by] 欄位中選取規則。您可以增加和移除資源。
- [Responses] — 從 [Responses] 清單中選取回應,或按一下 [Responses] 可以增加回應 (如果未定義任何回應)。若要從選項清單中移除某回應,請選取該回應,然後按一下 [Remove Selected Responses]。
完成選取後請按一下 [OK]。
配置 Identity Manager 策略請閱讀本小節以取得有關配置使用者策略的資訊和程序。
什麼是策略?
藉由建立 Identity Manager 帳戶 ID、登入和密碼特性的限制條件,Identity Manager 策略可設定 Identity Manager 使用者的限制。
備註 Identity Manager 還提供了專門用於稽核使用者規範遵循的稽核策略。第 11 章「身份識別稽核」中論述了稽核策略。
您可以在 [Policies] 頁面中建立並編輯 Identity Manager 使用者策略。在功能表列中,選取 [Security],然後選取 [Policies]。在顯示的清單頁中,可以編輯現有策略並建立新策略。
策略可分為以下類型:
- Identity 系統帳號策略 — 建立使用者、密碼和認證策略選項及限制條件。透過 [Create Organization]、[Edit Organization]、[Create User] 和 [Edit User] 頁面,您可將 Identity 系統帳號策略 (如圖 4-9 所示) 指定給組織或使用者。
圖 4-9 Identity Manager 策略
- [SPE System Account policies] — 此策略類型用於在服務提供者實作中為服務提供者使用者建立使用者、密碼和認證策略選項與限制。透過 [Create Organization]、[Edit Organization]、[Create SPE User] 和 [Edit SPE User] 頁面,您可將這些策略指定給組織或使用者。
- [String Quality Policies] — 字串品質策略包括策略類型 (例如密碼、帳號 ID 和認證),並可設定長度規則、字元類型規則和允許的文字與屬性值。此類型的策略繫結到每個 Identity Manager 資源,並在每個資源頁面中設定。圖 4-10 提供了一個範例。
圖 4-10 建立/編輯密碼策略
策略中的「不得包含」屬性
您可以在 UserUIConfig 配置物件中變更允許的「不得包含」屬性集。UserUIConfig 中列出了這些屬性,如下所示:
字典策略
字典策略可使 Identity Manager 根據文字資料庫來檢查密碼,以確保它們不會遭受簡單的字典攻擊。Identity Manager 可搭配使用此策略與其他策略設定來強制限定密碼的長度及結構,讓攻擊者難以使用字典來猜測系統所產生或變更的密碼。
字典策略可擴充密碼排除清單,您可以使用策略來設定該清單。(您可使用 [Administrator Interface] 密碼 [Edit Policy] 頁中的 [Not Contain Words] 選項來執行這份清單。)
配置字典策略
若要設定字典策略,您必須:
請遵循下列步驟:
- 在功能表列中,選取 [Configure],然後選取 [Policies]。
- 按一下 [Configure Dictionary] 顯示 [Dictionary Configuration] 頁。
- 選取並輸入資料庫資訊:
- [Driver Class] — 輸入與資料庫進行互動時要使用的 JDBC 驅動程式類別。
- [Database Name] — 輸入要載入字典的資料庫名稱。
- [Dictionary Filename] — 輸入載入字典時要使用的檔案名稱。
- 按一下 [Test] 可測試資料庫連線。
- 如果連線測試成功,請按一下 [Load Words] 載入字典。載入作業可能得花費幾分鐘才能完成。
- 按一下 [Test] 可確認字典已正確載入。
執行字典策略
從 Identity Manager 策略區執行字典策略。在 [Policies] 頁面中,按一下以編輯密碼策略。在 [Edit Policy] 頁面中,選取 [Check passwords against dictionary words] 選項。執行之後,將根據字典來檢查所有變更和產生的密碼。
自訂電子郵件範本Identity Manager 使用電子郵件範本傳送動作的資訊和請求給使用者和核准人。系統包括以下各項的範本:
- [Access Review Notice] — 傳送使用者的存取權限需要加以檢閱的通知。必須補救或緩解存取策略的違規時,系統會傳送此通知。.
- [Account Creation Approval] — 將通知傳送給核准人,告知新帳號正在等待其核准。只要將相關角色的「佈建通知選項」設成核准,系統就會傳送此通知。
- [Account Creation Notification] — 傳送已使用指定的特定角色建立帳號的通知。在 [Create Role」或 [Edit Role] 頁面的 [Notification recipients] 欄位中選取一或多位管理員時,系統將傳送此通知。
- [Account Deletion Approval] — 向核准人傳送通知,告知使用者帳號刪除動作正在等待核准。在 [Create Role」或 [Edit Role] 頁面的 [Notification recipients] 欄位中選取一或多位管理員時,系統將傳送此通知。
- [Account Deletion Notification] — 傳送已刪除帳號的通知。
- [Account Update Notification] — 將已更新帳號的通知傳送至指定的電子郵件地址或使用者帳號。
- [Password Reset] — 傳送重設 Identity Manager 密碼的通知。根據相關的 Identity Manager 策略所選的「重設通知選項] 值,系統會立即通知重設密碼的管理員 (在 Web 瀏覽器中),或以電子郵件通知其密碼已重設的使用者。
- [Password Synchronization Notice] — 通知使用者已在所有資源上成功完成密碼變更。通知會列出已成功更新的資源,並指出密碼變更請求的來源。
- [Password Synchronization Failure Notice] — 通知使用者未在所有資源上成功完成密碼變更。通知會提供錯誤清單並指出密碼變更請求的來源。
- [Policy Violation Notice] — 傳送發生帳號策略違規的通知。
- [Reconcile Account Event]、[Reconcile Resource Event]、[Reconcile Summary] — 分別從 [Notify Reconcile Response]、[Notify Reconcile Start] 和 [Notify Reconcile Finish] 預設工作流程呼叫。通知將依照每個工作流程中的配置傳送。
- [Report] — 將產生的報告傳送給指定收件者清單中的收件者。
- [Request Resource] — 將已請求資源的通知傳送給資源管理員。當管理員從 [Resources] 區域中請求資源時,系統會傳送此通知。
- [Retry Notification] — 傳送通知給管理員,說明對資源所進行的特定作業嘗試失敗達到指定的次數。
- [Risk Analysis] — 傳送風險分析報告。將一或多名電子郵件收件人指定為資源掃描的部分時,系統將傳送此報告。
- [Temporary Password Reset] — 將已向帳號提供臨時密碼的通知傳送給使用者或角色核准人。根據相關的 Identity Manager 策略所選的「密碼重設通知選項」值,系統會立即向使用者顯示通知 (在 Web 瀏覽器中)、以電子郵件通知使用者,或以電子郵件通知角色核准人。
編輯電子郵件範本
您可以自訂電子郵件範本以便為收件者提供特定的指導,告知其如何完成作業或如何查看結果。例如,您可能要自訂 [Account Creation Approval] 範本,以透過增加以下訊息來將核准人導向至帳號核准頁面:
請至 http://host.example.com:8080/idm/approval/approval.jsp,以核准為 $(fullname) 所建立的帳號。
若要自訂電子郵件範本,請將 [Account Creation Approval] 範本用做範例,並執行以下程序:
您也可以使用 Identity Manager IDE 修改電子郵件範本。如需有關 IDE 的更多資訊,請參閱「Identity Manager Deployment Tools」。
電子郵件範本中的 HTML 和連結
您可以將 HTML 格式的內容插入電子郵件範本,以便在電子郵件訊息內文中顯示該內容。內容可包含文字、圖形和 Web 連結資訊。若要啟用 HTML 格式的內容,請選取 [HTML Enabled] 選項。
電子郵件內文中允許的變數
您也可以在電子郵件範本內文中包含變數參照,格式為 $(Name);例如:您的密碼 $(password) 已復原。
下表中定義每個範本所允許的變數。
配置稽核群組和稽核事件設定稽核配置群組可讓您記錄和報告您選取的系統事件。配置稽核群組和事件需要 [Configure Audit] 管理權能。
若要配置稽核配置群組,請從功能表列中選取 [Configure],然後選取 [Audit]。
[Audit Configuration] 頁面會顯示稽核群組清單,這些群組均可能包含一個或多個事件。您可以針對各個群組記錄成功事件、失敗事件或兩者均記錄。
按一下清單中的稽核群組以顯示 [Edit Audit Configuration Group] 頁面。此頁可讓您選取要在系統稽核記錄中當作稽核配置群組的一部份來記錄的稽核事件類型。
檢查是否已選取 [Enable Audit] 核取方塊。取消選取該核取方塊可停用稽核系統。
編輯稽核配置群組中的事件
若要編輯群組中的事件,您可以新增或刪除某個物件類型的動作。若要執行此作業,請將該物件類型之 [Actions] 欄中的項目從 [Available] 區域移至 [Selected] 區域,然後按一下 [OK]。
新增事件到稽核配置群組
若要將事件增加到群組,請按一下 [New]。Identity Manager 會在頁面底部新增事件。從 [Object Type] 欄的清單中選取物件類型,然後將新物件類型的 [Actions] 欄中的一或多個項目從 [Available] 區域移至 [Selected] 區域。按一下 [OK] 可將事件增加到群組中。
Remedy 整合您可以將 Identity Manager 與 Remedy 伺服器整合,使其根據指定的範本傳送 Remedy 票證。
在管理員介面的兩個區域中設定 Remedy 整合:
Remedy 票證的建立透過 Identity Manager 工作流程進行配置。根據您的喜好設定,可以在適當的時間進行呼叫,此呼叫將使用定義的範本開啟 Remedy 票證。如需有關配置工作流程的更多資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
配置 Identity Manager 伺服器設定您可以編輯伺服器特定設定,好讓 Identity Manager 伺服器只執行特定的作業。若要執行此作業,請選取 [Configure],然後選取 [Servers]。
若要編輯個別伺服器的設定,請選取 [Configure Servers] 頁面中清單內的伺服器。Identity Manager 會顯示 [Edit Server Settings] 頁面,在此您可以編輯調解器、排程程式、JMX 及其他設定。
調解器設定
依預設,調解器設定會顯示在 [Edit Server Settings] 頁面中。您可以接受預設值或透過取消選取 [Use default] 選項來指定值:
排程程式設定
按一下 [Edit Server Settings] 頁上的 [Scheduler] 可以顯示排程程式選項。您可以接受預設值或取消選取 [Use] 預設選項來指定設定值:
- [Scheduler Startup] — 選取排程程式的啟動模式:
- [Tracing Enabled] — 選取此選項即可啟動標準輸出的排程程式除錯追蹤。
- [Maximum Concurrent Tasks] — 選取此選項可指定排程程式將在任何一個時間執行的作業最大數目 (預設除外)。超過此限制的附加作業請求將會延遲或在其他伺服器上執行。
- [Task Restrictions] — 指定可以在伺服器上執行的作業組合。若要執行這個動作,請從可用作業清單中選取一項或多項作業。視您選取的選項而定,選取的作業清單可以是包含或排除清單。您可以選擇要允許清單中選取的作業以外的所有作業 (預設運作方式),或只允許選取的作業。
按一下 [Save] 可儲存伺服器設定變更。
電子郵件範本伺服器設定
按一下 [Servers] 功能表中的 [Email Templates],可以指定 [Default SMTP Server] 設定。
如果不使用預設,則可使用此選項,透過取消選取 [Use Default] 選項並輸入要使用的郵件伺服器,來指定預設電子郵件伺服器。您輸入的文字用於替代 [Email Templates] 中的 smtpHost 變數。
JMX
使用此設定可以啟用 JMX 叢集輪詢並配置輪詢執行緒的間隔。透過移至 Identity Manager 除錯頁面並按一下 [Show MBean Info] 按鈕,可以檢視已收集的 JMX 資料。
若要啟用 JMX 輪詢,請按一下 [Servers] 標籤上的 [JMX],並選取以下選項:
按一下 [Save] 可儲存伺服器設定變更。
編輯預設伺服器設定
預設伺服器設定功能可讓您為所有的 Identity Manager 伺服器設定預設設定。除非您在個別伺服器設定頁中選取不同選項,否則伺服器會繼承這些設定。若要編輯預設設定,請按一下 [Edit Default Server Settings]。[Default Server Settings] 頁面顯示與個別伺服器設定頁面一樣的選項。
您對每個預設伺服器設定所做的變更會傳遞至對應的個別伺服器設定,除非您取消選取該設定的 [Use] 預設選項。
按一下 [Save] 可儲存伺服器設定變更。