Sun Java System Identity Manager 7.0 管理指南 |
第 6 章
資料同步化與載入本章提供使用 Identity Manager 資料同步化與載入功能的資訊與程序。您將瞭解有關資料同步化工具 (探索、調解和同步化) 以及如何使用這些工具保持資料最新的資訊。
資料同步化工具:選哪一個好?在選取適合執行作業的 Identity Manager 資料同步化工具時,請遵循以下指導原則。
探索Identity Manager 帳號探索功能有助於推進快速部署與加速帳號建立的作業。這些功能的說明如下:
您可以使用這些工具來建立新的 Identity Manager 使用者,或是將資源上的帳號與現有的 Identity Manager 使用者帳號關聯。
擷取至檔案
使用此功能將資源帳號從某資源擷取至 XML 或 CSV 文字檔。執行這個動作可以讓您在將資料匯入 Identity Manager 之前,先檢視並變更擷取的資料。
若要擷取帳號:
如果您選擇開啟檔案,則可能需要選取用於檢視檔案的程式。
從檔案載入
使用此功能將資源帳號 (透過 Identity Manager 從資源擷取的帳號,或從其他檔案來源擷取的帳號) 載入 Identity Manager。Identity Manager 擷取至檔案功能建立的檔案採用 XML 格式。如果載入的是新使用者的清單,資料檔案一般為 CSV 格式。
關於 CSV 檔案格式
待載入的帳號通常在試算表中列出,並儲存為逗號分隔值 (CSV) 格式,以便載入 Identity Manager 中。CSV 檔案內容必須遵循以下格式指導原則:
若要載入帳號:
- 從功能表列中,選取 [Accounts],然後選取 [Load from File]。
Identity Manager 顯示 [Load from File] 頁面,讓您可以先指定載入選項後再繼續:
- [User Form] — 當負載建立 Identity Manager 使用者時,使用者表單會指定組織以及角色、資源和其他屬性。選取要套用至每個資源帳號的使用者表單。
- [Account Correlation Rule] — 帳號相互關聯規則會選取 Identity Manager 使用者,這些使用者可能是各個無主資源帳號的所有者。指定好未擁有之資源帳號的屬性之後,相互關聯規則會傳回一份名稱清單或是一份屬性條件清單,這些清單將用來選取可能的所有者。選取一項規則,用來尋找可能是各無主資源帳號所有者的 Identity Manager 使用者。
- [Account Confirmation Rule] — 帳號確認規則會從相互關聯規則選取之可能所有者清單中排除任何非所有者。指定 Identity Manager 使用者的完整資料以及未擁有之資源帳號的屬性之後,如果使用者擁有該帳號,則確認規則傳回 true,否則傳回 false。選取一個規則來測試資源帳號的各個可能所有者。如果您選取 [No Confirmation Rule],則 Identity Manager 會接受所有可能的所有者而不進行確認。
- [Load Only Matching] — 選取此選項可僅將符合現有 Identity Manager 使用者的帳號載入 Identity Manager 中。如果您選取此選項,載入時會捨棄所有不相符的資源帳號。
- [Update Attributes] — 選取此選項會將目前 Identity Manager 使用者屬性值替代為載入帳號的屬性值。
- [Merge Attributes] — 輸入一或多個屬性名稱 (以逗號分隔),其值應進行合併 (排除重複項目) 而非覆寫。此選項僅能用於清單類型的屬性,如群組和郵件收件人清單。您還必須選取 [Update Attributes] 選項。
- [Result Level] — 選取一個臨界值,達到該臨界值時,載入程序便會記錄帳號的個別結果:
- 在 [File to Upload] 欄位中,指定要載入的檔案,然後按一下 [Load Accounts]。
圖 6-2 說明了 [Load from File] 螢幕中的欄位和選項。
圖 6-2 從檔案載入
如果帳號符合現有的使用者 (或與其相關聯),載入程序會將帳號與使用者合併。該程序還會從沒有關聯的任何輸入帳號建立新的 Identity Manager 使用者 (除非已經指定「需要關聯」)。
bulkAction.maxParseErrors 配置變數設定會限制載入檔案時可以找到的錯誤數。預設的限制是 10 個錯誤。如果找到 maxParseErrors 錯誤數,則會停止剖析。
從資源載入
使用此功能可根據您指定的載入選項直接擷取帳號,並將其匯入 Identity Manager。
若要匯入帳號,請從功能表列中選取 [Accounts],然後選取 [Load from Resource]。
Identity Manager 可讓您在繼續執行作業前先指定載入選項。[Load from Resource] 頁面中的載入選項及產生的動作與 [Load from File] 頁面的相同。
協調使用調解功能可突顯 Identity Manager 中的資源帳號與資源中實際存在的帳號間的不一致狀況,並可定期進行帳號資料的關聯。
由於調解專用於進行中的比較,因此其具有以下特性:
您也可以將調解配置為在資源處理的下列各點啟動強制工作流程:
從 [Resources] 區域存取 Identity Manager 調解功能。[Resources] 清單會顯示每個資源上次調解的時間以及其目前的調解狀態。
關於調解策略
調解策略可讓您按照資源為每一項調解作業建立一組回應。您可在策略中選取要執行調解的伺服器,確定執行調解的頻率以及時間,還可以針對調解時遭遇的各種狀況設定回應。您也可以配置調解,使其偵測出對帳號屬性進行的原生變更 (非透過 Identity Manager 進行的變更)。
編輯調解策略
若要編輯調解策略:
Identity Manager 顯示 [Edit Reconciliation Policy] 頁面,您可以在其中選取如下策略:
選取 Identity Manager 應在哪個模式下對策略中的資源執行調解。選取 [Do not reconcile] 可停用對目標資源的調解。
- [Full Reconciliation Schedule] — 如果啟用了完整模式調解,它會按固定的排程自動執行。指定應對策略中的資源執行完整式調解的頻率。選取 [Inherit] 選項可繼承更高層級策略中的指定排程。
- [Incremental Reconciliation Schedule] — 如果啟用了漸進式調解,它會按固定的排程自動執行。在策略中指定對資源執行增量調解的頻率。選取 [Inherit] 選項可繼承更高層級策略中的指定排程。
- [Attribute-level Reconciliation] — 可以配置調解,使其偵測出對帳號屬性進行的本機變更 (亦即,不是透過 Identity Manager 進行的變更)。指定調解時是否要偵測對 [Reconciled Account Attributes] 內所指定的屬性所做的原生變更。
- [Account Correlation Rule] — 帳號相互關聯規則會選取 Identity Manager 使用者,這些使用者可能是各個無主資源帳號的所有者。指定好未擁有之資源帳號的屬性之後,相互關聯規則會傳回一份名稱清單或是一份屬性條件清單,這些清單將用來選取可能的所有者。選取一項規則,用來尋找可能是各無主資源帳號所有者的 Identity Manager 使用者。
- [Account Confirmation Rule] — 帳號確認規則會從相互關聯規則選取之可能所有者清單中排除任何非所有者。指定好 Identity Manager 使用者的完整資料以及未擁有之資源帳號的屬性之後,如果使用者擁有該帳號,則確認規則傳回 true,否則傳回 false。選取一個規則來測試資源帳號的各個可能所有者。如果您選取 [No Confirmation Rule],則 Identity Manager 會接受所有可能的所有者而不進行確認。
- [Proxy Administrator] — 指定執行調解回應時所要使用的管理員。調解只能執行指定代理管理員允許執行的那些動作。回應將會使用與此管理員相關的使用者表單 (如有必要)。
從這些回應選項中選取一個 (可用選項會因狀況不同而有所差異):
- [Create new Identity Manager user based on resource account] — 執行資源帳號屬性的使用者表單以建立新的使用者。資源帳號不會隨任何變更而更新。
- [Create resource account for Identity Manager user] — 重建缺少的資源帳號,運用使用者表單重新產生資源帳號屬性。
- [Delete resource account and Disable resource account] — 刪除/停用資源上的帳號。
- [Link resource account to Identity Manager user and Unlink resource account from Identity Manager user] — 增加或移除使用者的資源帳號指定。這不會執行任何表單的處理。
- [Pre-reconciliation Workflow] — 可以配置調解,使其在調解資源前先執行使用者特定的工作流程。指定調解應執行的工作流程。如果不要執行任何工作流程,請選取 [Do not run workflow]。
- [Per-account Workflow] — 可以配置調解,使其在回應資源帳號的狀況後執行使用者特定的工作流程。指定調解應執行的工作流程。如果不要執行任何工作流程,請選取 [Do not run workflow]。
- [Post-reconciliation Workflow] — 可以配置調解,使其在完成資源調解後執行使用者特定的工作流程。指定調解應執行的工作流程。如果不要執行任何工作流程,請選取 [Do not run workflow]。
按一下 [Save] 儲存策略變更。
啟動調解
啟動調解作業時有兩個選項可以使用:
調解將會根據您在策略中所設的參數來執行。如果該策略已經為調解作業設定了定期的排程,調解作業就會繼續按照指定的時間來執行。
取消調解
若要取消調解,請選取資源,然後從 [Resource Actions] 清單中選取 [Cancel Reconciliation]。
檢視調解狀態
[Resources] 清單中的 [Status] 欄會呈報好幾種調解狀態情況。這些情況說明如下:
可檢視每個資源帳號的詳細狀態資訊。在清單中選取資源,然後從 [Resource Actions] 清單中選取 [View Reconciliation Status]。
使用帳號索引
帳號索引會記錄 Identity Manager 已知之各資源帳號的上一已知狀態。帳號索引主要是由調解來維護,但其他 Identity Manager 功能也會視需要對其進行更新。
探索工具不會更新帳號索引。
搜尋帳號索引
若要搜尋帳號索引,請從 [Resource Actions] 清單中選取 [Search Account Index]。
選取搜尋類型,然後輸入或選取搜尋屬性。按一下 [Search] 尋找符合所有搜尋條件的帳號。
- [Resource account name] — 選取此選項,選取一個修飾鍵 (開頭為、包含或是),然後輸入部分或完整的帳號名稱。
- [Resource is one of] — 選取此選項,然後從清單中選取一個或多個資源,以便尋找位於指定資源上的已調解帳號。
- [Owner] — 選取這個選項,選取一個修飾鍵 (開頭為、包含或是),然後輸入部分或完整的所有者名稱。若要搜尋無主帳號,請搜尋處於「不相符」(UNMATCHED) 或「爭議」(DISPUTED) 狀況的帳號。
- [Situation is one of] — 選取此選項,然後從清單中選取一個或多個狀況,以便在指定狀況中尋找已調解的帳號。
按一下 [Search] 根據您的搜尋參數來搜尋帳號。若要限制搜尋結果,您可以選擇性地在 [Limit results to] 欄位中指定數目。預設限制為前 1000 個找到的帳號。
按一下 [Reset Query] 以清除頁面重新進行選擇。
檢查帳號索引
還可以檢視所有 Identity Manager 使用者帳號,並可選擇為每位使用者分別調解帳號。若要執行此動作,請選取 [Resources],然後選取 [Examine Account Index]。
本表顯示 Identity Manager 已知的所有資源帳號 (不論其是否為 Identity Manager 使用者所擁有)。此資訊按資源或 Identity Manager 組織分組。若要變更此檢視,請從 [Change index view] 清單中選擇一個檢視。
使用帳號
若要使用資源中的帳號,請選取 [Group by resource] 索引檢視。Identity Manager 會顯示每種類型資源的資料夾。可以展開資料夾以導覽到特定資源。按一下資源旁邊的 + 號或 - 號,以顯示 Identity Manager 已知的所有資源帳號。
上次在該資源上調解之後直接新增至資源中的帳號將不會顯示。
您也許能夠執行幾種動作,但要視給定帳號目前的狀況而定。您也可以檢視帳號的詳細資訊或選擇調解某個帳號。
運用使用者
若要使用 Identity Manager 使用者,請選取 [Group by user] 索引檢視。在此檢視中,Identity Manager 使用者和組織會以與 [Accounts List] 頁面類似的階層顯示。若要察看目前指定給 Identity Manager 中的使用者的帳號,請瀏覽至該使用者,然後按一下使用者名稱旁邊的指示器。使用者帳號及 Identity Manager 已知的帳號的目前狀態會顯示在使用者名稱之下。
您也許能夠執行幾種動作,但要視給定帳號目前的狀況而定。您也可以檢視帳號的詳細資訊或選擇調解某個帳號。
Active Sync 配接卡Identity Manager Active Sync 功能可使儲存在授權外部資源 (如應用程式或資料庫) 中的資訊與 Identity Manager 使用者資料同步化。為 Identity Manager 資源配置同步化可讓它偵聽或輪詢對授權資源所做的變更。
您可以透過使用 [Meta View],或透過在資源同步化策略中指定 [Input Form] (適用於適當目標物件類型),來配置將資源屬性變更匯入 Identity Manager 的方式。
使用 [Meta View] 可指定資料更新的方式,以及指定要為 Active Sync 應用程式啟用的身份識別屬性。如需有關配置身份識別屬性的更多資訊,請參閱配置身份識別屬性和事件。
繼續下一小節以配置同步化。
配置同步化
Identity Manager 使用同步化策略來啟用資源的同步化。若要配置同步化,請在 [Resources] 標籤上選取您想要配置同步化的資源,然後從 [Resource Actions] 清單中選取 [Edit Synchronization Policy]。
編輯同步化策略
在 [Edit Synchronization Policy] 頁面中指定以下選項,以配置同步化:
- [Target Object Type] — 選取要套用策略的使用者類型,[Identity Manager Users] 或 [Service Provider Edition Users]。
備註 在服務提供者實作中,您必須將同步化策略 (將 [Service Provider Edition Users] 指定為物件類型) 配置為啟用此類使用者的資料同步化。如需有關服務提供者使用者的更多資訊,請參閱第 13 章「服務提供者管理」。
- [Scheduling Settings] — 使用此區段可指定啟動方法和輪詢排程。
[Startup Type] 可以為 [Manual]、[Automatic]、[Automatic with Failover] 或 [Disabled]:
使用 [Start Date] 和 [Start Time] 選項來指定何時開始輪詢。透過選取間隔並輸入間隔值 (秒、分鐘、小時、天、週、月) 可指定輪詢週期。
如果設定了在未來發生的輪詢起始日期與時間,則輪詢會在指定時間開始。如果設定了在過去發生的輪詢起始日期與時間,則 Identity Manager 會根據此資訊及輪詢間隔決定何時開始輪詢。例如:
在此情況下,資源將在 2005 年 7 月 25 日開始輪詢 (下個週一)。
如果未指定開始日期或時間,則資源會立即輪詢。如果您採用此方法,則每次重新啟動應用程式伺服器時,所有為使用中的同步化配置的資源均將立即開始輪詢。此典型方法用於設定起始日期和時間。
- [Resource Specific Settings] — 使用此區段可指定同步化以何種方式確定要為資源處理的資料。
- [Common Settings] — 為以下資料同步化活動指定一般設定:
- [Proxy Administrator] — 選取負責處理更新的管理員。所有動作都將透過指定給此管理員的權能來授權。您應該利用空的使用者表單選取代理管理員。
- [Input Form] — 選取要處理資料更新的輸入表單。這個選擇性的配置項目允許在儲存帳號屬性前先轉換屬性。
- [Rules] — 您可以指定資料同步化程序期間要使用的規則:
- [Process Rule] — 選取此規則可指定要針對每個內送帳號執行的處理規則。此選擇將置換所有其他選項。如果您指定一個處理規則,則不論資源上的其他設定為何,皆會針對每一列執行此處理程序。可以是程序名稱,也可以是評估程序名稱的規則。
- [Correlation Rule] — 選取相互關聯規則,以置換資源調解策略中指定的相互關聯規則。相互關聯規則會使資源帳號與 Identity 系統帳號相互關聯。
- [Confirmation Rule] — 選取確認規則,以置換資源調解策略中指定的確認規則。
- [Resolve Process Rule] — 選取此規則可指定當資料輸入之記錄有多個相符項目時,所要執行的作業定義名稱。此處理過程會提示管理員進行手動操作。可以是程序名稱,也可以是評估程序名稱的規則。
- [Delete Rule] — 選取將針對每個內送使用者更新進行評估的規則 (傳回 true 或 false),以確定是否要執行刪除作業。
- [Create Unmatched Accounts] — 啟用此選項 (true) 後,配接卡將嘗試建立在 Identity Manager 系統中找不到的帳號。如果未啟用,配接卡將透過 [Resolve Process Rule] 傳回的程序來執行帳號。
- [Logging Settings] — 指定以下記錄選項的值:
按一下 [Save] 儲存資源的策略設定。
編輯 Active Sync 配接卡
編輯 Active Sync 配接卡之前,請停止同步化。從 [Edit Synchronization Policy] 頁面,選取 [Disabled] 做為 Identity Manager 使用者的 [Startup Type],對於服務提供者使用者,請取消選取 [Enable Synchronization] 選項。將出現一則警告訊息,指出已停用使用中的同步化。
停用資源的同步化將導致儲存變更時停止同步化作業。
調校 Active Sync 配接卡效能
由於同步化是背景作業,所以 ActiveSync 配接卡配置會影響伺服器效能。調校 ActiveSync 配接卡效能要進行下列作業:
透過資源清單管理 Active Sync 配接卡。選取 Active Sync 配接卡,然後從 [Resource Actions] 清單的 [Synchronization] 區段中存取啟動、停止與狀態更新控制動作。
變更輪詢間隔
輪詢間隔決定 Active Sync 配接卡開始處理新資訊的時間。應該根據正在執行的作業的類型來決定輪詢間隔。例如,如果配接器會從資料庫讀取一長串使用者,且每次都會更新 Identity Manager 中的所有使用者,請考慮在每天早上幾小時內執行此程序。有些配接卡可以快速搜尋要處理的新項目,並可將它們設定為每分鐘執行。
指定將執行配接卡的主機
若要指定將執行配接卡的主機,請編輯 waveset.properties 檔案。將 sources.hosts 特性編輯為以下任一選項:
可以將需要更多記憶體與 CPU 週期的 Active Sync 配接卡配置為在專屬伺服器上執行,這樣有助於系統的負載平衡。
啟動與停止
您可以停用、手動啟動或自動啟動 Active Sync 配接卡。若要啟動或停止 Active Sync 配接卡,您必須有適當的管理員權能來變更 Active Sync 資源。如需有關管理員權能的資訊,請參閱權能類別。
如果將配接卡設定為自動,當應用程式伺服器重新啟動時,配接卡也會重新啟動。當您啟動配接器時,它會立刻執行並在指定的輪詢間隔來臨時執行。如果您停止配接器,下次配接器在檢查到停止旗標時便會停止。
配接卡記錄
配接卡記錄擷取有關配接卡目前處理情況的資訊。記錄擷取資訊的詳細程度需視您設定的記錄的記錄層級而定。配接器記錄在除錯問題與監視配接器程序進度時非常有用。
每個配接器各有其記錄檔案、路徑和記錄層級。您可以在 [Synchronization Policy] 的 [Logging] 區段為適當的使用者類型 (Identity Manager 或服務提供者) 指定這些值。
刪除配接器記錄
僅當停止配接卡後,才能刪除配接卡記錄。多數情況下,請在刪除記錄前製作記錄副本做為歸檔之用。