Sun Java System Identity Manager 7.0 管理指南 |
第 13 章
服務提供者管理本章提供了您要管理 Sun Java System Identity Manager 中服務提供者 (SPE) 功能需要瞭解的資訊。若要使用此資訊,瞭解簡易目錄存取協定 (LDAP) 目錄和聯合管理會很有幫助。如需有關服務提供者實作的更深入說明,請參閱「Identity Manager SPE 部署」。
本章包含以下主題:
服務提供者功能簡介在服務提供者環境中,您需要能夠管理所有一般使用者 (即企業外部網路使用者以及企業內部網路使用者) 的使用者佈建。Identity Manager Service Provider Edition 功能可讓公司管理員將身份識別帳號分為兩種不同的類型:Identity Manager 使用者和服務提供者使用者。Identity Manager 中的服務提供者使用者是已配置為 [Service Provider User] 類型的使用者帳號。
Identity Manager 使用者佈建和稽核功能透過提供以下功能延伸至服務提供者實作:
增強的一般使用者頁面
提供了增強的一般使用者頁面,您可以自訂這些頁面以進行服務提供者實作。
密碼與帳號 ID 策略
您可以定義服務提供者使用者以及資源帳號的帳號 ID 和密碼策略,如其他 Identity Manager 使用者一樣。
可使用 SPE 系統帳號策略 (已增加至主 [Policies] 表) 為服務提供者使用者啟動策略檢查代碼。
Identity Manager 和服務提供者同步化
可以將 Identity Manager 和服務提供者帳號的同步化配置為在任何 Identity Manager 伺服器上執行或僅限於在選取的伺服器上執行。
可以輕鬆地透過 [Resources] 頁面上的 [Resource Actions] 選項停止和啟動服務提供者同步化,如 Identity Manager 同步化一樣。請參閱啟動和停止同步化。
Identity Manager 使用者同步化的輸入表單與服務提供者使用者同步化的輸入表單不同。請參閱一般使用者介面。
Access Manager 整合
您可以將 Sun Java System Access Manager 7 2005Q4 用於在服務提供者一般使用者頁面上進行認證。如果配置了與 Access Manager 的整合,則 Access Manager 可確保僅經過認證的使用者才可以存取一般使用者頁面。
服務提供者需要使用者名稱,以用於稽核。更新 AMAgent.properties 檔案以將使用者 ID 增加至 HTTP 標頭,例如:
com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid
一般使用者頁面認證篩選器將 HTTP 標頭值置入代碼其餘部分期望其處於的 HTTP 階段作業中。
初始配置若要配置服務提供者功能,請使用以下程序編輯目錄伺服器的 Identity Manager 配置物件:
Edit Main Configuration
若要編輯服務提供者實作的配置物件,請執行以下程序:
Directory Configuration
在 [Directory Configuration] 區段中,提供有關配置 LDAP 目錄的資訊並指定服務提供者使用者的 Identity Manager 屬性。
圖 13-1 顯示了 [SPE Configuration] 頁面的該區域,以及下小節中說明的 [User Forms and Policy] 區域。
圖 13-1 服務提供者 (SPE) 配置
(目錄、使用者表單與策略)
- 從清單中選取 [SPE End-User Directory]。
選取儲存所有服務提供者使用者資料的 LDAP 目錄資源。
- 輸入 [Account ID Attribute Name]。
此為包含 LDAP 帳號之唯一短識別碼的 LDAP 帳號屬性名稱。該名稱被認為是透過 API 進行認證和存取帳號的使用者名稱。該屬性名稱必須在模式對映中定義。
- 指定 [IDM Organization Attribute Name]。
此選項可指定 LDAP 帳號屬性的名稱,該 LDAP 帳號屬性包含 LDAP 帳號在 Identity Manager 中所屬組織的名稱或 ID。其用於 LDAP 帳號的託管。屬性名稱必須存在於 LDAP 資源模式對映中,並且是 Identity Manager 系統屬性名稱 (模式對映左側的名稱)。
- 如果您選擇選取 [IDM Organization Attribute Name Contains ID],請啟用此選項。
如果參照 LDAP 帳號所屬 Identity Manager 組織的 LDAP 資源屬性包含 Identity Manager 組織的 ID,而不包含組織名稱,請選取此選項。
- 如果您選擇選取 [Compress User XML],請啟用此選項。
如果您選擇壓縮儲存在目錄中的使用者 XML,請選取此選項。
- 按一下 [Test Directory Configuration] 以驗證配置項目。
User Forms and Policy
在 [User Forms and Policy] 區域 (如上面的圖 13-1 所示) 中,指定要用於服務提供者使用者管理的表單與策略。
- 從清單中選取 [End User Form]。
此表單用於任何地方,[Delegated Administrator] 頁面和同步化期間除外。如果選取 [None],則不使用任何預設使用者表單。
- 從清單中選取 [Administrator User Form]。
這是用於管理員環境中的預設使用者表單。其包含服務提供者帳號編輯頁面。如果選取 [None],則不使用任何預設使用者表單。
- 從清單中選取 [Synchronization User Form]。
使用服務提供者同步化作業時,請使用預設服務提供者使用者表單。如果選取 [None],則不使用任何預設使用者表單。
- 從清單中選取 [Account Policy]。
選項包括透過 [Configure] > [Policies] 定義的任何身份識別帳號策略。
- 從清單中選取 [Is Account Locked Rule]。
選取要針對服務提供者使用者檢視執行的規則,該規則可確定帳號是否已鎖定。
- 選取 [Lock Account Rule]。
選取要針對服務提供者使用者檢視執行的規則,該規則可在檢視中設定能鎖定帳號的屬性。
- 選取 [Unlock Account Rule]。
選取要針對服務提供者使用者檢視執行的規則,該規則可在檢視中設定能解除鎖定帳號的屬性。
作業事件資料庫
使用 [SPE Configuration] 頁面的此區段 (如圖 13-2 所示),配置作業事件資料庫。僅當使用 JDBC 作業事件永久存放區時才需要這些選項。變更其中的任何值均需要重新啟動伺服器以將其套用。
圖 13-2 服務提供者配置 (作業事件資料庫)
- 輸入以下資料庫資訊︰
- [Driver Class] — 指定 JDBC 驅動程式類別名稱。
- [Driver Prefix] — 此欄位為可選擇欄位。如果指定,則會在註冊新的驅動程式之前查詢 JDBC DriverManager。
- [Connection URL Template] — 此欄位為可選擇欄位。如果指定,則會在註冊新的驅動程式之前查詢 JDBC DriverManager。
- [Host] — 輸入正在執行資料庫的主機名稱。
- [Port] — 輸入資料庫伺服器正在偵聽的連接埠號。
- [Database Name] — 輸入要使用的資料庫名稱。
- [User Name] — 輸入具有讀取、更新和刪除所選取資料庫中作業事件和稽核表中列之權限的資料庫使用者 ID。
- [Password] — 輸入資料庫使用者密碼。
- [Transaction Table] — 輸入要用於儲存擱置作業事件的所選取資料庫中的表格名稱。
- 啟用 [Automatically Create Schema] 選項,以使 Identity Manager 自動建立表格的模式。
對於生產系統,請停用此選項。對於生產系統,自訂 Web/samples 中的範例資料庫初始化程序檔。
- 按一下 [Test Directory Configuration] 以驗證項目 (如果適用)。
繼續至 [Service Provider Configuration] 頁面的下一個區段,以配置追蹤的事件。
追蹤的事件配置
啟用事件收集後,您便可以即時追蹤統計資料,從而協助維護預期或商定層級的服務。依預設啟用事件收集,如圖 13-3 所示。清除 [Enable event collection] 核取方塊可停用收集。
圖 13-3 服務提供者配置 (追蹤的事件、帳號索引和圖說文字配置)
執行以下程序來設定時區並指定服務提供者追蹤事件的收集間隔。
同步化帳號索引
在服務提供者實作中使用 ActiveSync 資源時,可能需要定義 [Account Indexes] 以正確地將此資源傳送的事件與服務提供者目錄中的使用者相關聯。
依預設,資源事件需要包含符合目錄中 accountId 屬性的屬性 accountId 值。在某些資源中,不會一貫地傳送 accountId;例如,ActiveDirectory 的刪除事件僅包含 ActiveDirectory 產生的帳號 GUID。
不包含 accountId 屬性的資源必須包含以下任一屬性的值。
如果您需要使用 guid 或 identity 進行關聯,則必須為這些屬性定義帳號索引。索引僅是一個或多個可用於儲存資源特定身份識別之目錄使用者屬性的選取。身份識別儲存在目錄中後,便可將其用於搜尋篩選,以關聯同步化事件。
若要定義帳號索引,請首先確定要用於同步化的資源以及其中哪些資源需要索引。然後編輯服務提供者目錄的資源定義,並在每個 ActiveSync 資源之 GUID 或身份識別屬性的模式對映中增加屬性。例如,如果您從 ActiveDirectory 進行同步化,則可能要定義對映至未使用的目錄屬性 (如管理員) 之名為 AD-GUID 的屬性。
定義服務提供者資源中所有索引屬性之後:
- 在配置頁面的 [Synchronization Account Indexes] 區域中,按一下 [New Index] 按鈕。
表單擴展為包含資源選取欄位,之後是兩個屬性選取欄位。在選取資源之前,屬性選取欄位保持空白
- 從清單中選取 [Resource]。
現在,屬性欄位包含在所選資源之模式對映中定義的值。
- 為 [Guid Attribute] 或 [Full Indentity Attribute] 選取適當的索引屬性。
通常不必同時設定二者。如果同時設定二者,則軟體會首先嘗試使用 GUID 進行關聯,然後使用完整 identity。
- 您可以再次按一下 [New Index],以定義其他資源的索引屬性。
- 若要刪除索引,請按一下 [Resource] 選取欄位右側的 [Delete] 按鈕。
刪除索引僅會從配置中移除索引,而不會修改目前可能在索引屬性中儲存值的所有現有目錄使用者。
圖說文字配置
選取 [Callout Configuration] 區段中的此選項可以啟用圖說文字。啟用圖說文字後,會顯示圖說文字對映,可讓您為每個列出的作業事件類型選取作業前與作業後選項。
依預設,作業前與作業後選項都設定為 [None]。
如果您指定作業後圖說文字,請使用 [Wait for post-operation callout] 選項指定作業事件必須等待作業後圖說文字處理完成後才能完成。這可確保僅在作業後圖說文字成功完成後才執行任何附屬作業事件。
編輯使用者搜尋配置
使用此頁面 (如圖 13-4 所示) 為 [Manage Service Provider Users] 頁面上委託之管理員進行的搜尋配置預設搜尋設定。這些預設適用於 [Manage Service Provider Users] 頁面的所有使用者,但是可在每個階段作業期間置換這些預設。
圖 13-4 搜尋配置
若要配置預設搜尋設定以搜尋服務提供者使用者,請執行以下步驟:
作業事件管理一個作業事件封裝一項佈建作業,例如,建立新使用者或指定新資源。為確保這些作業事件在資源不可用時也能完成,將其寫入作業事件永久存放區。
本小節中的以下主題包含用於管理服務提供者作業事件的程序:
設定預設作業事件執行選項
這些選項控制執行作業事件的方式,包含同步/非同步處理以及將其保留至「作業事件永久性存放區」中的時間。可以在 IDMXUser 檢視中置換它們或透過用於處理作業事件的表單來置換。如需更多資訊,請參閱Identity Manager SPE 部署。
若要配置服務提供者作業事件,請執行以下步驟:
- 按一下 [Service Provider] > [Edit Transaction Configuration]。螢幕上將顯示 [SPE Transaction Configuration] 頁面。
圖 13-5 顯示了 [Default Transaction Execution options] 區域。
圖 13-5 作業事件配置
- 從以下選項中選取 [Guaranteed Consistency Level],以為使用者更新指定作業事件一致性層級:
- 選取以下您選擇啟用的預設作業事件執行選項:
- [Persist Transactions Before Attempting] — 如果啟用,則會在嘗試佈建作業事件之前將其寫入作業事件永久存放區。啟用此選項可能會帶來不必要的經常性耗用時間,因為大多數佈建作業事件在第一次嘗試時成功。除非已停用 [Wait for First Attempt] 選項,否則請考慮停用此選項。如果選取 [Complete] 一致性層級,則無法使用此選項。
- [Persist Transactions Before Asynchronous Processing] (預設選項) — 如果啟用,則會在非同步處理佈建作業事件之前將其寫入作業事件永久存放區。如果啟用 [Wait for First Attempt] 選項,則會在將控制項傳回給呼叫者之前,保留需要重試的作業事件。如果停用 [Wait for First Attempt] 選項,則在嘗試作業事件之前始終會將其保留。建議您啟用此選項。如果選取 [Complete] 一致性層級,則無法使用此選項。
- [Persist Transactions on Each Update] — 如果啟用,則會在每次重試嘗試之後保留佈建作業事件。由於作業事件永久存放區 (可從 [Search Transaction] 頁面搜尋) 永遠保持最新狀態,因此其可協助隔離問題。
設定作業事件永久存放區
[SPE Transaction Configuration] 頁面上的這些選項適用於作業事件永久存放區。可以配置存放區的類型以及要顯示在存放區中的其他可查詢屬性,如下圖所示。
圖 13-6
配置 SPE 作業事件永久存放區
請執行以下程序來設定這些選項:
- 從清單中選取所需的 [Transaction Persistent Store Type]。
如果選取 [Database] 選項,則在服務提供者主配置頁面上配置的 RDBMS 將用於保留佈建作業事件。這可保證在重新啟動伺服器時,必須重試的作業事件不會遺失。選取此選項需要在服務提供者主配置頁面上配置 RDBMS。如果選取 [Simulated memory-based] 選項,則需要重試的作業事件僅會儲存在記憶體中,並且在重新啟動伺服器時會遺失。對於生產環境,請啟用 [Database] 選項。
備註 基於記憶體的作業事件永久存放區不適合在叢集環境中使用。
變更 [Transaction Persistent Store Type] 後,您必須重新啟動所有正在執行的 Identity Manager 實例,以使變更生效。
- 如有需要,請輸入 [Customized queryable user attributes]。
選取 IDMXUser 物件的其他屬性以顯示在作業事件摘要中。這些屬性可從搜尋作業事件頁面進行查詢,並且顯示在搜尋結果中。其中包含︰
設定進階作業事件處理設定
這些進階選項可控制作業事件管理員的內部工作。請勿變更提供的預設設定,除非效能分析表明它們不是最佳設定。所有項目都是必需的。
圖 13-5 說明了 [Edit Transaction Configuration] 頁面上的 [Advanced Transaction Processing Settings] 區域。
圖 13-7 進階作業事件處理設定
- 輸入所需的 [Worker Threads] 數目 (預設為 100)。
這是用於處理作業事件的執行緒數目。此值可限制同時處理的作業事件數目。這些執行緒在啟動時靜態配置。
- 輸入所需的 [Lease Duration (ms)] (預設為 600000)。
其可控制伺服器鎖定其正在重試之作業事件的時間長度。將依需要更新租用。但是,如果伺服器未正常關機,則其他伺服器只有在原始伺服器的租用過期之後才可鎖定該作業事件。值應至少為一分鐘。將值設定得較小會影響「作業事件永久性存放區」的負載。
- 輸入所需的 [Lease Renewal (ms)] 時間 (預設為 300000)。
其可控制更新鎖定作業事件租用的時間。當租用還剩餘該毫秒值時會更新。
- 將所需時間輸入 [Retain Completed Transactions in Store (ms)] (預設為 360000)。
在從作業事件永久存放區中移除完成的作業事件之前等待的時間長度 (以毫秒為單位)。除非作業事件配置為立即保留,否則「作業事件永久性存放區」不會包含所有完成的作業事件。
- 輸入所需的 [Ready Queue Low Water Mark] (預設為 400)。
當可以執行之作業事件的作業事件排程程式佇列低於此限制時,將使用可用的可以執行之作業事件重新填充佇列以達到高浮水印。
- 輸入所需的 [Ready Queue High Water Mark] (預設為 800)。
當可以執行之作業事件的作業事件排程程式佇列低於低浮水印時,將使用可用的可以執行之作業事件重新填充佇列以達到此限制。
- 輸入所需的 [Pending Queue Low Water Mark] (預設為 2000)。
作業事件排程程式的擱置佇列保留擱置重試的失敗作業事件。如果佇列的大小超出高浮水印,則超過低浮水印的所有作業事件都會進入作業事件永久存放區。
- 輸入所需的 [Pending Queue High Water Mark] (預設為 2000)。
作業事件排程程式的擱置佇列保留擱置重試的失敗作業事件。如果佇列的大小超出高浮水印,則超過低浮水印的所有作業事件都會進入作業事件永久存放區。
- 輸入所需的 [Scheduler Period (ms)] (預設為 500)。
這是應執行作業事件排程程式的頻率。當作業事件排程程式執行時,其會將可以執行之作業事件從擱置佇列移至就緒佇列,並執行其他定期任務,例如將作業事件保留在作業事件永久存放區中。
- 按一下 [Save] 以接受設定。
監視作業事件
將服務提供者作業事件寫入作業事件永久存放區。您可以在作業事件永久存放區中搜尋作業事件,以檢視作業事件狀態。
[Transaction Search] 頁面可讓您指定搜尋條件,從而可讓您根據與作業事件相關的特定條件 (例如作業事件的使用者、類型、狀態、作業事件 ID、目前狀態以及成功或失敗) 來篩選要檢視的作業事件。其中包含仍在重試的作業事件,以及已完成的作業事件。對於尚未完成的作業事件,則可以將其取消,以防止任何進一步的嘗試。
若要搜尋作業事件,請︰
- 登入 Identity Manager。
- 按一下功能表列中的 [Server Tasks]。
- 按一下 [Service Provider Transactions]。
螢幕上將顯示 [SPE Transaction Search] 頁面,您可以在其中指定搜尋條件。
- 如有需要,選取 [使用者名稱]。
此選項可讓您搜尋僅適用於具有您輸入的 accountId 之使用者的作業事件。
備註 如果您已在 [服務提供者 Transaction Configuration] 頁面上配置任何自訂的可查詢使用者屬性,則它們會在此顯示。例如,您可以選擇根據姓氏或全名搜尋 (如果已將其配置為自訂的可查詢使用者屬性)。
- 如有需要,選取按 [Type] 搜尋。
此選項可讓您搜尋所選類型的作業事件。
- 如有需要,選取按 [State] 搜尋。
此選項可讓您搜尋處於以下所選狀態的作業事件︰
- 如有需要,選取按 [Attempts] 搜尋。
此選項可讓您根據嘗試作業事件的次數來搜尋作業事件。失敗的作業事件會被重試達到為個別資源配置的重試限制。
- 如有需要,選取按 [Submitted] 搜尋。
此選項可讓您根據初次提交作業事件的時間 (以小時、分鐘或天為增量) 來搜尋作業事件。
- 如有需要,選取按 [Completed] 搜尋。
此選項可讓您依據完成作業事件的時間 (以小時、分鐘或天為增量) 來搜尋作業事件。
- 如有需要,選取按 [Cancelled Status] 搜尋。
此選項可讓您根據作業事件是否已取消來搜尋作業事件。
- 如有需要,選取按 [Transaction ID] 搜尋。
此選項可讓您根據作業事件的唯一 ID 來搜尋作業事件。使用此選項可根據您輸入的 ID 值來尋找作業事件,該 ID 值顯示在所有稽核記錄中。
- 如有需要,選取按 [Running On] (伺服器名稱) 搜尋。
此選項可讓您根據執行作業事件的 服務提供者 伺服器來搜尋作業事件。除非已在 Waveset.properties 檔案中置換伺服器的識別碼,否則伺服器識別碼依其機器名稱而定。
- 將搜尋結果限制為從清單中選取的第一個項目數。
傳回的結果數目不能超過指定的限制。即使有更多的結果可用,也不會做任何指示。
圖 13-8 Search Transactions
- 按一下 [Search]。
螢幕上將顯示搜尋結果。
- 如有需要,按一下結果頁面底部的 [Download All Matched Transactions]。這會將結果儲存為 XML 格式檔案。
委託管理使用 Identity Manager 管理員角色或透過基於組織的授權模式,可啟用服務提供者使用者的委託管理。
透過組織授權進行委託
依預設,Identity Manager 透過基於組織的授權模式來提供管理責任委託。在基於組織的授權模式中建立委託管理員時,請記住以下幾點:
- 服務提供者管理員是具有特定權能和受控制組織的 Identity Manager 使用者。
- 使用者的組織屬性值可以是 Identity Manager 組織的名稱或物件 ID。這取決於 [Identity Manager Main Configuration] 螢幕中 [Identity Manager Organization Attribute Name Contains ID] 欄位的設定。
- 您可以建立 Identity Manager 階層,並以您要委託組織管理的方式將組織置於該階層中。使用組織的特定標識,而不是組織的簡單名稱。
- 服務提供者使用者透過目錄伺服器中的使用者屬性取得其組織。
- 屬性設定可確定服務提供者管理員進行搜尋的範圍。
- 若要建立委託管理員帳號,您首先要建立 Identity Manager 管理員,然後增加服務提供者管理員權能。有特定於 Service Provider Edition 作業的權能,可以將其指定給使用者 (在 [Edit User] 頁面的 [Security] 標籤中)。受控制的組織可指定管理員可以修改的服務提供者使用者。適用於服務提供者使用者的所有資源均適用於所有 Identity Manager 管理員。
透過管理員角色指定進行委託
若要授予對服務提供者使用者的細緻權能和控制範圍,請使用服務提供者使用者管理員角色。可以配置管理員角色,以在登入時動態地將其指定給一個或多個 Identity Manager 或服務提供者使用者。
可以定義規則並將其指定給管理員角色,管理員角色可指定授予具有指定管理員角色之使用者的權能 (例如服務提供者建立使用者)。
若要對服務提供者使用者使用管理員角色委託,您必須在 Identity Manager 系統配置中將其啟用。
如果啟用透過管理員角色指定進行委託,則 [SPE Configuration] 中的 [IDM Organization Attribute Name] 不是必填欄位。
啟用服務提供者管理員角色委託
若要啟用服務提供者管理員角色委託 (SPE 委託管理),請使用 Identity Manager 除錯頁面,將系統配置物件中的以下特性設定為 true:
security.authz.external.app name.object type
其中 app name 是 Identity Manager 應用程式 (例如管理員介面),object type 是服務提供者使用者
可以針對 Identity Manager 應用程式 (例如管理員介面或使用者介面) 和物件類型啟用此特性。目前,唯一的受支援物件類型為服務提供者使用者。預設值為 false。
例如,若要為 Identity Manager 管理員啟用 SPE 委託管理,請將系統配置配置物件中的以下屬性設定為「true」:
security.authz.external.Administrator Interface.Service Provider Users
如果為指定的 Identity Manager 或服務提供者應用程式停用了 SPE 委託管理,則會使用基於組織的授權模式。
啟用 SPE 委託管理後,追蹤的事件會擷取有關執行的授權規則數目和持續時間的資訊。這些統計資料可在面板中找到。
配置服務提供者使用者管理員角色
若要配置服務提供者使用者管理員角色,請執行以下程序來建立管理員角色並指定控制範圍、權能以及應將其指定給的使用者:
指定控制範圍
服務提供者使用者管理員角色的控制範圍可指定允許指定之 Identity Manager 管理員、Identity Manager 一般使用者或 Identity Manager 服務提供者一般使用者查看的服務提供者使用者。當請求在目錄中列出服務提供者使用者時,會強制指定控制範圍。
對於服務提供者使用者管理員角色的控制範圍,您可以指定以下一個或多個設定:
指定權能
服務提供者使用者管理員角色的權能可指定,請求使用者對所請求存取之服務提供者使用者具有的權能與權限。當請求在檢視、建立、修改或刪除服務提供者使用者時,會強制指定權能。
在 [Capabilities] 標籤上,選取 [Capabilities Per User Rule] 以套用於此管理員角色。
將管理員角色指定給服務提供者使用者
透過指定將在登入時進行評估以確定是否為認證使用者指定管理員角色的規則,可以將服務提供者使用者管理員角色動態地指定給服務提供者使用者。
按一下 [Assign To Service Provider Users] 標籤,並選取要套用於指定的規則。
備註 必須為每個登入介面 (例如使用者介面和管理員介面) 啟用將管理員角色動態指定給使用者,方法是將以下系統配置物件設定為 true:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface
所有介面的預設均為 false。
委託服務提供者使用者管理員角色
依預設,服務提供者使用者可以將指定給他們的服務提供者使用者管理員角色指定 (或委託) 給其控制範圍內的其他服務提供者使用者。
事實上,任何具有編輯服務提供者使用者權能的 Identity Manager 使用者均可以將指定給他們的服務提供者使用者管理員角色指定給其控制範圍內的服務提供者使用者。
服務提供者使用者管理員角色也可以包含不論控制範圍為何均可指定管理員角色的指定者清單。這些直接指定可以確保至少一個已知使用者帳號可指定管理員角色。
管理服務提供者使用者本小節包含透過 Identity Manager 管理服務提供者使用者的程序和資訊。包含以下主題:
使用者組織
透過服務提供者,使用者的屬性值可確定將該使用者指定給的組織。其透過 [服務提供者 Main configuration] (請參閱初始配置) 中的 [Identity Manager Organization Attribute Name] 欄位指定。但是,這些組織的名稱必須符合在目錄伺服器中指定的使用者屬性值。
如果定義了 [Identity Manager Organization Attribute Name],則在 [Create User] 或 [Edit User] 頁面上會顯示可用組織的多重選取清單。依預設,顯示短的組織名稱。您可以修改 SPE 使用者表單以顯示完整組織路徑。
您可以挑選哪個屬性將成為組織名稱屬性。然後便可在服務提供者使用者管理頁面中使用此組織名稱屬性限制可以搜尋和管理該使用者的管理員。
建立使用者和帳號
所有服務提供者使用者均必須在服務提供者目錄中具有帳號。如果某使用者在其他資源上具有帳號,則指向這些帳號的連結會儲存在使用者的目錄項目中,因此當檢視該使用者時可使用有關這些帳號的資訊。
備註 提供了用於建立和編輯使用者的服務提供者使用者表單範例。自訂此表單以滿足在您的服務提供者環境中管理使用者的需求。如需更多資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
若要建立服務提供者帳號,請:
- 按一下功能表列中的 [Accounts]。
- 按一下 [Manage Service Provider Users] 標籤。
- 按一下 [Create Account]。
備註 使用預設服務提供者使用者表單時,實際顯示的欄位取決於在服務提供者目錄資源之 [Account Attributes] 表 (模式對映) 中配置的屬性。而且,當您將資源指定給使用者 (例如委託管理員) 時,可以看到顯示中增加了新的區段,您可以在其中指定這些資源的屬性值。您還可以自訂欄位。
- 依需要輸入以下值︰
- 使用箭頭鍵從 [Available] 清單中指定所需的 [Resources]。
- [Account Status] 顯示帳號是處於鎖定還是解除鎖定狀態。按一下此選項可鎖定或解除鎖定帳號。
圖 13-9 建立服務提供者使用者和帳號
備註 此表單可自動根據為目錄帳號 (在頂部) 定義的屬性寫入資源帳號屬性的值。例如,如果資源定義 firstName,則產品會將其與目錄帳號的 firstName 值一起寫入。但是在此初始寫入後,對這些屬性所做的修改不會傳遞至資源帳號。如有需要,請自訂提供的服務提供者使用者表單範例。
- 按一下 [Save] 以建立使用者帳號。
搜尋服務提供者使用者
服務提供者包含可配置的搜尋權能,可協助管理使用者帳號。搜尋僅會傳回在您的範圍 (如您的組織或其他因子所定義) 內的使用者。
若要執行服務提供者使用者基本搜尋 (從 Identity Manager 介面的 [Accounts] 區域),請按一下 [Manage Service Provider Users],然後輸入搜尋值並按一下 [Search]。
以下主題說明了服務提供者搜尋功能:
進階搜尋
若要執行服務提供者使用者進階搜尋 (從 [Service Provider Users Search] 頁面),請按一下 [Advanced],然後完成以下動作:
您可以使用以下選項增加或移除 [Attribute Conditions]:
搜尋結果
服務提供者搜尋結果顯示在表格中,如圖 13-11 所示。可透過按一下屬性的欄標頭依任何屬性對結果進行排序。顯示的結果取決於您選取的屬性。
箭頭按鈕可瀏覽至結果的第一頁、上一頁、下一頁和最後一頁。您可以在文字方塊中輸入數字然後按下 Enter 鍵,以跳躍至特定頁面。
若要編輯使用者,請按一下表格中的使用者名稱。
圖 13-11 搜尋結果範例
在搜尋結果頁面中,您可選取一個或多個使用者並按一下 [Delete] 按鈕,以刪除使用者或取消連結資源帳號。此動作可顯示刪除使用者頁面,並顯示其他選項 (請參閱「刪除、取消指定或取消連結帳號」)。
刪除、取消指定或取消連結帳號
若要刪除、取消指定或取消連結使用者帳號,請執行以下程序:
設定搜尋選項
請執行以下程序來設定服務提供者使用者的搜尋選項:
一般使用者介面
隨附的一般使用者頁面範例提供了 xSP 環境中特有的註冊和自助範例。這些範例可延伸且可自訂。您可以變更外觀、修改頁面間的瀏覽規則,或顯示適用於部署的語言環境特定訊息。如需有關自訂一般使用者頁面的進一步資訊,請參閱「Identity Manager SPE 部署」。
除了稽核自助和註冊事件外,還可以使用電子郵件範本傳送給受影響之使用者的通知。還提供了使用帳號 ID 和密碼策略以及登出帳號的範例。應用程式開發者還可以增強 Identity Manager 表單。如果需要,可以延伸或替代做為 Servlet 篩選器實作的模組認證服務。這將允許與存取管理系統 (如 Sun Java System Access Manager) 進行整合。
範例
隨附的一般使用者頁面範例可讓使用者透過一系列容易瀏覽的螢幕註冊並維護基本使用者資訊,以及接收其動作的電子郵件通知。頁面範例包含以下功能:
您可以輕鬆地為您的部署自訂這些頁面。可以自訂以下內容:
如需有關自訂頁面的更多資訊,請參閱「Identity Manager SPE 部署」。
註冊
要求新使用者註冊。在註冊期間使用者可以設定其登入、詢問問題以及通知資訊。
圖 13-14 [Registration] 頁面
[Home] 螢幕和 [Profile] 螢幕
圖 13-15 顯示了一般使用者 [Home] 標籤和 [Profile] 頁面。使用者可以變更其登入 ID 和密碼、管理通知以及建立詢問問題。
圖 13-15
[My Profile] 頁面
同步化透過同步化策略可以啟用服務提供者使用者的同步化。若要使用 Identity Manager 為服務提供者使用者同步化資源上屬性的變更,您必須配置服務提供者同步化。以下主題說明了如何在服務提供者實作中啟用同步化:
配置同步化
若要配置服務提供者同步化,您需要按照配置同步化中的說明編輯資源的同步化策略。編輯同步化策略時,必須指定以下選項以啟用服務提供者使用者的同步化程序。
按照配置同步化中的說明,指定適合您環境的其他選項。
備註 配置規則和表單必須使用 IDMXUser 檢視,而非 Identity Manager 輸入使用者檢視 (請參閱「Identity Manager SPE 部署」,以取得更多資訊)。
這是必要的,因為確認規則會存取每個以相互關聯規則識別之使用者的使用者檢視,從而影響同步化效能。
按一下 [Save] 以儲存策略定義。如果在策略中未停用同步化,則會按指定將其排定。如果指定了停用同步化,則會停止同步化服務 (如果目前正執行)。如果啟用,則將在重新啟動 Identity Manager 伺服器後,或在選取 [Synchronization Resource Action] 下的 [Start for Service Provider] 後啟動同步化。
監視同步化
Identity Manager 提供了以下監視服務提供者同步化的方法。
啟動和停止同步化
當您為服務提供者實作配置 Identity Manager 時,依預設啟用服務提供者同步化。若要停用服務提供者 Active Sync,請執行以下程序:
若要停止同步化而不將其停用,請從 [Synchronization Resource Action] 中選取 [Stop for Service Provider]。
遷移使用者
服務提供者功能包含使用者遷移作業範例以及關聯的程序檔。此作業可將現有的 Identity Manager 使用者遷移至服務提供者使用者目錄。本小節說明了如何使用遷移作業範例。您可以修改此範例以適用於您的狀況。
若要遷移現有的 Identity Manager 使用者,請:
- 按一下功能表列中的 [Tasks]。
- 按一下 [Run Tasks]
- 按一下 [SPE Migration]。
- 輸入唯一的 [Task Name]。
- 從清單中選取 [Resource]。
此為 Identity Manager 中表示服務提供者目錄伺服器的資源。不會遷移 Identity Manager 使用者中指向此資源的連結。
- 輸入 [Identity Attribute]。
此為包含目錄使用者之唯一短身份識別的 Identity Manager 使用者屬性。
- 從清單中選取 [Identity Rule]。
這是可以由 Identity Manager 使用者屬性計算目錄使用者名稱的可選規則。身份識別規則可以計算簡單名稱 (通常為 uid),該簡單名稱然後會透過資源的身份識別範本得以處理,以形成目錄伺服器的辨別名稱 (DN)。此規則還可傳回不使用 ID 範本的完整指定 DN。
- 按一下 [Launch] 以啟動背景遷移作業。
配置服務提供者稽核事件在服務提供者實作中,Identity Manager 的稽核記錄系統會稽核與企業外部網路使用者作業相關的事件。Identity Manager 提供了 Service Provide Edition 稽核配置群組 (依預設已啟用),其可指定為服務提供者使用者記錄的稽核事件。請參閱圖 13-16。
如需有關稽核記錄和修改 Service Provider Edition 稽核配置群組中事件的更多資訊,請參閱第 12 章「稽核記錄」。
圖 13-16 [Edit Service Provider Edition Audit Configuration Group] 頁面