Sun Java System Identity Manager 7.0 管理指南 |
第 3 章
使用者和帳號管理本章提供透過 Identity Manager 管理員介面管理使用者的資訊與程序。您將瞭解到 Identity Manager 使用者和帳號管理工作,包括:
關於使用者帳號資料使用者是指擁有 Identity Manager 系統帳號的任何人。Identity Manager 為每個使用者儲存一系列資料。總體而言,此類資訊會構成每個使用者的 Identity Manager 身份。
從管理員介面的 [Create User] 頁面 ([Accounts] 標籤) 來看,Identity Manager 將使用者資料歸類在四個區域中:
身份
[Identity] 區域定義使用者的帳號 ID、名稱、連絡人資訊、管理組織及 Identity Manager 帳號密碼。它還識別使用者可以存取的資源以及管理每個資源帳號的密碼策略。
備註 如需有關設定帳號密碼策略的資訊,請閱讀本章中標題為「運用使用者帳號密碼」的小節。
下圖說明 [Create User] 頁面的 [Identity] 區域。
圖 3-1 建立使用者 — 身份
指定
[Assignments] 區域設定存取 Identity Manager 物件 (如資源) 的限制。
按一下 [Assignments] 表單標籤以設定以下指定:
安全性
在 Identity Manager 術語中,為其指定了擴充權能的使用者為 Identity Manager 管理員。您可透過以下指定,使用 [Security] 標籤為使用者建立這些擴充的管理權能:
- [Admin roles] — 組合特定且唯一的權能與受控制組織集合,以對管理使用者進行協調指定。
- [Capabilities] — 在 Identity Manager 系統中啟用權限。通常會根據工作責任,為每個 Identity Manager 管理員指定一項或多項權能。
- [Controlled organizations] — 指定該使用者有權以管理員身份管理的組織。他可以管理已指定組織及階層中處於該組織之下的任何組織中的物件。
備註 若要讓使用者擁有管理員權能,必須為其至少指定一個管理員角色或一項或多項權能,以及一個或多個受控制的組織。如需有關 Identity Manager 管理員的更多資訊,請參閱瞭解 Identity Manager 管理。
- [User Form] — 指定管理員在建立和編輯使用者時將使用的使用者表單。如果選取 [None],則管理員將繼承指定給其組織的使用者表單。
- [View User Form] — 指定管理員在檢視使用者時將使用的使用者表單。如果選取 [None],則管理員將繼承指定給其組織的檢視使用者表單。
- [Delegate work items to] — 將使用者帳號的工作項目委託給使用者的管理員、一個或多個其他使用者,或按照委託核准人規則的指定進行委託。若要停用工作項目委託,請將值設定為 [None]。
屬性
[Create User] 頁面上的 [Attributes] 標籤定義與指定資源關聯的帳號屬性。列出的屬性按指定的資源分類,具體情況根據已指定資源的不同而異。
規範遵循
[Compliance] 標籤指定使用者帳號的指定稽核策略,包括透過使用者的組織指定生效的稽核策略。您僅可以透過編輯使用者的目前組織或將使用者移至其他組織來變更這些策略指定。
此頁面還指示策略掃描、違規和豁免的目前狀態,如下圖所示 (如果適用於使用者帳號)。
圖 3-2 [Create User] 頁面 — [Compliance] 標籤
若要指定稽核策略,請從 [Available Audit Policies] 清單中將選取的策略移至 [Current Audit Policies] 清單中。
介面的 [帳號] 區域Identity Manager 帳號區域可讓您管理 Identity Manager 使用者。若要存取此區域,請從管理員介面功能表列中選取 [Accounts]。
帳號清單會顯示所有的 Identity Manager 使用者帳號。帳號會被分組為組織與虛擬組織,在資料夾中以階層方式表示。
您可以按全名 ([Name])、使用者姓氏 ([Last Name]) 或使用者名字 ([First Name]) 對帳號清單進行排序。按一下標題列可以按照欄排序。按一下相同標題列可以在向上與向下排序順序之間切換。如果按全名 ([Name] 欄) 排序,則階層中處於所有級別的所有項目都將按字母順序排序。
若要展開階層式視圖並察看組織中的帳號,請按一下資料夾旁邊的三角形指示器。再次按一下該指示器可以摺疊此視圖。
帳號區域中的動作清單
使用動作清單 (位於 [Accounts] 區域的頂部和底部,如圖 3-3 所示) 可以執行一系列動作。動作清單選項分為:
在 [帳號清單] 區域中搜尋
使用帳號區域搜尋功能查找使用者和組織。從清單中選取 [Organizations] 或 [Users],在搜尋區域中輸入使用者或組織名稱開頭的一個或多個字元,然後按一下 [Search]。如需有關在 [Accounts] 區域搜尋的更多資訊,請參閱尋找帳號。
使用者帳號狀態
顯示在每個使用者帳號旁的圖示可指示已指定帳號的目前狀態。表 3-1 說明了每個圖示的涵義。
運用使用者帳號在管理員介面的 [Accounts] 區域,您可以對以下系統物件執行一系列動作:
使用者
本小節中主題的重點在於管理使用者帳號。如需有關 Identity Manager 組織和建立目錄結合的更深入說明,請參閱第 5 章「管理」。
檢視
若要檢視使用者帳號詳細資訊,請在清單中選取使用者,然後從 [User Actions] 清單中選取 [View]。
[View User] 頁面顯示編輯或建立使用者時所選身份、指定、安全性和屬性資訊的子集。無法編輯 [View User] 頁面上的資訊。按一下 [Cancel] 以返回至 [Accounts] 清單。
建立 ([New Actions] 清單、[New User] 選項)
若要建立使用者帳號,請從 [New Actions] 清單中選取 [New User]。如果您要在組織中 (而非頂層) 建立使用者,請選取組織資料夾,然後從 [New Actions] 清單中選取 [New User]。
在一個區域可選擇之選項可能取決於您在另一個區域中所做的選擇。
[Create User] 頁面 (由使用者表單定義) 可讓您為使用者帳號設定以下項目:
若要更好地反映您的業務程序或特定管理員權能,您可以針對您的環境專門配置使用者表單。如需有關自訂使用者表單的更多資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
按一下 [Create User] 頁面上的標籤可以在建立使用者設定中瀏覽。您可以依任何順序在標籤中移動。完成選取後,您可以使用兩個選項來儲存使用者帳號:
狀態指示器 (如下表所述) 可協助您監視儲存程序的進度。
表 3-2 背景儲存作業狀態指示器的說明
狀態指示器
狀態
儲存程序正在執行。
儲存程序已暫停。通常,這表示程序正在等待核准。
程序已順利完成。這並不表示使用者已成功儲存;只表示程序在無錯情況下完成。
程序尚未啟動。
程序已完成,但發生一個或多個錯誤。
將滑鼠移動到狀態指示器內部所顯示的使用者圖示上,就可以看到背景儲存程序的詳細資訊。
建立多個使用者帳號 (身份)
您可以在單一資源上建立一個或多個使用者帳號。建立 (或編輯) 使用者並為使用者指定一個或多個資源時,您也可在該資源上請求和定義附加帳號。
編輯
若要編輯帳號資訊,請選擇以下任一動作:
建立與儲存變更後,Identity Manager 會顯示 [Update Resource Accounts] 頁面。此頁面顯示指定給使用者的資源帳號,以及將套用至帳號的變更。選取 [Update All resource accounts] 以將變更套用至所有已指定的資源;或分別選取無、一個或多個與要更新之使用者關聯的資源帳號。
圖 3-4 編輯使用者 (更新資源帳號)
再按一下 [Save] 以完成編輯作業,或按一下 [Return to Edit] 以建立更進一步的變更。
移動使用者 ([User Actions])
[Change Organization of User] 工作可讓您從目前指定的組織中移除使用者,然後將使用者重新指定給或移動至新組織。
若要將使用者移至其他組織,請在清單中選取一個或多個使用者帳號,然後從 [User Actions] 清單中選取 [Move]。
重新命名 ([User Actions])
一般而言,重新命名資源上的帳號是一個複雜的動作。因為這個原因,Identity Manager 提供一個單獨功能,可重新命名使用者的 Identity Manager 帳號,或一個或多個與該使用者關聯的資源帳號。
若要使用重新命名功能,請在清單中選取使用者帳號,然後從 [User Actions] 清單中選取 [Rename] 選項。
[Rename User] 頁面可讓您變更使用者帳號名稱、關聯的資源帳號名稱以及與使用者的 Identity Manager 帳號關聯的資源帳號屬性。
如下圖所示,使用者擁有指定的 Active Directory 資源。重新命名期間,您可以變更:
停用使用者 (使用者動作、組織動作)
停用使用者帳號時,您可更改該帳號,以便使用者無法再登入 Identity Manager 或其指定的資源帳號。
停用單一使用者帳號
若要停用使用者帳號,請在清單中選取此帳號,然後從 [User Actions] 清單中選取 [Disable]。
在顯示的 [Disable] 頁面上,選取要停用的資源帳號,然後按一下 [OK]。Identity Manager 顯示停用 Identity Manager 使用者帳號與全部相關資源帳號的結果。帳號清單表示使用者帳號已停用。
圖 3-6 說明了 [Disable] 頁面上已停用的帳號。
圖 3-6 已停用的帳號
停用多個使用者帳號
您可以同時停用兩個或多個 Identity Manager 使用者帳號。
在清單中選取多個使用者帳號,然後從 [User Actions] 清單中選取 [Disable]。
啟用使用者 ([User Actions]、[Organization Actions])
使用者帳號啟用與停用程序相反。對於不支援帳號啟用的資源,Identity Manager 會產生新的隨機密碼。根據選取的通知選項,也會在管理員的結果頁面上顯示該密碼。
使用者接下來可重設密碼 (透過身份認證程序),或由具有管理員權限的使用者重設。
啟用單一使用者帳號
若要啟用使用者帳號,請在清單中選取此帳號,然後從 [User Actions] 清單中選取 [Enable]。
在顯示的 [Enable] 頁面上,選取要啟用的資源,然後按一下 [確定]。Identity Manager 顯示啟用 Identity Manager 帳號與全部相關資源帳號的結果。
啟用多個使用者帳號
您可以同時啟用兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後在 [User Actions] 清單中選取 [Enable]。
更新使用者 ([User Actions]、[Organization Actions])
在更新動作中,Identity Manager 會更新與使用者帳號相關的資源。從帳號區域執行的更新會將任何之前為使用者建立的擱置變更傳送至選取的資源。這個情況會在以下狀態發生:
更新使用者帳號時,您可以:
更新單一使用者帳號
若要更新使用者帳號,請在清單中選取此帳號,然後從 [User Actions] 清單中選取 [Update]。
在更新資源帳號頁面中,選取一個或多個要更新的資源,或選取 [Update All resource accounts] 以更新所有已指定的資源帳號。完成後,按一下 [OK] 以開始更新程序。或者,按一下 [Save in Background] 以作為後台程序執行該動作。
確認頁面會確認送至每個資源的資料。
圖 3-7 說明了更新資源帳號頁面。在圖中,Lighthouse 參照 Identity Manager。
圖 3-7 更新資源帳號
更新多個帳號
您可以同時更新兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後從 [User Actions] 清單中選取 [Update]。
解除鎖定使用者 ([User Actions]、[Organization Actions])
因為使用者登入重試次數已超過為該資源建立的登入限制,所以可能將該使用者鎖定在一個或多個資源帳號之外。使用者的有效 Lighthouse 帳號策略建立密碼或問題登入嘗試可以失敗的最大次數。
當使用者因超過密碼登入嘗試失敗的最大次數而鎖定時,將不允許其進行任何 Identity Manager 應用程式介面 (包括使用者介面、管理員介面、[Forgot My Password]、Identity Manager IDE、SOAP 和主控台) 認證。如果使用者因超過問題登入嘗試失敗的最大次數而鎖定,則他可以對除 [Forgot My Password] 以外的任何 Identity Manager 應用程式介面進行認證。
密碼登入嘗試失敗
如果因密碼登入嘗試失敗而鎖定,使用者帳號將保持鎖定狀態,直到:
問題登入嘗試失敗
如果因超過問題登入嘗試失敗的最大次數而鎖定,則使用者帳號將保持鎖定狀態,直到發生以下任一動作:
具有相應權能的管理員可以對處於鎖定狀態的使用者執行以下作業:
處於鎖定狀態的使用者無法登入任何 Identity Manager 應用程式,包括管理員介面、使用者介面和 Identity Manager IDE。使用者無論透過提供使用者 ID 和認證問題的答案,還是透過一個或多個資源通路來嘗試使用其 Identity Manager 使用者 ID 和密碼登入,此限制都適用。
若要解除鎖定帳號,請在清單中選取一個或多個使用者帳號,然後從 [User Actions] 或 [Organization Actions] 清單中選取 [Unlock Users]。
刪除 (使用者動作、組織動作)
刪除動作包括從資源移除 Identity Manager 使用者帳號存取的多個選項:
若要開始刪除動作,請選取使用者帳號,然後在 [User Actions] 或 [Organization Actions] 清單中選取相應的刪除動作。
Identity Manager 顯示 [Delete Resource Accounts] 頁面。
刪除「使用者帳號」與「資源帳號」
若要刪除 Identity Manager 使用者帳號或資源帳號,請在 [Delete] 欄位中進行選取,然後按一下 [OK]。若要刪除全部資源帳號,請選取 [Delete All resource accounts] 選項,然後按一下 [OK]。
取消指定或取消連結資源帳號
若要從 Identity Manager 使用者帳號取消指定或解除連結資源帳號,請在 [Unassign] 或 [Unlink] 欄位中進行個別選擇,然後按一下 [OK]。若要取消指定全部資源帳號,請選取 [Unassign All resource accounts] 或 [Unlink All resource accounts] 選項,然後按一下 [OK]。
圖 3-8 刪除「使用者帳號」與「資源帳號」
密碼
您可以使用 [User Actions] 中的 [Change Password] 和 [Reset Password] 來呼叫 [Edit User] 頁面及變更或重設所選使用者的使用者密碼。另請參閱運用使用者帳號密碼。
尋找帳號Identity Manager 尋找功能可讓您搜尋使用者帳號。輸入和選取搜尋參數後,Identity Manager 將尋找與您的選項相符的所有帳號。
若要搜尋帳號,請從功能表列中選取 [Accounts],然後選取 [Find Users]。您可按下列一個或多個搜尋類型來搜尋帳號:
搜尋結果清單會顯示符合您搜尋的所有帳號。從此結果頁面中,您可以:
批次處理帳號動作您可以在 Identity Manager 帳號上執行數個批次處理動作,以同時處理多個帳號。您可以啟動以下批次處理動作:
- [Delete] — 刪除、取消指定和解除連結所有選取的資源帳號。選取 [Target the Identity Manager Account] 選項可刪除每一位使用者的 Identity Manager 帳號。
- [Delete and Unlink] — 刪除所有選取的資源帳號,並取消帳號與使用者的連結。
- [Disable] — 停用所有選取的資源帳號。選取 [Target the Identity Manager Account] 選項可停用每個使用者的 Identity Manager 帳號。
- [Enable] — 啟用所有選取的資源帳號。選取 [Target the Identity Manager Account] 選項可啟用每個使用者的 Identity Manager 帳號。
- [Unassign, Unlink] — 取消連結所有選取的資源帳號,並移除對這些資源的 Identity Manager 使用者帳號指定。取消指定不會移除資源的帳號。對於透過角色或資源群組間接指定給 Identity Manager 使用者的帳號,您無法取消指定該帳號。
- [Unlink] — 移除資源帳號與 Identity Manager 使用者帳號的關聯 (連結)。解除連結不會從資源中移除該帳號。如果您解除透過角色或資源群組間接指定給 Identity Manager 使用者的帳號連結,則更新使用者時該連結會還原。
如果您的檔案或應用程式中有一份使用者清單,如電子郵件用戶端或試算表程式,則批次處理動作就能有最好的執行效果。您可以將清單複製並貼上至此介面頁面的欄位中,也可以從檔案載入使用者清單。
根據使用者的搜尋結果,可以執行其中許多動作。在帳號標籤的 [Find Users] 頁面上搜尋使用者。
作業完成後顯示作業結果時,按一下 [Download CSV] 可將批次處理帳號作業的結果儲存至 CSV 檔案。
啟動批次處理帳號動作
若要啟動批次處理動作,請選取或輸入值,然後按一下啟動。Identity Manager 會啟動後台工作以執行批次處理動作。
若要監視批次處理動作的作業狀態,請前往 [Tasks] 標籤,再按一下作業連結。
使用動作清單
您可以使用逗號分隔值 (CSV) 格式指定批次處理動作清單。這能讓您在一份動作清單中混用不同的動作類型。此外,您可以指定更複雜的建立與更新動作。
CSV 格式包含兩個或多個輸入行。每行包含一份以逗點分隔的值清單。第一行包含欄位名稱。剩餘的每一行對應欲對 Identity Manager 使用者、使用者的資源帳號或二者所執行的一個動作。每一行應該包含同樣數量的值。若為空值則相應的欄位值將不會變更。
任何批次處理動作 CSV 輸入都需要兩個欄位:
- [user] — 包含 Identity Manager 使用者的名稱。
- [command] — 包含對 Identity Manager 使用者採取的動作。有效的指令有:
- [Delete] — 刪除、取消指定與取消連結資源帳號、Identity Manager 帳號或二者。
- [DeleteAndUnlink] — 刪除與取消連結資源帳號。
- [Disable] — 停用資源帳號、Identity Manager 帳號或二者。
- [Enable] — 啟用資源帳號、Identity Manager 帳號或二者。
- [Unassign] — 取消指定與解除連結資源帳號。
- [Unlink] — 取消連結資源帳號。
- [Create] — 建立 Identity Manager 帳號。選擇性地建立資源帳號。
- [Update] — 更新 Identity Manager 帳號。選擇性地建立、更新或刪除資源帳號。
- [CreateOrUpdate] — 如果 Identity Manager 帳號尚不存在,則執行建立動作。否則執行更新動作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 指令
執行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 動作時,需要指定的唯一額外欄位是 [resources]。使用資源欄位可指定哪些資源上的哪些帳號將受影響。它可有下列值:
以下是其中幾個動作的 CSV 格式範例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update 和 CreateOrUpdate 指令
如果您正在執行 Create、Update 或 CreateOrUpdate 指令,則您除了指定 [user] 與 [command] 欄位外,還可以指定 [User View] 中的欄位。使用的欄位名稱是檢視中的屬性之路徑表示式。如需有關使用者檢視中可用屬性的資訊,請參閱「Identity Manager Workflows, Forms, and Views」。如果是使用自訂的「使用者表單」,您就能使用表單的欄位名稱中的部分路徑表示式。
在批次處理動作中使用的一些較常見的路徑表示式有:
以下是建立和更新動作的 CSV 格式範例:
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California具有多個值的欄位
一些欄位可擁有多個值。它們稱為多值欄位。例如,您可以使用 waveset.resources 欄位將多個資源指定給一位使用者。您可以使用垂直列 (|) 字元 (也稱為「管道」字元) 來分隔一個欄位的多個值。您可以如下指定多值語法:
value0 | value1 [ | value2 ... ]
對現有的使用者更新多值欄位時,您可能不想將目前欄位的值替代為一個或多個新值。您可能想要移除一些值或加入現行值中。您可以使用欄位指令來指定如何處理現有欄位的值。欄位指令移到欄位值的前面,並以垂直列字元括住,如下所示:
|directive [ ; directive ] | field values
您可從下列指令中選擇:
欄位值的特殊字元
如果您的欄位值中有逗號 (,) 或雙引號 (") 字元,或想要保留前導或結尾的空格,則需要在欄位值兩旁加上一對雙引號 ("欄位值")。接下來需要以兩個雙引號 (") 字元來取代欄位值中的雙引號。例如,John "Johnny" Smith 欄位值的結果應該是 "John ""Johnny"" Smith"。
如果您的欄位值中有垂直列 (|) 或反斜線 (\) 字元,則您必須在其前面加上一條反斜線 (\| 或 \\)。
批次處理動作檢視屬性
執行 Create、Update 或 CreateOrUpdate 動作時,「使用者檢視」中有一些屬性只能在批次處理動作處理中使用。您可以在 [User Form] 中參考這些屬性,讓批次處理動作執行特定的動作。這些屬性如下所示:
- [waveset.bulk.fields.field_name] — 這些屬性包含從 CSV 輸入中讀取的欄位值,其中 field_name 是欄位的名稱。例如,指令與使用者欄位分別位於路徑表示式為 waveset.bulk.fields.command 與 waveset.bulk.fields.user 的屬性中。
- [waveset.bulk.fieldDirectives.field_name] — 僅會針對為其指定了指令的那些欄位定義這些屬性此值為指示字串。
- [waveset.bulk.abort] — 將這個布林屬性設為 true,以中斷目前動作。
- [waveset.bulk.abortMessage] — 將此屬性設為訊息字串,以便在 waveset.bulk.abort 設為 true 時顯示。若未設定此屬性,則會顯示一般中斷訊息。
運用使用者帳號密碼所有 Identity Manager 使用者皆有指定的密碼。Identity Manager 使用者密碼設定後,用於同步化該使用者的資源帳號密碼。若一個或多個資源帳號密碼無法同步化 (例如,遵循必要的密碼策略),則可分別設定它們。
變更使用者帳號密碼
若要變更使用者帳號密碼:
- 在功能表列中,選取 [Passwords]。
依預設,會顯示 [Change User Password] 頁面,如下圖所示。
圖 3-10 變更使用者密碼
- 選取搜尋條件 (例如帳號名稱、電子郵件地址、姓氏或名字),然後選取搜尋類型 (開頭為、包含或是)。
- 在輸入欄位中鍵入搜尋條件的一個或多個字母,然後按一下 [Find],Identity Manager 會傳回 ID 中包含輸入字元的所有使用者清單。按一下以選取一名使用者,然後返回 [Change User Password] 頁。
- 輸入並確認新密碼資訊,然後按一下 [Change Password] 以變更所列資源帳號的使用者密碼。Identity Manager 會顯示一個工作流程圖,表示變更密碼動作的順序。
重設使用者帳號密碼
重設 Identity Manager 使用者帳號密碼的程序與變更程序類似。重設程序與密碼變更程序不同處為您不需指定新密碼。而是由 Identity Manager 隨機產生使用者帳號、資源帳號,或兩者組合的新密碼 (根據您的選擇與密碼策略)。
指定給使用者的策略 (直接指定或透過使用者的組織指定) 可控制數個重設選項,包括:
重設時密碼過期
依預設,密碼在您重設時會立即過期。這表示當使用者在重設後第一次登入時,必須先選取新密碼才能存取。此預設值可在表單中置換,從而根據與使用者相關的 [Lighthouse Account Policy] 中設定的過期密碼策略而確定讓使用者密碼是否過期。
例如,在 [Reset User Password] 中,您會將 resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword 設為 false 值。
在 [Lighthouse Account Policy] 的 [Reset Option] 欄位中,有兩種密碼過期方法:
管理帳號安全性和權限本小節說明了為提供對使用者帳號的安全存取權和管理 Identity Manager 中的使用者權限,您可以執行的動作。
設定密碼策略
資源密碼策略可用於建立密碼限制。強密碼策略提供增強的安全性,可協助防止他人未經授權登入資源。您可以編輯密碼策略以設定或選取字元範圍值。
若要開始使用密碼策略,請從功能表列中選取 [Security],然後選取 [Policies]。
若要編輯密碼策略,請在 [Policies] 清單中選取密碼策略。若要建立密碼策略,請從 [New] 選項清單中選取 [String Quality Policy]。
建立策略
密碼策略是字串品質策略的預設類型。為新策略命名並提供選擇性說明後,您需要為定義該策略的規則選取選項和參數。
長度規則
長度規則設定密碼必需的最短與最長字元長度。請選取此選項以啟用規則,然後輸入規則的限制值。
字元類型規則
字元類型規則設定密碼中可包含的某些類型字元及數字的最大與最小數目。其中包括:
輸入每個字元類型規則的數字限制值;或輸入「全部」以表示所有字元均必須為該類型。
您也可以設定必須通過驗證的字元類型規則最小數目,如圖 3-11 中所示。必須通過的最小數目為 1。最大數目不能超過您已啟用的字元類型規則數目。
圖 3-11 密碼策略 (字元類型) 規則
字典策略選擇
您可以選擇比照字典中的字詞來檢查密碼。在您可以使用此選項之前,您必須:
可以從 [Policies] 頁面配置字典。如需有關如何設定字典的詳細資訊,請閱讀 「Identity Manager Deployment Tools」中標題為「Configuring Dictionary Support」的一章。
密碼歷程記錄策略
可以禁止重新使用在新選密碼之前剛使用過的密碼。
在 [Number of Previous Passwords that Cannot be Reused] 欄位中,輸入大於一的數值可禁止再次使用目前與之前的密碼。例如,若輸入的數值為 3,則新密碼不可與目前密碼或其之前使用的兩個密碼相同。
您也可以禁止重複使用與曾經用過的密碼類似的字元。在 [Maximum Number of Similar Characters from Previous Passwords that Cannot be Reused] 欄位中,輸入新密碼不得重複先前密碼的連續字元數目。例如,若是輸入值為 7,且舊密碼為 password1,則新密碼便不可以是 password2 或 password3。
如果輸入值為 0,則不論順序如何,所有字元都必須不同。例如,舊密碼若是 abcd,則新密碼中便不可以含有字元 a、b、c 或 d。
此規則可套用至一或多個舊密碼上。所檢查的舊密碼數就是 [Number of Previous Passwords that Cannot be Reused] 欄位中所指定的數字。
不得包含字詞
您可以輸入一個或多個密碼不可包含的字。在輸入方塊中,在每一行輸入一個字。
您也可以透過配置並實作字典策略來排除字詞。如需更多資訊,請參閱字典策略。
不得包含屬性
選取一個或多個密碼不可包含的屬性。屬性包括:
您可以在 UserUIConfig 配置物件中變更密碼允許的「不得包含」屬性集。UserUIConfig 中的密碼屬性列示在 <PolicyPasswordAttributeNames> 中。
執行密碼策略
會為每個資源建立密碼策略。若要將密碼策略置於特定資源中,請在 [Password Policy] 選項清單中將其選取,該清單位於「建立或編輯資源精靈」的 [Policy Configuration] 區域:[Identity Manager Parameters] 頁面。
使用者認證
若使用者忘記其密碼或其密碼被重設,則可以回答一個或多個帳號認證問題以存取 Identity Manager。這些問題與管理這些問題的規則是 Identity Manager 帳號策略的一部份,可以由您建立。不同於密碼策略,Identity Manager 帳號策略被直接或透過指定給使用者的組織指定給使用者 (位於 [Create and Edit User] 頁面)。
在帳號策略中設定認證:
重要事項!首次設定時,使用者應登入 Identity Manager 使用者介面,並提供其認證問題的初始答案。若未設定這些答案,則使用者無法在不使用其密碼的情況下成功登入。
根據認證規則設定,您可以要求使用者回答:
您可以驗證您的認證選擇,方法為登入 Identity Manager 使用者介面,按一下 [Forgot Your Password?],然後回答出現的問題。
圖 3-12 顯示了使用者帳號認證螢幕範例。
圖 3-12 使用者帳號認證
個性化的認證問題
在 Lighthouse 帳號策略中,您可以選取選項以讓使用者可以在使用者介面和管理員介面中提供自己的認證問題。此外,透過使用個性化的認證問題,您還可以設定使用者為成功登入所必須提供和回答問題的最大數目。
然後,使用者可在 [Change Answers to Authentication Questions] 頁面中增加和變更問題。圖 3-13 中顯示了此頁面的範例。
圖 3-13 變更回答 — 個性化的認證問題
認證後略過變更密碼詢問
使用者透過回答一個或多個問題成功通過認證後,依預設,系統將要求他提供一個新密碼。然而,您可以透過為一個或多個 Identity Manager 應用程式設定 bypassChangePassword 系統配置特性,來將 Identity Manager 配置為略過變更密碼詢問。
若要在成功認證後略過所有應用程式的變更密碼詢問,請在系統配置物件中將 bypassChangePassword 特性設定如下:
若要對特定應用程式停用此密碼詢問,請將其設定如下:
代碼範例 3-2 設定用於停用變更密碼詢問的屬性
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
指定管理權限
您可以如下將 Identity Manager 管理權限或權能指定給使用者:
- [Admin Roles] — 具有指定的管理員角色的使用者會繼承該角色定義的權能和受控制組織。依預設,在建立所有 Identity Manager 使用者帳號時,會為其指定 使用者管理員角色。如需有關管理員角色和建立管理員角色的詳細資訊,請參閱第 4 章中的「配置 Identity Manager 資源」。
- [Capabilities] — 權能由規則定義。Identity Manager 提供了幾組分組為功能權能的權能,您可以從中進行選取。指定權能可以更詳細地指定管理權限。如需有關權能和建立權能的資訊,請參閱第 5 章中的「瞭解與管理權能」。
- [Controlled organizations] — 受控制的組織可為指定組織授予管理控制權限。如需更多資訊,請參閱第 5 章中的「瞭解 Identity Manager 組織」。
如需有關 Identity Manager 管理員和管理責任的更多資訊,請參閱第 5 章「管理」。
使用者自我探索Identity Manager 使用者介面可讓使用者探索資源帳號。這表示具有 Identity Manager 身份的使用者可與現有的但無關聯的資源帳號相關聯。
啟用自我探索
若要啟用自我探索,您必須編輯特殊配置物件 (一般使用者資源),並新增至允許使用者探索帳號的每個資源的名稱。若要執行此作業,請執行以下步驟:
- 開啟 Identity Manager [System Settings] 頁 (idm/debug)。
- 從 [Configuration] 類型清單中選取 [Configuration],然後按一下 [List Objects]。
- 按一下 [End User Resources] 旁的 [Edit] 來顯示配置物件。
- 增加 <String>Resource</String>,其中 Resource 與儲存庫中資源物件的名稱相符,如圖 3-14 中所示。
圖 3-14 一般使用者資源配置物件
- 按一下 [Save]。
啟用自我探索後,會透過 Identity Manager 使用者介面上的新功能表項目 ([Inform Identity Manager of Other Accounts]) 表示使用者。此區域允取該使用者從可用清單選取資源,然後輸入資源帳號 ID 與密碼,來連結帳號與其 Identity Manager 身份。
相互關聯與確認規則當您沒有可用來填入動作的使用者欄位的 Identity Manager 使用者名稱時,可使用相互關聯與確認規則。若未指定使用者欄位值,啟動批次處理動作時,您就必須指定相互關聯規則。若未指定使用者欄位值,那麼就不會對該動作評估相互關聯與確認規則。
相互關聯規則會尋找符合動作欄位的 Identity Manager 使用者。確認規則會根據動作欄位來測試 Identity Manager 使用者,以便確定是否是符合的使用者。這樣的兩階段式方法可讓 Identity Manager 快速尋找可能的使用者 (根據名稱或屬性) 並且只對可能的使用者執行龐雜的檢查,藉此最佳化相互關聯。
建立相互關聯或確認規則的方法是分別建立 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 子類型的規則物件。
如需有關相互關聯與確認規則的更多資訊,請參閱「Identity Manager Technical Deployment Overview」中的「資料載入與同步化」一章。
相互關聯規則
相互關聯規則的輸入是動作欄位的對映。輸出必須為以下其中之一:
典型的相互關聯規則會根據動作中的欄位值來產生使用者名稱清單。相互關聯規則也可能會產生用來選取使用者的屬性條件清單 (參考 Type.USER 的可查詢屬性)。
相對來說,相互關聯規則應該比較簡便,但是應該盡可能縮小範圍。可能的話,將龐雜的處理留給確認規則。
屬性條件必須參考 Type.USER 的可查詢屬性。在 Identity Manager UserUIConfig 物件中會將它們配置為 QueryableAttrNames。
在延伸屬性上進行相互關聯需要特殊配置:
確認規則
對確認規則的輸入如下:
如果使用者符合動作欄位,確認規則會傳回字串形式的布林值 true;否則會傳回 false 值。
典型的確認規則會比對來自使用者檢視的內部值與動作欄位的值。確認規則還可當作相互關聯作業中的可選擇第二階段,也就是執行無法在相互關聯規則中表示的檢查 (或是太龐雜而無法在相互關聯規則中評估的檢查)。一般而言,只有在以下情況下才會需要確認規則:
系統會對相互關聯規則傳回的每個符合的使用者各執行一次確認規則。