第 17 章服务提供者管理

本章提供了在 Sun Identity Manager 中管理服务提供者功能而需要了解的信息。要使用此信息，了解轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录和联合管理会很有帮助。有关服务提供者实现的更深入介绍，请参见“Identity Manager 服务提供者部署”。

服务提供者功能概述

在服务提供者环境中，您需要能够管理所有最终用户（外联网用户以及内联网用户）的用户置备。通过使用 Identity Manager 服务提供者功能，公司管理员可以将身份帐户分为两种不同的类型：Identity Manager 用户和服务提供者用户。Identity Manager 中的服务提供者用户是已配置为“服务提供者用户”类型的用户帐户。

通过提供以下功能，将 Identity Manager 用户置备和审计权能扩展到服务提供者实现：

增强的最终用户页面

提供了可以为服务提供者实现自定义的增强的最终用户页面。

密码和帐户 ID 策略

如同其他 Identity Manager 用户一样，您可以定义服务提供者用户和资源帐户的帐户 ID 和密码策略。

可使用服务提供者系统帐户策略（已添加到主“策略”表中）为服务提供者用户激活策略检查代码。

Identity Manager 与服务提供者同步

可以将 Identity Manager 与服务提供者帐户同步配置为在任何 Identity Manager 服务器上运行或限制在选定的服务器上运行。

如同 Identity Manager 同步一样，通过“资源”页上的“资源操作”选项可以轻松地停止和启动服务提供者同步。请参见启动和停止同步。

Identity Manager 用户同步的输入表单与服务提供者用户同步的输入表单不同。请参见最终用户界面。

Access Manager 集成

您可以使用 Sun Access Manager 7 2005Q4 在服务提供者最终用户页面上进行验证。如果配置了与 Access Manager 集成，则 Access Manager 可确保只有经过验证的用户才可以访问最终用户页面。

服务提供者需要用户名以进行审计。更新 AMAgent.properties 文件可以将用户的 ID 添加到 HTTP 标头，例如：

最终用户页面验证过滤器会将 HTTP 标头值置入 HTTP 会话（其他代码希望该标头值置入其中）。

初始配置

要配置服务提供者功能，请执行以下步骤编辑目录服务器的 Identity Manager 配置对象：

编辑主配置

编辑用户搜索配置



注	在继续之前，请确保您已经：定义了 LDAP 资源。默认情况下，将导入一个名为“服务提供者最终用户目录”的样例资源。如果要将用户信息和配置信息存储在不同的目录中，您可以配置多个资源。此模式必须包括 XML 对象的映射。为目录资源配置的基本上下文仅适用于存储在该目录中的用户。如果需要，可配置服务提供者帐户策略。

编辑主配置

在管理员界面中，单击菜单中的服务提供者。

单击编辑主配置。

将打开服务提供者配置页。

填写相应的服务提供者配置表单：

目录配置

在“目录配置”小节中，将介绍为服务提供者用户配置 LDAP 目录和指定 Identity Manager 属性的信息。

图 17-1 显示了“服务提供者配置”页的这一区域以及下一节中介绍的“用户表单和策略”区域。

从列表中选择服务提供者最终用户目录。

选择在其中存储所有服务提供者用户数据的 LDAP 目录资源。

输入帐户 ID 属性名称。

这是包括帐户的唯一简短标识符的 LDAP 帐户属性名称。它被视为用户通过 API 进行验证及帐户访问时使用的名称。该属性名称必须在模式映射中定义。

指定 IDM 组织属性名称。

该选项指定包含组织（该组织是 LDAP 帐户在 Identity Manager 中所属的组织）名称或 ID 的 LDAP 帐户属性名称。它用于 LDAP 帐户的委托管理。属性名称必须存在于 LDAP 资源模式映射中，并且是 Identity Manager 系统属性名称（模式映射左边的名称）。



注	如果要通过组织授权启用委托管理，则应指定 Identity Manager 组织属性名称（如果需要，还应指定“IDM 组织属性名称包括 ID”）。

如果您选择 IDM 组织属性名称包括 ID，请启用该选项。

如果 LDAP 资源属性（是指 LDAP 帐户所属的 Identity Manager 组织）包含 Identity Manager 组织的 ID 而非名称，请选择该选项。

如果您选择压缩用户 XML，请启用该选项。

如果您选择压缩存储在目录中的用户 XML，请选择该选项。

单击测试目录配置以验证配置的条目。



注	您可以根据需要测试目录、事务和审计配置。要对以上三方面进行全面测试，请单击三个测试配置按钮。

用户表单和策略

在“用户表单和策略”区域（如上面的图 17-1 所示）中，可以指定用于服务提供者用户管理的表单和策略。

要指定用于服务提供者用户管理的表单和策略，请执行以下步骤：

从列表中选择最终用户表单。

除了委托管理员页面和同步期间，该表单可用于所有其他环境。如果选择无，则不使用默认用户表单。

从列表中选择管理员用户表单。

这是用于管理员上下文中的默认用户表单。该表单包括服务提供者帐户编辑页。如果选择无，则不使用默认用户表单。



注	如果不选择“管理员用户表单”，则管理员将无法通过 Identity Manager 创建或编辑服务提供者用户。

从列表中选择同步用户表单。

如果没有为运行服务提供者同步的资源指定任何表单，则会使用默认的“同步用户表单”。如果在资源的同步策略上指定了输入表单，将使用该表单。资源通常需要不同的同步输入表单。在这种情况下，应该对每个资源设置同步用户表单，而不是从列表中选择表单。

从列表中选择帐户策略。

这些选项包括通过“配置”>“策略”定义的任何身份帐户策略。

从列表中选择帐户是否锁定规则。

选择要针对服务提供者用户视图运行的规则，该规则可以确定帐户是否锁定。

选择锁定帐户规则。

选择要针对服务提供者用户视图运行的规则，该规则可以在视图中设置能锁定帐户的属性。

选择解除锁定帐户规则。

选择要针对服务提供者用户视图运行的规则，该规则可以在视图中设置能解除锁定帐户的属性。

事务数据库

可以使用“服务提供者配置”页中的此部分（如图 17-2 所示）来配置事务数据库。仅当使用 JDBC 事务持久性存储时，才需要使用这些选项。更改其中的任何值均需要重新启动服务器以将其应用。

必须根据 create_spe_tables DDL 脚本（位于 Identity Manager 安装的 sample 目录中）中所示的模式设置事务的数据库表。可能需要为目标环境自定义相应的脚本。

输入以下数据库信息：

驱动程序类 - 指定 JDBC 驱动程序类名。

驱动程序前缀 - 此字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

连接 URL 模板 - 此字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

主机 - 输入正在运行该数据库的主机的名称。

端口 - 输入数据库服务器侦听的端口号。

数据库名称 - 输入要使用的数据库的名称。

用户名 - 输入有权读取、更新和删除选定数据库中事务和审计表中各行的数据库用户的 ID。

密码 - 输入数据库用户密码。

事务表 - 输入选定数据库中用于存储暂挂事务的表名称。

如果适用，单击测试事务配置以验证您的条目。

跟踪的事件配置

启用事件收集后，您便可以实时跟踪统计信息，从而有助于维护预期级别和商定级别的服务。默认情况下启用事件收集，如图 17-3 所示。清除启用事件收集复选框将禁用收集。

图 17-3 服务提供者配置（跟踪的事件、帐户索引和标注配置）

要设置时区并指定服务提供者跟踪事件的收集间隔，请执行以下步骤：

从列表中选择时区。

选择记录跟踪事件时要使用的时区，或选择设置为服务器默认值以使用服务器上设置的时区。

选择用于收集的时间范围选项。

按以下时间间隔聚集的收集：每 10 秒钟、每分钟、每小时、每日、每周和每月。禁用您不希望按其进行收集的任何间隔。

同步帐户索引

在服务提供者实现中同步资源时，可能需要定义帐户索引以正确地将此资源发送的事件与服务提供者目录中的用户相关联。

默认情况下，资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中，不会始终发送 accountId；例如，ActiveDirectory 中的删除事件仅包含 ActiveDirectory 生成的帐户 GUID。

guid - 该属性通常包含系统生成唯一标识符。

身份 - 该属性通常与除 LDAP 资源之外的所有资源的 accountId 相同，在 LDAP 资源中 identity 包含对象的完整 DN。

如果需要使用 guid 或 identity 进行关联，则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后，便可将其用于搜索过滤器以关联同步事件。

要定义帐户索引，请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供者目录的资源定义，并在模式映射中为每个活动同步资源的 GUID 或 identity 属性添加属性。例如，如果从 ActiveDirectory 同步，则可以定义映射到未使用的目录属性（例如管理员）的名为 AD-GUID 的属性。

在定义了服务提供者资源中的所有索引属性后，请执行以下步骤：

在配置页的“同步帐户索引”区域中，单击新建索引按钮。

表单可扩展为包含资源选项字段，之后是两个属性选项字段。在选择资源之前，属性选项字段保持为空

从列表中选择资源。

现在，属性字段包含在模式映射中为选定资源定义的值。

为 GUID 属性或完整身份属性选择适当的索引属性。

通常不必同时设置二者。如果同时设置二者，则软件首先尝试使用 GUID 进行关联，然后使用完整身份进行关联。

您可以再次单击新建索引以定义其他资源的索引属性。

要删除索引，请单击资源选项字段右侧的删除按钮。

删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

标注配置

选择“标注配置”段中的该选项可以启用标注。启用标注后，将显示标注映射，使您可以为每个列出的事务类型选择操作前和操作后选项。


注	删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

如果指定操作后标注，请使用等待操作后的标注选项指定事务必须等待操作后标注处理完成后才能完成。这可确保任何相关事务都只能在操作后标注成功完成后执行。

编辑用户搜索配置


注	在“服务提供者配置”页上的所有部分中选择完设置后，单击保存以完成配置。

通过使用此页（如图 17-4 所示），可以为“管理服务提供者用户”页上委托的管理员进行的搜索配置默认搜索设置。这些默认值适用于“管理服务提供者用户”页上的所有用户，但是可以根据每个会话将其覆盖。

要配置默认搜索设置以搜索服务提供者用户，请执行以下步骤：

在菜单栏中单击服务提供者。

单击编辑用户搜索配置。

输入返回的最大结果数的数值（默认值为 100）。

输入每页的结果数的数值（默认值为 10）。

使用箭头键选择要显示的结果属性旁的可用的属性。

从列表中选择要搜索的属性。

从列表中选择搜索操作。

单击保存。



注	只有在注销并重新登录后，对搜索配置所做的更改才会生效。如果尚未配置服务提供者目录，则无法使用这些配置对象。

事务管理

某个事务可以封装单个置备操作，例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成，需要将其写入事务持久性存储。

设置默认事务执行选项

这些选项控制事务的执行方式，包括同步/异步处理及何时在事务持久性存储中对其进行持久性处理。可以在 IDMXUser 视图中或通过用于对其进行处理的表单覆盖这些选项。有关详细信息，请参见 Identity Manager 服务提供者部署。

单击服务提供者 > 编辑事务配置。

将显示服务提供者事务配置页。

图 17-5 显示了“默认事务执行选项”区域。

图 17-5 事务配置
在服务提供者配置中设置默认事务执行选项

从以下选项中选择一致性级别保证，以指定用户更新的事务一致性级别：

无 - 不保证用户的资源更新按顺序进行

本地 - 保证由同一服务器处理的用户资源更新按顺序进行。

完成 - 保证用户在所有服务器上的所有资源更新都按顺序进行。此选项要求在进行尝试或异步处理之前保留所有事务。

选择以下您选择启用的默认事务执行选项：

等待第一次尝试 - 规定当 IDMXUser 视图对象登入时控制权如何返回给调用方。如果启用该选项，则在置备事务完成一次尝试之前，登入操作将被阻塞。如果禁用异步处理，则当控制权返回时，事务要么成功，要么失败。如果启用异步处理，则事务将在后台继续重试。如果禁用该选项，则登入操作将在尝试置备事务之前将控制权返回给调用方。请考虑启用该选项。

启用异步处理 - 该选项控制在登入调用返回后是否继续处理置备事务。

启用异步处理将允许系统重试事务。也可以允许设置高级事务处理设置中配置的工作线程异步运行，以提高吞吐量。如果选择此选项，则应该为要通过同步输入表单置备到或更新的资源配置重试时间间隔和尝试次数。

选择启用异步处理后，请输入重试超时值。该值是服务器重试失败的置备事务的时间上限（毫秒）。该设置补充单个资源的重试设置，包括服务提供者用户 LDAP 目录。例如，如果在达到资源重试限制之前达到了该限制，则事务将异常中止。如果该值为负，则重试次数仅受单个资源的设置的限制。

在尝试前使事务具有持久性 - 如果启用，置备事务将在尝试前被写入到事务持久性存储中。由于大多数置备事务在第一次尝试时就会成功，因此启用该选项可能会产生不必要的系统开销。考虑禁用该选项，除非等待第一次尝试选项已禁用。如果选择“完成”一致性级别，则无法使用该选项。

在异步处理前使事务具有持久性（默认选项） - 如果启用，置备事务将在异步处理前被写入到事务持久性存储中。如果“等待第一次尝试”选项已启用，则需要重试的事务将在控制权返回到调用方前具有持久性。如果“等待第一次尝试”选项已禁用，则事务会在尝试前一直具有持久性。建议启用该选项。如果选择“完成”一致性级别，则无法使用该选项。

每次更新时使事务具有持久性 - 如果启用，置备事务将在每次重试尝试后具有持久性。由于事务持久性存储（可以从搜索事务页中进行搜索）始终是最新的，因此该操作可以帮助隔离问题。

设置事务持久性存储

“服务提供者事务配置”页上的选项适用于事务持久性存储。可以配置要在存储中显示的存储类型以及其他可查询属性，如下图所示。

要设置“服务提供者事务配置”页上的选项，请执行以下步骤：

从列表中选择所需的事务持久性存储类型。

如果选择了数据库选项，则在服务提供者配置主页中配置的 RDBMS 将用于使置备事务具有持久性。这保证了必须重试的事务不会在服务器重新启动时丢失。选择该选项要求在服务提供者配置主页中配置 RDBMS。如果选择了模仿的基于内存选项，则要求重试的事务将仅存储到内存中并且将在服务器重新启动时丢失。在生产环境中，请启用数据库选项。



注	基于内存的事务持久性存储不适合在群集环境中使用。更改事务持久性存储类型后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

如果需要，请输入自定义的可查询用户属性。

选择要在事务摘要中显示的 IDMXUser 对象的附加属性。这些属性可以从搜索事务页中查询并显示在搜索结果中。它们包括：

用户路径表达式 - 将路径表达式输入到 IDMXUser 对象中。

显示名称 - 选择与路径表达式对应的显示名称。该显示名称显示在事务搜索页中。

设置高级事务处理设置

这些高级选项控制事务管理器的内部工作。除非性能分析说明提供的默认值不是最佳的，否则不要对其进行更改。所有条目都是必需的。

图 17-5 说明了“编辑事务配置”页上的“高级事务处理设置”区域。

请输入所需的工作者线程（默认值为 100）。

这是用来处理事务的线程数。该值限定了可以并发处理的事务数。这些线程在启动时静态分配。



注	更改工作者线程设置后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

输入所需的租用持续时间 (ms)（默认值为 600000）。

它控制服务器将锁定要重试的事务的时间。需要时将更新租用。但是，如果服务器没有完全关闭，则在原始服务器租用到期前其他服务器不能锁定事务。该值至少应为一分钟。将该值设置得较小可能会影响事务持久性存储的负荷。

输入所需的租用更新时间 (ms) 时间（默认值为 300000）。

此选项可控制更新锁定事务的租用的时间。当租用时间还剩余该毫秒值时，租用会更新。

输入所需的完成的事务保留在存储中的时间 (ms)（默认值为 360000）。

从事务持久性存储中删除完成的事务前要等待的时间（毫秒）。除非事务被配置为立即具有持久性，否则事务持久性存储不会包含所有完成的事务。

输入所需的就绪队列低水位标记（默认值为 400）。

当事务调度程序的准备运行事务队列降到该限制以下时，将使用可用的准备运行事务重新填充队列，最高可到高水位限制。

输入所需的就绪队列高水位标记（默认值为 800）。

当事务调度程序的准备运行事务队列降到低水位限制以下时，将使用可用的准备运行事务重新填充队列，最高可到该限制。

输入所需的暂挂队列低水位标记（默认值为 2000）。

事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

输入所需的暂挂队列高水位标记（默认值为 2000）。

事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

输入所需的调度程序周期 (ms)（默认值为 500）。

这是事务调度程序应运行的频率。当运行时，事务调度程序会将准备运行事务从暂挂队列移动到就绪队列，并执行其他周期性任务，例如，使事务具有持久性以进入事务持久性存储中。

单击保存接受设置。

监视事务

服务提供者事务将写入事务持久性存储中。您可以在事务持久性存储中搜索事务以查看事务状态。

使用“事务搜索”页可以指定搜索条件，从而使您可以根据与事务事件相关的特定条件（例如用户、类型、状态、事务 ID、当前状态和事务的成功或失败）来过滤要查看的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务，以阻止其进一步的尝试。


注	使用“编辑事务配置”页（请参见“事务管理”），管理员可以控制使事务具有持久性的时间。例如，即使事务尚未进行首次尝试，也可以使其立即具有持久性。

在管理员界面中，单击主菜单中的服务器任务。

单击次级菜单中的服务提供者事务。

将打开服务提供者事务搜索页，您可以在该页中指定搜索条件。



注	搜索仅返回与以下选定的所有条件匹配的事务。这类似于帐户 > 查找用户页。

如果需要，请选择用户名。

这允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。



注	如果已在“服务提供者事务配置”页上配置任何自定义的可查询用户属性，则它们会在此显示。例如，如果将它们配置为自定义的可查询用户属性，则您可以选择根据“姓”或“全称”进行搜索。

如果需要，请选择针对类型搜索。

这允许您搜索选定类型的事务。

如果需要，请选择针对状态搜索。

这允许您搜索处于以下选定状态的事务：

尚未尝试表示尚未尝试的事务。

暂挂重试表示这样的事务：已经尝试一次或多次，具有一个或多个错误，并计划重试，重试次数不超过为单个资源配置的重试限制。

成功表示已经成功完成的事务。

失败表示已经完成但具有一个或多个故障的事务。

如果需要，请选择针对尝试次数搜索。

这允许您根据事务已尝试的次数搜索这些事务。将会重试失败的事务，重试次数不超过为单个资源配置的重试限制。

如果需要，请选择针对已提交搜索。

这允许您根据事务初次提交的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对已完成搜索。

这允许您根据事务完成的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对取消状态搜索。

这允许您根据事务是否已取消搜索这些事务。

如果需要，请选择针对事务 ID 搜索。

这允许您根据事务唯一的 ID 搜索这些事务。使用该选项可以根据您输入的出现在所有审计日志记录中的 ID 值查找事务。

如果需要，请选择针对运行环境（哪一台服务器）搜索。

这允许您根据运行事务的服务提供者服务器搜索这些事务。服务器的标识符基于它的计算机名称，除非它已在 Waveset.properties 文件中被覆盖。

将搜索结果数限制为从列表中选择的首个条目数。

返回的结果数不会超过指定的限制值。即使有更多的结果可用，也不会做任何指示。

图 17-8 搜索事务
指定要搜索服务提供者用户事务的搜索条件。

单击搜索。

将显示搜索结果。

如果需要，请单击结果页面底部的下载所有匹配的事务。这将把结果保存为 XML 格式的文件。



注	您可以取消搜索结果中返回的事务。选择结果表中的事务，然后单击已选择取消。您无法取消已完成或已被取消的事务。

委托管理

通过使用 Identity Manager 管理员角色或通过基于组织的授权模型可启用服务提供者用户的委托管理。

通过组织授权委托

默认情况下，Identity Manager 通过基于组织的授权模型提供管理职责的委托。在基于组织的授权模型中创建委托管理员时，请谨记以下几点：

服务提供者管理员是具有特定权能和受控组织的 Identity Manager 用户。

用户的组织属性值可以是 Identity Manager 组织的名称，也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的 Identity Manager 组织属性名称包括 ID 字段的设置。

您可以创建 Identity Manager 分层结构，并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识，而不是组织的简单名称。

服务提供者用户通过目录服务器中的用户属性获取其组织。

您必须在目录服务器资源的模式映射中设置这些属性。

属性比较是通过对管理员受控组织列表进行完全匹配来完成的。目录中存储的值必须与组织名称相匹配，而不是整个分层结构。如果管理员控制 Top:orgA:sub1，则 sub1 必须为存储在服务提供者用户的组织属性中的值。

如果未设置属性或属性与 Identity Manager 组织不对应，则会将服务提供者用户视为 Top 组织的成员。这要求服务提供者管理员在 Top 中具有服务提供者用户权能才能管理这些用户。

属性设置可确定按服务提供者管理员进行搜索的范围。

要创建委托管理员帐户，应先创建 Identity Manager 管理员，然后添加服务提供者管理员权能。可以将特定于服务提供者任务的权能分配给用户（在编辑用户页的安全选项卡中）。受控组织可指定管理员可以修改的服务提供者用户。适用于服务提供者用户的所有资源均适用于所有 Identity Manager 管理员。



注	有关 Identity Manager 委托管理的更多信息，请参见第 6 章管理中的委托管理。

通过管理员角色分配委托

要授予对服务提供者用户的细化权能和控制范围，请使用服务提供者用户管理员角色。可以将管理员角色配置为在登录时动态分配给一个或多个 Identity Manager 用户或服务提供者用户。

可以定义规则并将其分配给管理员角色，管理员角色可指定授予分配了管理员角色的用户的权能（例如 Service Provider Create User）。

要将管理员角色委托用于服务提供者用户，您必须在 Identity Manager 系统配置对象（更多...）中将其启用。

如果启用通过管理员角色分配进行的委托，则“服务提供者配置”中的“IDM 组织属性名称”不是必填项。

启用服务提供者管理员角色委托

要启用服务提供者管理员角色委托（服务提供者委托管理），请打开要修改的系统配置对象（更多...）并将以下属性设置为 true：

其中 app name 为 Identity Manager 应用程序（例如管理员界面），object type 为 Service Provider Users

可以为每个 Identity Manager 应用程序（例如管理员界面或用户界面）和每个对象类型启用该属性。当前，唯一受支持的对象类型为 Service Provider Users。默认值为 false。

例如，要为 Identity Manager 管理员启用服务提供者委托管理，请将“系统配置”配置对象中的以下属性设置为 "true"：

如果为给定的 Identity Manager 或服务提供者应用程序禁用了服务提供者委托管理（设置为 false），则会使用基于组织的授权模型。

在启用服务提供者委托管理后，跟踪的事件将捕获有关执行的授权规则数和持续时间的信息。可以在面板中找到这些统计信息。

配置服务提供者用户管理员角色

要配置服务提供者用户管理员角色，请创建一个管理员角色，然后指定控制范围、权能以及应将其分配给的用户。



注	在创建服务提供者用户管理员角色之前，应为管理员角色定义搜索上下文、搜索过滤器、搜索过滤器后、权能和用户分配规则。您必须指定规则的 authType 才能使用这些规则，即 SPEUsersSearchContextRule、SPEUsersSearchFilterRule、SPEUsersAfterSearchFilterRule、CapabilitiesOnSPEUserRule、UserIsAssignedAdminRoleRule、SPEUserIsAssignedAdminRoleRule。 Identity Manager 提供了样例规则，您可以使用这些样例规则为服务提供者用户管理员角色创建这些规则。您可以在 Identity Manager 安装目录的 sample/adminRoleRules.xml 中找到这些规则。有关为您的环境创建这些规则的更多信息，请参见“Identity Manager 服务提供者部署”。

在管理员界面中，单击菜单中的安全，然后单击管理员角色。

将打开“管理员角色”页。

单击新建...。

将打开“创建管理员角色”页。

指定管理员角色的名称，并选择服务提供者用户类型。

按照以下各节所述，指定控制范围、权能和分配给用户选项。

指定控制范围

服务提供者用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供者最终用户可以查看的服务提供者用户。如果请求在目录中列出服务提供者用户，则会强制指定控制范围。

您可以为服务提供者用户管理员角色控制范围指定以下一个或多个设置：

用户搜索上下文 - 指定是使用规则还是文本字符串来开始搜索。

用户搜索过滤器 - 指定搜索过滤器是应用规则还是文本字符串。

用户搜索过滤器后规则 - 选择在应用用户搜索过滤器后将应用的规则。

指定权能

服务提供者用户管理员角色的权能用于指定请求用户对所请求访问的服务提供者用户具有的权能和权限。如果请求查看、创建、修改或删除服务提供者用户，则会强制指定权能。

在权能选项卡上，选择要为该管理员角色应用的权能规则。

为用户分配管理员角色

通过指定将在登录时进行评估以确定是否向验证用户分配管理员角色的规则，可以将服务提供者用户管理员角色动态地分配给服务提供者用户。

委托服务提供者用户管理员角色


注	必须为每个登录界面（例如用户界面和管理员界面）启用将管理员角色动态分配给用户的操作，方法是：将以下系统配置对象（更多...）设置为 true： security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface 所有界面的默认值为 false。

默认情况下，服务提供者用户可以将分配给他们的服务提供者用户管理员角色分配（或委托）给其控制范围内的其他服务提供者用户。

事实上，任何具有编辑服务提供者用户权能的 Identity Manager 用户均可将分配给他们的服务提供者用户管理员角色分配给其控制范围内的服务提供者用户。

服务提供者用户管理员角色还可以包括分配者列表，无论是何控制范围，这些分配者均可分配管理员角色。这些直接分配可以确保至少一个已知用户帐户可以分配管理员角色。

管理服务提供者用户

本节包含通过 Identity Manager 管理服务提供者用户的步骤和信息。本节包含以下主题：

用户组织

通过服务提供者，用户的属性值可以确定将该用户分配给哪个组织。这是由服务提供者主配置（请参见初始配置）中的 Identity Manager 组织属性名称字段指定的。但是，这些组织的名称必须与目录服务器中分配的用户属性值相匹配。

如果定义了 Identity Manager 组织属性名称，则“创建用户”和“编辑用户”页上将显示可用组织的多重选择列表。默认情况下显示组织的简称。您可以修改服务提供者用户表单以显示完整的组织路径。

您可以选择哪个属性将成为组织名称属性。然后便可在服务提供者用户管理页面中使用该组织名称属性限制可以搜索并管理该用户的管理员。

创建用户和帐户

所有服务提供者用户均必须在服务提供者目录中具有账户。如果用户具有其他资源的帐户，则这些帐户的链接将存储在用户的目录条目中，因此查看用户时可使用有关这些帐户的信息。


注	现在具有服务提供者和资源帐户的帐户 ID 和密码策略。可以从主“策略”表中找到服务提供者系统帐户策略。


注	提供了用于创建和编辑用户的服务提供者用户表单样例。自定义该表单以满足您在服务提供者环境中管理用户的需求。有关更多信息，请参见“Identity Manager 工作流、表单和视图”。

在管理员界面中，单击菜单栏中的帐户。

单击管理服务提供者用户选项卡。

单击创建用户。



注	使用默认的服务提供者用户表单时，实际显示的字段取决于在服务提供者目录资源的“帐户属性”表（模式映射）中配置的属性。而且，当您向用户（例如委托管理员）分配资源时，将看到新添加到显示部分中的段，您可以在其中指定这些资源的属性值。您也可以自定义字段。

根据需要输入以下值：

accountid（此字段为必填字段）

password

confirmation（这是密码确认）

firstname（此字段为必填字段）

lastname（此字段为必填字段）

fullname

email

home phone

cell phone

password retry count

account unlock time

使用箭头键从“可用”列表中分配所有所需的“资源”。

帐户状态用于显示帐户处于锁定还是解除锁定状态。单击该选项可以锁定或解除锁定帐户。

图 17-9 创建服务提供者用户和帐户
创建服务提供者用户和帐户属性。



注	该表单可根据为目录帐户（在顶部）定义的属性自动填充资源帐户属性的值。例如，如果资源定义 firstName，则产品将使用目录帐户中的 firstName 值对其进行填充。但是在此初始填充后，对这些属性的修改不会推送到资源帐户。如果需要，可自定义提供的样例服务提供者用户表单。

单击保存以创建用户帐户。

搜索服务提供者用户

服务提供者包括可配置的搜索权能，可帮助管理用户帐户。搜索仅返回在您的范围（如组织所定义的，或可能由其他因子所定义的）内的用户。

要执行服务提供者用户的基本搜索，请在 Identity Manager 界面中的帐户区域中，单击管理服务提供者用户，然后输入搜索值并单击搜索。

高级搜索

搜索结果

删除、取消分配帐户或解除帐户的链接

设置搜索选项

高级搜索

要执行服务提供者用户的高级搜索，请从“服务提供者用户搜索”页中单击高级，然后完成以下操作：

从列表中选择所需的属性。

从列表中选择所需的操作。

通过指定一组条件以过滤搜索返回的用户，且返回的用户必须满足所有指定的条件。

输入所需的搜索值，然后单击搜索。

图 17-10 搜索用户
指定属性条件以搜索服务提供者用户。

单击添加条件并指定新的属性。

选择项目并单击删除选定条件。

搜索结果

服务提供者搜索结果将显示在表中，如图 17-11 中所示。单击属性的列标题，可以按任意属性对结果进行排序。显示的结果取决于您选择的属性。

使用箭头按钮可转至结果的首页、上一页、下一页和尾页。在文本框中输入数字并按 Enter 键，可跳转至特定页。

通过搜索结果页，可以删除用户或解除资源帐户的链接，方法是通过选择一个或多个用户然后单击删除按钮。该操作将打开删除用户页，并显示其他选项（请参见“删除、取消分配帐户或解除帐户的链接.”）。

链接帐户

服务提供者可安装于用户在多个资源上具有帐户的环境中。服务提供者的帐户链接功能允许您以增量方式将现有资源帐户分配给服务提供者用户。帐户链接过程由服务提供者链接策略控制，此策略可定义链接关联规则、链接确定规则和链接验证选项。

在管理员界面中，单击菜单栏中的资源。

选择所需的资源。

在“资源操作”菜单中选择编辑服务提供者链接策略。

选择链接关联规则。此规则可搜索用户可能拥有的资源上的帐户。

选择链接确认规则。此规则可从链接关联规则所选的潜在帐户列表中清除所有资源帐户。



注	如果链接关联规则仅选择一个帐户，则不需要链接确认规则。

选择要求链接验证，将目标资源帐户链接到服务提供者用户。

删除、取消分配帐户或解除帐户的链接

要删除、取消分配用户帐户或将其解除链接，请执行以下步骤：

在菜单栏中单击帐户。

单击管理服务提供者用户。

执行基本搜索或高级搜索。

选择所需的一个或多个用户。

单击删除按钮。

如果需要，请选择其中一个全局选项：

删除所有资源帐户



注	删除资源将删除该资源帐户，但资源分配依然存在。对用户进行后续更新将重新创建帐户。但删除资源始终会将该资源帐户解除链接。

取消分配所有资源帐户



注	取消分配资源将删除该资源分配。取消分配会将资源帐户解除链接。取消分配资源时，将不删除该资源帐户。

解除所有资源帐户的链接



注	解除链接将删除用户和资源帐户之间的链接，但并不删除帐户。也不会删除资源分配，因此对用户进行后续更新将重新链接帐户或在资源上新建帐户。

也可以在删除、取消分配或解除链接列中为一个或多个资源帐户选择一个操作。

选择所需用户帐户后，单击确定。

图 17-12 删除、取消分配帐户或解除帐户的链接
删除服务提供者用户时，您可以删除、取消分配帐户或解除帐户的链接。

设置搜索选项

在管理员界面中，单击菜单栏中的帐户。

单击服务提供者。

单击选项。



注	这些选项仅对当前登录会话有效。这些选项会影响搜索结果的显示方式，它们会影响基本搜索结果和高级搜索结果，并且某些设置仅对新搜索有效。

输入返回的最大结果数。

输入每页的结果数。

使用箭头键从可用的属性中选择所需的显示属性。

图 17-13 设置服务提供者用户的搜索选项
设置服务提供者用户的搜索选项。

最终用户界面

随附的最终用户页面样例提供了 xSP 环境中典型的注册和自助服务示例。这些样例是可扩展的并且可以对其进行自定义。您可以更改外观、修改页面之间的导航规则或显示用于部署的特定于语言环境的消息。有关自定义最终用户页面的详细信息，请参见“Identity Manager 服务提供者部署”。

除了审计自助服务和注册事件以外，还可以使用电子邮件模板将通知发送给受影响的用户。还提供了使用帐户 ID 和密码策略以及帐户锁定的示例。应用程序开发者还可以使用 Identity Manager 表单。如果需要，可以扩展或替换作为 Servlet 过滤器实现的模块验证服务。这样，便可与访问管理系统（如 Sun Access Manager）集成在一起。

样例

使用随附的样例最终用户页面，用户可以通过一系列易于导航的屏幕注册和维护基本用户信息，并接收其操作的电子邮件通知。

密码更改

用户名更改

质询问题更改

通知地址更改

处理忘记用户名的情况

处理忘记密码的情况

电子邮件通知

审计



注	Identity Manager 使用验证表进行注册。仅允许该表中的用户进行注册。例如，当用户 Betty Childs 注册时，如果在验证表中找到 Betty Childs 的条目（包含电子邮件地址 bchilds@example.com），则接受注册。

可以为您的部署轻松地自定义这些页面。可以自定义以下内容：

品牌化

配置选项（例如失败的登录尝试次数）

添加/删除页面

有关自定义页面的更多信息，请参见“Identity Manager 服务提供者部署”。

要求新用户注册。在注册期间用户可以设置其登录、质询问题和通知信息。

“主页”屏幕和配置文件屏幕

图 17-15 显示了最终用户“主页”选项卡和配置文件页面。用户可以更改其登录 ID 和密码、管理通知及创建质询问题。

同步

通过同步策略可启用服务提供者用户的同步。要使用 Identity Manager 为服务提供者用户同步资源上属性的更改，您必须配置服务提供者同步。以下主题介绍了如何在服务提供者实现中启用同步：

配置同步

监视同步

启动和停止同步

迁移用户



注	从 Identity Manager 的资源区域的资源列表中配置服务提供者同步。

配置同步

要配置服务提供者同步，请按配置同步中的说明编辑资源的同步策略。

编辑同步策略时，必须指定以下选项以启用服务提供者用户的同步进程。

选择服务提供者用户作为目标对象类型。

在“调度设置”段中，选择启用同步。

按照配置同步中的说明，指定适合您的环境的其他选项。服务提供者同步任务的默认同步间隔为 1 分钟。


注	确认规则和表单必须使用 IDMXUser 视图，而非 Identity Manager 输入用户视图（有关更多信息，请参见“Identity Manager 服务提供者部署”）。这是必需的，因为确认规则会访问关联规则中标识的每个用户的用户视图，从而影响同步性能。

单击保存可以保存策略定义。如果在策略中未禁用同步，则按指定对其进行调度。如果指定禁用同步，则将停止同步服务（如果当前正在运行）。如果启用，则重新启动 Identity Manager 服务器时，或在“同步资源操作”下选择启动服务提供者时，将启动同步。

监视同步

在“资源”列表上的描述字段中查看同步状态。

使用 JMX 界面监视同步度量。

启动和停止同步

默认情况下，在为服务提供者实现配置 Identity Manager 时，将启用服务提供者同步。

在管理员界面中，单击菜单中的资源。

将打开“列出资源”页。

在“服务提供者”区域中，选择资源，然后单击编辑同步策略以编辑策略。

清除启用同步复选框。

单击保存。

保存策略后，同步将停止。

要停止同步而不将其禁用，请从“同步资源操作”中选择停止服务提供者。

迁移用户

服务提供者功能包含示例用户迁移任务及关联的脚本。该任务可将现有的 Identity Manager 用户迁移到服务提供者用户目录。本节介绍如何使用示例迁移任务。建议您修改该示例以用于您的环境。


注	如果通过使用资源操作停止同步，而不是禁用同步，则启动任何 Identity Manager 服务器后将再次启动同步。

在管理员界面中，单击菜单中的服务器任务。

将打开“查找任务”页。

单击次级菜单中的运行任务。

单击 SPE 迁移。

输入唯一的任务名称。

从列表中选择资源。

这是 Identity Manager 中表示服务提供者目录服务器的资源。不会迁移在 Identity Manager 用户中找到的该资源的链接。

输入身份属性。

这是包含目录用户的唯一简短身份的 Identity Manager 用户属性。

从列表中选择身份规则。

这是可以通过 Identity Manager 用户的属性计算目录用户名称的可选规则。身份规则可以计算简单名称（通常为 uid），然后会通过资源的身份模板处理该简短名称，以形成目录服务器的标识名 (DN)。该规则还可以返回不使用 ID 模板的完全指定的 DN。

单击启动可启动后台迁移任务。

配置服务提供者审计事件

在服务提供者实现中，Identity Manager 的审计日志记录系统可以审计与外联网用户活动相关的事件。Identity Manager 提供了 Service Provider Edition 审计配置组（默认情况下已启用），该配置组可指定为服务提供者用户记录的审计事件。请参见图 17-16。

有关审计日志记录和修改 Service Provider Edition 审计配置组中事件的更多信息，请参见第 10 章审计日志记录。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理