![]() | |
Sun[TM] Identity Manager 8.0 管理 |
第 17 章
服务提供者管理本章提供了在 Sun Identity Manager 中管理服务提供者功能而需要了解的信息。要使用此信息,了解轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录和联合管理会很有帮助。有关服务提供者实现的更深入介绍,请参见“Identity Manager 服务提供者部署”。
本章包含以下主题:
服务提供者功能概述在服务提供者环境中,您需要能够管理所有最终用户(外联网用户以及内联网用户)的用户置备。通过使用 Identity Manager 服务提供者功能,公司管理员可以将身份帐户分为两种不同的类型:Identity Manager 用户和服务提供者用户。Identity Manager 中的服务提供者用户是已配置为“服务提供者用户”类型的用户帐户。
通过提供以下功能,将 Identity Manager 用户置备和审计权能扩展到服务提供者实现:
增强的最终用户页面
提供了可以为服务提供者实现自定义的增强的最终用户页面。
密码和帐户 ID 策略
如同其他 Identity Manager 用户一样,您可以定义服务提供者用户和资源帐户的帐户 ID 和密码策略。
可使用服务提供者系统帐户策略(已添加到主“策略”表中)为服务提供者用户激活策略检查代码。
Identity Manager 与服务提供者同步
可以将 Identity Manager 与服务提供者帐户同步配置为在任何 Identity Manager 服务器上运行或限制在选定的服务器上运行。
如同 Identity Manager 同步一样,通过“资源”页上的“资源操作”选项可以轻松地停止和启动服务提供者同步。请参见启动和停止同步。
Identity Manager 用户同步的输入表单与服务提供者用户同步的输入表单不同。请参见最终用户界面。
Access Manager 集成
您可以使用 Sun Access Manager 7 2005Q4 在服务提供者最终用户页面上进行验证。如果配置了与 Access Manager 集成,则 Access Manager 可确保只有经过验证的用户才可以访问最终用户页面。
服务提供者需要用户名以进行审计。更新 AMAgent.properties 文件可以将用户的 ID 添加到 HTTP 标头,例如:
com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid
最终用户页面验证过滤器会将 HTTP 标头值置入 HTTP 会话(其他代码希望该标头值置入其中)。
初始配置要配置服务提供者功能,请执行以下步骤编辑目录服务器的 Identity Manager 配置对象:
编辑主配置
要编辑服务提供者实现的配置对象,请执行以下步骤:
目录配置
在“目录配置”小节中,将介绍为服务提供者用户配置 LDAP 目录和指定 Identity Manager 属性的信息。
图 17-1 显示了“服务提供者配置”页的这一区域以及下一节中介绍的“用户表单和策略”区域。
图 17-1 服务提供者配置
(目录、用户表单和策略)
要填写目录配置表单,请执行以下步骤:
- 从列表中选择服务提供者最终用户目录。
选择在其中存储所有服务提供者用户数据的 LDAP 目录资源。
- 输入帐户 ID 属性名称。
这是包括帐户的唯一简短标识符的 LDAP 帐户属性名称。它被视为用户通过 API 进行验证及帐户访问时使用的名称。该属性名称必须在模式映射中定义。
- 指定 IDM 组织属性名称。
该选项指定包含组织(该组织是 LDAP 帐户在 Identity Manager 中所属的组织)名称或 ID 的 LDAP 帐户属性名称。它用于 LDAP 帐户的委托管理。属性名称必须存在于 LDAP 资源模式映射中,并且是 Identity Manager 系统属性名称(模式映射左边的名称)。
- 如果您选择 IDM 组织属性名称包括 ID,请启用该选项。
如果 LDAP 资源属性(是指 LDAP 帐户所属的 Identity Manager 组织)包含 Identity Manager 组织的 ID 而非名称,请选择该选项。
- 如果您选择压缩用户 XML,请启用该选项。
如果您选择压缩存储在目录中的用户 XML,请选择该选项。
- 单击测试目录配置以验证配置的条目。
用户表单和策略
在“用户表单和策略”区域(如上面的图 17-1 所示)中,可以指定用于服务提供者用户管理的表单和策略。
要指定用于服务提供者用户管理的表单和策略,请执行以下步骤:
- 从列表中选择最终用户表单。
除了委托管理员页面和同步期间,该表单可用于所有其他环境。如果选择无,则不使用默认用户表单。
- 从列表中选择管理员用户表单。
这是用于管理员上下文中的默认用户表单。该表单包括服务提供者帐户编辑页。如果选择无,则不使用默认用户表单。
- 从列表中选择同步用户表单。
如果没有为运行服务提供者同步的资源指定任何表单,则会使用默认的“同步用户表单”。如果在资源的同步策略上指定了输入表单,将使用该表单。资源通常需要不同的同步输入表单。在这种情况下,应该对每个资源设置同步用户表单,而不是从列表中选择表单。
- 从列表中选择帐户策略。
这些选项包括通过“配置”>“策略”定义的任何身份帐户策略。
- 从列表中选择帐户是否锁定规则。
选择要针对服务提供者用户视图运行的规则,该规则可以确定帐户是否锁定。
- 选择锁定帐户规则。
选择要针对服务提供者用户视图运行的规则,该规则可以在视图中设置能锁定帐户的属性。
- 选择解除锁定帐户规则。
选择要针对服务提供者用户视图运行的规则,该规则可以在视图中设置能解除锁定帐户的属性。
事务数据库
可以使用“服务提供者配置”页中的此部分(如图 17-2 所示)来配置事务数据库。仅当使用 JDBC 事务持久性存储时,才需要使用这些选项。更改其中的任何值均需要重新启动服务器以将其应用。
必须根据 create_spe_tables DDL 脚本(位于 Identity Manager 安装的 sample 目录中)中所示的模式设置事务的数据库表。可能需要为目标环境自定义相应的脚本。
图 17-2 服务提供者配置(事务数据库)
要配置事务数据库,请执行以下步骤:
继续到“服务提供者配置”页的下一段以配置跟踪的事件。
跟踪的事件配置
启用事件收集后,您便可以实时跟踪统计信息,从而有助于维护预期级别和商定级别的服务。默认情况下启用事件收集,如图 17-3 所示。清除启用事件收集复选框将禁用收集。
图 17-3 服务提供者配置(跟踪的事件、帐户索引和标注配置)
要设置时区并指定服务提供者跟踪事件的收集间隔,请执行以下步骤:
同步帐户索引
在服务提供者实现中同步资源时,可能需要定义帐户索引以正确地将此资源发送的事件与服务提供者目录中的用户相关联。
默认情况下,资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中,不会始终发送 accountId;例如,ActiveDirectory 中的删除事件仅包含 ActiveDirectory 生成的帐户 GUID。
不包含 accountId 属性的资源必须包含以下任一属性的值。
如果需要使用 guid 或 identity 进行关联,则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后,便可将其用于搜索过滤器以关联同步事件。
要定义帐户索引,请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供者目录的资源定义,并在模式映射中为每个活动同步资源的 GUID 或 identity 属性添加属性。例如,如果从 ActiveDirectory 同步,则可以定义映射到未使用的目录属性(例如管理员)的名为 AD-GUID 的属性。
在定义了服务提供者资源中的所有索引属性后,请执行以下步骤:
删除索引仅会从配置中删除索引,而不会修改当前可能在索引属性中存储值的所有现有目录用户。
标注配置
选择“标注配置”段中的该选项可以启用标注。启用标注后,将显示标注映射,使您可以为每个列出的事务类型选择操作前和操作后选项。
默认情况下,将操作前和操作后选项设置为“无”。
如果指定操作后标注,请使用等待操作后的标注选项指定事务必须等待操作后标注处理完成后才能完成。这可确保任何相关事务都只能在操作后标注成功完成后执行。
编辑用户搜索配置
通过使用此页(如图 17-4 所示),可以为“管理服务提供者用户”页上委托的管理员进行的搜索配置默认搜索设置。这些默认值适用于“管理服务提供者用户”页上的所有用户,但是可以根据每个会话将其覆盖。
图 17-4 搜索配置
要配置默认搜索设置以搜索服务提供者用户,请执行以下步骤:
事务管理某个事务可以封装单个置备操作,例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成,需要将其写入事务持久性存储。
本节中的以下主题包含用于管理服务提供者事务的步骤:
设置默认事务执行选项
这些选项控制事务的执行方式,包括同步/异步处理及何时在事务持久性存储中对其进行持久性处理。可以在 IDMXUser 视图中或通过用于对其进行处理的表单覆盖这些选项。有关详细信息,请参见 Identity Manager 服务提供者部署。
要配置服务提供者事务,请执行以下步骤:
- 单击服务提供者 > 编辑事务配置。
将显示服务提供者事务配置页。
图 17-5 显示了“默认事务执行选项”区域。
图 17-5 事务配置
- 从以下选项中选择一致性级别保证,以指定用户更新的事务一致性级别:
- 选择以下您选择启用的默认事务执行选项:
启用异步处理将允许系统重试事务。也可以允许设置高级事务处理设置中配置的工作线程异步运行,以提高吞吐量。如果选择此选项,则应该为要通过同步输入表单置备到或更新的资源配置重试时间间隔和尝试次数。
选择启用异步处理后,请输入重试超时值。该值是服务器重试失败的置备事务的时间上限(毫秒)。该设置补充单个资源的重试设置,包括服务提供者用户 LDAP 目录。例如,如果在达到资源重试限制之前达到了该限制,则事务将异常中止。如果该值为负,则重试次数仅受单个资源的设置的限制。
- 在尝试前使事务具有持久性 - 如果启用,置备事务将在尝试前被写入到事务持久性存储中。由于大多数置备事务在第一次尝试时就会成功,因此启用该选项可能会产生不必要的系统开销。考虑禁用该选项,除非等待第一次尝试选项已禁用。如果选择“完成”一致性级别,则无法使用该选项。
- 在异步处理前使事务具有持久性(默认选项) - 如果启用,置备事务将在异步处理前被写入到事务持久性存储中。如果“等待第一次尝试”选项已启用,则需要重试的事务将在控制权返回到调用方前具有持久性。如果“等待第一次尝试”选项已禁用,则事务会在尝试前一直具有持久性。建议启用该选项。如果选择“完成”一致性级别,则无法使用该选项。
- 每次更新时使事务具有持久性 - 如果启用,置备事务将在每次重试尝试后具有持久性。由于事务持久性存储(可以从搜索事务页中进行搜索)始终是最新的,因此该操作可以帮助隔离问题。
设置事务持久性存储
“服务提供者事务配置”页上的选项适用于事务持久性存储。可以配置要在存储中显示的存储类型以及其他可查询属性,如下图所示。
图 17-6
配置服务提供者事务持久性存储
要设置“服务提供者事务配置”页上的选项,请执行以下步骤:
设置高级事务处理设置
这些高级选项控制事务管理器的内部工作。除非性能分析说明提供的默认值不是最佳的,否则不要对其进行更改。所有条目都是必需的。
图 17-5 说明了“编辑事务配置”页上的“高级事务处理设置”区域。
图 17-7 高级事务处理设置
- 请输入所需的工作者线程(默认值为 100)。
这是用来处理事务的线程数。该值限定了可以并发处理的事务数。这些线程在启动时静态分配。
- 输入所需的租用持续时间 (ms)(默认值为 600000)。
它控制服务器将锁定要重试的事务的时间。需要时将更新租用。但是,如果服务器没有完全关闭,则在原始服务器租用到期前其他服务器不能锁定事务。该值至少应为一分钟。将该值设置得较小可能会影响事务持久性存储的负荷。
- 输入所需的租用更新时间 (ms) 时间(默认值为 300000)。
此选项可控制更新锁定事务的租用的时间。当租用时间还剩余该毫秒值时,租用会更新。
- 输入所需的完成的事务保留在存储中的时间 (ms)(默认值为 360000)。
从事务持久性存储中删除完成的事务前要等待的时间(毫秒)。除非事务被配置为立即具有持久性,否则事务持久性存储不会包含所有完成的事务。
- 输入所需的就绪队列低水位标记(默认值为 400)。
当事务调度程序的准备运行事务队列降到该限制以下时,将使用可用的准备运行事务重新填充队列,最高可到高水位限制。
- 输入所需的就绪队列高水位标记(默认值为 800)。
当事务调度程序的准备运行事务队列降到低水位限制以下时,将使用可用的准备运行事务重新填充队列,最高可到该限制。
- 输入所需的暂挂队列低水位标记(默认值为 2000)。
事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记,则所有超过低水位标记的事务将被刷新到事务持久性存储中。
- 输入所需的暂挂队列高水位标记(默认值为 2000)。
事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记,则所有超过低水位标记的事务将被刷新到事务持久性存储中。
- 输入所需的调度程序周期 (ms)(默认值为 500)。
这是事务调度程序应运行的频率。当运行时,事务调度程序会将准备运行事务从暂挂队列移动到就绪队列,并执行其他周期性任务,例如,使事务具有持久性以进入事务持久性存储中。
- 单击保存接受设置。
监视事务
服务提供者事务将写入事务持久性存储中。您可以在事务持久性存储中搜索事务以查看事务状态。
使用“事务搜索”页可以指定搜索条件,从而使您可以根据与事务事件相关的特定条件(例如用户、类型、状态、事务 ID、当前状态和事务的成功或失败)来过滤要查看的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务,以阻止其进一步的尝试。
要搜索事务,请执行以下步骤:
- 在管理员界面中,单击主菜单中的服务器任务。
- 单击次级菜单中的服务提供者事务。
将打开服务提供者事务搜索页,您可以在该页中指定搜索条件。
- 如果需要,请选择用户名。
这允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。
- 如果需要,请选择针对类型搜索。
这允许您搜索选定类型的事务。
- 如果需要,请选择针对状态搜索。
这允许您搜索处于以下选定状态的事务:
- 如果需要,请选择针对尝试次数搜索。
这允许您根据事务已尝试的次数搜索这些事务。将会重试失败的事务,重试次数不超过为单个资源配置的重试限制。
- 如果需要,请选择针对已提交搜索。
这允许您根据事务初次提交的时间搜索这些事务,以小时、分钟或天为增量。
- 如果需要,请选择针对已完成搜索。
这允许您根据事务完成的时间搜索这些事务,以小时、分钟或天为增量。
- 如果需要,请选择针对取消状态搜索。
这允许您根据事务是否已取消搜索这些事务。
- 如果需要,请选择针对事务 ID 搜索。
这允许您根据事务唯一的 ID 搜索这些事务。使用该选项可以根据您输入的出现在所有审计日志记录中的 ID 值查找事务。
- 如果需要,请选择针对运行环境(哪一台服务器)搜索。
这允许您根据运行事务的 服务提供者 服务器搜索这些事务。服务器的标识符基于它的计算机名称,除非它已在 Waveset.properties 文件中被覆盖。
- 将搜索结果数限制为从列表中选择的首个条目数。
返回的结果数不会超过指定的限制值。即使有更多的结果可用,也不会做任何指示。
图 17-8 搜索事务
- 单击搜索。
将显示搜索结果。
- 如果需要,请单击结果页面底部的下载所有匹配的事务。这将把结果保存为 XML 格式的文件。
委托管理通过使用 Identity Manager 管理员角色或通过基于组织的授权模型可启用服务提供者用户的委托管理。
通过组织授权委托
默认情况下,Identity Manager 通过基于组织的授权模型提供管理职责的委托。在基于组织的授权模型中创建委托管理员时,请谨记以下几点:
- 服务提供者管理员是具有特定权能和受控组织的 Identity Manager 用户。
- 用户的组织属性值可以是 Identity Manager 组织的名称,也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的 Identity Manager 组织属性名称包括 ID 字段的设置。
- 您可以创建 Identity Manager 分层结构,并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识,而不是组织的简单名称。
- 服务提供者用户通过目录服务器中的用户属性获取其组织。
- 属性设置可确定按服务提供者管理员进行搜索的范围。
- 要创建委托管理员帐户,应先创建 Identity Manager 管理员,然后添加服务提供者管理员权能。可以将特定于服务提供者任务的权能分配给用户(在编辑用户页的安全选项卡中)。受控组织可指定管理员可以修改的服务提供者用户。适用于服务提供者用户的所有资源均适用于所有 Identity Manager 管理员。
通过管理员角色分配委托
要授予对服务提供者用户的细化权能和控制范围,请使用服务提供者用户管理员角色。可以将管理员角色配置为在登录时动态分配给一个或多个 Identity Manager 用户或服务提供者用户。
可以定义规则并将其分配给管理员角色,管理员角色可指定授予分配了管理员角色的用户的权能(例如 Service Provider Create User)。
要将管理员角色委托用于服务提供者用户,您必须在 Identity Manager 系统配置对象(更多...)中将其启用。
如果启用通过管理员角色分配进行的委托,则“服务提供者配置”中的“IDM 组织属性名称”不是必填项。
启用服务提供者管理员角色委托
要启用服务提供者管理员角色委托(服务提供者委托管理),请打开要修改的系统配置对象(更多...)并将以下属性设置为 true:
security.authz.external.app name.object type
其中 app name 为 Identity Manager 应用程序(例如管理员界面),object type 为 Service Provider Users
可以为每个 Identity Manager 应用程序(例如管理员界面或用户界面)和每个对象类型启用该属性。当前,唯一受支持的对象类型为 Service Provider Users。默认值为 false。
例如,要为 Identity Manager 管理员启用服务提供者委托管理,请将“系统配置”配置对象中的以下属性设置为 "true":
security.authz.external.Administrator Interface.Service Provider Users
如果为给定的 Identity Manager 或服务提供者应用程序禁用了服务提供者委托管理(设置为 false),则会使用基于组织的授权模型。
在启用服务提供者委托管理后,跟踪的事件将捕获有关执行的授权规则数和持续时间的信息。可以在面板中找到这些统计信息。
配置服务提供者用户管理员角色
要配置服务提供者用户管理员角色,请创建一个管理员角色,然后指定控制范围、权能以及应将其分配给的用户。
要配置服务提供者用户管理员角色,请执行以下步骤:
指定控制范围
服务提供者用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供者最终用户可以查看的服务提供者用户。如果请求在目录中列出服务提供者用户,则会强制指定控制范围。
您可以为服务提供者用户管理员角色控制范围指定以下一个或多个设置:
指定权能
服务提供者用户管理员角色的权能用于指定请求用户对所请求访问的服务提供者用户具有的权能和权限。如果请求查看、创建、修改或删除服务提供者用户,则会强制指定权能。
在权能选项卡上,选择要为该管理员角色应用的权能规则。
为用户分配管理员角色
通过指定将在登录时进行评估以确定是否向验证用户分配管理员角色的规则,可以将服务提供者用户管理员角色动态地分配给服务提供者用户。
单击分配给用户选项卡,然后选择要为分配应用的规则。
注
必须为每个登录界面(例如用户界面和管理员界面)启用将管理员角色动态分配给用户的操作,方法是:将以下系统配置对象(更多...)设置为 true:
security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface
所有界面的默认值为 false。
委托服务提供者用户管理员角色
默认情况下,服务提供者用户可以将分配给他们的服务提供者用户管理员角色分配(或委托)给其控制范围内的其他服务提供者用户。
事实上,任何具有编辑服务提供者用户权能的 Identity Manager 用户均可将分配给他们的服务提供者用户管理员角色分配给其控制范围内的服务提供者用户。
服务提供者用户管理员角色还可以包括分配者列表,无论是何控制范围,这些分配者均可分配管理员角色。这些直接分配可以确保至少一个已知用户帐户可以分配管理员角色。
管理服务提供者用户本节包含通过 Identity Manager 管理服务提供者用户的步骤和信息。本节包含以下主题:
用户组织
通过服务提供者,用户的属性值可以确定将该用户分配给哪个组织。这是由服务提供者主配置(请参见初始配置)中的 Identity Manager 组织属性名称字段指定的。但是,这些组织的名称必须与目录服务器中分配的用户属性值相匹配。
如果定义了 Identity Manager 组织属性名称,则“创建用户”和“编辑用户”页上将显示可用组织的多重选择列表。默认情况下显示组织的简称。您可以修改服务提供者用户表单以显示完整的组织路径。
您可以选择哪个属性将成为组织名称属性。然后便可在服务提供者用户管理页面中使用该组织名称属性限制可以搜索并管理该用户的管理员。
创建用户和帐户
所有服务提供者用户均必须在服务提供者目录中具有账户。如果用户具有其他资源的帐户,则这些帐户的链接将存储在用户的目录条目中,因此查看用户时可使用有关这些帐户的信息。
要创建服务提供者帐户,请执行以下步骤:
- 在管理员界面中,单击菜单栏中的帐户。
- 单击管理服务提供者用户选项卡。
- 单击创建用户。
注
使用默认的服务提供者用户表单时,实际显示的字段取决于在服务提供者目录资源的“帐户属性”表(模式映射)中配置的属性。而且,当您向用户(例如委托管理员)分配资源时,将看到新添加到显示部分中的段,您可以在其中指定这些资源的属性值。您也可以自定义字段。
- 根据需要输入以下值:
- 使用箭头键从“可用”列表中分配所有所需的“资源”。
- 帐户状态用于显示帐户处于锁定还是解除锁定状态。单击该选项可以锁定或解除锁定帐户。
图 17-9 创建服务提供者用户和帐户
注
该表单可根据为目录帐户(在顶部)定义的属性自动填充资源帐户属性的值。例如,如果资源定义 firstName,则产品将使用目录帐户中的 firstName 值对其进行填充。但是在此初始填充后,对这些属性的修改不会推送到资源帐户。如果需要,可自定义提供的样例服务提供者用户表单。
- 单击保存以创建用户帐户。
搜索服务提供者用户
服务提供者包括可配置的搜索权能,可帮助管理用户帐户。搜索仅返回在您的范围(如组织所定义的,或可能由其他因子所定义的)内的用户。
要执行服务提供者用户的基本搜索,请在 Identity Manager 界面中的帐户区域中,单击管理服务提供者用户,然后输入搜索值并单击搜索。
以下主题介绍了服务提供者搜索功能:
高级搜索
要执行服务提供者用户的高级搜索,请从“服务提供者用户搜索”页中单击高级,然后完成以下操作:
您可以使用以下选项添加或删除属性条件。
搜索结果
服务提供者搜索结果将显示在表中,如图 17-11 中所示。单击属性的列标题,可以按任意属性对结果进行排序。显示的结果取决于您选择的属性。
使用箭头按钮可转至结果的首页、上一页、下一页和尾页。在文本框中输入数字并按 Enter 键,可跳转至特定页。
要编辑用户,请单击表中的用户名。
图 17-11 搜索结果示例
通过搜索结果页,可以删除用户或解除资源帐户的链接,方法是通过选择一个或多个用户然后单击删除按钮。该操作将打开删除用户页,并显示其他选项(请参见“删除、取消分配帐户或解除帐户的链接.”)。
链接帐户
服务提供者可安装于用户在多个资源上具有帐户的环境中。服务提供者的帐户链接功能允许您以增量方式将现有资源帐户分配给服务提供者用户。帐户链接过程由服务提供者链接策略控制,此策略可定义链接关联规则、链接确定规则和链接验证选项。
要链接用户帐户,请执行以下步骤:
删除、取消分配帐户或解除帐户的链接
要删除、取消分配用户帐户或将其解除链接,请执行以下步骤:
设置搜索选项
要设置服务提供者用户的搜索选项,请执行以下步骤:
最终用户界面
随附的最终用户页面样例提供了 xSP 环境中典型的注册和自助服务示例。这些样例是可扩展的并且可以对其进行自定义。您可以更改外观、修改页面之间的导航规则或显示用于部署的特定于语言环境的消息。有关自定义最终用户页面的详细信息,请参见“Identity Manager 服务提供者部署”。
除了审计自助服务和注册事件以外,还可以使用电子邮件模板将通知发送给受影响的用户。还提供了使用帐户 ID 和密码策略以及帐户锁定的示例。应用程序开发者还可以使用 Identity Manager 表单。如果需要,可以扩展或替换作为 Servlet 过滤器实现的模块验证服务。这样,便可与访问管理系统(如 Sun Access Manager)集成在一起。
样例
使用随附的样例最终用户页面,用户可以通过一系列易于导航的屏幕注册和维护基本用户信息,并接收其操作的电子邮件通知。
示例页面包括以下功能:
可以为您的部署轻松地自定义这些页面。可以自定义以下内容:
有关自定义页面的更多信息,请参见“Identity Manager 服务提供者部署”。
注册
要求新用户注册。在注册期间用户可以设置其登录、质询问题和通知信息。
图 17-14 “注册”页
“主页”屏幕和配置文件屏幕
图 17-15 显示了最终用户“主页”选项卡和配置文件页面。用户可以更改其登录 ID 和密码、管理通知及创建质询问题。
图 17-15
“我的配置文件”页
同步通过同步策略可启用服务提供者用户的同步。要使用 Identity Manager 为服务提供者用户同步资源上属性的更改,您必须配置服务提供者同步。以下主题介绍了如何在服务提供者实现中启用同步:
配置同步
要配置服务提供者同步,请按配置同步中的说明编辑资源的同步策略。
编辑同步策略时,必须指定以下选项以启用服务提供者用户的同步进程。
按照配置同步中的说明,指定适合您的环境的其他选项。服务提供者同步任务的默认同步间隔为 1 分钟。
注
确认规则和表单必须使用 IDMXUser 视图,而非 Identity Manager 输入用户视图(有关更多信息,请参见“Identity Manager 服务提供者部署”)。
这是必需的,因为确认规则会访问关联规则中标识的每个用户的用户视图,从而影响同步性能。
单击保存可以保存策略定义。如果在策略中未禁用同步,则按指定对其进行调度。如果指定禁用同步,则将停止同步服务(如果当前正在运行)。如果启用,则重新启动 Identity Manager 服务器时,或在“同步资源操作”下选择启动服务提供者时,将启动同步。
监视同步
Identity Manager 提供以下监视服务提供者同步的方法。
启动和停止同步
默认情况下,在为服务提供者实现配置 Identity Manager 时,将启用服务提供者同步。
要禁用服务提供者活动同步,请执行以下步骤:
要停止同步而不将其禁用,请从“同步资源操作”中选择停止服务提供者。
迁移用户
服务提供者功能包含示例用户迁移任务及关联的脚本。该任务可将现有的 Identity Manager 用户迁移到服务提供者用户目录。本节介绍如何使用示例迁移任务。建议您修改该示例以用于您的环境。
要迁移现有 Identity Manager 用户,请执行以下步骤:
- 在管理员界面中,单击菜单中的服务器任务。
将打开“查找任务”页。
- 单击次级菜单中的运行任务。
- 单击 SPE 迁移。
- 输入唯一的任务名称。
- 从列表中选择资源。
这是 Identity Manager 中表示服务提供者目录服务器的资源。不会迁移在 Identity Manager 用户中找到的该资源的链接。
- 输入身份属性。
这是包含目录用户的唯一简短身份的 Identity Manager 用户属性。
- 从列表中选择身份规则。
这是可以通过 Identity Manager 用户的属性计算目录用户名称的可选规则。身份规则可以计算简单名称(通常为 uid),然后会通过资源的身份模板处理该简短名称,以形成目录服务器的标识名 (DN)。该规则还可以返回不使用 ID 模板的完全指定的 DN。
- 单击启动可启动后台迁移任务。
配置服务提供者审计事件在服务提供者实现中,Identity Manager 的审计日志记录系统可以审计与外联网用户活动相关的事件。Identity Manager 提供了 Service Provider Edition 审计配置组(默认情况下已启用),该配置组可指定为服务提供者用户记录的审计事件。请参见图 17-16。
有关审计日志记录和修改 Service Provider Edition 审计配置组中事件的更多信息,请参见第 10 章 审计日志记录。
图 17-16 “编辑服务提供者审计配置组”页