|
| |
| Sun[TM] Identity Manager 8.0 管理 | |
第 3 章
用户和帐户管理本章提供了通过 Identity Manager 管理员界面创建和管理用户的信息和步骤。该信息分为以下几个部分:
界面的帐户区域用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。
可以通过 Identity Manager 的“帐户/用户列表”页来管理 Identity Manager 用户。要访问此区域,请单击管理员界面菜单栏上的帐户。
帐户列表显示所有 Identity Manager 用户帐户。帐户按组织和虚拟组织进行分组,这些组织以文件夹的形式分层表示。
您可以按全名 ("Name")、用户的姓 ("Last Name") 或用户的名 ("First Name") 对帐户列表进行排序。单击标题栏可以按列进行排序。单击同一标题栏可以在升序和降序间切换。按全称(“名称”列)排序时,分层结构中所有级别的所有项都按字母顺序排序。
要展开分层结构视图,查看组织中的帐户,请单击文件夹旁的三角指示符。再次单击指示符可折叠视图。
帐户区域中的操作列表
使用操作列表(位于帐户区域的顶部和底部,如图 3-1 所示)可以执行一系列操作。操作列表选项分为:
在“帐户列表”区域中搜索
使用帐户区域搜索功能查找用户和组织。从列表中选择“组织”或“用户”,在搜索区域中输入用户或组织名称开头的一个或多个字符,然后单击搜索。有关在帐户区域中搜索的详细信息,请参见查找和查看用户帐户。
用户帐户状态
每个用户帐户旁显示的图标指示当前已分配帐户的状态。表 3-1 介绍了每个图标所表示的含义。
表 3-1 用户帐户状态图标描述
指示器
状态
用户的 Identity Manager 帐户已锁定。请注意,此图标仅反映了 Identity Manager 帐户的锁定状态,而不反映用户的任何资源帐户。
在超过 Identity Manager 帐户策略中定义的 Identity Manager 帐户登录尝试失败的最大次数后,将会锁定用户。在允许的最大次数中,仅计算 Identity Manager 帐户的密码或提问式登录失败次数。因此,如果 Identity Manager 登录应用程序(即,管理员界面、最终用户界面等)的登录模块组中不包含 Identity Manager 登录模块,则不会考虑 Identity Manager 失败的密码策略。不过,无论为给定 Identity Manager 登录应用程序配置了哪种登录模块栈,只要提问式登录失败次数超过在 Identity Manager 帐户策略中配置的最大次数,都可能会导致用户锁定并显示该图标。
有关如何解除帐户锁定的信息,请参见解除锁定用户帐户。
管理员的 Identity Manager 帐户已锁定。请注意,此图标仅反映了 Identity Manager 帐户的锁定状态,而不反映管理员的任何资源帐户。有关详细信息,请参见上面对用户锁定图标的描述。
在所有已分配资源和 Identity Manager 中禁用此帐户。(启用帐户时,不显示图标。)
有关如何启用已禁用的帐户的信息,请参见启用用户帐户。
帐户被部分禁用,表示在一个或多个已分配资源上被禁用。
系统尝试在一个或多个资源上创建或更新 Identity Manager 用户帐户,但未成功。(如果在所有已分配资源上更新了某一帐户,则不显示图标。)
“用户”页(创建/编辑/查看)
本节介绍了管理员界面中提供的“创建用户”、“编辑用户”和“查看用户”页。本章后面介绍了如何使用这些页面。
注
本文档介绍了随 Identity Manager 提供的一组默认“创建用户”、“编辑用户”和“查看用户”页。不过,为了更好地反映业务流程或特定管理员权能,应创建针对您的环境的自定义用户表单。有关自定义用户表单的详细信息,请参见 Identity Manager Workflows, Forms, and Views。
默认 Identity Manager 用户页面将划分到以下选项卡或部分中:
标识
“标识”区域定义了用户的帐户 ID、名称、联系人信息、管理员、控制的组织和 Identity Manager 帐户密码。它还标识用户可以访问的资源以及控制每个资源帐户的密码策略。
注
有关设置帐户密码策略的信息,请参阅本章管理帐户安全和权限中的相关节。
下图说明“创建用户”页的“标识”区域。
图 3-2 创建用户 - 标识
资源
“资源”区域可用于为用户直接分配资源和资源组。还可以分配资源排除。
直接分配的资源为通过角色分配间接分配给用户的资源提供补充。
角色
“角色”选项卡用于将一个或多个角色分配给用户,以及管理这些角色分配。
有关此选项卡的信息,请参见将角色分配给用户。
安全
在 Identity Manager 术语中,分配了扩展权能的用户称为 Identity Manager 管理员。可以使用“安全”选项卡为用户分配管理员权限。
有关使用“安全”选项卡创建管理员的详细信息,请参见创建管理员。
安全表单包含以下几个部分。
- 受控组织 - 分配该用户有权以管理员标识管理的组织。该管理员可管理已分配组织以及在分层结构中处于该组织之下的任何组织中的对象。
注
要拥有管理员权能,必须至少为用户分配一个管理员角色,或一个或多个权能,以及一个或多个受控组织。有关 Identity Manager 管理员的详细信息,请参见了解 Identity Manager 管理。
- 用户表单 - 指定管理员在创建和编辑用户时将使用的用户表单。如果选择无,管理员将继承分配给其组织的用户表单。
- 查看用户表单 - 指定管理员在查看用户时将使用的用户表单。如果选择无,管理员将继承分配给其组织的查看用户表单。
- 帐户策略 - 设置密码和验证限制。
委托
“创建用户”页上的“委托”选项卡允许您在指定的时间内将工作项目委托给其他用户。有关委托工作项目的详细信息,请阅读委托工作项目。
属性
“创建用户”页上的“属性”选项卡定义与分配的资源关联的帐户属性。列出的属性按分配的资源分类,具体情况根据分配资源的不同而不同。
遵循性
“遵循性”选项卡:
要分配审计策略,请将选定策略从可用审计策略列表移动到当前审计策略列表中。
创建用户和使用用户帐户从管理员界面的“帐户/用户列表”页中,您可以对以下系统对象执行一系列操作:
有关创建和编辑管理员帐户的详细信息,请参见了解 Identity Manager 管理。
有关组织的详细信息,请参见了解 Identity Manager 组织。
有关目录连接的详细信息,请参见了解目录连接和虚拟组织。
启用进程图
进程图说明了在 Identity Manager 创建用户帐户或以其他方式对其进行处理时遵循的工作流。如果启用进程图,它将显示在 Identity Manager 完成任务时创建的结果页或任务摘要页上。
在 Identity Manager 8.0 版中,将为新安装和升级安装禁用进程图。
要在 Identity Manager 中启用进程图,请执行以下步骤:
- 按照更多... 中的步骤,打开系统配置对象以进行编辑。
- 找到以下 XML 元素:
<Attribute name='disableProcessDiagrams'>
<Boolean>true</Boolean>
</Attribute>- 将 true 值更改为 false。
- 单击保存。
- 重新启动服务器以使更改生效。
也可以在最终用户界面中启用进程图,但前提是必须先按照上述步骤在管理员界面中将其启用。有关详细信息,请参见在最终用户界面中启用进程图。
创建用户
要在 Identity Manager 中创建用户,请执行以下步骤:
- 在管理员界面中,单击帐户。
- 要在特定组织中创建用户,请选择该组织,然后从新建操作列表中选择新建用户。
或者,要在 Top 组织中创建用户帐户,请从新建操作列表中选择新建用户。
- 在以下选项卡或部分中填写信息。
- 标识 - 名称、组织、密码和其他详细信息。(请参见更多...。)
- 资源 - 各个资源和资源组分配以及资源排除。(请参见更多...。)
- 安全 - 管理员角色、受控组织和权能, 以及用户表单设置和帐户策略。(请参见更多...。)
- 委托 - 工作项目委托。(请参见更多...。)
- 属性 - 分配的资源的特定属性。(请参见更多...。)
- 遵循性 - 为用户帐户选择证明和修正表单。在“遵循性”区域中,您还可以为用户帐户指定分配的审计策略,其中包括实际通过用户的组织分配所分配的策略。表示策略扫描、违规和免除的当前状态,并包括用户上次审计策略扫描的相关信息。(请参见更多...。)
请注意,一个区域中的可用选项可能取决于在另一个区域中选择的内容。
- 完成选择后,可以使用两个选项来保存用户帐户:
- 保存 - 保存用户帐户。如果您将大量资源分配给该帐户,则此过程可能需要一段时间。
- 后台保存 - 此过程作为后台任务保存用户帐户,这样您可以继续使用 Identity Manager。每次正在进行保存时,都会在“帐户”页、“查找用户结果”页和主页中显示一个任务状态指示器。
状态指示器(如下表所述)可以帮助您监视保存进程的进度。
表 3-2 后台保存任务状态指示器的说明
状态指示器
状态
正在进行保存。
保存过程已暂停。这通常表示该过程正在等待批准。
已顺利完成保存。这并不表示用户已被成功保存,只是表示此过程已完成,没有任何错误。
尚未开始保存。
已完成保存过程,但是出现一个或多个错误。
将鼠标移至状态指示器中显示的用户图标的上方,便可看到有关后台保存过程的详细信息。
注
如果已配置生效,则在创建用户时,将会创建一个可从“批准”选项卡中查看的工作项目。如果批准该项目,则会覆盖生效日期并创建帐户。如果拒绝该项目,则会取消帐户创建。有关配置生效的详细信息,请参见配置“生效和失效”选项卡。
为用户创建多个资源帐户
Identity Manager 提供了将多个资源帐户分配给单个用户的功能。它通过允许为每种资源定义多种资源帐户类型或帐户类型来实现此目的。应该根据需要创建资源帐户类型,以便与资源上的每种功能帐户类型相匹配,例如,AIX SuperUser 或 AIX BusinessAdmin。
为什么要针对每种资源为每个用户分配多个帐户?
在某些情况下,Identity Manager 用户可能需要在资源上设置多个帐户。用户可能具有多个与资源有关的不同作业功能,例如,用户可能同时是资源的用户和管理员。最好的做法是,建议对每个功能使用不同的帐户。这样,如果一个帐户受到破坏,其他帐户授予的访问权限仍然是安全的。
配置帐户类型
要使资源支持单个用户的多个帐户,必须先在 Identity Manager 中定义资源帐户类型。要为资源定义资源帐户类型,请使用资源向导。有关信息,请参见更多... 上的帐户类型。
您必须先启用并配置资源帐户类型,然后才能将这些类型分配给用户。
分配帐户类型
在定义了帐户类型后,您可以将它们分配给资源。Identity Manager 将每次分配的帐户类型都视为单独的帐户。因此,每次在角色中的不同分配可能具有不同的属性集。
与每个资源具有单个帐户类似,所有特定类型的分配仅创建一个帐户,而与分配次数无关。
虽然可以将用户分配给资源上的任意数量的不同类型帐户,但只能为每个用户分配资源上的一个给定类型的帐户。该规则的例外情况是内置的“默认”类型。用户可以在资源上具有任意数量的默认类型帐户。不过,建议不要这样做,因为这可能导致在表单和视图中引用帐户时出现不确定性。
查找和查看用户帐户
使用 Identity Manager 查找功能可搜索用户帐户。输入和选择搜索参数以后,Identity Manager 将查找与您的选择匹配的所有帐户。
要搜索帐户,请在菜单栏中选择帐户,然后选择查找用户。可按以下一种或多种搜索类型搜索帐户:
- 帐户详细信息,例如用户名、电子邮件地址、姓或名。这些选项取决于贵机构的具体 Identity Manager 实现。
- 用户的管理员。如果管理员的用户名与 Identity Manager 中的现有帐户不匹配,则会将该用户名放在括号内。
- 资源帐户状态,包括:
- 用户帐户状态,包括:
- 更新状态,包括:
- 已分配的资源
- 角色(请参见查找分配给角色的用户。)
- 组织
- 组织控制权限
- 权能
- 管理员角色
搜索结果列表显示与您的搜索条件相匹配的所有帐户。在结果页中,您可以:
编辑用户
本节中的信息介绍了如何查看、编辑、重新分配以及重命名用户帐户。
查看用户帐户
可以使用“查看用户”页来查看帐户信息。
要查看帐户信息,请执行以下步骤:
编辑用户帐户
可以使用“编辑用户”页来编辑帐户信息。
要编辑帐户信息,请执行以下步骤:
将用户重新分配给其他组织
通过执行移动操作,您可以从某个组织中删除一个或多个用户,然后将其重新分配或移动到新组织中。
要移动用户,请执行以下步骤:
重命名用户
重命名资源上的帐户通常是个复杂的操作。因此,Identity Manager 提供一个单独的功能来重命名用户的 Identity Manager 帐户,或重命名与该用户相关的一个或多个资源帐户。
要使用重命名功能,请在列表中选择用户帐户,然后从“用户操作”列表中选择重命名选项。
使用“重命名用户”页可更改用户帐户名、相关资源帐户名和与用户的 Identity Manager 帐户相关的资源帐户属性。
如下图所示,此用户拥有已分配的 Active Directory 资源。在重命名过程中,您可以更改:
更新与帐户关联的资源
在更新操作中,Identity Manager 更新与用户帐户相关的资源。从帐户区域执行的更新操作会将先前对用户进行的任何暂挂更改发送到选定的资源。可能出现这种情况的条件是:
更新用户帐户时,有以下选项可供选择:
更新单个用户帐户上的资源
要更新用户帐户,请在列表中选择此帐户,然后从“用户操作”列表中选择更新。
在“更新资源帐户”页中,选择一个或多个要更新的资源,或者选择更新所有资源帐户更新所有分配的资源帐户。完成选择后,单击确定开始更新过程。或者,单击后台保存在后台执行操作。
使用确认页确认将数据发送到每个资源。
图 3-7 说明了“更新资源帐户”页。
图 3-7 更新资源帐户
更新多个用户帐户上的资源
可以同时更新两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后从“用户操作”列表中选择更新。
删除 Identity Manager 用户帐户
在 Identity Manager 中,将按照与删除远程资源帐户相同的方式删除 Identity Manager 用户帐户。请按照删除资源帐户的步骤进行操作,但选择删除 Identity Manager 帐户,而不是选择远程资源帐户。
有关详细信息,请参见从单个用户帐户中删除资源和从多个用户帐户中删除资源。
从用户帐户中删除资源
Identity Manager 提供了一些删除操作,可用于从资源中删除 Identity Manager 用户帐户访问权限:
从单个用户帐户中删除资源
可以使用以下过程,对单个 Identity Manager 用户执行删除操作。通过每次处理一个用户帐户,您可以为各个资源帐户指定不同的删除、取消分配和/或解除链接操作。
要为单个用户帐户启动删除、取消分配或解除链接操作,请执行以下步骤:
- 在管理员界面中,单击主菜单中的帐户。
将在列出帐户选项卡中显示“用户列表”页。
- 选择一个用户,然后单击用户操作下拉菜单。
- 从列表中选择任何删除操作(删除、取消置备、取消分配或解除链接)。
Identity Manager 将显示“删除资源帐户”页(图 3-8)。
- 填写表单。有关删除、取消分配和解除链接操作的详细信息,请参见从用户帐户中删除资源。
- 单击确定。
图 3-8 将显示“删除资源帐户”页。在该屏幕捕获中,用户 jrenfro 在远程资源(模拟资源)上具有一个活动帐户。选择了删除操作,这意味着,在提交表单时,将删除该资源上的 jrenfro 帐户。由于已删除的帐户将自动解除链接,因此,将从 Identity Manager 中删除该资源的帐户信息。由于未选择取消分配操作,因此,仍会将模拟资源分配给 jrenfro。
要删除 jrenfro 的 Identity Manager 帐户,应该为 Identity Manager 选择删除操作。
图 3-8 删除资源帐户页
从多个用户帐户中删除资源
您可以一次对多个 Identity Manager 用户帐户执行删除操作,但只能对用户的所有资源帐户执行选定的删除操作。
还可以使用 Identity Manager 的批量帐户操作功能执行删除操作。请参见Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令。
要为多个用户启动删除、取消分配或解除链接操作,请执行以下步骤:
- 在管理员界面中,单击主菜单中的帐户。
将在列出帐户选项卡中显示“用户列表”页。
- 选择一个或多个用户,然后单击用户操作下拉菜单。
- 从列表中选择任何删除操作(删除、取消置备、取消分配或解除链接)。
Identity Manager 将显示“确认删除、取消分配或解除链接”页(图 3-9)。
- 请选择以下任一选项:
- 仅删除用户 - 删除用户的 Identity Manager 帐户。此选项不会删除或取消分配用户的资源帐户。
- 删除用户和资源帐户 - 删除用户的 Identity Manager 帐户和所有资源帐户。
- 仅删除资源帐户 - 删除用户的所有资源帐户。此选项既不会取消分配资源帐户,也不会删除用户的 Identity Manager 帐户。
- 删除资源帐户并为用户取消分配直接分配的资源 - 删除并取消分配用户的所有资源帐户,但不会删除用户的 Identity Manager 帐户。
- 为用户取消分配直接分配的资源帐户 - 取消分配直接分配的资源帐户。此选项不会删除远程资源上的用户帐户;不会影响通过角色或资源组分配的资源帐户。
- 解除资源帐户与用户的链接 - 从 Identity Manager 中删除用户的资源帐户信息。不会删除或取消分配远程资源上的用户帐户。在更新用户时,可以恢复通过角色或资源组间接分配给用户的帐户。
- 单击确定。
图 3-9 将显示“确认删除、取消分配或解除链接”页。页面顶部显示了六个可以为多个用户执行的操作。页面底部将显示受选定操作影响的用户。
图 3-9 “确认删除、取消分配或解除链接”页
更改用户密码
所有 Identity Manager 用户都被分配了一个密码。设置 Identity Manager 用户密码后,该密码将用于同步用户的资源帐户密码。如果不能同步一个或多个资源帐户密码(例如,为了遵守必需的密码策略),则可单独进行设置。
注
有关帐户密码策略的信息以及有关用户验证的一般信息,请参见管理帐户安全和权限。
从“用户列表”页中更改密码
从“用户列表”页(帐户 > 列出帐户)中,您可以使用更改密码用户操作。
要从“用户列表”页中更改用户帐户密码,请执行以下步骤:
从主菜单中更改密码
要从主菜单中更改用户帐户密码,请执行以下步骤:
重设用户密码
重设 Identity Manager 用户帐户密码的过程与更改过程类似。重设过程与密码更改过程的不同之处为重设过程不需要您指定新密码。而是由 Identity Manager 为用户帐户、资源帐户或这些帐户的组合随机生成新密码(根据您的选择和密码策略)。
分配给用户的策略(无论是直接分配还是通过用户的组织分配)控制多个重设选项,其中包括:
从“用户列表”页中重设密码
“用户列表”页(“帐户”>“列出帐户”)中提供了重设密码用户操作。
要从“用户列表”页中重设密码,请执行以下步骤:
使用 Identity Manager 帐户策略使密码到期
默认情况下,重设用户密码时密码立即到期。这表示重设密码后,用户首次登录时,必须选择新密码才能进行访问。可以在表单中覆盖此默认值,以使用户密码的到期日期取决于与用户关联的 Identity Manager 帐户策略中设置的密码到期策略。
要覆盖密码更改要求,请编辑重设用户密码表单,然后将以下值设置为 false:
resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword
可以使用两种方法,通过 Identity Manager 帐户策略中的“重设选项”字段使密码到期:
禁用、启用和解除锁定用户帐户
本节介绍了如何禁用和启用 Identity Manager 用户帐户。还介绍了如何帮助已锁定 Identity Manager 帐户的用户解除锁定。
禁用用户帐户
在禁用用户帐户时,将会更改该帐户,以使用户无法再登录到 Identity Manager 或为其分配的资源帐户。
请注意,管理员可以从管理员界面中禁用用户帐户,但无法锁定用户帐户。仅当用户超过了 Identity Manager 帐户策略定义的允许的失败登录尝试次数时,才会将帐户锁定。
注
如果分配的资源没有为帐户禁用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。
要确保此功能正常工作,请执行以下操作:
- 在编辑资源向导中,打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见使用资源向导编辑资源。)
- 在“帐户功能配置”表中,确保密码功能和禁用功能的是否禁用?列中没有复选标记。(要显示禁用功能,请选择显示全部功能。)
如果禁用功能的是否禁用?列中带有复选标记,则无法禁用资源中的帐户。
禁用单个用户帐户
要禁用用户帐户,请在用户列表中选择该帐户,然后从用户操作下拉菜单中选择禁用。
在显示的“禁用”页中,选择要禁用的资源帐户,然后单击确定。Identity Manager 将显示禁用 Identity Manager 用户帐户及其所有关联资源帐户的结果。此帐户列表指示用户帐户已禁用。
禁用多个用户帐户
可以同时禁用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后从“用户操作”列表中选择禁用。
启用用户帐户
用户帐户的启用过程与禁用过程相反。
根据选定的通知选项,Identity Manager 还会在管理员的结果页中显示密码。
然后用户可以重设自己的密码(通过验证进程),具有管理员权限的用户也可以重设该密码。
注
如果分配的资源没有为帐户启用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过密码重设启用该资源上的用户帐户。
要确保此功能正常工作,请执行以下操作:
- 在编辑资源向导中,打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见使用资源向导编辑资源。)
- 在“帐户功能配置”表中,确保密码功能和启用功能的是否禁用?列中没有复选标记。(要显示启用功能,请选择显示全部功能。)
如果启用功能的是否禁用?列中带有复选标记,则无法启用资源中的帐户。
启用单个用户帐户
要启用用户帐户,请在列表中选择此帐户,然后从“用户操作”列表中选择启用。
在显示的“启用”页中,选择要启用的资源,然后单击确定。Identity Manager 将显示启用 Identity Manager 帐户及其所有相关资源帐户的结果。
启用多个用户帐户
可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在“用户操作”列表中选择“启用”。
解除锁定用户帐户
如果用户无法登录到 Identity Manager,则将被锁定。要将用户锁定,用户必须超过 Identity Manager 帐户策略定义的允许的失败登录尝试次数。
注
在 Identity Manager 锁定次数中,仅计算 Identity Manager 用户界面上的登录尝试次数(即,管理员界面、最终用户界面、命令行界面或 SPML API 界面)。不会计入资源帐户上的登录失败尝试,这些尝试不会导致用户锁定其 Identity Manager 帐户。
Identity Manager 帐户策略可建立所允许的密码或提问式登录失败尝试的最大次数。
密码登录尝试失败
如果用户由于失败的密码登录尝试次数过多而在 Identity Manager 中锁定,则在管理员解除锁定该帐户或者锁定到期之前,用户将无法进行登录。
提问式登录尝试失败
如果用户由于失败的提问式登录尝试次数过多而在“忘记密码”界面中锁定,则在管理员解除锁定该帐户,锁定的用户(或具有相同权能的用户)更改或重设其密码或者锁定到期之前,用户将无法登录到该界面上。
具有相应权能的管理员可以对处于锁定状态的用户执行以下操作:
要解除锁定帐户,请在列表中选择一个或多个用户帐户,然后在用户操作或组织操作列表中选择解除用户的锁定。
批量帐户操作可以对 Identity Manager 帐户执行若干批量操作,这样您便可以同时对多个帐户进行操作。
可以启动以下批量操作:
- 删除 - 该操作对选定的资源帐户执行删除、取消分配和解除链接操作。选择“以 Identity System 帐户为目标”选项还会删除用户的每个 Identity Manager 帐户。
- 删除和解除链接 - 该操作删除所有选定的资源帐户,并解除这些帐户与用户的链接。
- 禁用 - 禁用所有选定的资源帐户。选择“以 Identity Manager 帐户为目标”选项还会禁用用户的每个 Identity Manager 帐户。
- 启用 - 启用所有选定的资源帐户。选择“以 Identity Manager 帐户为目标”选项可启用用户的每个 Identity Manager 帐户。
- 取消分配,解除链接 - 取消所有选定资源帐户的链接,并删除对这些资源的 Identity Manager 用户帐户分配。取消分配并不从资源删除帐户。不能取消分配已通过角色或资源组间接分配给 Identity Manager 用户的帐户。
- 解除链接 - 删除资源帐户与 Identity Manager 用户帐户的关联(链接)。解除链接并不从资源中删除帐户。如果将已经通过角色或资源组间接分配给 Identity Manager 用户的帐户解除链接,可在更新用户时恢复该链接。
如果在文件或应用程序(如电子邮件客户机或电子表格程序)中有一个用户列表,则批量操作将发挥最佳功能。可将上述列表复制并粘贴到此界面页的一个字段中,也可从文件加载这个用户列表。
这些操作中的许多操作都可对某个用户搜索的结果执行。可以使用“查找用户”页(帐户 > 查找用户)来搜索用户。
当任务完成后显示任务结果时,可通过单击下载 CSV 将批量帐户操作的结果保存为 CSV 文件。
启动批量帐户操作
要启动批量帐户操作,请执行以下步骤:
要监视批量操作任务的状态,请单击主菜单中的服务器任务,然后单击所有任务。
使用操作列表
可以使用逗号分隔值 (Comma-separated Value, CSV) 格式指定批量操作列表。这样您便可在单个操作列表中混合各种不同的操作类型。此外,可指定更复杂的创建和更新操作。
CSV 格式由两个或多个输入行组成。每一行由逗号分隔的值列表组成。第一行包含字段名称。其余行的每一行都对应于要对 Identity Manager 用户、该用户的资源帐户或这两者执行的操作。每一行都应包含相同个数的值。空值将保持相应字段值不变。
任何批量操作 CSV 输入中都必需有这两个字段:
- 用户 - 包含 Identity Manager 用户的名称。
- 命令 - 包含对 Identity Manager 用户采取的操作。有效命令有:
- 删除 - 对资源帐户和/或 Identity Manager 帐户执行删除、取消分配和解除链接操作。
- 删除和解除链接 - 删除资源帐户并解除链接。
- 禁用 - 禁用资源帐户和/或 Identity Manager 帐户。
- 启用 - 启用资源帐户和/或 Identity Manager 帐户。
- 取消分配 - 对资源帐户取消分配并解除链接。
- 解除链接 - 对资源帐户解除链接。
- 创建 - 创建 Identity Manager 帐户。或者创建资源帐户。
- 更新 - 更新 Identity Manager 帐户。或者创建、更新或删除资源帐户。
- 创建或更新 - 如果 Identity Manager 帐户不存在,则执行创建操作。否则执行更新操作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令
如果您要执行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 操作,则需要指定的唯一附加字段是“资源”。使用“资源”字段指定哪些资源上的哪些帐户将受到影响。
“资源”字段可能具有以下值:
下面是这些操作中几个操作的 CSV 格式的示例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update 和 CreateOrUpdate 命令
如果您要执行 Create、Update 或 CreateOrUpdate 命令,则除了 user 和 command 字段之外,还可指定“用户视图”中的字段。使用的字段名称是视图中属性的路径表达式。有关“用户视图”中可用属性的信息,请参见 Identity Manager Workflows, Forms, and Views。如果您正使用自定义“用户表单”,则该表单中的字段名称包含您可使用的一些路径表达式。
在批量操作中使用的一些较常见的路径表达式有:
下面是创建和更新操作的 CSV 格式的示例:
command,user,waveset.resources,password.password,password.confirmPassword,a ccounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California有多个值的字段
某些字段可以有多个值。这些字段称为多值字段。例如,waveset.resources 字段可用于为一个用户分配多个资源。可以使用竖线 (|) 字符(也称为“管道”字符)分隔字段中的多个值。可以按如下方法指定多值的语法:
value0 | value1 [ | value2 ... ]
更新现有用户的多值字段时,您可能并不希望使用一个或多个新值替换当前字段值。您可能要删除一些值或添加一些值至当前值。可以使用字段指令指定如何处理现有字段的值。字段指令在字段值之前,并且由竖线字符包围,如下所示:
|directive [ ; directive ] | field values
您可选择下列指令:
字段值中的特殊字符
如果字段值带有逗号 (,) 或双引号 (") 字符,或者要保留前导或结尾空格,则必须将字段值用一对双引号引起来 ("field_value")。这样就需要将字段值中的双引号替换为两个双引号 (") 字符。例如,"John ""Johnny"" Smith" 的字段值为 John "Johnny" Smith。
如果字段值中包含竖线 (|) 或反斜杠 (\) 字符,则必须前置一个反斜杠(\| 或 \\)。
批量操作视图属性
执行 Create、Update 或 CreateOrUpdate 操作时,“用户视图”中有一些只在批量操作处理过程中使用或可用的附加属性。可在“用户表单”中引用这些属性,以提供批量操作的特定性能。这些属性如下所列:
- waveset.bulk.fields.field_name - 这些属性包含从 CSV 输入中读入的字段值,其中 field_name 是字段名称。例如,command 和 user 字段分别在带有路径表达式 waveset.bulk.fields.command 和 waveset.bulk.fields.user 的属性中。
- waveset.bulk.fieldDirectives.field_name - 只对那些指定了指令的字段定义这些属性。值为指令字符串。
- waveset.bulk.abort - 将此布尔型属性设置为 true 可中止当前操作。
- waveset.bulk.abortMessage - 将此属性设置为消息字符串,当 waveset.bulk.abort 设置为 true 时,可显示该消息字符串。如果未设置此属性,将显示一条普通中止消息。
关联和确认规则
当操作时没有可用的 Identity Manager 用户名来输入用户字段,请使用关联和确认规则。如果没有为用户字段指定值,则必须在启动批量操作时指定关联规则。如果确实为用户字段指定了值,则不会针对该操作评估关联和确认规则。
关联规则会查找与操作字段匹配的 Identity Manager 用户。确认规则会对照操作字段测试 Identity Manager 用户,以确定用户是否为匹配项。此两阶段式方法允许 Identity Manager 通过快速查找可能的用户(基于名称或属性)并仅针对可能的用户执行繁琐的检查,以优化关联过程。
通过分别创建子类型为 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 的规则对象来创建关联或确认规则。
有关关联和确认规则的详细信息,请参见《Identity Manager Technical Deployment Overview》中的“数据加载和同步”一章。
关联规则
为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一:
常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件(参考 Type.USER 的可查询属性)的列表。
关联规则的处理过程应相对简便,但应尽可能缩小范围。如有可能,将繁琐的处理过程转给确认规则。
属性条件必须参考 Type.USER 的可查询属性。这些属性是在名为 IDM 模式配置的 Identity Manager 配置对象中配置的。
关联扩展属性需要特殊配置:
- 必须将扩展属性指定为可查询属性。要将扩展属性设置为可查询属性,请执行以下步骤:
- 打开 IDM 模式配置。您必须具有 IDM 模式配置权能才能查看或编辑 IDM 模式配置。
- 找到 <IDMObjectClassConfiguration name='User'> 元素。
- 找到 <IDMObjectClassAttributeConfiguration name='xyz'> 元素,其中 xyz 是要设置为可查询属性的属性名称。
- 设置 queryable='true'。
在编码样例 3-1 中,将 email 扩展属性定义为可查询属性。
- 需要重新启动 Identity Manager 应用程序(或应用服务器)以使 IDM 模式配置更改生效。
确认规则
任意确认规则的输入如下:
如果用户与操作字段匹配,则确认规则会返回字符串形式的布尔值 true;否则,它会返回值 false。
典型的确认规则会将用户视图的内部值与操作字段的值比较。作为关联进程的可选第二阶段,确认规则执行不能在关联规则中表达的检查(或关联规则中因太昂贵而不能评估的检查)。总之,只有在下列情况下才需要确认规则:
为关联规则返回的每个匹配用户运行一次确认规则。
管理帐户安全和权限本节讨论了您可以执行哪些操作来提供用户帐户的安全访问并管理 Identity Manager 中的用户权限。
设置密码策略
资源密码策略建立对密码的限制。强大的密码策略可提供增强的安全性,从而有助于保护资源不会遭受未经授权的登录尝试。可以编辑密码策略来设置或选择一定范围的特征值。
要开始使用密码策略,请单击主菜单中的安全,然后单击策略。
要编辑密码策略,请在“策略”列表中单击该策略。要创建密码策略,请从新建... 选项列表中选择字符串质量策略。
注
有关策略的详细信息,请参见配置 Identity Manager 策略。
创建策略
密码策略是字符串质量策略的默认类型。在命名新策略并提供可选描述后,请为定义新策略的规则选择选项和参数。
长度规则
长度规则设置密码所需字符长度的最小值和最大值。选择此选项以启用规则,然后为规则输入限制值。
字符类型规则
字符类型规则确定密码中可以包括的某些类型字符和数字的最少数量和最多数量。其中包括:
为每个字符类型规则输入一个数字限制值;或者输入 "All" 指示所有字符必须都是该类型字符。
还可以设置必须通过验证的字符类型规则的最小数量,如图 3-11 所示。必须通过的最小数量是 1。最大数量不能超过您启用的字符类型规则数。
图 3-11 密码策略(字符类型)规则
字典策略选则
可以选择根据字典中的词语检查密码,以防范简单的字典攻击。在能够使用此选项之前,您必须:
从“策略”页配置字典。有关如何设置字典的详细信息,请参见字典策略。
密码历史记录策略
可以禁止再次使用直接在新选密码之前使用的密码。
在“不能再次使用的先前密码数”字段中,输入一个大于 1 的数字,以禁止再次使用当前和先前密码。例如,如果输入数值 3,新密码就不能与当前密码或直接在当前密码之前使用的两个密码相同。
您也可禁止再次使用先前密码中使用过的类似字符。在“先前密码中不能重复使用的最多类似字符数”字段中,输入不能在新密码中重复使用的一个或多个先前密码中的连续字符数。例如,如果输入了值 7,且先前密码为 password1,则新密码不能为 password2 或 password3。
如果输入了值 0,则无论顺序如何,所有字符都不得相同。例如,如果先前密码为 abcd,则新密码不能包含字符 a、b、c 或 d。
此规则可应用于一个或多个先前密码。检查的先前密码的数量是“不能再次使用的先前密码数”字段中指定的数量。
不得包含词
可输入一个或多个密码不能包含的词。在输入框中,每行输入一个词。
还可以通过配置和实现字典策略排除词。有关详细信息,请参见字典策略。
不得包含属性
选择一个或多个密码不能包含的属性。属性包括:
可以在 UserUIConfig 配置对象中更改密码允许的“不得包含”属性集。有关详细信息,请参见策略中不得包含属性。
实现密码策略
密码策略是为每个资源建立的。要将某个密码策略应用于指定资源,请从“密码策略”选项列表中选择它,“密码策略”选项列表在“创建资源向导:Identity Manager 参数”或“编辑资源向导:Identity Manager 参数”页的“策略配置”区域中。
用户验证
如果用户忘记了密码或重设了密码,该用户可通过回答一个或多个帐户验证问题来获得访问 Identity Manager 的权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分,由您来设定。与密码策略不同,Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户(在“创建用户”页和“编辑用户”页中)。
要在帐户策略中设置验证,请执行以下步骤:
重要提示!首次设置时,用户应登录到“用户界面”并提供对验证问题的初始答案。如果不设置这些问题,用户必须使用密码才能成功登录。
验证问题策略决定了用户执行以下操作时所发生的情况:在登录页上单击忘记密码?按钮或访问“更改我的回答”页。表 3-3 介绍了其中的每个选项。
表 3-3 验证问题策略选项
选项
描述
循环
Identity Manager 从配置的问题列表中选择下一个问题,并将此问题分配给用户。将为第一个用户分配验证问题列表中的第一个问题,而为第二个用户分配第二个问题。此模式将持续使用,直至超出问题数。届时,将按问题的先后顺序为用户分配问题。例如,如果有 10 个问题,将为第 11 个和第 21 个用户分配第一个问题。
仅显示选定的问题。如果您希望用户每次回答不同的问题,则需要使用随机策略并将问题数设置为 1。
用户无法定义自己的验证问题。有关此特性的更多信息,参见个性化验证问题。
随机
通过使用此选项,管理员可以指定用户必须回答的问题数。Identity Manager 将从策略中定义的问题以及用户定义的问题列表中随机选择并显示指定数量的问题。用户必须回答所有显示的问题。
任何
Identity Manager 将显示所有策略定义的问题以及个性化问题。必须指定用户必须回答的问题数。
所有
用户必须回答所有策略定义的问题以及个性化问题。
可以检查所选择的验证选项,方法是:登录到 Identity Manager 用户界面,单击忘记密码?,并回答显示的一个或多个问题。
图 3-12 显示了“用户帐户验证”屏幕的示例。
图 3-12 用户帐户验证
个性化验证问题
在 Identity Manager 帐户策略中,您可以选择一个选项,以允许用户在用户界面和管理员界面中提供自己的验证问题。此外,可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。
然后用户可以在“更改验证问题回答”页添加和更改问题。图 3-13 显示了此页的示例。
图 3-13 更改答案 - 个性化验证问题
验证后忽略更改密码质询
用户回答一个或多个问题成功通过验证后,默认情况下,系统会要求该用户提供一个新密码。但是,可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性,来配置 Identity Manager 忽略更改密码质询。
有关编辑系统配置对象的说明,请参见更多...。
要在成功验证后忽略所有应用程序的更改密码质询,请在系统配置对象中将 bypassChangePassword 属性设置如下:
编码样例 3-2 设置属性以忽略更改密码质询
<Attribute name="ui"
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
要对特定应用程序禁用此密码质询,请将其设置如下:
编码样例 3-3 设置属性以禁用更改密码质询
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
分配管理权限
可以将 Identity Manager 管理权限或权能分配给用户,如下所述:
有关 Identity Manager 管理员和管理任务的详细信息,请参见第 6 章 管理。
用户自行搜索最终用户可以使用 Identity Manager 最终用户界面搜索资源帐户。这意味着拥有 Identity Manager 标识的用户可以与现有的但未关联的资源帐户相关联。
启用自行搜索
要启用自行搜索,必须编辑特殊配置对象(最终用户资源),然后将允许用户在其中搜索帐户的每个资源的名称添加到该对象中。
要启用自行搜索,请执行以下步骤:
- 编辑“最终用户资源”配置对象。
有关编辑 Identity Manager 配置对象的说明,请参见编辑 Identity Manager 配置对象。
- 添加 <String>Resource</String>,其中 Resource 与系统信息库中的资源对象的名称相匹配,如图 3-14 所示。
图 3-14 最终用户资源配置对象
- 单击保存。
启用自行搜索后,将在 Identity Manager 用户界面的“配置文件”菜单选项卡下向用户显示一个新的选择区域(“自行搜索”)。用户可以使用该区域从可用列表中选择资源,然后输入资源帐户 ID 和密码,将此帐户与其 Identity Manager 标识链接。
注
要为最终用户授予 Identity Manager 配置对象的访问权限,管理员还可以使用“最终用户”组织。有关详细信息,请参见更多...。
匿名注册匿名注册功能允许无 Identity Manager 帐户的用户通过请求获得此帐户。
启用匿名注册
默认情况下将禁用匿名注册功能。
要启用匿名注册功能,请执行以下步骤:
当用户登录到用户界面时,登录页将显示初次登录的用户?文本,然后显示请求帐户链接。
图 3-15 启用了“请求帐户”链接的用户界面页
配置匿名注册
在“用户界面”页的“匿名注册”区域中,可以为匿名注册过程配置以下选项:
完成后请单击保存。
用户注册过程
当用户登录到用户界面时,可通过单击登录页上的请求帐户来请求帐户。
Identity Manager 将显示第一个注册页面(共两页),要求提供姓名和雇员 ID。如果将“启用验证”属性设置为 yes(默认值),则必须先验证此信息,用户才能进入下一页。
EndUserLibrary 中的 verifyFirstname、verifyLastname、verifyEmployeeId 和 verifyEligibility 规则可验证每个属性的信息。
如果禁用“启用验证”属性,则不会显示初始注册页面。在这种情况下,您必须修改“最终用户匿名注册完成”表单,以允许用户输入通常被初始验证表单捕获的信息。
使用注册页面上提供的信息,Identity Manager 可以生成以下内容:
如果用户在注册页面上所提供的信息经验证是正确的,Identity Manager 将向用户显示第二个注册页面。用户必须在此处输入密码和密码确认。如果将“需要隐私策略”属性设置为 yes,用户还必须选择相应选项以接受隐私策略的条款。
当用户单击“注册”时,Identity Manager 将显示确认页面。如果将“启用通知”属性设置为 yes,则页面会指出用户将在创建帐户后收到电子邮件通知。
标准的创建用户过程(包括 idmManager 属性和策略设置所需的批准)完成之后,将创建帐户。
