上一頁      目錄      索引      下一頁
Sun[TM] Identity Manager 8.0 管理

第 6 章
管理

本章將提供有關在 Identity Manager 系統中執行一系列管理層級作業 (例如建立和管理 Identity Manager 管理員和組織) 的資訊與程序。還將提供有關如何在 Identity Manager 中使用角色、權能和管理角色的資訊。

這些資訊分別在以下主題中提供：

瞭解 Identity Manager 管理
建立管理員
瞭解 Identity Manager 組織
建立組織
瞭解目錄結合與虛擬組織
瞭解與管理權能
瞭解與管理管理員角色
一般使用者組織
管理工作項目
核准

---

瞭解 Identity Manager 管理

Identity Manager 管理員是擁有許多 Identity Manager 權限的使用者。Identity Manager 管理員可管理：

使用者帳號
系統物件，例如角色與資源
組織

與使用者不同的是，Identity Manager 管理員可獲得指定的「權能」和「所控制的組織」。這些項目定義如下：

權能。將存取權限授予 Identity Manager 使用者、組織、角色和資源的一系列權限。
所控制的組織。指定管理員控制組織之後，管理員就可以管理該組織中的物件，以及該組織下層的所有組織。

託管

在大多數的公司中，執行管理作業的員工擁有特定責任。因此，這些管理員可以執行的帳號管理作業的範圍會有所限制。

例如，某管理員可能只負責建立 Identity Manager 使用者帳號。由於管理員的責任範圍有限，因此不大需要建立使用者帳號時所在資源的特定資訊，或關於系統內現有角色或組織的特定資訊。

Identity Manager 也可以限制管理員執行特定已定義範圍內之特定作業。

Identity Manager 如下支援權責區分與託管模型：

指定的權能會限制管理員只能執行特定的工作
指定的所控制的組織會限制管理員只能控制特定組織 (和那些組織內的物件)
[建立使用者] 和 [編輯使用者] 頁面的篩選檢視，會讓管理員無法檢視與其工作責任無關的資訊。

當您設定新的使用者帳號或編輯使用者帳號時，可以從 [建立使用者] 頁面指定使用者的委派。

您也可以從 [工作項目] 標籤委託工作項目，例如要核准的請求。如需有關委派的更多資訊，請參閱委託工作項目以取得詳細資訊。

---

建立管理員

若要建立管理員，請將一個或多個權能指定給使用者，並指定要套用權能的組織。

若要建立管理員，請執行以下步驟：

在管理員介面中，按一下功能表列的 [帳號]。[使用者清單] 頁面會隨即開啟。
若要將管理權限授予現有使用者，請按一下使用者名稱 ([編輯使用者] 頁面會隨即開啟)，然後按一下 [安全性] 標籤。

若需要建立新的使用者帳號，請參閱建立使用者。

依需要進行選擇，以建立管理控制：
權能 - 選取一個或多個應該指定給此管理員的權能。此為必要資訊。如需更多資訊，請參閱瞭解與管理權能。
所控制的組織 - 選取一個或多個應該指定給管理員的組織。管理員會控制所指定組織中的物件，以及階層中位於此組織以下之所有組織中的物件。此為必要資訊。如需更多資訊，請參閱瞭解 Identity Manager 組織。
使用者表單 - 選取在建立和編輯 Identity Manager 使用者時，此管理員將使用的使用者表單 (若已指定該權能)。如果您不直接指定使用者表單，管理員將會沿用指定給他所屬組織的使用者表單。此處所選的表單會取代此管理員的組織內選定的任何表單。
將核准請求轉寄給 - 選取一個使用者，以將目前擱置的所有核准請求轉寄給該使用者。此管理員設定也可以在 [核准] 頁面中設定。
將工作項目委託給 - 如果可用，則使用此選項可指定使用者帳號的委派。您可以指定管理員的管理員、一個或多個選取的使用者，或使用委託核准人規則。

圖 6-1 [使用者帳號安全性] 頁面：指定管理員權限

篩選管理員檢視

藉由指定使用者表單給組織與管理員，您可以建立使用者資訊的特定管理員檢視。使用者資訊的存取權設定為兩個層級：

組織 - 在建立組織時，您可以指定該組織中的所有管理員在建立與編輯 Identity Manager 使用者時，將使用的使用者表單。在管理員層級設定的任何表單將會覆寫此處設定的表單。若未替管理員或組織選取表單，Identity Manager 會繼承為父組織選取的表單。若此處沒有設定表單，則 Identity Manager 會使用系統配置中設定的預設表單。
管理員 - 在指定使用者管理權能時，您可以直接將使用者表單指定給管理員。若您沒有指定表單，則管理員會繼承指定給其組織的表單 (或若沒有為組織設定表單時，繼承系統配置中設定的預設表單)。

瞭解與管理權能中說明您可以指定的內建 Identity Manager 權能。

變更管理員密碼

具有指定的管理員密碼變更權能的管理員或管理員所有者均可變更管理員密碼。

管理員可以使用下列表單，變更另一個管理員的密碼：

變更使用者密碼表單 - 開啟此表單的方式有兩種：
按一下功能表中的 [帳號]。[使用者清單] 會隨即開啟。選取管理員，然後選取 [使用者動作] 清單中的 [變更密碼]。[變更使用者密碼] 頁面會隨即開啟。
按一下功能表中的 [密碼] 。[變更使用者密碼] 頁面會隨即開啟。
標籤式使用者表單 - 按一下功能表中的 [帳號]。[使用者清單] 會隨即開啟。選取管理員，然後選取 [使用者動作] 功能表中的 [編輯]。[編輯使用者] 頁面 (標籤式使用者表單) 會隨即開啟。在 [身份識別] 表單標籤的 [密碼] 和 [確認密碼] 欄位中，鍵入新密碼。

管理員可以在 [密碼] 區域變更其自己的密碼。按一下功能表中的 [密碼]，然後按一下 [變更我的密碼]。

備註	套用到帳號的 Identity Manager 帳號策略會決定密碼限制，例如密碼到期時間、重設選項，與通知選擇。額外密碼限制可透過在管理員資源上所設定的密碼策略進行設定。

質疑管理員動作

您可配置讓 Identity Manager 在處理特定帳號變更之前，提示管理員輸入密碼。若認證失敗，則會取消帳號變更。

管理員可以使用三種表單來變更使用者密碼。這些表單是 [標籤式使用者] 表單、[變更使用者密碼] 表單和 [重設使用者密碼] 表單。若要確保在 Identity Manager 處理使用者帳號變更之前需要管理員輸入他們的密碼，請務必要更新此三個表單。

啟用標籤式使用者表單的詰問選項

若要在 [標籤式使用者] 表單上要求密碼詰問，請執行以下步驟。

在管理員介面中，於瀏覽器內鍵入下列 URL，開啟 Identity Manager 除錯頁面 (更多...) (您必須要有 [除錯] 權能才能開啟此頁面)。

http://<AppServerHost>:<Port>/idm/debug/session.jsp

[系統設定] 頁面 (Identity Manager 除錯頁面) 會隨即開啟。

尋找 [列出物件] 按鈕，並從下拉式功能表選取 [UserForm]，然後按一下 [ListObjects] 按鈕。

隨即會開啟 [列出物件類型： UserForm] 頁面。

找到您在生產環境中使用的「標籤式使用者表單」副本，然後按一下 [編輯] (與 Identity Manager 一起發行的「標籤式使用者表單」是一種範本，而且不應該進行修改)。
在 <Form> 元素內增加下列程式碼片段：

<Properties>

<Property name='RequiresChallenge'>

<List>

<String>password</String>

<String>email</String>

<String>fullname</String>

</List>

</Property>

</Properties>

此特性的值，是可能包含下列一個或多個使用者檢視屬性名稱的清單：

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
resources
roles
儲存變更。

啟用 [變更使用者密碼] 和 [重設使用者密碼] 表單的詰問選項

若要在 [變更使用者密碼] 和 [重設使用者密碼] 表單上要求密碼詰問，請執行以下步驟：

在管理員介面中，於瀏覽器內鍵入下列 URL，開啟 Identity Manager 除錯頁面 (更多...) (您必須要有 [除錯] 權能才能開啟此頁面)。

http://<AppServerHost>:<Port>/idm/debug/session.jsp

[系統設定] 頁面 (Identity Manager 除錯頁面) 會隨即開啟。

找到 [列出物件] 按鈕，並從下拉式功能表選取 [UserForm]，然後按一下 [ListObjects] 按鈕。

隨即會開啟 [列出物件類型： UserForm] 頁面。

找到您在生產環境中使用的「變更使用者密碼表單」副本，然後按一下 [編輯] (與 Identity Manager 一起發行的「變更使用者密碼表單」是一種範本，而且不應該進行修改)。
找到 <Form> 元素，然後移至 <Properties> 元素。
在 <Properties> 元素內增加下列一行，並儲存變更。

<Property name='RequiresChallenge' value='true'/>

重複步驟 3 - 5，但不要編輯您在生產環境中使用的「重設使用者密碼表單」副本。

變更認證問題的答案

使用 [密碼] 區域可變更您為帳號身份驗證問題設定的答案。從功能表列中，選取 [密碼]，然後選取 [變更我的答案]。

如需有關認證的更多資訊，請參閱使用者認證。

在管理員介面中自訂管理員名稱顯示

在某些 Identity Manager 管理員介面頁面和區域中，可以依屬性 (例如電子郵件或完整名稱) 而非帳號 ID 顯示 Identity Manager 管理員，例如以下區域：

編輯使用者 (轉寄核准選項清單)
角色表格
建立/編輯角色
建立/編輯資源
建立/編輯組織/目錄結合
核准

若要將 Identity Manager 配置為使用顯示名稱，請將以下內容增加到 UserUIConfig 物件中：

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

例如，若要將電子郵件屬性作為顯示名稱，請將以下屬性名稱增加到 UserUIconfig 中：

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

瞭解 Identity Manager 組織

利用組織可執行以下動作：

有邏輯並安全地管理使用者帳號與管理員
限制對資源、應用程式、角色與其他 Identity Manager 物件的存取權

藉由建立組織並指定使用者至組織層級中的不同位置，您可以設定委託管理階段。包含一個或多個其他組織的組織稱為父系組織。

所有 Identity Manager 使用者 (包括管理員) 皆靜態地指定給一個組織。使用者也可以被動態地指定給額外組織。

Identity Manager 管理員會額外指定，以控制組織。

---

建立組織

組織於 Identity Manager 帳號區域中建立。

若要建立組織，請執行以下步驟：

在管理員介面中，按一下功能表列的 [帳號]。

[使用者清單] 頁面會隨即開啟。

在 [新動作] 功能表中，選取 [新組織]。

提示	若要在組織階層的特定位置建立組織，請在清單中選取組織，然後選取 [新動作] 功能表中的 [新組織]。

圖 6-2 說明了 [建立組織] 頁面。

圖 6-2 [建立組織] 頁面

指定使用者給組織

每個使用者均為一個組織的靜態成員，且可以是多個組織的動態成員。

組織成員身份定義如下：

直接 (靜態) 指定 - 在 [建立使用者] 頁面或 [編輯使用者] 頁面中，直接將使用者指定給組織 (選取 [身份] 表單標籤可顯示 [組織] 欄位)。使用者必須直接指定給一個組織。
規則導向 (動態) 指定 - 透過指定給組織的 [使用者成員規則]，將使用者指定給組織。此規則在計算過後會傳回一組成員使用者。

Identity Manager 會在下列情況計算 [使用者成員規則]：

列出組織中的使用者時
尋找使用者 (透過 [尋找使用者] 頁面)，包括搜尋位在具有使用者成員規則之組織中的使用者
請求使用者存取權，但前提是目前的管理員會控制具有使用者成員規則的組織

從 [建立組織] 頁面的 [使用者成員規則] 欄位中選取使用者成員規則。圖 6-3 顯示使用者成員規則的範例。

圖 6-3 建立組織：使用者成員規則選取

使用者成員規則範例

以下範例顯示如何設定使用者成員規則，以動態控制組織的使用者成員身份。

備註	如需有關在 Identity Manager 中建立和使用規則的資訊，請參閱「Identity Manager Deployment Tools」。

金鑰定義與內含項

若要讓規則出現在 [使用者成員規則] 選項方塊中，其 authType 必須設為 authType='UserMembersRule'。
上下文是目前驗證的 Identity Manager 使用者的階段作業。
定義的變數 (defvar) Team players 會為作為 Windows Active Directory 組織單位 (ou) Pro Ball Team 成員的每個使用者取得辨別名稱 (dn)。
對於找到的使用者，附加邏輯會將 Pro Ball Team ou 之每個成員使用者的 dn 與使用冒號前綴的 Identity Manager 資源名稱 (如 :smith-AD) 鏈結在一起。
傳回的結果將是與 Identity Manager 資源名稱鏈結的 dn 清單，格式為 dn:smith-AD。

程式碼範例

下列程式碼範例說明使用者成員規則範例的語法。

編碼樣例 6-1 使用者成員規則範例

<Rule name='Get Team Players'      authType='UserMembersRule'>    <defvar name='Team players'>       <block>          <defvar name='player names'>             <list/>          </defvar>    <dolist name='users'>       <invoke class='com.waveset.ui.FormUtil'             name='getResourceObjects'>          <ref>context</ref>          <s>User</s>          <s>singleton-AD</s>          <map>             <s>searchContext</s>             <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>             <s>searchScope</s>             <s>subtree</s>             <s>searchAttrsToGet</s>             <list>                <s>distinguishedName</s>             </list>          </map>       </invoke>       <append name='player names'>       <concat>          <get>             <ref>users</ref>             <s>distinguishedName</s>          </get>             <s>:sampson-AD</s>       </concat>       </append>    </dolist>       <ref>player names</ref>    </block>    </defvar>       <ref>Team players</ref> </Rule>

指定組織控制

從 [建立使用者] 或 [編輯使用者] 頁面中，指定一個或多個組織的管理控制。選取 [安全性] 表單標籤可顯示 [控制的組織] 欄位。

您也可以透過從 [管理員角色] 欄位指定一個或多個管理角色，來指定組織的管理控制。

---

瞭解目錄結合與虛擬組織

目錄結合是一組階層式的相關組織，對一個目錄資源中的一組實際階層式容器進行鏡像。目錄資源透過使用階層容器來使用階層名稱空間。目錄資源的範例有 LDAP 伺服器與 Windows Active Directory 資源。

目錄結合中的每個組織皆是虛擬組織。目錄結合中最頂層的虛擬組織是表示定義於資源中的基底環境的容器的鏡像。目錄結合中其餘的虛擬組織為頂層虛擬組織的直接或間接子系組織，是所定義資源基底環境容器之子系目錄資源容器的鏡像。圖 6-4 說明了此結構。

圖 6-4 Identity Manager 虛擬組織

可以在任一點將目錄結合連接至現有 Identity Manager 組織結構。然而，不能在現有目錄結合之內或之下連接目錄結合。

您將目錄結合增加至 Identity Manager 組織樹後，可以建立或刪除該目錄結合中上下文裡的虛擬組織。除此之外，您可以隨時重新整理內含目錄結合的虛擬組織集，來確保其與目錄資源容器保持同步。您無法在目錄結合中建立非虛擬組織。

您可以使用與 Identity Manager 組織相同的方式來建立虛擬組織的 Identity Manager 物件 (例如使用者、資源與角色) 成員，並可用於其中。

設定目錄結合

若要設定目錄結合，請執行以下步驟：

在管理員介面中，選取功能表列的 [帳號]。

[使用者清單] 頁面會隨即開啟。

在 [帳號] 清單中選取 Identity Manager 組織。您選取的組織將成為設定的虛擬組織的父系組織。

然後，在 [新動作] 功能表中，選取 [新目錄結合]。

Identity Manager 會開啟 [建立目錄結合] 頁面。

選取設定虛擬組織的選項：
父系組織 - 這個欄位包含您從 [帳號] 清單中選取的組織；不過，您也可以從清單中選取不同的父系組織。
目錄資源 - 選取用於管理現有目錄的目錄資源，此目錄資源的結構會在虛擬組織中進行鏡像。
使用者表單 - 選取要套用至這個組織中的管理員之使用者表單。
Identity Manager 帳號策略 - 選取策略，或選取預設選項 (繼承) 以繼承父系組織的策略。
核准人 - 選取可以對與這個組織相關的請求進行核准的管理員。

重新整理虛擬組織

此程序從選取的組織開始，向下重新整理虛擬組織並使之與相關目錄資源重新同步化。在清單中選取虛擬組織，然後在 [組織動作] 清單中，選取 [重新整理組織]。

刪除虛擬組織

刪除虛擬組織時，您可以從兩個刪除選項中選取：

僅刪除 Identity Manager 組織 - 僅刪除 Identity Manager 目錄結合。
刪除 Identity Manager 組織和資源容器 - 刪除 Identity Manager 目錄結合與本機資源上的對應組織。

選取一個選項，然後按一下 [刪除]。

---

瞭解與管理權能

權能為 Identity Manager 系統中的多組權利。權能表示管理工作責任，例如重設密碼或管理使用者帳號。每個 Identity Manager 管理使用者均被指定了一項或多項權能，這會提供一組不會危及資料保護的權限。

您不需為所有的 Identity Manager 使用者指定權能。只有透過 Identity Manager 執行一個或多個管理動作的使用者才需要權能。例如，使用者不需要指定的權能即可變更其密碼，但是若要變更其他使用者的密碼，則需有指定的權能。

為您指定的權能會掌控您可存取 Identity Manager 管理介面的哪些區域。所有 Identity Manager 管理使用者可以存取特定的 Identity Manager 區域，包括：

[首頁] 和 [說明] 標籤
[密碼] 標籤 (僅限 [變更我的密碼] 和 [變更我的答案] 子標籤)
[報告] (限於和管理員的特定責任相關的類型)

備註	(更多...)附錄 D「權能定義」含有 Identity Manager 的預設作業型和功能性權能清單 (含定義)。本附錄也會列出可利用各作業型權能存取的標籤及子標籤。

權能類別

Identity Manager 定義權能如下：

作業型。這些是位於最簡單作業層級上的權能。
功能性。功能性權能包含一個或多個其他功能性權能或作業型權能。

內建權能 (隨 Identity Manager 系統提供) 是受保護的，表示您無法對其進行編輯。但是您可以在建立的權能中使用它們。

受保護 (內建) 權能在清單中以紅色鑰匙 (或紅色鑰匙及資料夾) 圖示標示。您建立並可編輯的權能在權能清單中以綠色鑰匙 (或綠色鑰匙及資料夾) 圖示標示。

使用權能

本節說明如何建立、編輯、指定和重新命名權能。您必須以 [權能] 功能執行這些作業。

檢視權能頁面

[權能] 頁面位於 [安全性] 標籤下方。

若要開啟 [權能] 頁面，請執行以下步驟：

在管理員介面中，按一下頂層功能表的 [安全性]。
按一下輔助功能表的 [權能]。

[權能] 頁面會隨即開啟，並顯示 Identity Manager 權能清單。

建立權能

使用下列程序可建立權能。若要複製權能，請參閱儲存並重新命名權能。

若要建立權能，請執行以下步驟：

在管理員介面中，按一下頂層功能表的 [安全性]。
按一下輔助功能表的 [權能]。

[權能] 頁面會隨即開啟，並顯示 Identity Manager 權能清單。

按一下 [新增]。

[建立權能] 頁面會隨即開啟。

如下完成表單：
命名新的權能。
在 [權能] 區段中，使用箭號按鈕將應指定給使用者的權能移動至 [指定的權能] 方塊中。
在 [指定者] 方塊中，選取一或多位可將此權能指定給其他使用者的使用者。如果未選取任何使用者，則只有建立該權能的使用者能夠指定此權能。若建立權能的使用者並未指定「指定使用者權能」權能，則必須選取一或多位使用者，以確保至少有一位使用者能夠將權能指定給其他使用者。
在 [組織] 方塊中，選取一個或多個可以使用此權能的組織。
按一下 [儲存]。

備註	可供您選取指定者的使用者集，就是已具備 [指定權能] 權限的使用者。

編輯權能

您可以編輯「非保護的權能」。

若要編輯非保護的權能，請執行以下步驟：

在管理員介面中，按一下頂層功能表的 [安全性]。
按一下輔助功能表的 [權能]。

[權能] 頁面會隨即開啟，並顯示 Identity Manager 權能清單。

在清單中的權能上按一下滑鼠右鍵，然後選取 [編輯]。[編輯權能] 頁面會隨即開啟。
進行變更，然後按一下 [儲存]。

您無法編輯內建權能。不過，您可以使用不同的名稱儲存它們，以建立您自己的權能。也可以在您建立的權能中使用內建權能。

儲存並重新命名權能

您可以使用新名稱儲存現有的權能，以建立新的權能。此程序稱為複製權能。

若要複製權能，請執行以下步驟：

在管理員介面中，按一下頂層功能表的 [安全性]。
按一下輔助功能表的 [權能]。

[權能] 頁面會隨即開啟，並顯示 Identity Manager 權能清單。

在清單中的權能上按一下滑鼠右鍵，然後選取 [另存新檔]。

隨即開啟一個對話方塊，要求您鍵入新權能的名稱。

請鍵入名稱，然後按一下 [確定]。

現在即可編輯新的權能。

指定權能

使用 [建立使用者] 頁面 (更多...) 或 [編輯使用者] 頁面 (更多...)，將權能指定給使用者。您也可以透過指定管理員角色 (透過介面中的 [安全性] 區域設定) 將權能指定給使用者。詳細資訊請參閱瞭解與管理管理員角色。

備註	(更多...) 附錄 D「權能定義」含有 Identity Manager 的預設作業型和功能性權能清單 (含定義)。本附錄也會列出可利用各作業型權能存取的標籤及子標籤。

---

瞭解與管理管理員角色

管理員角色定義兩個項目， 分別是一組權能以及控制範圍 (專有名詞控制範圍指的是一個或多個受管組織)。定義之後，就可以將管理員角色指定給一或多位管理員。

備註	請勿將角色與管理員角色混淆。角色是用來管理一般使用者對外部資源的存取權，而管理員角色主要是用以管理 Identity Manager 管理員對 Identity Manager 物件的存取權。 本節所呈現的資訊是針對管理員角色。如需有關角色的資訊，請參閱瞭解與管理角色。

一個管理員可以有多個管理員角色。如此可讓管理員在某個控制範圍內擁有一組權能，而在另一個控制範圍內擁有另一組權能。例如，一個管理員角色可以針對在該管理員角色中所指定的控制組織，授予管理員建立和編輯使用者的權限。不過，第二個指定給相同管理員的管理員角色，可能只會獲得該管理員角色中所定義之不同控制組織集內的「變更使用者密碼」權限。

管理員角色可重複使用成對的權能和控制範圍。管理員角色也可簡化大量使用者的管理員權限之管理。管理員角色應用以授予管理員權限，而非直接將權能和所控制的組織指定給個別使用者。

您可以將權能及 (或) 組織直接或動態 (間接) 指定給管理員角色：

直接 - 使用此方法，會將權能及/或所控制的組織明確指定給管理員角色。例如，您可以將「使用者報告管理員」權能和所控制的組織 Top 指定給管理員角色。
動態 (間接) - 此方法使用規則來指定權能和所控制的組織。已獲得管理員角色的管理員每次登入時，系統都會計算規則。而在認證管理員之後，規則會動態地判斷要指定哪一組權能及 (或) 所控制的組織。

例如，當使用者登入時：

若其 Active Directory (AD) 使用者職稱為管理員，則權能規則可能會傳回「帳號管理員」作為要指定的權能。
若其 Active Directory (AD) 使用者部門為行銷，則所控制的組織規則可能會傳回「行銷」作為要指定之所控制的組織。

備註	您可以針對每個登入介面，啟用或停用將管理員角色動態指定給使用者的功能 (例如，[使用者] 介面或 [管理員] 介面)。若要執行此作業，請將下列系統配置屬性設為 true 或 false： security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface 所有介面的預設均為 false。 如需有關編輯系統配置物件的說明，請參閱更多...。

管理員角色規則

Identity Manager 提供可用以建立管理員角色規則的規則範例。您可以在 Identity Manager 安裝目錄的 sample/adminRoleRules.xml 中找到這些規則。

表 6-1 提供您必須指定給每個規則的規則名稱和 authType。

表 6-1 管理員角色規則範例 

規則名稱	authType
所控制的組織規則	ControlledOrganizationsRule
權能規則	CapabilitiesRule
已為使用者指定管理員角色規則	UserIsAssignedAdminRoleRule

備註	如需有關為服務提供者使用者管理員角色提供之規則範例的資訊，請參閱「服務提供者管理」一章中託管。

使用者管理員角色

Identity Manager 包含內建管理員角色，稱為「使用者管理員角色」。依預設，未向其指定權能或所控制的組織。您無法將其刪除。此管理員角色在登入時即已隱式指定給所有使用者 (一般使用者及管理員)，而與其登入的介面 (例如使用者、管理員、主控台或 IDE) 無關。

備註	如需有關為服務提供者使用者建立管理員角色的資訊，請參閱「服務提供者管理」一章中託管。

您可以透過管理員介面編輯使用者管理員角色 (選取 [安全性]，然後選取 [管理員角色])。

由於透過此管理員角色靜態指定的任何權能或所控制的組織，會指定給所有的使用者，所以建議透過規則來指定權能與所控制的組織。這將使不同的使用者有不同的權能 (或沒有權能)，而且指定將根據某些因素 (例如他們的身分、所屬的部門或是否為管理員) 來確定範圍，這些因素可以在規則的上下文中查詢。

使用者管理員角色不停用或替代工作流程中使用的 authorized=true 旗標。當使用者不應存取由工作流程存取的物件時，此旗標依然適用，除非工作流程正在執行。本質上來說，這會讓使用者進入以超級使用者身份執行模式。

不過，在部分情況下，使用者可能應該擁有工作流程以外 (也可能是以內) 之一個或多個物件的特定存取權。在這種情況下，如果使用的規則能動態指定權能和所控制的組織，可對這些物件進行細部授權。

建立和編輯管理員角色

若要建立或編輯管理員角色，必須要為您指定「管理員角色管理員」權能。

若要在管理員介面中存取管理員角色，請按一下 [安全性]，然後按一下 [管理員角色] 標籤。[管理員角色] 清單頁可讓您為 Identity Manager 使用者和服務提供者使用者建立、編輯和刪除管理員角色。

若要編輯現有的管理員角色，請按一下清單中的名稱。按一下 [新增] 以建立管理員角色。Identity Manager 會顯示 [建立管理員角色] 選項 (如圖 6-5 所示)。[建立管理員角色] 檢視顯示四個標籤，您可以用來指定一般屬性、權能和新管理員角色的範圍，以及將角色指定給使用者。

圖 6-5 管理員角色建立頁面：[一般] 標籤

[一般] 標籤

可使用 [建立管理員角色] 或 [編輯管理員角色] 檢視的 [一般] 標籤來指定管理員角色的以下基本特徵：

名稱 - 此管理員角色的專屬名稱。

例如，您可以為對財務部門 (或組織) 中的使用者具有管理權能的使用者建立財務管理員角色

類型 - 選取 [Identity 物件] 或 [服務提供者使用者] 類型。這是必填欄位。

如果您為 Identity Manager 使用者 (或物件) 建立管理員角色，請選取 [Identity 物件]。如果您建立管理員角色是為了將存取權限授予服務提供者使用者，請選取 [「服務提供者」使用者]。

備註	如需有關建立管理員角色以便將存取權限授予服務提供者使用者的資訊，請參閱「服務提供者管理」一章中託管。

指定者- 選取或搜尋可以將此管理員角色指定給其他使用者的使用者。可供您在其中進行選取的使用者集 (即已具備 [指定權能] 權限的使用者)。

如果未選取任何使用者，則唯一能夠指定此管理員角色的使用者為建立此管理員角色的使用者。如果建立該管理員角色的使用者並沒有指定 [指定使用者權能] 權能，請選取一個或多個使用者作為 [指定者]，以確保至少有一位使用者能夠為其他使用者指定管理員角色。

組織 - 選取可使用此管理員角色的一個或多個組織。這是必填欄位。

管理員可管理階層中指定組織或指定組織下的任何組織中的物件。

控制範圍

Identity Manager 可讓您控制一般使用者之控制範圍內的使用者。

使用 [控制範圍] 標籤 (如圖 6-6 所示) 可指定此組織成員可管理的組織，或指定規則以確定管理員角色之使用者所要管理的組織，以及為管理員角色選取使用者表單。

圖 6-6 建立管理員角色：控制範圍

所控制的組織 - 從 [可用組織] 清單中選取此管理員角色有權管理的組織。
所控制的組織規則 - 選取規則，在使用者登入時會對該規則進行計算，以確定已具有此管理員角色的使用者所要控制的多個組織，或不控制任何組織。選取的規則必須具有 ControlledOrganizationsRule authType。依預設，不會選取任何所控制的組織規則。

備註	您可以使用 EndUserControlledOrganizations 規則根據組織需求定義所有必要的邏輯，以確保能委託給正確的一組使用者。 若要使用者的範圍清單與管理員的範圍清單相同，不論這些使用者登入管理員介面或一般使用者介面，皆必須如下變更 EndUserControlledOrganizations 規則： 將規則修改為先檢查認證使用者是否為管理員，然後再配置下列項目： 若使用者不是管理員，則會傳回應由一般使用者所控制的一組組織，例如使用者本身的組織 (例如 waveset.organization)。 如果使用者是管理員，則不傳回任何組織，如此使用者僅會控制指定的組織，因為此使用者便是管理員。 例如： <Rule protectedFromDelete='true' authType='EndUserControlledOrganizationsRule' id='#ID#End User Controlled Organizations' name='End User Controlled Organizations'> <Comments> 如果登入的使用者不是 Idm 管理員， 則傳回其所屬的組織。 否則，會傳回空值。 </Comments> <cond> <and> <isnull><ref>waveset.adminRoles</ref></isnull> <isnull><ref>waveset.capabilities</ref></isnull> <isnull><ref>waveset.controlledOrganizations</ref></isnull> </and> <ref>waveset.organization</ref> </cond> <MemberObjectGroups> <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/> </MemberObjectGroups> </Rule>

所控制的組織使用者表單 - 選取使用者表單，已具有該管理員角色的使用者將在建立或編輯屬於此管理員角色之所控制的組織使用者時，使用該表單。依預設，不會選取任何所控制的組織使用者表單。

透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。不會置換直接指定給管理員的使用者表單。

指定權能

指定給管理員角色的權能決定已指定該管理員角色之使用者的權限。例如，此管理員角色可能被限制於僅為其所控制的組織建立使用者。在這種情況下，您可以指定建立使用者權能。

在 [權能] 標籤上，可選取以下選項：

權能 - 這是一些特定的權能 (即管理權限)，管理員角色的使用者將具有這些權能以用於其所控制的組織。您可以從可用權能清單中選取一個或多個權能，並將它們移至 [指定的權能] 清單。
權能規則 - 選取規則，在使用者登入時會對該規則進行計算，以決定為已具有該管理員角色之使用者授予一份包含多個權能的清單，或不授予任何權能。選取的規則必須具有 CapabilitiesRule authType。

將使用者表單指定給管理員角色

您可將使用者表單指定給管理員角色的成員。使用 [建立管理員角色] 或 [編輯管理員角色] 檢視中的 [指定給使用者] 標籤來指定此指定。

指定管理角色的管理員在建立或編輯使用者 (隸屬該管理角色所控制的組織) 時，將使用這個使用者表單。透過管理員角色指定的使用者表單會置換從管理員所在組織繼承的任何使用者表單。不會置換直接指定給管理員的使用者表單。

編輯使用者時將使用的使用者表單取決於以下優先順序：

如果直接將使用者表單指定給管理員，則會使用該表單。
如果沒有將使用者表單直接指定給管理員，但管理員已被指定可執行下列功能的管理員角色：
控制正在建立或編輯的使用者為其成員的組織，而且
指定使用者表單

則會使用該使用者表單。

如果沒有為管理員直接指定或透過管理員角色間接指定任何使用者表單，則會使用指定給管理員之成員組織 (從管理員的成員組織開始，直到 Top 組織的下一層級) 的使用者表單。
如果沒有指定使用者表單給任何一個管理員成員組織，則會使用預設使用者表單。

如果管理員被指定多個管理員角色，這些角色控制相同的組織但指定了不同的使用者表單，則當其嘗試在該組織中建立或編輯使用者時會顯示錯誤。如果管理員嘗試指定兩個或兩個以上控制相同組織但指定了不同使用者表單的管理員角色，則會顯示錯誤。除非解決衝突，否則無法儲存變更。

---

一般使用者組織

「一般使用者」組織提供便利的方式，讓管理員製作一般使用者可以使用的特定物件 (例如資源和角色)。一般使用者可以使用一般使用者介面 (更多...) 檢視指定的物件，也可能可以將指定的物件指定給他們自己 (擱置核准程序)。

備註	「一般使用者」組織在 Identity Manager 7.1.1 版時開始採用。 以前若要讓一般使用者存取 Identity Manager 配置物件 (例如 [角色]、[資源]、[作業] 等)，管理員必須編輯配置物件，並使用 [一般使用者作業]、[一般使用者資源] 和 [一般使用者 authType]。 現在，Sun 建議使用「一般使用者」組織讓一般使用者存取 Identity Manager 配置物件。

「一般使用者」組織由所有使用者隱式控制，並讓使用者可檢視數種類型的物件 (包含作業、規則、角色和資源)。不過，組織在一開始時並沒有任何成員物件。

「一般使用者」組織是 Top 的成員，不得具有子組織。此外，「一般使用者」組織不會顯示在 [帳號] 頁面清單中。不過，在編輯物件 (例如 [角色]、[管理員角色]、[資源]、[策略]、[作業] 等) 時，您可以使用管理員使用者介面讓「一般使用者」組織可以使用所有物件。

當一般使用者登入一般使用者介面時，會發生下列情況：

一般使用者已獲得 EndUser 組織的控制權 (ObjectGroup)
Identity Manager 會計算內建「一般使用者所控制的組織」規則。此規則會自動讓使用者控制由規則所傳回的所有組織名稱。(此規則於 Identity Manager 7.1.1 版時加入。下節將予以說明)。
一般使用者已獲得 EndUser 權能中指定之物件類型的權限。

一般使用者所控制的組織規則

「一般使用者所控制的組織」規則的輸入引數，是認證使用者的檢視。Identity Manager 預期此規則會傳回的項目，是登入 [一般使用者] 介面的使用者將會控制的一個或多個組織。Identity Manager 預期此規則會傳回字串 (針對單一組織) 或清單 (針對多個組織)。

若要管理這些物件，使用者需要「一般使用者管理員」權能。已獲得「一般使用者管理員」權能的使用者，可檢視和修改「一般使用者所控制的組織」規則之內容。這些使用者也可檢視與修改 EndUser 權能中指定的物件類型。

「一般使用者管理員」權能預設會指定給「配置程式」使用者。而針對已登入的使用者，並不會動態反映任何清單變更或「一般使用者所控制的組織」規則評估後傳回的組織變更。這些使用者必須先登出再重新登入，才能察覺變更。

若「一般使用者所控制的組織」規則傳回無效的組織 (例如 Identity Manager 中不存在的組織)，則會在系統記錄檔中記錄此問題。若要更正此問題，請登入 [管理員] 使用者介面，並修正規則。

---

管理工作項目

由 Identity Manager 中作業產生的某些工作流程程序可建立動作項目或工作項目。這些工作項目可能是核准請求，或指定給 Identity Manager 帳號的某些其他動作請求。

Identity Manager 將所有工作項目聚集到介面的 [工作項目] 區域中，以使您可以從一個位置檢視和回應所有擱置請求。

工作項目類型

工作項目可以是以下任一類型：

核准 - 對新帳號或帳號變更進行核准的請求。
驗證作業 - 對使用者權限進行檢閱及核准的請求。
修正 - 對使用者帳號策略違規進行修正或緩解的請求。
其他 - 除以上標準類型之外的動作項目請求。即從自訂工作流程中產生的動作請求。

若要檢視每個工作項目類型的擱置工作項目，請按一下功能表的 [工作項目]。

備註	如果您是具有擱置工作項目 (或委託工作項目) 的工作項目所有者，則在您登入 Identity Manager 使用者介面時會顯示您的 [工作項目] 清單。

處理工作項目請求

若要回應工作項目請求，請按一下介面之 [工作項目] 區域中的一個工作項目類型。從請求清單中選取項目，然後按一下一個可用按鈕以指示您要執行的動作。工作項目選項因工作項目類型而異。

如需有關回應請求的更多資訊，請參閱以下主題：

核准
管理驗證責任
修正與緩解規範遵循違規

檢視工作項目歷程記錄

使用 [工作項目] 區域中的 [歷程記錄] 標籤，可檢視先前工作項目動作的結果。

圖 6-7 顯示工作項目歷程記錄的檢視範例。

圖 6-7 工作項目歷程記錄檢視

委託工作項目

工作項目所有者可透過將工作項目委託給其他使用者達指定的時間長度，來管理工作負荷量。您可以使用主功能表的 [工作項目] > [委託我的工作項目] 頁面，將未來的工作項目 (例如核准請求) 委託給一或多位使用者 (受委託人)。使用者無需核准人權能即可擔任受委託人。

備註	委派功能僅適用於未來的工作項目。現有的項目 (即 [我的工作項目] 下列出的項目) 必須透過轉寄功能進行選擇性轉寄。

您也可以從其他頁面委託工作項目：

在管理員介面中，可以從 [建立使用者] 和 [編輯使用者] 頁面委託工作項目 (更多...)。請按一下 [委派] 表單標籤。
在一般使用者 [使用者介面] 中 (更多...)，使用者可以按一下 [委派] 功能表項目。

在有效委派期間，受委託人可代表工作項目所有者核准工作項目。受委託的工作項目包括委託名稱。

任何使用者都可以建立他們未來工作項目的一項或多項委派。可以編輯使用者的管理員，也可以代表該使用者建立委派。但是，管理員無法委託至使用者無法委託的對象 (管理員對委派的控制範圍，與所代表進行委派的原先使用者相同)。

稽核記錄項目

核准或拒絕委託的工作項目時，稽核記錄項目會列出委託人名稱。建立或修改使用者時，使用者的委託核准人資訊變更，會記錄在稽核記錄項目的詳細變更區段中。

檢視目前的委派

您可以在 [目前的委派] 頁面上檢視委派。

若要檢視目前的委派，請執行以下步驟：

在管理員介面中，按一下主功能表的 [工作項目]。
按一下輔助功能表的 [委託我的工作項目]。

Identity Manager 顯示 [目前的委派] 頁面，您可以於此頁面中檢視與編輯目前有效的委派。

檢視先前的委派

您可以在 [先前的委派] 頁面上檢視先前的委派。

若要檢視先前的委派，請執行以下步驟：

在管理員介面中，按一下主功能表的 [工作項目]。
按一下輔助功能表的 [委託我的工作項目]。

[目前的委派] 頁面會隨即開啟。

按一下 [前一個]。

[先前的委派] 頁面會隨即開啟。先前委託的工作項目可用以設定新的委派。

建立委派

您可以使用 [新委派] 頁面建立委派。

若要建立委派，請執行以下步驟：

在管理員介面中，按一下主功能表的 [工作項目]。
按一下 [委託我的工作項目]。

[目前的委派] 頁面會隨即開啟。

按一下 [新增]。

[新委派] 頁面會隨即開啟。

如下完成表單：
從 [選取工作項目類型以進行委託] 選項清單中，選取工作項目類型。若要委託所有工作項目，請選取 [所有工作項目類型]。

若您是委託角色類型、組織或資源工作項目，請使用箭頭將選取項目從 [可用] 欄移動至 [已選取] 欄，以指定應定義此委派的特定角色、組織或資源。

將工作項目委託給 - 選取下列選項之一：
已選取的使用者 - 選取此選項即可在您的控制範圍內，依名稱搜尋要擔任受委託人的使用者。若選取的任何受委託人也委託了他的工作項目，則您未來的工作項目請求即會委託給他的受委託人。
在 [選取的使用者] 區域中選取一個或多個使用者。您也可以按一下 [從搜尋中增加]，以開啟搜尋功能並搜尋使用者。按一下 [增加]，將找到的使用者增加至清單中。若要從清單中移除受委託人，請選取該受委託人，然後按一下 [移除]。
我的管理員 - 選取此選項即可將工作項目委託給您的管理員 (若已指定)
DelegateWorkItemRule - 選取規則即可傳回 Identity Manager 使用者名稱清單以供您委託所選取的工作項目類型。
起始日期 - 選取委派工作項目開始的日期。依預設，所選日期開始於上午 12:01
結束日期 - 選取委派工作項目結束的日期。依預設，所選日期結束於晚上 11:59

備註	工作項目如果只要委託一天，可以選取相同的開始日期和結束日期。

按一下 [確定]，以儲存所選項目並返回待核准工作項目的清單。

備註	設定委派之後，任何在有效委派期間建立的工作項目，都會增加至委託清單。若結束委派或委派期限過期，則委託的工作項目就會傳回您的清單中。如此可能會在清單中產生重複的工作項目。但是，當您核准或拒絕其中一項，則重複項目便會自動從清單中移除。

委派給已刪除的使用者

當已刪除之使用者擁有任何擱置的工作項目時，Identity Manager 的運作如下：

若已委託擱置的工作項目，且尚未刪除委託人，則擱置的工作項目將會傳回委託人。
若尚未委託擱置的工作項目，或已委託擱置的工作項目且刪除了委託人，則在使用者的擱置工作項目獲得解決或轉寄給其他使用者之前，刪除嘗試會失敗。

結束委派

您可以從 [目前的委派] 頁面結束一個或多個委派。

若要結束一個或多個委派，請執行以下步驟：

在管理員介面中，按一下主功能表的 [工作項目]。
按一下輔助功能表的 [委託我的工作項目]。

[目前的委派] 頁面會隨即開啟。

選取一個或多個要結束的委派，然後按一下 [結束]。

Identity Manager 會移除所選的委派配置，並將選定類型的所有委託工作項目都傳回至擱置工作項目的清單。

---

核准

將使用者增加至 Identity Manager 系統時，指定為新帳號核准人的管理員必須驗證帳號的建立工作。

Identity Manager 支援三種核准種類：

組織 - 將使用者帳號增加至組織時所需的核准。
角色 - 將使用者帳號指定給角色時所需的核准。
資源 - 將存取資源的權限授予使用者帳號時所需的核准。

此外，若啟用了變更核准，而且已變更了角色，則會將變更核准工作項目傳送給指定的角色所有者。

Identity Manager 支援變更核准如下：

角色定義 - 若管理員變更角色定義，則需要來自指定的角色所有者之變更核准。角色所有者必須核准工作項目，才可進行變更。

備註	您可以將 Identity Manager 配置為數字簽署的核准。如需說明，請參閱配置數位簽署的核准與動作。

備註	不熟悉 Identity Manager 的管理員，有時會混淆核准和聽來類似的驗證概念。雖然名稱聽起來十分類似，但是核准和驗證是在不同的環境中進行。 核准作業與驗證新使用者帳號相關。將使用者增加至 Identity Manager 時，可能需要一個或多個核准才可驗證新帳號已獲得授權。 而驗證作業則與驗證現有使用者是否只擁有適當資源的適當權限相關。在定期存取檢閱程序中，可能會呼叫 Identity Manager 使用者 (驗證者) 以確認其他使用者的帳號詳細資訊 (即使用者的指定資源) 是否有效且正確。此程序稱為「驗證作業」。

設定帳號核准人

為組織、角色和資源核准人設定帳號核准人的動作不是必要作業，但建議進行此作業。對於已設定核准人的每個種類，帳號的建立至少需要進行一次核准。若一個核准人拒絕核准請求，則帳號不會建立。

您可以將多個核准人指定給每個種類。因為種類中只需要一次核准，您可以設定多個核准人以協助確保工作流程不會延遲或終止。若某個核准人無法使用，則其他核准人可以處理請求。核准僅適用於帳號設定。依預設，帳號更新和刪除並不需要核准。不過，您可以自訂此程序，使其需要核准。

您可以自訂工作流程，方法是使用 Identity Manager IDE 變更核准流程、擷取帳號刪除，以及擷取更新。

如需有關 IDE 的資訊，請參閱 Identity Manager IDE。如需有關工作流程的資訊以及變更核准工作流程之圖示範例，請參閱「Identity Manager Workflows, Forms, and Views」。

Identity Manager 核准人既可核准也可拒絕核准請求。

管理員可以從 Identity Manager 介面的 [工作項目] 區域檢視和管理擱置核准。在 [工作項目] 頁面中，按一下 [我的工作項目] 以檢視擱置核准。按一下 [核准] 標籤以管理核准。

簽署核准

若要核准使用數位簽名的工作項目，必須先如配置數位簽署的核准與動作所述設定數位簽名。

若要簽署核准，請執行以下步驟：

在 Identity Manager 管理員介面中，選取 [工作項目]。
按一下 [核准] 標籤。
從清單中選取一個或多個核准。
輸入核准的註釋，然後按一下 [核准]。

Identity Manager 提示您並詢問是否信任該 Applet。

按一下 [始終]。

Identity Manager 將顯示一個註有日期的核准摘要。

按 Enter 鍵或按一下 [瀏覽] 以找到金錀庫的位置 (此位置在配置簽署的核准期間設定，如使用 PKCS12 之簽署核准的用戶端配置程序中步驟 10m 所述)。
輸入金錀庫密碼 (此密碼在配置簽署的核准期間設定，如使用 PKCS12 之簽署核准的用戶端配置程序中步驟 10l 所述)。
按一下 [簽名] 以核准請求。

簽署後續核准

簽名核准後，後續的核准動作僅需要您輸入金鑰庫密碼，然後按一下 [簽名] (Identity Manager 應該會從上一次核准中記住金鑰庫位置)。

配置數位簽署的核准與動作

使用以下資訊與程序來設定數位簽署。您可以透過數位方式簽署：

核准 (包含變更核准)
存取檢閱動作
修正規範遵循違規事件

本小節討論的主題說明了將憑證和 CRL 增加至 Identity Manager 所需的伺服器端和用戶端簽署核准配置。

簽署的核准之伺服器端配置

若要啟用伺服器端配置，請執行以下步驟：

開啟系統配置物件以進行編輯，並設定 security.nonrepudiation.signedApprovals=true

如需有關編輯系統配置物件的說明，請參閱更多...。

若是使用 PKCS11，則也必須設定 security.nonrepudiation.defaultKeystoreType=PKCS11

若是使用自訂 PKCS11 金鑰提供者，則也必須設定 security.nonrepudiation.defaultPKCS11KeyProvider=<提供者名稱>。

備註	如需有關何時需要寫入自訂提供者的詳細資訊，請參閱 REF 工具組中的下列項目： com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyPr ovider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider REF (資源擴充工具) 工具組隨附於產品 CD 的 /REF 目錄中，或隨附於安裝映像檔。

將您的憑證機構 (CA) 之憑證增加為可信任的憑證。若要如此，您必須首先取得憑證的副本。

例如，如果您正在使用 Microsoft CA，請遵循如下類似步驟：

移至 http://IPAddress/certsrv，並以管理權限登入。
從清單中選取擷取 CA 憑證或憑證撤銷清單，然後按一下 [下一頁]。
下載並儲存 CA 憑證。
將憑證增加至 Identity Manager 作為可信任的憑證：
從管理員介面選取 [安全性]，然後選取 [憑證]。Identity Manager 會顯示 [憑證] 頁面。

圖 6-8 [憑證] 頁面



在 [可信任 CA 憑證] 區域中，按一下 [增加]。Identity Manager 將顯示 [匯入憑證] 頁面。
瀏覽至並選取可信任的憑證，然後按一下 [匯入]。

現在憑證即顯示在可信任的憑證清單中。

增加 CA 的憑證撤銷清單 (CRL)：
在 [憑證] 頁面的 [CRLs] 區域中，按一下 [增加]。
輸入 CA 之 CRL 的 URL。

備註	憑證撤銷清單 (CRL) 為被撤銷或無效的憑證序列號之清單。 CA 之 CRL 的 URL 可以為 http 或 LDAP。 每個 CA 都有不同的 URL 來發行 CRL；您可以透過瀏覽 CA 憑證之 CRL 發行點的延伸來確定此位址。

按一下 [測試連線] 以驗證該 URL。
按一下 [儲存]。
使用 jarsigner 簽署 applets/ts2.jar。

備註	請參閱 http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html，以取得更多資訊。Identity Manager 隨附的 ts2.jar 檔案使用自我簽署憑證進行簽署，不應用於生產系統。在生產中，此檔案應該使用可信任憑證發出的編碼簽署憑證來重新簽署。

使用 PKCS12 之簽署核准的用戶端配置

下列配置資訊針對使用 PKCS12 的簽署核准。若要啟用用戶端配置，請執行以下步驟：

必要條件

現在至少需要 JRE 1.5。

程序

取得憑證和私密金鑰，然後將他們匯出至 PKCS#12 金鑰庫。

例如，如果您正在使用 Microsoft CA，請遵循如下類似步驟：

使用 Internet Explorer，瀏覽至 http://IPAddress/certsrv，然後以管理權限登入。
選取 [請求憑證]，然後按一下 [下一頁]。
選取 [進階請求]，然後按一下 [下一頁]。
按 [下一步]。
選取憑證範本使用者。
選取下列選項：
Mark keys as exportable
Enable strong key protection
Use local machine store
按一下 [提交]，然後按一下[確定]。
按一下 [安裝此憑證]]。
選取 [執行] -> [mmc] 以啟動 mmc。
加入憑證快照：
選取 [主控台] -> [新增/移除嵌入式管理單元]。
按一下 [增加...]。
選取電腦帳號。
按 [下一頁]，然後按一下 [完成]。
按一下 [關閉]。
按一下 [確定]。
移至 [憑證] -> [個人] -> [憑證]。
在 [管理員全部作業] 上按一下滑鼠右鍵 -> [匯出] 。
按 [下一步]。
按 [下一頁] 來確認匯出私密金鑰。
按 [下一步]。
提供密碼，然後按 [下一頁]。
將 CertificateLocation 歸檔。
按 [下一頁]，然後按一下 [完成]。按一下 [確定] 來確認。

備註	請記下您在用戶端配置的步驟 10l (密碼) 和 10m (憑證位置) 中使用的資訊。您將需要該資訊來簽署核准。

使用 PKCS11 之簽署核准的用戶端配置

若使用 PKCS11 進行簽署核准，請參閱 REF 工具組中的下列資源，以取得配置資訊：

com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc)

REF/transactionsigner/SamplePKCS11KeyProvider

REF (資源擴充工具) 工具組隨附於產品 CD 的 /REF 目錄中，或隨附於安裝映像檔。

檢視作業事件簽署

請執行以下步驟，以檢視 Identity Manager 稽核記錄報告中的作業事件簽名：

從 Identity Manager 管理員介面，選取 [報告]。
在 [執行報告] 頁面的 [新增...] 選項清單中，選取 [稽核記錄報告]。
在 [報告標題] 欄位中，輸入標題 (例如「核准」)。
在 [組織] 選取區域中，選取所有組織。
選取 [動作] 選項，然後選取 [核准]。
按一下 [儲存] 儲存報告，並返回至 [執行報告] 頁面。
按一下 [執行] 執行該核准報告。
按一下詳細資訊連結來查看作業事件簽署資訊，其中包括：
核發者
主旨
憑證序列號
簽署的訊息
簽署
簽署演算法

上一頁      目錄      索引      下一頁

---

文件號碼：820-5436。  Copyright 2008 Sun Microsystems, Inc. 版權所有。