Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun[TM] Identity Manager 8.0 管理 

第 7 章
資料載入和同步化

本章提供使用 Identity Manager 資料載入與同步化功能的資訊與程序。您將瞭解如何使用 Identity Manager 資料同步化工具 (探索、調解和同步化) 將資料保持在最新狀態。

如需 Identity Manager 之資料載入與同步化運作方式的深入說明,請參閱「Identity Manager Deployment Overview」一書中的「Data Loading and Synchronization」一章。

資料同步化工具:選哪一個好?

Identity Manager 提供數種工具,可用以匯入及同步化帳號資料。如需為指定作業選取正確工具的協助,請參閱表 7-1

備註

如需 Identity Manager 之資料載入與同步化運作方式的深入說明,請參閱「Identity Manager Deployment Overview」一書中的「Data Loading and Synchronization」一章。

  

表 7-1 與資料同步化工具搭配使用的作業 

您想要的是:

就請選擇此功能:

開始時將資源帳號進 Identity Manager,載入前不檢視

從資源載入

開始時將資源帳號進 Identity Manager,可以選擇性地在載入前檢視與編輯資料

擷取至檔案,從檔案載入

定期將資源帳號進 Identity Manager,根據配置的策略對每個帳號採取行動

調解資源

將資源帳號變更入 Identity Manager

使用 Active Sync 介面 (多重資源實作) 進行同步化

探索

Identity Manager 帳號探索功能有助於推進快速部署與加速帳號建立的作業。這些功能的說明如下:

您可以使用這些工具來建立新的 Identity Manager 使用者,或是將資源上的帳號與現有的 Identity Manager 使用者帳號關聯。

備註

本節各頁的重點在於如何使用 Identity Manager 的各項「探索」功能。若要深入瞭解資料載入及同步化,請參閱「Identity Manager Deployment Overview」一書中的「Data Loading and Synchronization」一章。

擷取至檔案

使用此功能將資源帳號從某資源擷取至 XML 或 CSV 文字檔。執行這個動作可以讓您在將資料匯入 Identity Manager 之前,先檢視並變更擷取的資料。

若要擷取帳號,請執行以下步驟:

  1. 從功能表列中,選取 [帳號],然後選取 [擷取至檔案]
  2. 選取從該處擷取帳號的資源。
  3. 選取輸出帳號資訊的檔案格式。您可以擷取資料至 XML 檔案,或以逗號分隔值 (CSV) 格式排列帳號屬性的文字檔案。
  4. 按一下 [下載]。Identity Manager 將顯示 [檔案下載] 對話方塊,您可在此對話方塊中選擇儲存或檢視擷取的檔案。

如果您選擇開啟檔案,則可能需要選取用於檢視檔案的程式。

從檔案載入

使用此功能將資源帳號 (可以是透過 Identity Manager 從資源擷取的帳號,或是從其他檔案來源擷取的帳號) 載入 Identity Manager。Identity Manager 擷取至檔案功能建立的檔案採用 XML 格式。如果載入的是新使用者的清單,資料檔案一般為 CSV 格式。

關於 CSV 檔案格式

待載入的帳號通常在試算表中列出,並儲存為逗號分隔值 (CSV) 格式,以便載入 Identity Manager 中。CSV 檔案內容必須遵循以下格式指導原則:

若要載入帳號,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [帳號],然後再按一下 [從檔案載入]

    2. Identity Manager 即會顯示 [從檔案載入帳號] 頁面。

  2. 在 [從檔案載入帳號] 頁面中指定下列載入選項:
    • 使用者表單 - 當載入作業建立 Identity Manager 使用者時,使用者表單會指定組織以及角色、資源和其他屬性。選取要套用至每個資源帳號的使用者表單。
    • 帳號相互關聯規則 - 帳號相互關聯規則會選取可以擁有所有不屬於任何使用者之資源帳號的 Identity Manager 使用者。指定好未擁有之資源帳號的屬性之後,相互關聯規則會傳回一份名稱清單或是一份屬性條件清單,這些清單將用來選取可能的所有者。選取一項規則,用來尋找可能是各無主資源帳號所有者的 Identity Manager 使用者。
    • 帳號確認規則 - 帳號確認規則會從相互關聯規則所選取之可能所有者的清單中,排除全部非所有者。指定 Identity Manager 使用者的完整資料以及未擁有之資源帳號的屬性之後,如果使用者擁有該帳號,則確認規則傳回 true,否則傳回 false。選取一個規則來測試資源帳號的各個可能所有者。如果您選取 [無確認規則],則 Identity Manager 會接受所有可能的所有者而不進行確認。

      • 備註

      在您的環境中,如果相互關聯規則只會為各個帳號選取最多一位所有者,則您不需使用確認規則。

    • 僅載入相符帳號 - 選取此選項即僅將符合現有 Identity Manager 使用者的帳號載入 Identity Manager 中。如果您選取此選項,載入時會捨棄所有不相符的資源帳號。
    • 更新屬性 - 選取此選項即可將目前的 Identity Manager 使用者屬性值,替代成所載入帳號的屬性值。
    • 合併屬性 - 輸入一個或多個屬性名稱 (以逗號分隔),這些屬性的值應進行合併 (會排除重複項目) 而非覆寫。此選項僅能用於清單類型的屬性,如群組和郵件收件人清單。您還必須選取 [更新屬性] 選項。
    • 結果層級 - 選取一個臨界值,達到該臨界值時,載入程序便會為每個帳號單獨記錄一個結果:
      • 僅在出錯時 - 只有在載入帳號時產生了錯誤訊息,才會為該帳號單獨記錄一個結果。
      • 警告與出錯時 - 如果在載入帳號時產生警告或錯誤訊息,則會為該帳號單獨記錄一個結果。
      • 參考性與其他 - 為每個帳號單獨記錄一個結果。這樣會導致載入過程執行得更慢。
  3. 在 [要上傳的檔案] 欄位中,指定要載入的檔案,然後按一下 [載入帳號]

    備註

    • 如果輸入檔案不包含使用者欄,您必須為載入作業選取確認規則以便順利執行。
    • 與載入程序相關聯的作業實例名稱是以輸入檔案名稱為基礎;因此,若您重新使用檔案名稱,則與最近一次載入程序相關聯的作業實例將會覆寫所有先前的作業實例。

    4. 圖 7-2 說明了 [從檔案載入] 螢幕中的欄位和選項。

    圖 7-2 從檔案載入
    使用載入程序從檔案中載入帳號。

如果帳號符合現有的使用者 (或與其相關聯),載入程序會將帳號與使用者合併。該程序還會從沒有關聯的任何輸入帳號建立新的 Identity Manager 使用者 (除非已經指定「需要關聯」)。

bulkAction.maxParseErrors 配置變數設定會限制載入檔案時可以找到的錯誤數。預設的限制是 10 個錯誤。如果找到 maxParseErrors 錯誤數,則會停止剖析。

從資源載入

使用此功能可根據您指定的載入選項直接擷取帳號,並將其匯入 Identity Manager。

若要匯入帳號,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [帳號],然後再按一下 [從資源載入]

    2. [從資源載入帳號] 頁面會隨即開啟。

  2. 在 [從資源載入帳號] 頁面中指定載入選項:

    3. 本頁面上的載入選項與 [從檔案載入] 頁面上的選項相同 (更多...)。

調解

使用調解功能定期比較 Identity Manager 中的資源帳號與實際出現在資源上的帳號。調解會使帳號資料產生相互的關聯,並凸顯其差異。

備註

本節各頁的重點在於如何使用管理員介面執行調解作業。若要深入瞭解調解,請參閱「Identity Manager Deployment Overview」一書中的「Data Loading and Synchronization」一章。

調解概念摘要

由於調解專用於進行中的比較,因此其具有以下特性:

您也可以將調解配置為在資源處理的下列各點啟動強制工作流程:

從 [資源] 區域存取 Identity Manager 調解功能。[資源] 清單會顯示每個資源上次調解的時間以及其目前的調解狀態。

備註

調解係由 Identity Manager 的調解器元件執行。如需有關調解器配置設定的資訊,請參閱調解器設定

關於調解策略

調解策略可讓您按照資源為每一項調解作業建立一組回應。您可在策略中選取要執行調解的伺服器,確定執行調解的頻率以及時間,還可以針對調解時遭遇的各種狀況設定回應。您也可以配置調解,使其偵測出對帳號屬性進行的原生變更 (非透過 Identity Manager 進行的變更)。

編輯調解策略

若要編輯調解策略,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. [資源清單] 中選取資源。
  3. [資源動作] 清單中選取 [編輯調解策略]

Identity Manager 顯示 [編輯調解策略] 頁面,您可以在其中選取如下策略:

從這些回應選項中選取一個 (可用選項會因狀況不同而有所差異):

按一下 [儲存] 儲存策略變更。

啟動調解

啟動調解作業時有兩個選項可以使用:

取消調解

若要取消調解,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. [資源清單] 中選取要取消調解的資源。
  3. 找到 [資源動作] 清單,並選取 [取消調解]

檢視調解狀態

有兩種主要方式可檢視調解狀態。若要檢視詳細的調解狀態,請開啟特定資源的 [調解摘要結果] 頁面。[資源清單] 中亦可直接取得有限的調解狀態。

檢視詳細的調解狀態

使用 [調解摘要結果] 頁面可檢視詳細的調解狀態。

若要檢視詳細的調解狀態,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. [資源清單] 中選取要檢視其調解狀態的資源。
  3. 找到 [資源動作] 清單,並選取 [檢視調解狀態]

    4. 該資源的 [調解摘要結果] 頁面會隨即開啟。

檢視資源清單中的調解狀態

檢視 [資源清單] 亦可取得調解狀態 (若要顯示 [資源清單],請開啟管理員介面並按一下功能表的 [資源])。

[狀態] 欄會報告下列調解狀態的情況:

使用帳號索引

帳號索引會記錄 Identity Manager 已知之各資源帳號的上一已知狀態。帳號索引主要是由調解來維護,但其他 Identity Manager 功能也會視需要對其進行更新。

探索工具不會更新帳號索引。

搜尋帳號索引

搜尋帳號索引可檢視指定之資源帳號的最新已知狀態。

若要搜尋帳號索引,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. [資源清單] 中選取要搜尋其帳號索引的資源。
  3. 找到 [資源動作] 清單,並選取 [搜尋帳號索引]

    4. [搜尋帳號索引] 頁面會隨即開啟。

  4. 選取搜尋類型,然後輸入或選取搜尋屬性。
    • 資源帳號名稱 - 選取此選項,再選取其中一個修飾鍵 ([開頭為]、[包含] 或 [是]),然後輸入部分或完整的帳號名稱。
    • 資源為下列一項 - 選取此選項,然後從清單中選取一個或多個資源,以便在指定資源中尋找已調解帳號。
    • 所有者 - 選取此選項,再選取其中一個修飾鍵 ([開頭為]、[包含] 或 [是]),然後輸入部分或完整的所有者名稱。若要搜尋無主帳號,請搜尋處於「不相符」(UNMATCHED) 或「爭議」(DISPUTED) 狀況的帳號。
    • 狀況為下列一項 - 選取此選項,然後從清單中選取一個或多個狀況,以在指定的狀況中尋找已調解的帳號。
  5. 按一下 [搜尋] 來根據您的搜尋參數來搜尋帳號。若要限制搜尋結果,您可以選擇性地在 [只返回] 欄位中指定數目。預設限制為前 1000 個找到的帳號。

    6. 按一下 [重設查詢] 以清除頁面並選取新選項。

檢查帳號索引

還可以檢視所有 Identity Manager 使用者帳號,並可選擇為每位使用者分別調解帳號。

若要檢查帳號索引,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. 按一下輔助功能表的 [檢查帳號索引]

    3. [檢查帳號索引] 頁面會隨即開啟。

本表顯示 Identity Manager 已知的所有資源帳號 (不論其是否為 Identity Manager 使用者所擁有)。此資訊按資源或 Identity Manager 組織分組。若要變更此檢視,請從 [變更索引檢視] 清單中選取一個檢視。

使用帳號

若要使用資源中的帳號,請選取 [按資源分組] 索引檢視。Identity Manager 會顯示每種類型資源的資料夾。可以展開資料夾以導覽到特定資源。按一下資源旁的 + 或 - ,可顯示 Identity Manager 已知的所有資源帳號。

上次在該資源上調解之後直接新增至資源中的帳號將不會顯示。

您也許能夠執行幾種動作,但要視給定帳號目前的狀況而定。在帳號上按一下滑鼠右鍵,即可看到有效修復選項的清單。您也可以檢視帳號的詳細資訊或選擇調解某個帳號。

運用使用者

若要使用 Identity Manager 使用者,請選取 [按使用者分組] 索引檢視。在此檢視中,Identity Manager 使用者和組織會以與 [帳號清單] 頁面類似的階層顯示。若要察看目前指定給 Identity Manager 中的使用者的帳號,請瀏覽至該使用者,然後按一下使用者名稱旁邊的指示器。Identity Manager 已知的使用者帳號及這些帳號的目前狀態,會顯示在使用者名稱之下。

您也許能夠執行幾種動作,但要視給定帳號目前的狀況而定。您也可以檢視帳號的詳細資訊或選擇調解某個帳號。

使用作業排程重複規則

使用「作業排程重複規則」可以調整調解排程。例如,若要將排程於週六執行的調解推遲至下週一執行,請使用「作業排程重複規則」。

「作業排程重複規則」可用以調整完整及增量調解的排程。

如需有關如何選取「作業排程重複」規則的資訊,請參閱編輯調解策略

調解執行次數的排程方式

調解工作一旦完成,調解器元件即會檢查下次排定的執行時間。

首先,調解器會查看預設的排程,取得下次的執行時間。接著,調解器會執行所有適用的「作業排程重複規則」,瞭解是否需要調整排程。若需調整排程,規則的排程即會置換該調解的預設排程。

備註

「作業排程重複規則」無法置換預設排程。它們僅能逐一置換已排定工作的開始時間。

「接受全部日期」規則範例

本節說明名為「接受全部日期」的內建規則範例。

若要檢視「接受全部日期」規則範例,請執行以下步驟:

  1. 在文字編輯器中開啟 ReconRules.xml,其位於 Identity Manager 的 sample 目錄中。
  2. 搜尋名為 SCHEDULING_RULE_ACCEPT_ALL_DATES 的規則。

規則的 subtype 屬性必須設為 SUBTYPE_TASKSCHEDULE_REPETITION_RULE,([編輯調解策略] 頁面的) [作業排程重複規則] 下拉式功能表才會列出該規則:

<Rule subtype='SUBTYPE_TASKSCHEDULE_REPETITION_RULE' name='SCHEDULING_RULE_ACCEPT_ALL_DATES'>

如前文所述,「作業排程重複規則」可修改預設的調解排程。

變數 calculatedNextDate 可接受下個日期 (依預設方式計算) 或傳回其他日期。正如範例規則所列,calculatedNextDate 會無條件接受預設日期:

編碼樣例 7-1 SCHEDULING_RULE_ACCEPT_ALL_DATES 規則邏輯 (摘錄)

<RuleArgument name='calculatedNextDate'/>

<block>

  <ref>calculatedNextDate</ref>

</block>

若要建立自訂的排程,請置換 <block> 元素之間的規則邏輯。例如,若要將調解的開始時間變更至每週六上午 10:00,請將下列 JavaScript 加入 <block> 元素之間:

編碼樣例 7-2 作業排程重複規則邏輯範例

<block>

  <script>

    var calculatedNextDate = env.get('calculatedNextDate');

    // 請測試以查看此項作業是否排程於週六執行

    // (請注意,6 在 JavaScript 中表示週六)

    if(calculatedNextDate.getDay() == 6) {

      // 若是,請將時間設為 10:00:00

      calculatedNextDate.setHours(10);

      calculatedNextDate.setMinutes(0);

      calculatedNextDate.setSeconds(0);

    }

    // 傳回修改的日期

    calculatedNextDate;

  </script>

</block>

編碼樣例 7-2 中,calculatedNextDate 最初設為預設的排定時間。若下次排定的執行日期為週六,則規則會排程調解於 10:00 開始。若下次排定的執行日期不是週六,編碼樣例 7-2 會傳回 calculatedNextDate 但不會調整任何時間,並使用預設的排程。

如需有關建立自訂規則以用於 Identity Manager 的更多資訊,請參閱「Identity Manager Deployment Tools」一書中的「Working with Rules」一章。

Active Sync 介面

Identity Manager Active Sync 功能可使儲存在授權外部資源 (如應用程式或資料庫) 中的資訊與 Identity Manager 使用者資料同步化。為 Identity Manager 資源配置同步化可讓它偵聽或輪詢對授權資源所做的變更。

在 (適當目標物件類型的) 資源同步化策略中指定 [輸入表單],可配置將資源屬性變更匯入 Identity Manager 的方法。

備註

本章各頁的重點在於如何使用管理員介面執行 Active Sync 作業。若要深入瞭解 Active Sync,請參閱「Identity Manager Deployment Overview」一書中的「Data Loading and Synchronization」一章。

配置同步化

Identity Manager 使用同步化策略啟用資源的同步化。

編輯同步化策略

每項資源都有其專屬的同步化策略。

若要編輯或配置同步化,請執行以下步驟:

  1. 在管理員介面中,按一下功能表的 [資源]
  2. [資源清單] 中選取要配置同步化的資源。
  3. 找到 [資源動作] 清單,並選取 [編輯同步化策略]

    4. 該資源的 [編輯同步化策略] 頁面會隨即開啟。

在 [編輯同步化策略] 頁面中指定以下選項,以配置同步化:

按一下 [儲存] 儲存資源的策略設定。

編輯 Active Sync 介面

編輯 Active Sync 介面之前,請停止同步化。

若要停止同步化,請執行以下步驟:

  1. 開啟 [編輯同步化] 頁面 (如需說明,請參閱編輯同步化策略)。
  2. 找到 [排程設定] 下的 [啟動類型],然後選取 [停用]

    3. 請針對服務提供者使用者取消選取 [啟用同步化] 選項。

    將出現一則警告訊息,指出已停用使用中的同步化。

  3. 按一下 [儲存]

    4. 停用資源的同步化將導致儲存變更時停止同步化作業。

調校 Active Sync 介面效能

由於同步化是背景作業,所以 Active Sync 介面配置可能會影響伺服器效能。調校 Active Sync 介面效能必須進行下列作業:

透過資源清單管理 Active Sync 介面。選取 Active Sync 介面,然後從 [資源動作] 清單的 [同步化] 區段中存取啟動、停止與狀態重新整理控制動作。

變更輪詢間隔

輪詢間隔決定 Active Sync 介面開始處理新資訊的時間。應該根據正在執行的作業的類型來決定輪詢間隔。例如,如果介面會從資料庫讀取一長串使用者,且每次都會更新 Identity Manager 中的所有使用者,請考慮在每天早上幾小時內執行此程序。有些介面可以快速搜尋要處理的新項目,並可將它們設定為每分鐘執行。

指定將執行介面的主機

若要指定將執行介面的主機,請編輯 waveset.properties 檔案。將 sources.hosts 特性編輯為以下任一選項:

可以將需要更多記憶體與 CPU 週期的 Active Sync 介面配置為在專屬伺服器上執行,這樣有助於系統的負載平衡。

啟動與停止

您可以停用、手動啟動或自動啟動 Active Sync 介面。若要啟動或停止 Active Sync 介面,您必須有適當的管理員權能來變更 Active Sync 資源。如需有關管理員權能的資訊,請參閱權能類別

如果將介面設定為自動,當應用程式伺服器重新啟動時,介面也會重新啟動。當您啟動介面時,它會立刻執行並在指定的輪詢間隔來臨時執行。如果您停止介面,下次介面在檢查到停止旗標時便會停止。

介面記錄

介面記錄擷取有關介面目前處理情況的資訊。記錄擷取資訊的詳細程度需視您設定的記錄的記錄層級而定。介面記錄在除錯問題與監視介面程序進度時非常有用。

每個介面各有其記錄檔案、路徑和記錄層級。您可以在 [同步化策略] 的 [記錄] 區段為適當的使用者類型 (Identity Manager 或服務提供者) 指定這些值。

刪除介面記錄

僅當停止介面後,才能刪除介面記錄。多數情況下,請在刪除記錄前製作記錄副本作為歸檔之用。



上一頁      目錄      索引      下一頁     

文件號碼:820-5436。  Copyright 2008 Sun Microsystems, Inc. 版權所有。