![]() | |
Sun[TM] Identity Manager 8.0 管理 |
第 3 章
使用者和帳號管理本章提供透過 Identity Manager 管理員介面建立及管理使用者的資訊與程序。此資訊分為以下小節:
介面的 [帳號] 區域使用者是指擁有 Identity Manager 系統帳號的任何人。Identity Manager 為每個使用者儲存一系列資料。這些資訊共同構成使用者的 Identity Manager 身份識別。
Identity Manager 的 [帳號/使用者清單] 頁面可讓您管理 Identity Manager 使用者。若要存取此區域,請按一下 [管理員介面] 功能表列上的 [帳號]。
帳號清單會顯示所有的 Identity Manager 使用者帳號。帳號會分組為組織與虛擬組織,在資料夾中以階層方式表示。
您可以按全名 ([名稱])、使用者姓氏 ([姓氏]) 或使用者名字 ([名字]) 對帳號清單進行排序。按一下標題列可以按照欄排序。按一下相同標題列可以在向上與向下排序順序之間切換。如果按全名 ([名稱] 欄) 排序,則階層中處於所有級別的所有項目都將按字母順序排序。
若要展開階層式檢視並察看組織中的帳號,請按一下資料夾旁邊的三角形指示器。再按一下該指示符,便會摺疊檢視。
帳號區域中的動作清單
使用動作清單 (位於 [帳號] 區域的頂部和底部,如圖 3-1 所示) 可以執行一系列動作。動作清單選項分為:
在 [帳號清單] 區域中搜尋
使用帳號區域搜尋功能查找使用者和組織。從清單中選取 [組織] 或 [使用者],在搜尋區域中輸入使用者或組織名稱開頭的一個或多個字元,然後按一下 [搜尋]。如需有關在 [帳號] 區域搜尋的更多資訊,請參閱尋找及檢視使用者帳號。
使用者帳號狀態
顯示在每個使用者帳號旁的圖示可指示已指定帳號的目前狀態。表 3-1 說明了每個圖示的涵義
表 3-1 使用者帳號狀態圖示說明
指示器
狀態
使用者的 Identity Manager 帳號已鎖定。請注意,此圖示僅會反映 Identity Manager 帳號的鎖定狀態,而不會反映所有的使用者資源帳號。
超過 Identity Manager 帳號策略所定義之 Identity Manager 帳號登入嘗試失敗次數上限時,即會鎖定使用者。只有 Identity Manager 帳號發生密碼或問題登入失敗時,才會計入允許的上限。因此,若 Identity Manager 登入應用程式 (亦即管理員介面、一般使用者介面等) 的登入模組群組中不包含 Identity Manager 登入模組,則不會考慮 Identity Manager 失敗的密碼策略。但不論指定的 Identity Manager 登入應用程式所配置的登入模組堆疊為何,超過 Identity Manager 帳號策略配置上限的失敗問題登入,都可能會造成使用者鎖定,並顯示此圖示。
如需有關如何解除鎖定帳號的資訊,請參閱解除鎖定使用者帳號。
管理員的 Identity Manager 帳號已鎖定。請注意,此圖示只會反映 Identity Manager 帳號的鎖定狀態,而不會反映所有的管理員資源帳號。如需更多資訊,請參閱上文中的使用者鎖定圖示說明。
在所有已指定資源和 Identity Manager 中停用此帳號 (啟用帳號時,不出現圖示)。
如需有關如何啟用已停用帳號的資訊,請參閱啟用使用者帳號。
帳號已部分停用,表示在一個或多個已指定資源上停用。
系統嘗試在一個或多個資源上建立或更新 Identity Manager 使用者帳號,但失敗 (更新所有指定資源的帳號時,不出現圖示)。
。
使用者頁面 (建立/編輯/檢視)
本節說明管理員介面中所提供的 [建立使用者]、[編輯使用者] 及 [檢視使用者] 等頁面。本章後文會說明如何使用這些頁面。
備註
本文件將說明 Identity Manager 所附之 [建立使用者]、[編輯使用者] 及 [檢視使用者] 等頁面的預設設定。但若要更佳反映您的業務程序或特定管理員權能,則應針對環境建立自訂的使用者表單。如需有關自訂使用者表單的更多資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
預設 Identity Manager 使用者頁面分為下列標籤或區段:
身份識別
[身份識別] 區域可定義使用者的帳號 ID、名稱、連絡人資訊、管理員、管理組織及 Identity Manager 帳號密碼。它還識別使用者可以存取的資源以及管理每個資源帳號的密碼策略。
備註
如需有關設定帳號密碼策略的資訊,請閱讀本章中標題為「管理帳號安全性和權限」的小節。
下圖說明 [建立使用者] 頁面的 [身份識別] 區域。
圖 3-2 建立使用者 - 身份
資源
[資源] 區域可直接將資源及資源群組指定給使用者。亦可指定資源排除。
直接指定的資源,可補充透過角色指定而間接指定給使用者的資源。
角色
[角色] 標籤可用以將一個或多個角色指定給使用者,並管理這些角色指定。
如需有關此標籤的資訊,請參閱指定角色給使用者。
安全性
在 Identity Manager 術語中,為其指定了擴充權能的使用者為 Identity Manager 管理員。使用 [安全性] 標籤可將管理員權限指定給使用者。
如需有關使用 [安全性] 標籤建立管理員的更多資訊,請參閱建立管理員。
[安全性] 表單由下列區段所組成。
- 所控制的組織 - 指定該使用者有權以管理員身份管理的組織。他可以管理已指定組織及階層中處於該組織之下的任何組織中的物件。
備註
若要讓使用者擁有管理員權能,必須為其至少指定一個管理員角色或一項或多項權能,以及一個或多個所控制的組織。如需有關 Identity Manager 管理員的更多資訊,請參閱瞭解 Identity Manager 管理。
- 使用者表單 - 指定管理員在建立和編輯使用者時將使用的使用者表單。如果選取 [無],則管理員將繼承指定給其組織的使用者表單。
- 檢視使用者表單 - 指定管理員在檢視使用者時將使用的使用者表單。如果選取 [無],則管理員將繼承指定給其組織的檢視使用者表單。
- 帳號策略 - 建立密碼及認證限制。
委派
[建立使用者] 頁面上的 [委派] 標籤,可讓您將工作項目委託給其他使用者,讓其代為執行一段指定的時間。如需有關委託工作項目的更多資訊,請閱讀委託工作項目。
屬性
[建立使用者] 頁面上的 [屬性] 標籤定義與指定資源關聯的帳號屬性。列出的屬性按指定的資源分類,具體情況根據已指定資源的不同而異。
規範遵循
[規範遵循] 標籤:
若要指定稽核策略,請將選取的策略從 [可用的稽核策略] 清單移至 [目前的稽核策略] 清單中。
備註
您也可以在 [使用者動作] 清單中選取 [檢視規範遵循狀態],以存取 [規範遵循] 標籤上的資訊。若要檢視針對某使用者在特定時段內所記錄的規範遵循違規,請從 [使用者動作] 清單中選取 [檢視規範遵循違規記錄],然後指定要檢視的項目範圍。
建立使用者及使用使用者帳號在管理員介面的 [帳號/使用者清單] 頁面,可以對以下系統物件執行一系列動作:
如需有關建立及編輯管理員帳號的更多資訊,請參閱瞭解 Identity Manager 管理。
如需有關組織的更多資訊,請參閱瞭解 Identity Manager 組織。
如需有關目錄結合的更多資訊,請參閱瞭解目錄結合與虛擬組織。
啟用進程圖
進程圖係描述建立使用者帳號或對其執行其他動作時,Identity Manager 所遵循之工作流程。啟用後,Identity Manager 完成作業時所建立的結果頁或作業摘要頁面中,即會顯示進程圖。
在 Identity Manager 8.0 版中,新安裝與升級安裝皆會停用進程圖。
若要啟用進程圖於 Identity Manager 中使用,請執行以下步驟:
- 依更多...中的程序開啟系統配置物件進行編輯。
- 找到下列 XML 元素:
<Attribute name='disableProcessDiagrams'>
<Boolean>true</Boolean>
</Attribute>- 將 true 值變更為 false。
- 按一下 [儲存]。
- 重新啟動伺服器,讓變更生效。
您也可以在一般使用者介面中啟用進程圖,但必須先在管理員介面中使用前文描述的步驟啟用進程圖。如需詳細資訊,請參閱啟用一般使用者介面中的進程圖。
建立使用者
若要在 Identity Manager 中建立使用者,請執行以下步驟:
- 在管理員介面中,按一下 [帳號]。
- 若要建立特定組織的使用者,請選取該組織,再從 [新動作] 清單中選取 [新使用者]。
否則,請從 [新動作] 清單中選取 [新使用者],建立頂層組織的使用者帳號。
- 在下列標籤或區段中填入資訊。
- 身份識別 - 名稱、組織、密碼及其他詳細資訊 (請參閱更多...)。
- 資源 - 個別資源及資源群組指定,以及資源排除 (請參閱更多...)。
- 安全性 - 管理員角色、所控制的組織和權能。以及使用者表單設定及帳號策略 (請參閱更多...)。
- 委派 - 工作項目委派 (請參閱更多...)。
- 屬性 - 指定資源的特定屬性 (請參閱更多...)。
- 規範遵循 - 選取使用者帳號的驗證作業與修正表單。規範遵循區域也可讓您指定使用者帳號的已指定稽核策略,包括透過使用者的組織指定而生效的稽核策略。指出策略掃描、違規及豁免的目前狀態,包括使用者最近稽核策略掃描的相關資訊。(請參閱更多...)。
請注意,某區域中可選擇之選項可能取決於您在其他區域中所做的選擇。
- 完成選取後,您可以使用兩個選項來儲存使用者帳號:
- 儲存 - 儲存使用者帳號。如果您給帳號指定了大量資源,則此過程可能會花費一些時間。
- 背景儲存 - 此程序以背景作業的方式儲存使用者帳號,以便讓您繼續使用 Identity Manager。對於每個執行中的儲存工作,[帳號] 頁面、[尋找使用者結果] 頁面以及首頁上將顯示工作狀態指示器。
狀態指示器 (如下表所述) 可協助您監視儲存程序的進度。
表 3-2 背景儲存作業狀態指示器的說明
狀態指示器
狀態
儲存程序正在執行。
儲存程序已暫停。通常,這表示程序正在等待核准。
程序已順利完成。這並不表示使用者已成功儲存;只表示程序在無錯情況下完成。
程序尚未啟動。
程序已完成,但發生一個或多個錯誤。
將滑鼠移動到狀態指示器內部所顯示的使用者圖示上,就可以看到背景儲存程序的詳細資訊。
備註
如果已對生效進行配置,則建立使用者時,也會建立可在 [核准] 標籤中檢視的工作項目。核准此項目會置換生效日期並建立帳號。拒絕此項目會取消建立帳號。如需有關對生效進行配置的更多資訊,請參閱配置 [生效和失效] 標籤。
為使用者建立多個資源帳號
Identity Manager 可讓您將多個資源帳號指定給單一使用者。方法是允許為每個資源定義多個資源帳號類型或帳號類型。資源帳號類型應視需要建立,以符合資源上每項有作用的帳號類型 - 例如,AIX SuperUser 或 AIX BusinessAdmin。
為何要為每項資源的每位使用者指定多個帳號?
在某些情況下,Identity Manager 使用者在某項資源上會需要多個帳號。使用者可有與資源相關的數種不同工作職能 - 例如,使用者可同時為某項資源的使用者及管理員。最佳實作方法建議您每項職能要使用不同的帳號。如此一來,即使有某個帳號洩漏出去,其他帳號所授權的存取權限仍然安全。
配置帳號類型
資源若要支援單一使用者使用多個帳號,必須先在 Identity Manager 中定義資源帳號類型。請使用「資源精靈」定義資源的資源帳號類型。相關資訊請參閱更多...的「帳號類型」。
您必須先啟用並配置資源帳號類型,再將其指定給使用者。
指定帳號類型
一旦定義帳號類型後,即可將其指定給資源。Identity Manager 會將每個指定的帳號類型視為不同的帳號。於是,角色中每個不同的指定就會有不同的屬性集。
與每個資源單一帳號的情況相似,不論有多少個指定,所有特定類型的指定都僅會建立一個帳號。
雖然您可將使用者指定給資源上無限數量的不同帳號類型,但每位使用者只能獲得資源上指定類型的一個帳號。內建的「預設」類型是此規則的例外。使用者可有資源之預設類型的無限數量帳號。但我們不建議您如此做,因為如此會在以表單及檢視模式參照帳號時,造成模糊不明的狀況。
尋找及檢視使用者帳號
Identity Manager 尋找功能可讓您搜尋使用者帳號。輸入和選取搜尋參數後,Identity Manager 將尋找與您的選項相符的所有帳號。
若要搜尋帳號,請從功能表列中選取 [帳號],然後選取 [尋找使用者]。您可按下列一個或多個搜尋類型來搜尋帳號:
- 帳號詳細資訊,例如使用者名稱、電子郵件帳號,或姓氏、名字。這些選項取決於您組織所特有的 Identity Manager 實作。
- 使用者的管理員。若使用者名稱與 Identity Manager 的現有帳號不相符,管理員的使用者名稱就會出現在括號中。
- 資源帳號狀態,包括:
- 使用者帳號狀態,包括:
- 更新狀態,包括:
- 指定的資源
- 角色 (請參閱尋找獲得指定角色的使用者)
- 組織
- 組織控制
- 權能
- 管理員角色
搜尋結果清單會顯示符合您搜尋的所有帳號。從此結果頁面中,您可以:
編輯使用者
本節資訊涵蓋檢視、編輯、重新指定及重新命名使用者帳號。
檢視使用者帳號
使用 [檢視使用者] 頁面可檢視帳號資訊。
若要檢視帳號資訊,請執行以下步驟:
編輯使用者帳號
使用 [編輯使用者] 頁面可編輯帳號資訊。
若要編輯帳號資訊,請執行以下步驟:
重新將使用者指定給其他組織
移動動作可讓您移除某個組織的一或多位使用者,並重新指定;或將這些使用者移至新的組織。
若要移動使用者,請執行以下步驟:
重新命名使用者
一般而言,重新命名資源上的帳號是一個複雜的動作。有鑑於此,Identity Manager 提供了一項單獨功能,可重新命名使用者的 Identity Manager 帳號,或重新命名一個或多個與該使用者相關的資源帳號。
若要使用重新命名功能,請在清單中選取使用者帳號,然後從 [使用者動作] 清單中選取 [重新命名] 選項。
[重新命名使用者] 頁面可讓您變更使用者帳號名稱、相關的資源帳號名稱以及與使用者的 Identity Manager 帳號相關的資源帳號屬性
。
如下圖所示,使用者擁有指定的 Active Directory 資源。重新命名期間,您可以變更:
更新與帳號相關聯的資源
在更新動作中,Identity Manager 會更新與使用者帳號相關的資源。從帳號區域執行的更新會將任何之前為使用者建立的擱置變更傳送至選取的資源。這個情況會在以下狀態發生:
更新使用者帳號時,您可以:
更新單一使用者帳號的資源
若要更新使用者帳號,請在清單中選取此帳號,然後從 [使用者動作] 清單中選取 [更新]。
在更新資源帳號頁面中,選取一個或多個要更新的資源,或選取 [更新全部資源帳號] 以更新所有已指定的資源帳號。完成後,按一下 [確定] 以開始更新程序。或者,按一下 [進行背景儲存] 以作為背景程序執行該動作。
確認頁面會確認送至每個資源的資料。
圖 3-7 說明了更新資源帳號頁面。
圖 3-7 更新資源帳號
更新多個使用者帳號的資源
您可以同時更新兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後從 [使用者動作] 清單中選取 [更新]。
刪除 Identity Manager 使用者帳號
在 Identity Manager 中,刪除 Identity Manager 使用者帳號及刪除遠端資源帳號的方式相同。請選取 Identity Manager 帳號,依刪除資源帳號的步驟執行,而非選取遠端資源帳號予以刪除
。
如需更多資訊,請參閱刪除單一使用者帳號的資源及刪除多個使用者帳號的資源。
刪除使用者帳號的資源
Identity Manager 提供數種刪除作業,可用以移除資源中 Identity Manager 使用者帳號存取權:
刪除單一使用者帳號的資源
請使用下列程序對單一的 Identity Manager 使用者執行刪除作業。一次處理一個使用者帳號,可以為個別的資源帳號指定不同的刪除、取消指定及 (或) 取消連結作業。
若要對單一使用者帳號執行刪除、取消指定或取消連結動作,請執行以下步驟:
- 在管理員介面中,按一下主功能表的 [帳號]。
[使用者清單] 頁面會隨即出現在 [列出帳號] 標籤上。
- 選取一位使用者,然後按一下 [使用者動作] 下拉式功能表。
- 從清單中選取 [刪除] 動作的任何項目 ([刪除]、[取消佈建]、[取消指定] 或 [取消連結])。
Identity Manager 會顯示 [刪除資源帳號] 頁面 (圖 3-8)。
- 填寫表單。如需有關 [刪除]、[取消指定] 及 [取消連結] 動作的更多資訊,請參閱刪除使用者帳號的資源。
- 按一下 [確定]。
圖 3-8 顯示 [刪除資源帳號] 頁面。在螢幕擷取中,使用者 jrenfro 在遠端資源 (虛擬資源) 上有一個使用中的帳號。已選取 [刪除] 動作,這表示提交表單時,會刪除資源上的 jrenfro 帳號。因為刪除的帳號會自動取消連結,所以會移除 Identity Manager 中此資源的帳號資訊。虛擬資源會保持指定給 jrenfro 的狀態,因為未選取 [取消指定] 動作。
若要刪除 jrenfro 的 Identity Manager 帳號,就應該針對 Identity Manager 選取 [刪除] 動作。
圖 3-8 刪除資源帳號
頁
刪除多個使用者帳號的資源
您可同時對多個 Identity Manager 使用者帳號執行刪除作業,但僅能對那些使用者所有的資源帳號執行選取的刪除作業。
使用 Identity Manager 的 [批次處理帳號動作] 功能也可執行刪除作業。請參閱Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 指令。
若要對多位使用者執行刪除、取消指定或取消連結動作,請執行以下步驟:
- 在管理員介面中,按一下主功能表的 [帳號]。
[使用者清單] 頁面會隨即出現在 [列出帳號] 標籤上。
- 選取一或多位使用者,然後按一下 [使用者動作] 下拉式功能表。
- 從清單中選取 [刪除] 動作的任何項目 ([刪除]、[取消佈建]、[取消指定] 或 [取消連結])。
Identity Manager 會隨即顯示 [確認刪除、取消指定或取消連結] 頁面 (圖 3-9)。
- 請選取下列一個選項:
- 僅刪除使用者 - 刪除使用者的 Identity Manager 帳號。此選項不會刪除或取消指定使用者的資源帳號。
- 刪除使用者和資源帳號 - 刪除使用者的 Identity Manager 帳號及使用者的所有資源帳號。
- 僅刪除資源帳號 - 刪除使用者的所有資源帳號。此選項不會取消指定資源帳號,也不會刪除使用者的 Identity Manager 帳號。
- 刪除使用者的資源帳號,並取消指定直接指定的資源 - 刪除並取消指定使用者的所有資源帳號,但不會刪除使用者的 Identity Manager 帳號。
- 取消指定直接指定給使用者的資源帳號 - 取消指定直接指定的資源帳號。此選項不會刪除使用者在遠端資源上的帳號。透過角色或資源群組指定的資源帳號不會受到影響。
- 取消資源帳號與使用者的連結 - 移除 Identity Manager 中的使用者資源帳號資訊。不會刪除或取消指定遠端資源上的使用者帳號。更新使用者時,可能會復原透過角色或資源群組間接指定給使用者的帳號。
- 按一下 [確定]。
圖 3-9 顯示 [確認刪除、取消指定或取消連結] 頁面。頁面的上半部會顯示六種能對多位使用者執行的動作。頁面的底部會顯示受到選取動作影響的使用者。
圖 3-9 確認刪除、取消指定或
取消連結頁面
變更使用者密碼
所有 Identity Manager 使用者皆有指定的密碼。設定 Identity Manager 使用者密碼後,此密碼會用於同步化使用者的資源帳號密碼。若一個或多個資源帳號密碼無法同步化 (例如,遵循必要的密碼策略),則可分別進行設定。
備註
如需有關帳號密碼策略的資訊以及有關使用者認證的一般資訊,請參閱管理帳號安全性和權限。
從使用者清單頁面變更密碼
從 [使用者清單] 頁面 ([帳號] > [列出帳號]),您可使用 [變更密碼] 使用者動作。
若要從 [使用者清單] 頁面變更使用者帳號密碼,請執行以下步驟:
從主功能表變更密碼
若要從主功能表變更使用者帳號密碼,請執行以下步驟:
重設使用者密碼
重設 Identity Manager 使用者帳號密碼的程序與變更程序類似。重設程序與密碼變更程序不同處為您不需指定新密碼。而是由 Identity Manager 隨機產生使用者帳號、資源帳號,或兩者組合的新密碼 (根據您的選擇與密碼策略)。
指定給使用者的策略 (直接指定或透過使用者的組織進行指定) 可控制數個重設選項,包括:
從使用者清單頁面重設密碼
[使用者清單] 頁面 ([帳號] > [列出帳號]) 會提供 [重設密碼] 使用者動作。
若要從 [使用者清單] 頁面重設密碼,請執行以下步驟:
使用 Identity Manager 帳號策略設定密碼過期日
依預設,密碼在您重設時會立即過期。這表示當使用者在重設後第一次登入時,必須先選取新密碼才能存取。此預設值可在表單中置換,使用者密碼會根據與使用者相關聯的 [Identity Manager 帳號策略] 中,所設定的過期密碼策略決定何時過期。
若要置換變更密碼需求,請編輯 [重設使用者密碼表單],然後將下列值設為 false:
resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword
透過 [Identity Manager 帳號策略] 的 [重設選項] 欄位,有兩種可讓密碼過期的方法:
停用、啟用及解除鎖定使用者帳號
本節說明如何停用及啟用 Identity Manager 使用者帳號。亦會說明如何協助其 Identity Manager 帳號遭鎖定的使用者。
停用使用者帳號
停用使用者帳號時,您可更改該帳號讓使用者無法再登入 Identity Manager 或其指定的資源帳號。
請注意,管理員可從管理員介面停用使用者帳號,但無法鎖定使用者帳號。只有當使用者超過 Identity Manager 帳號策略所定義的允許失敗登入嘗試次數時,帳號才會遭鎖定。
備註
若指定的資源無法從本機停用帳號,卻可變更密碼,則指定隨機產生的新密碼,即可配置 Identity Manager 停用該資源的使用者帳號。
若要確保此功能運作正常,請執行下列作業:
- 開啟「編輯資源精靈」中的 [身份識別系統參數] 頁面 (如需有關如何開啟精靈的說明,請參閱使用資源精靈編輯資源)。
- 在「帳號功能配置」表中,檢查 [密碼] 功能及 [停用] 功能的 [停用?] 欄中是否沒有核取標記 (若要顯示 [停用] 功能,請選取 [顯示全部功能])。
若 [停用] 功能在 [停用?] 欄中有核取標記,即無法停用資源的帳號。
停用單一使用者帳號
若要停用使用者帳號,請在 [使用者清單] 中選取該帳號,然後從 [使用者動作] 下拉式功能表選取 [停用]。
在顯示的 [停用] 頁面上,選取要停用的資源帳號,然後按一下 [確定]。Identity Manager 顯示停用 Identity Manager 使用者帳號與全部相關資源帳號的結果。帳號清單表示使用者帳號已停用。
停用多個使用者帳號
您可以同時停用兩個或多個 Identity Manager 使用者帳號。
在清單中選取多個使用者帳號,然後從 [使用者動作] 清單中選取 [停用]。
啟用使用者帳號
使用者帳號啟用與停用程序相反。
Identity Manager 也會依照選取的通知選項,而在管理員的結果頁上顯示密碼。
使用者接下來可重設密碼 (透過身份認證程序),或由具有管理員權限的使用者重設。
備註
如果指定的資源無法從本機支援帳號啟用功能,但支援密碼變更,則可透過重設密碼,配置 Identity Manager 啟用該資源的使用者帳號。
若要確保此功能運作正常,請執行下列作業:
- 開啟「編輯資源精靈」中的 [身份識別系統參數] 頁面 (如需有關如何開啟精靈的說明,請參閱使用資源精靈編輯資源)。
- 在「帳號功能配置」表中,檢查 [密碼] 功能及 [啟用] 功能的 [停用?] 欄中是否沒有核取標記 (若要顯示 [啟用] 功能,請選取 [顯示全部功能])。
若 [啟用] 功能在 [停用?] 欄中有核取標記,即無法啟用資源的帳號。
啟用單一使用者帳號
若要啟用使用者帳號,請在清單中選取此帳號,然後從 [使用者動作] 清單中選取 [啟用]。
在顯示的 [啟用] 頁面上,選取要啟用的資源,然後按一下 [確定]。Identity Manager 顯示啟用 Identity Manager 帳號與全部相關資源帳號的結果。
啟用多個使用者帳號
您可以同時啟用兩個或多個 Identity Manager 使用者帳號。在清單中選取多個使用者帳號,然後在 [使用者動作] 清單中選取 [啟用]。
解除鎖定使用者帳號
若無法成功登入 Identity Manager,使用者即會遭鎖定。使用者一定會在超過 Identity Manager 帳號策略所定義的允許失敗登入嘗試次數之後,才會遭鎖定。
備註
只有 Identity Manager 使用者介面上的登入嘗試才會計入 Identity Manager 鎖定 (亦即,管理員介面、一般使用者介面、指令行介面或 SPML API 介面)。資源帳號的失敗登入嘗試不會計入,也不會造成使用者的 Identity Manager 帳號遭鎖定。
Identity Manager 帳號策略會建立失敗密碼或問題登入嘗試的次數上限。
密碼登入嘗試失敗
因為超過失敗密碼登入嘗試次數而遭 Identity Manager 鎖定的使用者,在管理員解除鎖定帳號或鎖定過期之前,都無法登入。
問題登入嘗試失敗
因超過失敗問題登入嘗試次數而遭 [忘記密碼] 介面鎖定的使用者,在管理員解除鎖定帳號、遭鎖定的使用者 (或具有適當權能的使用者) 變更或重設使用者密碼或鎖定過期之前,都無法登入該介面。
具有適當權能的管理員可以對處於鎖定狀態的使用者執行以下作業:
若要解除鎖定帳號,請在清單中選取一個或多個使用者帳號,然後從 [使用者動作] 或 [組織動作] 清單中選取 [解除鎖定使用者]。
批次處理帳號動作您可以在 Identity Manager 帳號上執行數個批次處理動作,以同時處理多個帳號。
您可以啟動以下批次處理動作:
- 刪除 - 此動作會刪除、取消指定和取消連結選取的資源帳號。選取 [以 Identity Manager 帳號為目標] 選項,可同時刪除每位使用者的 Identity Manager 帳號。
- 刪除與取消連結 - 此動作會刪除所有選取的資源帳號,並取消這些帳號與使用者的連結。
- 停用 - 停用所有選取的資源帳號。選取 [以 Identity Manager 帳號為目標] 選項可同時停用每位使用者的 Identity Manager 帳號。
- 啟用 - 啟用所有選取的資源帳號。選取 [以 Identity Manager 帳號為目標] 選項,可啟用每位使用者的 Identity Manager 帳號。
- 取消指定,取消連結 - 取消連結所有選取的資源帳號,並移除對這些資源的 Identity Manager 使用者帳號指定。取消指定不會移除資源的帳號。對於透過角色或資源群組間接指定給 Identity Manager 使用者的帳號,您無法取消指定該帳號。
- 取消連結 - 移除資源帳號與 Identity Manager 使用者帳號的關聯 (連結)。取消連結不會從資源中移除該帳號。如果您取消透過角色或資源群組間接指定給 Identity Manager 使用者的帳號連結,則更新使用者時該連結會還原。
如果您的檔案或應用程式中有一份使用者清單,如電子郵件用戶端或試算表程式,則批次處理動作就能有最好的執行效果。您可以將清單複製並貼上至此介面頁面的欄位中,也可以從檔案載入使用者清單。
根據使用者的搜尋結果,可以執行其中許多動作。使用 [尋找使用者] 頁面 ([帳號] > [尋找使用者]) 搜尋使用者。
作業完成後顯示作業結果時,按一下 [下載 CSV] 可將批次處理帳號作業的結果儲存至 CSV 檔案。
啟動批次處理帳號動作
若要啟動批次處理帳號動作,請執行以下步驟:
若要監視批次處理動作作業的狀態,請按一下主功能表的 [伺服器作業],再按一下 [全部作業]。
使用動作清單
您可以使用逗號分隔值 (CSV) 格式指定批次處理動作清單。這能讓您在一份動作清單中混用不同的動作類型。此外,您可以指定更複雜的建立和更新動作。
CSV 格式包含兩個或多個輸入行。每行包含一份以逗號分隔的值清單。第一行包含欄位名稱。剩餘的每一行對應欲對 Identity Manager 使用者、使用者的資源帳號或二者所執行的一個動作。每一行應該包含同樣數量的值。若為空值則相應的欄位值將不會變更。
任何批次處理動作 CSV 輸入都需要兩個欄位:
- 使用者 - 包含 Identity Manager 使用者的名稱。
- 指令 - 包含對 Identity Manager 使用者所採取的動作。有效的指令有:
- Delete - 刪除、取消指定以及取消連結資源帳號和 (或) Identity Manager 帳號。
- DeleteAndUnlink - 刪除與取消連結資源帳號。
- Disable - 停用資源帳號和 (或) Identity Manager 帳號。
- Enable - 啟用資源帳號和 (或) Identity Manager 帳號。
- Unassign - 取消指定與取消連結資源帳號。
- Unlink - 取消連結資源帳號。
- Create - 建立 Identity Manager 帳號。選擇性地建立資源帳號。
- Update - 更新 Identity Manager 帳號。選擇性地建立、更新或刪除資源帳號。
- CreateOrUpdate - 如果 Identity Manager 帳號尚不存在,則執行建立動作。否則執行更新動作。
Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 指令
執行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 動作時,需要指定的唯一額外欄位是 [資源]。使用資源欄位可指定哪些資源上的哪些帳號將受影響。
資源欄位可有下列值:
以下是其中幾個動作的 CSV 格式範例:
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update 和 CreateOrUpdate 指令
如果您正在執行 Create、Update 或 CreateOrUpdate 指令,則您除了指定 [使用者] 與 [指令] 欄位外,還可以指定 [使用者檢視] 中的欄位。使用的欄位名稱是檢視中的屬性之路徑表示式。如需有關使用者檢視中可用屬性的資訊,請參閱「Identity Manager Workflows, Forms, and Views」。如果是使用自訂的「使用者表單」,您就能使用表單的欄位名稱中的部分路徑表示式。
在批次處理動作中使用的一些較常見的路徑表示式有:
以下是建立和更新動作的 CSV 格式範例:
command,user,waveset.resources,password.password,password.confirmPassword,a ccounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California具有多個值的欄位
一些欄位可擁有多個值。它們稱為多值欄位。例如,您可以使用 waveset.resources 欄位將多個資源指定給一位使用者。您可以使用垂直列 (|) 字元 (也稱為「管道」字元) 分隔一個欄位的多個值。您可以如下指定多值語法:
value0 | value1 [ | value2 ... ]
對現有的使用者更新多值欄位時,您可能不想將目前欄位的值替代為一個或多個新值。您可能想要移除一些值或加入現行值中。您可以使用欄位指令來指定如何處理現有欄位的值。欄位指令移到欄位值的前面,並以垂直列字元括住,如下所示:
|directive [ ; directive ] | field values
您可從下列指令中選擇:
欄位值的特殊字元
若欄位值中有逗號 (,) 或雙引號 (") 字元,或想要保留前導或尾隨空格,則需要在欄位值兩旁加上一對雙引號 ("欄位值")。接下來需要以兩個雙引號 (") 字元來取代欄位值中的雙引號。例如,John "Johnny" Smith 欄位值的結果應該是 "John ""Johnny" "Smith"。
如果您的欄位值中有垂直列 (|) 或反斜線 (\) 字元,則您必須在其前面加上一條反斜線 (\| 或 \\)。
批次處理動作檢視屬性
執行 Create、Update 或 CreateOrUpdate 動作時,「使用者檢視」中有一些屬性只能在批次處理動作處理中使用。您可以在「使用者表單」中參照這些屬性,讓批次處理動作執行特定的動作。這些屬性如下所示:
- waveset.bulk.fields.field_name - 這些屬性包含從 CSV 輸入中讀取的欄位值,其中 field_name 是欄位的名稱。例如,指令與使用者欄位分別位於路徑表示式為 waveset.bulk.fields.command 與 waveset.bulk.fields.user 的屬性中。
- waveset.bulk.fieldDirectives.field_name - 只會針對已指定指令的欄位定義這些屬性。此值為指示字串。
- waveset.bulk.abort - 將此布林屬性設為 true,以便中斷目前的動作。
- waveset.bulk.abortMessage - 將此屬性設為訊息字串,以便在 waveset.bulk.abort 設為 true 時可顯示該訊息。若未設定此屬性,則會顯示一般中斷訊息。
相互關聯與確認規則
當您沒有可用來填入動作的使用者欄位的 Identity Manager 使用者名稱時,可使用相互關聯與確認規則。若未指定使用者欄位值,啟動批次處理動作時,您就必須指定相互關聯規則。若未指定使用者欄位值,那麼就不會對該動作計算相互關聯與確認規則。
相互關聯規則會尋找符合動作欄位的 Identity Manager 使用者。確認規則會根據動作欄位來測試 Identity Manager 使用者,以便確定是否是符合的使用者。這樣的兩階段式方法可讓 Identity Manager 快速尋找可能的使用者 (根據名稱或屬性) 並且只對可能的使用者執行龐雜的檢查,藉此最佳化相互關聯。
建立相互關聯或確認規則的方法是分別建立 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 子類型的規則物件。
如需有關相互關聯與確認規則的更多資訊,請參閱「Identity Manager Technical Deployment Overview」中的「資料載入與同步化」一章。
相互關聯規則
相互關聯規則的輸入是動作欄位的對映。輸出必須為以下其中之一:
典型的相互關聯規則會根據動作中的欄位值來產生使用者名稱清單。相互關聯規則也可能會產生用來選取使用者的屬性條件清單 (參考 Type.USER 的可查詢屬性)。
相對來說,相互關聯規則應該比較簡便,但是應該盡可能縮小範圍。可能的話,將龐雜的處理留給確認規則。
屬性條件必須參考 Type.USER 的可查詢屬性。這些都是在名為「IDM 模式配置」的 Identity Manager 配置物件中進行配置。
在擴充屬性上進行相互關聯需要特殊配置:
- 延伸屬性必須指定為可查詢的。若要將延伸屬性設定為可查詢,請執行以下步驟:
- 開啟「IDM 模式配置」。您必須有「IDM 模式配置」權能才可能檢視或編輯「IDM 模式配置」。
- 請找到 <IDMObjectClassConfiguration name='User'> 元素。
- 找到 <IDMObjectClassAttributeConfiguration name='xyz'> 元素,此處的 xyz 就是要設為可查詢的屬性之名稱。
- 設定 queryable='true'
在編碼樣例 3-1 中,電子郵件的延伸屬性皆定義為可查詢。
- Identity Manager 應用程式 (或應用程式伺服器) 需要重新啟動,「IDM 模式配置」的變更才會生效。
確認規則
對確認規則的輸入如下:
如果使用者符合動作欄位,確認規則會傳回字串形式的 true 布林值;否則會傳回 false 值。
典型的確認規則會比對來自使用者檢視的內部值與動作欄位的值。確認規則還可當作相互關聯作業中的選擇性第二階段作業,也就是執行無法在相互關聯規則中表示的檢查 (或是太龐雜而無法在相互關聯規則中計算的檢查)。一般而言,只有在以下情況下才會需要確認規則:
系統會對相互關聯規則傳回的每個符合的使用者各執行一次確認規則。
管理帳號安全性和權限本小節說明了為提供對使用者帳號的安全存取權和管理 Identity Manager 中的使用者權限,您可以執行的動作。
設定密碼策略
資源密碼策略可用於建立密碼限制。強密碼策略提供增強的安全性,可協助防止他人未經授權登入資源。您可以編輯密碼策略以設定或選取字元範圍值。
若要開始使用密碼策略,請按一下主功能表中的 [安全性],再按一下 [策略]。
若要編輯密碼策略,請按一下 [策略] 清單中的密碼策略。若要建立密碼策略,請從選項的 [新增...] 清單中選取 [字串品質策略]。
備註
如需有關策略的更多資訊,請參閱配置 Identity Manager 策略。
建立策略
密碼策略是字串品質策略的預設類型。為新策略命名並提供選擇性說明後,請為定義該策略的規則選取選項和參數。
長度規則
長度規則設定密碼必需的最短與最長字元長度。請選取此選項以啟用規則,然後輸入規則的限制值。
字元類型規則
字元類型規則設定密碼中可包含的某些類型字元及數字的最大與最小數目。其中包括:
輸入每個字元類型規則的數字限制值;或輸入「全部」以表示所有字元均必須為該類型。
您也可以設定必須通過驗證的字元類型規則最小數目,如圖 3-11 中所示。必須通過的最小數目為 1。最大數目不能超過您已啟用的字元類型規則數目。
圖 3-11 密碼策略 (字元類型) 規則
字典策略選擇
您可以選擇比照字典中的字詞來檢查密碼,針對簡單的字典攻擊提供防護。在您可以使用此選項之前,您必須:
可以從 [策略] 頁面配置字典。如需有關如何設定字典的更多資訊,請參閱字典策略。
密碼歷程記錄策略
可以禁止重新使用在新選密碼之前剛使用過的密碼。
在 [無法重複使用的先前密碼次數] 欄位中,輸入大於一的數值可禁止再次使用目前與之前的密碼。例如,若輸入的數值為 3,則新密碼不可與目前密碼或其之前使用的兩個密碼相同。
您也可以禁止重複使用與曾經用過的密碼類似的字元。在 [不可重複使用之先前密碼中的類似字元上限] 欄位中,輸入新密碼不得重複先前密碼的連續字元數目。例如,若是輸入值為 7,且舊密碼為 password1,則新密碼便不可以是 password2 或 password3。
如果輸入的值是 0,則表示不論順序,所有字元都必須不一樣。例如,舊密碼若是 abcd,則新密碼中便不可以含有字元 a、b、c 或 d。
這個規則可以套用到之前一個或多個密碼。需要檢查的先前密碼數目在 [無法重複使用的先前密碼次數] 欄位中指定。
不得包含字詞
您可以輸入一個或多個密碼不可包含的字。在輸入方塊中,在每一行輸入一個字。
您也可以透過配置並實作字典策略來排除字詞。如需更多資訊,請參閱字典策略。
不得包含屬性
選取一個或多個密碼不可包含的屬性。屬性包括:
您可以在 UserUIConfig 配置物件中,變更所允許的密碼「不得包含」之屬性集。詳細資訊請參閱策略中的「不得包含」屬性。
實作密碼策略
會為每個資源建立密碼策略。若要將密碼策略置於特定資源中,請在 [密碼策略] 選項清單中將其選取,該清單位於 [建立或編輯資源精靈] 的 [策略配置] 區域:[Identity Manager 參數] 頁面。
使用者認證
若使用者忘記其密碼或其密碼遭重設,使用者只要回答一個或多個帳號認證問題即可存取 Identity Manager。這些問題與管理這些問題的規則是 Identity Manager 帳號策略的一部份,可以由您建立。不同於密碼策略,Identity Manager 帳號策略被直接或透過指定給使用者的組織指定給使用者 (位於 [建立與編輯使用者] 頁面)。
若要在帳號策略中設定認證,請執行以下步驟:
重要事項!首次設定時,使用者應登入使用者介面,並提供其認證問題的初始答案。若未設定這些答案,則使用者無法在不使用其密碼的情況下成功登入。
認證問題策略可決定當使用者按一下 [登入] 頁面上的 [忘記密碼?] 按鈕,或存取 [變更我的答案] 頁面時,所會發生的情況。表 3-3 說明每一個選項。
表 3-3 認證問題策略選項
選項
說明
循環
Identity Manager 會從已配置的問題清單中選取下一個問題,並將此問題指定給使用者。認證問題清單中的第一個問題會指定給第一個使用者,而第二個問題則會指定給第二個使用者。此模式會一直繼續,直到超出問題數為止。此時,會按照問題的前後順序將其指定給使用者。例如,如果總共有 10 個問題,則會將第一個問題指定給第 11 和第 21 個使用者。
僅會顯示所選取的問題。若要使用者每次回答不同的問題,請使用「隨機」策略並將問題數設定為 1。
使用者無法定義自己的認證問題。如需此功能的詳細資訊,請參閱個人化的認證問題。
隨機
此選項可讓管理員指定使用者必須回答的問題數量。Identity Manager 會從策略以及使用者所定義之問題清單中,隨機選取並顯示指定數量的問題。使用者必須回答所有顯示的問題。
任何
Identity Manager 顯示所有策略定義與個人化的問題。您必須指定使用者必須回答的問題數。
全部
使用者必須回答所有策略定義與個人化的問題。
您可以確認您的認證選擇,方法為登入 Identity Manager 使用者介面,按一下 [忘記密碼?],然後回答出現的問題。
圖 3-12 顯示了使用者帳號認證螢幕範例。
圖 3-12 使用者帳號認證
個人化的認證問題
在 Identity Manager 帳號策略中,您可以選取選項以讓使用者可以在使用者介面和管理員介面中提供自己的認證問題。此外,透過使用個性化的認證問題,您還可以設定使用者為成功登入所必須提供和回答問題的最小數目。
然後,使用者可在 [變更認證問題的答案] 頁面中增加和變更問題。圖 3-13 中顯示了此頁面的範例。
圖 3-13 變更答案 - 個人化的認證問題
認證後略過變更密碼詢問
使用者透過回答一個或多個問題成功通過認證後,依預設,系統將要求他提供一個新密碼。然而,您可以透過為一個或多個 Identity Manager 應用程式設定 bypassChangePassword 系統配置特性,來將 Identity Manager 配置為略過變更密碼詢問。
如需有關編輯系統配置物件的說明,請參閱更多...。
若要在成功認證後略過所有應用程式的變更密碼詢問,請在系統配置物件中將 bypassChangePassword 特性設定如下:
編碼樣例 3-2 設定用於略過變更密碼詢問的屬性
<Attribute name="ui"
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
若要對特定應用程式停用此密碼詢問,請將其設定如下:
編碼樣例 3-3 設定用於停用變更密碼詢問的屬性
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
指定管理權限
您可以如下將 Identity Manager 管理權限或權能指定給使用者:
- 管理員角色 - 若使用者已指定有管理員角色,則會繼承由該角色所定義的權能和所控制的組織。依預設,在建立所有 Identity Manager 使用者帳號時,會為其指定 使用者管理員角色。如需有關管理員角色和建立管理員角色的詳細資訊,請參閱第 4 章中的瞭解與管理資源。
- 權能 - 權能由規則所定義。Identity Manager 提供了幾組依功能分組的權能,您可以從中進行選取。指定權能可以更詳細地指定管理權限。如需有關權能和建立權能的資訊,請參閱第 6 章中的瞭解與管理權能。
- 所控制的組織 - 所控制的組織可授予對指定組織所具有的管理控制權限。如需更多資訊,請參閱第 6 章中的瞭解 Identity Manager 組織。
如需有關 Identity Manager 管理員和管理責任的更多資訊,請參閱第 6 章「管理」。
使用者自我探索Identity Manager 一般使用者介面可讓一般使用者探索資源帳號。這表示具有 Identity Manager 身份的使用者可與現有的但無關聯的資源帳號相關聯。
啟用自我探索
若要啟用自我探索,您必須編輯特殊配置物件 (一般使用者資源),並新增至允許使用者探索帳號的每個資源的名稱。
若要啟用自我探索,請執行以下步驟:
- 編輯 [一般使用者資源] 配置物件。
如需有關編輯 Identity Manager 配置物件的說明,請參閱編輯 Identity Manager 配置物件。
- 增加 <String>Resource</String>,其中 Resource 與儲存庫中資源物件的名稱相符,如圖 3-14 中所示。
圖 3-14 一般使用者資源配置物件
- 按一下 [儲存]。
啟用自我探索後,會在 Identity Manager 使用者介面上的 [設定檔] 功能表標籤下方,為使用者提供一個新的選項 (即 [自我探索])。此區域允許該使用者從可用清單選取資源,然後輸入資源帳號 ID 與密碼,來連結帳號與其 Identity Manager 身份。
備註
管理員也可使用「一般使用者」組織,授權一般使用者存取 Identity Manager 配置物件。請參閱一般使用者組織,以取得詳細資訊。
匿名註冊匿名註冊功能可讓沒有 Identity Manager 帳號的使用者請求取得帳號。
啟用匿名註冊
匿名註冊功能預設為停用。
若要啟用匿名註冊功能,請執行以下步驟:
當使用者登入使用者介面時,[登入] 頁面會顯示 [第一次使用嗎?] 後接 [申請帳號] 連結的字樣。
圖 3-15 啟用了 [申請帳號] 連結的 [使用者介面] 頁面
配置匿名註冊
從 [使用者介面] 頁面上的 [匿名註冊] 區域中,您可以配置匿名註冊程序的下列選項:
在完成時按一下 [儲存]。
使用者註冊程序
使用者在登入使用者介面時,按一下 [登入] 頁面上的 [申請帳號] 即可申請帳號。
Identity Manager 顯示第一頁註冊頁面 (共兩頁),在此需提供全名與員工 ID。若 [啟用驗證] 屬性設為 [是] (預設值),則必須先驗證這項資訊,使用者才能繼續進行下一頁。
EndUserLibrary 中的 verifyFirstname、verifyLastname、verifyEmployeeId 與 verifyEligibility 規則,可驗證各屬性的資訊
。
若停用 [啟用驗證] 屬性,則不會顯示初始註冊頁面。在此情況下,您必須修改 [一般使用者匿名註冊完成] 表單,讓使用者能輸入通常由初始驗證表單擷取的資訊。
Identity Manager 可從 [註冊] 頁面上所提供的資訊產生以下項目:
若使用者在 [註冊] 頁面上所提供的資訊驗證正確無誤,Identity Manager 即會對使用者顯示第二頁 [註冊] 頁面。使用者在此必須輸入密碼與確認密碼。若 [需要隱私權政策] 屬性設為 [是],則使用者必須同時選取對應選項,以接受隱私權政策的條款。
使用者按一下 [註冊] 時,Identity Manager 即會顯示確認頁面。若 [啟用通知] 屬性設為 [是],則頁面中會指出使用者將在帳號建立後收到電子郵件通知。
標準 [建立使用者] 程序 (包括 idmManager 屬性與策略設定所需的核准) 完成後即會建立帳號。