Identity Manager 8.1 部署参考

本节包含 《Sun Identity Manager Deployment Reference》的新信息和文档更正内容。

与表单有关的文档问题

本章缺少有关在表单中添加密码确认质询的以下说明：(ID-7604)

您可以使用 RequiresChallenge 表单属性将密码确认质询添加到所选表单中。如果启用此功能，在处理请求之前，Identity Manager 将向当前登录的管理员提出质询，要求其提供密码。支持此选项的表单包括：

userForm（选项卡式用户表单、向导用户表单和默认用户表单）

changePassword（默认为更改用户密码表单）

resetPassword（默认为重置用户密码表单）

将为每个表单指定不同的属性值。

为用户表单设置 RequiresChallenge 属性

要将密码确认质询添加到用户表单中，请添加以下 RequiredElement 元素（如下所示），并使用相应的值替代 password、email 和 fullname：

<Property name='RequiredChallenge'>
    <List>
      <String>password</String>
      <String>email</String>
      <String>fullname</String>
    </List>
</Property>

该属性的值是由一个或多个下列用户视图属性名称组成的列表：applications、adminRoles、assignedLhPolicy、capabilities、controlledOrganizations、email、firstname、fullname、lastname、organization、password、resources、roles。

为更改密码表单和重置密码表单设置 RequiresChallenge 属性

要将密码确认质询添加到 changePassword 或 resetPassword 表单中，请添加以下 <RequiresChallenge> 元素（如下所示），并使用相应的值替代 password、email 和 fullname：

<Property name='RequiresChallenge' value='true'/>

其中，该属性的值可以是 "true" 或 "false"。

如果在表单中将该属性设置为 "true"，则 Identity Manager 将质询请求更改的当前管理员，要求其输入用于登录到 Lighthouse 的密码。如果质询失败（即，未输入当前管理员的密码），Identity Manager 将不允许进行更改。如果质询成功，Identity Manager 将允许继续执行更改请求。两个密码管理表单均支持使用 'RequiresChallenge' 表单属性。如果将此属性设置为 true，在指定新密码后，系统将提示用户输入旧密码。

覆盖版本信息

您可以创建两个自定义消息目录关键字，以禁止 Identity Manager 在用户将光标放在帮助按钮上时显示版本信息。UI_END_USER_VERSION 关键字在最终用户界面上隐藏版本信息；而 UI_VERSION 关键字则用于管理员界面。

如果将该关键字的值设置为空字符串，则会禁止显示任何版本信息。

以下示例禁用了两个界面的版本信息。

<Waveset>
   <Configuration name="sampleCustomCatalog">
      <Extension>
         <CustomCatalog id="defaultCustomCatalog" enabled="true">
            <MessageSet language="en" country="US">
               <Msg id="UI_END_USER_VERSION"></Msg>
               <Msg id="UI_VERSION"></Msg>
            </MessageSet>
         </CustomCatalog>
      </Extension>
   </Configuration>
</Waveset>

与表单有关的其他问题

“表单”一章缺少以下讨论：(ID-18869)

默认情况下，有两种更改密码表单实现：

最终用户密码更改表单是默认密码更改表单。它提供了一组简单的字段，用户可以使用这些字段更改其密码。将聚集并汇总分配给用户的所有资源的密码策略，并且 Identity Manager 会将密码更改应用于所有分配的资源。

管理员界面和用户界面上都提供了基本更改密码表单。它提供了分配给用户的资源的相关信息，并且允许用户单独选择 Identity Manager 将在其上更改密码的资源。

两个密码管理表单均支持使用 'RequiresChallenge' 表单属性。如果将此属性设置为 true，在指定新密码后，系统将提示用户输入旧密码。

工作流和表单的共有问题

本指南的“表单和工作流”一章缺少有关为 <Variable> 元素分配范围的以下讨论：(ID-14915)

在声明该元素时，Identity Manager 会为所有 <Variable> 元素分配范围。如果没有为 scope 属性分配值，Identity Manager 将为其分配值 local，这意味着只能在声明该变量的 XPRESS 部分中访问它。

定义范围的其他变量属性包括：

input -- 声明 <Variable> 元素具有本地范围，并且调用方可以初始化该值。

output -- 声明 <Variable> 元素具有本地范围，但可以返回给调用方。

external -- 声明具有非本地范围的 <Variable>，即，如果为该变量分配值，则会导致在最初声明该变量的范围内进行分配。

本章缺少有关 Identity Manager 白名单功能的以下讨论。(ID-19474)

通过使用 Identity Manager 白名单功能，可以对照一个 ID 或表单名称列表检查使用 SaveNoValidate 操作的表单和工作流。Identity Manager 将在白名单中检查表单名称或表单所有者 ID。名为 saveNoValidateAllowedFormsAndWorkflows 的 ID 列表位于系统配置对象的 security 属性中。如果表单名称或所有者 ID 位于白名单中，则表单或工作流可以使用 SaveNoValidate 操作。如果表单名称或所有者 ID 不在该列表中，则使用 Save 操作处理表单或工作流。如果不存在该列表，则可以将所有表单和工作流都作为 SaveNoValidate 进行处理。

要在部署中实现此功能，您必须将所有使用 SaveNoValidate 的表单或工作流添加到系统配置对象的 saveNoValidateAllowedFormsAndWorkflows 列表中。要查看必须添加的 ID 或表单名称，请检查系统日志或为 com.waveset.ui.util.GenericEditForm 启用跟踪级别 4，然后提交使用 SaveNoValidate 的所有自定义表单或工作流。将记录一条包含 ID 的警告。如果系统日志中出现 "null" 表单名称，请确认运行的 TaskDefinition 中的表单具有名称属性。

与工作流有关的问题

“工作流”一章缺少有关 handleNativeChangeToAccountAttributes 工作流的以下讨论 (ID-3275)：

只要 Identity Manager 检测到在本机对资源帐户的可审计属性值进行了更改（即，未通过 Identity Manager 执行的更改），它就会运行 handleNativeChangeToAccountAttributes 工作流以进行响应，该工作流与以下系统配置对象属性相关联：

<Attribute name='process'>
  <Object>
    <Attribute name='handleNativeChangeToAccountAttributes' value='Audit Native
      Change To Account Attributes'/>
  </Object>
</Attribute>

如果启用了“Lighthouse 之外的更改”审计过滤器，此工作流会将本机更改事件记录到事件日志中。否则，Identity Manager 将忽略该事件。警告：请注意从替换上面列出的默认工作流的任何工作流中调用的方法。

由于只要资源帐户提取涉及本机更改，Identity Manager 就会启动该工作流，因此，它不能调用将触发对相同资源帐户进行其他提取操作的任何方法或工作流。例如，如果调用下列任何组合用户视图的 WorkflowServices 方法，则会导致死循环：getView(User)、checkoutView(User)，还可能包括 checkinView(User)。

由于 Identity Manager 通过运行工作流来处理每个本机更改，因此，您可以捕获本机更改事件以及处理该本机更改；不过，您也可以根据需要，替换默认本机更改工作流或在其中添加内容。例如，您可以选择将电子邮件发送到管理员或用户，在数据库中记录事件，将要撤消本机更改的更新排入队列，甚至提取该本机更改并将其应用于其他资源。

本指南的“工作流”一章缺少有关如何指定源适配器任务的主体或管理员的以下说明。(ID-19694)。

您可以将主体或管理员分配给源适配器任务，并通过编辑系统配置对象的以下属性来指定运行该任务的服务器。source.subject 为被指定为此任务所有者的管理员指定登录名。sources.host 指定运行任务的服务器。配置对象中的新值默认为：

<Attribute name='sources'>
           <Object>
             <Attribute name='hosts'/> <!-- any host is the default -->
           <Attribute name='subject' value='Configurator'/>
         </Object>
         </Attribute>