Identity Manager 8.1 Deployment Reference

本節包含適用於「Sun Identity Manager Deployment Reference」的新資訊與文件校正。

表單相關文件問題

本章缺少以下有關將密碼確認詰問增加至表單的說明：(ID-7604)

您可以使用 RequiresChallenge 表單特性，將密碼確認詰問增加至選取的表單。啟用此功能時，Identity Manager 會在處理請求之前，先詰問目前登入的管理員讓其提供密碼。支援此選項的表單包括：

userForm (標籤式使用者表單、精靈使用者表單、預設使用者表單)

changePassword (預設值為變更使用者密碼表單)

resetPassword (預設值為重設使用者密碼表單)

每一個表單的指定特性都不相同。

設定使用者表單的 RequiresChallenge 特性

若要將密碼確認詰問增加至使用者表單，請如下所示增加下列 RequiredElement 元素，並替換 password、email 及 fullname：

<Property name='RequiredChallenge'>
    <List>
      <String>password</String>
      <String>email</String>
      <String>fullname</String>
    </List>
</Property>

此特性的值是一個清單，其中包含一個以上的下列使用者檢視屬性名稱：applications、adminRoles、assignedLhPolicy、capabilities、controlledOrganizations、email、firstname、fullname、lastname、organization、password、resources、roles。

設定變更密碼表單與重設密碼表單的 RequiresChallenge 特性

若要將密碼確認詰問增加至 changePassword 或 resetPassword 表單，請如下所示增加下列 <RequiresChallenge> 元素，其中的 password、email 及 fullname 需用適當的值替代：

<Property name='RequiresChallenge' value='true'/>

其中，特性的值可以是「true」或「false」。

如果在表單中將此特性設為「true」，Identity Manager 會詰問目前請求變更的管理員，要求該管理員輸入他用於登入 Lighthouse 的密碼。如果詰問失敗 (亦即未輸入目前管理員的密碼)，則 Identity Manager 不會允許變更。如果詰問成功，Identity Manager 會允許繼續進行變更請求。這兩種密碼管理表單皆支援使用 RequiresChallenge 表單特性。此特性設為 true 時，系統會提示使用者在指定新密碼之後輸入舊密碼。

覆寫版本資訊

您可以建立兩個自訂訊息目錄鍵值，以便在使用者將游標移至 [說明] 按鈕上方時，防止 Identity Manager 顯示版本資訊。UI_END_USER_VERSION 鍵值隱藏一般使用者介面上的版本資訊，而管理員介面則使用 UI_VERSION 鍵值。

將鍵值設為空字串可防止顯示任何版本資訊。

下列範例會同時停用兩個介面上的版本資訊。

<Waveset>
   <Configuration name="sampleCustomCatalog">
      <Extension>
         <CustomCatalog id="defaultCustomCatalog" enabled="true">
            <MessageSet language="en" country="US">
               <Msg id="UI_END_USER_VERSION"></Msg>
               <Msg id="UI_VERSION"></Msg>
            </MessageSet>
         </CustomCatalog>
      </Extension>
   </Configuration>
</Waveset>

其他表單相關問題

「表單」一章缺少以下說明：(ID-18869)

變更密碼表單預設有兩個實作：

「一般使用者變更密碼表單」是預設的密碼變更表單。該表單提供一組簡單的欄位，使用者可透過這些欄位變更其密碼。系統會針對指定給使用者的所有資源，對其密碼策略進行彙總與製作摘要，然後 Identity Manager 將密碼變更套用至所有指定的資源。

管理員介面與使用者介面中皆有「基本變更密碼表單」。該表單針對已指定給使用者的資源提供相關資訊，並讓使用者個別選取要由 Identity Manager 變更哪些資源的密碼。

這兩種密碼管理表單皆支援使用 RequiresChallenge 表單特性。此特性設為 true 時，系統會提示使用者在指定新密碼之後輸入舊密碼。

工作流程與表單的常見問題

本指南的「表單」與「工作流程」章節缺少以下有關指定 <Variable> 元素範圍的說明：(ID-14915)

Identity Manager 會在宣告元素時，為所有 <Variable> 元素指定一個範圍。如果您未指定範圍屬性值，則 Identity Manager 會將其指定為區域 (local) 值，表示只有在宣告該變數的 XPRESS 區段內才可對其進行存取。

用來定義範圍的其他變數屬性包括：

input -- 宣告 <Variable> 元素具有區域範圍 (Local Scope)，且呼叫者可初始化該值。

output -- 宣告 <Variable> 元素具有區域範圍，但可傳回給呼叫者。

external -- 宣告 <Variable> 具有非區域範圍，亦即對此變數的指定，會導致在第一次宣告此變數的範圍中也指定此變數。

本章缺少以下有關 Identity Manager 安全清單功能的說明。(ID-19474)

Identity Manager 安全清單功能可對照 ID 或表單名稱清單，對使用 SaveNoValidate 動作的表單與工作流程進行檢查。Identity Manager 會在安全清單中檢查表單名稱或表單所有者 ID。ID 清單 (稱為 saveNoValidateAllowedFormsAndWorkflows) 位於系統配置物件的安全性屬性中。如果表單名稱或所有者 ID 位於安全清單上，該表單或工作流程即可使用 SaveNoValidate 動作。如果表單名稱或所有者 ID 不在清單上，則會使用 Save 動作處理該表單或工作流程。如果沒有此清單，所有表單與工作流程皆會當作 SaveNoValidate 來處理。

若要在您的部署中實作此功能，您必須將所有使用 SaveNoValidate 的表單或工作流程增加至系統配置物件中的 saveNoValidateAllowedFormsAndWorkflows 清單。若要查看您必須增加的 ID 或表單名稱，請檢查 syslog 或開啟 com.waveset.ui.util.GenericEditForm 的追蹤層級 4，然後提交任何使用 SaveNoValidate 的自訂表單或工作流程。隨即會記錄內含此 ID 的一則警告。如果您在 syslog 中取得的表單名稱為空 (null)，請確認在已執行的 TaskDefinition 中的表單具有名稱屬性。

工作流程相關的問題

「工作流程」一章缺少以下有關 handleNativeChangeToAccountAttributes 工作流程的說明 (ID-3275)：

每當 Identity Manager 偵測到資源帳號可稽核的屬性值有本機變更 (亦即非透過 Identity Manager 執行的變更)，即會執行與如下系統配置物件屬性相關的 handleNativeChangeToAccountAttributes 工作流程來回應：

<Attribute name='process'>
  <Object>
    <Attribute name='handleNativeChangeToAccountAttributes' value='Audit Native
      Change To Account Attributes'/>
  </Object>
</Attribute>

如果您已啟用 [Lighthouse 之外的變更] 稽核篩選器，此工作流程會將本機變更事件記錄到事件記錄檔。否則，Identity Manager 會忽略此類事件。警告：無論用任何工作流程替代以上所列的預設工作流程，請務必謹慎選擇您要從該工作流程中呼叫的方法。

每當資源帳號擷取發現有本機變更時，Identity Manager 都會啟動此工作流程，因此不得呼叫任何會觸發同一資源帳號再次進行擷取的方法或工作流程。例如，如果您呼叫以下任何 WorkflowServices 方法以組成使用者檢視，則會產生無窮迴圈：getView(User) 與 checkoutView(User)，可能還包括 checkinView(User)。

由於 Identity Manager 會執行工作流程以處理每項本機變更，因此您可攔截本機變更事件，並視情況處理該本機變更，亦即替代預設的本機變更工作流程或增加工作流程。例如，您可以選擇將電子郵件傳送至管理員或使用者、在資料庫中記錄事件、將取消本機變更的更新排入佇列，或者，您甚至可以提取該本機變更，並將其應用於其他資源。

本指南的「工作流程」一章缺少以下有關如何指定來源配接卡作業之主體或管理員的說明。(ID-19694)

您可以編輯下列系統配置物件的屬性，為來源配接卡作業指定主體或管理員，並指定執行該作業的伺服器。source.subject 指定管理員 (此管理員被指定為該作業的所有者) 的登入名稱。sources.host 指定執行作業的伺服器。配置物件中的新值預設如下：

<Attribute name='sources'>
           <Object>
             <Attribute name='hosts'/> <!-- any host is the default -->
           <Attribute name='subject' value='Configurator'/>
         </Object>
         </Attribute>