第 3 章 用户和帐户管理

本章提供了通过 Identity Manager 管理员界面创建和管理用户的信息和步骤。

该信息分为以下几个部分：

• 界面的“帐户”区域

• 创建用户和使用用户帐户

• 批量帐户操作

• 管理帐户安全和权限

• 用户自行搜索

• 匿名注册

界面的“帐户”区域

用户是指拥有 Identity Manager 系统帐户的任何人。Identity Manager 为每个用户存储一系列数据。这些信息共同构成每个用户的 Identity Manager 身份。

通过使用 Identity Manager 的“帐户”/“用户列表”页，您可以管理 Identity Manager 用户。要访问此区域，请单击管理员界面菜单栏上的帐户。

帐户列表显示所有 Identity Manager 用户帐户。帐户按组织和虚拟组织进行分组，这些组织以文件夹的形式分层表示。

您可以按全名 ("Name")、用户的姓 ("Last Name") 或用户的名 ("First Name") 对帐户列表进行排序。单击标题栏可以按列进行排序。单击同一标题栏可以在升序和降序间切换。按全称（“名称”列）排序时，分层结构中所有级别的所有项都按字母顺序排序。

要展开分层结构视图，查看组织中的帐户，请单击文件夹旁的三角指示符。再次单击指示符可折叠视图。

帐户区域中的操作列表

可以使用操作列表（位于帐户区域的顶部和底部，如帐户区域中的操作列表中所示）执行一系列操作。

操作列表选项分为：

• 新建操作。创建用户、组织和目录连接。

• 用户操作。编辑、查看和更改用户状态；更改和重设密码；删除、启用、禁用、解除锁定、移动、更新和重命名用户；运行用户审计报告。

• 组织操作。执行一系列组织和用户操作。

  

在“帐户列表”区域中搜索

使用帐户区域搜索功能查找用户和组织。从列表中选择“组织”或“用户”，在搜索区域中输入用户或组织名称开头的一个或多个字符，然后单击搜索。有关在帐户区域中搜索的详细信息，请参见查找和查看用户帐户。

用户帐户状态

每个用户帐户旁边显示的图标指示当前已分配帐户的状态。表 3–1 介绍了每个图标所表示的含义。

在“管理员”列中，如果 Identity Manager 找不到与列出的名称匹配的 Identity Manager 帐户，则管理员的用户名将显示在括号内。

“用户”页（创建/编辑/查看）

本节介绍了管理员界面中提供的“创建用户”、“编辑用户”和“查看用户”页。本章后面介绍了如何使用这些页面。

本文档介绍了随 Identity Manager 提供的一组默认“创建用户”、“编辑用户”和“查看用户”页。不过，为了更好地反映业务流程或特定管理员权能，应创建针对您的环境的自定义用户表单。有关自定义用户表单的详细信息，请参见《Sun Identity Manager Deployment Reference》中的第 2  章 “Identity Manager Forms”。

• “身份”选项卡

• “资源”选项卡

• “角色”选项卡

• “安全性”选项卡

• “委托”选项卡

• “属性”选项卡

• “遵循性”选项卡

默认 Identity Manager 用户页面将划分到以下选项卡或部分中：

• 身份

• 分配

• 安全

• 委托

• 属性

• 遵循性

“身份”选项卡

“身份”区域定义了用户的帐户 ID、名称、联系人信息、管理员、控制的组织和 Identity Manager 帐户密码。它还标识用户可以访问的资源以及控制每个资源帐户的密码策略。

有关设置帐户密码策略的信息，请参阅本章中标题为管理帐户安全和权限的一节。

下图展示了“创建用户”页的“身份”区域。

图 3–1 创建用户 - 身份

“资源”选项卡

“资源”区域可用于为用户直接分配资源和资源组。还可以分配资源排除。

直接分配的资源为通过角色分配间接分配给用户的资源提供补充。角色分配概要描述了一类用户。角色通过间接分配定义用户对资源的访问。

“角色”选项卡

“角色”选项卡用于将一个或多个角色分配给用户，以及管理这些角色分配。

有关此选项卡的信息，请参见将角色分配给用户。

“安全性”选项卡

在 Identity Manager 术语中，分配了扩展权能的用户称为 Identity Manager 管理员。可以使用“安全性”选项卡为用户分配管理员权限。

有关使用“安全性”选项卡创建管理员的详细信息，请参见创建和管理管理员。

安全表单包含以下几个部分。

• 管理员角色。为用户分配一个或多个管理角色。角色是一对特定的权能和受控组织，有助于以协调的方式为用户分配管理职责。

• 权能。在 Identity Manager 系统中启用权限。通常根据工作职责向每个 Identity Manager 管理员分配一项或多项权能。

  了解和管理权能中介绍了权能。附录 D包含基于任务的权能及其定义的列表。该附录还列出了可使用每种权能访问的选项卡和子选项卡。

• 受控组织。分配该用户有权以管理员身份管理的组织。该管理员可管理已分配组织以及在分层结构中处于该组织之下的任何组织中的对象。

要拥有管理员权能，必须至少为用户分配一个管理员角色，或一个或多个权能，以及一个或多个受控组织。有关 Identity Manager 管理员的详细信息，请参见了解 Identity Manager 管理。

• 用户表单。指定管理员在创建和编辑用户时将使用的用户表单。如果选择 None，管理员将继承分配给其组织的用户表单。

• 查看用户表单。指定管理员在查看用户时将使用的用户表单。如果选择 None，管理员将继承分配给其组织的查看用户表单。

• 帐户策略。设置密码和验证限制。

“委托”选项卡

“创建用户”页上的“委托”选项卡允许您在指定的时间内将工作项目委托给其他用户。有关委托工作项目的详细信息，请参阅委托工作项目。

“属性”选项卡

“创建用户”页上的“属性”选项卡定义与分配的资源关联的帐户属性。列出的属性按分配的资源分类，具体情况根据分配资源的不同而不同。

“遵循性”选项卡

“遵循性”选项卡：

• 允许您为用户帐户选择证明和修正表单。

• 指定为用户帐户分配的审计策略，包括通过用户的组织分配生效的策略。仅可以通过编辑用户的当前组织或将用户移动到其他组织来更改这些策略分配。

• 指示策略扫描、违规和免除的当前状态，如下图所示（如果适用于用户帐户）。此信息包括选定用户上一次审计策略扫描的日期和时间。

  

要分配审计策略，请将选定策略从可用审计策略列表移动到当前审计策略列表中。

通过从用户操作列表中选择查看遵循性违规日志并指定要查看的条目范围，可以查看在特定时间段内为用户记录的遵循性违规。

创建用户和使用用户帐户

从管理员界面的“帐户/用户列表”页中，您可以对以下系统对象执行一系列操作：

• 管理员和用户。查看、创建、编辑、移动、重命名、取消置备、启用、禁用、更新、解除锁定、删除、取消分配、解除链接以及审计。

  有关创建和编辑管理员帐户的详细信息，请参见了解 Identity Manager 管理。

• 组织。在组织的成员上创建、编辑、刷新和执行用户操作。

  有关组织的详细信息，请参见了解 Identity Manager 组织。

• 目录连接。创建与分层相关的一组组织以镜像目录资源的实际层级容器集合。

  有关目录连接的详细信息，请参见了解目录连接和虚拟组织。

启用进程图

进程图描绘了 Identity Manager 在创建用户帐户或对其进行处理时遵循的工作流。如果启用进程图，它将显示在 Identity Manager 完成任务时创建的结果页或任务摘要页上。

在 Identity Manager 8.0 版中，为新安装和升级安装禁用了进程图。

在 Identity Manager 中启用进程图

1. 按照编辑 Identity Manager 配置对象中的步骤，打开系统配置对象以进行编辑。

2. 找到以下 XML 元素：

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. 将 true 值更改为 false。

4. 单击“保存”。

5. 重新启动服务器以使更改生效。

   也可以在最终用户界面中启用进程图，但前提是必须先按照上述步骤在管理员界面中将其启用。有关详细信息，请参见在最终用户界面中启用进程图。

在 Identity Manager 中创建用户

可以通过管理员界面菜单栏中的“帐户”选项卡创建和管理用户。

1. 在管理员界面中，单击“帐户”。

2. 要在特定组织中创建用户，请选择该组织，然后从“新建操作”列表中选择“新建用户”。

   或者，要在 Top 组织中创建用户帐户，请从“新建操作”列表中选择“新建用户”。

3. 在以下选项卡或部分中填写信息。

   • 身份。名称、组织、密码和其他详细信息。（请参见“身份”选项卡。）

   • 资源。各个资源和资源组分配以及资源排除。（请参见“资源”选项卡。）

   • 角色。角色分配。有关角色的信息，请参见了解和管理角色。有关填写“角色”选项卡的说明，请参见将角色分配给用户。

   • 安全性。管理员角色、受控组织和权能。以及用户表单设置和帐户策略。（请参见“安全性”选项卡。）

   • 委托。工作项目委托。（请参见“委托”选项卡。）

   • 属性。已分配的资源的特定属性。（请参见“属性”选项卡。）

   • 遵循性。为用户帐户选择证明和修正表单。在“遵循性”区域中，您还可以为用户帐户指定分配的审计策略，其中包括通过用户的组织分配生效的策略。表示策略扫描、违规和免除的当前状态，并包括用户上次审计策略扫描的相关信息。（请参见“属性”选项卡。）

     请注意，一个区域中的可用选项可能取决于在另一个区域中选择的内容。

   为了更好地反映业务流程或特定管理员权能，应针对您的环境自定义用户表单。有关自定义用户表单的详细信息，请参见《Sun Identity Manager Deployment Reference》中的“Customizing Forms”。

4. 完成后，保存该帐户。

   可以使用以下两个选项来保存用户帐户：

   • 保存。保存用户帐户。如果您将大量资源分配给该帐户，则此过程可能需要一段时间。

   • 后台保存。此过程作为后台任务保存用户帐户，这样您可以继续使用 Identity Manager。每次正在进行保存时，都会在“帐户”页、“查找用户结果”页和主页中显示一个任务状态指示器。

     状态指示器（如下表所述）可以帮助您监视保存进程的进度。

   状态指示器	状态
   	正在进行保存。
   	保存过程已暂停。这通常表示该过程正在等待批准。
   	已顺利完成保存。这并不表示用户已被成功保存；只是表示保存的过程没有任何错误。
   	尚未开始保存。
   	已完成保存过程，但是出现一个或多个错误。

   将鼠标移至状态指示器中显示的用户图标的上方，便可看到有关后台保存过程的详细信息。

   ---

   注 –

   如果已配置生效，则在创建用户时，将会创建一个可从“批准”选项卡中查看的工作项目。如果批准该项目，则会覆盖生效日期并创建帐户。如果拒绝该项目，则会取消帐户创建。有关配置生效的详细信息，请参见配置“生效和失效”选项卡。

   ---

为用户创建多个资源帐户

Identity Manager 提供了将多个资源帐户分配给单个用户的功能。它通过允许为每种资源定义多种资源帐户类型或帐户类型来实现此目的。应该根据需要创建资源帐户类型，以便与资源上的每种功能帐户类型相匹配。例如，AIX SuperUser 或 AIX BusinessAdmin。

为什么要针对每种资源为每个用户分配多个帐户？

在某些情况下，Identity Manager 用户可能需要在资源上设置多个帐户。用户可能具有多个与资源有关的不同作业功能。例如，用户可能同时是资源的用户和管理员。最好的做法是，建议对每个功能使用不同的帐户。这样，如果一个帐户受到破坏，其他帐户授予的访问权限仍然是安全的。

配置帐户类型

要使资源支持单个用户的多个帐户，必须先在 Identity Manager 中定义资源帐户类型。要为资源定义资源帐户类型，请使用资源向导。有关信息，请参见管理资源列表。

您必须先启用并配置资源帐户类型，然后才能将这些类型分配给用户。

分配帐户类型

在定义了帐户类型后，您可以将它们分配给资源。Identity Manager 将每次分配的帐户类型都视为单独的帐户。因此，每次在角色中的不同分配可能具有不同的属性集。

与每个资源具有单个帐户类似，所有特定类型的分配仅创建一个帐户，而与分配次数无关。

虽然可以将用户分配给资源上的任意数量的不同类型帐户，但只能为每个用户分配资源上的一个给定类型的帐户。该规则的例外情况是内置的“默认”类型。用户可以在资源上具有任意数量的默认类型帐户。不过，建议不要这样做，因为这可能导致在表单和视图中引用帐户时出现不确定性。

查找和查看用户帐户

使用 Identity Manager 查找功能可搜索用户帐户。输入和选择搜索参数以后，Identity Manager 将查找与您的选择匹配的所有帐户。

要搜索帐户，请从菜单栏中选择“帐户”->“查找用户”。可以使用下面的一种或多种搜索类型搜索帐户：

• 帐户详细信息（如用户名、电子邮件地址、姓氏或名字）。这些选项取决于贵机构的具体 Identity Manager 实现。

• 用户的管理员。如果管理员的用户名与 Identity Manager 中的现有帐户不匹配，则该用户名将显示在括号内。

• 资源帐户状态。选项包括：

  • 已禁用。用户不能访问任何 Identity Manager 帐户或已分配的资源帐户。

  • 部分禁用。用户不能访问一个或多个已分配的资源帐户。

  • 已启用。用户拥有对所有已分配的资源帐户的访问权限。

• 已分配的资源。选项包括：

  • 角色（请参见查找分配给特定角色的用户）

  • 组织

  • 组织控制权限

  • 权能

  • 管理员角色

• 用户帐户状态。选项包括：

  • 已锁定。因为密码或提问式登录尝试失败的最大次数超过允许的最大次数，用户帐户被锁定。

  • 尚未锁定。未限制用户帐户访问。

• 更新状态。选项包括：

  • 否。尚未在任何资源中更新的用户帐户。

  • 部分。已在至少一个（但不是所有）已分配资源中更新的用户帐户。

  • 全部。已在所有已分配资源中更新的用户帐户。

搜索结果列表显示与您的搜索条件相匹配的所有帐户。

在结果页中，您可以：

• 选择要编辑的用户帐户。要编辑帐户，请在搜索结果列表中单击此帐户；或在列表中选择此帐户，然后单击“编辑”。

• 对一个或多个帐户执行操作（例如启用、禁用、解除锁定、删除、更新或更改/重设密码）。要执行操作，请在搜索结果列表中选择一个或多个帐户，然后单击相应的操作。

• 创建用户帐户。

  

编辑用户

本节中的信息介绍了如何查看、编辑、重新分配以及重命名用户帐户。

查看用户帐户

可以使用“查看用户”页并执行以下步骤来查看帐户信息。

1. 在管理员界面中，单击菜单中的“帐户”。

   将打开“用户列表”页。

2. 选中要查看帐户的用户旁边的框。

3. 在“用户操作”下拉菜单中，选择“查看”。

   “查看用户”页显示用户身份、分配、安全性、委托、属性和遵循性信息中的一部分信息。“查看用户”页上的信息只能查看，不能进行编辑。

4. 单击“取消”返回至“帐户”列表。

编辑用户帐户

可以使用“编辑用户”页并执行以下步骤来编辑帐户信息。

1. 在管理员界面中，单击菜单中的“帐户”。

2. 选中要编辑帐户的用户旁边的框。

3. 在“用户操作”下拉菜单中，选择“编辑”。

4. 进行更改并保存。

   Identity Manager 将显示“更新资源帐户”页。此页显示分配给用户的资源帐户以及将应用于帐户的更改。

5. 选择“更新所有资源帐户”将更改应用于所有分配的资源；或者单独选择与此用户关联的一个或多个资源帐户进行更新，或者不更新任何资源帐户。

6. 再次单击“保存”完成编辑，或者单击“返回编辑”进行进一步更改。

   图 3–2 编辑用户（更新资源帐户）

   
   

将用户重新分配给其他组织

通过执行移动操作，您可以从某个组织中删除一个或多个用户，然后将其重新分配或移动到新组织中。

移动用户

1. 在管理员界面中，单击菜单中的“帐户”。

   将打开“用户列表”页。

2. 选中要移动的用户旁边的框。

3. 在“用户操作”下拉菜单中，选择“移动”。

   将打开“更改用户组织”任务页。

4. 选择要将用户重新分配到的组织，然后单击“启动”。

重命名用户

重命名资源上的帐户通常是个复杂的操作。因此，Identity Manager 提供一个单独的功能来重命名用户的 Identity Manager 帐户，或重命名与该用户相关的一个或多个资源帐户。

要使用重命名功能，请在列表中选择用户帐户，然后在 "User Actions" 列表中选择 "Rename" 选项。

使用“重命名用户”页可更改用户帐户名、相关资源帐户名和与用户的 Identity Manager 帐户相关的资源帐户属性。

某些资源类型不支持帐户重命名功能。

如下图所示，此用户拥有已分配的 Active Directory 资源。

在重命名过程中，您可以更改：

• Identity Manager 用户帐户名称

• Active Directory 资源帐户名

• Active Directory 资源属性（全称）

  

更新与帐户关联的资源

在更新操作中，Identity Manager 更新与用户帐户相关的资源。从帐户区域执行的更新操作会将先前对用户进行的任何暂挂更改发送到选定的资源。

可能出现这种情况的条件是：

• 进行更新时资源不可用。

• 需要将对角色或资源组进行的更改发送到分配给该角色或资源组的所有用户。在这种情况下，您应使用 "Find User" 页搜索用户，然后选择一个或多个要对其执行更新操作的用户。

更新用户帐户时，有以下选项可供选择：

• 选择已分配的资源帐户是否接收更新的信息。

• 更新所有资源帐户或者从列表中单独选择帐户。

更新单个用户帐户上的资源

要更新用户帐户，请在列表中选择此帐户，然后在 "User Actions" 列表中选择 "Update"。

在 "Update Resource Accounts" 页中，选择一个或多个要更新的资源帐户，或者选择 "Update All resource accounts" 更新所有已分配的资源帐户。完成选择后，单击“确定”开始更新过程。或者，单击“后台保存”在后台执行操作。

使用确认页确认将数据发送到每个资源。

图 3–3 展示了“更新资源帐户”页。

图 3–3 更新资源帐户

更新多个用户帐户上的资源

可以同时更新两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户，然后在 "User Actions" 列表中选择 "Update"。

如果选择更新多个用户帐户，则无法从每个用户帐户单独选择已分配的资源帐户。此过程会更新所有选定用户帐户上的所有资源。

删除 Identity Manager 用户帐户

在 Identity Manager 中，将按照与删除远程资源帐户相同的方式删除 Identity Manager 用户帐户。请按照删除资源帐户的步骤进行操作，但要选择删除 Identity Manager 帐户，而不是选择远程资源帐户。

如果用户具有未完成的工作项目，或者用户将未完成的工作项目委托给另一个用户，Identity Manager 将禁止删除该用户的 Identity Manager 帐户。需要先解决委托的工作项目或将其转发给另一个用户，然后才能删除用户的 Identity Manager 帐户。

有关详细信息，请参见从单个用户帐户中删除资源和从多个用户帐户中删除资源。

从用户帐户中删除资源

Identity Manager 提供了一些删除操作，可用于从资源中删除 Identity Manager 用户帐户访问权限：

• 删除。对于每个选定的资源，Identity Manager 将删除远程资源上的用户帐户。（要从 Identity Manager 中删除用户，请选择 Identity Manager 作为资源。）

  • 已删除的资源帐户将从 Identity Manager 用户中自动解除链接。

  • 删除的资源帐户不会从用户中取消分配。除非还选择了取消分配操作，否则，仍会将资源分配给用户。

• 取消分配。对于每个选定的资源，Identity Manager 将从用户的已分配资源列表中删除该资源。

  • 已取消分配的资源帐户将从 Identity Manager 用户中自动解除链接。

  • 不会删除远程资源上的用户帐户。除非还选择了删除操作，否则，该帐户将保持不变。

• 解除链接。对于每个选定的资源，将从 Identity Manager 中删除用户的资源帐户信息。

  • 除非还选择了删除操作，否则，远程资源上的用户帐户将保持不变。

  • 除非还选择了取消分配操作，否则，用户的已分配资源列表上的资源将保持不变。

  • 如果取消通过角色或资源组间接分配给用户的帐户的链接，则该链接会在更新用户时恢复。

虽然取消置备作为用户操作显示在“用户列表”页菜单上，但 Identity Manager 中实际只有三个删除操作：删除、取消分配和解除链接。

要取消置备远程资源，请对该资源执行删除和取消分配操作。

从单个用户帐户中删除资源

可以使用以下过程，对单个 Identity Manager 用户执行删除操作。通过每次处理一个用户帐户，您可以为各个资源帐户指定不同的删除、取消分配和/或解除链接操作。

为单个用户帐户启动删除、取消分配或解除链接操作

1. 在管理员界面中，单击主菜单中的“帐户”。

   将在“列出帐户”选项卡中显示“用户列表”页。

2. 选择一个用户，然后单击“用户操作”下拉菜单。

3. 从列表中选择任何删除操作（删除、取消置备、取消分配或解除链接）。

   Identity Manager 将显示“删除资源帐户”页（图 3–4）。

4. 填写表单。有关删除、取消分配和解除链接操作的详细信息，请参见从用户帐户中删除资源。

5. 单击“确定”。

   图 3–4 显示了“删除资源帐户”页。在该屏幕捕获中，用户 jrenfro 在远程资源（模拟资源）上具有一个活动帐户。选择了删除操作，这意味着，在提交表单时，将删除该资源上的 jrenfro 帐户。由于已删除的帐户将自动解除链接，因此，将从 Identity Manager 中删除该资源的帐户信息。由于未选择取消分配操作，因此，仍会将模拟资源分配给 jrenfro。

   要删除 jrenfro 的 Identity Manager 帐户，应为 Identity Manager 选择删除操作。

   图 3–4 “删除资源帐户”页

   
   

从多个用户帐户中删除资源

您可以一次对多个 Identity Manager 用户帐户执行删除操作，但只能对用户的所有资源帐户执行选定的删除操作。

还可以使用 Identity Manager 的批量帐户操作功能执行删除操作。请参见Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令。

为多个用户启动删除、取消分配或解除链接操作

1. 在管理员界面中，单击主菜单中的“帐户”。

   将在“列出帐户”选项卡中显示“用户列表”页。

2. 选择一个或多个用户，然后单击“用户操作”下拉菜单。

3. 从列表中选择任何删除操作（删除、取消置备、取消分配或解除链接）。

   Identity Manager 将显示“确认删除、取消分配或解除链接”页（图 3–5）。

4. 指定要执行的操作。

   这些选项包括：

   • 仅删除用户。删除用户的 Identity Manager 帐户。此选项不会删除或取消分配用户的资源帐户。

   • 删除用户和资源帐户。删除用户的 Identity Manager 帐户以及用户的所有资源帐户。

   • 仅删除资源帐户。删除用户的所有资源帐户。此选项既不会取消分配资源帐户，也不会删除用户的 Identity Manager 帐户。

   • 删除资源帐户并为用户取消分配直接分配的资源。删除并取消分配用户的所有资源帐户，但不删除用户的 Identity Manager 帐户。

   • 为用户取消分配直接分配的资源帐户。取消分配直接分配的资源帐户。此选项不会删除远程资源上的用户帐户；不会影响通过角色或资源组分配的资源帐户。

   • 解除资源帐户与用户的链接。将用户的资源帐户信息从 Identity Manager 中删除。不会删除或取消分配远程资源上的用户帐户。在更新用户时，可以恢复通过角色或资源组间接分配给用户的帐户。

5. 单击“确定”。

   图 3–5 显示了“确认删除、取消分配或解除链接”页。页面顶部显示了六个可以为多个用户执行的操作。页面底部将显示受选定操作影响的用户。

   图 3–5 “确认删除、取消分配或解除链接”页

   
   

更改用户密码

所有 Identity Manager 用户都被分配了一个密码。设置 Identity Manager 用户密码后，该密码将用于同步用户的资源帐户密码。如果不能同步一个或多个资源帐户密码（例如，为了遵守必需的密码策略），则可单独进行设置。

有关帐户密码策略的信息以及有关用户验证的一般信息，请参见管理帐户安全和权限。

从“用户列表”页中更改密码

可以使用“用户列表”（“帐户”->“列出帐户”）页中的“更改密码”用户操作，从“用户列表”页中更改用户帐户密码。请按照以下步骤操作：

1. 在管理员界面中，单击主菜单中的“帐户”。

   将在“列出帐户”选项卡中显示“用户列表”页。

2. 选择一个用户，然后单击“用户操作”下拉菜单。

3. 要更改密码，请选择“更改密码”。

   将打开“更改用户密码”页。

4. 键入新密码，然后单击“更改密码”按钮。

从主菜单中更改密码

要从主菜单中更改用户帐户密码，请执行以下步骤：

1. 在管理员界面中，单击主菜单中的“密码”。

   默认情况下，将显示“更改用户密码”页。

   图 3–6 更改用户密码

   
   

2. 选择搜索项目（例如帐户名称、电子邮件地址、姓或名），然后选择搜索类型（开头为、包含或是）。

3. 在输入字段中键入搜索项目的一个或多个字母，然后单击“查找”。Identity Manager 将返回 ID 中包含输入的字符的所有用户的列表。单击以选择某个用户并返回到 "Change User Password" 页。

4. 输入并确认新的密码信息，然后单击“更改密码”以更改所列资源帐户的用户密码。Identity Manager 将显示工作流程图，该图显示了执行密码更改操作的顺序。

重设用户密码

重设 Identity Manager 用户帐户密码的过程与更改过程类似。重设过程与密码更改过程的不同之处为重设过程不需要您指定新密码。而是由 Identity Manager 为用户帐户、资源帐户或这些帐户的组合随机生成新密码（根据您的选择和密码策略）。

分配给用户的策略（无论是直接分配还是通过用户的组织分配）控制多个重设选项，其中包括：

• 禁用重设前允许的密码重设频率

• 新密码的显示或发送位置

  根据为角色选择的“重设通知选项”，Identity Manager 以电子邮件方式将新密码发送给相应用户，或（在“结果”页中）将新密码显示给请求重设密码的 Identity Manager 管理员。

从“用户列表”页中重设密码

“用户列表”页（“帐户”>“列出帐户”）中提供了“重设密码”用户操作。

要从“用户列表”页中重设密码，请执行以下步骤：

1. 在管理员界面中，单击主菜单中的“帐户”。将在“列出帐户”选项卡中显示“用户列表”页。

2. 选择一个用户，然后单击“用户操作”下拉菜单。

3. 要重设密码，请选择“重设密码”。

   将打开“重设用户密码”页。

4. 单击“重设密码”按钮。

使用 Identity Manager 帐户策略使密码到期

默认情况下，重设用户密码时，它便会立即到期。因此，用户在重设密码后首次登录时，必须选择新密码才能进行访问。可以编辑“重设用户密码”表单覆盖此默认值，以使用户密码的到期日期取决于与该用户关联的 Identity Manager 帐户策略中设置的密码到期策略。

可以使用以下过程覆盖默认密码更改要求：

1. 编辑“重设用户密码”表单，并将以下值设置为 false。

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. 使用 Identity Manager 帐户策略中的“重设选项”指定密码的到期时间。

   这些设置包括：

   • 永久。重设密码时，Identity Manager 使用在 passwordExpiry 策略属性中指定的时间段计算当前日期的相对日期，然后将此日期设置为用户的密码到期日期。如果没有指定值，则更改或重设的密码将永不到期。

   • 临时。重设密码时，Identity Manager 使用在 tempPasswordExpiry 策略属性中指定的时间段计算当前日期的相对日期，然后将此日期设置为用户的密码到期日期。如果没有指定值，则更改或重设的密码将永不到期。如果将 tempPasswordExpiry 的值设置为 0，则密码立即到期。

     tempPasswordExpiry 属性仅适用于重设密码（随机更改）的情况。它不适用于密码更改。

禁用、启用和解除锁定用户帐户

本节介绍了如何禁用和启用 Identity Manager 用户帐户。还介绍了如何帮助已锁定 Identity Manager 帐户的用户解除锁定。

禁用用户帐户

在禁用用户帐户时，将会更改该帐户，以使用户无法再登录到 Identity Manager 或为其分配的资源帐户。

请注意，管理员可以从管理员界面中禁用用户帐户，但无法锁定用户帐户。仅当用户超过了 Identity Manager 帐户策略定义的允许的失败登录尝试次数时，才会将帐户锁定。

如果分配的资源没有为帐户禁用提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。

可以使用以下步骤确保此功能正常工作：

1. 在编辑资源向导中打开“Identity System 参数”页。（有关如何打开该向导的说明，请参见管理资源。）

2. 在“帐户功能配置”表中，确保“密码”功能和“禁用”功能的“是否禁用？”列中没有复选标记。（要显示“禁用”功能，请选择“显示全部功能”。）

   如果“禁用”功能的“是否禁用？”列中带有复选标记，则无法禁用资源中的帐户。

禁用单个用户帐户

要禁用用户帐户，请在“用户列表”中选择该帐户，然后从“用户操作”下拉菜单中选择“禁用”。

在显示的“禁用”页中，选择要禁用的资源帐户，然后单击“确定”。Identity Manager 将显示禁用 Identity Manager 用户帐户以及所有关联资源帐户的结果。此帐户列表指示用户帐户已禁用。

禁用多个用户帐户

可以同时禁用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户，然后从“用户操作”列表中选择“禁用”。

如果选择禁用多个用户帐户，则无法从每个用户帐户单独选择已分配的资源帐户。此过程会禁用所有选定用户帐户上的所有资源。

通过密码重设启用资源上的用户帐户

用户帐户的启用过程与禁用过程相反。

根据选定的通知选项，Identity Manager 还会在管理员的结果页中显示密码。

然后用户可以重设自己的密码（通过验证进程），具有管理员权限的用户也可以重设该密码。

如果分配的资源没有为帐户启用提供本机支持，但支持密码更改，则可以将 Identity Manager 配置为通过密码重设启用该资源上的用户帐户。

要确保此功能正常工作，请执行以下操作：

1. 在编辑资源向导中打开“Identity System 参数”页。（有关如何打开该向导的说明，请参见管理资源。）

2. 在“帐户功能配置”表中，确保“密码”功能和“启用”功能的“是否禁用？”列中没有复选标记。（要显示“启用”功能，请选择“显示全部功能”。）

   如果“启用”功能的“是否禁用？”列中带有复选标记，则无法启用资源中的帐户。

启用单个用户帐户

要启用用户帐户，请在列表中选择此帐户，然后在 "User Actions" 列表中选择 "Enable"。

在显示的“启用”页中，选择要启用的资源，然后单击“确定”。Identity Manager 将显示启用 Identity Manager 帐户以及所有关联资源帐户的结果。

启用多个用户帐户

可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户，然后在 "User Actions" 列表中选择 "Enable"。

如果选择启用多个用户帐户，则无法从每个用户帐户单独选择已分配的资源帐户。此过程会启用所有选定用户帐户上的所有资源。

解除锁定用户帐户

如果用户无法登录到 Identity Manager，则将被锁定。要将用户锁定，用户必须超过 Identity Manager 帐户策略定义的允许的失败登录尝试次数。

在 Identity Manager 锁定次数中，仅计算 Identity Manager 用户界面上的登录尝试次数（即，管理员界面、最终用户界面、命令行界面或 SPML API 界面）。不会计入资源帐户上的登录失败尝试，这些尝试不会导致用户锁定其 Identity Manager 帐户。

Identity Manager 帐户策略可设定所允许的密码或提问式登录失败尝试的最大次数。

• 如果用户超过了密码登录失败尝试的最大次数，则系统会在所有 Identity Manager 应用程序界面中将其锁定，其中包括“忘记密码”界面。

• 如果用户超过了提问式登录失败尝试的最大次数，仍可以在任何 Identity Manager 应用程序界面中进行验证，但“忘记密码”界面除外。

密码登录尝试失败

如果用户由于失败的密码登录尝试次数过多而在 Identity Manager 中锁定，则在管理员解除锁定该帐户或者锁定到期之前，用户将无法进行登录。

• 如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能，则可以解除锁定帐户。

• 如果在 Identity Manager 帐户策略中设置了锁定超时值，则对帐户的锁定最终会到期。密码登录失败尝试的锁定超时值是“由失败的密码登录创建的帐户锁定到期时间”值设置的。

提问式登录尝试失败

如果用户由于失败的提问式登录尝试次数过多而在“忘记密码”界面中锁定，则在管理员解除锁定该帐户，锁定的用户（或具有相同权能的用户）更改或重设其密码或者锁定到期之前，用户将无法登录到该界面。

• 如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能，则可以解除锁定帐户。

• 如果在 Identity Manager 帐户策略中设置了锁定超时值，则对帐户的锁定最终会到期。提问式登录失败尝试的锁定超时值是“由失败的提问式登录创建的帐户锁定到期时间”值设置的。

具有相应权能的管理员可以对处于锁定状态的用户执行以下操作：

• 更新（包括资源重新置备）

• 更改或重设密码

• 禁用或启用

• 重命名

• 解除锁定

要解除锁定帐户，请在列表中选择一个或多个用户帐户，然后在“用户操作”或“组织操作”列表中选择“解除锁定用户”。

批量帐户操作

可以对 Identity Manager 帐户执行若干批量操作，这样您便可以同时对多个帐户进行操作。

可以启动以下批量操作：

• 删除。删除、取消分配选定的资源帐户和解除这些帐户的链接。选择“以 Identity Manager 帐户为目标”选项还会删除每个用户的 Identity Manager 帐户。

• 删除和解除链接。删除任意选定的资源帐户并解除这些帐户与用户的链接。

• 禁用。禁用任意选定的资源帐户。选择“以 Identity Manager 帐户为目标”选项还会禁用每个用户的 Identity Manager 帐户。

• 启用。启用任意选定的资源帐户。选择“以 Identity Manager 帐户为目标”选项将启用每个用户的 Identity Manager 帐户。

• 取消分配，解除链接。解除任意选定的资源帐户的链接，并删除为这些资源分配的 Identity Manager 用户帐户。取消分配并不从资源删除帐户。不能取消分配已通过角色或资源组间接分配给 Identity Manager 用户的帐户。

• 解除链接。删除资源帐户与 Identity Manager 用户帐户的关联（链接）。取消链接并不从资源中删除帐户。如果将通过角色或资源组间接分配给 Identity Manager 用户的帐户取消链接，则该链接会在更新用户时恢复。

如果在文件或应用程序（如电子邮件客户机或电子表格程序）中有一个用户列表，则批量操作将发挥最佳功能。可将上述列表复制并粘贴到此界面页的一个字段中，也可从文件加载这个用户列表。

这些操作中的许多操作都可对某个用户搜索的结果执行。可以使用“查找用户”页（“帐户”->“查找用户”）来搜索用户。

当任务完成后显示任务结果时，可通过单击“下载 CSV”将批量帐户操作的结果保存为 CSV 文件。

启动批量帐户操作

启动批量帐户操作

1. 在管理员界面中，单击主菜单中的“帐户”。

2. 单击次级菜单中的“启动批量操作”。

3. 填写表单，然后单击“启动”。

   Identity Manager 将启动后台任务以执行批量操作。

   要监视批量操作任务的状态，请单击主菜单中的“服务器任务”，然后单击“所有任务”。

使用操作列表

可使用逗号分隔值 (CSV) 格式指定批量操作列表。这样您便可在单个操作列表中混合各种不同的操作类型。此外，可指定更复杂的创建和更新操作。

CSV 格式由两个或多个输入行组成。每一行由逗号分隔的值列表组成。第一行包含字段名称。其余的每一行都对应于要对 Identity Manager 用户和/或该用户的资源帐户执行的操作。每一行都应包含相同个数的值。空值将保持相应字段值不变。

任何批量操作 CSV 输入中都必需有这两个字段：

• user。包含 Identity Manager 用户的名称。

• command。包含对 Identity Manager 用户执行的操作。有效命令有：

  • Delete。对资源帐户和/或 Identity Manager 帐户执行删除、取消分配和解除链接操作。

  • DeleteAndUnlink。删除资源帐户并将其解除链接。

  • Disable。禁用资源帐户和/或 Identity Manager 帐户。

  • Enable。启用资源帐户和/或 Identity Manager 帐户。

  • Unassign。取消分配资源帐户并解除其链接。

  • Unlink。将资源帐户解除链接。

  • Create。创建 Identity Manager 帐户。（可选）创建资源帐户。

  • Update。更新 Identity Manager 帐户。（可选）创建、更新或删除资源帐户。

  • CreateOrUpdate。如果 Identity Manager 帐户尚不存在，则执行创建操作。否则执行更新操作。

Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令

如果您要执行 Delete、DeleteAndUnlink、Disable、Enable、Unassign 或 Unlink 操作，则需要指定的唯一附加字段是 resources。使用 resources 字段指定哪些资源上的哪些帐户将受到影响。

“资源”字段可能具有以下值：

• all。处理所有资源帐户，其中包括 Identity Manager 帐户。

• resonly。处理除 Identity Manager 帐户之外的所有资源帐户。

• resource_name [ | resource_name ... ]. 处理指定的资源帐户。指定 Identity Manager 以处理 Identity Manager 帐户。

下面是这些操作中几个操作的 CSV 格式的示例：

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Create、Update 和 CreateOrUpdate 命令

如果您要执行 Create、Update 或 CreateOrUpdate 命令，则除了 user 和 command 字段之外，还可指定“用户视图”中的字段。使用的字段名称是视图中属性的路径表达式。有关“用户视图”中提供的属性的信息，请参见《Sun Identity Manager Deployment Reference》中的“User View Attributes”。如果您正使用自定义“用户表单”，则该表单中的字段名称包含您可使用的一些路径表达式。

在批量操作中使用的一些较常见的路径表达式有：

• waveset.roles。要分配给 Identity Manager 帐户的一个或多个角色名称的列表。

• waveset.resources。要分配给 Identity Manager 帐户的一个或多个资源名称的列表。

• waveset.applications。要分配给 Identity Manager 帐户的一个或多个角色名称的列表。

• waveset.organization。用来放置 Identity Manager 帐户的组织的名称。

• accounts[ resource_name].attribute_name。资源帐户属性。属性的名称在资源的模式中列出。

以下示例展示了创建和更新操作的 CSV 格式：

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

通过使用 CreateOrUpdate 命令，您可以在支持多种帐户类型的资源上指定特定的帐户类型。因此，如果某个用户在特定资源上拥有多个帐户，并且每个帐户的帐户类型各不相同，则可按照以下示例进行操作，该示例显示了如何更新 userAye 用户的管理员帐户类型：

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

尽管可使用 CreateOrUpdate 命令为用户的各个帐户设置特定于帐户的属性，但请注意，用户视图全局部分中的以下值将会应用于所有指定的帐户：

• accountId

• email

• password

• disable

• 所有扩展属性

因此，以下形式的 BulkOps 命令可能不会执行预期的操作。

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

如果 userAye 已具有一个 email 值，则会将该值应用于 Sim1 资源上的 email 属性。没有任何方法可以改变此行为。

有多个值的字段

某些字段可以有多个值。这些字段称为多值字段。例如，waveset.resources 字段可用于为一个用户分配多个资源。可以使用竖线 (|) 字符（也称为“管道”字符）分隔字段中的多个值。可以按如下方法指定多值的语法：

value0 | value1 [ | value2 ... ]

更新现有用户的多值字段时，您可能并不希望使用一个或多个新值替换当前字段值。您可能要删除一些值或添加一些值至当前值。可以使用字段指令指定如何处理现有字段的值。字段指令在字段值之前，并且由竖线字符包围，如下所示：

|directive [ ; directive ] | field values

您可选择下列指令：

• Replace。用指定值替换当前值。如果没有指定指令（或只指定 List 指令），则此指令为默认指令。

• Merge。将指定值添加到当前值中。重复的值将被过滤掉。

• Remove。从当前值中删除指定值。

• List。即使字段只有一个值，也强制按照有多个值的方式处理它的值。因为对多数字段而言，无论有多少个字段值，都能正确处理这些值，因此该指令并不常用。此指令是唯一可用另一个指令指定的指令。

字段值区分大小写。指定 Merge 和 Remove 指令时，这一点很重要。进行合并时，值必须完全匹配才能正确将其删除或避免有多个相似的值。

字段值中的特殊字符

如果字段值中包含逗号 (,) 或双引号 (") 字符，或者要保留前导或结尾空格，则必须将字段值用一对双引号引起来 ("field_value")。这样就需要将字段值中的双引号替换为两个双引号 (") 字符。例如，"John ""Johnny"" Smith" 的字段值为 John "Johnny" Smith。

如果字段值中包含竖线 (|) 或反斜杠 (\) 字符，则必须前置一个反斜杠（\| 或 \\）。

批量操作视图属性

执行 Create、Update 或 CreateOrUpdate 操作时，"User View" 中有一些只在批量操作处理过程中使用或可用的附加属性。可在“用户表单”中引用这些属性，以提供批量操作的特定性能。

这些属性如下所列：

• waveset.bulk.fields.field_name 属性；这些属性包含从 CSV 输入中读入的字段值，其中 field_name 是字段名称。例如，command 和 user 字段分别在带有路径表达式 waveset.bulk.fields.command 和 waveset.bulk.fields.user 的属性中。

• waveset.bulk.fieldDirectives.field_name 属性；只对那些指定了指令的字段定义这些属性。值为指令字符串。

• waveset.bulk.abort 布尔型属性；将该属性设置为 true 可中止当前操作。

• waveset.bulk.abortMessage 属性；将该属性设置为消息字符串，当 waveset.bulk.abort 设置为 true 时，将显示该消息字符串。如果未设置此属性，将显示一条普通中止消息。

关联和确认规则

当没有可用的 Identity Manager 用户名放在操作的 user 字段时，请使用关联和确认规则。如果没有为用户字段指定值，则必须在启动批量操作时指定关联规则。如果确实为用户字段指定了值，则不会针对该操作评估关联和确认规则。

关联规则查找匹配操作字段的 Identity Manager 用户。确认规则根据操作字段测试 Identity Manager 用户，以确定用户是否匹配。此两阶段式方法允许 Identity Manager 通过快速查找可能的用户（基于名称或属性）并仅针对可能的用户执行繁琐的检查，以优化关联过程。

分别创建子类型为 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 的规则对象，以创建关联或确认规则。

有关关联规则和确认规则的详细信息，请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”。

关联规则

为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一：

• 字符串（包含用户名或用户 ID）

• 字符串元素列表（每个元素为用户名或用户 ID）

• WSAttribute 元素列表

• AttributeCondition 元素列表

常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件（参考 Type.USER 的可查询属性）的列表。

关联规则的处理过程应相对简便，但应尽可能缩小范围。如有可能，将繁琐的处理过程转给确认规则。

属性条件必须参考 Type.USER 的可查询属性。这些属性是在名为 IDM 模式配置的 Identity Manager 配置对象中配置的。

关联扩展属性需要特殊配置：

必须将扩展属性指定为可查询属性。

将扩展属性设置为可查询属性

1. 打开 IDM 模式配置。您必须具有 IDM 模式配置权能才能查看或编辑 IDM 模式配置。

2. 找到 <IDMObjectClassConfiguration name=’User’> 元素。

3. 找到 <IDMObjectClassAttributeConfiguration name=’ xyz ’> 元素，其中 xyz 是要设置为可查询属性的属性名称。

4. 设置 queryable=’true’

   在关联规则中，将 email 扩展属性定义为可查询属性。

示例 3–1 将 Email 扩展属性定义为可查询属性的 XML 代码摘录

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

您必须重新启动 Identity Manager 应用程序（或应用服务器）以使 IDM 模式配置更改生效。

确认规则

任意确认规则的输入如下：

• 使用 userview 以获取 Identity Manager 用户的完整视图。

• 使用 account 以获取操作字段的映射。

如果用户与操作字段匹配，则确认规则会返回字符串形式的布尔值 true；否则，它会返回值 false。

典型的确认规则会将用户视图的内部值与操作字段的值比较。作为关联进程的可选第二阶段，确认规则执行不能在关联规则中表达的检查（或关联规则中因太昂贵而不能评估的检查）。

总之，只有在下列情况下才需要确认规则：

• 关联规则可能返回多个匹配用户。

• 必须比较的用户值不可查询。

为关联规则返回的每个匹配用户运行一次确认规则。

管理帐户安全和权限

本节讨论了您可以执行哪些操作来提供用户帐户的安全访问并管理 Identity Manager 中的用户权限。

• 设置密码策略

• 用户验证

• 分配管理权限

设置密码策略

资源密码策略建立对密码的限制。强大的密码策略可提供增强的安全性，从而有助于保护资源不会遭受未经授权的登录尝试。可以编辑密码策略来设置或选择一定范围的特征值。

要开始使用密码策略，请单击主菜单中的“安全性”，然后单击“策略”。

要编辑密码策略，请在“策略”列表中单击该策略。要创建密码策略，请在 "New" 选项列表中选择 "String Quality Policy"。

有关策略的详细信息，请参见配置 Identity Manager 策略。

创建策略

密码策略是字符串质量策略的默认类型。在命名新策略并提供可选描述后，请为定义新策略的规则选择选项和参数。

长度规则

长度规则设置密码所需字符长度的最小值和最大值。选择此选项以启用规则，然后为规则输入限制值。

策略类型

选择策略类型按钮之一。如果选择“其他”选项，则必须在提供的文本字段中输入该类型。

字符类型规则

字符类型规则确定密码中可以包括的某些类型字符和数字的最少数量和最多数量。

其中包括：

• 字母、数字、大写、小写和特殊字符的最少数量和最多数量

• 嵌入的数字字符的最少数量和最多数量

• 重复字符和顺序字符的最多数量

• 开始字母和数字字符的最少数量

为每个字符类型规则输入一个数字限制值；或者输入 "All" 指示所有字符必须都是该类型字符。

字符类型规则的最小数目

还可以设置必须通过验证的字符类型规则的最小数目，如图 3–7 中所示。必须通过的最小数量是 1。最大数量不能超过您启用的字符类型规则数。

要将必须通过的最小数量设置为最高值，请输入 "All"。

图 3–7 密码策略（字符类型）规则

字典策略选项

可以选择根据字典中的词语检查密码，以防范简单的字典攻击。

在能够使用此选项之前，您必须：

• 配置字典

• 加载字典的词

从 "Policies" 页配置字典。有关如何设置字典的详细信息，请参见什么是字典策略？。

密码历史记录策略

可以禁止再次使用直接在新选密码之前使用的密码。

在 "Number of Previous Passwords that Cannot be Reused" 字段中，输入一个大于 1 的数字，以禁止再次使用当前和先前密码。例如，如果输入数值 3，新密码就不能与当前密码或直接在当前密码之前使用的两个密码相同。

您也可禁止再次使用先前密码中使用过的类似字符。在 "Maximum Number of Similar Characters from Previous Passwords that Cannot be Reused" 字段中，输入不能在新密码中重复使用的一个或多个先前密码中的连续字符数。例如，如果输入了值 7，且先前密码为 password1，则新密码不能为 password2 或 password3。

如果输入了值 0，则无论顺序如何，所有字符都不得相同。例如，如果先前密码为 abcd，则新密码不能包含字符 a、b、c 或 d。

此规则可应用于一个或多个先前密码。检查的先前密码的数量是“不能再次使用的先前密码数”字段中指定的数量。

不得包含词

可输入一个或多个密码不能包含的词。在输入框中，每行输入一个词。

还可以通过配置和实现字典策略排除词。有关详细信息，请参见什么是字典策略？。

不得包含属性

可以输入一个或多个密码不能包含的属性。

您可以指定以下属性：

• accountID

• email

• firstname

• fullname

• lastname

可在 UserUIConfig 配置对象中更改密码“不得包含”属性允许的设置。有关详细信息，请参见策略中不得包含属性。

实现密码策略

密码策略是为每个资源建立的。要将某个密码策略应用于指定资源，请从“密码策略”选项列表中选择它，“密码策略”选项列表位于“创建/编辑资源向导：Identity Manager 参数”页的“策略配置”区域中。

用户验证

如果用户忘记了密码或重设了密码，该用户可通过回答一个或多个帐户验证问题来获得访问 Identity Manager 的权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分，由您来设定。与密码策略不同，Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户（在“创建用户”页和“编辑用户”页中）。

在帐户策略中设置验证

1. 单击主菜单中的“安全性”，然后单击“策略”。

2. 从策略列表中选择“默认 Identity Manager 帐户策略”。

   验证选项位于该页的 "Secondary Authentication Policy Options" 区域中。

   要点！首次设置时，用户应登录到“用户界面”并提供对验证问题的初始答案。如果不设置这些问题，用户必须使用密码才能成功登录。

   验证问题策略决定了用户执行以下操作时所发生的情况：在登录页上单击“忘记密码？”按钮或访问“更改我的回答”页。用户验证介绍了其中的每个选项。

   选项	描述
   所有	要求用户回答所有策略定义的问题以及个性化问题。
   任何	Identity Manager 将显示所有策略定义的问题以及个性化问题。必须指定用户必须回答的问题数量。
   下一步	要求用户在首次登录时回答所有可能的策略定义问题。   如果用户在登录期间单击“忘记密码？”按钮，Identity Manager 将显示第一个问题。如果用户的回答不正确，Identity Manager 将显示下一个问题，直至用户正确回答了验证问题并登录，否则根据指定的失败尝试次数限制将其锁定。此策略不支持用户生成的问题。
   随机	允许管理员指定用户必须回答的问题数。Identity Manager 将从策略中定义的问题以及用户定义的问题列表中随机选择并显示指定数量的问题。用户必须回答所有显示的问题。
   循环	Identity Manager 从配置的问题列表中选择下一个问题，并将此问题分配给用户。为第一个用户分配验证问题列表中的第一个问题，为第二个用户分配第二个问题。此模式会一直持续下去，直至用户数超出问题数。此时，会按顺序依次将问题分配给用户。例如，如果共有 10 个问题，则将为第 11 个和第 21 个用户分配第一个问题。  仅显示选定的问题。如果您希望用户每次回答不同的问题，则需要使用“随机”策略，并将问题数设置为 1。  用户无法定义自己的验证问题。有关此功能的详细信息，请参见个性化验证问题。

   可以检验您的验证选择，方法是：登录到 Identity Manager 用户界面，单击“忘记密码？”按钮，并回答显示的一个或多个问题。

   图 3–8 显示了“用户帐户验证”屏幕的示例。

   图 3–8 User Account Authentication

   
   

个性化验证问题

在 Identity Manager 帐户策略中，您可以选择一个选项，以允许用户在用户界面和管理员界面中提供自己的验证问题。此外，可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。

然后用户可以在 "Change Answers to Authentication Questions" 页添加和更改问题。图 3–9 显示了此页的示例。

图 3–9 更改答案：个性化验证问题

验证后忽略更改密码质询

用户回答一个或多个问题成功通过验证后，默认情况下，系统会要求该用户提供一个新密码。但是，可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性，来配置 Identity Manager 忽略更改密码质询。

有关编辑系统配置对象的说明，请参见编辑 Identity Manager 配置对象。

要在成功验证后忽略所有应用程序的更改密码质询，请在系统配置对象中将 bypassChangePassword 属性设置如下：

示例 3–2 设置属性以忽略更改密码质询

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

要对特定应用程序禁用此密码质询，请将其设置如下：

示例 3–3 设置属性以禁用更改密码质询

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...

分配管理权限

可以将 Identity Manager 管理权限或权能分配给用户，如下所述：

• 管理员角色。分配了管理员角色的用户继承由角色定义的权能和受控组织。默认情况下，所有 Identity Manager 用户帐户在创建后都将分配用户管理员角色。有关管理员角色和创建管理员角色的详细信息，请参见第 5 章中的了解和管理 Identity Manager 资源。

• 权能。权能是由规则定义的。Identity Manager 提供了一系列权能，这些权能按照功能分为几个组，您可以从中进行选择。分配权能可以更为细化地分配管理权限。有关权能和创建权能的信息，请参见第 6 章中的了解和管理权能。

• 受控组织。受控组织授予对指定组织的管理控制权限。有关详细信息，请参见第 6 章中的了解 Identity Manager 组织。

有关 Identity Manager 管理员和管理职责的详细信息，请参见第 6 章。

用户自行搜索

最终用户可以使用 Identity Manager 最终用户界面搜索资源帐户。这意味着拥有 Identity Manager 身份的用户可以与现有的但未关联的资源帐户相关联。

启用自行搜索

要启用自行搜索，必须编辑特殊配置对象（最终用户资源），然后将允许用户在其中搜索帐户的每个资源的名称添加到该对象中。

启用自行搜索

1. 编辑“最终用户资源”配置对象。

   有关编辑 Identity Manager 配置对象的说明，请参见编辑 Identity Manager 配置对象。

2. 添加 <String>Resource </String>，其中 Resource 与系统信息库中的资源对象的名称相匹配，如图 3–10 中所示。

   图 3–10 最终用户资源配置对象

   
   

3. 单击“保存”。

   启用自行搜索后，将在 Identity Manager 用户界面的“配置文件”菜单选项卡下向用户显示一个新的选择区域（自行搜索）。用户可以使用该区域从可用列表中选择资源，然后输入资源帐户 ID 和密码，将此帐户与其 Identity Manager 身份链接。

   ---

   注 –

   要为最终用户授予 Identity Manager 配置对象的访问权限，管理员还可以使用“最终用户”组织。有关详细信息，请参见最终用户组织。

   ---

匿名注册

匿名注册功能允许无 Identity Manager 帐户的用户通过请求获得此帐户。

启用匿名注册

默认情况下将禁用匿名注册功能。

启用匿名注册功能

1. 在管理员界面中，单击“配置”，然后单击“用户界面”。

2. 在“匿名注册”区域中选择“启用”选项，然后单击“保存”。

   当用户登录到用户界面时，登录页将显示“初次登录的用户？”文本，然后显示“请求帐户”链接。

   ---

   注 –

   可以对“初次登录的用户？请求帐户”文本进行自定义。有关详细信息，请参见《Sun Identity Manager Deployment Guide》。

   ---

   图 3–11 启用了“请求帐户”链接的用户界面页

   
   

配置匿名注册

在“用户界面”页的“匿名注册”区域中，可以为匿名注册过程配置以下选项：

• 通知模板。指定电子邮件模板的 ID，此模板用于将通知发送给请求帐户的用户。

• 要求隐私政策。如果选择了该选项，则用户必须接受隐私政策，然后才能请求帐户。默认情况下将启用此选项。

• 启用验证。如果选择了该选项，则用户必须验证其人事任用情况，然后才能请求帐户。默认情况下将启用此选项。

• 进程启动 URL。输入 URL 以指定用于匿名注册进程的工作流。

• 启用通知。如果选择了该选项，则会在创建用户的帐户后将通知电子邮件发送给用户。

• 电子邮件域。输入用于构建用户电子邮件地址的电子邮件域的名称。

完成后请单击“保存”。

用户注册过程

当用户登录到用户界面时，可通过单击登录页上的“请求帐户”来请求帐户。

Identity Manager 将显示第一个注册页面（共两页），该页面要求提供姓名和雇员 ID。如果将“启用验证”属性设置为 yes（默认值），则必须先验证此信息，用户才能进入下一页。

EndUserLibrary 中的 verifyFirstname、verifyLastname、verifyEmployeeId 和 verifyEligibility 规则可验证每个属性的信息。

您可能需要修改上述一个或多个规则。尤其是，您应该修改验证雇员 ID 的规则，以使用 Web 服务调用或 Java 类验证此信息。

如果禁用“启用验证”属性，则不会显示初始注册页面。在这种情况下，您必须修改“最终用户匿名注册完成”表单，以允许用户输入通常被初始验证表单捕获的信息。

使用注册页面上提供的信息，Identity Manager 可以生成以下内容：

• 帐户 ID（遵循名字首大写字母、姓氏首大写字母和雇员 ID 的约定）。

• 使用以下格式的电子邮件地址：

  FirstName. LastName@EmailDomain

  其中 EmailDomain 是由匿名注册配置中的“电子邮件域”属性所设置的域。

• 管理员属性 (idmManager)。可以通过修改 EndUserRuleLibrary:getIdmManager 规则设置此属性。默认情况下将管理员设置为配置器。指定为管理员的管理者必须先批准用户请求，然后才能置备其帐户。

• 组织属性。可以通过自定义 EndUserRuleLibrary:getOrganization 规则设置此属性。默认情况下，会将用户分配到组织分层结构的顶层 ("Top")。

如果用户在注册页面上所提供的信息经验证是正确的，Identity Manager 将向用户显示第二个注册页面。用户必须在此处输入密码和密码确认。如果将“需要隐私策略”属性设置为 yes，用户还必须选择相应选项以接受隐私策略的条款。

当用户单击“注册”时，Identity Manager 将显示确认页面。如果将“启用通知”属性设置为 yes，则页面会指出用户将在创建帐户后收到电子邮件通知。

标准的创建用户过程（包括 idmManager 属性和策略设置所需的批准）完成之后，将创建帐户。