创建用户和使用用户帐户
从管理员界面的“帐户/用户列表”页中,您可以对以下系统对象执行一系列操作:
-
管理员和用户。查看、创建、编辑、移动、重命名、取消置备、启用、禁用、更新、解除锁定、删除、取消分配、解除链接以及审计。
有关创建和编辑管理员帐户的详细信息,请参见了解 Identity Manager 管理。
-
组织。在组织的成员上创建、编辑、刷新和执行用户操作。
有关组织的详细信息,请参见了解 Identity Manager 组织。
-
目录连接。创建与分层相关的一组组织以镜像目录资源的实际层级容器集合。
有关目录连接的详细信息,请参见了解目录连接和虚拟组织。
启用进程图
进程图描绘了 Identity Manager 在创建用户帐户或对其进行处理时遵循的工作流。如果启用进程图,它将显示在 Identity Manager 完成任务时创建的结果页或任务摘要页上。
在 Identity Manager 8.0 版中,为新安装和升级安装禁用了进程图。
在 Identity Manager 中启用进程图
-
按照编辑 Identity Manager 配置对象中的步骤,打开系统配置对象以进行编辑。
-
找到以下 XML 元素:
<Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>
-
将 true 值更改为 false。
-
单击“保存”。
-
重新启动服务器以使更改生效。
也可以在最终用户界面中启用进程图,但前提是必须先按照上述步骤在管理员界面中将其启用。有关详细信息,请参见在最终用户界面中启用进程图。
在 Identity Manager 中创建用户
可以通过管理员界面菜单栏中的“帐户”选项卡创建和管理用户。
-
在管理员界面中,单击“帐户”。
-
要在特定组织中创建用户,请选择该组织,然后从“新建操作”列表中选择“新建用户”。
或者,要在 Top 组织中创建用户帐户,请从“新建操作”列表中选择“新建用户”。
-
在以下选项卡或部分中填写信息。
-
身份。名称、组织、密码和其他详细信息。(请参见“身份”选项卡。)
-
资源。各个资源和资源组分配以及资源排除。(请参见“资源”选项卡。)
-
安全性。管理员角色、受控组织和权能。以及用户表单设置和帐户策略。(请参见“安全性”选项卡。)
-
委托。工作项目委托。(请参见“委托”选项卡。)
-
属性。已分配的资源的特定属性。(请参见“属性”选项卡。)
-
遵循性。为用户帐户选择证明和修正表单。在“遵循性”区域中,您还可以为用户帐户指定分配的审计策略,其中包括通过用户的组织分配生效的策略。表示策略扫描、违规和免除的当前状态,并包括用户上次审计策略扫描的相关信息。(请参见“属性”选项卡。)
请注意,一个区域中的可用选项可能取决于在另一个区域中选择的内容。
为了更好地反映业务流程或特定管理员权能,应针对您的环境自定义用户表单。有关自定义用户表单的详细信息,请参见《Sun Identity Manager Deployment Reference》中的“Customizing Forms”。
-
-
完成后,保存该帐户。
可以使用以下两个选项来保存用户帐户:
-
保存。保存用户帐户。如果您将大量资源分配给该帐户,则此过程可能需要一段时间。
-
后台保存。此过程作为后台任务保存用户帐户,这样您可以继续使用 Identity Manager。每次正在进行保存时,都会在“帐户”页、“查找用户结果”页和主页中显示一个任务状态指示器。
状态指示器(如下表所述)可以帮助您监视保存进程的进度。
状态指示器
状态
正在进行保存。
保存过程已暂停。这通常表示该过程正在等待批准。
已顺利完成保存。这并不表示用户已被成功保存;只是表示保存的过程没有任何错误。
尚未开始保存。
已完成保存过程,但是出现一个或多个错误。
将鼠标移至状态指示器中显示的用户图标的上方,便可看到有关后台保存过程的详细信息。
注 –如果已配置生效,则在创建用户时,将会创建一个可从“批准”选项卡中查看的工作项目。如果批准该项目,则会覆盖生效日期并创建帐户。如果拒绝该项目,则会取消帐户创建。有关配置生效的详细信息,请参见配置“生效和失效”选项卡。
-
为用户创建多个资源帐户
Identity Manager 提供了将多个资源帐户分配给单个用户的功能。它通过允许为每种资源定义多种资源帐户类型或帐户类型来实现此目的。应该根据需要创建资源帐户类型,以便与资源上的每种功能帐户类型相匹配。例如,AIX SuperUser 或 AIX BusinessAdmin。
为什么要针对每种资源为每个用户分配多个帐户?
在某些情况下,Identity Manager 用户可能需要在资源上设置多个帐户。用户可能具有多个与资源有关的不同作业功能。例如,用户可能同时是资源的用户和管理员。最好的做法是,建议对每个功能使用不同的帐户。这样,如果一个帐户受到破坏,其他帐户授予的访问权限仍然是安全的。
配置帐户类型
要使资源支持单个用户的多个帐户,必须先在 Identity Manager 中定义资源帐户类型。要为资源定义资源帐户类型,请使用资源向导。有关信息,请参见管理资源列表。
您必须先启用并配置资源帐户类型,然后才能将这些类型分配给用户。
分配帐户类型
在定义了帐户类型后,您可以将它们分配给资源。Identity Manager 将每次分配的帐户类型都视为单独的帐户。因此,每次在角色中的不同分配可能具有不同的属性集。
与每个资源具有单个帐户类似,所有特定类型的分配仅创建一个帐户,而与分配次数无关。
虽然可以将用户分配给资源上的任意数量的不同类型帐户,但只能为每个用户分配资源上的一个给定类型的帐户。该规则的例外情况是内置的“默认”类型。用户可以在资源上具有任意数量的默认类型帐户。不过,建议不要这样做,因为这可能导致在表单和视图中引用帐户时出现不确定性。
查找和查看用户帐户
使用 Identity Manager 查找功能可搜索用户帐户。输入和选择搜索参数以后,Identity Manager 将查找与您的选择匹配的所有帐户。
要搜索帐户,请从菜单栏中选择“帐户”->“查找用户”。可以使用下面的一种或多种搜索类型搜索帐户:
-
帐户详细信息(如用户名、电子邮件地址、姓氏或名字)。这些选项取决于贵机构的具体 Identity Manager 实现。
-
用户的管理员。如果管理员的用户名与 Identity Manager 中的现有帐户不匹配,则该用户名将显示在括号内。
-
资源帐户状态。选项包括:
-
已禁用。用户不能访问任何 Identity Manager 帐户或已分配的资源帐户。
-
部分禁用。用户不能访问一个或多个已分配的资源帐户。
-
已启用。用户拥有对所有已分配的资源帐户的访问权限。
-
-
已分配的资源。选项包括:
-
角色(请参见查找分配给特定角色的用户)
-
组织
-
组织控制权限
-
权能
-
管理员角色
-
-
用户帐户状态。选项包括:
-
已锁定。因为密码或提问式登录尝试失败的最大次数超过允许的最大次数,用户帐户被锁定。
-
尚未锁定。未限制用户帐户访问。
-
-
更新状态。选项包括:
-
否。尚未在任何资源中更新的用户帐户。
-
部分。已在至少一个(但不是所有)已分配资源中更新的用户帐户。
-
全部。已在所有已分配资源中更新的用户帐户。
-
搜索结果列表显示与您的搜索条件相匹配的所有帐户。
在结果页中,您可以:
-
选择要编辑的用户帐户。要编辑帐户,请在搜索结果列表中单击此帐户;或在列表中选择此帐户,然后单击“编辑”。
-
对一个或多个帐户执行操作(例如启用、禁用、解除锁定、删除、更新或更改/重设密码)。要执行操作,请在搜索结果列表中选择一个或多个帐户,然后单击相应的操作。
-
创建用户帐户。
编辑用户
本节中的信息介绍了如何查看、编辑、重新分配以及重命名用户帐户。
查看用户帐户
可以使用“查看用户”页并执行以下步骤来查看帐户信息。
-
在管理员界面中,单击菜单中的“帐户”。
将打开“用户列表”页。
-
选中要查看帐户的用户旁边的框。
-
在“用户操作”下拉菜单中,选择“查看”。
“查看用户”页显示用户身份、分配、安全性、委托、属性和遵循性信息中的一部分信息。“查看用户”页上的信息只能查看,不能进行编辑。
-
单击“取消”返回至“帐户”列表。
编辑用户帐户
可以使用“编辑用户”页并执行以下步骤来编辑帐户信息。
-
在管理员界面中,单击菜单中的“帐户”。
-
选中要编辑帐户的用户旁边的框。
-
在“用户操作”下拉菜单中,选择“编辑”。
-
进行更改并保存。
Identity Manager 将显示“更新资源帐户”页。此页显示分配给用户的资源帐户以及将应用于帐户的更改。
-
选择“更新所有资源帐户”将更改应用于所有分配的资源;或者单独选择与此用户关联的一个或多个资源帐户进行更新,或者不更新任何资源帐户。
-
再次单击“保存”完成编辑,或者单击“返回编辑”进行进一步更改。
图 3–2 编辑用户(更新资源帐户)
将用户重新分配给其他组织
通过执行移动操作,您可以从某个组织中删除一个或多个用户,然后将其重新分配或移动到新组织中。
移动用户
-
在管理员界面中,单击菜单中的“帐户”。
将打开“用户列表”页。
-
选中要移动的用户旁边的框。
-
在“用户操作”下拉菜单中,选择“移动”。
将打开“更改用户组织”任务页。
-
选择要将用户重新分配到的组织,然后单击“启动”。
重命名用户
重命名资源上的帐户通常是个复杂的操作。因此,Identity Manager 提供一个单独的功能来重命名用户的 Identity Manager 帐户,或重命名与该用户相关的一个或多个资源帐户。
要使用重命名功能,请在列表中选择用户帐户,然后在 "User Actions" 列表中选择 "Rename" 选项。
使用“重命名用户”页可更改用户帐户名、相关资源帐户名和与用户的 Identity Manager 帐户相关的资源帐户属性。
注 –
某些资源类型不支持帐户重命名功能。
如下图所示,此用户拥有已分配的 Active Directory 资源。
在重命名过程中,您可以更改:
-
Identity Manager 用户帐户名称
-
Active Directory 资源帐户名
-
Active Directory 资源属性(全称)
更新与帐户关联的资源
在更新操作中,Identity Manager 更新与用户帐户相关的资源。从帐户区域执行的更新操作会将先前对用户进行的任何暂挂更改发送到选定的资源。
可能出现这种情况的条件是:
-
进行更新时资源不可用。
-
需要将对角色或资源组进行的更改发送到分配给该角色或资源组的所有用户。在这种情况下,您应使用 "Find User" 页搜索用户,然后选择一个或多个要对其执行更新操作的用户。
更新用户帐户时,有以下选项可供选择:
-
选择已分配的资源帐户是否接收更新的信息。
-
更新所有资源帐户或者从列表中单独选择帐户。
更新单个用户帐户上的资源
要更新用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Update"。
在 "Update Resource Accounts" 页中,选择一个或多个要更新的资源帐户,或者选择 "Update All resource accounts" 更新所有已分配的资源帐户。完成选择后,单击“确定”开始更新过程。或者,单击“后台保存”在后台执行操作。
使用确认页确认将数据发送到每个资源。
图 3–3 展示了“更新资源帐户”页。
图 3–3 更新资源帐户
更新多个用户帐户上的资源
可以同时更新两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Update"。
注 –
如果选择更新多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会更新所有选定用户帐户上的所有资源。
删除 Identity Manager 用户帐户
在 Identity Manager 中,将按照与删除远程资源帐户相同的方式删除 Identity Manager 用户帐户。请按照删除资源帐户的步骤进行操作,但要选择删除 Identity Manager 帐户,而不是选择远程资源帐户。
注 –
如果用户具有未完成的工作项目,或者用户将未完成的工作项目委托给另一个用户,Identity Manager 将禁止删除该用户的 Identity Manager 帐户。需要先解决委托的工作项目或将其转发给另一个用户,然后才能删除用户的 Identity Manager 帐户。
有关详细信息,请参见从单个用户帐户中删除资源和从多个用户帐户中删除资源。
从用户帐户中删除资源
Identity Manager 提供了一些删除操作,可用于从资源中删除 Identity Manager 用户帐户访问权限:
-
删除。对于每个选定的资源,Identity Manager 将删除远程资源上的用户帐户。(要从 Identity Manager 中删除用户,请选择 Identity Manager 作为资源。)
-
已删除的资源帐户将从 Identity Manager 用户中自动解除链接。
-
删除的资源帐户不会从用户中取消分配。除非还选择了取消分配操作,否则,仍会将资源分配给用户。
-
-
取消分配。对于每个选定的资源,Identity Manager 将从用户的已分配资源列表中删除该资源。
-
已取消分配的资源帐户将从 Identity Manager 用户中自动解除链接。
-
不会删除远程资源上的用户帐户。除非还选择了删除操作,否则,该帐户将保持不变。
-
-
解除链接。对于每个选定的资源,将从 Identity Manager 中删除用户的资源帐户信息。
-
除非还选择了删除操作,否则,远程资源上的用户帐户将保持不变。
-
除非还选择了取消分配操作,否则,用户的已分配资源列表上的资源将保持不变。
-
如果取消通过角色或资源组间接分配给用户的帐户的链接,则该链接会在更新用户时恢复。
-
虽然取消置备作为用户操作显示在“用户列表”页菜单上,但 Identity Manager 中实际只有三个删除操作:删除、取消分配和解除链接。
要取消置备远程资源,请对该资源执行删除和取消分配操作。
从单个用户帐户中删除资源
可以使用以下过程,对单个 Identity Manager 用户执行删除操作。通过每次处理一个用户帐户,您可以为各个资源帐户指定不同的删除、取消分配和/或解除链接操作。
为单个用户帐户启动删除、取消分配或解除链接操作
-
在管理员界面中,单击主菜单中的“帐户”。
将在“列出帐户”选项卡中显示“用户列表”页。
-
选择一个用户,然后单击“用户操作”下拉菜单。
-
从列表中选择任何删除操作(删除、取消置备、取消分配或解除链接)。
Identity Manager 将显示“删除资源帐户”页(图 3–4)。
-
填写表单。有关删除、取消分配和解除链接操作的详细信息,请参见从用户帐户中删除资源。
-
单击“确定”。
图 3–4 显示了“删除资源帐户”页。在该屏幕捕获中,用户 jrenfro 在远程资源(模拟资源)上具有一个活动帐户。选择了删除操作,这意味着,在提交表单时,将删除该资源上的 jrenfro 帐户。由于已删除的帐户将自动解除链接,因此,将从 Identity Manager 中删除该资源的帐户信息。由于未选择取消分配操作,因此,仍会将模拟资源分配给 jrenfro。
要删除 jrenfro 的 Identity Manager 帐户,应为 Identity Manager 选择删除操作。
图 3–4 “删除资源帐户”页
从多个用户帐户中删除资源
您可以一次对多个 Identity Manager 用户帐户执行删除操作,但只能对用户的所有资源帐户执行选定的删除操作。
还可以使用 Identity Manager 的批量帐户操作功能执行删除操作。请参见Delete、DeleteAndUnlink、Disable、Enable、Unassign 和 Unlink 命令。
为多个用户启动删除、取消分配或解除链接操作
-
在管理员界面中,单击主菜单中的“帐户”。
将在“列出帐户”选项卡中显示“用户列表”页。
-
选择一个或多个用户,然后单击“用户操作”下拉菜单。
-
从列表中选择任何删除操作(删除、取消置备、取消分配或解除链接)。
Identity Manager 将显示“确认删除、取消分配或解除链接”页(图 3–5)。
-
指定要执行的操作。
这些选项包括:
-
仅删除用户。删除用户的 Identity Manager 帐户。此选项不会删除或取消分配用户的资源帐户。
-
删除用户和资源帐户。删除用户的 Identity Manager 帐户以及用户的所有资源帐户。
-
仅删除资源帐户。删除用户的所有资源帐户。此选项既不会取消分配资源帐户,也不会删除用户的 Identity Manager 帐户。
-
删除资源帐户并为用户取消分配直接分配的资源。删除并取消分配用户的所有资源帐户,但不删除用户的 Identity Manager 帐户。
-
为用户取消分配直接分配的资源帐户。取消分配直接分配的资源帐户。此选项不会删除远程资源上的用户帐户;不会影响通过角色或资源组分配的资源帐户。
-
解除资源帐户与用户的链接。将用户的资源帐户信息从 Identity Manager 中删除。不会删除或取消分配远程资源上的用户帐户。在更新用户时,可以恢复通过角色或资源组间接分配给用户的帐户。
-
-
单击“确定”。
图 3–5 显示了“确认删除、取消分配或解除链接”页。页面顶部显示了六个可以为多个用户执行的操作。页面底部将显示受选定操作影响的用户。
图 3–5 “确认删除、取消分配或解除链接”页
更改用户密码
所有 Identity Manager 用户都被分配了一个密码。设置 Identity Manager 用户密码后,该密码将用于同步用户的资源帐户密码。如果不能同步一个或多个资源帐户密码(例如,为了遵守必需的密码策略),则可单独进行设置。
注 –
有关帐户密码策略的信息以及有关用户验证的一般信息,请参见管理帐户安全和权限。
从“用户列表”页中更改密码
可以使用“用户列表”(“帐户”->“列出帐户”)页中的“更改密码”用户操作,从“用户列表”页中更改用户帐户密码。请按照以下步骤操作:
-
在管理员界面中,单击主菜单中的“帐户”。
将在“列出帐户”选项卡中显示“用户列表”页。
-
选择一个用户,然后单击“用户操作”下拉菜单。
-
要更改密码,请选择“更改密码”。
将打开“更改用户密码”页。
-
键入新密码,然后单击“更改密码”按钮。
从主菜单中更改密码
要从主菜单中更改用户帐户密码,请执行以下步骤:
-
在管理员界面中,单击主菜单中的“密码”。
默认情况下,将显示“更改用户密码”页。
图 3–6 更改用户密码
-
选择搜索项目(例如帐户名称、电子邮件地址、姓或名),然后选择搜索类型(开头为、包含或是)。
-
在输入字段中键入搜索项目的一个或多个字母,然后单击“查找”。Identity Manager 将返回 ID 中包含输入的字符的所有用户的列表。单击以选择某个用户并返回到 "Change User Password" 页。
-
输入并确认新的密码信息,然后单击“更改密码”以更改所列资源帐户的用户密码。Identity Manager 将显示工作流程图,该图显示了执行密码更改操作的顺序。
重设用户密码
重设 Identity Manager 用户帐户密码的过程与更改过程类似。重设过程与密码更改过程的不同之处为重设过程不需要您指定新密码。而是由 Identity Manager 为用户帐户、资源帐户或这些帐户的组合随机生成新密码(根据您的选择和密码策略)。
分配给用户的策略(无论是直接分配还是通过用户的组织分配)控制多个重设选项,其中包括:
-
禁用重设前允许的密码重设频率
-
新密码的显示或发送位置
根据为角色选择的“重设通知选项”,Identity Manager 以电子邮件方式将新密码发送给相应用户,或(在“结果”页中)将新密码显示给请求重设密码的 Identity Manager 管理员。
从“用户列表”页中重设密码
“用户列表”页(“帐户”>“列出帐户”)中提供了“重设密码”用户操作。
要从“用户列表”页中重设密码,请执行以下步骤:
-
在管理员界面中,单击主菜单中的“帐户”。将在“列出帐户”选项卡中显示“用户列表”页。
-
选择一个用户,然后单击“用户操作”下拉菜单。
-
要重设密码,请选择“重设密码”。
将打开“重设用户密码”页。
-
单击“重设密码”按钮。
使用 Identity Manager 帐户策略使密码到期
默认情况下,重设用户密码时,它便会立即到期。因此,用户在重设密码后首次登录时,必须选择新密码才能进行访问。可以编辑“重设用户密码”表单覆盖此默认值,以使用户密码的到期日期取决于与该用户关联的 Identity Manager 帐户策略中设置的密码到期策略。
可以使用以下过程覆盖默认密码更改要求:
-
编辑“重设用户密码”表单,并将以下值设置为 false。
resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword
-
使用 Identity Manager 帐户策略中的“重设选项”指定密码的到期时间。
这些设置包括:
-
永久。重设密码时,Identity Manager 使用在 passwordExpiry 策略属性中指定的时间段计算当前日期的相对日期,然后将此日期设置为用户的密码到期日期。如果没有指定值,则更改或重设的密码将永不到期。
-
临时。重设密码时,Identity Manager 使用在 tempPasswordExpiry 策略属性中指定的时间段计算当前日期的相对日期,然后将此日期设置为用户的密码到期日期。如果没有指定值,则更改或重设的密码将永不到期。如果将 tempPasswordExpiry 的值设置为 0,则密码立即到期。
tempPasswordExpiry 属性仅适用于重设密码(随机更改)的情况。它不适用于密码更改。
-
禁用、启用和解除锁定用户帐户
本节介绍了如何禁用和启用 Identity Manager 用户帐户。还介绍了如何帮助已锁定 Identity Manager 帐户的用户解除锁定。
禁用用户帐户
在禁用用户帐户时,将会更改该帐户,以使用户无法再登录到 Identity Manager 或为其分配的资源帐户。
请注意,管理员可以从管理员界面中禁用用户帐户,但无法锁定用户帐户。仅当用户超过了 Identity Manager 帐户策略定义的允许的失败登录尝试次数时,才会将帐户锁定。
注 –
如果分配的资源没有为帐户禁用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。
可以使用以下步骤确保此功能正常工作:
-
在编辑资源向导中打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见管理资源。)
-
在“帐户功能配置”表中,确保“密码”功能和“禁用”功能的“是否禁用?”列中没有复选标记。(要显示“禁用”功能,请选择“显示全部功能”。)
如果“禁用”功能的“是否禁用?”列中带有复选标记,则无法禁用资源中的帐户。
禁用单个用户帐户
要禁用用户帐户,请在“用户列表”中选择该帐户,然后从“用户操作”下拉菜单中选择“禁用”。
在显示的“禁用”页中,选择要禁用的资源帐户,然后单击“确定”。Identity Manager 将显示禁用 Identity Manager 用户帐户以及所有关联资源帐户的结果。此帐户列表指示用户帐户已禁用。
禁用多个用户帐户
可以同时禁用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后从“用户操作”列表中选择“禁用”。
注 –
如果选择禁用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会禁用所有选定用户帐户上的所有资源。
通过密码重设启用资源上的用户帐户
用户帐户的启用过程与禁用过程相反。
根据选定的通知选项,Identity Manager 还会在管理员的结果页中显示密码。
然后用户可以重设自己的密码(通过验证进程),具有管理员权限的用户也可以重设该密码。
注 –
如果分配的资源没有为帐户启用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过密码重设启用该资源上的用户帐户。
要确保此功能正常工作,请执行以下操作:
-
在编辑资源向导中打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见管理资源。)
-
在“帐户功能配置”表中,确保“密码”功能和“启用”功能的“是否禁用?”列中没有复选标记。(要显示“启用”功能,请选择“显示全部功能”。)
如果“启用”功能的“是否禁用?”列中带有复选标记,则无法启用资源中的帐户。
启用单个用户帐户
要启用用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Enable"。
在显示的“启用”页中,选择要启用的资源,然后单击“确定”。Identity Manager 将显示启用 Identity Manager 帐户以及所有关联资源帐户的结果。
启用多个用户帐户
可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Enable"。
注 –
如果选择启用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会启用所有选定用户帐户上的所有资源。
解除锁定用户帐户
如果用户无法登录到 Identity Manager,则将被锁定。要将用户锁定,用户必须超过 Identity Manager 帐户策略定义的允许的失败登录尝试次数。
注 –
在 Identity Manager 锁定次数中,仅计算 Identity Manager 用户界面上的登录尝试次数(即,管理员界面、最终用户界面、命令行界面或 SPML API 界面)。不会计入资源帐户上的登录失败尝试,这些尝试不会导致用户锁定其 Identity Manager 帐户。
Identity Manager 帐户策略可设定所允许的密码或提问式登录失败尝试的最大次数。
-
如果用户超过了密码登录失败尝试的最大次数,则系统会在所有 Identity Manager 应用程序界面中将其锁定,其中包括“忘记密码”界面。
-
如果用户超过了提问式登录失败尝试的最大次数,仍可以在任何 Identity Manager 应用程序界面中进行验证,但“忘记密码”界面除外。
密码登录尝试失败
如果用户由于失败的密码登录尝试次数过多而在 Identity Manager 中锁定,则在管理员解除锁定该帐户或者锁定到期之前,用户将无法进行登录。
-
如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能,则可以解除锁定帐户。
-
如果在 Identity Manager 帐户策略中设置了锁定超时值,则对帐户的锁定最终会到期。密码登录失败尝试的锁定超时值是“由失败的密码登录创建的帐户锁定到期时间”值设置的。
提问式登录尝试失败
如果用户由于失败的提问式登录尝试次数过多而在“忘记密码”界面中锁定,则在管理员解除锁定该帐户,锁定的用户(或具有相同权能的用户)更改或重设其密码或者锁定到期之前,用户将无法登录到该界面。
-
如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能,则可以解除锁定帐户。
-
如果在 Identity Manager 帐户策略中设置了锁定超时值,则对帐户的锁定最终会到期。提问式登录失败尝试的锁定超时值是“由失败的提问式登录创建的帐户锁定到期时间”值设置的。
具有相应权能的管理员可以对处于锁定状态的用户执行以下操作:
-
更新(包括资源重新置备)
-
更改或重设密码
-
禁用或启用
-
重命名
-
解除锁定
要解除锁定帐户,请在列表中选择一个或多个用户帐户,然后在“用户操作”或“组织操作”列表中选择“解除锁定用户”。
- © 2010, Oracle Corporation and/or its affiliates