关联和确认规则

当没有可用的 Identity Manager 用户名放在操作的 user 字段时，请使用关联和确认规则。如果没有为用户字段指定值，则必须在启动批量操作时指定关联规则。如果确实为用户字段指定了值，则不会针对该操作评估关联和确认规则。

关联规则查找匹配操作字段的 Identity Manager 用户。确认规则根据操作字段测试 Identity Manager 用户，以确定用户是否匹配。此两阶段式方法允许 Identity Manager 通过快速查找可能的用户（基于名称或属性）并仅针对可能的用户执行繁琐的检查，以优化关联过程。

分别创建子类型为 SUBTYPE_ACCOUNT_CORRELATION_RULE 或 SUBTYPE_ACCOUNT_CONFIRMATION_RULE 的规则对象，以创建关联或确认规则。

有关关联规则和确认规则的详细信息，请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”。

关联规则

为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一：

• 字符串（包含用户名或用户 ID）

• 字符串元素列表（每个元素为用户名或用户 ID）

• WSAttribute 元素列表

• AttributeCondition 元素列表

常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件（参考 Type.USER 的可查询属性）的列表。

关联规则的处理过程应相对简便，但应尽可能缩小范围。如有可能，将繁琐的处理过程转给确认规则。

属性条件必须参考 Type.USER 的可查询属性。这些属性是在名为 IDM 模式配置的 Identity Manager 配置对象中配置的。

关联扩展属性需要特殊配置：

必须将扩展属性指定为可查询属性。

将扩展属性设置为可查询属性

1. 打开 IDM 模式配置。您必须具有 IDM 模式配置权能才能查看或编辑 IDM 模式配置。

2. 找到 <IDMObjectClassConfiguration name=’User’> 元素。

3. 找到 <IDMObjectClassAttributeConfiguration name=’ xyz ’> 元素，其中 xyz 是要设置为可查询属性的属性名称。

4. 设置 queryable=’true’

   在关联规则中，将 email 扩展属性定义为可查询属性。

示例 3–1 将 Email 扩展属性定义为可查询属性的 XML 代码摘录

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

您必须重新启动 Identity Manager 应用程序（或应用服务器）以使 IDM 模式配置更改生效。

确认规则

任意确认规则的输入如下：

• 使用 userview 以获取 Identity Manager 用户的完整视图。

• 使用 account 以获取操作字段的映射。

如果用户与操作字段匹配，则确认规则会返回字符串形式的布尔值 true；否则，它会返回值 false。

典型的确认规则会将用户视图的内部值与操作字段的值比较。作为关联进程的可选第二阶段，确认规则执行不能在关联规则中表达的检查（或关联规则中因太昂贵而不能评估的检查）。

总之，只有在下列情况下才需要确认规则：

• 关联规则可能返回多个匹配用户。

• 必须比较的用户值不可查询。

为关联规则返回的每个匹配用户运行一次确认规则。