本章提供了使用管理员界面设置和维护 Identity Manager 对象的信息和过程。有关 Identity Manager 对象的详细信息,请参见“概述”一章中的Identity Manager 对象。
有关为服务提供者实现配置 Identity Manager 的信息,请参见第 17 章。
本章按以下主题进行组织:
阅读本节可以了解有关配置用户策略的信息。
本节包含以下主题:
Identity Manager 策略通过建立 Identity Manager 帐户 ID、登录和密码特征的约束,对 Identity Manager 用户设置限制。
Identity Manager 还提供专用于审计用户遵循性的审计策略。第 13 章中对审计策略进行了论述。
策略按以下类型分类:
Identity System 帐户策略。建立用户、密码以及验证策略选项和约束。通过“创建组织”和“编辑组织”页以及“创建用户”和“编辑用户”页,可以将 Identity System 帐户策略分配给组织或用户。
您可以设置或选择以下选项:
用户帐户策略选项。指定 Identity Manager 在用户不能正确回答验证问题时如何处理用户帐户。
密码策略选项。设置密码到期日期、到期前的警告时间以及重设选项。
辅助验证策略选项。确定以何种方式向用户显示验证问题、用户是否可以提供自己的验证问题、是否在登录时强制验证,以及是否建立可以向用户显示的问题库。
服务提供者系统帐户策略。可以在服务提供者实现中使用此策略类型,为服务提供者用户建立用户、密码和验证策略选项和约束。通过“创建组织”和“编辑组织”页以及“创建服务提供者用户”和“编辑服务提供者用户”页,可以将策略分配给组织或用户。
字符串质量策略。包括密码、帐户 ID 和验证等策略类型。可用于设置长度规则、字符类型规则、允许的字词以及属性值。此策略类型绑定到每个 Identity Manager 资源,并在每个资源页上进行设置。下图提供了一个示例。
您可以为密码和帐户 ID 设置以下选项和规则:
长度规则。确定最小和最大长度。
字符类型规则。设置字母、数字、大写、小写、重复和顺序字符的最小和最大允许值。
密码重新使用限制。指定在当前密码之前使用的、不能重新使用的密码的数量。当用户试图更改其密码时,新密码将与密码历史记录进行比较,以确保该密码是唯一密码。出于安全原因,以前密码的数字签名将被保存;而新密码将与此进行比较。
禁用的字词和属性值。指定不能作为 ID 或密码的组成部分使用的字词和属性。
可在“策略”页中创建和编辑 Identity Manager 用户策略。要打开该页,请执行以下步骤:
可在 UserUIConfig 配置对象中更改“不得包含”属性允许的设置。
UserUIConfig 中列出的属性如下:
<PolicyPasswordAttributeNames> 属性。策略类型“密码”
<PolicyAccountAttributeNames> 属性。策略类型“帐户 ID”
<PolicyOtherAttributeNames> 属性。策略类型“其他”
通过使用字典策略,Identity Manager 可以对照字词数据库检查密码,以确保密码不会受到简单的字典攻击。Identity Manager 通过将此策略与其他策略设置结合使用的方式来强制设定密码的长度和组成,从而使利用字典也很难猜出在系统中生成或更改的密码。
字典策略扩展了能够用该策略进行设置的密码排除列表。(此列表是使用 "Administrator Interface" 密码 "Edit Policy" 页中的 "Must Not Contain Words" 选项实现的。)
要设置字典策略,必须:
配置字典服务器支持
加载字典
按打开“策略”页中所述打开“策略”页。
单击“配置字典”显示“字典配置”页。
选择并输入数据库信息。
数据库信息包括:
单击“测试”以测试数据库连接。
如果连接测试成功,请单击“加载词”以加载字典。加载任务可能需要几分钟才能完成。
单击“测试”以确保正确加载字典。
可以使用以下步骤来实现字典策略:
按打开“策略”页中所述打开“策略”页。
单击“密码策略”链接以编辑密码策略。
在“编辑策略”页中,选择“根据字典的词检查密码”选项。
单击“保存”以保存更改。
字典策略实现后,系统会根据字典来检查所有更改的或生成的密码。
Identity Manager 使用电子邮件模板将信息和操作请求提交给用户和批准者。本系统包括以下用途的模板:
访问查看通知。发送需要查看用户访问权限的通知。当必须修正或缓解访问策略的违规时,系统发送此通知。
帐户创建批准。向批准者发送通知,告知有新帐户等待其批准。当相关角色的 "Provisioning Notification Option" 设置为批准时,系统发送此通知。
帐户创建通知。发送通知,告知已经用特定角色分配创建了一个帐户。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时,系统会发送此通知。
帐户删除批准。向批准者发送通知,告知有用户帐户删除操作等待其批准。当在“创建角色”或“编辑角色”页的“通知收件人”字段中选择了一个或多个管理员时,系统会发送此通知。
帐户删除通知。发送通知,告知已删除帐户。
帐户更新通知。向指定电子邮件地址或用户帐户发送通知,告知已更新帐户。
外部资源。通知外部资源置备程序必须执行置备任务。
密码重设。发送 Identity Manager 密码重设通知。根据为相关 Identity Manager 策略选择的“重设通知选项”值,系统会立即(在 Web 浏览器中)为重设密码的管理员显示通知,或者向密码将被重设的相应用户发送电子邮件。
密码同步通知。通知用户已成功完成对所有资源的密码更改。该通知列出已成功更新哪些资源并指出密码更改请求的来源。
密码同步失败通知。通知用户未成功完成对所有资源的密码更改。该通知提供一个错误列表并指出密码更改请求的来源。
策略违规通知。发送帐户已发生策略违规的通知。
协调帐户事件。协调资源事件、协调摘要。分别从“通知协调响应”、“通知协调启动”和“通知协调完成”默认工作流中调用。通知按照在每个工作流中的配置发送。
报告。向指定的一列收件人发送生成的报告。
请求资源。向资源管理员发送通知,告知某个资源已被请求。当管理员从“资源”区请求资源时,系统会发送此通知。
自 Identity Manager 8.1 发行版起,不再使用请求资源,而改为使用外部资源。您无法再使用请求适配器来创建新的连接。请改用外部资源适配器。有关详细信息,请参见了解和管理外部资源。
重试通知。向管理员发送通知,告知已对某个资源尝试了指定次数的特定操作,但未成功。
风险分析。发送风险分析报告。当一个或多个电子邮件收件人被指定为资源扫描的组成部分时,系统会发送此报告。
临时密码重设。向用户或角色批准者发送通知,告知已经为帐户提供了临时密码。根据为相关 Identity Manager 策略选择的“密码重设通知选项”值,系统会立即(在 Web 浏览器中)为用户显示通知,发送电子邮件给用户,或者发送电子邮件给角色批准者。
用户 ID 恢复。将已恢复的用户 ID 发送到指定的电子邮件地址。
可以通过自定义电子邮件模板为收件人提供具体指导,告诉他如何完成一项任务或如何查看结果。例如,您可能想要通过添加以下消息自定义 "Account Creation Approval" 模板以将批准者引导到帐户批准页:
请转至 http://host.example.com:8080/idm/approval/approval.jsp,以批准 $(fullname) 的帐户创建。
可以使用以下步骤自定义电子邮件模板,这些步骤使用“帐户创建批准”模板作为示例:
在管理员界面中,单击“配置”选项卡,然后单击“电子邮件模板”子选项卡。
将打开“电子邮件模板”页。
单击以选择 "Account Creation Approval" 模板。
输入模板的详细信息。
您可以输入以下信息:
在 "SMTP Host" 字段中,输入 SMTP 服务器名称以便发送电子邮件通知。
在 "From" 字段中,自定义发件地址。
在“收件人”和“抄送”字段中,输入一个或多个将收到电子邮件通知的电子邮件地址或 Identity Manager 帐户。
在“电子邮件正文”字段中,自定义内容以提供指向 Identity Manager 位置的指针。
单击“保存”。
也可以使用 Sun Identity Manager 集成开发环境 (Identity Manager IDE) 修改电子邮件模板。有关 Identity Manager IDE 的信息,请访问以下网站:https://identitymanageride.dev.java.net/。
您必须注册并登录到此站点。
可以在电子邮件模板中插入 HTML 格式的内容,使之在电子邮件消息正文中显示。内容可以包括文本、图形以及信息的 Web 链接。要启用 HTML 格式的内容,请选择 "HTML Enabled" 选项。
还可以在电子邮件模板正文中包括变量的引用,格式为 $(Name);例如:您的密码 $(password) 已恢复。
下表定义了每个模板允许使用的变量。
.
表 4–1 电子邮件模板变量
模板 |
允许的变量 |
---|---|
密码重设 |
$(password) – 新生成的密码 |
更新批准 |
$(fullname) – 用户的全称 $(role) – 用户的角色 |
更新通知 |
$(fullname) – 用户的全称 $(role) – 用户的角色 |
报告 |
$(report) – 生成的报告 $(id) – 任务实例的编码 ID $(timestamp) – 电子邮件发送的时间 |
请求资源 |
$(fullname) – 用户的全称 $(resource) – 资源类型 |
风险分析 |
$(report) – 风险分析报告 |
临时密码重设 |
$(password) – 新生成的密码 $(expiry) – 密码到期日期 |
设置审计配置组允许您记录和报告您选择的系统事件。通过设置审计组,您还可以随后运行审计日志报告。
可以使用“审计配置”页来设置审计组。要打开“审计配置”页,请执行以下步骤:
配置审计组和事件需要配置审计管理权能。
按照上一节中所述打开“审计配置”页。
"Audit Configuration" 页将显示审计组的列表,每个组可包含一个或多个事件。对于每个组,您可记录成功事件、失败事件或两者都记录。
单击列表中的审计组以显示 "Edit Audit Configuration Group" 页。此页允许您选择审计事件的类型,将在系统审计日志的审计配置组中记录这些类型。
检查是否选中了“启用审计”复选框。清除复选框以禁用审计系统。
可以使用以下步骤在组中添加事件:
单击“新建”。
Identity Manager 将事件添加到页底部。
从列表的“对象类型”列中选择一个对象类型,然后将“操作”列中的一个或多个项目从新对象类型的“可用”区域移动到“选定”区域。
单击“确定”以将事件添加到组中。
可通过为对象类型添加或删除操作来编辑组中的事件,如下所示:
可以将 Identity Manager 与 Remedy 服务器集成,从而使之能够根据指定的模板发送 Remedy 票证。
在 "Administrator Interface" 界面的两个区域设置 Remedy 集成:
Remedy 服务器设置。通过在“资源”区域创建 Remedy 资源来设置 Remedy 配置。(请参见管理资源列表。)资源设置完成后,请测试连接以确保集成可用。
Remedy 模板。Remedy 资源设置完成后,定义 Remedy 模板。为此,请打开管理员界面,单击“配置”选项卡,然后单击“Remedy 集成”。然后选择 Remedy 模式和资源。
Remedy 票证的创建是通过 Identity Manager 工作流配置的。根据您的偏好,可以在使用已定义模板的合适时间执行调用,以打开 Remedy 票证。有关配置工作流的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 1 章 “Workflow”。
管理员可以修改管理员界面中的表单,以配置最终用户界面中的某些内容。
在管理员界面中,单击主菜单中的“配置”。
单击次级菜单中的“用户界面”。
将打开“用户界面”页。
填写并保存表单中的最终用户面板部分。如果需要该表单的帮助,请单击“帮助”。
有关填写表单中的“匿名注册”部分的信息,请参见匿名注册。
进程图说明了在最终用户启动请求或更新其配置文件时 Identity Manager 遵循的工作流。如果启用了进程图,在最终用户提交表单后,它们将显示在结果页中。
必须先在管理员界面中启用进程图,然后才能在最终用户界面中启用这些进程图。有关详细信息,请参见启用进程图。
执行配置最终用户界面中的步骤以打开“用户界面”配置页。
选择“启用最终用户进程图”选项,该选项位于表单的“结果页”部分中。
如果“启用最终用户进程图”选项不可用,则必须先在管理员界面中启用进程图。请参见启用进程图。
单击“保存”。
建议管理员注册其 Identity Manager 安装。
您必须具有 Sun 联机帐户和密码才能进行注册。如果没有 Sun 联机帐户,您可以在以下地址填写表单以注册一个帐户:
可以通过控制台或管理员界面来注册 Identity Manager。
通过从控制台中进行注册,您还可以创建一个本地服务标记,可以在 Sun 服务标记软件中使用此标记来跟踪 Sun 系统、软件和服务清单。在创建本地服务标记之前,应该先安装服务标记客户机包。可通过在以下地址中单击 "Download Service Tags"(下载服务标记)按钮来下载该包:
http://inventory.sun.com/inventory
要注册 Identity Manager,您必须使用允许配置 Identity Manager 对象的管理员帐户进行登录。此帐户必须具有产品注册权能。有关权能的信息,请参见为用户分配权能。
要使产品注册功能正常工作,必须为 SSL 正确配置 Identity Manager 应用服务器上的 Java。java.security 文件(或等效文件)中引用的所有 JAR 文件必须存在。
本节其余部分提供了帮助您注册 Identity Manager 的信息和说明。该信息分为以下几个主题:
本节包含从控制台中注册 Identity Manager 所需的信息。
可以使用 register 命令从控制台中注册 Identity Manager。本节提供了有关使用该命令的信息。
register -local register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> -passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] register [-help | -?]
下表介绍了可与 register 命令一起使用的选项。
表 4–2 命令选项
选项 |
描述 |
---|---|
-local |
在此主机上创建服务标记。 |
-remote |
通过网络直接向 Sun 注册此 Identity Manager 安装。 |
-u <userid> |
经授权进行注册的 Identity Manager 管理员的 Identity Manager 用户 ID。 |
-p <password> |
经授权进行注册的 Identity Manager 管理员的 Identity Manager 密码。 |
-prompt |
如果缺少密码,则会以交互方式提示输入密码。 |
-userSOA <userid> |
用于注册的 Sun 联机帐户的用户 ID。如果使用 -remote 选项进行注册,则需要使用此选项。 |
-passSOA <password> |
用于注册的 Sun 联机帐户的密码。如果使用 -remote 选项进行注册,则需要使用此选项。 |
-proxy <proxyHost> |
用于访问 Sun 联机注册服务的网络代理。在使用 -remote 选项进行注册并将网络配置为使用代理到达外部 Internet 地址时,需要使用此选项。 |
-port <proxyPortNumber> |
用于访问 Sun 联机注册服务的网络代理上的端口。在使用 -remote 选项进行注册并将网络配置为使用代理到达外部 Internet 地址时,需要使用此选项。 |
-help | -? |
将此命令的帮助输出到控制台。 |
要从控制台中注册 Identity Manager,必须创建本地服务标记或通过 Internet 向 Sun 注册。请按以下说明进行操作:
启动 Identity Manager 控制台(命令行)界面。
从 Windows 命令行中键入
%WSHOME%\bin\lh
从 UNIX 命令行中键入
$WSHOME/bin/lh
按如下方式使用 register 命令:
创建本地服务标记:
register -local
要通过 Internet 注册 Identity Manager,请使用以下命令:
register -remote -u <userid> -p <password> -userSOA <soaUserid> -passSOA <soaPassword > -proxy <proxyHost> -port < proxyPortNumber>
其中:
userid 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 用户 ID。
password 是经授权进行注册的 Identity Manager 管理员的 Identity Manager 密码。
soaUserid 是用于注册的 Sun 联机帐户的用户 ID。
soaPassword 是用于注册的 Sun 联机帐户的密码。
proxyHost 是用于访问 Sun 联机注册服务的网络代理。只有在将网络配置为使用代理到达外部 Internet 地址时,才需要使用此参数。
proxyPortNumber 是用于访问 Sun 联机注册服务的网络代理上的端口。只有在将网络配置为使用代理到达外部 Internet 地址时,才需要使用此参数。
如果不需要创建本地服务标记,可从管理员界面中注册 Identity Manager。
在管理员界面中,单击“配置”。
在次级菜单中,单击“产品注册”。
将打开“产品注册”页。
填写表单,然后单击“立即注册”。有关各个表单字段的信息,请单击 i-Helps。
如果未将应用服务器配置为允许传出 SSL 连接,则可能会看到以下错误消息:
Failed to register on Sun Connection server due to invalid Sun Online Account user/password. |
要解决此问题,请将相应的可信根证书添加到应用服务器的密钥库中。有关详细信息,请查阅应用服务器文档。
如果应用服务器的类路径中包含旧版本的 xml-apis.jar 和 xercesImpl.jar ,则可能会看到以下错误消息:
java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()Ljava/lang/String; |
要解决此问题,请修改类路径,使其只包含最新版本的 xml-apis.jar 和 xercesImpl.jar。
在管理 Identity Manager 过程中,偶尔可能需要编辑 Identity Manager 系统配置对象(也称为系统配置文件)或其他类似的对象。
在浏览器中键入以下 URL 以打开 Identity Manager 调试页:
http://< AppServerHost>:<Port>/idm/debug/session.jsp
将打开“系统设置”页。
必须具有“调试”权能才能查看 /idm/debug/ 页。
找到“列出对象”按钮,然后从旁边的“类型”下拉列表中选择“配置”。
单击“列出对象”按钮。
将打开“列出以下类型的对象:配置”页。
在对象列表中找到所需的对象,然后单击“编辑”。
例如,要编辑系统配置对象,请找到“系统配置”,然后单击“编辑”。
按照说明编辑该对象,然后单击“保存”。
如果要求重新启动服务器,请将其重新启动。