test

Sun Identity Manager 8.1 业务管理员指南

第 5 章 角色和资源

本章介绍了 Identity Manager 角色和资源。

本章中的信息分为以下主题:

了解和管理角色

阅读本节可以了解有关在 Identity Manager 中设置角色的信息。在大型组织中,基于角色的资源分配可大大简化资源管理。

注 –

不要将角色管理员角色相混淆。角色用于管理最终用户对外部资源的访问。而管理员角色主要用于管理管理员对内部 Identity Manager 对象(如用户、组织和权能)的访问。

本节中的信息讨论的是角色。有关管理员角色的信息,请参见了解和管理管理员角色

什么是角色?

角色是一个 Identity Manager 对象,通过该对象,可以将资源访问权限分组并有效地分配给用户。

角色分为以下四种角色类型:

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常,业务角色表示用户的工作职责。例如,在一个金融机构中,业务角色可能对应于各个工作职责,如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。

IT 角色、应用程序资产将资源权利划分为不同的组。要为最终用户提供资源访问权限,请将 IT 角色、应用程序和资产分配给业务角色,以使用户在工作时能够访问所需的资源。IT 角色包含一组特定的应用程序、资产和/或资源,其中包括这些分配的资源的特定权利。IT 角色也可以包含其他 IT 角色。

注 –

角色类型的概念是在 Identity Manager 8.0 版中引入的。如果组织从早期版本的 Identity Manager 升级到 8.0 版,则会将传统角色作为 IT 角色导入。有关详细信息,请参见管理在 8.0 之前的版本中创建的角色

IT 角色、应用程序和资产可以是必需、条件可选角色。

通过使用必需、条件和可选角色,业务角色设计者可以针对包含的角色定义粗粒度的访问以使用户遵守相关的规定;同时仍为最终用户管理员提供了一定的灵活性,以微调最终用户的访问权限。对于分配了条件或可选角色的用户,仍然可以为其分配相同的业务角色,但为其分配的访问权限是不同的。通过采用这种方法,无需为组织中的每种访问要求变化形式都定义新的业务角色(此问题称为角色爆炸

运用角色类型

下面介绍了如何有效地使用角色类型。有关角色类型描述,请参见上一节。

管理在 8.0 之前的版本中创建的角色

从早期版本的 Identity Manager 升级到 8.0 版的组织会自动将其传统角色转换为 IT 角色。这些 IT 角色仍将直接分配给用户。在升级过程中,不会为传统角色分配角色所有者。不过,以后可以分配角色所有者。(有关角色所有者的信息,请参见指定角色所有者和角色批准者。)

默认情况下,升级到 8.0 版的组织可以直接将 IT 角色和业务角色分配给用户(请参见图 5–2)。

如果组织具有传统角色,则应该考虑按照下一节中简要介绍的原则创建新角色。

使用角色类型设计灵活的角色

IT 角色、应用程序和资产是角色设计者的基本构件。可以结合使用这三种角色类型来设置用户权利(即,访问权限)。然后可将 IT 角色、应用程序和资产分配给业务角色。

设计业务角色

在 Identity Manager 中,可以为用户分配一个或多个角色,也可以不分配角色。随着在 Identity Manager 8.0 中引入角色类型概念,建议您仅将业务角色直接分配给用户。事实上,默认情况下,无法将任何其他角色类型直接分配给用户,除非组织安装了 8.0 之前版本的 Identity Manager 并将其至少升级到 8.0 版。可通过修改角色配置对象来更改这种默认限制(配置角色类型)。

为了降低复杂性,不能对业务角色进行嵌套。即,一个业务角色不能包含另一个业务角色。另外,业务角色不能直接包含资源和资源组。而应将资源和资源组分配给 IT 角色或应用程序,然后再将这些角色分配给一个或多个业务角色。

设计 IT 角色

IT 角色可以包含应用程序和资产以及其他 IT 角色。IT 角色还可以包含资源和资源组。

IT 角色一般是由组织的 IT 人员或资源所有者(了解启用资源中特定权限所需的权利)创建和管理的。

设计应用程序和资产

应用程序和资产角色类型用于表示常用业务术语,以描述最终用户工作时需要具备的条件。例如,可以将应用程序角色命名为“客户支持工具”或“内部网 HR 工具管理”。

应用程序和资产用于分配给业务角色和 IT 角色。

注 –

应该为角色管理员分配下面的一种或多种权能:

有关详细信息,请参见为用户分配权能

角色类型总览

下图显示了可以为四种角色类型中的每种角色类型分配的角色类型、资源和资源组。该图还显示了可以为所有四种角色类型分配的角色类型排除。(有关角色排除的说明,请参见分配资源和资源组。)

图 5–1 业务角色、IT 角色、应用程序和资产角色类型。

该图展示了业务角色、IT 角色、应用程序和资产角色类型

可选、条件和必需包含角色(什么是角色?)提供了额外的灵活性。灵活的角色定义可以减少组织需要管理的角色总数。

图 5–2 显示了从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版时可以将业务角色和 IT 角色直接分配给用户。在升级时,传统角色将转换为 IT 角色,并将 IT 角色直接分配给用户以保持向后兼容性。如果 Identity Manager 不是从 8.0 之前版本升级的,则只能将业务角色直接分配给用户。

图 5–2 可直接分配给用户的角色和资源。

该图展示了如何为用户分配业务和 IT 角色

创建角色

本节介绍了如何创建角色,该信息分为以下几个部分:

注 –

有关设计角色的提示,请参见使用角色类型设计灵活的角色

当您创建或编辑角色时,Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中,并允许您在创建或保存该角色前插入批准或其他操作。

Procedure使用创建角色表单创建角色

  1. 在管理员界面中,单击主菜单中的“角色”。

    将打开“角色”页(“列出角色”选项卡)。

  2. 单击页面底部的“新建”。

    将打开“创建 IT 角色”页。要创建另一种类型的角色,请使用“类型”下拉菜单。

  3. 填写“标识”选项卡上的表单字段。

    下图显示了“标识”选项卡。

    图 5–3 “创建 IT 角色”页中的“标识”选项卡

    该图显示了“创建角色”表单的“标识”选项卡

  4. 填写“资源”选项卡上的表单字段(如果适用)。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及分配资源和资源组

    有关在角色上设置扩展属性值的帮助,请参见查看或编辑资源帐户属性

    下图显示了“资源”选项卡。

    图 5–4 “创建 IT 角色”页中的“资源”选项卡

    该图显示了“创建角色”表单的“资源”选项卡

  5. 填写“角色”选项卡上的表单字段(如果适用)。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及分配角色和角色排除

    图 5–6 显示了“角色”选项卡。

  6. 填写“安全性”选项卡上的表单字段。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及指定角色所有者和角色批准者指定通知

    指定角色所有者和角色批准者显示了“安全性”选项卡。

  7. 单击页面底部的“保存”。

  8. 在“创建角色”表单的“标识”选项卡中,可以输入角色的名称和描述。如果要创建新角色,请使用“类型”下拉菜单选择要创建的角色类型。

    图 5–4 显示了“创建角色”表单的“标识”选项卡的“标识”部分。有关使用此表单的帮助,请参见联机帮助。

Procedure分配资源和资源组

可以使用“创建角色”表单的“资源”选项卡,将资源和资源组直接分配给 IT 角色和应用程序角色。后面的了解和管理 Identity Manager 资源一节中介绍了资源。资源组一节中介绍了资源组。

此过程介绍了在填写“创建角色”表单时如何将资源和资源组分配给角色。要了解入门知识,请参见使用创建角色表单创建角色

  1. 在“创建角色”页中单击“资源”选项卡。

  2. 要分配某个资源,请在“可用资源”列中选中该资源,然后单击箭头按钮将其移到“当前资源”列中。

  3. 如果要分配多个资源,则可以指定更新这些资源的顺序:选中“按顺序更新资源”复选框,然后使用 + 和 - 按钮更改“当前资源”列中的资源顺序。

  4. 要将资源组分配给此角色,请在“可用资源组”列中将其选中,然后单击箭头按钮以将其移到“当前资源组”列中。资源组是一个资源集合,它提供了另外一种方法来指定创建和更新资源帐户的顺序。

  5. 要针对每个资源为此角色指定帐户属性,请在分配的资源部分中单击“设置属性值”。有关详细信息,请参见查看或编辑资源帐户属性

  6. 单击“保存”以保存角色,或者单击“标识”、“角色”或“安全性”选项卡以继续执行角色创建过程。

    下图显示了“创建角色”表单的“资源”选项卡。

    图 5–5 “创建角色”选项卡式表单的“资源”部分

    该图展示了“创建角色”表单上的“资源”选项卡

Procedure编辑分配的资源属性值

可以使用“分配的资源”表来设置或修改分配给角色的资源上的资源属性值。资源可以针对每个角色定义不同的属性值。单击“设置属性值”按钮将打开“资源帐户属性”页。

下图显示了“资源帐户属性”页,它用于在分配给角色的资源上设置扩展资源属性值。

该图展示了“资源帐户属性”页

  1. 从“资源帐户属性”页中,为每个属性指定新值,并确定如何设置属性值。

    Identity Manager 允许直接设置值,或使用一个规则来设置值;它还提供一些用于覆盖或合并现有值的选项。有关资源属性值的一般信息,请参见查看或编辑资源帐户属性

    可以使用以下选项设置每个资源帐户属性的值:

    • 值覆盖。请选择以下任一选项:

      • (默认)。不设置任何值。

      • 规则。使用规则设置值。

        如果选择此选项,必须从列表中选择规则名称。

      • 文本。使用指定的文本设置值。

        如果选择此选项,则必须在旁边的文本字段中输入文本。

    • 设置方法。请选择以下任一选项:

      • 默认值。使规则或文本作为默认属性值。

        用户可更改或覆盖此值。

      • 设置成值。将属性值设置为规则或文本指定的值。

        设置该值将覆盖所有用户更改。

      • 与值合并。合并当前属性值与规则或文本指定的值。

      • 与值合并,清除现有值。删除当前属性值;将值设置为此分配角色与其他分配角色所指定值的合并值。

      • 从值中删除。从属性值中删除规则或文本指定的值。

      • 授权设置值。将属性值设置为规则或文本指定的值。

        设置该值将覆盖所有用户更改。如果删除角色,则即使该属性先前具有相应值,新属性值仍会是空值。

      • 授权与值合并。合并当前属性值与规则或文本指定的值。

        删除角色将删除在分配角色时分配的值,原始属性值将保持不变。

      • 授权与值合并,清除现有。删除当前属性值;将值设置为此分配角色与其他分配角色所指定值的合并值。

        如果删除角色,则即使该属性先前具有相应值,仍会清除此角色指定的属性值。

    • 规则名称。如果在“值覆盖”区域选择“规则”,则需要从列表中选择规则。

    • 文本。如果在“值覆盖”区域选择“文本”,则需要输入要添加至属性值、从属性值删除或用作属性值的文本。

  2. 单击“确定”可保存所做的更改并返回“创建角色”或“编辑角色”页。

Procedure分配角色和角色排除

可以使用“创建角色”表单的“角色”选项卡,将角色分配给业务角色和 IT 角色。应该将分配的角色添加到包含的角色表中。

可以使用“创建角色”表单的“角色”选项卡,将角色排除分配给所有四种角色类型。如果将具有角色排除的角色分配给用户,则无法将排除的角色分配给用户。应该将角色排除添加到角色排除表中。

此过程介绍了在填写“创建角色”表单时如何将一个或多个角色分配给某个角色。要了解入门知识,请参见使用创建角色表单创建角色

填写“角色”选项卡

  1. 在“创建角色”页中单击“角色”选项卡。

  2. 在“包含的角色”部分中单击“添加”。

    将刷新该选项卡并显示查找要包含的角色表单。

  3. 搜索将要分配给此角色的角色。请先从任何必需角色入手。(将随后添加条件和可选角色。)

    有关使用搜索表单的帮助,请参见搜索角色。无法将业务角色嵌套在其他角色类型中,也无法将其分配给其他角色类型。

  4. 使用复选框选择一个或多个要分配的角色,然后单击“添加”。

    将刷新该选项卡并显示添加包含的角色表单。

  5. 根据需要,从“关联类型”下拉菜单中选择“必需”、“条件”或“可选”。

    单击“确定”。

  6. 重复前面的四个步骤,以添加条件角色(如果需要)。再次重复前面的四个步骤,以添加可选角色(如果需要)。

  7. 单击“保存”以保存角色,或者单击“标识”、“资源”或“安全性”选项卡以继续执行角色创建过程。

    图 5–6 显示了“创建角色”表单的“角色”选项卡。有关使用此表单的帮助,请参见联机帮助。

    图 5–6 “创建角色”选项卡式表单的“角色”部分

    该图展示了“创建角色”表单的“角色”选项卡

指定角色所有者和角色批准者

角色具有指定的所有者批准者。仅角色所有者能够授权对定义角色的参数进行更改,仅角色批准者能够授权将角色分配给最终用户。

注 –

如果将 Identity Manager 与 SunTM Role Manager 集成在一起,应通过手动禁用 Identity Manager 处理角色更改批准和通知的功能以允许 Role Manager 执行所有这些操作。

必须按如下方式在 Identity Manager 中编辑 RoleConfiguration 配置对象:

成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改,则必须经角色所有者批准后才能执行这些更改。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。然而,如果在角色配置对象中禁用了更改批准,则不需要得到角色所有者的批准即可执行更改。

除了批准角色更改以外,未经角色所有者批准也无法启用、禁用或删除角色。

可以将所有者和批准者直接添加到角色中,也可以使用角色分配规则动态地进行添加。在 Identity Manager 中,可以创建没有所有者和批准者的角色(但不建议这样做)。

注 –

角色分配规则的 authType 为 RoleUserRule

如果需要创建自定义角色分配规则,请参考三个默认角色分配规则对象并将它们用作示例:

如果工作项目需要得到所有者和批准者批准,则会通过电子邮件通知他们。启动更改批准工作项目和批准工作项目一节中介绍了更改批准工作项目和批准工作项目。

所有者和批准者将添加到“创建角色”表单的“安全性”选项卡上的角色中。

指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。有关使用此表单的帮助,请参见联机帮助。

该图展示了“创建角色”选项卡式表单的“安全”部分。

指定通知

在将角色分配给用户时,可以向一个或多个管理员发送通知。

可以选择是否指定通知收件人。如果决定在将角色分配给用户时不需要批准,您可以选择通知管理员。或者,您可以指定一个管理员作为批准者,并指定另一个管理员作为进行批准时的通知收件人。

与所有者和批准者一样,可以将通知直接添加到角色中,也可以使用角色分配规则动态地进行添加。在将角色分配给用户时,可以通过电子邮件向通知收件人发出通知。但不会创建工作项目,因为不需要进行批准。

通知将分配给“创建角色”表单的“安全性”选项卡上的角色。指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。

启动更改批准工作项目和批准工作项目

在对角色进行更改时,角色所有者可能会收到更改批准更改通知电子邮件,也可能没有收到任何电子邮件。在将角色分配给用户时,角色批准者将会收到角色批准电子邮件。

默认情况下,只要更改了角色所有者拥有的角色,就会向其发送更改批准电子邮件。不过,可以针对每种角色类型对这种行为进行配置。例如,您可以选择为业务角色和 IT 角色启用更改批准,而为应用程序和资产角色启用更改通知。

有关启用和禁用更改批准和更改通知电子邮件的说明,请参见配置角色类型

下面是更改批准和更改通知的工作方式:

在将角色分配给用户时,角色批准者将会收到角色批准电子邮件。无法在 Identity Manager 中禁用角色批准电子邮件。

对于角色批准,在为用户分配角色时,将会生成一个工作项目并向角色批准者发送批准电子邮件。角色批准者必须批准该工作项目才能将角色分配给用户。

可以委托更改批准工作项目和批准工作项目。有关委托工作项目的详细信息,请参见委托工作项目

编辑和管理角色

可以使用“查找角色”和“列出角色”选项卡执行大多数角色编辑和角色管理任务,这些选项卡位于主菜单的“角色”选项卡下面。

本节包含以下主题:

Procedure搜索角色

可以使用“查找角色”选项卡搜索符合指定搜索条件的角色。

通过使用“查找角色”选项卡,您可以基于各种不同的条件(如角色所有者和批准者、分配的帐户类型以及包含的角色等)搜索角色。

有关查找分配给角色的用户的信息,请参见查找分配给特定角色的用户

  1. 在管理员界面中,单击“角色”选项卡。

    将打开“列出角色”选项卡。

  2. 单击“查找角色”次级选项卡。

    图 5–7 显示了“查找角色”选项卡。有关使用此表单的帮助,请参见联机帮助。

    图 5–7 “查找角色”选项卡

    该图展示了“查找角色”选项卡

    可以使用下拉菜单来定义搜索参数。单击“添加行”按钮可添加其他参数。

Procedure查看角色

可以使用“列出角色”选项卡来查看角色。可以使用“列出角色”页顶部的过滤器字段按名称或角色类型查找角色。过滤不区分大小写。

  1. 在管理员界面中,单击“角色”选项卡。

    将打开“列出角色”选项卡。

    图 5–8 显示了“列出角色”选项卡。有关使用此表单的帮助,请参见联机帮助。

    图 5–8 “列出角色”选项卡

    该图展示了“列出角色”选项卡

Procedure编辑角色

可以使用“列出角色”或“查找角色”选项卡搜索要编辑的角色。如果对角色进行更改并将更改批准设置为 true,则必须在角色所有者批准更改之后才能执行更改。

有关使用角色更改更新用户的信息,请参见更新分配给用户的角色

  1. 按照搜索角色查看角色中的说明,搜索要编辑的角色。

  2. 单击要编辑的角色的名称。

    将打开“编辑角色”页。

  3. 根据需要,编辑该角色。有关填写“标识”、“资源”、“角色”和“安全性”选项卡的帮助,请参阅使用创建角色表单创建角色一节中的步骤。

    单击“保存”。将打开“确认角色更改”页。

  4. 如果将此角色分配给用户,则可以选择何时使用角色更改更新用户。有关详细信息,请参见更新分配给用户的角色

  5. 单击“保存”以保存更改。

Procedure克隆角色

  1. 按照搜索角色查看角色中的说明,搜索要编辑的角色。

  2. 单击要克隆的角色的名称。

    将打开“编辑角色”页。

  3. 在“名称”字段中输入新名称,然后单击“保存”。

    将打开“角色:创建还是重命名?”页。

  4. 单击“创建”以复制角色。

Procedure将角色分配给其他角色

什么是角色?运用角色类型中介绍了 Identity Manager 的角色分配要求。在分配角色之前,您应该了解此信息。

如果父角色的角色所有者批准,Identity Manager 将更改角色的角色分配。

  1. 搜索将向其分配一个或多个包含的角色的业务角色或 IT 角色。(只能将角色分配给业务角色和 IT 角色。)请按照搜索角色查看角色中的说明搜索角色。

  2. 单击以打开业务角色或 IT 角色。

    将打开“编辑角色”页。

  3. 在“编辑角色”页中单击“角色”选项卡。

  4. 在“包含的角色”部分中单击“添加”。

    将刷新该选项卡并显示查找要包含的角色表单。

  5. 搜索将要分配给此角色的角色。请先从任何必需角色入手。(将随后添加条件和可选角色。)

    有关使用搜索表单的帮助,请参见搜索角色。无法将业务角色嵌套在其他角色类型中,也无法将其分配给其他角色类型。

  6. 使用复选框选择一个或多个要分配的角色,然后单击“添加”。

    将刷新该选项卡并显示添加包含的角色表单。

  7. 根据需要,从“关联类型”下拉菜单中选择“必需”、“条件”或“可选”。

    单击“确定”。

  8. 重复前面的四个步骤,以添加条件角色(如果需要)。再次重复前面的四个步骤,以添加可选角色(如果需要)。

  9. 单击“保存”以打开“确认角色更改”页。

    将打开“确认角色更改”页。

  10. 在“更新分配的用户”部分中,选择一个“更新分配的用户”菜单选项,然后单击“保存”以保存角色分配。

    有关详细信息,请参见更新分配给用户的角色

Procedure删除分配给其他角色的角色

如果得到父角色的角色所有者批准,Identity Manager 将从另一个角色中删除包含的角色。当用户收到角色更新时,将从用户中删除已删除的角色。(有关详细信息,请参见更新分配给用户的角色。)删除角色后,用户将失去该角色所赋予的权利。

  1. 搜索要从中删除角色的业务角色或 IT 角色。请按照搜索角色查看角色中的说明搜索角色。

  2. 单击以打开该角色。

    将打开“编辑角色”页。

  3. 在“编辑角色”页中单击“角色”选项卡。

  4. 在“包含的角色”部分中,选中要删除的角色旁边的复选框,然后单击“删除”。选中多个复选框可删除多个角色。

    将更新该表以显示其余的包含角色。

  5. 单击“保存”。

    将打开“确认角色更改”页。

  6. 在“更新分配的用户”部分中,选择一个“更新分配的用户”菜单选项。有关详细信息,请参见更新分配给用户的角色

  7. 单击“保存”以完成更改。

Procedure启用或禁用角色

可以在“列出角色”选项卡上启用和禁用角色。角色状态将显示在状态列中。单击“状态”列标题可按角色状态对该表进行排序。

禁用的角色不会显示在“创建/编辑用户”表单的“角色”选项卡中,并且无法直接分配给用户。可以将包含已禁用角色的角色分配给用户,但无法分配已禁用的角色。

如果以后禁用了为用户分配的角色,用户并不会失去其权利。角色禁用仅阻止未来的角色分配

角色禁用和重新启用需要具有角色所有者权限。

在启用或禁用分配了用户的角色时,Identity Manager 将提示您更新这些用户。有关详细信息,请参见更新分配给用户的角色

  1. 按照搜索角色查看角色中的说明,搜索要删除的角色。

  2. 单击需要启用或禁用的角色旁边的复选框。

  3. 单击“角色”表底部的“启用”或“禁用”。

    将打开“启用角色”或“禁用角色”确认页。

  4. 单击“确定”以启用或禁用该角色。

Procedure删除角色

本节介绍了从 Identity Manager 中删除角色的过程。

如果删除当前分配给用户的角色,当您尝试保存该角色时,Identity Manager 将阻止删除操作。您必须取消分配(或重新分配)分配给角色的所有用户,然后 Identity Manager 才能删除该角色。您还必须从任何其他角色中删除该角色。

Identity Manager 需要得到角色所有者的批准,然后才能删除角色。

  1. 按照搜索角色查看角色中的说明,搜索要删除的角色。

  2. 选中要删除的每个角色旁边的复选框。

  3. 单击“删除”。

    将显示“删除角色”确认页。

  4. 单击“确定”以删除一个或多个角色。

Procedure将资源或资源组分配给角色

什么是角色?运用角色类型中介绍了 Identity Manager 的资源和资源组分配要求。在将资源分配给角色之前,您应该了解此信息。

如果得到角色所有者批准,Identity Manager 将更改角色的资源和资源组分配。

  1. 搜索要向其添加资源或资源组的 IT 角色或应用程序。有关如何搜索角色的说明,请参见搜索角色查看角色

  2. 单击以打开该角色。

  3. 在“编辑角色”页中单击“资源”选项卡。

  4. 要分配某个资源,请在“可用资源”列中选中该资源,然后单击箭头按钮将其移到“当前资源”列中。

  5. 如果要分配多个资源,则可以指定更新这些资源的顺序:选中“按顺序更新资源”复选框,然后使用 + 和 - 按钮更改“当前资源”列中的资源顺序。

  6. 要将资源组分配给此角色,请在“可用资源组”列中将其选中,然后单击箭头按钮以将其移到“当前资源组”列中。资源组是一个资源集合,它提供了另外一种方法来指定创建和更新资源帐户的顺序。

  7. 要针对每个资源为此角色指定帐户属性,请在分配的资源部分中单击“设置属性值”。有关详细信息,请参见查看或编辑资源帐户属性

  8. 单击“保存”以打开“确认角色更改”页。

    将打开“确认角色更改”页。

  9. 在“更新分配的用户”部分中,选择一个“更新分配的用户”菜单选项。有关详细信息,请参见更新分配给用户的角色

  10. 单击“保存”以保存资源分配。

Procedure删除分配给角色的资源或资源组

如果得到角色所有者批准,Identity Manager 将从角色中删除资源或资源组。当用户收到角色更新时,将从用户中删除已删除的资源。(有关详细信息,请参见更新分配给用户的角色。)在删除资源时,用户将失去该资源的权利,除非还将该资源直接分配给用户。

  1. 搜索要从中删除资源或资源组的 IT 角色或应用程序。请按照搜索角色查看角色中的说明搜索角色。

  2. 单击以打开该角色。

    将打开“编辑角色”页。

  3. 在“编辑角色”页中单击“资源”选项卡。

  4. 要删除资源,请在当前资源列中将其选中,然后单击箭头按钮以将其移到可用资源列中。

    要删除资源组,请在当前资源组列中将其选中,然后单击箭头按钮以将其移到可用资源组列中。

  5. 单击“保存”。

    将打开“确认角色更改”页。

  6. 在“更新分配的用户”部分中,选择一个“更新分配的用户”菜单选项。有关详细信息,请参见更新分配给用户的角色

  7. 单击“保存”以完成更改。

管理用户角色分配

角色是在 Identity Manager 的“帐户”区域中分配给用户的。

Procedure将角色分配给用户

可以使用以下过程将一个或多个角色分配给用户。

最终用户也可以为其自己请求分配角色。(只能请求已将父角色分配给用户的可选角色。)有关最终用户如何请求可用角色的信息,请参见Identity Manager 最终用户界面一节中的“请求”选项卡

  1. 在管理员界面中,单击“帐户”选项卡。

    将打开“列出帐户”子选项卡。

  2. 要将角色分配给现有用户,请执行以下步骤:

    1. 单击“用户列表”中的用户名称。

    2. 单击“角色”选项卡。

    3. 单击“添加”,将一个或多个角色添加到用户帐户中。

      默认情况下,只能将业务角色直接分配给用户。(如果 Identity Manager 安装是从 8.0 之前版本升级的,则可以将业务角色和 IT 角色直接分配给用户。)

    4. 在角色表中,选择要分配给用户的角色,然后单击“确定”。

      要按名称、类型或描述的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从“当前”下拉菜单中进行选择。

      将更新该表以显示选定的角色分配以及与父角色分配有关的任何必需角色分配。

    5. 单击“添加”,以查看也可以分配给用户的可选角色分配。

      选择要分配给用户的可选角色,然后单击“确定”。

    6. (可选)在“激活日期”列中,选择使角色变为活动状态的日期。如果没有指定日期,在指定的角色所有者批准角色分配时,角色分配将立即变为活动状态。

      要使角色分配转变为临时状态,请在“取消激活日期”列中选择使角色变为非活动状态的日期。角色取消激活将在选定日期开始生效。

      有关详细信息,请参见在特定日期激活和取消激活角色

    7. 单击“保存”。

在特定日期激活和取消激活角色

在将角色分配给用户时,您可以指定激活日期和取消激活日期。在进行分配时,将创建角色分配工作项目请求。不过,如果在预定激活日期之前没有批准角色分配,则不会分配该角色。角色激活和取消激活将在预定日期午夜稍后的时间(凌晨 0:01)进行。

默认情况下,仅业务角色可以具有激活和取消激活日期。所有其他角色类型继承直接分配给用户的业务角色的激活日期和取消激活日期。可以将 Identity Manager 配置为允许其他角色类型具有可直接分配的激活和取消激活日期。有关说明,请参见配置角色类型

Procedure编辑延迟任务扫描程序进度表

延迟任务扫描程序扫描用户角色分配,并根据需要激活和取消激活角色。默认情况下,延迟任务扫描程序任务每小时运行一次。

  1. 在管理员界面中,单击“服务器任务”。

  2. 单击次级菜单中的“管理进度表”。

  3. 在“可调度的任务”部分中,单击“延迟任务扫描程序 TaskDefinition”。

    将打开“创建新的延迟任务扫描程序任务进度表”页。

  4. 填写表单。有关帮助,请参阅 i-Helps 和联机帮助。

    要指定应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00

    在“结果选项”下拉菜单中,选择“重命名”。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。

  5. 单击“保存”以保存该任务。

    图 5–9 显示了延迟任务扫描程序任务的预定任务表单。

    图 5–9 延迟任务扫描程序的预定任务表单

    该图展示了延迟任务扫描程序任务的预定任务表单

更新分配给用户的角色

在编辑分配给用户的角色时,您可以选择使用新角色更改立即更新用户,或者将更新推迟到在预定维护时段运行。

在对角色进行更改时,将打开“确认角色更改”页。更新分配给用户的角色中显示了“确认角色更改”页。

Procedure手动更新分配的用户

可通过选择一个或多个角色并单击“更新分配的用户”按钮,更新分配给角色的用户。此过程为指定角色运行更新角色用户任务实例。

  1. 按照搜索角色查看角色中的说明,搜索一个或多个应更新为其分配的用户的角色。

  2. 使用复选框选择角色。

  3. 单击“更新分配的用户”。

    将显示“更新为角色分配的用户”页(图 5–10)。

  4. 单击“启动”以开始进行更新。

  5. 单击主菜单中的“服务器任务”,然后单击次级菜单中的“所有任务”以检查更新角色用户任务的状态。

    图 5–10 “更新为角色分配的用户”页

    该图展示了“更新为角色分配的用户”页

Procedure计划更新角色用户任务

注 –

应计划定期运行更新角色用户任务。

请按如下方式计划更新角色用户任务,以使用未完成的角色更改更新用户:

  1. 在管理员界面中,单击“服务器任务”。

  2. 单击次级菜单中的“管理进度表”。

  3. 在“可调度的任务”部分中,单击“更新角色用户 TaskDefinition”。

    将打开“创建新的更新角色用户任务进度表”页;如果编辑现有任务,则会打开“编辑任务进度表”页(图 5–11)。

  4. 填写表单。有关帮助,请参阅 i-Helps 和联机帮助。

    要指定应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00

    在“结果选项”下拉菜单中,选择“重命名”。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。

  5. 单击“保存”以保存该任务。

    图 5–11 显示了更新角色用户任务的预定任务表单。可以将特定角色分配给特定的更新角色用户任务(如“任务参数”一节中所示)。有关详细信息,请参见更新分配给用户的角色

    图 5–11 “更新角色用户”的预定任务表单

    该图展示了“更新角色用户”任务的预定任务表单

Procedure查找分配给特定角色的用户

您可以搜索分配了特定角色的用户。

  1. 在管理员界面中,单击“帐户”。

  2. 单击次级菜单中的“查找用户”。将打开“查找用户”页。

  3. 找到分配了 [选择角色类型] 角色的搜索类型用户。

  4. 选择选项框,然后使用“选择角色类型”下拉菜单过滤可用角色列表。

    将打开第二个角色菜单。

  5. 选择一个角色。

  6. 清除其他搜索类型复选框,除非您要进一步缩小搜索范围。

  7. 单击“搜索”。

    图 5–12 使用“查找用户”页搜索分配了角色的用户

    该图展示了“查找用户”页

Procedure从用户中删除一个或多个角色

通过使用“编辑用户”页,可以从用户帐户中删除一个或多个角色。只能删除直接分配的角色。在删除父角色时,将会删除间接分配的角色(即条件和/或必需包含角色)。另一种从用户中删除间接分配的角色的方法是,从父角色中删除角色(请参见删除分配给其他角色的角色)。

最终用户也可以请求从其用户帐户中删除分配的角色。请参见Identity Manager 最终用户界面一节中的“请求”选项卡

有关使用预定取消激活日期删除角色的信息,请参见在特定日期激活和取消激活角色

  1. 在管理员界面中,单击“帐户”选项卡。

    将打开“列出帐户”子选项卡。

  2. 单击要从中删除角色的用户。

    将打开“编辑用户”页。

  3. 单击“角色”选项卡。

  4. 在“角色”表中,选择要从用户中删除的角色,然后单击“确定”。

    要按名称、类型、激活日期、取消激活日期、分配者或状态的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从“当前”下拉菜单中进行选择。

    该表将显示父角色分配(可以选择这些角色)以及与父角色分配有关的任何角色分配(无法选择这些角色)。

  5. 单击“删除”。

    将更新分配的角色表以显示其余的分配角色。

  6. 单击“保存”。

    将打开“更新资源帐户”页。取消选择不希望删除的任何资源帐户。

  7. 单击“保存”以保存更改。

配置角色类型

可通过编辑角色配置对象来修改角色类型功能。

Procedure将角色类型配置为可直接分配给用户

默认情况下,只能将某些角色类型直接分配给用户。要更改这些设置,请执行以下步骤。

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色

要更改可直接分配给用户的角色类型,请执行以下步骤:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 指定一组指令以更新配置。

    根据所需的配置更新方式,选择以下选项之一:

    • 要修改角色类型以使其能直接分配给用户,请在角色对象中找到以下 userAssignment 属性:


      <Attribute name=’userAssignment’>
        <Object/>
    </Attribute>

      将其替换为以下内容:


      <Attribute name=’userAssignment’>
        <Object>
            <Attribute name=’manual’ value=’true’/>
         </Object>
    </Attribute>

    • 要修改角色类型以使其不能直接分配给用户,请在角色对象中找到 userAssignment 属性并删除 manual 属性,如下所示:


      <Attribute name=’userAssignment’>
        <Object>
        </Object>
    </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure使角色类型具有可分配的激活日期和取消激活日期

默认情况下,仅业务角色可以具有激活日期和取消激活日期,可以在分配角色时指定这些日期。所有其他角色继承直接分配给用户的业务角色的激活日期或取消激活日期。

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色

如果选择允许将其他角色类型直接分配给用户(例如,IT 角色类型),您可能还希望能够为该角色类型分配激活和取消激活日期。

可以使用以下步骤更改具有可分配的激活日期和取消激活日期的角色类型:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑业务角色,请找到 Object name=’BusinessRole’

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 指定一组指令以更新配置。

    根据所需的配置更新方式,选择以下选项之一:

    • 要修改角色类型以使其具有可直接分配的激活日期和取消激活日期,请在角色对象中找到以下 userAssignment 属性:


      <Attribute name=’userAssignment’>
        <Attribute name=’manual’ value=’true’/>
     </Attribute>

      将其替换为以下内容:


      <Attribute name=’userAssignment’>
        <Object>
            <Attribute name=’activateDate’ value=’true’/>
             <Attribute name=’deactivateDate’ value=’true’/>
             <Attribute name=’manual’ value=’true’/>
        </Object>
    </Attribute>

    • 要修改角色类型以使其不能具有可直接分配的激活日期和取消激活日期,请在角色对象中找到 userAssignment 属性并删除 activateDatedeactivateDate 属性,如下所示:


      <Attribute name=’userAssignment’>
        <Object>
        </Object>
    </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure启用或禁用更改批准和更改通知工作项目

默认情况下,将为所有角色类型启用更改批准工作项目。这意味着,每次更改角色(无论是业务角色、IT 角色、应用程序还是资产)时,如果角色具有所有者,则必须得到所有者批准才能进行更改。

有关更改批准和更改通知工作项目的详细信息,请参见启动更改批准工作项目和批准工作项目

可以使用以下步骤为角色类型启用或禁用更改批准工作项目和更改通知工作项目:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑业务角色,请找到 Object name=’BusinessRole’

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 找到位于 <Object> 元素(位于 <Attribute name=’features’> 元素中)中的以下属性:


    <Attribute name=’changeApproval’ value=’true’/>
 <Attribute name=’changeNotification’ value=’true’/>

  4. 根据需要,将属性值设置为 true 或 false。

  5. 根据需要重复步骤 2-4 以配置其他角色类型。

  6. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure配置“列出角色”页可加载的最大行数

管理员界面中的“列出角色”页可以显示一定数量的行,您可以配置显示的最大行数。默认数目为 500。可以使用本节中的步骤更改该数字。

可以使用以下步骤更改“列出角色”页可显示的最大行数:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到以下属性并更改属性值:


    <Attribute name=’roleListMaxRows’ value=’500’/>

  3. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下,同步时资源被分配给角色。这适用于使用同步任务创建的角色以及与某个资源角色名匹配的现有 Identity Manager 角色。

Procedure将 Identity Manager 角色与资源角色同步

  1. 在管理员界面中,单击主菜单中的“服务器任务”。

  2. 单击“运行任务”。将打开“可用任务”页。

  3. 单击“使 Identity System 角色与资源角色同步”任务。

  4. 填写表单。有关详细信息,请单击“帮助”。

  5. 单击“启动”。

了解和管理 Identity Manager 资源

阅读本节的信息和过程可以帮助您设置 Identity Manager 资源。

什么是资源?

Identity Manager 资源存储了关于如何与要在其中创建帐户的某个资源或系统相连接的信息。Identity Manager 资源定义有关某个资源的相关属性,并帮助指定如何在 Identity Manager 中显示资源信息。

Identity Manager 提供类型广泛的资源,包括:

界面中的资源区域

Identity Manager 在“资源”页上显示关于现有资源的信息。

要访问资源,请选择菜单栏上的“资源”。

资源列表中的资源是按类型进行分组的。每种资源类型由一个文件夹图标表示。要查看当前定义的资源,请单击文件夹旁边的指示符。再次单击指示符可折叠视图。

当展开资源类型文件夹后,它会动态更新并显示包含的资源对象数量(如果它是支持多个组的资源类型)。

有些资源含有可以管理的附加对象,包括以下对象:

从资源列表中选择一个对象,然后从以下某个选项列表中进行选择,以启动一个管理任务:

当您创建或编辑资源时,Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中,并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

在创建新的资源之前,必须指示 Identity Manager 您希望能够管理哪些资源类型。要启用资源并创建自定义资源,请使用“配置受管理的资源”页。

Procedure打开“配置受管理的资源”页

可以使用以下步骤打开“配置受管理的资源”页:

  1. 登录到管理员界面。

  2. 单击“资源”选项卡。

    可以使用下面的某种方法打开“配置受管理的资源”页:

    • 找到“资源类型操作”下拉列表,然后选择“配置受管理的资源”。

    • 单击“配置类型”选项卡。

    将打开“配置受管理的资源”页。

    该页包含三个部分:

    • 资源连接器。此部分列出了资源连接器类型、连接器版本以及连接器服务器。

    • 资源适配器。此部分列出了大型企业环境中的常见资源类型。“版本”列中列出了连接到资源的 Identity Manager 适配器版本。

    • 自定义资源适配器。此部分用于将自定义资源添加到资源列表中。

Procedure启用资源类型

可以使用以下步骤从“配置受管理的资源”页中启用资源类型:

  1. 如果尚未打开“配置受管理的资源”页(管理资源列表),请将其打开。

  2. 在“资源”部分中,在“受管理?”列选中要启用的资源类型的框。

    要启用所有列出的资源类型,请选择“管理所有资源”。

  3. 单击页面底部的“保存”。

    该资源将添加到资源列表中。

Procedure添加自定义资源

可以使用以下步骤从“配置受管理的资源”页中添加自定义资源:

  1. 如果尚未打开“配置受管理的资源”页(管理资源列表),请将其打开。

  2. 在“自定义资源”部分中单击“添加自定义资源”,以便在表中添加一行。

  3. 输入资源的资源类路径或输入您自定义创建的资源。有关随 Identity Manager 提供的适配器,请参见《Sun Identity Manager 8.1 Resources Reference》以了解完整的类路径。

  4. 单击“保存”将资源添加到“资源”列表。

Procedure创建资源

在启用资源类型后,您可以随后在 Identity Manager 中创建该资源的实例。要创建资源,请使用资源向导

资源向导将指导您完成设置以下项的过程:

  1. 登录到管理员界面。

  2. 单击“资源”选项卡。确保选中了“列出资源”子选项卡。

  3. 找到“资源类型操作”下拉列表,然后选择“新建资源”。

    将打开“新建资源”页。

  4. 从下拉列表中选择一种资源类型。(如果没有列出要查找的资源类型,您需要将其启用。请参见管理资源列表。)

  5. 单击“新建”以显示“资源向导”欢迎页。

  6. 单击“下一步”开始定义资源。

    “资源向导”步骤和页面按以下顺序显示:

    • 资源参数。设置控制验证和资源适配器行为的资源特定参数。输入参数,然后单击“测试连接”,以确保连接有效。在确认连接有效后,单击“下一步”设置帐户属性。

      下图显示了 Solaris 资源的“资源参数”页。对于不同的资源,该页上的表单字段也不相同。

      该图显示了 Solaris 资源的“资源参数”页

    • 帐户属性(模式映射)。将 Identity Manager 帐户属性映射到资源帐户属性。有关资源帐户属性的详细信息,请参见查看或编辑资源帐户属性

      • 要添加属性,请单击“添加属性”。

      • 要删除一个或多个属性,请选中属性旁边的框,然后单击“删除选定的属性”。

        下图显示了“资源向导”中的“帐户属性”页。

        该图显示了“资源向导:帐户属性(模式映射)”。
      注 –

      如果要将属性导出到 EXT_RESOURCEACCOUNT_ACCTATTR 表中,必须选中要导出的每个属性的“审计”框。

      完成后,单击“下一步”以设置身份模板。

    • 身份模板。定义用户的帐户名称语法。此功能对分层结构的名称空间尤其重要。

      • 要在模板中添加属性,请从“插入属性”列表中选择该属性。

      • 要删除属性,请在字符串中突出显示该属性,然后按键盘上的 Delete 键。删除属性名称以及前导和后续的 $(美元符号)字符。

      • 帐户类型。Identity Manager 提供了将多个资源帐户分配给单个用户的功能。例如,用户可能需要特定资源上的管理员级别帐户以及普通用户帐户。要在该资源上支持多种帐户类型,请选中“帐户类型”复选框。

        注 –

        如果尚未创建由子类型 IdentityRule 标识的一个或多个身份生成规则,则无法选中“帐户类型”复选框。由于 accountId 各不相同,因此,不同类型的帐户必须为给定用户生成不同的 accountId。身份生成规则指定了应如何创建这些唯一的 accountId。

        sample/identityRules.xml 中提供了样例身份规则。

        直到 Identity Manager 中的其他对象不再引用某种帐户类型时,才能删除该帐户类型。另外,也无法重命名帐户类型。

        有关填写“帐户类型”表单的详细信息,请参见 Identity Manager 联机帮助。有关为用户创建多个资源帐户的详细信息,请参见为用户创建多个资源帐户

        该图显示了“资源向导:身份模板”。

    • Identity System 参数。为资源设置 Identity Manager 参数,包括重试和策略配置,如创建资源中所示。

      该图显示了“资源向导:Identity System 参数”。

  7. 使用“下一步”和“上一步”在页间移动。完成所有选择后,单击“保存”以保存该资源,并返回到列表页。

管理资源

本节介绍了如何管理现有资源。

这些主题分为以下几个部分:

Procedure查看资源列表

您可以从“资源列表”中查看现有资源。

  1. 登录到管理员界面。

  2. 在主菜单中单击“资源”。

    将在“列出资源”子选项卡上显示资源列表。

Procedure使用资源向导编辑资源

可以使用资源向导来编辑资源参数、帐户属性以及 Identity System 参数。也可以指定在此资源上创建的用户应使用的身份模板。

  1. 在 Identity Manager 管理员界面中,单击主菜单中的“资源”。

    将在“列出资源”子选项卡上显示资源列表。

  2. 选择要编辑的资源。

  3. 在“资源操作”下拉菜单中,选择“资源向导”(在“编辑”下面)。

    将在编辑模式下打开选定资源的资源向导。

Procedure使用资源列表命令编辑资源

除了编辑资源向导外,您还可以使用资源列表命令对资源执行一系列编辑操作。

  1. 从资源列表中选择一个或多个选项。

    这些选项包括:

    • 删除资源。选择一个或多个资源,然后从“资源操作”列表中选择“删除”。可以同时选择几种类型的资源。不能删除与任何角色或资源组相关的资源。

    • 搜索资源对象。选择某个资源,然后从“资源对象操作”列表中选择“查找资源对象”,以便按对象特征查找资源对象(如组织、组织单位、组或个人)。

    • 管理资源对象。对于某些资源类型,可以创建新的对象。选择资源,然后从 "Resource Object Actions" 列表中选择 "Create Resource Object"。

    • 重命名资源。选择某个资源,然后从“资源操作”列表中选择“重命名”。在出现的输入框中输入新的名称,然后单击“重命名”。

    • 克隆资源。选择某个资源,然后从“资源操作”列表中选择“另存为”。在出现的输入框中输入新名称。克隆的资源以选择的名称显示在资源列表中。

    • 对资源执行批量操作。指定一个资源列表和应用(从 CSV 格式的输入)到列表中所有资源的操作。然后启动批量操作以启动批量操作后台任务。

  2. 保存所做的更改。

Procedure查看或编辑资源帐户属性

资源帐户属性(或模式映射)提供了一种抽象方法,以引用受管理资源上的属性。通过使用模式映射,您可以指定如何在 Identity Manager 中引用属性(在模式映射左侧)以及如何将该名称映射到实际资源上的属性名称(在模式映射右侧)。可随后在表单或工作流定义中引用 Identity Manager 属性名称,并有效地引用资源本身上的属性。

下面显示了 Identity Manager 中的属性与 LDAP 资源属性之间的映射示例:

Identity Manager 属性

 

LDAP 资源属性

firstname

<-->

givenName

lastname

<-->

sn

在对该资源执行操作时,对 Identity Manager 属性 firstname 的任何引用实际上是引用 LDAP 属性 givenName

在 Identity Manager 中管理多个资源时,通过将通用 Identity Manager 帐户属性映射到多个资源属性,可以大大简化资源管理。例如,可以将 Identity Manager fullname 属性映射到 Active Directory 资源属性 displayName。同时,在 LDAP 资源上,可以将相同的 Identity Manager fullname 属性映射到 LDAP 属性 cn。这样,管理员只需要提供一次 fullname 值。在保存用户时,fullname 值将传递给具有不同属性名称的资源。

通过在资源向导的“帐户属性”页上建立模式映射,您可以执行以下操作:

要查看或编辑资源帐户属性,请执行以下步骤:

  1. 在管理员界面中,单击“资源”。

  2. 选择要查看或编辑帐户属性的资源。

  3. 在“资源操作”列表中,单击“编辑资源模式”。

    将打开“编辑资源帐户属性”页。

    模式映射左侧的列(标题为 Identity System 用户属性)包含 Identity Manager 帐户属性的名称,Identity Manager 管理员界面和用户界面中使用的表单将引用这些名称。模式映射的右列(标题为 "Resource User Attribute")包含来自外部源的属性名称。

资源组

可以使用资源区域来管理资源组,以使您能够对资源进行分组,以便按特定顺序更新这些资源。通过在组中加入资源并对资源排序,然后将组分配给用户,可确定创建、更新和删除该用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败,则其余资源不会被更新。这种关系类型对相关资源很重要。

例如,Exchange Server 2007 资源依赖于现有的 Windows Active Directory 帐户。该帐户必须存在,然后才能成功创建 Exchange 帐户。通过使用 Windows Active Directory 资源和 Exchange Server 2007 资源(按顺序)创建资源组,可以确保用户的创建顺序正确无误。反过来,此顺序可以确保删除用户时资源按正确顺序删除。

选择“资源”,然后选择“列出资源组”以显示当前定义的资源组列表。在该页单击“新建”以定义资源组。定义资源组时,有一个选项区域允许您在选择资源后对所选资源排序,并可以选择可以使用该资源组的组织。

全局资源策略

本节介绍了如何编辑全局资源策略以及为资源设置超时值。

Procedure编辑策略属性

可以从“编辑全局资源策略属性”页中编辑资源策略属性。

  1. 打开“编辑全局资源策略属性”页,然后根据需要编辑这些属性。

    这些属性包括:

    • 默认捕获超时。输入一个值(以毫秒为单位),以指定在命令行提示之后适配器超时之前,适配器应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当命令或脚本的结果很重要且将由适配器解析时,将使用此设置。

      此设置的默认值为 30000(30 秒)。

    • 默认等待超时。输入一个值(以毫秒为单位),以指定在执行检查以查看命令是否具有就绪字符(或结果)之前,脚本化适配器在两次轮询之间应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当适配器不检查命令或脚本的结果时,将使用此设置。

    • 等待忽略大小写。输入一个值(以毫秒为单位),以指定适配器在超时之前应等待命令行提示的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。不区分大小写(大写或小写)时,将使用此设置。

    • 资源帐户密码策略。(如果适用)选择要应用于选定资源的资源帐户密码策略。“无”是默认选项。

    • 排除资源帐户规则。(如果适用)选择管理排除资源帐户的规则。“无”是默认选项。

  2. 必须单击“保存”才能保存对策略所做的更改。

Procedure设置其他超时值

可以通过编辑 Waveset.properties 文件来修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定该值,系统将使用默认值 50。

  1. Waveset.properties 文件中添加以下行:

    com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

  2. 保存该文件。

批量资源操作

通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。

图 5–13 显示了使用创建操作的批量操作的启动页。

图 5–13 “启动批量资源操作”页

该图显示了使用创建操作的批量操作的启动页。

用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择“从操作列表”以指定多个操作。

单击“启动”以启动操作,该操作将作为后台任务运行。

了解和管理外部资源

您还可以使用 Identity Manager 为企业创建、置备和集中管理外部资源

本节介绍了如何使用外部资源,该信息分为以下主题:

什么是外部资源?

外部资源是唯一不能直接存储用户帐户信息的资源类型。该资源在 Identity Manager 工作区之外。这些资源可能是台式计算机、便携式计算机、移动电话和安全徽章等。

置备外部资源几乎始终需要一个或多个手动过程。例如,在提出初始请求并获得为新雇员置备便携式计算机所需的批准后,您可能需要向公司的订购请求系统提交购买请求。在填写订单后,另一个人可能需要使用公司应用程序预配置便携式计算机以完成置备请求,然后才会亲自将便携式计算机交给新雇员。

为什么使用外部资源?

通过使用 Identity Manager 置备外部资源,您可以向一个或多个置备程序通知暂挂请求,其中包括所置备的资源的详细信息。

例如,外部资源置备程序可能是 IT 管理员,他需要为用户手动订购并预配置便携式计算机。

Identity Manager 还可以维护为给定用户置备的外部资源的相关信息,并在完成置备请求后更新该信息。然后,Identity Manager 提供该信息以进行查看、报告、审计遵循性验证以及导出。

注 –

要配置外部资源,您必须具有外部资源管理员权能。要创建新的外部资源,您必须具有资源管理员权能。

配置外部资源

本节介绍了配置外部资源数据存储库以及外部资源置备程序通知的过程。

配置外部资源数据存储库

Identity Manager 的外部资源数据存储库是单个数据存储库,用于保存有关外部资源和外部资源分配的信息。此数据存储库可以是数据库,也可以是目录。

注 –

您必须具有外部资源管理员权能才能配置外部资源数据存储库。

通过使用外部资源数据存储库,您可以将数据存储在所需的任意属性值中,并且可以将这些值存储在一个或多个表中。

例如,如果使用的是 MySQL 数据库,则 Identity Manager 将外部资源信息存储在以下表中:

用于创建数据库表的示例脚本与 Identity Manager 封装在一起,这些脚本位于以下位置:


wshome/sample/ScriptedJdbc/External

Identity Manager 支持多种数据库类型,并为每种类型提供了示例脚本。对于特定环境,您可以根据需要修改这些脚本。

外部资源数据存储库还通过使用 LDAPResourceAdapter 来支持 LDAP,这样您便可以将数据存储在现有类或自定义类中。示例 LDIF 脚本也与 Identity Manager 封装在一起,该脚本位于以下位置:


wshome/sample/other/externalResourcePerson.ldif

您可以在配置外部资源目录数据存储库过程中修改该脚本。

Procedure配置数据库类型数据存储库

虽然您可以方便地进行更改,但通常仅配置一次外部资源数据存储库。如果您修改了配置,Identity Manager 会自动更新所有现有外部资源以使用新配置的数据存储库。

可以使用以下步骤配置数据库类型数据存储库:

  1. 从 Identity Manager 管理员界面的菜单栏中选择“配置”->“外部资源”。

  2. 在显示“数据存储库配置”页时,从“数据存储库类型”菜单中选择“数据库”。将显示其他选项。

    图 5–14 “数据存储库配置”页:数据库

    该图显示了数据库类型的示例“数据存储库配置”页

  3. 指定以下连接和验证信息:

    注 –

    Identity Manager 自动使用默认值填充“JDBC 驱动程序”、“JDBC URL 模板”、“端口”和“最长空闲时间(秒)”字段。如有必要,您可以更改这些默认值。

    • JDBC 驱动程序。指定 JDBC 驱动程序类名。

    • JDBC URL 模板。指定 JDBC 驱动程序 URL 模板。

    • 主机。输入运行数据库的主机的名称。

    • TCP 端口。输入数据库侦听的端口号。

    • 数据库。输入数据库服务器上包含数据存储库表的数据库的名称。

    • 用户。输入有足够权限读取、更新和删除数据存储库表行的数据库用户的 ID。例如,超级用户。

    • 密码。输入数据库用户的密码。

    • 重新抛出所有 SQLException。选中此框可在异常错误代码为 0 时重新抛出 SQL 语句的 SQL 异常。

      如果未启用此选项,Identity Manager 将捕获并禁止这些异常。

    • 最长空闲时间。指定希望 JDBC 连接在池中保持未使用状态的最长时间(秒)。

      如果在指定时间内未使用该连接,Identity Manager 将关闭该连接并将其从池中删除。

      • 默认值为 600 秒。

      • -1 值可防止连接到期

  4. 在成功连接到数据存储库后,您必须为每个受支持的资源操作指定一个或多个要执行的脚本。有关说明,请参见配置操作脚本

Procedure配置操作脚本

必须指定一组 BeanShell (bsh) 脚本,Identity Manager 可使用这些脚本跟踪和执行给定请求的获取、创建、更新、删除、启用、禁用以及测试状态。

以下位置提供了示例操作脚本:


wshome/sample/ScriptedJdbc/External/beanshell
注 –

可以修改这些示例以创建您自己的自定义操作脚本。自定义脚本将添加到“操作脚本”选择工具中,并显示在“可用”和“已选定”列表中的水平线以下。

对于外部资源支持的任何数据库类型的资源操作,Identity Manager 提供了一些示例脚本。要访问这些脚本,请使用以下位置中提供的 ResourceAction 脚本:


wshome/sample/ScriptedJdbc/External/beanshell

默认数据库名称、用户名和密码均为 extres

可以使用以下步骤配置操作脚本:

  1. 使用“数据存储库配置”页中的“操作脚本”选择工具为每个资源操作指定一个或多个操作脚本。必须至少为每个资源操作选择一个脚本。

    图 5–15 “操作脚本”区域

    该图显示了“数据存储库配置”页的“操作脚本”区域

    必须选择与资源操作匹配的默认操作脚本。例如,必须使用

    • External-getUser-bsh 执行获取用户资源操作

      注 –

      获取用户资源操作用于执行搜索操作。

    • External-createUser-bsh 执行创建用户资源操作

    • External-deleteUser-bsh 执行删除用户资源操作

    • External-updateUser-bsh 执行更新用户资源操作

    • External-disableUser-bsh 执行禁用用户资源操作

    • External-enableUser-bsh 执行启用用户资源操作

    • External-test-bsh 执行测试资源操作

      注 –

      测试资源操作用于启用“测试连接”按钮的全部功能。

    无法从列表的示例脚本中选择任何其他 bsh 脚本。

  2. 从菜单中选择一种操作上下文模式,以指定将属性值传递到操作脚本的方式。

    • 字符串。将属性值作为字符串值进行传递。

    • 直接。将属性值作为 com.waveset.object.AttributeValues 对象进行传递。

  3. 现在是测试数据存储库连接配置的最佳时机。请单击位于页面底部的“测试连接”按钮。

    将显示一条消息,以确认连接成功或报告配置错误。

  4. 完成后,单击“下一步”以转至“置备程序通知配置”页。

Procedure配置目录类型数据存储库

可以使用以下步骤配置目录类型数据存储库。

  1. 从“数据存储库类型”菜单中选择“目录”。将显示其他选项。

    图 5–16 “数据存储库配置”页:目录

    该图显示了目录类型的示例“数据存储库配置”页

  2. 您必须为目录类型数据存储库指定连接和验证信息。

    请配置以下选项:

    • 主机。输入运行 LDAP 服务器的主机的 IP 地址或名称。

    • TCP 端口。输入用于与 LDAP 服务器通信的 TCP/IP 端口。

      • 如果使用的是 SSL,该端口通常为 636。

      • 如果使用的不是 SSL,该端口通常为 389。

    • SSL。选中此选项可使用 SSL 连接到 LDAP 服务器。

    • 故障转移服务器。列出首选服务器发生故障时所使用的所有故障转移服务器。请使用以下格式(遵循 RFC 2255 中介绍的标准 LDAP 版本 3 URL)输入该信息:


      ldap://ldap.example.com:389/o=LdapFailover

      只有 URL 的主机、端口和标识名 (distinguished name, DN) 部分在此设置中是相关的。

      如果首选服务器发生故障,JNDI 将自动连接到此列表中的下一个服务器。

    • 用户 DN。输入在更新时用于进行 LDAP 服务器验证的 DN。(默认为 cn=Directory Manager

    • 密码。输入主体的密码。

    • 基本上下文。指定在 LDAP 树中搜索用户时 Identity Manager 可以使用的一个或多个起始点。(默认为 dc=MYDOMAIN,dc=com

      在尝试从 LDAP 服务器中查找用户或查找用户所属的组时,Identity Manager 将执行搜索。

    • 对象类。输入在 LDAP 树中创建新用户对象时使用的一个或多个对象类。(默认为 top)

      每个条目必须位于单独一行中。不要使用逗号或空格分隔条目。

      某些 LDAP 服务器要求您指定类分层结构中的所有对象类。例如,您可能需要指定 toppersonorganizationalpersoninetorgperson,而不是只使用 inetorgperson

    • 用于检索帐户的 LDAP 过滤器。输入 LDAP 过滤器以控制从 LDAP 资源返回的帐户。如果未指定过滤器,Identity Manager 将返回包含所有指定对象类的所有帐户。

    • 在搜索过滤器中包括所有对象类。选中此框可要求所有帐户都包含每个指定的对象类,并且与“用于检索帐户的 LDAP 过滤器”字段中指定的过滤器相匹配。

      注 –

      如果未指定任何搜索过滤器,则必须启用此选项。如果禁用此选项,可通过使用“协调”或“从资源加载”功能将不包含所有指定对象类的帐户加载到 Identity Manager 中。

      在加载后,不会自动更新帐户的 objectclass 属性。如果通过管理员界面公开缺少对象类的属性,将无法在不修改 objectclass 属性的情况下提供此属性的值。要避免此问题,请覆盖“协调”或“从资源加载”表单中的 objectclass 值。

    • 用户名属性。输入 LDAP 属性的名称,从目录中搜索用户时,该名称会映射到 Identity Manager 用户名称。该名称通常为 uidcn

    • 显示名称属性。输入资源帐户属性名称,其值将在显示此帐户名称时使用。

    • VLV 排序属性。输入用于资源上 VLV 索引的排序属性的名称。

    • 使用块。选中此框可采用分块方式检索并处理用户。

      在对大量用户执行操作时,采用分块方式处理用户可减少该操作使用的内存量。

    • 块计数。输入可组合到块中以进行处理的最大用户数目。

    • 组成员属性。输入在组中添加用户时使用用户标识名 (Distinguished Name, DN) 更新的组成员属性名称。

      属性名称取决于组的对象类。例如,Sun JavaTM System Enterprise Edition Directory Server 和一些 LDAP 服务器使用包含 groupOfUniqueNames 对象类和 uniqueMember 属性的组。其他 LDAP 服务器使用包含 groupOfUniqueNames 对象类和 member 属性的组。

    • 密码散列算法。输入 Identity Manager 可用于散列密码的算法。支持的值包括:

      • SSHA

      • SHA

      • SMD5

      • MD5

      如果指定 0 或将此字段保留空白,Identity Manager 将不散列密码,并在 LDAP 中存储明文密码,除非 LDAP 服务器执行散列。例如,Sun Java System Enterprise Edition Directory Server 散列密码。

    • 更改命名属性。选中此框可允许修改操作更改代表最左侧相关标识名 (distinguished name, DN) 的用户属性。修改通常会将命名属性更改为 uidcn

    • LDAP 激活方法

      • 如果希望资源使用密码分配执行启用或禁用操作,则将此字段保留空白。

      • 输入对此资源的用户执行激活操作时使用的 nsmanageddisabledrole 关键字、nsaccountlock 关键字或类名。

    • LDAP 激活参数。根据在“LDAP 激活方法”字段中填写的内容,输入一个值:

      • 如果指定 nsmanageddisabledrole 关键字,则必须使用以下格式输入一个值:


        IDMAttribute=CN=nsmanageddisabledrole,baseContext

      • 如果指定 nsaccountlock 关键字,则必须使用以下格式输入一个值:


        IDMAttribute=true

      • 如果指定类名,则必须使用以下格式输入一个值:


        IDMAttribute
      注 –

      有关“LDAP 激活方法”和“LDAP 激活参数”的详细信息,请参见《Sun Identity Manager 8.1 Resources Reference》

    • 使用分页结果控制。选中此框可使用 LDAP 分页结果控制在协调期间迭代处理帐户,而不是使用 VLV 控制。

      注 –

      资源必须支持简单分页控制。

    • 保留 LDAP 组成员资格。选中此框可在重命名或删除用户时让适配器保留 LDAP 组成员资格。

      如果未启用此选项,则 LDAP 资源保留组成员资格。

  3. 单击“测试连接”按钮以测试数据存储库连接配置。

    将显示一条消息,以确认连接成功或报告配置错误。

  4. 完成后,单击“保存”,然后单击“下一步”以转至“置备程序通知配置”页。

    注 –

    您必须先设置有效的帐户属性和身份模板,然后才能在 LDAP 资源上创建用户。

配置置备程序通知

在为外部资源配置数据存储库后,您必须配置置备程序通知。您还可以配置请求程序通知。本节介绍了使用电子邮件或 Remedy 配置通知的过程。

Procedure配置电子邮件通知

注 –

有关电子邮件模板的详细信息,请参见“配置任务模板”。

可以按照以下说明配置电子邮件通知并将其发送到一个或多个置备程序:

  1. 在“置备程序通知配置”页中,从“置备程序通知类型”菜单中选择“电子邮件”。将显示其他选项,如下图中所示。

    图 5–17 置备程序通知配置页:电子邮件通知类型

    该图显示了电子邮件通知类型的示例“置备程序通知”页

  2. 配置以下选项:

    • 置备请求模板。从菜单中选择“样例外部置备请求”。可以使用此电子邮件模板配置用于向置备程序通知外部资源请求的电子邮件。

    • 按照委托。如果希望 Identity Manager 遵循为置备程序定义的委托,请选中此框。

    • 置备程序提升规则可选)。选择一个规则以确定在下列情况下将请求提升到的置备程序:当前置备程序在指定的超时时间段内未响应请求。

      注 –

      虽然此菜单中提供了一些示例规则,但您必须选择样例外部置备程序提升规则或使用您自己的自定义规则。样例外部置备程序提升规则使用外部置备程序提升规则确定提升到的置备程序。

    • 提升超时。指定将置备请求提升到下一个置备程序之前等待的最长时间。

      注 –

      • 如果将此字段保留空白或输入零,则从不提升请求。

      • 如果指定超时但未选择“置备程序提升规则”,Identity Manager 将在请求超过指定超时后将请求提升到配置器。如果配置器不存在,则在超时到期后将请求归类为“未完成”。

    • 置备请求表单。选择一个表单,外部资源置备程序可使用该表单将置备请求标记为“已完成”或“未完成”。

    • 置备程序规则。您必须选择一个规则,以定义在为用户分配外部资源时将置备请求发送到的置备程序。

      注 –

      • 您可以编写自己的规则以达到此目的。您还可以定义多个置备程序。当任何置备程序完成任务时,会将该任务从所有置备程序的队列中删除。有关编写自定义规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4  章 “Working with Rules”

      • 虽然此菜单中提供了一些示例规则,但您必须选择样例外部置备程序规则或使用您自己的自定义规则。样例外部置备程序规则将配置器指定为置备程序。

    • 通知请求程序。选中此框可向原始请求程序回复电子邮件,其中包含对请求执行的操作的相关信息。例如,置备请求是否完成以及是否需要其他信息等。

      在启用此选项时,将显示以下附加字段:

      注 –

      • 置备请求完成模板。选择在完成请求时用于通知请求程序的样例外部置备请求完成模板。

      • 置备请求未完成模板。选择在未完成请求时用于通知请求程序的样例外部置备请求未完成模板。

  3. 单击“保存”。

    将显示“配置”页,指示您可以继续执行其他配置任务。

  4. 转到“资源”->“列出资源”选项卡。您现在可以基于此配置创建各个外部资源。有关说明,请参见创建资源

Procedure配置 Remedy 通知

可以按照以下说明创建 Remedy 票证并将其发送到置备程序:

  1. 从“置备程序通知类型”菜单中选择 "Remedy"。将显示其他选项,如下图中所示。

    图 5–18 置备程序通知配置页:Remedy 通知类型

    该图显示了 Remedy 通知类型的示例“置备程序通知”页

  2. 配置以下选项:

    • 置备请求 Remedy 模板。从菜单中选择“样例外部 Remedy 模板”。

      注 –

      Identity Manager 提供了一个样例 Remedy 模板,您可以直接使用该模板,也可以根据需要对其进行修改。

      Remedy 模板包含一组用于创建 Remedy 票证的字段。Identity Manager 还使用此模板查询 Remedy 的票证状态,以查看任务是否完成。

    • 置备请求 Remedy 规则。您必须从此菜单中选择一个规则以定义 Remedy 配置设置。

      注 –

      虽然此菜单中提供了一些示例规则,但您必须选择样例外部 Remedy 规则或使用您自己的自定义规则。样例外部 Remedy 规则使用 Remedy 规则来确定 Remedy 票证的当前状态是“已完成”还是“未完成”。

      Remedy 模板包含一组用于创建 Remedy 票证的字段。Identity Manager 还使用此模板查询 Remedy 的票证状态,以查看任务是否完成。

      Identity Manager 使用此规则查询 Remedy 票证以了解状态信息。如果票证状态为“已完成”或“未完成”,则 Identity Manager 将工作项目分别标记为“已完成”或“未完成”。

      注 –

      您可以编写自己的规则以达到此目的。系统提供了一个样例规则(名为“样例外部 Remedy 规则”),您可以直接使用该规则,也可以根据需要对其进行修改。有关编写自定义规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4  章 “Working with Rules”

    • 按照委托。如果希望 Identity Manager 遵循为置备程序定义的委托,请选中此框。

    • 置备程序提升规则可选)。选择一个规则以确定在下列情况下将请求提升到的置备程序:当前置备程序在指定的超时时间段内未响应请求。

      注 –

      虽然此菜单中提供了一些示例规则,但您必须选择样例外部置备程序提升规则或使用您自己的自定义规则。样例外部置备程序提升规则使用外部置备程序提升规则确定提升到的置备程序。

    • 提升超时。指定将置备请求提升到下一个置备程序之前等待的最长时间。

      注 –

      • 如果将此字段保留空白或输入零,则从不提升请求。

      • 如果指定超时但未选择“置备程序提升规则”,Identity Manager 将在请求超过指定超时后将请求提升到配置器。如果配置器不存在,则在超时到期后将请求归类为“未完成”。

    • 置备请求表单。选择一个表单,外部资源置备程序可使用该表单将置备请求标记为“已完成”或“未完成”。

    • 置备程序规则。选择一个规则,以便为此外部资源请求确定一个或多个置备程序。

      注 –

      您可以编写自己的规则以达到此目的。您还可以定义多个置备程序。当任何置备程序完成任务时,会将该任务从所有置备程序的队列中删除。有关编写自定义规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4  章 “Working with Rules”

      • 样例外部置备程序。将配置器指定为置备程序。

      • 样例外部置备程序提升。使用外部置备程序提升规则来确定提升到的置备程序。

      • 样例外部 Remedy 规则。定义 Remedy 配置器设置。

    • 通知请求程序。如果要在完成或未完成请求时向请求程序发送电子邮件,请选中此框。在启用此选项时,将显示以下附加字段:

      • 置备请求完成模板。选择在完成请求时使用的电子邮件模板。

      • 置备请求未完成模板。选择在未完成请求时使用的电子邮件模板。

      注 –

      有关电子邮件模板的详细信息,请参见配置任务模板

  3. 单击“保存”。

    将显示“配置”页,指示您可以继续执行其他配置任务。

  4. 转到“资源”->“列出资源”选项卡。您现在可以基于此配置创建各个外部资源。有关说明,请参见创建外部资源

创建外部资源

在配置外部资源数据存储库和置备程序通知后,您可以创建新的外部资源。

注 –

您必须具有资源管理员权能才能创建新的外部资源。

    要创建新的外部资源,请使用以下步骤:

  1. 从主菜单栏中选择“资源”选项卡。默认情况下,将显示“列出资源”选项卡。

  2. 单击“配置类型”选项卡以打开“配置受管理的资源”页。

    该图展示了新外部资源位于“资源适配器”列表中

  3. 查看资源适配器表以检查外部资源类型是否可用。

  4. 返回到“列出资源”选项卡,然后从“资源类型操作”菜单中选择“新建资源”。

  5. 在显示“新建资源”页时,从“资源类型”菜单中选择“外部”,然后单击“新建”。

    该图显示了“资源类型”菜单

  6. 将显示“创建外部资源向导”欢迎页。单击“下一步”。

    将显示“数据存储库配置”页的只读视图,其中显示了以前定义的连接和验证信息。

    正如前面所述,您通常仅配置一次此数据存储库,因为该配置适用于所有外部资源。如果要更改任何此类信息,您必须返回到“配置”->“外部资源”选项卡。

    注 –

    如果要在继续之前重新测试当前数据存储库配置,您可以单击位于页面底部的“测试配置”。

  7. 单击“下一步”以打开“置备程序通知配置”页,该页与在“配置”->“外部资源”选项卡上配置的页面完全相同。

  8. 查看当前置备程序通知设置,并对新资源进行任何必要的更改。

    注 –

    如有必要,请参阅前文配置置备程序通知中的配置说明。对此页进行的任何更改只影响此资源。

  9. 单击“下一步”。

    从这个角度讲,创建外部资源的过程与用于创建任何其他资源的过程是相同的。该向导将指导您完成几个其他页面的配置工作:

    • “帐户属性”页。可以使用该页为资源定义可选帐户属性,并将 Identity System 属性映射到新资源帐户属性。例如,如果要创建一个名为 "laptop" 的外部资源,您可能需要添加属性以表示型号和大小。

      注 –

      没有为该页指定任何默认值。

    • “身份模板”页。可以使用该页为在此外部资源上创建的用户定义帐户名称语法。您可以使用默认身份模板 $accountId$,也可以指定不同的模板。

    • “Identity System 参数”页。可以使用该页为外部资源配置 Identity System 参数。例如,您可以禁用策略,配置重试次数或指定批准者。

    有关这些页面的详细信息以及完成配置此资源所需的说明,请参见创建资源

  10. 在配置完“Identity System 参数”页后,单击“保存”。现在,您可以将此资源分配给用户,就像分配任何其他资源一样。

置备外部资源

本节介绍了实际置备过程,其中包括:

Procedure为用户分配外部资源

可以使用以下步骤为用户分配外部资源:

注 –

要分配外部资源,您必须具有资源管理员权能。

  1. 单击“帐户”->“列出帐户”,然后从该页中单击用户的名称。

  2. 在显示“编辑用户”页时,单击“资源”选项卡。

  3. 在“单独资源分配”的“可用资源”列表中找到外部资源,将该资源移到“当前资源”列表中,然后单击“保存”。

    图 5–19 “编辑用户”页

    该图显示了“编辑用户”页中的选择工具

    Identity Manager 将创建一个置备任务,并向您发送邮件以指示拥有该置备任务的用户。请记住,在为此资源配置“置备程序通知”页时,使用置备程序规则定义了一个或多个置备程序。

    Identity Manager 还会通过电子邮件或 Remedy 票证通知置备程序,它们具有暂挂请求。

    注 –

    与其他资源一样,您可以定义批准者,他们可以批准或拒绝请求。您必须定义置备程序,但他们不能批准或拒绝请求。置备程序可以完成或未完成任务。

  4. 单击“确定”以返回至“帐户”->“列出帐户”页。请注意,将在工作项目图标中的用户名旁边显示沙漏,以指示请求处于暂挂状态。

Procedure响应外部资源置备请求

在生成置备请求后,该请求将暂停置备过程,直至某个定义的置备程序完成手动置备,或将该请求标记为未完成或者该请求超时。Identity Manager 将审计这些置备响应。

与任何其他工作项目一样,可以从“工作项目”->“置备请求”选项卡中查看所有暂挂外部资源置备请求。

可以按如下方式响应置备请求:

  1. 单击“工作项目”>“置备请求”选项卡以打开“等待置备”页。

    图 5–20 “等待置备”页

    该图显示了等待置备的示例置备请求

  2. 查找并选择暂挂置备请求。

  3. (可选)您可以打开置备请求电子邮件,单击置备请求模板中定义的链接,然后登录以查看包含置备请求详细信息的页面。

    您可以从该页中更新任何请求的属性,以便准确地反映为用户置备的资源。例如,如果用户请求置备 Sony 便携式计算机,但该型号不可用,您可以使用实际置备的型号更新该页面。

    图 5–21 置备新便携式计算机的请求

    该图显示了置备新便携式计算机外部资源的示例请求

  4. 单击下面的某个按钮以处理该请求:

    • 如果您可以置备该资源,请单击“已完成”。

      Identity Manager 将更新该用户的外部资源帐户属性以显示实际置备的资源,删除暂挂置备状态标记,并完成所更新的置备请求工作项目。

      如果已配置,Identity Manager 还会通知请求程序,置备请求已完成(使用为此目的配置的电子邮件模板)。

    • 如果无法置备该资源,请指定原因,然后单击“未完成”。

      在将请求标记为“未完成”时,

      • 不会为该用户置备外部资源。

      • 但仍会将外部资源分配给用户。

      • 将在该用户的名称旁边显示黄色图标,指示该用户需要更新。

        如果编辑此用户,则会显示一条错误消息,指出在外部资源中找不到该用户。

      • 如果已配置,Identity Manager 还会向请求程序发送通知(使用为此目的配置的电子邮件模板)。

    • 如果无法置备资源,您也可以单击“转发”,将该请求转发给其他人。

    在完成或未完成置备请求工作项目时,Identity Manager 将清除用户的分配外部资源暂挂状态,并且不会对外部资源数据存储库进行任何更新。

    将在用户的分配资源列表和当前资源帐户列表中显示该资源,其中包括该资源的用户 accountId。

    注 –

    如果分配的置备程序在指定的超时时间段内未响应置备请求,Identity Manager 将取消关联的置备请求工作项目。

提升置备请求
委托置备请求

您可以像委托任何其他置备请求一样委托外部资源置备工作项目。有关详细信息和说明,请参见委托工作项目

取消分配外部资源和解除其链接

与任何其他资源一样,您可以从“常规”选项卡中为用户取消分配外部资源或解除其链接。有关说明,请参见创建用户和使用用户帐户

注 –

为用户取消分配外部资源或解除其链接并不会创建置备请求或工作项目。在取消分配外部资源或解除其链接时,Identity Manager 不会取消置备或删除资源帐户,因此,您无需执行任何操作。

外部资源故障排除

无法删除仍分配了外部资源的用户。您必须首先取消置备或删除这些外部资源,然后才能删除用户。

Identity Manager 允许您使用以下方法调试和跟踪外部资源:

有关跟踪和故障排除的详细信息,请参见《Sun Identity Manager 8.1 System Administrator’s Guide》