了解和管理 Identity Manager 资源

阅读本节的信息和过程可以帮助您设置 Identity Manager 资源。

什么是资源？

Identity Manager 资源存储了关于如何与要在其中创建帐户的某个资源或系统相连接的信息。Identity Manager 资源定义有关某个资源的相关属性，并帮助指定如何在 Identity Manager 中显示资源信息。

Identity Manager 提供类型广泛的资源，包括：

• 主机安全管理器

• 数据库

• 目录服务

• 操作系统

• 企业资源计划 (ERP) 系统

• 消息平台

界面中的资源区域

Identity Manager 在“资源”页上显示关于现有资源的信息。

要访问资源，请选择菜单栏上的“资源”。

资源列表中的资源是按类型进行分组的。每种资源类型由一个文件夹图标表示。要查看当前定义的资源，请单击文件夹旁边的指示符。再次单击指示符可折叠视图。

当展开资源类型文件夹后，它会动态更新并显示包含的资源对象数量（如果它是支持多个组的资源类型）。

有些资源含有可以管理的附加对象，包括以下对象：

• 组织

• 组织单位

• 组

• 角色

从资源列表中选择一个对象，然后从以下某个选项列表中进行选择，以启动一个管理任务：

• 资源操作。用于对资源执行一系列操作，包括编辑、活动同步、重命名和删除；还可以使用资源对象和管理资源连接。

• 资源对象操作。编辑、创建、删除、重命名、另存为和查找资源对象。

• 资源类型操作。编辑资源策略、使用帐户索引和配置受管理的资源。

当您创建或编辑资源时，Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中，并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

在创建新的资源之前，必须指示 Identity Manager 您希望能够管理哪些资源类型。要启用资源并创建自定义资源，请使用“配置受管理的资源”页。

打开“配置受管理的资源”页

可以使用以下步骤打开“配置受管理的资源”页：

1. 登录到管理员界面。

2. 单击“资源”选项卡。

   可以使用下面的某种方法打开“配置受管理的资源”页：

   • 找到“资源类型操作”下拉列表，然后选择“配置受管理的资源”。

   • 单击“配置类型”选项卡。

   将打开“配置受管理的资源”页。

   该页包含三个部分：

   • 资源连接器。此部分列出了资源连接器类型、连接器版本以及连接器服务器。

   • 资源适配器。此部分列出了大型企业环境中的常见资源类型。“版本”列中列出了连接到资源的 Identity Manager 适配器版本。

   • 自定义资源适配器。此部分用于将自定义资源添加到资源列表中。

启用资源类型

可以使用以下步骤从“配置受管理的资源”页中启用资源类型：

1. 如果尚未打开“配置受管理的资源”页（管理资源列表），请将其打开。

2. 在“资源”部分中，在“受管理？”列选中要启用的资源类型的框。

   要启用所有列出的资源类型，请选择“管理所有资源”。

3. 单击页面底部的“保存”。

   该资源将添加到资源列表中。

添加自定义资源

可以使用以下步骤从“配置受管理的资源”页中添加自定义资源：

1. 如果尚未打开“配置受管理的资源”页（管理资源列表），请将其打开。

2. 在“自定义资源”部分中单击“添加自定义资源”，以便在表中添加一行。

3. 输入资源的资源类路径或输入您自定义创建的资源。有关随 Identity Manager 提供的适配器，请参见《Sun Identity Manager 8.1 Resources Reference》以了解完整的类路径。

4. 单击“保存”将资源添加到“资源”列表。

创建资源

在启用资源类型后，您可以随后在 Identity Manager 中创建该资源的实例。要创建资源，请使用资源向导。

资源向导将指导您完成设置以下项的过程：

• 资源特定的参数。创建此资源类型的具体实例时，可以从 Identity Manager 界面修改这些值。

• 帐户属性。在资源的模式映射中定义。这些值确定 Identity Manager 用户属性如何与资源上的属性映射。

• 帐户 DN 或身份模板。包括用户的帐户名语法，它对分层名称空间尤其重要。

• 资源的 Identity Manager 参数。设置策略、建立资源批准者，并设置组织对资源的访问权限。

1. 登录到管理员界面。

2. 单击“资源”选项卡。确保选中了“列出资源”子选项卡。

3. 找到“资源类型操作”下拉列表，然后选择“新建资源”。

   将打开“新建资源”页。

4. 从下拉列表中选择一种资源类型。（如果没有列出要查找的资源类型，您需要将其启用。请参见管理资源列表。）

5. 单击“新建”以显示“资源向导”欢迎页。

6. 单击“下一步”开始定义资源。

   “资源向导”步骤和页面按以下顺序显示：

   • 资源参数。设置控制验证和资源适配器行为的资源特定参数。输入参数，然后单击“测试连接”，以确保连接有效。在确认连接有效后，单击“下一步”设置帐户属性。

     下图显示了 Solaris 资源的“资源参数”页。对于不同的资源，该页上的表单字段也不相同。

     

   • 帐户属性（模式映射）。将 Identity Manager 帐户属性映射到资源帐户属性。有关资源帐户属性的详细信息，请参见查看或编辑资源帐户属性。

     • 要添加属性，请单击“添加属性”。

     • 要删除一个或多个属性，请选中属性旁边的框，然后单击“删除选定的属性”。

       下图显示了“资源向导”中的“帐户属性”页。

       

     ---

     注 –

     如果要将属性导出到 EXT_RESOURCEACCOUNT_ACCTATTR 表中，必须选中要导出的每个属性的“审计”框。

     ---

     完成后，单击“下一步”以设置身份模板。

   • 身份模板。定义用户的帐户名称语法。此功能对分层结构的名称空间尤其重要。

     • 要在模板中添加属性，请从“插入属性”列表中选择该属性。

     • 要删除属性，请在字符串中突出显示该属性，然后按键盘上的 Delete 键。删除属性名称以及前导和后续的 $（美元符号）字符。

     • 帐户类型。Identity Manager 提供了将多个资源帐户分配给单个用户的功能。例如，用户可能需要特定资源上的管理员级别帐户以及普通用户帐户。要在该资源上支持多种帐户类型，请选中“帐户类型”复选框。

       ---

       注 –

       如果尚未创建由子类型 IdentityRule 标识的一个或多个身份生成规则，则无法选中“帐户类型”复选框。由于 accountId 各不相同，因此，不同类型的帐户必须为给定用户生成不同的 accountId。身份生成规则指定了应如何创建这些唯一的 accountId。

       ---

       sample/identityRules.xml 中提供了样例身份规则。

       直到 Identity Manager 中的其他对象不再引用某种帐户类型时，才能删除该帐户类型。另外，也无法重命名帐户类型。

       有关填写“帐户类型”表单的详细信息，请参见 Identity Manager 联机帮助。有关为用户创建多个资源帐户的详细信息，请参见为用户创建多个资源帐户。

       

   • Identity System 参数。为资源设置 Identity Manager 参数，包括重试和策略配置，如创建资源中所示。

     

7. 使用“下一步”和“上一步”在页间移动。完成所有选择后，单击“保存”以保存该资源，并返回到列表页。

管理资源

本节介绍了如何管理现有资源。

这些主题分为以下几个部分：

• 查看资源列表

• 使用资源向导编辑资源

• 使用资源列表命令编辑资源

查看资源列表

您可以从“资源列表”中查看现有资源。

1. 登录到管理员界面。

2. 在主菜单中单击“资源”。

   将在“列出资源”子选项卡上显示资源列表。

使用资源向导编辑资源

可以使用资源向导来编辑资源参数、帐户属性以及 Identity System 参数。也可以指定在此资源上创建的用户应使用的身份模板。

1. 在 Identity Manager 管理员界面中，单击主菜单中的“资源”。

   将在“列出资源”子选项卡上显示资源列表。

2. 选择要编辑的资源。

3. 在“资源操作”下拉菜单中，选择“资源向导”（在“编辑”下面）。

   将在编辑模式下打开选定资源的资源向导。

使用资源列表命令编辑资源

除了编辑资源向导外，您还可以使用资源列表命令对资源执行一系列编辑操作。

1. 从资源列表中选择一个或多个选项。

   这些选项包括：

   • 删除资源。选择一个或多个资源，然后从“资源操作”列表中选择“删除”。可以同时选择几种类型的资源。不能删除与任何角色或资源组相关的资源。

   • 搜索资源对象。选择某个资源，然后从“资源对象操作”列表中选择“查找资源对象”，以便按对象特征查找资源对象（如组织、组织单位、组或个人）。

   • 管理资源对象。对于某些资源类型，可以创建新的对象。选择资源，然后从 "Resource Object Actions" 列表中选择 "Create Resource Object"。

   • 重命名资源。选择某个资源，然后从“资源操作”列表中选择“重命名”。在出现的输入框中输入新的名称，然后单击“重命名”。

   • 克隆资源。选择某个资源，然后从“资源操作”列表中选择“另存为”。在出现的输入框中输入新名称。克隆的资源以选择的名称显示在资源列表中。

   • 对资源执行批量操作。指定一个资源列表和应用（从 CSV 格式的输入）到列表中所有资源的操作。然后启动批量操作以启动批量操作后台任务。

2. 保存所做的更改。

查看或编辑资源帐户属性

资源帐户属性（或模式映射）提供了一种抽象方法，以引用受管理资源上的属性。通过使用模式映射，您可以指定如何在 Identity Manager 中引用属性（在模式映射左侧）以及如何将该名称映射到实际资源上的属性名称（在模式映射右侧）。可随后在表单或工作流定义中引用 Identity Manager 属性名称，并有效地引用资源本身上的属性。

下面显示了 Identity Manager 中的属性与 LDAP 资源属性之间的映射示例：

Identity Manager 属性		LDAP 资源属性
firstname	<-->	givenName
lastname	<-->	sn

在对该资源执行操作时，对 Identity Manager 属性 firstname 的任何引用实际上是引用 LDAP 属性 givenName。

在 Identity Manager 中管理多个资源时，通过将通用 Identity Manager 帐户属性映射到多个资源属性，可以大大简化资源管理。例如，可以将 Identity Manager fullname 属性映射到 Active Directory 资源属性 displayName。同时，在 LDAP 资源上，可以将相同的 Identity Manager fullname 属性映射到 LDAP 属性 cn。这样，管理员只需要提供一次 fullname 值。在保存用户时，fullname 值将传递给具有不同属性名称的资源。

通过在资源向导的“帐户属性”页上建立模式映射，您可以执行以下操作：

• 为来自受管理的资源的属性定义属性名称和数据类型

• 将资源属性限制在公司或组织需要的范围内

• 创建与多个资源共用的公共 Identity Manager 属性名称

• 确定所需用户属性和属性类型

要查看或编辑资源帐户属性，请执行以下步骤：

1. 在管理员界面中，单击“资源”。

2. 选择要查看或编辑帐户属性的资源。

3. 在“资源操作”列表中，单击“编辑资源模式”。

   将打开“编辑资源帐户属性”页。

   模式映射左侧的列（标题为 Identity System 用户属性）包含 Identity Manager 帐户属性的名称，Identity Manager 管理员界面和用户界面中使用的表单将引用这些名称。模式映射的右列（标题为 "Resource User Attribute"）包含来自外部源的属性名称。

资源组

可以使用资源区域来管理资源组，以使您能够对资源进行分组，以便按特定顺序更新这些资源。通过在组中加入资源并对资源排序，然后将组分配给用户，可确定创建、更新和删除该用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败，则其余资源不会被更新。这种关系类型对相关资源很重要。

例如，Exchange Server 2007 资源依赖于现有的 Windows Active Directory 帐户。该帐户必须存在，然后才能成功创建 Exchange 帐户。通过使用 Windows Active Directory 资源和 Exchange Server 2007 资源（按顺序）创建资源组，可以确保用户的创建顺序正确无误。反过来，此顺序可以确保删除用户时资源按正确顺序删除。

选择“资源”，然后选择“列出资源组”以显示当前定义的资源组列表。在该页单击“新建”以定义资源组。定义资源组时，有一个选项区域允许您在选择资源后对所选资源排序，并可以选择可以使用该资源组的组织。

全局资源策略

本节介绍了如何编辑全局资源策略以及为资源设置超时值。

编辑策略属性

可以从“编辑全局资源策略属性”页中编辑资源策略属性。

1. 打开“编辑全局资源策略属性”页，然后根据需要编辑这些属性。

   这些属性包括：

   • 默认捕获超时。输入一个值（以毫秒为单位），以指定在命令行提示之后适配器超时之前，适配器应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当命令或脚本的结果很重要且将由适配器解析时，将使用此设置。

     此设置的默认值为 30000（30 秒）。

   • 默认等待超时。输入一个值（以毫秒为单位），以指定在执行检查以查看命令是否具有就绪字符（或结果）之前，脚本化适配器在两次轮询之间应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当适配器不检查命令或脚本的结果时，将使用此设置。

   • 等待忽略大小写。输入一个值（以毫秒为单位），以指定适配器在超时之前应等待命令行提示的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。不区分大小写（大写或小写）时，将使用此设置。

   • 资源帐户密码策略。（如果适用）选择要应用于选定资源的资源帐户密码策略。“无”是默认选项。

   • 排除资源帐户规则。（如果适用）选择管理排除资源帐户的规则。“无”是默认选项。

2. 必须单击“保存”才能保存对策略所做的更改。

设置其他超时值

可以通过编辑 Waveset.properties 文件来修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定该值，系统将使用默认值 50。

1. 在 Waveset.properties 文件中添加以下行：

   com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

2. 保存该文件。

批量资源操作

通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。

图 5–13 显示了使用创建操作的批量操作的启动页。

图 5–13 “启动批量资源操作”页

用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择“从操作列表”以指定多个操作。

• 操作。要指定单个操作，请选择以下选项之一：创建、克隆、更新、删除、更改密码、重设密码。

  对于单个操作选项，系统将显示选项，可以使用这些选项指定与该操作有关的资源。对于创建操作，您需要指定资源类型。

  如果指定“从操作列表”，请使用“操作列表来源”区域指定要使用的包含操作的文件或在“输入”区域中指定的操作。

  ---

  注 –

  在输入区域列表中或在文件中输入的操作必须为以逗号分隔值 (Comma-separated Value, CSV) 格式。

  ---

• 每页最多结果数。使用此选项可指定在每个任务结果页上显示的批量操作结果的最大数目。默认值为 200。

单击“启动”以启动操作，该操作将作为后台任务运行。