Identity Manager 活动同步功能允许存储在授权外部资源(如应用程序或数据库)中的信息与 Identity Manager 用户数据同步。为 Identity Manager 资源配置同步可使其能够侦听或轮询对授权资源的更改。
可通过在资源同步策略中指定输入表单(针对相应目标对象类型),配置资源属性更改流向 Identity Manager 的方式。
本章中的页面重点介绍如何使用管理员界面执行活动同步任务。要了解活动同步的详细信息,请参见《Sun Identity Manager Deployment Guide》中的第 3 章 “Data Loading and Synchronization”。
Identity Manager 使用同步策略为资源启用同步。
每个资源均具有自己的同步策略。可以使用以下步骤配置或编辑同步策略:
在管理员界面中,单击菜单中的“资源”。
在“资源列表”中,选择要配置同步的资源。
找到“资源操作”列表,然后选择“编辑同步策略”。
将打开该资源的“编辑同步”页。
在 "Edit Synchronization Policy" 页中指定以下选项以配置同步:
目标对象类型。选择要应用策略的用户类型:Identity Manager 用户或服务提供者用户。
在 服务提供者 实现中,必须配置一个同步策略(将“服务提供者用户”指定为对象类型),以便为这些用户启用数据同步。有关服务提供者用户的详细信息,请参见第 17 章。
调度设置。使用此部分可指定启动方法以及轮询进度表。
您可以指定以下启动类型:
“自动”或“以故障转移方式自动启动”。启动 Identity System 时启动授权源。
手动。要求管理员启动授权源。
已禁用。禁用资源。
可以使用“开始日期”和“开始时间”选项指定何时开始轮询。通过选择间隔并输入间隔值(秒、分钟、小时、天、周、月)可指定轮询周期。
如果更改了启动方法或轮询进度表,则必须重新启动服务器以使更改生效。
如果您设置的轮询开始日期和时间还未到达,则轮询将按指定的时间开始。如果您设置的轮询开始日期和时间已经过去,Identity Manager 将根据此信息和轮询间隔确定轮询开始的时间。
例如:
为资源配置活动同步的时间为 2005 年 7 月 18 日(星期二)。
将资源设置为每周轮询,开始日期为 2005 年 7 月 4 日(星期一)的上午 9:00。
在这种情况下,资源将于 2005 年 7 月 25 日(下一个星期一)开始轮询。
如果未指定开始日期或时间,则资源将立即开始轮询。如果采用此方法,则每次应用服务器重新启动时,为活动同步配置的所有资源均将立即开始轮询。典型的方法是设置开始日期和时间。
同步服务器。在群集环境中,每个服务器都可以运行同步。选择某个选项可指定将用于运行资源同步的服务器。
如果同步运行的位置并不重要,请选择“使用任何可用服务器”。同步启动时,将从一组可用的服务器中选择一个服务器。
选择“使用 waveset.properties 中的设置”可使用其中指定的服务器来运行同步。(此功能已过时。)
选择“使用指定服务器”,然后从“同步服务器”列表中选择一个或多个可用服务器,可选择特定服务器来运行同步。
特定于资源的设置。使用此部分可指定同步以何种方式确定要为资源处理的数据。
通用设置。为数据同步活动指定常规设置。
这些设置包括:
代理管理员。选择将处理更新的管理员。所有操作将通过分配给此管理员的权能进行授权。您应选择具有空用户表单的代理管理员。
输入表单。选择将处理数据更新的输入表单。此可选配置项目使属性可以在保存到帐户上之前被转换。
规则(可选)。选择在数据同步过程中使用的规则。
您可以指定以下内容:
进程规则。选择此规则可指定要为每个传入帐户运行的进程规则。此选择将覆盖所有其他选项。如果指定了进程规则,则会为每一行运行该进程,而不管资源上的其他设置如何。既可以是进程名称,也可以是进程名称的评估规则。
关联规则。选择关联规则可以覆盖在资源的协调策略中指定的关联规则。关联规则使资源帐户与 Identity System 帐户相关联。
确认规则。选择确认规则可以覆盖在资源的协调策略中指定的确认规则。
解决进程规则。选择此规则可指定在数据供应的记录中存在多个匹配项时将运行的任务定义的名称。这应该是提示管理员进行手动操作的进程。既可以是进程名称,也可以是进程名称的评估规则。
删除规则。选择将针对每个传入的用户更新进行评估并返回 true 或 false 的规则,以确定是否应进行删除操作。
创建不匹配帐户。启用此选项 (true) 后,适配器将尝试创建在 Identity Manager 系统中未找到的帐户。如果未启用此选项,则适配器将通过由 "Resolve Process Rule" 返回的进程来运行帐户。
日志设置。为日志记录选项指定值。
日志记录选项包含以下内容:
最大日志归档数。如果大于零,则保留最新的 N 个日志文件。如果等于零,则重复使用单个日志文件。如果为 -1,则保留日志文件。
最长活动日志使用期限。在此时间段过后,将对活动日志进行归档。如果时间为零,则不发生基于时间的归档。如果“最大日志归档数”为零,则在指定时间段之后,活动日志将被截断并重新使用。此使用期限条件将独立于“最大日志文件大小”指定的时间条件进行评估。
输入数字,然后选择时间单位(天、小时、分钟、月、秒或周)。默认单位是天。
日志文件路径。输入要创建活动和归档日志文件的目录的路径。日志文件名将以资源名称开头。
最大日志文件大小。输入活动日志文件的最大大小(以字节为单位)。当活动日志文件大小达到最大值时,该文件将被归档。如果“最大日志归档数”为零,则在指定时间段之后,活动日志将被截断并重新使用。此大小条件将独立于“最长活动日志使用期限”指定的使用期限条件进行评估。
日志级别。指定日志记录级别。
可以使用以下日志记录级别:
0. 不记录
1. 错误
2. 信息
3. 详细
4. 调试
单击“保存”以保存资源的策略设置。
在编辑活动同步适配器之前,请停止同步。
打开“编辑同步”页。(有关说明,请参见编辑或配置同步。)
在“调度设置”下面,找到“启动类型”,然后选择“已禁用”。
对于服务提供者用户,请取消选择“启用同步”选项。
将显示警告消息,指示已禁用活动同步。
单击“保存”。
为资源禁用同步将导致在保存更改时停止同步任务。
由于同步是后台任务,因此活动同步适配器配置可能会影响服务器性能。
调节活动同步适配器性能涉及以下任务:
通过资源列表管理活动同步适配器。选择活动同步适配器,然后从“资源操作”列表的同步部分中选择启动、停止和状态刷新控制操作。
轮询时间间隔决定活动同步适配器何时开始处理新信息。应根据正在执行的活动类型确定轮询时间间隔。例如,如果适配器每次从数据库读入相当长的用户列表并在 Identity Manager 中更新所有用户,则可以考虑在每天早晨运行此进程。某些适配器可能需要快速搜索要处理的新项目,可以设置为每分钟运行一次。
要指定运行适配器的主机,请编辑 waveset.properties 文件中的 sources.hosts 属性。
指定以下设置之一:
设置 sources.hosts=hostname1,hostname2,hostname3。此设置列出了要运行活动同步适配器的计算机的主机名。适配器将在此字段中列出的第一个可用主机上运行。
输入的 hostname 必须与 Identity Manager 服务器列表中的条目匹配。可以通过 "Configure" 选项卡查看服务器列表。
设置 sources.hosts=localhost。通过该设置,适配器将在尝试为资源启动活动同步的第一个 Identity Manager 服务器上运行。
在群集环境中,如需指定特定服务器,应使用第一个选项。
此属性设置仅适用于 Identity Manager 用户同步。服务提供商用户同步的主机配置将由同步策略来确定。
可将需要更多内存和 CPU 循环的活动同步适配器配置为在专用服务器上运行,以帮助平衡系统负载。
可禁用、手动启动或自动启动活动同步适配器。要启动或停止活动同步适配器,您必须具有相应的管理员权能以更改活动同步资源。有关管理员权能的信息,请参见权能类别。
如果将适配器设置为自动启动,则当应用服务器重新启动时,该适配器也将重新启动。启动适配器后,它将立即运行并按指定的轮询时间间隔执行。如果您停止某一适配器,则它将在下次检查停止标志时停止。
适配器日志捕获有关适配器当前处理情况的信息。日志捕获的详细信息量取决于您为该日志设置的日志级别。适配器日志对调试问题和查看适配器处理进度都很有用。
每个适配器都有自己的日志文件、路径和日志级别。可以在“同步策略”的“日志”部分中为相应的用户类型(Identity Manager 用户或服务提供者用户)指定这些值。
只能在适配器已经停止时删除适配器日志。大多数情况下,最好在删除适配器日志之前对其进行复制,以便归档。