第 9 章 任务模板
通过使用 Identity Manager 的任务模板,您可以使用管理员界面配置某些工作流行为,以此作为编写自定义工作流的替代方法。
本章分为以下几节:
启用任务模板
Identity Manager 提供了以下可以配置的任务模板:
-
创建用户模板。配置属性以创建用户任务。
-
删除用户模板。配置属性以删除用户任务。
-
更新用户模板。配置属性以更新用户任务。
在使用任务模板之前,必须映射任务模板的进程。
映射进程类型
-
在管理员界面中,选择菜单中的“服务器任务”,然后选择“配置任务”。
图 9–1 展示了“配置任务”页。
图 9–1 初始“配置任务”页
“配置任务”页包含具有以下各列的表:
-
单击“启用”打开模板的“编辑进程映射”页。
例如,针对创建用户模板将显示以下页面(图 9–2)。
图 9–2 “编辑进程映射”页
注 –默认进程类型(在本例中,为 createUser)自动显示在“选定的进程类型”列表中。如果需要,可从菜单中选择其他进程类型。
-
通常,针对每个模板只映射一种进程类型。
-
如果从“选定的进程类型”列表中删除进程类型而不选择替换的进程类型,则将显示“必需的进程映射”部分,指示您选择新任务映射。
-
-
单击“保存”以映射选定的进程类型,并返回“配置任务”页。
注 –重新显示“配置任务”页后,“编辑映射”按钮将替换“启用”按钮,而进程名称将列在“进程映射”列中。
图 9–3 更新后的“配置任务”表
-
为其余每个模板重复映射进程。
验证映射
-
可以通过选择“配置”->“表单和进程映射”来验证映射。显示“配置表单和进程映射”页后,向下滚动到“进程映射”表,验证以下进程类型已映射至表中显示的“进程名称,映射到”条目。
进程类型
Process Name Mapped To
createUser
创建用户模板
deleteUser
删除用户模板
updateUser
更新用户模板
如果成功启用模板,则“进程名称,映射到”条目应该全部包含词模板。
-
如果按上表所示在“进程名称,映射到”列中键入模板,则还可以直接通过“表单和进程映射”页映射这些进程类型。
配置任务模板
在映射模板进程类型(启用任务模板)后,您可以配置任务模板。
-
在管理员界面中,单击主菜单中的“服务器任务”,然后单击“配置任务”。
将打开“配置任务”页。
-
在“名称”列中选择一个链接。
将显示以下页面之一:
-
编辑任务模板“创建用户模板”。打开此页可编辑用于创建新用户帐户的模板。
-
编辑任务模板“删除用户模板”。打开此页可编辑用于删除或取消置备用户帐户的模板。
-
编辑任务模板“更新用户模板”。打开此页可编辑用于更新现有用户信息的模板。
每个"Edit Task Template" 页都包含一组选项卡,作为用户工作流的主要配置区域。
下表介绍了每个选项卡及其用途,以及每个选项卡都由哪些模板使用。
选项卡名称
用途
模板
常规(默认选项卡)
用于定义在“主页”和“帐户”页上的任务栏中以及“任务”页的任务实例表中如何显示任务名称。
仅适用于创建用户和更新用户任务模板
用于指定如何删除或取消置备用户帐户
仅适用于删除用户模板
通知
用于配置 Identity Manager 调用进程时发送给管理员和用户的电子邮件通知。
所有模板
批准
用于按类型启用或禁用批准、指定附加批准者以及在 Identity Manager 执行某些任务之前指定帐户数据的属性。
所有模板
Audit
用于启用和配置工作流的审计。可以使用此选项卡配置工作流以捕获工作流报告的信息。
所有模板
置备
用于在后台运行任务并允许 Identity Manager 在任务失败时重试该任务。
仅适用于创建用户任务模板和更新用户任务模板
Sunrise and Sunset
用于将创建任务延迟到指定日期/时间执行(生效),或者将删除任务延迟到指定日期/时间执行(失效)。
创建用户任务模板
Data Transformations
用于配置在置备期间如何变换用户数据。
仅适用于创建用户和更新用户任务模板
-
-
选择一个选项卡以配置模板的工作流功能。
以下各节提供了配置这些选项卡的说明:
-
配置完模板后,单击“保存”按钮以保存所做的更改。
配置任务模板
本节包含有关配置任务模板的信息和说明。这些主题包括:
配置“常规”选项卡
本节提供了配置“常规”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
注 –
在管理员界面中,用于编辑“创建用户模板”和“更新用户模板”的页面完全相同,因此我们在同一节中提供它们的配置说明。
对于创建用户模板或更新用户模板
默认情况下,在打开“编辑任务模板‘创建用户模板’”表单或“编辑任务模板‘更新用户模板’”表单时,将显示“常规”选项卡页。该页包含“任务名称”文本字段以及“插入属性”菜单,如图 9–4 中所示。有关如何启动配置进程的说明,请参见配置任务模板一节。
图 9–4 “常规”选项卡:创建用户模板
任务名称可以包含文字文本和/或属性引用,在任务执行期间解析该名称。
更改默认任务名称
-
在“任务名称”字段中键入名称。
可以编辑或完全替换默认的任务名称。
-
“任务名称”菜单提供当前为视图(与此模板配置的任务关联)定义的属性列表。从菜单中选择一个属性(可选)。
Identity Manager 将在“任务名称”字段的条目中附加该属性名称。例如:
Create user $(accountId) $(user.global.email)
-
完成后,可以
-
选择其他选项卡以继续编辑模板。
-
单击“保存”以保存更改并返回到“配置任务”页。
在“主页”和“帐户”选项卡底部的 Identity Manager 任务栏中,将显示新的任务名称。
-
单击“取消”以放弃更改并返回到“配置任务”页。
-
对于删除用户模板
默认情况下,在打开“编辑任务模板‘删除用户模板’”页时,将显示“常规”选项卡页。(有关如何启动配置进程的说明,请参见配置任务模板。)
指定如何删除/取消置备用户帐户
-
使用“删除 Identity Manager 帐户”按钮指定是否可以在删除操作期间删除 Identity Manager 帐户。
这些按钮包括:
-
永不。选择此按钮可以禁止删除帐户。
-
仅当用户在取消置备后没有链接帐户时。如果选择此按钮,则仅当在取消置备后没有链接的资源帐户时才允许删除用户帐户。
-
始终。选择此按钮可以始终允许删除用户帐户,即使仍分配了资源帐户。
-
-
使用“取消置备资源帐户”框控制所有资源帐户的取消置备操作。
注 –为用户取消分配外部资源或解除外部资源的链接不会生成置备请求或工作项目。在取消分配外部资源或解除外部资源的链接时,Identity Manager 不会取消置备或删除该资源帐户,因此,您无需执行任何操作。
这些框包括:
-
删除全部。启用此框可以删除所有已分配的资源中的全部用户帐户。
-
取消分配全部。启用此框可以取消分配用户的所有资源帐户。但不删除资源帐户。
-
取消链接全部。启用此框可以断开 Identity Manager 系统与资源帐户的所有链接。拥有已分配但未链接帐户的用户将以带有徽章的形式显示,以表明需要更新。
这些控制选项将覆盖在 "Individual Resource Accounts Deprovisioning" 表中的选择。
-
-
使用“单独资源帐户取消置备”框以对用户取消置备进行更为细化的操作(与“取消置备资源帐户”相比)。
这些框包括:
-
删除。启用此框可以删除资源中的用户帐户。
-
取消分配。如果启用此框,将不再直接把用户分配给资源,但不删除资源帐户。
-
解除链接。启用此框可以断开 Identity Manager 系统与资源帐户的链接。拥有已分配但未链接帐户的用户将以带有徽章的形式显示,以表明需要更新。
如果要为不同的资源分别指定取消配置策略,则 Individual Resource Accounts Deprovisioning 选项将很有用。例如,大部分客户都不会删除 Active Directory 用户,因为每个 Active Directory 用户都有一个全局标识符,该标识符无法在删除后重新创建。不过,在添加新资源的环境中,可能不希望使用此选项,因为每次添加新资源时都必须更新取消置备配置。
-
配置“通知”选项卡
本节提供了配置“通知”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
所有任务模板都支持在 Identity Manager 调用进程后(通常在该进程完成后)发送电子邮件通知给管理员和用户。可以使用“通知”选项卡配置这些通知。
注 –
Identity Manager 使用电子邮件模板将信息和操作请求传送给管理员、批准者和用户。有关 Identity Manager 电子邮件模板的详细信息,请参见本指南中标题为自定义电子邮件模板的一节。
图 9–5 显示了创建用户模板的“通知”页。
图 9–5 “通知”选项卡:创建用户模板
配置用户通知
指定要通知的用户后,还必须指定用于生成电子邮件通知的电子邮件模板的名称。
要在创建、更新或删除用户时通知用户,请启用“通知用户”复选框(如图 9–6 中所示),然后从列表中选择一个电子邮件模板。
图 9–6 指定电子邮件模板
配置管理员通知
要指定 Identity Manager 如何决定管理员通知收件人,请从“决定通知收件人来源”菜单中选择一个选项。
可用选项包括:
-
无(默认)。不通知任何管理员。
-
属性。选择此选项可以根据用户视图中指定的属性来获取通知收件人的帐户 ID。有关详细信息,请参见通过属性指定管理员通知收件人。
-
规则。选择此选项可以通过评估指定规则来获取通知收件人的帐户 ID。有关详细信息,请参见通过规则指定管理员通知收件人。
-
查询。选择此选项可以通过查询特定资源来获取通知收件人的帐户 ID。有关详细信息,请参见通过查询指定管理员通知收件人。
-
管理员列表。选择此选项可以直接从列表中选择通知收件人。有关详细信息,请参见通过属性指定管理员通知收件人。
通过属性指定管理员通知收件人
注 –
该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
通过指定属性获取通知收件人的帐户 ID
-
从“决定通知收件人来源”菜单中选择“属性”,将显示一些新选项,如下图中所示。
图 9–7 管理员通知:属性
这些选项包括:
-
通知收件人属性。提供用于决定收件人帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。
-
电子邮件模板。提供电子邮件模板的列表。
-
-
从“通知收件人属性”菜单中选择属性。
属性名称将显示在菜单旁的文本字段中。
-
从“电子邮件模板”菜单中选择模板,以指定管理员通知电子邮件的格式。
通过规则指定管理员通知收件人
注 –
评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
通过指定规则获取通知收件人的帐户 ID
-
从“决定通知收件人来源”菜单中选择“规则”,“通知”表单中将显示以下新选项。
图 9–8 管理员通知:规则
-
通知收件人规则。提供评估后会返回收件人帐户 ID 的规则(当前为系统定义)列表。
-
电子邮件模板。提供电子邮件模板的列表。
-
-
从“通知收件人规则”菜单中选择规则。
-
从“电子邮件模板”菜单中选择模板,以指定管理员通知电子邮件的格式。
通过查询指定管理员通知收件人
注 –
目前只支持 LDAP 和 Active Directory 资源查询。
通过查询指定资源获取通知收件人的帐户 ID
-
从“决定通知收件人来源”菜单中选择“查询”,“通知”表单中将显示一些新选项,如图 9–9 中所示。
图 9–9 管理员通知:查询
“通知收件人管理员查询”表包括以下菜单,可以使用这些菜单来构建查询:
-
要查询的资源。提供当前为系统定义的资源列表。
-
要查询的资源属性。提供当前为系统定义的资源属性列表。
-
要比较的属性。提供当前为系统定义的属性列表。
-
电子邮件模板。提供电子邮件模板的列表。
-
-
从这些菜单中选择资源、资源属性和要比较的属性以构建查询。
-
从“电子邮件模板”菜单中选择模板,以指定管理员通知电子邮件的格式。
通过管理员列表指定管理员通知收件人
-
从“决定通知收件人来源”菜单中选择“管理员列表”,“通知”表单中将显示一些新选项,如下图中所示。
图 9–10 管理员通知:管理员列表
这些选项包括:
-
要通知的管理员。提供带有可用管理员列表的选择工具。
-
电子邮件模板。提供电子邮件模板的列表。
-
-
在“可用管理员”列表中选择一个或多个管理员,然后将其移至“选定的管理员”列表中。
-
从“电子邮件模板”菜单中选择模板,以指定管理员通知电子邮件的格式。
配置“批准”选项卡
本节提供了配置“批准”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板一节。
可以使用“批准”选项卡指定附加批准者,并在 Identity Manager 执行创建、删除或更新用户任务之前指定任务批准表单的属性。
通常,在执行某些任务之前,需要与特定组织、资源或角色关联的管理员来批准这些任务。Identity Manager 还允许您指定附加批准者,即,需要批准任务的其他管理员。
注 –
如果在工作流中配置了 Additional Approvers,则需要原有批准者和在模板中指定的所有其他批准者的共同批准。
图 9–11 展示了初始“批准”页的管理员用户界面。
图 9–11 “批准”选项卡:创建用户模板
配置批准
-
完成“批准启用”部分(请参见启用批准(“批准”选项卡的“启用批准”部分))。
-
完成“附加批准者”部分(请参见指定附加批准者(“批准”选项卡的“附加批准者”部分))。
-
完成“批准表单配置”部分(仅适用于“创建用户模板”和“更新用户模板”)(请参见配置批准表单(“批准”选项卡的“批准表单配置”部分))。
-
配置完“批准”选项卡后,可以
-
选择其他选项卡以继续编辑模板。
-
单击“保存”以保存更改并返回到“配置任务”页。
-
单击“取消”以放弃更改并返回到“配置任务”页。
-
启用批准(“批准”选项卡的“启用批准”部分)
如果使用以下“批准启用”复选框,则只有通过批准才能继续执行创建用户、删除用户或更新用户任务。
注 –
默认情况下,将针对“创建用户模板”和“更新用户模板”启用这些复选框,但针对“删除用户模板”禁用这些复选框。
-
组织批准。如果启用此复选框,则需要所有配置的组织批准者进行批准。
-
资源批准。如果启用此复选框,则需要所有配置的资源批准者进行批准。
-
角色批准。如果启用此复选框,则需要所有配置的角色批准者进行批准。
指定附加批准者(“批准”选项卡的“附加批准者”部分)
使用“决定附加批准者来源”菜单,可以指定 Identity Manager 将为创建用户、删除用户或更新用户任务决定附加批准者的方式。
表 9–1 列出了此菜单中的选项。
表 9–1 “决定附加批准者来源”菜单选项|
选项 |
描述 |
|---|---|
|
无(默认)。 |
执行任务不需要附加批准者。 |
|
属性 |
批准者的帐户 ID 是从用户视图中指定的属性内获取的。 |
|
规则 |
批准者的帐户 ID 是通过评估指定规则获取的。 |
|
Query |
批准者的帐户 ID 是通过查询特定资源获取的。 |
|
Administrator List |
直接从列表中选择批准者。 |
如果选择其中的任何选项(除无以外),则会在管理员用户界面中显示附加选项。
使用以下各节提供的说明,可以指定决定附加批准者的方法。
通过属性决定附加批准者
可以使用以下步骤通过属性决定附加批准者。
-
从“决定附加批准者来源”菜单中选择“属性”。
注 –该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
将显示一些新选项,如下图中所示。
图 9–12 附加批准者:属性
-
批准者属性。提供用于决定批准者帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。
-
批准超时期限。提供一种方法以指定批准超时时间。
“批准超时期限”设置对原始批准和提升批准都起作用。
-
-
通过“批准者属性”菜单选择属性。
所选属性将显示在旁边的文本字段中。
-
决定是否要为批准请求指定超时值。
-
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
-
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
-
通过规则决定附加批准者
可以使用以下步骤通过指定规则获取批准者的帐户 ID。
-
从“决定附加批准者来源”菜单中选择“规则”。
注 –评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
将显示一些新选项,如下图中所示。
图 9–13 附加批准者:规则
-
批准者规则。提供评估后会返回收件人帐户 ID 的规则(当前为系统定义)列表。
-
批准超时期限。提供一种方法以指定批准超时时间。
“批准超时期限”设置对原始批准和提升批准都起作用。
-
-
从“批准者规则”菜单中选择规则。
-
决定是否要为批准请求指定超时值。
-
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
-
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
-
通过查询决定附加批准者
可以使用以下步骤通过查询指定资源获取批准者帐户 ID。
注 –
目前只支持 LDAP 和 Active Directory 资源查询。
-
从“决定附加批准者来源”菜单中选择“查询”,将显示一些新选项,如下图中所示。
图 9–14 附加批准者:查询
-
按如下步骤构建一个查询:
-
决定是否要为批准请求指定超时值。
-
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
-
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
-
通过管理员列表决定附加批准者
可以使用以下步骤从管理员列表中明确选择附加批准者。
-
从“决定附加批准者来源”菜单中选择“管理员列表”,将显示一些新选项,如下图中所示。
图 9–15 附加批准者:管理员列表
-
要通知的管理员。提供带有可用管理员列表的选择工具。
-
批准表单。提供用户表单列表,附加批准者可以使用该列表批准或拒绝批准请求。
-
批准超时期限。提供一种方法以指定批准超时时间。
批准超时期限。同时影响原始批准和提升批准。
-
-
在“可用管理员”列表中选择一个或多个管理员,然后将所选名称移至“选定的管理员”列表中。
-
决定是否要为批准请求指定超时值。
-
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
-
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分)。
-
配置批准超时
可以使用以下步骤在“批准超时期限”部分中配置批准超时。
-
选中“批准超时期限”复选框。
旁边的文本字段和菜单将变为活动状态,并显示“超时操作”选项,如下图中所示。
图 9–16 批准超时选项
-
可以使用“批准超时期限”文本字段和菜单指定超时时间段,步骤如下:
-
使用“超时操作”按钮指定批准请求超时后执行的操作。
单击以下选项之一:
-
拒绝请求。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动拒绝该请求。
-
提升批准。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动把该请求提升至另一批准者。
启用此按钮后,将显示新选项;必须通过这些选项指定 Identity Manager 决定提升批准的批准者的方式。请继续阅读配置“决定提升批准者来源”部分以获取有关说明。
-
执行任务。如果在指定的超时时间段之前批准请求未获批准,则 Identity Manager 将自动执行备用任务。
启用此按钮,将显示“批准超时任务”菜单,可以通过该菜单指定批准请求超时后执行的任务。请继续阅读配置“批准超时任务”部分以获取有关说明。
-
配置“决定提升批准者来源”部分
在“超时操作”部分中选择“提升批准”(配置批准超时)时,将显示“决定提升批准者来源”菜单,如下图中所示。
-
从此菜单选择一个选项,以指定如何决定提升批准的批准者。
这些选项包括:
-
属性。根据新用户视图中指定的属性来决定批准者帐户 ID。
注 –该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
在选择此选项时,将显示“提升管理员属性”菜单。从列表中选择一个属性,将在旁边的文本字段中显示选定的属性,如下图中所示。
-
规则。通过评估指定规则来决定批准者帐户 ID。
注 –评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
在选择此选项时,将显示“提升管理员规则”菜单,如下图中所示。从列表中选择一个规则。
-
查询。通过查询特定资源决定批准者帐户 ID。
将显示“提升管理员查询”菜单,如下图中所示。
-
从“要查询的资源”菜单中选择资源。
-
从“要查询的资源属性”菜单中选择属性。
-
从“要比较的属性”菜单中选择属性。
按如下方式构建查询:
-
-
管理员列表(默认)。从列表中明确选择批准者。
将显示“提升管理员”选择工具,如下图中所示。
-
从“可用管理员”列表中选择一个或多个管理员名称。
-
将选定名称移至“选定的管理员”列表中。
按如下方式选择批准者:
-
-
配置“批准超时任务”部分
在“超时操作”部分中选择“执行任务”选项(配置批准超时)时,将显示“批准超时任务”菜单,如下图中所示。
配置批准表单(“批准”选项卡的“批准表单配置”部分)
注 –
删除用户模板不包含 "Approval Form Configuration" 部分。只能针对创建用户模板和更新用户模板配置此部分。
可以使用“批准表单配置”部分的功能选择批准表单,然后将属性添加到批准表单中(或从中删除属性)。
图 9–17 Approval Form Configuration
默认情况下,“批准属性”表包含以下标准属性:
-
user.waveset.accountId
-
user.waveset.roles
-
user.waveset.organization
-
user.global.email
-
user.waveset.resources
注 –
默认批准表单经程序校验可以显示批准属性。如果使用的是批准表单而不是默认表单,则必须对表单进行程序校验以显示在“批准属性”表中指定的批准属性。
为附加批准者配置批准表单
-
从“批准表单”菜单中选择表单。
批准者将使用此表单来批准或拒绝批准请求。
-
启用“批准属性”表的“可编辑”列中的复选框,以使批准者可以编辑属性值。
例如,如果启用 user.waveset.accountId 复选框,则批准者可以更改用户的帐户 ID。
注 –如果修改了批准表单中特定于帐户的任何属性,则在实际置备用户时,具有相同名称的所有全局属性值也将被覆盖。例如,如果资源 R1 存在于带有 description 模式属性的系统中,而您将 user.accounts[R1].description 属性作为可编辑的属性添加到批准表单中,则任何对批准表单中 description 属性值的更改都将覆盖仅从资源 R1 的 global.description 传播来的值。
-
单击“添加属性”或删除选定属性按钮,从新用户的帐户数据中指定要在批准表单中显示的属性。
-
要将属性添加到表单中,请参见将属性添加到批准表单中。
-
要从表单中删除属性,请参见删除属性。
除非修改 XML 文件,否则不能从批准表单中删除默认属性。
-
将属性添加到批准表单中
-
单击“批准属性”表下面的“添加属性”按钮。
“批准属性”表中的“属性名称”菜单将变为活动状态,如下图中所示。
图 9–18 添加批准属性
-
从菜单中选择一个属性。
选定属性的名称将显示在旁边的文本字段中,而属性的默认显示名称则显示在“表单显示名称”列中。
例如,如果选择 user.waveset.organization 属性,则可以:
-
在必要时更改默认属性名称或默认表单显示名称,方法是在相应文本字段中键入新名称。
-
启用“可编辑”复选框以允许批准者更改属性值。
例如,批准者可能要覆盖诸如用户电子邮件地址之类的信息。
-
-
重复以上步骤以指定其他属性。
删除属性
注 –
除非修改 XML 文件,否则不能从批准表单中删除默认属性。
从批准表单中删除属性
-
启用“批准属性”表的最左列中的一个或多个复选框。
-
单击“删除选定属性”按钮,立即从“批准属性”表中删除选定的属性。
例如,单击“删除选定属性”按钮后,将从下表中删除 user.global.firstname 和 user.waveset.organization。
图 9–19 删除批准属性
配置“审计”选项卡
本节提供了配置“审计”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
所有可配置的任务模板都支持配置工作流以审计某些任务。具体来说,您可以配置“审计”选项卡以控制是否审计工作流事件,以及指定将存储哪些属性以供报告。
图 9–20 审计创建用户模板
配置审计
-
选中“审计整个工作流”复选框以激活工作流审计功能。
有关工作流审计的信息,请参见通过工作流创建审计事件。请注意,审计工作流将使性能下降。
-
单击位于“审计属性”部分中的“添加属性”按钮,以选择要为生成报告而审计的属性。
-
当“选择属性”菜单显示在“审计属性”表中时,请从列表中选择一个属性。
所选属性名称将显示在旁边的文本字段中。
图 9–21 添加属性
删除属性
配置“置备”选项卡
本节提供了配置“置备”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
注 –
此选项卡仅适用于“创建用户模板”和“更新用户模板”。
图 9–23 “置备”选项卡:创建用户模板
可以使用“置备”选项卡配置以下与置备有关的选项:
-
后台置备。启用此复选框可以在后台运行创建、删除或更新任务,而不是同步运行任务。
后台置备允许您在执行任务时继续在 Identity Manager 中工作。
-
向任务结果中添加“重试”链接。启用此复选框可以在执行任务发生置备错误时,将“重试”链接添加到用户界面。“重试”链接可让用户在第一次尝试失败后再次尝试执行该任务。
配置“生效和失效”选项卡
本节提供了配置“生效和失效”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
注 –
此选项卡仅适用于创建用户任务模板。
使用“生效和失效”选项卡,可以选择一种方法来决定以下操作发生的时间和日期。
-
针对新用户进行置备(生效)。
-
取消针对新用户的置备(失效)。
例如,可以为六个月后合同到期的临时工指定失效日期。
图 9–24 展示了“生效和失效”选项卡的设置。
图 9–24 “生效和失效”选项卡:创建用户模板
以下主题介绍了有关配置 "Sunrise and Sunset" 选项卡的说明。
配置生效
配置生效设置可以指定对新用户进行置备的时间和日期,以及用于指定将拥有生效工作项目的用户。
配置生效
-
从“决定生效时间”菜单中选择以下选项之一,以指定 Identity Manager 如何决定置备的时间和日期。
-
指定时间。将置备延迟到未来的指定时间。请继续阅读将置备延迟到指定时间以获取有关说明。
-
指定日期。将置备延迟到未来的指定日历日期。请继续阅读将置备延迟到指定日历日期以获取有关说明。
-
指定属性。根据用户视图中的属性值,将置备延迟到指定的日期和时间。此属性必须包含日期/时间字符串。指定包含日期/时间字符串的属性后,可以指定数据必须符合的数据格式。
请继续阅读通过指定属性决定置备日期和时间以获取有关说明。
-
指定规则。根据评估后产生日期/时间字符串的规则延迟置备。与指定属性一样,可以指定数据必须符合的数据格式。
请继续阅读通过评估规则来决定置备日期和时间以获取有关说明。
“决定生效时间”菜单的默认选项为“无”,即允许立即进行置备。
-
-
从“工作项目拥有者”菜单中选择一个用户,以指定拥有生效工作项目的用户。
注 –可在“批准”选项卡中找到生效工作项目。
指定时间
本节提供了帮助您将置备延迟到特定时间的说明。
将置备延迟到指定时间
-
从“决定生效时间”菜单中选择“指定时间”。
-
当新的文本字段和菜单显示在“决定生效时间”菜单右侧后,在空白的文本字段中键入数字并从旁边的菜单中选择时间单位。
例如,要在两小时后置备新用户,请指定下图中显示的信息。
图 9–25 在两个小时后置备新用户
将置备延迟到指定日历日期
本节提供了帮助您将置备延迟到特定日期的说明。
-
从“决定生效时间”菜单中选择“指定日”。
-
使用这些菜单选项来指定在哪个月的哪一周、哪一周的哪一天以及哪个月进行置备。
例如,要在九月的第二个星期一置备新用户,请指定以下信息。
图 9–26 按照日期置备新用户
通过指定属性决定置备日期和时间
本节提供了帮助您根据用户帐户数据中的属性值决定置备日期和时间的说明。
-
从“决定生效时间”菜单中选择“属性”。
以下选项将变为活动状态:
-
“生效属性”菜单。提供当前为视图(与此模板配置的任务相关)定义的属性列表。
-
“特定日期格式”复选框和菜单。用于指定属性值的日期格式字符串(如果需要)。
如果未启用“特定日期格式”复选框,则日期字符串必须符合 FormUtil 方法的 convertDateToString 可接受的格式。请查阅产品文档,以了解支持的日期格式的完整列表。
-
-
从“生效属性”菜单中选择属性。
-
如果需要,启用“特定日期格式”复选框,并在“特定日期格式”字段变为活动状态后输入日期格式字符串。
例如,要根据 waveset.accountId 属性值使用日、月和年格式置备新用户,请指定下图中显示的信息。
图 9–27 通过属性置备新用户
通过评估规则来决定置备日期和时间
本节提供了帮助您通过评估特定规则来决定置备日期和时间的说明。
-
从“决定生效时间”菜单中选择“规则”。
以下选项将变为活动状态:
-
生效规则菜单。提供当前为系统定义的规则列表。
-
特定日期格式复选框和菜单。用于为规则的返回值指定日期格式字符串(如果需要)。
如果未启用“特定日期格式”复选框,则日期字符串必须符合 FormUtil 方法的 convertDateToString 可接受的格式。请查阅产品文档,以了解支持的日期格式的完整列表。
-
-
从“生效规则”菜单中选择规则。
-
如果需要,启用“特定日期格式”复选框,并在“特定日期格式”字段变为活动状态后输入日期格式字符串。
例如,要根据电子邮件规则使用年、月、日、小时、分钟和秒格式置备新用户,请指定下图中显示的信息。
图 9–28 使用规则置备新用户
配置失效
配置失效(取消置备)部分的选项和过程与“配置生效”部分针对生效(置备)提供的选项和过程相同。
唯一的不同之处是“失效”部分还提供了“失效任务”菜单,这是因为您还必须指定任务以在特定日期和时间取消对用户的置备。
配置失效
-
使用“决定失效时间”菜单指定方法来决定取消置备的时间:
注 –“决定失效时间”菜单的默认选项为“无”,即允许立即取消置备。
-
指定时间。将取消置备延迟到未来的指定时间。有关说明,请参见将置备延迟到指定时间。
-
指定日期。将取消置备延迟到未来的指定日历日期。有关说明,请参见将置备延迟到指定日历日期。
-
属性。根据用户帐户数据中的属性值,将取消置备延迟到指定的日期和时间。此属性必须包含日期/时间字符串。指定包含日期/时间字符串的属性后,可以指定数据必须符合的数据格式。有关说明,请参阅通过指定属性决定置备日期和时间。
-
规则。根据评估后产生日期/时间字符串的规则延迟取消置备。与指定属性一样,可以指定数据必须符合的日期格式。
有关说明,请参见通过评估规则来决定置备日期和时间。
-
-
使用“失效任务”菜单指定一个任务,以在指定日期和时间取消置备该用户。
配置“数据转换”选项卡
本节提供了配置“数据转换”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板。
注 –
此选项卡仅适用于“创建用户模板”和“更新用户模板”。
如果要在执行工作流的过程中更改用户帐户数据,则可以使用“数据转换”选项卡指定在置备期间 Identity Manager 如何转换数据。
例如,如果要使表单或规则生成遵守公司策略的电子邮件地址,或如果要生成生效或失效日期。
选择“数据转换”选项卡后,将显示以下页面。
图 9–29 “数据转换”选项卡:创建用户模板
此页由以下部分组成:
-
批准前操作。如果要在将批准请求发送到指定的批准者之前转换用户帐户数据,请配置此部分的选项。
-
置备前操作。如果要在置备操作之前转换用户帐户数据,请配置此部分的选项。
-
通知前操作。如果要在将通知发送到指定收件人之前转换用户帐户数据,请配置此部分的选项。
在每个部分均可以配置以下选项:
-
要应用的表单菜单。提供当前为系统配置的表单列表。使用该菜单可以指定将用于转换用户帐户数据的表单。
-
要运行的规则菜单。提供当前为系统配置的规则列表。使用该菜单可以指定将用于转换用户帐户数据的规则。
- © 2010, Oracle Corporation and/or its affiliates