本节介绍了如何禁用和启用 Identity Manager 用户帐户。还介绍了如何帮助已锁定 Identity Manager 帐户的用户解除锁定。
在禁用用户帐户时,将会更改该帐户,以使用户无法再登录到 Identity Manager 或为其分配的资源帐户。
请注意,管理员可以从管理员界面中禁用用户帐户,但无法锁定用户帐户。仅当用户超过了 Identity Manager 帐户策略定义的允许的失败登录尝试次数时,才会将帐户锁定。
如果分配的资源没有为帐户禁用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过分配随机生成的新密码来禁用该资源上的用户帐户。
可以使用以下步骤确保此功能正常工作:
在编辑资源向导中打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见管理资源。)
在“帐户功能配置”表中,确保“密码”功能和“禁用”功能的“是否禁用?”列中没有复选标记。(要显示“禁用”功能,请选择“显示全部功能”。)
如果“禁用”功能的“是否禁用?”列中带有复选标记,则无法禁用资源中的帐户。
要禁用用户帐户,请在“用户列表”中选择该帐户,然后从“用户操作”下拉菜单中选择“禁用”。
在显示的“禁用”页中,选择要禁用的资源帐户,然后单击“确定”。Identity Manager 将显示禁用 Identity Manager 用户帐户以及所有关联资源帐户的结果。此帐户列表指示用户帐户已禁用。
可以同时禁用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后从“用户操作”列表中选择“禁用”。
如果选择禁用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会禁用所有选定用户帐户上的所有资源。
用户帐户的启用过程与禁用过程相反。
根据选定的通知选项,Identity Manager 还会在管理员的结果页中显示密码。
然后用户可以重设自己的密码(通过验证进程),具有管理员权限的用户也可以重设该密码。
如果分配的资源没有为帐户启用提供本机支持,但支持密码更改,则可以将 Identity Manager 配置为通过密码重设启用该资源上的用户帐户。
要确保此功能正常工作,请执行以下操作:
在编辑资源向导中打开“Identity System 参数”页。(有关如何打开该向导的说明,请参见管理资源。)
在“帐户功能配置”表中,确保“密码”功能和“启用”功能的“是否禁用?”列中没有复选标记。(要显示“启用”功能,请选择“显示全部功能”。)
如果“启用”功能的“是否禁用?”列中带有复选标记,则无法启用资源中的帐户。
要启用用户帐户,请在列表中选择此帐户,然后在 "User Actions" 列表中选择 "Enable"。
在显示的“启用”页中,选择要启用的资源,然后单击“确定”。Identity Manager 将显示启用 Identity Manager 帐户以及所有关联资源帐户的结果。
可以同时启用两个或更多 Identity Manager 用户帐户。在列表中选择多个用户帐户,然后在 "User Actions" 列表中选择 "Enable"。
如果选择启用多个用户帐户,则无法从每个用户帐户单独选择已分配的资源帐户。此过程会启用所有选定用户帐户上的所有资源。
如果用户无法登录到 Identity Manager,则将被锁定。要将用户锁定,用户必须超过 Identity Manager 帐户策略定义的允许的失败登录尝试次数。
在 Identity Manager 锁定次数中,仅计算 Identity Manager 用户界面上的登录尝试次数(即,管理员界面、最终用户界面、命令行界面或 SPML API 界面)。不会计入资源帐户上的登录失败尝试,这些尝试不会导致用户锁定其 Identity Manager 帐户。
Identity Manager 帐户策略可设定所允许的密码或提问式登录失败尝试的最大次数。
如果用户超过了密码登录失败尝试的最大次数,则系统会在所有 Identity Manager 应用程序界面中将其锁定,其中包括“忘记密码”界面。
如果用户超过了提问式登录失败尝试的最大次数,仍可以在任何 Identity Manager 应用程序界面中进行验证,但“忘记密码”界面除外。
如果用户由于失败的密码登录尝试次数过多而在 Identity Manager 中锁定,则在管理员解除锁定该帐户或者锁定到期之前,用户将无法进行登录。
如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能,则可以解除锁定帐户。
如果在 Identity Manager 帐户策略中设置了锁定超时值,则对帐户的锁定最终会到期。密码登录失败尝试的锁定超时值是“由失败的密码登录创建的帐户锁定到期时间”值设置的。
如果用户由于失败的提问式登录尝试次数过多而在“忘记密码”界面中锁定,则在管理员解除锁定该帐户,锁定的用户(或具有相同权能的用户)更改或重设其密码或者锁定到期之前,用户将无法登录到该界面。
如果管理员具有用户的成员组织的管理控制权以及解除锁定用户权能,则可以解除锁定帐户。
如果在 Identity Manager 帐户策略中设置了锁定超时值,则对帐户的锁定最终会到期。提问式登录失败尝试的锁定超时值是“由失败的提问式登录创建的帐户锁定到期时间”值设置的。
具有相应权能的管理员可以对处于锁定状态的用户执行以下操作:
更新(包括资源重新置备)
更改或重设密码
禁用或启用
重命名
解除锁定
要解除锁定帐户,请在列表中选择一个或多个用户帐户,然后在“用户操作”或“组织操作”列表中选择“解除锁定用户”。