为任意关联规则输入的内容是操作字段的映射。输出必须是下列内容之一:
字符串(包含用户名或用户 ID)
字符串元素列表(每个元素为用户名或用户 ID)
WSAttribute 元素列表
AttributeCondition 元素列表
常用关联规则会根据操作字段中的值生成用户名列表。关联规则还会生成用于选择用户的属性条件(参考 Type.USER 的可查询属性)的列表。
关联规则的处理过程应相对简便,但应尽可能缩小范围。如有可能,将繁琐的处理过程转给确认规则。
属性条件必须参考 Type.USER 的可查询属性。这些属性是在名为 IDM 模式配置的 Identity Manager 配置对象中配置的。
关联扩展属性需要特殊配置:
必须将扩展属性指定为可查询属性。
打开 IDM 模式配置。您必须具有 IDM 模式配置权能才能查看或编辑 IDM 模式配置。
找到 <IDMObjectClassConfiguration name=’User’> 元素。
找到 <IDMObjectClassAttributeConfiguration name=’ xyz ’> 元素,其中 xyz 是要设置为可查询属性的属性名称。
设置 queryable=’true’
在关联规则中,将 email 扩展属性定义为可查询属性。
<IDMSchemaConfiguration> <IDMAttributeConfigurations> <IDMAttributeConfiguration name=’email’ syntax=’STRING’/> </IDMAttributeConfiguration> </IDMAttributeConfigurations> <IDMObjectClassConfigurations> <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’> <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/> </IDMObjectClassConfiguration> </IDMObjectClassConfigurations> </IDMSchemaConfiguration>
您必须重新启动 Identity Manager 应用程序(或应用服务器)以使 IDM 模式配置更改生效。