创建和管理管理员

本节分为以下几个主题：

• 创建管理员

• 过滤管理员视图

• 更改管理员密码

• 验明管理员操作

• 更改验证问题回答

• 自定义在“管理员界面”中显示的管理员名称

创建管理员

要创建管理员，请将一项或多项权能分配给用户，并指定将应用这些权能的组织。

1. 在管理员界面中，单击菜单栏中的“帐户”。

   将打开“用户列表”页。

2. 要为现有用户分配管理权限，请单击用户名（将打开“编辑用户”页），然后单击“安全性”选项卡。

   如果需要创建新的用户帐户，请参见创建用户和使用用户帐户。

3. 指定属性以建立管理控制。

   可用属性包括：

   • 权能。选择一个或多个应分配给此管理员的权能。此信息是必填信息。有关详细信息，请参见了解和管理权能。

   • 受控组织。选择一个或多个应分配给此管理员的组织。该管理员将控制其分得的组织中以及在分层结构中处于该组织之下的任何组织中的对象。此信息是必填信息。有关详细信息，请参见了解 Identity Manager 组织。

   • 用户表单。选择此管理员在创建和编辑 Identity Manager 用户（如果分配了该权能）时将使用的用户表单。如果不直接分配用户表单，管理员将继承已分配给其所属组织的用户表单。此处选定的表单会取代在此管理员组织内选定的任何表单。

   • 转发批准请求至。选择一个用户，以将所有当前暂挂批准请求转发至该用户。还可以从“批准”页进行此管理员设置。

   • 将工作项目委托给。使用此选项指定该用户帐户的委托（如果可用）。您可以指定该管理员的管理者、一个或多个选定的用户，或使用委托批准者规则。

     

过滤管理员视图

将用户表单分配给组织和管理员，即可建立用户信息的特定管理员视图。

在两个级别设置对用户信息的访问：

• 组织。创建组织时，您可以分配该组织内的所有管理员在创建和编辑 Identity Manager 用户时将使用的用户表单。任何在管理员级设置的表单都会覆盖在此设置的表单。如果没有为管理员或组织选择表单，Identity Manager 会继承为父组织选择的表单。如果未在父组织设置表单，Identity Manager 会使用在系统配置中设置的默认表单。

• 管理员。分配用户管理权能时，可以将用户表单直接分配给管理员。如果未分配表单，管理员会继承分配给其组织的表单（或者，在没有为该组织设置表单时继承在系统配置中设置的默认表单）。

了解和管理权能介绍了您可以分配的内置 Identity Manager 权能。

更改管理员密码

管理员密码可以由分配了管理密码更改权能的管理员进行更改，或由管理员拥有者更改。

管理员可以使用下列表单更改其他管理员的密码：

• 更改用户密码表单。可以使用两种方法打开该表单：

  • 在菜单中单击“帐户”。将打开“用户列表”。选择一个管理员，然后在“用户操作”列表中选择“更改密码”。将打开“更改用户密码”页。

  • 在菜单中单击“密码”。将打开“更改用户密码”页。

• 选项卡式用户表单。在菜单中单击“帐户”。将打开“用户列表”。选择一个管理员，然后在“用户操作”菜单中选择“编辑”。将打开“编辑用户”页（选项卡式用户表单）。在“身份”表单选项卡上，在“密码”和“确认密码”字段中键入新密码。

管理员可从“密码”区域更改自己的密码。在菜单中单击“密码”，然后单击“更改我的密码”。

---

注 –

应用于帐户的 Identity Manager 帐户策略决定密码限制条件，例如密码到期日期、重设选项和通知选择。其他密码限制条件可以按照在管理员的资源中设置的密码策略设置。

---

验明管理员操作

可以对 Identity Manager 进行配置，以便在处理某些帐户更改前提示管理员输入密码。如果验证失败，则会取消帐户更改。

管理员可以使用三个表单来更改用户密码。它们分别是：选项卡式用户表单、更改用户密码表单以及重设用户密码表单。要确保管理员必须在 Identity Manager 处理用户帐户更改之前输入其密码，请务必更新所有三个表单。

为选项卡式用户表单启用质询选项

要在选项卡式用户表单上要求使用密码质询，请执行以下步骤：

1. 在管理员界面中，通过在浏览器中键入以下 URL 打开 Identity Manager 调试页（Identity Manager 的“调试”页）。（您必须具有“调试”权能才能打开此页面。）

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   将打开“系统设置”页（Identity Manager 调试页）。

2. 找到“列出对象”按钮，从下拉菜单中选择“用户表单”，然后单击“列出对象”按钮。

   将打开“列出以下类型的对象：用户表单”页。

3. 找到在生产中使用的选项卡式用户表单的副本，然后单击“编辑”。（随 Identity Manager 一起分发的选项卡式用户表单是一个模板，不应对其进行修改。）

4. 在 <Form> 元素中添加以下代码片段：

   <Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties>

   此属性值是一个列表，可以包含一个或多个以下用户视图属性名称：

   • applications

   • adminRoles

   • assignedLhPolicy

   • capabilities

   • controlledOrganizations

   • email

   • firstname

   • fullname

   • lastname

   • organization

   • password

   • resources

   • roles

5. 保存所做的更改。

为更改用户密码表单和重设用户密码表单启用质询选项

要在更改用户密码表单和重设用户密码表单上要求使用密码质询，请执行以下步骤：

1. 在管理员界面中，通过在浏览器中键入以下 URL 打开 Identity Manager 调试页（Identity Manager 的“调试”页）。（您必须具有“调试”权能才能打开此页面。）

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   将打开“系统设置”页（Identity Manager 调试页）。

2. 找到“列出对象”按钮，从下拉菜单中选择“用户表单”，然后单击“列出对象”按钮。

   将打开“列出以下类型的对象：用户表单”页。

3. 找到在生产中使用的更改密码用户表单的副本，然后单击“编辑”。（随 Identity Manager 一起分发的更改密码用户表单是一个模板，不应对其进行修改。）

4. 找到 <Form> 元素，然后转到 <Properties> 元素。

5. 在 <Properties> 元素中添加以下行，然后保存更改。

   <Property name=’RequiresChallenge’ value=’true’/>

6. 重复执行步骤 3 至步骤 5，但不要编辑在生产中使用的“重设用户密码表单”的副本。

更改验证问题回答

使用“密码”区域更改已经为帐户验证问题设置的回答。在菜单栏中选择“密码”，然后选择“更改我的回答”。

有关验证的详细信息，请参见第 3 章中的用户验证一节。

自定义在“管理员界面”中显示的管理员名称

可以在某些 Identity Manager 管理员界面页和区域中按属性（例如，email 或 fullname）而不是按帐户 ID 来显示 Identity Manager 管理员。

例如，可以在以下区域中按属性显示 Identity Manager 管理员：

• 编辑用户（转发批准选项列表）

• 角色表

• 创建/编辑角色

• 创建/编辑资源

• 创建/编辑组织/目录连接

• 批准

要配置 Identity Manager 以使用显示名称，可将以下内容添加到 UserUIConfig 对象：

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

例如，要使用电子邮件属性作为显示名称，可将以下属性名称添加到 UserUIconfig：

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>