test

Sun Identity Manager 8.1 业务管理员指南

第 7 章 数据加载和同步

本章提供了使用 Identity Manager 数据加载和同步功能的信息和过程。您将了解如何使用 Identity Manager的数据同步工具(搜索、协调和同步)将数据保持最新状态。

本章中的信息分为以下几个部分:

有关数据加载和同步在 Identity Manager 中的工作方式的详细说明,请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”

数据同步工具:使用哪一个?

Identity Manager 提供了几种可用于导入和同步帐户数据的工具。有关为给定任务选择正确工具的帮助,请参阅表 7–1

注 –

有关数据加载和同步在 Identity Manager 中的工作方式的详细说明,请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”

表 7–1 使用数据同步工具执行的任务

如果要  

请选择此功能  

初次将资源帐户引入 Identity Manager,在加载之前没有查看

从资源加载 

初次将资源帐户引入 Identity Manager,加载之前可以选择性地查看和编辑数据

提取到文件,从文件加载 

定期将资源帐户引入 Identity Manager,根据配置的策略对每个帐户执行操作

协调资源 

将资源帐户更改推入引入 Identity Manager

使用活动同步适配器进行同步(多个资源实现) 

帐户搜索功能

Identity Manager 帐户搜索功能有助于加快部署和帐户创建任务的速度。

这些功能包括:

使用这些工具可以创建新的 Identity Manager 用户,或者将某个资源上的帐户与现有 Identity Manager 用户帐户关联。

注 –

本节中的页面重点介绍如何使用 Identity Manager 的搜索功能。要了解数据加载和同步的详细信息,请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”

提取到文件

使用此功能将资源帐户从资源提取到一个 XML 或 CSV 文本文件中这样做可以在将提取数据导入 Identity Manager 之前查看和更改该数据。

Procedure提取帐户

  1. 在菜单栏中选择“帐户”,然后选择“提取到文件”。

  2. 选择要从中提取帐户的资源。

  3. 为输出帐户信息选择文件格式。可以将数据提取到 XML 文件,或提取到以逗号分隔值 (CSV) 格式编排帐户属性的文本文件中。

  4. 单击“下载”。Identity Manager 将显示“文件下载”对话框,您可以在该对话框中选择保存或查看提取的文件。

    如果选择打开该文件,则可能需要选择查看程序。

从文件加载

可以使用此功能将资源帐户(通过 Identity Manager 从资源提取的帐户或从另一文件源提取的帐户)加载到 Identity Manager 中。由 Identity Manager 的“提取到文件”功能创建的文件为 XML 格式的文件。如果加载一列新用户,则数据文件通常采用 CSV 格式。

关于 CSV 文件格式

通常,要加载的帐户在一个电子表格中列出并以逗号分隔值 (Comma-separated Value, CSV) 格式保存,以便加载到 Identity Manager 中。

CSV 文件内容必须遵循以下格式准则:

Procedure加载帐户

  1. 在管理员界面中,单击菜单中的“帐户”,然后单击从文件加载

    Identity Manager 将显示“从文件加载帐户”页。

    图 7–1 从文件加载

    该图显示了“从文件加载帐户”屏幕。

  2. 可以使用该页指定所需的帐户加载选项。

    这些选项包括:

    • 用户表单。当加载过程创建了 Identity Manager 用户时,用户表单会分配组织以及角色、资源和其他属性。选择要应用于每个资源帐户的用户表单。

    • 帐户关联规则。帐户关联规则选择可能拥有每个无拥有者资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性,关联规则会返回一个名称列表或属性条件列表,用于选择潜在拥有者。选择一个规则,以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。

    • 帐户确认规则。帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后,若用户拥有该帐户,则确认规则返回 true,否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择“无确认规则”,Identity Manager 将接受所有潜在拥有者,而不进行确认。

      注 –

      如果在您的环境中,关联规则为每个帐户选择最多一个拥有者,则您不需要确认规则。

    • 仅加载匹配项。选择此选项可仅将与现有 Identity Manager 用户匹配的帐户加载到 Identity Manager 中。如果选择此选项,则加载将放弃任何不匹配的资源帐户。

    • 更新属性。选择此选项可使用所加载帐户的属性值替换当前 Identity Manager 用户的属性值。

    • 合并属性。输入一个或多个用逗号分隔的属性名,这些属性的值应被合并(去掉重复部分)而不被覆盖。此选项仅用于列表类型的属性,例如组和邮递列表。还必须选择“更新属性”选项。

    • 结果级别。选择一个阈值,加载进程将在达到该阈值时为帐户记录单独的结果:

      • 仅限错误。仅在加载帐户的过程中产生错误消息时才记录单独结果。

      • 警告和错误。在加载帐户过程中生成警告或错误消息时记录单独的结果。

      • 信息性及更高级别。为每个帐户记录单独的结果。这会导致加载进程运行得更慢。

  3. 在“要上载的文件”字段中,指定要加载的文件,然后单击“加载帐户”。

    注 –

    • 如果输入文件不包含用户列,则必须选择确认规则以使加载正确进行。

    • 与加载过程相关的任务实例名称基于输入文件名;因此,如果重复使用某文件名,则与最近的加载过程相关的任务实例将覆盖以前所有任务实例。

      关于 CSV 文件格式展示了“从文件加载”屏幕中的可用字段和选项。

    如果帐户与现有用户匹配(或关联),则加载进程会将帐户合并到用户中。该进程也将通过任何不相关的输入帐户创建新的 Identity Manager 用户(除非指定“必需相关”)。

    bulkAction.maxParseErrors 配置变量会设置加载文件时可发现的错误数的限制。默认情况下,限制为 10 个错误。如果发现的错误数达到了 maxParseErrors 的值,则会停止解析。

从资源加载

使用此功能可根据您指定的加载选项直接提取帐户并将其导入 Identity Manager。

Procedure导入帐户

  1. 在管理员界面中,单击菜单中的“帐户”,然后单击“从资源加载”。

    将打开“从资源加载帐户”页。

  2. 在“从资源加载帐户”页上指定加载选项。

    此页面的加载选项与“从文件加载”页(请参见从文件加载)上的加载选项相同。

帐户协调

可以使用协调功能,定期将 Identity Manager 中的资源帐户与资源上实际存在的帐户进行比较。协调将关联帐户数据并突出显示存在的差异。

注 –

本节中的页面重点介绍如何使用管理员界面执行协调任务。要了解协调的详细信息,请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”

协调简介

因为协调专用于进行中的比较,因此其具有以下特征:

也可以将协调配置为在处理资源过程中的下列每一点处启动任意工作流:

从“资源”区域访问 Identity Manager 协调功能。“资源”列表显示每个资源上次协调的时间及其当前协调状态。

注 –

协调是由 Identity Manager 的协调程序组件执行的。有关协调程序配置设置的信息,请参见相关参考手册。

关于协调策略

协调策略允许您按资源为每个协调任务建立一组响应。您可在策略中选择运行协调的服务器、确定协调发生的频率和时间,以及设置对协调期间遇到的每种情况作出响应。还可将协调配置为检测对帐户属性进行的本机更改(即,不是通过 Identity Manager 进行的更改)。

编辑协调策略

Procedure编辑协调策略

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中选择一种资源。

  3. 在“资源操作”列表中,选择“编辑协调策略”。

    Identity Manager 将显示“编辑协调策略”页面,可在其中进行下列策略选择:

    • 协调服务器。在群集环境中,每个服务器都可以运行协调。请在策略中指定哪个 Identity Manager 服务器将运行针对资源的协调。

    • 协调模式。可以在不同模式下执行协调,这样能够将不同质量的结果最优化:

      • 完全协调。协调最彻底(以速度为代价)。

      • 增量式协调。协调速度最快(以彻底性为代价)。

        在策略中选择 Identity Manager 对资源运行协调应该采用的模式。选择“不协调”禁用针对目标资源的协调。

    • 完全协调进度表。如果启用完全模式协调,则按固定的进度表自动执行协调。在策略中指定针对资源运行完全式协调的频率。

      • 选择“继承默认策略”选项可从更高级策略中继承指定的进度表。

      • 清除“继承默认策略”选项可指定一个进度表。使用提供的字段建立一个循环进度表,或使用“任务进度表重复”规则对协调进度表进行自定义调整。有关创建任务进度表重复规则的信息,请参见使用任务进度表重复规则

    • 增量式协调进度表。如果启用增量模式协调,则按固定的进度表自动执行协调。

      • 选择“继承默认策略”选项可从更高级策略继承进度表。

      • 清除“继承默认策略”选项可指定一个进度表。使用提供的字段建立一个循环进度表,或使用“任务进度表重复”规则对协调进度表进行自定义调整。有关创建任务进度表重复规则的信息,请参见使用任务进度表重复规则

      注 –

      并非所有资源都支持增量式协调。

    • 属性级协调。可以将协调配置为检测对帐户属性进行的本机更改(即,不是通过 Identity Manager 进行的更改)。指定协调是否应检测对协调的帐户属性中指定的属性进行的本机更改。

    • 帐户关联规则。帐户关联规则选择可能拥有每个无拥有者资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性,关联规则会返回一个名称列表或属性条件列表,用于选择潜在拥有者。选择一个规则,以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。

    • 帐户确认规则。帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后,若用户拥有该帐户,则确认规则返回 true,否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择“无确认规则”,Identity Manager 将接受所有潜在拥有者,而不进行确认。

      注 –

      如果在您的环境中,关联规则为每个帐户选择最多一个拥有者,则您不需要确认规则。

    • 代理管理员。指定执行协调响应时使用的管理员。协调只能执行允许指定代理管理员执行的那些操作。响应将使用与该管理员关联的用户表单(如果需要)。

      还可以选择“无代理管理员”选项。选择后,可以查看协调结果,但不会运行响应操作或工作流。

    • 情况选项(和“响应”)。协调会识别多种类型的情况。下面介绍了这些情况。请在“响应”列中指定协调应执行的任何操作。

      • 已确认。所需帐户存在。

        要标记为“已确认”,必须满足以下条件:

        • Identity Manager 要求帐户必须存在。

        • 帐户在资源上存在。

      • 冲突。为两个或多个 Identity Manager 用户分配了资源上的同一帐户。

      • 已删除。所需帐户不存在。

        要标记为“已删除”,必须满足以下条件:

        • Identity Manager 要求帐户必须存在。

        • 帐户在资源上不存在。

      • 找到。协调进程在分配的资源上找到匹配帐户。

        要标记为“找到”,必须满足以下条件:

        • Identity Manager 不要求帐户必须存在。(如果已将资源分配给用户,但尚未进行置备,则帐户可以在资源上存在,也可以不存在。)

        • 帐户在资源上存在。

      • 缺少。分配给用户的资源上不存在匹配的帐户。

        要标记为“缺少”,必须满足以下条件:

        • Identity Manager 不要求帐户必须存在。(如果已将资源分配给用户,但尚未进行置备,则帐户可以在资源上存在,也可以不存在。)

        • 帐户在资源上不存在。

      • 已取消分配。协调进程在未分配给用户的资源上找到匹配帐户。

        要标记为“取消分配”,必须满足以下条件:

        • Identity Manager 不要求帐户必须存在。(如果没有将资源分配给用户,则 Identity Manager 不要求帐户必须存在。)

        • 帐户在资源上存在。

      • 不匹配。资源帐户不匹配任何用户。

      • 有争议。资源帐户匹配多个用户。

        从这些响应选项(可用选项因情况而异)中选择一个:

        • 基于资源帐户创建新的 Identity Manager 用户。运行资源帐户属性的用户表单以创建新用户。该资源帐户不会因任何更改而被更新。

        • 为 Identity Manager 用户创建资源帐户。使用用户表单重新生成资源帐户属性,以重新创建缺少的资源帐户。

        • “删除资源帐户”和“禁用资源帐户”。删除/禁用资源上的帐户。

        • “将资源帐户与 Identity Manager 用户链接”和“解除资源帐户与 Identity Manager 用户的链接”。向用户添加资源帐户分配或从用户中删除资源帐户分配。未执行任何表单处理。

        • 不执行任何操作。如果不希望协调执行修复,请选择此选项。

          您可以手动修复协调发现的任何帐户情况。在菜单中单击“资源”->“检查帐户索引”。可以从中浏览为所有已协调的帐户记录的情况。右键单击某个帐户,将会看到一个有效修复选项的列表。有关详细信息,请参见检查帐户索引

    • 协调前工作流。可以将协调配置为在对资源进行协调之前运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 "Do not run workflow"。

    • 每一帐户工作流。可以将协调配置为在对资源帐户情况作出响应后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 "Do not run workflow"。

    • 协调后工作流。可以将协调配置为在完成资源协调后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流,请选择 Do not run workflow

    • 说明情况。如果启用,协调将会记录其他信息,以说明如何对帐户情况进行分类。默认情况下禁用此选项。记录解释会使协调进程运行时间增加。

    • 错误限制。如果启用,在处理过程中发生指定数量的错误后,将自动终止协调。值 0 表示对错误数没有限制。取消选择“继承默认策略”选项,将显示“允许的最多错误数”字段,在其中输入值。

    • 最大本机删除帐户数。此选项是一项安全保护功能,用于计算资源上缺少的帐户数;如果超过某一阈值,则禁止协调程序解除这些帐户的链接。

      要启用此功能,请清除“继承默认策略”复选框,然后在“允许的最大本机删除帐户数”字段中指定一个百分比。必须将阈值设置为从 0 到 100 的整数百分比。(0 表示禁用此功能。)

      如果删除的帐户百分比超过该阈值,协调将继续执行与缺少的帐户无关的所有处理并完成此过程,但会出现一个错误。

    单击“保存”以保存策略更改。

启动协调

本节介绍了两个用于启动协调任务的选项:

Procedure定期运行协调

  1. 编辑协调策略中所述打开“编辑协调策略”页。

  2. 指定协调进度表参数。

    协调将按照您在策略中设置的参数运行。

Procedure立即运行协调

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中选择一种资源。

  3. 从“资源操作”列表中选择一个选项。

    这些选项包括:

    • 立即进行完全式协调

    • 立即进行增量式协调

      协调将按照您在策略中设置的参数运行。如果在策略中针对协调设置了定期进度表,则协调将继续按指定方式运行。

Procedure取消协调

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中,选择要取消协调的资源。

  3. 找到“资源操作”列表,然后选择“取消协调”。

查看协调状态

可以使用两种主要方法来查看协调状态。要查看详细的协调状态,请打开特定资源的“协调摘要结果”页。资源列表中也会直接提供有限的协调状态。

Procedure查看详细的协调状态

可以使用“协调摘要结果”页来查看详细的协调状态。

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中,选择要查看协调状态的资源。

  3. 找到“资源操作”列表,然后选择“查看协调状态”。

    将打开该资源的“协调摘要结果”页。

Procedure在“资源列表”中查看协调状态

您也可以从“资源列表”中查看协调状态。

  1. 打开管理员界面。

  2. 在主菜单中单击“资源”。

    状态列可报告以下协调状态情况:

    • 未知。状态未知。最新协调任务的结果不可用。

    • 已禁用。协调已禁用。

    • 失败。未能完成最新的协调。

    • 成功。已成功完成最新的协调。

    • 完成但有错误。最新协调已完成,但出现错误。

    注 –

    必须刷新此页才能查看状态变化。(这些信息不会自动刷新。)

使用帐户索引

帐户索引会记录 Identity Manager 已知的每个资源帐户的最新已知状态。它主要由协调来维护,但是需要时其他 Identity Manager 功能也会更新帐户索引。

搜索工具不更新帐户索引。

Procedure搜索帐户索引

可以搜索帐户索引以查看给定资源帐户的最新已知状态。

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中,选择要搜索帐户索引的资源。

  3. 找到“资源操作”列表,然后选择“搜索帐户索引”。

    将打开“搜索帐户索引”页。

  4. 选择一种搜索类型,然后输入或选择搜索属性。

    • 资源帐户名。选择此选项,再选择其中一个修改符号(开头为、包含或是),然后输入部分帐户名称或完整的帐户名称。

    • 资源为其中之一。选择此选项,然后从列表中选择一个或多个资源,以查找位于指定资源上的已协调帐户。

    • 拥有者。选择此选项,选择一个修改符号(开头为、包含或是),然后输入拥有者的完整或部分名称。要搜索无所有者帐户,请在 UNMATCHED 或 DISPUTED 情况下进行搜索。

    • 情况为其中之一。选择此选项,然后从列表中选择一种或多种情况,以查找处于指定情况下的已协调帐户。

  5. 单击“搜索”以根据搜索参数来搜索帐户。要限制搜索结果,也可将“限制”结果中的数量指定为第一个字段。默认限制为找到的前 1000 个帐户。

    单击“重设查询”以清除该页并进行新的选择。

检查帐户索引

也可以查看所有 Identity Manager 用户帐户,并可选择对每个用户分别协调帐户。

Procedure检查帐户索引

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 单击次级菜单中的“检查帐户索引”。

    将打开“检查帐户索引”页。

    表格会显示 Identity Manager 已知的所有资源帐户(无论 Identity Manager 用户是否拥有该帐户)。此信息按资源或 Identity Manager 组织分组。要更改此视图,请从 "Change index view" 列表中进行选择。

使用帐户

要使用资源上的帐户,请选择“按资源分组”索引视图。Identity Manager 会针对每种类型的资源显示文件夹。通过展开文件夹导航到特定资源。单击资源旁边的 + 或 - 以显示 Identity Manager 已知的所有资源帐户。

自上次对资源进行协调以来直接添加到该资源的帐户不会显示出来。

根据给定帐户的当前情况,可以执行几种操作。右键单击某个帐户,将会看到一个有效修复选项的列表。也可以查看帐户详细信息或选择协调该帐户。

使用用户

要使用 Identity Manager 用户,请选择“按用户分组”索引视图。在此视图中,Identity Manager 用户和组织显示为类似“帐户列表”页的分层结构。要查看当前分配给 Identity Manager 中某个用户的帐户,请导航到该用户并单击用户名旁边的指示符。在该用户名的下方将显示该用户的所有帐户和 Identity Manager 已知的这些帐户的当前状态。

根据给定帐户的当前情况,可以执行几种操作。也可以查看帐户详细信息或选择协调该帐户。

使用任务进度表重复规则

可以使用任务进度表重复规则来调整协调进度表。例如,如果要将预定在星期六进行的协调推迟到下星期一,可使用任务进度表重复规则。

可以使用任务进度表重复规则来调整完全和增量式协调的进度表。

有关如何选择任务进度表重复规则的信息,请参见编辑协调策略

如何安排协调运行时间

在完成协调作业后,协调程序组件将检查其下次的预定运行时间。

首先,协调程序查看默认进度表以获取其下次运行时间。接下来,协调程序运行所有适用的任务进度表重复规则,以确定是否需要进行进度表调整。如果需要调整,规则进度表将覆盖该协调的默认进度表。

注 –

任务进度表重复规则无法覆写默认进度表。它们只能针对每个作业覆盖预定的开始时间。

Procedure查看“接受所有日期”示例规则

本节介绍了内置的“接受所有日期”示例规则。

  1. 在文本编辑器中,打开位于 Identity Manager 的 sample 目录中的 ReconRules.xml

  2. 搜索名为 SCHEDULING_RULE_ACCEPT_ALL_DATES 的规则。

    要在“任务进度表重复规则”下拉菜单(在“编辑协调策略”页上)中列出规则,必须将规则的 subtype 属性设置为 SUBTYPE_TASKSCHEDULE_REPETITION_RULE


    <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ 
name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

    正如前面所述,任务进度表重复规则可以修改默认协调进度表。

    calculatedNextDate 变量可以接受按默认方式计算的下一个日期,也可以返回一个不同的日期。正如该示例规则所编写的,calculatedNextDate 无条件地接受默认日期,如以下摘录中所示: 


    <RuleArgument name=’calculatedNextDate’/>
<block>
  <ref>calculatedNextDate</ref>
</block>

    要创建自定义进度表,请替换 <block> 元素之间的规则逻辑。例如,要将协调开始时间更改为星期六上午 10:00,<block> 元素之间应包含以下 JavaScript:


    <block>
  <script>
     var calculatedNextDate = env.get(’calculatedNextDate’);

    // Test to see if this task is scheduled for a Saturday
    // (Note that 6 is used to denote Saturday in JavaScript)
    if(calculatedNextDate.getDay() == 6) {
      // If so, set the time to 10:00:00
      calculatedNextDate.setHours(10);
      calculatedNextDate.setMinutes(0);
      calculatedNextDate.setSeconds(0);
    }
    // Return the modified date
    calculatedNextDate;
  </script>
</block>

    查看“接受所有日期”示例规则中,最初将 calculatedNextDate 设置为默认预定时间。如果下次的预定运行日期为星期六,则规则将协调安排在 10:00 开始运行。如果下次的预定运行日期不是星期六,则查看“接受所有日期”示例规则将返回 calculatedNextDate(而未进行任何时间调整)并使用默认进度表。

    有关创建用于 Identity Manager 的自定义规则的详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 4  章 “Working with Rules”

活动同步适配器

Identity Manager 活动同步功能允许存储在授权外部资源(如应用程序或数据库)中的信息与 Identity Manager 用户数据同步。为 Identity Manager 资源配置同步可使其能够侦听或轮询对授权资源的更改。

可通过在资源同步策略中指定输入表单(针对相应目标对象类型),配置资源属性更改流向 Identity Manager 的方式。

注 –

本章中的页面重点介绍如何使用管理员界面执行活动同步任务。要了解活动同步的详细信息,请参见《Sun Identity Manager Deployment Guide》中的第 3  章 “Data Loading and Synchronization”

配置同步

Identity Manager 使用同步策略为资源启用同步。

Procedure编辑或配置同步

每个资源均具有自己的同步策略。可以使用以下步骤配置或编辑同步策略:

  1. 在管理员界面中,单击菜单中的“资源”。

  2. 在“资源列表”中,选择要配置同步的资源。

  3. 找到“资源操作”列表,然后选择“编辑同步策略”。

    将打开该资源的“编辑同步”页。

    在 "Edit Synchronization Policy" 页中指定以下选项以配置同步:

    • 目标对象类型。选择要应用策略的用户类型:Identity Manager 用户或服务提供者用户。

      注 –

      在 服务提供者 实现中,必须配置一个同步策略(将“服务提供者用户”指定为对象类型),以便为这些用户启用数据同步。有关服务提供者用户的详细信息,请参见第 17 章

    • 调度设置。使用此部分可指定启动方法以及轮询进度表。

      您可以指定以下启动类型:

      • “自动”或“以故障转移方式自动启动”。启动 Identity System 时启动授权源。

      • 手动。要求管理员启动授权源。

      • 已禁用。禁用资源。

        可以使用“开始日期”和“开始时间”选项指定何时开始轮询。通过选择间隔并输入间隔值(秒、分钟、小时、天、周、月)可指定轮询周期。

        注 –

        如果更改了启动方法或轮询进度表,则必须重新启动服务器以使更改生效。

        如果您设置的轮询开始日期和时间还未到达,则轮询将按指定的时间开始。如果您设置的轮询开始日期和时间已经过去,Identity Manager 将根据此信息和轮询间隔确定轮询开始的时间。

        例如:

        • 为资源配置活动同步的时间为 2005 年 7 月 18 日(星期二)。

        • 将资源设置为每周轮询,开始日期为 2005 年 7 月 4 日(星期一)的上午 9:00。

      在这种情况下,资源将于 2005 年 7 月 25 日(下一个星期一)开始轮询。

      如果未指定开始日期或时间,则资源将立即开始轮询。如果采用此方法,则每次应用服务器重新启动时,为活动同步配置的所有资源均将立即开始轮询。典型的方法是设置开始日期和时间。

    • 同步服务器。在群集环境中,每个服务器都可以运行同步。选择某个选项可指定将用于运行资源同步的服务器。

      • 如果同步运行的位置并不重要,请选择“使用任何可用服务器”。同步启动时,将从一组可用的服务器中选择一个服务器。

      • 选择“使用 waveset.properties 中的设置”可使用其中指定的服务器来运行同步。(此功能已过时。)

      • 选择“使用指定服务器”,然后从“同步服务器”列表中选择一个或多个可用服务器,可选择特定服务器来运行同步。

    • 特定于资源的设置。使用此部分可指定同步以何种方式确定要为资源处理的数据。

    • 通用设置。为数据同步活动指定常规设置。

      这些设置包括:

      • 代理管理员。选择将处理更新的管理员。所有操作将通过分配给此管理员的权能进行授权。您应选择具有空用户表单的代理管理员。

      • 输入表单。选择将处理数据更新的输入表单。此可选配置项目使属性可以在保存到帐户上之前被转换。

      • 规则可选)。选择在数据同步过程中使用的规则。

        您可以指定以下内容:

        • 进程规则。选择此规则可指定要为每个传入帐户运行的进程规则。此选择将覆盖所有其他选项。如果指定了进程规则,则会为每一行运行该进程,而不管资源上的其他设置如何。既可以是进程名称,也可以是进程名称的评估规则。

        • 关联规则。选择关联规则可以覆盖在资源的协调策略中指定的关联规则。关联规则使资源帐户与 Identity System 帐户相关联。

        • 确认规则。选择确认规则可以覆盖在资源的协调策略中指定的确认规则。

        • 解决进程规则。选择此规则可指定在数据供应的记录中存在多个匹配项时将运行的任务定义的名称。这应该是提示管理员进行手动操作的进程。既可以是进程名称,也可以是进程名称的评估规则。

        • 删除规则。选择将针对每个传入的用户更新进行评估并返回 true 或 false 的规则,以确定是否应进行删除操作。

      • 创建不匹配帐户。启用此选项 (true) 后,适配器将尝试创建在 Identity Manager 系统中未找到的帐户。如果未启用此选项,则适配器将通过由 "Resolve Process Rule" 返回的进程来运行帐户。

      • 日志设置。为日志记录选项指定值。

        日志记录选项包含以下内容:

        • 最大日志归档数。如果大于零,则保留最新的 N 个日志文件。如果等于零,则重复使用单个日志文件。如果为 -1,则保留日志文件。

        • 最长活动日志使用期限。在此时间段过后,将对活动日志进行归档。如果时间为零,则不发生基于时间的归档。如果“最大日志归档数”为零,则在指定时间段之后,活动日志将被截断并重新使用。此使用期限条件将独立于“最大日志文件大小”指定的时间条件进行评估。

          输入数字,然后选择时间单位(天、小时、分钟、月、秒或周)。默认单位是天。

        • 日志文件路径。输入要创建活动和归档日志文件的目录的路径。日志文件名将以资源名称开头。

        • 最大日志文件大小。输入活动日志文件的最大大小(以字节为单位)。当活动日志文件大小达到最大值时,该文件将被归档。如果“最大日志归档数”为零,则在指定时间段之后,活动日志将被截断并重新使用。此大小条件将独立于“最长活动日志使用期限”指定的使用期限条件进行评估。

        • 日志级别。指定日志记录级别。

          可以使用以下日志记录级别:

          • 0. 不记录

          • 1. 错误

          • 2. 信息

          • 3. 详细

          • 4. 调试

  4. 单击“保存”以保存资源的策略设置。

编辑活动同步适配器

在编辑活动同步适配器之前,请停止同步。

Procedure停止同步

  1. 打开“编辑同步”页。(有关说明,请参见编辑或配置同步。)

  2. 在“调度设置”下面,找到“启动类型”,然后选择“已禁用”。

    对于服务提供者用户,请取消选择“启用同步”选项。

    将显示警告消息,指示已禁用活动同步。

  3. 单击“保存”。

    为资源禁用同步将导致在保存更改时停止同步任务。

调节活动同步适配器性能

由于同步是后台任务,因此活动同步适配器配置可能会影响服务器性能。

调节活动同步适配器性能涉及以下任务:

通过资源列表管理活动同步适配器。选择活动同步适配器,然后从“资源操作”列表的同步部分中选择启动、停止和状态刷新控制操作。

更改轮询时间间隔

轮询时间间隔决定活动同步适配器何时开始处理新信息。应根据正在执行的活动类型确定轮询时间间隔。例如,如果适配器每次从数据库读入相当长的用户列表并在 Identity Manager 中更新所有用户,则可以考虑在每天早晨运行此进程。某些适配器可能需要快速搜索要处理的新项目,可以设置为每分钟运行一次。

指定运行适配器的主机

要指定运行适配器的主机,请编辑 waveset.properties 文件中的 sources.hosts 属性。

指定以下设置之一:

可将需要更多内存和 CPU 循环的活动同步适配器配置为在专用服务器上运行,以帮助平衡系统负载。

启动和停止

可禁用、手动启动或自动启动活动同步适配器。要启动或停止活动同步适配器,您必须具有相应的管理员权能以更改活动同步资源。有关管理员权能的信息,请参见权能类别

如果将适配器设置为自动启动,则当应用服务器重新启动时,该适配器也将重新启动。启动适配器后,它将立即运行并按指定的轮询时间间隔执行。如果您停止某一适配器,则它将在下次检查停止标志时停止。

适配器日志记录

适配器日志捕获有关适配器当前处理情况的信息。日志捕获的详细信息量取决于您为该日志设置的日志级别。适配器日志对调试问题和查看适配器处理进度都很有用。

每个适配器都有自己的日志文件、路径和日志级别。可以在“同步策略”的“日志”部分中为相应的用户类型(Identity Manager 用户或服务提供者用户)指定这些值。

只能在适配器已经停止时删除适配器日志。大多数情况下,最好在删除适配器日志之前对其进行复制,以便归档。