test

Sun Identity Manager 8.1 业务管理员指南

配置“批准”选项卡

本节提供了配置“批准”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板一节。

可以使用“批准”选项卡指定附加批准者,并在 Identity Manager 执行创建、删除或更新用户任务之前指定任务批准表单的属性。

通常,在执行某些任务之前,需要与特定组织、资源或角色关联的管理员来批准这些任务。Identity Manager 还允许您指定附加批准者,即,需要批准任务的其他管理员。

注 –

如果在工作流中配置了 Additional Approvers,则需要原有批准者和在模板中指定的所有其他批准者的共同批准。

图 9–11 展示了初始“批准”页的管理员用户界面。

图 9–11 “批准”选项卡:创建用户模板

该图展示了初始“批准”页

Procedure配置批准

  1. 完成“批准启用”部分(请参见启用批准(“批准”选项卡的“启用批准”部分))。

  2. 完成“附加批准者”部分(请参见指定附加批准者(“批准”选项卡的“附加批准者”部分))。

  3. 完成“批准表单配置”部分(仅适用于“创建用户模板”和“更新用户模板”)(请参见配置批准表单(“批准”选项卡的“批准表单配置”部分))。

  4. 配置完“批准”选项卡后,可以

    • 选择其他选项卡以继续编辑模板。

    • 单击“保存”以保存更改并返回到“配置任务”页。

    • 单击“取消”以放弃更改并返回到“配置任务”页。

启用批准(“批准”选项卡的“启用批准”部分)

如果使用以下“批准启用”复选框,则只有通过批准才能继续执行创建用户、删除用户或更新用户任务。

注 –

默认情况下,将针对“创建用户模板”和“更新用户模板”启用这些复选框,但针对“删除用户模板”禁用这些复选框。

指定附加批准者(“批准”选项卡的“附加批准者”部分)

使用“决定附加批准者来源”菜单,可以指定 Identity Manager 将为创建用户、删除用户或更新用户任务决定附加批准者的方式。

表 9–1 列出了此菜单中的选项。

表 9–1 “决定附加批准者来源”菜单选项

选项 

描述 

无(默认)。

执行任务不需要附加批准者。 

属性 

批准者的帐户 ID 是从用户视图中指定的属性内获取的。 

规则 

批准者的帐户 ID 是通过评估指定规则获取的。 

Query 

批准者的帐户 ID 是通过查询特定资源获取的。 

Administrator List 

直接从列表中选择批准者。 

如果选择其中的任何选项(除以外),则会在管理员用户界面中显示附加选项。

使用以下各节提供的说明,可以指定决定附加批准者的方法。

Procedure通过属性决定附加批准者

可以使用以下步骤通过属性决定附加批准者。

  1. 从“决定附加批准者来源”菜单中选择“属性”。

    注 –

    该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。

    将显示一些新选项,如下图中所示。

    图 9–12 附加批准者:属性

    该图显示了“附加批准者”部分中的新选项。

    • 批准者属性。提供用于决定批准者帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。

    • 批准超时期限。提供一种方法以指定批准超时时间。

      “批准超时期限”设置对原始批准和提升批准都起作用。

  2. 通过“批准者属性”菜单选择属性。

    所选属性将显示在旁边的文本字段中。

  3. 决定是否要为批准请求指定超时值。

Procedure通过规则决定附加批准者

可以使用以下步骤通过指定规则获取批准者的帐户 ID。

  1. 从“决定附加批准者来源”菜单中选择“规则”。

    注 –

    评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。

    将显示一些新选项,如下图中所示。

    图 9–13 附加批准者:规则

    该图显示了新的“附加批准者”选项

    • 批准者规则。提供评估后会返回收件人帐户 ID 的规则(当前为系统定义)列表。

    • 批准超时期限。提供一种方法以指定批准超时时间。

      “批准超时期限”设置对原始批准和提升批准都起作用。

  2. 从“批准者规则”菜单中选择规则。

  3. 决定是否要为批准请求指定超时值。

Procedure通过查询决定附加批准者

可以使用以下步骤通过查询指定资源获取批准者帐户 ID。

注 –

目前只支持 LDAP 和 Active Directory 资源查询。

  1. 从“决定附加批准者来源”菜单中选择“查询”,将显示一些新选项,如下图中所示。

    图 9–14 附加批准者:查询

    该图展示了“附加批准者”部分中显示的新选项

    • 批准管理员查询。提供由以下菜单组成的表格,以用于构建查询:

      • 要查询的资源。提供当前为系统定义的资源列表。

      • 要查询的资源属性。提供当前为系统定义的资源属性列表。

      • 要比较的属性。提供当前为系统定义的属性列表。

    • 批准超时期限。提供一种方法以指定批准超时时间。

      注 –

      “批准超时期限”设置对原始批准和提升批准都起作用。

  2. 按如下步骤构建一个查询:

    1. 从“要查询的资源”菜单中选择资源。

    2. 从“要查询的资源属性”和“要比较的属性”菜单中选择属性。

  3. 决定是否要为批准请求指定超时值。

Procedure通过管理员列表决定附加批准者

可以使用以下步骤从管理员列表中明确选择附加批准者。

  1. 从“决定附加批准者来源”菜单中选择“管理员列表”,将显示一些新选项,如下图中所示。

    图 9–15 附加批准者:管理员列表

    该图展示了“附加批准者”部分中显示的新选项

    • 要通知的管理员。提供带有可用管理员列表的选择工具。

    • 批准表单。提供用户表单列表,附加批准者可以使用该列表批准或拒绝批准请求。

    • 批准超时期限。提供一种方法以指定批准超时时间。

    批准超时期限。同时影响原始批准和提升批准。

  2. 在“可用管理员”列表中选择一个或多个管理员,然后将所选名称移至“选定的管理员”列表中。

  3. 决定是否要为批准请求指定超时值。

Procedure配置批准超时

可以使用以下步骤在“批准超时期限”部分中配置批准超时。

  1. 选中“批准超时期限”复选框。

    旁边的文本字段和菜单将变为活动状态,并显示“超时操作”选项,如下图中所示。

    图 9–16 批准超时选项

    该图显示了“超时操作”选项

  2. 可以使用“批准超时期限”文本字段和菜单指定超时时间段,步骤如下:

    1. 从菜单中选择以秒、分钟、小时或天为单位。

    2. 在文本字段中输入数字,以表示要指定的超时秒数、分钟数、小时数或天数。

      注 –

      “批准超时期限”设置对原始批准和提升批准都起作用。

  3. 使用“超时操作”按钮指定批准请求超时后执行的操作。

    单击以下选项之一:

    • 拒绝请求。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动拒绝该请求。

    • 提升批准。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动把该请求提升至另一批准者。

      启用此按钮后,将显示新选项;必须通过这些选项指定 Identity Manager 决定提升批准的批准者的方式。请继续阅读配置“决定提升批准者来源”部分以获取有关说明。

    • 执行任务。如果在指定的超时时间段之前批准请求未获批准,则 Identity Manager 将自动执行备用任务。

      启用此按钮,将显示“批准超时任务”菜单,可以通过该菜单指定批准请求超时后执行的任务。请继续阅读配置“批准超时任务”部分以获取有关说明。

Procedure配置“决定提升批准者来源”部分

在“超时操作”部分中选择“提升批准”(配置批准超时)时,将显示“决定提升批准者来源”菜单,如下图中所示。

该图显示了“决定提升批准者来源”菜单

  1. 从此菜单选择一个选项,以指定如何决定提升批准的批准者。

    这些选项包括:

    • 属性。根据新用户视图中指定的属性来决定批准者帐户 ID。

      注 –

      该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。

      在选择此选项时,将显示“提升管理员属性”菜单。从列表中选择一个属性,将在旁边的文本字段中显示选定的属性,如下图中所示。

      该图显示了“提升管理员属性”菜单和文本字段

    • 规则。通过评估指定规则来决定批准者帐户 ID。

      注 –

      评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。

      在选择此选项时,将显示“提升管理员规则”菜单,如下图中所示。从列表中选择一个规则。

      该图显示了“提升管理员规则”菜单

    • 查询。通过查询特定资源决定批准者帐户 ID。

      将显示“提升管理员查询”菜单,如下图中所示。

        按如下方式构建查询:

      1. 从“要查询的资源”菜单中选择资源。

      2. 从“要查询的资源属性”菜单中选择属性。

      3. 从“要比较的属性”菜单中选择属性。

        该图展示了一个查询

    • 管理员列表默认)。从列表中明确选择批准者。

      将显示“提升管理员”选择工具,如下图中所示。

      该图显示了“提升管理员”选择工具

        按如下方式选择批准者:

      1. 从“可用管理员”列表中选择一个或多个管理员名称。

      2. 将选定名称移至“选定的管理员”列表中。

Procedure配置“批准超时任务”部分

在“超时操作”部分中选择“执行任务”选项(配置批准超时)时,将显示“批准超时任务”菜单,如下图中所示。

该图显示了“超时操作”部分中的“批准超时任务”菜单

  1. 选择在批准请求超时后执行的任务定义。

    例如,可以允许请求者提交帮助台请求或发送报告给管理员。

配置批准表单(“批准”选项卡的“批准表单配置”部分)

注 –

删除用户模板不包含 "Approval Form Configuration" 部分。只能针对创建用户模板和更新用户模板配置此部分。

可以使用“批准表单配置”部分的功能选择批准表单,然后将属性添加到批准表单中(或从中删除属性)。

图 9–17 Approval Form Configuration

该图显示了“批准表单配置”部分

默认情况下,“批准属性”表包含以下标准属性:

注 –

默认批准表单经程序校验可以显示批准属性。如果使用的是批准表单而不是默认表单,则必须对表单进行程序校验以显示在“批准属性”表中指定的批准属性。

Procedure为附加批准者配置批准表单

  1. 从“批准表单”菜单中选择表单。

    批准者将使用此表单来批准或拒绝批准请求。

  2. 启用“批准属性”表的“可编辑”列中的复选框,以使批准者可以编辑属性值。

    例如,如果启用 user.waveset.accountId 复选框,则批准者可以更改用户的帐户 ID。

    注 –

    如果修改了批准表单中特定于帐户的任何属性,则在实际置备用户时,具有相同名称的所有全局属性值也将被覆盖。例如,如果资源 R1 存在于带有 description 模式属性的系统中,而您将 user.accounts[R1].description 属性作为可编辑的属性添加到批准表单中,则任何对批准表单中 description 属性值的更改都将覆盖仅从资源 R1global.description 传播来的值。

  3. 单击“添加属性”或删除选定属性按钮,从新用户的帐户数据中指定要在批准表单中显示的属性。

    除非修改 XML 文件,否则不能从批准表单中删除默认属性。

Procedure将属性添加到批准表单中

  1. 单击“批准属性”表下面的“添加属性”按钮。

    “批准属性”表中的“属性名称”菜单将变为活动状态,如下图中所示。

    图 9–18 添加批准属性

    该图展示了“批准属性”表中的“属性名称”菜单

  2. 从菜单中选择一个属性。

    选定属性的名称将显示在旁边的文本字段中,而属性的默认显示名称则显示在“表单显示名称”列中。

    例如,如果选择 user.waveset.organization 属性,则可以:

    • 在必要时更改默认属性名称或默认表单显示名称,方法是在相应文本字段中键入新名称。

    • 启用“可编辑”复选框以允许批准者更改属性值。

      例如,批准者可能要覆盖诸如用户电子邮件地址之类的信息。

  3. 重复以上步骤以指定其他属性。

删除属性

注 –

除非修改 XML 文件,否则不能从批准表单中删除默认属性。

Procedure从批准表单中删除属性

  1. 启用“批准属性”表的最左列中的一个或多个复选框。

  2. 单击“删除选定属性”按钮,立即从“批准属性”表中删除选定的属性。

    例如,单击“删除选定属性”按钮后,将从下表中删除 user.global.firstnameuser.waveset.organization

    图 9–19 删除批准属性

    该图展示了如何删除属性