第 17 章 服务提供者管理

本章提供了在 Sun Identity Manager 中管理服务提供者功能而需要了解的信息。要使用此信息，了解轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录和联合管理会很有帮助。有关 Sun Identity Manager Service Provider (服务提供者) 实现的更深入介绍，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

本章包含以下主题：

• 服务提供者功能概述

• 初始配置

• 事务管理

• 服务提供者用户的委托管理

• 管理服务提供商用户

• 服务提供者用户同步

• 配置服务提供者审计事件

服务提供者功能概述

在服务提供者环境中，您需要能够管理所有最终用户（包括外联网用户以及内联网用户）的用户置备。通过使用服务提供者功能，公司管理员可以将身份帐户分为两种不同的类型：Identity Manager 用户和服务提供者用户。Identity Manager 中的服务提供者用户是已配置为服务提供者用户类型的用户帐户。

通过提供以下功能，将 Identity Manager 用户置备和审计权能扩展到服务提供者实现：

增强的最终用户页面

提供了可以为服务提供者实现自定义的增强的最终用户页面。

密码和帐户 ID 策略

如同其他 Identity Manager 用户一样，您可以定义服务提供者用户和资源帐户的帐户 ID 和密码策略。

可使用服务提供者系统帐户策略（已添加到主“策略”表中）为服务提供者用户激活策略检查代码。

Identity Manager 和服务提供者同步

可以将 Identity Manager 与服务提供者帐户的同步配置为在任何 Identity Manager 服务器上运行，或限制为在选定服务器上运行。

如同 Identity Manager 同步一样，通过“资源”页中的“资源操作”选项可以轻松地停止和启动服务提供者同步。请参见启动和停止同步。

Identity Manager 用户同步的输入表单与服务提供者用户同步的输入表单不同。请参见最终用户界面。

Access Manager 集成

您可以使用 Sun Access Manager 7 2005Q4 在服务提供者最终用户页面上进行验证。如果配置了与 Access Manager 集成，则 Access Manager 可确保只有经过验证的用户才可以访问最终用户页面。

服务提供者需要使用用户名以进行审计。更新 AMAgent.properties 文件以将用户的 ID 添加到 HTTP 标头，例如：

com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid

最终用户页面验证过滤器会将 HTTP 标头值置入 HTTP 会话（其他代码希望该标头值置入其中）。

初始配置

要配置服务提供者功能，请执行以下步骤编辑目录服务器的 Identity Manager 配置对象：

• 编辑主配置

• 编辑用户搜索配置

---

注 –

在继续之前，请确保您已经：

• 定义了 LDAP 资源。默认情况下，将导入一个名为“服务提供者最终用户目录”的样例资源。如果要将用户信息和配置信息存储在不同的目录中，您可以配置多个资源。

• 此模式必须包括 XML 对象的映射。

  如果需要，请配置服务提供者帐户策略。

• 为目录资源配置的基本上下文仅适用于存储在该目录中的用户。

---

编辑主配置

编辑服务提供者实现的配置对象

1. 在管理员界面中，单击菜单中的“服务提供者”。

2. 单击“编辑主配置”。

   将打开“服务提供者配置”页。

3. 填写“服务提供者配置”表单。

   按照以下各节提供的说明进行操作：

   • 目录配置

   • 用户表单和策略

   • 事务数据库

   • 配置“跟踪的事件配置”

   • 同步帐户索引

   • 标注配置

目录配置

在“目录配置”一节中，将介绍为服务提供者用户配置 LDAP 目录和指定 Identity Manager 属性的信息。

图 17–1 显示了“服务提供者配置”页的这一区域以及下一节中介绍的“用户表单和策略”区域。

图 17–1 服务提供者配置（目录、用户表单和策略）

填写“目录配置”表单

1. 从列表中选择“服务提供者最终用户目录”。

   选择在其中存储所有服务提供者用户数据的 LDAP 目录资源。

2. 输入帐户 ID 属性名称。

   这是包括帐户的唯一简短标识符的 LDAP 帐户属性名称。它被视为用户通过 API 进行验证及帐户访问时使用的名称。该属性名称必须在模式映射中定义。

3. 指定 IDM 组织属性名称。

   该选项指定包含组织（该组织是 LDAP 帐户在 Identity Manager 中所属的组织）名称或 ID 的 LDAP 帐户属性名称。它用于 LDAP 帐户的委托管理。属性名称必须存在于 LDAP 资源模式映射中，并且是 Identity Manager 系统属性名称（模式映射左边的名称）。

   ---

   注 –

   如果要通过组织授权启用委托管理，应指定 Identity Manager 组织属性名称（如果需要，还应指定“IDM 组织属性名称包括 ID”）。

   ---

4. 如果您选择“IDM 组织属性名称包括 ID”，请启用该选项。

   如果 LDAP 资源属性（是指 LDAP 帐户所属的 Identity Manager 组织）包含 Identity Manager 组织的 ID 而非名称，请选择该选项。

5. 如果您选择“压缩用户 XML”，请启用该选项。

   如果您选择压缩存储在目录中的用户 XML，请选择该选项。

6. 单击“测试目录配置”以验证配置的条目。

   ---

   注 –

   您可以根据需要测试目录、事务和审计配置。要对以上三方面进行全面测试，请单击三个测试配置按钮。

   ---

用户表单和策略

在“用户表单和策略”区域（如上面的图 17–1 中所示）中，可以指定用于服务提供者用户管理的表单和策略。

为服务提供者用户管理指定表单和策略

1. 从列表中选择“最终用户表单”。

   除了委托管理员页面和同步期间，该表单可用于所有其他环境。如果选择“无”，则不使用默认用户表单。

2. 从列表中选择“管理员用户表单”。

   这是用于管理员上下文中的默认用户表单。其中包括“服务提供者帐户”编辑页。如果选择“无”，则不使用默认用户表单。

   ---

   注 –

   如果不选择“管理员用户表单”，则管理员将无法通过 Identity Manager 创建或编辑服务提供者用户。

   ---

3. 从列表中选择“同步用户表单”。

   如果没有为运行服务提供者同步的资源指定任何表单，则会使用默认的“同步用户表单”。如果在资源的同步策略上指定了输入表单，将使用该表单。资源通常需要不同的同步输入表单。在这种情况下，应该对每个资源设置同步用户表单，而不是从列表中选择表单。

4. 从列表中选择“帐户策略”。

   这些选项包括通过“配置”>“策略”定义的任何身份帐户策略。

5. 从列表中选择“帐户是否锁定规则”。

   选择要针对服务提供者用户视图运行的规则，该规则可以确定帐户是否锁定。

6. 选择“锁定帐户规则”。

   选择要针对服务提供者用户视图运行的规则，该规则可以在视图中设置能锁定帐户的属性。

7. 选择“解除锁定帐户规则”。

   选择要针对服务提供者用户视图运行的规则，该规则可以在视图中设置能解除锁定帐户的属性。

事务数据库

可以使用“服务提供者配置”页中的此部分（如图 17–2 中所示）来配置事务数据库。仅当使用 JDBC 事务持久性存储时，才需要使用这些选项。更改其中的任何值均需要重新启动服务器以将其应用。

必须根据 create_spe_tables DDL 脚本（位于 Identity Manager 安装的 sample 目录中）中所示的模式设置事务的数据库表。可能需要为目标环境自定义相应的脚本。

图 17–2 服务提供者配置（事务数据库）

配置事务数据库

1. 输入以下数据库信息：

   • 驱动程序类。指定 JDBC 驱动程序类名。

   • 驱动程序前缀。该字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

   • 连接 URI 模板。该字段是可选的。如果已指定，将在注册新驱动程序前查询 JDBC DriverManager。

   • 主机。输入正在运行数据库的主机的名称。

   • 端口。输入数据库服务器要侦听的端口号。

   • 数据库名称。输入要使用的数据库的名称。

   • 用户名。输入有权从选定数据库的事务和审计表中读取、更新和删除行的数据库用户 ID。

   • 密码。输入数据库用户密码。

   • 事务表。输入选定数据库中用于存储暂挂事务的表的名称。

2. 如果适用，单击“测试事务配置”以验证您的条目。

   继续到 "Service Provider Configuration" 页的下一段以配置跟踪的事件。

配置“跟踪的事件配置”

启用事件收集后，您便可以实时跟踪统计信息，从而有助于维护预期级别和商定级别的服务。默认情况下启用事件收集，如图 17–3 中所示。清除“启用事件收集”复选框将禁用收集。

图 17–3 服务提供者配置（跟踪的事件、帐户索引和标注配置）

为服务提供者跟踪事件指定时区和收集间隔

1. 从列表中选择“时区”。

   选择记录跟踪事件时要使用的时区，或选择“设置为服务器默认值”以使用服务器上设置的时区。

2. 选择“用于收集的时间范围”选项。

   将按以下时间间隔聚集收集：每 10 秒钟、每分钟、每小时、每日、每周和每月。禁用您不希望按其进行收集的任何间隔。

同步帐户索引

在服务提供者实现中同步资源时，可能需要定义帐户索引以正确地将此资源发送的事件与服务提供者目录中的用户相关联。

默认情况下，资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中，不会始终发送 accountId。例如，ActiveDirectory 中的删除事件仅包含 ActiveDirectory 生成的帐户 GUID。

不包含 accountId 属性的资源必须包含以下任一属性的值。

• guid。该属性通常包含系统生成的唯一标识符。

• identity。该属性通常与除 LDAP 资源之外的所有资源的 accountId 相同，在 LDAP 资源中，identity 包含对象的完整 DN。

如果需要使用 guid 或 identity 进行关联，则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后，便可将其用于搜索过滤器以关联同步事件。

要定义帐户索引，请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供者目录的资源定义，并在模式映射中为每个活动同步资源的 GUID 或 identity 属性添加属性。例如，如果从 ActiveDirectory 同步，则可以定义映射到未使用的目录属性（例如管理员）的名为 AD-GUID 的属性。

定义资源的索引属性

在定义了服务提供者资源中的所有索引属性后，请执行以下步骤：

1. 在配置页的“同步帐户索引”区域中，单击“新建索引”按钮。

   表单可扩展为包含资源选项字段，之后是两个属性选项字段。在选择资源之前，属性选项字段保持为空

2. 从列表中选择“资源”。

   现在，属性字段包含在模式映射中为选定资源定义的值。

3. 为“GUID 属性”或“完整身份属性”选择适当的索引属性。

   通常不必同时设置二者。如果同时设置二者，则软件首先尝试使用 GUID 进行关联，然后使用完整身份进行关联。

4. 您可以再次单击“新建索引”以定义其他资源的索引属性。

5. 要删除索引，请单击“资源”选项字段右侧的“删除”按钮。

   删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

   ---

   注 –

   删除索引仅会从配置中删除索引，而不会修改当前可能在索引属性中存储值的所有现有目录用户。

   ---

标注配置

选择 "Callout Configuration" 段中的该选项可以启用标注。启用标注后，将显示标注映射，使您可以为每个列出的事务类型选择操作前和操作后选项。

默认情况下，将操作前和操作后选项设置为 "None"。

如果指定操作后标注，请使用“等待操作后的标注”选项指定事务必须等待操作后标注处理完成后才能完成。这可确保任何相关事务都只能在操作后标注成功完成后执行。

---

注 –

在“服务提供者配置”页中的所有部分中选择完设置后，单击“保存”以完成配置。

---

编辑用户搜索配置

通过使用此页（如图 17–4 中所示），可以为“管理服务提供者用户”页上委托的管理员进行的搜索配置默认搜索设置。这些默认值适用于 "Manage Service Provider Users" 页上的所有用户，但是可以根据每个会话将其覆盖。

图 17–4 搜索配置

配置默认搜索设置以搜索服务提供者用户

1. 在菜单栏中单击“服务提供者”。

2. 单击“编辑用户搜索配置”。

3. 输入“返回的最大结果数”的数值（默认值为 100）。

4. 输入“每页的结果数”的数值（默认值为 10）。

5. 使用方向键选择“要显示的结果属性”旁边的“可用的属性”。

6. 从列表中选择“要搜索的属性”。

7. 从列表中选择“搜索操作”。

8. 单击“保存”。

   ---

   注 –

   只有在注销并重新登录后，对搜索配置所做的更改才会生效。

   如果尚未配置服务提供者目录，则无法使用这些配置对象。

   ---

事务管理

某个事务可以封装单个置备操作，例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成，需要将其写入事务持久性存储。

本节中的以下主题包含用于管理服务提供商事务的步骤：

• 设置默认事务执行选项

• 设置事务持久性存储

• 设置高级事务处理设置

• 监视事务

设置默认事务执行选项

这些选项控制事务的执行方式，包括同步/异步处理及何时在事务持久性存储中对其进行持久性处理。可以在 IDMXUser 视图中或通过用于对其进行处理的表单覆盖这些选项。有关详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

配置服务提供者事务

1. 单击“服务提供者”->“编辑事务配置”。

   将显示“服务提供者事务配置”页。

   图 17–5 显示了“默认事务执行选项”区域。

   图 17–5 事务配置

   
   

2. 选择相应的“一致性级别保证”选项，以指定用户更新的事务一致性级别。

   这些选项包括：

   • 无。不保证用户的资源更新按顺序进行。

   • 本地。保证由同一服务器处理的用户资源更新按顺序进行。

   • 完全。保证用户在所有服务器上的所有资源更新都按顺序进行。此选项要求在进行尝试或异步处理之前保留所有事务。

3. 根据需要，启用默认事务执行选项。

   这些选项包括：

   • 等待第一次尝试。指定了当 IDMXUser 视图对象登入时控制权如何返回给调用方。如果启用该选项，则在置备事务完成一次尝试之前，登入操作将被阻塞。如果禁用异步处理，则当控制权返回时，事务要么成功，要么失败。如果启用异步处理，则事务将在后台继续重试。如果禁用该选项，则登入操作将在尝试置备事务之前将控制权返回给调用方。请考虑启用该选项。

   • 启用异步处理。该选项控制在登入调用返回后是否继续处理置备事务。

     启用异步处理将允许系统重试事务。这样做还可以让工作者线程（在设置高级事务处理设置中配置）异步运行，从而提高吞吐量。如果选择此选项，请配置重试时间间隔，并尝试使用同步输入表单置备或更新资源。

     在选择“启用异步处理”后，请输入“重试超时”值。该值是服务器重试失败的置备事务的时间上限（毫秒）。该设置补充单个资源的重试设置，包括服务提供商用户 LDAP 目录。例如，如果在达到资源重试限制之前达到了该限制，则事务将异常中止。如果该值为负，则重试次数仅受单个资源的设置的限制。

   • 在尝试前使事务具有持久性。如果启用，置备事务将在尝试前被写入到事务持久性存储中。由于大多数置备事务在第一次尝试时就会成功，因此启用该选项可能会产生不必要的系统开销。考虑禁用该选项，除非“等待第一次尝试”选项已禁用。如果选择 "Complete" 一致性级别，则无法使用该选项。

   • 在异步处理前使事务具有持久性（默认选项）。如果启用，置备事务将在异步处理前被写入到事务持久性存储中。如果“等待第一次尝试”选项已启用，则需要重试的事务将在控制权返回到调用方前具有持久性。如果“等待第一次尝试”选项已禁用，则事务会在尝试前一直具有持久性。建议启用该选项。如果选择 "Complete" 一致性级别，则无法使用该选项。

   • 每次更新时使事务具有持久性。如果启用，置备事务将在每次重试尝试后具有持久性。由于事务持久性存储（可以从“搜索事务”页中进行搜索）始终是最新的，因此该操作可以帮助隔离问题。

设置事务持久性存储

“服务提供者事务配置”页上的选项适用于事务持久性存储。可以配置要在存储中显示的存储类型以及其他可查询属性，如下图中所示。

图 17–6 配置服务提供者事务持久性存储

在“服务提供者事务配置”页中设置选项

1. 从列表中选择所需的“事务持久性存储类型”。

   如果选择了“数据库”选项，则在服务提供者配置主页中配置的 RDBMS 将用于使置备事务具有持久性。这保证了必须重试的事务不会在服务器重新启动时丢失。选择该选项要求在服务提供者配置主页中配置 RDBMS。如果选择了“模仿的基于内存”选项，则要求重试的事务将仅存储到内存中并且将在服务器重新启动时丢失。在生产环境中，请启用“数据库”选项。

   ---

   注 –

   基于内存的事务持久性存储不适合在群集环境中使用。

   更改“事务持久性存储类型”后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

   ---

2. 如果需要，请输入“自定义的可查询用户属性”。

   选择要在事务摘要中显示的 IDMXUser 对象的附加属性。这些属性可以从搜索事务页中查询并显示在搜索结果中。

   这些属性包括：

   • 用户路径表达式。将路径表达式输入到 IDMXUser 对象中。

   • 显示名称。选择与路径表达式对应的显示名称。该显示名称显示在事务搜索页中。

设置高级事务处理设置

这些高级选项控制事务管理器的内部工作。除非性能分析说明提供的默认值不是最佳的，否则不要对其进行更改。所有条目都是必需的。

图 17–5 展示了“编辑事务配置”页中的“高级事务处理设置”区域。

图 17–7 高级事务处理设置

指定高级事务处理设置

1. 输入所需的“工作者线程”数（默认值为 100）。

   这是用来处理事务的线程数。该值限定了可以并发处理的事务数。这些线程在启动时静态分配。

   ---

   注 –

   更改“工作者线程”设置后，必须重新启动所有正在运行的 Identity Manager 实例才能使更改生效。

   ---

2. 输入所需的“租用持续时间”（毫秒）（默认值为 600000）。

   它控制服务器将锁定要重试的事务的时间。需要时将更新租用。但是，如果服务器没有完全关闭，则在原始服务器租用到期前其他服务器不能锁定事务。该值至少应为一分钟。将该值设置得较小可能会影响事务持久性存储的负荷。

3. 输入“租用更新时间”（毫秒）（默认值为 300000）。

   此选项可控制更新锁定事务的租用的时间。当租用时间还剩余该毫秒值时，租用会更新。

4. 输入“完成的事务保留在存储中的时间”（毫秒）（默认值为 360000）。

   从事务持久性存储中删除完成的事务前要等待的时间（毫秒）。除非事务被配置为立即具有持久性，否则事务持久性存储不会包含所有完成的事务。

5. 输入“就绪队列低水位标记”（默认值为 400）。

   当事务调度程序的准备运行事务队列降到该限制以下时，将使用可用的准备运行事务重新填充队列，最高可到高水位限制。

6. 输入“就绪队列高水位标记”（默认值为 800）。

   当事务调度程序的准备运行事务队列降到低水位限制以下时，将使用可用的准备运行事务重新填充队列，最高可到该限制。

7. 输入“暂挂队列低水位标记”（默认值为 2000）。

   事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

8. 输入“暂挂队列高水位标记”（默认值为 2000）。

   事务调度程序的暂挂队列容纳有等待重试的失败事务。如果队列大小超过高水位标记，则所有超过低水位标记的事务将被刷新到事务持久性存储中。

9. 输入“调度程序周期”（毫秒）（默认值为 500）。

   这是事务调度程序应运行的频率。当运行时，事务调度程序会将准备运行事务从暂挂队列移动到就绪队列，并执行其他周期性任务，例如，使事务具有持久性以进入事务持久性存储中。

10. 单击“保存”接受设置。

监视事务

服务提供商事务将写入事务持久性存储中。您可以在事务持久性存储中搜索事务以查看事务状态。

---

注 –

使用 "Edit Transaction Configuration" 页（请参见“事务管理”），管理员可以控制使事务具有持久性的时间。例如，即使事务尚未进行首次尝试，也可以使其立即具有持久性。

---

使用 "Transactions Search" 页可以指定搜索条件，从而使您可以根据与事务事件相关的特定条件（例如用户、类型、状态、事务 ID、当前状态和事务的成功或失败）来过滤要查看的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务，以阻止其进一步的尝试。

搜索事务

1. 在管理员界面中，单击“服务器任务”->“服务提供者事务”。

   将打开“服务提供者事务搜索”页，您可以在该页中指定搜索条件。

   ---

   注 –

   搜索仅返回与以下选定的所有条件匹配的事务。这类似于“帐户”->“查找用户”页。

   ---

2. 配置搜索。

   选择下面的一个或多个选项：

   • 用户名。允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。

     ---

     注 –

     如果已在“服务提供者事务配置”页上配置任何自定义的可查询用户属性，则它们会在此显示。例如，如果将它们配置为自定义的可查询用户属性，则您可以选择根据 "Last Name" 或 "Full Name" 进行搜索。

     ---

   • 类型。允许您搜索选定类型的事务。

   • 状态。允许您搜索处于以下选定状态的事务：

     • 尚未尝试表示尚未尝试的事务。

     • 暂挂重试表示这样的事务：已经尝试一次或多次，具有一个或多个错误，并计划重试，重试次数不超过为单个资源配置的重试限制。

     • 成功表示已经成功完成的事务。

     • 失败表示已经完成但具有一个或多个故障的事务。

   • 尝试次数。允许您根据事务已尝试的次数搜索这些事务。将会重试失败的事务，重试次数不超过为单个资源配置的重试限制。

   • 已提交。允许您根据事务初次提交的时间搜索这些事务，以小时、分钟或天为增量。

   • 已完成。允许您根据事务完成的时间搜索这些事务，以小时、分钟或天为增量。

   • 取消状态。允许您根据事务是否已取消搜索这些事务。

   • 事务 ID。允许您根据事务的唯一 ID 搜索这些事务。通过使用该选项，您可以根据输入的 ID 值（出现在所有审计日志记录中）查找事务。

   • 运行环境。允许您根据运行事务的服务提供者服务器搜索这些事务。服务器的标识符基于它的计算机名称，除非它已在 Waveset.properties 文件中被覆盖。

   • 将搜索结果数限制为从列表中选择的首个条目数。返回的结果数不会超过指定的限制值。即使有更多的结果可用，也不会做任何指示。

   图 17–8 搜索事务

   
   

3. 单击“搜索”。

   将显示搜索结果。

4. 可以单击结果页面底部的“下载所有匹配的事务”，将结果保存为 XML 格式的文件。

   ---

   注 –

   要取消搜索结果中返回的事务，请在结果表中选择该事务，然后单击“已选择取消”。您无法取消已完成或已被取消的事务。

   ---

服务提供者用户的委托管理

通过使用 Identity Manager 管理员角色或通过基于组织的授权模型可启用服务提供者用户的委托管理。

通过组织授权委托

默认情况下，Identity Manager 通过基于组织的授权模型提供管理职责的委托。

在基于组织的授权模型中创建委托管理员时，请谨记以下几点：

• 服务提供者管理员是具有特定权能和受控组织的 Identity Manager 用户。

• 用户的组织属性值可以是 Identity Manager 组织的名称，也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的“Identity Manager 组织属性名称包括 ID”字段的设置。

• 您可以创建 Identity Manager 分层结构，并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识，而不是组织的简单名称。

• 服务提供商用户通过目录服务器中的用户属性获取其组织。

  • 您必须在目录服务器资源的模式映射中设置这些属性。

  • 属性比较是通过对管理员受控组织列表进行完全匹配来完成的。目录中存储的值必须与组织名称相匹配，而不是整个分层结构。如果管理员控制 Top:orgA:sub1，则 sub1 必须为存储在服务提供者用户的组织属性中的值。

  • 如果未设置属性或属性与 Identity Manager 组织不对应，则会将服务提供者用户视为 Top 组织的成员。这要求服务提供者管理员在 Top 中具有服务提供者用户权能才能管理这些用户。

  属性设置可确定按服务提供者管理员进行搜索的范围。

• 要创建委托管理员帐户，应先创建 Identity Manager 管理员，然后添加服务提供者管理员权能。可以将特定于服务提供者任务的权能分配给用户（在“编辑用户”页的“安全性”选项卡中）。受控组织可指定管理员可以修改的服务提供者用户。适用于服务提供者用户的所有资源均适用于所有 Identity Manager 管理员。

---

注 –

有关 Identity Manager 委托管理的详细信息，请参见第 6 章中的委托管理

---

通过管理员角色分配委托

要授予对服务提供商用户的细化权能和控制范围，请使用服务提供商用户管理员角色。可以将管理员角色配置为在登录时动态分配给一个或多个 Identity Manager 用户或服务提供者用户。

可以定义规则并将其分配给管理员角色，管理员角色可指定授予分配了管理员角色的用户的权能（例如 Service Provider Create User）。

要将管理员角色委托用于服务提供者用户，您必须在 Identity Manager 系统配置对象（编辑 Identity Manager 配置对象）中将其启用。

如果启用通过管理员角色分配进行的委托，则“服务提供者配置”中的“IDM 组织属性名称”不是必填项。

启用服务提供者管理员角色委托

要启用服务提供者管理员角色委托（服务提供者委托管理），请打开要修改的系统配置对象（编辑 Identity Manager 配置对象）并将以下属性设置为 true：

security.authz.external.app name.object type

其中 app name 为 Identity Manager 应用程序（例如管理员界面），object type 为 Service Provider Users

可以为每个 Identity Manager 应用程序（例如管理员界面或用户界面）和每个对象类型启用该属性。当前，唯一受支持的对象类型为 Service Provider Users。默认值为 false。

例如，要为 Identity Manager 管理员启用服务提供者委托管理，请将“系统配置”配置对象中的以下属性设置为 "true"：

security.authz.external.Administrator Interface.Service Provider Users

如果为给定的 Identity Manager 或服务提供者应用程序禁用了服务提供者委托管理（设置为 false），则会使用基于组织的授权模型。

在启用服务提供者委托管理后，跟踪的事件将捕获有关执行的授权规则数和持续时间的信息。可以在面板中找到这些统计信息。

配置服务提供者用户管理员角色

要配置服务提供者用户管理员角色，请创建一个管理员角色，然后指定控制范围、权能以及应将其分配给的用户。

---

注 –

在创建服务提供商用户管理员角色之前，应为管理员角色定义搜索上下文、搜索过滤器、搜索过滤器后、权能和用户分配规则。

要使用以下规则，您必须指定该规则的 authType：

• SPEUsersSearchContextRule

• SPEUsersSearchFilterRule

• SPEUsersAfterSearchFilterRule

• CapabilitiesOnSPEUserRule

• UserIsAssignedAdminRoleRule

• SPEUserIsAssignedAdminRoleRule

Identity Manager 提供了示例规则，您可以使用这些示例规则为服务提供者用户管理员角色创建这些规则。您可以在 Identity Manager 安装目录的 sample/adminRoleRules.xml 中找到这些规则。

有关为您的环境创建这些规则的详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

---

配置服务提供者用户管理员角色

1. 在管理员界面中，单击菜单中的“安全性”，然后单击“管理员角色”。

   将打开“管理员角色”页。

2. 单击“新建”。

   将打开“创建管理员角色”页。

3. 指定管理员角色的名称，并选择“服务提供者用户”类型。

4. 按照以下各节所述，指定“控制范围”、“权能”和“分配给用户”选项。

指定控制范围

服务提供者用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供者最终用户查看的服务提供者用户。如果请求在目录中列出服务提供商用户，则会强制指定控制范围。

您可以为服务提供商用户管理员角色控制范围指定以下一个或多个设置：

• 用户搜索上下文。指定是使用规则还是文本字符串来开始搜索。

  如果指定为“无”，则默认搜索上下文将是配置为服务提供者用户目录的 Identity Mananger 资源中指定的基本上下文。

• 用户搜索过滤器。指定搜索过滤器是应用规则还是文本字符串。

  所选规则指定或返回的文本字符串应为表示用户集的 LDAP 兼容的搜索过滤器字符串，在搜索上下文中，这些用户将由分配了此管理员角色的用户控制。指定的过滤器将与用户指定的搜索过滤器结合，以确保搜索返回的用户不包括分配了此 AdminRole 的用户无权列出的任何用户。

• 用户搜索过滤器后规则。选择在应用用户搜索过滤器后将应用的规则。

  该规则在对服务提供者用户目录执行初始 LDAP 搜索后运行，并评估结果以确定允许请求用户访问的识别名 (DN)。

  当需要使用非 LDAP 用户属性（例如组成员资格）确定用户是否应在请求用户的控制范围中时，或需要使用信息库而不是服务提供者用户目录（例如 Oracle 数据库或 RACF）做出过滤决策时，可以使用该类型的规则。

指定权能

服务提供商用户管理员角色的权能用于指定请求用户对所请求访问的服务提供商用户具有的权能和权限。如果请求查看、创建、修改或删除服务提供商用户，则会强制指定权能。

在“权能”选项卡上，选择要为该管理员角色应用的“权能规则”。

为用户分配管理员角色

通过指定将在登录时进行评估以确定是否向验证用户分配管理员角色的规则，可以将服务提供商用户管理员角色动态地分配给服务提供商用户。

单击“分配给用户”选项卡，然后选择要为分配应用的规则。

---

注 –

必须为每个登录界面（例如用户界面和管理员界面）启用将管理员角色动态分配给用户的操作，方法是：将以下系统配置对象（编辑 Identity Manager 配置对象）设置为 true：

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

所有界面的默认值为 false。

---

委托服务提供商用户管理员角色

默认情况下，服务提供商用户可以将分配给他们的服务提供商用户管理员角色分配（或委托）给其控制范围内的其他服务提供商用户。

事实上，任何具有编辑服务提供者用户权能的 Identity Manager 用户均可将分配给他们的服务提供者用户管理员角色分配给其控制范围内的服务提供者用户。

服务提供商用户管理员角色还可以包括分配者列表，无论是何控制范围，这些分配者均可分配管理员角色。这些直接分配可以确保至少一个已知用户帐户可以分配管理员角色。

管理服务提供商用户

本节介绍了通过 Identity Manager 管理服务提供者用户的步骤和信息。

本节包含以下主题：

• 用户组织

• 创建用户和帐户

• 搜索服务提供者用户

• 最终用户界面

用户组织

通过服务提供者，用户的属性值可以确定将该用户分配给哪个组织。这是在服务提供者主配置的 Identity Manager 组织属性名称字段中指定的（请参见初始配置）。但是，这些组织的名称必须与目录服务器中分配的用户属性值相匹配。

如果定义了 Identity Manager 组织属性名称，则“创建用户”和“编辑用户”页上将显示可用组织的多重选择列表。默认情况下显示组织的简称。您可以修改服务提供者用户表单以显示完整的组织路径。

您可以选择哪个属性将成为组织名称属性。然后便可在服务提供者用户管理页面中使用该组织名称属性限制可以搜索并管理该用户的管理员。

---

注 –

现在具有服务提供者和资源帐户的帐户 ID 和密码策略。

可以从主“策略”表中找到“服务提供者系统帐户策略”。

---

创建用户和帐户

所有服务提供者用户均必须在服务提供者目录中具有帐户。如果用户具有其他资源的帐户，则这些帐户的链接将存储在用户的目录条目中，因此查看用户时可使用有关这些帐户的信息。

---

注 –

提供了用于创建和编辑用户的服务提供者用户表单示例。自定义该表单以满足您在服务提供商环境中管理用户的需求。有关详细信息，请参见《Sun Identity Manager Deployment Reference》中的第 2  章 “Identity Manager Forms”。

---

创建服务提供者帐户

1. 在管理员界面中，单击菜单栏中的“帐户”。

2. 单击“管理服务提供者用户”选项卡。

3. 单击“创建用户”。

   ---

   注 –

   使用默认的服务提供者用户表单时，实际显示的字段取决于在服务提供者目录资源的“帐户属性”表（模式映射）中配置的属性。而且，当您向用户（例如委托管理员）分配资源时，将看到新添加到显示部分中的段，您可以在其中指定这些资源的属性值。您也可以自定义字段。

   ---

4. 根据需要，为这些资源指定属性值。

   这些属性值包括：

   • 帐户 ID（必需）

   • 密码

   • 确认（密码确认）

   • 名字（必需）

   • 姓氏（必需）

   • 全名

   • 电子邮件

   • 住宅电话

   • 移动电话

   • 密码重试计数

   • 解除锁定帐户时间

5. 使用方向键从“可用”列表中分配所有所需的“资源”。

6. “帐户状态”用于显示帐户处于锁定还是解除锁定状态。单击该选项可以锁定或解除锁定帐户。

   图 17–9 创建服务提供商用户和帐户

   
   

   ---

   注 –

   该表单可根据为目录帐户（在顶部）定义的属性自动填充资源帐户属性的值。例如，如果资源定义 firstName，则产品将使用目录帐户中的 firstName 值对其进行填充。但是在此初始填充后，对这些属性的修改不会推送到资源帐户。如果需要，请自定义提供的示例服务提供者用户表单。

   ---

7. 单击“保存”以创建用户帐户。

搜索服务提供者用户

服务提供者包括可配置的搜索权能，可帮助管理用户帐户。搜索仅返回在您的范围（如组织所定义的，或可能由其他因子所定义的）内的用户。

要执行服务提供者用户的基本搜索，请在 Identity Manager 界面中的“帐户”区域中，单击“管理服务提供者用户”，然后输入搜索值并单击“搜索”。

以下主题介绍了服务提供者搜索功能：

• 高级搜索

• 搜索结果

• 链接帐户

• 删除、取消分配帐户或解除帐户的链接

• 设置搜索选项

高级搜索

可以使用以下说明执行服务提供者用户的高级搜索。

执行服务提供者用户的高级搜索

1. 在“服务提供者用户搜索”页中，单击“高级”。

2. 从列表中选择所需的“属性”。

3. 从列表中选择所需的“操作”。

   通过指定一组条件以过滤搜索返回的用户，且返回的用户必须满足所有指定的条件。

4. 输入所需的搜索值，然后单击“搜索”。

   图 17–10 搜索用户

   
   

   您可以使用以下选项添加或删除属性条件。

   • 单击“添加条件”并指定新的属性。

   • 选择项目并单击“删除选定条件”。

搜索结果

服务提供者搜索结果将显示在表中，如图 17–11 中所示。单击属性的列标题，可以按任意属性对结果进行排序。显示的结果取决于您选择的属性。

使用箭头按钮可转至结果的首页、上一页、下一页和尾页。在文本框中输入数字并按 Enter 键，可跳转至特定页。

要编辑用户，请单击表中的用户名。

图 17–11 搜索结果示例

通过搜索结果页，可以删除用户或解除资源帐户的链接，方法是通过选择一个或多个用户然后单击“删除”按钮。该操作将打开删除用户页，并显示其他选项（请参见删除、取消分配帐户或解除帐户的链接）

链接帐户

服务提供者可安装于用户在多个资源上具有帐户的环境中。通过使用服务提供者的帐户链接功能，您可以以增量方式将现有资源帐户分配给服务提供者用户。帐户链接过程由服务提供者链接策略控制，此策略可定义链接关联规则、链接确认规则和链接验证选项。

链接用户帐户

1. 在管理员界面中，单击菜单栏中的“资源”。

2. 选择所需的资源。

3. 在“资源操作”菜单中选择“编辑服务提供者链接策略”。

4. 选择链接关联规则。此规则可搜索用户可能拥有的资源上的帐户。

5. 选择链接确认规则。此规则可从链接关联规则所选的潜在帐户列表中清除所有资源帐户。

   ---

   注 –

   如果链接关联规则仅选择一个帐户，则不需要链接确认规则。

   ---

6. 选择“要求链接验证”，将目标资源帐户链接到服务提供者用户。

删除、取消分配帐户或解除帐户的链接

删除、取消分配用户帐户或解除用户帐户的链接

1. 在菜单栏中单击“帐户”。

2. 单击“管理服务提供者用户”。

3. 执行基本搜索或高级搜索。

4. 选择所需的一个或多个用户。

5. 单击“删除”按钮。

6. 选择可选全局选项之一。

   这些选项包括：

   • 删除所有资源帐户

     ---

     注 –

     删除资源将删除该资源帐户，但资源分配依然存在。对用户进行后续更新将重新创建帐户。但删除资源始终会将该资源帐户取消链接。

     ---

   • 取消分配所有资源帐户

     ---

     注 –

     取消分配资源将删除该资源分配。取消分配会将资源帐户取消链接。取消分配资源时，将不删除该资源帐户。

     ---

   • 取消链接所有资源帐户

     ---

     注 –

     取消链接将删除用户和资源帐户之间的链接，但并不删除帐户。也不会删除资源分配，因此对用户进行后续更新将重新链接帐户或在资源上新建帐户。

     ---

7. 也可以在“删除”、“取消分配”或“解除链接”列中为一个或多个资源帐户选择一个操作。

8. 选择所需用户帐户后，单击“确定”。

   图 17–12 删除、取消分配帐户或解除帐户的链接

   
   

设置搜索选项

设置服务提供者用户的搜索选项

1. 在管理员界面中，单击菜单栏中的“帐户”。

2. 单击“服务提供者”。

3. 单击“选项”。

   ---

   注 –

   这些选项仅对当前登录会话有效。这些选项会影响搜索结果的显示方式，它们会影响基本搜索结果和高级搜索结果，并且某些设置仅对新搜索有效。

   ---

4. 输入“返回的最大结果数”。

5. 输入“每页的结果数”。

6. 使用方向键从“可用的属性”中选择所需的“显示属性”。

   图 17–13 设置服务提供者用户的搜索选项

   
   

最终用户界面

随附的最终用户页面样例提供了 xSP 环境中典型的注册和自助服务示例。这些样例是可扩展的并且可以对其进行自定义。您可以更改外观、修改页面之间的导航规则或显示用于部署的特定于语言环境的消息。有关自定义最终用户页面的详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

除了审计自助服务和注册事件以外，还可以使用电子邮件模板将通知发送给受影响的用户。还提供了使用帐户 ID 和密码策略以及帐户锁定的示例。应用程序开发者还可以使用 Identity Manager 表单。如果需要，可以扩展或替换作为 Servlet 过滤器实现的模块验证服务。这样，便可与访问管理系统（如 Sun Access Manager）集成在一起。

最终用户页面示例

使用随附的样例最终用户页面，用户可以通过一系列易于导航的屏幕注册和维护基本用户信息，并接收其操作的电子邮件通知。

示例页面包括以下功能：

• 登录（和退出），包括使用质询问题进行验证

• 注册

• 密码更改

• 用户名更改

• 质询问题更改

• 通知地址更改

• 处理忘记用户名的情况

• 处理忘记密码的情况

• 电子邮件通知

• 审计

---

注 –

Identity Manager 使用验证表进行注册。仅允许该表中的用户进行注册。例如，当用户 Betty Childs 注册时，如果在验证表中找到 Betty Childs 的条目（包含电子邮件地址 bchilds@example.com），则接受注册。

---

可以为您的部署轻松自定义这些页面。

可以方便地为您的部署自定义这些页面，如下所示：

• 更改品牌信息

• 修改配置选项（例如失败的登录尝试次数）

• 添加或删除页面

有关自定义这些页面的详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

新用户注册

要求新用户注册。在注册期间用户可以设置其登录、质询问题和通知信息。

图 17–14 “注册”页

“主页”屏幕和配置文件屏幕

图 17–15 显示了最终用户“主页”选项卡和配置文件页面。用户可以更改其登录 ID 和密码、管理通知及创建质询问题。

图 17–15 “我的配置文件”页

服务提供者用户同步

可通过同步策略启用服务提供者用户同步。要使用 Identity Manager 为服务提供者用户同步资源上属性的更改，您必须配置服务提供者同步。

以下主题介绍了如何在服务提供商实现中启用同步：

• 配置同步

• 监视同步

• 启动和停止同步

• 迁移用户

---

注 –

从 Identity Manager 的“资源”区域的资源列表中配置服务提供者同步。

---

配置同步

要配置服务提供者同步，请按编辑或配置同步中所述编辑资源的同步策略。

编辑同步策略时，必须指定以下选项以启用服务提供商用户的同步进程。

• 选择“服务提供者用户”作为“目标对象类型”。

• 在“调度设置”段中，选择“启用同步”。

按照编辑或配置同步中的说明，指定适合您的环境的其他选项。服务提供者同步任务的默认同步间隔为 1 分钟。

---

注 –

确认规则和表单必须使用 IDMXUser 视图，而非 Identity Manager 输入用户视图（有关详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》）。

这是必需的，因为确认规则会访问关联规则中标识的每个用户的用户视图，从而影响同步性能。

---

单击“保存”可以保存策略定义。如果在策略中未禁用同步，则按指定对其进行调度。如果指定禁用同步，则将停止同步服务（如果当前正在运行）。如果启用，则重新启动 Identity Manager 服务器时，或在“同步资源操作”下选择“启动服务提供者”时，将启动同步。

监视同步

Identity Manager 提供了以下方法来监视服务提供者同步。

• 在“资源”列表上的描述字段中查看同步状态。

• 使用 JMX 界面监视同步度量。

启动和停止同步

默认情况下，在为服务提供者实现配置 Identity Manager 时，将启用服务提供者同步。

禁用服务提供者活动同步

1. 在管理员界面中，单击菜单中的“资源”。

   将打开“列出资源”页。

2. 在“服务提供者”区域中，选择资源，然后单击“编辑同步策略”以编辑策略。

3. 清除“启用同步”复选框。

4. 单击“保存”。

   保存策略后，同步将停止。

   要停止同步而不将其禁用，请从“同步资源操作”中选择“停止服务提供者”。

   ---

   注 –

   如果通过使用资源操作停止同步，而不是禁用同步，则启动任何 Identity Manager 服务器后将再次启动同步。

   ---

迁移用户

服务提供者功能包含示例用户迁移任务及关联的脚本。该任务将现有 Identity Manager 用户迁移到服务提供者用户目录中。本节介绍如何使用示例迁移任务。建议您修改该示例以用于您的环境。

迁移现有 Identity Manager 用户

1. 在管理员界面中，单击菜单中的“服务器任务”。

   将打开“查找任务”页。

2. 单击次级菜单中的“运行任务”。

3. 单击“SPE 迁移”。

4. 输入唯一的“任务名称”。

5. 从列表中选择“资源”。

   这是 Identity Manager 中的一个资源，它表示服务提供者目录服务器。不会迁移在 Identity Manager 用户中找到的该资源的链接。

6. 输入“身份属性”。

   这是包含目录用户的唯一简短身份的 Identity Manager 用户属性。

7. 从列表中选择“身份规则”。

   这是可以通过 Identity Manager 用户的属性计算目录用户名称的可选规则。身份规则可以计算简单名称（通常为 UID），然后会通过资源的身份模板处理该简短名称，以形成目录服务器的标识名 (Distinguished Name, DN)。该规则还可以返回不使用 ID 模板的完全指定的 DN。

8. 单击“启动”可启动后台迁移任务。

配置服务提供者审计事件

在服务提供者实现中，Identity Manager 的审计日志记录系统可以审计与外联网用户活动相关的事件。Identity Manager 提供了服务提供者审计配置组（默认情况下已启用），该配置组可指定为服务提供者用户记录的审计事件。请参见图 17–16。

有关审计日志记录和修改服务提供者审计配置组中的事件的详细信息，请参见第 10 章。

图 17–16 “编辑服务提供者审计配置组”页