要配置服务提供者功能,请执行以下步骤编辑目录服务器的 Identity Manager 配置对象:
编辑主配置
编辑用户搜索配置
在继续之前,请确保您已经:
定义了 LDAP 资源。默认情况下,将导入一个名为“服务提供者最终用户目录”的样例资源。如果要将用户信息和配置信息存储在不同的目录中,您可以配置多个资源。
此模式必须包括 XML 对象的映射。
如果需要,请配置服务提供者帐户策略。
为目录资源配置的基本上下文仅适用于存储在该目录中的用户。
在“目录配置”一节中,将介绍为服务提供者用户配置 LDAP 目录和指定 Identity Manager 属性的信息。
图 17–1 显示了“服务提供者配置”页的这一区域以及下一节中介绍的“用户表单和策略”区域。
从列表中选择“服务提供者最终用户目录”。
选择在其中存储所有服务提供者用户数据的 LDAP 目录资源。
输入帐户 ID 属性名称。
这是包括帐户的唯一简短标识符的 LDAP 帐户属性名称。它被视为用户通过 API 进行验证及帐户访问时使用的名称。该属性名称必须在模式映射中定义。
指定 IDM 组织属性名称。
该选项指定包含组织(该组织是 LDAP 帐户在 Identity Manager 中所属的组织)名称或 ID 的 LDAP 帐户属性名称。它用于 LDAP 帐户的委托管理。属性名称必须存在于 LDAP 资源模式映射中,并且是 Identity Manager 系统属性名称(模式映射左边的名称)。
如果要通过组织授权启用委托管理,应指定 Identity Manager 组织属性名称(如果需要,还应指定“IDM 组织属性名称包括 ID”)。
如果您选择“IDM 组织属性名称包括 ID”,请启用该选项。
如果 LDAP 资源属性(是指 LDAP 帐户所属的 Identity Manager 组织)包含 Identity Manager 组织的 ID 而非名称,请选择该选项。
如果您选择“压缩用户 XML”,请启用该选项。
如果您选择压缩存储在目录中的用户 XML,请选择该选项。
单击“测试目录配置”以验证配置的条目。
您可以根据需要测试目录、事务和审计配置。要对以上三方面进行全面测试,请单击三个测试配置按钮。
在“用户表单和策略”区域(如上面的图 17–1 中所示)中,可以指定用于服务提供者用户管理的表单和策略。
从列表中选择“最终用户表单”。
除了委托管理员页面和同步期间,该表单可用于所有其他环境。如果选择“无”,则不使用默认用户表单。
从列表中选择“管理员用户表单”。
这是用于管理员上下文中的默认用户表单。其中包括“服务提供者帐户”编辑页。如果选择“无”,则不使用默认用户表单。
如果不选择“管理员用户表单”,则管理员将无法通过 Identity Manager 创建或编辑服务提供者用户。
从列表中选择“同步用户表单”。
如果没有为运行服务提供者同步的资源指定任何表单,则会使用默认的“同步用户表单”。如果在资源的同步策略上指定了输入表单,将使用该表单。资源通常需要不同的同步输入表单。在这种情况下,应该对每个资源设置同步用户表单,而不是从列表中选择表单。
从列表中选择“帐户策略”。
这些选项包括通过“配置”>“策略”定义的任何身份帐户策略。
从列表中选择“帐户是否锁定规则”。
选择要针对服务提供者用户视图运行的规则,该规则可以确定帐户是否锁定。
选择“锁定帐户规则”。
选择要针对服务提供者用户视图运行的规则,该规则可以在视图中设置能锁定帐户的属性。
选择“解除锁定帐户规则”。
选择要针对服务提供者用户视图运行的规则,该规则可以在视图中设置能解除锁定帐户的属性。
可以使用“服务提供者配置”页中的此部分(如图 17–2 中所示)来配置事务数据库。仅当使用 JDBC 事务持久性存储时,才需要使用这些选项。更改其中的任何值均需要重新启动服务器以将其应用。
必须根据 create_spe_tables DDL 脚本(位于 Identity Manager 安装的 sample 目录中)中所示的模式设置事务的数据库表。可能需要为目标环境自定义相应的脚本。
输入以下数据库信息:
驱动程序类。指定 JDBC 驱动程序类名。
驱动程序前缀。该字段是可选的。如果已指定,将在注册新驱动程序前查询 JDBC DriverManager。
连接 URI 模板。该字段是可选的。如果已指定,将在注册新驱动程序前查询 JDBC DriverManager。
主机。输入正在运行数据库的主机的名称。
端口。输入数据库服务器要侦听的端口号。
数据库名称。输入要使用的数据库的名称。
用户名。输入有权从选定数据库的事务和审计表中读取、更新和删除行的数据库用户 ID。
密码。输入数据库用户密码。
事务表。输入选定数据库中用于存储暂挂事务的表的名称。
如果适用,单击“测试事务配置”以验证您的条目。
继续到 "Service Provider Configuration" 页的下一段以配置跟踪的事件。
启用事件收集后,您便可以实时跟踪统计信息,从而有助于维护预期级别和商定级别的服务。默认情况下启用事件收集,如图 17–3 中所示。清除“启用事件收集”复选框将禁用收集。
从列表中选择“时区”。
选择记录跟踪事件时要使用的时区,或选择“设置为服务器默认值”以使用服务器上设置的时区。
选择“用于收集的时间范围”选项。
将按以下时间间隔聚集收集:每 10 秒钟、每分钟、每小时、每日、每周和每月。禁用您不希望按其进行收集的任何间隔。
在服务提供者实现中同步资源时,可能需要定义帐户索引以正确地将此资源发送的事件与服务提供者目录中的用户相关联。
默认情况下,资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中,不会始终发送 accountId。例如,ActiveDirectory 中的删除事件仅包含 ActiveDirectory 生成的帐户 GUID。
不包含 accountId 属性的资源必须包含以下任一属性的值。
guid。该属性通常包含系统生成的唯一标识符。
identity。该属性通常与除 LDAP 资源之外的所有资源的 accountId 相同,在 LDAP 资源中,identity 包含对象的完整 DN。
如果需要使用 guid 或 identity 进行关联,则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后,便可将其用于搜索过滤器以关联同步事件。
要定义帐户索引,请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供者目录的资源定义,并在模式映射中为每个活动同步资源的 GUID 或 identity 属性添加属性。例如,如果从 ActiveDirectory 同步,则可以定义映射到未使用的目录属性(例如管理员)的名为 AD-GUID 的属性。
在定义了服务提供者资源中的所有索引属性后,请执行以下步骤:
在配置页的“同步帐户索引”区域中,单击“新建索引”按钮。
表单可扩展为包含资源选项字段,之后是两个属性选项字段。在选择资源之前,属性选项字段保持为空
从列表中选择“资源”。
现在,属性字段包含在模式映射中为选定资源定义的值。
为“GUID 属性”或“完整身份属性”选择适当的索引属性。
通常不必同时设置二者。如果同时设置二者,则软件首先尝试使用 GUID 进行关联,然后使用完整身份进行关联。
您可以再次单击“新建索引”以定义其他资源的索引属性。
要删除索引,请单击“资源”选项字段右侧的“删除”按钮。
删除索引仅会从配置中删除索引,而不会修改当前可能在索引属性中存储值的所有现有目录用户。
删除索引仅会从配置中删除索引,而不会修改当前可能在索引属性中存储值的所有现有目录用户。
选择 "Callout Configuration" 段中的该选项可以启用标注。启用标注后,将显示标注映射,使您可以为每个列出的事务类型选择操作前和操作后选项。
默认情况下,将操作前和操作后选项设置为 "None"。
如果指定操作后标注,请使用“等待操作后的标注”选项指定事务必须等待操作后标注处理完成后才能完成。这可确保任何相关事务都只能在操作后标注成功完成后执行。
在“服务提供者配置”页中的所有部分中选择完设置后,单击“保存”以完成配置。
通过使用此页(如图 17–4 中所示),可以为“管理服务提供者用户”页上委托的管理员进行的搜索配置默认搜索设置。这些默认值适用于 "Manage Service Provider Users" 页上的所有用户,但是可以根据每个会话将其覆盖。