同步帐户索引
在服务提供者实现中同步资源时,可能需要定义帐户索引以正确地将此资源发送的事件与服务提供者目录中的用户相关联。
默认情况下,资源事件需要包含与目录中 accountId 属性相匹配的属性 accountId 值。在某些资源中,不会始终发送 accountId。例如,ActiveDirectory 中的删除事件仅包含 ActiveDirectory 生成的帐户 GUID。
不包含 accountId 属性的资源必须包含以下任一属性的值。
-
guid。该属性通常包含系统生成的唯一标识符。
-
identity。该属性通常与除 LDAP 资源之外的所有资源的 accountId 相同,在 LDAP 资源中,identity 包含对象的完整 DN。
如果需要使用 guid 或 identity 进行关联,则必须定义这些属性的帐户索引。索引仅是一个或多个可用于存储特定于资源的身份的目录用户属性的选项。身份存储在目录中后,便可将其用于搜索过滤器以关联同步事件。
要定义帐户索引,请先确定哪些资源将用于同步以及其中的哪些资源需要索引。然后编辑服务提供者目录的资源定义,并在模式映射中为每个活动同步资源的 GUID 或 identity 属性添加属性。例如,如果从 ActiveDirectory 同步,则可以定义映射到未使用的目录属性(例如管理员)的名为 AD-GUID 的属性。
定义资源的索引属性
在定义了服务提供者资源中的所有索引属性后,请执行以下步骤:
-
在配置页的“同步帐户索引”区域中,单击“新建索引”按钮。
表单可扩展为包含资源选项字段,之后是两个属性选项字段。在选择资源之前,属性选项字段保持为空
-
从列表中选择“资源”。
现在,属性字段包含在模式映射中为选定资源定义的值。
-
为“GUID 属性”或“完整身份属性”选择适当的索引属性。
通常不必同时设置二者。如果同时设置二者,则软件首先尝试使用 GUID 进行关联,然后使用完整身份进行关联。
-
您可以再次单击“新建索引”以定义其他资源的索引属性。
-
要删除索引,请单击“资源”选项字段右侧的“删除”按钮。
删除索引仅会从配置中删除索引,而不会修改当前可能在索引属性中存储值的所有现有目录用户。
注 –删除索引仅会从配置中删除索引,而不会修改当前可能在索引属性中存储值的所有现有目录用户。
- © 2010, Oracle Corporation and/or its affiliates