本节介绍了通过 Identity Manager 管理服务提供者用户的步骤和信息。
本节包含以下主题:
通过服务提供者,用户的属性值可以确定将该用户分配给哪个组织。这是在服务提供者主配置的 Identity Manager 组织属性名称字段中指定的(请参见初始配置)。但是,这些组织的名称必须与目录服务器中分配的用户属性值相匹配。
如果定义了 Identity Manager 组织属性名称,则“创建用户”和“编辑用户”页上将显示可用组织的多重选择列表。默认情况下显示组织的简称。您可以修改服务提供者用户表单以显示完整的组织路径。
您可以选择哪个属性将成为组织名称属性。然后便可在服务提供者用户管理页面中使用该组织名称属性限制可以搜索并管理该用户的管理员。
现在具有服务提供者和资源帐户的帐户 ID 和密码策略。
可以从主“策略”表中找到“服务提供者系统帐户策略”。
所有服务提供者用户均必须在服务提供者目录中具有帐户。如果用户具有其他资源的帐户,则这些帐户的链接将存储在用户的目录条目中,因此查看用户时可使用有关这些帐户的信息。
提供了用于创建和编辑用户的服务提供者用户表单示例。自定义该表单以满足您在服务提供商环境中管理用户的需求。有关详细信息,请参见《Sun Identity Manager Deployment Reference》中的第 2 章 “Identity Manager Forms”。
在管理员界面中,单击菜单栏中的“帐户”。
单击“管理服务提供者用户”选项卡。
单击“创建用户”。
使用默认的服务提供者用户表单时,实际显示的字段取决于在服务提供者目录资源的“帐户属性”表(模式映射)中配置的属性。而且,当您向用户(例如委托管理员)分配资源时,将看到新添加到显示部分中的段,您可以在其中指定这些资源的属性值。您也可以自定义字段。
根据需要,为这些资源指定属性值。
这些属性值包括:
帐户 ID(必需)
密码
确认(密码确认)
名字(必需)
姓氏(必需)
全名
电子邮件
住宅电话
移动电话
密码重试计数
解除锁定帐户时间
使用方向键从“可用”列表中分配所有所需的“资源”。
“帐户状态”用于显示帐户处于锁定还是解除锁定状态。单击该选项可以锁定或解除锁定帐户。
该表单可根据为目录帐户(在顶部)定义的属性自动填充资源帐户属性的值。例如,如果资源定义 firstName,则产品将使用目录帐户中的 firstName 值对其进行填充。但是在此初始填充后,对这些属性的修改不会推送到资源帐户。如果需要,请自定义提供的示例服务提供者用户表单。
单击“保存”以创建用户帐户。
服务提供者包括可配置的搜索权能,可帮助管理用户帐户。搜索仅返回在您的范围(如组织所定义的,或可能由其他因子所定义的)内的用户。
要执行服务提供者用户的基本搜索,请在 Identity Manager 界面中的“帐户”区域中,单击“管理服务提供者用户”,然后输入搜索值并单击“搜索”。
以下主题介绍了服务提供者搜索功能:
可以使用以下说明执行服务提供者用户的高级搜索。
在“服务提供者用户搜索”页中,单击“高级”。
从列表中选择所需的“属性”。
从列表中选择所需的“操作”。
通过指定一组条件以过滤搜索返回的用户,且返回的用户必须满足所有指定的条件。
输入所需的搜索值,然后单击“搜索”。
您可以使用以下选项添加或删除属性条件。
单击“添加条件”并指定新的属性。
选择项目并单击“删除选定条件”。
服务提供者搜索结果将显示在表中,如图 17–11 中所示。单击属性的列标题,可以按任意属性对结果进行排序。显示的结果取决于您选择的属性。
使用箭头按钮可转至结果的首页、上一页、下一页和尾页。在文本框中输入数字并按 Enter 键,可跳转至特定页。
要编辑用户,请单击表中的用户名。
通过搜索结果页,可以删除用户或解除资源帐户的链接,方法是通过选择一个或多个用户然后单击“删除”按钮。该操作将打开删除用户页,并显示其他选项(请参见删除、取消分配帐户或解除帐户的链接)
服务提供者可安装于用户在多个资源上具有帐户的环境中。通过使用服务提供者的帐户链接功能,您可以以增量方式将现有资源帐户分配给服务提供者用户。帐户链接过程由服务提供者链接策略控制,此策略可定义链接关联规则、链接确认规则和链接验证选项。
在管理员界面中,单击菜单栏中的“资源”。
选择所需的资源。
在“资源操作”菜单中选择“编辑服务提供者链接策略”。
选择链接关联规则。此规则可搜索用户可能拥有的资源上的帐户。
选择链接确认规则。此规则可从链接关联规则所选的潜在帐户列表中清除所有资源帐户。
如果链接关联规则仅选择一个帐户,则不需要链接确认规则。
选择“要求链接验证”,将目标资源帐户链接到服务提供者用户。
在菜单栏中单击“帐户”。
单击“管理服务提供者用户”。
执行基本搜索或高级搜索。
选择所需的一个或多个用户。
单击“删除”按钮。
选择可选全局选项之一。
这些选项包括:
删除所有资源帐户
删除资源将删除该资源帐户,但资源分配依然存在。对用户进行后续更新将重新创建帐户。但删除资源始终会将该资源帐户取消链接。
取消分配所有资源帐户
取消分配资源将删除该资源分配。取消分配会将资源帐户取消链接。取消分配资源时,将不删除该资源帐户。
取消链接所有资源帐户
取消链接将删除用户和资源帐户之间的链接,但并不删除帐户。也不会删除资源分配,因此对用户进行后续更新将重新链接帐户或在资源上新建帐户。
也可以在“删除”、“取消分配”或“解除链接”列中为一个或多个资源帐户选择一个操作。
选择所需用户帐户后,单击“确定”。
在管理员界面中,单击菜单栏中的“帐户”。
单击“服务提供者”。
单击“选项”。
这些选项仅对当前登录会话有效。这些选项会影响搜索结果的显示方式,它们会影响基本搜索结果和高级搜索结果,并且某些设置仅对新搜索有效。
输入“返回的最大结果数”。
输入“每页的结果数”。
使用方向键从“可用的属性”中选择所需的“显示属性”。
随附的最终用户页面样例提供了 xSP 环境中典型的注册和自助服务示例。这些样例是可扩展的并且可以对其进行自定义。您可以更改外观、修改页面之间的导航规则或显示用于部署的特定于语言环境的消息。有关自定义最终用户页面的详细信息,请参见《Sun Identity Manager Service Provider 8.1 Deployment》。
除了审计自助服务和注册事件以外,还可以使用电子邮件模板将通知发送给受影响的用户。还提供了使用帐户 ID 和密码策略以及帐户锁定的示例。应用程序开发者还可以使用 Identity Manager 表单。如果需要,可以扩展或替换作为 Servlet 过滤器实现的模块验证服务。这样,便可与访问管理系统(如 Sun Access Manager)集成在一起。
使用随附的样例最终用户页面,用户可以通过一系列易于导航的屏幕注册和维护基本用户信息,并接收其操作的电子邮件通知。
示例页面包括以下功能:
登录(和退出),包括使用质询问题进行验证
注册
密码更改
用户名更改
质询问题更改
通知地址更改
处理忘记用户名的情况
处理忘记密码的情况
电子邮件通知
审计
Identity Manager 使用验证表进行注册。仅允许该表中的用户进行注册。例如,当用户 Betty Childs 注册时,如果在验证表中找到 Betty Childs 的条目(包含电子邮件地址 bchilds@example.com),则接受注册。
可以为您的部署轻松自定义这些页面。
可以方便地为您的部署自定义这些页面,如下所示:
更改品牌信息
修改配置选项(例如失败的登录尝试次数)
添加或删除页面
有关自定义这些页面的详细信息,请参见《Sun Identity Manager Service Provider 8.1 Deployment》。
要求新用户注册。在注册期间用户可以设置其登录、质询问题和通知信息。
图 17–15 显示了最终用户“主页”选项卡和配置文件页面。用户可以更改其登录 ID 和密码、管理通知及创建质询问题。