【IBM Tivoli Identity Manager 学习文档】15 用户管理
作者:gnuhpc
出處:http://www.cnblogs.com/gnuhpc/
1.基本概念 Identity feed:任何一個(gè)從一個(gè)數(shù)據(jù)源讀入用戶信息后添加到TIM或者與TIM中數(shù)據(jù)校驗(yàn)一致性的方法。
?
2.內(nèi)置用戶類型:
TIM中內(nèi)置兩種用戶類型:
a.person --被管理的組織的成員
b.Business Partner Person -- 非組織內(nèi)部的成員,比如外包人員或者顧問。 TIM支持添加用戶種類。
3.添加用戶的方法:
a.手動(dòng)添加:僅適用于添加個(gè)別的用戶,不適于大量。
b.使用TIM API開發(fā)客戶端讓用戶自己注冊(cè)
c.使用Java Naming and Directory Interface (JNDI)
d.使用Identity feed導(dǎo)入:支持文件導(dǎo)入和復(fù)雜的服務(wù)器遠(yuǎn)程導(dǎo)入。
4.修改用戶信息:使用ITIM Account登錄Self Service Console。
5.Identity feed(亦稱為HR Feed)的使用:
reconciliation是指從外部數(shù)據(jù)源向ITIM導(dǎo)入和同步數(shù)據(jù)的過程,而這個(gè)過程在第一次使用的時(shí)候可以作為導(dǎo)入,有時(shí)候你可能要導(dǎo)入兩次,因?yàn)橛行﹩T工的信息是和他老板相關(guān)聯(lián)的,你必須先導(dǎo)入這兩個(gè)人的信息,然后在第二次導(dǎo)入的時(shí)候建立這樣的員工-老板的關(guān)系。 TIM提供了五種方式:
? Comma Separated Value (CSV) identity feed
? DSML identity feed
? Active Directory (AD) OrganizationalPerson identity feed
? INetOrgPerson (LDAP) identity feed
? Tivoli Directory Integrator (TDI) data feed
前四種是從預(yù)先準(zhǔn)備好的數(shù)據(jù)源中讀取,最后一種方式則使用TDI從各種數(shù)據(jù)源中獲取,并且可以進(jìn)行過濾等操作后再導(dǎo)入,更加靈活。 創(chuàng)建Identity Feed Interface:和創(chuàng)建Service的過程一樣,
?
?
a.CSV格式導(dǎo)入:
CSV格式文件的第一行必須提供相關(guān)屬性的名稱,例如:
uid,sn,cn,givenname,mail,initials,employeenumber,erroles
而這些屬性必須符合ITIM的Profile(erPersonItem and the INetOrgPerson object classes),否則不符合的將被忽略。sn, cn是必須的。
erPersonItem object class是一個(gè)輔助對(duì)象類,包含不在標(biāo)準(zhǔn)INetOrgPerson中所含有TIM特有的屬性,例如erroles。
?
可以使用定義好的WorkFlow在數(shù)據(jù)導(dǎo)入時(shí)進(jìn)行運(yùn)行,用戶此時(shí)可以同時(shí)進(jìn)行用戶導(dǎo)入和權(quán)限分配。可以使用Test Connection進(jìn)行文件測(cè)試。
Person profile name 默認(rèn)中只包含Person,但是要是諸如bpPerson加入到Schema中,那么則需要使用form manager進(jìn)行修改了。
Name attribute中列出了一系列姓名屬性唯一的屬性,隨便使用一個(gè)就可以,以示各個(gè)導(dǎo)入的數(shù)據(jù)的區(qū)別。
Placement rule則是去寫Javascript腳本,來動(dòng)態(tài)決定哪些用戶被加到整個(gè)組織的什么organizational units中。
?
在創(chuàng)建好identity feed后,我們要進(jìn)行一次reconciliation。
?
?
b.DSML導(dǎo)入:
DSML是一個(gè)XML格式的文件,描述了目錄信息。該DSML文件也可能是一個(gè)DSML服務(wù)器的URL,DSML文件格式如下:
inetOrgPerson
John
JD
Doe
John Doe
(800) 555-1234
123 E. First Street, Anytown, USA? 12345
?
我們注意到TIM使用的DSML文件,在外圍有如下的包圍的屬性:
.....multiple pairs.
所謂正是以 開頭,進(jìn)行唯一用戶導(dǎo)入的信息。
在導(dǎo)入DSML時(shí),要輸入的user ID和password是指DSML服務(wù)器所要求的,而不是指本地。
c.Active Directory導(dǎo)入:
從organizationalPerson object class中獲得用戶信息,相應(yīng)操作類似于LDAP INetOrgPerson identity feed
注意user ID和password也是必須的,雖然并沒有在ITIM中標(biāo)示出是必須的
?
d.INetOrgPerson Identity (LDAP) 導(dǎo)入:
從INetOrgPerson object class中獲得用戶信息,所有沒有objectclass=INetOrgPerson標(biāo)示的記錄都將被忽略。
映射文件的屬性格式如下:(當(dāng)然前邊指定ou和objectclass等還是需要的,詳見一個(gè)ldap文件的格式)
#feedAttributeName=itimAttributeName(注釋)
cn=cn
sn=sn
title=title
telephonenumber=mobile
mail=mail
description=description
除了telephonenumber被映射到mobile外,其余都是映射到同名屬性。TIM支持使用屬性映射設(shè)置文件代替默認(rèn)的屬性映射規(guī)則,該文件實(shí)際就是一個(gè)文本文件,格式如下:
INetOrgPerson Attribute = Mapped Attribute
如果使用屬性映射設(shè)置文件,則所有使用到的屬性都必須提供,否則則不使用這條記錄。
在導(dǎo)入LDAP中Naming context指定了TIM從LDAP的什么地方開始向下進(jìn)行遍歷。DN格式。
?
e.IBM Tivoli Directory Integrator (TDI) 導(dǎo)入:
最強(qiáng)大也是最麻煩的一種導(dǎo)入,支持用戶自定義過濾導(dǎo)入、屬性的一對(duì)多或多對(duì)一映射、與多種數(shù)據(jù)庫(kù)一起工作等操作,可以用來進(jìn)行屬性控制,更新和刪除添加一個(gè)用戶的信息。
在TDI中用戶需要?jiǎng)?chuàng)建AssemblyLines,其中包含多個(gè)connectors,前者可以視為一個(gè)小程序,而后者可以視為多個(gè)程序代碼塊。TDI提供了許多connectors完成常見操作。
詳細(xì)請(qǐng)見TIM聯(lián)合TDI使用的相關(guān)文檔。
作者:gnuhpc
出處:http://www.cnblogs.com/gnuhpc/
總結(jié)
以上是生活随笔為你收集整理的【IBM Tivoli Identity Manager 学习文档】15 用户管理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 不可思议的#define
- 下一篇: 【听课笔记】2009 Google Op