5.12 Konfigurieren der Email-Benachrichtigung

Mit iManager-Tasks können Sie den Email-Server festlegen und die Email-Benachrichtigungsschablonen anpassen.

Email-Schablonen werden bereitgestellt, um den Funktionen „Passwortsynchronisierung“ und „Passwortselbstbedienung“ das Senden automatisch erstellter Emails an Benutzer zu ermöglichen.

Diese Schablonen werden nicht von Ihnen erstellt. Sie werden vielmehr von der Anwendung bereitgestellt, die sie verwendet. Bei den Email-Schablonen handelt es sich um Schablonenobjekte im Identitätsdepot, die im Sicherheitscontainer abgelegt werden; der sich in der Regel im Stammordner des Baums befindet. Obwohl es sich um Objekte des Identitätsdepots handelt, sollten Sie diese nur mit iManager bearbeiten.

Es handelt sich um ein modulares Framework. Beim Hinzufügen neuer Anwendungen, die diese Email-Schablonen verwenden, können gleichzeitig auch die Schablonen installiert werden.

Über die Optionen in iManager legen Sie fest, ob Emails gesendet werden oder nicht. In Verbindung mit der Funktion „Passwort vergessen“ werden Email-Benachrichtigungen nur gesendet, wenn Sie eine der folgenden Aktionen der Funktion „Passwort vergessen“ auswählen, durch die das Senden einer Email ausgelöst wird: Das Senden eines Passworts oder eines Passworthinweises an den Benutzer per Email. Siehe “Providing Users with Forgotten Password Self-Service” im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).

Wenn Sie die Option Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen auswählen, wird die Passwortsynchronisierung so konfiguriert, dass Emails nur bei Passwortsynchronisierungsfehlern und nur bei den von Ihnen festgelegten Treibern gesendet werden.

Abbildung 5-16 Passwortsynchronisierung konfigurieren

Darüber hinaus müssen Sie sicherstellen, dass die Informationen für die SMTP-Authentifizierung in den Treiberrichtlinien enthalten sind.

5.12.1 Voraussetzungen

  • Stellen Sie sicher, dass das Attribut „Internet EMail Address“ für die im Identitätsdepot enthaltenen Benutzer hinterlegt wurde.
  • Bei Verwendung von Email-Benachrichtigungen für die Passwortsynchronisierung müssen Sie sicherstellen, dass die Treiberrichtlinien für die Passwortsynchronisierung das Passwort für den SMTP-Server enthalten. Weitere Informationen hierzu finden Sie in Schnitt 5.12.4, Bereitstellen von SMTP-Authentifizierungsdaten in Treiberrichtlinien.
  • Wenn Sie sich nicht sicher sind, ob die Email-Adresse bei allen Benutzern eingetragen ist, oder eine Email-Chronik aller Fehlerbenachrichtigungen möchten, können Sie das Konto eines Passwort-Administrators angeben, an den sämtliche an die Benutzer gerichteten Email-Benachrichtigungen ebenfalls gesendet werden.

    Diese Email-Adresse sollte im Feld An der Identity Manager-Skriptrichtlinie stehen. Weitere Informationen finden Sie unter Schnitt 5.12.6, Senden von Email-Benachrichtigungen an den Administrator.

  • Wenn eDirectory und Identity Manager auf einem UNIX-Server laufen, muss der Server eine Reproduktion der Email-Schablonenobjekte bereithalten.

    Diese Objekte sind im Sicherheitscontainer gespeichert (im Stamm). Der Server benötigt somit eine Reproduktion der Stammpartition.

5.12.2 Den SMTP-Server für das Senden von Email-Benachrichtigungen einrichten

  1. Klicken Sie in iManager auf Passwörter > Email-Serveroptionen.

    Beschreibung: Konfigurieren der SMTP-Server-Schnittstelle

  2. Geben Sie Folgendes ein:

    • Hostname
    • Der Name (z. B. „Administrator“), der im Absenderfeld der Email angezeigt werden soll
    • Der Benutzername und das Passwort für die Authentifizierung beim Server, falls erforderlich

  3. Klicken Sie auf OK.

  4. Wenn Sie die Passwortsynchronisierung mit den Identity Manager-Treibern verwenden und die Funktion „Email-Benachrichtigung“ verwenden möchten, müssen Sie auch Folgendes tun:

    1. Wenn vor dem Senden einer Email eine Authentifizierung beim SMTP-Server erforderlich ist, müssen Sie sicherstellen, dass das Passwort in den Treiberrichtlinien enthalten ist. Weitere Informationen hierzu finden Sie in Schnitt 5.12.4, Bereitstellen von SMTP-Authentifizierungsdaten in Treiberrichtlinien.

      Für Benachrichtigungen in Verbindung mit der Funktion „Passwort vergessen“ genügt es, die Authentifizierungsdaten auf der Seite „Email-Serveroptionen“ in Schritt 2 einzugeben, nicht jedoch für Benachrichtigungen in Verbindung mit der Passwortsynchronisierung.

    2. Starten Sie die Identity Manager-Treiber neu, die mit den Änderungen aktualisiert werden müssen.

      Der Treiber liest die Schablonen und die SMTP-Serverdaten nur beim Starten ein.

  5. Passen Sie die Email-Schablonen wie unter Einrichten von Email-Schablonen für Benachrichtigungen beschrieben an.

Nachdem Sie den Email-Server eingerichtet haben, können Email-Benachrichtigungen von den Anwendungen gesendet werden, wenn Sie Funktionen verwenden, die das Versenden von Email-Benachrichtigungen auslösen.

5.12.3 Einrichten von Email-Schablonen für Benachrichtigungen

Sie können diese Schablonen mit benutzerdefiniertem Text anpassen. Der Verwendungszweck einer Schablone geht aus ihrem Namen hervor.

  1. Klicken Sie in iManager auf Passwörter > Email-Schablonen bearbeiten.

    Beschreibung: Liste der Email-Schablonen in iManager

  2. Bearbeiten Sie die Schablonen nach Ihren Vorstellungen.

    Beachten Sie, dass zusätzliche Schritte erforderlich sein können, wenn Sie Platzhalter-Tags hinzufügen möchten. Befolgen Sie die Anweisungen in Schnitt 5.12.5, Hinzufügen eigener Platzhalter-Tags zu Email-Benachrichtigungsschablonen.

  3. Starten Sie die Identity Manager-Treiber neu, die mit den Änderungen aktualisiert werden müssen.

    Der Treiber liest die Schablonen und die SMTP-Serverdaten nur beim Starten ein.

5.12.4 Bereitstellen von SMTP-Authentifizierungsdaten in Treiberrichtlinien

Legen Sie den Benutzernamen und das Passwort für den SMTP-Server wie in Schnitt 5.12.2, Den SMTP-Server für das Senden von Email-Benachrichtigungen einrichten beschrieben fest. Diese Angaben reichen für Email-Benachrichtigungen in Verbindung mit der Funktion „Passwort vergessen“ aus.

Für Email-Benachrichtigungen in Verbindung mit Passwortsynchronisierungen müssen Sie jedoch das Passwort auch in die Treiberrichtlinien aufnehmen. Die Metaverzeichnis-Engine kann auf den Benutzernamen, nicht jedoch auf das Passwort zugreifen. Dieses muss von der Treiberrichtlinie bereitgestellt werden.

Sie müssen diesen Ablauf in den folgenden Situationen einhalten:

  • Der SMTP-Server ist gesichert und verlangt vor dem Senden von EMails eine Authentifizierung.
  • Sie verwenden die Identity Manager-Passwortsynchronisierung mit einem Identity Manager-Treiber.
  • Sie haben in den Einstellungen des Treibers für die Passwortsynchronisierung die Option Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen ausgewählt.

So nehmen Sie das Passwort für den SMTP-Server in die Treiberrichtlinie auf:

  1. Stellen Sie sicher, dass der Treiber die zur Passwortsynchronisierung erforderlichen Richtlinien enthält.

    Diese Richtlinien sind in der Beispiel-Treiberkonfiguration enthalten, können aber auch wie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung beschrieben hinzugefügt werden.

  2. Klicken Sie in iManager auf Identity Manager > Identity Manager-Überblick.

  3. Suchen Sie den gewünschten Treibersatz oder wählen Sie einen Container aus, der den Treibersatz enthält.

  4. Klicken Sie auf der Seite „Identity Manager - Treiberüberblick“ auf das Symbol für den Treiber.

  5. Klicken Sie auf ein Eingabetransformations- oder Ausgabetransformationssymbol.

  6. Wählen Sie eine Richtlinie aus und klicken Sie anschließend auf Bearbeiten.

  7. Klicken Sie auf eine Regel.

  8. Geben Sie das Passwort für den SMTP-Server in den Regeln an, die Aktionen vom Typ „Email aus Schablone senden“ beinhalten.

    Wenn Sie beispielsweise die Beispiel-Treiberkonfigurationen verwenden, müssen Sie die folgenden Passwortsynchronisierungsrichtlinien ändern.

    Richtliniensatz

    Richtlinienname

    Regelname

    Eingabetransformation

    Password(Pub)-Sub Email Notifications
    • Email senden, wenn beim Passwortabonnement Fehler auftreten
    • Email senden, wenn beim Zurücksetzen des Passworts des verbundenen Systems mit dem Passwort der Identity Manager-Datenablage Fehler auftreten

    Ausgabetransformation

    Password(Sub)-Pub Email Notifications
    • Email senden, wenn bei Passwortveröffentlichungen Fehler auftreten

    Die folgende Abbildung zeigt ein Beispiel für eine Aktion vom Typ „Email aus Schablone senden“, für die das Passwort erforderlich ist.

    Beschreibung: Aktion vom Typ „Email aus Schablone senden“ mit Passwortfeld für Authentifizierung gegenüber dem SMTP-Server

    Das Passwort wird unkenntlich gemacht, wenn es im Identitätsdepot gespeichert wird.

  9. Wählen Sie die Regel aus und klicken Sie auf OK.

5.12.5 Hinzufügen eigener Platzhalter-Tags zu Email-Benachrichtigungsschablonen

Die Email-Benachrichtigungsschablonen enthalten einige vordefinierte Tags, um Ihnen das Personalisieren der Benachrichtigung für den Benutzer zu erleichtern. Sie haben aber auch die Möglichkeit, eigene Tags hinzuzufügen.

Welche Tags Sie hinzufügen können, hängt von der Anwendung ab, von der die Email-Schablone verwendet werden soll.

Hinzufügen von Platzhalter-Tags zu Email-Benachrichtigungsschablonen des Typs „Passwortsynchronisierung“

Sie können Platzhalter-Tags in Email-Benachrichtigungsschablonen einfügen. Diese Tags funktionieren allerdings erst, wenn Sie in den Regeln sämtlicher Passwortsynchronisierungsrichtlinien, die auf die betreffenden Email-Benachrichtigungsschablonen verweisen, definiert sind. Bei Verwendung einer Aktion vom Typ „DoSendEmailFromTemplate“ müssen alle in der Schablone enthaltenen Platzhalter-Tags als untergeordnete „arg-strings“-Elemente der Aktion definiert sein.

Identity Manager stellt beispielsweise Standard-Platzhalter-Tags zur Verfügung, die in den Email-Benachrichtigungsschablonen enthalten sind. Außerdem stellt Identity Manager in den Treiberkonfigurationen Standardrichtlinien für die Passwortsynchronisierung bereit. Jeder Standard-Tag in einer Email-Schablone ist auch in jeder Regel der Passwortsynchronisierungsrichtlinie definiert, die die Email-Schablone verwendet.

Der Tag „UserGivenName“ ist beispielsweise einer der Standard-Tags in der Email-Schablone „Password Set Fail“ (Festlegen des Passworts fehlgeschlagen). Eine Richtlinie mit der Bezeichnung Email bei fehlerhaften Passwortveröffentlichungen senden verweist in der Aktion „DoSendEmailFromTemplate“ auf diese Email-Schablone. Diese Regel wird in einer Richtlinie verwendet, um einen Benutzer zu benachrichtigen, wenn bei der Passwortsynchronisierung ein Fehler aufgetreten ist. Das gleiche UserGivenName-Tag wird in dieser Regel als Element vom Typ „arg-string“ definiert.

Wie in diesem Beispiel erläutert, muss jedes neue Tag sowohl in der Email-Schablone als auch in den Richtlinienregeln definiert sein, die auf die Email-Schablone verweisen, damit die Metaverzeichnis-Engine weiß, wie sie das Platzhalter-Tag beim Senden der Email an den Benutzer durch die entsprechenden Daten ersetzen soll.

Sie können sich dabei an den Tags in den mitgelieferten Identity Manager-Treiberkonfigurationen orientieren.

Beachten Sie dabei Folgendes:

  • Die in den Email-Schablonen enthaltenen Platzhalter-Tags heißen im Kontext des Richtlinien-Builders „Token“.
  • Sie sollten den Richtlinien-Builder verwenden, um das Definieren der Argument-Strings für Platzhalter-Tags zu vereinfachen, wie in den Verfahrensschritten oben beschrieben.
  • Sie können z. B. folgende Platzhalter-Tags hinzufügen:
    • Ausgangs- oder Zielattribute für den Benutzer

      Anders als beim Einfügen von Tags in Email-Schablonen des Typs „Passwort vergessen“ funktioniert ein solches Tag nicht automatisch, wenn es denselben Namen wie ein Attribut des Benutzerobjekts im Identitätsdepot hat. Wie bei allen Tags in Email-Benachrichtigungsschablonen zur Passwortsynchronisierung müssen Sie das Tag auch in der Richtlinie definieren, die auf die Email-Schablone verweist.

    • Ein Globalkonfigurationswert
    • Ein XPATH-Ausdruck

    In diesen Punkten unterscheiden sich Tags für die Passwortsynchronisierung von Tags in der Schablone „Passwort vergessen“, die ausschließlich als Platzhalter für eDirectory-Benutzerattribute dienen.

  • Anders als beim Einfügen von Tags in Email-Schablonen des Typs „Passwort vergessen“ (mit der obligatorischen Verwendung des exakten Namens eines eDirectory-Benutzerattributs), können Sie die Platzhalter-Tags beliebig benennen, solange der Tag-Name mit dem Namen identisch ist, der zum Definieren des Tags in den Richtlinien verwendet wurde, die auf die Email-Schablone verweisen.

Suchen Sie zum Definieren der Tags in einer Richtlinie alle Richtlinien, die auf die betreffende Email-Benachrichtigungsschablone verweisen, und verwenden Sie dann den Richtlinien-Builder zum Einfügen der Tags. Bearbeiten Sie in jeder Richtlinie sämtliche Regeln, die auf die Schablone verweisen.

Eine Möglichkeit, um zuverlässig alle auf die Email-Benachrichtigungsschablonen verweisenden Richtlinien aufzufinden, besteht darin, die Treiberkonfiguration zu exportieren und anschließend das XML-Dokument nach Aktionen vom Typ „do-send-e-mail“ zu durchsuchen, die eine Schablone des gleichen Namens wie die Schablone für die Email-Benachrichtigungen verwendet.

  1. Klicken Sie in iManager auf Identity Manager > Identity Manager-Überblick.

  2. Wählen Sie den Treibersatz aus, der den Treiber mit der zu bearbeitenden Richtlinie enthält.

  3. Klicken Sie auf das Symbol für den Treiber mit der gewünschten Richtlinie.

  4. Klicken Sie im Herausgeber- oder Abonnentenkanal auf den Richtliniensatz, der die gewünschte Richtlinie enthält.

    Die Treiberkonfiguration für den mit Identity Manager gelieferten eDirectory-Treiber enthält beispielsweise im Richtliniensatz für Eingabetransformationen eine Richtlinie, die auf beide Email-Benachrichtigungsschablonen zur Passwortsynchronisierung verweist.

  5. Klicken Sie auf die Richtlinie und anschließend auf Bearbeiten.

    Die folgende Abbildung zeigt das Bearbeiten der Richtlinie „Password(Pub)-Sub Email Notifications“ für die eDirectory-Treiber:

    Beschreibung: Wenn Sie in der grafischen Ansicht der Treiberkonfiguration auf eine Richtlinie klicken, wird dieses Fenster zum Bearbeiten der Richtlinie eingeblendet.

  6. Klicken Sie in der Regelliste auf die Regel, die auf die Email-Benachrichtigungsschablone verweist.

    Bei der Richtlinie „Password(Pub)-Sub Email Notifications “ wird beispielsweise die abgebildete Regelliste angezeigt. Beide Regeln verweisen auf eine der Email-Schablonen für die Passwortsynchronisierung. Sie müssen beide Regeln bearbeiten, wenn Sie Tags in beide Schablonen einfügen möchten.

    Beschreibung: Seite mit zwei Regeln in einer Passwortsynchronisierungsrichtlinie

    Wenn Sie auf die erste Regel klicken, wird die folgende Seite angezeigt:

    Beschreibung: Seite für das Bearbeiten einer Regel

  7. Blättern Sie zum Abschnitt Aktionen.

    Beschreibung: Seite für das Bearbeiten einer Regel mit Liste der möglichen Aktionen

  8. Klicken Sie für die Regel Email aus Schablone senden auf die Schaltfläche „Durchsuchen“.Beschreibung: Schaltfläche „Durchsuchen“ für Script Argument-Builder neben dem Feld Zeichenketten eingeben.

    Der Zeichenkette-Builder wird geöffnet. Die folgende Abbildung zeigt die Liste der Zeichenketten, die bei dieser Beispielregel angezeigt wird. Beachten Sie, dass die in den Email-Benachrichtigungsschablonen verwendeten Standard-Tags bereits in den Passwortsynchronisierungsrichtlinien definiert sind, die - wie in diesem Fall - Bestandteil der Identity Manager-Treiberkonfigurationen sind. Sie können die Standard-Tags als Beispiele verwenden.

    Beschreibung: Seite für den Zeichenkette-Builder

  9. Klicken Sie zum Definieren eines Tags, das Sie in einer Email-Benachrichtigungsschablone verwenden können, auf Neue Zeichenkette anfügen und geben Sie anschließend einen Namen für das Tag ein.

    Achten Sie darauf, dass Sie den Namen genau so wie in der Email-Benachrichtigungsschablone eingeben.

  10. Klicken Sie neben dem Feld Zeichenkettenwert auf die Schaltfläche „Durchsuchen“ Beschreibung: Schaltfläche „Durchsuchen“ für Script Argument-Builder, um den Tag leichter definieren zu können.

  11. Geben Sie auf der Seite „Argument-Builder“ den Wert an, der eingefügt werden soll, wenn dieses Tag in einer Email-Benachrichtigungsschablone verwendet wird.

    Das Tag kann folgende Werte annehmen:

    • Ausgangs- oder Zielattribute für den Benutzer

      Anders als beim Einfügen von Tags in Email-Schablonen des Typs „Passwort vergessen“ funktioniert ein solches Tag nicht automatisch, wenn es denselben Namen wie ein Attribut des Benutzerobjekts im Identitätsdepot hat. Wie bei allen Tags in Email-Benachrichtigungsschablonen zur Passwortsynchronisierung müssen Sie das Tag auch in der Richtlinie definieren, die auf die Email-Schablone verweist.

    • Ein Globalkonfigurationswert
    • Ein XPATH-Ausdruck

    Die folgende Abbildung zeigt, wie Sie das Tag definieren:

    Beschreibung: Seite für den Zeichenkette-Builder

    Nachdem Sie das Tag definiert und auf OK geklickt haben, wird es auf der Seite „Zeichenkette-Builder“ als Zeichenkette aufgeführt.

  12. Achten Sie darauf, dass Sie die Bearbeitung auf allen Seiten mit OK abschließen, damit die geänderte Richtlinie gespeichert wird.

  13. Wiederholen Sie diese Schritte, um die Regeln sämtlicher Richtlinien zu bearbeiten, die auf die Email-Benachrichtigungsschablone verweisen.

  14. Fügen Sie das in der Richtlinie definierte Tag zu der Email-Benachrichtigungsschablone hinzu und verwenden Sie dabei denselben Namen, den Sie in der Richtlinie verwendet haben.

    Von jetzt an können Sie das Tag im Text der Email-Benachrichtigungsschablone verwenden.

  15. Speichern Sie die Änderungen und starten Sie den Treiber neu.

Hinzufügen von Platzhalter-Tags zu Email-Benachrichtigungsschablonen des Typs „Passwort vergessen“

Mit dem folgenden Verfahren können Sie Tags zu Email-Benachrichtigungsschablonen des Typs „Passwort vergessen“ hinzufügen:

  • Sie können nur Tags hinzufügen, die den LDAP-Attributen des Benutzerobjekts entsprechen, an das die Benachrichtigung gesendet werden soll.
  • Der Name des hinzuzufügenden Tags muss exakt dem LDAP-Attributnamen des Benutzerobjekts entsprechen.

    Informationen dazu, wie LDAP-Attribute zu eDirectory-Attributnamen in Relation stehen, können Sie der Schemazuordnungsrichtlinie entnehmen, die Bestandteil des Identity Manager-Treibers für LDAP ist.

  • Es sind keine weiteren Konfigurationsschritte erforderlich.

5.12.6 Senden von Email-Benachrichtigungen an den Administrator

In der Standardkonfiguration werden Email-Benachrichtigungen nur an den Benutzer gesendet. Die mit Identity Manager gelieferten Richtlinien verwenden die Email-Adresse aus dem Identitätsdepot-Objekt für den betreffenden Benutzer.

Sie können die Passwortsynchronisierungsrichtlinien so konfigurieren, dass die Email-Benachrichtigungen auch an den Administrator gesendet werden. Dazu müssen Sie das Identity Manager-Skript zu einer der Richtlinien bearbeiten.

Senden Sie eine Blindkopie an den Administrator, indem Sie das Token mit der EMail-Adresse des Administrators definieren.

Bearbeiten Sie zum Senden einer Kopie an einen Administrator die Richtlinie zum Erzeugen der Email (z. B. die Richtlinie „PublishPasswordEmails.xml“, aus der die Richtlinie die Email-Adresse entnimmt, an die die Benachrichtigungen gesendet werden) und fügen Sie ein zusätzliches <arg-string>-Element mit der Email-Adresse des Administrators hinzu.

Im folgenden Beispiel wird gezeigt, wie das zusätzliche arg-string-Element angegeben wird:

	<arg-string name="to">

     <token-text>Admin@company.com</token-text>

	</arg-string>

Denken Sie daran, den Treiber neu zu starten, nachdem Sie diese Änderungen vorgenommen haben.

5.12.7 Übersetzen von Email-Benachrichtigungsschablonen

Beachten Sie hierbei Folgendes:

  • Die Standardschablonen liegen in englischer Sprache vor, Sie können den Text jedoch in andere Sprachen übersetzen.
  • Die Namen und Definitionen der Platzhalter-Tags müssen jedoch auf Englisch bleiben, damit die Definitionen für das arg-string-Token in den Richtlinien mit den Namen der Platzhalter-Tags übereinstimmen.
  • Eine Besonderheit ist bei Email-Benachrichtigungen des Typs „Passwort vergessen“ zu beachten: Hier müssen Sie angeben, in welcher Kodierung die Email erstellt werden soll. Fügen Sie dazu eine entsprechende Einstellung in der Datei portalservlet.properties ein. Zum Beispiel:
    ForgottenPassword.MailEncoding=EUC-JP

    Wenn diese Einstellung nicht vorhanden ist, erfolgt die Mail-Transformation ohne Kodierung.

  • Bei Email-Benachrichtigungen zur Passwortsynchronisierung kann für folgende Elemente das XML-Attribut „charset“ angegeben werden: <mail>, <message> und <‘>.

    Informationen zur Verwendung dieser Elemente finden Sie im DirXML Driver for Manual Task Service Implementation Guide (Implementierungshandbuch zum DirXML-Service-Treiber für manuelle Aufgaben). In diesem Handbuch wird ausführlicher auf Email-Schablonen eingegangen.