Ein Identitätsdepot-Objekt, das Benutzer in der Identity Manager-Benutzeranwendung suchen, anzeigen oder bearbeiten sollen, muss in der Verzeichnisabstraktionsschicht als eine Entität definiert werden. Um beispielsweise das inetOrgPerson-Identitätsdepot-Objekt in der Benutzeranwendung zu verwenden, müssen Sie dafür eine Entitätsdefinition erstellen.
Führen Sie folgende Schritte aus, um Entitäten zur Verzeichnisabstraktionsschicht hinzuzufügen:
Sie benötigen folgende Informationen, wenn Sie die Identitätsdepotdaten in der Verzeichnisabstraktionsschicht modellieren möchten:
Dies kann beispielsweise die Liste der Objekte sein, die der Benutzer suchen und anzeigen kann. Vergleichen Sie die Liste mit dem Standardsatz der Abstraktionsschicht-Definitionen. So finden Sie heraus, was Sie noch hinzufügen müssen.
Ist dies eine öffentliche oder eine private Site?
Stehen alle Informationen zur Verfügung, können Sie Ihre Identitätsdepot-Objekte den Abstraktionsschicht-Entitäten zuordnen.
HINWEIS:Die eDirectory-ACLs können für alle Abstraktionsschicht-Objekte verwendet werden. Effektive Rechte an Objekten und Attributen basieren auf dem authentifizierten Benutzer, der sich bei der Anwendung angemeldet hat.
Abhängig davon, was in der Benutzeranwendung sichtbar gemacht werden soll, müssen Sie zwei Entitätstypen definieren:
Entitäten, die DNLookups unterstützen, werden vom Organigramm-Portlet zum Ermitteln der Relationen verwendet. Zudem werden sie von Suchlisten-, Erstellungs- und Detail-Portlets für Popup-Auswahllisten und DN-Kontexte verwendet. Beispiele für diesen Entitätstyp: Manager Lookup, Task Manager Lookup und User Lookup. Weitere Informationen finden Sie unter Verwenden von DNLookup-Steuerungstypen.
Sie können mehrere Entitätsdefinitionen erstellen, die ein und dasselbe Identitätsdepot-Objekt repräsentieren, aber unterschiedliche Ansichten der Daten liefern. Mit den Entitätsdefinitionen können Sie:
oder
HINWEIS:Die Entitätsdefinitionen können optional einen Filter enthalten, um bestimnmte Entitäten aus dem Ergebnis-Set herauszufiltern.
Sie können diese Entitätsdefinitionen dann in den verschiedenen Teilen der Benutzeroberfläche verwenden. Angenommen, Sie möchten ein Verzeichnis der Mitarbeiter erstellen; eines für eine öffentliche Site und eines für eine interne Site. Auf der öffentlichen Site möchten Sie den Vor- und Nachnamen sowie die Telefonnummer angeben. Auf der internen Site möchten Sie darüber hinaus Informationen wie Titel, Manager usw. auflisten. Sie können diese Aufgabe wie folgt lösen:
Erstellen Sie zwei Entitätsdefinitionen (mit unterschiedlichen Schlüsseln).
Mit beiden Entitätsdefinitionen wird dasselbe Identitätsdepot-Objekt freigelegt, aber der eine Schlüssel dient öffentlich zugänglichen, der andere nur intern zugänglichen Mitarbeiterdaten.
Definieren Sie in jeder Entitätsdefinition einen unterschiedlichen Attributsatz: einen für öffentlich zugängliche und einen für nur intern zugängliche Mitarbeiterdaten.
Erstellen Sie auf der Registerkarte „Portaladministration“ der Identity Manager-Benutzeranwendung eine Portlet-Instanz für die öffentliche und eine für die interne Seite.
Weitere Informationen zum Erstellen von Portlet-Instanzen finden Sie in Schnitt 9.0, Portletadministration.
Wenn Sie wissen, welche Entitäten und Attribute Sie freilegen möchten, können Sie sie mit dem Editor zur Verzeichnisabstraktionsschicht hinzufügen. Folgende Schritte sind dazu erforderlich:
Schritt |
Vorgehensweise |
Siehe Prozedur |
---|---|---|
1. |
Wählen Sie die Dateien aus, mit denen Sie beginnen möchten. |
|
|
||
|
||
1a. |
Einige der Entitäten, die Sie verwenden möchten, sind nicht Teil des eDirectory-Basisschemas. Erweiterungen des eDirectory-Schemas werden in der Editorliste der auswählbaren Objekte und Attribute nicht automatisch angezeigt. Dies bedeutet, dass Sie die lokale Schemadatei des Designers aktualisieren müssen, damit diese benutzerdefinierten Objekte und Attribute berücksichtigt werden. |
So aktualisieren Sie die Liste der verfügbaren Schemaelemente: |
2. |
Fügen Sie der Verzeichnisabstraktionsschicht mindestens eine Entität hinzu |
|
3. |
Versehen Sie die Entitäten mit Attributen |
Wählen Sie bei geöffnetem Identity Manager-Projekt das Identitätsdepot, klicken Sie mit der rechten Maustaste und wählen Sie Live Operations>Import Schema.
Wählen Sie Import from eDirectory und stellen Sie die Spezifikationen für den eDirectory-Host zur Verfügung.
Klicken Sie auf Next.
Wählen Sie die Klassen und Attribute aus, die Sie importieren möchten, und klicken Sie auf Finish.
Sie können eine Entität mit dem gleichnamigen Assistenten (nachfolgend beschrieben) hinzufügen oder indem Sie in der Symbolleiste des Editors auf die Schaltfläche Add Entity klicken.
HINWEIS:Wenn Sie die Schaltfläche „Add Entity“ verwenden, werden Sie dazu aufgefordert, die Objektklasse der Entität auszuwählen, die Sie erstellen möchten. Der Editor fügt die obligatorischen Attribute automatisch zur Entität hinzu. Sie können dann mithilfe des Dialogfelds „Add Attribute“ die Entitätsdefinition abschließen.
Sie haben folgende Möglichkeiten, den Assistenten zum Hinzufügen von Entitäten zu starten:
In der Bereitstellungsansicht:
Im Verzeichnisabstraktionsschicht-Editor:
Das Dialogfeld „New Entity“ wird angezeigt.
HINWEIS:Wenn das Dialogfeld über das Dateimenü aufgerufen wird, enthält es Felder, die nicht angezeigt werden, wenn es auf eine der anderen Arten aufgerufen wird. Die folgende Abbildung zeigt das Dialogfeld.
Machen Sie folgende Angaben:
Klicken Sie auf Next. Das Dialogfeld „New Entity“ wird angezeigt:
Wählen Sie die Objektklasse der zu erstellenden Entität und anschließend die gewünschten Attribute aus der Liste der verfügbaren Attribute aus.
VORSCHLAG:Wenn die Objektklasse der zu erstellenden Entität in der Liste der verfügbaren Objektklassen nicht angezeigt wird, müssen Sie möglicherweise die lokale Schemadatei des Designers aktualisieren. Befolgen Sie die Anweisungen in So aktualisieren Sie die Liste der verfügbaren Schemaelemente:.
Klicken Sie auf Finish.
Das Eigenschaftsblatt wird zur Bearbeitung angezeigt.
Weitere Informationen finden Sie unter Entitätseigenschaften - Referenz.
HINWEIS:Damit das Attribut der Benutzeranwendung zur Verfügung steht, müssen Sie die Entität bereitstellen, die das Attribut enthält.
Wählen Sie eine Entität aus.
Fügen Sie wie folgt ein Attribut hinzu:
ODER:
Folgendes Dialogfeld wird angezeigt:
Wählen Sie das gewünschte Attribut aus der Liste Available Attributes for Entity Class aus und fügen Sie es zur Liste Selected Attributes for Entity hinzu.
VORSCHLAG:Wenn das zu erstellende Attribut in der Liste der verfügbaren Attribute der Entitätsklasse nicht angezeigt wird, müssen Sie möglicherweise die lokale Schemadatei des Designers aktualisieren. Befolgen Sie die Anweisungen in So aktualisieren Sie die Liste der verfügbaren Schemaelemente:.
Klicken Sie auf OK.
Das Eigenschaftsblatt wird zur Bearbeitung angezeigt.
Weitere Informationen finden Sie unter Attributeigenschaften - Referenz.
HINWEIS:Damit das Attribut der Benutzeranwendung zur Verfügung steht, müssen Sie es bereitstellen.
Sie können die folgenden Eigenschaften für Entitäten festlegen:
Mit den Zugriffseigenschaften können Sie steuern, wie die Benutzeranwendung mit der Entität interagiert. Dazu gehören:
Die Entitätseigenschaften für Required lauten:
Die Entitätseigenschaften für die Suche lauten:
Eigenschaftsname |
Beschreibung |
---|---|
Search Container |
Der eindeutige Name des LDAP-Knotens oder Containers, bei dem die Suche starten soll (der Suchstamm). Zum Beispiel: ou=Beispiel,o=UnsereOrganisation Zum Auswählen des Containers können Sie das Identitätsdepot durchsuchen oder einen der vordefinierten Parameter verwenden, die in Vordefinierte Parameter verwenden beschrieben werden. |
Search Scope |
Gibt in Relation zum Suchstamm an, wo die Suche stattfindet. Gültige Werte: <Default> - Dieser Suchbereich ist identisch mit der Suche nach Containern und Untercontainern. Container - Die Suche wird in der Suchstamm-DN und allen Einträgen auf Suchstammebene durchgeführt. Container and subcontainers - Die Suche wird in der Suchstamm-DN und in allen Untercontainern durchgeführt. Dies entspricht der Auswahl von <Default>. Object - Beschränkt die Suche auf das angegebene Objekt. Mit dieser Suche kann die Existenz eines angegebenen Objekts überprüft werden. |
Search Time Limit [ms] |
Geben Sie einen Wert in Millisekunden für die Suchdauer an oder 0 für kein Zeitlimit. |
Max Search Entries |
Geben Sie die maximale Anzahl an Suchergebnissen für eine Suche an. Geben Sie 0 an, wenn Sie die Laufzeiteinstellung verwenden möchten. Empfehlungen: Legen Sie 100 bis 200 Ergebnisse fest. Diese Einstellungen sorgen für die beste Effizienz. Legen Sie keinen Wert über 1000 fest. |
Die Entitätseigenschaften für das Erstellen und Bearbeiten lauten:
Eigenschaftsname |
Definition |
---|---|
Create Container |
Der Name des Containers, in dem eine neue Entität dieses Typs erstellt wird. Zum Auswählen des Containers können Sie das Identitätsdepot durchsuchen oder einen der vordefinierten Parameter verwenden, die in Vordefinierte Parameter verwenden beschrieben werden. Ist kein Wert angegeben, fordert das Erstellungs-Portlet den Benutzer auf, einen Container für das neue Objekt zu benennen. Das Portlet verwendet den angegebenen Suchstamm in der Entitätsdefinition als Basis und ermöglicht dem Benutzer die Suche ab dieser Ebene. Wurde in der Entitätsdefinition kein Suchstamm angegeben, wird der Stamm-DN verwendet, der bei der Installation der Benutzeranwendung angegeben wurde. |
Naming Attribute |
Das Benennungsattribut der Entität (Relative Distinguished Name [RDN]). Dieser Wert ist nur für Entitäten erforderlich, wenn der Zugriffsparameter „Erstellen“ ausgewählt wurde. |
Alternate Edit Entity |
Die Attribute der Bearbeitungsentität werden im Bearbeitungsmodus des Detail-Portlets angezeigt. Wählen Sie eine Entität aus der Dropdown-Liste aus oder <None>, wenn diese Entität nicht im Detail-Portlet angezeigt wird. |
Die Eigenschaften für die Passwortverwaltung lauten:
Der Verzeichnisabstraktionsschicht-Editor ermöglicht die Verwendung vordefinierter Parameter für bestimmte Werte. Die Parameter lauten:
Sie können die folgenden Eigenschaften für Attribute festlegen:
Die Zugriffseigenschaften für Attribute lauten:
Name |
Beschreibung |
---|---|
Data Type |
Wählen Sie aus der folgenden Liste einen Datentyp:
|
Format Type |
Wird von der Benutzeranwendung zum Formatieren der Daten verwendet. Zu den Formattypen gehören:
Die Formattypen hängen vom Datentyp ab. Dem Zeit-Datentyp können beispielsweise nur die Formate „Date“ und „DateTime“ zugeordnet werden. |
Control Type |
Zu den Typen gehören: DNLookup - Definiert, dass dieses Attribut eine DN-Referenz enthält. Verwenden Sie die Eigenschaft in folgenden Fällen:
Die Benutzeranwendung verwendet diese Informationen zum Generieren bestimmter Elemente der Benutzerschnittstelle und für optimierte Suchvorgänge, die auf der DNLookup-Definition basieren. Weitere Informationen finden Sie unter Verwenden von DNLookup-Steuerungstypen. |
Global List - Zeigt dieses Attribut als eine Dropdown-Liste an, deren Inhalt in einer Datei außerhalb dieser Attributdefinition definiert wird. Weitere Informationen finden Sie in Schnitt 4.4, Arbeiten mit Listen. |
|
Local List - Zeigt dieses Attribut als eine Dropdown-Liste an, deren Inhalt mit diesem Attribut definiert wird. So definieren Sie eine lokale Liste:
|
|
Range - Verwenden Sie den „Control Type“ „Range“ mit Integer-Datentypen, um die Benutzereingabe auf einen zusammenhängenden Wertebereich zu beschränken. Sie müssen den Anfangs- und Endwert des Zahlenbereichs angeben. |
Wenn Sie einen Steuerungstyp („control type“) als DNLookup definieren, bedeutet dies Folgendes:
Die installierte Benutzeranwendung enthält Entitätsdefinitionen für Benutzer und Gruppen. Die Entitätsdefinition des Benutzers enthält ein Gruppenattribut, das als DNLookup-Steuerungstyp definiert ist. Dadurch kann jedes Identitäts-Portlet einem bestimmten Benutzer eine Auswahlliste mit Gruppen zur Verfügung stellen. Beispielsweise möchte ein Benutzer eine Verzeichnissuche durchführen. Er möchte einen Benutzer in einer bestimmten Gruppe suchen, aber er kennt den Namen der Gruppe nicht. Der Benutzer würde in diesem Fall „User“ als zu suchendes Objekt und „Group“ als ein Suchkriterium angeben:
Da „Group“ als DNLookup-Steuerungstyp für die Benutzerentität definiert ist, wird das Lookup-Symbol angezeigt. Wenn der Benutzer es auswählt, wird eine Gruppenliste angezeigt:
Der Benutzer kann eine Gruppe aus der Liste auswählen.
DNLookups für Aktualisierungen und zur Synchronisierung sind wichtig, weil LDAP die Zuordnung von Gruppenrelationen in beide Richtungen ermöglicht. So können Ihre Daten beispielsweise wie folgt eingerichtet sein:
Sie können also ein Attribut für ein Benutzerobjekt haben, das alle Gruppen auflistet, zu denen ein Benutzer gehört. Außerdem hat das Gruppenobjekt ein DN-Attribut, das alle Mitglieder dieser Gruppe enthält.
Wenn der Benutzer eine Aktualisierung anfordert, muss die Benutzeranwendung die Relationen berücksichtigen und sicherstellen, dass die Ziel- und Ursprungsattribute synchronisiert werden. In DNLookup geben Sie beide Attribute an, die synchronisiert werden müssen. Mit diesem Verfahren können Sie nicht nur Objekte in einer Gruppenstruktur, sondern alle Objekte, die Relationen aufweisen, synchronisieren. Sie erstellen diese Art des DNLookup-Steuerungstyps mithilfe der erweiterten DNLookup-Eigenschaften, die in der Referenz für die Eigenschaften zur Bewahrung der relationalen Integrität bei DNLookup beschrieben werden.
Die DNLookup-Anzeigeeigenschaften lauten:
Eigenschaften zur Bewahrung der relationalen Integrität bei DNLookup - Diese Eigenschaften dienen der Synchronisierung der Daten zwischen zwei Objekten wie z. B. Gruppen und Gruppenmitgliedern.