下列实例说明可能会使用 Identity Manager 的环境。 为每个实例提供了一些准则,以帮助您完成实施。
图 2-1 全新安装
Identity Manager 是一个数据共享解决方案,它可以利用 Identity Vault 在应用程序、数据库和目录之间自动同步、转换和分发信息。
Identity Manager 解决方案包括下列组件:
Identity Vault 包含需要与其它已连接系统共享或同步的用户数据或对象数据。 建议将 Identity Manager 安装在其自身的 eDirectory™ 实例中,并将其用作 Identity Vault。
可以使用 Novell® iManager 和 Identity Manager 插件来管理 Identity Manager 解决方案。
已连接系统可能包含需要与 Identity Vault 共享其中的数据的其它应用程序、目录和数据库。 要在 Identity Vault 和已连接系统之间建立连接,请安装该已连接系统的相应驱动程序。 有关特定的指导,请参考驱动程序实施指南。
安装系统组件: 由于 Identity Manager 解决方案可能要分布在多个计算机、服务器或平台上,因此应该在每个系统上运行安装程序,并安装相应的组件。有关更多信息,请参考部分 4.2, Identity Manager 组件和系统要求。
设置已连接系统: 有关特定的指导,请参考部分 4.2, Identity Manager 组件和系统要求和驱动程序实施指南。
激活您的解决方案: Identity Manager 产品(专业版和服务器版、集成模块和用户应用程序)需要在安装后的 90 天内激活。请参见部分 6.0, 激活 Novell Identity Manager 产品。
定义业务策略: 可以使用业务策略自定义信息流向特定环境的 Identity Vault,以及从其中流出。 策略还可以创建新对象、更新特性值、生成纲要转换、定义匹配准则、维护 Identity Manager 关联,以及执行其它许多任务。 《Policy Builder and Driver Customization Guide》(策略构建器和驱动程序自定义指南)包含了策略的详细指南。
配置口令管理: 使用口令策略,并针对用户创建其口令的方式设置规则,可以提高安全性。 还可以通过为用户提供用于解决忘记口令问题和重设置口令的自助服务选项,来减少服务台成本。 有关口令管理的详尽信息,请参考管理口令指南中的《使用口令策略管理口令》。
配置权利: 使用权利定义,可以向 Identity Vault 中定义的用户组授予对已连接系统的权利。 使用权利策略,可以简化业务策略的管理,减少配置 Identity Manager 驱动程序的需要。 有关更多信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Creating and Using Entitlements》(创建和使用权利)。
使用 Novell Audit 记录事件: 安装 Identity Manager 后,可以使用 Novell Audit 进行审计和报告。 Novell Audit 是一个技术集合,可提供监视、日志记录、报告和通知功能。 通过与 Novell Audit 集成,Identity Manager 可以提供驱动程序的当前和历史状态以及引擎活动的有关详细信息。 这些信息由一组预配置报告、标准通知服务和用户定义的日志记录提供。 请参考《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Logging and Reporting Using Novell Audit》(使用 Novell Audit 进行日志记录和报告)。
工作流程批准和用户应用程序: Novell Identity Manager 用户应用程序是一个功能强大的万维网应用程序(和支持工具),它可以在复杂的身份服务框架上提供丰富、直观、高度可配置和高度可管理的万维网 UI 体验。 如果结合 Provisioning Module for Identity Manager 和 Novell Audit 使用,Identity Manager 用户应用程序可提供安全、可缩放和易于管理的完整端到端供应解决方案。 请参考用户应用程序文档。
图 2-2 在 DirXML 1.1a 所在的同一个树中安装 Identity Manager
如果在同一环境中运行 Identity Manager 和 DirXML® 1.1a,请记住下列注意事项。
在 Identity Manager 插件中,如果单击一个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单的过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。
一个值得注意的例外是,升级驱动程序 Shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对 AD 和 NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关口令同步的章节。
图 2-3 从 Starter Pack 升级为 Identity Manager
其它 Novell 产品中包含的 Identity Manager Starter Pack 解决方案可提供 NT Domain、Active Directory 和 eDirectory 中保存的信息的已许可同步。 此外,还包含了其它多个系统(包括 PeopleSoft*、GroupWise® 和 Lotus Notes*)的评估驱动程序,用于浏览其它系统的数据同步。
该解决方案还提供用于同步用户口令的功能。 使用 PasswordSync,用户只需要记住一个口令便可以登录其中的任何一个系统。 管理员可以管理所选系统中的口令。 无论何时其中一个环境中的某个口令发生更改,将会更新所有环境中的该口令。
NetWare 6.5 和 Nterprise™ Linux Services 1.0 附带的 Identity Manager Starter Pack 基于 DirXML 1.1a 技术。 从 Starter Pack 升级为 Identity Manager 的最新版本时,请记住下列注意事项:
在 Identity Manager 插件中,如果单击一个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单的过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。
一个值得注意的例外是,升级驱动程序 Shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对 AD 和 NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关口令同步的章节。
有关激活的更多信息,请参考部分 6.0, 激活 Novell Identity Manager 产品。
图 2-4 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步
Identity Manager 口令同步提供许多功能,包括双向口令同步、附加平台,以及口令同步失败时的电子邮件通知。
如果使用带有 Active Directory 或 NT Domain 的 Password Synchronization 1.0,请务必在安装新的驱动程序 Shim 之前,查看升级指导。
如果运行带有 Password Synchronization 2.0 的 Identity Manager 2.x,则不需要遵循这些步骤。
有关 Identity Manager 口令同步的一般信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Password Synchronization across Connected Systems》(在已连接系统间同步口令)。 该节包含概念性信息,包括新旧功能的比较、前提条件、每个已连接系统支持的功能的列表、向现有驱动程序添加支持的指导,以及显示新功能使用方式的多个案例。
本节包括:
新的口令同步功能是由驱动程序策略执行的,而不是由独立的代理执行的。 这意味着如果在安装新的驱动程序 Shim 的同时不升级驱动程序配置,Password Synchronization 1.0 只能对现有用户继续发挥作用。 在完成驱动程序配置的升级之前,新用户、已移动的用户或重命名的用户不参与口令同步。
使用下列常规步骤进行升级:
执行该步骤后,在切换到 Identity Manager 口令同步之前,Password Synchronization 1.0 可持续正常运行。
请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Implementing Password Synchronization》(实现口令同步)。
有关详细指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南。
对 eDirectory 进行升级相当简单,并且,假定驱动程序 Shim 和配置具有最新增补程序的话,驱动程序 Shim 将会配合现有的 DirXML 1.1a 驱动程序配置且不发生更改。 有关指导,请参见《Identity Manager Driver for eDirectory: Implementation Guide》(Identity Manager Driver for eDirectory:实施指南)。
除了支持 Password Synchronization 1.0 以外,Identity Manager 口令同步还支持其它许多已连接系统。
有关受支持的其它系统的功能列表,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Connected System Support for Password Synchronization》(口令同步支持的已连接系统)。
提供了驱动程序策略《覆盖》,以帮助您将双向口令同步功能添加到以前不支持的已连接系统的现有驱动程序。 请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Upgrading Existing Driver Configurations to Support Password Synchronization》(升级现有的驱动程序配置以支持口令同步)。
通用口令受到 eDirectory 中四个加密层的保护,因此它在该环境中非常安全。 如果选择使用双向口令同步,并且将通用口令与分发口令同步,请记住这是在抽取 eDirectory 口令,并将它发送到另一个已连接系统。 需要对口令的传输进行保护,同时还要保护口令同步到的已连接系统。请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Security: Best Practices》(安全性:最佳做法)。