1.2 Identity Manager
Identity Manager 會提供 Identity Vault 與已連接系統之間的資料同步化。 已連接系統由應用程式、目錄、資料庫或檔案組成。
Identity Manager 包含數個元件。 下列圖例顯示基本元件及其關係:
圖 1-1 Identity Manager 元件
Metadirectory 引擎是 Identity Manager 結構中的關鍵模組。 它會提供允許 Identity Manager 驅動程式與 Identity Vault 同步化資訊的介面,甚至允許不同的資料系統連接和共享資料。
Metadirectory 引擎使用 XML 格式處理 Identity Vault 資料和 Identity Vault 事件。 Metadirectory 引擎利用規則處理器和資料轉換引擎來處理兩個系統之間流動的資料。
- 讀取所有 Identity Manager 驅動程式的過濾器。
- 註冊適當 Identity Vault 事件的驅動程式。
- 根據每個驅動程式的規格過濾資料。
- 對傳遞到每個驅動程式的 Identity Vault 事件設定快取。
Identity Vault 啟始化時會執行下列動作:
- 快取事件之後,擁有快取的驅動程式會讀取事件。
- 驅動程式接收採用 eDirectory 原始格式的 Identity Vault 資料、將其轉換為 XDS 格式 (這是 Identity Manager 所使用的 XML 詞彙,可由規則加以轉換),並將事件傳送至 Metadirectory 引擎。 該引擎會讀取已連接系統驅動程式中的所有規則,並根據那些規則建立 XML 格式的資料,然後將資料傳送至連接系統驅動程式。 之後,它會將資料傳送至已連接系統。 如需規則的相關資訊,請參閱《規則產生器和驅動程式自訂指南》中的「規則簡介」。
- 驅動程式中的「發行者」部份會蒐集已連接系統中的更新並將其傳送至 Identity Vault。 當通知連接系統驅動程式關於兩個系統共享之資訊的變更時,已連接系統驅動程式會蒐集該資訊,確保已將其過濾至正確的資料集、將資料轉換為 XDS 格式並傳送至引擎。
1.2.1 Metadirectory 引擎
Metadirectory 引擎可以分成兩個元件: eDirectory 介面和同步化引擎。
eDirectory 介面
內建於 Metadirectory 引擎的 eDirectory 介面用於偵測 eDirectory 中發生的事件。 此介面會使用事件快取,確保事件傳送至 Identity Manager。 eDirectory 介面支援多重驅動程式載入,這表示針對該 eDirectory 伺服器僅會執行一個 Identity Manager 例項,但該例項可與多個已連接系統通訊。 此介面中會內建迴路偵測,以防止 Identity Vault 與已連接系統之間發生事件迴路。 雖然該介面包含迴路保護,但開發人員最好也將迴路偵測內建到個別的已連接系統驅動程式。
同步化引擎
同步化引擎會將 Identity Manager 規則套用至呈現給它的每個事件。 該規則是使用「DirXML 程序檔」在「規則產生器」中建立的。 「規則產生器」可讓您透過 GUI 介面 (而不是使用以 XSLT 撰寫的 XML 文件或樣式表) 建立規則。 您仍然可以使用樣式表,但「規則產生器」會更便於使用。 如需「規則產生器」或「DirXML 程序檔」的相關資訊,請參閱《規則產生器和驅動程式自訂指南》。
同步化引擎會將每種類型的規則都套用至來源文件。 完成這些轉換的能力是 Identity Manager 的其中一個最強大的功能。 當資料在 Identity Vault 與已連接系統之間共享時,會即時轉換該資料。
1.2.2 驅動程式組態檔案
驅動程式組態是 Identity Manager 隨附的預先設定 XML 檔案。 您可透過 iManager 和 Designer 中的精靈輸入這些組態檔案。
這些驅動程式組態包含範例規則。 該範例規則不是要用於生產環境中,而是要做為您可以修改的範本。
1.2.3 Identity Manager 事件快取
透過 eDirectory 產生的所有事件在成功處理完成之前,都儲存在事件快取中。 這可保證不會由於連接不良、系統資源遺失、驅動程式無法使用或任何其他網路失敗而遺失資料。
1.2.4 驅動程式 Shim
驅動程式 Shim 的功能是做為已連接系統與 Identity Vault 之間的資訊管道。 Shim 是使用 Java、C 或 C++ 撰寫的。
Metadirectory 引擎與驅動程式 Shim 之間的通訊以 XML 文件的形式進行,該文件會描述事件、查詢和結果。驅動程式 Shim 通常是指驅動程式。 它是 Identity Vault 與已連接系統之間傳送資訊的管道。
Shim 支援下列物件事件:
- 新增 (建立)
- 修改
- 刪除
- 重新命名
- 移動
- 查詢
此外,Shim 必須支援已定義的查詢功能,這樣 Identity Manager 才可以查詢已連接系統。
當 Identity Vault 中發生某事件,導致已連接系統中產生動作時,Identity Manager 會建立描述該 Identity Vault 事件的 XML 文件,並透過「訂閱者」通道將其提交至驅動程式 Shim。
已連接系統中發生事件時,驅動程式 Shim 會產生 XML 文件,描述已連接系統事件。 然後驅動程式 Shim 會透過「發行者」通道將該 XML 文件提交至 Identity Manager。 透過任何「發行者」規則處理事件之後,Identity Manager 會讓 Identity Vault 採取適當的動作。
1.2.5 驅動程式集
驅動程式集是存放 Identity Manager 驅動程式的容器物件。 驅動程式集一次可與一個伺服器相關聯。 因此,所有執行中的驅動程式都必須分組到相同的驅動程式集中。
驅動程式集物件必須存在於使用該物件之任何伺服器上的完整讀/寫複製本中,因此建議您分割驅動程式集。 建議您這樣做,當使用者的複製本移動到其他伺服器時,才不會移動驅動程式物件。
下圖顯示驅動程式集在 Designer 中的顯示方式。
圖 1-2 Designer 中的驅動程式集
下圖顯示驅動程式集在 iManager 中的顯示方式。
圖 1-3 iManager 中的驅動程式集
從 Designer 中的「模擬器」(在上面的圖 1-2 中顯示) 或 iManager 中的「綜覽」頁面 (在上面的圖 1-3 中顯示),您可以:
- 檢視和修改驅動程式集及其內容
- 檢視驅動程式集中的驅動程式
- 變更驅動程式狀態
- 將驅動程式集與伺服器相關聯
- 新增或移除驅動程式
- 檢視驅動程式集的啟用資訊
- 檢視驅動程式集的狀態記錄
1.2.6 驅動程式物件
「驅動程式」物件代表連接至與 Identity Vault 整合之已連接系統的驅動程式。 下列元件構成驅動程式物件及其組態參數:
- 驅動程式集物件中包含之 eDirectory 網路樹中的「驅動程式」物件。
- 「驅動程式」物件中包含的「訂閱者」通道物件。
- 「驅動程式」物件中包含的「發行者」物件。
- 「驅動程式」、「訂閱者」和「發行者」物件所參照的數個規則物件。
- 「驅動程式」物件所參照的可執行驅動程式 Shim。
- 管理員已設定組態的 Shim 特定參數。
- 「驅動程式」物件的 eDirectory 密碼。 Shim 可使用密碼來驗證 Shim 的遠端部份。
- 用於連接並驗證已連接系統的驗證參數。
- 授權 (雖然授權並不屬於每個驅動程式)。 在建立驅動程式期間可啟用授權,也可稍後新增授權。
- 驅動程式的啟動選項,包含下列內容:
- 停用: 驅動程式不執行。
- 手動: 必須透過 iManager 手動啟動驅動程式。
- 自動啟動: 驅動程式在 Identity Vault 啟動時自動啟動。
- 「綱要映射」規則的參照。
- 已連接系統之綱要的 XML 表示。 這通常會透過 Shim 從已連接系統自動取得。
在 iManager 中,您可以存取「Identity Manager 驅動程式概觀」,並修改現有驅動程式的參數、規則、樣式表和授權。 「Identity Manager 驅動程式概觀」顯示如下。
圖 1-4 Identity Manager 驅動程式概觀
此外,還會使用「驅動程式」物件進行 eDirectory 權限檢查。 必須授予「驅動程式」物件對其所讀取或寫入之任何物件的足夠 eDirectory 權限。 若要執行此動作,您可讓「驅動程式」物件成為驅動程式同步化之 eDirectory 物件的「託管者」,或者將「安全性等值」授予「驅動程式」物件。
如需權限指定的相關資訊,請參閱《Novell eDirectory 8.8 管理指南》中的「eDirectory 權限」。
1.2.7 發行者和訂閱者通道
Identity Manager 驅動程式包含兩個用於處理資料的通道: 「發行者」通道和「訂閱者」通道。 「發行者」通道會將事件從已連接系統傳送至 Identity Vault。 「訂閱者」通道會將事件從 Identity Vault 傳送至已連接系統。 每個通道都包含其本身的規則,該規則會定義如何處理和轉換資料。
圖 1-5 Designer 中的發行者和訂閱者通道
圖 1-6 iManager 中的發行者和訂閱者通道
1.2.8 事件和指令
Identity Manager 中事件與指令之間的差異非常重要。 如果事件傳送至驅動程式,則該事件是指令。 如果事件傳送至 Identity Manager,則該事件就是通知。 當驅動程式將事件通知傳送至 Identity Manager 時,驅動程式會通知 Identity Manager 關於已連接系統中發生的變更。 然後,Metadirectory 引擎會根據可設定組態的規則,判定必須要傳送至 Identity Vault 的指令 (如果有的話)。
當 Identity Manager 將指令傳送至驅動程式時,Identity Manager 已使用 Identity Vault 事件做為輸入、套用適當的規則,並判定已連接系統中指令所代表的變更是必要的。
1.2.9 規則和過濾器
規則和過濾器可讓您控制資料從一個系統串流至另一個系統的方式。 您是使用規則 (Policy) 中的規則 (Rule) 來定義轉換管理 Identity Vault 類別、屬性和事件如何用於已連接系統 (反之亦然)。 如需規則和過濾器的詳細資訊,請參閱《規則產生器和驅動程式自訂指南》。
1.2.10 關聯
大部份的其他身份管理產品都需要已連接系統儲存某種識別碼,以將物件從已連接系統映射至目錄。 使用 Identity Manager 時,已連接系統無需任何變更。 Identity Vault 中的每個物件都包含一個關聯表格,其映射在已連接系統中具有唯一識別碼的 Identity Vault 物件。 該表格已反向編列索引,以便已連接系統在更新 Identity Vault 時,無需提供 Identity Vault 識別碼 (如可辨識名稱) 給驅動程式。
當尚未與 Identity Vault 中其他物件相關聯的物件發生事件時,會在兩個物件之間建立關聯。 若要建立關聯,每個物件之間可定義的最小準則集必須相符。 例如,您可以建立規則,指出如果四個屬性中的任何兩個相符率超過 90% (全名、電話號碼、員工 ID 和電子郵件地址),則物件將會相關聯。
相符規則會定義判定兩個物件是否相同的準則。 如果找不到變更物件的相符項目,可建立新物件。 但必須符合所有的最低建立準則,才會發生此狀況。 這些準則由「建立」規則定義。 最後,「佈置」規則會定義在命名階層中建立新物件的位置。
可使用下面任意一種方式建立關聯:
- 做為物件間的相符項目
- 做為特定位置中新建立的物件
物件間的關聯建立之後,此關聯會一直有效,直到管理員刪除物件或刪除關聯為止。
關聯表格
在 Identity Manager 中,關聯是指 eDirectory 中的物件與已連接系統中常駐的物件相符。 起始安裝 Identity Manager 時,會延伸 eDirectory 綱要。 此延伸的一部份是一個新屬性,連結至所有 eDirectory 物件的基礎類別。 此屬性是關聯表格。 關聯表格會持續追蹤 eDirectory 物件連結的所有已連接系統物件。 系統會自動建立和維護此表格,因此幾乎不需要手動編輯此資訊,不過檢視該資訊經常會很有幫助。
您可以在 iManager 中檢視物件的關聯屬性。
-
在 iManager 中,選取工具列上的「」圖示。
-
瀏覽並選取物件,然後選取「」。
-
選取 Identity Manager 索引標籤。
Identity Manager 索引標籤上會顯示關聯屬性。