4.3 使用實體和屬性

要使用者在 Identity Manager 使用者應用程式中搜尋、顯示或編輯的任何身份儲存區物件,都必須定義為目錄抽象層中的實體。 例如,若要在使用者應用程式中使用 inetOrgPerson 身份儲存區物件,您必須建立其實體定義。

4.3.1 新增實體的步驟

請遵循下列步驟,以將實體新增至目錄抽象層:

步驟

任務

相關資訊

1

決定要在使用者應用程式中使用的身份儲存區物件

節 4.3.2, 分析資料需求

2

使用目錄抽象層編輯器,以定義目錄抽象層中的身份儲存區物件

節 4.3.3, 定義實體

3

使用「提供檢視窗」來驗證資料定義

節 4.8, 輸入、驗證和部署目錄抽象層定義

4

將定義部署至身份儲存區

節 4.8.3, 關於部署

5

更新應用程式伺服器的快取,以包含新的抽象層定義

節 13.0, 快取組態

6

測試 Identity Manager 使用者應用程式,以確保正確顯示變更

 

4.3.2 分析資料需求

若要在目錄抽象層中模型化身份儲存區資料,您需要瞭解下列項目:

  • 要讓 Identity Manager 使用者應用程式可使用的目錄部份

例如,使用者可以搜尋和顯示的物件清單。 針對基本的抽象層定義集,檢查此清單以確定需要新增的項目。

  • 包含自定延伸和輔助類別的綱要結構
  • 資料結構包含:
    • 必要項目和選擇性項目
    • 驗證規則
    • 物件之間的關係 (DN 參考)
    • 定義屬性的方式 (例如,代表電話號碼的屬性可能有多個值:家中電話號碼、辦公室電話號碼和行動電話號碼。
  • 將看到資料的使用者

    這是公用還是私人網站?

具有此資訊之後,您就可以使用它,將身份儲存區物件映射至抽象層實體。

附註:eDirectory ACL 適用於所有抽象層物件。 對物件和屬性的有效權限是基於應用程式登入時建立的已驗證使用者。

4.3.3 定義實體

根據您要在使用者應用程式中公開的內容而定,將定義兩種實體:

  • 從綱要映射的實體。這些實體代表身份儲存區中存在的物件,它們在使用者應用程式中直接向使用者公開。 定義此類型的實體時,您將公開要使用者使用的所有屬性。 此實體類型的範例包含: 「使用者」、「群組」和「任務群組」。如果您要向不同類型的使用者公開不同的屬性集,則也可以針對相同的物件建立多個實體定義。 如需相關資訊,請參閱建立單一物件的多個實體定義
  • 代表 LDAP 關係的實體。此類型的實體稱為 DNLookup,由使用者應用程式用於:
    • 將相關實體間 DN 搜尋的結果填入清單
    • 在更新和刪除期間維護 DN 參考之屬性中的參考完整性

    「組織圖」入口網站應用程式使用支援 DNLookup 的實體來確定關係,且「搜尋」、「建立」和「詳細資料」入口網站應用程式也可以使用它來提供快顯選擇清單和 DN 網路位置。 此類型實體的範例包含: 「管理員查閱」、「任務管理員查閱」和「使用者查閱」。 如需相關資訊,請參閱使用 DNLookup 控制項類型

建立單一物件的多個實體定義

您可以建立代表相同身份儲存區物件的多個實體定義,但提供不同的資料檢視窗。 您可以在實體定義內:

  • 定義不同的屬性 (針對每個實體定義)

  • 定義相同的屬性,但是指定不同的存取內容以控制屬性的搜尋、檢視、編輯或隱藏的方式。

附註:實體定義可選擇性地包含過濾器,以從結果集隱藏特定實體。

然後,您可以在使用者介面中的不同部份,使用這些不同的實體定義。 例如,假設您想要分別針對公用網站和內部網站,建立員工的目錄。 在公用網站上,您想要提供姓、名和電話號碼,但在內部網站上,您想要列出其他的資訊 (例如,頭銜、經理等)。 以下是您完成此步驟的方式:

  1. 建立兩個實體定義 (具有不同的索引鍵)。

    兩個實體定義都會公開相同的身份儲存區物件,但是一個實體定義鍵是公用員工資訊,而另一個是內部員工資訊。

  2. 在每個實體定義內,定義不同的屬性集: 分別針對公用員工資訊和內部員工資訊。

  3. 使用 Identity Manager 使用者應用程式的「入口網站管理」索引標籤,分別為公用頁面和內部頁面建立入口網站應用程式例項。

    如需建立入口網站應用程式例項的相關資訊,請參閱節 9.0, 入口網站應用程式管理

建立實體定義的程序

當要公開的實體和屬性已決定時,您可以使用編輯器,開始將它們新增至目錄抽象層。 您將遵循下列這組步驟:

步驟

操作

參閱此程序

1.

決定要開始處理的檔案集。

 
  • 您想要新增至基本的定義集

節 4.3.1, 新增實體的步驟
  • 您想要從已部署的定義開始

節 4.8.1, 關於輸入

1a.

您要使用的部份實體不屬於 eDirectory 基本綱要。 在編輯器的可選物件和屬性清單中,不會自動顯示對 eDirectory 綱要的任何延伸。 這表示您必須更新 Designer 的本地綱要檔案,以包含這些自定物件和屬性。

若要更新可用綱要元素的清單,請執行下列動作:

2.

新增一或多個實體至目錄抽象層

新增實體

3.

新增屬性至實體

新增屬性
更新可用綱要元素的清單

若要更新可用綱要元素的清單,請執行下列動作:

  1. 保持 Identity Manager 專案開啟,選取 Identity Vault,按一下滑鼠右鍵,然後選取「即時操作 > 輸入綱要」。

  2. 選擇「從 eDirectory 輸入」,並提供 eDirectory 主機的規格。

  3. 按「下一步」。

  4. 選取要輸入的類別和屬性,然後按一下「完成」。

新增實體

您可以透過「新增實體精靈」(說明如下),或按一下編輯器工具列中的「新增實體」按鈕,來新增實體。

附註:使用「新增實體」按鈕時,會提示您選取要建立之實體的物件類別。 編輯器會自動將必要屬性新增至實體。 然後,您可以使用「新增屬性」對話方塊來完成實體定義。

若要使用「新增實體精靈」新增實體,請執行下列動作:

  1. 以下列其中一種方式啟動「新增實體精靈」:

    從「提供檢視窗」:

    • 選取「實體」節點,按一下滑鼠右鍵,然後選取「新增」。
    • 選取「檔案 > 新增 > 提供」。選擇「目錄抽象層實體」。按「下一步」。

    從目錄抽象層編輯器:

    • 選取「實體」節點,按一下滑鼠右鍵,然後選擇「新實體屬性精靈」。

      即會顯示「新實體」對話方塊。

    附註:如果從「檔案」功能表啟動,則對話方塊包含以其中一種其他方式啟動時未顯示的欄位。 其顯示如下。

    描述: 描述: 圖例

  2. 完成面板,如下所示:

    欄位

    描述

    Identity Manager 專案和提供應用程式

    在您想要新增實體和屬性的位置,選取 Identity Manager 專案和「提供應用程式」。

    附註:當您從「檔案」功能表啟動精靈時會顯示這些欄位。

    實體鍵

    實體的唯一識別碼。

    顯示標籤

    在使用者介面中參考此實體時所顯示的字串。

  3. 按「下一步」。即會顯示「新實體」對話方塊:

    描述: 描述: 圖例

  4. 選擇要建立之實體的「物件類別」,然後從「可用屬性」清單中選取想要的屬性。

    提示:如果要建立之實體的物件類別未顯示在「可用物件類別」清單中,則您可能需要更新 Designer 的本地綱要檔案。 遵循若要更新可用綱要元素的清單,請執行下列動作:中描述的步驟。

  5. 按一下「完成」。

    即會顯示內容表,以進行編輯。

    如需相關資訊,請參閱實體內容參考

    附註:若要讓使用者應用程式可以使用屬性,您必須部署包含該屬性的實體。

新增屬性

若要新增屬性,請執行下列動作:

  1. 選取實體。

  2. 以下列方式新增屬性:

    • 按一下滑鼠右鍵,並選取「新增屬性」。

    • 按一下「新增屬性」圖示。

    將會提示您下列內容:

    描述: 描述: 圖例

  3. 從「實體類別的可用屬性」清單中選擇屬性,並將其新增至「實體的選定屬性」清單。

    提示:如果要建立的屬性未顯示在「實體類別」清單的「可用屬性」中,則您可能需要更新 Designer 的本地綱要檔案。 遵循若要更新可用綱要元素的清單,請執行下列動作:中描述的步驟。

  4. 按一下「確定」。

    即會顯示內容表,以進行編輯。

    如需相關資訊,請參閱屬性內容參考

    附註:若要讓使用者應用程式可以使用屬性,您必須部署屬性。

實體內容參考

您可以在實體上設定下列類型的內容:

實體存取內容

存取內容」會控制使用者應用程式與實體互動的方式。 包含:

內容

描述

建立

選取:此物件可由使用者應用程式建立。

編輯

不選:無論基礎 ACL 為何,都無法由使用者應用程式變更此物件。

選取:此物件也許可以變更,但要使用身份儲存區 ACL 來判斷。

檢視

選取:此物件可由使用者應用程式顯示。

移除

選取:此物件可由使用者應用程式刪除。
實體必要內容

必要」的實體內容為:

內容名稱

描述

此實體的唯一識別碼。 它定義使用者應用程式參考此物件的方式。

顯示標籤

定義物件在使用者介面中的顯示方式。

類別名稱

「Novell 目錄服務 (Novell Directory Service,NDS)」類別名稱。

LDAP 名稱

LDAP 物件類別名稱。

搜尋

選取:可以搜尋此實體。 必須選取 (true) 身份入口網站應用程式 (例如,「實體搜尋清單」或「實體組織圖」) 在查詢中所使用的實體。

輔助類別

此實體的零或多個輔助類別清單。

如果新增輔助類別,則您必須指定輔助類別「LDAP 名稱」、「NDS 名稱」,以及是否可以進行搜尋。
實體搜尋內容

實體搜尋內容」為:

內容名稱

描述

搜尋容器

搜尋啟動位置 (搜尋根部) 之 LDAP 節點或容器的可辨識名稱。 例如:


ou=sample,o=ourOrg

您可以瀏覽身份儲存區來選取容器,也可以使用使用預先定義的參數中描述的其中一個預先定義參數。

搜尋範圍

指定與搜尋根部相關之搜尋發生的位置。

值為:

<預設值>:此搜尋範圍與選取「容器」和次容器相同。

容器:搜尋發生於搜尋根部 DN 和搜尋根部層級上的所有項目。

容器和次容器:搜尋發生於搜尋根部 DN 和所有次容器。 作用與選取「<預設值>」相同。

物件:限制為只搜尋指定的物件。 此搜尋用於驗證指定的物件是否存在。

搜尋時間限制 [ms]

指定一個以毫秒為單位的值,如果沒有時間限制,則指定 0。

搜尋項目上限

指定要在搜尋中傳回的最大搜尋結果項目數。

如果您要使用執行時期設定,請指定 0。

建議:

設定 100 至 200 之間的值,以取得最大效率。

請勿設定超過 1000 的值
實體建立和編輯內容

實體建立和編輯內容」為:

內容名稱

定義

建立容器

在其中建立此類型新實體的容器名稱。

您可以瀏覽身份儲存區來選取容器,也可以使用使用預先定義的參數中描述的其中一個預先定義參數。

如果未指定此值,則「建立」入口網站應用程式會提示使用者指定新物件的容器。 入口網站應用程式會將實體定義中指定的 search-root 做為基礎,並可讓使用者從此處向下切入。 如果實體定義中沒有指定任何 search-root,則它會使用使用者應用程式安裝期間指定的根部 DN。

命名屬性

實體的命名屬性 (相對可辨識名稱 (Relative Distinguished Name,RDN))。 只有選取存取參數「建立」的實體需要此值。

替代編輯實體

「編輯實體」屬性以「詳細資料」入口網站應用程式的編輯模式顯示。

從下拉式功能表選擇實體,如果「詳細資料」入口網站應用程式未顯示此實體,則選擇「<無>」。

密碼管理內容

密碼管理內容」為:

內容名稱

定義

密碼屬性

在儲存此實體密碼的位置,選擇屬性。

建立屬性時需要密碼

選取:表示建立此實體時需要密碼。

使用預先定義的參數

目錄抽象層編輯器可讓您將預先定義的參數用於某些值。 參數為:

預先定義的參數

描述

%driver-root%

代表「提供驅動程式 DN」。 在安裝時的使用者應用程式組態設定期間,或者在稍後的組態設定期間指定此值。 它儲存在使用者應用程式的領域組態中。

%user-root%

代表「使用者容器 DN」。 在安裝時的使用者應用程式組態設定期間,或者在稍後的組態設定期間指定此值。 它儲存在使用者應用程式的領域組態中。

%group-root%

代表「群組容器 DN」。在安裝時的使用者應用程式組態設定期間,或者在稍後的組態設定期間指定此值。 它儲存在使用者應用程式的領域組態中。

屬性內容參考

您可以在屬性上設定下列類型的內容:

屬性存取內容

屬性存取內容」為:

名稱

描述

編輯

選取:此屬性可由使用者應用程式編輯/修改。 即使已選取 (true),如果基礎身份儲存區 ACL/有效權限阻止,則仍無法編輯該屬性。

啟動

不選:此屬性無法由使用者應用程式使用。 作用與從檔案移除項目一樣。

隱藏

控制是啟用還是停用使用者應用程式中的「隱藏」核取方塊。 「隱藏」核取方塊可讓使用者控制是否由應用程式顯示屬性 (例如,他們的照片)。

不選:針對此屬性停用「隱藏」核取方塊,因此使用者無法選擇隱藏此屬性。

選取:可以在使用者應用程式中啟用「隱藏」核取方塊。 然而,登入的使用者必須滿足下列條件。 他們:

  • 是屬性的擁有者或「使用者應用程式管理員」。
  • 具有更新身份儲存區上 srvprvHideAttributes 屬性的「託管者」權限。

    如果不符合這些要求,則即使此設定為選取 (true),在使用者介面中仍會停用「隱藏」核取方塊。

提示:當使用者隱藏包含影像的屬性時,檢視影像的使用者可能會在重新整理其瀏覽器快取之前繼續看到它。

多值

指定此屬性是否是多值的,例如,電話號碼。

選取:屬性可以是多值的。

讀取

選取:使用者應用程式可以查詢此屬性。 針對大部份屬性,應選取 (true) 此項,但是對於部份屬性 (如密碼),則應不選。

必要

選取:必須提供屬性。

搜尋

選取:使用者應用程式可以針對此屬性進行搜尋。 必須選取身份入口網站應用程式 (例如,「實體搜尋清單」或「實體組織圖」) 在查詢中所使用的屬性。

提示:如果在 eDirectory 中,也對搜尋中使用的屬性編製索引,則搜尋會更快。

檢視

選取:使用者應用程式可以顯示此屬性。 在大多數情況下為 true,但是對於部份屬性,例如密碼,則很可能不會選取此項。
屬性必要內容

名稱

描述

屬性的唯一識別碼。

顯示標籤

使用者應用程式中顯示的標籤。

屬性名稱

此屬性的 Novell 目錄服務 (NDS) 名稱。

LDAP 名稱

此屬性的 LDAP 名稱。
屬性過濾器和格式內容

名稱

描述

過濾器: WHERE 屬性

讓您指定在身份儲存區上搜尋此屬性的 LDAP 過濾器。

啟動

選取:啟用過濾器。
屬性 UI 控制項內容

名稱

描述

資料類型

從下列清單選擇資料類型:

  • 二進位
  • 布林
  • DN
  • 整數
  • 當地語系化字串
  • 字串
  • 時間

格式類型

由使用者應用程式使用,以格式化資料。 格式類型包含:

  • AOL IM
  • 電子郵件
  • Groupwise IM
  • 影像
  • 電話號碼
  • Yahoo IM
  • 影像 URL
  • 日期
  • 日期時間

「格式類型」取決於資料類型。 例如,「時間」資料類型只可與「日期」和「日期時間」格式相關。

控制項類型

類型包含:

DNLookup:定義使此屬性包含 DN 參考。 當您要執行下列動作時使用:

  • 將在相關實體之間的 DN 搜尋結果填入清單
  • 在更新和刪除期間維護 DN 參考之屬性中的參考完整性

使用者應用程式使用此資訊產生特殊的使用者介面元素,並根據 DNLookup 定義執行最佳化搜尋。

如需相關資訊,請參閱使用 DNLookup 控制項類型

全域清單:將此屬性以下拉式清單的形式顯示,該清單內容是在此屬性定義之外的檔案中定義。

如需相關資訊,請參閱節 4.4, 使用清單

本地清單:將此屬性以下拉式清單的形式顯示,該清單內容是與此屬性一起定義的。 若要定義本地清單,請執行下列動作:

  1. 選取屬性,將控制項類型設為「本地清單」。
  2. 按一下「新增」按鈕,以新增多個值。 使用向上和向下箭頭按鈕,來變更清單中項目的位置。

    在「值」欄中,輸入要寫入身份儲存區的值。 它只可以包含小寫字母、數字和底線 (_) 字元。

  3. 在「標籤」欄中,輸入要在使用者介面中顯示的文字。

範圍:搭配使用「範圍」控制項類型和「整數」資料類型,將使用者輸入限制為循序值範圍。 您會提供範圍的起始和結束值。

使用 DNLookup 控制項類型

當您將控制項類型定義為 DNLookup 時,表示:

  • 在此屬性上搜尋時,使用者可以從可能值的清單進行選取。
  • 建立、填入或刪除此屬性時,會視使用者動作 (建立、刪除、更新) 而適當更新相關實體上的屬性,以維護參考完整性。
選項清單的 DNLookup

安裝的使用者應用程式包含「使用者」和「群組」的實體定義。 「使用者」實體定義包含定義為 DNLookup 控制項類型之稱為「群組」的屬性。 這可讓任何身份入口網站應用程式為特定使用者提供群組的選擇清單。 例如,使用者選擇進行「目錄搜尋」。 他們想要在群組中尋找使用者,但是不瞭解群組名稱。他們會選取「使用者」做為要搜尋的物件,並併入「群組」做為搜尋準則,如下所示:

描述: 描述: 圖例

因為針對「使用者」實體,將「群組」定義為 DNLookup 控制項類型,所以會顯示「查閱」圖示。 如果使用者選取它,則會顯示可能群組的清單:

描述: 描述: 圖例

使用者可以從清單選取群組。

用於參考完整性的 DNLookup

因為 LDAP 可讓群組關係雙向映射,所以更新和同步化的 DNLookup 很重要。 例如,可能會設定您的資料,以便:

  • 使用者物件包含群組屬性。 群組屬性:
  • 為多值的
  • 列出使用者所屬的所有群組
  • 群組物件包含使用者屬性。 使用者屬性:
  • 為多值的
  • 列出屬於群組的所有使用者

這表示您在使用者物件上具有顯示使用者所屬之所有群組的屬性,而在「群組」物件上,您具有包含該群組之所有成員的 DN 屬性。

當使用者申請更新時,使用者應用程式必須承認關係,並確保同步化目標和來源屬性。 在 DNLookup 中,您將指定必須同步化的兩個屬性。 您可以使用此技術,提供任何相關物件 (不僅是群組結構物件) 之間的同步化。 您可以指定「DNLookup 關聯式完整性」內容參考中描述的進階 DNLookup 內容,來建立此類的 DNLookup 控制項類別。

DNLookup 內容參考

「DNLookup 顯示」內容為:

欄位

定義

查詢實體

要搜尋的實體名稱,例如,「任務群組」實體包含「任務管理員」的屬性。 若要填入該欄位,您需要瞭解哪些使用者為「任務管理員」。

詳細資料實體

實體鍵,當使用者藉由按一下使用者應用程式中的超文字連結而申請更多資訊時,您想要顯示其詳細資料。 當您定義 DNLookup 時,身份入口網站應用程式可以提供超文字連結,讓使用者顯示已連結物件的詳細資料。

要顯示的屬性

選擇搜尋完成時要顯示的一或多個屬性。

執行自動查詢

定義「要顯示的屬性」(上述) 的顯示方式。

  • 選取:執行實體的自動查詢並在可選取清單中呈現結果。 如果傳回的資料數量很大,則您可能不想選擇此選項,因為此選項會強制使用者在大型結果集中捲動。
  • 不選:可讓使用者指定實體查詢的搜尋準則,然後在可選取清單中呈現結果。

「DNLookup 關聯式完整性」內容:這些內容用於同步化兩個物件 (例如,群組和群組成員) 之間的資料。

內容

定義

要更新的來源屬性

要更新的屬性名稱。 屬性必須包含「要更新的目標屬性」的 DN 參考。這對同步化兩個不同物件上的屬性來說是必要的。

要更新的目標屬性

必須與「要更新的來源屬性」一起更新之屬性的名稱。此名稱是 LDAP 屬性名稱。這對同步化兩個不同物件上的屬性來說是必要的。 屬性必須包含 DN 參考。

目標輔助類別 (如果有的話)

包含「要更新的目標屬性」的輔助類別名稱。