2.3 規劃 Identity Manager 實作的技術方面

2.3.1 使用 Designer

Identity Manager 3.0 具有名為 Designer 的新工具。 Designer 可讓您設計、測試並記錄 Identity Manager 驅動程式。 Designer 可讓您查看密碼同步以及資料流程。 如需相關資訊,請參閱《Designer for Identity Manager 3:管理指南》 。

2.3.2 複製 Identity Manager 在伺服器上需要的物件

如果 Identity Manager 環境呼叫多個伺服器,以執行多個 Identity Manager 驅動程式,則作為規劃的一部份,您需要確認已將特定 eDirectory 物件複製到要執行這些 Identity Manager 驅動程式的伺服器上。

只要過濾後的複製本中包含驅動程式需要讀取或同步化的所有物件和屬性,便可以使用過濾後的複製本。

請記住您必須針對「Identity Manager 驅動程式」物件提供其所要同步化之任何物件的足夠 eDirectory 權限,可以藉由明確授予權限,或者讓「驅動程式」物件安全性等值於具有所需權限的物件來提供。

執行 Identity Manager 驅動程式的 (或者如果使用「遠端載入器」,該驅動程式參考的) eDirectory 伺服器必須保留下列物件的主複製本或讀/寫複製本:

  • 該伺服器的「驅動程式集」物件。

    每個執行 Identity Manager 的伺服器都應該具有一個「驅動程式集」物件。 除非您有特定需要,否則請將多個伺服器與同一「驅動程式集」物件相關聯。

    附註:建立「驅動程式集」物件時,預設設定是建立個別的分割區。 Novell 建議在「驅動程式集」物件上建立個別的分割區。 若要讓 Identity Manager 運行,伺服器必須保留完整的「驅動程式集」複製本。 如果伺服器具有「驅動程式集」文件安裝位置的完整複製本,則不需要分割區。

  • 該伺服器的「伺服器」物件。

    「伺服器」物件是必要的,因為它可讓驅動程式產生物件的金鑰配對。 它對於遠端載入器驗證也很重要。

  • 您想要與此驅動程式例項同步化的物件。

    除非物件的複製本與驅動程式位於相同的伺服器上,否則驅動程式無法同步化那些物件。 實際上,除非您建立規則指定其他方式 (「範圍過濾」的規則),Identity Manager 驅動程式會同步化伺服器上複製之所有 容器中的物件。

    如果您想要驅動程式同步化所有使用者物件,一個最簡單的方法是在保留所有使用者之主複製本或讀/寫複製本的伺服器上使用驅動程式的一個例項。

    不過,許多環境不具有包含所有使用者複製本的單一伺服器。 而是全部使用者會分散在多個伺服器上。 在這種情況下,您有兩種選擇:

    • 將使用者聚集至單一伺服器上。 您可以將複製本新增至現有伺服器上,來建立保留所有使用者的單一伺服器。 如果需要,可以使用過濾後的複製本來減少 eDirectory 資料庫的大小,只要過濾後複製本中包含必要的使用者物件和屬性。

    • 使用範圍過濾,在多個伺服器上使用多個驅動程式例項。 如果您 想將使用者聚集至單一伺服器,則需要判定保留所有使用者的伺服器組,並在其中每個伺服器上設定一個 Identity Manager 驅動程式例項。

      若要防止驅動程式的個別例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。 範圍過濾表示將規則新增至每個驅動程式,以將驅動程式的管理範圍限制為特定的容器。 請參閱使用範圍過濾管理不同伺服器上的使用者

    • 在多個伺服器上使用多個驅動程式例項,不使用範圍過濾。 如果您想讓驅動程式的多個例項在不同的伺服器上執行,但不使用過濾後的複製本,則需要在不同驅動程式例項上定義規則,讓驅動程式可以在同一 Identity Vault 中處理不同的物件組。

  • 您想要驅動程式在建立使用者時使用的「範本」物件 (如果您選擇使用範本)。

    Identity Manager 驅動程式不需要您指定 eDirectory「範本」物件來建立使用者。 但是如果您指定驅動程式在 eDirectory 中建立使用者時應該使用範本,則必須在執行驅動程式的伺服器上複製「範本」物件。

  • 您想要 Identity Manager 驅動程式用於管理使用者的任何容器。

    例如,如果您已建立名為「未啟用使用者」的容器,來保留已停用的使用者帳戶,則必須在執行驅動程式的伺服器上具有該容器的主複製本或讀/寫複製本 (最好是主要複製本)。

  • 驅動程式需要參考的任何其他物件 (例如,Avaya PBX 驅動程式的工作順序物件)。

    如果驅動程式只是讀取,而不變更其他物件,則那些物件在伺服器上的複製本可以是唯讀複製本。

2.3.3 使用範圍過濾管理不同伺服器上的使用者

範圍過濾表示將規則新增至每個驅動程式,以將驅動程式的動作範圍限制為特定的容器。 下面是您需要使用範圍過濾的兩種情況:

  • 您想要驅動程式僅同步化特定容器中的使用者。

    Identity Manager 驅動程式預設會同步化其所執行之伺服器上複製之所有容器中的物件。 若要縮小該範圍,則您必須建立範圍過濾規則。

  • 您想要 Identity Manager 驅動程式同步化所有使用者,但不想將所有使用者複製到相同的伺服器上。

    若要同步化所有使用者,但不將他們複製到單一伺服器上,您需要判定保留所有使用者的伺服器組,然後在其中每個伺服器上建立 Identity Manager 驅動程式例項。 若要防止驅動程式的兩個例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。

    附註:即使您的伺服器複製本目前沒有重疊,您也應該使用範圍過濾。 以後,可以將複製本新增至伺服器,並可以無意地建立重疊。 如果您將範圍過濾放置在適當位置,則 Identity Manager 驅動程式不會嘗試同步化相同的使用者,即使以後會將複製本新增至伺服器。

這是如何使用範圍過濾的範例。

下列圖例顯示具有三個保留使用者之容器的 Identity Vault: 行銷部門、財務部門和開發部門。 它還顯示保留驅動程式集的 Identity Manager 容器。 其中每個容器中都是一個個別分割區。

圖 2-5 範圍過濾的範例網路樹

在此範例中,Identity Manager 管理員在下一個圖例中顯示了兩個 Identity Vault 伺服器,「伺服器 A」和「伺服器 B」。 這兩個伺服器都不包含所有使用者的副本。 每個伺服器包含三個分割區中的兩個,因此伺服器所保留內容的範圍重疊。

管理員想要網路樹中所有使用者由 GroupWise® 驅動程式同步化,但不想將使用者複製本聚集至單一伺服器上。 他選擇使用兩個 GroupWise 驅動程式例項,每個伺服器上一個。 他會安裝 Identity Manager,並在每個 Identity Manager 伺服器上設定 GroupWise 驅動程式。

「伺服器 A」會保留「行銷部門」和「財務部門」容器的複製本。 該伺服器上還有 Identity Management 容器的複製本,該容器會保留「伺服器 A」的「驅動程式集」和「伺服器 A」的「GroupWise 驅動程式」物件。

「伺服器 B」會保留「開發部門」和「財務部門」容器的複製本,Identity Management 容器保留「伺服器 B」的「驅動程式集」和「伺服器 B」的「GroupWise 驅動程式」物件。

因為「伺服器 A」和「伺服器 B」都會保留「財務部門」容器的複製本,所以這兩個伺服器都會保留「財務部門」容器中的使用者 JBassad。 不使用範圍過濾的情況下,「GroupWise 驅動程式 A」與「GroupWise 驅動程式 B」都會同步化 JBassad。

圖 2-6 具有重疊複製本,沒有範圍過濾的兩個伺服器

下一個圖例顯示範圍過濾會防止驅動程式的兩個例項管理相同的使用者,因為它會定義同步化每個容器的驅動程式。

圖 2-7 範圍過濾定義同步化每個容器的驅動程式

Identity Manager 3.0 具有預先定義的規則。 有兩個規則可協助進行範圍過濾。 《規則產生器和驅動程式自訂指南》內記錄的「事件轉換:範圍過濾:包括子網路樹」和「事件轉換:範圍過濾:排除子網路樹」。

在此範例中,您會針對「伺服器 A」和「伺服器 B」使用「包括子網路樹」預先定義規則。您會分別定義每個驅動程式的範圍,以便它們僅同步化特定容器中的使用者。 「伺服器 A」會同步化「行銷部門」和「財務部門」。 「伺服器 B」會同步化「開發部門」。