2.3 規劃 Identity Manager 實作的技術方面

2.3.1 使用 Designer

Identity Manager 包含稱為 Designer 的工具。Designer 可讓您設計、測試並記錄 Identity Manager 驅動程式。Designer 可讓您查看密碼同步以及資料流程。如需相關資訊,請參閱《Designer 2.1 for Identity Manager 3.5.1 管理指南》。

2.3.2 複製 Identity Manager 在伺服器上需要的物件

如果 Identity Manager 環境呼叫多個伺服器,以執行多個 Identity Manager 驅動程式,則做為規劃的一部分,您務必將特定 eDirectory 物件複製到要執行這些 Identity Manager 驅動程式的伺服器上。

只要過濾後的複製本中包含驅動程式需要讀取或同步化的所有物件和屬性,便可以使用過濾後的複製本。

請記住您必須針對「Identity Manager 驅動程式」物件提供其所要同步化之任何物件的足夠 eDirectory 權限,可以藉由明確授予權限,或者讓「驅動程式」物件安全性等值於具有所需權限的物件來提供。

執行 Identity Manager 驅動程式的 (或者如果使用「遠端載入器」,該驅動程式參考的) eDirectory 伺服器必須保留下列物件的主複製本或讀/寫複製本:

  • 該伺服器的「驅動程式集」物件。

    每個執行 Identity Manager 的伺服器都應該具有一個「驅動程式集」物件。除非您有特定需要,否則請勿將多個伺服器與相同的「驅動程式集」物件相關聯。

    附註:建立「驅動程式集」物件時,預設設定是建立個別的分割區。Novell 建議在「驅動程式集」物件上建立個別的分割區。若要讓 Identity Manager 運行,伺服器必須保留「驅動程式集」物件的完整複製本。如果伺服器具有「驅動程式集」物件安裝位置的完整複製本,則不需要分割區。

  • 該伺服器的「伺服器」物件。

    「伺服器」物件是必要的,因為它可讓驅動程式產生物件的金鑰配對。它對於遠端載入器認證資訊也很重要。

  • 您想要與此驅動程式例項同步化的物件。

    除非物件的複製本與驅動程式在同一個伺服器上,否則驅動程式無法同步化那些物件。實際上,除非您建立規則指定其他方式 (「範圍過濾」的規則),否則 Identity Manager 驅動程式會同步化伺服器上複製之所有容器中的物件。

    如果您想要驅動程式同步化所有使用者物件,一個最簡單的方法是在保留所有使用者之主複製本或讀/寫複製本的伺服器上,使用驅動程式的例項。

    不過,許多環境並沒有包含所有使用者複製本的單一伺服器,而是全部使用者會分散在多個伺服器上。在這種情況下,您有兩種選擇:

    • 將使用者聚集至單一伺服器上。 您可以將複製本新增至現有的伺服器上,來建立保留所有使用者的單一伺服器。如果需要,可以使用過濾後的複製本來減少 eDirectory 資料庫的大小,只要過濾後複製本中包含必要的使用者物件和屬性。

    • 使用範圍過濾,在多個伺服器上使用多個驅動程式例項。 如果您不想將使用者聚集至單一伺服器,則需要判定保留所有使用者的伺服器組,並在其中每個伺服器上設定一個 Identity Manager 驅動程式例項。

      若要防止驅動程式的各個例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。 範圍過濾是指,將規則新增至每個驅動程式,以將驅動程式的管理範圍限制在特定的容器。請參閱使用範圍過濾來管理不同伺服器上的使用者

    • 在多個伺服器上使用多個驅動程式例項,不使用範圍過濾。 如果您想讓驅動程式的多個例項在不同的伺服器上執行,但不使用過濾後的複製本,則需要在不同驅動程式例項上定義規則,讓驅動程式可以在同一 Identity Vault 中處理不同的物件組。

  • 您想要驅動程式在建立使用者時使用的「範本」物件 (如果您選擇使用範本)。

    Identity Manager 驅動程式不需要您指定 eDirectory「範本」物件來建立使用者。但是,如果您指定驅動程式在 eDirectory 中建立使用者時應該使用範本,則必須在執行驅動程式的伺服器上複製「範本」物件。

  • 您想要 Identity Manager 驅動程式用於管理使用者的任何容器。

    例如,如果您已建立名為「未啟用使用者」的容器來保留已停用的使用者帳戶,則必須在執行驅程式的伺服器上擁有該容器的主複製本或讀/寫複製本 (最好是主要複製本)。

  • 驅動程式需要參考的任何其他物件 (例如,Avaya*PBX 驅動程式的工作順序物件)。

    如果驅動程式只是讀取,而不變更其他物件,則那些物件在伺服器上的複製本可以是唯讀複製本。

2.3.3 使用範圍過濾來管理不同伺服器上的使用者

範圍過濾是指,將規則新增至每個驅動程式規則,以將驅動程式的動作範圍限制在特定的容器。下面是您需要使用範圍過濾的兩種情況:

  • 您想要驅動程式僅同步化特定容器中的使用者。

    Identity Manager 驅動程式預設會對所執行之伺服器上複製之所有容器中的物件,進行同步化。若要縮小該範圍,則您必須建立範圍過濾規則。

  • 您想要 Identity Manager 驅動程式同步化所有使用者,但不想將所有使用者複製到相同的伺服器上。

    若要同步化所有使用者,但不將他們複製到單一伺服器上,您需要判斷何者為保留所有使用者的伺服器組,然後在其中每個伺服器上建立 Identity Manager 驅動程式例項。若要防止驅動程式的兩個例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。

    附註:即使您的伺服器複製本目前沒有重疊,您也應該使用範圍過濾。以後,可以將複製本新增至伺服器,並可以無意地建立重疊。如果您將範圍過濾放置在適當位置,則 Identity Manager 驅動程式不會嘗試同步化相同的使用者,即使以後會將複製本新增至伺服器。

以下範例說明如何使用範圍過濾:

以下圖例顯示的 Identity Vault 具有三個存有使用者的容器:行銷部門、財務部門和開發部門。此外還顯示存有驅程式集的 Identity Manager 容器。其中每個容器中都是一個個別分割區。

圖 2-5 範圍過濾的網路樹範例

在此範例中,Identity Manager 管理員擁有兩個 Identity Vault 伺服器,「伺服器 A」和「伺服器 B」,如圖 2-6顯示。這兩個伺服器都不包含所有使用者的副本。每個伺服器包含三個分割區中的兩個,因此伺服器所保留內容的範圍重疊。

管理員想要網路樹中所有使用者由 groupwise® 驅動程式同步化,但不想將使用者複製本聚集至單一伺服器上。他選擇使用兩個 GroupWise 驅動程式例項,每個伺服器上各一個。他會安裝 Identity Manager,並在每個 Identity Manager 伺服器上設定 GroupWise 驅動程式。

「伺服器 A」會保存「行銷部門」和「財務部門」容器的複製本。該伺服器上還有 Identity Management 容器的複製本,該容器會保留「伺服器 A」的「驅動程式集」和「伺服器 A」的「GroupWise 驅動程式」物件。

「伺服器 B」會保留「開發部門」和「財務部門」容器的複製本,Identity Management 容器保留「伺服器 B」的「驅動程式集」和「伺服器 B」的「GroupWise 驅動程式」物件。

因為「伺服器 A」和「伺服器 B」都會保存「財務部門」容器的複製本,所以這兩個伺服器都會保存「財務部門」容器中的使用者 JBassad。不使用範圍過濾的情況下,「GroupWise 驅動程式 A」與「GroupWise 驅動程式 B」都會同步化 JBassad。

圖 2-6 具有重疊複製本,沒有範圍過濾的兩個伺服器

下一個圖例顯示範圍過濾會防止驅動程式的兩個例項管理相同的使用者,因為它會定義同步化每個容器的驅動程式。

圖 2-7 範圍過濾定義同步化每個容器的驅動程式

Identity Manager 3.5.1 具有預先定義的規則。有兩個規則可協助進行範圍過濾。「事件轉換 - 範圍過濾 - 包括子網路樹」和「事件轉換 - 範圍過濾 - 排除子網路樹」,「瞭解 Identity Manager 的規則 3.5.1」中有相關說明。

在此範例中,您會針對「伺服器 A」和「伺服器 B」使用「包括子網路樹」預先定義規則。您會分別定義每個驅動程式的範圍,以便它們僅同步化特定容器中的使用者。「伺服器 A」會同步化「行銷部門」和「財務部門」。「伺服器 B」會同步化「開發部門」。