2.2 針對一般安裝案例進行規劃

下列案例是可能使用 Identity Manager 之環境的範例。針對每個案例都提供了一些指示,以協助您進行實作。

2.2.1 Identity Manager 的新安裝

圖 2-1 新安裝

Identity Manager 是一套可讓您的 Identity Vault 自動完成在應用程式、資料庫和目錄之間同步化、轉換和散佈資訊的資料共享解決方案。

Identity Manager 解決方案包括下列元件:

Identity Manager 與 Identity Vault

Identity Vault 包含要與其他已連接系統共享或同步化的使用者或物件資料。建議您將 Identity Manager 安裝在其本身的 eDirectory™ 例項中,並將其做為您的 Identity Vault。

iManager Server 與 Identity Manager 外掛程式

您可以使用 Novell® iManager 和 Identity Manager 外掛程式,管理您的 Identity Manager 解決方案。

已連接系統

已連接系統可能包括要與 Identity Vault 共享或同步化資料的其他應用程式、目錄和資料庫。若要建立從 Identity Vault 到已連接系統的連線,請針對已連接系統安裝適當的驅動程式。如需特定指示,請參閱驅動程式實作指南。

一般 Identity Manager 任務

  • 安裝系統元件: 因為 Identity Manager 解決方案可能會散佈在數個電腦、伺服器或平台之間,所以您應該在每個系統上執行安裝程式並安裝適當的元件。如需相關資訊,請參閱節 1.4, Identity Manager 安裝程式和服務

  • 設定已連接系統: 節 1.4, Identity Manager 安裝程式和服務如需特定指示,請參閱http://www.novell.com/documentation/idm35drivers/index.html驅動程式實作指南。

  • 啟用解決方案: Identity Manager 產品 (專業版、伺服器版本、「整合模組」和使用者應用程式) 需要在安裝後的 90 天內啟用。請參閱節 6.0, 啟用 Novell Identity Manager 產品

  • 定義業務規則: 業務規則可讓您針對特定環境,自訂 Identity Vault 中資訊的流入和流出。規則還會建立新的物件、更新屬性值、進行綱要轉換、定義相符準則、維護 Identity Manager 關聯和執行其他作業。「iManager for Identity Manager 3.5.1 中的規則」中有詳細的規則指南。

  • 設定密碼管理的組態: 使用「密碼規則」時,您可以藉由設定使用者該如何建立其密碼的規則,來增強安全性。您也可以提供自助選項,讓使用者在忘記密碼和重設密碼時能夠使用,進而降低 Help Desk 的成本。如需密碼管理的進一步資訊,請參閱「使用密碼規則管理密碼」。

  • 設定授權的組態: 授權定義可讓您將已連接系統上的權限授予 Identity Vault 中已定義的一組使用者。使用「授權」規則,您可以對業務規則進行有效管理,並減少設定 Identity Manager 驅動程式之組態的必要。如需相關資訊,請參閱《Novell Identity Manager 3.5.1 管理指南》內的「建立並使用授權」。

  • 使用 Novell Audit 記錄事件: 已將 Identity Manager 配備為使用 Novell Audit 進行稽核和報告。Novell Audit 是一組技術,可提供監看、記錄、報告和通知功能。透過與 Novell Audit 整合,Identity Manager 可針對驅動程式和引擎活動的目前狀態和歷程狀態,提供詳細的資訊。此資訊由一組預先設定組態的報告、標準通知服務和使用者定義的記錄所提供。請參閱《Identity Manager 3.5.1 記錄和報告》中的「使用狀態記錄」。

  • 工作流程核准和使用者應用程式: Novell Identity Manager 使用者應用程式是一種強大的 Web 應用程式 (以及支援工具),它的設計能夠在複雜的身分服務架構上提供豐富、直觀、可有效設定組態的 Web UI 體驗。Identity Manager 使用者應用程式與「Identity Manager 提供模組」和 Novell Audit 一起使用時,可提供完整的端對端提供解決方案,該解決方案安全、可調整且易於管理。請參閱《使用者應用程式文件》。

2.2.2 在相同環境中使用 Identity Manager 和 DirXML 1.1a

圖 2-2 在與 DirXML 1.1a 相同的網路樹中安裝 Identity Manager

如果您在相同的環境中執行 Identity Manager 和 DirXML® 1.1a,請注意下列考量:

建立 Identity Vault

建議您將 Identity Manager 安裝在單獨的 eDirectory 例項中,並將其做為 Identity Vault。

管理工具

  • ConsoleOne® 受 DirXML 1.1a 支援,但不受 Identity Manager 支援。

  • 需要兩個 iManager 伺服器,一個用於 DirXML 1.1a 外掛程式,另一個用於 Identity Manager 外掛程式。這是因為已增強外掛程式,且 Identity Manager 使用「DirXML 程序檔」。

  • DirXML 1.1a 的 iManager 外掛程式無法讀取「DirXML 程序檔」,該程序檔用於大部份 Identity Manager 驅動程式的已定義驅動程式組態中。

  • Designer 是一個可讓您設計、測試、更新和記錄 Identity Manager 驅動程式的工具。

反向相容性

  • 您可以在 Identity Manager 伺服器上執行 DirXML 1.1a 驅動程式 Shim 和組態,且可以在驅動程式集的「Identity Manager 概觀」中檢視 iManager 中的驅動程式。但是 Identity Manager 外掛程式不會讓您檢視或編輯驅動程式組態,直到您將它們轉換為 Identity Manager 格式為止。

    在 Identity Manager 外掛程式中,如果您按一下 1.1a 格式的驅動程式,則會提示您完成轉換。這是使用精靈完成的簡單程序,不會變更驅動程式組態的功能。做為程序的一部份,會儲存 DirXML 1.1a 版的備份副本。

  • 當使用 Identity Manager 引擎執行 DirXML 1.1a 驅動程式時,則驅動程式的啟用仍然有效。不過,如果您將驅動程式 Shim 升級到 Identity Manager 版本,則需要取得新的啟用認證。如需詳細資訊,請參閱節 6.0, 啟用 Novell Identity Manager 產品

  • 在大部分情況下,Identity Manager 驅動程式 Shim 可以使用 DirXML 1.1a 的組態執行。如需升級資訊,請參閱個別的驅動程式實作指南

    明顯的例外是「密碼同步化 1.0」,除非您在升級驅動程式 Shim 之後,新增部分其他驅動程式規則,否則它不會針對 Windows AD 和 Windows NT 正確地執行。如需指示,請參閱 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南中有關「密碼同步化」一節。

  • 不支援使用 DirXML 1.1a 引擎執行 Identity Manager 驅動程式 Shim 和驅動程式組態。

  • 不支援使用 DirXML 1.1a 驅動程式 Shim 執行 Identity Manager 驅動程式組態。

  • 如果您在多個伺服器上執行相同的 Identity Manager 驅動程式組態,請確定伺服器執行的是相同版本的 Identity Manager 和相同版本的 eDirectory。

密碼管理

  • 您可以建立會提供功能的「密碼」規則,例如「進階密碼規則」可要求安全性較高的密碼,以及使用者的「忘記密碼自助服務」和「重設密碼自助服務」。請參閱《密碼管理 3.1 指南》中的「管理密碼同步化」。

  • 如果您開始與 NetWare® 6.5 的初始版本搭配使用「通用密碼」,則在使用新密碼規則功能前,必須先執行某些升級步驟。請參閱《密碼管理 3.1 指南》中的「(僅 NetWare 6.5) 部署通用密碼」。如果您開始將「通用密碼」與 NetWare 6.5 SP2 搭配使用,則無需執行該程序。

  • 「Identity Manager 密碼同步化」會提供雙向密碼同步化,且所支援的平台比「密碼同步化 1.0」更多。

  • 如果您已將「密碼同步化 1.0」與 Windows AD 或 Windows NT 搭配使用,請確定在安裝新的驅動程式 Shim 之前先檢視升級指示。請參閱節 2.2.4, 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」

  • 我們提供了驅動程式規則「重疊」來協助您將雙向「密碼同步化」功能新增至現有的驅動程式。請參閱《Novell Identity Manager 3.5.1 管理指南》中的「升級現有驅動程式組態以支援密碼同步化」。

2.2.3 從 Starter Pack 升級至 Identity Manager

圖 2-3 從 Starter Pack 升級至 Identity Manager

其他 Novell 產品中包含的 Identity Manager Starter Pack 解決方案可讓 NT Domain、Active Directory 和 eDirectory 中的資訊進行授權同步化。此外,數個其他系統的試用版驅動程式也隨附於此,這些包括 PeopleSoft、GroupWise® 和 Lotus Notes,可讓您瀏覽其他系統的資料同步化。

此解決方案還提供同步化使用者密碼的功能。使用 PasswordSync,使用者只需記住單一密碼,便可以登入以上任何一個系統。管理員可以在自己偏好的系統中管理密碼。無論何時其中一個環境中的密碼變更,所有環境中的密碼都會更新。

Identity Manager Starter Pack 隨附的 NetWare 6.5 和 Nterprise™ Linux Services 1.0 皆以 DirXML 1.1a 技術為基礎。從 Starter Pack 升級至最新版的 Identity Manager 時,請記住下列考量:

反向相容性

  • 您可以在 Identity Manager 伺服器上執行 DirXML 1.1a 驅動程式 Shim 和組態,且可以在驅動程式集的「Identity Manager 概觀」中檢視 iManager 中的驅動程式。但是 Identity Manager 外掛程式不會讓您檢視或編輯驅動程式組態,直到您將它們轉換為 Identity Manager 格式為止。

    在 Identity Manager 外掛程式中,如果您按一下 1.1a 格式的驅動程式,則會提示您完成轉換。這是使用精靈完成的簡單程序,不會變更驅動程式組態的功能。做為程序的一部份,會儲存 DirXML 1.1a 版的備份副本。

  • 當使用 Identity Manager 引擎執行 DirXML 1.1a 驅動程式時,則驅動程式的啟用仍然有效。不過,如果您將驅動程式 Shim 升級至 Identity Manager 版本,則需要新的啟用。

  • 在大部分情況下,Identity Manager 驅動程式 Shim 可以使用 DirXML 1.1a 的組態執行。如需升級資訊,請參閱個別的驅動程式實作指南

    明顯的例外是「密碼同步化 1.0」,除非您在升級驅動程式 shim 之後,新增部分其他驅動程式規則,否則它不會針對 Windows AD 和 Windows NT 正確地執行。如需指示,請參閱 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南中有關「密碼同步化」一節。

  • 不支援使用 DirXML 1.1a 引擎執行 Identity Manager 驅動程式 Shim 和驅動程式組態。

  • 不支援使用 DirXML 1.1a 驅動程式 Shim 執行 Identity Manager 驅動程式組態。

  • 如果您在多個伺服器上執行相同的 Identity Manager 驅動程式組態,請確定伺服器執行的是相同版本的 Identity Manager 和相同版本的 eDirectory。

密碼管理

啟用

  • 必須在 90 天之內啟用所有的 Identity Manager 產品。購買其他 Novell 軟體時,DirXML Starter Pack 包括 DirXML 1.1a 引擎以及 NT、AD 和 eDirectory 驅動程式的啟用。從 Identity Manager Starter Pack 升級時,您可能需要重新套用這些驅動程式的啟動認證。

    有關 dirxml 的詳細資訊,請參閱 節 6.0, 啟用 Novell Identity Manager 產品

2.2.4 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」

圖 2-4 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」

「Identity Manager 密碼同步化」提供許多功能,包括雙向密碼同步化、其他平台,以及在密碼同步化失敗時進行電子郵件通知。

如果您將「密碼同步化 1.0」用於 Active Directory 或 NT Domain,則在安裝新的驅動程式 Shim 之前,檢視升級指示會很重要。

如果您將 Identity Manager 2.x 與「密碼同步化 2.0」搭配執行,則無需執行這些步驟。

如需「Identity Manager 密碼同步化」的一般資訊,請參閱《Novell Identity Manager 3.5.1 管理指南》內的「已連接系統中的密碼同步化」。該節包含一些概念資訊,包括新舊功能的比較、先決條件、每個已連接系統支援的功能清單、新增支援至現有的驅動程式,以及顯示如何使用新功能的數個案例。

本節內容:

使用 Active Directory 或 Windows NT 的密碼同步化

新的「密碼同步化」功能由驅動程式規則來執行,而不是由個別的代辦執行。這表示如果您安裝新的驅動程式 Shim,但是未同時升級驅動程式,則「密碼同步化 1.0」會繼續只針對現有的使用者執行。新的、已移動或已重新命名的使用者不會參與「密碼同步化」,直至您完成驅動程式組態升級為止。

使用下列一般步驟進行升級:

  1. 升級環境,使其支援「通用密碼」,包括升級 Novell Client™ (如果您正在使用它)。

  2. 安裝 Identity Manager 3.5.1 驅動程式 Shim,以取代 Active Directory 或 Windows NT 的 DirXML 1.1a 驅動程式 Shim。

  3. 隨即建立與「密碼同步化 1.0」的反向相容性,方法是將規則新增至驅動程式組態。

    此步驟可讓「密碼同步化 1.0」繼續正確運行,直到您切換到「Identity Manager 密碼同步化」為止。

  4. 使用驅動程式規則來支援新的「Identity Manager 密碼同步化」。

  5. 安裝新的「密碼同步化」過濾器並設定其組態。

  6. 必要時,設定 SSL。

  7. 必要時,使用密碼規則來啟用「通用密碼」。

  8. 設定要使用的「Identity Manager 密碼同步化」案例。

    請參閱《Novell Identity Manager 3.5.1 管理指南》中的「實作密碼同步化」。

  9. 移除「密碼同步化 1.0」。

如需詳細資訊,請參閱適用 Active Directory 和 NT 網域之 Identity Manager 驅動程式的驅動程式實作指南

升級 eDirectory 的密碼同步化

升級 eDirectory 相當簡單,假設您的驅動程式 Shim 和組態具有最新的修補程式,則驅動程式 Shim 會與現有的 DirXML 1.1a 驅動程式組態搭配運作,不需任何變更。如需指示,請參閱《Identity Manager 3.5.1 Driver for eDirctory:實作指南》。

升級其他已連接系統驅動程式

「Identity Manager 密碼同步化」支援的已連接系統比「密碼同步化 1.0」更多。

如需其他系統支援的功能清單,請參閱《Novell Identity Manager 3.5.1 管理指南》內的「密碼同步化的已連接系統支援」。

已提供驅動程式規則「重疊」,可協助您將雙向「密碼同步化」功能新增至先前不支援之已連接系統的現有驅動程式。請參閱《Novell Identity Manager 3.5.1 管理指南》中的「升級現有驅動程式組態以支援密碼同步化」。

處理機密資訊

「通用密碼」在 eDirectory 內由四層加密保護,因此在該環境中非常安全。如果您選擇使用雙向密碼同步化,且同步化「通用密碼」與「配送密碼」,請記住您會擷取 eDirectory 密碼,並將其傳送至其他已連接系統。您需要確保密碼傳輸以及其同步化所到之已連接系統的安全。

除了密碼之外,您還可以使用 Novell SecretStore® 和 Novell SecureLogin 來對認證進行同步化。這可讓您在需要肯定認證功能的環境中提供 SecureLogin 通關密語的問題與回答。請參閱《Novell Identity Manager 3.5.1 管理指南》內的「安全性:最佳作法」。