3.3 eDirectory 指導方針

eDirectory 是儲存透過 Identity Manager 解決方案同步化之物件的 Identity Vault。下列章節包含可協助您規劃 eDirectory 部署的指導方針。

3.3.1 eDirectory 中的 Identity Manager 物件

下列清單指出 eDirectory 中儲存的主要 Identity Manager 物件,以及它們彼此之間的關係。安裝 Identity Manager 期間不會建立任何物件。Identity Manager 物件是在設定 Identity Manager 解決方案期間建立的。

  • 驅動程式集: 驅動程式集是一種容器,可以保存 Identity Manager 驅動程式及文件庫物件。一次只能有一個驅動程式集在伺服器上處於使用中狀態。但可能會有多部伺服器與同一個驅動程式集相關聯。一個驅動程式也可能同時與多部伺服器相關聯。但驅動程式同一時間只應在一部伺服器上執行。在其他伺服器上,該驅動程式應處於停用狀態。與驅動程式集相關聯的任何伺服器上都必須安裝 Metadirectory 伺服器。

  • 文件庫: 「文件庫」物件是可以從多個位置參照之常用規則的儲存機制。文件庫儲存於驅動程式集中。您可以將規則存放於文件庫中,以便驅動程式集中的每一個驅動程式都可以參考它。

  • 驅動程式: 驅動程式可讓應用程式與 Identity Vault 產生連結。它還可以在各系統之間啟用資料同步和共享。驅動程式儲存於驅動程式集中。

  • 工作: 工作可實現週期性任務的自動化。例如,工作可以設定系統,讓它在特定日子停用某個帳戶,或啟始化一個工作流程來申請延伸某人對公司資源的存取期限。工作儲存於驅動程式集中。

3.3.2 在伺服器上複製 Identity Manager 需要的物件

如果 Identity Manager 環境呼叫多個伺服器,以執行多個 Identity Manager 驅動程式,則應在計劃中確保將特定的 eDirectory 物件複製到要執行這些 Identity Manager 驅動程式的伺服器上。

只要過濾後的複製本中包含驅動程式需要讀取或同步化的所有物件和屬性,便可以使用過濾後的複製本。

請記住您必須針對「Identity Manager 驅動程式」物件提供其所要同步化之任何物件的足夠 eDirectory 權限,可以藉由明確授予權限,或者讓「驅動程式」物件安全性等值於具有所需權限的物件來提供。

執行 Identity Manager 驅動程式的 eDirectory 伺服器 (或驅動程式參照的 eDirectory 伺服器,如果您使用的是「遠端載入器」) 必須保存下列的主檔案系統物件或讀/寫複製本:

  • 該伺服器的「驅動程式集」物件。

    每個執行 Identity Manager 的伺服器都應該具有一個「驅動程式集」物件。除非您有特定需要,否則請勿將多個伺服器與相同的「驅動程式集」物件相關聯。

    附註:建立驅動程式集物件時,預設設定是建立個別的分割區。Novell 建議在「驅動程式集」物件上建立個別的分割區。若要讓 Identity Manager 得以運作,伺服器必須保有「驅動程式集」物件的完整複製本。如果伺服器具有「驅動程式集」物件安裝位置的完整複製本,則不需要分割區。

  • 該伺服器的「伺服器」物件。

    「伺服器」物件是必要的,因為它可讓驅動程式產生物件的金鑰配對。它對於遠端載入器認證資訊也很重要。

  • 您想要與此驅動程式例項同步化的物件。

    除非物件的複製本與驅動程式在同一個伺服器上,否則驅動程式無法同步化那些物件。事實上,Identity Manager 驅動程式會同步化在伺服器上所複製之所有容器中的物件,除非您建立範圍過濾規則來另外指定。

    例如,如果您想要驅動程式同步化所有使用者物件,最簡單的方法就是在保存您的所有使用者之主檔案系統物件或讀/寫複製本的伺服器上使用一個驅動程式例項。

    不過,許多環境並沒有包含所有使用者複製本的單一伺服器,而是全部使用者會分散在多個伺服器上。在這種情況下,您有兩種選擇:

    • 將使用者聚集至單一伺服器上。 您可以將複製本新增至現有的伺服器上,來建立保留所有使用者的單一伺服器。如果需要,可以使用過濾後的複製本來減少 eDirectory 資料庫的大小,只要過濾後複製本中包含必要的使用者物件和屬性。

    • 使用範圍過濾,在多個伺服器上使用多個驅動程式例項。 如果您不想將使用者聚集至單一伺服器,則需要判定保留所有使用者的伺服器組,並在其中每個伺服器上設定一個 Identity Manager 驅動程式例項。

      若要防止驅動程式的各個例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。 範圍過濾是指,將規則新增至每個驅動程式,以將驅動程式的管理範圍限制在特定的容器。請參閱使用範圍過濾來管理不同伺服器上的使用者

    • 在多個伺服器上使用多個驅動程式例項,不使用範圍過濾。 如果您想讓驅動程式的多個例項在不同的伺服器上執行,但不使用過濾後的複製本,則需要在不同驅動程式例項上定義規則,讓驅動程式可以在同一 Identity Vault 中處理不同的物件組。

  • 您想要驅動程式在建立使用者時使用的「範本」物件 (如果您選擇使用範本)。

    Identity Manager 驅動程式不需要您指定 eDirectory「範本」物件來建立使用者。但是,如果您指定驅動程式在 eDirectory 中建立使用者時應該使用範本,則必須在執行驅動程式的伺服器上複製「範本」物件。

  • 您想要 Identity Manager 驅動程式用於管理使用者的任何容器。

    例如,如果您已建立名為「未啟用使用者」的容器來保留已停用的使用者帳戶,則必須在執行驅程式的伺服器上擁有該容器的主複製本或讀/寫複製本 (最好是主要複製本)。

  • 驅動程式需要參考的任何其他物件 (例如,Avaya PBX 驅動程式的工作順序物件)。

    如果驅動程式只是讀取,而不變更其他物件,則那些物件在伺服器上的複製本可以是唯讀複製本。

3.3.3 使用範圍過濾來管理不同伺服器上的使用者

範圍過濾是指,將規則新增至每個驅動程式規則,以將驅動程式的動作範圍限制在特定的容器。下面是您需要使用範圍過濾的兩種情況:

  • 您想要驅動程式僅同步化特定容器中的使用者。

    Identity Manager 驅動程式預設會對所執行之伺服器上複製之所有容器中的物件,進行同步化。若要縮小該範圍,則您必須建立範圍過濾規則。

  • 您想要 Identity Manager 驅動程式同步化所有使用者,但不想將所有使用者複製到相同的伺服器上。

    若要同步化所有使用者,但不將他們複製到單一伺服器上,您需要判斷何者為保留所有使用者的伺服器組,然後在其中每個伺服器上建立 Identity Manager 驅動程式例項。若要防止驅動程式的兩個例項嘗試同步化相同的使用者,您需要使用「範圍過濾」,以定義每個驅動程式例項應該同步化的使用者。

    附註:即使您的伺服器複製本目前沒有重疊,您也應該使用範圍過濾。以後,可以將複製本新增至伺服器,並可以無意地建立重疊。如果您將範圍過濾放置在適當位置,則 Identity Manager 驅動程式不會嘗試同步化相同的使用者,即使以後會將複製本新增至伺服器。

以下範例說明如何使用範圍過濾:

以下圖例顯示的 Identity Vault 具有三個存有使用者的容器:行銷部門、財務部門和開發部門。它也會顯示保存驅動程式集的「身分識別管理」容器。其中每個容器中都是一個個別分割區。

圖 3-4 範圍過濾的網路樹範例

在此範例中,Identity Manager 管理員擁有兩個 Identity Vault 伺服器,「伺服器 A」和「伺服器 B」,如圖 3-5 所示。這兩個伺服器都不包含所有使用者的副本。每個伺服器包含三個分割區中的兩個,因此伺服器所保留內容的範圍重疊。

管理員想要網路樹中所有使用者由 GroupWise® 驅動程式同步化,但不想將使用者複製本聚集至單一伺服器上。 他選擇使用兩個 GroupWise 驅動程式例項,每個伺服器上各一個。他會安裝 Identity Manager,並在每個 Identity Manager 伺服器上設定 GroupWise 驅動程式。

「伺服器 A」會保存「行銷部門」和「財務部門」容器的複製本。該伺服器上還有 Identity Management 容器的複製本,該容器會保留「伺服器 A」的「驅動程式集」和「伺服器 A」的「GroupWise 驅動程式」物件。

「伺服器 B」會保留「開發部門」和「財務部門」容器的複製本,Identity Management 容器保留「伺服器 B」的「驅動程式集」和「伺服器 B」的「GroupWise 驅動程式」物件。

因為「伺服器 A」和「伺服器 B」都會保存「財務部門」容器的複製本,所以這兩個伺服器都會保存「財務部門」容器中的使用者 JBassad。不使用範圍過濾的情況下,「GroupWise 驅動程式 A」與「GroupWise 驅動程式 B」都會同步化 JBassad。

圖 3-5 具有重疊複製本,沒有範圍過濾的兩個伺服器

下一個圖例顯示範圍過濾會防止驅動程式的兩個例項管理同一個使用者,因為它會定義同步化各個容器的驅動程式。

圖 3-6 範圍過濾定義同步化各個容器的驅動程式

Identity Manager 中提供了一些預先定義的規則。有兩個規則可協助進行範圍過濾。《Understanding Policies for Identity Manager 4.0.1》(瞭解 Identity Manager 4.0 的規則) 中提供了關於事件轉換 - 範圍過濾 - 包含子網路樹事件轉換 - 範圍過濾 - 排除子網路樹的說明。

在此範例中,您會針對「伺服器 A」和「伺服器 B」使用「包括子網路樹」預先定義規則。您會分別定義每個驅動程式的範圍,以便它們僅同步化特定容器中的使用者。「伺服器 A」會同步化「行銷部門」和「財務部門」。「伺服器 B」會同步化「開發部門」。