這個表格包含您按一下「」時可用的組態參數。
表 A-2 使用者應用程式組態:所有選項
|
設定類型 |
選項 |
描述 |
|---|---|---|
|
Identity Vault 設定 |
|
必要。指定 LDAP 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
|
指定 LDAP 伺服器的非安全連接埠。例如:389。 |
|
|
|
指定 LDAP 伺服器的安全連接埠。例如:636。 |
|
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
|
必要。指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「」。若要停用「訪客使用者」,請選取「」。 |
|
|
|
指定 LDAP 訪客密碼。 |
|
|
|
選取這個選項來要求,必須以安全插槽進行所有使用管理員帳戶的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
|
|
選取這個選項來要求,必須以安全插槽進行所有使用登入之使用者帳戶來執行的通訊。(此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。 |
|
|
Identity Vault DN |
|
必要。指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
|
必要。「使用者應用程式管理員」的可辨識名稱。例如,您的驅動程式為 UserApplicationDriver,驅動程式集名為 myDriverSet,並且該驅動程式集位於網路位置 o=myCompany,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「」索引標籤來管理入口網站。 如果使用者應用程式管理員參與 iManager、Novell Designer for Identity Manager 或使用者應用程式 (「」標籤) 中公開的工作流程管理任務,則必須給予此管理員適當的託管者權限,使其能夠存取使用者應用程式驅動程式中的物件例項。如需詳細資料,請參閱《使用者應用程式:管理指南》。 若想在部署使用者應用程式之後變更此指定,必須使用「使用者應用程式」中的頁面。 如果您已啟動代管「使用者應用程式」的應用程式伺服器,則無法透過 configupdate 來變更這項設定。 |
|
|
|
佈建管理員可以管理使用者應用程式中提供的佈建工作流程功能。只有 Identity Vault 中存在的使用者才能指定為佈建管理員。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 |
|
|
|
法規遵循管理員是一個系統角色,允許成員執行「」索引標籤上的所有功能。只有 Identity Vault 中存在的使用者才能指定為法規遵循模組管理員。 在 configupdate 期間,只有在您還未指定有效的法規遵循管理員時,對這個值的變更才會生效。如果已存在有效的法規遵循管理員,則不會儲存所做的變更。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 |
|
|
此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 在 configupdate 期間,只有在您還未指定有效的「角色管理員」時,對這個值的變更才會生效。如果有效的「角色管理員」已存在,則不會儲存您所做的變更。 |
|
|
此角色會授予各成員安全性網域內的所有功能。 安全性管理員可以對安全性網域內的所有物件執行所有允許的動作。安全性網域允許安全性管理員為 Roles Based Provisioning Module 內所有網域的所有物件設定存取許可。安全性管理員可以設定團隊,還可以指定網域管理員、委託管理員及其他安全性管理員。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 |
|
|
|
此角色會授予各成員資源網域內的所有功能。資源管理員可以對資源網域內的所有物件執行所有允許的動作。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 |
|
|
|
此角色會授予各成員組態網域內的所有功能。RBPM 組態管理員可以對組態網域內的所有物件執行所有允許的動作。他可以控制對 Roles Based Provisioning Module 內之導覽項目的存取權限。此外,RBPM 組態管理員還可以設定委託與代理服務、佈建用者介面及工作流程引擎。 若要在部署使用者應用程式之後變更此指定,請使用使用者應用程式中的頁面。 |
|
|
|
指向報告管理員。安裝程式預設會將此值設定為與其他安全性欄位中相同的使用者。 |
|
|
|
允許您重設安全性的核取方塊。 |
|
|
|
指向 Identity Reporting 模組使用者介面的 URL。 |
|
|
Identity Vault 使用者身分 |
|
必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 如果您已啟動代管「使用者應用程式」的應用程式伺服器,則無法透過 configupdate 來變更這項設定。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
使用者容器範圍 |
這會定義使用者的搜尋範圍。 |
|
|
|
LDAP 使用者物件類別 (通常為 inetOrgPerson)。 |
|
|
|
代表使用者登入名稱的 LDAP 屬性 (例如 CN)。 |
|
|
|
此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。 |
|
|
|
選用。代表使用者群組成員資格的 LDAP 屬性。請勿在此名稱中使用空格。 |
|
|
Identity Vault 使用者群組 |
|
必要。指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。 如果您已啟動代管「使用者應用程式」的應用程式伺服器,則無法透過 configupdate 來變更這項設定。 |
|
|
這會定義群組的搜尋範圍。 |
|
|
|
LDAP 群組物件類別 (通常為 groupofNames)。 |
|
|
|
代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。 |
|
|
|
如果您想要使用動態群組,請選取此選項。 |
|
|
|
LDAP 動態群組物件類別 (通常為 dynamicGroup)。 |
|
|
Identity Vault 證書 |
|
必要。指定應用程式伺服器用來執行的 JRE 之 keystore (cacerts) 檔案的完整路徑,或者,按一下瀏覽器小按鈕導覽至 cacerts 檔案。 「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 WebSphere 注意事項。 Keystore 路徑欄位需要設定為 RBPM 的安裝目錄,而不是 JBoss 安裝中 JDK cacerts 檔案的位置。預設值會設定為正確的位置。 |
|
|
必要。指定 cacerts 密碼。預設值為「changeit」。 |
|
|
託管金鑰儲存區 |
|
託管金鑰儲存區包含所有託管簽名者的證書。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts。 |
|
|
如果此欄位為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStorePassword 取得密碼。如果值不在那裡,則使用 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
|
|
指出您要使用之數位簽名的類型。如果核取此欄位,即表示託管儲存區路徑的類型為 JKS。 |
|
|
|
指出您要使用之數位簽名的類型。如果核取此欄位,即表示託管儲存區路徑的類型為 PKCS12。 |
|
|
Novell Audit 數位簽名與證書金鑰 |
|
包含稽核服務的數位簽名金鑰與證書。 |
|
|
顯示稽核服務的數位簽名證書。 |
|
|
顯示數位簽名私密金鑰。這個金鑰會根據萬能金鑰進行加密。 |
|
Access Manager 設定 |
|
若選取此選項,「使用者應用程式」就可支援同時登出「使用者應用程式」以及 Novell Access Manager 或 iChain。「使用者應用程式」會在登出時檢查是否有 Novell Access Manager 或 iChain 的 Cookie,如果有,就將使用者重新路由至 ICS 登出頁面。 |
|
|
到 Novell Access Manager 或 iChain 登出頁面的 URL,其中 URL 是 Novell Access Manager 或 iChain 的主機名稱。如果 ICS 登入已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。 |
|
|
電子郵件伺服器組態 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是佈建申請任務和核准通知的連結。 |
|
|
用於取代佈建申請任務和核准通知中所使用之電子郵件樣板中的 $PORT$ 記號。 |
|
|
|
用於取代佈建申請任務和核准通知中所使用之電子郵件樣板中的 $SECURE_PORT$ 記號。 |
|
|
|
指的是非安全通訊協定 HTTP。用於取代佈建申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。 |
|
|
|
指的是安全通訊協定 HTTPS。用於取代佈建申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PROTOCOL$ 記號。 |
|
|
|
指定來自佈建電子郵件中使用者的電子郵件。 |
|
|
|
指定佈建電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
|
密碼管理 |
|
|
|
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果選取「」,則必須提供「」、「」和「」的值。 如果不選取「」,Identity Manager 就會使用預設的內部「密碼管理」功能 ./jsps/pwdmgt/ForgotPassword.jsp (開頭不加 http(s) 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 |
|
|
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部密碼管理 WAR 中指定 ForgotPassword.jsp 檔案。 |
|
|
|
指定「」以便使用者在執行忘記密碼操作後使用。 |
|
|
外部忘記密碼 WAR 將使用此 URL 回撥到使用者應用程式以執行重要的忘記密碼功能。此 URL 的格式為: https://<idmhost>:<sslport>/<idm>/pwdmgt/service |
|
|
其他 |
|
應用程式工作階段逾時。 |
|
|
如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://host:port/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。 |
|
|
|
授權組態檔案的完全合法名稱。 |
|
|
|
如果您希望安裝公用程式在 manager、ismanager 和 srvprvUUID 屬性上建立索引,請選取這個核取方塊。如果沒有建立這些屬性的索引,「使用者應用程式」的效能就可能受損,尤其在叢集環境中更是如此。在安裝「使用者應用程式」之後,您可以使用 iManager 來手動建立這些索引。請參閱節 9.3.1, 在 eDirectory 中建立索引。 為取得最佳效能,您應該完成索引的建立。您必須先將索引置於「線上」模式,之後才讓「使用者應用程式」可供使用。 |
|
|
移除 manager、ismanager 和 srvprvUUID 屬性上的索引。 |
|
|
選取要建立或移除索引的 eDirectory 伺服器。 附註:若要在多個 eDirectory 伺服器上設定索引,您必須執行許多次 configupdate 公用程式。您一次只能指定一個伺服器。 |
|
容器物件 |
|
選取要使用的「容器物件類型」。 |
|
|
從下列的標準容器中進行選取:地區、國家、organizationalUnit 和領域。您也可以在 iManager 中定義自己的容器,然後將其新增至「」之下。 |
|
|
|
列出與「容器物件類型」關聯的「屬性類型」名稱。 |
|
|
|
在 Identity Vault 中指定可做為容器的物件類別的 LDAP 名稱。 |
|
|
|
提供容器物件的屬性名稱。 |