Novell Documentation: Identity Manager Drivers

1.4 預設的驅動程式組態

Active Directory 驅動程式隨附於名為 ActiveDirectory.xml 的預設組態檔案中。當隨 Designer 或 iManager 一起輸入時，此組態檔案會建立一個驅動程式，此驅動程式具有一組適合用於與 Active Directory 進行同步化的規則。如果驅動程式預設的規則與您的要求不同，請變更這些規則使您所需要的規則生效。請特別留意預設的「相符」規則。因為您相信會符合使用者的資料常常是與預設不同。規則本身已加了備註，因此您可以透過輸入測試驅動程式並利用 Designer 或 iManager 檢視這些規則，進一步了解它們的功能。

1.4.1 使用者物件名稱映射

通常，Identity Vault 的管理公用程式 (如 iManager 和 ConsoleOne) 對使用者物件的命名與 Microsoft^* Management Console (MMC) 的使用者和電腦嵌入式管理單元不同。請確定您清楚了解這類不同，以便讓您擁有的「相符」規則和任何「轉換」規則都能正常運作。

1.4.2 資料流程

資料可以在 Active Directory 與 Identity Vault 之間流動。資料流程由 Active Directory 驅動程式中現有的規則進行控制。

規則

規則會控制 Active Directory 與 Identity Vault 之間的資料同步化。

在驅動程式組態設定期間，Active Directory 組態檔案可讓您選取會影響所建立之預設規則和過濾器的數個選項。 Table 1-1 會列出這些選項以及它們如何影響所建立的規則和過濾器：

Table 1-1 資料流程選項

選項	描述
	「設定資料流程的組態」會建立啟始驅動程式過濾器，此過濾器可用來控制要進行同步化處理的類別和屬性。此選項的目的在於設定驅動程式的組態，以最適當的方式表示一般資料流程的規則。輸入後就可以對其進行變更以反映特定要求。「雙向」會將類別和屬性設定成可同時在「發行者」和「訂閱者」通道上進行同步化。不論是在 Identity Vault 上還是 Active Directory 上發生的變更，都會在另一方獲得反映。如果您想讓雙方都做為資料的授權來源，請使用此選項。「AD 至 Vault」會將類別和屬性設定成僅可在「發行者」通道上進行同步化。在 Active Directory 上發生的變更會反映在 Identity Vault 上，但反之發生在 Identity Vault 上的變更則會被忽略。如果您想讓 Active Directory 做為資料的授權來源，請使用此選項。「Vault 至 AD」會將類別和屬性設定成僅可在「訂閱者」通道上進行同步化。在 Identity Vault 上發生的變更會反映在 Active Directory 上，但反之發生在 Active Directory 上的變更則會被忽略。如果您想讓 Identity Vault 做為資料的授權來源，請使用此選項。
	「發行者佈置」用於控制在 Identity Vault 中建立物件的位置。「鏡像複製」會根據物件在 Active Directory 中的階層將其放置在 Identity Vault 中的同一階層。「平面」會將所有物件都放置在組態設定期間所指定之 Identity Vault 的基本容器中。
	「訂閱者佈置」用於控制物件在 Active Directory 中的放置方式。「鏡像複製」會根據物件在 Identity Vault 中的階層將其放置在 Active Directory 中的同一階層。「平面」會將所有物件都放置在組態設定期間所指定之 Active Directory 的基本容器中。

選項

描述

「設定資料流程的組態」會建立啟始驅動程式過濾器，此過濾器可用來控制要進行同步化處理的類別和屬性。此選項的目的在於設定驅動程式的組態，以最適當的方式表示一般資料流程的規則。輸入後就可以對其進行變更以反映特定要求。

「雙向」會將類別和屬性設定成可同時在「發行者」和「訂閱者」通道上進行同步化。不論是在 Identity Vault 上還是 Active Directory 上發生的變更，都會在另一方獲得反映。如果您想讓雙方都做為資料的授權來源，請使用此選項。

「AD 至 Vault」會將類別和屬性設定成僅可在「發行者」通道上進行同步化。在 Active Directory 上發生的變更會反映在 Identity Vault 上，但反之發生在 Identity Vault 上的變更則會被忽略。如果您想讓 Active Directory 做為資料的授權來源，請使用此選項。

「Vault 至 AD」會將類別和屬性設定成僅可在「訂閱者」通道上進行同步化。在 Identity Vault 上發生的變更會反映在 Active Directory 上，但反之發生在 Active Directory 上的變更則會被忽略。如果您想讓 Identity Vault 做為資料的授權來源，請使用此選項。

「發行者佈置」用於控制在 Identity Vault 中建立物件的位置。

「鏡像複製」會根據物件在 Active Directory 中的階層將其放置在 Identity Vault 中的同一階層。

「平面」會將所有物件都放置在組態設定期間所指定之 Identity Vault 的基本容器中。

「訂閱者佈置」用於控制物件在 Active Directory 中的放置方式。

「鏡像複製」會根據物件在 Identity Vault 中的階層將其放置在 Active Directory 中的同一階層。

「平面」會將所有物件都放置在組態設定期間所指定之 Active Directory 的基本容器中。

Table 1-2 會列出預設規則，並說明組態設定期間所選取的選項會如何影響規則：

Table 1-2 預設規則

規則	描述
建立相符佈置	不論是鏡像複製還是平面階層，您都必須定義「全名」，使用此名稱建立的 Active Directory 使用者要與 Identity Vault 中的使用者相同。在鏡像複製階層中，「相符」規則會嘗試比對位於該階層之相同位置的物件。在平面階層中，「相符」規則會嘗試比對與所指定基本容器中之物件「全名」相同的使用者。在鏡像複製階層中，「佈置」規則會將所有物件都放置在與傳送操作的資料儲存區階層形成鏡像的階層中。在平面階層中，「佈置」規則會將所有物件都放置在您所指定的基本容器中。

規則

描述

建立

相符

佈置

不論是鏡像複製還是平面階層，您都必須定義「全名」，使用此名稱建立的 Active Directory 使用者要與 Identity Vault 中的使用者相同。

在鏡像複製階層中，「相符」規則會嘗試比對位於該階層之相同位置的物件。

在平面階層中，「相符」規則會嘗試比對與所指定基本容器中之物件「全名」相同的使用者。

在鏡像複製階層中，「佈置」規則會將所有物件都放置在與傳送操作的資料儲存區階層形成鏡像的階層中。

在平面階層中，「佈置」規則會將所有物件都放置在您所指定的基本容器中。

綱要映射

會將下列 Identity Vault 使用者、群組和「組織單位」屬性映射到 Active Directory 使用者和群組屬性。

表格中所列出的映射都是預設映射。您可以重新映射相同類型的屬性。

Table 1-3 所有類別的映射屬性

eDirectory	Active Directory
CN	cn
Description	description
Facsimile Telephone Number	facsimiletelephoneNumber
Full name	displayName
Given Name	givenName
Initials	initials
Internet EMail Address	mail
L	physicalDeliveryOfficeName
Locality	locality
Login Disabled	dirxml-uACAccountDisabled
Login Expiration Time	accountExpires
Physical Delivery Office Name	l
Postal Code	PostalCode
Postal Office Box	postOfficeBox
S	st
SA	streetAddress
See Also	seeAlso
Surname	sn
Telephone Number	telephoneNumber
Title	title

eDirectory 的 L 屬性會映射到 Active Directory 的 physicalDeliveryOfficeName 屬性，而 eDirectory 的 Physical Delivery Office Name 屬性會映射到 Active Directory 的 L 屬性。由於相似的具名欄位具有相同的值，所以根據此方式映射屬性可讓屬性在 ConsoleOne 和 Microsoft Management Console (MMC) 中都能正常運作。

Table 1-4 使用者的映射屬性

eDirectory	Active Directory
CN	userPrincipalName
DirXML-ADAliasName	sAMAccountName
Login Allowed Time Map	logonHours

Table 1-5 映射的組織單位屬性

eDirectory	Active Directory
Organizational Unit	organizationalUnit
OU	ou

名稱映射規則

預設組態包括兩種名稱映射規則，您可以搭配使用這兩種規則來協助協調 Identity Vault 和 Active Directory 之間不同的命名規則。使用「Active Directory 使用者和電腦」工具 (一種 Microsoft Management Console 的嵌入式管理單元，本文件中縮寫為 MMC) 建立使用者時，您會發現使用者全名會做為它的物件名稱。使用者物件的屬性會定義 Windows 2000 以前的登入名稱 (也稱為 NT 登入名稱或 sAMAccountName) 以及 Windows 2000 登入名稱 (也稱為 userPrincipalName)。使用 iManager 或 ConsoleOne 在 Identity Vault 中建立使用者時，其物件名稱和使用者登入名稱是相同的。

如果您使用 MMC 於 Active Directory 中建立一些使用者，而在 Identity Vault 或其他與 Identity Vault 同步化的已連接系統中建立另一些物件，則在相對的主控台上的這個物件會被視為異常，因此可能無法在相對的系統上建立這個物件。

「全名映射規則」用於管理 Active Directory 中使用 Microsoft Management Console (MMC) 慣例的物件。啟用此規則，Identity Vault 中的「全名」屬性就會與 Active Directory 中的物件名稱同步化。

「NT 登入名稱映射規則」用於管理 Active Directory 中使用 Identity Vault 慣例的物件。啟用此規則，就會使用 Identity Vault 物件名稱對 Active Directory 中的物件名稱以及「NT 登入名稱」進行同步化。 Active Directory 中的物件與 Identity Vault 中的物件同名，「NT 登入名稱」與 Identity Vault 登入名稱相符。

如果同時啟用兩種規則，則 Active Directory 物件名稱就是「Identity Vault 全名」，同時「NT 登入名稱」也符合 Identity Vault 登入名稱。

如果兩種規則皆被停用，則不會建立特殊映射。會同步化物件名稱，而且沒有任何特殊規則可用於建立「NT 登入名稱」。但是因為「NT 登入名稱」是 Active Directory 中的強制屬性，所以您需要在新增操作期間使用某些方法產生一個這樣的名稱。「NT 登入名稱」(sAMAccountName) 會映射到 Identity Vault 中的 DirMXL-ADAliassName。因此，您可以使用該屬性控制 Active Directory 中的「NT 登入名稱」，或在「訂閱者建立」規則中建立自己的規則來產生一個名稱。利用此規則選項，使用 MMC 建立的使用者可使用由 MMC 產生的物件名稱做為 Identity Vault 中的物件名稱。使用此名稱登入 Identity Vault 可能會不方便。

Windows 2000 登入名稱規則

Windows 2000 登入名稱 (也稱為 userPrincipalName 或 UPN) 在 Identity Vault 中沒有直接對應的名稱。 UPN 與電子郵件地址 (user@mycompany.com) 相似，而且實際上可能就是使用者的電子郵件名稱。在使用 UPN 時需要注意的重點就是，必須使用為領域設定的領域名稱 (@ 符號後面的部份)，才能順利使用 UPN。新增 UPN 時，您可以透過使用 MMC 建立使用者，以及檢查領域名稱下拉式方塊，找出可用的領域名稱。

預設組態提供了幾種管理 userPrincipalName 的方法。如果已設定領域，以便使用者的電子郵件地址可用來做為 userPrincipalName，那麼追蹤使用者電子郵件地址的這個方法就是適當的。您可以根據擁有電子郵件授權的那一方，將 userPrincipalName 放在 Identity Vault 或 Active Directory 電子郵件地址的後面。如果使用者電子郵件地址不適當，您可以選擇以使用者登入名稱加上一個既定的領域名稱來建構 userPrincipalName。如果有多個名稱可供使用，則在輸入後要更新規則才能完成選擇。如果沒有適當的選項，您可以停用預設的規則，然後寫入自己的規則。

授權

使用授權可以輕鬆整合 Identity Manager 與「Identity Manager 使用者應用程式」以及 eDirectory 中的「角色服務」。使用「使用者應用程式」時，在完成適當的核准以前，於 Active Directory 中提供帳戶的這類動作會延遲。使用「角色服務」時，會根據使用者物件的屬性而不是由一般群組成員來決定權限指定。這兩種服務都為 Identity Manager 帶來了挑戰，因為從物件屬性並不能清楚看出是否已授予核准或使用者是否符合角色。

授權將 Identity Vault 物件上記錄此資訊的方法加以標準化。從驅動程式角度考慮，授權會授予或撤銷 Active Directory 中的某些權限。您可以使用授權來授予 Active Directory 中的帳戶權限、控制群組成員並提供 Exchange 信箱。驅動程式無法識別「使用者應用程式」或「角色授權」。全憑「使用者應用程式」伺服器或「授權」驅動程式，根據自己的規則授予或撤銷對使用者的授權。

所以，您應該只有在想要搭配使用驅動程式與「使用者應用程式」或「角色授權」時，才啟用驅動程式的授權。