6.2 创建权利:概述

必须首先了解要利用权利实现的目标。 权利如何发挥作用取决于 Identity Manager 驱动程序中通过策略构建的功能。 这些驱动程序策略实施规则,并处理 Identity Vault 和已连接系统间的事件。 如果 Identity Manager 驱动程序中的策略未指定要进行的操作,权利将不起作用。 例如,如果不指定命令策略中检查组成员资格的用户修改规则的操作部分,将忽略授予或取消组成员资格权利的尝试。

应明确要利用 Identity Manager 实现的目标,然后才能正确地设计所有已连接系统资源的授予和取消功能。 以下四步过程有助于计划如何创建和使用权利:

  1. 了解在当前业务形势下需达到的目标。 通过 Identity Manager,几乎可以设计和实施所有事项,但在实施尚未定义的事项之前还需了解要达到的目标。 将要达到的目标编制一份编号列表。
  2. 定义一项权利,代表编号列表中的一项。 可以创建无值权利和有值权利。 可从外部查询中获取有值权利的值,它们可以由管理员定义,或以自由格式存在。 请参见部分 6.4.6, 权利示例,协助创建个人权利中的示例。
  3. 将策略添加到 Identity Manager 驱动程序中,以实施所设计的权利。 要创建 Identity Manager 驱动程序的策略,需要熟悉 XSLT 或 DirXML 底稿、已连接系统处理和接收信息的方式、以及 Novell® eDirectory™ 储存信息的方式。 如果您不是一位优秀的 DirXML* 编程人员,请把这项工作交给顾问处理。
  4. 设置一个管理代理以授予或取消权利。 如果希望自动处理,需使用基于职能的权利;如果希望手工处理,请使用基于工作流程的配置信息提供。

6.2.1 预配置支持权利的 Identity Manager 驱动程序

Identity Manager 中包含多个具有预配置的驱动程序,这些预配置中已包含权利和实施权利的策略,Identity Manager 中还有允许监听权力活动的驱动程序。 最初安装驱动程序时必须启用权利,这样预配置要素才能成为驱动程序的一部分。 以下驱动程序具有支持权利的预配置:

  • Active Directory*
  • Exchange
  • GroupWise®
  • LDAP
  • NIS
  • Lotus* Notes*
  • NT 域
  • RACF

这些预配置的驱动程序已完成了以上四步的前三步。 驱动程序中包含的权利示例的类型可用于大多数常用方案: 授予和取消用户帐户、组和电子邮件分发列表。其中包括:

  • Active Directory: 授予和取消帐户、组成员资格和 Exchange 邮箱
  • Exchange 5.5: 授予和取消邮箱和组成员资格
  • GroupWise: 授予和取消帐户,授予和取消分发列表中的成员
  • LDAP: 授予和取消用户帐户
  • Linux* 和 UNIX*: 授予和取消帐户
  • Lotus Notes: 授予和取消用户帐户和组成员资格
  • NT 域: 授予和取消用户帐户和组成员资格
  • RACF: 授予和取消组帐户和组成员资格

如果这些权利和策略示例可以满足您的需要,即可直接使用;也可对其进行修改以满足您的需要,还能以此为例,通过 iManager 或 Designer 自己创建权利和策略。 需要重申的是,若要使用预配置驱动程序中的权利,最初在 Designer 或 iManager 中创建预配置驱动程序时,必须启用权利;以后将无法添加预配置的权利,除非重新创建驱动程序。

如果要在 Identity Manager 3 中使用那些已在 Identity Manager 2.x 中使用的权利,请运行“Identity Manager 实用程序”下的“升级权利”选项。

6.2.2 启用其它 Identity Manager 驱动程序中的权利

也可以使用不包含权利预配置的 Identity Manager 驱动程序中的权利。 要启用驱动程序,使其支持权利,请将 DirXML-EntitlementRef 特性添加到驱动程序过滤器中。要进行设置,请执行以下操作:

  1. 选择“Identity Manager”>“Identity Manager 概述”。
  2. 浏览该驱动程序所在的驱动程序集,并单击“搜索”。
  3. 在“Identity Manager 概述”屏幕中,选择出现的驱动程序集中的驱动程序对象。
    从驱动程序集中选择驱动程序
  4. 双击驱动程序集中的驱动程序,调出此驱动程序的屏幕。 单击 Identity Vault 右侧的“驱动程序过滤器”图标(红线圈住的部分)。
    选择订购者通道驱动程序过滤器
  5. 在“过滤器”页中,选择“添加特性”,然后滚动至底部并选择“显示所有特性”。 选择 DirXML-EntitlementRef 特性,然后单击“确定”。
    选择 DirXML-EntitlementRef 特性
  6. 选择“过滤器”页中的 DirXML-EntitlementRef。 选择“订购”标题下的“通知”。单击“确定”。
    选择“订购”标题下的“通知”
  7. 如果使用 Designer 在驱动程序上创建权利,将自动执行此进程。