2.1 常见安装实例
下列实例说明可能会使用 Identity Manager 的环境。 为每个实例提供了一些准则,以帮助您完成实施。
2.1.1 Identity Manager 的全新安装
图 2-1 全新安装
Identity Manager 是一个数据共享解决方案,它可以利用 Identity Vault 在应用程序、数据库和目录之间自动同步、转换和分发信息。
Identity Manager 解决方案包括下列组件:
带有 Identity Manager 的 Identity Vault
Identity Vault 包含需要与其它已连接系统共享或同步的用户数据或对象数据。 建议将 Identity Manager 安装在其自身的 eDirectory™ 实例中,并将其用作 Identity Vault。
带有 Identity Manager 插件的 iManager Server
可以使用 Novell® iManager 和 Identity Manager 插件来管理 Identity Manager 解决方案。
已连接系统
已连接系统可能包含需要与 Identity Vault 共享其中的数据的其它应用程序、目录和数据库。 要在 Identity Vault 和已连接系统之间建立连接,请安装该已连接系统的相应驱动程序。 有关特定的指导,请参考驱动程序实施指南。
常见的 Identity Manager 任务
-
安装系统组件: 由于 Identity Manager 解决方案可能要分布在多个计算机、服务器或平台上,因此应该在每个系统上运行安装程序,并安装相应的组件。有关更多信息,请参考部分 4.2, Identity Manager 组件和系统要求。
-
设置已连接系统: 有关特定的指导,请参考部分 4.2, Identity Manager 组件和系统要求和驱动程序实施指南。
-
激活您的解决方案: Identity Manager 产品(专业版和服务器版、集成模块和用户应用程序)需要在安装后的 90 天内激活。请参见部分 6.0, 激活 Novell Identity Manager 产品。
-
定义业务策略: 可以使用业务策略自定义信息流向特定环境的 Identity Vault,以及从其中流出。 策略还可以创建新对象、更新特性值、生成纲要转换、定义匹配准则、维护 Identity Manager 关联,以及执行其它许多任务。 《Policy Builder and Driver Customization Guide》(策略构建器和驱动程序自定义指南)包含了策略的详细指南。
-
配置口令管理: 使用口令策略,并针对用户创建其口令的方式设置规则,可以提高安全性。 还可以通过为用户提供用于解决忘记口令问题和重设置口令的自助服务选项,来减少服务台成本。 有关口令管理的详尽信息,请参考管理口令指南中的《使用口令策略管理口令》。
-
配置权利: 使用权利定义,可以向 Identity Vault 中定义的用户组授予对已连接系统的权利。 使用权利策略,可以简化业务策略的管理,减少配置 Identity Manager 驱动程序的需要。 有关更多信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Creating and Using Entitlements》(创建和使用权利)。
-
使用 Novell Audit 记录事件: 安装 Identity Manager 后,可以使用 Novell Audit 进行审计和报告。 Novell Audit 是一个技术集合,可提供监视、日志记录、报告和通知功能。 通过与 Novell Audit 集成,Identity Manager 可以提供驱动程序的当前和历史状态以及引擎活动的有关详细信息。 这些信息由一组预配置报告、标准通知服务和用户定义的日志记录提供。 请参考《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Logging and Reporting Using Novell Audit》(使用 Novell Audit 进行日志记录和报告)。
-
工作流程批准和用户应用程序: Novell Identity Manager 用户应用程序是一个功能强大的万维网应用程序(和支持工具),它可以在复杂的身份服务框架上提供丰富、直观、高度可配置和高度可管理的万维网 UI 体验。 如果结合 Provisioning Module for Identity Manager 和 Novell Audit 使用,Identity Manager 用户应用程序可提供安全、可缩放和易于管理的完整端到端供应解决方案。 请参考用户应用程序文档。
2.1.2 在同一环境中使用 Identity Manager 和 DirXML 1.1a
图 2-2 在 DirXML 1.1a 所在的同一个树中安装 Identity Manager
如果在同一环境中运行 Identity Manager 和 DirXML® 1.1a,请记住下列注意事项。
创建 Identity Vault
- 建议将 Identity Manager 安装在独立的 eDirectory 实例中,并将其用作 Identity Vault。
管理工具
- DirXML 1.1a 支持 ConsoleOne®,但 Identity Manager 不支持。
- 必需两个 iManager 服务器,一个用于 DirXML 1.1a 插件,另一个用于 Identity Manager 插件。 这是因为插件已得到增强,并且 Identity Manager 使用 DirXML 底稿。
- DirXML 1.1a 的 iManager 插件不能读取在大多数 Identity Manager 驱动程序的已定义驱动程序配置中使用的 DirXML 底稿。
向后兼容
- 可以在 Identity Manager 服务器上运行 DirXML 1.1a 驱动程序 Shim 和配置,并且可以在驱动程序集的 Identity Manager 概述中查看 iManager 中的驱动程序。 但是,将驱动程序配置转换为 Identity Manager 格式之前,不能使用 Identity Manager 插件查看或编辑这些驱动程序配置。
在 Identity Manager 插件中,如果单击一个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单的过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。
- 将 DirXML 1.1a 驱动程序与 Identity Manager 引擎一起运行时,这些驱动程序的激活仍然有效。 但是,如果将驱动程序 Shim 升级为 Identity Manager 版本,则需要获取新的激活身份凭证。有关详细信息,请参见部分 6.0, 激活 Novell Identity Manager 产品。
- 在多数情况下,Identity Manager 驱动程序 Shim 可以与 DirXML 1.1a 配置一起运行。 有关升级信息,请参见各个驱动程序实施指南。
一个值得注意的例外是,升级驱动程序 Shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对 AD 和 NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关口令同步的章节。
- 不支持将 Identity Manager 驱动程序 Shim 和驱动程序配置与 DirXML 1.1a 引擎一起运行。
- 不支持将 Identity Manager 驱动程序配置与 DirXML 1.1a 驱动程序 Shim 一起运行。
- 如果在多个服务器上运行同一个 Identity Manager 驱动程序配置,请确保这些服务器运行相同的 Identity Manager 版本,并且运行相同的 eDirectory 版本。
口令管理
- 可以创建为用户提供某些功能(例如要求使用更强口令的高级口令规则、忘记口令自助服务和重设置口令自助服务)的口令策略。 请参见口令管理指南中的以下章节:
- 如果开始使用带有 NetWare 6.5® 初始发行版的通用口令,则只有在完成某些升级步骤后才能使用新的口令策略功能。 请参见口令管理指南中的《(仅限 NetWare 6.5)重新创建通用口令指派》。 如果开始使用带有 NetWare 6.5 SP2 的通用口令,则不需要该过程。
- Identity Manager 口令同步提供双向口令同步,并且除了支持 Password Synchronization 1.0 以外,还支持其它多种平台。
- 如果对 AD 或 NT 使用 Password Synchronization 1.0,请确保在安装新的驱动程序 Shim 之前查看升级指导。请参见部分 2.1.4, 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步。
- 提供了驱动程序策略《覆盖》,以帮助您将双向口令同步功能添加到现有的驱动程序。 请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Upgrading Existing Driver Configurations to Support Password Synchronization》(升级现有的驱动程序配置以支持口令同步)。
2.1.3 从 Starter Pack 升级为 Identity Manager
图 2-3 从 Starter Pack 升级为 Identity Manager
其它 Novell 产品中包含的 Identity Manager Starter Pack 解决方案可提供 NT Domain、Active Directory 和 eDirectory 中保存的信息的已许可同步。 此外,还包含了其它多个系统(包括 PeopleSoft*、GroupWise® 和 Lotus Notes*)的评估驱动程序,用于浏览其它系统的数据同步。
该解决方案还提供用于同步用户口令的功能。 使用 PasswordSync,用户只需要记住一个口令便可以登录其中的任何一个系统。 管理员可以管理所选系统中的口令。 无论何时其中一个环境中的某个口令发生更改,将会更新所有环境中的该口令。
NetWare 6.5 和 Nterprise™ Linux Services 1.0 附带的 Identity Manager Starter Pack 基于 DirXML 1.1a 技术。 从 Starter Pack 升级为 Identity Manager 的最新版本时,请记住下列注意事项:
管理工具
- DirXML 1.1a 支持 ConsoleOne,但 Identity Manager 不支持。
向后兼容
- 可以在 Identity Manager 服务器上运行 DirXML 1.1a 驱动程序 Shim 和配置,并且可以在驱动程序集的 Identity Manager 概述中查看 iManager 中的驱动程序。 但是,将驱动程序配置转换为 Identity Manager 格式之前,不能使用 Identity Manager 插件查看或编辑这些驱动程序配置。
在 Identity Manager 插件中,如果单击一个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单的过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。
- 将 DirXML 1.1a 驱动程序与 Identity Manager 引擎一起运行时,这些驱动程序的激活仍然有效。 但是,如果将驱动程序 Shim 升级到 Identity Manager 版本,则需要新的激活身份凭证。
- 在多数情况下,Identity Manager 驱动程序 Shim 可以与 DirXML 1.1a 配置一起运行。 有关升级信息,请参见各个驱动程序实施指南。
一个值得注意的例外是,升级驱动程序 Shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对 AD 和 NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关口令同步的章节。
- 不支持将 Identity Manager 驱动程序 Shim 和驱动程序配置与 DirXML 1.1a 引擎一起运行。
- 不支持将 Identity Manager 驱动程序配置与 DirXML 1.1a 驱动程序 Shim 一起运行。
- 如果在多个服务器上运行同一个 Identity Manager 驱动程序配置,请确保这些服务器运行相同的 Identity Manager 版本,并且运行相同的 eDirectory 版本。
口令管理
- 升级驱动程序 Shim 后,除非添加某些额外的驱动程序策略,否则 Starter Packs (DirXML 1.1a) 附带的 Password Synchronization 1.0 对 AD 和 NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关口令同步的章节。
- 有关此升级过程的特定指导,请参考部分 2.1.4, 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步。
激活
- 所有 Identity Manager 产品必须在 90 天内激活。 如果购买了其它 Novell 软件,DirXML Starter Pack 会包含 DirXML 1.1a 引擎、NT、AD 和 eDirectory 驱动程序的激活身份凭证。 从 Identity Manager Starter Pack 升级后,需要重新应用这些驱动程序的激活身份凭证。
有关激活的更多信息,请参考部分 6.0, 激活 Novell Identity Manager 产品。
2.1.4 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步
图 2-4 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步
Identity Manager 口令同步提供许多功能,包括双向口令同步、附加平台,以及口令同步失败时的电子邮件通知。
如果使用带有 Active Directory 或 NT Domain 的 Password Synchronization 1.0,请务必在安装新的驱动程序 Shim 之前,查看升级指导。
如果运行带有 Password Synchronization 2.0 的 Identity Manager 2.x,则不需要遵循这些步骤。
有关 Identity Manager 口令同步的一般信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Password Synchronization across Connected Systems》(在已连接系统间同步口令)。 该节包含概念性信息,包括新旧功能的比较、前提条件、每个已连接系统支持的功能的列表、向现有驱动程序添加支持的指导,以及显示新功能使用方式的多个案例。
本节包括:
升级 AD 或 NT 的口令同步
新的口令同步功能是由驱动程序策略执行的,而不是由独立的代理执行的。 这意味着如果在安装新的驱动程序 Shim 的同时不升级驱动程序配置,Password Synchronization 1.0 只能对现有用户继续发挥作用。 在完成驱动程序配置的升级之前,新用户、已移动的用户或重命名的用户不参与口令同步。
使用下列常规步骤进行升级:
- 升级环境使之支持通用口令,包括升级 Novell Client(如果使用的话)。
- 安装 Identity Manager 3.0 驱动程序 Shim,以替换 AD 或 NT 的 DirXML 1.1a 驱动程序 Shim。
- 将新的策略添加到驱动程序配置,立即创建 Password Synchronization 1.0 的向后兼容性。
执行该步骤后,在切换到 Identity Manager 口令同步之前,Password Synchronization 1.0 可持续正常运行。
- 使用驱动程序策略为新的 Identity Manager 口令同步添加支持。
- 安装和配置新的口令同步过滤器。
- 必要时设置 SSL。
- 必要时使用口令策略打开通用口令。
- 设置需要使用的 Identity Manager 口令同步方案。
请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Implementing Password Synchronization》(实现口令同步)。
- 去除 Password Synchronization 1.0
有关详细指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南。
升级 eDirectory 的口令同步
对 eDirectory 进行升级相当简单,并且,假定驱动程序 Shim 和配置具有最新增补程序的话,驱动程序 Shim 将会配合现有的 DirXML 1.1a 驱动程序配置且不发生更改。 有关指导,请参见《Identity Manager Driver for eDirectory: Implementation Guide》(Identity Manager Driver for eDirectory:实施指南)。
升级其它已连接系统驱动程序
除了支持 Password Synchronization 1.0 以外,Identity Manager 口令同步还支持其它许多已连接系统。
有关受支持的其它系统的功能列表,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Connected System Support for Password Synchronization》(口令同步支持的已连接系统)。
提供了驱动程序策略《覆盖》,以帮助您将双向口令同步功能添加到以前不支持的已连接系统的现有驱动程序。 请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Upgrading Existing Driver Configurations to Support Password Synchronization》(升级现有的驱动程序配置以支持口令同步)。
处理敏感信息
通用口令受到 eDirectory 中四个加密层的保护,因此它在该环境中非常安全。 如果选择使用双向口令同步,并且将通用口令与分发口令同步,请记住这是在抽取 eDirectory 口令,并将它发送到另一个已连接系统。 需要对口令的传输进行保护,同时还要保护口令同步到的已连接系统。请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Security: Best Practices》(安全性:最佳做法)。