2.2 常用安装场景的规划

以下场景是可能会使用 Identity Manager 的环境的示例。为每个实例提供了一些准则,以帮助您完成实施。

2.2.1 Identity Manager 的全新安装

图 2-1 全新安装

Identity Manager 是一个数据共享解决方案,它可以利用身份库 在应用程序、数据库和目录之间自动同步、转换和分发信息。

Identity Manager 解决方案包括下列组件:

带有 Identity Manager 的身份库

身份库 包含要与其他已连接系统共享或同步的用户或对象数据。 建议将 Identity Manager 安装在其自身的 eDirectory™ 实例中,并将其用作身份库。

带有 Identity Manager 插件的 iManager Server

可以使用 Novell iManager 和 Identity Manager 插件来管理 Identity Manager 解决方案。

已连接系统

已连接系统可能包含要与身份库 共享或同步数据的其他应用程序、目录和数据库。 要在身份库 和已连接系统之间建立连接,请安装该已连接系统的相应驱动程序。 有关特定的指导,请参考驱动程序实施指南

常见的 Identity Manager 任务

  • 安装系统组件: 由于 Identity Manager 解决方案可能分布在多个计算机、服务器或平台上,因此应该在每个系统上运行安装程序并安装相应的组件。 有关更多信息,请参考部分 1.4, Identity Manager 安装程序和服务

  • 设置已连接系统: 有关特定的指导,请参考部分 1.4, Identity Manager 安装程序和服务驱动程序实施指南

  • 激活您的解决方案: Identity Manager 产品(专业版、服务器版、集成模块和 User Application)需要在安装后的 90 天内激活。 请参见部分 6.0, 激活 Novell Identity Manager 产品

  • 定义业务策略: 通过业务策略,可以自定义特定环境中流入和流出身份库 的信息流。 也可利用策略创建新对象、更新属性值、执行纲要转换、定义匹配准则、维护 Identity Manager 关联以及执行其他许多操作。 有关策略的详细指南,请参见《 iManager for Identity Manager 3.5.1 中的策略》。

  • 配置口令管理: 使用口令策略,通过设置用户创建口令的规则,可以提高口令安全性。 通过为用户提供用于已忘记口令和重设置口令的自助服务选项,还可以减少帮助中心成本。 有关口令管理的详细信息,请参见“通过使用口令策略管理口令”

  • 配置权利: 通过权利定义,可以将已连接系统的权利授予身份库 中定义的用户组。 使用权利策略,可以简化业务策略管理,减少配置 Identity Manager 驱动程序的需要。 有关更多信息,请参见《Novell Identity Manager 3.5.1 管理指南》中的“创建和使用权利”。

  • 使用 Novell Audit 记录事件: Identity Manager 配备了 Novell Audit,用于进行审计和报告。 Novell Audit 集合了多项技术,提供监视、日志记录、报告和通知功能。 通过与 Novell Audit 相集成,Identity Manager 可以提供有关驱动程序和引擎活动当前状态和历史状态的详细信息。 这些信息由一组预配置的报告、标准通知服务和用户定义的日志记录提供。 请参阅《Identity Manager 3.5.1 日志记录和报告》中的“使用状态日志”。

  • 工作流程批准和 User Application: Novell Identity Manager User Application 是一个功能强大的万维网应用程序(和支持工具),用于在复杂的身份服务框架上提供丰富、直观、高度可配置的万维网 UI 体验。 当 Identity Manager User Application 与 Provisioning Module for Identity Manager 和 Novell Audit 配合使用时,它可以提供一个完整的、端到端的供应解决方案,具有安全、可伸缩和易于管理的特点。 请参见 User Application 文档

2.2.2 在同一环境中使用 Identity Manager 和 DirXML 1.1a

图 2-2 在 DirXML 1.1a 所在的同一个树中安装 Identity Manager

如果在同一环境中同时运行 Identity Manager 和 DirXML® 1.1a,请注意下列注意事项:

创建身份库

建议将 Identity Manager 安装在独立的 eDirectory 实例中,并将其用作身份库。

管理工具

  • DirXML 1.1a 支持 ConsoleOne®,但 Identity Manager 不支持。

  • 需要两个 iManager 服务器,一个用于 DirXML 1.1a 插件,另一个用于 Identity Manager 插件。 这是因为插件已得到增强,并且 Identity Manager 使用 DirXML 底稿。

  • DirXML 1.1a 的 iManager 插件不能读取在大多数 Identity Manager 驱动程序的已定义驱动程序配置中使用的 DirXML 底稿。

  • Designer 是一个使用户能够设计、测试、更新和记录 Identity Manager 驱动程序的工具。

向后兼容性

  • 可以在 Identity Manager 服务器上运行 DirXML 1.1a 驱动程序 shim 和配置,并且可以在驱动程序集的 Identity Manager 概述中查看 iManager 中的驱动程序。 但是,将驱动程序配置转换为 Identity Manager 格式之前,不能使用 Identity Manager 插件查看或编辑这些驱动程序配置。

    在 Identity Manager 插件中,如果单击某个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。

  • 将 DirXML 1.1a 驱动程序与 Identity Manager 引擎一起运行时,这些驱动程序的激活仍然有效。 但是,如果将驱动程序 shim 升级为 Identity Manager 版本,则需要获取新的激活身份凭证。 有关详细信息,请参见部分 6.0, 激活 Novell Identity Manager 产品

  • 在多数情况下,Identity Manager 驱动程序 shim 可以和 DirXML 1.1a 配置一起运行。 有关升级信息,请参见各个驱动程序实施指南

    一个值得注意的例外情况是:在升级驱动程序 shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对于 Windows AD 和 Windows NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关“口令同步”的部分。

  • 不支持将 Identity Manager 驱动程序 Shim 和驱动程序配置与 DirXML 1.1a 引擎一起运行。

  • 不支持将 Identity Manager 驱动程序配置与 DirXML 1.1a 驱动程序 Shim 一起运行。

  • 如果在多个服务器上运行同一个 Identity Manager 驱动程序配置,请确保这些服务器运行相同的 Identity Manager 版本,并且运行相同的 eDirectory 版本。

口令管理

  • 可以创建提供以下功能的口令策略:比如要求使用安全性更高的口令的高级口令规则、为用户提供的忘记口令自助服务和重设置口令自助服务。 请参见 Password Management 3.1 Guide 中的“Managing Password Synchronization”部分。

  • 如果开始使用带有 Netware 6.5® 初始发行版的通用口令,则只有在完成某些升级步骤后才能使用新的口令策略功能。 请参见 Password Management 3.1 Guide中的“(NetWare 6.5 only) Deploying Universal Password”。 如果开始使用带有 NetWare 6.5 SP2 的通用口令,则不需要该过程。

  • Identity Manager 口令同步提供双向口令同步,并且除了支持 Password Synchronization 1.0 以外,还支持其他多种平台。

  • 如果您将 Password Synchronization 1.0 与 Windows AD 或 Windows NT 配合使用,在安装新的驱动程序 shim 之前,请确保查看升级指导。请参见部分 2.2.4, 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步

  • 通过提供驱动程序策略“覆盖”,帮助对现有驱动程序添加双向口令同步功能。 请参见《Novell Identity Manager 3.5.1 管理指南》中的“升级现有的驱动程序配置以支持口令同步”。

2.2.3 从 Starter Pack 升级为 Identity Manager

图 2-3 从 Starter Pack 升级为 Identity Manager

其他 Novell 产品中包含的 Identity Manager Starter Pack 解决方案提供了 Nt 域、Active Directory 和 eDirectory 中所保存信息的许可同步。 此外,还包含了其他几个系统(包括 PeopleSoft、GroupWise® 和 Lotus Notes)的评估驱动程序,用于查看其他系统的数据同步。

该解决方案还提供了同步用户口令的功能。 使用 PasswordSync,用户只需要记住一个口令便可以登录其中任何一个系统。 管理员可以管理所选系统中的口令。 只要更改了其中一个环境中的某个口令,所有环境中的该口令都会更新。

NetWare 6.5 和 Nterprise™ Linux Services 1.0 附带的 Identity Manager Starter Pack 基于 DirXML 1.1a 技术。 从 Starter Pack 升级为 Identity Manager 的最新版本时,请记住下列注意事项:

向后兼容性

  • 可以在 Identity Manager 服务器上运行 DirXML 1.1a 驱动程序 shim 和配置,并且可以在驱动程序集的 Identity Manager 概述中查看 iManager 中的驱动程序。 但是,将驱动程序配置转换为 Identity Manager 格式之前,不能使用 Identity Manager 插件查看或编辑这些驱动程序配置。

    在 Identity Manager 插件中,如果单击某个 1.1a 格式的驱动程序,则系统会提示您完成转换。 这是一个通过向导完成的简单过程,并且该过程不会更改驱动程序配置的功能。 作为该过程的一部分,将会保存 DirXML 1.1a 版本的备份拷贝。

  • 将 DirXML 1.1a 驱动程序与 Identity Manager 引擎一起运行时,这些驱动程序的激活仍然有效。 但是,如果将驱动程序 shim 升级为 Identity Manager 版本,则需要新的激活身份凭证。

  • 在多数情况下,Identity Manager 驱动程序 shim 可以和 DirXML 1.1a 配置一起运行。 有关升级信息,请参见各个驱动程序实施指南

    一个值得注意的例外情况是:在升级驱动程序 shim 后,除非添加某些额外的驱动程序策略,否则 Password Synchronization 1.0 对于 Windows AD 和 Windows NT 不能正常运行。 有关指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南中有关“口令同步”的部分。

  • 不支持将 Identity Manager 驱动程序 Shim 和驱动程序配置与 DirXML 1.1a 引擎一起运行。

  • 不支持将 Identity Manager 驱动程序配置与 DirXML 1.1a 驱动程序 Shim 一起运行。

  • 如果在多个服务器上运行同一个 Identity Manager 驱动程序配置,请确保这些服务器运行相同的 Identity Manager 版本,并且运行相同的 eDirectory 版本。

口令管理

激活

  • 所有 Identity Manager 产品都必须在 90 天内激活。 如果购买了其他 Novell 软件,DirXML Starter Pack 会包含 DirXML 1.1a 引擎、NT、AD 和 eDirectory 驱动程序的激活。 从 Identity Manager Starter Pack 升级后,需要重新应用这些驱动程序的激活身份凭证。

    有关激活的更多信息,请参考部分 6.0, 激活 Novell Identity Manager 产品

2.2.4 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步

图 2-4 从 Password Synchronization 1.0 升级为 Identity Manager 口令同步

Identity Manager 口令同步提供许多功能,包括双向口令同步、附加平台,以及口令同步失败时的电子邮件通知。

如果使用带有 Active Directory 或 NT Domain 的 Password Synchronization 1.0,请务必在安装新的驱动程序 Shim 之前,查看升级指导。

如果运行带有 Password Synchronization 2.0 的 Identity Manager 2.x,则不需要遵循这些步骤。

有关 Identity Manager 口令同步的一般信息,请参见《Novell Identity Manager 3.5.1 管理指南》中的“在已连接系统间同步口令”。该部分包含概念性信息,包括新旧功能的比较、先决条件、每个已连接系统支持的功能的列表、向现有驱动程序添加支持的指导以及显示新功能使用方式的多个场景。

本部分包括:

对 Active Directory 或 Windows NT 升级口令同步

新的口令同步功能是由驱动程序策略执行的,而不是由独立的代理执行的。 这意味着,如果安装新驱动程序 shim 的同时不升级驱动程序配置,则 Password Synchronization 1.0 只对现有用户仍然有效。 在完成驱动程序配置的升级之前,新用户、已移动的用户或重命名的用户不参与口令同步。

使用下列常规步骤进行升级:

  1. 升级环境使之支持通用口令,包括升级 Novell Client™(如果使用的话)。

  2. 安装 Identity Manager 3.5.1 驱动程序 shim,以替换 Active Directory 或 Windows NT 的 DirXML 1.1a 驱动程序 shim。

  3. 将新的策略添加到驱动程序配置,立即创建 Password Synchronization 1.0 的向后兼容性。

    执行该步骤后,在切换到 Identity Manager 口令同步之前,Password Synchronization 1.0 可持续正常运行。

  4. 通过驱动程序策略添加对新 Identity Manager Password Synchronization 的支持。

  5. 安装和配置新的口令同步过滤器。

  6. 必要时设置 SSL。

  7. 必要时通过使用口令策略打开通用口令。

  8. 设置需要使用的 Identity Manager Password Synchronization 场景。

    请参见《Novell Identity Manager 3.5.1 管理指南》中的“实施口令同步”。

  9. 去除 Password Synchronization 1.0

有关详细指导,请参见 Identity Manager Drivers for Active Directory and NT Domain 的驱动程序实施指南

升级 eDirectory 的口令同步

升级 eDirectory 相当简单,并且,如果驱动程序 shim 和配置具有最新增补程序,则驱动程序 shim 将和现有 DirXML 1.1a 驱动程序配置一起运行且不发生更改。 有关指导,请参见《Identity Manager 3.5.1 Driver for eDirectory:实施指南》。

升级其他已连接系统驱动程序

除了支持 Password Synchronization 1.0 以外,Identity Manager 口令同步还支持其他许多已连接系统。

有关受支持的其他系统的功能列表,请参见《Novell Identity Manager 3.5.1 管理指南》中的“口令同步支持的已连接系统”。

通过提供驱动程序策略“覆盖”,帮助对以前不支持的已连接系统的现有驱动程序添加双向口令同步功能。请参见《Novell Identity Manager 3.5.1 管理指南》中的“升级现有的驱动程序配置以支持口令同步”。

处理敏感信息

通用口令受 eDirectory 中四个加密层保护,因此在该环境中是非常安全的。 如果选择使用双向口令同步,并且使通用口令与分发口令同步,请注意这是在提取 eDirectory 口令并将它发送到其他已连接系统。 需要对口令的传输加以保护,同时还要保护同步口令的已连接系统。

在同步口令的同时,还可以使用 Novell SecretStore® 和 Novell SecureLogin 来同步身份凭证。在需要认可的环境中,通过它们可以提供 SecureLogin 通行口令问题和答案。请参见《Novell Identity Manager 3.5.1 管理指南》中的“安全:最佳实践”。