6.2 建立授權: 綜覽

您必須事先瞭解要用授權來完成的作業。 授權從您透過規則建立到 Identity Manager 驅動程式的功能進行運作。 這些驅動程式規則 (Policy) 會實作規則 (Rule),並處理 Identity Vault 與已連接系統之間的事件。 如果 Identity Manager 驅動程式中的規則未指定您要執行的作業,則授權無法運作。 例如,如果未指定「指令」規則 (Policy) 中「檢查群組成員資格的使用者修改」規則 (Rule) 的動作區段,則會忽略群組成員資格授權的授予或撤銷。

您需要確切瞭解要使用 Identity Manager 完成的動作,然後才可以正確設計任何已連接系統資源的授予和撤銷功能。 下列四個步驟的程序,可協助您規劃對授權的建立和使用:

  1. 瞭解您的業務要完成的作業。 幾乎所有事項都可以透過 Identity Manager 來設計並實作,但是需要瞭解在實作未定義的某個事項之前要進行的動作。 為您要進行之動作建立有編號的清單。
  2. 定義代表編號清單中某個點的授權。 您可以建立無值授權和具值授權。 具值授權可以從外部查詢取得值,可以由管理員來定義,也可以是自由格式。 在節 6.4.6, 協助您建立自己授權的範例授權中有相關範例。
  3. 將規則新增至「Identity Manager 驅動程式」,以實作設計的授權。 若要建立 Identity Manager 驅動程式的規則,您需要非常熟悉 XSLT 或 DirXML 程序檔,熟悉已連接系統處理和接收資訊的方式,以及 Novell® eDirectory™ 儲存資訊的方式。 除非您是一名優秀的 DirXML* 程式設計人員,否則這應該是顧問的工作。
  4. 設定管理代辦以授予或撤銷授權。 如果您想要自動處理,請使用「角色授權」;如果想要手動處理,請使用工作流程供應。

6.2.1 支援授權且具預先設定組態的 Identity Manager 驅動程式

Identity Manager 隨附若干驅動程式,其具有已包含授權、實作授權之規則,以及為監聽授權活動而啟用之驅動程式的預先設定組態。 您必須在啟始安裝驅動程式時啟用授權,以使預先設定組態元素成為驅動程式的一部份。 下列驅動程式具有支援授權的預先設定組態:

  • Active Directory*
  • Exchange
  • GroupWise®
  • LDAP
  • NIS
  • Lotus* Notes*
  • NT Domain
  • RACF

這些預先設定組態的驅動程式會完成上述之四個步驟中的前三個。 驅動程式包含的範例授權類型可用於大多數常見案例: 授予和撤銷使用者帳戶、群組和電子郵件配送清單。 包含:

  • Active Directory: 授予和撤銷帳戶、群組成員資格、Exchange 信箱
  • Exchange 5.5: 授予和撤銷信箱與群組成員資格
  • GroupWise: 授予和撤銷帳戶,授予和撤銷配送清單的成員
  • LDAP: 授予和撤銷使用者帳戶
  • Linux* 和 UNIX*: 授予和撤銷帳戶
  • Lotus Notes: 授予和撤銷使用者帳戶與群組成員資格
  • NT Domain: 授予和撤銷使用者帳戶與群組成員資格
  • RACF: 授予和撤銷群組帳戶與群組成員資格

這些是您可以直接使用的範例授權和規則 (如果符合需求);您還可以變更它們以符合需求,或者將它們當作範例使用,並透過 iManager 或 Designer 建立自己的範例。 同樣的,如果您要使用預先設定組態之驅動程式的授權,就必須在 Designer 或 iManager 中啟始建立預先設定組態的驅動程式時啟用授權;不重新建立驅動程式,稍後就無法新增預先設定組態的授權。

如果您已搭配使用授權與 Identity Manager 2.x,並且想搭配使用那些授權與 Identity Manager 3,請執行「Identity Manager 公用程式」下的「升級授權」選項。

6.2.2 在其他 Identity Manager 驅動程式上啟用授權

您仍然可以在不包含授權預先設定組態的 Identity Manager 驅動程式上使用授權。 若要啟用驅動程式以支援授權,請將 DirXML-EntitlementRef 屬性新增至驅動程式過濾器。 若要這樣做,請執行下列動作:

  1. 選取「Identity Manager」>「Identity Manager 概觀」。
  2. 瀏覽至驅動程式所在的驅動程式集,然後按一下「搜尋」。
  3. 在「Identity Manager 概觀」畫面中,從呈現的「驅動程式集」中選取「驅動程式」物件。
    從驅動程式集選取驅動程式
  4. 從「驅動程式集」連按兩下驅動程式,以帶出驅動程式畫面。 按一下 Identity Vault 右側的「驅動程式過濾器」圖示 (紅圈者)。
    選取「訂閱者」通道驅動程式過濾器
  5. 在「過濾器」頁面上,選取「新增屬性」,然後捲動至底部,選取「顯示所有屬性」。選取「DirXML-EntitlementRef」屬性,然後按一下「確定」。
    選取 DirXML-EntitlementRef 屬性
  6. 選取「過濾器」頁面中的「DirXML-EntitlementRef」。 在「訂閱者」標題下,選取「通知」。按一下「確定」。
    在「訂閱者」標題下選取「通知」
  7. 當您透過驅動程式上的 Designer 建立授權時,此程序會自動執行。