2.1 常見的安裝案例

下列案例是可能使用 Identity Manager 之環境的範例。 針對每個案例都提供了一些指示,以協助您進行實作。

2.1.1 Identity Manager 的新安裝

圖 2-1 新安裝

Identity Manager 是資料共享解決方案,它會強化您的 Identity Vault,以在應用程式、資料庫和目錄之間自動同步化、轉換和散佈資訊。

Identity Manager 解決方案包括下列元件:

Identity Manager 與 Identity Vault

Identity Vault 包含要與其他已連接系統共享或同步化的使用者或物件資料。 建議您將 Identity Manager 安裝在其本身的 eDirectory™ 例項中,並將其做為您的 Identity Vault。

iManager Server 與 Identity Manager 外掛程式

您可以使用 Novell® iManager 和 Identity Manager 外掛程式,管理您的 Identity Manager 解決方案。

已連接系統

已連接系統可能包括要與 Identity Vault 共享或同步化資料的其他應用程式、目錄和資料庫。 若要建立從 Identity Vault 到已連接系統的連線,請針對該已連接系統安裝適當的驅動程式。 如需特定指示,請參閱驅動程式實作指南

一般 Identity Manager 任務

  • 安裝系統元件: 因為 Identity Manager 解決方案可能會散佈在數個電腦、伺服器或平台之間,所以您應該在每個系統上執行安裝程式並安裝適當的元件。 如需相關資訊,請參閱節 4.2, Identity Manager 元件和系統要求

  • 設定已連接系統: 如需特定指示,請參閱節 4.2, Identity Manager 元件和系統要求驅動程式實作指南

  • 啟用解決方案: Identity Manager 產品 (專業版、伺服器版本、「整合模組」和「使用者應用程式」) 需要在安裝後的 90 天內啟用。 請參閱節 6.0, 啟用 Novell Identity Manager 產品

  • 定義業務規則: 業務規則可讓您針對特定環境,自定 Identity Vault 中資訊的流入和流出。 規則還有建立新的物件、更新屬性值、進行綱要轉換、定義相符準則、維護 Identity Manager 關聯,以及許多其他功能。 詳細的規則指南包含在《規則產生器和驅動程式自訂指南》中。

  • 設定密碼管理的組態: 使用「密碼規則」時,您可以藉由設定使用者如何建立其密碼的規則,來增強安全性。 您也可以藉由向使用者提供用於忘記密碼和重設密碼的自助選項,來降低 Help Desk 成本。 如需「密碼管理」的詳細資訊,請參閱《管理密碼》指南中的「使用密碼規則管理密碼」。

  • 設定授權的組態: 授權定義可讓您將已連接系統上的權限授予 Identity Vault 中已定義的一組使用者。 使用「授權」規則,您可以對業務規則進行有效管理,並減少設定 Identity Manager 驅動程式之組態的必要。 如需相關資訊,請參閱《Novell Identity Manager 3.0 管理指南》內的「建立並使用授權」。

  • 使用 Novell Audit 記錄事件: 已將 Identity Manager 配備為使用 Novell Audit 進行稽核和報告。 Novell Audit 是技術集合,可提供監控、記錄、報告和通知功能。 透過與 Novell Audit 整合,Identity Manager 會提供驅動程式和引擎活動之目前和歷程狀態的詳細資訊。 此資訊由一組預先設定組態的報告、標準通知服務和使用者定義的記錄所提供。 請參閱《Novell Identity Manager 3.0 管理指南》內的「使用 Novell Audit 記錄和報告」。

  • 工作流程核准和使用者應用程式: 「Novell Identity Manager 使用者應用程式」是一種強大的 Web 應用程式 (和支援工具),它是設計用來提供複雜身份服務架構上的豐富、直觀、可有效設定組態且可有效管理的 Web UI 體驗。 當與「Identity Manager 提供模組」和 Novell Audit 共同使用時,「Identity Manager 使用者應用程式」會提供完整的端對端提供解決方案,它既安全又可調整,而且易於管理。 請參閱使用者應用程式文件

2.1.2 在相同環境中使用 Identity Manager 和 DirXML 1.1a

圖 2-2 在與 DirXML 1.1a 相同的網路樹中安裝 Identity Manager

如果您在相同的環境中執行 Identity Manager 和 DirXML® 1.1a,請注意下列考量。

建立 Identity Vault

  • 建議您將 Identity Manager 安裝在單獨的 eDirectory 例項中,並將其做為 Identity Vault。

管理工具

  • ConsoleOne® 受 DirXML 1.1a 支援,但不受 Identity Manager 支援。
  • 需要兩個 iManager 伺服器,一個用於 DirXML 1.1a 外掛程式,另一個用於 Identity Manager 外掛程式。 這是因為已增強外掛程式,且 Identity Manager 使用「DirXML 程序檔」。
  • DirXML 1.1a 的 iManager 外掛程式無法讀取「DirXML 程序檔」,該程序檔用於大部份 Identity Manager 驅動程式的已定義驅動程式組態中。

反向相容性

  • 您可以在 Identity Manager 伺服器上執行 DirXML 1.1a 驅動程式 Shim 和組態,且可以在驅動程式集的「Identity Manager 概觀」中檢視 iManager 中的驅動程式。 但是 Identity Manager 外掛程式不會讓您檢視或編輯驅動程式組態,直到您將它們轉換為 Identity Manager 格式為止。

    在 Identity Manager 外掛程式中,如果您按一下 1.1a 格式的驅動程式,則會提示您完成轉換。 這是使用精靈完成的簡單程序,不會變更驅動程式組態的功能。 做為程序的一部份,會儲存 DirXML 1.1a 版的備份副本。

  • 當使用 Identity Manager 引擎執行 DirXML 1.1a 驅動程式時,該驅動程式的啟用仍然有效。 不過,如果您將驅動程式 Shim 升級到 Identity Manager 版本,則需要取得新的啟用身分證明。 如需詳細資訊,請參閱節 6.0, 啟用 Novell Identity Manager 產品
  • 在大部份情況下,Identity Manager 驅動程式 Shim 可以使用 DirXML 1.1a 的組態執行。 如需升級資訊,請參閱個別的驅動程式實作指南

    明顯的例外是「密碼同步化 1.0」,除非您在升級驅動程式 Shim 之後,新增部份其他驅動程式規則,否則它不會針對 AD 和 NT 正確地執行。 如需指示,請參閱 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南中有關「密碼同步化」的各節。

  • 不支援使用 DirXML 1.1a 引擎執行 Identity Manager 驅動程式 Shim 和驅動程式組態。
  • 不支援使用 DirXML 1.1a 驅動程式 Shim 執行 Identity Manager 驅動程式組態。
  • 如果您在多個伺服器上執行相同的 Identity Manager 驅動程式組態,請確定伺服器執行的是相同版本的 Identity Manager 和相同版本的 eDirectory。

密碼管理

  • 您可以建立會提供功能的「密碼」規則,例如「進階密碼規則」以要求安全性較高的密碼,以及使用者的「忘記密碼自助服務」和「重設密碼自助服務」。 請參閱「密碼管理」指南中的下列一節:
  • 如果您開始將「通用密碼」與 NetWare 6.5® 的初始版本搭配使用,則需要執行部份升級步驟,才可以使用新的密碼規則功能。 請參閱「密碼管理」指南中的「(僅限 NetWare 6.5) 重建通用密碼指定」。 如果您開始將「通用密碼」與 NetWare 6.5 SP2 搭配使用,則無需執行該程序。
  • 「Identity Manager 密碼同步化」會提供雙向密碼同步化,且所支援的平台比「密碼同步化 1.0」更多。
  • 如果您已將「密碼同步化 1.0」與 AD 或 NT 搭配使用,請確定在安裝新的驅動程式 Shim 之前先檢視升級指示。 請參閱節 2.1.4, 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」
  • 已提供驅動程式規則「重疊」,來協助您將雙向「密碼同步化」功能新增至現有的驅動程式。 請參閱《Novell Identity Manager 3.0 管理指南》內的「升級現有的驅動程式組態以支援密碼同步化」。

2.1.3 從 Starter Pack 升級至 Identity Manager

圖 2-3 從 Starter Pack 升級至 Identity Manager

其他 Novell 產品中包含的 Identity Manager Starter Pack 解決方案會提供 NT Domain、Active Directory 和 eDirectory 中保留的已授權資訊同步化。 此外,還包括含有 PeopleSoft*、GroupWise® 和 Lotus Notes* 之數個其他系統的試用版驅動程式,以讓您可以瀏覽其他系統的資料同步化。

此解決方案還提供同步化使用者密碼的功能。 使用 PasswordSync,使用者只需記住單一密碼,便可以登入以上任何一個系統。 管理員可以管理所選系統中的密碼。 無論何時其中一個環境中的密碼變更,所有環境中的密碼都會更新。

NetWare 6.5 和 Nterprise™ Linux Services 1.0 隨附的 Identity Manager Starter Pack 以 DirXML 1.1a 技術為基礎。 從 Starter Pack 升級至最新版的 Identity Manager 時,請記住下列考量:

管理工具

  • ConsoleOne 受 DirXML 1.1a 支援,但是不受 Identity Manager 支援。

反向相容性

  • 您可以在 Identity Manager 伺服器上執行 DirXML 1.1a 驅動程式 Shim 和組態,且可以在驅動程式集的「Identity Manager 概觀」中檢視 iManager 中的驅動程式。 但是 Identity Manager 外掛程式不會讓您檢視或編輯驅動程式組態,直到您將它們轉換為 Identity Manager 格式為止。

    在 Identity Manager 外掛程式中,如果您按一下 1.1a 格式的驅動程式,則會提示您完成轉換。 這是使用精靈完成的簡單程序,不會變更驅動程式組態的功能。 做為程序的一部份,會儲存 DirXML 1.1a 版的備份副本。

  • 當使用 Identity Manager 引擎執行 DirXML 1.1a 驅動程式時,該驅動程式的啟用仍然有效。 不過,如果您將驅動程式 Shim 升級至 Identity Manager 版本,則需要新的啟用。
  • 在大部份情況下,Identity Manager 驅動程式 Shim 可以使用 DirXML 1.1a 的組態執行。 如需升級資訊,請參閱個別的驅動程式實作指南

    明顯的例外是「密碼同步化 1.0」,除非您在升級驅動程式 Shim 之後,新增部份其他驅動程式規則,否它則不會針對 AD 和 NT 正確地執行。 如需指示,請參閱 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南中有關「密碼同步化」的各節。

  • 不支援使用 DirXML 1.1a 引擎執行 Identity Manager 驅動程式 Shim 和驅動程式組態。
  • 不支援使用 DirXML 1.1a 驅動程式 Shim 執行 Identity Manager 驅動程式組態。
  • 如果您在多個伺服器上執行相同的 Identity Manager 驅動程式組態,請確定伺服器執行的是相同版本的 Identity Manager 和相同版本的 eDirectory。

密碼管理

啟用

  • 必須在 90 天之內啟用所有的 Identity Manager 產品。 購買其他 Novell 軟體時,DirXML Starter Pack 包括 DirXML 1.1a 引擎以及 NT、AD 和 eDirectory 驅動程式的啟用。 從 Identity Manager Starter Pack 升級時,您可能需要重新套用這些驅動程式的啟用身分證明。

    如需啟用的相關資訊,請參閱節 6.0, 啟用 Novell Identity Manager 產品

2.1.4 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」

圖 2-4 將「密碼同步化 1.0」升級至「Identity Manager 密碼同步化」

「Identity Manager 密碼同步化」提供許多功能,包括雙向密碼同步化、其他平台,以及在密碼同步化失敗時進行電子郵件通知。

如果您將「密碼同步化 1.0」用於 Active Directory 或 NT Domain,則在安裝新的驅動程式 Shim 之前,檢視升級指示會很重要。

如果您將 Identity Manager 2.x 與「密碼同步化 2.0」搭配執行,則無需執行這些步驟。

如需「Identity Manager 密碼同步化」的一般資訊,請參閱《Novell Identity Manager 3.0 管理指南》內的「已連接系統中的密碼同步化」。 該節包含一些概念資訊,包括新舊功能的比較、先決條件、每個已連接系統支援的功能清單、新增支援至現有驅動程式的指示,以及顯示如何使用新功能的數個案例。

在本節中:

升級 AD 或 NT 的密碼同步化

新的「密碼同步化」功能由驅動程式規則,而不是由個別的代辦執行。 這表示如果您安裝新的驅動程式 Shim,但是未同時升級驅動程式組態,則「密碼同步化 1.0」會繼續只針對現有的使用者運行。 新的、已移動或已重新命名的使用者不會參與「密碼同步化」,直至您完成驅動程式組態升級為止。

使用下列一般步驟進行升級:

  1. 升級環境,使其支援「通用密碼」,包括升級 Novell Client™ (如果您正在使用它)。|
  2. 安裝 Identity Manager 3.0 驅動程式 Shim,以取代 AD 或 NT 的 DirXML 1.1a 驅動程式 Shim。
  3. 隨即建立與「密碼同步化 1.0」的反向相容性,方法是將規則新增至驅動程式組態。

    此步驟可讓「密碼同步化 1.0」繼續正確運行,直到您切換到「Identity Manager 密碼同步化」為止。

  4. 使用驅動程式規則新增新「Identity Manager 密碼同步化」的支援。
  5. 安裝新的「密碼同步化」過濾器並設定其組態。
  6. 必要時,設定 SSL。
  7. 必要時,使用密碼規則開啟「通用密碼」。
  8. 設定要使用的「Identity Manager 密碼同步化」案例。

    請參閱《Novell Identity Manager 3.0 管理指南》內的「實作密碼同步化」。

  9. 移除「密碼同步化 1.0」。

如需詳細指示,請參閱 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南

升級 eDirectory 的密碼同步化

升級 eDirectory 相當簡單,假設您的驅動程式 Shim 和組態具有最新的修補程式,則驅動程式 Shim 會使用現有未變更的 DirXML 1.1a 驅動程式組態。 如需指示,請參與《eDirectory 的 Identity Manager 驅動程式》。 實作指南

升級其他已連接系統驅動程式

「Identity Manager 密碼同步化」支援的已連接系統比「密碼同步化 1.0」更多。

如需其他系統支援的功能清單,請參閱《Novell Identity Manager 3.0 管理指南》內的「密碼同步化的已連接系統支援」。

已提供驅動程式規則「重疊」,來協助您將雙向「密碼同步化」功能新增至先前不支援之已連接系統的現有驅動程式。 請參閱《Novell Identity Manager 3.0 管理指南》內的「升級現有的驅動程式組態以支援密碼同步化」。

處理機密資訊

「通用密碼」在 eDirectory 內由四層加密保護,因此其在該環境中非常安全。 如果您選擇使用雙向密碼同步化,且同步化「通用密碼」與「配送密碼」,請記住您會擷取 eDirectory 密碼,並將其傳送至其他已連接系統。 您需要確保密碼傳輸以及其同步化所到之已連接系統的安全。 請參閱《Novell Identity Manager 3.0 管理指南》內的 「安全性:最佳作法」。