【IBM Tivoli Identity Manager 学习文档】15 用户管理

xunlei

　　作者：gnuhpc     
出处：http://www.cnblogs.com/gnuhpc/
　　1.基本概念 Identity feed：任何一个从一个数据源读入用户信息后添加到TIM或者与TIM中数据校验一致性的方法。
　　
　　2.内置用户类型：
　　TIM中内置两种用户类型：
　　a.person --被管理的组织的成员
　　b.Business Partner Person -- 非组织内部的成员，比如外包人员或者顾问。 TIM支持添加用户种类。
　　3.添加用户的方法：
　　a.手动添加：仅适用于添加个别的用户，不适于大量。
　　b.使用TIM API开发客户端让用户自己注册
　　c.使用Java Naming and Directory Interface (JNDI)
　　d.使用Identity feed导入：支持文件导入和复杂的服务器远程导入。
　　4.修改用户信息：使用ITIM Account登录Self Service Console。
　　5.Identity feed（亦称为HR Feed）的使用：
　　reconciliation是指从外部数据源向ITIM导入和同步数据的过程，而这个过程在第一次使用的时候可以作为导入，有时候你可能要导入两次，因为有些员工的信息是和他老板相关联的，你必须先导入这两个人的信息，然后在第二次导入的时候建立这样的员工-老板的关系。 TIM提供了五种方式：
　　· Comma Separated Value (CSV) identity feed
　　· DSML identity feed
　　· Active Directory (AD) OrganizationalPerson identity feed
　　· INetOrgPerson (LDAP) identity feed
　　· Tivoli Directory Integrator (TDI) data feed
　　前四种是从预先准备好的数据源中读取，最后一种方式则使用TDI从各种数据源中获取，并且可以进行过滤等操作后再导入，更加灵活。 创建Identity Feed Interface:和创建Service的过程一样，
　　
　　
　　a.CSV格式导入：
　　CSV格式文件的第一行必须提供相关属性的名称，例如：
　　uid,sn,cn,givenname,mail,initials,employeenumber,erroles
　　而这些属性必须符合ITIM的Profile（erPersonItem and the INetOrgPerson object classes），否则不符合的将被忽略。sn, cn是必须的。
　　erPersonItem object class是一个辅助对象类，包含不在标准INetOrgPerson中所含有TIM特有的属性，例如erroles。
　　

　　可以使用定义好的WorkFlow在数据导入时进行运行，用户此时可以同时进行用户导入和权限分配。可以使用Test Connection进行文件测试。
　　Person profile name 默认中只包含Person，但是要是诸如bpPerson加入到Schema中，那么则需要使用form manager进行修改了。
　　Name attribute中列出了一系列姓名属性唯一的属性，随便使用一个就可以，以示各个导入的数据的区别。
　　Placement rule则是去写Javascript脚本，来动态决定哪些用户被加到整个组织的什么organizational units中。
　　
　　在创建好identity feed后，我们要进行一次reconciliation。
　　
　　
　　b.DSML导入：
　　DSML是一个XML格式的文件，描述了目录信息。该DSML文件也可能是一个DSML服务器的URL，DSML文件格式如下：
　　
inetOrgPerson      
John      
JD      
Doe      
John Doe      
(800) 555-1234      
123 E. First Street, Anytown, USA  12345
　　

　　我们注意到TIM使用的DSML文件，在外围有如下的包围的属性：
　　
   
.....multiple pairs.    

　　所谓正是以 开头，进行唯一用户导入的信息。
　　在导入DSML时，要输入的user ID和password是指DSML服务器所要求的，而不是指本地。
　　c.Active Directory导入：
　　从organizationalPerson object class中获得用户信息，相应操作类似于LDAP INetOrgPerson identity feed
　　注意user ID和password也是必须的，虽然并没有在ITIM中标示出是必须的
　　
　　d.INetOrgPerson Identity (LDAP) 导入：
　　从INetOrgPerson object class中获得用户信息，所有没有objectclass=INetOrgPerson标示的记录都将被忽略。
　　映射文件的属性格式如下：（当然前边指定ou和objectclass等还是需要的，详见一个ldap文件的格式）
　　#feedAttributeName=itimAttributeName（注释）      
cn=cn      
sn=sn      
title=title      
telephonenumber=mobile      
mail=mail      
description=description
　　除了telephonenumber被映射到mobile外，其余都是映射到同名属性。TIM支持使用属性映射设置文件代替默认的属性映射规则，该文件实际就是一个文本文件，格式如下：
　　INetOrgPerson Attribute = Mapped Attribute
　　如果使用属性映射设置文件，则所有使用到的属性都必须提供，否则则不使用这条记录。
　　在导入LDAP中Naming context指定了TIM从LDAP的什么地方开始向下进行遍历。DN格式。
　　
　　e.IBM Tivoli Directory Integrator (TDI) 导入：
　　最强大也是最麻烦的一种导入，支持用户自定义过滤导入、属性的一对多或多对一映射、与多种数据库一起工作等操作，可以用来进行属性控制，更新和删除添加一个用户的信息。
　　在TDI中用户需要创建AssemblyLines，其中包含多个connectors，前者可以视为一个小程序，而后者可以视为多个程序代码块。TDI提供了许多connectors完成常见操作。

　　详细请见TIM联合TDI使用的相关文档。
　　作者：gnuhpc     
出处：http://www.cnblogs.com/gnuhpc/