A.3 使用“范围过滤”管理不同服务器上的用户
“范围过滤”表示向每个驱动程序添加规则,以将驱动程序的操作范围限制到特定的容器。 在以下两种情况下,可能需要使用范围过滤:
-
希望驱动程序只同步特定容器中的用户。
默认情况下,Identity Manager 驱动程序将同步运行该驱动程序的服务器上复制的所有容器中的对象。 要缩小该范围,必须创建范围过滤规则。
-
希望 Identity Manager 驱动程序同步所有用户,但不希望在同一服务器上复制所有用户。
要同步所有用户且不将其复制到单台服务器上,则需要确定由哪个服务器集保存所有用户,然后在其中的每台服务器上创建 Identity Manager 驱动程序的实例。 为防止驱动程序的两个实例尝试与相同的用户同步,您将需要使用“范围过滤”来定义驱动程序的每个实例应该同步的用户。
注:即使服务器的复本当前未重叠,也应该使用范围过滤。 以后,服务器上可能会添加复本,因而可能无意中产生重叠。 如果实施了范围过滤,Identity Manager 驱动程序就不会尝试同步相同的用户,即使以后向服务器添加复本,也是如此。
图 A-1中显示了一个示例身份库,它带有三个用于储存用户的容器:“营销”、“财务”和“开发”。同时它还显示保存驱动程序集的身份管理容器。其中每个容器都是一个独立的分区。在此示例中,Identity Manager 管理员有两个身份库服务器:服务器 A 和服务器 B。这两个服务器都不包含所有用户的副本。每个服务器包含三个分区中的两个,因此服务器保存项目的范围重叠。
图 A-1 范围过滤定义同步每个容器的驱动程序
管理员希望通过 GroupWise 2014 驱动程序同步树中的所有用户,但是不希望将这些用户的复本聚合到单台服务器。他选择使用两个 GroupWise 2014 驱动程序实例,每台服务器上安装一个。他在每台 Identity Manager 服务器上都安装了 Identity Manager,并设置了 GroupWise 2014 驱动程序。
服务器 A 保存“市场营销”和“财务”容器的复本。 另外,该服务器上还有一个“身份管理”容器的复本,该容器存放服务器 A 的驱动程序集以及服务器 A 的 GroupWise 2014 驱动程序对象。
服务器 B 保存“开发”容器、“财务”容器和“身份管理”容器的复本,最后一个容器存放服务器 B 的驱动程序集和服务器 B 的 GroupWise 2014 驱动程序对象。
由于服务器 A 和服务器 B 均保存了“财务”容器的复本,因此这两个服务器均保存了“财务”容器中的用户 JBassad。 如果不使用范围过滤,GroupWise 2014 驱动程序 A 和 GroupWise 2014 驱动程序 B 都会同步 Jbassad。由于范围过滤定义了同步每个容器的驱动程序,因此可以避免驱动程序的两个实例管理同一用户。
Identity Manager 附带一些预定义的规则。有两个规则可帮助执行范围过滤:和。有关详细信息,请参见《NetIQ Identity Manager Understanding Policies Guide》(NetIQ Identity Manager 了解策略指南)。
对于此示例,可以对服务器 A 和服务器 B 使用“包括子树”预定义规则。可为每个驱动程序定义不同的范围,以便它们只同步指定容器中的用户。 服务器 A 将同步“市场营销”和“财务”。 服务器 B 将同步开发容器。