11.6 配置 Identity Applications 的设置

必需

为 LDAP 服务器指定主机名或 IP 地址。例如：myLDAPhost。

指定身份库要用来侦听明文格式 LDAP 请求的端口。默认值是 389。

指定身份库要用来侦听使用安全套接字层 (SSL) 协议的 LDAP 请求的端口。默认值是 636。

如果（在安装 eDirectory 之前）服务器上已装载的服务使用了默认端口，您必须指定其他端口。

必需

指定 LDAP 管理员的身份凭证。例如，cn=admin.身份库中必须已存在此用户。

Identity Applications 将使用此帐户来建立与身份库的管理连接。此值已使用主密钥进行过加密。

必需

指定与 LDAP 管理员关联的口令。此口令已使用主密钥进行过加密。

指定未登录的用户是否能够访问 LDAP 公共匿名帐户。

指定 RBPM 是否使用 SSL 协议来进行与管理员帐户相关的所有通讯。如果指定此设置，则无需 SSL 的其他操作便可在不使用 SSL 的情况下执行。

指定 RBPM 是否使用 TLS/SSL 协议来进行与已登录用户帐户相关的所有通讯。如果指定此设置，则无需 TLS/SSL 的其他操作便可在不使用该协议的情况下执行。

必需

指定根容器的 LDAP 判别名。如果没有在目录抽象层中指定搜索根，则将该判别名用作默认的实体定义搜索根。例如：o=mycompany。

必需

显示高级选项时，实用程序将在“身份库用户身份”下显示此参数。

指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。对于此设置，请注意以下事项：

必需

显示高级选项时，实用程序将在“身份库用户组”下显示此参数。

指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。对于此设置，请注意以下事项：

必需

指定 User Application 驱动程序的判别名。

例如，如果驱动程序为 UserApplicationDriver，驱动程序集为 MyDriverSet，并且驱动程序集位于 o=myCompany 环境中，则请指定 cn=UserApplicationDriver,cn=myDriverSet,o=myCompany。

必需

指定身份库中有权对指定的 User Application 用户容器执行管理任务的现有用户帐户。对于此设置，请注意以下事项：

指定身份库中的一个现有用户帐户，该帐户将管理可在整个 User Application 中使用的“供应工作流程”功能。

要在部署 User Application 后更改此指派，请使用 User Application 中的管理 > 管理员指派页面。

指定身份库中的一个现有帐户，该帐户将执行某个系统角色，以允许成员执行合规性选项卡上的所有功能。对于此设置，请注意以下事项：

指定一个角色，该角色允许成员创建、去除或修改所有角色，以及授予或撤消对任何用户、组或容器的任何角色指派。它还允许其角色成员运行任何用户的任何报告。对于此设置，请注意以下事项：

指定一个角色，该角色为成员提供安全域内的所有功能。对于此设置，请注意以下事项：

指定一个角色，该角色为成员提供资源域内的所有功能。对于此设置，请注意以下事项：

指定一个角色，该角色为成员提供配置域内的所有功能。对于此设置，请注意以下事项：

指定报告管理员。默认情况下，安装程序列出的此值与其他安全性字段中的用户相同。

必需

在不显示高级选项时，实用程序将在“身份库 DN”下显示此参数。

指定用户容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。对于此设置，请注意以下事项：

指定身份库用户在搜索容器时可深入的范围。

指定 LDAP 用户的对象类。通常，该类为 inetOrgPerson。

指定表示用户登录名的 LDAP 属性。例如：cn。

指定在查找用户或组时用作标识符的 LDAP 属性。这不同于登录属性，登录属性仅在登录期间使用。例如：cn。

（可选）指定表示用户的组成员资格的 LDAP 属性。指定名称时请不要使用空格。

必需

在不显示高级选项时，实用程序将在“身份库 DN”下显示此参数。

指定组容器的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。对于此设置，请注意以下事项：

指定身份库用户在搜索组容器时可深入的范围。

指定 LDAP 组的对象类。通常，该类为 groupofNames。

（可选）指定用户的组成员资格。不要在该名称中使用空格。

指定是否要使用动态组。

您还必须指定动态组对象类的值。

仅当您选择了使用动态组时才适用。

指定 LDAP 动态组的对象类。通常，该类为 dynamicGroup。

必需

指定 Tomcat 在运行时要使用的 JRE 密钥存储区 (cacerts) 文件的完整路径。您可以手动输入路径，也可以浏览到 cacerts 文件。对于此设置，请注意以下事项：

必需

提供密钥存储区文件的口令。默认值为 changeit。

指定托管 Identity Applications 的 Tomcat 的名称或 IP 地址。例如：myapplication serverServer。

此值将替换电子邮件模板中的 $HOST$ 令牌。安装程序将使用此信息来创建供应请求任务和批准通知的 URL。

指定托管 Identity Applications 的 Tomcat 的端口号。

此值将替换供应请求任务和批准通知中使用的电子邮件模板内的 $PORT$ 标记。

指定托管 Identity Applications 的 Tomcat 的安全端口号。

此值将替换供应请求任务和批准通知中使用的电子邮件模板内的 $SECURE_PORT$ 标记。

指定在发送用户电子邮件时要包含在 URL 中的非安全协议。例如：http。

此值将替换供应请求任务和批准通知中使用的电子邮件模板内的 $PROTOCOL$ 标记。

指定在发送用户电子邮件时要包含在 URL 中的安全协议。例如：https。

此值将替换供应请求任务和批准通知中使用的电子邮件模板内的 $SECURE_PROTOCOL$ 标记。

指定 Identity Applications 用来发送电子邮件通知的电子邮件帐户。

指定 Identity Applications 用于供应电子邮件的 SMTP 电子邮件主机的 IP 地址或 DNS 名称。请不要使用 localhost。

指定您是否希望服务器要求鉴定。

您还必须指定电子邮件服务器的身份凭证。

仅当您启用了服务器需要鉴定时才适用。

指定电子邮件服务器的登录帐户名。

仅当您启用了服务器需要鉴定时才适用。

指定邮件服务器的登录帐户口令。

指定在邮件服务器之间进行传输期间，是否要保护电子邮件内容的安全。

指定要在电子邮件通知中包含的图像的路径。例如：http://localhost:8080/IDMProv/images。

指定是否要在寄出的邮件中添加数字签名。

如果启用此选项，则还必须指定密钥存储区和签名密钥的设置。

仅当您启用了对电子邮件签名时才适用。

指定要用于对电子邮件进行数字签名的密钥存储区 (cacerts) 文件的完整路径。您可以手动输入路径，也可以浏览到 cacerts 文件。

例如，/opt/netiq/idm/apps/jre/lib/security/cacerts。

仅当您启用了对电子邮件签名时才适用。

提供密钥存储区文件的口令。例如，changeit。

仅当您启用了对电子邮件签名时才适用。

指定签名密钥在密钥存储区中的别名。例如，idmapptest。

仅当您启用了对电子邮件签名时才适用。

指定用于保护包含签名密钥的文件的口令。例如，changeit。

指定包含所有可信签名者的证书的可信密钥存储区的路径。如果此路径为空，Identity Applications 将从系统属性 javax.net.ssl.trustStore 中获取路径。如果该系统属性无法提供路径，安装程序默认使用 jre/lib/security/cacerts。

指定可信密钥存储区的口令。如果将此字段留空，Identity Applications 将从系统属性 javax.net.ssl.trustStorePassword 中获取口令。如果该系统属性无法提供口令，安装程序默认使用 changeit。

此口令已使用主密钥进行过加密。

指定可信证书存储区路径是使用 Java 密钥存储区 (JKS) 还是 PKCS12 进行数字签名。

列出您希望 OAuth 服务器用来鉴定发送到 Sentinel 的审计讯息的自定义公共密钥证书。

指定您希望 OAuth 服务器用来鉴定发送到 Sentinel 的审计讯息的自定义私用密钥文件的路径。

指定当客户端安装使用联机证书状态协议 (OCSP) 时要使用的统一资源标识符 (URI)。例如：http://host:port/ocspLocal。

OCSP URI 在线更新可信证书的状态。

指定授权配置文件的完全限定名。

在安装期间，指定是否希望安装程序创建 manager、ismanager 和 srvprvUUID 属性的索引。安装后，您可以修改设置，以指向索引的新位置。对于此设置，请注意以下事项：

仅当您要创建或删除身份库索引时才适用。

指定要在其中创建或去除索引的 eDirectory 服务器。

一次只能指定一个服务器。要在多个 eDirectory 服务器上配置索引，必须多次运行 RBPM 配置实用程序。

指定是否要在完成安装过程时重设置 RBPM 安全性。您还必须重新部署 Identity Applications。

指定 Identity Manager Reporting Module 的 URL。例如：http://hostname:port/IDMRPT。

指定要用于在浏览器中显示 Identity Applications 的自定义主题的名称。

指定要在 idmuserapp_logging.xml 文件中 CONSOLE 和 FILE 追加器的布局模式内使用的值。默认值为 RBPM。

指定是否要更改 RBPM 的环境名称。

您还必须指定 Roles and Resource 驱动程序的新名称和 DN。

仅当您选择了更改 RBPM 环境名称时才适用。

指定 RBPM 的新环境名称。

仅当您选择了更改 RBPM 环境名称时才适用。

指定角色和资源驱动程序的 DN。

指定您要使用的容器对象类型。

指定以下容器：位置、国家/地区、组织单位、组织或域。

也可以在 iManager 中自己定义容器，然后在添加新容器对象下面添加这些容器。

指定与所指定容器对象类型关联的属性类型的名称。

指定可用作新容器的身份库中对象类的 LDAP 名称。

指定与新容器对象类型关联的属性类型的名称。

指定您希望 Identity Reporting 在发送通知时使用的电子邮件服务器的 DNS 名称或 IP 地址。请不要使用 localhost。

指定 SMTP 服务器的端口号。

指定是否要使用 TLS/SSL 协议来与电子邮件服务器通讯。

指定是否要对与电子邮件服务器的通讯使用鉴定。

指定要用于鉴定的电子邮件地址。

您必须指定一个值。如果服务器不需要鉴定，您可以指定无效的地址。

仅当您指定了服务器需要鉴定时才适用。

指定 SMTP 用户帐户的口令。

指定您希望 Identity Reporting 用作电子邮件通知来源的电子邮件地址。

指定 Identity Reporting 在删除已完成报告之前保留这些报告的时间。例如，要指定六个月，请在报告有效期字段中输入 6，然后在报告单位字段中选择月。

指定要将报告定义储存到的路径。例如：/opt/netiq/IdentityReporting。

指定您要为报告功能添加的鉴定源的类型。鉴定源可以是

必需

指定向 OSP 颁发令牌的鉴定服务器的相对 URL。例如，192.168.0.1。

指定鉴定服务器的端口。

指定鉴定服务器是否使用 TLS/SSL 协议进行通讯。

必需

指定身份库中包含 OSP 必须鉴定的任何管理员用户对象的容器判别名。例如：ou=sa,o=data。

指定用于区分包含相同 cn 值的多个 eDirectory 用户对象的 LDAP 属性的名称。默认值为 mail。

指定是要将身份库中用户和管理员容器内进行的搜索限制为仅涵盖这些容器中的用户对象，还是应使搜索范围涵盖子容器。

指定当会话处于非活动状态多少分钟后，服务器会将用户会话置于超时状态。默认值为 20 分钟。

指定 OSP 访问令牌保持有效的秒数。默认值为 60 秒。

指定 OSP 刷新令牌保持有效的秒数。OSP 在内部使用刷新令牌。默认值为 48 小时。

指定当用户登录时您希望 Identity Manager 使用的鉴定类型。

仅当您指定了 Kerberos 或 SAML 时才适用。

指定要映射到 Kerberos 票据服务器或身份提供程序中 SAML 表示的属性名称。

仅当您指定了 SAML 时才适用。

指定 OSP 用于将鉴定请求重定向到 SAML 的 URL。

指定要使用的口令管理系统类型。

User Application（旧版）：使用 Identity Manager 惯常所用的口令管理程序。此选项还允许您使用外部口令管理程序。

仅当您要使用 SSPR 时，此复选框参数才适用。

指定是否希望用户不联系帮助中心自行恢复忘记的口令。

您还必须为“忘记口令”功能配置询问应答策略。有关详细信息，请参见《NetIQ Self Service Password Reset Administration Guide》（NetIQ Self Service Password Reset 管理指南）。

仅当您选择了 User Application（旧版）时，此菜单列表才适用。

指定是要使用 User Application 中集成的口令管理系统，还是使用外部系统。

仅当您要使用外部口令管理系统时才适用。

指定指向“忘记口令”功能页面的 URL。在外部或内部口令管理 WAR 中指定 ForgotPassword.jsp 文件。

仅当您要使用外部口令管理系统时才适用。

指定忘记口令返回链接的 URL，用户可在执行完忘记口令操作后单击该链接以返回。

仅当您要使用外部口令管理系统时才适用。

指定外部忘记口令 WAR 用来回调 User Application 以执行核心忘记口令功能的 URL。使用以下格式：

https://<idmhost>:<sslport>/<idm>/
pwdmgt/service

指定您希望 OSP 服务器用来鉴定发送到审计系统的审计讯息的自定义公共密钥证书。

有关配置 Novell Audit 证书的信息，请参见《Novell Audit Administration Guide》（Novell Audit 管理指南）中的“Managing Certificates”（管理证书）。

指定您希望 OSP 服务器用来鉴定发送到审计系统的审计讯息的自定义私用密钥文件的路径。

必需

指定用于供鉴定服务器识别仪表板的单点登录客户端的名称。默认值为 idmdash。

必需

指定仪表板的单点登录客户端的口令。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/idmdash/oauth.html。

必需

指定用于供鉴定服务器识别 Identity Manager 管理员的单点登录客户端的名称。默认值为 idmadmin。

必需

指定 Identity Manager 管理员的单点登录客户端的口令。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/idmadmin/oauth.html。

必需

指定用来供鉴定服务器识别 User Application 单点登录客户端的名称。默认值为 rbpm。

必需

指定 User Application 单点登录客户端的口令。

必需

指定用于从 User Application 中访问仪表板的相对 URL。默认值为 /landing。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/IDMProv/oauth。

必需

指定 SSO 鉴定所需的 RBPM 至 eDirectory SAML 设置。

必需

指定用来供鉴定服务器识别 Identity Reporting 单点登录客户端的名称。默认值为 rpt。

必需

指定 Identity Reporting 单点登录客户端的口令。

必需

指定用于从 Identity Reporting 中访问仪表板的相对 URL。默认值为 /idmdash/#/landing。

如果您将 Identity Reporting 和 Identity Applications 安装到不同的服务器中，请指定绝对 URL。使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/IDMRPT/oauth。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/IDMRPT/oauth。

必需

指定用于供鉴定服务器识别 Identity Manager 数据收集服务的单点登录客户端的名称。默认值为 idmdcs。

必需

指定 Identity Manager 数据收集服务的单点登录客户端的口令。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/idmdcs/oauth.html。

指定用来供鉴定服务器识别数据收集服务驱动程序的单点登录客户端的名称。此参数的默认值为 dcsdrv。

指定数据收集服务驱动程序的单点登录客户端的口令。

必需

指定用来供鉴定服务器识别 SSPR 单点登录客户端的名称。默认值为 sspr。

必需

指定 SSPR 单点登录客户端的口令。

必需

指定在完成鉴定后，鉴定服务器要将浏览器客户端重定向到的绝对 URL。

使用以下格式：protocol://server:port/path。例如，https://192.168.0.1:8543/sspr/public/oauth.html。