本節的內容可協助您為安裝 Identity Applications 做好準備。應用程式在名為 Roles Based Provisioning Module (RBPM) 的架構上執行。當您安裝 Identity Manager 引擎時,安裝程序會自動安裝 netiq-DXMLuad-4.7.0-0.noarch,該程式會安裝使用者應用程式驅動程式和角色與服務驅動程式,並延伸 eDirectory 綱要以便與 RBPM 互動。
安裝檔案位於 Identity Manager 安裝套件 .iso 影像檔中的 products\UserApplication\ 目錄下。
如果稽核伺服器要將使用者應用程式做為記錄應用程式使用,則您必須將 dirxml.lsc 檔案複製到該伺服器上。本節內容僅適用於 Novell Identity Audit。
找到 dirxml.lsc 檔案。
安裝後,此檔案位於 Identity Manager 使用者應用程式安裝目錄中,例如 C:\NetIQ\idm\apps\UserApplication。
使用網頁瀏覽器存取裝有 Novell Identity Audit 外掛程式的 iManager,然後以管理員身分登入。
導覽至角色與任務 > 稽核與記錄,然後選取記錄伺服器選項。
瀏覽至網路樹中的「記錄服務」容器,選取相應的稽核安全記錄伺服器,然後按一下確定。
在記錄應用程式索引標籤中,選取相應的容器名稱,然後按一下新增記錄應用程式連結。
在「新增記錄應用程式」對話方塊中完成以下步驟:
對於「記錄應用程式名稱」,請指定對環境而言有意義的任意名稱。
對於「輸入 LSC 檔案」,請瀏覽至 dirxml.lsc 檔案。
按一下「確定」。
按一下「確定」,以完成您的 Audit 伺服器組態。
確保將「記錄應用程式」中的狀態設定為開啟 (狀態下面的圓圈應該為綠色)。
重新啟動 Audit 伺服器,以啟用新記錄應用程式設定。
Identity Vault 管理員是有權設定 Identity Vault 的使用者。這是可與其他管理使用者類型共享的邏輯角色。
Identity Vault 管理員需要以下權限︰
對使用者應用程式驅動程式及其包含的所有物件的「監督者」權限。若要實現此目的,可在驅動程式容器層級設定權限,並將這些權限設為可繼承。
對透過目錄抽象層使用者實體定義所定義的任何使用者的「監督者輸入」權限。這應該包括對 objectClass 以及與 DirXML-EntitlementRecipient、srvprvEntityAux 和 srvprvUserAux 輔助類別關聯的任何屬性的「寫入屬性」權限。
對容器物件 cn=DefaultNotificationCollection, cn=Security 的「監督者」權限。此物件儲存用於自動佈建電子郵件的電子郵件伺服器設定。它可以包含對電子郵件伺服器自身進行驗證所用的 SecretStore 身分證明。
對容器物件 cn=Authorized Login Methods, cn=Security 的「監督者」權限。在安裝使用者應用程式期間,系統會在此容器中建立 SAML 聲明物件。
在安裝使用者應用程式之前,請確定您對 cn=Security 容器擁有「監督者」權限。在安裝使用者應用程式期間,系統會在 cn=Security 容器下建立 cn=RBPMTrustedRootContainer 容器。
或者,您可以手動建立 cn=RBPMTrustedRootContainer,cn=Security 容器 (建立名為 Trusted Root Container 的物件,並在其 Security 容器中包含 NDSPKI:Trusted Root 物件類別),然後指定對該容器的「監督者」權限。
您必須在 Identity Vault 中手動建立使用者應用程式管理員帳戶,以便正確安裝 Roles Based Provisioning Module。該使用者應用程式管理員帳戶必須是頂層容器的託管者,並且必須對該容器擁有「監督者」權限。
在建立使用者應用程式管理員帳戶時,必須向此新使用者容器指定密碼規則。如需詳細資訊,請參閱《Password Management Administration Guide》(密碼管理管理指南) 中的Creating Password Policies
(建立密碼規則)。
若要為使用者應用程式管理員帳戶建立許可權,請在 LDAP 資料交換格式 (LDIF) 檔案中執行以下指令︰
dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 1#subtree#[Root]#[Entry Rights] dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#description dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#directReports dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#mail dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#manager dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#photo dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvQueryList dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvUserPrefs dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#telephoneNumber dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#title dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 17#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[Entry Rights] ACL: 35#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[All Attributes Rights]