作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/
Service的概念在前边的文档中有所介绍的,现在只是提一些需要注意的问题:
1.每一中Service都需要一个Profile,这个Profile描述了使用何种Adapter与其通信,它支持什么属性,其service form的形式和account form的形式。
2.Service selection policies是一个自动分配机制:定义了哪些Service分配给用户。它可以使用Javascript进行查找,然后决定service的分配原则。作为分配原则的扩展,它提供了基于用户个人信息的属性来分配账户的能力。有两个层面:一种是单层面的,一种是包含子树的层面的。
一个Service selection policies必须和一个分配原则相关联,然后根据service的类型来给用户提供service的。它在一个用户被新加进来(和分配原则相关联)、一个用户属性被修改、Service selection policies或分配原则被修改时自动启用。JavaScript例子如下:
function selectService()
{
var title = subject.getProperty("title")[0];
var serviceInstance = null;
if ((title!=null) && (title=="Lead Test Engineer") ||
(title=="Engineer Manager") || (title=="Engineer") ||
(title=="Software Engineer II"))
{
serviceInstance = ServiceSearch.searchByFilter
("(erservicename=Los Angeles Engineering Server)", 1)[0];
}
else
{
return serviceInstance;
}
}
return selectService();
这段脚本监测user的title,若Title符合程序中四个头衔其中之一,则根据searchByFilter指定的实例上用户创建一个账户,否则就不创建。
3.身份策略:
定义了登录ID如何被自动创建。
4.密码策略:
定义了密码强度等内容。
5.Reconciliation:
比对本地用户信息和服务器存储的用户信息。分为两类:
a.将权限信息导入ITIM数据库。
b.监视进入ITIM的用户。
步骤1:一个管理员发起REconciliation。
步骤2:TIM向所选择的Service发起Reconciliation的请求。
步骤3:系统收集信息并返回个给TIM。
步骤4:TIM与LDAP进行比对。
步骤5:TIM试图找出账户拥有者。
步骤6:若找到账户拥有者则账号的改变依据分配策略而进行改变。
步骤7:账户根据policy enforcement 进行更改。
而Policy Check则是对在ITIM之外的创建或修改的动作进行的监管,默认是使能的,但是若并不在乎non-compliance或者想提高效率则disable掉这个选择。
使用Policy Check发现问题时在Configure Policy Enforcement Behavior上设定如何处理,当然也可以在Configure Global Policy Enforcement里设置。
Reconciliation Query 则使用LDAP或者一些属性完成部分的Reconciliation,减少不必要的查询和比对,提高效率。