Inhalt
|
Administrationsdienstattribute
Der Administrationsdienst weist globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden. Auf die Organisation angewendete Werte sind für die einzelne Organisation konfigurierte Standardwerte, die bei der Registrierung des Dienstes für die Organisation geändert werden können. Die Organisationsattribute werden nicht über Einträge der Organisation vererbt. Die Administrationsattribute werden in zwei Arten unterteilt:
Globale Attribute
Der Administrationsdienst weist folgende globale Attribute auf:
Verbindungsverwaltung aktivieren
Wenn diese Option gewählt wird, wird die Verbindungsverwaltung aktiviert. Diese Option ist standardmäßig ausgewählt. Um diese Option zu deaktivieren, heben Sie die Auswahl der Option auf. Die Registerkarte "Verbindungsverwaltungsdienst" wird nicht in der Konsole angezeigt.
Benutzerverwaltung aktivieren
Wenn dieser Wert auf "wahr" gesetzt ist, wird durch dieses Feld die Benutzerverwaltung aktiviert. Dies ist die Standardeinstellung.
Personen-Container anzeigen
Dieses Attribut gibt an, ob Personen-Container in der Access Manager Console angezeigt werden. Ist diese Option ausgewählt, wird die Menüauswahl "Personen-Container" im Menü "Ansicht" für Organisationen, Container und Gruppen-Container angezeigt. Personen-Container werden nur im Fall eines flach aufgebauten DIT auf der obersten Ebene angezeigt.
Personen-Container sind Organisationseinheiten, die Benutzerprofile enthalten. Es empfiehlt sich, einen einzelnen Personen-Container in Ihrem DIT zu verwenden und die Flexibilität der Rollen zur Verwaltung von Konten und Diensten zu nutzen. Standardmäßig wird der Personen-Container in der Access Manager Console ausgeblendet. Falls Sie jedoch über mehrere Personen-Container in Ihrem DIT verfügen, wählen Sie die Option "Personen-Container anzeigen", um die Personen-Container als verwaltete Objekte in der Access Manager Console anzuzeigen.
Container in Ansichtsmenü anzeigen
Dieses Attribut gibt an, ob Container im Menü "Ansicht" der Access Manager Console angezeigt werden. Der Standardwert ist falsch. Ein Administrator hat folgende Auswahlmöglichkeiten:
- Falsch (deaktiviertes Kontrollkästchen) – Unter den Auswahlmöglichkeiten im Menü "Ansicht" auf der obersten Ebene für Organisationen und andere Container sind keine Container aufgeführt.
- Wahr (aktiviertes Kontrollkästchen) – Unter den Auswahlmöglichkeiten im Menü "Ansicht" auf der obersten Ebene für Organisationen und andere Container sind Container aufgeführt.
Gruppen-Container anzeigen
Dieses Attribut gibt an, ob Gruppen-Container in der Access Manager Console angezeigt werden. Ist diese Option ausgewählt, wird die Menüauswahl "Gruppen-Container" im Menü "Ansicht" für Organisationen, Container und Gruppen-Container angezeigt. Gruppen-Container sind Organisationseinheiten für Gruppen.
Typ der verwalteten Gruppe
Mit dieser Option wird festgelegt, ob über die Konsole erstellte Subskriptionsgruppen als statische oder dynamische Gruppen angelegt werden. Über die Konsole werden entweder statische oder dynamische Subskriptionsgruppen erstellt und angezeigt. Die Verwendung beider Gruppentypen gleichzeitig ist nicht möglich. (Gefilterte Gruppen werden immer unterstützt; der diesem Attribut zugewiesene Wert spielt dabei keine Rolle.) Der Standardwert ist "Dynamic".
- Eine statische Gruppe listet unter Verwendung der Objektklassen groupOfNames oder groupOfUniqueNames explizit jedes Gruppenmitglied auf. Der Gruppeneintrag enthält für jedes Gruppenmitglied das Attribut uniqueMember. Mitglieder statischer Gruppen werden manuell hinzugefügt. Der Benutzereintrag selbst bleibt dabei unverändert. Gruppen mit wenigen Mitgliedern sollten als statische Gruppen konfiguriert werden.
- Eine dynamische Gruppe verwendet bei der Eintragung jedes neuen Gruppenmitglieds das Attribut memberOf. Mitglieder dynamischer Gruppen werden über einen LDAP-Filter erstellt, der alle Einträge sucht, die das Attribut memberOf enthalten. Gruppen mit sehr vielen Mitgliedern sollten als dynamische Gruppen konfiguriert werden.
- Eine gefilterte Gruppe verwendet einen LDAP-Filter, um Mitglieder zu suchen, die die über den Filter definierten Kriterien erfüllen. Der Filter generiert beispielsweise Mitglieder mit einer bestimmten Benutzer-ID (uid=g*) oder E-Mail-Adresse (mail=*@sun.com). Als Suchergebnis der oben angeführten Beispiele würde der LDAP-Filter alle Benutzer zurückgeben, deren Benutzer-ID mit g beginnt oder deren E-Mail-Adresse auf sun.com endet. Gefilterte Gruppen können nur innerhalb der Ansicht "Benutzerverwaltung" durch Auswahl der Option "Mitgliedschaft nach Filter" erstellt werden.
Administratoren können einen der folgenden Werte auswählen:
Standardrollenberechtigungen
Über dieses Attribut wird eine Liste standardmäßiger ACIs (Access Control Instructions, Zugriffskontrollanweisungen) bzw. Berechtigungen definiert, anhand derer bei der Erstellung neuer Rollen Privilegien erteilt werden. Die Auswahl einer dieser ACIs erfolgt gemäß der gewünschten Berechtigungsebene. Access Manager wird mit vier Standard-Rollenberechtigungen geliefert:
Keine Berechtigungen
Dieser Rolle werden keine Berechtigungen zugewiesen.
Organisations-Admin
Der Organisations-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in der konfigurierten Organisation.
Organisations-Help-Desk-Admin
Der Organisations-Help-Desk-Administrator verfügt über Lesezugriff auf alle Einträge in der konfigurierten Organisation und über Schreibzugriff auf das Attribut userPassword.
Organisations-Richtlinien-Admin
Der Organisations-Richtlinien-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation. Der Organisations-Richtlinien-Administrator kann keine Bezugsrichtlinie für eine Peer-Organisation erstellen.
Domänen-Komponentenbaum aktivieren
Der Domänen-Komponentenbaum (DC-Baum) stellt eine spezifische DIT-Struktur dar, die von vielen Sun Java System-Komponenten für die Zuweisung von DNS-Namen und Organisationseinträgen verwendet wird.
Ist diese Option aktiviert, wird der DC-Baumeintrag für eine Organisation erstellt, wenn der DNS-Name der Organisation zum Zeitpunkt der Erstellung der Organisation eingegeben wurde. Das DNS-Namensfeld wird auf der Seite "Organisation erstellen" angezeigt. Diese Option ist nur für die Verwendung in Kombination mit Organisationen oberster Ebene vorgesehen und wird nicht für Unterorganisationen angezeigt.
Jede Statusänderung, die an dem Attribut inetdomainstatus über Access Manager SDK im Organisationsbaum vorgenommen wird, führt zu einer Eintragsstatusaktualisierung des entsprechenden DC-Baumes. (Statusaktualisierungen, die nicht über Access Manager SDK vorgenommen werden, werden nicht synchronisiert.) Wird beispielsweise eine neue Organisation namens sun mit dem DNS-Namensattribut sun.com erstellt, wird im DC-Baum folgender Eintrag erstellt:
dc=sun,dc=com,o=internet,Stammsuffix
Der DC-Baum verfügt gegebenenfalls über ein eigenes Stammsuffix, das durch das Setzen von com.iplanet.am.domaincomponent in AMConfig.properties konfiguriert wurde. Standardmäßig wird das Access Manager-Stammverzeichnis als Suffix übernommen. Soll ein anderes Suffix verwendet werden, muss dieses unter Verwendung von LDAP-Befehlen erstellt werden. Die ACIs für Administratoren, die zur Erstellung von Organisationen berechtigt sind, müssen modifiziert werden, damit der uneingeschränkte Zugriff auf das neue Stammverzeichnis des DC-Baumes gewährleistet ist.
Admin-Gruppen aktivieren
Über diese Option wird angegeben, ob die DomainAdministrators- und DomainHelpDeskAdministrators-Gruppen erstellt werden. Wurde diese Option aktiviert (auf wahr gesetzt), werden die oben genannten Gruppen erstellt und jeweils der Organisations-Admin- und der Organisations-Help-Desk-Admin-Rolle zugeordnet. Wird nach der Erstellung ein Benutzer zu einer dieser zugeordneten Rollen hinzugefügt oder daraus entfernt, wird dieser Vorgang synchron für die entsprechende Gruppe durchgeführt. Umgekehrt funktioniert dieses Verfahren allerdings nicht. Durch das Hinzufügen oder Entfernen eines Benutzers zu oder aus einer dieser Gruppen wird er nicht gleichzeitig für die jeweils zugeordneten Rollen hinzugefügt oder entfernt.
Die DomainAdministrators- und DomainHelpDeskAdministrators-Gruppen werden nur innerhalb von Organisationen erstellt, die nach Aktivierung dieser Option erstellt wurden.
Einwilligung Benutzer-Löschung aktivieren
Über diese Option wird angegeben, ob ein Benutzereintrag tatsächlich aus dem Verzeichnis gelöscht oder nur als gelöscht markiert wird. Wird ein Benutzereintrag gelöscht und wurde diese Option aktiviert (wahr), ist der Benutzereintrag weiterhin im Verzeichnis vorhanden, wird jedoch als gelöscht markiert. Benutzereinträge, die zum Löschen markiert sind, werden bei Directory Server-Suchläufen ignoriert. Wurde diese Option nicht aktiviert, wird der Benutzereintrag aus dem Verzeichnis gelöscht.
Dynamische ACIs für Admin-Rollen
Dieses Attribut definiert die Zugriffskontrollanweisungen für die Administratorrollen, die dynamisch erstellt werden, wenn eine Gruppe oder Organisation mit Access Manager konfiguriert wird. Anhand dieser Rollen werden Administrationsprivilegien für die jeweils erstellte Eintragsgruppe erteilt. Die standardmäßigen ACIs können nur unter dieser Attributliste geändert werden.
Container-Help-Desk-Admin
Die Container-Help-Desk-Admin-Rolle verfügt über Lesezugriff auf alle Einträge in der Organisationseinheit und über Schreibzugriff auf das Attribut userPassword in Benutzereinträgen in der betreffenden Containereinheit.
Organisations-Help-Desk-Admin
Der Organisations-Help-Desk-Admin verfügt über Lesezugriff auf alle Einträge in der Organisation und über Schreibzugriff auf das Attribut userPassword.
Hinweis
Bedenken Sie bei der Erstellung einer Unterorganisation, dass die Administrator-Rollen innerhalb der Unterorganisationen und nicht innerhalb der übergeordneten Organisation erstellt werden.
Container-Admin
Der Container-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer LDAP-Organisationseinheit. "Container" ist eine bei Access Manager häufig verwendete Bezeichnung für eine LDAP-Organisationseinheit.
Organisations-Richtlinien-Admin
Der Organisations-Richtlinien-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation und kann innerhalb dieser Organisation sämtliche Richtlinien erstellen, zuweisen, ändern und löschen.
Personen-Container-Admin
Standardmäßig ist jeder Benutzereintrag in einer neuen Organisation Mitglied des Personen-Containers der betreffenden Organisation. Der Personen-Container-Administrator verfügt über Lese- und Schreibzugriff auf alle Benutzereinträge im Personen-Container der Organisation. Berücksichtigen Sie, dass diese Rolle KEINEN Lese- oder Schreibzugriff auf die Attribute einschließt, die Rollen- oder Gruppen-DNs enthalten. Aus diesem Grund ist weder eine Bearbeitung von Rollen- oder Gruppen-Attributen noch das Entfernen von Benutzern aus einer Rolle oder Gruppe möglich.
Gruppen-Admin
Der Gruppen-Administrator verfügt über Lese- und Schreibzugriff auf alle Mitglieder einer bestimmten Gruppe und kann neue Benutzer erstellen, verwaltete Benutzer zu Gruppen zuordnen sowie erstellte Benutzer löschen.
Bei der Erstellung einer Gruppe wird die Gruppen-Administrator-Rolle automatisch generiert und mit den für die Verwaltung der Gruppe erforderlichen Privilegien versehen. Die Rolle wird nicht automatisch einem Gruppenmitglied zugeordnet. Die Zuordnung muss über den Ersteller der Gruppe bzw. über einen Benutzer, der über Zugriff auf die Gruppen-Administrator-Rolle verfügt, erfolgen.
Top-Level-Admin
Der Top-Level-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in der Organisation der obersten Ebene. Mit anderen Worten: Die Rolle Top-Level-Admin verfügt über Privilegien für jede Hauptkonfiguration innerhalb der Access Manager-Anwendung.
Organisations-Admin
Der Organisations-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation. Bei der Erstellung einer Organisation wird die Organisations-Administrator-Rolle automatisch generiert und mit den für die Verwaltung der Organisation erforderlichen Privilegien versehen.
Benutzerprofil-Dienstklasse
In diesem Attribut werden die Dienste aufgeführt, deren Anzeige auf der Seite "Benutzerprofil" angepasst ist. Für einige Dienste kann die Standardanzeige der Konsole nicht ausreichend sein. Über dieses Attribut kann die Anzeige für jeden Dienst angepasst werden. Sie erhalten so die vollständige Kontrolle darüber, welche Informationen über Dienste angezeigt werden und wie dies geschieht. Die Syntax ist:
service name | relative url
Attributliste für DC-Knoten
Über dieses Feld wird eine Gruppe von Attributen definiert, die bei der Erstellung von Objekten im DC-Baum festgelegt werden. Die Standardparameter sind:
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
Filter für gelöschte Objekte suchen
Über dieses Feld werden die Suchfilter für jene Objekte festgelegt, die bei Aktivierung des Einwilligung Benutzer-Löschung-Modus entfernt werden.
Standard-Personen-Container
Dieses Attribut gibt den Standard-Personen-Container an, in dem der Benutzer erstellt wird.
Standard-Gruppen-Container
Dieses Attribut gibt den Standard-Gruppen-Container an, in dem die Gruppe erstellt wird.
Standard-Agent-Container
Dieses Attribut gibt den Standard-Agent-Container an, in dem der Agent erstellt wird.
Organisationsattribute
Der Administrationsdienst weist die folgenden Organisationsattribute auf:
Standard-Personen-Container von Gruppen
In diesem Feld wird angegeben, in welchem Personen-Container Benutzer bei der Erstellung standardmäßig abgelegt werden. Für diese Option gibt es keinen Standardwert. Gültige Werte sind DNs von Personen-Containern. Informationen über die Rangfolge bei der automatischen Auswahl von Personen-Containern finden Sie im Hinweis unter Personen-Container-Liste von Gruppen.
Personen-Container-Liste von Gruppen
In diesem Feld wird eine Liste von Personen-Containern angezeigt, aus denen ein Gruppen-Administrator beim Erstellen eines neuen Benutzers auswählen kann. Diese Liste kann verwendet werden, wenn mehrere Personen-Container innerhalb des Verzeichnisbaums verfügbar sind. (Wenn weder in dieser Liste noch im Feld "Standard-Personen-Container von Gruppen" ein Personen-Container angegeben wird, werden Benutzer im standardmäßigen Personen-Container von Access Manager erstellt: in ou=people.) Für dieses Feld gibt es keinen Standardwert. Die Syntax für dieses Attribut lautet folgendermaßen:
DN der Gruppe | DN des Personen-Containers
Benutzerprofil-Anzeigeklasse
Über dieses Attribut wird die Java-Klasse angegeben, die von der Access Manager Console verwendet wird, wenn die Seiten der Benutzerprofile angezeigt werden.
Endbenutzerprofil-Anzeigenklasse
Über dieses Attribut wird die Java-Klasse angegeben, die von der Access Manager Console verwendet wird, wenn die Seiten der Benutzerprofile angezeigt werden.
Rollen auf Benutzerprofil-Seite anzeigen
Mit dieser Option wird festgelegt, ob auf der Benutzerprofil-Seite eine Liste der dem Benutzer zugewiesenen Rollen angezeigt werden soll. Wird der Wert auf falsch (nicht ausgewählt) gesetzt, sind die Rollen auf der Benutzerprofil-Seite nur für Administratoren sichtbar. Der Standardwert ist falsch.
Gruppen auf Benutzerprofil-Seite anzeigen
Mit dieser Option wird festgelegt, ob auf der Benutzerprofil-Seite eine Liste der dem Benutzer zugewiesenen Gruppen angezeigt werden soll. Wird der Wert auf falsch (nicht ausgewählt) gesetzt, sind die Gruppen auf der Benutzerprofil-Seite nur für Administratoren sichtbar. Der Standardwert ist falsch.
Automatische Benutzersubskription aktivieren für Gruppe
Mit dieser Option wird festgelegt, ob Benutzer sich eigenständig zu Mitgliedern von Gruppen machen können, die für die Subskription geöffnet sind. Wird der Wert auf "falsch" gesetzt, ist die Änderung der Gruppenmitgliedschaft eines Benutzers über die Benutzerprofil-Seite nur durch einen Administrator möglich. Der Standardwert ist falsch.
Hinweis
Diese Option wird nur verwendet, wenn die Option Gruppen auf Benutzerprofil-Seite anzeigen aktiviert ist.
Optionen für Benutzerprofil-Anzeige
Über dieses Menü wird festgelegt, welche Dienstattribute auf der Benutzerprofil-Seite angezeigt werden. Administratoren können einen der folgenden Werte auswählen:
Standardrollen bei Benutzererstellung
Durch diese Liste werden Rollen definiert, die neu erstellten Benutzern automatisch zugewiesen werden. Für diese Option gibt es keinen Standardwert. Administratoren können den DN einer oder mehrerer Rollen eingeben.
Tabulatoren der Admin-Konsole
In diesem Feld werden die Java-Klassen der im oberen Bereich der Konsole aufgeführten Module angezeigt. Die Syntax ist: i18N-Schlüssel | Name der Java-Klasse. (Der i18N-Schlüssel wird für den lokalisierten Namen des Eintrags im Menü "Ansicht" verwendet.)
Maximale Ergebnisse aus Suchlauf
In diesem Feld wird angegeben, wie viele Suchergebnisse maximal angezeigt werden. Der Standardwert ist 100.
Timeout für Suche
In diesem Feld wird angegeben, wie lange (in Sekunden) eine Suche fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Auf diese Weise können überlange Suchvorgänge abgebrochen werden. Wenn die angegebene Höchstdauer für die Suche erreicht ist, wird ein Fehler ausgegeben. Der Standardwert ist 5 Sekunden.
JSP-Verzeichnisname
In diesem Feld wird der Name des Verzeichnisses angegeben, in dem die .jsp-Dateien enthalten sind, die beim Aufbau der Konsole verwendet wurden, um eine unterschiedliche Gestaltung (Anpassung) der Organisation zu ermöglichen. Die .jsp-Dateien müssen in das in diesem Feld angegebene Verzeichnis kopiert werden.
Dokumente der Online-Hilfe
In diesem Feld werden die Links zur Online-Hilfe aufgelistet, die auf der Hauptseite für die Access Manager-Hilfe erstellt werden. Auf diese Weise können auch Online-Hilfe-Links für andere Anwendungen auf der Access Manager-Seite enthalten sein. Das Format für dieses Attribut lautet folgendermaßen:
Link-i18n-Schlüssel | Bei Klick zu ladende HTML-Seite| i18n-Eigenschaftendatei | Remote-Server
Hinweis
Remote Server ist ein optionales Argument, mit dem Sie den Remote-Server angegeben können, auf dem sich das Online-Hilfe-Dokument befindet.
Beispielsweise:
IdentityServer -Hilfe | /AMAdminHelp.html | amAdminModuleMsgs
Erforderliche Dienste
In diesem Feld werden die Dienste aufgeführt, die dynamisch zu den Benutzereinträgen bei deren Erstellung hinzugefügt werden. Administratoren können angeben, welche Dienste zum Zeitpunkt der Erstellung hinzugefügt werden sollen.
Dieses Attribut wird nicht von der Konsole, sondern in Kombination mit dem Access Manager SDK verwendet. Dynamisch und mit dem Befehlszeilendienstprogramm amadmin erstellten Benutzern werden die in diesem Attribut aufgeführten Dienste zugewiesen.
Schlüssel für Benutzersuche
Über dieses Attribut werden die Attributnamen definiert, die bei Durchführung eines einfachen Suchlaufs auf der Navigationsseite gesucht werden sollen. Der Standardwert für dieses Attribut lautet cn. Wenn Sie diesen Standardwert für das Attribut verwenden, wird der Suchlauf wie nachfolgend aufgezeigt durchgeführt:
Wenn Sie j* in das Feld "Name" des Navigations-Frames eingeben, werden Benutzer angezeigt, deren Name mit "j" oder "J" beginnt.
Rückgabeattribut für Benutzersuche
Über dieses Feld werden Attributnamen definiert, die bei der Anzeige der zurückgegebenen Benutzer nach einem einfachen Suchlauf verwendet werden. Der Standardwert für dieses Attribut lautet uid cn. Es bewirkt, dass Benutzer-ID und vollständiger Benutzername angezeigt werden.
Der zuerst angezeigte Attributname dient außerdem als Schlüssel zur Sortierung der ausgegebenen Benutzergruppe. Um einen Leistungsabfall zu vermeiden, sollten Sie ein Attribut verwenden, dessen Wert durch einen Benutzereintrag festgelegt wird.
Benachrichtigungsliste für Benutzererstellung
Über dieses Feld wird eine Liste mit E-Mail-Adressen definiert, an die nach der Erstellung eines neuen Benutzers eine Benachrichtigung gesendet wird. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:
E-Mail|Ländereinstellung|Zeichensatz
E-Mail|Ländereinstellung|Zeichensatz
E-Mail|Ländereinstellung|Zeichensatz
Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:
einbenutzer@beispiel.com|fr|fr
Hinweis
Die E-Mail-ID des Absenders kann geändert werden, indem die Eigenschaft 497 in amProfile.properties, geändert wird, die sich standardmäßig unter AccessManager-base/SUNWam/locale befindet.
Benachrichtigungsliste für Benutzerlöschvorgang
Über dieses Feld wird eine Liste mit E-Mail-Adressen definiert, an die nach dem Löschen eines Benutzers eine Benachrichtigung gesendet wird. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:
E-Mail|Ländereinstellung|Zeichensatz
E-Mail|Ländereinstellung|Zeichensatz
E-Mail|Ländereinstellung|Zeichensatz
Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:
einbenutzer@beispiel.com|fr|fr
Benachrichtigungsliste für Benutzermodifizierung
Über dieses Feld wird eine Liste mit Attributen und E-Mail-Adressen definiert, die diesem Attribut zugeordnet sind. Wird ein in dieser Liste enthaltenes Attribut modifiziert, wird an die dem Attribut zugeordnete E-Mail-Adresse eine Benachrichtigung gesendet. Jedem Attribut können verschiedene Adressen zugeordnet werden. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:
attrName E-Mail|locale|Zeichensatz E-Mail|Ländereinstellung|Zeichensatz .....
attrName E-Mail|locale|Zeichensatz E-Mail|Ländereinstellung|Zeichensatz .....
Das Schlüsselwort selbst kann anstelle einer der Adressen verwendet werden. Hierdurch werden E-Mails an den Benutzer gesendet, dessen Profil geändert wurde.
Beispielsweise:
manager someuser@sun.com|self|admin@sun.com
Es werden E-Mails an die im Attributmanager angegebene Adresse gesendet, an someuser@sun.com, admin@sun sowie an die Person, die den Benutzer (selbst) geändert hat.
Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:
manager someuser@sun.com|self|admin@sun.com
Hinweis
Der Attributname stimmt mit dem im Schema des Directory Servers angezeigten Namen überein. Es wird nicht der Anzeigename aus der Konsole verwendet.
Maximale Anzahl der pro Seite angezeigten Einträge
Über dieses Attribut legen Sie die maximale Anzahl der pro Seite angezeigten Zeilen fest. Der Standardwert ist 25. Wenn beispielsweise die Suche eines Benutzers 100 Zeilen zurückgibt, werden vier Seiten mit jeweils 25 Zeilen angezeigt.
Ereigniszielgeräteklassen
Dieses Attribut enthält eine Liste der Zielgeräte, die Erstellungs-, Änderungs- und Löschereignisse von der Access Manager Console empfangen können.
Vor- und Nachverarbeitungsklassen
Über dieses Feld wird eine Liste von Implementierungsklassen definiert (Plug-Ins), welche die Klasse com.iplanet.am.sdk.AMCallBack um die Möglichkeit zum Empfang von Rückrufen bei Vor- und Nachverarbeitungsvorgängen für Benutzer, Organisationen, Rollen und Gruppen erweitern. Die folgenden Vorgänge sind möglich:
Sie müssen den vollständigen Klassennamen des Plug-Ins angeben. Beispiel:
com.iplanet.am.sdk.AMCallbacSample
Anschließend müssen Sie den Klassenpfad Ihres Web-Containers (ausgehend von der Installationsbasis von Access Manager) so abändern, dass er den vollständigen Pfad der Plug-In-Klasse enthält.
Externen Attributabruf aktivieren
Durch diese Option erhalten Plug-Ins die Möglichkeit, durch einen Rückruf externe Attribute abzurufen (beliebige Sonderattribute externer Anwendungen). Externe Attribute werden nicht in der Identity Server SDK gecacht. Diese Option ermöglicht also einen Abruf von Attributen auf Organisationsebene. Sie ist standardmäßig nicht aktiviert.
Ungültige Benutzer-ID-Zeichen
Mit diesem Attribut wird eine Liste der Zeichen definiert, die in einem Benutzernamen nicht zulässig sind.
Jedes Zeichen muss durch das Zeichen | getrennt werden. Beispielsweise:
*|(|)|&|!
Benutzer-ID- und Passwort-Validierungs-Plug-In-Klasse
Diese Klasse bietet einen Benutzer-ID- und Passwort-Validierungs-Plug-In-Mechanismus.
Die Methoden dieser Klasse müssen von den Implementierungs-Plug-In-Modules überschrieben werden, die die Benutzer-ID bzw. das Passwort für den Benutzer bestätigen. Die Implementierungs-Plug-In-Module werden aufgerufen, sobald eine Benutzer-ID oder ein Passwortwert mit der Access Manager Console, der amadmin-Befehlszeilenschnittstelle oder der SDK hinzugefügt oder geändert wird.
Die Plug-Ins zur Erweiterung dieser Klasse können für jede einzelne Organisation konfiguriert werden. Wird kein Plug-In für eine Organisation konfiguriert, wird das auf globaler Ebene konfigurierte Plug-In verwendet.
Wenn die Bestätigung des Plug-Ins fehlschlägt, kann das Plug-In-Modul eine Ausnahme ausgeben, damit die Anwendung den Fehler in der vom Benutzer eingegebenen Benutzer-ID oder dem Passwort anzeigt.
Inhalt |