Inhalt    

Administrationsdienstattribute

Der Administrationsdienst weist globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden. Auf die Organisation angewendete Werte sind für die einzelne Organisation konfigurierte Standardwerte, die bei der Registrierung des Dienstes für die Organisation geändert werden können. Die Organisationsattribute werden nicht über Einträge der Organisation vererbt. Die Administrationsattribute werden in zwei Arten unterteilt:

Globale Attribute

Der Administrationsdienst weist folgende globale Attribute auf:

Verbindungsverwaltung aktivieren

Wenn diese Option gewählt wird, wird die Verbindungsverwaltung aktiviert. Diese Option ist standardmäßig ausgewählt. Um diese Option zu deaktivieren, heben Sie die Auswahl der Option auf. Die Registerkarte "Verbindungsverwaltungsdienst" wird nicht in der Konsole angezeigt.

Benutzerverwaltung aktivieren

Wenn dieser Wert auf "wahr" gesetzt ist, wird durch dieses Feld die Benutzerverwaltung aktiviert. Dies ist die Standardeinstellung.

Personen-Container anzeigen

Dieses Attribut gibt an, ob Personen-Container in der Access Manager Console angezeigt werden. Ist diese Option ausgewählt, wird die Menüauswahl "Personen-Container" im Menü "Ansicht" für Organisationen, Container und Gruppen-Container angezeigt. Personen-Container werden nur im Fall eines flach aufgebauten DIT auf der obersten Ebene angezeigt.

Personen-Container sind Organisationseinheiten, die Benutzerprofile enthalten. Es empfiehlt sich, einen einzelnen Personen-Container in Ihrem DIT zu verwenden und die Flexibilität der Rollen zur Verwaltung von Konten und Diensten zu nutzen. Standardmäßig wird der Personen-Container in der Access Manager Console ausgeblendet. Falls Sie jedoch über mehrere Personen-Container in Ihrem DIT verfügen, wählen Sie die Option "Personen-Container anzeigen", um die Personen-Container als verwaltete Objekte in der Access Manager Console anzuzeigen.

Container in Ansichtsmenü anzeigen

Dieses Attribut gibt an, ob Container im Menü "Ansicht" der Access Manager Console angezeigt werden. Der Standardwert ist falsch. Ein Administrator hat folgende Auswahlmöglichkeiten:

Gruppen-Container anzeigen

Dieses Attribut gibt an, ob Gruppen-Container in der Access Manager Console angezeigt werden. Ist diese Option ausgewählt, wird die Menüauswahl "Gruppen-Container" im Menü "Ansicht" für Organisationen, Container und Gruppen-Container angezeigt. Gruppen-Container sind Organisationseinheiten für Gruppen.

Typ der verwalteten Gruppe

Mit dieser Option wird festgelegt, ob über die Konsole erstellte Subskriptionsgruppen als statische oder dynamische Gruppen angelegt werden. Über die Konsole werden entweder statische oder dynamische Subskriptionsgruppen erstellt und angezeigt. Die Verwendung beider Gruppentypen gleichzeitig ist nicht möglich. (Gefilterte Gruppen werden immer unterstützt; der diesem Attribut zugewiesene Wert spielt dabei keine Rolle.) Der Standardwert ist "Dynamic".

Administratoren können einen der folgenden Werte auswählen:

Standardrollenberechtigungen

Über dieses Attribut wird eine Liste standardmäßiger ACIs (Access Control Instructions, Zugriffskontrollanweisungen) bzw. Berechtigungen definiert, anhand derer bei der Erstellung neuer Rollen Privilegien erteilt werden. Die Auswahl einer dieser ACIs erfolgt gemäß der gewünschten Berechtigungsebene. Access Manager wird mit vier Standard-Rollenberechtigungen geliefert:

Keine Berechtigungen

Dieser Rolle werden keine Berechtigungen zugewiesen.

Organisations-Admin

Der Organisations-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in der konfigurierten Organisation.

Organisations-Help-Desk-Admin

Der Organisations-Help-Desk-Administrator verfügt über Lesezugriff auf alle Einträge in der konfigurierten Organisation und über Schreibzugriff auf das Attribut userPassword.

Organisations-Richtlinien-Admin

Der Organisations-Richtlinien-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation. Der Organisations-Richtlinien-Administrator kann keine Bezugsrichtlinie für eine Peer-Organisation erstellen.


Hinweis

Rollen werden unter Verwendung des Formats aci_name | aci_beschr | dn:aci ## dn:aci ## dn:aci definiert, wobei:

  • aci_name für den Namen der ACI steht und
  • aci_beschr für eine Beschreibung des mit den betreffenden ACIs möglichen Zugriffs steht. Um die Benutzerfreundlichkeit zu erhöhen, sollten Sie bei der Formulierung dieser Beschreibungen davon ausgehen, dass die Personen, die sie lesen, unter Umständen nicht mit ACIs oder anderen Verzeichniskonzepten vertraut sind.

aci_name und aci_beschr sind i18n-Schlüssel, die in der Datei amAdminUserMsgs.properties enthalten sind. Die in der Konsole angezeigten Werte stammen aus der Datei.properties und die Schlüssel werden zum Abrufen dieser Werte verwendet.

  • dn:aci stellt DN- und ACI-Paare dar, die durch ## voneinander getrennt werden. Access Manager legt die einzelnen ACIs in den zugehörigen DN-Einträgen fest. Dieses Format unterstützt auch Tags, die durch Werte ersetzt werden, die anderenfalls explizit in einer ACI angegeben werden müssten: ROLENAME, ORGANIZATION, GROUPNAME und PCNAME. Durch Einsatz dieser Tags können Sie Rollen definieren, die aufgrund ihrer hohen Flexibilität als Standardrollen verwendet werden können. Wird eine Rolle auf der Grundlage einer dieser Standardrollen erstellt, werden die Tags in der ACI durch Werte aus dem DN der neuen Rolle ersetzt.

Domänen-Komponentenbaum aktivieren

Der Domänen-Komponentenbaum (DC-Baum) stellt eine spezifische DIT-Struktur dar, die von vielen Sun Java System-Komponenten für die Zuweisung von DNS-Namen und Organisationseinträgen verwendet wird.

Ist diese Option aktiviert, wird der DC-Baumeintrag für eine Organisation erstellt, wenn der DNS-Name der Organisation zum Zeitpunkt der Erstellung der Organisation eingegeben wurde. Das DNS-Namensfeld wird auf der Seite "Organisation erstellen" angezeigt. Diese Option ist nur für die Verwendung in Kombination mit Organisationen oberster Ebene vorgesehen und wird nicht für Unterorganisationen angezeigt.

Jede Statusänderung, die an dem Attribut inetdomainstatus über Access Manager SDK im Organisationsbaum vorgenommen wird, führt zu einer Eintragsstatusaktualisierung des entsprechenden DC-Baumes. (Statusaktualisierungen, die nicht über Access Manager SDK vorgenommen werden, werden nicht synchronisiert.) Wird beispielsweise eine neue Organisation namens sun mit dem DNS-Namensattribut sun.com erstellt, wird im DC-Baum folgender Eintrag erstellt:

dc=sun,dc=com,o=internet,Stammsuffix

Der DC-Baum verfügt gegebenenfalls über ein eigenes Stammsuffix, das durch das Setzen von com.iplanet.am.domaincomponent in AMConfig.properties konfiguriert wurde. Standardmäßig wird das Access Manager-Stammverzeichnis als Suffix übernommen. Soll ein anderes Suffix verwendet werden, muss dieses unter Verwendung von LDAP-Befehlen erstellt werden. Die ACIs für Administratoren, die zur Erstellung von Organisationen berechtigt sind, müssen modifiziert werden, damit der uneingeschränkte Zugriff auf das neue Stammverzeichnis des DC-Baumes gewährleistet ist.

Admin-Gruppen aktivieren

Über diese Option wird angegeben, ob die DomainAdministrators- und DomainHelpDeskAdministrators-Gruppen erstellt werden. Wurde diese Option aktiviert (auf wahr gesetzt), werden die oben genannten Gruppen erstellt und jeweils der Organisations-Admin- und der Organisations-Help-Desk-Admin-Rolle zugeordnet. Wird nach der Erstellung ein Benutzer zu einer dieser zugeordneten Rollen hinzugefügt oder daraus entfernt, wird dieser Vorgang synchron für die entsprechende Gruppe durchgeführt. Umgekehrt funktioniert dieses Verfahren allerdings nicht. Durch das Hinzufügen oder Entfernen eines Benutzers zu oder aus einer dieser Gruppen wird er nicht gleichzeitig für die jeweils zugeordneten Rollen hinzugefügt oder entfernt.

Die DomainAdministrators- und DomainHelpDeskAdministrators-Gruppen werden nur innerhalb von Organisationen erstellt, die nach Aktivierung dieser Option erstellt wurden.


Hinweis

Diese Option kann mit Ausnahme der Root-Organisation nicht für Unterorganisationen verwendet werden. Für die Root-Organisation werden die ServiceAdministrators- und ServiceHelpDesk Administrators-Gruppen jeweils den Top-Level-Admin- und den Top-Level-Help-Desk-Admin-Rollen zugeordnet. Die Funktionsweise ist identisch.


Einwilligung Benutzer-Löschung aktivieren

Über diese Option wird angegeben, ob ein Benutzereintrag tatsächlich aus dem Verzeichnis gelöscht oder nur als gelöscht markiert wird. Wird ein Benutzereintrag gelöscht und wurde diese Option aktiviert (wahr), ist der Benutzereintrag weiterhin im Verzeichnis vorhanden, wird jedoch als gelöscht markiert. Benutzereinträge, die zum Löschen markiert sind, werden bei Directory Server-Suchläufen ignoriert. Wurde diese Option nicht aktiviert, wird der Benutzereintrag aus dem Verzeichnis gelöscht.

Dynamische ACIs für Admin-Rollen

Dieses Attribut definiert die Zugriffskontrollanweisungen für die Administratorrollen, die dynamisch erstellt werden, wenn eine Gruppe oder Organisation mit Access Manager konfiguriert wird. Anhand dieser Rollen werden Administrationsprivilegien für die jeweils erstellte Eintragsgruppe erteilt. Die standardmäßigen ACIs können nur unter dieser Attributliste geändert werden.


Vorsicht

Administratoren auf Organisations-Ebene verfügen über einen umfassenderen Zugriff als Gruppen-Administratoren. Jedoch kann ein Benutzer standardmäßig das Passwort für jedes Mitglied der Gruppe ändern, wenn er zu einer Gruppen-Administrator-Rolle hinzugefügt wurde. Dies gilt auch für jeden Organisations-Administrator, der Mitglied dieser Gruppe ist.


Container-Help-Desk-Admin

Die Container-Help-Desk-Admin-Rolle verfügt über Lesezugriff auf alle Einträge in der Organisationseinheit und über Schreibzugriff auf das Attribut userPassword in Benutzereinträgen in der betreffenden Containereinheit.

Organisations-Help-Desk-Admin

Der Organisations-Help-Desk-Admin verfügt über Lesezugriff auf alle Einträge in der Organisation und über Schreibzugriff auf das Attribut userPassword.


Hinweis

Bedenken Sie bei der Erstellung einer Unterorganisation, dass die Administrator-Rollen innerhalb der Unterorganisationen und nicht innerhalb der übergeordneten Organisation erstellt werden.


Container-Admin

Der Container-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer LDAP-Organisationseinheit. "Container" ist eine bei Access Manager häufig verwendete Bezeichnung für eine LDAP-Organisationseinheit.

Organisations-Richtlinien-Admin

Der Organisations-Richtlinien-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation und kann innerhalb dieser Organisation sämtliche Richtlinien erstellen, zuweisen, ändern und löschen.

Personen-Container-Admin

Standardmäßig ist jeder Benutzereintrag in einer neuen Organisation Mitglied des Personen-Containers der betreffenden Organisation. Der Personen-Container-Administrator verfügt über Lese- und Schreibzugriff auf alle Benutzereinträge im Personen-Container der Organisation. Berücksichtigen Sie, dass diese Rolle KEINEN Lese- oder Schreibzugriff auf die Attribute einschließt, die Rollen- oder Gruppen-DNs enthalten. Aus diesem Grund ist weder eine Bearbeitung von Rollen- oder Gruppen-Attributen noch das Entfernen von Benutzern aus einer Rolle oder Gruppe möglich.


Hinweis

Mit Access Manager können weitere Container für Benutzereinträge, Gruppeneinträge oder andere Container konfiguriert werden. Um eine Administratorrolle für einen nach dem Konfigurieren der Organisation erstellten Container festzulegen, werden die Standardwerte für die Container-Admin- oder die Container-Help-Desk-Admin-Rolle verwendet.


Gruppen-Admin

Der Gruppen-Administrator verfügt über Lese- und Schreibzugriff auf alle Mitglieder einer bestimmten Gruppe und kann neue Benutzer erstellen, verwaltete Benutzer zu Gruppen zuordnen sowie erstellte Benutzer löschen.

Bei der Erstellung einer Gruppe wird die Gruppen-Administrator-Rolle automatisch generiert und mit den für die Verwaltung der Gruppe erforderlichen Privilegien versehen. Die Rolle wird nicht automatisch einem Gruppenmitglied zugeordnet. Die Zuordnung muss über den Ersteller der Gruppe bzw. über einen Benutzer, der über Zugriff auf die Gruppen-Administrator-Rolle verfügt, erfolgen.

Top-Level-Admin

Der Top-Level-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in der Organisation der obersten Ebene. Mit anderen Worten: Die Rolle Top-Level-Admin verfügt über Privilegien für jede Hauptkonfiguration innerhalb der Access Manager-Anwendung.

Organisations-Admin

Der Organisations-Administrator verfügt über Lese- und Schreibzugriff auf alle Einträge in einer Organisation. Bei der Erstellung einer Organisation wird die Organisations-Administrator-Rolle automatisch generiert und mit den für die Verwaltung der Organisation erforderlichen Privilegien versehen.

Benutzerprofil-Dienstklasse

In diesem Attribut werden die Dienste aufgeführt, deren Anzeige auf der Seite "Benutzerprofil" angepasst ist. Für einige Dienste kann die Standardanzeige der Konsole nicht ausreichend sein. Über dieses Attribut kann die Anzeige für jeden Dienst angepasst werden. Sie erhalten so die vollständige Kontrolle darüber, welche Informationen über Dienste angezeigt werden und wie dies geschieht. Die Syntax ist:

service name | relative url


Hinweis

Die in diesem Attribut aufgeführten Dienste werden nicht auf den Seiten zur Benutzererstellung angezeigt. Die Einrichtung der Daten für eine angepasste Anzeige eines Dienstes muss auf den Seiten zum Benutzerprofil vorgenommen werden.


Attributliste für DC-Knoten

Über dieses Feld wird eine Gruppe von Attributen definiert, die bei der Erstellung von Objekten im DC-Baum festgelegt werden. Die Standardparameter sind:

Filter für gelöschte Objekte suchen

Über dieses Feld werden die Suchfilter für jene Objekte festgelegt, die bei Aktivierung des Einwilligung Benutzer-Löschung-Modus entfernt werden.

Standard-Personen-Container

Dieses Attribut gibt den Standard-Personen-Container an, in dem der Benutzer erstellt wird.

Standard-Gruppen-Container

Dieses Attribut gibt den Standard-Gruppen-Container an, in dem die Gruppe erstellt wird.

Standard-Agent-Container

Dieses Attribut gibt den Standard-Agent-Container an, in dem der Agent erstellt wird.

Organisationsattribute

Der Administrationsdienst weist die folgenden Organisationsattribute auf:

Standard-Personen-Container von Gruppen

In diesem Feld wird angegeben, in welchem Personen-Container Benutzer bei der Erstellung standardmäßig abgelegt werden. Für diese Option gibt es keinen Standardwert. Gültige Werte sind DNs von Personen-Containern. Informationen über die Rangfolge bei der automatischen Auswahl von Personen-Containern finden Sie im Hinweis unter Personen-Container-Liste von Gruppen.

Personen-Container-Liste von Gruppen

In diesem Feld wird eine Liste von Personen-Containern angezeigt, aus denen ein Gruppen-Administrator beim Erstellen eines neuen Benutzers auswählen kann. Diese Liste kann verwendet werden, wenn mehrere Personen-Container innerhalb des Verzeichnisbaums verfügbar sind. (Wenn weder in dieser Liste noch im Feld "Standard-Personen-Container von Gruppen" ein Personen-Container angegeben wird, werden Benutzer im standardmäßigen Personen-Container von Access Manager erstellt: in ou=people.) Für dieses Feld gibt es keinen Standardwert. Die Syntax für dieses Attribut lautet folgendermaßen:

DN der Gruppe | DN des Personen-Containers


Hinweis

Beim Erstellen eines Benutzers wird geprüft, ob durch dieses Attribut ein Container für die Ablage des Eintrags vorgegeben wird. Wenn das Attribut leer ist, wird dieselbe Prüfung für das Attribut "Standard-Personen-Container von Gruppen" vorgenommen. Wenn dieses Attribut ebenfalls leer ist, wird der Eintrag unter ou=people erstellt.


Benutzerprofil-Anzeigeklasse

Über dieses Attribut wird die Java-Klasse angegeben, die von der Access Manager Console verwendet wird, wenn die Seiten der Benutzerprofile angezeigt werden.

Endbenutzerprofil-Anzeigenklasse

Über dieses Attribut wird die Java-Klasse angegeben, die von der Access Manager Console verwendet wird, wenn die Seiten der Benutzerprofile angezeigt werden.

Rollen auf Benutzerprofil-Seite anzeigen

Mit dieser Option wird festgelegt, ob auf der Benutzerprofil-Seite eine Liste der dem Benutzer zugewiesenen Rollen angezeigt werden soll. Wird der Wert auf falsch (nicht ausgewählt) gesetzt, sind die Rollen auf der Benutzerprofil-Seite nur für Administratoren sichtbar. Der Standardwert ist falsch.

Gruppen auf Benutzerprofil-Seite anzeigen

Mit dieser Option wird festgelegt, ob auf der Benutzerprofil-Seite eine Liste der dem Benutzer zugewiesenen Gruppen angezeigt werden soll. Wird der Wert auf falsch (nicht ausgewählt) gesetzt, sind die Gruppen auf der Benutzerprofil-Seite nur für Administratoren sichtbar. Der Standardwert ist falsch.

Automatische Benutzersubskription aktivieren für Gruppe

Mit dieser Option wird festgelegt, ob Benutzer sich eigenständig zu Mitgliedern von Gruppen machen können, die für die Subskription geöffnet sind. Wird der Wert auf "falsch" gesetzt, ist die Änderung der Gruppenmitgliedschaft eines Benutzers über die Benutzerprofil-Seite nur durch einen Administrator möglich. Der Standardwert ist falsch.


Hinweis

Diese Option wird nur verwendet, wenn die Option Gruppen auf Benutzerprofil-Seite anzeigen aktiviert ist.


Optionen für Benutzerprofil-Anzeige

Über dieses Menü wird festgelegt, welche Dienstattribute auf der Benutzerprofil-Seite angezeigt werden. Administratoren können einen der folgenden Werte auswählen:

Standardrollen bei Benutzererstellung

Durch diese Liste werden Rollen definiert, die neu erstellten Benutzern automatisch zugewiesen werden. Für diese Option gibt es keinen Standardwert. Administratoren können den DN einer oder mehrerer Rollen eingeben.


Hinweis

In diesem Feld muss eine vollständige Distinguished-Name-Adresse angegeben werden; Rollennamen sind nicht zulässig. Bei den Rollen kann es sich nur um Access Manager-Rollen, nicht um LDAP-Rollen (Directory Server) handeln.


Tabulatoren der Admin-Konsole

In diesem Feld werden die Java-Klassen der im oberen Bereich der Konsole aufgeführten Module angezeigt. Die Syntax ist: i18N-Schlüssel | Name der Java-Klasse. (Der i18N-Schlüssel wird für den lokalisierten Namen des Eintrags im Menü "Ansicht" verwendet.)

Maximale Ergebnisse aus Suchlauf

In diesem Feld wird angegeben, wie viele Suchergebnisse maximal angezeigt werden. Der Standardwert ist 100.


Vorsicht

Seien Sie vorsichtig, wenn Sie dieses Attribut auf einen hohen Wert festlegen. Größenbeschränkungen finden Sie im Sun Java System Directory Server Installation and Tuning Guide unter folgender Adresse:

http://docs.sun.com/db/doc/816-6697-10


Timeout für Suche

In diesem Feld wird angegeben, wie lange (in Sekunden) eine Suche fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Auf diese Weise können überlange Suchvorgänge abgebrochen werden. Wenn die angegebene Höchstdauer für die Suche erreicht ist, wird ein Fehler ausgegeben. Der Standardwert ist 5 Sekunden.

JSP-Verzeichnisname

In diesem Feld wird der Name des Verzeichnisses angegeben, in dem die .jsp-Dateien enthalten sind, die beim Aufbau der Konsole verwendet wurden, um eine unterschiedliche Gestaltung (Anpassung) der Organisation zu ermöglichen. Die .jsp-Dateien müssen in das in diesem Feld angegebene Verzeichnis kopiert werden.

Dokumente der Online-Hilfe

In diesem Feld werden die Links zur Online-Hilfe aufgelistet, die auf der Hauptseite für die Access Manager-Hilfe erstellt werden. Auf diese Weise können auch Online-Hilfe-Links für andere Anwendungen auf der Access Manager-Seite enthalten sein. Das Format für dieses Attribut lautet folgendermaßen:

Link-i18n-Schlüssel | Bei Klick zu ladende HTML-Seite| i18n-Eigenschaftendatei | Remote-Server


Hinweis

Remote Server ist ein optionales Argument, mit dem Sie den Remote-Server angegeben können, auf dem sich das Online-Hilfe-Dokument befindet.


Beispielsweise:

IdentityServer -Hilfe | /AMAdminHelp.html | amAdminModuleMsgs

Erforderliche Dienste

In diesem Feld werden die Dienste aufgeführt, die dynamisch zu den Benutzereinträgen bei deren Erstellung hinzugefügt werden. Administratoren können angeben, welche Dienste zum Zeitpunkt der Erstellung hinzugefügt werden sollen.

Dieses Attribut wird nicht von der Konsole, sondern in Kombination mit dem Access Manager SDK verwendet. Dynamisch und mit dem Befehlszeilendienstprogramm amadmin erstellten Benutzern werden die in diesem Attribut aufgeführten Dienste zugewiesen.

Schlüssel für Benutzersuche

Über dieses Attribut werden die Attributnamen definiert, die bei Durchführung eines einfachen Suchlaufs auf der Navigationsseite gesucht werden sollen. Der Standardwert für dieses Attribut lautet cn. Wenn Sie diesen Standardwert für das Attribut verwenden, wird der Suchlauf wie nachfolgend aufgezeigt durchgeführt:

Wenn Sie j* in das Feld "Name" des Navigations-Frames eingeben, werden Benutzer angezeigt, deren Name mit "j" oder "J" beginnt.

Rückgabeattribut für Benutzersuche

Über dieses Feld werden Attributnamen definiert, die bei der Anzeige der zurückgegebenen Benutzer nach einem einfachen Suchlauf verwendet werden. Der Standardwert für dieses Attribut lautet uid cn. Es bewirkt, dass Benutzer-ID und vollständiger Benutzername angezeigt werden.

Der zuerst angezeigte Attributname dient außerdem als Schlüssel zur Sortierung der ausgegebenen Benutzergruppe. Um einen Leistungsabfall zu vermeiden, sollten Sie ein Attribut verwenden, dessen Wert durch einen Benutzereintrag festgelegt wird.

Benachrichtigungsliste für Benutzererstellung

Über dieses Feld wird eine Liste mit E-Mail-Adressen definiert, an die nach der Erstellung eines neuen Benutzers eine Benachrichtigung gesendet wird. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:

E-Mail|Ländereinstellung|Zeichensatz

E-Mail|Ländereinstellung|Zeichensatz

E-Mail|Ländereinstellung|Zeichensatz

Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:

einbenutzer@beispiel.com|fr|fr


Hinweis

Die E-Mail-ID des Absenders kann geändert werden, indem die Eigenschaft 497 in amProfile.properties, geändert wird, die sich standardmäßig unter AccessManager-base/SUNWam/locale befindet.


Benachrichtigungsliste für Benutzerlöschvorgang

Über dieses Feld wird eine Liste mit E-Mail-Adressen definiert, an die nach dem Löschen eines Benutzers eine Benachrichtigung gesendet wird. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:

E-Mail|Ländereinstellung|Zeichensatz

E-Mail|Ländereinstellung|Zeichensatz

E-Mail|Ländereinstellung|Zeichensatz

Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:

einbenutzer@beispiel.com|fr|fr


Hinweis

Die E-Mail-ID des Absenders kann geändert werden, indem die Eigenschaft 497 in amProfile.properties, geändert wird, die sich standardmäßig unter AccessManager-base/SUNWam/locale befindet. Die Standard-ID des Absenders lautet Access-Manager.


Benachrichtigungsliste für Benutzermodifizierung

Über dieses Feld wird eine Liste mit Attributen und E-Mail-Adressen definiert, die diesem Attribut zugeordnet sind. Wird ein in dieser Liste enthaltenes Attribut modifiziert, wird an die dem Attribut zugeordnete E-Mail-Adresse eine Benachrichtigung gesendet. Jedem Attribut können verschiedene Adressen zugeordnet werden. Es können mehrere E-Mail-Adressen angegeben werden. Ein Beispiel für die Syntax:

attrName E-Mail|locale|Zeichensatz E-Mail|Ländereinstellung|Zeichensatz .....

attrName E-Mail|locale|Zeichensatz E-Mail|Ländereinstellung|Zeichensatz .....

Das Schlüsselwort selbst kann anstelle einer der Adressen verwendet werden. Hierdurch werden E-Mails an den Benutzer gesendet, dessen Profil geändert wurde.

Beispielsweise:

manager someuser@sun.com|self|admin@sun.com

Es werden E-Mails an die im Attributmanager angegebene Adresse gesendet, an someuser@sun.com, admin@sun sowie an die Person, die den Benutzer (selbst) geändert hat.

Die Benachrichtigungsliste akzeptiert auch verschiedene Ländereinstellungen bei Verwendung der entsprechenden Option (|Ländereinstellung). Wenn beispielsweise eine Benachrichtigung an einen Administrator in Frankreich gesendet werden soll:

manager someuser@sun.com|self|admin@sun.com


Hinweis

Der Attributname stimmt mit dem im Schema des Directory Servers angezeigten Namen überein. Es wird nicht der Anzeigename aus der Konsole verwendet.


Maximale Anzahl der pro Seite angezeigten Einträge

Über dieses Attribut legen Sie die maximale Anzahl der pro Seite angezeigten Zeilen fest. Der Standardwert ist 25. Wenn beispielsweise die Suche eines Benutzers 100 Zeilen zurückgibt, werden vier Seiten mit jeweils 25 Zeilen angezeigt.

Ereigniszielgeräteklassen

Dieses Attribut enthält eine Liste der Zielgeräte, die Erstellungs-, Änderungs- und Löschereignisse von der Access Manager Console empfangen können.

Vor- und Nachverarbeitungsklassen

Über dieses Feld wird eine Liste von Implementierungsklassen definiert (Plug-Ins), welche die Klasse com.iplanet.am.sdk.AMCallBack um die Möglichkeit zum Empfang von Rückrufen bei Vor- und Nachverarbeitungsvorgängen für Benutzer, Organisationen, Rollen und Gruppen erweitern. Die folgenden Vorgänge sind möglich:

Sie müssen den vollständigen Klassennamen des Plug-Ins angeben. Beispiel:

com.iplanet.am.sdk.AMCallbacSample

Anschließend müssen Sie den Klassenpfad Ihres Web-Containers (ausgehend von der Installationsbasis von Access Manager) so abändern, dass er den vollständigen Pfad der Plug-In-Klasse enthält.

Externen Attributabruf aktivieren

Durch diese Option erhalten Plug-Ins die Möglichkeit, durch einen Rückruf externe Attribute abzurufen (beliebige Sonderattribute externer Anwendungen). Externe Attribute werden nicht in der Identity Server SDK gecacht. Diese Option ermöglicht also einen Abruf von Attributen auf Organisationsebene. Sie ist standardmäßig nicht aktiviert.

Ungültige Benutzer-ID-Zeichen

Mit diesem Attribut wird eine Liste der Zeichen definiert, die in einem Benutzernamen nicht zulässig sind.

Jedes Zeichen muss durch das Zeichen | getrennt werden. Beispielsweise:

*|(|)|&|!

Benutzer-ID- und Passwort-Validierungs-Plug-In-Klasse

Diese Klasse bietet einen Benutzer-ID- und Passwort-Validierungs-Plug-In-Mechanismus.

Die Methoden dieser Klasse müssen von den Implementierungs-Plug-In-Modules überschrieben werden, die die Benutzer-ID bzw. das Passwort für den Benutzer bestätigen. Die Implementierungs-Plug-In-Module werden aufgerufen, sobald eine Benutzer-ID oder ein Passwortwert mit der Access Manager Console, der amadmin-Befehlszeilenschnittstelle oder der SDK hinzugefügt oder geändert wird.

Die Plug-Ins zur Erweiterung dieser Klasse können für jede einzelne Organisation konfiguriert werden. Wird kein Plug-In für eine Organisation konfiguriert, wird das auf globaler Ebene konfigurierte Plug-In verwendet.

Wenn die Bestätigung des Plug-Ins fehlschlägt, kann das Plug-In-Modul eine Ausnahme ausgeben, damit die Anwendung den Fehler in der vom Benutzer eingegebenen Benutzer-ID oder dem Passwort anzeigt.


Inhalt