集成 Oracle 身份管理器和 Microsoft Active Directory:执行协调和信任协调
本 OBE 教程将向您介绍如何通过 Active Directory 适配器执行协调和信任协调。
约一个半小时
本 OBE 教程包括下列主题:
 将鼠标置于此图标上以加载和查看本教程的所有屏幕截图。(警告:此操作会同时加载所有屏幕截图,网速较慢时,响应时间可能会比较长。)
注意:此外,您还可以在下列步骤中将鼠标放在每个单独的图标上,从而仅加载和查看与该步骤相关的屏幕截图。
这些屏幕截图不能反映用户的具体环境。只是说明如何在 Oracle 身份管理器中找到特定功能。
Oracle 身份管理器用来与特定资源通信的所有组件都放入了一个容器中,以便通过该资源执行供应或协调操作。该容器称为 Oracle 身份管理器连接器。该连接器的组件彼此相互使用时,就会涉及到供应或协调。Active Directory 连接器的使用有如下几种:
- 仅用于供应:在该模式下,可将用户、组织、组和组成员供应给 Active Directory。没有来自 Active Directory 的信息流返回 Oracle 身份管理器。
- 供应和协调:在该模式下,可将用户、组织、组和组成员供应给 Active Directory。协调将检测 Active Directory 中用户配置文件的更改,并更新与 AD 用户相对应的用户的 Oracle 身份管理器 AD 资源配置文件。要支持 Oracle 身份管理器匹配 AD 用户与 Oracle 身份管理器用户,需要定义协调规则。如果发现匹配项,将更新 Oracle 身份管理器用户的 AD 帐户配置文件。
- 供应和信任协调:当连接器在该模式下运行时,存在于 Active Directory 中但是不存在于 Oracle 身份管理器中的用户将作为 Oracle 身份管理器用户进行创建。供应功能在这种情况下保持不变。
返回主题列表
Linda 是 Mydo Main Corporation 的网络管理员。在 Mydo Main,Linda 负责管理各种用户组对企业内各种资源的访问权限。除了执行供应之外,她需要执行协调和信任协调任务。其中的任务之一是,为 Active Directory 实例的用户、组织、组和组成员执行协调和信任协调,以便连接到 Oracle 身份管理器服务器。
返回主题列表
需要定义协调域,以确定需要从 Active Directory 提取的协调数据以及信息在 Oracle 身份管理器中的使用方式。还需要定义用于将 Oracle 身份管理器用户资源对象映射到 Active Directory 数据所用的基本域,以及将 Active Directory 用户记录与 Oracle 身份管理器用户记录相关联所需的规则。要定义基本域,执行以下步骤:
|
1.
|
导航到 E:\oracle\oim_designConsole\xlclient 并双击 xlclient.cmd 文件。这将启动 Oracle 身份管理器设计控制台。
注意:确保 Oracle 数据库和 JBoss 应用程序服务器已经运行。
|
|
2.
|
使用用户 ID xelsysadm 和口令 abcd1234 登录。
|
| 3. |
此时需要更改 AD Server IT Resource 的值。要执行该任务,在左侧窗格中,单击 Resource Management,然后双击 IT Resources。
|
| 4. |
单击搜索图标以检索 AD Server IT Resource 的记录。对于该 AD Server IT Resource,将 Root Context 值修改为 CN=Users,dc=mydomain,dc=com,然后单击 Save 图标。
注意:保留 AD Server IT Resource 的其余参数值不变。
|
| 5. |
更新 Root Context 之后,在左侧窗格中,双击 Resource Objects。
|
| 6. |
单击搜索图标,然后单击旁边的箭头图标以加载 Xellerate User 资源对象,然后单击 Object Reconciliation 选项卡。
|
| 7. |
在 Reconciliation Fields 部分下,单击 Add Field。
|
| 8. |
在 Add Reconciliation Field 窗口中,使用下表输入域名和域类型:
| 域名 |
域类型 |
| sAMAccountName |
String |
| sn |
String |
| givenName |
String |
| Xellerate Type |
String |
| Role |
String |
| Organization Name |
String |
注意:每创建一个域需执行一次保存操作。单击 Reconciliation Data Field 窗口中的 X 图标以查看所有添加的域。
|
| 9. |
注意添加给 Xellerate 用户的所有域。然后,单击 Reconciliation Action Rules。
|
| 10. |
要创建规则条件及其相关操作,单击 Add。
|
| 11. |
使用下列条件创建两个规则:
| 规则条件 |
规则操作 |
| 未发现匹配项 |
创建用户 |
| 发现一个实体匹配 |
建立链接 |
注意:每创建一条规则,需单击一次 Save 图标以进行存储。
|
| 12. |
单击 Resource Object 选项卡,然后单击下一个记录图标以检索 AD 用户资源对象。
|
| 13. |
单击 Object Reconciliation 选项卡,然后单击 Reconciliation Fields 选项卡以查看将从 AD User 重新编译的属性列表。
|
| 14. |
单击 Reconciliation Action Rules 选项卡。
|
| 15. |
删除在 Reconciliation Action Rules 部分中列出的两条默认规则。单击 Delete 两次删除这两个项,然后添加下列协调规则:
| 规则条件 |
规则操作 |
| 发现一个进程匹配 |
建立链接 |
| 发现一个实体匹配 |
建立链接 |
|
| 16. |
单击 Save 图标存储 AD 用户资源对象。
|
| 17. |
在左侧窗格中,单击 Process Management,然后双击 Process Definition。
|
| 18. |
单击搜索图标,然后单击旁边的箭头图标以加载 Xellerate User 进程定义,然后单击 Reconciliation Field Mappings 选项卡。
|
| 19. |
单击 Add Field Map 将域名链接到用户属性。
|
| 20. |
根据下表创建协调域映射:
| 域名 |
用户属性 |
| sAMAccountName |
User Login |
| sn |
Last Name |
| givenName |
First Name |
| Xellerate Type |
Xellerate Type |
| Role |
Role |
| Organization Name |
Organization Name |
注意:单击 Save 图标以存储每个域名。
|
| 21. |
单击 Save 图标以存储 Xellerate User 进程定义。
|
| 22. |
然后,需要为 Active Directory 中的 Oracle 身份管理器用户协调创建规则。在左侧窗格中,单击 Development Tools,然后双击 Reconciliation Rules 打开一个新的 Reconciliation Rule Builder 表单。
|
| 23. |
在 Name 域中输入 OIM User Recon,在 Description 域中输入 OIM/XL User Reconciliation。
|
| 24. |
双击 Object 域,查找并选择 Xellerate User。
|
| 25. |
单击 Save 图标存储该规则,以便创建新的 Rule Definition Rule:OIM User Recon。
|
| 26. |
单击 Add Rule Element,然后创建一条新的规则,User Login 为 User Profile Data,Equals 为 Operator,sAMAccount 为 Attribute。
|
| 27. |
单击 Save 图标存储协调规则,然后选择 Active 选项。Active 选项将启用新创建的规则。
|
| 28. |
单击 Save 图标该存储协调规则。
|
返回主题列表
配置完协调期间使用的资源对象、进程定义以及协调规则后,需要配置任务调度程序,以定义何时执行该协调以及该协调将在哪些 IT 资源上实现。要配置任务调度程序,执行以下步骤:
|
1.
|
在左侧窗格中,单击 Xellerate Administration,然后双击 Task Scheduler 打开一个空的 Task Definition 表单。
|
|
2.
|
需要为该配置设置 Active Directory Task Definition 的任务。单击 Search 图标以加载 ActiveDirectoryReconTask 调度的任务,并更改以下值:
| 属性名称 |
属性值 |
| Server |
AD Server |
| Use Field Mapping |
false |
注意:单击 Save 图标以存储值。
|
| 3. |
在 Interval 部分中,选择 Once。
|
| 4. |
使用 Delete 键清除“Start time”域的值。
注意:如果未删除现有日期,则即使选择一个新日期,域将仍然保留旧的日期。
|
| 5. |
双击 Start time 域,打开 Date & Time 调度程序窗口。
|
| 6. |
单击 OK 选择当前日期和时间以启动任务。
|
| 7. |
选择 Disabled 选项,启用任务定义。
|
| 8. |
单击 Save 图标以存储任务定义。
|
返回主题列表
为一次性事件激活协调后,您可以监视协调过程。要监视该任务,执行以下步骤:
|
1.
|
在左侧窗格中,单击 User Management,然后单击 Reconciliation Manager。
|
| 2. |
单击 Search 图标,打开 Reconciliation Manager Table 选项卡。
|
| 3. |
协调事件列表将与屏幕上显示的内容不同。单击 Refresh(环形箭头)图标可以刷新列表。
注意:该任务可能需要几分钟的时间才能完成。
|
返回主题列表
要搜索在协调过程中创建的用户,执行以下步骤:
|
1.
|
打开一个浏览器窗口并用以下格式输入 URL 来访问 Oracle 身份管理器管理控制台:
http://<主机名>.<域名>:<端口>/xlWebApp
注意:确保 Oracle 数据库和 JBoss 应用程序服务器已经运行。
|
|
2.
|
使用用户 ID xelsysadm 和口令 abcd1234 登录。
|
|
3.
|
在 Oracle 身份管理器管理控制台中,单击 Users,然后单击 Manage。
|
|
4.
|
单击 Search User。您可以使用 Active Directory 中的信任协调查看在 Oracle 身份管理器中创建的新记录。
|
返回主题列表
配置资源参数之后,您需要备份 Oracle 身份管理器服务器数据库。要运行该备份,执行以下步骤:
|
1.
|
在命令提示符下,输入以下命令:
exp system/abcd1234 file=E:\OimDB_backups\Lab09_3_AD_TrustedRecon_Completed.dmp owner=oimuser
按 Enter 键确认数据库备份。
注意:您可以查看数据库导出进度。运行此备份可能需要几分钟。注意数据库导出的完成。
|
返回主题列表
现在,已完成了信任协调的系统配置,将来自 Active Directory 的记录副本链接到了 Oracle 身份管理器中。该过程没有将 IT 资源分配给与在其中协调用户的系统相关的用户。您可以从信任协调切换到协调(也称为不受信任协调),并再次针对 Active Directory 执行协调事件,以便为所有用户分配 AD Server IT 资源。
要更改协调配置以执行不受信任协调并启动协调,以将 AD Server IT 资源分配给每个已协调的用户记录,执行以下任务:
|
1.
|
在 Oracle Identity Manager Design Console 窗口中,导航到 Resource Management,然后双击 IT Resources。
|
|
2.
|
单击 Search 图标以加载 AD Server 资源,并更改以下参数:
| 名称 |
值 |
| Last Modified Time Stamp |
0 |
| Last Modified Time Stamp Group |
0 |
| Root Context |
dc=mydomain,dc=com |
|
| 3. |
单击 Save 图标存储属性值。
|
| 4. |
导航到 Xellerate Administration,然后双击 Task Scheduler。
|
| 5. |
单击 Search 图标以加载 ActiveDirectoryReconTask 任务定义,并执行以下更改:
| 属性名称 |
属性值 |
| XellerateObject |
false |
| UseFieldMapping |
false |
注意:默认情况下,UseFieldMapping 属性名可能设置为 false。
|
| 6. |
单击 Save 图标存储更改。
|
| 7. |
使用 Delete 键清除“Start time”域的值。
|
| 8. |
双击“Start time”域以打开 Date & Time 调度程序窗口,然后单击 OK 选择当前日期和时间。
注意:然后,您又可以监视协调了(这可能需要几分钟的时间)。
|
返回主题列表
配置资源参数之后,您需要备份 Oracle 身份管理器服务器数据库。要运行该备份,执行以下步骤:
|
1.
|
在命令提示符下,输入以下命令:
exp system/abcd1234 file=E:\OimDB_backups\Lab09_4_AD_Resource_Recon_Completed.dmp owner=oimuser
按 Enter 键确认数据库备份。
注意:您可以查看数据库导出进度。运行此备份可能需要几分钟。注意数据库导出的完成。
|
返回主题列表
在本教程中,您学习了如何:
返回主题列表
 |
配置资源对象和协调规则 |
|
配置调度任务 |
|
监视协调 |
|
测试协调 |
|
备份 Oracle 身份管理器服务器数据库 |
|
更改为不受信任协调 |
|
备份 Oracle 身份管理器服务器数据库 |
|
有关本 OBE 教程的问题,请在 OBE 论坛上发布查询。 |
返回主题列表
将鼠标置于该图标上可以隐藏所有的屏幕截图。
| 
书签