创建 CA Identity Manager 环境

CA Identity Manager 环境 › 创建 CA Identity Manager 环境

创建 CA Identity Manager 环境

通过 CA Identity Manager 环境，您可以管理具有一组角色和任务的目录中的对象。使用 CA Identity Manager 环境向导来指导您完成创建 CA Identity Manager 环境的步骤。

在创建 CA Identity Manager 环境之前注意下列几点：

假定您正在使用 LDAP 用户存储，并且您已经配置用户容器（如您的 CA Identity Manager 目录的目录配置文件 (directory.xml) 中的 ou=People）。确认在您创建 CA Identity Manager 环境时，您选择的用户存在于该容器。选择用户容器中不存在的用户帐户可能导致失败。
在您配置 CA Identity Manager 环境，以便管理具有扁平型或用户扁平型结构的 LDAP 用户目录时，选定的用户的配置文件必须包括用户的组织。为帮助确保正确配置了用户的配置文件，请将用户组织名添加到与 directory.xml file 文件中的 %ORG_MEMBERSHIP% 常用属性一致的物理属性中。例如，如果物理属性说明映射到 directory.xml 文件的 %ORG_MEMBERSHIP% 常用属性，并且用户属于该员工组织时，用户的配置文件必须包含属性/值对 description=Employees。

遵循这些步骤:

如果 CA Identity Manager 使用策略服务器群集，请阻止除了一个策略服务器以外的所有其余策略服务器。
如果您有一串 CA Identity Manager 节点，请阻止除了一个以外的所有其余 CA Identity Manager 节点。
在管理控制台中单击“Environments”（环境）。
单击“New”（新建）。
此时将打开“CA Identity Manager environment”（CA Identity Manager 环境）向导。
提供以下信息：
- “Environment name”（环境名称）
  为环境指定唯一名称
- “Description”（说明）
  描述环境
- “Protected alias”（受保护别名）
  指定唯一名称，如员工。此别名被添加到 URL，以在 CA Identity Manager 环境中访问受保护的任务。例如，如果别名是员工，访问员工环境的 URL 是 http://myserver.mycompany.com/iam/im/employees
  
  注意：别名是区分大小写的并且不能包含空格。我们建议在您指定别名的时候，使用小写字母，不加标点或空格。
- “Base URL”（基本 URL）
  为 CA Identity Manager 指定 URL。 URL 需要主机名；不能包括本地主机。此外，不要包括别名，例如 http://myserver.mycompany.com/iam/im。
  
  如果您正在使用 Web 代理，请确保更改基本 URL 以反映 Web 代理的 URL。
  
  注意：如果您正在使用 Web 代理来保护 CA Identity Manager 资源，不要在“Base URL”（基本 URL）字段指定端口号。如果您使用 Web 代理，且基本 URL 包含端口号，则与 CA Identity Manager 任务的链接将无法正常工作。
  
  有关保护 CA Identity Manager 资源的详细信息，请参阅您的应用程序服务器的《安装指南》。
  
  单击“Next”（下一步）。
选择 CA Identity Manager 目录来与您正在创建的环境关联，然后单击“Next”（下一步）。
如果 CA Identity Manager 环境支持配给，选择要使用的适当配给服务器。
注意：如果已经选择配给目录作为 CA Identity Manager 目录，不建议选择配给服务器。
为公共任务配置支持。通常，这些任务是自助服务任务，例如自行注册或忘记密码任务。用户不需要登录即可访问公共任务。
注意：要使用户能够使用自助服务任务，需要配置公共任务支持。
1. 指定添加到 URL 的唯一名称，用于访问公共任务。
  示例：您将使用以下 URL 来访问默认自行注册任务：
  
  http://myserver.mycompany.com/iam/im/alias/index.jsp?task.tag=SelfRegistration
  
  在此 URL 中，别名是您提供的唯一名称。
2. 指定下列现有的用户帐户之一，作为公共用户帐户。 CA Identity Manager 使用此帐户来允许未知用户无需提供凭据即可访问公共任务。
  - LDAP 用户输入唯一标识符或公共用户帐户的相关 DN。确保此值映射到 %USER_ID% 常用属性。例如，如果用户 DN 的 DN 是 uid=Admin1、ou=People、ou=Employees、ou=NeteAuto，输入“Admin1”。
  - 关系数据库用户可输入映射到目录配置文件的 %USER_ID% 常见属性的值，或用户的唯一标识符。
单击“Validate”（验证）以查看用户的完全标识符。
选择要为此环境创建的任务和角色。您可以完成以下任务：
- “Create default roles”（创建默认角色）
  创建环境中最初提供的一组默认任务和角色。管理员可以使用这些任务和角色作为模板，在用户控制台中创建新的任务和角色。
- “Create only the system manager role”（仅创建系统管理员角色）
  仅仅创建系统管理员角色和相关联的任务。
  
  需要系统管理员角色来访问环境。
  
  系统管理员可以在用户控制台中创建新的任务和角色。
- “Import roles from the file”（从该文件导入角色）
  导入您从其他的 CA Identity Manager 环境导出的角色定义文件。
  
  注意：为了使用 CA Identity Manager 环境，角色定义文件必须至少包括系统管理员角色或包含类似任务的角色。
  
  选择“Import roles from the file”（从该文件导入角色）选项按钮，并且输入角色定义文件的路径和文件名，或浏览到要导入的文件。
选择角色定义文件来创建您的环境的默认任务组，然后单击“Next”（下一步）。
角色定义文件是 XML 文件，这些文件定义支持特定功能所需的一组任务和角色。例如，如果您想管理 Active Directory 和 UNIX NIS 端点，请选择那些角色定义文件。

注意：此步骤是可选的。如果您不想创建其他默认任务以支持新功能，忽略此屏幕。
如下所示，定义作为此环境系统管理员的用户：
1. 在“System Manager”字段中，输入映射到目录配置文件的 %USER_ID% 常用属性的值，或指定以下用户帐户之一：
  - LDAP 用户输入用户的唯一标识符或相关 DN。例如，如果用户 DN 的 DN 是 uid=Admin1、ou=People、ou=Employees、ou=NeteAuto，输入“Admin1”。
  - 关系数据库用户输入用户的唯一标识符。
2. 单击“Add”（添加）。
  CA Identity Manager 将用户的完整标识符添加到用户的列表中。
3. 单击“Next”（下一步）。
在指定系统管理员时，注意下列几点：
- 系统管理员不能是与用户存储的管理员同样的用户。
- 您可以为环境指定多个系统管理员。但是，您只能在管理控制台中指定初始的系统管理员。要指定其他系统管理员，请将系统管理员角色分配给用户控制台中适当的用户。
在“Inbound Administrator”（入站管理员）字段中，指定可以执行映射到入站映射的管理任务的 CA Identity Manager 管理员帐户。
用户必须能在任何用户上执行所有那些任务。配给同步管理者角色包含默认入站映射中的配给任务。
输入密钥库的密码，这是加密和解密数据的密钥的数据库。
定义此密码是定义动态密钥的先决条件。您在使用“系统”、“密钥”任务创建环境之后可以修改密码。

此时显示概述环境设置的页面。
查看环境设置。单击“Previous”（上一步）进行修改，或者单击“Finish”（完成）以使用当前设置创建 CA Identity Manager 环境。
“Environment Configuration Output”屏幕显示环境创建的进度。
单击“Continue”（继续）以退出 CA Identity Manager 环境向导。
启动环境。
单击环境名称，然后单击“Start”（启动）。
如果您在第 1 步中阻止了任何策略服务器，现在请重新启动它们。