Novell Identity Manager

Transcriptie

1 Identity Manager-gebruikerstoepassing: beheerdershandleiding Novell Identity Manager december 2005 IDENTITY MANAGER- GEBRUIKERSTOEPASSING: BEHEERDERSHANDLEIDING

2 Juridische kennisgevingen Novell, Inc. geeft geen waarborgen betreffende de inhoud of het gebruik van deze documentatie, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor deze uitgave te allen tijde te herzien of te verbeteren zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit. Bovendien levert Novell, Inc. geen waarborg met betrekking tot software, en doet met name afstand van alle expliciete of impliciete waarborgen van verkoopbaarheid of geschiktheid voor een bepaald doel. Voorts behoudt Novell, Inc. zich het recht voor om de Novell-software te allen tijde geheel of gedeeltelijk te herzien zonder de verplichting tot kennisgeving van deze herzieningen of verbeteringen aan enig persoon of entiteit. Op producten of technische informatie die onder deze overeenkomst vallen kunnen exportbeperkingen van de Verenigde Staten en de handelswetten van andere landen van toepassing zijn. U stemt ermee in te voldoen aan alle regelingen ten aanzien van exportbeperking en alle vereiste licenties of classificaties te verkrijgen ten behoeve van het exporteren, opnieuw exporteren of importeren van af te leveren goederen. U stemt ermee in niet te exporteren of opnieuw te exporteren naar entiteiten op de huidige lijst voor uitsluiting van export van de Verenigde Staten of naar landen die in de exportwetgeving van de Verenigde Staten als onder embargo of als terroristisch worden aangemerkt. U stemt ermee in af te leveren goederen niet te gebruiken voor verboden eindgebruik in nucleaire, raket- of chemisch-biologische wapensystemen. Raadpleeg voor meer informatie over het exporteren van Novell-software. Novell aanvaardt geen aansprakelijkheid voor gevallen waarin u er niet in slaagt de benodigde exportvergunningen te verkrijgen. Copyright 1997, 1998, 1999, 2000, 2001, 2002, 2003, Novell, Inc. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, gefotokopieerd, opgeslagen in een geautomatiseerd gegevensbestand of verzonden zonder de uitdrukkelijke schriftelijke goedkeuring van de uitgever. Novell, Inc. beschikt over intellectuele eigendomsrechten met betrekking tot de geïntegreerde technologie van het product dat in dit document wordt beschreven. In het bijzonder en zonder beperking vallen onder deze intellectuele eigendomsrechten een of meer VS-octrooien die genoemd staan op http// en een of meer aanvullende octrooien of in behandeling zijnde octrooi-aanvragen in de VS en andere landen. Eigendomsrechten op de software en de bijbehorende documentatie, en patenten, copyrights en alle andere daarop van toepassing zijnde eigendomsrechten berusten te allen tijde uitsluitend en exclusief bij Novell en haar licentiegevers, en het is u niet toegestaan enige actie te ondernemen die in strijd is met die rechten. De software is beschermd door de bepalingen in copyrightwetten en internationale verdragen. Het is u niet toegestaan copyrightkennisgevingen of andere eigendomskennisgevingen uit de software of de bijbehorende documentatie te verwijderen en u dient dergelijke kennisgevingen te reproduceren op alle kopieën of uittreksels van de software of de bijbehorende documentatie. U verwerft geen enkel recht op eigendom van de software. Novell, Inc. 404 Wyman Street, Suite 500 Waltham, MA V.S. Online documentatie: voor de online documentatie voor dit product en voor andere producten van Novell, en voor updates gaat u naar novell.com/documentation.

3 Handelsmerken van Novell Novell is een gedeponeerd handelsmerk van Novell, Inc. in de Verenigde Staten en andere landen. SUSE is een gedeponeerd handelsmerk van Novell, Inc. in de Verenigde Staten en andere landen.

4 Materialen van derden Alle handelsmerken van derden zijn het eigendom van hun respectieve eigenaren. Juridische kennisgevingen van derden Licentie Apache Software versie 1.1 Copyright (c) 2000 The Apache Software Foundation. Alle rechten voorbehouden. Herdistributie en gebruik in bron- en binaire vorm, met of zonder wijzigingen, is toegestaan indien aan de volgende voorwaarden is voldaan: 1. Bij herdistributie van de broncode moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen. 2. Bij herdistributie in binaire vorm moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen in de documentatie en/of overige materialen die met de distributie worden meegeleverd. 3. De eventuele eindgebruikersdocumentatie die met de herdistributie wordt meegeleverd, moet de volgende kennisgeving bevatten: "Dit product bevat software die is ontwikkeld door Apache Software Foundation ( Deze kennisgeving kan ook in de software zelf worden weergegeven, als en waar dergelijke kennisgevingen van derden gewoonlijk worden weergegeven. 4. De namen "Apache" en "Apache Software Foundation" mogen niet zonder voorafgaande schriftelijke toestemming worden gebruikt ter onderschrijving of promotie van uit deze software afgeleide producten. Voor schriftelijke toestemming neemt u contact op met apache@apache.org. 5. Producten die van deze software zijn afgeleid, mogen geen "Apache" worden genoemd, noch mag de naam "Apache" voorkomen in de naam ervan, zonder voorafgaande schriftelijke toestemming van Apache Software Foundation. DEZE SOFTWARE WORDT GELEVERD "ZOALS HET IS", ZONDER ENIGE EXPLICIETE OF IMPLICIETE WAARBORGEN, INCLUSIEF MAAR NIET BEPERKT TOT IMPLICIETE WAARBORGEN VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. IN GEEN GEVAL KAN DE APACHE SOFTWARE FOUNDATION OF HAAR BIJDRAGELEVERANCIERS VERANTWOORDELIJK WORDEN GEHOUDEN VOOR ENIGE DIRECTE, INDIRECTE, INCIDENTELE, BIJZONDERE, VERVOLGSCHADE OF SMARTENGELD (INCLUSIEF MAAR NIET BEPERKT TOT AANKOOP VAN VERVANGENDE GOEDEREN OF DIENSTEN; VERLIES VAN GEBRUIKSMOGELIJKHEID, GEGEVENS OF INKOMSTEN; OF HET ONDERBREKEN VAN DE BEDRIJFSVOERING) HOE DAN OOK VEROORZAAKT EN VOLGENS ELKE AANSPRAKELIJKHEIDSTHEORIE, ONGEACHT ONDER CONTRACT, STRIKTE AANSPRAKELIJKHEID OF UIT ONRECHTMATIGE DAAD (INCLUSIEF NALATIGHEID OF ANDERSZINS) OP ENIGERLEI WIJZE VOORTVLOEIEND UIT HET GEBRUIK VAN DEZE SOFTWARE, ZELFS WANNEER DE MOGELIJKHEID TOT DERGELIJKE SCHADE IS AANGEGEVEN. Autonomy Copyright Autonomy, Inc. Bouncy Castle Licentie Copyright (c) The Legion Of The Bouncy Castle ( Hierbij wordt zonder kosten aan elke persoon die een exemplaar van deze software en bijbehorende documentatiebestanden verkrijgt (de "Software"), toestemming verleend om de Software te gebruiken zonder beperkingen, inclusief zonder beperking op de rechten kopieën van deze Software te gebruiken, kopiëren, wijzigen, samenvoegen, publiceren, distribueren, in sublicentie te geven en/of kopieën van de Software te verkopen, en wordt aan personen aan wie deze software is verstrekt toestemming daartoe te geven, indien aan de volgende voorwaarden wordt voldaan: De bovenstaande copyrightkennisgeving en deze toestemmingskennisgeving worden meegeleverd met alle exemplaren of substantiële porties van de Software.

5 DE SOFTWARE WORDT GELEVERD "ZOALS HET IS", ZONDER ENIGE EXPLICIETE OF IMPLICIETE WAARBORGEN, INCLUSIEF MAAR NIET BEPERKT TOT IMPLICIETE WAARBORGEN VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL OF "NONINFRINGEMENT". IN GEEN GEVAL KUNNEN DE AUTEURS OF COPYRIGHTHOUDERS AANSPRAKELIJK WORDEN GEHOUDEN VOOR ENIGE CLAIM, SCHADE OF ANDERE AANSPRAKELIJKHEID, OP BASIS VAN CONTRACT, UIT ONRECHTMATIGE DAAD OF ANDERSZINS, VOORTVLOEIEND UIT OF IN VERBAND MET DE SOFTWARE OF HET GEBRUIK OF ANDERE HANDELINGEN IN DE SOFTWARE. Castor Library De originele licentie kunt u vinden op De code van dit project is vrijgegeven onder een BSD-achtige licentie [license.txt]: Copyright (C) Intalio Inc. en anderen. Alle rechten voorbehouden. Herdistributie en gebruik van deze software en bijbehorende documentatie ("Software"), met of zonder wijzigingen, is toegestaan indien aan de volgende voorwaarden is voldaan: 1. Bij herdistributie van de broncode moeten de bovenstaande copyrightkennisgevingen en -verklaringen worden overgenomen. Herdistributies moeten tevens een kopie van dit document bevatten. 2. Bij herdistributie in binaire vorm moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen in de documentatie en/of overige materialen die met de distributie worden meegeleverd. 3. De naam "ExoLab" mag niet zonder voorafgaande schriftelijke toestemming van Intalio Inc. worden gebruikt ter onderschrijving of promotie van uit deze software afgeleide producten. Neem voor schriftelijke toestemming contact op met info@exolab.org. 4. Producten die van deze software zijn afgeleid, mogen geen "Castor" worden genoemd, noch mag de naam "Castor" voorkomen in de naam ervan, zonder voorafgaande schriftelijke toestemming van Intalio Inc. Exolab, Castor en Intalio zijn handelsmerken van Intalio Inc. 5. Erkenning dient te worden verleend aan ExoLab? Project ( DEZE SOFTWARE WORDT DOOR INTALIO EN BIJDRAGELEVERANCIERS GELEVERD "ZOALS HET IS", ZONDER ENIGE EXPLICIETE OF IMPLICIETE WAARBORGEN, INCLUSIEF MAAR NIET BEPERKT TOT IMPLICIETE WAARBORGEN VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. IN GEEN GEVAL KAN INTALIO OF HAAR BIJDRAGELEVERANCIERS VERANTWOORDELIJK WORDEN GEHOUDEN VOOR ENIGE DIRECTE, INDIRECTE, INCIDENTELE, BIJZONDERE, VERVOLGSCHADE OF SMARTENGELD (INCLUSIEF MAAR NIET BEPERKT TOT AANKOOP VAN VERVANGENDE GOEDEREN OF DIENSTEN; VERLIES VAN GEBRUIKSMOGELIJKHEID, GEGEVENS OF INKOMSTEN; OF HET ONDERBREKEN VAN DE BEDRIJFSVOERING) HOE DAN OOK VEROORZAAKT EN VOLGENS ELKE AANSPRAKELIJKHEIDSTHEORIE, ONGEACHT ONDER CONTRACT, STRIKTE AANSPRAKELIJKHEID OF UIT ONRECHTMATIGE DAAD (INCLUSIEF NALATIGHEID OF ANDERSZINS) OP ENIGERLEI WIJZE VOORTVLOEIEND UIT HET GEBRUIK VAN DEZE SOFTWARE, ZELFS WANNEER DE MOGELIJKHEID TOT DERGELIJKE SCHADE IS AANGEGEVEN. Indiana University Extreme! Lab Softwarelicentie Versie Copyright (c) 2002 Extreme! Lab, Indiana University. Alle rechten voorbehouden. Herdistributie en gebruik in bron- en binaire vorm, met of zonder wijzigingen, is toegestaan indien aan de volgende voorwaarden is voldaan: 1. Bij herdistributie van de broncode moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen. 2. Bij herdistributie in binaire vorm moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen in de documentatie en/of overige materialen die met de distributie worden meegeleverd. 3. De eventuele eindgebruikersdocumentatie die met de herdistributie wordt meegeleverd, moet de volgende kennisgeving bevatten: "Dit product bevat software die is ontwikkeld door Indiana University Extreme! Lab (

6 Deze kennisgeving kan ook in de software zelf worden weergegeven, als en waar dergelijke kennisgevingen van derden gewoonlijk worden weergegeven. 4. De namen "Indiana University" en "Indiana University Extreme! Lab" mogen niet zonder voorafgaande schriftelijke toestemming worden gebruikt ter onderschrijving of promotie van uit deze software afgeleide producten. Voor schriftelijke toestemming neemt u contact op met 5. Producten die van deze software zijn afgeleid, mogen geen "Indiana University" worden genoemd, noch mag de naam "Indiana University" voorkomen in de naam ervan, zonder voorafgaande schriftelijke toestemming van Indiana University. DEZE SOFTWARE WORDT GELEVERD "ZOALS HET IS", ZONDER ENIGE EXPLICIETE OF IMPLICIETE WAARBORGEN, INCLUSIEF MAAR NIET BEPERKT TOT IMPLICIETE WAARBORGEN VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. IN GEEN GEVAL KUNNEN DE AUTEURS, COPYRIGHTHOUDERS OF BIJDRAGELEVERANCIERS VERANTWOORDELIJK WORDEN GEHOUDEN VOOR ENIGE DIRECTE, INDIRECTE, INCIDENTELE, BIJZONDERE, VERVOLGSCHADE OF SMARTENGELD (INCLUSIEF MAAR NIET BEPERKT TOT AANKOOP VAN VERVANGENDE GOEDEREN OF DIENSTEN; VERLIES VAN GEBRUIK, GEGEVENS OF INKOMSTEN; OF HET ONDERBREKEN VAN DE BEDRIJFSVOERING) HOE DAN OOK VEROORZAAKT EN VOLGENS ELKE AANSPRAKELIJKHEIDSTHEORIE, ONGEACHT ONDER CONTRACT, STRIKTE AANSPRAKELIJKHEID OF UIT ONRECHTMATIGE DAAD (INCLUSIEF NALATIGHEID OF ANDERSZINS) OP ENIGERLEI WIJZE VOORTVLOEIEND UIT HET GEBRUIK VAN DEZE SOFTWARE, ZELFS WANNEER DE MOGELIJKHEID TOT DERGELIJKE SCHADE IS AANGEGEVEN. JDOM.JAR Copyright (C) Brett McLaughlin & Jason Hunter. Alle rechten voorbehouden. Herdistributie en gebruik in bron- en binaire vorm, met of zonder wijzigingen, is toegestaan indien aan de volgende voorwaarden is voldaan: 1. Bij herdistributie van de broncode moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen. 2. Bij herdistributie in binaire vorm moeten de bovenstaande copyrightkennisgeving, deze lijst voorwaarden en de volgende afwijzing van aansprakelijkheid worden overgenomen in de documentatie en/of overige materialen die met de distributie worden meegeleverd. 3. De naam "JDOM" mag niet zonder voorafgaande schriftelijke toestemming worden gebruikt ter onderschrijving of promotie van uit deze software afgeleide producten. Voor schriftelijke toestemming neemt u contact op met license@jdom.org. 4. Producten die van deze software zijn afgeleid, mogen geen "JDOM" worden genoemd, noch mag de naam "JDOM" voorkomen in de naam ervan, zonder voorafgaande schriftelijke toestemming van JDOM Project Management (pm@jdom.org). Daarnaast verzoeken wij u (hoewel dit niet verplicht is) in de met de herdistributie meegeleverde eindgebruikersdocumentatie en/of de software zelf een kennisgeving als de volgende op te nemen: "Dit product bevat software die is ontwikkeld door JDOM Project ( Deze kennisgeving mag ook in de vorm van een grafisch logo worden weergegeven, door middel van de logo's die beschikbaar zijn op DEZE SOFTWARE WORDT GELEVERD "ZOALS HET IS", ZONDER ENIGE EXPLICIETE OF IMPLICIETE WAARBORGEN, INCLUSIEF MAAR NIET BEPERKT TOT IMPLICIETE WAARBORGEN VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. IN GEEN GEVAL KUNNEN DE AUTEURS OF BIJDRAGELEVERANCIERS VAN JDOM OF HET PROJECT VERANTWOORDELIJK WORDEN GEHOUDEN VOOR ENIGE DIRECTE, INDIRECTE, INCIDENTELE, BIJZONDERE, VERVOLGSCHADE OF SMARTENGELD (INCLUSIEF MAAR NIET BEPERKT TOT AANKOOP VAN VERVANGENDE GOEDEREN OF DIENSTEN; VERLIES VAN GEBRUIK, GEGEVENS OF INKOMSTEN; OF HET ONDERBREKEN VAN DE BEDRIJFSVOERING) HOE DAN OOK VEROORZAAKT EN VOLGENS ELKE AANSPRAKELIJKHEIDSTHEORIE, ONGEACHT ONDER CONTRACT, STRIKTE AANSPRAKELIJKHEID OF UIT ONRECHTMATIGE DAAD (INCLUSIEF NALATIGHEID OF ANDERSZINS) OP ENIGERLEI WIJZE VOORTVLOEIEND UIT HET GEBRUIK VAN DEZE SOFTWARE, ZELFS WANNEER DE MOGELIJKHEID TOT DERGELIJKE SCHADE IS AANGEGEVEN.

7 Phaos Deze Software is gedeeltelijk afgeleid van de SSLavaTM Toolkit, waarvoor het copyright berust bij Phaos Technology Corporation Alle rechten voorbehouden. Toegang tot de functionaliteit van de Phaossoftware is voor de klant verboden. W3C W3C SOFTWARE KENNISGEVING EN LICENTIE Dit werk (en meegeleverde software, documentatie zoals LEESMIJ's of andere bijbehorende items) wordt door de copyrighthouders geleverd onder de volgende licentie. Door dit werk te verkrijgen, gebruiken en/of te kopiëren verklaart u, de licentienemer, de volgende voorwaarden te hebben gelezen en begrepen en er akkoord mee te gaan. Hierbij wordt toestemming verleend om de software en documentatie met of zonder wijzigingen voor enig doel en zonder kosten of royalty's te kopiëren, wijzigen en distribueren, op voorwaarde dat het volgende wordt opgenomen in ALLE exemplaren van de software, documentatie of delen ervan, inclusief wijzigingen: 1. De volledige tekst van deze KENNISGEVING, op een locatie die zichtbaar is voor gebruikers van het opnieuw gedistribueerde of afgeleide werk. 2. Alle vooraf bestaande vrijwaringen van aansprakelijkheid met betrekking tot intellectueel eigendom, kennisgevingen of voorwaarden. Indien deze niet bestaan, dient de W3C Software Short Notice te worden opgenomen (bij voorkeur als hypertext, tekst is toegestaan) in de opnieuw gedistribueerde of afgeleide code. 3. Kennisgeving met betrekking tot enige wijzigingen of aanpassingen aan de bestanden, inclusief de datum van deze wijzigingen. (Wij raden aan URI's te bieden naar de locatie waarvan de code is afgeleid.) DEZE SOFTWARE EN DOCUMENTATIE WORDT GELEVERD "ZOALS HET IS" EN DE COPYRIGHTHOUDERS GEVEN GEEN WAARBORGEN, EXPLICIET OF IMPLICIET, INCLUSIEF MAAR NIET BEPERKT TOT WAARBORGEN MET BETREKKING TOT DE VERKOOPBAARHEID OF DE GESCHIKTHEID VOOR EEN BEPAALD DOEL, OF DAT HET GEBRUIK VAN DE SOFTWARE OF DOCUMENTATIE GEEN INBREUK MAAKT OP OCTROOIEN, COPYRIGHTS, HANDELSMERKEN OF ANDERE RECHTEN VAN DERDEN. COPYRIGHTHOUDERS ZIJN NIET AANSPRAKELIJK VOOR ENIGE DIRECTE, INDIRECTE, BIJZONDERE OF GEVOLGSCHADE DIE VOORTVLOEIT UIT ENIG GEBRUIK VAN DE SOFTWARE OF DOCUMENTATIE. De naam en handelsmerken van copyrighthouders mogen NIET zonder voorafgaande schriftelijke toestemming worden gebruikt voor advertentie- of publicitaire doeleinden met betrekking tot de software. Het copyright van deze software en bijbehorende documentatie blijft te allen tijde berusten bij de copyrighthouders.

8

9 Inhoud Informatie over dit boek 9 Deel I Overzicht 11 1 Overzicht Typen ondersteunde rollen LDAP-beheerder Beheerder van de gebruikerstoepassing Eindgebruiker Gedelegeerde gebruiker Gemachtigde gebruiker Gegevensabstractie: de sleutel tot flexibel identiteitsbeheer Overzicht van de architectuur op hoog niveau Opslagplaats voor ID's JBoss Database Identity Manager-engine Stuurprogramma voor de gebruikerstoepassing Directory-abstractielaag Werkstroomengine Gebruikersinterface Hulpprogramma's voor ontwerp en configuratie Gebruiksvoorbeelden Scenario A: gebruiker zoekt naar informatie over andere personen in de organisatie Scenario B: beheerder maakt een nieuwe gebruiker Scenario C: toegangsbeheer voor gebruikers De volgende stappen De productieomgeving ontwerpen Topologie Minimaal ontwerp Ontwerp voor hoge beschikbaarheid Beperkingen met betrekking tot het ontwerp Beveiliging Wederzijdse verificatie Prestaties optimaliseren Vastleggen in logboek Opslagplaats voor ID's JVM Waarde sessietime-out Clusteren Clusteren van JBoss De gebruikerstoepassing installeren in een JBoss-cluster De cacheconfiguratie voor clustergroepen voor de gebruikerstoepassing configureren Werkstromen configureren voor clusteren Inhoud 1

10 Deel II De omgeving van de gebruikerstoepassing configureren 55 3 Het stuurprogramma voor de gebruikerstoepassing configureren Informatie over het stuurprogramma voor de gebruikerstoepassing Het stuurprogramma voor de gebruikerstoepassing maken Het stuurprogramma voor de gebruikerstoepassing starten Werkstromen instellen om automatisch te starten Informatie over beleid Een werkstroom instellen om te starten op basis van een gebeurtenis in de opslagplaats voor ID's De directory-abstractielaag configureren Informatie over definities voor de directory-abstractielaag Aan de slag De configuratie van het stuurprogramma voor de gebruikerstoepassing voltooien De Provisioning View (Weergave Toegangsbeheer) openen De editor voor de directory-abstractielaag starten Werken met eenheden en attributen Stappen voor het toevoegen van eenheden Uw gegevensbehoeften analyseren Eenheden definiëren Werken met lijsten Informatie over de lijst Taalvoorkeur Informatie over de lijst Categorie voor toegangsbeheer Werken met relaties in organigrammen Eigenschappen van relaties Werken met configuratie-instellingen Weergavetekst lokaliseren Ondersteunde talen Tekst lokaliseren Definities voor de directory-abstractielaag importeren, valideren en implementeren Informatie over importeren Informatie over validatie Informatie over implementatie Logboeken instellen Informatie over gebeurtenissenlogboeken Informatie over de instellingen voor het logboekniveau Logboekregistratie op een Novell Audit-server Het Identity Manager-toepassingsschema aan de Novell Audit-server toevoegen als logboektoepassing Audit-logboeken inschakelen De gebeurtenissen die in het logboek worden opgenomen Logboekrapporten Deel III Beheer van de gebruikerstoepassing Het tabblad Beheer gebruiken Informatie over het tabblad Beheer Gebruikers van het tabblad Beheer Het tabblad Beheer openen Identity Manager-gebruikerstoepassing: beheerdershandleiding

11 6.4 Beschikbare beheeracties Paginabeheer Informatie over paginabeheer Informatie over containerpagina's Informatie over gedeelde pagina's Een uitzondering op paginagebruik Containerpagina's maken en onderhouden Containerpagina's maken Inhoud aan een containerpagina toevoegen Inhoud uit een containerpagina verwijderen De lay-out van een containerpagina wijzigen Inhoud op de containerpagina ordenen Een containerpagina weergeven Gedeelde pagina's maken en onderhouden Gedeelde pagina's maken Inhoud aan een gedeelde pagina toevoegen Inhoud uit een gedeelde pagina verwijderen De lay-out van een gedeelde pagina wijzigen Inhoud op de gedeelde pagina ordenen Een gedeelde pagina weergeven Machtigingen voor pagina's toewijzen De machtiging Weergeven voor een pagina toewijzen Eigenaars van gedeelde pagina's toewijzen Gebruikerstoegang inschakelen voor de pagina Gebruiker of groep maken Gebruikerstoegang inschakelen voor afzonderlijke beheerpagina's Standaardpagina's voor groepen instellen Een standaard gedeelde pagina selecteren voor een containerpagina Themaconfiguratie Informatie over themaconfiguratie Voorbeeld van een thema weergeven Een thema kiezen De colofon van een thema aanpassen Portletbeheer Informatie over portletbeheer Portlettoepassingen beheren Portlettoepassingen op de server openen Informatie over portlettoepassingen weergeven De registratie van portlettoepassingen ongedaan maken Portletdefinities beheren Portletdefinities in de geïmplementeerde portlettoepassing openen Portletdefinities registreren Informatie over portletdefinities weergeven Geregistreerde portlets beheren Portletregistraties in de geïmplementeerde portlettoepassing openen Informatie over portletregistraties weergeven Categorieën aan portletregistraties toewijzen Instellingen voor portletregistraties wijzigen Voorkeuren voor portletregistraties wijzigen Beveiligingsmachtigingen aan portletregistraties toewijzen De registratie van een portlet ongedaan maken Inhoud 3

12 10 Portalconfiguratie Informatie over portalconfiguratie Algemene instellingen Instellingen die u kunt wijzigen Alleen-lezen instellingen LDAP-verbindingsparameters Instellingen die u kunt wijzigen Alleen-lezen instellingen Beveiligingsconfiguratie Informatie over beveiligingsconfiguratie De beheerder van de gebruikerstoepassing toewijzen Logboekconfiguratie Informatie over logboekconfiguratie Informatie over de logboeken Logboekniveaus wijzigen Logboekberichten verzenden naar Novell Audit De logboekinstellingen permanent opslaan Cacheconfiguratie Informatie over cacheconfiguratie Caches leegmaken De cache voor de directory-abstractielaag leegmaken Caches in een cluster leegmaken Cache-instellingen configureren Implementatie van caches Cache-instellingen opslaan Cache-instellingen weergeven Basiscache-instellingen Cache-instellingen voor clusters Hulpprogramma's voor het exporteren en importeren van portalgegevens Informatie over het exporteren en importeren van portalgegevens Gebruik Vereisten Beperkingen Stappen Portalgegevens exporteren Portalgegevens importeren Deel IV Portletverwijzing Informatie over portlets Accessoire-portlets Beheerportlets De portlet Navigatie gedeelde pagina's Identiteit-portlets Wachtwoordportlets Identity Manager-gebruikerstoepassing: beheerdershandleiding

13 15.5 Systeemportlets Portlet Maken Informatie over de portlet Maken De portlet Maken configureren De directory-abstractielaag instellen Voorkeuren voor Maken instellen Portlet Detail Informatie over de portlet Detail Eenheidsgegevens weergeven Eenheidsgegevens bewerken Eenheidsgegevens via verzenden Een koppeling maken naar een organigram Een koppeling maken naar de details van andere eenheden Eenheidsgegevens afdrukken Vereisten De directory-abstractielaag configureren Rechten toewijzen aan eenheden Detail starten vanuit andere portlets Vanuit de portlet Zoeklijst Vanuit de portlet Organigram Detail gebruiken op een pagina Voorkeuren instellen Informatie over de voorkeuren Portlet Organigram Informatie over Organigram Informatie over organigramrelaties Informatie over de weergave van Organigram De portlet Organigram configureren De directory-abstractielaag instellen Organigramvoorkeuren instellen Afbeeldingen dynamisch laden Portlets voor wachtwoordbeheer Wachtwoordbeheer voorbereiden Informatie over wachtwoordbeheerfuncties Vereiste instellingen in edirectory Informatie over de wachtwoordportlets Modi van de portlets voor zelfbediening van wachtwoorden Portlet Aanmelden bij IDM Vereisten Gebruik Portlet IDM-challenge-response Vereisten Gebruik Portlet IDM-suggesties definiëren Vereisten Gebruik Portlet IDM-wachtwoord wijzigen Inhoud 5

14 Vereisten Gebruik Portlet IDM wachtwoord vergeten Vereisten Gebruik De portlet Zoeklijst Informatie over Zoeklijst Informatie over weergave-indelingen van resultatenlijsten De portlet Zoeklijst configureren De directory-abstractielaag instellen Zoeklijstvoorkeuren instellen Deel V Toegangsaanvragen ontwerpen en beheren Inleiding tot Toegangsbeheer op basis van werkstromen Informatie over toegangsbeheer op basis van werkstromen Architectuur op hoog niveau Voorbeeld van toegangsbeheer en werkstromen Configuratie en beheer van toegangsbeheer Beveiliging van toegangsbeheer Definities voor toegangsaanvragen configureren Informatie over de invoegtoepassing Toegangsaanvraag configureren Werken met de geïnstalleerde sjablonen Een definitie voor de toegangsaanvraag configureren Het stuurprogramma selecteren Een toegangsaanvraag maken of bewerken Een toegangsaanvraag verwijderen De status van een bestaande toegangsaanvraag wijzigen Rechten definiëren voor een bestaande toegangsaanvraag Toegangsbeheerwerkstromen beheren Informatie over de invoegtoepassing Werkstroombeheer Werkstromen beheren Verbinding maken met een werkstroomserver Werkstromen zoeken die voldoen aan zoekcriteria De weergave van actieve werkstromen instellen Een werkstroomexemplaar beëindigen Gegevens van een werkstroomexemplaar weergeven Een werkstroomexemplaar opnieuw toewijzen De server configureren Werken met de geïnstalleerde sjabloon Standaardinhoud en -opmaak De sjabloon bewerken Standaardwaarden voor de sjabloon wijzigen Identity Manager-gebruikerstoepassing: beheerdershandleiding

15 Deel VI Bijlagen 365 A Schema-extensies 367 A.1 Schema-extensies voor attributen A.2 Schema-extensies voor objectklasse A.3 LDIF-weergave B Het toepassingsarchief configureren 381 B.1 Het WAR-bestand voor de gebruikerstoepassing B.2 De sessietime-out instellen Inhoud 7

16 8 Identity Manager-gebruikerstoepassing: beheerdershandleiding

17 Informatie over dit boek Doel Dit boek bevat een beschrijving van de Novell Identity Manager-gebruikerstoepassing en de manier waarop u de geboden functies kunt gebruiken, waaronder de volgende: De functies vooridentiteit-zelfbediening van Identity Manager De functies voor op werkstromen gebaseerd toegangsbeheer als u beschikt over de module Toegangsbeheer voor Identity Manager Zie voor meer informatie over het beheer van de andere functies van Identity Manager (die algemeen zijn voor alle versies) de Novell Identity Manager: beheerdershandleiding. Doelgroep De informatie in dit boek is bedoeld voor systeembeheerders, systeemarchitecten en systeemconsultants die verantwoordelijk zijn voor het configureren, implementeren en beheren van de functies voor Identiteit-zelfbediening en/of op werkstromen gebaseerd toegangsbeheer van de Identity Manager-gebruikerstoepassing. De eindgebruikersdocumentatie voor deze functies vindt u in de Identity Managergebruikerstoepassing: gebruikershandleiding. Vereisten In dit boek wordt verondersteld dat u: Identity Managerhebt geïnstalleerd, en mogelijk ook de module Toegangsbeheer voor Identity Manager Raadpleeg voor instructies over de installatie van deze producten de Novell Identity Manager: installatiehandleiding. De overige benodigde functies van Identity Manager op de juiste manier hebt geconfigureerd Raadpleeg denovell Identity Manager: beheerdershandleiding. Opbouw Onderstaand volgt een overzicht van hetgeen u in dit boek aantreft: Deel Deel I, Overzicht, op pagina 11 Beschrijving Inleiding tot de Identity Manager-gebruikerstoepassing en hoe u deze kunt gebruiken in uw organisatie Informatie over dit boek 9

18 Deel Deel II, De omgeving van de gebruikerstoepassing configureren, op pagina 55 Deel III, Beheer van de gebruikerstoepassing, op pagina 129 Beschrijving De omgeving van de Identity Manager-gebruikerstoepassing (waaronder het stuurprogramma voor de gebruikerstoepassing, directory-abstractielaag en logboek) configureren voor de behoeften van uw organisatie De Identity Manager-gebruikersinterface configureren en beheren via het tabblad Beheer van de gebruikersinterface Deel IV, Portletverwijzing, op pagina 237 Deel V, Toegangsaanvragen ontwerpen en beheren, op pagina 309 De identiteits- en systeemportlets van de Identity Managergebruikersinterface configureren Het configureren, implementeren en beheren van de resources, werkstromen en definities voor toegangsaanvragen met de module Toegangsbeheer voor Identity Manager Deel VI, Bijlagen, op pagina 365 Zie ook OPMERKING: dit gedeelte is uitsluitend van toepassing als u beschikt over de module Toegangsbeheer voor Identity Manager. Aanvullende informatie (uitgebreide schema's) en geavanceerde onderwerpen (het toepassingsarchief configureren) voor de Identity Manager-gebruikerstoepassing Voor andere gerelateerde handleidingen en leesmij-informatie gaat u naar de Identity Managerpagina ( van de documentatiewebsite van Novell. 10 Identity Manager-gebruikerstoepassing: beheerdershandleiding

19 IOverzicht In deze hoofdstukken wordt een inleiding geboden tot de Identity Manager-gebruikerstoepassing en hulp bij het plannen van het gebruik hiervan in uw organisatie. Hoofdstuk 1, Overzicht, op pagina 13 Hoofdstuk 2, De productieomgeving ontwerpen, op pagina 39 I Overzicht 11

20 12 Identity Manager-gebruikerstoepassing: beheerdershandleiding

21 1Overzicht De Novell Identity Manager-gebruikerstoepassing is een krachtige webtoepassing die is ontwikkeld voor een veelzijdige, intuïtieve, in hoge mate configureerbare en uiterst beheerbare gebruikerservaring, gebaseerd op een geavanceerd raamwerk van identiteitsservices. In combinatie met de module Toegangsbeheer voor Identity Manager en Novell Audit biedt de Identity Managertoepassing een complete, veilige, schaalbare en eenvoudig te beheren end-to-end oplossing voor toegangsbeheer. De gebruikerstoepassing biedt eindgebruikers de volgende webgebaseerde functies: Telefoongids Organigrammen Zoekbewerkingen naar gebruikers (met de mogelijkheid aangepaste zoekconfiguraties op te slaan) Zelfbediening voor wachtwoordbeheer Lichte beheerprogramma's voor gebruikers Initiatie en controle van werkstromen (indien de module Toegangsbeheer is geïnstalleerd) Beheer van persoonlijke en/of teamtaken (indien de module Toegangsbeheer is geïnstalleerd) Functies voor gedelegeerden en gemachtigden Voor systeembeheerders biedt de gebruikerstoepassing een groot assortiment aan configuratie- en beheermogelijkheden, waaronder: Een interface voor het instellen en beheren van gemachtigden- en gedelegeerdenrechten Toegang tot logboekhulpprogramma's en aangepaste Crystal Reports Op wizards gebaseerde configuratie van werkstromen (indien de module Toegangsbeheer is geïnstalleerd) Werkstroombeheer (indien de module Toegangsbeheer is geïnstalleerd), inclusief de mogelijkheid werkstromen die worden uitgevoerd, opnieuw toe te wijzen of te beëindigen Een op Eclipse gebaseerde Designer voor het maken van aangepaste definities en relaties voor directory-abstracties In de onderstaande tabel vindt u een uitgebreider overzicht van de functies en mogelijkheden. 1 Functie Een op standaarden gebaseerde, browseronafhankelijke, uitbreidbare webinterface-gebruikersomgeving Beschrijving De beheerder kan de pagina-indeling en de standaardintroductiepagina's wijzigen, nieuwe pagina's toevoegen en het algehele uiterlijk aanpassen (thema's). De gebruikerstoepassing kan worden uitgebreid door JSR-168-compatibele portlets toe te voegen. Overzicht 13

22 Functie Werkstromen voor toegangsbeheer (indien de module Toegangsbeheer is geïnstalleerd) Gebeurtenis-gestuurde werkstromen (met de module Toegangsbeheer geïnstalleerd) Beschrijving De beheerder kan speciale werkstromen maken voor het verwerken van toegangsaanvragen. Deze werkstromen kunnen op hun beurt worden geïnitieerd door eindgebruikers met de juiste rechten. Naast de door de gebruiker geïnitieerde werkstromen kan de beheerder werkstromen zo configureren dat deze automatisch worden gestart als een bepaalde opgegeven gebeurtenis zich voordoet in de opslagplaats voor ID's. Uitgebreide telefoongids Organisatie-overzicht Zoekbewerking naar een gebruiker Zelfbediening voor wachtwoorden Licht gebruikersbeheer Op Eclipse gebaseerde Designer Gemachtigderollen (indien de module Toegangsbeheer is geïnstalleerd) Delegatie van taken (met de module Toegangsbeheer geïnstalleerd) Hier worden gebruikersgegevens weergegeven op alfabetische volgorde, geografisch, op vaardigheden, enzovoort. De gebruikerstoepassing omvat een geavanceerde organigram-portlet die met behulp van AJAX een zeer intuïtieve ervaring biedt. De gebruiker kan zoekopdrachten naar identiteiten uitvoeren en aangepaste zoekdefinities opslaan voor later gebruik. Via de gebruikerstoepassing hebben eindgebruikers toegang tot functies voor wachtwoordbeheer, zodat daarvoor niet langer de helpdesk hoeft te worden gebeld. Via de gebruikerstoepassing kunnen eindgebruikers die geen IT-beheerder zijn, een beperkt aantal identiteitsbeheertaken uitvoeren. Via de Designer-toepassing kunnen systeembeheerders, ontwikkelaars, consultants en andere IT-specialisten diverse configuratietaken en andere taken snel en eenvoudig uitvoeren. Met de Designer kan bijvoorbeeld offline worden gewerkt met eenheidsdefinities en relaties, stuurprogrammabeleid en filters, en diverse configuratietaken met betrekking tot stuurprogramma's. Wijzigingen kunnen in een project worden opgeslagen en/of naar de opslagplaats voor ID's worden geladen. Via de gebruikersinterface van de gebruikerstoepassing kunnen personen die daarvoor gekwalificeerd zijn, gemachtigderollen definiëren voor specifieke gebruikers. (Een gemachtigde kan taken uitvoeren namens een andere gebruiker, met alle rechten van die andere gebruiker.) Via de gebruikersinterface kunnen beheerders (en gebruikers met de juiste rechten) instellen dat taken automatisch naar een gelijkwaardige andere gebruiker worden gedelegeerd wanneer een bepaalde gebruiker niet beschikbaar is. Deze delegatie is in zoverre fijnmazig dat specifieke taaktypen naar verschillende personen kunnen worden gedelegeerd. 14 Identity Manager-gebruikerstoepassing: beheerdershandleiding

23 Functie Directory-abstractielaag Beschrijving De runtimestructuur houdt de webtoepassingslogica gescheiden van de onderliggende mechanismen voor werkstromen en toegang tot de opslagplaats voor ID's, zodat de directory-abstractiearchitectuur veilig en robuust is. Deze scheiding wordt gerealiseerd via een tussenliggende laag, die de directory-abstractielaag wordt genoemd (of gewoon abstractielaag). Toegangscontrole voor alle gebruikergeörienteerde gegevens Verificatie identiteitsgegevens eindgebruiker Flexibele logboeken Novell Audit-rapporten Hoge beschikbaarheid De abstractielaag (die gebruik maakt van het geavanceerde Effective Rights-model van de edirectory) beperkt automatisch de zichtbaarheid van identiteitsgegevens en werkstromen, en de rechten van gebruikers om gegevens te wijzigen, op een manier die zowel voor de gebruikers als voor de portlets zelf transparant is. Via de gebruikerstoepassing kunnen gebruikers hun eigen identiteitsgegevens in de opslagplaats voor ID's weergeven en valideren/bijwerken. Eenvoudig een groot aantal gebeurtenissen vastleggen in een logboek op de server (via log4j) en/of in Novell Audit. Het product omvat sjablonen voor Crystal Reports voor algemene rapportagetaken met betrekking tot toegangsbeheer. De gebruikerstoepassing en stroomelementen voor goedkeuring van het product kunnen voor een betere schaalbaarheid worden geclusterd. Beheerinterface voor sjablonen Accessoire-portlets BELANGRIJK: In deze versie van de module Toegangsbeheer wordt het automatisch herstellen ('failover') van werkstroomexemplaren in uitvoering niet ondersteund. Een onderbroken werkstroom kan echter wel via handmatig ingrijpen worden overgezet naar de resterende serverknooppunten om daar te worden voortgezet en voltooid. sjablonen koppelen en aanpassen voor werkstromen via imanager. De gebruikerstoepassing wordt geleverd met een groot aantal kant-en-klare portlets voor onder meer GroupWise, Exchange, Lotus Notes, Webmail, Network File, NetStorage, HTML, Shortcut, RSS en berichtenportlets. Deze functies vormen een aanvulling op de standaardfunctionaliteit van Identity Manager. Zie de Identity Manager-beheerdershandleiding voor meer informatie over de standaardfuncties van het product. Overzicht 15

24 1.1 Typen ondersteunde rollen De Identity Manager-gebruikerstoepassing omvat een groot aantal mogelijkheden voor identiteitsbeheer. Niet alle typen mogelijkheden zijn beschikbaar (of zichtbaar) voor elke gebruiker. De geboden functionaliteit hangt af van de rol van de gebruiker. Van gebruikers wordt verondersteld dat zij in een of meer van de volgende categorieën vallen. Voor elke categorie worden verschillende hulpprogramma's en functies geboden. (De volgende terminologie wordt overal in deze documentatie gebruikt.) LDAP-beheerder De LDAP-beheerder is de persoon met de meeste rechten voor configuratie en systeembeheer met betrekking tot de opslagplaats voor ID's (edirectory 8.7.x of 8.8). Dit is een logische rol, die kan worden gedeeld met de beheerder van de gebruikerstoepassing (zie verderop). Dit is de persoon of eenheid met systeemrechten voor de toepassingsserver (JBoss), de database (bijvoorbeeld MySQL) en/of de portalgebaseerde webinterface zelf. De LDAP-beheerder heeft de keuze uit twee soorten hulpprogramma's om zijn werk uit te voeren: de op Eclipse gebaseerde Designer voor minder vaak voorkomende (of zelfs eenmalige) Identity Manager-taken, en imanager-hulpprogramma's voor dagelijkse beheertaken. Minder vaak voorkomende taken die gewoonlijk met de Designer voor Identity Manager worden uitgevoerd, zijn onder meer: Configureren van de definities, kenmerken en relaties van de abstractielaag voor gebruik in de Identity Manager-gebruikerstoepassing. (Zie voor meer informatie het hoofdstuk over Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75.) Valideren van definities voor de directory-abstractielaag. (Zie het hoofdstuk over Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75.) Wijzigingen aanbrengen aan de stuurprogramma-instellingen voor de gebruikerstoepassing. (Zie het hoofdstuk over Hoofdstuk 3, Het stuurprogramma voor de gebruikerstoepassing configureren, op pagina 57.) Lokaliseren van de weergavetekst in de weergavelabels voor eenheden en kenmerken, namen van relaties in organigrammen, en globale en lokale lijstitems. (Zie het hoofdstuk over Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75.) Importeren of exporteren van het stuurprogramma voor de gebruikerstoepassing en de instellingen daarvan. Andere soorten offline taken. De dagelijkse taken, waarvoor de beheerder (de LDAP-beheerder of de verderop beschreven beheerder van de gebruikerstoepassing) gewoonlijk op een actief systeem moet werken, worden uitgevoerd in imanager. Dergelijke taken zijn bijvoorbeeld: Het beheren van sjablonen Het definiëren of toewijzen van toegangsresources en definities voor toegangsaanvragen. Het in- of uitschakelen van een werkstroomdefinitie, waarmee u deze activeert of niet. Het beëindigen van een werkstroom die wordt uitgevoerd. Het uitvoeren van rapporten op basis van logboekgegevens van Novell Audit. 16 Identity Manager-gebruikerstoepassing: beheerdershandleiding

25 Sommige van deze taken (de taken met betrekking tot werkstromen) zijn alleen van toepassing wanneer de module Toegangsbeheer is geïnstalleerd. Veel van deze taken kunnen wellicht beter worden uitgevoerd door de beheerder van de gebruikerstoepassing (zie verderop) dan door de LDAP-beheerder Beheerder van de gebruikerstoepassing De beheerder van de gebruikerstoepassing voert taken uit met betrekking tot het beheer van de webtoepassing (de op browser gebaseerde toepassing die op JBoss wordt uitgevoerd). Het tabblad Beheer van de Identity Manager-gebruikersinterface geeft toegang tot de beheerprogramma's voor deze rol. Handelingen die u in de gebruikerstoepassing kunt uitvoeren, zijn onder meer: Diverse toepassingsinstellingen configureren, zoals de instellingen die bepalen hoe de gebruikerstoepassing verbinding met de opslagplaats voor ID's maakt (LDAP-provider). Zie voor meer informatie Hoofdstuk 10, Portalconfiguratie, op pagina 201. Bepalen welke pagina's worden weergegeven in de Identity Manager-gebruikersinterface en wie toegang heeft tot deze pagina's. (Zie Hoofdstuk 7, Paginabeheer, op pagina 137.) Bepalen welke portlets beschikbaar zijn in de Identity Manager-gebruikersinterface en wie toegang tot deze portlets heeft. (Zie Hoofdstuk 9, Portletbeheer, op pagina 181.) Het uiterlijk van de Identity Manager-gebruikersinterface bepalen. (Zie Hoofdstuk 8, Themaconfiguratie, op pagina 175.) Bepalen wanneer logboekberichten door de Identity Manager-gebruikerstoepassing worden gegenereerd en welke van die berichten naar Novell Audit worden gestuurd. (Zie Hoofdstuk 12, Logboekconfiguratie, op pagina 213.) Diverse caches beheren die door de Identity Manager-gebruikerstoepassing worden bijgehouden. (Zie Hoofdstuk 13, Cacheconfiguratie, op pagina 219.) Webinhoud die in de Identity Manager-gebruikerstoepassing wordt gebruikt (pagina's en portlets) exporteren of importeren. (Zie Hoofdstuk 14, Hulpprogramma's voor het exporteren en importeren van portalgegevens, op pagina 229.) Toegangsrechten instellen voor bepaalde personen. Vele andere taken met betrekking tot de gebruikersinterface die de eindgebruiker te zien krijgt. Taken die in imanager worden uitgevoerd zijn onder meer: Het beheren van sjablonen Het definiëren of toewijzen van toegangsresources en definities van toegangsaanvragen. Het in- of uitschakelen van een werkstroomdefinitie, waarmee u deze activeert of niet. Het beëindigen van een werkstroom die wordt uitgevoerd. Het uitvoeren van rapporten op basis van logboekgegevens van Novell Audit. Sommige van deze taken (de taken met betrekking tot werkstromen) zijn alleen van toepassing wanneer de module Toegangsbeheer is geïnstalleerd. Overzicht 17

26 1.1.3 Eindgebruiker De eindgebruiker is de persoon die de diverse portlets en webpagina's waaruit de gebruikersinterface van de gebruikerstoepassing bestaat, bekijkt en gebruikt. In deze context wordt met eindgebruiker een werknemer of manager of een gemachtigde of gedelegeerde van een werknemer of manager bedoeld. De eindgebruiker heeft een enorm aantal mogelijkheden, afhankelijk van hoeveel functies door de beheerder zijn ingeschakeld. Eindgebruikers zullen minimaal in staat zijn de Identity Managergebruikerstoepassing te gebruiken voor het volgende: Hiërarchische relaties tussen gebruikersobjecten weergeven via de portlet Organigram. Gebruikersinformatie weergeven en bewerken (met de juiste rechten). Naar gebruikers of resources zoeken met geavanceerde zoekcriteria (die kunnen worden opgeslagen voor later gebruik). Vergeten wachtwoorden terughalen. versturen aan teamleden (afzonderlijk of massaal). Wanneer de module Toegangsbeheer is geïnstalleerd, kunnen gebruikers via de webinterface van de gebruikerstoepassing bovendien: Een resource aanvragen (een van potentieel vele vooraf gedefinieerde werkstromen starten). De status van eerdere aanvragen weergeven. Taken claimen en takenlijsten weergeven (op resource, ontvanger of andere kenmerken). Toewijzingen van machtigingen weergeven Toewijzingen van gedelegeerden weergeven Beschikbaarheid opgeven. De proxymodus openen om namens een ander taken te claimen. Teamtaken weergeven, teamresources aanvragen en dergelijke (alleen managers). 18 Identity Manager-gebruikerstoepassing: beheerdershandleiding

27 1.1.4 Gedelegeerde gebruiker Een gedelegeerde gebruiker of gedelegeerde is een eindgebruiker aan wie een of meer specifieke taken (overeenkomstig de rechten van die gebruiker) kunnen worden gedelegeerd. De gedelegeerden kunnen namens een ander aan die specifieke taken werken. Jan gaat bijvoorbeeld op vakantie en wil dat Marja tijdens zijn afwezigheid zijn taken overneemt. Ervan uitgaande dat Marja de juiste rechten heeft voor de taak (of taken) die Jan delegeert, kan Marja de gedelegeerde van Jan worden. Wanneer Jan in de gebruikerstoepassing aangeeft niet beschikbaar te zijn, worden alle taken die normaliter in de takenlijst van Jan worden weergegeven, in plaats daarvan in de takenlijst van Marja geplaatst. Marja heeft zo dus de rol van gedelegeerde gebruiker. Ze kan een taak van Jan volledig voor zichzelf claimen. Deze taak is dan niet langer van Jan. Vergelijk dit met de definitie van een gemachtigde gebruiker hieronder. Delegeren gebeurt zoals u ziet per taak. Het betekent niet noodzakelijk dat alle verantwoordelijkheid in een keer wordt overgedragen (hoewel dat feitelijk wel mogelijk zou zijn; in de gebruikerstoepassing kunnen desgewenst alle taken van een bepaalde gebruiker worden overgedragen aan een bepaalde gedelegeerde). Een gebruiker kan meerdere gedelegeerden opgeven. Elke gedelegeerde is alleen verantwoordelijk voor de taak of taken die hij of zij heeft gekregen. (Jan wil bijvoorbeeld dat Marja de taken met betrekking tot inkomende aanvragen voor visitekaartjes overneemt, maar hij wil dat Willem nieuwe aanvragen voor de Siebel-account afhandelt.) De overdracht van verantwoordelijkheid het opnieuw toewijzen van nieuwe taken gebeurt automatisch wanneer de oorspronkelijke eigenaar van de taak opgeeft niet beschikbaar te zijn voor een bepaald type taak. (De oorspronkelijke eigenaar kan optioneel een vervalperiode voor de delegatie opgeven, wederom per taak.) Deze overdracht wordt om compliance-redenen in het logboek vastgelegd. Raadpleeg voor een gedetailleerde beschrijving van de functies voor gedelegeerde gebruikers in de gebruikersinterface hoofdstuk 1 van de Identity Manager-gebruikerstoepassing: gebruikershandleiding. Zie voor meer informatie ook Sectie 21.3, Beveiliging van toegangsbeheer, op pagina 321 in deze handleiding Gemachtigde gebruiker Een gemachtigde gebruiker is een eindgebruiker die de rol van een andere gebruiker overneemt door tijdelijk de identiteit van die gebruiker aan te nemen. De gemachtigde gebruiker heeft alle rechten van de oorspronkelijke gebruiker. Werk dat eigendom is van de oorspronkelijke gebruiker, blijft dat ook. Jan wil bijvoorbeeld, terwijl hij zelf in China is, dat zijn assistent Bob toegang heeft tot al zijn (Jan's) taken, en deze kan uitvoeren. Jan kan, als hij daarvoor de juiste rechten heeft, Bob aanwijzen als zijn gemachtigde. (Als hij daarvoor niet de juiste rechten heeft, wordt dit door de beheerder van de gebruikerstoepassing ingesteld.) Wanneer de gemachtigderelatie is ingesteld, kan Bob twee rollen aannemen: de rol van Bob en de rol van Jan. In de rol van Jan kan hij alles wat Jan ook kan. Wanneer werkitems door Bob worden voltooid, lijkt het alsof Jan dit zelf heeft gedaan. Merk op dat, in tegenstelling tot de delegatiemethode die in het voorgaande gedeelte werd beschreven, een gemachtigderelatie de gemachtigde gebruiker volledig inzicht biedt in de taken en instellingen van de oorspronkelijke gebruiker, en het vermogen daar actie op te ondernemen. Daarnaast zijn alle kenmerken, relaties of systeeminstellingen waartoe Jan toegang heeft, voor de duur van de machtiging toegankelijk voor zijn gemachtigde. Een ander verschil tussen een gedelegeerde en een gemachtigde is dat een gebruiker bepaalde taken aan een gedelegeerde kan overdragen en taken van een andere categorie aan een andere gedelegeerde, terwijl een gemachtigde altijd alle taken van de oorspronkelijke gebruiker krijgt. Met Overzicht 19

28 andere woorden, wanneer u iemand aanwijst als gemachtigde, kunt u er zeker van zijn dat al uw taken kunnen worden bekeken en uitgevoerd door die ene persoon. Deze persoon is als het ware u geworden. Acties die een gemachtigde uitvoert voor een andere gebruiker, worden vastgelegd in een logboek van Novell Audit (om compliance te kunnen aantonen). Zie voor meer informatie over gemachtigden-scenario's het hoofdstuk Toegangsinstellingen configureren van de Identity Manager-gebruikerstoepassing: gebruikershandleiding. 1.2 Gegevensabstractie: de sleutel tot flexibel identiteitsbeheer Een concept dat belangrijk is om de Identity Manager-gebruikerstoepassing te begrijpen is gegevensabstractie, ofwel de mogelijkheid exemplaren van de directory-abstractielaagdefinities te definiëren, bekijken en bewerken. Voor traditionele opslagtechnologie, of het daarbij om relationele databases gaat, X.500-directory's of andere opslagplaatsen, is het gewoonlijk nodig dat de gegevens (rijen in een database, objecten in een X.500-directory, enzovoort) strikt aan een vooraf bepaalde indeling voldoen. Query's op de opgeslagen gegevens kunnen in theorie zeer complex zijn, en de gegevens kunnen indexen bevatten en/of terugkoppelingen, maar van de ingevoerde gegevens zelf wordt verwacht dat deze zich aan vaste definities houden. Bovendien wordt aangenomen dat deze indelingsschema's in de loop der tijd niet of nauwelijks aan verandering onderhevig zullen zijn. Dit wordt een probleem wanneer informatie, mogelijk afkomstig van ongelijksoortige gegevensbronnen en ingedeeld volgens ongelijksoortige schema's, moet worden samengevoegd tot samengestelde gegevensobjecten volgens een willekeurig nieuw (en mogelijk tijdelijk) schema. Identiteitsgegevens zijn daarvan een klassiek voorbeeld, aangezien identiteiten over het algemeen samengesteld en niet-statisch zijn. Bovendien kunnen de gegevens waarop een bepaalde identiteit is gebaseerd, van verschillende bronnen afkomstig zijn, die elk kunnen worden beheerd door iemand die deze gegevens (terecht) zo goed mogelijk probeert te beschermen. De gedistribueerde aard van identiteitsgegevens brengt grote uitdagingen met zich mee voor het beheer ervan, die als gevolg van de starre en vaak politiek bepaalde schemadefinities moeilijk op te lossen kunnen zijn. Een manier om dit probleem te lijf te gaan is identiteitsgegevens samen te brengen in een 'logische opslagplaats' (als directory geïmplementeerd) en naar behoefte logische identiteiten samen te stellen uit de brongegevens, volgens een of meer van de logische schema's waarmee traditionele LDAP-objecten en -attributen worden toegewezen aan (bijvoorbeeld) willekeurige definities en attributen van de abstractielaag. Op deze manier worden identiteitsgegevens in hoge mate samengesteld en dynamisch. Het LDAP-schema kan ongewijzigd blijven wanneer de definitie van een identiteit wordt gewijzigd. Identiteitsobjecten kunnen naar believen opnieuw worden gedefinieerd en afgestemd op bepaalde toepassingen of zelfs bepaalde gebruikers van bepaalde toepassingen. Deze algemene benadering wordt vaak data-abstractie genoemd, waarmee bedoeld wordt dat identiteiten naar behoefte worden 'gemaakt', in de benodigde vorm. Abstractie van identiteitsgegevens heeft een aantal voordelen: Verstorende en mogelijk riskante wijzigingen aan LDAP-directoryschema's kunnen worden voorkomen Abstractietechnologie is niet-intrusief en vereist geen wijzigingen aan verbonden systemen 20 Identity Manager-gebruikerstoepassing: beheerdershandleiding

29 Nieuwe relaties tussen gegevens zijn mogelijk De abstractielaagdefinities kunnen op elk gewenst moment worden gewijzigd of uitgebreid Objecten kunnen zo veel of zo weinig attributen hebben als nodig is Attributen van niet verwante LDAP-objectklassen kunnen worden samengevoegd in een abstractielaagdefinitie De naamgeving van attributen kan willekeurig zijn (het is niet nodig LDAP-namen te gebruiken) Er kan nog steeds een fijnmazig toegangscontrolebeleid worden toegepast (gebruikers zien alleen de gegevens waarvoor ze de rechten hebben) Er kunnen complexe zoekopdrachten worden uitgevoerd op nieuwe objecttypen (of combinaties van attributen) die in een pure LDAP-omgeving niet mogelijk zouden zijn Identity Manager maakt gebruik van abstractie om al deze doelen en meer te bereiken. 1.3 Overzicht van de architectuur op hoog niveau De Identity Manager-gebruikerstoepassing is gebaseerd op een aantal samenwerkende maar onafhankelijke onderdelen. In de volgende tabel worden de kernonderdelen en de basisfunctionaliteit daarvan beschreven. Onderdeel Opslagplaats voor ID's (edirectory of 8.8) Identity Manager-engine Stuurprogramma voor gebruikerstoepassing Gebruikerstoepassing: webinterface Beschrijving Opslagplaats voor gebruikersgegevens (en andere identiteitsgegevens) plus IDM-stuurprogrammaset en - stuurprogramma's, en daarnaast diverse abstractielaag-onderdelen en (indien de module Toegangsbeheer is geïnstalleerd) werkstroomonderdelen. Dit is de runtimestructuur van Identity Manager, die de gebeurtenissen in edirectory (en verbonden systemen) controleert, zorgt dat het beleid wordt gehandhaafd en de gegevens van en naar de opslagplaats voor ID's leidt. Het stuurprogramma voor de gebruikerstoepassing communiceert met de gebruikerstoepassing zodat de toepassingscache wordt vernieuwd nadat de abstractielaagdefinities zijn gewijzigd. Wanneer de module Toegangsbeheer is geïnstalleerd, kan het stuurprogramma voor de gebruikerstoepassing ook worden geconfigureerd om het activeren van werkstromen door gebeurtenissen in de opslagplaats voor ID's toe te staan. Het stuurprogramma voert ook informatie over rechten terug naar de opslagplaats voor ID's, zodat er een record bestaat over al dan niet toegekende rechten wanneer de werkstroom voltooid is. De webinterface van de gebruikerstoepassing is een Javatoepassing op browserbasis, waar de JSR 168-compatibele portlets kunnen worden ingevoegd. Overzicht 21

30 Onderdeel Gebruikerstoepassing: abstractielaag Beschrijving De abstractielaag isoleert de logica van de presentatielaag van de opslagplaats voor ID's, zodat alle aanvragen voor identiteitsgegevens door de abstractielaag heen moeten. Portletcode kan niet rechtstreeks toegang krijgen tot identiteitsgegevens. Alle aanvragen verlopen via de abstractielaag en zijn onderworpen aan de beperkingen daarvan, bijvoorbeeld voor toegangscontrole. Gebruikerstoepassing: werkstroomengine (alleen beschikbaar met de module Toegangsbeheer) JBoss-toepassingsserver Database (standaard MySQL) Stuurprogramma voor Composerservice Novell Audit De werkstroomengine bestaat uit een reeks Java-programma's die verantwoordelijk zijn voor het beheren en uitvoeren van de stappen in een door de beheerder gedefinieerde werkstroom. De open-source JBoss toepassingsserver levert de runtimestructuur waarin de gebruikerstoepassing, de abstractielaag en de werkstroomengine worden uitgevoerd. In de database (zie de installatiehandleiding voor een lijst ondersteunde databases) worden bepaalde soorten configuratiegegevens voor de gebruikerstoepassing opgeslagen. Als de module Toegangsbeheer is geïnstalleerd, wordt hier ook de status van de werkstroom opgeslagen. Het stuurprogramma voor de Composer-service is het gedeelte van het stuurprogramma van de gebruikerstoepassing dat zo kan worden geconfigureerd dat op gebeurtenissen in de opslagplaats voor ID's wordt gereageerd met het activeren van werkstromen. Novell Audit is een onafhankelijke logboekserver waarin verschillende soorten gegevens kunnen worden vastgelegd (bijvoorbeeld de gegevens die door stappen in een werkstroom worden gegenereerd). Zie voor meer informatie het hoofdstuk over het instellen van logboeken verderop in deze handleiding. Met betrekking tot de gegevensstroom zijn de hierboven genoemde onderdelen logisch gekoppeld op de wijze die in het onderstaande diagram wordt afgebeeld. De afzonderlijke onderdelen kunnen zich fysiek op meer dan een computer bevinden, en vaak zal dat ook het geval zijn. De opslagplaats voor ID's (en het belangrijkste beheerprogramma daarvoor, imanager) bevindt zich bijvoorbeeld op de computer waarop ook de Identity Manager-engine wordt gehost, terwijl JBoss (en de gebruikerstoepassing) normaal gesproken op een afzonderlijke computer (of een geclusterde groep computers) wordt gehost. Ook de database (MySQL) is meestal op een afzonderlijke computer 22 Identity Manager-gebruikerstoepassing: beheerdershandleiding

31 gehuisvest, niet alleen vanwege prestatieredenen maar ook voor een betere beveiliging en herstelmogelijkheden bij calamiteiten Opslagplaats voor ID's In de opslagplaats voor ID's worden identiteitsgegevens en verschillende soorten definities voor de abstractielaag opgeslagen. Hiervoor wordt een exemplaar van edirectory gebruikt (uitgevoerd onder Windows, Solaris of Linux). Dankzij edirectory kan Identity Manager partitionerings- en replicatiefunctionaliteit gebruiken op de beproefde, vrijwel oneindig schaalbare LDAPv3-directory voor ondernemingen, samen met een flexibel webgebaseerd beheer- en configuratieprogramma (imanager) dat een allesomvattend beheerintegratiepunt biedt tussen Identity Manager en edirectory zelf JBoss De gebruikerstoepassing wordt geleverd als een Java WAR-bestand (Web Application Archive). Het WAR-bestand wordt geïmplementeerd in JBoss, de veelgebruikte open-source Javatoepassingsserver. Deze maakt gebruik van Tomcat als servlet-engine (niet weergegeven in het Overzicht 23

32 diagram). Het gebruik van JBoss als uitvoeringsomgeving brengt een groot aantal voordelen met zich mee, waaronder de volgende: De broncode is vrij beschikbaar. JBoss kan, vanaf versie 4.0.3, worden geclusterd. JBoss is volledig compatibel met J2EE, zodat elke J2EE-toepassing erop kan worden uitgevoerd. U kunt extra toepassingen (bijvoorbeeld webservices) hosten op hetzelfde exemplaar van JBoss waar de gebruikerstoepassing op wordt uitgevoerd. JBoss ondersteunt de standaardservices JAAS en JACC voor Java-beveiliging en -autorisatie (via welke de gebruikerstoepassing toegang tot de opslagplaats voor ID's krijgt). JBoss kan op vele verschillende platforms worden uitgevoerd, inclusief veelgebruikte Windows- en Linux-versies. Het WAR-bestand van de gebruikerstoepassing bevat uitvoerbare code voor de gebruikerstoepassing. Deze code is opgebouwd volgens de MVC-architectuur (Model-View- Controller). De gebruiker-georiënteerde interfaces worden als modulaire portlets uitgevoerd in de gebruikerstoepassing. Er zijn afzonderlijke portlets voor het weergeven van organigrammen, het uitvoeren van zoekopdrachten, het bekijken van gebruikersdetails, het opnieuw instellen van wachtwoorden, enzovoort. Raadpleeg de JBoss-documentatie op ( voor meer informatie over het gebruik van webtoepassingen met JBoss Database De gebruikerstoepassing werkt met een database (standaard MySQL; zie de installatiehandleiding voor een lijst ondersteunde databases) waarin verschillende soorten gegevens worden opgeslagen: Configuratiegegevens voor de gebruikerstoepassing: bijvoorbeeld definities van webpagina's, registraties van portletexemplaren en voorkeurswaarden. Wanneer de module Toegangsbeheer is geïnstalleerd, wordt ook informatie over de status van werkstromen in de database opgeslagen. (De feitelijke werkstroomdefinities worden opgeslagen in de opslagplaats voor ID's.) Novell Audit-logboeken Identity Manager-engine Het product Identity Manager bestaat uit een runtime-engine, stuurprogramma's en beleid. De Identity Manager-engine reageert op gebeurtenissen in de opslagplaats voor ID's en beheert de gegevensstroom van en naar de opslagplaats en de transformatie van die gegevens. Stuurprogramma-objecten sluiten de uitvoerbare code en onderdelen in (zoals beleidsdocumenten), die zijn ontworpen om gegevens af te handelen op een manier die specifiek is voor een bepaald verbonden systeem. De Identity Manager-gebruikerstoepassing is een verbonden systeem. De communicatie tussen de opslagplaats voor ID's, de abstractielaag van de gebruikerstoepassing en de werkstroomengine verloopt via het stuurprogramma voor de gebruikerstoepassing (zie verderop). Aangezien de gebruikerstoepassing verschillende directory-objecten gebruikt voor het opslaan van onderdelen van de abstractielaag, moet het edirectory-schema worden uitgebreid zodat ook de aangepaste LDAP-objecten en attributen die voor de gebruikerstoepassing zijn vereist, worden 24 Identity Manager-gebruikerstoepassing: beheerdershandleiding

33 ondersteund. Het schema wordt automatisch uitgebreid gedurende het installatieproces van Identity Manager. De aangepaste objecten en attributen worden echter pas met standaardwaarden ingevuld wanneer het stuurprogramma van de gebruikerstoepassing wordt geïnstalleerd en geactiveerd Stuurprogramma voor de gebruikerstoepassing Het stuurprogramma voor de gebruikerstoepassing is een belangrijk deel van de gebruikerstoepassing. Dit stuurprogramma stelt de abstractielaag op de hoogte wanneer belangrijke gegevenswaarden in de opslagplaats voor ID's worden gewijzigd, zodat de abstractielaag weet dat de cache moet worden bijgewerkt. Wanneer de module Toegangsbeheer is geïnstalleerd, kan het stuurprogramma voor de gebruikerstoepassing worden geconfigureerd om werkstromen automatisch te activeren als reactie op wijzigingen van attribuutwaarden in de opslagplaats voor ID's. Het stuurprogramma voor de gebruikerstoepassing is niet alleen een runtime-onderdeel, maar ook een opslagomhulsel voor directory-objecten (die de runtime-onderdelen van de gebruikerstoepassing vormen). De volgende afbeelding geeft een typische indeling van de directoryonderdelen met betrekking op het stuurprogramma van de gebruikerstoepassing weer. OPMERKING: de weergegeven namen staan voor LDAP cn-waarden (common-name). Het naamgevingsschema van de verschillende objectklassen wordt elders besproken. Deze onderdeelcategorieën worden verderop in meer detail besproken. Stuurprogrammaset-object Voor elke installatie van Identity Manager moeten stuurprogramma's worden gegroepeerd tot stuurprogrammasets. Er kan slechts één stuurprogrammaset tegelijk actief zijn (op een bepaalde directoryserver). De stuurprogramma's in die set kunnen afzonderlijk van elkaar worden in- of Overzicht 25

34 uitgeschakeld, zonder dat dit van invloed is op de gehele stuurprogrammaset. Het stuurprogramma voor de gebruikerstoepassing moet (net als elk ander IDM-stuurprogramma) in een stuurprogrammaset zijn opgenomen. De stuurprogrammaset wordt niet automatisch gemaakt door de gebruikerstoepassing. U moet deze van tevoren aanmaken, en vervolgens het stuurprogramma voor de gebruikerstoepassing daarbinnen aanmaken. Stuurprogramma voor gebruikerstoepassing Het object voor het stuurprogramma voor de gebruikerstoepassing (dat een willekeurige naam mag krijgen) is de container voor verschillende onderdelen. Het stuurprogramma voor de gebruikerstoepassing implementeert, net als alle Identity Manager-stuurprogramma's, objecten en beleid voor kanalen voor publishers en abonnees. Het kanaal voor publishers wordt niet gebruikt door de gebruikerstoepassing, hoewel het wel beschikbaar is en in speciale gevallen kan worden gebruikt. Toepassingsconfiguratieobject Het toepassingsconfiguratieobject is een container voor verschillende configuratieobjecten voor de gebruikerstoepassing: RequestDefs Dit is een container voor de definities voor toegangsaanvragen, de door de beheerder geconfigureerde aanvraagdefinities die beschikbaar zijn voor de runtimeomgeving van de gebruikerstoepassing (indien de module Toegangsbeheer aanwezig is). De hier (als XML) opgeslagen definities vertegenwoordigen de aanvraagklassen die eindgebruikers met de juiste rechten via de gebruikerstoepassing kunnen instantiëren. De RequestDef koppelt een WorkFlowDef (hieronder) aan een ResourceDef. WorkflowDefs Een container voor werkstroomobjecten, met inbegrip van beschrijvingen die worden gebruikt in de ontwerpfase en sjablonen of niet-gebruikte stromen. ResourceDefs Een container voor definities van resources met toegewezen toegangsrechten, met inbegrip van beschrijvingen die worden gebruikt in de ontwerpfase en sjablonen of niet-gebruikte doelen. ServiceDefs Een container voor servicedefinitieobjecten, waarin webservices worden opgenomen die worden opgeroepen door werkstromen. DirectoryModel Metaniveau-objecten voor de abstractielaag (ChoiceDefs, EntityDefs, RelationshipDefs), die staan voor verschillende soorten inhoud (sommige door de gebruiker te definiëren, andere ingesteld door de beheerder) van de directory die door identiteitsportlets kunnen worden weergegeven. AppDefs Een container voor configuratieobjecten waarmee de runtimeomgeving wordt geïnitialiseerd, zoals informatie over de cacheconfiguratie en eigenschappen voor meldingen. 26 Identity Manager-gebruikerstoepassing: beheerdershandleiding

35 ProxyDefs Een container voor definities van gemachtigden. DelegateeDefs Een container voor definities van gedelegeerden Directory-abstractielaag Portlets ontvangen hun identiteitsgegevens via query's in de directory-abstractielaag. Dit is een codelaag die de details van de toegang tot identiteitsgegevens isoleert van de clientprocessen. Wanneer een portlet bijvoorbeeld een zoekopdracht uitvoert op identiteitsgegevens, maakt de abstractielaag namens de portlet de juiste LDAP-query's voor de doelcontainer in de opslagplaats voor ID's. Een portlet maakt nooit query's rechtstreeks in de opslagplaats voor ID's. De abstractielaag is tevens de codelaag via welke de abstractielaagdefinities, zoals opgegeven door beheerders of andere gekwalificeerde gebruikers, worden gemaakt of gewijzigd. Voor dergelijke wijzigingen wordt de editor voor de directory-abstractielagen van de Designer-toepassing gebruikt. Deze wordt verderop in deze handleiding beschreven in Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75. Tijdens runtime worden verschillende configuratie- en eenheidsdefinitiegegevens uit de opslagplaats voor ID's opgeslagen in het cachegeheugen van de abstractielaag. De diverse caches die door de gebruikerstoepassing worden bijgehouden, kunnen gedetailleerd worden beheerd door de beheerder. Zie Hoofdstuk 13, Cacheconfiguratie, op pagina 219 voor meer informatie over caches en cachebeheer Werkstroomengine De werkstroomengine (beschikbaar bij de module Toegangsbeheer) is de set runtimeklassen die verantwoordelijk is voor het uitvoeren van de stappen in een werkstroom, zoals gedefinieerd door een procesdefinitie (een runtime-onderdeel dat wordt gemaakt wanneer een werkstroom wordt geïnstantieerd) en het bijhouden van statusinformatie, die permanent wordt opgeslagen in een database, bijvoorbeeld MySQL of Oracle. Zie Sectie 1.3.3, Database, op pagina 24 eerder in deze handleiding. Zie voor meer informatie over het werkstroomsysteem en het maken van werkstromen het hoofdstuk Hoofdstuk 21, Inleiding tot Toegangsbeheer op basis van werkstromen, op pagina 311, verderop in deze handleiding Gebruikersinterface De gebruikersinterface van Identity Manager bestaat uit een verzameling JSR168-compatibele portlets (en, met de module Toegangsbeheer, enkele Java Server-pagina's) die in een Javawebtoepassing op JBoss worden uitgevoerd. De portletarchitectuur maakt een hoge mate van modulariteit, inhoudsaanpassing en gebruikersbeheer over het uiterlijk van pagina's mogelijk. De structuur van de gebruikerstoepassing biedt verschillende soorten containerservices. Deze structuur fungeert als gatekeeper voor beveiliging en beheert de vensterstatus, portletvoorkeuren, permanente opslag, caching, thema's, logboeken, enzovoort. De toepassingsserver waarop de gebruikerstoepassing wordt uitgevoerd, biedt daarnaast diverse services voor de toepassing als Overzicht 27

36 geheel, zoals schaalbaarheid door middel van clustering, databasetoegang via JDBC en ondersteuning voor op certificaten gebaseerde beveiliging. Doordat deze architectuur een hoge mate van insluiting mogelijk maakt, wordt een robuuste en veilige presentatielaagomgeving voor de Identity Manager-gebruikerstoepassing geboden. Daarnaast wordt een hoge mate van beheerbaarheid voor alle aspecten van de gebruikersinterface gegarandeerd. Zie voor meer informatie over de verschillende onderdelen van de gebruikersinterface de hoofdstukken onder Deel III, Beheer van de gebruikerstoepassing, op pagina 129 in deze handleiding. 1.4 Hulpprogramma's voor ontwerp en configuratie Verschillende functies van de Identity Manager-gebruikerstoepassing kunnen worden aangepast of speciaal geconfigureerd via het Designer-hulpprogramma van Identity Manager (gebaseerd op het Eclipse Rich Client Platform) of via imanager-invoegtoepassingen. In de volgende tabel worden de beschikbare hulpprogramma's en het beoogde gebruik daarvan beschreven. Hulpprogramma Designer voor Identity Manager Invoegtoepassing Editor voor de directoryabstractielaag voor Designer Invoegtoepassing Toegangsaanvraag configureren Editor voor resources met toegewezen rechten (binnenkort beschikbaar) Editor voor werkstroomdefinities (binnenkort beschikbaar) Editor voor werkstroom- sjablonen Doel Algemeen configuratiehulpprogramma voor Identity Manager, waarmee ontwikkelaars, consultants of systeembeheerders gedetailleerde wijzigingen in de configuratie kunnen aanbrengen in stuurprogrammasets, stuurprogramma's, beleidsdefinities en andere onderdelen. Hiermee kunt u aangepaste objecten en relaties definiëren en diverse configuratie-instellingen van de abstractielaag wijzigen. Zie voor meer informatie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 verderop in dit hoofdstuk. Hiermee kunnen de beschikbare typen toegangsaanvragen (in imanager) worden gedefinieerd en geconfigureerd. Invoegtoepassing voor Designer voor het maken en configureren van resources (objecten die de resource vertegenwoordigen die in reactie op een werkstroom wordt toegekend) Grafische invoegtoepassing voor werkstroomdefinities voor Designer Een imanager-invoegtoepassing waarmee beheerders sjablonen kunnen toevoegen, verwijderen en bewerken. Deze sjablonen kunnen door het werkstroomsysteem worden gebruikt om gebruikers op de hoogte te brengen van werkstroomgebeurtenissen. 28 Identity Manager-gebruikerstoepassing: beheerdershandleiding

37 Hulpprogramma lreport.exe (hulpprogramma voor logboekrapportages) en de functie Auditing and Logging (Validatie en logboekregistratie) van imanager Doel Een aantal vooraf gedefinieerde logboekrapporten (die met Identity manager worden meegeleverd) zijn beschikbaar in de indeling Crystal Reports (.rpt), zodat u op gegevens kunt filteren die zijn vastgelegd in de Novell Audit-database. Het hulpprogramma voor logboekrapporten lreport.exe (alleen Windows) is één manier om de rapporten te genereren. U kunt de rapporten ook via andere methoden maken. Zie het hoofdstuk Hoofdstuk 5, Logboeken instellen, op pagina 119 voor meer informatie. Een systeemontwerper zou normaal gesproken beginnen met het instellen van aangepaste abstractielaagdefinities voor de gebruikerstoepassing met de editor voor de directory-abstractielaag (in Designer voor Identity Manager). Deze objecten worden dan beschikbaar voor gebruik door de abstractielaag, en dus voor de gebruikers van de interface. Bij het definiëren en gebruiken van deze objecten kan de toegangscontrole fijnmazig worden ingesteld, zodat de beheerder en eindgebruikers alleen die objecten (en bijbehorende attributen) kunnen zien en manipuleren waarvoor ze de juiste rechten hebben. Als de module Toegangsbeheer is geïnstalleerd, gebruikt de systeemontwerper de wizards Toegangsaanvraag configureren in imanager om de werkstromen en de resources met toegewezen rechten te definiëren die voor gebruikers van de gebruikerstoepassing beschikbaar zijn. Tegelijkertijd gebruikt de beheerder de editorfunctie voor sjablonen (in imanager) om de tekstinhoud te definiëren van de meldingen die door de werkstromen worden verstuurd. Zie Hoofdstuk 23, Toegangsbeheerwerkstromen beheren, op pagina 349 voor meer informatie hierover. Na de configuratie van de abstractielaag, definities voor toegangsaanvragen, validatievereisten en e- mailsjablonen gaat de beheerder verder met verschillende configuratiebewerkingen die van invloed zijn op de gebruikerstoepassing (beveiliging, caching en andere functies), via de beheerfuncties die in Hoofdstuk 10, Portalconfiguratie, op pagina 201 worden beschreven. Tot slot configureert de beheerder waar nodig de afzonderlijke portlets met behulp van de interfaces die worden beschreven in de hoofdstukken onder Deel IV van deze handleiding. OPMERKING: in het volgende hoofdstuk worden enkele van deze taken in meer detail beschreven. Raadpleeg dit hoofdstuk voordat een productieomgeving wordt geïmplementeerd. 1.5 Gebruiksvoorbeelden De Identity Manager-gebruikerstoepassing biedt vele soorten functies. Hier volgen enkele voorbeelden van manieren waarop de gebruikerstoepassing kan worden ingezet om problemen in de praktijk op te lossen. Overzicht 29

38 1.5.1 Scenario A: gebruiker zoekt naar informatie over andere personen in de organisatie Een veelvoorkomend scenario is dat een werknemer informatie wil hebben over een andere persoon in de organisatie. Bijvoorbeeld: De volledige naam en contactgegevens van een collega Alle personen met een bepaalde vaardigheid vinden binnen een bepaalde regio Vaststellen wie de manager van een bepaalde persoon is Deze soorten bewerkingen (inclusief geavanceerdere zoekopdrachten op basis van complexe query's) kunnen eenvoudig worden uitgevoerd via de interface Directory's doorzoeken. Normaal gesproken meldt de eindgebruiker zich aan bij de gebruikerstoepassing en opent het tabblad Identiteit-zelfbediening (als dat niet meteen wordt weergegeven). Vervolgens klikt de gebruiker in de kolom met navigatiekoppelingen aan de linkerkant op de koppeling Directory's doorzoeken. In het onderstaande scherm heeft de aangemelde gebruiker een geavanceerde zoekopdracht opgegeven om alle gebruikers te vinden van wie de afdeling begint met Verkoop en van wie de Titel het woord 'manager' bevat. 30 Identity Manager-gebruikerstoepassing: beheerdershandleiding

39 Wanneer de zoekopdracht is voltooid, wordt een resultatenscherm zoals het volgende weergegeven: Onderaan wordt een rij knoppen weergegeven, waarmee de gebruiker deze zoekopdracht kan opslaan, de zoekopdracht kan aanpassen, opnieuw kan beginnen met een nieuwe zoekopdracht, enzovoort. Boven de lijst met gevonden personen ziet u verschillende tabbladen. De personen zijn momenteel ingedeeld op Identiteit. Door op het betreffende tabblad te klikken, kunnen ze worden weergegeven op Locatie of op Bedrijf Scenario B: beheerder maakt een nieuwe gebruiker Stelt u zich voor dat op een afdeling van een bedrijf een nieuwe stagiaire, onderaannemer of andere niet-werknemer is aangenomen (die waarschijnlijk slechts tijdelijk bij het bedrijf zal werken). De nieuwe persoon moet in het systeem worden opgenomen, zodat hem of haar toegang kan worden gegeven tot een relevante, beperkte set resources, en hij of zij kan worden gevonden via zoekopdrachten naar gebruikers, zoals eerder beschreven. Aangezien deze persoon geen reguliere werknemer is, wordt de persoon niet in het reguliere systeem Personeel en organisatie opgenomen. Toch moet de identiteit van deze persoon en zijn of haar toegang tot resources op een veilige manier worden beheerd. Overzicht 31

40 Als manager van de betreffende afdeling bent u geautoriseerd om gebruikers in het systeem in te voeren. Hiertoe meldt u zich aan en gaat u naar de koppeling Gebruiker of groep maken in de kolom met navigatiekoppelingen aan de linkerkant van de pagina (zie afbeelding): OPMERKING: deze koppeling wordt alleen weergegeven als de aangemelde gebruiker daarvoor de juiste rechten heeft. Via deze koppeling komt u op een scherm waar u wordt gevraagd of u een nieuwe Groep, Taakgroep of Gebruiker wilt maken (zie volgende afbeelding). 32 Identity Manager-gebruikerstoepassing: beheerdershandleiding

41 Nadat u Gebruiker hebt geselecteerd en op Doorgaan hebt geklikt, kunt u in het volgende scherm van de wizard de persoonlijke gegevens van de gebruiker invoeren: In het volgende scherm kunt u een wachtwoord toewijzen aan de nieuwe gebruiker: Overzicht 33

42 Het laatste scherm geeft het nettoresultaat van het proces weer. In dit voorbeeld wordt de ingevoerde persoon een gebruiker met alle rechten van een normale gebruiker. Het is echter ook mogelijk om bijvoorbeeld een object voor een stagiaire te maken met de editor voor de directory-abstractielaag, met unieke attributen en rechten die alleen voor dat bepaalde object gelden. In dat geval was Stagiaire weergegeven als een van de keuzemogelijkheden in de keuzelijst met Groep, Taakgroep en Gebruiker Scenario C: toegangsbeheer voor gebruikers Een veelvoorkomende situatie is bijvoorbeeld een werknemer die een resource nodig heeft (of het nu om kantoorbenodigdheden, een creditcard van het bedrijf of toegang tot een database gaat) waarvoor de goedkeuring van iemand anders vereist is. Dit staat bekend als een toegangsaanvraag. Als in Identity Manager de module Toegangsbeheer is geïnstalleerd en geconfigureerd, kunnen dergelijke aanvragen worden afgehandeld via werkstromen. OPMERKING: in tegenstelling tot de voorgaande voorbeelden moet voor dit scenario de module Toegangsbeheer zijn geïnstalleerd en geconfigureerd. De gebruiker meldt zich aan bij de gebruikerstoepassing en komt op zijn of haar startpagina terecht. Bovenaan de pagina klikt de gebruiker op het tabbladaanvragen en goedkeuringen en gaat vervolgens naar de koppeling Resource aanvragen in het navigatiekader aan de linkerkant. Wanneer 34 Identity Manager-gebruikerstoepassing: beheerdershandleiding

43 de gebruiker op de koppeling Resource aanvragen heeft geklikt, wordt het eerste aanvraagformulier weergegeven in de gebruikerstoepassing. Het vervolgkeuzemenu Resourcecategorie kan een willekeurig aantal typen resources bevatten, waaronder ook rechten met willekeurige namen. (Zie de algemene beheerdershandleiding voor Identity Manager voor meer informatie over rechten en de manier waarop die worden gemaakt.) Om alle resources met toegewezen rechten weer te geven (oftewel alle resources die deze gebruiker met zijn of haar huidige rechten kan aanvragen) hoeft alleen Alles te worden geselecteerd, zoals weergegeven. Als de gebruiker op Doorgaan klikt, worden in het volgende scherm alle typen toegangsaanvragen weergegeven waar deze gebruiker toegang tot heeft. In dit voorbeeld wil de gebruiker een Active Directory-account aanvragen, iets waarvoor toestemming van een manager vereist is. Door op de betreffende koppeling te klikken en een simpel Overzicht 35

44 formulier in te vullen wordt de bijbehorende werkstroom gestart en ontvangt de manager van deze persoon een melding over de taak die de manager moet uitvoeren. De manager zich kan dan op zijn beurt aanmelden bij zijn pagina Aanvragen en goedkeuringen waar de aanvraag van de werknemer in zijn takenlijst staat te wachten op zijn goedkeuring of afwijzing. (Wanneer de manager op vakantie is, ontvangt zijn of haar aangewezen gemachtigde een melding. Deze kan zich dan aanmelden en de acties op zich nemen die de manager normaal gesproken zou uitvoeren.) Het scherm van de browser is inmiddels veranderd in een samenvattingsscherm, waarin wordt bevestigd dat de werkstroomaanvraag met succes is ingediend. Het toekennen van een account in de directory van het bedrijf (zoals hier wordt weergegeven) is een voorbeeld van een rechtenaanvraag. In de Identity Manager-gebruikerstoepassing kunnen vele typen rechtenaanvragen worden geconfigureerd en allerlei soorten werkstromen worden gemaakt (met goedkeuring door een of meerdere managers, seriële of parallelle stroom, met of zonder time-outs, enzovoort). In alle gevallen is een fijnmazige toegangscontrole beschikbaar om de zichtbaarheid van werkstromen en andere informatie te beheren. Meer informatie over deze functies vindt u in de laatste hoofdstukken van deze handleiding. (De informatie in die hoofdstukken is voornamelijk van belang voor beheerders. Het gebruik van de functies wordt uitgebreider beschreven in de gebruikershandleiding van de Identity Managergebruikerstoepassing.) 1.6 De volgende stappen Als u meer wilt weten over het ontwerpen van een productieomgeving, gaat u verder naar het volgende hoofdstuk (Hoofdstuk 2, De productieomgeving ontwerpen, op pagina 39). U kunt ook direct naar een van de andere hoofdstukken verderop in deze handleiding gaan voor meer informatie over de volgende onderwerpen: Zie Hoofdstuk 5, Logboeken instellen, op pagina 119 voor meer informatie over de functies voor logboeken en validatie van de gebruikerstoepassing. Zie Hoofdstuk 8, Themaconfiguratie, op pagina 175 voor meer informatie over het aanpassen van het uiterlijk van de gebruikersinterface. Zie Hoofdstuk 11, Beveiligingsconfiguratie, op pagina 209 voor meer informatie over beveiliging via de beheerinterface van de gebruikerstoepassing (in plaats van via imanager). Zie Hoofdstuk 13, Cacheconfiguratie, op pagina 219 voor meer informatie over de functies voor cachebeheer van de gebruikerstoepassing. Zie Hoofdstuk 19, Portlets voor wachtwoordbeheer, op pagina 281 voor meer informatie over de functies voor wachtwoordbeheer. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over portletbeheer. Zie Hoofdstuk 14, Hulpprogramma's voor het exporteren en importeren van portalgegevens, op pagina 229 voor meer informatie over het importeren en exporteren van portalgegevens. Zie Hoofdstuk 18, Portlet Organigram, op pagina 265 voor meer informatie over de functies voor organigrammen. Zie Hoofdstuk 20, De portlet Zoeklijst, op pagina 295 voor meer informatie over de functies voor directory's doorzoeken. 36 Identity Manager-gebruikerstoepassing: beheerdershandleiding

45 Zie Hoofdstuk 16, Portlet Maken, op pagina 243 voor meer informatie over de opties voor het maken en beheren van nieuwe objecten (portlet Maken). Zie voor meer informatie over het instellen en beheren van werkstromen de hoofdstukken Hoofdstuk 21, Inleiding tot Toegangsbeheer op basis van werkstromen, op pagina 311, Hoofdstuk 22, Definities voor toegangsaanvragen configureren, op pagina 325 en Hoofdstuk 23, Toegangsbeheerwerkstromen beheren, op pagina 349. Overzicht 37

46 38 Identity Manager-gebruikerstoepassing: beheerdershandleiding

47 2De productieomgeving ontwerpen In dit hoofdstuk worden onderwerpen met betrekking tot het instellen van een productieomgeving besproken. U vindt hier informatie over een aantal overwegingen die van belang zijn bij de overgang van een testomgeving (of andere pre-productieomgeving) naar een productieomgeving. Dit hoofdstuk is ingedeeld in de volgende hoofdsecties: Sectie 2.1, Topologie, op pagina 39 Sectie 2.2, Beveiliging, op pagina 42 Sectie 2.3, Prestaties optimaliseren, op pagina 44 Sectie 2.4, Clusteren, op pagina Topologie Het aantal exemplaren van elk belangrijk subsysteem en de manieren waarop deze kunnen worden verbonden, is potentieel zeer groot. Niet alle mogelijke indelingen worden ondersteund. Het is belangrijk niet alleen de mogelijkheden te begrijpen, maar ook waarom bepaalde configuraties de voorkeur hebben boven andere Minimaal ontwerp De eenvoudigste logische configuratie van de gebruikerstoepassing is een installatie waarbij van alle onderdelen één wordt geïnstalleerd: één structuur voor de opslagplaats voor ID's, één exemplaar van de Identity Manager-engine en -stuurprogramma's en één exemplaar van de gebruikerstoepassing. Voor wat betreft de fysieke implementatie kunt u dit in theorie allemaal op één computer uitvoeren. In werkelijkheid is dat echter om verschillende redenen niet verstandig (als belangrijkste om de veiligheid, beheerbaarheid en prestaties). Bij het bepalen hoeveel computers nodig zijn voor een werkbare installatie in de praktijk, dient minimaal rekening te worden gehouden met het volgende: Novell Audit-server: dit onderdeel is verantwoordelijk voor het vastleggen van informatie over gebeurtenissen (en waarschijnlijk nog allerlei andere informatie) van de runtime-omgeving van de gebruikerstoepassing. Het kan daarnaast dienst doen als permanente opslag voor andere toepassingen in uw bedrijf. Het is om verschillende redenen beter om andere belangrijke onderdelen van het Identity Manager-systeem (bijvoorbeeld JBoss of de opslagplaats voor ID's) niet op dezelfde computer te zetten als de Audit-server. Opslagplaats voor ID's: dit is een onderdeel dat veel verkeer genereert en waarvoor goede prestaties en schaalbaarheid vereist zijn. Het verdient aanbeveling de opslagplaats voor ID's op een afzonderlijke computer te installeren. Dat wil zeggen dat er geen ander systeem met veel verkeer (zoals JBoss met een implementatie van de gebruikerstoepassing) gelijktijdig met de opslagplaats voor ID's op dezelfde computer wordt uitgevoerd. Database: als dit exemplaar van MySQL (of een andere ondersteunde database) tevens uw Novell Audit-database is, kan deze eveneens beter op een afzonderlijke computer worden gezet. Dit onderdeel wordt namelijk door de gebruikerstoepassing op de volgende manieren gebruikt: Als permanente opslag voor de portalconfiguratiegegevens 2 De productieomgeving ontwerpen 39

48 Als permanente opslag voor statusinformatie over werkstromen die momenteel worden verwerkt (indien de module Toegangsbeheer is geïnstalleerd) Optioneel als opslag voor de logboeken van Novell Audit. JBoss: om prestatie- en capaciteitsredenen kan ook dit onderdeel het beste op een afzonderlijke computer worden uitgevoerd. Deze overwegingen suggereren de volgende configuratie met minimaal 3 computers: Ontwerp voor hoge beschikbaarheid Verderop in dit hoofdstuk wordt het clusteren voor hoge beschikbaarheid/capaciteit in meer detail besproken. Voor nu is het van belang dat u het volgende weet: Identity Manager ondersteunt hoge beschikbaarheid van de opslagplaats voor ID's, engine en stuurprogramma's door middel van installatie over meerdere knooppunten en systemen voor gedeelde opslag, die worden beschreven in het hoofdstuk over Hoge beschikbaarheid in de algemene beheerdershandleiding van Identity Manager. Een uitgebreide handleiding voor het instellen van een dergelijk systeem onder SUSE Linux vindt u in het volgende artikel: ( support.novell.com/cgi-bin/search/searchtid.cgi?/ htm) Hoge beschikbaarheid van de gebruikerstoepassing is mogelijk via het clusteren van JBoss. U kunt een JBoss-cluster zo instellen dat op elk knooppunt één exemplaar van de gebruikerstoepassing wordt uitgevoerd. De exemplaren zijn allemaal gelijkwaardig (peers). Desalniettemin kunnen er geen sessies worden gerepliceerd tussen verschillende exemplaren. Elk exemplaar is verantwoordelijk voor een eigen werkeenheid. Een sessie die op het ene knooppunt is gestart, kan niet door een ander knooppunt worden afgemaakt. Automatisch herstel ('failover') wordt niet ondersteund (om de zojuist genoemde redenen). Een onderbroken werkstroom kan echter wel worden hervat nadat een clusterknooppunt is uitgevallen, wanneer een nieuw knooppunt online wordt gebracht met dezelfde 40 Identity Manager-gebruikerstoepassing: beheerdershandleiding

49 werkstroomengine-id als het uitgevallen knooppunt. (In dit geval wordt de onderbroken werkstroom automatisch weer hervat, zodra de nieuwe werkstroomengine is gestart.) Zie Sectie 2.4, Clusteren, op pagina 47 (verderop in dit hoofdstuk) voor meer informatie over deze onderwerpen Beperkingen met betrekking tot het ontwerp Over het algemeen zijn de twee belangrijkste beperkingen met betrekking tot de architectuur waarvan u zich bewust moet zijn, de volgende: Een exemplaar van de gebruikerstoepassing kan maar één gebruikerscontainer tegelijk bedienen (voor zoekopdrachten/query's, toevoegen van gebruikers, enzovoort). Daarnaast is het zo dat wanneer een gebruikerscontainer eenmaal aan de toepassing is gekoppeld, deze koppeling in principe permanent is. Een stuurprogramma voor de gebruikerstoepassing kan maar aan één gebruikerstoepassing worden gekoppeld, behalve wanneer de gebruikerstoepassingen op knooppunten van hetzelfde niveau van hetzelfde JBoss-cluster zijn geïnstalleerd. Met andere woorden, een één-op-veel toewijzing van stuurprogramma's naar gebruikerstoepassingen wordt niet ondersteund. De eerste beperking zorgt voor een hoge mate van inkapseling in het ontwerp van de gebruikerstoepassing. Veronderstel dat u de volgende organisatiestructuur hebt: Tijdens de installatie van de gebruikerstoepassing wordt u gevraagd de gebruikerscontainer van het bovenste niveau op te geven waar uw installatie naar zoekt in de opslagplaats voor ID's. In dit geval kunt u oe=marketing,o=acme opgeven of (alternatief) oe=financieel,o=acme. U kunt niet allebei opgeven. Alle zoekopdrachten en query's in de gebruikerstoepassing (en aanmeldingen van beheerders) worden beperkt tot de container die u hebt opgegeven. OPMERKING: in theorie kunt u een bereik o=acme opgeven om zo ook Marketing en Financieel te omvatten. In een grotere organisatie met een potentieel groot aantal oe-containers (in plaats van slechts de twee voor Marketing en Financieel), is dit waarschijnlijk niet erg praktisch. Het is natuurlijk mogelijk twee onafhankelijke installaties van de gebruikerstoepassing te maken (zonder gemeenschappelijke resources), één voor Marketing en één voor Financieel. Elke installatie heeft dan een eigen database en een eigen toepasselijk geconfigureerd stuurprogramma voor de gebruikerstoepassing, en elke gebruikerstoepassing wordt afzonderlijk beheerd en heeft mogelijk unieke thema's. Als u Marketing en Financieel binnen hetzelfde bereik van een installatie van de gebruikerstoepassing wilt opnemen, zijn daarvoor twee mogelijke manieren. De eerste manier is een De productieomgeving ontwerpen 41

50 nieuw containerobject (bijvoorbeeld oe=marketingenfinancieel) in te voegen in de hiërarchie, boven de twee knooppunten van hetzelfde niveau. Vervolgens wijst u de nieuwe container aan als hoofdbereik. Een andere manier is een gefilterde replica te maken (een speciaal type edirectorystructuur) waarin de benodigde onderdelen van de oorspronkelijke ACME-structuur worden gecombineerd, en de gebruikerstoepassing naar de hoofdcontainer van de replica te verwijzen. (Zie voor meer informatie over gefilterde replica's de Novell edirectory-beheerdershandleiding.) Neem contact op met uw vertegenwoordiger van Novell voor vragen over een bepaalde systeemindeling. 2.2 Beveiliging De overgang van pre-productie naar productie brengt meestal een verharding van de beveiligingsaspecten van het systeem met zich mee. Bij het testen in een afgesloten omgeving hebt u mogelijk reguliere HTTP gebruikt om de gebruikerstoepassing met JBoss te verbinden, of u hebt een niet-geverifieerd certificaat gebruikt (als tijdelijke maatregel) voor de communicatie tussen het stuurprogramma en de toepassingsserver. In productie wilt u echter waarschijnlijk veilige verbindingen gebruiken, met serververificatie op basis van het Verisign-certificaat van uw bedrijf, of een verificatiecertificaat van een andere vertrouwde leverancier. X.509-certificaten worden gewoonlijk gebruikt op verschillende plaatsen in de omgeving van de Identity Manager-gebruikerstoepassing, zoals in het onderstaande diagram wordt weergegeven. 42 Identity Manager-gebruikerstoepassing: beheerdershandleiding

51 Alle communicatie tussen de gebruikerstoepassing en de opslagplaats voor ID's is standaard beveiligd door middel van Transport Layer Security. Het (edirectory)-certificaat van de opslagplaats voor ID's wordt tijdens de installatie automatisch geïnstalleerd in de keystore van JBoss. Tenzij u anders opgeeft, plaatst het installatieprogramma van de gebruikerstoepassing een kopie van het edirectory-certificaat in de standaardopslag voor CAcerts van JRE. Het servercertificaat moet op verschillende plaatsen aanwezig zijn om de communicatie veilig te laten verlopen, zoals in het diagram wordt weergegeven. Mogelijk zijn verschillende installatiestappen nodig, afhankelijk van of u van plan bent niet-geverifieerde certificaten te gebruiken op de verschillende plaatsen in het diagram met een vak JBoss cert (Jboss-certificatie), of dat u in plaats daarvan een certificaat van een vertrouwde certificeringsinstantie (CA, Certification Authority) zoals Verisign wilt gebruiken. Niet-geverifieerde certificaten Als u een certificaat van een bekende en vertrouwde uitgever gebruikt (bijvoorbeeld Verisign), zijn er gewoonlijk geen speciale configuratiestappen nodig. Als u echter van plan bent een nietgeverifieerd certificaat te maken en gebruiken, moet u de volgende stappen uitvoeren: 1 Maak een keystore met een niet-geverifieerd certificaat, met behulp van een opdrachtregelsyntaxis als de volgende: keytool -genkey -alias tomcat -keyalg RSA -storepass changeit - keystore jboss.jks -dname "cn=jboss,ou=extend,o=novell,l=waltham,s=ma,c=us" -keypass changeit Hiermee maakt u zowel het bestand jboss.jks als het certificaat. 2 Kopieer het keystore-bestand (jboss.jks) naar de directory met de JBoss-gebruikerstoepassing, bijvoorbeeld: cp jboss.jks ~/jboss-4.0.2/server/spitfire/conf SSL inschakelen in JBoss Als u SSL wilt inschakelen in JBoss, zoekt u het bestand jbossweb-tomcat55.sar onder [IDM]/ jboss/server/idm/deploy/. Zoek daarin het bestand server.xml en open dat in een teksteditor. Schakel SSL in door een instructie als de volgende toe te voegen of 'comment' bij een dergelijke instructie te verwijderen: <Connector port="8443" address="${jboss.bind.address}" maxthreads="100" strategy="ms" maxhttpheadersize="8192" emptysessionpath="true" scheme="https" secure="true" clientauth="false" keystorefile="${jboss.server.home.dir}/spitfire/ conf/jboss.jks" keystorepass="changeit" sslprotocol = "TLS" /> SOAP-beveiliging inschakelen Zoek in IDM.war naar het bestand web.xml en open dit in een teksteditor. Hef de opmerkingen op voor het volgende gedeelte onderin het bestand: De productieomgeving ontwerpen 43

52 <security-constraint> <web-resource-collection> <web-resourcename>idmprov</web-resource-name> <url-pattern>/*</url-pattern> <httpmethod>post</http-method> <http-method>get</http-method> <description>idm Provisioning Edition</description> </web-resourcecollection> <user-data-constraint> <transport-guarantee>confidential</ transport guarantee> </user-data-constraint> </security-constraint> Sla het bestand en het archief op. Start JBoss opnieuw Wederzijdse verificatie De Identity Manager-gebruikerstoepassing ondersteunt traditionele scenario's voor serververificatie (zoals gewoonlijk wordt gebruikt in HTTPS-sessies met veilige webpagina's op internet), maar ondersteunt geen kant-en-klare bidirectionele verificatie die is gebaseerd op certificaten. Deze functie kan echter wel worden toegevoegd door Novell ichain te gebruiken. Als uw organisatie dus bijvoorbeeld gebruikers de mogelijkheid wil bieden zich aan te melden via een gebruikerscertificaat in plaats van een wachtwoord, kunt u hiervoor ichain aan de omgeving toevoegen. Neem contact op met de vertegenwoordiger van Novell voor meer informatie. 2.3 Prestaties optimaliseren Het optimaliseren van de prestaties is een complex onderwerp. De Identity Managergebruikerstoepassing is gebaseerd op verschillende technologieën met veel interacties. Het is niet mogelijk te anticiperen op elk mogelijk configuratiescenario of gebruikersinteractiescenario dat zou kunnen leiden tot slechte prestaties. Sommige subsystemen kunnen desondanks wel op een bepaalde manier worden gebruikt om de prestaties te verbeteren. Deze worden hier besproken Vastleggen in logboek Voor de gebruikerstoepassing kan zowel met logboeken via Novell Audit als via de open-source log4j-framework van Apache worden gewerkt. Logboeken via Novell Audit zijn standaard uitgeschakeld. Bestands- en consolelogboeken via log4j zijn standaard ingeschakeld. OPMERKING: welke soorten gebeurtenissen in de logboeken kunnen worden vastgelegd en hoe u logboeken kunt in- of uitschakelen, wordt behandeld in Hoofdstuk 5, Logboeken instellen, op pagina 119 en Hoofdstuk 12, Logboekconfiguratie, op pagina 213 verderop in deze handleiding. De configuratie-instellingen van log4j bevinden zich in het bestand log4j.xml onder $IDMINSTALL/ jboss/server/idmprov/conf/. Vlak voor het einde van dit bestand vindt u de volgende vermelding: <root> <priority value="info" /> <appender-ref ref="console" / > <appender-ref ref="file" /> </root> Wanneer u een waarde aan het hoofdknooppunt toewijst, wordt het niveau van het hoofdknooppunt overgenomen door appenders waaraan niet expliciet een niveau is toegewezen (in dit geval INFO). Standaard is bijvoorbeeld aan de appender FILE geen drempelniveau toegewezen, zodat het niveau van het hoofdknooppunt wordt gebruikt. 44 Identity Manager-gebruikerstoepassing: beheerdershandleiding

53 De mogelijke logboekniveaus voor log4j zijn DEBUG, INFO, WARN, ERROR en FATAL, zoals gedefinieerd in de klasse org.apache.log4j.level. Het onjuist gebruiken van deze instellingen kan de prestatie nadelig beïnvloeden. Een goede vuistregel is om INFO of DEBUG alleen te gebruiken voor foutopsporing bij een bepaald probleem. Voor elke appender in het hoofdknooppunt waarvoor wel een drempelniveau is ingesteld, moet die drempel zijn ingesteld op ERROR, WARN of FATAL, tenzij u, zoals eerder uitgelegd een foutopsporing voor iets uitvoert. De prestatiebelasting bij hoge logboekniveaus heeft niet zozeer te maken met de uitvoerigheid van berichten als wel met het feit dat bij console- en bestandslogboeken in log4j synchroon wordt geschreven. Er is een klasse AsyncAppender beschikbaar, maar het gebruik daarvan garandeert geen betere prestaties. Deze kwesties (die bekende Apache log4j-kwesties zijn en niet door Identity Manager worden veroorzaakt) worden uitgelegd op org/apache/log4j/performance/logging.html. De standaardwaarde INFO in het bovenstaande logboekconfiguratiebestand van de gebruikerstoepassing is voor de meeste omgevingen voldoende. Wanneer de prestaties cruciaal zijn, kunt u overwegen de bovenstaande vermelding log4j.xml te veranderen in: <root> <priority value="error"/> <appender-ref ref="file"/> </root> Met andere woorden, verwijder CONSOLE en stel het logboekniveau in op ERROR. Voor een volledig geteste en foutloze productie-installatie is het niet nodig het vastleggen in logboeken op INFO-niveau in te stellen, of CONSOLE-logboeken ingeschakeld te laten. De prestatiewinst wanneer u deze uitschakelt kan aanzienlijk zijn. Raadpleeg voor meer informatie over log4j de beschikbare documentatie op logging.apache.org/log4j/docs. Zie voor meer informatie over het gebruik van Novell Audit met Identity Manager de Identity Manager-beheerdershandleiding Opslagplaats voor ID's LDAP-query's kunnen een knelpunt zijn in een directory-serveromgeving die zwaar wordt belast. Om ook met grote aantallen objecten het prestatieniveau hoog te houden, legt Novell edirectory (dat de basis van de opslagplaats voor ID's in Identity Manager vormt) veelvuldig opgevraagde informatie vast en slaat deze informatie op in indexen. Wanneer een complexe query wordt uitgevoerd op objecten met geïndexeerde attributen, wordt de query sneller uitgevoerd. edirectory wordt geleverd met de volgende attributen vooraf geïndexeerd: Aliased Object Name cn dc Equivalent to Me extensioninfo Given Name GUID ldapattributelist ldapclasslist Member NLS: Common Certificate Obituary Reference Revision Surname uniqueid uniqueid_ss Wanneer u Identity Manager installeert, wordt het standaarddirectoryschema uitgebreid met de nieuwe typen objectklassen en nieuwe attributen met betrekking tot de gebruikerstoepassing. Attributen specifiek voor de gebruikerstoepassing worden standaard niet geïndexeerd. Voor betere De productieomgeving ontwerpen 45

54 prestaties kan het nuttig zijn sommige van deze attributen (en wellicht ook enkele traditionele LDAP-attributen) te indexeren, vooral wanneer de gebruikerscontainer meer dan 5000 objecten zal bevatten. Het algemene idee is alleen die attributen te indexeren waarvan u weet dat deze regelmatig zullen worden opgevraagd. (Dit kunnen voor verschillende productieomgevingen heel goed verschillende attributen zijn.) De enige manier om zeker te weten welke attributen veel worden gebruikt, is door predikaatstatistieken te verzamelen tijdens runtime. (Het verzamelproces zelf kan de prestaties echter wel nadelig beïnvloeden.) De procedure voor het verzamelen van predikaatstatistieken wordt in detail besproken in de edirectory-beheerdershandleiding. Ook indexeren wordt daar uitgebreider behandeld. Over het algemeen moet u het volgende doen: Gebruik Console One om het verzamelen van predikaatstatistieken voor relevante attributen in te schakelen Belast het systeem Schakel het verzamelen van statistieken uit en analyseer de resultaten Maak een index voor elk type attribuut dat daar voordeel van kan hebben Als u al weet welke attributen u wilt indexeren, is het niet nodig Console One te gebruiken. U kunt indexen maken en beheren in imanager, via edirectory Maintenance (Onderhoud edirectory) > Indexes (Indexen). Als u bijvoorbeeld weet dat gebruikers van uw organigram waarschijnlijk zoekopdrachten zullen uitvoeren op basis van het attribuut ismanager, kunt u proberen dat attribuut te indexeren om te kijken of de prestaties verbeteren. OPMERKING: als beste manier van gebruik wordt aanbevolen in ieder geval de attributen manager en ismanager te indexeren. Zie voor een uitgebreide behandeling van het indexeren van attributen en prestaties het hoofdstuk over Tuning edirectory (Optimaliseren van edirectory) in de Novell s Guide to Troubleshooting edirectory van Peter Kuo en Jim Henderson (QUE Books, ISBN ). Zie ook het hoofdstuk over Maintaining Novell edirectory (Novell edirectory onderhouden), met informatie over het optimaliseren van de prestaties, in de edirectory-beheerdershandleiding JVM De hoeveelheid heap-geheugen die aan de Java virtual machine is toegewezen, kan ook van invloed zijn op de prestaties. Wanneer u minimum- of maximumwaarden voor het geheugen opgeeft die te laag of te hoog zijn (te hoog wil zeggen meer dan het fysieke geheugen van de computer), kan het gebruik van wisselbestanden tot een hoge belasting leiden. U kunt de maximale JVM-grootte voor de JBoss-server instellen door het bestand run.conf of run.bat in een teksteditor te bewerken (het eerste geval voor Linux, het laatste voor Windows) onder [IDM]/jboss/bin/. Verhoog -Xmx van 128m tot 512m, of mogelijk nog hoger. Wellicht moet even worden geëxperimenteerd om de optimale instellingen voor uw omgeving te vinden. 46 Identity Manager-gebruikerstoepassing: beheerdershandleiding

55 OPMERKING: tips voor het optimaliseren van de prestaties van JBoss en Tomcat vindt u op /wiki.jboss.org/wiki/wiki.jsp?page=jbossastuningsliming ( Wiki.jsp?page=JBossASTuningSliming) Waarde sessietime-out De sessietime-out (de hoeveelheid tijd die een gebruiker een pagina ongebruikt kan laten voordat door de server een waarschuwing voor sessietime-out wordt weergegeven) kan worden gewijzigd in het bestand web.xml in het archief IDM.war. Deze waarde moet worden afgestemd op de server en de gebruiksomgeving waarin de toepassing wordt uitgevoerd. Over het algemeen verdient het aanbeveling de sessietime-out zo laag mogelijk te houden als werkbaar is. Als een sessietime-out van 5 minuten voor de bedrijfsvereisten aanvaardbaar is, kan de server de ongebruikte resources twee keer zo snel weer vrijgeven als bij een time-outwaarde van 10 minuten. De webtoepassing presteert hierdoor beter en is schaalbaarder. Houd rekening met het volgende bij het aanpassen van de sessietime-out: Langere sessietime-outs kunnen er potentieel toe leiden dat de JBoss-server te weinig geheugen heeft wanneer veel gebruikers zich in een korte tijd aanmelden. Dit geldt voor elke toepassingsserver met te veel open sessies. Wanneer een gebruiker zich aanmeldt bij de gebruikerstoepassing, wordt een LDAPverbinding voor de gebruiker tot stand gebracht en aan de sessie gekoppeld. Hoe meer sessies dus geopend zijn, hoe groter het aantal LDAP-verbindingen dat in stand wordt gehouden. Hoe langer de sessietime-out, hoe langer deze verbindingen open worden gehouden. Te veel open verbindingen met de LDAP-server (zelfs als deze niet worden gebruikt) kunnen de systeemprestaties nadelig beïnvloeden. Als de server fouten begint te vertonen als gevolg van te weinig geheugen en de parameters voor het optimaliseren van de heap en garbagecollection van JVM zijn al geoptimaliseerd voor de server en de gebruiksomgeving, kunt u overwegen de sessietime-out te verlagen. Voor het aanpassen van de waarde voor de sessietime-out opent u het archief IDM.war, zoekt u het bestand web.xml hierin en bewerkt u het volgende gedeelte van dit bestand (met name de numerieke waarde, hier weergegeven als 20, hetgeen staat voor de standaardwaarde van 20 minuten): <session-timeout>20</session-timeout> </session- <session-config> config> Sla vervolgens het bestand en het archief op en start de server opnieuw op. OPMERKING: het handmatig bewerken van webarchiefbestanden wordt alleen aangeraden voor personen met ervaring in het ontwikkelen en implementeren van Java-webtoepassingen. 2.4 Clusteren Er zijn drie dingen waarmee u rekening moet houden bij het gebruik van de gebruikerstoepassing in een geclusterde omgeving: De JBoss-clusterconfiguratie (zie Sectie 2.4.1, Clusteren van JBoss, op pagina 48) De productieomgeving ontwerpen 47

56 De cacheconfiguratie van de gebruikerstoepassing (zie Sectie 2.4.3, De cacheconfiguratie voor clustergroepen voor de gebruikerstoepassing configureren, op pagina 53) De configuratie van de werkstroomengine (zie Sectie 2.4.4, Werkstromen configureren voor clusteren, op pagina 53) Clusteren van JBoss Een cluster is een verzameling toepassingsserverknooppunten die een aantal services leveren. Het doel van een cluster is het verhogen van de prestaties en betrouwbaarheid van toepassingen. Over het algemeen biedt een cluster drie belangrijke voordelen voor zakelijke toepassingen: Hoge beschikbaarheid Schaalbaarheid (meer capaciteit) Verdeling van de belasting Hoge beschikbaarheid betekent dat een toepassing een hoog percentage van de tijd dat deze wordt gebruikt, betrouwbaar en beschikbaar is. Clusters voorzien in een hoge beschikbaarheid, omdat dezelfde toepassing op alle knooppunten wordt uitgevoerd. Als één knooppunt uitvalt, wordt de toepassing nog steeds op de andere knooppunten uitgevoerd. De Identity Managergebruikerstoepassing heeft het voordeel van hogere beschikbaarheid bij uitvoering in een cluster. De Identity Manager-gebruikerstoepassing ondersteunt echter geen replicatie van HTTP-sessies. Dat houdt in dat wanneer een sessie bezig is en het knooppunt uitvalt, de sessie-informatie verloren gaat. Verdeling van belasting betekent dat de werklast evenredig wordt verdeeld over de leden van een cluster. Het doel van verdeling van de belasting is het verbeteren van de prestaties. Verdeling van de belasting kan op verschillende manieren worden bereikt (bijvoorbeeld DNS round robin of hardwarematige verdeling van de belasting). Zie load.html ( voor een uitleg over de verschillende methoden voor het verdelen van de belasting. Ongeacht welke methode wordt geselecteerd, is het een goed idee verdeling van de belasting op te nemen in de clusterconfiguratie. JBoss-clustergroepen JBoss-clusters zijn gebaseerd op de communicatiemodule JGroups. JGroups wordt met JBoss geïnstalleerd, maar kan ook zonder JBoss worden gebruikt. JGroups voorziet in communicatie tussen groepen die een naam, multicast-adres en multicast-poort gemeenschappelijk hebben. Wanneer u een geclusterde JBoss-server installeert, definieert JBoss twee verschillende JGroupsgroepen voor het beheer van het cluster. Een daarvan is DefaultPartition genaamd en wordt gedefinieerd in /deploy/cluster-service.xml. Deze clustergroep wordt door JBoss gebruikt om basisclusterservices te leveren. JBoss definieert daarnaast een tweede clustergroep, Tomcat-Cluster genaamd. Deze clustergroep wordt gedefinieerd in /deploy/tc-cluster-service.xml. Deze clustergroep biedt sessiereplicatie voor de Tomcat-server die binnenin JBoss wordt uitgevoerd. De Identity Manager-gebruikerstoepassing gebruikt een derde clustergroep. Deze clustergroep gebruikt een UUID-naam om het risico op conflicten met andere clustergroepen die gebruikers aan de servers kunnen toevoegen, te minimaliseren. Standaard krijgt deze clustergroep de naam c373e901aba5e8ee Dit cluster wordt niet geconfigureerd met een JBoss-servicebestand. De configuratie-instellingen bevinden zich in plaats daarvan in de directory, en kunnen worden geconfigureerd via de beheerfuncties van de gebruikerstoepassing. Als u vertrouwd bent met het clusteren van JGroups en JBoss, kunt u de clusterconfiguratie voor de 48 Identity Manager-gebruikerstoepassing: beheerdershandleiding

57 gebruikerstoepassing aanpassen via deze interface. Wijzigingen aan de clusterconfiguratie worden pas van kracht voor een serverknooppunt wanneer dat knooppunt opnieuw is gestart. De clustergroep van de gebruikerstoepassing wordt alleen gebruikt voor coördinatie van de caches van de gebruikerstoepassing in een geclusterde omgeving. Deze groep is onafhankelijk van de twee JBoss-clustergroepen en heeft op geen enkele manier contact daarmee. Standaard gebruiken de clustergroep van de gebruikerstoepassing en de twee JBoss-groepen verschillende groepsnamen, multicast-adressen en multicast-poorten, zodat dit niet opnieuw geconfigureerd hoeft te worden. Instellingen voor de clustergroep van de gebruikerstoepassing worden gedeeld met elke Identity Manager 3-toepassing die dezelfde directory-configuratie heeft. De lokale instellingsoptie is opgenomen in de beheerinterface van de gebruikerstoepassing zodat een beheerder een knooppunt uit een cluster kan verwijderen of het lidmaatschap van servers in een cluster kan wijzigen. U kunt bijvoorbeeld clusteren algemeen uitschakelen en vervolgens lokaal inschakelen voor een subset van de servers die de directory-configuratie delen. Farming van toepassingen Met JBoss kunt u toepassingen op een hele cluster implementeren zonder het cluster uit te schakelen, door een EAR-, WAR- of JAR-bestand te kopiëren naar de farm-directory van één geclusterd JBoss-exemplaar. Wanneer een onderdeel op een bepaalde computer wordt geïmplementeerd, wordt dat onderdeel automatisch geïmplementeerd op alle exemplaren binnen het cluster, terwijl het cluster wordt uitgevoerd. Deze vorm van implementeren van toepassingen wordt niet aangeraden bij de release van de JBoss Application Server (4.0.2) die met het installatieprogramma van de gebruikerstoepassing werd meegeleverd op het moment dat deze handleiding werd geschreven, aangezien enkele problemen met het gebruik ervan nog niet zijn opgelost. We hebben echter de basisstappen uiteengezet (zie De gebruikerstoepassing implementeren in een cluster via JBoss-farming op pagina 52) voor het met succes implementeren van de gebruikerstoepassing via de farming-technologie, aangezien kan worden verwacht dat deze technologie na de publicatie van dit document zal worden verbeterd. MySQL-database Het installatieprogramma van de gebruikerstoepassing installeert ofwel de MySQLdatabasebeheerder en maakt een database voor gebruik met de gebruikerstoepassing, of het maakt gebruik van een bestaande Oracle-, Microsoft SQL Server- of MySQL-database. De database is verantwoordelijk voor de permanente opslag van gegevens. Alle knooppunten in het JBoss-cluster moeten toegang hebben tot hetzelfde exemplaar van de database. De gebruikerstoepassing gebruikt standaard-jdbc-aanroepen voor de toegang tot en het bijwerken van de database. De gebruikerstoepassing gebruikt een aan de JNDI-structuur gebonden JDBC-gegevensbron om een verbinding met de database te openen. Als u het JBoss-cluster maakt door middel van het installatieprogramma van de gebruikerstoepassing, wordt de gegevensbron voor u geïnstalleerd. Wanneer u ervoor kiest het JBoss-cluster handmatig in te stellen, dient u het gegevensbronbestand (IDM-ds.xml) te kopiëren naar de implementatiedirectory op alle knooppunten in uw cluster. Wanneer u MySQL gebruikt, moet bovendien het MySQL JDBC-stuurprogramma (mysqlconnector-java utf8-clob-fix-bin.jar) in de directory JBoss /server/idm/lib worden gekopieerd naar de directory JBoss server/idm/lib. Vastleggen in logboeken Om vastleggen in logboeken in te schakelen voor clusters, moet het configuratiebestand log4j.xml worden bewerkt. Dit bestand vindt u in de directory \conf voor de JBoss-serverconfiguratie De productieomgeving ontwerpen 49

58 (bijvoorbeeld \server\idm\conf). Hef de opmerkingen op voor het deel aan het eind van het bestand dat er als volgt uitziet: <!-- Clustering logging --> - <!-- Uncomment the following to redirect the org.jgroups and org.jboss.ha categories to a cluster.log file. <appender name="cluster" class="org.jboss.logging.appender.rollingfileappender"> <errorhandler class="org.jboss.logging.util.onlyonceerrorhandler"/> <param name="file" value="${jboss.server.home.dir}/log cluster.log"/> <param name="append" value="false"/> <param name="maxfilesize" value="500kb"/ > <param name="maxbackupindex" value="1"/> <layout class="org.apache.log4j.patternlayout"> <param name="conversionpattern" value="%d %-5p [%c] %m%n"/> </layout> </ appender> <category name="org.jgroups"> <priority value="debug" /> <appender-ref ref="cluster"/> </category> <category name="org.jboss.ha"> <priority value="debug" /> <appender-ref ref="cluster"/> </category> --> U vindt het bestand cluster.log in de directory log voor de JBoss-serverconfiguratie (bijvoorbeeld \server\idm\log) De gebruikerstoepassing installeren in een JBoss-cluster De aanbevolen methode om de gebruikerstoepassing in een cluster te installeren is via het installatieprogramma voor de gebruikerstoepassing. U installeert de gebruikerstoepassing dan op alle knooppunten van een cluster. Hoewel wij niet aanraden de gebruikerstoepassing te implementeren in een cluster via JBoss-farming, hebben we hier wel een procedure opgenomen die u als alternatief kunt gebruiken. Het installatieprogramma voor de gebruikerstoepassing voor alle knooppunten in het cluster gebruiken JBoss wordt geleverd met drie kant-en-klare serverconfiguraties: minimaal, standaard en alle. Clusteren is alleen ingeschakeld in de configuratie alle. In het bestand cluster-service.xml in de map /deploy wordt de configuratie voor de standaardclusterpartitie beschreven. Wanneer u de gebruikerstoepassing installeert en in het installatieprogramma aangeeft dat u in een cluster wilt installeren, wordt de configuratie alle gekopieerd, hernoemd tot IDM (de standaardwaarde; u kunt de naam wijzigen), en wordt de gebruikerstoepassing in deze configuratie geïnstalleerd. Ga als volgt te werk om de gebruikerstoepassing op alle knooppunten in een cluster te installeren met het installatieprogramma voor de gebruikerstoepassing: 1 Installeer een volledige versie van de gebruikerstoepassing (MySQL, JBoss en de gebruikerstoepassing) op het eerste JBoss-knooppunt. Zie de Identity Manager 3- installatiehandleiding voor meer informatie over het installatieprogramma voor de gebruikerstoepassing. Als u MySQL als database voor de gebruikerstoepassing gebruikt, maakt het installatieprogramma een nieuwe installatie van MySQL. Onthoud het wachtwoord dat u voor de MySQL-hoofdgebruiker opgeeft. U hebt dit later nodig als u de gebruikerstoepassing op de overige knooppunten van het cluster installeert. 50 Identity Manager-gebruikerstoepassing: beheerdershandleiding

59 Selecteer in het scherm IDM Configuration (IDM-configuratie) van het installatieprogramma de optie clustering (all) (clusteren (alle)). Selecteer de geschikte installatieopties voor uw omgeving. 2 Als MySQL nog niet is ingeschakeld, start u MySQL via het bestand start-mysql.bat in de directory /IDM/mysql. OPMERKING: onder Linux kunt u met de volgende shell-opdracht bepalen of de MySQLdaemon wordt uitgevoerd: ps -A grep mysqld Als deze opdracht meerdere regels oplevert die eindigen op mysqld, wordt de daemon inderdaad uitgevoerd. 3 Start JBoss en de gebruikerstoepassing via het bestand start-jboss.bat (Windows) of startjboss.sh (Linux), dat zich in de directory IDM bevindt. 4 Voer een aangepaste installatie van de gebruikerstoepassing uit op elk ander knooppunt in het JBoss-cluster. Selecteer alleen de gebruikerstoepassing voor installatie: De productieomgeving ontwerpen 51

60 Geef het IP-adres of de hostnaam op van de server waarop de database voor de gebruikerstoepassing is geïnstalleerd. Geef de gebruikersnaam en het wachtwoord op voor de database voor de gebruikerstoepassing. Als u MySQL gebruikt, is de gebruikersnaam root. Het wachtwoord hebt u zelf opgegeven tijdens het installatieproces bij Stap 1. Selecteer in het scherm IDM Configuration (IDM-configuratie) van het installatieprogramma de optie clustering (all) (clusteren (alle)). Selecteer de geschikte installatieopties voor uw omgeving. 5 Start elk knooppunt in het JBoss-cluster via het bestand start-jboss.bat (Windows) of startjboss.sh (Linux), dat zich in de directory IDM bevindt. De gebruikerstoepassing implementeren in een cluster via JBoss-farming Gebruik JBoss-farming niet met JBoss-versie of lager. Dit kan problemen opleveren (zie /jira.jboss.com/jira/browse/jbas-1899 ( We raden u aan de gebruikerstoepassing via het installatieprogramma te installeren op alle knooppunten van het cluster (zie Het installatieprogramma voor de gebruikerstoepassing voor alle knooppunten in het cluster gebruiken op pagina 50 in dit hoofdstuk). Wanneer u echter de farming-methode wilt gebruiken om de gebruikerstoepassing in een JBoss-cluster met JBoss of hoger te implementeren, volgt u de onderstaande procedure. OPMERKING: deze stappen zijn voor klanten die JBoss zelf bij wijze van experiment willen gebruiken. De officieel ondersteunde versie is Ga als volgt te werk om de gebruikerstoepassing te implementeren in een cluster via JBoss-farming: 1 Voer een aangepaste installatie van de gebruikerstoepassing uit op een van de JBossclusterknooppunten, waarbij u de gebruikerstoepassing en MySQL installeert (als u MySQL gebruikt; zo niet, dan installeert u alleen de gebruikerstoepassing). U kunt de installatie uitvoeren terwijl alle knooppunten in het cluster worden uitgevoerd. Het knooppunt waarop u de gebruikerstoepassing installeert, moet het knooppunt zijn dat in het cluster als eerste wordt gestart. 2 Kopieer het JDBC-stuurprogrammabestand (als u bijvoorbeeld MySQL gebruikt, is het JDBCstuurprogramma mysql-connector-java utf8-clob-fix-bin.jar), dat zich bevindt in de directory /server/idm/lib, naar de overeenkomstige directory op elk knooppunt in het cluster. 52 Identity Manager-gebruikerstoepassing: beheerdershandleiding

61 3 Kopieer het CAcerts-bestand van de directory /lib/security van de JRE, dat met de gebruikerstoepassing is geïnstalleerd in de directory JRE /lib/security van elk knooppunt in het cluster. 4 Verplaats het bestand IDM.war en het gegevensbronbestand IDM-ds.xml vanuit de directory / deploy in de serverconfiguratiedirectory naar de directory /farm in de serverconfiguratiedirectory. De bestanden moeten daadwerkelijk worden verplaatst. Laat de originele bestanden niet in de directory /deploy staan. 5 Start de database voor de gebruikerstoepassing (als u de meegeleverde MySQL gebruikt, start u MySQL via het bestand start-mysql.bat, dat zich in de directory /IDM/mysql bevindt). 6 Start JBoss en de gebruikerstoepassing via het bestand start-jboss.bat (Windows) of startjboss.sh (Linux), dat zich in de directory IDM bevindt op het knooppunt waarop u de gebruikerstoepassing en de database voor de gebruikerstoepassing hebt geïnstalleerd. 7 Start de andere knooppunten in het cluster De cacheconfiguratie voor clustergroepen voor de gebruikerstoepassing configureren Gebruikers die vertrouwd zijn met het clusteren van JGroups en JBoss, kunnen de cacheconfiguratie voor clustergroepen wijzigen via de beheerinterface van de gebruikerstoepassing (zie Sectie , Cache-instellingen voor clusters, op pagina 226). Wijzigingen aan de clusterconfiguratie worden pas van kracht voor een serverknooppunt wanneer het knooppunt opnieuw is opgestart Werkstromen configureren voor clusteren Clusteren van de werkstroomengine werkt onafhankelijk van de cache-structuur van de gebruikerstoepassing. Er zijn verschillende stappen die u moet uitvoeren om te zorgen dat de werkstroomengine goed werkt in een clusteromgeving. Alle servers in het cluster moeten naar dezelfde database verwijzen. Als u de gebruikerstoepassing installeert in het cluster via de aanbevolen methode (zie Het installatieprogramma voor de gebruikerstoepassing voor alle knooppunten in het cluster gebruiken op pagina 50), doet u dit door tijdens de installatie het IP-adres of de hostnaam op te geven van de server waarop de database voor de gebruikerstoepassing is geïnstalleerd. Als u de gebruikerstoepassing implementeert op de clusterknooppunten via de farming-methode (zie De gebruikerstoepassing implementeren in een cluster via JBoss-farming op pagina 52), doet u dit door het gegevensbronbestand (IDM-ds.xml) van de directory /deploy te verplaatsen naar de directory /farm op het knooppunt waarop de gebruikerstoepassing als eerste werd geïnstalleerd. De gegevensbron wordt dan op alle knooppunten in het cluster geïmplementeerd. Elke server in het cluster moet worden gestart met een unieke engine-id. Dit doet u door de systeemeigenschap com.novell.afw.wf.engine-id in te stellen bij het opstarten van de server. Als u bijvoorbeeld JBoss wilt starten en de engine-id ENGINE1 wilt toewijzen aan de werkstroomengine voor die server, gebruikt u daarvoor de volgende opdracht: run.sh -Dcom.novell.afw.wf.engine-id=ENGINE1 (Linux) run.bat -Dcom.novell.afw.wf.engine-id=ENGINE1 (Windows) Een exemplaar van een werkstroomproces kan, eenmaal gestart door een werkstroomengine die op een bepaalde server wordt uitgevoerd, alleen op die server worden uitgevoerd en voltooid. Dit zorgt ervoor dat het werkstroomproces veilig wordt uitgevoerd. Dit biedt echter geen ondersteuning voor automatisch herstel (failover) van het procesexemplaar. Als een server in het cluster uitvalt, wordt De productieomgeving ontwerpen 53

62 het procesexemplaar pas weer opnieuw gestart wanneer een engine met dezelfde ID opnieuw is gestart. Als een server niet opnieuw kan worden gestart als gevolg van een ernstige hardware- of softwarefout, kunt u de toepassingsserver op een nieuwe computer starten met dezelfde werkstroomengine-id die op de niet te herstellen computer werd gebruikt. Aangezien de engine-id een logische naam is en geen directe toewijzing naar de fysieke computer waarop de engine werd uitgevoerd, kan het onderbroken procesexemplaar op de nieuwe computer worden voltooid. Procesexemplaren zijn eigendom van de engine waardoor het proces werd gestart. Een gebruiker kan zich echter bij elke gebruikerstoepassing in een cluster aanmelden om de procesdetails te bekijken, processen in te trekken of toegewezen taken te voltooien. Processen die worden ingetrokken of taken die worden voltooid op een engine die geen eigenaar is van het proces, krijgen de status In behandeling. Zodra ze zijn gevonden door de engine die eigenaar is, wordt het proces verder uitgevoerd. 54 Identity Manager-gebruikerstoepassing: beheerdershandleiding

63 IIDe omgeving van de gebruikerstoepassing configureren II Deze hoofdstukken bevatten informatie over het configureren van diverse aspecten van de omgeving voor de Identity Manager-gebruikerstoepassing, zodat deze aansluit op behoeften van uw organisatie. Hoofdstuk 3, Het stuurprogramma voor de gebruikerstoepassing configureren, op pagina 57 Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 Hoofdstuk 5, Logboeken instellen, op pagina 119 De omgeving van de gebruikerstoepassing configureren 55

64 56 Identity Manager-gebruikerstoepassing: beheerdershandleiding

65 3Het stuurprogramma voor de gebruikerstoepassing configureren Informatie over het stuurprogramma voor de gebruikerstoepassing Het stuurprogramma voor de gebruikerstoepassing is verantwoordelijk voor het starten van werkstromen voor toegangsbeheer en voor het doorgeven van wijzigingen in de opslagplaats voor ID's aan de gebruikerstoepassing (bijvoorbeeld wanneer u wijzigingen aanbrengt aan de directoryabstractielaag met de Designer voor Identity Manager). In dit stuurprogramma wordt alleen het kanaal voor abonnees gebruikt. Het stuurprogramma verwerkt berichten vanuit de opslagplaats voor ID's naar de gebruikerstoepassing die op een toepassingsserver wordt uitgevoerd. Hoewel er gebeurtenissen zijn die zich voordoen in de gebruikerstoepassing en naar de opslagplaats voor ID's worden gerapporteerd, gaan deze gebeurtenissen niet door het kanaal voor publishers van het stuurprogramma van de gebruikerstoepassing. Wanneer de toepassingsserver is gestart, brengt het stuurprogramma een sessie met de toepassingsserver tot stand. Het stuurprogramma stuurt berichten naar de gebruikerstoepassing die op de toepassingsserver wordt uitgevoerd (bijvoorbeeld haal een nieuwe set virtuele directorydefinities op ). De brononderdelen van het stuurprogramma omvatten: ComposerDriverShim.jar de shim voor het Composer-stuurprogramma. Deze is geïnstalleerd in de directory lib \Novell\NDS\lib in Windows of de directory classes /usr/lib/dirxml/classes in Linux srvprvuad.jar de shim voor het toepassingsstuurprogramma. Deze is geïnstalleerd in de directory lib \Novell\NDS\lib in Windows of de directory classes /usr/lib/dirxml/classes in Linux UserApplicationDriver.xml - een bestand dat voorconfiguratiegegevens bevat voor het instellen van het nieuwe stuurprogramma. Dit is geïnstalleerd in de directory DirXML.Drivers, \Tomcat\webapps\nps\DirXML.Drivers in Windows of /usr/lib/dirxml/rules/dirxml.drivers in Linux De stuurprogrammaonderdelen van de gebruikerstoepassing worden geïnstalleerd wanneer u Identity Manager 3 installeert. Voordat u de Identity Manager 3-gebruikerstoepassing kunt uitvoeren, moet het stuurprogramma voor de gebruikerstoepassing worden toegevoegd aan een nieuwe of bestaande stuurprogrammaset en moet het stuurprogramma worden geactiveerd. Afhankelijk van uw werkomgeving is het mogelijk dat het stuurprogramma voor de gebruikerstoepassing nauwelijks hoeft te worden geconfigureerd, of dat meer configuratie vereist is (als u bijvoorbeeld een complexe reeks bedrijfsregels in het stuurprogrammabeleid wil implementeren). Het stuurprogramma voor de gebruikerstoepassing biedt dezelfde flexibele Het stuurprogramma voor de gebruikerstoepassing configureren 57

66 mechanismen voor het synchroniseren van gegevens als de andere stuurprogramma's van Identity Manager. In dit hoofdstuk wordt uitgelegd hoe u een stuurprogramma voor de gebruikerstoepassing kunt maken, configureren en starten, en hoe het stuurprogramma kan worden geconfigureerd zodat automatisch een werkstroom wordt geactiveerd als reactie op een gebeurtenis in de opslagplaats voor ID's. Het bevat de volgende gedeelten: Sectie 3.2, Het stuurprogramma voor de gebruikerstoepassing maken, op pagina 58 Sectie 3.3, Het stuurprogramma voor de gebruikerstoepassing starten, op pagina 64 Sectie 3.4, Werkstromen instellen om automatisch te starten, op pagina Het stuurprogramma voor de gebruikerstoepassing maken Ga als volgt te werk om het stuurprogramma te maken: 1 Meld u aan bij het exemplaar van imanager dat uw opslagplaats voor ID's beheert. 2 Open het knooppunt Identity Manager Utilities (Identity Manager-hulpprogramma's) in het navigatiekader van imanager. 58 Identity Manager-gebruikerstoepassing: beheerdershandleiding

67 3 Klik op Nieuw stuurprogramma. De wizard Stuurprogramma maken wordt weergegeven: De volgende stap is selecteren waar u het nieuwe stuurprogramma wilt maken. U kunt het stuurprogramma maken in een bestaande stuurprogrammaset of u kunt een nieuwe stuurprogrammaset maken. 4 Als u In an existing driver set (In een bestaande stuurprogrammaset) selecteert, verschijnt een wizard waarmee u in de opslagplaats voor ID's naar de stuurprogrammaset kunt bladeren. Selecteer de bestaande stuurprogrammaset en selecteer vervolgens Volgende. Als u In a new driver set (In een nieuwe stuurprogrammaset) selecteert, verschijnt een scherm waarin u de eigenschappen voor de nieuwe stuurprogrammaset kunt definiëren. Geef een naam, een structuurcontext en een server voor de stuurprogrammaset op en selecteer Volgende. Het volgende scherm van de wizard Stuurprogramma maken wordt weergegeven: Het stuurprogramma voor de gebruikerstoepassing configureren 59

68 5 Klik op de optie Import a driver configuration from the server (Een stuurprogrammaconfiguratie importeren van de server) en selecteer UserApplication.xml in de lijst XML-bestanden: 6 Klik op Volgende. In de wizard Stuurprogramma maken wordt een pagina weergegeven waarin u het stuurprogramma een naam kunt geven en het kunt configureren: 60 Identity Manager-gebruikerstoepassing: beheerdershandleiding

69 De standaardnaam van het stuurprogramma is UserApplication. U kunt de standaardnaam gebruiken, hoewel het aanbeveling verdient een betekenisvollere naam voor uw project te kiezen. 7 Geef desgewenst een nieuwe naam voor het stuurprogramma op in het veld Driver name (Naam stuurprogramma). 8 Geef in het veld Authentication ID (Verificatie-ID) de DN op van de beheerder van de gebruikerstoepassing (zie Sectie 1.1.2, Beheerder van de gebruikerstoepassing, op pagina 17 voor een beschrijving van de beheerder van de gebruikerstoepassing), in de door punten gescheiden indeling (bijvoorbeeld admin.orgunit.novell). 9 Geef in de velden Application Password (Wachtwoord toepassing) en Reenter the password (Wachtwoord nogmaals invoeren) het wachtwoord op voor de beheerder van de gebruikerstoepassing die in het veld Authentication ID (Verificatie-ID) is opgegeven. 10 Voer in het veld Application Context (Toepassingscontext) de naam van de toepassing in die is opgegeven toen de gebruikerstoepassing werd geïnstalleerd. De standaardnaam is IDM. 11 Geef in het veld Host het IP-adres of de hostnaam op van de toepassingsserver waarop de gebruikerstoepassing wordt uitgevoerd. 12 Geef in het veld Poort de poort op via welke het stuurprogramma communiceert met de gebruikerstoepassing die op de toepassingsserver wordt uitgevoerd (bijvoorbeeld 8080). 13 Klik op Volgende. Er wordt een bericht weergegeven dat de stuurprogrammaconfiguratie wordt geïmporteerd. Vervolgens wordt de volgende pagina van de wizard Stuurprogramma maken weergegeven: Het stuurprogrammaobject moet voldoende rechten krijgen voor elk object in de opslagplaats voor ID's dat het moet lezen of waarnaar het moet schrijven. U doet dit door beveiligingsequivalenten te verlenen aan het stuurprogrammaobject. Het stuurprogramma moet lees/schrijftoegang hebben tot gebruikers, postkantoren, resources en distributielijsten, en maak-, lees- en schrijfrechten voor de postkantoorcontainer. Normaal gesproken krijgt het stuurprogramma een beveiliging op het niveau van beheerder. Het stuurprogramma voor de gebruikerstoepassing configureren 61

70 14 Klik op Define Security Equivalences (Beveiligingsequivalenten definiëren). Er wordt een nieuw venster weergegeven: 15 Klik op Toevoegen. Er verschijnt een venster waarin u een object kunt selecteren in de structuur die het rechtenniveau heeft dat u aan dit stuurprogramma wilt toewijzen (bijvoorbeeld beheerder): 16 Selecteer in de structuur een object met het gewenste rechtenniveau voor de opslagplaats voor ID's en klik op OK. U keert terug naar het vorige venster. 17 Klik op OK. U keert terug naar de wizard Stuurprogramma maken. 62 Identity Manager-gebruikerstoepassing: beheerdershandleiding

71 18 Klik op Exclude Administrative Roles (Beheerdersrollen uitsluiten). Het venster Excluded Users (Uitgesloten gebuikers) wordt weergegeven. U kunt deze functie gebruiken om te voorkomen dat een beheerder wordt buitengesloten van het stuurprogramma voor de gebruikerstoepassing als het beheerderswachtwoord wordt gewijzigd in een andere opslagplaats voor ID's die repliceert naar de structuur waartoe dit stuurprogramma behoort. 19 Klik op Toevoegen. Er wordt een venster weergegeven waarmee u door de directorystructuur kunt bladeren naar gebruikers die moeten worden uitgesloten van het doorgeven van hun gegevens naar het stuurprogramma. Normaal gesproken worden beheerderobjecten uitgesloten, aangezien het repliceren van hun gegevens over een stuurprogrammaverbinding in de meeste gevallen geen goede praktijk is. 20 Selecteer de beheerdersrollen die u wilt uitsluiten, en klik op OK. U keert terug naar het voorgaande venster. 21 Klik op OK. U keert terug naar de wizard Stuurprogramma maken. 22 Klik op Volgende. Er wordt een samenvattingspagina voor het stuurprogramma weergegeven. 23 Klik op Finish with Overview (Voltooien met overzicht). Er wordt een grafische weergave van het stuurprogramma in de opslagplaats voor ID's weergegeven: OPMERKING: u kunt dit scherm op elk gewenst moment nogmaals bekijken via de koppeling Identity Manager Overview (Identity Manager-overzicht) onder Identity Manager in de navigatiestructuur van imanager. Het nieuwe stuurprogramma wordt weergegeven als groot pictogram aan de 'stam' van de opslagplaats voor ID's. Het stuurprogramma voor de gebruikerstoepassing configureren 63

72 3.3 Het stuurprogramma voor de gebruikerstoepassing starten Ga als volgt te werk om het stuurprogramma voor de gebruikerstoepassing te starten: 1 Klik op de koppeling Identity Manager in de navigatiestructuur van imanager om de beschikbare opdrachten in de categorie Identity Manager weer te geven. 2 Klik op de koppeling Identity Manager Overview (Identity Manager-overzicht) onder de koppeling Identity Manager in de navigatiestructuur van imanager: Er wordt een wizard weergegeven waarmee u door het systeem kunt bladeren naar de stuurprogrammaset die het stuurprogramma bevat dat u wilt activeren. 3 Selecteer de stuurprogrammaset en klik op Volgende. De pagina Identity Manager Overview (Identity Manager-overzicht) wordt weergegeven. 4 Klik op de ronde statusindicator in de rechterbovenhoek van het pictogram van het stuurprogramma: 64 Identity Manager-gebruikerstoepassing: beheerdershandleiding

73 Er wordt een menu weergegeven met de opdrachten voor het starten en stoppen van het stuurprogramma en het bewerken van de stuurprogrammaeigenschappen: 5 Klik op Start driver (Stuurprogramma starten). 3.4 Werkstromen instellen om automatisch te starten Wanneer de module Toegangsbeheer is geïnstalleerd, worden automatisch werkstromen gegenereerd wanneer een gebruiker een toegangsaanvraag start door een resource aan te vragen. Daarnaast let het stuurprogramma voor de Identity Manager-gebruikerstoepassing op de gebeurtenissen in de opslagplaats voor ID's, en indien het daarvoor is geconfigureerd reageert het op gebeurtenissen door de relevante werkstromen voor toegangsbeheer te starten. U kunt het stuurprogramma voor de gebruikerstoepassing bijvoorbeeld zo configureren dat automatisch een werkstroom voor toegangsbeheer wordt gestart wanneer een nieuwe gebruiker wordt toegevoegd aan de opslagplaats voor ID's. U configureert het stuurprogramma voor de gebruikerstoepassing zo dat werkstromen automatisch worden gestart met het beleid en de regels van Identity Manager Informatie over beleid U kunt filters en beleid gebruiken met het stuurprogramma voor de gebruikerstoepassing op dezelfde manier als met de andere Identity Manager-stuurprogramma's. Wanneer zich een gebeurtenis voordoet in de opslagplaats voor ID's, maakt Identity Manager een XML-document met een beschrijving van de gebeurtenis. Het XML-document wordt door het kanaal aan het verbonden systeem doorgegeven (in dit geval is het verbonden systeem de gebruikerstoepassing). Met filters en beleid die aan een stuurprogramma zijn gekoppeld, kunt u definiëren hoe er op de gebeurtenis wordt gereageerd. In dit proces wordt het XML-document omgezet naar een indeling die door het verbonden systeem wordt herkend. Identity Manager biedt verschillende beleidscategorieën (bijvoorbeeld Gebeurtenistransformatie, Opdrachttransformatie, Schematoewijzing, Uitvoertransformatie) die u in een voorgeschreven volgorde kunt toepassen om het XML-document te transformeren. In dit gedeelte wordt een voorbeeld gegeven van het starten van een werkstroom op basis van gebeurtenissen in de opslagplaats voor ID's. Hoewel elk beleid kan worden gebruikt om een werkstroom te activeren, wordt in dit voorbeeld de eenvoudigste en bruikbaarste methode gebruikt. Wanneer u een stuurprogramma voor de gebruikerstoepassing maakt, wordt een gebeurtenistransformatiebeleid gemaakt voor gebruik door dat stuurprogramma. Het gebeurtenistransformatiebeleid is verantwoordelijk voor het maken van het XML-bestand dat door het beleid van de overige kanalen voor abonnees wordt verwerkt. Het stuurprogramma voor de gebruikerstoepassing configureren 65

74 OPMERKING: laat het gebeurtenistransformatiebeleid dat werd gemaakt tijdens het maken van het stuurprogramma ongewijzigd. Het DN van dit beleid begint met Manage.Modify.Subscriber. Als u dit beleid wijzigt, kan het werkstroomproces mislukken. Eer wordt ook een leeg schematoewijzingsbeleid gemaakt. Dit beleid kunt u gebruiken als beginpunt voor het activeren van een werkstroom op basis van gebeurtenissen in de opslagplaats voor ID's Een werkstroom instellen om te starten op basis van een gebeurtenis in de opslagplaats voor ID's De eenvoudigste methode om een werkstroom automatisch te laten starten, is via de beleidseditor voor schematoewijzing. Het stuurprogramma voor de gebruikerstoepassing biedt een leeg beleid dat u hiervoor kunt bewerken. Gebruik de beleidseditor voor schematoewijzing om attributen van de opslagplaats voor ID's (inclusief het edirectory-attribuut voor activering, dat de werkstroom start wanneer het wordt gewijzigd) toe te wijzen aan de runtimegegevens van de doelwerkstroom. De runtimegegevens worden bepaald door de werkstroomdefinitiesjabloon (zie Hoofdstuk 22, Definities voor toegangsaanvragen configureren, op pagina 325 voor informatie over werkstroomdefinitiesjablonen). De runtimegegevens zijn nodig om een werkstroom met succes te kunnen voltooien. Wanneer een werkstroom wordt gemaakt, worden in de opslagplaats voor ID's een aantal globale attributen gemaakt, die u kunt gebruiken om de werking van het stuurprogramma voor de gebruikerstoepassing aan te passen. Een globaal attribuut is een attribuut dat niet tot een objectklasse in de opslagplaats voor ID's behoort. Deze attributen zijn <workflowname>_startworkflow, <workflowname>_recipient en <workflowname>_reason. Daarnaast zijn er altijd twee andere attributen; AllWorkflows:reason en AllWorkflows:recipient. Het attribuut _StartWorkflow wordt gebruikt om een werkstroom te starten. De attributen _recipient en _reason worden gebruikt om runtimegegevens uit de opslagplaats voor ID's die de werkstroom nodig heeft aan te nemen. Voordat u deze procedure uitvoert, moet u de naam weten van het attribuut van de opslagplaats voor ID's dat u als activering voor de werkstroom wilt gebruiken. Daarnaast moet u de naam weten van de werkstroom die u wilt starten. Alle werkstromen hebben een speciaal attribuut; <workflowname>_startapprovalflow. U configureert een werkstroom om automatisch te starten op basis van een gebeurtenis in de opslagplaats voor ID's door het gewenste edirectoryattribuut toe te wijzen aan het attribuut <workflowname>_startapprovalflow voor de werkstroom. Ga als volgt te werk om een werkstroom in te stellen om te starten op basis van een gebeurtenis in de opslagplaats voor ID's: 1 Klik in imanager op de koppeling Identity Manager Overview (Identity Manager-overzicht) onder Identity Manager in de navigatiestructuur van imanager. De pagina Identity Manager Overview (Identity Manager-overzicht) wordt weergegeven. U wordt gevraagd een stuurprogrammaset te selecteren. 2 Klik op Search Entire Tree (Gehele structuur doorzoeken) en vervolgens op Zoeken. De pagina Identity Manager Overview (Identity Manager-overzicht) wordt weergegeven, met een afbeelding van de stuurprogramma's in de huidige geselecteerde stuurprogrammaset. 66 Identity Manager-gebruikerstoepassing: beheerdershandleiding

75 3 Klik op het grote pictogram voor het stuurprogramma voor de gebruikerstoepassing: De pagina Identity Manager Driver Overview (Identity Manager-stuurprogrammaoverzicht) wordt weergegeven: De bovenste horizontale pijl staat voor het kanaal voor publishers (dat niet wordt gebruikt door het stuurprogramma voor de gebruikerstoepassing) en de onderste horizontale pijl staat voor het kanaal voor abonnees. Wanneer u de muisaanwijzer over een object in de afbeelding beweegt, wordt een beschrijving van het object weergegeven: Het stuurprogramma voor de gebruikerstoepassing configureren 67

76 4 Klik op het pictogram Schema Mapping Policies (Schematoewijzingsbeleid) voor het kanaal voor abonnees. Het dialoogvenster Schema Mapping Policies (Schematoewijzingsbeleid) wordt weergegeven, met de naam van het standaard schematoewijzingsbeleid: 5 Klik op Bewerken. Het dialoogvensteridentity Manager Policy (Identity Manager-beleid) wordt weergegeven. In dit dialoogvenster kunt u klassen van de opslagplaats voor ID's toewijzen aan toepassingsklassen. In deze procedure wordt geen gebruik gemaakt van deze functie. In dit geval wijzen we edirectory-attributen toe aan globale gebruikerstoepassingsattributen. 6 Klik op Refresh Application Schema (Toepassingsschema vernieuwen). Er wordt een bericht weergegeven dat het stuurprogramma moet worden gestopt om het schema te lezen, en 68 Identity Manager-gebruikerstoepassing: beheerdershandleiding

77 vervolgens opnieuw moet worden gestart. Het vernieuwen van het schema kan ongeveer 60 seconden duren. In deze stap wordt de meest recente set werkstroomgegevens gelezen, ter voorbereiding op de volgende stap waarin de informatie wordt opgegeven die van de opslagplaats voor ID's wordt verplaatst naar de werkstroom die wordt gestart. 7 Klik op OK om het schema te vernieuwen. Wanneer het vernieuwen van het schema is voltooid, wordt een bericht weergegeven. 8 Klik op OK om het bericht te sluiten. U keert terug naar het dialoogvenster Identity Manager Policy (Identity Manager-beleid). 9 Klik op Non Class Specific Attributes (Niet-klassespecifieke attributen). Het venster Identity Manager Schema Mapping Policy Editor (Beleideditor schematoewijzing Identity Manager) wordt weergegeven. De vervolgkeuzelijst edirectory Attributes (edirectory-attributen) bevat alle edirectoryattributen. De vervolgkeuzelijst Application Attributes (Toepassingsattributen) bevat de attributen in alle actieve werkstromen. Attributen in de lijst worden voorafgegaan door ofwel AllWorkflows (wat inhoudt dat het attribuut van toepassing is op alle werkstromen), of door de naam van een specifieke werkstroom. Als u hetzelfde edirectory-attribuut (bijvoorbeeld manager) wilt toewijzen aan het attribuut manager voor alle werkstromen, wijst umanager toe aan Allworkflows:manager. Als u een ander edirectory-attribuut (bijvoorbeeld HRmanager) wilt gebruiken voor een specifieke werkstroom, wijst u het edirectory-attribuut toe aan het specifieke werkstroomattribuut (bijvoorbeeld BusinessCardChange:manager). Attributen die zijn toegewezen, worden naast elkaar weergegeven in de kolommen edirectory Attributes (edirectory-attributen) en Application Attributes (Toepassingattributen). In de volgende stappen wijzen we het edirectory-attribuut dat we willen gebruiken om de werkstroom te starten, toe aan het attribuut _StartWorkflow voor die werkstroom. Als er door Het stuurprogramma voor de gebruikerstoepassing configureren 69

78 de werkstroom nog andere edirectory-attributen worden verwacht, moeten die ook worden toegewezen. Als bijvoorbeeld een edirectory-attribuut Adres een werkstroom activeert, heeft die werkstroom mogelijk ook attributen als Woonplaats en Provincie nodig. Deze attributen kunnen ook worden toegewezen als beleid. 10 Selecteer in de lijst Application Attributes (Toepassingsattributen) het attribuut _StartWorkflow voor de werkstroom die u wilt configureren. In het volgende voorbeeld ziet u het attribuut _StartWorkflow voor een werkstroom BusinessCardChange (BusinessCardChange_StartWorkflow). 11 Selecteer in de lijst edirectory Attributes (edirectory-attributen) het edirectory-attribuut dat u wilt gebruiken om de werkstroom te starten wanneer dat attribuut wordt gewijzigd. In het volgende voorbeeld is het attribuut Telefoon geselecteerd. Dit betekent dat de werkstroom 70 Identity Manager-gebruikerstoepassing: beheerdershandleiding

79 BusinessCardChange wordt gestart wanneer een telefoonnummer van een werknemer verandert. 12 Klik op Toevoegen. Het edirectory-attribuut is toegewezen aan het toepassingsattribuut. 13 Als er voor de werkstroom nog andere edirectory-attributen nodig zijn, herhaalt u Stap 10 tot en met Stap 12 tot alle benodigde attributen zijn toegewezen. De werkstroom start automatisch wanneer een wijziging optreedt in het edirectory-attribuut dat is toegewezen aan een toepassingsattribuut _StartApprovalFlow. Het edirectory-attribuut bereikt het schematoewijzingsbeleid echter alleen als het edirectory-attribuut is opgenomen in het stuurprogrammafilter van het kanaal voor abonnees. In de volgende stappen voegen we het edirectory-attribuut toe aan het stuurprogrammafilter van het kanaal voor abonnees. 14 Klik op OK om het venster Identity Manager Schema Mapping Policy Editor (Beleidseditor schematoewijzing Identity Manager) te sluiten. Het stuurprogramma voor de gebruikerstoepassing configureren 71

80 15 Klik op OK om het dialoogvenster Identity Manager Policy (Identity Manager-beleid) te sluiten. 16 Klik op Sluiten om het dialoogvenster Schema Mapping Policies (Schematoewijzingsbeleid) te sluiten. 17 Klik op het pictogram Driver Filter (Stuurprogrammafilter) voor het kanaal voor abonnees. Het filtervenster wordt weergegeven: 72 Identity Manager-gebruikerstoepassing: beheerdershandleiding

81 Gebeurtenisfilters specificeren de objectklassen en de attributen waarvoor de Identity Managerengine gebeurtenissen verwerkt. In de lijst Filter, met de eigenschap (alleen-lezen), aan de linkerzijde worden de attributen van de klasse weergegeven. In de lijst Klassenaam aan de rechterkant worden de opties weergegeven die aan het doelobject zijn gekoppeld. 18 Klik op de naam van de klasse waartoe het attribuut behoort dat u aan het filter wilt toevoegen (bijvoorbeeld Gebruiker). 19 Klik op Attribuut toevoegen. Er wordt een lijst attributen weergegeven. 20 Selecteer een attribuut en klik op OK. Het attribuut wordt toegevoegd aan de lijst Filter. 21 Klik op de attribuutnaam. De synchronisatieopties voor het attribuut worden weergegeven op het scherm aan de rechterkant. 22 Klik onder Subscribe (Abonneren) op Synchronize (Synchroniseren). Het stuurprogramma voor de gebruikerstoepassing configureren 73

82 23 Geef eventueel andere attributen voor het filter op. Selecteer Synchronize (Synchroniseren) voor een attribuut als u wilt dat wijzigingen in de attribuutwaarden worden gerapporteerd en gesynchroniseerd. Selecteer Ignore (Negeren) als u niet wilt dat wijzigingen in de attribuutwaarden worden gerapporteerd en gesynchroniseerd. 24 Klik op OK. U wordt gevraagd of u het stuurprogramma opnieuw wilt starten zodat de wijzigingen van kracht worden. 25 Klik op OK. U keert terug naar de pagina Identity Manager Driver Overview (Identity Manager-stuurprogrammaoverzicht). 74 Identity Manager-gebruikerstoepassing: beheerdershandleiding

83 4De directory-abstractielaag configureren In dit hoofdstuk wordt beschreven hoe u met de editor voor de directory-abstractielaag de gegevensdefinities voor de directory-abstractielaag definieert die door de Identity Managergebruikerstoepassing worden gebruikt. De volgende onderwerpen komen aan bod: Sectie 4.1, Informatie over definities voor de directory-abstractielaag., op pagina 75 Sectie 4.2, Aan de slag, op pagina 76 Sectie 4.3, Werken met eenheden en attributen, op pagina 87 Sectie 4.4, Werken met lijsten, op pagina 104 Sectie 4.5, Werken met relaties in organigrammen, op pagina 106 Sectie 4.6, Werken met configuratie-instellingen, op pagina 110 Sectie 4.7, Weergavetekst lokaliseren, op pagina Informatie over definities voor de directoryabstractielaag. De directory-abstractielaag is een set gegevensdefinities die een logische weergave van een opslagplaats voor ID's bieden. De directory-abstractielaag definieert het volgende: De objecten en attributen van de opslagplaats voor ID's die kunnen worden gebruikt door de Identity Manager-gebruikerstoepassing. Hoe de gegevens in de opslagplaats voor ID's worden weergegeven in de gebruikersinterface. De relaties die beschikbaar zijn voor de portlet Organigram. U gebruikt de editor voor de directory-abstractielaag om deze gegevensdefinities te wijzigen als u het uiterlijk of de functionaliteit van de gebruikerstoepassing wilt aanpassen. U kunt dit wijzigen door: Andere objecten aan de opslagplaats voor ID's toe te voegen De set beschikbare attributen voor een object in de opslagplaats voor ID's te wijzigen De inhoud van lijsten te wijzigen Verschillende relaties tussen objecten van de opslagplaats voor ID's weer te geven Tijdens de installatieprocedure van de Identity Manager-gebruikerstoepassing wordt de basisset abstractielaagdefinities die de gebruikerstoepassing nodig heeft om goed te functioneren, geïnstalleerd en geïmplementeerd. Ook worden uitbreidingen op het edirectory-schema gemaakt die door het stuurprogramma voor de gebruikerstoepassing en door de gebruikerstoepassing worden gebruikt. Meer informatie over deze schema-uitbreidingen vindt u in Bijlage A, Schemaextensies, op pagina 367. Dezelfde basisset met bestanden wordt gemaakt op het lokale bestandssysteem wanneer u een nieuw exemplaar van het stuurprogramma voor de gebruikerstoepassing maakt via Designer voor Identity Manager. 4 De directory-abstractielaag configureren 75

84 Vereiste gegevensdefinities voor de directory-abstractielaag. Wanneer u uw eigen Identity Manager-gebruikerstoepassing aanpast, wilt u wellicht ook wijzigingen aanbrengen aan de objecten in de directory-abstractielaag. Bepaalde objecten in de opslagplaats voor ID's (eenheden genaamd), attributen, relaties en lijsten kunnen echter niet worden verwijderd of gewijzigd zonder het functioneren van de gebruikerstoepassing nadelig te beïnvloeden. De definities die niet kunnen worden verwijderd, herkent u aan het pictogram met het hangslot. In dit voorbeeld kunt u zien dat de eenheid Taakgroep en alle attributen daarvan zijn vergrendeld. Waar definities voor de directory-abstractielaag worden opgeslagen Definities voor de directory-abstractielaag zijn XML-bestanden die: Lokaal zijn opgeslagen in het bestandssysteem van de computer met de ontwerpfunctie in de subdirectory Provisioning (Toegangsbeheer)\AppConfig\DirectoryModel van het toegangsbeheerproject. Als uw project meerdere exemplaren van de gebruikerstoepassing bevat, worden de directorynamen genummerd. Bijvoorbeeld AppConfig1, AppConfig2, enzovoort. Zijn geïmplementeerd in de container AppConfig.DirectoryModel van het stuurprogramma voor de gebruikerstoepassing. De XML-bestanden worden opgeslagen in het attribuut XMLData van het bijbehorende definitieobject van de directory-abstractielaag. Elke eenheid, relatie en lijst is een uniek exemplaar van een object in de container AppConfig.DirectoryModel van het stuurprogramma voor de gebruikerstoepassing. Zijn opgeslagen in de cache van de toepassingsserver waarop de gebruikerstoepassing is geïmplementeerd. 4.2 Aan de slag U gebruikt de functies van de Provisioning View (Weergave Toegangsbeheer) van de designer voor Identity Manager en de editor voor de directory-abstractielaag om de inhoud van de directoryabstractielaag te definiëren. Voer om te beginnen de volgende stappen uit: 76 Identity Manager-gebruikerstoepassing: beheerdershandleiding

85 Stap Taak Beschrijving 1 Maak een Identity Manager-project Dat houdt in: De opslagplaats voor ID's configureren De eigenschappen van de stuurprogrammaset definiëren Zie de documentatie van Identity Manager. 2 Voeg een stuurprogramma voor de gebruikerstoepassing toe aan de Modeler U vindt het stuurprogramma voor de Identity Manager-gebruikerstoepassing in de map Provisioning (Toegangsbeheer) in het palet van de Modeler. 3 Voltooi de configuratie van het stuurprogramma voor de gebruikerstoepassing 4 Open de Provisioning View (Weergave Toegangsbeheer). 5 Start de editor voor de directoryabstractielaag Zie de procedure Sectie 4.2.1, De configuratie van het stuurprogramma voor de gebruikerstoepassing voltooien, op pagina 77. Zie Sectie 4.2.2, De Provisioning View (Weergave Toegangsbeheer) openen., op pagina 81. Zie Ga als volgt te werk om de editor voor de directory-abstractielaag te openen: op pagina De configuratie van het stuurprogramma voor de gebruikerstoepassing voltooien Volg deze stappen nadat u een Identity Manager-project hebt gemaakt. Ga als volgt te werk om de configuratie van het stuurprogramma voor de gebruikerstoepassing te voltooien: 1 Sleep een pictogram van het stuurprogramma voor de Gebruikerstoepassing naar het canvas. De directory-abstractielaag configureren 77

86 U wordt gevraagd om een stuurprogrammaconfiguratie te selecteren. 2 Selecteer UserApplication.xml (de standaardoptie) en klik op Uitvoeren. 78 Identity Manager-gebruikerstoepassing: beheerdershandleiding

87 3 Geef op hoe de wizard validatie van uw items moet afhandelen door Ja of Nee te selecteren.... De directory-abstractielaag configureren 79

88 4 Vul het scherm als volgt in: Eigenschap Driver Name (Naam stuurprogramma) Op te geven waarde De naam van een bestaand stuurprogramma (het stuurprogramma in de stuurprogrammaset die tijdens de installatie van de gebruikerstoepassing is opgegeven). De naam van het nieuwe stuurprogramma. Verificatie-ID Application password (Wachtwoord toepassing)/reenter password (Wachtwoord nogmaals invoeren) Application context (Toepassingscontext) Host Poort De DN van de beheerder van de gebruikerstoepassing. Het wachtwoord voor de beheerder van de gebruikerstoepassing (hierboven). De naam van de context van de gebruikerstoepassing (opgegeven bij de installatie, bijvoorbeeld IDM). De hostnaam of het IP-adres van de toepassingsserver waarop de Identity Manager-gebruikerstoepassing is geïmplementeerd. Deze informatie wordt gebruikt om: Werkstromen op de toepassingsserver te activeren om verbinding te maken met toegangswerkstromen (beëindigen, intrekken, enzovoort). Gegevensdefinities in de cache bij te werken. De poort voor de bovenstaande host. 5 Klik op OK. 80 Identity Manager-gebruikerstoepassing: beheerdershandleiding

89 4.2.2 De Provisioning View (Weergave Toegangsbeheer) openen. Ga als volgt te werk om de Provisioning View (Weergave Toegangsbeheer) te openen: 1 Kies een van de volgende manieren: Selecteer Venster>Show View (Weergave)>Provisioning View (Weergave Toegangsbeheer). Open de map Provisioning (Toegangsbeheer) en selecteer Provisioning View (Weergave Toegangsbeheer). Klik op OK. of Selecteer het pictogram van de gebruikerstoepassing, klik hier met de rechtermuisknop op en selecteer Toepassing>Show Provisioning View (Weergave Toegangsbeheer weergeven). In de Provisioning View (Weergave Toegangsbeheer) ziet u het project dat u zojuist hebt gemaakt samen met eventuele andere toegangsbeheerprojecten die zich in dezelfde werkruimte bevinden. TIP: als de toepassingen die u in de weergave had verwacht, niet worden weergegeven, is het project mogelijk beschadigd. Als dat het geval is, moet het project opnieuw worden gemaakt. De directory-abstractielaag configureren 81

90 Informatie over de Provisioning View (Weergave Toegangsbeheer). De Provisioning View (Weergave Toegangsbeheer) biedt permanent toegang tot de toegangsbeheerfuncties. Wanneer u dubbelklikt op een item in de Provisioning View (Weergave Toegangsbeheer), wordt de editor voor dat item geopend. U kunt vanuit de Provisioning View (Weergave Toegangsbeheer) de volgende acties met betrekking tot de definities voor de directoryabstractielaag uitvoeren: Een of meer objectdefinities uit de opslagplaats voor ID's importeren. De structuur van de gegevensdefinities valideren. Uw definities implementeren in de opslagplaats voor ID's die in het project is opgegeven. Definities voor de directory-abstractielaag maken en verwijderen. Zie voor meer informatie Sectie 4.8, Definities voor de directory-abstractielaag importeren, valideren en implementeren., op pagina De editor voor de directory-abstractielaag starten Ga als volgt te werk om de editor voor de directory-abstractielaag te openen: 1 Ga in de Provisioning View (Weergave Toegangsbeheer) naar het knooppunt Directoryabstractielaag. 2 Dubbelklik op het knooppunt Directory-abstractielaag. 82 Identity Manager-gebruikerstoepassing: beheerdershandleiding

91 U ziet een structuur met de items Eenheden, Lijsten, Org Chart Relationships (Organigramrelaties) en Configuratie. Informatie over de editor voor de directory-abstractielaag De editor voor de directory-abstractielaag biedt een grafische manier om de set XML-bestanden te definiëren waaruit de directory-abstractielaag bestaat. De editor voor de directory-abstractielaag is een op Eclipse gebaseerd hulpprogramma, dat u kunt openen vanuit de Provisioning View (Weergave Toegangsbeheer) van een Identity Manager-project. De directory-abstractielaag configureren 83

92 Wanneer u de editor voor de directory-abstractielaag de eerste keer opent, ziet u een basisset abstractielaagobjecten die elke keer dat u een nieuw toegangsbeheerproject maakt, automatisch worden gemaakt: De knooppunten van de editor voor de directory-abstractielaag omvatten: 84 Identity Manager-gebruikerstoepassing: beheerdershandleiding

93 Element Eenheden Beschrijving Eenheden vertegenwoordigen de objecten in de opslagplaats voor ID's die voor dit project zijn geconfigureerd en beschikbaar zijn voor de gebruikerstoepassing. Er zijn twee typen eenheden: Eenheden die vanuit een schema zijn toegewezen. Deze eenheden vertegenwoordigen objecten in de opslagplaats voor ID's die via de gebruikerstoepassing rechtstreeks aan gebruikers worden weergegeven. Gebruikers kunnen de attributen van deze typen objecten gewoonlijk maken, opzoeken en wijzigen. Eenheden die LDAP-relaties vertegenwoordigen. Deze worden ook wel DNLookups genoemd. Deze eenheden vertegenwoordigen geïndexeerde zoekopdrachten en worden gebruikt als ondersteuning voor bepaalde typen attributen die u wilt weergeven. DNLookup-eenheden geven informatie over relaties tussen LDAP-objecten. DNLookupeenheden worden gebruikt door: De portlet Organigram om relaties te bepalen. De portlets Zoeklijst, Maken en Detail, om popupselectielijsten en DN-context te bieden. Lijsten Organigramrelaties Configuratie Zie voor meer informatie Sectie 4.3.3, Eenheden definiëren, op pagina 88. Hiermee kunt u de inhoud van globale lijsten definiëren. Globale lijsten: Zijn gekoppeld aan een attribuut. Wanneer het attribuut wordt weergegeven in de gebruikerstoepassing, wordt het als vervolgkeuzelijst weergegeven. Worden gebruikt om de categorieën weer te geven die worden gebruikt door de invoegtoepassing voor de configuratie van de toegangsaanvraag voor imanager. Zie Sectie 4.4, Werken met lijsten, op pagina 104 voor meer informatie. Worden gebruikt door de organigram-actie van het tabblad Identiteit-zelfbediening van de gebruikerstoepassing. Hiermee kunt u hiërarchische relaties toewijzen aan op schema's gebaseerde eenheden. Zie voor meer informatie Sectie 4.5, Werken met relaties in organigrammen, op pagina 106. Algemene configuratieparameters. Zie voor meer informatie Sectie 4.6, Werken met configuratieinstellingen, op pagina 110. Waar de XML-bestanden lokaal worden opgeslagen De editor voor de directory-abstractielaag genereert één XML-bestand voor elke eenheid, lijst of relatie. De bestanden worden opgeslagen in de map Provisioning (Toegangsbeheer)\AppConfig\DirectoryModel van het project. De bestandsnaam is gebaseerd op de sleutel van het object. Dit zijn onder meer: De directory-abstractielaag configureren 85

94 Directory ChoiceDefs EntityDefs RelationshipDefs Beschrijving Bevat de bestanden die globale lijsten definiëren. Bestanden hebben de extensie.choice. Bevat de bestanden die eenheden en attributen definiëren. Bestanden hebben de extensie.entity. Bevat de bestanden die de relaties definiëren die beschikbaar zijn voor de portlet Organigram. Deze bestanden hebben de extensie.relation. U gebruikt de functies van de editor voor de directory-abstractielaag om nieuwe definities toe te voegen die zijn gemodelleerd naar uw eigen schema voor de opslagplaats voor ID's. U gebruikt de functies van de Provisioning View (Weergave Toegangsbeheer) om de nieuwe definities in de opslagplaats voor ID's te implementeren. De editor voor de directory-abstractielaag gebruiken De editor voor de directory-abstractielaag is verdeeld in twee schermen. In het linkerscherm wordt de inhoud van de directory-abstractielaag weergegeven. Wanneer u een item in het linkerscherm selecteert, worden in het rechterscherm de attributen en instellingen voor het geselecteerde item weergegeven. 86 Identity Manager-gebruikerstoepassing: beheerdershandleiding

95 4.3 Werken met eenheden en attributen Alle objecten waarvan u wilt dat gebruikers ze in de Identity Manager-gebruikerstoepassing kunnen opzoeken, weergeven of bewerken, moeten als eenheid worden gedefinieerd in de directoryabstractielaag. Als u bijvoorbeeld het object inetorgperson voor de opslagplaats voor ID's wilt kunnen gebruiken in de gebruikerstoepassing, moet u daar een eenheidsdefinitie voor maken Stappen voor het toevoegen van eenheden Ga als volgt te werk om eenheden toe te voegen aan de directory-abstractielaag: Stap Taak Voor meer informatie 1 Bepaal welke objecten voor de opslagplaats voor ID's u wilt gebruiken in de gebruikerstoepassing 2 Definieer de objecten voor de opslagplaats voor ID's in de directory-abstractielaag met de editor voor de directory-abstractielaag 3 Valideer de gegevensdefinities via de Provisioning View (Weergave Toegangsbeheer) 4 Implementeer de definities in de opslagplaats voor ID's 5 Werk de cache van de toepassingsserver bij zodat deze de nieuwe abstractielaagdefinities bevat. Sectie 4.3.2, Uw gegevensbehoeften analyseren, op pagina 87 Sectie 4.3.3, Eenheden definiëren, op pagina 88 Sectie 4.8, Definities voor de directoryabstractielaag importeren, valideren en implementeren., op pagina 111 Sectie 4.8.3, Informatie over implementatie, op pagina 114 Hoofdstuk 13, Cacheconfiguratie, op pagina Test de Identity Manager-gebruikerstoepassing om er zeker van te zijn dat de wijzigingen correct worden weergegeven Uw gegevensbehoeften analyseren Om de gegevens voor uw opslagplaats voor ID's te modelleren in de directory-abstractielaag, moet u het volgende weten: De delen van de directory die u beschikbaar wilt maken voor de Identity Managergebruikerstoepassing. Bijvoorbeeld de lijst objecten die de gebruiker kan opzoeken en weergeven. Controleer deze lijst aan de hand van de basisset abstractielaagdefinities om te bepalen wat moet worden toegevoegd. De structuur van het schema, inclusief aangepaste uitbreidingen en hulpklassen De structuur van de gegevens, waaronder: Wat vereist is en wat optioneel Validatieregels Relaties tussen objecten (DN-verwijzingen) Hoe attributen worden gedefinieerd (een attribuut dat een telefoonnummer vertegenwoordigt kan bijvoorbeeld meerdere waarden hebben voor telefoonnummers thuis, op kantoor en mobiel) De directory-abstractielaag configureren 87

96 Wie de gegevens zal zien Is dit een publieke of privé-website? Wanneer u over deze informatie beschikt, kunt u daarmee uw objecten voor de opslagplaats voor ID's toewijzen aan abstractielaagdefinities. OPMERKING: de edirectory-acl's zijn van toepassing op alle objecten van de abstractielaag. Effectieve rechten voor objecten en attributen zijn gebaseerd op de geverifieerde gebruiker die bij het aanmelden bij de gebruikerstoepassing is vastgesteld Eenheden definiëren Afhankelijk van wat u wilt weergeven in de gebruikerstoepassing definieert u twee soorten eenheden: Eenheden die vanuit een schema zijn toegewezen. Deze eenheden vertegenwoordigen objecten in de opslagplaats voor ID's die in de gebruikerstoepassing rechtstreeks aan gebruikers worden weergegeven. Wanneer u dit type eenheid definieert, geeft u alle attributen weer waarmee u de gebruikers wilt laten werken. Voorbeelden van dit type eenheid zijn onder andere: Gebruiker, Groep en Taakgroep. U kunt ook meer dan één eenheidsdefinitie maken voor hetzelfde object, als u verschillende sets attributen wilt weergeven aan verschillende soorten gebruikers. Zie voor meer informatie Meerdere eenheidsdefinities maken voor één object op pagina 88. Eenheden die LDAP-relaties vertegenwoordigen. Dit type eenheid staat bekend als een DNLookup en wordt door de gebruikerstoepassing gebruikt om: Een lijst te vullen met de resultaten van een DN-zoekopdracht in gerelateerde eenheden. De verwijzingsintegriteit te onderhouden in attributen met DN-verwijzingen tijdens het bijwerken of verwijderen. Eenheden die DNLookups ondersteunen worden door de portlet Organigram gebruikt om relaties te bepalen. Daarnaast worden ze door de portlets Zoeken, Maken en Detail gebruikt om pop-upkeuzelijsten en DN-context te bieden. Voorbeelden van dit soort eenheid zijn onder andere: Manager zoeken, Taakmanager zoeken en Gebruiker zoeken. Zie voor meer informatie DNLookup-besturingselementtypen gebruiken op pagina 101. Meerdere eenheidsdefinities maken voor één object U kunt meerdere eenheidsdefinities maken die hetzelfde object in de opslagplaats voor ID's vertegenwoordigen, maar een verschillende weergave van de gegevens bieden. Binnen de eenheidsdefinities kunt u: OF Verschillende attributen definiëren voor elke eenheidsdefinitie Dezelfde attributen definiëren, maar verschillende toegangseigenschappen opgeven die bepalen hoe de attributen worden opgezocht, weergegeven, bewerkt of verborgen OPMERKING: de eenheidsdefinities kunnen optioneel een filter bevatten om bepaalde eenheden te verbergen in de set resultaten. 88 Identity Manager-gebruikerstoepassing: beheerdershandleiding

97 Deze verschillende eenheidsdefinities kunt u dan gebruiken in verschillende delen van de gebruikersinterface. Stel, u wilt bijvoorbeeld een directory van werknemers maken; één voor een publieke website en één voor een interne site. Op de publieke site wilt u de voor- en achternaam en een telefoonnummer weergeven. Op de interne site wilt u daarnaast aanvullende informatie zoals de titel, managers, enzovoort laten zien. Dit zou u op de volgende manier kunnen doen: 1 Maak twee eenheidsdefinities (met verschillende sleutels). Beide eenheidsdefinities geven hetzelfde object voor de opslagplaats voor ID's weer, maar één eenheidsdefinitiesleutel is publieke werknemersinformatie en de andere is interne werknemersinformatie. 2 Definieer een verschillende set attributen binnen elke eenheidsdefinitie: één voor publieke werknemersinformatie en de andere voor interne werknemersinformatie. 3 Gebruik het tabblad Portaalbeheer van de Identity Manager-gebruikerstoepassing om een portletexemplaar voor de publieke pagina te maken en een ander exemplaar voor de interne pagina. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het maken van portletexemplaren. Procedures voor het maken van eenheidsdefinities Wanneer u hebt bepaald welke eenheden en attributen u wilt weergeven, kunt u deze via de editor toevoegen aan de directory-abstractielaag. Ga hiertoe als volg te werk: Stap Handeling Zie deze procedure 1. Bepaal met welke set bestanden u wilt beginnen. 1a U wilt definities toevoegen aan de basisset U wilt beginnen met reeds geïmplementeerde definities Sommige van de eenheden die u wilt gebruiken maken geen deel uit van het basisschema van edirectory. Uitbreidingen van het edirectory-schema worden niet automatisch weergegeven in de lijst selecteerbare objecten en attributen in de editor. Dat betekent dat u het lokale schemabestand van de Designer moet bijwerken, zodat deze aangepaste objecten en attributen daarin worden opgenomen. Sectie 4.3.1, Stappen voor het toevoegen van eenheden, op pagina 87 Sectie 4.8.1, Informatie over importeren, op pagina 112 Ga als volgt te werk om de lijst beschikbare schema-elementen bij te werken: op pagina Voeg een of meer eenheden toe aan de directoryabstractielaag Eenheden toevoegen op pagina Voeg attributen toe aan de eenheden Attributen toevoegen op pagina 93 De lijst beschikbare schema-elementen bijwerken Ga als volgt te werk om de lijst beschikbare schema-elementen bij te werken: 1 Selecteer met het Identity Manager- project geopend de opslagplaats voor ID's, klik met de rechtermuisknop en selecteer Live Operations (Live bewerkingen)>import Schema (Schema importeren). De directory-abstractielaag configureren 89

98 2 Kies Import from edirectory (Importeren van edirectory) en geef de specificaties op voor de edirectory-host. 3 Klik op Volgende. 4 Selecteer de klassen en attributen die u wilt importeren en klik op Voltooien. Eenheden toevoegen U kunt een eenheid toevoegen via de wizard Add Entity (Eenheid toevoegen) (die verderop wordt beschreven) of via de knop Add Entity (Eenheid toevoegen) op de werkbalk van de editor. OPMERKING: wanneer u de knop Add Entity (Eenheid toevoegen) gebruikt, wordt u gevraagd de objectklasse te selecteren voor de eenheid die u wilt maken. De editor voegt automatisch de vereiste attributen toe aan de eenheid. Vervolgens kunt u via het dialoogvenster Attribuut toevoegen de eenheidsdefinitie voltooien. Ga als volgt te werk om een eenheid toe te voegen via de wizard Add Entity (Eenheid toevoegen): 1 Start de wizard Add Entity (Eenheid toevoegen) op een van de volgende manieren: Vanuit de Provisioning View (Weergave Toegangsbeheer): Selecteer het knooppunt Eenheden, klik met de rechtermuisknop en kies Nieuw. Selecteer Bestand>Nieuw>Provisioning (Toegangsbeheer). Kies Directory Abstraction Layer Entity (Eenheid directory-abstractielaag). Klik op Volgende. Vanuit de editor voor de directory-abstractielaag: Selecteer het knooppunt Eenheden, klik met de rechtermuisknop en kies New Entity- Attributes Wizard (Nieuwe eenheid - wizard voor attributen). Het dialoogvenster New Entity (Nieuwe eenheid) wordt weergegeven. OPMERKING: als u het dialoogvenster hebt geopend vanuit het menu Bestand, bevat dit velden die niet worden weergegeven wanneer u het dialoogvenster op een van de andere manieren opent. Dit wordt hieronder weergegeven. 90 Identity Manager-gebruikerstoepassing: beheerdershandleiding

99 2 Vul het scherm als volgt in: Veld Identity Manager Project (Identity Manager-project) en Provisioning Application (Toepassing voor toegangsbeheer) Entity Key (Eenheidssleutel) Weergavelabel Beschrijving Selecteer het Identity Manager-project en de toepassing voor toegangsbeheer waaraan u de eenheid en attributen wilt toevoegen. OPMERKING: deze velden worden weergegeven wanneer u de wizard start vanuit het menu Bestand. De unieke ID van de eenheid. De tekenreeks die wordt weergegeven wanneer naar deze eenheid wordt verwezen in de gebruikersinterface. De directory-abstractielaag configureren 91

100 3 Klik op Volgende. Het dialoogvenster New Entity (Nieuwe eenheid) wordt weergegeven: 4 Kies de objectklasse voor de eenheid die u wilt maken en selecteer vervolgens de gewenste attributen in de lijst Available Attributes (Beschikbare attributen). TIP: als de objectklasse voor de eenheid die u wilt maken, niet wordt weergegeven in de lijst Available Object Classes (Beschikbare objectklassen), moet mogelijk het lokale schemabestand van de Designer worden bijgewerkt. Volg de stappen die zijn beschreven in Ga als volgt te werk om de lijst beschikbare schema-elementen bij te werken: op pagina Klik op Voltooien. Het eigenschappenblad wordt weergegeven, zodat u dit kunt bewerken. Zie voor meer informatie Verwijzing eenheidseigenschappen op pagina 94. OPMERKING: als u het attribuut beschikbaar wilt maken voor de gebruikerstoepassing, moet u de eenheid implementeren die het attribuut bevat. 92 Identity Manager-gebruikerstoepassing: beheerdershandleiding

101 Attributen toevoegen Ga als volgt te werk om een attribuut toe te voegen: 1 Selecteer een eenheid. 2 Voeg een attribuut toe door: Met de rechtermuisknop te klikken en Attribuut toevoegen te selecteren. of Op het pictogram Attribuut toevoegen te klikken. Het volgende scherm wordt weergegeven: 3 Kies het attribuut in de lijst Available Attributes for Entity Class (Beschikbare attributen voor eenheidsklasse) en voeg het toe aan de lijst Selected Attributes for Entity (Geselecteerde attributen voor eenheid). De directory-abstractielaag configureren 93

102 TIP: als het attribuut dat u wilt maken niet wordt weergegeven in de lijst Available Attributes from Entity Class (Beschikbare attributen voor eenheidsklasse), moet mogelijk het lokale schemabestand van de Designer worden bijgewerkt. Volg de stappen die zijn beschreven in Ga als volgt te werk om de lijst beschikbare schema-elementen bij te werken: op pagina Klik op OK. Het eigenschappenblad wordt weergegeven, zodat u dit kunt bewerken. Zie voor meer informatie Attribuuteigenschappen op pagina 97. OPMERKING: u moet het attribuut implementeren als u dit beschikbaar wilt maken voor de gebruikerstoepassing. Verwijzing eenheidseigenschappen U kunt de volgende typen eigenschappen instellen voor eenheden: Toegangseigenschappen voor eenheden op pagina 94 Vereiste eigenschappen voor eenheden op pagina 94 Zoekeigenschappen voor eenheden op pagina 95 Eigenschappen voor maken en bewerken van eenheden op pagina 96 Eigenschappen voor wachtwoordbeheer op pagina 96 Toegangseigenschappen voor eenheden De toegangseigenschappen bepalen hoe de gebruikerstoepassing met de eenheid omgaat. Dit zijn onder meer: Eigenschap Maken Bewerken Beschrijving Ingeschakeld: dit object kan worden gemaakt via de gebruikerstoepassing. Uitgeschakeld: dit object kan niet worden gewijzigd via de gebruikerstoepassing, ongeacht de onderliggende ACL's. Ingeschakeld: dit object kan mogelijk worden gewijzigd, maar dit wordt bepaald door middel van ACL's in de opslagplaats voor ID's. Weergeven Verwijderen Ingeschakeld: dit object kan worden weergegeven via de gebruikerstoepassing. Ingeschakeld: dit object kan worden verwijderd via de gebruikerstoepassing. Vereiste eigenschappen voor eenheden De vereiste eigenschappen voor eenheden zijn: Eigenschapnaam Sleutel Weergavelabel Beschrijving De unieke ID van deze eenheid. Hiermee wordt gedefinieerd op welke manier de gebruikerstoepassing naar dit object verwijst. Definieert hoe het object wordt weergegeven in de gebruikersinterface. 94 Identity Manager-gebruikerstoepassing: beheerdershandleiding

103 Eigenschapnaam Klassenaam LDAP-naam Zoeken Beschrijving De NDS-klassenaam (Novell Directory Service). De LDAP-objectklassenaam. Ingeschakeld: deze eenheid kan worden opgezocht. Eenheden die worden gebruikt in query's voor identiteitsportlets (zoals Entity Search List (Eenheidszoeklijst) en Eenheidsorganigram) moeten zijn ingeschakeld (waar). Auxiliary Classes (Hulpklassen) Een lijst van nul of meer hulpklassen voor deze eenheid. Wanneer u hulpklassen toevoegt, moet u de LDAP-naam en de NDS-naam opgeven, en moet u opgeven of de hulpklasse kan worden opgezocht. Zoekeigenschappen voor eenheden De zoekeigenschappen voor eenhedenzijn: Eigenschapnaam Search container (Zoekcontainer) Beschrijving De volledige naam van het LDAP-knooppunt of de container waar wordt begonnen met zoeken (het hoofdknooppunt voor de zoekopdracht). Bijvoorbeeld: ou=sample,o=ourorg U kunt in de opslagplaats voor ID's naar de container bladeren en deze selecteren, of u kunt een van de vooraf gedefinieerde parameters gebruiken die worden beschreven in Vooraf gedefinieerde parameters gebruiken op pagina 97. Search scope (Zoekbereik) Hiermee geeft u op waar de zoekopdracht wordt uitgevoerd in relatie tot het hoofdknooppunt van de zoekopdracht. Waarden zijn: <Standaard>: dit zoekbereik is hetzelfde als wanneer u containers en subcontainers selecteert. Container: de zoekopdracht wordt uitgevoerd in het DN van het hoofdknooppunt van de zoekopdracht en alle ingangen op het niveau van het hoofdknooppunt van de zoekopdracht. Container and subcontainers (Container and subcontainers): de zoekopdracht wordt uitgevoerd in het DN van het hoofdknooppunt van de zoekopdracht en alle subcontainers. Dit is hetzelfde als wanneer u <Standaard>. selecteert. Object: de zoekopdracht wordt beperkt tot het opgegeven object. Deze zoekopdracht wordt gebruikt om te controleren of het opgegeven object bestaat. Search Time Limit (Tijdslimiet voor zoeken) [ms] Geef een waarde op in milliseconden, of geef een 0 op voor geen tijdslimiet. De directory-abstractielaag configureren 95

104 Eigenschapnaam Max Search Entries (Max. aantal zoekresultaten) Beschrijving Geef het maximumaantal zoekresultaten op dat voor een zoekopdracht moet worden geretourneerd. Geef een 0 op als u de runtime-instelling wilt gebruiken. Aanbevelingen: Stel tussen 100 en 200 in voor maximale efficiëntie Stel het aantal niet in op meer dan 1000 Eigenschappen voor maken en bewerken van eenheden De eigenschappen voor maken en bewerken van eenheden zijn: Eigenschapnaam Create Container (Container voor maken) Definitie De naam van de container waar een nieuwe eenheid van dit type wordt gemaakt. U kunt in de opslagplaats voor ID's naar de container bladeren en deze selecteren, of u kunt een van de vooraf gedefinieerde parameters gebruiken die worden beschreven in Vooraf gedefinieerde parameters gebruiken op pagina 97. Als deze waarde niet wordt opgegeven, vraagt de portlet Maken de gebruiker een container op te geven voor het nieuwe object. De portlet gebruikt het hoofdknooppunt voor de zoekopdracht dat als basis is opgegeven in de eenheidsdefinitie. Van daaruit kan de gebruiker de lager gelegen niveaus doorzoeken. Als er geen hoofdknooppunt voor de zoekopdracht is opgegeven in de eenheidsdefinitie, wordt het DN van het hoofdknooppunt gebruikt dat tijdens de installatie van de gebruikerstoepassing is opgegeven. Naamkenmerk Alternative Edit Entity (Alternatieve eenheid bewerken) Het naamkenmerk van de eenheid (de RDN; Relative Distinguished Name). Deze waarde is alleen nodig voor eenheden waarvoor de toegangsparameter Maken is geselecteerd. De attributen van de Edit Entity (Eenheid bewerken) worden weergegeven in de bewerkingsmodus van de portlet Detail. Kies een eenheid in de vervolgkeuzelijst of kies <Geen> als deze eenheid niet wordt weergegeven via de portlet Detail. Eigenschappen voor wachtwoordbeheer De eigenschappen voor wachtwoordbeheer zijn: Eigenschapnaam Password Attribute (Wachtwoordattribuut) Password required when attribute is created (Wachtwoord vereist wanneer attribuut wordt gemaakt) Definitie Kies het attribuut waar het wachtwoord voor deze eenheid wordt opgeslagen. Geselecteerd: er is een wachtwoord vereist wanneer deze eenheid wordt gemaakt. 96 Identity Manager-gebruikerstoepassing: beheerdershandleiding

105 Vooraf gedefinieerde parameters gebruiken Voor bepaalde waarden kunt u in de editor voor de directory-abstractielaag vooraf gedefinieerde parameters gebruiken. De parameters zijn: Vooraf gedefinieerde parameter %driver-root% Beschrijving Vertegenwoordigt het DN van het stuurprogramma voor toegangsbeheer. Deze waarde wordt opgegeven tijdens de configuratie van de gebruikerstoepassing bij installatie of bij een latere configuratie. De waarde wordt opgeslagen in de realm-configuratie van de gebruikerstoepassing. %user-root% %group-root% Vertegenwoordigt het DN van de gebruikerscontainer. Deze waarde wordt opgegeven tijdens de configuratie van de gebruikerstoepassing bij installatie of bij een latere configuratie. De waarde wordt opgeslagen in de realm-configuratie van de gebruikerstoepassing. Vertegenwoordigt het DN van de groepscontainer. Deze waarde wordt opgegeven tijdens de configuratie van de gebruikerstoepassing bij installatie of bij een latere configuratie. De waarde wordt opgeslagen in de realm-configuratie van de gebruikerstoepassing. Attribuuteigenschappen U kunt de volgende typen eigenschappen instellen voor attributen: Toegangseigenschappen voor attributen op pagina 97 Vereiste eigenschappen voor attributen op pagina 98 Filter- en indelingseigenschappen voor attributen op pagina 99 Eigenschappen voor de besturingselementen van de gebruikersinterface van attributen op pagina 99 Toegangseigenschappen voor attributen De toegangseigenschappen voor attributen zijn: Naam Bewerken Inschakelen Beschrijving Ingeschakeld: dit attribuut kan worden bewerkt/gewijzigd via de gebruikerstoepassing. Als deze eigenschap is geselecteerd (waar), kan het attribuut mogelijk toch niet worden bewerkt als er in de toegangsbeheerlijsten/effectieve rechten van de onderliggende opslagplaats voor ID's wordt aangegeven dat dit niet is toegestaan. Uitgeschakeld: dit attribuut kan niet worden gebruikt via de gebruikerstoepassing. Dit heeft hetzelfde resultaat als het verwijderen van het item uit het bestand. De directory-abstractielaag configureren 97

106 Naam Verbergen Beschrijving Hiermee bepaalt u of het selectievakje Verbergen in de gebruikerstoepassing is inof uitgeschakeld. U kunt met het selectievakje Verbergen bepalen of een attribuut (zoals een foto) in de toepassing wordt weergegeven. Uitgeschakeld: het selectievakje Verbergen is voor dit attribuut uitgeschakeld, zodat u het attribuut niet kunt verbergen. Ingeschakeld: het selectievakje Verbergen kan in de gebruikerstoepassing worden ingeschakeld. De aangemelde gebruiker moet echter: eigenaar van het attribuut of beheerder van de gebruikerstoepassing zijn. over vertrouwdenrechten beschikken om het attribuut srvprvhideattributes in de opslagplaats van ID's bij te werken. Als er niet aan deze vereisten is voldaan, is het selectievakje Verbergen uitgeschakeld in de gebruikersinterface, ook als deze instelling is geselecteerd (waar). Multivalue Lezen Require (Vereisen) Zoeken TIP: wanneer u een attribuut met een afbeelding verbergt, kunnen gebruikers die de afbeelding hebben bekeken deze mogelijk blijven zien totdat de browsercache is vernieuwd. Hiermee geeft u op of dit attribuut meerdere waarden kan bevatten, bijvoorbeeld een telefoonnummer. Ingeschakeld: het attribuut kan meerdere waarden bevatten. Ingeschakeld: voor dit attribuut kan een query worden uitgevoerd via de gebruikerstoepassing. Voor de meeste attributen moet dit attribuut zijn ingeschakeld (waar), maar voor een aantal attributen, zoals Wachtwoord, moet dit zijn uitgeschakeld. Ingeschakeld: het attribuut moet worden opgegeven. Ingeschakeld: via de gebruikerstoepassing kan naar dit attribuut worden gezocht. U moet hiervoor attributen inschakelen die worden gebruikt in query's voor identiteitsportlets (zoals Entity Search List (Eenheidszoeklijst) en Eenheidsorganigram). Weergeven TIP: een zoekopdracht verloopt sneller als een attribuut dat in de zoekopdracht wordt gebruikt ook wordt geïndexeerd in edirectory. Ingeschakeld: dit attribuut kan in de gebruikerstoepassing worden weergegeven. In de meeste gevallen moet dit attribuut zijn ingeschakeld, maar voor een aantal attributen, zoals Wachtwoord, moet dit zijn uitgeschakeld. Vereiste eigenschappen voor attributen Naam Sleutel Weergavelabel Beschrijving De unieke ID van het attribuut. Het label dat in de gebruikerstoepassing wordt weergegeven. 98 Identity Manager-gebruikerstoepassing: beheerdershandleiding

107 Naam Beschrijving Attribuutnaam De NDS-naam van dit attribuut. LDAP-naam De LDAP-naam van dit attribuut. Filter- en indelingseigenschappen voor attributen Naam Filter: WHERE-attribuut Inschakelen Beschrijving Hiermee kunt u voor dit attribuut een LDAP-filter opgeven voor de zoekopdracht in de opslagplaats voor ID's. Ingeschakeld: hiermee schakelt u het filter in. Eigenschappen voor de besturingselementen van de gebruikersinterface van attributen Naam Gegevenstype Beschrijving Kies een gegevenstype in de volgende lijst: Binair Boole DN Geheel getal LocalizedString Tekenreeks Tijd Indelingstype Hiermee worden gegevens ingedeeld via de gebruikerstoepassing. De volgende indelingstypen zijn beschikbaar: Geen AOL IM GroupWise IM Afbeelding Telefoonnummer Yahoo IM Afbeeldings-URL Datum Datum/tijd De indelingstypen zijn afhankelijk van het gegevenstype. Het gegevenstype Tijd kan bijvoorbeeld alleen worden gekoppeld aan de indelingen Datum en Datum/ tijd. De directory-abstractielaag configureren 99

108 Naam Besturingselementtyp e Beschrijving De volgende typen zijn beschikbaar: DNLookup: hiermee wordt gedefinieerd dat dit attribuut een DN-verwijzing bevat. U kunt dit gebruiken wanneer u: Een lijst wilt vullen met de resultaten van een DN-zoekopdracht in gerelateerde eenheden. De verwijzingsintegriteit wilt onderhouden in attributen met DNverwijzingen tijdens het bijwerken of verwijderen. Deze informatie wordt in de gebruikerstoepassing gebruikt om speciale gebruikersinterface-elementen te genereren en geoptimaliseerde zoekopdrachten uit te voeren op basis van de DNLookup-definitie. Zie DNLookup-besturingselementtypen gebruiken op pagina 101 voor meer informatie. Global List (Algemene lijst): u kunt dit attribuut weergeven als vervolgkeuzelijst waarvan de inhoud wordt bepaald via een bestand dat losstaat van deze attribuutdefinitie. Zie Sectie 4.4, Werken met lijsten, op pagina 104 voor meer informatie. Local List (Lokale lijst): u kunt dit attribuut weergeven als vervolgkeuzelijst waarvan de inhoud wordt bepaald via een bestand dat losstaat van deze attribuutdefinitie. Een lokale lijst definiëren: 1. Schakel het attribuut in en stel het type besturingselement in op Local List (Lokale lijst). 2. Klik op de knop Toevoegen als u meer waarden wilt toevoegen. Gebruik de knop pijl-omhoog of pijl-omlaag als u de positie van het item in de lijst wilt wijzigen. Typ de waarde die naar de opslagplaats voor ID's moet worden geschreven in de kolom Waarde. Deze waarde kan alleen kleine letters, cijfers en onderstrepingstekens (_) bevatten. 3. Typ de tekst die u in de gebruikersinterface wilt weergeven in de kolom Labels. Bereik: u kunt het besturingselementtype Bereik samen met het gegevenstype Geheel getal gebruiken om de gebruikersinvoer te beperken tot een opeenvolgend waardebereik. U geeft de begin- en eindwaarden op. 100 Identity Manager-gebruikerstoepassing: beheerdershandleiding

109 DNLookup-besturingselementtypen gebruiken Wanneer u een besturingselementtype definieert als DNLookup, houdt dit het volgende in: Gebruikers kunnen een selectie maken in een lijst met mogelijke waarden wanneer zij naar dit attribuut zoeken. Wanneer dit attribuut is gemaakt, gevuld of verwijderd, wordt er een attribuut voor een gerelateerde eenheid op basis hiervan bijgewerkt, afhankelijk van de gebruikersactie (maken, verwijderen, bijwerken) om de verwijzingsintegriteit te behouden. DNLookup voor selectielijsten De geïnstalleerde gebruikerstoepassing bevat eenheidsdefinities voor Gebruikers en Groepen. De eenheidsdefinitie Gebruikers bevat een attribuut met de naam Groep die is gedefinieerd als een besturingselementtype DNLookup. Hierdoor kan via een identiteitsportlet een selectielijst met groepen voor een bepaalde gebruiker worden weergegeven. U kiest er bijvoorbeeld voor om Directory's doorzoeken uit te voeren. U wilt zoeken naar een gebruiker in een groep, maar u kent de naam van de groep niet. Selecteer Gebruiker als het object waarnaar u wilt zoeken en neem Groep op als zoekcriterium, zoals hierna wordt weergegeven: De directory-abstractielaag configureren 101

110 Het pictogram Zoeken wordt weergegeven, omdat Groep is gedefinieerd als het besturingselementtype DNLookup voor de eenheid Gebruikers. Als u dit pictogram selecteert, wordt er een lijst met mogelijke groepen weergegeven: U kunt een groep in de lijst selecteren. DNLookup voor verwijzingsintegriteit DNLookup voor updates en synchronisatie zijn belangrijk, omdat groepsrelaties met LDAP in beide richtingen kunnen worden toegewezen. De gegevens kunnen bijvoorbeeld zo zijn ingesteld dat: Het object Gebruiker een groepsattribuut bevat. Het groepsattribuut: Bevat meerdere waarden. Bevat alle groepen waartoe een gebruiker behoort. Het object Groep een gebruikersattribuut bevat. Het gebruikersattribuut: Bevat meerdere waarden. Bevat alle gebruikers die tot de groep behoren. Dit houdt in dat u een attribuut voor een gebruikersobject kunt hebben waarmee alle groepen van een gebruiker worden weergegeven, en dat u voor het object Groep een DN-attribuut kunt definiëren met alle leden van de desbetreffende groep. Wanneer de gebruiker een update aanvraagt, moet rekening worden gehouden met de relaties en moeten de doel- en bronattributen worden gesynchroniseerd. Geef in DNLookup beide attributen op die moeten worden gesynchroniseerd. Met deze techniek kunt u niet alleen structuurobjecten groeperen, maar ook gerelateerde objecten synchroniseren. U kunt dit type DNLookup- 102 Identity Manager-gebruikerstoepassing: beheerdershandleiding

111 besturingselement maken door de geavanceerde DNLookup-eigenschappen op te geven die worden beschreven in Eigenschappen voor de relationele integriteit van DNLookup. DNLookup-eigenschappen De volgende weergave-eigenschappen zijn beschikbaar voor DNLookup: Veld Definitie Lookup Entity (Zoekeenheid) Detail entity (Detaileenheid) Attributes to display (Weer te geven attributen) Perform Automatic Query (Automatische query uitvoeren) De naam van de eenheid waarnaar u wilt zoeken. De eenheid Taakgroep bevat bijvoorbeeld een attribuut voor Taakbeheer. Als u dit veld wilt vullen, moet u weten welke gebruikers taakbeheerders zijn. De sleutel van de eenheid waarvan u de details wilt weergeven als de gebruiker meer informatie aanvraagt door op een hyperlink te klikken in de gebruikerstoepassing. Wanneer u een DNLookup definieert, kan via de identiteitsportlets een hyperlink worden weergegeven, zodat gebruikers de details van het gekoppelde object kunnen bekijken. Kies een of meer attributen die u wilt weergeven wanneer de zoekopdracht is voltooid. Hiermee definieert u hoe de Attributes to display (Weer te geven attributen) (boven) worden weergegeven. Ingeschakeld: er wordt een automatische query uitgevoerd voor de eenheid en de resultaten worden weergegeven in een selectielijst. U kunt deze optie beter niet kiezen als er een groot aantal gegevens wordt geretourneerd, omdat de gebruiker hierdoor door een grote resultatenset moet bladeren. Uitgeschakeld: de gebruiker kan de zoekcriteria voor de eenheidsquery invoeren. De resultaten worden vervolgens in een selectielijst weergegeven. Eigenschappen voor de relationele integriteit van DNLookup: met deze eigenschappen worden de gegevens tussen twee objecten, zoals groepen en groepsleden, gesynchroniseerd. Eigenschap Source attributes to update (Bronattributen voor bijwerken) Target attributes to update (Doelattributen voor bijwerken) Target auxiliary classes, if any (Doelhulpklassen, indien van toepassing) Definitie Naam van het attribuut dat u wilt bijwerken. Het attribuut moet een DN-verwijzing bevatten naar de Target attributes to update (Doelattributen voor bijwerken). Dit is vereist om attributen van twee verschillende objecten te synchroniseren. Naam van het attribuut dat moet worden bijgewerkt met de Source attributes to update (Bronattributen voor bijwerken). Dit is een LDAP-attribuutnaam. Dit is vereist om attributen van twee verschillende objecten te synchroniseren. Het attribuut moet een DN-verwijzing bevatten. Naam van de hulpklasse die de Target attributes to update (Doelattributen voor bijwerken) bevat. De directory-abstractielaag configureren 103

112 4.4 Werken met lijsten Met het knooppunt Lijsten kunt u de inhoud van globale lijsten definiëren. Globale lijsten worden in de Identity Manager-gebruikerstoepassing gebruikt om: Een lijst met waarden voor een attribuut weer te geven. Wanneer het attribuut wordt weergegeven, zodat u dit in de gebruikersinterface kunt bewerken, worden de mogelijke waarden in een vervolgkeuzelijst weergegeven. De categorieën te definiëren die beschikbaar zijn voor de invoegtoepassing voor de configuratie van toegangsaanvragen voor imanager. Dit is een speciale lijst. Zie Sectie 4.4.2, Informatie over de lijst Categorie voor toegangsbeheer, op pagina 106 voor meer informatie. Een nieuwe globale lijst maken: 1 Start de wizard New List (Nieuwe lijst) op een van de volgende manieren: Vanuit de Provisioning View (Weergave Toegangsbeheer): Selecteer Bestand>Nieuw>Provisioning (Toegangsbeheer). Kies Directory Abstraction Layer List (Lijst directory-abstractielaag). Klik op Volgende. Selecteer het knooppunt Lijsten, klik met de rechtermuisknop en kies Nieuw. Vanuit de editor voor de directory-abstractielaag: Klik op de knop New List (Nieuwe lijst). Selecteer het knooppunt Lijsten, klik met de rechtermuisknop en kies Lijst toevoegen. Het dialoogvenster New List (Nieuwe lijst) wordt weergegeven. OPMERKING: als u het dialoogvenster hebt geopend vanuit het menu Bestand, bevat dit velden die niet worden weergegeven wanneer u het dialoogvenster op een van de andere manieren opent. 104 Identity Manager-gebruikerstoepassing: beheerdershandleiding

113 2 Vul het scherm als volgt in: Veld Identity Manager Project (Identity Managerproject) en Provisioning Application (Toepassing voor toegangsbeheer) Beschrijving Selecteer de toepassing voor Identity Managerprojecten en toegangsbeheer waarin u de eenheid en attributen wilt toevoegen. OPMERKING: deze velden worden weergegeven wanneer u de wizard start vanuit het menu Bestand. List Key (Lijstsleutel) Weergavelabel De unieke ID van de lijst. De tekenreeks die wordt gebruikt wanneer naar deze lijst wordt verwezen in de gebruikersinterface. 3 Klik op Voltooien. Het eigenschappenblad Global List (Algemene lijst) wordt weergegeven. 4 Vul de volgende velden in: Veld Weergavelabel Labels Waarden Beschrijving De naam van deze lijst zoals die in de designer wordt weergegeven. De tekst voor het lijstitem dat u in de gebruikersinterface wilt weergeven. De waarde voor het lijstitem dat u in de opslagplaats voor ID's wilt opslaan. Deze waarde kan alleen kleine letters, cijfers en onderstrepingstekens (_) bevatten. De lijst is nu beschikbaar in de ontwerpomgeving. De directory-abstractielaag configureren 105

114 5 Sla het project op. OPMERKING: u moet de lijst implementeren als u deze beschikbaar wilt maken in de runtime-omgeving Informatie over de lijst Taalvoorkeur In de lijst Taalvoorkeur kunt u de standaardtaal opgeven die wordt gebruikt wanneer de browsertaal niet wordt ondersteund. De inhoud van deze lijst wordt weergegeven bij de standaardconfiguratie van de actie Gebruiker bewerken in de gebruikerstoepassing Informatie over de lijst Categorie voor toegangsbeheer Met de lijst Categorie voor toegangsbeheer wordt de set categorieën gedefinieerd waarmee u Resources met toegewezen toegangsrechten (Rechten) en Toegangsrechten kunt ordenen. De categorieën in de lijst worden weergegeven in: imanager: invoegtoepassing Toegangsaanvraag configureren gebruikerstoepassing: tabblad Aanvragen en goedkeuringen U kunt de lijstsleutel Toegangsaanvraag niet wijzigen. U kunt echter wel meer items aan de lijst toevoegen of de bestaande categoriewaarden en -labels wijzigen. De inhoud van de lijst Categorie voor toegangsbeheer wijzigen: 1 Controleer of het juiste project is geopend in de editor. 2 Klik op het knooppunt Lijsten. 3 Selecteer Categorie voor toegangsbeheer. 4 Gebruik het eigenschappenvenster voor de globale lijst om wijzigingen aan te brengen. OPMERKING: met het veld Waarden kunt u de categoriesleutel vullen. In het veld Waarden kunt u alleen kleine letters, cijfers en onderstrepingstekens (_) invoeren, omdat alleen deze tekens geldig zijn in de categoriesleutel. De categoriesleutel wordt intern gebruikt als ID van de categorie. 5 Sla de wijzigingen op en implementeer deze. Werk de cache van de toepassingsserver bij. Wanneer de wijzigingen zijn geïmplementeerd, worden deze in de gebruikerstoepassing en de imanager-invoegtoepassing weergegeven. 4.5 Werken met relaties in organigrammen Met het knooppunt Org Chart Relationships (Organigramrelaties) kunt u hiërarchische relaties definiëren tussen eenheden die in de directory-abstractielaag zijn gedefinieerd. Het kan een relatie zijn tussen gelijke eenheden (zoals gebruiker/gebruiker) of tussen ongelijke eenheden (zoals gebruiker/apparaat). De volgende relaties worden voor de gebruikerstoepassing gedefinieerd: Lidmaatschap groep Manager-werknemer 106 Identity Manager-gebruikerstoepassing: beheerdershandleiding

115 Gebruikersgroepen Als u een relatie wilt implementeren, moeten alle onderdelen (eenheden en attributen) van de relatie al zijn geïmplementeerd. Een nieuwe relatie maken: 1 U kunt op een van de volgende manieren een nieuwe relatie maken: Vanuit de Provisioning View (Weergave Toegangsbeheer): Selecteer Bestand>Nieuw>Provisioning (Toegangsbeheer). Kies Directory Abstraction Layer Relationship (Relatie directory-abstractielaag) en klik op Volgende. Selecteer het knooppunt Org Chart Relationships (Organigramrelatie), klik hierop met de rechtermuisknop en kies Toevoegen. Vanuit de editor voor de directory-abstractielaag: Klik op de knop Add Relationship (Relatie toevoegen). Selecteer het knooppunt Org Chart Relationships (Organigramrelaties), klik hierop met de rechtermuisknop en kies Add Relationship (Relatie toevoegen). Het dialoogvenster New Relationship (Nieuwe relatie) wordt weergegeven. OPMERKING: wanneer u het dialoogvenster hebt geopend vanuit het menu Bestand, bevat dit velden die niet worden weergegeven wanneer u het dialoogvenster op een van de andere manieren opent. 2 Vul het scherm als volgt in: De directory-abstractielaag configureren 107

116 Veld Identity Manager Project (Identity Manager-project) en Provisioning Application (Toepassing voor toegangsbeheer) Handeling Controleer of het juiste Identity Manager-project en de toepassingen voor toegangsbeheer zijn geselecteerd. OPMERKING: dit veld wordt weergegeven wanneer u relaties maakt vanuit het menu Bestand. Relatiesleutel Weergavelabel Typ een unieke waarde voor de relatiesleutel. Typ de tekenreeks die moet worden weergegeven wanneer de relatie in de gebruikersinterface van Identity Manager wordt weergegeven. 3 Klik op Voltooien. De relatie wordt gemaakt en het bijbehorende eigenschappenblad wordt geopend, zodat u de relatie kunt bewerken Eigenschappen van relaties Veld Sleutel Beschrijving De unieke ID van de relatie (alleen-lezen). TIP: geef deze waarde op het voorkeurenblad van de portlet Organigram op. 108 Identity Manager-gebruikerstoepassing: beheerdershandleiding

117 Veld Weergavelabel Bovenliggende eenheid Beschrijving Geef een naam op die moet worden weergegeven wanneer naar deze relatie wordt verwezen door andere identiteitsportlets. Deze waarde wordt bijvoorbeeld weergegeven wanneer gebruikers op het pictogram Choose Org Chart (Organigram kiezen) klikken vanuit de portlet Detail. Klik op Lokaliseren voor de vertaling van de weergavelabeltekst. Kies een eenheid in de vervolgkeuzelijst. Parent attribute (Bovenliggend attribuut) Child entity (Onderliggende eenheid) Child attribute (Onderliggend attribuut) De gekozen eenheid wordt het bovenliggende object in de hiërarchie van het organigram. In de relatie manager-werknemer is de bovenliggende eenheid bijvoorbeeld Gebruiker. Bij de relatie groep-lid is de bovenliggende eenheid Groep. Directory abstraction layer requirements (Vereisten directoryabstractielaag): de eenheden in deze lijst zijn een subset van de eenheden die zijn gedefinieerd in de directory-abstractielaag. Voor bovenliggende eenheden moet de eigenschap voor weergavetoegang zijn ingeschakeld (waar). Kies een attribuut in de vervolgkeuzelijst. Dit attribuut wordt gebruikt bij het zoeken naar overeenkomende onderliggende eenheden. Er kan een relatie worden gemaakt wanneer de waarde van dit attribuut overeenkomt met een waarde van een attribuut van de onderliggende eenheid (zie Child attribute (Onderliggend attribuut) hieronder). Directory abstraction layer requirements (Vereisten voor directoryabstractielaag): deze lijst met attributen wordt gevuld met de geselecteerde attributen van de bovenliggende eenheid. De lijst bevat alleen de attributen die zijn gedefinieerd met het besturingselementtype DNLookup. Kies de eenheid die het onderliggende object wordt in de hiërarchie. In de relatie manager-werknemer is dit bijvoorbeeld Gebruiker. In een relatie werknemer-resources is dit Apparaten. Deze eenheid moet het attribuut bevatten dat aan het bovenliggende attribuut is gerelateerd. Kies het attribuut dat overeenkomt met het bovenliggende attribuut. Hiermee geeft u het attribuut van de onderliggende eenheid op waarmee moet worden gezocht naar overeenkomende bovenliggende eenheden. Er kan een relatie worden gemaakt wanneer de waarde van dit attribuut overeenkomt met een waarde van een attribuut van de bovenliggende eenheid (zie Parent attribute (Bovenliggend attribuut) hierboven). OPMERKING: dynamische groepen worden niet volledig ondersteund door de portlet Organigram. U kunt een dynamische groep niet als bovenliggende eenheid in een relatie definiëren. U kunt echter wel een dynamische groep definiëren als de onderliggende eenheid in een relatie. Een relatie verwijderen: 1 Selecteer de relatie die u wilt verwijderen. 2 Klik hierop met de rechtermuisknop en kies Verwijderen. De directory-abstractielaag configureren 109

118 4.6 Werken met configuratie-instellingen Met het knooppunt Configuratie kunt u algemene configuratie-eigenschappen voor de gebruikerstoepassing instellen. U kunt de volgende eigenschappen instellen: Eigenschap Default My Profile Entity (Standaardeenheid Mijn Profiel) Beschrijving Hiermee definieert u de eenheid die moet worden weergegeven wanneer de gebruiker in de gebruikersinterface op Mijn profiel klikt. In dit veld worden alleen eenheden met de objectklasse Gebruiker (of LDAP-inetOrgPerson) weergegeven. Default Locale (Standaardtaal) Hiermee definieert u de standaardtaal die in de gebruikerstoepassing voor de weergavelabels wordt gebruikt. Als de browser is ingesteld op een taal die niet wordt ondersteund, wordt deze taal in plaats daarvan gebruikt. OPMERKING: de browsertaal overschrijft de standaardtaal voor de ondersteunde talen. Container Classes (Containerklassen) Hiermee wordt voor de actie Gebruiker of Groep maken de inhoud opgegeven van een selectielijst met containerklassen. In de selectielijst selecteert de gebruiker een container die fungeert als de locatie waarop nieuwe objecten worden opgeslagen. 4.7 Weergavetekst lokaliseren Via de editor voor de directory-abstractielaag kunt u eenvoudig de weergavetekst lokaliseren voor: Weergavelabels voor eenheden en attributen Namen van organigramrelaties Globale en lokale lijstitems Ondersteunde talen U kunt de weergavetekst in een of meer van de volgende talen lokaliseren: Engels Frans Duits Italiaans Japans Koreaans Portugees Russisch Vereenvoudigd Chinees Spaans Traditioneel Chinees 110 Identity Manager-gebruikerstoepassing: beheerdershandleiding

119 4.7.2 Tekst lokaliseren Met de editor voor de directory-abstractielaag kunt u op verschillende manieren abstractielaagdefinities lokaliseren. U kunt de lokalisatiedialoogvensters op de volgende manieren openen: De lokalisatietekst definiëren voor Actie Alle items in de directory-abstractielaag die kunnen worden gelokaliseerd Klik op Set Global Localization (Globale lokalisatie instellen) (op de werkbalk van de editor voor de directory-abstractielaag). Zorg ervoor dat u eerst de doeltaal selecteert voordat u de gelokaliseerde tekst in het doelveld invoert. Een specifieke eenheid, relatie of lijst Eén weergavelabel Selecteer het object dat u wilt lokaliseren in de structuurweergave van de editor voor de directoryabstractielaag. Klik hierop met de rechtermuisknop en selecteer Lokaliseren. Zorg ervoor dat u eerst de doeltaal selecteert voordat u de gelokaliseerde tekst in het doelveld invoert. Selecteer een specifieke eenheid of een specifiek attribuut. Klik op Localize Display Label (Weergavelabel lokaliseren) (naast het veld Weergavelabel in het eigenschappenvenster). De dialoogvensters zien er mogelijk niet precies hetzelfde uit, maar bevatten wel allemaal de volgende velden: Origin (Oorsprong): dit is normaal gesproken het objecttype (zoals eenheid, lijst of relatie) en de sleutel Source (Bron): de tekst die moet worden vertaald (weergavelabel) Target Language (Doeltaal): een van de ondersteunde talen Doel: de vertaalde tekst 4.8 Definities voor de directory-abstractielaag importeren, valideren en implementeren. U kunt de definities voor de directory-abstractielaag importeren, valideren en implementeren vanuit de Provisioning View (Weergave Toegangsbeheer) van de designer. Sectie 4.8.1, Informatie over importeren, op pagina 112 Sectie 4.8.2, Informatie over validatie, op pagina 114 Sectie 4.8.3, Informatie over implementatie, op pagina 114 De directory-abstractielaag configureren 111

120 4.8.1 Informatie over importeren Met de importfunctie kunt u een set bestaande definities importeren. Dit is handig wanneer: U een nieuw project wilt beginnen op basis van een geïmplementeerd project. U definities wilt delen met andere ontwikkelaars die aan hetzelfde project werken, bijvoorbeeld wanneer een andere ontwikkelaar een attribuut aan de gebruikerseenheid toevoegt of een nieuwe globale lijst toevoegt. Als de ontwikkelaar de nieuwe definitie in de opslagplaats voor ID's implementeert, kunt u deze importeren, zodat u en de andere ontwikkelaars met identieke definities werken. Bestaande definities importeren: 1 Open de Provisioning View (Weergave Toegangsbeheer). 2 Bepaal wat u wilt importeren: Een volledige set definities Een set met één definitietype, zoals alle eenheden of alle relaties Een specifiek object (zoals de eenheid Gebruiker) 3 Als u: Een specifiek object wilt importeren, selecteert u dit in de lijst, klikt u hierop met de rechtermuisknop en selecteert u Import Object (Object importeren). Een volledige set definities wilt importeren, selecteert u het knooppunt Directoryabstractielaag, klikt u hierop met de rechtermuisknop en selecteert u Import All (Alles importeren) of Import Object (Object importeren). 4 Klik op het pictogram edirectory Browse (Bladeren in edirectory), navigeer naar het knooppunt Directorymodel en selecteer de objecten die u wilt importeren. Klik vervolgens op OK. Als de objecten overeenkomen, ontvangt u een melding dat er geen verschillen zijn en worden de objecten niet geïmporteerd. Als de objecten niet overeenkomen, kunt u de objecten bevestigen die u wilt importeren. Bekijk de items die zijn geselecteerd voor de import, breng desgewenst wijzigingen aan en klik op OK. Importvoorkeuren instellen Via importvoorkeuren kunt u opgeven hoe conflicten tussen de gegevens in de opslagplaats voor ID's en de lokale bestanden voor de directory-abstractielaag in de designer moeten worden opgelost. Deze conflicten kunnen optreden, omdat verschillende gebruikers en hulpprogramma's toegang hebben tot de definities voor de directory-abstractielaag van de opslagplaats voor ID's. De definities kunnen door andere beheerders of ontwikkelaars worden gewijzigd met imanager-hulpprogramma's of eigen lokale designerprojecten. Wanneer er conflicten optreden tussen de definities in het lokale bestandssysteem en de opslagplaats voor ID's, kunt u met deze voorkeuren opgeven hoe de conflicten moeten worden opgelost. Importvoorkeuren instellen: 1 Kies Venster>Voorkeuren. 112 Identity Manager-gebruikerstoepassing: beheerdershandleiding

121 2 Open het knooppunt Toegangsbeheer van de structuur en klik op Importeren. 3 Kies de voorkeuren: Voorkeur Modified external object will overwrite modified local object (Gewijzigd lokaal object wordt overschreven door gewijzigd extern object) Unmodified local copy overwritten by externally recreated object (Extern opnieuw gemaakt object overschreven door ongewijzigde lokale kopie) Beschrijving Het lokale bestand en de definities in de opslagplaats voor ID's bevatten wijzigingen. De lokale wijzigingen zijn nog niet geïmplementeerd. Schakel deze optie in als u wilt dat de wijzigingen in het lokale bestand worden overschreven door het object in de opslagplaats voor ID's. Het object in de opslagplaats voor ID's is verwijderd en vervolgens opnieuw gemaakt. De set van het lokale bestand bevat de oorspronkelijke definitie zonder wijzigingen. Schakel deze optie in als u wilt dat de lokale kopie wordt overschreven door de import. External object overwrites modified local object (Gewijzigd lokaal object wordt overschreven door extern object) Het lokale bestand bevat wijzigingen die niet in de opslagplaats voor ID's zijn geïmplementeerd. Schakel deze optie in als u wilt dat de lokale bestanden worden overschreven bij de import. De directory-abstractielaag configureren 113

122 Voorkeur External object overwrites deleted local object (Verwijderd lokaal object wordt overschreven door extern object) Beschrijving U hebt een definitie lokaal verwijderd, maar hebt de wijzigingen niet geïmplementeerd. Dit houdt in dat het object nog steeds bestaat in de opslagplaats voor ID's. Schakel deze optie in als u wilt dat de objecten in de opslagplaats voor ID's naar het lokale bestandssysteem worden gekopieerd. Als u deze optie kiest, verliest u de wijzigingen die niet zijn geïmplementeerd Informatie over validatie U kunt de gegevensdefinities van de directory-abstractielaag op het lokale systeem valideren voordat u deze implementeert. Tijdens de validatie: Wordt gecontroleerd of de XML juist is gevormd en of deze voldoet aan het schema waarin de elementen voor eenheden, attributen, lijsten, relaties, enzovoort worden gedefinieerd. Worden alle eenheden gecontroleerd op de geldigheid van de verwijzingen naar andere eenheden en globale lijsten. Wanneer u bijvoorbeeld een eenheid en de bijbehorende attributen valideert, wordt gecontroleerd of alle verwijzingen naar andere eenheden via de velden Edit Entity (Eenheid bewerken), DN zoeken en Detail Entity (Detaileenheid) verwijzen naar bestaande eenheden. Wordt gecontroleerd of voor elke eenheid minimaal één attribuut is gedefinieerd. Wordt gecontroleerd of alle lokale en globale lijsten minimaal één item bevatten. U kunt de gewenste definities valideren vanuit de Provisioning View (Weergave Toegangsbeheer). Als u: Alle items in een knooppunt wilt valideren, selecteert u het knooppunt, klikt u hierop met de rechtermuisknop en selecteert u Validate (Valideren). Eén object in een knooppunt wilt valideren, selecteert u het object, klikt u hierop met de rechtermuisknop en selecteert u Validate (Valideren). U kunt alle definities valideren door op de knop Validate Abstraction Layer (Abstractielaag valideren) op de werkbalk voor de directory-abstractielaag te klikken. OPMERKING: bij de validatie wordt niet gecontroleerd of bepaalde objecten bestaan in de opslagplaats voor ID's Informatie over implementatie U moet de definities in een opslagplaats voor ID's implementeren voordat de resulterende wijzigingen in de Identity Manager-gebruikerstoepassing worden weergegeven. Een set definities in een opslagplaats voor ID's implementeren: 1 Sla alle wijzigingen op die u hebt aangebracht met de editor voor de directory-abstractielaag. Als u de wijzigingen niet opslaat voordat u de implementatie start, wordt een dialoogvenster weergegeven met de definities die niet zijn opgeslagen. U wordt hierin gevraagd de meest 114 Identity Manager-gebruikerstoepassing: beheerdershandleiding

123 recente wijzigingen op te slaan. Als u de wijzigingen niet opslaat, wordt het object wel geïmplementeerd op de server, maar worden de niet-opgeslagen wijzigingen hier niet in opgenomen. De implementatie wordt niet geannuleerd wanneer u de wijzigingen niet opslaat. 2 Open de Provisioning View (Weergave Toegangsbeheer). 3 Bepaal of u alle objecten wilt implementeren die zijn gedefinieerd met de editor voor de directory-abstractielaag of een subset hiervan. Alle objecten implementeren: Selecteer het hoofdknooppunt, klik hierop met de rechtermuisknop en kies Deploy All (Alles implementeren). Een specifieke eenheid, relatie, lijst of configuratie-instelling implementeren: Selecteer het item, klik hierop met de rechtermuisknop en kies Deploy object (Object implementeren). U wordt mogelijk gevraagd om identificatiegegevens voor de opslagplaats voor ID's. De validatie wordt uitgevoerd met de editor en eventuele validatieberichten worden in een dialoogvenster weergegeven. Reageer op de validatieberichten door de items die u wilt implementeren in- of uit te schakelen. Wanneer u de implementatieselecties hebt gemaakt en verzonden, ontvangt u een melding over het slagen of mislukken van de implementatie. Implementatievoorkeuren instellen Via implementatievoorkeuren kunt u opgeven hoe conflicten tussen de gegevens in de opslagplaats voor ID's en de lokale bestanden voor de directory-abstractielaag in de designer moeten worden opgelost. Conflicten kunnen optreden wanneer andere gebruikers wijzigingen in de opslagplaats voor ID's hebben geïmplementeerd en deze wijzigingen niet zijn doorgevoerd in de definities op uw lokale bestandssysteem. U kunt voorkeuren instellen met de gewenste oplossing van conflicten om ervoor te zorgen dat conflicten juist worden verwerkt. Implementatievoorkeuren instellen: 1 Kies Venster>Voorkeuren. De directory-abstractielaag configureren 115

124 2 Open het knooppunt Toegangsbeheer van de structuur en klik op Implementeren. 3 Geef de algemene implementatievoorkeuren op: 116 Identity Manager-gebruikerstoepassing: beheerdershandleiding

125 Voorkeur Set delete from identity vault as default for all Confirm Delete dialogs (Verwijderen uit opslagplaats voor ID's instellen als standaard voor alle dialoogvensters 'Verwijderen bevestigen') Beschrijving Als u een object wilt verwijderen in de Provisioning view (Weergave Toegangsbeheer) of in de editor van de directory-abstractielaag, wordt u gevraagd het verwijderen te bevestigen in een dialoogvenster, zoals hier wordt weergegeven: Allow deployment of objects with validation errors (Implementeren van objecten met validatiefouten toestaan) Allow deployment of unmodified objects that will overwrite externally modified newer version (Implementeren van ongewijzigde objecten toestaan die extern gewijzigde versie overschrijven) Met deze voorkeur wordt bepaald of het selectievakje met de naam Delete object in identity vault on deploy (Object in opslagplaats voor ID's verwijderen bij implementeren) in dit dialoogvenster standaard is ingeschakeld. Als u deze voorkeur inschakelt, wordt het object in de opslagplaats voor ID's standaard altijd verwijderd. Het lokale object wordt altijd verwijderd. Inschakelen: schakel deze optie in als u objecten wilt implementeren die bij de validatie niet worden goedgekeurd. In de designer worden de definities die worden geïmplementeerd, gevalideerd op basis van de validatieregels die zijn opgegeven in Sectie 4.8, Definities voor de directory-abstractielaag importeren, valideren en implementeren., op pagina 111. Uitschakelen: de definities die niet worden goedgekeurd tijdens de validatie niet implementeren. Inschakelen: als de lokale bestanden niet zijn gewijzigd, maar de objecten in de opslagplaats voor ID's wel zijn gewijzigd. Bepaal of u wilt dat de bestanden in de opslagplaats voor ID's worden overschreven door de lokale bestanden. Als dit het geval is, schakelt u deze voorkeur in. Uitschakelen: als u de nieuwere versies van de opslagplaats voor ID's wilt behouden. Wanneer u deze optie inschakelt, kunt u dit instellen als standaardgedrag door ook de voorkeur voor conflictoplossing Unmodified local copy overwrites externally modified newer version (Extern gewijzigde nieuwe versie wordt overschreven door ongewijzigde lokale kopie) in te schakelen. 4 Geef de voorkeuren voor conflictoplossingen op: De directory-abstractielaag configureren 117

126 Voorkeur Local change overwrites externally created object (Extern gemaakt object wordt overschreven door lokale wijziging) Beschrijving Inschakelen: als u wilt dat het object in de opslagplaats voor ID's wordt overschreven door het object dat u implementeert. Uitschakelen: de implementatie wordt niet uitgevoerd wanneer dit conflict optreedt. Unmodified local copy recreates externally deleted object (Extern verwijderd object wordt opnieuw gemaakt door ongewijzigde lokale kopie) Local change overwrites externally modified object (Extern gewijzigd object wordt overschreven door lokale wijziging) Local copy overwrites deleted and recreated object (Verwijderd en opnieuw gemaakt object wordt overschreven dppr lokale kopie) Unmodified local copy overwrites externally modified newer version (Extern gewijzigde nieuwe versie wordt overschreven door ongewijzigde lokale kopie) Inschakelen: als u wilt dat met het lokale object dat u implementeert een object wordt gemaakt dat eerder uit de opslagplaats voor ID's is verwijderd. Uitschakelen: de implementatie wordt niet uitgevoerd wanneer dit conflict optreedt. Inschakelen: als u wilt dat de lokale definitie altijd wordt geïmplementeerd, ook als de opslagplaats voor ID's door een andere gebruiker is gewijzigd. Uitschakelen: de implementatie wordt niet uitgevoerd wanneer dit conflict optreedt. Inschakelen: als u wilt dat het lokale object altijd wordt geïmplementeerd, ook als het object in de opslagplaats voor ID's is verwijderd of is verwijderd en opnieuw is gemaakt. Uitschakelen: de implementatie wordt niet uitgevoerd wanneer dit conflict optreedt. U kunt deze voorkeur alleen instellen wanneer u de algemene implementatievoorkeur Allow deployment of unmodified objects that will overwrite externally modified newer version (Implementeren van ongewijzigde objecten toestaan die extern gewijzigde nieuwe versie overschrijven) hebt geselecteerd. Inschakelen: als de lokale bestanden niet zijn gewijzigd, maar de objecten in de opslagplaats voor ID's wel zijn gewijzigd en u wilt dat de bestanden in de opslagplaats voor ID's standaard altijd worden overschreven door de lokale bestanden. Uitschakelen: als u de nieuwere versies van de opslagplaats voor ID's wilt behouden. 118 Identity Manager-gebruikerstoepassing: beheerdershandleiding

127 5Logboeken instellen Dit hoofdstuk bevat de volgende onderwerpen: Sectie 5.1, Informatie over gebeurtenissenlogboeken, op pagina 119 Sectie 5.2, Logboekregistratie op een Novell Audit-server, op pagina Informatie over gebeurtenissenlogboeken In de Identity Manager-gebruikerstoepassing worden logboeken geïmplementeerd met log4j, een open-source logboekpakket dat wordt geleverd door The Apache Software Foundation. Standaard worden gebeurtenisberichten vastgelegd in de systeemconsole en in het logboekbestand van de toepassingsserver op het logboekniveau INFO en hoger. U kunt ook in de gebruikerstoepassing instellen dat gebeurtenissen worden vastgelegd in Novell Audit. Gebeurtenissen worden vastgelegd in alle geactiveerde logboeken. BELANGRIJK: als u de logboeken van Novell Audit gebruikt, wordt u aangeraden de documentatie bij Novell Audit ( te raadplegen Informatie over de instellingen voor het logboekniveau Bij consolelogboeken worden synchrone schrijfbewerkingen uitgevoerd. Dit houdt in dat bij logboekregistratie problemen kunnen ontstaan met het processorgebruik en de gelijktijdigheid. U kunt de standaardinstelling voor de prioriteitswaarde instellen op FOUT door de instelling te wijzigen via <installatiemap>/jboss/server/idmprov/conf/log4j.xml. Zoek naar het hoofdknooppunt dat er als volgt uitziet: <root> <appender-ref ref="console"/> <appender-ref ref="bestand"/> </ root> Wijzig de prioriteitswaarde in: <root> <priority value="fout"/> <appender-ref ref="bestand"/> </root> Wanneer u een waarde aan het hoofdknooppunt toewijst, wordt het niveau van het hoofdknooppunt overgenomen door appenders waaraan niet expliciet een niveau is toegewezen. Standaard is aan de bestandsappender geen drempelniveau toegewezen, zodat het niveau van het hoofdknooppunt wordt gebruikt. Wanneer aan een appender in het hoofdknooppunt een drempelniveau is toegewezen, moet deze appender zijn ingesteld op FOUT of WAARSCHUWEN. Hogere foutniveau-instellingen dan WAARSCHUWEN hebben invloed op de prestaties. Logboeken instellen 119

128 5.2 Logboekregistratie op een Novell Auditserver Voer de volgende stappen uit als u de logboekregistratie wilt uitvoeren op een Novell Audit-server: Stap Handeling Voor meer informatie 1 Voeg het Identity Managertoepassingsschema aan de Novell Audit-server toe als logboektoepassing. Sectie 5.2.1, Het Identity Managertoepassingsschema aan de Novell Audit-server toevoegen als logboektoepassing, op pagina Configureer de platformagent van Novell Audit op de toepassingsserver. De platformagent is vereist op alle clients die gebeurtenissen vastleggen via Novell Audit. U kunt de platformagent configureren via het configuratiebestand voor logboekgebeurtenissen. Dit bestand bevat de configuratiegegevens die nodig zijn voor de communicatie tussen de platformagent en de Novell Audit-server. De standaardlocatie van dit bestand op de toepassingsserver is: Linux /enzovoort/logevent.conf Windows /<Windows-map>/logevent.cfg (meestal c:\windows) Geef het IP-adres of de DNS-naam van de Novell Auditserver op bij de instelling LogHost. Bijvoorbeeld: LogHost=xxx.xxx.xxx.xxx Geef andere instellingen op die nodig zijn voor de omgeving. BELANGRIJK: wanneer u het configuratiebestand voor logboekgebeurtenissen hebt gemaakt of gewijzigd, moet u de Jboss-toepassingsserver opnieuw opstarten om de wijzigingen door te voeren. Zie het gedeelte over het configureren van platformagenten ( documentation/nsureaudit) in het hoofdstuk over het logboeksysteem in de beheerdershandleiding van Novell Audit voor meer informatie over de structuur van het configuratiebestand voor logboekgebeurtenissen. 3 Schakel logboekregistratie via Novell Audit in. Sectie 5.2.2, Audit-logboeken inschakelen, op pagina Identity Manager-gebruikerstoepassing: beheerdershandleiding

129 5.2.1 Het Identity Manager-toepassingsschema aan de Novell Audit-server toevoegen als logboektoepassing Voer de volgende stappen uit om Audit zo te configureren dat de Identity Managergebruikerstoepassing als logboektoepassing wordt gebruikt: 1 Zoek naar het volgende bestand: DirXML.lsc Platform Linux Locatie Na de installatie: /opt/novell/naudit/logschema/dirxml.lsc Windows Op de installatiemedia: /nt/dirxml/nsure_audit/nauditextensions/lsc/ dirxml.lsc 2 Open imanager via een webbrowser en meld u aan als beheerder. 3 Ga naar Roles and Tasks (Rollen en taken)> Auditing and Logging (Validatie en logboekregistratie) en selecteer Logging Server Options (Opties voor logboekserver). 4 Blader naar de container voor logboekservices in de structuur en selecteer de juiste beveiligde logboekserver van Audit. Klik vervolgens op OK. 5 Ga naar het tabblad Log Applications (logboektoepassingen), selecteer de gewenste containernaam en klik op de koppeling New Log Application (Nieuwe logboektoepassing). 6 Geef het volgende op wanneer het dialoogvenster New Log Application (Neuwe logboektoepassing) wordt weergegeven: Instelling Log Application Name (Naam logboektoepassing) Import LSC File (LSC-bestand importeren) Handeling Typ een naam die duidelijk is in de omgeving. Selecteer het bestand DirXML.lsc met de knop Bladeren. Klik vervolgens op OK. Op het tabblad Log Applications (Logboektoepassingen) wordt de toegevoegde toepassingsnaam weergegeven. 7 Klik op OK om de configuratie van de Novell Audit-server te voltooien. 8 Controleer of de logboektoepassing is ingeschakeld. (De cirkel onder de status moet groen zijn. Als deze rood is, klikt u hierop om deze in te schakelen.) Logboeken instellen 121

130 9 Start de Novell Audit-server opnieuw op om de instellingen van de nieuwe logboektoepassing te activeren Audit-logboeken inschakelen Novell Audit-logboeken inschakelen in de Identity Manager-gebruikerstoepassing: 1 Meld u bij de gebruikerstoepassing aan als beheerder. 2 Selecteer het tabblad Beheer. 3 Selecteer het tabblad Logboek. 4 Schakel het selectievakje Tevens logboekberichten verzenden naar Audit in (onder aan het tabblad). 5 Schakel Logboekwijzigingen permanent opslaan in als u wilt dat de wijzigingen behouden blijven bij de volgende keren dat de toepassingsserver wordt opgestart De gebeurtenissen die in het logboek worden opgenomen Met de Identity Manager-gebruikerstoepassing wordt automatisch een set gebeurtenissen uit werkstroom-, zoek-, detail- en wachtwoordaanvragen in het logboek opgenomen. Standaard worden via de Identity Manager-gebruikerstoepassing de volgende gebeurtenissen automatisch in alle actieve logboekkanalen opgenomen: Gebeurteni s-id Proces Gebeurtenis Ernst Portlet Detail Delete_Entity Info Update_Entity Info Portlet Wachtwoord wijzigen Change_Password_Failure Fout Change_Password_Success Info Portlet Wachtwoord vergeten Forgot_Password_Change_Failure Fout Forgot_Password_Change_Success Info Portlet Zoeken Search_Request Info Search_Saved Info Portlet Maken Create_Entity Info 122 Identity Manager-gebruikerstoepassing: beheerdershandleiding

131 Gebeurteni s-id Proces Gebeurtenis Ernst Werkstroom Workflow_Error Fout Workflow_Started Info Workflow_Forwarded Info Workflow_Reassigned Info Workflow_Approved Info Workflow_Refused Info Workflow_Ended Info Workflow_Claimed Info Workflow_Unclaimed Info Workflow_Denied Info 3152A Workflow_Completed Info 3152B Workflow_Timedout Info 3152C User_Message Info Workflow_Retracted Info 3152D Toegangsbeheer Provision_Error Fout 3152E Provision_Submitted Info 3152F Provision_Success Info Provision_Failure Fout Provision_Granted Info Provision_Revoked Info Logboeken instellen 123

132 Gebeurteni s-id Proces Gebeurtenis Ernst Beveiligingscontext Create_Proxy_Definition_Success Info Create_Proxy_Definition_Failure Fout Update_Proxy_Definition_Success Info Update_Proxy_Definition_Failure Fout Delete_Proxy_Definition_Success Info Delete_Proxy_Definition_Failure Fout Create_Delegatee_Definition_Success Info Create_Delegatee_Definition_Failure Fout Update_Delegatee_Definition_Success Info Update_Delegatee_Definition_Failure Fout 3145A Delete_Delegatee_Definition_Success Info 3145B Delete_Delegatee_Definition_Failure Fout 3145C Create_Availability_Success Info 3145D Create_Availability_Failure Fout 3145E Delete_Availability_Success Info 3145F Delete_Availability_Failure Fout Logboekrapporten Als u gebeurtenissen in een logboek vastlegt via het Novell Audit-databasekanaal, kunt u rapporten uitvoeren op basis van de gegevens. U kunt op verschillende manieren rapporten genereren voor gegevens die zijn vastgelegd in een Novell Audit-database: Met de toepassing voor Novell Audit-rapporten kunt u uw eigen rapporten of vooraf gedefinieerde rapporten uitvoeren die hieronder worden beschreven in Vooraf gedefinieerde logboekrapporten op pagina 124. U kunt query's schrijven voor de vastgelegde gegevens door in imanager Auditing and Logging (Valideren en logboekregistratie)>query's te selecteren. U kunt zelf SQL-query's schrijven voor de vastgelegde gegevens. De standaardtabel van Novell Audit heeft de naam NAUDITLOG. Vooraf gedefinieerde logboekrapporten De volgende vooraf gedefinieerde logboekrapporten worden gemaakt in de Crystal Reports-indeling (.rpt), zodat u op gegevens kunt filteren die zijn vastgelegd in de Novell Audit-database: 124 Identity Manager-gebruikerstoepassing: beheerdershandleiding

133 Rapportnaam Administrative Action Report (Rapport Beheeractie) Beschrijving Hierin worden alle beheeracties weergegeven die zijn uitgevoerd vanuit de portal van de Identity Managergebruikerstoepassing. Dit rapport bevat de beheerder die de actie heeft uitgevoerd. Het rapport bevat geen beheerswijzigingen die zijn uitgevoerd met imanager of de designer voor IDM. Historical Approval Flow Report (Rapport Historische goedkeuringsstroom) Resource Provisioning report (Rapport Toegangsbeheer voor resources) Specific User Audit Trail (Validatiespoor voor specifieke gebruiker) Specific User Provisioning report (Rapport Toegangsbeheer voor specifieke gebruiker) User Provisioning report (Rapport Toegangsbeheer voor gebruikers) Hierin worden alle goedkeuringsstroomactiviteiten voor een bepaalde periode weergegeven. Hierin worden alle toegangsbeheeractiviteiten weergegeven, gesorteerd op resource. Hierin worden alle activiteiten van een bepaalde gebruiker weergegeven. Dit omvat activiteiten voor toegangsbeheer en zelfbediening. Hierin worden alle toegangsbeheeractiviteiten voor een specifieke gebruiker weergegeven. Hierin worden alle toegangsbeheeractiviteiten weergegeven, gesorteerd op gebruiker. Voorbeeldrapport Hieronder volgt een voorbeeld van het rapport Specific User Audit Trail (Validatiespoor voor specifieke gebruiker): Logboeken instellen 125

134 Locatie van rapportbestanden De rapportbestanden bevinden zich op de volgende locatie: Platform Windows Locatie /nt/dirxml/reports 126 Identity Manager-gebruikerstoepassing: beheerdershandleiding

135 U kunt deze rapporten gebruiken als sjablonen voor het maken van aangepaste rapporten in de Crystal Reports Designer. U kunt ook de rapporten uitvoeren met Audit Report (lreport.exe), een Windows-programma dat bij Novell Audit wordt geleverd. Met de vooraf gedefinieerde rapporten worden gegevens opgehaald uit de standaardlogboekdatabase naudit van Novell Audit en uit de databasetabel nauditlog. Als de Novell Audit-logboekdatabase die u gebruikt een andere naam heeft, gebruikt u de menuopdracht Set Datasource Location (Locatie van gegevensbron instellen) in Crystal Reports Designer om de databasenaam naudit te vervangen door de naam in uw omgeving. Zie het gedeelte over werken met rapporten in de documentatie bij Novell Audit ( voor meer informatie. Logboeken instellen 127

136 128 Identity Manager-gebruikerstoepassing: beheerdershandleiding

137 IIBeheer van de gebruikerstoepassing Deze hoofdstukken bevatten informatie over het configureren en beheren van de Identity Managergebruikerstoepassing via het tabblad Beheer van de gebruikersinterface. Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 Hoofdstuk 7, Paginabeheer, op pagina 137 Hoofdstuk 8, Themaconfiguratie, op pagina 175 Hoofdstuk 9, Portletbeheer, op pagina 181 Hoofdstuk 10, Portalconfiguratie, op pagina 201 Hoofdstuk 11, Beveiligingsconfiguratie, op pagina 209 Hoofdstuk 12, Logboekconfiguratie, op pagina 213 Hoofdstuk 13, Cacheconfiguratie, op pagina 219 Hoofdstuk 14, Hulpprogramma's voor het exporteren en importeren van portalgegevens, op pagina 229 III Beheer van de gebruikerstoepassing 129

138 130 Identity Manager-gebruikerstoepassing: beheerdershandleiding

139 6Het tabblad Beheer gebruiken In dit hoofdstuk wordt het tabblad Beheer van de Identity Manager-gebruikersinterface behandeld. Hierin wordt beschreven hoe u via het tabblad Beheer de Identity Manager-gebruikerstoepassing kunt configureren en beheren. De volgende onderwerpen komen aan bod: Sectie 6.1, Informatie over het tabblad Beheer, op pagina 131 Sectie 6.2, Gebruikers van het tabblad Beheer, op pagina 131 Sectie 6.3, Het tabblad Beheer openen, op pagina 132 Sectie 6.4, Beschikbare beheeracties, op pagina Informatie over het tabblad Beheer De Identity Manager-gebruikersinterface wordt voornamelijk gebruikt door eindgebruikers, die werken met de tabbladen voor identiteit-zelfbediening en toegangsbeheer op basis van werkstromen (met de module Toegangsbeheer voor Identity Manager). Deze browsergebaseerde gebruikersinterface bevat ook een tabblad Beheer, waarmee beheerders verschillende eigenschappen van de onderliggende Identity Manager-gebruikerstoepassing kunnen configureren. Het tabblad Beheer kan bijvoorbeeld voor het volgende worden gebruikt: Het thema van het uiterlijk van de gebruikersinterface wijzigen De functies van identiteit-zelfbediening aanpassen die beschikbaar zijn voor eindgebruikers Opgeven wie beheeracties kan uitvoeren Andere details van de gebruikerstoepassing beheren en de manier waarop deze wordt uitgevoerd 6.2 Gebruikers van het tabblad Beheer Het tabblad Beheer is niet zichtbaar voor de meeste gebruikers van de Identity Managergebruikersinterface. Twee typen gebruikers kunnen dit tabblad weergeven en openen: Beheerders van de gebruikerstoepassing Een beheerder van de gebruikerstoepassing is bevoegd om alle beheerfuncties van de Identity Manager-gebruikerstoepassing uit te voeren. Een beheerder kan onder andere het tabblad Beheer van de Identity Manager-gebruikersinterface openen om ondersteunde beheeracties uit te voeren. Tijdens de installatie wordt een gebruiker opgegeven als beheerder van de gebruikerstoepassing. Na de installatie kan deze gebruiker zo nodig andere beheerders van de gebruikerstoepassing opgeven via de pagina Beveiliging op het tabblad Beheer. Zie Hoofdstuk 11, Beveiligingsconfiguratie, op pagina 209 voor meer informatie. Gebruikers die worden toegestaan door de beheerders van de gebruikerstoepassing Een beheerder van de gebruikerstoepassing kan zo nodig machtigingen toewijzen aan een of meer eindgebruikers, zodat deze bepaalde pagina's op het tabblad Beheer kunnen bekijken en 6 Het tabblad Beheer gebruiken 131

140 openen. Deze machtigingen worden toegewezen via de pagina Paginabeheer op het tabblad Beheer. Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie. 6.3 Het tabblad Beheer openen Wanneer u een beheerder van de gebruikerstoepassing (of andere gemachtigde gebruiker) bent, kunt u het tabblad Beheer van de Identity Manager-gebruikersinterface openen wanneer u de Identity Manager-gebruikerstoepassing wilt beheren. Hiervoor hebt u alleen een ondersteunde webbrowser nodig. Zie de Novell Identity Manager: installatiehandleiding voor een lijst met ondersteunde webbrowsers. OPMERKING: als u met de Identity Manager-gebruikersinterface wilt werken, moet u ervoor zorgen dat in de webbrowser JavaScript is ingeschakeld. Het tabblad Beheer openen: 1 Ga in de webbrowser naar de URL voor de Identity Manager-gebruikersinterface (zoals is geconfigureerd op uw site). Bijvoorbeeld: Identity Manager-gebruikerstoepassing: beheerdershandleiding

141 De welkomstpagina voor gasten van de gebruikersinterface wordt weergegeven: 2 Klik op de koppeling Aanmelden in de paginakoptekst. U wordt gevraagd de gebruikersnaam en het wachtwoord voor de gebruikersinterface op te geven: 3 Voer de gebruikersnaam en het wachtwoord van een beheerder van de gebruikerstoepassing (of een gebruiker met machtigingen voor het tabblad Beheer) in en klik op Aanmelden. Het tabblad Beheer gebruiken 133

142 Wanneer u zich hebt aangemeld, wordt de juiste inhoud van de gebruikersinterface voor de desbetreffende gebruiker weergegeven. Bijvoorbeeld: Standaard bevindt u zich op het tabblad Identiteit-zelfbediening. 4 Klik op het tabblad Beheer. Het tabblad Beheer bevat een menu met de beheeracties die u kunt uitvoeren. Bij elke keuze hoort een bijbehorende pagina met instellingen en besturingselementen. Standaard wordt de pagina Paginabeheer weergegeven: 134 Identity Manager-gebruikerstoepassing: beheerdershandleiding

143 Zie de Identity Manager-gebruikerstoepassing: gebruikershandleiding voor meer algemene informatie over de toegang tot en het werken in de Identity Manager-gebruikersinterface. 6.4 Beschikbare beheeracties Wanneer u het tabblad Beheer hebt geopend, kunt u alle beschikbare acties gebruiken om de Identity Manager-gebruikerstoepassing te configureren en te beheren. De volgende acties zijn beschikbaar: Actie Paginabeheer Beschrijving Hiermee bepaalt u welke pagina's worden weergegeven in de Identity Managergebruikersinterface en wie toegang heeft tot deze pagina's. Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie. Thema's Hiermee bepaalt u het uiterlijk van de Identity Manager-gebruikersinterface. Zie Hoofdstuk 8, Themaconfiguratie, op pagina 175 voor meer informatie. Portletbeheer Hiermee bepaalt u welke portlets beschikbaar zijn in de Identity Managergebruikersinterface en wie toegang tot deze portlets heeft. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie. Portal Hiermee bepaalt u de portaleigenschappen van de Identity Managergebruikerstoepassing en geeft u op hoe er verbinding moet worden gemaakt tussen de gebruikerstoepassing en de opslagplaats voor ID's (LDAP-provider) Zie Hoofdstuk 10, Portalconfiguratie, op pagina 201 voor meer informatie. Beveiliging Hiermee geeft u op wie de beheerder is van de Identity Managergebruikerstoepassing. Zie Hoofdstuk 11, Beveiligingsconfiguratie, op pagina 209 voor meer informatie. Logboek Hiermee bepaalt u hoeveel logboekberichten door de Identity Managergebruikerstoepassing worden gegenereerd en geeft u op welke berichten naar Novell Audit worden gestuurd. Zie Hoofdstuk 12, Logboekconfiguratie, op pagina 213 voor meer informatie. Opslaan in cache Hiermee beheert u diverse caches die via de Identity Managergebruikerstoepassing worden bijgehouden. Zie Hoofdstuk 13, Cacheconfiguratie, op pagina 219 voor meer informatie. Hulpprogramma's Hiermee kunt u portalinhoud die in de Identity Manager-gebruikerstoepassing wordt gebruikt (pagina's en portlets) exporteren of importeren. Zie Hoofdstuk 14, Hulpprogramma's voor het exporteren en importeren van portalgegevens, op pagina 229 voor meer informatie. Het tabblad Beheer gebruiken 135

144 136 Identity Manager-gebruikerstoepassing: beheerdershandleiding

145 7Paginabeheer In dit hoofdstuk leest u hoe u de pagina Paginabeheer op het tabblad Beheer van de Identity Manager-gebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 7.1, Informatie over paginabeheer, op pagina 137 Sectie 7.2, Containerpagina's maken en onderhouden, op pagina 145 Sectie 7.3, Gedeelde pagina's maken en onderhouden, op pagina 153 Sectie 7.4, Machtigingen voor pagina's toewijzen, op pagina 163 Sectie 7.5, Standaardpagina's voor groepen instellen, op pagina 170 Sectie 7.6, Een standaard gedeelde pagina selecteren voor een containerpagina, op pagina 171 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer. 7.1 Informatie over paginabeheer Op de pagina Paginabeheer kunt u bepalen welke pagina's worden weergegeven in de Identity Manager-gebruikersinterface en wie toegang tot deze pagina's heeft. De gebruikersinterface bevat twee typen pagina's: 7 Paginatype Container Gedeeld Beschrijving Op containerpagina's hebben gedeelde pagina's een consistent uiterlijk, een consistente bedrijfscolofon en consistente navigatiefunctionaliteit. Gedeelde pagina's bevatten een samenhangende set inhoud die voor een specifiek doel wordt gebruikt (zoals het bijwerken van een gebruikersprofiel). Deze pagina's worden gedeelde pagina's genoemd, omdat ze services bevatten die door meerdere personen kunnen worden gebruikt. Beide paginatypen bevatten inhoud in de vorm van portlets (een Java-standaard voor gebruikersinterface-elementen die kunnen worden ingevoegd). Zie Hoofdstuk 9, Portletbeheer, op pagina 181 en Deel IV, Portletverwijzing, op pagina 237 voor meer informatie over portlets Informatie over containerpagina's In dit gedeelte worden enkele containerpagina's behandeld die een belangrijke rol spelen in de Identity Manager-gebruikersinterface: GuestContainerPage op pagina 138 DefaultContainerPage op pagina 140 Containerpagina beheerder op pagina 142 U kunt deze containerpagina's zo nodig wijzigen. U kunt ook uw eigen containerpagina's toevoegen. Paginabeheer 137

146 Zie Sectie 7.2, Containerpagina's maken en onderhouden, op pagina 145 voor meer informatie over containerpagina's. GuestContainerPage Standaard wordt de containerpagina GuestContainerPage weergegeven wanneer u de Identity Manager-gebruikersinterface opent voordat u zich aanmeldt. Deze containerpagina ziet er als volgt uit: 138 Identity Manager-gebruikerstoepassing: beheerdershandleiding

147 De interne lay-out van de GuestContainerPage ziet er als volgt uit: De lay-out van de GuestContainerPage is verdeeld in drie gebieden, waarin de volgende portlets worden weergegeven: Portlet HeaderPortlet Navigatie gedeelde pagina's Controller portalpagina Beschrijving Hierin worden de koptekstinformatie en de tabbesturingselementen op het hoogste niveau voor de gebruikersinterface weergegeven. Hierin wordt een verticaal menu weergegeven waarin de gebruiker een gedeelde pagina kan selecteren die moet worden weergegeven. Hierin wordt de gedeelde pagina weergegeven die de gebruiker heeft geselecteerd via de portlet Navigatie gedeelde pagina's. Standaard wordt in de desbetreffende portlets alleen het volgende weergegeven voordat de gebruikers zich aanmelden: Eén koppeling in de koptekst: Aanmelden Eén gedeelde pagina: Welkom Aangezien de gebruiker zich nog niet heeft aangemeld, worden in de portlet Navigatie gedeelde pagina's alleen gedeelde pagina's in de categorie Bezoekerspagina's weergegeven. Alle andere Paginabeheer 139

148 categorieën worden eruit gefilterd. Standaard is Welkom de enige pagina in de categorie Bezoekerspagina's. Na aanmelding wordt in de portlet Navigatie gedeelde pagina's de categorie Bezoekerspagina's eruit gefilterd. In plaats hiervan worden andere categorieën gedeelde pagina's weergegeven (op basis van de voorkeursinstellingen). Zie Hoofdstuk 15, Informatie over portlets, op pagina 239 voor meer informatie over de portlet Navigatie gedeelde pagina's. DefaultContainerPage Standaard wordt de containerpagina DefaultContainerPage weergegeven wanneer gebruikers zich hebben aangemeld bij de Identity Manager-gebruikersinterface. Deze containerpagina ziet er als volgt uit: 140 Identity Manager-gebruikerstoepassing: beheerdershandleiding

149 De interne lay-out van de DefaultContainerPage ziet er als volgt uit: De lay-out van de DefaultContainerPage is verdeeld in drie gebieden, waarin de volgende portlets worden weergegeven: Portlet HeaderPortlet Navigatie gedeelde pagina's Controller portalpagina Waarschuwing sessietime-out Beschrijving Hierin worden de koptekstinformatie en de tabbesturingselementen op het hoogste niveau voor de gebruikersinterface weergegeven. Hierin wordt een verticaal menu weergegeven waarin de gebruiker een gedeelde pagina kan selecteren die moet worden weergegeven. Hierin wordt de gedeelde pagina weergegeven die de gebruiker heeft geselecteerd via de portlet Navigatie gedeelde pagina's. Hierin wordt een waarschuwingsbericht weergegeven wanneer er een time-out optreedt voor de sessie van een gebruiker. Wanneer de gebruiker zich heeft aangemeld, wordt via de DefaultContainerPage automatisch het tabblad Identiteit-zelfbediening in HeaderPortlet weergegeven. Paginabeheer 141

150 Containerpagina beheerder Standaard wordt de containerpagina Containerpagina beheerder weergegeven wanneer beheerders van gebruikerstoepassingen (en andere bevoegde gebruikers) op het tabblad Beheer van de Identity Manager-gebruikersinterface klikken. Deze containerpagina ziet er als volgt uit: 142 Identity Manager-gebruikerstoepassing: beheerdershandleiding

151 De interne lay-out van de Containerpagina beheerder ziet er als volgt uit: De lay-out van de Containerpagina beheerder is verdeeld in twee gebieden, waarin de volgende portlets worden weergegeven: Portlet HeaderPortlet Weergave beheerlijst Controller portalpagina Waarschuwing sessietime-out Beschrijving Hierin worden de koptekstinformatie en de tabbesturingselementen op het hoogste niveau voor de gebruikersinterface weergegeven. Hierin wordt een tweede niveau tabbladen weergegeven, waar de gebruiker een beheeractie kan selecteren. Hierin wordt een gedeelde pagina weergegeven die overeenkomt met het tabblad dat door de gebruiker is geselecteerd via de portlet Weergave beheerlijst. Hierin wordt een waarschuwingsbericht weergegeven wanneer er een time-out optreedt voor de sessie van een gebruiker Informatie over gedeelde pagina's De Identity Manager-gebruikersinterface bevat een groot aantal gedeelde pagina's, waarvan de meeste inhoud zich in de containerpagina's bevindt. U kunt deze gedeelde pagina's zo nodig wijzigen. U kunt ook uw eigen gedeelde pagina's toevoegen. Paginabeheer 143

152 Zie Sectie 7.3, Gedeelde pagina's maken en onderhouden, op pagina 153 voor meer informatie over werken met gedeelde pagina's. Een typische gedeelde pagina Hieronder wordt een van deze gedeelde pagina's beschreven. Organisatie-overzicht is de standaard gedeelde pagina die via DefaultContainerPage wordt weergegeven wanneer gebruikers zich hebben aangemeld bij de Identity Manager-gebruikersinterface: Organisatie-overzicht heeft de volgende interne lay-out: De lay-out van Organisatie-overzicht bestaat uit slechts één gebied, waarin slechts één portlet (de portlet Organigram) wordt weergegeven. 144 Identity Manager-gebruikerstoepassing: beheerdershandleiding

153 7.1.3 Een uitzondering op paginagebruik In dit hoofdstuk is beschreven hoe de tabbladen op het hoogste niveau van de Identity Managergebruikersinterface op pagina's zijn gebaseerd: Het tabblad Identiteit-zelfbediening maakt gebruik van de DefaultContainerPage. Het tabblad Beheer maakt gebruik van de Containerpagina beheerder. Het tabblad Aanvragen en goedkeuringen is echter gebaseerd op een andere architectuur en kan niet worden bewerkt via Paginabeheer. 7.2 Containerpagina's maken en onderhouden De procedure voor het maken en onderhouden van containerpagina's bestaat uit de volgende stappen: 1 Maak een nieuwe containerpagina of selecteer een bestaande containerpagina, zoals wordt beschreven in Sectie 7.2.1, Containerpagina's maken, op pagina Voeg inhoud (in de vorm van portlets) aan de pagina toe, zoals wordt beschreven in Sectie 7.2.2, Inhoud aan een containerpagina toevoegen, op pagina 148. U kunt ook inhoud verwijderen van de pagina, zoals wordt beschreven in Sectie 7.2.3, Inhoud uit een containerpagina verwijderen, op pagina Kies een portal-lay-out, zoals wordt beschreven in Sectie 7.2.4, De lay-out van een containerpagina wijzigen, op pagina Bepaal de volgorde en positie van de inhoud in de geselecteerde lay-out, zoals wordt beschreven in Sectie 7.2.5, Inhoud op de containerpagina ordenen, op pagina Geef de nieuwe pagina meteen weer door de URL van de containerpagina in de browser in te voeren, zoals wordt beschreven in Sectie 7.2.6, Een containerpagina weergeven, op pagina 153. Containerpagina's en lay-outs Containerpagina's zijn niet direct aan portal-lay-outs verbonden. Dit houdt in dat u de lay-out van containerpagina's kunt wijzigen zonder de pagina-inhoud te verliezen. Wanneer u een nieuwe lay-out op een containerpagina toepast, worden de portlets die aan de pagina zijn toegevoegd automatisch weergegeven met de nieuwe lay-out. U moet de plaatsing van de inhoud in de nieuwe lay-out mogelijk aanpassen Containerpagina's maken U kunt geheel nieuwe containerpagina's maken of bestaande pagina's kopiëren. In dit gedeelte worden beide procedures beschreven. Een geheel nieuwe containerpagina maken: 1 Selecteer Containerpagina's onderhouden op de pagina Paginabeheer. Paginabeheer 145

154 Het scherm Containerpagina's onderhouden wordt weergegeven: 2 Selecteer de pagina-actie Nieuw (linksonder in het scherm). Er wordt een containerpagina zonder titel en zonder categorie gemaakt. 3 Geef de pagina-eigenschappen van de containerpagina op: Eigenschap Naam paginakoppeling (URI) Handeling Geef de URI-naam van de pagina op (zoals deze wordt weergegeven in de URL van de gebruikersinterface). Als u bijvoorbeeld de volgende URI opgeeft: MijnContainerpagina wordt deze als volgt in de URL weergegeven: portal/cn/mijncontainerpagina 146 Identity Manager-gebruikerstoepassing: beheerdershandleiding

155 Eigenschap Naam pagina Handeling Geef de weergavenaam voor de pagina op. Bijvoorbeeld: Mijn containerpagina U kunt op Lokaliseren klikken om gelokaliseerde versies van deze naam op te geven voor andere talen. Navigatieprioriteit Standaard gedeelde pagina Categorieën toewijzen Beschrijving Geef een van de volgende opties op: Geen: u hoeft geen prioriteit aan deze containerpagina toe te wijzen. Waarde instellen: u wilt een prioriteit aan deze containerpagina toewijzen op basis van andere containerpagina's. De prioriteit moet een geheel getal tussen -1 en 9999 zijn, waarbij -1 de hoogste prioriteit is en 9999 de laagste. Het is handig om prioriteitswaarden in te stellen als u een bepaalde volgorde wilt behouden wanneer pagina's worden weergegeven op prioriteit of als u een bepaalde selectie wilt instellen wanneer er meerdere standaardpagina's bestaan (in het geval van een gebruiker die tot meerdere groepen behoort). Zie Sectie 7.6, Een standaard gedeelde pagina selecteren voor een containerpagina, op pagina 171. Selecteer nul of meer van de volgende categorieën waaraan u de pagina wilt toewijzen: Beheer Algemeen Categorieën toewijzen is handig als u de juiste volgorde wilt behouden wanneer pagina's worden weergegeven op categorie of als u voor een juiste subset wilt zorgen wanneer pagina's op categorie zijn gefilterd. Typ tekst die de pagina beschrijft. 4 Klik op Pagina opslaan (onder aan het gedeelte met pagina-eigenschappen). Een containerpagina maken door een bestaande pagina te kopiëren: 1 Selecteer Containerpagina's onderhouden op de pagina Paginabeheer. Het scherm Containerpagina's onderhouden wordt weergegeven (zoals in de vorige procedure is aangegeven). 2 Selecteer de pagina die u wilt kopiëren in de lijst met containerpagina's. TIP: als de lijst lang is, kunt u deze verfijnen (per categorie of begintekst), zodat u de gewenste pagina eenvoudiger kunt vinden. 3 Selecteer de pagina-actie Kopiëren (linksonder in het scherm). Paginabeheer 147

156 Er wordt een nieuwe containerpagina gemaakt met de naam Kopie van OorspronkelijkePaginanaam. 4 Geef de pagina-eigenschappen van de containerpagina op (zoals is beschreven in de vorige procedure). 5 Klik op Pagina opslaan (onder aan het gedeelte met pagina-eigenschappen) Inhoud aan een containerpagina toevoegen Wanneer u een containerpagina hebt gemaakt, kunt u vervolgens inhoud toevoegen door portlets te selecteren die u op de pagina wilt plaatsen. U kunt vooraf gemaakte portlets gebruiken die zijn geleverd bij de Identity Manager-gebruikerstoepassing of andere portlets die u hebt geregistreerd. Inhoud aan een containerpagina toevoegen: 1 Open een nieuwe of bestaande pagina in het scherm Containerpagina's onderhouden en klik vervolgens op de paginataak Inhoud selecteren (onder in het scherm). De Inhoudsselector wordt weergegeven in een nieuw browservenster: 2 Als u een bepaalde categorie met beschikbare inhoud wilt weergeven, selecteert u een categorie in de vervolgkeuzelijst Filter. 3 Selecteer een of meer portlets in de lijst Beschikbare inhoud. 148 Identity Manager-gebruikerstoepassing: beheerdershandleiding

157 TIP: houd de Ctrl-toets ingedrukt om meerdere niet-opeenvolgende portlets in de lijst te selecteren en gebruik de Shift-toets om meerdere opeenvolgende portlets te selecteren. 4 Klik op Toevoegen om uw keuzes te verplaatsen naar de lijst Geselecteerde inhoud. 5 Klik op Voorkeuren inhoud om de voorkeuren te bewerken van een portlet die u voor de containerpagina hebt geselecteerd. De opgegeven voorkeurswaarden worden van kracht voor het portletexemplaar dat wordt weergegeven op de pagina. 6 Klik op Inhoud opslaan. Nu u de inhoud van de containerpagina hebt gekozen, kunt u een nieuwe lay-out selecteren, zoals wordt beschreven in Sectie 7.2.4, De lay-out van een containerpagina wijzigen, op pagina 150, of de inhoud in de huidige lay-out ordenen, zoals wordt beschreven in Sectie 7.2.5, Inhoud op de containerpagina ordenen, op pagina Inhoud uit een containerpagina verwijderen Tijdens het maken van containerpagina's wilt u mogelijk inhoud verwijderen door portlets uit een pagina te verwijderen. U kunt hiervoor de Inhoudsselector of Lay-out kiezen selecteren, zoals wordt beschreven in de volgende procedures. Inhoud uit een containerpagina verwijderen via de Inhoudsselector: 1 Open een pagina in het scherm Containerpagina's onderhouden en klik vervolgens op de paginataak Inhoud selecteren (onder in het scherm). De Inhoudsselector wordt weergegeven in een nieuw browservenster (zoals in de vorige procedure is beschreven). 2 Selecteer een portlet die u uit de lijst Geselecteerde inhoud wilt verwijderen en klik op Verwijderen. De portlet wordt uit de pagina verwijderd. 3 Klik op Inhoud opslaan. Inhoud uit een containerpagina verwijderen via Lay-out kiezen: 1 Open een pagina in het scherm Containerpagina's onderhouden en klik vervolgens op de paginataak Inhoud schikken (onder in het scherm). Paginabeheer 149

158 Het dialoogvenster Lay-out kiezen wordt weergegeven in een nieuw browservenster, waarin de portlets in deze pagina worden weergegeven: 2 Klik op de knop X voor de portlet die u wilt verwijderen. 3 Klik op OK wanneer u om bevestiging wordt gevraagd. De portlet wordt uit de pagina verwijderd. 4 Klik op Lay-out opslaan De lay-out van een containerpagina wijzigen Wanneer u de lay-out van een containerpagina wijzigt, wordt bestaande inhoud verschoven op basis van de nieuwe lay-out. In een aantal gevallen moet u het eindresultaat aanpassen. De lay-out van een containerpagina wijzigen: 1 Open een pagina in het scherm Containerpagina's onderhouden en klik vervolgens op de paginataak Lay-out selecteren (onder in het scherm). 150 Identity Manager-gebruikerstoepassing: beheerdershandleiding

159 De lijst Portal-lay-outs wordt in een nieuw browservenster weergegeven: 2 Blader door de keuzes en selecteer de gewenste lay-out. 3 Klik op Lay-out selecteren Inhoud op de containerpagina ordenen Wanneer u de inhoud en lay-out voor de containerpagina hebt ingesteld, kunt u de inhoud in de geselecteerde lay-out ordenen, andere portlets op specifieke locaties toevoegen of portlets verwijderen. Inhoud op een containerpagina ordenen: 1 Open een pagina in het scherm Containerpagina's onderhouden en klik vervolgens op de paginataak Inhoud schikken (onder in het scherm). Paginabeheer 151

160 Het dialoogvenster Lay-out kiezen wordt weergegeven in een nieuw browservenster, waarin de portlets op deze pagina worden weergegeven: 2 Ga als volgt te werk om een portlet toe te voegen aan de pagina: 2a Klik op Inhoud toevoegen in het gewenste lay-outframe. Het dialoogvenster Portletselector wordt in een nieuw browservenster weergegeven. 2b Als u een bepaalde categorie met beschikbare inhoud wilt weergeven, selecteert u een categorie in de vervolgkeuzelijst Filter. 2c Selecteer de gewenste portlet in de lijst Beschikbare inhoud. 2d Klik op Inhoud selecteren. Het dialoogvenster Portletselector wordt gesloten en de geselecteerde portlet wordt weergegeven in het doellay-outframe van het dialoogvenster Lay-out kiezen. 3 Voer de volgende browserspecifieke stappen uit als u een portlet wilt verplaatsen naar een andere locatie in de lay-out: Browser Internet Explorer Handeling 1. Plaats de cursor op de titelbalk van de portlet totdat de cursor verandert in een hand. 2. Houd de linkermuisknop ingedrukt en sleep de portlet naar de gewenste locatie in de lay-out. 152 Identity Manager-gebruikerstoepassing: beheerdershandleiding

161 Browser Mozilla Handeling 1. Klik op de portlet die u wilt verplaatsen. 2. Klik binnen het doellay-outframe. De portlet wordt naar het doel verplaatst. 4 Ga als volgt te werk om een portlet te verwijderen uit de lay-out: 4a Klik op de knop X voor de portlet die u wilt verwijderen. 4b Klik op OK wanneer u om bevestiging wordt gevraagd. De portlet wordt uit de lay-out verwijderd. 5 Ga als volgt te werk om de voorkeuren te bewerken van een portlet: 5a Klik op de knop met het potlood voor de portlet die u wilt bewerken. De inhoudsvoorkeuren van de portlet worden weergegeven in de browser. 5b Wijzig de voorkeurswaarden. De opgegeven voorkeurswaarden worden van kracht voor het portletexemplaar dat wordt weergegeven op de pagina. 5c Klik op Voorkeuren opslaan. 6 Klik op Lay-out opslaan om de wijzigingen vast te leggen en het dialoogvenster Lay-out kiezen te sluiten Een containerpagina weergeven U kunt de pagina weergeven door de URL van de containerpagina in de browser te openen. Een containerpagina weergeven: Ga in de webbrowser naar de volgende URL: U kunt bijvoorbeeld de containerpagina MijnContainerpagina als volgt weergeven: Gedeelde pagina's maken en onderhouden De procedure voor het maken en onderhouden van gedeelde pagina's bestaat uit de volgende stappen: 1 Maak een nieuwe gedeelde pagina of selecteer een bestaande gedeelde pagina, zoals wordt beschreven in Sectie 7.3.1, Gedeelde pagina's maken, op pagina Voeg inhoud (in de vorm van portlets) aan de pagina toe, zoals wordt beschreven in Sectie 7.3.2, Inhoud aan een gedeelde pagina toevoegen, op pagina 158. Paginabeheer 153

162 U kunt ook inhoud verwijderen uit de pagina, zoals wordt beschreven in Sectie 7.3.3, Inhoud uit een gedeelde pagina verwijderen, op pagina Kies een portal-lay-out, zoals wordt beschreven in Sectie 7.3.4, De lay-out van een gedeelde pagina wijzigen, op pagina Bepaal de volgorde en positie van de inhoud in de geselecteerde lay-out, zoals wordt beschreven in Sectie 7.3.5, Inhoud op de gedeelde pagina ordenen, op pagina Geef de nieuwe pagina meteen weer door de URL van de gedeelde pagina in de browser in te voeren, zoals wordt beschreven in Sectie 7.2.6, Een containerpagina weergeven, op pagina 153. Gedeelde pagina's en lay-outs Gedeelde pagina's zijn niet direct aan portal-lay-outs verbonden. Dit houdt in dat u de lay-out van gedeelde pagina's kunt wijzigen zonder de pagina-inhoud te verliezen. Wanneer u een nieuwe lay-out toepast, worden de portlets die aan de pagina zijn toegevoegd automatisch weergegeven met de nieuwe lay-out. U moet de plaatsing van de inhoud in de nieuwe lay-out mogelijk aanpassen Gedeelde pagina's maken U kunt geheel nieuwe gedeelde pagina's maken of bestaande pagina's kopiëren. In dit gedeelte worden beide procedures beschreven. Een geheel nieuwe gedeelde pagina maken: 1 Selecteer Gedeelde pagina's onderhouden op de pagina Paginabeheer. 154 Identity Manager-gebruikerstoepassing: beheerdershandleiding

163 Het scherm Gedeelde pagina's onderhouden wordt weergegeven: 2 Selecteer de pagina-actie Nieuw (linksonder in het scherm). Er wordt een gedeelde pagina zonder titel en zonder categorie gemaakt. 3 Geef de pagina-eigenschappen van de gedeelde pagina op: Eigenschap Naam paginakoppeling (URI) Handeling Geef de URI-naam van de pagina op (zoals deze wordt weergegeven in de URL van de gebruikersinterface). Als u bijvoorbeeld de volgende URI opgeeft: MijnGedeeldePagina wordt deze als volgt in de URL weergegeven: portal/cn/mijncontainerpagina/ MijnGedeeldePagina Paginabeheer 155

164 Eigenschap Naam pagina Handeling Geef de weergavenaam voor de pagina op. Bijvoorbeeld: Mijn gedeelde pagina U kunt op Lokaliseren klikken om gelokaliseerde versies van deze naam op te geven voor andere talen. Navigatieprioriteit Bovenliggende pagina Geef een van de volgende opties op: Geen: u hoeft geen prioriteit aan deze gedeelde pagina toe te wijzen. Waarde instellen: u wilt een prioriteit aan deze gedeelde pagina toewijzen op basis van andere gedeelde pagina's. De prioriteit moet een geheel getal tussen -1 en 9999 zijn, waarbij -1 de hoogste prioriteit is en 9999 de laagste. Het is handig om prioriteitswaarden in te stellen als u een bepaalde volgorde wilt behouden wanneer pagina's worden weergegeven op prioriteit of als u een bepaalde selectie wilt instellen wanneer er meerdere standaardpagina's bestaan (in het geval van een gebruiker die tot meerdere groepen behoort). Klik op Bovenliggende selecteren als u deze gedeelde pagina wilt instellen als de onderliggende pagina van een andere gedeelde pagina. Controleer of de bovenliggende en onderliggende pagina tot dezelfde categorieën behoren (om weergaveproblemen te voorkomen). Tijdens runtime ziet de eindgebruiker deze relatie bij het gebruik van de portlet Navigatie gedeelde pagina's. Wanneer u de lijst met gedeelde pagina's weergeeft, worden onderliggende items ingesprongen onder de bovenliggende items weergegeven. (Onderliggende pagina's nemen geen inhoud, voorkeuren of instellingen over van de bovenliggende pagina's. Op dezelfde manier wordt op bovenliggende pagina's ook niet automatisch de inhoud van de onderliggende pagina's samen met de eigen inhoud weergegeven.) 156 Identity Manager-gebruikerstoepassing: beheerdershandleiding

165 Eigenschap Categorieën toewijzen Handeling Selecteer nul of meer van de volgende categorieën waaraan u de pagina wilt toewijzen: Beheer Directorybeheer Algemeen Bezoekerspagina's Informatiebeheer Wachtwoordbeheer Categorieën toewijzen is handig als u de juiste volgorde wilt behouden wanneer pagina's worden weergegeven op categorie of als u voor een juiste subset wilt zorgen wanneer pagina's op categorie zijn gefilterd. Beschrijving OPMERKING: Bezoekerspagina's is een speciale categorie waarin gedeelde pagina's worden aangegeven die kunnen worden weergegeven voordat de gebruiker zich aanmeldt (en niet nadat de gebruiker zich heeft aangemeld). Zie de sectie over de portlet Navigatie gedeelde pagina's in Hoofdstuk 15, Informatie over portlets, op pagina 239 voor meer informatie. Typ tekst die de pagina beschrijft. 4 Klik op Pagina opslaan (onder aan het gedeelte met pagina-eigenschappen). Een gedeelde pagina maken door een bestaande pagina te kopiëren: 1 Selecteer Gedeelde pagina's onderhouden op de pagina Paginabeheer. Het scherm Gedeelde pagina's onderhouden wordt weergegeven (zoals in de vorige procedure is aangegeven). 2 Selecteer de pagina die u wilt kopiëren in de lijst met gedeelde pagina's. TIP: als de lijst lang is, kunt u deze verfijnen (per categorie of begintekst), zodat u de gewenste pagina eenvoudiger kunt vinden. 3 Selecteer de pagina-actie Kopiëren (linksonder in het scherm). Er wordt een nieuwe gedeelde pagina gemaakt met de naam Kopie van OorspronkelijkePaginanaam. 4 Geef de pagina-eigenschappen van de gedeelde pagina op (zoals is beschreven in de vorige procedure). 5 Klik op Pagina opslaan (onder aan het gedeelte met pagina-eigenschappen). Paginabeheer 157

166 7.3.2 Inhoud aan een gedeelde pagina toevoegen Wanneer u een gedeelde pagina hebt gemaakt, kunt u vervolgens inhoud toevoegen door portlets te selecteren die u op de pagina wilt plaatsen. U kunt vooraf gemaakte portlets gebruiken die zijn geleverd bij de Identity Manager-gebruikerstoepassing of andere portlets die u hebt geregistreerd. Inhoud aan een gedeelde pagina toevoegen: 1 Open een nieuwe of bestaande pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Inhoud selecteren (onder in het scherm). De Inhoudsselector wordt weergegeven in een nieuw browservenster: 2 Als u een bepaalde categorie met beschikbare inhoud wilt weergeven, selecteert u een categorie in de vervolgkeuzelijst Filter. 3 Selecteer een of meer portlets in de lijst Beschikbare inhoud. TIP: houd de Ctrl-toets ingedrukt om meerdere niet-opeenvolgende portlets in de lijst te selecteren en gebruik de Shift-toets om meerdere opeenvolgende portlets te selecteren. 4 Klik op Toevoegen om uw keuzes te verplaatsen naar de lijst Geselecteerde inhoud. 5 Klik op Voorkeuren inhoud om de voorkeuren te bewerken van een portlet die u voor de gedeelde pagina hebt geselecteerd. De opgegeven voorkeurswaarden worden van kracht voor het portletexemplaar dat wordt weergegeven op de pagina. 158 Identity Manager-gebruikerstoepassing: beheerdershandleiding

167 6 Klik op Inhoud opslaan. Nu u de inhoud van de gedeelde pagina hebt gekozen, kunt u een nieuwe lay-out selecteren, zoals wordt beschreven in Sectie 7.3.4, De lay-out van een gedeelde pagina wijzigen, op pagina 160 of de inhoud in de huidige lay-out ordenen, zoals wordt beschreven in Sectie 7.3.5, Inhoud op de gedeelde pagina ordenen, op pagina Inhoud uit een gedeelde pagina verwijderen Tijdens het maken van gedeelde pagina's wilt u mogelijk inhoud verwijderen door portlets uit een pagina te verwijderen. U kunt hiervoor de Inhoudsselector of Lay-out kiezen selecteren, zoals wordt beschreven in de volgende procedures. Inhoud uit een gedeelde pagina verwijderen via de Inhoudsselector: 1 Open een pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Inhoud selecteren (onder in het scherm). De Inhoudsselector wordt weergegeven in een nieuw browservenster (zoals in de vorige procedure is beschreven). 2 Selecteer een portlet die u uit de lijst Geselecteerde inhoud wilt verwijderen en klik op Verwijderen. De portlet wordt uit de pagina verwijderd. 3 Klik op Inhoud opslaan. Inhoud uit een gedeelde pagina verwijderen via Lay-out kiezen: 1 Open een pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Inhoud schikken (onder in het scherm). Paginabeheer 159

168 Het dialoogvenster Lay-out kiezen wordt weergegeven in een nieuw browservenster, waarin de portlets op deze pagina worden weergegeven: 2 Klik op de knop X voor de portlet die u wilt verwijderen. 3 Klik op OK wanneer u om bevestiging wordt gevraagd. De portlet wordt uit de pagina verwijderd. 4 Klik op Lay-out opslaan De lay-out van een gedeelde pagina wijzigen Wanneer u de lay-out van een gedeelde pagina wijzigt, wordt bestaande inhoud verschoven op basis van de nieuwe lay-out. In een aantal gevallen moet u het eindresultaat aanpassen. De lay-out van een gedeelde pagina wijzigen: 1 Open een pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Lay-out selecteren (onder in het scherm). 160 Identity Manager-gebruikerstoepassing: beheerdershandleiding

169 De lijst Portal-lay-outs wordt in een nieuw browservenster weergegeven: 2 Blader door de keuzes en selecteer de gewenste lay-out. 3 Klik op Lay-out selecteren Inhoud op de gedeelde pagina ordenen Wanneer u de inhoud en lay-out voor de gedeelde pagina hebt ingesteld, kunt u de inhoud in de geselecteerde lay-out ordenen, andere portlets op specifieke locaties toevoegen of portlets verwijderen. Inhoud op een gedeelde pagina ordenen: 1 Open een pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Inhoud schikken (onder aan de pagina). Paginabeheer 161

170 Het dialoogvenster Lay-out kiezen wordt weergegeven in een nieuw browservenster, waarin de portlets op deze pagina worden weergegeven: 2 Ga als volgt te werk om een portlet toe te voegen aan de pagina: 2a Klik op Inhoud toevoegen in het gewenste lay-outframe. Het dialoogvenster Portletselector wordt in een nieuw browservenster weergegeven. 2b Als u een bepaalde categorie met beschikbare inhoud wilt weergeven, selecteert u een categorie in de vervolgkeuzelijst Filter. 2c Selecteer de gewenste portlet in de lijst Beschikbare inhoud. 2d Klik op Inhoud selecteren. Het dialoogvenster Portletselector wordt gesloten en de geselecteerde portlet wordt weergegeven in het doellay-outframe van het dialoogvenster Lay-out kiezen. 3 Voer de volgende browserspecifieke stappen uit als u een portlet wilt verplaatsen naar een andere locatie in de lay-out: Browser Internet Explorer Handeling 1. Plaats de cursor op de titelbalk van de portlet totdat de cursor verandert in een hand. 2. Houd de linkermuisknop ingedrukt en sleep de portlet naar de gewenste locatie in de lay-out. 162 Identity Manager-gebruikerstoepassing: beheerdershandleiding

171 Browser Mozilla Handeling 1. Klik op de portlet die u wilt verplaatsen. 2. Klik binnen het doellay-outframe. De portlet wordt naar het doel verplaatst. 4 Ga als volgt te werk om een portlet te verwijderen uit de lay-out: 4a Klik op de knop X voor de portlet die u wilt verwijderen. 4b Klik op OK wanneer u om bevestiging wordt gevraagd. De portlet wordt uit de lay-out verwijderd. 5 Ga als volgt te werk om de voorkeuren te bewerken van een portlet: 5a Klik op de knop met het potlood voor de portlet die u wilt bewerken. De inhoudsvoorkeuren van de portlet worden weergegeven in de browser. 5b Wijzig de voorkeurswaarden. De opgegeven voorkeurswaarden worden van kracht voor het portletexemplaar dat wordt weergegeven op de pagina. 5c Klik op Voorkeuren opslaan. 6 Klik op Lay-out opslaan om de wijzigingen vast te leggen en het dialoogvenster Lay-out kiezen te sluiten Een gedeelde pagina weergeven U kunt de pagina weergeven door de URL van de gedeelde pagina in de browser te openen. Een gedeelde pagina weergeven: Ga in de webbrowser naar de volgende URL: U kunt bijvoorbeeld de gedeelde pagina MijnGedeeldePagina als volgt weergeven: Machtigingen voor pagina's toewijzen U kunt machtigingen toewijzen aan andere gebruikers, groepen en containers die u wilt gebruiken voor specifieke containerpagina's en gedeelde pagina's. U kunt twee beveiligingsniveaus voor machtigingen toewijzen: Paginabeheer 163

172 Machtiging Beschrijving Kan worden toegewezen voor Weergeven Eigendom Hiermee kan een gebruiker, groep of container de pagina openen en weergeven in een lijst met beschikbare pagina's. Hiermee kan een gebruiker, groep of container de inhoud en lay-out van de pagina wijzigen en de machtigingen Weergeven en Eigendom toewijzen aan andere gebruikers, groepen en containers. Containerpagina's en gedeelde pagina's Gedeelde pagina's De machtiging Weergeven voor een pagina toewijzen Wanneer u aan gebruikers de machtiging Weergeven toewijst voor een containerpagina of een gedeelde pagina, kunnen deze de pagina openen en weergeven in een lijst met beschikbare pagina's. De machtiging Weergeven toewijzen voor containerpagina's of gedeelde pagina's: 1 Open een pagina in het scherm Containerpagina's onderhouden of Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Machtigingen toewijzen (onder aan het scherm). Het dialoogvenster Machtigingen pagina wordt weergegeven in een nieuw browservenster. 164 Identity Manager-gebruikerstoepassing: beheerdershandleiding

173 2 Ga naar het tabblad Weergeven. 3 Geef waarden op voor de volgende zoekinstellingen: Instelling Handeling Zoeken naar Selecteer een van de volgende opties in de vervolgkeuzelijst: Gebruikers Groepen Containers Begint met Gewenst resultaat: Hiermee zoekt u naar alle beschikbare objecten van het opgegeven type (gebruiker, groep of container) en maakt u deze instelling vervolgens leeg. Hiermee zoekt u naar een subset van deze objecten en voert u vervolgens de begintekens van de gewenste CN-waarden in. (De invoer is niet hoofdlettergevoelig. Jokertekens worden niet ondersteund.) Als u naar groepen zoekt die beginnen met V, worden de zoekresultaten bijvoorbeeld beperkt tot de volgende items: cn=verkoop,oe=groepen,o=mijnorg cn=vervoer,oe=groepen,o=mijnorg cn=verzending,oe=groepen,o=mijnorg Als u naar groepen zoekt die beginnen met Verk geeft dit als resultaat: cn=verkoop,oe=groepen,o=mijnorg 4 Klik op Ga. De zoekresultaten worden weergegeven in de lijst Resultaten. 5 Selecteer de gebruikers, groepen of containers die u aan de pagina wilt toewijzen en klik vervolgens op de knop Toevoegen (>). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 6 Schakel paginavergrendeling als volgt in of uit: Paginabeheer 165

174 Gewenste resultaat De pagina vergrendelen zodat alleen beheerders van de gebruikerstoepassing deze kunnen weergeven Alle toegewezen gebruikers, groepen en containers toestaan om de pagina weer te geven Handeling Schakel Weergavemachtiging ingesteld op alleen beheerder in. Schakel Weergavemachtiging ingesteld op alleen beheerder uit. OPMERKING: als u deze instelling uitschakelt en er geen gebruikers, groepen of containers expliciet aan de pagina zijn toegewezen, heeft iedereen de machtiging Weergeven voor deze pagina. 7 Klik op Opslaan en klik vervolgens op Sluiten Eigenaars van gedeelde pagina's toewijzen Gebruikers die eigenaar zijn van gedeelde pagina's kunnen de inhoud van deze pagina's wijzigen en de voorkeuren van portlets op deze pagina's wijzigen. De machtiging Eigendom toewijzen voor gedeelde pagina's: 1 Open een pagina in het scherm Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Machtigingen toewijzen (onder aan de pagina). Het dialoogvenster Machtigingen pagina wordt weergegeven in een nieuw browservenster (zoals in de vorige procedure is beschreven). 2 Ga naar het tabblad Eigendom. 3 Geef waarden op voor de volgende zoekinstellingen: Instelling Zoeken naar Handeling Selecteer een van de volgende opties in de vervolgkeuzelijst: Gebruikers Groepen Containers 166 Identity Manager-gebruikerstoepassing: beheerdershandleiding

175 Instelling Begint met Handeling Gewenst resultaat: Hiermee zoekt u naar alle beschikbare objecten van het opgegeven type (gebruiker, groep of container) en maakt u deze instelling vervolgens leeg. Hiermee zoekt u naar een subset van deze objecten en voert u vervolgens de begintekens van de gewenste CN-waarden in. (De invoer is niet hoofdlettergevoelig. Jokertekens worden niet ondersteund.) Als u naar groepen zoekt die beginnen met V, worden de zoekresultaten bijvoorbeeld beperkt tot de volgende items: cn=verkoop,oe=groepen,o=mijnorg cn=vervoer,oe=groepen,o=mijnorg cn=verzending,oe=groepen,o=mijnorg Als u naar groepen zoekt die beginnen met Verk geeft dit als resultaat: cn=verkoop,oe=groepen,o=mijnorg 4 Klik op Ga. De zoekresultaten worden weergegeven in de lijst Resultaten. 5 Selecteer de gebruikers, groepen of containers die u aan de pagina wilt toewijzen en klik vervolgens op de knop Toevoegen (>). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 6 Schakel paginavergrendeling als volgt in of uit: Gewenste resultaat De pagina vergrendelen zodat alleen beheerders van de gebruikerstoepassing deze kunnen gebruiken Handeling Schakel Eigendomsmachtiging ingesteld op alleen beheerder in. Paginabeheer 167

176 Gewenste resultaat Alle toegewezen gebruikers, groepen en containers toestaan om de pagina te gebruiken Handeling Schakel Eigendomsmachtiging ingesteld op alleen beheerder uit. OPMERKING: als u deze instelling uitschakelt en er geen gebruikers, groepen of containers expliciet aan de pagina zijn toegewezen, heeft iedereen de machtiging Eigendom voor deze pagina. 7 Klik op Opslaan en klik vervolgens op Sluiten Gebruikerstoegang inschakelen voor de pagina Gebruiker of groep maken Standaard kunnen alleen beheerders van de gebruikerstoepassing de pagina Gebruiker of groep maken weergeven en gebruiken. Dit is een gedeelde pagina op het tabblad Identiteit-zelfbediening van de Identity Manager-gebruikersinterface. Een beheerder van de gebruikerstoepassing kan echter zo nodig machtigingen toewijzen voor een of meer eindgebruikers, zodat deze ook toegang hebben tot de pagina. Bepaalde personen met een beheer- of managementfunctie moeten bijvoorbeeld zelf gebruikers, groepen of taakgroepen kunnen maken. Gebruikers toegang verlenen tot de pagina Gebruiker of groep maken: 1 Open de pagina Gebruiker of groep maken in het scherm Gedeelde pagina's onderhouden. 2 Met de paginataak Machtigingen toewijzen kunt u de machtiging Weergave verlenen aan de desbetreffende gebruikers, groepen of containers voor de gedeelde pagina Gebruiker of groep maken. 3 Schakel over van Paginabeheer naar Portletbeheer en open de portletregistratie CreatePortlet (deze wordt gebruikt op de pagina Gebruiker of groep maken). 4 In het scherm Beveiliging kunt u lijst- en uitvoermachtigingen verlenen aan de desbetreffende gebruikers, groepen of containers voor de portletregistratie CreatePortlet. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het toewijzen van machtigingen voor portlets. 5 Ga naar imanager en gebruik een beheerdersaccount om u aan te melden bij de structuur voor de opslagplaats voor ID's. 6 Controleer of de personen die de pagina Gebruiker of groep maken gebruiken, beschikken over rechten voor maken voor de eigenschap [Entry Rights] (Toegangsrechten) in de containers waarin objecten (gebruikers, groepen of taakgroepen) worden gemaakt. U kunt bijvoorbeeld vertrouwden wijzigen voor een gekozen container en de desbetreffende gebruikers, groepen of containers als vertrouwden toevoegen. Vervolgens kunt u aan elke vertrouwde de volgende rechten toewijzen: 168 Identity Manager-gebruikerstoepassing: beheerdershandleiding

177 Naam eigenschap Toegewezen rechten Overnemen [All Attributes Rights] (Alle attribuutrechten) [Entry Rights] (Toegangsrechten) Vergelijken Lezen Schrijven Bladeren Maken Ja (schakel dit selectievakje in) Ja (schakel dit selectievakje in) Als u de benodigde rechten niet toewijst in de opslagplaats voor ID's (of als deze rechten niet kunnen worden verkregen), ontvangt de eindgebruiker mogelijk een foutbericht, zoals het volgende bericht voor Gebruiker of groep maken: Gebruiker 'cn=mmackenzie,oe=gebruikers,oe=idmsample,o=novell' heeft geen toestemming om 'cn=mijnnieuwegroep,oe=groepen,oe=idmsample,o=novell' te maken of bijbehorende objecten te wijzigen. Zie de Identity Manager-gebruikerstoepassing: gebruikershandleiding voor meer informatie over het gebruik van de pagina Gebruiker of groep maken (als deze toegankelijk is) Gebruikerstoegang inschakelen voor afzonderlijke beheerpagina's Standaard hebben alleen beheerders van de gebruikerstoepassing toegang tot het tabblad Beheer van de Identity Manager-gebruikersinterface en de pagina's op dit tabblad (Paginabeheer, Thema's, Portletbeheer, Portal, Beveiliging, Logboek, Opslaan in cache, Hulpmiddelen). Een beheerder van de gebruikerstoepassing kan echter zo nodig machtigingen toewijzen aan een of meer eindgebruikers, zodat deze bepaalde pagina's op het tabblad Beheer kunnen bekijken en gebruiken. Dit is bijvoorbeeld een kleine groep gebruikers die regelmatig met andere thema's moet werken, hoewel deze gebruikers geen beheerder van de gebruikerstoepassing zijn. Gebruikers toegang verlenen tot afzonderlijke beheerpagina's: 1 Open de Containerpagina beheerder in het scherm Containerpagina's onderhouden. Dit is de containerpagina die wordt gebruikt wanneer u het tabblad Beheer van de Identity Manager-gebruikersinterface opent. 2 Met de paginataak Machtigingen toewijzen kunt u de machtiging Weergave verlenen aan de desbetreffende gebruikers, groepen of containers voor de Containerpagina beheerder. 3 Open in het scherm Gedeelde pagina's onderhouden de desbetreffende beheerpagina (een van de gedeelde pagina's onder de categorie Beheer). 4 Met de paginataak Machtigingen toewijzen kunt u de weergave- en eigendomsmachtiging verlenen aan de desbetreffende gebruikers, groepen of containers voor de gedeelde pagina. 5 Controleer of de opgegeven gebruikers, groepen of containers beschikken over de uitvoermachtiging voor elke portlet die wordt gebruikt op een opgegeven pagina (als u deze portlets hebt beperkt). Paginabeheer 169

178 Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het toewijzen van machtigingen voor portlets. 7.5 Standaardpagina's voor groepen instellen U kunt een standaardcontainerpagina en een standaard gedeelde pagina toewijzen aan een gemachtigde groep gebruikers. Met deze instellingen wordt bepaald welke containerpagina voor deze gebruikers wordt weergegeven wanneer ze zich aanmelden en welke gedeelde pagina wordt weergegeven op de containerpagina. Wanneer gebruikers tot meerdere groepen met standaard-paginatoewijzingen behoren, wordt via Navigatieprioriteit bepaald welke containerpagina en gedeelde pagina moeten worden weergegeven. Een standaardcontainerpagina of standaard gedeelde pagina aan een groep toewijzen: 1 Open een pagina in het scherm Containerpagina's onderhouden of Gedeelde pagina's onderhouden en klik vervolgens op de paginataak Als standaard instellen (onder aan het scherm). Het dialoogvenster Standaardwaarden pagina wordt weergegeven in een nieuw browservenster: 2 Geef waarden op voor de volgende zoekinstellingen: 170 Identity Manager-gebruikerstoepassing: beheerdershandleiding

179 Instelling Zoeken naar Begint met Handeling (Groepen is automatisch geselecteerd.) Gewenst resultaat: Hiermee zoekt u naar alle beschikbare groepen en maakt u deze instelling vervolgens leeg. Hiermee zoekt u naar een subset van deze groepen en voert u vervolgens de begintekens van de gewenste CN-waarden in. (De invoer is niet hoofdlettergevoelig. Jokertekens worden niet ondersteund.) Als u naar groepen zoekt die beginnen met V, worden de zoekresultaten bijvoorbeeld beperkt tot de volgende items: cn=verkoop,oe=groepen,o=mijnorg cn=vervoer,oe=groepen,o=mijnorg cn=verzending,oe=groepen,o=mijnorg Als u naar groepen zoekt die beginnen met Verk geeft dit als resultaat: [XXX]cn=Verkoop,oe=groepen,o=MijnOrg 3 Klik op Ga. De zoekresultaten worden weergegeven in de lijst Resultaten. 4 Selecteer de groepen waarvoor deze pagina een standaardpagina moet zijn en klik vervolgens op de knop Toevoegen (>). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 5 Klik op Opslaan en klik vervolgens op Sluiten. 7.6 Een standaard gedeelde pagina selecteren voor een containerpagina U kunt een standaard gedeelde pagina toewijzen aan elke containerpagina. De weergave van de gebruikersinterface is afhankelijk van deze paginatoewijzing. Een standaard gedeelde pagina toewijzen aan een containerpagina: 1 Open een containerpagina in het scherm Containerpagina's onderhouden. Paginabeheer 171

180 2 Zoek in het gedeelte met pagina-eigenschappen naar Standaard gedeelde pagina en klik op Standaard selecteren. Het dialoogvenster voor het kiezen van een standaard gedeelde pagina wordt weergegeven in een nieuw browservenster: 3 Als de lijst met gedeelde pagina's lang is, kunt u deze verfijnen (per categorie of begintekst), zodat u de gewenste pagina eenvoudiger kunt vinden. 4 Selecteer een gedeelde pagina die u standaard wilt weergeven voor de containerpagina (of schakel Geen in als u geen standaardpagina wilt weergeven). 172 Identity Manager-gebruikerstoepassing: beheerdershandleiding

181 5 Klik op Opslaan om de selectie te accepteren en het dialoogvenster te sluiten. 6 Klik op Pagina opslaan (onder aan het gedeelte met pagina-eigenschappen). Paginabeheer 173

182 174 Identity Manager-gebruikerstoepassing: beheerdershandleiding

183 8Themaconfiguratie In dit hoofdstuk leest u hoe u de pagina Thema's op het tabblad Beheer van de Identity Managergebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 8.1, Informatie over themaconfiguratie, op pagina 175 Sectie 8.2, Voorbeeld van een thema weergeven, op pagina 176 Sectie 8.3, Een thema kiezen, op pagina 177 Sectie 8.4, De colofon van een thema aanpassen, op pagina 178 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer. 8.1 Informatie over themaconfiguratie Met de pagina Thema's kunt u het uiterlijk van de Identity Manager-gebruikersinterface bepalen. Een thema is een set visuele kenmerken die van toepassing is op de volledige gebruikersinterface (inclusief de gasten- en aanmeldingspagina's, het tabblad Identiteit-zelfbediening, het tabblad Aanvragen en goedkeuringen en het tabblad Beheer). Er is altijd één thema actief voor de gebruikersinterface. De pagina Thema's bevat diverse thema's, voor het geval u een ander thema wilt gebruiken. Daarnaast kunt u op de pagina Thema's: Een voorbeeld weergeven van elk gekozen thema om te bekijken hoe dit eruitziet. Elk gekozen thema aanpassen aan uw eigen bedrijf (logo, enzovoort). 8 Themaconfiguratie 175

184 8.2 Voorbeeld van een thema weergeven Voordat u een thema kiest, kunt u bekijken hoe het uiterlijk van de Identity Managergebruikersinterface wordt gewijzigd. Een voorbeeld van een thema bekijken: 1 Ga naar de pagina Thema's: 2 Zoek naar het gewenste thema en klik vervolgens op de bijbehorende koppeling Themavoorbeeld. 176 Identity Manager-gebruikerstoepassing: beheerdershandleiding

185 Het voorbeeld voor dit thema wordt weergegeven in een nieuw browservenster: 3 Blader door het voorbeeld om de kenmerken van dit thema te bekijken. 4 Wanneer u klaar bent, klikt u op Voorbeeldpagina sluiten (in de linkerbovenhoek) of sluit u het voorbeeldvenster handmatig. 8.3 Een thema kiezen Wanneer u het gewenste thema hebt gevonden, kunt u ervoor kiezen om dit thema in te stellen als het huidige thema voor de Identity Manager-gebruikersinterface. Een thema kiezen: 1 Ga naar de pagina Thema's. 2 Klik op het keuzerondje bij het gewenste thema. 3 Klik op de knop Opslaan. Het uiterlijk van de gebruikersinterface wordt aangepast aan het gekozen thema. Themaconfiguratie 177

186 8.4 De colofon van een thema aanpassen U kunt een thema aanpassen door uw eigen afbeeldingen te gebruiken en een aantal kleurinstellingen te wijzigen. Hiermee kunt u de Identity Manager-gebruikersinterface een aangepast uiterlijk geven dat voldoet aan de colofonvereisten van het bedrijf of de organisatie. De colofon voor een thema aanpassen: 1 Ga naar de pagina Thema's. 2 Zoek naar een thema dat u wilt aanpassen en klik vervolgens op de bijbehorende koppeling Colofon aanpassen. Op de pagina Thema's worden de instellingen van Colofon aanpassen weergegeven voor het desbetreffende thema: 178 Identity Manager-gebruikerstoepassing: beheerdershandleiding

187 3 Geef (indien nodig) de aanpassingen in deze instellingen op, waaronder: Kopafbeeldingen Kleuren van navigatiegebied Afbeeldingen voor aanmelding Volg de instructies op het scherm om elke instelling op te geven. 4 Klik op de knop Opslaan. Als u het huidige thema bewerkt, wordt het uiterlijk van de gebruikersinterface aangepast aan uw wijzigingen. (Klik op de knop Beginwaarden als u alle aanpassingen in het thema ongedaan wilt maken.) OPMERKING: de knop Themavoorbeeld is beschikbaar wanneer u wijzigingen aanbrengt. Houd er echter rekening mee dat met deze knop altijd de oorspronkelijke kenmerken van het thema worden weergegeven. De wijzigingen worden niet weergegeven. 5 Klik op de knop Selector om terug te gaan naar het thema wanneer u klaar bent met dit thema. Themaconfiguratie 179

188 180 Identity Manager-gebruikerstoepassing: beheerdershandleiding

189 9Portletbeheer In dit hoofdstuk leest u hoe u de pagina Portletbeheer op het tabblad Beheer van de Identity Manager-gebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 9.1, Informatie over portletbeheer, op pagina 181 Sectie 9.2, Portlettoepassingen beheren, op pagina 181 Sectie 9.3, Portletdefinities beheren, op pagina 184 Sectie 9.4, Geregistreerde portlets beheren, op pagina 188 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer. 9.1 Informatie over portletbeheer Op de pagina Portletbeheer kunt u bepalen welke portlets beschikbaar zijn in de Identity Managergebruikersinterface en wie toegang tot deze portlets heeft. Portlets zijn gebruikersinterfaceelementen (op basis van een Java-standaard) die kunnen worden ingevoegd om de inhoud van pagina's in de gebruikersinterface (inclusief containerpagina's en gedeelde pagina's) weer te geven. Voor portletbeheer moet u het volgende gebruiken: 9 Waarmee u werkt Portlettoepassingen Beschrijving Java Portlet 1.0-compatibele WAR-bestanden die de implementatiedescriptor portlet.xml en optioneel andere runtimeonderdelen voor portlets bevatten. Zie Sectie 9.2, Portlettoepassingen beheren, op pagina 181. Portletdefinities Descriptors (afkomstig uit portlet.xml) waarmee de configuratieparameters van de portlet worden opgegeven. Er is één definitie voor elke portlet in een toepassing. Zie Sectie 9.3, Portletdefinities beheren, op pagina 184. Portletregistraties Registraties van portlets op basis van de definities. Er kunnen meerdere registraties van dezelfde portlet worden gebruikt in één portlettoepassing. Zie Sectie 9.4, Geregistreerde portlets beheren, op pagina 188. Zie Deel IV, Portletverwijzing, op pagina 237 voor meer informatie over de beschikbare portlets in de Identity Manager-gebruikersinterface. Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie over het gebruik van portlets op containerpagina's en gedeelde pagina's. 9.2 Portlettoepassingen beheren Wanneer de Identity Manager-gebruikerstoepassing wordt geïnstalleerd, wordt IDM.war geïmplementeerd op de toepassingsserver en automatisch geregistreerd als portlettoepassing. IDM.war (waarvan de naam tijdens de installatie kan worden gewijzigd) bevat alle portlets die Portletbeheer 181

190 worden gebruikt in de standaardconfiguratie van de Identity Manager-gebruikersinterface. Daarnaast bevat het bestand een aantal extra portlets die niet standaard worden gebruikt. (De IDM.war-portlets worden beschreven in Deel IV, Portletverwijzing, op pagina 237.) U kunt echter ook andere portlets dan IDM.war gebruiken. Als u andere standaardportlettoepassingen (Java Portlet 1.0-compatibele WAR-bestanden) implementeert op de toepassingsserver, kunt u deze portlettoepassingen en de portlets gebruiken in de Identity Managergebruikersinterface. Deze portlettoepassingen worden bijvoorbeeld samen met IDM.war weergegeven op de pagina Portletbeheer. Op de pagina Portletbeheer kunt u IDM.war en andere portlettoepassingen op de volgende manieren beheren: Sectie 9.2.1, Portlettoepassingen op de server openen, op pagina 182 Sectie 9.2.2, Informatie over portlettoepassingen weergeven, op pagina 183 Sectie 9.2.3, De registratie van portlettoepassingen ongedaan maken, op pagina Portlettoepassingen op de server openen Wanneer u naar de pagina Portletbeheer gaat, wordt automatisch een lijst weergegeven met de portlettoepassingen (IDM.war en andere) die worden geïmplementeerd op de toepassingsserver. Deze lijst wordt links weergegeven als structuur die u kunt uitvouwen en waarin u kunt navigeren om een geselecteerde portlettoepassing en de bijbehorende inhoud te beheren: 182 Identity Manager-gebruikerstoepassing: beheerdershandleiding

191 9.2.2 Informatie over portlettoepassingen weergeven U kunt de volgende informatie (alleen-lezen) over een weergegeven portlettoepassing bekijken: Naam Status (ingeschakeld of uitgeschakeld) Datum laatst gewijzigd Gebruiker die de toepassing het laatst heeft gewijzigd Aangepaste toepassingsinformatie (indien van toepassing): portletmodi, vensterstatussen, beveiligingsbeperkingen en gebruikersattributen Informatie over een portlettoepassing weergeven Selecteer in de lijst Portlettoepassingen de portlettoepassing waarover u meer informatie wilt. Het scherm Algemeen wordt rechts weergegeven met informatie over de geselecteerde portlettoepassing: De registratie van portlettoepassingen ongedaan maken Wanneer u een portlettoepassing op de toepassingsserver wilt verwijderen, moet u de registratie van de portlettoepassing ongedaan maken voordat u de implementatie hiervan ongedaan maakt. Anders wordt de portlettoepassing automatisch opnieuw geïmplementeerd wanneer de server opnieuw wordt opgestart. Portletbeheer 183

192 Wanneer u de registratie van een portlettoepassing ongedaan maakt, worden alle gerelateerde voorkeuren en instellingen verwijderd uit de database waarin de toepassingsgegevens zijn opgeslagen. OPMERKING: u kunt de registratie van de lokale portletcontainer niet ongedaan maken. Dit is een lokale portlettoepassing voor de portal. Met de lokale portletcontainer worden portlets in de portal beheerd (Identity Manager-gebruikerstoepassing). De registratie van een portlettoepassing ongedaan maken: 1 Selecteer in de lijst Portlettoepassingen de portlettoepassing waarvan u de registratie ongedaan wilt maken. Het scherm Algemeen wordt rechts weergegeven (zoals in de vorige procedure is aangegeven). 2 Klik op Registratie ongedaan maken. Er wordt een bevestigingsvenster weergegeven. 3 Klik op OK om de actie te bevestigen. Wanneer de procedure wordt voltooid, wordt de niet-geregistreerde portlettoepassing verwijderd uit de lijst Portlettoepassingen. 4 Als u de portlettoepassing van de toepassingsserver wilt verwijderen, gebruikt u de hulpprogramma's van de server om de implementatie van het archief met de portlettoepassing ongedaan te maken. OPMERKING: als u een niet-geregistreerde portlettoepassing opnieuw wilt registreren, moet u deze opnieuw implementeren. 9.3 Portletdefinities beheren Op de pagina Portletbeheer kunt u de volgende taken uitvoeren voor portletdefinities in een portlettoepassing: Sectie 9.3.1, Portletdefinities in de geïmplementeerde portlettoepassing openen, op pagina 184 Sectie 9.3.2, Portletdefinities registreren, op pagina 185 Sectie 9.3.3, Informatie over portletdefinities weergeven, op pagina Portletdefinities in de geïmplementeerde portlettoepassing openen In de lijst Portlettoepassingen worden de portletdefinities in een geselecteerde portlettoepassing weergegeven. Portletdefinities in de geïmplementeerde portlettoepassing openen: Vouw in de lijst Portlettoepassingen de portlettoepassing uit waarvan u de portletdefinities wilt openen. 184 Identity Manager-gebruikerstoepassing: beheerdershandleiding

193 In de structuur worden alle portletdefinities onder deze portlettoepassing weergegeven: Portletdefinities registreren Voordat u een portlet kunt gebruiken, moet u de portletdefinitie voor de portal (Identity Managergebruikerstoepassing) registreren. Een geregistreerde portletdefinitie wordt een portletregistratie genoemd. U kunt meerdere registraties voor één portlet maken. Hierdoor kunt u meerdere exemplaren van de portlet op dezelfde pagina plaatsen. Bij de portletregistratie worden alle voorkeuren en instellingen van de portletklasse overgenomen, maar u kunt deze waarden op de volgende manieren wijzigen: Zie Sectie 9.4, Geregistreerde portlets beheren, op pagina 188 wanneer u de portletdefinitie registreert. Zie Hoofdstuk 7, Paginabeheer, op pagina 137 wanneer u een exemplaar van de portlet aan een pagina toevoegt. Alle portlets die bij de Identity Manager-gebruikerstoepassing zijn geleverd, worden automatisch geregistreerd. Bewerkingsmodus Als de portletdefinitie een bewerkingsmodus bevat, kan de eindgebruiker specifieke voorkeuren van de portletregistratie tijdens runtime wijzigen op basis van de logica van de doedit()-methode van de portlet. De Identity Manager-gebruikerstoepassing bevat ook een standaardimplementatie voor de bewerkingsmodus. Als de doedit()-methode niet is geïmplementeerd, wordt er een standaardvoorkeurenblad weergegeven. Een portletdefinitie registreren: 1 Selecteer in de lijst Portlettoepassingen de portletdefinitie waarvoor u een portletregistratie wilt maken. Portletbeheer 185

194 Het scherm Algemeen wordt rechts weergegeven: Alle bestaande registraties van de geselecteerde portlet worden weergegeven in de structuur Portlettoepassingen (links) onder de bijbehorende portletdefinitienaam. 2 Voer in het tekstvak Nieuwe portletinstantie registreren een unieke naam in voor de portletregistratie en klik vervolgens op Registreren. De nieuwe portletregistratie wordt gemaakt en weergegeven in de structuur Portlettoepassingen. 3 Zie Sectie 9.4, Geregistreerde portlets beheren, op pagina 188 als u de voorkeuren en instellingen van de nieuwe portletregistratie wilt wijzigen Informatie over portletdefinities weergeven U kunt de volgende informatie (alleen-lezen) over een weergegeven portletdefinitie bekijken: Weergavenaam Klassenaam Portlettitel Type uitvoering (synchroon of asynchroon) Korte titel Type registratie Naam opmaak Vervaltijd cache 186 Identity Manager-gebruikerstoepassing: beheerdershandleiding

195 Beschrijving Initialisatieparameters Trefwoorden Ondersteunde mime-typen Modi die worden ondersteund door de portlet Ondersteunde taalinstellingen Ondersteunde apparaten Beveiligingstaken Informatie over portletdefinities weergeven: 1 Selecteer in de lijst Portlettoepassingen de portletdefinitie waarover u meer informatie wilt. Het scherm Algemeen wordt rechts weergegeven met informatie over de geselecteerde portletdefinitie: Portletbeheer 187

196 2 Ga naar het scherm Extra informatie voor meer informatie over de geselecteerde portletdefinitie: 9.4 Geregistreerde portlets beheren Op de pagina Portletbeheer kunt u de volgende taken uitvoeren voor portletregistraties in een portlettoepassing: Sectie 9.4.1, Portletregistraties in de geïmplementeerde portlettoepassing openen, op pagina 189 Sectie 9.4.2, Informatie over portletregistraties weergeven, op pagina 190 Sectie 9.4.3, Categorieën aan portletregistraties toewijzen, op pagina 190 Sectie 9.4.4, Instellingen voor portletregistraties wijzigen, op pagina 191 Sectie 9.4.5, Voorkeuren voor portletregistraties wijzigen, op pagina 194 Sectie 9.4.6, Beveiligingsmachtigingen aan portletregistraties toewijzen, op pagina 196 Sectie 9.4.7, De registratie van een portlet ongedaan maken, op pagina Identity Manager-gebruikerstoepassing: beheerdershandleiding

197 9.4.1 Portletregistraties in de geïmplementeerde portlettoepassing openen In de lijst Portlettoepassingen worden de portletregistraties voor elke portletdefinitie in een geselecteerde portlettoepassing weergegeven. Portletregistraties in de geïmplementeerde portlettoepassing openen: 1 Vouw in de lijst Portlettoepassingen de portlettoepassing uit waarvan u de portletdefinities en - registraties wilt openen. In de structuur worden alle portletdefinities onder deze portlettoepassing weergegeven: 2 Vouw de portletdefinitie uit waarvan u portletregistraties wilt openen. In de structuur worden alle portletregistraties onder deze portletdefinitie weergegeven: Portletbeheer 189

198 9.4.2 Informatie over portletregistraties weergeven U kunt de volgende informatie (alleen-lezen) over een weergegeven portletregistratie bekijken: Weergavenaam Type registratie Portlettitel Type uitvoering (synchroon of asynchroon) Klassenaam Beschrijving Informatie over portletregistraties weergeven: Selecteer in de lijst Portlettoepassingen de portletregistratie waarover u meer informatie wilt. Het scherm Algemeen wordt rechts weergegeven met informatie over de geselecteerde portletregistratie: Categorieën aan portletregistraties toewijzen Als u naar specifieke portlets in een portlettoepassing wilt zoeken, kunt u de portletregistraties ordenen per categorie. Categorieën aan portletregistraties toewijzen: 1 Selecteer in de lijst Portlettoepassingen de portletregistratie die u wilt categoriseren. Het scherm Algemeen wordt rechts weergegeven. 2 Ga naar het scherm Categorieën. 190 Identity Manager-gebruikerstoepassing: beheerdershandleiding

199 In dit scherm worden lijsten met beschikbare en toegewezen categorieën weergegeven voor de geselecteerde portletregistratie: 3 Werk de lijst Toegewezen categorieën zo nodig bij: Gewenst resultaat Eén of meer categorieën aan de portletregistratie toewijzen Alle categorieën aan de portletregistratie toewijzen Een of meer categorietoewijzingen verwijderen Handeling Selecteer elke categorie die u wilt toewijzen en klik op > Klik op >> Selecteer elke categorie die u wilt verwijderen en klik op < Alle categorietoewijzingen verwijderen Klik op << 4 Klik op Categorieën opslaan Instellingen voor portletregistraties wijzigen Via de portletinstellingen kunt u definiëren hoe de portal (Identity Manager-gebruikerstoepassing) wordt gebruikt met afzonderlijke portlets. Elke portlet wordt geconfigureerd met de volgende instellingen: Titel Portletbeheer 191

200 Maximale time-out Verificatie vereist Titelbalk weergeven Verborgen voor gebruiker Gedefinieerde opties in de portlettoepassing Standaardinstellingen van Java Portlet 1.0 worden gedefinieerd in de implementatiedescriptor (portlet.xml) van de portlettoepassing WAR. U kunt de waarden van deze instellingen per registratie wijzigen via de pagina Portletbeheer. In dit geval worden de nieuwe waarden alleen geactiveerd voor de geselecteerde portletregistratie. Instellingen voor portletregistraties wijzigen: 1 Selecteer in de lijst Portlettoepassingen de portletregistratie waarvan u de instellingen wilt wijzigen. Het scherm Algemeen wordt rechts weergegeven. 2 Ga naar het scherm Instellingen. 192 Identity Manager-gebruikerstoepassing: beheerdershandleiding

201 In dit scherm worden de huidige instellingen voor de geselecteerde portletregistratie weergegeven: 3 Wijzig de instellingen. In dit scherm kunt u ook de volgende acties uitvoeren: Portletbeheer 193

202 Gewenst resultaat De niet-opgeslagen wijzigingen verwijderen Alle instellingen voor deze portletregistratie herstellen naar de standaardwaarden (zoals is gedefinieerd in de bijbehorende portletdefinitie) Een afzonderlijke instelling herstellen naar de standaardwaarde Handeling Klik op Annuleren. Klik op Beginwaarden. Klik op de koppeling Beginwaarden naast deze instelling. 4 Klik op Instellingen opslaan Voorkeuren voor portletregistraties wijzigen Portletvoorkeuren worden gedefinieerd in de implementatiedescriptor door de portletontwikkelaar tijdens het ontwerp. De voorkeuren variëren per portlet op basis van de implementatie van de portletontwikkelaar. U kunt de waarden van deze voorkeuren per registratie wijzigen via de pagina Portletbeheer. In dit geval worden de nieuwe waarden alleen geactiveerd voor de geselecteerde portletregistratie. Voorkeuren voor portletregistraties wijzigen: 1 Selecteer in de lijst Portlettoepassingen de portletregistratie waarvan u de voorkeuren wilt wijzigen. Het scherm Algemeen wordt rechts weergegeven. 2 Ga naar het scherm Voorkeuren. 194 Identity Manager-gebruikerstoepassing: beheerdershandleiding

203 In dit scherm worden de huidige voorkeuren voor de geselecteerde portletregistratie weergegeven: 3 Wijzig de voorkeuren. In dit scherm kunt u ook de volgende acties uitvoeren: Gewenst resultaat Meer informatie over de voorkeuren weergeven De niet-opgeslagen wijzigingen verwijderen Alle voorkeuren voor deze portletregistratie herstellen naar de standaardwaarden (zoals is gedefinieerd in de bijbehorende portletdefinitie) Een afzonderlijke voorkeur herstellen naar de standaardwaarde Handeling Klik op Beschrijvingen. Klik op Annuleren. Klik op Beginwaarden. Klik op de koppeling Beginwaarden naast deze voorkeur. 4 Voer de volgende stappen uit om de gelokaliseerde versie van een voorkeur te wijzigen voor elke opgegeven taalinstelling in de portletdefinitie: 4a Klik op de koppeling Detail naast deze voorkeur (indien beschikbaar). In het scherm worden de voorkeurswaarden voor elke taalinstelling weergegeven. 4b Wijzig de waarden. 4c Klik op OK om de wijzigingen toe te passen en terug te gaan naar de hoofdlijst voor voorkeuren. 5 Klik op Voorkeuren opslaan. Portletbeheer 195

204 9.4.6 Beveiligingsmachtigingen aan portletregistraties toewijzen U kunt de volgende beveiligingsmachtigingen toewijzen aan gebruikers, groepen en containers voor portletregistraties: Machtiging Beschrijving Lijst Uitvoeren Gebruikers kunnen de portletregistratie weergeven vanuit een selectielijst. Gebruikers kunnen de portletregistratie uitvoeren op een portalpagina. Wanneer u beveiligingsmachtigingen wijzigt, worden de nieuwe waarden alleen geactiveerd voor de geselecteerde portletregistratie. Beveiligingsmachtigingen aan portletregistraties toewijzen: 1 Selecteer in de lijst Portlettoepassingen de portletregistratie waarvan u de beveiligingsmachtigingen wilt wijzigen. Het scherm Algemeen wordt rechts weergegeven. 2 Ga naar de tab Beveiliging. 196 Identity Manager-gebruikerstoepassing: beheerdershandleiding

205 In dit scherm worden de huidige beveiligingsmachtigingen voor de geselecteerde portletregistratie weergegeven: 3 Ga naar het tabblad Lijst of Uitvoeren, afhankelijk van het type machtiging dat u wilt toewijzen. 4 Geef waarden op voor de volgende zoekinstellingen: Instelling Zoeken naar Handeling Selecteer een van de volgende opties in de vervolgkeuzelijst: Gebruikers Groepen Containers Portletbeheer 197

206 Instelling Begint met Handeling Gewenst resultaat: Hiermee zoekt u naar alle beschikbare objecten van het opgegeven type (gebruiker, groep of container) en maakt u deze instelling vervolgens leeg. Hiermee zoekt u naar een subset van deze objecten en voert u vervolgens de begintekens van de gewenste CN-waarden in. (De invoer is niet hoofdlettergevoelig. Jokertekens worden niet ondersteund.) Als u naar groepen zoekt die beginnen met V, worden de zoekresultaten bijvoorbeeld beperkt tot de volgende items: cn=verkoop,oe=groepen,o=mijnorg cn=vervoer,oe=groepen,o=mijnorg cn=verzending,oe=groepen,o=mijnorg Als u naar groepen zoekt die beginnen met Verk geeft dit als resultaat: cn=verkoop,oe=groepen,o=mijnorg 5 Klik op Ga. De zoekresultaten worden weergegeven in de lijst Resultaten. 6 Selecteer de gebruikers, groepen of containers die u aan de portletregistratie wilt toewijzen en klik vervolgens op de knop Toevoegen (>). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 7 Schakel de vergrendeling van de portletregistratie als volgt in of uit: Gewenst resultaat De portletregistratie vergrendelen zodat alleen beheerders van de gebruikerstoepassing deze kunnen weergeven/uitvoeren Handeling Schakel Lijst machtiging ingesteld op alleen beheerder/machtiging ingesteld op alleen beheerder uitvoeren in 198 Identity Manager-gebruikerstoepassing: beheerdershandleiding

207 Gewenst resultaat Alle toegewezen gebruikers, groepen en containers toestaan om de portletregistratie weer te geven/uit te voeren Handeling Schakel Lijst machtiging ingesteld op alleen beheerder/machtiging ingesteld op alleen beheerder uitvoeren uit OPMERKING: als u deze instelling uitschakelt en er geen gebruikers, groepen of containers expliciet aan de portletregistratie zijn toegewezen, heeft iedereen lijst-/ uitvoermachtigingen voor deze portletregistratie. 8 Klik op Opslaan De registratie van een portlet ongedaan maken Op de pagina Portletbeheer kunt u de registratie van een portlet, indien nodig, ongedaan maken. OPMERKING: Als u de registratie van een portlet die is gedefinieerd als automatisch geregistreerd ongedaan maakt, wordt deze portlet automatisch opnieuw geregistreerd wanneer u de toepassingsserver opnieuw opstart. De registratie van een portlet ongedaan maken: 1 Selecteer in de lijst Portlettoepassingen de portletregistratie die u ongedaan wilt maken. Het scherm Algemeen wordt rechts weergegeven met informatie over de geselecteerde portletregistratie: 2 Klik op Registratie portlet ongedaan maken. 3 Klik op OK wanneer u wordt gevraagd deze bewerking te bevestigen. Portletbeheer 199

208 200 Identity Manager-gebruikerstoepassing: beheerdershandleiding

209 10Portalconfiguratie In dit hoofdstuk leest u hoe u de pagina Portal op het tabblad Beheer van de Identity Managergebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 10.1, Informatie over portalconfiguratie, op pagina 201 Sectie 10.2, Algemene instellingen, op pagina 201 Sectie 10.3, LDAP-verbindingsparameters, op pagina 204 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer Informatie over portalconfiguratie Op de pagina Portal kunt u de portalkenmerken van de Identity Manager-gebruikerstoepassing beheren en opgeven hoe de gebruikerstoepassing verbinding maakt met de opslagplaats voor ID's (LDAP-provider) Algemene instellingen De pagina Portal bevat het scherm Algemene instellingen waarmee u: Een aantal portalkenmerken van de Identity Manager-gebruikerstoepassing tijdelijk kunt wijzigen (totdat de toepassingsserver opnieuw wordt opgestart of de gebruikerstoepassing opnieuw wordt geïmplementeerd) Andere portalkenmerken van de Identity Manager-gebruikerstoepassing kunt weergeven Algemene instellingen beheren: 1 Selecteer Algemene instellingen in het navigatiemenu links op de pagina Portal. 10 Portalconfiguratie 201

210 Het scherm Algemene instellingen wordt weergegeven: 2 Als u meerdere War-contexten hebt, selecteert u de context waarvan u de instellingen wilt openen. Het scherm wordt vernieuwd, zodat de huidige instellingen voor de gekozen context worden weergegeven. 3 Controleer de instellingen en wijzig deze, indien nodig. Zie voor meer informatie: Sectie , Instellingen die u kunt wijzigen, op pagina 202 Sectie , Alleen-lezen instellingen, op pagina Klik op Opslaan als u de aangebrachte wijzigingen wilt toepassen Instellingen die u kunt wijzigen U kunt verschillende portalinstellingen wijzigen in het scherm Algemene instellingen. De waarden blijven van kracht totdat de toepassingsserver opnieuw wordt opgestart of de gebruikerstoepassing opnieuw wordt geïmplementeerd. Wanneer de toepassingsserver opnieuw wordt opgestart of de gebruikerstoepassing opnieuw wordt geïmplementeerd, worden deze instellingen hersteld naar de standaardwaarden voor de gebruikerstoepassing WAR. 202 Identity Manager-gebruikerstoepassing: beheerdershandleiding

211 Instelling Standaardtime-out voor aanvraag Handeling Geef de standaardtijd (in milliseconden) op totdat bij een aanvraag een time-out optreedt. Als voor geen van de asynchrone portlets een time-out is gedefinieerd of een time-out is gedefinieerd die groter is dan deze waarde, wordt deze standaardwaarde gebruikt. Als er bij een of meer van de te genereren portlets een time-out is gedefinieerd die groter is dan deze standaardwaarde, wordt deze hogere waarde gebruikt in plaats van de standaardwaarde. Via deze instelling kunt u voorkomen dat er te veel berichten in de toepassing worden weergegeven over het optreden van time-outs bij portlets (dit kan gebeuren als in de portlets te lage waarden zijn gedefinieerd). Maximale time-out voor aanvraag Genereren van parallelle portlet Time-out voor genereren van portlet afdwingen OPMERKING: als alle portlets kunnen worden gegenereerd voordat deze standaardtime-out optreedt, wordt de aanvraag direct geretourneerd naar de client. Geef de maximale tijd (in milliseconden) op totdat een aanvraag wordt voltooid. Dit betekent dat alle aanvragen na deze tijd worden geretourneerd naar de client, ongeacht of voor een portlet een hogere time-outwaarde is gedefinieerd. Met deze instelling kunt u ervoor zorgen dat de portal snel reageert, zelfs als er voor een of meer portlets een hoge time-outwaarde is gedefinieerd. Schakel de asynchrone generatie van de portlet in de portal in of uit. Dit is een geavanceerde functie die standaard is uitgeschakeld. Als u deze functie inschakelt, worden via de portal asynchrone aanvragen voor genereren toegewezen aan afzonderlijke threads (waarmee inhoud op portlets parallel kan worden weergegeven). Wanneer deze functie is uitgeschakeld, wordt inhoud op alle portlets synchroon gegenereerd in de hoofdthread voor aanvragen. Bepaal of asynchrone portlets zijn gedelegeerd aan de hoofdthread voor aanvragen om inhoud te genereren als er niet genoeg afzonderlijke threads beschikbaar zijn in de threadgroep. Als u Nee kiest, kunnen asynchrone portlets worden uitgevoerd in de hoofdthread voor aanvragen als er geen afzonderlijke threads beschikbaar zijn. Als u Ja kiest, moeten asynchrone portlets wachten totdat er afzonderlijke threads beschikbaar zijn voordat inhoud kan worden gegenereerd. Als er time-outs bij portlets optreden voordat de aanvraag voor genereren wordt uitgevoerd, wordt er een specifiek foutbericht voor de portlet gegenereerd in het portletvenster. Portalconfiguratie 203

212 Instelling Synchroon serieel genereren van portlet afdwingen Handeling Bepaal hoe synchroon portlets worden uitgevoerd. Als u Ja kiest, worden alle synchrone portlets uitgevoerd in de hoofdthread voor aanvragen. Als u Nee kiest, kan via de portal een afzonderlijke thread worden toegewezen aan de verwerking van synchrone aanvragen voor genereren (hierdoor worden knelpunten in de hoofdthread voor aanvragen voorkomen) Alleen-lezen instellingen De volgende instellingen worden alleen ter informatie weergegeven en kunnen niet worden gewijzigd in het scherm Algemene instellingen: Pad van introductiepagina van portal Pad van controller-servlet van portal Pad van portlet van portal Pad van aanmeldingspagina van portal Standaardlay-out Standaardopmaak Standaardthema Resourcepad van portal Standaardcontainerpagina De waarden van deze instellingen worden ingesteld in de gebruikerstoepassing WAR. (Standaardthema geeft de huidige themakeuze van de pagina Thema's weer.) 10.3 LDAP-verbindingsparameters De pagina Portal bevat het scherm LDAP-verbindingsparameters waarmee u: De identificatiegegevens kunt wijzigen die door de Identity Manager-gebruikerstoepassing worden gebruikt wanneer er verbinding wordt gemaakt met de opslagplaats voor ID's (LDAPprovider) Andere LDAP-eigenschappen van de Identity Manager-gebruikerstoepassing kunt weergeven LDAP-verbindingsparameters beheren: 1 Selecteer LDAP-verbindingsparameters in het navigatiemenu links op de pagina Portal. 204 Identity Manager-gebruikerstoepassing: beheerdershandleiding

213 Het scherm LDAP-verbindingsparameters wordt weergegeven: 2 Controleer de instellingen en wijzig deze, indien nodig. Zie voor meer informatie: Sectie , Instellingen die u kunt wijzigen, op pagina 202 Sectie , Alleen-lezen instellingen, op pagina Klik op Indienen als u de aangebrachte wijzigingen wilt toepassen Instellingen die u kunt wijzigen In het scherm LDAP-verbindingsparameters kunt u instellingen wijzigen voor de identificatiegegevens die moeten worden gebruikt door de Identity Manager-gebruikerstoepassing wanneer deze verbinding maakt met de opslagplaats voor ID's (LDAP-provider). De wijzigingen in dit scherm worden opgeslagen in de database van de gebruikerstoepassing voor gebruik tijdens runtime en worden vergeleken met de gegevens in de opslagplaats voor ID's. (In dit scherm worden de oorspronkelijke waarden van de identificatiegegevens die tijdens de installatie zijn vastgelegd in de gebruikerstoepassing WAR, niet bijgewerkt.) Portalconfiguratie 205

214 Instelling Gebruikersnaam Handeling Typ de naam van een gebruiker met volledige beheerdersrechten in de opslagplaats voor ID's. Voor een goede werking van de Identity Managergebruikerstoepassing moet de opslagplaats voor ID's als beheerder worden geopend. Meestal wordt de hoofdbeheerder van de opslagplaats voor ID's opgegeven als gebruikersnaam voor de LDAP-verbinding. De hoofdbeheerder beheert de volledige structuur, dus u hoeft geen speciale vertrouwdenrechten toe te wijzen. Bijvoorbeeld: cn=beheer,o=mijnorg Als u een andere gebruiker opgeeft, moet u overdraagbare vertrouwdenrechten toewijzen aan de eigenschappen [All Attributes Rights] (Alle attribuutrechten) en [Entry Rights] (Toegangsrechten) in het stuurprogramma voor de gebruikerstoepassing. Wachtwoord en Wachtwoord bevestigen OPMERKING: u wordt aangeraden, om verwarring te voorkomen, niet de beheerder van de gebruikerstoepassing op te geven als gebruikersnaam van de LDAP-verbinding. U kunt het beste afzonderlijke accounts gebruiken voor deze twee verschillende doelen. Typ het wachtwoord dat momenteel is ingesteld voor de gebruikersnaam in de opslagplaats voor ID's Alleen-lezen instellingen De volgende instellingen worden alleen ter informatie weergegeven en kunnen niet worden gewijzigd in het scherm LDAP-verbindingsparameters: ALIAS_HANDLING ANONYMOUS_USER AUTHORITY CONNECTION_TIMEOUT CONTAINER_OBJECT CONTAINER_OBJECT_ATTRIB CONTAINER_OBJECT2 CONTAINER_OBJECT2_ATTRIB CONTAINER_OBJECT3 CONTAINER_OBJECT3_ATTRIB GROUP_USER_MEMBER_ATTRIB KEYSTORE_PATH LOGIN_ATTRIBUTE NAME OBJECT_ATTRIB PROVISION_ROOT REFERRAL ROOT_NAME USE_DYNAMIC_GROUPS USE_REGISTERED_DYNAMIC_GROUPS 206 Identity Manager-gebruikerstoepassing: beheerdershandleiding

215 CONTAINER_OBJECT4 CONTAINER_OBJECT4_ATTRIB CONTEXT_FACTORY DYNAMIC_GROUP_OBJECT GROUP_OBJECT USE_SSL USER_GROUP_MEMBER_ATTRIB USER_OBJECT USER_ROOT_CONTAINER USER_SEARCH_SCOPE GROUP_ROOT_CONTAINER GROUP_SEARCH_SCOPE UUID_ATTRIB UUID_AUX_CLASS De waarden van deze instellingen worden bepaald wanneer u de gebruikerstoepassing installeert. Portalconfiguratie 207

216 208 Identity Manager-gebruikerstoepassing: beheerdershandleiding

217 1Beveiligingsconfiguratie In dit hoofdstuk leest u hoe u de pagina Beveiliging op het tabblad Beheer van de Identity Managergebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 11.1, Informatie over beveiligingsconfiguratie, op pagina 209 Sectie 11.2, De beheerder van de gebruikerstoepassing toewijzen, op pagina 210 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer Informatie over beveiligingsconfiguratie Op de pagina Beveiliging kunt u opgeven wie de beheerder van de gebruikerstoepassing is voor de Identity Manager-gebruikerstoepassing. Een beheerder van de gebruikerstoepassing is bevoegd om alle beheerfuncties van de Identity Manager-gebruikerstoepassing uit te voeren. Een beheerder kan onder andere het tabblad Beheer van de Identity Manager-gebruikersinterface openen om ondersteunde beheeracties uit te voeren. Tijdens de installatie wordt een gebruiker opgegeven als beheerder van de gebruikerstoepassing. Na de installatie kan deze gebruiker zo nodig andere beheerders van de gebruikerstoepassing opgeven via de pagina Beveiliging. Een gebruiker die u wilt opgeven als beheerder van de gebruikerstoepassing, bevindt zich meestal onder de hoofdcontainer voor gebruikers die is opgegeven in de LDAP-configuratie van de gebruikerstoepassing. Hiermee kan de gebruiker zich eenvoudig aanmelden via de gebruikersnaam (in plaats van via de volledige naam). Meestal heeft deze gebruiker ook rechten voor het onderhouden en maken van objecten in de structuur. Dit is echter niet vereist. OPMERKING: een beheerder van de gebruikerstoepassing kan zo nodig machtigingen toewijzen aan een of meer eindgebruikers, zodat deze bepaalde pagina's op het tabblad Beheer kunnen bekijken en openen. Deze machtigingen worden toegewezen via de pagina Paginabeheer op het tabblad Beheer. (Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie.) 11 Beveiligingsconfiguratie 209

218 11.2 De beheerder van de gebruikerstoepassing toewijzen Wanneer u beheerders van de gebruikerstoepassing toewijst, kunt u gebruikers, groepen of containers opgeven. Beheerders van de gebruikerstoepassing toewijzen: 1 Ga naar de pagina Beveiliging. 2 Geef waarden op voor de volgende zoekinstellingen: Instelling Zoeken naar Handeling Selecteer een van de volgende opties in de vervolgkeuzelijst: Gebruikers Groepen Containers 210 Identity Manager-gebruikerstoepassing: beheerdershandleiding

219 Instelling Begint met Handeling Gewenst resultaat: Hiermee zoekt u naar alle beschikbare objecten van het opgegeven type (gebruiker, groep of container) en maakt u deze instelling vervolgens leeg. Hiermee zoekt u naar een subset van deze objecten en voert u vervolgens de begintekens van de gewenste CN-waarden in. (De invoer is niet hoofdlettergevoelig. Jokertekens worden niet ondersteund.) Als u naar groepen zoekt die beginnen met V, worden de zoekresultaten bijvoorbeeld beperkt tot de volgende items: cn=verkoop,oe=groepen,o=mijnorg cn=vervoer,oe=groepen,o=mijnorg cn=verzending,oe=groepen,o=mijnorg Als u naar groepen zoekt die beginnen met Verk geeft dit als resultaat: cn=verkoop,oe=groepen,o=mijnorg 3 Klik op Ga. De zoekresultaten worden weergegeven in de lijst Resultaten. 4 Selecteer de gebruikers, groepen of containers die u wilt toewijzen als beheerders van de gebruikerstoepassing en klik vervolgens op de knop Toevoegen (>). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 5 Klik op Opslaan. De toewijzing van beheerders van de gebruikerstoepassing ongedaan maken: 1 Selecteer in de lijst Huidige toewijzingen de gebruikers, groepen of containers waarvan u de toewijzing als beheerder van de gebruikerstoepassing ongedaan wilt maken en klik vervolgens op de knop Verwijderen (<). TIP: houd de Ctrl-toets ingedrukt als u meerdere items wilt selecteren. 2 Klik op Opslaan. Beveiligingsconfiguratie 211

220 212 Identity Manager-gebruikerstoepassing: beheerdershandleiding

221 12Logboekconfiguratie In dit hoofdstuk leest u hoe u de pagina Logboek op het tabblad Beheer van de Identity Managergebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 12.1, Informatie over logboekconfiguratie, op pagina 213 Sectie 12.2, Informatie over de logboeken, op pagina 213 Sectie 12.3, Logboekniveaus wijzigen, op pagina 216 Sectie 12.4, Logboekberichten verzenden naar Novell Audit, op pagina 217 Sectie 12.5, De logboekinstellingen permanent opslaan, op pagina 217 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer Informatie over logboekconfiguratie Op de pagina Logboek kunt u bepalen hoeveel logboekberichten door de Identity Managergebruikerstoepassing worden gegenereerd en opgeven welke berichten naar Novell Audit worden gestuurd. In de Identity Manager-gebruikerstoepassing worden logboeken geïmplementeerd met log4j, een open-source logboekpakket dat wordt geleverd door The Apache Software Foundation. Standaard worden gebeurtenisberichten vastgelegd op de volgende locaties: De systeemconsole van de toepassingsserver waarop de Identity Manager-gebruikerstoepassing is geïmplementeerd Een logboekbestand op de desbetreffende toepassingsserver, bijvoorbeeld: jboss/server/idm/log/server.log 12 Dit is een roulerend logboekbestand. Wanneer een bepaalde grootte wordt bereikt, wordt hiervoor een ander bestand gebruikt (enzovoort). Als u de omgeving hebt geconfigureerd met gebruik van Novell Audit, beschikt u ook over de optie voor de registratie van gebeurtenisberichten. Zie Hoofdstuk 5, Logboeken instellen, op pagina 119 voor meer informatie over het configureren van de logboekomgeving en Novell Audit Informatie over de logboeken Op de pagina Logboek worden diverse logboeken weergegeven. Elk logboek bevat gebeurtenisberichten uit een ander gedeelte van de Identity Manager-gebruikerstoepassing. Elk logboek heeft een onafhankelijk uitvoerniveau. De logboeknamen zijn gebaseerd op log4j-conventies. Deze logboeknamen worden weergegeven in de gebeurtenisberichten die worden gegenereerd. Deze geven de context van de berichtuitvoer aan. Logboekconfiguratie 213

222 Logboeknaam com.novell com.novell.afw.portal.aggregation com.novell.afw.portal.persist Beschrijving Bovenliggend logboek van de Identity Managergebruikerstoepassing Berichten met betrekking tot de verwerking van portalpagina's Berichten met betrekking tot de permanente opslag van portalgegevens (inclusief portalpagina's en portletregistraties) com.novell.afw.portal.portlet com.novell.afw.portal.util com.novell.afw.portlet.consumer com.novell.afw.portlet.core com.novell.afw.portlet.persist com.novell.afw.portlet.producer com.novell.afw.portlet.util com.novell.afw.theme com.novell.afw.util com.novell.soa.af.impl com.novell.srvprv.apwa com.novell.srvprv.impl.portlet.core com.novell.srvprv.impl.portlet.util com.novell.srvprv.impl.servlet com.novell.srvprv.impl.uictrl com.novell.srvprv.impl.vdata com.novell.srvprv.spi Berichten van de basisportlets van de portal en accessoireportlets Berichten van de portalimport/-export en navigatieportlets Berichten met betrekking tot het genereren van portlets Berichten met betrekking tot de API van de basisportlet Berichten met betrekking tot de permanente opslag van portletgegevens (inclusief portletvoorkeuren en instellingswaarden) Berichten met betrekking tot de registratie en configuratie van portlets in de portal Berichten met betrekking tot hulpprogrammacode die door portlets wordt gebruikt Berichten van het themasubsysteem Berichten met betrekking tot hulpprogrammaklassen van de portal Berichten van het subsysteem voor de goedkeuringsstroom (werkstroom voor toegangsbeheer) Berichten van de webtoepassing Aanvragen & goedkeuringen (acties en codes) Berichten van de basisidentiteitsportlets en wachtwoordportlets Berichten van de hulpprogrammaportlets met betrekking tot identiteit Berichten van de ajax-servlet en ajax-services van de structuur voor besturingselementen van de gebruikersinterface Berichten van de API voor het register voor besturingselementen van de gebruikersinterface en de generatie van goedkeuringsformulieren Berichten van de directory-abstractielaag Berichten van de API voor het register voor besturingselementen van de gebruikersinterface 214 Identity Manager-gebruikerstoepassing: beheerdershandleiding

223 Logboeknaam com.sssw.fw.cachemgr com.sssw.fw.core com.sssw.fw.directory Beschrijving Berichten met betrekking tot het cachesubsysteem van de structuur Berichten met betrekking tot het basissubsysteem van de structuur Berichten met betrekking tot het directorysubsysteem van de structuur com.sssw.fw.event com.sssw.fw.factory com.sssw.fw.persist com.sssw.fw.resource com.sssw.fw.security com.sssw.fw.server com.sssw.fw.servlet com.sssw.fw.session com.sssw.fw.usermgr com.sssw.fw.util com.sssw.portal.manager com.sssw.portal.persist Berichten met betrekking tot het gebeurtenissubsysteem van de structuur Berichten met betrekking tot het factorysubsysteem van de structuur Berichten met betrekking tot het subsysteem voor permanente opslag van de structuur Berichten met betrekking tot het resourcesubsysteem van de structuur Berichten met betrekking tot het beveiligingssubsysteem van de structuur Berichten met betrekking tot het serversubsysteem van de structuur Berichten met betrekking tot het servletsubsysteem van de structuur Berichten met betrekking tot het sessiesubsysteem van de structuur Berichten met betrekking tot het gebruikerssubsysteem van de structuur Berichten met betrekking tot het hulpprogrammasubsysteem van de structuur Berichten met betrekking tot portletbeheer Berichten met betrekking tot permanente opslag van portals De logboeken van de gebruikerstoepassing zijn hiërarchisch opgebouwd. Com.novell is bijvoorbeeld het bovenliggende logboek van andere logboeken die zich hieronder bevinden. Voor extra logboeken worden de eigenschappen van het bovenliggende logboek overgenomen. Logboekconfiguratie 215

224 12.3 Logboekniveaus wijzigen U kunt de hoeveelheid informatie beheren die naar een bepaald logboek wordt geschreven door het ingestelde niveau te wijzigen. Standaard zijn alle logboeken ingesteld op Info. Dit is een tussenliggend niveau. Logboekniveaus wijzigen: 1 Ga naar de pagina Logboek: 2 Bepaal boven aan de pagina van welk logboek u het niveau wilt wijzigen. 3 Selecteer een van de volgende niveaus via de vervolgkeuzelijst: Niveau Ernstig Beschrijving Het minste detail: Hiermee worden onherstelbare fouten naar het logboek geschreven. Fout Waarschuwen Hiermee worden fouten (en alle bovengenoemde informatie) naar het logboek geschreven. Hiermee worden waarschuwingen (en alle bovengenoemde informatie) naar het logboek geschreven. 216 Identity Manager-gebruikerstoepassing: beheerdershandleiding

225 Niveau Info Fouten oplossen Traceren Beschrijving Hiermee worden informatieberichten (en alle bovengenoemde informatie) naar het logboek geschreven. Hiermee wordt foutopsporingsinformatie (en alle bovengenoemde informatie) naar het logboek geschreven. Het meeste detail: Hiermee wordt traceringsinformatie (en alle bovengenoemde informatie) naar het logboek geschreven. 4 Herhaal desgewenst Stap 2 en Stap 3 voor andere logboeken. 5 Klik op Indienen Logboekberichten verzenden naar Novell Audit Op de pagina Logboek kunt u bepalen of er via de Identity Manager-gebruikerstoepassing gebeurtenisberichten moeten worden verzonden naar Novell Audit. De logboekregistratie via Novell Audit is standaard uitgeschakeld, tenzij u deze inschakelt tijdens de installatie van de gebruikerstoepassing. De logboekregistratie via Novell Audit in-/uitschakelen: 1 Ga naar de pagina Logboek. 2 Schakel de volgende instelling in of uit: Tevens logboekberichten verzenden naar Audit 3 Klik op Indienen De logboekinstellingen permanent opslaan Standaard blijven de aangebrachte wijzigingen op de pagina Logboek van kracht totdat de toepassingsserver opnieuw wordt opgestart of de gebruikerstoepassing opnieuw wordt geïmplementeerd. Hierna worden de logboekinstellingen hersteld naar de standaardwaarden. Op de pagina Logboek beschikt u echter over de optie om de wijzigingen in de instellingen permanent op te slaan. Als u deze functie inschakelt, worden de waarden voor de logboekinstellingen opgeslagen in een logboekconfiguratiebestand op de toepassingsserver waarop de Identity Manager-gebruikerstoepassing is geïmplementeerd. Bijvoorbeeld: jboss/server/idm/conf/uitgebreidlogboek.xml De permanente opslag van instellingen in-/uitschakelen: 1 Ga naar de pagina Logboek. 2 Schakel de volgende instelling in of uit: Logboekconfiguratie 217

226 Logboekwijzigingen permanent opslaan 3 Klik op Indienen. 218 Identity Manager-gebruikerstoepassing: beheerdershandleiding

227 13Cacheconfiguratie In dit hoofdstuk leest u hoe u de pagina Opslaan in cache op het tabblad Beheer van de Identity Manager-gebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 13.1, Informatie over cacheconfiguratie, op pagina 219 Sectie 13.2, Caches leegmaken, op pagina 219 Sectie 13.3, Cache-instellingen configureren, op pagina 222 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer Informatie over cacheconfiguratie Op de pagina Opslaan in cache kunt u diverse caches beheren die worden onderhouden door de Identity Manager-gebruikerstoepassing. In de gebruikerstoepassing worden deze caches gebruikt om herbruikbare, tijdelijke gegevens op de toepassingsserver op te slaan, zodat de prestaties kunnen worden geoptimaliseerd. U kunt deze caches op elk gewenst moment beheren door de inhoud leeg te maken en de configuratie-instellingen te wijzigen Caches leegmaken De cachenamen zijn gebaseerd op de subsystemen waarin de caches worden gebruikt in de Identity Manager-gebruikerstoepassing. Normaal gesproken hoeft u deze niet zelf leeg te maken, omdat dit automatisch gebeurt via de gebruikerstoepassing op basis van hoe vaak de gegevens worden 13 Cacheconfiguratie 219

228 gebruikt of wanneer de brongegevens worden gewijzigd. In specifieke gevallen kunt u de geselecteerde caches of alle caches echter handmatig leegmaken. Caches leegmaken: 1 Ga naar de pagina Opslaan in cache. 220 Identity Manager-gebruikerstoepassing: beheerdershandleiding

229 2 Selecteer in het gedeelte Cache leegmaken van de pagina de cache die u wilt leegmaken in de vervolgkeuzelijst (of selecteer Alles leegmaken): De lijst met beschikbare caches is dynamisch; dat wil zeggen dat deze verandert, afhankelijk van de gegevens die zich op dat moment in de cache bevinden. 3 Klik op de knop Cache leegmaken De cache voor de directory-abstractielaag leegmaken De directory-abstractielaag van de gebruikerstoepassing heeft ook een cache. In de cache DirectoryAbstractLayerDefinitions worden definities voor de abstractielaag opgeslagen op de toepassingsserver om de prestaties voor alle gegevensmodelbewerkingen te optimaliseren. Normaal gesproken wordt de cache DirectoryAbstractLayerDefinitions automatisch via de gebruikerstoepassing gesynchroniseerd met de abstractielaagdefinities die zijn opgeslagen in de opslagplaats voor ID's. Indien nodig, kunt u de cache DirectoryAbstractLayerDefinitions echter handmatig leegmaken (zoals hiervoor is beschreven), zodat de nieuwste definities worden geladen vanuit de opslagplaats voor ID's. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over de directory-abstractielaag van de gebruikerstoepassing Caches in een cluster leegmaken Het leegmaken van caches wordt ondersteund in geclusterde en niet-geclusterde toepassingsserveromgevingen. Als de toepassingsserver onderdeel is van een cluster en u een cache handmatig leegmaakt, wordt deze cache automatisch leeggemaakt op alle servers in het cluster. Cacheconfiguratie 221

230 13.3 Cache-instellingen configureren Op de pagina Opslaan in cache kunt u cacheconfiguratie-instellingen voor een geclusterde of nietgeclusterde toepassingsserveromgeving weergeven en wijzigen. De wijzigingen worden direct opgeslagen, maar zijn pas van kracht wanneer de gebruikerstoepassing opnieuw wordt gestart. TIP: voer een van de volgende handelingen uit om de gebruikerstoepassing opnieuw te starten: start de toepassingsserver opnieuw op, implementeer de toepassing opnieuw (als de WAR is gewijzigd) of start de toepassing opnieuw (zoals wordt beschreven in de documentatie bij de toepassingsserver). Als u cache-instellingen wilt configureren, moet u op de hoogte zijn van de volgende informatie: Sectie , Implementatie van caches, op pagina 222 Sectie , Cache-instellingen opslaan, op pagina 222 Sectie , Cache-instellingen weergeven, op pagina 224 Sectie , Basiscache-instellingen, op pagina 224 Sectie , Cache-instellingen voor clusters, op pagina Implementatie van caches In de Identity Manager-gebruikerstoepassing wordt het opslaan in de cache geïmplementeerd via JBoss Cache. JBoss Cache is een open-source cache-architectuur die is opgenomen in de JBosstoepassingsserver, maar die ook kan worden uitgevoerd op andere toepassingsservers. Ga naar ( voor meer informatie over JBoss Cache Cache-instellingen opslaan U beschikt over twee instellingsniveaus om de cacheconfiguratie te beheren. U kunt deze samen gebruiken om de werking van de cache van de Identity Manager-gebruikerstoepassing aan te passen. 222 Identity Manager-gebruikerstoepassing: beheerdershandleiding

231 Niveau Algemene instellingen Beschrijving Algemene instellingen worden opgeslagen op een centrale locatie (de opslagplaats voor ID's), zodat dezelfde instellingswaarden kunnen worden gebruikt voor meerdere toepassingsservers. Als u bijvoorbeeld een cluster met toepassingsservers hebt, gebruikt u normaal gesproken algemene instellingen voor de clusterconfiguratiewaarden. Zoek naar het volgende object onder het stuurprogramma van de Identity Manager-gebruikerstoepassing om de algemene instellingen in de opslagplaats voor ID's te vinden: configuration.appdefs.appconfig Bijvoorbeeld: configuration.appdefs.appconfig.myuserapplicatio ndriver.mydriverset.myorg Lokale instellingen Het XmlData-kenmerk van het configuratieobject bevat de algemene instellingsgegevens. Lokale instellingen worden afzonderlijk opgeslagen op elke toepassingsserver, zodat de waarde van een of meer algemene instellingen voor een afzonderlijke server kan worden vervangen. U wilt bijvoorbeeld een lokale instelling opgeven om een toepassingsserver te verwijderen uit het cluster die is opgegeven in de algemene instellingen of mogelijk om een server opnieuw toe te wijzen aan een ander cluster. Zoek naar het volgende bestand onder de conf-directory van de JBossserverconfiguratie om de lokale instellingen op de toepassingsserver te vinden: sys-configuration-xmldata.xml Bijvoorbeeld: jboss/server/idm/conf/sys-configurationxmldata.xml Als de server lokale instellingen bevat, bevinden deze gegevens zich in dit bestand. (Als er geen lokale instellingen zijn opgegeven, bestaat het bestand niet.) U kunt algemene instellingen beschouwen als de standaardwaarden voor elke toepassingsserver waarop een bepaald exemplaar van het stuurprogramma van de gebruikerstoepassing wordt gebruikt. Wanneer u een algemene instelling wijzigt, heeft dit invloed op elke server (wanneer de Cacheconfiguratie 223

232 gebruikerstoepassing opnieuw wordt gestart), behalve wanneer voor een afzonderlijke server een lokale instelling is opgegeven Cache-instellingen weergeven Op de pagina Opslaan in cache worden de huidige cache-instellingen weergegeven (sinds de laatste keer dat de gebruikerstoepassing opnieuw is gestart). Hier worden ook de bijbehorende algemene en lokale waarden van deze instellingen weergegeven. U kunt deze wijzigen (en gebruiken wanneer de gebruikerstoepassing opnieuw wordt gestart). De algemene instellingen bevatten altijd waarden. De lokale instellingen zijn optioneel Basiscache-instellingen Deze cache-instellingen zijn van toepassing op geclusterde en niet-geclusterde toepassingsservers. Basiscache-instellingen configureren: 1 Ga naar de pagina Opslaan in cache. 2 Geef in het gedeelte Cacheconfiguratie van de pagina desgewenst algemene of lokale waarden op voor de volgende instellingen: Instelling Time-out vergrendelingsaanvraag Handeling Geef het tijdsinterval (in milliseconden) op waarna een object in de cache wordt vergrendeld. Mogelijk wilt u deze instelling verhogen als in de gebruikerstoepassing een groot aantal uitzonderingen voor vergrendelingstime-outs optreedt in het toepassingslogboek. De standaardinstelling is ms. 224 Identity Manager-gebruikerstoepassing: beheerdershandleiding

233 Instelling Beleidsklasse verwijdering Handeling Geef de klassenaam op voor het verwijderingsbeleid van de cache dat u wilt gebruiken. Het standaardbeleid is het LRUverwijderingsbeleid dat beschikbaar is in JBoss Cache: org.jboss.cache.eviction.lrupolicy Seconden activeringsinterval Max. aantal nodes U kunt dit desgewenst wijzigen in een ander verwijderingsbeleid dat wordt ondersteund door JBoss Cache. Ga naar ( voor meer informatie over verwijderingsbeleid dat wordt ondersteund. Geef het tijdsinterval (in seconden) op waarna via het verwijderingsbeleid van de cache de volgende acties worden uitgevoerd: De verwijderde knooppuntgebeurtenissen verwerken De groottelimiet en verouderde knooppunten opruimen Geef het maximale aantal knooppunten op dat is toegestaan in de cache. Als u geen limiet wilt, geeft u het volgende op: 0 Seconden TTL (time to live) Geef de inactieve tijd (in seconden) op waarna het knooppunt wordt verwijderd. Als u geen limiet wilt, geeft u het volgende op: 0 Deze instellingen zijn verplicht. Dit betekent dat er een algemene waarde moet zijn voor elke instelling en optioneel een lokale waarde. Als u de algemene waarde van een instelling wilt vervangen door een lokale waarde, schakelt u het selectievakje Lokaal inschakelen in voor deze instelling. Geef vervolgens de lokale waarde op. (Controleer of alle lokale waarden geldig zijn. Anders kunt u de wijzigingen niet opslaan.) OPMERKING: voor de instellingen waarbij het selectievakje Lokaal inschakelen is uitgeschakeld, worden de bestaande lokale waarden verwijderd wanneer u opslaat. 3 Klik op Opslaan. 4 Wanneer de opgeslagen instellingen kunnen worden geactiveerd, start u de gebruikerstoepassing opnieuw op de desbetreffende toepassingsserver(s). Cacheconfiguratie 225

234 Cache-instellingen voor clusters In dit gedeelte wordt beschreven hoe u de cache kunt configureren wanneer u de Identity Managergebruikerstoepassing uitvoert op een cluster met toepassingsservers. U moet bekend zijn met: Sectie, De implementatie van clusters, op pagina 226 Caching gebruiken met een cluster op pagina 226 Het gebruik van een cluster voorbereiden op pagina 226 Cache-instellingen voor clusters configureren op pagina 227 De implementatie van clusters In de Identity Manager-gebruikerstoepassing wordt clusterondersteuning voor de cache geïmplementeerd via JGroups. JGroups is een open-source clusterarchitectuur die is opgenomen in de JBoss-toepassingsserver, maar die ook kan worden uitgevoerd op andere toepassingsservers. Het cluster van de gebruikerstoepassing bestaat uit knooppunten op een netwerk waarop JGroups wordt uitgevoerd en waarbij een gemeenschappelijke groeps-id wordt gebruikt. Standaard is de groeps-id voor het cluster van de gebruikerstoepassing een UUID die er als volgt uitziet: c373e901aba5e8ee De UUID zorgt ervoor dat ID's uniek zijn, zodat de groeps-id van het cluster van de gebruikerstoepassing niet conflicteert met de groeps-id's van andere clusters in de omgeving. Op de JBoss-toepassingsserver worden bijvoorbeeld twee JGroups-clusters gebruikt. Hiervoor worden de groeps-id's DefaultPartition en TreeCache gereserveerd. Ga naar ( voor meer informatie over JGroups. Caching gebruiken met een cluster Wanneer u de gebruikerstoepassing start, wordt via de cacheconfiguratie-instellingen van de toepassing bepaald of deze van toepassing zijn op een cluster en of de wijzigingen in de cache worden gekopieerd naar de andere knooppunten in dit cluster. Als clusteren is ingeschakeld, vindt het kopiëren in de gebruikerstoepassing plaats doordat er ongeldigheidsberichten voor cache-invoer naar elk knooppunt worden verzonden wanneer er wijzigingen optreden. Het gebruik van een cluster voorbereiden U moet twee belangrijke stappen uitvoeren voor het gebruik van caching in een cluster: 1 Het JGroups-cluster instellen Hiervoor moet u de JBoss-toepassingsserver installeren met de configuratie alles. Vervolgens moet u de Identity Manager-gebruikerstoepassing (IDM.war) distribueren naar alle servers in het cluster, meestal door deze in de directory farm te plaatsen. 2 Het gebruik van dit cluster inschakelen in de cacheconfiguratie-instellingen van de gebruikerstoepassing Zie Cache-instellingen voor clusters configureren op pagina 227 (hieronder). 226 Identity Manager-gebruikerstoepassing: beheerdershandleiding

235 Cache-instellingen voor clusters configureren Wanneer een cluster gereed is voor gebruik, kunt u instellingen opgeven voor de ondersteuning van caching in het cluster. Cache-instellingen voor clusters configureren: 1 Ga naar de pagina Opslaan in cache. 2 Geef in het gedeelte Clusterconfiguratie van de pagina desgewenst algemene of lokale waarden op voor de volgende instellingen: Instelling Cluster ingeschakeld Groeps-ID Handeling Selecteer Waar om cachewijzigingen te kopiëren naar de andere knooppunten in het cluster die is opgegeven via de groeps-id. Selecteer Onwaar als u het cluster niet wilt gebruiken. Geef de groeps-id op van het JGroups-cluster die u wilt gebruiken. U hoeft de standaardgroeps-id voor het cluster van de gebruikerstoepassing niet te wijzigen, tenzij u een ander cluster wilt gebruiken. Denk eraan dat de volgende groeps-id's zijn gereserveerd voor gebruik door de JBoss-toepassingsserver: DefaultPartition en TreeCache. TIP: als u de groeps-id in logboekberichten wilt bekijken, controleert u of het niveau van het cachelogboek (com.sssw.fw.cachemgr) is ingesteld op Info of hoger. Clustereigenschappen Geef de protocolstack van JGroups op voor het cluster die is opgegeven met de groeps-id. Deze instelling is bedoeld voor ervaren beheerders die mogelijk de clustereigenschappen moeten aanpassen. Als dit niet het geval is, moet u de standaardprotocolstack niet wijzigen. Klik op weergeven om de huidige clustereigenschappen te bekijken. Ga naar ( voor meer informatie over de protocolstack van JGroups. Als u de algemene waarde van een instelling wilt vervangen door een lokale waarde, schakelt u het selectievakje Lokaal inschakelen in voor deze instelling. Geef vervolgens de lokale waarde op. OPMERKING: voor de instellingen waarbij het selectievakje Lokaal inschakelen is uitgeschakeld, worden de bestaande lokale waarden verwijderd wanneer u opslaat. Controleer of voor alle knooppunten in het cluster dezelfde groeps-id en clustereigenschappen zijn opgegeven. (Als u deze instellingen wilt bekijken voor een bepaald knooppunt, moet u de Identity Manager-gebruikersinterface openen die op dit knooppunt wordt uitgevoerd, door naar de URL van de gebruikersinterface op deze server te bladeren. Vervolgens geeft u de pagina Opslaan in cache hier weer.) 3 Klik op Opslaan. Cacheconfiguratie 227

236 4 Wanneer de opgeslagen instellingen kunnen worden geactiveerd, start u de gebruikerstoepassing opnieuw op de desbetreffende toepassingsserver(s). 228 Identity Manager-gebruikerstoepassing: beheerdershandleiding

237 14Hulpprogramma's voor het exporteren en importeren van portalgegevens 14 In dit hoofdstuk leest u hoe u de pagina Hulpprogramma's op het tabblad Beheer van de Identity Manager-gebruikersinterface kunt gebruiken. De volgende onderwerpen komen aan bod: Sectie 14.1, Informatie over het exporteren en importeren van portalgegevens, op pagina 229 Sectie 14.2, Portalgegevens exporteren, op pagina 231 Sectie 14.3, Portalgegevens importeren, op pagina 232 Zie Hoofdstuk 6, Het tabblad Beheer gebruiken, op pagina 131 voor algemene informatie over het openen van en werken met het tabblad Beheer Informatie over het exporteren en importeren van portalgegevens Op de pagina Hulpprogramma's kunt u portalinhoud (pagina's en portlets) die wordt gebruikt in de Identity Manager-gebruikerstoepassing exporteren of importeren. Deze inhoud wordt ook wel de portalconfiguratiestatus genoemd. Deze bestaat uit: Containerpagina's en gedeelde pagina's (inclusief de toegewezen portlets van elke pagina en de voorkeuren en instellingen van elke portlet) Portletregistraties Via de hulpprogramma's voor exporteren en importeren kunt u de portalconfiguratiestatus van een portal (gebruikerstoepassing) desgewenst verplaatsen naar een andere portal. Deze hulpprogramma's werken als volgt: Hulpprogramma Portalgegevens exporteren Portalgegevens importeren Werking Hiermee worden XML-beschrijvingen gegenereerd voor een set geselecteerde containerpagina's, gedeelde pagina's en portlets. De XMLbestanden worden opgeslagen in een ZIP-bestand voor het exporteren van portalgegevens dat kan worden gebruikt als invoer voor het hulpprogramma Portalgegevens importeren. Hiermee wordt een ZIP-bestand voor het exporteren van portalgegevens als invoer geaccepteerd. Met het ZIP-bestand voor het exporteren van portalgegevens worden containerpagina's, gedeelde pagina's en portlets in een portal (gebruikerstoepassing) gegenereerd. Hulpprogramma's voor het exporteren en importeren van portalgegevens 229

238 Gebruik Met de hulpprogramma's Portalgegevens exporteren/importeren kunt u: De portalconfiguratiestatus van een testomgeving (bron) verplaatsen naar een productieomgeving (doel) De configuratiestatus van een portal incrementeel bijwerken Een portal klonen De configuratiestatus op de doelportal optioneel overschrijven Vereisten Als u de hulpprogramma's Portalgegevens exporteren/importeren wilt gebruiken, controleert u of de Identity Manager-gebruikerstoepassing (portal) is geïmplementeerd en wordt uitgevoerd op de bronen doeltoepassingsservers. Het is niet verplicht dat dezelfde opslagplaats voor ID's wordt geopend door de bron- en doelservers. Er kunnen ook verschillende opslagplaatsen voor ID's worden geopend. De gebruikers, groepen en containers in deze opslagplaatsen voor ID's hoeven niet gelijk te zijn Beperkingen U kunt de hulpprogramma's Portalgegevens exporteren/importeren niet gebruiken om: Een portalconfiguratiestatus te exporteren of te importeren wanneer op een server aanvragen van gebruikers worden verwerkt Portalklassen en -resources te exporteren of te importeren Portletklassen en -resources te exporteren of te importeren De identiteits- en toegangsbeheergegevens die in een portal worden gebruikt te exporteren of te importeren Beheerinstellingen, behalve voor pagina's en portlets, te exporteren of te importeren De configuratiestatus van een eerdere portalversie te migreren naar een nieuwere versie (de portals moeten van dezelfde versie zijn) Stappen Portalgegevens exporteren en importeren: 1 Als u een incrementele update uitvoert, maakt u een reservekopie van de doelportal. 2 Exporteer de portalgegevens vanuit de bronportal via het hulpprogramma Portalgegevens exporteren. Zie Sectie 14.2, Portalgegevens exporteren, op pagina Importeer de portalgegevens vanuit de doelportal via het hulpprogramma Portalgegevens importeren. Zie Sectie 14.3, Portalgegevens importeren, op pagina Test de doelportal om te controleren of u de juiste gegevens hebt geïmporteerd. 230 Identity Manager-gebruikerstoepassing: beheerdershandleiding

239 14.2 Portalgegevens exporteren In dit gedeelte wordt beschreven hoe u de configuratiestatus van een portal kunt exporteren naar een ZIP-bestand voor het exporteren van portalgegevens. Portalgegevens exporteren: 1 Selecteer Portalgegevens exporteren in het navigatiemenu links op de pagina Hulpprogramma's. Het scherm Portalgegevens exporteren wordt weergegeven: 2 Volg de instructies op het scherm om de portalpagina's en portlets te selecteren die u wilt exporteren. OPMERKING: een aantal portlets dat u niet voor de export hebt geselecteerd, wordt mogelijk toch geëxporteerd. Als u een pagina met een portlet exporteert en deze portlet niet voor de export hebt geselecteerd, wordt de portlet toch geëxporteerd (zodat er geen runtime-fout optreedt voor de geëxporteerde pagina). 3 Wanneer u klaar bent met de selecties, klikt u op de knop Portalgegevens exporteren. Het nieuwe ZIP-bestand voor het exporteren van portalgegevens wordt gegenereerd met een standaardnaam waarin de huidige datum en tijd zijn opgenomen. Bijvoorbeeld: Hulpprogramma's voor het exporteren en importeren van portalgegevens 231

240 PortalGegevens.21-Okt zip U wordt vervolgens gevraagd om dit ZIP-bestand lokaal op te slaan (of dit te openen met een geschikt archiveringshulpprogramma). Bijvoorbeeld: 4 Sla het ZIP-bestand voor het exporteren van portalgegevens op een geschikte locatie op Portalgegevens importeren In dit gedeelte wordt beschreven hoe u een ZIP-bestand voor het exporteren van portalgegevens kunt importeren in een portal. OPMERKING: tijdens het importeren moet de doeltoepassingsserver worden uitgevoerd, maar mogen er geen aanvragen van gebruikers worden verwerkt. Portalgegevens importeren: 1 Selecteer Portalgegevens importeren in het navigatiemenu links op de pagina Hulpprogramma's. 232 Identity Manager-gebruikerstoepassing: beheerdershandleiding

241 Het scherm Portalgegevens importeren wordt weergegeven: 2 Geef de volgende algemene importinstellingen op: Instelling Archiveren Handeling Klik op de knop Bladeren om het ZIP-bestand voor het exporteren van portalgegevens te selecteren dat u wilt importeren. Bijvoorbeeld: PortalGegevens.21-Okt zip Hulpprogramma's voor het exporteren en importeren van portalgegevens 233

242 Instelling Beveiligingsinstellingen importeren? Handeling Selecteer een van de volgende opties: Ja: als u de machtigingen die in het ZIP-bestand voor het exporteren van portalgegevens zijn opgegeven, wilt importeren voor de toegang tot pagina's en portlets door gebruikers, groepen en containers. Controleer of de desbetreffende gebruikers, groepen en containers bestaan in de opslagplaats voor ID's van de doelportal. Machtigingen voor ontbrekende items worden niet geïmporteerd. Nee: als u de machtigingen die in het ZIP-bestand voor het exporteren van portalgegevens zijn opgegeven, wilt negeren. 3 Klik op de knop Importarchief weergeven. Op het scherm worden meer details weergegeven over het geselecteerde ZIP-bestand voor het exporteren van portalgegevens en de manier waarop u dit wilt importeren: 4 Geef de volgende gedetailleerde importinstellingen op: 234 Identity Manager-gebruikerstoepassing: beheerdershandleiding

243 Instelling Bestaande gegevens vervangen? Handeling Selecteer een van de volgende opties: Ja: als u de bestaande pagina's en portlets in de doelportal wilt vervangen door de inhoud van het ZIP-bestand voor het exporteren van portalgegevens. Als het ZIP-bestand voor het exporteren van portalgegevens bijvoorbeeld een gedeelde pagina met de naam MijnPagina en de doelportal een gedeelde pagina met de naam MijnPagina bevat, wordt de bestaande pagina overschreven in de doelportal. Nee: als u het importeren voor alle bestaande pagina's en portlets wilt overslaan. Toegangsniveau voor geïmporteerde objecten Groepsinstellingen importeren? Containerpagina's importeren Gedeelde pagina's importeren Portlets importeren Selecteer een van de volgende opties: Alle gebruikers: voor onbeperkte toegang tot geïmporteerde pagina's en portlets. Alleen beheerder: voor beperkte toegang tot geïmporteerde pagina's en portlets. Als u ervoor hebt gekozen om beveiligingsinstellingen te importeren, wordt dit toegangsniveau alleen toegepast op de geïmporteerde pagina's en portlets waarvoor geen beveiligingsinstelling is geïmporteerd (meestal omdat de opgegeven gebruikers, groepen of containers niet bestaan in de opslagplaats voor ID's van de doelportal). Als u ervoor hebt gekozen om geen beveiligingsinstellingen te importeren, wordt dit toegangsniveau toegepast op alle pagina's en portlets die worden geïmporteerd. (Als u ervoor hebt gekozen om beveiligingsinstellingen te importeren) Selecteer een van de volgende opties: Ja: als u de toewijzingen voor de standaardcontainerpagina en standaard gedeelde pagina wilt importeren die in het ZIP-bestand voor het exporteren van portalgegevens zijn opgegeven voor groepen. Controleer of de desbetreffende groepen bestaan in de opslagplaats voor ID's van de doelportal. Toewijzingen voor ontbrekende groepen worden niet geïmporteerd. Nee: als u de toewijzingen voor de standaardpagina wilt negeren die in het ZIP-bestand voor het exporteren van portalgegevens zijn opgegeven voor groepen. Volg de instructies op het scherm om de pagina's en portlets te selecteren die u wilt importeren van het ZIP-bestand voor het exporteren van portalgegevens naar de doelportal. OPMERKING: een aantal portlets dat u niet voor de import hebt geselecteerd, wordt mogelijk toch geïmporteerd. Als u een pagina met een portlet importeert en deze portlet niet voor de import hebt geselecteerd, wordt de portlet toch geïmporteerd (zodat er geen runtime-fout optreedt voor de geïmporteerde pagina). Hulpprogramma's voor het exporteren en importeren van portalgegevens 235

244 Instelling Wijs de portlettoepassingsnamen toe... Archiveren/Lokaal Handeling Wijs via de vervolgkeuzelijsten Archiveren en Lokaal de portlettoepassingsnamen in het archief (ZIP-bestand voor het exporteren van portalgegevens) toe aan bestaande portlettoepassingen op de lokale (doel)toepassingsserver. 5 Wanneer u wilt importeren, klikt u op de knop Portalgegevens importeren. Wanneer het importeren is voltooid, wordt het scherm Resultaten Portalgegevens importeren weergegeven: Niet-geïmporteerde gegevens worden rood weergegeven. Als u problemen bij het importeren (of exporteren) wilt oplossen, zoekt u in de systeemconsole of het logboekbestand (zoals jboss/ server/idm/log/server.log) van de toepassingsserver naar berichten van het volgende logboek van de gebruikerstoepassing: com.novell.afw.portal.util 236 Identity Manager-gebruikerstoepassing: beheerdershandleiding

245 IVPortletverwijzing In de volgende hoofdstukken vindt u informatie over het configureren van de identiteits- en systeemportlets die worden gebruikt in de Identity Manager-gebruikersinterface. Hoofdstuk 15, Informatie over portlets, op pagina 239 Hoofdstuk 16, Portlet Maken, op pagina 243 Hoofdstuk 17, Portlet Detail, op pagina 249 Hoofdstuk 18, Portlet Organigram, op pagina 265 Hoofdstuk 19, Portlets voor wachtwoordbeheer, op pagina 281 Hoofdstuk 20, De portlet Zoeklijst, op pagina 295 IV Portletverwijzing 237

246 238 Identity Manager-gebruikerstoepassing: beheerdershandleiding

247 15Informatie over portlets Dit hoofdstuk bevat informatie over de portlets die worden gebruikt in de Identity Managergebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 15.1, Accessoire-portlets, op pagina 239 Sectie 15.2, Beheerportlets, op pagina 239 Sectie 15.3, Identiteit-portlets, op pagina 240 Sectie 15.4, Wachtwoordportlets, op pagina 241 Sectie 15.5, Systeemportlets, op pagina 241 Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het beheren van portlets Accessoire-portlets Accessoire-portlets bevatten een uitgebreide set functies die u kunt toevoegen aan de Identity Manager-gebruikerstoepassing. Accessoire-portlets bevatten - en bestandssysteemfuncties en andere functies. Voor meer informatie: 15 Portletcategorie Bestandssysteem Voor meer informatie Zie de Identity Manager-beheerdershandleiding voor accessoire-portlets. Overig 15.2 Beheerportlets Met de portlets in de categorie Beheer kunt u de lay-out en inhoud van de gebruikersinterface beheren. OPMERKING: U wordt aangeraden deze portlets niet te gebruiken of te wijzigen. Deze bevatten structuurservices voor de gebruikerstoepassing. De beheerportlets bevatten de volgende opties: Naam van de portlet Kop Portlet Beschrijving Hierin worden de koptekstinformatie en de tabbesturingselementen op het hoogste niveau voor de gebruikersinterface weergegeven. Er zijn geen voorkeuren beschikbaar voor deze portlet. Informatie over portlets 239

248 Naam van de portlet Navigatie gedeelde pagina's Beschrijving Hier wordt een menu weergegeven met de gedeelde pagina's van de Identity Manager-gebruikerstoepassing. Met voorkeuren kunt u definiëren welke gegevens worden weergegeven en de manier waarop deze worden weergegeven. Zie Sectie , De portlet Navigatie gedeelde pagina's, op pagina De portlet Navigatie gedeelde pagina's Met de portlet Navigatie gedeelde pagina's worden koppelingen gegenereerd naar de gedeelde pagina's van de Identity Manager-gebruikerstoepassing. U kunt met voorkeursinstellingen de koppelingen voor de weergegeven gedeelde pagina's definiëren. De volgende voorkeuren zijn beschikbaar: Voorkeur sharedpages-sorting (Sortering gedeelde pagina's) sharedpages-sortmode (Sorteermodus gedeelde pagina's) sharedpages-category (Categorie gedeelde pagina's) guest-category Op te geven waarde De volgorde waarin de gedeelde pagina's binnen een categorie worden weergegeven: Oplopend/Aflopend. De sortering van de gedeelde pagina's: Alfabetisch of Prioriteit. Geef een of meer categorieën voor gedeelde pagina's op. De categorienaam wordt weergegeven als koptekst, waarbij alle gedeelde pagina's in de desbetreffende categorie worden weergegeven als koppelingen. Als een categorie geen gedeelde pagina's bevat, wordt deze niet weergegeven. Als de gedeelde pagina niet aan een categorie is toegewezen, wordt deze weergegeven als niet-gecategoriseerd. Geef een categorie op waarvan u de portlets wilt weergeven op de startpagina van de portal. De categorie moet al bestaan en de pagina's in deze categorie mogen geen ACL-leesbeperkingen hebben Identiteit-portlets De Identiteit-portlets worden gebruikt op het tabblad Identiteit-zelfbediening van de Identity Manager-gebruikerstoepassing. De volgende portlets zijn beschikbaar: Naam van de portlet Maken Beschrijving Hiermee wordt een wizard-interface geopend waarin gebruikers objecten kunnen maken in de opslagplaats voor ID's. Zie Hoofdstuk 16, Portlet Maken, op pagina 243. Detail Hiermee kunnen gebruikers de attribuutgegevens van een eenheid weergeven en bewerken. Zie Hoofdstuk 17, Portlet Detail, op pagina Identity Manager-gebruikerstoepassing: beheerdershandleiding

249 Naam van de portlet Organigram Zoeklijst Beschrijving Hiermee kunnen gebruikers de hiërarchische relaties tussen objecten in de opslagplaats voor ID's weergeven en hierin bladeren. Zie Hoofdstuk 18, Portlet Organigram, op pagina 265. Hiermee kunnen gebruikers in de opslagplaats voor ID's naar objecten zoeken. Zie Hoofdstuk 20, De portlet Zoeklijst, op pagina Wachtwoordportlets De wachtwoordportlets vormen de zelfbedieningsfunctionaliteit voor wachtwoorden voor de Identity Manager-gebruikerstoepassing. Dit zijn onder meer: Naam van de portlet IDM-challenge-response IDM-wachtwoord wijzigen Voor meer informatie Zie Hoofdstuk 19, Portlets voor wachtwoordbeheer, op pagina 281. IDM wachtwoord vergeten IDM-suggestie definiëren Aanmelden bij IDM 15.5 Systeemportlets De systeemportlets bieden services voor de Identity Manager-gebruikerstoepassing. OPMERKING: u wordt aangeraden de portlets in deze categorie niet te gebruiken of te wijzigen. De volgende systeemportlets zijn beschikbaar: Naam van de portlet Controller portalpagina Beschrijving Hierin wordt de gedeelde pagina weergegeven die de gebruiker heeft geselecteerd via de portlet Navigatie gedeelde pagina's. Er zijn geen voorkeuren beschikbaar voor deze portlet. Informatie over portlets 241

250 242 Identity Manager-gebruikerstoepassing: beheerdershandleiding

251 16Portlet Maken Dit hoofdstuk bevat informatie over de portlet Maken in de Identity Manager-gebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 16.1, Informatie over de portlet Maken, op pagina 243 Sectie 16.2, De portlet Maken configureren, op pagina 245 Sectie 16.3, Voorkeuren voor Maken instellen, op pagina Informatie over de portlet Maken De portlet Maken bevat een gebruiksvriendelijke wizard waarmee gebruikers verschillende typen objecten voor de opslagplaats voor ID's kunnen maken. Besturingselement van de portletvoorkeuren: De typen objecten die de gebruiker kan maken. De attributen die de gebruiker kan opgeven. Zie voor meer informatie Sectie 16.3, Voorkeuren voor Maken instellen, op pagina 246. Met de standaardconfiguratie van de portlet Maken (die kan worden geopend via de actie Gebruiker of groep maken in de Identity Manager-gebruikerstoepassing) kunnen gebruikers een Gebruiker, een Groep of een Taakgroep maken. Deze portlet is standaard beperkt tot de beheerder van de gebruikerstoepassing. In het volgende voorbeeld wordt aangegeven hoe de gebruiker in de standaardwizard voor de portlet Maken wordt gevraagd om: Het type object te selecteren dat moet worden gemaakt: 16 Portlet Maken 243

252 De attributen van het object te vullen: Te vragen om een wachtwoord, wanneer dit is vereist voor het objecttype: Als er een wachtwoordbeleid is toegewezen, worden aangepaste beleidsberichten via deze portlet weergegeven. Een informatief bericht op te geven wanneer het object is gemaakt, dat wordt gekoppeld aan de portlet Detail voor het desbetreffende object (wanneer de portlet Detail op dezelfde manier is geconfigureerd), zodat dit verder kan worden bewerkt. 244 Identity Manager-gebruikerstoepassing: beheerdershandleiding

253 16.2 De portlet Maken configureren Als u de portlet Maken wilt configureren, moet u het volgende doen: Stap Taak Beschrijving 1 Bepalen of de standaardfunctie Gebruiker maken of Groep maken aan uw vereisten voldoet Als dit het geval is, hoeft u geen verdere acties te ondernemen. Als dit niet het geval is, moet u de volgende stappen uitvoeren. 2 De typen objecten definiëren die gebruikers moeten kunnen maken Voeg de objecten en attributen toe aan de directoryabstractielaag. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie. 3 Bepalen hoe de gebruikers toegang hebben tot deze nieuwe portlet Wilt u dat gebruikers deze portlet kunnen openen vanuit een bestaande of een nieuwe pagina? Welke gebruikers kunnen de portlet en de pagina openen? Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie over pagina's. 4 De gebruikers opgeven die toegang hebben tot de pagina en het portletexemplaar Bewerk de paginabeveiliging en voeg de gebruikers toe aan de lijst. Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie over het beperken van de gebruikerstoegang tot pagina's. Bewerk het portletexemplaar om de beveiliging te wijzigen. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het beperken van de gebruikerstoegang tot portlets. 5 Voorkeuren voor de portlet instellen Met voorkeuren kunt u definiëren: Welke objecten door gebruikers kunnen worden gemaakt. Welke attributen moeten worden opgegeven tijdens het maken. Zie Sectie 16.3, Voorkeuren voor Maken instellen, op pagina 246 voor meer informatie. 6 Testen Controleer of de objecten zijn gemaakt en de attributen juist worden gevuld. 7 De juiste effectieve rechten voor de eindgebruikers vastleggen in edirectory Als een gebruiker een object wil maken, moet deze een Vertrouwde zijn van de organisatie-eenheid en de organisatie waarin het object is gemaakt De directory-abstractielaag instellen Objecten die kunnen worden gemaakt en attributen die kunnen worden gevuld door gebruikers van de portlet Maken, moeten als volgt in de directory-abstractielaag worden gedefinieerd: Portlet Maken 245

254 Definitietype Eigenschap Waarde eenheid maken Geselecteerd weergeven Geselecteerd Als deze eigenschap niet is geselecteerd, wordt de eenheid niet weergegeven in de lijst met eenheden die kunnen worden gemaakt. Container voor Maken Geef een geldige container voor de opslagplaats voor id's op. Als u geen geldige container opgeeft, wordt de hoofdcontainer gebruikt die is opgegeven bij de installatie van de gebruikerstoepassing. Wachtwoord Geselecteerd als er voor het eenheidstype een wachtwoord nodig is voor het maken. attribuut ingeschakeld zichtbaar Iedereen die toegang heeft tot Maken en die beschikt over vertrouwdenrechten voor de organisatie-eenheid kan gebruikers maken en het eerste wachtwoord toewijzen. Wanneer de nieuwe gebruiker zich de eerste keer aanmeldt, wordt deze omgeleid naar de portlet IDMwachtwoord wijzigen, waar de gebruiker het eerste wachtwoord kan wijzigen. Zie Hoofdstuk 19, Portlets voor wachtwoordbeheer, op pagina 281 voor meer informatie over de portlet IDMwachtwoord wijzigen. Geselecteerd Als ingeschakeld of zichtbaar niet is geselecteerd (onwaar), kan het attribuut niet door de portlet worden gebruikt. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over het instellen van de abstractielaag Voorkeuren voor Maken instellen U kunt de typen objecten die een gebruiker kan maken en de attributen die deze kan of moet opgeven, configureren door voorkeuren in te stellen. 246 Identity Manager-gebruikerstoepassing: beheerdershandleiding

255 De voorkeuren voor de portlet Maken bevinden zich op één aangepaste voorkeurenpagina. Wanneer u deze pagina opent, worden de afzonderlijke voorkeuren voor Maken weergegeven: De voorkeuren worden hieronder beschreven (u kunt ook op de knop Beschrijvingen klikken om de online Help voor deze portlet weer te geven). Voorkeur Eenheidsdefinitie Beschrijving De naam van het objecttype dat moet worden gemaakt. Dit geeft het begin aan van een eenheidsdefinitieblok waarin u definieert hoe de maakbewerking door de portlet wordt verwerkt. Objecten beperken: De objecten in de complexe voorkeuren worden voor de gebruiker weergegeven in een vervolgkeuzelijst. Als u de objecten wilt beperken die door gebruikers kunnen worden gemaakt, verwijdert u deze uit dit voorkeurenblad via de knop Verwijderen. Andere eenheden toevoegen: Klik op Eenheidsdefinitie toevoegen en voer de wizard uit. Portlet Maken 247

256 Voorkeur Attributen Beschrijving Hiermee bepaalt u welke attributen door de gebruiker moeten worden gevuld. U moet alle vereiste attributen van het object opnemen. Als u dit niet doet, kan het object niet worden gemaakt. Daarnaast worden de voorkeuren niet juist opgeslagen als er een vereist attribuut ontbreekt. Een attribuut toevoegen of verwijderen: Klik op de knop voor het wijzigen van de attributen. Als u een attribuut wilt toevoegen, selecteert u dit (in de lijst met beschikbare attributen). U kunt meerdere attributen selecteren met de Ctrl- of Shift-toets. Klik op de pijl om de attributen naar de lijst Geselecteerd te verplaatsen. Doe het tegenovergestelde om een attribuut te verwijderen. Als u de lijst met attributen opnieuw wilt ordenen, klikt u op de pijlen omhoog en omlaag rechts van de lijst Geselecteerd. Klik op Indienen. Attributen en gegevenstypen: Het gegevenstype van het attribuut heeft invloed op de manier waarop het attribuut wordt weergegeven. Als een attribuut bijvoorbeeld is gedefinieerd als het subtype Lokale of Algemene lijst, wordt het weergegeven in een keuzelijst. Zie Sectie 4.3, Werken met eenheden en attributen, op pagina 87 voor meer informatie. Het voorkeursscherm voltooien Klik op Indienen om te controleren of u geldige items hebt ingediend. Als een item ongeldig is, wordt een foutbericht boven aan de voorkeurenpagina weergegeven. Klik op Terug naar lijstweergave wanneer er geen fouten worden weergegeven als u op Indienen klikt. Klik op Voorkeuren opslaan wanneer u bent teruggekeerd naar de lijstweergave. 248 Identity Manager-gebruikerstoepassing: beheerdershandleiding

257 17Portlet Detail Dit hoofdstuk bevat informatie over de portlet Detail waarin gebruikers de attribuutgegevens van een eenheid kunnen weergeven en bewerken. Dit is de basis van de actie Mijn profiel op het tabblad Identiteit-zelfbediening van de Identity Manager-gebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 17.1, Informatie over de portlet Detail, op pagina 249 Sectie 17.2, Vereisten, op pagina 258 Sectie 17.5, Voorkeuren instellen, op pagina Informatie over de portlet Detail Met de portlet Detail beschikken gebruikers over een gedetailleerde weergave van de attributen en de bijbehorende waarden van een eenheid. De portlet heeft twee modi: weergeven en bewerken. Wanneer gebruikers de portlet Detail openen, kunnen ze de ingebouwde functionaliteit gebruiken om met deze informatie te werken, waaronder: Sectie , Eenheidsgegevens weergeven, op pagina 250 Sectie , Eenheidsgegevens bewerken, op pagina 253 Sectie , Eenheidsgegevens via verzenden, op pagina 256 (alleen weergavemodus) Sectie , Een koppeling maken naar een organigram, op pagina 256 Sectie , Een koppeling maken naar de details van andere eenheden, op pagina 256 (alleen weergavemodus) Sectie , Eenheidsgegevens afdrukken, op pagina 257 (alleen weergavemodus) 17 Portlet Detail 249

258 Eenheidsgegevens weergeven Wanneer de portlet Detail wordt geopend, worden attribuutgegevens over een geselecteerde eenheid weergegeven, zoals een gebruiker of groep. Het volgende kan bijvoorbeeld in de portlet Detail worden weergegeven wanneer de gebruiker Bill Brown zijn eigen informatie bekijkt: Gebruikersafbeeldingen Standaard is de portlet Detail zo geconfigureerd dat het attribuut Foto gebruiker hierin is opgenomen. Als de opslagplaats voor ID's dit attribuut echter niet bevat of het attribuut niet is gevuld, wordt er een standaardafbeelding weergegeven tijdens runtime. Als u de gebruikersafbeeldingen op een andere locatie opslaat, kunt u de portlet configureren, zodat deze afbeeldingen worden weergegeven. Zie Afbeeldingen dynamisch laden op pagina 253 voor meer informatie. Bepalen welke attributen worden weergegeven In de portlet Detail worden alleen attributen weergegeven waarvoor het volgende geldt: Ze zijn beschikbaar voor weergave via de gegevensdefinities van de directory-abstractielaag. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over VDD-configuratie. Ze zijn opgegeven in de voorkeuren voor Detail. Zie Sectie 17.5, Voorkeuren instellen, op pagina 261 voor meer informatie over het opgeven van de attributen die moeten worden weergegeven in de portlet Detail. De huidige gebruiker beschikt over rechten om de attributen te bekijken. Bijvoorbeeld: managers met rechten voor het salarisattribuut kunnen deze gegevens bekijken, maar andere gebruikers niet. Zie Sectie , Rechten toewijzen aan eenheden, op pagina 258 voor meer informatie. 250 Identity Manager-gebruikerstoepassing: beheerdershandleiding

259 De attributen zijn momenteel gevuld met een waarde. De manier bepalen waarop attributen worden weergegeven Bij de weergave van attributen worden in de portlet Detail de gegevens ingedeeld als tekst, behalve in de volgende gevallen: Indelingsspecificatie in definitie van abstractielaag Weergave Indeling: Indeling: GroupWise-expresbericht AOL-expresbericht Yahoo-expresbericht Gegevenstype: Binair koppeling Pictogram waarmee een chatsessie wordt gestart en de desbetreffende gebruiker wordt toegevoegd Knop en koppeling naar de afbeelding Indeling: afbeelding Gegevenstype: Boole Uitgeschakelde keuzerondjes waarmee waar of onwaar wordt aangegeven De knoppen worden zonder standaardwaarde weergegeven, omdat het attribuut pas voor de gebruiker wordt gemaakt wanneer een waarde wordt opgegeven. Meerdere waarden:geselecteerd Type besturingselement:dnlookup Een herhalende set besturingselementen voor het bewerken, toevoegen en verwijderen van afzonderlijke attribuutwaarden (in de vorm van een door komma's gescheiden lijst) Koppeling In het bovenstaande voorbeeld wordt er een koppeling (Terry Mellon) weergegeven voor toegang tot de detailgegevens van de manager van Bill Brown. Type besturingselement: Lokale lijst Algemene lijst Weergavelabel in plaats van de werkelijke (sleutel)waarde Met het attribuut Type werknemer wordt bijvoorbeeld Fulltime weergegeven in plaats van de werkelijke waarde ft. Bepalen wat er in het koptekstgebied wordt weergegeven U kunt het koptekstgebied van de portlet Detail indelen met standaard-html-functies: Portlet Detail 251

260 De voorkeuren van Detail bevatten een HTML-lay-outeditor waarmee u het gewenste uiterlijk en de gewenste inhoud kunt maken: De HTML-lay-outeditor gebruiken De HTML-lay-outeditor bevat de normale functies van een HTML-editor voor het definiëren van de tekstopmaak en lijsten, het opgeven van ankercodes en afbeeldingen, enzovoort. Trefwoorden Wanneer u de lay-out ontwerpt, kunt u met de vervolgkeuzelijst Trefwoorden variabelen in het koptekstgebied van de portlet Detail invoegen die tijdens runtime worden vervangen door specifieke attribuutwaarden. U kunt deze ook typen aan de hand van de volgende syntaxis: $[[trefwoord]] Waarbij trefwoord de waarde is van een attribuut, zoals Achternaam. U kunt attributen achter elkaar plaatsen via de volgende syntaxis: $[[trefwoord+trefwoord]] Bijvoorbeeld: $[[Voornaam+Achternaam]] U kunt zo veel attributen achter elkaar plaatsen als u wilt. Daarnaast kunt u als volgt tekenreeksen met aanhalingstekens opnemen: 252 Identity Manager-gebruikerstoepassing: beheerdershandleiding

261 $[[trefwoord+ voorbeeldtekst +trefwoord]] Hierdoor worden de waarden van de trefwoorden en de tekst tussen aanhalingstekens weergegeven. OPMERKING: wanneer u een trefwoord verkeerd typt in een lay-out, wordt dit ook zo weergegeven tijdens runtime (inclusief $[[]]). Afbeeldingen dynamisch laden Als u afbeeldingen, zoals gebruikersfoto's, wilt weergeven die zijn opgeslagen in de opslagplaats voor ID's, kunt u de attribuutnaam toevoegen met de HTML-layouteditor. Als u bijvoorbeeld het attribuut Foto gebruiker toevoegt, wordt de foto van de gebruiker weergegeven. Als u de afbeeldingen buiten de opslagplaats voor ID's opslaat, moet u als volgt de IMG:-tag gebruiken (in de modus Bron weergeven van de HTML-editor): 1 Ga naar de voorkeuren van de portlet en open de HTML-editor. 2 Klik op Bron weergeven. 3 Gebruik de IMG:-tag om een locatie, een attribuutsleutel en een bestandsextensie te combineren via de volgende syntaxis: $[[IMG: URL + naam-attribuutsleutel + bestandsextensie ]] In het volgende voorbeeld ziet u de syntaxis die u gebruikt als u de foto's van de werknemers op Achternaam hebt opgeslagen als JPG-afbeeldingen in de subdirectory /images van de toepassingsserver: $[[IMG:" Tijdens runtime wordt de URL samengevoegd met het attribuut Achternaam en de bestandsextensie.jpg. De HTML-editor ondersteunt een flexibele syntaxis. Deze ondersteunt alle combinaties van tekst en attributen, met de volgende syntaxis: $[[IMG: bepaalde tekst + naam-attribuutsleutel +...]] Eenheidsgegevens bewerken De portlet Detail bevat automatisch een koppeling Bewerken (zoals Uw gegevens bewerken, Gebruiker bewerken of Edit Device (Apparaat bewerken)), zodat u kunt schakelen tussen weergavemodus en bewerkingsmodus. Hierdoor kunnen gebruikers met de juiste rechten voor de huidige eenheid de attribuutwaarden wijzigen en deze wijzigingen opslaan. Portlet Detail 253

262 Het volgende kan bijvoorbeeld bij Detail worden weergegeven wanneer de gebruiker Bill Brown (die over de benodigde rechten beschikt) zijn eigen informatie bewerkt: OPMERKING: wanneer bij Boole-attributen beide keuzerondjes zijn uitgeschakeld, houdt dit in dat het attribuut niet voor de gebruiker bestaat. Als u het keuzerondje waar of het keuzerondje onwaar selecteert, wordt het attribuut gemaakt voor de gebruiker en wordt de bijbehorende waarde ingesteld. Bepalen welke attributen worden weergegeven In de bewerkingsmodus worden in de portlet Detail alleen attributen weergegeven waarvoor het volgende geldt: Ze zijn beschikbaar voor weergave via de gegevensdefinities van de directory-abstractielaag. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over gegevensdefinities. 254 Identity Manager-gebruikerstoepassing: beheerdershandleiding

263 De huidige gebruiker beschikt over rechten om de attributen te bekijken. Bijvoorbeeld: managers met rechten voor het salarisattribuut kunnen deze gegevens bekijken, maar andere gebruikers niet. Zie Sectie , Rechten toewijzen aan eenheden, op pagina 258 voor meer informatie. Een attribuut moet voldoen aan alle genoemde criteria als u deze wilt weergeven in de bewerkingsmodus. De manier bepalen waarop attributen worden weergegeven In de bewerkingsmodus wordt via Detail elk bewerkbaar attribuut ingedeeld als tekstvak, behalve in de volgende gevallen: Specificatie van het attribuuttype (in VDDbestanden) Gegevenstype: Binair Indeling: afbeelding Gegevenstype: Boole verbergen:geselecteerd meerdere waarden=geselecteerd Besturingselementtype: DNLookup Besturingselementtype: Lokale lijst Algemene lijst Weergave Knop en koppeling naar de portlet Entity Image Upload (Afbeelding uploaden voor eenheid) om de afbeelding te bekijken, bij te werken of toe te voegen Keuzerondjes waarmee waar of onwaar wordt geselecteerd Selectievakje met de naam Verbergen Een set besturingselementen voor het bewerken, toevoegen en verwijderen van attribuutwaarden Een knop voor het starten van de portlet Param List (Parameterlijst) om naar een DN te zoeken en deze te selecteren Vervolgkeuzelijst (meerdere selecties toegestaan, indien van toepassing) Attributen die niet kunnen worden bewerkt (vanwege de definitie of onvoldoende gebruikersrechten) worden weergegeven als uitgeschakeldof alleen-lezen. Wijzigingen valideren Tijdens het bewerken wordt gegevensvalidatie automatisch uitgevoerd voor de volgende specificaties van attribuuttypen: Indeling: Gegevenstype: Geheel getal Besturingselementtype: Bereik Wanneer u een besturingselement van het type lokale of globale lijst gebruikt, kan de weergegeven lijst waarden bevatten die buiten het opgegeven bereik van een attribuut vallen. Dergelijke waarden worden echter gemarkeerd als buiten bereik en bij de validatie wordt voorkomen dat deze waarden worden ingediend. Portlet Detail 255

264 Een Default My Profile Entity (Standaardeenheid Mijn profiel) definiëren Wanneer u een eenheid definieert in de directory-abstractielaag, kunt u een waarde opgeven voor de Default MyProfile Entity (Standaardeenheid Mijn profiel) (in het configuratie-element van de editor voor de directory-abstractielaag) om aan te geven dat er een andere eenheidsdefinitie wordt gebruikt voor het bewerken. Wanneer u van de weergavemodus overschakelt naar de bewerkingsmodus, wordt via de portlet Detail altijd gecontroleerd of dit element is opgegeven. Vervolgens wordt de juiste eenheidsdefinitie gebruikt om de attributen weer te geven. De eenheidsdefinitie voor Student bevat bijvoorbeeld gebruiker als waarde voor de Default My Profile Entity (Standaardeenheid Mijn profiel). In dit geval wordt voor de weergavemodus de eenheidsdefinitie Student gebruikt, maar wordt voor de bewerkingsmodus de eenheidsdefinitie gebruiker gebruikt Eenheidsgegevens via verzenden De portlet Detail bevat automatisch een koppeling met de naam Identiteitsgegevens verzenden. Gebruikers kunnen hierop klikken om de URL van Detail voor de huidige eenheid via naar een of meer andere gebruikers te verzenden. Door de Detail-URL te verzenden in plaats van de werkelijke gegevens, blijft de beveiliging behouden (omdat iedereen die de URL ontvangt over de benodigde rechten moet beschikken om deze te kunnen gebruiken) Een koppeling maken naar een organigram De portlet Detail bevat automatisch een koppeling met de naam Organigram weergeven. Gebruikers kunnen hierop klikken om de portlet Organigram voor de huidige eenheid weer te geven. Als u bijvoorbeeld in de portlet Detail de gegevens van gebruiker Bill Brown bekijkt, wordt het volgende weergegeven wanneer u op deze koppeling klikt: Zie Hoofdstuk 18, Portlet Organigram, op pagina 265 voor meer informatie over de portlet Organigram Een koppeling maken naar de details van andere eenheden Wanneer u de portlet Detail configureert, kunt u instellen dat gebruikers een koppeling kunnen maken naar eenheden die zijn gerelateerd aan de huidige eenheid. U kunt dit doen door attributen op 256 Identity Manager-gebruikerstoepassing: beheerdershandleiding

265 te nemen die zijn gedefinieerd (in de directory-abstractielaag) met het besturingselementtype DNLookup. Wanneer het attribuut Manager wordt weergegeven in de details van een gebruiker, wordt dit weergegeven als koppeling. Wanneer de gebruiker op deze koppeling klikt, worden de details van de manager weergegeven. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over de abstractielaag. Zie Sectie 17.5, Voorkeuren instellen, op pagina 261 voor meer informatie over het opgeven van de attributen die moeten worden weergegeven in de portlet Detail Eenheidsgegevens afdrukken Via de weergave-instellingen van de portlet Detail is de optie Afdrukken op de titelbalk van de portlet standaard ingeschakeld. Als u Afdrukken niet uitschakelt, kunnen gebruikers hierop klikken om een printervriendelijke versie van de inhoud van Detail weer te geven: Als u deze instelling of andere instellingen voor de portlet Detail wilt wijzigen, werkt u op het tabblad Beheer de portletregistratie bij voor DetailPortlet (op de pagina Portletbeheer). Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie. Portlet Detail 257

266 17.2 Vereisten Voordat u met de portlet Detail gaat werken, moet u het volgende weten: Sectie , De directory-abstractielaag configureren, op pagina 258 Sectie , Rechten toewijzen aan eenheden, op pagina De directory-abstractielaag configureren De portlet Detail is op verschillende manieren afhankelijk van de definities van de directoryabstractielaag. De volgende gedeelten van dit hoofdstuk bevatten instructies voor de configuratie van de gegevensdefinities van de abstractielaag voor de ondersteuning van specifieke functies van de portlet Detail: Sectie , Eenheidsgegevens weergeven, op pagina 250 Sectie , Eenheidsgegevens bewerken, op pagina 253 Sectie 17.4, Detail gebruiken op een pagina, op pagina 260 Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over de configuratie Rechten toewijzen aan eenheden Als gebruikers een eenheid en de bijbehorende attributen willen openen in de portlet Detail, moeten de gebruikers beschikken over de juiste rechten die zijn toegewezen in edirectory: Actie Een attribuut weergeven Een attribuut bewerken Benodigde rechten Lezen Schrijven U kunt rechten toewijzen door op te geven dat een gebruiker een vertrouwde van een object (eenheid) is. U kunt vervolgens opgeven welke rechten u voor welke attributen wilt toewijzen Detail starten vanuit andere portlets De portlet Detail wordt vaak gestart nadat een eenheid is geselecteerd in een van de andere identiteitsportlets. U kunt Detail starten: Sectie , Vanuit de portlet Zoeklijst, op pagina 258 Sectie , Vanuit de portlet Organigram, op pagina Vanuit de portlet Zoeklijst Gebruikers kunnen in de portlet Zoeklijst op een eenheidsrij in de zoekresultaten klikken om Detail weer te geven voor de desbetreffende eenheid. Als een gebruiker bijvoorbeeld op de rij Bill Brown 258 Identity Manager-gebruikerstoepassing: beheerdershandleiding

267 klikt in de volgende lijst, wordt de portlet Detail met de bijbehorende attribuutgegevens weergegeven: Zie Hoofdstuk 20, De portlet Zoeklijst, op pagina 295 voor meer informatie over de portlet Zoeklijst Vanuit de portlet Organigram Gebruikers kunnen in de portlet Organigram op het pictogram Identiteitsacties van een eenheid klikken en vervolgens Info weergeven selecteren om de details van de desbetreffende eenheid weer Portlet Detail 259

268 te geven. Als een gebruiker bijvoorbeeld op Info weergeven voor Bill Brown klikt in het volgende organigram, wordt de portlet Detail met de bijbehorende attribuutgegevens weergegeven: Zie Hoofdstuk 18, Portlet Organigram, op pagina 265 voor meer informatie over de portlet Organigram Detail gebruiken op een pagina Als u wilt dat gebruikers zelf hun attribuutgegevens kunnen weergeven en eventueel kunnen bewerken, kunt u de portlet Detail toevoegen aan een gedeelde pagina. Wanneer de portlet Detail wordt gebruikt op een gedeelde pagina, worden de gegevens van de huidige gebruiker (of andere standaardeenheid) automatisch geopend. De gebruiker Bill Brown kan zich bijvoorbeeld aanmelden en naar de volgende persoonlijke pagina gaan om zijn informatie bij te houden via de portlet Detail: 260 Identity Manager-gebruikerstoepassing: beheerdershandleiding

269 Geef de instelling voor de Default My Profile Entity (Standaardeenheid Mijn profiel) op in het configuratie-element van de directory-abstractielaag om te bepalen welke eenheidsdefinitie in de portlet Detail moet worden gebruikt in dit scenario (waarbij deze wordt geopend via een pagina, niet via een andere portlet) Voorkeuren instellen U kunt voorkeuren instellen om de inhoud en het uiterlijk van de portlet Detail te definiëren. De manier waarop u de portlet Detail gebruikt, bepaalt waar u de voorkeuren instelt: Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie over het openen van de portletvoorkeuren vanuit een gedeelde pagina of containerpagina. Zie Hoofdstuk 9, Portletbeheer, op pagina 181 voor meer informatie over het openen van portletvoorkeuren voor een portletregistratie Informatie over de voorkeuren Alle voorkeuren voor Detail vallen onder één complexe voorkeur voor details: Portlet Detail 261

270 Wanneer u deze complexe voorkeur opent, worden de afzonderlijke voorkeuren voor Detail weergegeven: Deze voorkeuren zijn alleen van toepassing op de weergavemodus (niet op de bewerkingsmodus). De volgende voorkeuren zijn beschikbaar: Voorkeur Eenheidsdefinitie Details Hiermee geeft u de attribuutlijst en HTML-lay-out op die moeten worden weergegeven wanneer Detail wordt gebruikt voor een bepaald eenheidstype (zoals Gebruiker, Apparaat of Groep). U kunt op Eenheidsdefinitie toevoegen klikken om aan te geven dat in Detail extra eenheidstypen worden ondersteund. Attributen die worden weergegeven als een lijst Hiermee geeft u op welke attributen van de geselecteerde eenheid in de portlet moeten worden weergegeven. Deze attributen worden weergegeven in de volgorde die u kiest. U kunt attributen desgewenst toevoegen of verwijderen met een knop. 262 Identity Manager-gebruikerstoepassing: beheerdershandleiding

271 Voorkeur HTML-lay-out Details Dit is een knop waarmee u de HTML-lay-outeditor kunt openen, waarin u het koptekstgebied kunt ontwerpen dat wordt weergegeven in de portlet Detail voor de geselecteerde eenheid. Zie Bepalen wat er in het koptekstgebied wordt weergegeven op pagina 251 voor meer informatie. Portlet Detail 263

272 264 Identity Manager-gebruikerstoepassing: beheerdershandleiding

273 18Portlet Organigram Dit hoofdstuk bevat informatie over het wijzigen van bestaande of toevoegen van nieuwe organigramfuncties aan de Identity Manager-gebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 18.1, Informatie over Organigram, op pagina 265 Sectie 18.2, De portlet Organigram configureren, op pagina 267 Sectie , Organigramvoorkeuren instellen, op pagina Informatie over Organigram In de portlet Organigram kunnen eindgebruikers een grafische weergave van de hiërarchische relaties tussen objecten in de opslagplaats voor ID's weergeven en hierin bladeren. U kunt bijvoorbeeld organigramportlets definiëren met de hiërarchie van: Een organisatie (zoals werknemers en managers) De lidmaatschap van een groep (zoals alle werknemers in een groep) Apparaten die aan een gebruiker zijn toegewezen (zoals mobiele telefoons en laptops) De standaardconfiguratie van het tabblad Identiteit-zelfbediening van de Identity Managergebruikerstoepassing bevat een actie Organisatie-overzicht. Deze actie bestaat uit een portlet Organigram die is geconfigureerd voor de weergave van relaties tussen gebruikersobjecten in de opslagplaats voor ID's. In het volgende voorbeeld kunt u zien hoe deze relatie wordt weergegeven in de standaardportlet Organigram (met voorbeeldgegevens). 18 Ingebouwde koppelingen De portlet Organigram bevat de volgende ingebouwde koppelingen. Portlet Organigram 265

274 Koppeling Beschrijving Hiermee kan de gebruiker naar het volgende hogere niveau navigeren. Dit is alleen beschikbaar wanneer een gebruiker een relatie bekijkt met gelijke bovenliggende en onderliggende eenheden. Hiermee wordt de portlet Detail gestart. Deze ingebouwde koppeling kan worden geconfigureerd via de lay-outvoorkeuren voor organigrammen die worden beschreven in Lay-outvoorkeuren voor organigrammen op pagina 273. Hiermee wordt een lijst met organigrammen weergegeven. Gebruikers kunnen hier het organigram kiezen dat ze willen bekijken. Deze lijst met organigrammen is dynamisch. Er worden andere organigrammen weergegeven die hetzelfde bovenliggende eenheidstype hebben. Als u bijvoorbeeld een organigram voor managers en werknemers bekijkt (de bovenliggende eenheid is gebruiker) en u op dit pictogram klikt, bevat de lijst met organigrammen die u kunt weergeven alleen relaties waarvan de bovenliggende eenheid ook gebruiker is. Deze ingebouwde koppeling kan worden geconfigureerd via de lay-outvoorkeuren voor organigrammen die worden beschreven in Lay-outvoorkeuren voor organigrammen op pagina 273. Hiermee wordt een programma gestart om: De identiteitsgegevens van de geselecteerde gebruiker te verzenden Een bericht op te stellen Deze ingebouwde koppeling kan worden geconfigureerd via de lay-outvoorkeuren voor organigrammen die worden beschreven in Lay-outvoorkeuren voor organigrammen op pagina 273. Met de zoekkoppeling kunnen gebruikers naar eenheden zoeken. Bij de zoekopdrachten wordt de gevonden eenheid het bovenste knooppunt van het weergegeven organigram. Hiermee kunnen gebruikers naar het volgende niveau gaan. Zie Lay-outvoorkeuren voor organigrammen op pagina 273 voor meer informatie over het toevoegen en beperken van de ingebouwde koppelingen in de organigrammen Informatie over organigramrelaties In de portlet Organigram worden relaties weergegeven die worden gedefinieerd in de directoryabstractielaag. De volgende relaties zijn beschikbaar wanneer de Identity Managergebruikerstoepassing is geïnstalleerd. Lidmaatschap groep Manager-werknemer Gebruikersgroepen 266 Identity Manager-gebruikerstoepassing: beheerdershandleiding

275 Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over het maken of wijzigen van organigramrelaties. OPMERKING: dynamische groepen worden niet volledig ondersteund door de organigramportlet. U kunt een dynamische groep niet als bovenliggende eenheid van een relatie definiëren. U kunt echter wel een dynamische groep definiëren als de onderliggende eenheid in een relatie Informatie over de weergave van Organigram Standaard wordt het organigram weergegeven in het kader van de portlet in een gebied dat u kunt definiëren met de voorkeuren Breedte portlet en Hoogte portlet. Als voor de inhoud meer ruimte nodig is dan het gedefinieerde gebied, worden de portletranden breder en nemen de hoogte en breedte van de pagina toe. Gebruikers kunnen een volledig organigram weergeven door op het pictogram voor maximaliseren te klikken op de titelbalk van de portlet. (Het organigram wordt standaard volledig gemaximaliseerd weergegeven wanneer dit vanuit de portlet Detail wordt geopend.) Gebruikersafbeeldingen Standaard bevat de organigramlay-out voor het object Gebruiker het attribuut Foto gebruiker. Als de opslagplaats voor ID's dit attribuut echter niet bevat of het attribuut niet is gevuld, wordt dit attribuut genegeerd tijdens runtime. Als u de foto's op een andere locatie opslaat, kunt u het organigram zo configureren dat deze foto's worden weergegeven. Zie Sectie , Afbeeldingen dynamisch laden, op pagina 278 voor meer informatie De portlet Organigram configureren Voor de configuratie van de organigramportlet moet u de volgende taken uitvoeren: Stap Taak Beschrijving 1 De relatie definiëren die u wilt weergeven U kunt een van de vooraf gedefinieerde relaties gebruiken die zijn geïnstalleerd met de Identity Manager-gebruikerstoepassing of u kunt zelf relaties maken. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over het definiëren van een relatie. 2 Controleren of de eenheden en attributen die u in de relatie wilt gebruiken beschikbaar zijn in de directoryabstractielaag 3 Bepalen waar u deze relatie wilt weergeven Zie Sectie , De directory-abstractielaag instellen, op pagina 268 voor meer informatie over het definiëren van een relatie. Wilt u een nieuwe pagina maken om het organigram te starten? Of wilt u het organigram starten vanuit de portlet Detail of een ander organigram? Zie Hoofdstuk 7, Paginabeheer, op pagina 137 voor meer informatie over het maken van pagina's en het toevoegen van portlets aan deze pagina's. Portlet Organigram 267

276 Stap Taak Beschrijving 4 Voorkeuren voor de portlet instellen Met voorkeuren kunt u definiëren: Welke attributen moeten worden weergegeven Hoe de attributen moeten worden weergegeven (de HTML-lay-out) Zie Sectie , Organigramvoorkeuren instellen, op pagina 268 voor meer informatie. 5 Testen Test de relatiedefinities en -lay-out. 6 edirectory-rechten instellen en indexen vaststellen voor de verbetering van de prestaties Effectieve rechten: voor de weergave van attributen die zijn gedefinieerd via de portlet moeten gebruikers beschikken over leesrechten voor de attributen. Prestatieverbetering: de prestaties van de organigramweergave kunnen worden verbeterd door een edirectory-waarde-index aan het onderliggende attribuut van de relatie toe te voegen, omdat het onderliggende attribuut wordt gebruikt om een LDAP-zoekopdracht uit te voeren De directory-abstractielaag instellen De eenheden en attributen die in een organigram worden weergegeven, moeten worden gedefinieerd in de directory-abstractielaag. De volgende tabel bevat de attributen en eigenschappen die u moet instellen voor alle eenheden en attributen in een organigram. Definitietype Instelling Waarde eenheid weergeven Geselecteerd (waar) attribuut lezen Geselecteerd (waar) zoeken Geselecteerd (waar) Vereisten voor de zoekkoppeling Met de zoekkoppeling kunnen gebruikers door het organigram navigeren door zoekopdrachten uit te voeren voor andere objecten van hetzelfde type als de bovenliggende eenheidssleutel. Hiervoor moet de bovenliggende eenheidssleutel minimaal één attribuut hebben waarvan de toegangseigenschappen vereisen en zoeken op waar zijn ingesteld (geselecteerd in de editor voor de directory-abstractielaag). Als dit niet het geval is, kan het dialoogvenster Object zoeken van de zoekkoppeling niet worden gevuld en wordt er een leeg dialoogvenster weergegeven. Zie Hoofdstuk 4, De directory-abstractielaag configureren, op pagina 75 voor meer informatie over de configuratie van eenheden en attributen Organigramvoorkeuren instellen U definieert twee typen voorkeuren: Voorkeuren voor organigramrelaties op pagina Identity Manager-gebruikerstoepassing: beheerdershandleiding

277 Lay-outvoorkeuren voor organigrammen op pagina 273 Voorkeuren voor organigramrelaties De voorkeuren voor organigramrelaties bevinden zich op één voorkeurenpagina... Portlet Organigram 269

278 . Voorkeur Presentatielay-outs Relatiesleutel Handeling Klik op Aangepaste voorkeur weergeven/bewerken om de layoutvoorkeuren te openen. Deze worden beschreven in Layoutvoorkeuren voor organigrammen op pagina 273. Typ de relatiesleutel. Deze waarde moet overeenkomen met een van de relatiesleutels die is opgegeven in de directoryabstractielaag. 270 Identity Manager-gebruikerstoepassing: beheerdershandleiding

279 Voorkeur Sleutel bovenliggende eenheid Handeling Typ de DN van de eenheid die het hoofdknooppunt aanduidt van het organigram dat u wilt weergeven of typ ${User/id} om het organigram van de huidige gebruiker weer te geven. (De parameter ${User/id} wordt herleid tot de DN van de huidige gebruiker.) De LDAP-zoekopdracht mislukt als deze waarde niet binnen de knooppunten ligt die met de eigenschap zoek-root zijn opgegeven in de directory-abstractielaag. Hieronder volgt een aantal voorbeelden van geldige DN's (met voorbeeldgegevens): Als u de relatiesleutel user2users wilt weergeven met de werknemer Jack Miller als basis van het organigram, geeft u het volgende op: cn=jmiller,oe=users,oe=sample,o=novell Als u de relatiesleutel group2users wilt weergeven met de groep Boekhouding als hoofdknooppunt, geeft u het volgende op: cn=boekhouding,oe=groups,oe=sample,o=nove ll Standaarddiepte Maximumdiepte Organigramskin Hiermee geeft u de diepte van het organigram op wanneer dit de eerste keer wordt weergegeven. 0: alleen het hoofdknooppunt weergeven 1: het hoofdknooppunt en de onderliggende elementen weergeven 2: het hoofdknooppunt, de onderliggende elementen en de elementen die nog een niveau lager liggen, weergeven enzovoort. Als deze waarde hoger is dan de waarde voor de maximale diepte (hierna), wordt de waarde voor de maximale diepte gebruikt. Hiermee definieert u de maximale diepte van een organigram voor een gebruiker. Dit is niet hetzelfde als navigeren door een organigram waarop effectieve rechten zijn toegepast. Visitekaartje eguide Novell.com Bedraad Echt blauw Portlet Organigram 271

280 Voorkeur Draden verbinden met items Time-out van menu Presentatie met boomstructuur Handeling Hiermee geeft u op of de kaarten van het organigram moeten worden verbonden met draden. Onwaar betekent dat deze niet zijn verbonden. Het aantal milliseconden voordat het weergegeven menu (voor de ingebouwde koppelingen) verdwijnt. Hiermee definieert u de oriëntatie, distributie en weergave van het organigram per diepteniveau. Presentatie met boomstructuuruiteinde Met de n eerste waarden worden de oriëntatie, distributie en weergave voor de niveaus van 0 tot n-1 gedefinieerd. De laatste waarde wordt steeds opnieuw gebruikt voor niveaus die dieper liggen dan n-1. U kunt waarden opgeven van 0 tot 5. Waarden zijn: 0: Plaats de kaart boven een verticale lijst met items. 1: Plaats een lijn boven een verticale lijst met items. 2: Plaats de kaart boven een horizontale lijst met items. 3: Plaats een lijn boven een horizontale lijst met items. 4: Plaats de kaart voor een verticale lijst met items. 5: Plaats een lijn voor een verticale lijst met items. Hiermee definieert u de oriëntatie, distributie en weergave van het hoogste niveau van het organigram. Minimumbreedte item Deze waarde moet gelijk zijn aan rond('min. hoogte item' * 1.618) Minimumhoogte item Deze waarde moet gelijk zijn aan rond('min. breedte item' / 1.618) Scheidingsteken voor attributen met meerdere waarden Het teken dat als scheidingsteken wordt gebruikt voor attributen met meer dan één waarde. 272 Identity Manager-gebruikerstoepassing: beheerdershandleiding

281 Lay-outvoorkeuren voor organigrammen Met de lay-outvoorkeuren voor organigrammen kunt u de HTML-lay-out definiëren voor de weergave van de organigramitems. Met de gewenste HTML-editor kunt u nauwkeurigere bewerkingen uitvoeren. Zie Een externe editor gebruiken op pagina 278. HTML-lay-out voor visitekaartjes: de standaardlay-out. HTML-lay-out voor eenvoudige weergave: de lay-out die wordt weergegeven wanneer de boomstructuurpresentatie is ingesteld op 1. HTML-editor U kunt de HTML-editor openen door op de bewerkingsknop te klikken. De HTMLeditor ziet er als volgt uit: Portlet Organigram 273

282 De HTML-editor gebruiken De HTML-editor bevat een WYSIWYG-interface waarin u de lay-out van de boomstructuuruiteinden van het organigram kunt definiëren. Deze bevat de normale functies van een HTML-editor voor het definiëren van tekstopmaak en lijsten, het opgeven van ankercodes en afbeeldingen, enzovoort. Met de vervolgkeuzelijst Trefwoorden kunt u attributen, opdrachten en navigatie-url's in het lay-outgebied plaatsen. Wanneer u een trefwoord in de vervolgkeuzelijst kiest, wordt dit ingevoegd met de juiste syntaxis. U kunt echter ook HTML toevoegen in het layoutgebied. Trefwoorden Wanneer u de lay-out ontwerpt, kunt u met de vervolgkeuzelijst Trefwoorden variabelen invoegen die tijdens runtime worden vervangen door specifieke attribuutwaarden. U kunt ook verwijzingen hiernaar invoeren op basis van de volgende syntaxis: $[[trefwoord]] Waarbij trefwoord de waarde is van een eenheidsattribuut, zoals Achternaam. U kunt attributen achter elkaar plaatsen via de volgende syntaxis: 274 Identity Manager-gebruikerstoepassing: beheerdershandleiding

283 $[[trefwoord+trefwoord]] Bijvoorbeeld: $[[Voornaam+Achternaam]] U kunt zo veel attributen achter elkaar plaatsen als u wilt. Daarnaast kunt u als volgt tekenreeksen met aanhalingstekens opnemen: $[[trefwoord+ voorbeeldtekst +trefwoord]] Hierdoor worden de waarden van de trefwoorden en de tekst tussen aanhalingstekens weergegeven. OPMERKING: wanneer u een trefwoord verkeerd typt in een lay-out, wordt dit ook zo weergegeven in het organigram (inclusief $[[]]). Functies en gebruik van trefwoorden in de HTML-editor De functies van de HTML-editor en de vervolgkeuzelijst Trefwoorden gebruiken: Functie Knop Koppeling invoegen Tip Een koppeling invoegen: In Mozilla: 1. Markeer de tekst waarvan u een hyperlink wilt maken en klik op Koppeling invoegen. 2. Typ de URL en klik op Koppeling maken. 3. Sla de voorkeuren op. In IE: 1. Klik op Koppeling invoegen. 2. Typ de URL in het pop-upvenster. 3. Markeer de tekst waarvan u een hyperlink wilt maken en klik op Koppeling maken (in het pop-upvenster). 4. Sla de voorkeuren op. OPMERKING: als de afbeelding of URL zich in het kwadrant linksboven in de HTML-editor bevindt, wordt deze gedeeltelijk verborgen onder het popupvenster. Aangezien het pop-upvenster niet kan worden verplaatst, moet u de gewenste tekst op een andere plaats in de editor maken en deze knippen en op de juiste locatie plakken. Portlet Organigram 275

284 Functie Knop Afbeelding toevoegen Tip In Mozilla: 1. Plaats de cursor op de positie waar u een afbeelding wilt invoegen en klik op Afbeelding toevoegen. 2. Typ de URL en de tekst en klik vervolgens op Afbeelding maken in het pop-upvenster. 3. Sla de voorkeuren op. In IE: 1. Klik op Afbeelding toevoegen. 2. Typ de URL en de tekst in het pop-upvenster, plaats de cursor op de gewenste positie voor de afbeelding en klik in het pop-upvenster op Afbeelding maken. 3. Sla de voorkeuren op. Vervolgkeuzelijst Trefwoorden: Attributen Vervolgkeuzelijst Trefwoorden: Opdrachten OPMERKING: als de afbeelding of URL zich in het kwadrant linksboven in de HTML-editor bevindt, wordt deze gedeeltelijk verborgen onder het popupvenster. Aangezien het pop-upvenster niet kan worden verplaatst, moet u de gewenste tekst op een andere plaats in de editor maken en deze knippen en op de juiste locatie plakken. Dit is de set attributen die beschikbaar is voor deze eenheid. Met deze opdrachten kunnen via de portlet Organigram andere identiteitsportlets of ingebouwde functies, zoals chat- of programma's worden gestart. Knop IM-actie: hiermee maakt u een knop waarmee u expresberichten kunt verzenden. Knop actie: hiermee maakt u een knop waarmee u e- mailberichten kunt verzenden. Knop OrgChart-actie: hiermee maakt u een knop waarmee u kunt overschakelen naar een andere relatie, waarbij het geselecteerde eenheidsexemplaar het bovenliggende item is. Knop informatieactie: hiermee start u de portlet Detail. Zie Ingebouwde koppelingen op pagina 265 voor voorbeelden van de knoppen die worden gegenereerd. 276 Identity Manager-gebruikerstoepassing: beheerdershandleiding

285 Functie URL's Tip Koppeling Organigram navigatie-url: hiermee kunt u URL's of eenheidsattributen opgeven die worden weergegeven als koppeling. Wanneer de gebruiker op de koppeling klikt, wordt de portlet Organigram opnieuw weergegeven, waarbij de eenheid waarop is geklikt het hoofdknooppunt wordt. Beperking: Dit is alleen geldig wanneer de bovenliggende en onderliggende eenheden in een relatie hetzelfde objecttype hebben. In de relatie manager-werknemer zijn beide eenheden bijvoorbeeld gebruikers. Gebruikstips: Als u dit trefwoord wilt gebruiken, moet u het volgende doen: 1. Klik op Bron weergeven. 2. Typ het met de volgende syntaxis: <a href="javascript:$[[@navurl]]">tekst</a> waarbij tekst de koppeling of een eenheidsattribuut is die tijdens runtime moet worden weergegeven. In het volgende voorbeeld wordt Klik hier een koppeling waarop kan worden geklikt. <a href="javascript:$[[@navurl]]">klik hier</a> In het volgende voorbeeld is het attribuut Voornaam de koppeling waarop kan worden geklikt: <a href="javascript:$[[@navurl]]">$[[voornaam]]</ a> Gebruiksbeperking: In Internet Explorer kunt u niet de volgende syntaxis gebruiken. <a href="$[[@navurl]]">tekst</a> Wanneer er in Internet Explorer wordt opgeslagen, wordt het volgende toegevoegd: voor $[[@NavUrl]] Dit houdt in dat <a href="$[[@navurl]]">tekst</a> wordt omgezet in Portlet Organigram 277

286 Functie Tip Koppeling Organigram navigatie-klik: gebruik dit trefwoord voor een onclickgebeurtenis. (Hiermee wordt alleen het gebied van de organigramportlet ingeschakeld dat moet worden vernieuwd in plaats van de hele pagina.) Gebruikstips: Als u dit trefwoord wilt gebruiken, moet u het volgende doen: 1. Klik op Bron weergeven. 2. Typ het met de volgende syntaxis: <A href="javascript:return false;" onclick="$[[@navclick]]">$[[attribuut]]</a> waarbij Attribuut een eenheidsattribuut is dat wordt omgezet in een koppeling. "javascript:return false" is vereist. Er treedt een fout op als u dit weglaat. Klik op Indienen om de lay-outs op te slaan die u definieert. Een externe editor gebruiken U kunt als volgt een externe HTML-editor gebruiken: 1 Maak de HTML-bron voor de eenheidsattributen, -opdrachten en -trefwoorden via de HTMLlay-outeditor in de voorkeuren. 2 Kopieer de HTML-bron naar de gewenste editor. 3 Breng de gewenste wijzigingen aan. 4 Kopieer de HTML-bron terug naar de voorkeur HTML-lay-outeditor wanneer de bewerkingen klaar zijn Afbeeldingen dynamisch laden Als u afbeeldingen, zoals gebruikersfoto's, wilt weergeven die zijn opgeslagen in de opslagplaats voor ID's, kunt u de attribuutnaam toevoegen aan het visitekaartje. Als u bijvoorbeeld het attribuut Foto gebruiker aan het visitekaartje toevoegt, wordt de foto van de gebruiker weergegeven. Als u de afbeeldingen buiten de opslagplaats voor ID's opslaat, moet u als volgt de IMG:-tag gebruiken in de modus Bron weergeven van de HTML-editor: 1 Ga naar de voorkeuren van de portlet Organigram en open de HTML-editor. 2 Klik op Bron weergeven. 3 Gebruik de IMG:-tag om een locatie, een attribuutsleutel en een bestandsextensie te combineren via de volgende syntaxis: $[[IMG: URL + naam-attribuutsleutel + bestandsextensie ]] 278 Identity Manager-gebruikerstoepassing: beheerdershandleiding

287 In het volgende voorbeeld ziet u de syntaxis die u gebruikt als u de foto's van de werknemers op Achternaam hebt opgeslagen als JPG-afbeeldingen in de subdirectory /images van de toepassingsserver: $[[IMG:" Tijdens runtime wordt in het organigram de URL samengevoegd met het attribuut Achternaam en de bestandsextensie.jpg. De HTML-editor ondersteunt een flexibele syntaxis. Deze ondersteunt alle combinaties van tekst en attributen, met de volgende syntaxis: $[[IMG: bepaalde tekst + naam-attribuutsleutel +...]] Portlet Organigram 279

288 280 Identity Manager-gebruikerstoepassing: beheerdershandleiding

289 19Portlets voor wachtwoordbeheer In dit hoofdstuk wordt beschreven hoe u zelfbediening voor wachtwoorden en gebruikersverificatiefuncties kunt toevoegen aan de Identity Manager-gebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 19.1, Wachtwoordbeheer voorbereiden, op pagina 281 Sectie 19.2, Informatie over de wachtwoordportlets, op pagina 285 Sectie 19.3, Portlet Aanmelden bij IDM, op pagina 286 Sectie 19.4, Portlet IDM-challenge-response, op pagina 288 Sectie 19.5, Portlet IDM-suggesties definiëren, op pagina 289 Sectie 19.6, Portlet IDM-wachtwoord wijzigen, op pagina 290 Sectie 19.7, Portlet IDM wachtwoord vergeten, op pagina Wachtwoordbeheer voorbereiden U moet het volgende weten als u zelfbediening voor wachtwoorden en gebruikersverificatie wilt ondersteunen in een Identity Manager-gebruikerstoepassing: Sectie , Informatie over wachtwoordbeheerfuncties, op pagina 281 Sectie , Vereiste instellingen in edirectory, op pagina Informatie over wachtwoordbeheerfuncties De functies voor wachtwoordbeheer die worden ondersteund in een Identity Managergebruikerstoepassing zijn gebruikersverificatie en zelfbediening voor wachtwoorden. Wanneer u deze functies gebruikt, wordt het volgende ingeschakeld: Er wordt gevraagd om aanmeldingsgegevens (gebruikersnaam en wachtwoord) voor verificatie via Novell edirectory. Gebruikers kunnen zelf het wachtwoord wijzigen. Gebruikers kunnen zelf een vergeten wachtwoord opvragen (inclusief vragen om Challengeresponses, het weergeven van een wachtwoordsuggestie of het toestaan van een wijziging van het wachtwoord). Gebruikers kunnen zelf een challenge-vraag instellen. Gebruikers kunnen zelf een wachtwoordsuggestie instellen Vereiste instellingen in edirectory Voordat u de meeste functies voor zelfbediening voor wachtwoorden en gebruikersverificatie kunt gebruiken, moet u de volgende acties uitvoeren in edirectory: Universeel wachtwoord inschakelen Een of meer wachtwoordbeleidsitems maken 19 Portlets voor wachtwoordbeheer 281

290 Het juiste wachtwoordbeleid toewijzen aan gebruikers Een wachtwoordbeleid is een verzameling van door de beheerder gedefinieerde regels waarmee de criteria voor het maken en vervangen van gebruikerswachtwoorden worden opgegeven. In Novell Identity Manager wordt gebruikgemaakt van NMAS (Novell Modular Authentication Service) om het wachtwoordbeleid dat u aan gebruikers toewijst, in te stellen in edirectory. U kunt de vereiste instellingsstappen uitvoeren in Novell imanager. Hieronder volgt een voorbeeld van het definiëren van het beleid Documentatiewachtwoord in imanager. 282 Identity Manager-gebruikerstoepassing: beheerdershandleiding

291 Met dit wachtwoordbeleid wordt het volgende opgegeven: Instellingen voor universeel wachtwoord Portlets voor wachtwoordbeheer 283

292 Instellingen voor situaties waarin het wachtwoord is vergeten Toewijzingen waarmee het beleid wordt toegepast op specifieke gebruikers 284 Identity Manager-gebruikerstoepassing: beheerdershandleiding

293 Zie de beheerdershandleiding van Novell Identity Manager ( dirxml20/index.html) voor meer informatie over het instellen van het universele wachtwoord en het wachtwoordbeleid in edirectory Informatie over de wachtwoordportlets Als u de functies voor zelfbediening voor wachtwoorden en gebruikersverificatie wilt implementeren in de Identity Manager-gebruikerstoepassing, moet u de volgende portlets gebruiken: Portlet Sectie 19.3, Portlet Aanmelden bij IDM, op pagina 286 Sectie 19.4, Portlet IDMchallenge-response, op pagina 288 Sectie 19.5, Portlet IDMsuggesties definiëren, op pagina 289 Sectie 19.6, Portlet IDMwachtwoord wijzigen, op pagina 290 Beschrijving Aanmelden bij IDM biedt een robuuste gebruikersverificatie die wordt ondersteund door Identity Manager (via universeel wachtwoord, wachtwoordbeleid en NMAS). Met de portlet Aanmelden bij IDM wordt tijdens het aanmeldingsproces zo nodig omgeleid naar andere wachtwoordportlets. Met deze zelfbedieningsportlet kunnen gebruikers: De geldige antwoorden instellen voor de door de systeembeheerder gedefinieerde challenge-vragen en door de gebruiker gedefinieerde challenge-vragen en -antwoorden instellen. De geldige antwoorden wijzigen voor de door de systeembeheerder gedefinieerde challenge-vragen en door de gebruiker gedefinieerde challenge-vragen en -antwoorden wijzigen. Met deze zelfbedieningsportlet kunnen gebruikers de wachtwoordsuggestie instellen of wijzigen (deze wordt mogelijk als suggestie weergegeven of via verzonden wanneer het wachtwoord is vergeten). Met deze zelfbedieningsportlet kunnen gebruikers het universele wachtwoord wijzigen (opnieuw instellen) op basis van het toegewezen wachtwoordbeleid. Deze portlet wordt gebruikt om de regels weer te geven waaraan het nieuwe wachtwoord moet voldoen. Als er geen universeel wachtwoord is ingeschakeld, wordt met deze portlet het (eenvoudige) edirectory-wachtwoord van de gebruiker gewijzigd op basis van de wachtwoordbeperkingen van de gebruiker. Sectie 19.7, Portlet IDM wachtwoord vergeten, op pagina 292 Met deze zelfbedieningsportlet wordt challenge-/responseverificatie gebruikt om gebruikers te voorzien van informatie over het wachtwoord (via NMAS). Afhankelijk van het toegewezen wachtwoordbeleid kan het volgende gebeuren: De wachtwoordsuggestie van de gebruiker wordt op het scherm weergegeven. De suggestie wordt via naar de gebruiker verzonden. Het wachtwoord wordt via naar de gebruiker verzonden. De gebruiker wordt gevraagd het wachtwoord opnieuw in te stellen (te wijzigen). Portlets voor wachtwoordbeheer 285

294 Modi van de portlets voor zelfbediening van wachtwoorden De portlets voor zelfbediening van wachtwoorden (IDM-challenge-response, IDM-suggestie definiëren en IDM-wachtwoord wijzigen) hebben twee modi: Modus Beschrijving Gedrag tijdens runtime Zelfstandige modus Overdrachtsmodus Portlets worden zelfstandig uitgevoerd op gedeelde pagina's. Portlets worden op een pagina weergegeven na een validatiecontrole tijdens de aanmelding. Als een portlet juist wordt uitgevoerd, wordt een bericht weergegeven met een koppeling waarmee de bewerking nogmaals kan worden uitgevoerd. Als de portlet is mislukt, wordt er een foutbericht weergegeven in het bestaande formulier. Als een portlet juist wordt uitgevoerd, wordt de gebruiker omgeleid naar een nieuwe portlet of naar de hoofdpagina van de gebruikerstoepassing. Er wordt geen bericht weergegeven. Als de portlet is mislukt, wordt er een foutbericht weergegeven in het bestaande formulier Portlet Aanmelden bij IDM Via de portlet Aanmelden bij IDM wordt een robuuste gebruikersverificatie uitgevoerd die wordt ondersteund door Identity Manager (via universeel wachtwoord, wachtwoordbeleid en NMAS). Met de portlet Aanmelden bij IDM wordt tijdens het aanmeldingsproces zo nodig omgeleid naar andere wachtwoordportlets Vereisten Voor de portlet Aanmelden bij IDM gelden de volgende vereisten: 286 Identity Manager-gebruikerstoepassing: beheerdershandleiding

295 Onderwerp Wachtwoordbeleid Universeel wachtwoord Vereisten Voor deze portlet is geen wachtwoordbeleid vereist, tenzij u geavanceerde wachtwoordregels wilt gebruiken of als u wilt dat gebruikers op de koppeling Wachtwoord vergeten klikken. Voor deze portlet hoeft Universeel wachtwoord niet te zijn ingeschakeld, tenzij u een wachtwoordbeleid met geavanceerde wachtwoordregels wilt gebruiken. SSL Voor deze portlet wordt SSL gebruikt. Zorg er daarom voor dat de toepassingsserver juist is geconfigureerd voor de ondersteuning van SSL-verbindingen met uw LDAP-realm Gebruik Als u de portlet Aanmelden bij IDM wilt gebruiken, moet u het volgende weten: Hoe er via Aanmelden bij IDM wordt omgeleid naar andere portlets op pagina 287 Dispensatie-aanmeldingen gebruiken op pagina 287 Hoe er via Aanmelden bij IDM wordt omgeleid naar andere portlets Tijdens runtime wordt de gebruiker via de portlet Aanmelden bij IDM omgeleid naar andere wachtwoordportlets, afhankelijk van de vereisten voor het voltooien van de aanmeldingsprocedure. Bijvoorbeeld: Als de gebruiker Klikt op de koppeling Wachtwoord vergeten Challenge-vragen en -antwoorden moet instellen De wachtwoordsuggestie moet instellen Een ongeldig wachtwoord opnieuw moet instellen Wordt er via Aanmelden bij IDM omgeleid naar Sectie 19.7, Portlet IDM wachtwoord vergeten, op pagina 292 Sectie 19.4, Portlet IDM-challenge-response, op pagina 288 Sectie 19.5, Portlet IDM-suggesties definiëren, op pagina 289 Sectie 19.6, Portlet IDM-wachtwoord wijzigen, op pagina 290 Dispensatie-aanmeldingen gebruiken Als u een dispensatie-aanmelding gebruikt, wordt er in de portlet Aanmelden bij IDM een waarschuwingsbericht weergegeven waarin u wordt gevraagd het wachtwoord te wijzigen en waarin het aantal resterende dispensatie-aanmeldingen wordt aangegeven. Als u de laatste aanmelding hebt bereikt, wordt u via de portlet Aanmelden bij IDM omgeleid naar de portlet IDM-wachtwoord wijzigen. Portlets voor wachtwoordbeheer 287

296 19.4 Portlet IDM-challenge-response Met deze zelfbedieningsportlet kunnen gebruikers: De geldige antwoorden instellen voor de door de systeembeheerder gedefinieerde vragen en door de gebruiker gedefinieerde challenge-vragen en -antwoorden instellen. De geldige antwoorden wijzigen voor de door de systeembeheerder gedefinieerde vragen en door de gebruiker gedefinieerde challenge-vragen en -antwoorden wijzigen Vereisten Voor de portlet IDM-challenge-response gelden de volgende vereisten: Onderwerp Wachtwoordbeleid Universeel wachtwoord edirectory-configuratie Vereisten Voor deze portlet is een wachtwoordbeleid vereist waarin vergeten wachtwoord is ingeschakeld en met een challenge-set. Voor deze portlet hoeft Universeel wachtwoord niet te zijn ingeschakeld. Voor deze portlet moet u beheerdersrechten toekennen aan de beheerder van de gebruikerstoepassing voor de container waarin de aangemelde gebruiker zich bevindt. Wanneer u deze rechten toekent, kan de gebruiker een challenge-response naar SecretStore schrijven. De beheerder van de LDAP-realm is bijvoorbeeld cn=admin, oe=sample, n=novell en u meldt zich aan als cn=user1, oe=testou, o=novell. U wilt cn=admin, oe=sample, n=novell toewijzen als vertrouwde van testou en beheerdersrechten toewijzen voor [Alle attribuutrechten]. 288 Identity Manager-gebruikerstoepassing: beheerdershandleiding

297 Gebruik Als u de portlet IDM-challenge-response wilt gebruiken, moet u het volgende weten: Hoe IDM-challenge-response wordt gebruikt tijdens het aanmelden op pagina 289 Hoe IDM-challenge-response in de gebruikerstoepassing wordt gebruikt op pagina 289 Hoe IDM-challenge-response wordt gebruikt tijdens het aanmelden Tijdens de aanmeldingsprocedure wordt de gebruiker automatisch via Portlet Aanmelden bij IDM (pagina 286) omgeleid naar de portlet IDM-challenge-response wanneer deze challenge-vragen en - antwoorden moet instellen (bijvoorbeeld de eerste keer dat een gebruiker zich wil aanmelden bij de toepassing nadat een beheerder de gebruiker heeft toegewezen aan een wachtwoordbeleid in imanager). In het wachtwoordbeleid moet Wachtwoord vergeten zijn ingeschakeld en moet een challenge-set zijn opgenomen. Hoe IDM-challenge-response in de gebruikerstoepassing wordt gebruikt Standaard kunnen gebruikers in de gebruikerstoepassing zelf challenge-vragen en antwoorden wijzigen Portlet IDM-suggesties definiëren Met deze zelfbedieningsportlet kunnen gebruikers de wachtwoordsuggestie instellen of wijzigen (deze wordt mogelijk als suggestie weergegeven of via verzonden wanneer het wachtwoord is vergeten) Vereisten Voor de portlet IDM-suggesties definiëren gelden de volgende vereisten: Onderwerp Wachtwoordbeleid Universeel wachtwoord Vereisten Voor deze portlet is een wachtwoordbeleid vereist waarin vergeten wachtwoord is ingeschakeld en met een challenge-set. Voor deze portlet hoeft Universeel wachtwoord niet te zijn ingeschakeld. Portlets voor wachtwoordbeheer 289

298 Gebruik Als u de portlet IDM-suggesties definiëren wilt gebruiken, moet u het volgende weten: Hoe IDM-suggesties definiëren wordt gebruikt tijdens het aanmelden op pagina 290 IDM-suggesties definiëren op de pagina van de gebruikerstoepassing gebruiken op pagina 290 Hoe IDM-suggesties definiëren wordt gebruikt tijdens het aanmelden Tijdens de aanmeldingsprocedure wordt de gebruiker automatisch via Portlet Aanmelden bij IDM (pagina 286) omgeleid naar de portlet IDM-suggesties definiëren wanneer deze de wachtwoordsuggestie moet instellen (bijvoorbeeld de eerste keer dat een gebruiker zich wil aanmelden bij de toepassing nadat een beheerder de gebruiker heeft toegewezen aan een wachtwoordbeleid in imanager). In het wachtwoordbeleid is Wachtwoord vergeten ingeschakeld en is de actie ingesteld op hint to user (Suggestie naar gebruiker verzenden per ) of Show hint on page (Suggestie op pagina weergeven)). IDM-suggesties definiëren op de pagina van de gebruikerstoepassing gebruiken Standaard kunnen gebruikers in de gebruikerstoepassing zelf de wachtwoordsuggestie wijzigen Portlet IDM-wachtwoord wijzigen Met deze zelfbedieningsportlet kunnen gebruikers het universele wachtwoord wijzigen (opnieuw instellen) op basis van het toegewezen wachtwoordbeleid. Deze portlet wordt gebruikt om de regels weer te geven waaraan het nieuwe wachtwoord moet voldoen. Als Universeel wachtwoord niet is ingeschakeld, wordt met deze portlet het (eenvoudige) edirectory-wachtwoord van de gebruiker gewijzigd op basis van de wachtwoordbeperkingen van de gebruiker. 290 Identity Manager-gebruikerstoepassing: beheerdershandleiding

299 Vereisten Voor de portlet IDM-wachtwoord wijzigen gelden de volgende vereisten: Onderwerp Configuratie van de directory-abstractielaag Vereisten De directory-abstractielaag hoeft niet te worden geconfigureerd voor deze portlet. Wachtwoordbeleid Universeel wachtwoord Voor deze portlet is geen wachtwoordbeleid vereist, tenzij u geavanceerde wachtwoordregels wilt gebruiken (met Universeel wachtwoord ingeschakeld). Als u deze portlet wilt gebruiken voor een universeel wachtwoord, moet de instelling Allow user to initiate password change (Gebruiker toestaan wachtwoordwijziging te starten) zijn ingeschakeld in de geavanceerde wachtwoordregels van het toegewezen wachtwoordbeleid van de gebruiker. Als u deze portlet wilt gebruiken voor een (eenvoudig) edirectory-wachtwoord, moet de instelling Allow user to change password (Gebruiker toestaan wachtwoord te wijzigen) zijn ingesteld in de wachtwoordbeperkingen van de gebruiker Gebruik Als u de portlet IDM-wachtwoord wijzigen wilt gebruiken, moet u het volgende weten: Hoe IDM-wachtwoord wijzigen wordt gebruikt tijdens het aanmelden op pagina 291 IDM-wachtwoord wijzigen in de gebruikerstoepassing gebruiken op pagina 292 Hoe IDM-wachtwoord wijzigen wordt gebruikt tijdens het aanmelden Tijdens de aanmeldingsprocedure wordt de gebruiker automatisch via Portlet Aanmelden bij IDM (pagina 286) omgeleid naar de portlet IDM-wachtwoord wijzigen wanneer deze een ongeldig wachtwoord opnieuw moet instellen (bijvoorbeeld de eerste keer dat een gebruiker zich wil aanmelden bij de toepassing nadat een beheerder een wachtwoordbeleid heeft geïmplementeerd waarvoor de gebruiker het wachtwoord moet wijzigen). Via de Portlet IDM wachtwoord vergeten (pagina 292) wordt de gebruiker ook automatisch omgeleid naar IDM-wachtwoord wijzigen als deze voor het toegewezen wachtwoordbeleid het wachtwoord opnieuw moet instellen vanwege het vergeten van het wachtwoord. Portlets voor wachtwoordbeheer 291

300 IDM-wachtwoord wijzigen in de gebruikerstoepassing gebruiken Standaard kunnen gebruikers in de gebruikerstoepassing zelf het wachtwoord wijzigen via de portlet IDM-wachtwoord wijzigen. Bijvoorbeeld: 19.7 Portlet IDM wachtwoord vergeten Met deze zelfbedieningsportlet wordt challenge-/responseverificatie gebruikt om gebruikers te voorzien van informatie over het wachtwoord. Afhankelijk van het toegewezen wachtwoordbeleid kan het volgende gebeuren: De wachtwoordsuggestie van de gebruiker wordt op het scherm weergegeven. De suggestie wordt via naar de gebruiker verzonden. Het wachtwoord wordt via naar de gebruiker verzonden. De gebruiker wordt gevraagd het wachtwoord opnieuw in te stellen (te wijzigen) Vereisten Voor de portlet IDM wachtwoord vergeten gelden de volgende vereisten: Onderwerp Wachtwoordbeleid Universeel wachtwoord Vereisten Voor deze portlet is een wachtwoordbeleid vereist waarin Wachtwoord vergeten is ingeschakeld en dat een challenge-set bevat. Voor deze portlet hoeft Universeel wachtwoord niet te zijn ingeschakeld (tenzij u de volgende acties voor vergeten wachtwoord wilt ondersteunen: wachtwoord opnieuw instellen of wachtwoord via naar gebruiker verzenden). 292 Identity Manager-gebruikerstoepassing: beheerdershandleiding

301 Gebruik Als u de portlet IDM wachtwoord vergeten wilt gebruiken, moet u het volgende weten: Hoe IDM wachtwoord vergeten wordt gebruikt tijdens het aanmelden op pagina 293 De omgeving configureren voor acties op pagina 293 Voorkeuren voor IDM wachtwoord vergeten op pagina 294 Hoe IDM wachtwoord vergeten wordt gebruikt tijdens het aanmelden Tijdens het aanmelden wordt de gebruiker via de Portlet Aanmelden bij IDM (pagina 286) omgeleid naar de portlet IDM wachtwoord vergeten als deze op de koppeling Wachtwoord vergeten klikt. Wanneer IDM wachtwoord vergeten wordt weergegeven, worden de volgende acties uitgevoerd: 1 Er wordt gevraagd om een gebruikersnaam. 2 De gebruiker wordt omgeleid naar de Portlet Aanmelden bij IDM (pagina 286) om challenge-/ responseverificatie voor deze gebruiker uit te voeren. 3 De actie voor vergeten wachtwoord wordt uitgevoerd die is opgegeven in het toegewezen wachtwoordbeleid van de geverifieerde gebruiker. Een van de volgende acties wordt uitgevoerd: De gebruiker wordt omgeleid naar de Portlet IDM-wachtwoord wijzigen (pagina 290), zodat deze het wachtwoord opnieuw kan instellen. Het wachtwoord of de suggestie wordt via verzonden naar de gebruiker. De suggestie wordt weergegeven. OPMERKING: de portlet IDM wachtwoord vergeten is niet bedoeld voor zelfstandig gebruik. Dit houdt in dat u deze portlet niet moet toevoegen aan een gedeelde pagina in de gebruikerstoepassing. Wanneer u deze portlet op een pagina plaatst, vormt dit mogelijk een beveiligingsrisico, omdat personen het wachtwoord op een onbeheerde computer kunnen wijzigen zonder dat de gebruiker hiervan op de hoogte is of hiervoor toestemming heeft gegeven. De omgeving configureren voor acties Als u de acties wilt ondersteunen voor vergeten wachtwoorden, moet u ervoor zorgen dat de meldingsserver juist is ingesteld: 1 Gebruik een webbrowser om imanager te openen op de edirectory-server en meld u aan als beheerder. 2 Ga naar Roles and Tasks (Rollen en taken)>wachtwoorden en selecteer Server Options ( serveropties). 3 Geef de juiste instellingen op en klik op OK. In de portlet IDM wachtwoord vergeten worden twee sjablonen gebruikt. In imanager vindt u deze in Roles and Tasks (Rollen en taken)>wachtwoorden>edit Templates ( sjablonen bewerken). Ze hebben de volgende naam: Password hint request (Aanvraag wachtwoordsuggestie) Your password request (Uw wachtwoordaanvraag) Portlets voor wachtwoordbeheer 293

302 U kunt de inhoud van deze sjablonen zo nodig wijzigen voor de toepassing (wijzig de structuur echter niet). Voorkeuren voor IDM wachtwoord vergeten De portlet IDM wachtwoord vergeten bevat de volgende voorkeuren: Voorkeur Details login-sequence (Aanmeldingsprocedure) ldap-sslport (LDAP-sslpoort) allow-wildcard (Jokerteken toestaan) Codering De NMAS-aanmeldingsprocedure die wordt gebruikt. In deze versie wordt alleen challenge-response ondersteund. De beveiligde LDAP-poort die wordt gebruikt. Dit is standaard 636. Hiermee geeft u op of de gebruiker jokertekens kan gebruiken bij het invoeren van de gebruikersnaam. Dit is standaard onwaar. De tekencodering die wordt gebruikt. Dit is standaard utf Identity Manager-gebruikerstoepassing: beheerdershandleiding

303 20De portlet Zoeklijst In dit hoofdstuk wordt beschreven hoe u de portlet Zoeklijst kunt instellen en aanpassen voor gebruiker met de Identity Manager-gebruikerstoepassing. De volgende onderwerpen komen aan bod: Sectie 20.1, Informatie over Zoeklijst, op pagina 295 Sectie 20.2, De portlet Zoeklijst configureren, op pagina Informatie over Zoeklijst Met de portlet Zoeklijst kunnen gebruikers zoeken naar de inhoud van de opslagplaats voor ID's en deze weergeven. Dit is de basis van de actie Directory's doorzoeken van het tabblad Identiteitzelfbediening van de Identity Manager-gebruikerstoepassing. De actie Directory's doorzoeken is zo geconfigureerd dat gebruikers kunnen zoeken naar gebruikers, groepen en taakgroepen. U kunt deze echter aanpassen om het bereik van doorzoekbare objecten en attributen te wijzigen. In het volgende voorbeeld wordt aangegeven hoe gebruikers met de actie Directory's doorzoeken de zoekcriteria kunnen definiëren. 20 De portlet Zoeklijst 295

304 Gebruikersinterface-element Zoeken naar Met deze criteria Beschrijving Gebruikers selecteren het objecttype waarnaar ze willen zoeken. Zie Sectie , Zoeklijstvoorkeuren instellen, op pagina 302 voor meer informatie over het definiëren van de inhoud van deze lijst. Gebruikers definiëren de zoekcriteria door attributen en zoekoperators te selecteren in de vervolgkeuzelijst. Zoeken Mijn opgeslagen zoekbewerkingen Wanneer de gebruiker Uitgebreid zoeken selecteert, kan deze meerdere rijen en blokken met zoekcriteriagroepen opgeven die kunnen worden ingesteld als inclusief (AND) of exclusief (OR). Zie Sectie , Zoeklijstvoorkeuren instellen, op pagina 302 voor meer informatie over het definiëren van de doorzoekbare attributen. Hiermee voert u de opgegeven zoekcriteria uit. Zie Sectie , Zoeklijstvoorkeuren instellen, op pagina 302 voor meer informatie over het definiëren van de standaardzoekopdracht. Hiermee kan de gebruiker een eerder opgeslagen zoekbewerking uitvoeren, bewerken of verwijderen. Uitgebreid zoeken Net zoals met de knop Zoeken, kan de gebruiker hiermee rijen of blokken met zoekcriteria toevoegen, maar bij een uitgebreide zoekbewerking kunnen meerdere rijen en blokken met zoekcriteriagroepen worden opgegeven die kunnen worden ingesteld op inclusief (AND) of exclusief (OR). Zie Sectie , Zoeklijstvoorkeuren instellen, op pagina 302 voor meer informatie over het definiëren van de doorzoekbare attributen. 296 Identity Manager-gebruikerstoepassing: beheerdershandleiding

305 In dit voorbeeld wordt aangegeven wat er in de portlet wordt weergegeven (met voorbeeldgegevens) wanneer het zoekcriterium Voornaam begint met A is ingevoerd: U kunt de portlet Zoeklijst configureren voor het gebruik van de volgende functies: Gebruikersinterface-element Tabbladen Identiteit, Locatie en Bedrijf Beschrijving Gebruikers kunnen op deze tabbladen klikken om de resultatenlijst op verschillende manieren weer te geven. Zie Sectie , Informatie over weergave-indelingen van resultatenlijsten, op pagina 298 voor meer informatie over indelingen. Mijn opgeslagen zoekbewerkingen Hiermee kan de gebruiker een eerder opgeslagen zoekbewerking selecteren. Zoekbewerking opslaan Exportresultaat Hiermee kunnen gebruikers zoekcriteria opslaan en de opgeslagen zoekbewerkingen opnieuw uitvoeren. De zoekbewerkingen worden opgeslagen onder het attribuut srvprvquerylist van de aangemelde gebruiker. Hiermee kunnen gebruikers de zoekresultaten naar een andere indeling exporteren. De portlet Zoeklijst 297

306 Gebruikersinterface-element Zoekbewerking herzien Nieuwe zoekactie Beschrijving Hiermee kunnen gebruikers de zoekcriteria wijzigen. Hiermee kunnen gebruikers een nieuwe zoekbewerking definiëren. Standaard kunnen eindgebruikers met Zoeklijst: De zoekresultaten afdrukken starten vanuit de resultatenlijst De portlet Detail starten vanuit de resultatenlijst Informatie over weergave-indelingen van resultatenlijsten U kunt definiëren hoe gegevens die worden geretourneerd door de zoekbewerking in de opslagplaats voor ID's voor eindgebruikers worden weergegeven. De gegevens kunnen op een of meer van de volgende paginatypen worden geordend: Identiteitspagina's: deze bevatten normaal gesproken contactgegevens, zoals hier wordt weergegeven: 298 Identity Manager-gebruikerstoepassing: beheerdershandleiding

307 Locatiepagina's: deze bevatten normaal gesproken locatiegegevens, zoals hier wordt weergegeven: De portlet Zoeklijst 299