作者：gnuhpc
出處：http://www.cnblogs.com/gnuhpc/

1.基本概念 Identity feed：任何一個從一個數據源讀入用戶信息后添加到TIM或者與TIM中數據校驗一致性的方法。

?

2.內置用戶類型：

TIM中內置兩種用戶類型：

a.person --被管理的組織的成員

b.Business Partner Person -- 非組織內部的成員，比如外包人員或者顧問。 TIM支持添加用戶種類。

3.添加用戶的方法：

a.手動添加：僅適用于添加個別的用戶，不適于大量。

b.使用TIM API開發客戶端讓用戶自己注冊

c.使用Java Naming and Directory Interface (JNDI)

d.使用Identity feed導入：支持文件導入和復雜的服務器遠程導入。

4.修改用戶信息：使用ITIM Account登錄Self Service Console。

5.Identity feed（亦稱為HR Feed）的使用：

reconciliation是指從外部數據源向ITIM導入和同步數據的過程，而這個過程在第一次使用的時候可以作為導入，有時候你可能要導入兩次，因為有些員工的信息是和他老板相關聯的，你必須先導入這兩個人的信息，然后在第二次導入的時候建立這樣的員工-老板的關系。 TIM提供了五種方式：

? Comma Separated Value (CSV) identity feed

? DSML identity feed

? Active Directory (AD) OrganizationalPerson identity feed

? INetOrgPerson (LDAP) identity feed

? Tivoli Directory Integrator (TDI) data feed

前四種是從預先準備好的數據源中讀取，最后一種方式則使用TDI從各種數據源中獲取，并且可以進行過濾等操作后再導入，更加靈活。 創建Identity Feed Interface:和創建Service的過程一樣，

?

?

a.CSV格式導入：

CSV格式文件的第一行必須提供相關屬性的名稱，例如：

uid,sn,cn,givenname,mail,initials,employeenumber,erroles

而這些屬性必須符合ITIM的Profile（erPersonItem and the INetOrgPerson object classes），否則不符合的將被忽略。sn, cn是必須的。

erPersonItem object class是一個輔助對象類，包含不在標準INetOrgPerson中所含有TIM特有的屬性，例如erroles。

?

可以使用定義好的WorkFlow在數據導入時進行運行，用戶此時可以同時進行用戶導入和權限分配?？梢允褂肨est Connection進行文件測試。

Person profile name 默認中只包含Person，但是要是諸如bpPerson加入到Schema中，那么則需要使用form manager進行修改了。

Name attribute中列出了一系列姓名屬性唯一的屬性，隨便使用一個就可以，以示各個導入的數據的區別。

Placement rule則是去寫Javascript腳本，來動態決定哪些用戶被加到整個組織的什么organizational units中。

?

在創建好identity feed后，我們要進行一次reconciliation。

?

?

b.DSML導入：

DSML是一個XML格式的文件，描述了目錄信息。該DSML文件也可能是一個DSML服務器的URL，DSML文件格式如下：

inetOrgPerson
John
JD
Doe
John Doe
(800) 555-1234
123 E. First Street, Anytown, USA? 12345

?

我們注意到TIM使用的DSML文件，在外圍有如下的包圍的屬性：

.....multiple pairs.

所謂正是以 開頭，進行唯一用戶導入的信息。

在導入DSML時，要輸入的user ID和password是指DSML服務器所要求的，而不是指本地。

c.Active Directory導入：

從organizationalPerson object class中獲得用戶信息，相應操作類似于LDAP INetOrgPerson identity feed

注意user ID和password也是必須的，雖然并沒有在ITIM中標示出是必須的

?

d.INetOrgPerson Identity (LDAP) 導入：

從INetOrgPerson object class中獲得用戶信息，所有沒有objectclass=INetOrgPerson標示的記錄都將被忽略。

映射文件的屬性格式如下：（當然前邊指定ou和objectclass等還是需要的，詳見一個ldap文件的格式）

#feedAttributeName=itimAttributeName（注釋）
cn=cn
sn=sn
title=title
telephonenumber=mobile
mail=mail
description=description

除了telephonenumber被映射到mobile外，其余都是映射到同名屬性。TIM支持使用屬性映射設置文件代替默認的屬性映射規則，該文件實際就是一個文本文件，格式如下：

INetOrgPerson Attribute = Mapped Attribute

如果使用屬性映射設置文件，則所有使用到的屬性都必須提供，否則則不使用這條記錄。

在導入LDAP中Naming context指定了TIM從LDAP的什么地方開始向下進行遍歷。DN格式。

?

e.IBM Tivoli Directory Integrator (TDI) 導入：

最強大也是最麻煩的一種導入，支持用戶自定義過濾導入、屬性的一對多或多對一映射、與多種數據庫一起工作等操作，可以用來進行屬性控制，更新和刪除添加一個用戶的信息。

在TDI中用戶需要創建AssemblyLines，其中包含多個connectors，前者可以視為一個小程序，而后者可以視為多個程序代碼塊。TDI提供了許多connectors完成常見操作。

詳細請見TIM聯合TDI使用的相關文檔。

作者：gnuhpc
出處：http://www.cnblogs.com/gnuhpc/

總結

以上是生活随笔為你收集整理的【IBM Tivoli Identity Manager 学习文档】15 用户管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。