作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/
今天学习了Identity Feeds功能。
1.引言
TIM5.0 从一个数据源导入多个User到系统的功能,这个批量导入的过程就叫Identity Feeds或者称为HR feed。操作Reconciliation将TIM服务器和数据源上的数据进行同步,初次Reconciliation是将TIM服务器内放置新的 USER,随后的Reconciliation使用来增加、删除用户或者更新用户数据。TIM提供了如下五种常用的服务类型(service types)来应对Identity Feeds功能。
· Comma Separated Value (CSV) identity feed
· DSML identity feed
· AD OrganizationalPerson identity feed
· INetOrgPerson (LDAP) identity feed
· TDI data feed
2.详细介绍:
1)Comma Separated Value (CSV) identity feed
提供了读取由逗号分隔值的形式保存数据的文件的功能。
这个文件中的格式如下:
第一行一定是要定义下面的记录是什么格式的,比如uid,sn,cn,givenname,mail,initials,employeenumber,erroles
然后后边的行就以这样的格式填写。属性必须是TIM的Profile中有的,否则将会忽略。其中sn和cn都是输入文件必须的属性。具体的,例如:
2)DSML identity feed
DSML文件的全称为Directory Services Markup Language,是一种表述目录信息的XML格式的文件。举例:
<entry dn="uid=sparker">
<objectclass><oc-value>inetOrgPerson</oc-value></objectclass>
<attr name="givenname"><value>Scott</value></attr>
<attr name="initials"><value>SVP</value></attr>
<attr name="sn"><value>Parker</value></attr>
<attr name="cn"><value>Scott Parker</value></attr>
<attr name="telephonenumber"><value>(919) 321-4666</value></attr>
<attr name="postaladdress"><value>222 E. First Street Durham, NC 27788</value></attr>
</entry>
值得注意的是CSV 和 DSML都支持多值属性multi-value attributes。
对于CSV,形式如下:
cn, erroles, erroles, erroles,sn
cn1,role1, role2, role3,sn1
cn2,role1,,,sn2
对于DSML,形式如下:
<attr name=“erroles”><value>role1</value><value>role2</value></attr>
3)AD Organizational identity feed
提供了从Windows活动目录的记录中创建User的功能。
4)inetOrgPerson identity feed
提供了支持使用RFC2798的LDAP服务器的User导入功能。
5)TDI data feed (available in 4.6)
提供了支持从自定义 identity sources导入User的功能,有更大的灵活性。
下图是inetOrgPerson 到 AD organizationalPerson 的映射关系: 
3.使用说明
1)CSV Feed
首先创建一个Service,选择Comma Separated File (CSV) identity feed按下一步,导入一个CSV文件,设定服务名称并指定文件。可以使用‘Test connection’对要导入的文件进行测试。
‘Use workflow’ 选项提供了对在service reconciliation时是不是要进行account provisioning。
‘Person profile name’ 提供了可用的Profile的列表。
‘Placement rule’ 中可以设置在当前ITIM执行reconciliation过程中执行用户替代的脚本。 
name attribute是来确定在TIM中唯一标示某个User的。这个下拉列表中的选项可以自定制service form来更改。
保存这个服务设定后就可以导入User了, 
2)DSML Feed
和1)的步骤差不多, 
注意在 DSML文件中的dn指定了USER的唯一标示符。所以说在后边的选择设置中就没有上文所述的name attribute了。
3、4) inetOrgPerson LDAP and Windows AD Feeds
设定这两种类型的feeds要求指定可连接到的目录资源的URL,还要求获取这些资源的用户名和密码。
并且,它们还都要求Naming context,它设定了从哪个目录树开始查找。
3)LDAP 
注意下图中的下边没有显示的按钮:test connection。这个连接测试实际上会执行一个LDAP绑定,然后对Base DN进行一次getAttributes查询。这个测试的成功并不代表导入就会一定成功。 
假设我们想使用目录中的o=ibm,c=us->ou=Austin->ou=Home Entertainment,如图, 
那我们需要在Naming context中指定,如下图: 
‘Attribute Mapping file name’提供了一个自定义LDAP属性和TIM属性的映射。
这个自定义映射文件的格式是:
feedAttrName=itimAttrName
Lines starting with # or will be interpreted as comments
例如:
#feedAttrName=itimAttrName
cn=cn
sn=sn
title=title
telephonenumber=mobile
mail=mail
description=description
这是六个LDAP属性的映射,其他的就忽略使用默认的。
4)Windows AD Feed 
在填写Service Information时,用户名和密码虽然没有强制填写,但是在使用test connection时也是必须的。
5)TDI Data Feeds
这需要你懂ITDI(IBM Tivoli Directory Integrator)。
作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/