创建端点 CSV 文件

端点 CSV 文件中标头行之后的每一行都表示一项在 企业控制台中创建、修改或删除端点的任务。
cminder12901cn
端点 CSV 文件中标头行之后的每一行都表示一项在
Privileged Identity Manager
企业控制台中创建、修改或删除端点的任务。
重要信息!
创建 CSV 文件时,请确认没有其他应用程序使用该文件且该文件能够被重命名。 SAM 导送程序仅处理能够重命名的 CSV 文件。
请按下列步骤操作:
  1. 创建一个 CSV 文件,并以恰当的名称命名。
    注意:
    建议您创建端点 CSV 示例文件的一份副本。 示例文件位于以下目录,其中
    ACServer
    是您安装企业管理服务器的目录:
    ACServer/IAM Suite/Access Control/tools/samples/feeder
  2. 创建指定端点属性名称的标头行。
    端点属性的名称如下所示。 某些端点属性仅对特定的端点类型有效:
    • OBJECT_TYPE
      指定要导入的对象的类型。
      值:
      ENDPOINT
    • ACTION_TYPE
      指定要执行的操作类型
      :CREATE、MODIFY、DELETE
    • %FRIENDLY_NAME%
      定义在
      Privileged Identity Manager
      企业控制台中引用该端点的名称。
    • DESCRIPTION
      定义想要为该端点记录的任何信息。
    • ENDPOINT_TYPE
      指定该端点的类型。
      注意:
      您可以查看
      Privileged Identity Manager
      企业控制台中可用的端点类型。 在创建“CA IdentityMinder 开通”类型端点之前,您必须在
      Privileged Identity Manager
      企业控制台中创建“Identity Manager 开通”类型的连接器服务器。
    • HOST
      定义该端点的主机名称。
    • LOGIN_USER
      定义该端点的管理用户的名称。 该属性
      不适用于
      任何“CA IdentityMinder 配给”端点类型,但适用于所有其他端点类型。
      对于除“SSH 设备”以外的所有有效的端点类型:
      • 如果您不指定特权管理帐户(IS_ADVANCE 属性),SAM 会使用 LOGIN_USER 连接到端点并在端点上执行管理任务(例如,发现帐户和更改密码)。
      • 如果您指定了特权管理帐户,SAM 会忽略 LOGIN_USER 的任何值。
      对于“SSH 设备”端点:
      • 如果您不指定操作管理员 (OPERATION_ADMIN_USER_NAME) 或特权管理帐户,SAM 会使用 LOGIN_USER 连接到端点并在端点上执行管理任务。
      • 如果您指定了操作管理员,SAM 会使用 LOGIN_USER 连接到端点并使用操作管理员在端点上执行管理任务。
      • 如果您指定了特权管理帐户,SAM 会忽略 LOGIN_USER 的任何值。
    • PASSWORD
      定义 LOGIN_USER 的密码。 该属性
      不适用于
      任何“CA IdentityMinder 配给”端点类型,但适用于所有其他端点类型。
    • URL
      定义用来连接到端点的 URL。 该属性适用于 MS SQL Server 和 Oracle Server 端点类型。
      格式:
      (MS SQL Server) jdbc:sqlserver://
      servername
      :
      port
      格式:
      (Oracle Server) jdbc:oracle:
      drivertype
      :@
      hostname
      :
      port
      :
      service
    • DOMAIN
      指定该端点所属的域的名称。 该属性适用于 Access Control for SAM 和 Windows Agentless 端点类型。
    • IS_ACTIVE_DIRECTORY
      指定用户帐户是否是 Active Directory 帐户。 该属性仅适用于 Windows Agentless 端点类型。
      限制:
      TRUE、FALSE
    • USER_DOMAIN
      指定 LOGIN_USER 所属的域的名称。 该属性适用于 Windows Agentless 端点类型。
    • CONFIGURATION_FILE
      指定您正在定义的“SSH 设备”XML 配置文件的名称。 该属性适用于“SSH 设备”端点类型。
      注意:
      如果您不指定该属性的值,
      Privileged Identity Manager
      企业控制台会使用默认配置文件 (ssh_connector_conf.xml)。
    • OPERATION_ADMIN_USER_NAME
      (可选)定义端点的操作管理员用户的名称。 SAM 使用该帐户在端点上执行管理任务,例如,发现和更改特权帐户的密码。 该属性适用于“SSH 设备”端点类型,如下所示:
      • 如果您指定了特权管理帐户(IS_ADVANCE 属性)和操作管理员,SAM 会使用特权管理帐户连接到端点并使用操作管理员在端点上执行管理任务。
      • 如果您不指定操作管理员 (OPERATION_ADMIN_USER_NAME) 或特权管理帐户,SAM 会使用 LOGIN_USER 连接到端点并在端点上执行管理任务。
      如果为使用检查点防火墙的 SSH 端点指定操作管理员,请指定专家用户。 但是,您无法使用 SAM 更改端点上专家帐户的密码。 此限制意味着,专家帐户必须是 SAM 中的断开帐户。
    • OPERATION_ADMIN_USER_PASSWORD
      (可选)定义端点的操作管理员用户的密码。 该属性适用于“SSH 设备”端点类型。
    • ENDPOINT
      定义端点的名称,与在 CA IdentityMinder 配给服务器中的定义完全一致。 该属性适用于“CA IdentityMinder 配给”端点类型。
    • IS_ADVANCE
      (可选)指定您是否想使用特权管理帐户连接到端点并在端点上执行管理任务(例如,发现帐户和更改密码)。 该属性适用于所有端点类型。
      对于除“SSH 设备”以外的所有有效端点类型,如果您指定了特权管理帐户(IS_ADVANCE 为 TRUE),SAM 会使用特权管理帐户连接到端点并在端点上执行管理任务。
      对于“SSH 设备”端点:
      • 如果您指定了特权管理帐户或操作管理员 (OPERATION_ADMIN_USER_NAME),SAM 会使用特权管理帐户连接到端点并使用操作管理员在端点上执行管理任务。
      • 如果您仅指定了特权管理帐户,SAM 会使用特权管理帐户连接到端点并在端点上执行管理任务。
      限制:
      TRUE、FALSE
      注意:
      如果您将该属性的值设置为 TRUE,则不要指定 LOGIN_USER 的值。 但是,请指定 PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE、PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME、PROPERTY_ADMIN_ACCOUNT_CONTAINER 和 PROPERTY_ADMIN_ACCOUNT_NAME。
    • PROPERTY_ADMIN_ACCOUNT_ENDPOINT_TYPE
      (可选)定义特权管理帐户在其上有所定义的端点的类型。
      注意:
      要使用特权管理帐户,您必须指定 IS_ADVANCE 为真。
    • PROPERTY_ADMIN_ACCOUNT_ENDPOINT_NAME
      (可选)定义特权管理帐户在其上有所定义的端点的名称。 端点必须存在于
      Privileged Identity Manager
      企业控制台中。
      注意:
      要使用特权管理帐户,您必须指定 IS_ADVANCE 为真。
    • PROPERTY_ADMIN_ACCOUNT_CONTAINER
      (可选)定义特权管理帐户在其中有所定义的容器。 容器是一个类,其实例是其他对象的集合。
      值:
      (Windows Agentless 和 Oracle Server):Accounts
      (SSH 设备):SSH Accounts
      (MS SQL Server):MS SQL Logins
      注意:
      要使用特权管理帐户,您必须指定 IS_ADVANCE 为真。
    • PROPERTY_ADMIN_ACCOUNT_NAME
      (可选)定义 SAM 用来在端点上执行管理任务(例如,发现帐户和更改密码)的特权管理帐户的名称。 特权帐户必须存在于
      Privileged Identity Manager
      企业控制台中。
      注意:
      要使用特权管理帐户,您必须指定 IS_ADVANCE 为真。
    • LOGIN_APPLICATION
      指定与端点关联的登录应用程序的名称。
    • OWNER_INFO
      指定端点所有者的名称。
    • OWNER_TYPE
      (可选)指定端点所有者的类型。
      值:
      USER、GROUP
    • DEPARTMENT_INFO
      指定部门名称。
    • CUSTOM1....5_INFO
      指定多达五个特定客户属性。
    • ADMIN_ACCOUNT_IS_DISCONNECTED
      指定端点管理员帐户是否断开。 
      :TRUE、FALSE
      默认值
      :TRUE
    • DISABLE_EXCLUSIVE_SESSIONS
      指定是否禁用该端点上的独占会话选项。
      :TRUE、FALSE
      默认值
      :FALSE
    • DENY_BREAKGLASS_EXCLUSIVE
      指定是否阻止访问正在进行紧急情况应急处理的独占帐户。
      :TRUE、FALSE
      默认值
      :FALSE
    • ENABLE_SESSION_RECORDING
      对此端点启用会话记录功能。
  3. 将端点任务行添加到 CSV 文件中。
    每一行都表示一项创建或修改端点的任务,并且必须有与标头行相同的属性。 这些属性的顺序必须与标头行中的相同。 如果某行没有某属性的值,则保留该字段为空。
  4. 将文件保存到轮询文件夹。 
    端点 CSV 文件已准备就绪,可供 SAM 导送程序处理。
    注意:
    默认的轮询文件夹位于以下目录,其中
    JBoss_home
    是您安装 JBoss 的目录:
    JBoss_home/server/default/deploy/IdentityMinder.ear/custom/ppm/feeder/waitingToBeProcessed
示例:端点 CSV 文件
以下是端点 CSV 文件示例。 您可以在
ACServer
/IAM Suite/Access Control/tools/samples/feeder 目录中找到更多的端点 CSV 文件示例。
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,DESCRIPTION,ENDPOINT_TYPE,HOST,LOGIN_USER,PASSWORD,URL,CONFIGURATION_FILE,DOMAIN,IS_ACTIVE_DIRECTORY,USER_DOMAIN,ENDPOINT ENDPOINT,Oracle1,oracle 10g,Oracle Server,TEST10, ORAADMIN1,ORAADMIN1,jdbc:oracle:thin:@TEST10:1521:RNDSRV,,,,, ENDPOINT,local MSSQL1,local SQL server,MS SQL Server, localhost,testAdmin,Password1@,jdbc:sqlserver://localhost:1433,,,,, ENDPOINT,SSH_Device2,unix machine,SSH Device,TEST84,root,Password1@,,,,,, ENDPOINT,IM_Access Control,Access Control via provisioning,Access Control,TEST1,,,,,,,,TEST1
用于创建或修改端点的强制性属性
以下是必须包括在 CSV 文件中用于创建或修改端点的强制性属性:
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME%,ENDPOINT_TYPE
端点类型
LOGIN_USER
PASSWORD
HOST
DOMAIN
URL
ENDPOINT
SSH 设备*
+
+
+
 
 
 
Windows Agentless*
+
+
+
+
 
 
Sybase Server*
+
+
+
 
+
 
OS400*
+
+
+
 
 
 
ACF2*
+
+
+
 
+
 
MS SQL Server*
+
+
+
 
+
 
Oracle Server*
+
+
+
 
+
 
网络设备
 
 
+
 
 
 
RACF*
+
+
+
 
+
 
Access Control for PUPM
 
 
+
 
 
 
已断开连接
 
 
+
 
 
 
通过配给的 ActiveDirectory
 
 
+
 
 
+
通过配给的 OS400
 
 
+
 
 
+
通过配给的 NDS 服务器
 
 
+
 
 
+
通过配给的 CA-ACF2
 
 
+
 
 
+
通过配给的 Access Control
 
 
+
 
 
+
通过配给的 CA-Top Secret
 
 
+
 
 
+
通过配给的 RACF
 
 
+
 
 
+
通过配给的 SAP R3
 
 
+
 
 
+
通过配给的 Windows NT
 
 
+
 
 
+
* 如果您定义了 IS_ADVANCED 属性,则不要指定 LOGIN_USER 和 PASSWORD 属性。
用于删除端点的强制性属性
以下是您必须定义以删除端点的强制性属性:
OBJECT_TYPE,ACTION_TYPE,%FRIENDLY_NAME,ENDPOINT_TYPE,HOST
用于创建或修改共享帐户的强制性属性
以下是您必须定义以创建或修改共享帐户的强制性属性:
OBJECT_TYPE,ACTION_TYPE,ACCOUNT_NAME,ENDPOINT_NAME,NAMESPACE,CONTAINER,PASSWORD_POLICY,ACCOUNT_PASSWORD