作者：gnuhpc
出处：http://www.cnblogs.com/gnuhpc/

Service的概念在前边的文档中有所介绍的，现在只是提一些需要注意的问题：

1.每一中Service都需要一个Profile，这个Profile描述了使用何种Adapter与其通信，它支持什么属性，其service form的形式和account form的形式。

2.Service selection policies是一个自动分配机制：定义了哪些Service分配给用户。它可以使用Javascript进行查找，然后决定service的分配原则。作为分配原则的扩展，它提供了基于用户个人信息的属性来分配账户的能力。有两个层面：一种是单层面的，一种是包含子树的层面的。

一个Service selection policies必须和一个分配原则相关联，然后根据service的类型来给用户提供service的。它在一个用户被新加进来（和分配原则相关联）、一个用户属性被修改、Service selection policies或分配原则被修改时自动启用。JavaScript例子如下：

function selectService()
{
var title = subject.getProperty("title")[0];    
var serviceInstance = null;
if ((title!=null) && (title=="Lead Test Engineer") ||
(title=="Engineer Manager") || (title=="Engineer") ||
(title=="Software Engineer II"))
{
serviceInstance = ServiceSearch.searchByFilter
("(erservicename=Los Angeles Engineering Server)", 1)[0];    
}
else   
{
return serviceInstance;
}
}
return selectService();

这段脚本监测user的title，若Title符合程序中四个头衔其中之一，则根据searchByFilter指定的实例上用户创建一个账户，否则就不创建。

3.身份策略：

定义了登录ID如何被自动创建。

4.密码策略：

定义了密码强度等内容。

5.Reconciliation：

比对本地用户信息和服务器存储的用户信息。分为两类：

a.将权限信息导入ITIM数据库。

b.监视进入ITIM的用户。

步骤1：一个管理员发起REconciliation。

步骤2：TIM向所选择的Service发起Reconciliation的请求。

步骤3：系统收集信息并返回个给TIM。

步骤4：TIM与LDAP进行比对。

步骤5：TIM试图找出账户拥有者。

步骤6：若找到账户拥有者则账号的改变依据分配策略而进行改变。

步骤7：账户根据policy  enforcement 进行更改。

而Policy Check则是对在ITIM之外的创建或修改的动作进行的监管，默认是使能的，但是若并不在乎non-compliance或者想提高效率则disable掉这个选择。

使用Policy Check发现问题时在Configure Policy Enforcement Behavior上设定如何处理，当然也可以在Configure Global Policy Enforcement里设置。

Reconciliation Query 则使用LDAP或者一些属性完成部分的Reconciliation，减少不必要的查询和比对，提高效率。

作者：gnuhpc
出处：http://www.cnblogs.com/gnuhpc/