目录
|
角色
角色是与组概念类似的 Directory Server 条目机制。组有成员,角色也有成员。角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 项,由项的独特的名称 (DN) 属性来标识。Directory Server 具有很多不同类型的角色,但 Access Manager 只能管理其中的一种:被管理的角色。
Access Manager 使用角色来应用访问控制指令。首次安装 Access Manager 时,会配置用于定义管理员权限的访问控制指令 (ACI)。然后会在角色(如“组织管理员角色”和“组织帮助台管理员角色”)中指定这些 ACI。当将角色分配给用户时,这些角色用于定义用户的访问权限。
仅当管理服务中启用了“显示用户的角色”属性时,用户才可以查看为其分配的角色。
本节包含以下主题:
创建静态角色的步骤
可以在角色的创建过程中不添加用户的情况下,创建静态角色。这样,在向给定的角色添加特定用户时,您可以更好的进行控制。
- 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
- 选择“静态角色”,然后输入名称。单击“下一步”。
- 输入角色的说明。
- 从“类型”菜单中选择角色类型。
角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。
- 从“访问权限”菜单中选择缺省的一组权限,以应用到角色。
拥有这些权限,可以访问组织中的项。在“Access Manager 管理指南”第 4 部分中的“缺省角色权限 (ACI)”一节中对这些权限进行了说明。(显示缺省权限时未使用特定顺序。)
通常,“无权限 ACI”会指定给服务角色,而缺省的 ACI 会指定给管理角色。
- 单击“完成”。
创建的角色显示在“浏览”窗格中,该角色的状态信息显示在“数据”窗格中。
通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。
创建过滤的角色的步骤
过滤的角色是指通过使用 LDAP 过滤器创建的动态角色。在创建角色时,会为所有通过过滤器过滤的用户指定该角色。过滤器会搜索条目中的所有属性值对(例如,ca=user*),并自动将包含该属性的用户指定到角色。
- 在“浏览”窗格中,找到要在其中创建角色的组织。
- 从“查看”菜单中选择“角色”。
配置组织时会创建一组缺省角色,这些角色显示在“浏览”窗格中。
有关这些角色的说明,请参见“Access Manager 管理指南”第 4 部分中的“ 动态管理角色 ACI ”。
- 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
- 选择“过滤的角色”,然后输入名称。单击“下一步”。
- 输入角色的说明。
- 从“类型”菜单中选择角色类型。
角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。
- 从“访问权限”菜单中选择缺省的一组权限,以应用到角色。
拥有这些权限,可以访问组织中的项。在“Access Manager 管理指南”第 4 部分中的“缺省角色权限 (ACI)”一节中对这些权限进行了说明。(显示缺省权限时未使用特定顺序。)
通常,“无权限 ACI”会指定给服务角色,而缺省的 ACI 会指定给管理角色。
- 输入搜索条件信息。这些字段包括:
匹配。允许您使用逻辑运算符连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。
名字。按照用户的名字搜索用户。
用户状态。按照用户的状态(活动或不活动)搜索用户。
用户 ID。按照用户 ID 搜索用户。
姓氏。按照用户的姓氏搜索用户。
全名。按照用户的全名搜索用户。
另外,您可以选择“高级”按钮来自行定义过滤器属性。例如:
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
如果过滤器保留为空,将缺省创建以下角色:
(objectclass = inetorgperson)
单击“重置”以清除过滤器属性,或者单击“取消”以取消创建角色进程。
- 单击“完成”基于过滤条件启动搜索。通过过滤条件定义的用户会自动被指定到角色。
通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。
删除角色的步骤
将角色添加到策略的步骤
可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。
目录 |