目錄    

角色

角色是與群組概念相似的 Directory Server 項目機制。群組具有成員;角色也具有成員。角色的成員是擁有角色的 LDAP 項目。角色本身的條件定義為具有屬性的 LDAP 項目,由該項目的 [識別名稱 (DN)] 屬性識別。Directory Server 具有大量不同類型的角色,但是 Access Manager 僅可管理其中的一種:受管理角色。

Access Manager 使用角色來實施存取控制指令。初次安裝時,Access Manager 會配置定義管理員權限的存取控制指令 (ACI)。然後會在角色 (例如組織管理角色與組織說明桌面管理角色) 中指定這些 ACI,這些角色在指定給使用者時會定義使用者的存取權限。

只有在管理服務中啟用了 [顯示使用者角色] 屬性,使用者才可檢視指定給他們的角色。

本節包含以下主題:

建立靜態角色

靜態角色可以在建立時不加入使用者。這樣,在將特定使用者加入給定角色時,您可以進行更多控制。

  1. 在 [導覽] 窗格中,移至要在其中建立角色的組織。
  2. 從 [檢視] 功能表選擇 [角色]。
  3. 配置組織時,預設角色集會被建立並顯示在 [導覽] 窗格中。

  1. 在 [導覽] 窗格中按一下 [新建]。[新建角色] 範本會顯示在 [資料] 窗格中。
  2. 選取 [靜態角色],然後輸入名稱。按一下 [下一步]。
  3. 輸入角色的描述。
  4. 從 [類型] 功能表選擇角色類型。
  5. 角色可以為「管理」角色或「服務」角色。 主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  6. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。
  7. 具有這些權限,便可以存取組織中的項目。 這些權限在「Access Manager 管理指南」第 4 部分的「預設角色權限 (ACI)」小節中有論述。(顯示的預設權限未依特定順序排列。)

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

  8. 按一下 [完成]。
  9. 建立的角色會顯示於 [導覽] 窗格中,而角色的狀態資訊顯示在 [資料] 窗格中。

    您可以透過在 [檢視] 功能表中選取 [顯示選項] 和 [可用動作] 選擇性地配置它們。

建立過濾角色

過濾角色是透過使用 LDAP 過濾器建立的動態角色。在角色建立時,所有使用者都會透過過濾器過濾並指定給角色。過濾器會尋找項目中的任何屬性值對 (例如 ca=user*),並自動將包含屬性的使用者指定給角色。

  1. 在 [導覽] 窗格中,移至要在其中建立角色的組織。
  2. 從 [檢視] 功能表選擇 [角色]。
  3. 配置組織時,預設角色集會被建立並顯示在 [導覽] 窗格中。

    如需這些角色的描述,請參閱「Access Manager 管理指南 」第 4 部分中的「動態管理角色 ACI」

  4. 在 [導覽] 窗格中按一下 [新建]。[新建角色] 範本會顯示在 [資料] 窗格中。
  5. 選取 [過濾角色],然後輸入名稱。按一下 [下一步]。
  6. 輸入角色的描述。
  7. 從 [類型] 功能表選擇角色類型。
  8. 角色可以為「管理」角色或「服務」角色。 主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  9. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。
  10. 具有這些權限,便可以存取組織中的項目。 這些權限在「Access Manager 管理指南」第 4 部分的「預設角色權限 (ACI)」小節中有論述。(顯示的預設權限未依特定順序排列。)

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

  11. 輸入搜尋條件資訊。這些欄位包括:
  12. [相符]。允許您在希望過濾所包含的任何欄位中納入運算子。ALL 傳回所有指定欄位的使用者。ANY 傳回任一指定欄位的使用者。

    [名字]。依據其名字搜尋使用者。

    [使用者狀態]。依據其狀態 (作用中或非作用中) 搜尋使用者。

    [使用者 ID]。依據使用者 ID 搜尋使用者。

    [姓氏]。依據其姓氏搜尋使用者。

    [全名]。依據其全名搜尋使用者。

    或者,您可以選取 [進階] 按鈕以自行定義過濾器屬性。例如:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    如果過濾器保留為空白,依預設會建立以下角色:

    (objectclass = inetorgperson)

    按一下 [重設] 以清除過濾器內容,或者按一下 [取消] 以取消角色建立程序。

  13. 按一下 [完成] 以基於過濾條件開始搜尋。過濾條件所定義的使用者會自動指定給角色。
  14. 您可以透過在 [檢視] 功能表中選取 [顯示選項] 和 [可用動作] 選擇性地配置它們。


    備註

    可以透過 [角色設定檔] 頁面和/或 [使用者設定檔] 頁面將使用者加入靜態角色。


刪除角色

  1. 導覽至包含要刪除之角色的組織。
  2. 從身份管理的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。位置路徑會顯示預設頂層組織與選擇的組織。
  3. 從 [檢視] 功能表選擇 [角色]。
  4. 選取角色名稱旁邊的核取方塊。
  5. 按一下 [刪除]。

將角色加入到策略

透過策略的主旨定義將 Access Manager 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。


目錄