Inhalt    

Rollen

Eine Rolle ist ein Directory Server Eintragsmechanismus, der dem Konzept einer Gruppe entspricht. Sowohl eine Gruppe als auch eine Rolle verfügt über Mitglieder. Die Mitglieder einer Rolle sind LDAP-Einträge, die die Rollebesitzen. Die Kriterien der Rolle selbst sind als LDAP-Eintrag mit Attributen definiert und identifiziert durch das Attribut des Distinguished Name (DN) eines Eintrags. Directory Server verfügt über mehrere Rollentypen, aber Access Manager kann nur einen davon verwalten: die verwaltete Rolle.

Access Manager verwendet Rollen, um die Zugriffskontrollanweisungen anzuwenden. Bei der Erstinstallation konfiguriert Access Manager Zugriffskontrollanweisungen (ACIs), die Administratorberechtigungen definieren. Diese ACIs werden dann in Rollen zugewiesen (wie Organisations-Admin-Rolle und Organisations-Help-Desk-Admin-Rolle), die, wenn sie einem Benutzer zugewiesen wird, die Zugriffsrechte des Benutzers definieren.

Benutzer können ihre zugewiesenen Rollen nur dann anzeigen, wenn das Attribut "Rollen von Benutzern anzeigen" im Verwaltungsdienst aktiviert ist.

Dieser Abschnitt umfasst die folgenden Themen:

So erstellen Sie eine statische Rolle

Eine statische Rolle kann erstellt werden, ohne bei der Rollenerstellung Benutzer hinzufügen zu müssen. Somit haben Sie beim Hinzufügen von bestimmten Benutzern zu einer spezifischen Rolle mehr Steuerungsmöglichkeiten.

  1. Gehen Sie im Navigationsausschnitt zu der Organisation, bei der die Rolle erstellt wird.
  2. Wählen Sie im Menü "Ansicht" die Option "Rollen" aus.
  3. Bei der Konfiguration einer Organisation wird ein Satz mit Standardrollen erstellt, die im Navigationsausschnitt angezeigt werden.

  1. Klicken Sie im Navigationsausschnitt auf "Neu". Die Vorlage "Neue Rolle" wird im Datenausschnitt angezeigt.
  2. Wählen Sie "Statische Rolle" und geben Sie einen Namen ein. Klicken Sie auf "Weiter".
  3. Geben Sie eine Beschreibung für die Rolle ein.
  4. Wählen Sie im Menü "Typ" den entsprechenden Typ der Rolle aus.
  5. Es kann sich entweder um eine administrative Rolle oder eine Dienstrolle handeln. Mithilfe des Rollentyps ermittelt die Konsole den Benutzer und wo dieser innerhalb der Access Manager Console gestartet werden soll. Bei einer administrativen Rolle wird die Konsole benachrichtigt, dass der Eigentümer der Rolle Administratorrechte hat. Im Fall einer Dienstrolle wird die Konsole benachrichtigt, dass der Eigentümer ein Endbenutzer ist.

  6. Wählen Sie im Menü "Zugriffsberechtigungen" einen Standardsatz an Berechtigungen aus, die der Rolle zugewiesen werden.
  7. Die Berechtigungen ermöglichen den Zugriff auf Einträge in der Organisation. Die Berechtigungen werden im Abschnitt „Standard-Rollenberechtigungen (ACIs)“ in Teil 4 des Handbuchs Access Manager Administration Guide erläutert. (Die angezeigten Standardberechtigungen haben keine bestimmte Reihenfolge.)

    Im Allgemeinen wird die ACI "Keine Berechtigungen" zu Dienstrollen zugewiesen, während administrative Rollen zu beliebigen der Standard-ACIs zugewiesen werden.

  8. Klicken Sie auf "Fertig stellen".
  9. Die erstellte Rolle wird im Navigationsausschnitt angezeigt, die Statusinformationen über die Rolle werden im Datenausschnitt angezeigt.

    Optional können Sie die Anzeigeoptionen und verfügbaren Aktionen konfigurieren. Wählen Sie sie dazu im Menü "Ansicht" aus.

So erstellen Sie eine gefilterte Rolle

Eine gefilterte Rolle ist eine dynamische Rolle, die mithilfe eines LDAP-Filters erstellt wird. Alle Benutzer werden durch den Filter geleitet und zum Zeitpunkt der Rollenerstellung der Rolle zugewiesen. Der Filter sucht nach jedem Attributwertpaar (z. B. ca=user*) in einem Eintrag und weist automatisch die Benutzer zu, die das Attribut für die Rolle enthalten.

  1. Gehen Sie im Navigationsausschnitt zu der Organisation, bei der die Rolle erstellt wird.
  2. Wählen Sie im Menü "Ansicht" die Option "Rollen" aus.
  3. Bei der Konfiguration einer Organisation wird ein Satz mit Standardrollen erstellt, die im Navigationsausschnitt angezeigt werden.

    Beschreibungen dieser Rollen finden Sie unter „Dynamische ACIs für Admin-Rollen“ in Teil 4 des Handbuchs Access Manager Administration Guide.

  4. Klicken Sie im Navigationsausschnitt auf "Neu". Die Vorlage "Neue Rolle" wird im Datenausschnitt angezeigt.
  5. Wählen Sie "Gefilterte Rolle" und geben Sie den Namen ein. Klicken Sie auf "Weiter".
  6. Geben Sie eine Beschreibung für die Rolle ein.
  7. Wählen Sie im Menü "Typ" den entsprechenden Typ der Rolle aus.
  8. Es kann sich entweder um eine administrative Rolle oder eine Dienstrolle handeln. Mithilfe des Rollentyps ermittelt die Konsole den Benutzer und wo dieser innerhalb der Access Manager Console gestartet werden soll. Bei einer administrativen Rolle wird die Konsole benachrichtigt, dass der Eigentümer der Rolle Administratorrechte hat. Im Fall einer Dienstrolle wird die Konsole benachrichtigt, dass der Eigentümer ein Endbenutzer ist.

  9. Wählen Sie im Menü "Zugriffsberechtigungen" einen Standardsatz an Berechtigungen aus, die der Rolle zugewiesen werden.
  10. Die Berechtigungen ermöglichen den Zugriff auf Einträge in der Organisation. Die Berechtigungen werden im Abschnitt „Standard-Rollenberechtigungen (ACIs)“ in Teil 4 des Handbuchs Access Manager Administration Guide erläutert. (Die angezeigten Standardberechtigungen haben keine bestimmte Reihenfolge.)

    Im Allgemeinen wird die ACI "Keine Berechtigungen" zu Dienstrollen zugewiesen, während administrative Rollen zu beliebigen der Standard-ACIs zugewiesen werden.

  11. Geben Sie die Informationen für die Suchkriterien ein. Die Felder sind:
  12. Übereinstimmung. Ermöglicht es Ihnen, einen Operator für alle Felder zu verwenden, die im Filter enthalten sein sollen. ALL gibt Benutzer für alle festgelegten Felder zurück. ANY gibt Benutzer für eines der festgelegten Felder zurück.

    Vorname. Suche nach Benutzern nach den Vornamen.

    Benutzerstatus. Suche nach Benutzern nach ihrem Status (aktiv oder inaktiv).

    Benutzerkennung. Suche nach einem Benutzer nach Benutzer-ID.

    Nachname. Suche nach Benutzern nach den Nachnamen.

    Vollständiger Name. Suche nach Benutzern nach den vollständigen Namen.

    Alternativ können Sie die Schaltfläche "Erweitert" auswählen, um die Filterattribute selbst zu definieren. Beispiel:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    Wenn der Filter leer bleibt, wird standardmäßig die folgende Rolle erstellt:

    (objectclass = inetorgperson)

    Klicken Sie auf "Reset", um die Filtereigenschaften zu löschen, oder klicken Sie auf "Abbrechen", um die Rollenerstellung abzubrechen.

  13. Klicken Sie auf "Fertig stellen", um die Suche basierend auf den Filterkriterien zu initiieren. Die durch die Filterkriterien definierten Benutzer werden automatisch der Rolle zugewiesen.
  14. Optional können Sie die Anzeigeoptionen und verfügbaren Aktionen konfigurieren. Wählen Sie sie dazu im Menü "Ansicht" aus.


    Hinweis

    Sie können Benutzer zu statischen Rollen über die Rollenprofil-Seite und/oder die Benutzerprofil-Seite hinzufügen.


So löschen Sie eine Rolle

  1. Wechseln Sie zu der Organisation, die die zu löschende Rolle enthält.
  2. Wählen Sie "Organisationen" im Menü "Ansicht" in der Identitätsverwaltung und wählen Sie die gewünschte Organisation im Navigationsausschnitt aus. Unter "Pfad" werden die Standardorganisation der obersten Ebene und die ausgewählte Organisation angezeigt.
  3. Wählen Sie im Menü "Ansicht" die Option "Rollen" aus.
  4. Aktivieren Sie das Kontrollkästchen neben dem Namen der Rolle.
  5. Klicken Sie auf "Löschen".

So fügen Sie eine Rolle zu einer Richtlinie hinzu

Access Manager-Objekte werden einer Richtlinie über die Betreffsdefinition einer Richtlinie hinzugefügt. Wenn eine Richtlinie erstellt oder geändert wird, können Organisationen, Rollen, Gruppen und Benutzer als Subjekt in der Betreffseite der Richtlinie definiert werden. Nachdem der Betreff definiert ist, wird die Richtlinie auf das Objekt angewendet.


Inhalt