目录    

角色

角色是与概念类似的 Directory Server 条目机制。组有成员,角色也有成员。角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 项,由项的独特的名称 (DN) 属性来标识。Directory Server 具有很多不同类型的角色,但 Access Manager 只能管理其中的一种:被管理的角色。

Access Manager 使用角色来应用访问控制指令。首次安装 Access Manager 时,会配置用于定义管理员权限的访问控制指令 (ACI)。然后会在角色(如“组织管理员角色”和“组织帮助台管理员角色”)中指定这些 ACI。当将角色分配给用户时,这些角色用于定义用户的访问权限。

仅当管理服务中启用了“显示用户的角色”属性时,用户才可以查看为其分配的角色。

本节包含以下主题:

创建静态角色的步骤

可以在角色的创建过程中不添加用户的情况下,创建静态角色。这样,在向给定的角色添加特定用户时,您可以更好的进行控制。

  1. 在“浏览”窗格中,找到要在其中创建角色的组织。
  2. 从“查看”菜单中选择“角色”。
  3. 配置组织时会创建一组缺省角色,这些角色显示在“浏览”窗格中。

  1. 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
  2. 选择“静态角色”,然后输入名称。单击“下一步”。
  3. 输入角色的说明。
  4. 从“类型”菜单中选择角色类型。
  5. 角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  6. 从“访问权限”菜单中选择缺省的一组权限,以应用到角色。
  7. 拥有这些权限,可以访问组织中的项。在“Access Manager 管理指南”第 4 部分中的“缺省角色权限 (ACI)”一节中对这些权限进行了说明。(显示缺省权限时未使用特定顺序。)

    通常,“无权限 ACI”会指定给服务角色,而缺省的 ACI 会指定给管理角色。

  8. 单击“完成”。
  9. 创建的角色显示在“浏览”窗格中,该角色的状态信息显示在“数据”窗格中。

    通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。

创建过滤的角色的步骤

过滤的角色是指通过使用 LDAP 过滤器创建的动态角色。在创建角色时,会为所有通过过滤器过滤的用户指定该角色。过滤器会搜索条目中的所有属性值对(例如,ca=user*),并自动将包含该属性的用户指定到角色。

  1. 在“浏览”窗格中,找到要在其中创建角色的组织。
  2. 从“查看”菜单中选择“角色”。
  3. 配置组织时会创建一组缺省角色,这些角色显示在“浏览”窗格中。

    有关这些角色的说明,请参见“Access Manager 管理指南”第 4 部分中的“ 动态管理角色 ACI ”。

  4. 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
  5. 选择“过滤的角色”,然后输入名称。单击“下一步”。
  6. 输入角色的说明。
  7. 从“类型”菜单中选择角色类型。
  8. 角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  9. 从“访问权限”菜单中选择缺省的一组权限,以应用到角色。
  10. 拥有这些权限,可以访问组织中的项。在“Access Manager 管理指南”第 4 部分中的“缺省角色权限 (ACI)”一节中对这些权限进行了说明。(显示缺省权限时未使用特定顺序。)

    通常,“无权限 ACI”会指定给服务角色,而缺省的 ACI 会指定给管理角色。

  11. 输入搜索条件信息。这些字段包括:
  12. 匹配。允许您使用逻辑运算符连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    名字。按照用户的名字搜索用户。

    用户状态。按照用户的状态(活动或不活动)搜索用户。

    用户 ID。按照用户 ID 搜索用户。

    姓氏。按照用户的姓氏搜索用户。

    全名。按照用户的全名搜索用户。

    另外,您可以选择“高级”按钮来自行定义过滤器属性。例如:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    如果过滤器保留为空,将缺省创建以下角色:

    (objectclass = inetorgperson)

    单击“重置”以清除过滤器属性,或者单击“取消”以取消创建角色进程。

  13. 单击“完成”基于过滤条件启动搜索。通过过滤条件定义的用户会自动被指定到角色。
  14. 通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。


    可以通过“角色配置文件”页面和/或“用户配置文件”页面将用户添加到静态角色中。


删除角色的步骤

  1. 找到包含有要删除的角色的组织。
  2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。“位置”路径可以显示缺省的顶层组织和选定的组织。
  3. 从“查看”菜单中选择“角色”。
  4. 选中角色名称旁边的复选框。
  5. 单击“删除”。

将角色添加到策略的步骤

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。


目录