test

Sun Java System Access Manager 7 2005Q4 管理指南

第 10 章 目錄管理

只有在於「舊有」模式下安裝 Access Manager 時,才會顯示 [目錄管理] 標籤。此目錄管理特性為啟用 Sun Java System Directory Server 的 Access Manager 部署提供一個識別管理解決方案。

如需有關「舊有」模式安裝選項的更多資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」

管理目錄物件

[目錄管理] 標籤包含檢視與管理 Directory Server 物件所需的所有元件。本節說明物件類型及有關如何配置它們的詳細資訊。使用 Access Manager 主控台或指令行介面可以定義、修改或刪除使用者、角色、群組、組織、子組織及容器物件。主控台有具權限程度不同的預設管理員,用以建立與管理目錄物件。(可基於角色建立其他管理員。)當與 Access Manager 一起安裝時,可於 Directory Server 內定義管理員。您可管理的 Directory Server 物件有:

組織

組織代表企業用來管理其部門與資源的階層式結構之頂層。安裝時,Access Manager 會動態建立頂層組織 (安裝期間定義) 以管理 Access Manager 企業配置。安裝後可以建立其他組織以管理個別企業。所有建立的組織均位於頂層組織之下。

Procedure建立組織

步驟

  1. 按一下 [目錄管理] 標籤。

  2. 在 [組織] 清單中,按一下 [新建]。

  3. 輸入欄位的值。僅 [名稱] 是必需的。這些欄位包括:

    名稱

    輸入組織名稱的值。

    網域名稱

    輸入組織的完整領域名稱系統 (DNS) 名稱 (如果有)。

    組織狀態

    選擇作用中非作用中狀態。預設值為作用中。在組織存在期間,可以透過選取 [內容] 圖示隨時變更該狀態。如果選擇非作用中 ,系統會在使用者登入組織時停用使用者存取。

    組織別名

    此欄位定義組織的別名,可讓您使用這些別名經由 URL 登入進行認證。例如,如果您有一個名為 exampleorg 的組織,並將 123abc 定義為別名,則您可使用以下任一個 URL 登入該組織:

    http://machine.example.com/amserver/UI/Login?org=exampleorg

    http://machine.example.com/amserver/UI/Login?org=abc

    http://machine.example.com/amserver/UI/Login?org=123

    組織別名在整個組織中必須是唯一的。您可以使用 [唯一屬性清單] 強制唯一性。

    DNS 別名名稱

    允許加入組織的 DNS 名稱別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。例如,如果您有一個名為 example.com 的 DNS,並將 example1.comexample2.com 定義為組織 exampleorg 的別名,則您可使用以下任一個 URL 登入該組織:

    http://machine.example.com/amserver/UI/

    Login?org=exampleorg

    http://machine.example1.com/amserver/

    UI/Login?org=exampleorg

    http://machine.example2.com/amserver/

    UI/Login?org=exampleorg

    唯一的屬性清單

    允許您在組織中加入使用者的唯一屬性名稱清單。例如,如果您加入了指定電子郵件位址的唯一屬性名稱,則無法建立兩個具有相同電子郵件位址的使用者。此欄位還可以接受以逗號分隔的清單。清單中的任一屬性名稱均定義唯一性。例如,如果欄位包含屬性名稱清單:

    PreferredDomain, AssociatedDomain

    而且為特定使用者將 PreferredDomain 定義為 http://www.example.com,則對該 URL 而言,此以逗號分隔的整個清單定義是唯一的。將命名屬性 ou 新增至 [唯一的屬性清單] 將不會對預設群組、使用者容器強制執行唯一性。(ou=Groups,ou=People)。

    此一唯一性同時針對所有子組織強制執行。

  4. 按一下 [確定]。

    新組織會顯示於 [組織] 清單中。若要編輯您建立組織時定義的任一特性,請按一下您要編輯的組織之名稱、變更其特性,然後按一下 [儲存]。

Procedure刪除組織

步驟

  1. 勾選將要刪除的組織之名稱旁的核取方塊。

  2. 按一下 [刪除]。

    備註 –

    執行刪除時不會顯示警告訊息。組織中的所有項目將被刪除,且無法執行還原。

將組織加入到策略

Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

容器

當由於物件類別與屬性差異而無法使用組織項目時,會使用容器項目。請切記,Access Manager 容器項目與 Access Manager 組織項目不一定等於 LDAP 物件類別 organizationalUnitorganization。它們是抽象的識別項目。理想情況下,將使用組織項目而不是容器項目。

備註 –

容器的顯示是選擇性的。若要檢視容器,您必須在 [配置] > [主控台特性] 下選取 [管理] 服務的 [顯示容器]。

Procedure要建立容器

步驟

  1. 選取組織或容器的位置連結,新容器將會建立於其中。

  2. 按一下 [容器] 標籤。

  3. 按一下 [容器] 清單中的 [新建]。

  4. 輸入將要建立的容器之名稱。

  5. 按一下 [確定]。

Procedure要刪除容器

步驟

  1. 按一下 [容器] 標籤。

  2. 選取要刪除的容器名稱旁邊的核取方塊。

  3. 按一下 [刪除]。

    備註 –

    刪除一個容器將會同時刪除該容器中存在的所有物件。包含所有物件和子容器。

群組容器

群組容器用於管理群組。它僅可包含群組與其他群組容器。群組容器「群組」會動態指定為所有受管理群組的父系項目。如果需要,可以加入附加群組容器。

備註 –

群組容器的顯示是選擇性的。若要檢視群組容器,您必須從 [配置] > [主控台特性] 的 [認證] 服務中選取 [啟用群組容器] 。

Procedure建立群組容器

步驟

  1. 選取包含新群組容器的組織或群組容器的位置連結。

  2. 選取 [群組容器] 標籤。

  3. 按一下 [群組容器] 清單中的 [新增]。

  4. 在 [名稱] 欄位中輸入值,然後按一下 [確定]。新的群組容器會顯示於 [群組容器] 清單中。

Procedure刪除群組容器

步驟

  1. 導覽至包含要刪除的群組容器之組織。

  2. 選擇 [群組容器] 標籤。

  3. 選取要刪除的群組容器旁邊的核取方塊。

  4. 按一下 [刪除]。

群組

群組代表包含一般功能、特性或興趣的使用者集合。通常,此群組並無與之相關聯的權限。群組可以兩個層級存在;於組織內及於其他受管理群組內。存在於其他群組中的群組稱為子群組。子群組是「實際上」存在於父系群組中的子節點。

Access Manager 還支援 巢式群組,巢式群組是單一群組中包含現有群組的「陳述」。巢式群組與子群組不同,它可存在於 DIT 中任何之處。它們可讓您為大量使用者快速設置存取權限。

您可建立的群組有兩種:靜態群組與動態群組。您只能以手動方式將使用者加入靜態群組;動態群組則透過篩選器控制使用者的加入。巢式群組與子群組皆可加入這兩種類型的群組。

靜態群組

靜態群組是根據您指定之管理的群組類型所建立的。群組成員是使用 groupOfNamesgroupOfUniqueNames 物件類別加入群組項目。

備註 –

依預設,受管理群組類型為動態。您可在管理服務配置中變更該預設。

動態群組

動態群組是透過使用 LDAP 篩選器所建立。所有項目都會透過器篩選並動態指定給群組。篩選器可尋找項目中的任一屬性,並傳回包含該屬性的項目。例如,如果要根據建立編號建立群組,可以使用篩選器傳回包含建立編號屬性的所有使用者的清單。

備註 –

應使用 Directory Server 將 Access Manager 配置為可使用 referential integrity 外掛程式。啟用後的參考完整性外掛程式會在刪除或重新命名工作完成後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強中的搜尋效能。如需有關啟用外掛程式的更多資訊,請參閱「Sun Java System Access Manager 6 2005Q1 Migration Guide」

Procedure建立靜態群組

步驟

  1. 瀏覽將於其中建立新群組的組織、組或群組容器。

  2. 按一下 [群組] 清單的 [新建靜態]。

  3. 在 [名稱] 欄位中輸入群組的名稱。按 [下一步]。

  4. 選取 [使用者可以訂閱該群組] 屬性以允許使用者自行訂閱群組。

  5. 按一下 [確定]。

    建立群組之後,您便可以選取群組的名稱並按一下 [一般] 標籤,來編輯 [使用者可以訂閱至此群組] 屬性。

Procedure加入或移除靜態群組成員

步驟

  1. 在 [群組] 清單中選取將對其加入成員的群組。

  2. 在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:

    新建使用者

    此動作會建立新的使用者並在儲存該使用者資訊時將其加入群組。

    加入使用者

    此動作將現有使用者加入群組。選取此動作時,您會建立指定所要加入的使用者之搜尋條件。用於建構條件的欄位會使用 ANYALL 運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。

    建構了此搜尋條件後,即按一下 [下一步]。從傳回的使用者清單中,選取您要加入的使用者,然後按一下 [完成]。

    加入群組

    此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定使用者是否可以自行訂閱群組。輸入資訊後,即按一下 [下一步]。從傳回的群組清單中,選取您要加入的群組,然後按一下 [完成]。

    移除成員

    此動作將從群組中移除成員 (包括使用者與群組),但不會刪除它們。選取您要移除的成員,然後從 [選取動作] 功能表中選取 [移除成員]。

    刪除成員

    此動作將永久刪除您選取的成員。選取您要刪除的成員,然後選擇 [刪除成員]。

Procedure建立動態群組

步驟

  1. 瀏覽將於其中建立新群組的組織或群組。

  2. 按一下 [群組] 頁籤。

  3. 按一下 [新建動態]。

  4. 在 [名稱] 欄位中輸入群組的名稱。

  5. 建構 LDAP 搜尋篩選器。

    依預設,Access Manager 顯示基本搜尋篩選器介面。用於建構篩選器的 [基本] 欄位使用 ANYALL 運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。

  6. 按一下 [確定] 後,符合搜尋條件的所有使用者會自動加入群組。

Procedure若要加入或移除動態群組的成員

步驟

  1. 在 [群組] 清單中,按一下要對其加入成員的群組之名稱。

  2. 在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:

    加入群組

    此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定使用者是否可以自行訂閱群組。輸入資訊後,即按一下 [下一步]。從傳回的群組清單中,選取您要加入的群組,然後按一下 [完成]。

    移除成員

    此動作將從群組中移除成員 (包括群組),但不刪除它們。選取您要移除的成員,然後選擇 [移除成員]。

    刪除成員

    此動作將永久刪除您選取的成員。選取您要刪除的成員,然後選擇 [刪除成員]。

將群組加入到策略

Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

使用者容器

使用者容器是預設的 LDAP 組織單元,為在組織中建立使用者時,所有使用者的指定位置。可以在組織層級和使用者容器層級找到使用者容器 (作為子使用者容器)。它們僅可包含其他使用者容器與使用者。如果需要,可以將附加使用者容器加入組織。

備註 –

使用者容器的顯示是選擇性的。若要檢視使用者容器,必須在 [管理服務] 中選取 [啟用使用者容器]。

Procedure建立使用者容器

步驟

  1. 導覽至要在其中建立新使用者容器的組織或使用者容器。

  2. 按一下 [使用者容器] 清單中的 [新建]。

  3. 輸入要建立的使用者容器名稱。

  4. 按一下 [確定]。

Procedure刪除使用者容器

步驟

  1. 導覽至包含要刪除的使用者容器之組織或使用者容器。

  2. 選取要刪除的使用者容器名稱旁邊的核取方塊。

  3. 按一下 [刪除]。

    備註 –

    刪除一個使用者容器將會同時刪除該使用者容器中存在的所有物件。包含所有使用者和子使用者容器。

使用者

使用者代表個別使用者的識別。透過 Access Manager 識別管理模組,您可以在組織、容器以及群組中建立和刪除使用者;在角色和/或群組中加入或移除使用者。您亦可對使用者指定服務。

備註 –

如果子組織內的使用者是使用與 amadmin 相同的使用者 ID 建立的,amadmin 的登入會失敗。若發生此問題,管理員應透過 Directory Server 主控台變更使用者的 ID。如此可使管理員登入到預設組織中。此外,認證服務中的 [啟動使用者搜尋] 可以設為使用者容器,以確保登入時傳回獨特的比對結果。

Procedure建立使用者

步驟

  1. 導覽至要在其中建立使用者的組織、容器或使用者容器。

  2. 按一下 [使用者] 標籤。

  3. 按一下使用者清單上的 [新建]。

  4. 輸入下列欄位的資料:

    使用者 ID

    此欄位採用其將登入 Access Manager 的使用者名稱。此特性可為非 DN 值。

    名字

    此欄位中為使用者的名字。[目前登入] 欄位中的 [名字] 值和 [姓氏] 值可識別使用者。這並非必需填寫的值。

    姓氏

    此欄位採用使用者的姓氏。[名字] 的值與 [姓氏] 的值會識別使用者身份。

    全名

    此欄位中為使用者的全名。

    密碼

    此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。

    密碼 (確認)

    確認密碼。

    使用者狀態

    此選項指出是否允許使用者透過 Access Manager 認證。只有作用中的使用者才可以認證。預設值為作用中

  5. 按一下 [確定]。

Procedure若要編輯使用者設定檔

當尚未被指定管理員角色的使用者進行 Access Manager 認證時,預設的檢視為使用者自己的 [使用者設定檔]。 此外,具適當權限的管理員可以編輯使用者設定檔。在此檢視中,使用者可以修改其個人設定檔的特定屬性值。[使用者設定檔] 檢視中顯示的屬性可以延伸。如需加入物件與識別的自訂屬性之相關詳細資訊,請參閱「Access Manager Developer's Guide」。

步驟

  1. 選取要編輯其設定檔的使用者。依預設,會顯示 [一般] 檢視。

  2. 編輯下列欄位:

    名字

    此欄位中為使用者的名字。

    姓氏

    此欄位採用使用者的姓氏。

    全名

    此欄位中為使用者的全名。

    密碼

    按一下 [編輯] 連結以加入並確認使用者密碼。

    電子郵件位址

    此欄位中為使用者的電子郵件位址。

    雇員編號

    此欄位中為使用者的員工號碼。

    電話號碼

    此欄位中為使用者的電話號碼。

    家庭住址

    此欄位中為使用者的家庭住址。

    使用者狀態

    此選項指出是否允許使用者透過 Access Manager 認證。只有作用中的使用者才可以透過 Access Manager 進行認證。預設值為作用中。可以從下拉式功能表中選取以下任一選項:。

    • 作用中 — 使用者可透過 Access Manager 進行認證。

    • 非作用中 — 使用者不可透過 Access Manager 進行認證,但目錄中仍會儲存使用者設定檔。

      備註 –

      將使用者狀態變更為非作用中僅會影響透過 Access Manager 進行認證的動作。Directory Server 使用 nsAccountLock 屬性來決定使用者帳號狀態。針對 Access Manager 認證停用的使用者帳號仍可執行毋須 Access Manager 便可執行的作業。若要使目錄中的使用者帳號成為非使用中 (不僅僅只針對 Access Manager 認證),請將 nsAccountLock 的值設為 false。若您網站中經授權的管理員定期會將使用者停用,可考慮將 nsAccountLock 屬性加入 Access Manager [使用者設定檔] 頁面。如需詳細資訊,請參閱 「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」

    帳號過期日期

    如果存在該屬性,則當目前日期和時間超過指定的帳號過期日期時,認證服務將不允許登入。此屬性的格式為 mm/dd/yyyy hh:mm

    使用者認證配置

    此屬性設定使用者的認證鏈。

    使用者別名清單

    此欄位定義可以套用於使用者的別名清單。若要使用此屬性中配置的任何別名,必須將 iplanet-am-user-alias-list 屬性加入 LDAP 服務的 [使用者項目搜尋屬性] 欄位,來修改 LDAP 服務。

    語言環境個人喜好

    此欄位指定使用者的語言環境。

    成功的 URL

    此屬性指定使用者認證成功後將重新導向至的 URL。

    失敗的 URL

    此屬性指定使用者認證失敗後將重新導向至的 URL。

    密碼重設選項

    這是用來選取忘記密碼頁面中問題之選項,目的在取得忘記的密碼。

    使用者探索資源提供

    設定使用者的 [使用者探索] 服務的資源提供。

    MSISDN 編號

    定義在使用 MSISDN 認證時使用者的 MSISDN 編號。

Procedure新增使用者至角色與群組

步驟

  1. 按一下 [使用者] 標籤。

  2. 按一下您要修改的使用者名稱。

  3. 選取 [角色] 或 [群組] 標籤。

  4. 選取您希望在其中加入使用者的角色或群組,然後按一下 [新增]。

  5. 按一下 [儲存]。

    備註 –

    若要從 [角色] 或 [群組] 移除使用者,請選取角色或群組,然後按一下 [移除],再按一下 [儲存]。

將使用者加入到策略

Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

角色

角色為類似群組概念的一種 Directory Server 項目機制。群組具有成員;角色也具有成員。角色的成員為擁有該角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目,為項目的識別名稱 (DN) 屬性所辨識。Directory Server 具有數種不同類型的角色,但 Access Manager 只能管理它們的其中之一:受管理角色。

備註 –

其他 Directory Server 角色類型仍可於目錄部署中使用,但無法被 Access Manager 主控台管理。其他 Directory Server 類型則可用於策略的主題定義。如需策略 subjects 的相關詳細資訊,請參閱建立策略

使用者可擁有一種或多種角色。例如,可以建立具有階段作業服務屬性和密碼重設服務屬性的承包人角色。新承包人雇員加入公司時,管理員可將該角色指定給他們,而不是在承包人項目中設定各自的屬性。若承包人在工程部門工作,且需要適用於工程員工的服務與存取權,那麼管理員可將承包人指派為工程角色與承包人角色。

Access Manager 使用角色以套用存取控制指令。首次安裝時,Access Manager 會配置定義管理員權限的存取控制指令 (ACI)。系統會接著在角色 (如組織管理角色和組織 Help Desk 管理角色) 中指定這些 ACI, 將這些角色指定給使用者時,會定義使用者的存取權限。

只有在 [管理服務] 中啟用了 [在使用者設定檔頁面上顯示角色] 屬性,使用者才可檢視指定給他們的角色。

備註 –

應使用 Directory Server 將 Access Manager 配置為可使用 referential integrity 外掛程式。啟用後的參考完整性外掛程式會在刪除或重新命名工作完成後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強中的搜尋效能。如需有關啟用外掛程式的更多資訊,請參閱「Sun Java System Access Manager 6 2005Q1 Migration Guide」

角色分兩種類型:

Procedure建立靜態角色

步驟

  1. 移至將建立角色的組織。

  2. 按一下 [角色] 標籤。

    配置組織時會建立一組預設角色,它們會顯示於 [角色] 清單中。預設角色為:

    容器說明桌面管理員。容器說明桌面管理員角色對組織單元的所有項目皆有讀取權限,但僅對此容器單元中使用者項目之 userPassword 屬性具有寫入權限。

    組織說明桌面管理員。組織說明桌面管理員對組織中所有項目皆有讀取權限,對 userPassword 屬性則有寫入權限。

    備註 –

    建立子組織時,請記住管理角色是在子組織中建立的,而不是在父系組織中建立的。

    容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入權限。在 Access Manager 中,LDAP 組織單元通常稱為容器。

    組織策略管理員。組織策略管理員具有對所有策略的讀取寫入權限,可以建立、指定、修改和刪除此組織內的所有策略。

    使用者管理依預設,新建組織中的任何使用者項目均為該組織的使用者容器的成員。[使用者管理員] 對組織中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。

    備註 –

    可以透過 Access Manager 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。

    群組管理員。建立群組時建立的群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。

    建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。它必須由群組的建立者指定,或由對群組管理員角色有存取權的任何人指定。

    頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入權限。換句話說,此頂層管理員角色具有 Access Manager 應用程式中每個配置主體所擁有的權限。

    組織管理員。組織管理員對組織中的所有項目均具有讀取寫入權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。

  3. 按一下 [新建靜態] 按鈕。

  4. 輸入角色的名稱。

  5. 輸入角色的描述。

  6. 從 [類型] 功能表選擇角色類型。

    角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  7. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:

    沒有許可權

    對角色不設定權限。

    組織管理員

    組織管理員對配置組織中的所有項目均具有讀取寫入權限。

    組織說明桌面管理員

    組織說明桌面管理員對已配置組織中所有項目具有讀取權限,並對 userPassword 屬性具有寫入權限。

    組織策略管理員

    組織策略管理員對組織中的所有策略均具有讀取寫入權限。組織策略管理員無法建立同級組織的參考策略。

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

Procedure將使用者加入到靜態角色

步驟

  1. 按一下要對其加入使用者的角色之名稱。

  2. 在 [成員] 清單中,從 [選取動作] 功能表選取 [加入使用者]。

  3. 輸入搜尋條件的資訊。可以選擇基於一個或多個顯示的欄位搜尋使用者。這些欄位包括:

    符合

    可讓您對篩選選取您要包含的欄位。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。

    名字

    依據其名字搜尋使用者。

    使用者 ID

    依據使用者 ID 搜尋使用者。

    姓氏

    依據其姓氏搜尋使用者。

    全名

    依據其全名搜尋使用者。

    使用者狀態

    依據使用者的狀態 (作用中或非作用中) 搜尋使用者。

  4. 按一下 [下一步] 以開始搜尋。會顯示搜尋的結果。

  5. 透過選取使用者名稱旁邊的核取方塊,從傳回的名稱中選擇使用者。

  6. 按一下 [完成]。

    使用者即會指定給角色。

Procedure若要建立動態角色

步驟

  1. 移至將建立角色的組織。

  2. 按一下 [角色] 標籤。

    配置組織時會建立一組預設角色,它們會顯示於 [角色] 清單中。預設角色為:

    容器說明桌面管理員。容器說明桌面管理員角色對組織單元的所有項目皆有讀取權限,但僅對此容器單元中使用者項目之 userPassword 屬性具有寫入權限。

    組織說明桌面管理員。組織說明桌面管理員對組織中所有項目皆有讀取權限,對 userPassword 屬性則有寫入權限。

    備註 –

    建立子組織時,請記住管理角色是在子組織中建立的,而不是在父系組織中建立的。

    容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入權限。在 Access Manager 中,LDAP 組織單元通常稱為容器。

    組織策略管理員。組織策略管理員具有對所有策略的讀取寫入權限,可以建立、指定、修改和刪除此組織內的所有策略。

    使用者管理依預設,新建組織中的任何使用者項目均為該組織的使用者容器的成員。[使用者管理員] 對組織中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。

    備註 –

    可以透過 Access Manager 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。

    群組管理員。建立群組時建立的群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。

    建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。它必須由群組的建立者指定,或由對群組管理員角色有存取權的任何人指定。

    頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入權限。換句話說,此頂層管理員角色具有 Access Manager 應用程式中每個配置主體所擁有的權限。

    組織管理員。組織管理員對組織中的所有項目均具有讀取寫入權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。

  3. 按一下 [新建動態] 按鈕。

  4. 輸入角色的名稱。

  5. 輸入角色的描述。

  6. 從 [類型] 功能表選擇角色類型。

    角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Access Manager 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  7. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:

    沒有許可權

    對角色不設定權限。

    組織管理員

    組織管理員對配置組織中的所有項目均具有讀取寫入權限。

    組織說明桌面管理員

    組織說明桌面管理員對已配置組織中所有項目具有讀取權限,並對 userPassword 屬性具有寫入權限。

    組織策略管理員

    組織策略管理員對組織中的所有策略均具有讀取寫入權限。組織策略管理員無法建立同級組織的參考策略。

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

  8. 輸入搜尋條件的資訊。這些欄位包括:

    符合

    允許您在希望篩選所包含的任何欄位中納入運算子。ALL 會傳回所有指定欄位的使用者。ANY 會傳回任一指定欄位的使用者。

    名字

    依據其名字搜尋使用者。

    使用者 ID

    依據使用者 ID 搜尋使用者。

    姓氏

    依據其姓氏搜尋使用者。

    全名

    依據其全名搜尋使用者。

    使用者狀態

    依據使用者的狀態 (作用中或非作用中) 搜尋使用者。

  9. 按一下 [確定] 以根據篩選條件開始搜尋。篩選條件所定義的使用者會自動指定給角色。

Procedure從角色移除使用者

步驟

  1. 導覽至包含要修改之角色的組織。

    從 [識別管理] 模組的 [檢視] 功能表中選取 [組織],然後選取 [角色] 標籤。

  2. 選取要修改的角色。

  3. 從 [檢視] 功能表選擇 [使用者]。

  4. 選取要移除的每個使用者旁邊的核取方塊。

  5. 按一下 [選取動作] 功能表中的 [移除] 使用者。

    使用者即會從角色中移除。

將角色加入策略

Access Manager 物件會透過策略的 subject 定義加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略主旨頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略