创建静态角色
步骤
-
转到要在其中创建角色的组织。
-
单击“角色”选项卡。
“角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:
容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单位中所有条目的读取权限,但仅对自身容器单位中用户条目的 userPassword 属性拥有写入权限。
组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
注 –在创建子组织时,请记住管理角色是在子组织而不是父组织中创建的。
容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。
组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。
人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色或组的属性,也不能从角色或组中移除用户。
注 –可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。
组管理员。创建组时所创建的“组管理员”拥有对特定组所有成员的读写权限,可以创建新用户、将用户指定到自己所管理的组以及删除自己创建的用户。
创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。
顶级管理员。 “顶级管理员”拥有对顶级组织中所有条目的读写权限。换句话说,“顶级管理员”角色具有 Access Manager 应用程序内所有配置负责人所拥有的权限。
组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成“组织管理员”角色,该角色拥有管理组织所必需的权限。
-
单击“新建静态”按钮。
-
输入角色的名称。
-
输入角色的说明。
-
从“类型”菜单中选择角色类型。
角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。
-
从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:
- 无权限
-
对角色不设置权限。
- 组织管理员
-
“组织管理员”拥有对已配置的组织中所有条目的读写权限。
- 组织帮助台管理员
-
“组织帮助台管理员”拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
- 组织策略管理员
-
“组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的侯选策略。
通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。
- © 2010, Oracle Corporation and/or its affiliates