角色

角色定義使用者可以存取哪些應用程式以及每個應用程式的哪些部分，以及使用者可以執行的作業。亦即，角色決定了使用者的授權層級。

例如，假定在人事應用程式中，所有員工均可以存取電話號碼和電子郵件位址但只有管理者才能存取薪水資訊。該應用程式至少可以定義兩個角色：employee 和 manager；僅允許 manager 角色中的使用者檢視薪水資訊。

角色與使用者群組的不同之處在於，角色在應用程式中定義功能，而使用者群組是以某一方式相關的一組使用者。例如，假定在人事應用程式中有 full-time、part-time 和 on-leave 幾個群組，但所有這些群組中的使用者仍是 employee 角色。

角色是在應用程式部署描述元中定義的。相反，群組是針對整個伺服器和範圍而定義的。應用程式開發者或部署者在每個應用程式的部署描述元中將角色對映至一個或多個群組。