角色

角色定义用户可以访问哪些应用程序和每个应用程序的哪些部分，并定义用户可以执行的操作。也就是说，角色决定用户的授权级别。

例如，假定在人事应用程序中，所有雇员均可以访问电话号码和电子邮件地址，但只有管理人员才能访问薪水信息。该应用程序至少需要定义两个角色：employee 和 manager；仅允许处于 manager 角色的用户查看薪水信息。

角色与用户组的不同之处在于，角色在应用程序中定义功能，而用户组是以某一方式相关的一组用户。例如，假定在人事应用程序中有 full-time、part-time 和 on-leave 几个组，但所有这些组中的用户仍是 employee 角色。

角色是在应用程序部署描述符中定义的。相反，组是针对整个服务器和区域而定义的。应用程序开发者或部署者在每个应用程序的部署描述符中将角色映射到一个或多个组。