Sun ONE logo      上一页      目录      索引      下一页     

Sun ONE Portal Server 6.2 管理员指南

第 3 章
配置委托管理

本章介绍如何为 Sun ONE Portal Server 配置委托管理。

本章包含以下部分:

委托管理概述

随着企业不断创建更大更复杂的门户,集中式管理模型再也无法满足他们的需要。委托管理或行业 (LOB) 管理通过将管理任务委托或分配给实际的门户用户,从而解决了这一问题。

Sun ONE Portal Server 允许您通过使用角色将管理功能委托给用户。利用基于角色的管理方式,企业可将其业务分成几个小的组织或行业 (LOB),然后允许不同的用户在用户角色的基础上来管理 LOB 的组织、子组织、用户、策略、角色以及频道。

表 3-1 列出了 Sun ONE Portal Server 中应用的一些重要的委托管理术语,并对其进行了定义。该表由两列组成:第一列列出术语,第二列给出简要说明。

表 3-1 委托管理术语

术语

说明

权限

单一资源与可在该资源之上执行的单一操作的组合(例如,查看静态网页、在薪水支票应用程序中查看薪水票根、在薪水支票应用程序中修改 W-4 数据等等)。

操作

操作指可以在资源上执行的某个过程或动作(例如,阅读目录、编写目录、使用 POP 接收邮件、使用 IMAP 接收邮件等等)。

资源

资源指可抽象表示于软件中的某种事物,其访问权限往往受到控制和保护。在 Sun ONE Identity Server 中,“资源”仅仅指“URL 访问”。

顶级管理员角色

对所有策略及身份设置具有全部管理权的角色。

组织管理员角色

对一个组织的策略及身份设置具有全部管理权的角色。

行业 (LOB)

行业功能指可由业务分析员或具有同等资格的人员执行的管理功能。LOB 管理员能够执行那些不需要使用“顶级管理员”功能便可完成的管理任务。通常情况下,LOB 功能(例如向授予资源访问权限的角色中添加用户或从中删除用户)仅在其权益范围内有效。

角色管理员角色

角色管理员角色指具有访问权限,可以管理某些其它特定角色和某个用户对象集合的角色。例如,向角色中添加用户、从角色中删除用户或编辑角色级别属性。

角色管理员

角色管理员是已被分配了角色管理员角色的用户。

委托管理角色

Sun ONE Identity Server 管理控制台向各种不同的管理员提供了基于角色的委托管理功能,以便管理员在给定权限的基础上管理组织、用户、策略、角色以及频道。

Sun ONE Identity Server 管理控制台提供了许多预定义的管理员角色用以委托管理功能。这些管理员角色为:

有关这些角色的详细信息,请参阅 Sun ONE Identity Server 产品文档。

注意

Sun ONE Identity Server 还会实现其它三个角色:顶级管理员、顶级帮助台管理员以及拒绝写入访问。这些角色在安装期间创建,仅存在于安装的根目录中。所有新创建的组织都无法获得这三个角色。默认情况下,创建一个新组织时,同时也创建了以下三个角色:组织管理员、组织帮助台管理员以及人员管理员。

如果这些预定义的管理员角色的功能满足需要,可以使用这些角色来建立您的委托管理实现。例如,如果您的模型目录结构由一个具有多个子组织的组织组成,可以将“组织管理员”角色分配给用户,以便为每一个子组织创建委托管理员。但是,如果贵企业的组织结构更为复杂,可根据特定需要创建一个委托管理模型。为此,Sun ONE Identity Server 管理控制台允许定义具有特定于您业务需求的权限的委托管理员角色。

欲实现企业专用委托管理模型,有三个关键性概念角色:

“顶级管理员角色”是在系统建立时创建的,“组织管理员角色”是在新组织建立时自动创建的。“角色管理员角色”是基于委托管理模型的要求而创建的角色。直接编辑相应的“访问控制指令”(ACI) 即可对“角色管理员角色”的访问权限进行定义。

在委托管理中,应用以下原则:

开发委托管理模型

为了能够正确地委托 Sun ONE Portal Server 的管理功能,您应该开发一个委托管理模型,以帮助您确定贵企业所需要的管理角色。开发模型时,请考虑以下内容:

配置委托管理

为 Sun ONE Portal Server 配置委托管理实现需要执行以下高级步骤:

  1. 为角色管理员角色定义 ACI 设置
  2. 为委托模型创建新的管理员角色
  3. 将角色管理员角色分配给用户
  4. 在角色上配置“附加限制”

为角色管理员角色定义 ACI 设置

要为在委托模型中确定的任一角色管理员角色配置相应权限,必须在 ACI 中为委托模型中的每个唯一的角色定义相应权限。可以使用 Sun ONE Identity Server 管理控制台或 Directory Server 控制台来为角色定义一个 ACI 权限模板。还可以使用 ldapmodify 命令为特定角色定义 ACI。

在 Sun ONE Identity Server 管理控制台或 Directory Server 控制台中定义 ACI 权限模板时,请使用以下格式:

permission_name | aci_desc| dn:aci ## dn:aci ## dn:aci

其中:

permission_name 是权限名称。

aci_desc 是对这些 ACI 允许的访问的文本说明。

dn:aci 代表以 ## 分隔的 DN 和 ACI 对。Sun ONE Identity Server 会在关联的 DN 条目中设置每个 ACI。

此格式还支持以下标记,它们可以用值进行替换,否则必须在 ACI 中逐一指定:ROLENAME、ORGANIZATION、GROUPNAME 以及 PCNAME。使用这些标记可以定义非常灵活的角色,以至于可以将其用作默认值。基于其中一个默认角色创建角色时,ACI 中的标记将解析为取自新角色的 DN 的值。

有关设置 ACI 的详细信息,请参阅 Sun ONE Identity Server Programmer's Guide

注意

在这些 ACI 定义示例中,假定根后缀为 dc=sesta,dc=com

使用命令行定义 ACI

  1. 利用 ldapmodify 命令创建一个包含要使用的 ACI 设置的文本文件。例如,下列 acis.ldif 文件包含对两个称为 JDCAdmin1 JDCAdmin2 的角色的 ACI 定义。

    dn:dc=sesta,dc=com

    changetype:modify

    # aci for JDCAdmin1 role

    # This role can add/delete users from JDC role

    add:aci

    aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    # aci for JDCAdmin2 role

    # This role can add/remove channels from the JDC role’s display profile

    add:aci

    aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

     

  2. 将目录更改为 Sun ONE Identity Server 实用程序目录。例如,

    3. cd /BaseDir/SUNWam/bin

  3. 设置 LD_LIBRARY_PATH 以包含 IS_BASEDIR/SUNWam/ldaplib/solaris/sparc/ldapsdk
  4. 执行以下命令。

    5. ./ldapmodify -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/acis.ldif

  5. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    6. 默认情况下,位置窗格中的“标识管理”和“导航”窗格中的“组织”都处于选中状态。

  6. 导航到组织或子组织以创建一个新角色(如 JDCAdmin1JDCAdmin2)。
    1. 从“查看”菜单中选择“角色”,然后单击“新建”。
    2. 此时数据窗格中会出现“新角色”页。
    3. 输入角色信息(名称、说明、角色类型、访问权限),然后单击“创建”(例如,一个静态角色 JDC 的信息为“类型=服务”、“访问权限=无权限”)。

      4. 新角色出现在导航窗格中。

  7. 为所创建的角色创建“桌面”服务模板。
    1. 从“查看”菜单中选择“服务”。
    2. 单击“桌面”服务旁的属性箭头。
    3. 接受或修改“桌面”服务的默认属性值,然后单击“保存”。
  8. 在角色显示配置文件(如 JDC 的角色显示配置文件)中创建一个标签。
    1. 导航到将要创建标签的角色。
    2. 从导航窗格的“查看”菜单中选择“服务”。
    3. 在导航窗格中单击“桌面”旁的属性箭头。
    4. 桌面属性页出现在数据窗格中。
    5. 在桌面页中,单击“频道和容器管理”链接。
    6. 出现“频道”页,且容器路径设置在根目录处。
    7. 单击您要向其添加频道或容器的“容器”。
    8. 页面顶部显示要添加频道的容器路径。已定义的频道和容器出现在列表中(如果有的话)。
    9. 单击“添加”以添加容器频道或频道。
    10. 要添加容器频道,请在“容器频道”下单击“添加”。要添加频道,请在“频道”下单击“添加”。
    11. 此时出现“添加频道”页。
    12. 键入频道名称并从菜单中选择提供者类型。
    13. 单击“创建”。

      14. 有关详细信息,请参阅第 5 章,“管理显示配置文件”

  9. 创建一个用户(如 admin1 admin2)。
    1. 导航到将要创建用户的角色。
    2. 从“查看”菜单中选择“用户”,然后单击“新建”。
    3. 此时数据窗格中会出现“新用户”页。
    4. 选择要分配给用户的服务,然后单击“下一步”。
    5. 输入用户信息,然后单击“创建”。
    6. 新用户出现在导航窗格中。
  10. 将角色分配给用户(如将 JDCadmin1 分配给 admin1 或将 JDCadmin2 分配给 admin2)。
    1. 导航到将要分配角色的组织或子组织。
    2. 从“查看”菜单中选择“用户”。
    3. 单击要向其分配角色的用户旁的属性箭头。
    4. 此时数据窗格中会出现用户配置文件信息。
    5. 在数据窗格的“查看”菜单中单击“角色”。
    6. 此时出现“添加角色”页。
    7. 选中要分配的角色旁的框,然后单击“保存”。
    8. 此“用户”框的“角色”会用分配的角色更新。
    9. 单击“保存”保存更改。
  11. 从管理控制台注销。

使用管理控制台定义 ACI

  1. 以“顶级管理员”的身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置菜单中的“标识管理”和导航窗格中的“组织”都处于选中状态。

  2. 在位置窗格中单击“服务配置”。
  3. 单击“管理”服务旁的属性箭头。

    4. 管理属性出现在数据窗格中。

  4. 在“默认角色权限 (ACI)”入口字段中,键入 ACI 定义,然后单击“添加”。例如,对于先前定义的 JDCAdmin1 JDCAdmin2 角色,需要输入以下内容:

    5. JDCAdmin1|Add/delete users from JDC role|dc=sesta,dc=com:aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";) ##dc=sesta,dc=com:aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    JDCAdmin2|Add/remove channels from the JDC role|dc=sesta,dc=com:aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

    新 ACI 出现在“默认角色权限 (ACI)”列表中。

  5. 单击“保存”。

为委托模型创建新管理员角色

创建了为委托管理角色定义权限的 ACI 后,必须创建一个使用此 ACI 定义的角色。

  1. 以“顶级管理员”或“组织管理员”的身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置菜单中的“标识管理”和导航窗格中的“组织”都处于选中状态。

  2. 导航到将要创建角色的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

    注意

    若是一个新组织,必须注册所有服务并创建相应的模板。有关详细信息,请参阅第 2 章,“管理验证、用户和服务”

  3. 从“查看”菜单中选择“角色”,然后单击“新建”。

    4. 此时数据窗格中会出现“新角色”页。

  4. 输入名称,选择静态角色,然后单击“下一步”。
  5. 输入说明,然后选择“管理”作为类型。
  6. 选择“访问权限”:
    1. 如果已使用“管理控制台”为该角色创建了 ACI 定义,请从“访问权限”列表中选择创建的角色。
    2. 如果已使用命令行为该角色创建了 ACI 定义,请选择“无权限”,因为该角色名称不会出现在“访问权限”列表中。
  7. 单击“创建”。

    8. 新角色出现在导航窗格中。

分配角色管理员角色

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置菜单中的“标识管理”和导航窗格中的“组织”都处于选中状态。

  2. 导航到已经创建了角色的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 从“查看”菜单中选择“角色”。
  4. 单击要分配的角色的属性箭头。
  5. 从数据窗格的“查看”菜单中选择“用户”,然后单击“添加”。

    6. 此时数据窗格中会出现“添加用户”页。

  6. 指定字段的值以查找要分配的用户,然后单击“过滤器”。

    7. 显示用户列表。

  7. 选中要向其分配角色的用户旁的框,或单击“全选”选择所有的用户。
  8. 单击“提交”。

    9. 此角色框的用户列表会用分配的用户更新。

在角色管理员角色上配置附加限制

您可以配置一个角色,使其某些功能受到限制。其中一种常见的限制是:角色具有修改显示配置文件及执行内容管理功能的权限,但限制其查看“桌面”的其它属性。

您也可以使用起始 DN 视图来建立委托管理员。起始 DN 视图是委托管理员可在其下查看及修改实体的目录位置。

要在角色上配置附加限制:

  1. 以管理员身份登录到 Sun ONE Identity Server 管理控制台。

    2. 默认情况下,位置菜单中的“标识管理”和导航窗格中的“组织”都处于选中状态。

  2. 导航到包含要配置的角色的组织或子组织。

    3. 所有已创建的组织都会显示在导航窗格中。

  3. 从“查看”菜单中选择“角色”。
  4. 选择要配置的角色。
  5. 从“查看”菜单中选择“服务”。
  6. 要限制角色,使其仅具有显示配置文件或频道管理功能,请执行以下操作:
    1. 单击“桌面”服务的“编辑”链接。
    2. 在此角色上创建一个“用户”服务模板。

      3. “桌面”页出现在数据窗格中。

    3. 取消选择“显示桌面属性”复选框。
    4. 在“管理员 DN 起始视图”中指定一个 DN。
    5. 单击“保存”。

      注意

      如果取消选择“显示桌面属性”复选框,当具有此角色的用户访问“桌面”服务时,将无法看到“桌面”属性,而只能看到“频道和容器管理”链接。此外,他们将只能看到在该角色级别上定义的频道和容器。

  7. 要将角色限制到某个特定的起始 DN,请执行以下操作:
    1. 单击“用户”服务的“编辑”链接。
    2. 为该角色创建一个“用户”服务模板。

      3. “用户”页出现在数据窗格中。

    3. 在“管理员 DN 起始视图”中指定一个 DN。例如,cn=JDC, dc=sesta, dc=com
    4. 单击“保存”。


上一页      目录      索引      下一页     

版权所有 2003 Sun Microsystems, Inc. 保留所有权利。