Access Manager 中的委托模型基于已指定给管理员的权限(或权利)。权限是可对资源执行的操作(或行为);例如对“策略”对象执行的 READ 操作。一组已定义的操作是 READ、MODIFY 和 DELEGATE。资源是可对其执行操作的对象,可以是配置对象,也可以是身份对象。
配置对象的示例是“验证配置”、“策略”、“数据存储库”等。身份对象的示例是“用户”、“组”、“角色”和“代理”。可动态创建一组权限并动态将其添加到 Access Manager,不过在安装期间,会将少量权限添加到 Access Manager 以使其正常运行。一旦加载权限后,就可将其指定给角色和组。属于这些角色和组的用户就可成为委托管理员,并且可执行已指定的操作。管理员基本上就是一些特定的用户,他们是已指定了一组或多组权限的角色和组的成员。
可通过 Access Manager 7.1 为以下管理员类型配置权限:
领域管理员 — 领域管理员拥有对所有对象(配置对象和身份对象)执行 READ、MODIFY 和 DELEGATE 操作的权限。可将领域管理员视为 Unix 系统中的“超级用户”。领域管理员可为所有服务创建子领域,修改配置,也可创建、修改以及删除“用户”、“组”、“角色”和“代理”。
策略管理员 — 策略管理员仅拥有管理策略和策略服务配置的权限。他们可以创建、修改以及删除由“规则”、“主题”、“条件”和“响应”属性组成的策略。不过,为了管理策略,这些管理员需要拥有读取“身份系统信息库主题”和“验证配置”的权限。这些管理员能查看身份和验证配置。
日志管理员 — 日志管理员具有读取和/或写入日志的权限,这些权限可用于防止审计日志被恶意应用程序恶意滥用。日志记录接口是公共接口,任何通过验证的用户都可以读取和写入日志记录,添加此权限正是为防止日志记录被滥用。日志记录接口的主要用户是 J2EE 和 Web 代理,他们只需要 MODIFY 权限,但不应该拥有 READ 权限。类似地,查看日志的管理员只应该拥有 READ 权限,而不应该拥有 MODIFY 权限。为满足这些类型的用法,又进一步将日志记录权限细分为如下:
拥有写入权限的日志管理员 – 这些管理员拥有写入所有日志文件的权限。
拥有读取权限的日志管理员 – 这些管理员拥有读取所有日志文件的权限。
拥有读写权限的日志管理员 – 这些管理员有权读取和写入所有日志文件。
Access Manager 7.1 的新安装实例为策略管理员、领域管理员(或传统模式中的组织管理员)和日志管理员提供访问权限。单击您要进行编辑的角色或组的名称,可指定或修改权限。可选择的权限包括:
为日志管理员定义读写访问权限。
仅为日志管理员定义写入访问权限。
仅为日志管理员定义读取访问权限。
为策略管理员定义读写访问权限。
为领域管理员定义读写访问权限。
如果已将 Access Manager 从版本 7.0 升级到 7.1,那么相关权限配置与新 Access Manager 7.1 安装有所不同,但仍然支持策略管理员、领域管理员和日志管理员的权限。单击您要进行编辑的角色或组的名称,可指定或修改权限。可选择的权限包括:
为策略管理员定义数据存储库的读取访问权限。
为日志管理员定义读写访问权限。
仅为日志管理员定义写入访问权限。
仅为日志管理员定义读取访问权限。
为策略管理员定义读写访问权限。
为领域管理员定义读写访问权限。
为策略管理员定义所有属性和服务的读取访问权限。
Access Manager 不支持以下定义(无论是单独使用还是一起使用):
对数据存储库的只读访问
所有属性和服务的只读访问权限
这些权限定义必须和“仅针对策略属性的读写访问权限”定义一起使用,从而为策略管理员定义委托控制。