Sun Java System Access Manager 7.1 管理指南

管理目录对象

“目录管理”选项卡包含查看和管理 Directory Server 对象所需的所有组件。本部分说明对象类型及其详细配置方法。可以使用 Access Manager 控制台或命令行界面来定义、修改或删除用户、角色、组、组织、子组织和容器对象。控制台有默认的管理员,他们拥有不同的权限级别以创建和管理目录对象。(可以基于角色创建其他管理员。)与 Access Manager 一起安装时,在 Directory Server 中会定义管理员。 可以管理的 Directory Server 对象有:

组织

在企业用来管理部门和资源的层次结构中,组织代表其最高一级。Access Manager 在安装时会动态创建一个顶级组织(在安装期间定义)来管理 Access Manager 企业配置。 安装后可以创建其他组织,以管理单独的企业。创建的所有组织都位列顶级组织之下。

Procedure创建组织

  1. 单击“目录管理”选项卡。

  2. 在“组织”列表中,单击“新建”。

  3. 输入字段的值。仅“名称”是必需字段。这些字段包括:

    名称

    输入组织名称的值。

    域名

    输入组织的完整域名系统 (DNS) 名称(如果存在)。

    组织状态

    选择活动不活动状态。默认值为活动。在组织存在期间,可以随时选择“属性”图标以更改其状态。如果选择不活动状态,则当登录到组织时,将禁止用户访问。

    组织别名

    该字段定义组织的别名,以允许您在通过 URL 登录时使用别名进行验证。例如,如果组织的名称为 exampleorg,将 123abc 定义为组织的别名,则可以使用以下任一 URL 登录到组织:

    http://machine.example.com/amserver/UI/Login?org=exampleorg

    http://machine.example.com/amserver/UI/Login?org=abc

    http://machine.example.com/amserver/UI/Login?org=123

    组织别名在组织中必须唯一。可以使用“唯一属性列表”来强制执行唯一性。

    DNS 别名

    允许为组织的 DNS 名称添加别名。该属性只接受“真实的”域别名(不允许使用随机字符串)。例如,如果 DNS 的名称为 example.com,而名为 exampleorg 的组织的别名定义为 example1.comexample2.com,则可以使用以下任一 URL 登录到组织:

    http://machine.example.com/amserver/UI/

    Login?org=exampleorg

    http://machine.example1.com/amserver/

    UI/Login?org=exampleorg

    http://machine.example2.com/amserver/

    UI/Login?org=exampleorg

    唯一属性列表

    用于添加组织中用户的唯一属性名列表。例如,如果添加用于指定电子邮件地址的唯一属性名,则不能创建两个使用相同电子邮件地址的用户。也可以在该字段中输入以逗号分隔的列表。列表中的任一属性名均定义了唯一性。例如,如果该字段包含以下属性名列表:

    PreferredDomain, AssociatedDomain

    并且针对特定用户 PreferredDomain 被定义为 http://www.example.com,则整个以逗号分隔的列表在该 URL 中唯一。将命名属性 'ou' 添加到“唯一属性列表”并不会强制执行默认组和人员容器的唯一性。(ou=Groups,ou=People)。

    对于所有子组织都强制执行唯一性。


    注 –

    在“领域”模式下无法设置唯一属性。在“传统”模式下,也无法在基于 7.0 或 7.1 的控制台中设置它们。要创建唯一属性列表,必须登录到基于 6.3 的控制台中。有关详细信息,参见传统模式 6.3 控制台


  4. 单击 “确定” 。

    新组织将显示在“组织”列表中。 要编辑在创建组织过程中定义的属性,请单击要编辑的组织的名称,更改属性,然后单击“保存”。

Procedure删除组织

  1. 选中要删除的组织名称旁边的复选框。

  2. 单击“删除”。


    注 –

    执行删除时不会显示警告消息。组织内的所有条目都将被删除,并且不能执行撤消操作。


将组织添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。创建或修改策略时,组织、角色、组和用户可以被定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

容器

当由于对象类和属性的不同而无法使用组织条目时,将使用容器条目。请切记 Access Manager 容器条目和 Access Manager 组织条目不必等同于 LDAP 对象类 organizationalUnitorganization。它们是抽象身份条目。理想情况下,将使用组织条目而不使用容器条目。


注 –

容器的显示是可选的。要查看容器,必须选择“配置”>“控制台属性”下方“管理”服务中的“显示容器”。


Procedure创建容器

  1. 选择将在其中创建新容器的组织或容器的位置链接。

  2. 单击“容器”选项卡。

  3. 在“容器”列表中单击“新建”。

  4. 输入要创建的容器的名称。

  5. 单击 “确定” 。

Procedure删除容器

  1. 单击“容器”选项卡。

  2. 选中要删除的容器名称旁边的复选框。

  3. 单击“删除”。


    注 –

    如果删除某个容器,就会删除该容器中存在的所有对象,包括所有对象和子容器。


组容器

组容器用于管理组。它只能包含组和其他组容器。组容器组会被动态指定为所有受管组的父项。如果需要,可以添加其他组容器。


注 –

组容器的显示是可选的。要查看组容器,必须选择“配置”>“控制台属性”下方“管理”服务中的“启用组容器”。


Procedure创建组容器

  1. 选择将包含新的组容器的组织或组容器的位置链接。

  2. 选择“组容器”选项卡。

  3. 在“组容器”列表中单击“新建”。

  4. 在“名称”字段中输入值,然后单击“确定”。新的组容器将显示在“组容器”列表中。

Procedure删除组容器

  1. 找到包含要删除的组容器的组织。

  2. 选择“组容器”选项卡。

  3. 选中要删除的组容器旁边的复选框。

  4. 单击“删除”。

代表具有共同职责、特征或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。存在于其他组中的组称为子组。子组是“物理上”存在于父组内的子节点。

Access Manager 还支持嵌套组,它“代表”了单个组中所包含的现有组。与子组不同,嵌套组可以存在于 DIT 中的任何位置。使用嵌套组可以快速地为多个用户设置访问权限。

可以创建两种类型的组:静态组和动态组。只能手动将用户添加到静态组,动态组则通过过滤器控制用户的添加。这两种类型的组中都可以添加嵌套组或子组。

静态组

静态组是根据您指定的“受管组类型”创建的组。 使用 groupOfNamesgroupOfUniqueNames 对象类将组成员添加到组条目中。


注 –

默认情况下,受管组类型为动态的。 您可以在“管理”服务配置中更改此默认设置。


动态组

动态组是通过使用 LDAP 过滤器创建的。所有条目均由过滤器过滤并动态分配给组。过滤器将查找条目中的任何属性,并返回那些包含特定属性的条目。例如,如果您要根据构建号创建组,则可以使用过滤器返回一组包含该构建号属性的用户。


注 –

要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用此插件的详细信息,参见 Sun Java Access Manager 6 迁移指南。


Procedure创建静态组

  1. 找到要在其中创建新组的组织、组或组容器。

  2. 在“组”列表中,单击“新建静态”。

  3. 在“名称”字段中输入组的名称。单击“下一步”。

  4. 选择“用户可以订阅此组”属性可以使用户自行订阅组。

  5. 单击 “确定” 。

    组创建完毕后,可以通过选择组的名称并单击“常规”选项卡来编辑“用户可以订阅此组”属性。

Procedure向静态组添加成员或从中移除

  1. 在“组”列表中,选择要添加成员的组。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    新建用户

    保存用户信息时,此操作将创建新用户并将该用户添加到组。

    添加用户

    此操作可将现有用户添加到组。选择此操作后,请创建搜索条件指定要添加的用户。用于构建该条件的字段使用 ANYALL 运算符。 ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

    搜索标准创建完毕后,单击“下一步”。从返回的用户列表中,选择要添加的用户并单击“完成”。

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括用户和组),但不会将其删除。 选择要移除的成员并从“选择操作”菜单中选择“移除成员”。

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

Procedure创建动态组

  1. 找到要在其中创建新组的组织或组。

  2. 单击“组”选项卡。

  3. 单击“新建动态”。

  4. 在“名称”字段中输入组的名称。

  5. 构造 LDAP 搜索过滤器。

    默认情况下,Access Manager 将显示“基本”搜索过滤器界面。 用于构造过滤器的“基本”字段使用 ANYALL 操作符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

  6. 单击“确定”后,系统会自动将与搜索条件匹配的所有用户添加到组。

Procedure向动态组添加成员或从中移除

  1. 在“组”列表中,单击要添加成员的组的名称。

  2. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    添加组

    此操作可以将嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。信息输入完毕后,单击“下一步”。 从返回的组列表中,选择要添加的组并单击“完成”。

    移除成员

    此操作将从组中移除成员(包括组),但不会将其删除。 选择要移除的成员,然后选择“移除成员”

    删除成员

    此操作将永久删除所选成员。选择要删除的成员,然后选择“删除成员”。

将组添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

人员容器

人员容器是默认的 LDAP 组织单位。在组织中创建用户时,所有的用户都将被指定到该容器。 人员容器位于组织级别和人员容器级别(作为子人员容器)。它们只能包含其他人员容器和用户。如果需要,可以将其他人员容器添加到组织中。


注 –

人员容器的显示是可选的。要查看“人员容器”,必须在“管理服务”中选择“启用人员容器”。


Procedure创建人员容器

  1. 找到要在其中创建新人员容器的组织或人员容器。

  2. 在“人员容器”列表中单击“新建”。

  3. 输入要创建的人员容器的名称。

  4. 单击 “确定” 。

Procedure删除人员容器

  1. 找到包含要删除的人员容器的组织或人员容器。

  2. 选中要删除的人员容器名称旁边的复选框。

  3. 单击“删除”。


    注 –

    删除人员容器将删除该人员容器中存在的所有对象, 包括所有用户和子人员容器。


用户

用户表示个人身份。通过“Access Manager 身份管理”模块,可以在组织、容器和组中创建和删除用户,还可以在角色和/或组中添加或移除用户。此外,还可以将服务指定给用户。


注 –

如果在子组织中创建的用户使用了与 amadmin 相同的用户 ID,登录 amadmin 时将失败。如果发生了这样的问题,管理员应该通过 Directory Server 控制台更改用户 ID。这样可使管理员登录到默认组织。另外,验证服务中的“起始用户搜索的 DN”可以设置为人员容器 DN,以确保在登录过程中返回唯一匹配项。


Procedure创建用户

  1. 找到要在其中创建用户的组织、容器或人员容器。

  2. 单击“用户”选项卡。

  3. 在“用户”列表中单击“新建”。

  4. 为以下值输入数据:

    用户 ID

    此字段中应填入用户用来登录到 Access Manager 的名称。该属性可能是一个非 DN 值。

    名字

    此字段中应填入用户的名字。“名字”值和“姓氏”值可以标识“当前已登录”字段中的用户。 此值不用必须填写。

    姓氏

    此字段中应填入用户的姓氏。“名字”值和“姓氏”值可以标识用户。

    全名

    此字段中应填入用户的全名。

    密码

    此字段中应填入“用户 ID”字段中所指定名称的密码。

    密码(确认)

    确认密码。

    用户状态

    此选项指示是否允许用户通过 Access Manager 进行验证。只有活动用户才能进行验证。默认值为活动

  5. 单击 “确定” 。

Procedure编辑用户概要文件

当某个尚未指定管理角色的用户通过 Access Manager 进行验证时,默认视图为用户自己的“用户概要文件”视图。 另外,具有适当权限的管理员可以编辑用户概要文件。 在该视图中,用户可以修改其个人概要文件的属性值。 “用户概要文件”视图中显示的属性可以扩展。 有关添加对象和身份的自定义属性的详细信息,参见 Access Manager 开发者指南。

  1. 选择要对其概要文件进行编辑的用户。 默认情况下,屏幕上将显示“常规”视图。

  2. 编辑以下字段:

    名字

    此字段中应填入用户的名字。

    姓氏

    此字段中应填入用户的姓氏。

    全名

    此字段中应填入用户的全名。

    密码

    单击“编辑”链接以添加和确认用户密码。

    电子邮件地址

    此字段中应填入用户的电子邮件地址。

    员工编号

    此字段中应填入用户的员工编号。

    电话号码

    此字段中应填入用户的电话号码。

    家庭地址

    此字段中应填入用户的家庭地址。

    用户状态

    此选项指示是否允许用户通过 Access Manager 进行验证。只有活动的用户才能通过 Access Manager 进行验证。默认值为“活动”。可以从下拉菜单中选择以下任意一个选项:。

    • 活动 — 用户可通过 Access Manager 进行验证。

    • 不活动 — 用户不能通过 Access Manager 进行验证,但用户概要文件仍会存储在目录中。


      注 –

      将用户状态更改为“不活动”仅影响通过 Access Manager 进行的验证。Directory Server 使用 nsAccountLock 属性来确定用户帐户的状态。 禁用 Access Manager 验证的用户帐户仍然可以执行不需要 Access Manager 的任务。要禁用目录中的某个用户帐户,而不仅仅是禁用 Access Manager 验证,应将 nsAccountLock 的值设置为 false。 如果站点的委托管理员要定期禁用用户,应考虑将 nsAccountLock 属性添加到“Access Manager 用户概要文件”页面。有关详细信息,参见《Sun Java System Access Manager 7.1 Developer’s Guide》


    帐户失效日期

    如果存在此属性,则当前日期和时间超过指定的“帐户失效日期”时,验证服务将不允许进行登录。 此属性的格式为 mm/dd/yyyy hh:mm

    用户验证配置

    此属性设置用户的验证链。

    用户别名列表

    此字段定义了一组应用于用户的别名。 要使用此属性中配置的别名,必须修改 LDAP 服务,即向 LDAP 服务中的“用户条目搜索属性”字段添加 iplanet-am-user-alias-list 属性。

    首选语言环境

    此字段指定用户的语言环境。

    成功 URL

    此属性指定用户在验证成功后,重定向的 URL。

    失败 URL。

    此属性指定用户在验证失败后,重定向的 URL。

    密码重置选项

    此字段用于选择要在忘记密码页面中使用的问题,该页面用来恢复忘记的密码。

    用户搜索资源提供

    设置用户的“用户搜索”服务的资源提供。

    MSISDN 号码

    使用 MSISDN 验证时,定义用户的 MSISDN 号码。

Procedure向角色和组添加用户

  1. 单击“用户”选项卡。

  2. 单击所要修改的用户的名称。

  3. 选择“角色”或“组”选项卡。

  4. 选择要向其添加用户的角色或组,然后单击“添加”。

  5. 单击“保存”。


    注 –

    要从“角色”或“组”中移除用户,请选择角色或组并单击“移除”,然后单击“保存”。


将用户添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

角色

角色是与的概念类似的 Directory Server 条目机制。组有成员,角色也有成员。角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目,由条目的标识名 (DN) 属性来标识。Directory Server 具有许多不同类型的角色,但 Access Manager 只能管理其中的一种:被管理的角色。


注 –

在目录部署中还可以使用其他的 Directory Server 角色类型,只是它们不能被 Access Manager 控制台管理。还可以在策略的主题定义中使用其他的 Directory Server 类型。有关策略主题的详细信息,参见创建策略


用户可以拥有一个或多个角色。例如,可以创建一个承包商角色,其属性来自“会话服务”和“密码重置服务”。新承包商雇员加入公司时,管理员可以将该角色指定给他们,而不需在承包商条目中分别设置各个属性。如果承包商在工程部工作并且需要适用于工程员工的服务以及访问权限,则管理员可以为该承包商同时指定工程角色和承包商角色。

Access Manager 使用角色来应用访问控制指令。首次安装时,Access Manager 会配置定义管理员权限的访问控制指令 (ACI)。然后在角色(如“组织管理员角色”和“组织帮助台管理员角色”)中指定这些 ACI,当这些角色被指定到用户时,可定义用户的访问权限。

仅当“管理服务”中启用了“在用户概要文件页面中显示角色”属性时,用户才可查看为其分配的角色。


注 –

要使用参考完整性插件,应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后,它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。


有两种类型的角色:

Procedure创建静态角色

  1. 转到要在其中创建角色的组织。

  2. 单击“角色”选项卡。

    “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限,但仅对此容器单元中用户条目的 userPassword 属性拥有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。


    注 –

    创建子组织时,请注意要在该子组织中创建管理角色,而不是在父组织中创建管理角色。


    容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。

    组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。

    人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中删除用户。


    注 –

    可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。


    组管理员。在创建组的同时创建的“组管理员”拥有对特定组的所有成员的读写权限,可以创建新用户、将用户指定给自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶层管理员。“顶层管理员”拥有对顶层组织中所有条目的读写权限。换句话说,顶层管理角色具有 Access Manager 应用程序内所有配置主体所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。

  3. 单击“新建静态”按钮。

  4. 输入角色的名称。

  5. 输入角色的说明。

  6. 从“类型”菜单中选择角色类型。

    角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    无权限

    对角色不设置权限。

    组织管理员

    “组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员

    “组织帮助台管理员”拥有对已配置组织中所有条目的读取权限和对 userPassword 属性的写入权限。

    组织策略管理员

    “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的引用策略。

    通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。

Procedure将用户添加到静态角色

  1. 单击希望向其添加用户的角色的名称。

  2. 在“成员”列表中,从“选择操作”菜单选择“添加用户”。

  3. 输入搜索条件信息。可以选择一个或多个显示的字段,根据这些字段来搜索用户。这些字段包括:

    匹配

    允许选择过滤器要包含的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    名字

    按照用户的名字搜索用户。

    用户 ID

    按照用户 ID 搜索用户。

    姓氏

    按照用户的姓氏搜索用户。

    全名

    按照用户的全名搜索用户。

    用户状态

    按照用户的状态(活动或不活动)搜索用户。

  4. 单击“下一步”开始搜索。将显示搜索结果。

  5. 选中用户名称旁边的复选框,可以从返回的名称中选择用户。

  6. 单击“完成”。

    用户将被分配到角色。

Procedure创建动态角色

  1. 转到要在其中创建角色的组织。

  2. 单击“角色”选项卡。

    “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限,但仅对此容器单元中用户条目的 userPassword 属性拥有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。


    注 –

    创建子组织时,请注意要在该子组织中创建管理角色,而不是在父组织中创建管理角色。


    容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。

    组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。

    人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中删除用户。


    注 –

    可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。


    组管理员。在创建组的同时创建的“组管理员”拥有对特定组的所有成员的读写权限,可以创建新用户、将用户指定给自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶级管理员。 “顶层管理员”拥有对顶层组织中所有条目的读写权限。换句话说,顶层管理角色具有 Access Manager 应用程序内所有配置主体所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。

  3. 单击“新建动态”按钮。

  4. 输入角色的名称。

  5. 输入角色的说明。

  6. 从“类型”菜单中选择角色类型。

    角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    无权限

    对角色不设置权限。

    组织管理员

    “组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员

    “组织帮助台管理员”拥有对已配置组织中所有条目的读取权限和对 userPassword 属性的写入权限。

    组织策略管理员

    “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的引用策略。

    通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。

  8. 输入搜索条件信息。这些字段包括:

    匹配

    允许您使用运算符来连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    名字

    按照用户的名字搜索用户。

    用户 ID

    按照用户 ID 搜索用户。

    姓氏

    按照用户的姓氏搜索用户。

    全名

    按照用户的全名搜索用户。

    用户状态

    按照用户的状态(活动或不活动)搜索用户。

  9. 单击“确定”根据过滤条件启动搜索。由过滤条件定义的用户将会自动指定给角色。

Procedure从角色中移除用户

  1. 找到包含要修改的角色的组织。

    从“身份管理” 模块的“查看”菜单中选择“组织”,然后选择“角色”选项卡。

  2. 选择要修改的角色。

  3. 从“查看”菜单中选择“用户”。

  4. 选中每个要移除的用户旁边的复选框。

  5. 单击“选择操作”菜单中的“移除用户”。

    用户将从角色中移除。

将角色添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略