角色

角色是与组的概念类似的 Directory Server 条目机制。组有成员，角色也有成员。角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目，由条目的标识名 (DN) 属性来标识。Directory Server 具有许多不同类型的角色，但 Access Manager 只能管理其中的一种：被管理的角色。

在目录部署中还可以使用其他的 Directory Server 角色类型，只是它们不能被 Access Manager 控制台管理。还可以在策略的主题定义中使用其他的 Directory Server 类型。有关策略主题的详细信息，参见创建策略。

用户可以拥有一个或多个角色。例如，可以创建一个承包商角色，其属性来自“会话服务”和“密码重置服务”。新承包商雇员加入公司时，管理员可以将该角色指定给他们，而不需在承包商条目中分别设置各个属性。如果承包商在工程部工作并且需要适用于工程员工的服务以及访问权限，则管理员可以为该承包商同时指定工程角色和承包商角色。

Access Manager 使用角色来应用访问控制指令。首次安装时，Access Manager 会配置定义管理员权限的访问控制指令 (ACI)。然后在角色（如“组织管理员角色”和“组织帮助台管理员角色”）中指定这些 ACI，当这些角色被指定到用户时，可定义用户的访问权限。

仅当“管理服务”中启用了“在用户概要文件页面中显示角色”属性时，用户才可查看为其分配的角色。

要使用参考完整性插件，应将 Access Manager 与 Directory Server 一起进行配置。当启用参照完整性插件后，它将直接在删除或重命名操作后对指定属性执行完整性更新。这将确保在整个数据库中维持相关条目之间的关系。数据库索引则增强了 Directory Server 中的搜索性能。

有两种类型的角色：

• 静态 — 静态角色在创建时可以不添加用户。角色创建之后，您可以在其中添加特定用户。这样，在向给定角色添加特定用户时，您可以更好的进行控制。

• 动态 – 动态角色是通过使用 LDAP 过滤器创建的。在创建角色时，会通过过滤器过滤所有用户并为其分配该角色。 过滤器会查找条目中的所有属性值对（例如，ca=user*），并自动将包含该属性的用户分配给角色。

创建静态角色

1. 转到要在其中创建角色的组织。

2. 单击“角色”选项卡。

   “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括：

   容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限，但仅对此容器单元中用户条目的 userPassword 属性拥有写入权限。

   组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

   ---

   注 –

   创建子组织时，请注意要在该子组织中创建管理角色，而不是在父组织中创建管理角色。

   ---

   容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中，LDAP 组织单位通常被称为容器。

   组织策略管理员。“组织策略管理员”具有对所有策略的读写权限，可以创建、指定、修改和删除自身组织内的所有策略。

   人员管理员。默认情况下，新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意，该角色“并不”具有对包含角色和组 DN 的属性的读写权限，因此他们不能修改角色和组的属性，也不能从角色或组中删除用户。

   ---

   注 –

   可以使用 Access Manager 配置其他容器，以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器，请使用默认的“容器管理员角色”或“容器帮助台管理员”。

   ---

   组管理员。在创建组的同时创建的“组管理员”拥有对特定组的所有成员的读写权限，可以创建新用户、将用户指定给自己所管理的组以及删除自己创建的用户。

   创建组时，将自动生成“组管理员”角色，并赋予管理组所必需的权限，但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

   顶层管理员。“顶层管理员”拥有对顶层组织中所有条目的读写权限。换句话说，顶层管理角色具有 Access Manager 应用程序内所有配置主体所拥有的权限。

   组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色，该角色拥有管理组织所必需的权限。

3. 单击“新建静态”按钮。

4. 输入角色的名称。

5. 输入角色的说明。

6. 从“类型”菜单中选择角色类型。

   角色可以是“管理”角色，也可以是“服务”角色。角色类型由控制台使用，用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台，角色的所有人拥有管理权限；服务角色会通知控制台，角色的所有人为最终用户。

7. 从“访问权限”菜单中选择默认的一组权限，以应用到角色。拥有这些权限，可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括：

   无权限

   对角色不设置权限。

   组织管理员

   “组织管理员”拥有对已配置的组织中所有条目的读写权限。

   组织帮助台管理员

   “组织帮助台管理员”拥有对已配置组织中所有条目的读取权限和对 userPassword 属性的写入权限。

   组织策略管理员

   “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的引用策略。

   通常，“无权限 ACI”会指定给“服务”角色，而默认的 ACI 会指定给“管理”角色。

将用户添加到静态角色

1. 单击希望向其添加用户的角色的名称。

2. 在“成员”列表中，从“选择操作”菜单选择“添加用户”。

3. 输入搜索条件信息。可以选择一个或多个显示的字段，根据这些字段来搜索用户。这些字段包括：

   匹配

   允许选择过滤器要包含的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

   名字

   按照用户的名字搜索用户。

   用户 ID

   按照用户 ID 搜索用户。

   姓氏

   按照用户的姓氏搜索用户。

   全名

   按照用户的全名搜索用户。

   用户状态

   按照用户的状态（活动或不活动）搜索用户。

4. 单击“下一步”开始搜索。将显示搜索结果。

5. 选中用户名称旁边的复选框，可以从返回的名称中选择用户。

6. 单击“完成”。

   用户将被分配到角色。

创建动态角色

1. 转到要在其中创建角色的组织。

2. 单击“角色”选项卡。

   “角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括：

   容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限，但仅对此容器单元中用户条目的 userPassword 属性拥有写入权限。

   组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

   ---

   注 –

   创建子组织时，请注意要在该子组织中创建管理角色，而不是在父组织中创建管理角色。

   ---

   容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中，LDAP 组织单位通常被称为容器。

   组织策略管理员。“组织策略管理员”具有对所有策略的读写权限，可以创建、指定、修改和删除自身组织内的所有策略。

   人员管理员。默认情况下，新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意，该角色“并不”具有对包含角色和组 DN 的属性的读写权限，因此他们不能修改角色和组的属性，也不能从角色或组中删除用户。

   ---

   注 –

   可以使用 Access Manager 配置其他容器，以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器，请使用默认的“容器管理员角色”或“容器帮助台管理员”。

   ---

   组管理员。在创建组的同时创建的“组管理员”拥有对特定组的所有成员的读写权限，可以创建新用户、将用户指定给自己所管理的组以及删除自己创建的用户。

   创建组时，将自动生成“组管理员”角色，并赋予管理组所必需的权限，但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

   顶级管理员。 “顶层管理员”拥有对顶层组织中所有条目的读写权限。换句话说，顶层管理角色具有 Access Manager 应用程序内所有配置主体所拥有的权限。

   组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色，该角色拥有管理组织所必需的权限。

3. 单击“新建动态”按钮。

4. 输入角色的名称。

5. 输入角色的说明。

6. 从“类型”菜单中选择角色类型。

   角色可以是“管理”角色，也可以是“服务”角色。角色类型由控制台使用，用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台，角色的所有人拥有管理权限；服务角色会通知控制台，角色的所有人为最终用户。

7. 从“访问权限”菜单中选择默认的一组权限，以应用到角色。拥有这些权限，可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括：

   无权限

   对角色不设置权限。

   组织管理员

   “组织管理员”拥有对已配置的组织中所有条目的读写权限。

   组织帮助台管理员

   “组织帮助台管理员”拥有对已配置组织中所有条目的读取权限和对 userPassword 属性的写入权限。

   组织策略管理员

   “组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的引用策略。

   通常，“无权限 ACI”会指定给“服务”角色，而默认的 ACI 会指定给“管理”角色。

8. 输入搜索条件信息。这些字段包括：

   匹配

   允许您使用运算符来连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

   名字

   按照用户的名字搜索用户。

   用户 ID

   按照用户 ID 搜索用户。

   姓氏

   按照用户的姓氏搜索用户。

   全名

   按照用户的全名搜索用户。

   用户状态

   按照用户的状态（活动或不活动）搜索用户。

9. 单击“确定”根据过滤条件启动搜索。由过滤条件定义的用户将会自动指定给角色。

从角色中移除用户

1. 找到包含要修改的角色的组织。

   从“身份管理” 模块的“查看”菜单中选择“组织”，然后选择“角色”选项卡。

2. 选择要修改的角色。

3. 从“查看”菜单中选择“用户”。

4. 选中每个要移除的用户旁边的复选框。

5. 单击“选择操作”菜单中的“移除用户”。

   用户将从角色中移除。

将角色添加到策略

可以通过定义策略的主题将 Access Manager 对象添加到策略中。在创建或修改策略时，可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后，策略将被应用到对象。有关详细信息，参见管理策略。