创建动态角色
-
转到要在其中创建角色的组织。
-
单击“角色”选项卡。
“角色”列表中将显示在配置组织时创建的一组默认角色。默认角色包括:
容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限,但仅对此容器单元中用户条目的 userPassword 属性拥有写入权限。
组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。
注 –创建子组织时,请注意要在该子组织中创建管理角色,而不是在父组织中创建管理角色。
容器管理员。“容器管理员”角色拥有对 LDAP 组织单位中所有条目的读写权限。 在 Access Manager 中,LDAP 组织单位通常被称为容器。
组织策略管理员。“组织策略管理员”具有对所有策略的读写权限,可以创建、指定、修改和删除自身组织内的所有策略。
人员管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的成员。 “人员管理员”拥有对组织中所有用户条目的读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中删除用户。
注 –可以使用 Access Manager 配置其他容器,以包含用户条目、组条目甚至其他容器。要将管理员角色应用到配置组织之后创建的容器,请使用默认的“容器管理员角色”或“容器帮助台管理员”。
组管理员。在创建组的同时创建的“组管理员”拥有对特定组的所有成员的读写权限,可以创建新用户、将用户指定给自己所管理的组以及删除自己创建的用户。
创建组时,将自动生成“组管理员”角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。
顶级管理员。 “顶层管理员”拥有对顶层组织中所有条目的读写权限。换句话说,顶层管理角色具有 Access Manager 应用程序内所有配置主体所拥有的权限。
组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。
-
单击“新建动态”按钮。
-
输入角色的名称。
-
输入角色的说明。
-
从“类型”菜单中选择角色类型。
角色可以是“管理”角色,也可以是“服务”角色。角色类型由控制台使用,用来确定在哪里启动 Access Manager 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。
-
从“访问权限”菜单中选择默认的一组权限,以应用到角色。拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:
- 无权限
-
对角色不设置权限。
- 组织管理员
-
“组织管理员”拥有对已配置的组织中所有条目的读写权限。
- 组织帮助台管理员
-
“组织帮助台管理员”拥有对已配置组织中所有条目的读取权限和对 userPassword 属性的写入权限。
- 组织策略管理员
-
“组织策略管理员”拥有对组织中所有策略的读写权限。“组织策略管理员”不能创建对等组织的引用策略。
通常,“无权限 ACI”会指定给“服务”角色,而默认的 ACI 会指定给“管理”角色。
-
输入搜索条件信息。这些字段包括:
- 匹配
-
允许您使用运算符来连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。
- 名字
-
按照用户的名字搜索用户。
- 用户 ID
-
按照用户 ID 搜索用户。
- 姓氏
-
按照用户的姓氏搜索用户。
- 全名
-
按照用户的全名搜索用户。
- 用户状态
-
按照用户的状态(活动或不活动)搜索用户。
-
单击“确定”根据过滤条件启动搜索。由过滤条件定义的用户将会自动指定给角色。
- © 2010, Oracle Corporation and/or its affiliates