在 Access Manager 中,委託模型以指定給管理員的權限 (或資格) 為基礎。權限是一種可對資源執行的作業 (或動作),例如對「策略」物件執行的「讀取」作業。定義的作業集為「讀取」、「修改」及「委託」。資源是可對其執行動作的物件,可以是配置物件或識別物件。
配置物件的範例有「認證配置」、「策略」、「資料存放區」等等。識別物件的範例有「使用者」、「群組」、「角色」及「代理程式」。可以在 Access Manager 中動態建立和動態增加一組權限,但在安裝期間,會在 Access Manager 中增加一小組權限,以使 Access Manager 正確地執行。一旦載入權限,即可將其指定給角色及群組。屬於這些角色及群組的使用者會成為受委託的管理員,並可執行所指定的作業。一般來說,管理員是被指定一組或更多權限的角色或群組之成員。
Access Manager 7.1 可讓您為下列管理員類型配置權限︰
範圍管理員 — 範圍管理員具有對所有物件 (包括配置及識別物件) 執行「讀取」、「修改」及「委託」作業的所有權限。可將範圍管理員視為 Unix 系統中的「超級使用者」。範圍管理員可以建立子範圍、修改所有服務的配置,也可建立、修改及刪除「使用者」、「群組」、「角色」及「代理程式」。
策略管理員 — 策略管理員僅具有管理策略及策略服務配置的權限。他們可以建立、修改及刪除包含「規則」、「主體」、「條件」及「回應」屬性的策略。但是,若要管理策略,這些管理員需要具有「識別儲存庫主體」及「認證」配置的讀取權限。這些管理員可以檢視識別及認證配置。
記錄管理員 — 記錄管理員具有讀取及/或寫入記錄的權限,這些權限可用來防止稽核記錄遭受惡意應用程式惡意濫用。因為記錄介面是公用的,任何經過認證的使用者可能都可以讀寫記錄,因此增加此權限可以防止發生這種濫用情形。記錄介面的主要使用者是 J2EE 及 Web Agents,它們只需要「修改」權限,不應具有「讀取」權限。同樣地,檢視記錄的管理員只應具有「讀取」權限,不應具有「修改」權限。為了配合這些類型的用法,記錄權限進一步細分如下︰
具有「寫入存取權」的記錄管理員 – 這些管理員具有寫入所有記錄檔的權限。
具有「讀取存取權」的記錄管理員 – 這些管理員具有讀取所有記錄檔的權限。
具有「讀取與寫入存取權」的記錄管理員 – 這些管理員具有讀寫所有記錄檔的權限。
新的 Access Manager 7.1 安裝實例為策略管理員、範圍管理員 (或「舊有」模式中的組織管理員) 及記錄管理員提供存取權限。若要指定或修改權限,按一下您要編輯的角色或群組名稱。您可以選擇下列任一選項︰
為記錄管理員定義讀取及寫入存取權限。
只為記錄管理員定義寫入存取權限。
只為記錄管理員定義讀取存取權限。
為策略管理員定義讀取及寫入存取權限。
為範圍管理員定義讀取及寫入存取權限。
如果您將 Access Manager 從 7.0 升級到 7.1,其權限配置會與新的 Access Manager 7.1 安裝的權限配置有所不同,但仍支援策略管理員、範圍管理員及記錄管理員的權限。若要指定或修改權限,按一下您要編輯的角色或群組名稱。您可以選擇下列任一選項︰
為策略管理員定義對資料存放區的讀取存取權限。
為記錄管理員定義讀取及寫入存取權限。
只為記錄管理員定義寫入存取權限。
只為記錄管理員定義讀取存取權限。
為策略管理員定義讀取及寫入存取權限。
為範圍管理員定義讀取及寫入存取權限。
為策略管理員定義對所有特性及服務的讀取存取權限。
對於下列定義,無論是單獨使用還是一同使用,皆不受 Access Manager 支援︰
資料存放區唯讀存取權
所有特性與服務的唯讀存取權
這些權限定義必須與「僅針對策略特性的讀取與寫入存取權」定義一起使用,以定義策略管理員的委託控制。