Sun Java 徽标     上一页      目录      索引      下一页     

Sun 徽标
Sun[TM] Identity Manager 8.0 管理 

第 4 章
角色和资源

本章介绍了 Identity Manager 角色和资源。

本章中的信息分为以下主题:


了解和管理角色

阅读本节可以了解有关在 Identity Manager 中设置角色的信息。在大型组织中,基于角色的资源分配可大大简化资源管理。


不要将角色管理员角色相混淆。角色用于管理最终用户对外部资源的访问。而管理员角色主要用于管理管理员对内部 Identity Manager 对象(如用户、组织和权能)的访问。

本节中的信息讨论的是角色。有关管理员角色的信息,请参见了解和管理管理员角色


什么是角色?

角色是一个 Identity Manager 对象,它允许对资源访问权限进行分组并将其有效地分配给用户。角色分为以下四种角色类型:

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常,业务角色表示用户的工作职责。例如,在一个金融机构中,业务角色可能对应于各个工作职责,如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。

IT 角色、应用程序资产将资源权利划分为不同的组。要为最终用户提供资源访问权限,请将 IT 角色、应用程序和资产分配给业务角色,以使用户在工作时能够访问所需的资源。IT 角色包含一组特定的应用程序、资产和/或资源,其中包括这些分配的资源的特定权利。IT 角色也可以包含其他 IT 角色。


Identity Manager 8.0 版中引入了角色类型的概念。如果组织从早期版本的 Identity Manager 升级到 8.0 版,则会将传统角色作为 IT 角色导入。有关详细信息,请参见管理在 8.0 之前的版本中创建的角色


IT 角色、应用程序和资产可以是必需、条件可选角色。

通过使用必需、条件和可选角色,业务角色设计者可以针对包含的角色定义粗粒度的访问以使用户遵守相关的规定;同时仍为最终用户管理员提供了一定的灵活性,以微调最终用户的访问权限。对于分配了条件或可选角色的用户,仍然可以为其分配相同的业务角色,但为其分配的访问权限是不同的。通过采用这种方法,无需为组织中的每种访问要求变化形式都定义新的业务角色(此问题称为角色爆炸)

运用角色类型

下面介绍了如何有效地使用角色类型。有关角色类型描述,请参见上一节。

管理在 8.0 之前的版本中创建的角色

从早期版本的 Identity Manager 升级到 8.0 版的组织会自动将其传统角色转换为 IT 角色。这些 IT 角色仍将直接分配给用户。在升级过程中,不会为传统角色分配角色所有者。不过,以后可以分配角色所有者。(有关角色所有者的信息,请参见更多...。)

默认情况下,升级到 8.0 版的组织可以直接将 IT 角色和业务角色分配给用户(请参见图 4-2)。

如果组织具有传统角色,则应该考虑按照下一节中简要介绍的原则创建新角色。

使用角色类型设计灵活的角色

IT 角色、应用程序和资产是角色设计者的基本构件。可以结合使用这三种角色类型来设置用户权利(即,访问权限)。然后可将 IT 角色、应用程序和资产分配给业务角色。

设计业务角色

在 Identity Manager 中,可以为用户分配一个或多个角色,也可以不分配角色。随着在 Identity Manager 8.0 中引入角色类型概念,建议您仅将业务角色直接分配给用户。事实上,默认情况下,无法将任何其他角色类型直接分配给用户,除非组织安装了 8.0 之前版本的 Identity Manager 并将其至少升级到 8.0 版。可通过修改角色配置对象来更改这种默认限制(更多...)。

为降低复杂性,无法对业务角色进行嵌套,即,一个业务角色不能包含另一个业务角色。另外,业务角色不能直接包含资源和资源组。而应将资源和资源组分配给 IT 角色或应用程序,然后再将这些角色分配给一个或多个业务角色。

设计 IT 角色

IT 角色可以包含应用程序和资产以及其他 IT 角色。IT 角色还可以包含资源和资源组。

IT 角色一般是由组织的 IT 人员或资源所有者(了解启用资源中特定权限所需的权利)创建和管理的。

设计应用程序和资产

应用程序和资产角色类型用于表示常用业务术语,以描述最终用户工作时需要具备的条件。例如,可以将应用程序角色命名为“客户支持工具”或“内部网 HR 工具管理员”。

应用程序和资产用于分配给业务角色和 IT 角色。


应该为角色管理员分配下面的一种或多种权能:

  • 资产管理员
  • 应用程序管理员
  • 业务角色管理员
  • IT 角色管理员

有关详细信息,请参见分配权能


角色类型总览

图 4-1 显示了可以为四种角色类型中的每种角色类型分配的角色类型、资源和资源组。该图还显示了可以为所有四种角色类型分配的角色类型排除。(更多... 中介绍了角色排除。)

图 4-1 业务角色、IT 角色、应用程序和资产角色类型。

业务角色和 IT 角色可以包含 IT 角色、应用程序和资产角色分配;应用程序和资产角色不能包含任何角色分配。 只能将资源和资源组分配给 IT 角色和应用程序角色。

可选、条件和必需包含角色(更多...)提供了额外的灵活性。灵活的角色定义可以减少组织需要管理的角色总数。

图 4-2 显示了从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版时可以将业务角色和 IT 角色直接分配给用户。在升级时,将传统角色转换为 IT 角色,并将 IT 角色直接分配给用户以保持向后兼容性。如果 Identity Manager 不是从 8.0 之前版本升级的,则只能将业务角色直接分配给用户。

图 4-2 可直接分配给用户的角色和资源。

如果从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版,则可以将业务角色和 IT 角色直接分配给用户。 否则,只能将业务角色直接分配给用户。

创建角色

本节介绍了如何创建角色。有关设计角色的提示,请参见使用角色类型设计灵活的角色

当您创建或编辑角色时,Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中,并允许您在创建或保存该角色前插入批准或其他操作。

填写“创建角色”表单

要创建角色,请执行以下步骤:

  1. 在管理员界面中,单击主菜单中的角色
  2. 将打开“角色”页(“列出角色”选项卡)。

  3. 单击页面底部的新建
  4. 将打开“创建 IT 角色”页。要创建另一种类型的角色,请使用类型下拉菜单。

  5. 填写标识选项卡上的表单字段。
  6. 图 4-3 显示了标识选项卡。

  7. 填写资源选项卡上的表单字段(如果适用)。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及分配资源和资源组
  8. 有关在角色上设置扩展属性值的帮助,请参见编辑分配的资源属性值

    图 4-4 显示了资源选项卡。

  9. 填写角色选项卡上的表单字段(如果适用)。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及分配角色和角色排除
  10. 图 4-6 显示了角色选项卡。

  11. 填写安全选项卡上的表单字段。有关填写此选项卡上的字段的帮助,请参阅联机帮助以及指定角色所有者和角色批准者指定通知
  12. 图 4-7 显示了安全选项卡。

  13. 单击页面底部的保存。

输入角色的名称和描述

在“创建角色”表单的标识选项卡中,可以输入角色的名称和描述。如果要创建新角色,请使用类型下拉菜单选择要创建的角色类型。

图 4-3 显示了“创建角色”表单的标识选项卡。有关使用此表单的帮助,请参见联机帮助。

图 4-3 “创建角色”选项卡式表单的“标识”部分。

分配资源和资源组

可以使用“创建角色”表单的资源选项卡,将资源和资源组直接分配给 IT 角色和应用程序角色。本章后面的更多... 中介绍了资源。资源组一节中介绍了资源组。

此过程介绍了在填写“创建角色”表单时如何将资源和资源组分配给角色。要开始,请参见填写“创建角色”表单

要填写“资源”选项卡,请执行以下步骤:

  1. 在“创建角色”页中单击资源选项卡。
  2. 要分配资源,请在可用资源列中将其选中,然后单击箭头按钮以将其移到当前资源列中。
  3. 如果要分配多个资源,您可以指定更新这些资源的顺序: 选中按顺序更新资源复选框,然后使用 + 和 - 按钮更改当前资源列中的资源顺序。
  4. 要将资源组分配给此角色,请在可用资源组列中将其选中,然后单击箭头按钮以将其移到当前资源组列中。资源组是一个资源集合,它提供了另外一种方法来指定创建和更新资源帐户的顺序。
  5. 要针对每种资源为此角色指定帐户属性,请在分配的资源部分中单击设置属性值。有关详细信息,请参见编辑分配的资源属性值
  6. 单击保存以保存角色,或者单击标识角色安全选项卡以继续执行角色创建过程。

图 4-4 显示了“创建角色”表单的资源选项卡。

图 4-4 “创建角色”选项卡式表单的“资源”部分

“资源”选项卡(组成“创建角色”表单的四个选项卡之一)的屏幕捕获。

编辑分配的资源属性值

可以使用分配的资源表来设置或修改分配给角色的资源上的资源属性值。资源可以针对每个角色定义不同的属性值。单击设置属性值按钮将打开“资源帐户属性”页。

图 4-5 显示了“资源帐户属性”页。

在此页中,可以为每个属性指定新值,并确定如何设置属性值。Identity Manager 允许直接设置值,或使用一个规则来设置值;它还提供了一些用于覆盖或合并现有值的选项。

有关资源属性值的一般信息,请参见使用帐户属性

选择以设置每个资源帐户属性的值:

单击确定可保存所做的更改并返回“创建角色”或“编辑角色”页。

图 4-5 显示了“资源帐户属性”页,它用于在分配给角色的资源上设置扩展资源属性值。

图 4-5 “资源帐户属性”页

“资源帐户属性”页的屏幕捕获。

分配角色和角色排除

可以使用“创建角色”表单的角色选项卡,将角色分配给业务角色和 IT 角色。应该将分配的角色添加到包含的角色表中。

可以使用“创建角色”表单的角色选项卡,将角色排除分配给所有四种角色类型。如果将具有角色排除的角色分配给用户,则无法将排除的角色分配给用户。应该将角色排除添加到角色排除表中。

此过程介绍了在填写“创建角色”表单时如何将一个或多个角色分配给某个角色。要开始,请参见填写“创建角色”表单

要填写“角色”选项卡,请执行以下步骤:

  1. 在“创建角色”页中单击角色选项卡。
  2. 包含的角色部分中单击添加
  3. 将刷新该选项卡并显示查找要包含的角色表单。

  4. 搜索将要分配给此角色的角色。请先从任何必需角色入手。(将随后添加条件和可选角色。)
  5. 有关使用搜索表单的帮助,请参见更多...。无法将业务角色嵌套在其他角色类型中,也无法将其分配给其他角色类型。

  6. 使用复选框选择一个或多个要分配的角色,然后单击添加
  7. 将刷新该选项卡并显示添加包含的角色表单。

  8. 根据需要,从关联类型下拉菜单中选择必需条件可选
  9. 单击确定

  10. 重复前面的四个步骤,以添加条件角色(如果需要)。再次重复前面的四个步骤,以添加可选角色(如果需要)。
  11. 单击保存以保存角色,或者单击标识资源安全选项卡以继续执行角色创建过程。

图 4-6 显示了“创建角色”表单的角色选项卡。有关使用此表单的帮助,请参见联机帮助。

图 4-6 “创建角色”选项卡式表单的“角色”部分

“角色”选项卡(组成“创建角色”表单的四个选项卡之一)的屏幕捕获。

指定角色所有者和角色批准者

角色具有指定的所有者批准者。仅角色所有者能够授权对定义角色的参数进行更改,仅角色批准者能够授权将角色分配给最终用户。

成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改,角色所有者必须在执行更改之前对其进行批准。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。不过,如果在“角色配置”对象中禁用了更改批准,则不需要得到角色所有者的批准即可执行更改。

除了批准角色更改以外,未经角色所有者批准也无法启用、禁用或删除角色。

可以将所有者和批准者直接添加到角色中,也可以使用角色分配规则动态地进行添加。在 Identity Manager 中,可以创建没有所有者和批准者的角色(但不建议这样做)。


角色分配规则的 authType 为 RoleUserRule。如果需要创建自定义角色分配规则,请参考三个默认角色分配规则对象并将它们用作示例:

    • 角色批准者
    • 角色通知
    • 角色所有者

如果工作项目需要得到所有者和批准者批准,则会通过电子邮件通知他们。启动更改批准工作项目和批准工作项目一节的更多... 中介绍了更改批准工作项目和批准工作项目。

所有者和批准者将添加到“创建角色”表单的“安全”选项卡上的角色中。

图 4-7 显示了“创建角色”表单的安全选项卡。有关使用此表单的帮助,请参见联机帮助。

图 4-7 “创建角色”选项卡式表单的“安全”部分

“安全”选项卡(组成“创建角色”表单的四个选项卡之一)的屏幕捕获。

指定通知

在将角色分配给用户时,可以向一个或多个管理员发送通知

可以选择是否指定通知收件人。如果决定在将角色分配给用户时不需要批准,您可以选择通知管理员。或者,您可以指定一个管理员作为批准者,并指定另一个管理员作为进行批准时的通知收件人。

与所有者和批准者一样,可以将通知直接添加到角色中,也可以使用角色分配规则动态地进行添加。在将角色分配给用户时,可以通过电子邮件向通知收件人发出通知。但不会创建工作项目,因为不需要进行批准。

通知将分配给“创建角色”表单的“安全”选项卡上的角色。图 4-7 显示了“创建角色”表单的安全选项卡。

启动更改批准工作项目和批准工作项目

在对角色进行更改时,角色所有者可能会收到更改批准更改通知电子邮件,也可能没有收到任何电子邮件。在将角色分配给用户时,角色批准者将会收到角色批准电子邮件。

默认情况下,只要更改了角色所有者拥有的角色,就会向其发送更改批准电子邮件。不过,可以针对每种角色类型对这种行为进行配置。例如,您可以选择为业务角色和 IT 角色启用更改批准,而为应用程序和资产角色启用更改通知。

有关启用和禁用更改批准和更改通知电子邮件的说明,请参见启用和禁用更改批准工作项目和更改通知工作项目

下面是更改批准和更改通知的工作方式:

在将角色分配给用户时,角色批准者将会收到角色批准电子邮件。无法在 Identity Manager 中禁用角色批准电子邮件。

下面是角色批准的工作方式:

可以委托更改批准工作项目和批准工作项目。有关委托工作项目的详细信息,请参见委托工作项目

编辑和管理角色

可以使用查找角色列出角色子选项卡执行大多数角色编辑和角色管理任务,这些选项卡位于主菜单的角色选项卡下面。

本节包含以下主题:

搜索角色

可以使用查找角色选项卡搜索符合指定搜索条件的角色。

通过使用“查找角色”选项卡,您可以基于各种不同的条件(如角色所有者和批准者、分配的帐户类型以及包含的角色等)搜索角色。

有关查找分配给角色的用户的信息,请参见更多...

要打开“查找角色”选项卡,请执行以下步骤:

  1. 在管理员界面中,单击角色选项卡。
  2. 将打开列出角色选项卡。

  3. 单击查找角色次级选项卡。
  4. 图 4-8 显示了查找角色选项卡。有关使用此表单的帮助,请参见联机帮助。

    图 4-8 “查找角色”选项卡
    “查找角色”选项卡的屏幕捕获。

可以使用下拉菜单来定义搜索参数。单击添加行按钮可添加其他参数。

查看角色

可以使用“列出角色”选项卡来查看角色。可以使用“列出角色”页顶部的过滤器字段按名称或角色类型查找角色。过滤不区分大小写。

要打开“列出角色”选项卡,请执行以下步骤:

  1. 在管理员界面中,单击角色选项卡。
  2. 将打开列出角色选项卡。

图 4-9 显示了列出角色选项卡。有关使用此表单的帮助,请参见联机帮助。

图 4-9 “列出角色”选项卡

Identity Manager 的“列出角色”选项卡的屏幕捕获。

编辑角色

可以使用列出角色查找角色选项卡搜索要编辑的角色。如果对角色进行更改并将更改批准设置为 true,则必须在角色所有者批准更改之后才能执行更改。

有关使用角色更改更新用户的信息,请参见更新分配给用户的角色

要编辑角色,请执行以下步骤:

  1. 按照更多... 更多... 中的说明,搜索要编辑的角色。
  2. 单击要编辑的角色的名称。
  3. 将打开“编辑角色”页。

  4. 根据需要,编辑该角色。有关填写标识资源角色安全选项卡的帮助,请参阅更多... 填写“创建角色”表单一节中的步骤。
  5. 单击保存。将打开“确认角色更改”页。

  6. 如果将此角色分配给用户,则可以选择何时使用角色更改更新用户。有关详细信息,请参见更新分配给用户的角色
  7. 单击保存以保存更改。

克隆角色

要复制角色,请执行以下步骤:

  1. 按照更多... 更多... 中的说明,搜索要编辑的角色。
  2. 单击要克隆的角色的名称。
  3. 将打开“编辑角色”页。

  4. 名称字段中输入新名称,然后单击保存
  5. 将打开角色:创建还是重命名?页。

  6. 单击创建以复制角色。

将角色分配给角色

什么是角色?运用角色类型中介绍了 Identity Manager 的角色分配要求。在分配角色之前,您应该了解此信息。

如果得到父角色的角色所有者批准,Identity Manager 将更改角色的角色分配。

要将角色分配给另一个角色,请执行以下步骤:

  1. 搜索将向其分配一个或多个包含的角色的业务角色或 IT 角色。(只能将角色分配给业务角色和 IT 角色。) 请按照更多... 更多... 中的说明搜索角色。
  2. 单击以打开业务角色或 IT 角色。
  3. 将打开“编辑角色”页。

  4. 在“编辑角色”页中单击角色选项卡。
  5. 包含的角色部分中单击添加
  6. 将刷新该选项卡并显示查找要包含的角色表单。

  7. 搜索将要分配给此角色的角色。请先从任何必需角色入手。(将随后添加条件和可选角色。)
  8. 有关使用搜索表单的帮助,请参见更多...。无法将业务角色嵌套在其他角色类型中,也无法将其分配给其他角色类型。

  9. 使用复选框选择一个或多个要分配的角色,然后单击添加
  10. 将刷新该选项卡并显示添加包含的角色表单。

  11. 根据需要,从关联类型下拉菜单中选择必需条件可选
  12. 单击确定

  13. 重复前面的四个步骤,以添加条件角色(如果需要)。再次重复前面的四个步骤,以添加可选角色(如果需要)。
  14. 单击保存以打开“确认角色更改”页。
  15. 将打开“确认角色更改”页。

  16. 更新分配的用户部分中,选择一个更新分配的用户菜单选项。有关详细信息,请参见更新分配给用户的角色
  17. 单击保存以保存角色分配。

从角色中删除角色

如果得到父角色的角色所有者批准,Identity Manager 将从另一个角色中删除包含的角色。当用户收到角色更新时,将从用户中删除已删除的角色。(有关详细信息,请参见更新分配给用户的角色。) 在删除角色后,用户将失去角色所赋予的权利。

要删除分配给另一个角色的角色,请执行以下步骤:

  1. 搜索要从中删除角色的业务角色或 IT 角色。请按照更多... 更多... 中的说明搜索角色。
  2. 单击以打开该角色。
  3. 将打开“编辑角色”页。

  4. 在“编辑角色”页中单击角色选项卡。
  5. 包含的角色部分中,选中要删除的角色旁边的复选框,然后单击删除。选中多个复选框可删除多个角色。
  6. 将更新该表以显示其余的包含角色。

  7. 单击保存
  8. 将打开“确认角色更改”页。

  9. 更新分配的用户部分中,选择一个更新分配的用户菜单选项。有关详细信息,请参见更新分配给用户的角色
  10. 单击保存以完成更改。

启用和禁用角色

可以在列出角色选项卡上启用和禁用角色。角色状态将显示在状态列中。单击状态列标题可按角色状态对该表进行排序。

已禁用的角色不会显示在“创建/编辑用户”表单的角色选项卡中,并且不能直接分配给用户。可以将包含已禁用角色的角色分配给用户,但无法分配已禁用的角色。

如果以后禁用了为用户分配的角色,用户并不会失去其权利。角色禁用仅阻止将来的角色分配

角色禁用和重新启用需要具有角色所有者权限。

在启用或禁用分配了用户的角色时,Identity Manager 将提示您更新这些用户。有关详细信息,请参见更新分配给用户的角色

要启用/禁用角色,请执行以下步骤:

  1. 按照更多... 更多... 中的说明,搜索要启用或禁用的角色。
  2. 单击需要启用或禁用的角色旁边的复选框。
  3. 单击“角色”表底部的启用禁用
  4. 将打开启用角色禁用角色确认页。

  5. 单击确定以启用或禁用该角色。

删除角色

本节介绍了从 Identity Manager 中删除角色的过程。

如果删除当前分配给用户的角色,当您尝试保存该角色时,Identity Manager 将阻止删除操作。必须取消分配(或重新分配)分配给角色的所有用户,然后 Identity Manager 才能删除该角色。还必须从任何其他角色中删除该角色。

Identity Manager 需要得到角色所有者的批准,然后才能删除角色。

要删除角色,请执行以下步骤:

  1. 按照更多... 更多... 中的说明,搜索要删除的角色。
  2. 选中要删除的每个角色旁边的复选框。
  3. 单击删除
  4. 将显示“删除角色”确认页。

  5. 单击确定以删除角色。

将资源或资源组分配给角色

什么是角色?运用角色类型中介绍了 Identity Manager 的资源和资源组分配要求。在将资源分配给角色之前,您应该了解此信息。

如果得到角色所有者批准,Identity Manager 将更改角色的资源和资源组分配。

要将资源分配给角色,请执行以下步骤:

  1. 搜索要向其添加资源或资源组的 IT 角色或应用程序。有关如何搜索角色的说明,请参见更多... 更多...
  2. 单击以打开该角色。
  3. 在“编辑角色”页中单击资源选项卡。
  4. 要分配资源,请在可用资源列中将其选中,然后单击箭头按钮以将其移到当前资源列中。
  5. 如果要分配多个资源,您可以指定更新这些资源的顺序: 选中按顺序更新资源复选框,然后使用 + 和 - 按钮更改当前资源列中的资源顺序。
  6. 要将资源组分配给此角色,请在可用资源组列中将其选中,然后单击箭头按钮以将其移到当前资源组列中。资源组是一个资源集合,它提供了另外一种方法来指定创建和更新资源帐户的顺序。
  7. 要针对每种资源为此角色指定帐户属性,请在分配的资源部分中单击设置属性值。有关详细信息,请参见编辑分配的资源属性值
  8. 单击保存以打开“确认角色更改”页。
  9. 将打开“确认角色更改”页。

  10. 更新分配的用户部分中,选择一个更新分配的用户菜单选项。有关详细信息,请参见更新分配给用户的角色
  11. 单击保存以保存资源分配。

从角色中删除资源或资源组

如果得到角色所有者批准,Identity Manager 将从角色中删除资源或资源组。当用户收到角色更新时,将从用户中删除已删除的资源。(有关详细信息,请参见更新分配给用户的角色。) 在删除资源时,用户将失去该资源的权利,除非还将该资源直接分配给用户。

要删除分配给角色的资源或资源组,请执行以下步骤:

  1. 搜索要从中删除资源或资源组的 IT 角色或应用程序。请按照更多... 更多... 中的说明搜索角色。
  2. 单击以打开该角色。
  3. 将打开“编辑角色”页。

  4. 在“编辑角色”页中单击资源选项卡。
  5. 要删除资源,请在当前资源列中将其选中,然后单击箭头按钮以将其移到可用资源列中。
  6. 要删除资源组,请在当前资源组列中将其选中,然后单击箭头按钮以将其移到可用资源组列中。

  7. 单击保存
  8. 将打开“确认角色更改”页。

  9. 更新分配的用户部分中,选择一个更新分配的用户菜单选项。有关详细信息,请参见更新分配给用户的角色
  10. 单击保存以完成更改。

管理用户角色分配

角色是在 Identity Manager 的“帐户”区域中分配给用户的。

本节包含以下主题:

将角色分配给用户

可以使用以下过程将一个或多个角色分配给用户。

最终用户也可以为其自己请求分配角色。(只能请求已将父角色分配给用户的可选角色。) 有关最终用户可以如何请求可用角色的信息,请参见Identity Manager 最终用户界面一节中的请求

要将一个或多个角色分配给用户,请执行以下步骤:

  1. 在管理员界面中,单击帐户选项卡。
  2. 将打开列出帐户子选项卡。

  3. 要将角色分配给现有用户,请执行以下步骤:
    1. 单击用户列表中的用户名称。
    2. 单击角色选项卡。
    3. 单击添加,将一个或多个角色添加到用户帐户中。
    4. 默认情况下,只能将业务角色直接分配给用户。(如果 Identity Manager 安装是从 8.0 之前版本升级的,则可以将业务角色和 IT 角色直接分配给用户。)

    5. 在角色表中,选择要分配给用户的角色,然后单击确定
    6. 要按名称类型描述的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从当前下拉菜单中进行选择。

      将更新该表以显示选定的角色分配以及与父角色分配有关的任何必需角色分配。

    7. 单击添加,以查看也可以分配给用户的可选角色分配。
    8. 选择要分配给用户的可选角色,然后单击确定

    9. (可选)在激活日期列中,选择使角色变为活动状态的日期。如果没有指定日期,在指定的角色所有者批准角色分配时,角色分配将立即变为活动状态。
    10. 要使角色分配转变为临时状态,请在取消激活日期列中选择使角色变为非活动状态的日期。角色取消激活将在选定日期开始生效。

      有关详细信息,请参见在特定日期激活和取消激活角色

    11. 单击保存

在特定日期激活和取消激活角色

在将角色分配给用户时,您可以指定激活日期和取消激活日期。在进行分配时,将创建角色分配工作项目请求。不过,如果在预定激活日期之前没有批准角色分配,则不会分配该角色。角色激活和取消激活将在预定日期午夜稍后的时间(凌晨 0:01)进行。

默认情况下,仅业务角色可以具有激活和取消激活日期。所有其他角色类型继承直接分配给用户的业务角色的激活日期和取消激活日期。可以将 Identity Manager 配置为允许其他角色类型具有可直接分配的激活和取消激活日期。有关说明,请参见更多...

计划延迟任务扫描程序任务

延迟任务扫描程序扫描用户角色分配,并根据需要激活和取消激活角色。默认情况下,延迟任务扫描程序任务每小时运行一次。

要编辑延迟任务扫描程序进度表,请执行以下步骤:

  1. 在管理员界面中,单击服务器任务
  2. 单击次级菜单中的管理进度表
  3. 可调度的任务部分中,单击延迟任务扫描程序 TaskDefinition。
  4. 将打开“创建新的延迟任务扫描程序任务进度表”页。

  5. 填写表单。有关帮助,请参阅 i-Helps 和联机帮助。
  6. 要定义应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00

    结果选项下拉菜单中,选择重命名。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。

  7. 单击保存以保存该任务。

图 4-10 显示了延迟任务扫描程序任务的预定任务表单。

图 4-10 延迟任务扫描程序的预定任务表单

更新分配给用户的角色

在编辑分配给用户的角色时,您可以选择使用新角色更改立即更新用户,或者将更新推迟到在预定维护时段运行。

在对角色进行更改时,将打开“确认角色更改”页。更多... 图 4-11 中显示了“确认角色更改”页。

图 4-11 显示了“确认角色更改”页。更新分配的用户部分显示了当前分配了该角色的用户数。更新分配的用户下拉菜单包含两个默认选项:不更新更新。也可以从预定更新角色用户任务列表中进行选择。有关创建预定更新角色用户任务的说明,请参见计划更新角色用户任务

图 4-11 “确认角色更改”页

“确认角色更改”页的屏幕捕获。 “更新分配的用户”部分显示了当前分配了该角色的用户数。 “更新分配的用户”下拉菜单显示了几个可用的更新选项。

手动更新分配的用户

可通过选择一个或多个角色并单击更新分配的用户按钮,更新分配给角色的用户。此过程为指定角色运行更新角色用户任务实例。

要开始更新分配给角色的用户,请执行以下步骤:

  1. 按照更多... 更多... 中的说明,搜索应更新为其分配的用户的角色。
  2. 使用复选框选择角色。
  3. 单击更新分配的用户
  4. 将显示“更新为角色分配的用户”页(图 4-12)。

  5. 单击启动以开始进行更新。
  6. 单击主菜单中的服务器任务,然后单击次级菜单中的所有任务以检查更新角色用户任务的状态。
  7. 图 4-12 “更新为角色分配的用户”页


计划更新角色用户任务

建议计划定期运行更新角色用户任务。

要使用未完成的角色更改更新用户,请使用以下步骤计划更新角色用户任务:

  1. 在管理员界面中,单击服务器任务
  2. 单击次级菜单中的管理进度表
  3. 可调度的任务部分中,单击更新角色用户 TaskDefinition。
  4. 将打开“创建新的更新角色用户任务进度表”页;如果编辑现有任务,则会打开“编辑任务进度表”页(图 4-13)。

  5. 填写表单。有关帮助,请参阅 i-Helps 和联机帮助。
  6. 要定义应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00

    结果选项下拉菜单中,选择重命名。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。

  7. 单击保存以保存该任务。

图 4-13 显示了更新角色用户任务的预定任务表单。可以将特定角色分配给特定的更新角色用户任务(如任务参数一节中所示)。有关详细信息,请参见更新分配给用户的角色

图 4-13 更新角色用户的预定任务表单

更新角色用户的预定任务表单的屏幕捕获。

查找分配给角色的用户

您可以搜索分配了特定角色的用户。

要查找分配了特定角色的用户,请执行以下步骤:

  1. 在管理员界面中,单击帐户
  2. 单击次级菜单中的查找用户。将打开“查找用户”页。
  3. 找到搜索类型用户被分配了 [选择角色类型...] 角色
  4. 选择选项框,然后使用选择角色类型... 下拉菜单过滤可用角色列表。
  5. 将打开第二个角色菜单。

  6. 选择一个角色。
  7. 清除其他搜索类型复选框,除非您要进一步缩小搜索范围。
  8. 单击搜索
  9. 图 4-14 使用“查找用户”页搜索分配了角色的用户
    “查找用户”屏幕的屏幕捕获。 选定的搜索类型将显示为“用户被分配了业务角色公司副总裁角色”。 在第一个菜单中选择了“业务角色”,而在第二个菜单中选择了“公司副总裁”。

删除分配给用户的角色

通过使用“编辑用户”页,可以从用户帐户中删除一个或多个角色。只能删除直接分配的角色。在删除父角色时,将会删除间接分配的角色(即条件和/或必需包含角色)。另一种从用户中删除间接分配的角色的方法是,从父角色中删除角色(请参见从角色中删除角色)。

最终用户也可以请求从其用户帐户中删除分配的角色。请参见Identity Manager 最终用户界面一节中的请求

有关使用预定取消激活日期删除角色的信息,请参见在特定日期激活和取消激活角色

要从用户中删除一个或多个角色,请执行以下步骤:

  1. 在管理员界面中,单击帐户选项卡。
  2. 将打开列出帐户子选项卡。

  3. 单击要从中删除角色的用户。
  4. 将打开“编辑用户”页。

  5. 单击角色选项卡。
  6. 在角色表中,选择要从用户中删除的角色,然后单击确定
  7. 要按名称类型激活日期取消激活日期分配者状态的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从当前下拉菜单中进行选择。

    该表将显示父角色分配(可以选择这些角色)以及与父角色分配有关的任何角色分配(无法选择这些角色)。

  8. 单击删除
  9. 将更新分配的角色表以显示其余的分配角色。

  10. 单击保存
  11. 将打开“更新资源帐户”页。取消选择不希望删除的任何资源帐户。

  12. 单击保存以保存更改。

配置角色类型

可通过编辑角色配置对象来修改角色类型功能。

将角色类型配置为可直接分配给用户

默认情况下,只能将某些角色类型直接分配给用户。要更改这些设置,请执行以下步骤。


建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色


要更改可直接分配给用户的角色类型,请执行以下步骤:

  1. 使用编辑 Identity Manager 配置对象中的步骤,打开角色配置对象以进行编辑。
  2. 找到与要编辑的角色类型对应的角色对象。
    • 要编辑 IT 角色,请找到 Object name='ITRole'
    • 要编辑应用程序角色,请找到 Object name='ApplicationRole'
    • 要编辑资产角色,请找到 Object name='AssetRole'
  3. 根据要更新配置的方式,选择一组相应的指令:
    • 要修改角色类型以使其能直接分配给用户,请在角色对象中找到以下 userAssignment 属性:
    • <Attribute name='userAssignment'>
      <Object/>
      </Attribute>

      将其替换为以下内容:

      <Attribute name='userAssignment'>
      <Object>
      <Attribute name='manual' value='true'/>
      </Object>
      </Attribute>

    • 要修改角色类型以使其不能直接分配给用户,请在角色对象中找到 userAssignment 属性并删除 manual 属性,如下所示:
    • <Attribute name='userAssignment'>
      <Object>
      </Object>
      </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

使角色类型具有可分配的激活日期和取消激活日期

默认情况下,仅业务角色可以具有激活日期和取消激活日期,可以在分配角色时指定这些日期。所有其他角色继承直接分配给用户的业务角色的激活日期/取消激活日期。


建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色


如果选择允许将其他角色类型直接分配给用户(例如,IT 角色类型),您可能还希望能够为该角色类型分配激活和取消激活日期。

要更改具有可分配的激活日期和取消激活日期的角色类型,请执行以下步骤:

  1. 使用编辑 Identity Manager 配置对象中的步骤,打开角色配置对象以进行编辑。
  2. 找到与要编辑的角色类型对应的角色对象。
    • 要编辑业务角色,请找到 Object name='BusinessRole'
    • 要编辑 IT 角色,请找到 Object name='ITRole'
    • 要编辑应用程序角色,请找到 Object name='ApplicationRole'
    • 要编辑资产角色,请找到 Object name='AssetRole'
  3. 根据要更新配置的方式,选择一组相应的指令:
    • 要修改角色类型以使其具有可直接分配的激活日期和取消激活日期,请在角色对象中找到以下 userAssignment 属性:
    • <Attribute name='userAssignment'>
      <Attribute name='manual' value='true'/>
      </Attribute>

      将其替换为以下内容:

      <Attribute name='userAssignment'>
      <Object>
      <Attribute name='activateDate' value='true'/>
      <Attribute name='deactivateDate' value='true'/>
      <Attribute name='manual' value='true'/>
      </Object>
      </Attribute>

    • 要修改角色类型以使其不能具有可直接分配的激活日期和取消激活日期,请在角色对象中找到 userAssignment 属性并删除 activateDatedeactivateDate 属性,如下所示:
    • <Attribute name='userAssignment'>
      <Object>
      </Object>
      </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

启用和禁用更改批准工作项目和更改通知工作项目

默认情况下,将为所有角色类型启用更改批准工作项目。这意味着,每次更改角色(无论是业务角色、IT 角色、应用程序还是资产)时,如果角色具有所有者,则必须得到所有者批准才能进行更改。

有关更改批准工作项目和更改通知工作项目的详细信息,请参见启动更改批准工作项目和批准工作项目

要为角色类型启用或禁用更改批准工作项目和更改通知工作项目,请执行以下步骤:

  1. 使用编辑 Identity Manager 配置对象中的步骤,打开角色配置对象以进行编辑。
  2. 找到与要编辑的角色类型对应的角色对象。
    • 要编辑业务角色,请找到 Object name='BusinessRole'
    • 要编辑 IT 角色,请找到 Object name='ITRole'
    • 要编辑应用程序角色,请找到 Object name='ApplicationRole'
    • 要编辑资产角色,请找到 Object name='AssetRole'
  3. 找到位于 <Object> 元素(位于 <Attribute name=說eatures?gt; 元素中)中的以下属性:
  4. <Attribute name='changeApproval' value='true'/>
    <Attribute name='changeNotification' value='true'/>

  5. 根据需要,将属性值设置为 true 或 false。
  6. 根据需要重复步骤 2-4 以配置其他角色类型。
  7. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

配置“角色列表页”将加载的最大行数

管理员界面中的“列出角色页”可以显示一定数量的行,您可以配置显示的最大行数。默认行数为 500 行。可以使用本节中的步骤更改该数字。

要更改“列出角色页”可以显示的最大行数,请执行以下步骤:

  1. 使用编辑 Identity Manager 配置对象中的步骤,打开角色配置对象以进行编辑。
  2. 找到以下属性并更改属性值:
  3. <Attribute name='roleListMaxRows' value='500'/>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下,同步时资源被分配给角色。这适用于使用同步任务创建的角色以及与某个资源角色名匹配的现有 Identity Manager 角色。

要将 Identity Manager 角色与资源角色进行同步,请执行以下步骤:

  1. 在管理员界面中,单击主菜单中的服务器任务
  2. 单击运行任务。将打开“可用任务”页。
  3. 单击使 Identity System 角色与资源角色同步任务。
  4. 填写表单。有关详细信息,请单击帮助
  5. 单击启动


了解和管理资源

阅读本节的信息和过程可以帮助您设置 Identity Manager 资源。

什么是资源?

Identity Manager 资源存储关于如何连接到在其中创建帐户的资源或系统的信息。Identity Manager 资源定义有关某个资源的相关属性,并帮助指定资源信息如何在 Identity Manager 中显示。

Identity Manager 提供类型广泛的资源,包括:

界面中的资源区域

Identity Manager 在“资源”页上显示关于现有资源的信息。

要访问资源,请选择菜单栏上的资源

资源列表中的资源是按类型进行分组的。每种资源类型由一个文件夹图标表示。要查看当前定义的资源,请单击文件夹旁边的指示符。再次单击指示符可折叠视图。

当展开资源类型文件夹后,它会动态更新并显示包含的资源对象数量(如果它是支持多个组的资源类型)。

有些资源含有可以管理的附加对象,包括以下对象:

从资源列表中选择一个对象,然后从以下某个选项列表中进行选择,以启动一个管理任务:

当您创建或编辑资源时,Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中,并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

在创建新的资源之前,必须指示 Identity Manager 您希望能够管理哪些资源类型。要启用资源并创建自定义资源,请使用“配置受管理的资源”页。

打开“配置受管理的资源”页

要打开“配置受管理的资源”页,请执行以下步骤:

  1. 登录到管理员界面,然后单击资源选项卡。
  2. 找到资源类型操作下拉列表,然后选择配置受管理的资源
  3. 将打开“配置受管理的资源”页。

“配置受管理的资源”页包含两个部分:

启用资源类型

可以从“配置受管理的资源”页中启用资源类型。

要启用资源类型,请执行以下操作:

  1. 应该已打开“配置受管理的资源”页。如果未打开,请将其打开(更多...)。
  2. 资源部分中,选中要启用的资源类型的受管理?列中的框。
  3. 要启用所有列出的资源类型,请选择管理所有资源

  4. 单击页面底部的保存
  5. 该资源将添加到资源列表中。

添加自定义资源

可以从“配置受管理的资源”页中添加自定义资源。

要添加自定义资源,请执行以下操作:

  1. 应该已打开“配置受管理的资源”页。如果未打开,请将其打开(更多...)。
  2. 自定义资源部分中单击添加自定义资源,以便在表中添加一行。
  3. 输入资源的资源类路径或输入您自定义创建的资源。有关随 Identity Manager 提供的适配器,请参见 Identity Manager 资源参考以了解完整的类路径。
  4. 单击保存将资源添加到“资源”列表。

创建资源

在启用资源类型后,您可以随后在 Identity Manager 中创建该资源的实例。要创建资源,请使用资源向导。资源向导将指导您完成设置以下项的过程:

使用资源向导创建资源

资源向导将指导您完成配置 Identity Manager 资源适配器的过程,以管理资源上的对象。

要创建资源,请执行以下步骤:

  1. 登录到管理员界面。
  2. 单击资源选项卡。确保选中了列出资源子选项卡。
  3. 找到资源类型操作下拉列表,然后选择新建资源
  4. 将打开“新建资源”页。

  5. 从下拉列表中选择一种资源类型。(如果没有列出要查找的资源类型,您需要将其启用。请参见管理资源列表。)
  6. 单击新建以显示资源向导欢迎页。
  7. 单击下一步开始定义资源。“资源向导”步骤和页面按以下顺序显示:
    • 资源参数 - 设置用于控制验证和资源适配器行为的特定于资源的参数。输入参数,然后单击测试连接,以确保连接有效。在确认连接有效后,单击下一步设置帐户属性。

图 4-15 显示了 Solaris 资源的“资源参数”页。 对于不同的资源,该页上的表单字段也不相同。

图 4-15 资源向导:资源参数

在“资源向导”中设置资源参数。

使用下一页上一页在页间移动。完成所有选择后,单击保存以保存该资源,并返回至列表页。

管理资源

本节介绍了如何管理现有资源。

查看资源列表

可以使用资源列表来查看现有资源。您可以使用资源列表命令对资源执行一系列编辑操作。

要查看资源列表,请执行以下步骤:

  1. 登录到管理员界面。
  2. 在主菜单中单击资源
  3. 将在列出资源子选项卡上显示资源列表

使用资源向导编辑资源

可以使用资源向导来编辑资源参数、帐户属性以及 Identity System 参数。也可以指定在此资源上创建的用户应使用的身份模板。

要使用资源向导编辑资源,请执行以下步骤:

  1. 在 Identity Manager 管理员界面中,单击主菜单中的资源
  2. 将在列出资源子选项卡上显示资源列表

  3. 选择要编辑的资源。
  4. 资源操作下拉菜单中,选择资源向导(在编辑下面)。
  5. 将在编辑模式下打开选定资源的资源向导。

使用资源列表命令选项编辑资源

除了编辑资源向导外,您还可以使用资源列表命令对资源执行一系列编辑操作:

使用帐户属性

资源帐户属性(或模式映射)提供了一种抽象方法,以引用受管理资源上的属性。通过使用模式映射,您可以指定如何在 Identity Manager 中引用属性(在模式映射左侧)以及如何将该名称映射到实际资源上的属性名称(在模式映射右侧)。可随后在表单或工作流定义中引用 Identity Manager 属性名称,并有效地引用资源本身上的属性。

图 4-16 显示了“资源帐户属性”页。

下面显示了 Identity Manager 中的属性与 LDAP 资源属性之间的映射示例:

Identity Manager 属性

 

LDAP 资源属性

firstname

<-->

givenName

lastname

<-->

sn

在对该资源执行操作时,对 Identity Manager 属性 firstname 的任何引用实际上是引用 LDAP 属性 givenName

在 Identity Manager 中管理多个资源时,通过将通用 Identity Manager 帐户属性映射到多个资源属性,可以大大简化资源管理。例如,可以将 Identity Managerfullname 属性映射到 Active Directory 资源属性 displayName。同时,在 LDAP 资源上,可以将相同的 Identity Manager fullname 属性映射到 LDAP 属性 cn。这样,管理员只需要提供一次 fullname 值。在保存用户时,fullname 值将传递给具有不同属性名称的资源。

通过在资源向导的“帐户属性”页上建立模式映射,您可以执行以下操作:

编辑资源帐户属性

要查看或编辑资源帐户属性,请执行以下步骤:

  1. 在管理员界面中,单击资源
  2. 选择要查看或编辑帐户属性的资源。
  3. 资源操作列表中,单击编辑资源模式
  4. 将打开“编辑资源帐户属性”页。

    图 4-16 显示了“资源帐户属性”页。

模式映射左侧的列(标题为 Identity System 用户属性)包含 Identity Manager 帐户属性的名称,Identity Manager 管理员界面和用户界面中使用的表单将引用这些名称。模式映射右侧的列(标题为资源用户属性)包含来自外部来源的属性名称。

资源组

可以使用资源区域来管理资源组,以使您能够对资源进行分组,以便按特定顺序更新这些资源。通过在组中加入资源并对资源排序,然后将组分配给用户,可确定创建、更新和删除用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败,则其余资源不会被更新。这种关系类型对相关资源很重要。

例如,Exchange Server 2007 资源依赖于现有的 Windows Active Directory 帐户。该帐户必须存在,然后才能成功创建 Exchange 帐户。通过使用 Windows Active Directory 资源和 Exchange Server 2007 资源(按顺序)创建资源组,可以确保用户的创建顺序正确无误。反过来,此顺序可以确保删除用户时资源按正确顺序删除。

选择资源,然后选择列出资源组以显示当前定义的资源组列表。在该页单击新建以定义资源组。定义资源组时,有一个选项区域允许您在选择资源后对所选资源排序,并可以选择可以使用该资源组的组织。

全局资源策略

可以在资源的全局资源策略中编辑属性。在“编辑全局资源策略属性”页中,可以编辑以下策略属性:

必须单击保存才能保存对策略所做的更改。

设置其他超时值

通过编辑 Waveset.properties 文件可以修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定此值,则系统将使用默认值 50。

要设置此值,请将以下行添加到 Waveset.properties 文件:

com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds。

批量资源操作

通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。

图 4-19 显示了使用创建操作的批量操作的启动页。

图 4-19 “启动批量资源操作”页

从 CSV 格式的文件或通过指定创建数据来启动批量资源操作。

用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择从操作列表以指定多个操作。

单击启动以启动操作,该操作将作为后台任务运行。



上一页      目录      索引      下一页     


文件号码:820-5435。 版权所有 2008 Sun Microsystems, Inc. 保留所有权利。