第 4 章角色和资源

阅读本节可以了解有关在 Identity Manager 中设置角色的信息。在大型组织中，基于角色的资源分配可大大简化资源管理。

什么是角色？

角色是一个 Identity Manager 对象，它允许对资源访问权限进行分组并将其有效地分配给用户。角色分为以下四种角色类型：


注	不要将角色和管理员角色相混淆。角色用于管理最终用户对外部资源的访问。而管理员角色主要用于管理管理员对内部 Identity Manager 对象（如用户、组织和权能）的访问。本节中的信息讨论的是角色。有关管理员角色的信息，请参见了解和管理管理员角色。

业务角色

IT 角色

应用程序

资产

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常，业务角色表示用户的工作职责。例如，在一个金融机构中，业务角色可能对应于各个工作职责，如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。

IT 角色、应用程序和资产将资源权利划分为不同的组。要为最终用户提供资源访问权限，请将 IT 角色、应用程序和资产分配给业务角色，以使用户在工作时能够访问所需的资源。IT 角色包含一组特定的应用程序、资产和/或资源，其中包括这些分配的资源的特定权利。IT 角色也可以包含其他 IT 角色。


注	Identity Manager 8.0 版中引入了角色类型的概念。如果组织从早期版本的 Identity Manager 升级到 8.0 版，则会将传统角色作为 IT 角色导入。有关详细信息，请参见管理在 8.0 之前的版本中创建的角色。

必需角色将始终分配给最终用户。

条件角色具有一定的条件，其计算值必须为 true 才能分配该角色。

可以单独请求可选角色；在得到批准后，便会将其分配给最终用户。

通过使用必需、条件和可选角色，业务角色设计者可以针对包含的角色定义粗粒度的访问以使用户遵守相关的规定；同时仍为最终用户管理员提供了一定的灵活性，以微调最终用户的访问权限。对于分配了条件或可选角色的用户，仍然可以为其分配相同的业务角色，但为其分配的访问权限是不同的。通过采用这种方法，无需为组织中的每种访问要求变化形式都定义新的业务角色（此问题称为角色爆炸）。

运用角色类型

下面介绍了如何有效地使用角色类型。有关角色类型描述，请参见上一节。

管理在 8.0 之前的版本中创建的角色

从早期版本的 Identity Manager 升级到 8.0 版的组织会自动将其传统角色转换为 IT 角色。这些 IT 角色仍将直接分配给用户。在升级过程中，不会为传统角色分配角色所有者。不过，以后可以分配角色所有者。（有关角色所有者的信息，请参见更多...。）

默认情况下，升级到 8.0 版的组织可以直接将 IT 角色和业务角色分配给用户（请参见图 4-2）。

如果组织具有传统角色，则应该考虑按照下一节中简要介绍的原则创建新角色。

使用角色类型设计灵活的角色

IT 角色、应用程序和资产是角色设计者的基本构件。可以结合使用这三种角色类型来设置用户权利（即，访问权限）。然后可将 IT 角色、应用程序和资产分配给业务角色。

设计业务角色

在 Identity Manager 中，可以为用户分配一个或多个角色，也可以不分配角色。随着在 Identity Manager 8.0 中引入角色类型概念，建议您仅将业务角色直接分配给用户。事实上，默认情况下，无法将任何其他角色类型直接分配给用户，除非组织安装了 8.0 之前版本的 Identity Manager 并将其至少升级到 8.0 版。可通过修改角色配置对象来更改这种默认限制（更多...）。

为降低复杂性，无法对业务角色进行嵌套，即，一个业务角色不能包含另一个业务角色。另外，业务角色不能直接包含资源和资源组。而应将资源和资源组分配给 IT 角色或应用程序，然后再将这些角色分配给一个或多个业务角色。

设计 IT 角色

IT 角色可以包含应用程序和资产以及其他 IT 角色。IT 角色还可以包含资源和资源组。

IT 角色一般是由组织的 IT 人员或资源所有者（了解启用资源中特定权限所需的权利）创建和管理的。

设计应用程序和资产

应用程序和资产角色类型用于表示常用业务术语，以描述最终用户工作时需要具备的条件。例如，可以将应用程序角色命名为“客户支持工具”或“内部网 HR 工具管理员”。

应用程序不能包含角色，但可以包含资源和资源组。应用程序还可以定义特定的权利，以仅限访问包含的资源上的特定应用程序。

资产（通常）是需要手动置备的非连接资源或非数字资源，例如移动电话和便携式计算机。因此，资产不能包含角色、资源或资源组。

角色类型总览


注	应该为角色管理员分配下面的一种或多种权能：资产管理员应用程序管理员业务角色管理员 IT 角色管理员有关详细信息，请参见分配权能。

图 4-1 显示了可以为四种角色类型中的每种角色类型分配的角色类型、资源和资源组。该图还显示了可以为所有四种角色类型分配的角色类型排除。（更多... 中介绍了角色排除。）

可选、条件和必需包含角色（更多...）提供了额外的灵活性。灵活的角色定义可以减少组织需要管理的角色总数。

图 4-2 显示了从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版时可以将业务角色和 IT 角色直接分配给用户。在升级时，将传统角色转换为 IT 角色，并将 IT 角色直接分配给用户以保持向后兼容性。如果 Identity Manager 不是从 8.0 之前版本升级的，则只能将业务角色直接分配给用户。

创建角色

当您创建或编辑角色时，Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中，并允许您在创建或保存该角色前插入批准或其他操作。

填写“创建角色”表单

在管理员界面中，单击主菜单中的角色。

将打开“角色”页（“列出角色”选项卡）。

单击页面底部的新建。

将打开“创建 IT 角色”页。要创建另一种类型的角色，请使用类型下拉菜单。

填写标识选项卡上的表单字段。

图 4-3 显示了标识选项卡。

填写资源选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配资源和资源组。

有关在角色上设置扩展属性值的帮助，请参见编辑分配的资源属性值。

图 4-4 显示了资源选项卡。

填写角色选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配角色和角色排除。

图 4-6 显示了角色选项卡。

填写安全选项卡上的表单字段。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及指定角色所有者和角色批准者和指定通知。

图 4-7 显示了安全选项卡。

单击页面底部的保存。

输入角色的名称和描述

在“创建角色”表单的标识选项卡中，可以输入角色的名称和描述。如果要创建新角色，请使用类型下拉菜单选择要创建的角色类型。

图 4-3 显示了“创建角色”表单的标识选项卡。有关使用此表单的帮助，请参见联机帮助。

分配资源和资源组

可以使用“创建角色”表单的资源选项卡，将资源和资源组直接分配给 IT 角色和应用程序角色。本章后面的更多... 中介绍了资源。资源组一节中介绍了资源组。

无法将资源和资源组直接分配给业务角色，因为只能将角色分配给业务角色。

无法将资源和资源组分配给资产角色，因为资产角色是为需要手动置备的非连接资源或非数字资源保留的。

此过程介绍了在填写“创建角色”表单时如何将资源和资源组分配给角色。要开始，请参见填写“创建角色”表单。

在“创建角色”页中单击资源选项卡。

要分配资源，请在可用资源列中将其选中，然后单击箭头按钮以将其移到当前资源列中。

如果要分配多个资源，您可以指定更新这些资源的顺序：选中按顺序更新资源复选框，然后使用 + 和 - 按钮更改当前资源列中的资源顺序。

要将资源组分配给此角色，请在可用资源组列中将其选中，然后单击箭头按钮以将其移到当前资源组列中。资源组是一个资源集合，它提供了另外一种方法来指定创建和更新资源帐户的顺序。

要针对每种资源为此角色指定帐户属性，请在分配的资源部分中单击设置属性值。有关详细信息，请参见编辑分配的资源属性值。

单击保存以保存角色，或者单击标识、角色或安全选项卡以继续执行角色创建过程。

编辑分配的资源属性值

可以使用分配的资源表来设置或修改分配给角色的资源上的资源属性值。资源可以针对每个角色定义不同的属性值。单击设置属性值按钮将打开“资源帐户属性”页。

在此页中，可以为每个属性指定新值，并确定如何设置属性值。Identity Manager 允许直接设置值，或使用一个规则来设置值；它还提供了一些用于覆盖或合并现有值的选项。

值覆盖 - 选择以下选项之一：

无 - 默认选项。不设置任何值。

规则 - 使用规则设置值。如果选择此选项，则必须从列表中选择规则名称。

文本 - 使用指定的文本设置值。如果选择此选项，则必须在旁边的文本字段中输入文本。

设置方法 - 选择以下选项之一：

默认值 - 将规则或文本作为默认属性值。用户可更改或覆盖此值。

设置成值 - 将属性值设置为规则或文本指定的值。设置该值将覆盖所有用户更改。

与值合并 - 合并当前属性值与规则或文本指定的值。

与值合并，清除现有值 - 删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。

从值中删除 - 从属性值中删除规则或文本指定的值。

授权设置值 - 将属性值设置为规则或文本指定的值。设置该值将覆盖所有用户更改。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。

授权与值合并 - 合并当前属性值与规则或文本指定的值。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。

对于多值属性，必须编辑系统信息库中的角色对象，以指明它包含一个逗号分隔值 (Comma-separated Value, CSV) 字符串；例如：

授权与值合并，清除现有 - 删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。如果删除角色，则即使该属性先前具有相应值，仍会清除此角色指定的属性值。

规则名称 - 如果在“值覆盖”区域选择“规则”，则需要从列表中选择规则。

文本 - 如果在“值覆盖”区域选择“文本”，则需要输入要添加至属性值、从属性值删除或用作属性值的文本。

单击确定可保存所做的更改并返回“创建角色”或“编辑角色”页。

图 4-5 显示了“资源帐户属性”页，它用于在分配给角色的资源上设置扩展资源属性值。

分配角色和角色排除

可以使用“创建角色”表单的角色选项卡，将角色分配给业务角色和 IT 角色。应该将分配的角色添加到包含的角色表中。

无法将角色分配给应用程序角色和资产角色。

无法将业务角色分配给任何角色类型。

可以使用“创建角色”表单的角色选项卡，将角色排除分配给所有四种角色类型。如果将具有角色排除的角色分配给用户，则无法将排除的角色分配给用户。应该将角色排除添加到角色排除表中。

此过程介绍了在填写“创建角色”表单时如何将一个或多个角色分配给某个角色。要开始，请参见填写“创建角色”表单。

在“创建角色”页中单击角色选项卡。

在包含的角色部分中单击添加。

将刷新该选项卡并显示查找要包含的角色表单。

搜索将要分配给此角色的角色。请先从任何必需角色入手。（将随后添加条件和可选角色。）

有关使用搜索表单的帮助，请参见更多...。无法将业务角色嵌套在其他角色类型中，也无法将其分配给其他角色类型。

使用复选框选择一个或多个要分配的角色，然后单击添加。

将刷新该选项卡并显示添加包含的角色表单。

根据需要，从关联类型下拉菜单中选择必需、条件或可选。

单击确定。

重复前面的四个步骤，以添加条件角色（如果需要）。再次重复前面的四个步骤，以添加可选角色（如果需要）。

单击保存以保存角色，或者单击标识、资源或安全选项卡以继续执行角色创建过程。

图 4-6 显示了“创建角色”表单的角色选项卡。有关使用此表单的帮助，请参见联机帮助。

指定角色所有者和角色批准者

角色具有指定的所有者和批准者。仅角色所有者能够授权对定义角色的参数进行更改，仅角色批准者能够授权将角色分配给最终用户。

成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改，角色所有者必须在执行更改之前对其进行批准。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。不过，如果在“角色配置”对象中禁用了更改批准，则不需要得到角色所有者的批准即可执行更改。

除了批准角色更改以外，未经角色所有者批准也无法启用、禁用或删除角色。

可以将所有者和批准者直接添加到角色中，也可以使用角色分配规则动态地进行添加。在 Identity Manager 中，可以创建没有所有者和批准者的角色（但不建议这样做）。

所有者和批准者将添加到“创建角色”表单的“安全”选项卡上的角色中。


注	角色分配规则的 authType 为 RoleUserRule。如果需要创建自定义角色分配规则，请参考三个默认角色分配规则对象并将它们用作示例：角色批准者角色通知角色所有者

图 4-7 显示了“创建角色”表单的安全选项卡。有关使用此表单的帮助，请参见联机帮助。

指定通知

在将角色分配给用户时，可以向一个或多个管理员发送通知。

可以选择是否指定通知收件人。如果决定在将角色分配给用户时不需要批准，您可以选择通知管理员。或者，您可以指定一个管理员作为批准者，并指定另一个管理员作为进行批准时的通知收件人。

与所有者和批准者一样，可以将通知直接添加到角色中，也可以使用角色分配规则动态地进行添加。在将角色分配给用户时，可以通过电子邮件向通知收件人发出通知。但不会创建工作项目，因为不需要进行批准。

通知将分配给“创建角色”表单的“安全”选项卡上的角色。图 4-7 显示了“创建角色”表单的安全选项卡。

启动更改批准工作项目和批准工作项目

在对角色进行更改时，角色所有者可能会收到更改批准或更改通知电子邮件，也可能没有收到任何电子邮件。在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。

默认情况下，只要更改了角色所有者拥有的角色，就会向其发送更改批准电子邮件。不过，可以针对每种角色类型对这种行为进行配置。例如，您可以选择为业务角色和 IT 角色启用更改批准，而为应用程序和资产角色启用更改通知。

如果启用了更改批准，在管理员更改角色时，将会生成一个工作项目并向角色所有者发送批准电子邮件。角色所有者必须批准该工作项目才能进行更改。可以委托更改批准工作项目。有关详细信息，请参见批准。

如果禁用了更改批准，则不会生成工作项目，也不会向角色所有者发送更改批准电子邮件。

如果启用了更改通知，则在管理员更改角色时，将会立即进行更改并向角色所有者发送通知电子邮件。

在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。无法在 Identity Manager 中禁用角色批准电子邮件。

在为用户分配角色时，将会生成一个工作项目并向角色批准者发送批准电子邮件。角色批准者必须批准该工作项目才能将角色分配给用户。

可以委托更改批准工作项目和批准工作项目。有关委托工作项目的详细信息，请参见委托工作项目。

编辑和管理角色

可以使用查找角色和列出角色子选项卡执行大多数角色编辑和角色管理任务，这些选项卡位于主菜单的角色选项卡下面。

搜索角色

通过使用“查找角色”选项卡，您可以基于各种不同的条件（如角色所有者和批准者、分配的帐户类型以及包含的角色等）搜索角色。

在管理员界面中，单击角色选项卡。

将打开列出角色选项卡。

单击查找角色次级选项卡。

图 4-8 显示了查找角色选项卡。有关使用此表单的帮助，请参见联机帮助。

图 4-8 “查找角色”选项卡
“查找角色”选项卡的屏幕捕获。

可以使用下拉菜单来定义搜索参数。单击添加行按钮可添加其他参数。

查看角色

可以使用“列出角色”选项卡来查看角色。可以使用“列出角色”页顶部的过滤器字段按名称或角色类型查找角色。过滤不区分大小写。

在管理员界面中，单击角色选项卡。

将打开列出角色选项卡。

图 4-9 显示了列出角色选项卡。有关使用此表单的帮助，请参见联机帮助。

编辑角色

可以使用列出角色或查找角色选项卡搜索要编辑的角色。如果对角色进行更改并将更改批准设置为 true，则必须在角色所有者批准更改之后才能执行更改。

按照更多... 或更多... 中的说明，搜索要编辑的角色。

单击要编辑的角色的名称。

将打开“编辑角色”页。

根据需要，编辑该角色。有关填写标识、资源、角色和安全选项卡的帮助，请参阅更多... 的填写“创建角色”表单一节中的步骤。

单击保存。将打开“确认角色更改”页。

如果将此角色分配给用户，则可以选择何时使用角色更改更新用户。有关详细信息，请参见更新分配给用户的角色。

单击保存以保存更改。

克隆角色

按照更多... 或更多... 中的说明，搜索要编辑的角色。

单击要克隆的角色的名称。

将打开“编辑角色”页。

在名称字段中输入新名称，然后单击保存。

将打开角色：创建还是重命名？页。

单击创建以复制角色。

将角色分配给角色

如果得到父角色的角色所有者批准，Identity Manager 将更改角色的角色分配。

搜索将向其分配一个或多个包含的角色的业务角色或 IT 角色。（只能将角色分配给业务角色和 IT 角色。）请按照更多... 或更多... 中的说明搜索角色。

单击以打开业务角色或 IT 角色。

将打开“编辑角色”页。

在“编辑角色”页中单击角色选项卡。

在包含的角色部分中单击添加。

将刷新该选项卡并显示查找要包含的角色表单。

搜索将要分配给此角色的角色。请先从任何必需角色入手。（将随后添加条件和可选角色。）

有关使用搜索表单的帮助，请参见更多...。无法将业务角色嵌套在其他角色类型中，也无法将其分配给其他角色类型。

使用复选框选择一个或多个要分配的角色，然后单击添加。

将刷新该选项卡并显示添加包含的角色表单。

根据需要，从关联类型下拉菜单中选择必需、条件或可选。

单击确定。

重复前面的四个步骤，以添加条件角色（如果需要）。再次重复前面的四个步骤，以添加可选角色（如果需要）。

单击保存以打开“确认角色更改”页。

将打开“确认角色更改”页。

在更新分配的用户部分中，选择一个更新分配的用户菜单选项。有关详细信息，请参见更新分配给用户的角色。

单击保存以保存角色分配。

从角色中删除角色

如果得到父角色的角色所有者批准，Identity Manager 将从另一个角色中删除包含的角色。当用户收到角色更新时，将从用户中删除已删除的角色。（有关详细信息，请参见更新分配给用户的角色。）在删除角色后，用户将失去角色所赋予的权利。

有关如何删除分配给一个或多个用户的角色的信息，请参见删除分配给用户的角色。

有关禁用角色的信息，请参见启用和禁用角色。

有关从 Identity Manager 中删除角色的信息，请参见删除角色。

搜索要从中删除角色的业务角色或 IT 角色。请按照更多... 或更多... 中的说明搜索角色。

单击以打开该角色。

将打开“编辑角色”页。

在“编辑角色”页中单击角色选项卡。

在包含的角色部分中，选中要删除的角色旁边的复选框，然后单击删除。选中多个复选框可删除多个角色。

将更新该表以显示其余的包含角色。

单击保存。

将打开“确认角色更改”页。

在更新分配的用户部分中，选择一个更新分配的用户菜单选项。有关详细信息，请参见更新分配给用户的角色。

单击保存以完成更改。

启用和禁用角色

可以在列出角色选项卡上启用和禁用角色。角色状态将显示在状态列中。单击状态列标题可按角色状态对该表进行排序。

已禁用的角色不会显示在“创建/编辑用户”表单的角色选项卡中，并且不能直接分配给用户。可以将包含已禁用角色的角色分配给用户，但无法分配已禁用的角色。

如果以后禁用了为用户分配的角色，用户并不会失去其权利。角色禁用仅阻止将来的角色分配。

在启用或禁用分配了用户的角色时，Identity Manager 将提示您更新这些用户。有关详细信息，请参见更新分配给用户的角色。

按照更多... 或更多... 中的说明，搜索要启用或禁用的角色。

单击需要启用或禁用的角色旁边的复选框。

单击“角色”表底部的启用或禁用。

将打开启用角色或禁用角色确认页。

单击确定以启用或禁用该角色。

删除角色

有关删除分配给另一个角色的角色的信息，请参见从角色中删除角色。

有关如何删除分配给一个或多个用户的角色的信息，请参见删除分配给用户的角色。

如果删除当前分配给用户的角色，当您尝试保存该角色时，Identity Manager 将阻止删除操作。必须取消分配（或重新分配）分配给角色的所有用户，然后 Identity Manager 才能删除该角色。还必须从任何其他角色中删除该角色。

Identity Manager 需要得到角色所有者的批准，然后才能删除角色。

按照更多... 或更多... 中的说明，搜索要删除的角色。

选中要删除的每个角色旁边的复选框。

单击删除。

将显示“删除角色”确认页。

单击确定以删除角色。

将资源或资源组分配给角色

什么是角色？和运用角色类型中介绍了 Identity Manager 的资源和资源组分配要求。在将资源分配给角色之前，您应该了解此信息。

如果得到角色所有者批准，Identity Manager 将更改角色的资源和资源组分配。

搜索要向其添加资源或资源组的 IT 角色或应用程序。有关如何搜索角色的说明，请参见更多... 或更多...。

单击以打开该角色。

在“编辑角色”页中单击资源选项卡。

要分配资源，请在可用资源列中将其选中，然后单击箭头按钮以将其移到当前资源列中。

如果要分配多个资源，您可以指定更新这些资源的顺序：选中按顺序更新资源复选框，然后使用 + 和 - 按钮更改当前资源列中的资源顺序。

要针对每种资源为此角色指定帐户属性，请在分配的资源部分中单击设置属性值。有关详细信息，请参见编辑分配的资源属性值。

单击保存以打开“确认角色更改”页。

将打开“确认角色更改”页。

在更新分配的用户部分中，选择一个更新分配的用户菜单选项。有关详细信息，请参见更新分配给用户的角色。

单击保存以保存资源分配。

从角色中删除资源或资源组

如果得到角色所有者批准，Identity Manager 将从角色中删除资源或资源组。当用户收到角色更新时，将从用户中删除已删除的资源。（有关详细信息，请参见更新分配给用户的角色。）在删除资源时，用户将失去该资源的权利，除非还将该资源直接分配给用户。

搜索要从中删除资源或资源组的 IT 角色或应用程序。请按照更多... 或更多... 中的说明搜索角色。

单击以打开该角色。

将打开“编辑角色”页。

在“编辑角色”页中单击资源选项卡。

要删除资源，请在当前资源列中将其选中，然后单击箭头按钮以将其移到可用资源列中。

要删除资源组，请在当前资源组列中将其选中，然后单击箭头按钮以将其移到可用资源组列中。

单击保存。

将打开“确认角色更改”页。

在更新分配的用户部分中，选择一个更新分配的用户菜单选项。有关详细信息，请参见更新分配给用户的角色。

单击保存以完成更改。

管理用户角色分配

将角色分配给用户

最终用户也可以为其自己请求分配角色。（只能请求已将父角色分配给用户的可选角色。）有关最终用户可以如何请求可用角色的信息，请参见Identity Manager 最终用户界面一节中的请求。

在管理员界面中，单击帐户选项卡。

将打开列出帐户子选项卡。

要将角色分配给现有用户，请执行以下步骤：

单击用户列表中的用户名称。

单击角色选项卡。

单击添加，将一个或多个角色添加到用户帐户中。

默认情况下，只能将业务角色直接分配给用户。（如果 Identity Manager 安装是从 8.0 之前版本升级的，则可以将业务角色和 IT 角色直接分配给用户。）

在角色表中，选择要分配给用户的角色，然后单击确定。

要按名称、类型或描述的字母顺序对该表进行排序，请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表，请从当前下拉菜单中进行选择。

将更新该表以显示选定的角色分配以及与父角色分配有关的任何必需角色分配。

单击添加，以查看也可以分配给用户的可选角色分配。

选择要分配给用户的可选角色，然后单击确定。

（可选）在激活日期列中，选择使角色变为活动状态的日期。如果没有指定日期，在指定的角色所有者批准角色分配时，角色分配将立即变为活动状态。

要使角色分配转变为临时状态，请在取消激活日期列中选择使角色变为非活动状态的日期。角色取消激活将在选定日期开始生效。

有关详细信息，请参见在特定日期激活和取消激活角色。

单击保存。

在特定日期激活和取消激活角色

在将角色分配给用户时，您可以指定激活日期和取消激活日期。在进行分配时，将创建角色分配工作项目请求。不过，如果在预定激活日期之前没有批准角色分配，则不会分配该角色。角色激活和取消激活将在预定日期午夜稍后的时间（凌晨 0:01）进行。

默认情况下，仅业务角色可以具有激活和取消激活日期。所有其他角色类型继承直接分配给用户的业务角色的激活日期和取消激活日期。可以将 Identity Manager 配置为允许其他角色类型具有可直接分配的激活和取消激活日期。有关说明，请参见更多...。

计划延迟任务扫描程序任务

延迟任务扫描程序扫描用户角色分配，并根据需要激活和取消激活角色。默认情况下，延迟任务扫描程序任务每小时运行一次。

在管理员界面中，单击服务器任务。

单击次级菜单中的管理进度表。

在可调度的任务部分中，单击延迟任务扫描程序 TaskDefinition。

将打开“创建新的延迟任务扫描程序任务进度表”页。

填写表单。有关帮助，请参阅 i-Helps 和联机帮助。

要定义应运行任务的日期和时间，请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如，要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务，请键入 09/29/2008 19:00:00。

在结果选项下拉菜单中，选择重命名。如果选择等待，直到删除以前的结果时，才会运行该任务的以后实例。有关各种结果选项设置的详细信息，请参见联机帮助。

单击保存以保存该任务。

更新分配给用户的角色

在编辑分配给用户的角色时，您可以选择使用新角色更改立即更新用户，或者将更新推迟到在预定维护时段运行。

在对角色进行更改时，将打开“确认角色更改”页。更多... 的图 4-11 中显示了“确认角色更改”页。

该页的更新分配的用户部分显示了当前分配了该角色的用户数。

使用更新分配的用户菜单可选择是使用新角色更改立即更新用户（更新），将用户更新推迟到以后的某个时间进行（不更新），还是选择自定义的预定更新任务。

由于更新会立即更新用户，如果这会影响到很多用户，则应该避免选择该选项。用户更新可能需要花费很多时间并占用大量资源。如果需要更新很多用户，最好将更新安排在非峰值时间进行。

如果为角色选择了不更新，则直到管理员查看用户的用户配置文件或者“更新角色用户”任务更新用户时，分配给该角色的用户才会收到角色更新。有关计划更新角色用户任务的信息，请参见下一节。

如果创建了更新角色用户任务进度表，则可以从菜单中选择该进度表。选定的更新角色用户任务将根据为该任务定义的进度表更新分配给该角色的用户。有关详细信息，请参见下一节。

图 4-11 显示了“确认角色更改”页。更新分配的用户部分显示了当前分配了该角色的用户数。更新分配的用户下拉菜单包含两个默认选项：不更新和更新。也可以从预定更新角色用户任务列表中进行选择。有关创建预定更新角色用户任务的说明，请参见计划更新角色用户任务。

手动更新分配的用户

可通过选择一个或多个角色并单击更新分配的用户按钮，更新分配给角色的用户。此过程为指定角色运行更新角色用户任务实例。

按照更多... 或更多... 中的说明，搜索应更新为其分配的用户的角色。

使用复选框选择角色。

单击更新分配的用户。

将显示“更新为角色分配的用户”页（图 4-12）。

单击启动以开始进行更新。

单击主菜单中的服务器任务，然后单击次级菜单中的所有任务以检查更新角色用户任务的状态。

图 4-12 “更新为角色分配的用户”页

计划更新角色用户任务

要使用未完成的角色更改更新用户，请使用以下步骤计划更新角色用户任务：

在管理员界面中，单击服务器任务。

单击次级菜单中的管理进度表。

在可调度的任务部分中，单击更新角色用户 TaskDefinition。

将打开“创建新的更新角色用户任务进度表”页；如果编辑现有任务，则会打开“编辑任务进度表”页（图 4-13）。

填写表单。有关帮助，请参阅 i-Helps 和联机帮助。

单击保存以保存该任务。

图 4-13 显示了更新角色用户任务的预定任务表单。可以将特定角色分配给特定的更新角色用户任务（如任务参数一节中所示）。有关详细信息，请参见更新分配给用户的角色。

查找分配给角色的用户

在管理员界面中，单击帐户。

单击次级菜单中的查找用户。将打开“查找用户”页。

找到搜索类型用户被分配了 [选择角色类型...] 角色。

选择选项框，然后使用选择角色类型... 下拉菜单过滤可用角色列表。

将打开第二个角色菜单。

选择一个角色。

清除其他搜索类型复选框，除非您要进一步缩小搜索范围。

单击搜索。

图 4-14 使用“查找用户”页搜索分配了角色的用户
“查找用户”屏幕的屏幕捕获。选定的搜索类型将显示为“用户被分配了业务角色公司副总裁角色”。在第一个菜单中选择了“业务角色”，而在第二个菜单中选择了“公司副总裁”。

删除分配给用户的角色

通过使用“编辑用户”页，可以从用户帐户中删除一个或多个角色。只能删除直接分配的角色。在删除父角色时，将会删除间接分配的角色（即条件和/或必需包含角色）。另一种从用户中删除间接分配的角色的方法是，从父角色中删除角色（请参见从角色中删除角色）。

在管理员界面中，单击帐户选项卡。

将打开列出帐户子选项卡。

单击要从中删除角色的用户。

将打开“编辑用户”页。

单击角色选项卡。

在角色表中，选择要从用户中删除的角色，然后单击确定。

要按名称、类型、激活日期、取消激活日期、分配者或状态的字母顺序对该表进行排序，请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表，请从当前下拉菜单中进行选择。

该表将显示父角色分配（可以选择这些角色）以及与父角色分配有关的任何角色分配（无法选择这些角色）。

单击删除。

将更新分配的角色表以显示其余的分配角色。

单击保存。

将打开“更新资源帐户”页。取消选择不希望删除的任何资源帐户。

单击保存以保存更改。

配置角色类型

将角色类型配置为可直接分配给用户

默认情况下，只能将某些角色类型直接分配给用户。要更改这些设置，请执行以下步骤。


注	建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息，请参见使用角色类型设计灵活的角色。

使用编辑 Identity Manager 配置对象中的步骤，打开角色配置对象以进行编辑。

找到与要编辑的角色类型对应的角色对象。

要编辑 IT 角色，请找到 Object name='ITRole'

要编辑应用程序角色，请找到 Object name='ApplicationRole'

要编辑资产角色，请找到 Object name='AssetRole'

根据要更新配置的方式，选择一组相应的指令：

要修改角色类型以使其能直接分配给用户，请在角色对象中找到以下 userAssignment 属性：

将其替换为以下内容：

要修改角色类型以使其不能直接分配给用户，请在角色对象中找到 userAssignment 属性并删除 manual 属性，如下所示：

保存角色配置对象。无需重新启动应用服务器即可使更改生效。

使角色类型具有可分配的激活日期和取消激活日期

默认情况下，仅业务角色可以具有激活日期和取消激活日期，可以在分配角色时指定这些日期。所有其他角色继承直接分配给用户的业务角色的激活日期/取消激活日期。

如果选择允许将其他角色类型直接分配给用户（例如，IT 角色类型），您可能还希望能够为该角色类型分配激活和取消激活日期。


注	建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息，请参见使用角色类型设计灵活的角色。

要更改具有可分配的激活日期和取消激活日期的角色类型，请执行以下步骤：

使用编辑 Identity Manager 配置对象中的步骤，打开角色配置对象以进行编辑。

找到与要编辑的角色类型对应的角色对象。

要编辑业务角色，请找到 Object name='BusinessRole'

要编辑 IT 角色，请找到 Object name='ITRole'

要编辑应用程序角色，请找到 Object name='ApplicationRole'

要编辑资产角色，请找到 Object name='AssetRole'

根据要更新配置的方式，选择一组相应的指令：

要修改角色类型以使其具有可直接分配的激活日期和取消激活日期，请在角色对象中找到以下 userAssignment 属性：

将其替换为以下内容：

要修改角色类型以使其不能具有可直接分配的激活日期和取消激活日期，请在角色对象中找到 userAssignment 属性并删除 activateDate 和 deactivateDate 属性，如下所示：

保存角色配置对象。无需重新启动应用服务器即可使更改生效。

启用和禁用更改批准工作项目和更改通知工作项目

默认情况下，将为所有角色类型启用更改批准工作项目。这意味着，每次更改角色（无论是业务角色、IT 角色、应用程序还是资产）时，如果角色具有所有者，则必须得到所有者批准才能进行更改。

要为角色类型启用或禁用更改批准工作项目和更改通知工作项目，请执行以下步骤：

使用编辑 Identity Manager 配置对象中的步骤，打开角色配置对象以进行编辑。

找到与要编辑的角色类型对应的角色对象。

要编辑业务角色，请找到 Object name='BusinessRole'

要编辑 IT 角色，请找到 Object name='ITRole'

要编辑应用程序角色，请找到 Object name='ApplicationRole'

要编辑资产角色，请找到 Object name='AssetRole'

找到位于 <Object> 元素（位于 <Attribute name=說eatures?gt; 元素中）中的以下属性：

根据需要，将属性值设置为 true 或 false。

根据需要重复步骤 2-4 以配置其他角色类型。

保存角色配置对象。无需重新启动应用服务器即可使更改生效。

配置“角色列表页”将加载的最大行数

管理员界面中的“列出角色页”可以显示一定数量的行，您可以配置显示的最大行数。默认行数为 500 行。可以使用本节中的步骤更改该数字。

要更改“列出角色页”可以显示的最大行数，请执行以下步骤：

使用编辑 Identity Manager 配置对象中的步骤，打开角色配置对象以进行编辑。

找到以下属性并更改属性值：

保存角色配置对象。无需重新启动应用服务器即可使更改生效。

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下，同步时资源被分配给角色。这适用于使用同步任务创建的角色以及与某个资源角色名匹配的现有 Identity Manager 角色。

要将 Identity Manager 角色与资源角色进行同步，请执行以下步骤：

在管理员界面中，单击主菜单中的服务器任务。

单击运行任务。将打开“可用任务”页。

单击使 Identity System 角色与资源角色同步任务。

填写表单。有关详细信息，请单击帮助。

单击启动。

了解和管理资源

什么是资源？

Identity Manager 资源存储关于如何连接到在其中创建帐户的资源或系统的信息。Identity Manager 资源定义有关某个资源的相关属性，并帮助指定资源信息如何在 Identity Manager 中显示。

主机安全管理器

数据库

目录服务

操作系统

企业资源计划 (Enterprise Resource Planning, ERP) 系统

消息平台

界面中的资源区域

资源列表中的资源是按类型进行分组的。每种资源类型由一个文件夹图标表示。要查看当前定义的资源，请单击文件夹旁边的指示符。再次单击指示符可折叠视图。

当展开资源类型文件夹后，它会动态更新并显示包含的资源对象数量（如果它是支持多个组的资源类型）。

组织

组织单位

组

角色

从资源列表中选择一个对象，然后从以下某个选项列表中进行选择，以启动一个管理任务：

资源操作 - 用于对资源执行一系列操作，包括编辑、活动同步、重命名和删除；还可以使用资源对象和管理资源连接。

资源对象操作 - 编辑、创建、删除、重命名、另存和查找资源对象。

资源类型操作 - 编辑资源策略、使用帐户索引和配置受管理的资源。

当您创建或编辑资源时，Identity Manager 会启动 ManageResource 工作流。此工作流将新建资源或更新的资源保存在信息库中，并允许您在创建或保存该资源前插入批准或其他操作。

管理资源列表

在创建新的资源之前，必须指示 Identity Manager 您希望能够管理哪些资源类型。要启用资源并创建自定义资源，请使用“配置受管理的资源”页。

打开“配置受管理的资源”页

登录到管理员界面，然后单击资源选项卡。

找到资源类型操作下拉列表，然后选择配置受管理的资源。

将打开“配置受管理的资源”页。

资源 - 此部分列出了大型企业环境中的常见资源类型。版本列中列出了连接到资源的 Identity Manager 适配器版本。

自定义资源 - 此部分用于将自定义资源添加到资源列表中。

启用资源类型

应该已打开“配置受管理的资源”页。如果未打开，请将其打开（更多...）。

在资源部分中，选中要启用的资源类型的受管理？列中的框。

要启用所有列出的资源类型，请选择管理所有资源。

单击页面底部的保存。

该资源将添加到资源列表中。

添加自定义资源

应该已打开“配置受管理的资源”页。如果未打开，请将其打开（更多...）。

在自定义资源部分中单击添加自定义资源，以便在表中添加一行。

输入资源的资源类路径或输入您自定义创建的资源。有关随 Identity Manager 提供的适配器，请参见 Identity Manager 资源参考以了解完整的类路径。

单击保存将资源添加到“资源”列表。

创建资源

在启用资源类型后，您可以随后在 Identity Manager 中创建该资源的实例。要创建资源，请使用资源向导。资源向导将指导您完成设置以下项的过程：

特定于资源的参数 - 创建此资源类型的具体实例时，可以从 Identity Manager 界面修改这些值。

帐户属性 - 在资源的模式映射中定义。这些值确定 Identity Manager 用户属性如何与资源上的属性映射。

帐户 DN 或身份模板 - 包括用户的帐户名称语法，它对分层名称空间尤其重要。

Identity Manager 的资源参数 - 设置策略、建立资源批准者，并设置组织对资源的访问权限。

使用资源向导创建资源

资源向导将指导您完成配置 Identity Manager 资源适配器的过程，以管理资源上的对象。

登录到管理员界面。

单击资源选项卡。确保选中了列出资源子选项卡。

找到资源类型操作下拉列表，然后选择新建资源。

将打开“新建资源”页。

从下拉列表中选择一种资源类型。（如果没有列出要查找的资源类型，您需要将其启用。请参见管理资源列表。）

单击新建以显示资源向导欢迎页。

单击下一步开始定义资源。“资源向导”步骤和页面按以下顺序显示：

资源参数 - 设置用于控制验证和资源适配器行为的特定于资源的参数。输入参数，然后单击测试连接，以确保连接有效。在确认连接有效后，单击下一步设置帐户属性。

图 4-15 显示了 Solaris 资源的“资源参数”页。对于不同的资源，该页上的表单字段也不相同。

帐户属性（模式映射） - 将 Identity Manager 帐户属性映射到资源帐户属性。有关资源帐户属性的详细信息，请参见使用帐户属性。

要添加属性，请单击添加属性。

要删除一个或多个属性，请选中属性旁边的框，然后单击删除选定的属性。

完成后，单击下一步以设置身份模板。

图 4-16 显示了“资源向导”中的“资源属性”页。

图 4-16 资源向导：帐户属性（模式映射）
模式映射将 Identity Manager 帐户属性映射到资源帐户属性。

身份模板 - 定义用户的帐户名称语法。此功能对分层结构的名称空间尤其重要。

要在模板中添加属性，请从插入属性列表中选择该属性。

要删除属性，请在字符串中突出显示该属性，然后按键盘上的 Delete 键。删除属性名称以及前导和后续的 $（美元符号）字符。

帐户类型 - Identity Manager 提供了将多个资源帐户分配给单个用户的功能。例如，用户可能需要特定资源上的管理员级别帐户以及普通用户帐户。要在该资源上支持多种帐户类型，请选中帐户类型复选框。

注：如果未创建子类型 IdentityRule 标识的一个或多个身份生成规则，则无法选中帐户类型复选框。由于 accountId 必须各不相同，因此，不同类型的帐户必须为给定用户生成不同的 accountId。身份生成规则指定了应如何创建这些唯一的 accountId。

sample/identityRules.xml 中提供了样例身份规则。

直到 Identity Manager 中的其他对象不再引用某种帐户类型时，才能删除该帐户类型。无法重命名帐户类型。

有关填写帐户类型表单的详细信息，请参见联机帮助。

有关为用户创建多个资源帐户的详细信息，请参见更多...。

图 4-17 资源向导：身份模板
“资源向导 - 身份模板”的屏幕捕获。可以使用下拉列表将属性添加到身份模板中。

Identity System 参数 - 为资源设置 Identity Manager 参数，包括重试和策略配置，如图 4-18 中所示。

图 4-18 资源向导：Identity System 参数
使用 Identity Manager 的“参数”页可以设置重试和策略配置以及 ActiveSync 配置。

使用下一页和上一页在页间移动。完成所有选择后，单击保存以保存该资源，并返回至列表页。

管理资源

查看资源列表

可以使用资源列表来查看现有资源。您可以使用资源列表命令对资源执行一系列编辑操作。

登录到管理员界面。

在主菜单中单击资源。

将在列出资源子选项卡上显示资源列表。

使用资源向导编辑资源

可以使用资源向导来编辑资源参数、帐户属性以及 Identity System 参数。也可以指定在此资源上创建的用户应使用的身份模板。

在 Identity Manager 管理员界面中，单击主菜单中的资源。

将在列出资源子选项卡上显示资源列表。

选择要编辑的资源。

在资源操作下拉菜单中，选择资源向导（在编辑下面）。

将在编辑模式下打开选定资源的资源向导。

使用资源列表命令选项编辑资源

除了编辑资源向导外，您还可以使用资源列表命令对资源执行一系列编辑操作：

删除资源 - 选择一个或多个资源，然后从“资源操作”列表中选择“删除”。可以同时选择几种类型的资源。不能删除与任何角色或资源组相关的资源。

搜索资源对象 - 选择某个资源，然后从“资源对象操作”列表中选择“查找资源对象”，以便按对象特征查找资源对象（如组织、组织单位、组或个人）。

管理资源对象 - 对于某些资源类型，可以创建新的对象。选择资源，然后从“资源对象操作”列表中选择“创建资源对象”。

重命名资源 - 选择某个资源，然后从“资源操作”列表中选择“重命名”。在出现的输入框中输入新的名称，然后单击重命名。

克隆资源 - 选择某个资源，然后从“资源操作”列表中选择“另存为”。在出现的输入框中输入新名称。克隆的资源以选择的名称显示在资源列表中。

对资源执行批量操作 - 指定一个资源列表和应用（从 CSV 格式的输入）到列表中所有资源的操作。然后启动批量操作以启动批量操作后台任务。

使用帐户属性

资源帐户属性（或模式映射）提供了一种抽象方法，以引用受管理资源上的属性。通过使用模式映射，您可以指定如何在 Identity Manager 中引用属性（在模式映射左侧）以及如何将该名称映射到实际资源上的属性名称（在模式映射右侧）。可随后在表单或工作流定义中引用 Identity Manager 属性名称，并有效地引用资源本身上的属性。

下面显示了 Identity Manager 中的属性与 LDAP 资源属性之间的映射示例：


Identity Manager 属性		LDAP 资源属性
firstname	<-->	givenName
lastname	<-->	sn

在对该资源执行操作时，对 Identity Manager 属性 firstname 的任何引用实际上是引用 LDAP 属性 givenName。

在 Identity Manager 中管理多个资源时，通过将通用 Identity Manager 帐户属性映射到多个资源属性，可以大大简化资源管理。例如，可以将 Identity Managerfullname 属性映射到 Active Directory 资源属性 displayName。同时，在 LDAP 资源上，可以将相同的 Identity Manager fullname 属性映射到 LDAP 属性 cn。这样，管理员只需要提供一次 fullname 值。在保存用户时，fullname 值将传递给具有不同属性名称的资源。

通过在资源向导的“帐户属性”页上建立模式映射，您可以执行以下操作：

为来自受管理的资源的属性定义属性名称和数据类型

将资源属性限制在公司或组织需要的范围内

创建与多个资源共用的公共 Identity Manager 属性名称

确定所需用户属性和属性类型

编辑资源帐户属性

在管理员界面中，单击资源。

选择要查看或编辑帐户属性的资源。

在资源操作列表中，单击编辑资源模式。

将打开“编辑资源帐户属性”页。

图 4-16 显示了“资源帐户属性”页。

模式映射左侧的列（标题为 Identity System 用户属性）包含 Identity Manager 帐户属性的名称，Identity Manager 管理员界面和用户界面中使用的表单将引用这些名称。模式映射右侧的列（标题为资源用户属性）包含来自外部来源的属性名称。

资源组

可以使用资源区域来管理资源组，以使您能够对资源进行分组，以便按特定顺序更新这些资源。通过在组中加入资源并对资源排序，然后将组分配给用户，可确定创建、更新和删除用户资源的顺序。

活动依次在每个资源上执行。如果某个操作在一个资源上失败，则其余资源不会被更新。这种关系类型对相关资源很重要。

例如，Exchange Server 2007 资源依赖于现有的 Windows Active Directory 帐户。该帐户必须存在，然后才能成功创建 Exchange 帐户。通过使用 Windows Active Directory 资源和 Exchange Server 2007 资源（按顺序）创建资源组，可以确保用户的创建顺序正确无误。反过来，此顺序可以确保删除用户时资源按正确顺序删除。

选择资源，然后选择列出资源组以显示当前定义的资源组列表。在该页单击新建以定义资源组。定义资源组时，有一个选项区域允许您在选择资源后对所选资源排序，并可以选择可以使用该资源组的组织。

全局资源策略

可以在资源的全局资源策略中编辑属性。在“编辑全局资源策略属性”页中，可以编辑以下策略属性：

默认捕获超时 - 输入一个值（以毫秒为单位），以指定在命令行提示之后适配器超时之前，适配器应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当命令或脚本的结果很重要且将由适配器解析时，将使用此设置。

默认等待超时 - 输入一个值（以毫秒为单位），以指定在执行检查以查看命令是否具有就绪字符（或结果）之前，脚本化适配器在两次轮询之间应等待的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。当适配器不检查命令或脚本的结果时，将使用此设置。

等待忽略大小写 - 输入一个值（以毫秒为单位），以指定适配器在超时之前应等待命令行提示的最长时间。该值仅适用于 GenericScriptResourceAdapter 或 ShellScriptSourceBase 适配器。不区分大小写（大写或小写）时，将使用此设置。

资源帐户密码策略 -（如果适用）选择要应用于选定资源的资源帐户密码策略。无是默认选项。

排除资源帐户规则 -（如果适用）选择管理排除资源帐户的规则。无是默认选项。

设置其他超时值

通过编辑 Waveset.properties 文件可以修改 maxWaitMilliseconds 属性。maxWaitMilliseconds 属性将控制监视操作超时的频率。如果未指定此值，则系统将使用默认值 50。

com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds。

批量资源操作

通过使用 CSV 格式的文件或通过创建或指定应用于操作的数据可以对资源执行批量操作。

用于批量资源操作的选项取决于为此操作选择的操作。可以指定应用于此操作的单个操作或选择从操作列表以指定多个操作。

操作 - 要指定单个操作，请选择以下选项之一：“创建”、“克隆”、“更新”、“删除”、“更改密码”和“重置密码”。

对于单个操作选项，系统将显示选项，可以使用这些选项指定与该操作有关的资源。对于“创建”操作，您需要指定资源类型。

如果指定“从操作列表”，请使用操作列表来源区域指定要使用的包含操作的文件或在输入区域中指定的操作。



注	在输入区域列表中或在文件中输入的操作必须为以逗号分隔值 (Comma-separated Value, CSV) 格式。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理