Especificación del ámbito de control (Guía del administrador de negocio de Sun Identity Manager 8.1)

Guía del administrador de negocio de Sun Identity Manager 8.1

Especificación del ámbito de control

El ámbito de control del rol de administración de usuarios del proveedor de servicios establece los usuarios del proveedor que puede ver un administrador de Identity Manager, un usuario final de Identity Manager o un usuario final del proveedor de servicios de Identity Manager. Se aplica cuando se realiza una petición para que aparezca la lista de usuarios de Service Provider en el directorio.

En el ámbito de control de roles de administración de usuarios de Service Provider, puede especificar una o varias configuraciones:

Contexto de búsqueda de usuarios. Especifique si se va a utilizar una regla o una cadena de texto para iniciar una búsqueda.

Si se especifica Ninguno, el contexto de búsqueda predeterminado será el contexto base establecido en el recurso de Identity Manager, configurado como directorio de usuarios de Service Provider.
Filtro de búsqueda de usuarios. Especifique si se va a aplicar una regla o una cadena de texto al filtro de búsqueda.

La cadena de texto especificada o devuelta por la regla seleccionada debe ser una cadena de filtro de búsqueda conforme a LDAP que represente el conjunto de usuarios, dentro del contexto de búsqueda, que controlarán los usuarios que tengan este rol de administrador asignado. El filtro indicado se combinará con el de búsqueda especificado por el usuario para garantizar que los usuarios que devuelve la búsqueda no incluyen aquéllos que los usuarios asignados a este rol de administrador no pueden enumerar.
Regla de filtro tras búsqueda de usuarios. Seleccione la regla que se aplicará después de utilizar el filtro de búsqueda de usuarios.

Esta regla se ejecuta después de realizar la búsqueda LDAP inicial en el directorio de usuarios de Service Provider y evalúa los resultados para determinar los nombres distinguidos (dn) a los que puede acceder el usuario solicitante.

Este tipo de regla se puede utilizar cuando es necesario determinar si un usuario debe encontrarse en el ámbito de control del usuario solicitante mediante atributos de usuario no LDAP (por ejemplo, pertenencia a un grupo) o cuando se utiliza un repositorio distinto del directorio de usuarios de Service Provider (por ejemplo, una base de datos Oracle o RACF) para elegir el filtro.