Identity Manager assure, par défaut, la délégation des obligations administratives par le biais du modèle d'autorisation basé sur les organisations.
Gardez à l'esprit les points suivants lorsque vous créez des administrateurs délégués dans un modèle d'autorisation basé sur les organisations :
Les administrateurs Service provider sont des utilisateurs Identity Manager ayant des capacités et des organisations contrôlées spécifiques.
Les valeurs des attributs d'organisation des utilisateurs peuvent être le nom de l'organisation Identity Manager ou l'ID de l'objet. Cela dépend du paramétrage du champ Le nom de l’attribut de l’organisation Identity Manager contient l’ID dans l'écran de configuration principale d'Identity Manager.
Vous pouvez créer une hiérarchie Identity Manager et y placer les organisations en reflétant la manière dont vous voulez en déléguer l'administration. Utilisez l'identification spécifique des organisations et non pas leur nom simple.
Les organisations des utilisateurs de Service Provider sont reprises des attributs utilisateur du serveur d'annuaire.
Vous devez définir les attributs dans la carte schématique pour la ressource serveur d'annuaire.
La comparaison des attributs se fait par correspondance exacte par rapport à la liste des organisations contrôlées d'un administrateur. La valeur stockée dans l'annuaire doit correspondre au nom de l'organisation, pas à l'ensemble de la hiérarchie. Si un administrateur contrôle Haut:orgA:sub1, la valeur sub1 doit être stockée dans l'attribut d'organisation pour l'utilisateur de Service Provider.
Si l'attribut n'est pas défini ou ne correspond pas à une organisation Identity Manager, l'utilisateur Service Provider est traité comme un membre de l'organisation Haut. Les administrateurs Service Provider doivent avoir les capacités utilisateur Service Provider dans Haut pour gérer ces utilisateurs.
Les paramètres d'attribut déterminent l'étendue des recherches effectuées par les administrateurs Service Provider.
Pour créer un compte administrateur délégué, vous devez d'abord créer un administrateur Identity Manager puis ajouter les capacités d'administrateur Service Provider. Il y a des capacités spécifiques aux tâches de Service Provider qui peuvent être assignées à l'utilisateur (sur l'onglet Sécurité de la page Éditer l’utilisateur). Les organisations contrôlées spécifient les utilisateurs Service Provider que l'administrateur peut modifier. Toutes les ressources disponibles pour les utilisateurs Service Provider le sont également pour les administrateurs Identity Manager.
Pour plus d'informations sur l'administration déléguée d'Identity Manager, voir Administration déléguée au Chapitre 6Administration