定义用户访问资源的权限

更广泛意义的企业用户可以是与公司存在某种关系的任何人，包括雇员、客户、合作伙伴、供应商或采购人员。在 Identity Manager 系统中，用户以用户帐户表示。

根据他们与您的业务和其他实体的关系，用户需要访问不同的目标，诸如计算机系统、数据库中存储的数据或特定计算机应用程序。用 Identity Manager 的术语描述，这些目标称为资源。

因为用户针对其访问的每个资源通常具有一个或多个身份，所以 Identity Manager 会创建单个虚拟身份，此身份映射到各个不同的资源。这允许您将用户作为单个实体进行管理。请参见图 1–1。

图 1–1 Identity Manager 用户帐户资源关系

为有效管理大量用户，您需要用逻辑方法将他们分组。在多数公司中，用户被分组到按职能或地理位置划分的各部门。这些部门中的每个部门通常都需要访问不同的资源。用 Identity Manager 的术语描述，此类型的组称为组织。

另一种对用户分组的方法是按照类似特征，如公司关系或工作职责。Identity Manager 将这些组称为角色。

在 Identity Manager 系统中，您可为用户帐户分配角色，以便有效地启用和禁用对资源的访问。为组织分配帐户可实现管理职责的有效委托。

Identity Manager 用户的直接或间接管理也可通过应用策略实现，这些策略设置了规则和密码及用户验证选项。