用户帐户 

Identity Manager 和一种或多种资源上的帐户。用户数据可从资源加载到 Identity Manager。 

具有扩展权限的一类特殊用户（Identity Manager 管理员） 

角色。通常，每个用户帐户都被分配了一个或多个角色。

组织。用户帐户作为组织的一部分安排在分层结构中。Identity Manager 管理员还额外管理组织。

资源。各资源均可被分配给用户帐户。

权能。管理员被分配了适用于其管理的组织的权能。

角色 

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。应用程序和 IT 角色用于将资源划分到各个组中，以便通过业务角色将资源分配给用户。在大型组织中，基于角色的资源分配可简化资源管理。 

资源和资源组。可将资源和资源组分配给资产、应用程序和 IT 角色。

用户帐户。可将具有类似特征的用户帐户分配给业务角色。

资产、应用程序和 IT 角色。可将资产、应用程序和 IT 角色分配给业务角色。

资源 

存储有关帐户受到管理的系统、应用程序或其他资源的信息。 

角色。可将资源分配给应用程序和 IT 角色，然后再将这些角色分配给业务角色。用户帐户将从其业务角色分配不严格地“继承”资源访问权限。

用户帐户。资源可分别分配给用户帐户。

资源组 

经排序的资源组。 

角色。资源组被分配给角色；用户帐户通过分配业务角色“继承”资源的访问权限。

用户帐户。资源组可直接分配给用户帐户。

组织 

定义由管理员管理的实体的范围；具有分层结构。 

资源。给定组织中的管理员可访问某些资源或所有资源。

管理员。组织由具有管理权限的用户管理（控制）。管理员可管理一个或多个组织。给定组织中的管理权限可传递至其子组织。

用户帐户。每个用户帐户都可被分配到一个 Identity Manager 组织以及一个或多个目录组织。

目录连接 

分层相关的一组组织，这些组织镜像目录资源的实际层级容器集合。 

组织。目录连接中的每个组织都是虚拟组织。

管理员角色 

为分配给管理员的每一组组织定义唯一的一组权能。 

管理员。管理员角色被分配给管理员。

权能和组织。权能和组织被直接或间接（动态）分配给管理员角色。

权能 

定义一组系统权限。 

管理员。权能被分配给管理员。

策略 

设置密码和验证限制。 

用户帐户。策略被分配给用户帐户。

组织。策略被分配给组织或由组织继承。

审计策略 

设置用于判断用户是否违规的规则。 

用户帐户。审计策略被分配给用户帐户。

组织。审计策略被分配给组织。