运用角色类型

下面介绍了如何有效地使用角色类型。有关角色类型描述，请参见上一节。

管理在 8.0 之前的版本中创建的角色

从早期版本的 Identity Manager 升级到 8.0 版的组织会自动将其传统角色转换为 IT 角色。这些 IT 角色仍将直接分配给用户。在升级过程中，不会为传统角色分配角色所有者。不过，以后可以分配角色所有者。（有关角色所有者的信息，请参见指定角色所有者和角色批准者。）

默认情况下，升级到 8.0 版的组织可以直接将 IT 角色和业务角色分配给用户（请参见图 5–2）。

如果组织具有传统角色，则应该考虑按照下一节中简要介绍的原则创建新角色。

使用角色类型设计灵活的角色

IT 角色、应用程序和资产是角色设计者的基本构件。可以结合使用这三种角色类型来设置用户权利（即，访问权限）。然后可将 IT 角色、应用程序和资产分配给业务角色。

设计业务角色

在 Identity Manager 中，可以为用户分配一个或多个角色，也可以不分配角色。随着在 Identity Manager 8.0 中引入角色类型概念，建议您仅将业务角色直接分配给用户。事实上，默认情况下，无法将任何其他角色类型直接分配给用户，除非组织安装了 8.0 之前版本的 Identity Manager 并将其至少升级到 8.0 版。可通过修改角色配置对象来更改这种默认限制（配置角色类型）。

为了降低复杂性，不能对业务角色进行嵌套。即，一个业务角色不能包含另一个业务角色。另外，业务角色不能直接包含资源和资源组。而应将资源和资源组分配给 IT 角色或应用程序，然后再将这些角色分配给一个或多个业务角色。

设计 IT 角色

IT 角色可以包含应用程序和资产以及其他 IT 角色。IT 角色还可以包含资源和资源组。

IT 角色一般是由组织的 IT 人员或资源所有者（了解启用资源中特定权限所需的权利）创建和管理的。

设计应用程序和资产

应用程序和资产角色类型用于表示常用业务术语，以描述最终用户工作时需要具备的条件。例如，可以将应用程序角色命名为“客户支持工具”或“内部网 HR 工具管理”。

• 应用程序不能包含角色，但可以包含资源和资源组。应用程序还可以定义特定的权利，以仅限访问包含的资源上的特定应用程序。

• 资产（通常）是需要手动置备的非连接资源或非数字资源，例如移动电话和便携式计算机。因此，资产不能包含角色、资源或资源组。

应用程序和资产用于分配给业务角色和 IT 角色。

应该为角色管理员分配下面的一种或多种权能：

• 资产管理员

• 应用程序管理员

• 业务角色管理员

• IT 角色管理员

有关详细信息，请参见为用户分配权能。

角色类型总览

下图显示了可以为四种角色类型中的每种角色类型分配的角色类型、资源和资源组。该图还显示了可以为所有四种角色类型分配的角色类型排除。（有关角色排除的说明，请参见分配资源和资源组。）

图 5–1 业务角色、IT 角色、应用程序和资产角色类型。

可选、条件和必需包含角色（什么是角色？）提供了额外的灵活性。灵活的角色定义可以减少组织需要管理的角色总数。

图 5–2 显示了从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版时可以将业务角色和 IT 角色直接分配给用户。在升级时，传统角色将转换为 IT 角色，并将 IT 角色直接分配给用户以保持向后兼容性。如果 Identity Manager 不是从 8.0 之前版本升级的，则只能将业务角色直接分配给用户。

图 5–2 可直接分配给用户的角色和资源。