“最终用户”组织为管理员提供了一种简便方法,以便将某些对象(如资源和角色)提供给最终用户。最终用户可以使用最终用户界面(登录到 Identity Manager 最终用户界面)查看指定的对象,并且还可能会将这些对象分配给自己(暂挂批准进程)。
最终用户组织是在 Identity Manager 7.1.1 版中引入的。
以前,要为最终用户授予对 Identity Manager 配置对象(如角色、资源和任务等)的访问权限,管理员必须编辑配置对象并使用最终用户任务、最终用户资源和最终用户 authType。
今后,Sun 建议使用“最终用户”组织为最终用户提供 Identity Manager 配置对象的访问权限。
“最终用户”组织是由所有用户隐式控制的,使用户能够查看几种对象类型,包括任务、规则、角色和资源。不过,该组织最初没有成员对象。
“最终用户”组织是 Top 的成员,其中不能包含子组织。此外,“最终用户”组织不会显示在“帐户”页列表中。但是,在编辑对象(如角色、管理员角色、资源、策略和任务等)时,您可以使用管理员用户界面为“最终用户”组织提供任何对象。
当最终用户登录到最终用户界面时,将会出现以下情况:
最终用户将被授予对最终用户组织 (ObjectGroup) 的控制权限。
Identity Manager 评估内置的最终用户受控组织规则,该规则自动为用户授予对规则所返回的任何组织名称的控制权限。(此规则是在 Identity Manager 7.1.1 版中添加的。有关详细信息,请参见最终用户受控组织规则一节。)
最终用户将被授予在最终用户权能中指定的对象类型的权限。
最终用户受控组织规则的输入参数是验证用户的视图。Identity Manager 希望该规则返回一个或多个组织,登录到最终用户界面的用户将控制这些组织。Identity Manager 希望该规则返回字符串(对于单个组织)或列表(对于多个组织)。
要管理这些对象,用户需要“最终用户管理员”权能。分配了“最终用户管理员”权能的用户可以查看和修改最终用户受控组织规则的内容。这些用户还可以查看和修改在“最终用户”权能中指定的对象类型。
默认情况下,“最终用户管理员”权能将分配给配置器用户。对于最终用户受控组织规则评估返回的列表或组织,所做的任何更改不会动态反映给已登录的用户。这些用户必须先登出,然后再重新登录才能看到这些更改。
如果最终用户受控组织规则返回一个无效的组织(例如,在 Identity Manager 中不存在的组织),则会在系统日志中记录该问题。要更正此问题,请登录到管理员用户界面并修复此规则。