本节提供了配置“批准”选项卡的说明,它可作为任务模板配置进程的一部分。有关如何启动配置进程的说明,请参见配置任务模板一节。
可以使用“批准”选项卡指定附加批准者,并在 Identity Manager 执行创建、删除或更新用户任务之前指定任务批准表单的属性。
通常,在执行某些任务之前,需要与特定组织、资源或角色关联的管理员来批准这些任务。Identity Manager 还允许您指定附加批准者,即,需要批准任务的其他管理员。
如果在工作流中配置了 Additional Approvers,则需要原有批准者和在模板中指定的所有其他批准者的共同批准。
图 9–11 展示了初始“批准”页的管理员用户界面。
完成“批准启用”部分(请参见启用批准(“批准”选项卡的“启用批准”部分))。
完成“附加批准者”部分(请参见指定附加批准者(“批准”选项卡的“附加批准者”部分))。
完成“批准表单配置”部分(仅适用于“创建用户模板”和“更新用户模板”)(请参见配置批准表单(“批准”选项卡的“批准表单配置”部分))。
配置完“批准”选项卡后,可以
选择其他选项卡以继续编辑模板。
单击“保存”以保存更改并返回到“配置任务”页。
单击“取消”以放弃更改并返回到“配置任务”页。
如果使用以下“批准启用”复选框,则只有通过批准才能继续执行创建用户、删除用户或更新用户任务。
默认情况下,将针对“创建用户模板”和“更新用户模板”启用这些复选框,但针对“删除用户模板”禁用这些复选框。
组织批准。如果启用此复选框,则需要所有配置的组织批准者进行批准。
资源批准。如果启用此复选框,则需要所有配置的资源批准者进行批准。
角色批准。如果启用此复选框,则需要所有配置的角色批准者进行批准。
使用“决定附加批准者来源”菜单,可以指定 Identity Manager 将为创建用户、删除用户或更新用户任务决定附加批准者的方式。
表 9–1 列出了此菜单中的选项。
表 9–1 “决定附加批准者来源”菜单选项
选项 |
描述 |
---|---|
无(默认)。 |
执行任务不需要附加批准者。 |
属性 |
批准者的帐户 ID 是从用户视图中指定的属性内获取的。 |
规则 |
批准者的帐户 ID 是通过评估指定规则获取的。 |
Query |
批准者的帐户 ID 是通过查询特定资源获取的。 |
Administrator List |
直接从列表中选择批准者。 |
如果选择其中的任何选项(除无以外),则会在管理员用户界面中显示附加选项。
使用以下各节提供的说明,可以指定决定附加批准者的方法。
可以使用以下步骤通过属性决定附加批准者。
从“决定附加批准者来源”菜单中选择“属性”。
该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
将显示一些新选项,如下图中所示。
批准者属性。提供用于决定批准者帐户 ID 的属性(当前为视图定义的属性,其中的视图是与此模板配置的任务相关的视图)列表。
批准超时期限。提供一种方法以指定批准超时时间。
“批准超时期限”设置对原始批准和提升批准都起作用。
通过“批准者属性”菜单选择属性。
所选属性将显示在旁边的文本字段中。
决定是否要为批准请求指定超时值。
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
可以使用以下步骤通过指定规则获取批准者的帐户 ID。
从“决定附加批准者来源”菜单中选择“规则”。
评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
将显示一些新选项,如下图中所示。
批准者规则。提供评估后会返回收件人帐户 ID 的规则(当前为系统定义)列表。
批准超时期限。提供一种方法以指定批准超时时间。
“批准超时期限”设置对原始批准和提升批准都起作用。
从“批准者规则”菜单中选择规则。
决定是否要为批准请求指定超时值。
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
可以使用以下步骤通过查询指定资源获取批准者帐户 ID。
目前只支持 LDAP 和 Active Directory 资源查询。
从“决定附加批准者来源”菜单中选择“查询”,将显示一些新选项,如下图中所示。
按如下步骤构建一个查询:
决定是否要为批准请求指定超时值。
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分),或者保存更改,然后配置其他选项卡。
可以使用以下步骤从管理员列表中明确选择附加批准者。
从“决定附加批准者来源”菜单中选择“管理员列表”,将显示一些新选项,如下图中所示。
要通知的管理员。提供带有可用管理员列表的选择工具。
批准表单。提供用户表单列表,附加批准者可以使用该列表批准或拒绝批准请求。
批准超时期限。提供一种方法以指定批准超时时间。
批准超时期限。同时影响原始批准和提升批准。
在“可用管理员”列表中选择一个或多个管理员,然后将所选名称移至“选定的管理员”列表中。
决定是否要为批准请求指定超时值。
如果要指定超时时间段,请继续阅读配置批准超时以获取有关说明。
如果不想指定超时时间段,则可以继续阅读配置批准表单(“批准”选项卡的“批准表单配置”部分)。
可以使用以下步骤在“批准超时期限”部分中配置批准超时。
选中“批准超时期限”复选框。
旁边的文本字段和菜单将变为活动状态,并显示“超时操作”选项,如下图中所示。
可以使用“批准超时期限”文本字段和菜单指定超时时间段,步骤如下:
使用“超时操作”按钮指定批准请求超时后执行的操作。
单击以下选项之一:
拒绝请求。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动拒绝该请求。
提升批准。如果在指定的超时时间段之前没有批准请求,Identity Manager 将自动把该请求提升至另一批准者。
启用此按钮后,将显示新选项;必须通过这些选项指定 Identity Manager 决定提升批准的批准者的方式。请继续阅读配置“决定提升批准者来源”部分以获取有关说明。
执行任务。如果在指定的超时时间段之前批准请求未获批准,则 Identity Manager 将自动执行备用任务。
启用此按钮,将显示“批准超时任务”菜单,可以通过该菜单指定批准请求超时后执行的任务。请继续阅读配置“批准超时任务”部分以获取有关说明。
在“超时操作”部分中选择“提升批准”(配置批准超时)时,将显示“决定提升批准者来源”菜单,如下图中所示。
从此菜单选择一个选项,以指定如何决定提升批准的批准者。
这些选项包括:
属性。根据新用户视图中指定的属性来决定批准者帐户 ID。
该属性必须解析为代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
在选择此选项时,将显示“提升管理员属性”菜单。从列表中选择一个属性,将在旁边的文本字段中显示选定的属性,如下图中所示。
规则。通过评估指定规则来决定批准者帐户 ID。
评估后,此规则必须返回代表单个帐户 ID 的字符串或其元素为帐户 ID 的列表。
在选择此选项时,将显示“提升管理员规则”菜单,如下图中所示。从列表中选择一个规则。
查询。通过查询特定资源决定批准者帐户 ID。
将显示“提升管理员查询”菜单,如下图中所示。
按如下方式构建查询:
从“要查询的资源”菜单中选择资源。
从“要查询的资源属性”菜单中选择属性。
从“要比较的属性”菜单中选择属性。
管理员列表(默认)。从列表中明确选择批准者。
将显示“提升管理员”选择工具,如下图中所示。
按如下方式选择批准者:
从“可用管理员”列表中选择一个或多个管理员名称。
将选定名称移至“选定的管理员”列表中。
在“超时操作”部分中选择“执行任务”选项(配置批准超时)时,将显示“批准超时任务”菜单,如下图中所示。
删除用户模板不包含 "Approval Form Configuration" 部分。只能针对创建用户模板和更新用户模板配置此部分。
可以使用“批准表单配置”部分的功能选择批准表单,然后将属性添加到批准表单中(或从中删除属性)。
默认情况下,“批准属性”表包含以下标准属性:
user.waveset.accountId
user.waveset.roles
user.waveset.organization
user.global.email
user.waveset.resources
默认批准表单经程序校验可以显示批准属性。如果使用的是批准表单而不是默认表单,则必须对表单进行程序校验以显示在“批准属性”表中指定的批准属性。
从“批准表单”菜单中选择表单。
批准者将使用此表单来批准或拒绝批准请求。
启用“批准属性”表的“可编辑”列中的复选框,以使批准者可以编辑属性值。
例如,如果启用 user.waveset.accountId 复选框,则批准者可以更改用户的帐户 ID。
如果修改了批准表单中特定于帐户的任何属性,则在实际置备用户时,具有相同名称的所有全局属性值也将被覆盖。例如,如果资源 R1 存在于带有 description 模式属性的系统中,而您将 user.accounts[R1].description 属性作为可编辑的属性添加到批准表单中,则任何对批准表单中 description 属性值的更改都将覆盖仅从资源 R1 的 global.description 传播来的值。
单击“添加属性”或删除选定属性按钮,从新用户的帐户数据中指定要在批准表单中显示的属性。
要将属性添加到表单中,请参见将属性添加到批准表单中。
要从表单中删除属性,请参见删除属性。
除非修改 XML 文件,否则不能从批准表单中删除默认属性。
单击“批准属性”表下面的“添加属性”按钮。
“批准属性”表中的“属性名称”菜单将变为活动状态,如下图中所示。
从菜单中选择一个属性。
选定属性的名称将显示在旁边的文本字段中,而属性的默认显示名称则显示在“表单显示名称”列中。
例如,如果选择 user.waveset.organization 属性,则可以:
在必要时更改默认属性名称或默认表单显示名称,方法是在相应文本字段中键入新名称。
启用“可编辑”复选框以允许批准者更改属性值。
例如,批准者可能要覆盖诸如用户电子邮件地址之类的信息。
重复以上步骤以指定其他属性。
除非修改 XML 文件,否则不能从批准表单中删除默认属性。