服务提供者用户的委托管理

通过使用 Identity Manager 管理员角色或通过基于组织的授权模型可启用服务提供者用户的委托管理。

通过组织授权委托

默认情况下，Identity Manager 通过基于组织的授权模型提供管理职责的委托。

在基于组织的授权模型中创建委托管理员时，请谨记以下几点：

• 服务提供者管理员是具有特定权能和受控组织的 Identity Manager 用户。

• 用户的组织属性值可以是 Identity Manager 组织的名称，也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的“Identity Manager 组织属性名称包括 ID”字段的设置。

• 您可以创建 Identity Manager 分层结构，并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识，而不是组织的简单名称。

• 服务提供商用户通过目录服务器中的用户属性获取其组织。

  • 您必须在目录服务器资源的模式映射中设置这些属性。

  • 属性比较是通过对管理员受控组织列表进行完全匹配来完成的。目录中存储的值必须与组织名称相匹配，而不是整个分层结构。如果管理员控制 Top:orgA:sub1，则 sub1 必须为存储在服务提供者用户的组织属性中的值。

  • 如果未设置属性或属性与 Identity Manager 组织不对应，则会将服务提供者用户视为 Top 组织的成员。这要求服务提供者管理员在 Top 中具有服务提供者用户权能才能管理这些用户。

  属性设置可确定按服务提供者管理员进行搜索的范围。

• 要创建委托管理员帐户，应先创建 Identity Manager 管理员，然后添加服务提供者管理员权能。可以将特定于服务提供者任务的权能分配给用户（在“编辑用户”页的“安全性”选项卡中）。受控组织可指定管理员可以修改的服务提供者用户。适用于服务提供者用户的所有资源均适用于所有 Identity Manager 管理员。

---

注 –

有关 Identity Manager 委托管理的详细信息，请参见第 6 章中的委托管理

---

通过管理员角色分配委托

要授予对服务提供商用户的细化权能和控制范围，请使用服务提供商用户管理员角色。可以将管理员角色配置为在登录时动态分配给一个或多个 Identity Manager 用户或服务提供者用户。

可以定义规则并将其分配给管理员角色，管理员角色可指定授予分配了管理员角色的用户的权能（例如 Service Provider Create User）。

要将管理员角色委托用于服务提供者用户，您必须在 Identity Manager 系统配置对象（编辑 Identity Manager 配置对象）中将其启用。

如果启用通过管理员角色分配进行的委托，则“服务提供者配置”中的“IDM 组织属性名称”不是必填项。

启用服务提供者管理员角色委托

要启用服务提供者管理员角色委托（服务提供者委托管理），请打开要修改的系统配置对象（编辑 Identity Manager 配置对象）并将以下属性设置为 true：

security.authz.external.app name.object type

其中 app name 为 Identity Manager 应用程序（例如管理员界面），object type 为 Service Provider Users

可以为每个 Identity Manager 应用程序（例如管理员界面或用户界面）和每个对象类型启用该属性。当前，唯一受支持的对象类型为 Service Provider Users。默认值为 false。

例如，要为 Identity Manager 管理员启用服务提供者委托管理，请将“系统配置”配置对象中的以下属性设置为 "true"：

security.authz.external.Administrator Interface.Service Provider Users

如果为给定的 Identity Manager 或服务提供者应用程序禁用了服务提供者委托管理（设置为 false），则会使用基于组织的授权模型。

在启用服务提供者委托管理后，跟踪的事件将捕获有关执行的授权规则数和持续时间的信息。可以在面板中找到这些统计信息。

配置服务提供者用户管理员角色

要配置服务提供者用户管理员角色，请创建一个管理员角色，然后指定控制范围、权能以及应将其分配给的用户。

---

注 –

在创建服务提供商用户管理员角色之前，应为管理员角色定义搜索上下文、搜索过滤器、搜索过滤器后、权能和用户分配规则。

要使用以下规则，您必须指定该规则的 authType：

• SPEUsersSearchContextRule

• SPEUsersSearchFilterRule

• SPEUsersAfterSearchFilterRule

• CapabilitiesOnSPEUserRule

• UserIsAssignedAdminRoleRule

• SPEUserIsAssignedAdminRoleRule

Identity Manager 提供了示例规则，您可以使用这些示例规则为服务提供者用户管理员角色创建这些规则。您可以在 Identity Manager 安装目录的 sample/adminRoleRules.xml 中找到这些规则。

有关为您的环境创建这些规则的详细信息，请参见《Sun Identity Manager Service Provider 8.1 Deployment》。

---

配置服务提供者用户管理员角色

1. 在管理员界面中，单击菜单中的“安全性”，然后单击“管理员角色”。

   将打开“管理员角色”页。

2. 单击“新建”。

   将打开“创建管理员角色”页。

3. 指定管理员角色的名称，并选择“服务提供者用户”类型。

4. 按照以下各节所述，指定“控制范围”、“权能”和“分配给用户”选项。

指定控制范围

服务提供者用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供者最终用户查看的服务提供者用户。如果请求在目录中列出服务提供商用户，则会强制指定控制范围。

您可以为服务提供商用户管理员角色控制范围指定以下一个或多个设置：

• 用户搜索上下文。指定是使用规则还是文本字符串来开始搜索。

  如果指定为“无”，则默认搜索上下文将是配置为服务提供者用户目录的 Identity Mananger 资源中指定的基本上下文。

• 用户搜索过滤器。指定搜索过滤器是应用规则还是文本字符串。

  所选规则指定或返回的文本字符串应为表示用户集的 LDAP 兼容的搜索过滤器字符串，在搜索上下文中，这些用户将由分配了此管理员角色的用户控制。指定的过滤器将与用户指定的搜索过滤器结合，以确保搜索返回的用户不包括分配了此 AdminRole 的用户无权列出的任何用户。

• 用户搜索过滤器后规则。选择在应用用户搜索过滤器后将应用的规则。

  该规则在对服务提供者用户目录执行初始 LDAP 搜索后运行，并评估结果以确定允许请求用户访问的识别名 (DN)。

  当需要使用非 LDAP 用户属性（例如组成员资格）确定用户是否应在请求用户的控制范围中时，或需要使用信息库而不是服务提供者用户目录（例如 Oracle 数据库或 RACF）做出过滤决策时，可以使用该类型的规则。

指定权能

服务提供商用户管理员角色的权能用于指定请求用户对所请求访问的服务提供商用户具有的权能和权限。如果请求查看、创建、修改或删除服务提供商用户，则会强制指定权能。

在“权能”选项卡上，选择要为该管理员角色应用的“权能规则”。

为用户分配管理员角色

通过指定将在登录时进行评估以确定是否向验证用户分配管理员角色的规则，可以将服务提供商用户管理员角色动态地分配给服务提供商用户。

单击“分配给用户”选项卡，然后选择要为分配应用的规则。

---

注 –

必须为每个登录界面（例如用户界面和管理员界面）启用将管理员角色动态分配给用户的操作，方法是：将以下系统配置对象（编辑 Identity Manager 配置对象）设置为 true：

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. logininterface

所有界面的默认值为 false。

---

委托服务提供商用户管理员角色

默认情况下，服务提供商用户可以将分配给他们的服务提供商用户管理员角色分配（或委托）给其控制范围内的其他服务提供商用户。

事实上，任何具有编辑服务提供者用户权能的 Identity Manager 用户均可将分配给他们的服务提供者用户管理员角色分配给其控制范围内的服务提供者用户。

服务提供商用户管理员角色还可以包括分配者列表，无论是何控制范围，这些分配者均可分配管理员角色。这些直接分配可以确保至少一个已知用户帐户可以分配管理员角色。