角色是一个 Identity Manager 对象,通过该对象,可以将资源访问权限分组并有效地分配给用户。角色分为以下四种角色类型:
业务角色
IT 角色
应用程序
资产
业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常,业务角色表示用户的工作职责。
IT 角色、应用程序和资产将资源权利(或访问权限)划分到各个组中。要为用户提供资源访问权限,请将 IT 角色、应用程序和资产分配给业务角色,以使用户在工作时能够访问所需的资源。
IT 角色、应用程序和资产可以是必需、条件或可选角色。
必需角色始终分配给用户。
条件角色具有一定的条件,其计算值必须为 true 才能分配该角色。
可选角色可以单独进行申请并会在经批准后分配给用户。
由于角色可以为条件或可选资源,因此,具有相同常规作业描述的用户可以具有相同的业务角色,但仍具有不同的访问权限。这种方法允许业务角色设计者定义粗粒度的角色访问,以使用户遵守相关的规定;同时仍为用户管理员提供了一定的灵活性,以微调用户的访问权限。通过采用这种方法,无需再为企业中的每种访问需求变化形式都定义新的业务角色(此问题称为角色爆炸)。
可以为用户分配一个或多个角色,也可以不分配角色。
有关角色的详细信息,请参见了解和管理角色。