了解和管理角色

阅读本节可以了解有关在 Identity Manager 中设置角色的信息。在大型组织中，基于角色的资源分配可大大简化资源管理。

---

注 –

不要将角色和管理员角色相混淆。角色用于管理最终用户对外部资源的访问。而管理员角色主要用于管理管理员对内部 Identity Manager 对象（如用户、组织和权能）的访问。

本节中的信息讨论的是角色。有关管理员角色的信息，请参见了解和管理管理员角色。

---

什么是角色？

角色是一个 Identity Manager 对象，通过该对象，可以将资源访问权限分组并有效地分配给用户。

角色分为以下四种角色类型：

• 业务角色

• IT 角色

• 应用程序

• 资产

业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常，业务角色表示用户的工作职责。例如，在一个金融机构中，业务角色可能对应于各个工作职责，如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。

IT 角色、应用程序和资产将资源权利划分为不同的组。要为最终用户提供资源访问权限，请将 IT 角色、应用程序和资产分配给业务角色，以使用户在工作时能够访问所需的资源。IT 角色包含一组特定的应用程序、资产和/或资源，其中包括这些分配的资源的特定权利。IT 角色也可以包含其他 IT 角色。

---

注 –

角色类型的概念是在 Identity Manager 8.0 版中引入的。如果组织从早期版本的 Identity Manager 升级到 8.0 版，则会将传统角色作为 IT 角色导入。有关详细信息，请参见管理在 8.0 之前的版本中创建的角色。

---

IT 角色、应用程序和资产可以是必需、条件或可选角色。

• 必需角色将始终分配给最终用户。

• 条件角色具有一定的条件，其计算值必须为 true 才能分配该角色。

• 可以单独请求可选角色；在得到批准后，便会将其分配给最终用户。

通过使用必需、条件和可选角色，业务角色设计者可以针对包含的角色定义粗粒度的访问以使用户遵守相关的规定；同时仍为最终用户管理员提供了一定的灵活性，以微调最终用户的访问权限。对于分配了条件或可选角色的用户，仍然可以为其分配相同的业务角色，但为其分配的访问权限是不同的。通过采用这种方法，无需为组织中的每种访问要求变化形式都定义新的业务角色（此问题称为角色爆炸）。

运用角色类型

下面介绍了如何有效地使用角色类型。有关角色类型描述，请参见上一节。

管理在 8.0 之前的版本中创建的角色

从早期版本的 Identity Manager 升级到 8.0 版的组织会自动将其传统角色转换为 IT 角色。这些 IT 角色仍将直接分配给用户。在升级过程中，不会为传统角色分配角色所有者。不过，以后可以分配角色所有者。（有关角色所有者的信息，请参见指定角色所有者和角色批准者。）

默认情况下，升级到 8.0 版的组织可以直接将 IT 角色和业务角色分配给用户（请参见图 5–2）。

如果组织具有传统角色，则应该考虑按照下一节中简要介绍的原则创建新角色。

使用角色类型设计灵活的角色

IT 角色、应用程序和资产是角色设计者的基本构件。可以结合使用这三种角色类型来设置用户权利（即，访问权限）。然后可将 IT 角色、应用程序和资产分配给业务角色。

设计业务角色

在 Identity Manager 中，可以为用户分配一个或多个角色，也可以不分配角色。随着在 Identity Manager 8.0 中引入角色类型概念，建议您仅将业务角色直接分配给用户。事实上，默认情况下，无法将任何其他角色类型直接分配给用户，除非组织安装了 8.0 之前版本的 Identity Manager 并将其至少升级到 8.0 版。可通过修改角色配置对象来更改这种默认限制（配置角色类型）。

为了降低复杂性，不能对业务角色进行嵌套。即，一个业务角色不能包含另一个业务角色。另外，业务角色不能直接包含资源和资源组。而应将资源和资源组分配给 IT 角色或应用程序，然后再将这些角色分配给一个或多个业务角色。

设计 IT 角色

IT 角色可以包含应用程序和资产以及其他 IT 角色。IT 角色还可以包含资源和资源组。

IT 角色一般是由组织的 IT 人员或资源所有者（了解启用资源中特定权限所需的权利）创建和管理的。

设计应用程序和资产

应用程序和资产角色类型用于表示常用业务术语，以描述最终用户工作时需要具备的条件。例如，可以将应用程序角色命名为“客户支持工具”或“内部网 HR 工具管理”。

• 应用程序不能包含角色，但可以包含资源和资源组。应用程序还可以定义特定的权利，以仅限访问包含的资源上的特定应用程序。

• 资产（通常）是需要手动置备的非连接资源或非数字资源，例如移动电话和便携式计算机。因此，资产不能包含角色、资源或资源组。

应用程序和资产用于分配给业务角色和 IT 角色。

---

注 –

应该为角色管理员分配下面的一种或多种权能：

• 资产管理员

• 应用程序管理员

• 业务角色管理员

• IT 角色管理员

有关详细信息，请参见为用户分配权能。

---

角色类型总览

下图显示了可以为四种角色类型中的每种角色类型分配的角色类型、资源和资源组。该图还显示了可以为所有四种角色类型分配的角色类型排除。（有关角色排除的说明，请参见分配资源和资源组。）

图 5–1 业务角色、IT 角色、应用程序和资产角色类型。

可选、条件和必需包含角色（什么是角色？）提供了额外的灵活性。灵活的角色定义可以减少组织需要管理的角色总数。

图 5–2 显示了从 8.0 之前版本的 Identity Manager 至少升级到 8.0 版时可以将业务角色和 IT 角色直接分配给用户。在升级时，传统角色将转换为 IT 角色，并将 IT 角色直接分配给用户以保持向后兼容性。如果 Identity Manager 不是从 8.0 之前版本升级的，则只能将业务角色直接分配给用户。

图 5–2 可直接分配给用户的角色和资源。

创建角色

本节介绍了如何创建角色，该信息分为以下几个部分：

• 使用创建角色表单创建角色

• 分配资源和资源组

• 编辑分配的资源属性值

• 分配角色和角色排除

• 指定角色所有者和角色批准者

• 指定通知

• 启动更改批准工作项目和批准工作项目

---

注 –

有关设计角色的提示，请参见使用角色类型设计灵活的角色。

---

当您创建或编辑角色时，Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中，并允许您在创建或保存该角色前插入批准或其他操作。

使用创建角色表单创建角色

1. 在管理员界面中，单击主菜单中的“角色”。

   将打开“角色”页（“列出角色”选项卡）。

2. 单击页面底部的“新建”。

   将打开“创建 IT 角色”页。要创建另一种类型的角色，请使用“类型”下拉菜单。

3. 填写“标识”选项卡上的表单字段。

   下图显示了“标识”选项卡。

   图 5–3 “创建 IT 角色”页中的“标识”选项卡

   
   

4. 填写“资源”选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配资源和资源组。

   有关在角色上设置扩展属性值的帮助，请参见查看或编辑资源帐户属性。

   下图显示了“资源”选项卡。

   图 5–4 “创建 IT 角色”页中的“资源”选项卡

   
   

5. 填写“角色”选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配角色和角色排除。

   图 5–6 显示了“角色”选项卡。

6. 填写“安全性”选项卡上的表单字段。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及指定角色所有者和角色批准者和指定通知。

   指定角色所有者和角色批准者显示了“安全性”选项卡。

7. 单击页面底部的“保存”。

8. 在“创建角色”表单的“标识”选项卡中，可以输入角色的名称和描述。如果要创建新角色，请使用“类型”下拉菜单选择要创建的角色类型。

   图 5–4 显示了“创建角色”表单的“标识”选项卡的“标识”部分。有关使用此表单的帮助，请参见联机帮助。

分配资源和资源组

可以使用“创建角色”表单的“资源”选项卡，将资源和资源组直接分配给 IT 角色和应用程序角色。后面的了解和管理 Identity Manager 资源一节中介绍了资源。资源组一节中介绍了资源组。

• 无法将资源和资源组直接分配给业务角色，因为只能将角色分配给业务角色。

• 无法将资源和资源组分配给资产角色，因为资产角色是为需要手动置备的非连接资源或非数字资源保留的。

此过程介绍了在填写“创建角色”表单时如何将资源和资源组分配给角色。要了解入门知识，请参见使用创建角色表单创建角色。

1. 在“创建角色”页中单击“资源”选项卡。

2. 要分配某个资源，请在“可用资源”列中选中该资源，然后单击箭头按钮将其移到“当前资源”列中。

3. 如果要分配多个资源，则可以指定更新这些资源的顺序：选中“按顺序更新资源”复选框，然后使用 + 和 - 按钮更改“当前资源”列中的资源顺序。

4. 要将资源组分配给此角色，请在“可用资源组”列中将其选中，然后单击箭头按钮以将其移到“当前资源组”列中。资源组是一个资源集合，它提供了另外一种方法来指定创建和更新资源帐户的顺序。

5. 要针对每个资源为此角色指定帐户属性，请在分配的资源部分中单击“设置属性值”。有关详细信息，请参见查看或编辑资源帐户属性。

6. 单击“保存”以保存角色，或者单击“标识”、“角色”或“安全性”选项卡以继续执行角色创建过程。

   下图显示了“创建角色”表单的“资源”选项卡。

   图 5–5 “创建角色”选项卡式表单的“资源”部分

   
   

编辑分配的资源属性值

可以使用“分配的资源”表来设置或修改分配给角色的资源上的资源属性值。资源可以针对每个角色定义不同的属性值。单击“设置属性值”按钮将打开“资源帐户属性”页。

下图显示了“资源帐户属性”页，它用于在分配给角色的资源上设置扩展资源属性值。

1. 从“资源帐户属性”页中，为每个属性指定新值，并确定如何设置属性值。

   Identity Manager 允许直接设置值，或使用一个规则来设置值；它还提供一些用于覆盖或合并现有值的选项。有关资源属性值的一般信息，请参见查看或编辑资源帐户属性。

   可以使用以下选项设置每个资源帐户属性的值：

   • 值覆盖。请选择以下任一选项：

     • 无（默认）。不设置任何值。

     • 规则。使用规则设置值。

       如果选择此选项，必须从列表中选择规则名称。

     • 文本。使用指定的文本设置值。

       如果选择此选项，则必须在旁边的文本字段中输入文本。

   • 设置方法。请选择以下任一选项：

     • 默认值。使规则或文本作为默认属性值。

       用户可更改或覆盖此值。

     • 设置成值。将属性值设置为规则或文本指定的值。

       设置该值将覆盖所有用户更改。

     • 与值合并。合并当前属性值与规则或文本指定的值。

     • 与值合并，清除现有值。删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。

     • 从值中删除。从属性值中删除规则或文本指定的值。

     • 授权设置值。将属性值设置为规则或文本指定的值。

       设置该值将覆盖所有用户更改。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。

     • 授权与值合并。合并当前属性值与规则或文本指定的值。

       删除角色将删除在分配角色时分配的值，原始属性值将保持不变。

     • 授权与值合并，清除现有。删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。

       如果删除角色，则即使该属性先前具有相应值，仍会清除此角色指定的属性值。

   • 规则名称。如果在“值覆盖”区域选择“规则”，则需要从列表中选择规则。

   • 文本。如果在“值覆盖”区域选择“文本”，则需要输入要添加至属性值、从属性值删除或用作属性值的文本。

2. 单击“确定”可保存所做的更改并返回“创建角色”或“编辑角色”页。

分配角色和角色排除

可以使用“创建角色”表单的“角色”选项卡，将角色分配给业务角色和 IT 角色。应该将分配的角色添加到包含的角色表中。

• 无法将角色分配给应用程序角色和资产角色。

• 无法将业务角色分配给任何角色类型。

可以使用“创建角色”表单的“角色”选项卡，将角色排除分配给所有四种角色类型。如果将具有角色排除的角色分配给用户，则无法将排除的角色分配给用户。应该将角色排除添加到角色排除表中。

此过程介绍了在填写“创建角色”表单时如何将一个或多个角色分配给某个角色。要了解入门知识，请参见使用创建角色表单创建角色。

填写“角色”选项卡

1. 在“创建角色”页中单击“角色”选项卡。

2. 在“包含的角色”部分中单击“添加”。

   将刷新该选项卡并显示查找要包含的角色表单。

3. 搜索将要分配给此角色的角色。请先从任何必需角色入手。（将随后添加条件和可选角色。）

   有关使用搜索表单的帮助，请参见搜索角色。无法将业务角色嵌套在其他角色类型中，也无法将其分配给其他角色类型。

4. 使用复选框选择一个或多个要分配的角色，然后单击“添加”。

   将刷新该选项卡并显示添加包含的角色表单。

5. 根据需要，从“关联类型”下拉菜单中选择“必需”、“条件”或“可选”。

   单击“确定”。

6. 重复前面的四个步骤，以添加条件角色（如果需要）。再次重复前面的四个步骤，以添加可选角色（如果需要）。

7. 单击“保存”以保存角色，或者单击“标识”、“资源”或“安全性”选项卡以继续执行角色创建过程。

   图 5–6 显示了“创建角色”表单的“角色”选项卡。有关使用此表单的帮助，请参见联机帮助。

   图 5–6 “创建角色”选项卡式表单的“角色”部分

   
   

指定角色所有者和角色批准者

角色具有指定的所有者和批准者。仅角色所有者能够授权对定义角色的参数进行更改，仅角色批准者能够授权将角色分配给最终用户。

---

注 –

如果将 Identity Manager 与 Sun^TM Role Manager 集成在一起，应通过手动禁用 Identity Manager 处理角色更改批准和通知的功能以允许 Role Manager 执行所有这些操作。

必须按如下方式在 Identity Manager 中编辑 RoleConfiguration 配置对象：

• 查找 changeApproval 的所有实例，并将值设置为 false。

• 查找 changeNotificaiton 的所有实例，并将值设置为 false。

---

成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改，则必须经角色所有者批准后才能执行这些更改。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。然而，如果在角色配置对象中禁用了更改批准，则不需要得到角色所有者的批准即可执行更改。

除了批准角色更改以外，未经角色所有者批准也无法启用、禁用或删除角色。

可以将所有者和批准者直接添加到角色中，也可以使用角色分配规则动态地进行添加。在 Identity Manager 中，可以创建没有所有者和批准者的角色（但不建议这样做）。

---

注 –

角色分配规则的 authType 为 RoleUserRule。

如果需要创建自定义角色分配规则，请参考三个默认角色分配规则对象并将它们用作示例：

• 角色批准者

• 角色通知

• 角色所有者

---

如果工作项目需要得到所有者和批准者批准，则会通过电子邮件通知他们。启动更改批准工作项目和批准工作项目一节中介绍了更改批准工作项目和批准工作项目。

所有者和批准者将添加到“创建角色”表单的“安全性”选项卡上的角色中。

指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。有关使用此表单的帮助，请参见联机帮助。

指定通知

在将角色分配给用户时，可以向一个或多个管理员发送通知。

可以选择是否指定通知收件人。如果决定在将角色分配给用户时不需要批准，您可以选择通知管理员。或者，您可以指定一个管理员作为批准者，并指定另一个管理员作为进行批准时的通知收件人。

与所有者和批准者一样，可以将通知直接添加到角色中，也可以使用角色分配规则动态地进行添加。在将角色分配给用户时，可以通过电子邮件向通知收件人发出通知。但不会创建工作项目，因为不需要进行批准。

通知将分配给“创建角色”表单的“安全性”选项卡上的角色。指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。

启动更改批准工作项目和批准工作项目

在对角色进行更改时，角色所有者可能会收到更改批准或更改通知电子邮件，也可能没有收到任何电子邮件。在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。

默认情况下，只要更改了角色所有者拥有的角色，就会向其发送更改批准电子邮件。不过，可以针对每种角色类型对这种行为进行配置。例如，您可以选择为业务角色和 IT 角色启用更改批准，而为应用程序和资产角色启用更改通知。

有关启用和禁用更改批准和更改通知电子邮件的说明，请参见配置角色类型。

下面是更改批准和更改通知的工作方式：

• 如果启用了更改批准，在管理员更改角色时，将会生成一个工作项目并向角色所有者发送批准电子邮件。角色所有者必须批准该工作项目才能进行更改。可以委托更改批准工作项目。有关详细信息，请参见批准用户帐户。

  如果禁用了更改批准，则不会生成工作项目，也不会向角色所有者发送更改批准电子邮件。

• 如果启用了更改通知，则在管理员更改角色时，将会立即进行更改并向角色所有者发送通知电子邮件。

  如果禁用了更改通知，则不会向角色所有者发送任何通知。

在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。无法在 Identity Manager 中禁用角色批准电子邮件。

对于角色批准，在为用户分配角色时，将会生成一个工作项目并向角色批准者发送批准电子邮件。角色批准者必须批准该工作项目才能将角色分配给用户。

可以委托更改批准工作项目和批准工作项目。有关委托工作项目的详细信息，请参见委托工作项目。

编辑和管理角色

可以使用“查找角色”和“列出角色”选项卡执行大多数角色编辑和角色管理任务，这些选项卡位于主菜单的“角色”选项卡下面。

本节包含以下主题：

• 搜索角色

• 查看角色

• 编辑角色

• 克隆角色

• 将角色分配给其他角色

• 删除分配给其他角色的角色

• 启用或禁用角色

• 删除角色

• 将资源或资源组分配给角色

• 删除分配给角色的资源或资源组

搜索角色

可以使用“查找角色”选项卡搜索符合指定搜索条件的角色。

通过使用“查找角色”选项卡，您可以基于各种不同的条件（如角色所有者和批准者、分配的帐户类型以及包含的角色等）搜索角色。

有关查找分配给角色的用户的信息，请参见查找分配给特定角色的用户。

1. 在管理员界面中，单击“角色”选项卡。

   将打开“列出角色”选项卡。

2. 单击“查找角色”次级选项卡。

   图 5–7 显示了“查找角色”选项卡。有关使用此表单的帮助，请参见联机帮助。

   图 5–7 “查找角色”选项卡

   
   

   可以使用下拉菜单来定义搜索参数。单击“添加行”按钮可添加其他参数。

查看角色

可以使用“列出角色”选项卡来查看角色。可以使用“列出角色”页顶部的过滤器字段按名称或角色类型查找角色。过滤不区分大小写。

1. 在管理员界面中，单击“角色”选项卡。

   将打开“列出角色”选项卡。

   图 5–8 显示了“列出角色”选项卡。有关使用此表单的帮助，请参见联机帮助。

   图 5–8 “列出角色”选项卡

   
   

编辑角色

可以使用“列出角色”或“查找角色”选项卡搜索要编辑的角色。如果对角色进行更改并将更改批准设置为 true，则必须在角色所有者批准更改之后才能执行更改。

有关使用角色更改更新用户的信息，请参见更新分配给用户的角色。

1. 按照搜索角色或查看角色中的说明，搜索要编辑的角色。

2. 单击要编辑的角色的名称。

   将打开“编辑角色”页。

3. 根据需要，编辑该角色。有关填写“标识”、“资源”、“角色”和“安全性”选项卡的帮助，请参阅使用创建角色表单创建角色一节中的步骤。

   单击“保存”。将打开“确认角色更改”页。

4. 如果将此角色分配给用户，则可以选择何时使用角色更改更新用户。有关详细信息，请参见更新分配给用户的角色。

5. 单击“保存”以保存更改。

克隆角色

1. 按照搜索角色或查看角色中的说明，搜索要编辑的角色。

2. 单击要克隆的角色的名称。

   将打开“编辑角色”页。

3. 在“名称”字段中输入新名称，然后单击“保存”。

   将打开“角色：创建还是重命名？”页。

4. 单击“创建”以复制角色。

将角色分配给其他角色

什么是角色？和运用角色类型中介绍了 Identity Manager 的角色分配要求。在分配角色之前，您应该了解此信息。

如果父角色的角色所有者批准，Identity Manager 将更改角色的角色分配。

1. 搜索将向其分配一个或多个包含的角色的业务角色或 IT 角色。（只能将角色分配给业务角色和 IT 角色。）请按照搜索角色或查看角色中的说明搜索角色。

2. 单击以打开业务角色或 IT 角色。

   将打开“编辑角色”页。

3. 在“编辑角色”页中单击“角色”选项卡。

4. 在“包含的角色”部分中单击“添加”。

   将刷新该选项卡并显示查找要包含的角色表单。

5. 搜索将要分配给此角色的角色。请先从任何必需角色入手。（将随后添加条件和可选角色。）

   有关使用搜索表单的帮助，请参见搜索角色。无法将业务角色嵌套在其他角色类型中，也无法将其分配给其他角色类型。

6. 使用复选框选择一个或多个要分配的角色，然后单击“添加”。

   将刷新该选项卡并显示添加包含的角色表单。

7. 根据需要，从“关联类型”下拉菜单中选择“必需”、“条件”或“可选”。

   单击“确定”。

8. 重复前面的四个步骤，以添加条件角色（如果需要）。再次重复前面的四个步骤，以添加可选角色（如果需要）。

9. 单击“保存”以打开“确认角色更改”页。

   将打开“确认角色更改”页。

10. 在“更新分配的用户”部分中，选择一个“更新分配的用户”菜单选项，然后单击“保存”以保存角色分配。

    有关详细信息，请参见更新分配给用户的角色。

删除分配给其他角色的角色

如果得到父角色的角色所有者批准，Identity Manager 将从另一个角色中删除包含的角色。当用户收到角色更新时，将从用户中删除已删除的角色。（有关详细信息，请参见更新分配给用户的角色。）删除角色后，用户将失去该角色所赋予的权利。

• 有关删除分配给一个或多个用户的角色的信息，请参见从用户中删除一个或多个角色。

• 有关禁用角色的信息，请参见启用或禁用角色。

• 有关从 Identity Manager 中删除角色的信息，请参见删除角色。

1. 搜索要从中删除角色的业务角色或 IT 角色。请按照搜索角色或查看角色中的说明搜索角色。

2. 单击以打开该角色。

   将打开“编辑角色”页。

3. 在“编辑角色”页中单击“角色”选项卡。

4. 在“包含的角色”部分中，选中要删除的角色旁边的复选框，然后单击“删除”。选中多个复选框可删除多个角色。

   将更新该表以显示其余的包含角色。

5. 单击“保存”。

   将打开“确认角色更改”页。

6. 在“更新分配的用户”部分中，选择一个“更新分配的用户”菜单选项。有关详细信息，请参见更新分配给用户的角色。

7. 单击“保存”以完成更改。

启用或禁用角色

可以在“列出角色”选项卡上启用和禁用角色。角色状态将显示在状态列中。单击“状态”列标题可按角色状态对该表进行排序。

禁用的角色不会显示在“创建/编辑用户”表单的“角色”选项卡中，并且无法直接分配给用户。可以将包含已禁用角色的角色分配给用户，但无法分配已禁用的角色。

如果以后禁用了为用户分配的角色，用户并不会失去其权利。角色禁用仅阻止未来的角色分配。

角色禁用和重新启用需要具有角色所有者权限。

在启用或禁用分配了用户的角色时，Identity Manager 将提示您更新这些用户。有关详细信息，请参见更新分配给用户的角色。

1. 按照搜索角色或查看角色中的说明，搜索要删除的角色。

2. 单击需要启用或禁用的角色旁边的复选框。

3. 单击“角色”表底部的“启用”或“禁用”。

   将打开“启用角色”或“禁用角色”确认页。

4. 单击“确定”以启用或禁用该角色。

删除角色

本节介绍了从 Identity Manager 中删除角色的过程。

• 有关删除分配给其他角色的角色的信息，请参见删除分配给其他角色的角色。

• 有关删除分配给一个或多个用户的角色的信息，请参见从用户中删除一个或多个角色。

如果删除当前分配给用户的角色，当您尝试保存该角色时，Identity Manager 将阻止删除操作。您必须取消分配（或重新分配）分配给角色的所有用户，然后 Identity Manager 才能删除该角色。您还必须从任何其他角色中删除该角色。

Identity Manager 需要得到角色所有者的批准，然后才能删除角色。

1. 按照搜索角色或查看角色中的说明，搜索要删除的角色。

2. 选中要删除的每个角色旁边的复选框。

3. 单击“删除”。

   将显示“删除角色”确认页。

4. 单击“确定”以删除一个或多个角色。

将资源或资源组分配给角色

什么是角色？和运用角色类型中介绍了 Identity Manager 的资源和资源组分配要求。在将资源分配给角色之前，您应该了解此信息。

如果得到角色所有者批准，Identity Manager 将更改角色的资源和资源组分配。

1. 搜索要向其添加资源或资源组的 IT 角色或应用程序。有关如何搜索角色的说明，请参见搜索角色或查看角色。

2. 单击以打开该角色。

3. 在“编辑角色”页中单击“资源”选项卡。

4. 要分配某个资源，请在“可用资源”列中选中该资源，然后单击箭头按钮将其移到“当前资源”列中。

5. 如果要分配多个资源，则可以指定更新这些资源的顺序：选中“按顺序更新资源”复选框，然后使用 + 和 - 按钮更改“当前资源”列中的资源顺序。

6. 要将资源组分配给此角色，请在“可用资源组”列中将其选中，然后单击箭头按钮以将其移到“当前资源组”列中。资源组是一个资源集合，它提供了另外一种方法来指定创建和更新资源帐户的顺序。

7. 要针对每个资源为此角色指定帐户属性，请在分配的资源部分中单击“设置属性值”。有关详细信息，请参见查看或编辑资源帐户属性。

8. 单击“保存”以打开“确认角色更改”页。

   将打开“确认角色更改”页。

9. 在“更新分配的用户”部分中，选择一个“更新分配的用户”菜单选项。有关详细信息，请参见更新分配给用户的角色。

10. 单击“保存”以保存资源分配。

删除分配给角色的资源或资源组

如果得到角色所有者批准，Identity Manager 将从角色中删除资源或资源组。当用户收到角色更新时，将从用户中删除已删除的资源。（有关详细信息，请参见更新分配给用户的角色。）在删除资源时，用户将失去该资源的权利，除非还将该资源直接分配给用户。

1. 搜索要从中删除资源或资源组的 IT 角色或应用程序。请按照搜索角色或查看角色中的说明搜索角色。

2. 单击以打开该角色。

   将打开“编辑角色”页。

3. 在“编辑角色”页中单击“资源”选项卡。

4. 要删除资源，请在当前资源列中将其选中，然后单击箭头按钮以将其移到可用资源列中。

   要删除资源组，请在当前资源组列中将其选中，然后单击箭头按钮以将其移到可用资源组列中。

5. 单击“保存”。

   将打开“确认角色更改”页。

6. 在“更新分配的用户”部分中，选择一个“更新分配的用户”菜单选项。有关详细信息，请参见更新分配给用户的角色。

7. 单击“保存”以完成更改。

管理用户角色分配

角色是在 Identity Manager 的“帐户”区域中分配给用户的。

将角色分配给用户

可以使用以下过程将一个或多个角色分配给用户。

最终用户也可以为其自己请求分配角色。（只能请求已将父角色分配给用户的可选角色。）有关最终用户如何请求可用角色的信息，请参见Identity Manager 最终用户界面一节中的“请求”选项卡。

1. 在管理员界面中，单击“帐户”选项卡。

   将打开“列出帐户”子选项卡。

2. 要将角色分配给现有用户，请执行以下步骤：

   1. 单击“用户列表”中的用户名称。

   2. 单击“角色”选项卡。

   3. 单击“添加”，将一个或多个角色添加到用户帐户中。

      默认情况下，只能将业务角色直接分配给用户。（如果 Identity Manager 安装是从 8.0 之前版本升级的，则可以将业务角色和 IT 角色直接分配给用户。）

   4. 在角色表中，选择要分配给用户的角色，然后单击“确定”。

      要按名称、类型或描述的字母顺序对该表进行排序，请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表，请从“当前”下拉菜单中进行选择。

      将更新该表以显示选定的角色分配以及与父角色分配有关的任何必需角色分配。

   5. 单击“添加”，以查看也可以分配给用户的可选角色分配。

      选择要分配给用户的可选角色，然后单击“确定”。

   6. （可选）在“激活日期”列中，选择使角色变为活动状态的日期。如果没有指定日期，在指定的角色所有者批准角色分配时，角色分配将立即变为活动状态。

      要使角色分配转变为临时状态，请在“取消激活日期”列中选择使角色变为非活动状态的日期。角色取消激活将在选定日期开始生效。

      有关详细信息，请参见在特定日期激活和取消激活角色。

   7. 单击“保存”。

在特定日期激活和取消激活角色

在将角色分配给用户时，您可以指定激活日期和取消激活日期。在进行分配时，将创建角色分配工作项目请求。不过，如果在预定激活日期之前没有批准角色分配，则不会分配该角色。角色激活和取消激活将在预定日期午夜稍后的时间（凌晨 0:01）进行。

默认情况下，仅业务角色可以具有激活和取消激活日期。所有其他角色类型继承直接分配给用户的业务角色的激活日期和取消激活日期。可以将 Identity Manager 配置为允许其他角色类型具有可直接分配的激活和取消激活日期。有关说明，请参见配置角色类型。

编辑延迟任务扫描程序进度表

延迟任务扫描程序扫描用户角色分配，并根据需要激活和取消激活角色。默认情况下，延迟任务扫描程序任务每小时运行一次。

1. 在管理员界面中，单击“服务器任务”。

2. 单击次级菜单中的“管理进度表”。

3. 在“可调度的任务”部分中，单击“延迟任务扫描程序 TaskDefinition”。

   将打开“创建新的延迟任务扫描程序任务进度表”页。

4. 填写表单。有关帮助，请参阅 i-Helps 和联机帮助。

   要指定应运行任务的日期和时间，请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如，要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务，请键入 09/29/2008 19:00:00。

   在“结果选项”下拉菜单中，选择“重命名”。如果选择等待，直到删除以前的结果时，才会运行该任务的以后实例。有关各种结果选项设置的详细信息，请参见联机帮助。

5. 单击“保存”以保存该任务。

   图 5–9 显示了延迟任务扫描程序任务的预定任务表单。

   图 5–9 延迟任务扫描程序的预定任务表单

   
   

更新分配给用户的角色

在编辑分配给用户的角色时，您可以选择使用新角色更改立即更新用户，或者将更新推迟到在预定维护时段运行。

在对角色进行更改时，将打开“确认角色更改”页。更新分配给用户的角色中显示了“确认角色更改”页。

• 该页的“更新分配的用户”部分显示了当前分配了该角色的用户数。

• 使用“更新分配的用户”菜单可选择是使用新角色更改立即更新用户（更新），将用户更新推迟到以后的某个时间进行（不更新），还是选择自定义的预定更新任务。

  • 由于更新会立即更新用户，如果这会影响到很多用户，则应该避免选择该选项。用户更新可能需要花费很多时间并占用大量资源。如果需要更新很多用户，最好将更新安排在非峰值时间进行。

  • 如果为角色选择了“不更新”，则在管理员查看用户的用户配置文件或者通过“更新角色用户”任务更新用户后，分配给该角色的用户才会收到角色更新。有关计划更新角色用户任务的信息，请参见下一节。

  • 如果创建了“更新角色用户”任务进度表，则可以从菜单中选择该进度表。选定的“更新角色用户”任务将根据为该任务定义的进度表更新分配给该角色的用户。有关详细信息，请参见下一节。

    更新分配给用户的角色显示了“确认角色更改”页。“更新分配的用户”部分显示了当前分配了该角色的用户数。“更新分配的用户”下拉菜单包含两个默认选项：“不更新”和“更新”。也可以从预定更新角色用户任务列表中进行选择。有关创建预定更新角色用户任务的说明，请参见计划更新角色用户任务。

    

手动更新分配的用户

可通过选择一个或多个角色并单击“更新分配的用户”按钮，更新分配给角色的用户。此过程为指定角色运行更新角色用户任务实例。

1. 按照搜索角色或查看角色中的说明，搜索一个或多个应更新为其分配的用户的角色。

2. 使用复选框选择角色。

3. 单击“更新分配的用户”。

   将显示“更新为角色分配的用户”页（图 5–10）。

4. 单击“启动”以开始进行更新。

5. 单击主菜单中的“服务器任务”，然后单击次级菜单中的“所有任务”以检查更新角色用户任务的状态。

   图 5–10 “更新为角色分配的用户”页

   
   

计划更新角色用户任务

---

注 –

应计划定期运行更新角色用户任务。

---

请按如下方式计划更新角色用户任务，以使用未完成的角色更改更新用户：

1. 在管理员界面中，单击“服务器任务”。

2. 单击次级菜单中的“管理进度表”。

3. 在“可调度的任务”部分中，单击“更新角色用户 TaskDefinition”。

   将打开“创建新的更新角色用户任务进度表”页；如果编辑现有任务，则会打开“编辑任务进度表”页（图 5–11）。

4. 填写表单。有关帮助，请参阅 i-Helps 和联机帮助。

   要指定应运行任务的日期和时间，请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如，要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务，请键入 09/29/2008 19:00:00。

   在“结果选项”下拉菜单中，选择“重命名”。如果选择等待，直到删除以前的结果时，才会运行该任务的以后实例。有关各种结果选项设置的详细信息，请参见联机帮助。

5. 单击“保存”以保存该任务。

   图 5–11 显示了更新角色用户任务的预定任务表单。可以将特定角色分配给特定的更新角色用户任务（如“任务参数”一节中所示）。有关详细信息，请参见更新分配给用户的角色。

   图 5–11 “更新角色用户”的预定任务表单

   
   

查找分配给特定角色的用户

您可以搜索分配了特定角色的用户。

1. 在管理员界面中，单击“帐户”。

2. 单击次级菜单中的“查找用户”。将打开“查找用户”页。

3. 找到分配了 [选择角色类型] 角色的搜索类型用户。

4. 选择选项框，然后使用“选择角色类型”下拉菜单过滤可用角色列表。

   将打开第二个角色菜单。

5. 选择一个角色。

6. 清除其他搜索类型复选框，除非您要进一步缩小搜索范围。

7. 单击“搜索”。

   图 5–12 使用“查找用户”页搜索分配了角色的用户

   
   

从用户中删除一个或多个角色

通过使用“编辑用户”页，可以从用户帐户中删除一个或多个角色。只能删除直接分配的角色。在删除父角色时，将会删除间接分配的角色（即条件和/或必需包含角色）。另一种从用户中删除间接分配的角色的方法是，从父角色中删除角色（请参见删除分配给其他角色的角色）。

最终用户也可以请求从其用户帐户中删除分配的角色。请参见Identity Manager 最终用户界面一节中的“请求”选项卡。

有关使用预定取消激活日期删除角色的信息，请参见在特定日期激活和取消激活角色。

1. 在管理员界面中，单击“帐户”选项卡。

   将打开“列出帐户”子选项卡。

2. 单击要从中删除角色的用户。

   将打开“编辑用户”页。

3. 单击“角色”选项卡。

4. 在“角色”表中，选择要从用户中删除的角色，然后单击“确定”。

   要按名称、类型、激活日期、取消激活日期、分配者或状态的字母顺序对该表进行排序，请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表，请从“当前”下拉菜单中进行选择。

   该表将显示父角色分配（可以选择这些角色）以及与父角色分配有关的任何角色分配（无法选择这些角色）。

5. 单击“删除”。

   将更新分配的角色表以显示其余的分配角色。

6. 单击“保存”。

   将打开“更新资源帐户”页。取消选择不希望删除的任何资源帐户。

7. 单击“保存”以保存更改。

配置角色类型

可通过编辑角色配置对象来修改角色类型功能。

将角色类型配置为可直接分配给用户

默认情况下，只能将某些角色类型直接分配给用户。要更改这些设置，请执行以下步骤。

---

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息，请参见使用角色类型设计灵活的角色。

---

要更改可直接分配给用户的角色类型，请执行以下步骤：

1. 按照编辑 Identity Manager 配置对象中的步骤，打开要编辑的角色配置对象。

2. 找到与要编辑的角色类型对应的角色对象。

   • 要编辑 IT 角色，请找到 Object name=’ITRole’

   • 要编辑应用程序角色，请找到 Object name=’ApplicationRole’

   • 要编辑资产角色，请找到 Object name=’AssetRole’

3. 指定一组指令以更新配置。

   根据所需的配置更新方式，选择以下选项之一：

   • 要修改角色类型以使其能直接分配给用户，请在角色对象中找到以下 userAssignment 属性：

     <Attribute name=’userAssignment’> <Object/> </Attribute>

     将其替换为以下内容：

     <Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • 要修改角色类型以使其不能直接分配给用户，请在角色对象中找到 userAssignment 属性并删除 manual 属性，如下所示：

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

使角色类型具有可分配的激活日期和取消激活日期

默认情况下，仅业务角色可以具有激活日期和取消激活日期，可以在分配角色时指定这些日期。所有其他角色继承直接分配给用户的业务角色的激活日期或取消激活日期。

---

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息，请参见使用角色类型设计灵活的角色。

如果选择允许将其他角色类型直接分配给用户（例如，IT 角色类型），您可能还希望能够为该角色类型分配激活和取消激活日期。

---

可以使用以下步骤更改具有可分配的激活日期和取消激活日期的角色类型：

1. 按照编辑 Identity Manager 配置对象中的步骤，打开要编辑的角色配置对象。

2. 找到与要编辑的角色类型对应的角色对象。

   • 要编辑业务角色，请找到 Object name=’BusinessRole’

   • 要编辑 IT 角色，请找到 Object name=’ITRole’

   • 要编辑应用程序角色，请找到 Object name=’ApplicationRole’

   • 要编辑资产角色，请找到 Object name=’AssetRole’

3. 指定一组指令以更新配置。

   根据所需的配置更新方式，选择以下选项之一：

   • 要修改角色类型以使其具有可直接分配的激活日期和取消激活日期，请在角色对象中找到以下 userAssignment 属性：

     <Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute>

     将其替换为以下内容：

     <Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • 要修改角色类型以使其不能具有可直接分配的激活日期和取消激活日期，请在角色对象中找到 userAssignment 属性并删除 activateDate 和 deactivateDate 属性，如下所示：

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

启用或禁用更改批准和更改通知工作项目

默认情况下，将为所有角色类型启用更改批准工作项目。这意味着，每次更改角色（无论是业务角色、IT 角色、应用程序还是资产）时，如果角色具有所有者，则必须得到所有者批准才能进行更改。

有关更改批准和更改通知工作项目的详细信息，请参见启动更改批准工作项目和批准工作项目。

可以使用以下步骤为角色类型启用或禁用更改批准工作项目和更改通知工作项目：

1. 按照编辑 Identity Manager 配置对象中的步骤，打开要编辑的角色配置对象。

2. 找到与要编辑的角色类型对应的角色对象。

   • 要编辑业务角色，请找到 Object name=’BusinessRole’

   • 要编辑 IT 角色，请找到 Object name=’ITRole’

   • 要编辑应用程序角色，请找到 Object name=’ApplicationRole’

   • 要编辑资产角色，请找到 Object name=’AssetRole’

3. 找到位于 <Object> 元素（位于 <Attribute name=’features’> 元素中）中的以下属性：

   <Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/>

4. 根据需要，将属性值设置为 true 或 false。

5. 根据需要重复步骤 2-4 以配置其他角色类型。

6. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

配置“列出角色”页可加载的最大行数

管理员界面中的“列出角色”页可以显示一定数量的行，您可以配置显示的最大行数。默认数目为 500。可以使用本节中的步骤更改该数字。

可以使用以下步骤更改“列出角色”页可显示的最大行数：

1. 按照编辑 Identity Manager 配置对象中的步骤，打开要编辑的角色配置对象。

2. 找到以下属性并更改属性值：

   <Attribute name=’roleListMaxRows’ value=’500’/>

3. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

同步 Identity Manager 角色和资源角色

可以将 Identity Manager 角色与某资源上本地创建的角色同步。默认情况下，同步时资源被分配给角色。这适用于使用同步任务创建的角色以及与某个资源角色名匹配的现有 Identity Manager 角色。

将 Identity Manager 角色与资源角色同步

1. 在管理员界面中，单击主菜单中的“服务器任务”。

2. 单击“运行任务”。将打开“可用任务”页。

3. 单击“使 Identity System 角色与资源角色同步”任务。

4. 填写表单。有关详细信息，请单击“帮助”。

5. 单击“启动”。