角色是一个 Identity Manager 对象,通过该对象,可以将资源访问权限分组并有效地分配给用户。
角色分为以下四种角色类型:
业务角色
IT 角色
应用程序
资产
业务角色用于将组织中执行类似任务的人员工作时所需的访问权限划分到各个组中。通常,业务角色表示用户的工作职责。例如,在一个金融机构中,业务角色可能对应于各个工作职责,如银行出纳员、信贷员、分行经理、办事员、会计或管理助理。
IT 角色、应用程序和资产将资源权利划分为不同的组。要为最终用户提供资源访问权限,请将 IT 角色、应用程序和资产分配给业务角色,以使用户在工作时能够访问所需的资源。IT 角色包含一组特定的应用程序、资产和/或资源,其中包括这些分配的资源的特定权利。IT 角色也可以包含其他 IT 角色。
角色类型的概念是在 Identity Manager 8.0 版中引入的。如果组织从早期版本的 Identity Manager 升级到 8.0 版,则会将传统角色作为 IT 角色导入。有关详细信息,请参见管理在 8.0 之前的版本中创建的角色。
IT 角色、应用程序和资产可以是必需、条件或可选角色。
必需角色将始终分配给最终用户。
条件角色具有一定的条件,其计算值必须为 true 才能分配该角色。
可以单独请求可选角色;在得到批准后,便会将其分配给最终用户。
通过使用必需、条件和可选角色,业务角色设计者可以针对包含的角色定义粗粒度的访问以使用户遵守相关的规定;同时仍为最终用户管理员提供了一定的灵活性,以微调最终用户的访问权限。对于分配了条件或可选角色的用户,仍然可以为其分配相同的业务角色,但为其分配的访问权限是不同的。通过采用这种方法,无需为组织中的每种访问要求变化形式都定义新的业务角色(此问题称为角色爆炸)。