创建角色

本节介绍了如何创建角色，该信息分为以下几个部分：

• 使用创建角色表单创建角色

• 分配资源和资源组

• 编辑分配的资源属性值

• 分配角色和角色排除

• 指定角色所有者和角色批准者

• 指定通知

• 启动更改批准工作项目和批准工作项目

---

注 –

有关设计角色的提示，请参见使用角色类型设计灵活的角色。

---

当您创建或编辑角色时，Identity Manager 会启动 ManageRole 工作流。此工作流将新建角色或更新的角色保存在信息库中，并允许您在创建或保存该角色前插入批准或其他操作。

使用创建角色表单创建角色

1. 在管理员界面中，单击主菜单中的“角色”。

   将打开“角色”页（“列出角色”选项卡）。

2. 单击页面底部的“新建”。

   将打开“创建 IT 角色”页。要创建另一种类型的角色，请使用“类型”下拉菜单。

3. 填写“标识”选项卡上的表单字段。

   下图显示了“标识”选项卡。

   图 5–3 “创建 IT 角色”页中的“标识”选项卡

   
   

4. 填写“资源”选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配资源和资源组。

   有关在角色上设置扩展属性值的帮助，请参见查看或编辑资源帐户属性。

   下图显示了“资源”选项卡。

   图 5–4 “创建 IT 角色”页中的“资源”选项卡

   
   

5. 填写“角色”选项卡上的表单字段（如果适用）。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及分配角色和角色排除。

   图 5–6 显示了“角色”选项卡。

6. 填写“安全性”选项卡上的表单字段。有关填写此选项卡上的字段的帮助，请参阅联机帮助以及指定角色所有者和角色批准者和指定通知。

   指定角色所有者和角色批准者显示了“安全性”选项卡。

7. 单击页面底部的“保存”。

8. 在“创建角色”表单的“标识”选项卡中，可以输入角色的名称和描述。如果要创建新角色，请使用“类型”下拉菜单选择要创建的角色类型。

   图 5–4 显示了“创建角色”表单的“标识”选项卡的“标识”部分。有关使用此表单的帮助，请参见联机帮助。

分配资源和资源组

可以使用“创建角色”表单的“资源”选项卡，将资源和资源组直接分配给 IT 角色和应用程序角色。后面的了解和管理 Identity Manager 资源一节中介绍了资源。资源组一节中介绍了资源组。

• 无法将资源和资源组直接分配给业务角色，因为只能将角色分配给业务角色。

• 无法将资源和资源组分配给资产角色，因为资产角色是为需要手动置备的非连接资源或非数字资源保留的。

此过程介绍了在填写“创建角色”表单时如何将资源和资源组分配给角色。要了解入门知识，请参见使用创建角色表单创建角色。

1. 在“创建角色”页中单击“资源”选项卡。

2. 要分配某个资源，请在“可用资源”列中选中该资源，然后单击箭头按钮将其移到“当前资源”列中。

3. 如果要分配多个资源，则可以指定更新这些资源的顺序：选中“按顺序更新资源”复选框，然后使用 + 和 - 按钮更改“当前资源”列中的资源顺序。

4. 要将资源组分配给此角色，请在“可用资源组”列中将其选中，然后单击箭头按钮以将其移到“当前资源组”列中。资源组是一个资源集合，它提供了另外一种方法来指定创建和更新资源帐户的顺序。

5. 要针对每个资源为此角色指定帐户属性，请在分配的资源部分中单击“设置属性值”。有关详细信息，请参见查看或编辑资源帐户属性。

6. 单击“保存”以保存角色，或者单击“标识”、“角色”或“安全性”选项卡以继续执行角色创建过程。

   下图显示了“创建角色”表单的“资源”选项卡。

   图 5–5 “创建角色”选项卡式表单的“资源”部分

   
   

编辑分配的资源属性值

可以使用“分配的资源”表来设置或修改分配给角色的资源上的资源属性值。资源可以针对每个角色定义不同的属性值。单击“设置属性值”按钮将打开“资源帐户属性”页。

下图显示了“资源帐户属性”页，它用于在分配给角色的资源上设置扩展资源属性值。

1. 从“资源帐户属性”页中，为每个属性指定新值，并确定如何设置属性值。

   Identity Manager 允许直接设置值，或使用一个规则来设置值；它还提供一些用于覆盖或合并现有值的选项。有关资源属性值的一般信息，请参见查看或编辑资源帐户属性。

   可以使用以下选项设置每个资源帐户属性的值：

   • 值覆盖。请选择以下任一选项：

     • 无（默认）。不设置任何值。

     • 规则。使用规则设置值。

       如果选择此选项，必须从列表中选择规则名称。

     • 文本。使用指定的文本设置值。

       如果选择此选项，则必须在旁边的文本字段中输入文本。

   • 设置方法。请选择以下任一选项：

     • 默认值。使规则或文本作为默认属性值。

       用户可更改或覆盖此值。

     • 设置成值。将属性值设置为规则或文本指定的值。

       设置该值将覆盖所有用户更改。

     • 与值合并。合并当前属性值与规则或文本指定的值。

     • 与值合并，清除现有值。删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。

     • 从值中删除。从属性值中删除规则或文本指定的值。

     • 授权设置值。将属性值设置为规则或文本指定的值。

       设置该值将覆盖所有用户更改。如果删除角色，则即使该属性先前具有相应值，新属性值仍会是空值。

     • 授权与值合并。合并当前属性值与规则或文本指定的值。

       删除角色将删除在分配角色时分配的值，原始属性值将保持不变。

     • 授权与值合并，清除现有。删除当前属性值；将值设置为此分配角色与其他分配角色所指定值的合并值。

       如果删除角色，则即使该属性先前具有相应值，仍会清除此角色指定的属性值。

   • 规则名称。如果在“值覆盖”区域选择“规则”，则需要从列表中选择规则。

   • 文本。如果在“值覆盖”区域选择“文本”，则需要输入要添加至属性值、从属性值删除或用作属性值的文本。

2. 单击“确定”可保存所做的更改并返回“创建角色”或“编辑角色”页。

分配角色和角色排除

可以使用“创建角色”表单的“角色”选项卡，将角色分配给业务角色和 IT 角色。应该将分配的角色添加到包含的角色表中。

• 无法将角色分配给应用程序角色和资产角色。

• 无法将业务角色分配给任何角色类型。

可以使用“创建角色”表单的“角色”选项卡，将角色排除分配给所有四种角色类型。如果将具有角色排除的角色分配给用户，则无法将排除的角色分配给用户。应该将角色排除添加到角色排除表中。

此过程介绍了在填写“创建角色”表单时如何将一个或多个角色分配给某个角色。要了解入门知识，请参见使用创建角色表单创建角色。

填写“角色”选项卡

1. 在“创建角色”页中单击“角色”选项卡。

2. 在“包含的角色”部分中单击“添加”。

   将刷新该选项卡并显示查找要包含的角色表单。

3. 搜索将要分配给此角色的角色。请先从任何必需角色入手。（将随后添加条件和可选角色。）

   有关使用搜索表单的帮助，请参见搜索角色。无法将业务角色嵌套在其他角色类型中，也无法将其分配给其他角色类型。

4. 使用复选框选择一个或多个要分配的角色，然后单击“添加”。

   将刷新该选项卡并显示添加包含的角色表单。

5. 根据需要，从“关联类型”下拉菜单中选择“必需”、“条件”或“可选”。

   单击“确定”。

6. 重复前面的四个步骤，以添加条件角色（如果需要）。再次重复前面的四个步骤，以添加可选角色（如果需要）。

7. 单击“保存”以保存角色，或者单击“标识”、“资源”或“安全性”选项卡以继续执行角色创建过程。

   图 5–6 显示了“创建角色”表单的“角色”选项卡。有关使用此表单的帮助，请参见联机帮助。

   图 5–6 “创建角色”选项卡式表单的“角色”部分

   
   

指定角色所有者和角色批准者

角色具有指定的所有者和批准者。仅角色所有者能够授权对定义角色的参数进行更改，仅角色批准者能够授权将角色分配给最终用户。

---

注 –

如果将 Identity Manager 与 Sun^TM Role Manager 集成在一起，应通过手动禁用 Identity Manager 处理角色更改批准和通知的功能以允许 Role Manager 执行所有这些操作。

必须按如下方式在 Identity Manager 中编辑 RoleConfiguration 配置对象：

• 查找 changeApproval 的所有实例，并将值设置为 false。

• 查找 changeNotificaiton 的所有实例，并将值设置为 false。

---

成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改，则必须经角色所有者批准后才能执行这些更改。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。然而，如果在角色配置对象中禁用了更改批准，则不需要得到角色所有者的批准即可执行更改。

除了批准角色更改以外，未经角色所有者批准也无法启用、禁用或删除角色。

可以将所有者和批准者直接添加到角色中，也可以使用角色分配规则动态地进行添加。在 Identity Manager 中，可以创建没有所有者和批准者的角色（但不建议这样做）。

---

注 –

角色分配规则的 authType 为 RoleUserRule。

如果需要创建自定义角色分配规则，请参考三个默认角色分配规则对象并将它们用作示例：

• 角色批准者

• 角色通知

• 角色所有者

---

如果工作项目需要得到所有者和批准者批准，则会通过电子邮件通知他们。启动更改批准工作项目和批准工作项目一节中介绍了更改批准工作项目和批准工作项目。

所有者和批准者将添加到“创建角色”表单的“安全性”选项卡上的角色中。

指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。有关使用此表单的帮助，请参见联机帮助。

指定通知

在将角色分配给用户时，可以向一个或多个管理员发送通知。

可以选择是否指定通知收件人。如果决定在将角色分配给用户时不需要批准，您可以选择通知管理员。或者，您可以指定一个管理员作为批准者，并指定另一个管理员作为进行批准时的通知收件人。

与所有者和批准者一样，可以将通知直接添加到角色中，也可以使用角色分配规则动态地进行添加。在将角色分配给用户时，可以通过电子邮件向通知收件人发出通知。但不会创建工作项目，因为不需要进行批准。

通知将分配给“创建角色”表单的“安全性”选项卡上的角色。指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。

启动更改批准工作项目和批准工作项目

在对角色进行更改时，角色所有者可能会收到更改批准或更改通知电子邮件，也可能没有收到任何电子邮件。在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。

默认情况下，只要更改了角色所有者拥有的角色，就会向其发送更改批准电子邮件。不过，可以针对每种角色类型对这种行为进行配置。例如，您可以选择为业务角色和 IT 角色启用更改批准，而为应用程序和资产角色启用更改通知。

有关启用和禁用更改批准和更改通知电子邮件的说明，请参见配置角色类型。

下面是更改批准和更改通知的工作方式：

• 如果启用了更改批准，在管理员更改角色时，将会生成一个工作项目并向角色所有者发送批准电子邮件。角色所有者必须批准该工作项目才能进行更改。可以委托更改批准工作项目。有关详细信息，请参见批准用户帐户。

  如果禁用了更改批准，则不会生成工作项目，也不会向角色所有者发送更改批准电子邮件。

• 如果启用了更改通知，则在管理员更改角色时，将会立即进行更改并向角色所有者发送通知电子邮件。

  如果禁用了更改通知，则不会向角色所有者发送任何通知。

在将角色分配给用户时，角色批准者将会收到角色批准电子邮件。无法在 Identity Manager 中禁用角色批准电子邮件。

对于角色批准，在为用户分配角色时，将会生成一个工作项目并向角色批准者发送批准电子邮件。角色批准者必须批准该工作项目才能将角色分配给用户。

可以委托更改批准工作项目和批准工作项目。有关委托工作项目的详细信息，请参见委托工作项目。