角色具有指定的所有者和批准者。仅角色所有者能够授权对定义角色的参数进行更改,仅角色批准者能够授权将角色分配给最终用户。
如果将 Identity Manager 与 SunTM Role Manager 集成在一起,应通过手动禁用 Identity Manager 处理角色更改批准和通知的功能以允许 Role Manager 执行所有这些操作。
必须按如下方式在 Identity Manager 中编辑 RoleConfiguration 配置对象:
查找 changeApproval 的所有实例,并将值设置为 false。
查找 changeNotificaiton 的所有实例,并将值设置为 false。
成为角色所有者就是成为负责通过角色分配的基本资源帐户权限的业务所有者。如果管理员对角色进行更改,则必须经角色所有者批准后才能执行这些更改。此功能可防止管理员在业务所有者不知情或未批准的情况下更改角色。然而,如果在角色配置对象中禁用了更改批准,则不需要得到角色所有者的批准即可执行更改。
除了批准角色更改以外,未经角色所有者批准也无法启用、禁用或删除角色。
可以将所有者和批准者直接添加到角色中,也可以使用角色分配规则动态地进行添加。在 Identity Manager 中,可以创建没有所有者和批准者的角色(但不建议这样做)。
角色分配规则的 authType 为 RoleUserRule。
如果需要创建自定义角色分配规则,请参考三个默认角色分配规则对象并将它们用作示例:
角色批准者
角色通知
角色所有者
如果工作项目需要得到所有者和批准者批准,则会通过电子邮件通知他们。启动更改批准工作项目和批准工作项目一节中介绍了更改批准工作项目和批准工作项目。
所有者和批准者将添加到“创建角色”表单的“安全性”选项卡上的角色中。
指定角色所有者和角色批准者 显示了“创建角色”表单的“安全性”选项卡。有关使用此表单的帮助,请参见联机帮助。