角色是在 Identity Manager 的“帐户”区域中分配给用户的。
可以使用以下过程将一个或多个角色分配给用户。
最终用户也可以为其自己请求分配角色。(只能请求已将父角色分配给用户的可选角色。)有关最终用户如何请求可用角色的信息,请参见Identity Manager 最终用户界面一节中的“请求”选项卡。
在管理员界面中,单击“帐户”选项卡。
将打开“列出帐户”子选项卡。
要将角色分配给现有用户,请执行以下步骤:
单击“用户列表”中的用户名称。
单击“角色”选项卡。
单击“添加”,将一个或多个角色添加到用户帐户中。
默认情况下,只能将业务角色直接分配给用户。(如果 Identity Manager 安装是从 8.0 之前版本升级的,则可以将业务角色和 IT 角色直接分配给用户。)
在角色表中,选择要分配给用户的角色,然后单击“确定”。
要按名称、类型或描述的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从“当前”下拉菜单中进行选择。
将更新该表以显示选定的角色分配以及与父角色分配有关的任何必需角色分配。
单击“添加”,以查看也可以分配给用户的可选角色分配。
选择要分配给用户的可选角色,然后单击“确定”。
(可选)在“激活日期”列中,选择使角色变为活动状态的日期。如果没有指定日期,在指定的角色所有者批准角色分配时,角色分配将立即变为活动状态。
要使角色分配转变为临时状态,请在“取消激活日期”列中选择使角色变为非活动状态的日期。角色取消激活将在选定日期开始生效。
有关详细信息,请参见在特定日期激活和取消激活角色。
单击“保存”。
在将角色分配给用户时,您可以指定激活日期和取消激活日期。在进行分配时,将创建角色分配工作项目请求。不过,如果在预定激活日期之前没有批准角色分配,则不会分配该角色。角色激活和取消激活将在预定日期午夜稍后的时间(凌晨 0:01)进行。
默认情况下,仅业务角色可以具有激活和取消激活日期。所有其他角色类型继承直接分配给用户的业务角色的激活日期和取消激活日期。可以将 Identity Manager 配置为允许其他角色类型具有可直接分配的激活和取消激活日期。有关说明,请参见配置角色类型。
延迟任务扫描程序扫描用户角色分配,并根据需要激活和取消激活角色。默认情况下,延迟任务扫描程序任务每小时运行一次。
在管理员界面中,单击“服务器任务”。
单击次级菜单中的“管理进度表”。
在“可调度的任务”部分中,单击“延迟任务扫描程序 TaskDefinition”。
将打开“创建新的延迟任务扫描程序任务进度表”页。
填写表单。有关帮助,请参阅 i-Helps 和联机帮助。
要指定应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00。
在“结果选项”下拉菜单中,选择“重命名”。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。
单击“保存”以保存该任务。
图 5–9 显示了延迟任务扫描程序任务的预定任务表单。
在编辑分配给用户的角色时,您可以选择使用新角色更改立即更新用户,或者将更新推迟到在预定维护时段运行。
在对角色进行更改时,将打开“确认角色更改”页。更新分配给用户的角色中显示了“确认角色更改”页。
该页的“更新分配的用户”部分显示了当前分配了该角色的用户数。
使用“更新分配的用户”菜单可选择是使用新角色更改立即更新用户(更新),将用户更新推迟到以后的某个时间进行(不更新),还是选择自定义的预定更新任务。
由于更新会立即更新用户,如果这会影响到很多用户,则应该避免选择该选项。用户更新可能需要花费很多时间并占用大量资源。如果需要更新很多用户,最好将更新安排在非峰值时间进行。
如果为角色选择了“不更新”,则在管理员查看用户的用户配置文件或者通过“更新角色用户”任务更新用户后,分配给该角色的用户才会收到角色更新。有关计划更新角色用户任务的信息,请参见下一节。
如果创建了“更新角色用户”任务进度表,则可以从菜单中选择该进度表。选定的“更新角色用户”任务将根据为该任务定义的进度表更新分配给该角色的用户。有关详细信息,请参见下一节。
更新分配给用户的角色显示了“确认角色更改”页。“更新分配的用户”部分显示了当前分配了该角色的用户数。“更新分配的用户”下拉菜单包含两个默认选项:“不更新”和“更新”。也可以从预定更新角色用户任务列表中进行选择。有关创建预定更新角色用户任务的说明,请参见计划更新角色用户任务。
可通过选择一个或多个角色并单击“更新分配的用户”按钮,更新分配给角色的用户。此过程为指定角色运行更新角色用户任务实例。
使用复选框选择角色。
单击“更新分配的用户”。
将显示“更新为角色分配的用户”页(图 5–10)。
单击“启动”以开始进行更新。
单击主菜单中的“服务器任务”,然后单击次级菜单中的“所有任务”以检查更新角色用户任务的状态。
应计划定期运行更新角色用户任务。
请按如下方式计划更新角色用户任务,以使用未完成的角色更改更新用户:
在管理员界面中,单击“服务器任务”。
单击次级菜单中的“管理进度表”。
在“可调度的任务”部分中,单击“更新角色用户 TaskDefinition”。
将打开“创建新的更新角色用户任务进度表”页;如果编辑现有任务,则会打开“编辑任务进度表”页(图 5–11)。
填写表单。有关帮助,请参阅 i-Helps 和联机帮助。
要指定应运行任务的日期和时间,请在开始日期中使用 mm/dd/yyyy hh:mm:ss 格式。例如,要计划在 2008 年 9 月 29 日晚上 7:00 开始运行任务,请键入 09/29/2008 19:00:00。
在“结果选项”下拉菜单中,选择“重命名”。如果选择等待,直到删除以前的结果时,才会运行该任务的以后实例。有关各种结果选项设置的详细信息,请参见联机帮助。
单击“保存”以保存该任务。
图 5–11 显示了更新角色用户任务的预定任务表单。可以将特定角色分配给特定的更新角色用户任务(如“任务参数”一节中所示)。有关详细信息,请参见更新分配给用户的角色。
您可以搜索分配了特定角色的用户。
在管理员界面中,单击“帐户”。
单击次级菜单中的“查找用户”。将打开“查找用户”页。
找到分配了 [选择角色类型] 角色的搜索类型用户。
选择选项框,然后使用“选择角色类型”下拉菜单过滤可用角色列表。
将打开第二个角色菜单。
选择一个角色。
清除其他搜索类型复选框,除非您要进一步缩小搜索范围。
单击“搜索”。
通过使用“编辑用户”页,可以从用户帐户中删除一个或多个角色。只能删除直接分配的角色。在删除父角色时,将会删除间接分配的角色(即条件和/或必需包含角色)。另一种从用户中删除间接分配的角色的方法是,从父角色中删除角色(请参见删除分配给其他角色的角色)。
最终用户也可以请求从其用户帐户中删除分配的角色。请参见Identity Manager 最终用户界面一节中的“请求”选项卡。
有关使用预定取消激活日期删除角色的信息,请参见在特定日期激活和取消激活角色。
在管理员界面中,单击“帐户”选项卡。
将打开“列出帐户”子选项卡。
单击要从中删除角色的用户。
将打开“编辑用户”页。
单击“角色”选项卡。
在“角色”表中,选择要从用户中删除的角色,然后单击“确定”。
要按名称、类型、激活日期、取消激活日期、分配者或状态的字母顺序对该表进行排序,请单击列标题。再次单击可按相反的顺序进行排序。要按角色类型过滤该列表,请从“当前”下拉菜单中进行选择。
该表将显示父角色分配(可以选择这些角色)以及与父角色分配有关的任何角色分配(无法选择这些角色)。
单击“删除”。
将更新分配的角色表以显示其余的分配角色。
单击“保存”。
将打开“更新资源帐户”页。取消选择不希望删除的任何资源帐户。
单击“保存”以保存更改。