test

Sun Identity Manager 8.1 业务管理员指南

配置角色类型

可通过编辑角色配置对象来修改角色类型功能。

Procedure将角色类型配置为可直接分配给用户

默认情况下,只能将某些角色类型直接分配给用户。要更改这些设置,请执行以下步骤。

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色

要更改可直接分配给用户的角色类型,请执行以下步骤:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 指定一组指令以更新配置。

    根据所需的配置更新方式,选择以下选项之一:

    • 要修改角色类型以使其能直接分配给用户,请在角色对象中找到以下 userAssignment 属性:


      <Attribute name=’userAssignment’>
        <Object/>
    </Attribute>

      将其替换为以下内容:


      <Attribute name=’userAssignment’>
        <Object>
            <Attribute name=’manual’ value=’true’/>
         </Object>
    </Attribute>

    • 要修改角色类型以使其不能直接分配给用户,请在角色对象中找到 userAssignment 属性并删除 manual 属性,如下所示:


      <Attribute name=’userAssignment’>
        <Object>
        </Object>
    </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure使角色类型具有可分配的激活日期和取消激活日期

默认情况下,仅业务角色可以具有激活日期和取消激活日期,可以在分配角色时指定这些日期。所有其他角色继承直接分配给用户的业务角色的激活日期或取消激活日期。

注 –

建议的最佳做法是仅将业务角色直接分配给用户。有关详细信息,请参见使用角色类型设计灵活的角色

如果选择允许将其他角色类型直接分配给用户(例如,IT 角色类型),您可能还希望能够为该角色类型分配激活和取消激活日期。

可以使用以下步骤更改具有可分配的激活日期和取消激活日期的角色类型:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑业务角色,请找到 Object name=’BusinessRole’

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 指定一组指令以更新配置。

    根据所需的配置更新方式,选择以下选项之一:

    • 要修改角色类型以使其具有可直接分配的激活日期和取消激活日期,请在角色对象中找到以下 userAssignment 属性:


      <Attribute name=’userAssignment’>
        <Attribute name=’manual’ value=’true’/>
     </Attribute>

      将其替换为以下内容:


      <Attribute name=’userAssignment’>
        <Object>
            <Attribute name=’activateDate’ value=’true’/>
             <Attribute name=’deactivateDate’ value=’true’/>
             <Attribute name=’manual’ value=’true’/>
        </Object>
    </Attribute>

    • 要修改角色类型以使其不能具有可直接分配的激活日期和取消激活日期,请在角色对象中找到 userAssignment 属性并删除 activateDatedeactivateDate 属性,如下所示:


      <Attribute name=’userAssignment’>
        <Object>
        </Object>
    </Attribute>

  4. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure启用或禁用更改批准和更改通知工作项目

默认情况下,将为所有角色类型启用更改批准工作项目。这意味着,每次更改角色(无论是业务角色、IT 角色、应用程序还是资产)时,如果角色具有所有者,则必须得到所有者批准才能进行更改。

有关更改批准和更改通知工作项目的详细信息,请参见启动更改批准工作项目和批准工作项目

可以使用以下步骤为角色类型启用或禁用更改批准工作项目和更改通知工作项目:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到与要编辑的角色类型对应的角色对象。

    • 要编辑业务角色,请找到 Object name=’BusinessRole’

    • 要编辑 IT 角色,请找到 Object name=’ITRole’

    • 要编辑应用程序角色,请找到 Object name=’ApplicationRole’

    • 要编辑资产角色,请找到 Object name=’AssetRole’

  3. 找到位于 <Object> 元素(位于 <Attribute name=’features’> 元素中)中的以下属性:


    <Attribute name=’changeApproval’ value=’true’/>
 <Attribute name=’changeNotification’ value=’true’/>

  4. 根据需要,将属性值设置为 true 或 false。

  5. 根据需要重复步骤 2-4 以配置其他角色类型。

  6. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。

Procedure配置“列出角色”页可加载的最大行数

管理员界面中的“列出角色”页可以显示一定数量的行,您可以配置显示的最大行数。默认数目为 500。可以使用本节中的步骤更改该数字。

可以使用以下步骤更改“列出角色”页可显示的最大行数:

  1. 按照编辑 Identity Manager 配置对象中的步骤,打开要编辑的角色配置对象。

  2. 找到以下属性并更改属性值:


    <Attribute name=’roleListMaxRows’ value=’500’/>

  3. 保存角色配置对象。无需重新启动应用服务器即可使更改生效。