用户管理员角色

Identity Manager 中包括名为“用户管理员角色”的内置管理员角色。默认情况下，该管理员角色不具有任何分配的权能或受控组织分配。无法将其删除。在登录时，此管理员角色将被隐含分配给所有用户（最终用户和管理员），而不管用户登录到何种界面（例如用户界面、管理员界面、控制台或 Identity Manager IDE）。

有关为服务提供者用户创建管理员角色的信息，请参见第 17 章中的服务提供者用户的委托管理。

可以通过管理员界面编辑用户管理员角色（选择“安全性”，然后再选择“管理员角色”）。

因为通过这种管理员角色静态分配的所有权能或受控组织都将分配给所有用户，所以建议通过规则来分配权能和受控组织。这会使不同的用户能够拥有不同的权能或没有权能，分配范围将取决于用户身份、所属部门或是否为管理人员，可以在规则的上下文中查询这些信息。

用户管理员角色不会使工作流中使用的 authorized=true 标志过时，也不会取而代之。对于工作流（正在执行的工作流除外）所访问的对象，如果用户不拥有访问权限，这种标志将仍然适用。这本质上是使用户可以进入以超级用户身份运行模式。

不过，在某些情况下，用户应对工作流外的一个或多个对象拥有特定访问权限（并且可能对工作流内的一个或多个对象拥有这种权限）。在这些情况下，通过使用规则动态分配权能和受控组织可以实现对这些对象进行细化授权。