通常,可以使用在 AdminGroup 权能中指定的权限授予访问 Identity Manager objectType(例如,Configuration、Rule 或 TaskDefinition)的权限。但是,授予访问一个或多个受控组织内的所有 Identity Manager objectType 对象的权限有时仍显得过于宽泛。
通过使用授权类型 (AuthType),您可以进一步缩小范围,或者将此访问限制为某个给定 Identity Manager objectType 的部分对象。例如,在填充规则以从用户表单中进行选择时,您可能不希望授权用户访问其控制范围内的所有规则。
要定义新的授权类型,请在 Identity Manager 系统信息库中编辑 AuthorizationTypes 配置对象,然后添加一个新的 <AuthType> 元素。
此元素需要两个属性:
新授权类型的名称
现有授权类型或者新元素扩展或限定的 objectType
例如,如果要添加一个新 Rule 授权类型 Marketing Rule 以扩展 Rule,您应该定义以下内容:
<AuthType name=’Marketing Rule’ extends=’Rule’/>
然后,要启用将使用的授权类型,您必须在两个位置中引用该授权类型。
在为新授权类型授予一个或多个权限的自定义 AdminGroup 权能中
在应属于该类型的对象中
下面是这两种引用的示例。第一个示例说明了授予访问 Marketing Rules 的权限的 AdminGroup 权能定义。
<AdminGroup name=’Marketing Admin’> <Permissions> <Permission type=’Marketing Rule’ rights=’View,List,Connect,Disconnect/> </Permissions> <AdminGroups> <ObjectRef type=’AdminGroup’ id=’#ID#Account Administrator’/> </AdminGroups> </AdminGroup> |
第二个示例说明了允许用户访问对象的 Rule 定义,因为已为这些用户授予了访问 Rule 或 Marketing Rule 的权限。
<Rule name=’Competitive Analysis Info’ authType=’Marketing Rule’> ... </Rule> |
任何用户只要被授予父授权类型或某种授权类型扩展的静态类型的权限,则对于所有子授权类型就将具有相同的权限。因此,使用上面的示例,被授予 Rule 的权限的任何用户对于 Marketing Rule 也将具有相同的权限。但是,反过来并不成立。