通过组织授权委托

默认情况下，Identity Manager 通过基于组织的授权模型提供管理职责的委托。

在基于组织的授权模型中创建委托管理员时，请谨记以下几点：

• 服务提供者管理员是具有特定权能和受控组织的 Identity Manager 用户。

• 用户的组织属性值可以是 Identity Manager 组织的名称，也可以是对象 ID。这取决于 Identity Manager 主配置屏幕中的“Identity Manager 组织属性名称包括 ID”字段的设置。

• 您可以创建 Identity Manager 分层结构，并以您要委托这些组织管理的方式将组织置于该分层结构中。请使用组织的特定标识，而不是组织的简单名称。

• 服务提供商用户通过目录服务器中的用户属性获取其组织。

  • 您必须在目录服务器资源的模式映射中设置这些属性。

  • 属性比较是通过对管理员受控组织列表进行完全匹配来完成的。目录中存储的值必须与组织名称相匹配，而不是整个分层结构。如果管理员控制 Top:orgA:sub1，则 sub1 必须为存储在服务提供者用户的组织属性中的值。

  • 如果未设置属性或属性与 Identity Manager 组织不对应，则会将服务提供者用户视为 Top 组织的成员。这要求服务提供者管理员在 Top 中具有服务提供者用户权能才能管理这些用户。

  属性设置可确定按服务提供者管理员进行搜索的范围。

• 要创建委托管理员帐户，应先创建 Identity Manager 管理员，然后添加服务提供者管理员权能。可以将特定于服务提供者任务的权能分配给用户（在“编辑用户”页的“安全性”选项卡中）。受控组织可指定管理员可以修改的服务提供者用户。适用于服务提供者用户的所有资源均适用于所有 Identity Manager 管理员。

有关 Identity Manager 委托管理的详细信息，请参见第 6 章中的委托管理