指定控制范围
服务提供者用户管理员角色的控制范围可指定允许给定的 Identity Manager 管理员、Identity Manager 最终用户或 Identity Manager 服务提供者最终用户查看的服务提供者用户。如果请求在目录中列出服务提供商用户,则会强制指定控制范围。
您可以为服务提供商用户管理员角色控制范围指定以下一个或多个设置:
-
用户搜索上下文。指定是使用规则还是文本字符串来开始搜索。
如果指定为“无”,则默认搜索上下文将是配置为服务提供者用户目录的 Identity Mananger 资源中指定的基本上下文。
-
用户搜索过滤器。指定搜索过滤器是应用规则还是文本字符串。
所选规则指定或返回的文本字符串应为表示用户集的 LDAP 兼容的搜索过滤器字符串,在搜索上下文中,这些用户将由分配了此管理员角色的用户控制。指定的过滤器将与用户指定的搜索过滤器结合,以确保搜索返回的用户不包括分配了此 AdminRole 的用户无权列出的任何用户。
-
用户搜索过滤器后规则。选择在应用用户搜索过滤器后将应用的规则。
该规则在对服务提供者用户目录执行初始 LDAP 搜索后运行,并评估结果以确定允许请求用户访问的识别名 (DN)。
当需要使用非 LDAP 用户属性(例如组成员资格)确定用户是否应在请求用户的控制范围中时,或需要使用信息库而不是服务提供者用户目录(例如 Oracle 数据库或 RACF)做出过滤决策时,可以使用该类型的规则。
- © 2010, Oracle Corporation and/or its affiliates