通过 Identity Manager 用户界面的
选项卡上的 操作,您可以查看以前在编目中定义的角色。通过它还可以创建新角色,以及修改、删除和指派现有角色。在
操作列表中单击 。User Application 会显示当前在编目中定义的角色的列表。
在
显示内容的右上角单击 按钮。指定角色名称或说明的过滤字符串,或者在
对话框中选择一个或多个角色级别或类别。单击
来应用您的选择准则。要去除当前过滤器,请单击
。单击
下拉列表并选择要在每页显示的行数:要在角色列表中滚动到另一个页面,请单击列表底部的“下一页”、“上一页”、“第一页”或“最后一页”按钮:
要对角色列表排序,请执行下列操作:
单击要作为排序依据的列的标题。
金字塔形状的排序指示符会指示哪一个列是新的排序列。升序排序时,排序指示符以正常的直立方式显示。
降序排序时,排序指示符以倒立方式显示。
初始排序列由管理员决定。
如果覆盖了初始排序列,则会将您的排序列添加到必选列的列表中。必选列使用星号 (*) 指示。
在修改任务列表的排序顺序时,您的自选设置会与您的其他用户自选设置一起保存到身份库中。
在
显示内容的顶部单击 按钮:User Application 会显示“新建角色”对话框:
提供角色定义的细节,如下所述:
表 16-1 角色细节
字段 |
说明 |
---|---|
|
当角色名称显示在 User Application 中时使用的文本。创建角色时,不能在 中包含以下字符:< > , ; \ " + # = / | & * 可以将此名称翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮。 |
|
当角色说明显示在 User Application 中时使用的文本。与“显示名称”一样,可以将其翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮。 |
|
(修改角色时为只读。)从下拉列表中选择一个角色级别。 角色级别使用 Designer for Identity Manager 角色配置编辑器定义。 |
|
(修改角色时为只读。)驱动程序中角色对象的位置。角色容器处于角色级别中。User application 仅显示所选的角色级别中的角色容器。可以在角色级别中直接创建角色,也可以在角色级别内部的容器中创建角色。可以选择指定角色容器。 |
|
可用于为角色组织对角色进行分类。类别用于对角色列表进行过滤。类别是多选的。 |
|
指定为角色定义拥有者的用户。在对“角色编目”生成报告时,可以根据角色拥有者对报告进行过滤。角色拥有者不会自动具备管理角色定义的更改的授权。 |
单击
保存角色定义。User Application 会在窗口底部另外显示几个选项卡,通过这些选项卡可以完成角色定义。
通过
选项卡,可以定义角色在较高和较低角色包容层次结构中的关系。通过此层次结构,可以将较低级别角色所包含的许可权限或资源分组进更容易指派许可权限的较高级别角色中。允许的关系为:顶层级别角色(业务角色)可以包含较低级别角色。但不能由其他角色包含。如果选择了顶层级别角色,则只能在“角色关系”页面上添加较低级别角色(子角色)关系。
中层级别角色(IT 角色)可以包含较低级别角色,并且它们也可以由较高级别角色包含。通过“角色关系”页面,可以添加较低级别角色(子角色)或较高级别角色(父角色)。
底层级别角色(许可权限角色)可以由较高级别角色包含,但它们不能包含其他底层级别角色。通过“角色关系”页面只能添加较高级别角色。
要定义角色关系,请执行下列操作:
单击
选项卡。单击
。此时会显示
对话框。在
字段中输入关于关系的说明文本。通过在
下拉列表中选择类型来指定要定义的关系的类型。如果新角色是 IT 角色,则通过
下拉列表可以定义 或 关系。如果新角色是业务角色,则 下拉列表会显示只读文本,表明它是 关系,因为只有较低级别角色可以与业务角色关联。如果新角色是许可权限角色,则 下拉列表会显示只读文本,表明它是 关系,因为只有较高级别角色可以与许可权限角色关联。供选择的角色的列表会根据您选择的类型进行过滤。
使用
字段右侧的“对象选择器”来选择要与新角色关联的角色。单击
。要将资源与角色关联,请执行下列操作:
单击
选项卡。单击
。User Application 会显示
对话框。使用“对象选择器”选择所需的资源,并输入关于关联原因的说明文本。
向导会显示一个页面,其中提供关于选定资源的信息,例如资源类别的名称、拥有者、权利和权利值。
对于接收静态参数值(为权利提供附加的属性或详细信息)的权利,向导会在
标签旁显示这些静态值。对于接收动态参数的权利,向导会显示资源请求表单,表单中会包含对应于动态参数的字段,以及为表单定义的所有决策支持字段。在
字段中,输入说明将资源与角色关联的原因的文本。单击
将资源与角色关联。列表会显示您添加到角色定义中的资源:
现有角色指派会发生何种情况。 当向已指派有用户身份的角色添加新的资源关联时,系统会启动新的请求,以将资源授予每个用户身份。
要删除角色的资源关联,请执行下列操作:
在
列表中选择资源关联。单击
。现有角色指派会发生何种情况。 当从已指派有用户身份的角色去除资源关联时,系统会启动新的请求,以从每个用户身份撤消资源。
要定义角色的批准进程,请执行下列操作:
单击
选项卡。提供批准进程的细节,如下所述:
表 16-2 批准细节
字段 |
说明 |
---|---|
|
如果角色在请求时需要批准,且您希望批准进程执行标准角色指派批准定义,请选择该复选框。 如果角色在请求时不需要批准,则取消选择该复选框。 |
自定义批准 |
如果希望使用自定义批准定义(供应请求定义),则选择该单选按钮。使用 选择批准定义。 |
|
如果该角色使用在角色和资源子系统配置中指定的标准角色指派批准定义,则选择该单选按钮。批准定义的名称将以只读方式显示在下面的 中。必须选择批准类型( 或 )以及有效批准者。 |
|
如果希望 列表中的所有用户都批准该角色,请选择 。将按照列表中显示的顺序对批准者进行逐个处理。如果希望 列表中一定百分比的用户批准该角色,请选择 。 当达到指定的用户百分比时,该批准完成。例如,如果希望列表中四个用户中的其中一个批准该条件,应指定“规定数”和“25%”。此外,如果四个批准者必须同时批准,也可以指定 100%。该值必须是介于 1 和 100 之间的整数。 提示:“序列”和“规定数”字段中的悬浮文本对其行为进行了介绍。 |
|
如果应将角色批准任务指派给一个或多个用户,请选择 。如果应将角色批准任务指派给一个组,请选择 。如果应将角色批准任务指派给一个容器,请选择 。如果应将角色批准任务指派给一个角色,请选择 。要查找特定用户、组、容器或角色,请使用部分 1.4.4, 常用用户操作。 。要更改列表中的批准者顺序或去除某个批准者,请参见 |
有关作出角色指派的细节,请参见部分 16.1.5, 指派角色。
通过
操作,可以查看角色指派请求的状态,包括已直接发出的请求和您所属组或容器的角色指派请求。可通过该操作查看每个请求的当前状态。此外,如果改变主意且不需要完成请求,则可通过该操作选择收回尚未完成或终止的请求。操作将显示所有角色指派请求,包括正在运行、待发批准、已批准、已完成、已拒绝或已终止的请求。
要查看角色指派请求的状态,请执行下列操作:
单击
选项卡。要查看请求的详细状态信息,请单击状态:
此时会显示“指派细节”窗口:
有关状态值含义的细节,请参见部分 10.4, 查看请求状态。
要收回某个请求,请选择该请求并单击
。您需要具有收回请求的许可权限。
如果请求已完成或终止,则尝试收回请求时会看到错误讯息。
选择以前定义的角色并单击
。对角色设置进行更改,然后单击
。与现有角色关联的权利。 在早期版本的 Roles Based Provisioning Module 中定义的角色可能具有关联的权利。如果某个角色具有关联的权利,用户界面中会显示
选项卡,通过该选项卡可以查看权利映射,并可选择去除它。在该版本中,可以继续使用角色的权利映射,但 Novell 现在建议您将权利与资源关联,而不是与角色关联。选择以前定义的角色并单击
。现有角色指派会发生何种情况。 对于具有关联资源和指派有一个或多个用户身份的角色,如果删除该角色,系统会从具有关联资源的每个用户身份中去除资源指派。
注:如果您删除为其指派了资源的角色(或从角色中去除用户),则即使这些资源是首次直接指派,系统也会去除该角色的用户的资源指派。出现这种情况的原因在于,系统假定资源指派的最后权威来源是该资源的控制器,如以下情境中所说明:
创建资源并将其映射到权利。
向上面创建的资源指派用户。
创建与前面第一步中创建的资源绑定的角色。
然后向上面创建的角色指派相同用户
从角色中去除用户。
在此情况下,即使为用户直接指派了资源,也会从资源中去除这些用户。最初,视资源指派为权威来源。但是,当向与同一资源关联的角色指派用户时,该角色就成为权威来源。
删除 SoD 限制中的角色。 删除 SoD 限制的冲突角色时,在 SoD 编目列表中,SoD 限制将在名称后的括号中显示
,例如 。警告:已经被授予系统角色(或包含这些角色的容器)的“删除角色”许可权限的角色管理者可以删除系统角色。系统角色不应删除。如果删除了任意系统角色,User Application 将无法正常工作。
您可以通过两种方式指派角色:
通过
通过
对话框下面介绍了这两种方法。
在
中选择以前定义的角色,然后单击 。User Application 会显示
对话框:填写
对话框中的字段:在
字段中输入关于请求原因的说明文本。在“指派类型”字段中,选择
、 或 ,指明将角色指派给哪种用户身份类型。在“对象选择器”中,输入搜索字符串并单击“搜索”。选择要指派的用户、组或容器。
将角色指派给多个用户身份。 您可以为角色指派选择一个或多个用户(或者组或容器)。如果选择多个用户身份,则所有选定用户身份会接收到相同的角色指派值。
在
字段中指定角色指派的开始日期。您可以使用格式 mm/dd/yyyy hh:mm:ss a (其中,a 指定 AM 或 PM)输入日期。 或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期:
在
字段中指定角色指派的失效日期。要指定失效日期,请单击mm/dd/yyyy hh:mm:ss a (其中, 指定 AM 或 PM)输入日期。 或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期。
。 您可以使用格式默认情况下,失效日期设置为
,它表示该角色指派将无限期保持有效。单击
。在
中选择角色,然后单击 打开 对话框。单击
选项卡。选项卡会显示已被授予选定角色的指派的列表。
要添加新的指派,请单击
。User Application 会显示
对话框:有关使用角色指派请求表单的细节,请参见通过编目指派角色。
单击
。通过
,您可以选择和取消选择列,以及对任务列表显示内容中的列重新排序。该行为由 对话框中的一个设置控制。在修改列的列表或对列重新排序时,您的自定义设置会与您的其他用户自选设置一起保存到身份库中。要自定义列的显示方式,请执行下列操作:
在
中单击 :User Application 会显示当前为显示内容选择的列的列表,以及可供选择的其他列的列表。
要在显示内容中包含其他列,可以选择
列表框中的列,并将它拖到 列表框中。要在列表中选择多列,可以按住 Ctrl 键并选择这些列。要在列表中选择一起显示的某个列范围,可以按住 Shift 键并选择这些列。
您可以通过在
列表框中上移或下移某些列,对显示内容中的列重新排序。要从显示内容中去除某个列,可以选择
列表框中的列,并将它拖到 列表框中。列是必选列,不能从角色列表显示中去除。
要保存更改,请单击
。