6.7 建立授權規則

若要建立「授權規則」,您可以使用所提供的精靈。

  1. 確定已設定「授權服務驅動程式」,並已建立所需的驅動程式組態。

  2. 在 iManager 中,按一下「角色授權 > 角色授權」。

  3. 選取驅動程式集。

    每個驅動程式集都會有一個授權規則。

    即會開啟現有「授權規則」的清單,與下圖中的頁面類似。 如果您是第一次使用「角色授權」,則不會列出任何規則。

    授權規則清單

  4. 按一下「新增」。

    授權規則精靈」即會開啟。

  5. 遵循精靈中的步驟 1 至步驟 6,以建立新規則。 如需精靈中每個步驟的相關資訊,請參閱線上說明。

    1. 在步驟 1 中,提供規則的名稱和描述。

    2. 在步驟 2 中,定義成員資格過濾器的搜尋參數。

    3. 在步驟 3 中,藉由在搜尋準則中包含和排除成員,來定義靜態成員。

    4. 在步驟 4 中,選取 Identity Manager 驅動程式,並提供要包含的授權。 您已在節 6.4, 透過 iManager 以 XML 格式寫入授權中建立授權。 按一下「新增驅動程式」,然後選取要新增的授權。

      選取授權

    5. 在步驟 5 中,瀏覽您要此授權規則做為其託管者的物件。

    6. 在步驟 6 中,閱讀摘要,以確保授權規則會進行您想要的操作。 如果是這樣,請按一下「完成」;如果不是,請按一下「上一步」。

  6. 建立授權規則後,會關閉「授權服務」驅動程式。 按一下「重新啟動」,以完成會期。

6.7.1 定義授權規則的成員資格

與 Identity Manager 驅動程式類似,每個「授權規則」只能管理其指定伺服器上主複製本或讀/寫複製本中的物件。 每個「授權規則」都與指定給特定伺服器的單一「驅動程式集」物件相關聯。

只有「使用者」物件 (及其他衍生自「使用者」類別的物件類型) 可以是「授權規則」的成員。 若要顯示「授權規則」的「成員資格」頁面,請選取「角色授權 > 角色授權」,然後將「授權規則清單」中您要編輯的「授權規則」反白,並選取「編輯」。在 Internet Explorer 瀏覽器中,選取「成員資格」索引標籤;在 Firefox 瀏覽器中,從下拉式功能表選取「編輯動態成員」。

「授權規則」是動態的群組物件。 您可以使用動態和靜態兩種方法,來定義「授權規則」的成員資格。 您可以在同一「授權規則」中同時使用兩種方法。

  • 動態: 您可以根據物件的屬性值,來定義成員資格的準則,例如,工作頭銜是否包含「管理員」一字。 您指定的準則會轉換為 LDAP 過濾器。

    符合該準則的使用者會自動成為「授權規則」的一部份,而無需特別將每個使用者新增至規則。 動態成員資格與「動態群組」物件相同。

    如果某物件變更後不再符合動態成員資格的準則,則會自動撤銷授權。

    圖 6-2 編輯動態和靜態成員

  • 靜態: 除了建立動態成員資格的準則 (LDAP 過濾器) 之外,您還可以包含或排除特定的使用者。

    您可以靜態新增不符合過濾器準則的成員。 您可以排除符合過濾器準則、但不應包含於「授權規則」中的成員。

6.7.2 選擇授權規則的授權

授權可讓您授予或撤銷已連接系統上服務的存取權限和 Identity Vault 中的權限。

您在啟用授權後安裝的驅動程式隨附了授權清單,該清單可以使用「授權規則」加以指定。 您可以建立自己的授權,以用於「授權規則」。 驅動程式可以提供的授權是驅動程式的子物件,其由驅動程式開發人員建立,以代表驅動程式和已連接系統的功能。

Identity Vault 中物件的託管者權限會立即授予「授權規則」的成員。 在預設狀態下,當下次針對使用者修改用於「授權規則」成員資格的屬性,或者將使用者移至其他容器或重新命名使用者時,會將已連接系統中的授權授予「授權規則」的每個成員。

已連接系統上的授權可以是下列任何一項:

  • 帳戶
  • 電子郵件配送清單中的成員資格
  • 網路作業系統 (Network Operating System,NOS) 清單中的群組成員資格
  • 已連接系統中相對應物件的屬性,已對其填入您指定的值
  • 您自定的其他授權

已連接系統上的帳戶

若要將授權新增至「授權規則」,請移至「授權」頁面並選取驅動程式。 快顯視窗會顯示驅動程式提供的授權。

例如,在下圖中,您可以看到 GroupWise 驅動程式將提供的兩種授權,清單中的第一種授權是「GroupWise 使用者帳戶」。

圖 6-3 定義授權的介面

電子郵件配送清單和網路作業系統 (NOS) 清單中的成員資格

若要指定已連接系統上群組中的成員資格,請從驅動程式提供的授權清單中選擇成員資格授權。

下圖顯示一個範例,「GroupWise 配送清單」列在清單中的第二位。

圖 6-4 選取 GroupWise 配送清單

在此範例中,如果選擇「GroupWise 配送清單」,則會顯示查詢快顯,如下圖中的範例所示。

圖 6-5 查詢授權

「授權規則」介面可讓您查詢電子郵件配送清單或網路作業系統 (NOS) 清單的清單。 執行查詢之後,您可以選擇檢視快取清單。

驅動程式組態已設定為傳回完整的清單,所以您可以在已連接系統上存在的清單中進行選擇。

附註:您可以自定驅動程式,將清單限制為只包含您指定的群組名稱,而非傳回完整清單的查詢。

已連接系統上的屬性值

您可以指定已連接系統上使用者帳戶的屬性值。 該介面可讓您輸入想要使用者帳戶具有的值。

下圖顯示新增 Notes 屬性 Department 之屬性值的範例。

圖 6-6 新增屬性值