16.1 瀏覽角色目錄

在 Identity Manager 使用者介面中,「角色與資源」索引標籤上的「角色目錄」動作可讓您檢視先前在目錄中定義的角色。另外還可讓您建立新角色,修改、刪除和指定現有角色。

16.1.1 檢視角色

  1. 按一下「角色與資源」動作清單中的「角色目錄」。

    使用者應用程式會顯示該目錄中目前定義的角色清單。

過濾角色清單

  1. 按一下「角色目錄」顯示畫面右上角的「顯示過濾器」按鈕。

  2. 在「過濾器」對話方塊中,指定角色名稱或描述的過濾字串,或選取一或多個角色層級或類別。

  3. 按一下「過濾器」套用選擇準則。

  4. 若要移除目前的過濾器,請按一下「重設」。

設定一頁可顯示的最大角色數

  1. 按一下「」下拉式清單,然後選取每頁顯示的列數︰

在角色清單內捲頁

  1. 若要在角色清單中捲動至另一頁,請按一下清單底部的「下一頁」、「上一頁」、「第一頁」或「最後一頁」按鈕:

對角色清單排序

若要對角色清單排序:

  1. 按一下要依照其進行排序的欄標題。

    金字塔形排序指示器會顯示哪個欄是新的排序欄。若按照遞增方式排序,則排序指示器會以其正常的直立方向顯示。

    若按照遞減方式排序,則排序指示器會以倒置的方向顯示。

    啟始排序欄由管理員決定。

若您覆寫啟始排序欄,您的排序欄會新增至必要欄清單中。必要欄以星號 (*) 表示。

當您修改任務清單的排序順序後,該優先設定會和您的其他使用者優先設定一起儲存在 Identity Vault 中。

16.1.2 建立新的角色

  1. 按一下「角色目錄」顯示畫面頂部的「新增」按鈕:

    使用者應用程式會顯示「新增角色」對話方塊:

  2. 為角色定義提供詳細資料,如下所述:

    表 16-1 角色詳細資料

    欄位

    描述

    顯示名稱

    在使用者應用程式中顯示角色名稱時使用的文字。在建立角色時,「顯示名稱」中不能包含下列字元:

    < > , ; \ " +  # = / | & *

    您可以將此名稱翻譯為「使用者應用程式」支援的任何語言。如需詳細資訊,請參閱表 1-1, 通用按鈕

    描述

    在使用者應用程式中顯示角色描述時使用的文字。與「顯示名稱」相同,您可以將其翻譯為使用者應用程式支援的任何語言。如需詳細資訊,請參閱表 1-1, 通用按鈕

    角色層級

    (修改角色時唯讀。) 從下拉式清單中選擇角色層級。

    角色層級可使用 Designer for Identity Manager 角色組態編輯器來定義。

    角色子容器

    (修改角色時唯讀。) 驅動程式中角色物件的位置。角色容器位於角色層級下。使用者應用程式僅顯示位於所選角色層級下的角色容器。您可以直接在角色層級內建立角色,也可以在角色層級內的容器中建立角色。指定角色容器為選用功能。

    類別

    可讓您對角色進行分類以方便組織角色。類別用於過濾角色清單。類別為多選項。

    擁有者

    指定為角色定義擁有者的使用者。針對「角色目錄」產生報告時,您可以根據角色擁有者過濾這些報告。角色擁有者不會自動擁有對角色定義所做變更的管理權限。

  3. 按一下「儲存」以儲存角色定義。

    使用者應用程式會在視窗底部顯示數個額外的索引標籤,讓您用於完成角色定義。

定義角色關係

角色關係」索引標籤可讓您定義角色包含階層中較高層級與較低層級的角色如何相關。您可以使用此階層將較低層級角色包含的許可或資源歸入較高層級角色中,從而使許可的指定更為容易。允許的關係有:

  • 頂層角色 (業務角色) 可以包含較低層級角色。它們不能為其他角色所包含。如果您選取頂層角色,「角色關係」頁面將僅允許您新增較低層級 (子代) 角色關係。

  • 中間層級角色 (IT 角色) 可包含較低層級角色,並且可為較高層級角色所包含。「角色關係」頁面可讓您新增較低層級 (子代) 角色或較高層級 (上層) 角色。

  • 底層角色 (許可角色) 可為較高層級角色所包含,但它們不能包含其他底層角色。「角色關係」頁面將僅允許您新增較高層級角色。

若要定義角色關係:

  1. 按一下「角色關係」索引標籤。

  2. 按一下「新增」

    新增角色關係」對話方塊隨即顯示。

  3. 在「初始申請描述」欄位中提供描述關係的文字。

  4. 在「角色關係」下拉式清單中選取類型,指定要定義的關係類型。

    若新角色為 IT 角色,「角色關係」下拉式清單可讓您定義「子代」或「上層」關係。若新角色為業務角色,「角色關係」下拉式清單會顯示唯讀文字,指出這是「子代」關係,因為只有較低層級角色才會與業務角色相關。若新角色為許可角色,「角色關係」下拉式清單會顯示唯讀文字,指出這是「上層」關係,因為只有較高層級角色才會與許可角色相關。

    可供選擇的角色清單會根據所選類型進行過濾。

  5. 使用「選定的角色」欄位右側的「物件選擇器」選取您希望與新角色相關聯的角色。

  6. 按一下「新增」

將資源與角色關聯

若要將資源與角色相關聯:

  1. 按一下「資源」索引標籤。

  2. 按一下「新增」

    使用者應用程式會顯示「新增資源關聯」對話方塊。

  3. 使用「物件選擇器」選取需要的資源,並提供說明關聯原因的文字。

    精靈會顯示一頁面,提供所選資源的相關資訊,例如資源類別的名稱、擁有者、授權及授權值。

    對於使用可提供額外屬性或詳細資訊之靜態參數值的授權,精靈會在「授權值」標籤旁邊顯示靜態值。對於使用動態參數的授權,精靈會顯示資源申請表單,其中包含動態參數的欄位,以及為該表單定義的所有決策支援欄位。

  4. 在「關聯描述」欄位中,鍵入文字說明該資源與該角色關聯的原因。

  5. 按一下「新增」將資源與角色相關聯。

    資源關聯」清單會顯示您新增至角色定義的資源:

    對現有角色指定的影響。 若將新資源關聯新增至已指定多個身分的角色,系統會啟始一個新申請,以將資源授予至每個身分。

若要刪除角色的資源關聯:

  1. 在「資源關聯」清單中選取該資源關聯。

  2. 按一下「移除」。

    對現有角色指定的影響。 若從已指定多個身分的角色中移除資源關聯,系統會啟始一個新申請,以廢止每個身分的資源。

定義角色的核准程序

若要定義角色的核准程序:

  1. 按一下「核准」索引標籤。

  2. 為核准程序提供詳細資料,如下所述:

    表 16-2 核准詳細資料

    欄位

    描述

    必要

    若申請角色時需要核准,並且您希望核准程序執行標準角色指定核准定義,請選取此核取方塊。

    若申請角色時不需要核准,請不選此核取方塊。

    自定核准

    若要使用自定核准定義 (佈建申請定義),請選取此選項圓鈕。請使用「物件選擇器」來選取核准定義。

    標準核准

    若此角色使用「角色與資源子系統」組態中指定的標準角色指定核准定義,請選取此選項圓鈕。核准定義名稱在下方的「角色指定核准定義」中顯示為唯讀模式。

    您必須選取核准類型 (「序列」或「最低核准人數」) 及有效的核准人。

    核准類型

    如果您希望由「核准人」清單中的所有使用者來核准角色,則選取「序列」。系統將依照核准人在清單中的顯示順序依序處理核准人。

    若您希望由「核准人」清單中一定比例的使用者來核准角色,請選取「最低核准人數」。當達到指定的使用者百分比時,核准即會完成。

    例如,若您希望清單中四位使用者中的一位來核准條件,請指定「仲裁」及 25%。或者,如果所有四位使用者必須平行核准,請指定 100%。該值必須是介於 1 與 100 之間的整數。

    提示:「序列」和「仲裁」欄位有說明其行為的連結文字。

    核准人

    如果角色核准任務應指定給一或多個使用者,則選取「使用者」。如果角色核准任務應指定給一個群組,則選取「群組」。若角色核准任務應指定給一個容器,請選取「容器」。若角色核准任務應指定給一個角色,請選取「角色」。

    若要找出特定的使用者、群組、容器或角色,請使用「物件選擇器」。若要變更清單中核准人的順序或移除核准人,請參閱節 1.4.4, 通用使用者動作

建立角色指定

如需建立角色指定的詳細資料,請參閱節 16.1.5, 指定角色

檢查申請的狀態

申請狀態」動作可讓您查看您的角色指定申請的狀態,包括您直接提出的申請及您所屬群組或容器的角色指定申請。它可以讓您查看每個申請的目前狀態。此外,如果您改變主意或不需要完成申請,它還可讓您選擇收回尚未完成或終止的申請。

申請狀態」動作會顯示所有角色指定申請,包括狀態為執行中、待處理的核准、已核准、已完成、被拒或已終止的那些申請。

若要檢視角色指定申請的狀態:

  1. 按一下「申請狀態」索引標籤。

  2. 若要查看申請狀態的詳細資訊,請按一下狀態:

    「指定詳細資料」視窗隨即顯示:

    如需狀態值所代表涵義的詳細資料,請參閱節 10.4, 檢視申請狀態

  3. 若要收回申請,請在選取申請後按一下「收回」。

    您需要擁有相關許可才能收回申請。

    若申請已完成或已終止,則當您嘗試收回申請時,系統會顯示一則錯誤訊息。

16.1.3 編輯現有角色

  1. 選取先前定義的角色,然後按一下「編輯」。

  2. 對角色設定進行所需變更,然後按一下「儲存」。

與現有角色關聯的授權。 在 Roles Based Provisioning Module 的早期版本中定義的角色可能擁有關聯的授權。若角色擁有與其關聯的授權,則使用者介面會顯示「授權」索引標籤,供您查看授權對應,並根據需要移除對應。在本版本中,角色的授權對應仍能正常工作,但 Novell 現在建議您將授權與資源相關聯,而不是與角色相關聯。

16.1.4 刪除角色

  1. 選取先前定義的角色,然後按一下「刪除」。

    對現有角色指定的影響。 若刪除與某個資源相關聯且指定了一或多個身分的角色,系統會從擁有關聯資源的每個身分中移除資源指定。

    附註:如果刪除某個已指定資源的角色 (或移除角色中的使用者),系統會移除該角色中各使用者的資源指定,即使當初這些資源是直接指定給使用者也如此。發生此現象的原因是,系統假設資源指定的最後授權來源是該資源的控制器,下例中做了說明︰

    1. 建立一個資源並將其對應於一個授權。

    2. 將一個使用者指定給上文建立的資源。

    3. 建立一個角色,並將該角色繫結到上文第一步中建立的資源。

    4. 然後,將同一個使用者指定給上文建立的角色。

    5. 將該使用者從角色中移除。

    此時,使用者與資源的關係便會移除,即使資源是直接指定給該使用者也不例外。最初,系統是將資源指定做為授權來源。不過,當使用者指定給與該資源關聯的角色後,該角色便成為授權來源。

    刪除 SoD 條件約束中的角色。 刪除某個 SoD 條件約束的衝突角色後,該條件約束名稱後會附加文字「無效」並以中括弧括住,例如 SoD 目錄清單中的「醫生藥劑師 SoD [無效]」。

警告:已授予系統角色 (或包含這些角色的容器) 之「刪除角色」許可的角色主管可以刪除系統角色,但您不應刪除系統角色。若刪除任一系統角色,使用者應用程式都將出現問題。

16.1.5 指定角色

您可以使用以下兩種方式之一指定角色:

  • 透過「角色目錄

  • 透過「編輯角色」對話方塊

兩種方法說明如下。

透過目錄指定角色

  1. 在「角色目錄」中選取先前定義的角色,然後按一下「指定」。

    使用者應用程式會顯示「指定角色」對話方塊:

  2. 填寫「角色指定」對話方塊中的欄位:

    1. 在「初始申請描述」欄位中提供說明申請原因的文字。

    2. 在「指定的類型」欄位中,選取「使用者」、「群組」或「容器」,以指出角色將指定給何種身分。

    3. 在「物件選擇器」中,輸入搜尋字串並按一下「搜尋」。選取要指定的使用者、群組或容器。

      將角色指定給多個身分。 您可以為角色指定選取一或多個使用者、群組或容器。若選取多個身分,則所有選取的身分都會接收到相同的角色指定值。

    4. 在「生效日期」欄位中指定角色指定的開始日期。

      您可採用 yyyy/mm/dd hh:mm:ss a (其中,a 用於指定上午或下午) 的格式鍵入日期。或者,您可以按一下「行事曆」圖示,從「行事曆」快顯視窗中選取日期:

    5. 在「過期日」欄位中指定角色指定的過期日期。

      若要指定過期日,請按一下「指定過期日」。您可採用 yyyy/mm/dd hh:mm:ss a (其中,a 用於指定上午或下午) 的格式鍵入日期。或者,您可以按一下「行事曆」圖示,從「行事曆」快顯視窗中選取日期。

      過期日預設為「無過期」,這表示此角色指定將永久有效。

  3. 按一下「提交」。

透過編輯角色對話方塊指定角色

  1. 在「角色目錄」中,選取一個角色,然後按一下「編輯」開啟「編輯角色」對話方塊。

  2. 按一下「指定」索引標籤。

    指定」索引標籤顯示已為所選角色授予的指定清單。

  3. 若要新增指定,請按一下「指定」。

    使用者應用程式會顯示「指定角色」對話方塊:

    如需有關使用角色指定申請表單的詳細資料,請參閱透過目錄指定角色

16.1.6 重新整理角色清單

  1. 按一下「重新整理」。

16.1.7 自定角色清單顯示畫面

角色目錄」可讓您選取和不選某些欄,還可以將任務清單顯示畫面中的欄重新排序。此行為由「自定角色目錄顯示」對話方塊內的設定控制。當您修改欄清單或對欄重新排序後,該自定設定會和您的其他使用者優先設定一起儲存在 Identity Vault 中。

若要自定欄的顯示方式:

  1. 按一下「角色目錄」中的「自定」:

    使用者應用程式會顯示目前為顯示畫面選取的欄清單,以及可供選擇的其他欄清單。

  2. 若要在顯示畫面中包含其他欄,請在「可用的欄」清單方塊中選取該欄,然後將其拖曳至「選取的欄」清單方塊中。

    若要在清單中選取多個欄,請按住 Ctrl 鍵然後選取這些欄。若要在清單中選取顯示在一起的一組欄,請按住 Shift 鍵然後選取這些欄。

    您可在「選取的欄」清單方塊中將欄往上或往下移動,將顯示畫面中的欄重新排序。

  3. 若要移除顯示畫面中的某個欄,請在「選取的欄」清單方塊中選取該欄,然後將其拖曳至「可用的欄」清單方塊中。

    角色名稱」欄是必要欄,無法從角色清單顯示畫面中移除。

  4. 若要儲存變更,請按一下「儲存」。