33.1 基于角色的权利

“基于角色的权利”策略是 Identity Console 动态组对象,并具有附加功能以允许您授予已连接系统上的“基于角色的权利”。创建一项“基于角色的权利”策略时,可以为策略定义成员资格和应授予“基于角色的权利”策略成员的权利。每个“基于角色的权利”策略都和被指派给某个特定服务器的单个驱动程序集对象关联。和 Identity Manager 驱动程序一样,每个权利策略仅能管理该策略所指派到的服务器的主复本或读/写复本中的对象。

以下各节详细介绍了基于角色的授权:

33.1.1 摘要

此页汇总了权利策略的成员资格准则和权利的高级别视图。

图 33-1 摘要页

成员资格

为动态成员资格指定的准则以 LDAP 过滤器的语法显示。“搜索身份”表示当查询动态成员资格时,使用哪个对象的权限,“基本 DN”和“范围”表示在查询中包含树的哪些部分。

通过选择该复选框,可以查看静态成员资格包含项和排除项。

在“摘要”页上不显示所有成员的组合列表,因为该列表可能很长。要查看权利策略所有成员(包括动态和静态)的组合列表,使用“成员资格”>“查看成员资格”选项卡。

权利

授予给权利策略成员的已连接系统上的权利。请谨记,基于角色的权利与已连接系统是松散一致的。这表示已连接系统的权利状态没有显示在权利策略界面上。如果要将权利授予权利策略,则以后该权利不再在已连接系统中可用,但仍会列在权利策略中直到被手动去除。

冲突解决方法

对于具有值的“基于角色的权利”,如果两个或更多“基于角色的权利”策略向一个用户授予了不同的值,这些方法用于确定授予用户的值。具有值的权利的一个示例是,在电子邮件分发列表中的成员资格,其中值是分发列表的名称。

冲突解决方法为在每个驱动程序对象上为每个权利分别设置。如果一个权利用于多个“基于角色的权利”策略,该冲突解决方法在所有“基于角色的权利”策略中都是相同的。要为权利更改冲突解决方法,在驱动程序的驱动程序清单中更改该权利的设置。

  • 无法识别:“基于角色的权利”策略尚未在向导中完成,或者在驱动程序清单中输入的设置不正确。

  • 合并:默认设置是“合并”(驱动程序清单中的 union)。这表明用户被授予了其所属的所有“基于角色的权利”策略中的所有值。

    当使用默认设置“合并”时,策略列表的优先级顺序对于此特定的权利是不重要的。

    例如,用户被两个不同的“基于角色的权利”策略(“管理员”策略和“小组成员”策略)授予了 GroupWise® Driver A 的电子邮件分发列表的成员资格。在策略 1 中,该用户被授予在“管理员”电子邮件分发列表中的成员资格,在策略 2 中,该用户被授予“小组成员”电子邮件分发列表中的成员资格。使用“合并”设置,用户同时被授予两个电子邮件列表中的成员资格。

  • 优先级:此设置表示如果多个“基于角色的权利”策略向一个用户授予同一驱动程序对象中同一权利的不同值,则用户仅被授予列表中最上面的“基于角色的权利”策略指定的值。

    当使用“优先级”设置时,策略列表的优先级顺序对于此特定的权利是重要的。

    例如,用户被两个不同的“基于角色的权利”策略(“管理员”策略和“小组成员”策略)授予了 Identity Manager Driver for GroupWise A 的电子邮件分发列表的成员资格。在“管理员”策略中,该用户被授予在“管理员”电子邮件分发列表中的成员资格,在“小组成员”策略中,该用户被授予“小组成员”电子邮件分发列表中的成员资格。在策略列表中,“管理员”策略比“小组成员”策略位置高。使用“优先级”设置,用户仅被授予“管理员”电子邮件分发列表中的成员资格。

    对冲突解决方法使用优先级可能是有用的,例如,在已连接系统上的属性仅允许单个值。如果对于同一用户,两个不同的“基于角色的权利”策略为该属性授予值,则用户仅接收列表中最高级别的“基于角色的权利”策略授予的值。

注:对没有值的权利(例如,帐户),不提供冲突解决方法设置。没有值的权利始终授予给“基于角色的权利”策略中的成员,而不考虑列表中的策略优先级。

33.1.2 动态成员

为动态成员资格指定的准则以 LDAP 过滤器的语法显示。“搜索身份”表示当查询动态成员资格时,使用哪个对象的权限,“基本 DN”和“范围”表示在查询中包含树的哪些部分。

成员资格过滤器

您可以定义成员资格的准则,如在树中的位置和对象的属性。例如,成员资格可以取决于用户是否在活动容器中,或职位是否包括“管理员”字样。满足此准则的用户将自动成为“基于角色的权利”策略的成员,而不需要将每个用户专门添加到该策略中。动态成员资格和动态组对象相同。

如果某个对象因更改而不再满足动态成员资格的准则,则下次重评估该用户时,权利将自动撤销。

设置搜索参数

指定要“权利策略”管理的用户的位置。选择保存用户的容器(基本 DN),以及要从该容器继续向下搜索的距离(搜索的范围)。对于要在指定的容器中管理用户的“权利策略”,用户必须在服务器上的读/写复本或主复本中。

为“搜索范围”提供的以下选项:

  • 此容器及其子容器:如果树中此容器以下的用户符合为动态成员资格指定的准则,则他们是“权利策略”的成员。如果子容器中的用户符合准则,则它们也是成员。

  • 仅此容器:仅当此容器中的用户符合为动态成员资格指定的准则时,它们才是“权利策略”的成员。即使此容器下子容器中的用户符合准则,它们也不是成员。

定义过滤器准则

指定确定用户是“权利策略”成员的特征。

在“权利策略”的“摘要”页中,指定的动态成员资格准则会以 LDAP 过滤器的语法显示。

默认情况下,动态成员资格被设置为将所有用户类对象(和从用户类派生出的类对象)作为“权利策略”的成员包含在搜索范围内。

注:如果创建从用户派生出来的新的对象类,则在您对权利策略作出修改之前,现有的“权利策略”不会意识到该类。这样可以避免新类的用户无意识地授予权利。在对“权利策略”作出任何修改后,会更新该策略的派生用户类列表。

创建动态成员资格

在“动态成员”选项卡上,执行以下操作:

  1. 单击动态成员选项卡。

  2. 根据需要使用搜索身份搜索开始于搜索范围过滤器。

  3. 单击特定的创建组创建新条件或行,然后提供所需的搜索准则或条件。

    图 33-2 动态成员

    搜索范围:“搜索范围”指示位于搜索基本 DN 或其以下的条目集,这些条目可能被视为搜索操作的潜在匹配项。

    搜索准则:您可以限制搜索,以帮助您从大量记录中查找特定记录或记录组。

    基本 DN:基本 DN 是服务器搜索用户的起点。

    LDAP 组:用户、组和组织单元(用户和组的容器)的分层组织。

注:用户可以创建具有条件的单个或多个组。条件由属性、运算符和值组成。默认情况下,填充对象类 > 等于 > 用户

33.1.3 静态成员

静态成员是使用静态关键字声明的成员类。静态成员具有某些有限的访问权限。

在“静态成员”选项卡上,可以执行以下操作:

包括成员:

静态添加动态成员资格筛选器未包含的成员。

排除成员:

排除满足过滤器准则但不应包含在权利策略中的成员。

33.1.4 权利

基于角色的权利允许您在连接的系统上授予权利,在 Identity Manager 中授予权限。权利可为以下一种:

  • 已连接系统的帐户。

  • 已连接系统电子邮件分发列表中的成员资格。

  • 已连接系统的组成员资格。

  • 已连接系统的相应对象的属性(由指定值填充)。

注:因为权利功能是 Identity Manager 的一部分,所以在可以授予已连接系统上的权利之前,您必须已经安装 Identity Manager 驱动程序,并且将其配置为支持权利。

创建权利

在“权利”选项卡上,执行以下操作:

  1. 单击权利选项卡。

  2. 单击 添加驱动程序并提供连接的系统中的权利。

    显示添加驱动程序屏幕。

  3. 从下拉菜单中选择驱动程序。

  4. 单击添加

    显示添加权利屏幕。

  5. 从下拉菜单中选择要添加的权利组。

  6. 选择查询类型

    • 超速缓存:以前运行查询时。

    • 外部查询:当查询是新的时。

    显示添加组权利屏幕。

  7. 从下拉菜单中选择组权利,然后单击选择

33.1.5 对其他对象的权利

使用此页可以向权利策略提供 eDirectory 对象的受托者权限。权利策略的每个成员都成为该对象的一个受托者。

除了指派所有属性的权限,还可以单击“添加属性”以指派特定属性的权限。

“继承”复选框确定权限是否在树中向下流动。例如,如果您要向容器对象指派权限,并且希望权利策略对此对象以及该容器下子容器具有相同的权限,请选择“继承”复选框。

当您在此页上完成更改后,eDirectory 中的对象的权限将被授予权利策略成员。相反,下次为该用户修改用于动态成员资格的属性时,或移动或重命名该用户时,已连接系统中的权利将被授予给权利策略的每个成员。(当撤销权限或权利时,情况相同。) 使用“再评估成员资格”任务以强制更新。

创建对其他对象的权限

要创建权限:

  1. 单击 Rights to other Objects(对其他对象的权限)选项卡。

    在这里,您可以添加一个新对象,并浏览希望此权利策略成为其受托者的对象。

    1. 要添加对象,单击 按钮。

      显示环境浏览器页面。该页面由对象组成。

    2. 展开对象,然后根据您的要求选择组或单个用户,并为其指派权限。

      图 33-3 对其他对象的权利

    3. 要添加更多属性,请单击

      显示选择属性页。此页包含对象可以具有的属性列表。

    4. 单击完成

      图 33-4 选择属性

  2. (可选)用 箭头对“基于角色的权利”策略进行优先级排序。

    确定策略的优先级是为了解决多个策略之间的权利冲突。最顶层的策略具有最高优先级。有关详细信息,请参见:确定“基于角色的权利”策略的优先级

33.1.6 确定“基于角色的权利”策略的优先级

创建“基于角色的权利”策略时,影响特定用户的策略可能有冲突。

列表中的“基于角色的权利”策略顺序代表优先级。可以使用向上箭头和向下箭头按钮更改列表中的顺序。

  • 如果已连接系统的某个属性仅允许单值,该设置可能有用。如果对于同一用户,两个不同的“基于角色的权利”策略为该属性授予值,则用户接收列表中最高级别的“基于角色的权利”策略授予的值。再比如,您可能将环境配置为用权利将用户放置到另一系统的分级结构中。您希望将用户放置在某个位置上,而不是同时置于两个位置。

  • 请牢记该设置与每个驱动程序提供的每个权利无关。

  • 通常,在列表中应该将管理员 (administrator) 或管理员 (manager) 策略置于高于终端用户或个别贡献者策略的位置。应将较窄成员资格的组放在高于较宽成员资格的组之上。

要确定“基于角色的权利”策略的优先级,请执行以下操作:

  1. 选择要升级或降级的权利策略。

  2. 箭头对“基于角色的权利”策略进行优先级排序。

    图 33-5 确定策略的优先级

  3. 单击保存 按钮。

    策略成员资格细节的摘要显示在摘要选项卡中。

  4. 重启动驱动程序。

    图 33-6 关闭并重启动

    注:注意:必须重启动驱动程序才能使更改生效。