通过 Identity Manager 用户界面的角色和资源选项卡上的角色编目操作,您可以查看以前在编目中定义的角色。通过它还可以创建新角色,以及修改、删除和指派现有角色。
在角色和资源操作列表中单击角色编目。
User Application 会显示当前在编目中定义的角色的列表。
在角色编目显示内容的右上角单击显示过滤器按钮。
指定角色名称或说明的过滤字符串,或者在过滤器对话框中选择一个或多个角色级别或类别。
单击过滤器来应用您的选择准则。
要去除当前过滤器,请单击重设置。
单击行下拉列表,然后选择要在每页显示的行数。
要在角色列表中滚动到另一个页面,请单击列表底部的“下一页”、“上一页”、“第一页”或“最后一页”按钮。
要对角色列表排序,请单击要作为排序依据的列的标题。
金字塔形状的排序指示符会指示哪一个列是新的排序列。升序排序时,排序指示符以正常的直立方式显示。
降序排序时,排序指示符以倒立方式显示。
初始排序列由管理员决定。
如果覆盖了初始排序列,则会将您的排序列添加到必选列的列表中。必选列使用星号 (*) 指示。
在修改任务列表的排序顺序时,您的自选设置会与您的其他用户自选设置一起保存到身份库中。
在角色编目显示屏幕的顶部单击新建按钮。
User Application 会显示“新建角色”对话框:
提供角色定义的细节,如表 16-1 中所述。
表 16-1 角色细节
字段 |
说明 |
---|---|
显示名称 |
当角色名称显示在 User Application 中时使用的文本。创建角色时,不能在显示名称中包含以下字符: < > , ; \ " + # = / | & * 可以将此名称翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮。 |
说明 |
当角色说明显示在 User Application 中时使用的文本。与“显示名称”一样,可以将其翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮。 |
角色级别 |
(修改角色时为只读。)从下拉列表中选择一个角色级别。 角色级别使用 Designer for Identity Manager 角色配置编辑器定义。 |
角色子容器 |
(修改角色时为只读。)驱动程序中角色对象的位置。角色容器处于角色级别中。User application 仅显示所选的角色级别中的角色容器。可以在角色级别中直接创建角色,也可以在角色级别内部的容器中创建角色。可以选择指定角色容器。 |
类别 |
可用于为角色组织对角色进行分类。类别用于对角色列表进行过滤。类别是多选的。 |
拥有者 |
指定为角色定义拥有者的用户。在对“角色编目”生成报告时,可以根据角色拥有者对报告进行过滤。角色拥有者不会自动具备管理角色定义的更改的授权。 |
单击保存保存角色定义。
User Application 会在窗口底部另外显示几个选项卡,通过这些选项卡可以完成角色定义。
通过角色关系选项卡,可以定义角色在较高和较低角色包容层次结构中的关系。通过此层次结构,可以将较低级别角色所包含的许可权限或资源分组进更容易指派许可权限的较高级别角色中。允许的关系为:
顶层级别角色(业务角色)可以包含较低级别角色。但不能由其他角色包含。如果选择了顶层级别角色,则只能在“角色关系”页面上添加较低级别角色(子角色)关系。
中层级别角色(IT 角色)可以包含较低级别角色,并且它们也可以由较高级别角色包含。通过“角色关系”页面,可以添加较低级别角色(子角色)或较高级别角色(父角色)。
底层级别角色(许可权限角色)可以由较高级别角色包含,但它们不能包含其他底层级别角色。通过“角色关系”页面只能添加较高级别角色。
要定义角色关系,请执行下列操作:
单击角色关系选项卡。
单击添加。
此时会显示添加角色关系对话框。
在初始请求说明字段中输入关于关系的说明文本。
通过在角色关系下拉列表中选择类型来指定要定义的关系的类型。
如果新角色是 IT 角色,则通过角色关系下拉列表可以定义子或父关系。如果新角色是业务角色,则角色关系下拉列表会显示只读文本,表明它是子关系,因为只有较低级别角色可以与业务角色关联。如果新角色是许可权限角色,则角色关系下拉列表会显示只读文本,表明它是父关系,因为只有较高级别角色可以与许可权限角色关联。
供选择的角色的列表会根据您选择的类型进行过滤。
使用选定的角色字段右侧的“对象选择器”来选择要与新角色关联的角色。
单击添加。
要将资源与角色关联,请执行下列操作:
单击资源选项卡。
单击添加。
User Application 会显示添加资源关联对话框。
使用“对象选择器”选择所需的资源,并输入关于关联原因的说明文本。
向导会显示一个页面,其中提供关于选定资源的信息,例如资源类别的名称、拥有者、权利和权利值。
对于接收静态参数值(为权利提供附加的属性或详细信息)的权利,向导会在权利值标签旁显示这些静态值。对于接收动态参数的权利,向导会显示资源请求表单,表单中会包含对应于动态参数的字段,以及为表单定义的所有决策支持字段。
在关联说明字段中,输入说明将资源与角色关联的原因的文本。
单击添加将资源与角色关联。
资源关联列表会显示您添加到角色定义中的资源。
现有角色指派会发生何种情况 当向已指派有用户身份的角色添加新的资源关联时,系统会启动新的请求,以将资源授予每个用户身份。
要删除角色的资源关联,请执行下列操作:
在资源关联列表中选择资源关联。
单击去除。
现有角色指派会发生何种情况 当从已指派有用户身份的角色去除资源关联时,系统会启动新的请求,以从每个用户身份撤消资源。
要定义角色的批准进程,请执行下列操作:
单击批准选项卡。
提供批准进程的细节,如下所述:
表 16-2 批准细节
字段 |
说明 |
---|---|
必需批准 |
如果角色在请求时需要批准,且您希望批准进程执行标准角色指派批准定义,请选择该复选框。 如果角色在请求时不需要批准,则取消选择该复选框。 注:只有显式地将角色指派给用户时,才会触发角色批准。 |
自定义批准 |
如果希望使用自定义批准定义(供应请求定义),则选择该单选按钮。使用对象选择器选择批准定义。 |
标准批准 |
如果该角色使用在角色和资源子系统配置中指定的标准角色指派批准定义,则选择该单选按钮。批准定义的名称将以只读方式显示在下面的角色指派批准定义中。 必须选择批准类型(序列或仲裁人数)以及有效批准者。 |
批准类型 |
如果希望批准者列表中的所有用户都批准该角色,请选择序列。将按照列表中显示的顺序对批准者进行逐个处理。 如果希望批准者列表中一定百分比的用户批准该角色,请选择仲裁人数。当达到指定的用户百分比时,该批准完成。 例如,如果希望列表中四个用户中的其中一个批准该条件,应指定“规定数”和“25%”。此外,如果四个批准者必须同时批准,也可以指定 100%。该值必须是介于 1 和 100 之间的整数。 提示:“序列”和“规定数”字段中的悬浮文本对其行为进行了介绍。 |
批准者 |
如果应将角色批准任务指派给一个或多个用户,请选择用户。如果应将角色批准任务指派给一个组,请选择组。如果应将角色批准任务指派给一个容器,请选择容器。如果应将角色批准任务指派给一个角色,请选择角色。 要查找特定用户、组、容器或角色,请使用对象选择器。要更改列表中的批准者顺序或去除某个批准者,请参见部分 1.5.2, 常用用户操作。 |
需要撤消批准(与授予配置相同) |
如果角色在撤消时需要批准,请选中此复选框。 用于角色撤销请求核准过程,以及核准者的列表与角色授予请求相同。如果您指示希望核准过程来执行标准角色分配核准定义,将使用此过程。或者,您可以为角色授予请求和角色撤消请求指定一个自定义批准过程。在自定义供应请求定义中,可以指定操作是授予还是撤消,并相应地自定义批准过程。 如果角色在撤消时不需要批准,则取消选择该复选框。 |
有关作出角色指派的细节,请参见部分 16.1.5, 指派角色。
通过请求状态操作,可以查看角色指派请求的状态,包括已直接发出的请求和您所属组或容器的角色指派请求。可通过该操作查看每个请求的当前状态。此外,如果改变主意且不需要完成请求,则可通过该操作选择收回尚未完成或终止的请求。
请求状态操作将显示所有角色指派请求,包括正在运行、待发批准、已批准、已完成、已拒绝或已终止的请求。
要查看角色指派请求的状态,请执行下列操作:
单击请求状态选项卡。
请求操作会显示操作是授予还是撤消。如果需要批准,并且批准过程尚未完成,其状态将显示待批准。
要查看请求的详细状态信息,请单击状态。
“指派细节”窗口随即会显示。
有关状态值含义的细节,请参见部分 11.4, 查看请求状态
要收回某个请求,请选择该请求并单击收回。
您需要具有收回请求的许可权限。
如果请求已完成或终止,则尝试收回请求时会看到错误讯息。
选择以前定义的角色并单击编辑。
对角色设置进行更改,然后单击保存。
与现有角色关联的权利 在先前版本的 Roles Based Provisioning Module 中定义的角色可能有一些关联的权利。如果某个角色具有关联的权利,用户界面中会显示权利选项卡,通过该选项卡可以查看权利映射,并可有选择地去除它。在该版本中,角色的权利映射仍可正常工作,但 NetIQ 现在建议您将权利与资源关联,不要与角色关联。
选择以前定义的角色并单击删除。
当指示 User Application 删除某个角色时,它会先将角色状态设置为待删除。然后,Role and Resource Service 驱动程序会检测到状态变化,并执行以下步骤:
删除角色的资源指派
删除角色本身
Role and Resource Service 驱动程序会优化此过程。但是,此过程可能需要一定时间,具体取决于指派了角色的用户数量;因为 Role and Resource 驱动程序必须确保:如果用户是通过其他方式获得某个资源的,则不删除用户的此资源。如果角色保持待删除状态很长时间,请仔细检查驱动程序,以确保它当前正在运行。
当角色的状态为待删除时,将无法编辑、删除或指派角色。
现有角色指派会发生何种情况 对于具有关联资源和指派有一个或多个用户身份的角色,如果删除该角色,系统会从具有关联资源的每个用户身份中去除资源指派。
注:如果您删除为其指派了资源的角色(或从角色中去除用户),则即使这些资源是首次直接指派,系统也会去除该角色的用户的资源指派。出现这种情况的原因在于,系统假定资源指派的最后权威来源是该资源的控制器,如以下情境中所说明:
创建资源并将其映射到权利。
向上面创建的资源指派用户。
创建与前面第一步中创建的资源绑定的角色。
然后向上面创建的角色指派相同用户
从角色中去除用户。
在此情况下,即使为用户直接指派了资源,也会从资源中去除这些用户。最初,视资源指派为权威来源。但是,当向与同一资源关联的角色指派用户时,该角色就成为权威来源。
删除 SoD 限制中的角色 删除 SoD 限制的冲突角色时,在 SoD 编目列表中,SoD 限制将在名称后的括号中显示 Invalid,例如 Doctor Pharmacists SoD [Invalid]。
警告:已经被授予系统角色(或包含这些角色的容器)的“删除角色”许可权限的角色管理者可以删除系统角色。系统角色不应删除。如果删除了任意系统角色,User Application 将无法正常工作。
您可以通过两种方式指派角色:
通过角色编目
通过编辑角色对话框
下面介绍了这两种方法。
在角色编目中选择以前定义的角色,然后单击指派。
User Application 会显示指派角色对话框。
填写添加角色指派对话框中的字段:
在初始请求说明字段中输入关于请求原因的说明文本。
在“指派类型”字段中,选择用户、组或容器,指明将角色指派给哪种用户身份类型。
在“对象选择器”中,输入搜索字符串并单击“搜索”。选择要指派的用户、组或容器。
将角色指派给多个用户身份 您可以为角色指派选择一个或多个用户(或者组或容器)。如果选择多个用户身份,则所有选定用户身份会接收到相同的角色指派值。
在生效日期字段中指定角色指派的开始日期。
您可以使用格式 mm/dd/yyyy hh:mm:ss a(其中,a 指定 AM 或 PM)输入日期。或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期。
在失效日期字段中指定角色指派的失效日期。
注:失效日期仅适用于用户指派。对于组和容器,失效日期字段不可用。
要指定失效日期,请单击指定失效日期。您可以使用格式 mm/dd/yyyy hh:mm:ss a(其中,a 指定 AM 或 PM)输入日期。或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期。
默认情况下,失效日期设置为不失效,它表示该角色指派将无限期保持有效。
单击提交。
在角色编目中选择角色,然后单击编辑打开编辑角色对话框。
单击指派选项卡。
指派选项卡会显示已被授予选定角色的指派的列表。
要添加新的指派,请单击指派。
User Application 会显示指派角色对话框。
有关使用角色指派请求表单的细节,请参见通过编目指派角色。
如果将一个角色指派给一个或多个用户时将发生职责分离冲突,用户界面将在页面底部显示职责分离冲突框。在这种情况下,需要为角色指派提供业务调整。有关责任分离限制的详细信息,请参见浏览 SoD 编目。
注:以下情况无需提供调整:新角色指派与用户通过角色关系或组或容器中的成员资格间接获得的现有指派之间的冲突。
如果一个用户间接添加到一个角色中,接着系统检测到存在潜在的责任分离冲突,User Application 会允许添加这个新指派,同时会记录该违例以供报告和审计之用。如果需要,角色管理员可通过重新定义角色来更正违例。
要刷新角色列表,请单击刷新。
注:如果创建一个角色指派,然后去除它,您会看见一条讯息,表示已去除该指派,但可能仍会列出该指派。如果刷新页面,您会看到该指派已去除。
通过角色编目,您可以选择和取消选择列,以及对任务列表显示内容中的列重新排序。该行为由自定义角色编目显示对话框中的一个设置控制。在修改列的列表或对列重新排序时,您的自定义设置会与您的其他用户自选设置一起保存到身份库中。
要自定义列的显示方式,请执行下列操作:
在角色编目中单击自定义:
User Application 会显示当前为显示内容选择的列的列表,以及可供选择的其他列的列表。
要在显示内容中包含其他列,可以选择可用列列表框中的列,并将它拖到选定列列表框中。
要在列表中选择多列,可以按住 Ctrl 键并选择这些列。要在列表中选择一起显示的某个列范围,可以按住 Shift 键并选择这些列。
您可以通过在选定列列表框中上移或下移某些列,对显示内容中的列重新排序。
要从显示内容中去除某个列,可以选择选定列列表框中的列,并将它拖到可用列列表框中。
角色名称列是必选列,不能从角色列表显示中去除。
要保存更改,请单击保存。