Beim herkömmlichen Verfahren werden Berechtigungen auf verbundenen Systemen treiberspezifisch verwaltet, indem lediglich Treiberkonfigurationsrichtlinien erstellt und bearbeitet werden, z. B. mit dem Richtlinien-Builder. Bei diesem herkömmlichen verteilten Modell kontrollieren häufig unterschiedliche Administratoren die einzelnen Identity Manager-Treiber und verbundenen Systeme. Zudem sind die Geschäftsrichtlinien, die festlegen, ob ein Benutzer Ressourcen eines Systems erhält, in den Konfigurationrichtlinien für die Treiber der jeweils verbundenen Systeme meist “hartkodiert” sind.
Das funktionsbasierte Berechtigungsmodell schafft eine Umgebung, in der ein oder weniger Administratoren befügt sind, die Berechtigungsrichtlinien zu kontrollieren. Ein solcher Administrator muss die Grundlagen von Identity Manager kennen, er benötigt aber keine weit reichenden Identity Manager-, XSLT- oder DirXML-Skript-Kenntnisse, um die Schnittstelle für funktionsbasierte Berechtigungen bedienen zu können.
Mit funktionsbasierten Berechtigungsrichtlinien können Sie Geschäftsressourcen automatisch erteilen oder entziehen, wenn die Kriterien erfüllt sind. Berechtigungen sind wie eine „Eintrittskarte“ für den Zugriff auf eine Ressource. Mit der Eintrittskarte dürfen Sie auf die betreffende Ressource zugreifen, ohne Eintrittskarte wird Ihnen der Zugriff verwehrt. Sie können z. B. Folgendes festlegen: Wenn ein Benutzer die Kriterien 1, 2 und 3 erfüllt, wird der Benutzer bei einer funktionsbasierten Berechtigungsrichtlinie Mitglied der Gruppe H. Erfüllt der Benutzer hingegen die Kriterien 4 und 5, wird er Mitglied der Gruppe I.
Die Vorbereitung zur Verwaltung funktionsbasierter Berechtigungen gliedert sich in drei Schritte:
Funktionsbasierte Berechtigungen hängen vom Berechtigungs-Service-Treiber (Entitlement.xml) ab. Bei diesem Treiber handelt es sich um einen Service der Engine, der überwacht, ob für Benutzer eine Mitgliedschaft in einer Berechtigungsrichtlinie besteht. Wenn ein Benutzer die dynamischen Mitgliedschaftskriterien einer dynamischen Gruppe in einer Berechtigungsrichtlinie erfüllt oder ihr statistisch angehört, aktualisiert der Berechtigungs-Service-Treiber im Attribut „DirXML-EntitlementRef“ Informationen zu diesem Benutzerobjekt.
Für die in Schnitt 6.2.1, Identity Manager-Treiber mit Vorkonfigurationen, die Berechtigungen unterstützen aufgelisteten Systeme können Sie Berechtigungen beim Importieren der Identity Manager-Treiberkonfiguration aktivieren. Zu Identity Manager gehören mehrere vorkonfigurierte Treiber, die bereits Berechtigungen und Richtlinien für die Implementierung von Berechtigungen enthalten. Zudem sind diese Treiber so konfiguriert, dass sie den Datenverkehr auf Berechtigungsaktivitäten überwachen. Sie haben dann die Möglichkeit, die bereitgestellten Richtlinien zu überprüfen. Diese Richtlinien unterstützen Berechtigungen, indem sie das Attribut „DirXML-EntitlementRef“ kontrollieren und Berechtigungen erteilen oder entziehen.
Der Berechtigungs-Service-Treiber aktualisiert das Attribut „DirXML-EntitlementRef“ nur, wenn eine der folgenden Situationen eintritt:
Anhand von Berechtigungsrichtlinien können Sie Berechtigungen auf verbundenen Systemen und Rechte im Identitätsdepot erteilen. Für verbundene Systeme können folgende Berechtigungen vergeben werden:
Einige Optionen, die Sie mithilfe von Berechtigungen erstellen können, werden in den Treiberkonfigurationen veranschaulicht, bei denen die Unterstützung für Berechtigungen aktiviert ist.
Da je Treibersatz ein Berechtigungs-Service-Treiber verwendet wird, kann eine Berechtigungsrichtlinie nur Benutzer verwalten, die sich in einer Lese-/Schreib- oder in einer Masterreproduktion auf dem Server befinden, der dem betreffenden Treibersatz zugeordnet ist.
Die Funktionalität von funktionsbasierten Berechtigungsrichtlinien richtet sich nach Identity Manager. Damit Sie verbundene Systeme verwalten können, müssen die Identity Manager-Treiber installiert und richtig konfiguriert sein, ebenso die Identity Manager-Plugins.
Um mögliche Konflikte zwischen zugewiesenen Berechtigungsrichtlinien und Identity Manager-Treiberkonfigurationen zu vermeiden, sollten Sie Ihre Geschäftsrichtlinien im Auge behalten und darauf achten, wie diese mithilfe von Identity Manager umgesetzt werden. Identity Manager-Berechtigungsrichtlinien und Richtlinien in einer Treiberkonfiguration dürfen sich beim Verwalten von Attributen nicht überschneiden oder zueinander in Konflikt stehen.