一般来说,已连接系统中的权利是在每个驱动程序中分别管理的,这些权利通过创建和编辑驱动程序配置策略(如使用策略构建器创建的策略)来进行管理。 在这种传统的分布式模型中,通常由另一个管理员控制每个 Identity Manager 驱动程序和已连接系统,并且在每个已连接系统驱动程序的驱动程序配置策略中,确定用户在该系统中是否可以获得资源的业务策略是分别进行“硬编码”的。
基于职能的权利模型适合于那些一个或几个管理员有权控制权利策略的环境。 这种管理员只需要大体了解 Identity Manager,没有必要掌握大量使用基于职能的权利界面所需的 Identity Manager、XSLT 或 DirXML 底稿专业知识。
如果满足准则,基于职能的权利策略将允许自动授予或取消业务资源。 权利就像访问资源的许可证。 具有许可证,就有权访问指定资源,没有许可证,则无权访问。 您可以指定以下有效示例:如果用户满足准则 1、2 和 3,就能通过基于职能的权利策略成为 H 组的成员;但如果用户满足准则 4 和 5,他(她)将成为 I 组的成员。
可以通过以下三步设置管理基于职能的权利:
基于职能的权利依赖于权利服务驱动程序 (Entitlement.xml)。 此驱动程序是一种引擎服务,用来监视用户在一项权利策略中是否具有成员资格。 如果用户符合权利策略动态组的动态成员资格准则,或已静态地属于该组,则权利服务驱动程序将更新用户对象 DirXML-EntitlementRef 特性的信息。
对于部分 6.2.1, 预配置支持权利的 Identity Manager 驱动程序中所列的系统,在导入 Identity Manager 驱动程序配置时可以启用权利。 Identity Manager 中包含多个具有预配置的驱动程序,这些预配置中已包含权利和实施权利的策略,Identity Manager 中还有允许监听权力活动的驱动程序。 您可以审阅所提供的策略。 这些策略通过监视 DirXML-EntitlementRef 特性以及授予或取消权利来支持权利。
仅在发生以下状况之一时,权利服务驱动程序才更新 DirXML-EntitlementRef 特性:
可使用权利策略在已连接系统中授予权利,还可以在 Identity Vault 中授予权限。 已连接系统中的权利可以是以下任意一项:
在已启用权利的驱动程序配置中,对可以通过权利进行创建的某些选项进行了说明。
因为每个驱动程序集中仅使用一个权利服务驱动程序,所以权利策略只能管理与此驱动程序集关联的服务器中位于读/写复本或主复本中的用户。
基于职能的权利策略功能基于 Identity Manager。 因此,要管理已连接系统,必须正确安装和配置 Identity Manager 驱动程序以及所安装的 Identity Manager 插件。
另外,为避免权利策略指派和 Identity Manager 驱动程序配置之间可能发生的冲突,应该注意业务策略以及如何通过 Identity Manager 对其进行管理。 Identity Manager 权利策略和驱动程序配置中的策略在管理某个特性时不应重叠或冲突。