16.2 指派角色

角色指派操作使用户可请求角色指派。“角色模块管理员”、“角色管理者”和不是特别指派给任何已安装系统角色的其他已鉴定用户可执行此操作。

16.2.1 将用户、组和容器指派给角色

要请求将一个或多个用户、组或容器指派给一个角色:

  1. 单击角色指派操作列表中的角色指派

  2. 单击希望如何查看指派?下的角色图标。

  3. 选择要将用户、组或容器指派到的角色。

    使用对象选择器显示历史工具选择角色。有关使用对象选择器显示历史工具的细节,请参见部分 1.4.4, 常用用户操作

    User Application 将显示所选角色指派的当前状态。

    下面说明了指派列表中的列:

    • 指派列提供指派给当前所选角色的对象名称。

    • 角色来源列表示将对象指派给角色的方式,如下所示:

      说明

      角色关系

      表示此指派提供角色关系。“指派”列中的名称为相关角色的名称。

      指派给角色的用户

      表示“指派”列中指定的用户之前已指派给当前所选角色。

      指派给角色的组

      表示“指派”列中指定的组之前已指派给当前所选角色。

      指派给角色的容器

      表示“指派”列中指定的容器之前已指派给当前所选角色。

    • 有效日期列显示指派生效的日期。如果未显示任何日期,则指派一经请求即立即生效。

    • 失效日期列显示指派失效的日期。如果未显示任何日期,则指派保持有效的时间无限期。

    • 状态列显示指派是否已授予:

      状态

      说明

      已供应

      已批准(如果需要)且已激活。

  4. 可以如下所示过滤指派列表:

    1. 要仅查看这些指派,请参见过滤数据以获取有关在指派框中输入的内容的信息。

    2. 要仅查看用户指派,请选中用户框。

    3. 要仅查看组指派,请选中框。

    4. 要仅查看容器指派,请选中容器框。

    5. 要仅查看角色关系,请选中角色框。

    6. 要对显示应用指定的过滤准则,请单击过滤器

    7. 要清除当前指定的过滤准则,请单击重设置

  5. 要设置每页显示的指派的最大数量,请在每页最大行数下拉列表中选择一个数字。

  6. 要创建新的指派,请单击新指派

    指派细节组框中指定指派的细节。

    • 指派类型下拉列表中,选择用户容器,表示要将何种类型的对象指派给当前所选角色。

    • 选择用户字段中,指定要指派的用户。

      注:如果选择作为指派类型,则用户界面将显示选择组字段。如果选择容器,则显示选择容器字段。

    • 初始请求说明字段中,输入说明指派请求的理由的文本。

    • 有效日期字段中,指定希望指派生效的日期。可以使用“日历”控件来选择日期。

    • 失效日期字段中,表示是否希望指派具有失效日期。如果想让指派无限期保持有效,请选择不失效。如果要定义失效日期,请选择指定失效并使用“日历”控件来选择日期。

    • 单击提交以提交角色指派请求。

    注:角色指派操作可用于查看与当前所选角色有关的角色,但不允许创建角色关系。要创建角色关系,需使用管理角色关系操作。

如果将一个角色指派给一个或多个用户时将发生职责分离冲突,用户界面将在页面底部显示职责分离冲突框。在这种情况下,需要为角色指派提供业务调整。

提供调整:

  1. 调整字段中输入说明,解释这种情况下需要职责分离限制异常的原因。

注:以下情况无需提供调整:新角色指派与用户通过角色关系或组或容器中的成员资格间接获得的现有指派之间的冲突。如果已将用户间接添加到一个角色,但是检测到存在潜在的职责分离冲突,则 User Application 允许添加新指派,并记录该违例以进行报告和审计。如果需要,角色管理员可通过重新定义角色来更正违例。

16.2.2 将角色指派给一个用户

要请求将一个或多个角色指派给一个用户:

  1. 单击角色指派操作列表中的角色指派

  2. 单击希望如何查看指派?下的用户图标。

  3. 选择要指派一个或多个角色的用户。

    使用对象选择器显示历史工具选择用户。有关使用对象选择器显示历史工具的细节,请参见使用“对象选择器”按钮进行搜索

    User Application 将显示所选用户指派的当前状态。

    下面说明了指派列表中的列:

    • 指派列提供指派给当前所选用户的角色名称。

    • 来源列表示角色是如何指派给用户的,如下所示:

      说明

      直接指派

      表示此角色是直接指派给当前所选用户的。

      角色角色名称中的成员资格

      表示用户是作为相关角色中的成员而收到此角色的。

      组名中的成员资格

      表示用户是作为组中的成员而收到此角色的。

      容器容器名称中的成员资格

      表示用户是作为容器中的成员而收到此角色的。

    • 有效日期列显示指派生效的日期。如果未显示任何日期,则指派一经请求即立即生效。

    • 失效日期列显示指派失效的日期。如果未显示任何日期,则指派保持有效的时间无限期。

    • 状态列显示指派是否已授予和供应:

      状态

      说明

      已供应

      已批准(如果需要)且已激活。

  4. 可以如下所示过滤指派列表:

    1. 要仅查看以特定字符串开始的指派,请参见过滤数据,以获取有关在指派框中输入的内容的信息。

    2. 要仅查看直接指派给该用户的指派,请选中直接框。

    3. 要仅查看间接指派的指派,请选中间接框。间接指派是用户通过角色关系或作为组或容器中的成员而收到的指派。

    4. 要对显示应用指定的过滤准则,请单击过滤器

    5. 要清除当前指定的过滤准则,请单击重设置

  5. 要设置每页显示的指派的最大数量,请在每页最大行数下拉列表中选择一个数字。

  6. 要创建新的指派,请单击新指派

    指派细节组框中指定指派的细节。

    • 选择角色字段中,指定要指派的角色。

    • 初始请求说明字段中,输入说明指派请求的理由的文本。

    • 有效日期字段中,指定希望指派生效的日期。可以使用“日历”控件来选择日期。

    • 失效日期字段中,表示是否希望指派具有失效日期。如果想让指派无限期保持有效,请选择不失效。如果要定义失效日期,请选择指定失效并使用“日历”控件来选择日期。

    • 单击提交以提交角色指派请求。

如果将一个角色指派给当前所选用户时将发生职责分离冲突,用户界面将在页面底部显示职责分离冲突框。在这种情况下,需要为角色指派提供业务调整。

提供调整:

  1. 调整字段中输入说明,解释这种情况下需要职责分离限制异常的原因。

间接角色指派与 SoD 冲突 以下情况无需提供调整:新角色指派与用户通过角色关系或组或容器中的成员资格间接获得的现有指派之间的冲突。如果已将用户间接添加到一个角色,但是检测到存在潜在的职责分离冲突,则 User Application 允许添加新指派,并记录该违例以进行报告和审计。如果需要,角色管理员可通过重新定义角色来更正违例。

16.2.3 将角色指派给一个组

请求将一个或多个角色指派给一个组:

  1. 单击角色指派操作列表中的角色指派

  2. 单击希望如何查看指派?下的图标。

  3. 选择要指派一个或多个角色的组。

    使用对象选择器显示历史工具选择组。有关使用对象选择器显示历史工具的细节,请参见使用“对象选择器”按钮进行搜索

    User Application 将显示所选组指派的当前状态。

    下面说明了指派列表中的列:

    • 指派列提供指派给当前所选组的角色名称。

    • 来源列表示角色是如何指派给组的,如下所示:

      说明

      直接指派

      表示此角色是直接指派给当前所选组的。

      角色角色名称中的成员资格

      表示为组提供此角色是由于该组已指派给相关角色。

    • 有效日期列显示指派生效的日期。如果未显示任何日期,则指派一经请求即立即生效。

    • 失效日期列显示指派失效的日期。如果未显示任何日期,则指派保持有效的时间无限期。

    • 状态列显示指派是否已授予和供应:

      状态

      说明

      已供应

      已批准(如果需要)且已激活。

  4. 可以如下所示过滤指派列表:

    1. 要仅查看以特定字符串开始的指派,请参见过滤数据,以获取有关在指派框中输入的内容的信息。

    2. 要仅查看直接指派给该组的指派,请选中直接框。

    3. 要仅查看间接指派的指派,请选中间接框。间接指派是组通过角色关系收到的指派。

    4. 要对显示应用指定的过滤准则,请单击过滤器

    5. 要清除当前指定的过滤准则,请单击重设置

  5. 要设置每页显示的指派的最大数量,请在每页最大行数下拉列表中选择一个数字。

  6. 要创建新的指派,请单击新指派

    指派细节组框中指定指派的细节。

    • 选择角色字段中,指定要指派的角色。

    • 初始请求说明字段中,输入说明指派请求的理由的文本。

    • 有效日期字段中,指定希望指派生效的日期。可以使用“日历”控件来选择日期。

    • 失效日期字段中,表示是否希望指派具有失效日期。如果想让指派无限期保持有效,请选择不失效。如果要定义失效日期,请选择指定失效并使用“日历”控件来选择日期。

    • 单击提交以提交角色指派请求。

16.2.4 将角色指派给一个容器

请求将一个或多个角色指派给一个容器:

  1. 单击角色指派操作列表中的角色指派

  2. 单击希望如何查看指派?下的容器图标。

  3. 选择要指派一个或多个角色的容器。

    使用对象选择器显示历史工具选择容器。有关使用对象选择器显示历史工具的细节,请参见使用“对象选择器”按钮进行搜索

    User Application 将显示所选容器指派的当前状态。

    下面说明了指派列表中的列:

    • 指派列提供指派给当前所选容器的角色名称。

    • 来源列表示角色是如何指派给容器的,如下所示:

      说明

      直接指派

      表示此角色是直接指派给当前所选容器的。

      角色角色名称中的成员资格

      表示为容器提供此角色是由于该容器已指派给相关角色。

      容器容器名称中的成员资格

      表示为容器指派此角色是由于该容器已嵌套到一个更高级别的容器内。

    • 有效日期列显示指派生效的日期。如果未显示任何日期,则指派一经请求即立即生效。

    • 失效日期列显示指派失效的日期。如果未显示任何日期,则指派保持有效的时间无限期。

    • 状态列显示指派是否已授予和供应:

      状态

      说明

      已供应

      已批准(如果需要)且已激活。

  4. 可以如下所示过滤指派列表:

    1. 要仅查看以特定字符串开始的指派,请参见过滤数据,以获取有关在指派框中输入的内容的信息。

    2. 要仅查看直接指派给容器的指派,请选择直接框。

    3. 要仅查看间接指派的指派,请选中间接框。间接指派是指容器通过角色关系接收到的指派。

    4. 要对显示应用指定的过滤准则,请单击过滤器

    5. 要清除当前指定的过滤准则,请单击重设置

  5. 要设置每页显示的指派的最大数量,请在每页最大行数下拉列表中选择一个数字。

  6. 要创建新的指派,请单击新指派

    指派细节组框中指定指派的细节。

    • 选择角色字段中,指定要指派的角色。

    • 初始请求说明字段中,输入说明指派请求的理由的文本。

    • 有效日期字段中,指定希望指派生效的日期。可以使用“日历”控件来选择日期。

    • 失效日期字段中,表示是否希望指派具有失效日期。如果想让指派无限期保持有效,请选择不失效。如果要定义失效日期,请选择指定失效并使用“日历”控件来选择日期。

    • 要将此角色指派传送给所有子容器中的用户,请选择将角色指派应用到子容器

    • 单击提交以提交角色指派请求。