15.1 浏览角色编目

通过 Identity Manager 用户界面的角色和资源选项卡上的角色编目操作,您可以查看以前在编目中定义的角色。通过它还可以创建新角色,以及修改、删除和指派现有角色。

15.1.1 查看角色

  1. 角色和资源操作列表中单击角色编目

    User Application 会显示当前在编目中定义的角色的列表。

过滤角色列表

  1. 角色编目显示内容的右上角单击显示过滤器按钮。

  2. 指定角色名称或说明的过滤字符串,或者在过滤器对话框中选择一个或多个角色级别或类别。

  3. 单击过滤器来应用您的选择准则。

  4. 要去除当前过滤器,请单击重设置

设置页面的最大角色数量

  1. 单击下拉列表并选择要在每页显示的行数:

在角色列表中滚动

  1. 要在角色列表中滚动到另一个页面,请单击列表底部的“下一页”、“上一页”、“第一页”或“最后一页”按钮:

对角色列表排序

要对角色列表排序,请执行下列操作:

  1. 单击要作为排序依据的列的标题。

    金字塔形状的排序指示符会指示哪一个列是新的排序列。升序排序时,排序指示符以正常的直立方式显示。

    降序排序时,排序指示符以倒立方式显示。

    初始排序列由管理员决定。

如果覆盖了初始排序列,则会将您的排序列添加到必选列的列表中。必选列使用星号 (*) 指示。

在修改任务列表的排序顺序时,您的自选设置会与您的其他用户自选设置一起保存到身份库中。

15.1.2 创建新角色

  1. 角色编目显示内容的顶部单击新建按钮:

    User Application 会显示“新建角色”对话框:

  2. 提供角色定义的细节,如下所述:

    表 15-1 角色细节

    字段

    说明

    显示名称

    当角色名称显示在 User Application 中时使用的文本。创建角色时,不能在显示名称中包含以下字符:

    < > , ; \ " +  # = / | & *

    可以将此名称翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮

    说明

    当角色说明显示在 User Application 中时使用的文本。与“显示名称”一样,可以将其翻译为 User Application 所支持的任意一种语言。有关更多信息,请参见表 1-1, 常用按钮

    角色级别

    (修改角色时为只读。)从下拉列表中选择一个角色级别。

    角色级别使用 Designer for Identity Manager 角色配置编辑器定义。

    角色子容器

    (修改角色时为只读。)驱动程序中角色对象的位置。角色容器处于角色级别中。User application 仅显示所选的角色级别中的角色容器。可以在角色级别中直接创建角色,也可以在角色级别内部的容器中创建角色。可以选择指定角色容器。

    类别

    可用于为角色组织对角色进行分类。类别用于对角色列表进行过滤。类别是多选的。

    拥有者

    指定为角色定义拥有者的用户。在对“角色编目”生成报告时,可以根据角色拥有者对报告进行过滤。角色拥有者不会自动具备管理角色定义的更改的授权。

  3. 单击保存保存角色定义。

    User Application 会在窗口底部另外显示几个选项卡,通过这些选项卡可以完成角色定义。

定义角色关系

通过角色关系选项卡,可以定义角色在较高和较低角色包容层次结构中的关系。通过此层次结构,可以将较低级别角色所包含的许可权限或资源分组进更容易指派许可权限的较高级别角色中。允许的关系为:

  • 顶层级别角色(业务角色)可以包含较低级别角色。但不能由其他角色包含。如果选择了顶层级别角色,则只能在“角色关系”页面上添加较低级别角色(子角色)关系。

  • 中层级别角色(IT 角色)可以包含较低级别角色,并且它们也可以由较高级别角色包含。通过“角色关系”页面,可以添加较低级别角色(子角色)或较高级别角色(父角色)。

  • 底层级别角色(许可权限角色)可以由较高级别角色包含,但它们不能包含其他底层级别角色。通过“角色关系”页面只能添加较高级别角色。

要定义角色关系,请执行下列操作:

  1. 单击角色关系选项卡。

  2. 单击添加

    此时会显示添加角色关系对话框。

  3. 初始请求说明字段中输入关于关系的说明文本。

  4. 通过在角色关系下拉列表中选择类型来指定要定义的关系的类型。

    如果新角色是 IT 角色,则通过角色关系下拉列表可以定义关系。如果新角色是业务角色,则角色关系下拉列表会显示只读文本,表明它是关系,因为只有较低级别角色可以与业务角色关联。如果新角色是许可权限角色,则角色关系下拉列表会显示只读文本,表明它是关系,因为只有较高级别角色可以与许可权限角色关联。

    供选择的角色的列表会根据您选择的类型进行过滤。

  5. 使用选定的角色字段右侧的“对象选择器”来选择要与新角色关联的角色。

  6. 单击添加

将资源与角色关联

要将资源与角色关联,请执行下列操作:

  1. 单击资源选项卡。

  2. 单击添加

    User Application 会显示添加资源关联对话框。

  3. 使用“对象选择器”选择所需的资源,并输入关于关联原因的说明文本。

    向导会显示一个页面,其中提供关于选定资源的信息,例如资源类别的名称、拥有者、权利和权利值。

    对于接收静态参数值(为权利提供附加的属性或详细信息)的权利,向导会在权利值标签旁显示这些静态值。对于接收动态参数的权利,向导会显示资源请求表单,表单中会包含对应于动态参数的字段,以及为表单定义的所有决策支持字段。

  4. 关联说明字段中,输入说明将资源与角色关联的原因的文本。

  5. 单击添加将资源与角色关联。

    资源关联列表会显示您添加到角色定义中的资源:

    现有角色指派会发生何种情况: 当向已指派有用户身份的角色添加新的资源关联时,系统会启动新的请求,以将资源授予每个用户身份。

要删除角色的资源关联,请执行下列操作:

  1. 资源关联列表中选择资源关联。

  2. 单击去除

    现有角色指派会发生何种情况: 当从已指派有用户身份的角色去除资源关联时,系统会启动新的请求,以从每个用户身份撤消资源。

定义角色的批准进程

要定义角色的批准进程,请执行下列操作:

  1. 单击批准选项卡。

  2. 提供批准进程的细节,如下所述:

    表 15-2 批准细节

    字段

    说明

    必需

    如果角色在请求时需要批准,且您希望批准进程执行标准角色指派批准定义,请选择该复选框。

    如果角色在请求时不需要批准,则取消选择该复选框。

    自定义批准

    如果希望使用自定义批准定义(供应请求定义),则选择该单选按钮。使用对象选择器选择批准定义。

    标准批准

    如果该角色使用在角色和资源子系统配置中指定的标准角色指派批准定义,则选择该单选按钮。批准定义的名称将以只读方式显示在下面的角色指派批准定义中。

    必须选择批准类型(序列仲裁人数)以及有效批准者。

    批准类型

    如果希望批准者列表中的所有用户都批准该角色,请选择序列。将按照列表中显示的顺序对批准者进行逐个处理。

    如果希望批准者列表中一定百分比的用户批准该角色,请选择仲裁人数。 当达到指定的用户百分比时,该批准完成。

    例如,如果希望列表中四个用户中的其中一个批准该条件,应指定“规定数”和“25%”。此外,如果四个批准者必须同时批准,也可以指定 100%。该值必须是介于 1 和 100 之间的整数。

    提示:“序列”和“规定数”字段中的悬浮文本对其行为进行了介绍。

    批准者

    如果应将角色批准任务指派给一个或多个用户,请选择用户。如果应将角色批准任务指派给一个组,请选择。如果应将角色批准任务指派给一个容器,请选择容器。如果应将角色批准任务指派给一个角色,请选择角色

    要查找特定用户、组、容器或角色,请使用对象选择器。要更改列表中的批准者顺序或去除某个批准者,请参见部分 1.4.4, 常用用户操作

作出角色指派

有关作出角色指派的细节,请参见部分 15.1.5, 指派角色

检查请求的状态

通过请求状态操作,可以查看角色指派请求的状态,包括已直接发出的请求和您所属组或容器的角色指派请求。可通过该操作查看每个请求的当前状态。此外,如果改变主意且不需要完成请求,则可通过该操作选择收回尚未完成或终止的请求。

请求状态操作将显示所有角色指派请求,包括正在运行、待发批准、已批准、已完成、已拒绝或已终止的请求。

要查看角色指派请求的状态,请执行下列操作:

  1. 单击请求状态选项卡。

  2. 要查看请求的详细状态信息,请单击状态:

    此时会显示“指派细节”窗口:

    有关状态值含义的细节,请参见部分 10.4, 查看请求状态

  3. 要收回某个请求,请选择该请求并单击收回

    您需要具有收回请求的许可权限。

    如果请求已完成或终止,则尝试收回请求时会看到错误讯息。

15.1.3 编辑现有角色

  1. 选择以前定义的角色并单击编辑

  2. 对角色设置进行更改,然后单击保存

与现有角色关联的权利: 在先前版本的基于角色的供应模块中定义的角色可能有一些关联的权利。如果某个角色具有关联的权利,用户界面中会显示权利选项卡,通过该选项卡可以查看权利映射,并可有选择地去除它。在本版本中,角色的权利映射已弃用。在本版本中,它们可以继续工作,但 Novell 现在建议您将权利与资源关联,而不是与角色关联。

15.1.4 删除角色

  1. 选择以前定义的角色并单击删除

    现有角色指派会发生何种情况: 对于具有关联资源和指派有一个或多个用户身份的角色,如果删除该角色,系统会从具有关联资源的每个用户身份中去除资源指派。

警告:已经被授予系统角色(或包含这些角色的容器)的“删除角色”许可权限的角色管理者可以删除系统角色。系统角色不应删除。如果删除了任意系统角色,User Application 将无法正常工作。

15.1.5 指派角色

您可以通过两种方式指派角色:

  • 通过角色编目

  • 通过编辑角色对话框

下面介绍了这两种方法。

通过编目指派角色

  1. 角色编目中选择以前定义的角色,然后单击指派

    User Application 会显示指派角色对话框:

  2. 填写添加角色指派对话框中的字段:

    1. 初始请求说明字段中输入关于请求原因的说明文本。

    2. 在“指派类型”字段中,选择用户容器,指明将角色指派给哪种用户身份类型。

    3. 在“对象选择器”中,输入搜索字符串并单击“搜索”。选择要指派的用户、组或容器。

      将角色指派给多个用户身份: 您可以为角色指派选择一个或多个用户(或者组或容器)。如果选择多个用户身份,则所有选定用户身份会接收到相同的角色指派值。

    4. 生效日期字段中指定角色指派的开始日期。

      您可以使用格式 mm/dd/yyyy hh:mm:ss a (其中,a 指定 AM 或 PM)输入日期。 或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期:

    5. 失效日期字段中指定角色指派的失效日期。

      要指定失效日期,请单击指定失效日期。 您可以使用格式 mm/dd/yyyy hh:mm:ss a (其中,a 指定 AM 或 PM)输入日期。 或者,您也可以单击“日历”图标,然后从“日历”弹出窗口中选择日期。

      默认情况下,失效日期设置为不失效,它表示该角色指派将无限期保持有效。

  3. 单击提交

通过“编辑角色”对话框指派角色

  1. 角色编目中选择角色,然后单击编辑打开编辑角色对话框。

  2. 单击指派选项卡。

    指派选项卡会显示已被授予选定角色的指派的列表。

  3. 要添加新的指派,请单击指派

    User Application 会显示指派角色对话框:

    有关使用角色指派请求表单的细节,请参见通过编目指派角色

15.1.6 刷新角色列表

  1. 单击刷新

15.1.7 自定义角色列表显示

通过角色编目,您可以选择和取消选择列,以及对任务列表显示内容中的列重新排序。该行为由自定义角色编目显示对话框中的一个设置控制。在修改列的列表或对列重新排序时,您的自定义设置会与您的其他用户自选设置一起保存到身份库中。

要自定义列的显示方式,请执行下列操作:

  1. 角色编目中单击自定义

    User Application 会显示当前为显示内容选择的列的列表,以及可供选择的其他列的列表。

  2. 要在显示内容中包含其他列,可以选择可用列列表框中的列,并将它拖到选定列列表框中。

    要在列表中选择多列,可以按住 Ctrl 键并选择这些列。要在列表中选择一起显示的某个列范围,可以按住 Shift 键并选择这些列。

    您可以通过在选定列列表框中上移或下移某些列,对显示内容中的列重新排序。

  3. 要从显示内容中去除某个列,可以选择选定列列表框中的列,并将它拖到可用列列表框中。

    角色名称列是必选列,不能从角色列表显示中去除。

  4. 要保存更改,请单击保存