傳統上是針對每個驅動程式來管理已連接系統上的授權,並且唯一的方式是建立並編輯驅動程式組態規則 (例如,使用「規則產生器」建立的此類規則)。 在這種傳統分散式模型中,不同的管理員常常控制各自的 Identity Manager 驅動程式和已連接系統,而且決定使用者能否在該系統上取得資源的業務規則,會分別「硬式編碼」至每個已連接系統驅動程式的驅動程式組態規則中。
「角色授權」模型適合於一或多個管理員具有控制授權規則權限的環境。 這樣的管理員需要大致瞭解 Identity Manager,但不需要太多 Identity Manager 或 XSLT 或 DirXML 程序檔的專門知識,即可使用「角色授權」介面。
「角色授權」規則可讓您在符合準則時自動授予或撤銷商務資源。 授權類似於存取資源的許可憑單。 利用許可憑單,您可以存取指定的資源;如果沒有此類許可憑單,您就沒有存取權限。 舉一個工作範例而言,您可以指定如果使用者符合準則 1、2 和 3,則透過「角色授權」規則,使用者會成為「群組 H」的成員,但是如果使用者符合準則 4 和 5,則會成為「群組 I」的成員。
管理「角色授權」的設定是含有三個步驟的程序:
「角色授權」依賴於「授權服務」驅動程式 (Entitlement.xml)。 此驅動程式是監看使用者是否具有「授權規則」中成員資格的引擎服務。 如果使用者符合「授權規則」動態群組的動態成員資格準則,或以靜態方式包含在其中,則「授權服務」驅動程式會更新「使用者」物件上 DirXML-EntitlementRef 屬性中的資訊。
對於節 6.2.1, 支援授權且具預先設定組態的 Identity Manager 驅動程式中列出的系統,您可以在輸入 Identity Manager 驅動程式組態時啟用授權。 Identity Manager 隨附了一些驅動程式,其預先設定組態已包含授權、實作授權的規則,以及啟用以監聽授權活動的驅動程式。 然後,您可以檢視所提供的規則。 這些規則會監看 DirXML-EntitlementRef 屬性並授予或撤銷授權,以支援授權。
僅當發生下列其中一種狀況時,「授權服務」驅動程式才會更新 DirXML-EntitlementRef 屬性:
授權規則可讓您授予已連接系統上的授權和 Identity Vault 中的權限。 已連接系統上的授權可以是下列任何一項:
在已啟用授權的驅動程式組態中,會顯示您可以使用授權建立的部份選項。
因為每個驅動程式集使用一個「授權服務」驅動程式,所以「授權規則」只能管理該驅動程式集相關聯之伺服器上讀/寫或主複製本中的使用者。
「角色授權」規則功能是以 Identity Manager 為基礎。 因此,若要管理已連接系統,您必須正確安裝和設定 Identity Manager 驅動程式的組態,並安裝 Identity Manager 外掛程式。
此外,為避免「授權規則」指定與 Identity Manager 驅動程式組態之間可能的衝突,您應該瞭解業務規則,以及透過 Identity Manager 管理這些規則的方式。 「Identity Manager 授權規則」和驅動程式組態中的規則在管理屬性時,不應該重疊或發生衝突。