6.8 角色授權規則之間的衝突解析

6.8.1 衝突綜覽

當您建立「授權規則」時,影響特定使用者的多個規則在指定授權給該使用者時,可能會發生衝突。

以下是解析衝突的方式。 您可以對某些授權變更衝突解析。

  • 沒有值的授權是附加的。 在大部份情況下,「帳戶」授權沒有值。 如果有任何「授權規則」授予使用者一個已連接系統上的帳戶,則使用者會收到該系統上的帳戶。 無論其他「授權規則」是否衝突,結果是累加的。

    這始終為真;您無法變更授予帳戶之衝突解析的方法。

    您可以將沒有值的授權比喻為燈的開關,開或關表示授予或不授予。

    例如,如果「管理員授權規則」授予 Jean Chandler 一個 Exchange 帳戶,但是已將 Jean Chandler 從亦授予 Exchange 帳戶的「收發室員工授權規則」中排除,則 Jean 仍會取得 Exchange 帳戶。

  • 具有值的授權預設是累加的,但您可以選擇依優先程度來進行解析。 授權 (如群組成員資格) 具有群組名稱清單做為值,或具有帶值的屬性。 在預設狀態下,這些類型的授權也會累加。

    必要的話,您可以變更這些類型之授權的衝突解析。

    在授權中定義控制每個授權之衝突解析的設定。 驅動程式提供的每一種授權會分別列在資訊清單中。 具有值的授權會具有針對每個授權分別設定的 conflict-resolution 屬性。 預設設定為 conflict-resolution="priority"。 其他可能的值為 conflict-resolution="union"

    • conflict-resolution=“union” —  值為 “union” 表示授權是累加的。 授予使用者的授權包括任何規則中成員資格對使用者指定的所有授權。 不同的授權僅僅是累加到一起,使用者會取得全部授權。

      例如,如果 Jameel 是「商展約聘規則」的成員 (該規則會授予名為「商展郵寄清單」之 GroupWise 電子郵件配送清單中的成員資格),但 Jameel 卻被從「商展管理員規則」(此規則亦指定名為「商展郵寄清單」的電子郵件配送清單) 的成員資格中排除,則他仍會收到電子郵件配送清單中的成員資格。

      另一個範例是,如果「收發室規則」授予 Consuela「收發室員工」AD 群組中的成員資格,並且「緊急自願者」規則還授予她「緊急回應」AD 群組中的成員資格,則會授予 Consuela 兩個 AD 群組中的成員資格。

      此設定會讓規則清單中「授權規則」的順序對於授權而言不重要。

    • conflict-resolution=“priority” —  值為 “priority” 表示,如果兩個不同規則中的值發生衝突,或者,如果一個規則包含某個使用者,而另一個規則排除該使用者,則授予該使用者的授權,只包括「授權規則」清單中具有較高優先程度之「授權規則」中的授權。

      先前的範例如果使用此設定,就會產生不同的結果。

      在以上 Jameel 的範例中,如果 GroupWise 電子郵件配送清單授權具有值 “priority”,並且在清單中「商展管理員規則」的優先程度高於「商展約聘規則」,則不會授予 Jameel「商展郵寄清單」中的成員資格。

      在以上 Consuela 的範例中,如果 AD 網路作業系統 (NOS) 群組成員資格授權具有值 “priority”,並且在清單中「收發室規則」的優先程度高於「緊急自願者規則」,則只會授予 Consuela「收發室員工」群組中的成員資格。 因為衝突解析是依優先程度而非累加式,所以不會授予她「緊急回應」群組中的成員資格。

      在某些情況下,此功能很有用,例如,您設定環境的組態為使用「角色授權」,將使用者置於其他系統的階層式結構中。 您可能想要將使用者置於其中一個位置,而非同時置於兩個位置中。

      請記住,每個驅動程式提供的每個授權之設定都是獨立的。

      一般而言,如果使用 “priority” 設定,則應在清單中將管理員規則置於一般使用者或個別顧問規則之上。 您應該將成員資格較為嚴格的群組,置於成員資格較為寬鬆的群組之上。

6.8.2 變更個別授權的衝突解析方法

  1. 在 iManager 中,按一下「Identity Manager > Identity Manager 概觀」,然後選取驅動程式集。

    即會顯示含有驅動程式集中所有驅動程式之圖形化表示的頁面。

    選取驅動程式集

    圖 6-7 驅動程式集

  2. 按一下「驅動程式」狀態按鈕,然後選取「停止驅動程式」。

  3. 按一下提供您要變更之授權的驅動程式圖示。

    即會出現一個頁面,顯示驅動程式規則和驅動程式的圖示。 在螢幕中間選取「檢視所有授權」圖示 (標有紅色圓圈)。

    選取檢視所有授權圖示

  4. 在「管理授權」頁面上,按一下授權名稱,以在 XML 檢視器中顯示授權。

  5. 選取「啟用 XML 編輯」核取方塊。

  6. 在 XML 中,尋找您要變更之授權的定義。

    以下是您應尋找之指令行的範例:

    <entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">

  7. 變更 conflict-resolution 值。 兩個可能的值如下:

    conflict-resolution="union"

    conflict-resolution="priority"

    如需這些值的相關資訊,請參閱角色授權規則之間的衝突解析

  8. 按一下「重新啟動」,以重新啟動「授權服務」驅動程式。

6.8.3 設定授權規則的優先程度

在預設狀態下,「授權規則」清單的順序無關緊要。 這是因為 Identity Manager 隨附的驅動程式組態使用 conflict-resolution="union",做為每個授權的衝突解析方法。

如果您將任何授權變更為 conflict-resolution="priority,",則「授權規則」清單的順序會變得重要,但只適用於已變更的那些授權。 如需這些值的相關資訊,請參閱角色授權規則之間的衝突解析

您可以使用「授權規則」清單旁邊的箭頭按鈕,來變更「授權規則」的順序。 清單中的第一個規則具有最高的優先程度。

  1. 在 iManager 中,按一下「角色授權 > 角色授權」。

  2. 搜尋並選取驅動程式集。

    即會出現含有「授權規則」清單的頁面。

  3. 藉由使用箭頭按鈕上下移動清單中的規則,來變更「授權規則」的優先程度。

    將清單中的「授權規則」上移,可使其優先程度更高。

    調整規則優先程度iManager 中的「授權規則」清單,滑鼠置於向上箭頭上。 游標在上時的文字會顯示「向上調整優先程度」。

  4. 按一下「關閉」,以重新啟動驅動程式。

    在重新啟動驅動程式之後,對優先程度的變更才會生效。