當使用者登入 Identity Manager 使用者應用程式時,「安全性」系統會驗證該使用者,並且設定存取控制以防止未經授權使用提供和工作流程物件。 這會確保使用者僅可以查看已授予存取權限的那些提供申請定義。 除了針對使用者應用程式執行驗證和授權服務之外,「安全性」系統還會管理代理和委託指定。
如果已啟用記錄,則會記錄代理或委託所採取的所有動作,以及其他使用者所採取的動作。 當代理或委託採取動作時,記錄訊息會清楚地指出該動作是由其他使用者的代理或委託所執行。 此外,每次定義新的代理或委託指定時,同樣會記錄此事件。
如果提供申請定義已設為產生電子郵件通知,則代理和收件人會收到電子郵件通知。 委託不會收到電子郵件通知。
工作流程安全性角色 「安全性」系統會辨識下列安全性角色:
角色 |
描述 |
權限 |
---|---|---|
使用者應用程式管理員 |
具有完整管理權限的 locksmith 使用者。 |
「使用者應用程式管理員」允許在 iManager 中執行這些任務:
「使用者應用程式管理員」允許在使用者應用程式內執行這些任務:
附註:Identity Manager 使用者應用程式的「管理」索引標籤會提供工具,以指定管理使用者應用程式的權限。 若要使用此索引標籤,您必須先以安裝期間被指定為「使用者應用程式管理員」的使用者身份登入。 如需使用使用者應用程式安全性功能的詳細資料,請參閱節 11.0, 安全性組態。 |
組織管理員 |
員工的直接報告監督者。 每個使用者僅具有一個「組織管理員」。 提示:「組織管理員」還可以視為行政管理者。 |
「組織管理員」允許:
|
任務群組管理員 |
被授予任務群組相關任務職責的使用者。 任務群組是「LDAP 群組」物件的延伸。 每個任務群組僅可以具有一個「任務群組管理員」。 「任務群組管理員」由「使用者應用程式管理員」指定。 當任務指定給群組時,群組的 srvrprvTaskManager 屬性會包含使用者 (指定的「任務群組管理員」) 的 DN。 針對改進的效能,使用者物件上的屬性也會識別「任務群組管理員」。 srvprvIsTaskManager 屬性會針對指定的「任務群組管理員」使用者設為 true。 |
「任務群組管理員」允許:
「任務群組管理員」不允許:
|
附註:所有使用者都可以檢視與自己身份相關的隱藏屬性。
定義代理和委託關係 若要定義使用者的代理指定,請使用 Identity Manager 使用者介面之「申請與核准」索引標籤上的「小組代理指定」頁。 若要定義使用者的委託指定,請使用在「申請與核准」索引標籤上也可用的「小組委託指定」頁。
建立任務群組管理員 若要定義任務群組的「任務群組管理員」,請使用 Identity Manager 使用者介面之「身份自助服務」索引標籤上的「建立使用者或群組」頁。
如需定義「任務群組管理員」、代理和委託的完整詳細資料,請參閱《 Identity Manager 使用者應用程式:使用者指南》。