Novell Documentation: Novell Identity Manager 3

21.3 提供安全性

當使用者登入 Identity Manager 使用者應用程式時，「安全性」系統會驗證該使用者，並且設定存取控制以防止未經授權使用提供和工作流程物件。這會確保使用者僅可以查看已授予存取權限的那些提供申請定義。除了針對使用者應用程式執行驗證和授權服務之外，「安全性」系統還會管理代理和委託指定。

委託是獲得授權以執行其他使用者之工作的使用者。委託指定適用於特定提供申請定義。
代理是獲得授權以執行一或多個使用者、群組或容器之任一或所有工作的使用者。與委託指定不同，代理指定不相依於提供申請定義，因此適用於所有工作和設定。

如果已啟用記錄，則會記錄代理或委託所採取的所有動作，以及其他使用者所採取的動作。當代理或委託採取動作時，記錄訊息會清楚地指出該動作是由其他使用者的代理或委託所執行。此外，每次定義新的代理或委託指定時，同樣會記錄此事件。

如果提供申請定義已設為產生電子郵件通知，則代理和收件人會收到電子郵件通知。委託不會收到電子郵件通知。

工作流程安全性角色 「安全性」系統會辨識下列安全性角色：

角色	描述	權限
使用者應用程式管理員	具有完整管理權限的 locksmith 使用者。	「使用者應用程式管理員」允許在 iManager 中執行這些任務：設定提供申請的組態管理已處於程序中的工作流程「使用者應用程式管理員」允許在使用者應用程式內執行這些任務：檢視與編輯所有工作流程佇列中的所有任務。定義系統中任何使用者的代理和委託指定。檢視系統中任何使用者的隱藏資訊 (隱藏的屬性)。建立「任務群組管理員」，並且將它們指定給群組。「使用者應用程式管理員」是唯一可以建立並指定「任務群組管理員」的使用者。附註：Identity Manager 使用者應用程式的「管理」索引標籤會提供工具，以指定管理使用者應用程式的權限。若要使用此索引標籤，您必須先以安裝期間被指定為「使用者應用程式管理員」的使用者身份登入。如需使用使用者應用程式安全性功能的詳細資料，請參閱節 11.0, 安全性組態。
組織管理員	員工的直接報告監督者。每個使用者僅具有一個「組織管理員」。提示：「組織管理員」還可以視為行政管理者。	「組織管理員」允許：檢視他/她小組工作流程佇列中的所有任務。此功能適用於管理階層中的單一層級，因此，「組織管理員」監督者無法查看「組織管理員」直接報告的任務。編輯直接報告的任務，但是以下情況例外：當直接報告中的任務指定給某群組，但該群組的「任務群組管理員」不是「組織管理員」。在此情況下，「組織管理員」可以檢視任務，但不可以執行任何編輯。擴大時，任務會移至「任務群組管理員」，而不是「組織管理員」。要求任務和未要求任務，以及將任務重新指定給他/她的小組成員。定義他或她自己，以及他/她的小組成員的代理和委託關係。檢視他/她小組成員的隱藏屬性。
任務群組管理員	被授予任務群組相關任務職責的使用者。任務群組是「LDAP 群組」物件的延伸。每個任務群組僅可以具有一個「任務群組管理員」。「任務群組管理員」由「使用者應用程式管理員」指定。當任務指定給群組時，群組的 srvrprvTaskManager 屬性會包含使用者 (指定的「任務群組管理員」) 的 DN。針對改進的效能，使用者物件上的屬性也會識別「任務群組管理員」。 srvprvIsTaskManager 屬性會針對指定的「任務群組管理員」使用者設為 true。	「任務群組管理員」允許：檢視與編輯指定給群組 (他/她是該群組的指定領導) 的所有任務。「任務群組管理員」不允許：建立資源或收回申請。定義代理或委託關係。檢視他/她小組成員的隱藏屬性。

角色

描述

權限

使用者應用程式管理員

具有完整管理權限的 locksmith 使用者。

「使用者應用程式管理員」允許在 iManager 中執行這些任務：

設定提供申請的組態
管理已處於程序中的工作流程

「使用者應用程式管理員」允許在使用者應用程式內執行這些任務：

檢視與編輯所有工作流程佇列中的所有任務。
定義系統中任何使用者的代理和委託指定。
檢視系統中任何使用者的隱藏資訊 (隱藏的屬性)。
建立「任務群組管理員」，並且將它們指定給群組。「使用者應用程式管理員」是唯一可以建立並指定「任務群組管理員」的使用者。

附註：Identity Manager 使用者應用程式的「管理」索引標籤會提供工具，以指定管理使用者應用程式的權限。若要使用此索引標籤，您必須先以安裝期間被指定為「使用者應用程式管理員」的使用者身份登入。

如需使用使用者應用程式安全性功能的詳細資料，請參閱節 11.0, 安全性組態。

組織管理員

員工的直接報告監督者。每個使用者僅具有一個「組織管理員」。

提示：「組織管理員」還可以視為行政管理者。

「組織管理員」允許：

檢視他/她小組工作流程佇列中的所有任務。此功能適用於管理階層中的單一層級，因此，「組織管理員」監督者無法查看「組織管理員」直接報告的任務。
編輯直接報告的任務，但是以下情況例外：當直接報告中的任務指定給某群組，但該群組的「任務群組管理員」不是「組織管理員」。在此情況下，「組織管理員」可以檢視任務，但不可以執行任何編輯。擴大時，任務會移至「任務群組管理員」，而不是「組織管理員」。
要求任務和未要求任務，以及將任務重新指定給他/她的小組成員。
定義他或她自己，以及他/她的小組成員的代理和委託關係。
檢視他/她小組成員的隱藏屬性。

任務群組管理員

被授予任務群組相關任務職責的使用者。任務群組是「LDAP 群組」物件的延伸。每個任務群組僅可以具有一個「任務群組管理員」。

「任務群組管理員」由「使用者應用程式管理員」指定。

當任務指定給群組時，群組的 srvrprvTaskManager 屬性會包含使用者 (指定的「任務群組管理員」) 的 DN。針對改進的效能，使用者物件上的屬性也會識別「任務群組管理員」。 srvprvIsTaskManager 屬性會針對指定的「任務群組管理員」使用者設為 true。

「任務群組管理員」允許：

檢視與編輯指定給群組 (他/她是該群組的指定領導) 的所有任務。

「任務群組管理員」不允許：

建立資源或收回申請。
定義代理或委託關係。
檢視他/她小組成員的隱藏屬性。

附註：所有使用者都可以檢視與自己身份相關的隱藏屬性。

定義代理和委託關係 若要定義使用者的代理指定，請使用 Identity Manager 使用者介面之「申請與核准」索引標籤上的「小組代理指定」頁。若要定義使用者的委託指定，請使用在「申請與核准」索引標籤上也可用的「小組委託指定」頁。

建立任務群組管理員 若要定義任務群組的「任務群組管理員」，請使用 Identity Manager 使用者介面之「身份自助服務」索引標籤上的「建立使用者或群組」頁。

如需定義「任務群組管理員」、代理和委託的完整詳細資料，請參閱《 Identity Manager 使用者應用程式：使用者指南》。