6.7 创建权利策略

要创建权利策略,可以使用所提供的向导。

  1. 确保已经设置了权利服务驱动程序并创建了必要的驱动程序配置。

  2. 在 iManager 中,单击“基于职能的权利”>“基于职能的权利”。

  3. 选择一个驱动程序集。

    每个驱动程序集只能有一个权利策略。

    将打开现有的权利策略列表,与下图中显示的页面类似。 如果是第一次使用基于职能的权利,则列表中没有策略。

    “权利策略列表

  4. 单击“新建”。

    “权利策略向导”打开。

  5. 根据向导中的第 1 步至第 6 步创建新策略。 有关向导中每一步骤的信息,请参考联机帮助。

    1. 第 1 步,对策略进行命名和说明。

    2. 第 2 步,定义成员资格过滤器(搜索参数)。

    3. 第 3 步,通过在搜索准则中包括和排除成员,定义静态成员。

    4. 第 4 步,选择 Identity Manager 驱动程序并提供所包括的权利。 在部分 6.4, 通过 iManager 使用 XML 编写权利中创建权利。 单击“添加驱动程序”,然后选择要添加的权利。

      选择权利

    5. 第 5 步,浏览并找到希望此权利策略成为受托者的对象。

    6. 第 6 步,读取摘要以确保此权利策略执行正确操作。 如果正确,请单击“完成”;如果不正确,请单击“返回”。

  6. 权利策略创建完成后会关闭权利服务驱动程序。 请单击“重启动”完成该会话。

6.7.1 定义权利策略的成员资格

和 Identity Manager 驱动程序一样,每个权利策略仅能管理该策略所指派的服务器的主复本或读/写复本中的对象。 每个权利策略都和被指派给某个特定服务器的单个驱动程序集对象关联。

仅有用户对象(以及从用户类衍生出的其它对象类型)可以成为权利策略的成员。 要转至权利策略中的“成员资格”页,请选择“基于职能的权利”>“基于职能的权利”,然后在权利策略列表中突出显示要编辑的权利策略,并选择“编辑”。 在 Internet Explorer 浏览器中,选择“成员资格”选项卡,在 Firefox 浏览器中,从下拉菜单中选择“编辑动态成员”。

权利策略是动态组对象。 可以使用动态和静态两种方式定义权利策略的成员资格。 还可以在同一个权利策略中使用这两种方式。

  • 动态: 可以根据对象特性值定义成员资格的准则,例如,作业标题中是否包括“Manager”。 所指定的准则将转换到 LDAP 过滤器中。

    满足此准则的用户将自动成为权利策略的一部分,而不需要将每个用户专门添加到该策略中。 动态成员资格和动态组对象相同。

    如果更改对象使其不再满足动态成员资格准则,将自动取消权利。

    图 6-2 编辑动态和静态成员

  • 静态: 除了创建动态成员资格的准则(LDAP 过滤器),还可以包含或排除特定的用户。

    可以静态添加不满足过滤器准则的成员。 还可以排除满足过滤器准则但不应包含在权利策略中的成员。

6.7.2 选择权利策略的权利

使用权利可以授予或取消对已连接系统的服务和 Identity Vault 中的权限的访问权。

所安装的已启用权利的驱动程序带有一个权利列表,可使用权利策略指派这些权利。 还可以自己创建可在权利策略中使用的权利。 驱动程序能够提供的权利是该驱动程序的子对象,它是由驱动程序开发者创建的,代表了驱动程序和已连接系统的功能。

Identity Vault 中对象的受托者权限将直接授予权利策略的成员。 默认情况下,在第二次为用户修改权利策略成员资格的特性时,或将用户移至不同的树枝或对其重命名时,会将已连接系统中的权利授予权利策略的每个成员。

已连接系统中的权利可以是以下任意一项:

  • 帐户
  • 电子邮件分发列表中的成员资格
  • NOS 列表中的组成员资格
  • 已连接系统中相应对象的特性(由指定值填充)
  • 自定义的其它权利

已连接系统中的帐户

要将权利添加至权利策略,请转至“权利”页并选择一个驱动程序。 将弹出一个窗口,显示此驱动程序提供的权利。

例如,在下图中,可以看到 GroupWise 驱动程序所提供的两种权利,列表中的第一个权利是 GroupWise User Account。

图 6-3 用于定义权利的界面

电子邮件分发列表和 NOS 列表中的成员资格

要在已连接系统的组中指派成员资格,请从该驱动程序所提供的权利列表中选择成员资格权利。

在下图的示例中,GroupWise Distribution Lists 位于列表中的第二位。

图 6-4 选择 GroupWise Distribution Lists

如果在本示例中选择 GroupWise Distribution Lists,将显示一个查询弹出窗口(如下图中的示例所示)。

图 6-5 查询权利

“权利策略”界面可以查询电子邮件分发列表或 NOS 列表的列表。 执行查询后,可以选择查看超速缓存列表。

已对驱动程序进行配置,使其可返回完整列表,所以可以从已连接系统现有的列表中进行选择。

注:可以自定义驱动程序,来限制所指定的组名称列表,而不是令查询返回完整列表。

已连接系统的特性值

可以为已连接系统中的用户帐户指派特性值。 可以在该界面中键入希望用户帐户具有的值。

下图显示了为 Notes 特性添加特性值 Department 的示例。

图 6-6 添加特性值