7.4 指派页的许可权限

可以向其他用户、组和树枝指派许可权限,以使其可以使用特定的树枝页和共享页。 可以指派两种安全性级别的许可权限:

许可权限

说明

可以指派的对象

查看

允许用户、组或树枝访问该页并在可用页的列表中看到该页

树枝页共享页

所有权

允许用户、组或树枝修改页面的内容和布局,并可以将查看和所有权许可权限指派给其他用户、组和树枝

共享页

7.4.1 指派页查看许可权限

向用户指派树枝页或共享页的查看许可权限后,用户可以访问这些页,并可以在可用页列表中看到它们。

要指派树枝页或共享页的查看许可权限,请执行以下操作:

  1. 在《维护树枝页》或《维护共享页》面板中打开一个页,然后单击《指派许可权限》页任务(位于面板底部)。

    将在新的浏览器窗口中显示《页许可权限》对话框:

    说明:说明: 图示

  2. 转至《查看》选项卡。

  3. 指定以下搜索设置的值:

    设置

    操作

    搜索主题

    从下拉菜单中选择以下项之一:

    • 用户
    • 树枝

    开始于

    如果要:

    • 查找指定类型(用户、组或树枝)的所有可用对象,请将此处设置为空白。
    • 查找这些对象的子集,请输入所需的 CN 值的起始字符。 (不区分大小写, 不支持通配符。)

      例如,搜索以 S 开头的组将缩小搜索范围,并得到类似以下内容的结果:

    
cn=Sales,ou=groups,o=MyOrg

    
cn=Service,ou=groups,o=MyOrg

    
cn=Shipping,ou=groups,o=MyOrg

    搜索以 Se 开头的组将返回:

    
cn=Service,ou=groups,o=MyOrg

  4. 单击《搜索》

    将在《结果》列表中显示搜索结果。

  5. 选择要指派给页的用户、组或树枝,然后单击添加 (>) 按钮。

    提示:按住 Ctrl 键可选择多项。

  6. 按照以下说明启用或禁用页面锁定功能:

    如果要

    操作

    锁定页面后,只有用户应用程序管理员才能查看该页

    选中《仅为 Admin 设置的查看许可权限》

    允许所有指派的用户、组和树枝查看页

    取消选中《仅为 Admin 设置的查看许可权限》

    注:如果取消选中此设置,但没有将用户、组或树枝显式指派给该页,则所有人都将对该页拥有查看许可权限

  7. 单击《保存》,再单击《关闭》

7.4.2 指派共享页的拥有者

拥有共享页的用户可以修改他们所拥有的页的内容,还可以更改这些页中入口小程序的自选设置。

要指派共享页的所有权许可权限,请执行以下操作:

  1. 在《维护共享页》面板打开一个页,然后单击《指派许可权限》页任务(位于面板底部)。

    将在新的浏览器窗口中显示《页许可权限》对话框(如上一步中所示)。

  2. 转至《所有权》选项卡。

  3. 指定以下搜索设置的值:

    设置

    操作

    搜索主题

    从下拉菜单中选择以下项之一:

    • 用户
    • 树枝

    开始于

    如果要:

    • 查找指定类型(用户、组或树枝)的所有可用对象,请将此处设置为空白。
    • 查找这些对象的子集,请输入所需的 CN 值的起始字符。 (不区分大小写, 不支持通配符。)

      例如,搜索以 S 开头的组将缩小搜索范围,并得到类似以下内容的结果:

    
cn=Sales,ou=groups,o=MyOrg

    
cn=Service,ou=groups,o=MyOrg

    
cn=Shipping,ou=groups,o=MyOrg

    搜索以 Se 开头的组将返回:

    
cn=Service,ou=groups,o=MyOrg

  4. 单击《搜索》

    将在《结果》列表中显示搜索结果。

  5. 选择要指派给页的用户、组或树枝,然后单击添加 (>) 按钮。

    提示:按住 Ctrl 键可选择多项。

  6. 按照以下说明启用或禁用页面锁定功能:

    如果要

    操作

    锁定页面后,只有用户应用程序管理员才能使用该页

    选中《仅为 Admin 设置的所有权许可权限》

    允许所有指派的用户、组和树枝使用页

    取消选中《仅为 Admin 设置的所有权许可权限》

    注:如果取消选中此设置,但没有将用户、组或树枝显式指派给该页,则所有人都将对该页拥有所有权许可权限

  7. 单击《保存》,再单击《关闭》

7.4.3 启用用户对《创建用户或组》页的访问权限

默认情况下,只有用户应用程序管理员才可以查看和使用《创建用户或组》页。该共享页位于 Identity Manager 用户界面的《身份自助服务》选项卡上。 但是在适当的情况下,用户应用程序管理员也可以将许可权限指派给一个或多个终端用户,以便他们也能访问该页。 例如,选定的处于管理层的人员可能需要拥有自己创建用户、组或任务组的能力。

要向用户授予《创建用户或组》页的访问权限,请执行以下操作:

  1. 在《维护共享页》面板中,打开名为《创建用户或组》的页。

  2. 使用《指派许可权限》页任务,将查看许可权限授予《创建用户或组》共享页的适当用户、组或树枝。

  3. 从《页管理》切换到《入口小程序管理》,然后打开名为 CreatePortlet 的入口小程序注册(在《创建用户或组》页上使用)。

  4. 使用《安全性》面板将列出和执行许可权限授予 CreatePortlet 入口小程序注册的适当用户、组或树枝。

    有关指派入口小程序的许可权限的更多信息,请参见部分 9.0, 入口小程序管理

  5. 转至 iManager,然后使用管理员帐户登录到 Identity Vault 的树中

  6. 请确保将使用《创建用户或组》的人员对要在其中创建对象(用户、组或任务组)的树枝拥有创建 [Entry Rights] 属性的权限

    例如,可以修改选定树枝的受托者,并将适当的用户、组或树枝添加为受托者。 然后,可以将以下权限指派给每位受托者:

    属性名

    指派的权限

    继承

    [All Attributes Rights]
    • 比较

    是(选中此复选框)

    [Entry Rights]
    • 浏览
    • 创建

    是(选中此复选框)

    如果未指派 Identity Vault 中的必需权限(或由于某种原因无法派生那些权限),终端用户可能会收到一条错误讯息,例如下面这条来自《创建用户或组》的错误讯息:

    
User 'cn=mmackenzie,ou=users,ou=idmsample,o=novell' does not have permission to create 'cn=MyNewGroup,ou=groups,ou=idmsample,o=novell' or modify related objects.

若要了解(具有访问权限的用户)如何使用《创建用户或组》,请参见《Identity Manager 用户应用程序:用户指南》

7.4.4 启用用户对各个管理页的访问权限

默认情况下,只有用户应用程序管理员才能访问 Identity Manager 用户界面的《管理》选项卡以及该选项卡中包含的各个(《页管理》、《主题》、《入口小程序管理》、《入口》、《安全性》、《日志记录》、《超速缓存》、《工具》)。 但如果需要的话,用户应用程序管理员可以将许可权限指派给一个或多个终端用户,以便他们能查看和使用《管理》选项卡上的特定页。 例如,一个小组的用户可能需要定期更改主题,虽然他们不是用户应用程序管理员。

要向用户授予各个管理页的访问权限,请执行以下操作:

  1. 在《维护树枝页》面板中打开《管理树枝页》

    这是转至 Identity Manager 用户界面的《管理》选项卡时所使用的树枝页。

  2. 使用《指派许可权限》页任务,将查看许可权限授予《管理树枝页》的适当用户、组或树枝。

  3. 在《维护共享页》面板中,打开适当的管理页(《管理》类别下的一个共享页)。

  4. 使用《指派许可权限》页任务,将查看和所有权许可权限授予该共享页的适当用户、组或树枝。

  5. 请确保指定的用户、组或树枝对指定页中使用的每个入口小程序都拥有执行许可权限(如果已经限制了那些入口小程序)。

    有关指派入口小程序的许可权限的更多信息,请参见部分 9.0, 入口小程序管理