Novell Documentation: Novell Identity Manager 3

21.3 供应安全性

用户登录到 Identity Manager 用户应用程序时，安全系统会鉴定该用户并设置访问控制，以防止非法使用供应和工作流程对象。这样可确保用户只看到那些他或她有权限访问的供应请求定义。除了执行用户应用程序的鉴定和授权服务，安全系统还管理代理和委托指派。

受托人是被授权为另一用户执行工作的用户。委托指派适用于特殊的供应请求定义。
代理是被授权为一个或多个用户、组或树枝执行任意和所有工作的用户。与委托指派不同的是，代理指派独立于供应请求定义，因此适用于所有的工作和设置。

如果启用了日志记录，则代理或受托人执行的任何操作都将和其他用户执行的操作一起记录。当代理或受托人执行操作时，日志讯息会明确指示，该操作是由代理或受托人代替另一用户执行的。另外，每次定义一个新的代理或委托指派时，都会记录此事件。

如果供应请求定义配置为生成电子邮件通知，将通过电子邮件通知代理和收件人。但不会通过电子邮件通知受托人。

工作流程安全职能 安全系统识别以下安全职能：

职能	说明	权限
用户应用程序管理员	具有全部管理权限的 Locksmith 用户。	允许用户应用程序管理员在 iManager 中执行这些任务：配置供应请求管理正在进行的工作流程允许用户应用程序管理员在用户应用程序中执行这些任务：查看和编辑所有工作流程队列中的所有任务。为系统中的任意用户定义代理和委托指派。查看系统中任意用户的隐藏信息（隐藏特性）。创建任务组管理员并将他们指派到组。用户应用程序管理员是唯一能创建和指派任务组管理员的用户。注：Identity Manager 用户应用程序的《管理》选项卡提供指派权限的工具，以管理用户应用程序。要使用此选项卡，必须首先以安装时被指定为用户应用程序管理员的用户身份登录。有关使用用户应用程序安全性功能的详情，请参见部分 11.0, 安全性配置。
组织经理	员工直接报告的主管。每个用户仅有一个组织经理。提示：组织经理也可看作是管理经理。	允许组织经理进行如下操作：查看他/她小组的工作流程队列中的所有任务。该功能应用于管理层次结构中的单个级别；因此，组织经理的主管看不到组织经理直接报告的任务。编辑直接报告的任务，除非直接报告中的某项任务所指派到的组的任务组管理员不是组织经理。在此情况下，组织经理可以查看此任务，但不能执行任何编辑操作。上报时，此任务将移动到任务组管理员处，而不是组织经理处。声明任务和取消声明任务，以及向他/她小组的成员重指派任务。为他/她本人及其小组的成员定义代理和委托关系。查看他/她小组成员的隐藏特性。
任务组管理员	被授权负责与任务组关联的一组任务的用户。任务组是 LDAP 组对象的扩展。每个任务组只能有一个任务组管理员。任务组管理员由用户应用程序管理员指派。为组指派任务时，该组的 srvrprvTaskManager 特性包含被指派为任务组管理员的用户的 DN。为提高性能，用户对象上也由一个特性标识出任务组管理员。被指定为任务组管理员的用户的 srvprvIsTaskManager 特性被设置为 True。	允许任务组管理员进行以下操作：对于他/她被指派为领导的组，可查看和编辑指派给该组的所有任务。不允许任务组管理员进行以下操作：创建资源或收回请求。定义代理或委托关系。查看他/她小组成员的隐藏特性。

职能

说明

权限

用户应用程序管理员

具有全部管理权限的 Locksmith 用户。

允许用户应用程序管理员在 iManager 中执行这些任务：

配置供应请求
管理正在进行的工作流程

允许用户应用程序管理员在用户应用程序中执行这些任务：

查看和编辑所有工作流程队列中的所有任务。
为系统中的任意用户定义代理和委托指派。
查看系统中任意用户的隐藏信息（隐藏特性）。
创建任务组管理员并将他们指派到组。用户应用程序管理员是唯一能创建和指派任务组管理员的用户。

注：Identity Manager 用户应用程序的《管理》选项卡提供指派权限的工具，以管理用户应用程序。要使用此选项卡，必须首先以安装时被指定为用户应用程序管理员的用户身份登录。

有关使用用户应用程序安全性功能的详情，请参见部分 11.0, 安全性配置。

组织经理

员工直接报告的主管。每个用户仅有一个组织经理。

提示：组织经理也可看作是管理经理。

允许组织经理进行如下操作：

查看他/她小组的工作流程队列中的所有任务。该功能应用于管理层次结构中的单个级别；因此，组织经理的主管看不到组织经理直接报告的任务。
编辑直接报告的任务，除非直接报告中的某项任务所指派到的组的任务组管理员不是组织经理。在此情况下，组织经理可以查看此任务，但不能执行任何编辑操作。上报时，此任务将移动到任务组管理员处，而不是组织经理处。
声明任务和取消声明任务，以及向他/她小组的成员重指派任务。
为他/她本人及其小组的成员定义代理和委托关系。
查看他/她小组成员的隐藏特性。

任务组管理员

被授权负责与任务组关联的一组任务的用户。任务组是 LDAP 组对象的扩展。每个任务组只能有一个任务组管理员。

任务组管理员由用户应用程序管理员指派。

为组指派任务时，该组的 srvrprvTaskManager 特性包含被指派为任务组管理员的用户的 DN。为提高性能，用户对象上也由一个特性标识出任务组管理员。被指定为任务组管理员的用户的 srvprvIsTaskManager 特性被设置为 True。

允许任务组管理员进行以下操作：

对于他/她被指派为领导的组，可查看和编辑指派给该组的所有任务。

不允许任务组管理员进行以下操作：

创建资源或收回请求。
定义代理或委托关系。
查看他/她小组成员的隐藏特性。

注：任何用户都可以查看与他/她自身身份关联的隐藏特性。

定义代理和委托关系 要为用户定义代理指派，可使用 Identity Manager 用户界面的《请求和批准》选项卡上的《小组代理指派》页。要为用户定义委托指派，可使用《小组委托指派》页，在《请求和批准》选项卡上也可访问该页。

创建任务组管理员 要为任务组定义任务组管理员，可使用 Identity Manager 用户界面的《身份自助服务》选项卡上的《创建用户或组》页。

有关定义任务组管理员、代理和受托人的完整详细信息，请参见《Identity Manager 用户应用程序：用户指南》。