用户登录到 Identity Manager 用户应用程序时,安全系统会鉴定该用户并设置访问控制,以防止非法使用供应和工作流程对象。 这样可确保用户只看到那些他或她有权限访问的供应请求定义。 除了执行用户应用程序的鉴定和授权服务,安全系统还管理代理和委托指派。
如果启用了日志记录,则代理或受托人执行的任何操作都将和其他用户执行的操作一起记录。 当代理或受托人执行操作时,日志讯息会明确指示,该操作是由代理或受托人代替另一用户执行的。 另外,每次定义一个新的代理或委托指派时,都会记录此事件。
如果供应请求定义配置为生成电子邮件通知,将通过电子邮件通知代理和收件人。 但不会通过电子邮件通知受托人。
工作流程安全职能 安全系统识别以下安全职能:
职能 |
说明 |
权限 |
---|---|---|
用户应用程序管理员 |
具有全部管理权限的 Locksmith 用户。 |
允许用户应用程序管理员在 iManager 中执行这些任务:
允许用户应用程序管理员在用户应用程序中执行这些任务:
注:Identity Manager 用户应用程序的《管理》选项卡提供指派权限的工具,以管理用户应用程序。 要使用此选项卡,必须首先以安装时被指定为用户应用程序管理员的用户身份登录。 有关使用用户应用程序安全性功能的详情,请参见部分 11.0, 安全性配置。 |
组织经理 |
员工直接报告的主管。 每个用户仅有一个组织经理。 提示:组织经理也可看作是管理经理。 |
允许组织经理进行如下操作:
|
任务组管理员 |
被授权负责与任务组关联的一组任务的用户。 任务组是 LDAP 组对象的扩展。 每个任务组只能有一个任务组管理员。 任务组管理员由用户应用程序管理员指派。 为组指派任务时,该组的 srvrprvTaskManager 特性包含被指派为任务组管理员的用户的 DN。 为提高性能,用户对象上也由一个特性标识出任务组管理员。 被指定为任务组管理员的用户的 srvprvIsTaskManager 特性被设置为 True。 |
允许任务组管理员进行以下操作:
不允许任务组管理员进行以下操作:
|
注:任何用户都可以查看与他/她自身身份关联的隐藏特性。
定义代理和委托关系 要为用户定义代理指派,可使用 Identity Manager 用户界面的《请求和批准》选项卡上的《小组代理指派》页。 要为用户定义委托指派,可使用《小组委托指派》页,在《请求和批准》选项卡上也可访问该页。
创建任务组管理员 要为任务组定义任务组管理员,可使用 Identity Manager 用户界面的《身份自助服务》选项卡上的《创建用户或组》页。
有关定义任务组管理员、代理和受托人的完整详细信息,请参见《Identity Manager 用户应用程序:用户指南》。