在 CA EEM 中创建和删除 APM 组

保护 Introscope › 使用 CA EEM 保护 Introscope › 配置 CA EEM 授权 › 在 CA EEM 中创建和删除 APM 组

在 CA EEM 中创建和删除 APM 组

CA EEM 提供两个用户组级别：

特定于应用程序的组，这些组获得特定于允许其访问的应用程序的权限。特定于应用程序的组不会与其他应用程序共享权限。
注意：默认 CA APM CA EEM 安全是使用特定于应用程序的组部署的。
全局用户组，这些组获得所有权限，因为它们可以访问向 CA EEM 注册的所有应用程序。

注意：在将 CA EEM 服务器连接到外部用户目录（如 LDAP 或 SiteMinder）时，将无法在 CA EEM 中创建或添加全局组。如果 CA EEM 服务器与 LDAP 或 SiteMinder 服务器集成进行身份验证，请在 LDAP 或 SiteMinder 中（而非 CA EEM 中）设置组。

CA EEM 支持嵌套组；在嵌套组中，子组从其父组继承权限。因此，不需要为子组分配权限。但是，可以为子组定义额外的权限。

要查看 CEM 控制台，CA APM 用户必须拥有为至少一个 CEM 资源定义的访问策略才能成功授权。 CA APM 用户必须在至少一个域中拥有读取权限，才能查看调查器树和控制台。如果 CA APM 用户要查看 CEM 控制台以及调查器树和控制台，则必须同时满足这两个要求。

注意：有关添加默认 APM 用户的 Safex 脚本代码，请参阅位于 <EM_Home>/examples/authentication 目录中的 eem.add.global.identities.xml 示例文件。

注意：如果已经将 CA EEM 配置为使用 LDAP 或 SiteMinder 进行身份验证，并且已经在 LDAP 或 SiteMinder 服务器上创建了用户和组，则不需要将 APM 组添加到 CA EEM 中。只需要使用 Safex 脚本注册 APM 应用程序。请参阅在 CA EEM 中注册 APM 应用程序。

注意：您也可以使用 CA EEM 界面执行这些任务。有关详细信息，请参阅《CA Embedded Entitlements Manager 入门指南》、《CA Embedded Entitlements Manager 联机帮助》、《CA Embedded Entitlements Manager 编程指南》。

使用 Safex 实用工具创建 APM 组：

在 <EEM_Server> 目录中创建 Safex XML 文件，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。
例如，C:\Program Files\CA\SharedComponents\iTechnology\Add_Groups.xml。

剪切该代码并将其粘贴到 Safex xml 文件中，然后使用您的变量替代引号中的变量并配置其他相应的值。

注意：请使用前缀 ug: 指定特定于应用程序的用户组，如果适用于您的部署，可以使用 gug: 指定全局用户组。

<Safex>
   <!-- 附加为全局用户 -->
   <Attach/>
   <!-- 添加用户组 -->
   <Add>
         <Folder name="/APM" />

         <UserGroup name="Admin" folder="/">
              <Description>Administrator Group</Description>
         </UserGroup>

         <UserGroup name="Guest" folder="/">
              <Description>Guest Group</Description>
         </UserGroup>
      </Add>
      <Detach/>
</Safex>

打开命令提示符并导航到 <EEM_Server> 目录，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。

通过以下命令来运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xml

例如，

>safex.exe -h localhost -u EiamAdmin -p <password> -f eem.add.global.identities.xml

如果要为以 FIPS 模式与 CA EEM 集成的 APM 应用程序创建组，请运行以下命令以运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <password> -f <yourfilename>.xml -fips

例如，

>safex.exe -h localhost -u EiamAdmin -p <password> -f eem.add.global.identities.xml -fips

在 CA EEM 中查看组。
1. 登录到 CA EEM。
2. 单击“管理身份”选项卡。
3. 单击“组”链接。
4. 在“搜索组”窗口中，选中“显示应用程序组”复选框，然后单击“执行”。
  CA EEM 会在“用户组”窗口中显示 APM 组的列表。
5. 单击组名称链接可在“用户组”窗口中查看有关该组的更多信息。

使用 Safex 实用工具删除 APM 组：

注意：在删除某个组之前，请先删除该组内的用户。如果有其他组引用要删除的组，请取消引用。

在 <EEM_Server> 目录中创建 Safex XML 文件，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。
例如，C:\Program Files\CA\SharedComponents\iTechnology\Remove_Group.xml。

剪切此代码并将其粘贴到 Safex XML 文件中，然后使用您的变量替代引号中的变量并配置其他相应的值。

注意：请使用前缀 ug: 指定特定于应用程序的用户组，如果适用于您的部署，可以使用 gug: 指定全局用户组。

<Safex>
   <!-- 附加为全局用户 -->
   <Attach/>
<!-- 删除全局用户和组 -->
   <Remove>
             <GlobalUserGroup name="Admin" folder="/"/>
             <GlobalUserGroup name="Guest" folder="/"/>
             <GlobalFolder name="/APM" />
   </Remove>
   <Detach/>
</Safex>

打开命令提示符并导航到 <EEM_Server> 目录，该目录通常为 C:\Program Files\CA\SharedComponents\iTechnology。

通过以下命令来运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Group.xml

如果要为以 FIPS 模式与 CA EEM 集成的 APM 应用程序删除组，请运行以下命令以运行 Safex 脚本：

>safex.exe -h localhost -u EiamAdmin -p <ENTER YOUR PASSWORD> -f <yourfilename>.xml -fips

例如，

>safex.exe -h localhost -u EiamAdmin -p 1234567 -f Remove_Group.xml -fips

在 CA EEM 中查看 APM 组。
1. 登录到 CA EEM。
2. 单击“管理身份”选项卡。
3. 单击“组”链接。
4. 在“搜索组”窗口中，选中“显示应用程序组”复选框，然后单击“执行”。
CA EEM 会在“用户组”窗口中显示 APM 组的列表。删除的 APM 组不会列出。