上一主题: 成员、管理员和所有者规则下一主题: 关于规则的通用指南

角色规划角色特征作用域规则

作用域规则

将成员和管理规则与作用域规则合并。 作用域规则限制可使用角色的对象。

作用域适用于任务的主要对象。 例如,用户是创建用户任务的主要对象。 然而,作用域不适用于该用户的组,因为组是次要对象。

对于大多数对象类型,您可以在下表中指定作用域规则类型。

规则条件

示例

规则语法

全部

角色成员可管理所有对象

All

对象必须与一个或多个属性值相匹配。

Users where title starts with senior

where <筛选>

在您选择筛选选项时,CA Identity Manager 显示两种类型的筛选:

<属性> <比较运算符><值>

对象的配置文件中的属性必须匹配特定值。

<属性> <比较运算符> admin's <用户属性>

对象的配置文件中的属性必须匹配管理员配置文件中的属性。 例如:Users where manager = admin’s UserID。

在下表中说明的其他选项,可用于用户、组和组织对象。

注意:以下用户作用域规则为示例。 您可以创建其他规则,以便处理管理员和管理员可以管理的用户之间的不同关系。

规则条件

示例

规则语法

用户必须与一个属性值相匹配。

 

Users where member of group sales or cell phone does not equal null

where <用户筛选>

用户必须与多个属性值相匹配。

Users where title=manager and locality=USA

where <用户筛选>

用户必须属于指定的组织。

Users in organization Australia or New Zealand

注意:组织作用域规则应用于满足该规则的组织的子组织。 例如,如果组织规则是“in Organization1”,那么作用域规则则适用于 Organization1.1 和 Organization1.2,但不适用于 Organization1。

in <组织规则>

用户必须属于符合组织属性指定条件的组织。

Users in organizations where Business Type=gold or platinum

in organizations where <组织筛选>

 

用户必须属于特定组织并与特定的用户属性相匹配。

Users where title=manager and locality=east and who are in organization sales or organization marketing

where <用户筛选> and who are in <组织规则>

用户配置文件上的属性必须匹配管理员配置文件上的属性。

Users where manager = admin’s UserID

where <用户属性> <比较运算符> admin’s <用户属性>

注意:请使用带有多值属性的“不等于”比较运算符。

用户与管理员位于同一组织。

Users in the organization where Jeff (the administrator) is a member

admin’s organization

用户位于列在管理员属性上的组织。

Users in sales or marketing

organization that is a value in admin’s <管理属性>

注意:以下组作用域规则仅为示例。 您可以创建其他规则,以便处理管理员和管理员可以管理的组之间的不同关系。

规则条件

示例

规则语法

组必须与一个属性值相匹配。

Group name where Group name = 401K

where <组筛选>

组必须属于指定的组织。

 

Groups in organization accounting and lower

in <组织规则>

组必须与一个属性值相匹配,且属于指定的组织。

Groups where BusinessType = finance and who are in organization sales and lower

where <组筛选> and who are in <组织规则>

组必须列在管理员的属性中。

Groups where Description = Engineering

where <组属性> <比较运算符> admin’s <用户属性>

注意:请使用带有多值属性的“不等于”比较运算符。

注意:以下组织作用域规则仅为示例。 您可以创建其他规则,以便处理管理员和管理员可以管理的组织之间的不同关系。

规则条件

示例

规则语法

组织必须与一个属性值相匹配。

organizations where org Name=finance

where <组织筛选>

组织必须属于指定的组织。

organizations in finance and lower

in <组织规则>

组织必须与一个属性值相匹配,且属于指定的组织。

organizations where org Name=finance and are in finance and lower

where <组织筛选> and are in <组织筛选>

更多信息:

关于规则的通用指南