添加和删除操作

您必须为 Identity Manager 指定添加操作和删除操作，以在管理员授予或吊销角色时正确地管理该角色的成员资格。

添加操作必须使用户符合角色成员条件中的其中一条。例如，如果用户管理者角色的成员规则声明角色成员使用"用户管理者"作为其管理角色属性的值，则添加操作必须将"用户管理者"添加到管理角色属性中。
删除操作应更改用户的配置文件，便于在撤销成员规则时此用户不再符合该规则。

每个角色可以有两个添加操作和两个删除操作。

如果管理员可以添加和删除角色的成员，您就要定义添加和删除操作。否则，用户只能通过满足成员规则（例如属于 RoleAdmins 组）来获得角色。例如：

角色 A 可以由管理员分配，因此要定义添加或删除操作。
角色 B 使用了以下规则：组“finance”的所有成员都具有该角色。此角色不能分配，因此没有添加或删除操作。

在定义添加和删除操作时，请考虑使用“管理角色”属性，Identity Manager 可以使用该属性存储用户的角色列表。例如，在将某个用户添加为“员工”角色的成员时，您可以配置添加操作，将“员工”添加到该用户的管理角色属性中。在管理员将“员工”角色分配给已经具有“自行管理员”和“用户管理者”角色的经理时，该经理的管理角色属性将包含以下值：“Self Administrator”（自行管理员）、“User Manager”（用户管理者）、“Employee”（员工）。

要使用管理角色属性，必须将 %ADMIN_ROLE_CONSTRAINT% 这一常用属性映射到用户配置文件中的某一多值属性。有关详细信息，请参阅《CA Identity Manager 配置指南》。

重要说明！ 在定义添加操作时，应避免设置引用您正在定义的角色的规则。例如，不要定义通过成为角色 A 的成员来生成角色 A 的成员的添加操作。这将形成递归错误，导致策略服务器重新启动。