Chaque rôle inclut des règles déterminant qui peut être membre, administrateur ou propriétaire de ce rôle. Par conséquent, un utilisateur pourrait être membre d'un rôle, de plusieurs ou d'aucun.
Les règles de membre, d'administration et de propriété utilisent les conditions du tableau ci-après.
Condition des règles |
Exemple |
Syntaxe des règles |
---|---|---|
L'utilisateur doit correspondre à une valeur d'attribut.
|
Utilisateurs dont le titre commence par "senior" |
où <filtre-utilisateur> |
L'utilisateur doit correspondre à plusieurs valeurs d'attribut. |
Utilisateurs dont titre=gestionnaire et localité=est |
où <filtre-utilisateur> |
L'utilisateur doit appartenir à des organisations nommées. |
Utilisateurs dans le service commercial de l'organisation et niveau inférieur |
dans <règle-org> |
L'utilisateur doit appartenir aux organisations qui sont conformes à une condition spécifiée par les attributs de l'organisation. |
Utilisateurs dans les organisations où type d'activité=or ou platine |
dans les organisations où <filtre-org> |
L'utilisateur doit appartenir à des organisations spécifiques et correspondre à des attributs d'utilisateur spécifiques.
|
Utilisateurs dont titre=gestionnaire et localité=est et qui sont dans le service commercial ou marketing de l'organisation |
où <filtre-utilisateur> et figurant dans <règle-org>
|
L'utilisateur doit appartenir à un groupe spécifique. |
Utilisateurs qui sont membres du groupe 401K |
membres du groupe <groupe> |
L'utilisateur doit être membre d'un rôle. |
Utilisateurs qui sont membres du rôle Centre d'assistance |
membres de <règle-rôle> |
L'utilisateur doit être administrateur d'un rôle. |
Utilisateurs qui sont administrateurs du rôle Gestionnaire des ventes |
qui sont administrateurs de <règle-rôle> |
L'utilisateur doit être propriétaire d'un rôle. |
Utilisateurs qui sont propriétaires du rôle Gestionnaire d'utilisateurs |
qui sont propriétaires de <règle-rôle> |
L'utilisateur doit appartenir à un groupe qui satisfait à une condition spécifiée par les attributs du groupe. |
Utilisateurs qui sont membres des groupes où propriétaire=PDG |
membres du groupe <filtre-groupe>
|
L'utilisateur doit satisfaire à une condition basée sur une requête LDAP. |
Utilisez un annuaire LDAP dans les cas où une requête créée dans la console d'utilisateur Identity Manager n'est pas suffisante. |
utilisateur renvoyé par la requête requête_LDAP |
Certaines règles peuvent impliquer la comparaison d'une valeur avec un attribut à valeurs multiples. Pour que la règle s'applique, au moins une valeur de cet attribut doit satisfaire à la règle. Par exemple, si la règle est Attribut A EGAL A 1 et que la valeur de l'attribut A est 1, 2 ou 3 pour l'utilisateur X, alors l'utilisateur X remplit les critères.
Il se peut que l'utilisateur qui crée le rôle ne puisse pas le modifier. Pour pouvoir l'éditer, cet utilisateur doit répondre aux conditions des règles de propriété.
Remarque : Dans les implémentations à grande échelle, l'évaluation des règles de membre, d'administration et de propriété peut prendre beaucoup de temps. Pour réduire le temps d'évaluation des règles comprenant des attributs d'utilisateur, vous pouvez activer l'option d'évaluation en mémoire. Pour plus d'informations, consultez le Manuel de configuration.
Copyright © 2014 CA.
Tous droits réservés.
|
|