Jede Rolle umfasst Regeln dazu, welche Benutzer Mitglieder, Administratoren oder Eigentümer der Rolle werden können. Daher kann ein Benutzer Mitglied einer Rolle, mehrerer Rollen oder keiner Rolle sein.
Mitglieder-, Admin- und Eigentümerregeln verwenden die Bedingungen in der folgenden Tabelle:
|
Regelbedingung |
Beispiel |
Regelsyntax |
|---|---|---|
|
Der Benutzer muss einem Attributwert entsprechen.
|
Benutzer wobei Titel beginnt mit Senior |
wobei <Benutzerfilter> |
|
Der Benutzer muss mehreren Attributwerten entsprechen. |
Benutzer wobei Titel=Manager und Standort=Ost |
wobei <Benutzerfilter> |
|
Der Benutzer muss den bezeichneten Organisationen angehören. |
Benutzer in Organisation Vertrieb und niedriger |
in <Org-Regel> |
|
Der Benutzer muss Organisationen angehören, die eine Bedingung erfüllen, welche von den Attributen der Organisation festgelegt wird. |
Benutzer in Organisation wobei Geschäftstyp=Gold oder Platin |
in Organisation wobei <Org-Filter> |
|
Der Benutzer muss bestimmten Organisationen angehören, und er muss bestimmten Benutzerattributen entsprechen.
|
Benutzer wobei Titel=Manager und Standort=Ost und sind in Organisation Vertrieb oder Marketing |
wobei <Benutzerfilter> und sind in <Org-Regel>
|
|
Der Benutzer muss einer bestimmten Gruppe angehören. |
Benutzer als Mitglieder von 401K Gruppe |
als Mitglieder von <Gruppe> Gruppe |
|
Der Benutzer muss Mitglied der Rolle sein. |
Benutzer als Mitglieder von Helpdesk Rolle |
als Mitglieder von <Rollenregel> |
|
Der Benutzer muss Administrator einer Rolle sein. |
Benutzer als Administratoren von Vertriebs-Manager Rolle |
als Administratoren von <Rollenregel> |
|
Der Benutzer muss Eigentümer einer Rolle sein. |
Benutzer als Eigentümer von Benutzer-Manager Rolle |
als Eigentümer von <Rollenregel> |
|
Der Benutzer muss einer Gruppe angehören, die eine Bedingung erfüllt, welche von den Attributen der Gruppe festgelegt werden. |
Benutzer als Mitglieder von Gruppen, bei denen Eigentümer=CIO |
als Mitglieder von <Gruppenfilter>
|
|
Der Benutzer muss eine Bedingung auf Grundlage einer LDAP-Anfrage erfüllen. |
(In Situationen, in denen eine in der Benutzerkonsole von Identity Manager erstellte Abfrage unzureichend ist, verwenden Sie ein LDAP-Verzeichnis) |
Benutzer von der Abfrage zurückgegeben ldap_query |
Manche Regeln erfordern möglicherweise den Vergleich eines Werts mit einem mehrwertigen Attribut. Damit die Regel zutrifft, muss mindestens ein Wert des mehrwertigen Attributs die Regel erfüllen. Wenn die Regel beispielsweise "Attribute A EQUALS 1" lautet und Attribut A für Benutzer X den Wert "1, 2, 3" hat, erfüllt Benutzer X das Kriterium.
Der Benutzer, der die Rolle erstellt, kann sie möglicherweise nicht ändern. Um die Rolle ändern zu können, muss der Benutzer die Bedingungen in den Eigentümerregeln erfüllen.
Hinweis: In umfangreichen Implementierungen kann die Auswertung von Mitglieder-, Admin- und Eigentümerregeln erhebliche Zeit in Anspruch nehmen. Sie können die Auswertungszeit für Regeln mit Benutzerattributen verkürzen, indem Sie die Option für die Auswertung im Arbeitsspeicher aktivieren. Weitere Informationen finden Sie im Konfigurationshandbuch.
|
Copyright © 2015 CA Technologies.
Alle Rechte vorbehalten.
|
|