部署用户、组和组织的指派管理

指派管理是通过使不同 CA IdentityMinder 用户执行修改、分配和使用角色的功能来对用户和他们的权利进行管理。

注意：必须精心构造授权模型，以确保您的 CA IdentityMinder 实施具有良好性能和可扩展性。

作用域规则强制实施授权，这些规则是在管理角色的成员和管理策略中定义的。作用域规则确定角色成员可以使用角色的对象。例如，作用域规则可以使用户管理者能够管理它的部门的用户，但是不能管理其他部门的用户。

通常，作用域规则应当反映用户存储的逻辑结构。例如，在分等级的 LDAP 用户存储中，作用域可能是由组织定义的。在关系数据库中，作用域可能是使用部门 ID 等属性定义的。

在对用户、组和组织部署指派管理时，注意以下内容：

限制与用户相关的任务的关系选项卡（如“管理角色”和“配给角色”选项卡）的访问。这些关系选项卡包含在默认用户任务（如创建用户和修改用户）中。考虑从默认任务中删除它们，仅在与少量管理角色关联的特定任务中使用它们。
CA IdentityMinder 动态评估每个作用域规则；不将作用域信息存入缓存。考虑创建包含简单目录查询的作用域规则，以确保良好性能。
通过确定 CA IdentityMinder 需要多长时间才能返回管理员可以管理的对象，从而评估作用域规则的性能。