优化 CA IdentityMinder › 角色优化 › 策略规则创建准则 › 限制策略对象和用户存储搜索
限制策略对象和用户存储搜索
角色策略的每个规则都需要对象存储中的对象集。 在 CA IdentityMinder 评估规则时,它加载这些对象并且执行任何必要的用户存储搜索。
以下示例显示了包括三个成员规则的成员策略。 每个规则各包括四个作用域规则。
在此示例中,在评估和应用成员策略时,CA IdentityMinder 创建对象并执行下表中所述的用户存储搜索。
|
规则
|
策略对象
|
可能用户存储搜索
|
- 成员规则:where (Department = "Administration")
- 用户作用域:City = "Boston"
- 组作用域:Group Name = "Product Team"
- 配给角色作用域:Name = "Employee"
- 访问任务作用域:Name = "Development"
|
5
|
5(每个规则定义对象一个)
|
- 成员规则:where (Department = "Engineering")
- 用户作用域:City = "Boston"
- 组作用域:Group Name = "Product Team"
- 配给角色作用域:Name = "Employee"
- 访问任务作用域:Name = "Development"
|
5
|
5
|
- 成员规则:where (Department = "Human Resources")
- 用户作用域:City = "Boston"
- 组作用域:Group Name = "Product Team"
- 配给角色作用域:Name = "Employee"
- 访问任务作用域:Name = "Development"
|
5
|
5
|
在此示例中,CA IdentityMinder 创建 15 个对象,并执行 15 个目录搜索来确定成员资格和作用域。
要限制策略对象的数目和 CA IdentityMinder 执行的用户存储搜索数,将规则组合到复杂表达式。 下列示例以一个成员规则指定第一个示例中同样的权利。
在此示例中,CA IdentityMinder 只创建十个策略对象,只执行五次用户存储搜索。
|
规则
|
策略对象
|
可能用户存储搜索
|
- 成员规则:
where (Department = "Administration") OR
where (Department = "Engineering") OR
where (Department = "Human Resources")
- 用户作用域:City = "Boston"
- 组作用域:Group Name = "Product Team"
- 配给角色作用域:Name = "Employee"
- 访问任务作用域:Name = "Development"
|
5
|
5
|
版权所有 © 2013 CA。
保留所有权利。
|
|