Planen von Rollen › Rollenmerkmale › Hinzufügungs- und Entfernungsaktionen

Hinzufügungs- und Entfernungsaktionen

Sie müssen sowohl eine Hinzufügungs- als auch eine Entfernungsaktion angeben, damit Identity Manager die Mitgliedschaft einer Rolle ordnungsgemäß verwaltet, wenn Administratoren die Rolle gewähren oder widerrufen.

• Bei der Hinzufügungsaktion muss der Benutzer die Kriterien in einer der Mitgliederregeln der Rolle erfüllen. Wenn zum Beispiel die Mitgliederregel für die Rolle "User Manager" festlegt, dass "User Manager" ein Wert des Attributs "Admin-Rollen" der Rollenmitglieder sein muss, muss "User Manager" mit der Hinzufügungsaktion zum Attribut "Admin-Rollen" hinzugefügt werden.
• Analog dazu sollte die Entfernungsaktion das Profil eines Benutzers so ändern, dass der Benutzer beim Widerrufen der Regel nicht mehr mit der Mitgliederregel übereinstimmt.

Jede Rolle kann zwei Hinzufügungsaktionen und zwei Entfernungsaktionen aufweisen.

Wenn Administratoren Rollenmitglieder hinzufügen und entfernen können, definieren Sie die Hinzufügungs- und Entfernungsaktionen. Andernfalls besitzt der Benutzer die Rolle, wenn er der Mitgliederregel entspricht und z. B. zur Gruppe "RoleAdmins" gehört. Beispiel:

• Rolle A kann von einem Administrator zugewiesen werden, sodass Hinzufügungs- oder Entfernungsaktionen definiert werden.
• Rolle B enthält eine Regel, dass alle Mitglieder der Gruppe "Finanzen" die Rolle besitzen. Diese Rolle kann nicht zugewiesen werden, und sie verfügt deshalb über keine Hinzufügungs- oder Entfernungsaktionen.

Wenn Sie Hinzufügungs- oder Entfernungsaktionen definieren, ziehen Sie in Betracht, das Attribut "Admin-Rollen" zu verwenden. Identity Manager kann mithilfe dieses Attributs eine Liste der Rollen des Benutzers speichern. Beispielsweise können Sie eine Hinzufügungsaktion konfigurieren, mit der "Employees" dem Attribut "Admin-Rollen" eines Benutzers hinzufügt wird, wenn dieser Benutzer der Rolle "Mitarbeiter" als Mitglied hinzugefügt wird. Wenn ein Administrator die Rolle "Mitarbeiter" einem Manager zuweist, der bereits die Rollen "Self Administrator" und "User Manager" besitzt, würde das Attribut "Admin-Rollen" des Managers die folgenden Werte enthalten: "Self Administrator", "User Manager", "Employee".

Damit das Attribut "Admin-Rollen" verwendet werden kann, muss das bekannte Attribut %ADMIN_ROLE_CONSTRAINT% einem Attribut mit mehreren Werten in den Benutzerprofilen zugeordnet werden. Weitere Informationen finden Sie im CA Identity Manager-Konfigurationshandbuch.

Wichtig! Vermeiden Sie es beim Definieren einer Hinzufügungsaktion, eine Regel einzurichten, die sich auf die Rolle bezieht, die Sie definieren. Definieren Sie zum Beispiel keine Hinzufügungsaktion, die angibt, dass ein Benutzer Mitglied der Rolle A ist, um ihn als Mitglied der Rolle A hinzuzufügen. Dadurch wird ein rekursiver Fehler generiert, der zu einem Neustart des Richtlinienservers führt.