Se debe especificar una acción Agregar y Eliminar para que Identity Manager gestione correctamente la pertenencia a una función cuando un administrador concede o revoca la función.
Cada rol puede disponer de dos acciones Agregar y dos acciones Eliminar.
Si los administradores pueden agregar y eliminar miembros del rol, defina acciones Agregar y Eliminar. Si no pueden, significa que los usuarios tienen asignados dicho rol en cumplimiento con la regla de miembros; por ejemplo, si pertenecen al grupo de administradores de roles. Por ejemplo:
Al definir acciones Agregar y Eliminar, considere utilizar el atributo de rol de administrador, ya que Identity Manager puede utilizarlo con el fin de almacenar una lista de roles del usuario. Por ejemplo, se puede configurar una acción Agregar que agregue Empleado al atributo de rol de administrador de un usuario cuando dicho usuario se agregue como miembro del rol de empleado. Si un administrador asigna el rol de empleado a un gestor que ya tiene los roles de autoadministrador y gestor de usuarios, el atributo de rol de administrador del gestor contendrá los siguientes valores: Self Administrator, User Manager, Employee.
Para utilizar el atributo de rol de administrador, el atributo conocido %ADMIN_ROLE_CONSTRAINT% se deberá asignar a un atributo con varios valores en los perfiles de usuario. Para obtener más información, consulte la Guía de configuración de CA Identity Manager.
Importante: Al definir una acción Agregar, evite configurar una regla que haga referencia al rol que se esté definiendo. Por ejemplo, no defina la acción Agregar para incluir miembros en el rol A si ya es miembro del rol A. Esto producirá un error recursivo que hará que el servidor de políticas se reinicie.
|
Copyright © 2013 CA.
Todos los derechos reservados.
|
|