È necessario specificare un'impostazione di Aggiungi azione e Rimuovi azione per consentire a Identity Manager di gestire correttamente l'appartenenza quando un ruolo viene assegnato o revocato da un amministratore.
Ciascun ruolo può avere due azioni di aggiunta e due azioni di rimozione.
Se gli amministratori possono aggiungere e rimuovere membri del ruolo, è possibile definire le azioni di aggiunta e rimozione. In caso contrario, l'utente dispone del ruolo soddisfacendo la regola membri, ad esempio se appartiene al gruppo RoleAdmins. Ad esempio:
Quando si definiscono le azioni di aggiunta o rimozione, si consiglia di utilizzare l'attributo Ruolo di amministrazione, che Identity Manager può utilizzare per archiviare un elenco di ruoli dell'utente. Ad esempio, è possibile configurare un'azione di aggiunta che aggiunge Dipendente all'attributo Ruolo di amministrazione di un utente quando questo utente viene aggiunto come membro del ruolo Dipendente. Quando un amministratore assegna il ruolo di Dipendente a un manager che ha già il ruolo di Amministratore automatico e quello di Manager utenti, l'attributo Ruolo di amministrazione del manager conterrà i valori seguenti: Self Administrator, User Manager, Employee.
Per utilizzare l'attributo Ruolo di amministrazione, è necessario eseguire il mapping dell'attributo %ADMIN_ROLE_CONSTRAINT% conosciuto a un attributo multivalore nei profili utente. Per ulteriori informazioni, consultare la Guida alla configurazione di CA Identity Manager.
Importante. Quando si definisce un'azione Aggiungi, non impostare una regola che faccia riferimento al ruolo in corso di definizione. Ad esempio, non definire un'azione Aggiungi per impostare membro del ruolo A come membro del ruolo A. In questo caso si genera un errore ricorsivo che causerà il riavvio del Policy Server.
|
Copyright © 2014 CA.
Tutti i diritti riservati.
|
|