Aby wydajnie korzystać z Menedżera zasobów do kontrolowania dostępu do zasobów, należy najpierw zdefiniować role, zadania i operacje.

  • Rola to zestaw uprawnień, które musi mieć użytkownik, aby wykonać zadanie. Dobrze zaprojektowane role powinny odpowiadać kategoriom zadań lub odpowiedzialności (na przykład recepcjoniści, kierownicy działów personalnych lub archiwiści) i być odpowiednio nazwane. Za pomocą Menedżera autoryzacji można przypisywać użytkownikom role, aby autoryzować ich do wykonania zadania.

  • Zadanie jest zbiorem operacji, a czasem również innych zadań. Dobrze zaprojektowane zadania obejmują wystarczającą liczbę elementów, aby reprezentować zrozumiałe zadania (na przykład „zmiana hasła” lub „przedstawienie kosztu”).

  • Operacja to zestaw uprawnień skojarzonych z procedurami zabezpieczeń na poziomie systemu lub interfejsu API, takimi jak AtrybutyZapisu lub AtrybutyOdczytu. Operacji używa się jako elementów składowych zadań.

Role, zadania i operacje można definiować tylko w trybie dewelopera, a nie w trybie administratora. Aby ustawić tryb dewelopera, zobacz temat Ustawianie opcji Menedżera autoryzacji.

Definicje ról

Tworzenie odpowiednich definicji ról zależy od struktury i celów organizacji. Role mogą dziedziczyć od innych ról.

Aby zdefiniować rolę, należy określić nazwę, przyjazny opis i określone zadania, role i operacje, które są częścią definiowanej roli. Zapewnia to mechanizm dziedziczenia ról. Na przykład rola Wsparcie techniczne może obejmować rolę Wsparcie dla produktu.

Regułę autoryzacji można określić w języku VBScript lub w języku JScript. Więcej informacji można znaleźć na stronach VBScript (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=65964) i JScript (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?LinkId=65963).

Jeśli z definicją roli powiązano kilka reguł autoryzacji (na przykład definicja roli zawiera kilka podról i zadań), reguły te działają synchronicznie. W Menedżerze autoryzacji kolejność nie ma wpływu na autoryzację.

Definicje zadań

Definicja zadania jest mniejsza od definicji roli i może służyć do definiowania ról i innych zadań.

W Menedżerze autoryzacji kojarzenie zadań z rolami jest intuicyjne. Na przykład rola Osoba rekrutująca może obejmować zadanie Rozmowa kwalifikacyjna.

Zadania, podobnie jak role, definiuje się w sposób odpowiedni dla danej organizacji. Aby zdefiniować zadanie, należy określić nazwę, opis oraz określone zadania i operacje, które są częścią definiowanego zadania. Można również określić regułę autoryzacji w języku VBScript lub JScript.

Definicje operacji

Operacje to niewielkie akcje na poziomie komputera używane do definiowania zadań; zwykle nie są one ważne dla administratora. Operacje można definiować tylko w trybie dewelopera.

Definicje operacji można ustawiać na poziomie aplikacji, ale nie na poziomie magazynu autoryzacji ani na poziomie zakresu.

Definicja operacji obejmuje nazwę, opis i numer operacji. Numer operacji X musi być liczbą całkowitą z zakresu od 1 do 2 147 483 647 (1 ≤ X ≤ 2^31 - 1). Numer operacji jest używany przez aplikację do identyfikowania operacji, więc wpisanie błędnego numeru operacji spowoduje nieprawidłowe przyznanie lub odebranie dostępu. To z kolei może spowodować naruszenie zabezpieczeń lub niepożądane zachowanie aplikacji klienta.

Spis treści