Aby wydajnie korzystać z Menedżera zasobów do kontrolowania dostępu do zasobów, należy najpierw zdefiniować role, zadania i operacje.
-
Rola to zestaw uprawnień, które musi mieć użytkownik, aby wykonać zadanie. Dobrze zaprojektowane role powinny odpowiadać kategoriom zadań lub odpowiedzialności (na przykład recepcjoniści, kierownicy działów personalnych lub archiwiści) i być odpowiednio nazwane. Za pomocą Menedżera autoryzacji można przypisywać użytkownikom role, aby autoryzować ich do wykonania zadania.
-
Zadanie jest zbiorem operacji, a czasem również innych zadań. Dobrze zaprojektowane zadania obejmują wystarczającą liczbę elementów, aby reprezentować zrozumiałe zadania (na przykład „zmiana hasła” lub „przedstawienie kosztu”).
-
Operacja to zestaw uprawnień skojarzonych z procedurami zabezpieczeń na poziomie systemu lub interfejsu API, takimi jak AtrybutyZapisu lub AtrybutyOdczytu. Operacji używa się jako elementów składowych zadań.
Role, zadania i operacje można definiować tylko w trybie dewelopera, a nie w trybie administratora. Aby ustawić tryb dewelopera, zobacz temat Ustawianie opcji Menedżera autoryzacji.
Definicje ról
Tworzenie odpowiednich definicji ról zależy od struktury i celów organizacji. Role mogą dziedziczyć od innych ról.
Aby zdefiniować rolę, należy określić nazwę, przyjazny opis i określone zadania, role i operacje, które są częścią definiowanej roli. Zapewnia to mechanizm dziedziczenia ról. Na przykład rola Wsparcie techniczne może obejmować rolę Wsparcie dla produktu.
Regułę autoryzacji można określić w języku VBScript lub w języku JScript. Więcej informacji można znaleźć na stronach
Jeśli z definicją roli powiązano kilka reguł autoryzacji (na przykład definicja roli zawiera kilka podról i zadań), reguły te działają synchronicznie. W Menedżerze autoryzacji kolejność nie ma wpływu na autoryzację.
Definicje zadań
Definicja zadania jest mniejsza od definicji roli i może służyć do definiowania ról i innych zadań.
W Menedżerze autoryzacji kojarzenie zadań z rolami jest intuicyjne. Na przykład rola Osoba rekrutująca może obejmować zadanie Rozmowa kwalifikacyjna.
Zadania, podobnie jak role, definiuje się w sposób odpowiedni dla danej organizacji. Aby zdefiniować zadanie, należy określić nazwę, opis oraz określone zadania i operacje, które są częścią definiowanego zadania. Można również określić regułę autoryzacji w języku VBScript lub JScript.
Definicje operacji
Operacje to niewielkie akcje na poziomie komputera używane do definiowania zadań; zwykle nie są one ważne dla administratora. Operacje można definiować tylko w trybie dewelopera.
Definicje operacji można ustawiać na poziomie aplikacji, ale nie na poziomie magazynu autoryzacji ani na poziomie zakresu.
Definicja operacji obejmuje nazwę, opis i numer operacji. Numer operacji X musi być liczbą całkowitą z zakresu od 1 do 2 147 483 647 (1 ≤ X ≤ 2^31 - 1). Numer operacji jest używany przez aplikację do identyfikowania operacji, więc wpisanie błędnego numeru operacji spowoduje nieprawidłowe przyznanie lub odebranie dostępu. To z kolei może spowodować naruszenie zabezpieczeń lub niepożądane zachowanie aplikacji klienta.