如果您想在您的角色模型之外设置用户属性,那么属性权限可能适合您。例如,您希望为角色的所有成员自动设置ABAP用户组,或者您计划停用某些角色的密码。但是,MX\u PERSON对象的每个属性都可以通过属性权限进行操作。
本教程介绍如何实现属性权限。它基于SAP Identity Management 7.2。如果您在IdM 7.1上执行任务时需要帮助,请与我联系。
我假设您知道如何使用标识中心,即如何创建任务和属性等。还需要一些脚本。
以下步骤概述了要执行的操作:
1。向主标识存储中的特权条目类型添加属性
添加常规文本属性
属性Zïu PRIVïu AUTOïu属性将包含要操作的属性的名称。SQL语句提供主标识存储中所有现有的属性名称(检查正确的is\u id)。
再添加一个常规文本属性:
属性Z\u PRIV\u AUTO\u值将包含要操作的属性的值。
如果检查条目类型MX\u PRIVILEGE,您将发现两个添加的属性:
2。添加AddMember和DelMember任务
现在,是时候使用属性特权的核心机制了。因此,大数据的未来,将两个有序的任务组添加到您的资源调配框架中。我使用自己的子文件夹"Entry Type Tasks"->"MX\u PRIVILEGE"。将它们命名为"Add Attribute Privilege"和"Remove Attribute Privilege"。请注意任务id,因为我们稍后将需要它们。
在两个任务中都添加一个"To Generic"通行证。
任务将处理挂起的值对象,其中包含用户信息和分配的属性权限。
在"To Generic"通行证的"Destination"选项卡上输入两个参数,一个用于用户mskey,一个用于属性privilege mskey:
对于添加属性privilege Pass,现在在"下一个数据输入"下输入一个名为"z\u setPrivilegeAttribute"的新本地纸条,然后按编辑。以下是源代码:
脚本从属性特权中读取属性名称和值,微信返利机器人,并将其与用户的当前值进行比较。如果不相同或缺少,脚本将相应地设置属性。
对于"删除属性特权"过程,您将执行与上述相同的操作,但脚本"zïu removePrivilegeAttribute"的名称不同。源代码看起来很相似:
脚本只删除用户的属性,如果用户拥有的属性值与属性特权的值完全相同。
3。添加用于创建属性权限的用户界面任务
在用户界面文件夹中创建新的有序任务"新属性权限"。插入"到标识存储"通行证。
只需在"选项"选项卡上选中"UI任务"复选框,即可将"订购任务"组设置为UI任务。
现在,可以配置"属性"选项卡。为条目类型选择"MX\ U特权",并标记"此任务创建新条目"。对于"可见"属性,选择"Z泷u PRIV泷u AUTO泷u"属性和"Z泷u PRIV泷u AUTO泷u"值,并将它们设置为必需。添加更多的属性来显示,如果你喜欢的话。
在"to identity store"pass中你配置了pass,这样它会自动将Add member和del member任务添加到新的特权中。因此,至少需要这些行:
如果需要,请输入更多的默认设置。
我没有解释如何进行花哨的设计或管理UI任务的访问控制列表。你已经知道了,数据更新,服务器和云主机,否则你会发现的。最后,它可能看起来像这样的例子:
这里我使用属性特权为sap后端IT0启用密码访问。此权限的每个成员都设置了属性Z琰u PASSWORD琰u ENABLED琰u IT0=1,以允许密码访问。
在您的角色模型中创造您的新可能性!
,美国高防云服务器