管理应用程序授权(由管理员或应用程序所有者执行)

设置或修改有权访问应用程序的用户。 用户必须拥有该应用程序的访问权限,才能从主页 Verify 查看和访问该应用程序,或登录目标应用程序的网页。

准备工作

  • 您必须具有管理许可权,或者是应用程序所有者才能执行此任务。
  • 应用程序实例必须已存在,您才能授权用户和组对其进行访问。 请参阅 “配置应用程序 ”。
  • 在分配应用程序权利之前,请先在云目录中创建用户和组。 请参阅 “管理用户 ”和 “管理组 ”。 只能授权现有用户和组来访问应用程序实例。

    若要为来自 SAML 企业身份源的组授予权限,您必须在云目录中创建影子组 ,并使用与 SAML 企业身份源中的组名称完全相同的名称。 不需要对影子组填充任何成员。 该影子组作为占位符,代表 SAML 企业组。

关于此任务

您可以将权利分配给组、云目录用户和联合用户。

在编辑应用程序实例时,您可以访问 “权限 ”选项卡。

您可以使用所有用户都有权访问此应用程序选项,授予或除去所有用户对该应用程序的访问权。 有关单个或多个用户或组的访问权利,请参阅以下内容:

过程

  1. 选择 “应用程序” > “应用程序”
  2. 选择该应用程序,然后点击 “编辑 ”图标。
    将鼠标悬停在您要管理的应用程序上,待图标出现后点击它 编辑
  3. 选择 “权益 ”选项卡。
  4. 分配应用程序权利。
    • 如果在帐户生命周期中启用供应帐户,那么当您以直接方式或以组成员身份向任何用户分配权利时,将启动供应并在目标上创建帐户。
    • 选择所有用户和组的自动访问权,以授予所有用户和组访问应用程序的权利。
      注意: 此选项将授予应用程序中 IBM® Verify 所有可用用户的访问权限。 如果在帐户生命周期中启用供应,那么此选项将为所有用户启动帐户供应。
    • 选择 “所有用户和组均需批准”, 以便在授予所有用户和组访问该应用程序的权限之前,先获得批准。 选择一个或多个核准人。 如果选中此选项,任何用户均可通过启动器中的 “我的请求 ”申请访问该应用程序。
      注意: 如果同时选中了 “用户的经理 ”和 “应用程序所有者 ”,则审批流程将按顺序进行。 经理必须先核准,然后应用程序所有者才能核准访问权。
      使用高级流程
      如果选择了 “使用高级流程 ”,则审批流程将通过基于审批的已发布流程进行管理,该流程是使用流程设计器创建的。 要创建新的流程,请参阅 “管理流程设计器 ”。
      注意: “使用高级流程审批方法”支持应用程序访问,同时支持“精细访问请求”和“为他人请求访问权限”。
      “选择流程 ”下,可从流程列表中选择高级流程。 只有已发布且包含 “发起访问请求审批 ”和 “完成审批 ”节点的流程才会被列入列表。
      注意: 使用高级工作流是一项可申请的功能, CI-49772 (申请使用高级工作流的权限)。 如需申请此功能,请联系您的 IBM 销售代表或 IBM 联系人,并表明您希望启用此功能的意愿。 如果您有相应权限,也可以使用该功能编号提交支持工单。
    • 选择用户、组和动态组 ,并分配单独的访问权限 以便仅允许所选用户、组和动态组访问该应用程序。 选择一个或多个核准人。
      注: 动态组是一项可申请的功能,目前处于测试阶段( CI-46644 ,即基于动态属性的访问控制)。 如需申请此功能,请联系您的 IBM 销售代表或 IBM 联系人,并表明您希望启用此功能的意愿。 如果您有相应权限,也可以使用该功能编号提交支持工单。
    1. 选择 “添加 ”。 此时将显示 “选择用户、组和动态组 ”对话框。
    2. 请使用搜索框筛选数据列表。
    3. “匹配项目 ”列表中选择用户、 组或动态组 ,然后点击 “添加”
    4. 如果您不小心将用户、 组或动态组添加到了 “已选项目 ”列表中,请在 “已选项目 ”列表中选中该条目,然后点击 “删除”
    5. 如果目标用户不在返回的搜索结果中,请选择 “添加新用户 ”。 使用此选项创建一个 云目录用户 或一个 联合用户 尚未通过 身份验证的 Verify请参阅 “创建用户 ”。
      注意:“添加用户 ”对话框中选择 “保存 ”后,该用户即被创建,您可通过 “目录 > 用户与组 ”进行查看或更新。
    6. 如果要将权利分配给组,那么可以启用或禁用自动访问权。
      启用自动访问权
      此组中的所有用户将自动获得该应用程序的访问权,无需任何核准。 此设置是缺省选项。
      禁用自动访问权
      此组中的用户不会自动获得该应用程序的访问权。 用户访问权必须得到所选核准人的批准。
    7. 点击 “确定”
      注意: 如果您添加了用户但选择了 “取消 ”,该用户将无法使用该应用程序。
    8. 选择 “保存 ”。
  5. 搜索和查看应用程序权利。
    1. 请使用搜索框筛选数据列表。
    2. 选择具有权限的用户或组的名称,以在 “详细信息 ”区域中显示相关信息。
      注意: 显示的信息会根据所选对象是用户还是组而有所不同。 组信息仅包含组名以及分配权利的用户的名称和电子邮件。
      表 1. 显示的信息
      信息 描述
      名称
      用户的名字和姓氏。
      注意: 对于联合用户,此信息为可选项。
      Email
      用于接收通知(例如,发出重置请求后接收用户的新密码或接收一次性密码)的用户电子邮件地址。
      注意: 对于联合用户,此信息为可选项。
      用户名
      Verify用于登录的唯一标识符。 可与用户的电子邮件地址相同。
      注: 对于联合用户,用户名会与“@”符号及后缀的域名拼接在一起,该域名与提供用户信息的身份提供商相关联。 例如, johnsmith@example.com@ADFS 其中 johnsmith@example.com 是用户的注册用户名, ADFS 是用户的领域。
      分配者 授权用户或组访问应用程序的用户的名字和姓氏。
      Email 分配者的电子邮件地址。
  6. 除去应用程序权利。
    如果在帐户生命周期中启用取消供应帐户,那么当您以直接方式或以组成员身份移除任何用户的权利时,将启动取消供应,并取消供应目标应用程序中的帐户。
    1. 选择要除去的用户或组。
      提示: 您可以选择多个条目。
    2. 选择 “删除”
    3. 确认要永久删除所选权利。
    4. 选择 “保存 ”。