Almacenes de directivas, aplicaciones y ámbitos
Los almacenes de directivas de autorización, las aplicaciones y los ámbitos representan distintos niveles de organización de la directiva de Authorization Manager. Un almacén de directivas puede contener una o varias aplicaciones, y una aplicación puede contener uno o varios ámbitos.
Almacenes de directivas de autorización
En la API del Administrador de autorización, un almacén de directivas de autorización se representa mediante un objeto IAzAuthorizationStore . El almacén de directivas de autorización contiene definiciones y asignaciones de aplicaciones, ámbitos, operaciones, tareas, roles y grupos de usuarios.
Un almacén de directivas de autorización se puede almacenar como un archivo XML o en Active Directory.
Una aplicación debe inicializar un almacén de directivas de autorización antes de cambiar la información del almacén o usar la directiva de almacén para comprobar el acceso de cliente a los recursos.
Un almacén de directivas de autorización puede contener uno o varios objetos IAzApplication que representan cada directiva de autorización para una aplicación específica.
APLICACIONES
En la API del Administrador de autorización, una aplicación se representa mediante un objeto IAzApplication . Un almacén de directivas de autorización puede contener información de directiva de autorización para muchas aplicaciones. El uso de objetos IAzApplication permite almacenar diferentes directivas de autorización para diferentes aplicaciones en un único almacén de directivas.
Un almacén de directivas de autorización debe contener al menos una aplicación.
Ámbitos
En la API del Administrador de autorización, un ámbito se representa mediante un objeto IAzScope . Los ámbitos proporcionan un nivel de organización adicional y opcional para una directiva de autorización. Una aplicación puede contener uno o varios ámbitos, pero no necesita contener ninguno (el Administrador de autorización proporciona un ámbito predeterminado para toda la aplicación).
Un ámbito es una subdivisión dentro de una aplicación que separa los recursos de otros recursos que usa esa aplicación. Si existen grupos, asignaciones de funciones, definiciones de función o definiciones de tarea de Administrador de autorización que no desea implementar en toda una aplicación, puede crearlos en el nivel del ámbito.
Delegación
Los almacenes de directivas de autorización almacenados en Active Directory admiten la delegación de administración. La administración se puede delegar a usuarios y grupos en el nivel de almacén, aplicación o ámbito. Cada nivel define los roles administrativos de la directiva en ese nivel. Para delegar el control a un usuario o grupo, asígneles al rol de administrador; para permitir que un usuario o grupo lea la directiva, asígnela al rol lector.
Los administradores de un almacén, una aplicación o un ámbito pueden leer y modificar el almacén de directivas en el nivel delegado. Los lectores pueden leer el almacén de directivas en el nivel delegado, pero no pueden modificar el almacén.
Temas relacionados