Partager via

Délégation de la définition d’autorisations dans script

  • Article

Vous pouvez déléguer l’administration des magasins de stratégies d’autorisation qui sont stockés dans Active Directory. L’administration peut être déléguée à des utilisateurs et des groupes au niveau du magasin, de l’application ou de l’étendue.

À chaque niveau, il existe une liste d’administrateurs et de lecteurs. Les administrateurs d’un magasin, d’une application ou d’une étendue peuvent lire et modifier le magasin de stratégies au niveau délégué. Les lecteurs peuvent lire le magasin de stratégies au niveau délégué, mais ne peuvent pas le modifier.

Un utilisateur ou un groupe qui est un administrateur ou un lecteur d’une application doit également être ajouté en tant qu’utilisateur délégué du magasin de stratégies qui contient cette application. De même, un utilisateur ou un groupe qui est un administrateur ou un lecteur d’une étendue doit être ajouté en tant qu’utilisateur délégué de l’application qui contient cette étendue.

Pour déléguer l’administration d’une étendue

  1. Ajoutez l’utilisateur ou le groupe à la liste des utilisateurs délégués du magasin qui contient l’étendue en appelant la méthode AddDelegatedPolicyUser de l’objet AzAuthorizationStore qui contient l’étendue.
  2. Ajoutez l’utilisateur ou le groupe à la liste des utilisateurs délégués de l’application qui contient l’étendue en appelant la méthode AddDelegatedPolicyUser de l’objet IAzApplication qui contient l’étendue.
  3. Ajoutez l’utilisateur ou le groupe à la liste des administrateurs de l’étendue en appelant la méthode AddPolicyAdministrator de l’objet IAzScope .

Notes

Les magasins de stratégies xml ne prennent pas en charge la délégation à n’importe quel niveau.

 

Si une étendue dans un magasin d’autorisations stockée dans Active Directory contient des définitions de tâches qui incluent des règles d’autorisation ou des définitions de rôle qui incluent des règles d’autorisation, l’étendue ne peut pas être déléguée.

L’exemple suivant montre comment déléguer l’administration d’une application. L’exemple suppose qu’il existe un magasin de stratégies d’autorisation Active Directory existant à l’emplacement spécifié, que ce magasin de stratégies contient une application nommée Expense et que cette application ne contient aucune tâche avec des scripts de règle métier.

'  Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the authorization store.
AzManStore.Initialize 2, _
    "msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"

'  Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")

'  Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")

'  Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")

'  Save changes to the store.
AzManStore.Submit