Archivi criteri, applicazioni e ambiti
I criteri di autorizzazione archivi, applicazioni e ambiti rappresentano diversi livelli di organizzazione dei criteri di Gestione autorizzazioni. Un archivio criteri può contenere una o più applicazioni e un'applicazione può contenere uno o più ambiti.
Archivi criteri di autorizzazione
Nell'API Gestione autorizzazioni un archivio criteri di autorizzazione è rappresentato da un oggetto IAzAuthorizationStore . L'archivio criteri di autorizzazione contiene definizioni e assegnazioni di applicazioni, ambiti, operazioni, attività, ruoli e gruppi di utenti.
Un archivio criteri di autorizzazione può essere archiviato come file XML o in Active Directory.
Un'applicazione deve inizializzare un archivio criteri di autorizzazione prima di modificare le informazioni nell'archivio o usare i criteri di archiviazione per controllare l'accesso client alle risorse.
Un archivio criteri di autorizzazione può contenere uno o più oggetti IAzApplication che rappresentano i criteri di autorizzazione per un'applicazione specifica.
Applicazioni
Nell'API Gestione autorizzazioni un'applicazione è rappresentata da un oggetto IAzApplication . Un archivio criteri di autorizzazione può contenere informazioni sui criteri di autorizzazione per molte applicazioni. L'uso di oggetti IAzApplication consente di archiviare criteri di autorizzazione diversi per applicazioni diverse in un singolo archivio criteri.
Un archivio criteri di autorizzazione deve contenere almeno un'applicazione.
Ambiti
Nell'API Gestione autorizzazioni un ambito è rappresentato da un oggetto IAzScope . Gli ambiti forniscono un livello aggiuntivo facoltativo di organizzazione per un criterio di autorizzazione. Un'applicazione può contenere uno o più ambiti, ma non devono contenere alcun oggetto (Gestione autorizzazioni fornisce un ambito predefinito a livello di applicazione).
Un ambito è una suddivisione all'interno di un'applicazione che separa le risorse da altre risorse usate da tale applicazione. Se si hanno gruppi di Gestione autorizzazioni, assegnazioni di ruolo, definizioni di ruolo o definizioni di attività che non si desidera applicare a un'intera applicazione, è possibile crearli a livello di ambito.
Delegation
Archivi criteri di autorizzazione archiviati in Active Directory supportano la delega di amministrazione. L'amministrazione può essere delegata a utenti e gruppi a livello di archivio, applicazione o ambito. Ogni livello definisce i ruoli amministrativi per i criteri a tale livello. Per delegare il controllo a un utente o a un gruppo, assegnarli al ruolo amministratore; per consentire a un utente o a un gruppo di leggere i criteri, assegnarli al ruolo lettore.
Gli amministratori di un archivio, un'applicazione o un ambito possono leggere e modificare l'archivio criteri a livello delegato. I lettori possono leggere l'archivio criteri a livello delegato, ma non possono modificare l'archivio.
Argomenti correlati