Поделиться через

Делегирование определения разрешений в скрипте

  • Статья

Вы можете делегировать администрирование хранилищ политик авторизации, хранящихся в Active Directory. Администрирование можно делегировать пользователям и группам на уровне магазина, приложения или область.

На каждом уровне имеется список администраторов и читателей. Администраторы магазина, приложения или область могут читать и изменять хранилище политик на делегированном уровне. Читатели могут читать хранилище политик на делегированном уровне, но не могут изменять хранилище.

Пользователь или группа, которые являются администратором или читателем приложения, также должны быть добавлены в качестве делегированного пользователя хранилища политик, содержащего это приложение. Аналогичным образом, пользователь или группа, которые являются администратором или читателем область, должны быть добавлены в качестве делегированного пользователя приложения, содержащего область.

Делегирование администрирования область

  1. Добавьте пользователя или группу в список делегированных пользователей хранилища, содержащего область, вызвав метод AddDelegatedPolicyUser объекта AzAuthorizationStore, содержащего область.
  2. Добавьте пользователя или группу в список делегированных пользователей приложения, содержащего область, вызвав метод AddDelegatedPolicyUser объекта IAzApplication, содержащего область.
  3. Добавьте пользователя или группу в список администраторов область, вызвав метод AddPolicyAdministrator объекта IAzScope.

Примечание

Хранилища политик на основе XML не поддерживают делегирование ни на одном уровне.

 

Если область в хранилище авторизации, хранящееся в Active Directory, содержит определения задач, включающие правила авторизации, или определения ролей, включающие правила авторизации, область не может быть делегирована.

В следующем примере показано, как делегировать администрирование приложения. В примере предполагается, что в указанном расположении имеется хранилище политик авторизации Active Directory, что это хранилище политик содержит приложение с именем Expense и что это приложение не содержит задач со скриптами бизнес-правил.

'  Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the authorization store.
AzManStore.Initialize 2, _
    "msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"

'  Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")

'  Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")

'  Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")

'  Save changes to the store.
AzManStore.Submit