策略存储、应用程序和范围

授权策略存储、应用程序和范围表示授权管理器策略的不同组织级别。 策略存储可以包含一个或多个应用程序，应用程序可以包含一个或多个范围。

• 授权策略存储
• 应用程序
• 范围
• 委派
• 相关主题

授权策略存储

在授权管理器 API 中，授权策略存储由 IAzAuthorizationStore 对象表示。 授权策略存储包含应用程序、范围、作、任务、角色和用户组的定义和分配。

授权策略存储可以存储为 XML 文件，也可以存储在 Active Directory 中。

在更改存储中的信息或使用存储策略检查客户端对资源的访问之前，应用程序必须初始化授权策略存储。

授权策略存储可以包含一个或多个 IAzApplication 对象，每个对象代表特定应用程序的授权策略。

应用

在授权管理器 API 中，应用程序由 IAzApplication 对象表示。 授权策略存储可以包含许多应用程序的授权策略信息。 使用 IAzApplication 对象，可以将不同应用程序的不同授权策略存储在单个策略存储中。

授权策略存储必须至少包含一个应用程序。

范围

在授权管理器 API 中，范围由 IAzScope 对象表示。 范围为授权策略提供额外的可选组织级别。 应用程序可以包含一个或多个范围，但不需要包含任何范围（授权管理器提供默认的应用程序范围）。

范围是应用程序中的细分，它将资源与该应用程序使用的其他资源分开。 如果授权管理器组、角色分配、角色定义或任务定义不想应用于整个应用程序，则可以在范围级别创建它们。

代表团

存储在 Active Directory 中的授权策略存储支持管理委派。 可以在存储、应用程序或范围级别将管理委托给用户和组。 每个级别定义该级别的策略的管理角色。 若要将控制权委托给用户或组，请将其分配给管理员角色;若要允许用户或组读取策略，请将其分配给读取者角色。

存储、应用程序或范围的管理员可以在委派级别读取和修改策略存储。 读取器可以在委托级别读取策略存储，但不能修改存储区。

相关主题

在 C++ 中创建授权策略存储对象

在 C++ 中创建应用程序对象

委派C++ 中的权限定义