策略存储区、应用程序和范围

授权策略存储区、应用程序和范围表示授权管理器策略的不同组织级别。策略存储可以包含一个或多个应用程序，应用程序可以包含一个或多个范围。

授权策略存储

在授权管理器 API 中，授权策略存储由 IAzAuthorizationStore 对象表示。授权策略存储包含应用程序、范围、操作、任务、角色和用户组的定义和分配。

授权策略存储可以存储为 XML 文件，也可以存储在 Active Directory 中。

在更改存储中的信息或使用存储策略检查客户端对资源的访问之前，应用程序必须初始化授权策略存储。

授权策略存储可以包含一个或多个 IAzApplication 对象，每个对象表示特定应用程序的授权策略。

在授权管理器 API 中，应用程序由 IAzApplication 对象表示。授权策略存储可以包含许多应用程序的授权策略信息。使用 IAzApplication 对象可将不同应用程序的不同授权策略存储在单个策略存储中。

授权策略存储必须包含至少一个应用程序。

在授权管理器 API 中，范围由 IAzScope 对象表示。范围为授权策略提供额外的可选组织级别。应用程序可以包含一个或多个范围，但不需要包含任何 (授权管理器提供默认的应用程序范围) 。

范围是应用程序中的一个细分，用于将资源与该应用程序使用的其他资源分开。如果具有不希望应用到整个应用程序的授权管理器组、角色分配、角色定义或任务定义，则可在作用域级别对其进行创建。

存储在 Active Directory 中的授权策略存储支持管理委派。可以在应用商店、应用程序或范围级别将管理委托给用户和组。每个级别都为该级别的策略定义管理角色。若要将控制权委托给用户或组，请将其分配给管理员角色;若要允许用户或组读取策略，请将其分配给读取者角色。

存储区、应用程序或范围的管理员可以在委托级别读取和修改策略存储。读者可以在委托级别读取策略存储，但不能修改该存储区。