原則存放區、應用程式和範圍

授權原則存放區、應用程式和範圍代表授權管理員原則的不同組織層級。原則存放區可以包含一或多個應用程式，而應用程式可以包含一或多個範圍。

授權原則存放區

在授權管理員 API 中，授權原則存放區是由 IAzAuthorizationStore 物件表示。授權原則存放區包含應用程式、範圍、作業、工作、角色和使用者群組的定義和指派。

授權原則存放區可以儲存為 XML 檔案或 Active Directory。

應用程式必須先初始化授權原則存放區，才能變更存放區中的資訊，或使用存放區原則來檢查用戶端對資源的存取。

授權原則存放區可以包含一或多個 IAzApplication 物件，每個物件都代表特定應用程式的授權原則。

在授權管理員 API 中，應用程式是以 IAzApplication 物件表示。授權原則存放區可以包含許多應用程式的授權原則資訊。使用 IAzApplication 物件可讓您將不同應用程式的授權原則儲存在單一原則存放區中。

一個授權原則存放至少必須包含一個應用程式。

在授權管理員 API 中，範圍是由 IAzScope 物件表示。範圍會為授權原則提供額外的選擇性組織層級。應用程式可以包含一或多個範圍，但不需要包含任何 (授權管理員提供預設、全應用程式範圍) 。

範圍是應用程式內的細分，其會將資源與該應用程式所使用的其他資源分開。若有不想將其套用於整個應用程式的授權管理員群組、角色指派、角色定義或工作定義，請將它們建立為領域層級。

儲存在 Active Directory 中的授權原則存放區支援管理委派。系統管理可以委派給存放區、應用程式或範圍層級的使用者和群組。每個層級都會定義該層級原則的系統管理角色。若要將控制權委派給使用者或群組，請將它們指派給系統管理員角色;若要允許使用者或群組讀取原則，請將它們指派給讀取者角色。

存放區、應用程式或範圍的系統管理員可以在委派層級讀取和修改原則存放區。讀取器可以在委派層級讀取原則存放區，但無法修改存放區。