作者：gnuhpc
出处：http://www.cnblogs.com/gnuhpc/

 

1.前续工作：

• 添加人；
• 创建组织角色，并将此人加入其中；
• 创建Service；
• 创建身份策略；
• 创建分配策略；
• 配置provisioning policy entitlements；

2.创建分配策略：

两个部分需要设置--

Membership：谁有允许访问的权限。

Entitlements：哪些资源可以提供给该用户。

这个策略还制定了一旦违规操作发生该进行什么动作。

Account Entitlement中定义了哪些资源给用谁用，并且可以绑定workflow进行申请流程的设计，而且还可以设定是自动分配资源出去还是用户手动申请。而优先级的数字越小则代表优先级越高。

3.Provisioning Policy Join Directives

用来解决在属性处理上的分配策略冲突。当多个分配策略应用到同一个用户上时优先于分配策略生效（一般的分配策略则依靠优先级进行评定）。

具体的操作见下表：

4.Entitlement parameters

在分配权限的时候所填的参数可以在Manage Provisioning Policies里定制化。里面可以设置默认值、强制性、值的类型。还可以使用JavaScript进行自动填入。

写JavaScript常用的是如下的语法：subject.getProperty("attribute")

例如：

var value=subject.getProperty("sn");
if ( value.length > 0 ) {
return value[0]
else {
return "";
}

当我们想从新用户和已存在的用户上进行不同的取舍时，account有一个reason属性，0为新账户，1为已存在用户。

(if (reason==0) (return 30;) else (return 60;))

5.Workflow的绑定，对于一个entitlement，一个Service绑定一个Workflow。

6.Compliance Alerts：策略变更而引起的非法账户的出现，这个功能是起提醒作用的。

作者：gnuhpc
出处：http://www.cnblogs.com/gnuhpc/