您可以创建一些组,在组中添加成员,然后创建组规则。接下来,您可以根据定义的规则填充这些组。

使用组可同时授权多个用户使用同一资源,无需为每个用户单独授权。一个用户可以属于多个组。例如,如果您创建了 Sales 组和 Management 组,销售经理则可以属于这两个组。

您可以指定将哪些策略设置应用于组成员。组中的用户通过您为用户属性设置的规则来定义。如果与定义的组规则值相比,用户的属性值发生了变化,则会从组中移除该用户。

过程

  1. VMware Identity Manager 控制台的“用户和组”选项卡中,单击
  2. 单击添加组
  3. 输入组名称和描述。单击下一步
  4. 在该组中添加用户。要在该组中添加用户,请输入用户名的几个字母。在输入文本时,将显示匹配的名称。
  5. 选择用户名,然后单击 +添加用户
    继续向组中添加成员。
  6. 在将用户添加到组之后,单击下一步
  7. 在“组规则”页面中,选择授予组成员资格的方式。在下拉菜单中,选择任意所有
    选项 操作
    任意 只要满足组成员身份的任一条件,就会授予组成员身份。该操作的作用类似于 OR 条件。例如,如果为 Group Is SalesGroup Is Marketing 规则选择任意,则会为销售和营销人员授予该组的成员资格。
    所有 只有满足组成员资格的所有条件,才会授予组成员资格。使用“所有”的作用类似于 AND 条件。例如,如果为 Group Is SalesEmail Starts With 'western_region' 规则选择以下所有,则只有西部地区的销售人员才会被授予该组的成员资格。其他地区的销售人员不会被授予成员资格。
  8. 为您的组配置一个或多个规则。规则可以嵌套。
    选项 描述
    属性

    从第一列的下拉菜单中选择其中一个属性。选择“组”可将现有组添加到所创建的组。您可以添加其他类型的属性,以管理组中的哪些用户是所创建组的成员。

    属性规则

    可以使用以下规则,具体取决于所选择的属性。

    • 选择可选择要与此组关联的组或目录。在文本框中输入名称。在键入时会出现可用组或目录的列表。
    • 选择不是可选择要排除的组或目录。在文本框中输入名称。在键入时会出现可用组或目录的列表。
    • 选择匹配可向与输入的条件完全匹配的条目授予组成员资格。例如,组织可能设立了一个共用一个电话主机号码的差旅部门。如果要授权共用该电话号码的所有员工访问旅行预订应用程序,则可以创建规则,如“Phone matches (555) 555-1000”。
    • 选择不匹配可向除了与所输入条件匹配的条目之外的所有目录服务器条目授予组成员资格。例如,如果您的一个部门共用一个电话主机号码,要禁止该部门访问社交网络应用程序,您可以创建规则,如“Phone does not match (555) 555-2000”。使用其他电话号码的目录服务器条目则有权访问该应用程序。
    • 选择开头是可向开头满足所输入条件的目录服务器条目授予组成员资格。例如,组织的电子邮件地址可能以部门名称开头,如 [email protected]。如果您希望授权所有销售人员访问应用程序,则可以创建规则,如“email starts with sales_”。
    • 选择开头不是可向除了开头满足所输入条件的条目之外的所有目录服务器条目授予组成员资格。例如,如果人力资源部门的电子邮件地址采用 [email protected] 格式,要拒绝此部门人员对应用程序的访问,您可以设置规则,如“email does not start with hr_”。使用其他电子邮件地址的目录服务器条目则可以访问该应用程序。
    使用“任意”或“所有”属性

    (可选)要在组规则中包含“任意”或“所有”属性,请最后添加此规则。

    • 如果选择任意,则只要满足此规则中的组成员资格的任意条件,就会授予组成员资格。使用“任意”可以嵌套规则。例如,您可以创建要求满足以下所有条件的规则:Group is Sales; Group is California。对于“Group is California”,要求满足以下任意条件:Phone starts with 415; Phone starts with 510。该组成员必须属于加利福尼亚销售人员,并且电话号码以 415 或 510 开头。
    • 如果选择所有,则要求必须满足此规则的所有条件。通过这种方法可以嵌套规则。例如,您可以创建要求满足以下任意条件的规则:Group Is Managers; Group is Customer Service。对于“Group is Customer Service”,要求满足以下所有条件:Email starts with cs_; Phone starts with 555。组成员可以是经理或客户服务代表,但客户服务代表的电子邮件地址必须以 cs 开头,且电话号码要以 555 开头。

  9. (可选)要排除特定用户,请在文本框中输入用户名,然后单击排除用户
  10. 单击下一步,然后查看组信息。单击创建组

后续步骤

添加授权该组使用的资源。