È possibile creare gruppi, aggiungere membri ai gruppi e creare regole del gruppo. È quindi possibile popolare i gruppi in base alle regole definite.

È possibile utilizzare i gruppi per concedere a più utenti contemporaneamente l'autorizzazione per le stesse risorse, anziché autorizzarli individualmente. Un utente può appartenere a più gruppi. Se ad esempio si crea un gruppo Vendite e un gruppo Gestione, un responsabile delle vendite può appartenere a entrambi i gruppi.

È possibile specificare le impostazioni del criterio da applicare ai membri di un gruppo. Gli utenti dei gruppi vengono definiti dalle regole impostate per l'attributo di un utente. Se il valore dell'attributo di un utente cambia rispetto al valore della regola definita per il gruppo, l'utente viene rimosso dal gruppo.

Procedura

  1. Nella scheda Utenti e gruppi della console di VMware Identity Manager, fare clic su Gruppi.
  2. Fare clic su Aggiungi gruppo.
  3. Immettere un nome e una descrizione del gruppo. Fare clic su Avanti.
  4. Aggiunta di utenti al gruppo. Per aggiungere utenti al gruppo, immettere poche lettere del nome utente. Mentre si immette il testo, vengono visualizzate le corrispondenze.
  5. Selezionare il nome utente e fare clic su +Aggiungi utente.

    Continuare per aggiungere membri al gruppo.

  6. Dopo aver aggiunto gli utenti al gruppo, fare clic su Avanti.
  7. Nella pagina Regole del gruppo selezionare la modalità di assegnazione dell'appartenenza al gruppo. Nel menu a discesa selezionare qualsiasi o tutto.

    Opzione

    Azione

    Qualsiasi

    Assegna l'appartenenza al gruppo quando viene soddisfatta una qualsiasi delle condizioni per l'appartenenza al gruppo. Questa azione funziona come una condizione OR. Se ad esempio si seleziona Qualsiasi per le regole Il gruppo è Vendite e Il gruppo è Marketing, l'appartenenza al gruppo viene assegnata al personale delle vendite e del marketing.

    Tutto

    Assegna l'appartenenza al gruppo quando vengono soddisfatte tutte le condizioni per l'appartenenza al gruppo. Tutto funziona come una condizione AND. Se ad esempio si seleziona Tutti i seguenti per le regole Il gruppo è Vendite e L'indirizzo e-mail inizia con "area_occidentale", l'appartenenza al gruppo viene assegnata solo al personale delle vendite dell'area occidentale. Al personale delle vendite che si trova in altre aree non viene assegnata l'appartenenza al gruppo.

  8. Configurare una o più regole per il gruppo. Le regole possono essere nidificate.

    Opzione

    Descrizione

    Attributo

    Selezionare uno degli attributi dal menu a discesa della prima colonna. Selezionare Gruppo per aggiungere un gruppo esistente al gruppo che si sta creando. È possibile aggiungere altri tipi di attributo per determinare quali utenti dei gruppi sono membri del gruppo che si sta creando.

    Regole dell'attributo

    In base all'attributo selezionato, sono disponibili le regole seguenti.

    • Scegliere è per selezionare un gruppo o una directory da associare al gruppo. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili.

    • Scegliere non è per selezionare un gruppo o una directory da escludere. Immettere un nome nella casella di testo. Mentre si digita, viene visualizzato un elenco dei gruppi o delle directory disponibili.

    • Selezionare corrisponde a per assegnare l'appartenenza al gruppo alle voci che corrispondono esattamente ai criteri immessi. È ad esempio possibile che in un'organizzazione sia presente un reparto per i viaggi d'affari che condivide un numero di telefono centrale. Se si desidera concedere l'accesso a un'applicazione per la prenotazione di viaggi a tutti i dipendenti che condividono tale numero, è possibile creare la regola Telefono corrisponde a (555) 555-1000.

    • Selezionare non corrisponde a per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che soddisfano i criteri immessi. Se ad esempio uno dei reparti condivide un numero di telefono centrale, è possibile escludere tale reparto dall'accesso a un'applicazione di social networking creando la regola Telefono non corrisponde a (555) 555-2000. Le voci del server della directory con numeri di telefono diversi possono accedere all'applicazione.

    • Selezionare inizia con per assegnare l'appartenenza al gruppo alle voci del server della directory che iniziano con i criteri immessi. Gli indirizzi e-mail di un'organizzazione possono ad esempio iniziare con il nome del reparto, ovvero vendite_nomeutente@esempio.com. Se si desidera concedere a tutto il personale del reparto vendite l'accesso a un'applicazione, è possibile creare la regola E-mail inizia con vendite_.

    • Selezionare non inizia con per assegnare l'appartenenza al gruppo a tutte le voci del server della directory ad eccezione di quelle che iniziano con i criteri immessi. Se ad esempio il formato degli indirizzi e-mail del reparto risorse umane è ru_nomeutente@esempio.com, è possibile negare l'accesso a un'applicazione impostando la regola E-mail non inizia con ru_. Le voci del server della directory con indirizzi e-mail diversi possono accedere all'applicazione.

    Utilizzo dell'attributo Qualsiasi o Tutto

    (Facoltativo) Per includere l'attributo Qualsiasi o Tutto come parte della regola del gruppo, aggiungere questa come ultima regola.

    • Selezionare Qualsiasi per fare in modo che l'appartenenza al gruppo venga assegnata quando viene soddisfatta una qualsiasi delle condizioni della regola per l'appartenenza al gruppo. L'utilizzo di Qualsiasi è un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: Il gruppo è vendite; Il gruppo è California. Per Il gruppo è California, Tutti i seguenti: Il numero di telefono inizia con 415; Il numero di telefono inizia con 510. I membri del gruppo devono appartenere al personale delle vendite California e avere un numero di telefono che inizia con 415 o 510.

    • Selezionare Tutto per fare in modo che vengano soddisfatte tutte le condizioni per questa regola. Si tratta di un modo per nidificare le regole. È ad esempio possibile creare una regola Tutti i seguenti: Il gruppo è Responsabili; Il gruppo è Servizio clienti. Per Il gruppo è Servizio clienti, Tutti i seguenti: l'indirizzo e-mail inizia con sc_; Il numero di telefono inizia con 555. I membri del gruppo possono essere responsabili o rappresentanti del servizio clienti, ma questi ultimi devono avere l'indirizzo e-mail che inizia con sc e un numero di telefono che inizia con 555.

  9. (Facoltativo) Per escludere utenti specifici, immettere un nome utente nella casella di testo e fare clic su Escludi utente.
  10. Fare clic su Avanti e verificare le informazioni del gruppo. Fare clic su Crea gruppo.

Operazioni successive

Aggiungere le risorse che il gruppo è autorizzato a utilizzare.