Вы можете создавать группы, добавлять в них пользователей и создавать правила группы. Затем на основе заданных правил можно заполнить группы.

С помощью групп можно назначать права на одни и те же ресурсы сразу нескольким пользователям, а не каждому по отдельности. Пользователь может принадлежать к нескольким группам. Например, если создать группу «Продажи» и «Управление», менеджер по продажам может принадлежать к обеим группам.

При этом можно указать, какие параметры политики применяются к участникам группы. Пользователи в группах определяются правилами, установленными для атрибута пользователя. Если значение атрибута пользователя изменяется по сравнению со значением, установленным в правиле группы, пользователь удаляется из группы.

Процедура

  1. В консоли VMware Identity Manager на вкладке «Пользователи и группы» щелкните Группы.
  2. Щелкните Добавить группу.
  3. Введите имя и описание группы. Нажмите кнопку Далее.
  4. Добавьте пользователей в группу. Чтобы добавить пользователей в группу, введите несколько букв имени пользователя. По мере ввода текста отображаются соответствующие имена.
  5. Выберите имя пользователя и щелкните +Добавить пользователя.

    Продолжайте добавлять пользователей в группу.

  6. Добавив пользователей в группу, нажмите кнопку Далее.
  7. На странице «Правила группы» выберите способ предоставления членства в группе. В раскрывающемся меню выберите Любое или Все.

    Параметр

    Действие

    Любое

    Предоставление членства в группе при выполнении любого из условий для такого членства. Этот вариант дает такой же результат, как условие «ИЛИ». Например, если выбрать параметр Любое для правил Группа является «Продажи» и Группа является «Маркетинг», членство в этой группе предоставляется сотрудникам отдела продаж и отдела маркетинга.

    Все

    Предоставление членства в группе при выполнении всех условий для такого членства. Вариант «Все» дает такой же результат, как условие «И». Например, если выбрать Все из указанного для правил Группа является «Продажи» и Адрес электронной почты начинается с «западный_регион», членство в этой группе предоставляется только сотрудникам отдела продаж в западном регионе. Сотрудникам отдела продаж в других регионах членство не предоставляется.

  8. Настройте одно или несколько правил для своей группы. Можно создавать вложенные правила.

    Параметр

    Описание

    Атрибут

    Выберите один из этих атрибутов в раскрывающемся меню в первом столбце. Выберите атрибут «Группа», чтобы добавить имеющуюся группу в создаваемую. Чтобы определить, какие пользователи в группах будут входить в создаваемую группу, можно добавить другие типы атрибутов.

    Правила для атрибутов

    Доступность следующих правил зависит от выбранного атрибута.

    • Выберите элемент является, чтобы выбрать группу или каталог, которые необходимо связать с этой группой. Введите имя в текстовом поле. По мере ввода будет отображаться список доступных групп или каталогов.

    • Выберите элемент не является, чтобы выбрать группу или каталог, которые нужно исключить. Введите имя в текстовом поле. По мере ввода будет отображаться список доступных групп или каталогов.

    • Выберите элемент соответствует, чтобы предоставить членство в группе для записей, которые точно соответствуют введенным критериям. Например, в организации может быть отдел командировок, который совместно использует центральный номер телефона. Если нужно предоставить доступ к приложению для бронирования командировок всем сотрудникам, которые совместно используют этот номер, создайте правило, например «Номер телефона соответствует +7 (123) 456–78-90».

    • Выберите не соответствует, чтобы предоставить членство в группе для всех записей сервера каталогов, кроме тех, которые соответствуют введенным критериям. Например, если один из ваших отделов совместно использует центральный номер телефона, можно запретить доступ к приложению социальной сети для его сотрудников, создав соответствующее правило, например «Номер телефона не соответствует +7 (123) 456–78-90». Приложение будет доступно для пользователей, в записях сервера каталогов которых указаны другие номера телефонов.

    • Выберите элемент начинается с, чтобы предоставить членство в группе для записей сервера каталогов, которые начинаются с введенных критериев. Например, адреса электронной почты организации могут начинаться с имени отдела (sales_имя_пользователя@example.com). Если нужно предоставить доступ к приложению для всех сотрудников отдела продаж, можно создать соответствующее правило, например «Адрес электронной почты начинается с sales_».

    • Выберите не начинается с чтобы предоставить членство в группе для всех записей сервера каталогов, кроме тех, которые начинаются с введенного критерия. Например, если адреса электронной почты сотрудников отдела кадров записываются в формате hr_имя_пользователя@example.com, можно запретить доступ к приложению, установив соответствующее правило, например «Адрес электронной почты не начинается с hr_». Приложение будет доступно для пользователей, в записях сервера каталогов которых указаны другие адреса электронной почты.

    Использование атрибутов «Любое» и «Все»

    (Необязательно.) Чтобы включить атрибуты «Любое» и «Все» в правило группы, добавьте это правило последним.

    • Выберите атрибут Любое, чтобы членство в группе предоставлялось при выполнении любого из условий членства в этом правиле. С помощью атрибута «Любое» можно создавать вложенные правила. Например, можно создать правило со следующими критериями: «Группа является Продажи», «Группа является Краснодарский край». Для критерия «Группа является Краснодарский край» можно установить любой из следующих критериев: «Телефон начинается с 415» или «Телефон начинается с 510». Участник группы должен быть сотрудником отдела продаж в Краснодарском крае с номером телефона, который начинается с 415 или 510.

    • Выберите атрибут Все, чтобы для этого правила выполнялись все условия. Таким образом можно создавать вложенные правила. Например, можно создать правило со следующими критериями: «Группа является Менеджеры», «Группа является Отдел обслуживания». Для критерия «Группа является Отдел обслуживания» можно установить все эти критерии: «Адрес электронной почты начинается с cs_» и «Телефон начинается с 555». Участники группы могут быть менеджерами или сотрудниками отдела обслуживания клиентов, но адрес электронной почты сотрудников отдела обслуживания клиентов при этом должен начинаться с cs, а номер телефона — с 555.

  9. (Необязательно.) Чтобы исключить определенных пользователей, введите имя пользователя в текстовом поле и щелкните Исключить пользователя.
  10. Нажмите кнопку Далее и просмотрите сведения о группе. Щелкните Создать группу.

Дальнейшие действия

Добавьте ресурсы, на использование которых группе назначены права.