TIM使用ACI对ITIM进行权限控制,access control item (ACI)。TIM预先定义了70多个ACI。
1.ACI基本知识
ACI包含三个主要组件:
•Governed users
•Type
•Target
管理ACI的用户被定义为ITIM组或者一个ACI Principals,Principals 指的是预先定义好的可以获得特权的实体。ACI可以被System Administrators, Domain Administrators, or Authorization Owners等角色管理,Authorization Owner是一个特殊的ITIM组,其被允许修改ACI。
ACI有三种:
•Organizational
其中包含所有组织任务,包括添加用户,提供账号,管理组织内的组件,添加组织角色等的权利。
•Provisioning
其中包含所有供应任务,包括添加service,provisioning policy,identity policies, password policies, service selection policies和设计workflow等的权利。
•Reporting
包含生成报告的权限。
ACI有两个重要概念:
ACI focus:这是由被控制的实体和其在组织树中的位置所决定,也就是说其中有两个要素,一个是origin,一个是scope。例如,设置一个 All Persons的权限在 Sales organizational unit,那么origin就是Sales,scope就是All Persons.
ACI scope:分为两种,一种是单层面的,一种是包含子树的层面的。
ACI有三种过滤器:
•LDAP--标准基于RFC2254的LDAP过滤器。例如:
• (!(title=manager))
title不是manager的
• (|(state=CA)(state=TX))
州是 CA 或者是 TX
• (sn=A*)
sn 以一个 A 开头。
•ITIM relationship--LDAP过滤器的扩展,提供了基于对域Object和另一个域object关系的匹配手段。语法很简单:
(${relationship.attribute}=value)
例如:(${parent.o}=Sales)
这个过滤器就是用来narrow到所有属于Sales的人。
relationship有如下几种:
•Parent
•Owner
•Organization
•Supervisor
•Sponsor
•Administrator
•Role
•Account
•Service
• (${organization.o}=Education)
• (${service.erservicename}=Linux Server)
• (${role.errolename}=Brokers)
•System expression
若需要时间检索,则使用(gmtAttributeName [<= | => ] ${system.date [+ | - ] days})的语法:
例如:(erpswlastchanged<=${system.date – 90}) 九十天或更久未修改的账号密码。
权限许可(Access Permissions)
两种类型:属性许可、操作许可。对于这两种类型有三个权限设定:grant(获得),deny(禁止),none(实际为隐式禁止,但是可以被其他ACI覆盖)
2.ITIM 的组Group和视图View:
TIM账号的组是用来控制进入ITIM。默认有Help Desk Assistant, Auditor, Manager, and Service Owner等组。每个组都只有一个视图,视图分为管理Console和Self Service Console。
每一个组都有一个视图。
3.冲突解决:
两个或多个ACI:显式禁止覆盖显式获得,显式获得覆盖隐式禁止。
多个ITIM组:根据最宽泛的特权进行授予。(也适用于上述两个原则)
4.部署策略:
计划ACI 的focus和scope,计划你想使能的功能,决定组的分配,使用naming scheme来控制ACI的目标。