Sets und Gruppen sind unterschiedliche Objekttypen in FIM, aber oft möchte man Sets auf der Grundlage der Gruppenzugehörigkeit haben. Wir haben eine Möglichkeit gefunden, dies mit einigen benutzerdefinierten Attributen zu erreichen.
- Wir haben ein neues mehrwertiges Referenzattribut namens SecurityGroups erstellt.
2. Als Nächstes fügten wir eine Bindung an das User-Objekt für dieses Attribut hinzu.
3. Wir haben dieses Attribut zu den Filterberechtigungen hinzugefügt.
4. Hinzufügen des Attributs zur Verwaltungsregel "Administration: Administratoren können Benutzer lesen und aktualisieren".
5. Wenn wir eine Person anlegen oder bearbeiten und diese Person einer Gruppe angehören soll, geben wir den Gruppennamen in dieses Feld ein.
6. Wir können auch die Kriterien für die Gruppenzugehörigkeit bearbeiten, so dass ein Benutzer, dem dieses Attribut hinzugefügt wurde, Mitglied dieser Gruppe wird.
7. Auf ähnliche Weise können wir ein Set auf der Grundlage dieses Attributs erstellen.
8. Jetzt können wir diesen Satz in unseren Verwaltungsrichtlinienregeln verwenden, um Berechtigungen zu handhaben, und die Sicherheitsgruppe kann zur Synchronisierung mit Active Directory verwendet werden.
Es ist ein kleiner Umweg, aber für uns hat er gut funktioniert. Wir konnten mit dieser Methode einige andere vom Kunden gewünschte Funktionen einrichten. Zum Beispiel sollten Benutzer nur dann einen anderen Benutzer einer Sicherheitsgruppe zuweisen können, wenn der Zuweisende Mitglied dieser Gruppe ist. Wir erstellten einen Arbeitsablauf, der bei der Erstellung einer Gruppe automatisch Sätze und Regeln für die Verwaltungsrichtlinie erstellt, um dies zu ermöglichen.
Zunächst wurde durch den Workflow ein Set für das neue Gruppenobjekt erstellt:
Und das Set für die Benutzer wie in Schritt 7 oben beschrieben.
Als Nächstes wird eine Regel für die Verwaltungsrichtlinie erstellt, um die Berechtigung für die Sicherheitsgruppe zu erteilen. Wenn ein Benutzer nicht in der Gruppe enthalten wäre, hätte er keine Ansichtsrechte für das Objekt der Sicherheitsgruppe und könnte es daher nicht über das Attribut "Sicherheitsgruppe" einem Benutzer zuweisen (wir haben diesen Benutzern den Zugriff auf das Menü der Sicherheitsgruppe überhaupt nicht gestattet).
