此功能支持动态访问控制的大型或全局实施,特别是组织想要将用户角色设置记录的维护授权给本地用户的情况。在没有此设置的组织中,我们建议使用动态访问控制和匹配共享规则,而不设置用户角色约束。
用户角色约束是一种防止意外为用户分配文档或对象上的错误角色的方式。用户角色约束对象通过定义允许用户使用的角色列表限制角色分配。用户可以拥有此类角色,但此类角色不会自动分配给用户。
如何启用用户角色约束
可通过两种方式启用用户角色约束功能,具体取决于您需要在其中使用该功能的范围:
- 管理 > 设置 > 安全设置中的启用用户角色约束设置为整个 Vault 打开此功能。从 20R3.5 版本开始,如果在您的 Vault 中禁用了此设置,您将无法重新启用。用户角色约束功能的任何未来启用都必须使用“强制实施角色约束”字段执行,如下所述。
- 要按角色启用用户角色约束,请在每个相关应用程序角色记录中将强制实施角色约束字段值设为是。请注意,如果应用程序角色存在活动用户角色记录,您无法将此字段设为是。
启用后,除非某个应用程序角色存在用户角色约束记录,否则任何用户都无法为该应用程序角色创建用户角色设置记录。
如何配置用户角色约束
- 导航到管理 > 业务管理员 > 用户角色约束。
- 单击创建。
- 选择用户和允许该用户拥有的角色。
- 单击保存。
- 您需要为每个允许的用户和角色组合创建其他记录。
对用户角色设置对象的影响
创建用户角色约束记录后,您只能保存拥有用户角色约束记录中包括的用户/角色组合的用户角色设置记录。如果角色或用户无效,您将收到“保存‘用户角色设置’时出错”错误。此错误意味着与该用户相关的用户角色约束不允许此用户/角色组合。
删除用户角色约束
如果删除了某个用户角色约束记录,拥有相同用户和角色组合的所有用户角色设置记录都会设为非活动。