借助角色权限,管理员可以将权限分配给特定用户,而不会影响安全配置文件,从而允许使用增量方法进行访问控制,这样可减少对复杂安全配置文件和维护的需求。虽然安全配置文件构成 Vault 中访问控制控件的基础,但角色权限可出于特定或临时目的提供一层额外的访问控制。当用户随时间推移扮演各种角色并需要访问不同的对象或应用程序权限组合时,这特别有用。
要使用角色权限,管理员可以将权限集与应用程序角色记录关联,然后通过用户角色联合对象将这些应用程序角色与用户记录联合。
示例:简化安全配置文件配置
假设根据培训和角色,贵组织的用户需要以下权限集的各种组合:
- 完全用户操作
- 偏差所有者
- 审计所有者
- 更改控制所有者
- 投诉所有者
目的在于区分可以参与所有流程的用户(完全用户操作)以及可以为其各自的业务流启动或创建新记录的用户。如果要为每个可能的访问场景配置安全配置文件,以便用户可以参与每个流程,但仅开始他们是所有者的流程,您需要 16 个配置文件才能满足需求:一个配置文件提供完全用户操作,另一个提供完全用户操作和偏差所有者,以此类推。您想要合并到此类配置中的每个增加的权限集都会大幅增加所需安全配置文件的数量和复杂性。
但是,与仅使用安全配置文件相反,您可以使用角色权限大幅简化此配置。在此示例中,假设目的与上述目的相同,您会创建一 (1) 个基本安全配置文件和四 (4) 个应用程序角色:
- 安全配置文件:完全用户
- 应用程序角色:偏差所有者
- 应用程序角色:审计所有者
- 应用程序角色:更改控制所有者
- 应用程序角色:投诉所有者
您现在可以为所有用户分配基本安全配置文件,并随着用户完成培训、获得新角色,或通过其他方式符合拥有组织内的新流程的资格,将相应用户角色添加到其用户记录。
示例:临时访问
假设贵组织中的一个用户需要临时访问 Vault 加载程序。您无需创建或修改包括用户的标准访问权限以及 Vault 加载程序的自定义安全配置文件,只需创建名为 Vault 加载程序用户的应用程序角色记录即可。
您随后可以将 Vault 加载程序访问权限的特定权限集与新的应用程序角色关联,并将此角色分配给用户。使用此方法无需修改安全配置文件。
配置角色权限
执行以下操作,以在 Vault 中启用角色权限:
- 将用户角色对象的相关对象节段添加到用户对象详细信息页面布局。
- 确保将管理用户角色和应用程序角色的用户拥有所需的权限。请注意,用户无法分配或删除具有包含超过其自身拥有权限的权限集的用户角色。
- 可选:要允许在管理 > 用户和组 > Vault 用户之外访问用户对象记录,请在用户对象配置中选择显示在业务管理员菜单中,或添加用户自定义对象标签页。
将权限集添加到应用程序角色
要使应用程序角色可用于角色权限,您必须先将其与权限集关联。
要将权限集添加到应用程序角色,请执行以下操作:
- 导航到业务管理员或自定义对象标签页中的应用程序角色对象记录。
- 单击编辑。
- 在权限集字段中选择一个权限集,或单击双目镜筒图标以打开记录搜索对话框。
- 如果想要 Vault 在创建与共享规则配合使用的用户角色设置记录时强制实施用户角色关联,请为约束用户角色设置选择是值。将此值与用户角色约束功能结合使用。
应用程序角色在分配给用户时应用其关联的权限集。仅当用户拥有至少相同的权限时,用户才可以在应用程序角色中添加或删除权限集。
如果应用程序角色有任何分配的用户角色记录,Vault 将不会允许您编辑其权限集或状态字段值。
将应用程序角色分配给用户
要将应用程序角色分配给用户,请执行以下操作:
- 导航到业务管理员或自定义对象标签页中的用户对象记录。
- 在用户角色节段中,单击添加。
- 从对话框中选择一个或多个应用程序角色。
- 单击确定。
与添加的应用程序角色关联的权限集会立即生效。请注意,仅当您拥有至少相同的权限时,您才可以分配或取消分配拥有权限集的角色。
Vault 将用户记录中的活动用户角色数量限制为 15。如果稍后将用户角色的状态值设为非活动,用户将不会拥有关联权限集的访问权限。
相关权限
要添加或删除应用程序角色记录中的权限集,用户需要拥有应用程序角色对象的编辑权限,以及管理 > 安全 > 权限集 > 读取权限。
要添加或删除用户对象中的用户角色,用户需要拥有管理 > 安全 > 用户 > 管理用户对象权限以及用户角色对象的读取、创建、编辑和删除权限。