Delegación de la definición de permisos en script
Puede delegar la administración de almacenes de directivas de autorización almacenados en Active Directory. La administración se puede delegar a usuarios y grupos en el nivel de almacén, aplicación o ámbito.
En cada nivel, hay una lista de administradores y lectores. Los administradores de un almacén, una aplicación o un ámbito pueden leer y modificar el almacén de directivas en el nivel delegado. Los lectores pueden leer el almacén de directivas en el nivel delegado, pero no pueden modificar el almacén.
Un usuario o grupo que sea administrador o lector de una aplicación también debe agregarse como usuario delegado del almacén de directivas que contiene esa aplicación. Del mismo modo, se debe agregar un usuario o grupo que sea administrador o lector de un ámbito como usuario delegado de la aplicación que contenga ese ámbito.
Para delegar la administración de un ámbito
- Agregue el usuario o grupo a la lista de usuarios delegados del almacén que contiene el ámbito llamando al método AddDelegatedPolicyUser del objeto AzAuthorizationStore que contiene el ámbito.
- Agregue el usuario o grupo a la lista de usuarios delegados de la aplicación que contiene el ámbito llamando al método AddDelegatedPolicyUser del objeto IAzApplication que contiene el ámbito.
- Agregue el usuario o grupo a la lista de administradores del ámbito llamando al método AddPolicyAdministrator del objeto IAzScope .
Nota
Los almacenes de directivas basados en XML no admiten la delegación en ningún nivel.
Si un ámbito dentro de un almacén de autorización almacenado en Active Directory contiene definiciones de tareas que incluyen reglas de autorización o definiciones de roles que incluyen reglas de autorización, el ámbito no se puede delegar.
En el ejemplo siguiente se muestra cómo delegar la administración de una aplicación. En el ejemplo se supone que hay un almacén de directivas de autorización de Active Directory existente en la ubicación especificada, que este almacén de directivas contiene una aplicación denominada Expense y que esta aplicación no contiene tareas con scripts de reglas de negocios.
' Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the authorization store.
AzManStore.Initialize 2, _
"msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"
' Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")
' Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")
' Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")
' Save changes to the store.
AzManStore.Submit
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de