Funções da Árvore Organizacional

É possível usar funções para planejar um título de tarefa ou uma responsabilidade e é possível usar funções para conceder acesso às contas e aos atributos.

Uma função estática e uma função dinâmica podem ser associadas a uma unidade de negócios na árvore organizacional. A associação pode ser usada para suportar administração delegada para uma função ou designação de função. Um item de controle de acesso pode especificar qual usuário tem permissão para criar, modificar ou excluir uma função. A especificação é baseada na associação da função na árvore organizacional.

  • Uma função estática pode estar em qualquer lugar na árvore. Qualquer usuário da mesma organização pode ser manualmente anexado à função.

    Para uma função estática, um item de controle de acesso pode especificar quem tem permissão para incluir ou remover usuários da associação baseada na função. A especificação destina-se à árvore organizacional da função e do usuário.

  • Uma função dinâmica define a associação baseada em um filtro LDAP e tem um escopo relativo à sua posição na árvore. O posicionamento de funções dinâmicas dentro de uma árvore organizacional pode ter implicações no desempenho. Para obter informações adicionais, consulte Identity Manager: Guia de Ajuste de Desempenho.
    O escopo de uma função dinâmica pode ser:
    Único
    Aplica-se a usuários da unidade de negócios especificada
    Subárvore
    Aplica-se à unidade de negócios local e a todas as unidades de subnegócios

    Por exemplo, suponha que uma organização tenha uma profundidade de contêineres para a população de usuário, semelhante à Figura 1.

    Figura 1. Exemplo de Funções
    Exemplo de imagens de função

    Suponha que você configure funções dinâmicas semelhantes a esta lista:

    • função_A para Divisão A
    • função_A1 para departamento A1
    • função_A1_1 para filial 1 no departamento A1

    Cada uma dessas funções dinâmicas pode ter um escopo de subárvore e um filtro LDAP, como por exemplo, (objectclass=*). Um usuário no =A1branch1 recebe todas as três funções: role_A, role_A1 e role_A1_1.

    Para assegurar que uma função dinâmica distinta se aplique aos usuários com base em seus locais na árvore, poderá ser necessário executar umas das ações a seguir:
    • Colocar os usuários nos nós folha (contêineres)
    • Tornar o filtro LDAP específico para o local
    • Especificar o escopo da função como único.