Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los almacenes de directivas de autorización, las aplicaciones y los ámbitos representan distintos niveles de organización de la directiva del Administrador de autorización. Un almacén de directivas puede contener una o varias aplicaciones, y una aplicación puede contener uno o varios ámbitos.
Almacenes de directivas de autorización
En la API del Administrador de autorización, un almacén de directivas de autorización se representa mediante un objeto IAzAuthorizationStore. El almacén de directivas de autorización contiene definiciones y asignaciones de aplicaciones, ámbitos, operaciones, tareas, roles y grupos de usuarios.
Un almacén de directivas de autorización se puede almacenar como un archivo XML o en Active Directory.
Una aplicación debe inicializar un almacén de directivas de autorización antes de cambiar la información del almacén o usar la directiva de almacén para comprobar el acceso de cliente a los recursos.
Un almacén de directivas de autorización puede contener uno o varios objetos IAzApplication que representan una directiva de autorización para una aplicación específica.
Aplicaciones
En la API del Administrador de autorización, una aplicación se representa mediante un objeto IAzApplication. Un almacén de directivas de autorización puede contener información de directiva de autorización para muchas aplicaciones. El uso de objetos IAzApplication permite almacenar diferentes directivas de autorización para diferentes aplicaciones en un único almacén de directivas.
Un almacén de directivas de autorización debe contener al menos una aplicación.
Ámbitos
En la API del Administrador de autorización, un ámbito se representa mediante un objeto IAzScope. Los ámbitos proporcionan un nivel adicional opcional de organización para una directiva de autorización. Una aplicación puede contener uno o varios ámbitos, pero no necesita contener ninguno (el Administrador de autorización proporciona un ámbito predeterminado para toda la aplicación).
Un ámbito es una subdivisión dentro de una aplicación que separa los recursos de otros recursos que usa esa aplicación. Si tiene grupos del Administrador de autorización, asignaciones de roles, definiciones de roles o definiciones de tareas que no desea aplicar a toda una aplicación, puede crearlas en el nivel de ámbito.
Delegación
Los almacenes de directivas de autorización que se almacenan en Active Directory admiten la delegación de administración. La administración se puede delegar a usuarios y grupos en el nivel de almacén, aplicación o ámbito. Cada nivel define roles administrativos para la directiva en ese nivel. Para delegar el control a un usuario o grupo, asígnelos al rol de administrador; para permitir que un usuario o grupo lea la directiva, asígnela al rol lector.
Los administradores de un almacén, una aplicación o un ámbito pueden leer y modificar el almacén de directivas en el nivel delegado. Los lectores pueden leer el almacén de directivas en el nivel delegado, pero no pueden modificar el almacén.
Temas relacionados