Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Раздел предназначен для создания подразделений (Organizational Unit, OU) организации. При создании подразделений можно разграничивать доступ администраторов PAM к отдельным ресурсам.
| Note | ||
|---|---|---|
| ||
| Подразделения PAM никак не связаны с подразделениями или контейнерами домена Active Directory. |
Виды подразделений
Подразделение может быть глобальным или локальным. Так же и объекты PAM могут быть глобальными и локальными по принадлежности к подразделению.
Сразу после установки PAM в системе уже существует Глобальное подразделение. Ему принадлежат все объекты, у которых подразделение не указано явно. Соответственно, после обновления версии PAM на 2.7 все ранее существующие объекты становятся глобальными.
Привязку администратора PAM к подразделению можно выполнить в настройках Роли. Пользователь может быть в ролях из одного подразделения, и также, нельзя добавлять пользователя в роль повторно, указывая другие подразделения.
Подразделение указывается при добавлении Ресурса, Домена, Группы ресурсов.
Система распознает является ли данный объект локальным по отношению к данному подразделению через связи объектов с ресурсами и доменами. Если объект связан с Ресурсом и Учетной записью, подразделение определяется по Ресурсу.
Локальный администратор
Локальный администратор ограничен в правах доступа и может работать только с набором объектов, которые принадлежат его подразделению. Ограничиваются только объекты доступа - Учетные записи и Ресурсы.
Исключения:
- может читать Учетные записи глобальных доменов
- может читать глобальные политики
- может читать Домены, но не их группы и контейнеры
Все создаваемые администратором объекты автоматически принадлежат его подразделению.
| Note | ||
|---|---|---|
| ||
| Выбирать подразделения при создании объектов может только Глобальный администратор. |
Локальному администратору недоступны:
- объекты, связанные с другими подразделениями
- разделы Структура, Роли, Уведомления
В разделах Управления доступны только для чтения:
- Политики и их настройки
- пользовательские подключения и сервисные подключения
- настройки Конфигурации
Остальные разделы недоступны.
Локальный администратор не может создавать разрешения с просмотром учетных данных для доменных Учетных записей, в том числе разрешение для Приложения.
Работа с подразделениями включается только в конфигурационном файле Management Console. При этом Core и IDP работают с подразделениями всегда. Поэтому возможны “странности” поведения для пользователя MC, когда локальные подразделения были созданы в системе, но работа с подразделениями отключена. Например, не удастся создать разрешение для двух ресурсов, так как они из разных подразделений.