授权策略允许或禁止具有多个角色之一的用户或用户组对作用域由其资源类型限定的资源的某一类对象执行操作。
下面对授权策略的元素进行描述:用户
启动操作的用户。
用户组
一组能够启动操作的用户。
角色
可以分配给用户或用户组的许可权的集合。
操作
create、delete、modify、distribute
或 view 之类的操作。
对象类型
操作所作用于的对象的分类。例如,监视数据 (attributegroup)、event 或 role。
资源
操作所作用于的实体,例如特定的受管系统组或受管系统。
资源类型
资源的分类。受管系统组 (managedsystemgroup)、受管系统 (managedsystem)
和角色集 (rolegroup) 是预定义的资源类型。
要创建授权策略,请执行下列任务:创建要控制其访问权的受管系统组。您可以使用 Tivoli® Enterprise Portal 客户机和 tacmd createsystemlist 命令来创建受管系统组。
这可以是还用于分发情境和历史记录收集的受管系统组。
在 LDAP 中创建用户组,并使其包含履行类似工作职能的用户。
创建一个代表您所在组织中的工作职能的角色。
例如,您可以定义名为 Eastern region Windows administrators 的角色,用于控制可以由东部地区数据中心的 Windows 操作系统管理员访问的受监视资源。
接着,对此角色授予或排除一项或多项许可权。授予许可权指定可以对指定类型的一个或多个资源的某类对象执行的操作。
例如,可以授权查看受管系统组 EasternRegionWindowsComputers 的监视数据,其中,操作为
view,对象类型为 attributegroup(代表监视数据),资源为
EasternRegionWindowsComputers,资源类型为 managedsystemgroup。
排除许可权允许您限制对受管系统组的一个或多个成员的访问权。如果您并非希望一个角色能够访问某个受管系统组的所有成员,那么应该创建排除许可权。例如,EasternRegionWindowsComputers 受管系统组可能包含您不希望东部地区 Windows 管理员有权访问的两三台计算机。在这种情况下,可以授予对
EasternRegionWindowsComputers 受管系统组的 view 许可权以及对特定受管系统的
exclude 许可权。排除许可权将阻止对受管系统的对象执行任何操作。
最后一步是将该角色分配给一个或多个用户或用户组。只有被赋予授权策略角色的用户或用户组才能在仪表板中访问受监视资源。用户名和用户组名在
IBM® Dashboard
Application Services Hub 与门户网站服务器共享的 LDAP 用户注册表中定义。
另外,如果您以后确定需要除去角色所具有的授予或排除许可权,还可以撤销角色的许可权。授权策略还用来控制哪些用户能够创建和处理角色。
下表列示了支持的资源类型、与其相关联的对象类型和操作以及可以针对此类资源分配的许可权类型。表 1. 授权策略资源类型及其受支持的许可权和元素许可权
操作
对象类型
资源类型
描述
授予
view
attributegroup
managedsystemgroup
通过使用此组合,可以授权查看监视数据,例如受管系统组中所有受管系统的度量值和状态。
授予
view
event
managedsystemgroup
通过使用此组合,可以授权查看受管系统组中所有受管系统的情境事件。
注: 如果要授权查看触发了情境事件的监视数据,那么必须授权查看受管系统组的监视数据。
授予
view
attributegroup
managesystem
通过使用此组合,可以授权查看监视数据,例如特定受管系统的度量值或状态。
授予
view
event
managedsystem
通过使用此组合,可以授权查看来自特定受管系统的情境事件。注: 如果要授权查看触发了情境事件的监视数据,那么必须授权查看受管系统组的监视数据。
排除
managedsystem
通过使用此组合,可以排除对特定受管系统执行任何操作的许可权。
授予
create
role
rolegroup
通过使用此组合,可以授权针对特定受管系统创建角色或事件。
授予
delete
role
rolegroup
通过使用此组合,可以授权删除角色。
授予
distribute
role
rolegroup
通过使用此组合,可以授权将策略从 Authorization Policy Server 分发到 Tivoli Enterprise Portal Server。
授予
modify
role
rolegroup
通过使用此组合,可以授权修改角色。
授予
view
role
rolegroup
通过使用此组合,可以授权查看分配给您的角色和许可权。如果用户应该能够查看自己的许可权,而无权查看其他用户的许可权,那么可以使用此许可权。
授予
viewall
role
rolegroup
通过使用此组合,可以授权查看所有角色和许可权。
如果授权您查看受管系统组的属性组(监视数据)或事件,那么授权您查看组,并且还授权您查看所有组成员,除非存在针对某个组成员的排除许可权。
在 IBM Tivoli Monitoring 的大型部署中,可能存在多个监视域。监视域是指以特定中心监视服务器为中心的
IBM Tivoli Monitoring 组件(例如门户网站服务器、监视服务器、监视代理程序以及
Warehouse Proxy)的集合。在此类部署中,可能存在一些跨各个监视域的公共授权策略以及特定于特定域的授权策略。在创建许可权时,tivcmd CLI 允许指定该授权策略是应用于所有的域(缺省行为)还是特定的域。
角色组是使用单个 Authorization Policy Server 在所有 IBM Tivoli Monitoring 域中进行共享的一组角色。Authorization Policy Server
只支持一个名为 default 的角色组。在创建用于对角色执行操作的许可权时,指定此名称作为资源名称。
有关在多域部署中处理授权策略的信息,请参阅使用多个域。