lionsir

AS-java:UME Authorizaion

Authorizations are enforced in User Management Engine (UME) using permissions, actions, and roles。

permission通常在java code中定义；

 actions通常是在xml文件或是java code中定义的permissions的集合。

role通常是一组actions的集合。通过用户获得的roles就可以确定用户的权限。

UME actions被定义在UMErole.xml中，有如下UME actions:

UME.Manage_All:UME中所有的用户管理权限。

 UME.Manage_All_User_Passwords:使一个用户能够修改其他用户的密码，同时该用户也能够查看其他用户的profile。

UME.AclSuperUser:只适用于portal，在portal中拥有此action，将获得PCD的owner权限，因此该action只应该赋予super administrator。

UME.Manage_Users：能够管理同一个company(delegated user administrators中的概念)中的所有用户。

UME.Manage_Groups：能够管理同一个company中的所有组。

UME.Manage_Roles:跟EP不相关，能够管理UME role，能给用户或组赋予任何UME role，所以拥有了它就等于自己是super administrator。

UME.Manage_Role_Assignments:在同一个company中能够给用户(但不能给组)添加roles，这些roles应该被定义为能够assigned。

UME.Manage_All_Companies:只是UME actions的一个扩展，如一个用户拥有了UME.Manage_All_Companies 和UME.Manage_Users，那么他就能够管理所有的用户。

UME.Batch_Admin:能够import和export同一个company中的用户和组。

UME.Manage_My_Profile:使非管理员用户能够编辑自己的profile。

UME.Manage_My_Password:使非管理员用户能够修改自己的登陆密码，但UME参数ume.logon.security_policy.password_change_allowed必须设置为TRUE。

UME.Manage_User_Passwords：可以修改同一个company中的其他用户的密码。

UME.Read_All:能够查看所有的用户、组和roles的profile。

UME.Read_Basic:仅限内部用户使用。

UME.Read_My_Profile:使非管理员用户能够查看自己的profile。

UME.Selfregister_User:预留以后使用。

posted on 2007-06-24 16:19 狮子先生 阅读(1670) 评论(0)  编辑 收藏