스크립트에서 권한 정의 위임
Active Directory에 저장된 권한 부여 정책 저장소의 관리를 위임할 수 있습니다. 저장소, 애플리케이션 또는 scope 수준의 사용자 및 그룹에 관리를 위임할 수 있습니다.
각 수준에는 관리자 및 읽기 권한자 목록이 있습니다. 저장소, 애플리케이션 또는 scope 관리자는 위임된 수준에서 정책 저장소를 읽고 수정할 수 있습니다. 읽기 권한자는 위임된 수준에서 정책 저장소를 읽을 수 있지만 저장소를 수정할 수는 없습니다.
관리자 또는 애플리케이션의 판독기인 사용자 또는 그룹도 해당 애플리케이션을 포함하는 정책 저장소의 위임된 사용자로 추가되어야 합니다. 마찬가지로 관리자 또는 scope 읽기 권한자인 사용자 또는 그룹은 해당 scope 포함하는 애플리케이션의 위임된 사용자로 추가되어야 합니다.
scope 관리를 위임하려면
- scope 포함하는 AzAuthorizationStore 개체의 AddDelegatedPolicyUser 메서드를 호출하여 scope 포함하는 저장소의 위임된 사용자 목록에 사용자 또는 그룹을 추가합니다.
- scope 포함하는 IAzApplication 개체의 AddDelegatedPolicyUser 메서드를 호출하여 scope 포함하는 애플리케이션의 위임된 사용자 목록에 사용자 또는 그룹을 추가합니다.
- IAzScope 개체의 AddPolicyAdministrator 메서드를 호출하여 사용자 또는 그룹을 scope 관리자 목록에 추가합니다.
참고
XML 기반 정책 저장소는 어떤 수준에서도 위임을 지원하지 않습니다.
Active Directory에 저장된 권한 부여 저장소 내의 scope 권한 부여 규칙 또는 권한 부여 규칙을 포함하는 역할 정의를 포함하는 작업 정의가 포함된 경우 scope 위임할 수 없습니다.
다음 예제에서는 애플리케이션의 관리를 위임하는 방법을 보여줍니다. 이 예제에서는 지정된 위치에 기존 Active Directory 권한 부여 정책 저장소가 있고, 이 정책 저장소에 Expense라는 애플리케이션이 포함되어 있으며, 이 애플리케이션에 비즈니스 규칙 스크립트가 있는 작업이 없다고 가정합니다.
' Create the AzAuthorizationStore object.
Dim AzManStore
Set AzManStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the authorization store.
AzManStore.Initialize 2, _
"msldap://CN=MyStore,CN=Program Data,DC=authmanager,DC=com"
' Create an application object in the store.
Dim expenseApp
Set expenseApp= AzManStore.OpenApplication("Expense")
' Add a delegated policy user to the store.
AzManStore.AddDelegatedPolicyUserName("ExampleDomain\\UserName")
' Add the user as an administrator of the application.
expenseApp.AddPolicyAdministratorName("ExampleDomain\\UserName")
' Save changes to the store.
AzManStore.Submit
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기