访问策略

　　访问策略是OIM映射谁有权限访问什么资源的一种方式。从用户到资源的整体映射可以由从用户到用户组的映射和从用户组到资源的映射组成。图9-2展示了一个访问策略示例，它可以基于规则和映射(在每个对象上用箭头表示)自动配置给终端用户合适的资源。

　　除了控制资源，你还可以通过在访问策略中把应用级的权限关联到用户组，来控制每个用户在每种资源内部的权限。例如，假定有两个用户组，“数据分析师”和“数据管理员”，这两个用户组都被配置为可以访问相同的数据库应用，但是它们是不同的数据库角色(比如：分析师和DBA)。

　　你可以在访问策略里设置用户组到数据库角色的映射。

　　资源对象

　　资源对象就是OIM对象，它代表了用户需要有账号创建的逻辑资源。例如，你可以创建名为“电子邮件服务器”和“客户数据库”的对象。资源对象几乎可以代表所有事物，从应用，数据库和操作系统，到物理资产以及其他任何与配置相关的实体。

　　资源对象是用来跟踪哪些用户配置了什么逻辑资产。它可以对配置了我们前面例子中提到的电子邮件服务器资源的当前用户列表形成报告。资源对象还用于设计审批工作流程和围绕这些以应用为中心的工作流程的策略。因此，例如，如果一个特定人员被分配来审批所有使用电子邮件服务器系统的新账号，你可以利用资源对象来设置你工作流规则中的条件。

　　OIM资源对象不代表物理资源自身，因此不包含物理细节(比如：IP地址，服务器主机名，等等)。对于物理服务器的描述和细节，OIM提供了叫做IT资源的概念。

　　IT资源

　　IT资源是一个逻辑资源对象的物理展现。它拥有要配置一个新用户所需要资源的所有物理细节。例如，如果你有一个叫做客户数据库的资源对象，你还需要定义一个或多个相应的IT资源对象，代表该资源的物理特征(比如：服务器主机名称，IP地址，物理位置，等等)。这些信息被OIM集成引擎在需要与那些服务器交互完成配置相关任务时使用。

　　一个IT资源的特定属性集高度依赖于在其上创建账号的系统类型(关系数据库IT资源要求是对象名称和密码;LDAP服务器IT资源可能是命名空间和目录信息树细节)。OIM支持你定义IT资源类型，以模板的形式为特定IT资源定义具体数据模型。