用户

　　安全要求理解在任何情况下谁可以访问什么。在OIM中，用户代表了在企业用户配置范围内的“那个谁”。OIM用户是应用程序无关的，因此可以利用应用为中心的展现和数据模型支持不同的应用。OIM用户依据特定的标准身份属性定义了一套具体的默认数据模型，比如，名字，姓氏，员工类型，职称，所属机构，等等。这些属性可以根据需要扩展。数据模型定义了基本的企业级身份数据，它在每种资源中都驱动着用户的账户和权限。

　　用户组

　　在许多应用程序中，用户被基于通用功能，组织，工作级别等等进行分组。OIM提供了用户组对象，它是支持按照特定规则和策略把用户组织成简单几类的一种机制。

　　有两种方式可以将用户关联到组：通过直接成员分配进行管理，或者由规则驱动成员管理。直接分配机制是大部分人都熟悉的直观的机制。成员管理起来很简单，直接，直观，而且易于理解和验证。直接分配由另一个有相关权限的用户(比如，管理员，主管人员，等等)以一种自由选择的方式执行，而且是以一种静态的方式维护成员(成员被撤销也是以自由选择的方式进行)。因此，对于某些应用和分组情况，直接分配不是一种很受欢迎的方法。

　　另一种方式与对成员静态分组不同，你可以利用成员规则的概念以一种更自动化的方式管理组成员。成员规则是一些简单的条件陈述，用来评估每个用户是否属于某个组。图9-1展示了一个成员分组规则：“位置==旧金山”。这是一个基于“位置”属性值对成员自动分组的示例。

　　这条规则定义了它的成员用户的工作职位必须是DBA，而且必须在旧金山地区工作。用户组利用成员规则实际上非常动态化，为管理谁属于哪些组因而该赋予哪些资源提供了极大的灵活性。这种映射是在访问策略(稍后讨论)内部执行的。

　　相对于组用户，OIM还提供了组织的概念。不过，这两种对象都是用来为互补的不同目的组织用户的。通常，用户组基于用户属性跨职能部门划分用户，可能存在把任何组织或者部门的用户跨企业分到了一组的情况。

　　组织

　　OIM中组织的概念代表了一个业务职能或者区域部门，比如销售，产品开发，北美业务部，等等。OIM组织对象可以被嵌套，从而代表现实世界组织的层次结构。

　　有三种类型的OIM组织：公司，部门和分支机构。下面是每种类型如何与普通现实世界组织映射的模型：

• 　　公司(Company)对象通常代表任何公司中拥有多种业务职能的经营单位。(比如：销售，市场，财务，IT，等等)。
• 　　部门(Department)位于公司对象之下，代表业务职能部门(比如：销售，财务，等等)。
• 　　分支机构位于部门对象之下，提供额外的用户组，通常按地域划分。

　　实际上，我们并不总是需要真正按照你公司或企业的组织方式来划分和建立组织模型，因为你可能并不总是需要详细管理到那个程度。另外，要记住现实世界的组织模型可以经常变更，因此，如果你的配置和访问策略不依赖于该用户的组织机构，你可能就不会总是想把那些模型与现实完全对应。