我可能无法完成任务:
设置:保健关注:根据当天的工作职能限制访问。
一个人可以在我们的一个OU工作3天,然后在不同的OU工作2天。 也就是说,这个人在两个不同的部门兼职。
对于单个应用程序将其称为“患者logging”,我们希望用户限制在OU 1工作时查看对应用程序的访问权限,并且只能在OU 2中使用更新访问权限。
我明白“Member Of”Group是用户对象的属性,应用程序授权的典型行为是查看“View”组的成员,“Update”组的成员,给用户会话一个级别访问(大多数限制性或最宽松的?或只是第一个在列表中find?
如果我在login时通过自定义login页面询问用户selectOU(即从列表中select他们的部门),有没有什么办法让应用程序给他们只有与该OU相关的访问?
我知道你可以使用两个独立的域来完成这个工作,并且为用户提供一个不同的用户标识,这是他们的唯一方法,可以满足以下要求:
在此先感谢您的帮助。
使用本地AD工具,这样的事情是不容易的。 Active Directory不具有对OU进行可inheritance权限分配的能力,并且该OU的每个成员都inheritance该分配的访问权限。 为了让AD做你正在寻找的东西,你必须根据他们的工作时间表自动修改这个用户的组成员,并且强制注销,以便他们的安全令牌被刷新。
但是,听起来好像您可能正在使用一个Web应用程序,它在用户和实际数据之间引入了一个应用程序逻辑层。 在这种情况下,您可以添加另一个login字段,将其称为“权限”或用户必须select要login的angular色,而应用程序本身代理访问。