我可能正在执行不可能完成的任务:
设置:医疗保健问题:根据当天的工作职能限制访问。
一个人可能在我们的一个 OU 中工作 3 天,然后在另一个 OU 中轮班 2 天。也就是说,该人在两个不同的部门兼职。
对于单个应用程序,将其称为“患者记录”,我们希望限制用户在为 OU 1 工作时查看应用程序的访问权限,并且仅在他们在 OU 2 中的日子使用更新访问权限。
我理解“成员”组是用户对象的一个属性,应用程序授权的典型行为是查看“查看”组的成员和“更新”组的成员,并给予用户会话其中一个访问级别(最严格还是最宽松?或者只是在列表中找到的第一个?
如果我要求用户在登录时使用自定义登录页面选择 OU(即从列表中选择他们的部门),有没有办法让应用程序只向他们提供与该 OU 相关的访问权限?
我知道您可以使用两个离散的域来做到这一点,并通过在我们拥有的单个域中为用户提供不同的用户 ID,是否有任何方法可以做到这一点并满足以下要求:
- 用户必须只有一个用户 ID?
- 用户必须根据组织单位获得不同的权限
- 用户可以选择哪个组织单位
- 我们希望在单个 AD 域中执行此操作,尝试实现单林单域,而不是朝其他方向发展。
- 我不希望必须定制应用程序才能实现这一点。
在此先感谢您的帮助。
答案1
使用原生 AD 工具设置这种事情并不容易。Active Directory 无法对 OU 进行可继承的权限分配,并且每个成员该 OU 继承该分配的访问权限。为了让 AD 执行您所期望的操作,您必须根据该用户的职责安排自动修改其组成员身份,并将其与强制注销相结合,以便刷新其安全令牌。
但是,听起来您可能正在使用一个 Web 应用程序,它在用户和实际数据之间引入了一个应用程序逻辑层。在这种情况下,您可能能够添加另一个登录字段,将其称为“权限”或其他用户必须选择要登录的角色,而应用程序本身将代理访问。