如何在OpenAM/OpenSSO中创建具有创建领域权限的用户(amAdmin除外)?我们需要此功能使我们的 b2b 用户能够依次创建子组织。
某些委托 API 可通过 ClientSDK 获得,但是,如果内存服务于旧版本的 ClientSDK,则需要在类路径上具有额外的服务器端库才能实际允许这些 API 工作。
通过 ClientSDK 创建委派管理员的本质是这样的:
- 创建用户
- 创建新组
- 将用户添加到组
- 创建授予组访问权限的委派权限。
最后一部分的 Java 代码是:
DelegationManager delegationManager = new DelegationManager(adminToken, realmName);
Set<String> groups = Collections.singleton(group.getUniversalId());
DelegationPrivilege realmAdminPrivilege = new DelegationPrivilege("RealmAdmin", groups, realmName);
delegationManager.addPrivilege(realmAdminPrivilege);
使用 REST API 时,我建议改为与策略交互(委派权限实际上只是存储在 sunAMDelegationService 策略集下的隐藏域下的"特殊"策略)。