Ansichten:
Verwenden Sie das SDK, um die Rollen zu erstellen und zu konfigurieren, die die Berechtigungen Ihrer Benutzer und API-Schlüssel steuern. Zum Beispiel kann Ihr Code im Rahmen Ihres automatisierten Prozesses zur Bereitstellung von Server- und Workload Protection die verschiedenen Rollen erstellen, die für die Aufgaben geeignet sind, die Benutzer ausführen, oder die Sie mithilfe der API ausführen.
Rollen sollten die minimalen Rechte bereitstellen, die Benutzer oder Ihr Code benötigen, um ihre Aufgaben auszuführen.
Hinweis
Hinweis
Weitere Informationen zu Rollen finden Sie unter Benutzerrollen.
Die folgenden Klassen ermöglichen Ihnen die Interaktion mit Rollen:
  • AdministratorRolesApi: Rollen erstellen, ändern, löschen, suchen, beschreiben und auflisten
  • Role: Stellt eine Rolle dar und bietet Zugriff auf Rollen-Eigenschaften
  • Rights-Klassen: Mehrere Klassen, die Zugriffsrechte für Server- und Workload Protection-Ressourcen repräsentieren. Zum Beispiel definiert ComputerRights Rechte für die Interaktion mit Computern, und ScheduledTaskRights definiert Rechte für die Interaktion mit geplanten Aufgaben.
Siehe auch Rollen-ID erhalten.

Allgemeine Schritte Übergeordnetes Thema

Verwenden Sie die folgenden allgemeinen Schritte, um eine Rolle zu erstellen oder zu ändern:

Prozedur

  1. Erstellen Sie ein Role-Objekt und konfigurieren Sie die Eigenschaften:
    • Geben Sie einen Namen zur Identifizierung der Rolle an und optional eine Beschreibung
    • (Optional) Identifizieren Sie die Computer und Richtlinien, auf die die Rolle zugreifen kann
    • (Optional) Fügen Sie Berechtigungsobjekte hinzu, die festlegen, welche Aufgaben die Rolle auf den Computern ausführen kann und auf welche Richtlinien sie zugreifen kann.
  2. Erstellen Sie ein AdministratorsRoleApi-Objekt und verwenden Sie es, um die Rolle auf Server- und Workload Protection zu erstellen oder zu ändern.

Nächste Schritte

Wenn Sie eine Rolle erstellen, hat sie standardmäßig Lesezugriff auf alle Computer und Richtlinien, ermöglicht Benutzern, ihr eigenes Passwort zu ändern, und erlaubt den Zugriff auf die Server- und Workload Protection-Konsole.
Das folgende JSON stellt eine Beispieldatenstruktur eines Role-Objekts dar. Die Datenstruktur ist nützlich, um zu verstehen, wie die Zugriffsrechte der Rolle konfiguriert werden können:
  • Die allComputers und allPolicies Elemente steuern den Zugriff auf alle Computer und Richtlinien. Wenn eines von beiden false ist, enthalten die computerIDs und policyIDs Elemente die IDs der Computer und Richtlinien, auf die zugegriffen werden kann
  • Das rights-Element und seine Nachfolger entsprechen den verschiedenen Rechteklassen, die Zugriffsrechte auf Server- und Workload Protection-Ressourcen definieren. Um dieses Beispiel prägnant zu halten, werden tiefere Ebenen der Rechteelemente nicht angezeigt.
{
    "name": "Auditor",
    "description": "",
    "urn": "urn:tmds:identity:us-east-ds-1:41342:role/Auditor",
    "immutable": false,
    "canOnlyManipulateUsersWithEqualOrLesserRights": false,
    "allComputers": true,
    "allPolicies": true,
    "allowUserInterface": true,
    "allowWebService": true,
    "rights": {
        "platformRights": {...},
        "antiMalwareRights": {...},
        "webReputationRights": {...},
        "firewallRights": {...},
        "intrusionPreventionRights": {...},
        "integrityMonitoringRights": {...},
        "logInspectionRights": {...},
        "applicationControlRights": {...},
        "hostedServiceRights": {...}
    },
    "ID": 2
    }
Um die vollständige Datenstruktur eines Role-Objekts zu sehen, schauen Sie sich die Antwort für die Beschreiben einer Administratorrolle-Operation im API-Referenz an.
Das folgende Beispiel erstellt ein Rollenobjekt und legt den Namen fest:
run_reports_role = api.Role()
run_reports_role.name = "Computer Status and Properties"
Verwenden Sie ein ComputerRights-Objekt, um Zugriffsrechte auf Computer festzulegen, und verwenden Sie dann das Objekt, um ein PlatformRights-Objekt zu konfigurieren. Das PlatformRights-Objekt entspricht dem platformRights-Datenobjekt im vorherigen JSON-Code:
computer_rights = api.ComputerRights()
computer_rights.can_edit_computer_properties = True

platform_rights = api.PlatformRights() 
platform_rights.computer_rights = computer_rights
Fügen Sie die Plattformrechte zu einem Rights-Objekt hinzu und fügen Sie dann das Rights-Objekt der Rolle hinzu.
rights = api.Rights()
rights.platform_rights = platform_rights

run_reports_role.rights = rights
Erstellen Sie schließlich die Rolle auf Server- und Workload Protection:
admin_roles_api = api.AdministratorRolesApi(api.ApiClient(configuration))
new_role = admin_roles_api.create_administrator_role(run_reports_role, api_version)

Beispiel: Eine Rolle erstellen Übergeordnetes Thema

Das folgende Beispiel erstellt eine Rolle, die Computer finden kann, bestimmt, ob jedem Computer eine Richtlinie zugewiesen ist, und bei Bedarf eine Richtlinie zuweist. Die Auditor-Rolle erfüllt diese Anforderungen nicht, da sie nicht die Rechte zum Ändern von Computern bietet.
Quelle anzeigen
# Create the Role object
run_reports_role = api.Role()
run_reports_role.name = "Computer Status and Properties"

# No need for access to policies
run_reports_role.all_policies = False

# Add rights to edit computer properties
computer_rights = api.ComputerRights()
computer_rights.can_edit_computer_properties = True

platform_rights = api.PlatformRights()
platform_rights.computer_rights = computer_rights

rights = api.Rights()
rights.platform_rights = platform_rights

# Add the rights to the role
run_reports_role.rights = rights

# Create the role on Server- und Workload Protection
admin_roles_api = api.AdministratorRolesApi(api.ApiClient(configuration))
new_role = admin_roles_api.create_administrator_role(run_reports_role, api_version)

return new_role.id
Siehe auch die Erstellen einer Administratorrolle-Operation im API-Referenz.