我测试发现只有用户可以将其他人添加到他的防御者列表中,以便另一个人冒充。但其他用户无法自行添加用户模仿者列表和冒充。管理员组的成员或用户自己可以将其他人添加到用户模仿者列表中。是否记录了我们在哪里以及如何定制任何用户来添加管理员组等的用户?
答案 0 :(得分:1)
首先,您的分析是正确的。模仿者列表是目标用户的属性。因此,目标用户可以授予另一个用户(模仿者)作为他自己的权利。没有“冒充权”,允许特定用户组冒充任何人。
因此用例“支持用户组”,允许一组支持用户模拟,因为其他业务用户将无法工作。每个业务用户都必须向支持用户组授予模拟权限。
要更改模仿者列表,您只需要在目标用户处进行写访问。它是目标用户本身,“用户管理员”组的成员,“管理员”组的成员,或项目已授予目标用户写入权限的任何其他用户或用户组。
如果您想拥有支持用户组模型,则有2个选项:
如果您使用的是LDAP集成,则可以在“用户同步”配置中为模拟属性添加静态值。因此,每个LDAP用户在登录时都会自动分配这些内容。
编写您自己的服务,该服务使用UserAdmin-API在后台静默分配模仿者。这允许您使用任何您想要的业务逻辑。