| Oracle Identity Manager管理およびユーザー・コンソール・ガイド リリース9.1.0.2 B56234-01 |
|
 戻る |
 次へ |
管理者としてユーザー・グループを使用して、アクセス権、ロール、権限などの一般的な機能にアクセスできるユーザーの集合のレコードを作成および管理します。
ユーザー・グループは、組織に依存しないグループ、複数の組織にわたるグループ、または1つの組織のユーザーしか含まないグループが可能です。
ユーザー・グループを使用すると、次の操作が可能です。
ユーザーが管理およびユーザー・コンソールを使用してアクセスできるメニュー項目を指定します。
ユーザー・グループにユーザーまたはサブグループを割り当てます。
プロセス・タスクに対して定義済レスポンスを指定できるようにするためのステータスをユーザーに指定します。
データ・オブジェクトの変更および権限のリクエストを行います。
グループ管理者を指定して、他のユーザー・グループのメンバーが現行ユーザー・グループにメンバーを割り当てられるようにするなど、グループにアクションを実行します。
ユーザー・グループのプロビジョニング・ポリシーを指定します。これらのポリシーは、ユーザー・グループのメンバーに対して、あるリソース・オブジェクトをプロビジョニングするか、リクエストによりプロビジョニングするかを決定します。
ユーザー・グループに対して、メンバーシップ・ルールを追加または削除します。これらのルールは、どのユーザーをユーザー・グループに割当てできるかを決定します。
Oracle Identity Managerには、3つのデフォルトのユーザー・グループがあります。
システム管理者
オペレータ
すべてのユーザー
デフォルトのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。
「システム管理者」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード(システム・レコード以外)を作成、編集および削除できる完全な権限を持っています。このグループのユーザーは、他のユーザーの権限を制御したり、割り当てられないタスクについてもプロセス・タスクのステータスを変更して、最も高いレベルからシステムを管理できます。
「オペレータ」ユーザー・グループのメンバーは、「組織」、「ユーザー」および「タスク・リスト」の各フォームにアクセスできます。このグループのユーザーは、これらのフォームの一部の機能を実行できます。
「すべてのユーザー」ユーザー・グループのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーは「すべてのユーザー」ユーザー・グループに所属します。
この章の内容は、次のとおりです。
|
注意:
|
新規のユーザー・グループを初めて作成する場合、「グループの詳細」ページにはグループ名が表示されます。「グループの管理」の説明に従って、「追加詳細」メニューを使用してユーザー・グループに情報を追加できます。
ユーザー・グループを作成するには、次の手順を実行します。
左ナビゲーション・ペインで「ユーザー・グループ」をクリックし、続いて「作成」をクリックします。「ユーザー・グループの作成」ページが表示されます。
ユーザー・グループの名前を「名前」フィールドに入力します。
「作成」をクリックします。「グループの詳細」ページが表示されます。
グループ名を変更する場合は「編集」をクリックします。また、ユーザー・グループを削除する場合は「削除」をクリックします。
ユーザー・グループの検索、それらのグループへの情報の追加、ユーザー・グループのためのその他の管理機能を実行できます。
ここでは、次のトピックについて説明します。
ユーザー・グループを検索するには、次の手順を実行します。
左ナビゲーション・ペインで「ユーザー・グループ」をクリックし、続いて「管理」をクリックします。
「グループの管理」ページが表示されます。
メニューから「グループ名」を選択し、メニューの隣のフィールドに値を入力します。
ワイルドカード文字としてアスタリスク(*)を使用すると、すべてのユーザー・グループを問合せできます。
「検索」をクリックします。
結果ページが表示されます。このページを使用して、ユーザー・グループを表示および削除できます。
ユーザー・グループを削除するには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索します。
削除するグループの横にある「削除」チェック・ボックスを選択し、「削除」をクリックします。
「確認」ページが表示されます。
「削除の確認」をクリックしてこのユーザー・グループの削除を完了するか、「取消」をクリックします。
表示するユーザー・グループを選択した後、選択したユーザー・グループに関する次の詳細を表示できます。
グループには、ユーザーまたはサブグループを割り当てることができます。「ユーザーの割当て」および「サブグループの割当て」の各オプションも機能は類似しています。次の手順では、「ユーザーの割当て」サブグループを例として示しています。
ユーザーをグループに割り当てるには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
追加詳細ボックスで、「メンバーとサブグループ」を選択します。
「メンバーとサブグループ」ページが表示されます。
「ユーザーの割当て」をクリックします。
「ユーザーの検索」をクリックするとユーザー名の一覧が表示されます。または、「クリア」をクリックします。
結果表が表示されます。
メンバーの優先度を上下させるには、結果表の「優先度を上げる/下げる」列で、そのメンバーに関連付けられたオプションをクリックし、「上げる」または「下げる」をクリックします。
グループのメンバーを削除するには、結果表の「削除」列で、そのメンバーに対応するオプションをクリックし、「メンバーの削除」をクリックします。
ユーザーIDに対する適切なオプションを選択し、「割当て」をクリックします。
「確認」ページに、選択したユーザーID名が表示されます。
ユーザーの割当てに進む場合は「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「メニュー項目」検索基準には、このユーザー・グループに許可されているすべてのメニュー項目が表示されます。「メニュー項目」オプションを使用すると、ユーザー・グループに対して新しいメニュー項目を割り当てることができます。
メニュー項目をユーザー・グループに割り当てるには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
追加詳細ボックスで、「メニュー項目」を選択します。
「メニュー項目」ページが表示されます。
「メニュー項目の割当て」をクリックします。
「メニュー項目の割当て」ページが表示されます。
メニュー項目に対する適切なオプションを選択し、「割当て」をクリックします。
「確認」ページが表示されます。
メニューの割当てに進む場合は「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
結果表に、このユーザー・グループに許可されているメニュー項目が表示されます。このページでは、許可しないメニュー項目を削除することもできます。
メニュー項目を削除するには、そのメニュー項目に対応するオプションを選択し、「削除」をクリックします。
これでこのメニュー項目はこのユーザー・グループとの関連付けを解除されました。
ユーザー・グループに関連付けられているすべての管理グループを表示することができます。また、次の操作も可能です。
管理グループの割当て
新しい管理グループの作成
管理グループの権限の更新
管理グループを割り当てるには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
「追加詳細」ボックスで、「管理グループ」を選択します。
「管理グループ」ページが表示されます。
「管理グループの割当て」をクリックします。
「管理グループの割当て」ページが表示されます。このページには、ユーザー・グループに関連付けることができる管理グループがすべて表示されます。
管理グループに対応する適切なオプションと、アクセスの書込みおよび削除に関するそれぞれの権限設定を選択し、「割当て」をクリックします。
「確認」ページが表示されます。
「割当ての確認」または「取消」をクリックします。
結果表に、このユーザー・グループを管理できる管理グループが表示されます。
新しい管理グループを作成するには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
「追加詳細」ボックスで、「管理グループ」を選択します。
「管理グループ」ページが表示されます。
このユーザー・グループに対して新しい管理グループを作成するには、「新規グループの作成」をクリックします。
管理者の割当てウィザードの「ステップ1: 管理者の割当て」ページが表示されます。
この新しい管理グループに含めるユーザーのオプションを選択し、「追加」をクリックします。
ユーザーのログイン名が「選択済」リストに表示されます。
「続行」をクリックするか、「戻る」または「終了」をクリックしてウィザードを終了します。
「ステップ2: 別名の指定」ページが表示されます。
新しい管理グループの別名を入力し、「続行」をクリックします。
または、「戻る」をクリックして前のページに戻るか、「終了」をクリックしてウィザードを終了します。
「ステップ3: 権限の指定」ページが表示されます。デフォルトでは、「読取り」権限のオプションが選択されています。
「書込み」または「削除」権限のオプションを選択し、「続行」をクリックします。
「ステップ4: 委任情報の検証」ページが表示されます。
このページには、管理グループのエイリアス、この管理グループに所属するユーザーおよびそのグループの権限が表示されます。
この管理グループを変更するには、「変更」をクリックします。
「変更」をクリックすると、該当するウィザード・ページに戻って変更することができます。変更しない場合は、「続行」をクリックします。
「管理グループ」ページが表示されます。
グループ権限を更新するには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
「追加詳細」ボックスで、「管理グループ」を選択します。
「管理グループ」ページが表示されます。
ユーザー・グループに関連する管理グループの権限を更新するには、「権限の更新」をクリックします。
「権限の更新」ページが表示されます。
このページには、管理グループ名と書込みおよび削除の権限が表示されます。
管理グループの権限設定を変更するには、「書込み権限」および「削除権限」に対応するオプションをクリックします。続いて「更新」をクリックすると変更されます。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。このページには、更新した管理グループが表示されます。
このページに表示されている名前が正しければ、「更新の確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「管理グループ」ページが表示されます。
更新された管理グループに、変更された書込みまたは削除アクセス権が表示されます。
管理グループを削除するには、グループ名に対応するオプションを選択し、「削除」をクリックします。
このユーザー・グループで使用できるすべてのアクセス・ポリシーを表示したり、ユーザー・グループに対してアクセス・ポリシーの割当ておよび削除を行えます。
アクセス・ポリシーをユーザー・グループに割り当てるには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
「追加詳細」ボックスで「アクセス・ポリシー」を選択します。
「アクセス・ポリシー」ページが表示されます。
新しいアクセス・ポリシーを割り当てるには、「割当て」をクリックします。
「アクセス・ポリシーの割当て」ページが表示されます。
このページには、ポリシー名とポリシーの簡単な説明が表示されます。
このユーザー・グループのアクセス・ポリシーに対応するオプションを選択し、「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。
アクセス・ポリシーを割り当てるには、「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「アクセス・ポリシー」ページが表示されます。
このアクセス・ポリシーを削除するには、ポリシーに対応するオプションを選択し、「削除」をクリックします。
このユーザー・グループで使用できるすべてのメンバーシップ・ルールの表示、ユーザー・グループに対する新しいメンバーシップ・ルールの割当て、およびメンバーシップ・ルールの削除を行うことができます。
メンバーシップ・ルールに関連する操作を行うには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
追加詳細ボックスで「メンバーシップ・ルール」を選択します。
「メンバーシップ・ルール」ページが表示されます。
新しいメンバーシップ・ルールを割り当てるには、「ルールの割当て」をクリックします。
「メンバーシップ・ルールの割当て」ページが表示されます。このページには、メンバーシップ・ルールの名前が表示されます。
このユーザー・グループのメンバーシップ・ルールに対応するオプションを選択し、「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。
メンバーシップ・ルールを割り当てるには、「割当ての確認」をクリックします。
これを行わない場合は、「取消」をクリックします。
「メンバーシップ・ルール」ページが表示されます。
このメンバーシップ・ルールを削除するには、メンバーシップ・ルールに対応するオプションを選択し、「削除」をクリックします。
Oracle Identity Managerにおける権限は、そのほとんどがデータ・オブジェクトに関するものです。データ・オブジェクトは、Oracle Identity Managerデータ・モデルにおける表の内部オブジェクト表現として定義できます。このモデルではビジネス・ロジックが実行され、データ・ストアにおけるデータの挿入、更新、および削除が行われます。これらのアクションに対する権限は、グループ・レベルで定義されます。表またはデータ・オブジェクトに応じて、これらの権限は次のように分類できます。
明示的な挿入/更新/削除権限が必要なデータ・オブジェクト
明示的な挿入、更新または削除権限が必要とされるデータ・オブジェクトとは、そのエントリを作成、変更および削除するためにOracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストの「権限」を使用して挿入、更新または削除権限を指定する必要のあるデータ・オブジェクトです。
次の例を考えてみます。あるユーザーが複数のグループに属し、データ・オブジェクトがいずれのグループにも割り当てられています。このデータ・オブジェクト・タイプのエンティティを削除するとします。削除するには、いずれのグループにも、データ・オブジェクトに対する更新権限が付与されていることを確認する必要があります。
表10-1は、このカテゴリで示すデータ・オブジェクトとそのエンティティをまとめたリストです。
表10-1 明示的な挿入/更新/削除権限が必要なデータ・オブジェクト
| データ・オブジェクト・タイプ | エンティティ |
|---|---|
|
com.thortech.xl.dataobj.tcACS |
組織.Lnk_Act_Svr |
|
com.thortech.xl.dataobj.tcADL |
アダプタ・ファクトリ.ロジック/変数設定タスク |
|
com.thortech.xl.dataobj.tcADM |
アダプタ・ファクトリ.入力/出力パラメータ |
|
com.thortech.xl.dataobj.tcADP |
アダプタ定義 |
|
com.thortech.xl.dataobj.tcADS |
アダプタ・ファクトリ・ストアド・プロシージャ・タスク |
|
com.thortech.xl.dataobj.tcADT |
アダプタ・タスク |
|
com.thortech.xl.dataobj.tcADU |
アダプタ・ファクトリWebサービス・タスク |
|
com.thortech.xl.dataobj.tcADV |
アダプタ・ファクトリ.変数 |
|
com.thortech.xl.dataobj.tcAPA |
アテステーション・プロセス管理者 |
|
com.thortech.xl.dataobj.tcARS |
アダプタ・ステータス |
|
com.thortech.xl.dataobj.tcATP |
アダプタ・ファクトリ.パラメータ・タスク表 |
|
com.thortech.xl.dataobj.tcDAV |
データ・オブジェクト.アダプタ変数 |
|
com.thortech.xl.dataobj.tcDVT |
データ・オブジェクトに関連付けられたイベント・ハンドラ |
|
com.thortech.xl.dataobj.tcEMD |
電子メール定義 |
|
com.thortech.xl.dataobj.tcERR |
エラー・メッセージ定義 |
|
com.thortech.xl.dataobj.tcEVT |
イベント・ハンドラ |
|
com.thortech.xl.dataobj.tcGPY |
ユーザー・グループ.プロパティ |
|
com.thortech.xl.dataobj.tcLKU |
参照定義 |
|
com.thortech.xl.dataobj.tcLKV |
参照用の参照値 |
|
com.thortech.xl.dataobj.tcOBA |
リソース・オブジェクト認可者 |
|
com.thortech.xl.dataobj.tcODF |
オブジェクトからプロセスへのデータ・フロー |
|
com.thortech.xl.dataobj.tcODV |
リソース・オブジェクト・イベント |
|
com.thortech.xl.dataobj.tcOOD |
リソース・オブジェクト.組織オブジェクトの依存性 |
|
com.thortech.xl.dataobj.tcOUD |
リソース・オブジェクト.ユーザー・オブジェクトの依存性 |
|
com.thortech.xl.dataobj.tcPDF |
プロセス統合.データ・フロー・マッピング |
|
com.thortech.xl.dataobj.tcPKH |
パッケージ階層 |
|
com.thortech.xl.dataobj.tcPOC |
アクセス・ポリシー子表データ |
|
com.thortech.xl.dataobj.tcPOF |
ポリシー親データ |
|
com.thortech.xl.dataobj.tcPOG |
アクセス・ポリシーで定義されているユーザー・グループ |
|
com.thortech.xl.dataobj.tcPOL |
アクセス・ポリシー定義 |
|
com.thortech.xl.dataobj.tcPOP |
アクセス・ポリシーの割当て済オブジェクト |
|
com.thortech.xl.dataobj.tcPRF |
プロセス・リコンシリエーション・フィールド・マッピング |
|
com.thortech.xl.dataobj.tcPTY |
システム構成 |
|
com.thortech.xl.dataobj.tcPWP |
ポリシー・プロセス・ターゲット |
|
com.thortech.xl.dataobj.tcPWR |
パスワード・ポリシー |
|
com.thortech.xl.dataobj.tcPWT |
ポリシー・ユーザー・ターゲット |
|
com.thortech.xl.dataobj.tcRAV |
事前移入アダプタ・マッピング |
|
com.thortech.xl.dataobj.tcRCA |
リコンシリエーションが一致した組織 |
|
com.thortech.xl.dataobj.tcRCH |
リコンシリエーション・イベントのアクション履歴 |
|
com.thortech.xl.dataobj.tcRCP |
一致したリコンシリエーション・イベント・プロセス |
|
com.thortech.xl.dataobj.tcRCU |
一致したリコンシリエーション・イベント・ユーザー |
|
com.thortech.xl.dataobj.tcRCX |
リコンシリエーションの例外 |
|
com.thortech.xl.dataobj.tcRES |
アダプタ・ファクトリ.リソース |
|
com.thortech.xl.dataobj.tcRGP |
グループ・メンバーシップ・ルール |
|
com.thortech.xl.dataobj.tcRML |
タスクの割当てルール |
|
com.thortech.xl.dataobj.tcRPG |
ユーザー・グループに関するレポート |
|
com.thortech.xl.dataobj.tcRUL |
ルール |
|
com.thortech.xl.dataobj.tcRUE |
ルール要素 |
|
com.thortech.xl.dataobj.tcSDC |
システム・ユーザー定義フォームのユーザー定義列 |
|
com.thortech.xl.dataobj.tcSDH |
ユーザー定義フォームの親子階層 |
|
com.thortech.xl.dataobj.tcSDL |
フォーム定義バージョン・ラベル |
|
com.thortech.xl.dataobj.tcSDP |
フォーム定義プロパティ |
|
com.thortech.xl.dataobj.tcSPD |
ITリソース・タイプ・パラメータ定義 |
|
com.thortech.xl.dataobj.tcSRE |
ユーザー定義列と事前移入アダプタの関連付け |
|
com.thortech.xl.dataobj.tcSRS |
ITリソース・リンク |
|
com.thortech.xl.dataobj.tcSUG |
ITリソース.管理者 |
|
com.thortech.xl.dataobj.tcSVD |
ITリソース・タイプ定義 |
|
com.thortech.xl.dataobj.tcTDV |
プロセス・イベント・ハンドラ |
|
com.thortech.xl.dataobj.tcTLG |
システム・ログ |
|
com.thortech.xl.dataobj.tcTSA |
スケジュール・タスク属性 |
|
com.thortech.xl.dataobj.tcTSK |
スケジュール済タスク |
|
com.thortech.xl.dataobj.tcUHD |
ユーザー.オブジェクト.履歴の詳細 |
|
com.thortech.xl.dataobj.tcUPL |
ユーザー定義フィールド参照 |
|
com.thortech.xl.dataobj.tcUPT |
ユーザー定義フィールド値 |
|
com.thortech.xl.dataobj.tcUPY |
システム構成.ユーザー |
|
com.thortech.xl.dataobj.tcWIN |
フォーム情報 |
管理グループ
これらのデータ・オブジェクトでは、Oracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストにある「権限」で定義される権限は使用されません。特定のグループを管理者として定義する管理者コンセプトに従います。表10-2に、これらのデータ・オブジェクトとその権限を示します。
表10-2 管理者グループのデータ・オブジェクト権限
| データ・オブジェクト・タイプ | エンティティ | 権限 |
|---|---|---|
|
com.thortech.xl.dataobj.tcUSR |
ユーザー |
ユーザーに対する権限は、組織レベルで定義されます。あるグループを、読取り、書込みおよび削除の権限を持つ組織の管理者として定義した場合、そのグループに属するユーザーは、ユーザーの詳細の表示や変更、およびユーザーの削除を実行できます。 |
|
com.thortech.xl.dataobj.tcACT |
組織 |
あるグループを組織の管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
|
com.thortech.xl.dataobj.tcUGP |
ユーザー・グループ |
あるグループを別のグループの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
|
com.thortech.xl.dataobj.tcOBJ |
リソース・オブジェクト |
あるグループをリソースの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
|
com.thortech.xl.dataobj.tcAPD |
アテステーション・プロセス定義 |
あるグループをアテステーション・プロセスの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
|
com.thortech.xl.dataobj.tcQUE |
管理キュー |
あるグループを管理キューの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
|
com.thortech.xl.dataobj.tcTOS |
プロセス定義 |
あるグループをプロセス定義の管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
ワークフロー定義の削除はサポートされていません。 |
|
com.thortech.xl.dataobj.tcSDK |
フォーム・デザイナ |
あるグループをフォームの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
ユーザー定義フォームの削除はサポートされていません。 |
|
com.thortech.xl.dataobj.tcSVR |
ITリソース |
あるグループをITリソースの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション:
書込み権限を使用するアクション:
削除権限を使用するアクション:
|
あるグループを、読取り、書込み、および削除の権限を持つ表10-2のエンティティのいずれかの管理者として定義した場合、そのグループに属するユーザーは、エンティティ詳細の表示、エンティティ詳細の変更、またはエンティティの削除が行えます。
あるユーザーによって表10-2にリストされているデータ・オブジェクト・タイプのエンティティが作成された場合、そのユーザーが属するグループは、読取り、書込みおよび削除の権限を持つ、新規に作成されたエンティティの管理者として自動的に定義されます。
たとえば、グループ1およびグループ2に属するユーザー1が、com.thortech.xl.dataobj.tcACTタイプのエンティティ(組織)を作成したとします。グループ1およびグループ2は、読取り、書込みおよび削除の権限を持つ、新規に作成された組織の管理者として自動的に定義されます。
明示的な権限が不要なデータ・オブジェクト
明示的な権限が必要ないデータ・オブジェクトとは、強制される権限がないか、または単に親データ・オブジェクトの権限に従うことから、権限を定義する必要のないデータ・オブジェクトです。親データ・オブジェクトの権限を使用するデータ・オブジェクトは、単純な原則に従います。すなわち、親データ・オブジェクトに対する更新権限を持つグループは、子データ・オブジェクトに対する挿入、更新および削除の権限も持ちます。表10-3に、これらのデータ・オブジェクトとそのエンティティを示します。
表10-3 明示的な権限が不要なデータ・オブジェクト
| データ・オブジェクト | 説明 | 権限のタイプ |
|---|---|---|
|
Com.thortech.xl.dataobj.tcMEV |
タスク・ステータスを基に定義されている電子メール定義 |
親(TOS)権限に従う。 |
|
Com.thortech.xl.dataobj.tcMIL |
プロセス・タスク定義 |
親(TOS)権限に従う。 |
|
Com.thortech.xl.dataobj.tcRSC |
プロセス・タスクのレスポンス・コード |
親(TOS)権限に従う。 |
|
Com.thortech.xl.dataobj.tcUNM |
取消しマイルストン |
親(TOS)権限に従う。 |
|
Com.thortech.xl.dataobj.tcRPC |
リコンシリエーションが一致したプロセスの子表 |
権限チェックなし。常にtrueが戻される。 |
|
Com.thortech.xl.dataobj.tcAAD |
組織.管理者 |
親データ・オブジェクト(ACT)権限に従う。 |
|
Com.thortech.xl.dataobj.tcRCE |
リコンシリエーション・イベント |
権限チェックなし。常にtrueが戻される。 |
|
Com.thortech.xl.dataobj.tcPCQ |
ユーザーの質問 |
権限チェックなし。常にtrueが戻される。 |
|
Com.thortech.xl.dataobj.tcUSG |
グループに属するユーザー |
親データ・オブジェクト(UGP)権限に従う。 |
|
com.thortech.xl.dataobj.tcGPP |
グループ管理者 |
親データ・オブジェクト(UGP)権限に従う。 |
|
com.thortech.xl.dataobj.tcUWP |
ユーザー・グループ.ナビゲーション・ツリーのレイアウト |
親データ・オブジェクト(UGP)権限に従う。 |
|
com.thortech.xl.dataobj.tcFUG |
ユーザー定義フィールドの定義.管理者 |
親データ・オブジェクト(SDK)権限に従う。 |
|
com.thortech.xl.dataobj.tcMAV |
プロセス・データ.マイルストン.アダプタ変数 |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcAtomicProcess |
プロセス定義 |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcATR |
アテステーション・リクエスト |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcEIF |
ファイルのエクスポート/インポート履歴 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcCIH |
コネクタのインストール履歴 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcORR |
リコンシリエーション・アクション・ルール |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcRRE |
リコンシリエーション.ユーザー一致要素 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcRPW |
リソースに対するパスワード・ポリシー・ルール |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcOBD |
リソース・オブジェクトの依存性 |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcACP |
許可済オブジェクト |
親データ・オブジェクト(ACT)権限に従う。 |
|
com.thortech.xl.dataobj.tcRCM |
リコンシリエーション・データの複数値 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcATD |
アテステーション・タスク・データ |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcOST |
リソースに対して定義されたステータス |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcEIS |
エクスポート/インポート履歴置換 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcAPT |
アテステーション・タスク |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcGCD |
汎用コネクタ定義 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcDEP |
プロセス・タスクの依存性 |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcROP |
プロセス決定ルール |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcGPG |
サブグループ |
親データ・オブジェクト(UGP)権限に従う。 |
|
com.thortech.xl.dataobj.tcSEL |
ユーザー・グループ.設定権限 |
親データ・オブジェクト(UGP)権限に従う。 |
|
com.thortech.xl.dataobj.tcQUM |
キュー・メンバー |
親データ・オブジェクト(QUE)権限に従う。 |
|
com.thortech.xl.dataobj.tcQUG |
キュー管理者 |
親データ・オブジェクト(QUE)権限に従う。 |
|
com.thortech.xl.dataobj.tcMSG |
マイルストン.ステータス.ユーザー・グループ |
このデータ・オブジェクトは非推奨。 |
|
com.thortech.xl.dataobj.tcPUG |
プロセス統合.管理者 |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcOUD |
リソース・オブジェクト.ユーザー・オブジェクトの依存性 |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcRQE |
リクエスト・キュー |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcRVM |
リカバリ・マイルストン |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcOUG |
リソース・オブジェクト.管理者 |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcMST |
プロセス定義.タスク.オブジェクト・ステータス |
親(TOS)権限に従う。 |
|
com.thortech.xl.dataobj.tcRRT |
リコンシリエーション.ユーザー一致ルール要素のプロパティ |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcSVP |
ITリソース・プロパティ表 |
親(SVR)権限に従う。 |
|
com.thortech.xl.dataobj.tcORF |
リソース・オブジェクト.オブジェクト・リコンシリエーション・フィールド |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj.tcRCD |
リコンシリエーション・イベント・データ |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcEIO |
オブジェクトのエクスポートとインポート |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcRRL |
リコンシリエーション・ルール |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcRQC |
リクエスト.リクエストのコメント |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcRCB |
リコンシリエーション・イベント.未処理データ |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcPXD |
プロキシ定義 |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcEIH |
履歴のエクスポートとインポート |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcMAP |
マップ情報 |
マップは現在使用されていない。 |
|
com.thortech.xl.dataobj.tcORC |
プロセスの詳細 |
すべてのユーザー・グループに権限が付与される。 |
|
com.thortech.xl.dataobj.tcSTA |
プロセス・タスク・ステータス定義 |
タスクに対するカスタム・ステータスの定義は不可。 |
|
com.thortech.xl.dataobj.tcScheduleItem |
プロセス・タスク・インスタンス |
すべてのユーザー・グループに権限が付与される。 |
|
com.thortech.xl.dataobj.tcSCH |
タスク・インスタンス情報 |
すべてのユーザー・グループに権限が付与される。 |
|
com.thortech.xl.dataobj.tcOIO |
リクエスト.組織のオブジェクト・インスタンス |
ユーザーはこれらのエンティティを直接作成できない。 |
|
com.thortech.xl.dataobj.tcOIU |
リクエスト.ユーザーのオブジェクト・インスタンス |
ユーザーはこれらのエンティティを直接作成できない。 |
|
com.thortech.xl.dataobj.tcOBI |
リクエスト.オブジェクト・インスタンス |
ユーザーはこれらのエンティティを直接作成できない。 |
|
Com.thortech.xl.dataobj.tcREQ |
リクエスト |
挿入に関する権限チェックなし。更新および削除の権限についてはユーザーとリクエストとの関係に基づいて判断される。 |
|
com.thortech.xl.dataobj.tcRequestObject |
リクエスト・オブジェクト |
権限チェックなし。常にtrueが戻される。 |
|
com.thortech.xl.dataobj.tcDOB |
データ・オブジェクト |
OIMユーザーによるデータ・オブジェクトの作成なし。 |
|
Thor.CarrierBase.tcACN |
連絡先.組織情報 |
現在は使用されていない。 |
|
Thor.CarrierBase.tcAFM |
アダプタ・ファクトリ.フォーム |
現在は使用されていない。 |
|
Thor.CarrierBase.tcAHY |
組織.親-子 |
現在は使用されていない。 |
|
Thor.CarrierBase.tcCCG |
連絡先.組織グループ |
現在は使用されていない。 |
|
Thor.CarrierBase.tcESD |
構造ユーティリティ.暗号化された列 |
データ定義用に公開されているUIまたはAPIなし。 |
|
Thor.CarrierBase.tcGSC |
連絡先.スケジュール項目 |
現在は使用されていない。 |
|
Thor.CarrierBase.tcGSI |
スケジュール項目.ユーザー・グループ |
現在は使用されていない。 |
|
Thor.CarrierBase.tcPGP |
プロセス統合.リクエスト権限 |
現在は使用されていない。 |
|
Thor.CarrierBase.tcUDF |
ユーザー定義フィールドの定義 |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcAOA |
アダプタ・ファクトリ.オープン・アダプタ |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcOrganizationContact |
組織.連絡先情報 |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcRPT |
レポート定義 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcRPP |
レポート・パラメータ |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcUSC |
タスク・インスタンス.連絡先情報 |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcUserScheduleItem |
ユーザー・タスク |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcUSI |
ユーザー.ユーザー定義タスク |
現在は使用されていない。 |
|
com.thortech.xl.orb.dataobj.tcUSK |
電子メール通知.USI.連絡先 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcAAG |
ユーザー・グループ.組織のメンバー |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcORD |
順序 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcRLO |
外部JARファイル・ディレクトリ |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcAGS |
組織.連絡先グループ |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcATS |
組織.組織ごとのサービス |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcSGK |
システム・ジェネレータのキー値 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcSRP |
サービス率の計画 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcSRS |
サービス率の計画 |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcUDP |
ユーザー定義フィールド |
現在は使用されていない。 |
|
com.thortech.xl.dataobj.tcUPD |
ユーザー.オブジェクト.ポリシーの詳細 |
ユーザーはこれらのエンティティを直接作成できない。 |
|
com.thortech.xl.dataobj.tcUPP |
ユーザー.オブジェクト.ポリシー・プロファイル |
ユーザーはこれらのエンティティを直接作成できない。 |
|
com.thortech.xl.dataobj.tcUPH |
ユーザー.オブジェクト.ポリシーの履歴 |
ユーザーはこれらのエンティティを直接作成できない。 |
|
com.thortech.xl.dataobj.tcRQU |
リクエスト・オブジェクト・ターゲット・ユーザー情報 |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRQA |
リクエスト・ターゲット組織情報 |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRQO |
リクエスト・オブジェクト情報 |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRIO |
リクエスト組織解決済オブジェクト・インスタンス |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRIU |
リクエスト・ユーザー解決済オブジェクト・インスタンス |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRQY |
解決が必要なリクエスト組織 |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj.tcRQZ |
解決が必要なリクエスト・ユーザー |
関連するリクエスト権限に従う。 |
|
com.thortech.xl.dataobj. tcUserProvisionObject |
ユーザー・プロビジョニング・オブジェクト |
親(OBJ)権限に従う。 |
|
com.thortech.xl.dataobj. tcOrgProvisionObject |
組織プロビジョニング・オブジェクト |
親(OBJ)権限に従う。 |
|
Com.thortech.xl.dataobj.tcMEV |
タスク・ステータスを基に定義されている電子メール定義 |
親(TOS)権限に従う。 |
Oracle Identity Managerでは、データ・オブジェクトまたはファイングレイン権限をグループに割り当てる際、次のような権限モデルが使用されます。
挿入/更新/削除オプションが指定されていないユーザーにデータ・オブジェクトを割り当てるとエラーが発生します。
ログイン中のユーザーが、たとえば挿入および更新の権限を持つグループにデータ・オブジェクトを割り当てるには、そのデータ・オブジェクトに対して挿入および更新の権限を持っている必要があります。
ログイン中のユーザーがグループに対するなんらかのデータ権限(挿入/更新/削除)を変更するには、そのデータ・オブジェクトに対してそれと同じ権限を持っている必要があります。
ログイン中のユーザーがグループからデータ・オブジェクト権限を削除するには、そのデータ・オブジェクトに対して挿入および更新の権限を持っている必要があります。
ログイン中のユーザーがデータ・オブジェクト権限を更新したことにより、データ・オブジェクトに対する権限がなくなった場合、そのエントリはグループから自動的に削除されます。
メニュー項目とグループ権限
Oracle Identity Managerを使用すると、フォームおよびメニュー項目のレベルで権限を割り当てることもできます。フォーム・レベルの権限は、Design Consoleで割り当てられ、メニュー項目レベルの権限は、管理およびユーザー・コンソールで割り当てられます。ただし、フォームまたはメニュー項目の権限を割り当てても、ユーザーにはフォームまたはメニュー項目に関連付けられているエンティティへのアクセス権が自動的に付与されません(「ユーザーの管理メニュー項目」に権限を付与する場合など)。
そのユーザーがログインすると、そのメニュー項目が表示されます。また、ユーザーを検索する場合、ある特定のグループに属するユーザーを表示するための権限が割り当てられていないと、検索結果を取得できない場合があります。この権限は、管理およびユーザー・コンソールで定義できます。ユーザーがメニュー項目またはグループ権限の割当てや削除を行うには、それに対応するメニュー項目またはグループ権限が、そのユーザーが属しているいずれかのグループに割り当てられていることが必要です。
グループ・メンバーが実行を許可されているレポートを一覧表示し、このグループに対してレポートを選択することができます。
グループのレポート権限に関連する操作を行うには、次の手順を実行します。
「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。
「グループの詳細」ページが表示されます。
追加詳細ボックスで「許可されたレポート」を選択します。
「レポート」ページが表示されます。
ユーザーに新しいレポートへのアクセス権を付与するには、「レポートの割当て」をクリックします。
「レポートの割当て」ページが表示されます。このページには、使用できるレポートの名前とタイプが表示されます。
レポートに対応するオプションを選択し、「割当て」をクリックするか、「取消」をクリックします。
「確認」ページが表示されます。
レポートを割り当てるには、「割当ての確認」をクリックします。
「レポート」ページが表示されます。
レポートを削除するには、そのレポートに対応するオプションを選択し、「削除」をクリックします。
