この章では、アイデンティティ・システム管理者の指定方法を説明します。
この章の内容は次のとおりです。
『Oracle Access Manager概要』に説明されているように、アイデンティティ・システムはユーザー、グループおよび組織アイデンティティ情報を管理します。アイデンティティ・システムの管理には、データの管理、パフォーマンスの向上およびアイデンティティ・システム・アプリケーションの外観と機能の制御に役立つように設計された様々なタスクが関係します。これらのタスクの詳細は、「グローバル設定の構成」を参照してください。アイデンティティ・システムの管理の職責は、マスター管理者とマスター・アイデンティティ管理者で分担します。
マスター管理者: 製品の設定時に少なくとも1人のマスター管理者が指定されます。マスター管理者は、最上位レベルの管理者です。この管理者は、他のマスター管理者およびマスター・アイデンティティ管理者を指定できます。
マスター・アイデンティティ管理者: マスター・アイデンティティ管理者は、委任アイデンティティ管理者と呼ばれる管理者に特定の職責を委任できます。
委任アイデンティティ管理者: 委任アイデンティティ管理者は、マスター・アイデンティティ管理者によって割り当てられ、ユーザー・マネージャで作成されます。
アイデンティティ・システム管理者のタイプおよびその権限の説明は、表2-1を参照してください。
表2-1 アイデンティティ・システム管理者のタイプ
管理者 | 管理者の指定 | 実行するタスク |
---|---|---|
Oracle Access Managerのインストール時に割り当てられます。 |
||
マスター管理者によって割り当てられます。 |
|
|
マスター・アイデンティティ管理者によって割り当てられます。 |
|
アイデンティティ・システム・コンソールを使用して、委任アイデンティティ管理者およびマスター・アイデンティティ管理者を割り当てます。前に述べたように、このタスクを実行するにはマスター管理者になっている必要があります。
マスター管理者およびマスター・アイデンティティ管理者を指定する手順
アイデンティティ・システムにマスター管理者としてログインし、アイデンティティ・システムのランディング・ページで、「アイデンティティ・システム・コンソール」リンクをクリックします。
すでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。
「システム構成」サブタブをクリックします。
「システム構成」ページが表示されます。
左側のナビゲーション・ペインで「管理者」をクリックします。
「管理者の構成」ページが表示され、「マスター・アイデンティティ管理者」と「マスター管理者」の2つのオプションが表示されます。
各タイプの管理者が実行するタスクのリストは、表2-1を参照してください。
追加する管理者のカテゴリをクリックします。
「type_of_administratorの変更」ページが表示されます。
type_of_administratorは、マスター管理者またはマスター・アイデンティティ管理者です。
「ユーザーの選択」をクリックして管理者を追加します。
この機能の使用方法は、「セレクタ」を参照してください。
ユーザーを選択し、「追加」をクリックします。
「セレクタ」ページで選択した名前が、「type of administratorの変更」ページに表示されます。type of administratorは、マスター管理者またはマスター・アイデンティティ管理者です。複数の管理者を指定できます。
「完了」をクリックして「セレクタ」ページを終了します。
「保存」をクリックして管理者を追加します。
管理者を削除すると、ユーザーから管理権限が削除されますが、ユーザーがLDAPディレクトリから削除されたり非アクティブ化されたりすることはありません。
アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックします。
「管理者」をクリックします。
「管理者の構成」ページで、削除する管理者のタイプのリンクをクリックします。
「type of administratorの変更」ページが表示されます。type of administratorは、マスター管理者またはマスター・アイデンティティ管理者です。
「ユーザーの選択」をクリックします。
削除する管理者の横の「削除」ボタンの選択を解除します。
「完了」をクリックして削除を確認します。
権限および職責を他の管理者に委任できます。委任されたタスクは、委任された権限、ターゲットおよびツリー・パスに固有です。
この項の内容は次のとおりです。
管理を委任すると、マスター管理者およびマスター・アイデンティティ管理者は、よりローカルな他の管理者に職責を委任できます。この機能は、数千人または数百万人のユーザーを管理する必要のある大規模組織で特に役立ちます。
管理を委任する場合は、別のユーザーに付与する権限を決定します。権限には、次の項目を構成する能力が含まれます。
属性の読取りアクセス権
属性の書込みアクセス権
属性変更の電子メールによる通知
検索ベースの設定
リクエストのモニタリング
ワークフローの定義
包含制限
また、自分の代替として行動する人物を指定できます。代替権限を付与されている人々は、自分が代替となる人が実行を許可されている機能を一時的に実行できます。
別のユーザーに権限を委任すると、そのユーザーが委任アイデンティティ管理者になります。管理を委任することにより、誰がどの機能をどのレベルでどのフィルタを使用して構成またはアクセスできるかを決定します。構成またはアクセス権限は、特定のユーザー、ユーザーのグループ、ロールまたはルールに対するものになります。構成またはアクセスできるリソースには、検索ベース、属性アクセス制御、ワークフロー定義などがあります。レベルは開始DNです。
必要なアプリケーションの委任手順を開始します。
付与する権限を選択します(読取り、書込みおよび通知権限の場合のみ)。
権限に関連付けられている属性を識別します。
属性のアクセス制御のレベルを指定します。これにより、権限が適用されるディレクトリ・ツリーの有効範囲を設定します。
権限を委任する人を選択します。
たとえば、マスター・アイデンティティ管理者として、「役職」属性の読取りアクセス制御を設定する能力を1人以上のユーザーに付与できます。委任アイデンティティ管理者がアクセス制御を他のユーザーに委任できるようにするかどうかを指定できます。
詳細は、「委任管理者の追加」を参照してください。
アイデンティティ・システムでは、様々なビジネス・モデルを表すディレクトリ・ツリー構造のアクセス制御の設定および管理の委任を行うことができます。これらのモデルには、エクストラネット・モデル、イントラネット・モデルおよびASPモデルが含まれます。これらのモデルについて、次の各項で説明します。
典型的な企業間エクストラネットには、1つのサイトを使用する500以上のエクストラネット組織がある場合があります。これらの組織は、顧客、パートナおよびサプライヤを表し、それぞれに1〜100人のユーザーがいます。
エクストラネット・モデルの目標は、マスター・アイデンティティ管理者が管理職責を各パートナに渡すことです。しかし、パートナの数が非常に多いため、パートナが参加するたびに新しいロールおよび職責を定義することが負担になります。したがって、ディレクトリ管理者は、既存および新規のすべての顧客に利用できるロールおよび職責の固定セットを定義する必要があります。その後でマスター・アイデンティティ管理者は、アクセス制御を定義し、すべての組織で対称的な委任管理者ポリシーを作成できます。
各パートナ・サイトの委任アイデンティティ管理者は、通常、ユーザーの作成や属性アクセス権限の変更など、適切に定義されたタスクと権限の固定セットを持つ基幹業務の人物です。委任アイデンティティ管理者は、定義済ロールのセットに人々を追加および削除することで、自身の組織内でのみ管理権限を他の人に付与できます。
たとえば、委任アイデンティティ管理者は、admin=yesの属性で新規ユーザーを作成します。図2-1に示すように、この新規ユーザーは、属性アクセス制御権限の変更、新規ユーザーの作成およびその他の適切に定義されたタスクを行う能力を継承します。
典型的なイントラネット・モデルでは、ディレクトリ・ツリーは一般に地域(北米とヨーロッパ)や職能(マーケティングとエンジニアリング)などのユーザーの論理的な区分に従って編成されます。
ディレクトリは、各OUに少数のブランチがあるのが特徴ですが、いくつかのレイヤーは深く分岐することがあります。ブランチは、それぞれ非常に異なる場合があり、各ブランチには数千人のユーザーがいる場合があります。特定のノードで、ヨーロッパ・ブランチの販売およびマーケティングに500人のユーザーがいて、北米ブランチの東部、中部および西部に10,000人のユーザーがいる場合があります。
マスター・アイデンティティ管理者は、技術的知識およびビジネス・プロセスの知識が存在する場所に応じて、管理を集中的に委任するかOUレベルで委任するかを選択できます。または、マスター・アイデンティティ管理者は、特定のタスクについて管理を委任することも選択できます。たとえば、電話番号のプロビジョニングのタスクを委任し、アクセス権限の管理または新規ユーザーの作成は委任しないことができます。
図2-2に、イントラネット・モデルを示します。
一部の企業間エクストラネット・サイトが従うモデルは、前に説明したエクストラネット・モデルよりもアプリケーション・サービス・プロバイダ(ASP)モデルに近い場合があります。
ASPモデルでは、エクストラネット・パートナの数は少なくなりますが、各パートナ・サイトのユーザー数は非常に多くなります。たとえば、パートナの数は約50で、各パートナに1,000人のユーザーがいる場合があります。
ASPは、ホストされたサービスを提供します。異なる顧客が異なるサービス・セットを必要とする場合があります。このため、アクセス権など、管理する必要のあるデータの有効範囲は、OUごとに異なる場合があります。さらに、各OUのディレクトリ構造が大幅に異なる場合があります。各OUでは、イントラネット・モデルと同様にイントラネット・ディレクトリの複雑さがすべて存在し、ツリーの構造は顧客1のOUと顧客2のOUとでまったく異なる場合があります。
ASPモデルには、イントラネット・モデルと同様の柔軟な委任モデルが必要です。ASPサイトのマスター・アイデンティティ管理者は、検索ベースの設定などの一部の上位レベル構成を実行し、エクストラネット・モデルと同様の初期委任モデルを構成します。ただし、各顧客サイトには、顧客サイトの技術的な委任アイデンティティ管理者またはASPサイトのマスター・アイデンティティ管理者がカスタマイズした委任管理モデルを作成するための柔軟性が必要です。
管理を委任すると、マスター・アイデンティティ管理者または委任アイデンティティ管理者は、職責を他のローカルな管理者にさらに委任できます。
アイデンティティ・システムにログインし、ランディング・ページで、「ユーザー・マネージャ」、「グループ・マネージャ」または「組織マネージャ」のリンクを選択します。
すでにログインしている場合は、アプリケーションのタブを選択します。
「構成」サブタブをクリックします。
「構成」ページが表示されます。
「委任管理」リンクをクリックします。
一部のブラウザでは、アプリケーションの証明書を信頼するかどうかを尋ねるプロンプトが表示されることがあります。このプロンプトが表示された場合は、「常に信頼」オプションを選択してください。
「管理の委任」ページが表示されます。
「管理ドメイン」ボックスで、この権限が適用されるDITの有効範囲を指定します。
最初は、このフィールドには設定時に定義した検索ベースが表示されます。検索ベースは、通常は最上位(企業全体)レベルで定義されます。委任された権限のレベルに応じて、最下位レベル(個々のユーザー)から中間レベル(部門、課、パートナ)を経て最上位レベル(企業全体)まで、任意のレベルでアクセス制御を指定できます。たとえば、「フルネーム」属性を選択し、販売などの部門を選択した場合は、販売部門に属するすべてのフルネームに適用されるアクセス制御を設定することになります。
選択は、「管理ドメイン」ボックスの下のフィールドに表示されます。
オプションで、「フィルタ」フィールドを使用して変数置換またはLDAPルールを指定し、選択したDITレベルをフィルタ処理できます。
詳細は、「ルールとフィルタの使用方法」を参照してください。
オプションで、「フィルタの追加」フィールドに別のフィルタを入力し、「保存」をクリックします。
新規フィルタが、前のフィルタの下のフィールドに表示されます。
「権限の付与」リストで、委任管理者に付与する権限を選択します。
読取り: 選択した属性の読取り(表示)権限の設定が許可されます。
変更: この属性の変更権限の設定が許可されます。
通知: ユーザーが属性値の変更をリクエストした場合の通知権限の設定が許可されます。
検索ベースの設定: 検索ベースの指定が許可されます。
リクエストのモニター: リクエストのモニターおよび非アクティブなユーザーの管理が許可されます。
ワークフローの定義: ワークフローの定義が許可されます。
代替権限: 他の人々を自分の代替として指定できます。
新しい管理者に、この権限を他の管理者にさらに委任する権限を付与するには、「権限の委任」チェック・ボックスを選択します。
注意: 委任を選択しても、権限付与権限は自動的には割り当てられません。委任権限と権限付与権限は別々に定義する必要があります。 |
「属性」ボックスで、権限に関連付ける属性を選択します。
次の1つ以上の方法で1つ以上の権限を割り当てる受託者を選択します。
ルール: 「フィルタの作成」をクリックし、クエリー・ビルダーを使用してルールを作成します。詳細は、「クエリー・ビルダーを使用したLDAPフィルタの記述」を参照してください。
人: 「ユーザーの選択」をクリックし、セレクタを使用して1人以上のユーザーを指定します。
グループ: 「グループの選択」をクリックし、セレクタを使用して1つ以上のグループを指定します。
「ルール」、「人」、「グループ」の各フィールドにはリレーションシップがあります。これらのフィールドのいずれかで指定されたユーザーに権限が割り当てられます。
「コピー」および「貼付け」ボタンを使用して、ある属性から別の属性にユーザーおよびグループをコピーします。
「コピー」、「リセット」の順にクリックし、別の属性を選択して「貼付け」をクリックします。ユーザーとグループが、対応する個々のボックスに表示されます。
次のいずれかのボタンをクリックします。
保存: 変更を保存し、実装します。
リセット: すべての選択を消去します。
削除: すべてのルール、グループおよびユーザー指定を消去します。
レポート: すべての属性のレポートおよびドメインでのそれらのアクセス権を生成します。
アイデンティティ・システム管理者として、代替権限を付与した場合は、自身の権限を一時的に取得する他の人を指定できます。代替ユーザーは、アイデンティティ・システムにログインした後で、自分が代替する人のアイデンティティを取得できます。代替ユーザーが「アイデンティティ」ページを表示すると、その人の情報ではなく代替する人物の情報が表示されます。
代替権限を割り当てることで、自分のアイデンティティを他の人が一時的に取得することができます。たとえば、自分が委任アイデンティティ管理者であるとします。休暇に入る前に、代替権限をJ. Smithに割り当てます。J. Smithは、ログイン時に委任アイデンティティ管理者のアイデンティティを取得します。後でJ. Smithは、自分の仕事をするときに、委任された権限を元に戻します。アイデンティティを取得している間は代替ユーザーが委任アイデンティティ管理者のように見えますが、アイデンティティ・システムは代替ユーザーのアイデンティティと委任アイデンティティ管理者のアイデンティティの両方のアクティビティをすべてログに記録します。すべてのログおよびアラームには、両方のアイデンティティを使用して重複エントリが表示されます。
アイデンティティ・システムのランディング・ページで、ログインし、「ユーザー・マネージャ」のリンクを選択します。
すでにログインしている場合は、「ユーザー・マネージャ」タブをクリックします。
「代替権限」リンクをクリックします。
代替権限ページが表示されます。
代替権限を付与されている場合は、このページに「ユーザーの選択」ボタンが表示されます。自分の代替とする人を指定した場合は、指定した人々が「代替」フィールドにリストされます。このページには、自分を代替として指定した人々のリストを表示する代替フィールドもあります。リストに誰も表示されていない場合は、誰からも代替として指定されていません。
代替権限を付与していると想定して、「ユーザーの選択」をクリックします。
「セレクタ」ページが表示されます。詳細は、「セレクタ」を参照してください。
ユーザーを選択し、「追加」をクリックします。
ユーザーが「選択」リストに追加されます。
ユーザーを選択し、「削除」をクリックしてユーザーを削除します。
ユーザーが「選択」リストから削除されます。
「完了」をクリックして「セレクタ」ページを終了します。
「保存」をクリックして変更を保存します。
アイデンティティ・システムのランディング・ページで、ログインし、「ユーザー・マネージャ」のリンクを選択します。
すでにログインしている場合は、「ユーザー・マネージャ」タブをクリックします。
「代替権限」をクリックします。
このページの「ユーザーの代替」セクションで、権限を取得するユーザーを選択します。
自分がこのユーザーから代替としてすでに割り当てられている必要があります。
「権限の取得」を選択し、「保存」をクリックします。
「ユーザー・マネージャ」から、「代替権限」を選択します。
「元に戻す」を選択します。
アイデンティティ・システム・アプリケーションのスタイルの構成、アイデンティティ・システムの複数言語の構成、アイデンティティ・サーバーおよびWebパスの構成と管理、およびアイデンティティ・システムのパスワード・ポリシーとAccess Manager SDKの構成の詳細は、「グローバル設定の構成」を参照してください。