Sun ONE Identity Server 6.1 管理ガイド |
第 2 章
アイデンティティ (識別情報) 管理この章では、SunTM ONE Identity Server のアイデンティティ管理機能について説明します。アイデンティティ管理モジュールインタフェースでは、すべての Identity Server オブジェクトおよびアイデンティティを表示、管理、および設定する方法を提供します。この章は、次の節で構成されています。
アイデンティティ管理インタフェースIdentity Server グラフィカルユーザーインタフェースには、基本的なビューが 2 つあります。ログインしているユーザーのロールによって、アイデンティティ管理ビューまたはユーザープロファイルビューにアクセスできます。
アイデンティティ管理ビュー
管理者のロールを持つユーザーが Identity Server に認証されると、デフォルトのビューはアイデンティティ管理ビューになります。このビューでは、管理者は管理タスクを実行できます。管理者のロールに応じて実行できる管理タスクには、オブジェクト (ユーザー、組織、ポリシーなど) の作成、削除、管理、およびサービスの設定が含まれます。
図 2-1 組織プロパティの表示されたアイデンティティ管理ビュー
ユーザープロファイルビュー
管理者のロールを割り当てられていないユーザーが Identity Server に認証されると、デフォルトのビューは各自のユーザープロファイルになります。このビューでは、各自の個人プロファイルに固有の属性値を修正できます。これには名前、ホームアドレス、パスワード以外にも、さまざまな属性が含まれます。ユーザープロファイルビューに表示される属性は拡張できます。オブジェクトおよびアイデンティティのカスタマイズした属性を追加するには、『Sun ONE Identity Server Customization and API Guide』を参照してください。
図 2-2 ユーザープロファイルビュー
Identity Server オブジェクトの管理ユーザー管理インタフェースには、Identity Server オブジェクト (組織、グループ、ユーザー、サービス、ロール、ポリシー) の表示および管理に必要なすべてのコンポーネントが含まれています。この節では、オブジェクトタイプと、それらを設定する方法の詳細について説明します。
プロパティ機能
エントリのプロパティを表示または修正するには、オブジェクト名の隣にある「プロパティ」の矢印をクリックします。属性とその値がデータフレームに表示されます。オブジェクトが異なると表示されるプロパティも異なります。
エントリのプロパティを拡張する詳細については、『Sun ONE Identity Server Customization and API Guide』を参照してください。
組織
このオブジェクトは、企業が部門とリソースの管理に使用する最上位レベルの階層構造を表します。インストール時に、Identity Server は最上位レベルの組織 (インストール時に定義) をダイナミックに作成して、Identity Server の企業構成を管理します。インストール後に組織を追加作成して、企業を個別に管理できます。作成した組織はすべて、最上位レベルの組織の下に入ります。
組織の作成
- アイデンティティ (識別情報) 管理モジュールの「表示」メニューから、「組織」を選択します。
- ナビゲーションフレームで「新規」をクリックします。
「新規組織」テンプレートがデータフレームに表示されます。
- 「新規組織」テンプレートに組織の名前の値を入力します。
- 「有効」または「無効」の状態を選択します。
デフォルトは「有効」です。これは、その組織の存続期間中であればいつでも、「プロパティ」アイコンを選択して変更できます。「無効」を選択すると、その組織へのログイン中にユーザーアクセスが無効になります。
- 必要に応じて、オプションのフィールドに値を入力します。オプションのフィールドは次のとおりです。
「組織のエイリアス」: このフィールドでは、組織のエイリアス名を指定します。URL ログインで、認証にエイリアスを使用できるようになります。たとえば exampleorg という組織があり、エイリアスとして 123 および abc を指定すると、次の URL を使用して組織にログインできます。
http://machine.example.com/UI/Login?org=exampleorg
http://machine.example.com/UI/Login?org=abc
http://machine.example.com/UI/Login?org=123
「ドメイン名」: ドメインネームシステム (DNS) を使用している場合、DNS の完全な名前を入力します。
「DNS エイリアス名」: 組織の DNS 名に、エイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用できません。たとえば example.com という DNS があり、exampleorg という組織のエイリアスとして example1.com および example2.com を指定すると、次の URL を使用して組織にログインできます。
http://machine.example.com/UI/Login?org=exampleorg
http://machine.example1.com/UI/Login?=org=exampleorg
http://machine.example2.com/UI/Login?org=exampleorg
「一意の属性リスト」: 組織内のユーザー用の一意の属性名リストを追加できます。たとえば、電子メールアドレスを指定する一意の属性名を追加した場合、同一の電子メールアドレスを持つ 2 人のユーザーを作成することができなくなります。このフィールドには、カンマ区切りのリストも指定できます。リスト内の属性名は、どれも一意性を定義します。たとえば、このフィールドに次の属性名リストが指定されたとします。
PreferredDomain, AssociatedDomain
また、特定のユーザーに対して、PreferredDomain は http://www.example.com と定義されています。この場合、カンマ区切りのリスト全体が、その URL に関して一意であると定義されます。
すべてのサブ組織で一意性が要求されます。
- 「作成」をクリックします。
新しい組織がナビゲーションフレームに表示されます。
組織の削除
ポリシーへの組織の追加
Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。
グループ
グループは、共通の機能、特徴、または関心事を持つユーザーの集まりを表します。通常、このグループには関連付けられた権限はありません。グループは、組織内、およびサブグループとして管理されているほかのグループ内という、2 つのレベルに存在できます。スタティックまたはダイナミックに (フィルタを適用して) 管理されているグループに、ユーザーを追加できます。
加入によるメンバーシップ
加入によるグループメンバーシップを指定すると、指定した管理されているグループタイプを基に、スタティックなグループが作成されます。管理されているグループタイプの値が static (スタティック) の場合は、groupOfNames または groupOfUniqueNames オブジェクトクラスを使用して、グループメンバーがグループエントリに追加されます。管理されているグループタイプの値が dynamic (ダイナミック) の場合は、LDAP フィルタを使用して、memberof 属性を含むユーザーエントリだけを検索して返します。詳細は、「管理されているグループタイプ」を参照してください。
フィルタによるメンバーシップ
フィルタを適用したグループは、LDAP フィルタを使用して作成したダイナミックグループです。エントリはすべてフィルタを通してまとめられ、グループにダイナミックに割り当てられます。フィルタはエントリの属性を検索して、その属性を含むエントリを返します。たとえば、建物番号に基づいてグループを作成する場合、フィルタを使用すると建物番号属性を含むすべてのユーザーの一覧を返します。
管理グループの作成
管理グループの削除
ポリシーへのグループの追加
Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。
ユーザー
ユーザーは、個人のアイデンティティを表します。Identity Server のアイデンティティ管理モジュールを使用して、組織、コンテナ、およびグループに対するユーザーの作成と削除、ロールやグループに対するユーザーの追加と削除、およびユーザーへのサービスの割り当てが可能です。
ユーザーの作成
- ユーザーを作成する組織、コンテナ、またはピープルコンテナに移動します。または、ユーザー作成ページからピープルコンテナを選択します。
- 「表示」メニューから「ユーザー」を選択します。
- 「新規」をクリックします。
「新規ユーザー」ページがデータフレームに表示されます。
- 必要な属性とオプションフィールドの値を入力します。
ユーザープロファイルの属性については、「ユーザー属性」を参照してください。
- 「作成」をクリックします。
ロールおよびグループへのユーザーの追加
ユーザーへのサービスの追加
ユーザーの削除
ポリシーへのユーザーの追加
Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。
サービス
組織またはコンテナのサービスを有効にするには、2 つの手順の処理が必要です。コンテナは組織と同様の振る舞いをします。最初の手順で、サービスを組織に登録する必要があります。サービスの登録後に、その組織用に特別に構成したテンプレートを作成する必要があります。詳細は、第 3 章「サービス設定」を参照してください。
注
新しいサービスは、まずコマンド行の amadmin を使用して Identity Server にインポートする必要があります。サービスの XML スキーマのインポートについては、『Sun ONE Identity Server Customization and API Guide』を参照してください。
サービスの登録
サービス用のテンプレートの作成
- 登録したサービスがある組織またはロールに移動します。
アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。
- 「表示」メニューから「サービス」を選択します。
- 有効にするサービス名の横にあるプロパティアイコンをクリックします。
データフレームに、「このサービスに利用可能なテンプレートはありません。新規に作成しますか?」というメッセージが表示されます。
- 「作成」をクリックします。
このサービス用のテンプレートが親の組織またはロール用に作成されます。このサービスのデフォルト属性と値がデータフレームに表示されます。デフォルトサービスの属性については、「属性リファレンスガイド」で説明しています。
- デフォルト値を受け入れるか、または変更して、「保存」をクリックします。
サービスの登録の解除
ロール
ロールとは、グループの概念に似た、Directory Server の 1 つのエントリメカニズムです。グループにはメンバーがあるように、ロールにもメンバーがあります。ロールのメンバーは、ロールを持つ LDAP エントリです。ロール自体の基準は、LDAP エントリの属性で定義されます。このエントリは、エントリの識別名 (DN) 属性で特定されます。Directory Server にはさまざまなタイプのロールがありますが、Identity Server で管理できるのは、管理ロールだけです。
注
そのほかの Directory Server ロールタイプもディレクトリの配備で使用できますが、Identity Server コンソールで管理することはできません。ポリシーのサブジェクト定義に他の Directory Server タイプを使用することもできます。ポリシーサブジェクトについての詳細は、「ポリシー管理」を参照してください。
ユーザーには 1 つ以上のロールを持たせることができます。たとえば、セッションサービスと URL ポリシーエージェントサービスの属性を持つコントラクタロールを作成できます。管理者はコントラクタエントリの別の属性を設定しなくても、新しいコントラクタが開始すると、コントラクタにこのロールを割り当てることができます。コントラクタがフルタイムの従業員になると、管理者はこのユーザーに別のロールを割り当て直すことになります。
Identity Server では、ロールを使用して、アクセス制御の命令を適用します。Identity Server を初めてインストールしたときに、管理者アクセス権を定義するアクセス制御命令 (ACI) が定義されます。次にこれらの ACI をロール (組織管理者ロール、組織ヘルプデスク管理者ロールなど) に割り当てます。このロールをユーザーに割り当てると、ユーザーのアクセス権限が定義されます。
ユーザーは、管理サービスで「ユーザーのロールを表示」属性が有効である場合だけ、割り当てられたロールを確認できます。詳細は、「ユーザーのロールを表示」を参照してください。
グループ同様に、ロールもフィルタで作成することも、スタティックに作成することもできます。
「フィルタされたロール」: フィルタを適用したロールは、LDAP フィルタを使用して作成したダイナミックロールです。ユーザーはすべてフィルタを通してまとめられ、ロールの作成時にそのロールに割り当てられます。フィルタはエントリの属性と値のペア (ca=user* など) を検索して、その属性を含むユーザーをロールに自動的に割り当てます。
「スタティックロール」: フィルタされたロールとは対照的に、スタティックロールはユーザーをロールの作成時に追加しなくても作成できます。これにより、特定のユーザーを指定されたロールに追加するときの制御がより細かくできます。
フィルタされたロールの作成
- ナビゲーションフレームで、ロールを作成する組織に移動します。
- 「表示」メニューから「ロール」を選択します。
組織の構成時にデフォルトのロールが作成され、ナビゲーションフレームに表示されます。
これらのロールについては、「属性リファレンス」の節の「ダイナミック管理者ロール ACI」を参照してください。
- ナビゲーションフレームで「新規」をクリックします。「新規ロール」テンプレートがデータフレームに表示されます。
- 「フィルタされたロール」を選択し、名前を入力します。「次へ」をクリックします。
- ロールの詳細を入力します。
- 「タイプ」メニューからロールのタイプを選択します。
ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、DIT でどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。
- 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
これは、組織内のエントリにアクセスする権限です。「デフォルトロールアクセス権 (ACI)」の節を参照してください。ここで示すデフォルトの権限は順不同です。
一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。
- 検索条件を入力します。フィールドは次のとおりです。
「論理演算子」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。AND は、指定したすべてのフィールドに一致するユーザーを返します。OR は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。
「ユーザー ID」: ユーザー ID でユーザーを検索します。
「ファーストネーム」: 名 (ファーストネーム) でユーザーを検索します。
「ラストネーム」: 姓 (ラストネーム) でユーザーを検索します。
「フルネーム」: フルネームでユーザーを検索します。
「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。
「高度」ボタンを選択すると、フィルタ属性自体を定義できます。例を示します。
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
フィルタを空白のままにすると (デフォルト)、次のロールが作成されます。
(objectclass = inetorgperson)
「リセット」をクリックするとフィルタのプロパティを消去できます。また「キャンセル」をクリックすると、ロールの作成処理をキャンセルできます。
- 「作成」をクリックして、フィルタ条件を基に、検索を開始します。そのフィルタ条件で定義されたユーザーがロールに自動的に割り当てられます。
スタティックロールの作成
これらのロールについては、「属性リファレンス」の節の「ダイナミック管理者ロール ACI」を参照してください。
- ナビゲーションフレームで「新規」をクリックします。「新規ロール」テンプレートがデータフレームに表示されます。
- 「スタティックロール」を選択し、名前を入力します。「次へ」をクリックします。
- ロールの詳細を入力します。
- 「タイプ」メニューからロールのタイプを選択します。
ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、DIT でどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。
- 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
これは、組織内のエントリにアクセスする権限です。「デフォルトロールアクセス権 (ACI)」の節を参照してください。ここで示すデフォルトの権限は順不同です。
一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。
- 「作成」をクリックします。
作成されたロールがナビゲーションフレームに表示され、ロールのステータス情報がデータフレームに表示されます。
ロールで利用可能なサービスは、そのロールの親組織から継承されます。ロールのサービステンプレートが存在しない場合は、「編集」リンクをクリックして作成できます。サービステンプレートが存在する場合は、サービスのプロパティが表示され、設定できます。詳細は、「ロールへのサービスのカスタマイズ」を参照してください。
スタティックロールへのユーザーの追加
- 修正するロールを選択し、「プロパティ」の矢印をクリックします。
- データフレームの「表示」メニューから「ユーザー」を選択します。
- 「追加」をクリックします。
- 検索条件を入力します。表示される 1 つ以上のフィールドを基に、ユーザーの検索方法を選択できます。フィールドは次のとおりです。
「論理演算子」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。AND は、指定したすべてのフィールドに一致するユーザーを返します。OR は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。
「ユーザー ID」: ユーザー ID でユーザーを検索します。
「ファーストネーム」: 名 (ファーストネーム) でユーザーを検索します。
「ラストネーム」: 姓 (ラストネーム) でユーザーを検索します。
「フルネーム」: フルネームでユーザーを検索します。
「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。
「ユーザー検索属性」: 検索で返される値を指定できます。
- 「フィルタ」をクリックすると、検索が始まります。
- ユーザー名の横にあるチェックボックスを選択して、返された名前の中からユーザーを選択します。
- 「保存」をクリックします。
これで、ユーザーがロールに割り当てられます。
ロールからのユーザーの削除
ポリシーへのロールの追加
Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。
ロールへのサービスのカスタマイズ
ロールで利用可能なサービス、およびそのサービス属性に対するアクセスレベルをロール単位でカスタマイズできます。「一般」表示を使用すると、管理者はサービスおよびユーザーページをカスタマイズし、特定のサービスへのアクセスだけが可能なサービス管理者を作成できます。たとえば、管理者は指定されたロールで、ユーザーサービスの 1 つ以上の属性に対して書き込みアクセスを拒否することができます。そして、このロールを持つユーザーは、そのような属性を変更することができなくなります。ポリシー管理者ロールを作成するには、すべてのポリシーサービスへのアクセスを付与し、その他のサービスへのアクセスを拒否します。すると、ポリシー管理者ロールを持つ管理者は、ポリシーを作成および割り当てできるようになりますが、ユーザー管理タスクを実行することは拒否されます。
サービスを表示するには、サービスを組織レベルで登録する必要があります。ロールに追加されたユーザーは、ロールのサービス属性を継承します。
サービスアクセスのカスタマイズ
- 変更するロールの「プロパティ」の矢印をクリックします。
- 「表示」メニューから「一般」を選択します。
- 「ロールプロパティ」ページで、「サービス」のリストで「編集」をクリックします。
図 2-3 に示すようなサービスアクセスページが表示されます。
- 「表示」列でサービス名をクリックすることで、ロールに付与するサービスを選択します。デフォルトで、ロールはすべてのサービスへアクセスできます。
- 「保存」をクリックします。
注
サービスへのアクセスを拒否すると (選択されていない場合)、サービスはこのロールを持つユーザーの Identity Server コンソールに表示されません。さらに、ユーザーの登録または登録解除、ユーザーへのサービスの割り当て、またはサービステンプレートの作成、削除、表示、修正ができなくなります。
図 2-3 サービスアクセスページ
属性アクセスのカスタマイズ
- 「ロールプロパティ」ページで、「サービス属性」のリストの「編集」をクリックします。図 2-4 に示すような属性アクセスページが表示されます。
- 「ジャンプ先」メニューを使用して、特定のサービスの属性を表示します。
- 「読み取り/書き込み」または「読み取り専用」チェックボックスを選択し、その属性へのアクセスレベルを割り当てます。
- 「保存」をクリックします。
図 2-4 属性アクセスページ
特定のサービスの属性の詳細については、このマニュアルの第 3 部「属性リファレンスガイド」を参照してください。
ロールの削除
ポリシー
ポリシーでは、組織の Web リソースを保護するためのルールを定義します。ポリシーの作成、修正、削除はアイデンティティ管理モジュールを使用して実行しますが、「ポリシー管理」で説明しています。
コンテナ
コンテナエントリは、オブジェクトクラスおよび属性が異なるため、組織エントリが使用できない場合に使用します。Identity Server コンテナエントリと Identity Server 組織エントリは、必ずしも LDAP オブジェクトクラス organizationalUnit および organization と同等とはかぎらないことに留意してください。これらは抽象アイデンティティエントリです。可能であれば、コンテナエントリではなく組織エントリを使用します。
注
コンテナの表示は必要に応じて行います。コンテナを表示するには、Identity Server 管理サービスで「メニューにコンテナを表示」を選択します。詳細は、「メニューにコンテナを表示」を参照してください。
コンテナの作成
コンテナの削除
ピープルコンテナ
ピープルコンテナはデフォルトの LDAP 組織単位です。ユーザーはすべて、組織内で作成されるときにその組織単位に割り当てられます。ピープルコンテナは組織レベルにあり、サブピープルコンテナとしてピープルコンテナレベルにあります。ピープルコンテナにはほかのピープルコンテナとユーザーだけを含めることができます。必要に応じて、ピープルコンテナを組織に追加することができます。
注
ピープルコンテナの表示は必要に応じて行います。ピープルコンテナを表示するには、Identity Server 管理サービスで「ピープルコンテナを表示」を選択します。詳細は、「ピープルコンテナを表示」を参照してください。
ピープルコンテナの作成
ピープルコンテナの削除
グループコンテナ
グループコンテナを使用してグループを管理します。グループコンテナにはグループとほかのグループコンテナだけを含めることができます。グループコンテナの「グループ」は、すべての管理されているグループの親エントリとしてダイナミックに割り当てられます。必要に応じて、グループコンテナを追加することができます。
注
グループコンテナの表示は必要に応じて行います。グループコンテナを表示するには、Identity Server 管理サービスで「グループコンテナを表示」を選択します。詳細は、「グループコンテナを表示」を参照してください。
グループコンテナの作成
グループコンテナの削除