Sun ロゴ      前へ      目次      索引      次へ     

Sun ONE Identity Server 6.1 管理ガイド

第 2 章
アイデンティティ (識別情報) 管理

この章では、SunTM ONE Identity Server のアイデンティティ管理機能について説明します。アイデンティティ管理モジュールインタフェースでは、すべての Identity Server オブジェクトおよびアイデンティティを表示、管理、および設定する方法を提供します。この章は、次の節で構成されています。

アイデンティティ管理インタフェース

Identity Server グラフィカルユーザーインタフェースには、基本的なビューが 2 つあります。ログインしているユーザーのロールによって、アイデンティティ管理ビューまたはユーザープロファイルビューにアクセスできます。

アイデンティティ管理ビュー

管理者のロールを持つユーザーが Identity Server に認証されると、デフォルトのビューはアイデンティティ管理ビューになります。このビューでは、管理者は管理タスクを実行できます。管理者のロールに応じて実行できる管理タスクには、オブジェクト (ユーザー、組織、ポリシーなど) の作成、削除、管理、およびサービスの設定が含まれます。

図 2-1 組織プロパティの表示されたアイデンティティ管理ビュー

Identity Server コンソール - 組織プロパティの表示されたアイデンティティ管理ビュー

ユーザープロファイルビュー

管理者のロールを割り当てられていないユーザーが Identity Server に認証されると、デフォルトのビューは各自のユーザープロファイルになります。このビューでは、各自の個人プロファイルに固有の属性値を修正できます。これには名前、ホームアドレス、パスワード以外にも、さまざまな属性が含まれます。ユーザープロファイルビューに表示される属性は拡張できます。オブジェクトおよびアイデンティティのカスタマイズした属性を追加するには、『Sun ONE Identity Server Customization and API Guide』を参照してください。

図 2-2 ユーザープロファイルビュー

Identity Server コンソール - ユーザープロファイルビュー

Identity Server オブジェクトの管理

ユーザー管理インタフェースには、Identity Server オブジェクト (組織、グループ、ユーザー、サービス、ロール、ポリシー) の表示および管理に必要なすべてのコンポーネントが含まれています。この節では、オブジェクトタイプと、それらを設定する方法の詳細について説明します。

プロパティ機能

エントリのプロパティを表示または修正するには、オブジェクト名の隣にある「プロパティ」の矢印をクリックします。属性とその値がデータフレームに表示されます。オブジェクトが異なると表示されるプロパティも異なります。

エントリのプロパティを拡張する詳細については、『Sun ONE Identity Server Customization and API Guide』を参照してください。

組織

このオブジェクトは、企業が部門とリソースの管理に使用する最上位レベルの階層構造を表します。インストール時に、Identity Server は最上位レベルの組織 (インストール時に定義) をダイナミックに作成して、Identity Server の企業構成を管理します。インストール後に組織を追加作成して、企業を個別に管理できます。作成した組織はすべて、最上位レベルの組織の下に入ります。

組織の作成

  1. アイデンティティ (識別情報) 管理モジュールの「表示」メニューから、「組織」を選択します。
  2. ナビゲーションフレームで「新規」をクリックします。

    3. 「新規組織」テンプレートがデータフレームに表示されます。

  3. 「新規組織」テンプレートに組織の名前の値を入力します。
  4. 「有効」または「無効」の状態を選択します。

    5. デフォルトは「有効」です。これは、その組織の存続期間中であればいつでも、「プロパティ」アイコンを選択して変更できます。「無効」を選択すると、その組織へのログイン中にユーザーアクセスが無効になります。

  5. 必要に応じて、オプションのフィールドに値を入力します。オプションのフィールドは次のとおりです。

    6. 「組織のエイリアス」: このフィールドでは、組織のエイリアス名を指定します。URL ログインで、認証にエイリアスを使用できるようになります。たとえば exampleorg という組織があり、エイリアスとして 123 および abc を指定すると、次の URL を使用して組織にログインできます。

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example.com/UI/Login?org=abc

    http://machine.example.com/UI/Login?org=123

    「ドメイン名」: ドメインネームシステム (DNS) を使用している場合、DNS の完全な名前を入力します。

    「DNS エイリアス名」: 組織の DNS 名に、エイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用できません。たとえば example.com という DNS があり、exampleorg という組織のエイリアスとして example1.com および example2.com を指定すると、次の URL を使用して組織にログインできます。

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example1.com/UI/Login?=org=exampleorg

    http://machine.example2.com/UI/Login?org=exampleorg

    「一意の属性リスト」: 組織内のユーザー用の一意の属性名リストを追加できます。たとえば、電子メールアドレスを指定する一意の属性名を追加した場合、同一の電子メールアドレスを持つ 2 人のユーザーを作成することができなくなります。このフィールドには、カンマ区切りのリストも指定できます。リスト内の属性名は、どれも一意性を定義します。たとえば、このフィールドに次の属性名リストが指定されたとします。

    PreferredDomain, AssociatedDomain

    また、特定のユーザーに対して、PreferredDomainhttp://www.example.com と定義されています。この場合、カンマ区切りのリスト全体が、その URL に関して一意であると定義されます。

    すべてのサブ組織で一意性が要求されます。

  6. 「作成」をクリックします。

    7. 新しい組織がナビゲーションフレームに表示されます。

組織の削除

  1. アイデンティティ管理で、「表示」メニューから「組織」を選択します。

    2. 作成されたすべての組織が表示されます。特定の組織を表示するには、検索文字列を入力して「フィルタ」をクリックします。

  2. 削除する組織名の横にあるチェックボックスを選択します。
  3. 「削除」をクリックします。

    		4.

    削除を実行するときに警告メッセージは表示されません。組織内のエントリがすべて削除されます。この操作を元に戻すことはできません。

ポリシーへの組織の追加

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。

グループ

グループは、共通の機能、特徴、または関心事を持つユーザーの集まりを表します。通常、このグループには関連付けられた権限はありません。グループは、組織内、およびサブグループとして管理されているほかのグループ内という、2 つのレベルに存在できます。スタティックまたはダイナミックに (フィルタを適用して) 管理されているグループに、ユーザーを追加できます。

加入によるメンバーシップ

加入によるグループメンバーシップを指定すると、指定した管理されているグループタイプを基に、スタティックなグループが作成されます。管理されているグループタイプの値が static (スタティック) の場合は、groupOfNames または groupOfUniqueNames オブジェクトクラスを使用して、グループメンバーがグループエントリに追加されます。管理されているグループタイプの値が dynamic (ダイナミック) の場合は、LDAP フィルタを使用して、memberof 属性を含むユーザーエントリだけを検索して返します。詳細は、「管理されているグループタイプ」を参照してください。

フィルタによるメンバーシップ

フィルタを適用したグループは、LDAP フィルタを使用して作成したダイナミックグループです。エントリはすべてフィルタを通してまとめられ、グループにダイナミックに割り当てられます。フィルタはエントリの属性を検索して、その属性を含むエントリを返します。たとえば、建物番号に基づいてグループを作成する場合、フィルタを使用すると建物番号属性を含むすべてのユーザーの一覧を返します。

管理されているグループタイプのデフォルトは dynamic です。このデフォルトは、管理サービス設定で変更できます。

管理グループの作成

  1. グループを作成する組織またはグループに移動します。
  2. 「表示」メニューから「グループ」を選択します。
  3. 「新規」をクリックします。
  4. データフレーム内からグループタイプを選択します。

    5. スタティックな加入グループを作成する場合は、「加入によるメンバーシップ」を選択します。

    1. 「名前」フィールドにグループの名前を入力します。「次へ」をクリックします。
    2. 「ユーザーのグループ加入を有効」属性を選択すると、ユーザーが自分でそのグループに加入できるようになります。
    3. 「メンバーリスト」で「追加」を選択して、ユーザーをグループに追加します。
    4. 検索条件を入力し、「フィルタ」をクリックします。ユーザーの一覧が返ってきたら、追加したいユーザーを選択して「送信」をクリックします。グループへのユーザーの追加は必要に応じて行います。ユーザーはグループの作成後に追加できます。
    5. 「作成」をクリックします。

      ダイナミックな (LDAP フィルタを適用した) グループを作成する場合は、「フィルタによるメンバーシップ」を選択します。

    1. 「名前」フィールドにグループの名前を入力します。「次へ」をクリックします。
    2. LDAP 検索フィルタを作成します。
    3. フィルタの作成に使用するフィールドでは、OR または AND 演算子を使用します。UI にあるすべてのフィールドを使用します。フィールドを空白のままにすると、そのフィールドはその特定の属性に対して可能なすべてのエントリと一致します。
    4. 「作成」をクリックします。

管理グループの削除

  1. グループが存在する組織に移動します。
  2. 「表示」メニューから「グループ」を選択します。
  3. 削除するグループ名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    Identity Server と Directory Server は、参照整合性プラグインを使用するように設定されている必要があります。参照整合性プラグインが有効になっているときは、削除や名前の変更を行った直後に、指定された属性について整合性更新が実行されます。これにより、関連するエントリどうしの関係がデータベース全体で維持されます。Directory Server では、データベースインデックスによって検索パフォーマンスが向上します。このプラグインを有効にする方法の詳細は、『Sun ONE Identity Server Migration Guide』を参照してください。

ポリシーへのグループの追加

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。

ユーザー

ユーザーは、個人のアイデンティティを表します。Identity Server のアイデンティティ管理モジュールを使用して、組織、コンテナ、およびグループに対するユーザーの作成と削除、ロールやグループに対するユーザーの追加と削除、およびユーザーへのサービスの割り当てが可能です。

ユーザーの作成

  1. ユーザーを作成する組織、コンテナ、またはピープルコンテナに移動します。または、ユーザー作成ページからピープルコンテナを選択します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. 「新規」をクリックします。

    4. 「新規ユーザー」ページがデータフレームに表示されます。

  4. 必要な属性とオプションフィールドの値を入力します。

    5. ユーザープロファイルの属性については、「ユーザー属性」を参照してください。

  5. 「作成」をクリックします。

ロールおよびグループへのユーザーの追加

  1. ユーザーを修正する組織に移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. ナビゲーションフレームで、修正するユーザーを選択し、「プロパティ」の矢印をクリックします。
  4. データフレームの「表示」メニューから、「ロール」または「グループ」を選択します。

    5. 「ユーザー」表示では、ユーザーサービスを定義した属性をどれでも修正できます。

  5. ユーザーを追加するロールまたはグループを選択し、「保存」をクリックします。フィルタを適用したロールやグループは表示されません。

ユーザーへのサービスの追加

  1. ユーザーを修正する組織に移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. ナビゲーションフレームで、修正するユーザーを選択し、「プロパティ」の矢印をクリックします。
  4. データフレームの「表示」メニューから「サービス」を選択します。
  5. 「追加」をクリックし、ユーザーに割り当てるサービスを選択します。
  6. 「保存」をクリックします。

ユーザーの削除

  1. ユーザーの存在する組織に移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. 削除するユーザー名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

ポリシーへのユーザーの追加

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。

サービス

組織またはコンテナのサービスを有効にするには、2 つの手順の処理が必要です。コンテナは組織と同様の振る舞いをします。最初の手順で、サービスを組織に登録する必要があります。サービスの登録後に、その組織用に特別に構成したテンプレートを作成する必要があります。詳細は、第 3 章「サービス設定」を参照してください。

新しいサービスは、まずコマンド行の amadmin を使用して Identity Server にインポートする必要があります。サービスの XML スキーマのインポートについては、『Sun ONE Identity Server Customization and API Guide』を参照してください。

サービスの登録

  1. サービスを追加する組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。デフォルトの最上位組織と選択した組織がロケーションパスに表示されます。

  2. 「表示」メニューから「サービス」を選択します。
  3. 「登録」をクリックします。

    4. この組織に登録可能なサービスのリストがデータフレームに表示されます。

  4. 追加するサービスの横にあるチェックボックスを選択します。
  5. 「登録」をクリックします。登録済みのサービスがナビゲーションフレームに表示されます。

    		6.

    最上位組織に登録されているサービスだけがロールレベルで表示されます。

サービス用のテンプレートの作成

  1. 登録したサービスがある組織またはロールに移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。

  2. 「表示」メニューから「サービス」を選択します。
  3. 有効にするサービス名の横にあるプロパティアイコンをクリックします。

    4. データフレームに、「このサービスに利用可能なテンプレートはありません。新規に作成しますか?」というメッセージが表示されます。

  4. 「作成」をクリックします。

    5. このサービス用のテンプレートが親の組織またはロール用に作成されます。このサービスのデフォルト属性と値がデータフレームに表示されます。デフォルトサービスの属性については、「属性リファレンスガイド」で説明しています。

  5. デフォルト値を受け入れるか、または変更して、「保存」をクリックします。

サービスの登録の解除

  1. サービスを削除する組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。

  2. 「表示」メニューから「サービス」を選択します。
  3. 削除するサービスのチェックボックスを選択します。
  4. 「登録解除」をクリックします。

    		5.

    サービスがサブ組織のレベルで登録されている場合は、親組織のレベルでそのサービスの登録を解除することはできません。

ロール

ロールとは、グループの概念に似た、Directory Server の 1 つのエントリメカニズムです。グループにはメンバーがあるように、ロールにもメンバーがあります。ロールのメンバーは、ロールを持つ LDAP エントリです。ロール自体の基準は、LDAP エントリの属性で定義されます。このエントリは、エントリの識別名 (DN) 属性で特定されます。Directory Server にはさまざまなタイプのロールがありますが、Identity Server で管理できるのは、管理ロールだけです。

そのほかの Directory Server ロールタイプもディレクトリの配備で使用できますが、Identity Server コンソールで管理することはできません。ポリシーのサブジェクト定義に他の Directory Server タイプを使用することもできます。ポリシーサブジェクトについての詳細は、「ポリシー管理」を参照してください。

ユーザーには 1 つ以上のロールを持たせることができます。たとえば、セッションサービスと URL ポリシーエージェントサービスの属性を持つコントラクタロールを作成できます。管理者はコントラクタエントリの別の属性を設定しなくても、新しいコントラクタが開始すると、コントラクタにこのロールを割り当てることができます。コントラクタがフルタイムの従業員になると、管理者はこのユーザーに別のロールを割り当て直すことになります。

Identity Server では、ロールを使用して、アクセス制御の命令を適用します。Identity Server を初めてインストールしたときに、管理者アクセス権を定義するアクセス制御命令 (ACI) が定義されます。次にこれらの ACI をロール (組織管理者ロール、組織ヘルプデスク管理者ロールなど) に割り当てます。このロールをユーザーに割り当てると、ユーザーのアクセス権限が定義されます。

ユーザーは、管理サービスで「ユーザーのロールを表示」属性が有効である場合だけ、割り当てられたロールを確認できます。詳細は、「ユーザーのロールを表示」を参照してください。

グループ同様に、ロールもフィルタで作成することも、スタティックに作成することもできます。

「フィルタされたロール」: フィルタを適用したロールは、LDAP フィルタを使用して作成したダイナミックロールです。ユーザーはすべてフィルタを通してまとめられ、ロールの作成時にそのロールに割り当てられます。フィルタはエントリの属性と値のペア (ca=user* など) を検索して、その属性を含むユーザーをロールに自動的に割り当てます。

「スタティックロール」: フィルタされたロールとは対照的に、スタティックロールはユーザーをロールの作成時に追加しなくても作成できます。これにより、特定のユーザーを指定されたロールに追加するときの制御がより細かくできます。

フィルタされたロールの作成

  1. ナビゲーションフレームで、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。

    3. 組織の構成時にデフォルトのロールが作成され、ナビゲーションフレームに表示されます。

    これらのロールについては、「属性リファレンス」の節の「ダイナミック管理者ロール ACI」を参照してください。

  3. ナビゲーションフレームで「新規」をクリックします。「新規ロール」テンプレートがデータフレームに表示されます。
  4. 「フィルタされたロール」を選択し、名前を入力します。「次へ」をクリックします。
  5. ロールの詳細を入力します。
  6. 「タイプ」メニューからロールのタイプを選択します。

    7. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、DIT でどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  7. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。

    8. これは、組織内のエントリにアクセスする権限です。「デフォルトロールアクセス権 (ACI)」の節を参照してください。ここで示すデフォルトの権限は順不同です。

    一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。

  8. 検索条件を入力します。フィールドは次のとおりです。

    9. 「論理演算子」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。AND は、指定したすべてのフィールドに一致するユーザーを返します。OR は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。

    「ユーザー ID」: ユーザー ID でユーザーを検索します。

    「ファーストネーム」: 名 (ファーストネーム) でユーザーを検索します。

    「ラストネーム」: 姓 (ラストネーム) でユーザーを検索します。

    「フルネーム」: フルネームでユーザーを検索します。

    「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。

    「高度」ボタンを選択すると、フィルタ属性自体を定義できます。例を示します。

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    フィルタを空白のままにすると (デフォルト)、次のロールが作成されます。

    (objectclass = inetorgperson)

    「リセット」をクリックするとフィルタのプロパティを消去できます。また「キャンセル」をクリックすると、ロールの作成処理をキャンセルできます。

  9. 「作成」をクリックして、フィルタ条件を基に、検索を開始します。そのフィルタ条件で定義されたユーザーがロールに自動的に割り当てられます。

スタティックロールの作成

  1. ナビゲーションフレームで、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。

    3. 組織の構成時にデフォルトのロールが作成され、ナビゲーションフレームに表示されます。

  1. ナビゲーションフレームで「新規」をクリックします。「新規ロール」テンプレートがデータフレームに表示されます。
  2. 「スタティックロール」を選択し、名前を入力します。「次へ」をクリックします。
  3. ロールの詳細を入力します。
  4. 「タイプ」メニューからロールのタイプを選択します。

    5. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、DIT でどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  5. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。

    6. これは、組織内のエントリにアクセスする権限です。「デフォルトロールアクセス権 (ACI)」の節を参照してください。ここで示すデフォルトの権限は順不同です。

    一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。

  6. 「作成」をクリックします。

    7. 作成されたロールがナビゲーションフレームに表示され、ロールのステータス情報がデータフレームに表示されます。

    ロールで利用可能なサービスは、そのロールの親組織から継承されます。ロールのサービステンプレートが存在しない場合は、「編集」リンクをクリックして作成できます。サービステンプレートが存在する場合は、サービスのプロパティが表示され、設定できます。詳細は、「ロールへのサービスのカスタマイズ」を参照してください。

スタティックロールへのユーザーの追加

  1. 修正するロールを選択し、「プロパティ」の矢印をクリックします。
  2. データフレームの「表示」メニューから「ユーザー」を選択します。
  3. 「追加」をクリックします。
  4. 検索条件を入力します。表示される 1 つ以上のフィールドを基に、ユーザーの検索方法を選択できます。フィールドは次のとおりです。

    5. 「論理演算子」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。AND は、指定したすべてのフィールドに一致するユーザーを返します。OR は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。

    「ユーザー ID」: ユーザー ID でユーザーを検索します。

    「ファーストネーム」: 名 (ファーストネーム) でユーザーを検索します。

    「ラストネーム」: 姓 (ラストネーム) でユーザーを検索します。

    「フルネーム」: フルネームでユーザーを検索します。

    「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。

    「ユーザー検索属性」: 検索で返される値を指定できます。

  5. 「フィルタ」をクリックすると、検索が始まります。
  6. ユーザー名の横にあるチェックボックスを選択して、返された名前の中からユーザーを選択します。
  7. 「保存」をクリックします。

    8. これで、ユーザーがロールに割り当てられます。

    ロールプロファイルページやユーザープロファイルページを使用して、ユーザーをロールに追加することもできます。

ロールからのユーザーの削除

  1. 変更するロールを含む組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。

  2. 「表示」メニューから「ロール」を選択します。
  3. 変更するロールを選択します。
  4. 「表示」メニューから「ユーザー」を選択します。
  5. 削除するユーザーのチェックボックスを選択します。
  6. 「削除」をクリックします。

    7. これで、ロールからユーザーが削除されます。

    Identity Server と Directory Server は、参照整合性プラグインを使用するように設定されている必要があります。参照整合性プラグインが有効になっているときは、削除操作や名前の変更操作の直後に、指定された属性について整合性更新が実行されます。これにより、関連するエントリどうしの関係がデータベース全体で維持されます。Directory Server では、データベースインデックスによって検索パフォーマンスが向上します。このプラグインを有効にする方法の詳細は、『Sun ONE Identity Server Migration Guide』を参照してください。

ポリシーへのロールの追加

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーの修正」を参照してください。

ロールへのサービスのカスタマイズ

ロールで利用可能なサービス、およびそのサービス属性に対するアクセスレベルをロール単位でカスタマイズできます。「一般」表示を使用すると、管理者はサービスおよびユーザーページをカスタマイズし、特定のサービスへのアクセスだけが可能なサービス管理者を作成できます。たとえば、管理者は指定されたロールで、ユーザーサービスの 1 つ以上の属性に対して書き込みアクセスを拒否することができます。そして、このロールを持つユーザーは、そのような属性を変更することができなくなります。ポリシー管理者ロールを作成するには、すべてのポリシーサービスへのアクセスを付与し、その他のサービスへのアクセスを拒否します。すると、ポリシー管理者ロールを持つ管理者は、ポリシーを作成および割り当てできるようになりますが、ユーザー管理タスクを実行することは拒否されます。

サービスを表示するには、サービスを組織レベルで登録する必要があります。ロールに追加されたユーザーは、ロールのサービス属性を継承します。

サービスアクセスのカスタマイズ
  1. 変更するロールの「プロパティ」の矢印をクリックします。
  2. 「表示」メニューから「一般」を選択します。
  3. 「ロールプロパティ」ページで、「サービス」のリストで「編集」をクリックします。

    4. 図 2-3 に示すようなサービスアクセスページが表示されます。

  4. 「表示」列でサービス名をクリックすることで、ロールに付与するサービスを選択します。デフォルトで、ロールはすべてのサービスへアクセスできます。
  5. 「保存」をクリックします。

    		6.

    サービスへのアクセスを拒否すると (選択されていない場合)、サービスはこのロールを持つユーザーの Identity Server コンソールに表示されません。さらに、ユーザーの登録または登録解除、ユーザーへのサービスの割り当て、またはサービステンプレートの作成、削除、表示、修正ができなくなります。

    図 2-3 サービスアクセスページ
    Identity Server コンソール - 組織管理者ロールのサービスアクセスページ

属性アクセスのカスタマイズ
  1. 「ロールプロパティ」ページで、「サービス属性」のリストの「編集」をクリックします。図 2-4 に示すような属性アクセスページが表示されます。
  2. 「ジャンプ先」メニューを使用して、特定のサービスの属性を表示します。
  3. 「読み取り/書き込み」または「読み取り専用」チェックボックスを選択し、その属性へのアクセスレベルを割り当てます。
  4. 「保存」をクリックします。

    		5.

    属性に「読み取り / 書き込み」または「読み取り専用」オプションのどちらも選択されていない場合、その属性に対する読み取りおよび書き込みのアクセスは拒否されます。

    図 2-4 属性アクセスページ
    Identity Server コンソール - 属性アクセスページ

特定のサービスの属性の詳細については、このマニュアルの第 3 部「属性リファレンスガイド」を参照してください。

ロールの削除

  1. 削除するロールを含む組織に移動します。

    2. アイデンティティ管理で「表示」メニューから「組織」を選択し、ナビゲーションフレームから組織を選択します。デフォルトの最上位組織と選択した組織がロケーションパスに表示されます。

  2. 「表示」メニューから「ロール」を選択します。
  3. ロール名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

ポリシー

ポリシーでは、組織の Web リソースを保護するためのルールを定義します。ポリシーの作成、修正、削除はアイデンティティ管理モジュールを使用して実行しますが、「ポリシー管理」で説明しています。

コンテナ

コンテナエントリは、オブジェクトクラスおよび属性が異なるため、組織エントリが使用できない場合に使用します。Identity Server コンテナエントリと Identity Server 組織エントリは、必ずしも LDAP オブジェクトクラス organizationalUnit および organization と同等とはかぎらないことに留意してください。これらは抽象アイデンティティエントリです。可能であれば、コンテナエントリではなく組織エントリを使用します。

コンテナの表示は必要に応じて行います。コンテナを表示するには、Identity Server 管理サービスで「メニューにコンテナを表示」を選択します。詳細は、「メニューにコンテナを表示」を参照してください。

コンテナの作成

  1. コンテナを作成する組織またはコンテナに移動します。

    2. 「表示」メニューから「コンテナ」を選択します。

  2. 「新規」をクリックします。

    3. コンテナのテンプレートがデータフレームに表示されます。

  3. 作成するコンテナの名前を入力します。
  4. 「作成」をクリックします。

コンテナの削除

  1. 削除対象のコンテナを含む組織またはコンテナに移動します。
  2. 「表示」メニューから「コンテナ」を選択します。
  3. 削除するコンテナ名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    コンテナを削除すると、そのコンテナに含まれるオブジェクトがすべて削除されます。すべてのオブジェクトとサブコンテナが対象になります。

ピープルコンテナ

ピープルコンテナはデフォルトの LDAP 組織単位です。ユーザーはすべて、組織内で作成されるときにその組織単位に割り当てられます。ピープルコンテナは組織レベルにあり、サブピープルコンテナとしてピープルコンテナレベルにあります。ピープルコンテナにはほかのピープルコンテナとユーザーだけを含めることができます。必要に応じて、ピープルコンテナを組織に追加することができます。

ピープルコンテナの表示は必要に応じて行います。ピープルコンテナを表示するには、Identity Server 管理サービスで「ピープルコンテナを表示」を選択します。詳細は、「ピープルコンテナを表示」を参照してください。

ピープルコンテナの作成

  1. ピープルコンテナを作成する組織またはピープルコンテナに移動します。

    2. 「表示」メニューから「ピープルコンテナ」を選択します。

  2. 「新規」をクリックします。

    3. ピープルコンテナのテンプレートがデータフレームに表示されます。

  3. 作成するピープルコンテナの名前を入力します。
  4. 「作成」をクリックします。

ピープルコンテナの削除

  1. 削除対象のピープルコンテナを含む組織またはピープルコンテナに移動します。
  2. 「表示」メニューから「ピープルコンテナ」を選択します。
  3. 削除するピープルコンテナ名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    ピープルコンテナを削除すると、そのピープルコンテナに含まれるオブジェクトがすべて削除されます。すべてのユーザーとサブピープルコンテナが対象になります。

グループコンテナ

グループコンテナを使用してグループを管理します。グループコンテナにはグループとほかのグループコンテナだけを含めることができます。グループコンテナの「グループ」は、すべての管理されているグループの親エントリとしてダイナミックに割り当てられます。必要に応じて、グループコンテナを追加することができます。

グループコンテナの表示は必要に応じて行います。グループコンテナを表示するには、Identity Server 管理サービスで「グループコンテナを表示」を選択します。詳細は、「グループコンテナを表示」を参照してください。

グループコンテナの作成

  1. 作成対象のグループコンテナを含む組織またはグループコンテナに移動します。
  2. 「表示」メニューから「グループコンテナ」を選択します。

    3. デフォルトの「グループ」は組織の作成時に作成されています。

  3. 「新規」をクリックします。
  4. 「名前」フィールドに値を入力して、「作成」をクリックします。

グループコンテナの削除

  1. 削除対象のグループコンテナを含む組織に移動します。
  2. 「表示」メニューから「グループコンテナ」を選択します。

    3. デフォルトの「グループ」と、作成したすべてのグループコンテナがナビゲーションフレームに表示されます。

  3. 削除するグループコンテナの横にあるチェックボックスを選択します。
  4. 選択した項目の「削除」をクリックします。



前へ      目次      索引      次へ     

Copyright 2003 Sun Microsystems, Inc. All rights reserved.