Identity Manager オブジェクト

Identity Manager オブジェクトとその操作の方法を明確に理解することは、システムの管理と導入を成功させるために不可欠です。オブジェクトには次のものがあります。

• 「Identity Manager ユーザーアカウント」

• 「Identity Manager ロール」

• 「リソースとリソースグループ」

• 「組織と仮想組織」

• 「ディレクトリジャンクション」

• 「Identity Manager の機能」

• 「管理者ロール」

• 「Identity Manager のポリシー」

• 「監査ポリシー」

• 「オブジェクトの関係」

---

注 –

Identity Manager オブジェクトに名前を付けるときは、次の文字を使用しないでください。

’ (アポストロフィー)、. (ピリオド)、| (パイプ)、[ (左角括弧)、] (右角括弧)、, (コンマ)、: (コロン)、$ (ドル記号)、" (二重引用符)、\ (円記号)、= (等号)

また、_ (下線)、% (パーセント記号)、^ (キャレット)、および * (アスタリスク) の使用も避けてください。

---

Identity Manager ユーザーアカウント

ユーザーとは、Identity Manager システムアカウントを所有する個人です。Identity Manager には、各ユーザーについての一連のデータが格納されます。これらの情報をまとめて、特定のユーザーの Identity Manager アイデンティティーを構成します。

Identity Manager ユーザーアカウント

• 1 つ以上のリソースにユーザーアクセスを提供し、それらのリソースのユーザーアカウントデータを管理する。

• ロールが割り当てられる。これにより、さまざまなリソースへのユーザーアクセスが設定されます。

• 組織の一部を構成する。これにより、ユーザーアカウントの管理方法と管理者が決定されます。

ユーザーアカウントのセットアッププロセスは動的です。アカウントの設定で選択したロールに応じて、アカウントを作成するためのリソース固有の情報が増減する可能性があります。割り当てられたロールに関連付けられたリソースの数とタイプによって、アカウント作成時に必要な情報が決まります。

管理者とは、ユーザーアカウント、リソース、およびほかの Identity Manager システムオブジェクトとタスクを管理する追加特権を持つユーザーです。Identity Manager 管理者は組織を管理し、管理対象の各組織内のオブジェクトに適用する一連の機能を割り当てられます。

ユーザーアカウントの詳細については、第 3 章ユーザーとアカウントの管理を参照してください。管理者アカウントの詳細については、第 6 章管理を参照してください。

Identity Manager ロール

ロールは Identity Manager オブジェクトであり、リソースのアクセス権限をグループ分けし、ユーザーに効率的に割り当てることができるようにします。ロールは、次の 4 つのロールタイプに分けられます。

• ビジネスロール

• IT ロール

• Applications

• アセット

ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要とするアクセス権をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。

IT ロール、アプリケーション、およびアセットは、リソースの権利 (つまりアクセス権) をグループに編成します。ユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。

IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。

• 「必須ロール」は、常にユーザーに割り当てられます。

• 「条件付きロール」を割り当てるには、条件が true に評価される必要があります。

• 「オプションロール」は個別に要求することができ、承認されるとユーザーに割り当てられます。

ロールは条件付きまたはオプションにできるため、職務内容が同じユーザーに対して、同じビジネスロールを割り当てると同時に、異なるアクセス権を設定できます。この方法により、ビジネスロールの設計者はロールへのアクセスを大まかに定義して法規制の順守をはかり、ユーザーのマネージャーはユーザーのアクセス権を柔軟に調整できます。この方法では、企業内のアクセスニーズの順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。

ユーザーには 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。

---

注 –

ロールの詳細については、「ロールとその管理について」を参照してください。

---

リソースとリソースグループ

Identity Manager は、リソースまたはシステムへの接続方法に関する情報を格納します。Identity Manager がアクセスを提供するリソースは次のとおりです。

• デジタルリソース。たとえば次のようなもの。

  • メインフレームセキュリティーマネージャー

  • データベース

  • ディレクトリサービス (LDAP など)

  • Applications

  • オペレーティングシステム

  • ERP システム (SAP^TM など)

• Identity Manager 外部の非デジタルリソースまたは外部リソース

  • 携帯電話

  • デスクトップコンピュータ

  • ラップトップコンピュータ

  • セキュリティーバッジ

各 Identity Manager リソースは、次の種類の情報を格納します。

• リソースパラメータ

• Identity Manager パラメータ

• アカウント情報 (アカウント属性とアイデンティティーテンプレートを含む)

リソースをユーザーに割り当てるには、2 つの方法があります。リソースをユーザーに直接割り当てる (個別または直接の割り当てと呼ばれる) ことも、リソースをロールに割り当て、そのロールをユーザーに割り当てる (ロールベースまたは間接の割り当てと呼ばれる) こともできます。

• 個別の割り当て。リソースを個別に直接ユーザーアカウントに割り当てます。

• ロールベースの割り当て。1 つ以上のリソースをロール (アプリケーション、アセット、または IT ロール) に割り当てます。続いて、アプリケーション、アセット、または IT ロールをビジネスロールに割り当てます。最後に、1 つ以上のビジネスロールをユーザーアカウントに割り当てます。

関連する Identity Manager オブジェクトである「リソースグループ」を、リソースの割り当てと同じ方法でユーザーアカウントに割り当てることができます。リソースグループは、リソースを相互に関連付けて、アカウントを特定の順序でリソース上に作成できるようにします。また、複数のリソースのユーザーアカウントへの割り当てプロセスを簡素化します。

リソースグループの詳細については、「リソースグループ」を参照してください。

組織と仮想組織

組織とは、管理の委任を可能にするために使用される Identity Manager コンテナです。組織は、Identity Manager 管理者が管理するエンティティーの範囲を定義します。

また、組織は、ディレクトリベースのリソースへの直接のリンクも表します。これらは仮想組織と呼ばれます。仮想組織を使用すると、情報を Identity Manager リポジトリに読み込まずに、リソースデータを直接管理できます。Identity Manager では、仮想組織を使用して既存のディレクトリ構造とメンバーシップをミラー化することにより、設定タスクの重複と時間の浪費をなくします。

ほかの組織を含む組織は、親組織です。組織はフラットな構造に作成することも、階層構造として作成することもできます。階層構造は、ユーザーアカウントを管理するための部署、地域、またはその他の論理的な部門を表します。

組織の詳細については、「Identity Manager の組織について」を参照してください。

ディレクトリジャンクション

ディレクトリジャンクションは、階層的に関連付けられた組織のセットで、ディレクトリリソースの階層型コンテナの実際のセットをミラー化したものです。ディレクトリリソースは、階層型コンテナを使用して、階層的な名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の「直接」または「間接」的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。

Identity Manager ユーザーを、組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

ディレクトリジャンクションの詳細については、「ディレクトリジャンクションおよび仮想組織について」を参照してください。

Identity Manager の機能

機能、つまり権限のグループが割り当てられたユーザーは、Identity Manager の管理操作を実行できるようになります。機能によって、管理ユーザーはシステム内で特定のタスクを実行したり、さまざまな Identity Manager オブジェクトを操作したりすることができます。

通常、機能は、パスワードのリセットまたはアカウントの承認など、特定のジョブの役割に従って割り当てられます。個別のユーザーに機能と権限を割り当てることにより、管理の階層構造が作成され、データの保護をおびやかすことなく、対象を絞ったアクセスと特権を提供することができます。

Identity Manager では、一般的な管理機能用の一連のデフォルト機能を提供しています。また、特定のニーズを満たす機能を作成して割り当てることもできます。

機能の詳細については、「機能とその管理について」を参照してください。

管理者ロール

Identity Manager 管理者ロールを使用すると、管理ユーザーが管理している組織を組み合わせて、その組み合わせごとに一意の機能セットを定義できます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。

機能および管理する組織は、管理者ロールに直接割り当てることができます。また、管理ユーザーが Identity Manager にログインしたときに、間接的 (動的) に割り当てることもできます。Identity Manager 規則によって、動的に権限が割り当てられます。

管理者ロールの詳細については、「管理者ロールとその管理について」を参照してください。

Identity Manager のポリシー

「ポリシー」では、アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。「アイデンティティーシステムアカウントポリシー」は、ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。リソースパスワードとアカウント ID ポリシーは、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。「辞書ポリシー」を使用すると、Identity Auditor でパスワードを単語データベースと照合して、単純な辞書攻撃から保護することができます。

ポリシーの詳細については、「ポリシーとは」を参照してください。

監査ポリシー

ほかのシステムポリシーとは異なり、監査ポリシーは特定のリソースのユーザーグループのポリシー違反を定義します。監査ポリシーは、1 つまたは複数の規則を設定し、これによってユーザーのコンプライアンス違反を評価します。これらの規則は、リソースによって定義された 1 つまたは複数の属性に基づく条件によって決まります。システムがユーザーをスキャンする場合、そのユーザーに割り当てられた監査ポリシーで定義された条件を使用し、コンプライアンス違反が発生しているかどうかを判断します。

監査ポリシーの詳細については、「監査ポリシーについて」を参照してください。

オブジェクトの関係

次の表は、Identity Manager オブジェクトとオブジェクト間の関係を示しています。

表 1–1 Identity Manager オブジェクトの関係

Identity Manager オブジェクト	説明	適用対象
ユーザーアカウント	Identity Manager および 1 つ以上のリソース上にあるアカウント。ユーザーデータをリソースから Identity Manager に読み込むことができます。  特別なユーザークラスである Identity Manager 管理者は拡張特権を持ちます。	ロール。通常、各ユーザーアカウントには 1 つ以上のロールが割り当てられます。 組織。ユーザーアカウントは、組織の一部として階層構造で整理されます。組織は、Identity Manager 管理者によって管理されます。 リソース。個別のリソースを、ユーザーアカウントに割り当てることができます。 機能。管理者には、自分が管理する組織に対する機能が割り当てられます。
ロール	ビジネスロールは、組織内で類似のタスクを実行するユーザーがジョブの遂行に必要なアクセス権をグループに編成します。アプリケーションおよび IT ロールはリソースをグループに編成し、ビジネスロールを使ってリソースをユーザーに割り当てられるようにします。ロールベースのリソース割り当てにより、大規模な組織でのリソース管理が簡単になります。	リソースとリソースグループ。リソースとリソースグループは、アセット、アプリケーション、および IT ロールに割り当てられます。 ユーザーアカウント。類似した特性を持つユーザーアカウントは、ビジネスロールに割り当てられます。 アセット、アプリケーション、および IT ロール。アセット、アプリケーション、および IT ロールは、ビジネスロールに割り当てられます。
Resource	アカウントが管理するシステム、アプリケーション、またはほかのリソースについての情報を格納します。	ロール。リソースはアプリケーションおよび IT ロールに割り当てられ、これらのロールはビジネスロールに割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアカウントをゆるやかに「継承」します。 ユーザーアカウント。リソースをユーザーアカウントに個別に割り当てることができます。
リソースグループ	順序付けされたリソースのグループ。	ロール。リソースグループはロールに割り当てられます。ユーザーアカウントは、ビジネスロールの割り当てからリソースアクセスを「継承」します。 ユーザーアカウント。リソースグループをユーザーアカウントに直接割り当てることができます。
組織	管理者により管理されるエンティティーの範囲を階層構造で定義します。	リソース。組織内の管理者は、一部またはすべてのリソースにアクセスできます。 管理者。組織は、管理特権を持つユーザーによって管理 (制御) されます。管理者は 1 つ以上の組織を管理できます。ある組織内の管理特権は、子の組織にも継承されます。 ユーザーアカウント。各ユーザーアカウントは、Identity Manager 組織および 1 つ以上のディレクトリ組織に割り当てることができます。
ディレクトリジャンクション	階層的に関連付けられた組織のセットで、ディレクトリリソースの階層型コンテナの実際のセットをミラー化したものです。	組織。ディレクトリジャンクション内の各組織は、仮想組織です。
管理者ロール	管理者に割り当てられた組織の組み合わせごとに、一意の機能セットを定義します。	管理者。管理者ロールは管理者に割り当てられます。 機能と組織。機能と組織は、直接的または間接的 (動的) に管理者ロールに割り当てられます。
機能	システム権限のグループを定義します。	管理者。機能は管理者に割り当てられます。
ポリシー	パスワードおよび認証の制限を設定します。	ユーザーアカウント。ポリシーはユーザーアカウントに割り当てられます。 組織。ポリシーは組織に割り当てられるか、継承されます。
監査ポリシー	ユーザーのコンプライアンス違反を評価する規則を設定します。	ユーザーアカウント。監査ポリシーはユーザーアカウントに割り当てられます。 組織。監査ポリシーは組織に割り当てられます。