エンドユーザー組織

エンドユーザー組織は、管理者が、リソースやロールなど特定のオブジェクトをエンドユーザーが使用できるようにする場合に便利です。エンドユーザーはユーザーインタフェースを使用して、指定したオブジェクトを表示したり、状況によっては自分自身に割り当てる (承認プロセスを保留する) ことができます (「Identity Manager エンドユーザーインタフェースへのログイン」を参照)。

エンドユーザー組織は、Identity Manager Version 7.1.1 で導入されました。

以前は、ロール、リソース、タスク、その他の Identity Manager 設定オブジェクトへのアクセス権をエンドユーザーに付与するために、管理者は設定オブジェクトを編集して、エンドユーザータスク、エンドユーザーリソース、およびエンドユーザー authType を使用する必要がありました。

今後は、「エンドユーザー」組織を使用して、エンドユーザーに Identity Manager 設定オブジェクトへのアクセス権を付与することをお勧めします。

エンドユーザー組織はすべてのユーザーによって暗黙的に管理され、すべてのユーザーが、タスク、規則、ロール、リソースなどいくつかのオブジェクトのタイプを表示できます。ただし、最初は、この組織にメンバーオブジェクトはありません。

エンドユーザー組織は Top 組織のメンバーであり、子組織を持つことはできません。また、エンドユーザー組織は「アカウント」ページの一覧に表示されません。ただし、ロール、管理者ロール、リソース、ポリシー、タスク、その他のオブジェクトを編集する場合は、管理者ユーザーインタフェースを使用して任意のオブジェクトをエンドユーザー組織で使用できるようにすることができます。

エンドユーザーがエンドユーザーインタフェースにログインすると、次の処理が発生します。

• エンドユーザーに EndUser 組織 (ObjectGroup) の管理権限が付与されます。

• Identity Manager が、組み込みの「エンドユーザーが管理する組織」規則を評価します。これにより、規則によって返される組織名の管理権限が自動的にユーザーに与えられます。この規則は、Identity Manager Version 7.1.1 で追加されました。詳細については、「「エンドユーザーが管理する組織」規則」を参照してください。

• エンドユーザーに、EndUser 機能で指定されたオブジェクトタイプに対する権限が付与されます。

「エンドユーザーが管理する組織」規則

「エンドユーザーが管理する組織」規則には、入力引数として認証中のユーザーのビューを指定します。Identity Manager では、この規則から、エンドユーザーインタフェースにログイン中のユーザーが管理する 1 つ以上の組織が返されることを想定しています。返される組織が 1 つの場合は文字列、複数の場合はリストになります。

これらのオブジェクトを管理するには、ユーザーに End User Administrator 機能が必要です。End User Administrator 機能が割り当てられたユーザーは、「エンドユーザーが管理する組織」規則の内容を表示および変更できます。これらのユーザーは、EndUser 機能で指定されたオブジェクトタイプの表示と変更も行えます。

End User Administrator 機能は、デフォルトでは Configurator ユーザーに割り当てられます。リストの変更や「エンドユーザーが管理する組織」規則の評価によって返される組織の変更が、ログイン済みのユーザーに動的に反映されることはありません。変更を確認するには、ログアウトしてもう一度ログインしてください。

「エンドユーザーが管理する組織」規則から、無効な組織 (Identity Manager に存在しない組織など) が返された場合、その問題がシステムログに記録されます。問題に対処するには、管理者ユーザーインタフェースにログインして、規則を修正します。