ロールとその管理について

この節では、Identity Manager でのロールの設定について説明します。大規模な組織では、ロールベースのリソース割り当てにより、リソース管理が大幅に簡略化されます。

---

注 –

ロールと管理者ロールを混同しないようにしてください。ロールは、外部リソースへのエンドユーザーアクセスの管理に使用されます。一方、管理者ロールの主な用途は、ユーザー、組織、機能など、内部の Identity Manager オブジェクトへの管理者アクセスの管理です。

この節では、ロールについて説明します。管理者ロールについては、「管理者ロールとその管理について」を参照してください。

---

ロールとは

ロールとは、リソースのアクセス権限をグループ分けし、ユーザーに効率的に割り当てる Identity Manager オブジェクトです。

ロールは、次の 4 つのロールタイプに分けられます。

• ビジネスロール

• IT ロール

• アプリケーション

• アセット

「ビジネスロール」は、組織で類似したタスクを実行する人が職務を遂行するために必要とするアクセス権限をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。たとえば金融機関では、ビジネスロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。

IT ロール、アプリケーション、およびアセットは、リソースエンタイトルメントをグループに編成します。エンドユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。IT ロールには、アプリケーション、アセット、リソースの特定のセットが含まれます。 これには、割り当て済みリソースに対する特定のエンタイトルメントが含まれます。IT ロールには、ほかの IT ロールを含めることもできます。

---

注 –

ロールタイプの概念は、Identity Manager Version 8.0 で新しくなりました。組織が以前のバージョンの Identity Manager からバージョン 8.0 にアップグレードした場合、従来のロールは IT ロールとしてインポートされています。詳細は、「バージョン 8.0 より前のバージョンで作成されたロールの管理」を参照してください。

---

IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。

• 必須ロールは、常にエンドユーザーに割り当てられます。

• 条件付きロールを割り当てるには、条件が true に評価される必要があります。

• オプションロールは個別にリクエストでき、承認されるとエンドユーザーに割り当てられます。

ビジネスロールデザイナは、必須、条件付き、およびオプションのロールを使用して、エンドユーザーの管理者がエンドユーザーのアクセス権をきめ細かく調整できるだけの柔軟性を確保しつつ、含まれるロールへの詳細なアクセスを定義して法規制へのコンプライアンスを達成できます。条件付きまたはオプションのロールを割り当てられたユーザーも、割り当てられた同じビジネスロールを共有できますが、割り当てられるアクセス権は異なります。この方法では、組織内のアクセス要件の順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。

ロールタイプの使用

ここでは、ロールタイプを効果的に使用する方法について説明します。ロールタイプの説明については、前の節を参照してください。

バージョン 8.0 より前のバージョンで作成されたロールの管理

以前のバージョンの Identity Manager からバージョン 8.0 にアップグレードした組織では、従来のロールが自動的に IT ロールに変換されています。これらの IT ロールは、ユーザーに直接割り当てられたままになります。アップグレード処理の過程で、従来のロールにロール所有者が割り当てられることはありません。ただし、あとでロール所有者を割り当てることは可能です。(ロール所有者については、「ロール所有者とロール承認者の指定」」を参照)

デフォルトでは、バージョン 8.0 にアップグレードした組織は、IT ロールとビジネスロールの両方をユーザーに直接割り当てることができます (図 5–2を参照)。

従来のロールを持つ組織は、次の節に示すガイドラインに基づいて新しいロールを作成することを検討してください。

ロールタイプを使用した柔軟なロールの設計

IT ロール、アプリケーション、およびアセットは、ロールデザイナの構成単位です。これら 3 つのロールタイプを組み合わせて、ユーザーエンタイトルメント (アクセス権) が構築されます。IT ロール、アプリケーション、およびアセットは、その後、ビジネスロールに割り当てられます。

ビジネスロールの設計

Identity Manager では、ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。Identity Manager 8.0 でロールタイプが導入されたため、ビジネスロールをユーザーに直接割り当てることだけをお勧めします。実際には、組織が 8.0 より前のバージョンの Identity Manager をインストールし、バージョン 8.0 以上にアップグレードした場合を除き、デフォルトでは他のロール タイプのいずれもユーザーに直接割り当てることはできません。このデフォルトの制限は、ロール設定オブジェクトを変更することによって変更できます (「ロールタイプの設定」)。

複雑さを軽減するため、ビジネスロールを入れ子にすることはできません。すなわち、1 つのビジネスロールに別のビジネスロールを含めることはできません。また、ビジネスロールにリソースおよびリソースグループを直接含めることもできません。その代わり、リソースおよびリソースグループを IT ロールまたはアプリケーションに割り当ててください。 そうすると、IT ロールまたはアプリケーションを 1 つ以上のビジネスロールに割り当てることができます。

IT ロールの設計

IT ロールには、アプリケーション、アセット、およびほかの IT ロールを含めることができます。IT ロールに、リソースやリソースグループを含めることもできます。

IT ロールの作成および管理は、組織の IT スタッフ、またはリソース内の特定の特権の有効化に必要なエンタイトルメントを理解しているリソース所有者により行われることが想定されています。

アプリケーションとアセットの設計

アプリケーションおよびアセットとは、エンドユーザーがジョブの実行に必要なことを説明するための、よく使用されるビジネス用語を表すロールタイプです。たとえば、アプリケーションロールには、「Customer Support Tools」や「Intranet HR-Tool Admin」という名前が付けられる可能性があります。

• アプリケーションにロールを含めることはできませんが、リソースやリソースグループを含めることはできます。アプリケーションでは、含まれるリソース上の特定のアプリケーションへのアクセスを制限する特定のエンタイトルメントを定義することもできます。

• 通常、アセットは、手動のプロビジョニングを必要とする、携帯電話やポータブルコンピュータなどの非接続または非デジタルのリソースです。このため、アセットにロール、リソース、またはリソースグループを含めることはできません。

アプリケーションおよびアセットは、ビジネスロールおよび IT ロールに割り当てることが想定されています。

---

注 –

ロール管理者には、次の機能を 1 つ以上割り当ててください。

• Asset Administrator

• Application Administrator

• Business Role Administrator

• IT Role Administrator

詳細は、「ユーザーへの機能の割り当て」を参照してください。

---

ロールタイプの概要

次の図に、4 つのロールタイプのそれぞれに割り当て可能なロールタイプ、リソース、およびリソースグループを示します。また、4 つのロールタイプすべてにロールタイプの除外を割り当て可能であることも示します。(ロールの除外については、「リソースとリソースグループを割り当てる」を参照)

図 5–1 ビジネスロール、IT ロール、アプリケーション、およびアセットのロールタイプ

オプション、条件付き、および必須のロール (「ロールとは」) により、柔軟性が増します。柔軟性の高いロール定義により、組織が管理する必要のあるロールの総数を減らすことができます。

図 5–2 は、8.0 より前のバージョンの Identity Manager がバージョン 8.0 以上にアップグレードされた場合に、ビジネスロールと IT ロールがユーザーに直接割り当てられることを示します。アップグレード時に、従来のロールは IT ロールに変換され、下位互換を保証するために、IT ロールはユーザーに直接割り当てられます。Identity Manager が 8.0 より前のバージョンからアップグレードされたものではない場合、ビジネスロールだけをユーザーに直接割り当てることができます。

図 5–2 ユーザーに直接割り当て可能なロールおよびリソース

ロールの作成

この節では、ロールを作成する方法を次のような構成で説明します。

• 「「ロールの作成」フォームを使用してロールを作成する」

• 「リソースとリソースグループを割り当てる」

• 「割り当てられているリソース属性値を編集する」

• 「ロールとロールの除外を割り当てる」

• 「ロール所有者とロール承認者の指定」

• 「通知の指定」

• 「変更承認作業項目と承認作業項目の開始」

---

注 –

ロールの指定のヒントについては、「ロールタイプを使用した柔軟なロールの設計」を参照してください。

---

ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。

「ロールの作成」フォームを使用してロールを作成する

1. 管理者インタフェースで、メインメニューから「ロール」をクリックします。

   「ロール」ページ (「ロールのリスト」タブ) が開きます。

2. ページ下部にある「新規」をクリックします。

   「 IT ロール の作成」ページが開きます。別のタイプのロールを作成するには、「タイプ」ドロップダウンメニューを使用します。

3. 「ID」タブのフォームフィールドに必要な情報を指定します。

   次の図は、「ID」タブを示したものです。

   図 5–3 「 IT ロール の作成」ページの「ID」タブ

   
   

4. 「ID」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「リソースとリソースグループを割り当てる」を参照してください。

   ロールに拡張属性値を設定するために役立つ情報については、「リソースアカウント属性を表示または編集する」を参照してください。

   次の図は、「リソース」タブを示したものです。

   図 5–4 「 IT ロール の作成」ページの「リソース」タブ

   
   

5. 「ロール」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロールとロールの除外を割り当てる」を参照してください。

   図 5–6 は、「ロール」タブを示したものです。

6. 「セキュリティー」タブのフォームフィールドに必要な情報を指定します。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロール所有者とロール承認者の指定」と「通知の指定」を参照してください。

   「ロール所有者とロール承認者の指定」に、「セキュリティー」タブを示します。

7. ページの下部にある「保存」をクリックします。

8. ロール名と説明は、「ロールの作成」フォームの「ID」タブに入力します。新しいロールを作成する場合は、「タイプ」ドロップダウンメニューで作成するロールタイプを選択します。

   図 5–4 は、「ロールの作成」フォームの「ID」タブの「ID」セクションを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

リソースとリソースグループを割り当てる

リソースとリソースグループは、「ロールの作成」フォームの「リソース」タブを使って、IT ロールおよびアプリケーションロールに直接割り当てることができます。リソースについては、「Identity Manager リソースとその管理について」の節で後述します。リソースグループについては、「リソースグループ」の節で説明します。

• 「ビジネスロール」に割り当てることができるのはロールのみのため、リソースとリソースグループを「ビジネスロール」に直接割り当てることはできません。

• リソースおよびリソースグループをアセットロールに割り当てることはできません。アセットロールは、手動プロビジョニングが必要な非接続または非デジタルのリソース用に予約されています。

ここでは、「ロールの作成」フォームに必要な情報を指定したあとで、リソースおよびリソースグループをロールに割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。

1. 「ロールの作成」ページの「リソース」タブをクリックします。

2. リソースを割り当てるには、「利用可能なリソース」列でリソースを選択し、矢印ボタンをクリックしてそのリソースを「現在のリソース」列に移します。

3. 複数のリソースを割り当てる場合は、リソースを更新する順番を指定することができます。「順番にリソースを更新する」チェックボックスを選択し、「+」ボタンと「-」ボタンを使用して「現在のリソース」列のリソースの順番を変更します。

4. このロールにリソースグループを割り当てるには、「利用可能なリソースグループ」列でリソースグループを選択し、矢印ボタンをクリックしてそのリソースグループを「現在のリソースグループ」列に移動します。リソースグループはリソースの集まりであり、リソースアカウントを作成および更新する順番を指定するための別の方法を提供します。

5. このロールのアカウント属性をリソース単位で指定するには、「割り当てられたリソース」セクションの「属性値の設定」をクリックします。詳細は、「リソースアカウント属性を表示または編集する」を参照してください。

6. 「保存」をクリックしてロールを保存するか、「ID」、「ロール」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。

   次の図は、「ロールの作成」フォームの「リソース」タブを示したものです。

   図 5–5 タブ付きの「ロールの作成」フォームの「リソース」セクション

   
   

割り当てられているリソース属性値を編集する

「割り当てられたリソース」テーブルを使用して、ロールに割り当てられたリソースのリソース属性値を設定または変更します。リソースには、ロールごとに定義された異なる複数の属性値を含めることができます。「属性値の設定」ボタンをクリックすると、「リソースアカウントの属性」ページが開きます。

次の図に「リソースアカウントの属性」ページを示します。このページを使って、ロールに割り当てられたリソースに拡張属性値を設定します。

1. 「リソースアカウントの属性」ページから、属性ごとに新しい値を指定し、属性値の設定方法を決定します。

   Identity Manager では、値を直接設定することや規則に従って設定することができ、既存の値を上書きしたり値を既存の値とマージしたりするためのさまざまなオプションが用意されています。リソース属性値についての一般的な情報は、「リソースアカウント属性を表示または編集する」を参照してください。

   次のオプションを使用して、リソースアカウント属性ごとに値を設定します。

   • 「値の上書き」。次のオプションのいずれかを選択します。

     • 「なし」 (デフォルト)。値は何も設定されません。

     • 「規則」。規則に従って値を設定します。

       このオプションを選択した場合には、リストから規則名を選択する必要があります。

     • 「テキスト」。指定されたテキストを使用して値を設定します。

       このオプションを選択した場合、隣接する「テキスト」フィールドにテキストを入力する必要があります。

   • 「設定方法」。次のオプションのいずれかを選択します。

     • 「デフォルト値」。規則またはテキストをデフォルトの属性値に設定します。

       ユーザーはこの値を変更または上書きできます。

     • 「値を設定」。規則またはテキストで指定された属性値を設定します。

       値が設定され、ユーザーの変更は上書きされます。

     • 「値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。

     • 「値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。

     • 「値から削除」。規則またはテキストで指定された値を属性値から削除します。

     • 「強制的に値を設定」。規則またはテキストで指定された属性値を設定します。

       値が設定され、ユーザーの変更は上書きされます。ロールを削除すると、過去に属性に値が指定されていた場合でも、新しい値は Null となります。

     • 「 強制的に値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。

       ロールを削除すると、ロールが割り当てられたときに割り当てられた値は削除されますが、元の属性値はそのままです。

     • 「強制的に値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。

       ロールが削除されると、属性上に以前に存在していても、このロールによって指定された属性値はクリアされます。

   • 「規則名」。「値の上書き」領域で「規則」を選択した場合には、このリストから規則を選択します。

   • 「テキスト」。「値の上書き」領域で「テキスト」を選択した場合には、属性値に追加するテキスト、属性値から削除するテキスト、または属性値として使用するテキストを入力します。

2. 「OK」をクリックして変更を保存し、「ロールの作成または編集」ページに戻ります。

ロールとロールの除外を割り当てる

ロールは、「ロールの作成」フォームの「ロール」タブを使って、ビジネスロールと IT ロールに割り当てることができます。割り当てられたロールは、「含まれるロール」のテーブルに追加されます。

• ロールを「アプリケーション」ロールと「アセット」ロールに割り当てることはできません。

• 「ビジネスロール」をロールタイプに割り当てることはできません。

「ロールの作成」フォームの「ロール」タブを使って、ロールの除外を 4 つのロールタイプすべてに割り当てることができます。ロールの除外を含むロールをユーザーに割り当てた場合、除外されたロールをそのユーザーに割り当てることはできません。ロールの除外は、「ロールの除外」テーブルに追加されます。

ここでは、「ロールの作成」フォームに必要な情報を指定したあと、ロールに 1 つ以上のロールを割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。

「ロール」タブに必要な情報を指定する

1. 「ロールの作成」ページの「ロール」タブをクリックします。

2. 「含まれるロール」セクションの「追加」をクリックします。

   タブが更新され、「含まれるロールの検索」フォームが表示されます。

3. このロールに割り当てるロールを検索します。最初に必須のロールを割り当てます。条件付きおよびオプションロールはあとで追加します。

   検索フォームの使用方法については、「ロールを検索する」を参照してください。ビジネスロールを入れ子にしたり、ほかのロールタイプに割り当てたりすることはできません。

4. 割り当てる 1 つ以上のロールをチェックボックスで選択し、「追加」をクリックします。

   タブが更新され、「含まれるロールの追加」フォームが表示されます。

5. 「関連付けタイプ」ドロップダウンメニューから「必須」 (あるいは必要に応じ「条件付き」または「オプション」) を選択します。

   「OK」をクリックします。

6. 前の 4 つの手順を繰り返して、条件付きロールを追加します (必要な場合)。前の 4 つの手順をもう一度繰り返して、オプションロールを追加します (必要な場合)。

7. 「保存」をクリックしてロールを保存するか、「ID」、「リソース」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。

   図 5–6 は、「ロールの作成」フォームの「ロール」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

   図 5–6 タブ付きの「ロールの作成」フォームの「ロール」セクション

   
   

ロール所有者とロール承認者の指定

ロールには、「所有者」と「承認者」が指定されています。ロール所有者だけが、ロールを定義するパラメータの変更を承認できます。また、ロール承認者だけがエンドユーザーへのロールの割り当てを承認できます。

---

注 –

Identity Manager を Sun^TM Role Manager に統合した場合は、Identity Manager の機能を手動で無効にしてすべてのロール変更承認および通知を実行することによって、Role Manager がこれらのアクションを処理できるようにしてください。

Identity Manager で、次のように、RoleConfiguration 設定オブジェクトを編集する必要があります。

• changeApproval のすべてのインスタンスを検索し、値を false に設定します。

• changeNotificaiton のすべてのインスタンスを検索し、値を false に設定します。

---

ロール所有者になるということは、ロールを介して割り当てられる、基盤となるリソースアカウント権限への責任があるビジネス所有者になることを意味します。管理者がロールに変更を加えた場合は、その変更を実行する前に、ロール所有者が変更を承認する必要があります。この機能によって、ビジネスの所有者の認識や承認なしに、管理者が役割を変更することを防いでいます。ただし、変更承認がロール設定オブジェクトで無効化されている場合は、変更を実行するためにロール所有者の承認は必要ありません。

ロールの変更承認に加え、ロールの有効化、無効化、および削除もロール所有者の承認なしに行うことはできません。

所有者および承認者は、ロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。Identity Manager では、所有者や承認者なしでロールを作成できます (ただし、この方法は推奨されていません)。

---

注 –

ロール割り当て規則には、RoleUserRule authType があります。

カスタムのロール割り当て規則を作成する必要がある場合は、デフォルトのロール割り当て規則オブジェクト 3 つを参照し、これらのオブジェクトをサンプルとして使用してください。

• Role Approvers

• Role Notifications

• Role Owners

---

作業項目に承認が必要な場合、所有者および承認者に電子メールで通知が送られます。変更承認作業項目および承認作業項目については、「変更承認作業項目と承認作業項目の開始」の節で説明します。

所有者および承認者は、「ロールの作成」フォーム内の「セキュリティー」タブのロールに追加されます。

「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。このフォームの使用方法については、オンラインヘルプを参照してください。

通知の指定

ロールがユーザーに割り当てられたときに、通知を 1 人以上の管理者に送信できます。

通知受信者の指定は、省略可能です。ロールがユーザーに割り当てられているときに、承認を不要に設定すると、管理者への通知を選択できます。また、承認を指定する際、ある管理者を承認者にして、別の管理者を通知の受信者にすることもできます。

所有者および承認者の場合と同様、通知をロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。ロールがユーザーに割り当てられたときに、通知受信者は電子メールで通知されます。ただし、承認が不要なため、作業項目は作成されません。

通知は、「ロールの作成」フォームの「セキュリティー」タブでロールに割り当てます。「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。

変更承認作業項目と承認作業項目の開始

ロールの変更時に、ロール所有者が「変更承認」の電子メール、または「変更通知」の電子メールを受信するようにできます。また、メールを受信しないようにすることもできます。ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。

デフォルトでは、ロール所有者は、所有しているロールが変更されたときは必ず、変更承認の電子メールを受信します。ただし、この動作はロールタイプごとに設定が可能です。たとえば、ビジネスロールと IT ロールで変更承認を有効にし、アプリケーションロールとアセットロールで変更通知を有効にできます。

変更承認および変更通知の電子メールを有効または無効にする手順については、「ロールタイプの設定」を参照してください。

次に、変更承認および変更通知がどのように機能するかを説明します。

• 「変更承認」が有効な場合、管理者がロールを変更すると、作業項目が生成され、承認の電子メールがロール所有者に送信されます。変更を実行するには、ロール所有者が作業項目を承認する必要があります。変更承認の作業項目は委任できます。詳細は、「ユーザーアカウントの承認」を参照してください。

  変更承認が無効な場合、作業項目は生成されず、変更承認の電子メールがロール所有者に送信されることもありません。

• 変更通知が有効な場合、管理者がロールを変更すると、変更はただちに実行され、通知の電子メールがロール所有者に送信されます。

  変更通知が無効な場合、通知はロール所有者に送信されません。

ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。Identity Manager では、ロール承認の電子メールを無効にすることはできません。

ロール承認では、ユーザーにロールが割り当てられると、作業項目が生成され、承認の電子メールがロール承認者に送信されます。ロールをユーザーに割り当てるには、ロール承認者が作業項目を承認する必要があります。

変更承認作業項目と承認作業項目は委任できます。作業項目の委任については、「作業項目の委任」を参照してください。

ロールの編集と管理

大半のロール編集およびロール管理タスクは、「ロールの検索」および「ロールのリスト」タブで実行できます。これらのサブタブは、メインメニューの「ロール」タブ内にあります。

この節は次のトピックで構成されています。

• 「ロールを検索する」

• 「ロールを表示する」

• 「ロールを編集する」

• 「ロールを複製する」

• 「ロールを別のロールに割り当てる」

• 「別のロールに割り当てられたロールを削除する」

• 「ロールを有効または無効にする」

• 「ロールを削除する」

• 「リソースまたはリソースグループをロールに割り当てる」

• 「ロールに割り当てられているリソースまたはリソースグループを削除する」

ロールを検索する

指定した検索条件を満たすロールを検索するには、「ロールの検索」タブを使用します。

「ロールの検索」タブを使用することで、ロール所有者と承認者、割り当てられたアカウントタイプ、含まれるロールなど、さまざまな条件に基づいてロールを検索できます。

ロールに割り当てられたユーザーの検索については、「特定のロールに割り当てられたユーザーを検索する」を参照してください。

1. 管理者インタフェースで、「ロール」タブをクリックします。

   「ロールのリスト」タブが開きます。

2. 「ロールの検索」二次タブをクリックします。

   図 5–7 は、「ロールの検索」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

   図 5–7 「ロールの検索」タブ

   
   

   ドロップダウンメニューを使用して、検索用のパラメータを定義します。「行の追加」ボタンをクリックして、追加のパラメータを指定します。

ロールを表示する

ロールを表示するには、「ロールのリスト」タブを使用します。「ロールのリスト」ページの上部にあるフィルタフィールドを使用して、名前またはロールタイプに基づいてロールを検索します。フィルタは、大文字と小文字を区別しません。

1. 管理者インタフェースで、「ロール」タブをクリックします。

   「ロールのリスト」タブが開きます。

   図 5–8 は、「ロールのリスト」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

   図 5–8 「ロールのリスト」タブ

   
   

ロールを編集する

「ロールのリスト」または「ロールの検索」タブを使って、編集するロールを検索します。ロールの変更時に変更承認が true に設定されている場合は、変更を実行するために、ロール所有者が変更を承認する必要があります。

ロールが変更されたユーザーの更新については、「ユーザーに割り当てられたロールを更新する」を参照してください。

1. 「ロールを検索する」または「ロールを表示する」の手順に従って、編集するロールを検索します。

2. 編集するロールの名前をクリックします。

   「ロールの編集」ページが開きます。

3. 必要に応じてロールを編集します。「ID」、「リソース」、「ロール」、および「セキュリティー」タブに必要な情報を指定するために役立つ情報については、「「ロールの作成」フォームを使用してロールを作成する」の手順を参照してください。

   「保存」をクリックします。「ロール変更の確認」ページが開きます。

4. このロールをユーザーに割り当てる場合は、ロールが変更されたユーザーをいつ更新するかを選択できます。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

5. 変更を保存するには、「保存」をクリックします。

ロールを複製する

1. 「ロールを検索する」または「ロールを表示する」の手順に従って、編集するロールを検索します。

2. 複製するロールの名前をクリックします。

   「ロールの編集」ページが開きます。

3. 「名前」フィールドに新しい名前を入力して、「保存」をクリックします。

   「ロール: 作成または名前変更 ?」ページが開きます。

4. 「作成」をクリックして、ロールのコピーを作成します。

ロールを別のロールに割り当てる

ロールの割り当てに関する Identity Manager の要件については、「ロールとは」および「ロールタイプの使用」で説明します。ロールを割り当てる前にこの情報を理解しておいてください。

親ロールのロール所有者が承認すると、Identity Manager がロールのロール割り当てを変更します。

1. 1 つ以上の「含まれるロール」の割り当て先となるビジネスロールまたは IT ロールを検索します。ロールの割り当て先にできるのはビジネスロールと IT ロールのみです。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。

2. ビジネスロールまたは IT ロールをクリックして開きます。

   「ロールの編集」ページが開きます。

3. 「ロールの編集」ページの「ロール」タブをクリックします。

4. 「含まれるロール」セクションの「追加」をクリックします。

   タブが更新され、「含まれるロールの検索」フォームが表示されます。

5. このロールに割り当てるロールを検索します。最初に必須のロールを割り当てます。条件付きおよびオプションロールはあとで追加します。

   検索フォームの使用方法については、「ロールを検索する」を参照してください。ビジネスロールを入れ子にしたり、ほかのロールタイプに割り当てたりすることはできません。

6. 割り当てる 1 つ以上のロールをチェックボックスで選択し、「追加」をクリックします。

   タブが更新され、「含まれるロールの追加」フォームが表示されます。

7. 「関連付けタイプ」ドロップダウンメニューから「必須」 (あるいは必要に応じ「条件付き」または「オプション」) を選択します。

   「OK」をクリックします。

8. 前の 4 つの手順を繰り返して、条件付きロールを追加します (必要な場合)。前の 4 つの手順をもう一度繰り返して、オプションロールを追加します (必要な場合)。

9. 「保存」をクリックして、「ロール変更の確認」ページを開きます。

   「ロール変更の確認」ページが開きます。

10. 「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択し、「保存」をクリックしてロールの割り当てを保存します。

    詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

別のロールに割り当てられたロールを削除する

Identity Manager は、親ロールのロール所有者が承認すれば、別のロールから含まれるロールを削除します。削除されたロールは、ユーザーがロールの更新を受け取ったときに、ユーザーから削除されます。(詳細は、「ユーザーに割り当てられたロールを更新する」を参照)ロールを削除すると、ユーザーはロールによって与えられたエンタイトルメントを失います。

• 1 人以上のユーザーに割り当てられたロールの削除については、「1 つ以上のロールをユーザーから削除する」を参照してください。

• ロールの無効化については、「ロールを有効または無効にする」を参照してください。

• Identity Manager からのロールの削除については、「ロールを削除する」を参照してください。

1. ロールを削除するビジネスロールまたは IT ロールを検索します。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。

2. ロールをクリックして開きます。

   「ロールの編集」ページが開きます。

3. 「ロールの編集」ページの「ロール」タブをクリックします。

4. 「含まれるロール」セクションで、削除するロールの横のチェックボックスを選択して、「削除」をクリックします。複数のロールを削除する場合は、複数のチェックボックスを選択します。

   テーブルが更新され、残りの「含まれるロール」が表示されます。

5. 「保存」をクリックします。

   「ロール変更の確認」ページが開きます。

6. 「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

7. 「保存」をクリックして、変更を確定します。

ロールを有効または無効にする

「ロールのリスト」タブで、ロールを有効および無効にできます。ロールの状態が「状態」列に表示されます。「状態」列ヘッダーをクリックして、ロールの状態でテーブルを並べ替えます。

無効にされたロールは、「作成/編集」ユーザーフォームの「ロール」タブには表示されず、ユーザーに直接割り当てることはできません。無効化されたロールを含むロールをユーザーに割り当てることはできますが、無効化されたロールを割り当てることはできません。

あとで無効化されるロールが割り当てられているユーザーは、そのエンタイトルメントを失いません。ロールの無効化により妨げられるのは、将来のロール割り当てだけです。

ロールを無効にしてから再度有効にするには、ロール所有者の権限が必要です。

割り当てられたユーザーでロールを有効または無効にすると、Identity Manager によりこれらのユーザーを更新するように求められます。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

1. 「ロールを検索する」または「ロールを表示する」の手順に従って、削除するロールを検索します。

2. 有効または無効にするロールの横にあるチェックボックスをクリックします。

3. 「ロール」テーブルの下部にある「有効化」または「無効化」をクリックします。

   「ロールの有効化」または「ロールの無効化」確認ページが開きます。

4. 「OK」をクリックして、ロールを有効化または無効化します。

ロールを削除する

この節では、Identity Manager からロールを削除する手順について説明します。

• 別のロールに割り当てられたロールの削除については、「別のロールに割り当てられたロールを削除する」を参照してください。

• 1 人以上のユーザーに割り当てられたロールの削除については、「1 つ以上のロールをユーザーから削除する」を参照してください。

現在ユーザーに割り当てられているロールを削除する場合、ロールを保存しようとすると Identity Manager により削除が妨げられます。削除を完了するには、ロールに割り当てられているすべてのユーザーを事前に割り当て解除 (または再割り当て) しておく必要があります。また、ロールをほかのロールから削除する必要もあります。

Identity Manager で、ロールを削除する前に、ロール所有者の承認が必要です。

1. 「ロールを検索する」または「ロールを表示する」の手順に従って、削除するロールを検索します。

2. 削除する各ロールの横にあるチェックボックスを選択します。

3. 「削除」をクリックします。

   「ロールの削除」確認ページが表示されます。

4. 「OK」をクリックして、1 つ以上のロールを削除します。

リソースまたはリソースグループをロールに割り当てる

リソースおよびリソースグループの割り当てに関する Identity Manager の要件については、「ロールとは」および「ロールタイプの使用」で説明します。リソースをロールに割り当てる前に、この情報を理解しておいてください。

Identity Manager は、ロール所有者が承認すれば、ロールのリソースおよびリソースグループの割り当てを変更します。

1. リソースまたはリソースグループを追加する IT ロールまたはアプリケーションを検索します。ロールの検索方法については、「ロールを検索する」または「ロールを表示する」を参照してください。

2. ロールをクリックして開きます。

3. 「ロールの編集」ページの「リソース」タブをクリックします。

4. リソースを割り当てるには、「利用可能なリソース」列でリソースを選択し、矢印ボタンをクリックしてそのリソースを「現在のリソース」列に移します。

5. 複数のリソースを割り当てる場合は、リソースを更新する順番を指定することができます。「順番にリソースを更新する」チェックボックスを選択し、「+」ボタンと「-」ボタンを使用して「現在のリソース」列のリソースの順番を変更します。

6. このロールにリソースグループを割り当てるには、「利用可能なリソースグループ」列でリソースグループを選択し、矢印ボタンをクリックしてそのリソースグループを「現在のリソースグループ」列に移動します。リソースグループはリソースの集まりであり、リソースアカウントを作成および更新する順番を指定するための別の方法を提供します。

7. このロールのアカウント属性をリソース単位で指定するには、「割り当てられたリソース」セクションの「属性値の設定」をクリックします。詳細は、「リソースアカウント属性を表示または編集する」を参照してください。

8. 「保存」をクリックして、「ロール変更の確認」ページを開きます。

   「ロール変更の確認」ページが開きます。

9. 「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

10. 「保存」をクリックして、リソースの割り当てを保存します。

ロールに割り当てられているリソースまたはリソースグループを削除する

Identity Manager は、ロール所有者が承認すれば、リソースまたはリソースグループをロールから削除します。ユーザーがロールの更新を受信する際に、削除されたリソースがユーザーから削除されます。(詳細は、「ユーザーに割り当てられたロールを更新する」を参照)リソースの削除時に、ユーザーにリソースが直接割り当てられているのでない限り、ユーザーはリソースに対するエンタイトルメントを失います。

1. リソースまたはリソースグループを削除する IT ロールまたはアプリケーションを検索します。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。

2. ロールをクリックして開きます。

   「ロールの編集」ページが開きます。

3. 「ロールの編集」ページの「リソース」タブをクリックします。

4. リソースを削除するには、「現在のリソース」列でリソースを選択し、矢印ボタンをクリックして「利用可能なリソース」列に移動します。

   リソースグループを削除するには、「現在のリソースグループ」列でリソースを選択し、矢印ボタンをクリックして「利用可能なリソースグループ」列に移動します。

5. 「保存」をクリックします。

   「ロール変更の確認」ページが開きます。

6. 「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

7. 「保存」をクリックして、変更を確定します。

ユーザーロール割り当ての管理

ロールをユーザーに割り当てるには、Identity Manager の「アカウント」領域を使用します。

ロールをユーザーに割り当てる

次の手順を実行して、1 つ以上のロールをユーザーに割り当てます。

エンドユーザーは、ロール割り当てリクエストを自分で作成することもできます。リクエストできるのは、親ロールがユーザーに割り当て済みのオプションロールのみです。エンドユーザーが利用可能なロールを要求できる方法については、「「リクエスト」タブ」の節の「Identity Manager エンドユーザーインタフェース」を参照してください。

1. 管理者インタフェースで、「アカウント」タブをクリックします。

   「アカウントのリスト」サブタブが開きます。

2. ロールを既存のユーザーに割り当てるには、次の手順に従います。

   1. 「ユーザーリスト」でユーザーの名前をクリックします。

   2. 「ロール」タブをクリックします。

   3. 「追加」をクリックして、1 つ以上のロールをユーザーアカウントに追加します。

      デフォルトでは、ユーザーに直接割り当てることができるのはビジネスロールだけです。(使用している Identity Manager が 8.0 より前のバージョンからアップグレードされたものである場合は、ビジネスロールと IT ロールをユーザーに直接割り当てることができます。)

   4. ロールのテーブルで、ユーザーに割り当てるロールを選択して、「OK」をクリックします。

      テーブルを、「名前」、「タイプ」、または「説明」でアルファベット順に並べ替えるには、列ヘッダーをクリックします。もう一度クリックすると、逆の順で並べ替えられます。リストをロールタイプでフィルタするには、「現在」ドロップダウンメニューから選択します。

      テーブルが更新され、選択したロール割り当て、および親ロール割り当てに関連付けられたすべての必須ロール割り当てが表示されます。

   5. 「追加」をクリックして、オプションロール割り当てを表示します。 これも、ユーザーに割り当てることができます。

      ユーザーに割り当てるオプションロールを選択して、「OK」をクリックします。

   6. (オプション)「アクティブになる日」列で、ロールをアクティブにする日付を選択します。日付を指定しない場合、指定したロール承認者がロール割り当てを承認するとすぐに、ロール割り当てがアクティブになります。

      一時的にロールを割り当てる場合は、「非アクティブになる日」列でロールを非アクティブにする日付を選択します。選択した日付に変わると、ロールが非アクティブになります。

      詳細は「「特定の日付にロールをアクティブ化および非アクティブ化する」を参照してください。

   7. 「保存」をクリックします。

特定の日付にロールをアクティブ化および非アクティブ化する

ロールをユーザーに割り当てる際に、「アクティブになる日」と「非アクティブになる日」を指定できます。ロール割り当て作業項目のリクエストは、割り当ての作成時に作成されます。ただし、設定されたアクティブ化の日付までにロール割り当てが承認されない場合、ロールは割り当てられません。ロールのアクティブ化および非アクティブ化は、指定された日付の午前零時を少し過ぎた時刻 (12:01 AM) に実行されます。

デフォルトでは、アクティブ化および非アクティブ化の日付を指定できるのはビジネスロールだけです。その他のロールタイプはすべて、ユーザーに直接割り当てられたビジネスロールのアクティブ化および非アクティブ化の日付を継承します。Identity Manager を設定することで、ほかのロールタイプに異なるアクティブ化および非アクティブ化の日付を直接割り当てることができます。手順については、「「ロールタイプの設定」」を参照してください。

延期タスクスキャナのスケジュールを編集する

延期タスクスキャナは、ユーザーロール割り当てをスキャンし、必要に応じてロールをアクティブおよび非アクティブにします。デフォルトでは、延期タスクスキャナタスクは 1 時間ごとに実行されます。

1. 管理者インタフェースで、「サーバータスク」をクリックします。

2. 二次的なメニューの「スケジュールの管理」をクリックします。

3. 「スケジューリング可能なタスク」セクションで、「延期タスクスキャナ」タスク定義をクリックします。

   「 Deferred Task Scanner タスクのスケジュールの新規作成」ページが開きます。

4. フォームに必要な情報を指定します。ヘルプについては、i-Help およびオンラインヘルプを参照してください。

   タスクが実行されるべき日時を指定するには、「開始日」で mm/dd/yyyy hh:mm:ss という形式を使用します。たとえば、2008 年 9 月 29 日の午後 7 時にタスクの実行が開始されるようにスケジュールするには、09/29/2008 19:00:00 と入力します。

   「結果オプション」ドロップダウンメニューで、「名前の変更」を選択します。「待機」を選択した場合、このタスクの将来のインスタンスは、以前の結果を削除するまで実行されません。さまざまな「結果オプション」設定の詳細については、オンラインヘルプを参照してください。

5. 「保存」をクリックしてタスクを保存します。

   図 5–9に、「延期タスクスキャナ」タスクのスケジュールタスクフォームを示します。

   図 5–9 「延期タスクスキャナ」スケジュールタスクフォーム

   
   

ユーザーに割り当てられたロールを更新する

ユーザーに割り当てられたロールの編集時に、新しいロール変更に従ってユーザーをただちに更新することも、スケジュールした保守時間を使ってあとで更新することもできます。

ロールを変更すると、「ロール変更の確認」ページが開きます。「ロール変更の確認」ページは、「ユーザーに割り当てられたロールを更新する」に示されています。

• このページの「割り当てられたユーザーの更新」セクションには、ロールが現在割り当てられているユーザーの数が示されます。

• 「割り当てられたユーザーの更新」メニューを使用して、ユーザーを新しいロール変更でただちに更新するか (「更新」)、ユーザーの更新を延期するか (「更新しない」)、スケジュールしたカスタム更新タスクを選択します。

  • 「更新」はユーザーを即座に更新するため、多数のユーザーが影響を受ける場合は、このオプションを選択しないようにしてください。ユーザーの更新は、多くの時間とリソースを必要とする可能性があります。多数のユーザーを更新する必要がある場合は、オフピークの時間帯の更新をスケジュールすることをお勧めします。

  • ロールに「更新しない」を選択すると、管理者がユーザーのユーザープロファイルを表示するまで、またはユーザーが「ロールのユーザーの更新」タスクによって更新されるまで、ロールに割り当てられたユーザーはロールの更新を受け取りません。「ロールユーザーの更新」タスクのスケジュールについては、次の節を参照してください。

  • 「ロールユーザーの更新」タスクスケジュールが作成されている場合は、メニューから選択することができます。選択した「ロールのユーザーの更新」タスクは、タスクに定義されたスケジュールに従って、ロールに割り当てられたユーザーを更新します。詳細は、次の節を参照してください。

    「ユーザーに割り当てられたロールを更新する」に、「ロール変更の確認」ページを示します。「割り当てられたユーザーの更新」セクションには、このロールが現在割り当てられているユーザーの数が示されます。「割り当てられたユーザーの更新」ドロップダウンメニューには、「更新しない」と「更新」の 2 つのデフォルトオプションがあります。スケジュールした「ロールユーザーの更新」タスクのリストから選択することもできます。スケジュールした「ロールユーザーの更新」タスクの作成手順については、「ロールユーザーの更新タスクをスケジュールする」を参照してください。

    

割り当てられたユーザーを手動で更新する

1 つ以上のロールを選択して「割り当てられたユーザーの更新」ボタンをクリックすることで、ロールが割り当てられているユーザーを更新できます。この手順により、指定したロールの「ロールユーザーの更新」タスクのインスタンスが実行されます。

1. 「ロールを検索する」または「ロールを表示する」の手順に従って、割り当てられたユーザーを更新するロールを検索します。

2. チェックボックスを使ってロールを選択します。

3. 「割り当てられたユーザーの更新」をクリックします。

   「ロールが割り当てられているユーザーの更新」ページ (図 5–10) が表示されます。

4. 「起動」をクリックして更新を開始します。

5. メインメニューの「サーバータスク」をクリックしてから、二次的なメニューの「すべてのタスク」をクリックして、「ロールユーザーの更新」タスクの状態を確認します。

   図 5–10 「ロールが割り当てられているユーザーの更新」ページ

   
   

ロールユーザーの更新タスクをスケジュールする

---

注 –

ロールユーザーの更新タスクが定期的に実行されるようにスケジュールしてください。

---

次のようにロールユーザーの更新タスクをスケジュールして、未処理のロール変更があるユーザーを更新します。

1. 管理者インタフェースで、「サーバータスク」をクリックします。

2. 二次的なメニューの「スケジュールの管理」をクリックします。

3. 「スケジューリング可能なタスク」セクションで、「ロールユーザーの更新」タスク定義をクリックします。

   「Update Role Users タスクのスケジュールの新規作成」ページが開きます。既存のタスクを編集している場合は、「タスクスケジュールの編集」ページが開きます (図 5–11)。

4. フォームに必要な情報を指定します。ヘルプについては、i-Help およびオンラインヘルプを参照してください。

   タスクが実行されるべき日時を指定するには、「開始日」で mm/dd/yyyy hh:mm:ss という形式を使用します。たとえば、2008 年 9 月 29 日の午後 7 時にタスクの実行が開始されるようにスケジュールするには、09/29/2008 19:00:00 と入力します。

   「結果オプション」ドロップダウンメニューで、「名前の変更」を選択します。「待機」を選択した場合、このタスクの将来のインスタンスは、以前の結果を削除するまで実行されません。さまざまな「結果オプション」設定の詳細については、オンラインヘルプを参照してください。

5. 「保存」をクリックしてタスクを保存します。

   図 5–11に、「ロールユーザーの更新」タスクのスケジュールタスクフォームを示します。特定の「ロールユーザーの更新」タスクに特定のロールを割り当てることができます (「タスクパラメータ」セクションを参照。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。

   図 5–11 「ロールユーザーの更新」スケジュールタスクフォーム

   
   

特定のロールに割り当てられたユーザーを検索する

特定のロールが割り当てられたユーザーを検索できます。

1. 管理者インタフェースで、「アカウント」をクリックします。

2. 二次的なメニューの「ユーザーの検索」をクリックします。「ユーザーの検索」ページが開きます。

3. 検索タイプ「[ロールタイプを選択] ロールが割り当てられているユーザー」を見つけます。

4. オプションボックスを選択し、「ロールタイプの選択」ドロップダウンメニューを使用して利用可能なロールのリストをフィルタします。

   二次的なロールメニューが開きます。

5. ロールを選択します。

6. 検索をさらに絞り込む必要がなければ、その他の検索タイプチェックボックスを選択解除します。

7. 「検索」をクリックします。

   図 5–12 「ユーザーの検索」ページを使用した、ロールに割り当てられたユーザーの検索

   
   

1 つ以上のロールをユーザーから削除する

「ユーザーの編集」ページを使って、1 つ以上のロールをユーザーアカウントから削除できます。削除できるのは、直接割り当てられたロールだけです。間接的に割り当てられたロール (つまり、条件付きまたは必須、あるいはその両方の含まれるロール) は、親ロールの削除時に削除されます。間接的に割り当てられたロールをユーザーから削除する別の方法は、ロールを親ロールから削除することです (「別のロールに割り当てられたロールを削除する」を参照)。

エンドユーザーは、割り当てられたロールのユーザーアカウントからの削除もリクエストできます。「「リクエスト」タブ」の節の「Identity Manager エンドユーザーインタフェース」を参照してください。

スケジュールされた非アクティブ化の日付を使用したロールの削除については、「特定の日付にロールをアクティブ化および非アクティブ化する」を参照してください。

1. 管理者インタフェースで、「アカウント」タブをクリックします。

   「アカウントのリスト」サブタブが開きます。

2. 規則を削除するユーザーをクリックします。

   「ユーザーの編集」ページが開きます。

3. 「ロール」タブをクリックします。

4. ロールのテーブルで、ユーザーから削除するロールを選択して、「OK」をクリックします。

   テーブルを「名前」、「タイプ」、「アクティブになる日」、「非アクティブになる日」、「親ロール」、または「状態」でアルファベット順に並べ替えるには、列ヘッダーをクリックします。もう一度クリックすると、逆の順で並べ替えられます。リストをロールタイプでフィルタするには、「現在」ドロップダウンメニューから選択します。

   テーブルに、親ロールの割り当て (選択可能なロール)、および親ロールの割り当てに関連付けられたすべてのロール割り当て (選択不可のロール) が表示されます。

5. 「削除」をクリックします。

   割り当てられたロールのテーブルが更新され、割り当てられた残りのロールが表示されます。

6. 「保存」をクリックします。

   「リソースアカウントの更新」ページが開きます。削除しないリソースアカウントをすべて選択解除します。

7. 変更を保存するには、「保存」をクリックします。

ロールタイプの設定

ロールタイプ機能は、Role 設定オブジェクトを編集することで変更できます。

ロールタイプを設定してユーザーに直接割り当て可能にする

デフォルトでは、ユーザーに直接割り当てることができるのは特定のロールタイプだけです。これらの設定を変更するには、次の手順に従います。

---

注 –

もっとも推奨されるのは、ビジネスロールだけをユーザーに直接割り当てることです。詳細は、「ロールタイプを使用した柔軟なロールの設計」を参照してください。

---

ユーザーに直接割り当て可能なロールタイプを変更するには、次の手順に従います。

1. 「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。

2. 編集するロールタイプに対応するロールオブジェクトを探します。

   • IT ロールを編集する場合は、Object name='ITRole' を見つけます。

   • アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。

   • アセットロールを編集する場合は、Object name='AssetRole' を見つけます。

3. 一連の手順を指定して、設定を更新します。

   設定を更新する方法に応じて、次のいずれかを選択します。

   • ロールタイプを変更してユーザーに直接割り当て可能にするには、ロールオブジェクト内で次の userAssignment 属性を見つけます。

     <Attribute name=’userAssignment’> <Object/> </Attribute>

     これを次の属性で置き換えます。

     <Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • ロールタイプを変更してユーザーへの直接割り当てを不可にするには、ロールオブジェクト内で userAssignment 属性を見つけて、次に示すように manual 属性を削除します。

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。

割り当て可能なアクティブ化の日付および非アクティブ化の日付のロールタイプを有効にする

デフォルトでは、アクティブ化の日付および非アクティブ化の日付を設定できるのはビジネスロールだけです。これらの日付は、ロールの割り当て時に指定できます。その他のロールはすべて、ユーザーに直接割り当てられたビジネスロールのアクティブ化または非アクティブ化の日付を継承します。

---

注 –

もっとも推奨されるのは、ビジネスロールだけをユーザーに直接割り当てることです。詳細は、「ロールタイプを使用した柔軟なロールの設計」を参照してください。

別のロールタイプ (IT ロールタイプなど) をユーザーに直接割り当て可能にする場合は、そのロールタイプをアクティブにする日付や非アクティブにする日付も割り当て可能にできます。

---

どのロールタイプでアクティブ化および非アクティブ化の日付を割り当て可能にできるかを変更するには、次の手順に従います。

1. 「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。

2. 編集するロールタイプに対応するロールオブジェクトを探します。

   • ビジネスロールを編集する場合は、Object name='BusinessRole' を見つけます。

   • IT ロールを編集する場合は、Object name='ITRole' を見つけます。

   • アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。

   • アセットロールを編集する場合は、Object name='AssetRole' を見つけます。

3. 一連の手順を指定して、設定を更新します。

   設定を更新する方法に応じて、次のいずれかを選択します。

   • ロールタイプを変更して、直接割り当て可能なアクティブ化および非アクティブ化の日付を設定可能にするには、ロールオブジェクト内で次の userAssignment 属性を見つけます。

     <Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute>

     これを次の属性で置き換えます。

     <Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute>

   • ロールタイプを変更して、直接割り当て可能なアクティブ化および非アクティブ化の日付を設定できなくするには、ロールオブジェクト内で userAssignment 属性を見つけて、次に示すように activateDate および deactivateDate 属性を削除します。

     <Attribute name=’userAssignment’> <Object> </Object> </Attribute>

4. Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。

変更承認作業項目および変更通知作業項目を有効または無効にする

デフォルトでは、変更承認作業項目はすべてのロールタイプで有効です。このため、ロールに所有者がいる場合、ロールが変更されるたびに (ビジネスロール、IT ロール、アプリケーション、またはアセットのいずれであっても)、変更を実行するために所有者が変更を承認する必要があります。

変更承認作業項目および変更通知作業項目については、「変更承認作業項目と承認作業項目の開始」を参照してください。

ロールタイプの変更承認作業項目および変更通知作業項目を有効または無効にするには、次の手順に従います。

1. 「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。

2. 編集するロールタイプに対応するロールオブジェクトを探します。

   • ビジネスロールを編集する場合は、Object name='BusinessRole' を見つけます。

   • IT ロールを編集する場合は、Object name='ITRole' を見つけます。

   • アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。

   • アセットロールを編集する場合は、Object name='AssetRole' を見つけます。

3. <Attribute name='features'> 要素内の <Object> 要素で、次の属性を検索します。

   <Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/>

4. 必要に応じて、属性値を true または false に設定します。

5. 必要に応じ、手順 2 ～ 4 を繰り返して別のロールタイプを設定します。

6. Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。

ロールリストページで読み込み可能な最大行数を設定する

管理者インタフェースの「ロールのリスト」ページには、設定可能な最大行数を表示できます。デフォルト値は 500 です。この節の手順に従って、この数を変更します。

次の手順に従って、「ロールのリスト」ページで表示可能な最大行数を変更します。

1. 「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。

2. 次の属性を検索して、値を変更します。

   <Attribute name=’roleListMaxRows’ value=’500’/>

3. Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。

Identity Manager ロールとリソースロールの同期

Identity Manager ロールをリソース上でネイティブに作成されたロールと同期することができます。同期させると、リソースはデフォルトでロールに割り当てられます。これには、同期タスクを使用して作成されたロール、およびいずれかのリソースロール名に一致する既存の Identity Manager ロールが該当します。

Identity Manager ロールをリソースロールと同期する

1. 管理者インタフェースで、メインメニューから「サーバータスク」をクリックします。

2. 「タスクの実行」をクリックします。「利用可能なタスク」ページが開きます。

3. 「アイデンティティーシステムのロールとリソースのロールの同期」タスクをクリックします。

4. フォームに必要な情報を指定します。詳細については、「ヘルプ」をクリックしてください。

5. 「起動」をクリックします。