ロールとは

ロールとは、リソースのアクセス権限をグループ分けし、ユーザーに効率的に割り当てる Identity Manager オブジェクトです。

ロールは、次の 4 つのロールタイプに分けられます。

• ビジネスロール

• IT ロール

• アプリケーション

• アセット

「ビジネスロール」は、組織で類似したタスクを実行する人が職務を遂行するために必要とするアクセス権限をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。たとえば金融機関では、ビジネスロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。

IT ロール、アプリケーション、およびアセットは、リソースエンタイトルメントをグループに編成します。エンドユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。IT ロールには、アプリケーション、アセット、リソースの特定のセットが含まれます。 これには、割り当て済みリソースに対する特定のエンタイトルメントが含まれます。IT ロールには、ほかの IT ロールを含めることもできます。

ロールタイプの概念は、Identity Manager Version 8.0 で新しくなりました。組織が以前のバージョンの Identity Manager からバージョン 8.0 にアップグレードした場合、従来のロールは IT ロールとしてインポートされています。詳細は、「バージョン 8.0 より前のバージョンで作成されたロールの管理」を参照してください。

IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。

• 必須ロールは、常にエンドユーザーに割り当てられます。

• 条件付きロールを割り当てるには、条件が true に評価される必要があります。

• オプションロールは個別にリクエストでき、承認されるとエンドユーザーに割り当てられます。

ビジネスロールデザイナは、必須、条件付き、およびオプションのロールを使用して、エンドユーザーの管理者がエンドユーザーのアクセス権をきめ細かく調整できるだけの柔軟性を確保しつつ、含まれるロールへの詳細なアクセスを定義して法規制へのコンプライアンスを達成できます。条件付きまたはオプションのロールを割り当てられたユーザーも、割り当てられた同じビジネスロールを共有できますが、割り当てられるアクセス権は異なります。この方法では、組織内のアクセス要件の順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。