test

Sun Identity Manager 8.1 ビジネス管理者ガイド

ロールタイプを使用した柔軟なロールの設計

IT ロール、アプリケーション、およびアセットは、ロールデザイナの構成単位です。これら 3 つのロールタイプを組み合わせて、ユーザーエンタイトルメント (アクセス権) が構築されます。IT ロール、アプリケーション、およびアセットは、その後、ビジネスロールに割り当てられます。

ビジネスロールの設計

Identity Manager では、ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。Identity Manager 8.0 でロールタイプが導入されたため、ビジネスロールをユーザーに直接割り当てることだけをお勧めします。実際には、組織が 8.0 より前のバージョンの Identity Manager をインストールし、バージョン 8.0 以上にアップグレードした場合を除き、デフォルトでは他のロール タイプのいずれもユーザーに直接割り当てることはできません。このデフォルトの制限は、ロール設定オブジェクトを変更することによって変更できます (「ロールタイプの設定」)。

複雑さを軽減するため、ビジネスロールを入れ子にすることはできません。すなわち、1 つのビジネスロールに別のビジネスロールを含めることはできません。また、ビジネスロールにリソースおよびリソースグループを直接含めることもできません。その代わり、リソースおよびリソースグループを IT ロールまたはアプリケーションに割り当ててください。 そうすると、IT ロールまたはアプリケーションを 1 つ以上のビジネスロールに割り当てることができます。

IT ロールの設計

IT ロールには、アプリケーション、アセット、およびほかの IT ロールを含めることができます。IT ロールに、リソースやリソースグループを含めることもできます。

IT ロールの作成および管理は、組織の IT スタッフ、またはリソース内の特定の特権の有効化に必要なエンタイトルメントを理解しているリソース所有者により行われることが想定されています。

アプリケーションとアセットの設計

アプリケーションおよびアセットとは、エンドユーザーがジョブの実行に必要なことを説明するための、よく使用されるビジネス用語を表すロールタイプです。たとえば、アプリケーションロールには、「Customer Support Tools」や「Intranet HR-Tool Admin」という名前が付けられる可能性があります。

アプリケーションおよびアセットは、ビジネスロールおよび IT ロールに割り当てることが想定されています。

注 –

ロール管理者には、次の機能を 1 つ以上割り当ててください。

詳細は、「ユーザーへの機能の割り当て」を参照してください。

ロールタイプの概要

次の図に、4 つのロールタイプのそれぞれに割り当て可能なロールタイプ、リソース、およびリソースグループを示します。また、4 つのロールタイプすべてにロールタイプの除外を割り当て可能であることも示します。(ロールの除外については、「リソースとリソースグループを割り当てる」を参照)

図 5–1 ビジネスロール、IT ロール、アプリケーション、およびアセットのロールタイプ

ビジネスロール、IT ロール、アプリケーション、およびアセットのロールタイプを示す図

オプション、条件付き、および必須のロール (「ロールとは」) により、柔軟性が増します。柔軟性の高いロール定義により、組織が管理する必要のあるロールの総数を減らすことができます。

図 5–2 は、8.0 より前のバージョンの Identity Manager がバージョン 8.0 以上にアップグレードされた場合に、ビジネスロールと IT ロールがユーザーに直接割り当てられることを示します。アップグレード時に、従来のロールは IT ロールに変換され、下位互換を保証するために、IT ロールはユーザーに直接割り当てられます。Identity Manager が 8.0 より前のバージョンからアップグレードされたものではない場合、ビジネスロールだけをユーザーに直接割り当てることができます。

図 5–2 ユーザーに直接割り当て可能なロールおよびリソース

ビジネスロールと IT ロールがどのようにユーザーに直接割り当てられるかを示す図