ロールの作成

この節では、ロールを作成する方法を次のような構成で説明します。

• 「「ロールの作成」フォームを使用してロールを作成する」

• 「リソースとリソースグループを割り当てる」

• 「割り当てられているリソース属性値を編集する」

• 「ロールとロールの除外を割り当てる」

• 「ロール所有者とロール承認者の指定」

• 「通知の指定」

• 「変更承認作業項目と承認作業項目の開始」

---

注 –

ロールの指定のヒントについては、「ロールタイプを使用した柔軟なロールの設計」を参照してください。

---

ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。

「ロールの作成」フォームを使用してロールを作成する

1. 管理者インタフェースで、メインメニューから「ロール」をクリックします。

   「ロール」ページ (「ロールのリスト」タブ) が開きます。

2. ページ下部にある「新規」をクリックします。

   「 IT ロール の作成」ページが開きます。別のタイプのロールを作成するには、「タイプ」ドロップダウンメニューを使用します。

3. 「ID」タブのフォームフィールドに必要な情報を指定します。

   次の図は、「ID」タブを示したものです。

   図 5–3 「 IT ロール の作成」ページの「ID」タブ

   
   

4. 「ID」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「リソースとリソースグループを割り当てる」を参照してください。

   ロールに拡張属性値を設定するために役立つ情報については、「リソースアカウント属性を表示または編集する」を参照してください。

   次の図は、「リソース」タブを示したものです。

   図 5–4 「 IT ロール の作成」ページの「リソース」タブ

   
   

5. 「ロール」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロールとロールの除外を割り当てる」を参照してください。

   図 5–6 は、「ロール」タブを示したものです。

6. 「セキュリティー」タブのフォームフィールドに必要な情報を指定します。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロール所有者とロール承認者の指定」と「通知の指定」を参照してください。

   「ロール所有者とロール承認者の指定」に、「セキュリティー」タブを示します。

7. ページの下部にある「保存」をクリックします。

8. ロール名と説明は、「ロールの作成」フォームの「ID」タブに入力します。新しいロールを作成する場合は、「タイプ」ドロップダウンメニューで作成するロールタイプを選択します。

   図 5–4 は、「ロールの作成」フォームの「ID」タブの「ID」セクションを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

リソースとリソースグループを割り当てる

リソースとリソースグループは、「ロールの作成」フォームの「リソース」タブを使って、IT ロールおよびアプリケーションロールに直接割り当てることができます。リソースについては、「Identity Manager リソースとその管理について」の節で後述します。リソースグループについては、「リソースグループ」の節で説明します。

• 「ビジネスロール」に割り当てることができるのはロールのみのため、リソースとリソースグループを「ビジネスロール」に直接割り当てることはできません。

• リソースおよびリソースグループをアセットロールに割り当てることはできません。アセットロールは、手動プロビジョニングが必要な非接続または非デジタルのリソース用に予約されています。

ここでは、「ロールの作成」フォームに必要な情報を指定したあとで、リソースおよびリソースグループをロールに割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。

1. 「ロールの作成」ページの「リソース」タブをクリックします。

2. リソースを割り当てるには、「利用可能なリソース」列でリソースを選択し、矢印ボタンをクリックしてそのリソースを「現在のリソース」列に移します。

3. 複数のリソースを割り当てる場合は、リソースを更新する順番を指定することができます。「順番にリソースを更新する」チェックボックスを選択し、「+」ボタンと「-」ボタンを使用して「現在のリソース」列のリソースの順番を変更します。

4. このロールにリソースグループを割り当てるには、「利用可能なリソースグループ」列でリソースグループを選択し、矢印ボタンをクリックしてそのリソースグループを「現在のリソースグループ」列に移動します。リソースグループはリソースの集まりであり、リソースアカウントを作成および更新する順番を指定するための別の方法を提供します。

5. このロールのアカウント属性をリソース単位で指定するには、「割り当てられたリソース」セクションの「属性値の設定」をクリックします。詳細は、「リソースアカウント属性を表示または編集する」を参照してください。

6. 「保存」をクリックしてロールを保存するか、「ID」、「ロール」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。

   次の図は、「ロールの作成」フォームの「リソース」タブを示したものです。

   図 5–5 タブ付きの「ロールの作成」フォームの「リソース」セクション

   
   

割り当てられているリソース属性値を編集する

「割り当てられたリソース」テーブルを使用して、ロールに割り当てられたリソースのリソース属性値を設定または変更します。リソースには、ロールごとに定義された異なる複数の属性値を含めることができます。「属性値の設定」ボタンをクリックすると、「リソースアカウントの属性」ページが開きます。

次の図に「リソースアカウントの属性」ページを示します。このページを使って、ロールに割り当てられたリソースに拡張属性値を設定します。

1. 「リソースアカウントの属性」ページから、属性ごとに新しい値を指定し、属性値の設定方法を決定します。

   Identity Manager では、値を直接設定することや規則に従って設定することができ、既存の値を上書きしたり値を既存の値とマージしたりするためのさまざまなオプションが用意されています。リソース属性値についての一般的な情報は、「リソースアカウント属性を表示または編集する」を参照してください。

   次のオプションを使用して、リソースアカウント属性ごとに値を設定します。

   • 「値の上書き」。次のオプションのいずれかを選択します。

     • 「なし」 (デフォルト)。値は何も設定されません。

     • 「規則」。規則に従って値を設定します。

       このオプションを選択した場合には、リストから規則名を選択する必要があります。

     • 「テキスト」。指定されたテキストを使用して値を設定します。

       このオプションを選択した場合、隣接する「テキスト」フィールドにテキストを入力する必要があります。

   • 「設定方法」。次のオプションのいずれかを選択します。

     • 「デフォルト値」。規則またはテキストをデフォルトの属性値に設定します。

       ユーザーはこの値を変更または上書きできます。

     • 「値を設定」。規則またはテキストで指定された属性値を設定します。

       値が設定され、ユーザーの変更は上書きされます。

     • 「値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。

     • 「値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。

     • 「値から削除」。規則またはテキストで指定された値を属性値から削除します。

     • 「強制的に値を設定」。規則またはテキストで指定された属性値を設定します。

       値が設定され、ユーザーの変更は上書きされます。ロールを削除すると、過去に属性に値が指定されていた場合でも、新しい値は Null となります。

     • 「 強制的に値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。

       ロールを削除すると、ロールが割り当てられたときに割り当てられた値は削除されますが、元の属性値はそのままです。

     • 「強制的に値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。

       ロールが削除されると、属性上に以前に存在していても、このロールによって指定された属性値はクリアされます。

   • 「規則名」。「値の上書き」領域で「規則」を選択した場合には、このリストから規則を選択します。

   • 「テキスト」。「値の上書き」領域で「テキスト」を選択した場合には、属性値に追加するテキスト、属性値から削除するテキスト、または属性値として使用するテキストを入力します。

2. 「OK」をクリックして変更を保存し、「ロールの作成または編集」ページに戻ります。

ロールとロールの除外を割り当てる

ロールは、「ロールの作成」フォームの「ロール」タブを使って、ビジネスロールと IT ロールに割り当てることができます。割り当てられたロールは、「含まれるロール」のテーブルに追加されます。

• ロールを「アプリケーション」ロールと「アセット」ロールに割り当てることはできません。

• 「ビジネスロール」をロールタイプに割り当てることはできません。

「ロールの作成」フォームの「ロール」タブを使って、ロールの除外を 4 つのロールタイプすべてに割り当てることができます。ロールの除外を含むロールをユーザーに割り当てた場合、除外されたロールをそのユーザーに割り当てることはできません。ロールの除外は、「ロールの除外」テーブルに追加されます。

ここでは、「ロールの作成」フォームに必要な情報を指定したあと、ロールに 1 つ以上のロールを割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。

「ロール」タブに必要な情報を指定する

1. 「ロールの作成」ページの「ロール」タブをクリックします。

2. 「含まれるロール」セクションの「追加」をクリックします。

   タブが更新され、「含まれるロールの検索」フォームが表示されます。

3. このロールに割り当てるロールを検索します。最初に必須のロールを割り当てます。条件付きおよびオプションロールはあとで追加します。

   検索フォームの使用方法については、「ロールを検索する」を参照してください。ビジネスロールを入れ子にしたり、ほかのロールタイプに割り当てたりすることはできません。

4. 割り当てる 1 つ以上のロールをチェックボックスで選択し、「追加」をクリックします。

   タブが更新され、「含まれるロールの追加」フォームが表示されます。

5. 「関連付けタイプ」ドロップダウンメニューから「必須」 (あるいは必要に応じ「条件付き」または「オプション」) を選択します。

   「OK」をクリックします。

6. 前の 4 つの手順を繰り返して、条件付きロールを追加します (必要な場合)。前の 4 つの手順をもう一度繰り返して、オプションロールを追加します (必要な場合)。

7. 「保存」をクリックしてロールを保存するか、「ID」、「リソース」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。

   図 5–6 は、「ロールの作成」フォームの「ロール」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。

   図 5–6 タブ付きの「ロールの作成」フォームの「ロール」セクション

   
   

ロール所有者とロール承認者の指定

ロールには、「所有者」と「承認者」が指定されています。ロール所有者だけが、ロールを定義するパラメータの変更を承認できます。また、ロール承認者だけがエンドユーザーへのロールの割り当てを承認できます。

---

注 –

Identity Manager を Sun^TM Role Manager に統合した場合は、Identity Manager の機能を手動で無効にしてすべてのロール変更承認および通知を実行することによって、Role Manager がこれらのアクションを処理できるようにしてください。

Identity Manager で、次のように、RoleConfiguration 設定オブジェクトを編集する必要があります。

• changeApproval のすべてのインスタンスを検索し、値を false に設定します。

• changeNotificaiton のすべてのインスタンスを検索し、値を false に設定します。

---

ロール所有者になるということは、ロールを介して割り当てられる、基盤となるリソースアカウント権限への責任があるビジネス所有者になることを意味します。管理者がロールに変更を加えた場合は、その変更を実行する前に、ロール所有者が変更を承認する必要があります。この機能によって、ビジネスの所有者の認識や承認なしに、管理者が役割を変更することを防いでいます。ただし、変更承認がロール設定オブジェクトで無効化されている場合は、変更を実行するためにロール所有者の承認は必要ありません。

ロールの変更承認に加え、ロールの有効化、無効化、および削除もロール所有者の承認なしに行うことはできません。

所有者および承認者は、ロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。Identity Manager では、所有者や承認者なしでロールを作成できます (ただし、この方法は推奨されていません)。

---

注 –

ロール割り当て規則には、RoleUserRule authType があります。

カスタムのロール割り当て規則を作成する必要がある場合は、デフォルトのロール割り当て規則オブジェクト 3 つを参照し、これらのオブジェクトをサンプルとして使用してください。

• Role Approvers

• Role Notifications

• Role Owners

---

作業項目に承認が必要な場合、所有者および承認者に電子メールで通知が送られます。変更承認作業項目および承認作業項目については、「変更承認作業項目と承認作業項目の開始」の節で説明します。

所有者および承認者は、「ロールの作成」フォーム内の「セキュリティー」タブのロールに追加されます。

「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。このフォームの使用方法については、オンラインヘルプを参照してください。

通知の指定

ロールがユーザーに割り当てられたときに、通知を 1 人以上の管理者に送信できます。

通知受信者の指定は、省略可能です。ロールがユーザーに割り当てられているときに、承認を不要に設定すると、管理者への通知を選択できます。また、承認を指定する際、ある管理者を承認者にして、別の管理者を通知の受信者にすることもできます。

所有者および承認者の場合と同様、通知をロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。ロールがユーザーに割り当てられたときに、通知受信者は電子メールで通知されます。ただし、承認が不要なため、作業項目は作成されません。

通知は、「ロールの作成」フォームの「セキュリティー」タブでロールに割り当てます。「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。

変更承認作業項目と承認作業項目の開始

ロールの変更時に、ロール所有者が「変更承認」の電子メール、または「変更通知」の電子メールを受信するようにできます。また、メールを受信しないようにすることもできます。ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。

デフォルトでは、ロール所有者は、所有しているロールが変更されたときは必ず、変更承認の電子メールを受信します。ただし、この動作はロールタイプごとに設定が可能です。たとえば、ビジネスロールと IT ロールで変更承認を有効にし、アプリケーションロールとアセットロールで変更通知を有効にできます。

変更承認および変更通知の電子メールを有効または無効にする手順については、「ロールタイプの設定」を参照してください。

次に、変更承認および変更通知がどのように機能するかを説明します。

• 「変更承認」が有効な場合、管理者がロールを変更すると、作業項目が生成され、承認の電子メールがロール所有者に送信されます。変更を実行するには、ロール所有者が作業項目を承認する必要があります。変更承認の作業項目は委任できます。詳細は、「ユーザーアカウントの承認」を参照してください。

  変更承認が無効な場合、作業項目は生成されず、変更承認の電子メールがロール所有者に送信されることもありません。

• 変更通知が有効な場合、管理者がロールを変更すると、変更はただちに実行され、通知の電子メールがロール所有者に送信されます。

  変更通知が無効な場合、通知はロール所有者に送信されません。

ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。Identity Manager では、ロール承認の電子メールを無効にすることはできません。

ロール承認では、ユーザーにロールが割り当てられると、作業項目が生成され、承認の電子メールがロール承認者に送信されます。ロールをユーザーに割り当てるには、ロール承認者が作業項目を承認する必要があります。

変更承認作業項目と承認作業項目は委任できます。作業項目の委任については、「作業項目の委任」を参照してください。