test

Sun Identity Manager 8.1 ビジネス管理者ガイド

新しい規則に名前を付けて説明する

オプションの作業として新しい規則に名前を付けて説明します。このページでは、Identity Manager で規則が表示されるときに規則名の横に表示される説明テキストを入力します。規則の内容を示す簡潔でわかりやすい説明を入力します。この説明は、Identity Manager の「ポリシー違反のレビュー」ページ内に表示されます。

図 14–2 監査ポリシーウィザード: 規則の説明の入力画面

新しい規則の名前と説明の入力方法を示す図

たとえば、Oracle ERP responsibilityKey の Payable User 属性値と Receivable User 属性値の両方を持つユーザーを検出する規則を作成する場合は、「説明」フィールドに「Payable User と Receivable User の両方の役割を持つユーザーを検出する」などのテキストを入力します。

規則に関する追加情報を入力する場合は、「コメント」フィールドを使用します。

規則で参照するリソースの選択

このページでは、規則で参照するリソースを選択します。各規則変数は、このリソースの属性に対応している必要があります。このオプションリストには、表示アクセス権を持つすべてのリソースが表示されます。この例では、「Oracle ERP」が選択されています。

図 14–3 監査ポリシーウィザード: リソースの選択画面

規則で参照するリソースの選択方法を示す図

注 –

使用可能な各リソースアダプタのほとんどの属性 (ただし全部ではない) がサポートされています。利用可能な特定の属性の詳細については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。

「次へ」をクリックして次のページに進みます。

規則式の作成

この画面では、新しい規則の規則式を入力します。この例では、Oracle ERP responsibilityKeyPayable User 属性値を持つユーザーは、Receivable User 属性値を同時に持つことができないという規則を作成します。

Procedure規則式を作成する

  1. 使用可能な属性のリストからユーザー属性を選択します。この属性は、規則変数に直接対応します。

  2. リストから論理条件を選択します。有効な条件には、「=」(等しい)、「!=」(等しくない)、「<」(より小さい)、「<=」(より小さいまたは等しい)、「>」(より大きい)、「>=」(より大きいまたは等しい)、「が true である」、「が null である」、「が null でない」、「が空の文字列である」、および「が右の文字列を含む」があります。この例では、使用できる属性条件のリストから「contains」を選択します。

  3. 式の値を入力します。たとえば、「Payable user」と入力した場合は、responsibilityKeys 属性の Payable user値を持つ Oracle ERP ユーザーを指定したことになります。

  4. (省略可能) 「AND」または「OR」の演算子をクリックし、行を追加して、別の式を作成します。

    図 14–4 監査ポリシーウィザード: 規則式の選択画面

    監査ポリシーウィザードの「規則式の選択」画面を示す図

    この規則はブール値を返します。両方のステートメントが true の場合、ポリシー規則は、ポリシー違反となる TRUE の値を返します。

    注 –

    Identity Manager では、入れ子になった規則の制御はサポートされません。また、監査ポリシーウィザードを使用して、規則間で異なるブール演算子を使用したポリシーを作成すると、評価の順序が指定されていないため、予期しない結果となる可能性があります。

    複雑な規則式の場合は、監査ポリシーウィザードを使用するのではなく、XML エディタを使用して規則を作成してください。XML エディタを使用すると、必要な場所で否定を指定し、ルール間で 1 つのブール演算子のみを使用するようにできます。

    次のコード例は、この画面で作成した規則の XML を示しています。


    <Description>Payable User/Receivable User</Description>
  <RuleArgument name=’resource’ value=’Oracle ERP’>
    <Comments>Resource specified when  audit policy was created.</Comments>
    <String>Oracle ERP</String>
  </RuleArgument>
    <and>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Receivable User</s>
      </contains>
      <contains>
        <ref>accounts[Oracle ERP].responsibilityKeys</ref>
        <s>Payables User</s>
      </contains>
    </and>
    <MemberObjectGroups>
      <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
    </MemberObjectGroups>
</Rule>

    規則から式を削除するには、属性条件を選択して「削除」をクリックします。

    「次へ」をクリックして監査ポリシーウィザードを続行します。既存の規則を追加するか、もう一度ウィザードを使用して、より多くの規則を追加することができます。