組織認証による委任

Identity Manager では、デフォルトで、組織ベース認証モデルを使用して管理作業を委任できます。

組織ベース認証モデルで委任される管理者を作成するときは、次のことに留意してください。

• サービスプロバイダ管理者は、特定の機能と管理する組織を持つ Identity Manager ユーザーです。

• ユーザーの組織属性の値は、Identity Manager 組織の名前またはオブジェクト ID のいずれかです。これは、「Identity Manager メイン設定」画面の「Identity Manager 組織の属性名が ID を含む」フィールドの設定によって異なります。

• Identity Manager 階層を作成し、その階層に組織を配置して、それらの組織の管理を委任することができます。組織の単純名ではなく、組織に固有の識別情報を使用します。

• サービスプロバイダユーザーの組織はディレクトリサーバーのユーザー属性から取得されます。

  • ディレクトリサーバーリソースのスキーママップに属性を設定する必要があります。

  • 属性の比較は、管理者が管理する組織リストとの「完全一致」によって行われます。ディレクトリに格納される値は、階層全体ではなく、組織名と一致する必要があります。管理者が Top:orgA:sub1 を管理する場合、sub1 はサービスプロバイダユーザーの組織属性に格納されている値でなければなりません。

  • 属性が設定されていない場合、または Identity Manager 組織と一致しない場合、そのサービスプロバイダユーザーは最上位 (Top) 組織のメンバーとみなされます。このため、サービスプロバイダ管理者は、それらのユーザーを管理するために、Top 内でサービスプロバイダユーザー機能を持っていることが必要です。

  属性設定により、サービスプロバイダ管理者による検索範囲が決まります。

• 委任される管理者のアカウントを作成するには、まず Identity Manager 管理者を作成し、次に サービスプロバイダ管理者機能を追加します。ユーザーに割り当てることができる Service Provider タスクに固有の機能があります (「ユーザーの編集」ページの「セキュリティー」タブ)。管理する組織は、管理者が変更できるサービスプロバイダユーザーを指定します。サービスプロバイダユーザーが利用可能なリソースはいずれも、すべての Identity Manager 管理者が利用可能です。

Identity Manager の委任管理については、第 6 章管理の「委任された管理」を参照してください。