サービスプロバイダユーザー管理者ロールの設定 (Sun Identity Manager 8.1 ビジネス管理者ガイド)

Sun Identity Manager 8.1 ビジネス管理者ガイド

サービスプロバイダユーザー管理者ロールの設定

サービスプロバイダユーザー管理者ロールを設定するには、管理者ロールを作成し、制御の範囲、機能、および割り当てるユーザーを指定します。

注 –

サービスプロバイダユーザー管理者ロールを作成する前に、その管理者ロールの検索コンテキスト、検索フィルタ、検索後のフィルタ、機能、およびユーザー割り当てに関する規則を定義します。

次の規則を使用するには、規則の authType を指定する必要があります。

SPEUsersSearchContextRule
SPEUsersSearchFilterRule
SPEUsersAfterSearchFilterRule
CapabilitiesOnSPEUserRule
UserIsAssignedAdminRoleRule
SPEUserIsAssignedAdminRoleRule

サービスプロバイダユーザー管理者ロールのこれらの規則を作成するには、Identity Manager に付属するサンプル規則を使用できます。サンプル規則は Identity Manager インストールディレクトリの sample/adminRoleRules.xml にあります。

実際の環境でのサンプル規則の作成については、『Sun Identity Manager Service Provider 8.1 Deployment』を参照してください。

サービスプロバイダユーザー管理者ロールを設定する

管理者インタフェースで、メニューから「セキュリティー」をクリックし、「管理者ロール」をクリックします。

「管理者ロール」ページが開きます。

「新規」をクリックします。

「管理者ロールの作成」ページが開きます。

管理者ロールの名前を指定し、タイプとして「サービスプロバイダユーザー」を選択します。

次の節の説明に従って、「制御の範囲」、「機能」、および「ユーザーに割り当てる」のオプションを指定します。

制御の範囲の指定

サービスプロバイダユーザー管理者ロールの制御の範囲は、特定の Identity Manager 管理者、Identity Manager エンドユーザー、または Identity Mananger サービスプロバイダエンドユーザーが表示できるサービスプロバイダユーザーを指定します。この範囲は、ディレクトリのサービスプロバイダユーザーを一覧表示するようにリクエストされたときに適用されます。

サービスプロバイダユーザー管理者ロールの制御の範囲では、以下の設定を 1 つ以上指定できます。

「ユーザー検索コンテキスト」。検索の開始に規則を使用するかテキスト文字列を使用するかを指定します。

「なし」を指定した場合、デフォルトの検索コンテキストは、サービスプロバイダユーザーディレクトリとして設定された Identity Mananger リソースで指定されたベースコンテキストになります。
「ユーザー検索フィルタ」。検索フィルタに規則を適用するかテキスト文字列を適用するかを指定します。

指定したテキスト文字列、または選択した規則から返されるテキスト文字列は、検索コンテキスト内で、この管理者ロールに割り当てられたユーザーが管理するユーザーセットを表す LDAP 準拠の検索フィルタ文字列になります。指定したフィルタは、ユーザーが指定した検索フィルタと結合されます。検索結果として返されるユーザーには、この管理者ロールに割り当てられたユーザーが一覧表示する権限を与えられていないユーザーが含まれないようにします。
「ユーザー検索後に適用されるフィルタ規則」。ユーザー検索フィルタの適用後に適用される規則を選択します。

この規則は、サービスプロバイダユーザーディレクトリに対して最初の LDAP 検索が実行されたあとに実行され、検索結果を評価して、リクエスト元のユーザーがアクセスを許可されている識別名 (dn) を決定します。

このタイプの規則を使用できるのは、あるユーザーをリクエスト元ユーザーの制御の範囲に含めるかどうかを LDAP 以外のユーザー属性 (グループメンバーシップなど) を使用して判断する場合や、フィルタでの判断をサービスプロバイダユーザーディレクトリ以外のリポジトリ (Oracle データベースや RACF など) を使用して行う必要がある場合などです。

機能の指定

サービスプロバイダユーザー管理者ロールの機能では、アクセスをリクエストされているサービスプロバイダユーザーに対してリクエスト元のユーザーが持つ機能と権利を指定します。これは、サービスプロバイダユーザーの表示、作成、変更、または削除のリクエストが作成されたときに適用されます。

「機能」タブで、この管理者ロールに適用する「機能規則」を選択します。

ユーザーへの管理ロールの割り当て

ログイン時の評価で認証ユーザーに管理者ロールを割り当てるかどうかを判断する規則を指定することにより、サービスプロバイダユーザー管理者ロールをサービスプロバイダユーザーに動的に割り当てることができます。

「ユーザーに割り当てる」タブをクリックし、割り当てに適用する規則を選択します。

注 –

ユーザーへの管理者ロールの動的割り当ては、ログインインタフェース (ユーザーインタフェースや管理者インタフェースなど) ごとに有効にする必要があります。そのためには、次のシステム設定オブジェクト (「Identity Manager 設定オブジェクトの編集」) を true に設定します。

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. loginInterface

すべてのインタフェースのデフォルトは false です。