Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Identity Server 2004Q2 管理ガイド 

第 4 章
アイデンティティ (識別情報) 管理

この章では、Sun JavaTM System Identity Server 2004Q2 のアイデンティティ管理機能について説明します。アイデンティティ管理モジュールインタフェースでは、すべての Identity Server オブジェクトおよびアイデンティティを表示、管理、および設定する方法を提供します。この章は、次の節で構成されています。

Identity Server コンソール

Identity Server コンソールはロケーション区画、ナビゲーション区画、およびデータ区画の 3 つの部分で構成されます。これら 3 つの区画をすべて活用することで、管理者はディレクトリを移動したり、ユーザーおよびサービスを設定したり、ポリシーを作成したりすることができます。

図 4-1 Identity Server コンソール

Identity Server コンソール : ヘッダー区画 (上)、ナビゲーション区画 (左)、データ区画 (右)

ヘッダー区画

ヘッダー区画はコンソールの上部にあります。ヘッダー区画にあるタブを使用すると、さまざまな管理モジュールの表示に切り換えることができます。

「場所」フィールドは、ディレクトリツリー内の管理者の位置までの経路です。このパスはナビゲーションのために使用します。

「ようこそ」フィールドは、現在コンソールを実行しているユーザーの名前を、ユーザープロファイルへのリンク付きで表示します。

「検索」リンクは、特定の Identity Server オブジェクトタイプのエントリを検索できるインタフェースを表示します。プルダウンメニューを使用してオブジェクトタイプを選択し、検索文字列を入力します。結果は検索テーブルに表示されます。ワイルドカードも使用できます。

「ヘルプ」リンクは、ブラウザのウィンドウを開きます。このウィンドウにはアイデンティティ管理、現在のセッション、連携管理、およびこのマニュアルの第 4 部である「属性リファレンスガイド」についての情報があります。

「ログアウト」リンクは、ユーザーが Identity Server からログアウトできます。

ナビゲーション区画

ナビゲーション区画は、Identity Server コンソールの左部分の区画です。ディレクトリオブジェクト部分 (グレーのボックス内) には、現在開かれているディレクトリオブジェクトの名前と、そのプロパティへのリンクが表示されます。ナビゲーション区画に表示されるオブジェクトのほとんどには、対応するプロパティのリンクがあります。このリンクを選択すると、右側のデータ区画にそのエントリの属性が表示されます。「表示」メニューでは、選択したディレクトリオブジェクト配下のディレクトリが一覧表示されます。サブディレクトリ数によっては、ページ移動のメカニズムが用意されます。

データ区画

データ区画は、コンソールの右部分の区画です。すべてのオブジェクト属性とその値を表示および設定できるほか、それぞれのグループ、ロール、組織に対してエントリを選択できる場所です。

ヒント

「すべて選択」または「すべてを選択解除」アイコンをクリックすると、リスト内のすべての項目を選択または選択解除できます。

「すべて選択」アイコンと「すべてを選択解除」アイコン

Identity Server グラフィカルユーザーインタフェースには、基本的なビューが 2 つあります。ログインしているユーザーのロールによって、アイデンティティ管理ビューまたはユーザープロファイルビューにアクセスできます。

アイデンティティ管理ビュー

管理者のロールを持つユーザーが Identity Server に認証されると、デフォルトのビューはアイデンティティ管理ビューになります。このビューでは、管理者は管理タスクを実行できます。管理者のロールに応じて実行できる管理タスクには、オブジェクト (ユーザー、組織、ポリシーなど) の作成、削除、管理、およびサービスの設定が含まれます。

図 4-2 組織プロパティの表示されたアイデンティティ管理ビュー

Identity Server コンソール - 組織プロパティの表示されたアイデンティティ管理ビュー

ユーザープロファイルビュー

管理者のロールを割り当てられていないユーザーが Identity Server に認証されると、デフォルトのビューは各自のユーザープロファイルになります。このビューでは、各自の個人プロファイルに固有の属性値を修正できます。これには名前、ホームアドレス、パスワード以外にも、さまざまな属性が含まれます。ユーザープロファイルビューに表示される属性は拡張できます。オブジェクトおよびアイデンティティのカスタマイズした属性を追加するには、『Identity Server Developer's Guide』を参照してください。

プロパティ機能

エントリのプロパティを表示または修正するには、オブジェクト名の隣にある「プロパティ」の矢印をクリックします。属性とその値がデータ区画に表示されます。オブジェクトが異なると表示されるプロパティも異なります。

エントリのプロパティを拡張する詳細については、『Identity Server Developer's Guide』を参照してください。

図 4-3 ユーザープロファイルビュー

Identity Server コンソール - ユーザープロファイルビュー

アイデンティティ管理インタフェース

アイデンティティ管理インタフェースでは、アイデンティティ関連のオブジェクトを作成および管理することができます。Identity Server コンソールまたはコマンド行インタフェースを使用して、ユーザー、ロール、グループ、ポリシー、組織、サブ組織、およびコンテナの各オブジェクトを定義、修正、または削除できます。コンソールにはデフォルト管理者がいます。組織、グループ、コンテナ、ユーザー、サービス、ポリシーを作成し管理するための権限は、管理者によって異なります。ロールに基づいて、管理者を追加作成できます。管理者は Identity Server とインストールするときに、Directory Server 内に定義されます。

Identity Server オブジェクトの管理

ユーザー管理インタフェースには、Identity Server オブジェクト (組織、グループ、ユーザー、サービス、ロール、ポリシー、コンテナ、エージェント) の表示および管理に必要なすべてのコンポーネントが含まれています。この節では、オブジェクトタイプと、それらを設定する方法の詳細について説明します。

ほとんどの Identity Server オブジェクトタイプで、「表示オプション」と「利用可能なアクション」を設定して Identity Server コンソールに表示する Web インタフェースを表示または非表示にすることができます。設定は、組織およびロールのレベルで行い、ユーザーは、所属する組織または割り当てられたロールがある組織から設定を継承します。設定については、この章の終わりの方で説明します。

組織

組織は、企業が部門とリソースの管理に使用する最上位レベルの階層構造を表します。インストール時に、Identity Server は最上位レベルの組織 (インストール時に定義) をダイナミックに作成して、Identity Server の企業構成を管理します。インストール後に組織を追加作成して、企業を個別に管理できます。作成した組織はすべて、最上位レベルの組織の下に入ります。

組織を作成する

  1. アイデンティティ (識別情報) 管理モジュールの「表示」メニューから、「組織」を選択します。
  2. ナビゲーション区画で「新規」をクリックします。
  3. フィールドに値を入力します。「名前」だけが必須です。フィールドは次のとおりです。

    4. 「名前」: 組織の名前の値を入力します。

    「ドメイン名」: ドメインネームシステム (DNS) を使用している場合、DNS の完全な名前を入力します。

    「組織の状態」: 「アクティブ」または「非アクティブ」の状態を選択します。

    デフォルトは「アクティブ」です。これは、その組織の存続期間中であればいつでも、「プロパティ」アイコンを選択して変更できます。「非アクティブ」を選択すると、その組織にログインした場合、ユーザーアクセスが無効になります。

    「組織のエイリアス」: このフィールドでは、組織のエイリアス名を指定します。URL ログインで、認証にエイリアスを使用できるようになります。たとえば exampleorg という組織があり、エイリアスとして 123 および abc を指定すると、次の URL を使用して組織にログインできます。

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example.com/UI/Login?org=abc

    http://machine.example.com/UI/Login?org=123

    組織のエイリアス名は、組織全体で一意でなければなりません。「一意の属性リスト」を使用して一意性を実現できます。

    「DNS エイリアス名」: 組織の DNS 名に、エイリアス名を追加できます。この属性では、実際のドメインエイリアスだけを使用できます。ランダムな文字列は使用できません。たとえば example.com という DNS があり、exampleorg という組織のエイリアスとして example1.com および example2.com を指定すると、次の URL を使用して組織にログインできます。

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example1.com/UI/Login?=org=exampleorg

    http://machine.example2.com/UI/Login?org=exampleorg

    「一意の属性リスト」: 組織内のユーザー用の一意の属性名リストを追加できます。たとえば、電子メールアドレスを指定する一意の属性名を追加した場合、同一の電子メールアドレスを持つ 2 人のユーザーを作成することができなくなります。このフィールドには、カンマ区切りのリストも指定できます。リスト内の属性名は、どれも一意性を定義します。たとえば、このフィールドに次の属性名リストが指定されたとします。

    PreferredDomain, AssociatedDomain

    また、特定のユーザーに対して、PreferredDomainhttp://www.example.com と定義されています。この場合、カンマ区切りのリスト全体が、その URL に関して一意であると定義されます。

    すべてのサブ組織で一意性が要求されます。

  4. 「了解」をクリックします。

    5. 新しい組織がナビゲーション区画に表示されます。組織の作成時に定義したプロパティを編集するには、編集対象の組織の「プロパティ」の矢印をクリックし、データ区画の「表示」メニューから「一般」を選択し、プロパティを編集して「了解」をクリックします。「表示オプション」表示および「利用可能なアクション」表示を使用して、Identity Server コンソールの外観をカスタマイズし、この組織に対して認証されるユーザーの動作を指定します。

組織を削除する

  1. アイデンティティ管理で、「表示」メニューから「組織」を選択します。

    2. 作成されたすべての組織が表示されます。特定の組織を表示するには、検索文字列を入力して「検索」をクリックします。

  2. 削除する組織名の横にあるチェックボックスを選択します。
  3. 「削除」をクリックします。

    		4.

    削除を実行するときに警告メッセージは表示されません。組織内のエントリがすべて削除されます。この操作を元に戻すことはできません。

ポリシーに組織を追加する

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーを管理する」を参照してください。

グループ

グループは、共通の機能、特徴、または関心事を持つユーザーの集まりを表します。通常、このグループには関連付けられた権限はありません。グループは、組織内および管理されているほかのグループ内という、2 つのレベルに存在できます。ほかのグループ内に存在するグループは、サブグループと呼ばれます。サブグループは、親グループ内に「物理的に」存在する子ノードです。

Identity Server は、入れ子グループもサポートします。入れ子グループ は、1 つのグループに含まれる既存のグループを表します。サブグループとは対照的に、入れ子グループは DIT 内のどこにでも存在できます。入れ子グループは、多数のユーザーに対するアクセス権の設定を簡単にします。

グループを作成するときには、「加入によるメンバーシップ」(スタティックグループ) または「フィルタ別のメンバーシップ」 (フィルタを適用したグループ) を使用するグループを作成できます。これは、ユーザーをグループに追加する方法を制御します。ユーザーはスタティックグループのみに追加できます。ダイナミックグループは、フィルタを使用してユーザーの追加を制御します。入れ子グループまたはサブグループは、両方に追加できます。

スタティックグループ (「加入によるメンバーシップ」)

加入によるグループメンバーシップを指定すると、指定した管理されているグループタイプを基に、スタティックなグループが作成されます。管理されているグループタイプの値が static (スタティック) の場合は、groupOfNames または groupOfUniqueNames オブジェクトクラスを使用して、グループメンバーがグループエントリに追加されます。管理されているグループタイプの値が dynamic (ダイナミック) の場合は、LDAP フィルタを使用して、memberof 属性を含むユーザーエントリだけを検索して返します。詳細は、「管理されているグループタイプ」を参照してください。

管理されているグループタイプのデフォルトは dynamic です。このデフォルトは、管理サービス設定で変更できます。

フィルタを適用したグループ (フィルタ別のメンバーシップ)

フィルタを適用したグループは、LDAP フィルタを使用して作成したダイナミックグループです。エントリはすべてフィルタを通してまとめられ、グループにダイナミックに割り当てられます。フィルタはエントリの属性を検索して、その属性を含むエントリを返します。たとえば、建物番号に基づいてグループを作成する場合、フィルタを使用すると建物番号属性を含むすべてのユーザーの一覧を返します。

Identity Server と Directory Server は、参照整合性プラグインを使用するように設定されている必要があります。参照整合性プラグインが有効になっているときは、削除操作や名前の変更操作の直後に、指定された属性について整合性更新が実行されます。これにより、関連するエントリどうしの関係がデータベース全体で維持されます。Directory Server では、データベースインデックスによって検索パフォーマンスが向上します。このプラグインを有効にする方法の詳細は、『Sun Java System Identity Server Migration Guide』を参照してください。

スタティックグループを作成する

  1. グループを作成する組織、グループ、またはグループコンテナに移動します。
  2. 「表示」メニューから「グループ」を選択します。
  3. 「新規」をクリックします。
  4. データ区画のグループタイプに「加入によるメンバーシップ」を選択します。
  5. 「グループ名」フィールドにグループの名前を入力します。「次へ」をクリックします。
  6. 「ユーザーのグループ加入を有効」属性を選択すると、ユーザーが自分でそのグループに加入できるようになります。
  7. DIT に複数のグループコンテナを定義し、(管理サービスから)「グループコンテナを表示」属性を無効にしている場合は、スタティックグループが所属する親グループコンテナを選択できます。それ以外の場合は、このフィールドは表示されません。
  8. 「終了」をクリックします。

    9. グループを作成すると、データ区画の「表示」メニューから「一般」を選択して「ユーザーのグループ加入を有効」属性を編集できます。

スタティックグループのメンバーを追加または削除する

  1. メンバーを追加するグループの横にあるプロパティの矢印をクリックします。
  2. データ区画で、「表示」メニューから「メンバー」を選択します。

    3. 「アクションの選択」メニューで実行するアクションを選択します。実行できるアクションは次のとおりです。

    「新規ユーザー」: このアクションは、新規ユーザーを作成し、ユーザーの情報の保存時に自動的にユーザーをグループに追加します。

    「ユーザーを追加」: このアクションは、既存のユーザーをグループに追加します。このアクションを選択する場合、追加するユーザーを指定する検索条件を作成します。条件の作成に使用するフィールドでは、「いずれか」または「すべて」演算子を使用します。「すべて」は、指定したすべてのフィールドに一致するユーザーを返します。「いずれか」は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。フィールドを空白のままにすると、そのフィールドはその特定の属性に対して可能なすべてのエントリと一致します。返されたユーザーのリストから、追加するユーザーを選択し、「終了」をクリックします。

    「グループを追加」: このアクションは、入れ子グループを現在のグループに追加します。このアクションを選択すると、検索範囲、グループの名前 ( "*" ワイルカードを使用可能) を含む検索条件を作成し、ユーザーがグループそのものに加入できるかどうかを指定できます。返されたグループのリストから、追加するグループを選択し、「終了」をクリックします。

    「メンバーを消去」: このアクションは、グループからメンバーを消去しますが、削除はしません。消去したいメンバーを選択し、アクションメニューから「メンバーを消去」を選択します。

    「メンバーを削除」: このアクションは、選択されたメンバーを永久に削除します。

フィルタを適用したグループを作成する

  1. グループを作成する組織またはグループに移動します。
  2. 「表示」メニューから「グループ」を選択します。
  3. 「新規」をクリックします。
  4. データ区画内からグループタイプに「フィルタ別のメンバーシップ」を選択します。
  5. 「グループ名」フィールドにグループの名前を入力します。「次へ」をクリックします。
  6. LDAP 検索フィルタを作成します。

    7. デフォルトでは、Identity Server は基本検索フィルタインタフェースを表示します。フィルタの作成に使用する基本フィールドでは、「いずれか」または「すべて」演算子を使用します。「すべて」は、指定したすべてのフィールドに一致するユーザーを返します。「いずれか」は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。フィールドを空白のままにすると、そのフィールドはその特定の属性に対して可能なすべてのエントリと一致します。

    「高度」ボタンを選択すると、フィルタ属性自体を定義できます。例を示します。

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    「終了」をクリックすると、検索条件に一致するすべてのユーザーが自動的にグループに追加されます。

フィルタを適用したグループのメンバーを追加または削除する

  1. メンバーを追加するグループの横にあるプロパティの矢印をクリックします。
  2. データ区画で、「表示」メニューから「メンバー」を選択します。

    3. 「アクションの選択」メニューで実行するアクションを選択します。実行できるアクションは次のとおりです。

    「グループを追加」: このアクションは、入れ子グループを現在のグループに追加します。このアクションを選択すると、検索範囲、グループの名前 ( "*" ワイルカードを使用可能) を含む検索条件を作成し、ユーザーがそのグループに加入できるかどうかを指定できます。返されたグループのリストから、追加するグループを選択し、「終了」をクリックします。

    「メンバーを消去」: このアクションは、グループからメンバーを消去しますが、削除はしません。消去するメンバーを選択し、「終了」をクリックします。

    「メンバーを削除」: このアクションは、選択されたメンバーを永久に削除します。

ポリシーにグループを追加する

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーを管理する」を参照してください。

ユーザー

ユーザーは、個人のアイデンティティを表します。Identity Server のアイデンティティ管理モジュールを使用して、組織、コンテナ、およびグループに対するユーザーの作成と削除、ロールやグループに対するユーザーの追加と削除が可能です。サービスをユーザーに割り当てることもできます。

amadmin と同じユーザー ID でサブ組織のユーザーを作成すると、amadmin のログインが失敗します。このような問題が起こったら、管理者はそのユーザーの ID をディレクトリサーバーコンソールを使って変更します。これで、管理者がデフォルトの組織にログインできるようになります。さらに、認証サービスの「ユーザー検索の開始 DN」をピープルコンテナ DN に設定し、ログイン処理で一意の一致が返されるようにもできます。

ユーザーを作成する

  1. ユーザーを作成する組織、コンテナ、またはピープルコンテナに移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. 「新規」をクリックします。

    4. 「新規ユーザー」ページがデータ区画に表示されます。

  4. ユーザーに割り当てるサービスを選択します。

    5. ユーザー属性を含み、ユーザーが所属する組織に追加されたサービスだけが表示されます。「次へ」をクリックします。

  5. DIT に複数 (3 つ以上) のグループコンテナを定義し、(管理サービスから)「グループコンテナを表示」属性を無効にしている場合は、スタティックグループが所属するピープルコンテナを「ユーザー作成」ページから選択できます。それ以外の場合は、このフィールドは表示されません。
  6. 必要な属性の値を入力します。

    7. ユーザープロファイルの属性については、「ユーザー属性」を参照してください。

  7. 「OK」をクリックします。

ロールおよびグループにユーザーを追加する

  1. ユーザーを修正する組織に移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. ナビゲーション区画で、修正するユーザーを選択し、「プロパティ」の矢印をクリックします。
  4. データ区画の「表示」メニューから、「ロール」または「グループ」を選択します。ユーザーにすでに割り当てられているロールおよびグループだけが表示されます。「追加」をクリックし、選択可能な使用できるロールおよびグループのリストを表示します。
  5. ユーザーを追加するロールまたはグループを選択し、「保存」をクリックします。

ユーザーにサービスを追加する

  1. ユーザーを修正する組織に移動します。
  2. ナビゲーション区画の「表示」メニューから「ユーザー」を選択します。
  3. ナビゲーション区画で、修正するユーザーを選択し、「プロパティ」の矢印をクリックします。
  4. データ区画の「表示」メニューから「サービス」を選択します。
  5. 「追加」をクリックし、ユーザーに割り当てるサービスを選択します。
  6. 「保存」をクリックします。

ユーザーを削除する

  1. ユーザーが存在する場所に移動します。
  2. 「表示」メニューから「ユーザー」を選択します。
  3. 削除するユーザー名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    削除操作の前に警告メッセージは表示されず、削除操作を元に戻すことはできません。

ポリシーにユーザーを追加する

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーを管理する」を参照してください。

サービス

組織またはコンテナのサービスを有効にするには、2 つの処理が必要です。コンテナは組織と同様の働きをします。最初の手順で、サービスを組織に追加する必要があります。サービスを追加後、その組織専用に設定されたテンプレートを設定する必要があります。詳細は、第 5 章「サービス設定」を参照してください。

新しいサービスは、まずコマンド行の amadmin を使用して Identity Server にインポートする必要があります。サービスの XML スキーマのインポートについては、『Identity Server Developer's Guide』を参照してください。

サービスを追加する

  1. サービスを追加する組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーション区画から組織を選択します。デフォルトの最上位組織と選択した組織がロケーションパスに表示されます。

  2. 「表示」メニューから「サービス」を選択します。
  3. 「追加」をクリックします。

    4. この組織に追加可能なサービスのリストがデータ区画に表示されます。

  4. 追加する各サービスの横にあるチェックボックスを選択します。
  5. 「了解」をクリックします。追加されたサービスがナビゲーション区画に表示されます。

    		6.

    親組織に追加されているサービスだけがサブ組織レベルで表示されます。

サービス用のテンプレートを作成する

  1. 追加したサービスがある組織またはロールに移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーション区画から組織を選択します。

  2. 「表示」メニューから「サービス」を選択します。
  3. 有効にするサービス名の横にあるプロパティアイコンをクリックします。

    4. データ区画に「現在このサービスにはテンプレートが存在しません。新規に作成しますか?」というメッセージが表示されます。

  4. 「はい」をクリックします。

    5. このサービス用のテンプレートが親の組織またはロール用に作成されます。このサービスのデフォルト属性と値がデータ区画に表示されます。デフォルトサービスの属性については、「属性リファレンスガイド」で説明しています。

  5. デフォルト値を受け入れるか、または変更して、「保存」をクリックします。

サービスを消去する

  1. サービスを消去する組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーション区画から組織を選択します。

  2. 「表示」メニューから「サービス」を選択します。
  3. 消去するサービスのチェックボックスを選択します。
  4. 「消去」をクリックします。

    		5.

    サービスがサブ組織のレベルで登録されている場合は、親組織のレベルでそのサービスを消去することはできません。

ロール

ロールとは、グループの概念に似た、Directory Server の 1 つのエントリメカニズムです。グループにはメンバーがあるように、ロールにもメンバーがあります。ロールのメンバーは、ロールを持つ LDAP エントリです。ロール自体の基準は、LDAP エントリの属性で定義されます。このエントリは、エントリの識別名 (DN) 属性で特定されます。Directory Server にはさまざまなタイプのロールがありますが、Identity Server で管理できるのは、管理ロールだけです。

そのほかの Directory Server ロールタイプもディレクトリの配備で使用できますが、Identity Server コンソールで管理することはできません。ポリシーのサブジェクト定義にほかの Directory Server タイプを使用することもできます。ポリシーサブジェクトについての詳細は、「ポリシーの作成」を参照してください。

ユーザーには 1 つ以上のロールを持たせることができます。たとえば、セッションサービスとパスワードリセットサービスの属性を持つ契約社員ロールを作成できます。管理者は契約社員エントリの別の属性を設定しなくても、新しい契約社員が開始すると、契約社員にこのロールを割り当てることができます。契約社員がエンジニアリング部門に属し、エンジニアリング従業員に適用可能なサービスとアクセス権が必要な場合は、管理者は契約社員をエンジニアリングロールおよび契約社員ロールに割り当てることができます。

Identity Server では、ロールを使用して、アクセス制御の命令を適用します。Identity Server をはじめてインストールしたときに、管理者アクセス権を定義するアクセス制御命令 (ACI) が定義されます。次にこれらの ACI をロール (組織管理者ロール、組織ヘルプデスク管理者ロールなど) に割り当てます。このロールをユーザーに割り当てると、ユーザーのアクセス権が定義されます。

ユーザーは、管理サービスで「ユーザーのロールを表示」属性が有効である場合だけ、割り当てられたロールを確認できます。詳細は、「ユーザープロファイルページにロールを表示」を参照してください。

Identity Server と Directory Server は、参照整合性プラグインを使用するように設定されている必要があります。参照整合性プラグインが有効になっているときは、削除操作や名前の変更操作の直後に、指定された属性について整合性更新が実行されます。これにより、関連するエントリどうしの関係がデータベース全体で維持されます。Directory Server では、データベースインデックスによって検索パフォーマンスが向上します。このプラグインを有効にする方法の詳細は、『Sun Java System Identity Server Migration Guide』を参照してください。

グループ同様に、ロールもフィルタで作成することも、スタティックに作成することもできます。

「スタティックロール」: フィルタされたロールとは対照的に、スタティックロールはユーザーをロールの作成時に追加しなくても作成できます。これにより、特定のユーザーを指定されたロールに追加するときの制御がより細かくできます。

「フィルタされたロール」: フィルタされたロールは、LDAP フィルタを使用して作成したダイナミックロールです。ユーザーはすべてフィルタを通してまとめられ、ロールの作成時にそのロールに割り当てられます。フィルタはエントリの属性と値のペア (ca=user* など) を検索して、その属性を含むユーザーをロールに自動的に割り当てます。

スタティックロールを作成する

  1. ナビゲーション区画で、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。

    3. 組織の構成時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。デフォルトのロールは次のとおりです。

    コンテナヘルプデスク管理者 (Container Help Desk Admin): コンテナのヘルプデスク管理者ロールは、組織単位のすべてのエントリに対する読み取りアクセス権、およびそのコンテナ単位だけにあるユーザーエントリの userPassword 属性に対する書き込みアクセス権を持っています。

    組織のヘルプデスク管理者 (Organization Help Desk Admin): 組織のヘルプデスク管理者は、組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。

    サブ組織を作成するときは、管理者ロールは親組織ではなくサブ組織に作成してください。

    コンテナ管理者 (Container Admin): コンテナ管理者ロールは、LDAP 組織単位のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。Identity Server では、LDAP 組織単位をコンテナと呼ぶことがあります。

    組織ポリシー管理者 (Organization Policy Admin): 組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っており、組織内のすべてのポリシーについて作成、割り当て、修正、および削除ができます。

    ピープルコンテナ管理者 (People Container Admin): デフォルトで、新規に作成した組織のユーザーエントリはその組織のピープルコンテナのメンバーです。ピープルコンテナ管理者は、組織のピープルコンテナのすべてのユーザーエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。なお、このロールは、ロールおよびグループ DN を含む属性に対する読み取りアクセス権と書き込みアクセス権を持っていないため、ロールまたはグループの属性を変更したり、ロールまたはグループからユーザーを削除したりすることができません。

    ほかのコンテナは、Identity Server とともに設定して、ユーザーエントリ、グループエントリ、またはほかのコンテナを保持することができます。組織を構成したあとで、作成されたコンテナに管理者ロールを適用するには、デフォルトのコンテナ管理者ロールまたはコンテナヘルプデスク管理者を使用します。

    グループ管理者 (Group Admin): グループ管理者は、特定グループのすべてのメンバーに対する読み取りアクセス権および書き込みアクセス権を持っており、新しいユーザーの作成、管理しているグループへのユーザーの割り当て、および作成したユーザーの削除を行うことができます。

    グループを作成すると、そのグループを管理するのに必要な権限を持つグループ管理者ロールが自動的に作成されます。このロールはグループのメンバーに自動的には割り当てられません。グループの作成者、またはグループ管理者ロールへのアクセス権を持つ人が割り当てる必要があります。

    最上位レベル管理者 (Top-level Admin): 最上位レベル管理者は、最上位レベル組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。言い換えれば、最上位レベル管理者ロールには、Identity Server アプリケーション内のすべての設定主体に対する権限があります。

    組織管理者 (Organization Admin): 組織管理者は、組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。組織を作成すると、その組織を管理するのに必要な権限を持つ組織管理者ロールが自動的に作成されます。

  3. ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
  4. 「スタティックロール」を選択し、名前を入力します。「次へ」をクリックします。
  5. ロールの詳細を入力します。
  6. 「タイプ」メニューからロールのタイプを選択します。

    7. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Identity Server コンソールでどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  7. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。これは、組織内のエントリにアクセスする権限です。ここで示すデフォルトの権限は順不同です。権限は次のとおりです。

    8. 「アクセス権なし」: ロールにアクセス権が設定されません。

    組織管理者 (Organization Admin): 組織管理者は設定済み組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。

    組織のヘルプデスク管理者 (Organization Help Desk Admin): 組織のヘルプデスク管理者は、設定済み組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。

    組織ポリシー管理者 (Organization Policy Admin): 組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っています。組織のポリシー管理者は、ピア組織に対する参照ポリシーを作成できません。

    一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。

  8. 「終了」をクリックします。

    9. 作成されたロールがナビゲーション区画に表示され、ロールのステータス情報がデータ区画に表示されます。

    「表示」メニューで「表示オプション」と「利用可能なアクション」を選択して設定することもできます。詳細は、この章の終わりの方にある「表示オプション」および「利用可能なアクション」を参照してください。

スタティックロールにユーザーを追加する

  1. 修正するロールを選択し、「プロパティ」の矢印をクリックします。
  2. データ区画の「表示」メニューから「ユーザー」を選択します。
  3. 「追加」をクリックします。
  4. 検索条件を入力します。表示される 1 つ以上のフィールドを基に、ユーザーの検索方法を選択できます。フィールドは次のとおりです。

    5. 「ユーザー検索属性」: 検索で返される値を指定できます。

    「一致」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。「すべて」は、指定したすべてのフィールドに一致するユーザーを返します。「いずれか」は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。

    「ユーザー ID」: ユーザー ID でユーザーを検索します。

    「名」: 名 (ファーストネーム) でユーザーを検索します。

    「姓」: 姓 (ラストネーム) でユーザーを検索します。

    「フルネーム」: フルネームでユーザーを検索します。

    「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。

  5. 「次へ」をクリックすると、検索が始まります。検索結果が表示されます。
  6. ユーザー名の横にあるチェックボックスを選択して、返された名前の中からユーザーを選択します。
  7. 「終了」をクリックします。

    8. これで、ユーザーがロールに割り当てられます。

フィルタされたロールを作成する

  1. ナビゲーション区画で、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。

    3. 組織の構成時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。デフォルトのロールは次のとおりです。

    コンテナヘルプデスク管理者 (Container Help Desk Admin): コンテナのヘルプデスク管理者ロールは、組織単位のすべてのエントリに対する読み取りアクセス権、およびそのコンテナ単位だけにあるユーザーエントリの userPassword 属性に対する書き込みアクセス権を持っています。

    組織のヘルプデスク管理者 (Organization Help Desk Admin): 組織のヘルプデスク管理者は、組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。

    サブ組織を作成するときは、管理者ロールは親組織ではなくサブ組織に作成してください。

    コンテナ管理者 (Container Admin): コンテナ管理者ロールは、LDAP 組織単位のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。Identity Server では、LDAP 組織単位をコンテナと呼ぶことがあります。

    組織ポリシー管理者 (Organization Policy Admin): 組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っており、組織内のすべてのポリシーについて作成、割り当て、修正、および削除ができます。

    ピープルコンテナ管理者 (People Container Admin): デフォルトで、新規に作成した組織のユーザーエントリはその組織のピープルコンテナのメンバーです。ピープルコンテナ管理者は、組織のピープルコンテナのすべてのユーザーエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。なお、このロールは、ロールおよびグループ DN を含む属性に対する読み取りアクセス権と書き込みアクセス権を持っていないため、ロールまたはグループの属性を変更したり、ロールまたはグループからユーザーを削除したりすることができません。

    ほかのコンテナは、Identity Server とともに設定して、ユーザーエントリ、グループエントリ、またはほかのコンテナを保持することができます。組織を構成したあとで、作成されたコンテナに管理者ロールを適用するには、デフォルトのコンテナ管理者ロールまたはコンテナヘルプデスク管理者を使用します。

    グループ管理者 (Group Admin): グループ管理者は、特定グループのすべてのメンバーに対する読み取りアクセス権および書き込みアクセス権を持っており、新しいユーザーの作成、管理しているグループへのユーザーの割り当て、および作成したユーザーの削除を行うことができます。

    グループを作成すると、そのグループを管理するのに必要な権限を持つグループ管理者ロールが自動的に作成されます。このロールはグループのメンバーに自動的には割り当てられません。グループの作成者、またはグループ管理者ロールへのアクセス権を持つ人が割り当てる必要があります。

    最上位レベル管理者 (Top-level Admin): 最上位レベル管理者は、最上位レベル組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。言い換えれば、最上位レベル管理者ロールには、Identity Server アプリケーション内のすべての設定主体に対する権限があります。

    組織管理者 (Organization Admin): 組織管理者は、組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。組織を作成すると、その組織を管理するのに必要な権限を持つ組織管理者ロールが自動的に作成されます。

  3. ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
  4. 「フィルタされたロール」を選択し、名前を入力します。「次へ」をクリックします。
  5. ロールの詳細を入力します。
  6. 「タイプ」メニューからロールのタイプを選択します。

    7. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Identity Server コンソールでどこからユーザーを開始するかをコンソールが決定するために使用します。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  7. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
  8. これは、組織内のエントリにアクセスする権限です。ここで示すデフォルトの権限は順不同です。権限は次のとおりです。

    9. 「アクセス権なし」: ロールにアクセス権が設定されません。

    組織管理者 (Organization Admin): 組織管理者は設定済み組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。

    組織のヘルプデスク管理者 (Organization Help Desk Admin): 組織のヘルプデスク管理者は、設定済み組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。

    組織ポリシー管理者 (Organization Policy Admin): 組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っています。組織のポリシー管理者は、ピア組織に対する参照ポリシーを作成できません。

    一般に、「アクセス権なし」ACI をサービスロールに割り当て、管理者ロールにはデフォルト ACI のいずれかを割り当てます。

  9. 検索条件を入力します。フィールドは次のとおりです。

    10. 「一致」: 演算子を含めたいフィルタのフィールドに、演算子を含めることができます。「すべて」は、指定したすべてのフィールドに一致するユーザーを返します。「いずれか」は、指定したいずれか 1 つのフィールドに一致するユーザーを返します。

    「ユーザー ID」: ユーザー ID でユーザーを検索します。

    「名」: 名 (ファーストネーム) でユーザーを検索します。

    「姓」: 姓 (ラストネーム) でユーザーを検索します。

    「フルネーム」: フルネームでユーザーを検索します。

    「ユーザー状態」: ユーザーの状態 (有効または無効) でユーザーを検索します。

    「高度」ボタンを選択すると、フィルタ属性自体を定義できます。例を示します。

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    「リセット」をクリックするとフィルタのプロパティを消去できます。また「キャンセル」をクリックすると、ロールの作成処理をキャンセルできます。

  10. 「終了」をクリックして、フィルタ条件を基に、検索を開始します。そのフィルタ条件で定義されたユーザーがロールに自動的に割り当てられます。

    11. 「表示」メニューで「表示オプション」と「利用可能なアクション」を選択して設定することもできます。詳細は、この章の終わりの方にある「表示オプション」および「利用可能なアクション」を参照してください。

    ロールプロファイルページやユーザープロファイルページを使用して、ユーザーをスタティックロールに追加することもできます。

ロールからユーザーを消去する

  1. 変更するロールを含む組織に移動します。

    2. アイデンティティ管理モジュールで「表示」メニューから「組織」を選択し、ナビゲーション区画から組織を選択します。

  2. 「表示」メニューから「ロール」を選択します。
  3. 変更するロールを選択します。
  4. 「表示」メニューから「ユーザー」を選択します。
  5. 消去する各ユーザーの横にあるチェックボックスを選択します。
  6. 「消去」をクリックします。

    7. これで、ロールからユーザーが削除されます。

ポリシーにロールを追加する

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーを管理する」を参照してください。

ロールへのサービスをカスタマイズする

ロールで利用可能なサービス、およびそのサービス属性に対するアクセスレベルをロール単位でカスタマイズできます。ロール固有の値を属性に設定して、利用可能な各サービスを 1 つのロール用にカスタマイズできます。個々のサービスおよびサービスの個々の属性に対するアクセスを許可することもできます。特定のタイプのユーザー (たとえば、部長) にだけアクセスを許可するサービスが必要な場合があります。これを実現するには、すべてのユーザーにサービスを割り当てますが、ロールに属する部長タイプにだけ特定のサービスへのアクセスを許可します。

同じ考え方がサービス属性にも当てはまります。ユーザーのアカウントは多くの属性から構成され、たとえばアカウントの有効期限など、それらの属性の一部にユーザーがアクセスを許可されていない場合があります。アカウントの管理者にはこの属性のアクセスが許可されますが、ユーザー (アカウントの所有者) には許可されません。サービスおよび属性へのアクセスのカスタマイズは、ナビゲーション区画でロールの「サービス」表示を使用して行います。

サービスを表示するには、サービスを組織レベルで先に追加する必要があります。ロールに追加されたユーザーは、ロールのサービス属性を継承します。

サービスを設定する

  1. ロールの「サービス」表示で、「このロールのサービス設定」というラベルが付いたセクションに進みます。
  2. サービス名の横にある「編集」リンクをクリックして、そのロールで利用可能にするサービスを選択します。

    3. サービステンプレートを作成していない場合は、作成するように要求されます。「はい」をクリックします。

  3. サービス属性を変更します。特定のサービスの属性の詳細については、このマニュアルの第 3 部「属性リファレンスガイド」を参照してください。
  4. 「保存」をクリックします。

    		5.

    サービスへのアクセスを拒否すると (選択されていない場合)、サービスはこのロールを持つユーザーの Identity Server コンソールに表示されません。さらに、ユーザーの登録または登録解除、ユーザーへのサービスの割り当て、またはサービステンプレートの作成、削除、表示、修正ができなくなります。

属性へのアクセスをカスタマイズする

  1. ロールの「サービス」表示で、「このロールのサービスアクセス」というラベルが付いたセクションに進みます。
  2. 変更対象のサービスに対して有効または無効状態を選択します。有効は、アクセスの変更を許可します。無効は、アクセスの変更を許可しません。
  3. 「アクセスを変更」リンクをクリックします。
  4. 「読み取り/書き込み」または「読み取り専用」チェックボックスを選択し、その属性へのアクセスレベルを割り当てます。
  5. 「了解」をクリックします。

特定のサービスの属性の詳細については、このマニュアルの第 3 部「属性リファレンスガイド」を参照してください。

  1. 「保存」をクリックします。

ポリシーにロールを追加する

Identity Server オブジェクトは、ポリシーのサブジェクト定義を通じてポリシーに追加されます。ポリシーを作成または修正するときに、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、ユーザーをサブジェクトとして定義できます。サブジェクトを定義すると、ポリシーがオブジェクトに適用されます。詳細は、「ポリシーを管理する」を参照してください。

ロールを削除する

  1. 削除するロールを含む組織に移動します。
  2. アイデンティティ管理で「表示」メニューから「組織」を選択し、ナビゲーション区画から組織を選択します。デフォルトの最上位組織と選択した組織がロケーションパスに表示されます。
  3. 「表示」メニューから「ロール」を選択します。
  4. ロール名の横にあるチェックボックスを選択します。
  5. 「削除」をクリックします。

ポリシー

ポリシーでは、組織の Web リソースを保護するためのルールを定義します。ポリシーの作成、修正、および削除はアイデンティティ管理モジュールを使用して実行しますが、これらの手順は 「ポリシーの作成」で説明します。

エージェント

Identity Server ポリシーエージェントは、Web サーバーおよび Web プロキシサーバー上のコンテンツを無許可の侵入から保護します。管理者が設定したポリシーに基づいてサービスおよび Web リソースへのアクセスを制御します。

エージェントオブジェクトは、ポリシーエージェントプロファイルを定義します。また、Identity Server が Identity Server リソースを保護する特定のエージェントの認証情報およびその他のプロファイル情報を保存することを可能にします。Identity Server コンソールを使用して、管理者はエージェントプロファイルを表示、作成、変更、および削除できます。

エージェントを作成する

  1. 作成するエージェントを含む組織に移動します。
  2. 「表示」メニューから「エージェント」を選択します。
  3. 「新規」をクリックします。
  4. フィールドの値を入力します。フィールドは次のとおりです。

    5. 「名前」: エージェントの名前またはアイデンティティを入力します。この名前を使用してエージェントは Identity Server にログインします。1 バイト文字による名前のみ受け付けます。

    「パスワード」: エージェントのパスワードを入力します。このパスワードは、LDAP 認証時にエージェントが使用するパスワードと一致する必要があります。

    「パスワード (確認)」: パスワードを確認します。

    「説明」: エージェントの簡単な説明を入力します。たとえば、エージェントインスタンスの名前またはエージェントが保護するアプリケーションの名前を入力します。

    「エージェントキー値」: キーと値のペアでエージェントのプロパティを設定します。Identity Server はこのプロパティを使用して、ユーザーに関する資格情報アサーションへのエージェントの要求を受け取ります。現在、1 つのプロパティだけが有効であり、その他のプロパティはすべて無視されます。次の形式を使用します。

    agentRootURL=http://server_name:port/

    「デバイスの状態」: エージェントのデバイスの状態を入力します。「アクティブ」に設定すると、エージェントは Identity Server に対して認証を行い、通信できます。「非アクティブ」に設定すると、エージェントは Identity Server に対して認証できません。

  5. 「了解」をクリックします。

エージェントを削除する

  1. 削除するエージェントを含む組織に移動します。
  2. 「表示」メニューから「エージェント」を選択します。
  3. エージェントの名前の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

コンテナ

コンテナエントリは、オブジェクトクラスおよび属性が異なるため、組織エントリが使用できない場合に使用します。Identity Server コンテナエントリと Identity Server 組織エントリは、必ずしも LDAP オブジェクトクラス organizationalUnit および organization と同等とはかぎらないことに留意してください。これらは抽象アイデンティティエントリです。可能であれば、コンテナエントリではなく組織エントリを使用します。

コンテナの表示は必要に応じて行います。コンテナを表示するには、サービス設定モジュールで「メニューにコンテナを表示」を選択します。詳細は、「表示メニューにコンテナを表示」を参照してください。

コンテナを作成する

  1. コンテナを作成する組織またはコンテナに移動します。

    2. 「表示」メニューから「コンテナ」を選択します。

  2. 「新規」をクリックします。

    3. コンテナのテンプレートがデータ区画に表示されます。

  3. 作成するコンテナの名前を入力します。
  4. 「了解」をクリックします。

    5. 「表示」メニューで「表示オプション」と「利用可能なアクション」を選択して設定することもできます。詳細は、この章の終わりの方にある「表示オプション」および「利用可能なアクション」を参照してください。

コンテナを削除する

  1. 削除対象のコンテナを含む組織またはコンテナに移動します。
  2. 「表示」メニューから「コンテナ」を選択します。
  3. 削除するコンテナ名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    コンテナを削除すると、そのコンテナに含まれるオブジェクトがすべて削除されます。すべてのオブジェクトとサブコンテナが対象になります。

ピープルコンテナ

ピープルコンテナはデフォルトの LDAP 組織単位です。ユーザーはすべて、組織内で作成されるときにその組織単位に割り当てられます。ピープルコンテナは組織レベルにあり、サブピープルコンテナとしてピープルコンテナレベルにあります。ピープルコンテナにはほかのピープルコンテナとユーザーだけを含めることができます。必要に応じて、ピープルコンテナを組織に追加することができます。

ピープルコンテナの表示は必要に応じて行います。ピープルコンテナを表示するには、サービス設定モジュールで「ピープルコンテナを表示」を選択します。詳細は、「ピープルコンテナを表示」を参照してください。

ピープルコンテナの作成

  1. ピープルコンテナを作成する組織またはピープルコンテナに移動します。

    2. 「表示」メニューから「ピープルコンテナ」を選択します。

  2. 「新規」をクリックします。

    3. ピープルコンテナのテンプレートがデータ区画に表示されます。

  3. 作成するピープルコンテナの名前を入力します。
  4. 「了解」をクリックします。

ピープルコンテナの削除

  1. 削除対象のピープルコンテナを含む組織またはピープルコンテナに移動します。
  2. 「表示」メニューから「ピープルコンテナ」を選択します。
  3. 削除するピープルコンテナ名の横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

    		5.

    ピープルコンテナを削除すると、そのピープルコンテナに含まれるオブジェクトがすべて削除されます。すべてのユーザーとサブピープルコンテナが対象になります。

グループコンテナ

グループコンテナを使用してグループを管理します。グループコンテナにはグループとほかのグループコンテナだけを含めることができます。グループコンテナの「グループ」は、すべての管理されているグループの親エントリとしてダイナミックに割り当てられます。必要に応じて、グループコンテナを追加することができます。

グループコンテナの表示は必要に応じて行います。グループコンテナを表示するには、サービス設定モジュールで「グループコンテナを表示」を選択します。詳細は、「グループコンテナを表示」を参照してください。

グループコンテナを作成する

  1. 作成対象のグループコンテナを含む組織またはグループコンテナに移動します。
  2. 「表示」メニューから「グループコンテナ」を選択します。

    3. デフォルトの「グループ」は組織の作成時に作成されています。

  3. 「新規」をクリックします。
  4. 「名前」フィールドに値を入力して、「了解」をクリックします。新しいグループコンテナがナビゲーション区画に表示されます。

グループコンテナを削除する

  1. 削除対象のグループコンテナを含む組織に移動します。
  2. 「表示」メニューから「グループコンテナ」を選択します。

    3. デフォルトの「グループ」と、作成したすべてのグループコンテナがナビゲーション区画に表示されます。

  3. 削除するグループコンテナの横にあるチェックボックスを選択します。
  4. 「削除」をクリックします。

表示オプション

組織、ロール、およびコンテナの場合、「表示オプション」表示を使用して、Identity Server コンソールに Identity Server オブジェクトを表示する方法をカスタマイズできます。すべてのオブジェクトタイプにすべての表示オプションを使用できるわけではありません。

表示オプションを変更する

  1. 表示オプションを変更する組織の「プロパティ」の矢印をクリックします。
  2. データ区画の「表示」メニューから「表示オプション」を選択します。
  3. 「一般」セクションでプロパティを編集します。プロパティは次のとおりです。

    4. 「フルネーム属性を生成」 : この属性を選択すると、Identity Server が常にユーザーのフルネームを生成するようになります。フルネームは、ユーザーのプロファイルの名と姓の値から形成されます。

    「常に最初のエントリを選択」 : 検索にこの属性を選択すると、ナビゲーション区画で指定されたアイデンティティオブジェクトタイプの最初の項目が自動的に選択され、データ区画にはその項目が表示されます。

    「ユーザープロファイルのページタイトル」 : ユーザープロファイルページのタイトルに使用する属性をこのプルダウンメニューから選択します。

    「初期検索を無効」 : この値は、1 つ以上のアイデンティティオブジェクトタイプに対する Identity Server の初期検索を無効にします。初期検索を無効にすると、パフォーマンスが向上し、タイムアウトエラーの発生が少なくなります。

  4. 「Identity Server オブジェクトの設定を表示」セクションで表示オプションを変更します。このセクションでは、Identity Server のコンテナおよびオブジェクトの表示方法をカスタマイズできます。「Identity Server コンテナ」オプションを使用すると、ナビゲーション区画の「表示」メニューに表示するオブジェクトビューを指定できます。「Identity Server オブジェクト」フィールドを使用すると、データ区画の「表示」メニューに表示するオブジェクトビューを指定できます。
  5. 「保存」をクリックします。

利用可能なアクション

特定の Identity Server オブジェクトタイプの場合、「利用可能なアクション」表示を使用してユーザーのアクセス権を定義できます。

ユーザーに対して利用可能なアクションを設定する

  1. 利用可能なアクションを設定するアイデンティティオブジェクトの「プロパティ」の矢印をクリックします。
  2. データ区画の「表示」メニューから「利用可能なアクション」を選択します。
  3. Identity Server オブジェクトに利用可能なアクションタイプを選択します。アクションタイプは、各オブジェクトに対するユーザーのアクセスの可否を定義します。アクションタイプは次のとおりです。

    4. 「アクセス権なし」 : ユーザーは、このオブジェクトにアクセスできません。

    「表示」 : ユーザーは、このオブジェクトに対して読み取りアクセス権のみを持ちます。

    「変更」 : ユーザーは、このオブジェクトを変更および表示できます。

    「削除」 : ユーザーは、このオブジェクトを変更、表示、および削除できます。

    「完全アクセス」 : ユーザーは、このオブジェクトを作成、変更、表示、および削除できます。

  4. 「保存」をクリックします。前に保存した状態に値を戻すには、「リセット」をクリックします。



前へ      目次      索引      次へ     

Copyright 2004 Sun Microsystems, Inc. All rights reserved.