Sun Java System Access Manager によるポリシーの管理
Sun Java System Access Manager の Instant Messaging サービスと Presence サービスでは、エンドユーザーおよび管理者の権限を制御するための別の方法が用意されています。各サービスには 3 種類の属性があります。動的属性、ユーザー属性、およびポリシー属性です。ポリシー属性は、権限を設定するための属性です。
Sun Java System Access Manager 内に作成された特定のポリシーに、ほかのユーザーから調査メッセージを受信する権限などや、Instant Messaging のさまざまな機能に対する権限、そして管理者およびエンドユーザーに許可または拒否する規則を追加する際に、ポリシー属性はそれらの規則の一部となります。
Instant Messaging サーバーを Sun Java System Access Manager とともにインストールすると、サンプルのポリシーとロールがいくつか作成されます。ポリシーとロールの詳細は、『Sun Java System Access Manager Getting Started Guide』および『Sun Java System Access Manager 管理ガイド』を参照してください。
サイトでの必要性に合わせて、新しいポリシーを作成し、それらのポリシーをロール、グループ、組織、またはエンドユーザーに割り当てることができます。
Instant Messaging サービスまたは Presence サービスがエンドユーザーに割り当てられると、それらのエンドユーザーは、関連する動的属性とユーザー属性を取得します。動的属性は、Sun Java System Access Manager の設定済みのロールまたは組織に割り当てることができます。
特定のロールをエンドユーザーに割り当てたり、組織内でエンドユーザーを作成したりすると、関連する動的属性がそのエンドユーザーの特性の一部となります。ユーザー属性は各エンドユーザーに直接割り当てます。ユーザー属性は、ロールまたは組織から継承されず、通常はエンドユーザーごとに異なります。エンドユーザーはログイン時に、該当するすべての属性を取得します。なお、取得される属性は、そのユーザーに割り当てられているロールの種類やポリシーの適用方法に応じて異なります。
動的、ユーザー、ポリシーの各属性がエンドユーザーに関連付けられるのは、Presence サービスと Instant Messaging サービスがそれらのエンドユーザーに割り当てられたあとです。
Instant Messaging サービス属性
表 17–3 は、各サービスのポリシー属性、動的属性、およびユーザー属性の一覧です。
表 17–3 Instant Messaging 用の Access Manager 属性|
サービス |
ポリシー属性 |
動的属性 |
ユーザー属性 |
|---|---|---|---|
|
sunIM |
sunIMAllowChat sunIMAllowChatInvite sunIMAllowForumAccess sunIMAllowForumManage sunIMAllowForumModerate sunIMAllowAlertsAccess sunIMAllowAlertsSend sunIMAllowNewsAccess sunIMAllowNewsManage sunIMAllowFileTransfer sunIMAllowContactListManage sunIMAllowUserSettings sunIMAllowPollingAccess sunIMAllowPollingSend |
sunIMProperties sunIMRoster sunIMConferenceRoster sunIMNewsRoster sunIMPrivateSettings |
sunIMUserProperties sunIMUserRoster sunIMUserConferenceRoster sunIMUserNewsRoster sunIMUserPrivateSettings |
|
sunPresence |
sunPresenceAllowAccess sunPresenceAllowPublish sunPresenceAllowManage |
sunPresenceDevices sunPresencePrivacy |
sunPresenceEntityDevices sunPresenceUserPrivacy |
Sun Java System Access Manager 管理コンソールでは、上表の各属性に対応するラベルが表示されます。表 17–4 は、ポリシー属性の一覧とその説明、表 17–5 は、動的属性およびユーザー属性の一覧とその説明です。
表 17–4 Instant Messaging 用の Access Manager ポリシー属性|
ポリシー属性 |
管理コンソールのラベル |
属性の説明 |
|---|---|---|
|
sunIMAllowChat |
Ability to Chat |
エンドユーザーは、チャットルームへの参加依頼を受信できるほか、通常のチャット機能にアクセスできます |
|
sunIMAllowChatInvite |
Ability to Invite others to Chat |
エンドユーザーは、チャットへの参加依頼をほかのユーザーに送信できます |
|
sunIMAllowForumAccess |
Ability to Join Conference Rooms |
Instant Messenger に「会議室」タブが表示され、エンドユーザーは会議室に参加できるようになります |
|
sunIMAllowForumManage |
Ability to Manage Conference Rooms |
エンドユーザーは、会議室の作成、削除、および管理を行えます |
|
sunIMAllowForumModerate |
Ability to Moderate Conference Rooms |
エンドユーザーは会議のモデレータになれます |
|
sunIMAllowAlertsAccess |
Ability to Receive Alerts |
エンドユーザーは、ほかのユーザーからのアラートを受信できます |
|
sunIMAllowAlertsSend |
Ability to Send Alerts |
エンドユーザーは、ほかのユーザーにアラートを送信できます |
|
sunIMAllowNewsAccess |
Ability to Read News |
Instant Messenger に「ニュース」ボタンが表示され、エンドユーザーはこのボタンを使うと、ニュースメッセージを送受信するためにニュースチャネルを一覧表示できます |
|
sunIMAllowNewsManage |
Ability to Manage News Channels |
エンドユーザーはニュースチャネルを管理できます (ニュースチャネルの作成、削除、権限割り当てを行える) |
|
sunIMAllowFileTransfer |
Ability to Exchange Files |
エンドユーザーは、アラート、チャット、ニュースの各メッセージに添付ファイルを追加できます |
|
sunIMAllowContactListManage |
Ability to Manage one’s Contact List |
エンドユーザーは自身の連絡先一覧を管理できます (ユーザーまたはグループの一覧への追加、一覧からの削除、一覧内のフォルダ名の変更を行える) |
|
sunIMAllowUserSettings |
Ability to Manage Messenger |
Instant Messenger に「設定」ボタンが表示され、エンドユーザーはこのボタンを使うと、自分の Instant Messenger 設定を変更できます |
|
sunIMAllowPollingAccess |
Ability to Receive Polls |
エンドユーザーは、ほかのユーザーから調査メッセージを受信し、それらの調査に回答できます |
|
sunIMAllowPollingSend |
Ability to Send Polls |
Instant Messenger に「調査」ボタンが表示され、エンドユーザーはこのボタンを使うと、調査メッセージをほかのユーザーに送信し、その回答を受信できます |
|
sunPresenceAllowAccess |
Ability to Access other’s Presence |
エンドユーザーは、ほかのユーザーの Presence ステータスを監視できます。連絡先一覧には、連絡先が表示されるだけでなく、それらの連絡先の Presence ステータスの変更が反映されます (ステータスアイコンが変化する) |
|
sunPresenceAllowPublish |
Ability to Publish Presence |
エンドユーザーは、他人が監視する自分のステータス (オンライン、オフライン、取り込み中など) をクリックして選択できます |
|
sunPresenceAllowManage |
Ability to Manage Presence Access |
Instant Messenger の設定に「アクセス権」タブが表示され、エンドユーザーは、自身のデフォルトの Presence アクセス、Presence 許可リスト、Presence 拒否リストを設定できます |
属性の直接変更
エンドユーザーは、Sun Java System Access Manager の管理コンソールにログインし、Instant Messaging サービスと Presence サービスの各属性値を参照できます。属性が変更可能として定義されていた場合、エンドユーザーはそれらの属性を変更できます。デフォルトでは、Instant Messaging サービス内の属性はすべて変更不可能になっており、エンドユーザーにそれらの変更を許可することも、あまりお勧めできません。とはいえ、システム管理の観点から、属性を直接変更したほうが便利なこともあります。
たとえば、「登録している会議室」など、いくつかのシステム属性ではロールの影響は存在しないため、システム管理者は、それらの属性の値を変更する際に、ほかのエンドユーザー (の会議名簿など) からそれらの属性をコピーしたり、それらの属性を直接変更したりします。これらの属性の一覧を、表 17–5 に示します。
ユーザー属性は、エンドユーザーが Sun Java System Access Manager の管理コンソールを使って設定できます。動的属性は、管理者によって設定されます。動的属性に設定された値は、対応するユーザー属性の値を上書きするか、その値とマージされます。
対応する動的属性とユーザー属性の性質により、競合もしくは補完し合う情報がどのように解決されるかが決まります。たとえば、「登録している会議室」の 2 つのソース (動的属性およびユーザー属性) は互いに補完し合う関係にあるため、両者の情報はマージされます。いずれの属性も他方を上書きしません。
表 17–5 Instant Messaging 用の Access Manager ユーザー属性と動的属性|
管理コンソールのラベル |
ユーザー属性 |
動的属性 |
属性の説明 |
競合の解決 |
|---|---|---|---|---|
|
Messenger Settings |
sunIMUserProperties |
sunIMProperties |
Instant Messenger のすべてのプロパティーが含まれます。ファイルを使用したユーザープロパティー機構での user.properties ファイルに対応しています |
マージ: あるプロパティーの値がユーザー属性と動的属性の両方に存在していた場合、動的属性の値が使用されます。 |
|
Subscriptions |
sunIMUserRoster |
sunIMRoster |
登録情報が含まれます (ユーザーの連絡先名簿) |
マージ: Jabber 識別子がユーザー属性と動的属性の両方に存在していた場合、ニックネームがユーザー属性から取得され、グループはユーザー属性と動的属性の両方のグループを結合したものとなり、登録値はユーザー属性と動的属性の値のうち最も大きい値が採用されます。 |
|
Conference Subscriptions |
sunIMUserConferenceRoster |
sunIMConferenceRoster |
会議室の登録情報が含まれます |
マージ: 動的属性とユーザー属性の登録情報がマージされ、重複は削除されます。 |
|
News Channel Subscriptions |
sunIMUserNewsRoster |
sunIMNewsRoster |
ニュースチャネルの登録情報が含まれます |
マージ: 動的属性とユーザー属性の登録情報がマージされ、重複は削除されます。 |
|
Presence Agents |
sunPresenceEntityDevices |
sunPresenceDevices |
このリリースでは未使用です (将来使用予定) |
動的属性の情報が使用されます。 |
|
Privacy |
sunPresenceUserPrivacy |
sunPresencePrivacy |
Instant Messenger におけるプライバシー設定に対応しています |
マージ: 競合が発生した場合は動的値が使用されます。 |
|
Instant Messenger Preferences |
sunIMUserPrivateSettings |
sunIMPrivateSettings |
Messenger 設定に保存されていない非公開の設定が保存されます |
マージ: |
定義済みの Instant Messaging ポリシーと Presence ポリシー
表 17–6 は、Instant Messaging サービスコンポーネントのインストール時に Sun Java System Access Manager 内に作成される、7 つのサンプルポリシーと 7 つのサンプルロール、およびその説明を一覧にまとめたものです。各エンドユーザーには、付与すべきアクセス権限に応じたロールを追加できます。
典型的なサイトでは、ロール「IM Regular User」 (デフォルトの Instant Messaging アクセス権と Presence アクセス権を取得するロール) を、Instant Messaging ポリシー管理の責務を負わない、Instant Messenger を単に使用するだけのエンドユーザーに割り当てます。また、その同じサイトで、ロール「IM Administrator 」 (Instant Messaging サービスと Presence サービスの管理権限が関連付けられたロール) を、Instant Messaging ポリシー管理に対して完全な責務を負う特定のエンドユーザーに割り当てます。表 17–7 は、ポリシー属性のデフォルトの権限割り当て一覧です。規則内でアクションが選択されている場合のみ、そのアクションに対応する「許可」や「許可しない」の属性値は意味を持ちます。
表 17–6 Sun Java System Access Manager のデフォルトのポリシーとロール|
ポリシー |
このポリシーが適用されるロール |
このポリシーが適用されるサービス |
ポリシーの説明 |
|---|---|---|---|
|
Default Instant Messaging and presence access |
IM Regular User |
sunIM、sunPresence |
一般的な Instant Messaging エンドユーザーがデフォルトで備えるべきアクセス権です。 |
|
Ability to administer Instant Messaging and Presence Service |
IM Administrator |
sunIM、sunPresence |
Instant Messaging 管理者が備えるアクセス権です。Instant Messaging のすべての機能にアクセスできます。 |
|
Ability to manage Instant Messaging news channels |
IM News Administrator |
sunIM |
エンドユーザーは、ニュースチャネルの管理 (作成や削除など) を行えます。 |
|
Ability to manage Instant Messaging conference rooms |
IM Conference Rooms Administrator |
sunIM |
エンドユーザーは、会議室の管理 (作成や削除など) を行えます。 |
|
Ability to change own Instant Messaging user settings |
IM Allow User Settings Role |
sunIM |
エンドユーザーは、Instant Messenger の「設定」ダイアログボックスで値を変更することによって設定を編集できます。 |
|
Ability to send Instant Messaging alerts |
IM Allow Send Alerts Role |
sunIM |
エンドユーザーは Instant Messenger でアラートを送信できます。 |
|
Ability to watch changes on other Instant Messaging end users |
IM Allow Watch Changes Role |
sunIM |
エンドユーザーは、ほかの Instant Messaging エンドユーザーの Presence ステータスにアクセスできます。 |
表 17–7 デフォルトのポリシー割り当て
|
ポリシー |
|||||||
|---|---|---|---|---|---|---|---|
|
属性 |
デフォルトのアクセス |
Instant Messaging と Presence サービスの管理 |
ニュースチャネルの管理 |
会議室の管理 |
自身のエンドユーザー設定の変更 |
アラートの送信 |
ほかのユーザーの変更の監視 |
|
sunIMAllowChat |
許可 |
許可 | |||||
|
sunIMAllowChatInvite |
許可 |
許可 | |||||
|
sunIMAllowForumAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowForumManage |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowForumModerate |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowAlertsAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowAlertsSend |
許可 |
許可 |
許可 | ||||
|
sunIMAllowNewsAccess |
許可 |
許可 |
許可 | ||||
|
sunIMAllowNewsManage |
許可しない |
許可 |
許可 | ||||
|
sunIMAllowFileTransfer |
許可 |
許可 | |||||
|
sunIMAllowContactListManage |
許可 |
許可 | |||||
|
sunIMAllowUserSettings |
許可 |
許可 |
許可 | ||||
|
sunIMAllowPollingAccess |
許可 |
許可 | |||||
|
sunIMAllowPollingSend |
許可 |
許可 | |||||
|
sunPresenceAllowManage |
許可 |
許可 | |||||
|
sunPresenceAllowAccess |
許可 |
許可 |
許可 |
||||
|
sunPresenceAllowPublish |
許可 |
許可 | |||||
新しい Instant Messaging ポリシーの作成
サイトの特定の要求に応じて、新しいポリシーを作成できます。
新しいポリシーを作成する
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
-
「新規」をクリックします。
データ区画 (右下のフレーム) に「新規ポリシー」ページが表示されます。
-
「ポリシータイプ」で「標準」を選択します。
-
「名前」フィールドにポリシー名を入力します。
たとえば次のように入力します。
IMpolicy
-
「了解」をクリックします。
Sun Java System Access Manager 管理コンソールで、ナビゲーション区画のポリシー一覧に新しいポリシーの名前が表示され、新しいポリシーの「編集」ページが表示されます。
-
「編集」ページの「表示」ドロップダウンリストから「ルール」を選択します。
「編集」ページ内にルールを追加するためのパネルが表示されます。
-
「新規」をクリックします。
ルールを追加するためのページが表示されます。
-
適用するサービスを選択します。
Instant Messaging サービスまたは Presence サービスのどちらかを選択できます。
各サービスでは、エンドユーザーが特定のアクションを実行するのを許可または拒否できます。たとえば、「Ability to Chat」は Instant Messaging サービスに固有のアクションであり、「Ability to Access other's Presence」は Presence サービスに固有のアクションです。
-
「ルール名」フィールドに規則の説明を入力します。
たとえば、次のように入力します。
Rule 1
-
「リソース名」に適切な値を入力します。
次のどちらかを入力します。
Instant Messaging サービスの場合は IMResource
または
Presence サービスの場合は PresenceResource
-
「アクション」で適用するアクションを選択します。
-
「値」で各アクションの値を選択します。
許可または拒否のどちらかを選択できます。
-
「終了」をクリックします。
今作成したルールが、一覧に表示されます。
-
「保存」をクリックします。
作成したルールがそのポリシーのルールとして保存されます。
-
そのポリシーに適用するすべてのルールを作成し終えるまで、手順 9 〜 16 を繰り返します。
ロール、グループ、組織、ユーザーへのポリシーの割り当て
ロール、グループ、組織、またはユーザーにポリシーを割り当てることができます。これには、デフォルトのポリシーや、Instant Messaging のインストール後に作成されたポリシーが含まれます。
ポリシーを割り当てる
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ポリシー」を選択します。
-
割り当てるポリシーの名前の横にある矢印をクリックします。
そのポリシーに対する「編集」ページが、データ区画 (右下のフレーム) に表示されます。
-
「編集」ページの「表示」ドロップダウンリストから「対象」を選択します。
-
「新規」をクリックします。
「対象を追加」ページが表示されます。このページには、利用可能な対象タイプが一覧表示されます。ポリシー設定で、利用可能なタイプを選択できます。
-
このポリシーに合う対象タイプを選択します。
たとえば、「組織」を選択します。
-
「次へ」をクリックします。
-
「名前」フィールドで、対象の名前を入力します。
-
(省略可能) 「排他的」チェックボックスをオンにします。
「排他的」チェックボックスは、デフォルトでオフになっています。これは、この対象のすべてのメンバーにポリシーが適用されることを意味しています。
「排他的」チェックボックスをオンにすると、この対象のメンバー以外のすべてのユーザーにポリシーが適用されます。
-
「利用可能」フィールドで、この対象に追加するエントリを検索します。
-
「終了」をクリックします。
今追加した対象が、一覧に表示されます。
-
「保存」をクリックします。
追加した対象がそのポリシーの対象として保存されます。
-
このポリシーに追加するすべての対象を作成し終えるまで、手順 6 〜 13 を繰り返します。
Access Manager による新しいサブ組織の作成
Sun Java System Access Manager のサブ組織作成機能を使用すると、組織的に独立した複数のユーザー群を Instant Messaging サーバー内に作成できます。各サブ組織は、個別の DNS ドメインにマッピングすることが可能です。サブ組織内のエンドユーザーは、ほかのサブ組織内のエンドユーザーから完全に隔離されます。ここでは、Instant Messaging の新しいサブ組織を作成するための最小限の手順を示します。
新しいサブ組織を作成する
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
新しい組織を作成します。
-
新しく作成されたサブ組織のサービスを登録します。
-
ナビゲーション区画で、新しいサブ組織の名前をクリックします。
たとえば、sub1.をクリックします。必ず、右側のプロパティー矢印ではなく名前をクリックしてください。
-
ナビゲーション区画の「表示」ドロップダウンリストから「サービス」を選択します。
-
「登録」をクリックします。
「サービスを登録」ページがデータ区画に表示されます。使用する Access Manager のバージョンによっては、この手順は不要です。
-
「認証」見出しの下にある次のサービスを選択します。
-
コア
-
LDAP
-
-
「Instant Messaging 設定」見出しの下にある次のサービスを選択します。
-
Instant Messaging サービス
-
Presence サービス
-
-
「了解」をクリックします。
このサブ組織用に新しく選択されたサービスが、ナビゲーション区画に表示されます。
-
-
新しく選択されたサービスのサービステンプレートを作成します。
-
ナビゲーション区画で、特定のサービスのプロパティー矢印をクリックします。まずは、「コア」サービスから始めます。
データ区画に「サービステンプレートの作成」ページが表示されます。使用する Access Manager のバージョンによっては、このページは表示されないので、その場合は次の手順 b は不要です。
-
データ区画で「作成」をクリックします。
選択したサービスのテンプレートオプションの一覧を表示するページが開きます。
テンプレートオプションを変更しない場合でも、個々のサービスごとに「作成」をクリックする必要があります。
-
以下の手順に従って、各サービスのサービステンプレートのオプションを変更します。
-
コア: 通常、オプションを変更する必要はありません。
-
LDAP: 新しいサブ組織のプレフィックスを「ユーザー検索の開始 DN」フィールドに追加します。
プレフィックス追加後の最終的な DN の形式は、次のようになります。
o=sub1,dc=company22,dc=example,dc=com
「root ユーザーバインドパスワード」、「root ユーザーバインドパスワード (確認)」の各フィールドに、LDAP パスワードを入力します。
-
Instant Messaging サービス: 通常、オプションを変更する必要はありません。
-
-
「保存」をクリックします。
-
すべてのサービスのサービステンプレートを作成し終わるまで、手順 a 〜 d を繰り返します。
-
新しいサブ組織内のエンドユーザーへのロール割り当て
サブ組織内に新しいエンドユーザーを作成し終わったら、次にそれらのエンドユーザーにロールを割り当てる必要があります。ロールは親組織から継承できます。
新しいサブ組織内のエンドユーザーにロールを割り当てる
-
Access Manager の管理コンソール (http://hostname :port/amconsole) にログインします。
たとえば、次のように入力します。
http://imserver.company22.example.com:80/amconsole
-
「アイデンティティー管理」タブを選択します。
-
ナビゲーション区画 (左下のフレーム) にある「表示」ドロップダウンリストから「ロール」を選択します。
-
割り当てるロールの右側にあるプロパティー矢印をクリックします。
そのロールに対するページが、データ区画 (右下のフレーム) に表示されます。
-
データ区画の「表示」ドロップダウンリストから「ユーザー」を選択します。
-
「追加」をクリックします。
「ユーザーを追加」ページが表示されます。
-
ユーザーを特定するための検索パターンを入力します。
たとえば、「UserId」フィールドにアスタリスク「*」を入力すると、すべてのユーザーが一覧表示されます。
-
「フィルタ」をクリックします。
「ユーザーを選択」ページが表示されます。
-
「ユーザーを選択」ページで、「パスを表示」チェックボックスをオンにします。
パスが表示されます。
-
このロールを割り当てるユーザーを選択します。
-
「終了」をクリックします。
- © 2010, Oracle Corporation and/or its affiliates