Sun Java™ System Identity Manager 7.0 管理ガイド |
第 5 章
管理この章では、Identity Manager 管理者と組織の作成と管理など、Identity Manager システムで一連の管理レベルタスクを実行するための説明および手順を示します。また、Identity Manager でのロール、機能、管理者ロールの使用方法についても説明します。
この章は、次のトピックで構成されています。
Identity Manager の管理についてIdentity Manager 管理者は、Identity Manager の拡張特権を持ったユーザーです。Identity Manager 管理者を設定すると、次のものを管理できます。
Identity Manager 管理者は、次のものが直接または間接的に割り当てられる点で、ユーザーと区別されます。
委任された管理
ほとんどの企業では、実行すべき管理タスクを持つ従業員は、固有のさまざまな役割を持っています。多くの場合、管理者は、ほかのユーザーまたは管理者から「透過的な」アカウント管理タスクや、範囲の制限されたアカウント管理タスクを実行する必要があります。
たとえば、管理者が Identity Manager ユーザーアカウントの作成の役割しか持たない場合があります。このように役割の範囲が制限されている場合、管理者には、ユーザーアカウントを作成するリソースについての特定の情報や、システム内に存在するロールまたは組織についての情報は必要ないと思われます。
Identity Manager では、管理者が固有で定義済みの範囲内のオブジェクトのみを表示して管理できるようにすることで、役割を分離し、この委任された管理モデルをサポートしています。
Identity Manager では、次の手段によって、個別のシステムアクティビティーを管理者に委任する機能を実装しています。
新しいユーザーアカウントを設定したり、ユーザーアカウントを編集したりする場合に、「ユーザーの作成」ページからユーザーの委任を指定できます。
また、「作業項目」タブから承認リクエストなどの作業項目を委任することもできます。詳細は、「作業項目の委任」を参照してください。
管理者の作成Identity Manager 管理者を作成するには、管理者にする Identity Manager ユーザーの機能を拡張します。ユーザーを作成または編集するときには、次を実行して管理コントロールを与えます。
ユーザーに管理特権を与えるには、メニューバーで「アカウント」を選択して「Identity Manager アカウント」エリアに移動します。新しいユーザーに対しては、「ユーザーの作成」ページで「セキュリティー」タブを選択し、管理者属性を割り当てます。
既存のユーザーに管理者属性を割り当てるには、「アカウント」リストでユーザーを選択して、「ユーザーアクション」リストで「ユーザー機能の編集」を選択して、ユーザーの機能を編集します。次の図のような「セキュリティー」フォームが表示されます。
図 5-1 ユーザーアカウントの「セキュリティー」ページ: 管理者特権の指定
1 つ以上の項目を選択して、管理コントロールを設定します。
- 「管理する組織」 − 組織を 1 つ以上選択します。管理者は、選択した組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理できます。管理の範囲は、割り当てられた機能によってさらに定義されます。このエリアで項目を 1 つ選択する必要があります。
- 「機能」 − この管理者が管理する組織内でこの管理者が持つ機能を 1 つ以上選択します。Identity Manager 機能の詳細については、第 4 章「設定」を参照してください。
- 「ユーザーフォーム」 − Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。
- 「承認リクエスト転送先」 − 現在の保留中承認リクエストをすべて転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。
- 「作業項目の委任先」 − 使用できる場合は、このオプションを使用してユーザーアカウントへの委任を指定します。1 人または複数の選択したユーザーを IDM マネージャーに指定するか、承認委任先規則を使用します。
管理者ビューのフィルタ
組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。
- 組織 − 組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、Identity Managerが親組織に対して選択されたフォームを継承します。親組織に対してフォームが設定されていない場合は、Identity Manager がシステム設定のデフォルトのフォームを使用します。
- 管理者 − ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。
第 4 章「設定」で、割り当て可能な Identity Manager 組み込み機能について説明します。
管理者パスワードの変更
管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。
管理者は、次の場所から別の管理者のパスワードを変更できます。
管理者は、「パスワード」エリアから自分自身のパスワードを変更できます。「パスワード」を選択し、「自分のパスワードの変更」を選択すると、パスワードの自己管理フィールドにアクセスできます。
注
アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、および通知選択など、パスワードの制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。
管理者のアクションの認証
特定のアカウント変更を処理する前に Identity Manager ログインパスワードをアテストするように管理者にリクエストするオプションを設定することができます。パスワードの認証が失敗した場合、アカウントアクションは成功しません。
このオプションは、次の Identity Manager ページでサポートされます。
以降の節で説明するように、これらのオプションを設定します。
ユーザーリクエストの編集オプション
このオプションは、account/modify.jsp ページで次のように設定します。
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");
ここでのオプションの値は、1 つ以上の次のユーザー表示属性名のカンマ区切りリストです。
ユーザーパスワードの変更とユーザーパスワードリクエストのリセットオプション
このオプションは、admin/changeUserPassword.jsp ページおよび admin/resetUserPassword ページで次のように設定します。
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");
オプションの値として true または false を指定できます。
秘密の質問の回答の変更
「パスワード」エリアを使用して、アカウント秘密の質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の秘密の質問の回答の変更」を選択します。
認証の詳細については、「ユーザー認証」を参照してください。
管理者インタフェースでの管理者名の表示のカスタマイズ
次のエリアのような、Identity Manager 管理者インタフェースのいくつかのページおよびエリアでは、accountId ではなく属性 (email や fullname など) に基づいて Identity Manager 管理者を表示することができます。
表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。
<AdminDisplayAttribute>
<String>attribute_name</String>
</AdminDisplayAttribute>たとえば、email 属性を表示名として使用するには、次の属性名を UserUIconfig に追加します。
<AdminDisplayAttribute>
<String>email</String>
</AdminDisplayAttribute>
Identity Manager 組織について組織を使用して、次のことができます。
組織を作成してユーザーを組織階層内のさまざまな場所に割り当てることで、委任された管理のステージが設定されます。1 つ以上の組織を含む組織は、親組織と呼ばれます。
すべての Identity Manager ユーザー (管理者を含む) は、1 つの組織に静的に割り当てられます。また、別の組織に動的に割り当てることもできます。
Identity Manager 管理者には、さらに組織の管理が割り当てられます。
組織の作成組織は、「Identity Manager アカウント」エリアで作成します。組織を作成するには、次の手順に従います。
- メニューバーで、「アカウント」を選択します。
- 「アカウント」ページの「新規作成アクション」リストから「新規組織」を選択します。
図 5-2 は、「組織の作成」画面を示しています。
図 5-2 「組織の作成」画面
組織へのユーザーの割り当て
各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。組織のメンバーシップは、次の方法で決定されます。
ユーザーメンバー規則は、「組織の作成」ページの「ユーザーメンバー規則」フィールドで選択します。図 5-3 はユーザーメンバー規則の例を示しています。
図 5-3 組織の作成: ユーザーメンバー規則の選択
次の例は、組織のユーザーメンバーシップを動的に管理できるユーザーメンバー規則をセットアップする方法を示しています。
キーの定義と取り込み
- 「ユーザーメンバー規則」オプションボックスに規則を表示するには、authType を authType='UserMembersRule' と設定する必要があります。
- コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。
- 定義された変数 (defvar) の「Team players」は、Windows Active Directory の「Pro Ball Team」組織単位 (OU) から、そのすべてのメンバーユーザーの識別名 (DN) を取得します。
- メンバーユーザーが検出されると、append ロジックは、「Pro Ball Team」 OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (「:smith-AD」など)。
- 結果は、Identity Manager リソース名が連結された DN (「dn:smith-AD」など) のリストとして返されます。
次は、サンプルのユーザーメンバー規則の構文例です。
管理する組織の割り当て
「ユーザーの作成」または「ユーザーの編集」ページから、1 つ以上の組織の管理を割り当てます。「セキュリティー」フォームタブを選択すると、「管理する組織」フィールドが表示されます。
また、「管理者ロール」フィールドから 1 つ以上の管理者ロールを割り当てる方法で、管理する組織を割り当てることもできます。
ディレクトリジャンクションおよび仮想組織についてディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。
ディレクトリジャンクション内の各組織が、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。この構造を図 5-4 に示します。
図 5-4 Identity Manager 仮想組織
ディレクトリジャンクションは、既存の Identity Manager 組織構造を任意の場所で接合することができます。ただし、ディレクトリジャンクションは既存のディレクトリジャンクション内またはその下で接合することはできません。
ディレクトリジャンクションを Identity Manager 組織ツリーに追加すると、そのディレクトリジャンクションのコンテキスト内で仮想組織を作成または削除することができます。また、ディレクトリジャンクションを構成する仮想組織のセットを任意の時点で更新して、ディレクトリリソースコンテナと同期しているかどうかを確認できます。ディレクトリジャンクション内に非仮想組織を作成することはできません。
Identity Manager オブジェクト (ユーザー、リソース、およびロールなど) を、Identity Manager 組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。
ディレクトリジャンクションのセットアップ
ディレクトリジャンクションは、「Identity Manager アカウント」エリアでセットアップします。
- Identity Manager メニューバーで、「アカウント」を選択します。
- 「アカウント」リストで Identity Manager 組織を選択し、「新規作成アクション」リストから「新規ディレクトリジャンクション」を選択します。
選択した組織は、セットアップする仮想組織の親組織になります。
Identity Managerに「ディレクトリジャンクションの作成」ページが表示されます。
- 項目を選択して、仮想組織をセットアップします。
- 「親組織」 − このフィールドには「アカウント」リストから選択した組織が含まれています。ただし、リストから異なる親組織を選択することもできます。
- 「ディレクトリリソース」 − 構造を仮想組織にミラー化する既存のディレクトリを管理するディレクトリリソースを選択します。
- 「ユーザーフォーム」 − この組織の管理者に適用するユーザーフォームを選択します。
- 「Identity Manager アカウントポリシー」 − ポリシーを選択します。または、デフォルトのオプション (継承) を選択すると親組織からポリシーが継承されます。
- 「承認者」 − この組織に関係するリクエストを承認できる管理者を選択します。
仮想組織の更新
このプロセスでは、選択した組織の下位にある、関連付けられたディレクトリリソースを持つ仮想組織を更新して同期し直します。リストで仮想組織を選択し、「組織アクション」リストから「組織の更新」を選択します。
仮想組織の削除
仮想組織を削除する場合は、次の 2 つの削除オプションから選択できます。
いずれかのオプションを選択して、「削除」をクリックします。
機能とその管理について機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、特権のセットを提供します。
すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager を使用して 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。
割り当てられた機能により、Identity Manager 管理者インタフェースのどのエリアにアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager エリアにアクセスできます。
機能のカテゴリ
Identity Manager の機能は、次のように分類されています。
組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。
保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。
機能の操作
機能の作成
機能を作成するには、「新規」をクリックします。新しい機能に名前を付け、その機能と関連付ける機能、管理者、組織を選択します。機能を割り当てる組織を少なくとも 1 つ選択する必要があります。
機能の編集
保護されていない機能を編集するには、リストでその機能を右クリックし、「編集」を選択します。組み込み機能は編集できません。
ただし、それを別の名前で保存して独自の機能を作成したり、自分で作成した機能の中で組み込み機能を使用したりすることはできます。
機能の保存と名前の変更
機能を「クローン作成」する (異なる名前で保存して、新しい機能を作成する) には、次を実行します。
コピー元の機能は保護されていますが、新しい機能は編集できます。
機能の割り当て
「ユーザーの作成」および「ユーザーの編集」ページから、ユーザーに機能を割り当てます。インタフェースの「セキュリティー」エリアでセットアップした管理者ロールを割り当てる方法で、ユーザーに機能を割り当てることもできます。詳細は、「管理者ロールとその管理について」を参照してください。
機能の階層
タスクベースの機能は、次のような実用上の機能階層に分類されます。
Account Administrator
Admin Role Administrator
Auditor Administrator
Auditor Report Administrator
- Access Review Detail Report Administrator
- Access Review Summary Report Administrator
- Audit Policy Scan Report Administrator
- Audited Attribute Report Administrator
- AuditPolicy Violation History Administrator
- Organization Violation History Administrator
- Policy Summary Report Administrator
- Resource Violation History Administrator
- Run Auditor Report
- Separation of Duties Report Administrator
- User Access Report Administrator
- Violation Summary Report Administrator
Bulk Account Administrator
Bulk Change Account Administrator
Bulk Resource Password Administrator
Capability Administrator
Change Account Administrator
Configure Certificates
Import/Export Administrator
License Administrator
Login Administrator
Meta View Administrator
Organization Administrator
Password Administrator (Verification Required)
Policy Administrator
Reconcile Administrator
Remedy Integration Administrator
Report Administrator
Resource Administrator
Resource Object Administrator
Resource Password Administrator
Role Administrator
Security Administrator
Service Provider Administrator
Service Provider Admin Role Administrator
User Account Administrator
View Organizations
View Resources
Waveset Administrator
機能の定義
表 5-1 で、各タスクベースの機能と、各機能でアクセスできるタブおよびサブタブについて説明します。機能は、名前のアルファベット順に並べられています。
すべての機能で、ユーザーまたは管理者は、「パスワード」の「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」タブにアクセスすることができます。
表 5-1 Identity Manager 機能の説明
機能
管理者/ユーザーに許可する操作
アクセス可能なタブとサブタブ
Access Review Detail Report Administrator
アクセスレビュー詳細レポートの作成、編集、削除、および実行
「レポート」>「レポートの実行」タブ、「レポートの表示」タブ - アクセスレビュー詳細レポートのみ
「レポート」>「ダッシュボードの表示」
Access Review Summary Report Administrator
アクセスレビュー概要レポートの作成、編集、削除、および実行
「レポート」 - アクセスレビュー概要レポートのみ
「レポート」>「ダッシュボードの表示」
Account Administrator
機能の割り当てなど、ユーザーに対するすべての操作の実行 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」タブ
「パスワード」 - すべてのサブタブ
「作業項目」 - 「承認」サブタブ
「タスク」 - すべてのサブタブ
Admin Report Administrator
管理者レポートの作成、編集、削除、および実行
「レポート」 - 「レポートの管理」、「レポートの実行」サブタブ (管理者レポートのみ)
Admin Role Administrator
管理者ロールの作成、編集、および削除
「セキュリティー」 - 「管理者ロール」サブタブ
Approver Administrator
ほかのユーザーにより発行されたリクエストの承認または却下
デフォルトのみ
Assign Audit Policies
ユーザーアカウントと組織への監査ポリシーの割り当て
「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」
「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」
Assign Organization Audit Policies
監査ポリシーを組織のみに割り当て
「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」、「アカウントのリスト」タブ
Assign User Audit Policies
監査ポリシーをユーザーのみに割り当て
「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」、「アカウントのリスト」タブ、「ユーザーの検索」タブ
Assign User Capabilities
ユーザー機能の割り当ての変更 (割り当て、割り当て解除)
「アカウント」 - 「アカウントのリスト」(編集のみ)、「ユーザーの検索」サブタブ。
別のユーザー管理者機能 (「ユーザーの作成」、「ユーザーの有効化」など) に割り当てる必要があります。
Audit Policy Administrator
監査ポリシーの作成、修正、および削除
「コンプライアンス」 - 「ポリシーの管理」
Audit Policy Scan Report Administrator
監査ポリシースキャンレポートの作成、修正、削除、および実行
「レポート」 - 監査ポリシースキャンレポートのみ
Audit Report Administrator
監査レポートの作成、修正、削除、および実行
「レポート」 - 監査レポートのみ
Audited Attribute Report Administrator
監査された属性のレポートの作成、修正、削除、および実行
「レポート」 - 監査された属性のレポートのみ
AuditLog Report Administrator
監査ログレポートの作成、修正、削除、および実行
「レポート」 - 監査ログレポートのみ
Auditor Access Scan Administrator
定期的アクセスレビュースキャンの作成、編集、および削除
「コンプライアンス」 - 「アクセススキャンの管理」
Auditor Administrator
監査ポリシー、監査スキャン、ユーザーコンプライアンスの設定、管理、および監視
「コンプライアンス」 - すべてのサブタブ
「レポート」 - 「レポートの実行」、「レポートの表示」、「監査レポート」の管理
「アカウント」 - 「ユーザーの監査ポリシーの編集」と「組織の監査ポリシーの編集」操作
Auditor Attestor
組織のセキュリティーを有効にしながら、ほかのユーザーをアテストする必要がある
デフォルトのみ
Auditor Periodic Access Review Administrator
定期的アクセスレビュー (PAR) の管理、アクセススキャンの管理、アテステーションの管理、PAR レポートの管理
「コンプライアンス」 - 「アクセススキャンの管理」、「アクセスレビュー」サブタブ
Auditor Remediator
監査ポリシー違反の是正、受け入れ、転送
「是正」 - すべてのサブタブ
Auditor Report Administrator
任意の監査レポートの作成、修正、削除、および実行
「レポート」 - 監査レポートのすべての操作
Auditor View User
ユーザーに関連するコンプライアンス情報の表示
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」タブ
AuditPolicy Violation History Administrator
監査ポリシー別違反履歴表示レポートの作成、修正、削除、および実行
「レポート」 - 監査ポリシー別違反履歴表示レポートのみ
Bulk Account Administrator
機能の割り当てなど、ユーザーに対する通常操作および一括操作の実行
「アカウント」 - すべてのサブタブ
「パスワード」 - すべてのサブタブ
「承認」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Bulk Change Account Administrator
機能の割り当てなど、既存のユーザーに対する、既存のユーザーの削除以外の通常操作および一括操作の実行
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括操作の起動」サブタブ。ユーザーを作成または削除することはできません。
「パスワード」 - すべてのサブタブ
「承認」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Bulk Change User Account Administrator
既存のユーザーに対する、削除以外の通常操作および一括操作の実行
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括操作の起動」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Bulk Create User
リソースの割り当てとユーザー作成リクエストの発行 (個別のユーザーに対する操作または一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Delete IDM User
Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Delete IDM User
既存の Identity Manager ユーザーアカウントの削除 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Deprovision User
既存のリソースアカウントの削除およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Disable User
既存のユーザーとリソースアカウントの無効化 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Enable User
既存のユーザーとリソースアカウントの有効化 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Unassign User
既存のリソースアカウントの割り当て解除およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Unlink User
既存のリソースアカウントのリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk Update User
既存のユーザーとリソースアカウントの更新 (個別のユーザーに対する操作および一括操作を使用した操作)
「アカウント」 - 「アカウントのリスト」(更新のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ
「タスク」 - すべてのサブタブ
Bulk User Account Administrator
ユーザーに対するすべての通常操作および一括操作の実行
「アカウント」 - すべてのサブタブ
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Capability Administrator
機能の作成、修正、および削除
「設定」 - 「機能」サブタブ
Change Account Administrator
機能の割り当てなど、既存のユーザーに対する、既存のユーザーの削除以外のすべての操作の実行 (一括操作を除く)
「アカウント」 - すべてのサブタブ。ユーザーを削除することはできません。
「パスワード」 - すべてのサブタブ
「承認」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
「レポート」 - 管理レポートおよびユーザーレポートの作成、管理レポートの実行と編集、および範囲内の監査ログレポートを実行します。範囲外の組織の管理レポートおよびユーザーレポートを実行することはできません。
Change Active Sync Resource Administrator
Active Sync リソースパラメータの変更
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
「リソース」 - Active Sync リソース: 「編集」操作メニュー、「Active Sync パラメータの編集」
Change Password Administrator
ユーザーおよびリソースアカウントパスワードの変更
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ)
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Password Administrator (Verification Required)
ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ、操作の前に検証が必要)
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Resource Password Administrator
リソース管理者のアカウントパスワードの変更
「タスク」 - すべてのサブタブ
「リソース」 - 「リソースのリスト」サブタブ リソースパスワードの変更のみ (操作メニューの「接続の管理」-->「パスワードの変更」から)
Change User Account Administrator
既存のユーザーの削除以外のすべての操作の実行 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Configure Audit
システム内で監査されるイベントと設定グループの設定
「設定」 - 「イベント監査」サブタブ
Configure Certificates
信頼できる証明書と CRL の設定
「セキュリティー」 - 「証明書」サブタブ
Control Active Sync Resource Administrator
Active Sync リソースの状態 (開始、停止、更新など) の管理
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
「リソース」 - Active Sync リソース :「Active Sync」操作メニュー (すべての選択肢)
Create User
リソースの割り当てとユーザー作成リクエストの発行 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」 (作成のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Delete User
Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Delete IDM User
Identity Manager ユーザーアカウントの削除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Deprovision User
既存のリソースアカウントの削除およびリンク解除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Disable User
既存のユーザーアカウントとリソースアカウントの無効化 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Enable User
既存のユーザーアカウントとリソースアカウントの有効化 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Import User
定義済みリソースからのユーザーのインポート
「アカウント」 - 「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ
Import/Export Administrator
全タイプのオブジェクトのインポートとエクスポート
「設定」 - 「交換ファイルのインポート」サブタブ
License Administrator
アイデンティティーシステム製品ライセンスの設定
lh license コマンドの実行権を提供します。この機能を割り当てただけでは「管理者インタフェース」にはアクセスできません。
Login Administrator
所定のログインインタフェースに対するログインモジュールセットの編集
「設定」 - 「ログイン」サブタブ
Meta View Administrator
アイデンティティー属性の設定の変更
「メタビュー」 - 「アイデンティティー属性」タブ
Organization Administrator
組織の作成、編集、および削除
「アカウント」 - 「アカウントのリスト」サブタブ (組織およびディレクトリジャンクションの編集と作成、組織の削除のみ)
Organization Approver
新しい組織に対するリクエストの承認
「作業項目」 - 「承認」サブタブ
Organization Violation History Administrator
組織別違反履歴表示レポートの作成、修正、削除、および実行
「レポート」 - 組織別違反履歴表示レポートのみ
Password Administrator
ユーザーおよびリソースアカウントパスワードの変更とリセット
「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ)、「ユーザーの検索」サブタブ
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Password Administrator
(Verification Required)ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更とリセット
「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ、操作が成功するためには検証が必要)、「ユーザーの検索」サブタブ
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ
Policy Administrator
ポリシーの作成、編集、および削除
「設定」 - 「ポリシー」サブタブ
Policy Summary Report Administrator
ポリシーの概要レポートの作成、修正、削除、および実行
「レポート」 - ポリシーの概要レポートのみ
Reconcile Administrator
調整ポリシーの編集と調整タスクの管理
「サーバータスク」 - すべてのサブタブ (調整タスクの表示)
「リソース」 - 「リソースのリスト」サブタブ
Reconcile Report Administrator
調整レポートの作成、編集、削除、および実行
「レポート」 - 「レポートの実行」 (アカウントインデックスレポートのみ)、「レポートの管理」サブタブ
Reconcile Request Administrator
調整リクエストの管理
「タスク」 - すべてのサブタブ
「リソース」 - 「リソースのリスト」サブタブ (リストおよび調整機能のみ)
Remedy Integration Administrator
Remedy との統合の設定の修正
「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行)
「設定」 - 「Remedy との統合」サブタブ
Rename User
既存のユーザーアカウントとリソースアカウントの名前の変更
「アカウント」 - 「アカウントのリスト」サブタブ (範囲内のすべてのアカウントのリスト、ユーザーの名前変更)
Report Administrator
監査の設定と全タイプのレポートの実行
「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行)
「レポート」 - すべてのサブタブ
Reset Password Administrator
ユーザーおよびリソースアカウントパスワードのリセット
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ)
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Password Administrator (Verification Required)
ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードのリセット
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ、正しく操作するためには検証が必要)
「パスワード」 - すべてのサブタブ
「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Resource Password Administrator
リソース管理者のアカウントパスワードのリセット
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
「リソース」 - 「リソースのリスト」サブタブ リソースパスワードのリセットのみ (アクションメニューの「接続の管理」
-->「パスワードのリセット」から)Resource Administrator
リソースの作成、修正、および削除
「レポート」 - リソースユーザーレポート、リソースグループレポートは範囲外のリソースに関するエラーを返します。
「リソース」 - 「リソースのリスト」サブタブ (グローバルポリシーの編集、パラメータの編集、リソースグループ。接続またはリソースオブジェクトを管理することはできない)。
Resource Group Administrator
リソースグループの作成、編集、および削除
「リソース」 - 「リソースグループのリスト」サブタブ
Resource Object Administrator
リソースオブジェクトの作成、修正、および削除
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (リソースオブジェクトを含むタスクの表示)。
「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理のみ)
Resource Password Administrator
リソースプロキシアカウントパスワードの変更とリセット
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
「リソース」 - 「リソースのリスト」サブタブ リソースパスワードの変更のみ (操作メニューの「接続の管理」-->「パスワードの変更」から)
Resource Report Administrator
リソースレポートの作成、編集、削除、および実行
「レポート」 - すべてのサブタブ (リソースレポートのみ)
Resource Violation History Administrator
リソース別違反履歴表示レポートの作成、修正、削除、および実行
「レポート」 - リソース別違反履歴表示レポートのみ
Risk Analysis Administrator
リスク分析の作成、編集、削除、および実行
「リスク分析」 - すべてのサブタブ
Role Administrator
ロールの作成、修正、および削除
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (ロールの同期)
「ロール」 - すべてのサブタブ
Role Report Administrator
リソースレポートの作成、編集、削除、および実行
「レポート」 - ロールレポートのみ
Run Access Review Detail Report
アクセスレビュー詳細レポートの実行
「レポート」 - アクセスレビュー詳細レポートのみ
Run Access Review Summary Report
アクセスレビュー概要レポートの実行
「レポート」 - アクセスレビュー概要レポートのみ
Run Admin Report
管理者レポートの実行
「レポート」 - 管理レポートのみ
Run Audit Policy Scan Administrator
監査ポリシースキャンレポートの実行と管理
「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Policy Scan Report
監査ポリシースキャンレポートの実行
「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Report
監査レポートの実行
「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Audited Attribute Report
監査された属性のレポートの実行
「レポート」 - 監査された属性のレポートのみ
「レポート」>「ダッシュボードの表示」
Run Auditor Report
任意の監査レポートの実行
「レポート」 - 任意の監査レポート
「レポート」>「ダッシュボードの表示」
Run AuditLog Report
監査ログレポートの実行
「レポート」 - 監査ログレポートのみ
Run AuditPolicy Violation History
組織別違反履歴表示レポートの実行
「レポート」 - 監査ポリシー別違反履歴表示レポートのみ
「レポート」>「ダッシュボードの表示」
Run Policy Summary Report
ポリシーの概要レポートの実行
「レポート」 - ポリシーの概要レポートのみ
Run Organization Violation History
組織別違反履歴表示レポートの実行
「レポート」 - 組織別違反履歴表示レポートのみ
「レポート」>「ダッシュボードの表示」
Run Reconcile Report
調整レポートの実行
「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Report
リソースレポートの実行
「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Violation History
リソース別違反履歴表示レポートの実行
「レポート」 - リソース別違反履歴表示レポートのみ
Run Risk Analysis
リスク分析の実行
「レポート」 - 「リスク分析の実行」、「リスク分析の表示」サブタブ
Run Role Report
ロールレポートの実行
「レポート」 - ロールレポートのみ
Run Task Report
タスクレポートの実行
「レポート」 - タスクレポートのみ
Run User Access Report
詳細なユーザーレポートの実行
「レポート」 - ユーザーアクセスレポートのみ
「レポート」>「ダッシュボードの表示」
Run User Report
ユーザーレポートの実行
「レポート」 - ユーザーレポートのみ
Run Violation Summary Report
違反の概要レポートの実行
「レポート」 - 違反の概要レポートのみ
「レポート」>「ダッシュボードの表示」
Security Administrator
暗号化鍵、ログイン設定、およびポリシーの管理などの機能を持つユーザーの作成
「アカウント」 - 「アカウントのリスト」(パスワードの削除、作成、更新、編集、および変更)、「ユーザーの検索」サブタブ (監査レポート)
「パスワード」 - すべてのサブタブ
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
「レポート」 - すべてのサブタブ
「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理)
「セキュリティー」 - 「ポリシー」、「ログイン」サブタブ
Separation of Duties Report Administrator
職務分掌レポートの作成、編集、実行、および削除
「レポート」 - 職務分掌レポートのすべての操作のみ
Run Separation of Duties Report
職務分掌レポートの実行
「レポート」 - 職務分掌レポートのみ
「レポート」>「ダッシュボードの表示」
Service Provider Admin Role
サービスプロバイダ管理者ロールと関連する規則の管理
「セキュリティー」 - 「管理者ロール」タブ
Service Provider Administrator
サービスプロバイダユーザーとサービスプロバイダトランザクションの作成、編集、および管理。トランザクションデータベースと追跡イベントの設定。
「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
「サーバータスク」>「サービスプロバイダトランザクション」タブ
「レポート」>「ダッシュボードの表示」タブ
「レポート」>「ダッシュボードの設定」タブ
サービスプロバイダ - すべてのサブタブ
Service Provider Create User
サービスプロバイダ (エクストラネット) ユーザーのユーザーアカウントの作成
「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Delete User
サービスプロバイダユーザーアカウントの削除
「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Update User
サービスプロバイダユーザーアカウントの更新
「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider User Administrator
サービスプロバイダ (エクストラネット) ユーザーの管理
「アカウント」>「サービスプロバイダユーザーの管理」 - すべてのサブタブ
Service Provider View User
サービスプロバイダ (エクストラネット) ユーザーアカウント情報の表示
「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
SPML Access
Identity Manager の SPML (Service Provisioning Markup Language) 機能へのアクセスを許可
「セキュリティー」 - 「機能」サブタブ
Task Report Administrator
タスクレポートの作成、編集、削除、および実行
「レポート」 - タスクレポートのみ
Unassign User
既存のリソースアカウントの割り当て解除およびリンク解除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Unlink User
既存のリソースアカウントのリンク解除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」サブタブ
「タスク」 - すべてのサブタブ
Unlock User
ロック解除をサポートする既存のユーザーリソースアカウントのロック解除 (一括操作を除く)
「アカウント」 - 「アカウントのリスト」 (ロック解除のみ)、「ユーザーの検索」サブタブ
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
Update User
既存のユーザーの編集と、ユーザー更新リクエストの発行
「アカウント」 - ユーザーの編集および更新
「タスク」 - 既存のタスクの管理 (「すべてのタスク」サブタブから)
User Access Report Administrator
ユーザーアクセスレポートの作成、実行、編集、および削除
「レポート」 - ユーザーアクセスレポートのみ
「レポート」>「ダッシュボードの表示」
User Account Administrator
ユーザーに対するすべての操作
「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ。ユーザー機能を割り当てることはできません (「アカウントのリスト」サブタブの「セキュリティー」フォームタブ)。
「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
User Report Administrator
ユーザーレポートの作成、編集、削除、および実行
「レポート」 - ユーザーレポートの実行
View User
個別のユーザーの詳細の表示
「アカウント」 - リストからユーザーを選択して、個別のユーザーアカウント情報を表示します。変更操作は許可されません。
Violation Summary Report Administrator
違反の概要レポートの作成、修正、削除、および実行
「レポート」 - 違反の概要レポートのみ
「レポート」>「ダッシュボードの表示」
Waveset Administrator
System Configuration オブジェクトの修正など、システム全体にわたるタスクの実行
「サーバータスク」 - すべてのサブタブ ロールの同期、ソースアダプタテンプレートの編集、およびレポートのスケジュール
「レポート」 - すべてのサブタブ
「リソース」 - 「リソースのリスト」(リストのみ、変更操作は許可されない)
「設定」 - 「監査」、「電子メールテンプレート」、「フォームおよびプロセスマッピング」、および「サーバー」サブタブ
管理者ロールとその管理について管理者ロールを使用すると、1 人または複数の管理者に、機能と管理の範囲の一意の組み合わせや管理する組織を割り当てることができます。1 人の管理者に複数の管理者ロールを割り当てられます。これによって、管理者は 1 つの管理の範囲内ではある一連の機能を持ち、別の管理の範囲内では別の一連の機能を持つことができます。
たとえば、管理者にある管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織のユーザーの作成および編集の権限を与えます。その一方で、同じ管理者に別の管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織では、ユーザーのパスワード変更の権限のみを与えることができます。
ユーザーに直接機能や管理する組織を割り当てるのではなく、管理者ロールを使用して管理特権を与えることをお勧めします。管理者ロールでは機能と範囲または管理の組み合わせを再使用し、同時に多数のユーザーに対する管理者特権の管理を簡素化できます。
機能または組織 (またはその両方) の管理者ロールへの割り当ては、直接または間接的 (動的) に行うことができます。
管理者への管理者ロールの割り当ては直接または間接的 (動的) に行うことができます。
管理者ロールの規則
Identity Manager には、管理者ロールの規則の作成に使用できるサンプル規則があります。これらの規則は、sample/adminRoleRules.xml 内の Identity Manager インストールディレクトリにあります。表 5-2 は規則名と規則に指定する必要のある authType を示しています。
表 5-2 管理者ロールのサンプル規則
規則名
authType
管理する組織の規則
ControlledOrganizationsRule
機能規則
CapabilitiesRule
ユーザーへの管理者ロール割り当て規則
UserIsAssignedAdminRoleRule
注
サービスプロバイダユーザー管理者ロールのサンプル規則については、「Service Provider Administration」の章の「委任された管理」を参照してください。
ユーザー管理者ロール
Identity Manager にはユーザー管理者ロールという組み込み管理者ロールがあります。デフォルトでは、割り当てられた機能や管理する組織の割り当てはありません。また、このロールを削除することはできません。この管理者ロールは、ログインするインタフェース (たとえば、ユーザー、管理者、コンソール、または IDE) に関らず、ログイン時に暗黙的にすべてのユーザー、つまりエンドユーザーと管理者に割り当てられます。
注
サービスプロバイダユーザーの管理者ロールの作成については、「Service Provider Administration」の章の「委任された管理」を参照してください。
ユーザー管理者ロールは、管理者インタフェースで「セキュリティー」を選択してから「管理者ロール」を選択することによって編集できます。
この管理者ロールによって静的に割り当てられる機能または管理する組織はすべてのユーザーに割り当てられるので、機能および管理する組織の割り当ては規則を通して行うことをお勧めします。そうすることで、異なるユーザーが異なる機能を持つまたは機能を持たないようにすることができ、ユーザーがだれか、ユーザーがどの部署に所属するか、またはユーザーが管理者であるかなど、規則のコンテキスト内で問い合わせ可能な要素に基づいて割り当ての範囲が設定されます。
ユーザー管理者ロールによって、ワークフローで使用される authorized=true フラグの有用性が低下したり、そのフラグが完全に取って代わられるわけではありません。ワークフローが実行中である場合を除き、ワークフローがアクセスするオブジェクトに対してユーザーがアクセス権を持っていないときには、依然としてこのフラグのほうが適しています。基本的には、このときユーザーは「スーパーユーザーとして実行」モードに入ります。
しかし、ユーザーがワークフロー外にあるまたはワークフロー内にある可能性のある 1 つ以上のオブジェクトに対して特定のアクセス権を持っている場合は、ユーザー管理者ロールを使用して機能および管理する組織を動的に割り当てることにより、それらのオブジェクトに対して動的で緻密な承認を行えます。
管理者ロールの作成および編集
管理者ロールを作成または編集するには、管理者ロールの管理者機能が必要です。管理者ロールにアクセスするには、管理者インタフェースで「セキュリティー」をクリックしてから「管理者ロール」タブをクリックします。「管理者ロール」リストページでは、Identity Manager ユーザーとサービスプロバイダユーザーの管理者ロールを作成、編集、および削除できます。
既存の管理者ロールを編集するには、リスト内の名前をクリックします。管理者ロールを作成するには、「新規」をクリックします。Identity Manager の「管理者ロールの作成」オプションが表示されます (図 5-5 参照)。「管理者ロールの作成」画面には 4 つのタブが表示されます。これらを使用して一般的な属性、機能、新しい管理者ロールの範囲、ユーザーへのロールの割り当てを指定します。
図 5-5 「管理者ロールの作成」ページ: 「General」タブ
:
「General」タブ
「管理者ロールの作成」または「管理者ロールの編集」画面の「General」タブを使用して、管理者ロールの次の一般的な特性を指定します。
Identity Manager ユーザー (またはオブジェクト) の管理者ロールを作成している場合は、「アイデンティティーオブジェクト」を選択します。サービスプロバイダユーザーにアクセス権限を与える管理者ロールを作成している場合は、「サービスプロバイダユーザー」を選択します。
注
サービスプロバイダユーザーにアクセス権限を与える管理者ロールの作成については、「Service Provider Administration」の章の「委任された管理」を参照してください。
Scope of Control
このタブ (図 5-6 を参照) を使用して、この組織のメンバーが管理できる組織を指定するか、または管理者ロールのユーザーによって管理される組織を決定する規則を指定し、管理者ロールのユーザーフォームを選択します。
図 5-6 「管理者ロールの作成」: 「Scope of Control」
- 「管理する組織」 − 「利用可能な組織」リストから、この管理者ロールが管理する権利をもつ組織を選択します。
- 「管理する組織の規則」 − ユーザーログイン時に評価の対象となる、この管理者ロールが割り当てられたユーザーによって管理される組織に対する規則を選択します。選択する規則は、ControlledOrganizationsRule authType を持つ必要があります。デフォルトで、管理する組織の規則は選択されていません。
- 「管理する組織のユーザーフォーム」 − この管理者ロールが割り当てられたユーザーが、この管理者ロールの管理する組織のメンバーであるユーザーを作成または編集する場合に使用するユーザーフォームを選択します。デフォルトで、「管理する組織のユーザーフォーム」は選択されていません。
機能の割り当て
管理者ロールに割り当てられる機能によって、この管理者ロールが割り当てられたユーザーの管理権限が決まります。たとえば、この管理者ロールが管理者ロールの管理する組織のユーザーの作成のみに制限される場合があります。この場合、「ユーザーの作成」機能を割り当てます。
「Capabilities」タブで次のオプションを選択します。
管理者ロールへのユーザーフォームの割り当て
管理者ロールのメンバーにユーザーフォームを指定することができます。「管理者ロールの作成」または「管理者ロールの編集」画面の「Assign To Users」タブを使用して、割り当てを指定します。
管理者ロールを割り当てられた管理者は、その管理者ロールによって管理されている組織内のユーザーを作成または編集するときにこのユーザーフォームを使用します。管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。
ユーザーを編集するときに使用されるユーザーフォームは、次の優先順位で決定されます。
管理者に、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールが割り当てられている場合、その組織内のユーザーを作成または編集しようとするとエラーが表示されます。管理者が、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールを割り当てようとすると、エラーが表示されます。この相反する状況を解決するまで変更は保存できません。
作業項目の管理Identity Manager のタスクによって発生した一部のワークフロープロセスでは、アクションアイテムまたは作業項目が作成されます。これらの作業項目は、承認のリクエストや Identity Manager アカウントに割り当てられたその他の操作リクエストである場合があります。
Identity Manager は、1 か所に保留中のリクエストをすべて表示し、応答できるように、作業項目をすべてインタフェースの「作業項目」エリアにグループ化します。
作業項目のタイプ
作業項目は次のいずれかのタイプである場合があります。
各作業項目タイプの保留中の作業項目を表示するには、メニューバーの「作業項目」タブをクリックします。作業項目にアクセスし、このタブからリクエストを管理したり、作業項目タイプの 1 つを選んでそのタイプのリクエストを一覧表示したりできます。
作業項目リクエストの操作
作業項目リクエストに応答するには、インタフェースの「作業項目」の作業項目タイプのうち 1 つをクリックします。リクエストのリストから項目を選択して、使用できるボタンの 1 つをクリックして、実行する操作を示します。作業項目オプションは、作業項目タイプによって異なります。
リクエストへの応答の詳細については、次のトピックを参照してください。
作業項目履歴の表示
「作業項目」エリアの「履歴」タブを使用して、以前の作業項目操作の結果を表示できます。図 5-7 は、作業項目履歴の表示例です。
図 5-7 作業項目履歴の表示
作業項目の委任
作業項目の所有者は、作業項目を他のユーザーに一定期間委任して作業負荷を管理できます。次の項目が作業項目の委任に使用できます。
作業項目の委任を停止するには、「作業項目の委任」ページで「なし」を選択します。
アカウントの承認ユーザーが Identity Manager システムに追加された場合、新しいアカウントに対する承認者として割り当てられている管理者は、アカウント作成を検証する必要があります。Identity Manager は、これらの Identity Manager オブジェクトに適用される次の 3 つの承認カテゴリをサポートします。
- 組織 − 組織に追加されるユーザーアカウントに承認が必要です。
- ロール − ロールに割り当てられるユーザーアカウントに承認が必要です。
- リソース − リソースに対するアクセス権を与えられるユーザーアカウントに承認が必要です。
注
Identity Manager では、デジタル署名された承認を設定できます。詳細については、「デジタル署名付き承認の設定」を参照してください。
承認者のセットアップ
これらの各カテゴリに対する承認者のセットアップはオプションですが、セットアップすることを推奨します。アカウントの作成では、承認者をセットアップするカテゴリごとに、少なくとも 1 つの承認が必要です。1 人の承認者がリクエストの承認を却下した場合、アカウントは作成されません。
各カテゴリに複数の承認者を割り当てることができます。1 つのカテゴリ内で必要な承認は 1 つのみであるため、複数の承認者をセットアップして、ワークフローが遅延または停止していないかどうかを確認できます。1 人の承認者が利用不可能な場合は、ほかの承認者を利用してリクエストを処理できます。承認は、アカウント作成にのみ適用されます。デフォルトでは、アカウントの更新と削除に承認は必要ありません。
ただし、承認を必要とするように、このプロセスをカスタマイズできます。Identity Manager は、承認プロセスとアカウント作成リクエストのステータスをワークフロー図として図示します。Identity Manager IDE を使用すると、承認の流れを変更したり、アカウントの削除を取得したり、更新を取得したりして、ワークフローをカスタマイズすることができます。
IDE、ワークフローの詳細、承認ワークフローの変更を図示した例については、『Identity Manager Workflows, Forms, and Views』を参照してください。
図 5-8 はアカウント作成ワークフローとワークフロープロセスでの承認のタイミングを示しています。
図 5-8 アカウント作成ワークフロー
Identity Manager 承認者は承認リクエストを承認または却下できます。デジタル署名を使用してアカウントを承認するには、「デジタル署名付き承認の設定」の説明に従ってまずデジタル署名を設定する必要があります。
Identity Manager インタフェースの「作業項目」エリアで保留中の承認を表示したり、承認を管理したりできます。保留中の承認を表示するには、「作業項目」ページで「自分の作業項目」をクリックします。承認を管理するには、「承認」タブををクリックします。
承認の署名
次の手順を実行して、承認に署名します。
- Identity Manager の管理者インタフェースから、「作業項目」を選択します。
- 「承認」タブをクリックします。
- リストから承認を 1 つまたは複数選択します。
- 承認のコメントを入力して、「承認」をクリックします。
Identity Manager はアプレットを信頼するかどうかを確認するようにリクエストします。
- 「常時」をクリックします。
Identity Manager は承認の日付入りの概要を表示します。
- キーストアの場所 (署名付き承認の設定中に設定した場所。「署名付き承認のためのクライアント側の設定」の手順 10m で説明) を、入力するかまたは「参照」をクリックして特定します。
- キーストアパスワード (署名付き承認の設定中に設定したパスワード。「署名付き承認のためのクライアント側の設定」の手順 10l で説明) を入力します。
- 「署名」をクリックして、リクエストを承認します。
その後の承認の署名
一度承認に署名すると、それ以後の承認アクションでは、キーストアパスワードを入力して「署名」をクリックするだけでよくなります (Identity Manager は、前回の承認で使用したキーストアの場所を記憶しているはず)。
デジタル署名付き承認の設定
次の情報と手順を使用して、デジタル署名付きの承認を設定します。この節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明します。
署名付き承認のためのサーバー側の設定
サーバー側の設定を有効にするには、次のようにします。
- システム設定に security.nonrepudiation.signedApprovals=true を設定します。
- 自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。
たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。
- この証明書を Identity Manager に信頼できる証明書として追加します。
- 次のようにして、CA の証明書失効リスト (CRL) を追加します。
- 「テスト接続」をクリックして、URL を確認します。
- 「保存」をクリックします。
- jarsigner を使用して applets/ts1.jar に署名します。
注
詳細については、http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts1.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。
署名付き承認のためのクライアント側の設定
クライアント側の設定を有効にするには、次のようにします。
前提条件
クライアントシステムで、JRE 1.4 以上が動作する Web ブラウザが実行されている必要があります。
手順
証明書と非公開鍵を取得して、PKCS#12 キーストアにエクスポートします。
たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。
- Internet Explorer を使用して、http://IPAddress/certsrv を参照し、管理特権でログインします。
- 「証明書のリクエスト」を選択して、「次へ」をクリックします。
- 「リクエストの詳細設定」を選択して、「次へ」をクリックします。
- 「次へ」をクリックします。
- 「証明書テンプレート」で「ユーザー」を選択します。
- 次のオプションを選択します。
- 「送信」をクリックして、「OK」をクリックします。
- 「この証明書のインストール」をクリックします。
- 「ファイル名を指定して実行」> mmc を実行して、mmc を起動します。
- 証明書スナップインを追加します。
- 「コンソール」>「スナップインの追加と削除」を選択します。
- 「追加...」をクリックします。
- 「コンピュータアカウント」を選択します。
- 「次へ」をクリックして、「完了」をクリックします。
- 「閉じる」をクリックします。
- 「OK」をクリックします。
- 「証明書」>「個人」>「証明書」の順に進みます。
- 「管理者」を右クリックして、「すべてのタスク」>「エクスポート」を選択します。
- 「次へ」をクリックします。
- 「次へ」をクリックして、非公開鍵がエクスポートされていることを確認します。
- 「次へ」をクリックします。
- パスワードを設定して、「次へ」をクリックします。
- ファイル CertificateLocation。
- 「次へ」をクリックして、「完了」をクリックします。「OK」をクリックして確認します。
トランザクション署名の表示
次の手順を実行して、Identity Manager の監査ログレポートにトランザクション署名を表示します。
承認の委任
承認者機能を持っている場合、将来の承認リクエストを 1 人または複数のユーザー (被委任者) に一定期間委任することができます。委任されるユーザーに承認者機能は必要ありません。
委任機能は、将来の承認リクエストにのみ適用されます。既存のリクエスト (「承認待ち」タブの下に一覧表示されているリクエスト) は転送機能で転送されます。
委任を設定するには、「承認」エリアで「自分の承認作業項目の委任」タブを選択します。
作業項目または作業項目の任意の authType 拡張への委任権限を許可する機能を割り当てられている場合、委任機能にアクセスできます。これには、Approval、OrganizationApproval、ResourceApproval、および RoleApproval、または作業項目またはその authTypes の 1 つを拡張する任意のカスタムサブタイプが含まれます。
「ユーザーの作成/編集/表示」ページの「セキュリティー」フォームタブとユーザーインタフェースメインメニューからも承認を委任できます。
被委任者は有効な委任期間中、承認者の代わりにリクエストを承認できます。委任された承認リクエストには、被委任者の名前が記されます。
リクエストのための監査ログエントリ
承認および却下された承認リクエストの監査ログエントリには、リクエストが委任された場合、委任者の名前が記されます。ユーザーが作成または修正されると、ユーザーの委任承認者情報の変更が監査ログエントリの詳細変更セクションにログ記録されます。