test

Sun Java System Access Manager 7.1 管理ガイド

対象

対象はポリシーが影響を与えるユーザーまたはユーザーの集合 (たとえば、グループ、または特定のロールを持つ複数のユーザー) を定義します。対象の一般則は、ユーザーがポリシー中の少なくとも 1 つの対象のメンバーである場合にのみポリシーが適用される、というものです。デフォルトの対象は次のとおりです。

Access Manager アイデンティティー対象

この対象は、「レルム対象」タブで作成して管理しているアイデンティティーを対象のメンバーとして追加できることを示します。

認証済みユーザー

この対象タイプは、有効な SSOToken を持つ任意のユーザーがこの対象のメンバーであることを示します。

すべての認証済みユーザーは、ポリシーが定義されている組織とは別のレルムに認証しても、この対象のメンバーになります。リソース所有者が、別の組織のユーザー用に管理されているリソースにアクセスできるようにする場合は、これが便利です。特定組織のメンバーに保護されているリソースに対するアクセスを制限する場合は、組織対象を使用してください。

Web サービスクライアント

この対象タイプは、SSOToken に含まれる主体の DN がこの対象の選択された値のいずれかに一致する場合、SSOToken が特定する Web サービスクライアント (WSC) がこの対象のメンバーであることを示します。有効な値は、信頼できる WSC の証明書に対応する、ローカル JKS キーストア内の信頼できる証明書の DN です。この対象は、Liberty Web サービスフレームワークに依存し、Liberty サービスプロバイダが WSC を承認するためにのみ使用する必要があります。

この対象をポリシーに追加する前に、キーストアが作成されていることを確認します。キーストアの設定に関する説明は、次の場所にあります。

AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html

さらに次の対象は、レルムのポリシー設定サービスで選択することによって使用可能になります。

Access Manager ロール

この対象タイプは、ある Access Manager ロールの任意のメンバーがこの対象のメンバーであることを示します。Access Manager ロールは、旧バージョンモードで動作している Access Manager と 6.3 ベースのコンソールを使用して作成されます。これらのロールは Access Manager が規定するオブジェクトクラスを持ちます。Access Manager のロールには、ホスティングする Access Manager のポリシーサービス経由でのみアクセスできます。

LDAP グループ

この対象タイプは、ある LDAP グループの任意のメンバーがこの対象のメンバーであることを示します。

LDAP ロール

この対象タイプは、ある LDAP ロールの任意のメンバーがこの対象のメンバーであることを示します。LDAP ロールは、Directory Server ロール機能を使用するロール定義です。LDAP ロールは、Directory Server ロール定義が規定するオブジェクトクラスを持ちます。ポリシー設定サービスで LDAP ロール検索フィルタを変更して、検索範囲を絞り込みパフォーマンスを向上させることができます。

LDAP ユーザー

この対象タイプは、任意の LDAP ユーザーがこの対象のメンバーであることを示します。

組織

この対象タイプは、あるレルムの任意のメンバーがこの対象のメンバーであることを示します。

Access Manager ロールと LDAP ロールの比較

Access Manager ロールは Access Manager を使用して作成します。これらのロールは Access Manager が規定するオブジェクトクラスを持ちます。LDAP ロールは、Directory Server ロール機能を使用するロール定義です。LDAP ロールは、Directory Server ロール定義が規定するオブジェクトクラスを持ちます。すべての Access Manager ロールは Directory Server のロールとして使用できます。しかし、すべての Directory Server ロールが必ずしも Access Manager ロールというわけではありません。LDAP ロールは、「ポリシー設定サービス」を設定することにより、既存のディレクトリから利用できます。Access Manager のロールには、ホスティングする Access Manager のポリシーサービス経由でのみアクセスできます。ポリシー設定サービスで LDAP ロール検索フィルタを変更して、検索範囲を絞り込みパフォーマンスを向上させることができます。

入れ子ロール

入れ子ロールはポリシー定義の対象の LDAP ロールとして正しく評価できます。