権限
Access Manager の委任モデルは、管理者に割り当てられている権限または権利に基づきます。権限は、リソース上で実行できる操作またはアクションです。たとえば、ポリシーオブジェクトでの読み取り操作です。定義されている操作のセットは、読み取り、変更、および委任です。リソースは、アクションを実行できるオブジェクトであり、設定オブジェクトとアイデンティティーオブジェクトのいずれかにすることができます。
設定オブジェクトの例は、認証設定、ポリシー、データストアなどです。アイデンティティーオブジェクトの例は、ユーザー、グループ、ロール、およびエージェントです。権限のセットは動的に作成し、Access Manager に動的に追加できます。ただし、インストール中は Access Manager を正常に実行するために、小さいセットの権限が追加されます。権限がロードされたら、その権限をロールおよびグループに割り当てることができます。これらのロールおよびグループに属するユーザーは、委任管理者となり、割り当てられた操作を実行できるようになります。基本的に、管理者は、1 つ以上の権限のセットが割り当てられているロールおよびグループのメンバーであるユーザーです。
Access Manager 7.1 では、次の管理者タイプのアクセス権を設定できます。
-
レルム管理者 — レルム管理者は、すべてのオブジェクト (設定オブジェクトとアイデンティティーオブジェクト) の読み取り、変更、および委任の操作に対して、すべてのアクセス権を持っています。レルム管理者は、Unix システムにおける「root」と考えることができます。レルム管理者は、サブレルムを作成し、すべてのサービスの設定を変更できます。また、ユーザー、グループ、ロール、およびエージェントを作成、変更、および削除することもできます。
-
ポリシー管理者 — ポリシー管理者は、ポリシーおよびポリシーサービスの設定のみを管理するアクセス権を持っています。ルール、対象、条件、および応答の属性で構成されるポリシーを作成、変更、および削除できます。ただし、ポリシーを管理するために、ポリシー管理者には、アイデンティティーリポジトリの対象および認証設定に対する読み取り権が必要です。ポリシー管理者は、アイデンティティーおよび認証設定を参照できます。
-
ログ管理者 — ログ管理者は、ログレコードへの読み取り権または書き込み権、あるいはその両方を持っています。ログレコードを使用すると、悪意を持ったアプリケーションによって監査ログが悪用されるのを防ぐことができます。ログインタフェースは公開されているため、認証されたユーザーはすべてログレコードを読み取り、書き込むことができます。この権限を追加すると、このような悪用を防ぐことができます。ログインタフェースの主なユーザーは、J2EE および Web エージェントです。これらのユーザーは、変更権限しか必要ないため、読み取り権限を持つべきではありません。同様に、ログを参照する管理者は読み取り権限のみを持つべきであり、変更権限は持つべきではありません。このように使用するためには、次のようにログ権限をさらに分割します。
-
書き込みアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを書き込むアクセス権を持っています。
-
読み取りアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを読み取るアクセス権を持っています。
-
読み取りアクセスおよび書き込みアクセスを持つログ管理者 – これらの管理者は、すべてのログファイルを読み取るアクセス権と書き込むアクセス権を持っています。
-
Access Manager 7.1 の権限の定義
新しい Access Manager 7.1 のインストールインスタンスでは、ポリシー管理者、レルム管理者 (または旧バージョンモードでの組織管理者)、およびログ管理者に対してアクセス権が付与されます。権限の割り当てまたは変更を行うには、編集するロールまたはグループの名前をクリックします。次の中から、いずれか 1 つを選択します。
- すべてのログファイルに対する読み取りおよび書き込みのアクセス
-
ログ管理者に対して読み取りアクセス権限と書き込みアクセス権限の両方を定義します。
- すべてのログファイルに対する書き込みのアクセス
-
ログ管理者に対して書き込みアクセス権限のみを定義します。
- すべてのログファイルに対する読み取りのアクセス
-
ログ管理者に対して読み取りアクセス権限のみを定義します。
- ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス
-
ポリシー管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。
- すべてのレルムプロパティーおよびポリシープロパティーに対する読み取りおよび書き込みのアクセス
-
レルム管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。
Access Manager 7.0 から 7.1 へのアップグレードに対する権限の定義
Access Manager を Version 7.0 から 7.1 にアップグレードした場合は、権限設定が新しい Access Manager 7.1 のインストールとは異なります。ただし、ポリシー管理者、レルム管理者、およびログ管理者に対する権限はサポートされています。権限の割り当てまたは変更を行うには、編集するロールまたはグループの名前をクリックします。次の中から、いずれか 1 つを選択します。
- データストアに対する読み取り専用のアクセス
-
ポリシー管理者についてデータストアに対する読み取りアクセス権限を定義します。
- すべてのログファイルに対する読み取りおよび書き込みのアクセス
-
ログ管理者に対して読み取りアクセス権限と書き込みアクセス権限の両方を定義します。
- すべてのログファイルに対する書き込みのアクセス
-
ログ管理者に対して書き込みアクセス権限のみを定義します。
- すべてのログファイルに対する読み取りのアクセス
-
ログ管理者に対して読み取りアクセス権限のみを定義します。
- ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス
-
ポリシー管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。
- すべてのレルムプロパティーおよびポリシープロパティーに対する読み取りおよび書き込みのアクセス
-
レルム管理者に対して読み取りアクセス権限および書き込みアクセス権限を定義します。
- すべてのプロパティーおよびサービスに対する読み取り専用のアクセス
-
ポリシー管理者についてすべてのプロパティーおよびサービスに対する読み取りアクセス権限を定義します。
Access Manager では、次の定義を別々または一緒に使用することはサポートされていません。
-
データストアに対する読み取り専用のアクセス
-
すべてのプロパティーおよびサービスに対する読み取り専用のアクセス
ポリシー管理者に対して委任制御を定義するには、これらの権限定義を「ポリシープロパティーのみに対する読み取りおよび書き込みのアクセス」の定義とともに使用する必要があります。
- © 2010, Oracle Corporation and/or its affiliates