前へ      目次      索引      次へ
Sun™ Identity Manager 8.0 管理ガイド

第 6 章
管理

この章では、Identity Manager 管理者と組織の作成と管理など、Identity Manager システムで一連の管理レベルタスクを実行するための説明および手順を示します。また、Identity Manager でのロール、機能、管理者ロールの使用方法についても説明します。

この章は、次のトピックで構成されています。

Identity Manager の管理について
管理者の作成
Identity Manager の組織について
組織の作成
ディレクトリジャンクションおよび仮想組織について
機能とその管理について
管理者ロールとその管理について
「エンドユーザー」組織
作業項目の管理
承認

---

Identity Manager の管理について

Identity Manager 管理者は、Identity Manager の拡張特権を持ったユーザーです。Identity Manager 管理者は次のものを管理します。

ユーザーアカウント
ロールやリソースなどのシステムオブジェクト
組織

ユーザーとは異なり、Identity Manager の管理者には「機能」と「管理する組織」が割り当てられます。これらは次のように定義されます。

機能。Identity Manager のユーザー、組織、ロール、およびリソースへのアクセス権を与えられる一連の権限。
管理する組織。組織の管理を割り当てられると、管理者は、その組織内と、階層内でその組織の子孫であるすべての組織のオブジェクトを管理できます。

委任された管理

ほとんどの企業では、管理タスクを実行する従業員は、それぞれ固有の役割を持っています。その結果、これらの管理者が実行可能なアカウント管理タスクの範囲が制限されます。

たとえば、管理者が Identity Manager ユーザーアカウントの作成の役割しか持たない場合があります。このように役割の範囲が制限されている場合、管理者には、ユーザーアカウントを作成するリソースについての特定の情報や、システム内に存在するロールまたは組織についての情報は必要ないと思われます。

Identity Manager で、管理者の役割を定義済みの特定の範囲内の特定のタスクに限定することもできます。

Identity Manager は、役割の分離および委任された管理モデルを次のようにサポートします。

機能の割り当て。管理者を特定の職務に限定します
管理する組織の割り当て。特定の組織とその組織内のオブジェクトの管理のみに管理者を限定します
「ユーザーの作成」および「ユーザーの編集」ページのフィルタ付きビューにより、職務に関係のない情報が管理者に表示されないようにします

新しいユーザーアカウントを設定したり、ユーザーアカウントを編集したりする場合に、「ユーザーの作成」ページからユーザーの委任を指定できます。

また、「作業項目」タブから承認リクエストなどの作業項目を委任することもできます。委任の詳細については、「作業項目の委任」を参照してください。

---

管理者の作成

管理者を作成するには、ユーザーに 1 つ以上の機能を割り当て、それらの機能が適用される組織を指定します。

管理者を作成するには、次の手順に従います。

管理者インタフェースで、メニューバーの「アカウント」をクリックします。「ユーザーリスト」ページが表示されます。
既存のユーザーに管理特権を与えるには、ユーザー名をクリックして (「ユーザーの編集」ページが開きます)、「セキュリティー」タブをクリックします。

新しいユーザーアカウントを作成する必要がある場合は、「ユーザーの作成」を参照してください。

必要に応じて項目を選択し、管理コントロールを設定します。
「機能」 − この管理者に割り当てる 1 つ以上の機能を選択します。この情報は必須です。詳細については、「機能とその管理について」を参照してください。
「管理する組織」 − 管理者に割り当てる 1 つ以上の組織を選択します。管理者は、割り当てた組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理します。この情報は必須です。詳細については、「Identity Manager の組織について」を参照してください。
「ユーザーフォーム」 − Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。
「承認リクエスト転送先」 − 現在の保留中承認リクエストをすべて転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。
「作業項目の委任先」 − 使用できる場合は、このオプションを使用してこのユーザーアカウントへの委任を指定します。1 人または複数の選択したユーザーを管理者のマネージャーに指定するか、承認委任先規則を使用します。

図 6-1 ユーザーアカウントの「セキュリティー」ページ: 管理者特権の指定

管理者ビューのフィルタ

組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。

組織 − 組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、Identity Manager が親組織に対して選択されたフォームを継承します。親組織に対してフォームが設定されていない場合は、Identity Manager がシステム設定のデフォルトのフォームを使用します。
管理者 − ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。

「機能とその管理について」で、割り当て可能な Identity Manager 組み込み機能について説明します。

管理者パスワードの変更

管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。

管理者は、次のフォームを使用して別の管理者のパスワードを変更できます。

「ユーザーパスワードの変更」フォーム − このフォームを開く方法は 2 つあります。
メニューの「アカウント」をクリックします。「ユーザーリスト」が開きます。管理者を選択し、「ユーザーアクション」リストの「パスワードの変更」を選択します。「ユーザーパスワードの変更」ページが開きます。
メニューの「パスワード」をクリックします。「ユーザーパスワードの変更」ページが開きます。
タブ付きユーザーフォーム − メニューの「アカウント」をクリックします。「ユーザーリスト」が開きます。管理者を選択し、「ユーザーアクション」メニューの「編集」を選択します。「ユーザーの編集」ページ (タブ付きユーザーフォーム) が開きます。「ID」フォームタブの「パスワード」と「パスワードの確認」フィールドに新しいパスワードを入力します。

管理者は、「パスワード」領域から自分自身のパスワードを変更できます。メニューの「パスワード」をクリックし、「自分のパスワードの変更」をクリックします。

注	アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、および通知選択など、パスワードの制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。

管理者のアクションの認証

アカウントの変更処理を行う前に Identity Manager から管理者にパスワードを要求するように設定できます。認証に失敗すると、アカウントの変更は取り消されます。

管理者がユーザーパスワードの変更に使用できるフォームは 3 つあります。タブ付きユーザーフォーム、「Change User Password」フォーム、および「Reset User Password」フォームです。Identity Manager でユーザーアカウントの変更が処理される前に管理者がパスワードの入力を要求されるようにするため、3 つのフォームすべてを必ず更新してください。

Tabbed User Form の認証オプションの有効化

タブ付きユーザーフォームでパスワード認証を要求するには、次の手順に従います。

管理者インタフェースでブラウザに次の URL を入力し、Identity Manager のデバッグページを開きます (こちら)。(このページを開くにはデバッグ機能が必要です。)

http://<AppServerHost>:<Port>/idm/debug/session.jsp

システム設定ページ (Identity Manager のデバッグページ) が開きます。

「List Objects」ボタンのところにあるドロップダウンメニューから「UserForm」を選択して、「List Objects」ボタンをクリックします。

「List Objects of type: UserForm」ページが開きます。

本稼働の「Tabbed User Form」のコピーで「Edit」をクリックします。(Identity Manager で配布される「Tabbed User Form」はテンプレートなので、変更しないでください。)
<Form> 要素内に次のコードを追加します。

<Properties>

  <Property name='RequiresChallenge'>

    <List>

      <String>password</String>

      <String>email</String>

      <String>fullname</String>

    </List>

  </Property>

</Properties>

プロパティーの値は、次のユーザー表示属性名を 1 つ以上格納できるリストです。

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
resources
roles
変更を保存します。

「ユーザーパスワードの変更」および「ユーザーパスワードのリセット」フォームの認証オプションの有効化

「ユーザーパスワードの変更」および「ユーザーパスワードのリセット」フォームでパスワード認証を要求するには、次の手順に従います。

管理者インタフェースでブラウザに次の URL を入力し、Identity Manager のデバッグページを開きます (こちら)。(このページを開くにはデバッグ機能が必要です。)

http://<AppServerHost>:<Port>/idm/debug/session.jsp

システム設定ページ (Identity Manager のデバッグページ) が開きます。

「List Objects」ボタンのところにあるドロップダウンメニューから「UserForm」を選択して、「List Objects」ボタンをクリックします。

「List Objects of type: UserForm」ページが開きます。

本稼働の「Change User Password Form」のコピーで「Edit」をクリックします。(Identity Manager で配布される「Change User Password Form」はテンプレートなので、変更しないでください。)
<Form> 要素を見つけ、<Properties> 要素に移動します。
<Properties> 要素内に次の行を追加し、変更を保存します。

<Property name='RequiresChallenge' value='true'/>

本稼働の「ユーザーパスワードのリセットフォーム」のコピーの編集を除いて、手順 3 から 5 を繰り返します。

秘密の質問の回答の変更

「パスワード」領域を使用して、アカウントの秘密の質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の秘密の質問の回答の変更」を選択します。

認証の詳細については、「ユーザー認証」を参照してください。

管理者インタフェースでの管理者名の表示のカスタマイズ

次の領域のような、Identity Manager 管理者インタフェースのいくつかのページおよび領域では、accountId ではなく属性 (email や fullname など) に基づいて Identity Manager 管理者を表示することができます。

「ユーザーの編集」(承認選択リストを転送する)
ロールテーブル
「ロールの作成」/「ロールの編集」
「リソースの作成」/「リソースの編集」
「組織の作成」/「組織の編集」/「ディレクトリジャンクション」
承認

表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

たとえば、email 属性を表示名として使用するには、次の属性名を UserUIconfig に追加します。

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

Identity Manager の組織について

組織を使用して、次のことができます。

ユーザーアカウントと管理者を論理的かつセキュアに管理する
リソース、アプリケーション、ロール、およびその他の Identity Manager オブジェクトへのアクセスを制限する

組織を作成してユーザーを組織階層内のさまざまな場所に割り当てることで、委任された管理のステージが設定されます。1 つ以上の組織を含む組織は、親組織と呼ばれます。

すべての Identity Manager ユーザー (管理者を含む) は、1 つの組織に静的に割り当てられます。ユーザーを別の組織に動的に割り当てることもできます。

Identity Manager 管理者はさらに、管理する組織にも割り当てられます。

---

組織の作成

組織は、「Identity Manager アカウント」領域で作成します。

組織を作成するには、次の手順に従います。

管理者インタフェースで、メニューバーの「アカウント」をクリックします。

「ユーザーリスト」ページが開きます。

「新規作成アクション」メニューの「新規組織」を選択します。

ヒント	組織階層内の特定の場所に組織を作成するには、リストで組織を選択してから、「新規作成アクション」メニューの「新規組織」を選択します。

図 6-2 は、「組織の作成」ページを示しています。

図 6-2 「組織の作成」ページ

組織へのユーザーの割り当て

各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。

組織のメンバーシップは次のように定義されます。

直接 (静的) 割り当て −「ユーザーの作成」または「ユーザーの編集」ページから、ユーザーが組織に直接割り当てられます。「ID」フォームタブを選択して、「組織」フィールドを表示します。ユーザーは、1 つの組織に直接割り当てる必要があります。
規則に基づく (動的) 割り当て − 組織に割り当てられた「ユーザーメンバー規則」によって、ユーザーが組織に割り当てられます。規則が評価されると、メンバーユーザーの一覧が返されます。

Identity Manager は、次の場合にユーザーメンバー規則を評価します。

組織内のユーザーの一覧を出力する
「ユーザーの検索」ページでユーザーを検索するときに、ユーザーメンバー規則による組織内のユーザーの検索を含める
ユーザーへのアクセスをリクエストする (現在の管理者がユーザーメンバー規則を持つ組織を管理している場合)

「組織の作成」ページの「ユーザーメンバー規則」フィールドでユーザーメンバー規則を選択します。図 6-3 にユーザーメンバー規則の例を示します。

図 6-3 組織の作成: ユーザーメンバー規則の選択

ユーザーメンバー規則の例

次の例は、組織のユーザーメンバーシップを動的に管理できるユーザーメンバー規則を設定する方法を示しています。

注	Identity Manager の規則を作成および操作する方法については、『Identity Manager 配備ツール』を参照してください。

キーの定義と取り込み

「ユーザーメンバー規則」オプションボックスに規則を表示するには、authType を authType='UserMembersRule' と設定する必要があります。
コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。
定義された変数 (defvar) の「Team players」は、Windows Active Directory の「Pro Ball Team」組織単位 (OU) から、そのすべてのメンバーユーザーの識別名 (DN) を取得します。
メンバーユーザーが検出されると、append ロジックは、「Pro Ball Team」 OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (「:smith-AD」など)。
結果は、Identity Manager リソース名が連結された DN (「dn:smith-AD」など) のリストとして返されます。

コード例

次のコード例は、サンプルのユーザーメンバー規則の構文を示しています。

コード例 6-1 ユーザーメンバー規則の例

<Rule name='Get Team Players'      authType='UserMembersRule'>    <defvar name='Team players'>       <block>          <defvar name='player names'>             <list/>          </defvar>    <dolist name='users'>       <invoke class='com.waveset.ui.FormUtil'             name='getResourceObjects'>          <ref>context</ref>          <s>User</s>          <s>singleton-AD</s>          <map>             <s>searchContext</s>             <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>             <s>searchScope</s>             <s>subtree</s>             <s>searchAttrsToGet</s>             <list>                <s>distinguishedName</s>             </list>          </map>       </invoke>       <append name='player names'>       <concat>          <get>             <ref>users</ref>             <s>distinguishedName</s>          </get>             <s>:sampson-AD</s>       </concat>       </append>    </dolist>       <ref>player names</ref>    </block>    </defvar>       <ref>Team players</ref> </Rule>

管理する組織の割り当て

「ユーザーの作成」または「ユーザーの編集」ページから、1 つ以上の組織の管理を割り当てます。「セキュリティー」フォームタブを選択すると、「管理する組織」フィールドが表示されます。

また、「管理者ロール」フィールドから 1 つ以上の管理者ロールを割り当てる方法で、管理する組織を割り当てることもできます。

---

ディレクトリジャンクションおよび仮想組織について

「ディレクトリジャンクション」は、階層的に関連する一連の組織で、ディレクトリリソースの一連の実際の階層型コンテナをミラー化したものです。「ディレクトリリソース」は、階層型コンテナを使用して、階層的な名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。この構造を図 6-4 に示します。

図 6-4 Identity Manager 仮想組織

ディレクトリジャンクションは、既存の Identity Manager 組織構造を任意の場所で接合することができます。ただし、ディレクトリジャンクションは既存のディレクトリジャンクション内またはその下で接合することはできません。

ディレクトリジャンクションを Identity Manager 組織ツリーに追加すると、そのディレクトリジャンクションのコンテキスト内で仮想組織を作成または削除することができます。また、ディレクトリジャンクションを構成する一連の仮想組織を任意の時点で更新して、ディレクトリリソースコンテナと同期しているかどうかを確認できます。ディレクトリジャンクション内に非仮想組織を作成することはできません。

Identity Manager オブジェクト (ユーザー、リソース、およびロールなど) を、Identity Manager 組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

ディレクトリジャンクションの設定

ディレクトリジャンクションを設定するには、次の手順に従います。

管理者インタフェースでメニューバーの「アカウント」を選択します。

「ユーザーリスト」ページが開きます。

「アカウント」リストの Identity Manager 組織を選択します。選択した組織は、設定する仮想組織の親組織になります。

次に、「新規作成アクション」メニューの「新規ディレクトリジャンクション」を選択します。

Identity Manager の「ディレクトリジャンクションの作成」ページが開きます。

項目を選択して、仮想組織を設定します。
「親組織」 − このフィールドには「アカウント」リストから選択した組織が含まれています。ただし、リストから異なる親組織を選択することもできます。
「ディレクトリリソース」 − 構造を仮想組織にミラー化する既存のディレクトリを管理するディレクトリリソースを選択します。
「ユーザーフォーム」 − この組織の管理者に適用するユーザーフォームを選択します。
「Identity Manager アカウントポリシー」 − ポリシーを選択します。または、デフォルトのオプション (継承) を選択すると親組織からポリシーが継承されます。
「承認者」 − この組織に関係するリクエストを承認できる管理者を選択します。

仮想組織の更新

このプロセスでは、選択した組織の下位にある、関連付けられたディレクトリリソースを持つ仮想組織を更新して同期し直します。リストで仮想組織を選択し、「組織アクション」リストから「組織の更新」を選択します。

仮想組織の削除

仮想組織を削除する場合は、次の 2 つの削除オプションから選択できます。

「Identity Manager 組織のみを削除」− Identity Manager ディレクトリジャンクションのみを削除します。
「Identity Manager 組織とリソースコンテナを削除」− Identity Manager ディレクトリジャンクションと、ネイティブリソース上にある対応する組織を削除します。

いずれかのオプションを選択して、「削除」をクリックします。

---

機能とその管理について

機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、一連の特権を提供します。

すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager で 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。

割り当てられた機能により、Identity Manager 管理者インタフェースのどの領域にアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager 領域にアクセスできます。

「ホーム」および「ヘルプ」タブ
「パスワード」タブ (「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」サブタブのみ)
「レポート」 (管理者の持つ役割に関連するレポートタイプのみ)

注	付録 D 「機能の定義」に、Identity Manager のデフォルトタスクベースおよび実用上の機能の一覧 (定義を含む) があります。この付録では、タスクベースの各機能でアクセス可能なタブおよびサブタブも示します。

機能のカテゴリ

Identity Manager の機能は、次のように分類されています。

タスクベース。これらはもっとも単純なタスクレベルにある機能です。
実用上。実用上の機能は、1 つ以上の実用上の機能またはタスクベース機能で構成されます。

組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。

保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。

機能の操作

この節では、機能の作成、編集、割り当て、および名前の変更を行う方法について説明します。これらのタスクは「機能」ページから実行します。

「機能」ページの表示

「機能」ページは「セキュリティー」タブにあります。

「機能」ページを開くには、次の手順に従います。

管理者インタフェースでトップメニューの「セキュリティー」をクリックします。
二次的なメニューで「機能」をクリックします。

「機能」ページが開き、Identity Manager の機能一覧が表示されます。

機能の作成

機能を作成するには、次の手順に従います。機能の複製については、「機能の保存と名前の変更」を参照してください。

機能を作成するには、次を実行します。

管理者インタフェースでトップメニューの「セキュリティー」をクリックします。
二次的なメニューで「機能」をクリックします。

「機能」ページが開き、Identity Manager の機能一覧が表示されます。

「新規」をクリックします。

「機能の作成」ページが開きます。

次のようにフォームを設定します。
新しい機能に名前を付けます。
「機能」セクションの矢印ボタンを使って、ユーザーに割り当てる機能を「割り当てられた機能」ボックスに移動します。
「譲渡者」ボックスで、この機能のほかのユーザーへの割り当てを許可する 1 人以上のユーザーを選択します。ユーザーを選択しなかった場合、この機能を割り当てることのできるユーザーは、機能を作成したユーザーのみになります。機能を作成したユーザーに「ユーザー割り当て機能」が割り当てられていない場合、少なくとも 1 人のユーザーがその機能を他のユーザーに割り当てることができるように、1 人以上のユーザーを選択します。
「組織」ボックスで、この機能を使用できるようにする 1 つ以上の組織を選択します。
「保存」をクリックします。

注	譲渡者の選択元となる一連のユーザーには、機能の割り当て権限を割り当てられているユーザーが含まれます。

機能の編集

保護されていない機能は編集できます。

保護されていない機能を編集するには、次の手順に従います。

管理者インタフェースでトップメニューの「セキュリティー」をクリックします。
二次的なメニューで「機能」をクリックします。

「機能」ページが開き、Identity Manager の機能一覧が表示されます。

リスト内の機能を右クリックし、「編集」を選択します。「機能の編集」ページが開きます。
変更を行い、「保存」をクリックします。

組み込み機能は編集できません。ただし、それらを別の名前で保存して、独自の機能を作成することはできます。作成する機能の中で組み込み機能を使用することもできます。

機能の保存と名前の変更

既存の機能に新しい名前を付けて保存することにより、新しい機能を作成できます。この操作は機能の複製とも呼ばれます。

機能を複製するには、次を実行します。

管理者インタフェースでトップメニューの「セキュリティー」をクリックします。
二次的なメニューで「機能」をクリックします。

「機能」ページが開き、Identity Manager の機能一覧が表示されます。

リスト内の機能を右クリックし、「名前を付けて保存」を選択します。

新しい機能の名前を入力するダイアログボックスが開きます。

名前を入力して「OK」をクリックします。

これで新しい機能を編集できるようになります。

機能の割り当て

ユーザーへの機能の割り当ては、「ユーザーの作成」ページ (こちら) または「ユーザーの編集」ページ (こちら) から行います。インタフェースの「セキュリティー」領域で設定した管理者ロールを割り当てる方法で、ユーザーに機能を割り当てることもできます。詳細については、「管理者ロールとその管理について」を参照してください。

注	付録 D 「機能の定義」に、Identity Manager のデフォルトタスクベースおよび実用上の機能の一覧 (定義を含む) があります。この付録では、タスクベースの各機能でアクセス可能なタブおよびサブタブも示します。

---

管理者ロールとその管理について

「管理者ロール」では 2 つのもの、つまり一連の機能と制御の範囲を定義します。「制御の範囲」という語は、1 つ以上の管理する組織を指します。管理者ロールを定義してから、それを 1 人以上の管理者に割り当てることができます。

注	ロールと管理者ロールを混同しないようにしてください。ロールは、エンドユーザーの外部リソースへのアクセスを管理するために使用するのに対し、管理者ロールは主に、Identity Manager 管理者の Identity Manager オブジェクトへのアクセスを管理するために使用します。 この節の情報は、管理者ロールのみに限定されています。ロールについては、「ロールとその管理について」を参照してください。

1 人の管理者に複数の管理者ロールを割り当て可能です。これによって、管理者は 1 つの制御の範囲内ではある一連の機能を持ち、別の制御の範囲内では別の一連の機能を持つことができます。たとえば、管理者にある管理者ロールを割り当てて、その管理者ロールで指定された管理する組織のユーザーの作成および編集の権限を与えます。次に 2 つ目の管理者ロールを同じ管理者に割り当てますが、そこでは、その管理者ロールで定義した管理する組織の別個のセット内での「ユーザーのパスワードの変更」権限のみを与えます。

管理者ロールによって、機能と管理範囲の組み合わせの再利用が可能になります。管理者ロールで、多数のユーザーに対する管理者特権の管理を簡素化することもできます。個々のユーザーに機能と管理する組織を直接割り当てるのではなく、管理者ロールを使用して管理者特権を付与するようにしてください。

機能または組織 (またはその両方) の管理者ロールへの割り当ては、直接または動的 (間接的) に行うことができます。

直接 − この方法を使用して、機能および/または管理する組織を明示的に管理者ロールに割り当てます。たとえば、管理者ロールに User Report Administrator 機能と管理する組織 Top を割り当てることが考えられます。
動的 (間接) − この方法では、機能および管理する組織を割り当てる規則を使用します。規則は、管理者ロールを割り当てられた管理者がログインするたびに評価されます。管理者が認証されると、割り当てられる機能および管理する組織 (またはそのいずれか) のセットが、規則に基づいて動的に決定されます。

たとえば、ユーザーがログインする場合、次のようになります。

ユーザーの Active Directory (AD) ユーザータイトルが 'manager' (マネージャー) である場合には、機能規則は割り当てられる機能として「アカウント管理者」を返します。
ユーザーの Active Directory (AD) ユーザー部署が 'marketing' (マーケティング) である場合には、管理する組織規則は割り当てられる管理組織として「マーケティング」を返します。

注	管理者ロールのユーザーへの動的割り当ては、ユーザーインタフェース、管理者インタフェースなどログインインタフェースごとに有効または無効にできます。これを行うには、次のシステム設定属性を true または false に設定します。 security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface すべてのインタフェースのデフォルトは false です。 システム設定オブジェクトの編集手順については、こちらを参照してください。

管理者ロールの規則

Identity Manager には、管理者ロールの規則の作成に使用できるサンプル規則があります。これらの規則は、Identity Manager インストールディレクトリの sample/adminRoleRules.xml にあります。

表 6-1 は、規則名および各規則に指定する authType を示しています。

表 6-1 管理者ロールのサンプル規則 

規則名	authType
管理する組織の規則	ControlledOrganizationsRule
機能規則	CapabilitiesRule
ユーザーへの管理者ロール割り当て規則	UserIsAssignedAdminRoleRule

注	サービスプロバイダユーザー管理者ロールのサンプル規則については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

ユーザー管理者ロール

Identity Manager には、「ユーザー管理者ロール」という組み込み管理者ロールがあります。デフォルトでは、割り当てられた機能や管理する組織の割り当てはありません。また、このロールを削除することはできません。この管理者ロールは、ログインするインタフェース (たとえば、ユーザー、管理者、コンソール、または IDE) に関らず、ログイン時に暗黙的にすべてのユーザー、つまりエンドユーザーと管理者に割り当てられます。

注	サービスプロバイダユーザーの管理者ロールの作成については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

ユーザー管理者ロールは、管理者インタフェースで「セキュリティー」を選択してから「管理者ロール」を選択することによって編集できます。

この管理者ロールによって静的に割り当てられる機能または管理する組織はすべてのユーザーに割り当てられるので、機能および管理する組織の割り当ては規則を通して行うことをお勧めします。そうすることで、異なるユーザーが異なる機能を持つまたは機能を持たないようにすることができ、ユーザーがだれか、ユーザーがどの部署に所属するか、またはユーザーが管理者であるかなど、規則のコンテキスト内で問い合わせ可能な要素に基づいて割り当ての範囲が設定されます。

ユーザー管理者ロールによって、ワークフローで使用される authorized=true フラグの有用性が低下したり、そのフラグが完全に取って代わられるわけではありません。ワークフローが実行中である場合を除き、ワークフローがアクセスするオブジェクトに対してユーザーがアクセス権を持っていないときには、依然としてこのフラグのほうが適しています。基本的には、このときユーザーは「スーパーユーザーとして実行」モードに入ります。

ただし、ユーザーに、ワークフローの外部 (および状況によっては内部) にある 1 つ以上のオブジェクトへの特定のアクセス権があるとよい場合も考えられます。そのような場合には、機能および管理する組織を動的に割り当てる規則を使用して、それらのオブジェクトに対するきめ細かい承認を行うことができます。

管理者ロールの作成および編集

管理者ロールを作成または編集するには、Admin Role Administrator 機能が必要です。

管理者ロールにアクセスするには、管理者インタフェースで「セキュリティー」をクリックしてから「管理者ロール」タブをクリックします。「管理者ロール」リストページでは、Identity Manager ユーザーとサービスプロバイダユーザーの管理者ロールを作成、編集、および削除できます。

既存の管理者ロールを編集するには、リスト内の名前をクリックします。管理者ロールを作成するには、「新規」をクリックします。Identity Manager の「管理者ロールの作成」オプションが表示されます (図 6-5 参照)。「管理者ロールの作成」画面には 4 つのタブが表示されます。これらを使用して一般的な属性、機能、新しい管理者ロールの範囲、ユーザーへのロールの割り当てを指定します。

図 6-5 「管理者ロールの作成」ページ: 「一般」タブ

「一般」タブ

「管理者ロールの作成」または「管理者ロールの編集」画面の「General」タブを使用して、管理者ロールの次の一般的な特性を指定します。

「名前」− この管理者ロールの一意の名前。

たとえば、財務部門 (または組織) のユーザーの管理機能を持つユーザーに対して財務管理者ロールを作成できます。

「タイプ」 − タイプには「アイデンティティーオブジェクト」または「サービスプロバイダユーザー」を選択します。このフィールドは必須です。

Identity Manager ユーザー (またはオブジェクト) の管理者ロールを作成している場合は、「アイデンティティーオブジェクト」を選択します。サービスプロバイダユーザーにアクセス権限を与える管理者ロールを作成している場合は、「サービスプロバイダユーザー」を選択します。

注	サービスプロバイダユーザーにアクセス権限を与える管理者ロールの作成については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

「譲渡者」 − ほかのユーザーにこの管理者ロールを割り当てることのできるユーザーを選択または検索します。選択できる一連のユーザーには、機能の割り当て権限を割り当てられているユーザーが含まれます。

ユーザーを選択しなかった場合、管理者ロールを割り当てることのできるユーザーは、それを作成したユーザーのみになります。管理者ロールを作成したユーザーに「ユーザーへの機能の割り当て」機能が割り当てられていない場合、少なくとも 1 人のユーザーが管理者ロールをほかのユーザーに割り当てることができるように、1 人または複数のユーザーを「譲渡者」として選択します。

「組織」 − この管理者ロールが使用できる組織を 1 つまたは複数選択します。このフィールドは必須です。

管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。

制御の範囲

Identity Manager では、どのユーザーをエンドユーザーの制御の範囲内に置くかを管理できます。

「制御の範囲」タブ (図 6-6 を参照) を使用して、この組織のメンバーが管理できる組織を指定するか、または管理者ロールのユーザーによって管理される組織を決定する規則を指定し、管理者ロールのユーザーフォームを選択します。

図 6-6 「管理者ロールの作成」: 「制御の範囲」

「管理する組織」 − 「利用可能な組織」リストから、この管理者ロールが管理する権利をもつ組織を選択します。
「管理する組織の規則」 − ユーザーログイン時に評価の対象となる、この管理者ロールが割り当てられたユーザーによって管理される組織に対する規則を選択します。選択する規則は、ControlledOrganizationsRule authType を持つ必要があります。デフォルトで、管理する組織の規則は選択されていません。

注	EndUserControlledOrganizations 規則を使用して必要なロジックを定義し、組織のニーズに応じて委任に適した一連のユーザーを選択可能にすることができます。 ユーザーが管理者インタフェース、エンドユーザーインタフェースのどちらにログインしていても、管理者に表示されるユーザーリストの範囲が同じになるようにするには、EndUserControlledOrganizations 規則を次のように変更します。 認証中のユーザーが管理者かどうかを最初にチェックするように規則を変更し、それから次のように設定します。 ユーザーが管理者でない場合は、そのユーザー自身の組織など、エンドユーザーによって管理される一連の組織を返します (例: waveset.organization)。 ユーザーが管理者である場合はどの組織も返さず、管理者であるために割り当てられた組織のみをそのユーザーが管理するようにします。 次に例を示します。 <Rule protectedFromDelete='true'       authType='EndUserControlledOrganizationsRule'       id='#ID#End User Controlled Organizations'       name='End User Controlled Organizations'>   <Comments>     ログイン中のユーザーが IDM 管理者でない場合、     そのユーザーがメンバーになっている組織を返します。     それ以外は null を返します。   </Comments>   <cond>     <and>       <isnull><ref>waveset.adminRoles</ref></isnull>       <isnull><ref>waveset.capabilities</ref></isnull>      <isnull><ref>waveset.controlledOrganizations</ref></isn ull>     </and>     <ref>waveset.organization</ref>   </cond>   <MemberObjectGroups>     <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>   </MemberObjectGroups> </Rule>

「管理する組織のユーザーフォーム」 − この管理者ロールが割り当てられたユーザーが、この管理者ロールの管理する組織のメンバーであるユーザーを作成または編集する場合に使用するユーザーフォームを選択します。デフォルトで、「管理する組織のユーザーフォーム」は選択されていません。

管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。

機能の割り当て

管理者ロールに割り当てられる機能によって、この管理者ロールが割り当てられたユーザーの管理権限が決まります。たとえば、この管理者ロールが管理者ロールの管理する組織のユーザーの作成のみに制限される場合があります。この場合、「ユーザーの作成」機能を割り当てます。

「機能」タブで次のオプションを選択します。

「機能」 − これらは、管理者ロールのユーザーが管理する組織に対して持つ特定の機能 (管理権限) です。利用可能な機能のリストから 1 つ以上の機能を選択して、「割り当てられた機能」リストに移動します。
「機能規則」 − ユーザーログインの評価時に、管理者ロールが割り当てられたユーザーに与えられる機能のリストを決定する規則を選択します。選択する規則は、CapabilitiesRule authType を持つ必要があります。

管理者ロールへのユーザーフォームの割り当て

管理者ロールのメンバーにユーザーフォームを指定することができます。「管理者ロールの作成」または「管理者ロールの編集」画面の「ユーザーに割り当てる」タブを使用して、割り当てを指定します。

管理者ロールを割り当てられた管理者は、その管理者ロールによって管理されている組織内のユーザーを作成または編集するときにこのユーザーフォームを使用します。管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。

ユーザーを編集するときに使用されるユーザーフォームは、次の優先順位で決定されます。

ユーザーフォームが管理者に直接割り当てられている場合は、そのユーザーフォームが使用されます。
管理者に直接割り当てられているユーザーフォームがなくても、次のような管理者ロールが管理者に割り当てられる場合があります。
作成または編集するユーザーがメンバーになっている組織を管理する
その組織に対して、ユーザーフォームが指定されている

この場合は、そのユーザーフォームが使用されます。

管理者に直接割り当てられているかまたは管理者ロールを介して間接的に割り当てられているユーザーフォームがない場合は、管理者のメンバー組織 (管理者のメンバー組織から最上位組織のすぐ下の組織まで) に割り当てられているユーザーフォームが使用されます。
管理者のメンバー組織に割り当てられているユーザーフォームがない場合は、デフォルトのユーザーフォームが使用されます。

管理者に、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールが割り当てられている場合、その組織内のユーザーを作成または編集しようとするとエラーが表示されます。管理者が、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールを割り当てようとすると、エラーが表示されます。この相反する状況を解決するまで変更は保存できません。

---

「エンドユーザー」組織

エンドユーザー組織は、管理者が、リソースやロールなど特定のオブジェクトをエンドユーザーが使用できるようにする場合に便利です。エンドユーザーはエンドユーザーインタフェースを使用して、指定したオブジェクトを表示したり、状況によって自分自身に割り当てたり (承認プロセスを保留) することができます (こちら)。

注	「エンドユーザー」組織は、Identity Manager version 7.1.1 で導入されました。 以前は、ロール、リソース、タスク、その他の Identity Manager 設定オブジェクトへのアクセス権をエンドユーザーに付与するために、管理者は、設定オブジェクトを編集してエンドユーザータスク、エンドユーザーリソース、エンドユーザー authType を使用していました。 今後は、「エンドユーザー」組織を使用して、エンドユーザーに Identity Manager 設定オブジェクトへのアクセス権を付与することをお勧めします。

エンドユーザー組織はすべてのユーザーによって暗黙的に管理され、すべてのユーザーが、タスク、規則、ロール、リソースなどいくつかのオブジェクトのタイプを表示できます。ただし、最初は、この組織にメンバーオブジェクトはありません。

エンドユーザー組織は Top 組織のメンバーであり、子組織を持つことはできません。また、エンドユーザー組織は「アカウント」ページの一覧に表示されません。ただし、ロール、管理者ロール、リソース、ポリシー、タスク、その他のオブジェクトを編集する場合は、管理者ユーザーインタフェースを使用して任意のオブジェクトをエンドユーザー組織で使用できるようにすることができます。

エンドユーザーがエンドユーザーインタフェースにログインすると、次のように処理されます。

エンドユーザーに EndUser 組織 (ObjectGroup) の管理権限が付与されます。
Identity Manager の「エンドユーザーが管理する組織」組み込み規則が評価されます。この規則により、規則から返される任意の組織名の管理権限がユーザーに自動的に与えられます。この規則は Identity Manager version 7.1.1 で追加されました。詳細は、次の節を参照してください。
エンドユーザーに、EndUser 機能で指定されたオブジェクトタイプに対する権限が付与されます。

「エンドユーザーが管理する組織」規則

「エンドユーザーが管理する組織」規則には、入力引数として認証中のユーザーのビューを指定します。Identity Manager では、この規則から、エンドユーザーインタフェースにログイン中のユーザーが管理する 1 つ以上の組織が返されることを想定しています。返される組織が 1 つの場合は文字列、複数の場合はリストになります。

これらのオブジェクトを管理するには、ユーザーに End User Administrator 機能が必要です。End User Administrator 機能が割り当てられたユーザーは、「エンドユーザーが管理する組織」規則の内容を表示および変更できます。これらのユーザーは、EndUser 機能で指定されたオブジェクトタイプの表示と変更も行えます。

End User Administrator 機能は、デフォルトでは Configurator ユーザーに割り当てられます。リストの変更や「エンドユーザーが管理する組織」規則の評価によって返される組織の変更が、ログイン済みのユーザーに動的に反映されることはありません。変更を確認するには、ログアウトしてもう一度ログインしてください。

「エンドユーザーが管理する組織規則」から、無効な組織 (Identity Manager に存在しない組織など) が返された場合、その問題がシステムログに記録されます。問題に対処するには、管理者ユーザーインタフェースにログインして、規則を修正します。

---

作業項目の管理

Identity Manager のタスクによって発生した一部のワークフロープロセスでは、アクションアイテムまたは作業項目が作成されます。これらの作業項目は、承認のリクエストや Identity Manager アカウントに割り当てられたその他の操作リクエストである場合があります。

Identity Manager は、1 か所に保留中のリクエストをすべて表示し、応答できるように、作業項目をすべてインタフェースの「作業項目」領域にグループ化します。

作業項目のタイプ

作業項目は次のいずれかのタイプである場合があります。

「承認」 − 新しいアカウントまたはアカウントへの変更の承認リクエスト。
「アテステーション」 − ユーザーのエンタイトルメントのレビューおよび承認リクエスト。
「是正」 − ユーザーアカウントポリシー違反の是正または受け入れリクエスト。
「その他」 − 標準タイプ以外のアクションアイテムリクエスト。これは、カスタマイズされたワークフローから発生した操作リクエストである場合があります。

各作業項目タイプの保留中の作業項目を表示するには、メニューの「作業項目」をクリックします。

注	保留中の作業項目 (または委任された作業項目) を持つ作業項目の所有者である場合は、Identity Manager ユーザーインタフェースにログインすると、作業項目リストが表示されます。

作業項目リクエストの操作

作業項目リクエストに応答するには、インタフェースの「作業項目」の作業項目タイプのうち 1 つをクリックします。リクエストのリストから項目を選択して、使用できるボタンの 1 つをクリックして、実行する操作を示します。作業項目オプションは、作業項目タイプによって異なります。

リクエストへの応答の詳細については、次のトピックを参照してください。

「承認」
「アテステーション作業の管理」
「コンプライアンス違反の是正と受け入れ」

作業項目履歴の表示

「作業項目」領域の「履歴」タブを使用して、以前の作業項目操作の結果を表示できます。

図 6-7 は、作業項目履歴の表示例です。

図 6-7 作業項目履歴の表示

作業項目の委任

作業項目の所有者は、作業項目を他のユーザーに一定期間委任して作業負荷を管理できます。メインメニューから「作業項目」>「自分の作業項目の委任」ページを使用して、承認のリクエストなど、将来の作業項目を 1 人以上のユーザー (被委任者) に委任できます。委任されるユーザーに Approver 機能は必要ありません。

注	委任機能は、将来の作業項目にのみ適用されます。既存の作業項目 (「自分の作業項目」の下に一覧表示される項目) は転送機能で選択的に転送されます。

作業項目は、次のようにほかのページからも委任できます。

管理者インタフェースの「ユーザーの作成」および「ユーザーの編集」ページから作業項目を委任できます (こちら)。「委任」フォームタブをクリックしてください。
エンドユーザーユーザーインタフェース (こちら) の「委任」メニュー項目をクリックできます。

被委任者は有効な委任期間中、作業項目の所有者の代わりに作業項目を承認できます。委任された作業項目には、被委任者の名前が記されます。

どのユーザーも、自分の将来の作業項目に対する 1 つ以上の委任を作成できます。ユーザーを編集できる管理者も、そのユーザーに代わって委任を作成できます。ただし、そのユーザーが委任できないユーザーには、管理者からも委任できません。委任に関しては、管理者の制御の範囲は、ユーザーに代わって委任が行われる制御の範囲と同じです。

監査ログエントリ

委任された作業項目が承認または拒否されると、監査ログエントリに委任者の名前が記録されます。ユーザーが作成または修正されると、ユーザーの委任承認者情報の変更が監査ログエントリの詳細変更セクションにログ記録されます。

現在の委任の表示

「現在の委任」ページに委任を表示します。

現在の委任を表示するには、次の手順に従います。

管理者インタフェースでメインメニューの「作業項目」をクリックします。
二次的なメニューで「自分の作業項目の委任」をクリックします。

Identity Manager の「現在の委任」ページが表示され、現在の有効な委任を表示および編集できます。

以前の委任の表示

「以前の委任」ページに以前の委任を表示します。

以前の委任を表示するには、次の手順に従います。

管理者インタフェースでメインメニューの「作業項目」をクリックします。
二次的なメニューで「自分の作業項目の委任」をクリックします。

「現在の委任」ページが開きます。

「委任履歴 (Previous)」をクリックします。

「以前の委任」ページが開きます。以前に委任された作業項目を利用して、新しい委任を設定できます。

委任の作成

「新しい委任」ページを使用して委任を作成します。

委任を作成するには、次を実行します。

管理者インタフェースでメインメニューの「作業項目」をクリックします。
「自分の作業項目の委任」をクリックします。

「現在の委任」ページが開きます。

「新規」をクリックします。

「新しい委任」ページが開きます。

次のようにフォームを設定します。
「委任する作業項目タイプの選択」選択リストから作業項目タイプを選択します。すべての作業項目を委任するには、「すべての作業項目タイプ」を選択します。

ロールタイプ、組織、またはリソースの作業項目を委任する場合は、矢印を使って「利用可能」列から「選択」列に項目を移動します。指定した特定のロール、組織、またはリソース (いずれも複数可) によってこの委任が定義されます。

「作業項目の委任先」 − 次のいずれかを選択します。
「選択されたユーザー」 − 自分の制御の範囲内で、委任するユーザーを名前で検索して選択します。また、選択した被委任者のうちのだれかがこの作業項目をさらにほかの人に委任した場合、今後リクエストされる作業項目は被委任者の被委任者に委任されることになります。
「選択されたユーザー」領域で 1 人以上のユーザーを選択します。または、「検索して追加」をクリックし、検索機能を開いてユーザーを検索します。見つけたユーザーをリストに追加するには、「追加」をクリックします。リストから被委任者を削除するには、そのユーザーを選択し、「削除」をクリックします。
「自分のマネージャー」 − 作業項目リクエストを自分のマネージャーに委任する場合は、これを選択します (マネージャーが割り当てられている場合)。
DelegateWorkItemRule − 選択された作業項目タイプを委任できる Identity Manager ユーザー名のリストを返す規則を選択します。
開始日 − 作業項目の委任を開始する日付を選択します。デフォルトでは、選択した日の午前 12:01 に開始します。
終了日 − 作業項目の委任が終了する日付を選択します。デフォルトでは、選択した日付の午後 11:59 に終了します。

注	1 日間だけ作業項目を委任するために、開始日と終了日を同じにすることもできます。

「OK」をクリックして選択を保存し、承認待ち作業項目のリストに戻ります。

注	委任の設定が完了すると、有効な委任期間中に作成されるすべての作業項目が、被委任者のリストに追加されます。委任を終了するか委任期間が満了すると、委任された作業項目は委任者のリストに戻ります。そのため、委任者のリストで作業項目が重複する可能性があります。ただし、作業項目を承認または拒否すれば、重複は自動的にリストから削除されます。

削除されたユーザーへの委任

保留中の作業項目を所有しているユーザーを削除すると、Identity Manager は次のように動作します。

保留中の作業項目が委任されたもので委任者は削除されていない場合、保留中の作業項目が委任者に戻されます。
保留中の作業項目が委任されたものでないか、保留中の作業項目が委任されたもので委任者が削除されている場合、そのユーザーの保留中の作業項目が解決されるか別のユーザーに転送されるまで、削除操作は成功しません。

委任の終了

「現在の委任」ページで 1 つ以上の委任を終了します。

1 つまたは複数の委任を終了するには、次の手順に従います。

管理者インタフェースでメインメニューの「作業項目」をクリックします。
二次的なメニューで「自分の作業項目の委任」をクリックします。

「現在の委任」ページが開きます。

終了する 1 つまたは複数の委任を選択し、「終了」をクリックします。

選択した委任設定が削除され、選択した委任された作業項目タイプが保留中の作業項目リストに戻ります。

---

承認

ユーザーが Identity Manager システムに追加された場合、新しいアカウントに対する承認者として割り当てられている管理者は、アカウント作成を検証する必要があります。

Identity Manager では次の 3 つの承認カテゴリをサポートします。

組織 − 組織に追加されるユーザーアカウントに承認が必要です。
ロール − ロールに割り当てられるユーザーアカウントに承認が必要です。
リソース − リソースに対するアクセス権を与えられるユーザーアカウントに承認が必要です。

加えて、変更承認が有効にされている状態でロールが変更された場合、変更承認作業項目が、指定されたロール所有者に送信されます。

Identity Manager では、変更承認を次のようにサポートします。

ロール定義 − 管理者がロール定義を変更すると、指定されたロール所有者からの変更承認が必要になります。変更を実行するには、ロール所有者が作業項目を承認する必要があります。

注	Identity Manager では、デジタル署名された承認を設定できます。詳細については、「デジタル署名付き承認およびアクションの設定」を参照してください。

注	Identity Manager に慣れていない管理者が、「承認」の概念を「アテステーション」の概念と混同していることがあります。意味は同じように思えますが、承認とアテステーションでは発生するコンテキストが異なります。 承認は、新しいユーザーアカウントの検証に関連があります。ユーザーが Identity Manager に追加されると、その新しいアカウントの認可を検証するために、1 つ以上の承認が必要になることがあります。 アテステーションは、既存のユーザーが適切なリソースに対する適切な特権のみを持っていることの検証に関連があります。定期的アクセスレビュープロセスの一環として、ある Identity Manager ユーザー (アテスター) が、別のユーザーのアカウントの詳細 (つまり、そのユーザーの割り当て済みリソース) が有効かつ適切であることを保証するように求められる場合があります。このプロセスをアテステーションといいます。

アカウント承認者の設定

組織、ロール、およびリソースを承認するアカウント承認者の設定は省略可能ですが、推奨されています。アカウントの作成では、承認者を設定するカテゴリごとに、少なくとも 1 つの承認が必要です。1 人の承認者がリクエストの承認を拒否した場合、アカウントは作成されません。

各カテゴリに複数の承認者を割り当てることができます。1 つのカテゴリ内で必要な承認は 1 つのみであるため、複数の承認者を設定して、ワークフローが遅延または停止していないかどうかを確認できます。1 人の承認者が利用不可能な場合は、ほかの承認者を利用してリクエストを処理できます。承認は、アカウント作成にのみ適用されます。デフォルトでは、アカウントの更新と削除に承認は不要ですが、このプロセスをカスタマイズして承認を要求することもできます。

Identity Manager IDE を使用すると、承認の流れを変更したり、アカウントの削除を取得したり、更新を取得したりして、ワークフローをカスタマイズすることができます。

IDE については、「Identity Manager IDE」を参照してください。ワークフロー、および承認ワークフローの変更を図示した例については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

Identity Manager 承認者は承認リクエストを承認または拒否できます。

管理者は、Identity Manager インタフェースの「作業項目」領域で、保留中の承認を表示および管理することができます。保留中の承認を表示するには、「作業項目」ページで「自分の作業項目」をクリックします。承認を管理するには、「承認」タブをクリックします。

承認の署名

デジタル署名を使用して作業項目を承認するには、「デジタル署名付き承認およびアクションの設定」の説明に従ってまずデジタル署名を設定してください。

承認に署名するには、次の手順に従います。

Identity Manager の管理者インタフェースから、「作業項目」を選択します。
「承認」タブをクリックします。
リストから承認を 1 つまたは複数選択します。
承認のコメントを入力して、「承認」をクリックします。

Identity Manager はアプレットを信頼するかどうかを確認するようにリクエストします。

「常時」をクリックします。

Identity Manager は承認の日付入りの概要を表示します。

キーストアの場所 (署名付き承認の設定中に設定した場所。「PKCS12 を使用した署名付き承認のためのクライアント側の設定」の手順 10m で説明) を入力するか、「参照」をクリックして特定します。
キーストアパスワード (署名付き承認の設定中に設定したパスワード。「PKCS12 を使用した署名付き承認のためのクライアント側の設定」の手順 10l で説明) を入力します。
「署名」をクリックして、リクエストを承認します。

その後の承認の署名

承認に署名すると、それ以後の承認アクションでは、キーストアパスワードを入力して「署名」をクリックするだけで済みます。(Identity Managerは、前回の承認で使用したキーストアの場所を記憶しています。)

デジタル署名付き承認およびアクションの設定

次の情報と手順を使用して、デジタル署名を設定します。次のものにデジタル署名できます。

承認 (変更承認を含む)
アクセスレビューアクション
コンプライアンス違反の是正

この節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明します。

署名付き承認のためのサーバー側の設定

サーバー側の設定を有効にするには、次のようにします。

システム設定オブジェクトを開いて、security.nonrepudiation.signedApprovals=true と設定します。

システム設定オブジェクトの編集手順については、こちらを参照してください。

PKCS11 を使用している場合は、加えて security.nonrepudiation.defaultKeystoreType=PKCS11 と設定します。

カスタム PKCS11 キープロバイダを使用している場合は、さらに security.nonrepudiation.defaultPKCS11KeyProvider=<プロバイダ名> と設定します。

注	カスタムプロバイダを記述する必要がある状況の詳細については、REF キットの次の項目を参照してください。 com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS 11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider REF (Resource Extension Facility) キットは、製品の CD の /REF ディレクトリまたはインストールイメージにあります。

自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。

たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

http://IPAddress/certsrv にアクセスして、管理特権でログインします。
「CA 証明書または証明書失効リストの取得」を選択して、「次へ」をクリックします。
CA 証明書をダウンロードして保存します。
この証明書を Identity Manager に信頼できる証明書として追加します。
管理者インタフェースから「セキュリティー」を選択し、「証明書」を選択すると、Identity Manager は「証明書」ページを表示します。

図 6-8 「証明書」ページ



「信頼できる認証局証明書」領域で、「追加」をクリックします。Identity Manager は「証明書のインポート」ページを表示します。
信頼できる証明書を参照および選択して、「インポート」をクリックします。

これで、証明書が信頼できる証明書のリストに表示されます。

次のようにして、CA の証明書失効リスト (CRL) を追加します。
「証明書」ページの「CRL」領域で、「追加」をクリックします。
CA の CRL の URL を入力します。

注	証明書失効リスト (CRL) は、失効したか有効ではない証明書シリアル番号のリストです。 CA の CRL の URL は http または LDAP にすることができます。 CRL 配布先の URL は CA ごとに異なりますが、CA 証明書の「CRL 配布点」拡張を参照して決めることができます。

「テスト接続」をクリックして、URL を確認します。
「保存」をクリックします。
jarsigner を使用して applets/ts2.jar に署名します。

注	詳細については、 http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts2.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。

PKCS12 を使用した署名付き承認のためのクライアント側の設定

PKCS12 を使用した署名付き承認のための設定情報は、次のとおりです。クライアント側の設定を有効にするには、次のようにします。

前提条件

JRE 1.5 以上が必要になりました。

手順

証明書と非公開鍵を取得して、PKCS#12 キーストアにエクスポートします。

たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

Internet Explorer を使用して、http://IPAddress/certsrv を参照し、管理特権でログインします。
「証明書のリクエスト」を選択して、「次へ」をクリックします。
「リクエストの詳細設定」を選択して、「次へ」をクリックします。
「次へ」をクリックします。
「証明書テンプレート」で「ユーザー」を選択します。
次のオプションを選択します。
エクスポート可能なキーとして指定する
秘密キーの強力な保護を有効にする
ローカルコンピュータストアを使用する
「送信」をクリックして、「OK」をクリックします。
「この証明書のインストール」をクリックします。
「ファイル名を指定して実行」> mmc を実行して、mmc を起動します。
証明書スナップインを追加します。
「コンソール」>「スナップインの追加と削除」を選択します。
「追加...」をクリックします。
「コンピュータアカウント」を選択します。
「次へ」をクリックして、「完了」をクリックします。
「閉じる」をクリックします。
「OK」をクリックします。
「証明書」>「個人」>「証明書」の順に進みます。
「管理者」を右クリックして、「すべてのタスク」>「エクスポート」を選択します。
「次へ」をクリックします。
「次へ」をクリックして、非公開鍵がエクスポートされていることを確認します。
「次へ」をクリックします。
パスワードを設定して、「次へ」をクリックします。
ファイル CertificateLocation。
「次へ」をクリックして、「完了」をクリックします。「OK」をクリックして確認します。

注	クライアント側の設定の手順 10l (パスワード) と 10m (証明書の場所) で使用した情報をメモしておいてください。この情報は、承認の署名のために必要です。

PKCS11 を使用した署名付き承認のためのクライアント側の設定

署名付き承認に PKCS11 を使用している場合は、REF キットにある次のリソースを参照して設定情報を確認します。

com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvide r (Javadoc)

REF/transactionsigner/SamplePKCS11KeyProvider

REF (Resource Extension Facility) キットは、製品の CD の /REF ディレクトリまたはインストールイメージにあります。

トランザクション署名の表示

次の手順を実行して、Identity Manager の監査ログレポートにトランザクション署名を表示します。

Identity Manager の管理インタフェースから、「レポート」を選択します。
「レポートの実行」ページで、オプションの「新規...」リストから「監査ログレポート」を選択します。
「レポートタイトル」フィールドに、「承認」などのタイトルを入力します。
「組織」選択領域で、すべての組織を選択します。
「アクション」オプションを選択して、「承認」を選択します。
「保存」をクリックしてレポートを保存し、「レポートの実行」ページに戻ります。
「実行」をクリックして、「承認」レポートを実行します。
詳細リンクをクリックして、次に示すトランザクション署名情報を表示します。
発行者
主体
証明書シリアル番号
署名されたメッセージ
署名
署名アルゴリズム

前へ      目次      索引      次へ

---

Part No: 820-5433.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.