LDAP エントリの委任された管理 (Access Manager 内の各アイデンティティー関連オブジェクトにマップされる) は、定義済みのロールおよびアクセス制御命令 (ACI) を使用して実装されます。デフォルトの管理ロールおよびその定義済み ACI は、Access Manager のインストール時に作成され、Access Manager コンソールを使用して表示および管理できます。Access Manager 7 2005Q4 のレルムモードでは、ロールは ACI ではなくポリシーに依存します。
Access Manager のアイデンティティー関連オブジェクトが作成されると、適切な管理ロール (および対応する ACI) も作成され、そのオブジェクトの LDAP エントリに割り当てられます。そのあと、ロールは、そのオブジェクトのノード制御を管理する個々のユーザーに割り当てることができます。たとえば、Access Manager が組織を新規作成すると、いくつかのロールが自動的に作成され、Directory Server に格納されます。
組織管理者は設定済み組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。
組織のヘルプデスク管理者は、設定済み組織のすべてのエントリに対する読み取りアクセス権、およびこれらのエントリ内の userPassword 属性に対する書き込みアクセス権を持っています。
組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っています。
これらのロールのいずれかをユーザーに割り当てると、そのロールに与えられたすべてのアクセス権がユーザーに与えられます。
次の表に、Access Manager 管理ロール、および各ロールに適用される権限の要約を示します。
表 3–1 デフォルトおよび動的なロールとそのアクセス権
ロール |
管理サフィックス |
アクセス権 |
---|---|---|
最上位組織の管理者 (amadmin) |
ルートレベル |
最上位組織内のすべてのエントリ (ロール、ポリシー、グループなど) に対する読み取りおよび書き込みアクセス権。 |
最上位組織のヘルプデスク管理者 |
ルートレベル |
最上位組織内のすべてのパスワードに対する読み取りおよび書き込みアクセス権。 |
最上位組織のポリシー管理者 |
ルートレベル |
すべてのレベルのポリシーに対する読み取りおよび書き込みアクセス権。参照ポリシー作成を委任するため、下位組織により使用されます。 |
組織管理者 |
組織のみ |
作成された下位組織内のすべてのエントリ (ロール、ポリシー、グループなど) に対する読み取りおよび書き込みアクセス権のみ。 |
組織のヘルプデスク管理者 |
組織のみ |
作成された下位組織内のすべてのパスワードに対する読み取りおよび書き込みアクセス権のみ。 |
組織ポリシー管理者 (Organization Policy Admin) |
組織のみ |
作成された下位組織内のすべてのポリシーに対する読み取りおよび書き込みアクセス権のみ。 |
コンテナ管理者 (Container Admin) |
コンテナのみ |
作成されたコンテナ内のすべてのエントリ (ロール、ポリシー、グループなど) に対する読み取りおよび書き込みアクセス権のみ。 |
コンテナヘルプデスク管理者 (Container Help Desk Admin) |
コンテナのみ |
作成されたコンテナ内のすべてのパスワードに対する読み取りおよび書き込みアクセス権のみ。 |
グループ管理者 |
グループのみ |
作成されたグループ内のすべてのエントリ (ロール、ポリシー、グループなど) に対する読み取りおよび書き込みアクセス権のみ。 |
ピープルコンテナ管理者 |
ピープルコンテナのみ |
作成されたピープルコンテナ内のすべてのエントリ (ロール、ポリシー、グループなど) に対する読み取りおよび書き込みアクセス権のみ。 |
ユーザー (自己管理者) |
ユーザーのみ |
ユーザーエントリ内のすべての属性に対する読み取りおよび書き込みアクセス権のみ (nsroledn や inetuserstatus などのユーザー属性を除く)。 |
グループベースの ACI の代わりにロールを使用すると、効率を高め、保守の手間を少なくすることができます。フィルタ処理されたロールは、ユーザーの nsRole 属性の確認のみを行うため、LDAP クライアントの処理が簡略化されます。ロールは、そのメンバーの親のピアでなければならない、という範囲制限の影響を受けます。
デフォルトACI については、Access Manager コンソールのオンラインヘルプを参照してください。