Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Portal Server 6 2005Q4 管理ガイド 

第 7 章
管理の委任の設定

この章では Sun JavaTM System System Portal Server の管理の委任を設定する方法について説明します。

この章で説明する内容は次のとおりです。

管理の委任の概要

企業が作成するポータルが大規模かつ複雑になるに従い、中央集中型管理モデルはもはや実現不可能です。管理の委任、すなわち Line of Business (LOB) 管理は、管理作業を実際のポータルユーザーに委任または分散することで、この問題に対処しています。

Portal Server では、ロールを使用して管理機能をユーザーに委任できます。企業はロールベースの管理によって、規模の小さな組織または LOB に事業を分割できます。これによって異なるユーザーがユーザーのロールに基づいて LOB の組織、サブ組織、ユーザー、ポリシー、ロール、およびチャネルを管理できます。

表 7-1 は、Portal Server で適用されるいくつかの重要な管理の委任のリストと定義を示しています。この表には 2 つの列があります。最初の列は用語を示し、2 番目の列は簡単な説明を示します。

表 7-1 管理の委任の用語

用語

説明

権限

単一のリソースと、そのリソースに基づいて実行できる単一のアクションの組み合わせです (たとえば、スタティックな Web ページの表示、給与アプリケーションへの支払い控えの表示、給与アプリケーションの W-4 データの修正など)。

アクション

あるリソースで実行できる手順または操作を表します。たとえば、カタログの読み出し、カタログの記述、POP による電子メールの入手、IMAP による電子メールの入手などがあります。

リソース

リソースはソフトウェアで抽象的に表現でき、アクセスが制御および保護されます。Sun Java System Access Manager では、リソースは URL アクセスだけを意味します。

Top-level Admin Role (最上位管理者ロール)

ポリシーと ID のすべての設定に対して完全な管理権限を持つロールです。

Organization Admin Role (組織管理者ロール)

特定の組織のポリシーと ID のすべての設定に対して完全な管理権限を持つロールです。

Line of Business (LOB)

LOB 機能はビジネス アナリストまたは同等の地位の者が実行できる管理機能です。LOB 管理者は最上位管理者機能を必要としない管理作業を実行できます。通常、リソースへのアクセス権を与えるロールにユーザーを追加する、またはそのロールからユーザーを削除するなどの LOB 機能は対象範囲内でのみ使用できます。

ロール管理者ロール

その他の特定のロールと特定のユーザーオブジェクトセットを管理するためのアクセス権を持つロールです。たとえば、ロールへのユーザーの追加と削除、またはロールレベルの属性の編集などを実行できます。

ロール管理者

ロール管理者ロールが割り当てられたユーザーです。

委任管理ロール

Sun Java System Access Manager 管理コンソールは、ロールベースの管理の委任の機能を異なる種類の管理者に割り当て、指定されたアクセス権に基づいて組織、ユーザー、ポリシー、ロール、およびチャネルを管理します。

Sun Java System Access Manager 管理コンソールには、管理機能を委任するために、管理者ロールがあらかじめいくつか設定されています。これらのロールは次のとおりです。

これらのロールについての詳細は、Sun Java System Access Manager 製品のマニュアルを参照してください。

また、Sun Java System Access Manager はその他に 3 つのロールを実装しています。Top-level Admin、Top-level Help Desk Admin、および Deny Write Access です。これらのロールはインストール時に作成され、インストールのルートにのみ存在します。新たに作成された組織には、これらのロールはありません。デフォルトでは、組織が新規作成されると、3 つのロール、すなわち Organization Admin、Organization Help Desk Admin、および People Admin が作成されます。

これらの事前に定義された管理者ロールを使用して、ロールの機能がニーズに合う場合は委任管理の実装を設定できます。たとえば、1 つの組織の下に複数のサブ組織があるディレクトリ構造のモデルを使用している場合、Organization Admin を複数のユーザーに割り当て、サブ組織ごとに委任管理者を作成することができます。

企業の組織構造がより複雑な場合は、特定のニーズに的を絞った管理の委任を作成する方がよい可能性があります。この場合、Sun Java System Access Manager 管理コンソールを使用して、特定の業務上のニーズに合わせて委任管理者ロールを定義できます。

企業に合った管理の委任モデルを実装する場合、次に示す重要な概念ロールがあります。

Top-Level Admin Role はシステムの設定時に作成され、Organization Admin Role は新しい組織の設定時に自動的に作成されます。Role Administrator Role は、委任管理モデルの要件に基づいて作成するロールです。Role Administrator Role のアクセス権は、対応するアクセス制御命令 (ACI) を直接編集して定義します。

管理の委任では、次の原則が適用されます。

管理の委任モデルの定義

Portal Server の管理機能を適切に委任するために、企業が要求する管理ロールを決定する際に役立つ、管理の委任モデルを開発する必要があります。モデルを開発する場合、次の点に注意してください。

管理の委任の設定

Portal Server で管理の委任を設定するための手順の概要は、次のとおりです。

  1. Role Administrator Roles の ACI 設定を定義します。
  2. 委任モデルのための Admin Roles を新規作成します。
  3. Role Administrator Roles をユーザーに割り当てます。
  4. ロールへの追加制限を設定します。

Role Administrator Roles の ACI 設定の定義

委任モデルに特定したロール管理者ロールに適切な権限を設定するために、委任モデルの固有の各ロールについて、ACI で適切な権限を定義する必要があります。ロールの ACI 権限テンプレートは、Sun Java System Access Manager 管理コンソールまたは Directory Server コンソールを使用して定義します。ldapmodify コマンドを使用すると、特定のロールに対して ACI を定義できます。

Sun Java System Access Manager 管理コンソールまたは Directory Server コンソールで ACI 権限テンプレートを定義する場合は、次のフォーマットを使用します。

permission_name | aci_desc| dn:aci ## dn:aci ## dn:aci

各表記の意味は次のとおりです。

permission_name は権限の名前です。

aci_desc はこれらの ACI で許可されるアクセスの詳細です。

dn:aci は DN と ACI のペアを表し、## で区切られます。Sun Java System Access Manager は各 ACI を関連する DN エントリに設定します。

このフォーマットは、値を代入できるタグもサポートします。この値は ACI では ROLENAME、ORGANIZATION、GROUPNAME、および PCNAME といった文字で指定する必要があります。これらのタグを使用することで、デフォルトとして使用できる十分な柔軟性を備えたロールを定義できます。デフォルトロールに基づいてロールが作成されると、ACI のタグはロールの DN から引き出された値で解決されます。

ACI の設定については、『Sun Java System Access Manager Programmer's Guide』を参照してください。

これらの ACI 定義例では、ルートサフィックスが dc=sesta,dc=com であることを前提としています。

コマンド行を使用して ACI を定義する

  1. ldapmodify コマンドで、使用する ACI 設定を保存したテキストファイルを作成します。たとえば、次の acis.ldif ファイルには、JDCAdmin1 および JDCAdmin2 という 2 つのロールの ACI 定義が格納されています。

    dn:dc=sesta,dc=com

    changetype:modify

    # aci for JDCAdmin1 role

    # This role can add/delete users from JDC role

    add:aci

    aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(target filter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=se sta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    -

    # aci for JDCAdmin2 role

    # This role can add/remove channels from the JDC role's display profile

    add:aci

    aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter =(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

    -

    add:aci

    aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

  2. ディレクトリを Sun Java System Access Manager ユーティリティーのディレクトリに変更します。たとえば次のように指定します。

    3. cd /AccessManager-base/SUNWam/bin

  3. AccessManager-base/SUNWam/ldaplib/solaris/sparc/ldapsdk が含まれるように LD_LIBRARY_PATH を設定します。
  4. 次のコマンドを実行します。

    5. ./ldapmodify -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/acis.ldif

  5. Sun Java System Access Manager 管理コンソールに、管理者としてログインします。

    6. デフォルトでは、ロケーションパネルでは「アイデンティティー管理」が選択され、ナビゲーションパネルでは「組織」が選択されています。

  6. 新しいロールを作成する組織またはサブ組織に移動します (JDCAdmin1JDCAdmin2 など)。
    1. 「表示」メニューから「ロール」を選択し、「新規」をクリックします。
    2. 「新規ロール」ページがデータパネルに表示されます。
    3. ロールの情報 (名前、説明、ロールのタイプ、アクセス権) を入力し、「終了」をクリックします (たとえば、タイプがサービスでアクセス権を持たないスタティックなロールである JDC、など)。

      4. 新規ロールがナビゲーションパネルに表示されます。

  7. 作成したロールの「デスクトップ」サービステンプレートを作成します。
    1. 「表示」メニューから「サービス」を選びます。
    2. デスクトップサービスの隣にあるプロパティーの矢印をクリックします。
    3. デスクトップサービスのデフォルトの属性値を使用するか、あるいは変更し、「保存」をクリックします。
  8. ロールディスプレイプロファイルにタブを作成します (たとえば、JDC のロールディスプレイプロファイル、など)。
    1. タブを作成するロールに移動します。
    2. ナビゲーションパネルの「表示」メニューから「サービス」を選択します。
    3. ナビゲーションパネルの「ポータルデスクトップ」の隣にあるプロパティー矢印を選択します。
    4. デスクトップ属性ページがデータパネルに表示されます。
    5. デスクトップページで「チャネルおよびコンテナを管理」リンクを選択します。
    6. 「チャネル」ページが表示され、コンテナパスが root で設定されています。
    7. チャネルまたはコンテナを追加するコンテナをクリックします。
    8. ページの上部に、チャネルが追加されるコンテナパスが表示されます。チャネルとコンテナが定義されている場合は、リストに表示されます。
    9. 「追加」をクリックして、コンテナチャネルまたはチャネルを追加します。
    10. コンテナチャネルを追加するには、「コンテナチャネル」で「追加」をクリックします。チャネルを追加するには、「チャネル」で「追加」をクリックします。
    11. 「チャネルの追加」ページが表示されます。
    12. チャネル名を入力し、メニューからプロバイダのタイプを選択します。
    13. 「作成」をクリックします。

      14. 詳細については、第 10 章「ディスプレイプロファイルの管理」を参照してください。

  9. ユーザーを作成します (admin1admin2 など)。
    1. ユーザーを作成するロールに移動します。
    2. 「表示」メニューから「ユーザー」を選択し、「新規」をクリックします。
    3. 「新規ユーザー」ページがデータパネルに表示されます。
    4. ユーザーに割り当てるサービスを選択して、「次へ」をクリックします。
    5. ユーザー情報を入力して、「作成」をクリックします。
    6. 新規ユーザーがナビゲーションパネルに表示されます。
  10. ユーザーにロールを割り当てます (たとえば、admin1JDCadmin1 を割り当てる、admin2JDCadmin2 を割り当てる、など)。
    1. ロールの割り当て先である組織またはサブ組織に移動します。
    2. 「表示」メニューから「ユーザー」を選択します。
    3. ロールの割り当て先であるユーザーの隣にあるプロパティーの矢印を選択します。
    4. データパネルにユーザープロファイル情報が表示されます。
    5. データパネルの「表示」メニューから「ロール」を選択します。
    6. 「ロールを追加」ページが表示されます。
    7. 割り当てるロールの隣にあるチェックボックスにチェックマークを付けて、「保存」をクリックします。
    8. このユーザーのロールを表示するボックス内が、割り当てられたロールで更新されます。
    9. 「保存」をクリックし、変更内容を保存します。
  11. 管理コンソールからログアウトします。

管理コンソールを使用して ACI を定義する

  1. 最上位管理者として Sun Java System Access Manager 管理コンソールにログインします。

    2. デフォルトでは、ロケーションメニューでは「アイデンティティー管理」が選択され、ナビゲーションパネルでは「組織」が選択されています。

  2. ロケーションパネルで「サービス設定」をクリックします。
  3. 「管理」サービスの隣にあるプロパティーの矢印をクリックします。

    4. データパネルに管理の属性が表示されます。

  4. 「デフォルトロールアクセス権 (ACI)」入力フィールドに、ACI 定義を入力して「追加」をクリックします。たとえば、以前に定義された JDCAdmin1 と JDCAdmin2 というロールの場合、次のように入力します。

    5. JDCAdmin1|Add/delete users from JDC role|dc=sesta,dc=com:aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";) ##dc=sesta,dc=com:aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

    JDCAdmin2|Add/remove channels from the JDC role|dc=sesta,dc=com:aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

    「デフォルトロールアクセス権 (ACI)」リストに新しい ACI が表示されます。

  5. 「保存」をクリックします。

委任モデルのための管理ロールの新規作成

委任管理ロールの権限を定義する ACI を作成したあと、その ACI 定義を使用するためのロールを作成する必要があります。

Access Manager 管理コンソールに関する最新の詳細情報については、『Sun Java System Access Manager 2005Q4 管理ガイド』を参照してください。

  1. 最上位管理者または組織管理者として Sun Java System Access Manager 管理コンソールにログインします。

    2. デフォルトでは、ロケーションメニューでは「アイデンティティー管理」が選択され、ナビゲーションパネルでは「組織」が選択されています。

  2. ロールの作成先である組織またはサブ組織に移動します。

    3. 作成したすべての組織がナビゲーションパネルに表示されます。

    これが新規組織の場合、すべてのサービスを追加し、適切なテンプレートを作成する必要があります。詳細については、第 6 章「認証、ユーザー、およびサービスの管理」を参照してください。

  3. 「表示」メニューから「ロール」を選択し、「新規」をクリックします。

    4. 「新規ロール」ページがデータパネルに表示されます。

  4. 名前を入力し、スタティックロールを選択して「次へ」をクリックします。
  5. 説明を入力し、タイプとして「管理」を選択します。
  6. 「アクセス権」を選択します。
    1. 管理コンソールを使用してロールの ACI 定義を作成する場合、「アクセス権」リストから作成したロールを選択します。
    2. コマンド行を使用してロールの ACI 定義を作成する場合、「アクセス権」リストにロール名が表示されていないため「アクセス権なし」を選択します。
  7. 「作成」をクリックします。

    8. 新規ロールがナビゲーションパネルに表示されます。

ロール管理者ロールを割り当てる

  1. Sun Java System Access Manager 管理コンソールに、管理者としてログインします。

    2. デフォルトでは、ロケーションメニューでは「アイデンティティー管理」が選択され、ナビゲーションパネルでは「組織」が選択されています。

  2. ロールの作成先である組織またはサブ組織に移動します。

    3. 作成したすべての組織がナビゲーションパネルに表示されます。

  3. 「表示」メニューから「ロール」を選択します。
  4. 割り当てるロールのプロパティーの矢印をクリックします。
  5. データパネルの「表示」メニューから「ユーザー」を選択し、「追加」をクリックします。

    6. 「ユーザーを追加」ページがデータパネルに表示されます。

  6. 割り当てるユーザーを検索するためのフィールドの値を指定し、「フィルタ」を選択します。

    7. ユーザーのリストが表示されます。

  7. ロールを割り当てるユーザーの隣のボックスにチェックマークを付けるか、「すべて選択」を選択してすべてのユーザーを選択します。
  8. 「送信」をクリックします。

    9. 「このロールのユーザー」ボックスのリストが、割り当てられたユーザーで更新されます。

ロール管理者ロールで追加制限を設定する

機能が制限されたロールを設定できます。一般的な制限として、ディスプレイプロファイルの修正およびコンテンツ管理機能の実行に対するロールへの制限がありますが、この場合、デスクトップ属性のほかの表示が制限されます。

また、委任管理者を開始 DN ビューとともに設定することもできます。開始 DN ビューは、委任管理者がエンティティーを確認して修正できるディレクトリの場所です。

ロールに追加制限を設定するには、次の手順に従います。

  1. Sun Java System Access Manager 管理コンソールに、管理者としてログインします。

    2. デフォルトでは、ロケーションメニューでは「アイデンティティー管理」が選択され、ナビゲーションパネルでは「組織」が選択されています。

  2. 設定するロールが格納された組織またはサブ組織に移動します。

    3. 作成したすべての組織がナビゲーションパネルに表示されます。

  3. 「表示」メニューから「ロール」を選択します。
  4. 設定するロールを選択します。
  5. 「表示」メニューから「サービス」を選択します。
  6. プロファイルまたはチャネル管理機能のみを表示するようにロールを制限するには、次の手順に従います。
    1. デスクトップサービスの「編集」リンクをクリックします。
    2. このロールでユーザーサービステンプレートを作成します。

      3. 「デスクトップ」ページがデータパネルに表示されます。

    3. 「ポータルデスクトップサービスの属性を表示」チェックボックスの選択を解除します。
    4. 「管理者 DN 開始表示」に DN を指定します。
    5. 「保存」をクリックします。

      「ポータルデスクトップサービスの属性を表示」チェックボックスの選択が解除されている場合、このロールが割り当てられたユーザーが「デスクトップ」サービスにアクセスしても「デスクトップ」属性が表示されません。「チャネルおよびコンテナを管理」リンクが表示されるだけです。さらに、ロールレベルで定義されたチャネルとコンテナのみが表示されます。

  7. 特定の開始 DN にロールを制限するには、次の手順を実行します。
    1. ユーザーサービスの「編集」リンクをクリックします。
    2. このロール用のユーザーサービステンプレートを作成します。

      3. 「ユーザー」ページがデータパネルに表示されます。

    3. 「管理者 DN 開始表示」に DN を指定します。たとえば、cn=JDC, dc=sesta, dc=com のように指定します。
    4. 「保存」をクリックします。


前へ      目次      索引      次へ     

Copyright 2005 Sun Microsystems, Inc. All rights reserved.