第 3 章   管理の委任の設定

この章では Sun™ ONE Portal Server の管理の委任を設定する方法について説明します。

この章には、次の節があります。

• 管理の委任の概要
• 管理の委任モデルの開発
• 管理の委任の設定

管理の委任の概要

---

企業が作成するポータルが大規模かつ複雑になるに従い、中央集中型管理モデルはもはや実現不可能です。 管理の委任、すなわち Line of Business (LOB) 管理は、管理作業を実際のポータル ユーザーに委任または分散することで、この問題に対処しています。

Sun ONE Portal Server では、ロールを使用して管理機能をユーザーに委任できます。 企業はロールベースの管理によって、規模の小さな組織または LOB に事業を分割できます。これによって異なるユーザーがユーザーのロールに基づいて組織、サブ組織、ユーザー、ポリシー、ロール、チャネル、およびLOB のデスクトップ プロバイダを管理できます。

表 3-1に、Sun ONE Portal Server で適用されるいくつかの重要な管理の委任のリストと定義を示します。 この表には用語とその簡単な説明が示されています。

表 3-1    管理の委任の用語

用語	説明
権限	単一のリソースと、そのリソースに基づいて実行できる単一のアクションの組み合わせ (たとえば、静的な Web ページの表示、給料アプリケーションへの支払い控えの表示、給料アプリケーションの W-4 データの修正など) 。
アクション	アクションはあるリソースで実行できる手順または操作です (たとえば、カタログの読み出し、カタログの記述、POP による電子メールの入手、IMAP による電子メールの入手など) 。
リソース	リソースはソフトウェアで抽象的に表現でき、アクセスが制御および保護されるものです。 iPlanet™ Directory Server Access Management Edition では、リソースは URL Access のみを示します。
スーパー管理者ロール	ポリシーと ID のすべての設定に対して完全な管理権限を持つロール。
組織管理者ロール	特定の組織のポリシーと ID のすべての設定に対して完全な管理権限を持つロール。
Line of Business (LOB)	LOB 機能はビジネス アナリストまたは同等の地位の者が実行できる管理機能です。 LOB 管理者は Super 管理機能を必要としない管理作業を実行できます。 通常、リソースへのアクセス権を与えるロールにユーザーを追加する、またはそのロールからユーザーを削除するなどの LOB 機能は対象範囲内でのみ使用できます。
ロール管理者ロール	ロール管理者ロールは、その他の特定のロールと特定のユーザー オブジェクト セットを管理するためのアクセス権を持つロールです。 たとえば、ロールへのユーザーの追加と削除、または属性のロール レベルの編集などです。
ロール管理者	ロール管理者はロール管理者ロールが割り当てられたユーザーです。

委任管理ロール

iPlanet Directory Server Access Management Edition 管理コンソールは、ロールベースの管理の委任の機能を異なる種類の管理者に割り当て、指定されたアクセス権に基づいて組織、ユーザー、ポリシー、ロール、チャネル、および Desktop プロパイダを管理します。

iPlanet Directory Server Access Management Edition 管理コンソールには、管理機能を委任するためのいくつかの管理者ロールがあらかじめ設定されています。 これらのロールは次のとおりです。

• Super Admin
• Group Admin
• Organization Admin
• Organization Help Desk Admin
• People Container Admin
• Organizational Unit Admin
• Organizational Unit Help Desk Admin
• Top Level Admin

これらのロールについての詳細は、iPlanet Directory Server Access Management Edition の製品マニュアルを参照してください。

---

注

また、iPlanet Directory Server Access Management Edition はその他に 3 つのロールを実行します。 Top-level Admin、Top-level Help Desk Admin、および Deny Write Access です。 これらのロールはインストール時に作成され、インストールのルートにのみ存在します。 新たに作成された組織には、これらのロールはありません。 デフォルトでは、組織が新規作成されると、3 つのロール、すなわち Organization Admin、Organization Help Desk Admin、および People Admin が作成されます。

---

これらの事前に定義された管理者ロールを使用して、ロールの機能がニーズに合う場合は委任管理の実装を設定できます。 たとえば、1 つの組織の下に複数のサブ組織があるディレクトリ構造のモデルを使用している場合、Organization Admin を複数のユーザーに割り当て、サブ組織ごとに委任管理者を作成することができます。 ただし、企業の組織構造がより複雑な場合は、特定のニーズに的を絞った管理の委任を作成する方がよい可能性があります。この場合、iPlanet Directory Server Access Management Edition 管理コンソールを使用して、特定の業務上のニーズに合わせて委任管理者ロールを定義できます。

企業に合った管理の委任モデルを実装する場合、3 つの重要な概念ロールがあります。

• Super Admin Role
• Organization Admin Role
• Role Administrator Role

Super Admin Role と Organization Admin Role は、システムまたは新規組織が設定されたときに、自動的に作成されます。 Role Administrator Role は、委任管理モデルの要件に基づいて作成するロールです。 Role Administrator Role のアクセス権は、対応する アクセス制御命令 (ACI) を直接編集して定義します。

管理の委任では、次の原則が適用されます。

• ユーザー権限はユーザーのロールによって許可されます。
• 権限は個々のユーザーに基づいて、要求される権限を持つロールを定義し、このロールを個々のユーザーに割り当てることで許可されます。
• 特定のロールを 1 つ割り当てることで、一連のユーザーをグループ化できます。 これらのユーザーは権限セットが許可され、そのロールに定義されている動的な属性の値を継承します。
• ユーザーは複数のロールまたは集約ロールを持つことができます。 複数のロールを持つユーザーは、すべてのロールの機能の組み合わせにアクセスできます。 集約されたロールで許可される機能で競合が起こると、それらのロールの各サービスに定義された競合の解決レベルを通じて設定された優先順位に基づき、競合が解決されます。 競合の解決は、「最も高い」から「最も低い」までの 7 段階に設定できます。 複数のロールから複数のデスクトップテンプレートとして属性の競合が統合されると、最も高い 競合の解決レベルに設定されたテンプレートの属性が返されます。

管理の委任モデルの開発

---

Sun ONE Portal Server の管理機能を適切に委任するために、企業が要求する管理ロールを決定する際に役立つ、管理の委任モデルを開発する必要があります。 モデルを開発する場合、次の点に注意してください。

• 企業のビジネス要件を絞り込みます。 一般に、ロールベースの委任管理に提案されるソリューションは、ビジネス上の要件に沿ったものにする必要があります。
• ユーザーが必要なリソースにアクセスし、ユーザーの管理上のニーズを委任された管理者が管理できるように、ユーザーをグループ化するためのディレクトリ構造を開発します。
• すべての事業要件に対応しながら、事業エンティティを可能な限り標準的なツリー構造に合わせるように試みます。 組織とサブ組織を階層化した構造、または平坦なディレクトリ ツリー構造を使用できます。 平坦なディレクトリ構造では、すべてのエンティティは最上位の組織の 1 つ下に定義され、すべてのロール (Role Administrator Roles を含む) は組織階層としてはお互いに同位になります。 たとえば、事業部門に関連するすべてのユーザーは最上位組織の下のユーザー コンテナに作成されます。 モデルに必要なアクセス ロールと管理ロールのそれぞれについて、トップレベルで対応するロールが作成します。

管理の委任の設定

---

Sun ONE Portal Server で管理の委任を設定するための高度な手順は、次のとおりです。

1. Role Administrator Roles の ACI 設定を定義します。
2. 委任モデルのための Admin Roles を新規作成します。
3. Role Administrator Roles をユーザーに割り当てします。
4. ロールへの追加制限を設定します。

Role Administrator Roles の ACI 設定の定義

委任モデルに特定したロール管理者ロールに適切な権限を設定するために、委任モデルの固有の各ロールについて、ACI で適切な権限を定義する必要があります。 ロールの ACI 権限テンプレートは、iPlanet Directory Server Access Management Edition 管理コンソールまたは Directory Server コンソールを使用して定義します。 ldapmodify コマンドを使用すると、特定のロールに対して ACI を定義できます。

iPlanet Directory Server Access Management Edition 管理コンソールまたは Directory Server コンソールで ACI 権限テンプレートを定義する場合は、次のフォーマットを使用します。

aci_name | aci_desc| dn:aci ## dn:aci ## dn:aci

ここで

aci_name はロール名です。

aci_desc はこれらの ACI で許可されるアクセスの詳細です。

dn:aci は DN と ACI のペアを表し、## で区切られます。iPlanet Directory Server Access Management Edition は各 ACI を関連する DN エントリに設定します。

このフォーマットは、値を代入できるタグもサポートします。この値は ACI では ROLENAME、ORGANIZATION、GROUPNAME、および PCNAME といった文字で指定する必要があります。 これらのタグを使用することで、デフォルトとして使用できる十分な柔軟性を備えたロールを定義できます。 デフォルトロールに基づいてロールが作成されると、ACI のタグはロールの DN から引き出された値で解決されます。

ACI の設定についての詳細は、iPlanet Directory Server Access Management Edition の製品マニュアルを参照してください。

---

注	これらの ACI 定義の例では、 sesta.com 組織はデフォルトの最上位組織 o=isp の下に置かれています。

---

コマンド行を使用した ACI の定義

1. ldapmodify コマンドで使用する ACI 設定を保存したテキスト ファイルを作成します。 たとえば、次の acis.ldif ファイルには、JDCAdmin と呼ばれるロールの ACI 定義が格納されています。

   dn:o=sesta.com,o=isp changetype:modify # aci for JDCAdmin role # This role can add/delete users from JDC role. add:aci aci: (target= "ldap:///ou=people,o=sesta.com,o=isp") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin,o=sesta.com,o=isp";) - add:aci aci: (target="ldap:///o=sesta.com,o=isp") (targetfilter="(entrydn=cn=JDC,o=sesta.com,o=isp)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin,o=sesta.com,o=isp";) - add:aci aci: (target="ldap:///ou=people,o=sesta.com,o=isp")(targetattr="nsroledn")(targetfi lter="(!(|( nsroledn=cn=SuperAdminRole,o=isp)(nsroledn=cn=iPlanetAMTopLevelHelpDeskAdminRo le,o=isp)(nsroledn=cn=iPlanetAMOrgAdminRole,o=sesta.com,o=isp)))")(targattrfil ters="add=nsroledn:(nsroledn=cn=JDC,o=sesta.com,o=isp),del=nsroledn:(nsroledn= cn=JDC,o=sesta.com,o=isp)")(version 3.0; acl "Allow JDCAdmin Role to add/remove users to JDCRole"; allow (write)roledn="ldap:///cn=JDCAdmin,o=sesta.com,o=isp";)

2. ディレクトリを iPlanet Directory Server Access Management Edition ユーティリティのディレクトリに変更します。 たとえば、次のようになります。

cd /BaseDir/SUNWam/bin

3. 次のコマンドを実行します。

./ldapmodify -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/acis.ldif

4. Sun ONE Portal Server を再起動します。
   /etc/init.d/amserver start

管理コンソールを使用して ACI を定義する手順

1. iPlanet Directory Server Access Management Edition の管理コンソールに Super Admin としてログインします。
2. 「サービス管理」を選択して、「サービス管理」に移動します。
3. 「管理」サービスの横にあるプロパティのアイコンを選択します。

データ区画に管理の属性が表示されます。

4. [デフォルトロールアクセス権 (ACI)] 入力フィールドに、ACI 定義を入力し「追加」 をクリックします。たとえば、以前に定義された JDCAdmin ロールの場合、次のように入力します。

o=sesta.com,o=isp:aci:(target= "ldap:///ou=people,o=sesta.com,o=isp") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin,o=sesta.com,o=isp";)##o=sesta.com,o=isp:aci: (target="ldap:///o=sesta.com,o=isp") (targetfilter="(entrydn=cn=JDC,o=sesta.com,o=isp)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin,o=sesta.com,o=isp";)##(target="ldap:///ou=people,o=sesta.com,o=isp")(targetattr="nsroledn")(targetfilter="(!(|( nsroledn=cn=SuperAdminRole,o=isp)(nsroledn=cn=iPlanetAMTopLevelHelpDeskAdminRole,o=isp)(nsroledn=cn=iPlanetAMOrgAdminRole,o=sesta.com,o=isp)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,o=sesta.com,o=isp),del=nsroledn:(nsroledn=cn=JDC,o=sesta.com,o=isp)")(version 3.0; acl "Allow JDCAdmin Role to add/remove users to JDCRole"; allow (write)roledn="ldap:///cn=JDCAdmin,o=sesta.com,o=isp";)

「デフォルトロールアクセス権(ACI)」リストに新しい ACI が表示されます。

5. 「保存」を選択します。

委任モデルのための管理ロールの新規作成

委任管理ロールの権限を定義する ACI を作成した後、その ACI 定義を使用するためのロールを作成する必要があります。

1. iPlanet Directory Server Access Management Edition の管理コンソールに Super Admin または Organization Admin としてログインします。
2. デフォルトでは、ログイン時に「表示」メニューの「ユーザー管理」、「表示」メニューの「組織」が選択されます。
3. ロールの作成先である組織あるいはサブ組織に移動します。
   

   ---

   注	これが新規組織の場合、すべてのサービスを登録し、適切なテンプレートを作成する必要があります。 「組織およびサブ組織の新規作成」 を参照してください。

   ---

   
   
4. 「表示」メニューから「ロール」を選択し、「新規」を選択します。
   「ロールの作成] ページがデータ区画に表示されます。
5. ロールの名前と説明を入力します。
6. 「タイプ」から「管理」を選択します。
7. 「アクセス権」を選択します。

1. 管理コンソールを使用してロールの ACI 定義を作成している場合、「アクセス権」リストから作成したロールを選択します。
2. コマンド行を使用してロールの ACI 定義を作成している場合、「アクセス権」リストにロール名が表示されていないため「アクセス権なし」を選択します。

8. 「作成」をクリックします。

新規ロールがナビゲーション区画に表示されます。

ロール管理者ロールを割り当てる

1. iPlanet Directory Server Access Management Edition 管理コンソールに管理者としてログインします。
2. 「ユーザ管理」の「表示」メニューから「組織」を選択します。
3. ロールの作成先である組織あるいはサブ組織に移動します。
4. 「表示」メニューから「ロール」を選択します。
5. 割り当てるロールを選択します。
6. 「追加」をクリックします。

「検索」 ページがデータ区画に表示されます。

7. 「検索」フィールドで割り当てるユーザーを検索するための値を指定し、「検索」 を選択します。

ユーザーのリストが表示されます。

8. ロールを割り当てるユーザーの隣のボックスをチェックするか、「全て選択」 を選択してすべてのユーザーを選択します。
9. 「実行」 を選択します。

「このロールのユーザー」ボックスのリストが割り当てられたユーザーで更新されます。

ロール管理者ロールの追加制限の設定

機能が制限されたロールを設定できます。 一般的な制限として、表示プロファイルの修正およびコンテンツ管理機能の実行に対するロールへの制限がありますが、この場合、Desktop 属性の他の表示が制限されます。

また委任された管理者を開始 DN ビューとともに設定することもできます。 開始 DN ビューは、委任された管理者がエンティティを確認して修正できるディレクトリの場所です。

ロールに追加制限を設定する手順は、次のとおりです。

1. iPlanet Directory Server Access Management Edition 管理コンソールに管理者としてログインします。
2. デフォルトでは、ログイン時に「表示」メニューの「ユーザー管理」、「表示」メニューの「組織」が選択されます。
3. 設定するロールが格納された組織あるいはサブ組織に移動します。
4. 「表示」メニューから「ロール」を選択します。
5. 設定するロールを選択します。
6. 「表示」メニューから「サービス」を選択します。
7. プロファイルまたはチャネル管理機能のみを表示するようにロールを制限するには、次の手順に従います。

1. ナビゲーション区画の「Desktop」プロパティの矢印を選択します。
2. このロールでサービスのテンプレートを作成します。

「デスクトップ」ページがデータ区画に表示されます。

3. 「Show Desktop Attributes」チェックボックスの選択を解除します。
4. 「保存」を選択します。
   

   ---

   注	「Show Desktop Attributes」チェックボックスの選択が解除されている場合、このロールが割り当てられたユーザーが「Desktop」サービスにアクセスしても [Desktop] 属性が表示されません。「チャンネルおよびコンテナの管理」リンクが表示されされるだけです。 さらに、ロール レベルで定義されたチャネルとコンテナのみが表示されます。

   ---

   
   

8. 特定の開始 DN にロールを制限するには、次の手順を実行します。

1. ナビゲーション区画の「ユーザー」プロパティの矢印をクリックします。
2. ロールのテンプレートを作成します。

「ユーザー」 ページがデータ区画に表示されます。

3. [Admin DN Starting View] に DN を指定します。 たとえば、cn=JDC, o=sesta, o=isp. のように指定します。
4. 「保存」をクリックします。