Oracle Identity Managerは、アプリケーションにおける様々な操作の実行をユーザーに許可または禁止するために、ユーザーによるアプリケーションへのアクセスを制御します。これは、Oracle Identity Managerに埋め込まれている認可エンジンによって、認可ポリシーを使用して制御されます。認可ポリシーの目的は、データ、UIおよびAPIを含む、Oracle Identity Managerアプリケーションへのユーザーのアクセスを制御することです。認可ポリシーによって、特定のアクションが許可されるかどうかが実行時に決定されます。Oracle Identity Manager内の認可要件を満たす認可ポリシーを定義できます。
以前のリリースのOracle Identity Managerでは、Oracle Identity Managerの各機能によって、その固有の認可ポリシーUIとバックエンド実装が定義および管理されます。Oracle Identity Manager 11g リリース1 (11.1.1)では、認可ポリシー管理は、管理機能として集中管理されます。Oracle Identity Managerの認可ポリシー管理と施行エンジンは現在、Oracleの業界最先端のきめ細かな権限管理製品である、Oracle Entitlements Server (OES)の埋込みバージョンに基づいています。これらの認可ポリシーによって、Oracle Identity Managerアプリケーションに対するアクセス制御が保護され、アプリケーション内で誰が何をできるかが定義されます。この集中管理された認可ポリシーの定義によって、次の各項で説明する各機能に対して、コンテキスト依存の認可が継続的に提供されます。
Oracle Identity Administrationの「認可ポリシー」セクションで、認可ポリシーを定義および管理できます。このセクションは、認可ポリシーの管理権限があるユーザーが使用できます。
次に、認可ポリシーの構造化コンポーネントを示します。
識別の詳細: 各認可ポリシーに名前と説明が必要です。
Oracle Identity Manager機能: 各認可ポリシーは、Oracle Identity Managerの特定の機能に対して定義されます。機能は、ユーザー管理やロール管理など、Oracle Identity Manager内の明確に定義されたコンポーネントです。複数機能の認可要件を、単一の認可ポリシーで処理することはできません。
割当て先: これは、ポリシーによって権限が付与されるロール(複数の場合あり)です。各ポリシーに対して、1つ以上のロールに権限を付与できます。認可ポリシーによって、ロールのすべての(直接または継承による間接)メンバーに権限が付与されます。ユーザー管理機能の場合、マネージャ関係に基づくルールがサポートされます。この場合、処理対象のユーザーの管理チェーンに属するすべてのユーザーが認可ポリシーの割当て先です。
注意:
|
割当て先には、割当て先が満たす必要がある追加条件を含めることができます。これは、認可ポリシーをコンテキスト対応にする1つの方法です。たとえば、ユーザー管理機能の場合、割当て先が権限を取得するには、その割当て先が、データ・セキュリティにリストされている同じ組織のメンバーである必要があるという条件を明確に示すことができます。
権限: これらは、割当て先に付与される権限です。権限のリストは、このポリシーの定義対象の機能によって定義されます。たとえば、ユーザー管理機能では、ユーザーの検索、ユーザー詳細の表示、ユーザー・プロファイルの変更などの権限が定義されます。ユーザー管理機能に対する権限の完全なリストは、「権限」を参照してください。
一部の権限では、機能の中で特定のどのエンティティ属性を割当て先にさらに付与するかを定義する詳細な属性レベルのアクセス制御もサポートされます。たとえば、ユーザー詳細の表示権限の場合、ポリシーによって、割当て先が実行時にユーザー・エンティティ上のどの属性を表示できるかをさらに定義できます。属性レベルの詳細はすべての権限でサポートされるわけではありません。たとえば、ユーザーの削除権限では、属性レベルの詳細は必要なく、サポートされません。
データ・セキュリティ: これらは、割当て先への権限付与の対象となる機能によって管理されるエンティティです。このセクションはオプションであり、認可ポリシーの定義対象である機能でデータ・セキュリティがサポートされているかどうかに基づきます。データ・セキュリティは、権限付与の対象となるエンティティの決定に使用されるエンティティ選択基準または検索基準の形式で表されます。データ・セキュリティは、特定のエンティティのリストにもできます。データ・セキュリティの機能性は、機能によって異なります。たとえば、基準によって、組織のリストに属しているユーザーに対する権限が割当て先に付与されることを指定できます。この基準では、データ・セキュリティに適用する追加のセキュリティ設定を提供できます。たとえば、ユーザー管理機能では、指定した組織とすべての子組織のユーザーがこのデータ・セキュリティ・ポリシーの範囲となるように、組織条件を下位の階層まで適用することを指示できます。
管理およびユーザー・コンソールを使用して、認可ポリシーに関連する次のタスクを実行できます。
注意: 認可ポリシーの作成、変更または削除はすぐには有効にならず、有効になるまでに約5から10秒かかります。 |
既存の認可ポリシーに対して、単純検索(クイック検索)、および拡張検索を実行できます。これらの操作については、次の各項で説明します。
認可ポリシーの管理権限のある資格証明を使用して、管理コンソールにログインします。
左ペインで、「認可ポリシー」タブをクリックします。
参照で「ポリシー」が選択されていることを確認します。
テキスト・ボックスに、認可ポリシーの検索基準を入力します。たとえば、検索する認可ポリシーの名前を入力できます。また、検索基準で、すべての認可ポリシーを検索するアスタリスク(*)文字など、ワイルドカード文字を使用することもできます。
検索アイコンをクリックします。検索基準にはワイルドカード文字(*)を使用できます。パフォーマンス上の理由から、先頭(接頭辞)のワイルドカードは削除されます。ただし、末尾(接頭辞)のワイルドカードはすべての検索に追加されます。
注意: 認可ポリシー検索は大文字と小文字が区別されるため、検索基準の入力時は、大/小文字が正しいことを確認する必要があります。 |
図15-1に、認可ポリシーの単純検索の結果を示します。
「ようこそ」ページで、「認可ポリシー」の下にある「拡張検索 - 認可ポリシー」をクリックします。または、「認可ポリシー」タブをクリックして、左ペインにある「拡張検索」リンクをクリックすることもできます。「拡張検索」ページが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「ポリシー名」フィールドに、検索する認可ポリシー名を入力します。これを行うには、「ポリシー名」フィールドの横にあるリストから検索コンパレータを選択します。デフォルトの検索コンパレータは「次を含む」です。他のかわりのコンパレータは、プルダウン・リストから使用できます。
「ロール名」フィールドに、ポリシーが割り当てられているロールの名前を入力します。検索基準にはワイルドカード文字を使用できます。「ロール名」フィールドの横にあるリストから検索条件を選択します。
「エンティティ・タイプ」フィールドで、認可ポリシーが定義されているエンティティ・タイプを選択します。
「検索」をクリックします。図15-2に示すように、検索結果表に検索結果が表示されます。
Oracle Identity Manager管理を使用すると、次のOracle Identity Managerコンポーネントに対するカスタム認可ポリシーを作成できます。
ユーザー管理
ロール管理
認証済セルフサービス・ユーザー管理
この項では、認可ポリシーの作成について次の各トピックで説明します。
ユーザー管理に対するカスタム認可ポリシーを作成すると、ユーザー管理操作へのアクセスを制御できます。たとえば、特定のロールに属するユーザーが、すべてのユーザーまたは特定の組織に属するユーザーを検索できること、および選択したユーザー属性のセットを表示できることを指定できます。
ユーザー管理に対する認可ポリシーを作成する手順は、次のとおりです。
管理およびユーザー・コンソールにログインし、「管理」をクリックします。
注意: 認可ポリシーを作成、変更、削除、検索するには、システム管理者ロールのメンバーである必要があります。 |
「ようこそ」ページで、「認可ポリシー」の下にある「認可ポリシーの作成」をクリックします。または、「認可ポリシー」タブをクリックして、ツールバーにある「認可ポリシーの作成」アイコンをクリックするか、または「アクション」メニューから「作成」を選択することもできます。図15-3に示すように、ポリシーの作成ウィザードの「基本ポリシー情報」ページが表示されます。
注意: ポリシーの作成ウィザードの「基本ポリシー情報」ページでは、「基本ポリシー情報」、「ポリシー設定」および「確認」のノードのみがページ上部に表示されます。ウィザードの他のノードは、「エンティティ名」フィールドの選択に基づいて動的に生成されます。 |
「ポリシー名」フィールドに、認可ポリシーの名前を入力します。
「説明」フィールドに、認可ポリシーの説明を入力します。
ユーザー管理に対する認可ポリシーを作成するには、「エンティティ名」フィールドで「ユーザー管理」を選択します。
「次」をクリックします。図15-4に示すように、「権限」ページが表示されます。
このページで、認可ポリシーで有効化する権限を選択できます。
「権限」表で、「有効化」列のチェック・ボックスを選択します。認可ポリシーに対してすべての権限を有効化する場合は、表の上部にある「すべての権限の有効化」を選択します。
権限が特定の属性セットでのみ使用されるようにするには、「属性の編集」をクリックできます。
「次」をクリックします。図15-5に示すように、認可ポリシー・ウィザードの「データの制約」ページが表示されます。
このページには、ステップ1の「エンティティ名」フィールドで選択した機能に対するオプションが表示されます。
次のいずれかのオプションを選択します。
すべてのユーザー: 認可ポリシーの作成対象としてOracle Identity Manager内のすべてのユーザーを指定するには、このオプションを選択します。
選択した組織のメンバーであるユーザー: 組織を指定して、そのメンバーを認可ポリシーの作成対象とするには、このオプションを選択します。
「選択した組織のメンバーであるユーザー」オプションを選択した場合は、1つ以上の組織を指定する必要があります。手順は次のとおりです。
「組織の追加」をクリックします。「組織の追加」ダイアログ・ボックスが表示されます。
「検索」アイコンをクリックして、「使用可能な組織」リストに組織のリストを表示します。
「使用可能な組織」リストから組織を1つ以上選択し、「移動」または「すべて移動」ボタンを使用して、選択した組織を「追加する組織」リストに移動します。
「保存」をクリックします。選択した組織が「データの制約」ページ内の表に追加されます。
「組織のセキュリティ設定」で、選択した組織の全子組織のメンバーであるユーザーに認可ポリシーを適用することを指定するには、「階層対応(すべての子組織を含める)」を選択します。
「次」をクリックします。図15-6に示すように、認可ポリシー・ウィザードの「ポリシー割当て」ページが表示されます。
「ルールによる割当て」で、ユーザーの直接および間接マネージャを認可ポリシーに割り当てるには、「ユーザーの管理チェーン」を選択します。
ロールを認可ポリシーに割り当てる手順は、次のとおりです。
「追加」をクリックします。「ロールの割当て」ダイアログ・ボックスが表示されます。
「検索」アイコンをクリックして、「使用可能なロール」リストにロールのリストを表示します。
「使用可能なロール」リストからロールを1つ以上選択し、「移動」または「すべて移動」ボタンを使用して、選択したロールを「追加する組織」リストに移動します。
「保存」をクリックします。選択したロールが「割当て」ページ内の表に追加されます。
注意: 「割当て」ページ内の表からロールを削除するには、「削除」をクリックします。 |
「割当てのセキュリティ設定」で、ポリシーが適用される同じ組織のメンバーであるユーザーに対してのみ認可ポリシーを適用することを指定するには、「割当て先はユーザーの組織のメンバーである必要があります」を選択します。
「次」をクリックします。認可ポリシー・ウィザードの「確認」ページが表示され、ウィザードのステップで指定した詳細が示されます。
「終了」をクリックします。認可ポリシーが作成されます。
ロール管理に対するカスタム認可ポリシーを作成すると、ロール管理操作へのアクセスを制御できます。たとえば、特定のロールに属するユーザーが、ロールとロール・カテゴリを検索できること、およびすべてのロールまたは一部の選択したロールに対するロール詳細とロール・カテゴリ詳細を表示できることを指定できます。ただし、その特定のロールに属するユーザーは、他のロール管理操作の実行は許可されません。
Oracle Identity Managerロール管理機能に対する認可ポリシーを作成する手順は、次のとおりです。
Oracle Identity Administrationの「ようこそ」ページで、「認可ポリシー」の下にある「新規ポリシーの作成」をクリックします。または次の方法を使用できます。
「認可ポリシー」タブをクリックして、ツールバーにある「認可ポリシー」アイコンをクリックします。
「アクション」メニューから「作成」を選択します。
認可ポリシー・ウィザードの「基本ポリシー情報」ページが表示されます。
注意: ポリシーの作成ウィザードのページは、「基本ポリシー情報」ページの「エンティティ名」の選択に基づいて動的に生成されます。 |
「ポリシー名」フィールドに、認可ポリシーの名前を入力します。
「説明」フィールドに、認可ポリシーの説明を入力します。
「エンティティ名」フィールドで、割当て先に設定する認可機能に基づいて、エンティティ名を選択します。ロール管理に対する認可ポリシーを作成するには、「ロール管理」を選択します。
「次」をクリックします。「権限」ページが表示されます。
認可ポリシーに対して有効化する権限を選択します。すべての権限を選択するには、表の上部にある「すべての権限の有効化」を選択します。
「次」をクリックします。「データの制約」ページが表示されます。
次のオプションのいずれかを選択します。
すべてのロール: すべての子ロールを含め、Oracle Identity Manager内のすべてのロールに認可ポリシーを適用することを指定する場合。
選択したロール: 選択したロールにのみ認可ポリシーを適用することを指定する場合。
「データの制約」ページで選択したロールは、アクションの実行対象となるロールです。
「選択したロール」オプションを選択した場合は、認可ポリシーの作成対象となるロールを選択する必要があります。手順は次のとおりです。
「ロールの追加」をクリックします。「ロールの割当て」ダイアログ・ボックスが表示されます。
「検索」アイコンをクリックして、「使用可能なロール」リストにすべてのロールを表示します。
認可ポリシーを適用するロールを選択します。
「移動」または「すべて移動」ボタンを使用して、ロールを「割当て対象ロール」リストに移動します。
「保存」をクリックします。選択したロールが認可ポリシー・ウィザードの「データの制約」ページに追加されます。
選択したロールを「データの制約」ページから削除する手順は、次のとおりです。
ロールを選択し、「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックして処理を確認します。
「データの制約」ページで、「ロールのセキュリティ設定」の下にある「階層対応(すべての親ロールを含める)」を選択して、認可ポリシーが、親ロールとして追加されるロールに適用されることを指定します。
「次」をクリックします。「ポリシー割当て」ページが表示されます。このページで、ステップ10および11で説明したロールを追加および削除できます。
「ポリシー割当て」ページで選択したロールは、その直接および間接メンバーがポリシーに基づいてアクションを実行するロールです。
「次」をクリックします。「確認」ページが表示され、基本ポリシー情報と、権限、データの制約および割当に関する詳細が示されます。
「終了」をクリックします。認可ポリシーが作成されます。
認証済ユーザー・セルフサービスに対するカスタム認可ポリシーを作成すると、ユーザー・セルフサービス操作のアクセスを制御できます。たとえば、いくつかのセルフ・プロファイル属性をユーザーまたはユーザーのグループが変更できるようにするが、他のセルフ・プロファイル属性は変更できないようにする場合は、ユーザー・プロファイル属性のセットを変更する権限を指定してユーザー・セルフサービスに対するカスタム認可ポリシーを作成し、ロールをポリシーに割り当てます。割り当てられたロールに属しているユーザーには、認可ポリシーで指定したセルフ・プロファイル属性を変更する権限が付与されます。
認証済ユーザー・セルフサービスに対する認可ポリシーを作成する手順は、次のとおりです。
Oracle Identity Administrationの「ようこそ」ページで、「認可ポリシー」の下にある「新規ポリシーの作成」をクリックします。または次の方法を使用できます。
「認可ポリシー」タブをクリックして、ツールバーにある「認可ポリシー」アイコンをクリックします。
「アクション」メニューから「作成」を選択します。
認可ポリシー・ウィザードの「基本ポリシー情報」ページが表示されます。
注意: ポリシーの作成ウィザードのページは、「基本ポリシー情報」ページの「エンティティ名」の選択に基づいて動的に生成されます。 |
「ポリシー名」フィールドに、認可ポリシーの名前を入力します。
「説明」フィールドに、認可ポリシーの説明を入力します。
「エンティティ名」フィールドで、割当て先に設定する認可機能に基づいて、エンティティ名を選択します。ロール管理に対する認可ポリシーを作成するには、「セルフサービス・ユーザー管理」を選択します。
「次」をクリックします。「権限」ページが表示されます。
認可ポリシーに対して有効化する権限を選択します。たとえば、セルフ・プロファイルの変更をユーザーに許可する場合は、「ユーザー・プロファイルの変更」を選択します。
すべての権限を選択するには、表の上部にある「すべての権限の有効化」を選択します。
属性レベルの設定がある一部の権限を変更できます。手順は次のとおりです。
「ユーザー・プロファイルの変更」などの権限を選択し、ツールバーにある「属性の編集」をクリックします。「属性の設定」ウィンドウが表示され、すべてのユーザー属性のリストが示されます。
ユーザーに変更を許可する属性を選択し、「保存」をクリックします。
「次」をクリックします。「ポリシー割当て」ページが表示され、このポリシーに割り当てられるロールを含む表が示されます。
ロールをポリシーに追加するには、「追加」をクリックします。または、「アクション」メニューから「追加」を選択します。
「ロールの割当て」ウィンドウが表示されます。
「ロールの割当て」ウィンドウでロールを検索し、ポリシーに割り当てるロール(複数可)を選択して「追加」をクリックします。ロールがポリシー割当表に追加されます。
認可ポリシーは、割り当てられたロールのすべてのメンバーに対して有効化されます。
ポリシーからロールを削除するには、ポリシー割当表でロールを選択し、「削除」をクリックします。
「次」をクリックします。「確認」ページが表示され、基本ポリシー情報と、権限、データの制約および割当に関する詳細が示されます。
「終了」をクリックします。認可ポリシーが作成されます。
Oracle Identity Managerにすでに存在している別の認可ポリシーの一般情報、権限、データの制約および割当の情報を使用して、認可ポリシーを作成できます。手順は次のとおりです。
別のポリシーを作成するために、情報を使用する認可ポリシーを検索します。
ポリシーを選択します。「アクション」メニューから「類似作成」を選択します。認可ポリシー・ウィザードが表示されます。
「基本ポリシー情報」ページで、「ポリシー名」、「説明」および「エンティティ名」の各フィールドを編集して、新しい値を指定します。
「カスタム認可ポリシーの作成」の説明に従って、ステップを実行してウィザードを完了します。
認可ポリシーを表示および変更し、認可ポリシーの一般情報、権限、データの制約および割当を変更できます。手順は次のとおりです。
注意: 認可ポリシー変更用のオプションは、ポリシーに対して選択したエンティティ・タイプに基づいて動的に変わります。この手順では、ロール管理に対する認可ポリシーの例を使用します。 |
左ペインにある管理コンソールの「認可ポリシー」タブで、認可ポリシーを検索します。検索基準に一致するポリシーが検索結果表に表示されます。
認可ポリシーをクリックします。または、認可ポリシーを選択して、「アクション」メニューから「開く」を選択することもできます。認可ポリシーの詳細を表示および変更できるページが表示されます。ページの「全般」タブがデフォルトで表示され、ポリシー名、説明、エンティティ名、権限、データの制約および割当に関する詳細が示されます。
「ポリシー名」および「説明」フィールドを編集して、認可ポリシー名と説明を更新します。
注意: 認可ポリシーのエンティティ名は、ポリシーの作成後は変更できません。 |
「アクセス権」タブをクリックします。このタブで、このポリシーで有効化する権限を選択できます。これを行うには、表から権限を選択するか、または「すべての権限の有効化」を選択してすべての権限を有効化します。
一部の権限には、属性レベルの設定があります。属性レベルの設定を変更するには、「属性の編集」をクリックします。
「データの制約」タブをクリックします。このタブで、この認可ポリシーに対してユーザーがメンバーである必要があるロールを変更できます。
次のオプションのいずれかを選択します。
すべてのロール: すべての子ロールを含め、Oracle Identity Manager内のすべてのロールに認可ポリシーを適用することを指定する場合。
選択したロール: 選択したロールにのみ認可ポリシーを適用することを指定する場合。
「選択したロール」オプションを選択した場合は、認可ポリシーの作成対象となるロールを選択する必要があります。このタブで、選択したロールを削除することもできます。ロールを追加または削除するには、「ロール管理に対する認可ポリシーの作成」のステップ10または11でそれぞれ説明されているステップを実行します。
「階層対応(すべての親ロールを含める)」を選択して、選択したロールのすべての親ロールが認可に対して選択される必要があることを指定します。
注意: ステップ6から8は、ロールに対する認可ポリシーに適用されます。 |
「割当て」タブをクリックします。このタブには、このポリシーに割り当てられるロールが表示されます。
「カスタム認可ポリシーの作成」および「ロール管理に対する認可ポリシーの作成」のステップ10または11をそれぞれ実行すると、割当を追加または削除できます。
「適用」をクリックして、変更を保存します。
または、「元に戻す」をクリックして、古い値でページをリフレッシュします。
関連項目: 認可ポリシーを使用した機能の無効化または非表示の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の認可ポリシーを使用した機能へのアクセスの無効化に関する項を参照してください。 |
この項では、次のOracle Identity Managementの各機能に対する認可ポリシー・コンポーネントについて説明します。
ユーザー管理機能に対して定義されている認可ポリシーのコンポーネント、およびデフォルト認可ポリシーについて、次の各項で説明します。
ポリシーの割当て先には、ロールのセットを指定できます。ポリシーは、ポリシーのセットで各ロールに割り当てられます。さらに、割当て先として管理されるユーザーの管理チェーンを選択するためのルールがサポートされています。これを、管理されるユーザーの直接マネージャのみに制限する機能はありません。
「割当て先は...のメンバーである必要があります」というセキュリティ設定によって、権限付与の対象となる組織またはロールのメンバーでもあるユーザーに権限付与が制限されます。割当て先が複数の組織階層に属している場合は、少なくとも1つの組織階層と一致した場合に権限が付与される必要があります。
ユーザー管理機能に対して、ユーザーの検索、ユーザー詳細の表示などの複数の権限が定義されています。
次の各権限では詳細な属性レベルのアクセス制御がサポートされ、これによって、ユーザーはその操作に適用可能な特定の属性を選択できます。
ユーザー詳細の表示
ユーザー・プロファイルの変更
属性のリストは、ユーザー・エンティティに対して定義されている属性のリストに基づきます。
ユーザー管理機能の場合、データ・セキュリティは組織のリストとして定義され、その組織のメンバーに対する権限が割当て先に付与されます。認可ポリシーによって管理されるユーザーのセットは、属性フィルタリングでは指定できません。
「階層対応」オプションが選択されている場合は、データ・セキュリティの決定時に、組織およびロールの階層が考慮されます。
ユーザー管理機能には、デフォルト認可ポリシーが2つあります。ユーザーは、これらのポリシーを変更または削除できません。ユーザーの検索権限を提供するユーザー管理ポリシーは、ユーザー詳細の表示権限も提供する必要があります。ユーザー詳細の表示権限には、「ユーザー・ログイン」、「アカウント・ステータス」、「アイデンティティ・ステータス」、「氏名」および「表示名」の各属性が含まれている必要があります。これらの属性が指定されない場合は、ユーザーが完全に表示可能または編集可能にならない場合があります。
次の表に、ユーザー管理に対するデフォルト認可ポリシーの詳細を示します。
ポリシー名 | 割当て先 | 機能セキュリティ | データ・セキュリティ | 説明 |
---|---|---|---|---|
ユーザー管理の管理ポリシー |
システム管理者およびアイデンティティ・ユーザー管理者ロール |
権限は次のとおりです。 ユーザー・パスワードの変更 ユーザーの作成 ユーザーの削除 アクセス・ポリシーの評価 OIMアカウント・ステータスの変更 ユーザー・プロファイルの変更 ユーザー・プロキシ・プロファイルの変更 ユーザー・ステータスの変更 ユーザーへのリソースのプロビジョニング ユーザーの検索 ユーザー詳細の表示 ユーザー・リクエストの表示 注意: 「ユーザー・プロファイルの変更」および「ユーザー詳細の表示」には、関連する属性設定があります。両方の権限に対して、属性設定はすべての属性です。 |
すべてのユーザー組織 割当て先はユーザーの組織のメンバーである必要があります: いいえ 階層対応: はい |
システム管理者またはアイデンティティ・ユーザー管理者ロールを持つユーザーが、すべてのユーザー管理アクションにアクセスできるようにします。 |
ユーザー管理の検索ポリシー |
リクエスト・テンプレート管理者、リクエスト管理者、承認ポリシー管理者およびリコンシリエーション管理者ロール |
権限は次のとおりです。 ユーザーの検索 ユーザー詳細の表示: 関連する属性設定があります。これらは次のとおりです。 表示名、名、氏名、GUID、姓、組織、ユーザー・ログイン |
すべての組織 割当て先はユーザーの組織のメンバーである必要があります: いいえ 階層対応: はい |
リクエスト管理者、リコンシリエーション管理者、リクエスト・テンプレート管理者または承認ポリシー管理者ロールを持つユーザーが、GUIDおよびユーザー・ログインに基づいて検索できるようにします。 |
ユーザー管理のすべてのユーザー・ポリシー |
すべてのユーザー・ロール |
権限は次のとおりです。 ユーザー詳細の表示: 関連する属性設定があります。これらは次のとおりです。 表示名、名、氏名、GUID、姓、組織、ユーザー・ログイン |
すべての組織 割当て先はユーザーの組織のメンバーである必要があります: いいえ 階層対応: はい |
すべてのユーザー・ロールを持つユーザーが、すべてのユーザー管理アクションにアクセスできるようにします。 |
管理者のユーザー管理ポリシー |
すべてのユーザー・ロール |
権限は次のとおりです。 ユーザーの検索 ユーザー詳細の表示 |
すべての組織 割当て先はユーザーの組織のメンバーである必要があります: いいえ 階層対応: はい |
管理者が、自分の報告者を検索および表示できるようにします。 |
認可ポリシーは、認証済セルフサービスの次の領域を制御するために使用されます。
Oracle Identity Managerセルフサービスの「マイ・プロファイル」ページに表示される属性は、セルフサービス・ユーザー管理のOES認可ポリシーからのVIEW_USER_DETAILSおよびMODIFY_USER_DETAILS権限を使用して制御されます。複数のポリシーが適用可能な場合、ユーザーに権限が付与される属性のリストは、個々のポリシーによって決定される属性の結合です。
デフォルトでは、すべてのユーザーおよびシステム管理者ロールに、属性のセットを表示および変更する権限があります。すべてのユーザーおよびシステム管理者ロールには、次の属性を表示する権限があります。
電子メール、表示名、名、姓、ロケール、ミドル・ネーム、電話番号、タイムゾーン、ユーザー・ログイン、マネージャ、アイデンティティ・ステータス、アカウント・ステータス
すべてのユーザーおよびシステム管理者ロールには、次の属性を変更する権限があります。
電子メール、表示名、名、姓、ロケール、ミドル・ネーム、電話番号、タイムゾーン、ユーザー・ログイン
ユーザーに属性に対する表示および変更権限がある場合、その属性は、「マイ・プロファイル」ページに編集可能な状態で表示されます。属性に対する表示権限のみがある場合、その属性は読取り専用で表示されます。セルフ・プロファイルを変更するためのリクエストは、「セルフ・プロファイルの変更」リクエスト・テンプレートを使用して送信されます。このリクエスト・テンプレートに対するリクエスト・データセットは、「ユーザーの変更」リクエスト・テンプレートに対するリクエスト・データセットと同じです。
関連項目: リクエスト・モデル、リクエスト・テンプレートおよびリクエスト・データセットの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリクエストの構成に関する項を参照してください。 |
ユーザーのプロファイルに追加属性を表示する手順は、次のとおりです。
デフォルトまたはカスタム追加属性が設定された表示または変更(あるいはその両方)のユーザー・プロファイル権限を含むカスタム・セルフサービス認可ポリシーを作成します。カスタム認可ポリシーの作成の詳細は、「カスタム認可ポリシーの作成」を参照してください。
カスタム認可ポリシーをすべてのユーザーおよびシステム管理者ロールに割り当てます(管理者ユーザーにはデフォルトですべてのユーザー・ロールは設定されていないため)。
ポリシー内のユーザー・プロファイル権限を変更するための追加属性が設定される場合は、「セルフ・プロファイルの変更」用のリクエスト・データセットを更新(つまり、ModifyUserDataset.xmlに属性を含めるように更新)します。属性が「セルフ・プロファイルの変更」ページにレンダリングされるように、データセット内のエントリが作成されます。
注意: 追加属性に表示可能プロパティが設定されていることを確認してください。 |
セルフサービス操作としてロールをリクエストおよび表示するための権限は定義されていません。ただし、ロールのリクエスト時に、ユーザーにアクセス権限があるリクエスト・テンプレートのみが表示されます。これは、リクエスト管理機能によって制御されます。リクエスト操作時のロールの検索時に、ユーザーは、ユーザーに検索および表示権限があるロールからのみ選択できます。これは、ロール管理ポリシーによって制御されます。
「ロールのリクエスト」ページのロールのリストでユーザーが使用できるロールは、リクエスト・テンプレートで提供されているロールと、ユーザーに検索権限があるロールの共通部分です。たとえば、リクエスト・テンプレートにロールRole1、Role2およびRole3があり、ユーザーにRole2とRole3の検索権限がある場合は、Role2とRole3がロールのリストに表示されます。同様に、ユーザーにRole1、Role2およびRole3に対する検索権限があり、リクエスト・テンプレートにロールRole2とRole3がある場合は、Role2とRole3がロールのリストに表示されます。
ユーザーは、検索権限があるすべてのロールをリクエストできます。これは、ロール管理で定義される一般認可ポリシーによって制御されます。ロールのリクエスト作成時に、ユーザーは、ロールを検索して選択する必要があります。
セルフサービス操作としてリソースをリクエストおよび表示するための権限は定義されていません。ただし、リソースをリクエストおよび表示するために、リソースのセルフ・リクエストが許可されるようにそのリソースを構成する必要があります。これを行うには、Oracle Identity Manager Design Consoleの「リソース・オブジェクト」フォームの「セルフ・リクエストを許可」オプションを選択します。
関連項目: Oracle Identity Manager Design Consoleの「リソース・オブジェクト」フォームの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
プロキシ操作を追加、変更および削除するには、セルフサービス・ユーザー管理に対するデフォルト認可ポリシーの新しいMODIFY_SELF_USER_PROXY_PROFILE権限とともに、認証済セルフサービスAPIで認可チェックが必要です。認証済セルフサービスAPIによって、最初にこの権限がチェックされます。ユーザーにプロキシ操作を実行する権限がある場合は、認証済セルフサービスAPIによって、ユーザー管理用の対応するAPIがコールされます。
関連項目: Oracle Identity Manager APIの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』を参照してください。 |
プロキシの追加、変更および削除を許可するには、セルフ・ユーザー・プロキシ・プロファイルの変更権限が必要です。
次の表に、認証済セルフサービスに対するデフォルト認可ポリシーの詳細を示します。
ポリシー名 | 割当て先 | 機能セキュリティ | データ・セキュリティ | 説明 |
---|---|---|---|---|
ロールの自己割当て |
すべてのユーザー・ロール |
権限は次のとおりです。 リクエストの開始 |
なし |
すべてのユーザー・ロールを持つユーザーが、「ロールの自己割当て」リクエスト・テンプレートにアクセスできるようにします。 |
リソースの自己プロビジョニング解除 |
すべてのユーザー・ロール |
権限は次のとおりです。 リクエストの開始 |
なし |
すべてのユーザー・ロールを持つユーザーが、「プロビジョニング済リソースの自己変更」リクエスト・テンプレートにアクセスできるようにします。 |
プロビジョニング済リソースの自己変更 |
すべてのユーザー・ロール |
権限は次のとおりです。 リクエストの開始 |
なし |
すべてのユーザー・ロールを持つユーザーが、「ロールの自己削除」リクエスト・テンプレートにアクセスできるようにします。 |
ロールの自己削除 |
すべてのユーザー・ロール |
権限は次のとおりです。 リクエストの開始 |
なし |
すべてのユーザー・ロールを持つユーザーが、「ロールの自己割当て」リクエスト・テンプレートにアクセスできるようにします。 |
セルフサービス・ユーザー管理のすべてのユーザー・ポリシー |
すべてのユーザーおよびシステム管理者ロール |
権限は次のとおりです。 セルフ・ユーザー・プロキシ・プロファイルの変更 ユーザー・プロファイルの変更: 関連する属性設定があります。これらは、「表示名」、「電子メール」、「名」、「姓」、「ロケール」、「ミドル・ネーム」、「電話番号」、「タイムゾーン」および「ユーザー名優先言語」です。 ユーザー詳細の表示: 関連する属性設定は、「アカウント・ステータス」、「表示名」、「電子メール」、「名」、「アイデンティティ・ステータス」、「姓」、「ロケール」、「マネージャ」、「ミドル・ネーム」、「パスワードの有効期限日」、「パスワードの有効期限切れ」、「パスワードの警告日」、「パスワードの警告」、「電話番号」、「タイムゾーン」、「ユーザー・ログイン」および「ユーザー名優先言語」です。 |
なし |
すべてのユーザーが、特定のセルフサービス・ユーザー管理アクションにアクセスできるようにします。 |
リソースの自己リクエスト |
すべてのユーザー・ロール |
権限は次のとおりです。 リクエストの開始 |
なし |
すべてのユーザー・ロールを持つユーザーが、「リソースの自己リクエスト」リクエスト・テンプレートにアクセスできるようにします。 |
ロール管理機能に対して定義されている認可ポリシーのコンポーネント、およびこの機能に対するデフォルト認可ポリシーについて、次の各項で説明します。
ポリシーの割当て先には、ロールまたはロールのセットを指定できます。
ロール管理機能に対して複数の権限が定義されています。権限では、詳細な属性レベルのアクセス制御はサポートされません。
ロール管理機能の場合、データ・セキュリティは、割当て先への権限付与の対象となるロールのリストとして定義されます。
「割当て先は...のメンバーである必要があります。」という条件によって、権限付与の対象となるロールのメンバーでもある割当て先に権限付与が制限されます。
「階層対応」設定によって、データ・セキュリティの決定時にロール階層が考慮されます。
この機能に対して定義されるデフォルト認可ポリシーは、ユーザーが変更または削除することはできません。ポリシーについて次の表で説明します。
ポリシー名 | 割当て先 | 機能セキュリティ | データ・セキュリティ | 説明 |
---|---|---|---|---|
ロール管理の管理ポリシー |
システム管理者およびロール管理者ロール |
権限は次のとおりです。 ロールの作成 ロール・カテゴリの作成 ロールの削除 ロール・カテゴリの削除 ロールの変更 ロール・カテゴリの変更 ロール階層の変更 ロール・メンバーシップの変更 ロールの検索 ロール・カテゴリの検索 ロール・カテゴリ詳細の表示 ロール詳細の表示 ロール・メンバーシップの表示 |
すべてのロール |
これは、ロール管理者およびシステム管理者ロールに関連付けられた事前定義済の認可ポリシーです。 |
ロール管理の「すべてのユーザー」ポリシー |
すべてのユーザー・ロール |
権限は次のとおりです。 ロールの検索 ロール・カテゴリの検索 ロール詳細の表示 ロール・カテゴリ詳細の表示 |
すべてのロール(この場合、認可はロールに属しているユーザーに適用されます) 選択したロール(この場合、この認可についてユーザーがメンバーである必要があるロールを選択できます) |
これは、すべてのユーザー・ロールに関連付けられた事前定義済の認可ポリシーです。 |
ロール管理ロール所有者ポリシー |
すべてのユーザー・ロール |
権限は次のとおりです。 ロールの削除 ロールの変更 ロール階層の変更 ロール・メンバーシップの変更 ロールの検索 ロール・カテゴリの検索 ロール・カテゴリ詳細の表示 ロール詳細の表示 ロール・メンバーシップの表示 |
割当て先がその所有者であるすべてのロール。ユーザーがロールを作成するとき、作成されたロールを付与された個人がロール所有者になります。 |
これは、ロール所有者がそのロールを制御できるようにする事前定義済の認可ポリシーです。 |
ロール管理の承認およびリクエスト・ポリシー |
承認ポリシー管理者、リクエスト・テンプレート管理者およびリクエスト管理者ロール |
権限は次のとおりです。 ロールの検索 ロール・カテゴリの検索 ロール・カテゴリ詳細の表示 ロール詳細の表示 |
すべてのロール |
これは、承認ポリシー管理者、リクエスト管理者およびリクエスト・テンプレート管理者ロールに関連付けられた事前定義済の認可ポリシーです。 |
ロール管理の委任管理ポリシー |
ロール管理者ロール |
権限は次のとおりです。 ロール・メンバーシップの変更 ロールの検索 ロール・カテゴリの検索 ロール・カテゴリ詳細の表示 ロール詳細の表示 ロール・メンバーシップの表示 |
すべてのロール |
このポリシーを委任ロール管理者ペルソナの例として使用できます。必要な場合は、割当て先およびデータ制約を変更できます。 |
ロール管理の階層管理ポリシー |
ロール管理者ロール |
権限は次のとおりです。 ロールの変更 ロール階層の変更 ロールの検索 ロール・カテゴリの検索 ロール・カテゴリ詳細の表示 ロール詳細の表示 ロール・メンバーシップの表示 |
すべてのロール |
このポリシーをロール階層管理者ペルソナの例として使用できます。必要な場合は、割当て先およびデータ制約を変更できます。 |
認可ポリシー管理機能へのアクセスは、デフォルト認可ポリシーによって制御されます。このポリシーは、システム管理者ロールに属するユーザーに、認可ポリシーの検索、およびカスタム認可ポリシーの作成、変更、削除など、認可ポリシーの操作を実行する権限を付与します。
注意: 削除または無効化アクションは機能固有のUIコードで制御され、UIコードによって、AuthorizationService APIがコールされ、そのアクションの実行をユーザーに許可するかどうかが調べられます。ユーザーに権限がある場合は、UIの左ペインの「アクション」リストで、ユーザーは「削除」または「無効化」オプションが有効化されていることを確認できます。 |
この機能に対するデフォルト認可ポリシーの詳細は、次のとおりです。
ポリシー名: 認可管理の管理ポリシー
割当て先: システム管理者ロール
機能セキュリティ: サポートされている権限は次のとおりです。
認可ポリシーの作成
認可ポリシーの削除
認可ポリシーの変更
認可ポリシーの検索
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: この認可ポリシーでは、データ・セキュリティはサポートされません。認可ポリシーを管理する権限があるすべてのユーザーが、すべての認可ポリシーを管理できます。
ユーザー管理構成機能に対するデフォルト認可ポリシーは、システム管理者およびユーザー構成管理者ロールを持つユーザーが、すべてのユーザー管理構成操作にアクセスできるようにします。このポリシーの詳細は次のとおりです。
関連項目: ユーザー管理構成機能の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのユーザー属性の構成に関する項を参照してください。 |
ポリシー名: ユーザー管理構成の管理ポリシー
割当て先: システム管理者およびユーザー構成管理者ロール
機能セキュリティ: 権限は次のとおりです。
カテゴリの追加
導出属性の追加
属性の作成
属性の削除
カテゴリの削除
検索属性の設定
検索属性の設定
属性の更新
カテゴリの更新
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: なし
説明: このポリシーは、システム管理者またはユーザー構成管理者ロールを持つユーザーが、すべてのユーザー管理構成アクションにアクセスできるようにします。
注意: ユーザーを作成および変更するページにすべての属性を表示する権限がユーザーにあるとき、ユーザー管理構成を介してUDFが作成されている場合は、ユーザーを作成および変更するページにUDFが表示されます。 |
リコンシリエーション管理機能に対して定義されている認可ポリシーのコンポーネント、およびこの機能に対するデフォルト認可ポリシーについて、次の各項で説明します。
関連項目: リコンシリエーション機能の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのリコンシリエーション・イベントの管理に関する項、および第4章「デプロイメント構成」を参照してください。 |
ポリシーの割当て先には、ロールまたはロールのセットを指定できます。
リコンシリエーション管理機能では、認可ポリシー管理領域からの複数の権限が定義されます。これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
この認可ポリシーでは、データ・セキュリティはサポートされません。リコンシリエーション・イベントを管理する権限があるユーザーは、すべてのリコンシリエーション・イベントを管理できます。
次の表に、リコンシリエーション管理機能に対するデフォルト認可ポリシーを示します。
ポリシー名 | 割当て先 | 機能セキュリティ | データ・セキュリティ | 説明 |
---|---|---|---|---|
リコンシリエーション管理の管理ポリシー |
システム管理者およびリコンシリエーション管理者ロール |
権限は次のとおりです。 割当て バルク操作 アカウントの作成 ユーザーの作成 アカウントのリンク ユーザーのリンク 検索 イベント詳細の表示 これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。 |
なし |
リコンシリエーション管理者またはシステム管理者ロールを持つユーザーが、すべてのリコンシリエーション管理アクションにアクセスできるようにします。 |
リコンシリエーションAPIポリシー |
システム管理者およびリコンシリエーション管理者ロール |
権限は次のとおりです。 リコンシリエーション・イベントの作成 検出アカウントの削除 欠落アカウントの取得 イベントの無視 イベントのユーザー・リソースへのリンク イベントのユーザーへのリンク リコンシリエーション・イベントの処理 これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。 |
なし |
リコンシリエーション管理者またはシステム管理者ロールを持つユーザーが、すべてのリコンシリエーション管理アクションにアクセスできるようにします。 |
スケジューラ機能に対するデフォルト認可ポリシーは、システム管理者およびスケジューラ管理者ロールを持つユーザーが、すべてのスケジューラ操作にアクセスできるようにします。このポリシーの詳細は次のとおりです。
関連項目: スケジューラ機能の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのスケジュール済タスクの管理に関する項を参照してください。 |
ポリシー名: スケジューラ管理ポリシー
割当て先: システム管理者およびスケジューラ管理者ロール
機能セキュリティ: 権限は次のとおりです。
ジョブの作成
ジョブの削除
ジョブの無効化
ジョブの有効化
ジョブのフィルタ
ジョブの変更
ジョブの一時休止
ジョブの再開
ジョブの即時実行
ジョブの検索
ジョブの停止
ステータスのリセット
スケジューラ検索
スケジューラの開始
スケジューラの停止
トリガーの作成
トリガーの削除
トリガーの変更
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: なし
説明: システム管理者またはスケジューラ管理者ロールを持つユーザーが、すべてのスケジューラ・アクションにアクセスできるようにします。
リクエスト・テンプレート管理者ロールを持つユーザーは、リクエスト・テンプレートの作成、削除、変更、検索など、リクエスト・テンプレートに関連するすべての管理操作にアクセスできます。デフォルト認可ポリシーの詳細は、「リクエスト・テンプレートを使用したリクエスト作成」を参照してください。
各リクエスト・テンプレートをロールのセットと関連付けることができます。これらのいずれかのロールを持つユーザーのみが、このテンプレートを使用してリクエストを作成できます。新しいリクエスト・テンプレートが関連ロールのリストとともに作成されると、新しい認可ポリシーが内部的に作成されます。さらに、既存のリクエスト・テンプレートとのロール関連が変更(新しいロールの追加または既存ロールの削除)されると、このテンプレートに対する既存の認可ポリシーが変更されます。
リクエスト・テンプレートを使用したリクエスト作成に対するデフォルト認可ポリシーは、リクエスト・テンプレート管理者ロールを持つユーザーが、リクエスト・テンプレートに関連するすべての操作にアクセスできるようにします。ポリシーの詳細は次のとおりです。
ポリシー名: リクエスト・テンプレート管理ポリシー
割当て先: リクエスト・テンプレート管理者ロール
機能セキュリティ: 権限は次のとおりです。
作成
削除
変更
検索
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: なし
説明: リクエスト・テンプレート管理者またはシステム管理者ロールを持つユーザーが、すべてのリクエスト・テンプレート・アクションにアクセスできるようにします。
承認ポリシー管理機能に対するデフォルト認可ポリシーは、承認ポリシー管理者ロールを持つユーザーが、すべての承認ポリシー管理操作にアクセスできるようにします。このポリシーの詳細は次のとおりです。
ポリシー名: 承認ポリシー管理ポリシー
割当て先: 承認ポリシー管理者ロール
機能セキュリティ: 権限は次のとおりです。
作成
削除
変更
検索
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: なし
説明: 承認ポリシー管理者またはシステム管理者ロールを持つユーザーが、すべての承認ポリシー管理アクションにアクセスできるようにします。
通知管理機能に対するデフォルト認可ポリシーは、通知テンプレート管理者ロールを持つユーザーが、すべての通知管理操作にアクセスできるようにします。このポリシーの詳細は次のとおりです。
関連項目: 通知管理機能の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの通知テンプレートの管理に関する項を参照してください。 |
ポリシー名: 通知管理の管理ポリシー
割当て先: システム管理者および通知テンプレート管理者ロール
機能セキュリティ: 権限は次のとおりです。
ロケールの追加
作成
削除
フィルタ
参照
変更
ロケールの削除
検索
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データ・セキュリティ: なし
説明: システム管理者または通知テンプレート管理者ロールを持つユーザーが、すべての通知テンプレート管理アクションにアクセスできるようにします。
システム・プロパティ機能に対するデフォルト認可ポリシーは、システム管理者およびシステム構成管理者ロールを持つユーザーが、システム・プロパティに関連するすべての操作にアクセスできるようにします。このポリシーの詳細は次のとおりです。
関連項目: システム・プロパティの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。 |
ポリシー名: システム・プロパティの管理ポリシー
割当て先: システム管理者およびシステム構成管理者ロール
機能セキュリティ: 権限は次のとおりです。
作成
削除
フィルタ
参照
変更
検索
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データの制約: なし
説明: システム管理者またはシステム構成管理者ロールを持つユーザーが、すべてのシステム・プロパティ・アクションにアクセスできるようにします。
診断ダッシュボード機能に対するデフォルト認可ポリシーは、システム管理者ロールを持つユーザーが、診断ダッシュボードにアクセスできるようにします。このポリシーの詳細は次のとおりです。
関連項目: 診断ダッシュボードの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドの診断ダッシュボードの使用に関する項を参照してください。 |
ポリシー名: 診断ダッシュボード・ポリシー
割当て先: システム管理者ロール
機能セキュリティ: 失敗したタスクの管理権限(詳細な属性レベルのアクセス制御なし)
データの制約: なし
説明: システム管理者ロールを持つユーザーが、診断ダッシュボードにアクセスできるようにします。
プラグイン機能に対するデフォルト認可ポリシーは、プラグイン管理者ロールを持つユーザーが、ポリシーを登録/登録解除できるようにします。このポリシーの詳細は次のとおりです。
関連項目: プラグインの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のプラグインの開発に関する項を参照してください。 |
ポリシー名: プラグイン管理者ポリシー
割当て先: プラグイン管理者およびシステム管理者ロール
機能セキュリティ: 権限は次のとおりです。
プラグインの登録
プラグインの登録解除
これらの権限では、詳細な属性レベルのアクセス制御はサポートされません。
データの制約: なし
説明: プラグイン管理者またはシステム管理者ロールを持つユーザーが、プラグインを登録/登録解除できるようにします。