Oracle Identity Managerでは、組織エンティティは、ユーザー、他の組織などのエンティティの論理的なコンテナを表します。
組織は、委任管理モデルで使用できるコンテナです。さらに、Oracle Identity Managerの他のエンティティ(ユーザーなど)のスコープも定義します。Oracle Identity Managerでは、フラットな組織構造または階層的な構造(組織に他の組織を含めることができることを意味する)を構成できます。Oracle Identity Managerのエンティティの管理を容易にするために、階層は部門、地理的な地域、またはその他の論理的な部署を表します。
委任管理を使用して大規模な組織の多数のロールや個人を管理できるように、Oracle Identity Managerでは、階層内のオブジェクトのメンバーシップに基づいて委任管理ポリシーを定義できます。これは、図13-1に示す階層のように、再帰的な組織メンバーシップもサポートしています。
階層的な委任管理ポリシーを定義して委任管理者1に「Engineering」以下のパスワードをリセットする権限を付与した場合、この権限は「Employee1」、「Employee2」、「Employee3」および「Employee4」に付与されます。メンバーシップ・ルートが「Development」の場合、Bobには、「Employee2」と「Employee3」のみに対する権限が付与されます。
組織のサービス、およびそのサービスをサポートするUIコンポーネントの機能については、次の各項で説明します。
Oracle Identity Managerでは、組織エンティティに対してデフォルトで属性が定義されています。これらの属性は、すべてのエンティティ(ユーザー、組織、ロール、ロール階層、ロール・メンバーシップなど)で同じです。エンティティに対して定義される属性のリストは、「ユーザー・エンティティ定義」を参照してください。
表13-1に、組織エンティティのデフォルト属性を示します。
表13-1 組織エンティティのデフォルト属性
属性名 | カテゴリ | タイプ | データ型 | 表示タイプ | プロパティ |
---|---|---|---|---|---|
組織名 |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい |
タイプ |
基本 |
単一 |
文字列 |
LOV |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい |
親組織 |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: いいえ システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい |
ステータス |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい |
組織管理に関連するタスクは、Oracle Identity Management管理の「組織管理」セクションで実行します。タスクについては、次の各項で説明します。
Oracle Identity Administrationを使用して、次のタイプの組織検索操作を実行できます。
注意: 組織を検索したときに検索結果に表示される組織は、「XL.EnableOrgPermissionCheck」システム・プロパティによって制御されます。このシステム・プロパティについては、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのOracle Identity Managerのシステム・プロパティに関する項を参照してください。 |
単純検索操作によって、検索属性として指定した検索文字列に基づいて組織エンティティを検索できます。この操作は、単純検索またはクイック検索とも呼ばれます。
組織の単純検索を実行する手順は、次のとおりです。
Oracle Identity Administrationにログインします。
左ペインの「管理」タブで、ドロップダウン・リストから「組織」を選択します。
「検索」フィールドに、検索基準として組織名を入力します。検索基準にはワイルドカード文字(*)を使用できます。パフォーマンス上の理由から、先頭(接頭辞)のワイルドカードは削除されます。ただし、末尾(接頭辞)のワイルドカードはすべての検索に追加されます。
「検索」アイコンをクリックします。「検索結果」タブに検索結果の表が表示され、検索基準に一致する組織名が表示されます。図13-2に、検索結果表を示します。
組織の拡張検索では、単純検索操作より複雑な検索基準を指定できます。結果は検索結果表に表示されます。
組織の拡張検索を実行する手順は、次のとおりです。
Oracle Identity Administrationにログインします。
「ようこそ」ページで、「組織」の下にある「拡張検索 - 組織」をクリックします。右ペインに「拡張検索」ページが表示されます。
次のいずれかを選択します。
すべて: 検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: 検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「組織名」フィールドに、検索する組織名の検索属性を入力します。これを行うには、検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。かわりに、プルダウン・リストからコンパレータ「次と等しい」を選択することもできます。検索コンパレータの詳細は、「検索コンパレータ」を参照してください。
ワイルドカード文字を使用して、組織名を指定できます。
「組織カスタマ・タイプ」リストから組織タイプを選択します。組織タイプには、「支店」、「部門」または「会社」があります。
「フィールドの追加」ボタンから「組織ステータス」を選択します。
「組織ステータス」リストから組織ステータス(「アクティブ」、「削除」または「無効」)を選択します。
「検索」をクリックします。図13-3に示すように、検索結果表に結果が表示されます。検索結果表には、組織名、親組織、組織カスタマ・タイプおよび組織ステータスが表示されます。
Oracle Identity Manager管理の「組織」セクションで、データを参照できます。参照機能はUIの左ペインで使用できます。
参照操作を使用して、システム内の組織ツリーをルート組織から移動できます。複数の組織ツリーがある場合は、すべてのツリーが表示されます。各ツリーの先頭は、親組織を持たないルート組織ノードです。組織に定義されたユーザーは、ツリー内のノードとして表示されません。
組織を参照するには、Oracle Identity Manager管理の左ペインの「参照」タブで「組織」をクリックします。図13-4に示すように、Oracle Identity Managerのすべての組織が参照リストに表示されます。
組織の参照リストには、ルートおよび子組織が表示された組織ツリーが表示されます。
組織の参照リストでは、次の操作を実行できます。
組織を作成します。「組織の作成」を参照してください。
組織の詳細を開きます。「組織の表示と変更」を参照してください。
組織を削除します。「組織の削除」を参照してください。
管理ロールを管理します。「管理ロールの管理」を参照してください。
組織を作成するには、「組織の作成」ページを使用します。このページには、組織を作成する権限がある場合のみアクセスできます。
注意: 1つ以上の組織に対して組織の作成権限がある場合のみ、組織の作成が許可されます。 |
組織を作成するには、次の手順を実行します。
「組織の作成」ページを開きます。これを行うには、次のいずれかを実行します。
Oracle Identity Manager管理の「ようこそ」ページで、「組織」の下にある「新規組織の作成」をクリックします。
左ペインで「参照」タブをクリックします。「組織」の下で、「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」アイコンをクリックします。
左ペインで「検索結果」タブをクリックし、検索リストで「組織」を選択します。「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」アイコンをクリックします。
「拡張検索: 組織」ページで、「アクション」メニューから「組織の作成」を選択するか、またはツールバーにある「作成」をクリックします。
図13-5に、「組織の作成」ページを示します。
「組織の作成」ページのフィールドに値を入力します。表13-2に、「組織の作成」ページのフィールドを示します。
「名前」フィールドに、組織の名前を入力します。
「タイプ」フィールドで、組織のタイプ(「会社」、「部門」または「支店」)を選択します。
新規作成した組織が所属する親組織を指定します。手順は次のとおりです。
「親組織」フィールドの横にある「検索」アイコンをクリックします。図13-6に示すように、「検索: 組織」ダイアログ・ボックスが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「組織名」フィールドに、検索する組織名を入力します。検索基準にはワイルドカード文字を使用できます。「組織名」フィールドの横にあるリストから検索条件を選択します。検索条件は「次と等しい」または「次で始まる」です。
「組織カスタマ・タイプ」フィールドに、親組織の組織タイプを入力します。検索基準にはワイルドカード文字を使用できます。「組織カスタマ・タイプ」フィールドの横にあるリストから検索条件を選択します。
「検索」をクリックします。指定した検索基準に一致する組織が検索結果表に表示されます。
検索結果表から、親組織として指定する組織を選択します。
「終了」をクリックします。選択した組織が親組織として追加されます。
「保存」をクリックして組織を作成します。
組織の表示操作では、「ユーザーの詳細」ページで詳細な組織プロファイル情報を表示できます。このページは、認可ポリシーで組織の詳細の表示権限により組織プロファイルを表示する権限が付与されている場合のみ表示できます。また、組織の変更権限がある場合は、このページを使用して組織を変更できます。
注意: 組織エンティティの「組織の詳細」ページは、構成および詳細な認可に基づいてシステムで自動生成されます。Oracle Identity Managerでは、システム生成ページをカスタム定義ページで上書きするメカニズムはありません。 |
組織の詳細を開くには、次のいずれかを実行します。
Oracle Identity Manager管理の左ペインで、「参照」タブをクリックします。「組織」の下で、詳細を表示する組織を選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」アイコンをクリックします。
詳細を表示する組織の単純検索を実行します。検索結果から組織を選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」アイコンをクリックします。
詳細を表示する組織の拡張検索を実行します。拡張検索結果から組織を選択し、「アクション」メニューから「組織の更新」を選択します。または、ツールバーにある「開く」をクリックします。
図13-7に示すように、「組織の詳細」ページが表示されます。
「組織の詳細」ページでは、管理組織の変更を実行できます。変更は「組織の詳細」ページの複数のセクションで個別に行うため、各セクションで行った変更は他のセクションに影響を与えず、変更内容は個別に保存する必要があります。各セクションで行う変更については、次の各項で説明します。
注意: 組織を更新したり削除するには、組織の作成権限が必要です。 |
図13-7に示すように、「組織の詳細」ページの「属性」タブには、組織の属性が表示されます。認可ポリシーで組織プロファイルの変更権限により組織プロファイルを変更する権限が付与されている場合は、「組織の詳細」ページが編集可能モードで開き、組織情報を変更できます。属性の値を変更し、「保存」をクリックして変更内容を保存します。
ログイン・ユーザーが組織を変更できるかどうかは、認可ポリシーによって制御されます。組織の変更を許可されていない場合、「組織の詳細」ページは読取り専用モードで表示され、編集可能なフィールドはありません。組織管理機能の認可については、「組織管理の認可」を参照してください。
注意: 「組織の詳細」ページの「ステータス」属性は読取り専用です。 |
「階層」タブは読取り専用タブで、選択した組織に所属する子組織のリストが表示されます。リスト内の各子組織に関して、次の情報が表示されます。
組織名
タイプ
ステータス
「階層」タブから子組織の詳細を開くには、組織を選択し、「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックするか、単に組織の名前をクリックします。
子組織を変更するには、変更する子組織の名前をクリックします。選択した組織の「組織の詳細」ページが表示され、このページを使用してその組織の詳細を変更できます。
「メンバー」タブは読取り専用タブで、選択した組織のユーザーのリストが表示されます。リスト内の各ユーザーに関して、次の情報が表示されます。
ユーザー名
名
姓
マネージャ名
「メンバー」タブからユーザーの詳細を開くには、ユーザーを選択し、「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックするか、単にユーザーの名前をクリックします。
「リソース」タブには、選択した組織に対して許可されたリソースが表示されます。リストから1つまたは複数のリソースを選択して、次のことを実行できます。
組織にリソースをプロビジョニングする手順は、次のとおりです。
「アクション」メニューから「プロビジョニング」を選択します。または、ツールバーにある「プロビジョニング」をクリックします。これによって、ウィザードの「ステップ1: リソースの選択」が起動します。
プロビジョニングするリソースを選択します。リソースを選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページに、組織に追加する対象として選択したリソースが表示されます。情報を検証し、「続行」をクリックします。選択したリソースの組織へのプロビジョニングが開始されます。
組織にリソースをプロビジョニング・ウィザードを閉じます。リソースが「階層」タブに追加されます。
ヒント: プロビジョニングされたリソースが「階層」タブに表示されない場合は、ツールバーにある「リフレッシュ」をクリックします。 |
リソースを失効する手順は、次のとおりです。
削除するリソースを選択します。
「アクション」リストから「失効」を選択します。または、ツールバーにある「失効」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックして処理を確認します。
注意:
|
「有効」状態の組織を無効化する手順は、次のとおりです。
「組織の詳細」ページで、ページの上部にある「組織の無効化」をクリックします。確認を求めるメッセージが表示されます。または、組織の単純検索結果から組織を選択し、「アクション」メニューから「無効化」を選択します。
「OK」をクリックして処理を確認します。組織が正常に無効化されたことを示すメッセージが表示されます。
「OK」をクリックします。
「無効」状態の組織を有効化する手順は、次のとおりです。
「組織の詳細」ページで、ページの上部にある「組織の有効化」をクリックします。または、組織の単純検索結果から組織を選択し、「アクション」メニューから「有効化」を選択します。確認を求めるメッセージが表示されます。
「OK」をクリックして処理を確認します。組織が正常に有効化されたことを示すメッセージが表示されます。
「OK」をクリックします。
注意: 組織を有効化できるのは、その組織に対する書込み権限がある場合のみです。 |
「組織の詳細」ページでは、選択した組織を管理できる管理ロールおよび関連付けられた権限のリストを表示および定義できます。組織に管理ロールを割り当てるには、組織を作成するための適切な権限が必要です。組織を作成する権限を割り当てる手順は、次のとおりです。
組織に対する管理権限を割り当てるロールの「ロールの詳細」ページで、「データ・オブジェクトの権限」をクリックします。「ロールの詳細 >> 権限」ページが表示されます。
「割当て」をクリックします。「割当て権限」ページに、選択してロールに割当て可能な権限の名前のリストが表示されます。
組織権限に対して、「挿入の許可」オプションを選択します。これによって、組織の作成権限がorgadminロールに付与されます。次に、組織権限の右側にある「割当て」オプションを選択します。
「割当て」をクリックします。確認を求めるメッセージが表示されます。
「割当ての確認」をクリックします。権限がロールに割り当てられます。
組織に管理ロールを割り当てる手順は、次のとおりです。
注意: 挿入権限は、書込み権限および削除権限の前提条件です。挿入権限を拡張して、新規組織を作成できます。書込み権限によって、組織を更新、有効化および無効化できます。削除権限によって、組織を削除できます。 |
次のいずれかを選択して、「管理ロール」ページを開きます。
組織の単純検索結果から組織を選択します。「アクション」メニューから「管理ロール」を選択します。
左ペインの「参照」タブで、組織を選択します。「アクション」メニューから「管理ロール」を選択します。
「組織の詳細」ページで、「管理ロール」をクリックします。
「管理ロール」ページで、「ロール名によるフィルタ」に検索基準を入力して、組織を管理できる管理ロールを検索します。次に、「検索」をクリックします。ロールおよび関連付けられた権限のリストが表示されます。
組織からロールを割当て解除するには、管理ロールの右側にある「割当て解除」オプションを選択し、「割当て解除」をクリックします。
組織に管理ロールを割り当てる手順は、次のとおりです。
「割当て」をクリックします。「割当て」ページに、使用可能なロールのリストが表示されます。
「ロール名によるフィルタ」ボックスに検索基準を入力して「検索」をクリックすると、ロール名でフィルタ処理できます。
「読取り」オプションは、すべてのロールでデフォルトで選択されていることに注意してください。
管理ロールの「書込み」、「削除」および「割当て」オプションを選択し、それぞれ書込み、削除および割当て管理権限を付与します。
「割当て」をクリックします。
管理ロールの権限を更新する手順は、次のとおりです。
「権限の更新」をクリックします。「更新」ページに、権限を変更可能な管理ロールのリストが表示されます。
「ロール名によるフィルタ」ボックスに検索基準を入力して「検索」をクリックすると、ロール名でフィルタ処理できます。
「読取り」オプションは、すべてのロールでデフォルトで選択されていることに注意してください。
管理ロールの「書込み」および「削除」オプションを選択または選択を解除して、それぞれ書込みおよび削除権限を変更します。
「更新」をクリックします。
終了後、「管理ロール」ページを閉じます。図13-8に、「管理ロール」ページを示します。
「許可されたリソース」ページでは、選択した組織のユーザーに許可されたリソースのリストを割り当てたり、許可されたリソースを更新できます。
選択した組織のユーザーに許可されたリソースを割り当てる手順は、次のとおりです。
左ペインの「参照」タブで、組織を選択します。「アクション」メニューから「開く」を選択します。
「組織の詳細」ページで、「許可されたリソース」をクリックします。
「許可されたリソース」ページで、リソースを選択して「割当て」をクリックします。
選択した組織に許可されているリソースを更新する手順は、次のとおりです。
左ペインの「参照」タブで、組織を選択します。「アクション」メニューから「開く」を選択します。
「組織の詳細」ページで、「許可されたリソース」をクリックします。
「許可されたリソース」ページで、リソースを選択して「更新」をクリックします。
図13-9に、許可されたリソースの割当てページを示します。
注意:
|
組織の拡張検索結果から、削除する組織を選択します。
「アクション」メニューから「削除」を選択します。確認を求めるメッセージが表示されます。または、組織の単純検索結果で、「アクション」メニューから「削除」を選択します。それ以外に、「参照」タブで「アクション」メニューから「削除」するか、「組織の詳細」ページで「組織の削除」をクリックします。
「OK」をクリックして処理を確認します。組織が正常に削除されたことを示すメッセージが表示されます。
「OK」をクリックします。
組織管理機能の認可は、組織管理ロールに基づきます。組織を管理するには、ロールに次の権限セットが必要です。
ロールには、組織エンティティに対する次のデータ・オブジェクト権限が必要です。
挿入 - このロールを持つユーザーは、新規組織を作成して管理できます。
有効化/無効化/更新
これらの権限は、特定の組織に固有ではありません。
ロールが組織の管理ロールとして割り当てられている場合は、次の権限が必要です。
読取りおよび表示権限(管理ロールであるため暗黙的に必要)
書込み
削除
これらの権限は組織ごとに構成します。
Oracle Identity ManagerセルフサービスからOracle Identity Manager管理にアクセスする権限は、メニュー項目権限によって管理されます。ユーザーにOracle Identity Manager管理へのアクセス権がある場合、そのユーザーはユーザー、ロールおよび組織を参照できます。
ユーザーおよびロール・エンティティに対する編集、表示および削除アクション用の第2レベル・メニューは、ユーザーおよびロールに対する作成、更新、削除など対応するOESポリシーから導出されます。
同様に、組織を編集、表示および削除するための第2レベル・メニューは、orgadminロール、および組織エンティティ・タイプに対するデータ・オブジェクト権限から導出されます。
Oracle Identity Manager 11g リリース1 (11.1.1)では、Oracle Entitlements Server (OES)の認可ポリシーを使用して委任管理権限が管理されます。ユーザー管理のOESポリシーを使用すると、次の内容を制御できます。
ユーザーを作成または変更できる組織
複数の組織(階層の有無に関係なく)のユーザーを変更できるデータ制約を指定可能
さらに、これらの機能によって委任管理モデルが提供されます。
組織の委任管理者を構成する手順は、次のとおりです。
カスタム認可ポリシーを定義して、ユーザーを管理し、組織制約を設定します。組織制約は階層対応が可能です。カスタム認可ポリシーの作成およびデータ制約の設定については、「カスタム認可ポリシーの作成」を参照してください。
カスタム・ポリシーで指定したロールにユーザーを追加します。ロールへのユーザーの追加については、「ロールの追加と削除」を参照してください。
ロールを組織管理者として設定するには、最初にロールを作成します。「ロールの作成」を参照してください。
orgadminロールを作成すると、このロールの「ロールの詳細」ページが表示されます。
このorgadminロールに、組織タイプに対するデータ・オブジェクト権限を割り当てます。このデータ・オブジェクト権限を使用して、このロールを持つユーザーは新規組織を作成して管理できます。ロールへの組織の作成権限の割当てについては、「管理ロールの管理」を参照してください。
組織を選択し、その組織の管理ロールとしてorgadminロールを割り当てます。このステップによって、ユーザーは選択した組織を管理できるようになります。管理権限には、更新、有効化、無効化および削除が含まれます。組織への管理ロールの割当てについては、「管理ロールの管理」を参照してください。