管理者はロールを使用して、アクセス権、ロール、権限などの共通機能にアクセスできるユーザーの集合のレコードを作成および管理します。
ロールは、組織に依存しないロール、複数の組織にわたるロール、または1つの組織のユーザーのみが含まれたロールのいずれかです。
ロールを使用すると、次の操作が可能です。
ユーザーがOracle Identity Manager管理のWebインタフェースを使用してアクセスできるメニュー項目を表示します。
ロールにユーザーを割り当てます。
親ロールにロールを割り当てます。
プロセス・タスクに対して定義済レスポンスを指定できるようにするためのステータスをユーザーに指定します。
データ・オブジェクトの権限を変更します。
ロールのプロビジョニング・ポリシーを指定します。これらのポリシーは、ロールのメンバーに対して、あるリソース・オブジェクトをプロビジョニングするか、リクエストによりプロビジョニングするかを決定します。
ロールに対して、メンバーシップ・ルールを追加または削除します。これらのルールは、ロールに対して、どのユーザーを直接メンバーシップとして割り当てたり削除できるかを決定します。
ロールを介してユーザーをアクセス・ポリシーにマップして、ユーザーへのターゲット・システムのプロビジョニングを自動化します。詳細は、第16章「アクセス・ポリシーの管理」を参照してください。
この章では、ロールおよびロールに関連する機能について次の各項で説明します。
メンバーシップの継承とは、継承元ロールから継承先ロールにメンバーを継承することを意味します。次に例を示します。
注意: 親ロールからメンバーシップを継承する子ロールを継承先ロールと呼びます。継承先ロールがメンバーシップを継承する親ロールを継承元ロールと呼びます。 |
ロールBはロールAからメンバーシップを継承します。ロールBはロールAの親ロールです。
ロールCもロールAからメンバーシップを継承します。ロールCもロールAの親ロールです。
この例の場合、ロールAの全メンバーはロールBおよびロールCの暗黙的、つまり間接的なメンバーでもありますが、ロールBのメンバーはロールAのメンバーに自動的にはなりません。つまり、ロールBおよびロールCはロールAの親です。同様に、ロールAはロールBおよびロールCの子です。実際の例では、従業員ロール(ロールB)はマネージャ・ロール(ロールA)からメンバーシップを継承します。
ロール・メンバーシップの継承について、次のシナリオを使用して説明します。
CEOロールは、マネージャ・ロールの親ロールです。
マネージャ・ロールは従業員ロールの親ロールです。
ソフトウェア・アーキテクト・ロールはソフトウェア・エンジニア・ロールの親ロールです。
ソフトウェア・エンジニア・ロールは従業員ロールの親ロールです。
従業員ロールには、マネージャ・ロールとソフトウェア・エンジニア・ロールの2つの親ロールがあります。
図12-1に、この例に示す親ロールと子ロール、およびメンバーシップの継承を示します。
親ロールの各ユーザーは、そのすべての子ロールのメンバーに自動的になります。ユーザーは、その子ロール自体を親にして、さらに子ロールを追加できます。このように、必要な子ロールを追加していきます。たとえば、CEOはマネージャであり、マネージャ・ロールのメンバーに自動的になります。同様に、マネージャは自動的に従業員になります。このように、親ロールに追加されたメンバーは、その子ロールを継承します。したがって、従業員ロールの直接メンバーシップは存在せず、メンバーシップの継承関係から考えると、従業員ロールは他のすべてのロールよりメンバーが多くなります。
権限の継承とは、継承元ロールから継承先ロールに権限を継承することを意味します。次に例を示します。
ロールBはロールAから権限を継承します。
ロールCもロールAから権限を継承します。
この例では、ロールBおよびロールCはロールAの子です。同様に、ロールAはロールBおよびロールCの親です。
実際の例では、マネージャ・ロールは従業員ロールから権限を継承します。
管理およびユーザー・コンソールでは、「階層」タブの次の各セクションにロール権限の継承が表示されます。
継承元: 開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。
継承先: 開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。「ロールを開く」アクションを使用して、基本ロールからの関係を変更できます。
たとえば、role1、role2およびrole3の3つのロールを作成するとします。role3を開き、role2を親ロールとして割り当てます。同様に、role2を開き、role1を親ロールとして割り当てます。role3を開くと、「継承元」セクションにはrole2親ロールが表示され、role1がrole2の下に表示されます。role1を開くと、「継承先」セクションにはrole2子ロールが表示され、role3がrole2の下に表示されます。
ユーザーは、次のいずれかの方法でロールのメンバーになることができます。
親ロールからメンバーが継承されます(間接メンバーシップと呼ばれます)。
ユーザーがロールに直接割り当てられます(直接メンバーシップと呼ばれます)。
「ロールの詳細」ページで「XL.RM_REQUEST_ENABLED」および「XL.RM_ROLE_ASSIGN_TEMPLATE」システム・プロパティを設定し、リクエストを使用してユーザーを直接割り当てます(これも直接メンバーシップと呼ばれます)。システム・プロパティについては、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。
間接メンバーを直接メンバーとして割り当てることができます。ユーザーの直接メンバーシップが削除されても、継承によってユーザーは依然としてロールのメンバーであるため、そのロールのすべてのメンバーシップは変更ありません。
図12-1に示すように、従業員の権限はマネージャの権限に含まれます。同様に、マネージャの権限はCEOの権限に含まれます。このように、権限は上位の方向に継承されます。さらに、親ロールは複数の子ロールから権限を継承します。たとえば、CEOはマネージャ・ロールとソフトウェア・アーキテクト・ロールの権限を継承します。したがって、メンバーシップの継承と権限の継承は反対の方向に進められます。
Oracle Identity Managerでは、ロール・エンティティに対して属性が定義されます。これらの属性は、すべてのエンティティ(ユーザー、組織、ロール、ロール階層、ロール・メンバーシップなど)で同じです。エンティティに対して定義される属性のリストは、「ユーザー・エンティティ定義」を参照してください。
注意: ロール・エンティティには独自の属性を追加できません。 |
この項では、次のエンティティのデフォルト属性定義について説明します。
Role.xmlファイルには、ロール・エンティティの属性定義が格納されています。ロール・エンティティには独自の属性を追加できます。
表12-1に、ロール・エンティティのデフォルト属性を示します。
表12-1 ロール・エンティティのデフォルト属性
属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
---|---|---|---|---|---|
キー |
基本 |
単一 |
数値 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール一意名 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ |
該当なし |
ロール表示名 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール・ネームスペース |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール名 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロールの説明 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
LDAP GUID |
LDAP |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
LDAP DN |
LDAP |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール・カテゴリ・キー |
基本 |
単一 |
ロール・カテゴリへの参照 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい |
該当なし |
ロール所有者キー |
基本 |
単一 |
ロール所有者への参照 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい |
該当なし |
ロールの電子メール |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
RoleCategory.xmlファイルには、ロール・カテゴリ・エンティティの属性定義が格納されています。ロール・カテゴリ・エンティティには独自の属性を追加できません。
表12-2に、ロール・カテゴリ・エンティティのデフォルト属性を示します。
表12-2 ロール・カテゴリ・エンティティのデフォルト属性
属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
---|---|---|---|---|---|
ロール・カテゴリ・キー |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール・カテゴリ名 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
ロール・カテゴリの説明 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
RoleRoleRelationship.xmlファイルには、ロール付与関係の属性定義が格納されています。ロール付与関係には独自の属性を追加できません。
表12-3に、ロール付与関係のデフォルト属性を示します。
RoleUserMembership.xmlファイルには、ロール親関係の属性定義が格納されています。ロール親関係には独自の属性を追加できません。
表12-4に、ロール親関係のデフォルト属性を示します。
表12-4 ロール親関係のデフォルト属性
属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
---|---|---|---|---|---|
UGP_KEY |
基本 |
単一 |
ロールへの参照 |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
GPG_UGP_KEY |
基本 |
単一 |
ロールへの参照 |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
注意: UGP_KEYは親ロールへの参照です。GPG_UGP_KEYは子ロールへの参照です。 |
表12-5に、Oracle Identity Managerのデフォルト・ロールを示します。
表12-5 Oracle Identity Managerのデフォルト・ロール
ロール | 説明 |
---|---|
ユーザー構成管理者 |
このロールのメンバーは、ユーザー管理のエンティティ属性を作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
システム構成管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、システム構成に関連する各種タスク(システム・プロパティ、スケジュール済ジョブ、通知テンプレートなど)を実行できるUIにアクセスできます。 |
システム管理者 |
このロールのメンバーは、Oracle Identity Managerでレコード(システム・レコード以外)を作成、編集および削除できる完全な権限を持っています。このグループのユーザーは、他のユーザーの権限を制御したり、割り当てられないタスクについてもプロセス・タスクのステータスを変更して、最も高いレベルからシステムを管理できます。 |
ユーザー名管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。 |
SPML_App_Role |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、SPMLインタフェースを介してリクエストを送信するためのアクセス権があります。 |
SOD管理者 |
このロールのメンバーは、SoDチェック・タスクを要求して承認できます。デフォルトの承認タスクがこのロールに割り当てられます。 |
セルフ・オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。これにはXELSELFREGという1人のユーザーが含まれ、Oracle Identity Manager内で他のユーザーが自己登録アクションを実行するときに必要な権限の変更を担当します。 注意: Oracle Identity Managerでは、セルフ・オペレータ・ユーザー・ロールに関連付けられている権限を変更しないことをお薦めします。さらに、他のユーザーをこのロールに割り当てることはできません。 |
スケジューラ管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールを持つユーザーは、すべてのスケジューラ・ジョブ管理を実行できます。 |
ロール管理者 |
このロールのメンバーは、Oracle Identity Managerでロールを管理できるUIにアクセスできます。 |
リソース管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、リソースを管理するための各種タスクを実行できるUIにアクセスできます。 |
リクエスト・テンプレート管理者 |
このロールを持つユーザーは、すべてのリクエスト・テンプレート管理を実行できます。 |
リクエスト管理者 |
このロールのメンバーは、リソースを作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
レポート管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、BI Publisherでレポートを管理するための各種タスクを実行できるUIにアクセスできます。 |
リコンシリエーション管理者 |
このロールを持つユーザーは、リコンシリエーション管理を実行できます。 |
プラグイン管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、Oracle Identity Managerに対してプラグインを登録および登録解除する権限を持ちます。 |
オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、組織、ユーザーおよびタスク・リストに関連するページにアクセスできます。このロールのユーザーは、これらのページの一部の機能を実行できます。 |
通知テンプレート管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、通知テンプレートを作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
ITリソース管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、ITリソースを作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
アイデンティティ・ユーザー管理者 |
このロールのメンバーは、Oracle Identity Managerでユーザーを作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
アイデンティティ組織管理者 |
このロールのメンバーは、Oracle Identity Managerで組織を作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
汎用コネクタ管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、汎用コネクタを構成するための各種タスクを実行できるUIにアクセスできます。 |
デプロイメント・マネージャ管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、Oracle Identity Managerデプロイメント間でデプロイメント構成をインポートおよびエクスポートできるデプロイメント・マネージャにアクセスできます。 |
管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。これは、SOA用の管理者ロールです。 |
アテステーション・イベント管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、アテステーション・イベントを管理するための各種タスクを実行できるUIにアクセスできます。 |
アテステーション構成管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、アテステーションを構成するための各種タスクを実行できるUIにアクセスできます。 |
承認ポリシー管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、承認ポリシーを作成および管理するための各種タスクを実行できるUIにアクセスできます。 |
すべてのユーザー |
このロールのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーはすべてのユーザー・ロールに所属します。 |
アクセス・ポリシー管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、アクセス・ポリシーを管理するための各種タスクを実行できるUIにアクセスできます。 |
デフォルト・ロールに関連付けられた権限は変更できます。追加のロールを作成することもできます。ただし、すべてのロールに対して、メニュー項目を割り当てたり削除することはできません。
このセクションのトピックは次のとおりです:
注意:
|
新規のロールを初めて作成する場合は、「ロールの詳細」ページにロール名が表示されます。「ロールの管理」の説明に従い、「追加詳細」メニューを使用してロールに情報を追加できます。
ロールを作成するには、次のようにします。
Oracle Identity Administrationにログインします。
「ようこそ」ページで、「ロール」の下にある「新規ロールの作成」をクリックします。
または、左ペインの「参照」タブで「ロール」を展開し、「アクション」メニューから「ロールの作成」を選択します。あるいは、ツールバーにある「ロールの作成」アイコンをクリックします。
ロールの作成ページが表示されます。
フィールドに値を入力します。表12-6に、「ロールの作成」ページのフィールドを示します。
表12-6 「ロールの作成」ページのフィールド
フィールド | 説明 |
---|---|
ロール名 |
ロールの名前 |
表示名 |
UIに表示されるロール名 |
電子メール |
ロールの電子メールID |
説明 |
ロールの説明 |
ロール・カテゴリ |
ロールが属しているカテゴリ このフィールドにロール・カテゴリが指定されていない場合、ロールは「デフォルト」カテゴリに作成されます。ロール・カテゴリについては、「ロール・カテゴリの作成と管理」を参照してください。 |
所有者 |
ロールの所有者 ロールの所有者とは、カスタム認可ポリシーを作成せずに、ロールを表示、変更および削除できる権限を持つユーザーです。ロール管理の認可ポリシーについては、「ロールに対する認可の管理」を参照してください。 |
「ローカライゼーションの管理」には、多言語フィールドとして複数の「表示名」フィールドが表示されることに注意してください。これは、属性値を複数の言語で入力して保存できることを意味します。
「保存」をクリックします。ロールが正常に作成され、ロール名、ロール・ネームスペース、LDAP属性(LDAP GUID、LDAP DNなど)が新しいページに表示されます。
ロールの検索、ロールへの情報の追加、およびロールに対するその他の管理機能を実行できます。
このセクションのトピックは次のとおりです:
Oracle Identity Managerに存在するロールは、「ロール」タブで参照できます。ロールを参照する手順は、次のとおりです。
Oracle Identity Administrationの左ペインで、「参照」タブをクリックします。
「OIMロール」を展開します。ロール・カテゴリが表示されます。ロール・カテゴリの詳細は、「ロール・カテゴリの作成と管理」を参照してください。
「参照」タブで、ロールおよびロール・カテゴリに関連する各種タスクを実行できます。詳細は、「ロールの表示と管理」を参照してください。
Oracle Identity Management管理を使用して、ロールに対して次のタイプの検索操作を実行できます。
Oracle Identity Administrationの左ペインで、「検索」の下にある「ロール」を選択します。
リストの横にあるフィールドに検索基準を指定します。検索基準にはワイルドカード文字(*)を使用できます。パフォーマンス上の理由から、先頭(接頭辞)のワイルドカードは削除されます。ただし、末尾(接頭辞)のワイルドカードはすべての検索に追加されます。
注意: Oracle Identity Management管理で許容されているワイルドカード検索文字は「*」のみです。 |
フィールドの右側にある「検索」アイコンをクリックします。検索基準に一致するロールのリストが「検索結果」タブに表示されます。
「検索結果」タブで、ロールを編集したり削除できます。詳細は、「ロールの表示と管理」および「ロールの削除」を参照してください。
「ようこそ」ページで、「ロール」の下にある「拡張検索 - ロール」をクリックします。
または、左ペインのロールの「参照」タブで、ツールバーにある「拡張検索: ロール」アイコンをクリックします。
「拡張検索: ロール」ページが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「名前」フィールドに、検索するロール名を入力します。検索基準にはワイルドカード文字を使用できます。「名前」フィールドの横にあるリストから検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。かわりに、プルダウン・リストからコンパレータ「次と等しい」を選択することもできます。
同様に、その他のすべてのフィールドに検索基準を入力します。「拡張検索: ロール」ページにフィールドを追加できます。これを行うには、「フィールドの追加」をクリックし、リストからフィールド名を選択します。
「検索」をクリックします。検索基準に一致するロールが検索結果表に表示されます。
注意: 値を指定せずに「検索」をクリックすると、すべてのロールが返されます。 |
検索結果に追加の列を表示するには、「表示」をクリックして「列」を選択します。
検索結果の列を並べ替えるには、「表示」をクリックし、列の並替えをクリックします。
「拡張検索: ロール」ページの検索結果から、新規ロールの作成、ロールの編集、およびロールの削除を実行できます。詳細は、「ロールの作成」、「ロールの表示と管理」および「ロールの削除」を参照してください。
「ロールの検索」の説明に従ってロールを検索します。または、左ペインにあるロールの「参照」タブをクリックします。
削除するロールを選択します。
「アクション」リストから「削除」を選択します。
または、ツールバーにある削除アイコンをクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックして処理を確認します。
注意: 他のロールの親または子であるロールは削除できません。このようなロールを削除するには、最初に、関連付けられている親子ロール関係を削除する必要があります。ロールがすべてのロール関係に含まれなくなると、そのロールを削除できます。 |
ロールの詳細を開き、ロールの属性を編集したり、ロールの継承やメンバーシップを変更できます。ロールの詳細を開いて変更するには、次のいずれかを実行します。
ロールの参照ツリーで、開くロールを選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「ロールまたはカテゴリの詳細を開く」アイコンをクリックします。
左ペインの「検索結果」タブで、開くロールを選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「ロールの詳細を開く」アイコンをクリックします。
「拡張検索: ロール」ページで、開くロールを選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「ロールを開く」をクリックします。
ページにロールの詳細が表示されます。ページの上部にロールの表示名が表示されます。このページの次のタブで、ロールの詳細を表示し、ロール情報を変更できます。
「属性」タブでは、次のセクションにロールの属性が表示されます。
基本ロール情報: このセクションには、ロール名、ロール・ネームスペース、表示名、電子メール、説明などのロールの基本属性が表示されます。
その他の情報: このセクションには、ロールが属しているカテゴリおよびロールの所有者に関する情報が表示されます。
カスタム属性: このセクションには、ユーザー定義フィールド(UDF)に関する情報が表示されます。
LDAP属性: このセクションには、LDAP GUIDおよびLDAP DNに関する情報が表示されます(Oracle Identity ManagerがLDAPと統合されている場合)。これらの属性は読取り専用です。
「属性」タブのフィールドは、「ロールの作成」ページで使用可能なフィールドと同じです。「属性」タブのすべてのフィールドについては、「表12-6 「ロールの作成」ページのフィールド」を参照してください。
「階層」タブでは、次のセクションにロール階層情報が表示されます。
継承元: このセクションには、開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。
継承先: このセクションには、開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。「ロールを開く」アクションを使用して、基本ロールからの関係を変更できます。
「階層」タブでは、次の操作を実行できます。
子ロールに親ロールを追加する手順は、次のとおりです。
ロールを開きます。
「階層」タブをクリックします。
「継承元」セクションがアクティブであることを確認します。
「アクション」メニューから「親ロールの追加」を選択します。または、ツールバーにある「親ロールの追加」をクリックします。「継承されたロールの追加先」ダイアログ・ボックスが表示されます。
「ロールの検索」リストから、検索するロールのロール・カテゴリを選択します。
検索フィールドに検索基準を指定します。検索基準にはワイルドカード文字(*)を使用できます。次に、「検索」アイコンをクリックします。検索基準に一致するロールのリスト、および選択したロール・カテゴリが「使用可能なロール」リストに表示されます。
注意: Oracle Identity Management管理で許容されているワイルドカード検索文字は「*」のみです。 |
「使用可能なロール」リストから、親ロールとして追加するロールを1つ以上選択します。次に、「移動」または「すべて移動」をクリックして、選択したロールを「追加するロール」リストに移動します。
「保存」をクリックします。開いているロールに選択したロールが親ロールとして追加され、ロール階層が「階層」タブの「継承元」セクションに表示されます。
追加された継承元ロールを選択します。選択したロールのサマリー情報が表の下に表示されます。
ロールから親ロールを削除する手順は、次のとおりです。
「階層」タブの「継承元」セクションで、削除するロールを選択します。
「アクション」メニューから「親ロールの削除」を選択します。または、ツールバーにある「親ロールの削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックします。「階層」タブの「継承元」セクションから、継承元ロールが削除されます。
「階層」タブの「継承元」セクションから親ロールを、「継承先」セクションから子ロールを開くことができます。
また、現在開いているロールの親ロールおよび子ロールにリンクしているロール(祖父母ロールおよび孫ロールと同様)も、それぞれ「階層」タブの「継承元」セクションおよび「継承先」セクションにある「ロールを開く」リンクを使用して開くことができます。
親ロールを開く手順は、次のとおりです。
「階層」タブの「継承元」セクションで、開くロールを選択します。
「アクション」メニューから「開く」(「ロールの詳細を開く」)を選択します。または、ツールバーにある「開く」(「ロールの詳細を開く」)をクリックします。ページに継承元ロールに関する詳細が表示されます。このページで、ロールの属性の表示と編集、ロールの継承とメンバーシップの変更、メンバーシップ・ルール、アクセス・ポリシーおよび権限の割当てと削除、権限の更新、割り当てられたメニュー項目の表示を行うことができます。
子ロールを開く手順は、次のとおりです。
「階層」タブの「継承元」または「継承先」セクションで、開くロールを選択します。
「アクション」メニューから「開く」(「ロールの詳細を開く」)を選択します。または、ツールバーにある「開く」(「ロールの詳細を開く」)をクリックします。ページに継承元ロールに関する詳細が表示されます。
「メンバー」タブには、開いているロールに割り当てられたメンバーが表示されます。この情報は、次の各セクションに表示されます。
すべてのメンバー: このセクションには、開いているロールに割り当てられたすべてのメンバー(直接メンバーおよび間接メンバー)が表示されます。
直接メンバー: このセクションには、開いているロールに直接割り当てられたメンバーが表示されます。また、メンバーシップ・ルールを介して割り当てられたすべてのメンバーも表示されます。
間接メンバー: このセクションには、ロールによって間接的に継承されたメンバーが表示されます。
「メンバー」タブでは、次の操作を実行できます。
ロールにメンバーを割り当てる手順は、次のとおりです。
「メンバー」タブのいずれかのセクションで、「アクション」メニューから「割当て」(「ユーザーの割当て」)を選択します。または、ツールバーにある「ユーザーの割当て先」をクリックします。「ユーザーの割当て先」ダイアログ・ボックスが表示されます。
「ユーザーの検索」フィールドに検索基準を指定し、「検索」アイコンをクリックして、ユーザーを検索します。検索基準に一致するユーザーのリストが「使用可能」リストに表示されます。
注意: 間接メンバーを直接メンバーとして割り当てることができます。 |
開いているロールに割り当てるユーザーを1人以上選択します。次に、「移動」または「すべて移動」をクリックして、選択したユーザーを「選択済」リストに移動します。
「保存」をクリックします。「XL.RM_REQUEST_ENABLED」および「XL.RM_ROLE_ASSIGN_TEMPLATE」システム・プロパティが設定されている場合は、「保存」をクリックした後に、確認メッセージとリクエストIDが「ロールの詳細」ページに表示されます。そうでない場合は、確認メッセージのみが表示されます。
リクエストが作成されている場合は、そのリクエストが承認された後にのみ、ユーザーがメンバーとして「直接メンバー」セクションに表示されます。そうでない場合、ユーザーはメンバーとして「直接メンバー」セクションに即時に表示されます。また、ユーザーが「すべてのメンバー」セクションにも表示されることに注意してください。
ヒント:
|
ロールからメンバーを失効する手順は、次のとおりです。
「メンバー」タブのいずれかのセクションで、失効するメンバーを選択します。
「アクション」メニューから「失効」(「メンバーの失効」)を選択します。または、ツールバーにある「メンバーの失効元」をクリックします。「ユーザーの失効元」ダイアログ・ボックスが表示されます。
「ユーザーの検索」フィールドに検索基準を指定し、「検索」アイコンをクリックして、メンバーを検索します。検索基準に一致するメンバーのリストが「使用可能」リストに表示されます。
注意: 失効できるのは、メンバーシップ・ルールを介して割り当てられたメンバーを除く直接メンバーのみです。 |
開いているロールから失効するメンバーを1人以上選択します。次に、「移動」または「すべて移動」をクリックして、選択したメンバーを「選択済」リストに移動します。
「保存」をクリックします。「ロールの詳細」ページに確認メッセージが表示されます。
失効したメンバーは、「メンバー」タブのメンバー・リストから削除されます。
開いているロールのメンバー・ユーザーの詳細を開く手順は、次のとおりです。
「メンバー」タブのいずれかのセクションで、詳細を開くメンバーを選択します。
「アクション」メニューから「開く」(「メンバーの詳細を開く」)を選択します。または、ツールバーにある「ユーザーを開く」をクリックします。メンバーの「ユーザーの詳細」ページが表示され、メンバーの詳細を表示および変更できます。
ロールに許可されているすべてのメニュー項目を表示できます。11g リリース1 (11.1.1)では、新しいメニュー項目を任意のロールに割り当てることはできません。Oracle Identity Managerでは、デフォルトで、メニュー項目はいくつかのデフォルト・ロールにすでに割り当てられています。
注意: 既存のメニュー項目は失効できません。 |
ロールに対するメニュー項目を表示する手順は、次のとおりです。
左ペインにあるロールの参照ツリーで、許可されているメニュー項目を表示するロールを選択します。
「アクション」メニューから「メニュー項目」を選択します。「ロールの詳細 >> メニュー項目」ページに、選択したロールに許可されているメニュー項目のリストが表示されます。
このロールで使用できるすべてのアクセス・ポリシーを表示したり、ロールに対してアクセス・ポリシーを割り当てたり失効することができます。
ロールにアクセス・ポリシーを割り当てる手順は、次のとおりです。
左ペインにあるロールの参照ツリーで、アクセス・ポリシーを割り当てるロールを選択します。
「アクション」メニューまたは「ロールの詳細」ページから「アクセス・ポリシー」を選択します。「アクセス・ポリシー」ページが表示されます。
新しいアクセス・ポリシーを割り当てるには、「ポリシーの割当て」をクリックします。「アクセス・ポリシーの割当て」ページが表示されます。
このページには、ポリシー名とポリシーの簡単な説明が表示されます。
このロールに割り当てるアクセス・ポリシーの「割当て」オプションを選択し、「割当て」をクリックします。「確認」ページが表示されます。
アクセス・ポリシーを割り当てるには、「割当ての確認」をクリックします。「アクセス・ポリシー」ページが表示されます。
このアクセス・ポリシーを削除するには、このロールから削除するアクセス・ポリシーの「削除」オプションを選択し、「削除」をクリックします。確認ページで「削除の確認」をクリックすると、このロールからアクセス・ポリシーが削除されます。
このロールで使用できるすべてのメンバーシップ・ルールの表示、ロールに対する新しいメンバーシップ・ルールの割当て、およびメンバーシップ・ルールの削除を行うことができます。
メンバーシップ・ルールに関連する操作を行うには、次の手順を実行します。
ロールの参照ツリーで、メンバーシップ・ルールを割り当てるか、または失効するロールを選択します。
「アクション」メニューから「メンバーシップ・ルール」を選択します。「メンバーシップ・ルール」ページが表示されます。
新しいメンバーシップ・ルールを割り当てるには、「ルールの割当て」をクリックします。「メンバーシップ・ルールの割当て」ページが表示されます。このページには、メンバーシップ・ルールの名前が表示されます。
このロールに割り当てるメンバーシップ・ルールの「割当て」オプションを選択し、「割当て」をクリックします。「確認」ページが表示されます。
メンバーシップ・ルールを割り当てるには、「割当ての確認」をクリックします。これを行わない場合は、「取消」をクリックします。「メンバーシップ・ルール」ページが表示されます。
このメンバーシップ・ルールを失効するには、このロールから削除するメンバーシップ・ルールの「削除」オプションを選択し、「削除」をクリックします。確認ページで「削除の確認」をクリックすると、このロールからルールが削除されます。
Oracle Identity Managerにおける権限は、そのほとんどがデータ・オブジェクトに関するものです。データ・オブジェクトは、Oracle Identity Managerデータ・モデルにおける表の内部オブジェクト表現として定義できます。このモデルではビジネス・ロジックが実行され、データ・ストアにおけるデータの挿入、更新、および削除が行われます。これらのアクションに対する権限は、ロール・レベルで定義されます。表またはデータ・オブジェクトに応じて、これらの権限は次のように分類できます。
明示的な挿入、更新または削除権限が必要とされるデータ・オブジェクトとは、そのエンティティを作成、変更および削除するためにOracle Identity Manager管理およびユーザー・コンソールの「ロールの詳細」ページの「権限」を使用して挿入、更新または削除権限を指定する必要があるデータ・オブジェクトです。
たとえば、あるユーザーが複数のロールに属し、データ・オブジェクトがこれらすべてのロールに割り当てられている例を考えてみます。このデータ・オブジェクト・タイプのエンティティを削除するとします。これを行うには、すべてのロールにデータ・オブジェクトに対する更新権限が付与されていることを確認する必要があります。
あるユーザーがリクエスト・テンプレート管理者ロールとリクエスト管理者ロールに属し、データ・オブジェクトがこれら両方のロールに割り当てられているとします。このデータ・オブジェクト・タイプのエンティティを削除するとします。これを行うには、リクエスト・テンプレート管理者ロールとリクエスト管理者ロールの両方にデータ・オブジェクトに対する更新権限が付与されていることを確認する必要があります。
表12-7に、このカテゴリに含まれるデータ・オブジェクト、およびそのデータ・オブジェクトのエンティティを示します。
表12-7 明示的な挿入/更新/削除権限が必要なデータ・オブジェクト
データ・オブジェクト・タイプ | エンティティ |
---|---|
com.thortech.xl.dataobj.tcACS |
組織.Lnk_Act_Svr |
com.thortech.xl.dataobj.tcADL |
アダプタ・ファクトリ.ロジック/変数設定タスク |
com.thortech.xl.dataobj.tcADM |
アダプタ・ファクトリ.入力/出力パラメータ |
com.thortech.xl.dataobj.tcADP |
アダプタ定義 |
com.thortech.xl.dataobj.tcADS |
アダプタ・ファクトリ・ストアド・プロシージャ・タスク |
com.thortech.xl.dataobj.tcADT |
アダプタ・タスク |
com.thortech.xl.dataobj.tcADU |
アダプタ・ファクトリWebサービス・タスク |
com.thortech.xl.dataobj.tcADV |
アダプタ・ファクトリ.変数 |
com.thortech.xl.dataobj.tcAPA |
アテステーション・プロセス管理者 |
com.thortech.xl.dataobj.tcARS |
アダプタ・ステータス |
com.thortech.xl.dataobj.tcATP |
アダプタ・ファクトリ.パラメータ・タスク表 |
com.thortech.xl.dataobj.tcDAV |
データ・オブジェクト.アダプタ変数 |
com.thortech.xl.dataobj.tcDVT |
データ・オブジェクトに関連付けられたイベント・ハンドラ |
com.thortech.xl.dataobj.tcEMD |
電子メール定義 |
com.thortech.xl.dataobj.tcERR |
エラー・メッセージ定義 |
com.thortech.xl.dataobj.tcEVT |
イベント・ハンドラ |
com.thortech.xl.dataobj.tcGPY |
ロール・プロパティ |
com.thortech.xl.dataobj.tcLKU |
参照定義 |
com.thortech.xl.dataobj.tcLKV |
参照用の参照値 |
com.thortech.xl.dataobj.tcOBA |
リソース・オブジェクト認可者 |
com.thortech.xl.dataobj.tcODF |
オブジェクトからプロセスへのデータ・フロー |
com.thortech.xl.dataobj.tcODV |
リソース・オブジェクト・イベント |
com.thortech.xl.dataobj.tcOOD |
リソース・オブジェクト.組織オブジェクトの依存性 |
com.thortech.xl.dataobj.tcOUD |
リソース・オブジェクト.ユーザー・オブジェクトの依存性 |
com.thortech.xl.dataobj.tcPDF |
プロセス統合.データ・フロー・マッピング |
com.thortech.xl.dataobj.tcPKH |
パッケージ階層 |
com.thortech.xl.dataobj.tcPOC |
アクセス・ポリシー子表データ |
com.thortech.xl.dataobj.tcPOF |
ポリシー親データ |
com.thortech.xl.dataobj.tcPOG |
アクセス・ポリシーに定義されたロール |
com.thortech.xl.dataobj.tcPOL |
アクセス・ポリシー定義 |
com.thortech.xl.dataobj.tcPOP |
アクセス・ポリシーの割当て済オブジェクト |
com.thortech.xl.dataobj.tcPRF |
プロセス・リコンシリエーション・フィールド・マッピング |
com.thortech.xl.dataobj.tcPTY |
システム構成 |
com.thortech.xl.dataobj.tcPWP |
ポリシー・プロセス・ターゲット |
com.thortech.xl.dataobj.tcPWR |
パスワード・ポリシー |
com.thortech.xl.dataobj.tcPWT |
ポリシー・ユーザー・ターゲット |
com.thortech.xl.dataobj.tcRAV |
事前移入アダプタのマッピング |
com.thortech.xl.dataobj.tcRCA |
リコンシリエーションが一致した組織 |
com.thortech.xl.dataobj.tcRCH |
リコンシリエーション・イベントのアクション履歴 |
com.thortech.xl.dataobj.tcRCP |
一致したリコンシリエーション・イベント・プロセス |
com.thortech.xl.dataobj.tcRCU |
一致したリコンシリエーション・イベント・ユーザー |
com.thortech.xl.dataobj.tcRCX |
リコンシリエーション例外 |
com.thortech.xl.dataobj.tcRES |
アダプタ・ファクトリ.リソース |
com.thortech.xl.dataobj.tcRGP |
ロール・メンバーシップ・ルール |
com.thortech.xl.dataobj.tcRML |
タスクの割当てルール |
com.thortech.xl.dataobj.tcRPG |
ロールに関するレポート |
com.thortech.xl.dataobj.tcRUL |
ルール |
com.thortech.xl.dataobj.tcRUE |
ルール要素 |
com.thortech.xl.dataobj.tcSDC |
システム・ユーザー定義フォームのユーザー定義列 |
com.thortech.xl.dataobj.tcSDH |
ユーザー定義フォームの親子階層 |
com.thortech.xl.dataobj.tcSDL |
フォーム定義バージョン・ラベル |
com.thortech.xl.dataobj.tcSDP |
フォーム定義プロパティ |
com.thortech.xl.dataobj.tcSPD |
ITリソース・タイプ・パラメータ定義 |
com.thortech.xl.dataobj.tcSRE |
ユーザー定義列と事前移入アダプタの関連付け |
com.thortech.xl.dataobj.tcSRS |
ITリソース・リンク |
com.thortech.xl.dataobj.tcSUG |
ITリソース.管理者 |
com.thortech.xl.dataobj.tcSVD |
ITリソース・タイプ定義 |
com.thortech.xl.dataobj.tcTDV |
プロセス・イベント・ハンドラ |
com.thortech.xl.dataobj.tcTLG |
システム・ログ |
com.thortech.xl.dataobj.tcTSA |
スケジュール・タスク属性 |
com.thortech.xl.dataobj.tcTSK |
スケジュール済タスク |
com.thortech.xl.dataobj.tcUHD |
ユーザー.オブジェクト.履歴の詳細 |
com.thortech.xl.dataobj.tcUPL |
ユーザー定義フィールド参照 |
com.thortech.xl.dataobj.tcUPT |
ユーザー定義フィールド値 |
com.thortech.xl.dataobj.tcUPY |
システム構成.ユーザー |
com.thortech.xl.dataobj.tcWIN |
フォーム情報 |
明示的な権限が不要なデータ・オブジェクトとは、強制される権限がないか、または単に親データ・オブジェクトの権限に従うため、権限を定義する必要がないデータ・オブジェクトです。親データ・オブジェクトの権限を使用するデータ・オブジェクトは、ロールが親データ・オブジェクトに対して更新権限を持つ場合、そのロールは子データ・オブジェクトに対しても挿入、更新および削除権限を持つという単純な原則に従います。
明示的な権限が必要なのは、「表12-7 明示的な挿入/更新/削除権限が必要なデータ・オブジェクト」で説明したオブジェクトのみです。その他のデータ・オブジェクトは、権限が導出されるか、または暗黙的な権限を持ちます。
Oracle Identity Managerでは、データ・オブジェクトまたはファイングレイン権限をロールに割り当てる際、次のような権限モデルが使用されます。
データの挿入権限を変更するには、ログイン中のユーザーが挿入および更新権限を持っている必要があります。
データの更新権限を変更するには、ログイン中のユーザーが更新権限を持っている必要があります。
データの削除権限を変更するには、ログイン中のユーザーが挿入、更新および削除権限を持っている必要があります。
ロール・カテゴリは、ナビゲーションおよび認可の目的でロールを分類するために使用します。ロール・カテゴリはロールの属性としてOracle Identity Managerに内部的に格納され、LDAPアイデンティティ・ストアの複数値ビジネス・カテゴリ属性とリコンサイルされます。LDAPの値が空の場合、ロールはシステム管理の未分類ロール・カテゴリに割り当てられます。LDAPの値が複数値、または未分類の単一値の場合、Oracle Identity Managerでは、ロール・リコンシリエーション・プロセスでロールをリコンサイルせず、リコンシリエーション・エラーが生成されます。
Oracle Identity Managerのデフォルト・ロール・カテゴリは次のとおりです。
OIMロール: Oracle Identity Managerのすべての事前定義済ロールはこのカテゴリに割り当てられます。これらのロールは、Oracle Identity Managerにデフォルトで存在し、主に権限の管理で使用されます。これらの事前定義済ロールに対応するエンティティはLDAPストアにありません。
デフォルト: 新規に作成されたロールはこのロール・カテゴリである必要があります。したがって、ロールの作成時にロール・カテゴリが指定されていない場合、そのロールはデフォルトでこのカテゴリに割り当てられます。
この項の内容は次のとおりです。
ロール・カテゴリを作成する手順は、次のとおりです。
Oracle Identity Administrationにログインします。
「ようこそ」ページで、「ロール」の下にある「ロール・カテゴリの作成」をクリックします。
または、左ペインの「参照」タブで「ロール」を展開し、「アクション」メニューから「カテゴリの作成」を選択します。あるいは、ツールバーにある「カテゴリの作成」アイコンをクリックします。
「ロール・カテゴリの作成」ページが表示されます。
「カテゴリ名」ボックスに、ロール・カテゴリの名前を入力します。
「説明」ボックスに、ロール・カテゴリの説明を入力します。このステップはオプションです。
「保存」をクリックします。ページが表示され、ページの上部に、ロール・カテゴリが作成されたことを示すメッセージが表示されます。このページは「属性」タブと「ロール」タブで構成されます。
「属性」タブには、ロール・カテゴリの属性が表示されます。ロール・カテゴリを編集するには、このタブのフィールドを編集します。
「ロール」タブには、ロール・カテゴリに属するロールのリストが表示されます。
ロール・カテゴリを検索する手順は、次のとおりです。
「ようこそ」ページで、「ロール」の下にある「拡張検索 - ロール・カテゴリ」をクリックします。「拡張検索: カテゴリ」ページが表示されます。
「カテゴリ名」フィールドに検索基準を入力します。検索基準にアスタリスク・ワイルドカード文字(*)を入力できます。
「カテゴリ名」フィールドの横にあるリストから検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。ただし、「次と等しい」検索コンパレータも使用できます。
検索条件にフィールドを追加する場合は、「フィールドの追加」をクリックします。リストから「説明」を選択します。「説明」フィールドが「拡張検索: カテゴリ」ページに追加されます。説明による検索を行うには、「説明」フィールドに検索基準を指定します。
検索基準から「説明」フィールドを削除するには、「説明」フィールドの横にある「X」アイコンをクリックします。
「検索」をクリックします。指定した検索基準に一致するカテゴリが検索結果表に表示されます。
ロール・カテゴリを変更する手順は、次のとおりです。
左ペインの「参照」タブで「ロール」を展開します。
変更するロール・カテゴリを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「ロールまたはカテゴリの詳細を開く」アイコンをクリックします。ページにロール・カテゴリに関する詳細が表示されます。
デフォルトで「属性」タブが開きます。このタブのフィールドを編集して、名前や説明などの基本カテゴリ情報を変更します。完了したら、「適用」をクリックします。
「ロール」タブをクリックします。このタブでは、このカテゴリに割り当てられたすべてのロールを表示できます。
ロール・カテゴリに割り当てられたロールの詳細を表示する手順は、次のとおりです。
「ロール・カテゴリの詳細」ページの「ロール」タブで、詳細を表示するロールを選択します。
「アクション」メニューから「開く」(「ロールの詳細を開く」)を選択します。または、ツールバーにある「開く」(「ロールの詳細を開く」)をクリックします。選択したロールの「ロールの詳細」ページが表示されます。
ロール・カテゴリを削除する手順は、次のとおりです。
左ペインにあるロールの参照ツリーで、削除するロール・カテゴリを選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」アイコンをクリックします。「ロール・カテゴリの詳細」ページが開いている場合は、ツールバーにある「ロール・カテゴリの削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックします。ロール・カテゴリが削除されます。
ユーザーがOracle Identity Managerにログインすると、そのユーザーが実行可能なアクションに関連付けられたリンク、ボタンおよびメニューが表示されます。たとえば、ユーザーにロールの拡張検索を実行する権限がある場合は、Oracle Identity Manager管理の「ようこそ」ページに「拡張検索 - ロール」リンクが表示されます。ユーザーに実行する権限があるアクションは、認可ポリシーによって決まります。これらの認可ポリシーは、Oracle Identity Managerに対して定義されてOracle Entitlements Server (OES)に格納されます。ポリシーは実行時に適用され、UIで各種タスクを実行するための認可を制御します。
認可ポリシーは、権限とともに使用して、各種操作へのアクセス権を制御します。表12-8に、ロール管理操作に対する権限を示します。
表12-8 ロール管理の権限
権限 | 説明 |
---|---|
ロールの作成 |
ユーザーがロールを作成できるかどうかを決定します 注意: この権限は、特定のロールに関連付けられません。 |
ロール詳細の変更 |
ユーザーが特定のロールを更新できるかどうかを決定します |
ロールの削除 |
ユーザーが特定のロールを削除できるかどうかを決定します |
ロール詳細の表示 |
ユーザーが特定のロールおよび特定のロールの完全な階層を表示できるかどうかを決定します |
ロールの検索 |
ユーザーがロールを検索できるかどうかを決定します 注意: この権限は、特定のロールに関連付けられません。 |
ロール・メンバーシップの変更 |
ユーザーが特定のロールをユーザーに付与したり失効させたりできるかどうかを決定します |
ロール階層の変更 |
ユーザーが特定のロールに対して子ロールを追加または削除できるかどうかを決定します |
ロール・メンバーシップの表示 |
特定のロールが付与されているユーザーを決定します |
ロール・カテゴリの作成 |
ユーザーがロール・カテゴリを作成できるかどうかを決定します 注意: この権限は、特定のロール・カテゴリまたは特定のロールに関連付けられません。 |
ロール・カテゴリの変更 |
ユーザーがロール・カテゴリを更新できるかどうかを決定します 注意: この権限は、特定のロール・カテゴリまたは特定のロールに関連付けられません。 |
ロール・カテゴリの削除 |
ユーザーがロール・カテゴリを削除できるかどうかを決定します 注意: この権限は、特定のロール・カテゴリまたは特定のロールに関連付けられません。 |
ロール・カテゴリ詳細の表示 |
ユーザーがロール・カテゴリの詳細を表示できるかどうかを決定します 注意: この権限は、特定のロール・カテゴリまたは特定のロールに関連付けられません。 |
ロール・カテゴリの検索 |
ユーザーがロール・カテゴリを検索できるかどうかを決定します 注意: この権限は、特定のロール・カテゴリまたは特定のロールに関連付けられません。 |
注意: 特定のロールをユーザーに付与するときは、付与するそのロールにロール・メンバーシップの変更権限が付与されている必要があります。 |
権限を付与する方法を規制する認可ポリシーによって、権限が適用されます。ロール管理機能のデフォルト認可ポリシーによって、Oracle Identity Managerは正常に機能します。これらのポリシーがないと、Oracle Identity Managerでタスクにアクセスしたり、タスクを実行することができません。これは、管理者およびユーザーにも適用されます。
Oracle Identity Administrationの「認可ポリシー」を使用して、カスタム認可ポリシーを作成し、委任管理を適用できます。認可ポリシーの作成時には、次のことを指定する必要があります。
ポリシーの名前と説明
ポリシーの作成対象になるOracle Identity Manager機能
各種アクションに関連付けられた一連の権限
ロールにポリシーが割り当てられ、ロール・メンバーシップによって権限が付与されるユーザー
ポリシーで指定されたアクションを実行できる一連のロールを示すデータ制約。階層ではデータ制約がサポートされています。したがって、階層に含まれるすべてのロールは、データ制約に含まれます。これによって、制約には少数のロールのみがリストされているが、階層に基づいて多数のロールが含まれる単一のポリシーを作成できます。
関連項目:
|
ロール付与の実行時にリクエストを生成するようにOracle Identity Managerを構成できます。このリクエストは承認が必要であるため、ロール付与リクエストが承認された場合のみロール付与が実行されます。さらに、ロール付与に対する職務の分離(SoD)チェックが有効な場合は、リクエスト・ベースのロール付与を構成する必要があります。ただし、ロール付与に対するSoDチェックを有効にしなくても、リクエスト・ベースのロール付与は有効にできます。
関連項目: SoDについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の職務の分離(SoD)の使用に関する項を参照してください。 |
リクエスト・ベースのロール付与を構成するには、「XL.RM_REQUEST_ENABLED」および「XL.RM_ROLE_ASSIGN_TEMPLATE」システム・プロパティの値を設定する必要があります。これらのシステム・プロパティと有効な値については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのOracle Identity Managerのシステム・プロパティに関する項を参照してください。
「XL.RM_REQUEST_ENABLED」システム・プロパティが存在しない場合、またはこのプロパティに有効な値が指定されていない場合は、リクエストが生成されずにロール付与が実行されます。「XL.RM_REQUEST_ENABLED」が「true」で、「XL.RM_ROLE_ASSIGN_TEMPLATE」が設定されていないか値が無効な場合は、エラー・メッセージが表示され、ロール付与は実行されず、ロール・リクエストは生成されません。
ロール付与リクエストが生成された後に、リクエストIDが管理およびユーザー・コンソールに表示されます。これは、セルフサービスまたは拡張管理でリクエストをトラッキングするためです。
ロール付与リクエストの詳細は次のとおりです。
リクエストID: 自動生成
リクエスト・タイプ: リクエスト・テンプレートに基づく
リクエスト・ステータス: 割当て済
リクエスト日: 現在のタイムスタンプ
有効日: 現在のタイムスタンプ
リクエスタ: Null
受益者: Null
理由: Null