| Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド 11g リリース2 (11.1.2) B71695-01 |
|
 前 |
 次 |
システム管理権限およびポリシー管理権限を、ある管理者から別の管理者に委任するには、制限付きの権限を持つ管理者ロールを作成するか、既存の管理者ロールをユーザーまたは既存の外部ロールに付与します。この章では、ポリシーおよびシステム管理タスクを委任する方法について説明します。この章には次の項目があります。
管理は、特定のジョブを行うために、1つ以上の認可された権限が誰かに付与されるタイミングです。委任は、誰かに付与されている認可された権限を別の人に譲渡する機能です。それとともに、ある人から別の人への認可された権限の譲渡として、管理の委任を定義できます。Oracle Entitlements Serverでは、ポリシー・オブジェクトおよびエンティティでのタスクを実行する資格を持つ管理者は、管理ロールを使用して、この権限を他の人に譲渡できます。管理ロールは、サブジェクト(ロールを付与される人)、リソース(ロールが関連するオブジェクト)およびアクション(表示、管理/変更)で構成されます。
Oracle Entitlements Serverでは、管理権限を割り当て、外部ロールおよびユーザーをマッピングすることによって、管理者ロールの委任を定義できます。ユーザーが管理者としてログインすると、ナビゲーション・パネルには、ログイン・ユーザーが管理することを認可されたアプリケーションのセットのみ表示されます。実際は、委任管理者が管理できないすべてのオブジェクトは、非表示になっています。表示および管理権限を持つ管理ロールが付与されている場合、どの非デフォルト委任管理者ロールも、管理操作を実行できます。
|
注意: 非デフォルト管理者ロールは、手動で作成された任意の管理者ロールです。アプリケーションまたはポリシー・ドメインの作成時に自動的に作成された管理者ロールは、これには含まれません。 |
管理者ロールには、次の制限も適用されます。
非システム・レベルの(委任)管理ロールは、その範囲内の他の管理ロールのみ管理できます。たとえば、アプリケーション1に作成された管理ロールは、アプリケーション1のポリシー・ドメイン内の管理ロールを管理できますが、アプリケーション1内のピア管理ロール、またはアプリケーション2およびアプリケーション2のポリシー・ドメイン内のすべてのロールは管理できません。範囲と粒度の詳細は、第11章「範囲と粒度を使用した委任」で説明しています。
システム・レベルの管理ロール(第10章「システム構成の管理」で説明)は、どのアプリケーションまたはポリシー・ドメイン内の管理ロールの委任も管理できます。
非デフォルト管理ロール(手動で作成)は、どのアプリケーションまたはポリシー・ドメイン内のデフォルト管理ロールも管理できません。
委任管理は、リソースおよびポリシー・オブジェクトの管理をある人から別の人に譲渡することに関するすべてです。委任の範囲(または委任によって適用されるオブジェクトの範囲)は、レベルで定義されます。管理の粒度は、各範囲で管理されるオブジェクトのタイプを定義します。各範囲が作成されると、デフォルトの管理ロールが自動的に作成されます。追加の管理ロールは後で作成できます。
|
注意: 次は、すべてのデフォルトの管理ロールに適用可能です。
|
最高から最低まで、範囲および適用可能な粒度は、次のとおりです。
最高レベルのSystemAdminには、システムレベルのリソースおよびすべてのポリシー関連のオブジェクトを管理する権限があります。システム・リソースには、管理者ロール、システム構成およびセキュリティ・モジュール・バインディングが含まれます。ポリシー・オブジェクトには、アプリケーション・オブジェクトが含まれます。
|
注意: システム管理者は、すべてのアプリケーション・オブジェクトおよび子ポリシー・ドメインを含む、すべてのポリシー・オブジェクトに対する権限を持っていますが、構成、アプリケーション・オブジェクトおよび2つの間のバインディングを管理することを主な目的としています。 |
システム・レベルの管理者ロールの管理については、第10章「システム構成の管理」で説明しています。
アプリケーション管理者は、割当て先のアプリケーション内のすべてのオブジェクトを管理する権限を持っています。作成される各アプリケーションに、1つのApplicationPolicyAdminが生成されます。これらは、ポリシー・ドメインおよびその子(関数、属性、アプリケーション・ロール、リソース・タイプなど)を含む、アプリケーション内のポリシー・オブジェクトの管理を委任することを主な目的としています。詳細は、11.3項「アプリケーション管理の委任」を参照してください。
ポリシー・ドメイン管理者は、割当て先のポリシー・ドメイン内のすべてのオブジェクトを管理する権限を持っています。作成される各ポリシー・ドメインに、1つのPolicyDomainAdminが生成されます。これらは、ポリシー・ドメイン内のポリシー、権限およびリソースの管理を委任するために主に作成されます。この概念の概要は、11.4項「委任するポリシー・ドメインの使用」を参照してください。詳細は、11.5項「ポリシー・ドメイン管理の委任」を参照してください。
次の各項では、アプリケーションの管理者の管理方法について説明します。
次の手順は、新規管理者ロールを作成し、それを該当するロールまたはユーザーに割り当てる方法を説明します。委任管理者をアプリケーションに追加するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」、「委任管理者」、「ポリシー配布」および「シミュレーション」の各タブはすべてアクティブです。
委任管理者タブをクリックします。
表示された表に、アプリケーション名がリストされます。アプリケーション名の隣にある矢印をクリックして、アプリケーション・オブジェクトの作成時に作成されたデフォルトのApplicationPolicyAdminを表示します。委任管理者表の下の次のタブ内で、管理者ロール名をクリックして、詳細を表示します。
ロール詳細
外部ロール・マッピング
外部ユーザー・マッピング
「新規」をクリックして、新規管理者ロールを作成します。
「新規」をアクティブ化するアプリケーションの名前を必ず選択してください。または、アプリケーションを選択し、「アクション」メニューから「新規」を選択します。新規管理者ロールダイアログが表示されます。
新規管理者ロールに次の値を指定し、「OK」をクリックします。
名前: 入力値は一意である必要があります。
表示名
説明
新規管理者ロールを選択して、その構成タブをアクティブ化します。
ロール詳細タブはアクティブです。
「編集」をクリックして、ロール詳細を定義します。
管理者ロールの編集ダイアログが表示されます。
適切なポリシー・オブジェクトに表示または管理権限を付与し、「保存」をクリックします。
図11-1は、「管理ロールの編集」権限ポップアップ画面です。リストされたポリシー・オブジェクトに対して、「表示」または「管理」を選択します。たとえば、管理ポリシーによって、管理者は管理ロールに新しい権限を割り当てることができます。ただし、管理ロールによって、管理者は管理ロールにメンバーを割り当てることができます。リストされた他のオブジェクトの詳細は、2.3項「ポリシー・オブジェクトの用語集」を参照してください。
外部ロール・マッピングタブをクリックして、外部ロールのメンバーに管理者ロールを付与します。
「追加」をクリックして、「ポリシーの検索」ダイアログを表示します。
「外部ロール」検索ボックスの問合せフィールドに入力して、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果は「検索結果」表に表示されます。
表内で、マップする外部ロールの名前をクリックして、外部ロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
選択したロールが外部ロール・マッピングタブに表示されます。
外部ユーザー・マッピングタブをクリックして、外部ユーザーに管理者ロールを付与します。
「追加」をクリックして、「ポリシーの検索」ダイアログを表示します。
「ユーザー」検索ボックスの問合せフィールドに入力して、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果は「検索結果」表に表示されます。
表内で、マップするユーザーの名前を選択して、ユーザーを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
選択したロールが外部ユーザー・マッピングタブに表示されます。
アプリケーションの構成された管理者ロールを変更または削除するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」、「委任管理者」、「ポリシー配布」および「シミュレーション」の各タブはすべてアクティブです。
委任管理者タブをクリックします。
変更する管理者ロールにナビゲートし、選択します。
ロール詳細タブ、外部ロール・マッピングタブおよび外部ユーザー・マッピングタブが表示されます。
変更または削除する構成が含まれているタブを選択します。
構成の変更の詳細は、11.3.1項「アプリケーションへの委任管理者の追加」を参照してください。
管理者ロールからマッピングを削除するには、該当する管理者ロールおよび適切な「マッピング」タブを選択します。マッピングを選択し、「削除」をクリックします。
管理者ロールを削除するには、管理者ロールを選択し、「削除」をクリックします。
1つ以上の(オプションの)ポリシー・ドメインを使用して、保護されたアプリケーションを保護しているポリシーの管理を委任できます。ポリシー・ドメインには、完了したポリシー定義のコンポーネントが含まれます。これは、ターゲット・リソース(リソース・タイプのインスタンス)、資格(リソースで実行できるアクション)、およびポリシー(コントロールをアセンブルするルールおよび影響を及ぼすプリンシパル)を合わせたものです。
複数のポリシー・ドメインを使用することによって、保護されたアプリケーションのアーキテクチャや、ポリシーの管理の委任方法など、定義されたロジックに従ってポリシーをパーティション化できます。たとえば、1つのポリシー・ドメインを使用して、すべてのポリシーのリソース保護を維持することも、複数のポリシー・ドメインを使用して、リソースの特定の特性を反映することもできます。異なるポリシー・ドメインを担当する別の管理者を配置することができます。
|
注意: ポリシー・ドメインの作成はオプションであるため、ポリシー管理を委任する必要がない場合は、ポリシー・ドメインを作成する必要はありません。この場合、アプリケーションのすべてのポリシー・オブジェクトが含まれる各アプリケーションを使用して、デフォルトのポリシー・ドメインが作成されます。 |
次の各項では、ポリシー・ドメインの管理手順について説明します。
ポリシー・ドメインを作成するには、次のようにします。
ポリシー・ドメインを作成するナビゲーション・パネルでアプリケーションの名前を右クリックし、メニューから「新規」を選択します。
「ホーム」領域に無題のページが表示されます。
ポリシー・ドメインの次の情報を指定します。
表示名
名前
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」では、構成を保存し、ポリシー・ドメインの表示名に指定した値でタブの名前を変更します。
保存して別に作成では、ナビゲーション・パネルの情報ツリーに構成を保存しますが、別のアプリケーションを作成できるように無題の領域が開いたままになります。
ポリシー・ドメインを変更するには、次のようにします。
削除するポリシー・ドメインが作成されたアプリケーションにナビゲートし、情報ツリーを開きます。
変更するポリシー・ドメインの名前をダブルクリックします。
「ホーム」領域にポリシー・ドメイン構成が表示されます。
必要に応じて変更し、「適用」をクリックします。
ポリシー・ドメインを削除するには、次のようにします。
削除するポリシー・ドメインが作成されたアプリケーションにナビゲートし、情報ツリーを開きます。
削除するポリシー・ドメインの名前をダブルクリックします。
「ホーム」領域にポリシー・ドメイン構成が表示されます。
「削除」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックして削除します。
次の各項では、ポリシー・ドメインの管理者の管理方法について説明します。
次の手順は、新規管理者ロールを作成し、それを該当するロールまたはユーザーに割り当てる方法を説明します。委任管理者をポリシー・ドメインに追加するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」、「委任管理者」、「ポリシー配布」および「シミュレーション」の各タブはすべてアクティブです。
委任管理者タブをクリックします。
表示された表に、ポリシー・ドメイン名がリストされます。ポリシー・ドメインの隣にある矢印をクリックして、階層を展開し、すでに構成された管理者ロール(デフォルトのPolicyDomainAdminなど)を表示します。
管理者ロールを作成するポリシー・ドメインを選択します。
「新規」をクリックして、新規管理者ロールを作成します。
「新規」をアクティブ化するポリシー・ドメインの名前を必ず選択してください。または、ポリシー・ドメインを選択し、「アクション」メニューから「新規」を選択します。新規管理者ロールダイアログが表示されます。
新規管理者ロールに次の値を指定し、「OK」をクリックします。
名前: 入力値は一意である必要があります。
表示名
説明
新規管理者ロールを選択して、その構成タブをアクティブ化します。
ロール詳細タブはアクティブです。
「編集」をクリックして、ロール詳細を定義します。
管理者ロールの編集ダイアログが表示されます。
適切なポリシー・ドメイン・オブジェクトに表示または管理権限を付与し、「保存」をクリックします。
外部ロール・マッピングタブをクリックします。
「追加」をクリックして、「ポリシーの検索」ダイアログを表示します。
「外部ロール」検索ボックスの問合せフィールドに入力して、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果は「検索結果」表に表示されます。
表内で、マップする外部ロールの名前をクリックして、外部ロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
選択したロールが外部ロール・マッピングタブに表示されます。
外部ユーザー・マッピングタブをクリックします。
「追加」をクリックして、「ポリシーの検索」ダイアログを表示します。
「ユーザー」検索ボックスの問合せフィールドに入力して、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果は「検索結果」表に表示されます。
表内で、マップするユーザーの名前を選択して、ユーザーを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
選択したロールが外部ユーザー・マッピングタブに表示されます。
ポリシー・ドメインの構成された管理者ロールを変更または削除するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」、「委任管理者」、「ポリシー配布」および「シミュレーション」の各タブはすべてアクティブです。
委任管理者タブをクリックします。
変更する管理者ロールにナビゲートし、選択します。
ロール詳細タブ、外部ロール・マッピングタブおよび外部ユーザー・マッピングタブが表示されます。
変更または削除する構成が含まれているタブを選択します。
構成の変更の詳細は、11.5.1項「ポリシー・ドメインへの委任管理者の追加」を参照してください。
管理者ロールからマッピングを削除するには、該当する管理者ロールおよび適切な「マッピング」タブを選択します。マッピングを選択し、「削除」をクリックします。
管理者ロールを削除するには、管理者ロールを選択し、「削除」をクリックします。
システム管理者ロールを作成および構成すると、システム管理権限をユーザーに委任できます。デフォルトでは、SystemAdminは、インストール中に作成され、メインの「システム構成」タブの下にある「システム管理者」にナビゲートすると、「システム管理者」表に表示されます。SystemAdminはシステム・レベル・リソース(その他の管理者ロールと、システム構成およびバインデイングを含む)を管理し、WebLogic Serverのweblogicユーザーにマップします。
次の各項では、Oracle Entitlements Serverのすべてのシステム管理者ロールの管理操作について説明します。
新規管理者ロールを作成するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
「ホーム」領域に「システム管理者」タブが表示されます。
管理者ロールの下にある「新規」をクリックして、新規管理者ロールを作成します。
ダイアログが表示されます。
新規管理者ロールに、次の値を指定します。
名前: 入力値は一意である必要があります。
表示名
説明
「作成」をクリックします。
権限を管理者ロールに割り当てるには、次の手順で説明するように、外部ロール、外部ユーザー、またはその両方をロールにマップします。
「ホーム」領域から「システム構成」タブを選択します。
「システム管理者」タブおよび構成された管理者ロールが、「ホーム」領域に表示されます。または、管理者を右クリックして、「オープン」を選択します。
管理者ロールの名前を表から選択します。
「変更」または「表示」オプションを選択して、管理者コントロールを定義します。
「変更」では、すべてのシステム管理者リソース上で、管理(およびプロキシ表示による)権限を持っているとして、管理者を定義します。「表示」では、表示権限のみを持っているとして、管理者を定義します。
外部ロール・マッピングタブをクリックします。
「追加」をクリックするか、「アクション」メニューから「追加」を選択します。
「ロールの追加」検索ダイアログが表示されます。
テキスト・ボックスに検索文字列を入力し、矢印をクリックして外部ロールを検索します。
または、検索文字列を入力せずに「検索」をクリックして、使用可能なすべての外部ロールを返します。
結果から1つ以上のロールを選択し、「選択済の追加」をクリックします。
または、「すべて追加」をクリックして、返されたすべての結果を追加します。
「プリンシパルの追加」をクリックします。
外部ユーザー・マッピングタブをクリックします。
「追加」をクリックするか、「アクション」メニューから「追加」を選択します。
「ユーザーの追加」検索ダイアログが表示されます。
テキスト・ボックスに検索文字列を入力し、矢印をクリックして外部ユーザーを検索します。
または、検索文字列を入力せずに「検索」をクリックして、使用可能なすべての外部ユーザーを返します。
結果から1つ以上のユーザーを選択し、「選択済の追加」をクリックします。
または、「すべて追加」をクリックして、返されたすべての結果を追加します。
「プリンシパルの追加」をクリックします。
管理者ロール・メンバーシップを変更するには、次の手順で説明するように、マッピングを削除します。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるシステム管理者をダブルクリックします。
または、システム管理者を右クリックして、「オープン」を選択します。「システム管理者」ページが表示されます。
管理者ロールの名前を表から選択します。
必要に応じて、「変更」または「表示」管理者コントロールを変更します。
外部ロール・マッピングタブをクリックします。
削除する外部ロールを選択します。
「削除」をクリックします。
または、「アクション」メニューから「削除」を選択します。
外部ユーザー・マッピングタブをクリックします。
削除する外部ユーザーを選択します。
「削除」をクリックします。
または、「アクション」メニューから「削除」を選択します。
管理者ロールを削除するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるシステム管理者をダブルクリックします。
または、システム管理者を右クリックして、「オープン」を選択します。「システム管理者」ページが表示されます。
管理者ロールの名前を表から選択します。
「削除」をクリックします。
確認ダイアログが表示されます。
「削除」をクリックします。
