| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11gリリース2(11.1.2) B69542-02 |
|
 前 |
 次 |
ロールを使用して、アクセス権、ロールまたは権限などの共通機能にアクセスできるユーザーの集合のレコードを作成および管理します。
ロールは、組織に依存しないロール、複数の組織にわたるロール、または1つの組織のユーザーのみが含まれたロールのいずれかです。
ロールを使用すると、次の操作が可能です。
ロールにユーザーを割り当てます。
親ロールとしてロールを既存のロールに割り当てます。
ロールのプロビジョニング・ポリシーを指定します。これらのポリシーは、ロールのメンバーに対して、あるリソース・オブジェクトをプロビジョニングするか、リクエストによりプロビジョニングするかを決定します。
ロールに対して、メンバーシップ・ルールを追加または削除します。これらのルールは、ロールに対して、どのユーザーを直接メンバーシップとして割り当てたり削除できるかを決定します。
ロールを介してユーザーをアクセス・ポリシーにマップして、ユーザーへのターゲット・システムのプロビジョニングを自動化します。詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のアクセス・ポリシーの管理に関する説明を参照してください。
組織へのロールの公開または公開解除
ユーザーがOracle Identity Manager管理のWebインタフェースを使用してアクセスできるメニュー項目を表示します。
この章では、ロールおよびロールに関連する機能について次の各項で説明します。
メンバーシップの継承とは、継承元ロールから継承先ロールにメンバーを継承することを意味します。次に例を示します。
|
注意: メンバーシップを継承するロールは、メンバー継承先ロールと呼ばれます。メンバー継承先ロールがメンバーシップを継承するロールは、継承元メンバー・ロールと呼ばれます。 |
ロールBはロールAからメンバーシップを継承します。ロールBはロールAのメンバー継承先ロールです。
ロールCもロールAからメンバーシップを継承します。ロールCもロールAのメンバー継承先ロールです。
この例の場合、ロールAの全メンバーはロールBおよびロールCの暗黙的、つまり間接的なメンバーでもありますが、ロールBのメンバーはロールAのメンバーに自動的にはなりません。つまり、ロールBおよびロールCは、ロールAのメンバー継承先ロールであり、ロールAは、ロールBおよびロールCの継承元メンバー・ロールです。実際の例では、従業員ロール(ロールB)はマネージャ・ロール(ロールA)からメンバーシップを継承します。
ロール・メンバーシップの継承について、次のシナリオを使用して説明します。
マネージャのリストにCEOロールが含まれるように、CEOロールはマネージャ・ロールの継承元メンバー・ロールです。
マネージャ・ロールは従業員ロールの継承元メンバー・ロールです。
ソフトウェア・アーキテクト・ロールはソフトウェア・エンジニア・ロールの継承元メンバー・ロールです。
ソフトウェア・エンジニア・ロールは従業員ロールの継承元メンバー・ロールです。
従業員ロールには、マネージャ・ロールおよびソフトウェア・エンジニア・ロールの2つの継承元メンバー・ロールがあります。
図12-1に、この例に示す親ロールと子ロール、およびメンバーシップの継承を示します。
継承元メンバー・ロールの各ユーザーは、自動的にすべてのメンバー継承先ロールのメンバーとなります。そのメンバー継承先ロールが別の継承元メンバー・ロールでもある場合、ユーザーはそのメンバー継承先ロールに追加され、以降同様に追加されていきます。これは、継承チェーン内でメンバー継承先ロールがなくなるまで続行されます。たとえば、CEOはマネージャであり、マネージャ・ロールのメンバーに自動的になります。同様に、マネージャは自動的に従業員になります。このようにして、継承元メンバー・ロールに追加されたメンバーは、そのメンバー継承先ロールによって継承されていきます。したがって、従業員ロールの直接メンバーシップは存在せず、メンバーシップの継承関係から考えると、従業員ロールは他のすべてのロールよりメンバーが多くなります。
ユーザーは、次のいずれかの方法でロールのメンバーになることができます。
継承元メンバー・ロールからメンバーが継承されます(間接メンバーシップと呼ばれます)。
ユーザーは(メンバーシップ・ルールを使用して)ロールに直接割り当てられます(直接メンバーシップと呼ばれます)。
同様に、間接メンバーを直接メンバーとして割り当てることができます。ロールでユーザーの直接メンバーシップが失効しても、継承によってユーザーは依然としてロールのメンバーです。
権限の継承とは、継承元ロールから継承先ロールに権限を継承することを意味します。次に例を示します。
ロールBはロールAから権限を継承します。
ロールCもロールAから権限を継承します。
この例では、ロールBおよびロールCは、ロールAの権限継承先ロールです。「階層」タブでは、この関係は子で示されます(ロールBおよびロールCはロールAの子です)。同様に、ロールAは、ロールBおよびロールCの継承元権限ロールです。「階層」タブでは、ロールAは、ロールBおよびロールCの親です。
実際の例では、マネージャ・ロールは従業員ロールから権限を継承します。
Oracle Identity Self Serviceでは、「階層」タブの次の各セクションにロール権限の継承が表示されます。
継承元: 開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。
継承先: 開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。「ロールを開く」アクションを使用して、基本ロールからの関係を変更できます。
たとえば、role1、role2およびrole3の3つのロールを作成するとします。role3を開き、role2を親ロールとして割り当てます。同様に、role2を開き、role1を親ロールとして割り当てます。role3を開くと、「継承元」セクションにはrole2親ロールが表示され、role1がrole2の下に表示されます。role1を開くと、「継承先」セクションにはrole2子ロールが表示され、role3がrole2の下に表示されます。
図12-1に示すように、従業員の権限はマネージャの権限に含まれます。同様に、マネージャの権限はCEOの権限に含まれます。このように、権限は上位の方向に継承されます。さらに、親ロールは複数の子ロールから権限を継承します。たとえば、CEOはマネージャ・ロールとソフトウェア・アーキテクト・ロールの権限を継承します。したがって、メンバーシップの継承と権限の継承は反対の方向に進められます。
Oracle Identity Managerでは、ロール・エンティティに対して属性が定義されます。これらの属性は、すべてのエンティティ(ユーザー、組織、ロール、ロール階層、ロール・メンバーシップなど)で同じです。エンティティに対して定義される属性のリストは、「ユーザー・エンティティ定義」を参照してください。
|
注意: ロール・エンティティには独自の属性を追加できません。 |
この項では、次のエンティティのデフォルト属性定義について説明します。
Role.xmlファイルには、ロール・エンティティの属性定義が格納されています。ロール・エンティティには独自の属性を追加できます。
ロールに関連付けられたエンティティの属性は、ロールの詳細を取得する際にロールAPIを使用して取得できます。これにより、追加のAPIコールのコストを発生させずに結合されたエンティティを取得できます。これらの属性の例は、Role.xmlにデフォルトで構成されています。'foreign_search_'で始まる名前のパラメータで、属性'Role Category Name'、'Owner First Name'、'Owner Last Name'、'Owner Display Name'、'Owner Email'および'Owner Loginをまとめて取得できます。
ロール・エンティティの定義には、エンティティ・キー(ロール・カテゴリ・キーおよびユーザー・キー)が含まれており、これによってこれらの追加属性を指定できます。
表12-1に、ロール・エンティティのデフォルト属性を示します。
表12-1 ロール・エンティティのデフォルト属性
| 属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
|---|---|---|---|---|---|
|
ロール・キー |
基本 |
単一 |
数値 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール一意名 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ |
該当なし |
|
ロール表示名 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール・ネームスペース |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール名 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロールの説明 |
基本 |
単一 |
テキスト(多言語) |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
LDAP GUID |
LDAP |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
LDAP DN |
LDAP |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール・カテゴリ・キー |
基本 |
単一 |
ロール・カテゴリへの参照 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい |
該当なし |
|
ロール所有者キー |
基本 |
単一 |
ロール所有者への参照 |
必須: はい システムによるデフォルト設定が可能: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい |
該当なし |
|
ロールの電子メール |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
RoleCategory.xmlファイルには、ロール・カテゴリ・エンティティの属性定義が格納されています。ロール・カテゴリ・エンティティには独自の属性を追加できません。
表12-2に、ロール・カテゴリ・エンティティのデフォルト属性を示します。
表12-2 ロール・カテゴリ・エンティティのデフォルト属性
| 属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
|---|---|---|---|---|---|
|
ロール・カテゴリ・キー |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール・カテゴリ名 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
ロール・カテゴリの説明 |
基本 |
単一 |
テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
RoleRoleRelationship.xmlファイルには、ロール付与関係の属性定義が格納されています。ロール付与関係には独自の属性を追加できません。
表12-3に、ロール付与関係のデフォルト属性を示します。
RoleUserMembership.xmlファイルには、ロール親関係の属性定義が格納されています。ロール親関係には独自の属性を追加できません。
表12-4に、ロール親関係のデフォルト属性を示します。
表12-4 ロール親関係のデフォルト属性
| 属性名 | カテゴリ | タイプ | データ型 | プロパティ | LOV |
|---|---|---|---|---|---|
|
UGP_KEY |
基本 |
単一 |
ロールへの参照 |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
GPG_UGP_KEY |
基本 |
単一 |
ロールへの参照 |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ |
該当なし |
|
注意: UGP_KEYは親ロールへの参照です。GPG_UGP_KEYは子ロールへの参照です。 |
ロール組織関係は、組織にロールを公開することで確立できます。詳細は、「組織へのエンティティの公開」を参照してください。
Oracle Identity Managerでは、次のタイプのロールを使用できます。
エンタープライズ・ロール: ユーザー(付与された権限に従って)がOracle Identity Managerで作成し、リクエスト・カタログを使用してリクエストできるロールです。ロールの作成およびリクエストの詳細は、「ロール管理タスク」および「リクエスト・ベースのロールの付与」を参照してください。
管理ロール: Oracle Identity Managerに事前定義されているロールで、Oracle Entitlement Serverに定義されているアプリケーション・ロールに1対1でマッピングされます。管理ロールはユーザーに表示されません。したがって、管理ロールをリクエストすることはできません。管理ロールの詳細は、「管理ロール」を参照してください。
表12-5には、Oracle Identity Managerのデフォルト・エンタープライズ・ロールがリストされています。デフォルト管理ロールのリストについては、「管理ロール」を参照してください。
|
注意: Oracle Identity Manager 11gリリース1 (11.1.1)からアップグレードする場合は、11gリリース1 (11.1.1)のデフォルト・ロールが使用可能になります。 |
表12-5 Oracle Identity Managerのデフォルト・ロール
| ロール | 説明 |
|---|---|
|
すべてのユーザー |
このロールのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーはすべてのユーザー・ロールに所属します。 |
|
システム管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、アテステーション・イベントを管理するための各種タスクを実行できるUIにアクセスできます。 |
|
管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。これは、SOA用の管理者ロールです。 |
|
オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、組織、ユーザーおよびタスク・リストに関連するページにアクセスできます。このロールのユーザーは、これらのページの一部の機能を実行できます。 |
|
セルフ・オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。これにはXELSELFREGという1人のユーザーが含まれ、Oracle Identity Manager内で他のユーザーが自己登録アクションを実行するときに必要な権限の変更を担当します。 注意: Oracle Identity Managerでは、セルフ・オペレータ・ユーザー・ロールに関連付けられている権限を変更しないことをお薦めします。さらに、他のユーザーをこのロールに割り当てることはできません。 |
デフォルト・ロールに関連付けられた権限は変更できます。追加のロールを作成することもできます。ただし、すべてのロールに対して、メニュー項目を割り当てたり削除することはできません。
このセクションのトピックは次のとおりです:
|
注意: セルフ・オペレータ・ロールは、デフォルトでOracle Identity Managerに追加されます。このロールにはXELSELFREGという1人のユーザーが含まれ、管理コンソールで自己登録を実行するためのユーザー権限の変更を担当します。 セルフ・オペレータ・ロールに関連付けられている権限を変更しないこと、およびこのロールにユーザーを割り当てないことをお薦めします。 |
新規のロールを初めて作成する場合は、「ロールの詳細」ページにロール名が表示されます。「ロールの管理」の説明に従い、「追加詳細」メニューを使用してロールに情報を追加できます。
ロールを作成するには、次のようにします。
Identity Self Serviceにログインします。
「管理」で、「ロール」をクリックします。「ロールの検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。
ロールの作成ページが表示されます。
フィールドに値を入力します。表12-6に、「ロールの作成」ページのフィールドを示します。
表12-6 「ロールの作成」ページのフィールド
| フィールド | 説明 |
|---|---|
|
名前 |
ロールの名前 |
|
表示名 |
UIに表示されるロール名 |
|
ロールの電子メール |
ロールの電子メールID |
|
ロールの説明 |
ロールの説明 |
|
ロール・カテゴリ |
ロールが属しているカテゴリ このフィールドにロール・カテゴリが指定されていない場合、ロールは「デフォルト」カテゴリに作成されます。ロール・カテゴリについては、「ロール・カテゴリの作成と管理」を参照してください。 |
|
所有者 |
ロールの所有者 ロールの所有者とは、カスタム認可ポリシーを作成せずに、ロールを表示、変更および削除できる権限を持つユーザーです。ロール管理の認可ポリシーの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のセキュリティ・アーキテクチャに関する説明を参照してください。 |
「保存」をクリックします。ロールは正常に作成されました。作成したロールの「ロールの詳細」ページが表示されます。
ロールの検索、ロールへの情報の追加、およびロールに対するその他の管理機能を実行できます。
このセクションのトピックは次のとおりです:
ロールを検索する手順は次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ロール」をクリックします。「ロールの検索」ページが表示されます。
次のいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「表示名」などの検索可能なユーザー属性のフィールドで、値を指定します。属性値にはワイルドカード文字(*)を含めることができます。
一部の属性については、「参照」から属性値を選択します。たとえば、「デフォルト」のロール・カテゴリのロールをすべて検索するには、「ロール・カテゴリ」フィールドで「デフォルト」を選択します。
指定した各属性値に対して、リストから検索演算子を選択します。次の検索演算子が使用可能です。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
次を含まない
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「表示名」属性の値に「Jo*」と指定して、検索演算子として「次と等しい」を選択できます。「Jo」で始まる表示名を持つロールが表示されます。
検索可能なロール属性を「ロールの検索」ページに追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。
たとえば、ロール・ネームスペース内のすべてのロールを検索する場合は、「ロール・ネームスペース」属性を検索可能なフィールドとして追加して、検索条件を指定できます。
|
注意: 検索可能な属性を構成できます。検索に使用可能な属性は、「検索可能」プロパティが「はい」にマークされているロール・エンティティに対して定義した属性のサブセットである必要があります。 |
必要に応じて、「リセット」をクリックし、指定した検索条件をリセットします。通常、この手順を実行すると、指定した検索条件を削除し、新しい検索条件を指定します。
「検索」をクリックします。図に示すように、検索結果が表形式で表示されます。
検索結果で列を非表示にする場合は、次の手順を実行します。
ツールバーで「ビュー」をクリックし、「列」、「列の管理」を選択します。.「列の管理」ダイアログ・ボックスが表示されます。
「表示される列」リストから、非表示にする列を選択します。
左矢印アイコンをクリックして、列を「非表示列」リストに追加します。
「OK」をクリックします。選択した列は検索結果に表示されません。現在非表示になっている列の数を示すステータス・メッセージが、検索表の下部に表示されます。図は、2つの列が非表示であることを示しています。
ロールの詳細を開き、ロールの属性を編集したり、ロールの継承やメンバーシップを変更して、ロールを組織に公開できます。ロールの詳細を開いて変更するには、次のいずれかを実行します。
「ロールの検索」ページで、開くロールを検索して選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
「ロールの検索」ページの検索結果表で、ロールの「表示名」をクリックします。
新しいページにロールの詳細が表示されます。ページの上部にロールの表示名が表示されます。このページの次のタブで、ロールの詳細を表示し、ロール情報を変更できます。
「属性」タブでは、ロール属性が表示されます。「ロール・ネームスペース」(これは読取り専用フィールド)を除き、「属性」タブの残りのフィールドは「ロールの作成」ページの場合と同じように使用可能です。「ロール・ネームスペース」フィールドに、ロールが割り当てられているネームスペースが表示されます。「属性」タブの残りのフィールドについては、「表12-6 「ロールの作成」ページのフィールド」を参照してください。
ロール属性を変更するには、フィールドの値を変更して「適用」をクリックします。
「階層」タブでは、次のセクションにロール階層情報が表示されます。
継承元: このセクションには、開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。
継承先: このセクションには、開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。「ロールを開く」アクションを使用して、基本ロールからの関係を変更できます。
「階層」タブでは、次の操作を実行できます。
子ロールに親ロールを追加する手順は、次のとおりです。
ロールを開きます。
「階層」タブをクリックします。「継承元」セクションのこのタブには、開いているロールが権限を継承する親ロールがリストされます。
「継承元」がアクティブであることを確認します。
「アクション」メニューから「追加」を選択します。または、ツールバーにある「追加」をクリックします。「ロールの検索」ダイアログ・ボックスが表示されます。
「検索」リストから、検索するロールに従ってロール属性を選択します。次に、参照アイコンを使用して属性を選択します。検索基準にはワイルドカード文字(*)を使用することもできます。次に、「検索」アイコンをクリックします。検索基準に一致するロールのリストが表示されます。
親ロールとして追加するロールを1つ以上選択します。次に、選択したロールを「選択したロール」リストに移動するには、「選択した項目の追加」をクリックします。
または、「すべて追加」をクリックして、すべてのロールを「選択したロール」リストに追加します。
「追加」をクリックします。開いているロールに選択したロールが親ロールとして追加され、ロール階層が「階層」タブの「継承元」セクションに表示されます。
追加された継承元ロールを選択します。選択したロールのサマリー情報が表の下に表示されます。
継承元ロールの「表示名」をクリックすると、ロールの詳細が表示されます。
ロールから親ロールを削除する手順は、次のとおりです。
「階層」タブの「継承元」セクションで、削除するロールを選択します。
「アクション」メニューで、「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックします。「階層」タブの「継承元」セクションから、継承元ロールが削除されます。
「階層」タブの「継承元」セクションから親ロールを、「継承先」セクションから子ロールを開くことができます。
また、現在開いているロールの親ロールおよび子ロールにリンクしているロール(祖父母ロールおよび孫ロールと同様)を、それぞれ「階層」タブの「継承元」セクションおよび「継承先」セクションから開くことができます。
親ロールを開く手順は、次のとおりです。
「階層」タブの「継承元」セクションで、開くロールを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
ページに継承元ロールに関する詳細が表示されます。このページで、ロールの属性の表示と編集、ロールの継承とメンバーシップの変更、メンバーシップ・ルール、アクセス・ポリシーおよび権限の割当てと削除、および権限の更新を行うことができます。
子ロールを開く手順は、次のとおりです。
「階層」タブの「継承元」または「継承先」セクションで、開くロールを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。ページに継承元ロールに関する詳細が表示されます。
「メンバー」タブには、開いているロールに割り当てられたメンバーが表示されます。この情報は、次の各セクションに表示されます。
直接: このセクションには、開いているロールに直接割り当てられたメンバーが表示されます。また、メンバーシップ・ルールを介して割り当てられたすべてのメンバーも表示されます。
間接: このセクションには、ロールによって間接的に継承されたメンバーが表示されます。
すべて: このセクションには、開いているロールに割り当てられたすべてのメンバー(直接メンバーおよび間接メンバー)が表示されます。
「メンバー」タブでは、次の操作を実行できます。
ロールにメンバーを割り当てる手順は、次のとおりです。
「メンバー」タブの「直接」セクションで、ツールバーにある「割当て」をクリックします。「カタログ」ページが表示されます。
「ターゲット・ユーザー」セクションで、「追加」をクリックしてロールに割り当てられるメンバー(ユーザー)を選択します。「ターゲット・ユーザーの拡張検索」ダイアログ・ボックスが表示されます。
追加する1人以上のユーザーを検索して選択します。
選択したユーザーを「選択したユーザー」リストに追加するには、「選択した項目の追加」をクリックします。または、「すべて追加」をクリックして、すべてのユーザーを「選択したユーザー」リストに追加します。
「追加」をクリックします。選択したユーザーまたは受益者が、「カート詳細のリクエスト」ページの「ターゲット・ユーザー」セクションに追加されます。
「理由」および「有効日」セクションで、理由とリクエストがアクティブになる有効日を各フィールドで指定します。
必要に応じて、「カート項目」セクションでカート項目を選択し、「詳細」をクリックして項目の詳細を表示します。
「詳細」セクションで、必要に応じて、リクエストの詳細を変更します。これを行うには、「詳細」セクションで値を設定または変更し、「送信準備ができています」をクリックします。
詳細またはカートの各リクエストを確認および変更した後、「送信」をクリックします。
リクエストが承認のために送信され、「リクエスト・サマリー」ページが表示され、サマリー情報、ターゲット・ユーザーまたは受益者情報、およびリクエストと承認の詳細が表示されます。
ロールからメンバーを失効する手順は、次のとおりです。
「メンバー」タブのいずれかのセクションで、失効するメンバーを選択します。
ツールバーにある「失効」をクリックします。「ロールの削除」ページが表示されます。
「ターゲット・ユーザー」セクションで、ロールから失効するメンバーを確認します。
「理由」フィールドおよび「有効日」フィールドに値を入力します。
「送信」をクリックします。ロールからのメンバーの失効に必要な認可ポリシーがある場合は、承認ステップなしでユーザーがロールから削除されます。必要な認可ポリシーがある場合は、リクエストが承認者によって承認されるとロールが失効されます。
「メンバー」タブで、式ビルダーを使用してユーザー・メンバーシップ・ルールを追加、変更または削除できます。式ビルダーでは、ロールに動的に割り当てられているユーザーに基づいて条件を指定できます。複雑な条件式をユーザー・メンバーシップ・ルールとして単純に指定できます。ユーザー・メンバーシップ・ルールを変更すると、既存のユーザー・メンバーシップが評価され、有効ではない既存のロール・メンバーシップは失効されて新しいロール・メンバーシップが付与されます。
ユーザー・メンバーシップ・ルールを追加する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの追加」をクリックします。「式ビルダー」が表示されます。
左のペインで、「<追加>」が選択されていることを確認します。これは、条件に対するユーザー属性を指定するプレースホルダです。
「オペランド値の選択」の下の「属性」タブで、「国」などのユーザー属性を選択します。
「追加」をクリックして左ペインの条件に属性を追加します。
演算子のリストから、= (次と等しい)、> (次より大きい)、>= (次以上)、< (次より小さい)、=> (次以下)および次に含まれるなどのコンパレータを選択します。
「オペランド値の選択」の下の「リテラル」タブで、United States of Americaなどの値を「値」フィールに指定します。
「追加」をクリックして、指定した値を条件式に追加します。つまり、式はUnited States of Americaに属するユーザーは開いているロールに動的に割り当てられることになります。
図12-2に、条件を使用した式ビルダーを示します。
必要な場合、「結果のプレビュー」タブで、このルールが適用されるメンバーをプレビューできます。
「保存」をクリックします。「式ビルダー」が閉じて、定義したルールが適用されます。
ユーザー・メンバーシップ・ルールを変更する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの編集」をクリックします。「式ビルダー」が表示されます。
メンバーシップ・ルールの追加のステップの説明に従って、条件を指定してメンバーを動的に割り当てます。
必要な場合、「結果のプレビュー」タブで、変更したルールが適用されるメンバーをプレビューできます。
「保存」をクリックします。変更したメンバーシップ・ルールが適用可能になります。
ユーザー・メンバーシップ・ルールを削除する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの削除」をクリックします。メンバーシップ・ルールを削除するかどうかの確認を求めるダイアログ・ボックスが表示されます。
「はい」をクリックします。メンバーシップ・ルールは削除され、適用できなくなります。
「組織」タブでは、開いているロールに対して組織を割り当てたり失効することができます。開いているロールに組織を割り当てると、その組織でロールが使用可能になります。これは、組織へのロール・エンティティの公開と呼ばれます。
「組織」タブには、開いているロールが公開されたすべての組織が表示されます。各組織では、「階層対応」列で「下位組織を含める」オプションを選択できます。開いているロールを組織の階層全体で使用可能にする場合には、このオプションを選択します。開いているロールをその階層ではなく組織のみで使用可能にする場合は、このオプションの選択を解除したままにします。
「組織」タブで、次のことを実行できます。
組織にロールを公開する手順は、次のとおりです。
「ロールの詳細」ページで、「組織」タブをクリックします。このタブでは、開いているロールに割り当てられた組織が表示されます。
「アクション」メニューから「割当て」を選択します。または、ツールバーにある「割当て」をクリックします。「組織の検索」ダイアログ・ボックスが表示されます。
追加する組織を検索します。組織が「組織結果」セクションの表示されます。
追加する組織を選択して、「選択した項目の追加」をクリックします。選択した組織が「選択した組織」セクションに追加されます。
選択した各組織では、「階層」オプションがデフォルトで選択されます。選択した組織の下位組織にロールを公開する場合は、「階層」オプションを選択したままにします。
選択した組織のみにロールを公開するには、「階層」オプションの選択を解除します。
「OK」をクリックします。ロールは選択した組織に公開されます。つまり、選択した組織がロールに割り当てられます。
このロールで使用可能なすべてのアクセス・ポリシーを表示できます。ロールに割り当てられたアクセス・ポリシーを表示する手順は、次のとおりです。
「ロールの詳細」ページで、「アクセス・ポリシー」をクリックします。「アクセス・ポリシー」ページが表示されます。このページには、ポリシー名とポリシーの簡単な説明が表示されます。
「ロールの検索」ページで、「ロールの検索」の説明に従ってロールを検索します。
削除するロールを選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。
確認を求めるメッセージが表示されます。
「削除」をクリックして確認します。
|
注意:
|
ロール・カテゴリは、ナビゲーションおよび認可の目的でロールを分類するために使用します。ロール・カテゴリはロールの属性としてOracle Identity Managerに内部的に格納され、LDAPアイデンティティ・ストアの複数値ビジネス・カテゴリ属性とリコンサイルされます。LDAPの値が空の場合、ロールはデフォルト・ロール・カテゴリに割り当てられます。LDAPの値が認識されない値の場合は、(認識されない値のカテゴリ名を持つ)ロール・カテゴリが作成され、この新しく作成されたロール・カテゴリにロールが割り当てられます。LDAPの値が複数値の場合、Oracle Identity Managerでは、ロール・リコンシリエーション・プロセスでロールをリコンサイルせず、リコンシリエーション・エラーが生成されます。
Oracle Identity Managerのデフォルト・ロール・カテゴリは次のとおりです。
OIMロール: Oracle Identity Managerのすべての事前定義済ロールはこのカテゴリに割り当てられます。これらのロールは、Oracle Identity Managerにデフォルトで存在し、主に権限の管理で使用されます。これらの事前定義済ロールに対応するエンティティはLDAPストアおよびカタログにありません。
デフォルト: 新規に作成されたロールはこのロール・カテゴリである必要があります。したがって、ロールの作成時にロール・カテゴリが指定されていない場合、そのロールはデフォルトでこのカテゴリに割り当てられます。
|
注意: デフォルト・ロール・カテゴリはローカライズできません。 |
この項の内容は次のとおりです。
ロール・カテゴリを作成する手順は、次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ロール・カテゴリ」をクリックします。「ロール・カテゴリの検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ロール・カテゴリの作成」ページが表示されます。
「ロール・カテゴリ」ボックスに、ロール・カテゴリの名前を入力します。
「ロール・カテゴリの説明」ボックスに、ロール・カテゴリの説明を入力します。このステップはオプションです。
「保存」をクリックします。ロール・カテゴリが作成され、「ロール・カテゴリの詳細」ページが表示されます。このページは「属性」タブと「ロール」タブで構成されます。
「属性」タブには、ロール・カテゴリの属性が表示されます。ロール・カテゴリを編集するには、このタブのフィールドを編集します。
「ロール」タブには、ロール・カテゴリに属するロールのリストが表示されます。
ロール・カテゴリを検索する手順は、次のとおりです。
「管理」で、「ロール・カテゴリ」をクリックします。「ロール・カテゴリの検索」ページが表示されます。
「ロール・カテゴリ」フィールドで値を指定します。属性値にはワイルドカード文字(*)を含めることができます。
指定した属性値に対して、リストから検索演算子を選択します。次の検索演算子が使用可能です。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
次を含まない
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「D*」という値を指定して、検索演算子として「次と等しい」を選択できます。「D」で始まるロール・カテゴリが表示されます。
検索可能な属性を「ロール・カテゴリ」に追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。
必要に応じて、「リセット」をクリックし、指定した検索条件をリセットします。通常、この手順を実行すると、指定した検索条件を削除し、新しい検索条件を指定します。
「検索」をクリックします。検索結果が表形式で表示されます。
ロール・カテゴリを変更する手順は、次のとおりです。
「ロール・カテゴリの検索」ページで、変更するロール・カテゴリを検索して選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。ページにロール・カテゴリに関する詳細が表示されます。
デフォルトで「属性」タブが開きます。このタブのフィールドを編集して、名前や説明などの基本カテゴリ情報を変更します。完了したら、「適用」をクリックします。
「ロール」タブをクリックします。このタブでは、このカテゴリに割り当てられたすべてのロールを表示できます。
Oracle Identity Managerでは、ロール付与の実行時にリクエストが生成されます。このリクエストは承認が必要であるため、ロール付与リクエストが承認された場合のみロール付与が実行されます。
ロール付与リクエストが生成されると、リクエストIDが表示されます。これは、Identity Self ServiceまたはOracle Identity System Administrationでリクエストをトラッキングするためです。
ロール付与リクエストの詳細は次のとおりです。
リクエストID: 自動生成
リクエスト・タイプ: リクエストのタイプ
リクエスト・ステータス: 割当て済
リクエスト日: 現在のタイムスタンプ
有効日: 現在のタイムスタンプ
リクエスタ: Null
受益者: Null
理由: Null
