Oracle Identity Administrationの「認可ポリシー」セクションで、認可ポリシーを定義および管理できます。このセクションは、認可ポリシーの管理権限があるユーザーが使用できます。
次に、認可ポリシーの構造化コンポーネントを示します。
識別の詳細: 各認可ポリシーに名前と説明が必要です。
Oracle Identity Manager機能: 各認可ポリシーは、Oracle Identity Managerの特定の機能に対して定義されます。機能は、ユーザー管理やロール管理など、Oracle Identity Manager内の明確に定義されたコンポーネントです。複数機能の認可要件を、単一の認可ポリシーで処理することはできません。
割当て先: これは、ポリシーによって権限が付与されるロール(複数の場合あり)です。各ポリシーに対して、1つ以上のロールに権限を付与できます。認可ポリシーによって、ロールのすべての(直接または継承による間接)メンバーに権限が付与されます。ユーザー管理機能の場合、マネージャ関係に基づくルールがサポートされます。この場合、処理対象のユーザーの管理チェーンに属するすべてのユーザーが認可ポリシーの割当て先です。
注意: ロール・メンバーシップの継承の詳細は、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』の「ロールの管理」を参照してください。 |
割当て先には、割当て先が満たす必要がある追加条件を含めることができます。これは、認可ポリシーをコンテキスト対応にする1つの方法です。たとえば、ユーザー管理機能の場合、割当て先が権限を取得するには、その割当て先が、データ・セキュリティにリストされている同じ組織のメンバーである必要があるという条件を明確に示すことができます。
権限: これらは、割当て先に付与される権限です。権限のリストは、このポリシーの定義対象の機能によって定義されます。たとえば、ユーザー管理機能では、ユーザーの検索、ユーザー詳細の表示、ユーザー・プロファイルの変更などの権限が定義されます。ユーザー管理機能に対する権限の完全なリスト。
一部の権限では、機能の中で特定のどのエンティティ属性を割当て先にさらに付与するかを定義する詳細な属性レベルのアクセス制御もサポートされます。たとえば、ユーザー詳細の表示権限の場合、ポリシーによって、割当て先が実行時にユーザー・エンティティ上のどの属性を表示できるかをさらに定義できます。属性レベルの詳細はすべての権限でサポートされるわけではありません。たとえば、ユーザーの削除権限では、属性レベルの詳細は必要なく、サポートされません。
データ・セキュリティ: これらは、割当て先への権限付与の対象となる機能によって管理されるエンティティです。このセクションはオプションであり、認可ポリシーの定義対象である機能でデータ・セキュリティがサポートされているかどうかに基づきます。データ・セキュリティは、権限付与の対象となるエンティティの決定に使用されるエンティティ選択基準または検索基準の形式で表されます。データ・セキュリティは、特定のエンティティのリストにもできます。データ・セキュリティの機能性は、機能によって異なります。たとえば、基準によって、組織のリストに属しているユーザーに対する権限が割当て先に付与されることを指定できます。この基準では、データ・セキュリティに適用する追加のセキュリティ設定を提供できます。たとえば、ユーザー管理機能では、指定した組織とすべての子組織のユーザーがこのデータ・セキュリティ・ポリシーの範囲となるように、組織条件を下位の階層まで適用することを指示できます。