| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース2(11.1.2.1.0) B69542-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース2(11.1.2.1.0) B69542-04 |
|
前 |
次 |
Oracle Identity Managerでは、組織エンティティは、ユーザー、他の組織などのエンティティの論理的なコンテナを表します。Oracle Identity Managerの組織は、セキュリティ目的でのみ使用されます。企業組織、LDAP組織、組織単位のいずれでもありません。
組織に関連する概念、および組織を管理する手順については、次の各項で説明します。
Vision Inc.は、委任管理の一般的な事例を示すためにこのドキュメントで使用する架空の会社です。ユーザーには、Employees、Contractors、Suppliers、Partners、Customersの5つのタイプがあります。各ユーザーには約100個のアプリケーションがプロビジョニングされます。この例で提案するソリューションはIDMと呼びます。
図13-1に示すように、Vision Inc.には、2つの主要なユーザー・セット(EmployeesとContractorsで構成されるInternal Users、およびPartners、Suppliers、Customersで構成されるExternal Users)があります。
Internal Usersは、Oracle Identity Self Serviceを使用してHR管理者によって直接搭載され管理されます。図13-1に示されるように、IDM管理者は様々なPartners、SuppliersおよびCustomersを作成し、これらの各組織に委任管理者を割り当てます。たとえば、IDM管理者は、Partner1というパートナ組織を作成および管理し、Partner1の下に1人以上のユーザーを作成し、その組織の委任管理者としてこれらのユーザーの1人以上を割り当てることができます。その後、委任管理者(たとえば、Partner1 DA)は、Partner1の下に追加の階層(たとえば、Partner1 USとPartner1 EMEA)を作成し、これらの各組織の下に委任管理者を指定することができます。たとえば、Partner1 DAは、Partner1 USの下にPartner1 USの委任管理者としてUser1を指定できます。この階層レベルは、n番目のレベルまで指定できます。
これらの各組織の下に作成されたユーザーは、厳密な権限モデルに従います。たとえば、External Users組織のユーザーは、Internal Usersを参照できませんが、IDM管理者の一部であるInternal Usersは、Internal UsersとExternal Usersの両方を参照できます。Partner1 DAはPartner2の下のユーザーを参照できず、その逆も同様です。同様に、Partner1 US DAはPartner1 EMEAのユーザーを参照できません。親委任管理者は、すべての子委任管理者を参照できますが、その逆はできません。たとえば、Partner1 DAはPartner1 USおよびPartner1 EMEAのユーザーを参照できますが、Partner1 USのユーザーはPartner1 USのユーザーしか参照できません。この委任モデル全体は、組織階層、ユーザーへのビューア管理ロールの割当て、およびユーザーが属する組織のみへのエンティティの公開によって達成されます。
リソースを表示したりアクセスする組織のユーザーの能力は、階層に従います。たとえば、Partner1に許可されているすべてのリソースおよびロールは、Partner1 USおよびPartner1 EMEAにデフォルトで表示されます。これは、このドキュメントの後半で説明するエンティティの公開時に、下位組織を含めるフラグを選択することによって実現されます。公開と委任はどちらも組織階層を認識します。各委任管理者は、対応するエンティティに対するリソースの可用性をさらに制限することができます。
委任管理モデルは、次によって実現されます。
組織定義: ユーザーおよびエンティティは組織と呼ばれる論理的なコンテナに定義され、属性のセットは組織に対して定義されています。詳細は、「組織エンティティ定義」を参照してください。
論理的な組織階層を使用した組織のスコープ: 特定のユーザー・セットに対するエンティティのスコープ。これは、すべてのユーザーがすべてのエンティティを表示したりアクセスできるわけではないことを意味します。たとえば、Partners組織のユーザーは、Partners組織で使用可能なロール、権限およびアプリケーション・インスタンスのみを表示できます。これらのユーザーは、Suppliers組織およびCustomers組織で使用可能なエンティティを表示したりアクセスすることはできません。詳細は、「組織のスコープと階層」を参照してください。
組織へのエンティティの公開: エンティティは組織のユーザーが使用できるようになります。詳細は、「組織へのエンティティの公開」を参照してください。
管理ロール: ユーザーのエンティティに対する権限は、ユーザーへの管理ロールの割当てによって制御されます。詳細は、「管理ロール」を参照してください。
Oracle Identity Managerでは、組織エンティティに対してデフォルトで属性が定義されています。これらの属性は、すべてのエンティティ(ユーザー、組織、ロール、ロール階層、ロール・メンバーシップなど)で同じです。エンティティに対して定義される属性のリストは、「ユーザー・エンティティ定義」を参照してください。
表13-1に、組織エンティティのデフォルト属性を示します。
表13-1 組織エンティティのデフォルト属性
| 属性名 | カテゴリ | タイプ | データ型 | 表示タイプ | プロパティ |
|---|---|---|---|---|---|
|
組織名 |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: はい システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい |
|
タイプ |
基本 |
単一 |
文字列 |
LOV |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい |
|
親組織 |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: いいえ システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい |
|
ステータス |
基本 |
単一 |
文字列 |
単一行テキスト |
必須: はい システムによるデフォルト設定が可能: はい システム制御: はい 暗号化: クリア ユーザー検索可能: はい |
|
パスワード・ポリシー |
基本 |
単一 |
文字列 |
LOV |
必須: false システムによるデフォルト設定が可能: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい |
Oracle Identity Managerでは、組織階層のルートは最上位組織によって表されます。最上位組織は、Oracle Identity Managerで使用可能な事前定義された組織です。デフォルトでは、Oracle Identity Managerのすべての組織が最上位組織から拡張されます。
Oracle Identity Managerでは、委任管理および様々なエンティティのデータ・セキュリティを行う組織レベルのスコープ・メカニズムが提供されます。これは、次によって実現されます。
組織のユーザーの管理ロール・メンバーシップ: ユーザーには、組織のスコープの管理ロールを割り当てることによって、その組織に対する権限が割り当てられます。
組織で使用可能なエンティティ: データは、その可用性を組織のセットのみに制限することによって保護されます。データを組織のスコープで使用可能にするプロセスは、公開と呼ばれます。ユーザーの管理ロールが組織に公開され、エンティティが同じ組織に公開されている場合、ユーザーは、その管理ロールによる割当てに応じてエンティティ操作の実行を許可されます。
組織へのエンティティの公開とは、エンティティをその組織で使用可能にすることです。エンタープライズ・ロール、権限またはアプリケーション・インスタンスは、それぞれの管理者によって組織のリストに公開することによって、それらの組織のユーザーに付与することができます。エンタープライズ・ロール、権限およびアプリケーション・インスタンスが組織のリストに公開されると、次のことが可能になります。
組織のリストのユーザーにリクエスト可能
これらのロールを管理する組織管理者のリストが管理しやすい
「アイデンティティ・セルフ・サービス」のそれぞれのエンティティ詳細ページの「組織」タブから、エンティティを組織に公開できます。
エンティティ管理者がエンティティを作成すると(たとえば、ロール管理者がエンタープライズ・ロールを作成すると)、そのエンティティ(この例では、ロール)は、管理者がエンティティ管理ロールを所有するすべての組織で自動的に使用可能になります。これにより、それぞれの組織または組織階層で管理用のエンティティが作成され公開されるのを防ぐことができます。ただし、他の組織にエンティティを公開する必要がある場合は、そのエンティティを手動で公開する必要があります。
管理ロールはOracle Identity Managerの最初のクラス・エンティティで、エンタープライズ・ロールまたはグループ・エンティティと同じではありません。Oracle Identity Managerの認可およびセキュリティ・モデルは、ユーザーへの管理ロールの割当てに基づいて機能します。割当ては、指定された組織のスコープまたは最上位組織のスコープに指定できます。前述のように、最上位組織はOracle Identity Managerの組織階層のルートです。認可ポリシーは管理ロールに従って作成されます。管理ロールはOracle Identity Managerに事前定義されていて、新しい管理ロールは追加できません。管理ロールは作成、更新、削除またはリクエストすることができません。
エンティティには次の管理ロールが定義されています。
エンティティ管理者: エンティティのライフサイクル全体を管理し、エンティティですべての操作を実行できます。
エンティティ・ビューア: カタログ・プロファイルまたはリクエスト・プロファイルのエンティティ、およびエンティティのリクエストを表示できます。
エンティティ認可者: カタログ・プロファイルまたはリクエスト・プロファイルのエンティティ、およびエンティティのリクエストを表示できますが、承認は必要ありません。組織のメンバーシップはリクエストできないため、組織エンティティの認可者はいません。同様に、ユーザーの認可者もいません。ユーザー管理者とユーザー認可者は同じです。
ただし、エンティティ管理者に特定の例外があります。たとえば、ロール管理者は、そのロールに対してユーザーを割り当てたり失効させることはできません。ロールに対してユーザーを割り当てたり失効させるには、ロール管理者は次のうちのいずれか1つを明示的に所有している必要があります。
「ロール・ビューア」ロール: 承認を条件とするリクエストを使用して、そのロールに対してユーザーを割り当てたり失効させることができる。
「ロール認可者」ロール: 直接的な操作によって、そのロールに対してユーザーを割り当てたり失効させることができる。
同様に、アプリケーション・インスタンス管理者および権限管理者も、それぞれのエンティティに対してユーザーを割り当てたり失効させることはできません。それぞれリクエストまたは直接的な操作によって、そのエンティティに対してユーザーを割り当てたり失効させることができるためには、これらの管理ロールは、「エンティティ・ビューア」ロールまたは「エンティティ認可者」ロールを明示的に所有している必要があります。
管理ロールには階層がありません。ただし、管理ロール・メンバーシップは階層を認識するので、子組織にカスケードできます。管理ロール・メンバーシップは常に組織ごとのスコープに指定され、システム管理者またはシステム構成者によってのみ割り当てることができます。管理ロールには、自動グループ・メンバーシップまたはロール・メンバーシップのルールがありません。
|
注意: 管理ロールは、LDAPデータ・ストアに格納することができず、Oracle Identity Managerデータベースに格納されます。 |
管理ロールは、管理ロールというロール・カテゴリに属しています。管理ロールはリクエストすることができず、エンド・ユーザーには決して公開されません。システム機能を実行するために、これらのロールにユーザーを割り当てる必要がある「システム管理者」ロールおよび「システム構成者」ロールのみが、管理ロールにアクセスできます。
「システム管理者」管理ロールおよび「システム構成者」管理ロールは、最上位組織のみが使用可能です。したがって、最上位組織へのアクセス権があるシステム管理者およびシステム構成者のみが、「システム管理者」ロールおよび「システム構成者」ロールを割り当てることができます。組織にリソースをプロビジョニングできるのはシステム管理者のみです。
表13-2に、各エンティティに対するOracle Identity Managerの管理ロールを示します。
|
注意: 表13-2には、「組織の基本情報」、「ロールの基本情報」、「権限の基本情報」および「アプリケーション・インスタンスの基本情報」という暗黙的権限が含まれています。「基本情報」の権限では、指定されたエンティティを検索および表示するための権限のみが付与されます。次に例を示します。
|
表13-2 Oracle Identity Managerの管理ロール
| エンティティ | 管理者ロール | 説明 |
|---|---|---|
|
システム管理者 |
すべての権限を持つ、Oracle Identity Managerシステム管理者ロール |
|
|
システム構成者 |
Oracle Identity Managerを構成する権限を持つロール |
|
|
SPML管理者 |
SPML操作を管理するSPML管理者 |
|
|
ロール |
ロール管理者 |
割り当てられたすべてのエンタープライズ・ロールを管理する権限を持つロール |
|
ロール認可者 |
割り当てられたすべてのエンタープライズ・ロールを認可する権限を持つロール。ロール認可者は、直接的な操作によってロールを付与できます。 |
|
|
ロール・ビューア |
割り当てられたエンタープライズ・ロールを表示する権限を持つロール |
|
|
権限 |
権限管理者 |
割り当てられたすべての権限を管理する権限を持つロール |
|
権限認可者 |
割り当てられたすべての権限を認可する権限を持つロール |
|
|
権限ビューア |
割り当てられたすべての権限を表示する権限を持つロール |
|
|
アプリケーション・インスタンス |
アプリケーション・インスタンス管理者 |
割り当てられたすべてのアプリケーション・インスタンスを管理する権限を持つロール |
|
アプリケーション・インスタンス認可者 |
割り当てられたすべてのアプリケーション・インスタンスを認可する権限を持つロール |
|
|
アプリケーション・インスタンス・ビューア |
割り当てられたすべてのアプリケーション・インスタンスを表示する権限を持つロール |
|
|
組織 |
組織管理者 |
割り当てられたすべての組織を管理する権限を持つロール |
|
組織ビューア |
割り当てられたすべての組織を表示する権限を持つロール |
|
|
ユーザー |
ユーザー管理者 |
割り当てられたすべてのユーザーを管理する権限を持つロール |
|
ヘルプ・デスク |
ユーザーを管理するヘルプ・デスク |
|
|
ユーザー・ビューア |
割り当てられたすべてのユーザー・レコードを表示する権限を持つロール |
|
|
カタログ |
カタログ管理者 |
すべてのカタログ項目を管理する権限を持つロール |
|
関連項目: 管理ロールの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のセキュリティ・アーキテクチャに関する説明を参照してください。 |
表13-3に、Oracle Identity Managerの管理ロール、および管理ロールによって提供される許可された対応する権限を示します。
表13-3 管理ロールと権限
| Oracle Identity Managerの管理ロール | 暗黙的権限 | スコープ指定された組織の権限 | リクエストまたは直接的な操作 |
|---|---|---|---|
|
ユーザー管理者 |
組織ビューア |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
ロール・ビューア |
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
|
|
権限ビューア |
ユーザーの作成 |
直接 |
|
|
アプリケーション・インスタンス・ビューア |
ユーザーの削除 |
直接 |
|
|
ユーザーの変更(属性レベルのセキュリティ) |
直接 |
||
|
ユーザーのロック |
該当なし |
||
|
ユーザーのロック解除 |
該当なし |
||
|
ユーザーの有効化 |
直接 |
||
|
ユーザーの無効化 |
直接 |
||
|
ロールの付与 |
直接 |
||
|
ロールの失効 |
直接 |
||
|
アカウントの付与 |
直接 |
||
|
アカウントの失効 |
直接 |
||
|
権限の付与 |
直接 |
||
|
権限の失効 |
直接 |
||
|
ユーザー・パスワードの変更 |
該当なし |
||
|
アカウント・パスワードの変更 |
該当なし |
||
|
ユーザー・アカウントの変更 |
直接 |
||
|
ユーザー・アカウントの有効化 |
直接 |
||
|
ユーザー・アカウントの無効化 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
管理ロール・メンバーシップの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
プロキシの追加 |
直接 |
||
|
プロキシの削除 |
直接 |
||
|
ヘルプ・デスク |
組織の基本情報 |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
ロールの基本情報 |
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
|
|
権限の基本情報 |
ユーザーの有効化 |
リクエスト |
|
|
アプリケーション・インスタンスの基本情報 |
ユーザーの無効化 |
リクエスト |
|
|
ユーザーのロック解除(ログインの失敗が原因でロックアウトされている場合のみ) |
直接 |
||
|
ユーザー・パスワードの変更 |
直接 |
||
|
アカウント・パスワードの変更 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ユーザー・ビューア |
組織ビューア |
ユーザーの作成 |
リクエスト |
|
ロール・ビューア |
ユーザーの削除 |
リクエスト |
|
|
権限ビューア |
ユーザーの変更(属性レベルのセキュリティ) |
リクエスト |
|
|
アプリケーション・インスタンス・ビューア |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
|
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
||
|
ユーザーの有効化 |
リクエスト |
||
|
ユーザーの無効化 |
リクエスト |
||
|
ロールの付与 |
リクエスト |
||
|
ロールの失効 |
リクエスト |
||
|
アカウントの付与 |
リクエスト |
||
|
アカウントの失効 |
リクエスト |
||
|
権限の付与 |
リクエスト |
||
|
権限の失効 |
リクエスト |
||
|
ユーザー・アカウントの変更 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
ユーザー・アカウントの有効化 |
リクエスト |
||
|
ユーザー・アカウントの無効化 |
リクエスト |
||
|
管理ロール・メンバーシップの表示 |
該当なし |
||
|
管理ロールの追加 |
該当なし |
||
|
管理ロールの削除 |
該当なし |
||
|
管理ロール・メンバーシップの変更 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ロール・ビューア |
組織の基本情報 |
ロールの付与 |
リクエスト |
|
ユーザーの基本情報 |
ロールの失効 |
リクエスト |
|
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
組織ビューア |
組織の基本情報 |
組織の検索 |
該当なし |
|
ユーザーの基本情報 |
組織の表示 |
該当なし |
|
|
アプリケーション・インスタンスの情報 |
ユーザーの表示 |
該当なし |
|
|
権限の情報 |
ロールの表示 |
該当なし |
|
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
すべてのパブリケーションの表示 |
該当なし |
||
|
すべての組織メンバーの表示 |
該当なし |
||
|
管理ロールおよびメンバーシップの表示 |
該当なし |
||
|
組織にプロビジョニングされたアカウントの表示 |
該当なし |
||
|
アプリケーション・インスタンス・ビューア |
ユーザーの基本情報 |
アプリケーション・インスタンスの検索 |
該当なし |
|
組織の基本情報 |
アプリケーション・インスタンスの表示(パスワードを除く) |
該当なし |
|
|
権限の情報 |
アカウントの付与 |
リクエスト |
|
|
アカウントの失効 |
リクエスト |
||
|
ユーザー・アカウントの変更 |
リクエスト |
||
|
ユーザー・アカウントの有効化 |
リクエスト |
||
|
ユーザー・アカウントの無効化 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
権限ビューア |
ユーザーの基本情報 |
権限の検索 |
該当なし |
|
組織の基本情報 |
権限の表示 |
該当なし |
|
|
アプリケーション・インスタンスの基本情報 |
権限の付与 |
リクエスト |
|
|
権限の失効 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ロール管理者 |
ユーザーの基本情報 |
ロールの検索 |
該当なし |
|
組織の基本情報 |
ロールの表示 |
該当なし |
|
|
ロールの作成 |
直接 |
||
|
ロールの変更 |
直接 |
||
|
ロールの削除 |
直接 |
||
|
ロール・メンバーの表示 |
該当なし |
||
|
ロール階層の管理 |
直接 |
||
|
ロールの公開(許可された組織に対してのみ) |
直接 |
||
|
ロールの公開解除(許可された組織に対してのみ) |
直接 |
||
|
ロール・メンバーシップ・ルールの管理 |
直接 |
||
|
ロール・カテゴリの作成 |
直接 |
||
|
ロール・カテゴリの更新 |
直接 |
||
|
ロール・カテゴリの削除 |
直接 |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
アプリケーション・インスタンス管理者 |
ユーザーの基本情報 |
アプリケーション・インスタンスの作成 |
直接 |
|
組織の基本情報 |
アプリケーション・インスタンスの変更 |
直接 |
|
|
権限管理者 |
アプリケーション・インスタンスの削除 |
直接 |
|
|
アプリケーション・インスタンスの検索 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アプリケーション・インスタンスの公開(許可された組織に対してのみ) |
直接 |
||
|
アプリケーション・インスタンスの公開解除(許可された組織に対してのみ) |
直接 |
||
|
権限の公開(許可された組織に対してのみ) |
直接 |
||
|
権限の公開解除(許可された組織に対してのみ) |
直接 |
||
|
拡張UIへのアクセス |
該当なし |
||
|
アカウントの表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
組織管理者 |
ユーザーの基本情報 |
組織の検索 |
該当なし |
|
アプリケーション・インスタンスの基本情報 |
組織の表示 |
該当なし |
|
|
権限の基本情報 |
組織の作成 |
直接 |
|
|
ロールの基本情報 |
組織の変更 |
直接 |
|
|
組織の削除 |
直接 |
||
|
管理ロールに対するすべてのロール管理者権限 |
直接 |
||
|
特定の組織に対する組織階層の更新 |
直接 |
||
|
パスワード・ポリシーの関連付け |
直接 |
||
|
メンバーの表示 |
該当なし |
||
|
公開されたロールの表示 |
該当なし |
||
|
公開されたアプリケーション・インスタンスの表示 |
該当なし |
||
|
公開された権限の表示 |
該当なし |
||
|
組織にプロビジョニングされたアカウントの表示 注意: 組織へのリソースのプロビジョニングは、システム管理者のみに許可されます。 |
該当なし |
||
|
権限管理者 |
ユーザーの基本情報 |
権限の検索 |
該当なし |
|
アプリケーション・インスタンスの基本情報 |
権限の表示 |
該当なし |
|
|
組織の基本情報 |
権限(API)の追加 |
直接 |
|
|
権限(API)の削除 |
直接 |
||
|
権限(API)の更新 |
直接 |
||
|
権限の公開(許可された組織に対してのみ) |
直接 |
||
|
権限の公開解除(許可された組織に対してのみ) |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アカウントの表示 |
該当なし |
||
|
権限メンバーの表示 |
該当なし |
||
|
組織のデータ・セキュリティを適用する公開された権限(API)の表示 |
該当なし |
||
|
カタログ管理者 |
アプリケーション・インスタンスの基本情報 |
カタログ・メタデータの編集 |
直接 |
|
権限の基本情報 |
リクエスト・プロファイルの作成 |
直接 |
|
|
ロールの基本情報 |
リクエスト・プロファイルの変更 |
直接 |
|
|
リクエスト・プロファイルの削除 |
直接 |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
ロール認可者 |
ユーザーの基本情報 |
ロールの表示 |
該当なし |
|
組織の基本情報 |
ロールの付与 |
直接 |
|
|
ロールの失効 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
アプリケーション・インスタンス認可者 |
ユーザーの基本情報 |
アプリケーション・インスタンスの検索 |
該当なし |
|
組織の基本情報 |
アプリケーション・インスタンスの表示(パスワードを除く) |
該当なし |
|
|
アカウントの付与 |
直接 |
||
|
アカウントの失効 |
直接 |
||
|
アカウントの変更 |
直接 |
||
|
アカウントの有効化 |
直接 |
||
|
アカウントの無効化 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
権限認可者 |
ユーザーの基本情報 |
権限の検索 |
該当なし |
|
組織の基本情報 |
権限の表示 |
該当なし |
|
|
アプリケーション・インスタンスの基本情報 |
権限の付与 |
直接 |
|
|
権限の失効 |
直接 |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
カタログ・システム管理者 |
アプリケーション・インスタンスの基本情報 |
カタログ・メタデータの編集 |
直接 |
|
権限の基本情報 |
リクエスト・プロファイルの作成 |
直接 |
|
|
ロールの基本情報 |
リクエスト・プロファイルの変更 |
直接 |
|
|
リクエスト・プロファイルの削除 |
直接 |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
システム構成管理者 |
ロールの基本情報 |
フォームの表示 |
該当なし |
|
組織の基本情報 |
フォームの作成 |
該当なし |
|
|
アプリケーション・インスタンスの基本情報 |
フォームの変更 |
該当なし |
|
|
権限の基本情報 |
フォームの削除 |
該当なし |
|
|
コネクタのインポート |
該当なし |
||
|
コネクタのエクスポート |
該当なし |
||
|
リソース・オブジェクトの表示 |
該当なし |
||
|
リソース・オブジェクトの作成 |
該当なし |
||
|
リソース・オブジェクトの変更 |
該当なし |
||
|
リソース・オブジェクトの削除 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アプリケーション・インスタンスの作成 |
該当なし |
||
|
アプリケーション・インスタンスの変更 |
該当なし |
||
|
アプリケーション・インスタンスの削除 |
該当なし |
||
|
アプリケーション・インスタンスの公開 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
権限の公開 |
該当なし |
||
|
権限の削除 (APIを使用) |
該当なし |
||
|
権限の変更 (APIを使用) |
該当なし |
||
|
権限の追加 (APIを使用) |
該当なし |
||
|
承認ポリシーの表示 |
該当なし |
||
|
承認ポリシーの作成 |
該当なし |
||
|
承認ポリシーの変更 |
該当なし |
||
|
承認ポリシーの削除 |
該当なし |
||
|
拡張UIへのアクセス |
該当なし |
||
|
パスワード・ポリシーの表示 |
該当なし |
||
|
パスワード・ポリシーの作成 |
該当なし |
||
|
パスワード・ポリシーの変更 |
該当なし |
||
|
パスワード・ポリシーの削除 |
該当なし |
||
|
通知の表示 |
該当なし |
||
|
通知の作成 |
該当なし |
||
|
通知の削除 |
該当なし |
||
|
通知の変更 |
該当なし |
||
|
通知へのロケールの追加 |
該当なし |
||
|
通知からのロケールの削除 |
該当なし |
||
|
非同期イベント・ハンドラの完了 |
該当なし |
||
|
編成操作 |
該当なし |
||
|
プラグインの登録 |
該当なし |
||
|
プラグインの登録解除 |
該当なし |
||
|
スケジュール済ジョブの表示 |
該当なし |
||
|
スケジューラの開始 |
該当なし |
||
|
スケジューラの停止 |
該当なし |
||
|
タスクの追加 |
該当なし |
||
|
タスクの変更 |
該当なし |
||
|
タスクの削除 |
該当なし |
||
|
トリガーの作成 |
該当なし |
||
|
トリガーの削除 |
該当なし |
||
|
トリガーの変更 |
該当なし |
||
|
ジョブの表示 |
該当なし |
||
|
ジョブの作成 |
該当なし |
||
|
ジョブの変更 |
該当なし |
||
|
ジョブの削除 |
該当なし |
||
|
ジョブの有効化 |
該当なし |
||
|
ジョブの無効化 |
該当なし |
||
|
ジョブの即時実行 |
該当なし |
||
|
ジョブの一時停止 |
該当なし |
||
|
ジョブの再開 |
該当なし |
||
|
ジョブの停止 |
該当なし |
||
|
ステータスのリセット |
該当なし |
||
|
システム・プロパティの表示 |
該当なし |
||
|
システム・プロパティの作成 |
該当なし |
||
|
システム・プロパティの変更 |
該当なし |
||
|
システム・プロパティの削除 |
該当なし |
||
|
属性の表示 |
該当なし |
||
|
属性の追加 |
該当なし |
||
|
属性の変更 |
該当なし |
||
|
属性の削除 |
該当なし |
||
|
導出属性の追加 |
該当なし |
||
|
SPML管理者 |
ユーザーの作成、変更および削除 |
リクエスト |
|
|
すべての属性のユーザーの検索 |
該当なし |
||
|
ユーザー・ステータスの有効化 |
リクエスト |
||
|
ユーザー・ステータスの無効化 |
リクエスト |
||
|
ロール・メンバーシップの追加 |
リクエスト |
||
|
ロール・メンバーシップの削除 |
リクエスト |
||
|
すべての属性のロールの検索 |
該当なし |
||
|
ロールの作成、変更および削除 |
リクエスト |
|
注意: マネージャのみがマネージャのReporteeを表示または変更できるように、ホーム組織の権限に制限を追加できます。そのためには、認可ポリシー管理(APM) UIを使用して次のポリシーを開き、削除します。
Oracle Identity Managerアプリケーションへのユーザー・アクセスの制御に使用される認可ポリシーの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の「セキュリティ・アーキテクチャ」を参照してください。 |
他のユーザー(委任管理者)に委任することができる操作があります。操作は次のとおりです。
ユーザーの作成
ユーザーの変更
ユーザーの有効化
ユーザーの無効化
パスワードの変更
ロールの割当て
組織の割当て
権限の割当て
アカウントのプロビジョニング
組織および組織階層の作成と管理
ロールおよびロール階層の作成と管理
ROおよびITリソース・インスタンスの作成と管理
次の操作は、他のユーザーに委任することはできません。
カタログの作成と管理
その他のシステム管理タスク
参照定義の管理
パスワード・ポリシー定義の管理
パスワード・ポリシーとは、パスワードの構文を管理するルールまたは条件のリストです。パスワード・ポリシーはシステム管理者によって作成されます。パスワード・ポリシーの作成および管理の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の「パスワード・ポリシーの管理」を参照してください。
組織管理者は、組織の作成中または後の任意の時点で、組織にパスワード・ポリシーを付加できます。組織を作成または変更する手順は、この章の後半で説明します。
Oracle Identity Managerでは、次のようなシナリオでパスワード・ポリシーが評価されます。
ユーザーがOracle Identity Managerに自分自身を登録して、Identity Self ServiceまたはOracle Identity System Administrationの特定のタスクを実行する場合。
ユーザーが「パスワードを忘れた場合」リンクを使用してパスワードをリセットする場合。
ユーザーが「本人情報」ページの「パスワードの変更」セクションから、エンタープライズ・パスワードまたはターゲット・システム・アカウントのパスワードを変更する場合。
管理者がユーザーのパスワードを手動で設定または変更する場合。
次に、ユーザーの有効なパスワード・ポリシーが評価される順序を示します。
ユーザーのホーム組織に設定されているパスワード・ポリシー(ある場合)は、ユーザーに適用されます。
パスワード・ポリシーがユーザーのホーム組織に設定されていない場合は、ユーザーのホーム組織の組織階層の次のレベルの組織のポリシーが選択されます。パスワード・ポリシーに関連付けられた組織が決定されるまで、ユーザーのホーム組織の階層の次のレベルの組織を識別するこの手順は繰り返されます。このパスワード・ポリシーはユーザーに適用されます。
階層のどの組織にもパスワード・ポリシーが設定されていない場合は、最上位組織に付加されたパスワード・ポリシーが適用されます。最上位組織に付加されたパスワード・ポリシーがない場合には、XellerateUsersリソースのデフォルト・パスワード・ポリシーが適用されます。
組織管理に関連するタスクは、「アイデンティティ・セルフ・サービス」の「組織」セクションで実行します。タスクについては、次の各項で説明します。
組織を検索する手順は、次のとおりです。
Identity Self Serviceにログインします。
左ペインの「管理」の「組織」をクリックします。「組織」ページが表示されます。
次のいずれかを選択します。
すべて: 検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: 検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「組織名」フィールドに、検索する組織名の検索属性を入力します。これを行うには、検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。かわりに、リストからコンパレータ「次と等しい」を選択することもできます。
ワイルドカード文字を使用して、組織名を指定できます。
「タイプ」リストから組織タイプを選択します。組織タイプには、「支店」、「会社」または「部門」があります。
検索のフィールドを追加する手順は、次のとおりです。
「フィールドの追加」をクリックし、「組織ステータス」などのフィールドを選択します。
追加した検索属性の値を入力します。この例では、「組織ステータス」リストから組織ステータス(「アクティブ」、「削除」または「無効」)を選択します。
検索に追加したフィールドを削除するには、フィールドの横にある「X」アイコンをクリックします。
「検索」をクリックします。結果は検索結果表に表示されます。
図13-2に示すように、検索結果表には、組織名、親組織名、組織タイプおよび組織ステータスが表示されます。
組織を作成するには、次の手順を実行します。
「アイデンティティ・セルフ・サービス」の「管理」の「組織」をクリックします。「組織」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。図13-3に示すように、「組織の作成」ページが表示されます。
「組織名」フィールドに、組織の名前を入力します。
「タイプ」リストから、組織のタイプ(「支店」、「会社」または「部門」)を選択します。
新規作成した組織が所属する親組織を指定します。手順は次のとおりです。
「親組織」フィールドの横にある「検索」アイコンをクリックします。「組織の検索」ダイアログ・ボックスが表示されます。
親組織として指定する組織を検索して選択します。
「選択」をクリックします。選択した組織が親組織として追加されます。
組織に関連付けるパスワード・ポリシー名を指定します。手順は次のとおりです。
「パスワード・ポリシー名」フィールドの横にある「検索」アイコンをクリックします。「パスワード・ポリシー名の検索」ダイアログ・ボックスが表示されます。
組織に関連付けるパスワード・ポリシーを検索して選択します。すべてのパスワード・ポリシーを表示するには、「検索」アイコンをクリックして、検索結果からパスワード・ポリシーを選択できます。
「追加」をクリックします。選択したパスワード・ポリシー名が、「パスワード・ポリシー名」フィールドに追加されます。
|
関連項目: パスワード・ポリシーの作成および管理の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のパスワード・ポリシーの管理に関する説明を参照してください。 |
「保存」をクリックして組織を作成します。
組織の表示操作では、「組織の詳細」ページで詳細な組織プロファイル情報を表示できます。このページは、認可ポリシーで定義されている組織プロファイルを表示する権限が付与されている場合のみ表示できます。また、組織の変更権限がある場合は、このページを使用して組織を変更できます。
組織の詳細を開く手順は、次のとおりです。
「アイデンティティ・セルフ・サービス」の「管理」の「組織」をクリックします。「組織」ページが表示されます。
詳細を表示する組織を検索して選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。図13-4に示すように、選択した組織の詳細が新しいページに表示されます。
「組織の詳細」ページでは、管理組織の変更を実行できます。変更は「組織の詳細」ページの複数のセクションで個別に行うため、各セクションで行った変更は他のセクションに影響を与えず、変更内容は個別に保存する必要があります。各セクションで行う変更については、次の各項で説明します。
図13-4に示すように、「組織の詳細」ページの「属性」タブには、組織の属性が表示されます。認可ポリシーで定義されている組織プロファイルを変更する権限が付与されている場合は、「組織の詳細」ページが編集可能モードで開き、組織情報を変更できます。属性の値を変更し、「適用」をクリックして変更内容を保存します。
ログイン・ユーザーが組織を変更できるかどうかは、認可ポリシーによって制御されます。組織の変更を許可されていない場合、「組織の詳細」ページは読取り専用モードで表示され、編集可能なフィールドはありません。
|
注意: 「組織の詳細」ページの「ステータス」属性は読取り専用です。 |
「子」タブには、開いている組織に所属する子組織のリストが表示されます。リスト内の各子組織に関して、組織名、組織タイプおよび組織ステータスが表示されます。
「子」タブを使用すると、次のことを実行できます。
「子」タブでは、「アクション」メニューから「下位組織の作成」を選択することによって、開いている組織の子組織または下位組織を作成できます。または、ツールバーにある「下位組織の作成」をクリックします。「組織の作成」ページが表示されます。「組織の作成」で説明する手順を実行して、子組織の作成を完了します。
子組織を削除する手順は、次のとおりです。
「子」タブで、削除する組織を選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
「はい」をクリックして確認します。選択した子組織が削除されます。
子組織を無効化する手順は、次のとおりです。
「子」タブで、無効化する組織を選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効化」をクリックします。確認を求めるメッセージが表示されます。
「はい」をクリックして確認します。選択した子組織が無効化されます。
子組織を有効化する手順は、次のとおりです。
「子」タブで、有効化する組織を選択します。
「アクション」メニューで、「有効化」を選択します。または、ツールバーにある「有効化」を選択します。確認を求めるメッセージが表示されます。
「はい」をクリックして確認します。選択した子組織が有効化されます。
「メンバー」タブは読取り専用タブで、選択した組織のユーザーのリストが表示されます。リスト内の各ユーザーに関して、次の情報が表示されます。
ユーザー・ログイン
表示名
名
姓
電子メール
|
ヒント: 「ユーザーの詳細」ページの「属性」タブを使用して、組織に対してユーザーを追加または削除できます。 |
組織のロールを表示するには、「組織の詳細」ページの「使用可能なロール」タブをクリックします。このタブには、ロール名、ロール・カテゴリおよび対応する組織名が表示されます。
組織に割り当てられている管理ロールを表示するには、「組織の詳細」ページの「管理ロール」タブをクリックします。このタブには、管理ロールとそれらに対応する説明が表示されます。管理ロールを選択すると、選択した管理ロールを持つユーザーが「ユーザー・メンバー」セクションに表示されます。また、このタブでは、開いている組織で利用可能な管理ロールをユーザーに対して付与および失効することができます。
「管理ロール」タブでは、次のタスクを実行できます。
ユーザーに管理ロールを付与する手順は、次のとおりです。
「組織の詳細」ページで、「管理ロール」タブをクリックします。開いている組織に割り当てられている管理ロールのリストが表示されます。
ユーザーに付与する管理ロールを選択します。
ツールバーにある「割当て」をクリックします。「ターゲット・ユーザーの拡張検索」ダイアログ・ボックスが表示されます。
選択した管理ロールを付与するターゲット・ユーザーを検索します。「自分の直下の表示のみ」オプションを選択すると、直属の部下のみを表示できます。
「ユーザー結果」セクションで、管理ロールを付与するユーザーを選択します。
選択したユーザーを「選択したユーザー」セクションに移動するには、「選択した項目の追加」をクリックします。また、すべてのユーザーを「ユーザー結果」セクションから「選択したユーザー」セクションに移動するには、「すべて追加」をクリックします。
「追加」をクリックします。選択したユーザーに管理ロールが付与されます。「管理ロール」タブで管理ロールをクリックすると、選択したユーザーのレコードが「ユーザー・メンバー」セクションに表示されます。
「ユーザー・メンバー」セクションで、ユーザー・レコードを選択します。「下位組織を含める」を選択すると、ユーザーの組織およびその下位組織に管理ロールが付与されます。管理ロールをユーザーの組織のみに付与する場合は、このオプションを選択しないでください。
組織で使用可能なアカウントは、組織に公開されているアカウントです。これは、アカウントが組織のユーザーによるリクエストに使用可能であることを意味します。組織で使用可能なアカウントを表示するには、「組織の詳細」ページの「使用可能なアカウント」タブをクリックします。
「プロビジョニングされたアカウント」タブには、開いている組織にプロビジョニングされているアカウントが表示されます。
「プロビジョニングされたアカウント」タブでは、次のタスクを実行できます。
組織にアカウントをプロビジョニングする手順は、次のとおりです。
「プロビジョニングされたアカウント」タブで、プロビジョニングするアカウントを選択します。
「アクション」メニューから「プロビジョニング」を選択します。または、ツールバーにある「プロビジョニング」をクリックします。
「組織にリソースをプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストからリソースを選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで、「続行」をクリックします。
「ステップ5: プロセス・データの指定」ページで、組織にプロビジョニングするアカウントの詳細を入力し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。「プロビジョニングは開始されています。」というメッセージが表示されます。
組織からアカウントを失効する手順は、次のとおりです。
「プロビジョニングされたアカウント」タブで、失効するアカウントを選択します。
「アクション」メニューから「失効」を選択します。または、ツールバーにある「失効」をクリックします。
確認を求めるメッセージが表示されます。
「はい」をクリックします。
プロビジョニングされたアカウントの詳細を表示する手順は、次のとおりです。
「プロビジョニングされたアカウント」タブで、開くアカウントを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
アカウントの詳細が新しいページに表示されます。
プロビジョニングされたアカウントを無効化する手順は、次のとおりです。
「プロビジョニングされたアカウント」タブで、無効化するアカウントを選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効化」をクリックします。
プロビジョニングされたアカウントが正常に無効化されたことを示すメッセージが表示されます。
開いている組織に公開された権限を表示するには、「使用可能な権限」タブをクリックします。各権限について、次の情報が表示されます。
権限名
権限に関連付けられているリソース
権限に関連付けられているアカウント名
組織名
|
注意: 子組織またはユーザーが含まれる組織は無効化できません。「ORG.DISABLEDELETEACTIONENABLED」システム・プロパティを「true」に設定した場合のみ、強制的に無効化できます。このプロパティを設定した場合は、親組織が無効化されるとユーザーおよび下位組織も無効化されます。 |
「有効」状態の組織を無効化する手順は、次のとおりです。
「組織の詳細」ページで、ページの上部にある「無効化」をクリックします。または、「組織」ページの組織の検索結果から組織を選択し、「アクション」メニューから「無効化」を選択します。
確認を求めるメッセージが表示されます。
「無効化」をクリックして確認します。
「無効」状態の組織を有効化する手順は、次のとおりです。
「組織」ページの組織の検索結果から、有効化する組織を選択します。
「アクション」メニューで、「有効化」を選択します。確認を求めるメッセージが表示されます。
「有効化」をクリックして確認します。
|
注意:
|
「組織」ページの組織の検索結果から、削除する組織を選択します。
「アクション」メニューから「削除」を選択します。または、「組織の詳細」ページの上部にある「削除」をクリックします。確認を求めるメッセージが表示されます。
「削除」をクリックして確認します。
