この章では、Oracle Identity Manager Design Consoleのユーザー管理について説明します。次の項で構成されます。
「ユーザー管理」フォルダには、会社の組織、ユーザー、ロールおよびリソースについての情報を作成、管理するためのツールがあります。
このフォルダには次のフォームが含まれています。
組織デフォルト: このフォームは、組織の内部構成を反映するレコードを表示したり、これらのエンティティに関連する情報を指定するために使用します。
ポリシーの履歴: このフォームは、従業員が必要とするユーザー・レコードを表示するために使用します。
ロール: このフォームは、ロールのレコードを表示するために使用します。このロールは以前のリリースのOracle Identity Managerではユーザー・グループと呼ばれていたもので、これに対して共通機能を割り当てることができます。
組織デフォルト・フォームは、「ユーザー管理」フォルダにあります。このフォームは、組織の構成を反映するレコードを表示したり、組織のエンティティに関連する情報を入力および変更するために使用します。組織のレコードには、会社、部門、支店などの組織単位に関する情報が含まれます。
サブ組織は、別の組織のメンバーである組織、たとえば、会社の部門などを指します。サブ組織が所属する組織は親組織と呼ばれます。
組織デフォルト・タブは、現在の組織に対してプロビジョニングできるリソースの、カスタムのプロセス・フォームのデフォルトのパラメータ値を指定するために使用します。各プロセス・フォームは、その組織に対して許可されているリソース・オブジェクト、または関連する「リソース・オブジェクト」フォームの「すべて許可」オプションが選択されているリソースに関連付けられています。
組織デフォルト・タブで指定された値は、組織のすべてのユーザーのデフォルト値になります。パスワードや暗号化されたパラメータにはデフォルト値を指定しないことをお薦めします。
図15-1に組織デフォルト・フォームを示します。
表15-1に、組織デフォルト・フォームのフィールドの説明を示します。
ポリシーの履歴フォームは、ユーザーに対して許可されているか、または許可されていないリソースについての情報を表示するために使用します。
Oracle Identity Managerでは、次の2つのユーザー・タイプがあります。
エンドユーザー管理者: このユーザーは、Oracle Identity Manager Design Consoleや、Oracle Identity Manager管理およびユーザー・コンソールにアクセスできます。システム管理者は、エンドユーザー管理者がOracle Identity Manager Design Consoleでフォームのサブセットにアクセスできるように権限を設定します。
エンドユーザー: このユーザーは、Oracle Identity Manager管理およびユーザー・コンソールのみにアクセスでき、一般にはエンドユーザー管理者より少ない権限を持ちます。管理およびユーザー・コンソールを使用してリクエストをプロビジョニングする場合に、ユーザーの組織の「許可済オブジェクト」タブでセルフサービスとして定義されているリソース・オブジェクトのみを使用できます。
表15-1に、このフォームを示します。
表15-2に、ポリシーの履歴フォームのフィールドの説明を示します。
Table 15-2 ポリシーの履歴フォームのフィールド
フィールド名 | 説明 |
---|---|
ユーザーID |
ユーザーのOracle Identity ManagerログインID。 |
名 |
ユーザーのファースト・ネーム。 |
ミドルネーム |
ユーザーのミドル・ネーム。 |
姓 |
ユーザーのラスト・ネーム。 |
電子メール・アドレス |
ユーザーの電子メール・アドレス。 |
開始日 |
ユーザーのアカウントがアクティブになる日付。 |
ステータス |
ユーザーの現在のステータス(「有効」、「無効」または「削除」のいずれか)。 |
組織 |
ユーザーが所属する組織。 |
ユーザー・タイプ |
ユーザーの分類ステータス。有効なオプションは、「エンドユーザー」と「エンドユーザー管理者」です。Oracle Identity Manager Design Consoleへのアクセス権があるのは「エンドユーザー管理者」のみです。 |
従業員タイプ |
親組織でのユーザーの雇用ステータス(たとえば、フルタイム、パート、研修生など)。 |
マネージャID |
ユーザーのマネージャ。 |
終了日 |
ユーザーのアカウントが無効になる日付。 |
作成日 |
ユーザー・レコードが作成された日付と時刻。 |
このタブは、次の基準に基づいてユーザーに対して許可されているか、または許可されていないリソース・オブジェクトを表示するために使用します。
ユーザーが所属するユーザー・グループのアクセス・ポリシー
ユーザーが所属する組織によって許可されているリソース・オブジェクト
ポリシーの履歴タブには、表示選択リージョンが含まれます。このタブの内容を整理するには、次に示すように、このリージョンの一番上のボックスに移動し、そのメニューから項目を選択します。
リソース・ポリシー・サマリー: ユーザーの組織および適用されるアクセス・ポリシーに基づいて許可されているか、または許可されていないリソース・オブジェクトを表示します。
組織による不許可: ユーザーの組織に基づいて、許可されていないリソース・オブジェクトのみを表示します。
ポリシーによるリソース: ユーザーがメンバーであるユーザー・グループのアクセス・ポリシーが含まれる2番目のボックスを表示します。
アクセス・ポリシーに基づいてユーザーに対して許可されているか、または許可されていないリソース・オブジェクトを表示するには、このボックスからアクセス・ポリシーを選択します。
追跡システムを使用すると、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーに基づいて、ユーザーが許可されているか、または許可されていないリソースを表示できます。
ユーザーに対して許可されているリソース・オブジェクトは、許可されたリソース・リストに表示されます。このリストは、そのユーザーに対してプロビジョニングできるリソース・オブジェクトを表しています。そのユーザーに対してプロビジョニングされているリソース・オブジェクトを表しているわけではありません。
そのユーザーに対して拒否されているリソース・オブジェクトは、許可されていないリソース・リストに表示されます。
追跡システムを表示するには:
ポリシーの履歴タブに移動します。
このタブで表示選択リージョンを見つけます。
ポリシーの履歴をクリックします。
ユーザー・ポリシー・プロファイルの履歴ウィンドウから、次に示す手順で選択したユーザーおよび日時に対して許可されているか、または許可されていないリソースを表示できます。
履歴日付ボックスで、日付を選択できます。
「表示タイプ」ボックスから、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーの、いずれかまたは両方に基づいて、ユーザーが許可されているか、または許可されていないリソースを表示できます。
「ポリシー」ボックスから、そのユーザーに対してどのリソース・オブジェクトが許可されるか許可されないかを決定するアクセス・ポリシーを表示できます。
グループ権限フォームは、「ユーザー管理」フォルダに表示されます。これは、フォームの作成と移動、およびロールのメンバーがエクスプローラを使用してアクセスできるフォームおよびフォルダの指定を行うために使用します。
グループ権限フォームを使用してロールに対するフォームおよびフォルダを指定するには、次のようにします。
エクスプローラで、グループ権限をダブルクリックします。
図15-3に示すように、ユーザー・グループ情報ページが表示されます。
「グループ名」フィールドに、ロールの名前を入力します。
「割当て」をクリックします。
ユーザー・フォームの「割当て」参照表が表示されます。
参照表から、このロールに対するユーザー・フォームを選択します。
矢印ボタンを使用して、「割当てられるフォーム」リストに対して追加や削除を行います。
「OK」をクリックします。
新しく追加したユーザー・フォームはグループ権限表にリストされます。グループ権限表には、選択できるすべてのロールが表示されます。この表には、ユーザー・フォームの名前とタイプが表示されます。グループ権限表には、javaformとfolderの2つのタイプがあります。javaformはJavaベースのグラフィカル・インタフェースです。folderには、1つ以上のjavaformが含まれています。
関連項目: Oracle Identity Managerの既存ロールの詳細は、「デフォルトのロール」を参照してください。 |