| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
このリリースのOracle Access Managerでは、システム管理者は、アプリケーション・ドメインの管理を他の管理者に委任することが可能です。アプリケーション・ドメイン管理者ロールはこのような目的で開発されました。
この章では、管理の委任の詳細について説明します。内容は次のとおりです。
管理を委任すると、上位の管理者は、よりローカルな他の管理者に職責を付与できます。この機能は、数千人または数百万人のユーザーを管理する必要のある大規模組織で役立ちます。管理を委任する場合は、別のユーザーに付与する権限を決定します。
スーパー/システム管理者は、アプリケーション・ドメインを管理する権限をアプリケーション・ドメイン管理者に付与できます。アプリケーション・ドメイン管理者は、さらに、そのアプリケーション・ドメインの管理権限を、他のアプリケーション・ドメイン管理者に委任できます。アプリケーション・ドメイン管理者は、リソース、認証ポリシーおよび認可ポリシーを作成および編集できます。これらの権限は1つ以上のアプリケーション・ドメインに対して有効となります。
事前定義されたデフォルトのロールは、Access Managerのインストール後に使用可能となります。管理ロールと読取り専用ロールの両方があり、これらは実際には階層となっており、親(super)ロールは権限のスーパーセットを持ち、これらは子ロールに割り当てることができます。Access Managerシステム管理者は、次の内容を管理できます。
すべてのアプリケーションおよびコンポーネント・ポリシー・オブジェクト(リソース、認証ポリシー、認可ポリシー、トークン発行ポリシーなど)
共有コンポーネント(認証スキーム、ホスト識別子、リソース・タイプなど)
システム構成(共通構成、Access Manager設定と認証モジュール、セキュリティ・トークン・サービス設定、カスタム・トークン、エンドポイント、テンプレートとプロファイル、Access Managerエージェントとセキュリティ・トークン・サービス・パートナなど)
エージェントとパートナ
システム管理者は、1つ以上のアプリケーション・ドメインの管理権限を、アプリケーション・ドメイン管理者に委任できます。アプリケーション・ドメイン管理者は、さらに、そのアプリケーション・ドメインの管理権限を、他のアプリケーション・ドメイン管理者に委任できます。
|
注意: ロールをユーザーに割り当てることができるのはスーパー管理者またはグローバル・システム管理者のみです。ユーザーがロールをさらに他のユーザーに委任することはできません。 |
表4-1は、デフォルトの管理者ロールを示しています。
Access Managerシステム・アイデンティティ・ストアは、管理操作の実行時に認証および認可を実施するために使用されます。システム・アイデンティティ・ストアとして定義されているLDAPディレクトリには、管理コンソールへのアクセス権を持つすべての管理者が含まれます。管理者は、新しいユーザー・アイデンティティ・ストアを定義したり、既存のいずれかのプロファイルをシステム・アイデンティティ・ストアとして選択できますが、現在のシステム・アイデンティティ・ストアを変更したり、新しいシステム・アイデンティティ・ストアに切り替えることができるのは、システム管理者のみです。
新しいアイデンティティ・ストアに移行する際、新しいストアのユーザーがAccess Managerロールを割り当てられると、それらの権限がアクティブになり、Access Managerにより施行されます。管理者は新しいアイデンティティ・ストアの委任された管理権限の削除を担当し、Access Manager管理者グループは新しいアイデンティティ・ストアの管理者ロールにマップされます。
|
注意: 現在ログインしているユーザーに、新しいシステム・ストアで必要な管理者ロールがない場合、管理コンソールは、現在の管理者に割り当てられているロールに準拠するように、ログアウトまたはリフレッシュを行います。 |
システム管理者は、Oracle Access Managementコンソールを使用して、特定のアプリケーション・ドメインに対応するユーザーまたはグループにロールを割り当てることができます。ユーザーには、機能が重複しないかぎり、複数のロールを割り当てられます。たとえばユーザーXにグローバル・ポリシー管理者が割り当てられている場合、このユーザーにHRドメインのポリシー管理者を割り当てることはできません。これは、後者が前者の子であるためです。
|
注意: ロールを割り当てられるのは、システム/デフォルト・ストアのユーザーまたはグループのみです。 |
上位より:
特定のポリシー・オブジェクトまたは一連のポリシー・オブジェクトの管理を委任する場合、委任者はアイテムを選択し、それにユーザー、グループ、LDAP検索フィルタまたはドメイン・システム・ロールを割り当てます。
特定のタイプのすべてのオブジェクトの管理を委任する場合、委任者は、ユーザー、グループ、LDAP検索フィルタまたはドメイン・システム・ロールを選択し、それらにそのタイプのオブジェクトの管理権限を付与します。この場合、管理者は管理が委任されるオブジェクトを選択することはできません。管理者は、特定の権限を持つ適切な委任先に付与されるロールを選択します。
|
注意: Oracle Identity Manager (またはOracle Identity Manager XE)を使用する顧客は、すべてのIDMに共通するエンタープライズ・ロールを定義し、OIMを使用してこれらのエンタープライズ・ロールにユーザーおよびグループを割り当てることができます。これは、管理コンソールにより可能です。 |
仮想Access Manager管理者グループが定義され、ドメイン管理者ロールにマップされます。Access Manager管理者グループには、次のリストのAccess Managerロールが割り当てられます。
システム管理者は、すべてのシステム構成およびポリシー・オブジェクトを管理する権限を網羅しています。
システム管理者は、システム構成、共通構成、Access Manager設定、エージェント、認証モジュール、認証スキーム、ホスト識別子、リソース・タイプ、フェデレーション・パートナおよびエンタープライズ・シングル・サインオン・ポリシーを管理する権限を網羅しています。さらに、セキュリティ・トークン・サービス設定、パートナ、カスタム・トークン、エンドポイント、テンプレートおよびプロファイルも管理できます。
アプリケーション・ドメイン管理者は、アプリケーション・ドメイン内のオブジェクトを管理する権限を網羅しています。
IDMスイート・ナビゲータは、そのロールを割り当てられた管理者がIDMスイートの別のコンポーネントで同様の管理タスクを実行できるようにする管理者ロールを定義します。たとえば、IDMスイート・ナビゲータがIDMスイート管理者ロールを定義すると、このロールを割り当てられた管理者には、次のロールが付与されます。
OAMシステム管理者ロール
OAAM管理者ロール
OIF管理者ロール
コンテナ・セキュリティ・フレームワークを使用して認証および認可を実施するMBeanは、ポータブルJMXフレームワークを使用して公開されます。
構成サービスMBeanは、証明書検証モジュール、STSエンドポイント、テンプレートとプロファイル、およびSTS設定とカスタム・トークンの構成に使用されます。
パートナとトラスト・ストア・サービスMBeanは、STSパートナの管理に使用されます。
実行時、JMXフレームワークは、接続操作の際にクライアントを認証し、そのクライアントがMBeanセキュリティ注釈で指定されたロールに属していることを確認します。このため、Access Managerシステム・アイデンティティ・ストアは、ドメインのセキュリティ・レルム内の認証プロバイダとして構成される必要があります。また、MBeanにアクセスするユーザーは、コンテナに応じて次のロールを割り当てられている必要があります。
WebLogic: 管理者
WebSphere: 管理者またはコンフィギュレータ
リモート登録ユーティリティ(RREG)は、それを起動するユーザーに割り当てられたロールによっても制御されます。RREGを使用してリモートでエージェントを登録する場合、管理者はRREGクライアントが正常にRREG Access Managerサーバーに接続および認証できるようにする資格証明を提供します。するとRREG Access Managerサーバーは、適切な管理ロールを施行するAccess Managerコンポーネントにクライアントのアイデンティティを伝播します。管理者のロールに基づいてRREGを実行すると、次のようになる場合があります。
作成操作において:
新しいエージェント・エントリがプロビジョニングされる場合があります。
そのエージェントのHostIDが作成される場合があります。
そのエージェントのアプリケーションが作成される場合があります。
新しく作成されたHostIDを使用して新しいアプリケーションにリソースが追加される場合があります。
更新操作において:
エージェント設定が変更される場合があります。
そのエージェントのHostIDが変更される場合があります。
そのエージェントのアプリケーションが存在しないと、作成される場合があります。
リソースがアプリケーションに追加される場合があります。
RREG管理者には、管理操作が正常に完了するように、ロールが割り当てられる必要があります。
システム管理者ロール: エージェントの作成/更新用。
OAM共有コンポーネント管理者/システム管理者ロール: HostIDエントリの作成/更新用。
OAMドメイン管理者ロール/システム管理者ロール: アプリケーションの作成/更新およびリソースの作成/構成用。
RREGコマンドを実行すると、管理者は、作成されたアプリケーション、エージェントおよびHostIDの委任された管理者として設定されます。
管理が複数のユーザーに委任されると、監査はより重要になります。管理コンソールを介してまたはプログラムにより管理者が実行するすべてのポリシー・オブジェクトおよびシステム構成操作はログに記録され、情報レポートを生成できます。詳細は、第9章「管理イベントおよびランタイム・イベントの監査」を参照してください。
