| Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド 11g リリース2 (11.1.2.2.0) B69536-07 |
|
 前 |
 次 |
Oracle Identity Managerは、アプリケーションにおける様々な操作の実行をユーザーに許可または禁止するために、ユーザーによるアプリケーションへのアクセスを制御します。これは、Oracle Identity Managerに埋め込まれている認可エンジンによって、認可ポリシーを使用して制御されます。認可ポリシーの目的は、データ、UIおよびAPIを含む、Oracle Identity Managerアプリケーションへのユーザーのアクセスを制御することです。認可ポリシーによって、特定のアクションが許可されるかどうかが実行時に決定されます。Oracle Identity Managerでの認可要件を満たす認可ポリシーを定義できます。
Oracle Identity Managerでは、認可ポリシー管理は、管理機能として集中管理されます。Oracle Identity Managerの認可ポリシー管理と施行エンジンは、Oracleの権限管理製品である、埋込みバージョンのOracle Entitlements Server (OES)のをベースにしています。これらの認可ポリシーによって、Oracle Identity Managerアプリケーションに対するアクセス制御が保護され、アプリケーション内で誰がどのデータに対して何をできるかが定義されます。
Oracle Identity Managerでは、次がサポートされています。
機能セキュリティについては標準のADFセキュリティ・モデルを使用し、データ・セキュリティについてはOESベスト・プラクティスを使用します。
Oracle Identity Managerで様々なエンティティ(ロール、組織、権限、アプリケーション・インスタンス、LDAPグループなど)の委任管理をサポートする、一貫したアーキテクチャを使用します。
誰が何をリクエスト可能か、誰が何を所有できるか、誰が承認を通過する必要があるかなど、様々なセキュリティ上の決定をバックエンドで行うことができる一貫したアーキテクチャを使用します。このアーキテクチャは、カタログベースのリクエスト・モジュールおよびまとまったUIのセキュリティと、セルフ・サービスと委任管理のバックエンドを支援します。
様々なエンティティの委任管理およびデータ・セキュリティのスコープ指定メカニズムがサポートされます。すべてのエンティティは、Oracle Identity Managerメタデータとして定義される組織構造によってスコープが指定されます。
図3-1に、OESベースの認可サービスのアーキテクチャを示します。
認可およびセキュリティ・モデルについては、次の各項で説明します。
新しい認可モデルは、ユーザーに対する管理ロールの割当てをベースとして機能します。管理ロールには、グローバルおよびスコープ指定の2つのタイプがあります。グローバル管理ロール(システム管理者、システム構成管理者、カタログ・システム管理者、SPML管理者、証明管理者、証明ビューアなど)は、最上位組織のコンテキストでのみ割り当てることができます。スコープ指定された管理ロールは、最上位組織およびその他の組織のコンテキストで割り当てることができます。
最上位組織は、Oracle Identity Managerの組織階層のルートにあります。認可ポリシーは、管理ロールに従って作成されます。管理ロールはOracle Identity Managerで事前定義されており、新しい管理ロールを追加することはできません。管理ロールを作成、更新、削除、検索またはリクエストすることはできません。
管理ロールは、エンティティ・タイプごとに事前定義されています。エンティティ管理は委任管理者によって実行されるため、エンティティ・タイプの管理ロールがスコープされます。各エンティティには、次の管理ロールが定義されています。
エンティティ管理者: エンティティのライフサイクル全体を管理し、エンティティのすべての操作を実行できます。
エンティティ・ビューア: カタログまたはリクエスト・プロファイル内のエンティティを表示し、そのエンティティをリクエストできます。
エンティティ認可者: カタログまたはリクエスト・プロファイル内のエンティティを表示し、それをリクエストできます(承認は必要ありません)。組織メンバーシップをリクエストすることはできないため、組織エンティティに認可者は存在しません。同様に、ユーザーに対する認可者も存在しません。ユーザー管理者とユーザー認可者は、同じです。
|
注意:
|
管理ロールに階層はありません。ただし、管理ロール・メンバーシップ組織のスコープ指定は階層に対応しており、子組織までカスケードされることができます。管理ロール・メンバーシップは常に組織スコープ内で指定され、システム管理者または組織管理者のみがこれを割り当てることができます。組織管理者は、組織管理者である組織に管理ロールを割り当てることができます。システム構成管理者は、管理ロールを割り当てることはできません。管理ロールは、自動グループ・メンバーシップまたはロール・メンバーシップ・ルールを持ちません。
|
注意:
|
システム管理者とシステム構成管理者の管理ロールは、最上位組織に対してのみ使用可能です。したがって、システム管理者のみがシステム管理者およびシステム構成管理者ロールを割り当てることができます(これは、システム管理者が最上位組織にアクセスできるためです)。
ユーザーがエンティティに対して持つ権限には、次のタイプがあります。
固有の権限: ユーザーがメンバーとして属する組織は、そのユーザーのホーム組織と呼ばれます。ユーザーは、そのホーム組織で使用可能なエンティティに対して特定の暗黙的な権限を持ちます。これらの権限は、ユーザーに自動的に割り当てられます。たとえば、ロール管理者が、ホーム組織で使用可能なロールを表示およびリクエストする場合に、明示的なロール・ビューア権限は必要ありません。ただし、別の組織内のロールを表示およびリクエストするには、この同じロール管理者にロール・ビューア権限を明示的に割り当てる必要があります。
管理階層: ユーザーAがユーザーBおよびユーザーCのマネージャの場合、ユーザーAはユーザーBおよびユーザーCに対して暗黙的な権限を持ちます。ユーザーBおよびユーザーCが異なる組織に属する場合でも、ユーザーAはユーザーBおよびユーザーCに対して暗黙的な権限を持ちます。ユーザーAは直接の部下に対して明示的な権限を必要としません(直接の部下がどの組織に属するかは関係ありません)。権限は管理階層を通してグローバルに適用可能で、すべてのマネージャは部下に対してユーザー管理操作を実行できます。
Oracle Identity Managerの各管理ロールは、OES内のアプリケーション・ロールに1対1のマッピングを持ちます。アプリケーション・ロールには、このロールに属するユーザーに許可される権限を制御するポリシーが関連付けられています。これらのポリシーで機能制約およびデータ制約を変更する場合、OESの認可ポリシー管理(APM) UIでそれぞれのポリシーを開き、ポリシーを変更する必要があります。
表3-1に、Oracle Identity Managerの管理ロールと、その管理ロールで許可される対応する権限を示します。
表3-1 組織のスコープが指定された管理ロールと権限
| Oracle Identity Managerでの管理ロール | 暗黙的な権限 | 組織のスコープが指定された権限 | リクエストまたは直接的な操作 |
|---|---|---|---|
|
ユーザー管理者 |
組織ビューア |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
ロール・ビューア |
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
|
|
権限ビューア |
ユーザーの作成 |
直接 |
|
|
アプリケーション・インスタンス・ビューア |
ユーザーの削除 |
直接 |
|
|
ユーザーの変更(属性レベルのセキュリティ) |
直接 |
||
|
ユーザーのロック |
該当なし |
||
|
ユーザーのロック解除 |
該当なし |
||
|
ユーザーの有効化 |
直接 |
||
|
ユーザーの無効化 |
直接 |
||
|
ロールの付与 |
直接 |
||
|
ロールの失効 |
直接 |
||
|
アカウントの付与 |
直接 |
||
|
アカウントの失効 |
直接 |
||
|
権限の付与 |
直接 |
||
|
権限の失効 |
直接 |
||
|
ユーザー・パスワードの変更 |
該当なし |
||
|
アカウント・パスワードの変更 |
該当なし |
||
|
ユーザー・アカウントの変更 |
直接 |
||
|
ユーザー・アカウントの有効化 |
直接 |
||
|
ユーザー・アカウントの無効化 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
管理ロール・メンバーシップの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
プロキシの追加 |
直接 |
||
|
プロキシの削除 |
直接 |
||
|
ヘルプ・デスク |
組織基本情報 |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
ロール基本情報 |
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
|
|
権限基本情報 |
ユーザーの有効化 |
リクエスト |
|
|
アプリケーション・インスタンス基本情報 |
ユーザーの無効化 |
リクエスト |
|
|
ユーザーのロック解除(ログインの失敗でロックされた場合のみ) |
直接 |
||
|
ユーザー・パスワードの変更 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ユーザー・ビューア |
組織ビューア |
ユーザーの作成 |
リクエスト |
|
ロール・ビューア |
ユーザーの削除 |
リクエスト |
|
|
権限ビューア |
ユーザーの変更(属性レベルのセキュリティ) |
リクエスト |
|
|
アプリケーション・インスタンス・ビューア |
ユーザーの検索(属性レベルのセキュリティ) |
該当なし |
|
|
ユーザーの表示(属性レベルのセキュリティ) |
該当なし |
||
|
ユーザーの有効化 |
リクエスト |
||
|
ユーザーの無効化 |
リクエスト |
||
|
ロールの付与 |
リクエスト |
||
|
ロールの失効 |
リクエスト |
||
|
アカウントの付与 |
リクエスト |
||
|
アカウントの失効 |
リクエスト |
||
|
権限の付与 |
リクエスト |
||
|
権限の失効 |
リクエスト |
||
|
ユーザー・アカウントの変更 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
リクエストの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
プロキシの表示 |
該当なし |
||
|
ユーザー・アカウントの有効化 |
リクエスト |
||
|
ユーザー・アカウントの無効化 |
リクエスト |
||
|
管理ロール・メンバーシップの表示 |
該当なし |
||
|
管理ロールの追加 |
該当なし |
||
|
管理ロールの削除 |
該当なし |
||
|
管理ロール・メンバーシップの変更 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ロール・ビューア |
組織基本情報 |
ロールの付与 |
リクエスト |
|
ユーザー基本情報 |
ロールの失効 |
リクエスト |
|
|
組織の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
組織ビューア |
組織基本情報 |
組織の検索 |
該当なし |
|
ユーザー基本情報 |
組織の表示 |
該当なし |
|
|
アプリケーション・インスタンス情報 |
ユーザーの表示 |
該当なし |
|
|
権限情報 |
ロールの表示 |
該当なし |
|
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
すべてのパブリケーションの表示 |
該当なし |
||
|
すべての組織メンバーの表示 |
該当なし |
||
|
管理ロールおよびメンバーシップの表示 |
該当なし |
||
|
組織にプロビジョニングされたアカウントの表示 |
該当なし |
||
|
アプリケーション・インスタンス・ビューア |
ユーザー基本情報 |
アプリケーション・インスタンスの検索 |
該当なし |
|
組織基本情報 |
アプリケーション・インスタンスの表示(パスワードを除く) |
該当なし |
|
|
権限情報 |
アカウントの付与 |
リクエスト |
|
|
アカウントの失効 |
リクエスト |
||
|
ユーザー・アカウントの変更 |
リクエスト |
||
|
ユーザー・アカウントの有効化 |
リクエスト |
||
|
ユーザー・アカウントの無効化 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
権限ビューア |
ユーザー基本情報 |
権限の検索 |
該当なし |
|
組織基本情報 |
権限の表示 |
該当なし |
|
|
アプリケーション・インスタンス基本情報 |
権限の付与 |
リクエスト |
|
|
権限の失効 |
リクエスト |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
ロール管理者 注意: ロール管理者の管理ロールは、その組織スコープ内のロールのライフサイクルを管理するだけで、ユーザーに対してロールの付与または失効を行う権限は持ちません。ロール管理者がこの機能を必要とする場合は、ロール・ビューア管理ロール(リクエストの承認が必要な場合)、またはロール認可者管理ロール(リクエストの承認が不要な場合)を、この機能を必要とする組織スコープ内で割り当てます。 |
ユーザー基本情報 |
ロールの検索 |
該当なし |
|
組織基本情報 |
ロールの表示 |
該当なし |
|
|
ロールの作成 |
直接 |
||
|
ロールの変更 |
直接 |
||
|
ロールの削除 |
直接 |
||
|
ロール・メンバーの表示 |
該当なし |
||
|
ロール階層の管理 |
直接 |
||
|
ロールの公開(許可された組織に対してのみ) |
直接 |
||
|
ロールの非公開(許可された組織に対してのみ) |
直接 |
||
|
ロール・メンバーシップ・ルールの管理 |
直接 |
||
|
ロール・カテゴリの作成 |
直接 |
||
|
ロール・カテゴリの更新 |
直接 |
||
|
ロール・カテゴリの削除 |
直接 |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
アプリケーション・インスタンス管理者 注意: アプリケーション・インスタンス管理者の管理ロールは、その組織スコープ内のアプリケーション・インスタンスのライフサイクルを管理するだけで、ユーザーに対してアプリケーション・インスタンスの付与または失効を行う権限は持ちません。アプリケーション・インスタンス管理者がこの機能を必要とする場合は、アプリケーション・インスタンス・ビューア管理ロール(リクエストの承認が必要な場合)、またはアプリケーション・インスタンス認可者管理ロール(リクエストの承認が不要な場合)を、この機能を必要とする組織スコープ内で割り当てます。 |
ユーザー基本情報 |
アプリケーション・インスタンスの作成 |
直接 |
|
組織基本情報 |
アプリケーション・インスタンスの変更 |
直接 |
|
|
権限管理者 |
アプリケーション・インスタンスの削除 |
直接 |
|
|
アプリケーション・インスタンスの検索 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アプリケーション・インスタンスの公開(許可された組織に対してのみ) |
直接 |
||
|
アプリケーション・インスタンスの非公開(許可された組織に対してのみ) |
直接 |
||
|
権限の公開(許可された組織に対してのみ) |
直接 |
||
|
権限の非公開(許可された組織に対してのみ) |
直接 |
||
|
拡張UIへのアクセス |
該当なし |
||
|
アカウントの表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
組織.管理者 |
ユーザー基本情報 |
組織の検索 |
該当なし |
|
アプリケーション・インスタンス基本情報 |
組織の表示 |
該当なし |
|
|
権限基本情報 |
組織の作成 |
直接 |
|
|
ロール基本情報 |
組織の変更 |
直接 |
|
|
組織の削除 |
直接 |
||
|
管理ロールのすべてのロール管理権限 |
直接 |
||
|
組織階層の更新(特定の組織に対して) |
直接 |
||
|
パスワード・ポリシーの関連付け |
直接 |
||
|
メンバーの表示 |
該当なし |
||
|
公開されたロールの表示 |
該当なし |
||
|
公開されたアプリケーション・インスタンスの表示 |
該当なし |
||
|
公開された権限の表示 |
該当なし |
||
|
アカウントの表示(組織にプロビジョニングされたもの) 注意: 組織へのリソースのプロビジョニングは、システム管理者のみに許可されます。 |
該当なし |
||
|
権限管理者 注意: 権限管理者の管理ロールは、その組織スコープ内の権限のライフサイクルを管理するだけで、ユーザーに対して権限の付与または失効を行う権限は持ちません。権限管理者がこの機能を必要とする場合は、権限ビューア管理ロール(リクエストの承認が必要な場合)、または権限認可者管理ロール(リクエストの承認が不要な場合)を、この機能を必要とする組織スコープ内で割り当てます。 |
ユーザー基本情報 |
権限の検索 |
該当なし |
|
アプリケーション・インスタンス基本情報 |
権限の表示 |
該当なし |
|
|
組織基本情報 |
権限の追加(API) |
直接 |
|
|
権限の削除(API) |
直接 |
||
|
権限の更新(API) |
直接 |
||
|
権限の公開(許可された組織に対してのみ) |
直接 |
||
|
権限の非公開(許可された組織からのみ) |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アカウントの表示 |
該当なし |
||
|
権限メンバーの表示 |
該当なし |
||
|
組織データ・セキュリティが適用される、公開された権限の表示(API) |
該当なし |
||
|
カタログ・システム管理者 |
アプリケーション・インスタンス基本情報 |
カタログ・メタデータの編集 |
直接 |
|
権限基本情報 |
リクエスト・プロファイルの作成 |
直接 |
|
|
ロール基本情報 |
リクエスト・プロファイルの編集 |
直接 |
|
|
リクエスト・プロファイルの削除 |
直接 |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
ロール認可者 |
ユーザー基本情報 |
ロールの表示 |
該当なし |
|
組織基本情報 |
ロールの付与 |
直接 |
|
|
ロールの失効 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ロール・メンバーシップの表示 |
該当なし |
||
|
アプリケーション・インスタンス認可者 |
ユーザー基本情報 |
アプリケーション・インスタンスの検索 |
該当なし |
|
組織基本情報 |
アプリケーション・インスタンスの表示(パスワードを除く) |
該当なし |
|
|
アカウントの付与 |
直接 |
||
|
アカウントの失効 |
直接 |
||
|
アカウントの変更 |
直接 |
||
|
アカウントの有効化 |
直接 |
||
|
アカウントの無効化 |
直接 |
||
|
組織の表示 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
ユーザーの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
||
|
権限認可者 |
ユーザー基本情報 |
権限の検索 |
該当なし |
|
組織基本情報 |
権限の表示 |
該当なし |
|
|
アプリケーション・インスタンス基本情報 |
権限の付与 |
直接 |
|
|
権限の失効 |
直接 |
||
|
ユーザーの表示 |
該当なし |
||
|
組織の表示 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
ユーザー・アカウントの表示 |
該当なし |
||
|
ユーザー権限の表示 |
該当なし |
表3-2に、Oracle Identity Managerの管理ロールと、その管理ロールで許可された対応する権限を示します。これらの管理ロールは、最上位の組織により割り当てられます。
表3-2 グローバル管理ロールとグローバル権限
| Oracle Identity Managerでの管理ロール | 暗黙的な権限 | 明示的な権限 | リクエストまたは直接的な操作 |
|---|---|---|---|
|
カタログ・システム管理者 |
アプリケーション・インスタンス基本情報 |
カタログ・メタデータの編集 |
直接 |
|
権限基本情報 |
リクエスト・プロファイルの作成 |
直接 |
|
|
ロール基本情報 |
リクエスト・プロファイルの編集 |
直接 |
|
|
リクエスト・プロファイルの削除 |
直接 |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
ViewRentitlements |
該当なし |
||
|
ロールの表示 |
該当なし |
||
|
システム構成管理者 |
ロール基本情報 |
フォームの表示 |
該当なし |
|
組織基本情報 |
フォームの作成 |
該当なし |
|
|
アプリケーション・インスタンス基本情報 |
フォームの変更 |
該当なし |
|
|
権限基本情報 |
フォームの削除 |
該当なし |
|
|
コネクタのインポート |
該当なし |
||
|
コネクタのエクスポート |
該当なし |
||
|
リソース・オブジェクトの表示 |
該当なし |
||
|
リソース・オブジェクトの作成 |
該当なし |
||
|
リソース・オブジェクトの変更 |
該当なし |
||
|
リソース・オブジェクトの削除 |
該当なし |
||
|
アプリケーション・インスタンスの表示 |
該当なし |
||
|
アプリケーション・インスタンスの作成 |
該当なし |
||
|
アプリケーション・インスタンスの変更 |
該当なし |
||
|
アプリケーション・インスタンスの削除 |
該当なし |
||
|
アプリケーション・インスタンスの公開 |
該当なし |
||
|
権限の表示 |
該当なし |
||
|
権限の公開 |
該当なし |
||
|
権限の削除 (APIの使用) |
該当なし |
||
|
権限の変更 (APIの使用) |
該当なし |
||
|
権限の追加 (APIの使用) |
該当なし |
||
|
承認ポリシーの表示 |
該当なし |
||
|
承認ポリシーの作成 |
該当なし |
||
|
承認ポリシーの変更 |
該当なし |
||
|
承認ポリシーの削除 |
該当なし |
||
|
拡張UIへのアクセス |
該当なし |
||
|
パスワード・ポリシーの表示 |
該当なし |
||
|
パスワード・ポリシーの作成 |
該当なし |
||
|
パスワード・ポリシーの変更 |
該当なし |
||
|
パスワード・ポリシーの削除 |
該当なし |
||
|
通知の表示 |
該当なし |
||
|
通知の作成 |
該当なし |
||
|
通知の削除 |
該当なし |
||
|
通知の変更 |
該当なし |
||
|
通知へのロケールの追加 |
該当なし |
||
|
通知へのロケールの削除 |
該当なし |
||
|
非同期イベント・ハンドラの完了 |
該当なし |
||
|
編成操作 |
該当なし |
||
|
プラグインの登録 |
該当なし |
||
|
プラグインの登録解除 |
該当なし |
||
|
スケジュール済ジョブの表示 |
該当なし |
||
|
スケジュール済ジョブの検索 |
|||
|
スケジューラの起動 |
該当なし |
||
|
スケジューラの停止 |
該当なし |
||
|
タスクの追加 |
該当なし |
||
|
タスクの編集 |
該当なし |
||
|
タスクの削除 |
該当なし |
||
|
トリガーの作成 |
該当なし |
||
|
トリガーの削除 |
該当なし |
||
|
トリガーの変更 |
該当なし |
||
|
ジョブの表示 |
該当なし |
||
|
ジョブの作成 |
該当なし |
||
|
ジョブの変更 |
該当なし |
||
|
ジョブの削除 |
該当なし |
||
|
ジョブの有効化 |
該当なし |
||
|
ジョブの無効化 |
該当なし |
||
|
ジョブの即時実行 |
該当なし |
||
|
ジョブの一時停止 |
該当なし |
||
|
ジョブの再開 |
該当なし |
||
|
ジョブの停止 |
該当なし |
||
|
ステータスのリセット |
該当なし |
||
|
システム・プロパティの表示 |
該当なし |
||
|
システム・プロパティの作成 |
該当なし |
||
|
システム・プロパティの変更 |
該当なし |
||
|
システム・プロパティの削除 |
該当なし |
||
|
属性の表示 |
該当なし |
||
|
属性の追加 |
該当なし |
||
|
属性の変更 |
該当なし |
||
|
属性の削除 |
該当なし |
||
|
導出属性の追加 |
該当なし |
||
|
SPML管理者 |
ユーザーの作成、変更および削除 |
リクエスト |
|
|
すべての属性でのユーザーの検索 |
該当なし |
||
|
ユーザー・ステータスの有効化 |
リクエスト |
||
|
ユーザー・ステータスの無効化 |
リクエスト |
||
|
ロール・メンバーシップの追加 |
リクエスト |
||
|
ロール・メンバーシップの削除 |
リクエスト |
||
|
すべての属性でのロールの検索 |
該当なし |
||
|
ロールの作成、変更および削除 |
リクエスト |
||
|
証明管理者 |
証明ビューア |
プロキシ・ユーザーの表示 |
該当なし |
|
ユーザー基本情報 |
ViewUser管理ロール |
該当なし |
|
|
ロール基本情報 |
ユーザー権限の表示 |
該当なし |
|
|
組織基本情報 |
リクエストの表示 |
該当なし |
|
|
アプリケーション・インスタンス基本情報 |
ユーザー・アカウントの表示 |
該当なし |
|
|
権限基本情報 |
ユーザー・ロールの表示 |
該当なし |
|
|
証明構成の表示 |
該当なし |
||
|
証明構成の更新 |
該当なし |
||
|
証明の更新 |
該当なし |
||
|
拡張UIへのアクセス |
該当なし |
||
|
スケジュール済ジョブの表示 |
該当なし |
||
|
スケジュール済ジョブの検索 |
該当なし |
||
|
スケジューラの起動 |
該当なし |
||
|
スケジューラの停止 |
該当なし |
||
|
タスクの追加 |
該当なし |
||
|
タスクの編集 |
該当なし |
||
|
タスクの削除 |
該当なし |
||
|
トリガーの作成 |
該当なし |
||
|
トリガーの削除 |
該当なし |
||
|
トリガーの変更 |
該当なし |
||
|
ジョブの表示 |
該当なし |
||
|
ジョブの作成 |
該当なし |
||
|
ジョブの変更 |
該当なし |
||
|
ジョブの削除 |
該当なし |
||
|
ジョブの有効化 |
該当なし |
||
|
ジョブの無効化 |
該当なし |
||
|
ジョブの即時実行 |
該当なし |
||
|
ジョブの一時停止 |
該当なし |
||
|
ジョブの再開 |
該当なし |
||
|
ジョブの停止 |
該当なし |
||
|
証明ビューア 注意: 「証明書ビューア」管理ロールに明示的に付与される権限は、「証明の表示」のみです。その他のエンティティを表示する権限は、証明で参照されるエンティティに動的に付与され、スコープされます。 |
証明の表示 |
該当なし |
|
注意: Oracle Identity Managerの次の権限は、OESポリシーでは制御されません。
|
Oracle Identity Managerは、ユーザー属性に対してのみ、属性レベルのセキュリティをサポートします。他のすべてのエンティティのセキュリティは、エンティティ-インスタンス・レベルでサポートされます。
Oracle Identity Managerには、デフォルトのユーザー・ビューア、ユーザー管理者およびユーザー・ヘルプ・デスク管理ロールとともに、OESの対応するデフォルトの認可ポリシーが含まれています。デフォルトのポリシーでは、ユーザー・ビューアおよびユーザー管理者は、ユーザー定義フィールド(UDF)として追加される属性を含むすべてのユーザー属性を表示および変更できます(デフォルト・ポリシーの変更は必要ありません)。
ユーザー・ビューア・ポリシーには、ポリシーのデフォルト制約セットのdeniedattributes責任と、デフォルトでその属性のNULLリストが含まれています。したがって、ユーザー・ビューア・ロールに属しているすべてのユーザーは、デフォルトで、すべてのユーザー属性の表示を許可されます。
ユーザー管理者ポリシーには、ポリシーのデフォルト制約セットのdeniedattributes責任と、属性のNULLリストが含まれており、ユーザー管理者ロールに属しているすべてのユーザーは、デフォルトで、すべてのユーザー属性の表示および変更を許可されます。ユーザー・ヘルプ・デスク・ポリシーには、ポリシーのデフォルト制約セットのdeniedattributes責任と、属性のNULLリストが含まれています。
新しいUDFを追加した場合に、ユーザー・ビューア・ポリシーを変更する必要はありません。これは、このポリシーにデフォルト制約セットがdeniedattributesとして存在し、デフォルトでその属性のNULLリストが含まれているためです。これによって、自動的に、ユーザー・ビューア・ロールに属するユーザーはUDFを表示可能になります。すべての属性が表示および変更可能なこの制約によって、ユーザー管理者ロールに属するユーザーは自動的にこれらのUDFを表示および変更可能になるため、ユーザー管理者ポリシーを変更する必要はありません。
特定の属性の表示または変更を制限する場合にのみ、OESでポリシーを変更してその属性を拒否リストに含めることができます。ユーザー・ビューア・ロールで表示される属性のリストを制限する場合、またはユーザー管理者ロールで表示および変更される属性のリストを制限する場合は、OESのAPM UIでそれぞれのポリシーを開き、ポリシーの拒否属性リストで制限される属性のリストを含めます。たとえば、Salaryユーザー属性を、ユーザー管理者ロールのみが使用できるように制限し、ユーザー・ビューア・ロールを対象外とする場合は、APM UIを使用してユーザー・ビューア・ロールを変更し、Salary属性を拒否リストに含めます。Oracle Identity Managerがユーザー・ビューア・ロールの属性リストを提供するためにOESに問い合せると、OESはすべてのユーザー属性を提供しますが、拒否リストに指定された属性は除外されます(この例ではSalary属性です)。ユーザー管理者ロールに属するユーザーが表示および変更するSalary情報は「すべての属性の表示および変更」によって戻されるため、ここでは、ユーザー管理ポリシーの変更は必要ありません。
APM UIで必要なOESポリシーを開きます。この例では、図3-2に示すように、ユーザー・ビューア管理ロールに関して、表示-検索ユーザーに権限を付与するOrclOIMUserViewerDirectWithAttributesPolicyという名前のOESポリシーを開きます。
図3-2 OrclOIMUserViewerDirectWithObligationPolicy
編集モードでOrclOIMDeniedAttributesDirect属性をクリックして、図3-3に示すように、拒否する属性をカンマで区切って指定します。
「更新」をクリックします。
「認可ポリシー詳細」ページで、右上隅の「適用」をクリックします。
|
注意: APMでリストされた属性を拒否するには、次の順序逸脱が必要です。
|
oracle.iam.platform.authopss.plugin.AttributeResolverプラグイン・ポイントを使用して、OESにポリシー評価用の属性を渡すことができます。ポリシー(条件)で使用する新しい属性を追加するには、次のメソッドを使用して、マップに属性を追加する必要があります。
ログイン・ユーザーが作業中のターゲット・エンティティの属性を解決するには、次のようにします。
public Map<String, Object> resolveResourceAttributes(String subjectId, PolicyConstants.Resources resourceType, String resourceId) throws Exception;
ログイン・ユーザーに関する属性を解決するには、次のようにします。
public Map<String, Object> resolveSubjectAttributes(String subjectId, Policy Constants.Resources resourceType) throws Exception;
プラグイン・クラスの例を次に示します。
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;
import oracle.iam.identity.usermgmt.api.UserManager;
import oracle.iam.identity.usermgmt.vo.User;
import oracle.iam.platform.Platform;
import oracle.iam.platform.authopss.api.PolicyConstants;
import oracle.iam.platform.authopss.plugin.AttributeResolver;
public class ResolveResourceUserTypeAttribute implements AttributeResolver {
public Map<String, Object> resolveResourceAttributes(String subjectId,
PolicyConstants.Resources resourceType,
String resourceId) {
if(resourceType!=PolicyConstants.Resources.USER) return null;
Map<String, Object> env = new HashMap<String, Object>();
try {
Set<String> searchAttributes = new HashSet<String>();
searchAttributes.add(oracle.iam.identity.utils.Constants.EMPTYPE);
searchAttributes.add(oracle.iam.identity.utils.Constants.USERID);
searchAttributes.add(oracle.iam.identity.utils.Constants.USERKEY);
String empType;
UserManager userManager = Platform.getService(UserManager.class);
User user;
user = userManager.getDetails(resourceId, searchAttributes, false);
empType = (String)user.getAttribute(oracle.iam.identity.utils.Constants.EMPTYPE);
if(empType.equalsIgnoreCase("Full-Time"))
env.put("OrclOIMResourceUserAttributeType", "EMPLOYEE");
else env.put("OrclOIMResourceUserAttributeType", "NON-EMPLOYEE");
} catch (Exception e) {
e.printStackTrace();
}
return env;
}
public Map<String, Object> resolveSubjectAttributes(String subjectId,
PolicyConstants.Resources resourceType) {
return null;
}
}
Added the plugin.xml as:
<?xml version="1.0" encoding="UTF-8"?>
<oimplugins xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.oracle.com/schema/oim/plugin plugin.xsd">
<plugins pluginpoint="oracle.iam.platform.authopss.plugin.AttributeResolver">
<plugin pluginclass="oracle.iam.platform.authopss.plugin.impl.ResolveResourceUserTypeAttribute"
version="1.0" name="ResolveResourceUserTypeAttribute">
</plugin>
</plugins>
</oimplugins>
ユーザーに、同じ状況で異なる認可ポリシーが適用可能な複数のロールがある場合、そのユーザーのアクセス権はポリシー間の権限の累積になります。たとえば、ユーザー検索の権限の認可チェックでは、責任のリストが戻されます。これは、適用可能な各認可ポリシーからの責任のリストです。複数のポリシーからの責任が組み合されて、統合された検索結果が生成されます。
次のタイプの責任が、複数の認可ポリシーの結果として戻されます。
OrclOIMOrgScopingDirect: 目的ベースの検索用に、特定のエンティティを検索する場合に使用されます。これは、表示-検索の場合にのみサポートされます。
OrclOIMOrgScopingWithHierarchy: 管理ロールの組織スコープ指定の階層を考慮して、下位階層のエンティティを検索できます。適用可能な場合に、ユーザーは、適切な管理ロールを持つ組織とそのサブ組織に対して、承認なしでユーザー・プロファイルの表示および変更を実行できます。これは、「階層対応」データ制約によって制御されます。
OrclOIMNeedApproval: この責任は、認可ポリシーを適用可能かどうか、操作に承認が必要かどうかを定義します。このフラグの値がtrueの場合、リクエストが作成されます。値がfalseの場合、それは直接的な操作です。
OrclOIMUserManagementScoping: ユーザーの管理チェーンで検索する検索基準の作成に使用されます。
OrclOIMDeniedAttributesWithoutApproval: これは、リクエストの承認なしで変更が拒否されるユーザー属性に対する責任を定義します。
OrclOIMDeniedAttributesDirect: 直接的な操作としてユーザーの表示操作が拒否されるユーザー属性に対する責任を定義します。
OrclOIMDeniedAttributesWithApproval: これは、リクエストの承認ありで変更が拒否されるユーザー属性に対する責任を定義します。
次に、複数の認可ポリシーの結果として戻されるポリシー責任の例を示します。
組織のロール・ビューア管理ロールを持つユーザーの場合、ユーザーにロールを付与するには承認が必要です。ロール・ビューアでは、OrgScopingWithHierarchyポリシー責任の結果として、階層を持つこの組織内のすべてのユーザーを表示できます。同じ組織で、ロール認可者管理ロールを持つユーザーの場合、ユーザーにロールを付与する操作は直接的な操作となります。
同じ組織スコープで、ユーザーに対して、2つの管理ロールが割り当てられているとします(ユーザー・ビューアおよびユーザー管理者)。このユーザーがあるユーザーの変更を試みると、最初の管理ロール・ポリシーは承認が必要と戻し、他のポリシーは承認が不要と戻します。結果として、リクエストは発生せず、2つの承認必須の責任が累積した影響で、承認は不要になります。
OrgScopingDirectポリシー責任の結果、ロール認可者管理ロールを持つユーザーは、組織のすべてのユーザーを表示できます。ロール認可者管理ロールを持つ同じユーザーは、DeniedAttributesWithApprovalポリシー責任によっていくつかの属性変更が拒否され、その結果、それらの属性がこのユーザーに表示されなくなる可能性があります。
1人のユーザーが、Org1ではロール・ビューアであり、Org2ではロール認可者であるとします。このユーザーがロールを検索すると、policy1から戻される責任は、「OrgScopingDirect = org1」および「OrgScopingDirect = org2」となります。したがって、両方の組織からロールが戻されます。
表3-3に、管理ロールと、それに対応するアプリケーション・ロール、デフォルトの認可ポリシーおよびポリシー責任を示します。
表3-3 デフォルトの認可ポリシー
| Oracle Identity Managerでの管理ロール | OESのアプリケーション・ロール | ポリシー名 | 説明 | 責任 |
|---|---|---|---|---|
|
認証済ロール |
authenticated-role |
ロール・カテゴリ表示ポリシー |
このポリシーは、認証済ユーザーがロール・カテゴリを表示できるかどうかを制御します。 |
|
|
ロール管理者 |
OIMロール管理者 |
OIMロール・カテゴリ・ロール管理ポリシー |
このポリシーは、ロール管理者の管理ロールによるロール・カテゴリの作成、変更および削除を制御します。 |
|
|
カタログ管理者 |
OIMカタログ管理者ロール |
カタログ管理ポリシー |
カタログ管理者はグローバル管理ロールです。カタログ管理者は、カタログ項目およびそのメタデータを管理します。このポリシーは、ロールのメンバーが実行できるアクションを指定します。 |
|
|
組織.管理者 |
OIM組織管理者 |
組織管理ポリシー |
このポリシーは、組織管理者が実行できるアクションを指定します。このポリシーは、承認を必要とするように構成することもできます。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMOrganizationAdminOrgsDirect |
|
組織.管理者 |
OIM組織管理者 |
OIM組織管理者基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、組織管理者によるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationAdminOrgsWithHierarchy |
|
組織.管理者 |
OIM組織管理者 |
OIM組織管理者基本情報ITリソース権限直接ポリシー |
このポリシーは、組織管理者による権限に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMOrganizationAdminOrgsDirect |
|
組織.管理者 |
OIM組織管理者 |
OIM組織管理者基本情報ロール直接ポリシー |
このポリシーは、組織管理者によるロールに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationAdminOrgsWithHierarchy OrclOIMOrgScopingDirect Attribute=OrclOIMOrganizationAdminOrgsDirect |
|
組織.管理者 |
OIM組織管理者 |
OIM組織管理者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、組織管理者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationAdminOrgsWithHierarchy OrclOIMDeniedAttributesDirect= |
|
組織ビューア |
OIM組織ビューア |
表示アクション用組織ビューア・ポリシー |
組織ビューアは、組織のスコープが指定された管理ロールです。このポリシーは、このロールのメンバーが実行できる、承認を必要としないアクションを指定します。デフォルトでは、このポリシーは、一部の表示アクションが承認を必要としないことを指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationViewerOrgsWithHierarchy |
|
組織ビューア |
OIM組織ビューア |
OIM組織ビューア基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、組織ビューアによるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationViewerOrgsWithHierarchy |
|
組織ビューア |
OIM組織ビューア |
OIM組織ビューア基本情報ITリソース権限直接ポリシー |
このポリシーは、組織ビューアによる権限に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMOrganizationViewerOrgsDirect |
|
組織ビューア |
OIM組織ビューア |
OIM組織ビューア基本情報ロール直接ポリシー |
このポリシーは、組織ビューアによるロールに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationViewerOrgsWithHierarchy |
|
組織ビューア |
OIM組織ビューア |
OIM組織ビューア基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、組織ビューアによるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMOrganizationViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMOrganizationViewerOrgsWithHierarchy OrclOIMDeniedAttributesDirect= |
|
アプリケーション・インスタンス管理者 |
OIMアプリケーション・インスタンス管理者ロール |
アプリケーション・インスタンス管理者ポリシー |
アプリケーション・インスタンス管理者の管理ロールは、組織のスコープが指定されたロールです。このポリシーは、ロールのメンバーが実行できるアクションと、そのアクションに承認が必要かどうかを制御します。 |
OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAdminOrgsWithHierarchy |
|
アプリケーション・インスタンス管理者 |
OIMアプリケーション・インスタンス管理者ロール |
OIMアプリケーション・インスタンス管理者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、アプリケーション・インスタンス管理者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAdminOrgsDirect OrclOIMDeniedAttributesDirect= |
|
アプリケーション・インスタンス管理者 |
OIMアプリケーション・インスタンス管理者ロール |
OIMアプリケーション・インスタンス管理者基本情報組織直接ポリシー |
このポリシーは、アプリケーション・インスタンス管理者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAdminOrgsWithHierarchy |
|
アプリケーション・インスタンス認可者 |
OIMアプリケーション・インスタンス認可者ロール |
アプリケーション・インスタンス認可者ポリシー |
アプリケーション・インスタンス認可者は、Oracle Identity Managerの管理ロールです。アプリケーション・インスタンス認可者は、承認を必要とせずにユーザー・アカウントに対してアプリケーション・インスタンスを付与、取消し、または変更できます。このポリシーは、アプリケーション・インスタンス認可者が、アプリケーション・インスタンスおよびアプリケーション・インスタンス属性を表示または検索できるかどうかを制御します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAuthorizerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAuthorizerOrgsDirect |
|
アプリケーション・インスタンス認可者 |
OIMアプリケーション・インスタンス認可者ロール |
アプリケーション・インスタンス認可者ポリシー |
アプリケーション・インスタンス認可者は、承認を必要とせずにユーザー・アカウントに対してアプリケーション・インスタンスを付与、取消し、または変更できます。このポリシーは、アプリケーション・インスタンス認可者が、アプリケーション・インスタンスおよびアプリケーション・インスタンス属性を表示または検索できるかどうかを制御します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAuthorizerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAuthorizerOrgsDirect OrclOIMNeedApproval=false |
|
アプリケーション・インスタンス認可者 |
OIMアプリケーション・インスタンス認可者ロール |
OIMアプリケーション・インスタンス認可者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、アプリケーション・インスタンス認可者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAuthorizerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAuthorizerOrgsDirect |
|
アプリケーション・インスタンス認可者 |
OIMアプリケーション・インスタンス認可者ロール |
OIMアプリケーション・インスタンス認可者基本情報組織直接ポリシー |
このポリシーは、アプリケーション・インスタンス認可者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceAuthorizerOrgsWithHierarchy |
|
アプリケーション・インスタンス・ビューア |
OIMアプリケーション・インスタンス・ビューア・ロール |
OIMアプリケーション・インスタンス・ビューア直接ポリシー |
このポリシーは、アプリケーション・インスタンス・ビューアが直接実行できる操作を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceViewerOrgsDirect |
|
アプリケーション・インスタンス・ビューア |
OIMアプリケーション・インスタンス・ビューア・ロール |
リクエスト・アクション用アプリケーション・インスタンス・ビューア・ポリシー |
アプリケーション・インスタンス・ビューア管理ロールは、組織のスコープが指定されたロールです。このポリシーは、ロールのメンバーが実行できるアクションと、そのアクションに承認が必要かどうかを制御します。 |
OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceViewerOrgsDirect OrclOIMNeedApproval=true OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceViewerOrgsWithHierarchy |
|
アプリケーション・インスタンス・ビューア |
OIMアプリケーション・インスタンス・ビューア・ロール |
OIMアプリケーション・インスタンス・ビューア基本情報ITリソース権限直接ポリシー |
このポリシーは、アプリケーション・インスタンス・ビューアによる権限に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceViewerOrgsWithHierarchy |
|
アプリケーション・インスタンス・ビューア |
OIMアプリケーション・インスタンス・ビューア・ロール |
OIMアプリケーション・インスタンス・ビューア基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、アプリケーション・インスタンス・ビューアによるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceViewerOrgsDirect |
|
アプリケーション・インスタンス・ビューア |
OIMアプリケーション・インスタンス・ビューア・ロール |
OIMアプリケーション・インスタンス・ビューア基本情報組織直接ポリシー |
このポリシーは、アプリケーション・インスタンス・ビューアによる組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMApplicationInstanceViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMApplicationInstanceViewerOrgsDirect |
|
認証済ロール |
authenticated-role |
アプリケーション・インスタンス用ホーム組織ポリシー |
このポリシーは、ユーザーのホーム組織に公開済のアプリケーション・インスタンスおよびアプリケーション・インスタンス属性を暗黙的に表示することをそのユーザーに許可します。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs |
|
認証済ロール |
authenticated-role |
ホーム組織用アプリケーション・インスタンス・ポリシー |
このポリシーは、ユーザーのホーム組織内のアカウントに対してユーザーが実行できるアクションと、そのアクションに承認が必要かどうかを制御します。デフォルトでは、同じホーム組織内のアカウントに対する非ユーザー管理者によるアクションには承認が必要です。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs OrclOIMNeedApproval=true |
|
システム構成管理者 |
OIMシステム構成者 |
パスワード・ポリシー管理ポリシー |
このポリシーは、システム管理者またはシステム構成管理者のメンバーが実行できるパスワード・ポリシー管理アクションを制御します。 |
|
|
組織.管理者 |
OIM組織管理者 |
OIMパスワード・ポリシー組織管理表示検索ポリシー |
このポリシーは、組織管理者によるパスワード・ポリシーに対する表示および検索権限を指定します。 |
|
|
権限管理者 |
OIM権限管理者 |
権限管理アクション用権限管理者ポリシー |
権限管理者は、Oracle Identity Managerの組織のスコープが指定された管理ロールです。このポリシーは、承認を必要とせずにこのロールのメンバーが実行できるアクションを制御します。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAdminOrgsWithHierarchy |
|
権限管理者 |
OIM権限管理者 |
OIM権限管理者基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、権限管理者によるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMEntitlementAdminOrgsDirect |
|
権限管理者 |
OIM権限管理者 |
OIM権限管理者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、権限管理者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMEntitlementAdminOrgsDirect OrclOIMDeniedAttributesDirect= |
|
権限管理者 |
OIM権限管理者 |
OIM権限管理者基本情報組織直接ポリシー |
このポリシーは、権限管理者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMEntitlementAdminOrgsDirect |
|
権限認可者 |
OIM権限認可者 |
表示アクション用権限認可者ポリシー |
権限認可者は、Oracle Identity Managerの管理ロールです。権限認可者は、承認を必要とせずにユーザー・アカウントに対して権限を付与、取消し、または変更できます。このポリシーは、権限認可者が、権限および権限属性を表示または検索できるかどうかを制御します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAuthorizerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMEntitlementAuthorizerOrgsDirect |
|
権限認可者 |
OIM権限認可者 |
リクエスト・アクション用権限認可者ポリシー |
権限認可者は、承認を必要とせずにユーザー・アカウントに対して権限を付与、取消し、または変更できます。このポリシーは、リクエストの一部として権限認可者が実行できるアクションを制御します。このポリシーは、権限認可者によって実行される特定のアクションが、直接であるか、リクエストを介したものであるかを判別するためにリクエスト・エンジンによって使用されます。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAuthorizerOrgsWithHierarchy OrclOIMNeedApproval=false |
|
権限認可者 |
OIM権限認可者 |
OIM権限認可者基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、権限認可者によるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAuthorizerOrgsWithHierarchy |
|
権限認可者 |
OIM権限認可者 |
OIM権限認可者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、権限認可者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingDirect=OrclOIMEntitlementAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAuthorizerOrgsWithHierarchy |
|
権限認可者 |
OIM権限認可者 |
OIM権限認可者基本情報組織直接ポリシー |
このポリシーは、権限認可者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementAuthorizerOrgsWithHierarchy |
|
権限ビューア |
OIM権限ビューア |
表示アクション用権限ビューア・ポリシー |
権限ビューアは、Oracle Identity Managerの組織のスコープが指定された管理ロールです。このポリシーは、承認を必要とせずに権限ビューアが権限を検索し、その属性を表示できるかどうかを指定します。デフォルトでは、承認は必要ありません。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementViewerOrgsWithHierarchy |
|
権限ビューア |
OIM権限ビューア |
リクエスト・アクション用OIM権限ビューア・ポリシー |
このポリシーは、組織のスコープが指定されたポリシーであり、ロールのメンバーが、その組織に公開済の権限の付与、取消し、および変更をリクエストすることを許可します。権限ビューアによる権限の付与または取消しはリクエストになります。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMEntitlementViewerOrgsDirect OrclOIMNeedApproval=true |
|
権限ビューア |
OIM権限ビューア |
OIM権限ビューア基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、権限ビューアによるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementViewerOrgsWithHierarchy |
|
権限ビューア |
OIM権限ビューア |
OIM権限ビューア基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、権限ビューアによるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementViewerOrgsWithHierarchy OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingDirect=OrclOIMEntitlementViewerOrgsDirect |
|
権限ビューア |
OIM権限ビューア |
OIM権限ビューア基本情報組織直接ポリシー |
このポリシーは、権限ビューアによる組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMEntitlementViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMEntitlementViewerOrgsWithHierarchy |
|
認証済ロール |
authenticated-role |
権限表示用ホーム組織ポリシー |
このポリシーは、ユーザーのホーム組織に公開済の権限および権限属性を暗黙的に表示することをそのユーザーに許可します。 |
OrclOIMOrgScopingDirect =OrclOIMUserHomeOrgs |
|
認証済ロール |
authenticated-role |
権限に対するアクション用のホーム組織ポリシー |
このポリシーは、同じホーム組織内の別のユーザーにプロビジョニングされた権限に対してユーザーが実行できるアクションと、そのアクションに承認が必要かどうかを指定します。デフォルトでは、承認が必要です。 |
OrclOIMNeedApproval=true OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs |
|
カタログ管理者 |
OIMカタログ管理者ロール |
リクエスト・プロファイル管理ポリシー |
このポリシーは、リクエスト・プロファイルを管理しているときにカタログ管理者ロールのメンバーが実行できるアクションを制御します。 |
|
|
認証済ロール |
authenticated-role |
OIMリクエスト・プロファイルのすべてのユーザーの表示検索ポリシー |
このポリシーは、すべてのユーザーによるリクエスト・カタログに対する表示および検索権限を制御します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
OIM承認ポリシー管理者ポリシー |
このポリシーは、システム構成管理者による承認ポリシー管理の権限を制御します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
診断ダッシュボード管理者ポリシー |
診断ダッシュボードは、Oracle Identity Managerの診断ユーティリティです。このポリシーは、診断ダッシュボードにアクセスできるユーザーと、そのユーザーが実行できるアクションを指定します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
OIMリソース・オブジェクト管理ポリシー |
このポリシーは、システム構成管理者によるリソース・オブジェクト管理の権限を制御します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
通知管理者ポリシー |
このポリシーは、通知管理者が実行できるアクションを指定します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
OIMプラットフォーム・サービス管理者ポリシー |
このポリシーは、プラットフォーム・サービス管理者が実行できるアクションを指定します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
プラグイン管理者ポリシー |
このポリシーは、プラグインを登録および登録解除できるユーザーを制御します。デフォルトでは、システム管理者およびシステム構成管理者管理ロールのメンバーのみが、プラグインを登録および登録解除できます。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
システム管理コンソール用システム構成者ポリシー |
このポリシーは、システム構成管理者管理ロールのメンバーが、Oracle Identity System Administrationにアクセスできるかどうかを制御します。 |
|
|
アプリケーション・インスタンス管理者 |
OIMアプリケーション・インスタンス管理者 |
OIM UIアプリケーション・インスタンス管理者ポリシー |
このポリシーは、アプリケーション・インスタンス管理者がそのUIで実行できるアクションを指定します。 |
|
|
権限管理者 |
OIM権限管理者 |
OIM UI権限管理者ポリシー |
このポリシーは、権限管理者がそのUIで実行できるアクションを指定します。 |
|
|
アプリケーション・インスタンス管理者 システム構成管理者 |
OIMアプリケーション・インスタンス管理者 OIMシステム構成者 |
リクエスト・データセット・ポリシー |
このポリシーは、システム構成管理者ロールのメンバーがリクエスト・データセットに対して実行できるアクションを制御するために使用されます。 |
OrclOIMOrgScopingDirect=OrclOIMSystemConfiguratorOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMSystemConfiguratorOrgsWithHierarchy |
|
システム構成管理者 |
OIMシステム構成者 |
リコンシリエーション管理者ポリシー |
リコンシリエーション管理者は、リコンシリエーション・イベントに対してアクションを実行できます。このポリシーは、リコンシリエーション管理者が実行できるアクションを制御します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
OIMスケジューラ管理者ポリシー |
スケジューラ管理者は、スケジュール済タスクに対してアクションを実行できます。このポリシーは、スケジューラ管理者が実行できるアクションを制御します。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
システム・プロパティ管理ポリシー |
このポリシーは、アクションを指定し、Oracle Identity Managerシステム・プロパティの管理の一部として誰がそれを実行できるのかを決定します。デフォルト動作では、システム構成管理者のみがシステム・プロパティを管理できます。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
OIMユーザー管理構成管理者ポリシー |
このポリシーは、システム構成管理者ロールのメンバーが使用できるユーザー構成機能を制御します。 |
|
|
認証済ロール |
authenticated-role |
組織用ホーム組織ポリシー |
このポリシーは、ユーザーのホーム組織に公開済のアプリケーション・インスタンス、アカウント、権限と権限属性、およびユーザーを暗黙的に表示することをそのユーザーに許可します。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs OrclOIMNeedApproval=true |
|
ユーザー管理者 |
OIMユーザー管理 |
ユーザー変更用ユーザー管理ポリシー |
ユーザー管理は、組織のスコープが指定された管理ロールです。このロールのメンバーはユーザーを管理し、そのアクションに承認は必要ありません。このポリシーは、ユーザー管理者がユーザー属性を変更できるかどうかと、変更できない属性、および変更に承認が必要かどうかを指定します。デフォルトでは、このロールのメンバーはすべてのユーザー属性を変更でき、そのアクションに承認は必要ありません。 |
OrclOIMDeniedAttributesWithoutApproval= OrclOIMNeedApproval=false OrclOIMOrgScopingDirect=OrclOIMUserAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserAdminOrgsWithHierarchy |
|
ユーザー管理者 |
OIMユーザー管理 |
管理アクション用ユーザー管理者ポリシー |
ユーザー管理者は、組織のスコープが指定された管理ロールです。このロールのメンバーは、承認を必要とせずに、組織のスコープ内のユーザーに対してアクションを実行できます。このポリシーは、表示アクション以外のすてのアクションに適用されます。それによって、有効化されたアクションに対して承認が必要ないことを示す責任が返されます。 |
OrclOIMNeedApproval=false OrclOIMOrgScopingWithHierarchy=OrclOIMUserAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserAdminOrgsDirect |
|
ユーザー管理者 |
OIMユーザー管理 |
OIMユーザー管理ポリシー直接(属性利用) |
このポリシーは、ユーザー管理者がユーザーおよびユーザー属性に対して実行できる直接アクションを制御します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMUserAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserAdminOrgsDirect |
|
ユーザー管理者 |
OIMユーザー管理 |
リクエスト不能アクション用ユーザー管理ポリシー |
ユーザー管理者は、組織のスコープが指定された管理ロールです。このロールのメンバーはユーザーを管理し、そのアクションに承認は必要ありません。このポリシーは、このロールのメンバーがユーザーに対して実行できる、承認を必要としないアクションを指定します。 |
OrclOIMOrgScopingDirect=OrclOIMUserAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserAdminOrgsWithHierarchy |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
ユーザー・ステータス管理用ヘルプ・デスク・ポリシー |
このポリシーは、ユーザーのアカウント・ステータスの管理の一部としてユーザー・ヘルプ・デスク管理ロールのメンバーが実行できるアクションと、そのアクションに承認が必要かどうかを制御します。デフォルトでは、このロールのメンバーは、承認を必要とせずにユーザーのステータスを有効化または無効化できます。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMNeedApproval=true |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
ユーザー・アカウントの変更用OIMユーザー・ヘルプ・デスク・ポリシー |
このポリシーは、ユーザー・アカウントの変更の一部としてユーザー・ヘルプ・デスク管理ロールのメンバーが実行できるアクションを制御します。 |
OrclOIMNeedApproval=false OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
ユーザー検索用ヘルプ・デスク管理ポリシー |
ユーザー・ヘルプ・デスクは、組織のスコープが指定された管理ロールです。このロールのメンバーは、ユーザーの検索、ユーザー・プロファイルの変更、およびユーザー・パスワードの変更を実行できます。このポリシーは、このロールのメンバーがユーザーを検索できるかどうか、およびユーザー属性を表示できるかどうかを指定します。デフォルトでは、この管理ロールのメンバーはすべてのユーザー属性を表示できます。 |
OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
パスワード管理用ヘルプ・デスク・ユーザー・ポリシー |
ユーザー・ヘルプ・デスク管理ロールのメンバーは、ユーザーの検索、ユーザー・プロファイルの変更、およびユーザー・パスワードの変更を実行できます。このポリシーは、このロールのメンバーがユーザー・パスワードを管理できるかどうか、アカウントをロックまたはロック解除できるかどうか、およびユーザーが要求したリクエストを表示できるかどうかを指定します。 |
OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
OIMユーザー・ヘルプ・デスク・ユーザーのロック解除ポリシー直接 |
このポリシーは、ユーザー・ヘルプ・デスクがユーザー・アカウントを直接ロック解除できるかどうかを決定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMAllowOnlyIfLockedByFailLoginAttempts=true |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
OIMヘルプ・デスク基本情報アプリケーション・インスタンス直接ポリシー |
このポリシーは、ユーザー・ヘルプ・デスク管理ロールのメンバーによるアプリケーション・インスタンスに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
OIMヘルプ・デスク基本情報ITリソース権限直接ポリシー |
このポリシーは、ユーザー・ヘルプ・デスク管理ロールのメンバーによるITリソース権限に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
OIMヘルプ・デスク基本情報ロール直接ポリシー |
このポリシーは、ユーザー・ヘルプ・デスク管理ロールのメンバーによるロールに対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect |
|
ユーザー・ヘルプ・デスク |
OIMユーザー・パスワード管理 |
OIMヘルプ・デスク基本情報組織直接ポリシー |
このポリシーは、ユーザー・ヘルプ・デスク管理ロールのメンバーによる組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserHelpDeskOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserHelpDeskOrgsDirect |
|
ユーザー・ビューア |
OIMユーザー・ビューア |
リクエスト・アクション用ユーザー・ビューア・ポリシー |
ユーザー・ビューアは、組織のスコープが指定された管理ロールです。このポリシーは、管理ロールのメンバーがユーザーのプロファイルを変更できるかどうかと、そのアクションに承認が必要かどうかを制御します。デフォルトでは、ユーザー・ビューア・ロールのメンバーによって送信されたユーザー変更リクエストは承認が必要です。 |
OrclOIMNeedApproval=true OrclOIMDeniedAttributesWithApproval= OrclOIMOrgScopingDirect=OrclOIMUserViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserViewerOrgsWithHierarchy |
|
ユーザー・ビューア |
OIMユーザー・ビューア |
ユーザー管理用ユーザー・ビューア・ポリシー |
このポリシーは、ユーザー・ビューア・ロールのメンバーが実行できるアクションと、そのアクションに承認が必要かどうかを制御します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMUserViewerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMUserViewerOrgsDirect OrclOIMNeedApproval=true |
|
ユーザー・ビューア |
OIMユーザー・ビューア |
デフォルト・ユーザー・ビューア・ポリシー |
ユーザー・ビューア管理ロールは、認証されたユーザーが検索および表示できるユーザーおよびその属性と権限付与を制御します。 |
OrclOIMOrgScopingDirect=OrclOIMUserViewerOrgsDirect OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMUserViewerOrgsWithHierarchy |
|
ユーザー・ビューア |
OIMユーザー・ビューア |
ユーザー・ビューア・ポリシー |
このポリシーは、ユーザー・ビューア管理ロールのメンバーが表示できるユーザーの属性およびリレーションシップを制御します。 |
OrclOIMOrgScopingDirect=OrclOIMUserViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMUserViewerOrgsWithHierarchy |
|
認証済ロール |
authenticated-role |
ユーザー変更用管理チェーン・ポリシー |
このポリシーは、ユーザーが、そのユーザーの管理チェーン内の別のユーザーを変更できるかどうかと、そのアクションに承認が必要かどうかを指定します。このポリシーは、承認を必要としないユーザー属性も指定します。デフォルトでは、パスワードを除くすべてのユーザー属性の変更に承認が必要です。 |
OrclOIMUserManagementScoping=OrclOIMUserId OrclOIMNeedApproval=true OrclOIMDeniedAttributesWithApproval= |
|
認証済ロール |
authenticated-role |
ユーザーに対するアクション用管理チェーン・ポリシー |
このポリシーは、ユーザーが管理チェーン内の他のユーザーに対して実行できるアクションと、そのアクションに承認が必要かどうかを制御します。デフォルトでは、承認が必要です。 |
OrclOIMNeedApproval=true OrclOIMUserManagementScoping=OrclOIMUserId |
|
認証済ロール |
authenticated-role |
ユーザー検索用管理チェーン・ポリシー |
このポリシーは、ユーザーが管理チェーン内の他のユーザーを検索し、許可された属性を表示することを許可します。デフォルトでは、管理チェーン内の他のユーザーのすべての属性を表示できます。 |
OrclOIMDeniedAttributesDirect= OrclOIMUserManagementScoping=OrclOIMUserId |
|
認証済ロール |
authenticated-role |
管理ロール・アクション用管理チェーン・ポリシー |
このポリシーは、ユーザーが管理チェーン内の他のユーザーに付与された管理ロールに対して実行できるアクションを制御します。 |
OrclOIMUserManagementScoping=OrclOIMUserId |
|
認証済ロール |
authenticated-role |
ホーム組織承認ポリシー |
ホーム組織は、ユーザーが所属するデフォルト組織です。このポリシーは、所属するホーム組織内でユーザーが実行できるアクションを制御し、そのアクションに承認が必要かどうかを判別するためにリクエスト・エンジンによって使用されます。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs OrclOIMNeedApproval=true |
|
認証済ロール |
authenticated-role |
ホーム組織承認(属性利用)ポリシー |
このポリシーは、所属するホーム組織内でユーザーが実行できるアクションを制御し、そのアクションに承認が必要かどうかを判別するためにリクエスト・エンジンによって使用されます。 |
OrclOIMDeniedAttributesWithApproval=USR_PASSWORD OrclOIMNeedApproval=true OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs |
|
認証済ロール |
authenticated-role |
ユーザー属性用ホーム組織ポリシー |
このポリシーは、同じホーム組織内の他のユーザーのユーザー・プロファイルを検索および表示するときに、ユーザーに表示されないユーザー属性を制御します。デフォルトでは、ユーザーはすべての属性を表示できます。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs OrclOIMDeniedAttributesDirect= |
|
認証済ロール |
authenticated-role |
ユーザー・アクセスの表示用ホーム組織ポリシー |
このポリシーは、同じホーム組織内の別のユーザーのアクセスを表示しているときにユーザーが実行できるアクションを制御します。 |
OrclOIMOrgScopingDirectAttributeOrclOIMUserHomeOrgs |
|
認証済ロール |
authenticated-role |
自身のユーザー・プロファイルの変更用ポリシー |
このポリシーは、自身のユーザー・プロファイルでユーザーが変更できるユーザー属性と、その変更に承認が必要かどうかを指定します。デフォルトでは、ユーザーは自身のプロファイルの任意の属性を変更でき、変更には承認が必要です。 |
OrclOIMNeedApproval=true OrclOIMDeniedAttributesWithApproval= |
|
認証済ロール |
authenticated-role |
リクエスト・アクション用ユーザー・セルフ・サービス・ポリシー |
このポリシーは、認証されたユーザーがIdentity Self Service内で実行できるアクションと、承認が必要かどうかを制御します。 |
OrclOIMNeedApproval=true |
|
認証済ロール |
authenticated-role |
セルフ用ユーザー属性表示ポリシー |
このポリシーは、認証されたユーザーが自身のユーザー属性を表示できるかどうかと、表示できない属性を指定します。デフォルトでは、すべてのユーザー属性を表示できます。 |
OrclOIMDeniedAttributesDirect= |
|
認証済ロール |
authenticated-role |
表示アクション用ユーザー・セルフ・サービス・ポリシー |
このポリシーは、ユーザーが自身のプロファイルに対して実行できるアクション(リクエストを開始しない)を指定します。 |
|
|
SPML管理者 |
OIM SPML管理 |
ユーザー更新用SPML管理ポリシー |
SPML管理は、グローバル管理ロールです。この管理ロールは、SPML Webサービスによってユーザー管理操作を実行するために使用されます。このポリシーは、このロールのメンバーがユーザーを変更できるかどうかと、そのアクションに承認が必要かどうかを指定します。デフォルトでは、ロールのメンバーによるユーザー変更は承認が必要です。 |
OrclOIMOrgScopingDirect=OrclOIMSPMLAdminOrgsDirect OrclOIMNeedApproval=true OrclOIMDeniedAttributesWithApproval= OrclOIMOrgScopingWithHierarchy=OrclOIMSPMLAdminOrgsWithHierarchy |
|
SPML管理者 |
OIM SPML管理 |
ユーザーに対するアクション用SPML管理ポリシー |
このポリシーは、ユーザーを管理しているときにSPML管理ロールのメンバーが実行できるアクション、および承認が必要かどうかを制御します。デフォルトでは、このロールのメンバーによって実行されるユーザー管理アクションには承認が必要です。 |
OrclOIMOrgScopingDirect=OrclOIMSPMLAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMSPMLAdminOrgsWithHierarchy OrclOIMNeedApproval=true |
|
SPML管理者 |
OIM SPML管理 |
SPML管理者ポリシー |
このポリシーは、SPML管理がユーザーに対して実行できるアクションを指定します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingDirect=OrclOIMSPMLAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMSPMLAdminOrgsWithHierarchy |
|
SPML管理者 |
OIM SPML管理 |
ロール・メンバーシップ・アクション用SPML管理ポリシー |
このポリシーは、SPML管理ロールのメンバーが実行できるロール・メンバーシップ・アクションと、そのアクションに承認が必要かどうかを制御します。デフォルトでは、アクションには承認が必要です。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMSPMLAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMSPMLAdminOrgsDirect OrclOIMNeedApproval=true |
|
SPML管理者 |
OIM SPML管理 |
OIMロールSPML管理ポリシー直接(属性利用) |
このポリシーは、SPML管理がロールおよびロール属性に対して直接実行できるアクションを指定します。 |
|
|
ロール認可者 |
OIMロール認可者 |
表示アクション用ロール認可者ポリシー |
ロール認可者管理ロールは、組織のスコープが指定されたロールです。このポリシーは、承認を必要とせずにロール認可者が実行できるアクションを制御します。ロール・メンバーシップの表示やロールの検索などのアクションは承認を必要としません。組織のスコープが指定されたロールの検索およびロール・メンバーの表示は承認を必要としません。 |
OrclOIMOrgScopingDirect=OrclOIMRoleAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAuthorizerOrgsWithHierarchy |
|
ロール認可者 |
OIMロール認可者 |
リクエスト・アクション用ロール認可者ポリシー |
このポリシーは、承認を必要とするロール認可者が実行できるアクションを制御します。デフォルトでは、このロールのメンバーによるロール・メンバーシップの付与および取消しは承認を必要としません。 |
OrclOIMNeedApproval=false OrclOIMOrgScopingDirect=OrclOIMRoleAuthorizerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAuthorizerOrgsWithHierarchy |
|
ロール認可者 |
OIMロール認可者 |
OIMロール認可者基本情報組織直接ポリシー |
このポリシーは、ロール認可者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAuthorizerOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMRoleAuthorizerOrgsDirect |
|
ロール認可者 |
OIMロール認可者 |
OIMロール認可者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、ロール認可者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMRoleAuthorizerOrgsDirect OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAuthorizerOrgsWithHierarchy |
|
ロール・ビューア |
OIMロール・ビューア |
ロール・ビューア・ポリシー |
ロール・ビューアは、Oracle Identity Managerの管理ロールです。このポリシーは、ロールのメンバーが実行できるアクションを制御します。デフォルトでは、このポリシーによって、この管理ロールのメンバーは、ロールの検索および表示を許可されます。 |
OrclOIMOrgScopingDirect=OrclOIMRoleViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMRoleViewerOrgsWithHierarchy |
|
ロール・ビューア |
OIMロール・ビューア |
ロール・メンバーシップ用ロール・ビューア・ポリシー |
このポリシーは、ロール・ビューアが実行できるアクションと、そのアクションが承認を必要とするかどうかを制御します。デフォルトでは、承認が必要です。 |
OrclOIMOrgScopingDirect=OrclOIMRoleViewerOrgsDirect OrclOIMNeedApproval=true OrclOIMOrgScopingWithHierarchy=OrclOIMRoleViewerOrgsWithHierarchy |
|
ロール・ビューア |
OIMロール・ビューア |
OIMロール・ビューア基本情報組織直接ポリシー |
このポリシーは、ロール・ビューアによる組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMRoleViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMRoleViewerOrgsWithHierarchy |
|
ロール・ビューア |
OIMロール・ビューア |
OIMロール・ビューア基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、ロール・ビューアによるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingDirect=OrclOIMRoleViewerOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMRoleViewerOrgsWithHierarchy |
|
認証済ロール |
authenticated-role |
ロール・メンバーシップ用ホーム組織ポリシー |
このポリシーは、ユーザーがそのユーザーのホーム組織内で実行できるロール・メンバーシップの付与および取消しアクションと、それに承認が必要かどうかを制御します。デフォルトでは、承認が必要です。 |
OrclOIMNeedApproval=true OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs |
|
認証済ロール |
authenticated-role |
ロール用ホーム組織ポリシー |
このポリシーは、ユーザーのホーム組織に公開済のロールおよびロール属性を暗黙的に表示することをそのユーザーに許可します。 |
OrclOIMOrgScopingDirect=OrclOIMUserHomeOrgs |
|
ロール管理者 |
OIMロール管理者 |
承認ありのOIMロール管理ポリシー |
ロール管理者は、組織のスコープが指定された管理ロールです。このポリシーは、承認ありでロール管理者が実行できるアクションを指定します。 |
OrclOIMOrgScopingDirect=OrclOIMRoleAdminOrgsDirect OrclOIMNeedApproval=false OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAdminOrgsWithHierarchy |
|
ロール管理者 |
OIMロール管理者 |
ロール管理者ポリシー |
このポリシーは、ロール管理者管理ロールのメンバーが実行できるアクションを制御します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMRoleAdminOrgsDirect |
|
ロール管理者 |
OIMロール管理者 |
OIMロール管理者基本情報組織直接ポリシー |
このポリシーは、ロール管理者による組織に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAdminOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMRoleAdminOrgsDirect |
|
ロール管理者 |
OIMロール管理者 |
OIMロール管理者基本情報ユーザー直接(属性利用)ポリシー |
このポリシーは、ロール管理者によるユーザーおよびユーザー属性に対する直接表示および検索権限を指定します。 |
OrclOIMOrgScopingDirect=OrclOIMRoleAdminOrgsDirect OrclOIMDeniedAttributesDirect= OrclOIMOrgScopingWithHierarchy=OrclOIMRoleAdminOrgsWithHierarchy |
|
システム構成管理者 |
OIMシステム構成者 |
OIMエンティティ用システム構成者ポリシー |
システム構成管理者管理ロールは、グローバル・ロールです。このポリシーは、このロールのメンバーが、ユーザー、権限、ロール、組織、およびアプリケーション・インスタンスに対して実行できるアクションを制御します。メンバーは、Identity System Administrationでアプリケーション・インスタンスを管理できますが、Identity Self Serviceではビューア管理ロール機能を持ちます。 |
OrclOIMOrgScopingWithHierarchy=OrclOIMSystemConfiguratorOrgsWithHierarchy OrclOIMOrgScopingDirect=OrclOIMSystemConfiguratorOrgsDirect |
|
システム構成管理者 |
OIMシステム構成者 |
システム構成者ポリシー |
このポリシーは、システム構成管理者管理ロールのメンバーが実行できるアクションを制御します。この管理ロールのメンバーは、インストール後の製品構成アクティビティを実行し、システム管理者が実行できるすべての構成アクティビティを実行できます。ただし、システム構成管理者管理ロールのメンバーは、システム管理者管理ロールのメンバーが持っている暗黙的なユーザー、ロール、アプリケーション・インスタンス管理者機能を持ちません。 |
|
|
システム構成管理者 |
OIMシステム構成者 |
ユーザー用システム構成者ポリシー拒否ポリシー |
このポリシーは、システム構成管理者のメンバーがユーザー・エンティティに対して実行できるアクションを制御します。 |
|
|
カタログ管理者 |
OIMカタログ管理者ロール |
カタログ管理者用表示ポリシー |
このポリシーは、カタログ管理者のカタログ・エンティティに対する表示権限を制御します。 |
OrclOIMOrgScopingDirect=OrclOIMCatalogAdminOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMCatalogAdminOrgsWithHierarchy |
|
認証済ロール |
authenticated-role |
ユーザーに割り当てられたOIMエンティティの直接ポリシー |
このポリシーは、認証されたユーザーが、割り当てられたエンティティに対して実行できるアクションを制御します。 |
|
|
認証済ロール |
authenticated-role |
ユーザーに割り当てられたOIMエンティティの承認ポリシー |
このポリシーは、認証されたユーザーが、割り当てられたエンティティに対して実行できるアクションを制御します。 |
OrclOIMNeedApproval=true |
|
証明管理者 |
OIM証明管理者 |
OIM UI証明管理者ポリシー |
このポリシーは、証明構成および証明定義の画面を含むアイデンティティ・システム管理者UIに対してアクセス権限を付与します。 |
|
|
証明管理者 |
OIM証明管理者 |
証明管理者のすべてのエンティティ検索ポリシー |
このポリシーは、証明定義の設計に必要なOracle Identity Managerエンティティに対して表示および検索機能を付与します。エンティティには、アプリケーション・インスタンス、権限、組織、ユーザー、エンタープライズ・ロールおよびカタログ・アイテムが含まれます。このポリシーは、証明定義の構成に使用されます。 |
OrclOIMOrgScopingDirect=OrclOIMCertificationAdministratorOrgsDirect OrclOIMOrgScopingWithHierarchy=OrclOIMCertificationAdministratorOrgsWithHierarchy |
|
証明管理者 |
OIM証明管理者 |
証明管理者ポリシー |
このポリシーは、証明構成オブジェクト(証明構成や証明定義など)に対する更新アクセス権限を付与します。 |
|
|
証明管理者 |
OIM証明管理者 |
スケジューラ証明管理者ポリシー |
このポリシーは、スケジューラに対してアクセス権限を付与します。スケジュール済ジョブの実行により、証明定義から証明が作成されます。 |
|
|
証明管理者 |
OIM証明管理者 |
証明管理者ポリシー |
このポリシーは、証明インスタンスに対する更新アクセス権限を付与します。 注意: レビューア(非管理ユーザー)に対する証明の表示および更新アクセス権限は、証明認可により直接付与されます。 |
|
|
証明ビューア |
OIM証明ビューア |
証明ビューア・ポリシー |
このポリシーは、証明インスタンスに対して表示アクセス権限を付与します。 注意: 証明管理者は、すべての証明ビューア権限を保持しています。 |
OESには、Oracle Identity Managerのユーザーには付与できないため、対応する管理ロールがOracle Identity Managerにないアプリケーション・ロールがいくつかあります。これらのアプリケーション・ロールに関連付けられているポリシーは、リクエスト関連の操作に使用されます。たとえば、OIMリクエスト承認者アプリケーション・ロールと関連付けられてポリシーは、リクエストの承認者の操作を制御するために使用されます。表3-4は、Oracle Identity Managerに対応する管理ロールがないアプリケーション・ロールと、それに関連付けられているポリシーを示しています。
表3-4 OESアプリケーション・ロールとポリシー
| OESのアプリケーション・ロール | ポリシー名 | 説明 | 責任 |
|---|---|---|---|
|
OIMリクエスト承認者 |
OIMリクエスト承認者ロール・ポリシー |
このポリシーは、リクエスト承認者がロールを表示および検索する権限を指定します。 |
|
|
OIMリクエスト・リクエスタ |
OIMリクエスト・リクエスタ・ロール・ポリシー |
このポリシーは、リクエスタがロールを表示および検索する権限を指定します。 |
|
|
OIMリクエスト受益者 |
OIMリクエスト受益者ロール・ポリシー |
このポリシーは、リクエストの受益者がロールを表示および検索する権限を指定します。 |
|
|
OIMリクエスト承認者 |
OIMリクエスト承認者アプリケーション・インスタンス・ポリシー |
このポリシーは、リクエスト承認者がアプリケーション・インスタンスを表示および検索する権限を指定します。 |
|
|
OIMリクエスト・リクエスタ |
OIMリクエスト・リクエスタ・アプリケーション・インスタンス・ポリシー |
このポリシーは、リクエスタがアプリケーション・インスタンスを表示および検索する権限を指定します。 |
|
|
OIMリクエスト受益者 |
OIMリクエスト受益者アプリケーション・インスタンス・ポリシー |
このポリシーは、リクエストの受益者がアプリケーション・インスタンスを表示および検索する権限を指定します。 |
|
|
OIMリクエスト承認者 |
OIMリクエスト承認者権限ポリシー |
このポリシーは、リクエスト承認者が権限を表示および検索する権限を指定します。 |
|
|
OIMリクエスト・リクエスタ |
OIMリクエスト・リクエスタ権限ポリシー |
このポリシーは、リクエスタが権限を表示および検索する権限を指定します。 |
|
|
OIMリクエスト受益者 |
OIMリクエスト受益者権限ポリシー |
このポリシーは、リクエストの受益者が権限を表示および検索する権限を指定します。 |
|
|
OIMリクエスト承認者 |
OIMリクエスト承認者ユーザー・ポリシー |
このポリシーは、リクエスト承認者がユーザーを表示および検索する権限を指定します。 |
OrclOIMDeniedAttributesDirect= |
|
OIMリクエスト・リクエスタ |
OIMリクエスト・リクエスタ・ユーザー・ポリシー |
このポリシーは、リクエスタがユーザーを表示および検索する権限を指定します。 |
OrclOIMDeniedAttributesDirect= |
|
OIMリクエスト受益者 |
OIMリクエスト受益者ユーザー・ポリシー |
このポリシーは、リクエストの受益者がユーザーを表示および検索する権限を指定します。 |
OrclOIMDeniedAttributesDirect= |
|
OIMリクエスト委任管理 |
OIMリクエスト委任管理ロール・ポリシー |
このポリシーは、委任管理者がロールを表示および検索する権限を指定します。 |
|
|
OIMリクエスト・ターゲット・エンティティ |
OIMリクエスト・ターゲット・エンティティ・ロール・ポリシー |
このポリシーは、リクエストのターゲット・ユーザーがロールを表示および検索する権限を指定します。 |
|
|
OIMリクエスト委任管理 |
OIMリクエスト委任管理ユーザー・ポリシー |
このポリシーは、委任管理者がユーザーを表示および検索する権限を指定します。 |
|
|
OIMリクエスト・ターゲット・エンティティ |
OIMリクエスト・ターゲット・エンティティ・ユーザー・ポリシー |
このポリシーは、リクエストのターゲット・ユーザーがユーザーを表示および検索する権限を指定します。 |
|
|
OIMリクエスト委任管理 |
OIMリクエスト委任管理ITリソース権限ポリシー |
このポリシーは、委任管理者がITリソース権限を表示および検索する権限を指定します。 |
|
|
OIMリクエスト・ターゲット・エンティティ |
OIMリクエスト・ターゲット・エンティティITリソース権限ポリシー |
このポリシーは、リクエストのターゲット・ユーザーがITリソース権限を表示および検索する権限を指定します。 |
|
|
OIMリクエスト委任管理 |
OIMリクエスト委任管理アプリケーション・インスタンス・ポリシー |
このポリシーは、委任管理者がアプリケーション・インスタンスを表示および検索する権限を指定します。 |
|
|
OIMリクエスト・ターゲット・エンティティ |
OIMリクエスト・ターゲット・エンティティ・アプリケーション・インスタンス・ポリシー |
このポリシーは、リクエストのターゲット・ユーザーがアプリケーション・インスタンスを表示および検索する権限を指定します。 |
|
|
OIMリクエスト証明ビューア |
OIM証明リクエスト証明者ターゲット・エンティティ・ロール・ポリシー |
このポリシーは、ロール・エンティティに対して表示アクセス権限を付与します。このポリシーは、ユーザーが証明者(レビューア)となっている証明で参照されるロールを表示するためにログイン・ユーザーに動的に付与するリクエスト証明ビューアに対して付与されます。 |
|
|
OIMリクエスト証明ビューア |
OIM証明リクエスト証明者ターゲット・エンティティ・ユーザー・ポリシー |
このポリシーは、ユーザー・エンティティに対して表示アクセス権限を付与します。このポリシーは、ユーザーが証明者(レビューア)となっている証明で参照されるユーザーを表示するためにログイン・ユーザーに動的に付与するリクエスト証明ビューアに対して付与されます。 |
|
|
OIMリクエスト証明ビューア |
OIM証明リクエスト証明者ターゲット・エンティティITResEntitlementポリシー |
このポリシーは、権限エンティティに対して表示アクセス権限を付与します。このポリシーは、ユーザーが証明者(レビューア)となっている証明で参照される権限を表示するためにログイン・ユーザーに動的に付与するリクエスト証明ビューアに対して付与されます。 |
|
|
OIMリクエスト証明ビューア |
OIM証明リクエスト証明者ターゲット・エンティティApplicationInstanceポリシー |
このポリシーは、アプリケーション・インスタンス・エンティティに表示アクセス権限を付与します。このポリシーは、ユーザーが証明者(レビューア)となっている証明で参照されるアプリケーション・インスタンスを表示するためにログイン・ユーザーに動的に付与するリクエスト証明ビューアに対して付与されます。 |
アプリケーション・ロールのアプリケーション・ロール階層は、OESで定義されます。つまり、特定の組織のアプリケーション・ロールを付与されたユーザーは、その特定の組織階層に存在するアプリケーション・ロールのすべてのアクションを実行できます。たとえば、ユーザーが特定の組織のOrclOIMUserViewerアプリケーション・ロール(つまり、ユーザー・ビューア管理ロール)を持っている場合、そのユーザーは、その特定の組織に存在するOrclOIMApplicationInstanceViewerRole、OrclOIMEntitlementViewer、OrclOIMOrgViewer、およびOrclOIMRoleViewerアプリケーション・ロールのすべてのアクションを実行できます。
表3-5は、アプリケーション・ロールと、特定の組織における対応するアプリケーション・ロールとの間のマッピングを示しています。つまり、2列目のアプリケーション・ロールを付与されたユーザーは、1列目の対応するアプリケーション・ロールのすべてのアクションを実行できます。
表3-5 アプリケーション・ロールのマッピング
| アプリケーション・ロール | アプリケーション・ロールのマップ先 |
|---|---|
|
OrclOIMRoleViewer |
OrclOIMUserAdmin、OrclOIMUserViewer |
|
OrclOIMOrgViewer |
OrclOIMUserAdmin、OrclOIMUserViewer、OrclOIMSPMLAdmin |
|
OrclOIMEntitlementViewer |
OrclOIMUserAdmin、OrclOIMUserViewer |
|
OrclOIMEntitlementAdministrator |
OrclOIMApplicationInstanceAdministratorRole |
|
OrclOIMApplicationInstanceViewerRole |
OrclOIMUserAdmin、OrclOIMUserViewer |
|
OrclOIMCertificationViewer |
OrclOIMCertificationAdministrator |
Oracle Identity Manager 11gリリース2 (11.1.2.2.0)では、以前のリリースのロールのいくつかは削除されているか、別のロールに置き換えられています。表3-6は、以前のロールと新しいロールとの間のマッピングを示しています。
表3-6 以前のロールと新しいロールとの間のマッピング
| 以前のロール | 新規ロール |
|---|---|
|
スケジューラ管理者 |
システム構成者 |
|
デプロイメント・マネージャ管理者 |
システム構成者 |
|
通知テンプレート管理者 |
システム構成者 |
|
SOD管理者 |
システム管理者 |
|
ユーザー名の生成ロール |
システム管理者 |
|
アイデンティティ・ユーザー管理者 |
ユーザー管理者 |
|
ユーザー構成管理者 |
システム構成者 |
|
アクセス・ポリシー管理者 |
システム構成者 |
|
リコンシリエーション管理者 |
システム管理者 |
|
リソース管理者 |
システム構成者 |
|
汎用コネクタ管理者 |
システム構成者 |
|
承認ポリシー管理者 |
システム構成者 |
|
リクエスト管理者 |
システム管理者 |
|
リクエスト・テンプレート管理者 |
システム構成者 |
|
プラグイン管理者 |
システム構成者 |
|
アテステーション構成管理者 |
システム構成者 |
|
アテステーション・イベント管理者 |
システム管理者 |
|
ロール管理者 |
ロール管理者 |
|
ユーザー名管理者 |
以前のロールは削除されたため、現在のリリースには対応するロールはありません。管理ロールに依存します。 |
|
アイデンティティ組織管理者 |
組織管理者 |
|
ITリソース管理者 |
アプリケーション・インスタンス管理者 |
|
レポート管理者 |
以前のロールは削除されたため、現在のリリースには対応するロールはありません。これは、Oracle Identity Managerからのレポートへのリンクがないためです。 |
|
SPMLアプリケーション・ロール |
SPMLアプリケーション・ロール このエンタープライズ・ロールに対する変更はありません。ただし、権限付きの対応するロールはOESにシードされています。 注意: このロールは、Oracle Identity Managerでは使用されません。 |
|
すべてのユーザー |
すべてのユーザー このロールはエンタープライズ・ロールのままです。したがって、OESには対応するアプリケーション・ロールがありません。 このロールは、Oracle Identity Manager Enterprise Editionではアクセス・ポリシーベースのプロビジョニング操作のために必要です。 |
|
システム構成管理者 |
システム構成者 このロールは、ユーザー、ロール、組織およびプロビジョニングを管理する機能を除いて、システム管理者ロールとしてのすべての権限を持っています。この管理ロールは、システム管理者ロールとしてのシステムへの完全なアクセスを必要としないシステム構成タスクに使用されます。 |
|
システム管理者 |
システム管理者 このロールは、システム上の完全な権限を提供するものとしてそのままになっています。このロールは、コード・レベルで適用される無制限の権限を許可します(このロールの宣言的なセキュリティ・モデルはありません)。したがって、OESには、このロールに対応するポリシーはありません。 |
表3-7に示されたポリシーによって、表のような管理者ロールを持つログイン中のユーザーにcreateUser権限が与えられます。
表3-7 ユーザーの作成ポリシー
| 管理者ロール | ポリシー名 | ポリシーの表示名 |
|---|---|---|
|
ユーザー管理 |
OrclOIMUserAdminApprovalPolicy |
ユーザー管理者承認ポリシー |
|
ホーム組織または同じ組織 |
OrclOIMUserHomeOrgApprovalPolicy |
ユーザー・ホーム組織承認ポリシー |
|
ユーザー・マネージャまたは管理階層 |
OrclOIMUserManagementChainApprovalPolicy |
ユーザー管理チェーン承認ポリシー |
|
SPML管理者 |
OrclOIMUserSPMLAdminApprovalPolicy |
ユーザーSPML管理者承認ポリシー |
|
ユーザー・ビューア |
OrclOIMUserViewerApprovalPolicy |
ユーザー・ビューア承認ポリシー |
組織へのエンティティの公開とは、エンティティをその組織で使用可能にすることです。エンタープライズ・ロール、権限またはアプリケーション・インスタンスについては、それぞれの管理者が組織のリストに公開することによって、その組織のユーザーに付与できるようなります。エンタープライズ・ロール、権限およびアプリケーション・インスタンスは、次の目的で、組織のリストに公開されます。
リストの組織に属するユーザーがリクエストできるようにする
これらのロールを、リストの組織の管理者が管理できるようにする
エンティティ管理者がエンティティを作成すると、エンティティは、その管理者がエンティティ管理者ロールを持つすべての組織で自動的に使用可能になります。たとえば、ロール管理者権限を持つユーザーがエンタープライズ・ロールを作成すると、新しく作成されたロールは、そのユーザーがロール管理者として属するすべての組織で自動的に使用可能になります。これによって、管理者がエンティティを作成して、それぞれの組織(または組織階層)に公開する必要がなくなります。ただし、このエンティティをその他の組織に公開する必要がある場合は、エンティティを手動で公開する必要があります。
エンティティ管理者は、エンティティ詳細ページを使用して組織にエンティティを公開できます。たとえば、一連の組織にロールを公開するには、「ロールの詳細」ページの「組織」タブから実行します。
次のエンティティを組織に公開する方法の参照先を示します。
組織へのロールの公開: 『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』の組織へのロールの公開に関する説明を参照してください。
組織へのアプリケーション・インスタンス(権限あり/なし)の公開: 『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の組織へのアプリケーション・インスタンスの公開に関する説明を参照してください。
表3-3で示したように、Oracle Identity Managerの各管理ロールには、OESのポリシー・ロールとの1対1のマッピングがあり、それぞれ対応するOESポリシーがあります。デフォルトの認可ポリシーをカスタマイズするには、認可ポリシー管理(APM) UIを使用して、OESポリシーを変更できます。たとえば、特定の管理ロールによって表示される属性のリストを制限するには、APMで対応するOESポリシーのOrclOIMDeniedAttributesポリシー責任を更新できます。同様に、特定の管理ロールによって編集される属性のリストを制限する場合は、OrclOIMDeniedAttributesWithApproval責任を更新できます。
APM UIを使用してOESポリシーを管理する方法の詳細は、Oracle Fusion Middleware Oracle Authorization Policy Manager管理者ガイド(Oracle Fusion Applications Edition)のポリシーおよびポリシー・オブジェクトの管理に関する説明を参照してください。
Oracle Identity Managerでの認可セキュリティのデフォルト機能は、次の方法から1つ以上を使用してカスタマイズできます。
既存のポリシーの許可されたアクションの変更
責任の変更。これには、次の内容が含まれます。
拒否された属性リストの変更
承認が必要なブール・フラグのtrue/falseの変更
スコーピング属性の変更
ポリシー条件の変更。これには、次の内容が含まれます。
ポリシーを無効化するためのFALSE条件の追加
ポリシーでのデフォルト条件の変更
リソース/動的属性の追加および既存のポリシーでの使用
デフォルト・ポリシーの削除
次の各項では、デフォルト認可をカスタマイズするために変更可能な管理ロールと認可ポリシーとのマッピングについて説明します。
「誰がどのユーザーを表示できるかの制御」は、表3-8に示した管理ロールを使用して制御できます。これらの管理ロールにより、スコープされた組織内のユーザーを表示または検索する権限がユーザーに付与されます。
表3-8 スコープされた組織内のユーザーを表示または検索する管理ロール
| 管理者ロール | 関連する認可ポリシー名 |
|---|---|
|
アプリケーション・インスタンス管理者ロール |
ApplicationInstanceAdministratorBasicInfoUserDirectWithAttributesPolicy |
|
アプリケーション・インスタンス認可者ロール |
ApplicationInstanceAuthorizerBasicInfoUserDirectWithAttributesPolicy |
|
アプリケーション・インスタンス・ビューア・ロール |
ApplicationInstanceViewerBasicInfoUserDirectWithAttributesPolicy |
|
権限管理者 |
EntitlementAdministratorBasicInfoUserDirectWithAttributesPolicy |
|
権限認可者 |
EntitlementAuthorizerBasicInfoUserDirectWithAttributesPolicy |
|
権限ビューア |
EntitlementViewerBasicInfoUserDirectWithAttributesPolicy |
|
組織管理者 |
OrgAdministratorBasicInfoUserDirectWithAttributesPolicy |
|
組織ビューア |
OrgViewerBasicInfoUserDirectWithAttributesPolicy |
|
ロール管理者 |
RoleAdministratorBasicInfoUserDirectWithAttributesPolicy |
|
ロール認可者 |
RoleAuthorizerBasicInfoUserDirectWithAttributesPolicy |
|
ロール・ビューア |
RoleViewerBasicInfoUserDirectWithAttributesPolicy |
|
ユーザー管理 |
UserAdminDirectWithAttributesPolicy |
|
ユーザー・ヘルプ・デスク |
UserHelpDeskDirectWithAttributesPolicy |
|
管理ロールではなく、ホーム組織 |
UserHomeOrgDirectWithAttributesPolicy |
|
管理ロールではなく、管理階層向け |
UserManagementChainDirectWithAttributesPolicy |
|
SPML管理 |
UserSPMLAdminDirectWithAttributesPolicy |
|
管理ロールではなく、セルフ向け |
UserSelfServiceDirectWithAttributesPolicy |
|
ユーザー・ビューア |
UserViewerDirectWithAttributesPolicy |
すべてのユーザーを表示できるユーザーを制御するには、表3-8に示すように、割り当てられた管理ロールを更新します。ホーム組織のユーザーを制限する場合は、認可ポリシーを変更する必要があります。
表3-9に、誰がどのユーザーを変更できるかを制御する管理ロールと、関連する認可ポリシーを示します。
表3-9 スコープされた組織内のユーザーを変更する管理ロール
| 管理者ロール | 関連する認可ポリシー名 |
|---|---|
|
ユーザー管理 |
UserAdminApprovalWithAttributesPolicy |
|
管理ロールではなく、ホーム組織 |
UserHomeOrgApprovalWithAttributesPolicy |
|
管理ロールではなく、管理階層向け |
UserManagementChainApprovalWithAttributesPolicy |
|
SPML管理 |
UserSPMLAdminApprovalWithAttributesPolicy |
|
管理ロールではなく、セルフ向け |
UserSelfServiceApprovalWithAttributesPolicy |
|
ユーザー・ビューア |
UserViewerApprovalWithAttributesPolicy |
すべてのユーザーを変更できるユーザーを制御するには、表3-9に示すように、割り当てられた管理ロールを更新します。ホーム組織のユーザーを制限する場合は、関連する認可ポリシーを変更する必要があります。
表3-10に、ポリシーにより有効化された管理ロール、関連する認可ポリシーおよび対応するリンクを示します。
表3-10 リンクの表示を制御する管理ロール
| 管理者ロール | 関連する認可ポリシー名 | ポリシーにより有効化されたリンク |
|---|---|---|
|
ユーザー管理 |
UserAdminApprovalPolicy |
enableUserStatus、modifyUserAccounts、deleteUserAccounts、addUserEntitlements、disableUserStatus、addUserRoles、createUser、disableUserAccount、deleteUserRoles、deleteUser、deleteUserEntitlements、enableUserAccount、addUserAccounts |
|
ユーザー・ヘルプ・デスク |
UserHelpDeskApprovalPolicy |
enableUserStatus、disableUserStatus |
|
ユーザー・ヘルプ・デスク |
UserHelpDeskUserAccountsPolicy |
modifyUserAccounts |
|
管理ロールではなく、ホーム組織 |
UserHomeOrgApprovalPolicy |
enableUserStatus、modifyUserAccounts、deleteUserAccounts、addUserEntitlements、disableUserStatus、createUser、addUserRoles、disableUserAccount、deleteUserRoles、deleteUser、deleteUserEntitlements、enableUserAccount、addUserAccounts |
|
管理ロールではなく、管理階層向け |
UserManagementChainApprovalPolicy |
enableUserStatus、modifyUserAccounts、deleteUserAccounts、addUserEntitlements、disableUserStatus、addUserRoles、createUser、disableUserAccount、deleteUserRoles、deleteUser、deleteUserEntitlements、enableUserAccount、addUserAccounts |
|
管理ロールではなく、セルフ向け |
UserSelfServiceApprovalPolicy |
addUserRoles、deleteUserRoles、deleteUserEntitlements、deleteUserAccounts、addUserEntitlements、addUserAccounts |
|
SPML管理 |
UserSPMLAdminApprovalPolicy |
enableUserStatus、disableUserStatus、createUser、addUserRoles、deleteUserRoles、deleteUser |
|
ユーザー・ビューア |
UserViewerApprovalPolicy |
enableUserStatus、modifyUserAccounts、deleteUserAccounts、addUserEntitlements、disableUserStatus、addUserRoles、createUser、disableUserAccount、deleteUserRoles、deleteUser、deleteUserEntitlements、enableUserAccount、addUserAccounts |
表3-10で示したように、管理ロールと関連するポリシーにより、許可されたアクションに従ってリンクを有効化する権限が付与されます。ポリシーを使用して認可ポリシーの更新や有効化されたリンクの変更、またそれに応じた管理ロールの割当てを実行できます。
表3-11に、誰がアプリケーション・インスタンスのアカウントをリクエストできるかを制御する管理ロールと、関連する認可ポリシーを示します。
表3-12に、誰がアカウントを変更できるかを制御する管理ロールと、関連する認可ポリシーを示します。
表3-12 アカウントを変更するための管理ロール
| 管理者ロール | 関連する認可ポリシー名 |
|---|---|
|
アプリケーション・インスタンス認可者ロール |
ApplicationInstanceAuthorizerApprovalPolicy |
|
管理ロールではなく、ユーザーのホーム組織に公開されるアプリケーション・インスタンス |
ApplicationInstanceHomeOrgApprovalPolicy |
|
アプリケーション・インスタンス・ビューア・ロール |
ApplicationInstanceViewerApprovalPolicy |
|
管理ロールではなく、ユーザーにのみプロビジョニングされるアプリケーション・インスタンス |
EntityUserAssignmentApprovalPolicy |
誰がアプリケーション・インスタンスを管理できるかの制御には、「アプリケーション・インスタンス管理者」管理ロールと、関連するApplicationInstanceAdministratorDirectPolicy認可ポリシーが使用されます。
表3-13に、誰がユーザーのパスワードを変更できるかを制御する管理ロールと、関連する認可ポリシーを示します。
表3-14に、アカウント・パスワードの変更のための、選択済ユーザーに対する権限を示します。
表3-14 選択済ユーザーに対する権限を持つ管理ロール
| 管理ロール | 関連する認可ポリシー名 |
|---|---|
|
ユーザー管理 |
UserAdminDirectPolicy |
|
ユーザー・ヘルプ・デスク |
UserHelpDeskDirectPolicy |
|
管理ロールではなく、セルフ向け |
UserSelfServiceDirectPolicy |
表3-15は、管理者がアカウント・パスワードを変更する権限を有する選択済アカウントについて示しています。
表3-15 選択済アカウントに対する権限を有する管理ロール
| 管理ロール | 関連する認可ポリシー名 |
|---|---|
|
アプリケーション・インスタンス認可者ロール |
ApplicationInstanceAuthorizerDirectPolicy |
|
管理ロールではなく、ユーザーのホーム組織に公開されるアプリケーション・インスタンス |
ApplicationInstanceHomeOrgDirectPolicy |
|
アプリケーション・インスタンス・ビューア・ロール |
ApplicationInstanceViewerDirectPolicy |
|
管理ロールではなく、ユーザーにのみプロビジョニングされるアプリケーション・インスタンス |
EntityUserAssignmentDirectPolicy |
表3-16に示す操作と、関連する認可ポリシーにより、操作がリクエストとバインドできるようになります。approvalrequired責任を直接操作にするには、関連する認可ポリシーで変更できます。
表3-16 リクエスト・ベースの操作
| リクエスト・ベースの操作 | 関連する認可ポリシー名 |
|---|---|
|
enablenApplicationInstance |
ApplicationInstanceHomeOrgApprovalPolicy |
|
revokeApplicationInstance |
ApplicationInstanceHomeOrgApprovalPolicy |
|
modifyAccountApplicationInstance |
ApplicationInstanceHomeOrgApprovalPolicy |
|
disableApplicationInstance |
ApplicationInstanceHomeOrgApprovalPolicy |
|
provisionApplicationInstance |
ApplicationInstanceHomeOrgApprovalPolicy |
|
enablenApplicationInstance |
ApplicationInstanceViewerApprovalPolicy |
|
revokeApplicationInstance |
ApplicationInstanceViewerApprovalPolicy |
|
modifyAccountApplicationInstance |
ApplicationInstanceViewerApprovalPolicy |
|
disableApplicationInstance |
ApplicationInstanceViewerApprovalPolicy |
|
provisionApplicationInstance |
ApplicationInstanceViewerApprovalPolicy |
|
deleteRoleMemberships |
EntityUserAssignmentApprovalPolicy |
|
enablenApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
modifyAccountApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
disableApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeITResourceEntitlement |
EntityUserAssignmentApprovalPolicy |
|
modifyProvisionedEntitlement |
EntityUserAssignmentApprovalPolicy |
|
grantITResourceEntitlement |
EntitlementHomeOrgApprovalPolicy |
|
bulkRequestForEntitlements |
EntitlementHomeOrgApprovalPolicy |
|
revokeITResourceEntitlement |
EntitlementHomeOrgApprovalPolicy |
|
modifyProvisionedEntitlement |
EntitlementHomeOrgApprovalPolicy |
|
grantITResourceEntitlement |
EntitlementViewerApprovalPolicy |
|
bulkRequestForEntitlements |
EntitlementViewerApprovalPolicy |
|
revokeITResourceEntitlement |
EntitlementViewerApprovalPolicy |
|
modifyProvisionedEntitlement |
EntitlementViewerApprovalPolicy |
|
deleteRoleMemberships |
EntityUserAssignmentApprovalPolicy |
|
enablenApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
modifyAccountApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
disableApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeITResourceEntitlement |
EntityUserAssignmentApprovalPolicy |
|
modifyProvisionedEntitlement |
EntityUserAssignmentApprovalPolicy |
|
viewPublishedAccounts |
OrganizationHomeOrgDirectPolicy |
|
viewProvisionedAccounts |
OrganizationHomeOrgDirectPolicy |
|
viewSearchEntity |
OrganizationHomeOrgDirectPolicy |
|
viewPublishedEntitlements |
OrganizationHomeOrgDirectPolicy |
|
deleteRoleMemberships |
EntityUserAssignmentApprovalPolicy |
|
enablenApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
modifyAccountApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
disableApplicationInstance |
EntityUserAssignmentApprovalPolicy |
|
revokeITResourceEntitlement |
EntityUserAssignmentApprovalPolicy |
|
modifyProvisionedEntitlement |
EntityUserAssignmentApprovalPolicy |
|
deleteRoleMemberships |
RoleHomeOrgApprovalPolicy |
|
addRoleMemberships |
RoleHomeOrgApprovalPolicy |
|
deleteRoleMemberships |
RoleSPMLAdminApprovalPolicy |
|
deleteRole |
RoleSPMLAdminApprovalPolicy |
|
addRoleMemberships |
RoleSPMLAdminApprovalPolicy |
|
createRole |
RoleSPMLAdminApprovalPolicy |
|
modifyRole |
RoleSPMLAdminApprovalPolicy |
|
deleteRoleMemberships |
RoleViewerApprovalPolicy |
|
addRoleMemberships |
RoleViewerApprovalPolicy |
|
enableUserStatus |
UserHelpDeskApprovalPolicy |
|
disableUserStatus |
UserHelpDeskApprovalPolicy |
|
enableUserStatus |
UserHomeOrgApprovalPolicy |
|
modifyUserAccounts |
UserHomeOrgApprovalPolicy |
|
deleteUserAccounts |
UserHomeOrgApprovalPolicy |
|
addUserEntitlements |
UserHomeOrgApprovalPolicy |
|
disableUserStatus |
UserHomeOrgApprovalPolicy |
|
createUser |
UserHomeOrgApprovalPolicy |
|
addUserRoles |
UserHomeOrgApprovalPolicy |
|
disableUserAccount |
UserHomeOrgApprovalPolicy |
|
deleteUserRoles |
UserHomeOrgApprovalPolicy |
|
deleteUser |
UserHomeOrgApprovalPolicy |
|
deleteUserEntitlements |
UserHomeOrgApprovalPolicy |
|
enableUserAccount |
UserHomeOrgApprovalPolicy |
|
addUserAccounts |
UserHomeOrgApprovalPolicy |
|
modifyUser |
UserHomeOrgApprovalWithAttributesPolicy |
|
enableUserStatus |
UserManagementChainApprovalPolicy |
|
modifyUserAccounts |
UserManagementChainApprovalPolicy |
|
deleteUserAccounts |
UserManagementChainApprovalPolicy |
|
addUserEntitlements |
UserManagementChainApprovalPolicy |
|
disableUserStatus |
UserManagementChainApprovalPolicy |
|
addUserRoles |
UserManagementChainApprovalPolicy |
|
createUser |
UserManagementChainApprovalPolicy |
|
disableUserAccount |
UserManagementChainApprovalPolicy |
|
deleteUserRoles |
UserManagementChainApprovalPolicy |
|
deleteUser |
UserManagementChainApprovalPolicy |
|
deleteUserEntitlements |
UserManagementChainApprovalPolicy |
|
enableUserAccount |
UserManagementChainApprovalPolicy |
|
addUserAccounts |
UserManagementChainApprovalPolicy |
|
modifyUser |
UserManagementChainApprovalWithAttributesPolicy |
|
enableUserStatus |
UserSPMLAdminApprovalPolicy |
|
disableUserStatus |
UserSPMLAdminApprovalPolicy |
|
createUser |
UserSPMLAdminApprovalPolicy |
|
addUserRoles |
UserSPMLAdminApprovalPolicy |
|
deleteUserRoles |
UserSPMLAdminApprovalPolicy |
|
deleteUser |
UserSPMLAdminApprovalPolicy |
|
modifyUser |
UserSPMLAdminApprovalWithAttributesPolicy |
|
addUserRoles |
UserSelfServiceApprovalPolicy |
|
deleteUserRoles |
UserSelfServiceApprovalPolicy |
|
deleteUserEntitlements |
UserSelfServiceApprovalPolicy |
|
deleteUserAccounts |
UserSelfServiceApprovalPolicy |
|
addUserEntitlements |
UserSelfServiceApprovalPolicy |
|
addUserAccounts |
UserSelfServiceApprovalPolicy |
|
modifyUser |
UserSelfServiceApprovalWithAttributesPolicy |
|
enableUserStatus |
UserViewerApprovalPolicy |
|
modifyUserAccounts |
UserViewerApprovalPolicy |
|
deleteUserAccounts |
UserViewerApprovalPolicy |
|
addUserEntitlements |
UserViewerApprovalPolicy |
|
disableUserStatus |
UserViewerApprovalPolicy |
|
addUserRoles |
UserViewerApprovalPolicy |
|
createUser |
UserViewerApprovalPolicy |
|
disableUserAccount |
UserViewerApprovalPolicy |
|
deleteUserRoles |
UserViewerApprovalPolicy |
|
deleteUser |
UserViewerApprovalPolicy |
|
deleteUserEntitlements |
UserViewerApprovalPolicy |
|
enableUserAccount |
UserViewerApprovalPolicy |
|
addUserAccounts |
UserViewerApprovalPolicy |
|
modifyUser |
UserViewerApprovalWithAttributesPolicy |
直接報告先以外のユーザーのピアに対するリクエストの検索/提起を無効にするには、次の手順を実行します。
ユーザーのホーム組織ポリシーを無効化/非アクティブ化/削除して、ピア権限を拒否します。これらのポリシーは、次のとおりです。
ユーザー・ホーム組織承認ポリシー
ユーザー・ホーム組織直接ポリシー
ユーザー・ホーム組織直接(属性利用)ポリシー
間接報告先に対するリクエストの検索、表示、提起を拒否するには、次の手順を実行します。
デフォルトでは、Oracle Identity Managerにより、間接報告先に対するリクエストの検索、表示、提起が許可されています。間接報告先からの許可を削除するには、認可プラグインを作成後、isDirectReporteeとして属性を渡し、その値をTRUE/FALSEとして返します。
ポリシー条件で属性を使用するために、次のユーザー・ポリシーを更新します。
ユーザー管理チェーン承認ポリシー
ユーザー管理チェーン承認(属性利用)ポリシー
ユーザー管理チェーン直接(属性利用)ポリシー
セルフ・プロファイルの拒否属性を制御するには、APMを使用して次の認可ポリシーのポリシー責任を変更します。
OrclOIMUserHomeOrgDirectWithAttributesPolicy
OrclOIMUserSelfServiceDirectWithAttributesPolicy
セルフ向けユーザー変更操作をシステム管理者に対して制御するには、次の手順を実行します。
次のセルフ・サービス認可ポリシーをカスタマイズします。
OrclOIMUserViewerApprovalWithAttributesPolicy
OrclOIMUserManagementChainApprovalWithAttributesPolicy
OrclOIMUserHomeOrgApprovalWithAttributesPolicy
OrclOIMUserAdminApprovalWithAttributesPolicy
次の条件を、他のチェックとともにAND条件に追加します。
if OrclOIMUserId == OrclOIMTargetEntity is TRUE
認可ポリシーのカスタマイズについて、次のユース・ケースを使用して説明します。
従業員または従業員以外のタイプのユーザーについて、ヘルプ・デスク管理者が表示または変更できるユーザー属性を制御するには、次の手順を実行します。
APMを使用して、属性定義を編集して次の属性を追加します。
<attribute>
<name>OrclOIMResourceUserAttributeType</name>
<display-name>OIM resource user type.</display-name>
<description>OIM resource user type.</description>
<attribute-category>DYNAMIC</attribute-category>
<attribute-type>oracle.security.jps.service.policystore.info.OpssString</attribute-type>
<is-single-valued>true</is-single-valued>
</attribute>
使用可能な値は、EMPLOYEEおよびNON-EMPLOYEEです。
ユーザー権限の表示に必要な認可ポリシーを変更するには、次の手順を実行します。
OrclOIMUserHelpDeskDirectWithAttributesPolicyポリシーで、次のように条件を変更します。
<Condition>
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMTargetEntity"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="OR" exp="bool" params="*">
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsDirect"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsDirect"/>
<Par nm="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="EMPLOYEE"/>
</F>
</F>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
<Par nm="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="EMPLOYEE"/>
</F>
</F>
</F>
</F>
</F>
</Condition>
denied-attribute責任を変更して、EMPLOYEEユーザーについて拒否された属性を追加します。
手順1aで変更したOrclOIMUserHelpDeskDirectWithAttributesPolicyポリシーを複製して、次のように条件を変更します。
<Condition>
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMTargetEntity"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="OR" exp="bool" params="*">
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsDirect"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsDirect"/>
<Par nm="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="NON-EMPLOYEE"/>
</F>
</F>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
<Par nm="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="NON-EMPLOYEE"/>
</F>
</F>
</F>
</F>
</F>
</Condition>
denied-attribute責任を変更して、NON-EMPLOYEEユーザーについて拒否された属性を追加します。
ユーザー権限の変更に必要な認可ポリシーを変更するには、次の手順を実行します。
OrclOIMUserHelpDeskApprovalPolicyポリシーを複製して、OrclOIMUserHelpDeskApprovalWithAttributesPolicyという名前を付け、modifyUserの権限を付与します。次のように条件を変更します。
<Condition>
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMTargetEntity"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="OR" exp="bool" params="*">
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsDirect"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsDirect"/>
<Par nm="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="EMPLOYEE"/>
</F>
</F>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
<Par nm="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="EMPLOYEE"/>
</F>
</F>
</F>
</F>
</F>
</Condition>
拒否された属性責任をOrclOIMDeniedAttributesWithApprovalとして追加して、EMPLOYEEユーザーについて拒否された属性を追加します。
手順2aで作成したOrclOIMUserHelpDeskApprovalWithAttributesPolicyを複製して、次のように条件を変更します。
<Condition>
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMTargetEntity"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="OR" exp="bool" params="*">
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsDirect"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsDirect"/>
<Par nm="OrclOIMUserOrganizations"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="NON-EMPLOYEE"/>
</F>
</F>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHelpDeskOrgsWithHierarchy"/>
<Par nm="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMResourceUserAttributeType"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="STRING_EQUAL" exp="str" params="2">
<Par nm="OrclOIMResourceUserAttributeType"/>
<Par tp="str" val="NON-EMPLOYEE"/>
</F>
</F>
</F>
</F>
</F>
</Condition>
denied-attribute責任を変更して、NON-EMPLOYEEユーザーについて拒否された属性を追加します。
次のようにプラグイン・クラスを追加します。
public class ResolveResourceUserTypeAttribute implements AttributeResolver {
public Map<String, Object> resolveResourceAttributes(String subjectId,
PolicyConstants.Resources resourceType,
String resourceId) {
if(resourceType!=PolicyConstants.Resources.USER) return null;
Map<String, Object> env = new HashMap<String, Object>();
try {
Set<String> searchAttributes = new HashSet<String>();
searchAttributes.add(oracle.iam.identity.utils.Constants.EMPTYPE);
searchAttributes.add(oracle.iam.identity.utils.Constants.USERID);
searchAttributes.add(oracle.iam.identity.utils.Constants.USERKEY);
String empType;
UserManager userManager = Platform.getService(UserManager.class);
User user;
user = userManager.getDetails(resourceId, searchAttributes, false);
empType = (String)user.getAttribute(oracle.iam.identity.utils.Constants.EMPTYPE);
if(empType.equalsIgnoreCase("Full-Time"))
env.put("OrclOIMResourceUserAttributeType", "EMPLOYEE");
else env.put("OrclOIMResourceUserAttributeType", "NON-EMPLOYEE");
} catch (Exception e) {
e.printStackTrace();
}
return env;
}
public Map<String, Object> resolveSubjectAttributes(String subjectId,
PolicyConstants.Resources resourceType) {
return null;
}
}
Added the plugin.xml as:
<?xml version="1.0" encoding="UTF-8"?>
<oimplugins xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.oracle.com/schema/oim/plugin plugin.xsd">
<plugins pluginpoint="oracle.iam.platform.authopss.plugin.AttributeResolver">
<plugin pluginclass="oracle.iam.platform.authopss.plugin.impl.ResolveResourceUserTypeAttribute"
version="1.0" name="ResolveResourceUserTypeAttribute">
</plugin>
</plugins>
</oimplugins>
ログイン中のヘルプ・デスク管理者ユーザーは、EMPLOYEEユーザーの属性の一部およびNON-EMPLOYEEユーザーの属性の一部を表示できます。さらに、ヘルプ・デスク管理者ユーザーは、EMPLOYEEユーザーの別の属性およびNON-EMPLOYEEユーザーの別の属性を変更できます。
デフォルトのホーム組織に基づく権限を制御して、これらのポリシーを有効化/無効化するフラグを使用するには、次の手順を実行します。
APMを使用して、ユーザーの属性定義を編集して次の属性を追加します。
<attribute>
<name>OrclOIMHomeOrganizationPoliciesEffective</name>
<display-name>OIM flag for putting the OES policies for home-org in effect.</display-name>
<description>OIM flag for putting the OES policies for home-org in effect.</description>
<attribute-category>DYNAMIC</attribute-category> <attribute-type>oracle.security.jps.service.policystore.info.OpssBoolean</attribute-type>
<is-single-valued>true</is-single-valued>
</attribute>
次のようにポリシー条件を変更します。
<Condition>
<F nm="AND" exp="bool" params="*">
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMHomeOrganizationPoliciesEffective"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMHomeOrganizationPoliciesEffective"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="str" params="2">
<Par nm="OrclOIMHomeOrganizationPoliciesEffective"/>
<Par tp="bool" val="true"/>
</F>
</F>
</F>
<F nm="OR" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMTargetEntity"/>
</F>
<Par tp="bool" val="false"/>
</F>
<F nm="AND" exp="bool" params="*">
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserHomeOrgs"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="ATTRIBUTE_HAS_VALUE" exp="bool" params="*">
<Par tp="str" val="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
<F nm="BOOLEAN_EQUAL" exp="bool" params="*">
<F nm="STRING_AT_LEAST_ONE_MEMBER_OF" exp="bool" params="*">
<Par nm="OrclOIMUserHomeOrgs"/>
<Par nm="OrclOIMUserOrganizationsWithParents"/>
</F>
<Par tp="bool" val="true"/>
</F>
</F>
</F>
</F>
</Condition>
次のようにプラグイン・クラスを追加します。
import java.util.Map;
import oracle.iam.platform.authopss.api.PolicyConstants;
import oracle.iam.platform.authopss.plugin.AttributeResolver;
public class RemoveHomeOrgUserPolicies implements AttributeResolver {
public Map<String, Object> resolveResourceAttributes(String subjectId,
PolicyConstants.Resources resourceType,
String resourceId) {
return null;
}
public Map<String, Object> resolveSubjectAttributes(String subjectId,
PolicyConstants.Resources resourceType) {
Map<String, Object> env = new HashMap<String, Object>();
env.put("OrclOIMHomeOrganizationPoliciesEffective", false);
return env;
}
}
Added the plugin.xml as:
<?xml version="1.0" encoding="UTF-8"?>
<oimplugins xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.oracle.com/schema/oim/plugin plugin.xsd">
<plugins pluginpoint="oracle.iam.platform.authopss.plugin.AttributeResolver">
<plugin pluginclass="oracle.iam.platform.authopss.plugin.impl.RemoveHomeOrgUserPolicies"
version="1.0" name="RemoveHomeOrgUserPolicies">
</plugin>
</plugins>
</oimplugins>
ホーム組織に関連する認可ポリシーは、このユーザー・エンティティに対して機能しません。したがって、エンド・ユーザーは、ピアに対してどの操作も実行できません。
次の方法で、セキュリティを強制できます。
UIレベル・セキュリティ: UIレベルの検証を行ってセキュリティを実施する場合に使用されます。たとえば、フィールドを表示および編集する権限を持つユーザーのみがそのフィールドにアクセス可能にする場合は、フィールドレベル・セキュリティを実装できます。フィールドの権限を持たないユーザーに対しては、そのフィールドは無効化されるか、表示されません。このタイプのセキュリティ実施はUIレベルであり、APIを使用して検証を実行する場合はオーバーライドできます。
|
注意: UIレベルで機能セキュリティを実施するには、次のことを理解している必要があります。
|
バックエンド・セキュリティ: バックエンドでセキュリティを実施するには、APM UIを使用してOESポリシーを変更できます。
機能セキュリティを実装するために、最初にJAVA認可ファイルがPlatformUIで作成されます。このファイルには、各機能またはページまたはモジュールのPolicyConstants (OESポリシー)で定義されるすべての権限のUIPermission変数が含まれています。すべての認可ファイルは、JDeveloperのMainUIプロジェクトのadfc-config.xmlファイルにエントリを持ちます。
機能セキュリティの実装では、次の操作を実行します。
このレベルの実装では、ユーザーの権限に基づいてそのユーザーに対してタスク・フロー・リージョンを非表示にするか、無効化するかが決定されます。リージョンを保護する場合は、次の例を検討してください。my-access-accounts.jsffページでは、タスク・フローdetails-information-tfが、次に示す式言語(EL)構文に従う式を使用して、エンド・ユーザーに対して選択的にレンダリングされます。
rendered="#{oimappinstanceAuth.view[bindings.appInstanceKey].allowed}"
説明:
oimappinstanceAuthは、adfc-config.xmlファイルでの、ApplicationInstanceAuthz.java認可Beanのマップ名です。
viewは、チェックされるUIPermissionの名前です。ApplicationInstanceAuthz.java (oimappinstanceAuthの参照用の実際のBeanファイル)で定義されている権限は次のとおりです。
private UIPermission view = new UIPermission(PolicyConstants.Resources.APPLICATION_INSTANCE.getId(), PolicyConstants.ApplicationInstanceActions.VIEW_SEARCH.getId());
appInstanceKeyは、ユーザーが表示しようとしているアプリケーション・インスタンスのIDで、これはパラメータとして渡されます。
リクエストの作成、変更、無効化、有効化、失効、削除、取消しなどのアクションを、ユーザーの権限に基づいてそのユーザーに対して非表示にするか、無効化するかを決定します。たとえば、「作成」ボタンは、ユーザーを作成する権限を持つユーザーのみに表示されます。
PolicyConstantsに基づいてUserAuthz.javaで定義されている権限を次に示します。
private UIPermission create = new UIPermission (PolicyConstants.Resources.USER.getId(), PolicyConstants.UserActions.CREATE.getId());
MainUIプロジェクトのadfc-config.xmlでのUserAuthz.javaのマッピング・エントリは、次のとおりです。
<managed-bean id="__30"> <managed-bean-name id="__36">oimuserAuth</managed-bean-name> <managed-bean-class id="__29">oracle.iam.ui.platform.view.authz.UserAuthz</managed-bean-class> <managed-bean-scope id="__31">session</managed-bean-scope> </managed-bean>
これで、JSFFページで定義される権限のEL式を定義できます。search-users.jsffでは、rendered属性に次のEL式を使用します(この例では「作成」ボタンです)。
<af:commandToolbarButton rendered="#{oimuserAuth.create.allowed}"
このrendered属性で定義されているEL式は、戻されるブール値に基づいてボタンを表示または非表示にします。そうしない場合は、renderedではなくdisabled属性としてEL式を定義することによって、ボタンを読取り専用にできます。これで、「作成」ボタンは、ユーザーのロールにポリシーで定義された権限が含まれる場合にのみ表示されます。
同様に、変更、有効化、無効化などのアクションのEL式を定義することもできます、EL式を使用するもう1つの例として、パスワードのリセットをヘルプデスク管理者のみが実行可能にし、その他のユーザーに対しては非表示にするか、読取り専用にすることがあります。
フィールドは、ユーザーがそのフィールドを表示する権限を持つかどうかに基づいて表示されます。表示フィールドを保護する場合は、次の例を検討してください。
userdetails.jsffページの「属性」タブの、「名」、「姓」などのユーザー属性は、次のEL式で保護されています。
rendered="#{oimuserAuth.viewSearch.attributes[bindings.firstName.hints.OIM_ATTRIBUTE]}"
説明:
oimuserAuthは、adfc-config.xml内での、UserAuthz.javaのマップ名です。
viewsearchはUIPermission名であり、保護されるフィールドのOracle Identity Manager属性名がパラメータとして渡されます。
