Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11gリリース2 (11.1.2.2.0) B69542-07 |
|
前 |
次 |
Oracle Identity Managerは、ロールベースのアクセス制御を管理します。ロールを利用すると、ユーザーにアクセス・レベルを割り当てたり、その割当てを現行基準で監査したりするのがより簡単になります。アクセス・レベルを直接ユーザーに割り当てるのではなく、ロールに割り当てます。ロールはユーザーに割り当てられ、ユーザーに割り当てられたロールによってそのユーザーのアクセス・レベルが決まります。
ロールベースの管理は、通常は新しい状況の発生に伴って増大し、拡張されます。この手法を使用する主な利点は、実装が容易なことです。ロールベースの管理は、中央集中的に確立してネットワーク全体に配布したり、混ぜ合わせることができます。
この機能を使用して、次の操作を実行できます。
ロールを作成、編集および削除します。
ロールにユーザーを割り当て、ロールからユーザーを削除します。
ロールを親ロールとして既存のロールに割り当てます。
ロールに割り当てられたアクセス・ポリシーを表示します。
ロールのユーザー・メンバーシップ・ルールを追加、編集または削除します。
組織に対してロールを公開または公開解除します。
この章では、ロールおよびロールに関連する機能について次の各項で説明します。
メンバーシップの継承とは、継承元ロールから継承先ロールにメンバーを継承することを意味します。次に例を示します。
注意: メンバーシップを継承するロールは、メンバー継承先ロールと呼ばれます。メンバー継承先ロールがメンバーシップを継承するロールは、継承元メンバー・ロールと呼ばれます。 |
ロールBはロールAからメンバーシップを継承します。ロールBはロールAのメンバー継承先ロールです。
ロールCもロールAからメンバーシップを継承します。ロールCもロールAのメンバー継承先ロールです。
この例の場合、ロールAの全メンバーはロールBおよびロールCの暗黙的、つまり間接的なメンバーでもありますが、ロールBのメンバーはロールAのメンバーに自動的にはなりません。つまり、ロールBおよびロールCは、ロールAのメンバー継承先ロールであり、ロールAは、ロールBおよびロールCの継承元メンバー・ロールです。実際の例では、従業員ロール(ロールB)はマネージャ・ロール(ロールA)からメンバーシップを継承します。
ロール・メンバーシップの継承について、次のシナリオを使用して説明します。
マネージャのリストにCEOロールが含まれるように、CEOロールはマネージャ・ロールの継承元メンバー・ロールです。
マネージャ・ロールは従業員ロールの継承元メンバー・ロールです。
ソフトウェア・アーキテクト・ロールはソフトウェア・エンジニア・ロールの継承元メンバー・ロールです。
ソフトウェア・エンジニア・ロールは従業員ロールの継承元メンバー・ロールです。
従業員ロールには、マネージャ・ロールおよびソフトウェア・エンジニア・ロールの2つの継承元メンバー・ロールがあります。
図12-1に、この例に示す親ロールと子ロール、およびメンバーシップの継承を示します。
継承元メンバー・ロールの各ユーザーは、自動的にすべてのメンバー継承先ロールのメンバーとなります。そのメンバー継承先ロールが別の継承元メンバー・ロールでもある場合、ユーザーはそのメンバー継承先ロールに追加され、以降同様に追加されていきます。これは、継承チェーン内でメンバー継承先ロールがなくなるまで続行されます。たとえば、CEOはマネージャであり、マネージャ・ロールのメンバーに自動的になります。同様に、マネージャは自動的に従業員になります。このようにして、継承元メンバー・ロールに追加されたメンバーは、そのメンバー継承先ロールによって継承されていきます。したがって、従業員ロールの直接メンバーシップは存在せず、メンバーシップの継承関係から考えると、従業員ロールは他のすべてのロールよりメンバーが多くなります。
ユーザーは、次のいずれかの方法でロールのメンバーになることができます。
継承元メンバー・ロールからメンバーが継承されます(間接メンバーシップと呼ばれます)。
ユーザーがロールに直接割り当てられます(直接メンバーシップと呼ばれます)。
ユーザーは(メンバーシップ・ルールを使用して)ロールに直接割り当てられます(直接メンバーシップとも呼ばれます)。
同様に、間接メンバーを直接メンバーとして割り当てることができます。ロールでユーザーの直接メンバーシップが失効しても、継承によってユーザーは依然としてロールのメンバーです。
Oracle Identity Managerでは、次のタイプのロールを使用できます。
エンタープライズ・ロール: ユーザー(付与された権限に従って)がOracle Identity Managerで作成、変更または削除し、リクエスト・カタログを使用してロールに対してリクエストできるロールです。
管理ロール: Oracle Identity Managerに事前定義されているロールで、Oracle Entitlement Serverに定義されているアプリケーション・ロールに1対1でマッピングされます。管理ロールはユーザーに表示されません。したがって、管理ロールをリクエストすることはできません。管理ロールの詳細は、「管理ロール」を参照してください。
表12-1には、Oracle Identity Managerのデフォルト・エンタープライズ・ロールがリストされています。デフォルト管理ロールのリストについては、「管理ロール」を参照してください。
注意: Oracle Identity Manager 11gリリース1 (11.1.1)からアップグレードする場合は、11gリリース1 (11.1.1)のデフォルト・ロールが使用可能になります。 |
表12-1 Oracle Identity Managerのデフォルト・ロール
ロール | 説明 |
---|---|
すべてのユーザー |
このロールのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーはこのすべてのユーザー・ロールに所属します。 |
システム管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールのメンバーは、アテステーション・イベントを管理するための各種タスクを実行できるUIにアクセスできます。 注意: デフォルトでは、XELSYSADMおよびOIMINTERNALユーザーはこのロールのメンバーです。 |
管理者 |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。Oracle WebLogic Server管理者は、このロールのメンバーです。 |
オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。 |
セルフ・オペレータ |
これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。これにはXELSELFREGという1人のユーザーが含まれ、Oracle Identity Manager内で他のユーザーが自己登録アクションを実行するときに必要な権限の変更を担当します。 注意: Oracle Identity Managerでは、セルフ・オペレータ・ユーザー・ロールに関連付けられている権限を変更しないことをお薦めします。さらに、他のユーザーをこのロールに割り当てることはできません。 |
このセクションのトピックは次のとおりです:
注意: セルフ・オペレータ・ロールは、デフォルトでOracle Identity Managerに追加されます。このロールにはXELSELFREGという1人のユーザーが含まれ、管理コンソールで自己登録を実行するためのユーザー権限の変更を担当します。 セルフ・オペレータ・ロールに関連付けられている権限を変更しないこと、およびこのロールにユーザーを割り当てないことをお薦めします。 |
ロールを作成するには、次のようにします。
Identity Self Serviceにログインします。
「管理」で、「ロール」をクリックします。「ロールの検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。
「ロールの作成」ページが表示されます。
フィールドに値を入力します。表12-2に、「ロールの作成」ページのフィールドを示します。
表12-2 「ロールの作成」ページのフィールド
フィールド | 説明 |
---|---|
名前 |
ロールの名前 |
表示名 |
UIに表示されるロール名 |
ロールの電子メール |
ロールの電子メールID |
ロールの説明 |
ロールの説明 |
ロール・カテゴリ |
ロールが属しているカテゴリ このフィールドにロール・カテゴリが指定されていない場合、ロールは「デフォルト」カテゴリに作成されます。ロール・カテゴリについては、「ロール・カテゴリの作成と管理」を参照してください。 |
所有者 |
ロールの所有者 ロールの所有者とは、カスタム認可ポリシーを作成せずに、ロールを表示、変更および削除できる権限を持つユーザーです。ロール管理の認可ポリシーの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のセキュリティ・アーキテクチャに関する説明を参照してください。 |
ロール・ネームスペース |
ロールが属するネームスペース |
「保存」をクリックします。ロールは正常に作成されました。作成したロールの「ロールの詳細」ページが表示されます。
ロールの検索、ロールへの情報の追加、およびロールに対するその他の管理機能を実行できます。
このセクションのトピックは次のとおりです:
ロールを検索する手順は次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ロール」をクリックします。「ロールの検索」ページが表示されます。
次のいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「表示名」などの検索可能なユーザー属性のフィールドで、値を指定します。属性値にはワイルドカード文字(*)を含めることができます。
一部の属性については、「参照」から属性値を選択します。たとえば、「デフォルト」のロール・カテゴリのロールをすべて検索するには、「ロール・カテゴリ」フィールドで「デフォルト」を選択します。
指定した各属性値に対して、リストから検索演算子を選択します。次の検索演算子が使用可能です。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
次を含まない
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「表示名」属性の値に「Jo*」と指定して、検索演算子として「次と等しい」を選択できます。「Jo」で始まる表示名を持つロールが表示されます。
検索可能なロール属性を「ロールの検索」ページに追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。
たとえば、ロール・ネームスペース内のすべてのロールを検索する場合は、「ロール・ネームスペース」属性を検索可能なフィールドとして追加して、検索条件を指定できます。
注意: 検索可能な属性を構成できます。検索に使用可能な属性は、「検索可能」プロパティが「はい」にマークされているロール・エンティティに対して定義した属性のサブセットである必要があります。 |
オプションで「リセット」をクリックし、検索条件として指定した値をリセットします。通常、この手順を実行すると、指定した検索条件を削除し、新しい検索条件を指定します。
「検索」をクリックします。図に示すように、検索結果が表形式で表示されます。
検索結果で列を非表示にする場合は、次の手順を実行します。
ツールバーで「ビュー」をクリックし、「列」、「列の管理」を選択します。「列の管理」ダイアログ・ボックスが表示されます。
「表示される列」リストから、非表示にする列を選択します。
左矢印アイコンをクリックして「非表示列」リストに列を追加することによって、ロールの詳細を表示できます。
「OK」をクリックします。選択した列は検索結果に表示されません。現在非表示になっている列の数を示すステータス・メッセージが、検索表の下部に表示されます。図は、2つの列が非表示であることを示しています。
ロールの詳細を開き、ロールの属性を編集したり、ロールの継承やメンバーシップを変更して、ロールを組織に公開できます。ロールの詳細を開いて変更するには、次のいずれかを実行します。
「ロールの検索」ページで、開くロールを検索して選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
「ロールの検索」ページの検索結果表で、ロールの「表示名」をクリックします。
新しいページにロールの詳細が表示されます。ページの上部にロールの表示名が表示されます。このページの次のタブで、ロールの詳細を表示し、ロール情報を変更できます。
「属性」タブでは、ロール属性が表示されます。「ロール・ネームスペース」(これは読取り専用フィールド)を除き、「属性」タブの残りのフィールドは「ロールの作成」ページの場合と同じように使用可能です。「ロール・ネームスペース」フィールドに、ロールが割り当てられているネームスペースが表示されます。「属性」タブの残りのフィールドについては、「表12-2 「ロールの作成」ページのフィールド」を参照してください。
ロール属性を変更するには、フィールドの値を変更して「適用」をクリックします。
注意: ネームスペースが異なれば、同じ名前のロールが可能です。 |
「階層」タブでは、次のセクションにロール階層情報が表示されます。
継承元: このセクションには、開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。
継承先: このセクションには、開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。「ロールを開く」アクションを使用して、基本ロールからの関係を変更できます。
「階層」タブでは、次の操作を実行できます。
子ロールに親ロールを追加する手順は、次のとおりです。
ロールを開きます。
「階層」タブをクリックします。「継承元」セクションのこのタブには、開いているロールの親ロールがリストされ、この開いているロールが親ロールから権限を継承します。
「継承元」がアクティブであることを確認します。
「アクション」メニューから「追加」を選択します。または、ツールバーにある「追加」をクリックします。「ロールの検索」ダイアログ・ボックスが表示されます。
「検索」リストから、検索するロールに従ってロール属性を選択します。次に、参照アイコンを使用して属性を選択します。検索基準にはワイルドカード文字(*)を使用することもできます。次に、「検索」アイコンをクリックします。検索基準に一致するロールのリストが表示されます。
親ロールとして追加するロールを1つ以上選択します。次に、選択したロールを「選択したロール」リストに移動するには、「選択した項目の追加」をクリックします。
または、「すべて追加」をクリックして、すべてのロールを「選択したロール」リストに追加します。
「選択」をクリックします。開いているロールに選択したロールが親ロールとして追加され、ロール階層が「階層」タブの「継承元」セクションに表示されます。
追加された継承元ロールを選択します。選択したロールのサマリー情報が表の下に表示されます。
親ロールの「表示名」をクリックして、親ロールの詳細を開くことができます。または「アクション」メニューから「開く」を選択するか、ツールバーの「開く」をクリックして親ロールの詳細を開きます。
ロールから親ロールを削除する手順は、次のとおりです。
「階層」タブの「継承元」セクションで、削除するロールを選択します。
「アクション」メニューで、「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「削除」をクリックします。「階層」タブの「継承元」セクションから、継承元ロールが削除されます。
「階層」タブの「継承元」セクションから親ロールを、「継承先」セクションから子ロールを開くことができます。
また、現在開いているロールの親ロールおよび子ロールにリンクしているロール(祖父母ロールおよび孫ロールと同様)を、それぞれ「階層」タブの「継承元」セクションおよび「継承先」セクションから開くことができます。
親ロールを開く手順は、次のとおりです。
「階層」タブの「継承元」セクションで、開くロールを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
ページに継承元ロールに関する詳細が表示されます。このページで、ロールの属性の表示と編集、ロールの継承とメンバーシップの変更、メンバーシップ・ルールの割当て、編集および削除、アクセス・ポリシーの表示、および組織の公開や公開解除を行うことができます。
子ロールを開く手順は、次のとおりです。
「階層」タブの「継承先」セクションで、開くロールを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
子ロールに関する詳細を含むページが表示されます。このページで、ロールの属性の表示と編集、ロールの継承とメンバーシップの変更、メンバーシップ・ルールの割当て、編集および削除、アクセス・ポリシーの表示、および組織の公開や公開解除を行うことができます。
「メンバー」タブには、開いているロールに割り当てられたメンバーが表示されます。この情報は、次の各セクションに表示されます。
直接: このセクションには、開いているロールに直接割り当てられたメンバーが表示されます。また、メンバーシップ・ルールを介して割り当てられたすべてのメンバーも表示されます。
間接: このセクションには、ロールによって間接的に継承されたメンバーが表示されます。
すべて: このセクションには、開いているロールに割り当てられたすべてのメンバー(直接メンバーおよび間接メンバー)が表示されます。
「メンバー」タブでは、次の操作を実行できます。
ロールにメンバーを割り当てる手順は、次のとおりです。
「メンバー」タブの「直接」セクションで、ツールバーにある「割当て」をクリックします。「カタログ」ページが表示されます。
「ターゲット・ユーザー」セクションで、緑のプラス・アイコン(+)をクリックして、ロールに割り当てられるメンバー(ユーザー)を選択します。「ターゲット・ユーザーの拡張検索」ダイアログ・ボックスが表示されます。
注意: ロール・カテゴリは、カタログでのロールの表示に影響します。ロールは、デフォルト・ロール・カテゴリ内でロールが最初に作成された場合のみ、カタログに表示されます。OIMロール・カテゴリ内でロールが最初に作成された場合は、カタログの表にロールのためのエントリがないため、表示されません。ロールの作成時に、ロール・カテゴリフィールドに値を指定しなかった場合は、デフォルト・カテゴリのロールが作成されます。ロール・カテゴリの詳細は、「ロール・カテゴリの作成と管理」を参照してください。 |
追加する1人以上のユーザーを検索して選択します。
選択したユーザーを「選択したユーザー」リストに追加するには、「選択した項目の追加」をクリックします。または、「すべて追加」をクリックして、すべてのユーザーを「選択したユーザー」リストに追加します。
「選択」をクリックします。選択したユーザーまたは受益者が、「カート詳細のリクエスト」ページの「ターゲット・ユーザー」セクションに追加されます。
注意: 「ターゲット・ユーザー」でユーザーを選択して、赤の十字アイコンをクリックして「ターゲット・ユーザー」からこのユーザーを削除します。 |
「理由」および「有効日」セクションで、理由とリクエストがアクティブになる有効日を各フィールドで指定します。
必要に応じて、「カート項目」セクションでカート項目を選択し、「詳細」をクリックして項目の詳細を表示します。
「カート詳細」セクションで、必要に応じて、リクエストの詳細を変更します。これを行うには、「詳細」セクションで値を設定または変更し、「送信準備ができています」をクリックします。
詳細またはカートの各リクエストを確認および変更した後、「送信」をクリックします。
リクエストが承認のために送信され、「リクエスト・サマリー」ページが表示され、サマリー情報、ターゲット・ユーザーまたは受益者情報、およびリクエストと承認の詳細が表示されます。「下書きとして保存」をクリックして、後で送信するリクエストを保存します。
ロールからメンバーを失効する手順は、次のとおりです。
「メンバー」タブのいずれかのセクションで、失効するメンバーを選択します。
ツールバーにある「失効」をクリックします。「ロールの削除」ページが表示されます。
「ターゲット・ユーザー」セクションで、ロールから失効するメンバーを確認します。
「理由」フィールドおよび「有効日」フィールドに値を入力します。
「送信」をクリックします。ロールからのメンバーの失効に必要な認可ポリシーがある場合は、承認ステップなしでユーザーがロールから削除されます。必要な認可ポリシーがある場合は、リクエストが承認者によって承認されるとロールが失効されます。
「下書きとして保存」をクリックして、後で送信するリクエストを保存します。
「メンバー」タブで、式ビルダーを使用してユーザー・メンバーシップ・ルールを追加、変更または削除できます。式ビルダーでは、ロールに動的に割り当てられているユーザーに基づいて条件を指定できます。複雑な条件式をユーザー・メンバーシップ・ルールとして単純に指定できます。ユーザー・メンバーシップ・ルールを変更すると、既存のユーザー・メンバーシップが評価され、有効ではない既存のロール・メンバーシップは失効されて新しいロール・メンバーシップが付与されます。
ユーザー・メンバーシップ・ルールを追加する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの追加」をクリックします。「式ビルダー」が表示されます。
左のペインで、「<追加>」が選択されていることを確認します。これは、条件に対するユーザー属性を指定するプレースホルダです。
「オペランド値の選択」の下の「属性」タブで、「国」などのユーザー属性を選択します。
「追加」をクリックして左ペインの条件に属性を追加します。
演算子のリストからコンパレータを選択します。「式の作成」で、演算子のリストからコンパレータを選択します。属性が整数タイプの場合、「= (等しい)」、「> (より大きい)」、「>= (次以上)」、「< (より小さい)」、「=> (次以下)」および「次に含まれる」などのコンパレータが表示されます。
属性がString型の場合、「= (等しい)」、「!= (等しくない)」、「次を含む」、「次で始まる」、「次で終わる」および「次に含まれる」などのコンパレータが表示されます。
「オペランド値の選択」の下の「リテラル」タブで、United States of America
などの値を「値」フィールに指定します。
メンバーシップ・ルールでチェック・ボックスまたは参照タイプUDFまたはデフォルト属性が使用される場合、次の例に示されているように処理する必要があります。
( ( ( Last Name = "Klein" ) AND ( First Name Contains "Robert" ) ) OR ( ( User Login Starts with "rob" ) AND ( Common Name Ends with "ein" ) ) OR ( ( Robert2UserUDF111DL != "Robert2UserUDF111DL" ) AND ( Robert2UserNumberDL >= 99999 ) AND ( RobertUserDateDL =< 2013-12-31 ) AND ( Robert2UserchkboxDL = "1" ) AND ( Robert2UserLookupDL IN ["RobertLookUpCode3","RobertLookUpCode9"] ) ) )
この場合、
Robert2UserchkboxDLは、ルールでは文字列として使用する必要があるチェック・ボックスです。「True」/「はい」/「選択済」/「チェック済」をチェックする場合は、"1"を使用し、「False」/「いいえ」/「未選択」/「未チェック」をチェックする場合は"0"を使用します。
Robert2UserLookupDLは、参照タイプです。デフォルトuserprofileでは、"Robert2LookUpMean3"が表示されます。式では、そのコード値"Robert2LookUpCode3"を使用する必要があります。
すべてのタイプの属性について、NULLまたは値なしをチェックする方法はありません。
注意: チェック・ボックス・フィールドは、バックエンドで文字列として保存されます。チェック・ボックス・フィールドのデータ型は文字列であって、ブールではありません。したがって、すべての文字列操作が表示されます。 |
「追加」をクリックして、指定した値を条件式に追加します。つまり、式はUnited States of Americaに属するユーザーは開いているロールに動的に割り当てられることになります。
図12-2に、条件を使用した式ビルダーを示します。
必要な場合、「結果のプレビュー」タブで、このルールが適用されるメンバーをプレビューできます。
「保存」をクリックします。式ビルダーが閉じて、定義したルールが保存されます。
次のいずれかをクリックします。
適用: このボタンをクリックすると、将来の評価のためにメンバーシップ・ルールが保存されます。ルールの基準と一致するユーザーは、スケジュール済ジョブのロール・メンバーシップのリフレッシュを実行したときに、選択したロールに割り当てられます。このスケジュール済ジョブは、最後のジョブを実行してからのユーザー・メンバーシップ・ルールおよびロール・メンバーシップ・ルールの変更を評価し、そのルールに基づいてユーザーをロールに割り当てます。このスケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の事前定義済のスケジュール済タスクに関する項を参照してください。
適用および評価: このボタンをクリックすると、メンバーシップ・ルールが保存され、かつすべてのユーザーに対して評価されます。その結果、選択したロールのメンバーのリストに、ルールの基準に一致するユーザーが表示されます。
注意: 評価はバックエンドで行われます。ユーザーがバックエンドで評価されている際に、他の操作の実行をOracle Identity Self Serviceで継続できます。 |
元に戻す: このボタンをクリックすると、ルールの追加または編集時に行われたルールの変更が元に戻ります。
警告: 「適用」、「適用および評価」または「元に戻す」のいずれのボタンもクリックせずにロールの詳細を閉じる場合、追加された式は失われます。 |
ユーザー・メンバーシップ・ルールを変更する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの編集」をクリックします。「式ビルダー」が表示されます。
メンバーシップ・ルールの追加のステップの説明に従って、条件を指定してメンバーを動的に割り当てます。
必要な場合、「結果のプレビュー」タブで、変更したルールが適用されるメンバーをプレビューできます。
「保存」をクリックします。式ビルダーが閉じて、変更したルールの保存が完了します。必要に応じて、「適用」、「適用および評価」および「元に戻す」の各ボタンをクリックできます。
ユーザー・メンバーシップ・ルールを削除する手順は、次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの削除」をクリックします。メンバーシップ・ルールを削除するかどうかの確認を求めるダイアログ・ボックスが表示されます。
「はい」をクリックします。メンバーシップ・ルールが削除されます。
ロール・メンバーシップのスケジュール済ジョブが実行される際に、メンバーシップ・ルールの削除が実施されます。
「組織」タブでは、開いているロールに対して組織を割り当てたり失効することができます。開いているロールに組織を割り当てると、その組織でロールが使用可能になります。これは、組織へのロール・エンティティの公開と呼ばれます。
「組織」タブには、開いているロールが公開されたすべての組織が表示されます。各組織では、「階層対応」列で「下位組織を含める」オプションを選択できます。開いているロールを組織の階層全体で使用可能にする場合には、このオプションを選択します。開いているロールをその階層ではなく組織のみで使用可能にする場合は、このオプションの選択を解除したままにします。
「組織」タブで、次のことを実行できます。
組織にロールを公開する手順は、次のとおりです。
「ロールの詳細」ページで、「組織」タブをクリックします。このタブでは、開いているロールに割り当てられた組織が表示されます。
「アクション」メニューから「割当て」を選択します。または、ツールバーにある「割当て」をクリックします。「組織の検索」ダイアログ・ボックスが表示されます。
追加する組織を検索します。組織が「組織結果」セクションの表示されます。
追加する組織を選択して、「選択した項目の追加」をクリックします。選択した組織が「選択した組織」セクションに追加されます。
選択した各組織では、「階層」オプションがデフォルトで選択されます。選択した組織の下位組織にロールを公開する場合は、「階層」オプションを選択したままにします。
選択した組織のみにロールを公開するには、「階層」オプションの選択を解除します。
「OK」をクリックします。ロールは選択した組織に公開されます。つまり、選択した組織がロールに割り当てられます。
このロールで使用可能なすべてのアクセス・ポリシーを表示できます。ロールに割り当てられたアクセス・ポリシーを表示する手順は、次のとおりです。
「ロールの詳細」ページで、「アクセス・ポリシー」をクリックします。「アクセス・ポリシー」ページが表示されます。このページには、ポリシー名とポリシーの簡単な説明が表示されます。
ロールに対するアクセス・ポリシーの割当ておよび削除の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のアクセス・ポリシーの管理についての説明を参照してください。
「ロールの検索」ページで、「ロールの検索」の説明に従ってロールを検索します。
削除するロールを選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。
確認を求めるメッセージが表示されます。
「削除」をクリックして確認します。
注意:
|
ロール・カテゴリは、ナビゲーションおよび認可の目的でロールを分類するために使用します。ロール・カテゴリはロールの属性としてOracle Identity Managerに内部的に格納され、LDAPアイデンティティ・ストアの複数値ビジネス・カテゴリ属性とリコンサイルされます。LDAPの値が空の場合、ロールはデフォルト・ロール・カテゴリに割り当てられます。LDAPの値が認識されない値の場合は、(認識されない値のカテゴリ名を持つ)ロール・カテゴリが作成され、この新しく作成されたロール・カテゴリにロールが割り当てられます。LDAPの値が複数値の場合、Oracle Identity Managerでは、ロール・リコンシリエーション・プロセスでロールをリコンサイルせず、リコンシリエーション・エラーが生成されます。
Oracle Identity Managerのデフォルト・ロール・カテゴリは次のとおりです。
OIMロール: Oracle Identity Managerのすべての事前定義済ロールはこのカテゴリに割り当てられます。これらのロールは、Oracle Identity Managerにデフォルトで存在し、主に権限の管理で使用されます。これらの事前定義済ロールに対応するエンティティはLDAPストアおよびカタログにありません。Oracle Identity Managerにおける事前定義されたロールの詳細は、表12-1「Oracle Identity Managerのデフォルト・ロール」を参照してください。
デフォルト: 新規に作成されたロールはこのロール・カテゴリである必要があります。したがって、ロールの作成時にロール・カテゴリが指定されていない場合、そのロールはデフォルトでこのカテゴリに割り当てられます。
注意: デフォルト・ロール・カテゴリはローカライズできません。 |
この項の内容は次のとおりです。
ロール・カテゴリを作成する手順は、次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ロール・カテゴリ」をクリックします。「ロール・カテゴリの検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ロール・カテゴリの作成」ページが表示されます。
「ロール・カテゴリ」ボックスに、ロール・カテゴリの名前を入力します。
「ロール・カテゴリの説明」ボックスに、ロール・カテゴリの説明を入力します。このステップはオプションです。
「保存」をクリックします。ロール・カテゴリが作成され、「ロール・カテゴリの詳細」ページが表示されます。このページは「属性」タブと「ロール」タブで構成されます。
「属性」タブには、ロール・カテゴリの属性が表示されます。ロール・カテゴリを編集するには、このタブのフィールドを編集します。
「ロール」タブには、ロール・カテゴリに属するロールのリストが表示されます。
ロール・カテゴリを検索する手順は、次のとおりです。
「管理」で、「ロール・カテゴリ」をクリックします。「ロール・カテゴリの検索」ページが表示されます。
「ロール・カテゴリ」フィールドで値を指定します。属性値にはワイルドカード文字(*)を含めることができます。
指定した属性値に対して、リストから検索演算子を選択します。次の検索演算子が使用可能です。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
次を含まない
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「D*」という値を指定して、検索演算子として「次と等しい」を選択できます。「D」で始まるロール・カテゴリが表示されます。
検索可能な属性を「ロール・カテゴリ」に追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。
オプションで「リセット」をクリックし、検索条件として指定した値をリセットします。通常、この手順を実行すると、指定した検索条件を削除し、新しい検索条件を指定します。
「検索」をクリックします。検索結果が表形式で表示されます。
ロール・カテゴリを変更する手順は、次のとおりです。
「ロール・カテゴリの検索」ページで、変更するロール・カテゴリを検索して選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。ページにロール・カテゴリに関する詳細が表示されます。
デフォルトで「属性」タブが開きます。このタブのフィールドを編集して、名前や説明などの基本カテゴリ情報を変更します。完了したら、「適用」をクリックします。
「ロール」タブをクリックします。このタブでは、このカテゴリに割り当てられたすべてのロールを表示できます。
注意: カテゴリにロールを追加するには、このロールのカテゴリ名でロールの詳細を更新します。または、詳細ページからロール・カテゴリの削除もできます。 |
ロール・カテゴリを削除する手順は、次のとおりです。
「ロール・カテゴリの検索」ページで、削除するロール・カテゴリを検索して選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。
「ロール・カテゴリの詳細」ページが開いている場合は、ツールバーにある「削除」をクリックします。
確認を求めるメッセージ・ボックスが表示されます。
「削除」をクリックします。ロール・カテゴリが削除されます。または、詳細ページからロール・カテゴリの削除もできます。
注意: ロールにユーザーが関連付けられていると、そのロール・カテゴリは削除できません。 |