Oracle® Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行 11gリリース2 (11.1.2.3.0) E61970-08 |
|
前 |
次 |
Oracle Identity Managerでは、組織エンティティは、ユーザー、他の組織などのエンティティの論理的なコンテナを表します。Oracle Identity Managerの組織は、セキュリティ目的でのみ使用されます。
組織を使用すると、次のことが可能です。
ユーザー・アカウントおよび管理者を論理的に安全に管理すること
アクセスをユーザー、アプリケーション、ロールおよび権限に制限すること
顧客が委任管理を設定するには、組織を作成して組織階層の様々な場所にユーザーを割り当てます。1つ以上の他の組織で構成される組織を親組織と呼びます。
すべてのOracle Identity Managerユーザー(管理者を含む)は1つの組織に静的に割り当てます。また、ユーザーは追加の組織に動的に割り当てることもできます。Oracle Identity Manager管理者は組織を管理するために追加で割り当てます。
組織管理に関連するタスクは、「アイデンティティ・セルフ・サービス」の「組織」セクションで実行します。
タスクについては、次の各項で説明します。
組織を検索するには、次のいずれかを実行できます。
Identity Self Serviceにログインします。
「管理」をクリックします。「組織」ボックスをクリックします。「組織」ページが表示されます。
基本検索を実行するには、「検索」ドロップダウンから次の検索基準のいずれかを選択して、「検索」アイコンをクリックします。
組織名
タイプ
組織ステータス
親組織名
証明者ユーザー・ログイン
検索結果表には、組織名、親組織名、組織タイプおよび組織ステータスが表示されます。
Identity Self Serviceにログインします。
「管理」をクリックして、「組織」ボックスをクリックします。「組織」ページが表示されます。
「拡張」リンクをクリックします。組織の拡張検索ページが開きます。
次の「一致」オプションのいずれかを選択します。
すべて: 検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: 検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「組織名」フィールドに、検索する組織名の検索属性を入力します。これを行うには、検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。かわりに、リストからコンパレータ「次と等しい」を選択することもできます。
ワイルドカード文字を使用して、組織名を指定できます。
「タイプ」リストから組織タイプを選択します。組織タイプには、「支店」、「会社」または「部門」があります。
検索のフィールドを追加する手順は、次のとおりです。
「フィールドの追加」をクリックし、「組織ステータス」などのフィールドを選択します。
追加した検索属性の値を入力します。この例では、「組織ステータス」リストから組織ステータス(「アクティブ」、「削除」または「無効」)を選択します。
検索に追加したフィールドを削除するには、フィールドの横にある十字アイコンをクリックします。
「検索」をクリックします。結果は検索結果表に表示されます。
検索結果表には、組織名、親組織名、組織タイプおよび組織ステータスが表示されます。
組織を作成するには、次の手順を実行します。
注意: 組織は、ユーザーおよびグループをディレクトリまたはOracle Identity Managerデータベースのどちらに格納するかに関係なく、Oracle Identity Managerデータベースに保持されます。 |
Identity Self Serviceで、「管理」をクリックしてホームページを開きます。「組織」をクリックします。「組織の検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「組織の作成」ページが表示されます。
「組織名」フィールドに、組織の名前を入力します。
「タイプ」リストから、組織のタイプ(「支店」、「会社」または「部門」)を選択します。
新規作成した組織が所属する親組織を指定します。手順は次のとおりです。
「親組織」フィールドの横にある「検索」アイコンをクリックします。「組織の検索」ダイアログ・ボックスが表示されます。
親組織として指定する組織を検索して選択します。
「選択」をクリックします。選択した組織が親組織として追加されます。
(オプション)「証明者ユーザー・ログイン」フィールドでユーザーを選択し、作成された組織の「組織証明者」として選択したユーザーを指定します。
組織証明者の詳細は、「ユーザー・マネージャおよび組織証明者の設定」を参照してください。
組織により、組織に入力するユーザーのパスワードの動作をユーザーのホーム組織の変更を使用して制御できます。ユーザーのホーム組織がある組織から他の組織に変更され、この2つの組織に付加されているパスワード・ポリシーが異なる場合、新しいホーム組織のパスワード・ポリシーの強制フラグにより、ユーザーが次のログオン時に新しいホーム組織のパスワード・ポリシーに従ってパスワードを変更する必要があるのか、ユーザーが同じパスワードを引き続き使用できるのかが判断されます。
ドロップ・ダウンから「再割当て時のパスワード・ポリシーの強制」を選択します。オプションは、「親組織から継承」、「いいえ」または「はい」です。デフォルト値は「はい」です。
再割当て時のパスワード・ポリシーの強制が「はい」である場合、ユーザーは、ホーム組織が変更された後の最初のログイン時に新しいホーム組織のパスワード・ポリシーに従ってパスワードを変更する必要があります。
注意: チャレンジ・ポリシーが新しいホーム組織のパスワード・ポリシーで有効になっている場合、初回ログイン時に新しいパスワードとチャレンジ質問を設定する必要があります。 |
再割当て時のパスワード・ポリシーの強制が「いいえ」である場合、ユーザーは既存のパスワードを使用して続行できます。
再割当て時のパスワード・ポリシーの強制が「親組織から継承」である場合、値「はい」または「いいえ」が設定されている最も近い親から継承されます。
組織に関連付けるパスワード・ポリシー名を指定します。手順は次のとおりです。
「パスワード・ポリシー名」フィールドの横にある「検索」アイコンをクリックします。「パスワード・ポリシー名の検索」ダイアログ・ボックスが表示されます。
組織に関連付けるパスワード・ポリシーを検索して選択します。すべてのパスワード・ポリシーを表示するには、「検索」アイコンをクリックして、検索結果からパスワード・ポリシーを選択できます。
新しいパスワード・ポリシーの作成方法の詳細は、「パスワード・ポリシーの管理」を参照してください。
「追加」をクリックします。選択したパスワード・ポリシー名が、「パスワード・ポリシー名」フィールドに追加されます。
「保存」をクリックして組織を作成します。
組織の詳細を開く手順は、次のとおりです。
Identity Self Serviceで、「管理」をクリックしてホームページを開きます。「組織」をクリックします。「組織の検索」ページが表示されます。
詳細を表示する組織を検索して選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。選択した組織の詳細が新しいページに表示されます。
「組織の詳細」ページでは、管理組織の変更を実行できます。変更は「組織の詳細」ページの複数のセクションで個別に行うため、各セクションで行った変更は他のセクションに影響を与えず、変更内容は個別に保存する必要があります。各セクションで行う変更については、次の各項で説明します。
「組織の詳細」ページの「属性」タブには、組織の属性が表示されます。認可ポリシーで定義されている組織プロファイルを変更する権限が付与されている場合は、「組織の詳細」ページが編集可能モードで開き、組織情報を変更できます。属性の値を変更し、「適用」をクリックして変更内容を保存します。
ログイン・ユーザーが組織を変更できるかどうかは、認可ポリシーによって制御されます。組織の変更を許可されていない場合、「組織の詳細」ページは読取り専用モードで表示され、編集可能なフィールドはありません。
注意: 「組織の詳細」ページの「ステータス」属性は読取り専用です。 |
「子」タブには、開いている組織に所属する子組織のリストが表示されます。リスト内の各子組織に関して、組織名、組織タイプおよび組織ステータスが表示されます。
「子」タブを使用すると、次のことを実行できます。
「子」タブでは、「アクション」メニューから「下位組織の作成」を選択することによって、開いている組織の子組織または下位組織を作成できます。または、ツールバーにある「下位組織の作成」をクリックします。「組織の作成」ページが表示されます。「組織の作成」で説明する手順を実行して、子組織の作成を完了します。
子組織を削除する手順は、次のとおりです。
「子」タブで、削除する組織を選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
「削除」をクリックして確認します。選択した子組織が削除されます。
子組織を無効化する手順は、次のとおりです。
「子」タブで、無効化する組織を選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効化」をクリックします。確認を求めるメッセージが表示されます。
「無効化」をクリックして確認します。選択した子組織が無効化されます。
子組織を有効化する手順は、次のとおりです。
「子」タブで、有効化する組織を選択します。
「アクション」メニューで、「有効化」を選択します。または、ツールバーにある「有効化」を選択します。確認を求めるメッセージが表示されます。
「有効化」をクリックして確認します。選択した子組織が有効化されます。
子組織を開くには、次の手順を行います。
「子」タブで、開く組織を選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックするか、組織の名前をクリックします。
選択した組織の「組織の詳細」ページが表示され、このページを使用してその組織の詳細を変更できます。
「メンバー」タブには、開いた組織のユーザーのリストが表示されます。リスト内の各ユーザーに関して、次の情報が表示されます。
ユーザー・ログイン
表示名
名
姓
電子メール
関係タイプ
ヒント: 「ユーザーの詳細」ページの「属性」タブを使用して、組織に対してユーザーを追加または削除できます。 |
「関係タイプ」列には、ユーザー・メンバーの組織との関係のタイプが表示されます。この詳細は、「動的組織メンバーシップの管理」を参照してください。
ユーザーは、ユーザーの詳細の「組織」属性で組織名を指定することによって、組織に割り当てられます。これは、静的メンバーシップと呼ばれます。さらに、ユーザー・メンバーシップ・ルールに基づいて動的にユーザーを組織に割り当てることもできます。これは、組織の詳細ページの「メンバー」タブで定義できます。ユーザー・メンバーシップ・ルールに適合するすべてのユーザーは、静的に所属する組織階層とは関係なく、動的に組織と関連付けられます。
各組織は、1人のユーザーが一度に複数の組織のメンバーになれるユーザー・メンバーシップ・ルールを持っているため、追加のリソースを表示し、リクエストすることができます。
動的メンバーシップは、ユーザー・メンバーシップ・ルールを変更することにより、取り消すことができます。
動的ユーザー・メンバーシップと動的組織メンバーシップの管理については次の各項で説明します。
組織の動的メンバーシップ・ルールを作成する手順は次のとおりです。
組織の詳細ページの「メンバー」タブで、「ルールの追加」をクリックします。「式ビルダー」が表示されます。
「属性」タブで、「国」などの属性を選択して「追加」をクリックします。値の指定ができる式ビルダーに属性が追加されます。また、「リテラル」タブが表示されます。
「値」フィールドで、「US」などの選択した属性の値を入力して「追加」をクリックします。値が式ビルダーに追加されます。メンバーシップ・ルールの式により、「US」などの「国」を持つユーザーは、選択した組織のメンバーになります。
図17-1に、動的組織メンバーシップ・ルールのサンプルを示す式ビルダーを示します。
「結果のプレビュー」タブをクリックします。このタブには、指定されたメンバーシップ・ルールと一致し、選択した組織に割り当てられるすべてのユーザーが表示されます。
「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションにメンバーシップ・ルールが追加されています。
次のいずれかをクリックします。
適用: このボタンをクリックすると、将来の評価のためにメンバーシップ・ルールが保存されます。ルールの基準と一致するユーザーは、スケジュール済ジョブの組織メンバーシップのリフレッシュを実行したときに、選択した組織に割り当てられます。このスケジュール済ジョブは、最後のジョブを実行してからのユーザー・メンバーシップ・ルールおよび組織メンバーシップ・ルールの変更を評価し、そのルールに基づいてユーザーを組織に割り当てます。このスケジュール済ジョブの詳細は、『Oracle Fusion Middleware Oracle Identity Managerの管理』の事前定義済のスケジュール済タスクに関する項を参照してください。
適用および評価: このボタンをクリックすると、メンバーシップ・ルールが保存され、かつすべてのユーザーに対して評価されます。その結果、選択した組織のメンバーのリストに、ルールの基準と一致するユーザーが表示されます。これらのユーザーの「関係タイプ」列には「動的メンバー」が表示されます。これらのユーザーは、メンバーシップ・ルールに基づいて選択した組織に割り当てられるためです。
元に戻す: このボタンをクリックすると、保存後に行われた変更が元に戻ります。
警告: 「適用」または「適用および評価」のどちらのボタンもクリックせずに「組織の詳細」ページを閉じると、このメンバーシップ・ルールは失われます。 |
ユーザー・メンバーシップ・ルールを変更する手順は次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの編集」をクリックします。「式ビルダー」がユーザー・メンバーシップ・ルールとともに表示されます。
既存のユーザー・メンバーシップ・ルールで属性を変更する場合は、属性をクリックして選択し、「属性」タブで別の属性を選択します。終了したら、「追加」をクリックします。
同様に、値をクリックして変更し、別の値を指定することもできます。
ユーザー・メンバーシップ・ルールにさらに基準を追加するには、下向き矢印をクリックして、ANDやORなどの任意の演算子を選択します。ルールを削除するには、「削除」を選択します。必要に応じて式を作成することで、複雑な基準を指定できます。
「結果のプレビュー」タブをクリックします。このタブには、指定されたメンバーシップ・ルールと一致し、選択した組織に割り当てられるすべてのユーザーが表示されます。
「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションのメンバーシップ・ルールが変更されます。
ユーザー・メンバーシップ・ルールを削除する手順は次のとおりです。
「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの削除」をクリックします。確認を求める警告メッセージが表示されます。
「はい」をクリックして、削除を確認します。
ルールの削除を確認すると、後処理で即時にすべての組織メンバーシップが削除されます。組織メンバーシップ・ルールの削除にオフラインの評価はありません。
組織に割り当てられている管理ロールを表示するには、「組織の詳細」ページの「管理ロール」タブをクリックします。このタブには、管理ロールとそれらに対応する説明が表示されます。管理ロールを選択すると、選択した管理ロールを持つユーザーが「ユーザー・メンバー」セクションに表示されます。また、このタブでは、開いている組織で利用可能な管理ロールをユーザーに対して付与および失効することができます。
「管理ロール」タブでは、次のタスクを実行できます。
ユーザーに管理ロールを付与する手順は、次のとおりです。
「組織の詳細」ページで、「管理ロール」タブをクリックします。開いている組織に割り当てられている管理ロールのリストが表示されます。
ユーザーに付与する管理ロールを選択します。
「アクション」メニューから「割当て」を選択します。または、ツールバーにある「割当て」をクリックします。「ターゲット・ユーザーの拡張検索」ダイアログ・ボックスが表示されます。
選択した管理ロールを付与するターゲット・ユーザーを検索します。「自分の直下の表示のみ」オプションを選択すると、直属の部下のみを表示できます。
「ユーザー結果」セクションで、管理ロールを付与するユーザーを選択します。
選択したユーザーを「選択したユーザー」セクションに移動するには、「選択した項目の追加」をクリックします。また、すべてのユーザーを「ユーザー結果」セクションから「選択したユーザー」セクションに移動するには、「すべて追加」をクリックします。
「選択」をクリックします。選択したユーザーに管理ロールが付与されます。「管理ロール」タブで管理ロールをクリックすると、選択したユーザーのレコードが「ユーザー・メンバー」セクションに表示されます。
「ユーザー・メンバー」セクションで、ユーザー・レコードを選択します。「下位組織を含める」オプションを選択すると、ユーザーの組織およびその下位組織に管理ロールが付与されます。管理ロールをユーザーの組織のみに付与する場合は、このオプションを選択しないでください。
ユーザーから管理ロールを失効する手順は、次のとおりです。
「管理ロール」タブで、ユーザーを失効する管理ロールを選択します。
「ユーザー・メンバー」セクションで、管理ロールを失効するユーザーを選択します。
「アクション」メニューから「失効」を選択します。または、ツールバーにある「失効」をクリックします。確認を求めるメッセージが表示されます。
「失効」をクリックして確認します。管理ロールを選択すると、ユーザー・レコードは表示されなくなります。
現在開いている組織の下位組織からユーザーを失効するには、「下位組織を含める」オプションを選択して、「ユーザー・メンバー」セクションで「適用」をクリックします。
組織で使用可能なアカウントは、組織に公開されているアカウントです。これは、アカウントが組織のユーザーによるリクエストに使用可能であることを意味します。「使用可能なアカウント」タブには、組織内のユーザーにプロビジョニングされたアカウントが表示されます。
「プロビジョニングされたアカウント」タブには、開いている組織にプロビジョニングされているアカウントが表示されます。
「プロビジョニングされたアカウント」タブでは、次のタスクを実行できます。
リソースを組織にプロビジョニングする手順は次のとおりです。
「プロビジョニングされたアカウント」タブで、プロビジョニングするアカウントを選択します。
「アクション」メニューから「プロビジョニング」を選択します。または、ツールバーにある「プロビジョニング」をクリックします。
「組織にリソースをプロビジョニング」ページが新しいウィンドウに表示されます。
「ステップ1: リソースの選択」ページで、リストからリソースを選択し、「続行」をクリックします。
「ステップ2: リソースの選択の検証」ページで、「続行」をクリックします。
「ステップ5: プロセス・データの指定」ページで、組織にプロビジョニングするアカウントの詳細を入力し、「続行」をクリックします。
「ステップ6: プロセス・データの検証」ページで、指定したデータを確認して「続行」をクリックします。「プロビジョニングは開始されています。」というメッセージが表示されます。
組織のリソースを取り消す手順は次のとおりです。
「プロビジョニングされたアカウント」タブで、失効するアカウントを選択します。
「アクション」メニューから「失効」を選択します。または、ツールバーにある「失効」をクリックします。
確認を求めるメッセージが表示されます。
「はい」をクリックします。
プロビジョニングされたリソースの詳細を表示する手順は次のとおりです。
「プロビジョニングされたアカウント」タブで、開くアカウントを選択します。
「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
アカウントの詳細が新しいページに表示されます。
プロビジョニングされたリソースを無効化する手順は次のとおりです。
「プロビジョニングされたアカウント」タブで、無効化するアカウントを選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効化」をクリックします。
プロビジョニングされたアカウントが正常に無効化されたことを示すメッセージが表示されます。
組織にプロビジョニングされたリソースを有効化する手順は次のとおりです。
「プロビジョニングされたアカウント」タブで、有効化するリソースを選択します。
「アクション」メニューで、「有効化」を選択します。または、ツールバーにある「有効化」をクリックします。
プロビジョニングされたアカウントが正常に有効化されたことを示すメッセージが表示されます。
「組織の詳細」ページの「プロビジョニングされたアカウント」タブで、プロビジョニングされたリソースのアクション履歴を表示できます。
リソース履歴を表示するには、次の手順を実行します。
「プロビジョニングされたアカウント」タブで、リソース履歴を表示するリソースを選択します。
「アクション」メニューから、「リソース履歴」を選択します。または、ツールバーにある「リソース履歴」をクリックします。
「リソース履歴」が新しいウィンドウで、選択したリソースのプロビジョニング・タスクの詳細とともに表示されます。タスク名、タスク・ステータス、割当て日およびリソースが割り当てられているユーザーが示されます。
(オプション)リソース履歴にタスクを追加するには、「タスクの追加」をクリックし、追加するタスク名に対応するラジオ・ボタンを選択して「追加」をクリックします。
開いている組織に公開された権限を表示するには、「使用可能な権限」タブをクリックします。
各権限について、次の情報が表示されます。
権限名
権限に関連付けられているリソース
権限に関連付けられているアカウント名
組織名
「組織の詳細」ページで使用できる「ユーザーの作成」オプションを使用して、組織のユーザーを作成できます。この「ユーザーの作成」ページで、組織名が読取り専用形式で事前に入力されます。この組織のパスワード・ポリシーはユーザーの作成時に適用可能であり、デフォルトのパスワード・ポリシーではありません。
ユーザーを作成するには、次の手順を実行します。
「組織の詳細」ページで、ツールバーにある「ユーザーの作成」をクリックします。「ユーザーの作成」ページが表示されます。
必要な詳細を入力します。異なるフィールドの説明は、「ユーザーの作成」を参照してください。
「送信」をクリックします。
オープン組織の下位組織を作成するには、次の手順を実行します。
「組織の詳細」ページで、ツールバーにある「下位組織の作成」をクリックします。「組織の作成」ページが表示されます。オープン組織名は、デフォルトで親組織名として移入されます。
「組織の作成」の説明に従って、組織の属性値を入力します。
「再割当て時のパスワード・ポリシーの強制」リストから、再割当て時のパスワード・ポリシーを強制するのか、親組織のパスワード・ポリシーを継承するのかを指定する値を選択します。
「保存」をクリックします。
注意: 子組織またはユーザーが含まれる組織は無効化できません。「ORG.DisableDeleteActionEnabled」システム・プロパティの値をtrue に設定した場合のみ、強制的に無効化できます。このプロパティを設定した場合は、親組織が無効化されるとユーザーおよび下位組織も無効化されます。 |
「有効」状態の組織を無効化する手順は、次のとおりです。
「組織の検索」ページの組織の検索結果から、無効化する組織を選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効」をクリックするか、「組織の詳細」ページを開いて「無効」をクリックします。
確認を求めるメッセージが表示されます。
「無効化」をクリックして確認します。
「無効」状態の組織を有効化する手順は、次のとおりです。
「組織の検索」ページの組織の検索結果から、有効化する組織を選択します。
「アクション」メニューで、「有効化」を選択します。または、ツールバーにある「有効」をクリックするか、「組織の詳細」ページを開いて「有効」をクリックします。
確認を求めるメッセージが表示されます。
「有効化」をクリックして確認します。
注意:
|
組織を削除するには、次の手順を実行します。
「組織」ページの組織の検索結果から、削除する組織を選択します。
「アクション」メニューから「削除」を選択します。または、ツールバーの「削除」をクリックするか、「組織の詳細」ページの上部にある「削除」をクリックします。
確認を求めるメッセージが表示されます。
「削除」をクリックして確認します。