4 管理の委任

管理を委任すると、上位の管理者は、よりローカルな他の管理者に職責を付与できます。この機能は、数千人または数百万人のユーザーを管理する必要のある大規模組織で役立ちます。このリリースのOracle Access Managementでは、システム管理者はアプリケーション・ドメインの管理を他の管理者に委任できます。アプリケーション・ドメイン管理者ロールはこのような目的で開発されました。

次の各トピックでは、管理の委任(別のユーザーに付与する権限の決定など)の概要について説明します。

• 管理者ロールの理解

• アイデンティティ・ストアの委任について

• 管理コンソールを使用したロールの割当て

• コンテナ・セキュリティ・フレームワークおよびMBeanの理解

• リモート登録ユーティリティの使用方法

• 監査レポートについて

4.1 管理者ロールの理解

インストールが完了したAccess Managerには、管理者に割当て可能な一連の事前定義済のロール(Access Managerシステム管理者など)が用意されています。

「Oracle Access Management管理者について」を参照してください。

Access Managerシステム管理者に割当て可能なものは、次のとおりです。

• すべてのアプリケーションおよびコンポーネント・ポリシー・オブジェクト(リソース、認証ポリシー、認可ポリシー、トークン発行ポリシーなど)

• 共有コンポーネント(認証スキーム、ホスト識別子、リソース・タイプなど)

• システム構成(共通構成、Access Manager設定と認証モジュール、セキュリティ・トークン・サービス設定、カスタム・トークン、エンドポイント、テンプレートとプロファイル、Access Managerエージェントとセキュリティ・トークン・サービス・パートナなど)

• エージェントとパートナ

システム管理者は、アプリケーション・ドメインを管理する権限をアプリケーション(ドメイン)管理者に付与できます。(仮想Access Manager管理者グループが定義され、アプリケーション管理者ロールにマップされます。)アプリケーション管理者はさらに、その1つ以上のアプリケーション・ドメインを管理する権限を他のアプリケーション管理者に委任できます。アプリケーション管理者は、リソース、認証ポリシーおよび認可ポリシーを作成および編集できます。これらの権限は1つ以上のアプリケーション・ドメインに対して有効となります。

ノート:

ロールをユーザーに割り当てることができるのはシステム管理者のみであり、ユーザーがロールをさらに他のユーザーに委任することはできません。

システム管理者、アプリケーション管理者およびヘルプ・デスク管理者のロールは相互に排他的であるため、1つのグループまたはユーザーはこのような管理者ロール1つのみに割り当てることができます。ただし、アプリケーション管理者ロールとエージェント管理者ロールは、同じユーザーまたはグループに割り当てることができます。

表4-1では、事前定義済の管理者ロールについて説明します。

表4-1 管理を委任するためのロール

ロール名	説明
システム管理者	ポリシー作成やシステム構成を含め、Oracle Access Managementコンソール全体へのアクセスでは、すべてのシステム構成、ポリシー・オブジェクト、Access Manager設定、エージェント、認証モジュール、認証スキーム、ホスト識別子、リソース・タイプ、フェデレーション・パートナおよびEnterprise Single Sign-onポリシーを管理するための権限が網羅されます。さらに、Security Token Service設定、パートナ、カスタム・トークン、エンドポイント、テンプレートおよびプロファイルも管理できます。 ノート: システム管理者は、シームレスなフェイルオーバーをサポートしません。1つのサーバーがオフラインになった場合、システム管理者は再ログインして、クラスタ内の他のサーバーで作業を続行できます。
アプリケーション管理者	指定のアプリケーション・ドメインのポリシー作成およびリソースへのアクセスこのロールは、アプリケーション登録クイック・ウィザード・リンクにアクセスできます。
ヘルプ・デスク管理者	ヘルプ・デスク・コンソールにアクセスします。
エージェント管理者	エージェント構成ページにアクセスします。このロールは、エージェント登録クイック・ウィザード・リンクにアクセスできます。
認証済ユーザー	「セルフ・サービス」起動パッドおよびページにアクセスします。

「Oracle Access Managementコンソールおよびポリシー・マネージャ・コンソール」を参照してください。

「Oracle Access Managementコンソールの理解」を参照してください。

4.2 アイデンティティ・ストアの委任について

Access Managerシステム・アイデンティティ・ストアは、管理操作の実行時に認証および認可を実施するために使用されます。

システム・アイデンティティ・ストアとして定義されているLDAPディレクトリには、管理コンソールへのアクセス権を持つすべての管理者が含まれます。管理者は、新しいユーザー・アイデンティティ・ストアを定義したり、既存のいずれかのプロファイルをシステム・アイデンティティ・ストアとして選択できますが、現在のシステム・アイデンティティ・ストアを変更したり、新しいシステム・アイデンティティ・ストアに切り替えることができるのは、システム管理者のみです。

新しいアイデンティティ・ストアに移行する際、新しいストアのユーザーがAccess Managerロールを割り当てられると、それらの権限がアクティブになり、Access Managerにより施行されます。管理者は新しいアイデンティティ・ストアの委任された管理権限の削除を担当し、Access Manager管理者グループは新しいアイデンティティ・ストアの管理者ロールにマップされます。

ノート:

現在ログインしているユーザーに、新しいシステム・ストアで必要な管理者ロールがない場合、管理コンソールは、現在の管理者に割り当てられているロールに準拠するように、ログアウトまたはリフレッシュを行います。

4.3 管理コンソールを使用したロールの割当て

システム管理者は、Oracle Access Managementコンソールを使用して、特定のアプリケーション・ドメインに対応するユーザーまたはグループにロールを割り当てることができます。ユーザーには、機能が重複しないかぎり、複数のロールを割り当てられます。

たとえばユーザーXにグローバル・ポリシー管理者が割り当てられている場合、このユーザーにHRドメインのポリシー管理者を割り当てることはできません。これは、後者が前者の子であるためです。

ノート:

ロールを割り当てられるのは、システム/デフォルト・ストアのユーザーまたはグループのみです。

上位より:

1. 特定のポリシー・オブジェクトまたは一連のポリシー・オブジェクトの管理を委任する場合、委任者はアイテムを選択し、それにユーザー、グループ、LDAP検索フィルタまたはドメイン・システム・ロールを割り当てます。
2. 特定のタイプのすべてのオブジェクトの管理を委任する場合、委任者は、ユーザー、グループ、LDAP検索フィルタまたはドメイン・システム・ロールを選択し、それらにそのタイプのオブジェクトの管理権限を付与します。この場合、管理者は管理が委任されるオブジェクトを選択することはできません。管理者は、特定の権限を持つ適切な委任先に付与されるロールを選択します。

4.4 コンテナ・セキュリティ・フレームワークおよびMBeanの理解

コンテナ・セキュリティ・フレームワークを使用して認証および認可を実施するMBeanは、ポータブルJMXフレームワークを使用して公開されます。

MBeanのタイプ:

• 構成サービスMBeanは、証明書検証モジュール、STSエンドポイント、テンプレートとプロファイル、およびSTS設定とカスタム・トークンの構成に使用されます。

• パートナとトラスト・ストア・サービスMBeanは、STSパートナの管理に使用されます。

実行時、JMXフレームワークは、接続操作の際にクライアントを認証し、そのクライアントがMBeanセキュリティ注釈で指定されたロールに属していることを確認します。このため、Access Managerシステム・アイデンティティ・ストアは、ドメインのセキュリティ・レルム内の認証プロバイダとして構成される必要があります。また、MBeanにアクセスするユーザーは、コンテナに応じて次のロールを割り当てられている必要があります。

• WebLogic: 管理者

• WebSphere: 管理者またはコンフィギュレータ

4.5 リモート登録ユーティリティの使用方法

リモート登録ユーティリティ(RREG)は、それを起動するユーザーに割り当てられたロールによっても制御されます。RREGを使用してリモートでエージェントを登録する場合、管理者は、RREGクライアントが正常にRREG Access Managerサーバーに接続して認証できるようにする資格証明を提供します。その後、RREG Access Managerサーバーは、適切な管理ロールを施行するAccess Managerコンポーネントにクライアントのアイデンティティを伝播します。

管理者のロールに基づいてRREGを実行すると、次のようになる場合があります。

• 作成操作において:

  • 新しいエージェント・エントリがプロビジョニングされる場合があります。

  • そのエージェントのHostIDが作成される場合があります。

  • そのエージェントのアプリケーションが作成される場合があります。

  • 新しく作成されたHostIDを使用して新しいアプリケーションにリソースが追加される場合があります。

• 更新操作において:

  • エージェント設定が変更される場合があります。

  • そのエージェントのHostIDが変更される場合があります。

  • そのエージェントのアプリケーションが存在しないと、作成される場合があります。

  • リソースがアプリケーションに追加される場合があります。

RREG管理者には、管理操作が正常に完了するように、ロールが割り当てられる必要があります。

• システム管理者ロール: エージェントの作成/更新用。

• OAM共有コンポーネント管理者/システム管理者ロール: HostIDエントリの作成/更新用。

• OAMドメイン管理者ロール/システム管理者ロール: アプリケーションの作成/更新およびリソースの作成/構成用。

RREGコマンドを実行すると、管理者は、作成されたアプリケーション、エージェントおよびHostIDの委任された管理者として設定されます。

4.6 監査レポートについて

管理が複数のユーザーに委任されると、監査はより重要になります。管理コンソールを介してまたはプログラムにより管理者が実行するすべてのポリシー・オブジェクトおよびシステム構成操作はログに記録され、情報レポートを生成できます。

「 Oracle Fusion Middleware監査の概要」を参照してください。