14 セルフ・サービス機能ポリシーの管理
この章の構成は、次のとおりです。
14.1 セルフ・サービス機能ルールについて
セルフ・サービス機能を使用すると、セルフ・サービス機能ポリシーにルールを設定して、ユーザー自身で実行できる操作を制御できます。アイデンティティ・システム管理の「セルフ・サービス機能」ページでは、ルールの表示、作成、削除および変更を行うことができます。
Oracle Identity Managerを使用すると、ユーザーが自分自身に対して実行できる操作を制御できます。たとえば、あるユーザーが特定の組織に属しているときに、Oracle Identity Managerでセルフ・プロファイルと他の操作の変更のみをこのユーザーに許可できます。これを実現するには、セルフ・サービス機能ポリシーにルールを設定します。セルフ・サービス機能ポリシーでは、ユーザー属性に基づいてルールを定義できます。ルールを満たすユーザーに対してユーザー属性を拒否属性として設定できます。拒否属性としてマークされたユーザー属性は表示されず、編集できません。このルールの戻り値は、ユーザーに割り当てられた機能と、構成されている拒否属性です。セルフ・サービス機能はデフォルトではシードされています。
セルフ・サービス機能ルールは複数構成できます。これらのルールの評価はそれらの順序に基づいて行われます。順序はセルフ・サービス機能ページで構成できます。すべてのルールが1つずつ評価され、最初に一致するルールの機能がユーザーに割り当てられます。
14.2 デフォルトのセルフ・サービス機能ルール
セルフ・サービス機能はデフォルトのセルフ・サービス機能ルールにシードされています。
デフォルト条件は常にTrueに評価されます。このため、セルフ・サービス機能に定義されている他のルールが満たされない場合、デフォルト・ルールが満たされ、すべてのセルフ・サービス機能がユーザーに提供されます。
14.3 セルフ・サービス機能ルールおよびルール評価順序の例
セルフ・サービス機能ルールとルール評価順序は、ユーザーのタイプとロールに基づいて設定できます。
設定可能なルールの例は、次のとおりです。
-
ユーザー・タイプがContractorである場合、ユーザーにはセルフ・プロジェクトの管理のみを許可します。
If user.Role Equal Contractor THEN capability Equal selfModifyUser
-
ユーザー・タイプがFull Timeであり、Sales部門に属している場合、ユーザーにはロールのリクエストとプロファイルの変更を許可します。
If user.Role Equal Full-time AND user.Department Number Equal Sales THEN capability Equal addSelfRoles AND capability Equal selfModifyUser
-
ユーザー・タイプがFull Timeであり、国がUSAでない場合、ユーザーにはプロファイルの変更を許可し、このユーザーに対してMiddle Nameを拒否属性にします。
If user.Role Equal Full-time AND user.Country Not Equal USA THEN capability Equal selfModifyUser AND deniedAttribute Equal Middle Name
-
ユーザー・タイプがFull Timeであり、国がUSAである場合、ユーザーにはプロファイルの変更を許可します。
If user.Role Equal Full-time AND user.Country Equal USA THEN capability Equal selfModifyUser
ユーザーが作成される場合、最初に評価されるルールは最新の定義ルールであり、続いて次に最新のルールが評価され、デフォルトのルールまで評価が続けられます。一致するルールが見つかると評価は停止されます。
たとえば、Contractorルールが最初に作成され、続いてFull-Time User、Full Time User USAおよびFull Time User non USAが作成されるとします。図14-1に、ルールの順序を示します。
この場合、ユーザーが作成されると、ユーザー属性値がFull Time User non USAに対して最初に評価され、一致しない場合は、Full Time User USAに対する評価に進みます。これも一致しない場合は、Full-Time Userに対して評価されてから、Contractorに対して評価されます。これらのルールのいずれも一致いしない場合は、デフォルト・ルールであるデフォルトのセルフ・サービス機能に対して評価されます。Full Time User non USAに対する評価が満たされた場合は、ルール内の条件に応じてユーザーの機能が設定されます。
ルールの順序は、ルールの「順序」列の矢印ボタンを使用して変更できます。
14.4 セルフ・サービス機能ポリシーのルールの作成
「セルフ・サービス機能ポリシー・ルールの追加」ページで新しいルールを作成できます。条件ビルダーを使用してルール条件を構成できます。ANDまたはOR条件オプションを使用して、拡張ルールを構成できます。
セルフ・サービス機能のルールを作成するには:
-
Oracle Identity System Administrationにログインします。
-
左側のペインの「システム構成」で、「セルフ・サービス機能」をクリックします。「セルフ・サービス機能」ページが表示されます。
-
ツールバーの「作成」をクリックします。「セルフ・サービス機能ポリシー・ルールの追加」ページが表示されます。
-
「ルールの作成」セクションで、新しいルールの「名前」、「説明」、「所有者」および「ステータス」を入力します。ルールの「ステータス」は、「有効化」または「無効化」に設定できます。「ステータス」が「無効化」に設定されている場合、ユーザーが作成されると、評価時にこのルールはスキップされます。
-
「条件ビルダー」セクションでルール条件を設定します。たとえば、
条件ビルダーを使用してルールを設定するには:
-
ルールのIF部分で属性を入力するには、条件ビルダー・アイコンをクリックします。条件ビルダーのポップアップ画面が表示されます。
例として、図14-2に、「ルールの追加」ページを示します。
-
属性リストからユーザー属性を選択します。検索可能な属性とユーザーに関連付けられたUDFのリストが表示されます。
リストから特定の属性を検索するか、テキスト・ボックスに属性の名前を入力し、「検索」アイコンをクリックします。リストから属性を選択し、「OK」をクリックします。
-
条件ドロップダウンから条件を選択します。使用可能な条件は、「次と等しい」、「次と等しくない」、「次を含む」、「次を含まない」、「次で始まる」、「次で始まらない」、「次で終わる」、「次で終わらない」です。
ノート:
このリストは、属性のタイプによって異なります。前述のリストはテキスト・タイプ用です。数値型属性の場合、値は「次より大きい」や「次より小さい」などになります。
-
値を入力するには、テキスト・ボックスに値を入力して「OK」をクリックするか、「値」アイコンをクリックして条件ビルダーのポップアップ画面を開きます。
条件ビルダーでは、「値」と「式」のどちらかを選択して入力できます。
「値」を選択すると、値のリストが表示されます。必要な値を選択するか、テキスト・ボックスに値を入力して「OK」をクリックします。
「式」を選択すると、条件のリストが表示されます。必要な値を選択し、「OK」をクリックします。
ノート:
このフィールドには大/小文字区別があります。
-
ルールの「THEN」部分を入力するには、条件ビルダー・アイコンをクリックします。条件ビルダーのポップアップ画面が表示されます。「機能」または拒否属性を選択し、「OK」をクリックします。
-
条件は「次と等しい」に設定されており、変更できません。
-
前のステップの選択内容に基づいて「機能」または拒否属性を選択するには、THENセクションの下の条件ビルダー・アイコンをクリックします。条件ビルダーのポップアップ画面が表示されます。リストから目的のデフォルト機能または拒否属性を選択し、「OK」をクリックします。
ノート:
-
「ステータス」、「表示名」、「ユーザー・ログイン」などの必須属性やシステム生成属性は、拒否属性リストに含めることはできません。
-
拒否属性を指定すると、ユーザーはこれらの属性を表示または変更できなくなります。
-
-
-
複合ルールを設定するには、「条件の追加」をクリックします。「AND」または「OR」条件を選択し、ステップ5の指示に従って追加ルールを設定します。
-
「作成」をクリックします。
14.5 セルフ・サービス機能ポリシーのルールの変更
セルフ・サービス機能ポリシーの既存のルールを編集するには、ポリシーを開いて、ルールの詳細を変更してから、変更したポリシーを保存します。
セルフ・サービス機能のルールを変更するには: