19 管理ロールの管理
管理ロールの管理には、Oracle Identity Managerでサポートされる管理ロール機能の理解、管理ロールの属性の理解、管理ロールの管理と構成が含まれます。
このリリースでは、管理者はカスタム管理ロール機能を使用して、ユーザーが他のユーザーに対して実行できるアクションを制御できます。
この章では、次の各項で管理ロール機能について説明します。
19.1 Oracle Identity Governanceでの管理ロールについて
Oracle Identity Governanceの管理ロール機能は、その他のOracle Identity Governanceオブジェクトに対してユーザーが実行できるアクションを制御するために使用します。
Oracle Identity Governanceの埋込み認可エンジンは、この制御の簡略化のために認可ポリシーを活用します。認可ポリシーの目的は、データ、UIおよびAPIを含む、Oracle Identity Governanceアプリケーションへのユーザーのアクセスを制御することです。認可ポリシーによって、特定のアクションが許可されるかどうかが実行時に決定されます。Oracle Identity Governanceでの認可要件を満たす認可ポリシーを定義できます。
Oracle Identity Governanceでは、認可ポリシー管理は、管理機能として集中管理されます。Oracle Identity Governanceの管理ロールの管理機能には、新しい管理ロールを作成したり、管理ロールの機能を選択する柔軟性があります。様々なエンティティから複数の機能を選択できます。Oracle Identity Governanceでは機能と管理ロールのマッピングが保持されます。管理ロールに対するユーザー割当にメンバーシップ・ルールを定義することもできます。
ノート:
管理ロールと、外部リソースへのユーザーのアクセス制御に使用するロールとを混同しないでください。
管理ロールを管理できるシステム管理者が管理ロールを公開できます。管理ロールを組織に公開してそれらの組織のユーザーに公開するか、それらの組織の管理ロールの管理機能を持つと管理ロールを管理できます。
19.2 管理ロールの概要
管理ロールは、実行できるアクション(機能とも呼ばれる)および制御の範囲を定義します(制御の範囲は、管理ロールによって管理される一連の組織を指します)。
複数の管理ロールを1人の管理者に割り当てることができます。これにより、1人の管理者がある制御の範囲ではある機能セットを、別の制御の範囲では別の機能セットを保有できます。たとえば、ある管理ロールは、その管理ロールに指定されている制御対象組織についてユーザーを作成および編集する権限を管理者に付与します。同じ管理者に割り当てられている2つ目の管理ロールは、その管理ロールに定義されている別の一連の管理対象組織におけるユーザー・パスワードの変更権限のみを付与します。
管理ロールを使用すると、機能と制御の範囲の組合せを再利用できます。また、管理ロールにより、多数のユーザーにわたる管理者権限の管理が簡単になります。機能および制御対象組織を個々のユーザーに直接割り当てるのではなく、管理ロールを使用して管理者権限を付与します。
Oracle Identity Managerには、次の2つの事前定義済の管理ロールがあります。
-
システム管理者: すべての権限を持つ、Oracle Identity Managerシステム管理者ロール。
-
カタログ・システム管理者: すべてのカタログ項目を管理する権限を持つロール。
ノート:
ロール・カタログの属性を編集できるのは「ロール」ページからのみで、別の権限が必要です。
19.3 管理ロールの属性の理解
管理ロール機能、制御の範囲およびパブリケーションは、管理ロール用に構成される属性です。
この項では、次の各トピックで管理ロールの属性について説明します。
19.3.1 管理ロールの機能について
機能とは、Oracle Identity Managerによる管理機能のことです。機能はファイン・グレイン・アクションの集合です。たとえば、ユーザーの作成機能はユーザーの作成とユーザーの表示/検索という2つのアクションで構成されます。機能は作成したり、ユーザーに直接割り当てることができません。管理ロールを使用してユーザーに機能を割り当てます。複数の機能を管理ロールに割り当て、機能を複数のエンティティから選択できます。機能は、ユーザーが自身や他のユーザーのために実行またはリクエストできるものを制御します。
ヒント:
管理ロールの作成中に使用できるデフォルト機能のリストは、表B-1を参照してください。
Oracle Identity Managerでは、拒否属性によってユーザーとそのプロファイルを変更または表示する機能を付与する際に、追加の粒度レベルがサポートされます。管理者は、ユーザーの変更機能またはユーザーの表示/検索機能を割り当てる一環として、どの属性を変更または表示できないかを指定できます。
ノート:
表示/検索について属性に拒否とマークされると、ユーザーの変更機能についても拒否とマークされます。
「ステータス」、「表示名」、「ユーザー・ログイン」などの必須属性やシステム生成属性は、拒否属性リストに含めることはできません。
ユーザーは、ユーザー・アカウントまたは権限の表示、ロールまたはアカウントのリクエストなどの操作をホーム組織のピアのかわりに実行できません。どの管理操作でも実行できるように、特定の管理ロール機能をユーザーに付与する必要があります。
19.3.2 管理ロールの制御の範囲について
Oracle Identity Managerでは、管理の制御の範囲内に入るユーザーを制御できます。制御の範囲を使用すると、管理者は管理ロールのメンバーが管理できる組織を指定できます。
19.4 管理ロールの検索
19.4.2 管理ロールの拡張検索の実行
拡張検索を実行するには:
-
Identity Self Serviceにログインします。
-
「管理」タブをクリックして、「管理ロール」ボックスをクリックします。管理ロール・ページが表示されます。
-
「拡張」リンクをクリックします。管理ロールの拡張検索ページが表示されます。
-
次の「一致」オプションのいずれかを選択します。
-
すべて: 検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
-
いずれか: 検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
-
-
「表示名」フィールドで、検索する表示名検索属性を入力します。これを行うには、検索コンパレータを選択します。デフォルトの検索コンパレータは「次で始まる」です。「次と等しい」、「次で終わる」、「次と等しくない」、「次を含む」および「次を含まない」コンパレータは、かわりとしてリストで使用できます。
-
「説明」および「名前」フィールドで、適切な値および必要なコンパレータを入力します。
-
検索のフィールドを追加するには:
-
「フィールドの追加」をクリックして、説明や名前などのフィールドを選択します。
-
追加した検索属性の値を入力します。
検索に追加したフィールドを削除するには、フィールドの横にある十字アイコンをクリックします。
-
-
検索要素リストを並べ替えるには、「並替え」をクリックします。「検索フィールドの並替え」タブが開きます。並べ替える必要がある検索要素を選択して、矢印キーを使用して並べ替えます。「OK」をクリックします。
検索要素がリストされる順序が適宜変更されます。
-
「検索」をクリックします。結果は検索結果表に表示されます。
19.5 管理ロールの作成
Oracle Identity Managerには、新しい管理ロールを作成したり、管理ロールの機能を選択する柔軟性があります。様々なエンティティから複数の機能を選択できます。
管理ロールを作成するには:
-
Identity Self Serviceで、「管理」タブをクリックして、「管理ロール」をクリックします。管理ロール検索ページが表示されます。
-
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「管理ロールの作成」ページが表示されます。
-
「基本情報」タブで、「名前」、「表示名」および「説明」の詳細を入力し、「次」をクリックします。「機能」タブが表示されます。
「名前」は唯一の必須フィールドで、管理ロール名には英字のみが使用でき、数字および空白は使用できません。
-
「機能」タブで、「機能の追加」をクリックします。「機能の追加」パネルが表示されます。
機能を追加するには:
-
表示名、説明またはエンティティ名として検索基準を使用して機能を検索し、検索アイコンをクリックします。検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。パーセント記号(%)文字をワイルドカード文字として使用します。
検索基準と一致する機能がリストされます。リストには、機能の名前、説明および属性が含まれます。
ノート:
- 機能がユーザーの変更機能または表示検索機能である場合、属性列にリンクが表示されます。拒否属性として属性を設定するには、このリンクをクリックします。「属性」パネルが表示されます。属性のリストから、拒否属性としてマークされる属性を選択して、「OK」をクリックします。
- プロキシ・ユーザーを管理するためにプロキシを管理するカスタム管理ロールを作成する場合は、前述の機能とは別に、ユーザー - 表示/検索機能を管理ロールに明示的に追加する必要があります。これにより、管理ユーザーはプロキシとして設定するユーザーを表示および検索できます。
「ステータス」、「表示名」、「ユーザー・ログイン」などの必須属性やシステム生成属性は、拒否属性リストに含めることはできません。
-
機能のリストから、必要な機能を選択して「選択した項目の追加」をクリックするか、すべてのリストされた機能を追加するには「すべて追加」をクリックします。
-
「選択された機能」リストから機能を選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。
-
「選択」をクリックします。「機能の割当て」パネルに、「機能の追加」で選択した機能がリストされます。
「次」をクリックします。「メンバー」タブが表示されます。
-
-
「メンバー」タブでは、ユーザーの割当て(静的割当て)やメンバーシップの作成(動的割当て)ができます。
ノート:
メンバー割当ての場合、制御の範囲は必須です。
メンバーシップ・ルールを作成するには:
-
「メンバーシップ・ルールの作成」をクリックして、「ロールのユーザー・メンバーシップ・ルール」タブを開きます。
-
「式ビルダー」タブで、「属性」タブの「国」などの属性を選択して、「追加」をクリックします。値の指定ができる式ビルダーに属性が追加されます。また、「リテラル」タブが表示されます。
-
「値」フィールドで、「US」などの選択した属性の値を入力して「追加」をクリックします。値が式ビルダーに追加されます。メンバーシップ・ルールの式により、「US」などの「国」を持つユーザーは、選択した管理ロールのメンバーになります。
-
「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションにメンバーシップ・ルールが追加されています。
「メンバー割当て」タブには、メンバーシップ・ルールに一致するメンバーのリストが表示されます。
直接メンバー: このセクションには、開いているロールに静的に割り当てられたメンバーが表示されます。
ルール・ベースのメンバー: このセクションには、開いているロールにメンバーシップ・ルールによって割り当てられたメンバーが表示されます。
すべてのメンバー: このセクションには、開いているロールに割り当てられたすべてのメンバー(直接およびルール・ベース)が表示されます。
-
後でルールを評価する場合は、「ルールを後で評価」チェック・ボックスを選択します。後でルールを評価するには、スケジュール済タスクの管理ロール・メンバーシップのリフレッシュを実行します。「ルールを後で評価」チェック・ボックスを選択しないと、ルールは管理ロールの作成時に評価されます。
静的ユーザーを割り当てるには:
-
「割当て」をクリックします。「ユーザーの割当て」検索ダイアログ・ボックスが表示されます。
-
適切な検索基準を使用してユーザーを検索して、検索アイコンをクリックします。検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。パーセント記号(%)文字をワイルドカード文字として使用します。
検索基準に一致するユーザーがリストされます。
-
ユーザーのリストから、必要なユーザーを選択して「選択した項目の追加」をクリックするか、すべてのリストされたユーザーを追加するには「すべて追加」をクリックします。
「選択済」ユーザー・リストから機能を選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。
-
「選択」をクリックします。「メンバー」タブが表示され、「メンバー割当て」セクションに割り当てられたユーザーが表示されます。
「次」をクリックします。「制御の範囲」タブが表示されます。
-
-
この管理ロールで管理できる組織を指定できます。
これを行うには、「組織の追加」をクリックします。「組織の追加」タブが表示されます。
-
組織名、タイプ、組織ステータスまたは親組織名の検索基準を使用して組織を検索し、検索アイコンをクリックします。
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。パーセント記号(%)文字をワイルドカード文字として使用します。検索基準と一致する組織がリストされます。
-
組織のリストから、必要な組織を選択して「選択した項目の追加」をクリックするか、すべてのリストされた組織を追加するには「すべて追加」をクリックします。
「選択した組織」リストから組織を選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。
-
「選択」をクリックします。「制御の範囲」タブが表示され、「制御の範囲」セクションに組織が表示されます。
「次」をクリックします。「組織」タブが表示されます。
-
-
管理ロールは1つ以上の組織に公開できます。
これを行うには、「組織の追加」をクリックします。「組織の追加」タブが表示されます。
-
組織名、タイプ、組織ステータスまたは親組織名の検索基準を使用して組織を検索し、検索アイコンをクリックします。
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。パーセント記号(%)文字をワイルドカード文字として使用します。検索基準と一致する組織がリストされます。
-
組織のリストから、必要な組織を選択して「選択した項目の追加」をクリックするか、すべてのリストされた組織を追加するには「すべて追加」をクリックします。
「選択した組織」リストから組織を選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。
-
「選択」をクリックします。「組織」タブが表示され、「組織」セクションに組織が表示されます。
「次」をクリックします。「サマリー」タブが表示されます。
-
-
「サマリー」タブには、前のステップで入力されたすべての情報がリストされます。「終了」をクリックします。これにより、新しい管理ロールが作成されます。
19.6 管理ロールの表示および変更
管理ロールの詳細を開き、基本情報、機能、メンバー、制御の範囲および組織を編集できます。
ロールの詳細を開いて変更するには、次のいずれかを実行します。
-
「管理ロールの検索」ページで、編集する管理ロールを検索して選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。
-
「管理ロールの検索」ページの検索結果表で、管理ロール名の横にある「管理ロールのオープン」アイコンをクリックします。
-
新しいページに管理ロールの詳細が表示されます。このページの次のタブで管理ロール情報を変更します。
-
「基本情報」タブ
「基本情報」タブには、管理ロール属性が表示されます。「管理ロール名」(これは読取り専用フィールド)を除き、このタブの残りのフィールドは「管理ロールの作成」ページの場合と同じように使用可能です。このタブで変更できる他のフィールドは、「表示名」および「説明」です。
管理ロール属性を変更するには、フィールドの値を変更して「適用」をクリックします。
-
「機能」タブ
「機能」タブには、管理ロールが割り当てられる機能が表示されます。新しい機能を追加したり、既存のリストから機能を削除できます。
新しい機能を追加するには、「追加」をクリックします。「機能の追加」ページが表示されます。機能を追加するには、「管理ロールの作成」のステップを参照してください。
既存の機能を削除するには、リストの機能を選択して、「削除」をクリックします。「適用」をクリックします。
-
「メンバー」タブ
「メンバー」タブには、管理ロールのユーザー・メンバーシップ・ルールとメンバー割当てが表示されます。
ルールを編集するには、「ルールの編集」をクリックします。ステップは、「管理ロールの作成」を参照してください。
ルールを削除するには、「ルールの削除」をクリックします。
新しいユーザーを追加するには、「割当て」をクリックします。ステップは、「管理ロールの作成」を参照してください。
「適用」をクリックします。
-
「制御の範囲」タブ
「制御の範囲」タブでは、この管理ロールで管理できる組織を指定できます。
追加の組織を割り当てるには、「割当て」をクリックします。ステップは、「管理ロールの作成」を参照してください。
リストから組織を削除するには、組織を選択して、「失効」をクリックします。「適用」をクリックします。
-
「組織」タブ
「組織」タブでは、管理ロールを1つ以上の組織に公開できます。
追加の組織を割り当てるには、「割当て」をクリックします。ステップは、「管理ロールの作成」を参照してください。
リストから組織を削除するには、組織を選択して、「失効」をクリックします。「適用」をクリックします。
-
19.7 管理ロールの削除
不要または未使用の管理ロールを削除します。
管理ロールを削除するには:
- 「管理ロールの検索」ページで、削除する管理ロールを検索して選択します。
- 「アクション」メニューから、「削除」を選択します。または、ツールバーにある「削除」をクリックします。管理ロールの削除を確認する警告メッセージが表示されます。「削除」をクリックします。
19.8 エンド・ユーザーのアクションの制御
管理ロールは、ユーザーが別のユーザーとオブジェクトに対して実行できるアクションを制御するために使用します。エンドユーザーが自分自身に対して実行できるアクションを制御するために、管理者はセルフ・サービス機能を構成する必要があります。
セルフ・サービス機能の詳細は、Oracle Identity Governanceの管理のセルフ・サービス機能ポリシーの管理に関する項を参照してください。