16 ロールの管理

Oracle Identity Managerのロール管理機能には、アクセス制御機能が用意されています。この機能により、より簡単にアクセス・レベルをユーザーに割り当てたり、その割当てを現行基準で監査できます。

この章では、次の各項でロールおよびロールに関連する様々なタスクについて説明します。

• ロールについて

• ロール・メンバーシップの継承

• デフォルト・ロール

• ロールの作成

• ロールの管理

16.1 ロールについて

ロールを利用すると、ユーザーにアクセス・レベルを割り当てたり、その割当てを現行基準で監査したりするのがより簡単になります。

Oracle Identity Managerには、包括的な一連のロールベースのアクセス制御機能が用意されています。ロールベースのアクセス制御により、可視性が高くなり、ユーザーへのアクセス権限の割当ておよび割当て解除が簡単になります。また、最低限の権限という概念を実現したり、コンプライアンスや監査の考察が可能になります。

ロールベースの管理は通常、アプリケーションの提供や段階的な廃棄などの新しい状況が発生したり、ビジネス要件が進化するにつれて拡大拡張します。この方法を使用する主な利点は、実装やコンプライアンスの監視が容易であることです。ロールベースの管理は、中央集中的に確立してネットワーク全体に配布したり、混ぜ合わせることができます。

Oracle Identity Managerでこの機能を使用すると、次の操作が可能です。

• 説明責任の向上と監査を実現するために、ロール所有者の承認によってロールを作成、編集および削除します。

• ロールにユーザーを割り当て、ロールからユーザーを削除します。

• ロールを親ロールとして既存のロールに割り当てます。

• ロールに割り当てられたアクセス・ポリシーを表示します。

• ロールのユーザー・メンバーシップ・ルールを追加、編集または削除します。

• 組織に対してロールを公開または公開解除します。

• 拡張ロール分析によってロール・コンテンツの管理を経験に基づいて決定します。

16.2 ロール・メンバーシップの継承

Oracle Identity Managerでは、親ロールから子ロールへアクセス・ポリシー経由で付与されるアクセスの継承がサポートされます。

このセクションのトピックは次のとおりです:

• ロール・メンバーシップの継承について

• ロールの継承によってユーザーに付与されたアクセス権の評価

16.2.1 ロール・メンバーシップの継承について

メンバーシップの継承とは、継承元ロールから継承先ロールにメンバーを継承することを意味します。たとえば:

ノート:

メンバーシップを継承するロールは、メンバー継承先ロールと呼ばれます。メンバー継承先ロールがメンバーシップを継承するロールは、継承元メンバー・ロールと呼ばれます。

• ロールBはロールAからメンバーシップを継承します。ロールBはロールAのメンバー継承先ロールです。

• ロールCもロールAからメンバーシップを継承します。ロールCもロールAのメンバー継承先ロールです。

この例の場合、ロールAの全メンバーはロールBおよびロールCの暗黙的、つまり間接的なメンバーでもありますが、ロールBのメンバーはロールAのメンバーに自動的にはなりません。つまり、ロールBおよびロールCは、ロールAのメンバー継承先ロールであり、ロールAは、ロールBおよびロールCの継承元メンバー・ロールです。実際の例では、従業員ロール(ロールB)はマネージャ・ロール(ロールA)からメンバーシップを継承します。

ロール・メンバーシップの継承について、次のシナリオを使用して説明します。

• マネージャのリストにCEOロールが含まれるように、CEOロールはマネージャ・ロールの継承元メンバー・ロールです。

• マネージャ・ロールは従業員ロールの継承元メンバー・ロールです。

• ソフトウェア・アーキテクト・ロールはソフトウェア・エンジニア・ロールの継承元メンバー・ロールです。

• ソフトウェア・エンジニア・ロールは従業員ロールの継承元メンバー・ロールです。

• 従業員ロールには、マネージャ・ロールおよびソフトウェア・エンジニア・ロールの2つの継承元メンバー・ロールがあります。

図16-1に、この例で示す親ロールと子ロール、およびメンバーシップの継承を示します。

図16-1 ロール・メンバーシップの継承

「図16-1 ロール・メンバーシップの継承」の説明

継承元メンバー・ロールの各ユーザーは、自動的にすべてのメンバー継承先ロールのメンバーとなります。そのメンバー継承先ロールが別の継承元メンバー・ロールでもある場合、ユーザーはそのメンバー継承先ロールに追加され、以降同様に追加されていきます。これは、継承チェーン内でメンバー継承先ロールがなくなるまで続行されます。たとえば、CEOはマネージャであり、マネージャ・ロールのメンバーに自動的になります。同様に、マネージャは自動的に従業員になります。このようにして、継承元メンバー・ロールに追加されたメンバーは、そのメンバー継承先ロールによって継承されていきます。したがって、従業員ロールの直接メンバーシップは存在せず、メンバーシップの継承関係から考えると、従業員ロールは他のすべてのロールよりメンバーが多くなります。

ユーザーは、次のいずれかの方法でロールのメンバーになることができます。

• 継承元メンバー・ロールからメンバーが継承されます(間接メンバーシップと呼ばれます)。

• ユーザーがロールに直接割り当てられます(直接メンバーシップと呼ばれます)。

• ユーザーは(メンバーシップ・ルールを使用して)ロールに直接割り当てられます(直接メンバーシップとも呼ばれます)。

同様に、間接メンバーを直接メンバーとして割り当てることができます。ロールでユーザーの直接メンバーシップが失効しても、継承によってユーザーは依然としてロールのメンバーです。

16.2.2 ロールの継承によってユーザーに付与されたアクセス権の評価

アクセス・ポリシーによって付与されるアクセス権の親ロールから子ロールへの継承は、XL.AllowRoleHierarchicalPolicyEvalシステム・プロパティをTRUEに設定することで有効になります。これを次の例で示します。

• Role1には、アカウントA1と権限E1を含むPolicy1が含まれています。

• Role2には、アカウントA1と権限E2を含むPolicy2が含まれています。

• Role1はRole2の親ロールです。

• XL.AllowRoleHierarchicalPolicyEvalがTRUEに設定されている場合、Role2をUser1に付与すると、User1はアカウントA1および権限E1とE2を取得します。

• XL.AllowRoleHierarchicalPolicyEvalがFALSEに設定されている場合、Role2をUser1に付与すると、User1はアカウントA1および(Role2の一部である)権限E2を取得します。

ノート:

このポリシーを変更した後に、サーバーを再起動する必要はありません。

16.3 デフォルト・ロール

Oracle Identity Managerは、内部使用専用に割り当てられている多数のデフォルト・ロールをサポートしています。

Oracle Identity Managerでは、次のタイプのロールを使用できます。

• エンタープライズ・ロール: ユーザーが(付与された権限に従って)ロールをOracle Identity Managerで作成、変更または削除したり、アクセス・カタログを使用してリクエストできるロールです。

• 管理ロール: Oracle Identity Managerに事前定義されているロールで、Oracle Entitlement Serverに定義されているアプリケーション・ロールに1対1でマッピングされます。管理ロールはユーザーに表示されません。したがって、管理ロールをリクエストすることはできません。ただし、「管理ロールの管理」で説明されているように、管理ロールを作成および管理できます。

  表16-1に、Oracle Identity Managerのデフォルト・ロールのリストを示します。

表16-1 Oracle Identity Managerのデフォルト・ロール

ロール	説明
すべてのユーザー	このロールのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーはこのすべてのユーザー・ロールに所属します。
システム管理者	このロールの場合、名前と表示名は読取り専用です。親ロール、アクセス・ポリシー、組織、ルール、メンバーの追加や削除など、その他すべての操作がこのロールに対して許可されます。 ノート: デフォルトでは、XELSYSADMおよびOIMINTERNALユーザーはこのロールのメンバーです。
管理者	これは内部使用のみのロールで、Oracle Identity Managerユーザー用に使用され、他のユーザーはUIで表示のみできます。Oracle WebLogic Server管理者は、このロールのメンバーです。
オペレータ	これは内部使用のみのロールで、Oracle Identity Managerユーザー用に使用され、他のユーザーはUIで表示のみできます。
セルフ・オペレータ	これは内部使用のみのロールで、OIMユーザー用に使用され、他のユーザーはUIでのみ表示できます。このロールにはユーザーが関連付けられていません。 ノート: Oracle Identity Managerでは、セルフ・オペレータ・ユーザー・ロールに関連付けられている権限を変更しないことをお薦めします。さらに、他のユーザーをこのロールに割り当てることはできません。
BIReportAdministrator	これは内部使用のみのロールで、Oracle Identity Managerユーザー用に使用され、他のユーザーはUIで表示のみできます。このロールは、BI Publisherレポート用の管理者ロールです。

16.4 ロールの作成

「ロールの作成」ページを使用して、ロール詳細の指定、親ロールの選択、アクセス権を定義するアクセス・ポリシーのロールへの追加、メンバーのロールへの追加およびロールが帰属する組織の指定を実行することでロールを作成できます。

ノート:

セルフ・オペレータ・ロールは、デフォルトでOracle Identity Managerに追加されます。このロールにはユーザーが関連付けられていません。

セルフ・オペレータ・ロールに関連付けられている権限を変更しないこと、およびこのロールにユーザーを割り当てないことをお薦めします。

ロールを作成するには:

1. Oracle Identity Self Serviceにログインします。

2. 「管理」タブをクリックします。

3. 「ロールとアクセス・ポリシー」ボックスをクリックします。

4. 「ロール」をクリックします。「ロール」ページが表示されます。

5. 「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。ロールの作成ウィザードの「属性」ページが表示されます。

6. 「一般ロール情報」で、「名前」、「表示名」、「ロールの電子メール」、「ロールの説明」および「所有者」の値を指定します。

   デフォルトでは、「ロールの表示名」フィールドの値には「ロール名」フィールドの値が移入されます。必要に応じて、値は変更できます。

   「所有者」フィールドの値を指定しない場合、ログイン・ユーザーがロール所有者とみなされます。

7. 「カタログ属性」で、属性の値を指定します。これらの属性は、リクエスト・カタログのロールの詳細に表示されます。リクエスト・カタログのロールの詳細を表示する方法の詳細は、「新しいアクセスのリクエスト」を参照してください。

   ノート:

   ロールは、ロール階層、関連するアクセス・ポリシー、ロール・メンバーおよびロールの公開先となる組織を指定せずに作成できます。したがって、ステップ5から8はオプションです。

8. 「次」をクリックします。ロールの作成ウィザードの「階層」ページが表示されます。

9. 「階層」ページでは、作成しているロールの親ロールを選択できます。

   既存のロールから権限を継承するには、「親ロールの追加」をクリックします。「ロールの検索」ダイアログ・ボックスが表示されます。親ロールを検索して選択するには:

   1. 「検索」リストから、検索する親ロールに従って属性を選択します。

   2. 「検索」ボックスで、選択された属性の値を入力して、検索アイコンをクリックします。アスタリスク(*)文字をワイルドカード文字として使用します。

      検索基準と一致するロールがリストされます。

      検索基準を指定しない場合、すべてのデフォルト・ロールがリストされます。

   3. ロールのリストから、必要なロールを選択して、「選択した項目の追加」をクリックします。

      または、すべてのリストされたロールを追加できます。これを行うには、「すべて追加」をクリックします。

   4. 「選択済」ロール・リストからロールの選択を解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。

   5. 「選択」をクリックします。「ロールの階層を定義」パネルに、選択したロールがリストされます。

   6. 親ロールの追加を元に戻す場合は、ツールバーにある「元に戻す」をクリックします。警告が表示されます。「元に戻す」クリックして確認します。

   7. 親ロールを削除する場合は、ツールバーにある「削除」をクリックします。警告が表示されます。「削除」をクリックして確認します。

      ノート:

      「元に戻す」ボタンをクリックすると、ロールの作成ウィザードの複数ページで行った項目の追加を元に戻せます。同様に、「削除」ボタンをクリックすると、ウィザードの複数ページで選択した項目を削除できます。これは、「階層」、「アクセス・ポリシー」、「メンバー」および「組織」の各ページに適用されます。

   8. 「次」をクリックします。ロールの作成ウィザードの「アクセス・ポリシー」ページが表示されます。

10. 「アクセス・ポリシーの選択」パネルで、アクセス・ポリシーを追加して、このロールに対するアクセス権を定義できます。

    ロールへの関連付けに使用できるアクセス・ポリシーは、Oracle Identity System Administrationを使用して作成します。アクセス・ポリシーの作成および管理の詳細は、「アクセス・ポリシーの管理」を参照してください。

    ロールにアクセス・ポリシーを追加するには:

    1. 「アクセス・ポリシーの追加」をクリックします。「アクセス・ポリシーの追加」ダイアログ・ボックスが表示されます。

    2. 必要な検索基準を選択して、「検索」アイコンをクリックします。検索基準に一致するアクセス・ポリシーがリストされます。

    3. アクセス・ポリシーのリストから、必要なアクセス・ポリシーを選択して、「選択した項目の追加」をクリックするか、すべてのリストされた機能を追加するには「すべて追加」をクリックします。

    4. 「選択済」アクセス・ポリシー・リストからアクセス・ポリシーを選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。

    5. 「選択」をクリックします。アクセス・ポリシーの定義パネルに、選択したアクセス・ポリシーがリストされます。

       ポリシーをさらに追加するか、このリストからポリシーを削除する場合は、「「アクセス・ポリシー」タブ」の手順に従います。

    6. 「次」をクリックします。ロールの作成ウィザードの「メンバー」ページが表示されます。

11. 「メンバー」ページでは、1つ以上のユーザーを選択して静的に、またはメンバーシップ・ルールを指定するかSQLメンバーシップ・ルールによって動的に、ロールにメンバーを追加できます。

    ロールにメンバーを追加するには:

    1. 適切な検索基準を使用してユーザーを検索して、検索アイコンをクリックします。検索基準に一致するユーザーがリストされます。

    2. ユーザーのリストから、必要なユーザーを選択して「選択した項目の追加」をクリックするか、すべてのリストされたユーザーを追加するには「すべて追加」をクリックします。

       「選択済」ユーザー・リストからユーザーを選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。

    3. 「選択」をクリックします。「メンバー」タブが表示され、「メンバー割当て」セクションに割り当てられたユーザーが表示されます。

       このロールがユーザーに割り当てられる期間の開始日および終了日を選択します。「開始日」フィールドに値を指定しないと、すぐにまたはロール作成リクエストの承認後にロールが作成されると同時にロールが割り当てられます。

       開始日が未来の日付の場合、毎日実行されるようにスケジュールされている保留中のロール付与の処理ジョブが実行されるその日に付与が発生します。終了日に保留中のロール付与の処理ジョブが実行されると、ロールに対する付与は取り消されます。

    メンバーをロールに動的に割り当てるためのメンバーシップ・ルールを作成するには:

    1. 「メンバーシップ・ルールの作成」をクリックして、「ロールのユーザー・メンバーシップ・ルール」タブを開きます。

    2. 「式ビルダー」タブで、「属性」タブの「国」などの属性を選択して、「追加」をクリックします。値の指定ができる式ビルダーに属性が追加されます。また、「リテラル」タブが表示されます。

    3. 「値」フィールドで、「US」などの選択した属性の値を入力して「追加」をクリックします。値が式ビルダーに追加されます。メンバーシップ・ルールの式に、「US」などの「国」が設定されているユーザーは選択したロールのメンバーになることが規定されます。

    4. 「結果のプレビュー」タブをクリックします。指定した式に一致するロール・メンバーがリストされます。このプレビューをオフラインの影響分析に使用して、ルール基準に合致するロール・メンバーを表示できます。

    5. 「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションにメンバーシップ・ルールが追加されています。

    6. ロールが作成されたらすぐにメンバーシップ・ルールを評価する場合は、「メンバーシップ・ルールを今すぐ評価」オプションを選択します。

       ロール・メンバーまたはメンバーシップ・ルールをさらに追加するか、削除する場合は、「「メンバー」タブ」で説明されている手順を実行します。

    7. 「次」をクリックします。ロールの作成ウィザードの「組織」ページが表示されます。

    SQL問合せを使用してメンバーをロールに動的に割り当てるためのメンバーシップ・ルールを作成するには:

    ノート:

    • 「SQLメンバーシップ・ルールの作成」オプションを表示するには、プロパティRoleUserMembershipRuleSQLSupportedを有効にする必要があります。ロール・メンバーシップのリフレッシュ・ジョブの実行時に、プロパティRefreshRoleMembershipJob.EvaluateAllRolesForSQLMembershipRuleを有効にしてすべてのSQLメンバーシップ・ルールを評価することもできます。詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
    • これらのシステム・プロパティを元に戻す場合は、最初にロールに対して作成されたSQLメンバーシップ・ルールを削除してから元に戻す必要があります。

    1. 「SQLメンバーシップ・ルールの作成」をクリックして、ロール・サンプルのSQLユーザー・メンバーシップ・ルールを開きます。

    2. 「SQL問合せ」タブで、SQL問合せの詳細を入力します。
    3. 「結果のプレビュー」タブをクリックします。指定した式に一致するロール・メンバーがリストされます。このプレビューを使用して、SQL問合せルール基準に合致するロール・メンバーを表示できます

       ノート:

       SQL問合せが正しくない場合、結果は表示されません。
    4. 「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションにSQL問合せが追加されています。

    5. ロールが作成されたらすぐにメンバーシップ・ルールを評価する場合は、「メンバーシップ・ルールを今すぐ評価」オプションを選択します。

       ロール・メンバーまたはメンバーシップ・ルールをさらに追加するか、削除する場合は、「「メンバー」タブ」で説明されている手順を実行します。

    6. 「次」をクリックします。ロールの作成ウィザードの「組織」ページが表示されます。

12. 「組織」ページでは、ロールが属する組織を指定できます。つまり、ロールは1つ以上の組織に公開できます。組織へのロールの公開の詳細は、「「組織」タブ」を参照してください。

    ノート:

    SQLメンバーシップ・ルールを使用してロールを作成した後、ルールを削除し、ロールを追加するためにメンバーシップ・ルールに戻る場合は、「適用」をクリックし、「ロール」をクリックしてメンバーシップ・ルールを使用して追加します。

    組織を割り当てるには:

    1. 「組織の追加」をクリックします。検索パネルが表示されます。

    2. 組織のリストから、必要な組織を選択して「選択した項目の追加」をクリックするか、すべてのリストされた組織を追加するには「すべて追加」をクリックします。

       「選択した組織」リストから組織を選択解除する場合、「選択した項目の削除」オプションまたは「すべて削除」オプションをクリックします。

    3. 「選択」をクリックします。「組織」タブがこのロールが公開される組織のリストとともに表示されます。

       組織をさらに追加するか、このリストから組織を削除する場合は、「「組織」タブ」の手順に従います。

    4. 「次」をクリックします。ロールの作成ウィザードの「サマリー」ページが表示されます。

13. 「サマリー」ページには、作成されるロールのサマリー情報が表示されます。ロールのサマリーには、親ロール、アクセス・ポリシー、メンバー、組織など、ロールに関連する全情報が含まれます。また、アイデンティティ監査機能が有効になっていると、「サマリー」タブには「分析の表示」ボタンが表示されます。

    オプションで、「分析の表示」をクリックして、作成しているロールの分析詳細を開きます。アイデンティティ監査機能が有効な場合のみ、このボタンが表示されます。ロール分析の詳細は、「ロール分析の表示」を参照してください。

14. 「終了」をクリックします。ロールは正常に作成されました。

    ログイン・ユーザーの管理ロール割当ておよび適用可能な承認ワークフロー・ルールに応じて、リクエストが生成されるか、すぐにロールが作成されて「ロールの詳細」ページが表示されます。さらに、アイデンティティ監査機能が有効になっていると、リクエストが生成されます。

    ノート:

    ロール・ワークフローが有効になっていると、ロールはワークフローの承認者全員が承認した後にのみ作成されます。ロールは、承認されないと、正常に作成されません。

    新しいメンバーが追加されると、(独自の承認ワークフローによって制御される)ロール付与のために別のリクエストが送信されます。また、付与が複数ある場合、このリクエストが親リクエストです。承認されると、子リクエストがロール付与ごとに発生します。付与が発生する前に、各子リクエストが承認される必要があります。

16.5 ロールの管理

ロールの検索、ロールへの情報の追加、およびロールに対するその他の管理機能を実行できます。

ヒント:

ロール・カテゴリの管理は現行リリースでは非推奨であり、このバージョンのOracle Identity Managerでのロール・カテゴリへの参照はいずれも下位互換性のみを目的としています。

このセクションのトピックは次のとおりです:

• ロールの検索

• ロールの表示と管理

• ロール分析の表示

• ロールの削除

16.5.1 ロールの検索

「ロール」ページを使用して、ロールのシンプルで高度な検索を実行します。

実行できるロールを検索するには、次のいずれかを実行できます。

• ロールの基本検索の実行

• ロールの拡張検索の実行

16.5.1.1 ルールの基本検索の実行

基本検索を実行するには:

1. Identity Self Serviceにログインします。
2. 「管理」タブをクリックし、「ロールとアクセス・ポリシー」ボックスをクリックします。「ロール」をクリックします。「ロール」ページが表示されます。
3. 「検索」リストから、次のいずれかの検索基準を選択します。

   • 表示名

   • 名前

   • ロール・ネームスペース

4. 「検索」フィールドに、検索基準を入力します。基本検索の検索基準では、必要に応じてアスタリスク(*)ワイルドカード文字を使用することもできます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「表示名」属性の値に「Jo*」と指定して、検索演算子として「次と等しい」を選択できます。「Jo」で始まる表示名を持つロールが表示されます。
5. 「検索」アイコンをクリックします。選択した検索基準に一致するロールがリストされます。

16.5.1.2 ロールの拡張検索の実行

拡張検索を実行するには:

1. Identity Self Serviceにログインします。

2. 「管理」タブをクリックし、「ロールとアクセス・ポリシー」ボックスをクリックします。「ロール」をクリックします。「ロール」ページが表示されます。

3. 「詳細」リンクをクリックします。ロールの拡張検索ページが表示されます。

4. 「一致」オプションのいずれかを選択します。

   • すべて: このオプションを選択すると、検索はAND条件で実行されます。ロールは、指定したすべての検索基準に一致する検索結果に表示されます。

   • いずれか: このオプションを選択すると、検索はOR条件で実行されます。ロールは、指定した検索基準のいずれかに一致する検索結果に表示されます。

5. 「表示名」などの検索可能なロール属性のフィールドに、値を指定します。

   一部の属性については、「参照」から属性値を選択します。たとえば、「デフォルト」のロール・カテゴリのロールをすべて検索するには、「ロール・カテゴリ」フィールドで「デフォルト」を選択します。

6. 指定した各属性値に対して、リストから検索演算子を選択します。属性がテキスト・タイプの場合、次の検索演算子が利用可能です。

   • 次で始まる

   • 次で終わる

   • 次と等しい

   • 次と等しくない

   • 次を含む

   • 次を含まない

7. 検索可能なロール属性を「ロールの検索」ページに追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。

   たとえば、説明にcustom admin roleが含まれるロールをすべて検索する場合は、「フィールドの追加」から「ロールの説明」を選択し、検索条件を「次を含む」と指定し、値をcustom admin roleと指定します。

   ノート:

   検索可能な属性を構成できます。デフォルトおよびカスタム定義の検索可能なロール属性はすべて「フィールドの追加」に表示されます。検索可能な属性とは、Searchable = Yesプロパティでマークされた属性です。

8. オプションで「リセット」をクリックし、検索条件として指定した値をリセットします。通常、このステップを実行すると、指定した検索条件を削除し、新しい検索条件を指定します。

9. 将来使用するために検索基準を保存する場合は、「保存」をクリックします。保存された検索の作成および管理の詳細は、「保存された検索の使用」を参照してください。

10. 「検索」をクリックします。検索結果が表形式で表示されます。

11. 検索結果で列を非表示にする場合は、次のステップを実行します。

    1. ツールバーで「ビュー」をクリックし、「列」、「列の管理」を選択します。「列の管理」ダイアログ・ボックスが表示されます。

    2. 「表示される列」リストから、非表示にする列を選択します。

    3. 左矢印アイコンをクリックして、列を「非表示列」リストに追加します。

    4. 「OK」をクリックします。選択した列は検索結果に表示されません。

16.5.2 ロールの表示と管理

ロールの詳細を開き、ロールの属性を編集したり、ロールの継承やメンバーシップを変更して、ロールを組織に公開できます。

新しいページにロールの詳細が表示されます。ページの上部にロールの表示名が表示されます。このページの次のタブで、ロールの詳細を表示し、ロール情報を変更できます。

• 「ロール」ページを開く

• 「属性」タブについて

• 「階層」タブの理解

• 「アクセス・ポリシー」タブ

• 「メンバー」タブ

• 「組織」タブ

• 「履歴」タブ

ノート:

• 「ロールの詳細」ページの1つ以上のタブで変更を加えた後、「適用」をクリックして変更を保存します。

• 承認ワークフローの構成によっては、ロールに加えた変更に対してリクエストが生成されることがあります。

16.5.2.1 「ロール」ページを開く

ロールの詳細を開き、ロールの属性を編集したり、ロールの継承やメンバーシップを変更して、ロールを組織に公開できます。ロールの詳細を開いて変更するには、次のいずれかを実行します。

• 「ロールの検索」ページで、開くロールを検索して選択します。「アクション」メニューから「開く」を選択します。または、ツールバーにある「開く」をクリックします。

• 「ロールの検索」ページの検索結果表で、ロールの名前をクリックします。

ノート:

ロールに変更を加えると、ロール・ワークフローが構成されている場合、その変更は承認プロセスを通ります。承認者が承認した場合のみ、ロールの変更はOracle Identity Managerで反映されます。

16.5.2.2 「属性」タブについて

「属性」タブでは、ロール属性が表示されます。「ロール・ネームスペース」(これは読取り専用フィールド)を除き、「属性」タブの残りのフィールドは「ロールの作成」ページの場合と同じように使用可能です。「ロール・ネームスペース」フィールドに、ロールが割り当てられているネームスペースが表示されます。

ノート:

OPERATORS、ALL USERS、SELF OPERATORSなどのデフォルト・ロールの「名前」属性および「表示名」属性の値の変更はサポートされていません。

「カタログ属性」セクションで属性値を変更すると、その変更はリクエスト・カタログの対応するカタログ項目の「詳細情報」セクションにも表示されます。リクエスト・カタログのロールの詳細を表示する方法の詳細は、「新しいアクセスのリクエスト」を参照してください。

ロール属性を変更するには、フィールドの値を変更して「適用」をクリックします。

ノート:

ネームスペースが異なれば、同じ名前のロールが可能です。

16.5.2.3 「階層」タブの理解

「階層」タブでは、次の操作を実行できます。

• ロール階層について

• 子ロールへの親ロールの追加

• ロールからの親ロールの削除

• 親/子ロールのサマリー情報の表示

16.5.2.3.1 ロール階層について

「階層」タブでは、次のセクションにロール階層情報が表示されます。

• 継承元: このセクションには、開いているロールが継承される親ロールが表示されます。基本ロールが持つメンバーに対する権限および特権は、継承されたロールと同じです。基本ロールからは継承されたロールのみを追加または削除できますが、継承されたロールからは基本ロールを追加または削除することはできません。

• 継承先: このセクションには、開いているロールから継承された子ロールがリストされます。ここには、ロールが読取り専用で表示されます。

16.5.2.3.2 子ロールへの親ロールの追加

子ロールに親ロールを追加するには:

1. ロールを開きます。
2. 「階層」タブをクリックします。「継承元」セクションのこのタブには、開いているロールの親ロールがリストされ、この開いているロールが親ロールから権限を継承します。
3. 「継承元」がアクティブであることを確認します。
4. 「アクション」メニューから「追加」を選択します。または、ツールバーにある「追加」をクリックします。「ロールの検索」ダイアログ・ボックスが表示されます。
5. 「検索」リストから、検索するロールに従ってロール属性を選択します。次に、参照アイコンを使用して属性を選択します。検索基準にはワイルドカード文字(*)を使用することもできます。次に、「検索」アイコンをクリックします。検索基準に一致するロールのリストが表示されます。
6. 親ロールとして追加するロールを1つ以上選択します。次に、選択したロールを「選択したロール」リストに移動するには、「選択した項目の追加」をクリックします。

   または、「すべて追加」をクリックして、すべてのロールを「選択したロール」リストに追加します。

7. 「選択」をクリックします。開いているロールに選択したロールが親ロールとして追加され、ロール階層が「階層」タブの「継承元」セクションに表示されます。
8. 追加された継承元ロールを選択します。選択したロールのサマリー情報がポップアップに表示されます。

16.5.2.3.3 ロールからの親ロールの削除

ロールから親ロールを削除するには:

1. 「階層」タブの「継承元」セクションで、削除するロールを選択します。
2. 「アクション」メニューから、「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
3. 「削除」をクリックします。保留中のアクションに「削除」と入力されます。複数のロールを削除する場合は、これを繰り返します。すでに削除マークが付いているロールを削除しない場合は、「元に戻す」をクリックします。
4. 「適用」をクリックします。ワークフローが構成されている場合、選択した継承されたロールは承認後に「階層」タブの「継承元」セクションから削除されます。

16.5.2.3.4 親/子ロールのサマリー情報の表示

「階層」タブの「継承元」セクションから親ロールの読取り専用サマリー情報を表示できます。また、「継承先」セクションから子ロールのサマリー情報を表示できます。

親/子ロールのサマリー情報を表示するには:

1. 親ロールのサマリーを表示するには、「階層」タブの「継承元」セクションで、サマリー情報を表示するロールの表示名をクリックします。

   ポップアップが親ロールのサマリー情報とともに表示されます。ロール名、ロールの表示名、ロールの説明、ロール・カテゴリおよびロールを所有するユーザーが表示されます。

2. ポップアップを閉じます。
3. 子ロールのサマリーを表示するには、「階層」タブの「継承先」セクションで、サマリー情報を表示するロールの表示名をクリックします。

   ポップアップが子ロールのサマリー情報とともに表示されます。ロール名、ロールの表示名、ロールの説明、ロール・カテゴリおよびロールを所有するユーザーが表示されます。

4. ポップアップを閉じます。

16.5.2.4 「アクセス・ポリシー」タブ

「アクセス・ポリシー」タブには、ロールに割り当てられたアクセス・ポリシーが表示されます。このタブでは、ロールにアクセス・ポリシーを割り当てたり、ロールにすでに割り当てられているアクセス・ポリシーを削除できます。

「アクセス・ポリシー」タブでは、次の操作を実行できます。

• ロールへのアクセス・ポリシーの追加

• アクセス・ポリシーの削除

16.5.2.4.1 ロールへのアクセス・ポリシーの追加

ロールにアクセス・ポリシーを追加するには:

1. 「アクション」メニューから、「追加」を選択します。または、ツールバーにある「追加」をクリックします。
2. 必要な検索基準を選択して、「検索」アイコンをクリックします。検索基準と一致するアクセス・ポリシーがリストされます。
3. アクセス・ポリシーのリストから、必要なアクセス・ポリシーを選択して、「選択した項目の追加」をクリックするか、すべてのリストされた機能を追加するには「すべて追加」をクリックします。
4. 「選択したポリシー」リストからアクセス・ポリシーを選択解除する場合、「選択したポリシー」リストからアクセス・ポリシーを選択し、「選択した項目の削除」をクリックします。「すべて削除」クリックすると、選択したアクセス・ポリシーをすべて選択解除できます。
5. 「選択」をクリックします。選択したアクセス・ポリシーが「アクセス・ポリシー」タブに表示されます。保留中のアクションに「追加」と入力されます。ポリシーをさらに追加する場合は、これを繰り返します。すでに追加マークが付いているポリシーを追加しない場合は、「元に戻す」をクリックします。
6. 「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、選択したポリシーがロールに追加されます。

16.5.2.4.2 アクセス・ポリシーの削除

このロールに割り当てられたアクセス・ポリシーを削除するには:

1. 割り当てられたアクセス・ポリシーのリストから、削除するアクセス・ポリシーを選択します。
2. 「アクション」メニューから、「削除」を選択します。または、ツールバーにある「削除」をクリックします。
3. 「削除」をクリックして確認します。選択したアクセス・ポリシーが「アクセス・ポリシー」タブから削除されます。保留中のアクションに「削除」と入力されます。ポリシーをさらに削除する場合は、これを繰り返します。すでに削除マークが付いているポリシーを削除しない場合は、「元に戻す」をクリックします。
4. 「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、選択したポリシーがロールから削除されます。

16.5.2.5 「メンバー」タブ

「メンバー」タブでは、次の操作を実行できます。

• 「メンバー」タブについて

• ロールへのメンバーの割当て

• ロールからのメンバーの失効

• メンバーシップ・ルールの追加

• メンバーシップ・ルールの変更

• メンバーシップ・ルールの削除

16.5.2.5.1 「メンバー」タブについて

「メンバー」タブには、開いているロールに割り当てられたメンバーが表示されます。この情報は、次の各セクションに表示されます。

• 直接メンバー: このセクションには、開いているロールに静的に割り当てられたメンバーが表示されます。

• ルール・ベースのメンバー: このセクションには、開いているロールにメンバーシップ・ルールによって割り当てられたメンバーが表示されます。

• 間接メンバー: このセクションには、ロールによって間接的に継承されたメンバーが表示されます。

• すべてのメンバー: このセクションには、開いているロールに割り当てられたすべてのメンバー(直接メンバーおよび間接メンバー)が表示されます。

• 保留中のメンバー: このセクションには、このロールの保留中(ロール割当て日が未来の開始日)のメンバーがすべて表示されます。

16.5.2.5.2 ロールへのメンバーの割当て

ロールにメンバーを割り当てるには:

1. 「メンバー」タブの「直接メンバー」セクションで、「追加」をクリックします。「メンバーの追加」ダイアログ・ボックスが表示されます。
2. 「検索」リストから、ロール属性名を指定します。検索フィールドに検索パラメータを入力し、検索アイコンをクリックします。検索基準に一致するロールが表示されます。
3. 割り当てるロールを選択し、「選択した項目の追加」をクリックします。選択したロールが「選択したユーザー」表に追加されます。

   「選択したユーザー」表にすべてのロールを追加するには、「すべて追加」をクリックします。

4. 「選択したユーザー」表からロールを削除する場合は、ロールを選択して「選択した項目の削除」をクリックします。「選択したユーザー」表からすべてのロールを削除するには、「すべて削除」をクリックします。
5. 「選択」をクリックします。保留中のアクションに「追加」と入力されます。ユーザーをさらに追加する場合は、これを繰り返します。すでに追加マークが付いているユーザーを追加しない場合は、「元に戻す」をクリックします。
6. 「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、選択したメンバーがロールに追加されます。

16.5.2.5.3 ロールからのメンバーの失効

ロールからメンバーを失効するには:

1. 「メンバー」タブのセクションで、削除するメンバーを選択します。
2. ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
3. 「削除」をクリックして確認します。保留中のアクションに「削除」と入力されます。ユーザーをさらに削除する場合は、これを繰り返します。すでに削除マークが付いているユーザーを削除しない場合は、「元に戻す」をクリックします。
4. 「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、選択したメンバーがロールから削除されます。

16.5.2.5.4 メンバーシップ・ルールの追加

「メンバー」タブで、ユーザー・メンバーシップ・ルールを追加、変更または削除したり、SQL問合せを使用してメンバーをロールに動的に割り当てるためのメンバーシップ・ルールを作成したりできます。複雑な条件式をユーザー・メンバーシップ・ルールとして単純に指定したり、SQL問合せを使用してメンバーをロールに割り当てることができます。ユーザー・メンバーシップ・ルールを変更すると、既存のユーザー・メンバーシップが評価され、有効ではない既存のロール・メンバーシップは失効されて新しいロール・メンバーシップが付与されます。

ユーザー・メンバーシップ・ルールを追加するには:

1. 「メンバー」タブで、「メンバーシップ・ルールの作成」をクリックします。「式ビルダー」が表示されます。
2. 左のペインで、「<追加>」が選択されていることを確認します。これは、条件に対するユーザー属性を指定するプレースホルダです。
3. 「オペランド値の選択」の下の「属性」タブで、「国」などのユーザー属性を選択します。
4. 「追加」をクリックして左ペインの条件に属性を追加します。
5. 演算子のリストからコンパレータを選択します。「式の作成」で、演算子のリストからコンパレータを選択します。属性が整数タイプの場合、「= (等しい)」、「> (より大きい)」、「>= (次以上)」、「< (より小さい)」、「=> (次以下)」および「次に含まれる」などのコンパレータが表示されます。

   属性がString型の場合、「= (等しい)」、「!= (等しくない)」、「次を含む」、「次で始まる」、「次で終わる」および「次に含まれる」などのコンパレータが表示されます。

6. 「オペランド値の選択」の下の「リテラル」タブで、United States of Americaなどの値を「値」フィールに指定します。

   メンバーシップ・ルールでチェック・ボックスまたは参照タイプUDFまたはデフォルト属性が使用される場合、次の例に示されているように処理する必要があります。

   ( ( ( Last Name = "Klein" ) AND ( First Name Contains "Robert" ) )
   OR ( ( User Login Starts with "rob" ) AND ( Common Name Ends with "ein" ) )
   OR ( ( Robert2UserUDF111DL != "Robert2UserUDF111DL" ) AND ( Robert2UserNumberDL >= 99999 )
   AND ( RobertUserDateDL =< 2013-12-31 ) AND ( Robert2UserchkboxDL = "1" )
   AND ( Robert2UserLookupDL IN ["RobertLookUpCode3","RobertLookUpCode9"] ) ) )
   

   各変数は次のとおりです。

   • Robert2UserchkboxDLは、ルールでは文字列として使用する必要があるチェック・ボックスです。「True」/「はい」/「選択済」/「チェック済」をチェックする場合は、"1"を使用し、「False」/「いいえ」/「未選択」/「未チェック」をチェックする場合は"0"を使用します。

   • Robert2UserLookupDLは、参照タイプです。デフォルトuserprofileでは、"Robert2LookUpMean3"が表示されます。式では、そのコード値"Robert2LookUpCode3"を使用する必要があります。

   • すべてのタイプの属性について、NULLまたは値なしをチェックする方法はありません。

   ノート:

   チェック・ボックス・フィールドは、バックエンドで文字列として保存されます。チェック・ボックス・フィールドのデータ型は文字列であって、ブールではありません。したがって、すべての文字列操作が表示されます。

7. 「追加」をクリックして、指定した値を条件式に追加します。つまり、式はUnited States of Americaに属するユーザーは開いているロールに動的に割り当てられることになります。

   図16-2に、条件を使用した式ビルダーを示します。

   図16-2 式ビルダー

   
   「図16-2 式ビルダー」の説明
8. 必要な場合、「結果のプレビュー」タブで、このルールが適用されるメンバーをプレビューできます。
9. 「保存」をクリックします。式ビルダーが閉じて、定義したルールが保存されます。
10. 「メンバーシップ・ルールを今すぐ評価」をクリックしてこのルールをすべてのユーザーに対してすぐに評価するか、そうしない場合は、「ロール・メンバーシップのリフレッシュ」スケジュール済ジョブを実行してルールを評価する必要があります。

SQL問合せを使用してメンバーをロールに動的に割り当てるためのメンバーシップ・ルールを作成するには:

ノート:

• 「SQLメンバーシップ・ルールの作成」オプションを表示するには、プロパティRoleUserMembershipRuleSQLSupportedを有効にする必要があります。ロール・メンバーシップのリフレッシュ・ジョブの実行時に、プロパティRefreshRoleMembershipJob.EvaluateAllRolesForSQLMembershipRuleを有効にしてすべてのSQLメンバーシップ・ルールを評価することもできます。詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
• これらのシステム・プロパティを元に戻す場合は、最初にロールに対して作成されたSQLメンバーシップ・ルールを削除してから元に戻す必要があります。

1. 「SQLメンバーシップ・ルールの作成」をクリックして、ロール・サンプルのSQLユーザー・メンバーシップ・ルールを開きます。

2. 「SQL問合せ」タブで、SQL問合せの詳細を入力します。
3. 「結果のプレビュー」タブをクリックします。指定した式に一致するロール・メンバーがリストされます。このプレビューを使用して、SQL問合せルール基準に合致するロール・メンバーを表示できます

   ノート:

   SQL問合せが正しくない場合、結果は表示されません。
4. 「保存」をクリックします。「メンバー」タブが表示され、「ユーザー・メンバーシップ・ルール」セクションにSQL問合せが追加されています。

5. ロールが作成されたらすぐにメンバーシップ・ルールを評価する場合は、「メンバーシップ・ルールを今すぐ評価」オプションを選択します。

   ロール・メンバーまたはメンバーシップ・ルールをさらに追加するか、削除する場合は、「「メンバー」タブ」で説明されている手順を実行します。

6. 「次」をクリックします。ロールの作成ウィザードの「組織」ページが表示されます。

ノート:

SQLメンバーシップ・ルールを使用してロールを作成した後、ルールを削除し、ロールを追加するためにメンバーシップ・ルールに戻る場合は、「適用」をクリックし、「ロール」をクリックしてメンバーシップ・ルールを使用して追加します。

16.5.2.5.5 メンバーシップ・ルールの変更

ユーザー・メンバーシップ・ルールを変更するには:

1. 「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの編集」をクリックします。「式ビルダー」が表示されます。
2. メンバーシップ・ルールの追加のステップの説明に従って、条件を指定してメンバーを動的に割り当てます。
3. 必要な場合、「結果のプレビュー」タブで、変更したルールが適用されるメンバーをプレビューできます。
4. 「保存」をクリックします。式ビルダーが閉じて、変更したルールの保存が完了します。必要に応じて、「適用」、「適用および評価」および「元に戻す」の各ボタンをクリックできます。

16.5.2.5.6 メンバーシップ・ルールの削除

ユーザー・メンバーシップ・ルールを削除するには、次の手順を実行します。

1. 「メンバー」タブの「ユーザー・メンバーシップ・ルール」セクションで、「ルールの削除」をクリックします。メンバーシップ・ルールを削除するかどうかの確認を求めるダイアログ・ボックスが表示されます。
2. 「はい」をクリックします。メンバーシップ・ルールが削除されます。

ユーザー・メンバーシップ・ルールを追加、変更または削除した後、「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、ルールがロールに対して追加、編集または削除されます。「メンバーシップ・ルールを今すぐ評価」オプションを選択した場合、ルールの評価がすぐに実行されます。それ以外の場合、「ロール・メンバーシップのリフレッシュ」スケジュール済ジョブを実行すると初めて評価されます。

16.5.2.6 「組織」タブ

「組織」タブで、次のことを実行できます。

• 「組織」タブについて

• 組織へのロールの公開

• 組織からのロールの取消し

16.5.2.6.1 「組織」タブについて

「組織」タブでは、開いているロールに対して組織を割り当てたり失効することができます。開いているロールに組織を割り当てると、その組織でロールが使用可能になります。これは、組織へのロール・エンティティの公開と呼ばれます。

「組織」タブには、開いているロールが公開されたすべての組織が表示されます。各組織では、「階層対応」列で「下位組織を含める」オプションを選択できます。開いているロールを組織の階層全体で使用可能にする場合には、このオプションを選択します。開いているロールをその階層ではなく組織のみで使用可能にする場合は、このオプションの選択を解除したままにします。

16.5.2.6.2 組織へのロールの公開

組織にロールを公開するには:

1. 「ロールの詳細」ページで、「組織」タブをクリックします。このタブでは、開いているロールに割り当てられた組織が表示されます。
2. 「アクション」メニューから「追加」を選択します。または、ツールバーにある「追加」をクリックします。「組織の追加」ダイアログ・ボックスが表示されます。
3. 追加する組織を検索します。組織が「組織結果」セクションの表示されます。
4. 追加する組織を選択して、「選択した項目の追加」をクリックします。選択した組織が「選択した組織」セクションに追加されます。
5. 選択した各組織では、「階層」オプションがデフォルトで選択されます。選択した組織の下位組織にロールを公開する場合は、「階層」オプションを選択したままにします。

   選択した組織のみにロールを公開するには、「階層」オプションの選択を解除します。

6. 「選択」をクリックします。保留中のアクションに「追加」と入力されます。組織をさらに追加する場合は、これを繰り返します。すでに追加マークが付いている組織を追加しない場合は、「元に戻す」をクリックします。

   ノート:

   組織が選択しない場合、ロールはログイン・ユーザーの組織およびログイン・ユーザーが管理ロール機能を保有している組織に自動的に公開されます。

16.5.2.6.3 組織からのロールの取消し

ロールを組織から取り消すには:

1. 「組織」タブで、ロールを失効する組織を選択します。
2. 現在選択している組織の下位組織からロールを失効するには、「階層対応」オプションを選択して、「適用」をクリックします。メッセージが表示されます。「失効」をクリックします
3. 「アクション」メニューから、「削除」を選択します。または、ツールバーにある「削除」をクリックします。確認を求めるメッセージが表示されます。
4. 「削除」をクリックします。保留中のアクションに「削除」と入力されます。組織をさらに削除する場合は、これを繰り返します。すでに削除マークが付いている組織を削除しない場合は、「元に戻す」をクリックします。
5. 「適用」をクリックします。ワークフローが生成される場合、リクエストは追って承認されます。その後、選択した組織がロールに対して追加または削除されます。

16.5.2.7 「履歴」タブ

「履歴」タブで、次のことを実行できます。

• 「履歴」タブについて

• ロール履歴の検索

• ロール履歴の表示

16.5.2.7.1 「履歴」タブについて

「履歴」タブは、アイデンティティ監査がOracle Identity Managerデプロイメントで有効な場合のみ表示されます。

このタブには、指定された日付範囲内で変更された開いているロールのすべてのデータが表示されます。このタブを使用すると、ロール管理者はロール定義の変更を追跡できます。ロール管理者は日付範囲を入力し、ロール属性、ロール階層、アクセス・ポリシー、ロール・メンバーシップ、組織、メンバーシップ・ルールおよびロール証明に対してその日付範囲内で実行された変更を表示できます。デフォルトでは、過去7日間の履歴がこのタブに表示されます。

ノート:

「履歴」タブでは、「監査ログ・エントリの削除」スケジュール済ジョブで構成されている監査用の保持期間(6か月など)の間のみデータが使用できます。「監査ログ・エントリの削除」スケジュール済ジョブの詳細は、『Oracle Identity Governanceの管理』の事前定義済のスケジュール済タスクに関する項を参照してください。

16.5.2.7.2 ロール履歴の検索

ロール履歴を検索するには:

1. ロールを開きます。
2. 「履歴」タブをクリックします。
3. 「履歴を検索」セクションで、2つの日付フィールドに日付範囲を入力します。また、カレンダ・アイコンをクリックして日付を選択できます。
4. 「検索」をクリックします。指定された日付範囲内のロール履歴は、「履歴」タブのサブタブに移入されます。たとえば、すべてのロール属性の変更が「属性」サブタブにリストされます。

   「リセット」をクリックすると、指定された日付範囲をリセットできます。

   日付フィールドに値を指定せずに「検索」をクリックすると、作成から日付までにロールに行われた変更がサブタブに表示されます。

   ノート:

   「履歴」に表示されたデータはすべて読取り専用で、変更できません。

16.5.2.7.3 ロール履歴の表示

ロール履歴を表示するには:

1. 「ロール履歴の検索」の説明に従って、日付範囲を指定してロール履歴を検索します。
2. 「属性」タブをクリックします。指定された日付範囲内のロール属性に行われた変更が表に表示されます。表の列には、変更された属性、属性の新しい値、変更前の属性の古い値、属性が変更される日付および属性を更新したユーザーの情報が提供されます。
3. 「階層」タブをクリックします。このタブには、表形式で開いているロールのロール階層で行われた変更が表示されます。表の列には、追加/削除された親の表示名、変更アクション(追加/変更/削除)、ロール階層を変更したユーザーおよび変更が行われた日付の情報が示されます。
4. 「アクセス・ポリシー」タブをクリックします。このタブには、表形式で開いているロールに関連付けられているアクセス・ポリシーに行われた変更が表示されます。表の列には、追加/削除されたポリシー名、アクセス・ポリシーを変更したユーザー、変更アクションおよびアクセス・ポリシーが変更された日付の情報が示されます。
5. 「組織」タブをクリックします。このタブには、表形式で開いているロールの組織の割当てに行われた変更が表示されます。表の列には、追加、削除または更新された組織名、変更アクション、組織の割当てを変更したユーザーおよび変更が行われた日付の情報が示されます。
6. 「ロール・メンバーシップ」タブをクリックします。このタブには、表形式で開いているロールのロール・メンバーシップに行われた変更が表示されます。表の列には、追加または削除されたユーザー名、変更アクション、ロール・メンバーシップを変更したユーザーおよび変更が行われた日付の情報が提供されます。
7. 「メンバーシップ・ルール」タブをクリックします。このタブには、表形式でメンバーシップ・ルールに行われた変更が表示されます。表の列には、変更されたルール名、変更アクション(追加/更新/削除)、ルールを変更したユーザーおよび変更が行われた日付の情報が示されます。
8. 「証明」タブをクリックします。このタブには、表形式で開いているロールに実行された証明が表示されます。表の列には、変更された証明名、証明したユーザーおよび最後の証明が行われた日付の情報が提供されます。

16.5.3 ロール分析の表示

アイデンティティ監査が有効になっている場合、管理者または承認者は、ロールを割り当てられるユーザーまたはロールを割り当てられたユーザーに関する影響分析、ロール統合情報、SoD違反などのロールの作成/変更/リクエストのトラッキング/承認中にロール分析を表示できます。

ここでは、以下の項目について説明します。

• ロール分析の表示について

• ロール分析の表示

16.5.3.1 ロール分析の表示について

ロール分析は、次の方法で表示できます。

• 「ロールの作成」ウィザードの「サマリー」ページで、「分析の表示」をクリックします。

• 「ロールの詳細」ページで、属性または他のデータを変更すると、「分析の表示」ボタンを使用できます。

• 「保留中の承認」ページの「リクエストの詳細」タブで、「分析の表示」をクリックします。これは、リクエスト承認者がロールを他の既存のロールと比較してリクエストされたロールの作成を正当化または却下するためです。

16.5.3.2 ロール分析の表示

ロール分析を表示するには:

1. ロールの作成ウィザードの「サマリー」ページ、ロール詳細ページまたは「保留中の承認」ページの「リクエストの詳細」タブで、「分析の表示」をクリックします。ロールの「分析の詳細」ページが表示されます。このページには次のセクションがあります。

   • 影響分析: ロールが作成/変更/削除された場合に影響を受ける可能性があるユーザー・メンバーの数が表示されます。影響分析は、ユーザー・メンバーシップ・ルールに対する変更またはアクセス・ポリシーの関連付けの変更(あるいはその両方)に基づいています。メンバーに影響を及ぼすパラメータはユーザー・メンバーシップ・ルールです。ルールに基づいて、可能性のあるメンバーを評価し、承認UIに表示できます。ユーザー名のリストはページ分割されます。このセクションには、ロールに対するアクセス・ポリシーの追加または削除の影響も表示されます。影響により、追加されたアクセス・ポリシーと権限を関連付けられるユーザーと、ロールからアクセス・ポリシーが削除されると権限が取り消されるユーザーが示されます。

   • SoD違反: SoD競合にあるアクセス・ポリシー内および全体のアクセス・ポリシーまたは権限が表示されます。アイデンティティ監査のルールおよびポリシーの構成の詳細は、「アイデンティティ監査の管理」を参照してください。

   • ロール統合: アクセス・カタログの他のロールに対してロールがどの程度似ているかに関するコンテキスト情報が表示されます。類似は、2つのロールの権限に基づきます。一致とみなされるには、権限一致率が50パーセント以上である必要があります。一致が見つかると、共通メンバーシップを計算する必要があります。50パーセント・カットオフに一致する場合は、上位3つのパーセンテージ一致のみが表示されます。たとえば、上位3つのパーセンテージが100%、85%および50%であり、10ロールが100%一致、1ロールが85%一致、8ロールが50%一致の場合、これらすべてが表示されます。

     一致する権限のパーセンテージが50%以上の場合、一致するユーザーのパーセンテージも一致する権限のパーセンテージとともに表示されます。

2. 「影響分析」ボックスの下矢印をクリックします。

   ユーザーの影響およびロールの権限の概要が表示されます。影響分析は、次の各セクションに表示されます。

   • ユーザー: このセクションには、追加および削除されたユーザーおよび未変更のユーザーのグラフィック表示が提供されます。メンバーシップ・ルールによってのみ追加/取り消されるユーザーが表示され、直接追加/削除されるユーザーは表示されません。

   • 追加済ユーザー: このセクションには、ロールに追加されたユーザーのユーザー名、ユーザー・ログインIDおよび電子メールIDを示す表が含まれます。内容は、次のとおりです。

     • 削除済ユーザー: このセクションには、ロールから取り消されたユーザーのユーザー名、ユーザー・ログインIDおよび電子メールIDを示す表が含まれます。

     • 未変更ユーザー: このセクションには、ロールで変更されていないユーザーのユーザー名、ユーザー・ログインIDおよび電子メールIDを示す表が含まれます。

     各ユーザーの詳細を表示するには、ユーザー名をクリックできます。ユーザーの詳細が「ユーザーの詳細」ポップアップに表示されます。追加/削除/変更されたユーザーおよび権限に関する情報が表示されます。「取消」をクリックして、「ユーザーの詳細」ポップアップを閉じます。

   • 権限: このセクションには、追加および削除された権限および未変更の権限のグラフィック表示が提供されます。

   • 追加済の権限: このセクションには、ロールに追加された権限の表示名、権限名および説明を示す表が含まれます。次のサブセクションが含まれます:

     • 削除済の権限: このセクションには、ロールから取り消された権限の表示名、権限名および説明を示す表が含まれます。

     • 未変更の権限: このセクションには、ロールで変更されていない権限の表示名、権限名および説明を示す表が含まれます。

     各権限の詳細を表示するには、権限名をクリックします。権限の詳細がポップアップに表示されます。

3. 「SoD違反」ボックスの下矢印をクリックします。「SoD違反」ボックスには、違反している項目の数がすでに表示されています。このボックスをアクティブ化すると、違反しているすべてのSoDポリシーが表示されます。ポリシーをクリックすると、ポリシーの詳細が「説明」ボックスに表示されます。このボックスには、違反しているすべての項目がリストされます。項目の名前および説明が表形式で表示されます。各項目を選択すると、違反の重大度も表の上に表示されます。
4. 「ロール統合」ボックスの下矢印をクリックします。「ロール統合」ボックスには、開いているロールと類似しているロールの数がすでに表示されています。類似しているロールは、権限が一致するロールです。このような類似しているロールについて、メンバーシップを保有しているかどうかに関係なく、メンバーシップの一致が計算されます。すべてのロールが保留中、直接付与および動的メンバーシップとみなされます。

   ロールの比較がグラフで表され、類似しているロールと類似しているロールと開いているロールのメンバーシップおよび権限が一致する割合が表示されます。

   ノート:

   メンバーがないロールは、ロール統合とみなされます。類似は、権限にのみ基づきます。類似しているロールが見つかると、そのロールについてのみメンバーシップの一致が計算されます。類似しているロールがメンバーシップを保有していない場合、0になります。

5. 「戻る」をクリックすると、前のページに戻ることができます。

16.5.4 ロールの削除

不要または未使用のロールを削除します。

ロールを削除するには:

1. 「ロールの検索」ページで、「ロールの検索」の説明に従ってロールを検索します。
2. 削除するロールを選択します。
3. 「アクション」メニューから「削除」を選択します。または、ツールバーにある「削除」をクリックします。

   親ロール、アクセス・ポリシー、メンバー、組織などの既存の関係がロールにある場合、「選択したロールを削除するとその関係も削除されます。」というメッセージが表示されます。

4. 「はい」をクリックして確認します。

   ワークフローが構成されている場合、承認のために承認タスクがロール所有者に送信され、承認者全員が承認するまでロールはシステムから削除されません。承認中、承認者は「分析の表示」をクリックすると、ロールの削除の影響を確認できます。