11 アクセス・ポリシー

この章では、Oracle Identity Managerでユーザー、組織およびリソースに対してアクセス・ポリシーを作成、使用する方法について説明します。

この章の内容は、次のとおりです。

• アクセス・ポリシーの作成

• アクセス・ポリシーの管理

アクセス・ポリシーの作成

アクセス・ポリシー・ウィザードは、ユーザー・グループやユーザーにリソースをプロビジョニングするためのアクセス・ポリシーを定義する際に役立ちます。ポリシーを作成する際、ユーザーにリソースをプロビジョニングする前に、ポリシーにより必ず承認リクエストが発行されるように設定できます。また、アクセス・ポリシーが適用される際に、承認リクエストを生成しないでリソースをユーザーにダイレクトにプロビジョニングすることも可能です。

さらに、アクセス・ポリシーが作成されているユーザー・グループの一員であるユーザーに対して、このアクセス・ポリシーによって指定されたリソースをプロビジョニングするかどうかも決定できます。これをポリシーの更新と言います。

アクセス・ポリシーを作成するには、次の手順を実行します。

1. 「アクセス・ポリシー」の下の「作成」をクリックします。

   「アクセス・ポリシーの作成」ページが表示されます。

2. 必須フィールドの情報は、アスタリスク（*）で示されます。

   このアクセス・ポリシーを「承認なし」と「承認あり」のどちらを使用してプロビジョニングするかを指定できます。指定された承認者（またはプロキシ・ユーザー）が承認しない場合はリソースがユーザーまたはグループにプロビジョニングされないようにするには、「承認あり」オプションを選択します。承認が必要ない場合は「承認なし」オプションを選択します。

3. アクセス・ポリシーの作成時に更新するようにするには、「アクセス・ポリシーの更新」チェック・ボックスをクリックします。

   更新のチェック・ボックスが選択されない場合、グループ・メンバーシップは考慮されません。

   「続行」をクリックします。

   「アクセス・ポリシーの作成 - ステップ2: リソースの選択(プロビジョニング)」ページが表示されます。

4. 「アクセス・ポリシーの作成 - ステップ2: リソースの選択(プロビジョニング)」ページでは、このアクセス・ポリシーでプロビジョニングするリソースを指定できます。

   フィルタ検索のメニューを使用してリソースを検索します。

   結果表からリソースの名前を選択するには、該当するボックスを選択し、「追加」をクリックします。

   プロビジョニングする目的のリソースの名前が「選択済」リストに表示されます。リソースを拒否するだけのアクセス・ポリシーを作成する場合は、リソースを選択しないで「続行」をクリックします。

   選択されているリソースの割当てを解除するには、「選択済」リストでリソースを選択し、「削除」をクリックします。

   「続行」をクリックします。このリソースに関連付けられているフォームがある場合は、後続のページに必須フィールドが表示されます。それ以外の場合は、「アクセス・ポリシーの作成 - ステップ2: 失効するリソースの選択」ページが表示されます。

5. 「アクセス・ポリシーの作成 - ステップ2: 失効するリソースの選択」で、適用しなくなったアクセス・ポリシーを失効させるかどうかを指定します。

   結果表で、自動的に失効させるリソースのチェック・ボックスを選択します。

   「続行」をクリックします。「アクセス・ポリシーの作成 - ステップ3: リソースの選択(拒否)」ページが表示されます。

6. 「アクセス・ポリシーの作成 - ステップ3: リソースの選択(拒否)」ページを使用して、このアクセス・ポリシーが拒否するリソースを選択します。

   拒否されるリソースを選択するには、まず対応するチェック・ボックスを結果表で選択してリソースを選択します。「選択済」リストにリソースを移動するには、「追加」をクリックします。プロビジョニングするリソースを選択しなかった場合は、拒否するリソースを少なくとも1つを選択する必要があります。プロビジョニングするものと同じリソースを拒否対象に選択すると、プロビジョニングするリソースとしての割当ては解除されます。同様に、前の手順で、すでに拒否するように選択したものと同じリソースをプロビジョニング対象に割り当てると、拒否するリソースとしての割当ては解除されます。拒否対象に選択されているリソースの割当てを解除するには、すでに選択したリソースを「選択済」リストから選択し、「削除」をクリックします。

   「続行」をクリックします。

7. 「アクセス・ポリシーの作成 - ステップ4: グループの選択」ページが表示されます。

   このページを使用して、グループをアクセス・ポリシーに関連付けます。

8. グループをこのアクセス・ポリシーに関連付けるには、結果表でグループの名前に対応するボックスを選択し、「追加」をクリックします。

   目的のグループの名前が「選択済」フィールドに表示されます。グループ名を削除するには、「削除」ボタンを使用します。

   このアクセス・ポリシーに対してユーザー・グループを指定できます。フィルタ検索ドロップダウン・メニューを使用してユーザー・グループを検索できます。

   結果表で、目的のユーザー・グループに対応するボックスを選択して「追加」ボタンをクリックします。ユーザー・グループの名前が選択されます。少なくとも1つのユーザー・グループを選択する必要があります。目的のユーザー・グループの名前が「選択済」リストに表示されます。

   選択されているユーザー・グループの割当てを解除するには、「選択済」リストでリソースを選択し、「削除」をクリックします。「続行」をクリックします。

9. 「アクセス・ポリシーの作成 - ステップ5: アクセス・ポリシーの検証」情報ページが表示されます。このページを使用して、アクセス・ポリシーに対して前の手順で指定した情報を確認します。

10. 「変更」リンクをクリックすると、ウィザードの関連するステップにジャンプし、以前に指定した情報をそこで変更することができます。

    変更したら、「続行」をクリックするとこのページ（ステップ5）に戻ります。「続行」をクリックすると、Oracle Identity Managerにアクセス・ポリシーが作成されます。完了ページに、アクセス・ポリシーの名前と正常に作成されたことが表示されます。

アクセス・ポリシーの管理

Oracle Identity Managerの管理およびユーザー・コンソールを使用すると、既存のアクセス・ポリシーの情報を変更できます。

アクセス・ポリシーを管理するには、次の手順を実行します。

1. 「アクセス・ポリシー」の下の「管理」をクリックします。

   「アクセス・ポリシーの管理」ページが表示されます。

   検索基準フィールドのメニューを使用して、検索結果のソートに使用するアクセス・ポリシーを選択します。ワイルドカードのアスタリスク（*）を基準値として使用すると、選択した属性に任意の値を持つすべてのアクセス・ポリシー・インスタンスを検索できます。「アクセス・ポリシーの検索」をクリックします。

   「アクセス・ポリシーの管理」ページに検索結果が表示されます。

2. 目的のアクセス・ポリシーの詳細を表示するには、「アクセス・ポリシー名」リンクをクリックします。

   「アクセス・ポリシー詳細」ページが表示されます。

   このアクセス・ポリシーの変更を終了するには、各選択カテゴリの末尾にある「変更」リンクを使用します。

   「変更」リンクをクリックすると、最初に情報を入力した、目的のページにジャンプします。

3. この段階で、このページから情報を変更できます。完了したら「アクセス・ポリシーの更新」をクリックします。

   このアクセス・ポリシーが更新され、情報が更新された「アクセス・ポリシー詳細」ページにジャンプします。