1 管理およびユーザー・コンソールの概要

Oracle Identity Managerは、企業アプリケーションや管理対象システムへのアクセスを自動的に許可および取り消すための、高度で柔軟なプロビジョニング・システムです。Oracle Identity Managerを使用すると、スタッフやパートナに対する企業リソースへのアクセス権の付与、あるいは各リソースに関連するアクセス・ポリシーの強制を行うことができます。

Oracle Identity Managerで可能な作業は次のとおりです。

• Oracle Identity Managerユーザー・アカウント（グループ・メンバーシップ、電子メール・アドレスなど）の表示

• プロファイルの変更

• アクセス権限のあるリソースの確認

• 自分が行ったリクエストおよび他ユーザーに作成されたリクエストの表示

• 自分のための追加リソースのリクエスト

• パスワードの変更

• ログイン用のチャレンジ質問と回答（Q&A）の表示と変更

• ユーザー・プロキシの設定

• 保留中のリクエストの表示と管理（認可された承認者のみ）

さらに、Oracle Identity Managerの権限によっては、次の作業も可能です。

• プロビジョニングされているリソースに持っているアカウントのパスワードおよびユーザーIDの更新

• 管理対象ユーザーのためのリソース・リクエストの作成

• 管理可能な任意のユーザーのための、リソースの下書きリクエストの完了

• 他のユーザーのためのリソースのプロビジョニングの承認

• 追加情報のリクエストへの応答

このマニュアルでは、Oracle Identity Managerで実行できるアクションについて説明します。説明するトピックは次のとおりです。

• ユーザー・ロールと機能

• リソース・モデルの概要

  注意 ユーザーによっては使用できない操作もあります。Oracle Identity Managerで表示および使用できる機能は、割り当てられている権限によって異なります。 Oracle Identity Managerシステムのシステム管理者は、本番環境で製品を実行する前に、このドキュメントの付録B「管理者のためのシステム設定上の考慮事項」を一読するようにしてください。

  関連資料 Oracle Identity Managerの管理およびユーザー・コンソールのカスタマイズの詳細は、『Oracle Identity Manager管理およびユーザー・コンソール・カスタマイズ・ガイド』を参照してください。 Oracle Identity Managerの管理およびユーザー・コンソールのグローバリゼーションの詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。

ユーザー・ロールと機能

表1-1に、Oracle Identity Manager関連の重要なユーザー・ロールと機能のリストを示します。

表1-1    ユーザー・ロールと機能 

ロール	実行可能なタスク
管理者	ユーザー、組織、ユーザー・グループ、リソースおよびポリシーの管理を行う担当者。
承認者	リソースに対するアクセスの承認および拒否を行う担当者。
エンドユーザー	Oracle Identity Managerのセルフサービス機能の利用者で、管理者ではないユーザー。

リソース・モデルの概要

Oracle Identity Managerでは、リソースを、リクエストの対象および企業ユーザーへのプロビジョニングの対象にできます。リソースは、アプリケーション、データベースへのアクセス、そこへのアクセスが重要な意味を持つネットワークまたは他のエンティティにあるディレクトリ構造に対する権限のいずれかです。リソースへのアクセスが許可される方法およびそのリソースに対して与えられる権限は、Oracle Identity Manager管理者が定義するプロビジョニング・プロセスにより決まります。あるリソースへのアクセスを、すべてのユーザーに対して統一的にプロビジョニングすることもできます。または、次のような要素に基づいて、同一の方法でアクセスをプロビジョニングすることも可能です。

• ロール（管理者、経理担当など）

• 勤務地

• 雇用形態（フルタイム、コンサルタントなど）

• グループや部門の割当て

• リソースごとの管理者およびOracle Identity Manager管理者によって適切とみなされるその他の基準

リソースが正常にプロビジョニングされると、それ以降はOracle Identity Managerを操作しないでそのリソースにアクセスすることができます。たとえばMicrosoft Exchangeへのアクセスをリクエストしたユーザーに対してそのリソースが正常にプロビジョニングされた場合、Oracle Identity Managerによりそのユーザーに対して確立されたユーザーIDとパスワード（必要な場合）を使用してそのアプリケーションにログインすることができます。

Oracle Identity Managerは、プロセスとそれを含むタスクを使用してリソースのプロビジョニングを制御します。承認は承認プロセスと呼ばれる特定の種類のプロセスを使用して管理されます。承認はリソースのプロビジョニングが発生する前に取得する必要があります。Oracle Identity Managerには、承認プロセスとプロビジョニング・プロセスという2種類のリソース関連プロセスがあります。

承認プロセス

承認プロセスは、リソースをリクエストしたユーザーまたは組織に対してそのリソースのプロビジョニングを承認するかどうかを決定します。承認プロセスは、リソースのプロビジョニングの承認を担当するユーザーからの応答を必要とする一連のタスクで構成されています。応答は手動で提供されるため、これらのタスクは承認者または承認者のグループに割り当てられます。

承認者は、割り当てられる承認プロセス内のすべてのタスクを対象とすることができます。リクエスト内のタスクに割り当てられている承認者は、リクエスト内のすべてのタスクを表示することができます。リクエストの承認者が「To-Doリスト」の下の「保留中の承認」リンクをクリックすると、リクエストIDが表示されます。

注意 承認プロセスはオプションです。一部のリソースは、Oracle Identity Manager管理者が、承認を必要とせずにプロビジョニングすることができます。この場合、リクエストが送信されるとすぐにリソースへのアクセスが与えられます。

プロビジョニング・プロセス

プロビジョニング・プロセスは、リクエストした1人または複数のユーザー、または組織に対してリソースを実際にプロビジョニングするために使用されるプロセスです。プロビジョニング・プロセスは、指定されたリソースへのアクセスを許可するために必要な手順を実行する、一連の自動化されたタスクから構成されます。リソースに対して承認プロセスが定義されていない場合を除いて、承認プロセスが完了するまでプロビジョニング・プロセスを開始することはできません。また、プロビジョニング・プロセスでは、専用のフォームを使用して、リソースへのアクセスを許可するために必要なデータを取得したり、ユーザー入力を求めることができます。

Oracle Identity Managerの例外機能を使用して、プロビジョニング・プロセス中に発生する可能性のある問題に対処できます。たとえば、リソースを使用できない場合にトランザクションが停止あるいは失敗しないようにするビジネス・ロジックを、プロビジョニング・プロセスに追加できます。また、プロビジョニング・トランザクションが失敗したときに、システムが最後の既知の一貫性のある状態にロールバックできるようにする状態エンジンも備わっています。状態エンジンはまた、プロビジョニング・リクエストが拒否された場合に、システムを元の状態にロールバックします。