Oracle Identity Manager 管理およびユーザー・コンソール・ガイド リリース9.1.0 E05900-03 |
|
アクセス・ポリシーとは、ユーザー・グループ、および各ユーザー・グループに属するユーザーのプロビジョニングまたはプロビジョニング解除に使用するリソースのリストです。アクセス・ポリシーは、Oracle Identity Manager管理およびユーザー・コンソールの「アクセス・ポリシー」メニュー項目を使用して定義されます。
この章では、Oracle Identity Managerでユーザー、組織およびリソースに対してアクセス・ポリシーを作成、使用する方法について説明します。
この章の内容は、次のとおりです。
この項では、ポリシー・エンジンにより提供される様々な機能を説明します。
ポリシーを定義する際、特定のポリシーに含まれるリソースのプロビジョニングを行う場合に承認ありとするか承認なしとするかを指定できます。タイプが承認ありのアクセス・ポリシーがユーザーに適用され、そのアクセス・ポリシーにリソースのプロビジョニングが指定されている場合は、Oracle Identity Managerによりリクエストが生成されます。ユーザーがリソースを取得する前に、このリクエストが承認を受ける必要があります。承認オプションが選択されていない場合、アクセス・ポリシーが適用される際に、リクエストを生成しないでリソースをユーザーに直接プロビジョニングされます。
Oracle Identity Managerのアクセス・ポリシーは、サブグループには適用されません。ポリシーは、そのアクセス・ポリシーに定義されているグループの直下のメンバーシップ・ユーザー(サブグループのメンバーではないユーザー)にのみ適用されます。ポリシーが適用されなくなった場合に、そのポリシー内のリソースを失効させるかどうかを指定できます。失効させる場合、ユーザーにポリシーが適用されなくなると、これらのリソースは、Oracle Identity Managerによりそのユーザーに対して自動的に失効されます。
アクセス・ポリシーの作成中には、グループにプロビジョニングするリソースに加え、拒否するリソースを選択できます。プロビジョニングするリソースとして一旦選択したリソースを、後で拒否するリソースとして選択すると、そのリソースはOracle Identity Managerによりプロビジョニングするリソースのリストから削除されます。1つのグループに2つのポリシーが定義されており、一方のポリシーではプロビジョニングするように指定されているリソースが、もう一方のポリシーでは拒否するように指定されている場合、2つのポリシーの優先度に関係なく、Oracle Identity Managerではそのリソースはプロビジョニングされません。グループに属するユーザーに対してリソースを拒否するようにポリシーが定義されている場合、これらのリソースは、ユーザーへのリクエスト・ベース・プロビジョニングまたはダイレクト・プロビジョニングの実行時に選択できません。
Oracle Identity Managerでは、次のようなシナリオでアクセス・ポリシーを評価できます。
そのユーザーに対するポリシーは、追加または削除の操作の一部として評価されます。
これらの評価は、アクションの直後には行われません。かわりに、「ユーザーのプロビジョンされた日の設定」
スケジュール・タスクの次回の実行時に行われます。評価は次のようなシナリオで行われます。
ポリシーの優先度は、作成したアクセス・ポリシーごとに一意の数値を含む、数値フィールドです。数値が小さいほど、アクセス・ポリシーの優先度は高くなります。たとえば、「優先度」に1を指定したポリシーは優先度が最も高くなります。管理およびユーザー・コンソールを使用してアクセス・ポリシーを定義した場合は常に、現在最も低い優先度を表す値に1が加えられ、その値が自動的に「優先度」フィールドに移入されます。この値を他の数値に変更すると、その他のすべてのアクセス・ポリシーの優先度が再調整されます。これにより優先度の整合性が維持されます。優先度値には、次のアクションが関連付けられています。
複数のアクセス・ポリシーが同じユーザーに適用されていると、競合が発生する場合があります。アクセス・ポリシーを介してユーザーにプロビジョニングされるリソースのインスタンスは1つであるため、Oracle Identity Managerでは最も優先度が高いポリシー・データが親フォームに使用されます。子フォームには、該当するポリシーすべての累積レコードが使用されます。
プロビジョニング時のリソースにプロセス・フォーム・データが提供される場合、複数の方法があります。Oracle Identity Managerに組み込まれた優先度の順序は次のとおりです。
指定したオプションが使用可能な場合、それ以外の使用頻度の低いオプションは無視されます。たとえば、オプション4が使用可能な場合は、オプション3、2および1は無視されます。
アクセス・ポリシー・ウィザードを使用して、ユーザー・グループやユーザーにリソースをプロビジョニングするためのアクセス・ポリシーを定義できます。
アクセス・ポリシーを作成するには、次の手順を実行します。
「アクセス・ポリシーの作成」ページが表示されます。
指定された承認者またはプロキシ・ユーザーが承認しなければリソースがユーザーまたはグループにプロビジョニングされないようにするには、「承認あり」を選択します。
承認が必要ない場合は、「承認なし」を選択します。
このオプションを選択しない場合、既存のグループ・メンバーシップは考慮されません。
「アクセス・ポリシーの作成 - ステップ2: リソースの選択(プロビジョニング)」ページが表示されます。
フィルタ検索のメニューを使用してリソースを検索します。
このリソースに関連付けられているフォームがある場合は、後続のページに必須フィールドが表示されます。それ以外の場合は、「アクセス・ポリシーの作成 - ステップ2: 失効するリソースの選択」ページが表示されます。ポリシーのデフォルトを、パスワードおよび暗号化属性には指定しないことをお薦めします。
結果表で、自動的に失効させるリソースのチェック・ボックスを選択します。
「アクセス・ポリシーの作成 - ステップ3: リソースの選択(拒否)」ページが表示されます。
拒否されるリソースを選択するには、次の手順を実行します。
プロビジョニングするリソースを選択しなかった場合は、拒否するリソースを少なくとも1つを選択する必要があります。プロビジョニングするものと同じリソースを拒否対象に選択すると、プロビジョニングするリソースとしての割当ては解除されます。
同様に、ステップaで、すでに拒否するように選択したものと同じリソースをプロビジョニング対象に割り当てると、拒否対象に選択されたリソースから自動的に削除されます。拒否対象として選択済のリソースを削除できます。これは、「選択済」リストから削除するリソースを選択し、「削除」をクリックして実行します。
「アクセス・ポリシーの作成 - ステップ4: グループの選択」ページが表示されます。
「アクセス・ポリシーの作成 - ステップ5: アクセス・ポリシー情報の検証」ページが表示されます。
管理およびユーザー・コンソールを使用すると、既存のアクセス・ポリシーの情報を変更できます。
アクセス・ポリシーを管理するには、次の手順を実行します。
「アクセス・ポリシーの管理」ページが表示されます。
検索基準フィールドのメニューを使用して、アクセス・ポリシー属性を選択します。アスタリスク(*)ワイルドカード文字を使用すると、選択した属性に任意の値を持つすべてのアクセス・ポリシー・インスタンスを検索できます。「アクセス・ポリシーの検索」をクリックします。
「アクセス・ポリシーの管理」ページに検索結果が表示されます。
「アクセス・ポリシー詳細」ページが表示されます。
このアクセス・ポリシーを変更するには、各選択カテゴリの末尾にある「変更」リンクを使用します。
このアクセス・ポリシーが更新され、更新された情報が「アクセス・ポリシー詳細」ページに表示されます。
|
Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|