11 アクセス・ポリシーの作成および管理

アクセス・ポリシーとは、ユーザー・グループ、および各ユーザー・グループに属するユーザーのプロビジョニングまたはプロビジョニング解除に使用するリソースのリストです。アクセス・ポリシーは、Oracle Identity Manager管理およびユーザー・コンソールの「アクセス・ポリシー」メニュー項目を使用して定義されます。

この章では、Oracle Identity Managerでユーザー、組織およびリソースに対してアクセス・ポリシーを作成、使用する方法について説明します。

この章の内容は、次のとおりです。

アクセス・ポリシーの機能

この項では、ポリシー・エンジンにより提供される様々な機能を説明します。

プロビジョニング・オプション

ポリシーを定義する際、特定のポリシーに含まれるリソースのプロビジョニングを行う場合に承認ありとするか承認なしとするかを指定できます。タイプが承認ありのアクセス・ポリシーがユーザーに適用され、そのアクセス・ポリシーにリソースのプロビジョニングが指定されている場合は、Oracle Identity Managerによりリクエストが生成されます。ユーザーがリソースを取得する前に、このリクエストが承認を受ける必要があります。承認オプションが選択されていない場合、アクセス・ポリシーが適用される際に、リクエストを生成しないでリソースをユーザーに直接プロビジョニングされます。

ポリシーの失効

Oracle Identity Managerのアクセス・ポリシーは、サブグループには適用されません。ポリシーは、そのアクセス・ポリシーに定義されているグループの直下のメンバーシップ・ユーザー（サブグループのメンバーではないユーザー）にのみ適用されます。ポリシーが適用されなくなった場合に、そのポリシー内のリソースを失効させるかどうかを指定できます。失効させる場合、ユーザーにポリシーが適用されなくなると、これらのリソースは、Oracle Identity Managerによりそのユーザーに対して自動的に失効されます。

リソースの拒否

アクセス・ポリシーの作成中には、グループにプロビジョニングするリソースに加え、拒否するリソースを選択できます。プロビジョニングするリソースとして一旦選択したリソースを、後で拒否するリソースとして選択すると、そのリソースはOracle Identity Managerによりプロビジョニングするリソースのリストから削除されます。1つのグループに2つのポリシーが定義されており、一方のポリシーではプロビジョニングするように指定されているリソースが、もう一方のポリシーでは拒否するように指定されている場合、2つのポリシーの優先度に関係なく、Oracle Identity Managerではそのリソースはプロビジョニングされません。グループに属するユーザーに対してリソースを拒否するようにポリシーが定義されている場合、これらのリソースは、ユーザーへのリクエスト・ベース・プロビジョニングまたはダイレクト・プロビジョニングの実行時に選択できません。

ポリシーの評価

Oracle Identity Managerでは、次のようなシナリオでアクセス・ポリシーを評価できます。

ユーザーがグループに追加、またはグループから削除された場合

そのユーザーに対するポリシーは、追加または削除の操作の一部として評価されます。
ポリシーに更新フラグが設定されている場合

これらの評価は、アクションの直後には行われません。かわりに、「ユーザーのプロビジョンされた日の設定」スケジュール・タスクの次回の実行時に行われます。評価は次のようなシナリオで行われます。
- 更新フラグがONに設定されるように、ポリシーの定義が更新された場合。ポリシーの評価は、該当するすべてのユーザーに対して行われます。
- グループがポリシーの定義に追加、またはポリシーの定義から削除された場合。ポリシーの評価は、追加または削除されたグループのユーザーに対してのみ行われます。
- リソースが追加または削除された場合、あるいは「適用しない場合は失効」フラグの値がそのリソースに変更された場合。ポリシーの評価は、該当するすべてのユーザーに対して行われます。
- ポリシー・データが更新または削除された場合。これには、親と子の両方のフォーム・データが含まれます。ポリシーの評価は、該当するすべてのユーザーに対して行われます。

アクセス・ポリシーの優先度

ポリシーの優先度は、作成したアクセス・ポリシーごとに一意の数値を含む、数値フィールドです。数値が小さいほど、アクセス・ポリシーの優先度は高くなります。たとえば、「優先度」に1を指定したポリシーは優先度が最も高くなります。管理およびユーザー・コンソールを使用してアクセス・ポリシーを定義した場合は常に、現在最も低い優先度を表す値に1が加えられ、その値が自動的に「優先度」フィールドに移入されます。この値を他の数値に変更すると、その他のすべてのアクセス・ポリシーの優先度が再調整されます。これにより優先度の整合性が維持されます。優先度値には、次のアクションが関連付けられています。

入力された優先度値が1より小さい場合、その値はOracle Identity Managerにより1（最も高い優先度）に変更されます。
入力された優先度値がMより大きい場合（Mは現在最も低い優先度）、その値はOracle Identity ManagerによりM+1以下として指定されます。
2つのアクセス・ポリシーに同じ優先度値は指定できません。そのため、あるアクセス・ポリシーに既存の優先度値を割り当てた場合、それより優先度が低いポリシーはすべて、優先度が1つずつ下がることになります。

複数のアクセス・ポリシーが同じユーザーに適用されていると、競合が発生する場合があります。アクセス・ポリシーを介してユーザーにプロビジョニングされるリソースのインスタンスは1つであるため、Oracle Identity Managerでは最も優先度が高いポリシー・データが親フォームに使用されます。子フォームには、該当するポリシーすべての累積レコードが使用されます。

アクセス・ポリシー・データ

プロビジョニング時のリソースにプロセス・フォーム・データが提供される場合、複数の方法があります。Oracle Identity Managerに組み込まれた優先度の順序は次のとおりです。

フォームの定義によるデフォルト値
組織のデフォルト
オブジェクト・フォームからプロセス・フォームへのデータ・フローで取得された値
事前移入アダプタ
アクセス・ポリシー・データ（ポリシーに基づいてリソースがプロビジョニングされる場合）
プロセス・タスクまたはエンティティ・アダプタにより更新されたデータ

指定したオプションが使用可能な場合、それ以外の使用頻度の低いオプションは無視されます。たとえば、オプション4が使用可能な場合は、オプション3、2および1は無視されます。

アクセス・ポリシーの作成

アクセス・ポリシー・ウィザードを使用して、ユーザー・グループやユーザーにリソースをプロビジョニングするためのアクセス・ポリシーを定義できます。

アクセス・ポリシーを作成するには、次の手順を実行します。

「アクセス・ポリシーの作成」ページを開くには、管理およびユーザー・コンソールの左ペインで「アクセス・ポリシー」をクリックします。
「作成」をクリックします。

「アクセス・ポリシーの作成」ページが表示されます。
必須フィールドの情報は、アスタリスク（*）で示されます。

指定された承認者またはプロキシ・ユーザーが承認しなければリソースがユーザーまたはグループにプロビジョニングされないようにするには、「承認あり」を選択します。

承認が必要ない場合は、「承認なし」を選択します。

アクセス・ポリシーの作成時に更新するようにするには、「アクセス・ポリシーの更新」を選択します。

注意
「アクセス・ポリシーの更新」を選択した場合、アクセス・ポリシーは、この手順のステップ12で選択したグループのすべての既存ユーザーに適用されます。

このオプションを選択しない場合、既存のグループ・メンバーシップは考慮されません。

「続行」をクリックします。

「アクセス・ポリシーの作成 - ステップ2: リソースの選択(プロビジョニング)」ページが表示されます。
このアクセス・ポリシーに対してプロビジョニングするリソースを指定します。

フィルタ検索のメニューを使用してリソースを検索します。
- 結果表からリソース名を選択して、「追加」をクリックします。
- プロビジョニングする目的のリソースの名前が「選択済」リストに表示されます。リソースを拒否するだけのアクセス・ポリシーを作成する場合は、リソースを選択しないで「続行」をクリックします。
- 選択されているリソースの割当てを解除するには、「選択済」リストでリソースを選択し、「削除」をクリックします。
「続行」をクリックします。

このリソースに関連付けられているフォームがある場合は、後続のページに必須フィールドが表示されます。それ以外の場合は、「アクセス・ポリシーの作成 - ステップ2: 失効するリソースの選択」ページが表示されます。ポリシーのデフォルトを、パスワードおよび暗号化属性には指定しないことをお薦めします。
適用されなくなったアクセス・ポリシーを失効させるかどうかを指定します。

結果表で、自動的に失効させるリソースのチェック・ボックスを選択します。
「続行」をクリックします。

「アクセス・ポリシーの作成 - ステップ3: リソースの選択(拒否)」ページが表示されます。
このページを使用して、このアクセス・ポリシーにより拒否されるリソースを選択します。

拒否されるリソースを選択するには、次の手順を実行します。
1. 結果表からリソースを選択します。
2. 「選択済」リストにリソースを移動するには、「追加」をクリックします。
  
  プロビジョニングするリソースを選択しなかった場合は、拒否するリソースを少なくとも1つを選択する必要があります。プロビジョニングするものと同じリソースを拒否対象に選択すると、プロビジョニングするリソースとしての割当ては解除されます。
  
  同様に、ステップaで、すでに拒否するように選択したものと同じリソースをプロビジョニング対象に割り当てると、拒否対象に選択されたリソースから自動的に削除されます。拒否対象として選択済のリソースを削除できます。これは、「選択済」リストから削除するリソースを選択し、「削除」をクリックして実行します。
3. 「続行」をクリックします。
「アクセス・ポリシーの作成 - ステップ4: グループの選択」ページが表示されます。
「アクセス・ポリシーの作成 - ステップ4: グループの選択」ページを使用して、グループをアクセス・ポリシーに関連付けます。
このアクセス・ポリシーにグループを関連付けるには、次の手順を実行します。
- 結果表からグループを選択して、「追加」をクリックします。
- 選択したグループの名前が「選択済」フィールドに表示されます。グループ名を削除するには、「削除」ボタンを使用します。
- このアクセス・ポリシーに対してユーザー・グループを指定できます。フィルタ検索メニューを使用して必要なユーザー・グループを検索できます。
- 結果表からユーザー・グループを選択して、「追加」をクリックします。少なくとも
  1つのユーザー・グループを選択する必要があります。選択したユーザー・グループの名前が「選択済」リストに表示されます。
- 選択されているユーザー・グループの割当てを解除するには、「選択済」リストでリソースを選択し、「削除」をクリックします。
「続行」をクリックします。

「アクセス・ポリシーの作成 - ステップ5: アクセス・ポリシー情報の検証」ページが表示されます。
この手順のこれより前のステップで選択した内容を変更する場合は、「変更」をクリックして、ウィザードの対応するページに移動します。必要な変更が終了したら、「続行」をクリックして、「ステップ5: アクセス・ポリシー情報の検証」ページに戻ります。

「続行」をクリックすると、アクセス・ポリシーが作成されます。

注意
プロセス・フォームに「パスワード」フィールドが含まれているリソースにアクセス・ポリシーを作成した場合、パスワード・ポリシーは評価されません。パスワード・ポリシーの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。

アクセス・ポリシーの管理

管理およびユーザー・コンソールを使用すると、既存のアクセス・ポリシーの情報を変更できます。

アクセス・ポリシーを管理するには、次の手順を実行します。

「アクセス・ポリシー」メニューの下の「管理」をクリックします。

「アクセス・ポリシーの管理」ページが表示されます。

検索基準フィールドのメニューを使用して、アクセス・ポリシー属性を選択します。アスタリスク（*）ワイルドカード文字を使用すると、選択した属性に任意の値を持つすべてのアクセス・ポリシー・インスタンスを検索できます。「アクセス・ポリシーの検索」をクリックします。

「アクセス・ポリシーの管理」ページに検索結果が表示されます。
目的のアクセス・ポリシーの詳細を表示するには、「アクセス・ポリシー名」をクリックします。

「アクセス・ポリシー詳細」ページが表示されます。

このアクセス・ポリシーを変更するには、各選択カテゴリの末尾にある「変更」リンクを使用します。
必要な変更が終了したら、「アクセス・ポリシーの更新」をクリックします。

このアクセス・ポリシーが更新され、更新された情報が「アクセス・ポリシー詳細」ページに表示されます。