1 管理およびユーザー・コンソールの概要

Oracle Identity Managerは、企業アプリケーションや管理対象システムへのアクセスを自動的に許可および取り消すための、高度で柔軟なプロビジョニング・システムです。Oracle Identity Managerを使用すると、スタッフやパートナに対する企業リソースへのアクセス権の付与、あるいは各リソースに関連するアクセス・ポリシーの強制を行うことができます。

Oracle Identity Managerで可能な作業は次のとおりです。

• グループ・メンバーシップや電子メール・アドレスなどのOracle Identity Managerユーザー・アカウント情報の表示

• プロファイルの変更

• アクセス権限のあるリソースの確認

• 自分が行ったリクエストおよび他ユーザーに作成されたリクエストの表示

• 自分のための追加リソースのリクエスト

• パスワードの変更

• ログイン用のチャレンジ質問と回答の表示と変更

• ユーザー・プロキシの設定

• 保留中のリクエストの表示と管理（認可された承認者のみ）

さらに、Oracle Identity Managerの権限によっては、次の作業も可能です。

• 割り当てられている（プロビジョニングされている）リソースに持っているアカウントのパスワードおよびユーザーIDの更新

• 管理対象ユーザーのためのリソース・リクエストの作成

• 管理対象ユーザーのための、リソースの下書きリクエストの完了

• 他のユーザーのためのリソースのプロビジョニングの承認

• 追加情報のリクエストへの応答

Oracle Identity Managerは、リソースのリクエストを作成し、管理対象ユーザーのリソースのプロビジョニングを承認するための管理およびユーザー・コンソールを提供しています。ユーザーは、管理およびユーザー・コンソールを使用し、Oracle Identity Managerデータベースの情報を検索、編集、および削除できます。

このマニュアルでは、管理およびユーザー・コンソールを使用してOracle Identity Managerで実行できるアクションについて説明します。この章の内容は、次のとおりです。

• ユーザー・ロールと機能

• リソース・モデルの概要

  注意 ユーザーによっては使用できない操作もあります。Oracle Identity Managerで表示および使用できる機能は、割り当てられている権限によって異なります。 Oracle Identity Managerシステムのシステム管理者は、本番環境で製品を実行する前に、このドキュメントの付録A「管理者のためのシステム設定上の考慮事項」を一読するようにしてください。

  関連項目 Oracle Identity Manager管理およびユーザー・コンソールのカスタマイズの詳細は、『Oracle Identity Manager管理およびユーザー・コンソール・カスタマイズ・ガイド』を参照してください。 Oracle Identity Manager管理およびユーザー・コンソールのグローバリゼーションの詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。

ユーザー・ロールと機能

表1-1に、Oracle Identity Manager関連の重要なユーザー・ロールのリストを示します。

表1-1    ユーザー・ロール 

ロール	説明
管理者	ユーザー、組織、ユーザー・グループ、リソースおよびポリシーの管理を行う担当者
承認者	リソースに対するアクセスの承認および拒否を行う担当者
エンドユーザー	Oracle Identity Managerのセルフサービス機能の利用者で、管理者ではないユーザー

リソース・モデルの概要

Oracle Identity Managerでは、リソースを、リクエストの対象およびエンタープライズ・ユーザーへの割当て（プロビジョニング）の対象にできます。リソースは、アプリケーション、データベースへのアクセス、そこへのアクセスが重要な意味を持つネットワークまたは他のエンティティにあるディレクトリ構造に対する権限のいずれかです。リソースへのアクセスが許可される方法およびそのリソースに対して与えられる権限は、管理者が定義するプロビジョニング・プロセスにより決まります。あるリソースへのアクセスを、すべてのユーザーに対して統一的にプロビジョニングすることもできます。または、次のような要素に基づいて、同一の方法でアクセスをプロビジョニングすることも可能です。

• ロール（管理者、経理担当など）

• 勤務地

• 雇用形態（フルタイム、コンサルタントなど）

• グループや部門の割当て

• リソースごとの管理者およびOracle Identity Manager管理者によって適切とみなされるその他の基準

リソースが正常にプロビジョニングされると、それ以降はOracle Identity Managerを操作せずにそのリソースにアクセスできます。たとえば、Microsoft Exchangeアプリケーションへのアクセスをリクエストしたユーザーに対して、そのリソースが正常にプロビジョニングされた場合は、Oracle Identity Managerが提供するユーザーIDとパスワードを使用してそのアプリケーションにログインできます。

Oracle Identity Managerは、プロセスとそれを含むタスクを使用してリソースのプロビジョニングを制御します。承認は承認プロセスと呼ばれる特定の種類のプロセスを使用して管理されます。承認はリソースのプロビジョニングが発生する前に取得する必要があります。Oracle Identity Managerには、承認プロセスとプロビジョニング・プロセスという2種類のリソース関連プロセスがあります。

承認プロセス

承認プロセスは、リソースをリクエストしたユーザーまたは組織に対してそのリソースのプロビジョニングを承認するかどうかを決定します。承認プロセスは、リソースのプロビジョニングの承認を担当するユーザーからの応答を必要とする一連のタスクで構成されています。応答は手動で提供されるため、これらのタスクは承認者または承認者のグループに割り当てられます。

承認者は、割り当てられる承認プロセス内のすべてのタスクを対象とすることができます。リクエスト内のタスクに割り当てられている承認者は、リクエスト内のすべてのタスクを表示することができます。リクエストの承認者が管理およびユーザー・コンソールの「To-Doリスト」メニューの「保留中の承認」をクリックすると、リクエストIDが表示されます。

注意 承認プロセスはオプションです。Oracle Identity Manager管理者は、承認を必要としないプロビジョニング対象のリソースをいくつか構成できます。この場合、リクエストが送信されるとすぐにリソースへのアクセスが与えられます。

プロビジョニング・プロセス

プロビジョニング・プロセスは、リクエストした1人または複数のユーザー、または組織に対してリソースを割り当てる（プロビジョニングする）ために使用されるプロセスです。プロビジョニング・プロセスは、指定されたリソースへのアクセスを許可するために必要な手順を実行する、一連の自動化されたタスクから構成されます。リソースに対して承認プロセスが定義されていない場合を除いて、承認プロセスが完了するまでプロビジョニング・プロセスを開始することはできません。また、プロビジョニング・プロセスでは、専用のフォームを使用して、リソースへのアクセスを許可するために必要なデータを取得したり、ユーザー入力を求めることができます。

Oracle Identity Managerの例外機能を使用して、プロビジョニング・プロセス中に発生する可能性のある問題に対処できます。たとえば、リソースを使用できない場合にトランザクションが停止あるいは失敗しないようにするビジネス・ロジックを、プロビジョニング・プロセスに追加できます。また、プロビジョニング・トランザクションが失敗したときに、システムが最後の既知の一貫性のある状態にロールバックできるようにする状態エンジンも備わっています。状態エンジンはまた、プロビジョニング・リクエストが拒否された場合に、システムを元の状態にロールバックします。