Oracle Identity Manager 管理およびユーザー・コンソール・ガイド リリース9.1.0 E05900-03 |
|
管理者としてユーザー・グループを使用して、アクセス権、ロール、権限などの一般的な機能にアクセスできるユーザーの集合のレコードを作成および管理します。
ユーザー・グループは、組織に依存しないグループ、複数の組織にわたるグループ、または
1つの組織のユーザーしか含まないグループが可能です。
ユーザー・グループを使用すると、次の操作が可能です。
Oracle Identity Managerには、3つのデフォルトのユーザー・グループがあります。
デフォルトのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。
「システム管理者」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード(システム・レコード以外)を作成、編集および削除できる完全な権限を持っています。このグループのユーザーは、他のユーザーの権限を制御したり、割り当てられないタスクについてもプロセス・タスクのステータスを変更して、最も高いレベルからシステムを管理できます。
「オペレータ」ユーザー・グループのメンバーは、「組織」、「ユーザー」および「タスク・リスト」の各フォームにアクセスできます。このグループのユーザーは、これらのフォームの一部の機能を実行できます。
「すべてのユーザー」ユーザー・グループのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーは「すべてのユーザー」ユーザー・グループに所属します。
この章の内容は、次のとおりです。
新規のユーザー・グループを初めて作成する場合、「グループの詳細」ページにはグループ名が表示されます。「グループの管理」の説明に従い、「追加詳細」メニューを使用してユーザー・グループに情報を追加できます。
ユーザー・グループを作成するには、次の手順を実行します。
ユーザー・グループの検索、それらのグループへの情報の追加、ユーザー・グループのためのその他の管理機能を実行できます。
ここでは、次のトピックについて説明します。
ユーザー・グループを検索するには、次の手順を実行します。
「グループの管理」ページが表示されます。
ワイルドカード文字としてアスタリスク(*)を使用すると、すべてのユーザー・グループを問合せできます。
結果ページが表示されます。このページを使用して、ユーザー・グループを表示および削除できます。
ユーザー・グループを削除するには、次の手順を実行します。
「確認」ページが表示されます。
表示するユーザー・グループを選択した後、選択したユーザー・グループに関する次の詳細を表示できます。
グループには、ユーザーまたはサブグループを割り当てることができます。「ユーザーの割当て」および「サブグループの割当て」の各オプションも機能は類似しています。次の手順では、「ユーザーの割当て」サブグループを例として示しています。
ユーザーをグループに割り当てるには、次の手順を実行します。
「メンバーとサブグループ」ページが表示されます。
結果表が表示されます。
「確認」ページに、選択したユーザーID名が表示されます。
これを行わない場合は、「取消」をクリックします。
「メニュー項目」検索基準には、このユーザー・グループに許可されているすべてのメニュー項目が表示されます。「メニュー項目」オプションを使用すると、ユーザー・グループに対して新しいメニュー項目を割り当てることができます。
メニュー項目をユーザー・グループに割り当てるには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「メニュー項目」ページが表示されます。
「メニュー項目の割当て」ページが表示されます。
「確認」ページが表示されます。
これを行わない場合は、「取消」をクリックします。
結果表に、このユーザー・グループに許可されているメニュー項目が表示されます。このページでは、許可しないメニュー項目を削除することもできます。
これでこのメニュー項目はこのユーザー・グループとの関連付けを解除されました。
ユーザー・グループに関連付けられているすべての管理グループを表示することができます。また、次の操作も可能です。
管理グループを割り当てるには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「管理グループ」ページが表示されます。
「管理グループの割当て」ページが表示されます。このページには、ユーザー・グループに関連付けることができる管理グループがすべて表示されます。
「確認」ページが表示されます。
結果表に、このユーザー・グループを管理できる管理グループが表示されます。
新しい管理グループを作成するには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「管理グループ」ページが表示されます。
管理者の割当てウィザードの「ステップ1: 管理者の割当て」ページが表示されます。
ユーザーのログイン名が「選択済」リストに表示されます。
「ステップ2: 別名の指定」ページが表示されます。
または、「戻る」をクリックして前のページに戻るか、「終了」をクリックしてウィザードを終了します。
「ステップ3: 権限の指定」ページが表示されます。デフォルトでは、「読取り」権限のオプションが選択されています。
「ステップ4: 委任情報の検証」ページが表示されます。
このページには、管理グループのエイリアス、この管理グループに所属するユーザーおよびそのグループの権限が表示されます。
「変更」をクリックすると、該当するウィザード・ページに戻って変更することができます。変更しない場合は、「続行」をクリックします。
「管理グループ」ページが表示されます。
グループ権限を更新するには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「管理グループ」ページが表示されます。
「権限の更新」ページが表示されます。
このページには、管理グループ名と書込みおよび削除の権限が表示されます。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。このページには、更新した管理グループが表示されます。
これを行わない場合は、「取消」をクリックします。
「管理グループ」ページが表示されます。
更新された管理グループに、変更された書込みまたは削除アクセス権が表示されます。
このユーザー・グループで使用できるすべてのアクセス・ポリシーを表示したり、ユーザー・グループに対してアクセス・ポリシーの割当ておよび削除を行えます。
アクセス・ポリシーをユーザー・グループに割り当てるには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「アクセス・ポリシー」ページが表示されます。
「アクセス・ポリシーの割当て」ページが表示されます。
このページには、ポリシー名とポリシーの簡単な説明が表示されます。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。
これを行わない場合は、「取消」をクリックします。
「アクセス・ポリシー」ページが表示されます。
このユーザー・グループで使用できるすべてのメンバーシップ・ルールの表示、ユーザー・グループに対する新しいメンバーシップ・ルールの割当て、およびメンバーシップ・ルールの削除を行うことができます。
メンバーシップ・ルールに関連する操作を行うには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「メンバーシップ・ルール」ページが表示されます。
「メンバーシップ・ルールの割当て」ページが表示されます。このページには、メンバーシップ・ルールの名前が表示されます。
これを行わない場合は、「取消」をクリックします。
「確認」ページが表示されます。
これを行わない場合は、「取消」をクリックします。
「メンバーシップ・ルール」ページが表示されます。
Oracle Identity Managerにおける権限は、そのほとんどがデータ・オブジェクトに関するものです。データ・オブジェクトは、Oracle Identity Managerデータ・モデルにおける表の内部オブジェクト表現として定義できます。このモデルではビジネス・ロジックが実行され、データ・ストアにおけるデータの挿入、更新、および削除が行われます。これらのアクションに対する権限は、グループ・レベルで定義されます。表またはデータ・オブジェクトに応じて、これらの権限は次のように分類できます。
明示的な挿入、更新または削除権限が必要とされるデータ・オブジェクトとは、そのエントリを作成、変更および削除するためにOracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストの「権限」を使用して挿入、更新または削除権限を指定する必要のあるデータ・オブジェクトです。
次の例を考えてみます。あるユーザーが複数のグループに属し、データ・オブジェクトがいずれのグループにも割り当てられています。このデータ・オブジェクト・タイプのエンティティを削除するとします。削除するには、いずれのグループにも、データ・オブジェクトに対する更新権限が付与されていることを確認する必要があります。
表10-1は、このカテゴリで示すデータ・オブジェクトとそのエンティティをまとめたリストです。
これらのデータ・オブジェクトでは、Oracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストにある「権限」で定義される権限は使用されません。これらは、管理者として定義された特定のグループの管理者の概念に従います。表10-2は、これらのデータ・オブジェクトとその権限をまとめたリストです。
あるグループを、読取り、書込み、および削除の権限を持つ表10-2のエンティティのいずれかの管理者として定義した場合、そのグループに属するユーザーは、エンティティ詳細の表示、エンティティ詳細の変更、またはエンティティの削除が行えます。
あるユーザーによって表10-2にリストされているデータ・オブジェクト・タイプのエンティティが作成された場合は常に、そのユーザーが属するグループが、読取り、書込みおよび削除の権限を持つ、新規に作成されたエンティティの管理者として自動的に定義されます。
たとえば、グループ1およびグループ2に属するユーザー1が、com.thortech.xl.dataobj.tcACTタイプのエンティティ(組織)を作成したとします。グループ1およびグループ2は、読取り、書込みおよび削除の権限を持つ、新規に作成された組織の管理者として自動的に定義されます。
明示的な権限が必要ないデータ・オブジェクトとは、強制される権限がないか、または単に親データ・オブジェクトの権限に従うことから、権限を定義する必要のないデータ・オブジェクトです。親データ・オブジェクト権限が使用されるデータ・オブジェクトに対しては、親データ・オブジェクトに対する更新の権限を持つグループは、その子データ・オブジェクトに対しても挿入、更新および削除の権限を持つという単純な原則に従います。表10-3に、これらのデータ・オブジェクトとそのエンティティの一覧を示します。
Oracle Identity Managerでは、データ・オブジェクトまたはファイングレイン権限をグループに割り当てる際、次のような権限モデルが使用されます。
Oracle Identity Managerを使用すると、フォームおよびメニュー項目のレベルで権限を割り当てることもできます。フォーム・レベルの権限は、Design Consoleで割り当てられ、メニュー項目レベルの権限は、管理およびユーザー・コンソールで割り当てられます。ただし、フォームまたはメニュー項目の権限を割り当てても、ユーザーにはフォームまたはメニュー項目に関連付けられているエンティティへのアクセス権が自動的に付与されません(「ユーザーの管理メニュー項目」に権限を付与する場合など)。
そのユーザーがログインすると、そのメニュー項目が表示されます。また、ユーザーを検索する場合、ある特定のグループに属するユーザーを表示するための権限が割り当てられていないと、検索結果を取得できない場合があります。この権限は、管理およびユーザー・コンソールで定義できます。ユーザーがメニュー項目またはグループ権限の割当てや削除を行うには、それに対応するメニュー項目またはグループ権限が、そのユーザーが属しているいずれかのグループに割り当てられていることが必要です。
グループ・メンバーが実行を許可されているレポートを一覧表示し、このグループに対してレポートを選択することができます。
グループのレポート権限に関連する操作を行うには、次の手順を実行します。
「グループの詳細」ページが表示されます。
「レポート」ページが表示されます。
「レポートの割当て」ページが表示されます。このページには、使用できるレポートの名前とタイプが表示されます。
「確認」ページが表示されます。
「レポート」ページが表示されます。
|
Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|