10 ユーザー・グループの作成と管理

管理者としてユーザー・グループを使用して、アクセス権、ロール、権限などの一般的な機能にアクセスできるユーザーの集合のレコードを作成および管理します。

ユーザー・グループは、組織に依存しないグループ、複数の組織にわたるグループ、または
1つの組織のユーザーしか含まないグループが可能です。

ユーザー・グループを使用すると、次の操作が可能です。

• ユーザーが管理およびユーザー・コンソールを使用してアクセスできるメニュー項目を指定します。

• ユーザー・グループにユーザーまたはサブグループを割り当てます。

• プロセス・タスクに対して定義済レスポンスを指定できるようにするためのステータスをユーザーに指定します。

• データ・オブジェクトの変更および権限のリクエストを行います。

• グループ管理者を指定して、他のユーザー・グループのメンバーが現行ユーザー・グループにメンバーを割り当てられるようにするなど、グループにアクションを実行します。

• ユーザー・グループのプロビジョニング・ポリシーを指定します。これらのポリシーは、ユーザー・グループのメンバーに対して、あるリソース・オブジェクトをプロビジョニングするか、リクエストによりプロビジョニングするかを決定します。

• ユーザー・グループに対して、メンバーシップ・ルールを追加または削除します。これらのルールは、どのユーザーをユーザー・グループに割当てできるかを決定します。

Oracle Identity Managerには、3つのデフォルトのユーザー・グループがあります。

• システム管理者

• オペレータ

• すべてのユーザー

デフォルトのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。

「システム管理者」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード（システム・レコード以外）を作成、編集および削除できる完全な権限を持っています。このグループのユーザーは、他のユーザーの権限を制御したり、割り当てられないタスクについてもプロセス・タスクのステータスを変更して、最も高いレベルからシステムを管理できます。

「オペレータ」ユーザー・グループのメンバーは、「組織」、「ユーザー」および「タスク・リスト」の各フォームにアクセスできます。このグループのユーザーは、これらのフォームの一部の機能を実行できます。

「すべてのユーザー」ユーザー・グループのメンバーは権限が最小ですが、自身のユーザー・レコードにアクセスできるなどの機能があります。デフォルトでは、各ユーザーは「すべてのユーザー」ユーザー・グループに所属します。

この章の内容は、次のとおりです。

• グループの作成

• グループの管理

  注意 「すべてのユーザー」グループからユーザーを削除することはできません。 ユーザー・グループSELF OPERATORSは、デフォルトでOracle Identity Managerに追加されます。このユーザー・グループにはXELSELFREGという1人のユーザーが含まれ、管理およびユーザー・コンソールで自己登録を実行するためのユーザー権限の変更を担当します。 SELF OPERATORSグループに関連付けられている権限を変更しないこと、またこのグループにユーザーを割り当てないことをお薦めします。

グループの作成

新規のユーザー・グループを初めて作成する場合、「グループの詳細」ページにはグループ名が表示されます。「グループの管理」の説明に従い、「追加詳細」メニューを使用してユーザー・グループに情報を追加できます。

ユーザー・グループを作成するには、次の手順を実行します。

1. 左ナビゲーション・ペインで「ユーザー・グループ」をクリックし、続いて「作成」をクリックします。「ユーザー・グループの作成」ページが表示されます。

2. ユーザー・グループの名前を「名前」フィールドに入力します。

3. 「作成」をクリックします。「グループの詳細」ページが表示されます。

4. グループ名を変更する場合は「編集」をクリックします。また、ユーザー・グループを削除する場合は「削除」をクリックします。

グループの管理

ユーザー・グループの検索、それらのグループへの情報の追加、ユーザー・グループのためのその他の管理機能を実行できます。

ここでは、次のトピックについて説明します。

• ユーザー・グループの検索

• ユーザー・グループの削除

• ユーザー・グループの表示と管理

ユーザー・グループの検索

ユーザー・グループを検索するには、次の手順を実行します。

1. 左ナビゲーション・ペインで「ユーザー・グループ」をクリックし、続いて「管理」をクリックします。

   「グループの管理」ページが表示されます。

2. メニューから「グループ名」を選択し、メニューの隣のフィールドに値を入力します。

   ワイルドカード文字としてアスタリスク（*）を使用すると、すべてのユーザー・グループを問合せできます。

3. 「検索」をクリックします。

   結果ページが表示されます。このページを使用して、ユーザー・グループを表示および削除できます。

ユーザー・グループの削除

ユーザー・グループを削除するには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索します。

2. 削除するグループの横にある「削除」チェック・ボックスを選択し、「削除」をクリックします。

   「確認」ページが表示されます。

3. 「削除の確認」をクリックしてこのユーザー・グループの削除を完了するか、「取消」をクリックします。

ユーザー・グループの表示と管理

表示するユーザー・グループを選択した後、選択したユーザー・グループに関する次の詳細を表示できます。

• メンバーとサブグループ

• メニュー項目

• 管理グループ

• アクセス・ポリシー

• メンバーシップ・ルール

• データ・オブジェクト権限

• 許可されたレポート

メンバーとサブグループ

グループには、ユーザーまたはサブグループを割り当てることができます。「ユーザーの割当て」および「サブグループの割当て」の各オプションも機能は類似しています。次の手順では、「ユーザーの割当て」サブグループを例として示しています。

ユーザーをグループに割り当てるには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

2. 追加詳細ボックスで、「メンバーとサブグループ」を選択します。

   「メンバーとサブグループ」ページが表示されます。

3. 「ユーザーの割当て」をクリックします。

4. 「ユーザーの検索」をクリックするとユーザー名の一覧が表示されます。または、「クリア」をクリックします。

   結果表が表示されます。

5. メンバーの優先度を上下させるには、結果表の「優先度を上げる/下げる」列で、そのメンバーに関連付けられたオプションをクリックし、「上げる」または「下げる」をクリックします。

6. グループのメンバーを削除するには、結果表の「削除」列で、そのメンバーに対応するオプションをクリックし、「メンバーの削除」をクリックします。

7. ユーザーIDに対する適切なオプションを選択し、「割当て」をクリックします。

   「確認」ページに、選択したユーザーID名が表示されます。

8. ユーザーの割当てに進む場合は「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

メニュー項目

「メニュー項目」検索基準には、このユーザー・グループに許可されているすべてのメニュー項目が表示されます。「メニュー項目」オプションを使用すると、ユーザー・グループに対して新しいメニュー項目を割り当てることができます。

メニュー項目をユーザー・グループに割り当てるには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 追加詳細ボックスで、「メニュー項目」を選択します。

   「メニュー項目」ページが表示されます。

3. 「メニュー項目の割当て」をクリックします。

   「メニュー項目の割当て」ページが表示されます。

4. メニュー項目に対する適切なオプションを選択し、「割当て」をクリックします。

   「確認」ページが表示されます。

5. メニューの割当てに進む場合は「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   結果表に、このユーザー・グループに許可されているメニュー項目が表示されます。このページでは、許可しないメニュー項目を削除することもできます。

6. メニュー項目を削除するには、そのメニュー項目に対応するオプションを選択し、「削除」をクリックします。

   これでこのメニュー項目はこのユーザー・グループとの関連付けを解除されました。

管理グループ

ユーザー・グループに関連付けられているすべての管理グループを表示することができます。また、次の操作も可能です。

• 管理グループの割当て

• 新しい管理グループの作成

• 管理グループの権限の更新

管理グループの割当て

管理グループを割り当てるには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 「追加詳細」ボックスで、「管理グループ」を選択します。

   「管理グループ」ページが表示されます。

3. 「管理グループの割当て」をクリックします。

   「管理グループの割当て」ページが表示されます。このページには、ユーザー・グループに関連付けることができる管理グループがすべて表示されます。

4. 管理グループに対応する適切なオプションと、アクセスの書込みおよび削除に関するそれぞれの権限設定を選択し、「割当て」をクリックします。

   「確認」ページが表示されます。

5. 「割当ての確認」または「取消」をクリックします。

   結果表に、このユーザー・グループを管理できる管理グループが表示されます。

管理グループの作成

新しい管理グループを作成するには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 「追加詳細」ボックスで、「管理グループ」を選択します。

   「管理グループ」ページが表示されます。

3. このユーザー・グループに対して新しい管理グループを作成するには、「新規グループの作成」をクリックします。

   管理者の割当てウィザードの「ステップ1: 管理者の割当て」ページが表示されます。

4. この新しい管理グループに含めるユーザーのオプションを選択し、「追加」をクリックします。

   ユーザーのログイン名が「選択済」リストに表示されます。

5. 「続行」をクリックするか、「戻る」または「終了」をクリックしてウィザードを終了します。

   「ステップ2: 別名の指定」ページが表示されます。

6. 新しい管理グループの別名を入力し、「続行」をクリックします。

   または、「戻る」をクリックして前のページに戻るか、「終了」をクリックしてウィザードを終了します。

   「ステップ3: 権限の指定」ページが表示されます。デフォルトでは、「読取り」権限のオプションが選択されています。

7. 「書込み」または「削除」権限のオプションを選択し、「続行」をクリックします。

   「ステップ4: 委任情報の検証」ページが表示されます。

   このページには、管理グループのエイリアス、この管理グループに所属するユーザーおよびそのグループの権限が表示されます。

8. この管理グループを変更するには、「変更」をクリックします。

   「変更」をクリックすると、該当するウィザード・ページに戻って変更することができます。変更しない場合は、「続行」をクリックします。

   「管理グループ」ページが表示されます。

グループ権限の更新

グループ権限を更新するには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 「追加詳細」ボックスで、「管理グループ」を選択します。

   「管理グループ」ページが表示されます。

3. ユーザー・グループに関連する管理グループの権限を更新するには、「権限の更新」をクリックします。

   「権限の更新」ページが表示されます。

   このページには、管理グループ名と書込みおよび削除の権限が表示されます。

4. 管理グループの権限設定を変更するには、「書込み権限」および「削除権限」に対応するオプションをクリックします。続いて「更新」をクリックすると変更されます。

   これを行わない場合は、「取消」をクリックします。

   「確認」ページが表示されます。このページには、更新した管理グループが表示されます。

5. このページに表示されている名前が正しければ、「更新の確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   「管理グループ」ページが表示されます。

   更新された管理グループに、変更された書込みまたは削除アクセス権が表示されます。

6. 管理グループを削除するには、グループ名に対応するオプションを選択し、「削除」をクリックします。

アクセス・ポリシー

このユーザー・グループで使用できるすべてのアクセス・ポリシーを表示したり、ユーザー・グループに対してアクセス・ポリシーの割当ておよび削除を行えます。

アクセス・ポリシーをユーザー・グループに割り当てるには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 「追加詳細」ボックスで「アクセス・ポリシー」を選択します。

   「アクセス・ポリシー」ページが表示されます。

3. 新しいアクセス・ポリシーを割り当てるには、「割当て」をクリックします。

   「アクセス・ポリシーの割当て」ページが表示されます。

   このページには、ポリシー名とポリシーの簡単な説明が表示されます。

4. このユーザー・グループのアクセス・ポリシーに対応するオプションを選択し、「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   「確認」ページが表示されます。

5. アクセス・ポリシーを割り当てるには、「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   「アクセス・ポリシー」ページが表示されます。

6. このアクセス・ポリシーを削除するには、ポリシーに対応するオプションを選択し、「削除」をクリックします。

メンバーシップ・ルール

このユーザー・グループで使用できるすべてのメンバーシップ・ルールの表示、ユーザー・グループに対する新しいメンバーシップ・ルールの割当て、およびメンバーシップ・ルールの削除を行うことができます。

メンバーシップ・ルールに関連する操作を行うには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 追加詳細ボックスで「メンバーシップ・ルール」を選択します。

   「メンバーシップ・ルール」ページが表示されます。

3. 新しいメンバーシップ・ルールを割り当てるには、「ルールの割当て」をクリックします。

   「メンバーシップ・ルールの割当て」ページが表示されます。このページには、メンバーシップ・ルールの名前が表示されます。

4. このユーザー・グループのメンバーシップ・ルールに対応するオプションを選択し、「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   「確認」ページが表示されます。

5. メンバーシップ・ルールを割り当てるには、「割当ての確認」をクリックします。

   これを行わない場合は、「取消」をクリックします。

   「メンバーシップ・ルール」ページが表示されます。

6. このメンバーシップ・ルールを削除するには、メンバーシップ・ルールに対応するオプションを選択し、「削除」をクリックします。

データ・オブジェクト権限

Oracle Identity Managerにおける権限は、そのほとんどがデータ・オブジェクトに関するものです。データ・オブジェクトは、Oracle Identity Managerデータ・モデルにおける表の内部オブジェクト表現として定義できます。このモデルではビジネス・ロジックが実行され、データ・ストアにおけるデータの挿入、更新、および削除が行われます。これらのアクションに対する権限は、グループ・レベルで定義されます。表またはデータ・オブジェクトに応じて、これらの権限は次のように分類できます。

• 明示的な挿入/更新/削除権限が必要なデータ・オブジェクト

• 管理グループ

• 明示的な権限が不要なデータ・オブジェクト

明示的な挿入/更新/削除権限が必要なデータ・オブジェクト

明示的な挿入、更新または削除権限が必要とされるデータ・オブジェクトとは、そのエントリを作成、変更および削除するためにOracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストの「権限」を使用して挿入、更新または削除権限を指定する必要のあるデータ・オブジェクトです。

次の例を考えてみます。あるユーザーが複数のグループに属し、データ・オブジェクトがいずれのグループにも割り当てられています。このデータ・オブジェクト・タイプのエンティティを削除するとします。削除するには、いずれのグループにも、データ・オブジェクトに対する更新権限が付与されていることを確認する必要があります。

表10-1は、このカテゴリで示すデータ・オブジェクトとそのエンティティをまとめたリストです。

表10-1    明示的な挿入/更新/削除権限が必要なデータ・オブジェクト 

データ・オブジェクト・タイプ	エンティティ
com.thortech.xl.dataobj.tcACS	組織.Lnk_Act_Svr
com.thortech.xl.dataobj.tcADL	アダプタ・ファクトリ.ロジック/変数設定タスク
com.thortech.xl.dataobj.tcADM	アダプタ・ファクトリ.入力/出力パラメータ
com.thortech.xl.dataobj.tcADP	アダプタ定義
com.thortech.xl.dataobj.tcADS	アダプタ・ファクトリ・ストアド・プロシージャ・タスク
com.thortech.xl.dataobj.tcADT	アダプタ・タスク
com.thortech.xl.dataobj.tcADU	アダプタ・ファクトリWebサービス・タスク
com.thortech.xl.dataobj.tcADV	アダプタ・ファクトリ.変数
com.thortech.xl.dataobj.tcAPA	アテステーション・プロセス管理者
com.thortech.xl.dataobj.tcARS	アダプタ・ステータス
com.thortech.xl.dataobj.tcATP	アダプタ・ファクトリ.パラメータ・タスク表
com.thortech.xl.dataobj.tcDAV	データ・オブジェクト.アダプタ変数
com.thortech.xl.dataobj.tcDVT	データ・オブジェクトに関連付けられたイベント・ハンドラ
com.thortech.xl.dataobj.tcEMD	電子メール定義
com.thortech.xl.dataobj.tcERR	エラー・メッセージ定義
com.thortech.xl.dataobj.tcEVT	イベント・ハンドラ
com.thortech.xl.dataobj.tcGPY	ユーザー・グループ.プロパティ
com.thortech.xl.dataobj.tcLKU	参照定義
com.thortech.xl.dataobj.tcLKV	参照用の参照値
com.thortech.xl.dataobj.tcOBA	リソース・オブジェクト認可者
com.thortech.xl.dataobj.tcODF	オブジェクトからプロセスへのデータ・フロー
com.thortech.xl.dataobj.tcODV	リソース・オブジェクト・イベント
com.thortech.xl.dataobj.tcOOD	リソース・オブジェクト.組織オブジェクトの依存性
com.thortech.xl.dataobj.tcOUD	リソース・オブジェクト.ユーザー・オブジェクトの依存性
com.thortech.xl.dataobj.tcPDF	プロセス統合.データ・フロー・マッピング
com.thortech.xl.dataobj.tcPKH	パッケージ階層
com.thortech.xl.dataobj.tcPOC	アクセス・ポリシー子表データ
com.thortech.xl.dataobj.tcPOF	ポリシー親データ
com.thortech.xl.dataobj.tcPOG	アクセス・ポリシーで定義されているユーザー・グループ
com.thortech.xl.dataobj.tcPOL	アクセス・ポリシー定義
com.thortech.xl.dataobj.tcPOP	アクセス・ポリシーの割当て済オブジェクト
com.thortech.xl.dataobj.tcPRF	プロセス・リコンシリエーション・フィールド・マッピング
com.thortech.xl.dataobj.tcPTY	システム構成
com.thortech.xl.dataobj.tcPWP	ポリシー・プロセス・ターゲット
com.thortech.xl.dataobj.tcPWR	パスワード・ポリシー
com.thortech.xl.dataobj.tcPWT	ポリシー・ユーザー・ターゲット
com.thortech.xl.dataobj.tcRAV	事前移入アダプタ・マッピング
com.thortech.xl.dataobj.tcRCA	リコンシリエーションが一致した組織
com.thortech.xl.dataobj.tcRCH	リコンシリエーション・イベントのアクション履歴
com.thortech.xl.dataobj.tcRCP	一致したリコンシリエーション・イベント・プロセス
com.thortech.xl.dataobj.tcRCU	一致したリコンシリエーション・イベント・ユーザー
com.thortech.xl.dataobj.tcRCX	リコンシリエーションの例外
com.thortech.xl.dataobj.tcRES	アダプタ・ファクトリ.リソース
com.thortech.xl.dataobj.tcRGP	グループ・メンバーシップ・ルール
com.thortech.xl.dataobj.tcRML	タスクの割当てルール
com.thortech.xl.dataobj.tcRPG	ユーザー・グループに関するレポート
com.thortech.xl.dataobj.tcRUL	ルール
com.thortech.xl.dataobj.tcRUE	ルール要素
com.thortech.xl.dataobj.tcSDC	システム・ユーザー定義フォームのユーザー定義列
com.thortech.xl.dataobj.tcSDH	ユーザー定義フォームの親子階層
com.thortech.xl.dataobj.tcSDL	フォーム定義バージョン・ラベル
com.thortech.xl.dataobj.tcSDP	フォーム定義プロパティ
com.thortech.xl.dataobj.tcSPD	ITリソース・タイプ・パラメータ定義
com.thortech.xl.dataobj.tcSRE	ユーザー定義列と事前移入アダプタの関連付け
com.thortech.xl.dataobj.tcSRS	ITリソース・リンク
com.thortech.xl.dataobj.tcSUG	ITリソース.管理者
com.thortech.xl.dataobj.tcSVD	ITリソース・タイプ定義
com.thortech.xl.dataobj.tcTDV	プロセス・イベント・ハンドラ
com.thortech.xl.dataobj.tcTLG	システム・ログ
com.thortech.xl.dataobj.tcTSA	スケジュール・タスク属性
com.thortech.xl.dataobj.tcTSK	スケジュール済タスク
com.thortech.xl.dataobj.tcUHD	ユーザー.オブジェクト.履歴の詳細
com.thortech.xl.dataobj.tcUPL	ユーザー定義フィールド参照
com.thortech.xl.dataobj.tcUPT	ユーザー定義フィールド値
com.thortech.xl.dataobj.tcUPY	システム構成.ユーザー
com.thortech.xl.dataobj.tcWIN	フォーム情報

管理グループ

これらのデータ・オブジェクトでは、Oracle Identity Manager管理およびユーザー・コンソールの「グループの詳細」リストにある「権限」で定義される権限は使用されません。これらは、管理者として定義された特定のグループの管理者の概念に従います。表10-2は、これらのデータ・オブジェクトとその権限をまとめたリストです。

表10-2    管理者グループのデータ・オブジェクト権限 

データ・オブジェクト・タイプ	エンティティ	権限
com.thortech.xl.dataobj.tcUSR	ユーザー	ユーザーに対する権限は、組織レベルで定義されます。あるグループを、読取り、書込みおよび削除の権限を持つ組織の管理者として定義した場合、そのグループに属するユーザーは、ユーザーの詳細の表示や変更、およびユーザーの削除を実行できます。
com.thortech.xl.dataobj.tcACT	組織	あるグループを組織の管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: 組織に属するユーザーの詳細の表示 組織タイプや組織の親組織などの、組織の詳細の表示 書込み権限を使用するアクション: 組織に属するユーザーの属性の更新 組織の属性の更新 組織からのユーザーの削除は不可 削除権限を使用するアクション: 組織に属するユーザーの削除 組織の削除 ユーザーの属性の更新は不可
com.thortech.xl.dataobj.tcUGP	ユーザー・グループ	あるグループを別のグループの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: グループ属性の表示 グループ・メンバーの表示 グループ・メンバーの追加または削除は不可 書込み権限を使用するアクション: グループ・メンバーの追加または削除 グループ・メンバー間での優先度の変更 グループ属性の更新 削除権限を使用するアクション: グループの削除
com.thortech.xl.dataobj.tcOBJ	リソース・オブジェクト	あるグループをリソースの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: リソース属性の表示 リソースがプロビジョニングされるユーザーまたは組織のリストの表示 管理者および認可者のリストの表示 リソース監査目的の表示 書込み権限を使用するアクション: リソース属性の更新 リソース管理者の割当てまたは削除、およびその権限の更新 リソース認可者の割当てまたは削除、およびその優先度の更新は不可 リソース監査目的の追加は不可 削除権限を使用するアクション: リソースの削除は不可
com.thortech.xl.dataobj.tcAPD	アテステーション・プロセス定義	あるグループをアテステーション・プロセスの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: アテステーション・プロセス定義の表示 管理者および実行履歴の表示 書込み権限を使用するアクション: アテステーション・プロセス定義の更新 管理者の割当てまたは削除、およびその権限の更新は不可 アテステーション・プロセス定義の無効化/有効化は可能 削除権限を使用するアクション: アテステーション・プロセスの削除
com.thortech.xl.dataobj.tcQUE	管理キュー	あるグループを管理キューの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: 管理キュー定義の表示または読取り 書込み権限を使用するアクション: キュー定義の更新 キュー・メンバーの追加または削除 管理者およびその権限の追加または更新 削除権限を使用するアクション: キューの削除は不可
com.thortech.xl.dataobj.tcTOS	プロセス定義	あるグループをプロセス定義の管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: ワークフロー・プロセスの表示 書込み権限を使用するアクション: ワークフロー定義の更新 ワークフロー定義におけるタスクの追加、変更または削除 管理者の更新または削除 ワークフロー定義の削除はサポートされていません。
com.thortech.xl.dataobj.tcSDK	フォーム・デザイナ	あるグループをフォームの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: ある定義に基づいて定義されたユーザーの読取りまたは表示 書込み権限を使用するアクション: フォーム定義属性の更新 新規バージョンの追加 管理者およびその権限の更新または削除 新規フィールドのフォームへの追加は不可 既存のフィールド・プロパティの追加または更新は不可 事前移入アダプタのフィールドへの追加は不可 ユーザー定義フォームの削除はサポートされていません。
com.thortech.xl.dataobj.tcSVR	ITリソース	あるグループをITリソースの管理者として定義した場合、そのグループに属するユーザーは、割り当てられた権限に基づいて次のアクションを実行できます。 読取り権限を使用するアクション: パラメータを含むITリソース詳細の読取りまたは表示 書込み権限を使用するアクション: ITリソース定義およびパラメータの更新 管理者およびその権限の追加または更新は不可 削除権限を使用するアクション: ITリソース・インスタンスの削除

あるグループを、読取り、書込み、および削除の権限を持つ表10-2のエンティティのいずれかの管理者として定義した場合、そのグループに属するユーザーは、エンティティ詳細の表示、エンティティ詳細の変更、またはエンティティの削除が行えます。

あるユーザーによって表10-2にリストされているデータ・オブジェクト・タイプのエンティティが作成された場合は常に、そのユーザーが属するグループが、読取り、書込みおよび削除の権限を持つ、新規に作成されたエンティティの管理者として自動的に定義されます。

たとえば、グループ1およびグループ2に属するユーザー1が、com.thortech.xl.dataobj.tcACTタイプのエンティティ（組織）を作成したとします。グループ1およびグループ2は、読取り、書込みおよび削除の権限を持つ、新規に作成された組織の管理者として自動的に定義されます。

明示的な権限が不要なデータ・オブジェクト

明示的な権限が必要ないデータ・オブジェクトとは、強制される権限がないか、または単に親データ・オブジェクトの権限に従うことから、権限を定義する必要のないデータ・オブジェクトです。親データ・オブジェクト権限が使用されるデータ・オブジェクトに対しては、親データ・オブジェクトに対する更新の権限を持つグループは、その子データ・オブジェクトに対しても挿入、更新および削除の権限を持つという単純な原則に従います。表10-3に、これらのデータ・オブジェクトとそのエンティティの一覧を示します。

表10-3    明示的な権限が不要なデータ・オブジェクト 

データ・オブジェクト	説明	権限のタイプ
Com.thortech.xl.dataobj.tcMEV	タスク・ステータスを基に定義されている電子メール定義	親（TOS）権限に従う。
Com.thortech.xl.dataobj.tcMIL	プロセス・タスク定義	親（TOS）権限に従う。
Com.thortech.xl.dataobj.tcRSC	プロセス・タスクのレスポンス・コード	親（TOS）権限に従う。
Com.thortech.xl.dataobj.tcUNM	取消しマイルストン	親（TOS）権限に従う。
Com.thortech.xl.dataobj.tcRPC	リコンシリエーションが一致したプロセスの子表	権限チェックなし。常にtrueが戻される。
Com.thortech.xl.dataobj.tcAAD	組織.管理者	親データ・オブジェクト（ACT）権限に従う。
Com.thortech.xl.dataobj.tcRCE	リコンシリエーション・イベント	権限チェックなし。常にtrueが戻される。
Com.thortech.xl.dataobj.tcPCQ	ユーザーの質問	権限チェックなし。常にtrueが戻される。
Com.thortech.xl.dataobj.tcUSG	グループに属するユーザー	親データ・オブジェクト（UGP）権限に従う。
com.thortech.xl.dataobj.tcGPP	グループ管理者	親データ・オブジェクト（UGP）権限に従う。
com.thortech.xl.dataobj.tcUWP	ユーザー・グループ.ナビゲーション・ツリーのレイアウト	親データ・オブジェクト（UGP）権限に従う。
com.thortech.xl.dataobj.tcFUG	ユーザー定義フィールドの定義.管理者	親データ・オブジェクト（SDK）権限に従う。
com.thortech.xl.dataobj.tcMAV	プロセス・データ.マイルストン.アダプタ変数	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcAtomicProcess	プロセス定義	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcATR	アテステーション・リクエスト	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcEIF	ファイルのエクスポート/インポート履歴	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcCIH	コネクタのインストール履歴	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcORR	リコンシリエーション・アクション・ルール	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcRRE	リコンシリエーション.ユーザー一致要素	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcRPW	リソースに対するパスワード・ポリシー・ルール	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcOBD	リソース・オブジェクトの依存性	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcACP	許可済オブジェクト	親データ・オブジェクト（ACT）権限に従う。
com.thortech.xl.dataobj.tcRCM	リコンシリエーション・データの複数値	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcATD	アテステーション・タスク・データ	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcOST	リソースに対して定義されたステータス	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcEIS	エクスポート/インポート履歴置換	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcAPT	アテステーション・タスク	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcGCD	汎用コネクタ定義	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcDEP	プロセス・タスクの依存性	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcROP	プロセス決定ルール	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcGPG	サブグループ	親データ・オブジェクト（UGP）権限に従う。
com.thortech.xl.dataobj.tcSEL	ユーザー・グループ.設定権限	親データ・オブジェクト（UGP）権限に従う。
com.thortech.xl.dataobj.tcQUM	キュー・メンバー	親データ・オブジェクト（QUE）権限に従う。
com.thortech.xl.dataobj.tcQUG	キュー管理者	親データ・オブジェクト（QUE）権限に従う。
com.thortech.xl.dataobj.tcMSG	マイルストン.ステータス.ユーザー・グループ	このデータ・オブジェクトは廃止予定である。
com.thortech.xl.dataobj.tcPUG	プロセス統合.管理者	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcOUD	リソース・オブジェクト.ユーザー・オブジェクトの依存性	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcRQE	リクエスト・キュー	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcRVM	リカバリ・マイルストン	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcOUG	リソース・オブジェクト.管理者	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcMST	プロセス定義.タスク.オブジェクト・ステータス	親（TOS）権限に従う。
com.thortech.xl.dataobj.tcRRT	リコンシリエーション.ユーザー一致ルール要素のプロパティ	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcSVP	ITリソース・プロパティ表	親（SVR）権限に従う。
com.thortech.xl.dataobj.tcORF	リソース・オブジェクト.オブジェクト・リコンシリエーション・フィールド	親（OBJ）権限に従う。
com.thortech.xl.dataobj.tcRCD	リコンシリエーション・イベント・データ	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcEIO	オブジェクトのエクスポートとインポート	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcRRL	リコンシリエーション・ルール	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcRQC	リクエスト.リクエストのコメント	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcRCB	リコンシリエーション・イベント.未処理データ	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcPXD	プロキシ定義	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcEIH	履歴のエクスポートとインポート	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcMAP	マップ情報	マップは現在使用されていない。
com.thortech.xl.dataobj.tcORC	プロセスの詳細	すべてのユーザー・グループに権限が付与される。
com.thortech.xl.dataobj.tcSTA	プロセス・タスク・ステータス定義	タスクに対するカスタム・ステータスの定義は不可。
com.thortech.xl.dataobj. tcScheduleItem	プロセス・タスク・インスタンス	すべてのユーザー・グループに権限が付与される。
com.thortech.xl.dataobj.tcSCH	タスク・インスタンス情報	すべてのユーザー・グループに権限が付与される。
com.thortech.xl.dataobj.tcOIO	リクエスト.組織のオブジェクト・インスタンス	ユーザーはこれらのエンティティを直接作成できない。
com.thortech.xl.dataobj.tcOIU	リクエスト.ユーザーのオブジェクト・インスタンス	ユーザーはこれらのエンティティを直接作成できない。
com.thortech.xl.dataobj.tcOBI	リクエスト.オブジェクト・インスタンス	ユーザーはこれらのエンティティを直接作成できない。
Com.thortech.xl.dataobj.tcREQ	リクエスト	挿入に関する権限チェックなし。更新および削除の権限についてはユーザーとリクエストとの関係に基づいて判断される。
com.thortech.xl.dataobj. tcRequestObject	リクエスト・オブジェクト	権限チェックなし。常にtrueが戻される。
com.thortech.xl.dataobj.tcDOB	データ・オブジェクト	OIMユーザーによるデータ・オブジェクトの作成なし。
Thor.CarrierBase.tcACN	連絡先.組織情報	現在は使用されていない。
Thor.CarrierBase.tcAFM	アダプタ・ファクトリ.フォーム	現在は使用されていない。
Thor.CarrierBase.tcAHY	組織.親-子	現在は使用されていない。
Thor.CarrierBase.tcCCG	連絡先.組織グループ	現在は使用されていない。
Thor.CarrierBase.tcESD	構造ユーティリティ.暗号化された列	データ定義用に公開されているUIまたはAPIなし。
Thor.CarrierBase.tcGSC	連絡先.スケジュール項目	現在は使用されていない。
Thor.CarrierBase.tcGSI	スケジュール項目.ユーザー・グループ	現在は使用されていない。
Thor.CarrierBase.tcPGP	プロセス統合.リクエスト権限	現在は使用されていない。
Thor.CarrierBase.tcUDF	ユーザー定義フィールドの定義	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcAOA	アダプタ・ファクトリ.オープン・アダプタ	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcOrganizationContact	組織.連絡先情報	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcRPT	レポート定義	現在は使用されていない。
com.thortech.xl.dataobj.tcRPP	レポート・パラメータ	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcUSC	タスク・インスタンス.連絡先情報	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcUserScheduleItem	ユーザー・タスク	現在は使用されていない。
com.thortech.xl.orb.dataobj.tcUSI	ユーザー.ユーザー定義タスク	現在は使用されていない。
com.thortech.xl.orb.dataobj. tcUSK	電子メール通知.USI.連絡先	現在は使用されていない。
com.thortech.xl.dataobj.tcAAG	ユーザー・グループ.組織のメンバー	現在は使用されていない。
com.thortech.xl.dataobj.tcORD	順序	現在は使用されていない。
com.thortech.xl.dataobj.tcRLO	外部JARファイル・ディレクトリ	現在は使用されていない。
com.thortech.xl.dataobj.tcAGS	組織.連絡先グループ	現在は使用されていない。
com.thortech.xl.dataobj.tcATS	組織.組織ごとのサービス	現在は使用されていない。
com.thortech.xl.dataobj.tcSGK	システム・ジェネレータのキー値	現在は使用されていない。
com.thortech.xl.dataobj.tcSRP	サービス率の計画	現在は使用されていない。
com.thortech.xl.dataobj.tcSRS	サービス率の計画	現在は使用されていない。
com.thortech.xl.dataobj.tcUDP	ユーザー定義フィールド	現在は使用されていない。
com.thortech.xl.dataobj.tcUPD	ユーザー.オブジェクト.ポリシーの詳細	ユーザーはこれらのエンティティを直接作成できない。
com.thortech.xl.dataobj.tcUPP	ユーザー.オブジェクト.ポリシー・プロファイル	ユーザーはこれらのエンティティを直接作成できない。
com.thortech.xl.dataobj.tcUPH	ユーザー.オブジェクト.ポリシーの履歴	ユーザーはこれらのエンティティを直接作成できない。
com.thortech.xl.dataobj.tcRQU	リクエスト・オブジェクト・ターゲット・ユーザー情報	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRQA	リクエスト・ターゲット組織情報	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRQO	リクエスト・オブジェクト情報	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRIO	リクエスト組織解決済オブジェクト・インスタンス	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRIU	リクエスト・ユーザー解決済オブジェクト・インスタンス	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRQY	解決が必要なリクエスト組織	関連するリクエスト権限に従う。
com.thortech.xl.dataobj.tcRQZ	解決が必要なリクエスト・ユーザー	関連するリクエスト権限に従う。
com.thortech.xl.dataobj. tcUserProvisionObject	ユーザー・プロビジョニング・オブジェクト	親（OBJ）権限に従う。
com.thortech.xl.dataobj. tcOrgProvisionObject	組織プロビジョニング・オブジェクト	親（OBJ）権限に従う。
Com.thortech.xl.dataobj.tcMEV	タスク・ステータスを基に定義されている電子メール定義	親（TOS）権限に従う。

Oracle Identity Managerでは、データ・オブジェクトまたはファイングレイン権限をグループに割り当てる際、次のような権限モデルが使用されます。

• 挿入/更新/削除オプションが指定されていないユーザーにデータ・オブジェクトを割り当てるとエラーが発生します。

• ログイン中のユーザーが、たとえば挿入および更新の権限を持つグループにデータ・オブジェクトを割り当てるには、そのデータ・オブジェクトに対して挿入および更新の権限を持っている必要があります。

• ログイン中のユーザーがグループに対するなんらかのデータ権限（挿入/更新/削除）を変更するには、そのデータ・オブジェクトに対してそれと同じ権限を持っている必要があります。

• ログイン中のユーザーがグループからデータ・オブジェクト権限を削除するには、そのデータ・オブジェクトに対して挿入および更新の権限を持っている必要があります。

• ログイン中のユーザーがデータ・オブジェクト権限を更新したことにより、データ・オブジェクトに対する権限がなくなった場合、そのエントリはグループから自動的に削除されます。

メニュー項目とグループ権限

Oracle Identity Managerを使用すると、フォームおよびメニュー項目のレベルで権限を割り当てることもできます。フォーム・レベルの権限は、Design Consoleで割り当てられ、メニュー項目レベルの権限は、管理およびユーザー・コンソールで割り当てられます。ただし、フォームまたはメニュー項目の権限を割り当てても、ユーザーにはフォームまたはメニュー項目に関連付けられているエンティティへのアクセス権が自動的に付与されません（「ユーザーの管理メニュー項目」に権限を付与する場合など）。

そのユーザーがログインすると、そのメニュー項目が表示されます。また、ユーザーを検索する場合、ある特定のグループに属するユーザーを表示するための権限が割り当てられていないと、検索結果を取得できない場合があります。この権限は、管理およびユーザー・コンソールで定義できます。ユーザーがメニュー項目またはグループ権限の割当てや削除を行うには、それに対応するメニュー項目またはグループ権限が、そのユーザーが属しているいずれかのグループに割り当てられていることが必要です。

許可されたレポート

グループ・メンバーが実行を許可されているレポートを一覧表示し、このグループに対してレポートを選択することができます。

グループのレポート権限に関連する操作を行うには、次の手順を実行します。

1. 「ユーザー・グループの検索」の説明に従ってグループを検索し、結果表でグループの名前をクリックします。

   「グループの詳細」ページが表示されます。

2. 追加詳細ボックスで「許可されたレポート」を選択します。

   「レポート」ページが表示されます。

3. ユーザーに新しいレポートへのアクセス権を付与するには、「レポートの割当て」をクリックします。

   「レポートの割当て」ページが表示されます。このページには、使用できるレポートの名前とタイプが表示されます。

4. レポートに対応するオプションを選択し、「割当て」をクリックするか、「取消」をクリックします。

   「確認」ページが表示されます。

5. レポートを割り当てるには、「割当ての確認」をクリックします。

   「レポート」ページが表示されます。

6. レポートを削除するには、そのレポートに対応するオプションを選択し、「削除」をクリックします。