認証のスコープ指定
「セキュリティ割当」リージョンでの作業が終了すると、「スコープ指定フィルタ」リージョンがアクティブになります。それを使用して、ユーザーへの割当てをレビューするロールを選択するフィルタを作成します。
新規認証では、最初はページにフィルタが含まれていません。以前の定義を再利用する認証の場合、ページには、その定義から継承したスコープ指定フィルタが表示されます。
割当て可能なロール(ジョブ、データ、要約およびユーザーに直接割り当てることができるその他のロール)のみをスコープ設定できます。スコープ指定フィルタでは、その割当て可能ロールのロール階層に含まれる、ユーザーに間接的にのみ使用できるロール(事前定義済の職務ロールなど)は、返されません。
スコープ指定フィルタには、次の3つのタイプを作成できます。
-
アクセス・ポイント・フィルタ: アクセス・ポイントは、任意のタイプの権限またはロールです。アクセス・ポイント・フィルタは、これらのアイテムのいずれかを指定し、フィルタによって直接指定された割当て可能ロール、またはフィルタによって指定されたアクセス・ポイントの階層の親である割当て可能ロールのいずれかを返すことができます。
標準認証では、フィルタはユーザーに割り当てられているロールのみを返します。連続認証の場合、フィルタは割当て済と未割当ての両方のロールを返すため、認証の開始後にユーザーに割り当てられる可能性のあるロールのスコープを設定できます。
-
資格/権利フィルタ: 資格/権利とは、関連するアクセス・ポイントのセットです。資格/権利フィルタは、資格/権利に含まれている割当て可能なロール、または資格/権利に含まれるアクセス・ポイントの階層の親である場合があります。ここでも、標準認証では、フィルタは割り当てられたロールのみを返しますが、連続認証の場合は、割り当てられたロールと未割当てのロールの両方を返します。
-
条件フィルタ: このフィルタ・タイプは、ロール・レコードのプールから選択します。ただし、このフィルタ・タイプの効果は、基本的には排他的です。開始時のレコードのプールから、条件フィルタによって、選択されていないレコードがすべて削除されます。
使用するフィルタ・タイプは、トップダウン・スコープ指定を選ぶかボトムアップ・スコープ指定を選ぶかに応じて異なります。
-
トップダウンのスコープ指定ジョブの場合、考慮するすべてのロールから始めます。連続認証では、これは文字どおりすべての割当て可能なロールを意味します。標準認証では、これは、ユーザーに割り当てられたすべてのロールを意味します。このため、ロールを選択するために、アクセス・ポイント・フィルタまたは資格/権利フィルタを使用する必要はありません。不要なロールを除外するために、条件フィルタのみを作成できます。
-
ボトムアップ・スコープ指定ジョブでは、ロールが選択されていない状態から始めます。このため、単一のアクセス・ポイント・フィルタまたは単一の資格/権利フィルタを作成して、割当て可能なロール・レコードのプールを作成します。その後、このプールからロールを除外する条件フィルタを作成できます。
「トップ・ダウン・スコープ指定アプローチの活用」というラベルのチェック・ボックスがデフォルトで選択されています。選択したままにしてトップダウン・スコープ指定を実装するか、選択を解除してボトムアップ・スコープ指定を実装します。次に、スコープ指定ジョブに必要なフィルタを作成します。
終了したら、「発行」ボタンをクリックします。これにより、アクセス認証のホーム・ページにフォーカスが戻ります。また、スコープ指定ジョブも開始されます。そのジョブのステータスを確認したり、「ジョブのモニター」タブをクリックして「ジョブのモニター」ページを開きます。ジョブが正常に完了すると、認証のステータスが「確定中」に更新され、「処理」メニューに「ロールの確定」オプションが表示されます。