認可の管理

ユーザーが認証された後のPublisherリソースへのアクセスは権限(認可)により制御されます。

ポリシー・ストアには、Publisherに必要な、システムやアプリケーションに固有のポリシーとロールが含まれます。ポリシー・ストアは、ファイルベースであってもLDAPベースであっても問題はなく、Publisherのデフォルトのアプリケーション・ロール、権限、ユーザーおよびグループ間のマッピング定義を保持します。Publisherの権限は、アイデンティティ・ストアのユーザーとグループをポリシー・ストア内のアプリケーション・ロールや権限付与とマッピングすることにより付与されます。ユーザーやグループ(アイデンティティ・ストア)とアプリケーション・ロール(ポリシー・ストア)との間のこれらマッピング定義は、ポリシー・ストアにも保存されます。

ノート:

ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。グループのメンバーシップを制御することで、複数のユーザーのアクセス権を個々に追跡する場合の複雑さを軽減できます。グループ・メンバーシップは、アイデンティティ・ストアで制御されます。

system-jazn-data.xmlファイルは、デフォルトのポリシー・ストアとしてインストールおよび構成されます。デフォルトのストアを使用し続け、環境に応じて必要な変更を加えることも、データをLDAPベースのプロバイダに移行することもできます。

環境内のポリシー・ストアと資格証明ストアは、同じタイプのものである必要があります。つまり、どちらもファイルベースであるか、LDAPベースである必要があります。

権限は、Publisherが認識可能な方法で定義される必要があります。有効なPublisherの権限はすべて、アプリケーション・ポリシーに事前マップされており、そこからさらにデフォルトのアプリケーション・ロールに事前マップされています。ポリシー・ストアに新しい権限を作成することはできません。ただし、デフォルトのアプリケーション・ポリシーの権限付与やアプリケーション・ロールのマッピングをカスタマイズしたり、独自のものを作成することはできます。

デフォルトのPublisherの権限付与の詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。アプリケーション・ロールと権限付与のカスタマイズの詳細は、「ポリシー・ストアのカスタマイズ」を参照してください。