目次    

ロール

ロールは Directory Server のエントリメカニズムで、グループの概念と類似しています。グループにもメンバーがあるように、ロールにもメンバーがあります。ロールのメンバーは、ロールを所有する LDAP エントリです。ロール自体の基準は、複数の属性によって LDAP エントリとして定義され、エントリの識別名 (DN) 属性によって識別されます。Directory Server にはさまざまなタイプの多数のロールが存在しますが、Access Manager によって管理されるロールはそのうちの 1 つである管理ロールだけです。

Access Manager はロールを使用して、アクセス制御命令 (ACI) を適用します。最初のインストール時に、Access Manager は、管理者権限を定義する ACI を設定します。これらの ACI は、次に、ユーザーに割り当てられたときにユーザーのアクセス権を定義するロール (組織管理者ロールや組織ヘルプデスク管理者ロールなど) 内で指定されます。

ユーザーが割り当てられたロールを表示できるのは、ユーザーのロールを表示属性が管理サービス内で有効になっている場合のみです。

このセクションには次のトピックがあります。

スタティックロールの作成

スタティックロールは、ロールの作成時にユーザーを追加せずに作成できます。これによって、特定のユーザーを所定のロールに追加する際に詳細な制御が可能になります。

  1. ナビゲーション区画で、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。
  3. 組織の設定時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。

    これらのロールの説明は、『Access Manager 管理ガイド』の第 3 部の「ダイナミック管理ロール ACI」を参照してください。

  4. ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
  5. スタティックロールを選択し、名前を入力します。「次へ」をクリックします。
  6. ロールの説明を入力します。
  7. 「タイプ」メニューからロールのタイプを選択します。
  8. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Access Manager コンソールでどこからユーザーを開始するかを、コンソールが決定するために使用されます。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  9. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
  10. これは、組織内のエントリへのアクセスを提供する権限です。これらは、『Access Manager 管理ガイド』の第 4 部の「デフォルトロールアクセス権 (ACI)」で説明されています (ここで示すデフォルトの権限は順不同)。

    一般に、アクセス権なしの ACI はサービスロールに割り当てられますが、管理者ロールにはデフォルトの ACI のいずれかが割り当てられます。

  11. 「了解」をクリックします。
  12. 作成されたロールがナビゲーション区画に表示され、ロールのステータス情報がデータ区画に表示されます。

    必要に応じて「表示オプション」と「利用可能なアクション」を「表示」メニューで選択し、設定することができます。

フィルタロールの作成

フィルタロールは、LDAP フィルタを使用して作成したダイナミックなロールです。すべてのユーザーはフィルタによって選別され、ロールの作成時にロールに割り当てられます。フィルタはエントリ内のすべての属性値のペア (たとえば、ca=user*) を検索し、その属性を含むユーザーを自動的にロールに割り当てます。

  1. ナビゲーション区画で、ロールを作成する組織に移動します。
  2. 「表示」メニューから「ロール」を選択します。
  3. 組織の設定時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。

    これらのロールの説明については、『Access Manager 管理ガイド』の第 4 部の「ダイナミック管理ロール ACI」 を参照してください。

  4. ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
  5. フィルタロールを選択し、名前を入力します。「次へ」をクリックします。
  6. ロールの説明を入力します。
  7. 「タイプ」メニューからロールのタイプを選択します。
  8. ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Access Manager コンソールでどこからユーザーを開始するかを、コンソールが決定するために使用されます。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。

  9. 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
  10. これは、組織内のエントリへのアクセスを提供する権限です。これらは、『Access Manager 管理ガイド』の第 4 部の「デフォルトロールアクセス権 (ACI)」 で説明されています (ここで示すデフォルトの権限は順不同)。

    一般に、アクセス権なしの ACI はサービスロールに割り当てられますが、管理者ロールにはデフォルトの ACI のいずれかが割り当てられます。

  11. 検索条件となる情報を入力します。フィールドは次のとおりです。
  12. 一致 : フィルタに含めたい任意のフィールドに対して演算子を含ませることができます。「すべて」は、指定されたフィールドをすべてユーザーに返します。「いずれか」は、指定されたフィールドのどれか 1 つをユーザーに返します。

    名 : 名によってユーザーを検索します。

    ユーザー状態 : 状態 (「アクティブ」または「非アクティブ」) によってユーザーを検索します。

    ユーザー ID : ユーザー ID によってユーザーを検索します。

    姓 : 姓によってユーザーを検索します。

    フルネーム : フルネームによってユーザーを検索します。

    または、「高度」ボタンを選択してユーザー独自のフィルタ属性を定義することもできます。例を示します。

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    フィルタが空白のままの場合、デフォルトでは、次のロールが作成されます。

    (objectclass = inetorgperson)

    「リセット」をクリックしてフィルタのプロパティをクリアするか、「キャンセル」をクリックしてロール作成処理を終了します。

  13. 「了解」をクリックし、フィルタ条件にもとづいて検索を開始します。フィルタ条件によって定義されたユーザーは、自動的にロールに割り当てられます。
  14. 必要に応じて「表示オプション」と「利用可能なアクション」を「表示」メニューで選択し、設定することができます。


    ロールプロファイルページまたはユーザープロファイルページ、あるいはその両方を使用して、ユーザーをスタティックロールに追加できます。


ロールの削除

  1. 削除するロールを含む組織に移動します。
  2. アイデンティティ管理で「表示」メニューから「組織」を選択して、ナビゲーション区画から組織を選択します。デフォルトの最上位組織と選択した組織がロケーションパスに表示されます。
  3. 「表示」メニューから「ロール」を選択します。
  4. ロール名の横にあるチェックボックスを選択します。
  5. 「削除」をクリックします。

ポリシーへのロールの追加

Access Manager オブジェクトは、ポリシーのサブジェクト定義を使用してポリシーに追加されます。ポリシーを作成または修正する場合、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、およびユーザーをサブジェクトとして定義することができます。サブジェクトが定義されたら、ポリシーがオブジェクトに適用されます。


目次