目次
|
ロール
ロールは Directory Server のエントリメカニズムで、グループの概念と類似しています。グループにもメンバーがあるように、ロールにもメンバーがあります。ロールのメンバーは、ロールを所有する LDAP エントリです。ロール自体の基準は、複数の属性によって LDAP エントリとして定義され、エントリの識別名 (DN) 属性によって識別されます。Directory Server にはさまざまなタイプの多数のロールが存在しますが、Access Manager によって管理されるロールはそのうちの 1 つである管理ロールだけです。
Access Manager はロールを使用して、アクセス制御命令 (ACI) を適用します。最初のインストール時に、Access Manager は、管理者権限を定義する ACI を設定します。これらの ACI は、次に、ユーザーに割り当てられたときにユーザーのアクセス権を定義するロール (組織管理者ロールや組織ヘルプデスク管理者ロールなど) 内で指定されます。
ユーザーが割り当てられたロールを表示できるのは、ユーザーのロールを表示属性が管理サービス内で有効になっている場合のみです。
このセクションには次のトピックがあります。
スタティックロールの作成
スタティックロールは、ロールの作成時にユーザーを追加せずに作成できます。これによって、特定のユーザーを所定のロールに追加する際に詳細な制御が可能になります。
- ナビゲーション区画で、ロールを作成する組織に移動します。
- 「表示」メニューから「ロール」を選択します。
組織の設定時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。
これらのロールの説明は、『Access Manager 管理ガイド』の第 3 部の「ダイナミック管理ロール ACI」を参照してください。
- ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
- スタティックロールを選択し、名前を入力します。「次へ」をクリックします。
- ロールの説明を入力します。
- 「タイプ」メニューからロールのタイプを選択します。
ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Access Manager コンソールでどこからユーザーを開始するかを、コンソールが決定するために使用されます。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。
- 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
これは、組織内のエントリへのアクセスを提供する権限です。これらは、『Access Manager 管理ガイド』の第 4 部の「デフォルトロールアクセス権 (ACI)」で説明されています (ここで示すデフォルトの権限は順不同)。
一般に、アクセス権なしの ACI はサービスロールに割り当てられますが、管理者ロールにはデフォルトの ACI のいずれかが割り当てられます。
- 「了解」をクリックします。
作成されたロールがナビゲーション区画に表示され、ロールのステータス情報がデータ区画に表示されます。
必要に応じて「表示オプション」と「利用可能なアクション」を「表示」メニューで選択し、設定することができます。
フィルタロールの作成
フィルタロールは、LDAP フィルタを使用して作成したダイナミックなロールです。すべてのユーザーはフィルタによって選別され、ロールの作成時にロールに割り当てられます。フィルタはエントリ内のすべての属性値のペア (たとえば、ca=user*) を検索し、その属性を含むユーザーを自動的にロールに割り当てます。
- ナビゲーション区画で、ロールを作成する組織に移動します。
- 「表示」メニューから「ロール」を選択します。
組織の設定時にデフォルトのロールが作成され、ナビゲーション区画に表示されます。
これらのロールの説明については、『Access Manager 管理ガイド』の第 4 部の「ダイナミック管理ロール ACI」 を参照してください。
- ナビゲーション区画で「新規」をクリックします。「新規ロール」テンプレートがデータ区画に表示されます。
- フィルタロールを選択し、名前を入力します。「次へ」をクリックします。
- ロールの説明を入力します。
- 「タイプ」メニューからロールのタイプを選択します。
ロールは、管理者ロールまたはサービスロールにすることができます。ロールのタイプは、Access Manager コンソールでどこからユーザーを開始するかを、コンソールが決定するために使用されます。管理者ロールは、ロールの所有者が管理者権限を持っていることをコンソールに通知します。サービスロールは、その所有者がエンドユーザーであることをコンソールに通知します。
- 「アクセス権」メニューから、ロールに適用する権限のデフォルトセットを選択します。
これは、組織内のエントリへのアクセスを提供する権限です。これらは、『Access Manager 管理ガイド』の第 4 部の「デフォルトロールアクセス権 (ACI)」 で説明されています (ここで示すデフォルトの権限は順不同)。
一般に、アクセス権なしの ACI はサービスロールに割り当てられますが、管理者ロールにはデフォルトの ACI のいずれかが割り当てられます。
- 検索条件となる情報を入力します。フィールドは次のとおりです。
一致 : フィルタに含めたい任意のフィールドに対して演算子を含ませることができます。「すべて」は、指定されたフィールドをすべてユーザーに返します。「いずれか」は、指定されたフィールドのどれか 1 つをユーザーに返します。
名 : 名によってユーザーを検索します。
ユーザー状態 : 状態 (「アクティブ」または「非アクティブ」) によってユーザーを検索します。
ユーザー ID : ユーザー ID によってユーザーを検索します。
姓 : 姓によってユーザーを検索します。
フルネーム : フルネームによってユーザーを検索します。
または、「高度」ボタンを選択してユーザー独自のフィルタ属性を定義することもできます。例を示します。
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
フィルタが空白のままの場合、デフォルトでは、次のロールが作成されます。
(objectclass = inetorgperson)
「リセット」をクリックしてフィルタのプロパティをクリアするか、「キャンセル」をクリックしてロール作成処理を終了します。
- 「了解」をクリックし、フィルタ条件にもとづいて検索を開始します。フィルタ条件によって定義されたユーザーは、自動的にロールに割り当てられます。
必要に応じて「表示オプション」と「利用可能なアクション」を「表示」メニューで選択し、設定することができます。
ロールの削除
ポリシーへのロールの追加
Access Manager オブジェクトは、ポリシーのサブジェクト定義を使用してポリシーに追加されます。ポリシーを作成または修正する場合、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、およびユーザーをサブジェクトとして定義することができます。サブジェクトが定義されたら、ポリシーがオブジェクトに適用されます。
目次 |