目次
|
グループ
グループは、共通の機能、特徴、または関心事を持つユーザーの集まりを表しています。通常、このグループには関連付けられた権限はありません。グループは、組織内、および管理されているほかのグループ内という、2 つのレベルに存在します。他のグループ内に存在するグループは、サブグループと呼ばれます。サブグループは、親グループ内に物理的に存在する子ノードです。
Access Manager は、単一のグループに含まれる既存のグループを表す入れ子グループもサポートしています。サブグループとは異なり、入れ子グループは DIT のどこにでも存在可能です。入れ子グループを使用することで、多数のユーザーに対してアクセス権を迅速に設定できます。
グループを作成するときに、加入 (スタティックグループ) によるメンバーシップまたは フィルタ (フィルタを適用したグループ) 別のメンバーシップを使用するグループを作成できます。これにより、ユーザーをグループに追加する方法を制御できます。ユーザーが追加できるのはスタティックグループだけです。ダイナミックグループはフィルタを通じてユーザーの追加を制御します。ただし、入れ子またはサブグループはどちらにも追加できます。
このセクションには次のトピックがあります。
スタティックグループの作成
- グループを作成する組織、グループ、またはグループコンテナに移動します。
- 「表示」メニューから「グループ」を選択します。
- 「新規」をクリックします。
- データ区画内のグループタイプの「加入によるメンバーシップ」を選択します。
- 「名前」フィールドにグループの名前を入力します。「次へ」をクリックします。
- 「ユーザーのグループ加入を有効」属性を選択すると、ユーザーが自分でそのグループに加入できるようになります。
- DIT に複数のグループコンテナを定義しており、グループコンテナを表示属性 (管理サービスから) を有効にしていない場合は、スタティックグループが属する親グループコンテナを選択できます。そうでない場合は、このフィールドは表示されません。
- 「了解」をクリックします。
グループを作成したら、データ区画の「表示」メニューから「一般」を選択して、このグループに対してする「ユーザーのグループ加入を有効」を編集できます。
スタティックグループへのメンバーの追加または削除
- メンバーを追加するグループの横の「プロパティ」矢印をクリックします。
- データ区画で、「表示」メニューからメンバーを選択します。
「アクション」メニューで実行するアクションを選択します。実行できるアクションは次のとおりです。
新規ユーザー : 新規ユーザーを作成し、ユーザー情報が保存されたときにそのユーザーを自動的にグループに追加します。
ユーザーを追加 : 既存のユーザーをグループに追加します。このアクションを選択するときに、追加するユーザーを指定する検索条件を作成します。基準を作成するフィールドでは、「いずれか」または「すべて」演算子を使用します。「すべて」は、指定されたフィールドをすべてユーザーに返します。「いずれか」は、指定されたフィールドのどれか 1 つをユーザーに返します。フィールドを空白のままにすると、そのフィールドはその特定の属性に対して可能なすべてのエントリと一致します。
検索条件を作成し、「次へ」をクリックします。ユーザーの一覧が表示されたら、追加するユーザーを選択し、「了解」をクリックします。
グループを追加 : このアクションは、入れ子グループを現在のグループに追加します。このアクションを選択したら、検索範囲、グループの名前 ("*" ワイルドカードの使用可能) を含む検索条件を作成し、ユーザーをグループに登録できるかどうかを指定できます。情報を入力したら、「次へ」をクリックします。グループの一覧が表示されたら、追加するグループを選択し、「了解」をクリックします。
メンバーを消去 : ユーザーとグループを含め、メンバーをグループから消去します。ただし、メンバーは削除されません。消去するメンバーを選択し、「利用可能なアクション」リストから「メンバーを消去」を選択します。
メンバーを削除 : 選択したメンバーを完全に削除します。削除するメンバーを選択し、「利用可能なアクション」リストから「メンバーを削除」を選択します。
フィルタを適用したグループの作成
- グループを作成する組織またはグループに移動します。
- 「表示」メニューから「グループ」を選択します。
- 「新規」をクリックします。
- データ区画内のグループタイプの「フィルタによるメンバーシップ」を選択します。
- 「名前」フィールドにグループの名前を入力します。「次へ」をクリックします。
- LDAP 検索フィルタを作成します。
Access Manager では、デフォルトで基本検索フィルタインタフェースが表示されます。フィルタの作成に使用する基本フィールドでは、「いずれか」または「すべて」演算子を使用します。「すべて」は、指定されたフィールドをすべてユーザーに返します。「いずれか」は、指定されたフィールドのどれか 1 つをユーザーに返します。フィールドを空白のままにすると、そのフィールドはその特定の属性に対して可能なすべてのエントリと一致します。
または、「高度」ボタンを選択してユーザー独自のフィルタ属性を定義することもできます。例を示します。
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
「了解」をクリックすると、検索条件に一致するすべてのユーザーがグループに自動的に追加されます。
フィルタを適用したグループへのメンバーの追加または削除
- メンバーを追加するグループの横の「プロパティ」矢印をクリックします。
- データ区画で、「表示」メニューからメンバーを選択します。
「アクション」メニューで実行するアクションを選択します。実行できるアクションは次のとおりです。
グループを追加 : このアクションは、入れ子グループを現在のグループに追加します。このアクションを選択したら、検索範囲、グループの名前 ("*" ワイルドカードの使用可能) を含む検索条件を作成し、ユーザーをグループに登録できるかどうかを指定できます。情報を入力したら、「次へ」をクリックします。グループの一覧が表示されたら、追加するグループを選択し、「了解」をクリックします。
メンバーを消去 : このアクションはメンバーをグループから消去しますが、メンバーの削除は行いません。消去するメンバーを選択し、「利用可能なアクション」リストから「メンバーを消去」を選択します。
メンバーを削除 : 選択したメンバーを完全に削除します。削除するメンバーを選択し、「利用可能なアクション」リストから「メンバーを削除」を選択します。
ポリシーへのグループの追加
Access Manager オブジェクトは、ポリシーのサブジェクト定義を使用してポリシーに追加されます。ポリシーを作成または修正する場合、ポリシーの「サブジェクト」ページで、組織、ロール、グループ、およびユーザーをサブジェクトとして定義することができます。サブジェクトが定義されたら、ポリシーがオブジェクトに適用されます。
目次 |