目次
|
ポリシー
ポリシーは、アイデンティティ管理インタフェースを使用して設定します。
このインタフェースによって、最上位管理者または最上位ポリシー管理者が組織全体に対して使用できる特定のサービスのポリシーを表示、作成、削除、および修正する手段と、組織またはサブ組織の管理者が組織による特定の使用方法のポリシーを表示、作成、削除、および修正する手段が提供されます。
一般的に、ポリシーは組織 (またはサブ組織) レベルで作成され、組織のツリー全体で使用されます。
ここでは、次の項目について説明します。
ポリシーのタイプ
Access Manager で設定できるポリシーには、標準ポリシーと参照ポリシーの 2 つのタイプがあります。
標準ポリシーは、ルール、サブジェクト、および条件で構成されます。参照ポリシーは、ルールと組織への参照で構成されます。
標準ポリシー
Access Manager では、アクセス権を定義するポリシーのことを標準ポリシーといいます。標準ポリシーは、ルール、サブジェクト、および条件で構成されます。
ルールは、リソース、アクションの 1 つ以上のセット、および値で構成されます。リソースは保護されるオブジェクトを定義します。アクションはリソース上で実行できる操作の名前で、値は権限を定義します。
ポリシーはアイデンティティには割り当てられません。その代わりに、サブジェクトがポリシーに割り当てられます。サブジェクトは、ポリシーが割り当てられ適用されるアイデンティティオブジェクトです。
条件によって、ポリシーの適用される状況を定義します。たとえば、ポリシーにおける 7 AM から 10 AM という条件は、そのポリシーが午前 7 時から 10 時までしか適用されないことを意味しています。
注
参照、ルール、リソース、サブジェクト、条件、アクション、および値という用語は、policy.dtd 内の Referral、Rule、ResourceName、Subject、Condition、Attribute および Value という要素にそれぞれ対応しています。詳細については、『Access Manager Developer's Guide』を参照してください。
参照ポリシー
通常、管理者はある組織のポリシーの定義や判断を、別の組織に委任することができます。または、あるリソースに対するポリシーの判断を、別のポリシー製品に委任することもできます。参照ポリシーは、ポリシーの作成と評価の両方に対するポリシーの委任を管理します。これは 1 つ以上のルールと参照で構成されます。ルールは、どのリソースのポリシーの評価を参照するかを定義します。参照は、ポリシーの評価をどの組織に対して参照するかを定義します。
注
参照先の組織は、その組織に対して参照したリソース (またはサブリソース) のポリシーのみを定義または評価できます。ただし、この制約はルート組織には適用されません。このため、管理者はルートレベルの組織のみで管理ポリシーを定義する必要があります。
Access Manager に付属している参照には、ピア組織とサブ組織という 2 つのタイプがあります。それぞれ、同じレベルの組織と下位レベルの組織を表します。
ポリシーの作成
ポリシーはアイデンティティ管理インタフェースを使用して作成します。
- アイデンティティ管理インタフェースに移動します。
- ポリシーを作成する組織を選択します。
組織のポリシー管理ウインドウの位置が正しいことを確認します。
- 「表示」メニューから「ポリシー」を選択します。
デフォルトでは、「組織」は「表示」メニューに表示されます。サブ組織がある場合は、すべてその下に表示されます。サブ組織のポリシーを作成する場合は、サブ組織を選択して、「表示」メニューから「ポリシー」を選択します。
- ナビゲーションフレームで「新規」をクリックします。「ポリシーの作成」ウィンドウを開きます。
- 作成するポリシーのタイプを、標準ポリシーまたは参照ポリシーのどちらかから選択します。
サブ組織を参照する参照ポリシーが存在しない場合、そのサブ組織のポリシーを作成することはできません。
この時点では、標準または参照ポリシーのフィールドすべてを定義する必要はありません。ポリシー作成後、ルール、サブジェクト、参照などを追加できます。
- ポリシーの名前を入力して、「了解」をクリックします。
- デフォルトでは、「一般」表示となっています。
「一般」にはポリシー名が表示され、作成するポリシーの説明を入力できます。
- 「保存」をクリックして、ポリシーの設定を完了します。
ポリシーの修正
標準ポリシーまたは参照ポリシーの作成後、ルール、サブジェクト、条件、および参照を変更できます。デフォルトでは、「一般」表示となっています。「一般」表示に含まれる属性については、「ポリシーの作成」を参照してください。
目次 |