ユーザがIdentity Managerユーザアプリケーションにログインすると、セキュリティシステムがそのユーザを認証し、プロビジョニングオブジェクトとワークフローオブジェクトにアクセス制御を設定し、これらのオブジェクトを不正使用から保護します。これにより、ユーザはアクセス権を付与されているプロビジョニング要求定義のみを表示することができます。ユーザアプリケーションの認証サービスおよび承認サービスに加え、セキュリティシステムはプロキシ割り当てと委任ユーザ割り当ても管理します。
ログが有効になっている場合、プロキシユーザまたは委任ユーザによって実行されたアクションは、他のユーザによって実行されたアクションと併せてすべてログに記録されます。ログメッセージ内では、プロキシユーザまたは委任ユーザによって実行されたアクションは、その旨が明確に示されます。また、プロキシ割り当てまたは委任ユーザ割り当てが新規に定義された場合、このイベントもログに記録されます。
電子メール通知を生成するようプロビジョニング要求定義が設定されている場合、宛先ユーザと同様にプロキシにも電子メール通知が行われます。ただし、委任ユーザには電子メール通知は行われません。
ワークフローのセキュリティの役割 - セキュリティシステムが認識するセキュリティの役割は、次のとおりです。
役割 |
説明 |
権利 |
---|---|---|
ユーザアプリケーション管理者 |
完全な管理権限を持つlocksmithユーザです。 |
ユーザアプリケーション管理者がiManagerで実行を許可されているタスクを次に示します。
ユーザアプリケーション管理者がユーザアプリケーションで実行を許可されているタスクを次に示します。
メモ:Identity Managerユーザアプリケーションの[管理]タブには、ユーザアプリケーションを管理する権利を割り当てるためのツールが含まれています。このタブを使用するには、まず、インストール時にユーザアプリケーション管理者として指定したユーザでログオンする必要があります。 ユーザアプリケーションのセキュリティ機能の使用については、セクション 11.0, セキュリティの環境設定を参照してください。 |
組織マネージャ |
従業員の直属のスーパバイザです。ユーザにはそれぞれ1人の組織マネージャが存在します。 ヒント:組織マネージャは、管理マネージャとも考えることができます。 |
組織マネージャには、次のことが許可されています。
|
タスクグループマネージャ |
タスクグループに関連する一連のタスクを担当するユーザです。タスクグループは、LDAPグループオブジェクトの拡張です。タスクグループにはそれぞれ1人のタスクグループマネージャを割り当てることができます。 タスクグループマネージャは、ユーザアプリケーション管理者によって割り当てられます。 タスクがグループに割り当てられると、グループのsrvrprvTaskManager属性には、指定されたタスクグループマネージャであるユーザのDNが指定されます。パフォーマンスを向上させるために、タスクグループマネージャは、ユーザオブジェクトの属性によっても特定されます。タスクグループマネージャに指定されたユーザのsrvprvIsTaskManager属性は「true」に設定されています。 |
タスクグループマネージャには、次のことが許可されています。
タスクグループマネージャは、次のことはできません。
|
メモ:ユーザはだれでも、自分の識別情報に関連付けられている非表示属性を表示できます。
プロキシ関係と委任ユーザ関係の定義 - ユーザのプロキシ割り当てを定義するには、Identity Managerユーザアプリケーションの[要求と承認]タブの[チームのプロキシの割り当て]ページを使用します。委任ユーザの割り当てを定義するには、[チームの代理人の割り当て]ページを使用します。このページは、[要求と承認]タブからもアクセスできます。
タスクグループマネージャの作成 - タスクグループのタスクグループマネージャを定義するには、Identity Managerユーザインタフェースの[識別セルフサービス]タブの[ユーザまたはグループの作成]ページを使用します。
タスクグループマネージャ、プロキシ、および委任ユーザの定義の詳細については、『Identity Managerユーザアプリケーション: ユーザーズガイド』を参照してください。