Identity Manager 3.5ユーザアプリケーションは、プロビジョニングアプリケーション管理者とユーザアプリケーション管理者に管理作業を割り当てます。
表 9-1 管理者のタイプ
|
役割 |
実施できる作業 |
|---|---|
|
ユーザアプリケーション管理者 |
ユーザアプリケーションのタブでのアプリケーション管理作業。 |
|
プロビジョニングアプリケーション管理者 |
ユーザアプリケーションのタブでの、プロビジョニングワークフロー管理作業。 |
これらの役割は、インストール時に、またはIdentity Managerユーザアプリケーションのタブにある[セキュリティ]ページから割り当てられます。インストール時にこれらの役割を割り当てると、IDMが割り当て内容をユーザアプリケーション環境設定ファイルに書き込みます。このファイルは、configupdateユーティリティを使って編集できます。ただし、WARの展開時に、割り当てはユーザアプリケーションデータベースに書き込まれます。そのため、インストール後最初にJBossアプリケーションサーバを起動した後は、configupdateユーティリティを使ってこれらの割り当てを変更することはできません。[セキュリティ]ページから変更してください。226891
ユーザアプリケーション管理者は、Identity Managerユーザアプリケーションのパネルから、Identity Managerユーザアプリケーションの管理作業を行います。ユーザアプリケーション管理者にはプロビジョニング管理権はありません。パネルの使用時には、一般ユーザとみなされます。複数のユーザアプリケーション管理者がいる場合もあります。
インストール時には、1人のユーザをユーザアプリケーション管理者として割り当てる必要があります。インストール時に作成するユーザアプリケーション管理者は、プロビジョニングシステムを含めユーザアプリケーション内のすべてを管理できます。また、他のユーザをユーザアプリケーション管理者やプロビジョニングアプリケーション管理者として指名できます。
一般的に、ユーザアプリケーション管理者に指名するユーザは、ユーザアプリケーションのLDAP環境設定に指定されているユーザルートコンテナになければなりません。こうすることにより、そのユーザはユーザ名だけでログインできます。毎回完全識別名を指定する必要はありません。
ユーザアプリケーション管理者となるユーザには、特別なディレクトリ権限は必要ありません。この役割は、アプリケーションレベルのアクセスを制御します。
メモ:必要に応じて、ユーザアプリケーション管理者は、1人または複数のエンドユーザに対し、タブの特定のページへのアクセス許可を割り当てることができます。これらの許可の割り当てには、タブの[ページ管理]ページを使用します。(詳細については、セクション 6.0, ページの管理を参照してください)。
プロビジョニングアプリケーション管理者は、ユーザアプリケーションではなく、プロビジョニングシステムを管理します。プロビジョニングアプリケーション管理者には、パネル内のすべての機能に対する権限と許可があります(本質的にスーパユーザ)。
プロビジョニングアプリケーション管理者は、インストール時に割り当てます。システムを安全に保つためにも、インストール後には最低1人のプロビジョニングアプリケーション管理者を作成してください。プロビジョニングアプリケーション管理者がいない場合、ログインする各ユーザはすべてプロビジョニングアプリケーション管理者として扱われます。こうなると、システムの安全性は保てません。
プロビジョニングアプリケーション管理者は、他のユーザをプロビジョニングアプリケーション管理者として指名できます。ただし指名するには、管理コンソールの[プロビジョニング管理者の割り当て]ページにアクセスするために、ユーザアプリケーション管理者でなければなりません。
ユーザアプリケーションのLDAP環境設定に指定されているユーザルートコンテナ内のユーザを、プロビジョニングアプリケーション管理者として指定できます。こうすることにより、そのユーザはユーザ名だけでログインできます。毎回完全識別名を指定する必要はありません。