Identity Managerユーザインタフェースの
タブには、 というアクションカテゴリがあります。 アクションカテゴリにあるアクションを使うことにより、ワークフロー内のチームメンバーのタスクと要求を処理することができます。プロビジョニングチームの環境設定を行うには、iManagerでプロビジョニングチームおよびプロビジョニングチーム要求プラグインを使用する必要があります。プロビジョニングチームプラグインでは、チームの特徴を定義できます。プロビジョニングチーム要求プラグインでは、チームの要求権限を指定できます。
メモ:各チーム定義に対して、チーム要求オブジェクトを定義する必要があります。チーム要求オブジェクトのないプロビジョニングチームをユーザアプリケーションで使用することはできません。
プロビジョニングチームおよびプロビジョニングチーム要求プラグインは、iManagerの[Identity Manager]カテゴリにあります。これらのプラグインは、[プロビジョニング環境設定]役割にあります。
チームはユーザのグループを表し、このチームに関連付けられたプロビジョニング要求と承認タスクを管理できるユーザが定義されています。チーム定義は、以下で説明するように、チームマネージャ、チームメンバー、およびチームオプションのリストで構成されています。
チームマネージャとは、チームメンバーのための要求やタスクを管理できるユーザです。 チームマネージャには、チームメンバーのために代理や委任を設定する権限を与えることもできます。 チームマネージャにはユーザまたはグループがなることができます。
チームメンバーとは、チームに参加することを許可されたユーザのことです。 チームメンバーにはディレクトリ内のユーザ、グループ、またはコンテナがなることができます。 または、ディレクトリ関係から生成することもできます。 たとえば、メンバーのリストは組織内の「マネージャ - 従業員」の関係から生成できます。 この場合のチームメンバーは、チームマネージャに報告義務のあるすべてのユーザを指します。
メモ:プロビジョニングアプリケーション管理者は、連鎖関係をサポートするためのディレクトリ抽出層を設定できます。この場合、組織内のいくつかのレベルが1つのチームに含まれます。 管理者は含めるレベルの数を設定できます。
チームオプションとは、プロビジョニング要求の範囲を決定するもので、チームが個別のプロビジョニング要求、1つ以上の要求カテゴリ、またはすべての要求を実行できるかどうかを指定します。 チームオプションは、チームマネージャがチームメンバーのために代理を設定できるか、または委任の目的でチームメンバーの要請を設定できるかを決定します。
メモ:ユーザアプリケーションは、1レベルの代理人割り当てのみをサポートしています。代理人割り当てが複数レベルに反映されることはありません。
プロビジョニングアプリケーション管理者は、すべてのチーム管理機能を実行できます。
チーム定義自体は、iManager内部で1人以上の管理マネージャによって管理されます。
チームとグループの違い チームがアイデンティティボールト中のグループを表す場合もありますが、チームとグループは別物です。アイデンティティボールトでグループを定義する場合、共通の特徴を持つ複数ユーザを指定します。ただし、ユーザアプリケーション内でグループにチームの機能が自動的に与えられることはありません。ユーザアプリケーションでチーム機能を活用するには、そのグループを示すチームを定義する必要があります。
チーム要求オブジェクトは、チームのドメイン内に該当する要求や、チームマネージャに与えられた権限を指定します。要求権限は、プロビジョニング要求やタスクでチームマネージャが実行できるアクションを指定します。
チーム定義には、チーム要求オブジェクトとの1対多の関係があります。つまり、各チームには最低1つのチーム要求オブジェクトを関連付ける必要があります。複数のチーム要求オブジェクトを持つことも可能です。各チーム要求オブジェクトは、1つのチームとのみ関連付けられます。
チームマネージャに対して、次のタスクスコープオプションを設定することができます。
チームメンバーが宛先のタスクを処理する
チームメンバーが受信者のタスクを処理する
警告:セキュリティ上の理由から、デフォルトでは受信者のタスクスコープオプションは無効になっています。チームマネージャに、要求の受信者がチームメンバーである場合のタスクの処理権限を与えると、いくつかのセキュリティ上の問題が発生することがあります。まず、マネージャは与えられているトラスティ権利に関係なく、ワークフローの実行中に表示される任意のフォームに含まれているデータを参照できてしまいます。また、許可オプション(後述)によっては、チームマネージャはタスクの引き受けや承認によって、またはタスクの再割り当てによって、承認プロセスを迂回できてしまいます。
前述の両方のタスクスコープオプションを無効にした場合、チームマネージャはアクティブな要求を表示したり、処理することはできません。そのため、通常チームマネージャは、最低1つのオプションを有効にすることを望みます。
チームマネージャに対して、次の許可オプションを設定することができます。
チームメンバーに代わってプロビジョニング要求を開始する。
チームメンバーに代わってプロビジョニング要求を撤回する。
あるチームメンバーを、他のチームメンバーの要求の委任にする。
受信者または宛先(タスクスコープに基づく)のチームメンバーに対してタスクを引き受ける。
受信者または宛先(タスクスコープに基づく)のチームメンバーに対してタスクを再割り当てする。
メモ:ユーザアプリケーションは、1レベルの委任割り当てのみをサポートしています。委任割り当てが複数レベルに反映されることはありません。
プロビジョニング要求に定義されたトラスティ権利は、チームメンバーに代わって要求を開始するチームマネージャに適用されます。
適切に定義すれば、単一のチーム定義を使ってすべてのマネージャに対して、各自のダイレクトレポートのアクティビティを許可できます。各チーム個別にレポートのリレーションシップを定義する必要はありません。
組織内でダイレクトレポートをサポートするチームの基本的な要件を次に示します。
チームのメンバーは、マネージャ-従業員リレーションシップで定義されます。
チームのマネージャは、マネージャのみを取得する検索フィルタを使って、サブコンテナを検索するダイナミックグループにより定義されます。
チームを定義したら、すべてのマネージャはナビゲーションメニューのチーム管理アクションを使用できるようになります。これにより、マネージャはダイレクトレポートが実行できるプロビジョニングアクティビティを制御することができます。
ダイレクトレポートを管理するためのチームの定義方法については、セクション 19.4, ダイレクトレポートを管理するチームの作成を参照してください。
メモ:このテクニックは、以前のリリースのIdentity Managerユーザアプリケーションがサポートしていた組織チームの概念に代わるものです。