19.3 プロビジョニングチーム要求権限の管理

プロビジョニングチーム要求オブジェクトを設定する前に、定義が含まれるIdentity Managerユーザアプリケーションドライバを選択する必要があります。ドライバを選択したら、新しいチーム要求を作成したり、既存の定義を編集したり、既存の定義を削除したりすることができます。

19.3.1 ドライバの選択

Identity Managerユーザアプリケーションドライバを選択する

  1. iManagerで、[Identity Manager]カテゴリを選択します。

  2. Provisioning Configuration]役割を開きます。

  3. [プロビジョニングチーム要求]タスクをクリックします。

    iManagerに[ユーザアプリケーションドライバ]パネルが表示されます。

  4. [ユーザアプリケーションドライバ]フィールドでドライバ名を指定し、[OK]をクリックします。

    [プロビジョニングチーム要求]パネルが表示されます。[プロビジョニングチーム要求]パネルには、既存のチーム要求オブジェクトが表示されます。

ドライバの変更 いったんドライバを選択すると、別のドライバを選択しない限り、iManagerセッション中は選択したドライバが有効となります。新しいドライバを選択するには、[アクション]コマンドをクリックし、[アクション]メニューから[ユーザアプリケーションドライバの選択]を選択します。

19.3.2 プロビジョニングチーム要求オブジェクトの作成または編集

新しいプロビジョニングチーム要求オブジェクトを作成する

  1. [プロビジョニングチーム要求]パネルで、[新規]コマンドをクリックします。

    新しいプロビジョニングチーム要求の作成ウィザードの最初のページが表示されます。

  2. [名前(CN)]フィールドに、新しいオブジェクトの共通名を入力します。

  3. チーム要求オブジェクトに追加する各説明にに対して、[プロビジョニングチーム要求の説明][説明]フィールドに説明を入力します。ここに入力した説明は、iManagerでプロビジョニングチーム要求オブジェクトを識別するために使用されます。

  4. 各チーム要求オブジェクトに新しい説明を追加するには、[追加]をクリックして説明を入力し、[OK]をクリックします。

    [プロビジョニングチーム要求の説明][説明]フィールドに入力した説明が表示されます。ここに入力した文字列は、[プロビジョニングチーム要求]パネルのチーム要求オブジェクトの説明に用いられます。

  5. 次へ]をクリックします。

  6. このチーム要求オブジェクトを適用するチーム定義を選択します。チーム要求オブジェクトのチーム定義の選択を参照してください。

  7. チーム要求オブジェクトのタスクスコープと許可オプションを指定します。チーム要求オプションの指定を参照してください。

  8. 設定内容を確認し、[完了]をクリックします。

チーム要求オブジェクトのチーム定義の選択

チーム定義を選択する

  1. オブジェクトセレクタを使ってチームを選択します。

    選択したチームが[プロビジョニングチーム]フィールドに表示されます。[プロビジョニングチームオプション]には、そのチームのオプション設定が表示されます。

  2. 次へ]をクリックします。

チーム要求オプションの指定

チーム要求オプションを指定する

  1. チーム要求オブジェクトのスコープを定義します。

    • チームのスコープが[プロビジョニング対象リソースのカテゴリ]の場合、[使用できるカテゴリ]リストから[選択されたカテゴリ]リストに、必要なチーム要求オブジェクトのカテゴリを移動します。

    • チームのスコープが[個々のプロビジョニング要求]の場合、オブジェクトセレクタを使ってこのチーム要求オブジェクトのプロビジョニング要求を選択します。

    • チームのスコープが[すべてのプロビジョニング要求]の場合は、特に作業は必要ありません。

  2. 次のように、タスクスコープのオプションを定義していきます。

    設定

    説明

    マネージャに、そのチームメンバーが宛先となっているタスクの作業を許可します

    この設定を有効にすると、チームマネージャは[チームタスク]を使って、チームメンバーが宛先になっているタスクに対して作業を行うことができます。この作業には、要求の承認や拒否も含まれます。

    チームマネージャに対してチームメンバーが宛先になっているタスクに対する作業を許可しない場合、タスクは表示できますが、その詳細を参照したり、何らかの作業を行うことはできません。

    マネージャに、そのチームメンバーが受信者となっているタスクの作業を許可します

    この設定を有効にすると、チームマネージャは[チームタスク]を使って、チームメンバーが受信者になっているタスクに対して作業を行うことができます。この作業には、要求の承認や拒否も含まれます。

    チームマネージャに対してチームメンバーが受信者になっているタスクに対する作業を許可しない場合、タスクは表示できますが、その詳細を参照したり、何らかの作業を行うことはできません。

    メモ:セキュリティ上の理由から、デフォルトでは受信者のタスクスコープオプションは無効になっています。チームマネージャに、要求の受信者がチームメンバーである場合のタスクの処理権限を与えると、いくつかのセキュリティ上の問題が発生することがあります。まず、マネージャは与えられているトラスティ権利に関係なく、ワークフローの実行中に表示される任意のフォームに含まれているデータを参照できてしまいます。また、許可オプション(後述)によっては、チームマネージャはタスクの引き受けや承認によって、またはタスクの再割り当てによって、承認プロセスを迂回できてしまいます。

  3. 次のように、許可オプションを設定していきます。

    設定

    説明

    チームメンバーの代わりに、マネージャがプロビジョニング要求を開始できるようにします

    この設定を有効にすると、ユーザアプリケーションの[チームリソースの要求]ページに表示されるリソースのリストに、このチームのスコープ内のリソースが含まれます。この設定を無効にすると、これらのリソースは含まれません。

    チームメンバーの代わりに、マネージャがプロビジョニング要求を取り消せるようにします

    この設定を有効にすると、[チーム要求]ページに[撤回]ボタンが表示されます。このボタンを使って、このチームのスコープ内の要求を撤回することができます。この設定を無効にすると、[撤回]ボタンは表示されません。

    マネージャが、チームメンバーを他のチームメンバーのプロビジョニング要求の委任先に設定できるようにします

    このオプションを有効にした場合、マネージャは[チームの委任割り当て]アクションを使用してあるチームメンバーを他のチームメンバーのプロビジョニング要求の委託先(委任)に指名することができます。

    このオプションを無効にした場合、マネージャは管理者またはユーザが所属する他のチームのマネージャが定義した委任設定を参照することができます。ただし、チームマネージャはこれらの設定の編集または削除、詳細表示、新規委任の割り当てはできません。

    マネージャが、タスクスコープに基づいた受信者、宛先、またはその両方となっているチームメンバーのタスクを要求できるようにします

    この設定を有効にすると、[チームのタスク]ページに[引き受け]ボタンが表示されます。このボタンを使って、このチームのスコープ内の要求を引き受けることができます。この設定を無効にすると、[引き受け]ボタンも無効になります。

    マネージャが、タスクスコープに基づいた受信者、宛先、またはその両方となっているチームメンバーにタスクを再割り当てできるようにします

    この設定を有効にすると、[チームのタスク]ページに[再割り当て]ボタンが表示されます。このボタンを使って、このチームのスコープ内の要求を再割り当てすることができます。この設定を無効にすると、[再割り当て]ボタンも無効になります。

  4. 次へ]をクリックします。

メモ:プロビジョニングチーム要求プラグインでは、同じプロビジョニング要求、または同じチームの異なる許可セットを持つカテゴリを使用する、2つの異なるチーム要求オブジェクトを設定することができます。この場合、チームと許可の関係が不明瞭になり、競合が発生する可能性があります。このような競合を回避するために、同じプロビジョニング要求/カテゴリに対して異なる許可セットを指定した2つの異なるチーム要求オブジェクトを定義しないようにしてください。

19.3.3 プロビジョニングチーム要求オブジェクトの削除

プロビジョニングチーム要求オブジェクトを削除する

  1. 削除するプロビジョニングチーム要求オブジェクト名の隣にあるチェックボックスを選択します。

  2. [プロビジョニングチーム要求]パネルで、[削除]コマンドをクリックします。