チームはユーザのグループを表し、このチームに関連付けられたプロビジョニング要求と承認タスクを管理できるユーザが定義されています。チーム定義は、以下で説明するように、チームマネージャ、チームメンバー、およびチームオプションのリストで構成されています。
チームマネージャとは、チームメンバーのための要求やタスクを管理できるユーザです。 チームマネージャには、チームメンバーのために代理や委任を設定する権限を与えることもできます。 チームマネージャにはユーザまたはグループがなることができます。
チームメンバーとは、チームに参加することを許可されたユーザのことです。 チームメンバーにはディレクトリ内のユーザ、グループ、またはコンテナがなることができます。 または、ディレクトリ関係から生成することもできます。 たとえば、メンバーのリストは組織内の「マネージャ - 従業員」の関係から生成できます。 この場合のチームメンバーは、チームマネージャに報告義務のあるすべてのユーザを指します。
メモ:プロビジョニングアプリケーション管理者は、階層式関係をサポートするためのディレクトリ抽象化レイヤを設定できます。これにより、組織内のいくつかのレベルを1チームに含めることができます。管理者は含めるレベルの数を設定できます。
チームオプションは、プロビジョニング要求のスコープを決定するもので、チームマネージャが個別のプロビジョニング要求を実行できるのか、1つ以上の要求カテゴリを実行できるのか、またはすべての要求を実行できるのかを指定します。チームオプションは、チームマネージャがチームメンバーのために代理を設定できるか、または委任の目的でチームメンバーの要請を設定できるかを決定します。
メモ:ユーザアプリケーションは、1レベルの代理人割り当てのみをサポートしています。代理人割り当てが複数レベルに反映されることはありません。
プロビジョニングアプリケーション管理者は、すべてのチーム管理機能を実行できます。
チームとグループの違い チームがアイデンティティボールト中のグループを表す場合もありますが、チームとグループは別物です。アイデンティティボールトでグループを定義する場合、共通の特徴を持つ複数ユーザを指定します。ただし、ユーザアプリケーション内でグループにチームの機能が自動的に与えられることはありません。ユーザアプリケーションでチーム機能を活用するには、そのグループを示すチームを定義する必要があります。
チーム要求オブジェクトは、プロビジョニングチームが実行できる要求を指定します。要求権は、チームマネージャがプロビジョニング要求およびタスクで実行できるアクションを指定します。
チーム定義は、チーム要求オブジェクトと1対多の関係です。つまり、各チームには少なくとも1つのチーム要求オブジェクトが定義されている必要がありますが、複数定義することもできます。各チーム要求オブジェクトは1つのチーム定義だけに関連付けられます。チーム要求オブジェクトを設定するときに、チームマネージャのタスクスコープと許可を設定します。
タスクスコープオプションは、次のタスクを実行するマネージャの能力を定義します。
チームメンバーが宛先であるタスク
チームメンバーが受信者であるタスク
警告:セキュリティ上の理由から、デフォルトでは受信者のタスクスコープオプションは無効になっています。チームマネージャに、要求の受信者がチームメンバーである場合のタスクの処理権限を与えると、いくつかのセキュリティ上の問題が発生することがあります。まず、マネージャは与えられているトラスティ権利に関係なく、ワークフローの実行中に表示される任意のフォームに含まれているデータを参照できてしまいます。また、許可オプション(後述)によっては、チームマネージャはタスクの引き受けや承認によって、またはタスクの再割り当てによって、承認プロセスを迂回できてしまいます。
許可オプションは、次のようなチームマネージャの能力を定義します。
チームメンバーに代わってプロビジョニング要求を開始する。
チームメンバーに代わってプロビジョニング要求を撤回する。
チームメンバーを他のチームメンバーのプロビジョニング要求の委任先にする。
受信者または宛先であるチームメンバーのタスクを要求する(タスクスコープに基づく)。
受信者または宛先であるチームメンバーのタスクを再割り当てする(タスクスコープに基づく)。
両方のタスクスコープオプションが無効になっている場合、チームマネージャはアクティブな要求を表示および実行できません。したがって、チームマネージャに対して許可オプションを少なくとも1つ有効にする必要があります。
メモ:ユーザアプリケーションは、1レベルの委任割り当てのみをサポートしています。委任割り当てが複数レベルに反映されることはありません。
プロビジョニング要求に対して定義されたトラスティ権は、チームメンバーに代わって要求を開始するチームマネージャに適用されます。チームマネージャがプロビジョニング要求定義に対するトラスティ権を持っていない場合、ユーザアプリケーションがプロビジョニング要求を表示しないため、チームマネージャは要求を作成できません。
組織内のマネージャがダイレクトレポートのプロビジョニング環境を管理できるようにするチームを定義できます。適切に定義すれば、単一のチーム定義で、すべてのマネージャがダイレクトレポートの動作を管理できます。つまり、レポーティング関係ごとに別々のチームを定義する必要はありません。
組織内でダイレクトレポートをサポートするチームの基本的な要件を次に示します。
チームのメンバーは、マネージャ-従業員リレーションシップで定義されます。
チームのマネージャは、マネージャのみを取得する検索フィルタを使って、サブコンテナを検索するダイナミックグループにより定義されます。
チームを定義したら、すべてのマネージャはナビゲーションメニューのチーム管理アクションを使用できるようになります。これにより、マネージャはダイレクトレポートが実行できるプロビジョニングアクティビティを制御することができます。
ダイレクトレポートを管理するためのチームの定義方法については、セクション 11.2.3, ダイレクトレポートを管理するチームの作成を参照してください。