1.1 Identity Managerの概要

Novell Identity Managerは、組織内のユーザコミュニティのアクセス権を安全な方法で管理するためのシステムソフトウェア製品です。ユーザコミュニティの所属メンバーは、Identity Managerの導入メリットをさまざまな形で享受できます。 たとえば、Identity Managerを使って次のことを実行できます。

ユーザおよびチームがこれらの機能を直接使用できるように、Identity Managerユーザアプリケーションには、Webブラウザで使用できるユーザインタフェースが提供されています。

1.1.1 Identity Managerユーザアプリケーションの概要

Identity Managerユーザアプリケーションでは、Identity Managerの情報、役割、リソース、および機能にアクセスできます。 システム管理者がIdentity Managerユーザアプリケーションで表示する内容および実行できる操作を決定します。 一般的に、以下の内容が含まれます。

  • Identityセルフサービスで実行できる操作

    • 組織図を表示する

    • ユーザに関連付けられたアプリケーションを報告する(管理者の場合) (Identity Manager用役割ベースプロビジョニングモジュールが必要)

    • 自分のプロファイルの情報を編集する

    • ディレクトリを検索する

    • パスワード、パスワード確認の回答、パスワードヒントを変更する

    • パスワードポリシーステータスおよびパスワード同期ステータスを確認する

    • 新規ユーザまたはグループのアカウントを作成する(権限がある場合)

  • 役割で実行できる操作

    • 役割割り当てを要求し、役割割り当て要求の承認プロセスを管理する

    • 役割要求のステータスを確認する

    • 役割および役割関係を定義する

    • ユーザが制約の上書きを要求した場合に、義務の分離(SoD)の制約を定義し、承認プロセスを管理する

    • 役割カタログを参照する

    • カタログで定義されている役割および義務の分離制約に加え、役割割り当ての現在のステータス、義務の分離の例外、およびユーザエンタイトルメントを一覧にした詳細レポートを確認する

    メモ:カスタムの役割を定義する機能はIdentity Manager 4.0.1 Advanced Editionでのみ利用できます。Standard Editionは、システムの役割の使用のみをサポートします。

  • リソースで実行できる操作

    • リソース割り当てを要求し、リソース割り当て要求の承認プロセスを管理する

    • リソース要求のステータスを確認する

    • リソースカタログを参照する

    メモ:リソースには、Identity Manager 4.0.1 Advanced Editionが必要です。Standard Editionは、この機能をサポートしていません。

  • ワークフロープロセスで実行できる操作

    • カスタムのワークフロープロセスを要求する

    • 役割、リソース、およびプロセス要求の承認について確認する

    • 他のユーザの要求を承認するために割り当てられたタスクを実行する

    • 他のユーザの代理または委任先としてプロセス要求および承認を実行する

    • 他のユーザを自分の代理または委任先として割り当てる(その権限が付与されている場合)

    • 自分のチームに関するすべての要求処理と承認処理を管理する(その権限が付与されている場合)

    メモ:ワークフロープロセスには、Identity Manager 4.0.1 Advanced Editionが必要です。Standard Editionは、この機能をサポートしていません。

  • 整合性で実行できる操作

    • ユーザプロファイル検証プロセスの要求

    • 義務の分離(SoD)検証プロセスの要求

    • 役割割り当て検証プロセスの要求

    • ユーザ割り当て検証プロセスの要求

    メモ:コンプライアンスにはIdentity Manager 4.0.1 Advanced Editionが必要です。Standard Editionは、この機能をサポートしていません。

重要:ユーザアプリケーションとは、アプリケーションであり、フレームワークではありません。ユーザアプリケーション内部の領域で、変更がサポートされている領域については、製品マニュアルに概要が説明されています。製品マニュアルの中で概要が説明されていない領域の変更はサポートされていません。

1.1.2 概要図

図 1-1 IDMユーザアプリケーションはIdentity Managerへのユーザインタフェースを提供

1.1.3 一般的な使用方法

組織内でのIdentity Managerユーザアプリケーションの一般的な使用例をいくつか示します。

Identityセルフサービスの操作

  • Ella (エンドユーザ)がログイン時にIdentityセルフサービスを使用して、忘れたパスワードを回復する

  • Erik (エンドユーザ)が、彼の所在地にいてドイツ語を話す従業員すべてを検索する

  • Eduardo (エンドユーザ)が組織図を参照して、Ellaを検索し、電子メールアイコンをクリックしてEllaにメッセージを送信する。

役割とリソースの操作

  • Maxine (役割マネージャ)が、「看護師」と「医師」というビジネス役割、および「薬の投与」および「処方箋の記述」というIT役割を作成する。Maxineはこれらの役割に必要ないくつかのリソースを作成し、これらのリソースを役割に関連付ける。

  • Maxine (役割マネージャ)が、看護師および「薬の投与」の役割間の関係を定義して、看護師の役割に「薬の投与」役割が含まれるように指定する。さらにMaxが、医師の役割に「処方箋の記述」および医師の役割間の関係を定義して、「処方箋の記述」の役割が含まれるように指定する。

  • Chester (セキュリティ責任者)が医師と看護師の役割が競合する可能性があることを示す義務の分離制約を定義する。これは、通常同じユーザに対して両方の役割を同時に割り当てるべきではないことを意味します。状況によっては、役割割り当てを要求する個人がこの制約を上書きすることもできます。義務の分離の例外を定義するには、割り当てを要求する個人が正当な理由を提供する必要があります。

  • Ernie (エンドユーザ)が使用できる役割のリストを参照し、看護師の役割への割り当てを要求する。

  • Amelia (承認者)が電子メール(URLが記載されている)で承認要求の通知を受信する。AmyがURLのリンクをクリックすると承認フォームが表示され、Amyは要求を承認します。

  • Arnold (役割マネージャ)が、Ernestに医師の役割を割り当てるように要求する。Ernestにすでに割り当てられている医師の役割と看護師の役割が競合する可能性があることがArnoldに通知されます。Arnoldは、義務の分離制約の例外を許可してもらうための正当な理由を提供します。

  • Edward (義務の分離の承認者)が電子メール経由で義務の分離の競合についての通知を受信する。Edwardは、Arnoldの義務の分離制約を上書きする要求を承認します。

  • Amelia (承認者)が電子メール経由で医師の役割に対する承認要求の通知を受信する。Ameliaは、Ernestを医師の役割に割り当てるというArnoldの要求を承認します。

  • Bill (役割監査官)がSoD違反および例外レポートをチェックし、Ernestが「医師」と「看護師」の両方の役割に割り当てられていることを確認する。さらに、彼はErnestにこれらの役割に関連付けられたリソースが割り当てられていることを確認する。

プロセス要求の操作

  • Ernie (エンドユーザ)が、使用できるリソースの一覧を参照し、Siebel*システムにアクセスできるように要求する

  • Amy (承認者)が電子メール(URLが記載されている)で承認要求「通知」を受信する。 AmyがURLのリンクをクリックすると承認フォームが表示され、Amyは要求を承認する。

  • Ernieが、以前発行したSiebelシステムへのアクセス要求の「ステータス」を確認する(このアクセス要求は、承認を受けるため2人目の承認者に転送されている)。 その要求がまだ処理中であることがわかる。

  • Amyはこれから休暇に入るので、休暇中は「稼動できなくなる」旨を設定する。 彼女が不在の間、追加の承認タスクは割り当てられない。

  • Amyが自分の承認タスクリストを開く。承認タスクの数が多すぎて、迅速に対応できないことがわかる。そのためAmyは、一部の承認タスクを同僚に再割り当てする。

  • Pat (Amyの「代理」ユーザである管理アシスタント)がAmyのタスクリストを開き、Amyの代わりに承認タスクを実行する。

  • Max (マネージャ)が「自部署の従業員のタスクリスト」を表示する。 Amyが休暇中であることを知っているため、MaxはAmyのタスクを部署の他の従業員に再割り当てする。

  • Maxが部署内の直属の部下に対するデータベースアカウントの要求を開始する

  • MaxがDanをAmyの正式な委任先として割り当てる

  • Dan (委任された承認者)はAmyの休暇中、Amyのタスクを受け持つ

  • Maxが無給のインターンを雇う。このインターンは人事システムに登録すべきでない。 システム管理者がこのインターンのユーザレコードを作成し、Notes、Active Directory、およびOracleへのアクセスをこのインターンに許可するよう要求する。

整合性について

  • Maxine (役割マネージャ)が、看護師と医師というビジネス役割、および「薬の投与」および「処方箋の記述」というIT役割を作成する。

  • Maxine (役割マネージャ)が、看護師および「薬の投与」の役割間の関係を定義して、看護師の役割に「薬の投与」の役割が含まれるように指定する。さらにMaxが、医師の役割に「処方箋の記述」および医師の役割間の関係を定義して、「処方箋の記述」の役割が含まれるように指定する。

  • Chester (セキュリティ責任者)が医師と看護師の役割が競合する可能性があることを示す義務の分離制約を定義する。これは、通常同じユーザに対して両方の役割を同時に割り当てるべきではないことを意味します。状況によっては、役割割り当てを要求する個人がこの制約を上書きすることもできます。義務の分離の例外を定義するには、割り当てを要求する個人が正当な理由を提供する必要があります。

  • Arnold (役割マネージャ)が、Ernestに医師の役割を割り当てるように要求する。Ernestにすでに割り当てられている医師の役割と看護師の役割が競合する可能性があることがArnoldに通知されます。Arnoldは、義務の分離制約の例外を許可してもらうための正当な理由を提供します。

  • Philip (整合性モジュール管理者)は、看護師役割に対する役割割り当て検証プロセスを開始します。

  • Fiona (証明者)は、電子メール(URLを含む)で検証タスクの通知を受け取ります。 電子メール内のリンクをクリックすると検証フォームが表示されます。検証フォームの質問に肯定の回答をして、情報が正しいことに同意します。

  • Philip (整合性モジュール管理者)は、人事グループ内のユーザ用のユーザプロファイル検証プロセスに対する新しい要求を開始します。

  • 人事グループ内の各ユーザは、電子メール(URLを含む)で検証タスクの通知を受け取ります。 ユーザが電子メール内のリンクをクリックすると検証フォームが表示されます。フォームは様々なユーザプロファイル属性の値を確認するために使用されます。記載されている情報を確認した後で、各ユーザは検証の質問に回答します。