17.2 役割の管理

Identity Managerユーザインタフェースの[役割]タブにある[役割の管理]アクションでは、新規の役割の作成や、既存の役割の変更または削除ができます。

メモ:このアクションを使用して新規のシステム役割を作成したり、既存のシステム役割を削除したりすることはできません。これを使用してシステム役割を変更することはできます。

このページで表示できる内容および実行できる内容は、表 17-1で説明するようにセキュリティの役割に依存します。

表 17-1 セキュリティの役割の機能

セキュリティの役割

機能

役割モジュール管理者

役割モジュール管理者は次のことを実行できます。

  • すべてのコンテナ内で役割を新規作成します。

  • 既存の役割を変更します。

  • 既存の役割(システム役割を除く)をすべて削除します。

役割マネージャ

役割マネージャは次のことを実行できます。

  • すべてのコンテナ内で新規役割を作成します(参照権限を持たないコンテナに対しても)。必要な権限はすべて役割作成時にユーザに付与されます。

  • 参照権限を持つ役割のみを変更します。

  • 参照権限を持つ役割のみを削除します。

17.2.1 新規役割の作成

  1. 役割の管理]アクションのリストにある[役割の管理]をクリックします。

  2. 新規]をクリックします。

    ユーザアプリケーションでは、[役割の管理]ページの[新しい役割の詳細]セクションに[役割名]を入力するように要求されます。このセクションにある各フィールドの詳細については、表 17-2, 役割の詳細を参照してください。

  3. 承認の詳細]へ移動し、表 17-3, 承認の詳細で説明するようにフィールドへの入力を完了します。

  4. 保存]をクリックし、変更を永続的にします。

17.2.2 既存の役割の変更または削除

  1. 役割の管理]アクションのリストにある[役割の管理]をクリックします。

  2. 詳細を変更する役割を検索するには、[オブジェクトセレクタ]ツールまたは[履歴表示]ツールを使用して、制約を選択します。[オブジェクトセレクタ]ツールおよび[履歴の表示]ツールの使用方法の詳細については、一般的なユーザアクションを参照してください。

  3. 目的の役割をリストから選択すると、検索ページが閉じ、選択した役割の[役割の詳細]および[承認の詳細]が表示されます。

    [役割の管理]ページには、[役割の詳細]セクションで現在選択されている役割の名前が表示されます。

    ヒント:役割関係の管理]リンクを使用すると、[役割関係の管理]ページに簡単にアクセスできます。役割を選択している場合は、選択した役割の内容が表示され、編集できます。

  4. 現在選択している役割を削除するには、[削除]をクリックします。

    変更可能な役割の詳細に関する詳細については、表 17-2, 役割の詳細を参照してください。

    変更可能な承認の詳細に関する詳細については、表 17-3, 承認の詳細を参照してください。

  5. 変更が完了したら、[保存]をクリックします。

17.2.3 役割のプロパティ

役割の詳細のプロパティ

表 17-2 役割の詳細

フィールド

説明

役割名

ユーザアプリケーション内で役割名が表示される際に使用されるテキストです。この名前は、ユーザアプリケーションでサポートするいずれの言語にも翻訳できます。詳細については、表 1-1, 一般的なボタンを参照してください。

役割の説明

ユーザアプリケーション内で役割の説明が表示される際に使用されるテキストです。役割名と同様、ユーザアプリケーションでサポートするいずれの言語にも翻訳できます。詳細については、表 1-1, 一般的なボタンを参照してください。

役割レベル

(役割を変更する際には、読み込み専用。)ドロップダウンリストから役割レベルを選択します。

役割レベルは、Designer for Identity Manager Role Configurationエディタを使用して定義されます。役割レベルの詳細については、セクション 14.1, [役割]タブについてを参照してください。

役割コンテナ

(役割を変更する際には、読み込み専用。)ドライバ内の役割オブジェクト用の場所です。役割コンテナは役割レベルの下に存在します。ユーザアプリケーションでは、選択した役割レベルの下に存在する役割コンテナのみが表示されます。役割は、役割レベルの中に直接、または役割レベル内部のコンテナの中に作成できます。役割コンテナの指定はオプションです。

役割の所有者

役割定義の所有者に指名されたユーザのことです。役割カタログに対してレポートを生成する際には、役割所有者に基づいてこれらのレポートをフィルタできます。役割所有者には、役割定義への変更を管理する権限が自動的には与えられません。

役割カテゴリ

役割を編成するために役割をカテゴリ化できます。カテゴリは、役割のリストをフィルタするのに使用されます。カテゴリは複数選択が可能です。

承認の詳細のプロパティ

表 17-3 承認の詳細

フィールド

説明

承認が必要

要求時に役割に承認が必要な場合で、承認プロセスにおいて標準的な役割割り当ての承認定義を実行させたい場合は、[はい]を選択します。

要求時に承認が必要でない場合は、[いいえ]を選択します。

標準承認の使用

役割サブシステム内で指定されている標準的な役割割り当ての承認定義をこの役割が使用する場合は、[はい]を選択します。承認定義名は、以下の[役割割り当ての承認定義]の中で読み込み専用で表示されます。

承認タイプ([シリアル]または[定数])および有効な承認者を選択する必要があります。

いいえ]を選択すると、カスタムの役割割り当ての承認定義の名前を入力するように要求されます。

役割割り当ての承認定義

役割が要求される際に実行されるプロビジョニング要求定義名です。[標準の承認の使用]の値が[はい]の場合は、値は役割サブシステムの環境設定から生成されます。値が[いいえ]の場合は、使用するカスタムのプロビジョニング要求定義を選択する必要があります。

承認タイプ

承認者]リスト内のすべてのユーザが役割を承認するようにしたい場合は、[シリアル]を選択します。承認者はリスト内の順序に従って順次処理されます。

承認者]リスト内の一定の割合のユーザが役割を承認するようにしたい場合は、[定数]を選択します。承認は、指定した割合のユーザに達すると完了します。

たとえば、リスト内の4人に1人のユーザが条件を承認するようにするには、[定数]および25パーセントを指定します。代わりに、4人すべての承認者が並行して承認する必要がある場合は、100パーセントと指定できます。値は、1~100の間の整数である必要があります。

ヒント:[シリアル]および[定数]フィールドには、その動作を説明するホバーテキストが用意されています。

承認者

承認者リストを変更するには、[+]をクリックします。

役割承認タスクを1人以上のユーザに割り当てる必要がある場合は、[ユーザ]を選択します。役割承認タスクをグループに割り当てる必要がある場合は、[グループ]を選択します。特定のユーザまたはグループを探すには、[オブジェクトセレクタ]または[履歴]ボタンを使用します。リスト内の承認者の順序を変更したり、承認者を削除したりする方法については、セクション 1.4.4, 一般的なユーザアクションを参照してください。