役割および役割の割り当てについて

役割は、1つ以上のターゲットシステムまたはアプリケーションに関連する一連の許可を定義します。ユーザは、［役割］タブを使用することで、役割とユーザ、グループ、またはコンテナの間の関係である役割の割り当てを要求できます。さらに［役割］タブでは、役割階層内での役割間の関係を設定する役割関係を定義することもできます。

役割は直接ユーザに割り当てることができます。この場合、これらの直接割り当ては、役割に関連付けられている許可に対して明示的なアクセスを付与することになります。また、間接割り当てを定義することもできます。この場合、ユーザは、役割階層内のグループ、コンテナ、または関連するメンバーシップを通じて役割を取得できます。

役割の割り当てを要求する際には、役割割り当ての有効開始日を定義して、割り当てが有効になる日時を指定できます。このオプションを空欄にすると、割り当てはただちに行われることになります。

また、役割割り当て有効期限を定義して、割り当てを自動的に削除する日時を指定することもできます。

ユーザが役割の割り当てを要求すると、役割サブシステムが役割要求のライフサイクルを管理します。ユーザまたは役割サブシステムによって要求に対して実行されたアクションを確認するには、［要求ステータスの表示］ページで要求のステータスを確認できます。

役割カタログおよび役割階層

役割の割り当てを始めるには、該当する役割が役割カタログで定義されている必要があります。役割カタログとは、役割サブシステムで使用されるすべての役割定義と関連データのストレージレポジトリです。役割カタログを設定するには、役割モジュール管理者(または役割マネージャ)が役割および役割階層を定義します。

カタログ内の役割間の関係は役割階層で設定されます。役割関係を定義することで、役割関係を使用して権限を付与するタスクを簡素化できます。たとえば、医者が組織に加わるたびに医療関係の個別の役割を50個割り当てる代わりに、Doctorという役割を定義しておいて、そのDoctorの役割と各医療関係の役割の間に役割関係を指定することができます。ユーザをDoctorの役割に割り当てることで、関連する医療関係の各役割に対して定義された許可をユーザに付与できます。

役割階層は3つのレベルをサポートしています。最上位レベルに定義されている役割(ビジネス役割)は、組織内においてビジネス的な意味を持つ業務を定義します。中間レベルの役割(IT役割)は、技術的な機能をサポートします。階層の最下位レベルで定義されている役割(許可役割)は、下位レベルの特権を定義します。次の例は、3レベルで構成されるある医療機関の役割階層のサンプルを示しています。左側に階層の最上位レベルがあり、右側が最下位レベルになります。

図 14-1 役割階層の例

上位レベルの役割には、自動的に、下位レベルの役割に含まれる役割が持つ特権が含まれます。たとえば、ビジネス役割にはIT役割が持つ特権が自動的に含まれます。同様に、IT役割には許可役割が持つ特権が自動的に含まれます。

階層内の同等の役割間の役割関係は許可されていません。さらに、下位レベルの役割に上位レベルの役割を含めることはできません。

役割を定義する際には、オプションでその役割に1人以上の所有者を指定することができます。役割所有者とは、役割定義の所有者に指定されたユーザです。役割カタログでレポートを生成する際には、役割所有者に基づいてレポートをフィルタできます。役割所有者には、役割定義の変更を管理する権限は自動的には与えられません。場合によっては、役割に対して管理アクションを実行するよう所有者が役割管理者に依頼しなければならないこともあります。

役割を定義する際には、オプションでその役割を1つ以上の役割カテゴリに関連付けることができます。役割カテゴリを使用すると、役割を分類して、役割システムを整理することができます。役割をカテゴリに関連付けたら、役割カタログを参照する際にこのカテゴリをフィルタとして使用できます。

役割割り当て要求に承認が必要な場合は、承認を調整するのに使用されるワークフロープロセスのほかに、承認者リストの詳細が役割定義によって指定されます。承認者とは、役割割り当て要求を承認または拒否できる個人のことです。

役割分担

役割サブシステムの重要な機能は、役割分担(SoD)制約を定義できる点です。役割分担(SoD)制約とは、競合していると考えられる2つの役割を定義する規則です。組織の役割分担制約はセキュリティ責任者が作成します。SoD制約を定義することで、セキュリティ責任者はユーザが競合する役割に割り当てられるのを防いだり、監査証跡を管理して、違反が許可されている状況をトラッキングしたりすることができます。役割分担制約では、競合する役割は役割階層内の同じレベルに存在する必要があります。

役割分担制約の中には、承認なしで上書きできるものも、承認が必要なものもあります。承認なしで許可されている競合を役割分担違反と呼びます。承認されている競合は、役割分担の承認済み例外と呼びます。役割サブシステムでは、間接割り当て(グループやコンテナ内のメンバーシップ、または役割関係など)の結果発生したSoD違反の承認は必要ありません。

役割分担制約に承認が必要な場合は、承認を手配するのに使用されるワークフロープロセスのほかに、承認者リストに関する詳細が制約定義によって指定されます。承認者とは、SoD例外を承認または拒否できる個人のことです。役割サブシステムの設定の一部として、デフォルトリストが定義されます。ただし、このリストはSoDの制約の定義で上書きできます。

役割のレポートおよび監査

役割サブシステムは、監査担当者が役割カタログに加え、役割割り当ておよびSoDの制約、違反、例外の現在のステータスを分析するのに役立つ豊富なレポート機能を備えています。役割監査担当者および役割モジュール管理者は、役割レポート機能を使用して次の種類のレポートをPDF形式で表示できます。

役割サブシステムは、レポート機能を使用して情報を提供するだけでなく、Novell® Auditへイベントをログするように設定することもできます。

役割のセキュリティ

役割サブシステムは、一連のシステム役割を使用して、［役割］タブにある機能へのアクセスを保護しています。［役割］タブにある各メニューアクションは、1つ以上のシステム役割にマップされています。ユーザが、アクションに関連付けられているいずれかの役割のメンバーでない場合、そのアクションに対応するメニュー項目は［役割］タブに表示されません。

システム役割とは、インストール時に自動的に定義される、委任管理のための管理役割です。これらの役割には次のものが含まれます。

システム役割については、次で詳細を説明します。

役割サービスドライバ

役割サブシステムは、役割サービスドライバを使用して役割のバックエンド処理を管理します。たとえば、すべての役割割り当ての管理、承認が必要な役割割り当て要求やSoD競合用のワークフローの開始、グループとコンテナのメンバーシップに従った間接役割割り当ての管理のほか、関連する役割のメンバーシップの管理を行います。このドライバは、役割のメンバーシップに基づいてユーザのエンタイトルメントを付与および取消し、完了した要求のクリーンアップ手順を実行します。

役割サービスドライバの詳細については、『Identity Managerユーザアプリケーション: 管理ガイド』を参照してください。