1.1 Identity Managerの概要

Novell® Identity Managerは、ユーザコミュニティのアクセスニーズを安全に管理するために組織によって使用されるシステムソフトウェア製品です。 ユーザコミュニティの所属メンバーは、Identity Managerの導入メリットをさまざまな形で享受できます。 たとえば、Identity Managerを使って次のことを実行できます。

ユーザおよびチームがこれらの機能を直接使用できるように、Identity Managerユーザアプリケーションには、Webブラウザで使用できるユーザインタフェースが提供されています。

1.1.1 Identity Managerユーザアプリケーションの概要

Identity Managerユーザアプリケーションでは、Identity Managerの情報、リソース、および機能にアクセスできます。 システム管理者がIdentity Managerユーザアプリケーションで表示する内容および実行できる操作を決定します。 一般的に、以下の内容が含まれます。

  • Identityセルフサービスで実行できる操作

    • 組織図を表示する

    • ユーザに関連付けられたアプリケーションを報告する(管理者の場合) (Identity Manager用役割ベースプロビジョニングモジュールが必要)

    • 自分のプロファイルの情報を編集する

    • ディレクトリを検索する

    • パスワード、パスワード確認の回答、パスワードヒントを変更する

    • パスワードポリシーステータスおよびパスワード同期ステータスを確認する

    • 新規ユーザまたはグループのアカウントを作成する(権限がある場合)

  • 要求と承認で実行できる操作

    • リソースの要求

    • リソース要求の承認について確認する

    • 他のユーザのリソース要求を承認するための割り当てられたタスクを実行する

    • 他のユーザの代理または委任先として要求および承認を実行する

    • 他のユーザを自分の代理または委任先として割り当てる(その権限が付与されている場合)

    • 自分のチームに関するすべての要求処理と承認処理を管理する(その権限が付与されている場合)

    • 要求または承認ごとにデジタル署名をオプションで提供する

    メモ:要求および承認を実行するには、Identity Manager用役割ベースプロビジョニングモジュールが必要です。

  • 役割で実行できる操作

    • 役割割り当てを要求し、役割割り当て要求の承認プロセスを管理する

    • 役割要求のステータスを確認する

    • 役割および役割関係を定義する

    • ユーザが制約の上書きを要求した場合に、役割分担(SoD)の制約を定義し、承認プロセスを管理する

    • 役割カタログを参照する

    • カタログで定義されている役割および役割分担の制約に加え、役割割り当ての現在のステータス、役割分担の例外、およびユーザエンタイトルメントを一覧にした詳細レポートを確認する

    メモ:役割には、Identity Manager用役割ベースプロビジョニングモジュールが必要です。

  • 整合性で実行できる操作

    • ユーザプロファイル検証プロセスの要求

    • 役割分担(SoD)検証プロセスの要求

    • 役割割り当て検証プロセスの要求

    • ユーザ割り当て検証プロセスの要求

    メモ:準拠するには、Identity Manager Roles Based Provisioning Moduleが必要です。

1.1.2 概要図

図 1-1 IDMユーザアプリケーションはIdentity Managerへのユーザインタフェースを提供

1.1.3 一般的な使用方法

組織内でのIdentity Managerユーザアプリケーションの一般的な使用例をいくつか示します。

Identityセルフサービスの操作

  • Ella (エンドユーザ)がログイン時にIdentityセルフサービスを使用して、忘れたパスワードを回復する

  • Erik (エンドユーザ)が、彼の所在地にいてドイツ語を話す従業員すべてを検索する

  • Eduardo (エンドユーザ)が組織図を参照して、ellaを検索し、電子メールアイコンをクリックしてEllaにメッセージを送信する

要求と承認の操作

  • Ernie (エンドユーザ)が、使用できるリソースの一覧を参照し、Siebel*システムにアクセスできるように要求する。

  • Amy (承認者)が電子メール(URLが記載されている)で承認要求「通知」を受信する。 AmyがURLのリンクをクリックすると承認フォームが表示され、Amyは要求を承認する。

  • Ernieが、以前発行したSiebelシステムへのアクセス要求の「ステータス」を確認する(このアクセス要求は、承認を受けるため2人目の承認者に転送されている)。 その要求がまだ処理中であることがわかる。

  • Amyはこれから休暇に入るので、休暇中は「稼動できなくなる」旨を設定する。 彼女が不在の間、追加の承認タスクは割り当てられない。

  • Amyが自分の承認タスクリストを開く。承認タスクの数が多すぎて、迅速に対応できないことがわかる。そのためAmyは、一部の承認タスクを同僚に再割り当てする。

  • Pat (Amyの「代理」ユーザである管理アシスタント)がAmyのタスクリストを開き、Amyの代わりに承認タスクを実行する。

  • Max (マネージャ)が「自部署の従業員のタスクリスト」を表示する。 Amyが休暇中であることを知っているため、MaxはAmyのタスクを部署の他の従業員に再割り当てする。

  • Maxが部署内の直属の部下に対するデータベースアカウントの要求を開始する

  • MaxがDanをAmyの正式な委任先として割り当てる

  • Dan (委任された承認者)はAmyの休暇中、Amyのタスクを受け持つ

  • Maxが無給のインターンを雇う。このインターンは人事システムに登録すべきでない。 システム管理者がこのインターンのユーザレコードを作成し、Notes、Active Directory、およびOracleへのアクセスをこのインターンに許可するよう要求する。

役割の使用

  • Maxine (役割マネージャ)が、NurseとDoctorというビジネス役割、およびAdminister DrugsおよびWrite PrescriptionsというIT役割を作成する。

  • Maxine (役割マネージャ)が、NurseおよびAdminister Drugsの役割間の関係を定義して、Nurseの役割にAdminister Drugsの役割が含まれるように指定する。さらにMaxが、Doctorの役割にWrite PrescriptionsおよびDoctorの役割間の関係を定義して、Write Prescriptionsの役割が含まれるように指定する。

  • Chester (セキュリティ責任者)がDoctorとNurseの役割が競合する可能性があることを示す役割分担の制約を定義する。これは、通常同じユーザに対して両方の役割を同時に割り当てるべきではないことを意味します。状況によっては、役割割り当てを要求する個人がこの制約を上書きすることもできます。役割分担の例外を定義するには、割り当てを要求する個人が正当な理由を提供する必要があります。

  • Ernie (エンドユーザ)が使用できる役割のリストを参照し、Nurseの役割への割り当てを要求する。

  • Amelia (承認者)が電子メール(URLが記載されている)で承認要求の通知を受信する。AmyがURLのリンクをクリックすると承認フォームが表示され、Amyは要求を承認します。

  • Arnold (役割マネージャ)が、ErnestにDoctorの役割を割り当てるように要求する。Ernestにすでに割り当てられているDoctorの役割とNurseの役割が競合する可能性があることがArnoldに通知されます。Arnoldは、役割分担の制約の例外を許可してもらうための正当な理由を提供します。

  • Edward (役割分担の承認者)が電子メール経由で役割分担の競合についての通知を受信する。Edwardは、Arnoldの役割分担の制約を上書きする要求を承認します。

  • Amelia (承認者)が電子メール経由でDoctorの役割に対する承認要求の通知を受信する。Ameliaは、ErnestをDoctorの役割に割り当てるというArnoldの要求を承認します。

  • Bill (役割監査員) がSoD違反および例外レポートをチェックし、ErnestがDoctorとNurseの両方の役割に割り当てられていることを確認する。

整合性について

  • Maxine (役割マネージャ)が、NurseとDoctorというビジネス役割、およびAdminister DrugsおよびWrite PrescriptionsというIT役割を作成する。

  • Maxine (役割マネージャ)が、NurseおよびAdminister Drugsの役割間の関係を定義して、Nurseの役割にAdminister Drugsの役割が含まれるように指定する。さらにMaxが、Doctorの役割にWrite PrescriptionsおよびDoctorの役割間の関係を定義して、Write Prescriptionsの役割が含まれるように指定する。

  • Chester (セキュリティ責任者)がDoctorとNurseの役割が競合する可能性があることを示す役割分担の制約を定義する。これは、通常同じユーザに対して両方の役割を同時に割り当てるべきではないことを意味します。状況によっては、役割割り当てを要求する個人がこの制約を上書きすることもできます。役割分担の例外を定義するには、割り当てを要求する個人が正当な理由を提供する必要があります。

  • Arnold (役割マネージャ)が、ErnestにDoctorの役割を割り当てるように要求する。Ernestにすでに割り当てられているDoctorの役割とNurseの役割が競合する可能性があることがArnoldに通知されます。Arnoldは、役割分担の制約の例外を許可してもらうための正当な理由を提供します。

  • Philip (整合性モジュール管理者)は、Nurse役割に対する役割割り当て検証プロセスを開始します。

  • Fiona (証明者)は、電子メール(URLを含む)で検証タスクの通知を受け取ります。 電子メール内のリンクをクリックすると検証フォームが表示されます。検証フォームの質問に肯定の回答をして、情報が正しいことに同意します。

  • Philip (整合性モジュール管理者)は、人事グループ内のユーザ用のユーザプロファイル検証プロセスに対する新しい要求を開始します。

  • 人事グループ内の各ユーザは、電子メール(URLを含む)で検証タスクの通知を受け取ります。 ユーザが電子メール内のリンクをクリックすると検証フォームが表示されます。フォームは様々なユーザプロファイル属性の値を確認するために使用されます。記載されている情報を確認した後で、各ユーザは検証の質問に回答します。