識別\'83\'7bールトおよびIdentity Managerのオブジェクトに対するアクセスについては、セキュリティ保護を実行します。
物理的なセキュリティ - 識別\'83\'7bールトがインストールされた物理的なサーバがある場所へのアクセスを保護します。
アクセス権 - Identity Managerには、Identity Managerのオブジェクトを作成し、ドライバを設定するための管理権が必要です。次を作成または変更する権限を持つユーザを監視および制御します。
Identity Managerドライバセット
Identity Managerドライバ
ドライバ設定オブジェクト(フィルタ、スタイルシート、ポリシー)。特に、パスワードの取得または同期に使用するポリシー。
パスワードポリシーオブジェクト(およびこれらを編集するためのiManagerタスク)。これらのオブジェクトは、相互に同期するパスワードと、使用するパスワードセルフサービスオプションを制御しているためです。
eDirectoryの標準のオブジェクトベースのアクセスコントロールに加え、Identity Managerでは、完全なスーパバイザ権をドライバオブジェクトに与えるのではなく、Identity Managerドライバで特定のタスクのみ実行するためのトラスティ権利を割り当てることができます。たとえば、あるユーザはドライバオブジェクトの設定(オブジェクトプロパティの作成および変更)のみでき、他のユーザはドライバの開始と停止のみできるというようなトラスティ権利を割り当てることができます。
Identity Managerには、役割ベースのアクセスを可能にする以下のドライバオブジェクト属性が用意されています。
これらの属性にトラスティ権利を設定すると、Identity Managerのverbおよびsub-verbへのアクセスが付与されます。読み込みアクセス権では状態の表示(verb状態の取得)、書き込みアクセス権では状態の変更(verb状態の設定)ができます。たとえば、読み込みアクセス権をドライバオブジェクトのDirXML-AccessRun属性に付与すると、ユーザはドライバの状態(開始または停止)を取得できます。書き込みアクセス権を付与すると、ユーザはドライバ状態を設定できます(開始を停止に変更する、または停止を開始に変更する)。
属性ベースのアクセスをドライバのタスクに割り当てる目的は、明確な管理者の役割を作成し、場合によってはeDirectoryの管理者の役割オブジェクトを使用して、すべての管理機能を公開することなく、ユーザが特定の管理タスクを実行できるようにすることにあります。これらの役割を作成することは、上述のDirXML-Access属性にアクセス権を提供する以上の権利を付与することになり、他の属性へのアクセス権、および他のIdentity Managerオブジェクトへのアクセス権を含めることができます。以下の例は、管理者の役割の作成における柔軟性を示しています。
ドライバの開始/停止管理者 この管理者の役割を割り当てられたユーザは、特定のドライバセットにあるすべてのドライバを開始および停止できます。この役割には、以下のアクセス権が必要です。
ドライバセットオブジェクトの参照権
ドライバセットオブジェクトのDirXML-AccessRunへの読み書き権(継承あり)
ドライバ管理者 この管理者の役割を割り当てられたユーザは、単一のドライバオブジェクトを管理できます。この役割には、以下のアクセス権が必要です。
ドライバオブジェクトの参照および作成権
ドライバオブジェクトの[すべての属性の権利]への読み書き権
メモ:これらの権利が継承されていることを確認し、ドライバ管理者がドライバのポリシーオブジェクトも管理できるようにします。
iManagerを使用して、eDirectoryのアクセス権を付与する方法の詳細については、『iManager Administration Guide』を参照してください。