Novell Doc: Identity Manager 3.5.1ユーザアプリケーション:管理ガイド - ユーザアプリケーションのユーザタイプ

1.3 ユーザアプリケーションのユーザタイプ

Identity Managerユーザアプリケーションのユーザは、次のカテゴリに分類されます。

1.3.1 管理者

ユーザアプリケーションには、さまざまな管理ユーザが定義されています。表 1-3に定義されている管理ユーザは、インストール時に定義されます。

表 1-3 ユーザアプリケーションの管理ユーザ

User	説明
LDAP管理者	アイデンティティボールトを環境設定できる権限を持つユーザです。これは、論理的な役割で、他のタイプの管理ユーザと共有することができます。 LDAP管理者アカウントは、新規ユーザ、グループ、コンテナの作成など、通常はログインしたユーザが権限を持たないタスクを、ユーザアプリケーションがLDAPサーバ上で処理するための代理ユーザです。これは、アイデンティティボールトにバインドしてシステムLDAP操作を行うために使われる資格情報(ユーザ名とパスワード)を表しています。これらはユーザアプリケーション自身を実行するために必要な権限です。LDAP管理者に必要なものを次に示します。ユーザアプリケーションドライバと、そのオブジェクトにタイするスーパバイザ権。このためには、ドライバコンテナレベルで権限を設定し、それを継承可能にします。ディレクトリ抽象化層ユーザエンティティ定義を通じて定義されたユーザに対するスーパバイザエントリ権。これには、objectClass、およびDirXML-EntitlementRecipient、srvprvEntityAux、およびsrvprvUserAux補助クラスに関連するすべての属性への属性書き込み権がなければなりません。コンテナオブジェクトcn=DefaultNotificationCollection, cn=Securityに対する読み込み権。このオブジェクトは、自動プロビジョニング電子メールに使用される電子メールサーバ設定に保持されます。これには、電子メールサーバ自体を認証するSecretStore資格情報を含めることができます。
ユーザアプリケーション管理者	ユーザアプリケーションの管理作業を実施できる権限を持つユーザです。このユーザは次の操作を行うことができます。ユーザアプリケーションを管理するには、［管理］タブを使用します。ワークフロータスク(ワークフローの有効化、無効化、停止など)を管理するには、iManagerを使用します。新しいプロビジョニング要求の作成や電子メールテンプレートの管理を行うには、iManagerまたはDesignerを使用します。 Novell Auditのログデータに対するレポートの実行。このユーザには、［要求と承認］タブに対する特別な権限はありません。このユーザは、［管理］ページでアプリケーションレベルのアクセスを制御するため、特にディレクトリ権は必要ありません。ユーザアプリケーション管理者は［管理］ページのテーマを管理できますが、ユーザアプリケーションはLDAP管理者の資格情報を使って、アイデンティティボールト内のテーマ選択を変更します。パスワードセルフサービス: ユーザアプリケーション管理者が行う作業の1つに、ユーザアプリケーション用のパスワードセルフサービスの環境設定があります。パスワードセルフサービスの機能は、パスワード同期化ステータスです。ユーザアプリケーション管理者に対して他のユーザのパスワード同期化ステータスを参照できるようにする場合(トラブルシューティングや他の目的で)、PasswordManagementグループを作成して、そのグループにユーザを割り当てることをおすすめします。PasswordManagementグループのメンバーには、他のユーザのパスワード同期ステータスを表示する権利が与えられます。このグループを作成する場合、次の条件を満たしていなければなりません。名前は「PasswordManagement」にする。アイデンティティボールトに対する権限を与える。このグループには、パスワード同期ステータスを表示するユーザのeDirectoryオブジェクト属性に対する読み込み権が必要です。
プロビジョニングアプリケーション管理者	ユーザアプリケーションに対するすべての管理権を与えずに、プロビジョニング管理タスクをビジネスユーザに委任できるようにすることを目的にしたユーザです。デフォルトでは、プロビジョニング管理者は［管理］ページにはアクセスできません。ただし、［要求と承認］タブに対しては、すべての権限を保有しています。たとえば、プロビジョニングアプリケーション管理者のログイン時には、すべてのユーザがそのチームメンバーとみなされるため、管理者がチームを選択する必要はありません。

User

説明

LDAP管理者

アイデンティティボールトを環境設定できる権限を持つユーザです。これは、論理的な役割で、他のタイプの管理ユーザと共有することができます。

LDAP管理者アカウントは、新規ユーザ、グループ、コンテナの作成など、通常はログインしたユーザが権限を持たないタスクを、ユーザアプリケーションがLDAPサーバ上で処理するための代理ユーザです。これは、アイデンティティボールトにバインドしてシステムLDAP操作を行うために使われる資格情報(ユーザ名とパスワード)を表しています。これらはユーザアプリケーション自身を実行するために必要な権限です。LDAP管理者に必要なものを次に示します。

ユーザアプリケーションドライバと、そのオブジェクトにタイするスーパバイザ権。このためには、ドライバコンテナレベルで権限を設定し、それを継承可能にします。
ディレクトリ抽象化層ユーザエンティティ定義を通じて定義されたユーザに対するスーパバイザエントリ権。これには、objectClass、およびDirXML-EntitlementRecipient、srvprvEntityAux、およびsrvprvUserAux補助クラスに関連するすべての属性への属性書き込み権がなければなりません。
コンテナオブジェクトcn=DefaultNotificationCollection, cn=Securityに対する読み込み権。このオブジェクトは、自動プロビジョニング電子メールに使用される電子メールサーバ設定に保持されます。これには、電子メールサーバ自体を認証するSecretStore資格情報を含めることができます。

ユーザアプリケーション管理者

ユーザアプリケーションの管理作業を実施できる権限を持つユーザです。このユーザは次の操作を行うことができます。

ユーザアプリケーションを管理するには、［管理］タブを使用します。
ワークフロータスク(ワークフローの有効化、無効化、停止など)を管理するには、iManagerを使用します。
新しいプロビジョニング要求の作成や電子メールテンプレートの管理を行うには、iManagerまたはDesignerを使用します。
Novell Auditのログデータに対するレポートの実行。

このユーザには、［要求と承認］タブに対する特別な権限はありません。

このユーザは、［管理］ページでアプリケーションレベルのアクセスを制御するため、特にディレクトリ権は必要ありません。ユーザアプリケーション管理者は［管理］ページのテーマを管理できますが、ユーザアプリケーションはLDAP管理者の資格情報を使って、アイデンティティボールト内のテーマ選択を変更します。

パスワードセルフサービス: ユーザアプリケーション管理者が行う作業の1つに、ユーザアプリケーション用のパスワードセルフサービスの環境設定があります。パスワードセルフサービスの機能は、パスワード同期化ステータスです。ユーザアプリケーション管理者に対して他のユーザのパスワード同期化ステータスを参照できるようにする場合(トラブルシューティングや他の目的で)、PasswordManagementグループを作成して、そのグループにユーザを割り当てることをおすすめします。PasswordManagementグループのメンバーには、他のユーザのパスワード同期ステータスを表示する権利が与えられます。このグループを作成する場合、次の条件を満たしていなければなりません。

名前は「PasswordManagement」にする。
アイデンティティボールトに対する権限を与える。このグループには、パスワード同期ステータスを表示するユーザのeDirectoryオブジェクト属性に対する読み込み権が必要です。

プロビジョニングアプリケーション管理者

ユーザアプリケーションに対するすべての管理権を与えずに、プロビジョニング管理タスクをビジネスユーザに委任できるようにすることを目的にしたユーザです。デフォルトでは、プロビジョニング管理者は［管理］ページにはアクセスできません。ただし、［要求と承認］タブに対しては、すべての権限を保有しています。たとえば、プロビジョニングアプリケーション管理者のログイン時には、すべてのユーザがそのチームメンバーとみなされるため、管理者がチームを選択する必要はありません。

iManager管理者

上記のユーザと関連タスクに加えて、Identity ManagerにはiManagerを使って次の作業を行う管理者が用意されています。

新しいプロビジョニング要求とワークフローを作成する。
チームを定義する。
電子メールテンプレートを定義、管理する。
ワークフロータスクを管理する(ワークフローの有効化、無効化、停止など)。

これらのタスクを実行するユーザを上記のような管理者にしたり、これらのタスクを実行する権限が与えられた別のユーザを管理者にすることができます。

iManagerでワークフローオブジェクトを作成、編集するには、特定のユーザアプリケーションドライバのRequestDefs.AppConfigコンテナに対して次の権限が必要です。

[Entry Rights] スーパバイザまたは作成。
[All Attribute Rights] スーパバイザまたは書き込み。

ワークフローを開始するには、ユーザは特定のユーザアプリケーションドライバ(委任モデルを使用している場合は要求定義オブジェクト個別)のRequestDefs.AppConfigコンテナに対する参照[Entry Rights]権限がなければなりません。

1.3.2 設計者

設計者はIdentity ManagerのDesignerを使って、ユーザアプリケーションをカスタマイズします。Designerは、企業のＩＴ開発者、コンサルタント、セールスエンジニア、システム設計者、システム管理者などの、ディレクトリ、データベース、自社のＩＴ環境を深く理解しており、ソリューションの設計者としての役割を果たすＩTの専門家を対象にしたツールです。

Designerでワークフローオブジェクトを作成、編集するには、特定のユーザアプリケーションドライバのRequestDefs.AppConfigコンテナに対して次の権限が必要です。

[Entry Rights] スーパバイザまたは作成。
[All Attribute Rights] スーパバイザまたは書き込み。

1.3.3 ユーザ

ユーザは、ユーザアプリケーションの［Identityセルフサービス］タブと［要求と承認］タブ(プロビジョニングがインストールされている場合)を表示して操作を行う人々です。次の種類のユーザがあります。

認証ユーザ(従業員、マネージャ、従業員やマネージャから委任された人、または代理人)。委任ユーザは、他のユーザの代わりにタスクの作業を行うために、1つまたは複数のタスクを委任された人です。代理ユーザは、他のユーザの識別情報を一時的に引き継ぐことによって、そのユーザの役割を果たすエンドユーザです。元のユーザの権利はすべて代理ユーザに適用されます。元のユーザが担当していた仕事は、引き続きそのユーザが担当していることになります。
匿名またはゲストユーザ匿名ユーザは、パブリックLDAPゲストアカウント、またはアイデンティティボールトに設定されている特別なアカウントです。ユーザアプリケーション管理者は、［Identityセルフサービス］タブの一部の機能に対して匿名アクセスを有効にすることができます。また、ユーザアプリケーション管理者は、ユーザがリソースを要求するためのページを作成することもできます。匿名アクセスの設定方法については、表 1-8を参照してください。

ユーザアプリケーションでユーザが利用できる機能は、ユーザアプリケーション管理者の設定内容によって異なります。次のように環境設定できます。

組織図ポートレットを使ってユーザオブジェクト間の階層関係を表示する。
(ユーザが適切な権利を持つ)ユーザ情報の\'95\'5c示と編集。
高度な検索条件を使用した、ユーザやリ\'83\'5cースの検索(保存して再使用できます)。
忘れてしまったパスワードの回復。

プロビジョニングモジュールがインストールされている場合、ユーザに次の作業を行わせるようにユーザアプリケーションを環境設定できます。

リ\'83\'5cースの要求(事前定義された多数のワークフローの1つの開始)。
以前の要求のステータスの\'95\'5c示。
タスクの要求およびタスクリストの\'95\'5c示(リ\'83\'5cース、受信者、または他の特性ごと)。
プロキシの割り当ての\'95\'5c示。
委任の割り当ての\'95\'5c示。
自分の可用性を指定する。
他のユーザに代わってタスクを要求するためにプロキシモードに入る。
チームタスクの\'95\'5c示やチームリ\'83\'5cースの要求など(\'83\'7dネージャのみ)。