16.1 役割カタログの参照

Identity Managerユーザインタフェースの［役割とリソース］タブの［役割カタログ］アクションを使用すると、カタログで事前に定義した役割を表示できます。新しい役割の作成、および既存の役割の変更、削除、割り当てもできます。

16.1.1 役割の表示

［役割とリソース］アクションのリストにある［役割カタログ］をクリックします。

ユーザアプリケーションにより、現在カタログで定義されている役割のリストが表示されます。

役割リストのフィルタ

［役割カタログ］画面の右上隅にある［フィルタの表示］ボタンをクリックします。
［フィルタ］ダイアログボックスで、役割名または説明にフィルタ文字列を指定するか、または1つ以上の役割レベルまたはカテゴリを選択します。
［フィルタ］をクリックして選択条件を適用します。
現在のフィルタを削除するには、［リセット］をクリックします。

ページの最大役割数の設定

［行］ドロップダウンリストをクリックし、各ページに表示する行数を選択します。

役割リストのスクロール

役割リストで別のページにスクロールするには、リストの下部にある［次へ］、［前へ］、［最初］、または［最後］ボタンをクリックします。

役割リストのソート

役割リストをソートするには、ソートするカラムのヘッダをクリックします。

ピラミッド型のソートインジケータにより、どのカラムが新規のソートカラムかが示されます。ソートが昇順の場合、ソートインジケータは通常通り上向きに表示されます。

ソートが降順の場合、ソートインジケータは逆さに表示されます。

初期ソートカラムは管理者が決定します。

初期ソートカラムを上書きする場合、ソートカラムは必須カラムのリストに追加されます。必須のカラムはアスタリスク(*)で示されます。

タスクリストのソード順序を変更する場合、初期設定はその他のユーザ初期設定とともに識別ボールトに保存されます。

16.1.2 新規役割の作成

［役割カタログ］画面の上部にある［新規］ボタンをクリックします。

ユーザアプリケーションにより、［新しい役割］ダイアログボックスが表示されます。

表 16-1の説明に従って役割定義の詳細を指定します。

表 16-1 役割の詳細

フィールド	説明
表示名	ユーザアプリケーション内で役割名が表示される際に使用されるテキストです。役割を作成するときには、［表示名］に次の文字を使用することはできません。 < > , ; \ " + # = / \| & * この名前は、ユーザアプリケーションでサポートするいずれの言語にも翻訳できます。詳細については、表 1-1, 一般的なボタンを参照してください。
説明	ユーザアプリケーション内で役割の説明が表示される際に使用されるテキストです。表示名と同様、ユーザアプリケーションでサポートするいずれの言語にも翻訳できます。詳細については、表 1-1, 一般的なボタンを参照してください。
役割レベル	(役割を変更する際には、読み込み専用。)ドロップダウンリストから役割レベルを選択します。役割レベルは、Designer for Identity Manager Role Configurationエディタを使用して定義されます。
役割サブコンテナ	(役割を変更する際には、読み込み専用。)ドライバ内の役割オブジェクト用の場所です。役割コンテナは役割レベルの下に存在します。ユーザアプリケーションでは、選択した役割レベルの下に存在する役割コンテナのみが表示されます。役割は、役割レベルの中に直接、または役割レベル内部のコンテナの中に作成できます。役割コンテナの指定はオプションです。
カテゴリ	役割を編成するために役割をカテゴリ化できます。カテゴリは、役割のリストをフィルタするのに使用されます。カテゴリは複数選択が可能です。
所有者	役割定義の所有者として指定されているユーザ役割カタログに対してレポートを生成する際には、役割所有者に基づいてこれらのレポートをフィルタできます。役割所有者には、役割定義への変更を管理する権限が自動的には与えられません。

［保存］をクリックして、役割定義を保存します。

ユーザアプリケーションにより、役割定義を完了できるようにウィンドウの下部に複数の追加タブが表示されます。

役割関係の定義

役割関係タブにより、上位または下位の役割包含階層において役割同士を関連させる方法を定義できます。この階層では、下位レベルの役割に含まれる権限またはリソースを上位レベルの役割にグループ化することで、権限の割り当てが容易になります。許可される関係は次のとおりです。

最上位レベルの役割(ビジネス役割)は、下位レベルの役割を含むことができます。最上位レベルの役割は、他の役割に含めることができません。最上位レベルの役割を選択すると、［役割関係］ページでは下位レベル(子)の役割関係のみ追加できます。
中間レベルの役割(IT役割)は、下位レベルの役割を含むことができ、上位レベルの役割に含めることができます。［役割関係］ページでは、位レベル(子)の役割または上位レベル(親)の役割のいずれかを追加できます。
最下位レベルの役割(許可役割)は、上位レベルの役割に含めることができますが、他の最下位レベルの役割を含むことはできません。［役割関係］ページでは、上位レベル役割のみを追加できます。

役割関係を定義する

［役割関係］タブをクリックします。
［追加］をクリックします。

［役割関係の追加］ダイアログボックスが表示されます。
［初期要求の説明］フィールドに関係を説明するテキストを入力します。
［役割関係］ドロップダウンリストで種類を選択することによって定義する関係の種類を指定します。

新しい役割がIT役割である場合、［役割関係］ドロップダウンリストでは、［子］または［親］の関係を定義できます。新しい役割がビジネス役割である場合、［役割関係］ドロップダウンリストでは、これが［子］の関係であることを示す読み込み専用テキストを表示します。ビジネス役割に関連付けることができるのは、下位レベルの役割のみです。新しい役割が許可役割である場合、［役割関係］ドロップダウンリストでは、これが［親］の関係であることを示す読み込み専用テキストを表示します。許可役割に関連付けることができるのは、上位レベルの役割のみです。

選択に使用できる役割のリストは、選択した種類に応じてフィルタされます。
［選択した役割］フィールドの右側にあるオブジェクトセレクタを使用して、新しい役割に関連付ける役割を選択します。
［追加］をクリックします。

役割とリソースの関連付け

役割にリソースを関連付ける

［リソース］タブをクリックします。
［追加］をクリックします。

ユーザアプリケーションでは、［リソース関連付けの追加］ダイアログボックスが表示されます。
オブジェクトセレクタを使用して、目的のリソースを選択し、関連付けの理由を説明するテキストを入力します。

ウィザードでは、選択したリソースについての情報(リソースカテゴリ、所有者、エンタイトルメントの名前、およびエンタイトルメントの値など)を提供するページが表示されます。

静的パラメータ値(追加の属性またはエンタイトルメントの詳細な情報を表す)を取るエンタイトルメントの場合、ウィザードでは、［エンタイトルメント値］ラベルの隣に静的値が表示されます。動的パラメータを取るエンタイトルメントの場合、ウィザードでは、リソース要求フォーム(動的パラメータのフィールドを含む)およびフォームに定義されたデシジョンサポートフィールドが表示されます。
［関連付けの説明］フィールドに、リソースが役割に関連付けられた理由を説明するテキストを入力します。
［追加］をクリックして、リソースを役割に関連付けます。

［リソース関連付け］リストに、役割定義に追加したリソースが表示されます。

既存の役割割り当てに起こること すでにIDを割り当てられている役割に新しいリソース関連付けを追加する場合、システムは、IDにそれぞれリソースを付与するために新しい要求を開始します。

役割のリソース関連付けを削除する

［リソース関連付け］リストでリソース関連付けを選択します。
［削除］をクリックします。

既存の役割割り当てに起こること すでにIDを割り当てられている役割からリソース関連付けを削除する場合、システムは、IDからそれぞれリソースを取り消すするために新しい要求を開始します。

役割の承認プロセスの定義

役割の承認プロセスを定義する

［承認］タブをクリックします。

承認プロセスの詳細について、次に説明します。

表 16-2 承認の詳細

フィールド	説明
承認が必要	要求時に役割に承認が必要な場合で、承認プロセスにおいて標準的な役割割り当ての承認定義を実行させたい場合は、このチェックボックスを選択します。役割が要求時に承認を必要としない場合、このチェックボックスを選択解除します。メモ:役割の承認は、明示的にユーザに役割を割り当てる場合にのみトリガされます。
カスタム承認	カスタムの承認定義(プロビジョニング要求定義)を使用する場合、このラジオボタンを選択します。［オブジェクトセレクタ］を使用して承認定義を選択します。
標準の承認	この役割が、役割とリソースサブシステム設定で指定した標準の役割割り当て承認定義を使用する場合、このラジオボタンを選択します。承認定義名は、以下の［役割割り当ての承認定義］の中で読み込み専用で表示されます。承認タイプ(［シリアル］または［定数］)および有効な承認者を選択する必要があります。
承認タイプ	［承認者］リスト内のすべてのユーザが役割を承認するようにしたい場合は、［シリアル］を選択します。承認者はリスト内の順序に従って順次処理されます。［承認者］リスト内の一定の割合のユーザが役割を承認するようにしたい場合は、［定数］を選択します。承認は、指定した割合のユーザに達すると完了します。たとえば、リスト内の4人に1人のユーザが条件を承認するようにするには、［定数］および25パーセントを指定します。代わりに、4人すべての承認者が並行して承認する必要がある場合は、100パーセントと指定できます。値は、1～100の間の整数である必要があります。ヒント:［シリアル］および［定数］フィールドには、その動作を説明するホバーテキストが用意されています。
承認者	役割承認タスクを1人以上のユーザに割り当てる必要がある場合は、［ユーザ］を選択します。役割承認タスクをグループに割り当てる必要がある場合は、［グループ］を選択します。役割承認タスクをコンテナに割り当てる必要がある場合は、［コンテナ］を選択します。役割承認タスクを役割に割り当てる必要がある場合は、［役割］を選択します。特定のユーザ、グループ、コンテナ、または役割を探すには、［オブジェクトセレクタ］を使用します。リスト内の承認者の順序を変更したり、承認者を削除したりする方法については、セクション 1.5.2, 一般的なユーザアクションを参照してください。
承認の取り消しが必要(許可の設定と同じ)	役割の取り消し時に承認が必要な場合、このチェックボックスをオンにします。役割取り消し要求および承認者のリストに使用される承認プロセスは、役割付与要求と同じです。このプロセスは、承認プロセスで標準の役割割り当て承認定義を実行するよう指定した場合に使用されます。また、役割付与要求と役割取り消し要求の両方に対してカスタム承認プロセスを指定することもできます。カスタムプロビジョニング要求定義内で、アクションが許可か取り消しかを指定して、それに応じて承認プロセスをカスタマイズすることができます。役割の取り消し時に承認が必要ない場合、このチェックボックスをオフにします。

役割の割り当て実行

役割割り当ての実行の詳細については、セクション 16.1.5, 役割の割り当てを参照してください。

要求の処理状況の確認

［要求ステータス］アクションを使用すると、役割割り当て(明示的に行った要求、および自分が属するグループまたはコンテナへの役割割り当て要求を含む)のステータスを表示できます。各要求の現在の処理状況を確認できます。また、途中で方針が変わって要求を完了する必要がなくなった場合、完了または終了していない要求を撤回することもできます。

［要求ステータス］アクションは、稼働中、保留中の承認、承認済み、完了、却下済み、または終了を含むすべての役割割り当て要求を表示します。

役割割り当て要求のステータスを表示する

［要求ステータス］タブをクリックします。

［Request Action］に、アクションが許可か取り消しかが示されます。承認が必要だった場合に承認プロセスが完了していないときは、ステータスに「保留中の承認」と表示されます。
要求に関して詳細なステータス情報を表示するには、［ステータス］をクリックします。

［割り当ての詳細］ウィンドウが表示されます。

ステータス値の意味の詳細については、セクション 11.4, 自分の要求ステータスの表示を参照してください。
要求を撤回するには、要求を選択して［撤回］をクリックします。

要求を撤回するための許可を持つ必要があります。

要求が完了するか終了した場合、要求を撤回しようとするとエラーメッセージが表示されます。

16.1.3 既存の役割の編集

事前に定義済みの役割を選択し、［編集］をクリックします。
役割設定への変更を行うには、［保存］をクリックします。

既存の役割に関連付けられたエンタイトルメント Roles Based Provisioning Moduleの以前のリリースで定義した役割は、関連付けられたエンタイトルメントを持っている可能性があります。役割がそれに関連付けられたエンタイトルメントを持っている場合、ユーザインタフェースでは、［エンタイトルメント］タブを表示します。これにより、エンタイトルメントマッピングを確認し、必要に応じてそれを削除できます。このリリースでは役割のエンタイトルメントマッピングが引き続き機能しますが、今後は、役割ではなく、リソースとエンタイトルメントを関連付けることをお勧めします。

16.1.4 役割の削除

事前に定義済みの役割を選択し、［削除］をクリックします。

ユーザアプリケーションに対して役割の削除を指示すると、最初にその役割のステータスが「削除保留中」に設定されます。続いて、役割およびリソースサービスドライバがステータスの変更を認識して、次のステップを実行します。
- 該当する役割のリソース割り当てを削除します。
- 役割自体を削除します。
役割およびリソースサービスドライバによってこのプロセスが最適化されます。ただし、役割に割り当てられたユーザ数によっては、このプロセスに多少時間がかかる場合があります。この理由は、他の手段によってリソースが割り当てられたユーザがいる場合、このリソースがユーザから削除されないよう、役割およびリソースサービスドライバが確認しなければならないためです。役割が「削除保留中」状態になっている時間が長すぎる場合は、ドライバをもう一度チェックして、ドライバが最新で稼働状態にあることを確認してください。

役割のステータスが「削除保留中」である場合、その役割は編集、削除、または割り当てできません。

既存の役割割り当てに起こること リソースおよびそれに割り当てられた1つ以上のIDを持つ役割を削除する場合、システムはリソース割り当てを関連付けられたリソースを持つ各IDから削除します。
メモ:リソースが割り当てられている役割を削除する(または役割からユーザを削除する)と、当初リソースが直接割り当てられた場合であっても、その役割内のユーザに対するリソース割り当てが削除されます。その理由としては、次のシナリオで説明するように、リソース割り当てに関する最後の信頼されたソースが、そのリソースのコントローラであるとシステムがみなすからです。
1. リソースが作成され、エンタイトルメントにマップされます。
2. この作成されたリソースにユーザが割り当てられます。
3. 役割が作成され、前述の最初の手順で作成されたリソースにバインドされます。
4. 前述のユーザが、作成された役割に割り当てられます。
5. ユーザが役割から削除されます。
この状況では、ユーザに直接割り当てられたリソースがあったにもかかわらず、このユーザはリソースから削除されます。当初、リソースの割り当ては、信頼されたソースであるとみなされます。ただし、これと同じリソースに関連付けられている役割にユーザが割り当てられると、その役割が信頼されたソースになります。
SoD制約に含まれる役割の削除 SoD制約の競合する役割が削除されると、SoDカタログリストの中に、たとえば、［Doctor Pharmacists SoD [Invalid] (Doctor Pharmacists SoD [無効])］というように、［Invalid (無効)］という単語が名前の後に括弧で囲まれて付加された状態でSoD制約が表示されます。

警告:システム役割(またはこれらの役割を含むコンテナ)の役割削除許可を与えられている役割マネージャは、システム役割を削除できます。システム役割は削除しないでください。システム役割のいずれかが削除された場合、ユーザアプリケーションは正しく機能しません。

16.1.5 役割の割り当て

次の2つの方法のいずれかで、役割を割り当てることができます。

［役割カタログ］から
［役割の編集］ダイアログボックスから

これらの方法の両方を以下に説明しています。

カタログからの役割の割り当て

［役割カタログ］で事前に定義された役割を選択し、［割り当て］をクリックします。

［役割の割り当て］ダイアログボックスが表示されます。
［役割割り当ての追加］ダイアログボックスのフィールドに、次のように記入します。
1. ［初期要求の説明］フィールドに要求の理由を説明するテキストを入力します。
2. ［割り当てタイプ］フィールドで、［ユーザ］、［グループ］、または［コンテナ］を選択し、役割が割り当てられているIDの種類を表示します。
3. オブジェクトセレクタで、検索文字列を入力し、［検索］をクリックします。割り当てるユーザ、グループ、コンテナを選択します。
  
  複数IDへの役割の割り当て 役割割り当てに、1つまたは複数のユーザ(またはグループかコンテナ)を選択できます。複数IDを選択した場合、選択したIDのすべてが同一の役割割り当ての値を受け取ります。
4. ［有効開始日］フィールドに役割割り当ての開始日を指定します。
  
  mm/dd/yyyy hh:mm:ss a(ここで「a」はAMまたはPMを指定する)の形式でデータを入力します。または、［カレンダ］アイコンをクリックして、［カレンダ］ポップアップウィンドウからデータを選択できます。
5. ［有効期限］フィールドに役割割り当ての有効期限を指定します。
  
  メモ:この有効期限は、ユーザの割り当てにのみ適用されます。グループおよびコンテナでは、［有効期限］フィールドは使用できません。
  
  有効期限を指定するには、［有効期限の指定］をクリックします。mm/dd/yyyy hh:mm:ss a(ここで「a」はAMまたはPMを指定する)の形式でデータを入力します。または、［カレンダ］アイコンをクリックして、［カレンダ］ポップアップウィンドウからデータを選択できます。
  
  デフォルトでは、有効期限は［無期限］に設定されます。この役割割り当てが無期限に有効であることを示します。
［送信］をクリックします。

役割の編集ダイアログボックスからの役割の割り当て

［役割カタログ］で、役割を選択して［編集］をクリックし、［役割の編集］ダイアログボックスを開きます。
［割り当て］タブをクリックします。

［割り当て］タブでは、選択した役割に付与された割り当てのリストが表示されます。
新規の割り当てを追加するには、［割り当て］をクリックします。

［役割の割り当て］ダイアログボックスが表示されます。

役割割り当て要求フォームの使用の詳細については、カタログからの役割の割り当てを参照してください。

役割分担の競合の解決

役割を1人以上のユーザに割り当てたときに役割分担の競合が発生する場合は、ページの下部に［役割分担の競合］ボックスが表示されます。この場合、役割の割り当てに対してビジネス上の正当な理由を指定する必要があります。役割分担制約の詳細については、SoDカタログの参照を参照してください。

メモ:新しい役割割り当てが、役割関係またはグループやコンテナのメンバーシップを通じてユーザが間接的に取得した既存の割り当てと競合する場合は、正当な理由を指定する必要はありません。

ユーザが役割に間接的に追加され、役割分担の潜在的な競合が検出された場合、ユーザアプリケーションでは、新しい割り当てを追加したり、報告や監査のために違反を記録したりすることができます。必要に応じて、役割管理者は役割を再定義して違反を修正できます。

16.1.6 役割リストの更新

役割リストを最新の情報に更新するには、［更新］をクリックします。

メモ:役割割り当てを作成してそれを削除すると、割り当てが削除されているというメッセージが表示されますが、割り当てがそのまま一覧にされる場合があります。ページを更新すると、割り当てが削除されたというメッセージが表示されます。

16.1.7 役割リスト表示のカスタマイズ

［役割カタログ］を使用すると、カラムを選択および選択解除でき、タスクリスト表示のカラムを並べ替えることもできます。この動作は、［役割カタログ表示のカスタマイズ］ダイアログボックス内の設定によって制御されます。カラムリストを変更する、またはカラムを並べ替える場合には、カスタマイズ項目は他の初期設定とともに識別ボールトに保存されます。

カラムの表示をカスタマイズする

［役割カタログ］の［カスタマイズ］をクリックします。

ユーザアプリケーションにより、現在表示用に選択されているカラムのリストと選択可能な追加のカラムのリストが表示されます。
追加のカラムを表示に含めるには、［使用可能なカラム］リストボックスにあるカラムを選択し、それを［選択したカラム］リストボックスにドラッグします。

リスト内の複数のカラムを選択するには、<Ctrl>キーを押しながらカラムを選択します。リスト内に同時に表示されるカラムの範囲を選択するには、<Shift>キーを押しながらカラムを選択します。

［選択したカラム］リストボックスでカラムを上下に移動させることによって表示されているカラムを並べ替えられます。
カラムを表示から削除するには、［選択したカラム］リストボックスにあるカラムを選択し、それを［使用可能なカラム］リストボックスにドラッグします。

［役割名］カラムは必須カラムであり、役割リスト表示から削除できません。
変更を保存するには、［保存］をクリックします。