メンバ ルールおよび管理ルールをスコープ ルールと組み合わせます。 スコープ ルールは、ロールが使用できるオブジェクトを制限します。
スコープはタスクのプライマリ オブジェクトに適用されます。 たとえば、ユーザは[ユーザの作成]タスクのプライマリ オブジェクトです。 一方、グループはセカンダリ オブジェクトであるため、スコープはそのユーザのグループには適用されません。
ほとんどのオブジェクト タイプに対して、以下の表のとおり、スコープ ルールのタイプを指定できます。
|
ルールの条件 |
例 |
ルールの構文 |
|---|---|---|
|
すべて |
ロール メンバは、全オブジェクトを管理可能 |
すべて |
|
オブジェクトは、1 つ以上の属性値に一致する必要があります。 |
役職の最初に「上級」が付くユーザ |
条件 <フィルタ> |
フィルタ オプションを選択すると、CA Identity Manager には、2 つのフィルタのタイプが表示されます。
オブジェクトのプロファイルの属性は、指定された値と一致する必要があります。
オブジェクトのプロファイルの属性は、管理者のプロファイル上の属性と一致する必要があります。 例: マネージャ = 管理者の ID であるユーザ
以下の表で示されている追加オプションは、ユーザ オブジェクト、グループ オブジェクト、および組織オブジェクトで使用できます。
注: 以下は、ユーザ スコープ ルールの例を示しています。 その他のルールを作成して、管理者と、管理者が管理できるユーザとの間のさまざまな関係に対応できます。
|
ルールの条件 |
例 |
ルールの構文 |
|---|---|---|
|
ユーザはいずれかの属性値と一致する必要があります。
|
販売グループのメンバ、または携帯電話が null ではないユーザ |
条件 <ユーザ フィルタ> |
|
ユーザは複数の属性値と一致する必要があります。 |
役職 = マネージャ、かつ地域 = USA であるユーザ |
条件 <ユーザ フィルタ> |
|
指定した組織にユーザが所属していなければなりません。 |
オーストラリアまたはニュージーランドの組織に所属しているユーザ 注: 組織スコープ ルールは、ルールに沿う組織の下位組織に適用されます。 たとえば、組織ルールが「Organization1 内」の場合、スコープ ルールは Organization1.1 および Organization1.2 に適用されますが、Organization1 には適用されません。 |
内<組織ルール> |
|
ユーザは、組織の属性により指定される条件に適合する組織に所属する必要があります。 |
ビジネス タイプがゴールドまたはプラチナの組織に所属するユーザ |
内 組織の条件 <組織フィルタ>
|
|
ユーザは、指定された組織に所属し、特定のユーザ属性値と一致する必要があります。 |
役職 = マネージャ、かつ地域 = 東部、および所属組織が販売組織またはマーケティング組織であるユーザ |
条件 <ユーザ フィルタ> および所属組織 <組織ルール> |
|
ユーザのプロファイルの属性は、管理者のプロファイルの属性と一致する必要があります。 |
マネージャ = 管理者のユーザ ID であるユーザ |
条件 <ユーザ属性> <コンパレータ> 管理者の <ユーザ属性> 注: 複数値属性では「等しくない」コンパレータを使用してください。 |
|
ユーザは、管理者と同じ組織に所属しています。 |
Jeff(管理者)がメンバである組織に所属するユーザ |
管理者の組織 |
|
ユーザは、管理者の属性に記載されている組織に所属しています。 |
ユーザの <管理属性> の値である |
販売またはマーケティングの組織に所属しているユーザ |
注: 以下に示すグループ スコープ ルールは、一例です。 その他のルールを作成して、管理者と、管理者が管理できるグループとの間のさまざまな関係に対応できます。
|
ルールの条件 |
例 |
ルールの構文 |
|---|---|---|
|
グループは、いずれかの属性値と一致する必要があります。 |
グループ名 = 401K であるグループ名 |
条件 <グループ フィルタ> |
|
グループは、指定した組織に所属している必要があります。
|
会計およびその下位組織に所属しているグループ |
内<組織ルール> |
|
グループは、いずれかの属性値に一致し、かつ指定した組織に所属する必要があります。 |
ビジネス タイプ = 財務部、および所属組織が販売以下であるグループ |
条件 <グループ フィルタ> および所属組織 <組織ルール> |
|
グループは、管理者の属性に記載されている必要があります。 |
説明 = エンジニアリングであるグループ |
条件 <グループ属性><コンパレータ> 管理者の <ユーザ属性> 注: 複数値属性では「等しくない」コンパレータを使用してください。 |
注: 以下に示す組織スコープ ルールは、一例です。 その他のルールを作成して、管理者と、管理者が管理できる組織との間のさまざまな関係に対応できます。
|
ルールの条件 |
例 |
ルールの構文 |
|---|---|---|
|
組織は、いずれかの属性値と一致する必要があります。 |
組織名 = 財務部である組織 |
条件 <組織フィルタ> |
|
組織は、指定した組織に所属している必要があります。 |
財務部およびその下位組織 |
内<組織ルール> |
|
組織は、いずれかの属性値に一致し、かつ指定された組織に所属する必要があります。 |
組織名 = 財務部および所属組織が財務部以下 |
条件 <組織フィルタ> および所属組織 <組織フィルタ> |
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|