管理者がロールを与えたり取り消したりしたときに CA Identity Manager でロールのメンバシップが正しく管理されるために、[追加アクション]および[削除アクション]を指定する必要があります。
各ロールには、2 つの追加アクションと 2 つの削除アクションを定義することができます。
管理者がロールのメンバを追加および削除できる場合は、追加アクションと削除アクションを定義します。 それ以外の場合は、RoleAdmins グループに所属するなどして、ユーザが、メンバ ルールに合わせたロールを持つようにします。 以下に例を示します。
追加アクションおよび削除アクションを定義する場合には、管理ロール属性を使用することを検討してください。CA Identity Manager はこの属性を使用して、ユーザのロール リストを格納することができます。 たとえば、あるユーザが従業員ロールのメンバとして追加されたときに、ユーザの管理ロール属性に「従業員」を追加する、という追加アクションを設定することができます。 「自己管理者」および「ユーザ マネージャ」のロールをすでに持っているマネージャに対して、管理者が「従業員」ロールを割り当てると、そのマネージャの管理ロール属性には、「自己管理者」、「ユーザ マネージャ」、「従業員」の値が含まれることになります。
管理ロール属性を使用するには、既知の属性である %ADMIN_ROLE_CONSTRAINT% をユーザ プロファイルの複数値属性にマップする必要があります。 詳細については、「CA Identity Manager 設定ガイド」を参照してください。
重要: アクションの追加を定義する場合、定義対象のロールを参照するルールを設定しないでください。 たとえば、あるメンバをロール A に含めることによって、ロール A のメンバを作成する追加アクションは定義しないでください。 このようにすると、ポリシー サーバが再起動される、という再帰的なエラーが生じます。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|