ユーザ、グループ、および組織の委任管理の展開

委任管理では、さまざまな CA Identity Manager ユーザにロールの変更、割り当て、および使用の機能を実行させることで、ユーザとユーザの権限を管理します。

注： CA Identity Manager 実装のパフォーマンスおよび拡張性を良好にするには、委任モデルを注意深く構築する必要があります。

委任はスコープルールによって適用されます。スコープルールは管理ロールのメンバおよび管理ポリシーで定義されます。スコープルールは、ロールメンバがロールを使用できるオブジェクトを決定します。たとえば、スコープルールで、ユーザマネージャが、他の部門ではなく、自分の部門のユーザを管理できるようにします。

通常、スコープルールは、ユーザストアの論理構造を反映します。たとえば、階層 LDAP ユーザストアでは、スコープが組織で定義される場合があります。リレーショナルデータベースでは、スコープを部門 ID などの属性を使用して定義できます。

ユーザ、グループ、および組織の委任管理を展開する際には、以下の点に注意してください。

ユーザ関連タスクで、［管理ロール］タブおよび［プロビジョニングロール］タブなど、関係タブへのアクセスを制限します。これらの関係タブは、［ユーザの作成］や［ユーザの変更］などのデフォルトユーザタスクに含まれています。それらのタブをデフォルトタスクから削除し、少数の管理ロールに関連する特化したタスクでのみ使用することを考慮してください。
CA Identity Manager は各スコープルールを動的に評価し、スコープ情報はキャッシュされません。良好なパフォーマンスを確保するため、単純なディレクトリクエリを含むスコープルールを作成することを考慮してください。
管理者が管理できるオブジェクトが CA Identity Manager から返る時間を確定することで、スコープルールのパフォーマンスを評価します。