各ロールには、そのロールのメンバ、管理者、所有者になる資格に関するルールが含まれます。 したがって、ユーザは 1 つ以上のロールのメンバになることも、どのロールのメンバにもならないこともあります。
メンバ ルール、管理ルール、および所有者ルールでは、以下の表に示す条件が使用されます。
|
ルールの条件 |
例 |
ルールの構文 |
|---|---|---|
|
ユーザはいずれかの属性値と一致する必要があります。
|
役職の最初に「上級」が付くユーザ |
条件 <ユーザ フィルタ> |
|
ユーザは複数の属性値と一致する必要があります。 |
役職がマネージャ、地域が東部のユーザ |
条件 <ユーザ フィルタ> |
|
指定した組織にユーザが所属していなければなりません。 |
販売部門以下の組織内のユーザ |
内<組織ルール> |
|
ユーザは、組織の属性により指定される条件に適合する組織に所属する必要があります。 |
ビジネス タイプがゴールドまたはプラチナの組織に所属するユーザ |
in organizations where <組織フィルタ> |
|
ユーザは、指定された組織に所属し、特定のユーザ属性値と一致する必要があります。
|
役職がマネージャ、地域が東部で、販売またはマーケティング組織に所属するユーザ |
条件 <ユーザ フィルタ> および所属組織 <組織ルール>
|
|
ユーザは特定のグループに所属する必要があります。 |
401K グループのメンバであるユーザ |
who are members of group <グループ> |
|
ユーザはロールのメンバである必要があります。 |
ヘルプ デスク ロールのメンバであるユーザ |
以下のメンバである <ロール ルール> |
|
ユーザはロール管理者である必要があります。 |
セールス マネージャ ロール管理者であるユーザ |
以下の管理者である<ロール ルール> |
|
ユーザはロールの所有者である必要があります。 |
ユーザ マネージャ ロールの所有者であるユーザ |
以下の所有者である<ロール ルール> |
|
ユーザは、グループの属性により指定される条件を満たすグループに所属している必要があります。 |
所有者が CIO のグループのメンバであるユーザ |
who are members of group <グループ フィルタ>
|
|
ユーザは LDAP クエリに基づいた条件を満たす必要があります。 |
(CA IdentityMinder ユーザ コンソールで作成されたクエリが不十分である場合は、LDAP ディレクトリを使用します) |
クエリ ldap_query により返されたユーザ |
一部のルールでは、値を複数値属性と比較する場合があります。 ルールを適用するには、複数値属性の少なくとも 1 つの値がルールに適合する必要があります。 たとえば、ルールが属性 A = 1 の場合、ユーザ X の属性 A の値が 1、2、3 であれば、ユーザ X は基準を満たしています。
ロールを作成するユーザが、ロールを変更できない場合があります。 ロールを変更できるようにするには、対象のユーザが所有者ルールの条件を満たすようにする必要があります。
注: 大規模な実装環境では、メンバ、管理、および所有者ルールを評価するのにかなりの時間を要することがあります。 ユーザ属性を含むルールに対する評価時間を短縮するには、メモリ内評価オプションを有効にします。 詳細については、「設定ガイド」を参照してください。
|
Copyright © 2014 CA.
All rights reserved.
|
|