2008年 6月 19日 木曜日

Identity Manager(以下 IDM) 8.0 の機能紹介の第一弾として、
本リリースで変更されたロール管理機能についてとりあげます。

従来の IDM でも、ロールを作成したり、それをユーザーに割り当てたり、ロールにリソースを割り当てて、ロールを介してユーザーにリソースを割り当てる、といったことが可能でしたが、
8.0 では、このロール管理機能がさらに拡張されました。

詳細はマニュアルを見て頂くとして、主な拡張点を簡単にふれておくと、

• ロールごとに承認者、所有者を割り当てることが可能になった。
  これにより、ロールを作成、編集、削除する際には、所有者の承認が必要となる。
  また、ロールに対してユーザーを割り当てる場合には、承認者の承認が必要となる。
  
• ロールを編集、変更した場合に、ロールが割り当てられているユーザーに対してその変更内容を
  即座に反映させることが可能になった。（反映させない、という選択も可能）
  
• ユーザーにロールを割り当てる際に、従来通りに即座に永続的に割り当てる以外に、
  いつからいつまで、と期日を設定して割り当てることも可能になった。
  
• ロールをタイプ別に管理することが可能となり、デフォルトでは、ビジネスロール、ITロール、アプリケーション、アセットと４つのタイプが提供されるようになった。
  デフォルトでは、ユーザーに直接割り当てることができるのはビジネスロールのみ。
  ビジネスロールには、他の３つのタイプのロールを含めることができる。
  リソースを割り当てることができるのは、ITロールとアプリケーションのみ。
  IT ロールには、IT ロール、アプリケーション、アセットを含めることができる。
  アプリケーションとアセットにはロールを包めることはできない。
  以前のバージョンで作成したロールは、8.0 においては、IT ロールと判別される。
  
• ロールを含める際に、関連付けのタイプとして、必須、条件付き、オプションの３種類の中から指定できる。
  たとえば、ビジネスロールA に、ITロールA を「必須」で含めた場合は、
  ビジネスロールA を割り当てたユーザーには、ITロールA も必須で割り当てられる。
  ビジネスロールB に、ITロールB を「条件つき」で含めた場合は、
  ビジネスロールB を割り当てたユーザーに、ITロールB が割り当てられるかどうかは、
  そのユーザーが条件の定義にマッチしてるかどうかで決まる。
  ビジネスロールC に、ITロールC を「オプション」で含めた場合は、
  ビジネスロールC を割り当てたユーザーには、ITロールC は自動的に割り当てられないが、
  そのユーザーは、自分で、ITロールC の割り当てをリクエストすることができる。
  

まぁ、文章でつらつらと書くよりも、実際の操作を通して実感してもらうのが一番だと
思いますので、次回は、簡単なシナリオ例を元に操作をすすめていきながら、
どういった感じでユーザーにロールが割り当てられ、割り当てが解除されるかといったところを
紹介していこうと思います。

• シナリオ１：
  
  
  
  • 山田一郎さんに 2008年7月1日から7月31日までの間、契約社員として働いてもらう。
    
  • 契約社員のアカウントは LDAP で管理され、それにより社内メールを使用することができる。
    
  • 契約期間が終わると、LDAP からアカウントは削除される。
    
  
  
• シナリオ２：
  
  
  
  • 鈴木次郎さんと佐藤三郎さんに、2008年7月1日から7月31日までの間、契約社員として働いてもらう。鈴木さんには製品テストの業務を、佐藤さんには製品マニュアルの翻訳業務を依頼する。
    
  • 契約社員のアカウントは Active directory で管理する。
    
  • 製品テスト担当者には、バグの登録、閲覧ができるように、Bugzilla へのアクセスを許可する。
    
  • 業務とは直接関係しないが、希望するものには、Solaris へのアクセスも許可する。
    
  • 契約期間が終わると、Active Directory からアカウントは削除される。