Identity Manager 8.0 の紹介〜ロール管理(3)

今回は、次のシナリオにそって作業を進めてみます。


  • シナリオ

    • 鈴木次郎さんと佐藤三郎さんに、2008年7月1日から7月31日までの間、契約社員として働いてもらう。鈴木さんには製品テストの業務を、佐藤さんには製品マニュアルの翻訳業務を依頼する。
    • 契約社員のアカウントは Active directory で管理する。
    • 製品テスト担当者には、バグの登録、閲覧ができるように、Bugzilla へのアクセスを許可する。
    • 業務とは直接関係しないが、希望するものには、Solaris へのアクセスも許可する。
    • 契約期間が終わると、Active Directory からアカウントは削除される。

  • 前提条件

    • 以下の操作は、2008年7月1日よりも以前の日付で行う。
    • 前回のシナリオと区別するために、契約社員に対するビジネスロールの名前を「契約社員2」とする。
    • 次のリソースは作成済み。

      • ActiveDirectory: Active Directory リソース
      • Bugzilla: Bugzilla へのアクセス管理を行う LDAP リソース
      • Solaris-vishnu: Solaris リソース (承認者: solarisapprover)

    • 承認者アカウント approveadmin、solarisapprover および契約社員を管理する立場にある人のアカウント contract-admin は作成済み。
    • LDAP 属性 firstname、lastname、fullname を設定するための規則を作成済み。(lighthouse アカウントの属性値をそのまま割り当てるように規則を作成。)
    • Active Directory 属性 firstname、lastname、fullname, Department を設定するための規則を作成済み。(Department については、global.Department を割り当てる)
    • Active Directory のリソース属性「Department」の値が「Top:QA」であれば、true を返す規則を作成済み。(規則名:IsQAteam)

  • 確認すること

    • 2008年7月1日より以前には、鈴木次郎さんと佐藤三郎さんに対しては契約社員2ロールおよびそれに付随するサブロールは割り当てられていない。
    • 2008年7月1日になった時点で、鈴木次郎さんに対して契約社員2ロールが割り当てられ、Active Directory と Bugzilla のリソースアカウントが割り当てられる。
    • 2008年7月1日になった時点で、佐藤三郎さんに対して契約社員2ロールが割り当てられ、Active Directory のみが割り当てられる。
    • 2008年7月1日に、佐藤三郎さんがオプションである Solaris ロールをリクエストすると、しかるべき承認プロセスを経て、佐藤さんに Solaris ロールが割り当てられて、Solaris リソースアカウントが割り当てられる。
    • 2008年7月31日をすぎると、鈴木次郎さんと佐藤三郎さんから契約社員2ロールと付随するサブロールがすべて削除され、Active Directory, Bugzilla, Solaris リソースアカウントも同時に削除される。

では、これらをふまえて実際の作業を画面のスナップショットを交えながら進めていきます。


  • 今回のシナリオ用のビジネスロール「契約社員2」を作成。





  • 承認者は、approveadmin にします。





  • つづいて、IT ロール「ActiveDirectory」を作成します。リソースサブタブでは、ActiveDirectory を選択します。そして、「属性値の設定」をクリックして、firstname, lastname, fullname, Department に関してリソース属性値を設定するための規則を定義しておきます。





  • 次に、アプリケーションロール「Solaris」を作成します。





  • リソースサブタブでは、Solaris-vishnu を選択します。





  • 同様に、アプリケーションロール「bugzilla」も作成します。リソースサブタブでは「Bugzilla」を選択し、リソース属性値の設定も行います。





  • 次に、「契約社員2」ロールを編集します。「ロール」サブタブに移動し、含まれるロールの検索および追加を行います。まず最初に、「ActiveDirectory」を選択し、関連づけのタイプを「必須」にして追加します。





  • 次に、「Solaris」を選択して、「オプション」として追加します。





  • 次に、「Bugzilla」を選択して、関連づけのタイプとして「条件付き」を選択します。
    すると、次のように規則を選択する画面が表示されますので、あらかじめ作成しておいた規則「IsQAteam」を選択し、規則引数も指定しておきます。





  • 最終的にはこのような関連付けで、3つのロールを「契約社員2」ロールに含めることになります。





  • 次にアカウントタブに移動して、Top:QA と Top:Doc の2つのサブ組織を作成します。前者は、テスト作業者が属する組織、後者はドキュメント翻訳を行う者が属する組織に相当します。





  • 次にユーザーを作成します。まずは、テスト担当の鈴木次郎さんのアカウント sjirou を Top:QA 上に作成し、ロールサブタブでは、契約社員2を追加します。





  • アクティブになる日と非アクティブになる日を設定すると、画面がリフレッシュされて、関連付けられたサブロールも一緒に表示されます。
    ここで、鈴木さんのアカウントは、Top:QA に作成しているため、規則によって、Bugzilla ロールも割り当てられるロールとして表示されていることに着目してください。





  • 同様に、ドキュメント翻訳担当の佐藤三郎さんのアカウント ssaburou を Top:Doc 上に作成し、契約社員2ロールを追加します。佐藤さんのアカウントは、Top:QA ではなくて、Top:Doc に作成しているため、Bugzilla ロールが表示されていないことを確認してください。





  • 2人のアカウントを作成したら、approveadmin でログインして、ロールの承認を行います。





  • 承認が終わったら、前回のシナリオ同様に、システムのクロックを進めます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 07010900
    #/opt/SUNWappserver9/bin/asadmin start-appserv

    そして、Configurator で管理画面にログインして、「サーバータスク」→「タスクの実行」ページに移動し、「延期タスクスキャナ」をクリックして、ユーザーへのロール変更を行います。

  • タスクの完了を確認したら、実際に鈴木さんのアカウントでエンドユーザーページにログインしてみます。
    「プロファイル」→「アクセス特権」を見てみると、次のように「契約社員2」「ActiveDirectory」および「Bugzilla」の3つのロールが割り当てられていて、ActiveDirectory と Bugzilla リソースのアカウントが割り当てられていることがわかります。





  • 同様に佐藤さんのアカウントでログインしてみると、次のように「契約社員2」「ActiveDirectory」2つのロールが割り当てられていて、ActiveDirectory リソースのアカウントが割り当てられていることがわかります。





  • 佐藤さんのアカウントでログインしたまま、「リクエスト」タブに移動し、「自分のロールの更新」のリンクをクリックします。





  • 佐藤さんには「契約社員2」ロールが割り当てられているので、そのオプションロールである「Solaris」ロールをリクエストすることができます。
    次の画面からも「Solaris」ロールが利用可能であることがわかります。





  • 「Solaris」を選択して、「送信」をクリックすると、リクエストが Solaris リソースの承認者である solarisapprover に送られますので、solarisapprover でログインして、リクエストを承認します。





  • 再び、佐藤さんのアカウントでエンドユーザーページにログインして、アクセス特権を見てみると、次のように、「Solaris」ロールと Solaris リソースアカウントも割り当てられていることがわかります。
    これで、鈴木さんと佐藤さんにロールとリソースが割り当てられたことが確認できました。





  • では、システムのクロックをさらに進めます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 08010900
    # /opt/SUNWappserver9/bin/asadmin start-appserv

    Configurator でログインして、延期タスクスキャナ(User Deferred Task Scanner)が再び実行されたことを確認します。実行されてない場合は、スケジュールが回ってくるまで待つか、即座にタスクを実行してください。タスクが実行されていれば次のようになっているはずです。






  • 再び、鈴木さんと佐藤さんのアカウントでエンドユーザーページにログインすると、両者ともに割り当てられていたロールとリソースがすべて解除されていることがわかります。






以上、簡単なシナリオを用いた、ロール管理機能についての紹介でした。:)

次回は、データエクスポート機能についてふれてみます。

投稿されたコメント:

すばらしいコンテンツですね。わかりやすいです。

早速、

http://blogs.sun.com/kimimasa/entry/techtips%E3%81%AE%E7%B4%B9%E4%BB%8B_identity_manager_8_01

で紹介させていただきましたー。

Posted by kimimasa on 6月月 23日, 2008年 at 06:03 午後 JST #

紹介ありがとうございます。早速見させていただきました。

Posted by hanaki on 6月月 23日, 2008年 at 06:22 午後 JST #

コメント
  • HTML文法 不許可
About

hanaki

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日