Identity Managerには、専用のアプリケーションであるユーザアプリケーションがあり、承認ワークフロー、役割の割り当て、検証、および識別セルフサービスが提供されています。
標準ユーザアプリケーションはIdentity Managerに付属しています。標準バージョンには、ユーザが忘れたパスワードを思い出したり、リセットしたりするのに使用するパスワードセルフサービス、ユーザのディレクトリ情報を管理する組織チャート、および識別ボールトでのユーザ作成を可能にするユーザ管理機能があります。
User Application Roles Based Provisioning Moduleは、Identity Manager 4.0.1 Advanced Editionの一部です。高度なセルフサービス、承認ワークフロー、役割ベースのプロビジョニング、役割分担制約、および認証機能を備えた標準的なユーザアプリケーションが含まれています。Identity Manager 4.0.1 Advanced Editionには、標準および役割ベースのプロビジョニングモジュール機能が含まれています。
図 4-3 Identity Managerユーザアプリケーション
次のセクションでは、これらの各コンポーネントについて説明し、コンポーネントを効率的に実装および管理するために理解する必要のあるコンセプトについても説明します。
ユーザアプリケーション: ユーザアプリケーションはブラウザベースのWebアプリケーションで、ユーザおよびビジネス管理者に、さまざまな識別セルフサービスおよび役割のプロビジョニングのタスクを実行する機能を提供しています。このタスクには、パスワードおよび識別データの管理、プロビジョニングおよび役割の割り当て要求の開始および監視、プロビジョニング要求の承認プロセスの管理、検証レポートの確認などがあります。これには、アプリケーションの承認プロセスを通じて要求のルーティングを制御するワークフローエンジンがあります。
ユーザアプリケーションドライバ: ユーザアプリケーションドライバは、設定情報が格納しており、識別ボールトで変更が行われたかどうかをユーザアプリケーションに通知します。また、識別ボールト内のイベントがワークフローをトリガして、ユーザアプリケーションに対するワークフローのプロビジョニングアクティブティの成功または失敗をレポートし、ユーザが要求の最終ステータスを表示できるように設定することもできます。
役割とリソースのサービスドライバ: 役割とリソースのサービスドライバは、すべての役割とリソースの割り当てを管理し、承認を必要とする役割とリソースの割り当て要求のワークフローを開始し、グループまたはコンテナメンバーシップに従って間接的な役割の割り当てを維持します。このドライバは、役割のメンバーシップに基づいてユーザのエンタイトルメントを付与および取消し、完了した要求のクリーンアップ手順を実行します。
ワークフローベースのプロビジョニング: ワークフローベースのプロビジョニングは、ユーザがリソースに対するアクセス権を要求する方法を提供しています。プレゼンテーション要求は、1名以上のユーザからの承認を含んでいる可能性のある、事前定義されたワークフローによってルーティングされます。すべての承認が付与されると、ユーザがリソースに対するアクセス権を受信します。また、識別ボールトで発生するイベントに応じてプロビジョニング要求を間接的に開始することもできます。たとえば、ユーザをグループに追加すると、特定のリソースに対するアクセス権をユーザに付与する要求が開始されることがあります。
役割ベースのプロビジョニング: 役割ベースのプロビジョニングは、割り当てられる役割に基づいてユーザが特定のリソースに対するアクセス権を受信する方法を提供しています。ユーザには1つ以上の役割を割り当てることができます。役割の割り当てに承認が必要な場合、割り当て要求によってワークフローが開始されます。
義務の分離: 競合する役割にユーザが割り当てられないように、ユーザアプリケーションの役割ベースのプロビジョニングモジュールには義務の分離機能が用意されています。どの役割が競合すると考えられるかを規定する義務の分離制約を構築できます。役割が競合する場合、義務の分離承認者が制約に対するすべての例外を承認または拒否できます。承認された例外は、義務の分離違反として記録されるので、次に説明する承認プロセスによってレビューすることができます。
役割の管理: Roles Module AdministratorおよびRoles Managerのシステムの役割に割り当てられているユーザが、役割を管理する必要があります。
Roles Module Administratorは、新しい役割の作成、既存の役割の変更、役割の削除、役割間の関係の変更、ユーザに対する役割の割り当ての許可および取り消し、義務の分離制約の作成、変更、および削除を行います。
Roles Managerは、義務の分離制約の管理、役割システムの設定、およびすべてのレポートの実行に関する例外を持つRoles Module Administratorと同じことができます。Roles Module Administratorには役割システム内で無制限のスコープがありますが、Roles Managerのスコープは特別設計のユーザ、グループ、および役割に限定されています。
検証: 役割の割り当てによって、組織内のリソースに対するユーザのアクセスが決定されるので、不正確な割り当てによって会社と政府の両方の規制に準拠することが妨げられることがあります。Identity Managerは、検証プロセスによる役割の割り当ての正確さの検証に使用できます。このプロセスを使用して、各ユーザは各自のプロファイル情報を検証し、Roles Managerは役割の割り当ておよび義務の分離違反を検証することができます。