前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.1 管理ガイド

第 5 章
管理

この章では、Identity Manager 管理者と組織の作成と管理など、Identity Manager システムで一連の管理レベルタスクを実行するための説明および手順を示します。また、Identity Manager でのロール、機能、管理者ロールの使用方法についても説明します。

この章は、次のトピックで構成されています。

Identity Manager の管理について
管理者の作成
Identity Manager 組織について
組織の作成
ディレクトリジャンクションおよび仮想組織について
機能とその管理について
管理者ロールとその管理について
作業項目の管理
アカウントの承認

---

Identity Manager の管理について

Identity Manager 管理者は、Identity Manager の拡張特権を持ったユーザーです。管理者を設定すると、次のものを管理できます。

ユーザーアカウント
ロールやリソースなどのシステムオブジェクト
組織

Identity Manager 管理者は、次のものが直接または間接的に割り当てられる点で、ユーザーと区別されます。

機能。ユーザー、組織、ロール、およびリソースへのアクセス権を与えられる一連の権限。
管理する組織。組織の管理を割り当てられると、管理者は、その組織内と、階層内でその組織の下にあるすべての組織のオブジェクトを管理できます。

委任された管理

ほとんどの企業では、実行すべき管理タスクを持つ従業員は、固有のさまざまな役割を持っています。多くの場合、管理者は、ほかのユーザーまたは管理者から「透過的な」アカウント管理タスクや、範囲の制限されたアカウント管理タスクを実行する必要があります。

たとえば、管理者が Identity Manager ユーザーアカウントの作成の役割しか持たない場合があります。このように役割の範囲が制限されている場合、管理者には、ユーザーアカウントを作成するリソースについての特定の情報や、システム内に存在するロールまたは組織についての情報は必要ないと思われます。

Identity Manager では、管理者が固有で定義済みの範囲内のオブジェクトのみを表示して管理できるようにすることで、役割を分離し、この委任された管理モデルをサポートしています。

Identity Manager では、次の手段によって、個別のシステムアクティビティーを管理者に委任する機能を実装しています。

固有の組織およびその組織内のオブジェクトに対する管理を制限する
Identity Manager ユーザーの作成および編集ページの管理者ビューをフィルタする
管理者に固有のジョブの任務を機能の形式で与える

新しいユーザーアカウントを設定したり、ユーザーアカウントを編集したりする場合に、「ユーザーの作成」ページからユーザーの委任を指定できます。

また、「作業項目」タブから承認リクエストなどの作業項目を委任することもできます。詳細は、「作業項目の委任」を参照してください。

---

管理者の作成

Identity Manager 管理者を作成するには、管理者にする Identity Manager ユーザーの機能を拡張します。ユーザーを作成または編集するときには、次を実行して管理コントロールを与えます。

管理できる組織を指定する
管理する組織内の機能を割り当てる
Identity Manager ユーザーの作成および編集に使用するフォームを選択する (これらの操作の実行を許可する機能がユーザーに割り当てられている場合)
保留中承認リクエストを受け取る承認者を選択する (リクエストの承認を許可する機能がユーザーに割り当てられている場合)

ユーザーに管理特権を与えるには、メニューバーで「アカウント」を選択して「Identity Manager アカウント」エリアに移動します。新しいユーザーに対しては、「ユーザーの作成」ページで「セキュリティー」タブを選択し、管理者属性を割り当てます。

既存のユーザーに管理者属性を割り当てるには、「アカウント」リストでユーザーを選択して、「ユーザーアクション」リストで「ユーザー機能の編集」を選択して、ユーザーの機能を編集します。次の図のような「セキュリティー」フォームが表示されます。

図 5-1 ユーザーアカウントの「セキュリティー」ページ: 管理者特権の指定

1 つ以上の項目を選択して、管理コントロールを設定します。

「管理する組織」 − 組織を 1 つ以上選択します。管理者は、選択した組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理できます。管理の範囲は、割り当てられた機能によってさらに定義されます。このエリアで項目を 1 つ選択する必要があります。
「機能」 − この管理者が管理する組織内でこの管理者が持つ機能を 1 つ以上選択します。Identity Manager 機能の詳細については、第 4 章「設定」を参照してください。
「ユーザーフォーム」 − Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。
「承認リクエスト転送先」 − 現在の保留中承認リクエストをすべて転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。
「作業項目の委任先」 − 使用できる場合は、このオプションを使用してユーザーアカウントへの委任を指定します。1 人または複数の選択したユーザーを IDM マネージャーに指定するか、承認委任先規則を使用します。

管理者ビューのフィルタ

組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。

組織 − 組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、Identity Manager が親組織に対して選択されたフォームを継承します。親組織に対してフォームが設定されていない場合は、Identity Manager がシステム設定のデフォルトのフォームを使用します。
管理者 − ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。

第 4 章「設定」で、割り当て可能な Identity Manager 組み込み機能について説明します。

管理者パスワードの変更

管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。

管理者は、次の場所から別の管理者のパスワードを変更できます。

「アカウント」エリア − リストで管理者を選択し、「ユーザーアクション」リストから「パスワードの変更」を選択します。
「ユーザーの編集」ページ − 「ID」フォームタブを選択し、新しいパスワードを入力および確認します。
「パスワード」エリア − 管理者名を入力し、「パスワードの変更」をクリックします。

ヒント	1 文字以上入力して「検索」をクリックすると、一致するものがすべてリストされます。

管理者は、「パスワード」エリアから自分自身のパスワードを変更できます。「パスワード」を選択し、「自分のパスワードの変更」を選択すると、パスワードの自己管理フィールドにアクセスできます。

注	アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、および通知選択など、パスワードの制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。

管理者のアクションの認証

特定のアカウント変更を処理する前に Identity Manager ログインパスワードをアテストするように管理者にリクエストするオプションを設定することができます。パスワードの認証が失敗した場合、アカウントアクションは成功しません。

このオプションは、次の Identity Manager ページでサポートされます。

「ユーザーの編集」 (account/modify.jsp)
「ユーザーパスワードの変更」 (admin/changeUserPassword.jsp)
「ユーザーパスワードのリセット」 (admin/resetUserPassword.jsp)

以降の節で説明するように、これらのオプションを設定します。

ユーザーリクエストの編集オプション

このオプションは、account/modify.jsp ページで次のように設定します。

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");

ここでのオプションの値は、1 つ以上の次のユーザー表示属性名のカンマ区切りリストです。

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
resources
roles

ユーザーパスワードの変更とユーザーパスワードリクエストのリセットオプション

このオプションは、admin/changeUserPassword.jsp ページおよび admin/resetUserPassword ページで次のように設定します。

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");

オプションの値として true または false を指定できます。

秘密の質問の回答の変更

「パスワード」エリアを使用して、アカウントの秘密の質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の秘密の質問の回答の変更」を選択します。

認証の詳細については、「ユーザー認証」を参照してください。

管理者インタフェースでの管理者名の表示のカスタマイズ

次のエリアのような、Identity Manager 管理者インタフェースのいくつかのページおよびエリアでは、accountId ではなく属性 (email や fullname など) に基づいて Identity Manager 管理者を表示することができます。

「ユーザーの編集」(承認選択リストを転送する)
ロールテーブル
「ロールの作成」/「ロールの編集」
「リソースの作成」/「リソースの編集」
「組織の作成」/「組織の編集」/「ディレクトリジャンクション」
承認

表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

たとえば、email 属性を表示名として使用するには、次の属性名を UserUIconfig に追加します。

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

Identity Manager 組織について

組織を使用して、次のことができます。

ユーザーアカウントと管理者を論理的かつセキュアに管理する
リソース、アプリケーション、ロール、およびその他の Identity Manager オブジェクトへのアクセスを制限する

組織を作成してユーザーを組織階層内のさまざまな場所に割り当てることで、委任された管理のステージが設定されます。1 つ以上の組織を含む組織は、親組織と呼ばれます。

すべての Identity Manager ユーザー (管理者を含む) は、1 つの組織に静的に割り当てられます。また、別の組織に動的に割り当てることもできます。

Identity Manager 管理者には、さらに組織の管理が割り当てられます。

---

組織の作成

組織は、「Identity Manager アカウント」エリアで作成します。組織を作成するには、次の手順に従います。

メニューバーで、「アカウント」を選択します。
「アカウント」ページの「新規作成アクション」リストから「新規組織」を選択します。

ヒント	組織階層内の特定の場所に組織を作成するには、リストで組織を選択してから、「新規作成アクション」リストで「新規組織」を選択します。

図 5-2 は、「組織の作成」ページを示しています。

図 5-2 「組織の作成」ページ

組織へのユーザーの割り当て

各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。組織のメンバーシップは、次の方法で決定されます。

直接 (静的) 割り当て −「ユーザーの作成」または「ユーザーの編集」ページから、ユーザーを組織に直接割り当てます。「ID」フォームタブを選択して、「組織」フィールドを表示します。ユーザーは、1 つの組織に直接割り当てる必要があります。
規則に基づく (動的) 割り当て − 組織に規則を割り当てることによって、ユーザーを動的に組織に割り当てます。割り当てた規則が評価されると、定義されているメンバーユーザーの一覧が返されます。Identity Manager は、次の場合にユーザーメンバー規則を評価します。
組織内のユーザーの一覧を出力する
「ユーザーの検索」ページでユーザーを検索するときに、ユーザーメンバー規則による組織内のユーザーの検索を含める
ユーザーへのアクセスをリクエストする (現在の管理者がユーザーメンバー規則を持つ組織を管理している場合)

ユーザーメンバー規則は、「組織の作成」ページの「ユーザーメンバー規則」フィールドで選択します。図 5-3 はユーザーメンバー規則の例を示しています。

図 5-3 組織の作成: ユーザーメンバー規則の選択

次の例は、組織のユーザーメンバーシップを動的に管理できるユーザーメンバー規則をセットアップする方法を示しています。

注	Identity Manager の規則を作成および操作する方法については、『Identity Manager 配備ツール』を参照してください。

キーの定義と取り込み

「ユーザーメンバー規則」オプションボックスに規則を表示するには、authType を authType='UserMembersRule' と設定する必要があります。
コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。
定義された変数 (defvar) の「Team players」は、Windows Active Directory の「Pro Ball Team」組織単位 (OU) から、そのすべてのメンバーユーザーの識別名 (DN) を取得します。
メンバーユーザーが検出されると、append ロジックは、「Pro Ball Team」 OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (「:smith-AD」など)。
結果は、Identity Manager リソース名が連結された DN (「dn:smith-AD」など) のリストとして返されます。

次は、サンプルのユーザーメンバー規則の構文例です。

コード例 5-1 ユーザーメンバー規則の例

<Rule name='Get Team Players'      authType='UserMembersRule'>    <defvar name='Team players'>       <block>          <defvar name='player names'>             <list/>          </defvar>    <dolist name='users'>       <invoke class='com.waveset.ui.FormUtil'             name='getResourceObjects'>          <ref>context</ref>          <s>User</s>          <s>singleton-AD</s>          <map>             <s>searchContext</s>             <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>             <s>searchScope</s>             <s>subtree</s>             <s>searchAttrsToGet</s>             <list>                <s>distinguishedName</s>             </list>          </map>       </invoke>       <append name='player names'>       <concat>          <get>             <ref>users</ref>             <s>distinguishedName</s>          </get>             <s>:sampson-AD</s>       </concat>       </append>    </dolist>       <ref>player names</ref>    </block>    </defvar>       <ref>Team players</ref> </Rule>

管理する組織の割り当て

「ユーザーの作成」または「ユーザーの編集」ページから、1 つ以上の組織の管理を割り当てます。「セキュリティー」フォームタブを選択すると、「管理する組織」フィールドが表示されます。

また、「管理者ロール」フィールドから 1 つ以上の管理者ロールを割り当てる方法で、管理する組織を割り当てることもできます。

---

ディレクトリジャンクションおよび仮想組織について

ディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。この構造を図 5-4 に示します。

図 5-4 Identity Manager 仮想組織

ディレクトリジャンクションは、既存の Identity Manager 組織構造を任意の場所で接合することができます。ただし、ディレクトリジャンクションは既存のディレクトリジャンクション内またはその下で接合することはできません。

ディレクトリジャンクションを Identity Manager 組織ツリーに追加すると、そのディレクトリジャンクションのコンテキスト内で仮想組織を作成または削除することができます。また、ディレクトリジャンクションを構成する仮想組織のセットを任意の時点で更新して、ディレクトリリソースコンテナと同期しているかどうかを確認できます。ディレクトリジャンクション内に非仮想組織を作成することはできません。

Identity Manager オブジェクト (ユーザー、リソース、およびロールなど) を、Identity Manager 組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

ディレクトリジャンクションのセットアップ

ディレクトリジャンクションは、「Identity Manager アカウント」エリアでセットアップします。

Identity Manager メニューバーで、「アカウント」を選択します。
「アカウント」リストで Identity Manager 組織を選択し、「新規作成アクション」リストから「新規ディレクトリジャンクション」を選択します。

選択した組織は、セットアップする仮想組織の親組織になります。

Identity Manager に「ディレクトリジャンクションの作成」ページが表示されます。

項目を選択して、仮想組織をセットアップします。
「親組織」 − このフィールドには「アカウント」リストから選択した組織が含まれています。ただし、リストから異なる親組織を選択することもできます。
「ディレクトリリソース」 − 構造を仮想組織にミラー化する既存のディレクトリを管理するディレクトリリソースを選択します。
「ユーザーフォーム」 − この組織の管理者に適用するユーザーフォームを選択します。
「Identity Manager アカウントポリシー」 − ポリシーを選択します。または、デフォルトのオプション (継承) を選択すると親組織からポリシーが継承されます。
「承認者」 − この組織に関係するリクエストを承認できる管理者を選択します。

仮想組織の更新

このプロセスでは、選択した組織の下位にある、関連付けられたディレクトリリソースを持つ仮想組織を更新して同期し直します。リストで仮想組織を選択し、「組織アクション」リストから「組織の更新」を選択します。

仮想組織の削除

仮想組織を削除する場合は、次の 2 つの削除オプションから選択できます。

Identity Manager 組織のみを削除」− Identity Manager ディレクトリジャンクションのみを削除します。
Identity Manager 組織とリソースコンテナを削除」− Identity Manager ディレクトリジャンクションと、ネイティブリソース上にある対応する組織を削除します。

いずれかのオプションを選択して、「削除」をクリックします。

---

機能とその管理について

機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、特権のセットを提供します。

すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager を使用して 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。

割り当てられた機能により、Identity Manager 管理者インタフェースのどのエリアにアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager エリアにアクセスできます。

「ホーム」および「ヘルプ」タブ
「パスワード」タブ (「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」サブタブのみ)
「レポート」 (管理者の持つ役割に関連するレポートタイプのみ)

機能のカテゴリ

Identity Manager の機能は、次のように分類されています。

タスクベース。これらはもっとも単純なタスクレベルにある機能です。
機能。実用上の機能は、1 つ以上の実用上の機能またはタスクベース機能で構成されます。

組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。

保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。

機能の操作

メニューバーで、「セキュリティー」を選択します。
「機能」タブを選択すると、Identity Manager 機能のリストが表示されます。

機能の作成

機能を作成するには、「新規」をクリックします。新しい機能に名前を付けて、機能、譲渡者、および、この機能を利用できる組織を選択します。少なくとも 1 つの組織を選択する必要があります。

注	譲渡者の選択元となる一連のユーザーには、機能の割り当て権限を割り当てられているユーザーが含まれます。

機能の編集

保護されていない機能を編集するには、リストでその機能を右クリックし、「編集」を選択します。

組み込み機能は編集できません。ただし、それを別の名前で保存して独自の機能を作成したり、自分で作成した機能の中で組み込み機能を使用したりすることはできます。

機能の保存と名前の変更

機能を「クローン作成」する (異なる名前で保存して、新しい機能を作成する) には、次を実行します。

リスト内の機能を右クリックし、「名前を付けて保存」を選択します。
新しい名前を入力して、「OK」をクリックします。

コピー元の機能は保護されていますが、新しい機能は編集できます。

機能の割り当て

「ユーザーの作成」および「ユーザーの編集」ページから、ユーザーに機能を割り当てます。インタフェースの「セキュリティー」エリアでセットアップした管理者ロールを割り当てる方法で、ユーザーに機能を割り当てることもできます。詳細については、「管理者ロールとその管理について」を参照してください。

機能の階層

タスクベースの機能は、次のような実用上の機能階層に分類されます。

Account Administrator

Approver Administrator
Organization Approver
Resource Approver
Role Approver
Assign User Capabilities
SPML Access
User Account Administrator
Create User
Delete User
Delete IDM User
Deprovision User
Unassign User
Unlink User
Disable User
Enable User
Password Administrator
Change Password Administrator
Reset Password Administrator
Rename User
Unlock User
Update User
View User
Import User

Admin Role Administrator

Connect Capabilities
Connect Capabilities Rules
Connect Controlled Organizations Rules
Connect Organizations

Auditor Administrator

Assign Audit Policies
Assign Organization Audit Policies
Assign User Audit Policies
Audit Policy Administrator
Auditor View User
Auditor Periodic Access Review Administrator
Auditor Access Scan Administrator
Auditor Report Administrator
Password Administrator
User Account Administrator
Assign User Capabilities

Auditor Report Administrator

Access Review Detail Report Administrator
Run Access Review Detail Report
Access Review Summary Report Administrator
Run Access Review Summary Report
Audit Policy Scan Report Administrator
Run Audit Policy Scan Report
Audited Attribute Report Administrator
Run Audited Attribute Report
AuditPolicy Violation History Administrator
Run Audit Policy Violation History Report
Organization Violation History Administrator
Run Organization Violation History Report
Policy Summary Report Administrator
Resource Violation History Administrator
Run Resource Violation History Report
Run Auditor Report
Separation of Duties Report Administrator
Run Separation of Duties Report
User Access Report Administrator
Run User Access Report
Violation Summary Report Administrator

Bulk Account Administrator

Approver Administrator
Assign User Capabilities
Bulk User Account Administrator
Bulk Create User
Bulk Delete IDM User
Bulk Delete IDM User
Bulk Deprovision User
Bulk Unassign User
Bulk Unlink User
Bulk Disable User
Bulk Enable User
Password Administrator
Rename User
Unlock User
View User
Import User

Bulk Change Account Administrator

Approver Administrator
Assign User Capabilities
Bulk Change User Account Administrator
Bulk Disable User
Bulk Enable User
Bulk Update User
Password Administrator
Rename User
Unlock User
View User

Bulk Resource Password Administrator

Bulk Change Resource Password Administrator
Bulk Reset Resource Password Administrator

Capability Administrator

Change Account Administrator

Approver Administrator
Assign User Capabilities
Change User Account Administrator
Password Administrator
Change Password Administrator
Reset Password Administrator
Disable User
Enable User
Rename User
Unlock User
Update User
View User

Configure Certificates

Import/Export Administrator

License Administrator

Login Administrator

Meta View Administrator

Organization Administrator

Password Administrator (Verification Required)

Change Password Administrator (Verification Required)
Reset Password Administrator (Verification Required)

Policy Administrator

Reconcile Administrator

Reconcile Request Administrator

Remedy Integration Administrator

Report Administrator

Admin Report Administrator
Run Admin Report
Audit Report Administrator
Run Audit Report
Auditor Report Administrator
Reconcile Report Administrator
Run Reconcile Report
Resource Report Administrator
Run Resource Report
Risk Analysis Administrator
Run Risk Analysis
Role Report Administrator
Run Role Report
Task Report Administrator
Run Task Report
User Report Administrator
Run User Report
Configure Audit

Resource Administrator

Change Active Sync Resource Administrator
Control Active Sync Resource Administrator
Resource Group Administrator

Resource Object Administrator

Resource Password Administrator

Change Resource Password Administrator
Reset Resource Password Administrator

Role Administrator

Security Administrator

Service Provider Administrator

Service Provider User Administrator
Service Provider Create User
Service Provider Delete User
Service Provider Update User
Service Provider View User

Service Provider Admin Role Administrator

User Account Administrator

Delete User
Password Administrator
Create User
Disable User
Enable User
Import User
Rename User
Unlock User
Update User

View Organizations

List Organizations

View Resources

List Resources

Waveset Administrator

機能の定義

表 5-1 で、各タスクベースの機能と、各機能でアクセスできるタブおよびサブタブについて説明します。機能は、名前のアルファベット順に並べられています。

すべての機能で、ユーザーまたは管理者は、「パスワード」の「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」タブにアクセスすることができます。

表 5-1 Identity Manager 機能の説明 

機能	管理者/ユーザーに許可する操作	アクセス可能なタブとサブタブ
Access Review Detail Report Administrator	アクセスレビュー詳細レポートの作成、編集、削除、および実行	「レポート」>「レポートの実行」タブ、「レポートの表示」タブ - アクセスレビュー詳細レポートのみ 「レポート」>「ダッシュボードの表示」
Access Review Summary Report Administrator	アクセスレビュー概要レポートの作成、編集、削除、および実行	「レポート」 - アクセスレビュー概要レポートのみ 「レポート」>「ダッシュボードの表示」
Account Administrator	機能の割り当てなど、ユーザーに対するすべての操作の実行 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」タブ 「パスワード」 - すべてのサブタブ 「作業項目」 - 「承認」サブタブ 「タスク」 - すべてのサブタブ
Admin Report Administrator	管理者レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの管理」、「レポートの実行」サブタブ (管理者レポートのみ)
Admin Role Administrator	管理者ロールの作成、編集、および削除	「セキュリティー」 - 「管理者ロール」サブタブ
Approver Administrator	ほかのユーザーにより発行されたリクエストの承認または却下	デフォルトのみ
Assign Audit Policies	ユーザーアカウントと組織への監査ポリシーの割り当て	「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」 「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」
Assign Organization Audit Policies	監査ポリシーを組織のみに割り当て	「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」、「アカウントのリスト」タブ
Assign User Audit Policies	監査ポリシーをユーザーのみに割り当て	「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」、「アカウントのリスト」タブ、「ユーザーの検索」タブ
Assign User Capabilities	ユーザー機能の割り当ての変更 (割り当て、割り当て解除)	「アカウント」 - 「アカウントのリスト」(編集のみ)、「ユーザーの検索」サブタブ。 別のユーザー管理者機能 (「ユーザーの作成」、「ユーザーの有効化」など) とともに割り当てる必要があります。
Audit Policy Administrator	監査ポリシーの作成、修正、および削除	「コンプライアンス」 - 「ポリシーの管理」
Audit Policy Scan Report Administrator	監査ポリシースキャンレポートの作成、修正、削除、および実行	「レポート」 - 監査ポリシースキャンレポートのみ
Audit Report Administrator	監査レポートの作成、修正、削除、および実行	「レポート」 - 監査レポートのみ
Audited Attribute Report Administrator	監査された属性のレポートの作成、修正、削除、および実行	「レポート」 - 監査された属性のレポートのみ
AuditLog Report Administrator	監査ログレポートの作成、修正、削除、および実行	「レポート」 - 監査ログレポートのみ
Auditor Access Scan Administrator	定期的アクセスレビュースキャンの作成、編集、および削除	「コンプライアンス」 - 「アクセススキャンの管理」
Auditor Administrator	監査ポリシー、監査スキャン、ユーザーコンプライアンスの設定、管理、および監視	「コンプライアンス」 - すべてのサブタブ 「レポート」 - 「レポートの実行」、「レポートの表示」、「監査レポート」の管理 「アカウント」 - 「ユーザーの監査ポリシーの編集」と「組織の監査ポリシーの編集」操作
Auditor Attestor	組織のセキュリティーを有効にしながら、ほかのユーザーをアテストする必要がある	デフォルトのみ
Auditor Periodic Access Review Administrator	定期的アクセスレビュー (PAR) の管理、アクセススキャンの管理、アテステーションの管理、PAR レポートの管理	「コンプライアンス」 - 「アクセススキャンの管理」、「アクセスレビュー」サブタブ
Auditor 是正者	監査ポリシー違反の是正、受け入れ、転送	「是正」 - すべてのサブタブ
Auditor Report Administrator	任意の監査レポートの作成、修正、削除、および実行	「レポート」 - 監査レポートのすべての操作
Auditor View User	ユーザーに関連するコンプライアンス情報の表示	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」タブ
AuditPolicy Violation History Administrator	監査ポリシー別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - 監査ポリシー別違反履歴表示レポートのみ
Bulk Account Administrator	機能の割り当てなど、ユーザーに対する通常操作および一括アクションの実行	「アカウント」 - すべてのサブタブ 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Change Account Administrator	機能の割り当てなど、既存のユーザーに対する、既存のユーザーの削除以外の通常操作および一括アクションの実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括アクションの起動」サブタブ。ユーザーを作成または削除することはできません。 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Change User Account Administrator	既存のユーザーに対する、削除以外の通常操作および一括アクションの実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括アクションの起動」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Create User	リソースの割り当てとユーザー作成リクエストの発行 (個別のユーザーに対する操作または一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Delete IDM User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Delete IDM User	既存の Identity Manager ユーザーアカウントの削除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Deprovision User	既存のリソースアカウントの削除およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Disable User	既存のユーザーとリソースアカウントの無効化 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Enable User	既存のユーザーとリソースアカウントの有効化 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Unlink User	既存のリソースアカウントのリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Update User	既存のユーザーとリソースアカウントの更新 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(更新のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk User Account Administrator	ユーザーに対するすべての通常操作および一括アクションの実行	「アカウント」 - すべてのサブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Capability Administrator	機能の作成、修正、および削除	「設定」 - 「機能」サブタブ
Change Account Administrator	機能の割り当てなど、既存のユーザーに対する削除以外のすべての操作の実行 (一括アクションを除く)	「アカウント」 - すべてのサブタブ。ユーザーを削除することはできません。 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ 「レポート」 - 管理レポートおよびユーザーレポートの作成、管理レポートの実行と編集、および範囲内の監査ログレポートを実行します。範囲外の組織の管理レポートおよびユーザーレポートを実行することはできません。
Change Active Sync Resource Administrator	Active Sync リソースパラメータの変更	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - Active Sync リソース: 「編集」アクションメニュー、「Active Sync パラメータの編集」
Change Password Administrator	ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ、操作の前に検証が必要) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Resource Password Administrator	リソース管理者のアカウントパスワードの変更	「タスク」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブリソースパスワードの変更のみ (アクションメニューの「接続の管理」-->「パスワードの変更」から)
Change User Account Administrator	既存のユーザーに対する削除以外のすべての操作の実行 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Configure Audit	システム内で監査されるイベントと設定グループの設定	「設定」 - 「イベント監査」サブタブ
Configure Certificates	信頼できる証明書と CRL の設定	「セキュリティー」 - 「証明書」サブタブ
Control Active Sync Resource Administrator	Active Sync リソースの状態 (開始、停止、更新など) の管理	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - Active Sync リソース :「Active Sync」アクションメニュー (すべての選択肢)
Create User	リソースの割り当てとユーザー作成リクエストの開始 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (作成のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Delete User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Delete IDM User	Identity Manager ユーザーアカウントの削除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Deprovision User	既存のリソースアカウントの削除およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Disable User	既存のユーザーアカウントとリソースアカウントの無効化 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Enable User	既存のユーザーアカウントとリソースアカウントの有効化 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Import User	定義済みリソースからのユーザーのインポート	「アカウント」 - 「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ
Import/Export Administrator	全タイプのオブジェクトのインポートとエクスポート	「設定」 - 「交換ファイルのインポート」サブタブ
License Administrator	アイデンティティーシステム製品ライセンスの設定	lh license コマンドの実行権を提供します。この機能を割り当てただけでは「管理者インタフェース」にはアクセスできません。
Login Administrator	所定のログインインタフェースに対するログインモジュールセットの編集	「設定」 - 「ログイン」サブタブ
Meta View Administrator	アイデンティティー属性の設定の変更	「メタビュー」 - 「アイデンティティー属性」タブ
Organization Administrator	組織の作成、編集、および削除	「アカウント」 - 「アカウントのリスト」サブタブ (組織およびディレクトリジャンクションの編集と作成、組織の削除のみ)
Organization Approver	新しい組織に対するリクエストの承認	「作業項目」 - 「承認」サブタブ
Organization Violation History Administrator	組織別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - 組織別違反履歴表示レポートのみ
Password Administrator	ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ)、「ユーザーの検索」サブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ、操作が成功するためには検証が必要)、「ユーザーの検索」サブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Policy Administrator	ポリシーの作成、編集、および削除	「設定」 - 「ポリシー」サブタブ
Policy Summary Report Administrator	ポリシーの概要レポートの作成、修正、削除、および実行	「レポート」 - ポリシーの概要レポートのみ
Reconcile Administrator	調整ポリシーの編集と調整タスクの管理	「サーバータスク」 - すべてのサブタブ (調整タスクの表示) 「リソース」 - 「リソースのリスト」サブタブ
Reconcile Report Administrator	調整レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの実行」 (アカウントインデックスレポートのみ)、「レポートの管理」サブタブ
Reconcile Request Administrator	調整リクエストの管理	「タスク」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブ (リストおよび調整機能のみ)
Remedy Integration Administrator	Remedy との統合の設定の修正	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「設定」 - 「Remedy との統合」サブタブ
Rename User	既存のユーザーアカウントとリソースアカウントの名前の変更	「アカウント」 - 「アカウントのリスト」サブタブ (範囲内のすべてのアカウントのリスト、ユーザーの名前変更)
Report Administrator	監査の設定と全タイプのレポートの実行	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「レポート」 - すべてのサブタブ
Reset Password Administrator	ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ、正しく操作するためには検証が必要) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Resource Password Administrator	リソース管理者のアカウントパスワードのリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - 「リソースのリスト」サブタブ。リソースパスワードのリセットのみ (アクションメニューの「接続の管理」 -->「パスワードのリセット」から)
Resource Administrator	リソースの作成、修正、および削除	「レポート」 - リソースユーザーレポート、リソースグループレポートは範囲外のリソースに関するエラーを返します。 「リソース」 - 「リソースのリスト」サブタブ (グローバルポリシーの編集、パラメータの編集、リソースグループ。接続またはリソースオブジェクトを管理することはできない)。
Resource Group Administrator	リソースグループの作成、編集、および削除	「リソース」 - 「リソースグループのリスト」サブタブ
Resource Object Administrator	リソースオブジェクトの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (リソースオブジェクトを含むタスクの表示)。 「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理のみ)
Resource Password Administrator	リソースプロキシアカウントパスワードの変更とリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - 「リソースのリスト」サブタブ。リソースパスワードの変更のみ (アクションメニューの「接続の管理」-->「パスワードの変更」から)
Resource Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - すべてのサブタブ (リソースレポートのみ)
Resource Violation History Administrator	リソース別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - リソース別違反履歴表示レポートのみ
Risk Analysis Administrator	リスク分析の作成、編集、削除、および実行	「リスク分析」 - すべてのサブタブ
Role Administrator	ロールの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (ロールの同期) 「ロール」 - すべてのサブタブ
Role Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - ロールレポートのみ
Run Access Review Detail Report	アクセスレビュー詳細レポートの実行	「レポート」 - アクセスレビュー詳細レポートのみ
Run Access Review Summary Report	アクセスレビュー概要レポートの実行	「レポート」 - アクセスレビュー概要レポートのみ
Run Admin Report	管理者レポートの実行	「レポート」 - 管理レポートのみ
Run Audit Policy Scan Administrator	監査ポリシースキャンレポートの実行と管理	「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Policy Scan Report	監査ポリシースキャンレポートの実行	「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Report	監査レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Audited Attribute Report	監査された属性のレポートの実行	「レポート」 - 監査された属性のレポートのみ 「レポート」>「ダッシュボードの表示」
Run Auditor Report	任意の監査レポートの実行	「レポート」 - 任意の監査レポート 「レポート」>「ダッシュボードの表示」
Run AuditLog Report	監査ログレポートの実行	「レポート」 - 監査ログレポートのみ
Run AuditPolicy Violation History	組織別違反履歴表示レポートの実行	「レポート」 - 監査ポリシー別違反履歴表示レポートのみ 「レポート」>「ダッシュボードの表示」
Run Policy Summary Report	ポリシーの概要レポートの実行	「レポート」 - ポリシーの概要レポートのみ
Run Organization Violation History	組織別違反履歴表示レポートの実行	「レポート」 - 組織別違反履歴表示レポートのみ 「レポート」>「ダッシュボードの表示」
Run Reconcile Report	調整レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Report	リソースレポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Violation History	リソース別違反履歴表示レポートの実行	「レポート」 - リソース別違反履歴表示レポートのみ
Run Risk Analysis	リスク分析の実行	「レポート」 - 「リスク分析の実行」、「リスク分析の表示」サブタブ
Run Role Report	ロールレポートの実行	「レポート」 - ロールレポートのみ
Run Task Report	タスクレポートの実行	「レポート」 - タスクレポートのみ
Run User Access Report	詳細なユーザーレポートの実行	「レポート」 - ユーザーアクセスレポートのみ 「レポート」>「ダッシュボードの表示」
Run User Report	ユーザーレポートの実行	「レポート」 - ユーザーレポートのみ
Run Violation Summary Report	違反の概要レポートの実行	「レポート」 - 違反の概要レポートのみ 「レポート」>「ダッシュボードの表示」
Security Administrator	暗号化鍵、ログイン設定、およびポリシーの管理などの機能を持つユーザーの作成	「アカウント」 - 「アカウントのリスト」(パスワードの削除、作成、更新、編集、および変更)、「ユーザーの検索」サブタブ (監査レポート) 「パスワード」 - すべてのサブタブ 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「レポート」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理) 「セキュリティー」 - 「ポリシー」、「ログイン」サブタブ
Separation of Duties Report Administrator	職務分掌レポートの作成、編集、実行、および削除	「レポート」 - 職務分掌レポートのすべての操作のみ
Run Separation of Duties Report	職務分掌レポートの実行	「レポート」 - 職務分掌レポートのみ 「レポート」>「ダッシュボードの表示」
Service Provider Admin Role	サービスプロバイダ管理者ロールと関連する規則の管理	「セキュリティー」 - 「管理者ロール」タブ
Service Provider Administrator	サービスプロバイダユーザーとサービスプロバイダトランザクションの作成、編集、および管理。トランザクションデータベースと追跡イベントの設定。	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ 「サーバータスク」>「サービスプロバイダトランザクション」タブ 「レポート」>「ダッシュボードの表示」タブ 「レポート」>「ダッシュボードの設定」タブ サービスプロバイダ - すべてのサブタブ
Service Provider Create User	サービスプロバイダ (エクストラネット) ユーザーのユーザーアカウントの作成	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Delete User	サービスプロバイダユーザーアカウントの削除	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Update User	サービスプロバイダユーザーアカウントの更新	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider User Administrator	サービスプロバイダ (エクストラネット) ユーザーの管理	「アカウント」>「サービスプロバイダユーザーの管理」 - すべてのサブタブ
Service Provider View User	サービスプロバイダ (エクストラネット) ユーザーアカウント情報の表示	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
SPML Access	Identity Manager の SPML (Service Provisioning Markup Language) 機能へのアクセスを許可	「セキュリティー」 - 「機能」サブタブ
Task Report Administrator	タスクレポートの作成、編集、削除、および実行	「レポート」 - タスクレポートのみ
Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (割り当て解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Unlink User	既存のリソースアカウントのリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Unlock User	ロック解除をサポートする既存のユーザーリソースアカウントのロック解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (ロック解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
Update User	既存のユーザーの編集と、ユーザー更新リクエストの発行	「アカウント」 - ユーザーの編集および更新 「タスク」 - 既存のタスクの管理 (「すべてのタスク」サブタブから)
User Access Report Administrator	ユーザーアクセスレポートの作成、実行、編集、および削除	「レポート」 - ユーザーアクセスレポートのみ 「レポート」>「ダッシュボードの表示」
User Account Administrator	ユーザーに対するすべての操作	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ。ユーザー機能を割り当てることはできません (「アカウントのリスト」サブタブの「セキュリティー」フォームタブ)。 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
User Report Administrator	ユーザーレポートの作成、編集、削除、および実行	「レポート」 - ユーザーレポートの実行
View User	個別のユーザーの詳細の表示	「アカウント」 - リストからユーザーを選択して、個別のユーザーアカウント情報を表示します。変更操作は許可されません。
Violation Summary Report Administrator	違反の概要レポートの作成、修正、削除、および実行	「レポート」 - 違反の概要レポートのみ 「レポート」>「ダッシュボードの表示」
Waveset Administrator	System Configuration オブジェクトの修正など、システム全体にわたるタスクの実行	「サーバータスク」 - すべてのサブタブ。ロールの同期、ソースアダプタテンプレートの編集、およびレポートのスケジュール 「レポート」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」(リストのみ、変更操作は許可されない) 「設定」 - 「監査」、「電子メールテンプレート」、「フォームおよびプロセスマッピング」、および「サーバー」サブタブ

---

管理者ロールとその管理について

管理者ロールを使用すると、1 人または複数の管理者に、機能と管理の範囲の一意の組み合わせや管理する組織を割り当てることができます。1 人の管理者に複数の管理者ロールを割り当てられます。これによって、管理者は 1 つの管理の範囲内ではある一連の機能を持ち、別の管理の範囲内では別の一連の機能を持つことができます。

たとえば、管理者にある管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織のユーザーの作成および編集の権限を与えます。同じ管理者に別の管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織では、ユーザーのパスワード変更の権限のみを与えることもできます。

ユーザーに直接機能や管理する組織を割り当てるのではなく、管理者ロールを使用して管理特権を与えることをお勧めします。管理者ロールでは機能と範囲または管理の組み合わせを再使用し、同時に多数のユーザーに対する管理者特権の管理を簡素化できます。

機能または組織 (またはその両方) の管理者ロールへの割り当ては、直接または間接的 (動的) に行うことができます。

直接 − この方法を使用して、機能および/または管理する組織を明示的に管理者ロールに割り当てます。たとえば、管理者ロールには管理する組織として最上位と User Report Administrator 機能が割り当てられている場合があります。
動的 (間接) − この方法は、機能および管理する組織の規則の割り当てを使用します。規則は管理者ロールを割り当てられた管理者がログインするたびに評価され、管理者の認証に基づいて機能および/または管理する組織の明示的なセットを動的に決定します。