エンタープライズ管理 SAM「作業アイテムの委任」の有効化と設定方法 - AD編

Document created by YOSHINORI_MOMIKI Employee on Mar 24, 2015Last modified by Tomo_Fujita on Aug 4, 2015
Version 3Show Document
  • View in full screen mode

文書番号: JTEC000186

 

製品名:Privileged Identity Manager

 

バージョン:r12.7以降

 

OS:All

 

◆ 内容

ControlMinderエンタープライズ管理SAMで、ユーザストアにActiveDirectory(AD)を使用した場合の「作業アイテムの委任」の有効化と設定方法について解説します。本資料は、技術情報Document No. 052010146と関連しますので、052010146も併せてご参照ください。

◆ 詳細内容

 ◆シナリオ

 登場するユーザは以下の通りです。各ユーザはAD上のユーザです。 

 superadminシステム管理ユーザ
 requestor特権アカウント要求を行うユーザ
 approver特権アカウント要求を承認するユーザ、翌月に長期休暇をとる予定
 sub-approverapproverから一時的に作業アイテムの委任を受けるユーザ

 

approverは「特権アカウント要求」タスクで特権アカウント要求を承認するユーザとして既に設定されており、特権アカウント要求の承認作業を行っていますが、翌月長期休暇をとるため、その間の承認作業をsub-approverに委任する必要があります。

 

◆設定作業概要

 

 0. AD上の属性を「%DELEGATORS%」にマッピングする作業
 1. 「作業アイテムの委任」の有効化
 2. 「委任マネージャ」管理ロールの付与
 3. 「委任マネージャ」による「作業アイテムの委任」の設定
 4. 「委任マネージャ」による「作業アイテムの委任」の解除

 

0. AD上の属性を「%DELEGATORS%」にマッピングする作業

 

ユーザストアにADを指定した場合、Idmmanage上のプロパティ「Work Item Delegation Wellknown attribute」に「%DELEGATORS%」が設定されないため、次の作業の「作業アイテムの委任」の有 効化が行えません。そこでAD上の属性を「%DELEGATORS%」にマッピングする作業を行います。Idmmanageの有効化については実装ガイドに記載がありますので、そちらを参照してください。

なお、マッピングに使用するAD上の属性には、使用していないものを選んでください。

Idmmanageを開き、Directories > ac-dir と進みます。

画面下部にある「Export」をクリックします。

「保存」をクリックし、ac-dir.xmlを任意のフォルダに保存します

Idmmanage画面(「Export」をクリックした時の画面)に戻り、「Update」をクリックします。

「参照」をクリックして、編集後のac-dir.xmlファイルを選択します。

  「Finish」をクリックすると更新処理が始まり、終了すると下記のような画面が表示されます。

  「0 error(s)」となっていることを確認し、「Continue」をクリックします。

 

  これで、AD上の属性 "homePostalAddress" を「%DELEGATORS%」にマッピングする作業が完了しました。

 

  1.「作業アイテムの委任」の有効化

  この作業は、技術資料052010146に記載の1.と同じ内容ですので詳細は割愛します。

 

  2.「委任マネージャ」管理ロールの付与

  ユーザストアにADを使用した場合「ユーザの変更」が行えないため、「管理ロール メンバ/管理者の変更」から「委任マネージャ」管理ロールの付与を行います。「委任マネージャ」管理ロールを

  特定のユーザに与えて、そのユーザが「作業アイテムの委任」の設定作業を行えるようにします。ここでは、approverに「委任マネージャ」管理ロールを与えることにします。

  エンタープライズ管理 WEB UIにsuperadminでログインします。

  「ユーザおよびグループ」>「ロール」>「管理ロール」>「管理ロール メンバ/管理者の変更」と進みます。

  「検索」をクリックして、「委任マネージャ」を選択し「選択」をクリックします。

  「メンバシップ」タブから「ユーザの追加」をクリックします。

  ユーザの検索画面の条件に「ユーザID」「=」「approver」と設定し「検索」をクリックします。

  リストからapproverを選択し「選択」をクリックします。

  「サブミット」をクリックします。

  *この操作は、エンタープライズ管理用のAD接続ユーザに、ADのadministrator権限が必要になります。

  該当のユーザはIdentity Minder管理コンソールのDirectories > ac-dirのUsernameより確認できます。 

  

   ※上記画面ではsuperadminの代わりにENTMadminを使用しています。

   これで、approverは「作業アイテムの委任」の設定作業が行えるようになりました。

 

   3. 「委任マネージャ」による「作業アイテムの委任」の設定 

    この作業は、技術資料052010146に記載の3.と同じ内容ですので詳細は割愛します。

   

   4. 「委任マネージャ」による「作業アイテムの委任」の解除

   この作業は、技術資料052010146に記載の4.と同じ内容ですので詳細は割愛します。

Attachments

    Outcomes