レガシー管理者の作成
この処理は、以下の条件の 1 つ以上に当てはまると適用されます。
casso11jp
この処理は、以下の条件の 1 つ以上に当てはまると適用されます。
- ポリシー管理 API を使用するSingle Sign-Onオブジェクトを管理するためにレガシー管理者が必要な場合
- トラステッド ホスト管理者として機能するためにレガシー管理者が必要な場合
casso11jp
注:
ポリシー ストアが管理者 ID のソースとして設定されている(デフォルト)場合、レガシー管理者は管理 UI にアクセスできます。ただし、外部管理者ストアがいったん設定されたら、レガシー管理者アカウントは管理 UI にアクセスできません
。レガシー管理者レコードの作成
レガシー管理者の識別情報をポリシー ストアに格納するには、レガシー管理者レコードを作成します。
以下の手順に従います。
- [管理]-[管理者]をクリックします。
- [レガシー管理者]をクリックします。
- [レガシー管理者の作成]をクリックします。
- [OK]をクリックします。
- [一般]セクションで、以下のタスクを実行します。
- [名前]フィールドに一意の ID を入力します。会社の基準に従った一意の ID を入力するようにしてください。会社の基準に従うことで、以下の利点が得られます。
- 管理者が新しい認証情報のセットを覚えておく必要がありません。
- レガシー管理者 ID が外部ストアの一意の ID と一致するため、外部管理者ストアへの移行がスムーズに進みます。
- [説明]フィールドにユーザのフル ネームを入力します。この値は、ユーザが 管理 UI にログインするときに表示名として表示されます。表示名により、ログインしているユーザを識別できます。例:Joe Smith と入力する場合、管理 UI の表示名は以下の形式で表示されます。ログイン名: Joe Smith
- Single Sign-Onデータベース オプション ボタンは選択したままにします。
- それぞれのフィールドに管理者パスワードを入力します。
- 以下のいずれかの項目を行います。
- 以下のタスクみを実行するための権限を持つレガシー管理者を作成している場合は、[サブミット]をクリックします。
- 管理 UI の使用
- ポリシー サーバ ツールの使用
- 上記のタスクの権限を持つレガシー管理者を作成している場合は次の手順に進み、以下のいずれかの項目を行います。
- ポリシー管理 API の管理
- トラステッド ホスト管理者としての機能
- [管理者の権限]セクションから[システムまたはドメイン]オプションを選択します。注:レガシー管理者を作成した後に、権限を管理 UI に委任します。
- システム管理者は、ポリシー管理 API 内のすべてのポリシー ドメインにアクセスできます。[システム]を選択すると、[タスク]セクションが表示されます。
- ドメイン管理者は、ポリシー管理 API 内の一部のポリシー ドメインにアクセスできます。[ドメイン]を選択すると、[タスクと範囲]セクションが表示されます。[タスク]セクションには、実行できる管理タスクがリスト表示されます。[範囲]セクションには、管理できるドメインがリスト表示されます。注:[レガシー管理者の作成]画面の[範囲]セクションは、ワークスペースを使用した管理者アカウント スコープとは関係がありません。
- 管理者が実行できるタスクを選択します。
- システム管理者の場合、以下の 1 つ、または複数のタスクを選択します。
- システムとドメイン オブジェクトの管理
- ユーザの管理
- キーとパスワードポリシーの管理
- トラステッド ホストの登録
- ドメイン管理者の場合は、以下のタスクを実行します。
- 以下のタスクの 1 つまたは複数を選択する。– ドメイン オブジェクトの管理– ユーザの管理– パスワード ポリシーの管理
- 管理者が管理する必要があるドメインを[範囲]セクションで選択します。
- [サブミット]をクリックします。これで、レガシー管理者が作成されました。注:(ポリシー ストアで[レガシー管理者]レコードと関連付けられた)管理者アカウントもまた、管理 UI アクセスを提供するために作成されます。
管理 UI 権限の委任
レガシー管理者が作成されると、ポリシー ストアで同じレコードと関連付けられた管理者アカウントもまた生成されます。この管理者アカウントは、レガシー管理者に対して指定された設定に相当する管理 UI アクセス権限で設定されます。
アクセス権限に影響するレガシー管理者設定への変更は、関連する管理者アカウントに自動的に伝達されます。
また、管理者アカウントに利用可能なきめ細かい管理 UI アクセス権限を利用するために関連する管理者設定を直接変更できます。
注:
関連する管理者アカウント設定への変更は、レガシー管理者に伝達されません
。さらに、いったん関連する管理者の変更が行なわれると、レガシー管理者への変更は管理者アカウントにはもう伝達されません。