グループの作成、グループへのメンバーの追加、グループ ルールの作成を実行できます。その後、定義したルールに基づいてグループをポピュレートできます。
ユーザーに個別に使用資格を付与するのではなく、グループを使用して、同じリソースの使用資格を複数のユーザーにまとめて付与します。ユーザーは複数のグループに属することができます。たとえば、セールス グループと管理グループを作成した場合、セールス マネージャは両方のグループに属することができます。
グループのメンバーに適用するポリシー設定を指定できます。グループに属するユーザーは、ユーザー属性に設定するルールで定義します。ユーザー属性の値が、定義されたグループ ルールの値から変更されると、ユーザーはグループから削除されます。
手順
- VMware Identity Manager コンソールの [ユーザーとグループ] タブで、[グループ] をクリックします。
- [グループを追加] をクリックします。
- グループ名とグループの説明を入力します。[次へ] をクリックします。
- グループにユーザーを追加します。グループにユーザーを追加するには、ユーザー名に含まれるいくつかの文字を入力します。テキストを入力すると、一致する名前が表示されます。
- ユーザー名を選択し、[ユーザーを追加] をクリックします。
続けてグループにメンバーを追加します。
- グループにユーザーを追加したら、[次へ] をクリックします。
- [グループ ルール] ページで、グループ メンバーシップを付与する方法を選択します。ドロップダウン メニューで、[任意] または [すべて] を選択します。
オプション 操作 任意 グループ メンバーシップのいずれかの条件が満たされた場合にグループ メンバーシップを付与します。この操作は OR 条件のように機能します。たとえば、[グループが次であるもの:セールス] というルールと [グループが次であるもの:マーケティング] というルールに [任意] を選択すると、セールスとマーケティングのスタッフにこのグループのメンバーシップが付与されます。 すべて グループ メンバーシップのすべての条件が満たされた場合にグループ メンバーシップを付与します。[すべて] は AND 条件のように機能します。たとえば、[グループが次であるもの:セールス] と [メール アドレスが次で始まるもの:'western_region'] というルールに [次のすべて] を選択すると、西部地域のセールス スタッフだけにこのグループのメンバーシップが付与されます。その他の地域のセールス スタッフにメンバーシップは付与されません。 - グループに 1 つ以上のルールを構成します。ルールはネストできます。
オプション 説明 属性 最初の列のドロップダウン メニューから、いずれかの属性を選択します。[グループ] を選択すると、作成するグループに既存のグループを追加できます。その他の種類の属性を追加して、グループ内のどのユーザーを、作成するグループのメンバーにするかを管理できます。
属性ルール 選択した属性に応じて次のルールを使用できます。
- このグループに関連付けるグループまたはディレクトリを選択する場合は、[次であるもの] を選択します。テキスト ボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
- 除外するグループまたはディレクトリを選択する場合は、[次ではないもの] を選択します。テキスト ボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
- 入力した条件と完全に一致するエントリにグループ メンバーシップを付与する場合は、[次と一致するもの] を選択します。たとえば、代表電話番号を共有する出張担当部署があるとします。その電話番号を共有するすべての従業員に対して旅行予約アプリケーションへのアクセス権を付与する場合は、「電話番号が次と一致するもの:(555) 555-1000」などのルールを作成します。
- 入力した条件に一致するディレクトリ サーバ エントリを除いてグループ メンバーシップを付与する場合は、[次と一致しないもの] を選択します。たとえば、いずれかの部署で代表電話番号を共有している場合に、その部署でソーシャル ネットワーキング アプリケーションにアクセスできないようにするには、「電話番号が次と一致しないもの:(555) 555-2000」などのルールを作成します。
- 入力した条件で始まるディレクトリ サーバ エントリにグループ メンバーシップを付与する場合は、[次で始まるもの] を選択します。たとえば、組織のメール アドレスが [email protected] のように部署名から始まるとします。セールス スタッフ全員にアプリケーションへのアクセス権を付与する場合は、「メール アドレスが次で始まるもの:sales_」などのルールを作成できます。
- 入力した条件で始まるディレクトリ サーバ エントリを除いてグループ メンバーシップを付与する場合は、[次で始まらないもの] を選択します。たとえば、人事部のメール アドレスが [email protected] という形式である場合は、「メール アドレスが次で始まらないもの:hr_」などのルールを設定すれば、人事部からのアプリケーションへのアクセスを拒否できます。この場合、それ以外のメール アドレスを使用するディレクトリ サーバ エントリからは、アプリケーションにアクセスできます。
[任意] または [すべて] の属性の使用 (オプション)[任意] または [すべて] の属性をグループ ルールの一部に含めるには、最後にこのルールを追加します。
- [任意] を選択すると、このルールでグループ メンバーシップのいずれかの条件が満たされた場合にグループ メンバーシップが付与されます。[任意] を使用するとルールをネストできます。たとえば、「グループが次であるもの:セールス」と「グループが次であるもの:カリフォルニア」の両方を指定するルールを作成できます。「グループが次であるもの:カリフォルニア」の場合に [次のいずれか] を選択して、「電話番号が次で始まるもの:415」、「電話番号が次で始まるもの:510」を指定します。グループ メンバーは、カリフォルニア セールス スタッフに所属し、電話番号が 415 または 510 のいずれかで始まる必要があります。
- [すべて] を選択すると、このルールですべての条件が満たされた場合にグループ メンバーシップが付与されます。ここではルールをネストする方法を説明します。たとえば、「グループが次であるもの:マネージャ」と「グループが次であるもの:カスタマ サービス」のいずれかを指定するルールを作成します。「グループが次であるもの:カスタマ サービス」の場合に、[次のすべて] を選択して、「メール アドレスが次で始まるもの:cs_」、「電話番号が次で始まるもの:555」を指定します。この場合、グループ メンバーは、マネージャまたはカスタマ サービス担当者のいずれかで、かつカスタマ サービス担当者の場合はメール アドレスが「cs_」で始まり、電話番号が「555」で始まるものに限定されます。
- (オプション)特定のユーザーを除外するには、テキスト ボックスにユーザー名を入力し、[ユーザーを除外] をクリックします。
- [次へ] をクリックし、グループの情報を確認します。[グループを作成] をクリックします。
次のタスク
グループに使用資格が付与されているリソースを追加します。