10.3. ユーザーへのパーミッションの委任

ユーザーのあるグループが別のユーザーのグループのエントリーを管理するパーミッションを割り当てられるという意味で、委任はロールにとてもよく似ています。ただし、付与される完全なアクセスがエントリー全体に対してではなく、特定のユーザー属性のみに対してであるという意味で、委任される権限はセルフサービスルールにより似ています。また、委任された権限内のグループは、アクセス制御のために特別に作成されたロールではなく、既存の IdM ユーザーグループになります。

10.3.1. Web UI でのユーザーグループへのアクセス委任

トップメニューの IPAサーバータブで、 ロールベースのアドレスコントロール → 委任サブタブを選択します。
委任アクセスコントロール説明のトップリストの追加リンクをクリックします。
図10.4 新規委任の追加
新規委任に名前を付けます。
ユーザーが特定の属性を閲覧する権限を持つ (read) かその属性を追加または変更する権限を持つ (write) かをチェックボックスで選択して、パーミッションを設定します。
ユーザーによっては情報を閲覧する必要はあるものの、編集可能にすべきでないユーザーもいます。
User group ドロップダウンメニューで、ユーザーグループのユーザーエントリーに パーミッションを付与される グループを選択します。
図10.5 委任追加のフォーム
Member user group ドロップダウンメニューで、委任グループのメンバーが編集する対象エントリーの グループを選択します。
属性ボックスでは、メンバーのユーザーグループがパーミッションを付与される属性を選択します。
Add をクリックして新規委任 ACI を保存します。

10.3.2. コマンドラインでのユーザーグループへのアクセス委任

新規の委任アクセス制御ルールは、delegation-add コマンドで追加できます。以下の 3 つのオプションが必須になります。

--group は、ユーザーグループのユーザーエントリーに パーミッションを付与される グループです。
--membergroup は、委任グループのメンバーが編集する対象エントリーの グループです。
--attrs は、メンバーグループのユーザーが表示または編集を許可される属性です。

以下に例を示します。

$ ipa delegation-add "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --group=engineering_managers --membergroup=engineering
--------------------------------------
Added delegation "basic manager attrs"
--------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber
  Member user group: engineering
  User group: engineering_managers

委任ルールは、delegation-mod コマンドで編集します。--attrs オプションはそれまでにサポートされていた属性をすべて上書きするので、新規属性に加えて属性の完全一覧を常に含めるようにしてください。

[jsmith@server ~]$ ipa delegation-mod "basic manager attrs" --attrs=manager --attrs=title --attrs=employeetype --attrs=employeenumber --attrs=displayname
-----------------------------------------
Modified delegation "basic manager attrs"
-----------------------------------------
  Delegation name: basic manager attrs
  Permissions: write
  Attributes: manager, title, employeetype, employeenumber, displayname
  Member user group: engineering
  User group: engineering_managers

重要

委任ルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

10.3. ユーザーへのパーミッションの委任

10.3.1. Web UI でのユーザーグループへのアクセス委任

10.3.2. コマンドラインでのユーザーグループへのアクセス委任