Show Table of Contents
10.2. セルフサービス設定の定義
セルフサービスのアクセス制御ルールでは、エントリーがそれ自体で実行可能な操作を定義します。このルールでは、ユーザー (または他の IdM エンティティー) が自身のパーソナルエントリーで編集可能な属性のみを定義します。
10.2.1. Web UI でのセルフサービスルールの作成
- トップメニューの IPAサーバー タブで、 → サブタブを選択します。
- セルフサービスアクセスコントロールの説明のトップリストの追加をクリックします。
図10.1 現在のセルフサービスルールの追加
- ポップアップウィンドウでルール名を入力します。空白を使用することもできます。
図10.2 セルフサービス追加のフォーム
- この ACI でユーザーによる編集を許可する属性のチェックボックスを選択します。
- Add をクリックして新規セルフサービス ACI を保存します。
10.2.2. コマンドライン でのセルフサービスルールの作成
新規セルフサービスルールは、
selfservice-add コマンドで追加できます。以下の 2 つのオプションが必須になります。
--permissionsは、ACI が付与する書き込み、追加、または削除などのパーミッションを設定します。--attrsでは、この ACI がパーミッションを付与する属性の完全一覧を提供します。
[jsmith@server ~]$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials
-----------------------------------------------------------
Added selfservice "Users can manage their own name details"
-----------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials10.2.3. セルフサービスルールの編集
ウェブ UI のセルフサービスエントリーでは、ACI に含まれている属性の一覧のみが編集可能な要素です。チェックボックスで選択または選択解除ができます。
図10.3 セルフサービス編集ページ
コマンドラインでは、
ipa selfservice-mod コマンドでセルフサービスルールを編集します。--attrs オプションはそれまでにサポートされていた属性をすべて上書きするので、新規属性の他に属性の完全一覧を常に含めるようにしてください。
[jsmith@server ~]$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname -------------------------------------------------------------- Modified selfservice "Users can manage their own name details" -------------------------------------------------------------- Self-service name: Users can manage their own name details Permissions: write Attributes: givenname, displayname, title, initials
重要
セルフサービスルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。