10.2. セルフサービス設定の定義

セルフサービスのアクセス制御ルールでは、エントリーがそれ自体で実行可能な操作を定義します。このルールでは、ユーザー (または他の IdM エンティティー) が自身のパーソナルエントリーで編集可能な属性のみを定義します。

10.2.1. Web UI でのセルフサービスルールの作成

  1. トップメニューの IPAサーバー タブで、 ロールベースのアドレスコントロールセルフサービスパーミッションサブタブを選択します。
  2. セルフサービスアクセスコントロールの説明のトップリストの追加をクリックします。
    現在のセルフサービスルールの追加

    図10.1 現在のセルフサービスルールの追加

  3. ポップアップウィンドウでルール名を入力します。空白を使用することもできます。
    セルフサービス追加のフォーム

    図10.2 セルフサービス追加のフォーム

  4. この ACI でユーザーによる編集を許可する属性のチェックボックスを選択します。
  5. Add をクリックして新規セルフサービス ACI を保存します。

10.2.2. コマンドライン でのセルフサービスルールの作成

新規セルフサービスルールは、selfservice-add コマンドで追加できます。以下の 2 つのオプションが必須になります。
  • --permissions は、ACI が付与する書き込み、追加、または削除などのパーミッションを設定します。
  • --attrs では、この ACI がパーミッションを付与する属性の完全一覧を提供します。 
[jsmith@server ~]$ ipa selfservice-add "Users can manage their own name details" --permissions=write --attrs=givenname --attrs=displayname --attrs=title --attrs=initials
-----------------------------------------------------------
Added selfservice "Users can manage their own name details"
-----------------------------------------------------------
    Self-service name: Users can manage their own name details
    Permissions: write
    Attributes: givenname, displayname, title, initials

10.2.3. セルフサービスルールの編集

ウェブ UI のセルフサービスエントリーでは、ACI に含まれている属性の一覧のみが編集可能な要素です。チェックボックスで選択または選択解除ができます。
セルフサービス編集ページ

図10.3 セルフサービス編集ページ

コマンドラインでは、ipa selfservice-mod コマンドでセルフサービスルールを編集します。--attrs オプションはそれまでにサポートされていた属性をすべて上書きするので、新規属性の他に属性の完全一覧を常に含めるようにしてください。 
[jsmith@server ~]$ ipa selfservice-mod "Users can manage their own name details" --attrs=givenname --attrs=displayname --attrs=title --attrs=initials --attrs=surname
--------------------------------------------------------------
Modified selfservice "Users can manage their own name details"
--------------------------------------------------------------
Self-service name: Users can manage their own name details
Permissions: write
Attributes: givenname, displayname, title, initials

重要

セルフサービスルールを修正する際は、既存の属性も含め、すべての属性を含めるようにしてください。