ポリシー ストア、アプリケーション、スコープ
承認ポリシーのストア、アプリケーション、スコープは、承認マネージャー ポリシーのさまざまなレベルのorganizationを表します。 ポリシー ストアには 1 つ以上のアプリケーションを含めることができます。また、アプリケーションには 1 つ以上のスコープを含めることができます。
承認ポリシー ストア
Authorization Manager API では、承認ポリシー ストアは IAzAuthorizationStore オブジェクトによって表されます。 承認ポリシー ストアには、アプリケーション、スコープ、操作、タスク、ロール、およびユーザー グループの定義と割り当てが含まれています。
承認ポリシー ストアは、XML ファイルとして、または Active Directory に格納できます。
アプリケーションは、ストア内の情報を変更する前に、またはストア ポリシーを使用してリソースへのクライアント アクセスをチェックする前に、承認ポリシー ストアを初期化する必要があります。
承認ポリシー ストアには、それぞれ特定のアプリケーションの承認ポリシーを表す 1 つ以上の IAzApplication オブジェクトを含めることができます。
アプリケーション
Authorization Manager API では、アプリケーションは IAzApplication オブジェクトによって表されます。 承認ポリシー ストアには、多くのアプリケーションの承認ポリシー情報を含めることができます。 IAzApplication オブジェクトを使用すると、アプリケーションごとに異なる承認ポリシーを 1 つのポリシー ストアに格納できます。
承認ポリシー ストアは、アプリケーションを少なくとも 1 つ含む必要があります。
スコープ
Authorization Manager API では、スコープは IAzScope オブジェクトによって表されます。 スコープは、承認ポリシーに対して追加のオプションレベルのorganizationを提供します。 アプリケーションには 1 つ以上のスコープを含めることができますが、含める必要はありません (Authorization Manager には、既定のアプリケーション全体のスコープが用意されています)。
スコープは、アプリケーション内のサブ区分であり、そのアプリケーションで使用される他のリソースからリソースを分離します。 アプリケーション全体には適用したくない承認マネージャー グループ、役割の割り当て、役割の定義、またはタスクの定義がある場合、これらをスコープ レベルで作成できます。
委任
Active Directory に格納されている承認ポリシー ストアは、管理の委任をサポートします。 管理は、ストア、アプリケーション、またはスコープ レベルでユーザーとグループに委任できます。 各レベルでは、そのレベルのポリシーの管理ロールを定義します。 ユーザーまたはグループに制御を委任するには、管理者ロールに割り当てます。ユーザーまたはグループがポリシーを読み取れるようにするには、閲覧者ロールに割り当てます。
ストア、アプリケーション、またはスコープの管理者は、委任されたレベルでポリシー ストアの読み取りと変更を行うことができます。 閲覧者は委任されたレベルでポリシー ストアを読み取ることができますが、ストアを変更することはできません。
関連トピック
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示