ログインロール

この記事は https://docs.evolveum.com/iam/myths/login-roles/ の翻訳です。

RBAC に関する実践の中に、かなり一般的ではあるものの、ほとんどの場合は誤っているものがあります。 多くの IDM デプロイメントでは、アプリケーション（リソース）ごとに「ログインロール」や「デフォルトロール」を作成します。 これらのロールは、アカウントの基本的な属性を定義するものとされています。 場合によっては、アカウントへの割当がなくなった後も、そのアカウントを存在させ続けるためのものとされています。 この実践は非常に一般的ですが、複雑で、混乱を招き、保守が非常に難しくなります。 midPoint は、midPoint デプロイメントではこの実践が不要になるように設計されています。 デフォルトのアカウント属性は、リソース定義を使えば簡単に設定できます。 さらに、割当のないアカウントを存在させ続ける機能も、後述する存在対応付けによって midPoint で直接サポートされています。 したがって、このような「ログインロール」は midPoint デプロイメントではまったく不要であり、一般には悪い実践と見なされます。