とりあえず記録。
Create specific administrator users to track better who makes configuration changes.
設定変更内容や設定変更したユーザをトレースできるようにする
つまり、以下の2点がポイント?ということかなと考えてます。設定を変更するユーザがamadminみたいなトップレベル管理者だけなら、1.自体は作成するシーンがないと思います。
1.設定変更用の特定のユーザを作成する=管理者権限を委譲したユーザの作成?
2.設定変更情報をトレースできるようにしておく(監査ログ)
1.権限委譲用のユーザの作成
以下にレルム管理者の権限委譲が記載されています。
1-1.権限委譲用のグループの作成
[レルム名]-[Subjects]-[グループ]から権限移譲用のグループを作成します。
[権限]タブから権限委譲の設定を行います。
※権限の内容については以下に記載されているようです。ちゃんと読めてないですが。。。
https://backstage.forgerock.com/docs/openam/13/admin-guide#realm-privileges
[レルム名]-[Subjects]-[グループ]-[グループ名]-[ユーザ]で作成した権限委譲用グループのメンバーにユーザを登録します。
登録したユーザでログインすると、ADMINISTRATION画面を操作できるようになっています。
2.監査ログの確認
監査ログは以下に記載があります。
https://backstage.forgerock.com/docs/openam/13/admin-guide#audit-log-topics
設定変更のログはデフォルトだと/%BASE_DIR%/%SERVER_URI%/log/配下のconfig.csvに出力されています。OpenAM13.0だと設定の場所は「CONFIGURATION]-[グローバル]-[Audit Logging]-[Global CSV Handler]になります。
ログローテーションの設定をしておく、もしくはDBにも出力できるようになっているらしいので、その設定をするなど何かあったときに検索しやすいような設定をしておくのが良さげみたいです。
監査ログについては既にいろいろ試されている方がいて、とてもわかりやすい!
http://qiita.com/nanazero/items/bb6d431436316138e246
https://t246osslab.wordpress.com/2016/08/11/openam/openamの新しい監査ログについて-1/
https://t246osslab.wordpress.com/2016/10/19/openamの新しい監査ログについて-2/
今回は少し書き方が雑だったかも。。。