Oracle Identity Managerでは、ユーザーの作成やリソースのプロビジョニングなどの様々な操作をリクエストを介して実行できます。リクエストは特定のアクションを実行するユーザーまたは管理者が作成したエンティティで、アクションを実行するには、誰かまたはなんらかのプロセスから事前に任意の権限を取得しておく必要があります。たとえば、ユーザーはラップトップ・コンピュータへのアクセス権を取得するためのリクエストを作成し、マネージャはそのリクエストに基づいてオープン購買依頼を作成できます。
リクエストでは、リクエスタ、受益者(オプション)およびターゲット・エンティティを使用します。リクエスタは、リクエストを作成または要求するエンティティです。リクエスタは、ユーザーまたはシステム自体の場合があります。システム生成リクエストのリクエスタは、機能コンポーネントによって決定されます。システム生成リクエストの例には、アクセス・ポリシーに基づいてシステムが作成するリクエストがあります。この場合、機能コンポーネントはアクセス・ポリシーです。未認証リクエストの場合、リクエスタはOracle Identity Managerに対して認証されないため、システムに存在しません。
受益者は、リクエストの完了後に実行されたアクションから利益を得るエンティティですが、このリクエストが完了するのは、リクエストが正常に実行された場合のみです。
Oracle Identity Managerでは、ユーザー、組織、ロールおよびリソースなどの用語はエンティティとして定義されます。各エンティティは、それぞれに属する属性のリストを保守します。各エンティティは、サポートする操作のリストも定義します。
ターゲット・エンティティは、受益者のためにリクエストされるリソースです。
たとえば、ユーザーJohn DoeにUNIXアカウントをプロビジョニングするリクエストを作成します。この場合、自分はリクエスタ、John Doeは受益者、UNIXアカウントはJohn Doeのためにリクエストされるターゲット・エンティティです。
各リクエストは、システムで作成された後、特定のライフサイクルを通過します。このライフサイクルは、リクエスト・サービスによって管理および制御されます。ライフサイクルによって、リクエストは様々なステージに遷移します。リクエストが存在するステージによって、コントローラがそのステップで実行するアクション、リクエストに対して使用可能な操作、およびその時点で遷移が可能なステージが決定します。図10-1に、リクエストのプロセス・フローの概要を示します。
リクエスト・プロセス・フローの説明では、リクエストを介してユーザーにラップトップ・コンピュータをプロビジョニングする例を使用します。ステップは次のとおりです。
リクエスタは、リクエストUIを使用して、ユーザーにラップトップ・コンピュータを割り当てるリクエストを要求します。
注意: リクエストは、Oracle Identity ManagerセルフサービスまたはOracle Identity Managerアイデンティティ管理を使用して要求できます。 |
リクエストは、リクエスト・サービスに送信されます。
リクエストは、Oracle Identity Managerデータベースにも格納されます。
テンプレート・レベルの承認ワークフローは、サービス指向アーキテクチャ(SOA)のリクエスト・サービスによって開始されます。
テンプレートに承認プロセスがある場合、承認ワークフローはテンプレート・レベルで開始されます。テンプレートに承認プロセスがない場合、リクエストは自動承認されます。
リクエスト・レベルの承認ワークフローは、サービス指向アーキテクチャ(SOA)のリクエスト・サービスによって開始されます。ワークフロー構成に基づいて、関連するタスクは対応する承認者に割り当てられます。
関連項目: 承認レベルおよび承認ワークフローの詳細は、Oracle identity Manager開発者ガイドの承認ワークフローに関する項を参照してください。 |
リクエスト・レベルの承認者は、Oracle Identity Managerセルフサービスのタスクリストを使用してリクエストを承認します。この例では、リクエスタのマネージャ(承認者1)が、ユーザー1にラップトップを割り当てるかどうかを決定するリクエスト・レベルの承認者です。リクエスト・レベルの承認者がリクエストを却下すると、リクエストは「却下」ステージに移動します。
承認者1が自身のロールを承認者2に指定している場合は、承認者2が、ユーザー1にラップトップを割り当てるかどうかを決定するリクエスト・レベルの承認者です。承認者2がリクエストを却下すると、リクエストは「却下」ステージに移動します。
操作レベルの承認者は、タスクリストを使用してリクエストを承認します。この例では、組織のIT管理者がユーザーへのラップトップの発行を担当する操作レベルの承認者(承認者2)です。操作レベルの承認者がリクエストを却下すると、リクエストは「却下」ステージに移動します。
注意: リクエストがリクエスト・レベルで却下された場合、操作レベルのリクエストは開始されません。 |
リクエスト操作はリクエスト・サービスで開始されて、リクエストが実行されます。
リクエスト操作が完了します。このステージで、リクエスト操作が「完了」ステータスになります。
リクエスト・ステータスが、Oracle Identity Managerデータベースで更新されます。
この章では、リクエスト管理について次の各項で説明します。
各リクエストは、システムで作成された後、特定のライフサイクルを通過します。このライフサイクルは、リクエスト・サービスによって管理および制御されます。ライフサイクルによって、リクエストは様々なステージに遷移します。リクエストが存在するステージによって、コントローラがそのステップで実行するアクション、リクエストに対してその時点で使用可能な操作、および遷移が可能なステージが決定します。図10-2に、リクエスト・サービスにおけるリクエストのライフサイクル・フローの概要を示します。
注意: リクエストが正常に送信されない場合は、エラー・メッセージがUIに表示されます。SPML開始リクエストの場合は、エラー・メッセージがSPMLにスローされます。 |
図10-2は、リクエストが通過できるすべてのステージを示しています。この図は、単純なリクエストの各ステージを示しています。バルク・リクエストの詳細は、「図10-3 バルク・リクエストと子リクエストのステージ」を参照してください。
各ステージは、リクエスト・ライフサイクルにおける論理的な次のステップを表しています。リクエストが1つのステージから次のステージに移動できるのは、操作が正常に実行された場合のみです。
表10-1に、ライフサイクルの様々なステージでのリクエストの機能、およびリクエストのこれらのステージへの到達方法を示します。
表10-1 リクエストのステージ
リクエストのステージ | 説明 |
---|---|
作成 |
正常に送信されたリクエストは、「作成」ステージに移動します。 |
承認の取得 |
作成されたリクエストに承認が定義されている場合は、リクエスト・エンジンがそのリクエストを承認の取得ステージに自動的に移動します。このステージでは、リクエスト・エンジンが最初にリクエスト・テンプレートを参照して、承認が定義されているかどうかを検索します。承認が検出された場合は、対応する承認がリクエスト・サービスを介して開始されます。完了と同時に、リクエスト・エンジンは、このリクエストに定義されているモデルを参照して承認の選択方法を検索し、インスタンス化する正確な承認プロセスを検出します。 リクエスト・エンジンは、開始する必要のある承認を検出すると、リクエスト・サービスを再度コールしてワークフローをインスタン化します。 このステージでリクエストが取り消されるかクローズされた場合、リクエスト・エンジンはワークフロー・インスタンスごとにワークフローの取消しをコールします。タスクの取消しに関する通知が承認者に送信されます。 注: 通知の構成は、SOAコンポジットのヒューマン・タスクで実行できます。 次のリクエスト・ステータスが承認の取得ステージに関連付けられています。
これらのリクエスト・ステータスの詳細は、「バルク・リクエストと子リクエスト」を参照してください。 これらのステータスを正常に完了したリクエストは、リクエスト承認済ステージに到達します。 リクエストが正常に作成された後に検証チェックがプラグインされる場合、リクエストは次のステータスに関連付けられます。
注意: これらのリクエスト・ステータスが可能なのは、リクエストがリソースのプロビジョニング・リクエストであるか、リクエストでリソースのプロビジョニング・リクエストを変更する場合です。 |
承認 |
操作承認が承認された場合のみ、リクエストは次のステージに移動し、リクエスト・エンジンは現在のステータスで更新されます。リクエスト・エンジンが検出する結果は、「承認」、「却下」または「保留」です。 次のリクエスト・ステータスがこのステージに関連付けられています。
|
却下 |
ワークフロー・インスタンスが更新されるたびに、リクエスト・サービスは、リクエスト・エンジンをそのインスタンスの現在のステータスで更新します。リクエスト・エンジンが想定しているリクエスト・サービスからの結果は、「承認」または「却下」です。インスタン化されたワークフロー・インスタンスが却下された場合、リクエスト・エンジンはリクエストを「却下」ステージに移動します。任意のワークフロー・インスタンスが却下された場合、コントローラはすべての保留中のワークフローを取り消して、リクエストを「却下」ステージに移動します。 次のリクエスト・ステータスがこのステージに関連付けられています。
|
操作が開始されました |
リクエストが承認されると、リクエスト・エンジンはリクエストを「操作が開始されました」ステージに移動して、操作を開始します。 次のリクエスト・ステータスがこのステージに関連付けられています。
|
失敗 |
リクエストに指定されている関連操作の実行に失敗した場合、リクエストは保留中の操作を取り消して「リクエストに失敗しました」ステージに移動します。このステージに関連付けられているリクエスト・ステータスは「リクエストに失敗しました」および「リクエストの一部が失敗しました」で、これらはリクエストに指定されている関連操作のすべてが失敗か、一部が失敗かに基づいて設定されます。 |
取消し済 |
リクエスタはリクエストを取り消すことができます。このステージでは、リクエストが「リクエストが取り消されました」ステータスに関連付けられ、図10-2の複数のエントリ・ポイントで示されているように、すべての承認の開始が取り消されます。 注意:
|
完了 |
リクエストに指定されたすべての操作の実行が完了すると、リクエスト・エンジンはリクエストを「リクエストが完了しました」ステージに移動します。 次のリクエスト・ステータスがこのステージに関連付けられています。
|
ステージに正常に到達すると、リクエストのステータスも対応するステータスに更新されます。
操作は、手動で実行するか、イベントに対応してシステムで自動的に実行できます。手動操作の例を次に示します。
リクエストの送信。
リクエストのクローズ/取消し。
承認ワークフローが正常に承認されたことがサービスに通知されたときのリクエストの承認。
自動操作の例を次に示します。
リクエストが送信されたときの承認の開始。
リクエストが承認され、かつ実行日が過去または指定されていない場合のリクエストの実行。
バルク・リクエストは、複数の受益者または複数のターゲット・エンティティ(あるいはその両方)を含むリクエストです。たとえば、ユーザーJohn Doeに複数のロールを割り当てるリクエストでは、バルク・リクエストが生成されます。ユーザーJohn DoeおよびJane DoeにADユーザーなどのリソースをプロビジョニングするプロビジョニング・リクエストでも、バルク・リクエストが生成されます。バルク・リクエストには、2つの部分があります。
親リクエスト: 複数の受益者または複数のターゲット・エンティティ(あるいはその両方)を含めて送信されたリクエストは、親リクエストです。
子リクエスト: 親リクエストに対してリクエスト・レベルの承認が発生した場合は、複数の子リクエストが作成されます。親リクエストは、1人の受益者と1つのターゲット・エンティティ(つまり、両方)を含む複数の子リクエストに分割されます。
バルク・リクエストのエンティティ・データは、リクエストに指定されている異なる受益者間で同じである必要があります。たとえば、プロビジョニング解除のバルク・リクエストの場合、リクエスタは、異なる受益者間で異なるリソース・インスタンスをプロビジョニング解除することを選択できます。そのような状況では、リソース・インスタンスとその受益者間の関連付けは維持されます。
生成される子リクエスト数は、各受益者に関連付けられているターゲット・エンティティの数に依存します。各受益者の関連するターゲット・エンティティの1つを使用して、各子リクエストが生成されます。子リクエストには、1人の受益者と1つのターゲット・エンティティのみが含まれます。
受益者が含まれていないリクエストの場合は、ターゲット・エンティティごとに各子リクエストが生成されます。次に例を示します。
ユーザーの修正バルク・リクエストで、2つのユーザー・インスタンスを変更します。このリクエストの場合、各ユーザー・インスタンスにそれぞれ対応する2つの子リクエストが起動されます。
別の例について考えてみます。プロビジョニング解除のバルク・リクエストに2人の受益者が存在します。2つのリソース・インスタンスを受益者ごとにプロビジョニング解除します。このシナリオでは、最初の受益者に対して2つの子リクエストがあり、2番目の受益者に対して2つの子リクエストがあります。各子リクエストには、各リソース・インスタンスとそれに関連する受益者が存在します。したがって、このバルク・リクエストには、1つの親リクエストと4つの子リクエストの合計が存在します。
テンプレート・レベルの承認は、親リクエストの一部として実行されます。リクエストの作成に使用するリクエスト・テンプレートに関連する承認プロセスがある場合、リクエストは「テンプレート承認を取得しています」ステージに移動します。テンプレートに承認プロセスがない場合、リクエストはテンプレート・レベルで自動承認されて「リクエスト承認を取得しています」ステージに移動します。
リクエスト・レベルの承認は、親リクエストの一部として実行されます。親リクエストは子リクエストを生成した後、子リクエストが操作レベルの承認を完了するまで「操作が開始されました」ステージに移動して待機します。親リクエストと子リクエストの両方でリクエスタが同じ場合は、すべての子リクエストが完了すると、親リクエストは「完了」ステージに移動します。
操作レベルの承認は、子リクエストに対してのみ実行されます。承認者は、子リクエストを個別に承認または却下できます。すべての子リクエストが承認または却下された場合、親リクエストは「完了」ステージに到達します。子リクエストの1つが失敗した場合、親リクエストは「一部が失敗しました」ステージに到達します。すべての子リクエストが失敗した場合、親リクエストは「失敗」ステージに到達します。
図10-3に、リクエスト・サービスにおけるリクエストのライフサイクル・フローの概要を示します。
関連項目:
|
リクエスト・モデルは、特定のリクエスト・タイプに対して特定の方法で動作するようにリクエスト管理エンジンに指示する仕様です。各リクエストには、リクエスト・モデルを関連付ける必要があります。リクエスト・モデルとリクエスト・タイプ間には1対1の関係があります。リクエスト・モデルによって、収集する情報、承認の取得方法および実行するアクションが示されます。たとえば、「ユーザーの作成」リクエスト・モデルと「ユーザーの変更」リクエスト・モデルに定義されている情報は異なり、結果としてリクエスト・タイプに対するアクションはそれぞれ異なります。
注意: Oracle Identity Managerでは、デフォルトでリクエスト・モデルが提供されます。リクエスト・モデルは変更できません。 |
Oracle Identity Managerには、事前に定義された一連のリクエスト・モデルがあります。表10-2に、Oracle Identity Managerがデフォルトでサポートしている操作およびリクエスト・モデルを示します。
表10-2 デフォルトの操作およびリクエスト・モデル
カタログ | リクエスト・モデル | バルク | 自身または管理者 | 受益者 |
---|---|---|---|---|
ユーザー管理 |
ユーザーの作成 |
N |
管理者 |
N |
ユーザーの自己登録 |
N |
自身 |
N |
|
セルフ・プロファイルの変更 |
N |
自身 |
N |
|
ユーザー・プロファイルの変更 |
Y |
管理者 |
N |
|
ユーザーの有効化 |
Y |
管理者 |
N |
|
ユーザーの無効化 |
Y |
管理者 |
N |
|
ユーザーの削除 |
Y |
管理者 |
N |
|
プロビジョニング |
リソースのプロビジョニング |
Y |
管理者 |
Y |
リソースの自己リクエスト |
Y |
自身 |
Y |
|
プロビジョニング済リソースの変更 |
Y |
管理者 |
Y |
|
プロビジョニング済リソースの有効化 |
Y |
管理者 |
Y |
|
プロビジョニング済リソースの無効化 |
Y |
管理者 |
Y |
|
リソースのプロビジョニング解除 |
Y |
管理者 |
Y |
|
プロビジョニング済リソースの自己変更 |
N |
自身 |
Y |
|
リソースの自己プロビジョニング解除 |
Y |
自身 |
Y |
|
ロール管理 |
ロールの作成 |
N |
管理者 |
N |
ロールの削除 |
Y |
管理者 |
N |
|
ロールの変更 |
N |
管理者 |
Y |
|
ロールの割当て |
Y |
管理者 |
Y |
|
ロールからの削除 |
Y |
管理者 |
Y |
|
ロールの自己割当て |
Y |
自身 |
Y |
|
ロールの自己削除 |
Y |
自身 |
Y |
注意: 「ロールの作成」、「ロールの削除」および「ロールの変更」リクエスト・モデルの場合は、APIを使用したリクエストの作成のみがサポートされ、UIからの作成はサポートされていません。 |
表10-2の「バルク」列は、リクエスト・モデルでバルク操作がサポートされているかどうかを示しています。バルク・リクエストは、複数の受益者または複数のターゲット・エンティティ(あるいはその両方)を含むリクエストです。たとえば、ユーザーJohn Doeに複数のロールをプロビジョニングするリクエストでは、バルク・リクエストが生成されます。マネージャ・グループにユーザーJohn DoeおよびJane Doeを追加するプロビジョニング・リクエストでも、バルク・リクエストが生成されます。
リクエスト・モデルは、リクエストの送信後のフロー方法、必須の承認、およびリクエスタが要求するデータを指定するXMLファイルです。次の情報が含まれます。
モデルの名前
ターゲット・エンティティが必須かどうか。
ユーザーにリソースをプロビジョニングするリクエストには受益者がいます。このタイプのリクエストの例には、エンティティを作成して、そのエンティティとユーザーまたは組織間の関係を作成するリクエストがあります。つまり、関係を含める必要があります。
ユーザーの作成などのリクエストではエンティティの作成が必要ですが、必ずしも他のエンティティとの関係を含める必要があるとはかぎりません。
対応する受益者タイプ(ユーザー)。
モデルに関連付けられたエンティティ・タイプと、そのエンティティが汎用であるかどうか。
汎用エンティティ・タイプは親エンティティ・タイプで、特定のサブタイプが選択されないかぎり、エンティティを作成できません。たとえば、リソースが汎用エンティティで、電子メールとラップトップがサブタイプです。
サブタイプを定義せずに作成可能なエンティティ・タイプは、汎用エンティティ(ユーザーなど)ではありません。
モデルが作成モデルかどうか。作成モデルではエンティティが作成されます。エンティティ、およびそのエンティティとユーザーまたは組織の関連が作成されます。作成以外のモデルでは、ターゲット・エンティティを選択する必要があります。
データ収集への参照。モデルには、収集する必要があるデータを決定するために、XML要素への暗黙的な接続が含まれています。汎用エンティティの場合は、実行時に選択したエンティティ・サブタイプを使用して最終的な参照を作成することで、様々なエンティティ・サブタイプの異なるデータを収集できます。
承認ワークフローの選択。モデルには、リクエストに関連付ける承認プロセスを選択する際に使用するアルゴリズムへの参照が含まれています。アルゴリズムに渡すパラメータも含まれています。
モデルがバルク・モードで実行する操作をサポートしているかどうか。
認証が必須かどうか。Trueの場合、リクエストを作成するすべての認証済ユーザーがモデルを作成できます。Falseの場合、モデルは未認証セルフサービスを介してのみ使用でき、認証済セルフサービスでは使用できません。
Oracle Identity Managerにログインしたユーザーは、セルフサービスおよび拡張管理からリクエストを作成できます。この項では、Oracle Identity Managerセルフサービスを使用してリクエストを作成する方法について、次の各トピックで説明します。
Oracle Identity Managerセルフサービスのログイン・ページを使用して、Oracle Identity Managerに自身を登録するリクエストを作成できます。これは、自己登録リクエストと呼ばれ、Oracle Identity Managerに存在しないユーザー(匿名ユーザー)が要求できます。
自己登録リクエストを作成する手順は、次のとおりです。
Oracle Identity Managerセルフサービスのログイン・ページで、「登録」をクリックします。ユーザー登録ウィザードの「ステップ1: 基本情報」ページが表示されます。
名、姓および電子メールIDをそれぞれのフィールドに入力し、「次」をクリックします。「ステップ2: ログイン情報およびセキュリティ情報」ページが表示されます。
「ユーザーIDおよびパスワードの選択」セクションで、ログインID、パスワードおよび確認パスワードをそれぞれのフィールドに入力します。
「チャレンジ質問および回答の設定」セクションで、チャレンジ質問を選択し、質問の回答を入力します。これらの質問と回答は、パスワードを忘れてリセットする必要がある場合に使用します。
「登録」をクリックします。登録リクエストが作成されたことを示す確認ページが表示されます。このページには、リクエスト・ステータスを確認するために使用できる、リクエスト・トラッキング番号が表示されます。
「登録のトラッキング」をクリックして、自己登録リクエストをトラッキングします。
Oracle Identity Managerセルフサービスを使用すると、次の各項で説明されているように、「ようこそ」ページ、「マイ・リクエスト」ページおよび「マイ・プロファイル」ページからリクエストを作成できます。
Oracle Identity Managerセルフサービス・コンソールの「ようこそ」ページを使用して、ログイン・ユーザーは、自身のリクエストまたは他のユーザーのリクエスト(権限が付与されている場合)を作成できます。
Oracle Identity Managerセルフサービスの「ようこそ」ページからリクエストを作成する手順は、次のとおりです。
Oracle Identity Managerセルフサービスの「ようこそ」ページで、「リクエストの作成」をクリックします。リクエスト受益者の選択ページが表示されます。
「自分のためのリクエスト」または「他のユーザーのためのリクエスト」を選択して、「次」をクリックします。「リクエスト・テンプレートの選択」ページが表示されます。
注意:
|
「リクエスト・テンプレート」ボックスに、リクエスト・テンプレート名を入力します。または、表からリクエスト・テンプレート選択します。次に、「次」をクリックします。
テンプレートを選択すると、リクエスト作成の各ステップが動的に生成されます。「ユーザーの作成」リクエスト・テンプレートを選択した場合は、後続のステップが表示されます。
使用可能な詳細リストで、姓を入力して「組織」、「Design Consoleのアクセス」および「ユーザー・タイプ」の順に選択し、「次」をクリックします。「理由の入力」ページが表示されます。
リクエストの作成日時と理由を入力し、「終了」をクリックします。リクエストIDが作成されて表示されます。
リクエストIDをクリックします。リクエストの詳細が表示されます。
Oracle Identity Managerセルフサービスの上部にある「リクエスト」をクリックすると、「マイ・リクエスト」ページが表示されます。
「マイ・リクエスト」ページの「マイ・リクエストの検索」セクションでは、「リクエストの検索」セクションのフィールドを使用してリクエストを検索できます。自分が要求したリクエストまたは自分に対して要求されたリクエストがリストされた表が、ページに表示されます。
表10-3に、リクエスト情報を表示する表の列を示します。
表10-3 リクエスト情報を表示する表の列
列 | 説明 |
---|---|
リクエスト・タイプ |
リクエストのタイプ、またはリクエストを要求して実行する操作。 |
リクエストID |
リクエストを識別するための一意のID。 |
ステータス |
リクエストの現在の状態を示す説明。 |
リクエスト日 |
リクエストが要求された日付と時刻。 |
リクエスタ |
リクエストを作成および送信したユーザーまたはシステム・コンポーネント。 |
リクエストを作成する手順は、次のとおりです。
「アクション」リストから「リクエストの作成」を選択します。「リクエスト受益者」ページが表示されます。
「自分のためのリクエスト」または「他のユーザーのためのリクエスト」を選択して、「次」をクリックします。「リクエスト・テンプレートの選択」ページが表示されます。
注意:
|
「リクエスト・テンプレート」ボックスに、リクエスト・テンプレート名を入力します。または、表からリクエスト・テンプレート選択します。次に、「次」をクリックします。
テンプレートを選択すると、リクエスト作成の各ステップが動的に生成されます。「ユーザーの作成」リクエスト・テンプレートを選択した場合は、後続のステップが表示されます。
使用可能な詳細リストで、姓を入力して「組織」、「Design Consoleのアクセス」および「ユーザー・タイプ」の順に選択し、「次」をクリックします。「理由の入力」ページが表示されます。
リクエストの作成日時と理由を入力し、「終了」をクリックします。リクエストIDが作成されて表示されます。
リクエストIDをクリックします。リクエストの詳細が表示されます。
「マイ・リクエスト」ページでは、リクエストを選択して「取消」リクエストを選択すると、リクエストを取り消すこともできます。リクエストの取消しの詳細は、「リクエストの取消し」を参照してください。
「マイ・リクエスト」ページで、「リクエストID」列のリンクをクリックすると、そのリクエストのリクエスト詳細が表示されます。「リクエストの詳細」ページおよびこのページで実行可能な操作の詳細は、「リクエストの検索」を参照してください。
Oracle Identity Managerセルフサービスの「マイ・プロファイル」ページからリクエストを作成できます。次のリクエスト・タイプを使用できます。
ロールのリクエスト: 詳細は、「ロールのリクエスト」を参照してください。
ロールの削除: 詳細は、「ロールの削除」を参照してください。
リソースのリクエスト: 詳細は、「リソースのリクエスト」を参照してください。
リソースの変更: 詳細は、「リソースの変更」を参照してください。
Oracle Identity Managerセルフサービスを使用して、様々なロールは、リクエストの検索およびトラッキングを実行します。
認証されていないユーザーは、Oracle Identity Managerセルフサービスの「リクエスト」タブで、要求したリクエストを表示できます。「リクエスト」をクリックすると、「マイ・リクエスト」ページに検索機能と要求したリクエストのリストが表示されます。次の項目を検索できます。
自分で要求したリクエスト: ログインしたユーザーが作成したリクエストが返されます。
自分に対して要求されたリクエスト: ログインしたユーザーが受益者またはターゲット・ユーザーとして存在するリクエストが返されます。
「リクエスト」ページの「リクエストの検索」セクションでは、リクエストID、リクエスト・タイプ、ステータス、開始日および終了日に基づいてリクエストを検索できます。リクエストをリクエストID、リクエスト・タイプ、ステータス、リクエスト日およびリクエスタに基づいてソートすることもできます。
注意: リクエストIDに基づくソートは、数値ベースではなく文字列ベースです。 |
検索結果は、表に表示されます。「表示」リストから「自分で要求したリクエスト」を選択すると、自分がリクエスタであるリクエストを表示できます。それ以外の場合は、「自分に対して要求されたリクエスト」を選択して、自分が受益者であるリクエストを表示します。
注意: 「マイ・リクエスト」ページでは、リクエストに対するアクションを受益者として実行することはできません。リクエスタはリクエストを取り消すことができます。リクエストの取消しの詳細は、「リクエストの取消し」を参照してください。 |
表でリクエストを選択すると、図10-4に示すように、「リクエストの詳細」タブに、リクエストの詳細が表示されます。
「リクエストの詳細」ページの「リクエスト情報」セクションには、リクエストの詳細が表示されます。「ステータス」フィールドには、現在のリクエスト・ステータスが表示されます。図10-4に示すように、ステータスが「リクエストに失敗しました」または「リクエストがエラーで完了しました」の場合はリンクが表示され、そのリンクをクリックすると、失敗の理由が表示されます。
さらに、次のタブには、リクエストに関連する詳細が表示されます。
「リクエストされたロール」タブは、ロール管理リクエスト・タイプに関連付けられているリクエストに対してのみ表示されます。リクエスト・タイプがプロビジョニングに関連付けられている場合は、「リクエストされたリソース」タブが表示されます。リクエスト・タイプがユーザー管理に関連付けられている場合は、「ユーザー」タブが表示されます。
「リクエストされたロール」タブには、受益者およびロール表示名が表示されます。バルク・リクエストの場合、このタブの表には、図10-5に示すように、すべての受益者と、各受益者に対応するロール名が表示されます。
「ユーザーの作成」または「リソースのプロビジョニング」リクエスト・タイプのリクエスト詳細を開くと、「ユーザー」タブまたは「リクエストされたリソース」タブには、それぞれ「詳細の表示」リンクが表示されます。図10-6に、「ユーザー」タブの「詳細の表示」リンクを示します。
「詳細の表示」リンクをクリックすると、図10-7に示すように、ウィンドウにユーザーまたはリソースの詳細が表示されます。
このタブには、リクエストに関連付けられたコメント(ある場合)が表示されます。リクエスト・ライフサイクルの様々なステージで追加したコメントのすべてを表示したり、新しいコメントを追加することもできます。たとえば、リクエスタがリクエストを取り消す前にコメントを追加したり、管理者がリクエストをクローズする前にコメントを追加したり、承認者またはリクエスタが承認の達成の一部としてコメントを追加できます。
このタブには、実行プロセスを通じてリクエストに加えられた様々な変更で構成されたリクエスト履歴が表示されます。リクエスト履歴では、リクエストに対するステータスの変更のみが表示またはトラッキングされます。このタブの表には、図10-8に示すように、リクエストのステータス、リクエストの更新日、およびリクエストの更新ユーザーが表示されます。
このタブには、リクエストに関連付けられているすべての承認タスク(保留中や完了)が表示されます。
このタブは、バルク・リクエストまたは親リクエストに対してのみ表示されます。ここには、バルク・リクエストまたは親リクエストに対して作成された子リクエストが表示されます。
受益者としてリクエストを表示する手順は、次のとおりです。
Oracle Identity Managerセルフサービスにログインします。
「リクエスト」をクリックします。「マイ・リクエスト」ページが表示されます。
「表示」リストから「自分に対して要求されたリクエスト」を選択します。図10-9に示すように、自分のために要求されたリクエストが表に表示されます。
リクエストを選択して、「リクエストの詳細」タブにそのリクエストの詳細を表示します。
「マイ・リクエスト」ページでは、リクエストに対するアクションを受益者として実行することはできません。
承認者は、Oracle Identity Managerセルフサービスの「マイ・タスク」セクションで、承認を待機しているリクエストを表示できます。
「承認」タブの「タスクの検索」セクションでは、リクエストID、タスク名、開始日および終了日に基づいてリクエストを検索できます。検索結果は、表に表示されます。「割り当てられたタスクの表示」リストから、次の項目を選択できます。
自分のみ: 自分に割り当てられているリクエストのみにソートされます。
自分が所有するロール: 自分がメンバーとなっているロールに割り当てられているリクエストにソートされます。
自分および自分が所有するロール: 自分に割り当てられているリクエストと自分がメンバーとなっているロールに割り当てられているリクエストにソートされます。
自分が管理するユーザー: 自分が管理するユーザーに割り当てられているリクエストにソートされます。
検索結果表からリクエストを選択すると、「タスクの詳細」ページに、リクエストの詳細が表示されます。
「基本の詳細」セクションと「リクエスト情報」セクションには、リクエストの詳細が表示されます。
リクエスト・タイプ/データセットの一部の属性が承認者専用とマークされている場合は、「承認者からの追加データ」という追加セクションが表示されます。承認者はこのセクションでデータを入力でき、このセクションがない場合(フィールドが必須とマークされている場合)、承認者はリクエストを承認できません。承認者の次のレベルで、承認者は必要に応じてデータを変更できます。同様に、承認者が追加情報をリクエストするためにタスクをユーザーに送信すると、受信ユーザーのタスク詳細には、「追加のリクエスト情報」という追加セクションが表示されます。このセクションで、受信ユーザーはリクエストされた情報を入力できます。
さらに、次のタブには、リクエストに関連する詳細が表示されます。
リクエストされたリソース、ユーザー、リクエストされたロール: 「リソース」タブは、リクエスト・タイプに基づいて動的に生成されます。また、受益者のリスト、ターゲット・リソース名、およびターゲット・リソースに関する詳細を表示するためのリンクが表示されます。
「ユーザー」タブには、リクエストの一部であるユーザーの詳細が表示されます。たとえば、「ユーザーの作成」の場合、「ユーザー」タブにはユーザー名が表示され、「詳細の表示」リンクには、リクエスト作成時に入力したユーザーの属性が表示されます。
「ロール」タブには、リクエストの一部であるロールの詳細が表示されます。たとえば、追加または削除するロール名が表示されます。
リクエストのコメント: このタブには、リクエストに入力したコメントまたは理由が表示されます。
リクエスト履歴: 実行プロセスを通じてリクエストにすでに加えられている様々な変更。
「マイ・タスク」タブおよび「リクエストの詳細」タブから、リクエストの承認、要求、却下および再割当てや詳細情報のリクエストなど、リクエスト操作を実行できます。この手順の詳細は、第9章「タスクの管理」を参照してください。
認証されていないユーザーがトラッキングできるのは、自己登録のリクエストのみです。自己登録リクエストを作成して送信すると、リクエストIDが表示されます。このリクエストIDを使用して、リクエストをトラッキングできます。
リクエスタはリクエストを取り消すことができますが、取り消すことができるのは実行フェーズが開始されていないリクエストのみです。また、受益者はリクエストを取り消すことができません。取り消すことができるのは、次のステージにあるリクエストです。
承認の取得
承認
リクエストを取り消す手順は、次のとおりです。
Oracle Identity Managerセルフサービスで、「リクエスト」をクリックします。
Oracle Identity Managerセルフサービスの「マイ・リクエスト」ページで、取り消すリクエストを選択します。
「アクション」リストから「リクエストの取消し」を選択します。
確認メッセージ・ボックスで「OK」をクリックします。リクエストが取り消され、リクエストの受益者およびリクエスタに通知が送信されます。取消しが成功した場合、リクエストは「リクエストが取り消されました」ステージに移動します。リクエストに関連付けられている保留中の承認タスクは取り消されます。
注意: 通知の構成は、SOAコンポジットのヒューマン・タスクで実行できます。 |
タスク・リストを使用したリクエストの承認、タスクの要求、詳細情報のリクエスト、情報の送信、タスクの却下およびタスクの再割当てなどのリクエスト関連のタスクの詳細は、「認証済ユーザー・セルフサービス」の章の「タスクの詳細の表示」を参照してください。
リクエスト管理者(リクエスト管理者ロールが付与されたユーザー)は、実行フェーズを開始していないリクエストを途中でクローズできます。これには、承認を待機しているすべてのリクエスト、または承認を完了しているが操作を開始していないすべてのリクエストが含まれます。次の状態のリクエストをクローズできます。
承認の取得
承認
注意:
|
リクエストをクローズする手順は、次のとおりです。
Oracle Identity Manager拡張管理に移動します。
「リクエスト」セクションの左ペインで、クローズするリクエストを検索します。
検索結果表からリクエストを選択します。
「アクション」リストから「リクエストのクローズ」を選択します。「リクエストのクローズ」ダイアログ・ボックスが表示されます。
リクエストをクローズする理由を入力し、「リクエストのクローズ」をクリックします。リクエストのクローズが成功したことを示すメッセージ・ボックスが表示されます。
「OK」をクリックします。リクエストが正常にクローズされると、リクエストは「リクエストがクローズされました」ステージに移動します。リクエストがクローズされたことの通知が、このリクエストのリクエスタとターゲット・ユーザーに送信されます。
注意: 通知の構成は、SOAコンポジットのヒューマン・タスクで実行できます。 |