ヘッダーをスキップ
Oracle Access Manager IDおよび共通管理ガイド
10g(10.1.4.3)
B55478-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

3 アイデンティティ・システムでのスキーマ・データの使用

ユーザーは、アイデンティティ・システム・アプリケーション(ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ)を使用して、自分、他のユーザー、グループ、およびその他のオブジェクトに関するデータを参照および変更できます。ユーザーがアイデンティティ・システム・アプリケーションで参照できる項目は、管理者がアイデンティティ・システム・コンソールで構成したLDAPディレクトリ属性に基づきます。アイデンティティ・システム・アプリケーションにデータを表示するには、アイデンティティ・システム・コンソールを使用して、アプリケーションで操作するディレクトリ・スキーマのオブジェクトおよび属性を構成します。

アイデンティティ・システム・アプリケーションにより、ユーザーは、データをバックエンド・アプリケーションに送信することもできます。たとえば、ユーザーがワークフローにデータを入力すると、そのデータはユーザーの新規電子メール・アカウントを作成するアプリケーションに送信されます。このような使用方法に対応するようアイデンティティ・システム・アプリケーションを準備するには、アイデンティティ・システム・コンソールを使用してテンプレート・スキーマのオブジェクトおよび属性を構成します。アイデンティティ・システムには、汎用のスキーマ・ファイルが付属しています。

この章には、次の各項が含まれます。

3.1 オブジェクト・クラスの概要

アイデンティティ・システム管理者は、ユーザー(および他の管理者)のために3つのアプリケーションを構成します。これらのアプリケーションは、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャです。

図3-1は、ユーザー・マネージャの「ユーザー・プロファイル」ページの一部を示しています。

図3-1 ユーザー・マネージャの「ユーザー・プロファイル」ページ

ユーザー・マネージャのプロファイル・ページの例

アイデンティティ・システム・アプリケーションでは、表示されるデータの大部分がLDAPディレクトリのエントリから取得されます。たとえば、ユーザー・マネージャでは、個人の名前や電子メールなどが表示される場合があります。このデータは、ディレクトリ内のPersonオブジェクトに格納されている属性値から取得されます。これらの属性とその値は、ユーザー・マネージャのプロファイル・ページに表示されます。図3-1で、ユーザー・プロファイルに表示されている名前は、ディレクトリ・サーバー内のPersonオブジェクトの名前属性に基づいています。実際に表示される名前は、属性とともに格納されている値です。役職は、Personオブジェクトの役職属性に基づいています。

すべてのアイデンティティ・システム・アプリケーション(ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ)のプロファイル・ページに、特定のオブジェクトの属性値が表示されます。

3.1.1 テンプレート・オブジェクトを使用した外部システムへのデータの送信

アイデンティティ・システムでは、LDAPディレクトリのオブジェクトと属性を構成できる以外に、テンプレート・スキーマを定義できます。アイデンティティ・システム・コンソールを使用して、LDAPデータを構成する場合と同じようにテンプレート・スキーマのオブジェクトと属性を構成できます。ただし、LDAPデータとテンプレート・データの用途は異なります。LDAPデータは、アイデンティティ・システム・アプリケーションに移入する目的で構成します。ユーザーは、アイデンティティ・システム・アプリケーションのプロファイル・ページまたはワークフローからLDAPデータの値を入力します。LDAPデータは、プロファイル・ページに表示されます。一方、テンプレート・データは、ワークフロー・ステップの処理中にのみ入力できます。このデータは、プロファイル・ページには表示されません。かわりに、データを必要とするバックエンド・アプリケーションに送信されます。

テンプレート・オブジェクト・データは、LDAPデータと異なり、データをバックエンド・システムに送信する場合にのみ使用されます。たとえば、電子メール・システムにより認識可能な属性を含むオブジェクト・テンプレート・スキーマを作成できます。その後、アイデンティティ・システムでそのスキーマの各属性を構成し、それらの属性を使用するワークフローを定義して、アイデンティティ・イベントAPIの使用によりそのデータをバックエンド・システムに送信できます。


注意:

テンプレート・オブジェクト・ファイルの構成方法の詳細は、「外部アプリケーションへの非LDAPデータの送信」を参照してください。アイデンティティ・システム・コンソールでテンプレート・オブジェクトを構成するには、「外部アプリケーションへの非LDAPデータの送信」の説明に従ってテンプレート・オブジェクト・ファイルを完成する必要があります。

3.1.2 スキーマ・データを構成するためのプロセス

Oracle Access Managerを最初にインストールして設定した段階では、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの各アプリケーションは空です。これらのアプリケーションは、情報を含むよう構成する必要があります。たとえば、ユーザー・マネージャには、名前、役職、電話番号、電子メールなどのユーザー情報を表示できます。これらのアプリケーションの外観を構成する前に、まずアイデンティティ・システム・コンソールを使用してアプリケーション・プロファイル・ページに表示するLDAPオブジェクトおよび属性を構成する必要があります。また、文字列値、選択リスト、ラジオ・ボタンのどれを使用するかなど、各属性の表示方法も定義する必要があります。アイデンティティ・システム・コンソールでは、主にLDAPディレクトリ・データを使用して、アプリケーション・プロファイル・ページでユーザーに表示するオブジェクトと属性を指定します。

アイデンティティ・システム・コンソールでオブジェクトと属性を構成したら、アイデンティティ・システム・アプリケーションを構成して各属性とその値を表示できます。アイデンティティ・システム・アプリケーションの構成方法の詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。最後に、それらの属性を表示および変更できるユーザーを指定するために、表示権限と変更権限を割り当てます。

アイデンティティ・システムを外部アプリケーションの入力メカニズムとして使用する場合、アイデンティティ・システム・コンソールを使用してテンプレート・オブジェクトおよび属性を構成します。LDAPデータと同様に、プロファイル・ページに各属性をどのように表示するかを定義します。LDAPデータとテンプレート・データの主な違いは、ユーザーがテンプレート属性の値を入力できるのはワークフロー・ステップの処理中のみであり、そのデータはアイデンティティ・イベントAPIを使用してバックエンド・アプリケーションに渡す必要があるということです。

3.1.3 インストール時に構成されるオブジェクト

アイデンティティ・システムのインストールおよび設定時に、次のオブジェクト・クラスを構成します。

  • ユーザー・マネージャ: 必要なPersonオブジェクト・クラス

  • グループ・マネージャ: 必要なGroupオブジェクト・クラス

  • 組織マネージャ: 事前定義されたLocationオブジェクト・クラス

これらのオブジェクト・クラスは、アイデンティティ・システムの通信先であるLDAPディレクトリから取得されます。

インストール・プロセス中に構成されるオブジェクト・クラスとは別に、LDAPおよびテンプレート・ベースの追加のオブジェクトと属性を構成できます。後続の各項では、オブジェクトと属性を構成してアイデンティティ・システム・アプリケーションにデータを提供する方法について説明します。


注意:

属性を構成するだけでは、その属性はアイデンティティ・システム・アプリケーション・ページに表示されません。特定の属性をアイデンティティ・システム・アプリケーション・ページに関連付けて、それらの属性に表示権限と変更権限を割り当てる必要があります。詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。

3.1.4 アイデンティティ・システムの構造化オブジェクト・クラスと補助オブジェクト・クラス

アイデンティティ・システムは、LDAPの構造化オブジェクト・クラスおよび補助オブジェクト・クラスと連携して機能します。アイデンティティ・システムをインストールすると、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションは、それぞれ1つの構造化オブジェクト・クラスに関連付けられます。構造化オブジェクト・クラスには、オブジェクトの基本要素に関する記述が含まれます。構造化オブジェクト・クラスの例として、PersonやgroupOfNamesがあげられます。Personオブジェクト・クラスには、名前、部門、従業員ID、電子メール・アドレスなどの属性が含まれます。

ユーザー・マネージャおよびグループ・マネージャは、常にただ1つの構造化オブジェクト・クラスに関連付けられます。

組織マネージャは、汎用またはLocationオブジェクト・クラス・タイプの任意の数の構造化オブジェクト・クラスに関連付けることが可能です(詳細は、「オブジェクト・クラス・タイプ」を参照してください)。インストールおよび設定時に、Location構造化オブジェクト・クラスが組織マネージャに関連付けられます。組織マネージャでは、ページの右上のメニューに各構造化オブジェクト・クラスがオプションとして表示されます。組織マネージャで特定のオブジェクト・クラスの作業領域は、タブと呼ばれます。

図3-2 組織マネージャのタブ

組織マネージャのタブのイメージ

補助オブジェクト・クラスを使用すると、すでに構造化クラスに属しているエントリに関連属性のセットを追加できます。補助オブジェクト・クラスは、任意の構造化クラスに追加できるミックスインLDAPオブジェクト・クラスです。請求先住所、チャレンジ・フレーズ、チャレンジ・フレーズに対するレスポンスなどの項目は、補助オブジェクト・クラスでの定義に使用できる可能性があります。

アイデンティティ・システム・コンソールを使用して、管理する各オブジェクト・クラスの属性を構成する必要があります。詳細は、「オブジェクト・クラス属性の概要」を参照してください。

すべてのオブジェクトの継承は、構造化オブジェクト・クラスと補助クラスの両方に共通のスーパー・クラスが存在するという前提に基づきます。それ以外の場合、オブジェクト・クラスの拡張は実行できません。たとえば、eDirectoryで継承オブジェクト・クラスとしてTopを選択しない場合、NDSでは継承オブジェクト・クラスがNoneに設定されます。アイデンティティ・システムでこのオブジェクト・クラスを補助クラスとして構成すると、初めは問題は表面化しません。ただし、この補助クラスの属性を含むユーザーの作成ワークフローを実行すると、コミットの試行時に「有効化」ステップに失敗します。その理由は、スキーマに互換性がなく、スキーマ違反によりエントリのオブジェクト・クラス属性に補助クラスを追加できないためです。


注意:

構成した属性の値をユーザーに表示するには、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャのタブを設定し、必要に応じてユーザーに表示権限と変更権限を付与する必要があります。詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。

3.1.5 テンプレート・オブジェクト・クラス

アイデンティティ・システムでは、構造化オブジェクト・クラスおよび補助オブジェクト・クラス以外に、テンプレート・オブジェクト・クラスが認識されます。テンプレート・オブジェクト・クラスは、部分的には補助オブジェクト・クラスと同様に機能します。つまり、これらのクラスは、アイデンティティ・システム・アプリケーション・タブの機能を拡張する場合に使用します。これらのクラスをタブの基盤として使用することはできません。ただし、テンプレート・オブジェクトは、LDAPディレクトリでは定義しません。また、タブに表示されるプロファイル・ページの構成には使用しません。

テンプレート・オブジェクトは、スキーマ・ファイルに定義します。テンプレート・オブジェクトは、バックエンド・アプリケーションにデータを送信する目的で、アイデンティティ・システム・ワークフローでのみ使用します。テンプレート・オブジェクト・クラスは、次のようないくつかの点で他のオブジェクト・クラスと異なります。

  • ユーザーは、テンプレート・オブジェクト・クラス属性とやり取りしてバックエンド・アプリケーションにデータを送信します。

  • ユーザーは、アイデンティティ・システム・ワークフローのコンテキスト内でのみテンプレート・オブジェクト・クラス・データ属性とやり取りします。

テンプレート属性の値は、ユーザーがワークフロー・インスタンスを起動してデータを入力する場合にのみ表示されます。データの送信後は、アイデンティティ・システムで再度表示することはできません。詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。この動作は、アイデンティティ・システム・アプリケーション・ページに表示されるフィールドやラベルなどの項目の構成に使用されるLDAPデータとは異なります。


注意:

現在のところ、アイデンティティ・システムからバックエンド・システムに向かう一方向のデータ・フローのみが存在するため、テンプレート属性の値は表示されません。この制限はなくなる予定です。

  • テンプレート・オブジェクト・データは、LDAPディレクトリではなくテンプレート・オブジェクト・ファイルに存在します。

テンプレート・オブジェクトの定義方法と、テンプレート・オブジェクトをバックエンド・アプリケーションと組み合せて使用する完全なプロセスの詳細は、「外部アプリケーションへの非LDAPデータの送信」を参照してください。

3.1.6 オブジェクト・クラス・タイプ

オブジェクト・クラスを構成する場合、オブジェクト・クラス・タイプを指定するよう求められます。オブジェクト・クラス・タイプという用語は、アイデンティティ・システム内でのオブジェクト・クラスの用途を示しています。表3-1に、アイデンティティ・システムでサポートされるオブジェクト・クラス・タイプを示します。

表3-1 オブジェクト・クラス・タイプ

タイプ 説明

Person

このタイプには、個人に関する情報が含まれます。このタイプの例として、companyOrgPersonやcustomerOrgPersonがあげられます。アイデンティティ・システムをインストールすると、oblixOrgPersonタイプが作成されます。これは、重要な補助オブジェクト・クラスです。このクラスにより、変更が禁止されているobUserAccountControl属性が提供されます。この属性は、非アクティブ化されるすべてのユーザーのプロファイルに書き込まれます。

Group

このタイプには、グループに関する情報が含まれます。例として、groupOfUniqueNamesやmailGroupsがあげられます。アイデンティティ・システムをインストールすると、oblixGroupおよびoblixadvancedgroupタイプの補助クラスが作成されます。これらのクラスは、グループ・マネージャで有益な情報を構成する際に役立ちます。

Location

このタイプには、ロケーションに関する情報が含まれます。組織マネージャでは、ロケーション情報の格納と表示にこのオブジェクト・クラスが使用されます。

汎用

他のカテゴリに当てはまらない任意のオブジェクト・クラスです。例として、組織マネージャにより管理されるorganizationalUnitオブジェクト・クラスがあげられます。


3.2 オブジェクト・クラスの表示

アイデンティティ・システムのインストールおよび設定時に、いくつかのオブジェクト・クラスが構成されています。これらのオブジェクト・クラスは、表示および変更できます。また、追加のオブジェクト・クラスを作成することも可能です。


注意:

デフォルトでは、ディレクトリ内のすべてのオブジェクトおよび属性はアイデンティティ・システムで表示されません。Identity_install_dir/apps/common/bin/globalparams.xmlにあるこのパラメータexcludeOCsForTreeInAppletを使用すると、アイデンティティ・システム・アプリケーションのオブジェクト・クラスを表示できます。使用しない場合は、表示されません。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』の「パラメータ・リファレンス」の章を参照してください。


構成済のオブジェクト・クラスを表示する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックします。

    「共通構成」ページが表示されます。

  2. 左側のナビゲーション・ペインの「オブジェクト・クラス」リンクをクリックします。

    「オブジェクト・クラスの構成」ページに、LDAPディレクトリおよびオブジェクト・テンプレートに構成されているオブジェクト・クラスが、次の情報とともに表示されます。

説明
オブジェクト・クラス オブジェクト・クラスの名前。
オブジェクト・クラス・タイプ アイデンティティ・システムでのオブジェクト・クラスの用途。詳細は、「オブジェクト・クラス・タイプ」を参照してください。
オブジェクト・クラス種別 LDAPオブジェクトを構成している場合、その種別は「構造化」、「補助」またはその他のオブジェクトのいずれかです。詳細は、「アイデンティティ・システムの構造化オブジェクト・クラスと補助オブジェクト・クラス」を参照してください。オブジェクト・クラス種別が「その他」の場合、種別が未定義であることを示します。テキストは、「考慮不要オブジェクト・クラス」または「不明」のいずれかです。

テンプレート・オブジェクトを構成している場合、その種別は「テンプレート」のみです。詳細は、「テンプレート・オブジェクト・クラス」を参照してください。

オブジェクト・クラス属性 この属性は、属性アクセスのためにアイデンティティ・システムで使用されます。また、検索結果をプロファイル・ページにリンクするためにアイデンティティ・システムで使用されます。詳細は、「クラス属性の選択」を参照してください。

3.3 オブジェクト・クラスの変更

アイデンティティ・システム・コンソールで、クラス属性とオブジェクト・クラス・タイプを変更できます。構造化オブジェクト・クラスにクラス属性を指定することは重要です。

構造化オブジェクト・クラスは変更できます。ただし、変更する必要のないように構成を計画することをお薦めします。


注意:

アプリケーション固有の「タブ」機能を使用すると、そのアプリケーション固有の構成タブの属性のみを対象に、オブジェクト・クラス・レベルの構成とは異なる表示名または表示タイプを使用できます。これにより、オブジェクト・クラス・レベルで構成されている属性の情報は上書きされます。詳細は、「パネルに表示される属性の変更とローカライズ」を参照してください。

オブジェクト・クラス・タイプを変更する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックします。

    「共通構成」ページが表示されます。

  2. 左側のナビゲーション・ペインの「オブジェクト・クラス」リンクをクリックします。

  3. 変更するオブジェクト・クラスのリンクをクリックします。

    「オブジェクト・クラスの表示」ページが表示されます。

  4. 「変更」をクリックします。

    「オブジェクト・クラスの変更」ページが表示されます。

  5. 新規クラス・タイプを選択します。

    オブジェクト・クラス・タイプの詳細は、「オブジェクト・クラス・タイプ」を参照してください。

  6. 変更を保存します。

3.3.1 クラス属性の選択

ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの各タブは、構造化オブジェクト・クラスに関連付けられます。構造化オブジェクト・クラス内で、クラス属性に設定する属性を選択します。クラス属性は、属性アクセスに使用されます。クラス属性に対する読取り権限を持たないユーザーは、エントリ全体にアクセスできません。


注意:

テンプレート・オブジェクト・クラスのクラス属性を設定する必要はありません。テンプレート・オブジェクトおよび属性に対するユーザー・アクセスは、ワークフローの構成時に決定します。「アイデンティティ機能とワークフローの連携」を参照してください。

アイデンティティ・システムでは、プロファイル・ページに検索結果を表示する場合にもクラス属性が使用されます。ユーザーが検索を実行すると、アイデンティティ・システムにより結果のリストが戻されます。戻される項目ごとに、リンクとして表示される1つの値が含まれます。リンクの値は、戻されるオブジェクトのクラス属性から取得されます。ユーザーがリンクをクリックすると、そのリンクに関連付けられたプロファイルが表示されます。

たとえば、orgPersonオブジェクト・クラスのクラス属性として「ユーザー名」を指定すると、ユーザー・マネージャでの検索時に、検索結果のリストにユーザー名がリンクとして表示されます。リンクをクリックすると、そのユーザーのプロファイルが表示されます。

通常、クラス属性は次のように選択されます。

  • ユーザー・マネージャでは、個人名に対応するクラス属性が使用されます。

  • グループ・マネージャでは、グループ名に対応するクラス属性が使用されます。

  • 組織マネージャでは、タブごとに1つのクラス属性が使用されます。Location構造化オブジェクト・クラスの場合、クラス属性はロケーション名となるのが普通です。

クラス属性を選択する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックします。

    「共通構成」ページが表示されます。

  2. 左側のナビゲーション・ペインの「オブジェクト・クラス」リンクをクリックします。

  3. 変更するオブジェクト・クラスのリンクをクリックします。

    「オブジェクト・クラスの表示」ページが表示されます。

  4. 「変更」をクリックします。

    「オブジェクト・クラスの変更」ページが表示されます。

  5. 属性のリストからクラス属性を選択します。

    ここで選択できるのは、構造化オブジェクト・クラスのクラス属性のみです。

  6. 「保存」をクリックします。

3.3.2 構造化オブジェクト・クラスの変更

ユーザーまたはグループの構造化オブジェクト・クラスを変更する場合、アイデンティティ・システム設定を再実行する必要があります。

ユーザーまたはグループの構造化オブジェクト・クラスを変更する手順

  1. アイデンティティ・サーバーを1つだけ残して停止します。

  2. IdentityServer_install_dir/identity/oblix/config/setup.xmlを見つけ、statusパラメータの値をdoneからincompleteに変更します(「手動によるシステム設定の再実行」を参照してください)。

  3. 変更するアプリケーションに応じて、次のように構造化オブジェクト・クラスの最上位ノードを削除します。

    ユーザー・マネージャ・ノード: obapp=userservcenter,o=Oblix,o=company,c=us

    グループ・マネージャ・ノード: obapp=groupservcenter,o=Oblix,o=company,c=us

  4. アイデンティティ・サーバーを再起動してアイデンティティ・システム管理コンソールに移動し、構造化オブジェクト・クラスを再構成する設定プロセスを開始して完了します。

    アイデンティティ・サーバーを再起動すると、他のアイデンティティ・サーバーにより、更新されたディレクトリ・ツリーからユーザーまたはグループの新規構造化オブジェクト・クラスが取得されます。

3.4 オブジェクト・クラスの追加

アイデンティティ・システム・コンソールでオブジェクト・クラスを追加する場合、次の2つの基本的な方法があります。

どちらのオプションの場合も、後からシステム・コンソールを使用して属性を変更できます。「オブジェクト・クラス属性の概要」を参照してください。

オブジェクト・クラスを追加する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」→「オブジェクト・クラス」をクリックします。

  2. 「追加」をクリックします。

    「オブジェクト・クラスの追加」ページが表示されます。

    デフォルト・スキーマ・ドメインは、LDAPです。テンプレート・オブジェクト・クラスを定義していない場合、LDAPのみを選択できます。追加のテンプレート・オブジェクト・クラスを構成しており、その追加クラスのオブジェクトを構成する場合、「スキーマ・ドメイン」リストからクラスを選択します。

  3. 「スキーマ・ドメイン」リストで、使用するスキーマのタイプを選択します(該当する場合)。

  4. 「オブジェクト・クラス」リストで、追加するオブジェクト・クラスを選択します。

    これにより、アイデンティティ・システムでそのオブジェクト・クラスを管理できます。このリストには、アイデンティティ・システムのインストール前にLDAPディレクトリに定義されていたオブジェクト・クラスが含まれます。

  5. 「クラス・タイプ」フィールドで、このオブジェクト・クラスを管理するアイデンティティ・システム・アプリケーションのタイプを選択します。

    詳細は、「オブジェクト・クラス・タイプ」を参照してください。

  6. 「クラス種別」フィールドで、「構造化」、「補助」、「テンプレート」または「その他」を選択します。

    LDAPディレクトリに基づいてアイデンティティ・システムでクラス種別を決定できる場合、これらのラジオ・ボタンは非表示になります。

  7. アイデンティティ・システムにより提供されるファイルの属性をこのオブジェクト・クラスに移入する場合、「自動構成」オブジェクト・クラスを選択します。

  8. 「保存」をクリックします。

    テンプレート・オブジェクト・クラスを保存すると、完全修飾形式で保存されます。たとえば、次のようになります。

    obclass=person.miis,o=oblix,o=company,c=us

    この形式は、テンプレート・オブジェクト・クラスの定義を含む.tplファイルから取得されます。詳細は、「外部アプリケーションへの非LDAPデータの送信」を参照してください。

3.4.1 補助クラスの用途

補助オブジェクト・クラスは、構造化オブジェクト・クラスに追加するミックスイン・クラスとして使用できます。このクラスは、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションを構成する場合に役立ちます。自由に使用できるオブジェクト・クラスが増加すれば、各アプリケーションのタブに表示できる項目や、アプリケーション・ユーザーのために構成できる情報も増加します。

補助オブジェクト・クラスに割り当てられたオブジェクトは、構造化クラスに関連付ける必要があります。たとえば、構造化オブジェクト・クラスとしてinetOrgPersonを追加し、それをユーザー・マネージャ・アプリケーションのタブに関連付けることができます。その後、特定の種類の人々(顧客やパートナーなど)に対応する属性を含む補助オブジェクト・クラスを追加できます。

アイデンティティ・システム・アプリケーションのために選択された構造化オブジェクト・クラスに1つ以上の補助オブジェクト・クラスを関連付ける方法の詳細は、「「ユーザー・マネージャ」または「組織マネージャ」タブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加」を参照してください。

3.5 オブジェクト・クラスの削除

補助オブジェクト・クラスは削除できます。ユーザーまたはグループのタブに追加されていないテンプレート・オブジェクト・クラスも削除できます。構造化オブジェクト・クラスは削除できません。新しい構造化オブジェクト・クラスで既存の構造化クラスを置換することのみ可能です。詳細は、「構造化オブジェクト・クラスの変更」を参照してください。オブジェクト・クラスを削除する場合、そのオブジェクト・クラスに構成されている検索ベースもすべて削除する必要があります。詳細は、「検索ベースの設定」を参照してください。

補助オブジェクト・クラスを削除する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」→「オブジェクト・クラス」を選択します。

  2. オブジェクト・クラスのリンクをクリックします。

    オブジェクト・クラスの種別は「補助」である必要があります。

  3. 「オブジェクト・クラスの表示」ページで、「削除」をクリックします。

3.6 オブジェクト・クラス属性の概要

アイデンティティ・システムのインストール時に、必要な構造化オブジェクト・クラスとその属性を構成します。アイデンティティ・システム設定の完了後、必要に応じてオブジェクト・クラスの追加、追加属性の構成、および既存の属性の変更を行うことが可能です。オブジェクト・クラスを追加する場合、そのオブジェクト・クラスの属性はアイデンティティ・システムで自動構成できます(「オブジェクト・クラスの追加」を参照してください)。「属性の変更」機能を使用して、属性の変更と追加属性の構成を行います。

次の各項で、属性の構成について説明します。


注意:

Active Directoryインストール環境の場合、デフォルトでは一部の属性がスキーマ定義で使用できません。アイデンティティ・システムでの構成用にこれらの属性を表示するには、IdentityServer_install_dir/identity/oblix/data/commonディレクトリにあるexclude_attrs_config.xml、exclude_attrs-ad.xmlおよびad_exclude_attrs.xmlという3つのファイルから属性のエントリを削除する必要があります。変更を反映するには、アイデンティティ・サーバーを再起動してください。

3.6.1 属性構成の概要

アイデンティティ・システムでオブジェクトを構成する場合、「クラス属性の選択」の手順に従ってクラス属性を選択します。また、アイデンティティ・システムで他のオブジェクト属性をどのように表示し、操作するかを決定する必要があります。たとえば、ユーザー・マネージャで表示する個人に関する項目を決定する必要があります。同時に、データの表示方法も決定する必要があります。組織マネージャでは、プリンタのリストなどを表示できます。または、ユーザーの地理的な場所に基づいて、優先される旅行代理店のリストを表示することも可能です。

アイデンティティ・システムを構成して、LDAPディレクトリに格納されている任意の属性を使用できます。アイデンティティ・システムでは、適切に構造化された操作用の属性セットを保持することで、管理者が表示を希望するデータを表示することや、ユーザーに詳細なアクセス制御を提供することができます。

属性の構成後、ユーザー・マネージャ、グループ・マネージャまたは組織マネージャのプロファイル・ページに属性を表示するには、追加の手順を実行する必要があります。詳細は、「タブのプロファイル・ページおよびパネルの構成」を参照してください。

属性の構成後、表示権限と変更権限を設定し、管理者が表示するよう設定した属性をユーザーが参照できるようにします。ユーザーに読取り権限と変更権限を付与する方法の詳細は、「ユーザーによるLDAPデータの表示および変更の許可」を参照してください。

属性を構成する前に、属性のデータ型、セマンティク型および検索実行機能の間の関係を理解しておく必要があります。後続の各項では、これらの内容について説明します。

3.6.2 属性のデータ型

「オブジェクト・クラス属性の概要」のとおりに属性を変更する場合、その属性のデータ型が表示されます。データ型は、属性の値の形式です。たとえば、名前属性には、単一行テキストというデータ型を割り当てることができます。すべてのLDAP属性には、関連するデータ型があります。アイデンティティ・システムでは、6つのデータ型がサポートされます。「属性の表示タイプ」に記載されているとおり、データ型にはそれぞれ対応する表示タイプがあります。テンプレートまたはLDAP属性のデータ型は、システム・コンソールでは構成できません。これらのデータ型は、.tplファイルまたはLDAPスキーマで構成します。表3-2に、サポートされるデータ型を示します。

表3-2 サポートされるデータ型

データ型 説明 使用可能な表示タイプ

文字列

大/小文字を区別しない文字列または区別する文字列。

ブール、チェック・ボックス、日付、電子メール・アドレス、フィルタ・ビルダー、GIFイメージURL、複数行テキスト、数値文字列、住所、ラジオ・ボタン、選択メニュー、単一行テキスト

識別名

識別名は、エントリの参照方法です。識別名(DN)は、ファイルのパス名に似ていますが、ディレクトリの最下位からパスを逆順に読み取るところが異なります。

オブジェクト・セレクタ、ロケーション(LDAPデータのみ)

整数

整数

なし、ブール、チェック・ボックス、日付、電子メール・アドレス、フィルタ・ビルダー、GIFイメージURL、複数行テキスト、数値文字列、パスワード、住所、ラジオ・ボタン、選択メニュー、単一行テキスト

電話

電話番号

任意の表示タイプ

バイナリ

バイナリ・ファイル(GIFファイルなど)

GIFイメージ、メディア、パスワード、S/MIME証明書

住所

これは、デリミタのドル記号($)で連結された1〜6個のサブストリングを含む複合文字列です。各サブストリングには、最大30文字を割り当てることができます。

住所


3.6.3 属性のセマンティク型

セマンティク型は、アイデンティティ・システム・アプリケーション内の属性の動作を制御するためのオプションの特性です。たとえば、セマンティク型の「写真」に割り当てられた属性の値は、アイデンティティ・システム・アプリケーションのプロファイル・ページのヘッダー領域に表示されます。セマンティク型は、1つの属性にのみ割り当てることができます。ただし、1つの属性には、複数のセマンティク型を関連付けることができます。たとえば、「ログイン」および「DN接頭辞」セマンティク型は、cn属性に割り当てることができます。

セマンティク型は、一度属性に割り当てたら、その属性との関連付けを解除しないかぎりドメイン内の別の属性に割り当てることができません。たとえば、「パスワード」セマンティク型は、ただ1つのLDAP属性にのみ割り当てることができます。他のスキーマ・ドメインを構成している場合、「パスワード」セマンティク型は、そのドメインのただ1つの属性にのみ割り当てることが可能です。詳細は、「外部アプリケーションへの非LDAPデータの送信」を参照してください。

属性とセマンティク型との関連付けを解除するには、まずその属性に「なし」セマンティク型を指定し、次に新規セマンティク型を割り当てます。

各セマンティク型は、1つ以上の表示タイプに関連付けられます(「属性の表示タイプ」を参照してください)。

3.6.3.1 システム設定時に定義されるセマンティク型

表3-3に、アイデンティティ・システム設定時に必要とされるセマンティク型を示します。

表3-3 セマンティク型

セマンティク型 説明 使用可能な表示タイプ

フルネーム

PersonおよびGroup構造化オブジェクト・クラスと、組織マネージャのすべての構造化オブジェクト・クラスに必要です。通常は、cn属性に割り当てられます。cn属性は、ほとんどのスキーマに必要です。

チェック・ボックス、日付、電子メール・アドレス、複数行テキスト、数値文字列、ラジオ・ボタン、選択メニュー、単一行テキスト

ログイン

Personオブジェクト・クラスに必要です。ログイン時のユーザー資格証明を指定します。

単一行テキスト、電子メール・アドレス

パスワード

Personオブジェクト・クラスのパスワード管理に必要です。また、Active Directoryでも必要です。パスワード管理用のユーザー・パスワードを指定します。

注意: Sun社のiPlanetディレクトリを使用している場合、パスワードにUTF-8文字は使用できません。ユーザーがUTF-8文字を指定すると、iPlanetディレクトリのデフォルトの7ビット・プラグインは操作に失敗します。7ビット・プラグインのデフォルトでは、UID、メールおよびユーザー・パスワードの各属性値が7ビットである必要があります。この問題を解決するには、プラグインを無効化するか、構成からユーザー・パスワード属性を削除します。

パスワード

DN接頭辞

PersonおよびGroup構造化オブジェクト・クラスと、組織マネージャのすべての構造化オブジェクト・クラスに必要です。オブジェクトの相対識別名(RDN)を指定します。RDNは、識別名(DN)の一番左の部分です。DN接頭辞は、ワークフローを通じてオブジェクトを作成する場合に使用されます。ワークフローの開始ステップには、このセマンティク型の属性が存在する必要があります。

チェック・ボックス、日付、電子メール・アドレス、複数行テキスト、数値文字列、ラジオ・ボタン、選択メニュー、単一行テキスト


3.6.3.2 プロファイル・ページで使用されるセマンティク型

表3-4に、プロファイル・ヘッダー・パネルで使用されるセマンティク型を示します。プロファイル・パネルの詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。

表3-4 プロファイル・ヘッダー・パネルのセマンティク型

セマンティク型 説明 使用可能な表示タイプ

写真

GIFまたはJPEGイメージを指定します。「写真」セマンティク型により、プロファイル・ページのヘッダーにイメージが表示されます。

GIFイメージ、GIFイメージURL

役職

プロファイル・ページのヘッダーに属性値が表示されます。構造化クラスに関連付けられている必要があります。

チェック・ボックス、日付、電子メール・アドレス、複数行テキスト、数値文字列、ラジオ・ボタン、選択メニュー、単一行テキスト

フルネーム

アイデンティティ・システムをパーソナライズするためにプロファイル・ヘッダー・パネルで使用されます。ユーザーは、アイデンティティ・システム・アプリケーションのユーザー・インタフェースで自分の名前を確認できます。

チェック・ボックス、日付、電子メール・アドレス、複数行テキスト、数値文字列、ラジオ・ボタン、選択メニュー、単一行テキスト


3.6.3.3 グループ・マネージャで使用されるセマンティク型

表3-5に、グループ・マネージャで使用されるセマンティク型を示します。

表3-5 グループ・マネージャで使用されるセマンティク型

セマンティク型 説明 使用可能な表示タイプ

グループの所有者

グループの所有者が格納される属性を指定します。アイデンティティ・システムでは、この情報を主に属性アクセスと委任管理におけるロールとして使用します。また、グループの所有者は、ユーザーによるグループへのサブスクライブまたはサブスクライブ解除が発生したときに通知を受信できます。

オブジェクト・セレクタ

グループ動的メンバー

グループの動的メンバーシップを定義する動的フィルタが格納される属性を指定します。グループ・マネージャを構成する場合、このセマンティク型を属性に割り当てる必要があります。また、この属性は、Groupオブジェクト・クラスに属している必要があります。

オブジェクト・セレクタ

グループ静的メンバー

グループの静的メンバーが格納される属性を指定します。グループ・マネージャを使用する場合、このセマンティク型を属性に割り当てる必要があります。また、この属性は、Groupオブジェクト・クラスに属している必要があります。Netscapeインストール環境の場合、この属性はuniqueMemberです。Active Directoryの場合、この属性はMemberです。

オブジェクト・セレクタ


3.6.3.4 「ロケーション座標」セマンティク型

「ロケーション座標」セマンティク型は、ロケーションを追跡するために使用します。このセマンティク型で、ロケーションGIFイメージの位置を指定します。その場合、obRectangle属性と組み合せて使用します。このセマンティク型は、アイデンティティ・システムで内部的に使用されるため、使用可能な表示タイプはありません。

3.6.3.5 ロスト・パスワード管理のためのセマンティク型

ロスト・パスワード管理では、2つのセマンティク型が使用されます。ロスト・パスワード機能は、アイデンティティ・システムとアクセス・システムの両方に提供されます。これらのセマンティク型で属性を構成すると、エンド・ユーザーは、後でロスト・パスワードを回復するために使用できるチャレンジおよびレスポンス・フレーズを入力できます。

表3-6に、ロスト・パスワード管理で使用されるセマンティク型を示します。


注意:

チャレンジ属性とレスポンス属性を同時に変更する必要はありません。たとえば、委任管理者にユーザーのチャレンジ質問の設定を許可する一方で、レスポンスの設定を許可しないことも可能です。

表3-6 ロスト・パスワード管理で使用されるセマンティク型

セマンティク型 説明 使用可能な表示タイプ

チャレンジ

エンド・ユーザーがロスト・パスワード管理を起動したときに表示されるチャレンジ・フレーズです。エンド・ユーザーは、正しいレスポンス・フレーズを入力する必要があります。

単一行テキスト

レスポンス

エンド・ユーザーは、ロスト・パスワード管理機能の実装時に、チャレンジ・フレーズに対する正しいレスポンスを入力する必要があります。

パスワード


3.6.3.6 その他のセマンティク型

表3-7に、その他のセマンティク型を示します。

表3-7 その他のセマンティク型

セマンティク型 説明 使用可能な表示タイプ

優先電子メール・アドレス

電子メール通知の送信に使用されます。

電子メール・アドレス

マップ

このセマンティク型は、組織マネージャのロケーション機能で使用されます。オブジェクトをロケーションとして構成する場合、バイナリ属性を「マップ」セマンティク型に構成する必要があります。バイナリ属性には、ロケーション機能に対応するマップのGIFまたはJPEGが格納されます。

GIFイメージ

なし

これは、プレースホルダであり、正式なセマンティク型ではありません。アイデンティティ・システムのビジネス・ルールを属性に関連付けない場合、「なし」を選択します。

該当なし


3.6.4 属性の表示タイプ

表示タイプでは、属性値の表示形式(たとえば、使用可能な値をTrue/Falseまたは電子メール・アドレスのいずれにするかなど)を指定します。表示タイプにより、ユーザーがその属性を使用して検索を実行できるかどうかも決定されます。次の表に示すとおり、「日付」や「複数行テキスト」などの一部の表示タイプのみが検索可能です。

「タブのプロファイル・ページおよびパネルの構成」の手順に従ってアイデンティティ・システム・アプリケーション・パネルに属性を割り当てた後に、属性の表示タイプまたはセマンティク型を変更する場合、パネルを削除して属性の表示タイプを変更してからそのパネルを再作成する必要があります。

表3-8に、属性の表示タイプを示します。

表3-8 属性の表示タイプ

表示タイプ 説明 構成可能な特性

なし

プレースホルダ。

該当なし

ブール

ユーザーが指定する必要のあるTrueまたはFalseの選択肢を表示します。この表示タイプは検索できません。

該当なし

チェック・ボックス

チェック・ボックスを表示します。この表示タイプでは、複数値のみサポートされます。また、ルールまたはリストを指定する必要があります。詳細は、「ルールとリストの使用方法」を参照してください。この表示タイプは検索できません。

ルール(LDAPフィルタおよび属性)、リスト(表示名とその他の機能)

日付

ユーザーは、年月日を入力できます。この表示タイプでは、単一値または複数値がサポートされます。この表示タイプは検索可能です。

データ型、データ・セパレータ

電子メール

エンド・ユーザーの電子メール・アドレスへのリンクを表示します。この表示タイプは検索可能です。

該当なし

フィルタ・ビルダー

フィルタ・ビルダーを起動するボタンを作成します。フィルタ・ビルダーにより、ユーザーはカスタムLDAP問合せを設計できます。この表示タイプは検索できません。

ターゲット・オブジェクト・クラスのリスト

GIFイメージ

ユーザーは、イメージを検索できます。一部のアイデンティティ・システム・アプリケーションでは、JPEGもサポートされます。この表示タイプは検索できません。

写真のスタイル、高さ、幅

GIFイメージURL

GIFイメージの外部の場所を指定できます。これにより、プロファイル・ページにイメージを表示できます。この表示タイプは検索可能です。

写真のスタイル、高さ、幅

ロケーション

関連するプロファイル・ページに「ロケーション」ページへのリンクを作成します。この表示タイプは、アイデンティティ・システムで内部的に使用されます。

ターゲット・オブジェクト・クラスのリスト

メディア

バイナリ・メディア・ファイルに使用します。この属性には、「バイナリ」データ型を割り当てる必要があります。この表示タイプは検索できません。

説明、MIMEタイプ

複数行テキスト

住所などの複数行のテキストです。この表示タイプでは、単一値または複数値がサポートされます。この表示タイプは検索可能です。

該当なし

数値文字列

数値を指定するためのフィールドを表示します。このフィールドには、数値以外の文字は入力できません。この表示タイプは検索可能です。

該当なし

オブジェクト・セレクタ

「オブジェクト・セレクタ」表示タイプは、セレクタを使用した属性の変更をユーザーに許可する場合に使用します。この表示タイプは、DN型の属性にのみ有効です。この表示タイプでは、単一値および複数値がサポートされます。検索はできません。「オブジェクト・セレクタ」表示タイプの詳細は、「「オブジェクト・セレクタ」表示タイプの検索フィルタ」を参照してください。

オブジェクト・クラスのリスト、LDAPフィルタ

パスワード

ユーザーは、パスワードを入力できます。パスワードの文字はアスタリスクで表示されます。また、パスワードは2回入力するよう求められます。この表示タイプは検索できません。

テキストのサイズと長さ

住所

ユーザーが住所を指定できる6つのデータ入力フィールドです。各フィールドには、最大30文字を入力できます。この表示タイプでは、単一値および複数値がサポートされます。

該当なし

ラジオ・ボタン

ラジオ・ボタンのセットを表示します。ユーザーは、ラジオ・ボタンのリストから1つの値を選択できます。この表示タイプでは、ルールまたはリストを指定する必要があります。詳細は、「ルールとリストの使用方法」を参照してください。この表示タイプは検索できません。

ルール(LDAPフィルタ、属性)、リスト(表示名、ストレージ名)

選択メニュー

リストを表示します。この表示タイプでは、選択可能な単一値または複数値がサポートされます。この表示タイプでは、ルールまたはリストを指定する必要があります。詳細は、「ルールとリストの使用方法」を参照してください。この表示タイプは検索できません。

「選択メニュー」表示タイプを使用してDN属性を構成することは避けてください。この表示タイプでは、順序がサポートされません(順序はDNで重要な意味を持つ可能性があります)。たとえば、DNに2つのouが存在する場合、順序が重要になります。

ルール(LDAPフィルタ、属性)、リスト(表示名、ストレージ名)

単一行テキスト

単一行テキストの形式で情報を表示します。このフィールドには、最大文字数がありません。この表示タイプでは、単一値または複数値がサポートされます。この表示タイプは検索可能です。

該当なし

S/MIME証明書

ディスクではなく構成された属性に証明書データを格納します。この表示タイプは検索できません。

該当なし



注意:

アイデンティティ・システム・コンソールでは、表示タイプのリスト(ラジオ・ボタンやチェック・ボックスなど)の項目値として表示される表示名は、Javaアプレットおよび国際文字の既知の制限のために破損する可能性があります。ブラウザのJVMでは、現在のロケールに含まれる文字のみが表示されます。国際文字は、ブラウザが同じロケールに設定されている場合にのみアプレットで正しく表示されます。

3.7 属性の表示

属性は、「属性の変更」ページで参照できます。

システム・コンソールで「属性の変更」ページを表示する手順

  1. アイデンティティ・システムのランディング・ページで、アイデンティティ・システム・コンソールのリンクをクリックします。

    すでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。

  2. 「共通構成」サブタブをクリックし、左側のナビゲーション・ペインの「オブジェクト・クラス」をクリックします。

  3. オブジェクト・クラスのリンクをクリックします。

    選択したクラスの「オブジェクト・クラスの表示」ページが表示されます。

  4. 「属性の変更」をクリックします。

    「属性の変更」ページが表示されます。

アプリケーション固有の「属性の変更」ページを表示する手順

  1. アイデンティティ・システムのランディング・ページで、アイデンティティ・システム・コンソールのリンクをクリックします。

    すでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。

  2. システム・コンソールで、「ユーザー・マネージャ構成」サブタブをクリックします。

    「グループ・マネージャ構成」または「組織マネージャ構成」サブタブをクリックすることもできます。

  3. 左側のナビゲーション・ペインで、「タブ」をクリックします。

    「タブの構成」ページが表示されます。そのタブの構造化オブジェクト・クラスは、「既存のタブ」という見出しの下にリンクとして表示されます。

  4. 「既存のタブ」ラベルの下のリンクをクリックします。

    「タブの表示」ページが表示されます。

  5. 「属性の変更」ボタンをクリックします。

    「属性の変更」ページが表示されます。

3.8 属性の構成

アイデンティティ・システムのインストール時に、構造化オブジェクト・クラスのすべての必須属性を構成します。インストール後、構成済の属性間の競合を解決する場合や、追加属性を構成する場合に、属性を変更できます。

Active Directoryインストール環境の場合、デフォルトでは一部の属性が使用できません。アイデンティティ・システムでの構成用にこれらの属性を使用可能にするには、IdentityServer_install_dir/identity/oblix/data/commonディレクトリにあるexclude_attrs_config.xml、exclude_attrs-ad.xmlおよびad_exclude_attrs.xmlという3つのファイルから属性のエントリを削除して、アイデンティティ・サーバーを再起動します。


注意:

oblixadvancedgroupオブジェクト・クラスでは、obgroupsubscribenotification属性に「チェック・ボックス」および「リスト」サブタイプの表示タイプが含まれます。リストには、次の2つの値が含まれます。
  • サブスクライブ用の1つの値(NotifyUponSubscription)

  • サブスクライブ解除用のもう1つの値(NotifyUponUnsubscription)

この属性の値を変更する場合、「表示名」フィールドの値のみを変更できます。「ストレージ」フィールドの値は変更しないでください。


属性を構成する手順

  1. 「属性の表示」の手順に従って「属性の変更」ページを表示します。


    注意:

    アプリケーション固有の「タブ」機能を使用すると、そのアプリケーション固有の構成タブの属性のみを対象に、オブジェクト・クラス・レベルの構成とは異なる表示名または表示タイプを使用できます。これにより、オブジェクト・クラス・レベルで構成されている属性の情報は上書きされます。詳細は、「パネルに表示される属性の変更とローカライズ」を参照してください。

  2. 「属性」リストで、変更する属性を選択します。

    リストの次に属性のデータ型が表示されます。これは読取り専用フィールドです。


    注意:

    Novell Directory Server(NDS)では、属性名とオブジェクト・クラス名がネイティブ・ディレクトリ・サーバーからNDSのLDAPレイヤーにマップされます。これらの属性またはオブジェクト・クラスの一部には、LDAPレイヤーで複数のマッピング(別名)が割り当てられます。たとえば、ネイティブのNDSオブジェクト・クラスはGroupですが、NDSのLDAPレイヤーではGroupofNamesおよびGroupofUniqueNamesという2つの別名がマップされます。アイデンティティ・システムが適切に動作するように、構成時に指定するオブジェクト・クラス名または属性名が、同じオブジェクト・クラスまたは属性の他のマッピングより先に出現していることを確認してください。マッピング順序は、ConsoleOneを通じてチェックできます。

  3. 「表示名」フィールドに、ユーザーにとってわかりやすいこの属性の表示名を入力します。

    表示名は、ユーザー・マネージャなどのアイデンティティ・システム・アプリケーション・ページに表示されます。たとえば、departmentNumber属性に対して、表示名として「部門番号」と入力できます。

    テンプレート・オブジェクト属性では、表示名により使用中のテンプレートを示す必要があります。前述のとおり、ユーザーはこれらの属性のデータ値を参照できません。そのため、データが表示されないことが正常な動作であるとユーザーに知らせる目的で、これらの特殊な形式のフィールドを指定する必要があります。たとえば、ABCアプリケーションのオブジェクト・テンプレートでは、assistant.person.abcなどの表示名を使用すると、ABC関連のすべての属性を識別することが可能になります。

    「データ型」フィールドには、属性のデータ型が表示されます(「属性のデータ型」を参照してください)。これは読取り専用フィールドです。

    「バイナリ」、「識別名」または「住所」データ型の属性は、レポート基準または検索属性としては使用できません。

  4. オプションで、「セマンティク型」リストから1つ以上のセマンティク型を選択できます。

    セマンティク型の詳細は、「属性のセマンティク型」を参照してください。

  5. 「属性値」フィールドで、属性に単一値と複数値のどちらを割り当てるかを指定します。

    属性、データ型および表示タイプによっては、このオプションは使用できません。

  6. 「表示タイプ」リストで、属性の表示タイプを選択します。

    表示タイプに日付属性を選択する場合、アイデンティティ・システム・アプリケーションのプロファイル・ページに日付を表示する方法を指定するため、日付タイプを選択する必要があります。選択後に日付タイプを変更することは避けてください。既存のデータが不適切に表示される可能性があります。

    いくつかの表示タイプでは、ルールまたはリストを指定できます。詳細は、「ルールとリストの使用方法」を参照してください。

    別の表示タイプでは、写真やテキストを指定できます。詳細は、「その他の表示タイプの構成」を参照してください。

3.8.1 ルールとリストの使用方法

「選択メニュー」、「ラジオ・ボタン」および「チェック・ボックス」表示タイプでは、ルールまたはリストを指定する必要があります。たとえば、文字列のデータ型とラジオ・ボタンの表示タイプを「役職」属性に割り当てることができます。ユーザー・マネージャのプロファイル・ページに役職のリストを表示するには、リストを構築する必要があります。

リストは、静的な値のセットです。ルールは、リストの構築前にディレクトリに問い合せるためのLDAPフィルタです。たとえば、TelephoneNumberという属性を持つobjectClass=dialUpConnectionのすべてのインスタンスを検出するフィルタを作成すると、選択メニューに電話番号のリストが表示されます。

LDAPフィルタの詳細は、「「オブジェクト・セレクタ」表示タイプの検索フィルタ」を参照してください。また、Internet Engineering Task ForceのRFC 2254には、LDAP検索フィルタの文字列表現が定義されています。

3.8.1.1 ルールの定義

アイデンティティ・システム・アプリケーション・ページに表示する静的リストを定義するか、またはルールを定義することが可能です。たとえば、使用可能なプリンタの静的リストを指定するか、ディレクトリ内のプリンタのエントリからこのリストを構築します。ルールを構成する場合、ディレクトリ内のエントリに基づいて動的リストを作成します。ルールは、そのルールで指定する属性に基づくディレクトリ問合せです。問合せにより、ディレクトリからレコードのセットが戻されます。ルールを使用すると、次の操作の実行により、アプリケーション・ページに表示するリストをアイデンティティ・システムで構築できます。

  • 特定のオブジェクトまたは属性を対象にディレクトリを問い合せます。

  • 一致した項目のリストを構築します。

  • ディレクトリの各一致項目から1つの属性を選択します。

  • 各属性の値を示すリストを構築します。

リストと比較した場合のルールのメリットは、ルール・フィルタの結果として表示される項目が、ディレクトリの変更に合せて更新されることです。

ルールを定義する手順

  1. 「属性の表示」の手順に従って「属性の変更」ページを表示します。

  2. リストから「属性」を選択します。

  3. 「表示タイプ」リストで、属性の表示タイプを選択します。

    属性のルールを構成する場合、表示タイプは「選択メニュー」、「チェック・ボックス」または「ラジオ・ボタン」である必要があります。

    「ルール」ボタン、「フィルタの追加」テキスト・ボックスおよび「属性」フィールドが表示されます。

  4. 「ルール」ボタンを選択します。

    ルールは、有効なLDAPフィルタであることが必要です

  5. 「フィルタの追加」ボックスにLDAPフィルタを入力します。

    たとえば、次のようになります。

    (objectclass=printer)
    

    ここでは、「プリンタ」という表示名を持つプリンタ属性の「属性の変更」ページを表示していると仮定します。この手順で説明するルールは、プリンタのリストを表示する場合に適しています。

    フィルタの例は、「「オブジェクト・セレクタ」表示タイプの検索フィルタ」を参照してください。

  6. 「属性」フィールドに、フィルタに関連付ける属性のLDAP名を入力します。

    プリンタの例では、PrinterNameなどと入力します。このルールにより、プリンタ・オブジェクト・クラスに対するLDAP問合せが実行され、戻された各エントリのPrinterName属性の値でリストが構築されます。

  7. 「リストの定義」に進みます。

3.8.1.2 リストの定義

リストは、ユーザーに表示される静的な値のセットです。

リストを定義する手順

  1. 「属性の変更」ページで、「リスト」ボタンをクリックします。

    リストに関連する「表示」フィールドと「ストレージ」フィールドがアクティブになります。

  2. 「表示」フィールドにリスト項目の表示名を入力します。

    これは、この属性がユーザー・マネージャなどのアプリケーション・ページに表示されるときにユーザーが参照できる名前です。

  3. 「ストレージ」フィールドに属性のストレージ名を入力します。

    この値は、データベースに保存されます。表示名と同じにするか、データベース固有のネーミング規則に準拠することが可能です。

    ストレージ名を省略したまま「追加」をクリックすると、表示名がストレージ名として使用されます。

    ストレージ名を変更する場合は、「ストレージ」フィールドのエントリを削除して、表示名とストレージ名を再入力します。

  4. 「追加」をクリックします。

    情報が「リスト」フィールドに追加されます。

リストの各項目は、このページと同じ表示順序でアイデンティティ・システム・アプリケーション・ページに表示されます。リストの項目を再編成する場合や、項目を削除する場合は、「上へ移動」、「下へ移動」および「削除」ボタンを使用します。

3.8.2 属性表示名のローカライズ

属性表示名をローカライズして、エンド・ユーザーにとって固有の言語でアイデンティティ・システム・アプリケーションに表示できます。複数の言語を管理する方法の詳細は、「Oracle Access Managerでの複数の言語の構成」を参照してください。

オブジェクト・クラス属性をローカライズするには、インストールされている言語ごとにアイデンティティ・システム・コンソールで属性表示名を手動で入力する必要があります。オブジェクト・クラス属性のローカライズ後、それらの属性をアイデンティティ・システム・コンソールで表示および変更できます。

ローカライズのプロセスは、LDAPオブジェクトとテンプレート・オブジェクトで同じです。

表3-9に、各オブジェクト・クラスでローカライズ可能な属性を示します。

表3-9 ローカライズ可能な項目

項目 翻訳可能な要素

タブに構成されているオブジェクト・クラス

名前
説明
マウスオーバー

パネルに構成されているオブジェクト・クラス

名前
説明
マウスオーバー

属性

表示名

メディア型の表示タイプの属性

表示名

選択型の表示タイプの属性

表示名

ワークフロー定義

ワークフロー名

注意: ワークフロー定義を作成または変更するときに、ワークフロー名の翻訳を指定できます。「アイデンティティ機能とワークフローの連携」を参照してください。


ローカライズされた属性表示名を作成、表示または変更する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックします。

    「共通構成」ページが表示されます。

  2. 左側のナビゲーション・ペインの「オブジェクト・クラス」リンクをクリックします。

  3. 変更するオブジェクト・クラスのリンクをクリックします。

    「オブジェクト・クラスの表示」ページが表示されます。

  4. 「翻訳」をクリックします。


    注意:

    「翻訳」ボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。

    「属性表示名のサマリー」ページが表示されます。言語固有の属性表示名は、すべてこのページに表示されます。まだ構成されていない表示名は、「未構成」としてマークされ、青色のテキストで表示されます。

  5. 「変更」をクリックして表示名を入力または変更します。

    「属性表示名の構成」ページが表示されます。このページには、インストール済言語のリンクと、ローカライズされた属性表示名がリストされます。まだ構成されていない表示名は、左揃えとならずに青色のテキストで表示されます。

  6. 属性表示名を変更する言語をクリックします。

  7. 「表示名」フィールドに表示名を入力します。

  8. 「保存」をクリックして変更を保存します(変更を保存せずにページを終了する場合は、「取消」をクリックします)。


注意:

言語に対応する表示名が構成されていない場合、ローカライズされた「未構成」というメッセージが「表示名」フィールドに表示されます。

3.8.3 「オブジェクト・セレクタ」表示タイプの検索フィルタ

「オブジェクト・セレクタ」表示タイプにより、この表示タイプに割り当てられたLDAP属性にセレクタが関連付けられます。(これは、テンプレート属性には適用されません。)ユーザーは、ユーザーまたはグループを検索するためにセレクタを起動します。セレクタは、プロファイルまたはワークフローを表示、作成、変更する場合に使用できます。

「オブジェクト・セレクタ」表示タイプを使用すると、セレクタ用の検索フィルタを作成できます。詳細は、「セレクタ」を参照してください。検索フィルタを記述することで、ユーザーは、次の操作時に簡単にセレクタ検索を実行できます。

  • プロファイルの作成

  • プロファイルの変更

  • ワークフローの変更

  • ワークフローの削除

これらのフィルタは、クエリー・ビルダーには適用されません。

ユーザーがセレクタを起動すると、ディレクトリ検索が実行されます。セレクタ用のフィルタを作成すると、そのフィルタは、ユーザー指定の検索基準とAND関係で組み合されて使用されます。

フィルタは、静的フィルタとして使用できます。たとえば、ディレクトリ・プロファイルの組織単位がCorporateの人々のみを検索結果に含むようにセレクタ検索を制限できます。

フィルタは、動的フィルタとしても使用できます。たとえば、検索の実行された「プロファイルの変更」ページに表示されているユーザーの組織単位に一致する組織単位に含まれる人々のみを戻すようにセレクタ検索を制限できます。「プロファイルの変更」ページで動的フィルタを使用する場合、セレクタ検索は、表示されているユーザーのディレクトリ・プロファイルに基づいて実行されます。プロファイルを作成する場合、動的フィルタにより、そのタスクを実行するユーザーのログイン・プロファイルに基づいたセレクタ検索結果が生成されます。

3.8.4 「オブジェクト・セレクタ」表示タイプの検索フィルタの作成

フィルタを使用すると、ユーザーは、検索結果を絞り込むことができます。フィルタにより、検索が実行されるディレクトリ・ツリーの場所が限定されます。

フィルタを作成する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックし、次に「オブジェクト・クラス」をクリックします。

  2. フィルタを作成するオブジェクト・クラスのリンクをクリックします。

    たとえば、営業担当者用の検索フィルタを作成するには、Personオブジェクト・クラスの「属性の変更」ページに移動します。

  3. 「属性の変更」をクリックします。

  4. 「属性の変更」ページの「属性」リストで、セレクタ検索を定義する属性を選択します。

    ここでは、DN属性を選択する必要があります。たとえば、営業担当者用のセレクタ検索を定義する場合、salesPersonDNというDN属性を選択します。

  5. 「表示タイプ」リストで、「オブジェクト・セレクタ」を選択します。

    前の手順で選択した属性がDN属性の場合、リストに「オブジェクト・セレクタ」オプションが表示されます。また、「ターゲット・オブジェクト・クラス」リストと「フィルタの追加」入力ボックスも表示されます。

  6. 「ターゲット・オブジェクト・クラス」リストで、検索フィルタの主キーとして使用するオブジェクト・クラスを選択します。

    ターゲット・オブジェクト・クラスにより、「セレクタ」検索ページに表示される内容が決定されます。たとえば、ユーザーが営業担当者を検索するのをセレクタで支援する場合、ターゲット・オブジェクト・クラスとして「人」を使用します。「属性の変更」ページで複数のターゲット・オブジェクト・クラスを選択すると、セレクタ・アプリケーションに各オブジェクト・クラスのタブが割り当てられます。

  7. 「フィルタの追加」入力ボックスに有効なLDAPフィルタを入力します。

    フィルタにより、セレクタの検索結果として表示される内容が決定されます。記述可能なLDAPフィルタ・タイプの例は、「静的LDAP検索フィルタ」および「動的LDAP検索フィルタの例」を参照してください。

    フィルタに使用できるのは、ターゲット・オブジェクト・クラスの定義に含まれている属性のみです。


    注意:

    アイデンティティ・システムでは、空白が文字どおり扱われます。フィルタの末尾に余分な空白や改行が含まれていないことを確認してください。

  8. 変更を保存します。

    これで、セレクタ検索時にユーザーが指定するその他の検索基準とAND関係で組み合されるフィルタが作成されました。

3.8.5 複数のターゲット・オブジェクト・クラスの検索フィルタ

「属性の変更」ページで複数のターゲット・オブジェクト・クラスを選択すると、セレクタ・アプリケーションに各オブジェクト・クラスのタブが割り当てられます。検索フィルタには、OR演算子(|)と、選択した各オブジェクト・クラス用の個別の選択基準が含まれる必要があります。このタイプの検索フィルタの例は、「複数のターゲット・オブジェクト・クラスを使用した静的検索」を参照してください。

3.8.6 検索フィルタの削除

フィルタを削除するには、「フィルタ」テキスト・ボックスのテキストを削除します。

3.8.7 ルールとフィルタの使用方法

この項には、ルールとフィルタに関連する次の重要な内容が含まれます。

  • 基本的な静的フィルタの作成

  • 置換構文を使用した動的フィルタの作成

  • 検索でのワイルド・カードの使用

  • フィルタ記述時におけるNOT演算子の適切な使用

3.8.7.1 静的LDAP検索フィルタ

静的検索フィルタの実装では、すべての検索結果が固定値に一致する必要があります。たとえば、ディレクトリ・プロファイルの組織単位がSalesの人々のみを戻すように検索を制限できます。

単純な静的フィルタの例として、seeAlso属性でセレクタ検索を使用する場合を検討します。このフィルタにより、ディレクトリ・プロファイルにbusinessCategory値としてdealershipを含む人々のみが検索結果として戻されます。

静的フィルタを作成する手順

  1. 「属性の表示」の手順に従って「属性の変更」ページを表示します。

    この検索フィルタを起動するオブジェクト・タイプ(Personなど)の「属性の変更」ページに移動します。

  2. 「属性」リストでseeAlso属性を選択します。

  3. 「表示タイプ」リストで、「オブジェクト・セレクタ」を選択します。

  4. 「ターゲット・オブジェクト・クラス」で、フィルタの主キーとなるオブジェクト・クラス(Personなど)を選択します。

  5. 「フィルタ」テキスト・ボックスに次のように検索基準を入力します。

    (businessCategory=dealership)
    

3.8.7.2 ワイルド・カードを使用した静的検索

ワイルド・カードを使用する静的フィルタの例として、セレクタを使用した検索時にManagerという語を含む役職の人々のみを戻す場合を検討します。Managerという文字列を検索するフィルタを作成できます。

ワイルド・カードを使用した静的検索フィルタを作成する手順

  1. セレクタに関連付けるDN属性を含むオブジェクト・クラス(Personオブジェクト・クラスなど)の「属性の変更」ページに移動します。

  2. 「属性」リストで、DN属性(Manager属性など)を選択します。

  3. 「表示タイプ」リストで、「オブジェクト・セレクタ」を選択します。

  4. 「フィルタ」テキスト・ボックスに次のように検索基準を入力します。

    (attribute=*value*)
    

    たとえば、次のようになります。

    (title=*manager*)
    

3.8.7.3 複数のターゲット・オブジェクト・クラスを使用した静的検索

複数のターゲット・オブジェクト・クラスを検索する静的フィルタを作成できます。例として、セレクタを使用した検索で次のいずれかの項目を戻すため、uniqueMember属性を対象にフィルタを作成する場合を検討します。

  • 個人の検索では、検索結果として正社員のみを表示します。

  • グループの検索では、検索結果としてメール・グループのみを表示します。

この例の場合、両方の検索目的に対応するLDAPフィルタを作成するには、ディレクトリ・プロファイルでemployee=fulltimeという条件に一致する人々を選択し、さらにディレクトリ・プロファイルでオブジェクト・クラスがMailGroupであるグループを選択する必要があります。フィルタの各属性は、適切なオブジェクト・クラスに関連付けます。最後に、次のようにOR演算子(|)を使用して2つの検索基準を結合します。

     (|(&(objectclass=inetOrgPerson)(employeeType=FullTime))
     (&(objectclass=groupOfUniqueNames) (objectclass=MailGroup)))

3.8.7.4 置換構文: ログイン・ユーザーのDNに一致するターゲットを戻す方法

クエリー・ビルダーの「拡張」ボタンを使用することで、置換構文を入力できます。詳細は、「クエリー・ビルダーを使用したLDAPフィルタの記述」を参照してください。置換構文を使用すると、ソースDN(アプリケーションにログインしているユーザー)の属性値がルール内で代入され、ターゲットDN(参照または変更しようとしているエントリ)に対して評価されます。

ただし、検索ベースを設定すると深刻な管理オーバーヘッドが発生する可能性があります。置換構文で指定されるフィルタ・ベース・アプローチにより提供される機能は、よりスケーラブルで簡易化された設計と同一です。

置換構文を使用すると、ディレクトリ構造の上位検索を開始する関数を作成できますが、この関数は、検索開始者のレコードの情報の属性(たとえば、置換$ou$を使用)を使用可能な結果それぞれのデータの属性(たとえば、ou=)と比較することで、検索データをフィルタ処理します。置換構文は属性アクセス制御および検索ベースに使用できます。たとえば、inetOrgPersonのクラス属性Loginにフィルタを設定すると、範囲外にあるレコードを表示するユーザーの権限が削除されます。

置換構文により、タスクを実行するユーザーに応じて動的にルールを評価できます。構文は次のとおりです。

     attribute=$attribute$

たとえば、次のようになります。

     (ou=$ou$)

このルールでは、アプリケーションにログインしているユーザーと同じ組織単位に属するすべての人々がフィルタされます。

フィルタには、ANDやORなどの演算子を使用できます。たとえば、次のようになります。

     (|(ou=$ou$)(ou=people))

注意:

選択された検索ベースでは、ユーザーは自分と同じouのエントリのみを検索できます。これはそのユーザーのレコードの属性のみに適用され、エントリが存在するディレクトリのブランチのouには適用されません。また、ou=peopleのユーザーは、選択された検索ベース内のエントリを検索できます。

3.8.7.5 動的LDAP検索フィルタの例

従来のLDAP検索フィルタを指定する以外に、アイデンティティ・システムのフィルタ置換構文を使用して動的フィルタを作成できます。動的フィルタにより、ユーザー・プロファイルに基づいた検索結果を戻すことができます。例として、次の検索基準を含むorgPerson属性用の検索フィルタを作成する場合を検討します。

     (ou=$ou$)

この検索フィルタを使用して個人の「プロファイルの変更」ページでセレクタ検索を実行すると、変更対象の個人のプロファイルに含まれる組織単位と一致するディレクトリ・プロファイルを持つ人々のみが検索結果として戻されます。たとえば、John Smithの「プロファイルの変更」ページを表示してJohn Smithのマネージャを選択するセレクタを起動した場合、検索結果にはJohn Smithの組織単位に属する人々のみが表示されます。

フィルタ置換の使用により、検索ターゲットのプロファイルが代入されます。(ou=$ou$)の例では、John Smithのouの値が代入されます。「ワークフローの作成」機能などでターゲットが存在しない場合、検索フィルタでは、ワークフローを作成しているユーザーのログイン・プロファイルの値が代入されます。

例として、ディレクトリ・サーバーでまだ組織単位が定義されていないCorporateというグループのワークフローを作成する場合を検討します。この場合、アイデンティティ・システムでは、グループを作成しているログイン参加者のou値が使用されます。ログイン参加者のou値は、ディレクトリ・サーバーでこのグループをコミットするまでワークフローで使用されます。コミットの時点で、動的フィルタ(ou=$ou$)のou値は、グループのou値に変更されます。

別の例として、ディレクトリ・プロファイルに「秘書」属性を持つユーザーが、自分と同じマネージャを担当する人々のみを含む検索結果を取得する場合を検討します。この場合、「秘書」属性の「属性の構成」ページで次のように指定します。

     (manager=$manager$)

3.8.7.6 ワイルド・カードを使用した動的検索

動的フィルタにワイルド・カードを使用できます。例として、organizationalUnitオブジェクトのcontactPerson属性を指定する場合を検討します。contactPerson属性により、organizationalUnitオブジェクトと同じ郵便番号の人々を戻す必要があります。organizationalUnitプロファイルにzipCodeという属性が含まれており、postalAddressディレクトリ属性の最後に郵便番号が指定されている場合、フィルタで次のように指定します。

     (postalAddress=*$zipCode$)

3.8.7.7 複数値を使用した動的検索

動的検索フィルタには複数値も指定できます。例として、ビジネス・オブジェクトのseeAlso属性でdealershipのbusinessCategoryを選択する際に、特に検索ターゲットと同じ都道府県(state)の販売代理店(dealership)を対象とする場合を検討します。この場合、seeAlso属性に次のフィルタを指定します。

     (&(businessCategory=dealership)(state=$state$))

3.8.7.8 NOT演算子の使用方法

フィルタを作成する場合、AND(&)演算子とNOT(!)演算子を使用できます。たとえば、次のようになります。

  • AND演算子の例: (&(sn=white)(objectclass=personOC))

  • NOT演算子の例: (&(!(sn=white))(objectclass=personOC))

このNOTフィルタの使用例から、次のフィルタも有効であると思われるかもしれません。

     (!(sn=white))

しかし、NOT演算子を指定する場合、NOT演算子はAND演算子内に組み入れ、Personオブジェクト・クラスを指定する必要があります。(!(sn=white))などのフィルタは、使用できません。その理由は、フィルタに指定された一部のドメイン・セットを検索対象とする前に、ドメイン全体に対してこのタイプの検索を実行することになるためです。この手順の場合、パフォーマンス上のコストがかかります。アイデンティティ・システムにより使用される最適化されたアルゴリズムでは、検索は一部のドメイン・セットに対して実行されます。NOT演算子の適切な使用方法は、次のとおりです。

     (&(!(sn=white))(objectclass=personOC))

最適化されたアルゴリズムを使用する場合、フィルタ(!(sn=white))では期待した結果は得られません。

3.8.8 その他の表示タイプの構成

この項では、テキスト・ベースの表示タイプ、ラジオ・ボタン、チェック・ボックス、GIFイメージ表示タイプおよびターゲット・オブジェクト・クラスを使用する表示タイプの構成について説明します。

単一行テキスト、複数行テキスト、ラジオ・ボタンおよびチェック・ボックスなどのテキスト・フィールドを含む表示タイプのデフォルト値を構成できます。XSLスタイルシートを使用して、デフォルトを構成します。この方法は、列や行の設定にも使用できます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

ターゲット・オブジェクト・クラスを使用する表示タイプの属性を選択する場合、その属性に関連付ける1つ以上のオブジェクトを指定します。この表示タイプでは、単一値または複数値がサポートされます。

  • ターゲット・オブジェクト・クラスを設定する場合、「ターゲット・オブジェクト・クラス」リストから1つ以上の必要なオブジェクト・クラスを選択します。

  • MIMEタイプを設定する場合、「MIMEタイプ」リストから添付するメディア・ファイルの種類を選択します。

「GIFイメージ」表示タイプを構成する手順

  1. 「属性の変更」ページで、「写真」属性を選択します。

  2. 「表示タイプ」リストの下のボタンを使用して、写真スタイルを選択します。

    • 正確なサイズ: GIFを実際のサイズで表示する場合、「正確なサイズ」を選択します。

    • 固定サイズ: イメージの高さと幅を指定する場合、「固定サイズ」を選択します。

3.9 導出属性の構成: 異なる属性間で一致する値

導出属性は、仮想LDAPオブジェクト・クラス属性です。導出属性は、あるオブジェクト・クラスの属性の内容を、同じかまたは異なるオブジェクト・クラスの属性と比較することで生成されます。導出属性の主な目的は、逆参照です。

たとえば、誰かのプロファイルに補佐スタッフの名前が含まれることはありますが、補佐スタッフのプロファイルに補佐対象のすべての人々の名前が含まれることはまずありません。導出属性を使用すると、個人プロファイルに補佐スタッフ属性を保持するすべての人々を、補佐スタッフのプロファイルから逆に参照できます。この例では、補佐スタッフの自己属性値を、組織内の他の人々のAdminAssistant属性値と比較します。同様に、groupOfUniqueNamesオブジェクトは、グループのメンバーへのリンクを備えたuniqueMember属性を含むことができます。ただし、個人のデータを含むオブジェクトからgroupOfUniqueNamesオブジェクトに逆にリンクすることはできない可能性があります。導出属性機能を使用すると、グループ・メンバーは、自分が所属するグループを逆に参照できます。

導出属性を作成するには、比較される値を保持する2つの属性を指定します。一致項目は、すべて導出属性に追加されます。

導出属性を使用すると、通常であればLDAPフィルタ、検索またはレポートを必要とする情報をプロファイルに提供できます。

テンプレート・オブジェクトに関連付けられた属性は、導出属性として構成できません。


注意:

導出属性を使用すると、特に複数の属性がある場合や、属性で複数のオブジェクト・クラスを参照する場合に(グループ・マネージャの導出属性でユーザー・マネージャの属性に対して参照を実行する場合など)、レスポンス時間が低下する可能性があります。導出属性に関連するパフォーマンス上の問題が発生した場合、対応する属性索引を含めるよう索引ファイルを変更し、そのファイルを再インポートすることをお薦めします。

3.9.1 導出属性の例

ここでは、組織の補佐スタッフが、サポートしているすべてのマネージャをユーザー・マネージャのユーザー・プロファイルで参照できるよう構成します。これを行うには、各補佐スタッフの属性を取得して、その属性を他のすべての個人プロファイルに含まれる秘書属性の値と比較する導出属性を作成します。補佐スタッフがユーザー・マネージャでユーザー・アイデンティティを参照すると、導出属性に一致する人々のみが表示されます。

次に、導出属性を作成する際の手順の概要を示します。

タスクの概要: 導出属性の構成

  1. アイデンティティ・システム・コンソールで導出属性を追加します。新規属性に「直属の上司」などの説明的な表示名を指定します。

  2. 「一致する属性」として「自己」を指定します。

    これにより、補佐スタッフのDNが検索基準であることを示します。

  3. 補佐スタッフの直属の上司を検索するため、検索対象オブジェクト・クラスとしてPersonオブジェクト・クラスを指定します。

    グループやその他の種類のオブジェクトではなく、必ず個人を検索対象にします。

  4. 「参照属性」として「秘書」を指定します。

    秘書属性の値が一致するユーザーのユーザー・アイデンティティを検索します。

  5. 新規属性を保存し、その属性をユーザー・マネージャの「従業員」タブに関連付けます。

    これで、補佐スタッフが「ユーザー・プロファイル」ページを表示すると、アイデンティティ・システムにより自己属性(DN)の値が取得され、その属性が他のユーザーの秘書属性の値と比較されます。項目が一致すると、補佐スタッフの「ユーザー・プロファイル」ページの「直属の上司」セクションに、一致したマネージャの名前がリストされます。


    注意:

    プロファイルに表示される属性は、選択済のオブジェクト・クラスのオブジェクト・クラス属性によって決定されます。この値を変更するには、オブジェクト・クラスを変更する必要があります。

導出属性を構成する手順

  1. アイデンティティ・システム・コンソールで、「共通構成」をクリックします。

    「共通構成」ページが表示されます。

  2. 左側のナビゲーション・ペインの「オブジェクト・クラス」リンクをクリックし、次にオブジェクト・クラスの名前の付いたリンクをクリックします。

    「オブジェクト・クラスの表示」ページが表示されます。

  3. 導出属性を変更するオブジェクト・クラスのリンクをクリックします。

  4. 「導出属性の変更」をクリックし、次に「追加」をクリックします。

    「導出属性の作成」ページが表示されます。

  5. 「属性名」フィールドに、新規導出属性の名前を指定します。


    注意:

    導出属性は仮想属性のため、属性名はスキーマに含まれません。

  6. 「表示名」フィールドに、アイデンティティ・システム・ページに表示する導出属性の名前を入力します。

  7. 「一致する属性」フィールドで、現在のオブジェクト・クラスにおいて値を一致させる属性を選択します。

  8. 「オブジェクト・クラス」フィールドで、検索するオブジェクト・クラスを選択します。

  9. 「参照属性」フィールドで、指定したオブジェクト・クラスにおいて値を比較する属性を選択します。

  10. 「保存」をクリックして変更を保存します(保存せずに終了する場合は、「取消」をクリックします)。

3.9.2 導出属性のアプリケーション・タブへの追加

導出属性を使用する前に、アイデンティティ・システム・アプリケーション・タブに導出属性を割り当てる必要があります。

導出属性をアプリケーション・タブに追加する手順

  1. アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」(または「グループ・マネージャ構成」あるいは「組織マネージャ構成」)をクリックします。

  2. 「タブ」をクリックします。

  3. 「既存のタブ」ラベルの下で、変更するアプリケーション・タブのリンクをクリックし、次に「オブジェクト・プロファイルの表示」をクリックします。

    表示されるページは、使用中のアプリケーションに応じて異なります。ユーザー・マネージャでは、「ユーザー・プロファイルの構成」ページが表示されます。グループ・マネージャでは、「グループ・プロファイルの構成」ページが表示されます。組織マネージャでは、「オブジェクトの構成」ページが表示されます。

  4. 「ユーザー・マネージャ構成」または「組織マネージャ構成」で作業している場合、「パネルの構成」をクリックします。

    グループ・マネージャの場合、リンク名は「グループ・プロファイル・パネルの構成」です。

    「パネルの構成」(または「グループ・プロファイル・パネルの構成」)ページに、ユーザー・マネージャ・プロファイルに現在表示するよう構成されているパネルが表示されます。

  5. 導出属性を追加するパネルの名前をクリックします。

    「パネルの表示」ページが表示されます。

  6. 「変更」をクリックします。

    「パネルの変更」ページが表示されます。

  7. 「属性」メニューで、追加する導出属性を選択します。

  8. 関連するテキスト・ボックスに、アイデンティティ・システム・ページに表示する名前を入力します。

  9. 追加の「属性」フィールドが必要な場合は、「追加」をクリックします。

  10. 「保存」をクリックして変更を保存します(保存せずに終了する場合は、「取消」をクリックします)。

3.9.3 導出属性の権限

導出属性には読取り権限を割り当てることができます。属性に権限を割り当てる方法の詳細は、「LDAP属性権限の設定と変更」を参照してください。

3.10 アプリケーション別の属性の構成

この章の説明に従って属性を構成すると、それらの属性は、すべてのアイデンティティ・システム・アプリケーションで使用可能になります。つまり、ユーザー・マネージャ、グループ・マネージャまたは組織マネージャ内で属性を使用できます。

ただし、特定のアプリケーションで一部の属性のみを使用することもできます。たとえば、個人の住所に関する属性をユーザー・マネージャ・アプリケーションでのみ使用できます。この場合、関連するアプリケーションから、前述の各項に記載されているオブジェクトおよび属性の構成機能にアクセスします。組織マネージャの場合、個々のタブのオブジェクトおよび属性を構成できます。

ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成方法の詳細は、「ユーザー・マネージャ、グループ・マネージャおよび組織マネージャの構成」を参照してください。