ユーザー・マネージャ、グループ・マネージャおよび組織マネージャは、エンド・ユーザーが自分、他人、グループ、インベントリ、および管理者が使用を許可したその他の項目に関する情報を参照および変更できるアイデンティティ・システム・アプリケーションです。
「アイデンティティ・システムでのスキーマ・データの使用」の章では、ディレクトリやオブジェクト・テンプレート・ファイルのオブジェクトおよび属性をアイデンティティ・システムに認識させる方法と、アプリケーション・ページでの属性の表示形式を構成する方法について説明しました。この章では、特定のアプリケーション・ページに属性を配置し、ユーザーが属性を表示および変更できるようにすることで、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャなどのアイデンティティ・アプリケーションを構成する方法について説明します。また、各アプリケーションの使用方法についても説明します。ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションを構成するには、マスター・アイデンティティ管理者または委任アイデンティティ管理者である必要があります。「管理の委任」を参照してください。
この章の内容は次のとおりです。
ユーザー・マネージャ、グループ・マネージャおよび組織マネージャは、アイデンティティ・システムの主要アプリケーションです。
ユーザーは、ユーザー・マネージャを使用して、自分のアイデンティティ情報の参照、自宅電話番号などの情報の変更、および他のユーザーに関する情報の検索を実行できます。
ユーザーは、グループ・マネージャを使用して、グループの参照、グループへのサブスクライブ、およびグループ・サブスクリプションの管理を実行できます。
ユーザーは、組織マネージャを使用してその他のオブジェクトを管理できます。
組織マネージャの一般的な使用方法として、組織図の参照やインベントリ項目の検索などがあげられます。
管理者は、これらのアプリケーションで誰にどの属性および値を表示するかを制御します。また、ユーザーが検索を実行した際にディレクトリ・ツリーのどの部分へのアクセスを許可するかも制御します。管理者は、フィルタを追加して、ユーザー検索の結果がフィルタに指定した基準に準拠するよう設定できます。
アイデンティティ・システムを初めてインストールして設定し、そのオブジェクトと属性を構成した段階では、アイデンティティ・システム・アプリケーション・ページは空です。次の手順に従って、アイデンティティ・システム・アプリケーションで情報を使用できるようにします。
アイデンティティ・システム・アプリケーションで使用できるようオブジェクトおよび属性を構成します(「アイデンティティ・システムでのスキーマ・データの使用」を参照してください)。
アイデンティティ・システム・アプリケーション・ページ(タブ)を構成します(「タブの構成」を参照してください)。
属性のグループをパネルに編成して、各タブのプロファイル・ページを構成します(「タブのプロファイル・ページおよびパネルの構成」を参照してください)。
オプションで、LDAP属性専用の検索にディレクトリ・ツリーのどの部分を含めるかを制御するため、検索ベースを設定します(「検索ベースの概要」を参照してください)。
アプリケーション・タブに表示される属性を参照および変更するためのユーザー権限を設定します(「表示権限と変更権限の概要」を参照してください)。
アイデンティティ・システム・アプリケーションには、それぞれ1つ以上のタブが含まれます。これらのタブは、次のように構成します。
アイデンティティ・システム・コンソールの「グループ・マネージャ構成」タブで作業すると、グループ・マネージャ・アプリケーションの「グループ」タブを構成できます。
同様に、アイデンティティ・システム・コンソールの「ユーザー・マネージャ構成」タブを使用すると、ユーザー・マネージャ・アプリケーションの「アイデンティティ」タブを構成できます。
ユーザー・マネージャやグループ・マネージャとは異なり、組織マネージャでは複数のタブを構成できます。
アイデンティティ・システムのインストール時に、デフォルトの構造化オブジェクト・クラスであるLocationが組織マネージャに定義されます。組織マネージャでは、汎用またはLocationデータ型を保持することでアイデンティティ・システムに定義されたオブジェクトを管理できます。詳細は、「オブジェクト・クラス・タイプ」を参照してください。
ユーザー・マネージャのタブは、Person構造化オブジェクト・クラスに関連付けられます。グループ・マネージャのタブは、Group構造化オブジェクト・クラスに関連付けられます。組織マネージャでは、複数のタブを保持することが可能であり、各タブはそれぞれ異なるオブジェクト・クラスに関連付けられます。すべてのタブには、補助LDAPオブジェクト・クラスおよびテンプレート・オブジェクト・クラスを関連付けることができます。
ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・ページに表示されるタブの特性を参照および変更できます。
アイデンティティ・システム・コンソールに移動し、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックします。
「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」ページが表示されます。
「タブ」をクリックします。
アプリケーションのタブの名前が含まれる「タブの構成」ページが表示されます。組織マネージャでは、2つ以上のタブが表示される場合があります。
タブのリンクをクリックします。
ユーザー・マネージャおよびグループ・マネージャのタブは1つのみであるため、ただ1つのリンクが表示されます。組織マネージャでは、2つ以上のタブが表示される場合があります。
「タブの表示」ページが表示されます。
表4-1に、このページに含まれる情報を示します。
表4-1 タブ情報
フィールド | 説明 |
---|---|
タブID |
タブの一意の識別子。 |
タブ名 |
アプリケーション・タブに表示される名前。このフィールドはローカライズできます。 |
タブ・イメージ |
タブのGIFイメージ。GIFは、WebPass_install_dir/identity/oblix/lang/langTag/style0に格納されている必要があります(ここで、WebPass_install_dirはWebパスがインストールされているディレクトリであり、langTagは使用中の特定の言語が含まれるフォルダです)。GIFファイルの名前のみを入力し、フルパスは入力しないでください。 |
押した状態のタブ・イメージ |
ユーザーがタブ・イメージをクリックしたときに表示されるGIFイメージ。 |
マウスを置いたときに表示されるメッセージ |
ユーザーがタブにカーソルを置いたときに表示されるテキスト。このフィールドはローカライズできます。 |
クラス・タイプ |
このタブの構造化クラスに関連付けられているタイプ。詳細は、「オブジェクト・クラス・タイプ」を参照してください。 |
このタブで使用されている構造化オブジェクト・クラス、補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラス。テンプレート・オブジェクト・クラスは、miis.personなどの完全修飾形式で表示されます。この形式は、クラスの定義されている.tplファイルから読み取られます。「外部アプリケーションへの非LDAPデータの送信」を参照してください。構造化オブジェクト・クラスは、アイデンティティ・システム・コンソールでは変更できません。補助オブジェクト・クラスは、構造化オブジェクト・クラスに関連付けることができます。「「ユーザー・マネージャ」または「組織マネージャ」タブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加」を参照してください。一部のオブジェクト・クラスはこのページの編集不可能なリストに表示され、他のオブジェクト・クラスはこのページのテキスト・ボックスに表示されます。テキスト・ボックスのオブジェクト・クラスは、まだタブに追加されていません。 |
|
ディレクトリを問い合せるためのLDAPフィルタ。このフィルタにより、限定されたオブジェクトが戻されます。記述可能なLDAPフィルタ・タイプの例は、「静的LDAP検索フィルタ」および「動的LDAP検索フィルタの例」を参照してください。タブ・フィルタでは、フィルタ置換がサポートされません。タブ・フィルタの効果があるのは、タブにおいて検索、プロファイルの表示と変更、およびレポートの作成を行う場合です。フィルタは、検索時に指定された基準とAND関係で組み合されて使用されます。また、レポートの作成時に使用されます。つまり、フィルタと検索の両方の基準が適用されます。表示操作と変更操作では、このフィルタの使用によりターゲット・オブジェクトが限定されます。 |
|
タブ検索ベース |
ディレクトリ・ツリー(DIT)でのユーザー検索の開始ポイント。詳細は、「検索ベースの概要」を参照してください。 |
「変更」をクリックします。
必要に応じて変更を加え、「保存」をクリックします。
変更がアイデンティティ・システム・アプリケーションに反映されない場合は、アイデンティティ・システム・コンソールで「システム構成」→「サーバー設定」に移動し、「メモリー・キャッシュのクリア」をクリックしてフラッシュ操作を実行し、キャッシュをリロードします。
複数の言語パックをインストールしている場合、それらの言語で表示するようタブ名をローカライズできます。ローカライズされたタブ名は、管理コンソールで作成、表示および変更します。
複数の言語を管理する方法の詳細は、「Oracle Access Managerでの複数の言語の構成」を参照してください。
注意: 「翻訳」ボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。 |
アイデンティティ・システム・コンソールにログインし、「ユーザー・マネージャ構成」(または「グループ・マネージャ構成」あるいは「組織マネージャ構成」)をクリックします。
「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」ページが表示されます。
左側のナビゲーション・ペインの「タブ」リンクをクリックします。
アプリケーションの1つ以上のタブ名が含まれる「タブ」ページが表示されます。
既存のタブのリンクをクリックしてその詳細を表示します。
「タブの表示」ページが表示されます。このページには、ID、名前、クラス・タイプ、オブジェクト・クラスなどのタブの詳細が表示されます。
「翻訳」をクリックします。
このボタンがページに表示されない場合は、インストールされている言語が1つのみのため、表示名をローカライズすることはできません。インストールされている単一言語の表示名を変更するには、「変更」をクリックします。
「タブ・ラベル表示名のサマリー」ページが表示されます。次の言語固有のフィールドに対して構成された表示名があれば、その名前がこのページに表示されます。
タブ名
マウスを置いたときに表示されるメッセージ
特定の言語でまだ構成されていない表示名は、「未構成」としてマークされます。
「変更」をクリックしてタブ表示名を入力するか、既存の表示名を変更します。
タブ・ラベル表示名の構成ページが表示されます。このページには、タブ表示名のフィールドと、すべてのインストール済言語のリンクが含まれます。
タブをローカライズする言語をクリックします。
「タブ名」および「マウスを置いたときに表示されるメッセージ」フィールドに表示名を入力します。
「保存」をクリックして変更を保存します。
組織マネージャには、2つ以上のタブを含めることができます。
アイデンティティ・システム・コンソールで、「共通構成」をクリックします。
「タブの構成」ページが表示されます。
「追加」をクリックします。
「タブの作成」ページが表示されます。
「タブ構成情報の表示と変更」の手順に従ってこのページのフィールドを完成します。
「保存」をクリックします。
ユーザー・マネージャ、グループ・マネージャおよび組織マネージャのアプリケーション・ページの上部には、検索フィールドがあります。検索フィールドの例は、「「グループ・マネージャ」タブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加」を参照してください。検索機能リストに表示する属性を指定できます。検索属性は、LDAPディレクトリからのみ取得できます。テンプレート属性は、検索属性として使用できません。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」(または「グループ・マネージャ構成」あるいは「組織マネージャ構成」)をクリックします。
タブのリンクをクリックします。
「検索属性の表示」をクリックします。
「検索属性の表示」ページが表示されます。
「変更」ボタンをクリックします。
検索可能にする属性のチェック・ボックスを選択します。
「保存」をクリックします。
検索結果に表示する属性を選択できます。複数の言語をインストールして構成している場合は、検索結果属性をローカライズできます。これにより、複数の言語で検索結果を表示できます。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」(または「グループ・マネージャ構成」あるいは「組織マネージャ構成」)をクリックします。
左側のナビゲーション・ペインの「タブ」リンクをクリックします。
タブのリンクをクリックします。
「検索結果属性の表示」をクリックします。
「検索結果属性の表示」ページが表示されます。このページには、ユーザーによる検索の結果が戻されるときに表示される属性が含まれます。複数の言語でアイデンティティ・システムを構成している場合、それらの言語がこのページに表示されます。
「変更」をクリックして属性を変更します。
「検索結果属性の変更」ページが表示されます。
最初の属性は、常に「クラス属性」です。
このページでクラス属性の名前を変更することはできません。クラス属性は太字で表示され、このページでは編集できません。クラス属性を変更する方法の詳細は、「クラス属性の選択」を参照してください。
属性リストで、変更する検索フィールドごとに新規属性を選択します。
属性の表示名は、属性リストの右側の編集可能なフィールドに表示されます。この名前は、アイデンティティ・システムのユーザー・アプリケーションに表示されます。詳細は、「オブジェクト・クラス属性の概要」を参照してください。
追加の属性フィールドが必要な場合は、「追加」をクリックします。
「保存」をクリックします。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」(または「グループ・マネージャ構成」あるいは「組織マネージャ構成」)を選択します。
左側のナビゲーション・ペインの「タブ」をクリックし、次にリンクをクリックします。
「タブの表示」ページが表示されます。
「検索結果属性の表示」をクリックして「検索結果属性の表示」ページを表示します。
「翻訳」をクリックします。
注意: 「翻訳」ボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。 |
「検索結果属性の表示名のサマリー」ページが表示されます。このページには、すべてのロケールの既存の表示名がリストされます。特定の言語でまだ構成されていない表示名は、「未構成」としてマークされます。
「変更」をクリックして任意の言語の表示名を構成します。
「検索結果属性の表示名の構成」ページが表示されます。
表示名を構成する言語をクリックします。
「表示名」フィールドに名前を入力します。
「保存」をクリックして変更を保存します。
補助オブジェクト・クラスは、構造化オブジェクト・クラスに追加するミックスイン・クラスとして使用できます。たとえば、個人用の補助クラスが存在し、そこに個人のバッジ番号の属性が含まれる場合、その補助クラスを構造化オブジェクト・クラスに関連付けることが可能です。ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションを構成する場合に、自由に使用できるオブジェクト・クラスが増加すれば、アプリケーション・ユーザーのために構成できる情報も増加します。
「アイデンティティ機能とワークフローの連携」の手順に従ってワークフローを作成している場合、補助オブジェクト・クラスをタブに関連付ける際には次のことに留意してください。
タブによりワークフローと保留中のリクエストが関連付けられている場合、補助オブジェクト・クラスを追加することはできません。
追加する補助オブジェクト・クラスに必須属性が含まれる場合、すべての関連ワークフローを編集してそれらの属性を含める必要があります。
テンプレート・オブジェクトもタブに関連付けることができます。テンプレート・オブジェクトを使用するワークフローを構成する予定の場合、この作業は必須です。
注意: 「ユーザー・マネージャ」または「組織マネージャ」タブに追加した補助オブジェクト・クラスは削除できません。グループ・マネージャでは、「グループ・タイプ」で補助クラスを削除できます。 |
「ユーザー・マネージャ」または「組織マネージャ」タブに補助オブジェクト・クラスまたはテンプレート・オブジェクト・クラスを追加する手順
追加するオブジェクト・クラスを「共通構成」タブで構成済であることを確認します。
詳細は、「オブジェクト・クラスの追加」を参照してください。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックします。
「タブ」ページが表示されます。
タブのリンクをクリックします。
「タブの表示」ページが表示されます。
「変更」をクリックします。
「タブの変更」ページが表示されます。
「オブジェクト・クラス」ラベルの右端のメニューで、タブに関連付ける1つ以上の補助オブジェクト・クラスまたはテンプレート・オブジェクト・クラスを選択します。
「保存」をクリックします。
変更を保存すると、選択した1つ以上のオブジェクト・クラスが、選択ボックスの左側のリストに追加されます。
補助オブジェクト・クラスをグループ・マネージャに関連付ける場合、グループ・タイプを使用します。Oracle Access Managerでは、oblixAdvancedGroup補助オブジェクト・クラスを提供しており、グループへのメンバーのサブスクライブや、動的グループの作成と拡張を行うための属性を構成できます。
次のページは、「グループ・マネージャ」タブをクリックし、次に「グループ」サブタブをクリックすると表示されます。「グループ」は、複数のグループ・タイプ・パネルで構成されます。
グループ・タイプ・パネルを作成すると、関連付けられたオブジェクト・クラスの属性をグループ・マネージャ・ユーザー・アプリケーションで使用できます。
グループ・マネージャに補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスを追加する手順
追加する1つ以上のオブジェクト・クラスを「共通構成」タブで構成済であることを確認します。
詳細は、「オブジェクト・クラスの追加」を参照してください。
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」を選択し、次に「グループ・タイプの構成」をクリックします。
「グループ・タイプ・パネルの構成」をクリックし、次に「作成」をクリックします。
一番上のメニューで、追加するオブジェクト・クラスを選択します。
「パネル・ラベル」フィールドに、エンド・ユーザーがグループ・マネージャでこのオブジェクト・クラスの要素を参照したときに表示されるラベルを入力します。
「パネル情報完了」チェック・ボックスを選択します。
「保存」をクリックします。
オブジェクト・クラスが追加されます。この新規オブジェクト・クラスを参照するには、「グループ・マネージャ構成」の左側のナビゲーション・ペインにある「タブ」リンクをクリックします。
グループ・マネージャから補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスを削除する手順
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」を選択し、次に「グループ・タイプの構成」をクリックします。
「グループ・タイプ・パネルの構成」をクリックします。
削除するグループ・タイプのリンクをクリックします。
「削除」ボタンをクリックします。
「グループ・マネージャ・オプション」機能を使用すると、グループ・マネージャ・アプリケーションの「グループ」および「メンバー・プロファイルの表示」ページに表示する項目を選択できます。この機能により、コストのかかる操作を無効化できます。この機能は、アイデンティティ・システムのパフォーマンスを向上する必要がある場合に役立ちます。
「グループ」および「メンバー・プロファイルの表示」に表示する項目を選択する手順
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」をクリックし、次に「グループ・マネージャ・オプション」をクリックします。
「グループ・マネージャ・オプション」ページが表示されます。
「変更」をクリックして「グループ・マネージャ・オプションの変更」ページを表示します。
表4-2に、各オプションを示します。
表4-2 グループ・マネージャ・オプション
オプション | 説明 |
---|---|
個々のメンバーで構成されるグループの表示と非表示を切り替えます。「グループ」ページに適用されます。 |
|
個々のメンバーおよび他のグループを含むグループの表示と非表示を切り替えます。「グループ」ページに適用されます。 関連項目: 使用しないネストされたグループを評価時に除外する方法は、『Oracle Access Managerデプロイメント・ガイド』の「パフォーマンス・チューニング」の章を参照してください。 |
|
フィルタによって決定されるメンバーを含むグループの表示と非表示を切り替えます。「グループ」ページに適用されます。 使用しない動的グループを評価時に除外する方法は、『Oracle Access Managerデプロイメント・ガイド』の「パフォーマンス・チューニング」の章を参照してください。 |
|
「グループ」ページに「グループのメンバー」属性を表示します。この機能を有効化するには、静的グループの表示、ネストされたグループの表示、および動的グループの表示の各オプションも有効化する必要があります。 |
|
所有者であるグループの表示 |
「グループ」ページで「グループの所有者」属性を使用可能にします。この機能を使用するには、属性を「グループの所有者」セマンティク型に構成する必要があります。 |
「グループ」ページで「グループの管理者」属性を使用可能にします。この機能を使用するには、属性を「グループ管理者」セマンティク型に構成する必要があります。 |
|
「メンバーの表示」ページに適用されます。静的メンバーシップ機能を使用するには、属性を「グループ静的メンバー」セマンティク型に構成する必要があります。 |
|
「メンバーの表示」ページに適用されます。 |
|
「メンバーの表示」ページに適用されます。動的メンバーシップ機能を使用するには、属性を「グループ動的メンバー」セマンティク型に構成する必要があります。 |
|
URLパラメータの入力によるグループ・マネージャ表示オプションのカスタマイズをユーザーに許可するかどうかを指定します。「メンバーの表示」および「グループ」ページに適用されます。 |
グループ・マネージャに適用する各オプションを選択します。
「保存」をクリックします。
組織マネージャに複数のタブが含まれる場合、タブを削除できます。
アイデンティティ・システム・コンソールで、「共通構成」をクリックします。
削除するタブのリンクをクリックします。
「タブの表示」ページが表示されます。組織マネージャに複数のタブが定義されている場合、このページに「削除」ボタンが表示されます。
「削除」をクリックします。
削除の確認を求められます。
「OK」をクリックすると、タブとそのすべての関連情報が削除されます。
組織マネージャに複数のタブがリストされている場合、タブの表示順序を変更できます。
アイデンティティ・システム・コンソールで、「組織マネージャ構成」→「タブ」をクリックします。
タブのリストの下部にある「タブの順序付け」ボタンをクリックします。
Tab 1、Tab 2のようにリストされた「タブの順序付け」ページが表示されます。各タブ番号の横に、既存のタブの名前を含むリストがあります。
各タブ番号の横のリストを使用して、希望の順序を指定します。たとえば、次のようになります。
Tab 1: Site
Tab 2: Location
「保存」をクリックします。
プロファイル・ページは、アイデンティティ・システム・アプリケーションのオブジェクトに関する情報が表示されるWebページです。たとえば、ユーザー・マネージャでユーザーに関する情報を検索すると、そのユーザーのプロファイル・ページが表示されます。プロファイル・ページには、ユーザーの次のようなデータが含まれます。
名前
住所
部門
マネージャ
電話番号
電子メール
ログインID
プロファイル・ページの情報は、アイデンティティ・システムの通信先であるLDAPディレクトリのオブジェクトおよび属性に基づきます。または、オブジェクト・テンプレート・ファイルの情報に基づく場合もあります。
プロファイル・ページは、一連のパネルで編成できます。たとえば、個人のプロファイル・ページには、個人、ロケーションおよびプロジェクト情報に関する複数のパネルを含めることが可能です。プロビジョニング目的でオブジェクト・テンプレート・ファイルを構成している場合、テンプレート・ファイルの各属性を1つの特定のパネルに配置できます。
ユーザーは、次のいずれかの方法でプロファイル・ページを表示できます。
パネル・ビューでは、プロファイル・ページのデータが複数のパネルに編成されます。
ページ・ビューでは、プロファイル・ページのデータが1つの長いリストに編成されます。
パネルでLDAP属性を構成すると、その属性のラベルと値は、パネルを使用するプロファイル・ページに表示されます。一方で、テンプレート属性は、プロファイル・ページには実際に表示されません。テンプレート属性は、その属性を使用するワークフローを定義している場合にかぎり、「プロファイルの変更」ページにのみ表示されます。詳細は、「外部アプリケーションへの非LDAPデータの送信」を参照してください。
ヘッダー・パネルは、ユーザー・マネージャまたは組織マネージャのプロファイルの上部に表示されます。ヘッダーには、タブの構造化オブジェクト・クラスから取得された「フルネーム」、「役職」および「写真」セマンティク型の属性が表示されます。ヘッダーは、ユーザー・アイデンティティ・プロファイル・ページで表示しないよう無効化できます。ユーザーのヘッダー・パネルの例は、次のとおりです。
注意: ヘッダー・パネルで構成できるのは、タブの構造化オブジェクト・クラスのLDAP属性のみです。 |
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」または「組織マネージャ構成」→「タブ」をクリックします。
「タブの構成」ページが表示されます。組織マネージャでは、複数のタブが表示される場合があります。
タブ・リンクをクリックし、次に「オブジェクト・プロファイルの表示」ボタンをクリックします。
ページ上部にリストされているヘッダーをクリックします。
プロファイル・ヘッダーに表示される属性が、「ヘッダー・パネルの構成」ページに表示されます。たとえば、「マップ・イメージ」、「ロケーション名」、「ロケーション・タイトル」などです。
「変更」ボタンをクリックし、ヘッダー・パネルに表示する各属性を選択します。
ユーザー・プロファイルにヘッダー・パネルを表示する場合、「ユーザー・マネージャにヘッダー・パネルを表示します。」を選択します。
「保存」をクリックします。
アイデンティティ・システム・コンソールで構成したパネルは、ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・ページで一連の属性としてユーザーに表示されます。
次の表に、ユーザー・プロファイル・パネルのいくつかの例を示します。
パネルを構成する前に、パネルに配置する属性のオブジェクト・クラスが適切なオブジェクト・クラス・タイプで構成されていることを確認してください。「オブジェクト・クラス・タイプ」を参照してください。
エンド・ユーザーのアイデンティティ・システム・アプリケーションでパネルを表示する手順
ユーザー・マネージャ、グループ・マネージャまたは組織マネージャで、ユーザー、グループまたは組織オブジェクトの検索を実行します。
検索で戻されたリンクの1つをクリックします。
選択した個人、グループまたはオブジェクトのプロファイル・ページが表示されます。
プロファイルがページ・ビューでアプリケーションに表示されている場合は、「パネルの表示」ボタンをクリックします。
パネルは、システム設定時に構成した属性と、「アイデンティティ・システムでのスキーマ・データの使用」に記載されたタスクの実行により構成した属性を使用して作成できます。1つのパネルで属性を1回のみ使用することや、複数のパネルで同じ属性を常時使用することが可能です。
組織マネージャ・アプリケーションのオブジェクト・プロファイルの情報をユーザーが新規保存または変更する場合、組織マネージャ・タブにパネルがないと一部のデータが失われる可能性があります。
組織マネージャのオブジェクト・プロファイルを変更する際にデータが失われないようにするには、タブに少なくとも1つのパネルを構成する必要があります。このパネルには、タブのヘッダー・パネルの属性と同一の属性が含まれている必要があります。
ロスト・パスワード管理: 以前のリリースでは、チャレンジ・フレーズ属性とレスポンス属性を「ユーザー・プロファイル」ページの異なるパネルに配置できました。ただし、現在では、チャレンジ・フレーズ属性とレスポンス属性を同じパネルに配置する必要があります。チャレンジ・フレーズとレスポンスは、パネルで交互に構成されていない場合でも、交互に表示されます。
パネルにチャレンジ属性のみが含まれる場合、チャレンジ属性は「ユーザー・プロファイル」ページにレスポンスなしで表示されます。パネルにレスポンスのみが含まれる場合(チャレンジ属性がない場合)、レスポンスは「ユーザー・プロファイル」ページに表示されません。
1つ以上のLDAP属性や、LDAP属性とテンプレート属性の組合せを1つのパネルで構成することも考えられます。テンプレート属性は、ワークフロー実行のコンテキストでのみ表示されるため、テンプレート属性のみで構成されるパネルは空の状態で表示されます。
複数の言語でアイデンティティ・システムを構成している場合、各言語のパネル・フィールドを表示または変更できます。次のパネル・フィールドの表示名をローカライズできます。
パネル・ラベル
説明
属性
マウスを置いたときに表示されるメッセージ
注意: アイデンティティ・システム・コンソールでは、表示タイプのリスト(ラジオ・ボタンやチェック・ボックスなど)の項目値として表示される表示名は、Javaアプレットおよび国際文字の既知の制限のために破損する可能性があります。ブラウザのJVMでは、現在のロケールに含まれる文字のみが表示されます。国際文字は、ブラウザが同じロケールに設定されている場合にのみアプレットで正しく表示されます。表示名の値を設定した際に使用したロケールに、ブラウザを設定してください。 |
次の手順では、パネルを作成する方法について説明します。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックし、次に「タブ」をクリックします。
目的のタブのリンクをクリックします。
「タブの表示」ページが表示されます。
「オブジェクト・プロファイルの表示」をクリックします。
ページ上部の適切なボタンをクリックします。
ユーザー・マネージャおよび組織マネージャの場合、「パネルの構成」をクリックします。
グループ・マネージャの場合、「グループ・プロファイル・パネルの構成」をクリックします。
「パネルの構成」ページが表示されます。現在定義されているパネルが表示されます。
操作を選択します。
パネルを追加するには、「作成」をクリックします。
パネルを変更するには、パネル・リンクをクリックし、次に「変更」をクリックします。
パネルを削除するには、パネル・リンクをクリックし、次に「削除」をクリックします。
「作成」を選択すると、「パネルの作成」ページが表示されます。
フィールドを編集します。
「パネルの変更」ページは、「パネルの作成」ページとほぼ同じです。どちらのページでも、次のフィールドを使用できます。
ラベル | 説明 | ラベル |
---|---|---|
パネル・ラベル | ユーザー・アプリケーションでのこのパネルの名前。この名前はローカライズできます。 | パネル・ラベル |
説明 | 「パネルの表示」ページに表示されるテキスト。このテキストはローカライズできます。 | 説明 |
属性 | リストから選択された属性。追加の属性フィールドが必要な場合は、ページの右側の「追加」をクリックします。テンプレート属性を選択した場合、属性ラベルはこのパネルに表示されません。テンプレート属性は、ワークフローのコンテキストでのみ表示されます。これらの属性はローカライズできます。 | 属性 |
タイトル・イメージ | ユーザー・プロファイルは、タブで分けられたページとして、または単一のページとして表示できます。タイトル・イメージは、プロファイルを単一のページとして表示したときにパネル・タイトルに使用されるGIFイメージです。GIFは、WebPass_install_dir/identity/oblix/lang/langTag/style0に格納されている必要があります(ここで、WebPass_install_dirはWebパスがインストールされているディレクトリであり、langTagは使用中の特定の言語が含まれるフォルダです)。パスなしでGIFファイルの名前のみを入力します。タイトル・イメージは、「アイデンティティ・システム・アプリケーションのスタイルの構成」の手順に従って変更できます。 | タイトル・イメージ |
「タブ・イメージ」と「タブ・イメージ(下)」 | ユーザー・プロファイルは、タブで分けられたページとして、または単一のページとして表示できます。タブ・イメージは、タブで分けられたページとしてプロファイルを表示したときに使用されるGIFイメージです。タブ・イメージは、通常、パネル・ラベルと一致します。タブ・イメージを定義するまでは、パネル・ラベルがユーザー・プロファイル・ページにリンクとして表示されます。リンクまたはタブ・イメージをクリックすると、パネルが表示されます。「タブ・イメージ(下)」のイメージは、ユーザー・プロファイル・ページの下部に表示されます。 | 「タブ・イメージ」と「タブ・イメージ(下)」 |
押した状態のタブ・イメージ | ユーザーがユーザー・プロファイルのパネル・タブをクリックしたときに使用されるイメージ。 | 押した状態のタブ・イメージ |
パネルの使用準備が完了したら、ページの下部にある「パネル情報完了」を選択します。
「保存」をクリックします。
注意: 「パネル情報完了」の横のボックスを選択すると、パネル定義が保存されます。ただし、ユーザーがパネルの内容を参照できるかどうかは、読取り権限によって制御されます。これらのオプションの詳細は、「ユーザーによるLDAPデータの表示および変更の許可」を参照してください。 |
次の手順では、ローカライズされたテキストをパネルで表示、編集および追加する方法について説明します。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックします。
左側のナビゲーション・ペインの「タブ」リンクをクリックします。
タブのリンクをクリックします。
「タブの表示」ページが表示されます。
「オブジェクト・プロファイルの表示」ボタンをクリックします。
「プロファイル」ページが表示されます。
ページ上部の「パネルの構成」をクリックします。
適切な「パネルの構成」ページが表示されます。このページには、構成済の各パネルのリンクが表示されます。
パネル・リンクをクリックしてその詳細を表示します。
「変更」をクリックして「パネルの変更」ページを表示します。
必要に応じて情報を変更します。
「保存」をクリックして変更を保存します。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックし、次に左側のナビゲーション・ペインの「タブ」リンクをクリックします。
既存のタブがページに表示されます。
タブのリンクをクリックします。
「オブジェクト・プロファイルの表示」ボタンをクリックして「プロファイル」ページを表示します。
「パネルの構成」をクリックして構成済の各パネルのリンクを表示します。
リンクをクリックして「パネルの表示」ページを表示します。
「翻訳」をクリックします。
「翻訳」ボタンが表示されない場合は、インストールされている言語が1つのみのため、パネルをローカライズすることはできません。インストールされている単一言語のパネル要素の表示名を編集するには、「変更」をクリックします。
「翻訳」をクリックすると、「パネル表示名のサマリー」ページが表示されます。このページには、次のフィールドに対して構成されているすべての言語固有の表示名が表示されます。
パネル・ラベル
説明
属性
マウスを置いたときに表示されるメッセージ
まだ構成されていない表示名は、「未構成」としてマークされます。
「変更」をクリックして表示名を作成または変更します。
パネル表示名の構成ページが表示されます。このページには、パネル表示名のフィールドと、すべてのインストール済言語のリンクが含まれます。
任意の言語をクリックします。
適切なフィールドに表示名を入力します。
「保存」をクリックして変更を保存します。
パネルは、特定の順序でプロファイル・ページに表示されます。グループ・マネージャでのパネルの表示順序は、変更できます。
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」をクリックします。
「グループ・タイプ」をクリックし、次にページ上部の「グループ・タイプ・パネルの順序付け」をクリックします。
注意: 「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」を選択し、次に「タブ」→タブ・リンク→「オブジェクト・プロファイルの表示」→「パネルの順序付け」の順に選択することも可能です。「グループ・マネージャ構成」では、ページ上部に「グループ・プロファイル・パネルの順序付け」オプションがあります。 |
「パネルの順序付け」ページが表示されます。
各パネル番号の横のリストを使用して、表示されるパネルの名前を識別します。
「保存」をクリックします。
グループ・タイプ・パネルにより、「グループ」タブの属性を編成できます。たとえば、構造化オブジェクト・クラスとしてgroupOfUniqueNamesを、補助クラスとしてoblixAdvancedGroupを構成している場合、グループ・タイプ・パネルを作成することで、これらのクラスから「グループ」タブの属性を編成できます。グループ・タイプ・パネルは、LDAP属性用に確保されています。テンプレート属性は、グループ・タイプ・パネルで構成できません。アイデンティティ・システムでグループ・タイプとして識別される各オブジェクト・クラス(「オブジェクト・クラス・タイプ」を参照)は、グループ・タイプ・パネルに関連付けることができます。
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」→「グループ・タイプ」→「グループ・タイプ・パネルの構成」リンクをクリックします。
「パネルの構成」ページに構成済のグループ・タイプ・パネルのリストが表示されます。
リンクをクリックしてグループ・タイプの設定を表示します。
選択したパネルの設定を含む「パネルの表示」ページが表示されます。
Groupオブジェクト・クラスの属性を編成するには、グループ・タイプ・パネルを構成する必要があります。Group構造化オブジェクト・クラスに対して、少なくとも1つのパネルを作成する必要があります。これにより、Group構造化オブジェクト・クラスの属性のみを含むグループを「グループ」プロファイル・ページで参照できます。複数の言語をインストールして構成している場合は、次のパネル・フィールドの表示名をローカライズできます。
パネル・ラベル
説明
マウスを置いたときに表示されるメッセージ
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」→「グループ・タイプ」をクリックします。
「グループ・タイプ」ページにグループ・タイプのリストが表示されます。
「グループ・タイプ・パネルの構成」をクリックして「パネルの構成」ページを表示します。
操作を選択します。
グループ・タイプ・パネルを追加するには、「作成」をクリックします。
既存のパネルを変更するには、パネル・リンクをクリックし、「パネルの表示」ページで「変更」をクリックします。
既存のパネルを削除するには、パネル・リンクをクリックし、「パネルの表示」ページで「削除」をクリックします。
「グループ・タイプを選択します」というラベル付きのフィールドで、グループ・タイプに関連付けるオブジェクト・クラスを選択します。
注意: Group構造化オブジェクト・クラスを拡張する補助オブジェクト・クラスか、スキーマでGroup構造化オブジェクト・クラスに関連付けられている補助オブジェクト・クラスのみを選択します。このページで選択できるのは、構成済の補助クラスのみです。詳細は、「オブジェクト・クラスの追加」を参照してください。 |
残りのフィールドに、「パネルを作成または追加する手順」に従って値を入力します。
「パネル情報完了」の横のボックスを選択します。
「保存」をクリックします。
注意: 「タブ情報完了」を選択すると、パネル定義が保存されますが、ユーザーがパネルの内容を参照できるかどうかは読取り権限によって制御されます。「ユーザーによるLDAPデータの表示および変更の許可」を参照してください。 |
アイデンティティ・システム・コンソールで、「グループ・マネージャ構成」をクリックします。
左側のナビゲーション・ペインの「グループ・タイプの構成」をクリックします。
「グループ・タイプ・パネルの構成」をクリックします。
「パネルの構成」ページに構成済のグループ・タイプ・パネルのリストが表示されます。
表示名を構成するパネルをクリックします。
「パネルの表示」ページが表示されます。
「翻訳」をクリックします。
このボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。1つの言語のみをインストールしている場合にパネル要素の表示名を構成するには、「変更」をクリックします。
「パネル表示名のサマリー」ページが表示されます。このページには、次のフィールドに対して構成されているすべての表示名がリストされます。
パネル・ラベル
説明
マウスを置いたときに表示されるメッセージ
特定の言語でまだ構成されていない表示名は、「未構成」としてマークされます。
「変更」をクリックします。
パネル表示名の構成ページが表示されます。
表示名を構成する言語をクリックします。
パネル・フィールドの表示名を入力します。
「保存」をクリックして変更を保存します。
「共通構成」ページで構成した属性は、そのオブジェクト・クラスを利用する各アプリケーションで使用されます。たとえば、共通構成を通じてcn属性の表示名を「フルネーム」に設定できます。この名前は、「ユーザー・プロファイル」ページに表示されます。その後、「ユーザー・マネージャ構成」画面でcn属性を「氏名」と表示するよう構成すると、「ユーザー・プロファイル」ページにはデフォルトで「氏名」と表示されます。詳細は、「アイデンティティ・システムでのスキーマ・データの使用」を参照してください。パネルに表示される属性の表示名をローカライズすることも可能です。これにより、ユーザーにとって固有の言語で属性を表示できます。複数の言語を管理する方法の詳細は、「Oracle Access Managerでの複数の言語の構成」を参照してください。
注意: 一度パネルに割り当てた属性の表示タイプまたはセマンティク型を変更するには、そのパネルを削除して再作成する必要があります。 |
オブジェクト・クラス・レベルでの属性詳細の上書き: 次に説明するとおり、オブジェクト・クラス・レベルで属性に構成されている情報を上書きできます。
各アイデンティティ・システム・アプリケーション(ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ)には、「タブ」機能を備えたアプリケーション固有の構成タブがあります。アプリケーション固有の「タブ」機能を使用すると、そのアプリケーション固有の構成タブの属性のみを対象に、オブジェクト・クラス・レベルの構成とは異なる表示名または表示タイプを使用できます。たとえば、「ユーザー・マネージャ構成」タブの「説明」属性に異なる表示名を指定できます。
複数の言語をインストールしている環境で適切なローカライズを行うには、タブ・レベルで属性を再構成するときに、インストール済のすべての言語でその属性の表示名を指定する必要があります。例として、2つの言語をインストールしている場合を検討します。たとえば、「ユーザー・マネージャ構成」タブの「説明」属性を2つの言語に翻訳するには、同じタブ・レベルで各インストール済言語の属性の表示名を指定する必要があります。「翻訳」ボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。
次の手順では、タブ・レベルで属性を再構成し、オブジェクト・クラス・レベルで属性に構成されている情報を上書きする方法について説明します。
ユーザー・マネージャ、グループ・マネージャまたは組織マネージャ固有の属性を変更する手順
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」タブをクリックします。
左側のナビゲーション・ペインの「タブ」リンクをクリックします。
「タブ」ページが表示されます。組織マネージャでは、複数のタブが表示される場合があります。
タブのリンクをクリックします。
「タブの表示」ページが表示されます。
「属性の変更」をクリックします。
「属性の変更」ページが表示されます。
属性の変更方法の詳細は、「属性の構成」を参照してください。次の手順を使用すると、属性の表示名をローカライズできます。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックします。
左側のナビゲーション・ペインの「タブ」リンクをクリックします。
「タブの構成」ページが表示されます。組織マネージャでは、複数のタブが表示される場合があります。
タブのリンクをクリックします。
「タブの表示」ページが表示されます。
「翻訳」をクリックします。
注意: 「翻訳」ボタンは、2つ以上の言語がインストールされている場合にのみ表示されます。 |
「属性表示名のサマリー」ページが表示されます。このページには、構成済の属性の表示名がすべての言語でリストされます。まだ構成されていない表示名は、「未構成」としてマークされます。
「変更」をクリックします。
「検索結果属性の表示名の構成」ページが表示されます。このページには、属性の表示名フィールドと、インストール済言語のリンクがリストされます。
表示名を構成する言語をクリックします。
「表示名」フィールドに名前を入力します。
「保存」をクリックして変更を保存します。
オブジェクトや属性を構成し、アプリケーション・タブのパネルに属性を編成する操作は、ブロックを組み立てることに似ています。基礎となるブロックを配置したら、次にそれらの操作を誰に許可するかを決定できます。アイデンティティ・システムを設定して、アプリケーション・パネルに構成したLDAP属性の検索と表示をユーザーに許可する必要があります。これを行うには、次の操作を実行します。
次の項では、表示権限と変更権限を構成する手段として、検索ベースを設定する方法について説明します。検索ベースは、LDAPディレクトリ・ツリーの検索に関連します。テンプレート属性は、検索ベースの設定とは無関係です。ユーザーにテンプレート属性の値の入力を許可するには、それらのユーザーがテンプレート属性の使用されるワークフローの参加者である必要があります。詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。
この項の内容は次のとおりです。
検索ベースは、ディレクトリ・ツリーのブランチです(または、ツリーの最上位ノードとなることもあります)。インストール時に、デフォルトの検索ベースを選択します。デフォルトの検索ベースは、その下にすべてのユーザー・データが格納されるディレクトリ・ツリー内のノードであり、すべてのユーザー・データを検索できる最上位の基準です。検索ベースにより、検索時にユーザーが使用できるディレクトリ・ツリーの特定部分が決定されます。ユーザーにエントリの参照を許可するには、アイデンティティ・システムに構成された各構造化オブジェクト・クラスに対して検索ベースを設定する必要があります。構造化オブジェクト・クラスごとに複数の検索ベースを設定できます。検索ベースを設定する場合、誰に何を(ディレクトリ・ツリーの特定レベルのオブジェクト・クラス)検索可能にするかを決定します。このとき、オプションで検索フィルタを使用します。検索ベースを設定する前に、次のことを決定する必要があります。
どのオブジェクト・クラス(ユーザーまたはグループ)に検索ベースを設定するか。
どこに検索の開始ポイントを設定するか。
誰に検索を許可するか。
たとえば、ある検索ベースを従業員用として構成し、別の検索ベースを顧客用として構成できます。これにより、顧客側から従業員情報が参照されないことが保証されます。
別の例としては、2つの競合する部品納入サプライヤが存在する場合に、各サプライヤのユーザーが自社に関する部分のみをDITで参照できるように検索ベースを設定できます。
注意: 検索ベースは、ユーザー・マネージャ・アプリケーションで設定します。この場合、「ユーザー・マネージャ構成」機能ではなくエンド・ユーザー・アプリケーションを使用します。グループ・クラスのグループ・プロファイル・ページに対する読取り権限も構成する必要があります。 |
検索ベースを設定する場合、ログイン・ユーザーが参照できる検索ベースのブランチを指定するためのフィルタを定義できます。ディレクトリ・ツリーが特にフラットな形状の場合、ノードを選択しても検索ベースをあまり限定できないため、フィルタ機能は検索の絞込みに役立ちます。フィルタは、ディレクトリ・ツリーに大量のブランチがある場合にも役立ちます。たとえば、10,000の販売代理店がある場合、販売店内で検索を絞り込むことが可能です。ただし、フィルタにより大量のエントリが生成される場合、パフォーマンスが影響を受ける可能性があります。検索ベース・フィルタを使用するかわりに、クラス属性に対する読取り権限を設定できます(「クラス属性の選択」を参照してください)。クラス属性は、属性アクセスと、プロファイル・ページへの検索結果のリンクに使用されます。たとえば、検索ベースからリソース・フィルタを削除して、「すべてのユーザー」のロールにPersonオブジェクト・クラスへのアクセスを許可するとします。検索ベースを設定するかわりに、クラス属性にアクセスできるユーザーを指定するルールを使用して、そのクラス属性に対する読取り権限を定義します。これにより、アイデンティティ・システムで実行されるディレクトリ検索の数を削減できます。詳細は、「LDAP属性権限の設定と変更」を参照してください。
注意: 特定のユーザーがディレクトリ・ツリーの異なる部分にアクセスする必要がある場合、同じユーザーまたはグループに対して複数の検索ベースを設定できます。たとえば、従業員がツリーで従業員と顧客の両方のブランチを検索する場合、従業員用と顧客用の検索ベースを定義して、その両方の表示権限を従業員に付与できます。ただし、特定のオブジェクト・クラスに複数の検索ベースを構成する場合は、その数が多くならないようにしてください。可能であれば、かわりに属性に対する読取り権限と書込み権限を定義します。同じオブジェクト・クラスに対して複数の検索ベースを設定すると、パフォーマンスが低下する可能性があります。 |
ディレクトリの検索は、システム・パフォーマンスにおける重要な要因です。索引付けのガイドラインは、『Oracle Access Managerデプロイメント・ガイド』を参照してください。
Oracle Internet Directoryでは、索引付けされていない属性が検索で使用されると、エラーが戻されます。たとえば、索引付けされていない「一致する属性」を使用して導出属性を定義し、その属性をOracle Access Managerのプロファイル・ページに追加するとします。ページが表示されると、Oracle Internet Directoryによってエラーが戻され、導出属性の値はプロファイル・ページに表示されません。Oracle Access Managerのログ・ファイルには、「操作はサポートされていません。」というエラー・メッセージが記録されます。
検索フィルタで追加属性を使用するには、それらの属性をカタログ・エントリに追加する必要があります。索引付けできるのは、次の条件に対応する属性のみです。
等価性一致ルール
『Oracle Identity Managementユーザー・リファレンス』の「LDAP属性の一致ルールについて」にリストされている、Oracle Internet Directoryでサポートされる一致ルール。
128文字以下の名前。
新規属性(つまり、ディレクトリ内にデータが存在しない属性)を索引付けするには、ldapmodifyツールを使用します。ディレクトリ内にすでにデータが存在する属性を索引付けするには、カタログ管理ツールを使用します。属性から索引を削除する場合、ldapmodifyも使用できますが、カタログ管理ツールを使用することをお薦めします。
スキーマに新規属性を定義したら、ldapmodifyを使用してその属性をカタログ・エントリに追加できます。
ディレクトリ・データが存在しない属性を追加するには、ldapmodifyを使用してLDIFファイルをインポートします。たとえば、スキーマに定義されている新規属性fooを追加するには、ldapmodifyを使用して次のLDIFファイルをOracle Internet Directoryにインポートします。
dn: cn=catalogs changetype: modify add: orclindexedattribute orclindexedattribute: foo
この方法は、ディレクトリにデータが存在する属性の索引付けには使用しないでください。ディレクトリにデータが存在する属性を索引付けするには、カタログ管理ツールを使用します。
次の手順では、検索ベースを設定する方法について説明します。
ユーザー・マネージャ・アプリケーションで、「構成」サブタブをクリックします。
「構成」ページが表示されます。
「検索ベースの設定」をクリックします。
一部のブラウザでは、アプリケーションの証明書を信頼するかどうかを尋ねるプロンプトが表示されることがあります。その場合は、「常に信頼」オプションを選択してください。
「検索ベースの設定」ページが表示されます。
「オブジェクト・クラス」リストで、オブジェクト・クラスを選択します。
選択するオブジェクト・クラスにより、検索対象が定義されます。たとえば、製品の検索ベースを設定する場合、製品オブジェクト・クラスを選択します。検索ベース・ドメイン・ボックスには、検索の最上位ノードが示されます。検索ベース・ドメイン・ボックスのすぐ下のフィールドで、情報を入力または編集します。
検索ベース・ドメイン・ボックスの下のフィールドで、オブジェクトの検索を実行するディレクトリ・ツリーの特定部分を指定します。
たとえば、製造部門の製品を対象に検索ベースを定義する場合、検索ベースの製造(Manufacturing)ブランチを選択します。ディレクトリ・ツリーの最上位レベルを選択すると、ドメイン全体が検索に使用されます。検索ベースを再定義するには、ツリー内でより下位のノードを選択するか、フィルタを入力します。たとえば、検索を北米に限定するには、最上位ノードを選択し、フィルタとしてregion=North Americaと入力します。この例では、ディレクトリ・ツリーに北米(North America)というブランチがあると仮定します。フィルタの記述方法の詳細は、「ルールとフィルタの使用方法」を参照してください。「フィルタ」ボックスに、検索用の現在のフィルタが表示されます。「フィルタ」ボックスのすぐ下の「フィルタの追加」フィールドを使用して、別のフィルタを入力できます。
オプション: 「フィルタの追加」フィールドに別のフィルタを入力します。
「保存」をクリックします。
新規フィルタが前のフィルタの下のフィールドに表示されます。ディレクトリ・ツリーのこの部分の検索を許可するユーザーとグループは、次のパネルで定義します。
ディレクトリ・ツリーのこの部分の検索を許可するユーザーまたはグループを指定します。
たとえば、次のようになります。
ターゲット・ドメイン: 選択したノードの下のツリーに含まれる任意のユーザー・オブジェクト。
ワークフロー作成時にターゲット・ドメイン(またはワークフロー・ドメイン)のフィルタを指定する場合、完全なLDAP URLは使用しないでください。LDAPフィルタのみを使用できます。たとえば、ldap:///ou=Partners,o=Company,c=US??sub?(cn=Shutterbug Canavan)ではなく、cn=Shutterbug Canavanとするのが適切です。
ロール: ユーザーのロール。
ログインしているかどうかにかかわらず、すべてのユーザーにこの権限を付与する場合、「匿名」を選択します。ユーザー・マネージャ、グループ・マネージャまたは組織マネージャにログインしている任意のユーザーにこの権限を付与する場合、「すべてのユーザー」を選択します。
注意: 匿名アクセスは、ユーザー・マネージャおよび組織マネージャの「自己登録」機能でのみ使用されます。また、匿名アクセスは、ルールとして構成された表示タイプ属性(チェック・ボックス、ラジオ・ボタンまたはリスト)にのみ適用されます。たとえば、LDAPフィルタの(objectclass=organizationalunit)を使用するルールを備えたリスト表示タイプとしてou属性を構成するとします。自己登録でこの属性を構成するには、organizationalUnitの「組織マネージャ」タブにアクセスし、クラス属性の属性アクセスを構成します(匿名アクセス権の付与方法の詳細は、「LDAP属性権限の設定と変更」を参照してください)。 |
ルール: LDAPフィルタで任意の個人を指定します。「フィルタの作成」をクリックし、クエリー・ビルダーを使用してルールを作成します。詳細は、「クエリー・ビルダーを使用したLDAPフィルタの記述」を参照してください。
人々: 任意の個人を選択します。「ユーザーの選択」をクリックし、セレクタを使用して各個人を選択します。
グループ: 任意のグループを選択します。「グループの選択」をクリックし、セレクタを使用して1つ以上のグループを選択します。
ある検索ベースから別の検索ベースにユーザーやグループをコピーするには、「コピー」のクリック、「リセット」のクリック、別の検索ベース・ドメインとターゲット・ドメインの選択、「貼付け」のクリックの順に操作を実行します。ユーザーとグループが、対応する個々のボックスに表示されます。
注意: 複数の方法(たとえば、ルールの設定および個々のユーザーの選択)によりユーザーを指定すると、両方の方法が適用されます。唯一の例外は、「すべてのユーザー」を選択した場合です。「すべてのユーザー」は、他のすべての方法を上書きします。 |
次のいずれかのボタンをクリックして、適切なアクションを実行します。
保存: 変更を保存および実装します。
リセット: すべての選択を消去します。
削除: すべてのルール、グループおよびユーザーの指定を消去します。
レポート: 構成済の検索ベースを要約したレポートを生成します。
groupOfUniqueNamesオブジェクト・クラスに検索ベースを設定し、検索ベースを定義するグループを選択できます。グループに設定された検索ベース内のエントリの参照をグループのメンバーに許可するには、グループ・クラスのグループ・プロファイル・ページに対する読取り権限を構成する必要があります。「LDAP属性権限の設定と変更」を参照してください。
非結合検索ベースは、アイデンティティ・システム設定時に選択した検索ベースを補足する検索ベースです。非結合検索ベースを作成して、ユーザー・データの存在する追加のLDAPディレクトリ・ツリーを指定できます。1つのドメインに複数の非結合検索ベースを追加できます。次の手順では、非結合検索ベースを追加および削除する方法について説明します。
非結合検索ベースの管理方法の詳細は、「複数のディレクトリ検索ベースの操作」を参照してください。
アイデンティティ・システム・コンソールで、「システム構成」→「ディレクトリ・プロファイル」をクリックします。
「ディレクトリ・サーバー」リンクをクリックします。
「非結合検索ベース」フィールドに非結合検索ベースを追加し、「保存」をクリックします。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」をクリックします。
左側のナビゲーション・ペインで、「タブ」を選択します。
「タブの構成」ページが表示されます。
タブ・リンクをクリックします。
「変更」をクリックします。
「タブ検索ベース」フィールドに値が含まれていないことを確認します。
必要に応じて変更を保存します。
削除対象の検索ベースを使用しているすべてのディレクトリ・プロファイルを無効化します。
ディレクトリ・プロファイルに構成されている検索ベースは、そのプロファイルの「ネームスペース」フィールドで確認できます。非結合ドメインでは、検索ベースごとに1つのディレクトリ・プロファイルが存在します。詳細は、「LDAPディレクトリ・サーバー・プロファイルの作成」および「複数のディレクトリ検索ベースの操作」を参照してください。
非結合検索ベースのすべてのアクセス制御ポリシーを削除します。
削除済の検索ベースに定義されたポリシーが存在する場合、ノードにその検索ベースを保持するユーザーは、クエリー・ビルダーを使用してその検索ベースを基準とするフィルタを作成できます。
アイデンティティ・システム・コンソールで、「システム構成」→「ディレクトリ・プロファイル」を選択します。
「ディレクトリ・サーバー」リンクをクリックします。
Disjoint_domainフィールドの情報を削除し、「保存」をクリックします。
クエリー・ビルダーにより、検索ベースの設定などのアクティビティを実行する際にLDAPフィルタを記述できます。アイデンティティ・システムでは、問合せのヒット数は20までに制限されています。これは、セレクタとクエリー・ビルダーの両方に適用されます。検索や問合せの結果が20ヒットを超えると、切り捨てられた結果が戻されます。検索の制限を変更する手順の詳細は、『Oracle Access Managerカスタマイズ・ガイド』に記載されているcookieBustLimitパラメータの説明を参照してください。クエリー・ビルダー機能には、「フィルタの作成」ボタンからアクセスします。この機能は、検索ベースの設定時などに使用できます。詳細は、「検索ベースの設定」を参照してください。
注意: 問合せの作成時に「存在する」または「存在しない」演算子を選択すると、フィルタとして存在フィルタが使用されるため、表示タイプに指定された値は考慮されません。 |
これらのグループがパフォーマンスに悪影響を及ぼす場合、大規模な静的グループのデフォルトの処理を変更できます。詳細は、『Oracle Access Managerデプロイメント・ガイド』の「パフォーマンス・チューニング」の章を参照してください。
注意: 大規模な静的グループのデフォルトの処理を変更する場合、親グループにフィルタが設定されていると、大規模な静的グループにネストされているサブグループのメンバーは考慮されません。検索ベースまたはフィルタをサブグループに直接設定して、親グループのデフォルトの評価を変更してください。 |
「ユーザー・マネージャ」アプリケーション・タブをクリックします。
これらはアイデンティティ・システム・アプリケーションです。
「構成」サブタブをクリックします。
「検索ベースの設定」をクリックします。
「検索ベースの設定」ページで、「フィルタの作成」ボタンを見つけてクリックします。
「クエリー・ビルダー」ページが表示されます。デフォルトでは、「Basic」問合せページが表示されます。
「属性」リストで、検索基準として使用する属性を選択します。
たとえば、次のようになります。
Admin
「追加」をクリックします。
属性がフィルタに追加されます。
新規属性の横のリストで、一致方法を選択します。
例:
次以上。
使用可能な一致方法は、属性に応じて異なります。詳細は、「一致を取得するための方法」を参照してください。
一致方法の横のフィールドで、問合せ文字列を選択または入力します。
例: January 22 2003
「追加」をクリックして他の属性を追加します。
属性の左側のリストで、属性間の関係を選択します。
AND: 結果はすべての行の基準に一致します。
OR: 結果はいずれか1つの行の基準に一致します。
たとえば、「管理者」属性を持ち、かつ開始日が2003年1月22日より後の(より大きい)すべてのユーザーを検索できます。
「テスト」をクリックしてフィルタをテストします。
結果が多すぎるか少なすぎる場合は、基準の制限範囲を調整します。
フィルタから属性を削除するには、属性の横の「削除」をクリックします。すべての属性を削除するには、「すべて削除」をクリックします。
「保存」をクリックします。
「保存」をクリックすると、前のページの「フィルタの作成」ボタンの下にフィルタが表示されます。
注意: 保存時に不正なリクエストであるというメッセージが戻された場合、問合せ文字列がブラウザにとって長すぎます。ブラウザではフィルタをURLとして扱うため、問合せ文字列がブラウザの最大URL長を超えるとエラーが発生します。 |
クエリー・ビルダーで選択できる一致方法は、属性の表示タイプに応じて異なります。たとえば、属性の表示タイプとして、リストまたはラジオ・ボタンのセットを使用できます。詳細は、「属性の表示タイプ」を参照してください。クエリー・ビルダーを使用して、リストなどの複数の値を含む表示タイプの属性にフィルタを作成すると、フィルタ基準を満たすのが1つの値のみであっても問合せで一致結果が戻されます。
フィルタを作成する場合、属性の表示タイプがチェック・ボックスまたはラジオ・ボタンである場合にのみ、1つの行で属性の複数の値を選択できます。
表4-4に、クエリー・ビルダーで使用できる一致方法をリストします。
表4-4 クエリー・ビルダーでの一致方法
方法 | 説明 |
---|---|
次と等しい |
結果は指定した値と完全に一致します。 |
次と等しくない |
結果は指定した値を含みません。 |
次以下 |
結果は指定した値以下です。たとえば、フルネームの問合せでkと指定すると、AからKの文字で始まる名前を持つ人々が戻されます。 |
次以上 |
結果は指定した値以上です。たとえば、フルネームの問合せでkと指定すると、KからZの文字で始まる名前を持つ人々が戻されます。 |
次より小さい |
指定した値未満の値を持つすべてのディレクトリ・エントリが戻されます。テキスト文字列をフィルタすると、「次より小さい」では、指定した値よりアルファベット順で前のエントリが戻されます。たとえば、フルネームの問合せでkと指定すると、AからJの文字で始まる名前を持つ人々が戻されます。 |
次より大きい |
指定した値を超える値を持つすべてのディレクトリ・エントリが戻されます。テキスト文字列をフィルタすると、「次より小さい」では、指定した値よりアルファベット順で後のエントリが戻されます。たとえば、フルネームの問合せでkと指定すると、LからZの文字で始まる名前を持つ人々が戻されます。 |
次を含む |
指定した文字列をエントリの値のどこかに含むすべてのディレクトリ・エントリが戻されます。たとえば、stと入力すると、streetやbestなどの値が戻されます。 |
次を含まない |
指定した文字列をエントリの値のどこにも含まないすべてのディレクトリ・エントリが戻されます。 |
存在する |
この属性を含むすべてのディレクトリ・エントリが戻されます。たとえば、「管理者」属性と「存在する」を選択すると、すべての管理者が戻されます。 |
存在しない |
この属性を含まないすべてのディレクトリ・エントリが戻されます。 |
次で始まる |
指定した値で始まるすべてのディレクトリ・エントリが戻されます。 |
次で終わる |
指定した値で終わるすべてのディレクトリ・エントリが戻されます。 |
次で始まらない |
指定した値で始まらないすべてのディレクトリ・エントリが戻されます。 |
次で終わらない |
指定した値で終わらないすべてのディレクトリ・エントリが戻されます。 |
次と類似する |
結果は指定した値の発音に類似します。このオプションは、検索対象オブジェクトのスペルが不確かな場合に使用します。表音綴りを使用してください。たとえば、kieroと指定すると、cairoなどの値が戻されます。このオプションは、Novell Directory Servicesではサポートされません。 |
次に類似しない |
結果には、指定した値の発音に類似しないエントリが表示されます。最適な表音綴りを使用してください。このオプションは、Novell Directory Servicesではサポートされません。 |
フィルタでは、複数の属性を操作し、AND、OR、NOTなどの論理演算子を使用できます。
アイデンティティ・システム・コンソールで、ユーザー・マネージャ・アプリケーションのタブをクリックします。
「構成」サブタブをクリックします。
「検索ベースの設定」をクリックします。
「フィルタの作成」ボタンをクリックします。
「クエリー・ビルダー」ページで、「拡張」タブをクリックします。
「Basic」から「拡張」に切り替えて「OK」を選択すると、現在のフィルタは失われます(表示されているフィルタを維持するには、「取消」をクリックします)。
「拡張」ページが表示されます。
「拡張」タブをクリックしても「拡張」ページが表示されない場合、URLが長すぎる可能性があります。URLの長さは、ブラウザにより決定されます。
「属性の選択」リストで、検索基準として使用する属性を選択します。
対応するリストで一致方法を選択し、対応するテキスト入力フィールドに問合せ文字列を追加します。
詳細は、「クエリー・ビルダーを使用したLDAPフィルタの記述」を参照してください。
「追加」をクリックします。
属性は、「構築されたビジュアル・フィルタ」ボックスに追加されます。
オプションで次の手順を実行できます。
LDAPコマンドを追加するには、「AND」、「OR」、「( )」の各ボタンを使用します。
「構築されたビジュアル・フィルタ」ボックスから属性を削除するには、属性を選択して「削除」をクリックします。すべての属性を削除するには、「すべて削除」をクリックします。
「構築されたビジュアル・フィルタ」ボックスのエントリを変更するには、次の操作を実行します。
エントリを選択します。ページ上部で問合せ特性を変更します。「変更」をクリックします。
「LDAPフィルタの表示」をクリックして作成中のフィルタを表示します。
「LDAPフィルタ」ボックスにLDAP文字列が表示されます。このボックスのテキストを編集して、「ビジュアル・フィルタの更新」をクリックできます。記述可能なLDAPフィルタ・タイプの例は、「静的LDAP検索フィルタ」および「動的LDAP検索フィルタの例」を参照してください。非常に複雑なフィルタを手動で入力した場合、「構築されたビジュアル・フィルタ」ボックスではそのフィルタを正しく解釈できないことがあります。ただし、フィルタは正常に動作します。
「テスト」をクリックして問合せの結果を表示します。
フィルタに準拠した出力がアイデンティティ・システムに表示されます。
「保存」をクリックしてフィルタを保存および適用します。
「保存」のクリック時に不正なリクエストであるというメッセージが戻された場合、問合せ文字列がブラウザにとって長すぎます。ブラウザではフィルタをURLとして扱うため、問合せ文字列がブラウザの最大URL長を超えるとエラーが発生します。
属性に対する権限が構成されるまで、どのユーザーもユーザー・マネージャ、グループ・マネージャおよび組織マネージャに表示される属性を参照できません。たとえば、ユーザー・マネージャですべてのユーザーに従業員の仕事用電話番号を表示する一方で、マネージャにのみ自宅電話番号を表示するよう設定できます。マスター・アイデンティティ管理者または適切な権限を保持する委任管理者の場合、ユーザー権限を構成できます。デフォルトでは、アイデンティティ・サーバーのインストール時に指定されたマスター管理者は、すべての属性に対する完全なアクセス権を保持します。デフォルト設定を変更するには、次の場所のBypassAccessControlForDirAdminパラメータをfalseに設定します。
IdentityServer_install_dir/identity/oblix/apps/common/bin
「属性アクセス制御」機能を使用して、各LDAP属性の値を参照および変更できるユーザーを決定する権限を指定します。また、属性が変更されたときに通知を受けるユーザーまたはグループのリストを作成します。検索ベースを設定した場合と同様に、この機能はLDAP属性にのみ適用されます。テンプレート・オブジェクトに対する権限は、ワークフロー・ステップに参加者を追加するときに構成します。詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。属性を表示するには、ユーザーは定義された検索ベースと読取り権限を保持している必要があります。たとえば、ユーザー・マネージャ、グループ・マネージャまたは「組織マネージャ」タブでクラス属性を表示するには、ユーザーはそのクラス属性に対応する適切な検索ベース・ドメインの受託者であり、その属性の読取り権限を保持している必要があります。
ユーザー・マネージャ、グループ・マネージャまたは組織マネージャで、ページ上部の「構成」をクリックします。
「構成」ページが表示されます。
「属性アクセス制御」をクリックします。
アプリケーションの証明書を信頼するかどうかを尋ねるプロンプトが表示された場合は、「常に信頼」オプションを選択してください。
「属性アクセス制御」ページが表示されます。
「管理ドメイン」ボックスで、この権限を適用するディレクトリ情報ツリー(DIT)の有効範囲を指定します。
初め、このフィールドには製品設定時に定義された検索ベースが表示されます。この検索ベースは、システム設定を再実行した場合にのみ変更できます。ツリーの下位レベルを選択すると、そのブランチにアクセス制御が適用されます。たとえば、「フルネーム」属性を選択し、営業(Sales)などの下位レベルの部門を選択すると、プロファイルにフルネームを含む営業部門のすべての人々にアクセス制御が適用されます。
オプションで、「フィルタ」フィールドを使用してLDAPルールを入力し、オブジェクトと属性をより厳密に指定できます。
フィルタにより、参照または変更可能な属性が絞り込まれます。フィルタを指定しない場合、アイデンティティ・システムではobjectclass=*が使用されます。
注意: フィルタは、データベース設計が特にフラットな形状の場合、または特に大量のブランチが存在する場合に役立ちます。 |
「フィルタの追加」フィールドにフィルタを追加します。構成を保存すると、フィルタが「フィルタ」リストに追加されます。後で別のフィルタを指定する場合は、元の検索ベースを削除して新規構成を作成する必要があります。フィルタの詳細は、「ルールとフィルタの使用方法」を参照してください。
次の権限を指定します。
読取り: 選択されたユーザーは、プロファイル・ページで属性とその値を参照できます。
変更: 選択されたユーザーは、属性値を変更できます。属性値を参照できるように、これらのユーザーには読取り権限が付与されている必要があります。
通知: 属性値が変更されたときに、指定のユーザーに電子メールが送信されます。
たとえば、マネージャに「役職」属性に対する読取り権限と変更権限を付与できます。ユーザー・プロファイルでこの属性値が変更されたときに、人事管理部門に通知が送信されるよう設定できます。自己登録ステップの電子メール事後通知の詳細は、「ステップ・アクションの説明」を参照してください。
「属性」ボックスで、この権限に関連付ける属性を選択します。
複数選択を行う場合は、「複数の属性を選択するためのキー」を参照してください。
注意: 複数選択の範囲内の属性に受託者の異なるセットが含まれる場合、エラーが表示されます。これにより、不注意で不適切な受託者(参加者)にアクセス権を付与することが防止されます。 |
次の1つ以上の項目を対象にこの権限を付与します。
ロール: ユーザーのロールに基づいて権限を割り当てます。「ロール」領域には、データ型がDNで表示タイプが「オブジェクト・セレクタ」であるすべての属性が表示されます。アイデンティティ・システムには、「自己」および「匿名」ロールが付属しています。各アプリケーションには、構成済の属性に大きく依存する様々なロールが含まれます。たとえば、ユーザー・マネージャの構成によっては、「マネージャ」ロールが含まれる一方で、秘書属性に基づくロールは含まれない可能性があります。共通ロールは、次のとおりです。
ロール | 説明 |
---|---|
すべてのユーザー | ユーザー・マネージャ、グループ・マネージャまたは組織マネージャにログインしているすべてのユーザーは、選択されたレベルの属性を参照または変更できます。たとえば、すべてのログイン・ユーザーは、ディレクトリの指定されたレベルの電話番号属性を参照できます。 |
匿名 | すべてのユーザーは、ログインしているかどうかにかかわらずエントリを参照できます。匿名アクセスは、自己登録でのみ使用されます。 |
自己 | ユーザー・マネージャ・アプリケーションにログインしているユーザーは、自分自身のアイデンティティに関する属性を参照または変更できます(属性に対する読取りおよび書込み権限が、そのユーザーのプロファイルを含む程度にディレクトリ・ツリー内で十分である場合)。たとえば、「自己」を選択して最上位レベルの「名前」属性を参照できる場合、ユーザー・マネージャ、グループ・マネージャまたは組織マネージャにログインしているユーザーは、自分の名前を参照できます。ただし、ディレクトリ・ツリーのレベルとしてou=Marketingを指定した場合、マーケティング(Marketing)部門に属していないユーザーは、自分の名前を参照できません。 |
マネージャ | ユーザー・マネージャ・アプリケーションにログインしているユーザーは、自分の直属の部下に関する属性を参照または変更できます。 |
秘書 | ユーザー・マネージャにログインしているユーザーが補佐スタッフの場合、そのユーザーは、自分がサポートしている人々に関する属性を参照または変更できます。 |
グループの所有者 | グループ・マネージャにログインしているユーザーは、自分が所有しているグループに関する属性を参照または変更できます。 |
グループ管理者 | グループ・マネージャにログインしているユーザーは、自分が管理しているグループに関する属性を参照または変更できます。 |
グループ・メンバー | グループ・マネージャにログインしているユーザーは、自分が所属しているグループに関する属性を参照または変更できます。 |
ルール: 「フィルタの作成」をクリックし、クエリー・ビルダーを使用してルールを作成します。詳細は、「クエリー・ビルダーを使用したLDAPフィルタの記述」を参照してください。
人々: 「ユーザーの選択」をクリックし、セレクタを使用して1人以上のユーザーを指定します。
グループ: 「グループの選択」をクリックしてセレクタを使用し、1つ以上のグループを指定します。権限の評価順序の詳細は、「LDAP属性権限の評価」を参照してください。
ある属性から別の属性にユーザーやグループをコピーするには、「コピー」のクリック、「リセット」のクリック、新規属性の選択、「貼付け」のクリックの順に操作を実行します。
次のいずれかのボタンをクリックします。
保存: 変更を保存および実装します。
リセット: すべての選択を消去します。
削除: すべてのルール、ロール、グループおよびユーザーの指定を消去します。
レポート: 属性と、ドメイン内でのその属性のアクセス権に関するレポートを生成します。
次のキーを組み合せて使用すると、複数の属性に対するアクセス制御を同時に構成できます。
[Ctrl] + [Home]: ハイライト表示されている属性と、それより上のすべての属性が選択されます。
[Ctrl] + [End]: ハイライト表示されている属性と、それより下のすべての属性が選択されます。
[Ctrl] + [Page Up]: ハイライト表示されている属性より上の属性のみが選択されます。
[Ctrl] + [Page Down]: ハイライト表示されている属性より下の属性のみが選択されます。
注意: 複数選択の範囲内の属性に受託者(参加者)の異なるセットが含まれる場合、エラーが戻されます。これにより、不適切な受託者にアクセス権を付与することが防止されます。 |
プラットフォーム固有のキーの組合せは、次のとおりです。
ブラウザ・タイプ | 機能 |
---|---|
Windowsブラウザ |
|
UNIXブラウザ |
|
権限を表示および変更するための複数の方法が割り当てられている場合、アイデンティティ・システムでは、それらの方法が次の順序で評価されます。
ユーザー
ロール
グループ
ルール(LDAPフィルタ)
アイデンティティ・システムは、一致を検出した時点でチェックを終了します。たとえば、User=Lou Reedに「名前」属性に対する読取り権限を付与する一方で、Lou Reed以外のすべてのユーザーを許可する(&(!(cn=Lou Reed)) objectclass=person object class)というルールを指定するとします。この場合、Lou Reedは、評価順序でルールより先にユーザーとして評価されるため、アクセス権を付与されます。別の例として、人事管理部門へのアクセスを拒否するルールを指定する一方で、ユーザー・セレクタを使用して人事管理部門の個々の従業員を指定する場合では、ルールおよびユーザー・カテゴリの組合せにより、指定した従業員にアクセス権が付与されます。
注意: 「すべてのユーザー」ロールを選択した場合、すべてのユーザー、ロール、グループおよびフィルタは上書きされます。 |
次の各項では、アプリケーション構成の様々な例について説明します。ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ用の個別の例を示します。
ユーザー・プロファイルのヘッダー・パネルに写真を表示できます。関連する属性に対するセルフサービス権限を保持するユーザーは、自分の写真を管理できます。
アイデンティティ・システムに写真を格納する場合、次の2つの方法があります。
LDAPディレクトリを使用します。
ファイル・システム内の写真を参照します。
両方の方法を使用することはできません。ディレクトリまたはファイル・システムのいずれかにすべての写真を格納する必要があります。
写真またはその他のイメージをディレクトリに格納する場合、まずアイデンティティ・サーバーに写真を配置します。次に、アイデンティティ・システムを使用して、それらの写真をディレクトリにインポートし、属性を写真属性として構成します。独自の属性を作成するか、既存の属性を使用することが可能です。ディレクトリでは、属性をバイナリ型として定義する必要があります。また、アイデンティティ・システムでは、属性を「GIFイメージ」表示タイプの「写真」セマンティク型として定義する必要があります。「GIFイメージ」表示タイプは、GIF形式とJPEG形式に対応しており、Webサーバーでサポートされるその他のイメージ・ファイル形式にも対応しています。ユーザーのアイデンティティに写真を関連付ける前に、写真のファイル名が「ログイン」セマンティク型の属性の値に基づいていることを確認します。たとえば、「ログイン」セマンティク型がuid属性に割り当てられている場合、次のファイル名表記規則を使用します。
attribute_value_of_uid.giforattribute_value_of_uid.jpgorattribute_value_of_uid.jpeg
「ログイン」セマンティク型がuid以外の属性に割り当てられている場合、かわりにその属性をファイル名に使用します。たとえば、「ログイン」セマンティク型が電子メール属性に割り当てられている場合、写真のファイル名は次のように指定する必要があります。
attribute_value_of_mail.giforattribute_value_of_mail.jpgorattribute_value_of_mail.jpeg
ファイル拡張子は、Webサーバーでサポートされる画像ファイル形式に準拠します。
アイデンティティ・システムで写真やイメージをインポートすると、ファイルはBase64形式に変換されます。このデータは、「写真」属性の値となります。アイデンティティ・システムでは、「ログイン」属性と、写真またはイメージ・ファイルの名前を使用して、各ユーザー・エントリに関連付けられた写真を特定します。次の手順では、アイデンティティ・システムを構成して写真を使用する方法について説明します。
アイデンティティ・システム・コンソールで、「共通構成」をクリックし、次に「オブジェクト・クラス」をクリックします。
リストからPersonオブジェクト・クラスを選択します。
「属性の変更」をクリックします。
「写真」属性を次のように変更します。
属性: 写真
表示名: 写真
セマンティク型: 写真
データ型: バイナリ
属性値: 常に単一値属性
表示タイプ: GIFイメージ
変更を保存します。
ユーザー・マネージャの「属性アクセス制御」で、この属性に対する読取り権限と書込み権限を割り当てます。
アイデンティティ・システム・コンソールで、「システム構成」をクリックし、次に「写真」をクリックします。
アイデンティティ・サーバーに格納されている写真へのパスを指定します。
「保存」をクリックします。
これで、すべてのGIFイメージとJPEGイメージがディレクトリにインポートされます。
ユーザー・アイデンティティ用のイメージおよび写真を格納するもう1つの方法は、写真をディレクトリとは別の場所に格納することです。この方法は、GIFイメージとJPEGイメージに適しており、Webサーバーでサポートされるその他のイメージ・ファイル形式にも対応しています。ファイルの格納場所には、アイデンティティ・サーバーのWebPassでアクセスできる必要があります。写真またはイメージ・ファイルの名前には、Webサーバーで認識およびサポートされる有効なファイル名を使用します。ファイル名に空白などの特殊文字を使用することは避けてください。特殊文字を使用したファイル名は、Webサーバーで認識されない可能性があります。
アイデンティティ・システム・コンソールで、「共通構成」→「オブジェクト・クラス」をクリックします。
「オブジェクト・クラス」リストで、Personオブジェクト・クラスをクリックします。
「属性の変更」をクリックします。
写真パス属性を次のように変更します。
属性: 写真パス
表示名: 写真
セマンティク型: 写真
データ型: 文字列(大/小文字を区別)
属性値: 単一値または複数値
表示タイプ: GIFイメージURL
この属性に対する読取り権限と書込み権限を割り当てます。
次のディレクトリにGIFまたはJPEG形式でイメージを格納します。
WebPass_install_dir/identity/oblix/lan/langTag/style0
ここで、WebPass_install_dirはWebパスがインストールされているディレクトリであり、langTagは使用中の特定の言語が含まれるフォルダです。
各ユーザーの「ユーザー・プロファイル」ページで写真の場所のURLを入力します。
たとえば、イメージが次の場所にある場合:
c:\COREid\WebComponent\identity\oblix\apps\lang\en-us\style0\user1.gif
写真の場所として次のように設定します。
user1.gif
写真のURL属性に複数値を設定すると、複数のGIFイメージを表示できます。
アイデンティティ・システムでは、デフォルトで組織マネージャに「ロケーション」タブが含まれます。このタブにより、マップを作成し、ユーザーやオブジェクトをそれらのマップ上のロケーションに関連付けることができます。
マスター・アイデンティティ管理者は、「ロケーション」タブを変更し、ユーザー・マネージャおよび組織マネージャ・アプリケーションのプロファイル・ページにロケーション属性を追加します。
マスター・アイデンティティ管理者は、ロケーション属性のアクセス制御を構成します。
マスター・アイデンティティ管理者または委任アイデンティティ管理者は、ロケーションを作成するためのワークフローを構成します。詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。
委任アイデンティティ管理者は、新規ロケーションを作成し、必要に応じて他のロケーションに関連付けられたロケーション階層を確立します。
委任アイデンティティ管理者またはユーザーは、ユーザー・プロファイルまたはオブジェクト・プロファイルにロケーション属性の値を割り当てます。
これで、適切な権限を保持するユーザーは、ユーザーまたはオブジェクトのロケーションを参照できます。
グループの作成ワークフローを定義するときに、グループを作成する権限をユーザーに割り当てます。グループを作成できるのは、ワークフローの参加者として指定されたユーザーのみです。ワークフローの作成方法の詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。ユーザーにグループ・タイプを変更する権限を付与できるのは、ユーザーがそのグループ・タイプに対応するグループの作成ワークフローの参加者である場合です。また、ユーザーは、そのグループ・タイプ属性に対する書込み権限も保持している必要があります。グループ・タイプの詳細は、「「グループ・マネージャ」タブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加」を参照してください。グループ・タイプ属性の変更権限を割り当てる方法の詳細は、「LDAP属性権限の設定と変更」を参照してください。複数のActive Directoryインスタンスでアイデンティティ・システムを実行し、動的フィルタを使用してグループを作成する場合、フィルタ属性は複数値属性である必要があります。
NDSディレクトリでアイデンティティ・システムを実行している場合に「保存」をクリックすると、グループのメンバーとして選択したユーザーがページから消去されます。この状況を回避するには、NDSディレクトリに移動し、uniquememberが最初に読み取られるよう属性の順序を変更します。また、userCertificate属性がNDSのuserCertificate;binary属性より前に出現していることを確認します。
Oracle Access Managerをインストールする前にディレクトリにグループが含まれていた場合、以前から存在していたグループは自動的にはグループ・サブスクリプションをサポートしません。次のタスク概要に、ディレクトリ内のレガシー・グループを構成する一般的な手順を示します。
タスクの概要: レガシー・グループがサブスクリプションをサポートするようにするための構成
oblixadvancedgroup補助クラスを、グループ・マネージャ・タブのGroup構造化クラスに関連付けます。
詳細は、「「グループ・マネージャ」タブへの補助オブジェクト・クラスおよびテンプレート・オブジェクト・クラスの追加」を参照してください。
これにより、対応するグループの作成ワークフローを構成すれば、新規グループでサブスクリプション・ポリシーを使用できます。
ディレクトリ検索を実行して、oblixadvancedgroup補助オブジェクト・クラスをまだ含まないすべての既存のグループのDNを取得します。
これらのDNを含むLDIFファイルを作成します。
oblixadvancedgroup補助クラスをLDIFファイルのエントリに追加します。
LDIFファイルで、次のいずれかの値を属性obGroupSubscriptionTypeに割り当てます。
SubscriptionPolicyOpen: ユーザー・インタフェースの「オープン」オプションに一致します。
SubscriptionPolicyOpenFilter: ユーザー・インタフェースの「次を使用してオープン」フィルタに一致します。
SubscriptionPolicyControlledWorkflow: ユーザー・インタフェースの「ワークフロー経由で制御」に一致します。
SubscriptionPolicyClosed: ユーザー・インタフェースの「クローズ済」に一致します。
サブスクリプション・ポリシーの詳細は、「新規ワークフロー定義の開始」の表5-8を参照してください。
LDIFファイルをアップロードします。
これで、ディレクトリ内のすべてのグループで、構成済のサブスクリプション・ポリシーを使用できます。
次の各項では、エンド・ユーザーが構成後のグループ・マネージャ・アプリケーションとどのようにやり取りするかについて説明します。
Oracle Access Managerでユーザー・アイデンティティを作成した後、ユーザー・マネージャでユーザー・プロファイルを変更できます。ユーザーは、ログインして自分のプロファイルの詳細を表示できます。ユーザーのアカウントに属性の書込み権限が付与されている場合は、その値を編集できます。管理者または委任管理者は、管理者の書込み権限の範囲内で、別のユーザーのプロファイルを変更できます。
ユーザー・プロファイルの「変更」ボタンをクリックすると、編集可能な各属性のフィールドが表示され、新しい情報を入力できます。値の追加または値の削除が許可される場合は、フィールドの横に+記号および-記号がそれぞれ表示されます。
次の各項に、ユーザー・アイデンティティ・プロファイルの変更に関する追加の情報を示します。
管理者は、ユーザー・プロファイルのログイン属性として任意の属性を選択できます。たとえば、属性名を「ログイン」、「ログインID」またはその他の属性にすることができます。ユーザー・プロファイルのログイン属性の値は変更可能です。ただし、複数のフィールドおよび値がログイン属性用に定義されている場合は、最初の値のみがログイン時に使用されます。
注意: ログイン属性に別のフィールドを追加し、そこに値を入力した場合は、ユーザー・ログイン時に最初の値のみが受け入れられます。ユーザーは両方の値を同時に入力することはできず、2番目のログイン属性値を要求するプロンプトも表示されません。 |
ユーザー・プロファイルの変更の詳細は、「ユーザー・アイデンティティ・プロファイルの属性値の変更」を参照してください。
パスワード・ポリシーは、特定のパスワード・ポリシー・ドメインを使用して作成します。作成したパスワード・ポリシーを適用すると、そのドメイン内のすべてのユーザーに対して使用されます。そのため、ユーザーによってパスワード・ポリシーが異なる場合が生じます。パスワード・ポリシーには、ロスト・パスワード・ポリシー、リダイレクトURLおよびスタイルシートを含めることができます。
ロスト・パスワード管理は、単一または複数のチャレンジ・レスポンス・システムとして構成できます。管理者は、ロスト・パスワード管理用に任意のPersonオブジェクト・クラス属性を指定できます。1つはユーザーに表示されるチャレンジ用、もう1つはチャレンジに対してユーザーが提供するレスポンス用です。
複数のチャレンジ・フレーズを構成する場合、それらのフレーズは、チャレンジ属性用のユーザー・ディレクトリ・エントリに単一値として(エンコードされた形式で)格納されます。複数のチャレンジおよびレスポンスがロスト・パスワード管理ポリシーに含まれている場合、レスポンス用に入力された値は単一値としてレスポンス属性用のユーザー・ディレクトリ・エントリに(エンコードおよび暗号化された形式で)格納されます。
ユーザーは、関連する属性に独自の読取りまたは書込み権限がない場合でも、ログイン中にチャレンジを構成できます。プロファイル・ページのチャレンジとレスポンスを表示および変更する場合、ユーザーおよび管理者は、チャレンジ属性とレスポンス属性に対する読取り権限と変更権限を保持する必要があります。
ユーザー・アイデンティティ・プロファイルを表示および変更するために必要な権限を保持する場合は、「ユーザー・プロファイル」ページに次のフィールドが表示されます。
チャレンジ属性: チャレンジ属性用の1つのフィールド。複数の質問が含まれる場合があります。
プロファイルを表示すると、レスポンスが未定義でもチャレンジの値が表示されます。「変更」ボタンをクリックすると、チャレンジの値が表示され、変更可能になります。
レスポンス属性: 古いレスポンス用の1つのフィールド(レスポンスが存在し、自分のプロファイルを編集する場合)、および新しいレスポンス用の2つのフィールド(1つは新しいレスポンスの入力、もう1つは新しいレスポンスの再入力に使用)。
プロファイルには、ロスト・パスワード・ポリシーで「構成する最小チャレンジ」
に対して指定した値と同じ数だけ、チャレンジとレスポンスのペアが必要です。たとえば、「構成する最小チャレンジ」
の値を3
に設定した場合は、チャレンジとレスポンスの属性の3つのペアをプロファイルに含める必要があります。レスポンス・フィールドごとに、1つのチャレンジ質問に対する1つのレスポンスのみが許可されます(複数のチャレンジ質問が定義されている場合も同様)。
+または-: この場合はチャレンジ・フレーズとレスポンス・フレーズの追加や削除を行えないため、チャレンジおよびレスポンスのフィールドの横に+記号および-記号は表示されません。
図4-1は、ロスト・パスワード・ポリシーで複数のチャレンジが構成され、複数のチャレンジ質問が定義されている場合の変更操作を示しています。各レスポンスについて、対応するチャレンジ・フィールドには、レスポンスが適用される単一の質問を含める必要があります。この例では、2つの質問のレスポンスが入力されています。各チャレンジ質問へのレスポンスは、任意の順序で入力できます。
「構成する最小チャレンジ」
が2以上に設定されており、複数のチャレンジ質問が定義されている場合、「チャレンジ」の各ボックスにすべての質問が表示されます。レスポンスを入力する前に、「チャレンジ」フィールドに1つの質問を入力する必要があります。その後、対応する「レスポンス」フィールドに質問のレスポンスを入力し、再入力します。各チャレンジ質問には一意のレスポンスを入力する必要があります。同じチャレンジ質問に2回以上レスポンスを入力しないでください。
注意: この説明は、「チャレンジ・フレーズ・ソース」が「事前定義」であるとみなしています。ただし、これ以外にも「ユーザー」および「ユーザー + 事前定義」のチャレンジ・フレーズ・ソースがあります。 |
ユーザーが自分のプロファイルを編集する際、レスポンスが存在する場合は古いレスポンス・フィールドが表示されます。ユーザーはこのフィールドに入力する必要があります。管理者がログインして別のユーザーのプロファイルに編集する場合には、古いレスポンス・フィールドは表示されません。管理者は、古い値を知らなくても別のユーザーのプロファイルでレスポンスを編集できます。ただし、自分のプロファイルを編集する際には、古いレスポンスの値を指定する必要があります。
チャレンジ属性とレスポンス属性の値の入力や変更は、同時に行う必要はありません。たとえば、委任管理者がユーザーのチャレンジ質問を設定する一方で、レスポンスを設定しないことも可能です。
ユーザー・プロファイルの変更の詳細は、「ユーザー・アイデンティティ・プロファイルの属性値の変更」を参照してください。属性の変更ワークフローを使用して、ユーザーが各自のプロファイル情報を変更できるようにすることも可能です。
次の手順は、ユーザー・アイデンティティ・プロファイルで属性の値を変更する方法を示しています。
ユーザー・プロファイルの詳細を変更する手順
アイデンティティ・システム・コンソールのURLを入力して、次のようにログインします。
ユーザー(または管理者)が自分のプロファイルを変更する場合: 個人のログインIDおよびパスワードを入力します。
管理者が別のプロファイルを変更する場合: 管理者のログインIDおよびパスワードを入力します。
「ユーザー・マネージャ」タブをクリックします。
変更するプロファイルを次の方法で探します。
ユーザー(または管理者)が自分のプロファイルを変更する場合: 「プロファイル」タブをクリックして、「ユーザー・プロファイル」ページおよび表示権限がある属性を表示します。
管理者が別のプロファイルを変更する場合: 次の手順で目的のプロファイルを表示します。
ユーザーの検索基準を入力し、「実行」をクリックします。
「検索結果」表で目的のユーザー名をクリックします。
「ユーザー・プロファイル」ページで「変更」ボタンをクリックし、変更権限がある編集可能な属性を表示します。
ログインID: ログイン属性のフィールド内の値は変更できますが、別のフィールドや値を追加することはできません。ログイン時には追加の値は入力できないうえ、受け入れられないためです。
LPMチャレンジ: 状況に応じて次の手順を行います。
チャレンジ・フレーズが存在しない場合: フィールドに新しいチャレンジ・フレーズを入力します。
複数のチャレンジ・フレーズが存在する場合: レスポンスの追加または変更を行うフレーズを入力します。
単一のチャレンジ・フレーズが存在する場合: そのフレーズを必要に応じて変更します。
LPMレスポンス: 状況に応じて次の手順を行います。
古いレスポンス: このフィールドが使用可能な場合は、古いレスポンス・フレーズを入力します。
新規レスポンス: 新しいレスポンス・フレーズを入力します。
レスポンスの再入力: 確認のために、新しいレスポンス・フレーズを再入力します。
その他の属性は通常どおりに編集できます。
作業が終了したら「保存」をクリックします(変更を保存せずに終了する場合は「取消」をクリックします)。
グループ・メンバーは、「グループ・プロファイル」ページで参照および管理できます(マスター・アイデンティティ管理者がグループ・メンバー属性を選択して「グループ・プロファイル」ページに表示している場合)。詳細は、「タブのプロファイル・ページおよびパネルの構成」を参照してください。グループに大規模なメンバー・リストが含まれると、システム・パフォーマンスに悪影響を及ぼす可能性があります。マスター・アイデンティティ管理者は、「グループ・プロファイル」ページにグループ・メンバーを表示しないよう選択できます。「「グループ・マネージャ」タブのオプションの構成」を参照してください。
これらのグループがパフォーマンスに悪影響を及ぼす場合、大規模な静的グループの処理をチューニングできます。詳細は、『Oracle Access Managerデプロイメント・ガイド』の「パフォーマンス・チューニング」の章を参照してください。
グループ・メンバーは、「グループ・メンバーの管理」ページで参照および管理できます。大規模な静的グループを管理する場合は、「グループ・メンバーの管理」ページを使用することをお薦めします。このページは、1000以上のメンバーを含むグループの管理用に最適化されているためです。これにより、「グループ・プロファイル」ページの一部としてメンバー・セマンティク属性を定義する場合とは対照的に、大規模グループを管理する際のパフォーマンスが大幅に向上します。
「グループ・メンバーの管理」ページでは、指定した基準に従ってグループのメンバーを参照できます。このページには、次の各表が含まれます。
静的メンバー
動的メンバー
ネストされたメンバー
検索結果は、グループ・マネージャおよびユーザー・マネージャ・アプリケーションに構成されている検索ベースと属性アクセス制御に応じて変化します。詳細は、「LDAP属性権限の設定と変更」を参照してください。ユーザーがグループの動的メンバー属性に対する読取り権限を保持していない場合、動的メンバー表には何も表示されず、「動的メンバーに対する読取り権限がありません」というエラー・メッセージが表示されます。ネストされたメンバー表では、グループ内にネストされた動的グループが含まれる場合に、ユーザーがネストされた一部のグループの動的メンバー属性に対する読取り権限を保持していないと、動的メンバーは表示されません。この場合、エラー・メッセージは表示されません。
注意: 大規模な静的グループを検索すると、このグループのサブグループが検索から省略される可能性があります。管理者はパフォーマンス上の理由から、この動作が発生するグループの処理をチューニングできます。サブグループに対するユーザーの場合、サブグループのプロファイル・ページに移動し、ユーザーを検索してください。 |
アイデンティティ・システム・コンソールで、「グループ・マネージャ」タブをクリックします。
ページ上部の「検索」フィールドに検索基準を入力します。
「実行」をクリックします。
グループのリストが表示されます。
表示するグループ名のリンクをクリックします。
グループ・マネージャで、「グループ」をクリックします。
グループ検索を実行し、適切なリンクをクリックします。
グループ・プロファイルが表示されます。
「グループ・メンバーの管理」をクリックします。
このグループで検索するメンバー・タイプを次のように選択します。
ユーザーを検索するには、「人々」を選択します。検索結果には、静的ユーザー、ネストされたユーザー、および動的ユーザーが含まれます。
グループを検索するには、「グループ」を選択します。検索結果には、静的グループおよびグループ・マネージャで管理するように構成されたその他のエンティティが含まれます。
「次の基準でメンバーを検索します」リストで、検索の基準とする属性を選択します。
検索演算子を選択します。
検索基準を入力します。
「実行」をクリックします。
デフォルトでは、「グループ・メンバーの管理」ページに、ネストされたグループとそのメンバーが検索結果として表示されます。これには、ネストされた子グループ、そのメンバー、およびその子が含まれます。グループが非常に大きくパフォーマンスのチューニングが必要な場合、管理者はこのページの表示内容を変更できます。
検索結果に表示されるグループ・メンバーは、「グループ・メンバーの管理」ページで削除できます。削除できるのは、静的メンバーのみです。動的メンバーやネストされたメンバーは削除できません。
「グループ・メンバーの管理」ページでグループ・メンバーを検索します。
「グループ・メンバーの検索」を参照してください。
検索で戻された結果内で、削除するエントリの横にあるチェック・ボックスをクリックします。
「グループ・メンバーの管理」ページの「保存」をクリックします。
グループにメンバーを追加できます。
「グループ・メンバーの管理」ページに移動します(「グループ・メンバーの検索」を参照してください)。
「グループ・メンバーの管理」ページで、「追加するメンバー」フィールドの横の「メンバーの選択」ボタンをクリックします。
「セレクタ」ページが表示されます。詳細は、「セレクタ」を参照してください。
「セレクタ」ページで、次の操作を実行します。
このグループにユーザーを追加する場合、個人メンバー・タイプを選択します。
このグループにネストされたグループを追加する場合、グループ・メンバー・タイプを選択します。
追加するメンバーごとに「追加」をクリックします。
「完了」をクリックします。
「グループ・メンバーの管理」ページの「保存」をクリックします。
グループ・マネージャでは、グループを対象としたサブスクライブとサブスクライブ解除が可能です。
ユーザーのグループへの追加には、サブスクリプション・ポリシーは必要ありません。たとえば、事前に存在するグループがあり、ユーザーをこのグループに追加する場合、uniquemember属性に関連するアクセス制御ポリシーを設定し、セレクタを使用してメンバーを追加します。ただし、ユーザーがグループに自分でサブスクライブするには、サブスクリプション機能を使用してこれを実装します。サブスクリプション・ポリシーを含むことができるのは、拡張グループとして構成されたグループのみです。グループ操作に必要とされる属性を提供するため、アイデンティティ・システムにはoblixAdvancedGroupが付属しています。表4-5に、oblixAdvancedGroupの内容を示します。
属性 | 特性 |
---|---|
obGroupAdministrator |
表示名: グループ管理者 セマンティク型: グループ管理者 表示タイプ: オブジェクト・セレクタ |
obGroupDynamicFilter |
表示名: 動的フィルタ セマンティク型: グループ動的メンバー 表示タイプ: フィルタ・ビルダー |
obGroupExpandedDynamic |
表示名: グループ拡張 セマンティク型: なし 表示タイプ: ラジオ・ボタン コメント: この属性は、拡張動的グループに使用されます。 |
obGroupPureDynamic |
表示名: 動的メンバーのみ セマンティク型: なし 表示タイプ: ラジオ・ボタン コメント: この属性は、グループが完全な動的グループであるかどうかを示します。これは、サブスクリプションに関連します。 |
obGroupSimplifiedAccess Control |
表示名: グループ・アクセス セマンティク型: なし 表示タイプ: ラジオ・ボタン コメント: この属性は、グループ・ワークフローの作成に使用されます。これにより、簡易アクセス制御機能が管理されます。 |
obGroupSubscribeMessage |
表示名: サブスクリプション・メッセージ セマンティク型: なし 表示タイプ: 複数行テキスト コメント: この属性は、サブスクリプション通知に使用されます。 |
obGroupSubscribe Notification |
表示名: 通知 セマンティク型: なし 表示タイプ: チェック・ボックス コメント: この属性は、サブスクリプション通知に使用されます。 |
obGroupSubscriptionFilter |
表示名: サブスクリプション・フィルタ セマンティク型: なし 表示タイプ: フィルタ・ビルダー コメント: この属性は、フィルタを使用したグループ・サブスクリプションに使用されます。 |
obGroupSubscriptionType |
表示名: サブスクリプション・ポリシー セマンティク型: なし 表示タイプ: 選択メニュー コメント: この属性は、グループ・サブスクリプションに使用されます。 |
obGroupUnsubscribe Message |
表示名: メッセージのサブスクライブ解除 セマンティク型: なし 表示タイプ: 複数行テキスト |
ユーザーがグループにサブスクライブするには、次の3つの方法があります(マスター・アイデンティティ管理者がそのグループのグループ・サブスクリプション・ポリシーを構成している場合)。
グループ・マネージャの「グループ・プロファイル」ページ
ユーザーは、プロファイルに表示されている選択されたグループにサブスクライブできます。
ユーザーの作成ワークフローの最後のステップ
ユーザーは、ユーザーの作成ワークフローの最後のステップで複数のグループにサブスクライブできます。詳細は、「アイデンティティ機能とワークフローの連携」を参照してください。
グループ・マネージャの「サブスクリプションの管理」ページ
ユーザーは、「サブスクリプションの管理」ページで複数のグループにサブスクライブできます。
アイデンティティ・システム・コンソールで、「グループ・マネージャ」タブをクリックします。
検索バーを使用してグループ検索を実行します。
サブスクライブするグループのリンクをクリックします。
「登録」をクリックします。
グループ・マネージャ・アプリケーションで、「サブスクリプションの管理」をクリックします。
検索バーを使用してグループ検索を実行します。
「サブスクリプション対象グループ」ページで、サブスクライブする各グループの横のボックスを選択します。
「サブスクリプションの管理」ページの下部にある「サブスクリプションの保存」をクリックします。
サブスクライブ済のグループのリストが表示されます。内容は次のとおりです。
オープン・サブスクリプション・ポリシーが存在するすべてのグループ。
フィルタ・サブスクリプション・ポリシーが存在し、そのフィルタ基準がユーザーにより満たされているすべてのグループ。
ワークフロー・サブスクリプション・ポリシーを通じて制御されるすべてのグループ(ユーザーがこれらのグループに適用される属性変更ワークフローの開始ステップの参加者である場合)。
各アイデンティティ・アプリケーションで実行されたユーザー・アクションに関する情報を取得できます。取得された情報は、アイデンティティ・システム・イベントの監査として格納されます。監査ポリシーは、アプリケーションごとに構成します。これらの設定により、監査ファイルに取得されるデータが決定されます。アイデンティティ・サーバーごとに監査ファイルの出力場所を構成します。監査ファイルのパスを変更する方法の詳細は、「アイデンティティ・サーバーの管理」を参照してください。
監査ポリシーは、各アイデンティティ・システム・アプリケーションで表示できます。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」をクリックし、次に「監査ポリシー」をクリックします。
次の情報を含む「アプリケーション監査ポリシーの構成」ページが表示されます。
項目 | 説明 |
---|---|
プロファイル属性 | このアプリケーションにプロファイル属性が構成されている場合にのみ表示されます。 |
イベント名 | 監査対象のアイデンティティ・システム操作です。 |
アプリケーション監査有効 | このイベントの監査を有効化するかどうかを示します。 |
監査成功 | イベントの成功を監査するかどうかを示します。 |
監査失敗 | イベントの失敗を監査するかどうかを示します。 |
適切な権限を保持している場合、表示可能な監査ポリシーを変更できます。これらの設定は、アイデンティティ・システム・コンソールの「共通構成」の「グローバル監査ポリシー」に含まれる「グローバル監査ポリシー」とは重複しません。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「組織マネージャ構成」→「監査ポリシー」をクリックします。
「変更」をクリックします。
「アプリケーション監査ポリシーの変更」ページが表示されます。
「プロファイル属性」リストで、監査対象のイベントを起動する可能性のある属性を選択します。
「アプリケーション監査有効」列で、監査を有効化する各イベントを選択します。
「監査成功」列と「監査失敗」列で、監査する各イベントを選択します。
たとえば、すべての「ロケーションの変更」イベントを監査すると同時に、「プロファイルの表示」イベントの失敗のみを監査できます。
「保存」をクリックします。
前のページに戻ります。
レポートを使用すると、オブジェクト・クラスに関する情報を表示できます。レポートは、検索のかわりに使用できる方法であり、検索で表示されない属性を出力できます。
マスター・アイデンティティ管理者は、ユーザーがユーザー・マネージャ・アプリケーションでレポートを表示できるように、アイデンティティ・システム・コンソールでレポートを定義する必要があります。たとえば、「タブ構成情報の表示と変更」の手順に従ってユーザー・マネージャで「従業員」タブを構成すると、特定の建物内の従業員、特定の役職名の従業員、または特定の部門に属する従業員のリストを含むレポートを作成できます。
レポート機能では、クエリー・ビルダーを使用して、基本検索では使用できない複雑な検索基準を定義できます。これにより、基本検索では対応できない様々なタイプの属性を詳細に指定して検索できます。レポートには、次の2つのタイプがあります。
非定型レポート: エンド・ユーザーによってユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションで作成されます。この場合、クエリー・ビルダーには、タブで構成されている検索可能属性と、サポートされるその他の表示タイプが含まれます(次の「注意」を参照してください)。
事前定義レポート: 管理者によってシステム・コンソールで作成されます。この場合、クエリー・ビルダーには、(タブで検索可能であるとマークされているかどうかにかかわらず)サポートされるすべての表示タイプのすべての属性が含まれます。
注意: クエリー・ビルダーでは、単一行テキスト、複数行テキスト、ラジオ・ボタン、選択リスト、チェック・ボックス、ブール、日付、メール・アドレス、電話番号、セレクタ、住所および数値文字列に対応する表示タイプを備えた属性を対象にフィルタを作成できます。 |
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」→「レポート」→「レポートのリスト表示」をクリックします。
レポートを最初に作成する場合、次のページが表示されます。
「追加」をクリックして「レポートの構成」ページにクイック・ビルダーを表示します。
レポート基準に従って最初の属性を選択し、「追加」をクリックします。
属性の横のフィールドで、適切な方法を選択します。
レポート基準を入力します。
この基準の形式は、属性の表示タイプに応じて変化します。
このレポートに別の属性を追加する場合は、手順3〜6を繰り返します。
注意: レポートで複数の属性を選択する場合、AND演算子とOR演算子のいずれかを選択する必要があります。この手順のサンプル・ページを参照してください。 |
「テスト」をクリックし、レポートでデータが正しく生成されるかどうかを検証します。
検証ページが表示されます。
「保存」をクリックします。
次のようなページが表示されます。いくつかのボタンが使用可能となります(次のスクリーン・ショットでハイライト表示されています)。これらのボタンは、次の手順で使用します。
「次へ」をクリックして追加のレポート結果を表示するか、「公開」をクリックしてレポートを保存します。
「レポート」ページで、「カスタマイズ」をクリックしてレポートの列ヘッダーをカスタマイズします。
表示されるフォームで列名をカスタマイズし、「保存」をクリックします。
「公開」ボタンをクリックします。
このレポートの名前とオプションの説明を入力します。
「保存」をクリックして、このレポートをユーザー・マネージャ・アプリケーションの「レポート」タブで使用できるようにします。
レポートの表示は、アクセス制御と検索ベースの設定に準拠します。
適切な言語パックをインストールしており、各言語の構成を完了している場合、レポートの名前や説明を複数の言語で表示できます。詳細は、「Oracle Access Managerでの複数の言語の構成」を参照してください。
生成されたレポートをアイデンティティ・システム・アプリケーションでエクスポートする際に、レポートの値に非ASCII文字が含まれる場合、.txt拡張子を使用してファイル名を変更する必要があります。これにより、Excelのインポート・ウィザードで使用可能となり、非ASCII文字は正しく表示されます。
OpenOfficeで開かれた.csvファイルは、インポート・ウィザードで使用できます。このアプリケーションでは、ファイル名を*.txtに変更することなくエンコーディングを選択できます。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」をクリックし、次に「レポート」をクリックします。
表示または変更するレポートのタイプをリストから選択します。
「レポートのリスト表示」をクリックします。
表示するレポートのリンクを選択します。
「カスタマイズ」ボタンをクリックしてレポート基準を変更します。
「保存」をクリックして新規レポート形式を保存します。
他のユーザーが参照できるようレポートを公開する方法の詳細は、「レポートの構成」を参照してください。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」をクリックし、次に「レポート」をクリックします。
「レポートのリスト表示」をクリックします。
既存のすべてのレポートがページにリストされます。
ローカライズするレポートをクリックします。
レポートの詳細がページに表示されます。
「公開」をクリックします。
「レポートの公開」ページが表示されます。このページには、すべてのインストール済言語のリンクが含まれます。
レポートを公開する言語をクリックします。
「レポート名」フィールドに、選択した言語で表示名を入力します。
「レポート説明」フィールドに、レポートの簡単な説明を入力します。
この情報はオプションです。
「保存」をクリックして変更を保存します。
ユーザー・マネージャにレポートが表示されます。
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」をクリックし、次に「レポート」をクリックします。
削除するレポートを含むタブを選択します。
「レポートのリスト表示」をクリックします。
レポート名の横の「-」アイコンを選択してレポートを削除します。
次の各項では、動的グループの拡張、ディレクトリ検索の有効範囲の制限、およびXMLファイルの編集による属性権限の構成について説明します。
グループのメンバーシップがLDAPフィルタにより決定される場合、グループを拡張することで静的メンバーシップ・リストを生成できます。静的リストの生成により、アイデンティティ・システムでは、グループ・アクセスごとにLDAPフィルタを実行する必要がなくなります。グループ拡張では、動的メンバーシップを指定するLDAPルールを実行し、その結果を静的メンバー属性に格納することで静的リストを更新します。多くのアイデンティティ・システム機能で、グループのメンバーシップがテストされます。静的メンバーシップのテストは動的メンバーシップのテストより高速であるため、静的リストでメンバーを検索することが推奨されます。また、サード・パーティ・アプリケーションでチェックできるのは、静的メンバーシップのみである場合があります。サード・パーティ・アプリケーションの場合、頻繁に拡張を行うことで静的メンバーシップを正確に維持します。グループ拡張操作は、それ自体がコストのかかるプロセスです。ただし、バックグラウンド・プロセスとしてグループを拡張することで、ユーザーへの影響を回避できます。
注意: 静的メンバーが含まれる動的グループを拡張する場合、静的メンバーの元のリストは、フィルタ基準を現在満たしているメンバーにより上書きされます。この動作は、「動的メンバーのみ」のフラグをfalseに設定している場合でも適用されます。フィルタは、他のグループ設定より優先されます。 |
グループを拡張するには、次の2つの条件が満たされている必要があります。
obgroupexpandeddynamic属性がtrueに設定されている必要があります。
グループを拡張するユーザーは、obgroupexpandeddynamic属性とobgroupdynamicfilter属性に対する読取り権限を保持している必要があります。また、「グループ静的メンバー」セマンティク型が割り当てられた属性に対する書込み権限も保持している必要があります。
アイデンティティ・システムが提供するグループ属性の詳細は、「グループ・サブスクリプションの管理」の表を参照してください。
グループ・マネージャで、ページ上部の「構成」オプションをクリックします。
「構成」ページが表示されます。
「動的グループの拡張」をクリックします。
「動的グループの拡張」ページが表示されます。
次のいずれかのオプションを選択します。
1つ以上のグループを選択するには、「グループ別」を選択して「グループの選択」をクリックします。
すべてのグループを拡張するには、「すべて」を選択します。
「開く」をクリックします。
「拡張されたグループ」ページに、拡張されたすべてのグループのリストが表示されます。
グループ・リンクをクリックして、そのグループの「グループ・プロファイル」ページを表示します。
「完了」をクリックします。
アイデンティティ・システムの一部の機能では、外部のXMLファイルを呼び出して構成情報を取得します。globalparams.xmlファイルは、そのようなファイルの1つです。このファイルにより、特に検索の有効範囲を制御できます。デフォルトでは、検索の有効範囲はアイデンティティ・システムのサブツリーに設定されており、検索は検索ベースの開始ポイントから始まってその子までを含みます。ディレクトリのサイズによっては、ResourceFilterSearchScopeパラメータを使用して検索のデフォルト有効範囲を変更できます。このパラメータに使用可能な値は、次のとおりです。
1: 検索ベースの最上位ノードと、その1つ下のレベルが検索されます。
2: 検索ベースの最上位ノードから始まり、最下位ノードまで検索されます。
図4-2は、ResourceFilterSearchScopeの設定が1の場合には戻されるエントリが少数に限定される一方で、2の場合には大量のエントリが戻されることを示しています。
次のディレクトリでglobalparams.xmlファイルを見つけます。
IdentityServer_install_dir/identity/oblix/apps/common/bin
ファイルをバックアップします。
メモ帳などのASCIIエディタまたはXMLエディタでファイルを開きます。
ResourceFilterSearchScopeパラメータを見つけ、その値を変更します。
WebPassおよびアイデンティティ・サーバーを再起動します。
簡易属性権限を使用すると、グループ作成者は、「LDAP属性権限の設定と変更」の手順に従って各属性の権限を設定することなく、読取り、書込みおよび通知の各権限を選択できます。簡易権限は、ポリシーの管理ドメインが新規グループのDNである新規作成グループに適用されます。これらのポリシーは、後からアクセス制御機能を通じて変更できます。
管理者は、必要に応じて希望する数の簡易権限のセットを構成できます。権限は、IdentityServer_install_dir/oblix/apps/groupservcenter/bin/gscaclparams.xmlファイルで作成します。このファイルには、モデルが適用されるロール、ユーザー、グループを定義するための埋込みの複合リスト、割当て権限、および権限が適用される属性が含まれます。このファイルが新規グループに適用されると、ファイル内の権限ごとにアクセス制御エントリが作成されます。
次に、gscaclparams.xmlファイルの権限セットの例を示します。モデル名は、Publicです。
エントリ1の設定では、ロールはob_any、権限は読取り、属性はdescription、uniquememberおよびownerです。
エントリ2の設定では、ロールはowner、権限は書込み、属性はdescription、uniquememberおよびownerです。
例4-1
<?xml version="1.0"?> <ParamsCtlg xmlns="http(s)://www.oblix.com" CtlgName="gscaclparams"> <!--#----------------------------------------------------> <!-- # Access Control Functions --> <!--#----------------------------------------------------> <!--#----------------------------------------------------> <!-- # Public access --> <!--#----------------------------------------------------> <CompoundList ListName=""> <CompoundList ListName="Public"> <CompoundList ListName="entry1"> <ValList ListName="roles" > <ValListMember Value="ob_any"> </ValList> <ValList ListName="rights" > <ValListMember Value="READ" Operation="Add"/> </ValList> <ValList ListName="attributes" > <ValListMember Value="description"/> <ValListMember Value="cn"/> <ValListMember Value="uniquemember"/> <ValListMember Value="owner"/> </ValList> </CompoundList> <CompoundList ListName="entry2"> <ValList ListName="roles" > <ValListMember Value="owner" Operation="Add"/> </ValList> <ValList ListName="rights" > <ValListMember Value="WRITE" Operation="Add"/> </ValList> <ValList ListName="attributes" > <ValListMember Value="description" Operation="Add"/> <ValListMember Value="cn" Operation="Add"/> <ValListMember Value="uniquemember" Operation="Add"/> <ValListMember Value="owner" Operation="Add"/> </ValList></CompoundList>
次の表に、簡易権限の予約語をまとめます。
予約語 | 使用頻度 | 説明 |
---|---|---|
rights | エントリごとに1つ | 読取り、変更または通知の各権限を指定します。 |
attributes | エントリごとに1つ | 属性を指定するリスト。任意のグループ・オブジェクト属性をリストに追加できます。 |
roles | エントリごとに1つ | エントリを適用するロール。ロールには、uniquemember、owner、ob_any、ob_anonymousなどの事前定義ロールを使用できます。 |
people | エントリごとに1つ | このエントリを適用する識別名を指定します。 |
source | モデルごとに1つ | このモデルを参照するユーザーのベースUIDを指定します。ベースUIDを指定しない場合、すべてのユーザーがこのエントリを参照できます。 |
target | モデルごとに1つ | このモデルを適用するターゲットのベースUIDを指定します。グループがこのベースの一部ではない場合、権限は設定できません。 |
「コンテナ制限」機能を使用すると、組織単位とそのオブジェクト・クラスのオブジェクト(および子オブジェクト)の数を制御できます。管理者は、制限に到達しそうになったときに通知するユーザーを定義できます。たとえば、エクストラネットの顧客を格納しているディレクトリ・ツリーの組織単位があるとします。このとき、エクストラネットのポータルにアクセスする顧客の数を10,000人に制限できます。
注意: 「コンテナ制限」機能では、ディレクトリのオブジェクト数をカウントします。オブジェクト数が大量であると、パフォーマンスが影響を受ける可能性があります。 |
アイデンティティ・システム・コンソールで、「組織マネージャ」タブをクリックし、次に「構成」→「コンテナ制限」をクリックします。
「コンテナ制限」ページが表示されます。
この例では、ページ内の「現在の数」表から、gensiteOrgPersonオブジェクト・クラスがDITの現在のレベルに9個の子を格納しており、そのレベル以下に合計718個の子を格納していることがわかります。
「管理ドメイン」ボックスで、表示するDITエントリを選択します。
「現在の数」ボックスに、選択したエントリに関連付けられたすべての構成済構造化クラスと、その子の数が表示されます。
「オブジェクト・クラス」表に、選択したDITエントリのコンテナ制限、強制および通知ポリシーがオブジェクト・クラスごとにリストされます。
「オブジェクト・クラス」リストでオブジェクト・クラスを選択し、「追加」をクリックしてコンテナ制限を追加します。
2番目の「コンテナ制限」ページが表示されます。このページには、前の画面で選択した管理ドメインとオブジェクト・クラスが含まれます。
「コンテナ制限」ボックスに、このオブジェクト・クラスでこのDITレベルに格納する子の最大数を指定します。
オブジェクト・クラスがコンテナ制限に近づいたことを電子メールで誰かに通知する場合、「使い果たした場合に通知」を選択し、電子メールを送信するときの制限割合を指定します。
DITのより下位のポリシーで上書きされないコンテナ制限を作成する場合、「下位ポリシーのオーバーライド」を選択します。
次のオプションを1つ以上使用して、コンテナ制限の警告を受信するユーザーを指定します。
「フィルタの作成」を選択し、クエリー・ビルダーを使用してルールを作成します。
「ユーザーの選択」をクリックし、セレクタを使用して1人以上のユーザーを指定します。
「グループの選択」をクリックし、セレクタを使用して1つ以上のグループを指定します。
「ユーザー」、「ロール」および「ルール」フィールドには、OR関係が適用されます。どのフィールドに指定したユーザーにも通知が実行されます。
「保存」をクリックしてコンテナ制限を保存し、「オブジェクト・クラス」表に追加します。
コンテナ制限は、あるドメインから別のドメインにコピーできます。
組織マネージャで、「構成」をクリックし、次に「コンテナ制限」をクリックします。
「コンテナ制限」画面が表示されます。
「管理ドメイン」ボックスで、表示するディレクトリ情報ツリー(DIT)のエントリを選択します。
「現在の数」ボックスに、選択したエントリに関連付けられた構造化クラスと、その子の数が表示されます。
「オブジェクト・クラスにコンテナ制限を追加」の表に、現在選択されているDITエントリのコンテナ制限、強制および通知ポリシーがオブジェクト・クラスごとにリストされます。
「コピー」をクリックします。
「管理ドメイン」ボックスで、コンテナ制限を追加する宛先エントリの場所を指定します。
「貼付け」をクリックします。
コンテナ制限ポリシーが選択したDITエントリに追加されます。
コンテナ制限は変更できます。「組織マネージャでのコンテナ制限の設定」を参照してください。
組織マネージャで、「構成」をクリックします。
「構成」画面が表示されます。
「コンテナ制限」をクリックします。
「コンテナ制限」画面が表示されます。
「管理ドメイン」ボックスで、表示するDITエントリを選択します。
「現在の数」ボックスに、選択したエントリに関連付けられたすべての構成済構造化クラスと、その子の数が表示されます。
「オブジェクト・クラスにコンテナ制限を追加」パネルで、「オブジェクト・クラス」列からオブジェクト・クラスを選択します。
「変更」をクリックします。
2番目の「コンテナ制限」画面が表示されます。
変更作業を行います。
各フィールドの詳細は、「組織マネージャでのコンテナ制限の設定」を参照してください。
「保存」をクリックします。
コンテナ制限は削除できます。
組織マネージャで、「構成」をクリックし、次に「コンテナ制限」をクリックします。
「管理ドメイン」ボックスで、ディレクトリ情報ツリー(DIT)のエントリを選択します。
「現在の数」ボックスに、選択したエントリに関連付けられたすべての構成済構造化クラスと、その子の数が表示されます。
「オブジェクト・クラスにコンテナ制限を追加」パネルで、オブジェクト・クラスを選択します。
「削除」をクリックします。
オブジェクト・クラスのコンテナ制限が削除されます。
注意: DITエントリのすべてのコンテナ制限を削除するには、「すべて削除」をクリックします。 |