前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.1 管理ガイド

第 5 章
管理

この章では、Identity Manager 管理者と組織の作成と管理など、Identity Manager システムで一連の管理レベルタスクを実行するための説明および手順を示します。また、Identity Manager でのロール、機能、管理者ロールの使用方法についても説明します。

この章は、次のトピックで構成されています。

Identity Manager の管理について
管理者の作成
Identity Manager 組織について
組織の作成
ディレクトリジャンクションおよび仮想組織について
機能とその管理について
管理者ロールとその管理について
作業項目の管理
アカウントの承認

---

Identity Manager の管理について

Identity Manager 管理者は、Identity Manager の拡張特権を持ったユーザーです。管理者を設定すると、次のものを管理できます。

ユーザーアカウント
ロールやリソースなどのシステムオブジェクト
組織

Identity Manager 管理者は、次のものが直接または間接的に割り当てられる点で、ユーザーと区別されます。

機能。ユーザー、組織、ロール、およびリソースへのアクセス権を与えられる一連の権限。
管理する組織。組織の管理を割り当てられると、管理者は、その組織内と、階層内でその組織の下にあるすべての組織のオブジェクトを管理できます。

委任された管理

ほとんどの企業では、実行すべき管理タスクを持つ従業員は、固有のさまざまな役割を持っています。多くの場合、管理者は、ほかのユーザーまたは管理者から「透過的な」アカウント管理タスクや、範囲の制限されたアカウント管理タスクを実行する必要があります。

たとえば、管理者が Identity Manager ユーザーアカウントの作成の役割しか持たない場合があります。このように役割の範囲が制限されている場合、管理者には、ユーザーアカウントを作成するリソースについての特定の情報や、システム内に存在するロールまたは組織についての情報は必要ないと思われます。

Identity Manager では、管理者が固有で定義済みの範囲内のオブジェクトのみを表示して管理できるようにすることで、役割を分離し、この委任された管理モデルをサポートしています。

Identity Manager では、次の手段によって、個別のシステムアクティビティーを管理者に委任する機能を実装しています。

固有の組織およびその組織内のオブジェクトに対する管理を制限する
Identity Manager ユーザーの作成および編集ページの管理者ビューをフィルタする
管理者に固有のジョブの任務を機能の形式で与える

新しいユーザーアカウントを設定したり、ユーザーアカウントを編集したりする場合に、「ユーザーの作成」ページからユーザーの委任を指定できます。

また、「作業項目」タブから承認リクエストなどの作業項目を委任することもできます。詳細は、「作業項目の委任」を参照してください。

---

管理者の作成

Identity Manager 管理者を作成するには、管理者にする Identity Manager ユーザーの機能を拡張します。ユーザーを作成または編集するときには、次を実行して管理コントロールを与えます。

管理できる組織を指定する
管理する組織内の機能を割り当てる
Identity Manager ユーザーの作成および編集に使用するフォームを選択する (これらの操作の実行を許可する機能がユーザーに割り当てられている場合)
保留中承認リクエストを受け取る承認者を選択する (リクエストの承認を許可する機能がユーザーに割り当てられている場合)

ユーザーに管理特権を与えるには、メニューバーで「アカウント」を選択して「Identity Manager アカウント」エリアに移動します。新しいユーザーに対しては、「ユーザーの作成」ページで「セキュリティー」タブを選択し、管理者属性を割り当てます。

既存のユーザーに管理者属性を割り当てるには、「アカウント」リストでユーザーを選択して、「ユーザーアクション」リストで「ユーザー機能の編集」を選択して、ユーザーの機能を編集します。次の図のような「セキュリティー」フォームが表示されます。

図 5-1 ユーザーアカウントの「セキュリティー」ページ: 管理者特権の指定

1 つ以上の項目を選択して、管理コントロールを設定します。

「管理する組織」 − 組織を 1 つ以上選択します。管理者は、選択した組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理できます。管理の範囲は、割り当てられた機能によってさらに定義されます。このエリアで項目を 1 つ選択する必要があります。
「機能」 − この管理者が管理する組織内でこの管理者が持つ機能を 1 つ以上選択します。Identity Manager 機能の詳細については、第 4 章「設定」を参照してください。
「ユーザーフォーム」 − Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。
「承認リクエスト転送先」 − 現在の保留中承認リクエストをすべて転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。
「作業項目の委任先」 − 使用できる場合は、このオプションを使用してユーザーアカウントへの委任を指定します。1 人または複数の選択したユーザーを IDM マネージャーに指定するか、承認委任先規則を使用します。

管理者ビューのフィルタ

組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。

組織 − 組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、Identity Manager が親組織に対して選択されたフォームを継承します。親組織に対してフォームが設定されていない場合は、Identity Manager がシステム設定のデフォルトのフォームを使用します。
管理者 − ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。

第 4 章「設定」で、割り当て可能な Identity Manager 組み込み機能について説明します。

管理者パスワードの変更

管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。

管理者は、次の場所から別の管理者のパスワードを変更できます。

「アカウント」エリア − リストで管理者を選択し、「ユーザーアクション」リストから「パスワードの変更」を選択します。
「ユーザーの編集」ページ − 「ID」フォームタブを選択し、新しいパスワードを入力および確認します。
「パスワード」エリア − 管理者名を入力し、「パスワードの変更」をクリックします。

ヒント	1 文字以上入力して「検索」をクリックすると、一致するものがすべてリストされます。

管理者は、「パスワード」エリアから自分自身のパスワードを変更できます。「パスワード」を選択し、「自分のパスワードの変更」を選択すると、パスワードの自己管理フィールドにアクセスできます。

注	アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、および通知選択など、パスワードの制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。

管理者のアクションの認証

特定のアカウント変更を処理する前に Identity Manager ログインパスワードをアテストするように管理者にリクエストするオプションを設定することができます。パスワードの認証が失敗した場合、アカウントアクションは成功しません。

このオプションは、次の Identity Manager ページでサポートされます。

「ユーザーの編集」 (account/modify.jsp)
「ユーザーパスワードの変更」 (admin/changeUserPassword.jsp)
「ユーザーパスワードのリセット」 (admin/resetUserPassword.jsp)

以降の節で説明するように、これらのオプションを設定します。

ユーザーリクエストの編集オプション

このオプションは、account/modify.jsp ページで次のように設定します。

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");

ここでのオプションの値は、1 つ以上の次のユーザー表示属性名のカンマ区切りリストです。

applications
adminRoles
assignedLhPolicy
capabilities
controlledOrganizations
email
firstname
fullname
lastname
organization
password
resources
roles

ユーザーパスワードの変更とユーザーパスワードリクエストのリセットオプション

このオプションは、admin/changeUserPassword.jsp ページおよび admin/resetUserPassword ページで次のように設定します。

requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");

オプションの値として true または false を指定できます。

秘密の質問の回答の変更

「パスワード」エリアを使用して、アカウントの秘密の質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の秘密の質問の回答の変更」を選択します。

認証の詳細については、「ユーザー認証」を参照してください。

管理者インタフェースでの管理者名の表示のカスタマイズ

次のエリアのような、Identity Manager 管理者インタフェースのいくつかのページおよびエリアでは、accountId ではなく属性 (email や fullname など) に基づいて Identity Manager 管理者を表示することができます。

「ユーザーの編集」(承認選択リストを転送する)
ロールテーブル
「ロールの作成」/「ロールの編集」
「リソースの作成」/「リソースの編集」
「組織の作成」/「組織の編集」/「ディレクトリジャンクション」
承認

表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

たとえば、email 属性を表示名として使用するには、次の属性名を UserUIconfig に追加します。

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>

---

Identity Manager 組織について

組織を使用して、次のことができます。

ユーザーアカウントと管理者を論理的かつセキュアに管理する
リソース、アプリケーション、ロール、およびその他の Identity Manager オブジェクトへのアクセスを制限する

組織を作成してユーザーを組織階層内のさまざまな場所に割り当てることで、委任された管理のステージが設定されます。1 つ以上の組織を含む組織は、親組織と呼ばれます。

すべての Identity Manager ユーザー (管理者を含む) は、1 つの組織に静的に割り当てられます。また、別の組織に動的に割り当てることもできます。

Identity Manager 管理者には、さらに組織の管理が割り当てられます。

---

組織の作成

組織は、「Identity Manager アカウント」エリアで作成します。組織を作成するには、次の手順に従います。

メニューバーで、「アカウント」を選択します。
「アカウント」ページの「新規作成アクション」リストから「新規組織」を選択します。

ヒント	組織階層内の特定の場所に組織を作成するには、リストで組織を選択してから、「新規作成アクション」リストで「新規組織」を選択します。

図 5-2 は、「組織の作成」ページを示しています。

図 5-2 「組織の作成」ページ

組織へのユーザーの割り当て

各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。組織のメンバーシップは、次の方法で決定されます。

直接 (静的) 割り当て −「ユーザーの作成」または「ユーザーの編集」ページから、ユーザーを組織に直接割り当てます。「ID」フォームタブを選択して、「組織」フィールドを表示します。ユーザーは、1 つの組織に直接割り当てる必要があります。
規則に基づく (動的) 割り当て − 組織に規則を割り当てることによって、ユーザーを動的に組織に割り当てます。割り当てた規則が評価されると、定義されているメンバーユーザーの一覧が返されます。Identity Manager は、次の場合にユーザーメンバー規則を評価します。
組織内のユーザーの一覧を出力する
「ユーザーの検索」ページでユーザーを検索するときに、ユーザーメンバー規則による組織内のユーザーの検索を含める
ユーザーへのアクセスをリクエストする (現在の管理者がユーザーメンバー規則を持つ組織を管理している場合)

ユーザーメンバー規則は、「組織の作成」ページの「ユーザーメンバー規則」フィールドで選択します。図 5-3 はユーザーメンバー規則の例を示しています。

図 5-3 組織の作成: ユーザーメンバー規則の選択

次の例は、組織のユーザーメンバーシップを動的に管理できるユーザーメンバー規則をセットアップする方法を示しています。

注	Identity Manager の規則を作成および操作する方法については、『Identity Manager 配備ツール』を参照してください。

キーの定義と取り込み

「ユーザーメンバー規則」オプションボックスに規則を表示するには、authType を authType='UserMembersRule' と設定する必要があります。
コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。
定義された変数 (defvar) の「Team players」は、Windows Active Directory の「Pro Ball Team」組織単位 (OU) から、そのすべてのメンバーユーザーの識別名 (DN) を取得します。
メンバーユーザーが検出されると、append ロジックは、「Pro Ball Team」 OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (「:smith-AD」など)。
結果は、Identity Manager リソース名が連結された DN (「dn:smith-AD」など) のリストとして返されます。

次は、サンプルのユーザーメンバー規則の構文例です。

コード例 5-1 ユーザーメンバー規則の例

<Rule name='Get Team Players'      authType='UserMembersRule'>    <defvar name='Team players'>       <block>          <defvar name='player names'>             <list/>          </defvar>    <dolist name='users'>       <invoke class='com.waveset.ui.FormUtil'             name='getResourceObjects'>          <ref>context</ref>          <s>User</s>          <s>singleton-AD</s>          <map>             <s>searchContext</s>             <s>OU=Pro Ball Team,DC=dev-ad,DC=waveset,DC=com</s>             <s>searchScope</s>             <s>subtree</s>             <s>searchAttrsToGet</s>             <list>                <s>distinguishedName</s>             </list>          </map>       </invoke>       <append name='player names'>       <concat>          <get>             <ref>users</ref>             <s>distinguishedName</s>          </get>             <s>:sampson-AD</s>       </concat>       </append>    </dolist>       <ref>player names</ref>    </block>    </defvar>       <ref>Team players</ref> </Rule>

管理する組織の割り当て

「ユーザーの作成」または「ユーザーの編集」ページから、1 つ以上の組織の管理を割り当てます。「セキュリティー」フォームタブを選択すると、「管理する組織」フィールドが表示されます。

また、「管理者ロール」フィールドから 1 つ以上の管理者ロールを割り当てる方法で、管理する組織を割り当てることもできます。

---

ディレクトリジャンクションおよび仮想組織について

ディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。

ディレクトリジャンクション内の各組織は、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。この構造を図 5-4 に示します。

図 5-4 Identity Manager 仮想組織

ディレクトリジャンクションは、既存の Identity Manager 組織構造を任意の場所で接合することができます。ただし、ディレクトリジャンクションは既存のディレクトリジャンクション内またはその下で接合することはできません。

ディレクトリジャンクションを Identity Manager 組織ツリーに追加すると、そのディレクトリジャンクションのコンテキスト内で仮想組織を作成または削除することができます。また、ディレクトリジャンクションを構成する仮想組織のセットを任意の時点で更新して、ディレクトリリソースコンテナと同期しているかどうかを確認できます。ディレクトリジャンクション内に非仮想組織を作成することはできません。

Identity Manager オブジェクト (ユーザー、リソース、およびロールなど) を、Identity Manager 組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。

ディレクトリジャンクションのセットアップ

ディレクトリジャンクションは、「Identity Manager アカウント」エリアでセットアップします。

Identity Manager メニューバーで、「アカウント」を選択します。
「アカウント」リストで Identity Manager 組織を選択し、「新規作成アクション」リストから「新規ディレクトリジャンクション」を選択します。

選択した組織は、セットアップする仮想組織の親組織になります。

Identity Manager に「ディレクトリジャンクションの作成」ページが表示されます。

項目を選択して、仮想組織をセットアップします。
「親組織」 − このフィールドには「アカウント」リストから選択した組織が含まれています。ただし、リストから異なる親組織を選択することもできます。
「ディレクトリリソース」 − 構造を仮想組織にミラー化する既存のディレクトリを管理するディレクトリリソースを選択します。
「ユーザーフォーム」 − この組織の管理者に適用するユーザーフォームを選択します。
「Identity Manager アカウントポリシー」 − ポリシーを選択します。または、デフォルトのオプション (継承) を選択すると親組織からポリシーが継承されます。
「承認者」 − この組織に関係するリクエストを承認できる管理者を選択します。

仮想組織の更新

このプロセスでは、選択した組織の下位にある、関連付けられたディレクトリリソースを持つ仮想組織を更新して同期し直します。リストで仮想組織を選択し、「組織アクション」リストから「組織の更新」を選択します。

仮想組織の削除

仮想組織を削除する場合は、次の 2 つの削除オプションから選択できます。

Identity Manager 組織のみを削除」− Identity Manager ディレクトリジャンクションのみを削除します。
Identity Manager 組織とリソースコンテナを削除」− Identity Manager ディレクトリジャンクションと、ネイティブリソース上にある対応する組織を削除します。

いずれかのオプションを選択して、「削除」をクリックします。

---

機能とその管理について

機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、特権のセットを提供します。

すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager を使用して 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。

割り当てられた機能により、Identity Manager 管理者インタフェースのどのエリアにアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager エリアにアクセスできます。

「ホーム」および「ヘルプ」タブ
「パスワード」タブ (「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」サブタブのみ)
「レポート」 (管理者の持つ役割に関連するレポートタイプのみ)

機能のカテゴリ

Identity Manager の機能は、次のように分類されています。

タスクベース。これらはもっとも単純なタスクレベルにある機能です。
機能。実用上の機能は、1 つ以上の実用上の機能またはタスクベース機能で構成されます。

組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。

保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。

機能の操作

メニューバーで、「セキュリティー」を選択します。
「機能」タブを選択すると、Identity Manager 機能のリストが表示されます。

機能の作成

機能を作成するには、「新規」をクリックします。新しい機能に名前を付けて、機能、譲渡者、および、この機能を利用できる組織を選択します。少なくとも 1 つの組織を選択する必要があります。

注	譲渡者の選択元となる一連のユーザーには、機能の割り当て権限を割り当てられているユーザーが含まれます。

機能の編集

保護されていない機能を編集するには、リストでその機能を右クリックし、「編集」を選択します。

組み込み機能は編集できません。ただし、それを別の名前で保存して独自の機能を作成したり、自分で作成した機能の中で組み込み機能を使用したりすることはできます。

機能の保存と名前の変更

機能を「クローン作成」する (異なる名前で保存して、新しい機能を作成する) には、次を実行します。

リスト内の機能を右クリックし、「名前を付けて保存」を選択します。
新しい名前を入力して、「OK」をクリックします。

コピー元の機能は保護されていますが、新しい機能は編集できます。

機能の割り当て

「ユーザーの作成」および「ユーザーの編集」ページから、ユーザーに機能を割り当てます。インタフェースの「セキュリティー」エリアでセットアップした管理者ロールを割り当てる方法で、ユーザーに機能を割り当てることもできます。詳細については、「管理者ロールとその管理について」を参照してください。

機能の階層

タスクベースの機能は、次のような実用上の機能階層に分類されます。

Account Administrator

Approver Administrator
Organization Approver
Resource Approver
Role Approver
Assign User Capabilities
SPML Access
User Account Administrator
Create User
Delete User
Delete IDM User
Deprovision User
Unassign User
Unlink User
Disable User
Enable User
Password Administrator
Change Password Administrator
Reset Password Administrator
Rename User
Unlock User
Update User
View User
Import User

Admin Role Administrator

Connect Capabilities
Connect Capabilities Rules
Connect Controlled Organizations Rules
Connect Organizations

Auditor Administrator

Assign Audit Policies
Assign Organization Audit Policies
Assign User Audit Policies
Audit Policy Administrator
Auditor View User
Auditor Periodic Access Review Administrator
Auditor Access Scan Administrator
Auditor Report Administrator
Password Administrator
User Account Administrator
Assign User Capabilities

Auditor Report Administrator

Access Review Detail Report Administrator
Run Access Review Detail Report
Access Review Summary Report Administrator
Run Access Review Summary Report
Audit Policy Scan Report Administrator
Run Audit Policy Scan Report
Audited Attribute Report Administrator
Run Audited Attribute Report
AuditPolicy Violation History Administrator
Run Audit Policy Violation History Report
Organization Violation History Administrator
Run Organization Violation History Report
Policy Summary Report Administrator
Resource Violation History Administrator
Run Resource Violation History Report
Run Auditor Report
Separation of Duties Report Administrator
Run Separation of Duties Report
User Access Report Administrator
Run User Access Report
Violation Summary Report Administrator

Bulk Account Administrator

Approver Administrator
Assign User Capabilities
Bulk User Account Administrator
Bulk Create User
Bulk Delete IDM User
Bulk Delete IDM User
Bulk Deprovision User
Bulk Unassign User
Bulk Unlink User
Bulk Disable User
Bulk Enable User
Password Administrator
Rename User
Unlock User
View User
Import User

Bulk Change Account Administrator

Approver Administrator
Assign User Capabilities
Bulk Change User Account Administrator
Bulk Disable User
Bulk Enable User
Bulk Update User
Password Administrator
Rename User
Unlock User
View User

Bulk Resource Password Administrator

Bulk Change Resource Password Administrator
Bulk Reset Resource Password Administrator

Capability Administrator

Change Account Administrator

Approver Administrator
Assign User Capabilities
Change User Account Administrator
Password Administrator
Change Password Administrator
Reset Password Administrator
Disable User
Enable User
Rename User
Unlock User
Update User
View User

Configure Certificates

Import/Export Administrator

License Administrator

Login Administrator

Meta View Administrator

Organization Administrator

Password Administrator (Verification Required)

Change Password Administrator (Verification Required)
Reset Password Administrator (Verification Required)

Policy Administrator

Reconcile Administrator

Reconcile Request Administrator

Remedy Integration Administrator

Report Administrator

Admin Report Administrator
Run Admin Report
Audit Report Administrator
Run Audit Report
Auditor Report Administrator
Reconcile Report Administrator
Run Reconcile Report
Resource Report Administrator
Run Resource Report
Risk Analysis Administrator
Run Risk Analysis
Role Report Administrator
Run Role Report
Task Report Administrator
Run Task Report
User Report Administrator
Run User Report
Configure Audit

Resource Administrator

Change Active Sync Resource Administrator
Control Active Sync Resource Administrator
Resource Group Administrator

Resource Object Administrator

Resource Password Administrator

Change Resource Password Administrator
Reset Resource Password Administrator

Role Administrator

Security Administrator

Service Provider Administrator

Service Provider User Administrator
Service Provider Create User
Service Provider Delete User
Service Provider Update User
Service Provider View User

Service Provider Admin Role Administrator

User Account Administrator

Delete User
Password Administrator
Create User
Disable User
Enable User
Import User
Rename User
Unlock User
Update User

View Organizations

List Organizations

View Resources

List Resources

Waveset Administrator

機能の定義

表 5-1 で、各タスクベースの機能と、各機能でアクセスできるタブおよびサブタブについて説明します。機能は、名前のアルファベット順に並べられています。

すべての機能で、ユーザーまたは管理者は、「パスワード」の「自分のパスワードの変更」および「自分の秘密の質問の回答の変更」タブにアクセスすることができます。

表 5-1 Identity Manager 機能の説明 

機能	管理者/ユーザーに許可する操作	アクセス可能なタブとサブタブ
Access Review Detail Report Administrator	アクセスレビュー詳細レポートの作成、編集、削除、および実行	「レポート」>「レポートの実行」タブ、「レポートの表示」タブ - アクセスレビュー詳細レポートのみ 「レポート」>「ダッシュボードの表示」
Access Review Summary Report Administrator	アクセスレビュー概要レポートの作成、編集、削除、および実行	「レポート」 - アクセスレビュー概要レポートのみ 「レポート」>「ダッシュボードの表示」
Account Administrator	機能の割り当てなど、ユーザーに対するすべての操作の実行 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」タブ 「パスワード」 - すべてのサブタブ 「作業項目」 - 「承認」サブタブ 「タスク」 - すべてのサブタブ
Admin Report Administrator	管理者レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの管理」、「レポートの実行」サブタブ (管理者レポートのみ)
Admin Role Administrator	管理者ロールの作成、編集、および削除	「セキュリティー」 - 「管理者ロール」サブタブ
Approver Administrator	ほかのユーザーにより発行されたリクエストの承認または却下	デフォルトのみ
Assign Audit Policies	ユーザーアカウントと組織への監査ポリシーの割り当て	「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」 「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」
Assign Organization Audit Policies	監査ポリシーを組織のみに割り当て	「アカウント」 - 「組織アクション」リストの「組織の監査ポリシーの編集」、「アカウントのリスト」タブ
Assign User Audit Policies	監査ポリシーをユーザーのみに割り当て	「アカウント」 - 「ユーザーアクション」リストの「ユーザーの監査ポリシーの編集」、「アカウントのリスト」タブ、「ユーザーの検索」タブ
Assign User Capabilities	ユーザー機能の割り当ての変更 (割り当て、割り当て解除)	「アカウント」 - 「アカウントのリスト」(編集のみ)、「ユーザーの検索」サブタブ。 別のユーザー管理者機能 (「ユーザーの作成」、「ユーザーの有効化」など) とともに割り当てる必要があります。
Audit Policy Administrator	監査ポリシーの作成、修正、および削除	「コンプライアンス」 - 「ポリシーの管理」
Audit Policy Scan Report Administrator	監査ポリシースキャンレポートの作成、修正、削除、および実行	「レポート」 - 監査ポリシースキャンレポートのみ
Audit Report Administrator	監査レポートの作成、修正、削除、および実行	「レポート」 - 監査レポートのみ
Audited Attribute Report Administrator	監査された属性のレポートの作成、修正、削除、および実行	「レポート」 - 監査された属性のレポートのみ
AuditLog Report Administrator	監査ログレポートの作成、修正、削除、および実行	「レポート」 - 監査ログレポートのみ
Auditor Access Scan Administrator	定期的アクセスレビュースキャンの作成、編集、および削除	「コンプライアンス」 - 「アクセススキャンの管理」
Auditor Administrator	監査ポリシー、監査スキャン、ユーザーコンプライアンスの設定、管理、および監視	「コンプライアンス」 - すべてのサブタブ 「レポート」 - 「レポートの実行」、「レポートの表示」、「監査レポート」の管理 「アカウント」 - 「ユーザーの監査ポリシーの編集」と「組織の監査ポリシーの編集」操作
Auditor Attestor	組織のセキュリティーを有効にしながら、ほかのユーザーをアテストする必要がある	デフォルトのみ
Auditor Periodic Access Review Administrator	定期的アクセスレビュー (PAR) の管理、アクセススキャンの管理、アテステーションの管理、PAR レポートの管理	「コンプライアンス」 - 「アクセススキャンの管理」、「アクセスレビュー」サブタブ
Auditor 是正者	監査ポリシー違反の是正、受け入れ、転送	「是正」 - すべてのサブタブ
Auditor Report Administrator	任意の監査レポートの作成、修正、削除、および実行	「レポート」 - 監査レポートのすべての操作
Auditor View User	ユーザーに関連するコンプライアンス情報の表示	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」タブ
AuditPolicy Violation History Administrator	監査ポリシー別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - 監査ポリシー別違反履歴表示レポートのみ
Bulk Account Administrator	機能の割り当てなど、ユーザーに対する通常操作および一括アクションの実行	「アカウント」 - すべてのサブタブ 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Change Account Administrator	機能の割り当てなど、既存のユーザーに対する、既存のユーザーの削除以外の通常操作および一括アクションの実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括アクションの起動」サブタブ。ユーザーを作成または削除することはできません。 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Change User Account Administrator	既存のユーザーに対する、削除以外の通常操作および一括アクションの実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括アクションの起動」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Bulk Create User	リソースの割り当てとユーザー作成リクエストの発行 (個別のユーザーに対する操作または一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Delete IDM User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Delete IDM User	既存の Identity Manager ユーザーアカウントの削除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Deprovision User	既存のリソースアカウントの削除およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Disable User	既存のユーザーとリソースアカウントの無効化 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Enable User	既存のユーザーとリソースアカウントの有効化 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Unlink User	既存のリソースアカウントのリンク解除 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk Update User	既存のユーザーとリソースアカウントの更新 (個別のユーザーに対する操作および一括アクションを使用した操作)	「アカウント」 - 「アカウントのリスト」(更新のみ)、「ユーザーの検索」、「一括アクションの起動」サブタブ 「タスク」 - すべてのサブタブ
Bulk User Account Administrator	ユーザーに対するすべての通常操作および一括アクションの実行	「アカウント」 - すべてのサブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Capability Administrator	機能の作成、修正、および削除	「設定」 - 「機能」サブタブ
Change Account Administrator	機能の割り当てなど、既存のユーザーに対する削除以外のすべての操作の実行 (一括アクションを除く)	「アカウント」 - すべてのサブタブ。ユーザーを削除することはできません。 「パスワード」 - すべてのサブタブ 「承認」 - すべてのサブタブ 「タスク」 - すべてのサブタブ 「レポート」 - 管理レポートおよびユーザーレポートの作成、管理レポートの実行と編集、および範囲内の監査ログレポートを実行します。範囲外の組織の管理レポートおよびユーザーレポートを実行することはできません。
Change Active Sync Resource Administrator	Active Sync リソースパラメータの変更	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - Active Sync リソース: 「編集」アクションメニュー、「Active Sync パラメータの編集」
Change Password Administrator	ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ、操作の前に検証が必要) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Resource Password Administrator	リソース管理者のアカウントパスワードの変更	「タスク」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブリソースパスワードの変更のみ (アクションメニューの「接続の管理」-->「パスワードの変更」から)
Change User Account Administrator	既存のユーザーに対する削除以外のすべての操作の実行 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Configure Audit	システム内で監査されるイベントと設定グループの設定	「設定」 - 「イベント監査」サブタブ
Configure Certificates	信頼できる証明書と CRL の設定	「セキュリティー」 - 「証明書」サブタブ
Control Active Sync Resource Administrator	Active Sync リソースの状態 (開始、停止、更新など) の管理	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - Active Sync リソース :「Active Sync」アクションメニュー (すべての選択肢)
Create User	リソースの割り当てとユーザー作成リクエストの開始 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (作成のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Delete User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Delete IDM User	Identity Manager ユーザーアカウントの削除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Deprovision User	既存のリソースアカウントの削除およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Disable User	既存のユーザーアカウントとリソースアカウントの無効化 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Enable User	既存のユーザーアカウントとリソースアカウントの有効化 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Import User	定義済みリソースからのユーザーのインポート	「アカウント」 - 「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ
Import/Export Administrator	全タイプのオブジェクトのインポートとエクスポート	「設定」 - 「交換ファイルのインポート」サブタブ
License Administrator	アイデンティティーシステム製品ライセンスの設定	lh license コマンドの実行権を提供します。この機能を割り当てただけでは「管理者インタフェース」にはアクセスできません。
Login Administrator	所定のログインインタフェースに対するログインモジュールセットの編集	「設定」 - 「ログイン」サブタブ
Meta View Administrator	アイデンティティー属性の設定の変更	「メタビュー」 - 「アイデンティティー属性」タブ
Organization Administrator	組織の作成、編集、および削除	「アカウント」 - 「アカウントのリスト」サブタブ (組織およびディレクトリジャンクションの編集と作成、組織の削除のみ)
Organization Approver	新しい組織に対するリクエストの承認	「作業項目」 - 「承認」サブタブ
Organization Violation History Administrator	組織別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - 組織別違反履歴表示レポートのみ
Password Administrator	ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ)、「ユーザーの検索」サブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ、操作が成功するためには検証が必要)、「ユーザーの検索」サブタブ 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ
Policy Administrator	ポリシーの作成、編集、および削除	「設定」 - 「ポリシー」サブタブ
Policy Summary Report Administrator	ポリシーの概要レポートの作成、修正、削除、および実行	「レポート」 - ポリシーの概要レポートのみ
Reconcile Administrator	調整ポリシーの編集と調整タスクの管理	「サーバータスク」 - すべてのサブタブ (調整タスクの表示) 「リソース」 - 「リソースのリスト」サブタブ
Reconcile Report Administrator	調整レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの実行」 (アカウントインデックスレポートのみ)、「レポートの管理」サブタブ
Reconcile Request Administrator	調整リクエストの管理	「タスク」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブ (リストおよび調整機能のみ)
Remedy Integration Administrator	Remedy との統合の設定の修正	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「設定」 - 「Remedy との統合」サブタブ
Rename User	既存のユーザーアカウントとリソースアカウントの名前の変更	「アカウント」 - 「アカウントのリスト」サブタブ (範囲内のすべてのアカウントのリスト、ユーザーの名前変更)
Report Administrator	監査の設定と全タイプのレポートの実行	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「レポート」 - すべてのサブタブ
Reset Password Administrator	ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Password Administrator (Verification Required)	ユーザーの秘密の質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ、正しく操作するためには検証が必要) 「パスワード」 - すべてのサブタブ 「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Resource Password Administrator	リソース管理者のアカウントパスワードのリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - 「リソースのリスト」サブタブ。リソースパスワードのリセットのみ (アクションメニューの「接続の管理」 -->「パスワードのリセット」から)
Resource Administrator	リソースの作成、修正、および削除	「レポート」 - リソースユーザーレポート、リソースグループレポートは範囲外のリソースに関するエラーを返します。 「リソース」 - 「リソースのリスト」サブタブ (グローバルポリシーの編集、パラメータの編集、リソースグループ。接続またはリソースオブジェクトを管理することはできない)。
Resource Group Administrator	リソースグループの作成、編集、および削除	「リソース」 - 「リソースグループのリスト」サブタブ
Resource Object Administrator	リソースオブジェクトの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (リソースオブジェクトを含むタスクの表示)。 「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理のみ)
Resource Password Administrator	リソースプロキシアカウントパスワードの変更とリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「リソース」 - 「リソースのリスト」サブタブ。リソースパスワードの変更のみ (アクションメニューの「接続の管理」-->「パスワードの変更」から)
Resource Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - すべてのサブタブ (リソースレポートのみ)
Resource Violation History Administrator	リソース別違反履歴表示レポートの作成、修正、削除、および実行	「レポート」 - リソース別違反履歴表示レポートのみ
Risk Analysis Administrator	リスク分析の作成、編集、削除、および実行	「リスク分析」 - すべてのサブタブ
Role Administrator	ロールの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (ロールの同期) 「ロール」 - すべてのサブタブ
Role Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - ロールレポートのみ
Run Access Review Detail Report	アクセスレビュー詳細レポートの実行	「レポート」 - アクセスレビュー詳細レポートのみ
Run Access Review Summary Report	アクセスレビュー概要レポートの実行	「レポート」 - アクセスレビュー概要レポートのみ
Run Admin Report	管理者レポートの実行	「レポート」 - 管理レポートのみ
Run Audit Policy Scan Administrator	監査ポリシースキャンレポートの実行と管理	「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Policy Scan Report	監査ポリシースキャンレポートの実行	「レポート」 - 監査ポリシースキャンレポートのみ
Run Audit Report	監査レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Audited Attribute Report	監査された属性のレポートの実行	「レポート」 - 監査された属性のレポートのみ 「レポート」>「ダッシュボードの表示」
Run Auditor Report	任意の監査レポートの実行	「レポート」 - 任意の監査レポート 「レポート」>「ダッシュボードの表示」
Run AuditLog Report	監査ログレポートの実行	「レポート」 - 監査ログレポートのみ
Run AuditPolicy Violation History	組織別違反履歴表示レポートの実行	「レポート」 - 監査ポリシー別違反履歴表示レポートのみ 「レポート」>「ダッシュボードの表示」
Run Policy Summary Report	ポリシーの概要レポートの実行	「レポート」 - ポリシーの概要レポートのみ
Run Organization Violation History	組織別違反履歴表示レポートの実行	「レポート」 - 組織別違反履歴表示レポートのみ 「レポート」>「ダッシュボードの表示」
Run Reconcile Report	調整レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Report	リソースレポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Violation History	リソース別違反履歴表示レポートの実行	「レポート」 - リソース別違反履歴表示レポートのみ
Run Risk Analysis	リスク分析の実行	「レポート」 - 「リスク分析の実行」、「リスク分析の表示」サブタブ
Run Role Report	ロールレポートの実行	「レポート」 - ロールレポートのみ
Run Task Report	タスクレポートの実行	「レポート」 - タスクレポートのみ
Run User Access Report	詳細なユーザーレポートの実行	「レポート」 - ユーザーアクセスレポートのみ 「レポート」>「ダッシュボードの表示」
Run User Report	ユーザーレポートの実行	「レポート」 - ユーザーレポートのみ
Run Violation Summary Report	違反の概要レポートの実行	「レポート」 - 違反の概要レポートのみ 「レポート」>「ダッシュボードの表示」
Security Administrator	暗号化鍵、ログイン設定、およびポリシーの管理などの機能を持つユーザーの作成	「アカウント」 - 「アカウントのリスト」(パスワードの削除、作成、更新、編集、および変更)、「ユーザーの検索」サブタブ (監査レポート) 「パスワード」 - すべてのサブタブ 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ 「レポート」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理) 「セキュリティー」 - 「ポリシー」、「ログイン」サブタブ
Separation of Duties Report Administrator	職務分掌レポートの作成、編集、実行、および削除	「レポート」 - 職務分掌レポートのすべての操作のみ
Run Separation of Duties Report	職務分掌レポートの実行	「レポート」 - 職務分掌レポートのみ 「レポート」>「ダッシュボードの表示」
Service Provider Admin Role	サービスプロバイダ管理者ロールと関連する規則の管理	「セキュリティー」 - 「管理者ロール」タブ
Service Provider Administrator	サービスプロバイダユーザーとサービスプロバイダトランザクションの作成、編集、および管理。トランザクションデータベースと追跡イベントの設定。	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ 「サーバータスク」>「サービスプロバイダトランザクション」タブ 「レポート」>「ダッシュボードの表示」タブ 「レポート」>「ダッシュボードの設定」タブ サービスプロバイダ - すべてのサブタブ
Service Provider Create User	サービスプロバイダ (エクストラネット) ユーザーのユーザーアカウントの作成	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Delete User	サービスプロバイダユーザーアカウントの削除	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider Update User	サービスプロバイダユーザーアカウントの更新	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
Service Provider User Administrator	サービスプロバイダ (エクストラネット) ユーザーの管理	「アカウント」>「サービスプロバイダユーザーの管理」 - すべてのサブタブ
Service Provider View User	サービスプロバイダ (エクストラネット) ユーザーアカウント情報の表示	「アカウント」 - 「サービスプロバイダユーザーの管理」サブタブ
SPML Access	Identity Manager の SPML (Service Provisioning Markup Language) 機能へのアクセスを許可	「セキュリティー」 - 「機能」サブタブ
Task Report Administrator	タスクレポートの作成、編集、削除、および実行	「レポート」 - タスクレポートのみ
Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (割り当て解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Unlink User	既存のリソースアカウントのリンク解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - すべてのサブタブ
Unlock User	ロック解除をサポートする既存のユーザーリソースアカウントのロック解除 (一括アクションを除く)	「アカウント」 - 「アカウントのリスト」 (ロック解除のみ)、「ユーザーの検索」サブタブ 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
Update User	既存のユーザーの編集と、ユーザー更新リクエストの発行	「アカウント」 - ユーザーの編集および更新 「タスク」 - 既存のタスクの管理 (「すべてのタスク」サブタブから)
User Access Report Administrator	ユーザーアクセスレポートの作成、実行、編集、および削除	「レポート」 - ユーザーアクセスレポートのみ 「レポート」>「ダッシュボードの表示」
User Account Administrator	ユーザーに対するすべての操作	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ。ユーザー機能を割り当てることはできません (「アカウントのリスト」サブタブの「セキュリティー」フォームタブ)。 「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
User Report Administrator	ユーザーレポートの作成、編集、削除、および実行	「レポート」 - ユーザーレポートの実行
View User	個別のユーザーの詳細の表示	「アカウント」 - リストからユーザーを選択して、個別のユーザーアカウント情報を表示します。変更操作は許可されません。
Violation Summary Report Administrator	違反の概要レポートの作成、修正、削除、および実行	「レポート」 - 違反の概要レポートのみ 「レポート」>「ダッシュボードの表示」
Waveset Administrator	System Configuration オブジェクトの修正など、システム全体にわたるタスクの実行	「サーバータスク」 - すべてのサブタブ。ロールの同期、ソースアダプタテンプレートの編集、およびレポートのスケジュール 「レポート」 - すべてのサブタブ 「リソース」 - 「リソースのリスト」(リストのみ、変更操作は許可されない) 「設定」 - 「監査」、「電子メールテンプレート」、「フォームおよびプロセスマッピング」、および「サーバー」サブタブ

---

管理者ロールとその管理について

管理者ロールを使用すると、1 人または複数の管理者に、機能と管理の範囲の一意の組み合わせや管理する組織を割り当てることができます。1 人の管理者に複数の管理者ロールを割り当てられます。これによって、管理者は 1 つの管理の範囲内ではある一連の機能を持ち、別の管理の範囲内では別の一連の機能を持つことができます。

たとえば、管理者にある管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織のユーザーの作成および編集の権限を与えます。同じ管理者に別の管理者ロールを割り当てて、その管理者ロールで指定された管理対象組織では、ユーザーのパスワード変更の権限のみを与えることもできます。

ユーザーに直接機能や管理する組織を割り当てるのではなく、管理者ロールを使用して管理特権を与えることをお勧めします。管理者ロールでは機能と範囲または管理の組み合わせを再使用し、同時に多数のユーザーに対する管理者特権の管理を簡素化できます。

機能または組織 (またはその両方) の管理者ロールへの割り当ては、直接または間接的 (動的) に行うことができます。

直接 − この方法を使用して、機能および/または管理する組織を明示的に管理者ロールに割り当てます。たとえば、管理者ロールには管理する組織として最上位と User Report Administrator 機能が割り当てられている場合があります。
動的 (間接) − この方法は、機能および管理する組織の規則の割り当てを使用します。規則は管理者ロールを割り当てられた管理者がログインするたびに評価され、管理者の認証に基づいて機能および/または管理する組織の明示的なセットを動的に決定します。

たとえば、ユーザーがログインする場合、次のようになります。

ユーザーの Active Directory (AD) ユーザータイトルが 'manager' (マネージャー) である場合には、機能規則は割り当てられる機能としてアカウント管理者を返します。
ユーザーの Active Directory (AD) ユーザー部署が 'marketing' (マーケティング) である場合には、管理する組織規則は割り当てられる管理組織としてマーケティングを返します。

管理者への管理者ロールの割り当ては直接または間接的 (動的) に行うことができます。

直接 − 管理者ロールを管理者 (ユーザーアカウント) に明示的に割り当てます。
間接 (動的) − 管理者ロール規則を使用して管理者ロールを割り当てます。Identity Manager は管理者がログインするたびに規則を評価して、管理者ロールが認証中の管理者に割り当てられるかどうかを判断します。

たとえば、ユーザーがログインし、その Active Directory (AD) ユーザー都市が Austin で州が Texas の場合、規則は true を返します。このため、管理者ロールが割り当てられます。

注	管理者ロールのユーザーへの動的割り当ては、各ログインインタフェース (たとえば、ユーザーインタフェースまたは管理者インタフェース) でシステム設定属性 security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface を true または false に設定して有効または無効にできます。デフォルトはすべてのインタフェースで false です。

管理者ロールの規則

Identity Manager には、管理者ロールの規則の作成に使用できるサンプル規則があります。これらの規則は、sample/adminRoleRules.xml 内の Identity Manager インストールディレクトリにあります。表 5-2 は規則名と規則に指定する必要のある authType を示しています。

表 5-2 管理者ロールのサンプル規則

規則名	authType
管理する組織の規則	ControlledOrganizationsRule
機能規則	CapabilitiesRule
ユーザーへの管理者ロール割り当て規則	UserIsAssignedAdminRoleRule

注	サービスプロバイダユーザー管理者ロールのサンプル規則については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

ユーザー管理者ロール

Identity Manager にはユーザー管理者ロールという組み込み管理者ロールがあります。デフォルトでは、割り当てられた機能や管理する組織の割り当てはありません。また、このロールを削除することはできません。この管理者ロールは、ログインするインタフェース (たとえば、ユーザー、管理者、コンソール、または IDE) に関らず、ログイン時に暗黙的にすべてのユーザー、つまりエンドユーザーと管理者に割り当てられます。

注	サービスプロバイダユーザーの管理者ロールの作成については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

ユーザー管理者ロールは、管理者インタフェースで「セキュリティー」を選択してから「管理者ロール」を選択することによって編集できます。

この管理者ロールによって静的に割り当てられる機能または管理する組織はすべてのユーザーに割り当てられるので、機能および管理する組織の割り当ては規則を通して行うことをお勧めします。そうすることで、異なるユーザーが異なる機能を持つまたは機能を持たないようにすることができ、ユーザーがだれか、ユーザーがどの部署に所属するか、またはユーザーが管理者であるかなど、規則のコンテキスト内で問い合わせ可能な要素に基づいて割り当ての範囲が設定されます。

ユーザー管理者ロールによって、ワークフローで使用される authorized=true フラグの有用性が低下したり、そのフラグが完全に取って代わられるわけではありません。ワークフローが実行中である場合を除き、ワークフローがアクセスするオブジェクトに対してユーザーがアクセス権を持っていないときには、依然としてこのフラグのほうが適しています。基本的には、このときユーザーは「スーパーユーザーとして実行」モードに入ります。

しかし、ユーザーがワークフロー外にあるまたはワークフロー内にある可能性のある 1 つ以上のオブジェクトに対して特定のアクセス権を持っている場合は、ユーザー管理者ロールを使用して機能および管理する組織を動的に割り当てることにより、それらのオブジェクトに対して動的で緻密な承認を行えます。

管理者ロールの作成および編集

管理者ロールを作成または編集するには、Admin Role Administrator 機能が必要です。

管理者ロールにアクセスするには、管理者インタフェースで「セキュリティー」をクリックしてから「管理者ロール」タブをクリックします。「管理者ロール」リストページでは、Identity Manager ユーザーとサービスプロバイダユーザーの管理者ロールを作成、編集、および削除できます。

既存の管理者ロールを編集するには、リスト内の名前をクリックします。管理者ロールを作成するには、「新規」をクリックします。Identity Manager の「管理者ロールの作成」オプションが表示されます (図 5-5 参照)。「管理者ロールの作成」画面には 4 つのタブが表示されます。これらを使用して一般的な属性、機能、新しい管理者ロールの範囲、ユーザーへのロールの割り当てを指定します。

図 5-5 「管理者ロールの作成」ページ: 「General」タブ

「General」タブ

「管理者ロールの作成」または「管理者ロールの編集」画面の「General」タブを使用して、管理者ロールの次の一般的な特性を指定します。

「名前」− この管理者ロールの一意の名前。

たとえば、財務部門 (または組織) のユーザーの管理機能を持つユーザーに対して財務管理者ロールを作成できます。

「タイプ」 − タイプには「アイデンティティーオブジェクト」または「サービスプロバイダユーザー」を選択します。このフィールドは必須です。

Identity Manager ユーザー (またはオブジェクト) の管理者ロールを作成している場合は、「アイデンティティーオブジェクト」を選択します。サービスプロバイダユーザーにアクセス権限を与える管理者ロールを作成している場合は、「サービスプロバイダユーザー」を選択します。

注	サービスプロバイダユーザーにアクセス権限を与える管理者ロールの作成については、「サービスプロバイダの管理」の章の「委任された管理」を参照してください。

「譲渡者」 − ほかのユーザーにこの管理者ロールを割り当てることのできるユーザーを選択または検索します。選択できる一連のユーザーには、機能の割り当て権限を割り当てられているユーザーが含まれます。

ユーザーを選択しなかった場合、管理者ロールを割り当てることのできるユーザーは、それを作成したユーザーのみになります。管理者ロールを作成したユーザーに「ユーザーへの機能の割り当て」機能が割り当てられていない場合、少なくとも 1 人のユーザーが管理者ロールをほかのユーザーに割り当てることができるように、1 人または複数のユーザーを「譲渡者」として選択します。

「組織」 − この管理者ロールが使用できる組織を 1 つまたは複数選択します。このフィールドは必須です。

管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。

Scope of Control

このタブ (図 5-6 を参照) を使用して、この組織のメンバーが管理できる組織を指定するか、または管理者ロールのユーザーによって管理される組織を決定する規則を指定し、管理者ロールのユーザーフォームを選択します。

図 5-6 「管理者ロールの作成」: 「Scope of Control」

「管理する組織」 − 「利用可能な組織」リストから、この管理者ロールが管理する権利をもつ組織を選択します。
「管理する組織の規則」 − ユーザーログイン時に評価の対象となる、この管理者ロールが割り当てられたユーザーによって管理される組織に対する規則を選択します。選択する規則は、ControlledOrganizationsRule authType を持つ必要があります。デフォルトで、管理する組織の規則は選択されていません。
「管理する組織のユーザーフォーム」 − この管理者ロールが割り当てられたユーザーが、この管理者ロールの管理する組織のメンバーであるユーザーを作成または編集する場合に使用するユーザーフォームを選択します。デフォルトで、「管理する組織のユーザーフォーム」は選択されていません。

管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。

機能の割り当て

管理者ロールに割り当てられる機能によって、この管理者ロールが割り当てられたユーザーの管理権限が決まります。たとえば、この管理者ロールが管理者ロールの管理する組織のユーザーの作成のみに制限される場合があります。この場合、「ユーザーの作成」機能を割り当てます。

「Capabilities」タブで次のオプションを選択します。

「機能」 − これらは、管理者ロールのユーザーが管理する組織に対して持つ特定の機能 (管理権限) です。利用可能な機能のリストから 1 つ以上の機能を選択して、「割り当てられた機能」リストに移動します。
「機能規則」 − ユーザーログインの評価時に、管理者ロールが割り当てられたユーザーに与えられる機能のリストを決定する規則を選択します。選択する規則は、CapabilitiesRule authType を持つ必要があります。

管理者ロールへのユーザーフォームの割り当て

管理者ロールのメンバーにユーザーフォームを指定することができます。「管理者ロールの作成」または「管理者ロールの編集」画面の「Assign To Users」タブを使用して、割り当てを指定します。

管理者ロールを割り当てられた管理者は、その管理者ロールによって管理されている組織内のユーザーを作成または編集するときにこのユーザーフォームを使用します。管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。

ユーザーを編集するときに使用されるユーザーフォームは、次の優先順位で決定されます。

ユーザーフォームが管理者に直接割り当てられている場合は、そのユーザーフォームが使用されます。
管理者に直接割り当てられているユーザーフォームがなくても、次のような管理者ロールが管理者に割り当てられる場合があります。
作成または編集するユーザーがメンバーになっている組織を管理する
その組織に対して、ユーザーフォームが指定されている

この場合は、そのユーザーフォームが使用されます。

管理者に直接割り当てられているかまたは管理者ロールを介して間接的に割り当てられているユーザーフォームがない場合は、管理者のメンバー組織 (管理者のメンバー組織から最上位組織のすぐ下の組織まで) に割り当てられているユーザーフォームが使用されます。
管理者のメンバー組織に割り当てられているユーザーフォームがない場合は、デフォルトのユーザーフォームが使用されます。

管理者に、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールが割り当てられている場合、その組織内のユーザーを作成または編集しようとするとエラーが表示されます。管理者が、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールを割り当てようとすると、エラーが表示されます。この相反する状況を解決するまで変更は保存できません。

---

作業項目の管理

Identity Manager のタスクによって発生した一部のワークフロープロセスでは、アクションアイテムまたは作業項目が作成されます。これらの作業項目は、承認のリクエストや Identity Manager アカウントに割り当てられたその他の操作リクエストである場合があります。

Identity Manager は、1 か所に保留中のリクエストをすべて表示し、応答できるように、作業項目をすべてインタフェースの「作業項目」エリアにグループ化します。

作業項目のタイプ

作業項目は次のいずれかのタイプである場合があります。

「承認」 − 新しいアカウントまたはアカウントへの変更の承認リクエスト。
「アテステーション」 − ユーザーのエンタイトルメントのレビューおよび承認リクエスト。
「是正」 − ユーザーアカウントポリシー違反の是正または受け入れリクエスト。
「その他」 − 標準タイプ以外のアクションアイテムリクエスト。これは、カスタマイズされたワークフローから発生した操作リクエストである場合があります。

各作業項目タイプの保留中の作業項目を表示するには、メニューバーの「作業項目」タブをクリックします。作業項目にアクセスし、このタブからリクエストを管理したり、作業項目タイプの 1 つを選んでそのタイプのリクエストを一覧表示したりできます。

注	保留中の作業項目 (または委任された作業項目) を持つ作業項目の所有者である場合は、Identity Manager ユーザーインタフェースにログインすると、作業項目リストが表示されます。

作業項目リクエストの操作

作業項目リクエストに応答するには、インタフェースの「作業項目」の作業項目タイプのうち 1 つをクリックします。リクエストのリストから項目を選択して、使用できるボタンの 1 つをクリックして、実行する操作を示します。作業項目オプションは、作業項目タイプによって異なります。

リクエストへの応答の詳細については、次のトピックを参照してください。

「アカウントの承認」
「アテステーション作業の管理」
「コンプライアンス違反の是正と受け入れ」

作業項目履歴の表示

「作業項目」エリアの「履歴」タブを使用して、以前の作業項目操作の結果を表示できます。図 5-7 は、作業項目履歴の表示例です。

図 5-7 作業項目履歴の表示

作業項目の委任

作業項目の所有者は、作業項目を他のユーザーに一定期間委任して作業負荷を管理できます。「作業項目」>「自分の作業項目の委任」ページを使用して、承認のリクエストなど、将来の作業項目を 1 人以上のユーザー (被委任者) に委任できます。委任されるユーザーに Approver 機能は必要ありません。

注	委任機能は、将来の作業項目にのみ適用されます。既存の作業項目 (「自分の作業項目」の下に一覧表示される項目) は転送機能で選択的に転送されます。

「ユーザーの作成/編集」ページの「委任」フォームタブとユーザーインタフェースメインメニューからも作業項目を委任できます。

被委任者は有効な委任期間中、承認者の代わりに作業項目を承認できます。委任された作業項目には、被委任者の名前が記されます。

すべてのユーザーは自分の将来の作業項目に対する委任を設定できます。また、ユーザーを編集できる管理者も、ユーザーに代わって委任を設定できます。

監査ログエントリ

承認および却下された作業項目の監査ログエントリには、リクエストが委任された場合、委任者の名前が記されます。ユーザーが作成または修正されると、ユーザーの委任承認者情報の変更が監査ログエントリの詳細変更セクションにログ記録されます。

現在の委任の表示

「作業項目」タブから「自分の作業項目の委任」を選択すると、「現在の委任」ページが表示され、現在の有効な委任を表示および編集できます。

以前の委任の表示

「作業項目」タブから「自分の作業項目の委任」を選択し、「委任履歴 (Previous)」を選択すると、以前に委任された作業項目が表示され、新しい委任を設定するために使用できます。

委任の作成

委任を作成するには、「自分の作業項目の委任」を選択し、「新規」を選択します。次の選択を行います。

「委任する作業項目タイプの選択」 − 選択リストから作業項目タイプを選択します。

デフォルトの作業項目タイプは、次のとおりです。

承認
組織の承認
リソースの承認
ロールの承認
アテステーション
レビュー
アクセスレビュー是正

注	少なくとも 1 つのロールに対して承認者でない場合、「ロールの承認」タイプの作業項目を委任できません。同様に、少なくとも 1 つのリソースに対して承認者でない場合、「リソースの承認」作業項目を委任できません。また、少なくとも 1 つの組織に対して承認者でない場合、「組織の承認」作業項目を委任できません。

「組織の承認」、「リソースの承認」、または「ロールの承認」を選択すると、関連するオブジェクトタイプに関する選択エリアがページに表示されます。選択リストに一覧表示されるロール、リソース、組織には、自分が承認者であるもののみが含まれます。

このため、たとえば、自分が承認者であるリソースのうち 1 つのリソースのみに対する承認を委任できます。

「作業項目の委任先」 − 次のいずれかを選択します。
「選択されたユーザー」 − 自分の管理範囲内で、委任するユーザーを名前で検索して選択します。また、選択した被委任者のうちのだれかがこの作業項目をさらにほかの人に委任した場合、今後リクエストされる作業項目は被委任者の被委任者に委任されることになります。

「選択されたユーザー」エリアで 1 人以上のユーザーを選択します。または、「検索して追加」をクリックし、検索機能を開いてユーザーを検索します。見つけたユーザーをリストに追加するには、「追加」をクリックします。リストから被委任者を削除するには、そのユーザーを選択し、「削除」をクリックします。

「自分のマネージャー」 − 作業項目リクエストを自分のマネージャーに委任する場合は、これを選択します (マネージャーが割り当てられている場合)。
DelegateWorkItemRule − 選択された作業項目タイプを委任できる Identity Manager ユーザー名のリストを返す規則を選択します。
開始日 − 作業項目の委任を開始する日付を選択します。デフォルトでは、選択した日の午前 12:01 に開始します。
終了日 − 作業項目の委任が終了する日付を選択します。デフォルトでは、選択した日付の午後 11:59 に終了します。

注	1 日間だけ作業項目を委任するために、開始日と終了日を同じにすることもできます。

「OK」をクリックして選択を保存し、承認待ち作業項目のリストに戻ります。

委任の終了

1 つまたは複数の委任を終了するには、次の手順に従います。

「委任」を選択し、「現在」を選択します。
終了する 1 つまたは複数の委任を選択し、「終了」をクリックします。

選択した委任設定が削除され、選択した委任された作業項目タイプが保留中の作業項目リストに戻ります。

---

アカウントの承認

ユーザーが Identity Manager システムに追加された場合、新しいアカウントに対する承認者として割り当てられている管理者は、アカウント作成を検証する必要があります。Identity Manager は、これらの Identity Manager オブジェクトに適用される次の 3 つの承認カテゴリをサポートします。

組織 − 組織に追加されるユーザーアカウントに承認が必要です。
ロール − ロールに割り当てられるユーザーアカウントに承認が必要です。
リソース − リソースに対するアクセス権を与えられるユーザーアカウントに承認が必要です。

注	Identity Manager では、デジタル署名された承認を設定できます。詳細については、「デジタル署名付き承認およびアクションの設定」を参照してください。

承認者のセットアップ

これらの各カテゴリに対する承認者のセットアップは必須の作業ではありませんが、セットアップすることを推奨します。アカウントの作成では、承認者をセットアップするカテゴリごとに、少なくとも 1 つの承認が必要です。1 人の承認者がリクエストの承認を却下した場合、アカウントは作成されません。

各カテゴリに複数の承認者を割り当てることができます。1 つのカテゴリ内で必要な承認は 1 つのみであるため、複数の承認者をセットアップして、ワークフローが遅延または停止していないかどうかを確認できます。1 人の承認者が利用不可能な場合は、ほかの承認者を利用してリクエストを処理できます。承認は、アカウント作成にのみ適用されます。デフォルトでは、アカウントの更新と削除に承認は必要ありません。ただし、承認を必要とするように、このプロセスをカスタマイズできます。

Identity Manager は、承認プロセスとアカウント作成リクエストのステータスをワークフロー図として図示します。Identity Manager IDE を使用すると、承認の流れを変更したり、アカウントの削除を取得したり、更新を取得したりして、ワークフローをカスタマイズすることができます。

IDE、ワークフローの詳細、承認ワークフローの変更を図示した例については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

図 5-8 はアカウント作成ワークフローとワークフロープロセスでの承認のタイミングを示しています。

図 5-8 アカウント作成ワークフロー

Identity Manager 承認者は承認リクエストを承認または却下できます。デジタル署名を使用してアカウントを承認するには、「デジタル署名付き承認およびアクションの設定」の説明に従ってまずデジタル署名を設定する必要があります。

Identity Manager インタフェースの「作業項目」エリアで保留中の承認を表示したり、承認を管理したりできます。保留中の承認を表示するには、「作業項目」ページで「自分の作業項目」をクリックします。承認を管理するには、「承認」タブををクリックします。

承認の署名

次の手順を実行して、承認に署名します。

Identity Manager の管理者インタフェースから、「作業項目」を選択します。
「承認」タブをクリックします。
リストから承認を 1 つまたは複数選択します。
承認のコメントを入力して、「承認」をクリックします。

Identity Manager はアプレットを信頼するかどうかを確認するようにリクエストします。

「常時」をクリックします。

Identity Manager は承認の日付入りの概要を表示します。

キーストアの場所 (署名付き承認の設定中に設定した場所。「署名付き承認のためのクライアント側の設定」の手順 10m で説明) を、入力するかまたは「参照」をクリックして特定します。
キーストアパスワード (署名付き承認の設定中に設定したパスワード。「署名付き承認のためのクライアント側の設定」の手順 10l で説明) を入力します。
「署名」をクリックして、リクエストを承認します。

その後の承認の署名

承認に署名すると、それ以後の承認アクションでは、キーストアパスワードを入力して「署名」をクリックするだけで済みます。Identity Manager は、前回の承認で使用したキーストアの場所を記憶しています。

デジタル署名付き承認およびアクションの設定

次の情報と手順を使用して、デジタル署名を設定します。次のものにデジタル署名できます。

ユーザーの承認
アクセスレビューアクション
コンプライアンス違反の是正

この節では、署名付き承認のために証明書と CRL を Identity Manager に追加するために必要なサーバー側とクライアント側の設定について説明します。

署名付き承認のためのサーバー側の設定

サーバー側の設定を有効にするには、次のようにします。

システム設定に security.nonrepudiation.signedApprovals=true を設定します。
自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。

たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

http://IPAddress/certsrv にアクセスして、管理特権でログインします。
「CA 証明書または証明書失効リストの取得」を選択して、「次へ」をクリックします。
CA 証明書をダウンロードして保存します。
この証明書を Identity Manager に信頼できる証明書として追加します。
管理者インタフェースから、「設定」を選択し、「証明書」を選択すると、Identity Manager は「証明書」ページを表示します。

図 5-9 証明書



「信頼できる認証局証明書」エリアで、「追加」をクリックします。Identity Manager は「証明書のインポート」ページを表示します。
信頼できる証明書を参照および選択して、「インポート」をクリックします。

これで、証明書が信頼できる証明書のリストに表示されます。

次のようにして、CA の証明書失効リスト (CRL) を追加します。
「証明書」ページの「CRL」エリアで、「追加」をクリックします。
CA の CRL の URL を入力します。

注	証明書失効リスト (CRL) は、失効したか有効ではない証明書シリアル番号のリストです。 CA の CRL の URL は http または LDAP にすることができます。 CRL 配布先の URL は CA ごとに異なりますが、CA 証明書の「CRL 配布点」拡張を参照して決めることができます。

「テスト接続」をクリックして、URL を確認します。
「保存」をクリックします。
jarsigner を使用して applets/ts1.jar に署名します。

注	詳細については、http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts1.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。

署名付き承認のためのクライアント側の設定

クライアント側の設定を有効にするには、次のようにします。

前提条件

クライアントシステムで、JRE 1.4 以上が動作する Web ブラウザが実行されている必要があります。

手順

証明書と非公開鍵を取得して、PKCS#12 キーストアにエクスポートします。

たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

Internet Explorer を使用して、http://IPAddress/certsrv を参照し、管理特権でログインします。
「証明書のリクエスト」を選択して、「次へ」をクリックします。
「リクエストの詳細設定」を選択して、「次へ」をクリックします。
「次へ」をクリックします。
「証明書テンプレート」で「ユーザー」を選択します。
次のオプションを選択します。
エクスポート可能なキーとして指定する
秘密キーの強力な保護を有効にする
ローカルコンピュータストアを使用する
「送信」をクリックして、「OK」をクリックします。
「この証明書のインストール」をクリックします。
「ファイル名を指定して実行」> mmc を実行して、mmc を起動します。
証明書スナップインを追加します。
「コンソール」>「スナップインの追加と削除」を選択します。
「追加...」をクリックします。
「コンピュータアカウント」を選択します。
「次へ」をクリックして、「完了」をクリックします。
「閉じる」をクリックします。
「OK」をクリックします。
「証明書」>「個人」>「証明書」の順に進みます。
「管理者」を右クリックして、「すべてのタスク」>「エクスポート」を選択します。
「次へ」をクリックします。
「次へ」をクリックして、非公開鍵がエクスポートされていることを確認します。
「次へ」をクリックします。
パスワードを設定して、「次へ」をクリックします。
ファイル CertificateLocation。
「次へ」をクリックして、「完了」をクリックします。「OK」をクリックして確認します。

注	クライアント側の設定の手順 10l (パスワード) と 10m (証明書の場所) で使用した情報をメモしておいてください。この情報は、承認の署名のために必要です。

トランザクション署名の表示

次の手順を実行して、Identity Manager の監査ログレポートにトランザクション署名を表示します。

Identity Manager の管理インタフェースから、「レポート」を選択します。
「レポートの実行」ページで、オプションの「新規...リストから「監査ログレポート」を選択します。
「レポートタイトル」フィールドに、「承認」などのタイトルを入力します。
「組織」選択エリアで、すべての組織を選択します。
「アクション」オプションを選択して、「承認」を選択します。
「保存」をクリックしてレポートを保存し、「レポートの実行」ページに戻ります。
「実行」をクリックして、「承認」レポートを実行します。
詳細リンクをクリックして、次に示すトランザクション署名情報を表示します。
発行者
主体
証明書シリアル番号
署名されたメッセージ
署名
署名アルゴリズム

前へ      目次      索引      次へ

---

Part No: 820-2289.   Copyright 2007 Sun Microsystems, Inc. All rights reserved.