第 3 章ユーザーとアカウントの管理

この章では、Identity Manager 管理者インタフェースを使用したユーザー管理の説明および手順を示します。次に示す Identity Manager ユーザーおよびアカウントの管理タスクについて説明します。

ユーザーアカウントデータについて

ユーザーとは、Identity Manager システムアカウントを所持する個人のことです。Identity Manager には、各ユーザーについての一連のデータが格納されています。この情報が集まって、特定のユーザーの Identity Manager ID を形成します。

Identity Manager の管理者インタフェースの「アカウント」タブにある「ユーザーの作成」ページでは、ユーザーデータが次のエリアに分類されて表示されます。

「ID」エリアでは、ユーザーのアカウント ID、名前、連絡先情報、管理する組織、および Identity Manager アカウントパスワードを定義します。また、ユーザーがアクセスできるリソース、および各リソースアカウントに適用されているパスワードポリシーが示されます。

次の図は、「ユーザーの作成」ページの「ID」エリアを示します。

割り当て

「割り当て」エリアでは、リソースなどの Identity Manager オブジェクトに対するアクセスの制限を設定します。

「割り当て」フォームのタブをクリックして、次の割り当てを設定します。


注	アカウントパスワードポリシーの設定の詳細については、この章の「ユーザーアカウントパスワードの操作」の節を参照してください。

Identity Manager アカウントポリシーの割り当て－パスワードと認証の制限を設定します。

ロールの割り当て－ユーザークラスのプロファイルを作成します。ロールは、間接的な割り当てによってリソースへのユーザーアクセスを定義します。

リソースとリソースグループの割り当て－ユーザーに直接割り当てることができる利用可能なリソースとリソースグループ、およびユーザーアクセスから除外できるリソースが表示されます。これらは、ロールの割り当てによってユーザーに間接的に割り当てられるリソースを補足します。

セキュリティー

Identity Manager では、拡張機能が割り当てられたユーザーを Identity Manager 管理者と呼びます。「セキュリティー」タブを使用して、次の割り当てを行うことにより、これらの拡張管理機能をユーザーに設定します。

管理者ロール －機能および管理する組織の一意のセットを組み合わせることによって、管理ユーザーに、調整済みの割り当てを簡単に設定できます。

機能－ Identity Manager システムでの権限を有効にします。各 Identity Manager 管理者には、多くの場合は職務に応じて、1 つ以上の機能が割り当てられます。

管理する組織 －ユーザーが管理者として管理する権限を持つ組織を割り当てます。管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。



注	ユーザーに管理者機能を与えるには、少なくとも 1 つの管理者ロールまたは 1 つ以上の機能および 1 つ以上の管理する組織を割り当てる必要があります。Identity Manager 管理者の詳細については、「Identity Manager の管理について」を参照してください。

「ユーザーフォーム」 －ユーザーの作成および編集時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザーフォームを継承します。

「ユーザー表示フォーム」 －ユーザーの表示時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザーフォームを継承します。

委任

「ユーザーの作成」ページの「委任」タブを使用すると、作業項目をほかのユーザーに一定期間、委任できます。作業項目の委任の詳細については、「作業項目の委任」を参照してください。

属性

「ユーザーの作成」ページの「属性」エリアでは、割り当てられたリソースに関連付けられるアカウント属性を定義します。リストされる属性は、割り当てられたリソースごとに分類され、割り当てられたリソースによって異なります。

コンプライアンス

ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択できます。

ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定します。これらのポリシーの割り当ては、ユーザーの現在の組織を編集するか、ユーザーを別の組織に移すことによってのみ変更できます。

ユーザーアカウントに該当するデータがある場合は、次の図に示すように、ポリシーのスキャン、違反、および免除の現在のステータスも示されます。選択されたユーザーで最後に実行された監査ポリシースキャンの日時の情報も含まれます。

図 3-2 「ユーザーの作成」ページ－「コンプライアンス」タブ
「ユーザーの作成」ページの「コンプライアンス」タブを使用した監査ポリシーの割り当てとポリシー違反ステータスの表示

監査ポリシーを割り当てるには、選択したポリシーを「利用可能な監査ポリシー」リストから「現在の監査ポリシー」リストへ移動します。



注	「ユーザーアクション」リストの「コンプライアンスステータスの表示」を選択することにより、「コンプライアンス」タブの情報にアクセスすることもできます。あるユーザーに対し特定の期間に記録されたコンプライアンス違反を表示するには、「ユーザーアクション」リストから「コンプライアンス違反ログの表示」を選択し、表示するエントリの範囲を指定します。

インタフェースの「アカウント」エリア

Identity Manager アカウントエリアを使用して、Identity Manager ユーザーを管理できます。このエリアにアクセスするには、管理者インタフェースメニューバーから「アカウント」を選択します。

アカウントリストには、Identity Manager ユーザーアカウントがすべて表示されます。アカウントは組織と仮想組織にグループ化され、階層構造のフォルダで表示されます。

アカウントリストは、フルネーム (「名前」)、ユーザーの姓 (「姓」)、またはユーザーの名 (「名」) で並べ替えることができます。列で並べ替えるには、ヘッダーバーをクリックします。同じヘッダーバーをクリックすると、昇順と降順が切り替わります。フルネーム (「名前」列) で並べ替えると、階層内のすべてのレベルのすべての項目がアルファベット順に並べ替えられます。

階層表示を展開して組織内のアカウントを表示するには、フォルダの隣にある三角形のマークをクリックします。表示を折りたたむには、マークをもう一度クリックします。

「アカウント」エリアのアクションリスト

各種アクションを実行するときは、図 3-3 に示すように、「アカウント」エリアの上部と下部にあるアクションリストを使用します。アクションリストの選択項目は、次のように分類されています。

「新規作成アクション」 －ユーザー、組織、およびディレクトリジャンクションを作成します。

「ユーザーアクション」 －ユーザーのステータスの編集、表示、および変更、パスワードの変更およびリセット、ユーザーの削除、有効化、無効化、ロック解除、移動、更新、および名前変更、ユーザー監査レポートの実行を行います。

「組織アクション」 －組織と組織内のユーザーに対して各種アクションを実行します。

図 3-3 アカウントリスト
アカウントリストを使用して、ユーザーの編集、有効化、無効化、ロック解除、名前変更、更新、およびパスワードの変更操作を実行できます。

「アカウントリスト」エリアでの検索

ユーザーと組織を検索するときは、「アカウント」エリアの検索機能を使用します。リストから「組織」または「ユーザー」を選択し、そのユーザーまたは組織の名前を先頭から 1 文字以上検索エリアに入力して、「検索」をクリックします。「アカウント」エリアでの検索の詳細については、「アカウントの検索」を参照してください。

ユーザーアカウントステータス

各ユーザーアカウントの隣に表示されるアイコンは、現在割り当てられているアカウントステータスを示します。表 3-1 に、各アイコンの説明を示します。

表 3-1 ユーザーアカウントステータスアイコンの説明
インジケータ	ステータス
	Identity Manager ユーザーアカウントはロックされています。これは、ログイン試行の失敗回数が、リソースに設定された制限を越えたために、ユーザーがリソースアカウントからロックアウトされていることを示します。
	Identity Manager 管理者アカウントはロックされています。
	アカウントは、割り当てられたすべてのリソースおよび Identity Manager で無効になっています。アカウントが有効なときは、アイコンは表示されません。
	アカウントは、一部無効になっています。これは、割り当てられた 1 つ以上のリソースで無効になっていることを示します。
	1 つ以上のリソースで Identity Manager ユーザーアカウントの作成または更新が試行されましたが、失敗しました。割り当てられたすべてのリソースでアカウントが更新されたときは、アイコンは表示されません。

ユーザーアカウントの操作

管理者インタフェースの「アカウント」エリアでは、次のシステムオブジェクトに対する一連の操作を実行できます。

ユーザー －表示、作成、編集、移動、名前変更、プロビジョン解除、有効化、無効化、更新、ロック解除、削除、割り当て解除、リンク解除、および監査

パスワード －変更およびリセット

組織－組織のメンバーに対するユーザーアクションの作成、編集、更新、および実行

ディレクトリジャンクション －作成

ユーザー

この節では、ユーザーアカウントの管理を中心に説明します。組織の管理など、管理レベルのその他のタスクの詳細については、第 5 章「管理」を参照してください。

表示

ユーザーアカウントの詳細を表示するには、リストでユーザーを選択し、「ユーザーアクション」リストから「表示」を選択します。

「ユーザーの表示」ページに、ユーザーの編集または作成時に設定された ID、割り当て、セキュリティー、および属性情報の選択項目のサブセットが表示されます。「ユーザーの表示」ページの情報は編集できません。アカウントリストに戻るには、「キャンセル」をクリックします。

作成 (「新規作成アクション」リスト、「新規ユーザー」選択)

ユーザーアカウントを作成するには、「新規作成アクション」リストから「新規ユーザー」を選択します。最上位 (Top) 以外の組織にユーザーを作成する場合は、組織フォルダを選択してから、「新規作成アクション」リストで「新規ユーザー」を選択します。

1 つのエリアで利用可能な選択項目は、別のエリアでの選択により異なります。

ユーザーフォームで定義した「ユーザーの作成」ページでは、ユーザーアカウントに関する次の項目を設定できます。

ビジネスプロセスや特定の管理者機能をより適切に反映するように、環境に合わせたユーザーフォームを設定できます。ユーザーフォームのカスタマイズの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

ユーザーの作成設定を表示するには、「ユーザーの作成」ページのタブをクリックします。タブ間は任意の順序で移動できます。選択が完了したら、ユーザーアカウントを保存するための次の 2 つのオプションを選択できます。

「保存」 －ユーザーアカウントを保存します。アカウントに多数のリソースを割り当てた場合は、このプロセスにしばらく時間がかかります。

「バックグラウンドで保存」 －このプロセスではユーザーアカウントをバックグラウンドタスクとして保存します。この場合は、Identity Manager での作業を引き続き実行できます。「アカウント」ページ、「ユーザーの検索結果」ページ、および「ホーム」ページに、進行中の各保存処理に関するタスクステータスインジケータが表示されます。

ステータスインジケータでは、次の表で説明するように、保存プロセスの進捗を確認できます。

表 3-2 バックグラウンドでの保存タスクのステータスインジケータの説明
ステータスインジケータ	ステータス
	保存プロセスは進行中です。
	保存プロセスは保留されています。ほとんどの場合、これは、プロセスが承認を待っていることを意味します。
	プロセスは正常に完了しました。これは、ユーザーが正常に保存されたことを示すものではありません。プロセスがエラーなしで完了したことを示すものです。
	プロセスはまだ開始されていません。
	プロセスは完了しましたが、1 つ以上のエラーが発生しました。

ステータスインジケータ内に表示されるユーザーアイコンの上にマウスを移動すると、バックグラウンドの保存プロセスについての詳細が表示されます。



注	サンライズが設定されている場合、ユーザーを作成すると、「承認」タブから表示できる作業項目が作成されます。この項目を承認すると、サンライズの日付が上書きされ、アカウントが作成されます。項目を却下すると、アカウントの作成がキャンセルされます。サンライズの設定の詳細については、「「サンライズとサンセット」タブの設定」を参照してください。

複数のユーザーアカウント (アイデンティティー) の作成

1 つのリソースに複数のユーザーアカウントを作成できます。ユーザーを作成または編集して 1 つ以上のリソースを割り当てた場合、そのリソースに追加のアカウントをリクエストして定義することもできます。

編集

アカウント情報を編集するには、次のいずれかの操作を行います。

変更を加えて保存すると、Identity Manager により「リソースアカウントの更新」ページが表示されます。このページには、ユーザーに割り当てられたリソースアカウントと、そのアカウントに適用される変更が表示されます。割り当てられたすべてのリソースに変更を適用する場合は、「すべてのリソースアカウントの更新」を選択します。または、ユーザーに関連付けられた 0 または 1 つ以上のリソースアカウントを個別に選択して更新します。

編集を完了する場合は「保存」をもう一度クリックします。さらに変更を加える場合は「編集に戻る」をクリックします。

ユーザーの移動 (「ユーザーアクション」)

「ユーザーの組織の変更」タスクでは、ユーザーを、現在割り当てられている組織から削除して、新しい組織に再割り当て、つまり移動できます。

ユーザーを別の組織に移動するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」リストから「移動」を選択します。

名前の変更 (「ユーザーアクション」)

通常、リソースのアカウント名の変更は複雑な操作です。このため、Identity Manager では、ユーザーの Identity Manager アカウントの名前を変更する機能、およびそのユーザーに関連付けられた 1 つ以上のリソースアカウントの名前を変更する機能を別個に用意しています。

名前の変更機能を使用するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「名前の変更」を選択します。

「ユーザーの名前変更」ページでは、ユーザーのアカウント名、関連付けられたリソースアカウント名、およびそのユーザーの Identity Manager アカウントに関連付けられたリソースアカウント属性を変更できます。

次の図に示すように、ユーザーには Active Directory リソースが割り当てられています。名前の変更プロセスでは、次を変更できます。

ユーザーの無効化 (「ユーザーアクション」、「組織アクション」)

ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。

1 つのユーザーアカウントの無効化

1 つのユーザーアカウントを無効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。

表示された「無効化」ページで、無効化するリソースアカウントを選択し、「OK」をクリックします。Identity Manager ユーザーアカウントと、それに関連付けられたすべてのリソースアカウントを無効化した結果が表示されます。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。


注	リソースタイプの一部では、アカウントの名前変更をサポートしません。


注	割り当てられたリソースがアカウントの無効化をサポートしない場合、ユーザーアカウントには新しくランダムに生成されたパスワードが割り当てられて、無効化されます。

図 3-6 に、「無効化」ページでの無効化されたアカウントを示します。

複数のユーザーアカウントの無効化

複数の Identity Manager ユーザーアカウントを同時に無効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。



注	複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。

ユーザーの有効化 (「ユーザーアクション」、「組織アクション」)

ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。アカウントの有効化をサポートしないリソースの場合は、ランダムなパスワードが新しく生成されます。選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。

ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。または、管理特権を持つユーザーがこのパスワードをリセットできます。

1 つのユーザーアカウントの有効化

1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

表示された「有効化」ページで、有効化するリソースを選択し、「OK」をクリックします。Identity Manager アカウントと、それに関連付けられたすべてのリソースアカウントを有効化した結果が表示されます。

複数のユーザーアカウントの有効化

複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。



注	複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。

ユーザーの更新 (「ユーザーアクション」、「組織アクション」)

更新操作では、ユーザーアカウントに関連付けられたリソースが Identity Manager で更新されます。「アカウント」エリアから更新を実行した場合は、以前にユーザーに対して行われた保留中の変更が、選択されたリソースに送信されます。次の場合にこの状況が発生する可能性があります。

更新の実行時にリソースが利用不可能だった場合

ロールまたはリソースグループに対して変更が行われたが、それに関連付けられたすべてのユーザーにその変更を送信する必要がある場合。この場合は、「ユーザーの検索」ページを使用してユーザーを検索し、更新操作の実行対象とする 1 人以上のユーザーを選択する必要があります。

ユーザーアカウントの更新時には、次のオプションを選択できます。

1 つのユーザーアカウントの更新

1 つのユーザーアカウントを更新するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

「リソースアカウントの更新」ページで、更新するリソースを 1 つ以上選択するか、または割り当てられたリソースアカウントをすべて更新する場合は「すべてのリソースアカウントの更新」を選択します。選択し終えたら、「OK」をクリックして、更新プロセスを開始します。または、「バックグラウンドで保存」をクリックして、操作をバックグラウンドプロセスとして実行します。

確認ページで各リソースに送信されるデータを確認します。

図 3-7 に「リソースアカウントの更新」ページを示します。この図で、Lighthouse は Identity Manager を意味します。

複数のアカウントの更新

複数の Identity Manager ユーザーアカウントを同時に更新できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。



注	複数のユーザーアカウントを更新する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが更新されます。

ユーザーのロック解除 (「ユーザーアクション」、「組織アクション」)

ログインの再試行回数が、リソースに設定された制限を越えたために、ユーザーが 1 つ以上のリソースアカウントからロックアウトされることがあります。パスワードまたは質問によるログイン試行で許容される最大失敗回数は、ユーザーの有効な Lighthouse アカウントポリシーによって設定されます。

パスワードによるログイン試行の最大失敗回数を超えたためにユーザーがロックされた場合、そのユーザーは、ユーザーインタフェース、管理者インタフェース、「Forgot My Password」、Identity Manager IDE、SOAP、およびコンソールを含むいずれの Identity Manager アプリケーションインタフェースにも認証されません。質問によるログイン試行の最大失敗回数を超えたためにロックされた場合は、「Forgot My Password」を除く任意の Identity Manager アプリケーションインターフェイスに認証できます。

パスワードによるログイン試行の失敗

パスワードによるログイン試行に失敗したためにロックされた場合、ユーザーアカウントは、次の期間ロックされたままになります。

管理ユーザーがそのユーザーアカウントをロック解除するまで。アカウントを正常にロック解除するには、管理者に「Unlock User」機能が割り当てられていて、管理者がそのユーザーのメンバー組織の管理コントロールを持っている必要があります。

ロックの有効期限の日時が設定されている場合は、現在の日時がユーザーのロックの有効期限の日時を過ぎるまで。ロックの有効期限は、Lighthouse アカウントポリシーのロックタイムアウト値によって設定されます。

質問によるログイン試行の失敗

質問によるログイン試行の最大回数を超えたためにロックされた場合、ユーザーアカウントは、次のいずれかの操作が行われるまでロックされたままになります。

ロックされたユーザー、または適切な機能を持つユーザーが、ユーザーのパスワードを変更またはリセットするまで。

適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。

ロックされた状態のユーザーは、管理者インタフェース、ユーザーインタフェース、Identity Manager IDE を含むいずれの Identity Manager アプリケーションにもログインできません。この制限は、ユーザーが、ユーザー ID および秘密の質問への回答を提供するか、1 つ以上のリソースにパススルーするかのどちらにも関係なく、自分の Identity Manager ユーザー ID とパスワードでログインを試みる場合に適用されます。

アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。

削除 (「ユーザーアクション」、「組織アクション」)

削除操作では、リソースから Identity Manager ユーザーアカウントアクセスを削除するためのオプションがいくつかあります。

「削除」 －選択した各リソースについて、関連付けられたリソースアカウントが Identity Manager で削除されます。また、選択したリソースは、Identity Manager ユーザーからリンク解除されます。

「割り当て解除」 －選択した各リソースについて、Identity Manager では関連付けられたリソースが、ユーザーに割り当てられたリソースのリストから削除されます。選択したリソースは、ユーザーからリンク解除されます。関連付けられたリソースアカウントは削除されません。

「リンク解除」 －選択した各リソースについて、Identity Manager では付けられたリソースアカウント情報が Identity Manager ユーザーから削除されます。



注	ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントをリンク解除する場合は、ユーザーを更新するとリンクが回復されることがあります。

削除操作を開始するには、ユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから適切な削除操作を選択します。

Identity Manager では「リソースアカウントの削除」ページが表示されます。

ユーザーアカウントとリソースアカウントの削除

Identity Manager ユーザーアカウントまたはリソースアカウントを削除するには、「削除」列でアカウントを選択して「OK」をクリックします。すべてのリソースアカウントを削除するには、「すべてのリソースアカウントの削除」オプションを選択して、「OK」をクリックします。

リソースアカウントの割り当て解除またはリンク解除

Identity Manager ユーザーアカウントからリソースアカウントを割り当て解除またはリンク解除するには、「割り当て解除」列または「リンク解除」列でアカウントを個別に選択して、「OK」をクリックします。すべてのリソースアカウントを割り当て解除するには、「すべてのリソースアカウントの割り当て解除」または「すべてのリソースアカウントのリンク解除」オプションを選択して、「OK」をクリックします。

パスワード

「パスワードの変更」および「パスワードのリセット」のユーザーアクションを使用して、「ユーザーの編集」ページを呼び出し、選択したユーザーのユーザーパスワードを変更またはリセットできます。「ユーザーアカウントパスワードの操作」も参照してください。

アカウントの検索

Identity Manager の検索機能を使用して、ユーザーアカウントを検索できます。検索パラメータを入力および選択すると、Identity Manager では選択した条件を満たすすべてのアカウントが検索されます。

アカウントを検索するには、メニューバーの「アカウント」を選択して、「ユーザーの検索」を選択します。次の 1 つ以上の検索の種類でアカウントを検索できます。

ユーザー名、電子メールアドレス、姓、名などのアカウントの詳細。本人が所属する機関に固有の Identity Manager 実装によって選択は異なります。

ユーザーの管理者。

リソースアカウントステータス。次のものがあります。

「無効」 －ユーザーは Identity Manager または割り当てられたリソースアカウントのどれにもアクセスできません。

「一部無効」 －ユーザーは割り当てられたリソースアカウントの 1 つ以上にアクセスできません。

「有効」 －ユーザーは割り当てられたリソースアカウントのすべてにアクセスできます。

ユーザーアカウントステータス。次のものがあります。

「ロックされている」 －パスワードまたは質問によるログイン試行の失敗回数が、許容される最大回数を超えたため、ユーザーアカウントがロックされています。

「ロックされていない」 －ユーザーアカウントは制限されていません。

更新ステータス。次のものがあります。

「0 個の」 －どのリソースでも更新されていないユーザーアカウント。

「一部」 －割り当てられたリソースの 1 つ以上 (ただし全部ではない) で更新されたユーザーアカウント。

「すべて」 －割り当てられたすべてのリソースで更新されたユーザーアカウント。

割り当てられたリソース

ロール

所属している組織

管理する組織

機能

管理者ロール

検索結果リストには、検索に一致するすべてのアカウントが表示されます。結果ページで次の操作ができます。

編集するユーザーアカウントの選択。アカウントを編集するには、検索結果リストでそのアカウントをクリックするか、またはリストでそのアカウントを選択して「編集」をクリックします。

複数のアカウントに対する操作 (有効化、無効化、ロック解除、削除、更新、またはパスワードの変更/リセットなど) の実行。操作を実行するには、検索結果リスト内でアカウントを 1 つ以上選択し、該当する操作をクリックします。

ユーザーアカウントの作成。

図 3-9 ユーザーアカウントの検索結果
「ユーザーアカウントの検索結果」ページで名前をクリックして、アカウント情報を表示または編集します。

一括アカウントアクション

Identity Manager アカウントに対していくつかの一括アクションを実行できます。これにより、複数のアカウントを同時に操作することができます。次の一括アクションを開始できます。

削除－選択したリソースアカウントを削除、割り当て解除、またはリンク解除します。各ユーザーの Identity Manager アカウントを削除するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。

削除とリンク解除 －選択したリソースアカウントを削除し、ユーザーからアカウントをリンク解除します。

無効化 －選択したリソースアカウントをすべて無効化します。各ユーザーの Identity Manager アカウントを無効化するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。

有効化 －選択したリソースアカウントをすべて有効化します。各ユーザーの Identity Manager アカウントを有効にするには、「Identity Manager アカウントをターゲットにする」オプションを選択します。

割り当て解除、リンク解除 －選択したリソースアカウントをリンク解除し、それらのリソースに対する Identity Manager ユーザーアカウントの割り当てを削除します。割り当て解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントを割り当て解除することはできません。

リンク解除 －リソースアカウントから、Identity Manager ユーザーアカウントとの関連付け (リンク) を削除します。リンク解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントをリンク解除した場合は、ユーザーを更新するとリンクを回復できます。

一括アクションは、ファイルか、電子メールクライアントやスプレッドシートプログラムなどのアプリケーションにユーザーのリストを保存している場合にもっとも役立ちます。ユーザーのリストをこのインタフェースページのフィールドにコピーして貼り付けることも、ファイルからユーザーのリストを読み込むこともできます。

これらの操作の大部分を、ユーザーの検索結果に対して実行できます。ユーザーの検索は、「ユーザーの検索」ページの「アカウント」タブで行います。

タスクの終了時にタスク結果が表示されたときに「CSV のダウンロード」をクリックすることにより、一括アカウントアクションの結果を CSV ファイルに保存できます。

一括アカウントアクションの起動

一括アカウントアクションを起動するには、値を選択または入力して、「起動」をクリックしてください。Identity Manager はバックグラウンドタスクを起動して一括アクションを実行します。

一括アクションタスクのステータスを監視するには、「タスク」タブに進んでタスクのリンクをクリックします。

アクションリストの使用

一括アクションのリストをカンマ区切り値 (comma-separated value; CSV) 形式で指定できます。これにより、各種操作を 1 つのアクションリストに混在させることができます。また、複雑な作成および更新の操作も指定できます。

CSV 形式は、2 行以上の入力行で構成されます。各行は、カンマで区切った値のリストで構成されます。1 行目にはフィールド名を指定します。以降の各行は、Identity Manager ユーザーまたはユーザーのリソースアカウント、あるいはその両方に対して実行する操作に対応します。各行に同じ数の値を指定する必要があります。空の値を指定すると、対応するフィールドの値は変更されないまま残ります。

どの一括アクション CSV にも必須のフィールドが 2 つあります。

user － Identity Manager ユーザーの名前を指定します。

command － Identity Manager ユーザーに対して実行する操作を指定します。有効なコマンドを次に示します。

Delete －リソースアカウントまたは Identity Manager アカウント、あるいはその両方を削除、割り当て解除、およびリンク解除します。

DeleteAndUnlink －リソースアカウントを削除してリンク解除します。

Disable －リソースアカウントまたは Identity Manager アカウント、あるいはその両方を無効化します。

Enable －リソースアカウントまたは Identity Manager アカウント、あるいはその両方を有効化します。

Unassign －リソースアカウントを割り当て解除してリンク解除します。

Unlink －リソースアカウントをリンク解除します。

Create － Identity Manager アカウントを作成します。オプションの作業として、リソースアカウントを作成します。

Update － Identity Manager アカウントを更新します。オプションの作業として、リソースアカウントを作成、更新、または削除します。

CreateOrUpdate － Identity Manager アカウントが存在しない場合は作成操作を実行します。存在する場合は更新操作を実行します。

Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド

Delete、DeleteAndUnlink、Disable、Enable、Unassign、または Unlink 操作を実行する場合、ほかに指定する必要のあるフィールドは resources のみです。resources フィールドは、どのリソースのどのアカウントに影響を与えるかを指定するために使用します。次の値を指定できます。

all － Identity Manager アカウントを含むすべてのリソースアカウントを処理します。

resonly － Identity Manager アカウントを除くすべてのリソースアカウントを処理します。

resource_name [ | resource_name ... ] －指定されたリソースアカウントを処理します。アカウントを処理するには、Identity Manager を指定します。

これらの操作のいくつかを、CSV 形式にした例を次に示します。

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Create、Update、および CreateOrUpdate コマンド

Create、Update、または CreateOrUpdate コマンドを実行する場合は、user フィールドと command フィールドのほかに、ユーザー画面のフィールドを指定できます。使用するフィールド名は、画面の属性のパス表現です。ユーザー画面で使用可能な属性については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。カスタマイズしたユーザーフォームを使用している場合は、フォームのフィールド名に、使用可能なパス表現がいくつか含まれています。

一括アクションで使用する一般的なパス表現のいくつかを次に示します。

waveset.roles － Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト

waveset.resources － Identity Manager アカウントに割り当てる 1 つ以上のリソース名のリスト

waveset.applications － Identity Manager アカウントに割り当てる 1 つ以上のアプリケーション名のリスト

waveset.organization － Identity Manager アカウントを配置する組織名

accounts[resource_name].attribute_name －リソースアカウント属性。属性名はリソースのスキーマにリストします。

command,user,waveset.resources,password.password,password.confirmPa ssword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

複数の値を持つフィールド

一部のフィールドには複数の値を指定できます。これらは複数値フィールドと呼ばれます。たとえば、waveset.resources フィールドでは、ユーザーに複数のリソースを割り当てることができます。1 つのフィールド内の複数の値を区切るには、縦棒 (|) 文字 (「パイプ」文字とも呼ばれる) を使用します。複数値の構文は、次のように指定できます。

既存のユーザーの複数値フィールドを更新する場合、現在のフィールドの値を 1 つ以上の新しい値で置き換えても、希望する指定にならないことがあります。値を一部削除したり、現在の値に追加する場合もあります。フィールド指示を使用すれば、既存のフィールドの値をどのように処理するかを指定できます。フィールド指示は、次のように、フィールド値の前に縦棒で囲んで指定します。

Replace －現在の値を指定した値で置き換えます。指示を指定しない場合 (または、List 指示のみを指定した場合) は、これがデフォルトになります。

Merge －指定した値を現在の値に追加します。重複する値はフィルタされます。

Remove －指定した値を現在の値から削除します。

List －フィールドの値が 1 つしかない場合でも、複数の値があるかのように強制的に処理します。ほとんどのフィールドは値の数に関係なく適切に処理されるため、通常、この指示は必要ありません。別の指示とともに指定できるのはこの指示だけです。



注	フィールド値は大文字と小文字を区別します。Merge および Remove の指示を指定する場合はこれが重要です。値を正しく削除したり、マージで複数の類似した値ができないようにするには、値が正確に一致しなければなりません。

フィールド値の特殊文字

フィールド値にカンマ (,) または二重引用符 (") 文字を指定する場合、あるいは先行または後続するスペースを維持する場合は、フィールド値を二重引用符で囲む必要があります ("フィールド値")。さらに、フィールド値の二重引用符は 2 つの二重引用符 (") 文字で置き換える必要があります。たとえば、"John ""Johnny"" Smith" は、フィールド値で John "Johnny" Smith という結果になります。

縦棒 (|) または円記号 (¥) 文字をフィールド値に含める場合は、その前に円記号を指定する必要があります (¥| または ¥¥)。

一括アクションの表示属性

Create、Update、または CreateOrUpdate 操作を実行する場合は、ユーザー画面に、一括アクション処理でしか使用しない、または使用できない追加の属性があります。これらの属性はユーザーフォームで参照可能であり、一括アクションに固有の動作を可能にします。属性は次のとおりです。

waveset.bulk.fields.field_name －この属性には、CSV の入力から読み込まれたフィールドの値が含まれます。field_name にはフィールド名を指定します。たとえば、command フィールドと user フィールドはそれぞれ、パス表現 waveset.bulk.fields.command および waveset.bulk.fields.user の属性内にあります。

waveset.bulk.fieldDirectives.field_name －この属性は、指示を指定したフィールドに対してのみ定義されます。値は指示文字列です。

waveset.bulk.abort －現在の操作をアボートさせるには、このブール属性を true に設定します。

waveset.bulk.abortMessage － waveset.bulk.abort が true に設定されているときに表示するメッセージ文字列を設定します。この属性を設定しない場合は、汎用的なアボートメッセージが表示されます。

ユーザーアカウントパスワードの操作

すべての Identity Manager ユーザーには、パスワードが割り当てられます。Identity Manager ユーザーパスワードが設定されると、ユーザーのリソースアカウントパスワードが同期されます。1 つ以上のリソースアカウントパスワードを同期させることができない場合 (たとえば、必須パスワードポリシーに従う場合) は、個別に設定できます。

ユーザーアカウントパスワードの変更

ユーザーアカウントパスワードを変更するには、次を実行します。

メニューバーで、「パスワード」を選択します。

次の図に示すように、「ユーザーパスワードの変更」ページがデフォルトで表示されます。

図 3-10 ユーザーパスワードの変更
ユーザーパスワードおよびすべてのリソースアカウントのパスワードを変更できます。

検索用語 (アカウント名、電子メールアドレス、名、姓など) を選択してから、検索タイプ (「が次の文字列で始まる」、「が次の文字列を含む」、または「が次の文字列と等しい」) を選択します。

入力フィールドに検索語句の文字を 1 つ以上入力して、「検索」をクリックします。入力した文字が ID に含まれているすべてのユーザーのリストが返されます。ユーザーをクリックして選択すると、「ユーザーパスワードの変更」ページに戻ります。

新しいパスワード情報を入力して確認し、「パスワードの変更」をクリックして、一覧表示されたリソースアカウントのユーザーパスワードを変更します。Identity Manager ではパスワードを変更するために実行した一連の操作を示すワークフロー図が表示されます。

ユーザーアカウントパスワードのリセット

Identity Manager ユーザーアカウントパスワードのリセットプロセスは、変更プロセスに類似しています。リセットプロセスがパスワードの変更と異なるのは、新しいパスワードを指定しない点です。代わりに、Identity Manager が、選択した項目とパスワードポリシーに応じて、ユーザーアカウント、リソースアカウント、またはその組み合わせの新しいパスワードをランダムに生成します。

直接の割り当てまたはユーザーの組織を通じた割り当てによってユーザーに割り当てられたポリシーは、次のようなリセットオプションを制御します。

リセットが無効化されるまでにパスワードがリセットされる頻度

新しいパスワードを表示または送信する対象。ロールに対して選択した「リセット通知オプション」に応じて、Identity Manager は新しいパスワードを電子メールでユーザーに送信するか、リセットをリクエストした Identity Manager 管理者に結果ページで表示します。

リセット時のパスワードの期限切れ

デフォルトでは、ユーザーパスワードをリセットすると、そのパスワードはただちに期限切れになります。つまり、リセット後にユーザーがはじめてログインするとき、アクセスするためには新しいパスワードを選択する必要があります。このデフォルトの設定をフォームで無効にし、代わりに、ユーザーに関連付けられている Lighthouse アカウントポリシーで設定された期限切れパスワードポリシーに従ってユーザーのパスワードを期限切れにすることができます。

たとえば、「ユーザーパスワードのリセット」フォームで、resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword の値を false に設定します。

Lighthouse アカウントポリシーの「リセットオプション」フィールドを使用すると、次の 2 つの方法でパスワードを期限切れにすることができます。

「半永久」 － passwordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。

「一時」 － tempPasswordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。tempPasswordExpiry の値が 0 に設定されている場合、パスワードはただちに期限切れになります。

アカウントセキュリティーと特権の管理

ここでは、セキュリティー保護されたアクセスをユーザーアカウントに与え、Identity Manager でユーザー特権を管理するために実行できる操作について説明します。

パスワードポリシーの設定

リソースパスワードポリシーは、パスワードの制限を設定します。強力なパスワードポリシーは、セキュリティーを高め、承認されていないログイン試行からリソースを保護する上で役立ちます。パスワードポリシーを編集して、一連の特性に対する値を設定または選択することができます。

パスワードポリシーの操作を開始するには、メニューバーの「セキュリティー」を選択し、「ポリシー」を選択します。

パスワードポリシーを編集するには、「ポリシー」リストから目的のポリシーを選択します。パスワードポリシーを作成するには、オプションの「新規」リストから「文字列の品質ポリシー」を選択します。

ポリシーの作成

パスワードポリシーは、文字列の品質ポリシーのデフォルトのタイプです。新しいポリシーの名前と任意で説明を指定したあとで、ポリシーを定義する規則のオプションとパラメータを選択します。

長さ規則

長さ規則は、パスワードの最小および最大必要文字数を設定します。このオプションを選択して規則を有効にし、規則の制限値を入力します。

文字タイプ規則

文字タイプ規則は、パスワードに指定できる特定のタイプの文字の最小および最大個数を設定します。次のものがあります。

各文字タイプ規則に制限数値を入力します。または、All を入力して、すべての文字がそのタイプになるように指定します。

図 3-11 に示すように、検証にパスする必要がある、文字タイプ規則の最小個数も設定できます。パスする必要のある最小個数は 1 です。最大個数は、有効にした文字タイプ規則の個数を越えることはできません。

辞書ポリシーの選択

辞書の単語と照合してパスワードをチェックすることもできます。このオプションを使用するには、次を実行する必要があります。

辞書は「ポリシー」ページから設定します。辞書のセットアップの詳細については、『Identity Manager 配備ツール』の「辞書サポートの設定」の章を参照してください。

パスワード履歴ポリシー

新しく選択されたパスワードの直前に使用されていたパスワードの再利用を禁止することができます。

現在および直前のパスワードの再利用を禁止するには、「再使用してはいけない旧パスワードの個数」フィールドに 1 よりも大きい数値を入力します。たとえば、3 を入力した場合は、新しいパスワードを、現在のパスワードおよびその直前の 2 個のパスワードと同じにすることはできません。

以前に使用していたパスワードと類似した文字の再利用を禁止することもできます。「再使用できない旧パスワードに含まれる類似文字の最大個数」フィールドに、新しいパスワードで繰り返すことのできない、過去のパスワードからの連続文字の最大数を入力します。たとえば、7 を入力した場合、過去のパスワードが password1 であれば、新しいパスワードとして password2 や password3 を使用することはできません。

0 を指定した場合、連続性に関係なく、過去のパスワードに含まれるすべての文字を使用できません。たとえば、過去のパスワードが abcd の場合、新しいパスワードに a、b、c、d の各文字を使用することはできません。

この規則は、過去の 1 つ以上のパスワードに適用できます。チェックの対象となる過去のパスワードの数は、「再使用してはいけない旧パスワードの個数」フィールドに指定します。

使用禁止単語

パスワードに含むことのできない単語を 1 つ以上入力できます。入力ボックスで、1 行に 1 つずつ単語を入力してください。


注	パスする必要のある最小個数を最大値に設定するには、All と入力します。

また、辞書ポリシーを設定して実装することで、単語を除外することもできます。詳細については、「辞書ポリシー」を参照してください。

使用禁止属性

パスワードに含むことのできない属性を 1 つ以上選択します。属性には次のものがあります。

パスワードに含むことのできる「使用禁止」属性のセットを、UserUIConfig 設定オブジェクトで変更できます。UserUIConfig 内のパスワード属性は、<PolicyPasswordAttributeNames> に一覧表示されています。

パスワードポリシーの実装

パスワードポリシーは、リソースごとに設定します。パスワードポリシーを特定のリソースに割り当てるには、オプションの「パスワードポリシー」リストからポリシーを選択します。このリストは、「リソースの作成または編集ウィザード: Identity Manager パラメータ」ページの「ポリシー設定」エリアにあります。

ユーザー認証

パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウントの秘密の質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。

アカウントポリシーで認証を設定するには、次を実行します。

重要 !最初のセットアップ時に、ユーザーはユーザーインタフェースにログインして、秘密の質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。

設定した認証規則に応じて、次に対して回答するようユーザーにリクエストすることができます。

Identity Manager ユーザーインタフェースにログインして「パスワードをお忘れですか?」をクリックし、表示された質問に回答することで、認証の選択を確認することができます。

図 3-12 に「ユーザーアカウント認証」画面の例を示します。

ユーザー独自の秘密の質問

Lighthouse アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の秘密の質問を入力できるようにするオプションを選択できます。また、ユーザー独自の秘密の質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。

設定後、ユーザーは、「秘密の質問の回答の変更」ページから質問を追加および変更できます。このページの例は、図 3-13 に示されています。

認証後のパスワード変更リクエストのバイパス

ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力がリクエストされます。ただし、bypassChangePassword システム設定プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更リクエストをバイパスするように Identity Manager を設定できます。

認証に成功したあと、すべてのアプリケーションでパスワードの変更リクエストをバイパスするには、System Configuration オブジェクトで bypassChangePassword プロパティーを次のように設定します。

コード例 3-1 パスワード変更リクエストをバイパスするための属性の設定

<Attribute name="ui"
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...

特定のアプリケーションでこのパスワードリクエストを無効にするには、次のように設定します。

コード例 3-2 パスワード変更リクエストを無効にするための属性の設定

<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...

管理特権の割り当て

次のような Identity Manager 管理特権または機能を、ユーザーに割り当てられます。

管理者ロール－管理者ロールを割り当てられたユーザーは、このロールで定義された機能および管理する組織を継承します。すべての Identity Manager ユーザーアカウントには、デフォルトでユーザー管理者ロールが作成時に割り当てられます。管理者ロールと管理者ロールの作成の詳細については、第 4 章の「Identity Manager リソースの設定」を参照してください。

機能－機能は規則によって定義されます。Identity Manager では、機能は実用上の機能にグループ化され、このグループから選択することができます。機能の割り当てによって、より細かく管理特権を割り当てることができます。機能と機能の作成の詳細については、第 5 章の「機能とその管理について」を参照してください。

管理する組織－管理する組織は、指定した組織に対する管理コントロール特権を与えます。詳細については、第 5 章の「Identity Manager 組織について」を参照してください。

Identity Manager 管理者と管理作業の詳細については、第 5 章「管理」を参照してください。

ユーザーの自己検索

Identity Manager ユーザーインタフェースによって、ユーザーはリソースアカウントを検索できます。つまり、Identity Manager ID を持つユーザーは、存在するが、関連付けられていないリソースアカウントを ID に関連付けることができます。

自己検索の有効化

自己検索を有効にするには、特別な設定オブジェクト (エンドユーザーリソース) を編集して、アカウントの検索を許可される各リソースの名前を追加する必要があります。これを行うには、次の手順に従います。

Identity Manager システム設定ページを開きます (idm/debug)。

「List Objects」ボタンの隣のリストから「Configuration」を選択し、「List Objects」ボタンをクリックします。

「End User Resources」の隣の「Edit」をクリックすると、設定オブジェクトが表示されます。

<String>Resource</String> を追加します。ここで、図 3-14 に示すように、Resource はリポジトリ内のリソースオブジェクトの名前と一致します。

図 3-14 エンドユーザーリソースの設定オブジェクト
エンドユーザーリソース設定オブジェクトに、自己検索に追加するリソースごとに 1 行を追加します。

「保存」をクリックします。

自己検索が有効になっている場合、Identity Manager ユーザーインタフェースの「プロファイル」メニュータブの下に新しい選択項目が表示されます (「自己検索」)。このエリアにより、ユーザーは、利用可能リストからリソースを選択し、リソースアカウント ID とパスワードを入力してアカウントを自分の Identity Manager ID にリンクすることができます。

相関規則と確認規則

操作の user フィールドに入力できる Identity Manager ユーザー名がわからない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括アクションを開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。

相関規則では、操作フィールドと一致する Identity Manager ユーザーを検索します。確認規則では、操作フィールドに対して Identity Manager ユーザーをテストし、ユーザーが一致するかどうかを確認します。この 2 段階のアプローチを使用すると、名前または属性を基にして可能性のあるユーザーをすばやく検出し、可能性のあるユーザーに対してのみ負荷が大きいチェックを実行することで、Identity Manager による相関を最適化することができます。

相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。

相関規則と確認規則の詳細については、『Identity Manager の配備に関する技術情報』の「データ読み込みと同期」の章を参照してください。

相関規則

相関規則の入力は、操作フィールドのマップです。出力は次のいずれかである必要があります。

一般的な相関規則は、操作のフィールドの値に基づいてユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。

相関規則は、比較的低コストでかつできるかぎり選択能力を高くする必要があります。可能な場合は、コストのかかる処理は確認規則に回します。

属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、Identity Manager UserUIConfig オブジェクト内に QueryableAttrNames として設定されます。

確認規則

確認規則は、ユーザーが操作フィールドに一致する場合は true、それ以外の場合は false という文字列形式のブール値を返します。

一般的な確認規則は、ユーザー表示の内部値と操作フィールドの値を比較します。相関処理のオプションの第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。一般に、次のような場合にのみ確認規則が必要です。

確認規則は、相関規則によって返される一致したユーザーごとに 1 回実行されます。

匿名登録

匿名登録機能を使用すると、Identity Manager アカウントを持っていないユーザーがアカウントをリクエストして取得することができます。

匿名登録の有効化

デフォルトで、匿名登録機能は無効になっています。有効にするには、次の手順に従います。

ユーザーがユーザーインタフェースにログインすると、「アカウントのリクエスト」ボタンがログインページに表示されるようになります。

匿名登録の設定

「ユーザーインタフェース」ページの「匿名登録」エリアから、匿名登録プロセスのオプションを設定できます。

「通知テンプレート」 －アカウントをリクエストしているユーザーへの通知メールの送信に使用される電子メールテンプレートの ID を指定します。

「プライバシーポリシーへの同意が必要」 －これを選択した場合、ユーザーはアカウントをリクエストする前に、プライバシーポリシーを受け入れる必要があります。これはデフォルトで有効になっています。

「検証の有効化」 －これを選択した場合、ユーザーはアカウントをリクエストする前に、その登録内容を検証する必要があります。これはデフォルトで有効になっています。

「プロセス開始 URL」 － URL を入力し、匿名登録プロセスでどのワークフローを使用するかを指定します。

「通知の有効化」 －これを選択すると、アカウントが作成されたときに、通知電子メールがユーザーに送信されます。

「電子メールドメイン」 －ユーザーの電子メールアドレスの構築に使用される電子メールドメインの名前を入力します。

ユーザー登録プロセス

ユーザーはユーザーインタフェースログインページで「アカウントのリクエスト」をクリックすることによってアカウントをリクエストできます。

2 ページの登録ページのうちの最初のページが表示され、姓、名、および従業員 ID を求められます。「検証の有効化」属性が選択されている場合 (デフォルト)、ユーザーは次のページに進む前にこの情報を検証する必要があります。

EndUserLibrary の verifyFirstname、verifyLastname、verifyEmployeeId、および verifyEligibility 規則がそれぞれの属性の情報を検証します。

「検証の有効化」属性が無効になっている場合、最初の登録ページは表示されません。この場合、「End User Anonymous Enrollment Completion」フォームを変更して、通常、最初の検証フォームによって取得される情報をユーザーが入力できるようにする必要があります。

登録ページで提供された情報から、Identity Manager は以下を生成します。


注	これらの 1 つまたは複数の規則の変更が必要になる場合もあります。特に、従業員 ID を検証する規則を変更し、Web サービス呼び出しや Java クラスを使用して情報を検証するようにしてください。

マネージャー属性 (idmManager)。EndUserRuleLibrary:getIdmManager 規則を変更することにより、この属性を設定できます。デフォルトでは、マネージャーは Configurator に設定されています。マネージャーとして指定された管理者は、ユーザーアカウントがプロビジョニングされる前にユーザーのリクエストを承認する必要があります。

組織属性。EndUserRuleLibrary:getOrganization 規則をカスタマイズすることによって、この属性を設定できます。デフォルトでは、ユーザーは組織階層の最上位 (「Top」) に割り当てられます。

登録ページでユーザーによって入力された情報が正しく検証された場合、2 ページ目の登録ページがユーザーに表示されます。ユーザーはこのページでパスワードおよびパスワード確認を入力する必要があります。また、「プライバシーポリシーへの同意が必要」属性が選択されている場合、ユーザーはプライバシーポリシーの条件に同意するオプションを選択する必要があります。

ユーザーが「登録」をクリックすると、確認ページが表示されます。「通知の有効化」属性が選択されている場合、アカウントの作成後、ユーザーに電子メールが送信されることがページに示されます。

ユーザー作成の標準プロセス (idmManager 属性およびポリシー設定が要求する承認を含む) の完了後、アカウントが作成されます。

前へ目次索引次へ
Sun Java™ System Identity Manager 7.1 管理ガイド