Sun ONE Identity Server 6.1 管理ガイド |
第 16 章
管理サービス属性管理サービスにはグローバル属性と組織属性があります。グローバル属性に適用される値は Sun ONE Identity Server 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Identity Server アプリケーションをカスタマイズすることであるため、ロールまたは組織に直接適用することはできません。組織属性に適用される値は設定済みの各組織のデフォルト値で、サービスを組織に登録するときに変更できます。組織属性は組織のエントリに継承されません。管理属性は次のように分けられます。
グローバル属性管理サービスのグローバル属性は次のとおりです。
連携管理を有効
このフィールドを選択すると、連携管理が有効になります。デフォルトは有効です。この機能を無効にするには、フィールドの選択を解除します。「連携管理サービス」タブはコンソールに表示されなくなります。
ユーザー管理を有効
このフィールドが true (チェックボックスを選択) の場合、ユーザー管理が有効になります。デフォルトでは、有効になっています。
ピープルコンテナを表示
この属性は、Identity Server コンソールにピープルコンテナを表示するかどうかを指定します。このオプションを選択すると、組織、コンテナ、およびグループコンテナの「表示」メニューに「ピープルコンテナ」メニュー項目が表示されます。「ピープルコンテナ」はフラット DIT の最上位レベルにのみ表示されます。
ピープルコンテナは、ユーザープロファイルを含む組織単位です。DIT で 1 つのピープルコンテナを使用し、ロールの柔軟性を利用してアクセスおよびサービスを管理することをお勧めします。Identity Server コンソールのデフォルトの動作では、ピープルコンテナは非表示です。ただし、DIT に複数のピープルコンテナがある場合は、「ピープルコンテナを表示」を選択して、ピープルコンテナを Identity Server コンソールの管理オブジェクトとして表示します。
メニューにコンテナを表示
この属性は、Identity Server コンソールの「表示」メニューにコンテナを表示するかどうかを指定します。デフォルト値は false です。管理者は必要に応じてどちらかを選択できます。
グループコンテナを表示
この属性は、Identity Server コンソールにグループコンテナを表示するかどうかを指定します。このオプションを選択すると、組織、コンテナ、およびグループコンテナの「表示」メニューに「グループコンテナ」メニュー項目が表示されます。グループコンテナはグループの組織単位です。
管理されているグループタイプ
このオプションは、コンソールで作成した加入グループがスタティックかダイナミックかを指定します。コンソールは、スタティックでありかつダイナミックである加入グループではなく、スタティックまたはダイナミックのどちらかである加入グループを作成および表示します。フィルタを適用したグループは、この属性に指定された値には関係なく常にサポートされます。デフォルト値はダイナミックです。
- スタティックグループは、groupOfNames または groupOfUniqueNames オブジェクトクラスを使って、各グループメンバーを明示的に一覧表示します。グループエントリには、グループの各メンバーの uniqueMember 属性が含まれます。スタティックグループのメンバーは手動で追加しますが、ユーザーエントリ自体は変更されません。スタティックグループはメンバーの少ないグループに適しています。
- ダイナミックグループは、各グループメンバーのエントリの memberOf 属性を使用します。ダイナミックグループのメンバーは、memberOf 属性を含むすべてのエントリを検索して返す LDAP フィルタを使って生成されます。ダイナミックグループは、メンバーが非常に多いグループに適しています。
- フィルタを適用したグループは、LDAP を使用して、フィルタの要件を満たすメンバーを検索して返します。たとえば、フィルタは、特定の uid (uid=g*) または電子メールアドレス (mail=*@sun.com) を持つメンバーを生成できます。これらの例では、LDAP フィルタはそれぞれ、uid が g で始まる、または電子メールアドレスが sun.com で終わるすべてのユーザーを返します。フィルタを適用したグループは、「フィルタによるメンバーシップ」を選択して、ユーザー管理ビュー内でのみ作成できます。
管理者は次の中から 1 つ選択できます。
デフォルトロールアクセス権 (ACI)
この属性は、新しいロールの作成時に管理者権限の認可に使うデフォルト ACI (アクセス制御命令) または権限のリストを定義します。必要な権限のレベルに応じて、これらの ACI の 1 つを選択します。Identity Server にはデフォルトロール権限が 4 つあります。
アクセス権なし (No permission)
ロールにアクセス権が設定されません。
組織管理者 (Organization Admin)
組織管理者は設定済み組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。
組織のヘルプデスク管理者 (Organization Help Desk Admin)
組織のヘルプデスク管理者は、設定済み組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。
組織ポリシー管理者 (Organization Policy Admin)
組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っています。組織のポリシー管理者は、ピア組織に対する参照ポリシーを作成できません。
ドメインコンポーネントツリーを有効
ドメインコンポーネントツリー (DC ツリー) は固有の DIT 構造で、多くの Sun ONE コンポーネントがこれを使用して、DNS 名と組織のエントリ間のマッピングをします。
このオプションを有効にすると、組織が作成されたときに組織の DNS 名が入力されていれば、組織の DC ツリーエントリが作成されます。DNS 名フィールドは、組織作成ページに表示されます。このオプションは最上位レベルの組織にだけ適用され、サブ組織には表示されません。
組織ツリーで、Identity Server SDK を使用して inetdomainstatus 属性の状態を変更すると、対応する DC ツリーエントリの状態が更新されます。Identity Server SDK を使用せずに状態を更新した場合、その内容は同期しません。たとえば、新しい組織 sun を sun.com という DNS 名属性で作成すると、DC ツリーに次のエントリが作成されます。
AMConfig.properties で com.iplanet.am.domaincomponent を設定することによって、この DC ツリーに独自のルートサフィックスを設定することもできます。デフォルトでは、これはIdentity Server root に設定されています。異なるサフィックスが望ましい場合は、LDAP コマンドを使ってこのサフィックスを作成する必要があります。組織を作成する管理者の ACI は、新しい DC ツリーのルートに無制限のアクセス権を持つように、修正する必要があります。
管理グループを有効
このオプションは、DomainAdministrators および DomainHelpDeskAdministrators グループを作成するかどうかを指定します。選択すると (true)、これらのグループが作成され、それぞれ組織管理者ロールおよび組織ヘルプデスク管理者ロールと関連付けられます。このグループが作成されると、これらの関連するロールの 1 つにユーザーを追加したり削除したりしたときに、対応するグループへのユーザーの追加や、グループからのユーザーの削除が自動的に行われます。ただし、逆の処理は行われません。これらのグループの 1 つでユーザーの追加や削除をしても、関連するロールではユーザーの追加や削除は行われません。
DomainAdministrators および DomainHelpDeskAdministrators グループは、このオプションを有効にした後に作成された組織でのみ作成されます。
注
このオプションはサブ組織には適用されません。ただし、root org は例外です。root org には、ServiceAdministrators および ServiceHelpDesk 管理者グループが作成され、それぞれ最上位レベル管理者および最上位レベルヘルプデスク管理者のロールと関連付けられます。同じ動作が適用されます。
ユーザー削除を有効
このオプションは、ディレクトリからユーザーのエントリを削除するか、それとも削除マークを付けるだけかを指定します。ユーザーのエントリが削除され、このオプションが選択されている場合 (true)、ユーザーのエントリはまだディレクトリに存在していますが、削除マークは付けられています。削除マークを付けられたユーザーエントリは、ディレクトリサーバーの検索時に返されることはありません。このオプションが選択されていない場合は、ユーザーのエントリはディレクトリから削除されます。
ダイナミック管理者ロール ACI
この属性は、Identity Server を使ってグループまたは組織を構成するときにダイナミックに作成される管理者ロールのアクセス制御命令を定義します。これらのロールは、作成したエントリの特定のグループに管理権限を与えるのに使用します。デフォルトの ACI はこの属性リストの下でのみ変更できます。
警告
組織レベルの管理者は、グループ管理者よりも広範なアクセス権を持っています。ただし、デフォルトでは、ユーザーをグループ管理者ロールに追加すると、そのユーザーはグループのすべてのユーザーのパスワードを変更できます。これには、そのグループのメンバーである組織管理者も含まれます。
コンテナヘルプデスク管理者 (Container Help Desk Admin)
コンテナのヘルプデスク管理者ロールは、組織単位のすべてのエントリに対する読み取りアクセス権、およびそのコンテナ単位だけにあるユーザーエントリの userPassword 属性に対する書き込みアクセス権を持っています。
組織のヘルプデスク管理者 (Organization Help Desk Admin)
組織のヘルプデスク管理者は、組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。
コンテナ管理者 (Container Admin)
コンテナ管理者ロールは、LDAP 組織単位のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。Identity Server では、LDAP 組織単位をコンテナと呼ぶことがあります。
組織ポリシー管理者 (Organization Policy Admin)
組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っており、組織内のすべてのポリシーについて作成、割り当て、修正、および削除ができます。
ピープルコンテナ管理者 (People Container Admin)
デフォルトで、新規に作成した組織のユーザーエントリはその組織のピープルコンテナのメンバーです。ピープルコンテナ管理者は、組織のピープルコンテナのすべてのユーザーエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。なお、このロールは、ロールおよびグループ DN を含む属性に対する読み取りアクセス権と書き込みアクセス権を持っていないため、ロールまたはグループの属性を変更したり、ロールまたはグループからユーザーを削除したりすることができません。
注
ほかのコンテナは、Identity Server とともに設定して、ユーザーエントリ、グループエントリ、またはほかのコンテナを保持することができます。組織を構成した後で、作成されたコンテナに管理者ロールを適用するには、デフォルトのコンテナ管理者ロールまたはコンテナヘルプデスク管理者を使用します。
グループ管理者 (Group Admin)
グループ管理者は、特定グループのすべてのメンバーに対する読み取りアクセス権および書き込みアクセス権を持っており、新しいユーザーの作成、管理しているグループへのユーザーの割り当て、および作成したユーザーの削除を行うことができます。
グループを作成すると、そのグループを管理するのに必要な権限を持つグループ管理者ロールが自動的に作成されます。このロールはグループのメンバーに自動的には割り当てられません。グループの作成者、またはグループ管理者ロールへのアクセス権を持つ人が割り当てる必要があります。
最上位レベル管理者 (Top-level Admin)
最上位レベル管理者は、最上位レベル組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。言い換えれば、最上位レベル管理者ロールには、Identity Server アプリケーション内のすべての設定主体に対する権限があります。
組織管理者 (Organization Admin)
組織管理者は、組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。組織を作成すると、その組織を管理するのに必要な権限を持つ組織管理者ロールが自動的に作成されます。
ユーザープロファイルサービスクラス
この属性は、ユーザープロファイルページでカスタム表示を持つサービスをリストします。サービスによっては、コンソールによって生成されるデフォルト表示では不十分な場合があります。この属性は、どんなサービスでもカスタム表示を作成し、表示するサービス情報の内容や、表示の方法をすべてコントロールすることができます。構文は次のとおりです。
DC ノードの属性リスト
オブジェクトが作成されるときに、DC ツリーエントリ内に設定される属性のセットを定義します。デフォルトのパラメータは次のとおりです。
- maildomainwelcomemessage
- preferredmailhost
- mailclientattachmentquota
- mailroutingsmarthost
- mailroutingsmarthost
- mailroutingsmarthost
- mailaccessproxyreplay
- preferredlanguage
- domainuidseparator
- maildomainmsgquota
- maildomainallowedserviceaccess
- preferredmailmessagestore
- maildomaindiskquota
- maildomaindiskquota
- objectclass=maildomain
- mailroutinghosts
削除したオブジェクトの検索フィルタ
このフィールドは、「ユーザー削除を有効」モードが有効であるときに削除される、オブジェクトの検索フィルタを定義します。
組織属性管理サービスの組織属性は次のとおりです。
グループのデフォルトピープルコンテナ
このフィールドは、デフォルトのピープルコンテナを指定します。ユーザーは作成時にこのコンテナに配置されます。デフォルト値はありません。有効な値は、ピープルコンテナの DN です。ピープルコンテナの代替順位については、グループのピープルコンテナリスト属性の下にある注を参照してください。
グループのピープルコンテナリスト
このフィールドは、ピープルコンテナのリストを指定します。グループ管理者は、新しいユーザーを作成するときに、このリストから選択できます。ディレクトリツリー内に複数のピープルコンテナがある場合に、このリストを使用できます。このリスト、または「グループのデフォルトピープルコンテナ」フィールドにピープルコンテナが指定されていない場合、ユーザーはデフォルトの Identity Server ピープルコンテナ ou=people に作成されます。このフィールドのデフォルト値はありません。この属性の構文は次のとおりです。
ユーザープロファイル表示クラス
この属性は、Identity Server コンソールがユーザープロファイルページを表示するときに使用する Java のクラスを指定します。
ユーザーのロールを表示
このオプションは、ユーザーに割り当てられているロールのリストを、ユーザーのユーザープロファイルページの一部として表示するかどうかを指定します。この値が false (選択されていない) の場合、ユーザープロファイルページは管理者のみにユーザーのロールを表示します。デフォルト値は false です。
ユーザーのグループを表示
このオプションは、ユーザーに割り当てられているグループのリストを、ユーザーのユーザープロファイルページの一部として表示するかどうかを指定します。この値が false (選択されていない) の場合、ユーザープロファイルページは管理者のみにユーザーのグループを表示します。デフォルト値は false です。
ユーザーのグループへの自己加入
このオプションは、加入可能なグループにユーザーが自分自身を追加できるかどうかを指定します。この値が false の場合、ユーザーのグループメンバーシップを変更できるのは管理者のみです。デフォルト値は false です。
ユーザープロファイル表示オプション
このメニューは、どのサービス属性がユーザープロファイルページに表示されるかを指定します。管理者は次の中から選択できます。
ユーザー作成のデフォルトロール
このリストは、新規に作成されたユーザーに自動的に割り当てるロールを定義します。デフォルト値はありません。管理者は 1 つまたは複数のロールの DN を入力できます。
表示メニューエントリ
このフィールドは、コンソールの上部にある「表示」メニューに表示されるサービスの Java クラスを一覧表示します。構文は、i18N キー | Java クラス名です。i18N キーは、「表示」メニューのエントリのローカル名に使用します。
検索で返される結果の最大数
このフィールドは検索で返される結果の最大数を定義します。デフォルト値は 100 です。
警告
この属性に大きな値を設定するときは注意してください。サイズの制限については、次の場所にある『Sun ONE Directory Server インストールおよびチューニングガイド』を参照してください。
検索のタイムアウト (秒)
このフィールドは検索を開始してからタイムアウトするまでの時間 (秒数) を定義します。これは長くかかる可能性のある検索を停止するために使用します。最大検索時間に達すると、エラーが返されます。デフォルト値は 5 秒です。
JSP ディレクトリ名
このフィールドは、コンソールを構築するのに使用する .jsp ファイルを含むディレクトリの名前を指定し、組織に異なった外観を与えます (カスタマイズ)。.jsp ファイルは、このフィールドで指定されたディレクトリにコピーする必要があります。
オンラインヘルプドキュメント
このフィールドは、Identity Server ヘルプのメインページ上に作成されるオンラインヘルプリンクをリスト表示します。これにより、ほかのアプリケーションは、そのオンラインヘルプリンクを Identity Server ページに追加できます。この属性の形式は次のとおりです。
次に例を示します。
必要なサービス
このフィールドは、ユーザーが作成されたときにダイナミックにユーザーのエントリに追加されるサービスをリスト表示します。管理者は、作成時にどのサービスを追加するかを選択できます。
この属性は、コンソールではなく、Identity Server SDK によって使用されます。ダイナミックに作成されるユーザーと、amadmin コマンド行ユーティリティーで作成されるユーザーには、この属性に含まれているサービスが割り当てられます。
ユーザー検索キー
この属性は、ナビゲーションページで単純検索を実行するときに検索対象となる属性の名前を定義します。この属性のデフォルト値は cn です。たとえば、この属性がデフォルト値を使用している場合は、次のようになります。
ナビゲーションフレームの「名前」フィールドに j* を入力すると、「j」または「J」で始まる名前が表示されます。
ユーザー検索により返される属性
このフィールドは、単純検索から返されるユーザーを表示するときに使用する属性名を定義します。この属性のデフォルトは uid cn です。ユーザー ID とユーザーのフルネームが表示されます。
先頭に表示される属性名は、返されるユーザーのセットをソートするためのキーとしても使用されます。パフォーマンスが低下しないようにするには、ユーザーのエントリに値が設定されている属性を使用します。
ユーザー作成通知リスト
このフィールドは、新しいユーザーが作成されたときに通知を送る電子メールアドレスのリストを定義します。次の構文で示されているように、複数の電子メールアドレスを指定できます。
通知リストには、|locale オプションを使って異なるロケールを指定することもできます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。
ロケールの一覧については、表 19-1 を参照してください。
注
amProfile.properties のプロパティ 497 を修正することで、送信元の電子メール ID を変更できます。このファイルは、デフォルトで IdentityServer_base/Identity-Server/SUNWam/locale にあります。
ユーザー削除通知リスト
このフィールドは、ユーザーが削除されたときに通知を送る電子メールアドレスのリストを定義します。次の構文で示されているように、複数の電子メールアドレスを指定できます。
通知リストには、|locale オプションを使って異なるロケールを指定することもできます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。
ロケールの一覧については、表 19-1 を参照してください。
注
amProfile.properties のプロパティ 497 を修正することで、送信元の電子メール ID を変更できます。このファイルは、デフォルトで IdentityServer_base/Identity-Server/SUNWam/locale にあります。デフォルトの送信元 ID は DSAME です。
ユーザー修正通知リスト
このフィールドは、属性および属性に関連する電子メールアドレスのリストを定義します。リストに定義された属性でユーザーの修正が発生すると、その属性に関連する電子メールアドレスに通知が送信されます。各属性は、それぞれ異なるセットの関連アドレスを持つことができます。次の構文で示されているように、複数の電子メールアドレスを指定できます。
アドレスのいずれか 1 つに self キーワードを使用することもできます。このキーワードを使用すると、プロファイルが修正されたユーザーにメールが送信されます。
次に例を示します。
この場合、manager 属性で指定されたアドレス、someuser@sun.com、admin@sun.com およびユーザーを修正した人 (self) にメールが送信されます。
通知リストには、|locale オプションを使って異なるロケールを指定することもできます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。
ロケールの一覧については、表 19-1 を参照してください。
ページごとの最大エントリ数
この属性を使用して、ページあたりに表示できる最大行数を定義することができます。デフォルトは 25 です。たとえばユーザー検索結果が 100 行の場合、1 ページあたり 25 行のページが 4 ページ表示されます。
表示オプション
この属性では、Identity Server コンソールの表示オプションを設定するための値を追加できます。値を入力し、「追加」をクリックして、表示オプションを設定します。使用できる値は次のとおりです。
イベントリスナークラス
この属性には、作成、修正、および削除の各イベントを Identity Server コンソールから受け取るリスナーの一覧が格納されています。
プレおよびポストプロセスクラス
このフィールドは、ユーザー、組織、ロール、およびグループに対するプレおよびポストプロセス操作中にコールバックを受け取るように、com.iplanet.am.sdk.AMCallBack クラスを拡張する実装クラスの一覧を、プラグインを通じて定義します。操作は次のとおりです。
プラグインの完全なクラス名を入力する必要があります。次に例を示します。
そして、プラグインクラスの場所へのフルパスを含むように、Web コンテナのクラスパスを変更する必要があります。これは Identity Server のインストール単位で行います。
外部属性のフェッチを有効
このオプションは、プラグインで外部属性を受け取れるように、コールバックを有効にします。外部属性とは、外部アプリケーション固有の属性のことです。外部属性は Identity Server SDK ではキャッシュされません。そのためこの属性を使用すると、組織単位のレベルで属性を受け取ることができるようになります。このオプションは、デフォルトでは無効になっています。