インタフェースの「アカウント」領域

Identity Manager システムアカウントを保持する者をユーザーといいます。Identity Manager は、ユーザーごとの各種データを格納します。この情報は、ひとまとめにされて、ユーザーの Identity Manager アイデンティティーを形成します。

Identity Manager の「アカウント」タブにある「ユーザーリスト」ページで、Identity Manager ユーザーを管理できます。この領域にアクセスするには、管理者インタフェースメニューバーの「アカウント」をクリックします。

アカウントリストにはすべての Identity Manager ユーザーアカウントが表示されます。アカウントは組織と仮想組織にグループ化され、階層構造のフォルダで表示されます。

アカウントリストは、フルネーム (「名前」)、ユーザーの姓 (「姓」)、またはユーザーの名 (「名」) で並べ替えることができます。特定の列順に並べ替えるには、その列のヘッダーをクリックします。同じヘッダーをクリックすることで、昇順と降順の並べ替えを切り替えることができます。フルネーム (「名前」列) で並べ替えると、階層内のすべてのレベルのすべての項目がアルファベット順に並べ替えられます。

階層表示を展開して組織内のアカウントを表示するには、フォルダの隣にある三角形のマークをクリックします。表示を折りたたむには、インジケータをもう一度クリックします。

「アカウント」領域のアクションリスト

各種アクションを実行するときは、「「アカウント」領域のアクションリスト」に示すように、「アカウント」領域の上部と下部にあるアクションリストを使用します。

アクションリストの選択項目は、次のように分類されています。

• 「新規作成アクション」。ユーザー、組織、およびディレクトリジャンクションを作成します。

• 「ユーザーアクション」。ユーザーの状態の編集、表示、および変更、パスワードの変更およびリセット、ユーザーの削除、有効化、無効化、ロック解除、移動、更新、および名前変更、ユーザー監査レポートの実行を行います。

• 「組織アクション」。組織とユーザーの各種アクションを実行します。

  

「アカウントリスト」領域での検索

ユーザーと組織を検索するときは、「アカウント」領域の検索機能を使用します。リストから「組織」または「ユーザー」を選択し、そのユーザーまたは組織の名前を先頭から 1 文字以上検索領域に入力して、「検索」をクリックします。「アカウント」領域での検索については、「ユーザーアカウントの検索と表示」を参照してください。

ユーザーアカウントの状態

各ユーザーアカウントの隣に表示されるアイコンは、現在割り当てられているアカウントの状態を表します。表 3–1 で、各アイコンが表す内容について説明します。

表 3–1 ユーザーアカウントの状態アイコンの説明

インジケータ	状態
	ユーザーの Identity Manager アカウントがロックされています。このアイコンは Identity Manager アカウントがロックされた状態にあることを表すだけで、ユーザーのリソースアカウントの状態を表すものではないことに留意してください。  Identity Manager アカウントのログイン試行の失敗回数が、Identity Manager アカウントポリシーで定義された最大数を超えると、ユーザーがロックされます。Identity Manager アカウントへのパスワードまたは質問によるログイン試行の失敗だけが、許容される最大失敗回数に数えられます。このため、Identity Manager ログインアプリケーション (管理者インタフェース、エンドユーザーインタフェースなど) のログインモジュールグループに Identity Manager ログインモジュールが含まれない場合は、Identity Manager の失敗パスワードポリシーは適用されません。ただし、特定の Identity Manager ログインアプリケーション用に設定されたログインモジュールのスタックに関係なく、質問によるログインの失敗が Identity Manager アカウントポリシーで設定された最大回数を超えると、ユーザーがロックされ、このアイコンが表示されることがあります。  アカウントのロック解除については、「ユーザーアカウントのロック解除」を参照してください。
	管理者の Identity Manager アカウントがロックされています。このアイコンは Identity Manager アカウントがロックされた状態にあることを表すだけで、管理者のリソースアカウントの状態を表すものではないことに留意してください。詳細は、前述のユーザーロックアウトアイコンの説明を参照してください。
	アカウントは、割り当てられたすべてのリソースおよび Identity Manager で無効になっています。アカウントが有効なときは、アイコンは表示されません。  無効なアカウントを有効にする方法については、「ユーザーアカウントの無効化、有効化、およびロック解除」を参照してください。
	アカウントは、一部無効になっています。 これは、割り当てられた 1 つ以上のリソースで無効になっていることを示します。
	1 つ以上のリソースで Identity Manager ユーザーアカウントの作成または更新が試行されましたが、失敗しました。割り当てられたすべてのリソースでアカウントが更新された場合はアイコンは表示されません。

---

注 –

Identity Manager がリストに表示された名前に一致する Identity Manager アカウントを見つけられなかった場合、「マネージャー」列にはマネージャーのユーザー名が括弧で囲んで表示されます。

---

ユーザーページ (作成/編集/表示)

この節では、管理者インタフェースで使用可能な「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページについて説明します。これらのページの使用方法については、この章のあとの部分で説明します。

---

注 –

このマニュアルでは、Identity Manager の「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページの出荷時のデフォルトセットについて説明します。ただし、ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてカスタムのユーザーフォームを作成してください。ユーザーフォームのカスタマイズについては、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

---

• 「「ID」タブ」

• 「「リソース」タブ」

• 「「ロール」タブ」

• 「「セキュリティー」タブ」

• 「「委任」タブ」

• 「「属性」タブ」

• 「「コンプライアンス」タブ」

Identity Manager のデフォルトユーザーページは、次のタブまたはセクションに分かれています。

• ID

• 割り当て

• セキュリティー

• 委任

• 属性

• コンプライアンス

「ID」タブ

「ID」領域では、ユーザーのアカウント ID、名前、連絡先情報、マネージャー、所属する組織、および Identity Manager アカウントパスワードを定義します。また、ユーザーがアクセスできるリソース、および各リソースアカウントに適用されているパスワードポリシーが示されます。

---

注 –

アカウントパスワードポリシーの設定の詳細については、この章の 「アカウントセキュリティーと特権の管理」の節を参照してください。

---

次の図は、「ユーザーの作成」ページの「ID」領域を示します。

図 3–1 「ユーザーの作成」 - 「ID」

「リソース」タブ

「リソース」領域では、リソースおよびリソースグループをユーザーに直接割り当てることができます。除外するリソースを割り当てることもできます。

直接割り当てられるリソースは、「ロールの割り当て」によってユーザーに間接的に割り当てられるリソースを補足します。ロールの割り当ては、ユーザーのクラスをプロファイルします。ロールは、間接的な割り当てによってリソースへのユーザーアクセスを定義します。

「ロール」タブ

「ロール」タブは、ユーザーに 1 つ以上のロールを割り当てたり、これらのロール割り当てを管理したりするのに使用します。

このタブについては、「ロールをユーザーに割り当てる」を参照してください。

「セキュリティー」タブ

Identity Manager の用語では、拡張機能を割り当てられたユーザーが Identity Manager の「管理者」です。「セキュリティー」タブを使って、ユーザーに管理者特権を割り当てます。

「セキュリティー」タブを使用した管理者の作成については、「管理者の作成と管理」を参照してください。

「セキュリティー」フォームは、次のセクションで構成されます。

• 「管理者ロール」。1 つ以上の管理者ロールをユーザーに割り当てます。ロールとは、機能および管理する組織の特定の組み合わせです。 このペアを使用することで、ユーザーに管理作業を組織的に割り当てることが容易になります。

• 「機能」。Identity Manager システムでの権限を有効にします。各 Identity Manager 管理者には、多くの場合は職務に応じて、1 つ以上の機能が割り当てられます。

  機能については、「機能とその管理について」で説明します。タスクベースの機能と定義のリストは、付録 D 機能の定義の付録 D 機能の定義に示されています。この付録では、各機能でアクセス可能なタブおよびサブタブも示します。

• 管理する組織。ユーザーが管理者として管理する権限を持つ組織を割り当てます。管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。

---

注 –

ユーザーに管理者機能を与えるには、少なくとも 1 つの管理者ロールまたは 1 つ以上の機能および 1 つ以上の管理する組織を割り当てる必要があります。Identity Manager 管理者については、「Identity Manager の管理について」を参照してください。

---

• 「ユーザーフォーム」。ユーザーの作成および編集時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザーフォームを継承します。

• 「ユーザー表示フォーム」。ユーザーの表示時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザー表示フォームを継承します。

• 「アカウントポリシー」。パスワードおよび認証の制限を設定します。

「委任」タブ

「ユーザーの作成」ページの「委任」タブを使用すると、作業項目をほかのユーザーに一定期間、委任できます。作業項目の委任については、「作業項目の委任」を参照してください。

「属性」タブ

「ユーザーの作成」ページの「属性」領域では、割り当てられたリソースに関連付けられるアカウント属性を定義します。リストされる属性は、割り当てられたリソースごとに分類され、割り当てられたリソースによって異なります。

「コンプライアンス」タブ

「コンプライアンス」タブでは、次のことができます。

• ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択できます。

• ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定します。組織を介して割り当てられたポリシーについては、ユーザーの現在の組織を編集するか、ユーザーを別の組織に移すことによってのみ変更できます。

• ユーザーアカウントに該当するデータがある場合は、次の図に示すように、ポリシーのスキャン、違反、および免除の現在の状態も示されます。選択されたユーザーで最後に実行された監査ポリシースキャンの日時の情報も含まれます。

  

監査ポリシーを割り当てるには、選択したポリシーを「利用可能な監査ポリシー」リストから「現在の監査ポリシー」リストへ移動します。

---

注 –

「ユーザーアクション」リストから「コンプライアンス違反ログの表示」を選択し、表示するエントリの範囲を指定することによって、あるユーザーに対し特定の期間に記録されたコンプライアンス違反を表示できます。

---