test

Sun Identity Manager 8.1 ビジネス管理者ガイド

ユーザーの作成およびユーザーアカウントの操作

管理者インタフェースの「アカウント」タブにある「ユーザーリスト」ページでは、次のシステムオブジェクトに対する一連の操作を実行できます。

プロセス図の有効化

プロセス図には、ユーザーアカウントでの作成時やほかの操作時に Identity Manager が従うワークフローが示されます。有効にすると、Identity Manager のタスク完了時に作成される結果ページまたはタスクの概要ページにプロセス図が表示されます。

Identity Manager バージョン 8.0 では、新規インストールとアップグレードインストールの両方でプロセス図が無効に設定されていました。

ProcedureIdentity Manager で使用するプロセス図を有効化する

  1. 「Identity Manager 設定オブジェクトの編集」での手順に従って、編集するシステム設定オブジェクトを開きます。

  2. 次の XML 要素を見つけます。


    <Attribute name=’disableProcessDiagrams’>
  <Boolean>true</Boolean>
</Attribute>

  3. truefalse に変更します。

  4. 「保存」をクリックします。

  5. 変更を有効にするために、サーバーを再起動します。

    プロセス図はエンドユーザーインタフェースでも有効にできますが、事前に上述の手順を実行して管理者インタフェースでプロセス図を有効にする必要があります。詳細は、「エンドユーザーインタフェースでプロセスダイアグラムを有効にする」を参照してください。

ProcedureIdentity Manager でユーザーを作成する

管理者インタフェースメニューバーの「アカウント」タブからユーザーを作成および管理できます。

  1. 管理者インタフェースで、「アカウント」をクリックします。

  2. 特定の組織内にユーザーを作成するには、組織を選択して、「新規作成アクション」リストから「新規ユーザー」を選択します。

    または、最上位の組織にユーザーアカウントを作成するには、「新規作成アクション」リストから「新規ユーザー」を選択します。

  3. 次のタブまたはセクションに情報を入力します。

    • 「ID」。名前、組織、パスワード、およびその他の詳細。「「ID」タブ」を参照してください。

    • 「リソース」。 個別のリソースおよびリソースグループの割り当て、および除外するリソース。「「リソース」タブ」を参照してください。

    • 「ロール」。ロール割り当て。ロールの詳細は、「ロールとその管理について」を参照してください。「ロール」タブに情報を入力する手順については、「ロールをユーザーに割り当てる」を参照してください。

    • 「セキュリティー」。 管理者ロール、管理する組織および機能。および、ユーザー書式設定とアカウントポリシー。「「セキュリティー」タブ」を参照してください。

    • 「委任」。作業項目の委任。「「委任」タブ」を参照してください。

    • 「属性」。 割り当てられたリソースの特定の属性。「「属性」タブ」を参照してください。

    • 「コンプライアンス」。 ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択します。コンプライアンスを使用すると、ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定することもできます。コンプライアンスは、ポリシーのスキャン、違反、および免除の現在の状態を示します。また、ユーザーの前回の監査ポリシースキャンの情報が含まれます。「「属性」タブ」を参照してください。

      ある領域で利用可能な選択項目は、別の領域での選択内容により異なることに留意してください。

    ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてユーザーフォームをカスタマイズしてください。ユーザーフォームのカスタマイズについては、『Sun Identity Manager Deployment Reference』「Customizing Forms」を参照してください。

  4. 終了したら、アカウントを保存します。

    ユーザーアカウントの保存には、次の 2 つのオプションがあります。

    • 「Save」。 ユーザーアカウントを保存します。アカウントに多数のリソースを割り当てた場合は、このプロセスにしばらく時間がかかります。

    • 「バックグラウンドで保存」。このプロセスではユーザーアカウントをバックグラウンドタスクとして保存します。この場合は、Identity Manager での作業を引き続き実行できます。「アカウント」ページ、「ユーザーの検索結果」ページ、および「ホーム」ページに、進行中の各保存処理に関するタスクステータスインジケータが表示されます。

      ステータスインジケータでは、次の表で説明するように、保存プロセスの進捗を確認できます。

    ステータスインジケータ 

    状態 

    保存プロセスインジケータ

    保存プロセスは進行中です。 

    保存プロセス保留インジケータ

    保存プロセスは保留されています。ほとんどの場合、これは、プロセスが承認を待っていることを意味します。 

    正常完了インジケータ

    プロセスは正常に完了しました。これは、ユーザーが正常に保存されたことを示すものではありません。 プロセスがエラーなしで完了したことを示すものです。 

    プロセスが開始されていないことを示すインジケータ

    プロセスはまだ開始されていません。 

    プロセスは完了したがエラーが発生したことを示すインジケータ

    プロセスは、1 つ以上のエラーが発生して完了しました。 

    ステータスインジケータ内に表示されるユーザーアイコンの上にマウスを移動すると、バックグラウンドの保存プロセスについての詳細が表示されます。

    注 –

    サンライズが設定されている場合、ユーザーを作成すると、「承認」タブから表示できる作業項目が作成されます。この項目を承認すると、サンライズの日付が上書きされ、アカウントが作成されます。項目を拒否すると、アカウントの作成がキャンセルされます。サンライズの設定については、「「サンライズとサンセット」タブの設定」を参照してください。

1 人のユーザーに対する複数のリソースアカウントの作成

Identity Manager では、1 人のユーザーに複数のリソースアカウントを割り当てることができます。これには、各リソースに複数のリソースアカウントタイプまたはアカウントタイプを定義することを許可します。リソースアカウントタイプは、必要に応じ、リソースの実用上の各アカウントタイプに合わせて作成してください。たとえば、AIX SuperUser や AIX BusinessAdmin などです。

ユーザーに対してリソースごとに複数のアカウントを割り当てる理由

ある状況では、Identity Manager ユーザーはリソースに対して複数のアカウントを必要とすることがあります。ユーザーは、そのリソースに関連するいくつかの異なるジョブ機能を持つことができます。たとえば、ユーザーはそのリソースのユーザーと管理者の両方であることができます。機能ごとに別個のアカウントを使用することをお勧めします。これにより、あるアカウントが使用できなくなっても、ほかのアカウントで許可されているアクセスは引き続き保護されます。

アカウントタイプの設定

リソースで 1 人のユーザーに対する複数のアカウントをサポートするには、最初に Identity Manager でリソースのアカウントタイプを定義する必要があります。リソースに対してリソースアカウントタイプを定義するには、リソースウィザードを使用します。詳細は、「リソースリストの管理」を参照してください。

リソースアカウントタイプは、ユーザーに割り当てる前に有効化および設定する必要があります。

アカウントタイプの割り当て

アカウントタイプを定義すると、それらをリソースに割り当てることができます。Identity Manager は、アカウントタイプの各割り当てを別個のアカウントとして扱います。そのため、ロール内の各割り当ては、それぞれ異なる属性セットを保持します。

リソースごとに 1 つのアカウントを指定する場合と同様に、特定タイプでの割り当てすべてで、割り当ての数に関係なく、アカウントが 1 つだけ作成されます。

ユーザーを割り当てることができるリソース上の異なるアカウントタイプの数は任意ですが、各ユーザーにはリソース上の指定したタイプのアカウントを 1 つ割り当てることができます。ただし、組み込み型の「デフォルト」タイプは例外です。ユーザーは、リソース上のデフォルトタイプのアカウントを任意の数だけ持つことができます。ただし、フォームやビューでアカウントを参照する際に多義的になるため、この方法は推奨されていません。

ユーザーアカウントの検索と表示

Identity Manager の検索機能を使用して、ユーザーアカウントを検索できます。検索パラメータを入力および選択すると、Identity Manager では選択した条件を満たすすべてのアカウントが検索されます。

アカウントを検索するには、メニューバーから「アカウント」->「ユーザーの検索」を選択します。次の 1 つ以上の検索の種類を使用してアカウントを検索できます。

検索結果リストには、検索に一致するすべてのアカウントが表示されます。

結果ページで次の操作ができます。

ユーザーの編集

この節では、ユーザーアカウントの表示、編集、再割り当て、および名前の変更について説明します。

Procedureユーザーアカウントを表示する

「ユーザーの表示」ページを使用し、次の手順に従ってアカウント情報を表示します。

  1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

    「ユーザーリスト」ページが表示されます。

  2. 表示するアカウントを持つユーザーの横にあるボックスを選択します。

  3. 「ユーザーアクション」ドロップダウンメニューで、「表示」を選択します。

    「ユーザーの表示」ページに、ユーザーの ID、割り当て、セキュリティー、委任、属性、およびコンプライアンス情報のサブセットが表示されます。「ユーザーの表示」ページの情報は表示専用であり、編集はできません。

  4. アカウントリストに戻るには、「キャンセル」をクリックします。

Procedureユーザーアカウントを編集する

「ユーザーの編集」ページを使用し、次の手順に従ってアカウント情報を編集します。

  1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

  2. 編集対象のアカウントを持つユーザーの横にあるボックスを選択します。

  3. 「ユーザーアクション」ドロップダウンメニューで、「編集」を選択します。

  4. 変更を加え、それを保存します。

    「リソースアカウントの更新」ページが表示されます。このページには、ユーザーに割り当てられたリソースアカウントと、そのアカウントに適用される変更が表示されます。

  5. 割り当てられたすべてのリソースに変更を適用する場合は、「すべてのリソースアカウントの更新」を選択します。あるいは、ユーザーに関連付けられた 1 つ以上のリソースアカウントを個別に選択して更新するか、どのアカウントも選択しないこともできます。

  6. 編集を完了する場合は「保存」をもう一度クリックします。さらに変更を加える場合は「編集に戻る」をクリックします。

    図 3–2 ユーザーの編集 (リソースアカウントの更新)

    508 アクセシビリティテキストをここに挿入

別の組織へのユーザーの再割り当て

移動操作を使用すると、1 人以上のユーザーをある組織から削除したり、ユーザーを新しい組織に再割り当て、または移動したりできます。

Procedureユーザーを移動する

  1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

    「ユーザーリスト」ページが表示されます。

  2. 移動するユーザーの横にあるボックスを選択します。

  3. 「ユーザーアクション」ドロップダウンメニューで、「移動」を選択します。

    「ユーザーの組織の変更」タスクページが開きます。

  4. ユーザーを再割り当てする組織を選択して、「起動」をクリックします。

ユーザーの名前変更

通常、リソースのアカウント名の変更は複雑な操作です。このため、Identity Manager では、ユーザーの Identity Manager アカウントの名前を変更する機能、およびそのユーザーに関連付けられた 1 つ以上のリソースアカウントの名前を変更する機能を別個に用意しています。

名前の変更機能を使用するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「名前の変更」を選択します。

「ユーザーの名前変更」ページでは、ユーザーのアカウント名、関連付けられたリソースアカウント名、およびそのユーザーの Identity Manager アカウントに関連付けられたリソースアカウント属性を変更できます。

注 –

リソースタイプの一部では、アカウントの名前変更をサポートしません。

次の図に示すように、ユーザーには Active Directory リソースが割り当てられています。

名前の変更プロセスでは、次を変更できます。

アカウントに関連付けられたリソースの更新

更新操作では、ユーザーアカウントに関連付けられたリソースが Identity Manager で更新されます。「アカウント」領域から更新を実行した場合は、以前にユーザーに対して行われた保留中の変更が、選択されたリソースに送信されます。

次の場合にこの状況が発生する可能性があります。

ユーザーアカウントの更新時には、次のオプションを選択できます。

1 つのユーザーアカウントでのリソース更新

1 つのユーザーアカウントを更新するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

「リソースアカウントの更新」ページで、更新するリソースを 1 つ以上選択するか、または割り当てられたリソースアカウントをすべて更新する場合は「すべてのリソースアカウントの更新」を選択します。選択し終えたら、「OK」をクリックして、更新プロセスを開始します。または、「バックグラウンドで保存」をクリックして、操作をバックグラウンドプロセスとして実行します。

確認ページで各リソースに送信されるデータを確認します。

図 3–3 に「リソースアカウントの更新」ページを示します。

図 3–3 リソースアカウントの更新

508 アクセス可能性のテキストをここに挿入

複数のユーザーアカウントでのリソースの更新

複数の Identity Manager ユーザーアカウントを同時に更新できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

注 –

複数のユーザーアカウントを更新する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが更新されます。

Identity Manager ユーザーアカウントの削除

Identity Manager では、Identity Manager ユーザーアカウントの削除方法は、リモートアカウントの削除方法と同じです。リソースアカウントを削除する際の手順に従いますが、削除するリモートリソースアカウントを選択する代わりに、Identity Manager アカウントを選択します。

注 –

ユーザーが未処理の作業項目を保持しているか、別のユーザーに未処理の作業項目を委任している場合、そのユーザーの Identity Manager アカウントを削除することはできません。ユーザーの Identity Manager アカウントを削除する前に、委任された作業項目を解決するか、別のユーザーに転送する必要があります。

詳細は、「1 つのユーザーアカウントからのリソース削除」および 「複数のユーザーアカウントからのリソースの削除」を参照してください。

ユーザーアカウントからのリソースの削除

Identity Manager には、リソースから Identity Manager ユーザーアカウントアクセスを削除する複数の方法が用意されています。

「プロビジョン解除」は、「ユーザーリスト」ページメニューにユーザーアクションとして表示されますが、Identity Manager に実際に存在する削除操作は、「削除」、「割り当て解除」、「リンク解除」の 3 つだけです。

リモートリソースのプロビジョンを解除するには、リソース上で「削除」および「割り当て解除」操作を実行します。

1 つのユーザーアカウントからのリソース削除

1 人の Identity Manager ユーザーに対して削除操作を実行するには、次の手順に従います。一度に 1 つのユーザーアカウントを操作することで、個別のリソースアカウントに対して異なる削除、割り当て解除、またはリンク解除あるいはその組み合わせを指定できます。

Procedure1 つのユーザーアカウントに対する削除、割り当て解除、またはリンク解除操作を開始する

  1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

    「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

  2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

  3. リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

    「リソースアカウントの削除」ページが表示されます (図 3–4)。

  4. フォームに必要な情報を指定します。「削除」、「割り当て解除」、および「リンク解除」操作については、「ユーザーアカウントからのリソースの削除」を参照してください。

  5. 「OK」をクリックします。

    図 3–4 に「リソースアカウントの削除」ページを示します。スクリーンショットでは、ユーザー jrenfro はリモートリソース (Simulated Resource) 上にアクティブなアカウントを 1 つ保持しています。「削除」操作を選択すると、フォームの送信時にリソース上の jrenfro のアカウントが削除されます。削除されたアカウントは自動的にリンク解除されるため、このリソースのアカウント情報は Identity Manager から削除されます。「割り当て解除」操作は選択されていないため、Simulated Resource は jrenfro に割り当てられたままです。

    jrenfro の Identity Manager アカウントを削除するには、Identity Manager に対して「削除」操作を選択してください。

    図 3–4 「リソースアカウントの削除」ページ

    jrenfro の「リソースアカウントの削除」ページを示す図

複数のユーザーアカウントからのリソースの削除

一度に複数の Identity Manager ユーザーアカウントに対して削除操作を実行できます。ただし、選択した削除操作を実行できるのは、ユーザーの「すべての」リソースアカウントに対してのみです。

削除操作は、Identity Manager の一括アカウントアクション機能を使って実行することもできます。「Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド」を参照してください。

Procedure複数のユーザーに対して削除、割り当て解除、リンク解除操作を開始する

  1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

    「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

  2. 1 人以上のユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

  3. リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

    Identity Manager に、「削除、割り当て解除、またはリンク解除の確認」ページが表示されます (図 3–5)。

  4. 実行するアクションを指定します。

    次のオプションがあります。

    • 「ユーザーのみを削除」。ユーザーの Identity Manager アカウントを削除します。このオプションでは、ユーザーのリソースアカウントの削除や割り当て解除は実行されません。

    • 「ユーザーとリソースアカウントを削除」。ユーザーの Identity Manager アカウントおよびユーザーのすべてのリソースアカウントを削除します。

    • 「リソースアカウントのみ削除」。ユーザーのリソースアカウントをすべてを削除します。このオプションは、リソースアカウントの割り当て解除は行わず、ユーザーの Identity Manager アカウントの削除も行いません。

    • 「リソースアカウントを削除し、ユーザーに直接割り当てたリソースの割り当てを解除」。ユーザーのリソースアカウントをすべて削除および割り当て解除しますが、ユーザーの Identity Manager アカウントは削除しません。

    • 「ユーザーに直接割り当てたリソースアカウントの割り当てを解除」。直接割り当てられたリソースアカウントを割り当て解除します。このオプションは、リモートリソースのユーザーアカウントは削除しません。ロールまたはリソースグループによって割り当てられたリソースアカウントは、影響を受けません。

    • 「ユーザーからリソースアカウントのリンクを解除」。ユーザーのリソースアカウント情報は Identity Manager. から削除されます。リモートリソースのユーザーのアカウントは削除されず、割り当て解除されません。ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントは、ユーザーを更新するとリンクが回復されることがあります。

  5. 「OK」をクリックします。

    図 3–5 に、「削除、割り当て解除、またはリンク解除の確認」ページを示します。ページの上部に、複数のユーザーに実行可能な 6 つの操作が表示されます。このページの下部には、選択されたアクションの影響を受けるユーザーが表示されます。

    図 3–5 「削除、割り当て解除、またはリンク解除の確認」ページ

    508 アクセス可能性のテキストをここに挿入

ユーザーパスワードの変更

すべての Identity Manager ユーザーにパスワードが割り当てられています。Identity Manager ユーザーパスワードが設定されると、そのパスワードを使用してユーザーのリソースアカウントパスワードが同期されます。1 つ以上のリソースアカウントパスワードを同期させることができない場合 (たとえば、必須パスワードポリシーに従う場合) は、個別に設定できます。

注 –

アカウントパスワードポリシーおよびユーザー認証の一般情報については、「アカウントセキュリティーと特権の管理」を参照してください。

Procedure「ユーザーリスト」ページからのパスワードの変更

「ユーザーリスト」ページ (「アカウント」->「アカウントのリスト」) から「パスワードの変更」ユーザーアクションを使用して、「ユーザーリスト」ページからユーザーアカウントパスワードを変更することができます。これには、次の手順を実行します。

  1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

    「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

  2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

  3. パスワードを変更するには、「パスワードの変更」を選択します。

    「ユーザーパスワードの変更」ページが開きます。

  4. 新規パスワードを入力して、「パスワードの変更」ボタンをクリックします。

Procedureメインメニューからパスワードを変更する

メインメニューからユーザーアカウントパスワードを変更するには、次の手順に従います。

  1. 管理者インタフェースで、メインメニューの「パスワード」をクリックします。

    「ユーザーパスワードの変更」ページがデフォルトで表示されます。

    図 3–6 ユーザーパスワードの変更

    「ユーザーパスワードの変更」画面を示す図

  2. 検索用語 (アカウント名、電子メールアドレス、名、姓など) を選択してから、検索タイプ (「が次の文字列で始まる」、「が次の文字列を含む」、または「が次の文字列と等しい」) を選択します。

  3. 入力フィールドに検索用語の 1 文字以上を入力し、「検索」をクリックします。Identity Manager は、入力された文字が ID に含まれるすべてのユーザーのリストを返します。クリックしてユーザーを選択し、「ユーザーパスワードの変更」ページに戻ります。

  4. 新しいパスワード情報を入力して確認したら、「パスワードの変更」をクリックして一覧表示されたリソースアカウントでユーザーパスワードを変更します。Identity Manager は、パスワードを変更するために実行する操作のシーケンスを示すワークフロー図を表示します。

ユーザーパスワードのリセット

Identity Manager ユーザーアカウントパスワードのリセットプロセスは、変更プロセスに類似しています。リセットプロセスがパスワードの変更と異なるのは、新しいパスワードを指定しない点です。代わりに、Identity Manager が、選択した項目とパスワードポリシーに応じて、ユーザーアカウント、リソースアカウント、またはその組み合わせの新しいパスワードをランダムに生成します。

直接の割り当てまたはユーザーの組織を通じた割り当てによって、ユーザーに割り当てられたポリシーは、次のようなリセットオプションを制御します。

Procedure「ユーザーリスト」ページからのパスワードのリセット

「パスワードのリセット」ユーザーアクションは、「ユーザーリスト」ページ (「アカウント」>「アカウントのリスト」) で実行できます。

「ユーザーリスト」ページからパスワードをリセットするには、次の手順に従います。

  1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

  2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

  3. パスワードをリセットするには、「パスワードのリセット」を選択します。

    「ユーザーパスワードのリセット」ページが表示されます。

  4. 「パスワードのリセット」ボタンをクリックします。

ProcedureIdentity Manager アカウントポリシーを使用してパスワードを期限切れにする

ユーザーパスワードをリセットすると、そのパスワードはデフォルトでただちに期限切れになります。その結果、パスワードのリセット後に初めてログインするとき、ユーザーは新しいパスワードを選択してアクセスする必要があります。このデフォルトは「Edit the Reset User Password」フォームを使用して上書きできるため、ユーザーのパスワードは、そのユーザーに関連付けられた Identity Manager アカウントポリシーで設定された期限切れパスワードポリシーに従って期限切れになります。

デフォルトのパスワード変更要件を上書きするには、次の手順に従います。

  1. 「Reset User Password 」フォームを編集し、次の値を false に設定します。


    resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

  2. Identity Manager アカウントポリシーの「リセット」オプションを使用して、パスワードが期限切れになるときを指定します。

    次の設定があります。

    • 「半永久」。Identity Manager は、passwordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付を計算し、その日付をユーザーに設定します。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。

    • 「一時」。Identity Manager は、tempPasswordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付を計算し、その日付をユーザーに設定します。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。tempPasswordExpiry の値が 0 に設定されている場合、パスワードはただちに期限切れになります。

      tempPasswordExpiry 属性が適用されるのは、パスワードがリセットされる (ランダムに変更される) ときだけです。これは、パスワードの変更には適用されません。

ユーザーアカウントの無効化、有効化、およびロック解除

この節では、Identity Manager ユーザーアカウントを無効化および有効化する方法について説明します。また、Identity Manager アカウントがロックアウトされてしまったユーザーをサポートする方法についても説明します。

Procedureユーザーアカウントを無効化する

ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。

管理者は管理者インタフェースからユーザーアカウントを無効化できますが、ユーザーアカウントをロックすることはできません。アカウントがロックされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合だけです。

注 –

割り当てられたリソースがアカウントの無効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、ランダムに生成される新規パスワードを割り当てることにより、そのリソース上のユーザーアカウントを無効にするよう、Identity Manager を設定できます。

この機能が正しく動作することを確認するには、次の手順に従います。

  1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

  2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「無効化」機能の両方の「無効化」列にチェックマークが付いていないことを確認します。「無効化」機能を表示するには、「すべての機能を表示」を選択してください。

    「無効化」列にチェックマークが付いていない場合、リソースのアカウントを無効にすることはできません。

1 つのユーザーアカウントの無効化

ユーザーアカウントを無効にするには、「ユーザーリスト」でユーザーアカウントを選択して、「ユーザーアクション」ドロップダウンメニューの「無効化」を選択します。

表示された「無効化」ページで、無効にするリソースアカウントを選択し、「OK」をクリックします。Identity Manager は、Identity Manager ユーザーアカウントおよび関連付けられたすべてのリソースアカウントを無効にした結果を表示します。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。

複数のユーザーアカウントの無効化

複数の Identity Manager ユーザーアカウントを同時に無効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。

注 –

複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。

Procedureパスワードをリセットすることによってリソース上のユーザーアカウントを有効化する

ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。

選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。

ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。 または、管理特権を持つユーザーがこのパスワードをリセットできます。

注 –

割り当てられたリソースがアカウントの有効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、Identity Manager でパスワードをリセットすることにより、そのリソース上のユーザーアカウントを有効にできます。

この機能が正しく動作することを確認するには、次の手順に従います。

  1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

  2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「有効化」機能の両方の「無効化」列でリソースの選択を解除します。「有効化」機能を表示するには、「すべての機能を表示」を選択します。

    「有効化」列にチェックマークが付いていない場合、リソースのアカウントを有効にすることはできません。

1 つのユーザーアカウントの有効化

1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

表示された「有効化」ページで、有効にするリソースを選択し、「OK」をクリックします。Identity Manager は、Identity Manager アカウントおよび関連付けられたすべてのリソースアカウントを有効にした結果を表示します。

複数のユーザーアカウントの有効化

複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

注 –

複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。

ユーザーアカウントのロック解除

ユーザーが Identity Manager へのログインに失敗した場合、そのユーザーはロックアウトされます。ロックアウトされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合です。

注 –

Identity Manager のロックアウトに数えられるのは、Identity Manager ユーザーインタフェースに対するログイン試行だけです (つまり、管理者インタフェース、エンドユーザーインタフェース、コマンド行インタフェース、SPML API インタフェースのいずれか)。リソースアカウントへのログイン試行の失敗はカウントされず、Identity Manager アカウントのロックアウトの原因にはなりません。

パスワードまたは質問によるログイン試行の最大失敗回数は、Identity Manager アカウントポリシーにより設定されます。

パスワードによるログイン試行の失敗

パスワードによるログイン試行の失敗回数の超過のために Identity Manager からロックアウトされたユーザーは、管理者がアカウントをロック解除するか、ロックが期限切れになるまでログインできません。

質問によるログイン試行の失敗

質問によるログイン試行の失敗回数を超過したために秘密の質問によるログインインタフェースでロックアウトされるユーザーは、管理者がアカウントのロックを解除するか、ロックされたユーザー (または適切な機能を持つユーザー) がユーザーのパスワードを変更またはリセットするか、ロックの期限が切れるまで、このインタフェースにログインできなくなります。

適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。

アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。