Sun Identity Manager 8.1 ビジネス管理者ガイド

第 4 章 ビジネス管理オブジェクトの設定

この章では、管理者インタフェースを使用した Identity Manager オブジェクトの設定および保守について説明するとともに、その実行手順を示します。Identity Manager オブジェクトの詳細については、概要の章の「Identity Manager オブジェクト」を参照してください。


注 –

サービスプロバイダ実装での Identity Manager の設定については、第 17 章サービスプロバイダの管理を参照してください。


この章は、次のトピックで構成されています。

Identity Manager ポリシーの設定

この節ではユーザーポリシーの設定について説明します。

この節は次のトピックで構成されています。

ポリシーとは

Identity Manager ポリシーは、Identity Manager のアカウント ID、ログイン、およびパスワードの特性に制約を設定することで、Identity Manager ユーザーに制限を設定します。


注 –

Identity Manager には、特にユーザーのコンプライアンスを監査するように設計された監査ポリシーも用意されています。監査ポリシーについては、第 13 章アイデンティティー監査: 基本概念を参照してください。


ポリシーは、以下のタイプに分類されています。

Procedure「ポリシー」ページを開く

Identity Manager ユーザーポリシーの作成と編集は、「ポリシー」ページで行います。このページを開くには、次の手順に従います。

  1. 管理者インタフェースにログインします。

  2. 「セキュリティー」タブをクリックしてから、「ポリシー」サブタブをクリックします。

    次の図のように、「ポリシー」ページが表示されます。

    Identity Manager ポリシーを示す図。

ポリシーでの使用禁止属性

UserUIConfig 設定オブジェクトでは、「使用禁止」属性のセットを変更できます。

UserUIConfig には次のような属性があります。

辞書ポリシーとは

辞書ポリシーを使用すると、Identity Manager はパスワードを単語データベースと照合してチェックし、単純な辞書攻撃から確実に保護します。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を制限することにより、システム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。

辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します。このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装されます。

Procedure辞書ポリシーを設定する

辞書ポリシーを設定するには、次の操作を実行する必要があります。

  1. 「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。

  2. 「辞書の設定」をクリックすると、「辞書の設定」ページが表示されます。

  3. データベース情報を選択および入力します。

    データベース情報には次のものがあります。

    • 「データベースタイプ」。辞書の保存に使用するデータベースタイプ (Oracle、DB2、SQLServer、または MySQL) を選択します。

    • 「ホスト」。データベースが実行されているホストの名前を入力します。

    • 「ユーザー」。データベースに接続するときに使用するユーザー名を入力します。

    • 「パスワード」。データベースに接続するときに使用するパスワードを入力します。

    • 「ポート」。データベースが待機中のポートを入力します。

    • 「接続 URL」。接続時に使用する URL を入力します。次のテンプレート変数を使用することができます。

      • %h - ホスト

      • %p - ポート

      • %d - データベース名

      「ドライバクラス」。データベースと対話するときに使用する JDBC ドライバクラスを入力します。

    • 「データベース名」。辞書の読み込み先データベースの名前を入力します。

    • 「辞書ファイル名」。辞書を読み込むときに使用するファイルの名前を入力します。

  4. データベース接続をテストするには、「テスト」をクリックします。

  5. 接続テストが成功したら、「単語の読み込み」をクリックして、辞書を読み込みます。読み込み作業が完了するまでに、数分かかる場合があります。

  6. その辞書が正しく読み込まれたかどうかを確認するには、「テスト」をクリックします。

Procedure辞書ポリシーを実装する

次の手順を使用して、辞書ポリシーを実装します。

  1. 「「ポリシー」ページを開く」の説明に従って、「ポリシー」ページを開きます。

  2. 「パスワードポリシー」リンクをクリックして、パスワードポリシーを編集します。

  3. 「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。

  4. 変更を保存するには、「保存」をクリックします。

    いったん実装されると、変更および生成されたすべてのパスワードがその辞書と照合されます。

電子メールテンプレートのカスタマイズ

Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストをユーザーと承認者に配信します。システムには次のためのテンプレートが用意されています。

電子メールテンプレートの編集

電子メールテンプレートをカスタマイズして、受信者に、タスクの実行方法や結果の表示方法などの特定の指示を通知することができます。たとえば、「アカウントの作成の承認」テンプレートをカスタマイズして、次のメッセージを追加することにより、承認者にアカウント承認ページを表示するとします。

$(fullname) 用アカウント作成を承認するには、http://host.example.com:8080/idm/approval/approval.jsp にアクセスしてください。

アカウント作成承認テンプレートを例に使用して、次の手順で電子メールテンプレートをカスタマイズします。

Procedure電子メールテンプレートをカスタマイズする

  1. 管理者インタフェースで、「設定」タブをクリックしてから「電子メールテンプレート」サブタブをクリックします。

    「電子メールテンプレート」ページが開きます。

  2. アカウント作成承認テンプレートをクリックして選択します。

    図 4–1 電子メールテンプレートの編集

    「電子メールテンプレートの編集」タブを示す図

  3. テンプレートの詳細を入力します。

    次の情報を入力できます。

    • 「SMTP ホスト」フィールドに SMTP サーバー名を入力して、電子メール通知を送信できるようにします。

    • 「送信者」フィールドで、送信元の電子メールアドレスをカスタマイズします。

    • 「宛先」フィールドと「CC」フィールドに、電子メール通知の受信者になる 1 つ以上の電子メールアドレスまたは Identity Manager アカウントを入力します。

    • 「電子メール本文」フィールドで、Identity Manager の場所を指すように内容をカスタマイズします。

  4. 「保存」をクリックします。

    Sun Identity Manager 統合開発環境 (Identity Manager IDE) を使用して電子メールテンプレートを変更することもできます。Identity Manager IDE の詳細については、https://identitymanageride.dev.java.net/ の Web サイトを参照してください。


    注 –

    このサイトにアクセスするには、登録とログインが必要です。


電子メールテンプレートでの HTML 形式とリンクの使用

HTML 形式のコンテンツを電子メールテンプレートに挿入して、電子メールメッセージの本文に表示することができます。コンテンツには、テキスト、グラフィック、および情報への Web リンクを使用することができます。HTML 形式のコンテンツを有効化するには、「HTML 有効」オプションを選択します。

電子メール本文で使用できる変数

電子メールテンプレートの本文には、変数の参照を $(Name) の形式で含めることもできます。例: パスワード $(password) が復旧しました。

各テンプレートで使用できる変数を、次の表に定義します。

.

表 4–1 電子メールテンプレート変数

Template  

許容変数  

パスワードリセット 

$(password)– 新規に生成されたパスワード

更新の承認 

$(fullname)– ユーザーのフルネーム

$(role)– ユーザーのロール

更新の通知 

$(fullname)– ユーザーのフルネーム

$(role)– ユーザーのロール

レポート 

$(report)– 生成されたレポート

$(id)– タスクインスタンスのエンコードされた ID

$(timestamp)– 電子メールの送信時刻

リクエストリソース 

$(fullname)– ユーザーのフルネーム

$(resource)– リソースタイプ

リスク分析 

$(report)– リスク分析レポート

一時パスワードリセット 

$(password)– 新規に生成されたパスワード

$(expiry)– パスワードの有効期限

監査グループおよび監査イベントの設定

監査設定グループを設定すると、選択したシステムイベントを記録およびレポートすることができます。監査グループを設定すると、あとで監査ログレポートも実行できるようになります。

Procedure「監査設定」ページを開く

監査グループを設定するには、「監査設定」ページを使用します。「監査設定」ページを開くには、次の手順に従います。

  1. 管理者インタフェースを開きます。

  2. 「設定」タブをクリックしてから、「監査」サブタブをクリックします。

    「監査設定」ページが開きます。

Procedure監査グループを設定する

監査グループおよびイベントの設定には、Configure Audit 管理機能が必要になります。

  1. 前の節の手順に従って、「監査設定」ページを開きます。

    「監査設定」ページに監査グループのリストが表示されます。 各グループに 1 つ以上のイベントが含まれています。各グループについて、成功したイベント、失敗したイベント、またはその両方を記録することができます。

  2. リスト内の監査グループをクリックすると、「監査設定グループの編集」ページが表示されます。このページで、監査設定グループの一部としてシステム監査ログに記録する監査イベントのタイプを選択することができます。

  3. 「監査の有効化」チェックボックスが選択されていることを確認します。監査システムを無効にするには、チェックボックスを選択解除します。


    注 –

    監査グループの詳細については、第 10 章監査ログ「監査設定」を参照してください。


Procedure監査設定グループにイベントを追加する

次の手順を使用して、グループにイベントを追加します。

  1. 「新規」をクリックします。

    ページの下部にイベントが追加されます。

  2. 「オブジェクトタイプ」列のリストからオブジェクトタイプを選択して、「アクション」列の 1 つ以上の項目を、新しいオブジェクトタイプの「利用可能」領域から「選択」領域に移動します。

  3. 「OK」をクリックしてイベントをグループに追加します。

Procedure監査設定グループ内のイベントを編集する

オブジェクトタイプに対するアクションを追加または削除することで、グループ内のイベントを編集できます。

  1. 「アクション」列の項目を、オブジェクトタイプの「利用可能」領域から「選択」領域に移動します。

  2. 「OK」をクリックします。

Remedy との統合

Identity Manager を Remedy サーバーと統合すると、指定されたテンプレートに従って Remedy チケットを送信することができます。

Remedy との統合は、管理者インタフェースの次の 2 つの領域で設定します。

Remedy チケットの作成は、Identity Manager ワークフローを通じて設定されます。設定によっては、定義済みのテンプレートを使用して Remedy チケットを開く呼び出しを適切な時刻に行うこともできます。ワークフローの設定については、『Sun Identity Manager Deployment Reference』の第 1 章「Workflow」を参照してください。

エンドユーザーインタフェースの設定

管理者は、管理者インタフェースのフォームを変更することにより、エンドユーザーインタフェースの特定の側面を設定できます。

Procedureエンドユーザーインタフェースに表示される情報を設定する

  1. 管理者インタフェースで、メインメニューから「設定」をクリックします。

  2. 二次的なメニューで「ユーザーインタフェース」をクリックします。

    「ユーザーインタフェース」ページが開きます。

  3. フォームの「エンドユーザーダッシュボード」部分に必要な情報を指定して保存します。フォームのヘルプを参照するには、「ヘルプ」をクリックします。

    フォームの「匿名登録」部分への情報の指定については、「匿名登録」を参照してください。

Procedureエンドユーザーインタフェースでプロセスダイアグラムを有効にする

プロセスダイアグラムには、エンドユーザーによる要求の起動時またはプロファイルの更新時に Identity Manager が従うワークフローが示されます。有効にすると、エンドユーザーによるフォーム送信後の結果ページがプロセスダイアグラムに表示されます。

プロセスダイアグラムは、エンドユーザーインタフェースで有効にする前に、管理者インタフェース内で有効にする必要があります。詳細については、「プロセス図の有効化」を参照してください。

  1. 「エンドユーザーインタフェースの設定」の手順に従って、ユーザーインタフェース設定ページを開きます。

  2. フォームの「結果ページ」セクション内で「エンドユーザープロセスダイアグラムの有効化」オプションを選択します。

    「エンドユーザープロセスダイアグラムの有効化」オプションを選択できない場合は、最初に管理者インタフェースでプロセスダイアグラムを有効にする必要があります。「プロセス図の有効化」を参照してください。

  3. 「保存」をクリックします。

Identity Manager の登録

管理者には、Identity Manager のインストールを登録することをお勧めします。

登録には Sun Online アカウントとパスワードが必要です。Sun Online アカウントを持っていない場合は、次のアドレスでフォームに必要な情報を入力することで登録できます。

https://reg.sun.com/register

Identity Manager の登録はコンソールから、または管理者インタフェースを使用して行うことができます。

コンソールから登録する場合は、Sun Service Tag ソフトウェアで使用可能なローカルサービスタグを作成して、Sun システム、ソフトウェア、およびサービスのインベントリを追跡できます。サービスタグクライアントパッケージは、ローカルサービスタグを作成する前にインストールしてください。このパッケージは、次のアドレスにある「Download Service Tags」ボタンをクリックしてダウンロードできます。

http://inventory.sun.com/inventory

Identity Manager を登録するには、Identity Manager オブジェクトの設定が許可されている管理者アカウントでログオンする必要があります。このアカウントには製品登録の機能が必要です。機能の詳細については、「ユーザーへの機能の割り当て」を参照してください。


注 –

製品登録機能を正しく動作させるには、Identity Manager アプリケーションサーバー上の Java が、SSL に対して適切に設定されている必要があります。java.security ファイル (または同等のファイル) 内で参照される JAR ファイルがすべて存在する必要があります。


ここからは、Identity Manager の登録に関する情報と操作方法を説明します。この情報は、次のトピックで構成されています。

コンソールからの Identity Manager の登録

この節では、Identity Manager をコンソールから登録する場合に必要な情報について説明します。

register コマンドの使用法

Identity Manager をコンソールから登録するには、register コマンドを使用します。ここでは、このコマンドの使用方法について説明します。

register コマンドの使用法

register -local
register -remote [-u <userid> [-p <password>]] [-prompt] -userSOA <userid> 
-passSOA <password> [-proxy <proxyHost> [-port <proxyPortNumber>]] 
register [-help | -?]

register コマンドのオプション

次の表に、register コマンドとともに指定できるオプションを示します。

表 4–2 コマンドオプション

オプション  

説明  

-local

このホスト上にサービスタグを作成します。 

-remote

この Identity Manager インストールをネットワーク経由で Sun に直接登録します。 

-u <userid>

登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager ユーザー ID。 

-p <password>

登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager パスワード。 

-prompt

パスワードが入力されていない場合に、対話的に入力を求めます。 

-userSOA <userid>

登録に使用する Sun Online アカウントのユーザー ID。-remote オプションを使用して登録する場合に必要です。

-passSOA <password>

登録に使用する Sun Online アカウントのパスワード。-remote オプションを使用して登録する場合に必要です。

-proxy <proxyHost>

Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシ。登録に -remote オプションを使用し、かつ外部インターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合に必要です。

-port <proxyPortNumber>

Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシのポート。登録に -remote オプションを使用し、かつ外部インターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合に必要です。

-help | -?

このコマンドのヘルプをコンソールに出力します。 

ProcedureIdentity Manager をコンソールから登録する

Identity Manager をコンソールから登録するには、ローカルサービスタグを作成するか、インターネットを通じて Sun に登録する必要があります。次の手順を使用します。

  1. Identity Manager コンソール (コマンド行) インタフェースを起動します。

    • Windows のコマンド行で、次のコマンドを入力します。

      %WSHOME%\bin\lh

    • UNIX のコマンド行で、次のコマンドを入力します。

      $WSHOME/bin/lh

  2. register コマンドを次のように実行します。

    • ローカルサービスタグを作成する場合は、次のように実行します。

      register -local

    • インターネットを通じて Identity Manager を登録する場合は、次のコマンドを実行します。

      register -remote -u <userid> -p <password> -userSOA <soaUserid> -passSOA <soaPassword > -proxy <proxyHost> -port < proxyPortNumber>

      各表記の意味は次のとおりです。

      • userid は、登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager ユーザー ID です。

      • password は、登録を実行する権限を与えられた Identity Manager 管理者の Identity Manager パスワードです。

      • soaUserid は、登録に使用する Sun Online アカウントのユーザー ID です。

      • soaPassword は、登録に使用する Sun Online アカウントのパスワードです。

      • proxyHost は、Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシです。これは、外部のインターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合にのみ必要です。

      • proxyPortNumber は、Sun オンライン登録サービスへのアクセスに使用するネットワークプロキシのポートです。これは、外部のインターネットアドレスへのアクセスにプロキシを使用するようにネットワークが設定されている場合にのみ必要です。

ProcedureIdentity Manager を管理者インタフェースから登録する

ローカルサービスタグを作成する必要がない場合は、管理者インタフェースから Identity Manager を登録します。

  1. 管理者インタフェースで、「設定」をクリックします。

  2. 二次的なメニューで「製品登録」をクリックします。

    「製品登録」ページが開きます。

  3. フォームに値を入力し、「今すぐ登録」をクリックします。個別のフォームフィールドの情報を表示するには、i-Help をクリックします。


    注 –
    • アプリケーションサーバーで外部への SSL 接続が許可されていない場合は、次のエラーメッセージが表示されます。


      Failed to register on Sun Connection server 
      due to invalid Sun Online Account user/password.

      この問題を解決するには、適切な信頼できるルート証明書をアプリケーションサーバーのキーストアに追加します。詳細については、使用しているアプリケーションサーバーのマニュアルを参照してください。

    • 以前のバージョンの xml-apis.jar および xercesImpl.jar がアプリケーションサーバーのクラスパスに存在する場合は、次のエラーメッセージが表示されることがあります。


      java.lang.NoSuchMethodError:org.w3c.dom.Node.getTextContent()Ljava/lang/String;

      この問題を解決するには、クラスパスを修正して、最新バージョンの xml-apis.jar および xercesImpl.jar だけが存在するようにします。


Identity Manager 設定オブジェクトの編集

Identity Manager の管理中に、Identity Manager システム設定オブジェクト (「システム設定ファイル」とも呼ばれる) またはその他の類似オブジェクトを編集するように求められることがあります。

  1. 次の URL をブラウザに入力して、Identity Manager デバッグページを開きます。

    http://< AppServerHost>:<Port>/idm/debug/session.jsp

    システム設定ページが開きます。


    注 –

    /idm/debug/ ページを表示するには、デバッグ機能を使用できる必要があります。


  2. 「List Objects」ボタンを見つけて、隣接する「Type」ドロップダウンリストから「Configuration」を選択します。

  3. 「List Objects」ボタンをクリックします。

    「List Objects of type: Configuration」ページが表示されます。

  4. オブジェクトのリストで、必要なオブジェクトを見つけて「編集」をクリックします。

    たとえば、システム設定オブジェクトを編集するには、「System Configuration」を検索して「編集」をクリックします。

  5. オブジェクトを編集して、「保存」をクリックします。

  6. サーバーを再起動するように指示された場合は、再起動します。