この章では、Identity Manager のロールとリソースについて説明します。
この章の情報は、次のトピックで構成されています。
この節では、Identity Manager でのロールの設定について説明します。大規模な組織では、ロールベースのリソース割り当てにより、リソース管理が大幅に簡略化されます。
ロールと管理者ロールを混同しないようにしてください。ロールは、外部リソースへのエンドユーザーアクセスの管理に使用されます。一方、管理者ロールの主な用途は、ユーザー、組織、機能など、内部の Identity Manager オブジェクトへの管理者アクセスの管理です。
この節では、ロールについて説明します。管理者ロールについては、「管理者ロールとその管理について」を参照してください。
ロールとは、リソースのアクセス権限をグループ分けし、ユーザーに効率的に割り当てる Identity Manager オブジェクトです。
ロールは、次の 4 つのロールタイプに分けられます。
ビジネスロール
IT ロール
アプリケーション
アセット
「ビジネスロール」は、組織で類似したタスクを実行する人が職務を遂行するために必要とするアクセス権限をグループに編成します。通常、ビジネスロールはユーザーの職務機能を表します。たとえば金融機関では、ビジネスロールは出納係、融資担当者、支店長、窓口担当、経理担当者、管理補佐などに対応します。
IT ロール、アプリケーション、およびアセットは、リソースエンタイトルメントをグループに編成します。エンドユーザーがリソースにアクセスできるようにするには、IT ロール、アプリケーション、およびアセットをビジネスロールに割り当てて、ジョブの実行に必要なリソースにユーザーがアクセスできるようにします。IT ロールには、アプリケーション、アセット、リソースの特定のセットが含まれます。 これには、割り当て済みリソースに対する特定のエンタイトルメントが含まれます。IT ロールには、ほかの IT ロールを含めることもできます。
ロールタイプの概念は、Identity Manager Version 8.0 で新しくなりました。組織が以前のバージョンの Identity Manager からバージョン 8.0 にアップグレードした場合、従来のロールは IT ロールとしてインポートされています。詳細は、「バージョン 8.0 より前のバージョンで作成されたロールの管理」を参照してください。
IT ロール、アプリケーション、およびアセットは、必須、条件付き、オプションのいずれかにできます。
必須ロールは、常にエンドユーザーに割り当てられます。
条件付きロールを割り当てるには、条件が true に評価される必要があります。
オプションロールは個別にリクエストでき、承認されるとエンドユーザーに割り当てられます。
ビジネスロールデザイナは、必須、条件付き、およびオプションのロールを使用して、エンドユーザーの管理者がエンドユーザーのアクセス権をきめ細かく調整できるだけの柔軟性を確保しつつ、含まれるロールへの詳細なアクセスを定義して法規制へのコンプライアンスを達成できます。条件付きまたはオプションのロールを割り当てられたユーザーも、割り当てられた同じビジネスロールを共有できますが、割り当てられるアクセス権は異なります。この方法では、組織内のアクセス要件の順列ごとにビジネスロールを新たに定義する必要がないため、「ロールエクスプロージョン」と呼ばれる問題が発生しません。
ここでは、ロールタイプを効果的に使用する方法について説明します。ロールタイプの説明については、前の節を参照してください。
以前のバージョンの Identity Manager からバージョン 8.0 にアップグレードした組織では、従来のロールが自動的に IT ロールに変換されています。これらの IT ロールは、ユーザーに直接割り当てられたままになります。アップグレード処理の過程で、従来のロールにロール所有者が割り当てられることはありません。ただし、あとでロール所有者を割り当てることは可能です。(ロール所有者については、「ロール所有者とロール承認者の指定」」を参照)
デフォルトでは、バージョン 8.0 にアップグレードした組織は、IT ロールとビジネスロールの両方をユーザーに直接割り当てることができます (図 5–2を参照)。
従来のロールを持つ組織は、次の節に示すガイドラインに基づいて新しいロールを作成することを検討してください。
IT ロール、アプリケーション、およびアセットは、ロールデザイナの構成単位です。これら 3 つのロールタイプを組み合わせて、ユーザーエンタイトルメント (アクセス権) が構築されます。IT ロール、アプリケーション、およびアセットは、その後、ビジネスロールに割り当てられます。
Identity Manager では、ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないことも可能です。Identity Manager 8.0 でロールタイプが導入されたため、ビジネスロールをユーザーに直接割り当てることだけをお勧めします。実際には、組織が 8.0 より前のバージョンの Identity Manager をインストールし、バージョン 8.0 以上にアップグレードした場合を除き、デフォルトでは他のロール タイプのいずれもユーザーに直接割り当てることはできません。このデフォルトの制限は、ロール設定オブジェクトを変更することによって変更できます (「ロールタイプの設定」)。
複雑さを軽減するため、ビジネスロールを入れ子にすることはできません。すなわち、1 つのビジネスロールに別のビジネスロールを含めることはできません。また、ビジネスロールにリソースおよびリソースグループを直接含めることもできません。その代わり、リソースおよびリソースグループを IT ロールまたはアプリケーションに割り当ててください。 そうすると、IT ロールまたはアプリケーションを 1 つ以上のビジネスロールに割り当てることができます。
IT ロールには、アプリケーション、アセット、およびほかの IT ロールを含めることができます。IT ロールに、リソースやリソースグループを含めることもできます。
IT ロールの作成および管理は、組織の IT スタッフ、またはリソース内の特定の特権の有効化に必要なエンタイトルメントを理解しているリソース所有者により行われることが想定されています。
アプリケーションおよびアセットとは、エンドユーザーがジョブの実行に必要なことを説明するための、よく使用されるビジネス用語を表すロールタイプです。たとえば、アプリケーションロールには、「Customer Support Tools」や「Intranet HR-Tool Admin」という名前が付けられる可能性があります。
アプリケーションにロールを含めることはできませんが、リソースやリソースグループを含めることはできます。アプリケーションでは、含まれるリソース上の特定のアプリケーションへのアクセスを制限する特定のエンタイトルメントを定義することもできます。
通常、アセットは、手動のプロビジョニングを必要とする、携帯電話やポータブルコンピュータなどの非接続または非デジタルのリソースです。このため、アセットにロール、リソース、またはリソースグループを含めることはできません。
アプリケーションおよびアセットは、ビジネスロールおよび IT ロールに割り当てることが想定されています。
ロール管理者には、次の機能を 1 つ以上割り当ててください。
Asset Administrator
Application Administrator
Business Role Administrator
IT Role Administrator
詳細は、「ユーザーへの機能の割り当て」を参照してください。
次の図に、4 つのロールタイプのそれぞれに割り当て可能なロールタイプ、リソース、およびリソースグループを示します。また、4 つのロールタイプすべてにロールタイプの除外を割り当て可能であることも示します。(ロールの除外については、「リソースとリソースグループを割り当てる」を参照)
オプション、条件付き、および必須のロール (「ロールとは」) により、柔軟性が増します。柔軟性の高いロール定義により、組織が管理する必要のあるロールの総数を減らすことができます。
図 5–2 は、8.0 より前のバージョンの Identity Manager がバージョン 8.0 以上にアップグレードされた場合に、ビジネスロールと IT ロールがユーザーに直接割り当てられることを示します。アップグレード時に、従来のロールは IT ロールに変換され、下位互換を保証するために、IT ロールはユーザーに直接割り当てられます。Identity Manager が 8.0 より前のバージョンからアップグレードされたものではない場合、ビジネスロールだけをユーザーに直接割り当てることができます。
この節では、ロールを作成する方法を次のような構成で説明します。
ロールの指定のヒントについては、「ロールタイプを使用した柔軟なロールの設計」を参照してください。
ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。
管理者インタフェースで、メインメニューから「ロール」をクリックします。
「ロール」ページ (「ロールのリスト」タブ) が開きます。
ページ下部にある「新規」をクリックします。
「 IT ロール の作成」ページが開きます。別のタイプのロールを作成するには、「タイプ」ドロップダウンメニューを使用します。
「ID」タブのフォームフィールドに必要な情報を指定します。
次の図は、「ID」タブを示したものです。
「ID」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「リソースとリソースグループを割り当てる」を参照してください。
ロールに拡張属性値を設定するために役立つ情報については、「リソースアカウント属性を表示または編集する」を参照してください。
次の図は、「リソース」タブを示したものです。
「ロール」タブのフォームフィールドに必要な情報を指定します (該当する場合)。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロールとロールの除外を割り当てる」を参照してください。
図 5–6 は、「ロール」タブを示したものです。
「セキュリティー」タブのフォームフィールドに必要な情報を指定します。このタブのフィールドに情報を指定するために役立つ情報については、オンラインヘルプ、および「ロール所有者とロール承認者の指定」と「通知の指定」を参照してください。
「ロール所有者とロール承認者の指定」に、「セキュリティー」タブを示します。
ページの下部にある「保存」をクリックします。
ロール名と説明は、「ロールの作成」フォームの「ID」タブに入力します。新しいロールを作成する場合は、「タイプ」ドロップダウンメニューで作成するロールタイプを選択します。
図 5–4 は、「ロールの作成」フォームの「ID」タブの「ID」セクションを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。
リソースとリソースグループは、「ロールの作成」フォームの「リソース」タブを使って、IT ロールおよびアプリケーションロールに直接割り当てることができます。リソースについては、「Identity Manager リソースとその管理について」の節で後述します。リソースグループについては、「リソースグループ」の節で説明します。
「ビジネスロール」に割り当てることができるのはロールのみのため、リソースとリソースグループを「ビジネスロール」に直接割り当てることはできません。
リソースおよびリソースグループをアセットロールに割り当てることはできません。アセットロールは、手動プロビジョニングが必要な非接続または非デジタルのリソース用に予約されています。
ここでは、「ロールの作成」フォームに必要な情報を指定したあとで、リソースおよびリソースグループをロールに割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。
「ロールの作成」ページの「リソース」タブをクリックします。
リソースを割り当てるには、「利用可能なリソース」列でリソースを選択し、矢印ボタンをクリックしてそのリソースを「現在のリソース」列に移します。
複数のリソースを割り当てる場合は、リソースを更新する順番を指定することができます。「順番にリソースを更新する」チェックボックスを選択し、「+」ボタンと「-」ボタンを使用して「現在のリソース」列のリソースの順番を変更します。
このロールにリソースグループを割り当てるには、「利用可能なリソースグループ」列でリソースグループを選択し、矢印ボタンをクリックしてそのリソースグループを「現在のリソースグループ」列に移動します。リソースグループはリソースの集まりであり、リソースアカウントを作成および更新する順番を指定するための別の方法を提供します。
このロールのアカウント属性をリソース単位で指定するには、「割り当てられたリソース」セクションの「属性値の設定」をクリックします。詳細は、「リソースアカウント属性を表示または編集する」を参照してください。
「保存」をクリックしてロールを保存するか、「ID」、「ロール」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。
次の図は、「ロールの作成」フォームの「リソース」タブを示したものです。
「割り当てられたリソース」テーブルを使用して、ロールに割り当てられたリソースのリソース属性値を設定または変更します。リソースには、ロールごとに定義された異なる複数の属性値を含めることができます。「属性値の設定」ボタンをクリックすると、「リソースアカウントの属性」ページが開きます。
次の図に「リソースアカウントの属性」ページを示します。このページを使って、ロールに割り当てられたリソースに拡張属性値を設定します。
「リソースアカウントの属性」ページから、属性ごとに新しい値を指定し、属性値の設定方法を決定します。
Identity Manager では、値を直接設定することや規則に従って設定することができ、既存の値を上書きしたり値を既存の値とマージしたりするためのさまざまなオプションが用意されています。リソース属性値についての一般的な情報は、「リソースアカウント属性を表示または編集する」を参照してください。
次のオプションを使用して、リソースアカウント属性ごとに値を設定します。
「値の上書き」。次のオプションのいずれかを選択します。
「なし」 (デフォルト)。値は何も設定されません。
「規則」。規則に従って値を設定します。
このオプションを選択した場合には、リストから規則名を選択する必要があります。
「テキスト」。指定されたテキストを使用して値を設定します。
このオプションを選択した場合、隣接する「テキスト」フィールドにテキストを入力する必要があります。
「設定方法」。次のオプションのいずれかを選択します。
「デフォルト値」。規則またはテキストをデフォルトの属性値に設定します。
ユーザーはこの値を変更または上書きできます。
「値を設定」。規則またはテキストで指定された属性値を設定します。
値が設定され、ユーザーの変更は上書きされます。
「値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。
「値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。
「値から削除」。規則またはテキストで指定された値を属性値から削除します。
「強制的に値を設定」。規則またはテキストで指定された属性値を設定します。
値が設定され、ユーザーの変更は上書きされます。ロールを削除すると、過去に属性に値が指定されていた場合でも、新しい値は Null となります。
「 強制的に値とマージ」。規則またはテキストで指定された値に現在の属性値をマージします。
ロールを削除すると、ロールが割り当てられたときに割り当てられた値は削除されますが、元の属性値はそのままです。
「強制的に値とマージ、既存の値をクリア」。現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。
ロールが削除されると、属性上に以前に存在していても、このロールによって指定された属性値はクリアされます。
「規則名」。「値の上書き」領域で「規則」を選択した場合には、このリストから規則を選択します。
「テキスト」。「値の上書き」領域で「テキスト」を選択した場合には、属性値に追加するテキスト、属性値から削除するテキスト、または属性値として使用するテキストを入力します。
「OK」をクリックして変更を保存し、「ロールの作成または編集」ページに戻ります。
ロールは、「ロールの作成」フォームの「ロール」タブを使って、ビジネスロールと IT ロールに割り当てることができます。割り当てられたロールは、「含まれるロール」のテーブルに追加されます。
ロールを「アプリケーション」ロールと「アセット」ロールに割り当てることはできません。
「ビジネスロール」をロールタイプに割り当てることはできません。
「ロールの作成」フォームの「ロール」タブを使って、ロールの除外を 4 つのロールタイプすべてに割り当てることができます。ロールの除外を含むロールをユーザーに割り当てた場合、除外されたロールをそのユーザーに割り当てることはできません。ロールの除外は、「ロールの除外」テーブルに追加されます。
ここでは、「ロールの作成」フォームに必要な情報を指定したあと、ロールに 1 つ以上のロールを割り当てる方法について説明します。最初に、「「ロールの作成」フォームを使用してロールを作成する」を参照してください。
「ロール」タブに必要な情報を指定する
「ロールの作成」ページの「ロール」タブをクリックします。
「含まれるロール」セクションの「追加」をクリックします。
タブが更新され、「含まれるロールの検索」フォームが表示されます。
このロールに割り当てるロールを検索します。最初に必須のロールを割り当てます。条件付きおよびオプションロールはあとで追加します。
検索フォームの使用方法については、「ロールを検索する」を参照してください。ビジネスロールを入れ子にしたり、ほかのロールタイプに割り当てたりすることはできません。
割り当てる 1 つ以上のロールをチェックボックスで選択し、「追加」をクリックします。
タブが更新され、「含まれるロールの追加」フォームが表示されます。
「関連付けタイプ」ドロップダウンメニューから「必須」 (あるいは必要に応じ「条件付き」または「オプション」) を選択します。
「OK」をクリックします。
前の 4 つの手順を繰り返して、条件付きロールを追加します (必要な場合)。前の 4 つの手順をもう一度繰り返して、オプションロールを追加します (必要な場合)。
「保存」をクリックしてロールを保存するか、「ID」、「リソース」、または「セキュリティー」タブをクリックしてロールの作成処理を続行します。
図 5–6 は、「ロールの作成」フォームの「ロール」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。
ロールには、「所有者」と「承認者」が指定されています。ロール所有者だけが、ロールを定義するパラメータの変更を承認できます。また、ロール承認者だけがエンドユーザーへのロールの割り当てを承認できます。
Identity Manager を SunTM Role Manager に統合した場合は、Identity Manager の機能を手動で無効にしてすべてのロール変更承認および通知を実行することによって、Role Manager がこれらのアクションを処理できるようにしてください。
Identity Manager で、次のように、RoleConfiguration 設定オブジェクトを編集する必要があります。
changeApproval のすべてのインスタンスを検索し、値を false に設定します。
changeNotificaiton のすべてのインスタンスを検索し、値を false に設定します。
ロール所有者になるということは、ロールを介して割り当てられる、基盤となるリソースアカウント権限への責任があるビジネス所有者になることを意味します。管理者がロールに変更を加えた場合は、その変更を実行する前に、ロール所有者が変更を承認する必要があります。この機能によって、ビジネスの所有者の認識や承認なしに、管理者が役割を変更することを防いでいます。ただし、変更承認がロール設定オブジェクトで無効化されている場合は、変更を実行するためにロール所有者の承認は必要ありません。
ロールの変更承認に加え、ロールの有効化、無効化、および削除もロール所有者の承認なしに行うことはできません。
所有者および承認者は、ロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。Identity Manager では、所有者や承認者なしでロールを作成できます (ただし、この方法は推奨されていません)。
ロール割り当て規則には、RoleUserRule authType があります。
カスタムのロール割り当て規則を作成する必要がある場合は、デフォルトのロール割り当て規則オブジェクト 3 つを参照し、これらのオブジェクトをサンプルとして使用してください。
Role Approvers
Role Notifications
Role Owners
作業項目に承認が必要な場合、所有者および承認者に電子メールで通知が送られます。変更承認作業項目および承認作業項目については、「変更承認作業項目と承認作業項目の開始」の節で説明します。
所有者および承認者は、「ロールの作成」フォーム内の「セキュリティー」タブのロールに追加されます。
「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。このフォームの使用方法については、オンラインヘルプを参照してください。
ロールがユーザーに割り当てられたときに、通知を 1 人以上の管理者に送信できます。
通知受信者の指定は、省略可能です。ロールがユーザーに割り当てられているときに、承認を不要に設定すると、管理者への通知を選択できます。また、承認を指定する際、ある管理者を承認者にして、別の管理者を通知の受信者にすることもできます。
所有者および承認者の場合と同様、通知をロールに直接追加することも、ロール割り当て規則を使って動的に追加することもできます。ロールがユーザーに割り当てられたときに、通知受信者は電子メールで通知されます。ただし、承認が不要なため、作業項目は作成されません。
通知は、「ロールの作成」フォームの「セキュリティー」タブでロールに割り当てます。「ロール所有者とロール承認者の指定」に、「ロールの作成」フォームの「セキュリティー」タブを示します。
ロールの変更時に、ロール所有者が「変更承認」の電子メール、または「変更通知」の電子メールを受信するようにできます。また、メールを受信しないようにすることもできます。ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。
デフォルトでは、ロール所有者は、所有しているロールが変更されたときは必ず、変更承認の電子メールを受信します。ただし、この動作はロールタイプごとに設定が可能です。たとえば、ビジネスロールと IT ロールで変更承認を有効にし、アプリケーションロールとアセットロールで変更通知を有効にできます。
変更承認および変更通知の電子メールを有効または無効にする手順については、「ロールタイプの設定」を参照してください。
次に、変更承認および変更通知がどのように機能するかを説明します。
「変更承認」が有効な場合、管理者がロールを変更すると、作業項目が生成され、承認の電子メールがロール所有者に送信されます。変更を実行するには、ロール所有者が作業項目を承認する必要があります。変更承認の作業項目は委任できます。詳細は、「ユーザーアカウントの承認」を参照してください。
変更承認が無効な場合、作業項目は生成されず、変更承認の電子メールがロール所有者に送信されることもありません。
変更通知が有効な場合、管理者がロールを変更すると、変更はただちに実行され、通知の電子メールがロール所有者に送信されます。
変更通知が無効な場合、通知はロール所有者に送信されません。
ロールがユーザーに割り当てられると、ロール承認者はロール承認の電子メールを受信します。Identity Manager では、ロール承認の電子メールを無効にすることはできません。
ロール承認では、ユーザーにロールが割り当てられると、作業項目が生成され、承認の電子メールがロール承認者に送信されます。ロールをユーザーに割り当てるには、ロール承認者が作業項目を承認する必要があります。
変更承認作業項目と承認作業項目は委任できます。作業項目の委任については、「作業項目の委任」を参照してください。
大半のロール編集およびロール管理タスクは、「ロールの検索」および「ロールのリスト」タブで実行できます。これらのサブタブは、メインメニューの「ロール」タブ内にあります。
この節は次のトピックで構成されています。
指定した検索条件を満たすロールを検索するには、「ロールの検索」タブを使用します。
「ロールの検索」タブを使用することで、ロール所有者と承認者、割り当てられたアカウントタイプ、含まれるロールなど、さまざまな条件に基づいてロールを検索できます。
ロールに割り当てられたユーザーの検索については、「特定のロールに割り当てられたユーザーを検索する」を参照してください。
管理者インタフェースで、「ロール」タブをクリックします。
「ロールのリスト」タブが開きます。
「ロールの検索」二次タブをクリックします。
図 5–7 は、「ロールの検索」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。
ドロップダウンメニューを使用して、検索用のパラメータを定義します。「行の追加」ボタンをクリックして、追加のパラメータを指定します。
ロールを表示するには、「ロールのリスト」タブを使用します。「ロールのリスト」ページの上部にあるフィルタフィールドを使用して、名前またはロールタイプに基づいてロールを検索します。フィルタは、大文字と小文字を区別しません。
管理者インタフェースで、「ロール」タブをクリックします。
「ロールのリスト」タブが開きます。
図 5–8 は、「ロールのリスト」タブを示したものです。このフォームの使用方法については、オンラインヘルプを参照してください。
「ロールのリスト」または「ロールの検索」タブを使って、編集するロールを検索します。ロールの変更時に変更承認が true に設定されている場合は、変更を実行するために、ロール所有者が変更を承認する必要があります。
ロールが変更されたユーザーの更新については、「ユーザーに割り当てられたロールを更新する」を参照してください。
「ロールを検索する」または「ロールを表示する」の手順に従って、編集するロールを検索します。
編集するロールの名前をクリックします。
「ロールの編集」ページが開きます。
必要に応じてロールを編集します。「ID」、「リソース」、「ロール」、および「セキュリティー」タブに必要な情報を指定するために役立つ情報については、「「ロールの作成」フォームを使用してロールを作成する」の手順を参照してください。
「保存」をクリックします。「ロール変更の確認」ページが開きます。
このロールをユーザーに割り当てる場合は、ロールが変更されたユーザーをいつ更新するかを選択できます。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
変更を保存するには、「保存」をクリックします。
「ロールを検索する」または「ロールを表示する」の手順に従って、編集するロールを検索します。
複製するロールの名前をクリックします。
「ロールの編集」ページが開きます。
「名前」フィールドに新しい名前を入力して、「保存」をクリックします。
「ロール: 作成または名前変更 ?」ページが開きます。
「作成」をクリックして、ロールのコピーを作成します。
ロールの割り当てに関する Identity Manager の要件については、「ロールとは」および「ロールタイプの使用」で説明します。ロールを割り当てる前にこの情報を理解しておいてください。
親ロールのロール所有者が承認すると、Identity Manager がロールのロール割り当てを変更します。
1 つ以上の「含まれるロール」の割り当て先となるビジネスロールまたは IT ロールを検索します。ロールの割り当て先にできるのはビジネスロールと IT ロールのみです。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。
ビジネスロールまたは IT ロールをクリックして開きます。
「ロールの編集」ページが開きます。
「ロールの編集」ページの「ロール」タブをクリックします。
「含まれるロール」セクションの「追加」をクリックします。
タブが更新され、「含まれるロールの検索」フォームが表示されます。
このロールに割り当てるロールを検索します。最初に必須のロールを割り当てます。条件付きおよびオプションロールはあとで追加します。
検索フォームの使用方法については、「ロールを検索する」を参照してください。ビジネスロールを入れ子にしたり、ほかのロールタイプに割り当てたりすることはできません。
割り当てる 1 つ以上のロールをチェックボックスで選択し、「追加」をクリックします。
タブが更新され、「含まれるロールの追加」フォームが表示されます。
「関連付けタイプ」ドロップダウンメニューから「必須」 (あるいは必要に応じ「条件付き」または「オプション」) を選択します。
「OK」をクリックします。
前の 4 つの手順を繰り返して、条件付きロールを追加します (必要な場合)。前の 4 つの手順をもう一度繰り返して、オプションロールを追加します (必要な場合)。
「保存」をクリックして、「ロール変更の確認」ページを開きます。
「ロール変更の確認」ページが開きます。
「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択し、「保存」をクリックしてロールの割り当てを保存します。
詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
Identity Manager は、親ロールのロール所有者が承認すれば、別のロールから含まれるロールを削除します。削除されたロールは、ユーザーがロールの更新を受け取ったときに、ユーザーから削除されます。(詳細は、「ユーザーに割り当てられたロールを更新する」を参照)ロールを削除すると、ユーザーはロールによって与えられたエンタイトルメントを失います。
1 人以上のユーザーに割り当てられたロールの削除については、「1 つ以上のロールをユーザーから削除する」を参照してください。
ロールの無効化については、「ロールを有効または無効にする」を参照してください。
Identity Manager からのロールの削除については、「ロールを削除する」を参照してください。
ロールを削除するビジネスロールまたは IT ロールを検索します。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。
ロールをクリックして開きます。
「ロールの編集」ページが開きます。
「ロールの編集」ページの「ロール」タブをクリックします。
「含まれるロール」セクションで、削除するロールの横のチェックボックスを選択して、「削除」をクリックします。複数のロールを削除する場合は、複数のチェックボックスを選択します。
テーブルが更新され、残りの「含まれるロール」が表示されます。
「保存」をクリックします。
「ロール変更の確認」ページが開きます。
「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
「保存」をクリックして、変更を確定します。
「ロールのリスト」タブで、ロールを有効および無効にできます。ロールの状態が「状態」列に表示されます。「状態」列ヘッダーをクリックして、ロールの状態でテーブルを並べ替えます。
無効にされたロールは、「作成/編集」ユーザーフォームの「ロール」タブには表示されず、ユーザーに直接割り当てることはできません。無効化されたロールを含むロールをユーザーに割り当てることはできますが、無効化されたロールを割り当てることはできません。
あとで無効化されるロールが割り当てられているユーザーは、そのエンタイトルメントを失いません。ロールの無効化により妨げられるのは、将来のロール割り当てだけです。
ロールを無効にしてから再度有効にするには、ロール所有者の権限が必要です。
割り当てられたユーザーでロールを有効または無効にすると、Identity Manager によりこれらのユーザーを更新するように求められます。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
「ロールを検索する」または「ロールを表示する」の手順に従って、削除するロールを検索します。
有効または無効にするロールの横にあるチェックボックスをクリックします。
「ロール」テーブルの下部にある「有効化」または「無効化」をクリックします。
「ロールの有効化」または「ロールの無効化」確認ページが開きます。
「OK」をクリックして、ロールを有効化または無効化します。
この節では、Identity Manager からロールを削除する手順について説明します。
別のロールに割り当てられたロールの削除については、「別のロールに割り当てられたロールを削除する」を参照してください。
1 人以上のユーザーに割り当てられたロールの削除については、「1 つ以上のロールをユーザーから削除する」を参照してください。
現在ユーザーに割り当てられているロールを削除する場合、ロールを保存しようとすると Identity Manager により削除が妨げられます。削除を完了するには、ロールに割り当てられているすべてのユーザーを事前に割り当て解除 (または再割り当て) しておく必要があります。また、ロールをほかのロールから削除する必要もあります。
Identity Manager で、ロールを削除する前に、ロール所有者の承認が必要です。
「ロールを検索する」または「ロールを表示する」の手順に従って、削除するロールを検索します。
削除する各ロールの横にあるチェックボックスを選択します。
「削除」をクリックします。
「ロールの削除」確認ページが表示されます。
「OK」をクリックして、1 つ以上のロールを削除します。
リソースおよびリソースグループの割り当てに関する Identity Manager の要件については、「ロールとは」および「ロールタイプの使用」で説明します。リソースをロールに割り当てる前に、この情報を理解しておいてください。
Identity Manager は、ロール所有者が承認すれば、ロールのリソースおよびリソースグループの割り当てを変更します。
リソースまたはリソースグループを追加する IT ロールまたはアプリケーションを検索します。ロールの検索方法については、「ロールを検索する」または「ロールを表示する」を参照してください。
ロールをクリックして開きます。
「ロールの編集」ページの「リソース」タブをクリックします。
リソースを割り当てるには、「利用可能なリソース」列でリソースを選択し、矢印ボタンをクリックしてそのリソースを「現在のリソース」列に移します。
複数のリソースを割り当てる場合は、リソースを更新する順番を指定することができます。「順番にリソースを更新する」チェックボックスを選択し、「+」ボタンと「-」ボタンを使用して「現在のリソース」列のリソースの順番を変更します。
このロールにリソースグループを割り当てるには、「利用可能なリソースグループ」列でリソースグループを選択し、矢印ボタンをクリックしてそのリソースグループを「現在のリソースグループ」列に移動します。リソースグループはリソースの集まりであり、リソースアカウントを作成および更新する順番を指定するための別の方法を提供します。
このロールのアカウント属性をリソース単位で指定するには、「割り当てられたリソース」セクションの「属性値の設定」をクリックします。詳細は、「リソースアカウント属性を表示または編集する」を参照してください。
「保存」をクリックして、「ロール変更の確認」ページを開きます。
「ロール変更の確認」ページが開きます。
「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
「保存」をクリックして、リソースの割り当てを保存します。
Identity Manager は、ロール所有者が承認すれば、リソースまたはリソースグループをロールから削除します。ユーザーがロールの更新を受信する際に、削除されたリソースがユーザーから削除されます。(詳細は、「ユーザーに割り当てられたロールを更新する」を参照)リソースの削除時に、ユーザーにリソースが直接割り当てられているのでない限り、ユーザーはリソースに対するエンタイトルメントを失います。
リソースまたはリソースグループを削除する IT ロールまたはアプリケーションを検索します。ロールを検索するには、「ロールを検索する」または「ロールを表示する」の手順を使用します。
ロールをクリックして開きます。
「ロールの編集」ページが開きます。
「ロールの編集」ページの「リソース」タブをクリックします。
リソースを削除するには、「現在のリソース」列でリソースを選択し、矢印ボタンをクリックして「利用可能なリソース」列に移動します。
リソースグループを削除するには、「現在のリソースグループ」列でリソースを選択し、矢印ボタンをクリックして「利用可能なリソースグループ」列に移動します。
「保存」をクリックします。
「ロール変更の確認」ページが開きます。
「割り当てられたユーザーの更新」セクションで、「割り当てられたユーザーの更新」メニューオプションを選択します。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
「保存」をクリックして、変更を確定します。
ロールをユーザーに割り当てるには、Identity Manager の「アカウント」領域を使用します。
次の手順を実行して、1 つ以上のロールをユーザーに割り当てます。
エンドユーザーは、ロール割り当てリクエストを自分で作成することもできます。リクエストできるのは、親ロールがユーザーに割り当て済みのオプションロールのみです。エンドユーザーが利用可能なロールを要求できる方法については、「「リクエスト」タブ」の節の「Identity Manager エンドユーザーインタフェース」を参照してください。
管理者インタフェースで、「アカウント」タブをクリックします。
「アカウントのリスト」サブタブが開きます。
ロールを既存のユーザーに割り当てるには、次の手順に従います。
「ユーザーリスト」でユーザーの名前をクリックします。
「ロール」タブをクリックします。
「追加」をクリックして、1 つ以上のロールをユーザーアカウントに追加します。
デフォルトでは、ユーザーに直接割り当てることができるのはビジネスロールだけです。(使用している Identity Manager が 8.0 より前のバージョンからアップグレードされたものである場合は、ビジネスロールと IT ロールをユーザーに直接割り当てることができます。)
ロールのテーブルで、ユーザーに割り当てるロールを選択して、「OK」をクリックします。
テーブルを、「名前」、「タイプ」、または「説明」でアルファベット順に並べ替えるには、列ヘッダーをクリックします。もう一度クリックすると、逆の順で並べ替えられます。リストをロールタイプでフィルタするには、「現在」ドロップダウンメニューから選択します。
テーブルが更新され、選択したロール割り当て、および親ロール割り当てに関連付けられたすべての必須ロール割り当てが表示されます。
「追加」をクリックして、オプションロール割り当てを表示します。 これも、ユーザーに割り当てることができます。
ユーザーに割り当てるオプションロールを選択して、「OK」をクリックします。
(オプション)「アクティブになる日」列で、ロールをアクティブにする日付を選択します。日付を指定しない場合、指定したロール承認者がロール割り当てを承認するとすぐに、ロール割り当てがアクティブになります。
一時的にロールを割り当てる場合は、「非アクティブになる日」列でロールを非アクティブにする日付を選択します。選択した日付に変わると、ロールが非アクティブになります。
詳細は「「特定の日付にロールをアクティブ化および非アクティブ化する」を参照してください。
「保存」をクリックします。
ロールをユーザーに割り当てる際に、「アクティブになる日」と「非アクティブになる日」を指定できます。ロール割り当て作業項目のリクエストは、割り当ての作成時に作成されます。ただし、設定されたアクティブ化の日付までにロール割り当てが承認されない場合、ロールは割り当てられません。ロールのアクティブ化および非アクティブ化は、指定された日付の午前零時を少し過ぎた時刻 (12:01 AM) に実行されます。
デフォルトでは、アクティブ化および非アクティブ化の日付を指定できるのはビジネスロールだけです。その他のロールタイプはすべて、ユーザーに直接割り当てられたビジネスロールのアクティブ化および非アクティブ化の日付を継承します。Identity Manager を設定することで、ほかのロールタイプに異なるアクティブ化および非アクティブ化の日付を直接割り当てることができます。手順については、「「ロールタイプの設定」」を参照してください。
延期タスクスキャナは、ユーザーロール割り当てをスキャンし、必要に応じてロールをアクティブおよび非アクティブにします。デフォルトでは、延期タスクスキャナタスクは 1 時間ごとに実行されます。
管理者インタフェースで、「サーバータスク」をクリックします。
二次的なメニューの「スケジュールの管理」をクリックします。
「スケジューリング可能なタスク」セクションで、「延期タスクスキャナ」タスク定義をクリックします。
「 Deferred Task Scanner タスクのスケジュールの新規作成」ページが開きます。
フォームに必要な情報を指定します。ヘルプについては、i-Help およびオンラインヘルプを参照してください。
タスクが実行されるべき日時を指定するには、「開始日」で mm/dd/yyyy hh:mm:ss という形式を使用します。たとえば、2008 年 9 月 29 日の午後 7 時にタスクの実行が開始されるようにスケジュールするには、09/29/2008 19:00:00 と入力します。
「結果オプション」ドロップダウンメニューで、「名前の変更」を選択します。「待機」を選択した場合、このタスクの将来のインスタンスは、以前の結果を削除するまで実行されません。さまざまな「結果オプション」設定の詳細については、オンラインヘルプを参照してください。
「保存」をクリックしてタスクを保存します。
図 5–9に、「延期タスクスキャナ」タスクのスケジュールタスクフォームを示します。
ユーザーに割り当てられたロールの編集時に、新しいロール変更に従ってユーザーをただちに更新することも、スケジュールした保守時間を使ってあとで更新することもできます。
ロールを変更すると、「ロール変更の確認」ページが開きます。「ロール変更の確認」ページは、「ユーザーに割り当てられたロールを更新する」に示されています。
このページの「割り当てられたユーザーの更新」セクションには、ロールが現在割り当てられているユーザーの数が示されます。
「割り当てられたユーザーの更新」メニューを使用して、ユーザーを新しいロール変更でただちに更新するか (「更新」)、ユーザーの更新を延期するか (「更新しない」)、スケジュールしたカスタム更新タスクを選択します。
「更新」はユーザーを即座に更新するため、多数のユーザーが影響を受ける場合は、このオプションを選択しないようにしてください。ユーザーの更新は、多くの時間とリソースを必要とする可能性があります。多数のユーザーを更新する必要がある場合は、オフピークの時間帯の更新をスケジュールすることをお勧めします。
ロールに「更新しない」を選択すると、管理者がユーザーのユーザープロファイルを表示するまで、またはユーザーが「ロールのユーザーの更新」タスクによって更新されるまで、ロールに割り当てられたユーザーはロールの更新を受け取りません。「ロールユーザーの更新」タスクのスケジュールについては、次の節を参照してください。
「ロールユーザーの更新」タスクスケジュールが作成されている場合は、メニューから選択することができます。選択した「ロールのユーザーの更新」タスクは、タスクに定義されたスケジュールに従って、ロールに割り当てられたユーザーを更新します。詳細は、次の節を参照してください。
「ユーザーに割り当てられたロールを更新する」に、「ロール変更の確認」ページを示します。「割り当てられたユーザーの更新」セクションには、このロールが現在割り当てられているユーザーの数が示されます。「割り当てられたユーザーの更新」ドロップダウンメニューには、「更新しない」と「更新」の 2 つのデフォルトオプションがあります。スケジュールした「ロールユーザーの更新」タスクのリストから選択することもできます。スケジュールした「ロールユーザーの更新」タスクの作成手順については、「ロールユーザーの更新タスクをスケジュールする」を参照してください。
1 つ以上のロールを選択して「割り当てられたユーザーの更新」ボタンをクリックすることで、ロールが割り当てられているユーザーを更新できます。この手順により、指定したロールの「ロールユーザーの更新」タスクのインスタンスが実行されます。
「ロールを検索する」または「ロールを表示する」の手順に従って、割り当てられたユーザーを更新するロールを検索します。
チェックボックスを使ってロールを選択します。
「割り当てられたユーザーの更新」をクリックします。
「ロールが割り当てられているユーザーの更新」ページ (図 5–10) が表示されます。
「起動」をクリックして更新を開始します。
メインメニューの「サーバータスク」をクリックしてから、二次的なメニューの「すべてのタスク」をクリックして、「ロールユーザーの更新」タスクの状態を確認します。
ロールユーザーの更新タスクが定期的に実行されるようにスケジュールしてください。
次のようにロールユーザーの更新タスクをスケジュールして、未処理のロール変更があるユーザーを更新します。
管理者インタフェースで、「サーバータスク」をクリックします。
二次的なメニューの「スケジュールの管理」をクリックします。
「スケジューリング可能なタスク」セクションで、「ロールユーザーの更新」タスク定義をクリックします。
「Update Role Users タスクのスケジュールの新規作成」ページが開きます。既存のタスクを編集している場合は、「タスクスケジュールの編集」ページが開きます (図 5–11)。
フォームに必要な情報を指定します。ヘルプについては、i-Help およびオンラインヘルプを参照してください。
タスクが実行されるべき日時を指定するには、「開始日」で mm/dd/yyyy hh:mm:ss という形式を使用します。たとえば、2008 年 9 月 29 日の午後 7 時にタスクの実行が開始されるようにスケジュールするには、09/29/2008 19:00:00 と入力します。
「結果オプション」ドロップダウンメニューで、「名前の変更」を選択します。「待機」を選択した場合、このタスクの将来のインスタンスは、以前の結果を削除するまで実行されません。さまざまな「結果オプション」設定の詳細については、オンラインヘルプを参照してください。
「保存」をクリックしてタスクを保存します。
図 5–11に、「ロールユーザーの更新」タスクのスケジュールタスクフォームを示します。特定の「ロールユーザーの更新」タスクに特定のロールを割り当てることができます (「タスクパラメータ」セクションを参照。詳細は、「ユーザーに割り当てられたロールを更新する」を参照してください。
特定のロールが割り当てられたユーザーを検索できます。
管理者インタフェースで、「アカウント」をクリックします。
二次的なメニューの「ユーザーの検索」をクリックします。「ユーザーの検索」ページが開きます。
検索タイプ「[ロールタイプを選択] ロールが割り当てられているユーザー」を見つけます。
オプションボックスを選択し、「ロールタイプの選択」ドロップダウンメニューを使用して利用可能なロールのリストをフィルタします。
二次的なロールメニューが開きます。
ロールを選択します。
検索をさらに絞り込む必要がなければ、その他の検索タイプチェックボックスを選択解除します。
「検索」をクリックします。
「ユーザーの編集」ページを使って、1 つ以上のロールをユーザーアカウントから削除できます。削除できるのは、直接割り当てられたロールだけです。間接的に割り当てられたロール (つまり、条件付きまたは必須、あるいはその両方の含まれるロール) は、親ロールの削除時に削除されます。間接的に割り当てられたロールをユーザーから削除する別の方法は、ロールを親ロールから削除することです (「別のロールに割り当てられたロールを削除する」を参照)。
エンドユーザーは、割り当てられたロールのユーザーアカウントからの削除もリクエストできます。「「リクエスト」タブ」の節の「Identity Manager エンドユーザーインタフェース」を参照してください。
スケジュールされた非アクティブ化の日付を使用したロールの削除については、「特定の日付にロールをアクティブ化および非アクティブ化する」を参照してください。
管理者インタフェースで、「アカウント」タブをクリックします。
「アカウントのリスト」サブタブが開きます。
規則を削除するユーザーをクリックします。
「ユーザーの編集」ページが開きます。
「ロール」タブをクリックします。
ロールのテーブルで、ユーザーから削除するロールを選択して、「OK」をクリックします。
テーブルを「名前」、「タイプ」、「アクティブになる日」、「非アクティブになる日」、「親ロール」、または「状態」でアルファベット順に並べ替えるには、列ヘッダーをクリックします。もう一度クリックすると、逆の順で並べ替えられます。リストをロールタイプでフィルタするには、「現在」ドロップダウンメニューから選択します。
テーブルに、親ロールの割り当て (選択可能なロール)、および親ロールの割り当てに関連付けられたすべてのロール割り当て (選択不可のロール) が表示されます。
「削除」をクリックします。
割り当てられたロールのテーブルが更新され、割り当てられた残りのロールが表示されます。
「保存」をクリックします。
「リソースアカウントの更新」ページが開きます。削除しないリソースアカウントをすべて選択解除します。
変更を保存するには、「保存」をクリックします。
ロールタイプ機能は、Role 設定オブジェクトを編集することで変更できます。
デフォルトでは、ユーザーに直接割り当てることができるのは特定のロールタイプだけです。これらの設定を変更するには、次の手順に従います。
もっとも推奨されるのは、ビジネスロールだけをユーザーに直接割り当てることです。詳細は、「ロールタイプを使用した柔軟なロールの設計」を参照してください。
ユーザーに直接割り当て可能なロールタイプを変更するには、次の手順に従います。
「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。
編集するロールタイプに対応するロールオブジェクトを探します。
IT ロールを編集する場合は、Object name='ITRole' を見つけます。
アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。
アセットロールを編集する場合は、Object name='AssetRole' を見つけます。
一連の手順を指定して、設定を更新します。
設定を更新する方法に応じて、次のいずれかを選択します。
ロールタイプを変更してユーザーに直接割り当て可能にするには、ロールオブジェクト内で次の userAssignment 属性を見つけます。
<Attribute name=’userAssignment’> <Object/> </Attribute> |
これを次の属性で置き換えます。
<Attribute name=’userAssignment’> <Object> <Attribute name=’manual’ value=’true’/> </Object> </Attribute> |
ロールタイプを変更してユーザーへの直接割り当てを不可にするには、ロールオブジェクト内で userAssignment 属性を見つけて、次に示すように manual 属性を削除します。
<Attribute name=’userAssignment’> <Object> </Object> </Attribute> |
Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。
デフォルトでは、アクティブ化の日付および非アクティブ化の日付を設定できるのはビジネスロールだけです。これらの日付は、ロールの割り当て時に指定できます。その他のロールはすべて、ユーザーに直接割り当てられたビジネスロールのアクティブ化または非アクティブ化の日付を継承します。
もっとも推奨されるのは、ビジネスロールだけをユーザーに直接割り当てることです。詳細は、「ロールタイプを使用した柔軟なロールの設計」を参照してください。
別のロールタイプ (IT ロールタイプなど) をユーザーに直接割り当て可能にする場合は、そのロールタイプをアクティブにする日付や非アクティブにする日付も割り当て可能にできます。
どのロールタイプでアクティブ化および非アクティブ化の日付を割り当て可能にできるかを変更するには、次の手順に従います。
「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。
編集するロールタイプに対応するロールオブジェクトを探します。
ビジネスロールを編集する場合は、Object name='BusinessRole' を見つけます。
IT ロールを編集する場合は、Object name='ITRole' を見つけます。
アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。
アセットロールを編集する場合は、Object name='AssetRole' を見つけます。
一連の手順を指定して、設定を更新します。
設定を更新する方法に応じて、次のいずれかを選択します。
ロールタイプを変更して、直接割り当て可能なアクティブ化および非アクティブ化の日付を設定可能にするには、ロールオブジェクト内で次の userAssignment 属性を見つけます。
<Attribute name=’userAssignment’> <Attribute name=’manual’ value=’true’/> </Attribute> |
これを次の属性で置き換えます。
<Attribute name=’userAssignment’> <Object> <Attribute name=’activateDate’ value=’true’/> <Attribute name=’deactivateDate’ value=’true’/> <Attribute name=’manual’ value=’true’/> </Object> </Attribute> |
ロールタイプを変更して、直接割り当て可能なアクティブ化および非アクティブ化の日付を設定できなくするには、ロールオブジェクト内で userAssignment 属性を見つけて、次に示すように activateDate および deactivateDate 属性を削除します。
<Attribute name=’userAssignment’> <Object> </Object> </Attribute> |
Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。
デフォルトでは、変更承認作業項目はすべてのロールタイプで有効です。このため、ロールに所有者がいる場合、ロールが変更されるたびに (ビジネスロール、IT ロール、アプリケーション、またはアセットのいずれであっても)、変更を実行するために所有者が変更を承認する必要があります。
変更承認作業項目および変更通知作業項目については、「変更承認作業項目と承認作業項目の開始」を参照してください。
ロールタイプの変更承認作業項目および変更通知作業項目を有効または無効にするには、次の手順に従います。
「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。
編集するロールタイプに対応するロールオブジェクトを探します。
ビジネスロールを編集する場合は、Object name='BusinessRole' を見つけます。
IT ロールを編集する場合は、Object name='ITRole' を見つけます。
アプリケーションロールを編集する場合は、Object name='ApplicationRole' を見つけます。
アセットロールを編集する場合は、Object name='AssetRole' を見つけます。
<Attribute name='features'> 要素内の <Object> 要素で、次の属性を検索します。
<Attribute name=’changeApproval’ value=’true’/> <Attribute name=’changeNotification’ value=’true’/> |
必要に応じて、属性値を true または false に設定します。
必要に応じ、手順 2 ~ 4 を繰り返して別のロールタイプを設定します。
Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。
管理者インタフェースの「ロールのリスト」ページには、設定可能な最大行数を表示できます。デフォルト値は 500 です。この節の手順に従って、この数を変更します。
次の手順に従って、「ロールのリスト」ページで表示可能な最大行数を変更します。
「Identity Manager 設定オブジェクトの編集」の手順に従って、編集するロール設定オブジェクトを開きます。
次の属性を検索して、値を変更します。
<Attribute name=’roleListMaxRows’ value=’500’/> |
Role 設定オブジェクトを保存します。変更を有効にするために、アプリケーションサーバーを再起動する必要はありません。
Identity Manager ロールをリソース上でネイティブに作成されたロールと同期することができます。同期させると、リソースはデフォルトでロールに割り当てられます。これには、同期タスクを使用して作成されたロール、およびいずれかのリソースロール名に一致する既存の Identity Manager ロールが該当します。
管理者インタフェースで、メインメニューから「サーバータスク」をクリックします。
「タスクの実行」をクリックします。「利用可能なタスク」ページが開きます。
「アイデンティティーシステムのロールとリソースのロールの同期」タスクをクリックします。
フォームに必要な情報を指定します。詳細については、「ヘルプ」をクリックしてください。
「起動」をクリックします。
この節では、Identity Manager リソースの設定の説明および手順を示します。
Identity Manager リソースは、アカウントが作成されるリソースまたはシステムへの接続方法に関する情報を格納します。Identity Manager リソースは、リソースについての関連属性を定義し、Identity Manager でのリソース情報の表示方法を指定するために役立ちます。
Identity Manager では、次のような広範囲なリソースタイプに対応したリソースを提供します。
メインフレームセキュリティーマネージャー
データベース
ディレクトリサービス
オペレーティングシステム
Enterprise Resource Planning (ERP) システム
メッセージプラットフォーム
既存のリソースに関する情報は、「リソース」ページに表示されます。
リソースにアクセスするには、メニューバーの「リソース」をクリックします。
リソースリスト内のリソースは、タイプごとにグループ化されています。各リソースタイプは、フォルダアイコンで表されます。現在定義されているリソースを表示するには、フォルダの隣にあるインジケータをクリックします。表示を折りたたむには、インジケータをもう一度クリックします。
リソースタイプフォルダを展開すると、中に含まれるリソースオブジェクトの数が動的に更新されて表示されます (グループをサポートするリソースタイプの場合)。
リソースの一部には、次のような、管理可能な追加のオブジェクトを持つものがあります。
組織
組織単位
グループ
ロール
リソースリストからオブジェクトを選択し、次のオプションリストのいずれかから操作を選択して、管理タスクを開始します。
リソースアクション. 編集、アクティブな同期、名前変更、削除など各種のアクションを実行し、リソースオブジェクトの操作やリソース接続の管理も行います。
「リソースオブジェクトアクション」。リソースオブジェクトを編集、作成、削除、名前変更、別名保存、および検索します。
「リソースタイプアクション」。リソースポリシーの編集、アカウントインデックスの操作、管理するリソースの設定を行います。
リソースを作成または編集すると、ManageResource ワークフローが開始されます。このワークフローでは、新しいリソースまたは更新されたリソースをリポジトリに保存し、リソースが作成または保存される前に承認などの操作を挿入することができます。
新しいリソースを作成する前に、管理可能にするリソースタイプを Identity Manager に指定する必要があります。リソースを有効にして、カスタムリソースを作成する場合は、「管理するリソースの設定」ページを使用します。
「管理するリソースの設定」ページを開くには、次の手順に従います。
管理者インタフェースにログインします。
「リソース」タブをクリックします。
「管理するリソースの設定」ページを開くには、次のいずれかの方法を使用します。
「リソースタイプアクション」ドロップダウンリストを見つけて、「管理するリソースの設定」を選択します。
「タイプの設定」タブをクリックします。
「管理するリソースの設定」ページが開きます。
このページには、次の 3 つのセクションがあります。
「リソースコネクタ」。このセクションには、リソースコネクタのタイプ、コネクタのバージョン、およびコネクタサーバーが一覧表示されます。
「リソースアダプタ」。このセクションには、大企業の環境によく見られるリソースタイプが一覧表示されます。リソースに接続する Identity Manager アダプタのバージョンが、「バージョン」列に示されます。
「カスタムリソースアダプタ」。このセクションを使用して、カスタムリソースを「リソース」リストに追加します。
以下の手順に従って、「管理するリソースの設定」ページからリソースタイプを有効にすることができます。
「管理するリソースの設定」ページがまだ開いていない場合は、開きます (「リソースリストの管理」)。
「リソース」セクションで、有効にするリソースタイプの「管理しますか?」列のボックスを選択します。
リスト表示されているすべてのリソースタイプを有効にするには、「すべてのリソースを管理しますか?」を選択します。
ページの下部にある「保存」をクリックします。
リソースが「リソース」リストに追加されます。
以下の手順に従って、「管理するリソースの設定」ページからカスタムリソースを追加できます。
「管理するリソースの設定」ページがまだ開いていない場合は、開きます (「リソースリストの管理」)。
「カスタムリソース」セクションの「カスタムリソースの追加」をクリックして、テーブルに行を追加します。
リソースのリソースクラスパスを入力するか、カスタマイズしたリソースを入力します。Identity Manager で提供されるアダプタでの完全なクラスパスについては、『Sun Identity Manager 8.1 Resources Reference』を参照してください。
「保存」をクリックして、リソースを「リソース」リストに追加します。
リソースタイプが有効になると、そのリソースのインスタンスを Identity Manager 内で作成できるようになります。リソースを作成するには、「リソースウィザード」を使用します。
リソースウィザードを使用すると、次の項目を手順に従って設定できます。
リソース固有のパラメータ。これらの値は、このリソースタイプの特定のインスタンスを作成するときに Identity Manager インタフェースから修正できます。
アカウント属性。リソースのスキーママップで定義します。これらによって、Identity Manager ユーザー属性がリソースの属性にどのようにマップされるかが決まります。
アカウント DN またはアイデンティティーテンプレート。階層的な名前空間で特に重要な、ユーザーに対するアカウント名の構文が含まれます。
リソースの Identity Manager パラメータ。ポリシーの設定、リソース承認者の設定、およびリソースへの組織アクセスの設定を行います。
管理者インタフェースにログインします。
「リソース」タブをクリックします。「リソースのリスト」サブタブが選択されていることを確認します。
「リソースタイプアクション」ドロップダウンリストを見つけて、「新規リソース」を選択します。
「新規リソース」ページが開きます。
ドロップダウンリストからリソースの種類を選択します。(該当するリソースタイプがリストに表示されない場合は、それを有効にする必要があります。「リソースリストの管理」を参照してください)
「新規」をクリックして、リソースウィザードの「ようこそ」ページを表示します。
「次へ」をクリックして、リソースの定義を開始します。
リソースウィザードの手順とページは、次の順序で表示されます。
リソースパラメータ。認証とリソースアダプタの動作を管理するためのリソース固有のパラメータを設定します。パラメータを入力して「テスト接続」をクリックし、接続が有効であることを確認します。確認できたら、「次へ」をクリックして、アカウント属性を設定します。
次の図に、Solaris リソースの「リソースパラメータ」ページを示します。このページのフォームフィールドは、リソースにより異なります。
アカウント属性 (スキーママップ)。Identity Manager アカウント属性をリソースアカウント属性にマップします。リソースアカウント属性については、「リソースアカウント属性を表示または編集する」を参照してください。
属性を追加する場合は、「属性の追加」をクリックします。
1 つ以上の属性を削除するには、属性の横のボックスを選択して「選択している属性の削除」をクリックします。
次の図に、リソースウィザードの「アカウント属性」ページを示します。
EXT_RESOURCEACCOUNT_ACCTATTR テーブルに属性をエクスポートする場合は、エクスポートする属性ごとに「監査」ボックスをチェックする必要があります。
操作が終了したら、「次へ」をクリックしてアイデンティティーテンプレートを設定します。
アイデンティティーテンプレート。ユーザーに対するアカウント名の構文を定義します。この機能は、階層的な名前空間で特に重要です。
属性をテンプレートに追加するには、「属性の挿入」リストから属性を選択します。
属性を削除するには、文字列内でその属性を強調表示して、キーボードの Del キーを押します。属性名と前後の $ (ドル記号) の両方を削除してください。
アカウントタイプ。Identity Manager では、1 人のユーザーに複数のリソースアカウントを割り当てることができます。たとえば、ユーザーは、特定のリソースの通常のユーザーアカウントのほか、管理者レベルのアカウントが必要になる場合があります。このリソースで複数のアカウントタイプをサポートするには、「アカウントタイプ」チェックボックスを選択します。
サブタイプ IdentityRule で識別されるアイデンティティー生成規則を 1 つ以上作成していない場合、「アカウントタイプ」チェックボックスは選択できません。accountIds は区別できるものである必要があるため、さまざまなタイプのアカウントが特定のユーザーのさまざまな accountIds を生成する必要があります。アイデンティティー生成規則は、これら一意の accountIds の作成方法を指定します。
サンプルのアイデンティティー規則は、sample/identityRules.xml にあります。
アカウントタイプは、Identity Manager 内のほかのオブジェクトから参照されなくなるまで削除できません。また、アカウントタイプの名前を変更することはできません。
「アカウントタイプ」フォームへの必要な情報の指定については、Identity Manager のオンラインヘルプを参照してください。ユーザーに対する複数のリソースアカウントの作成については、「1 人のユーザーに対する複数のリソースアカウントの作成」を参照してください。
アイデンティティーシステムのパラメータ。「リソースを作成する」に示したとおり、再試行やポリシーの設定などの、リソースの Identity Manager パラメータを設定します。
ページ間を移動するには、「次へ」および「戻る」を使用します。選択がすべて終了したら、「保存」をクリックしてリソースを保存し、リストページに戻ります。
この節では、既存のリソースの管理方法について説明します。
トピックは次のように構成されます。
リソースリストの既存のリソースを表示できます。
リソースウィザードを使用して、リソースパラメータ、アカウント属性、およびアイデンティティーシステムパラメータを編集します。リソース上で作成されたユーザーに使用するアイデンティティーテンプレートを指定することもできます。
Identity Manager の管理者インタフェースで、メインメニューの「リソース」をクリックします。
「リソースのリスト」サブタブにリソースリストが表示されます。
編集するリソースを選択します。
「リソースアクション」ドロップダウンメニューで、「リソースウィザード」(「編集」の下) を選択します。
リソースウィザードが起動し、選択したリソースを編集モードで開きます。
リソースの編集ウィザードのほかに、「リソースリスト」コマンドを使用して、リソースに対する一連の編集アクションを実行できます。
リソースリストから 1 つ以上のオプションを選択します。
次のオプションがあります。
「リソースの削除」。1 つ以上のリソースを選択して、「リソースアクション」リストから「削除」を選択します。複数のタイプのリソースを同時に選択できます。ロールまたはリソースグループが関連付けられているリソースは削除できません。
「リソースオブジェクトの検索」。リソースを選択して「リソースオブジェクトアクション」リストから「検索」を選択すると、オブジェクト特性によってリソースオブジェクト (組織、組織単位、グループ、または個人など) を検索できます。
「リソースオブジェクトの管理」。一部のリソースタイプでは、新しいオブジェクトを作成できます。リソースを選択して、「リソースオブジェクトアクション」リストから「 リソースオブジェクトの作成」を選択します。
「リソース名の変更」。リソースを選択して、「リソースアクション」リストから「名前の変更」を選択します。表示される入力ボックスに新しい名前を入力して、「名前の変更」をクリックします。
「リソースの複製」。リソースを選択して、「リソースアクション」リストから「名前を付けて保存」を選択します。表示される入力ボックスに新しい名前を入力します。クローンとして作成されたリソースが、選択した名前でリソースリストに表示されます。
「リソースについて一括操作を実行」。リソースとアクションのリストを指定して、(CSV 形式の入力から) リスト内のすべてのリソースに適用します。続いて一括アクションを起動して、一括アクションバックグラウンドタスクを開始します。
変更を保存します。
リソースアカウント属性 (またはスキーママップ) は、管理するリソースの属性を参照する abstract メソッドを提供します。スキーママップを使用すると、Identity Manager 内で属性を参照する方法 (スキーママップの左側) およびその名前を実際のリソース上の属性名にマッピングする方法 (スキーママップの右側) を指定できます。次に、フォームまたはワークフロー定義内で Identity Manager 属性名を参照したり、リソース自体の属性を効果的に参照したりできます。
Identity Manager の属性と LDAP リソースの属性間のマッピング例を、次に示します。
Identity Manager の属性 |
LDAP リソースの属性 |
|
firstname |
<--> |
givenName |
lastname |
<--> |
sn |
リソースに対してアクションを実行する際、Identity Manager 属性 firstname への参照はすべて、実際には LDAP 属性 givenName への参照です。
Identity Manager から複数のリソースを管理する際、共通の Identity Manager アカウント属性を多数のリソース属性にマッピングすると、リソースの管理が大幅に簡略化されます。たとえば、Identity Manager fullname 属性を Active Directory リソース属性 displayName にマッピングできます。一方、LDAP リソース上で、同じ Identity Manager fullname 属性を LDAP 属性 cn にマッピングできます。結果として、管理者は fullname 値を一度指定するだけで済みます。ユーザーを保存する際、さまざまな属性値を持つリソースに fullname 値が渡されます。
リソースウィザードの「アカウント属性」ページでスキーママップを設定することにより、次を実行できます。
管理するリソースから取得される属性の属性名およびデータ型を定義する
リソース属性を、企業または組織に必須のもののみに制限する
複数のリソースで使用する一般的な Identity Manager 属性名を作成する
必須のユーザー属性と属性タイプを識別する
リソースアカウント属性を表示または編集するには、次の手順に従います。
管理者インタフェースで、「リソース」をクリックします。
アカウント属性を表示または編集するリソースを選択します。
「リソースアクション」リストで、「リソーススキーマの編集」をクリックします。
リソースアカウント属性の編集ページが開きます。
スキーママップの左の列 (タイトルは「アイデンティティーシステムのユーザー属性」) には、Identity Manager の管理者インタフェースおよびユーザーインタフェースで使用されるフォームで参照される Identity Manager アカウント属性の名前が含まれています。スキーママップの右の列 (タイトルは「リソースユーザー属性」) には、外部ソースの属性名が含まれています。
「リソース」領域は、リソースグループを管理するために使用します。 リソースグループは、リソースをグループ化して特定の順序で更新できるようにします。グループにリソースを入れて順序付けし、そのグループをユーザーに割り当てることで、そのユーザーのリソースが作成、更新、および削除される順序が決定します。
アクティビティーは、各リソースに対して順番に実行されます。あるリソースで操作が失敗した場合、残りのリソースは更新されません。このような関係は、関連するリソースがある場合に重要です。
たとえば、Exchange Server 2007 のリソースは、既存の Windows Active Directory アカウントに依存します。つまり、Exchange アカウントを作成するには、その前にこのアカウントが存在している必要があります。Windows Active Directory のリソースと Exchange Server 2007 のリソースを持つリソースグループを (順番に) 作成することにより、正しいユーザー作成順序を保証できます。逆に、この順序により、ユーザーの削除時には正しい順序でリソースが削除されることが保証されます。
「リソース」を選択して「リソースグループのリスト」を選択すると、現在定義されているリソースグループのリストが表示されます。そのページで「新規」をクリックして、リソースグループを定義します。リソースグループの定義時には、選択領域で選択を行い、選択したリソースを順序付けするほか、リソースグループを利用可能にする組織を選択することができます。
このセクションでは、グローバルリソースポリシーの編集方法と、リソースのタイムアウト値の設定方法について説明します。
「グローバルリソースポリシー属性の編集」ページから、リソースポリシー属性を編集できます。
「グローバルリソースポリシー属性の編集」ページを開き、必要に応じて属性を編集します。
次の属性があります。
「デフォルトの収集タイムアウト」。アダプタがタイムアウトになるまでに、アダプタがコマンド行プロンプトを待機する必要のある最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果が重要であり、アダプタによって解析されるときにこの設定を使用します。
この設定のデフォルト値は 30000 (30 秒) です。
「デフォルトの待機タイムアウト」。スクリプト化されたアダプタが、コマンドに文字 (または結果) が用意されているかどうかをチェックするまで、ポーリング間で待機する最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果をアダプタが調べない場合に、この設定を使用します。
「大文字と小文字を区別しない場合のデフォルトの待機タイムアウト」。アダプタが、タイムアウトするまでにコマンド行プロンプトを待機する必要のある最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。大文字と小文字を区別しない場合に、この設定を使用します。
「リソースアカウントパスワードポリシー」。該当する場合は、選択されたリソースに適用されるリソースアカウントパスワードポリシーを選択します。「なし」がデフォルトの選択です。
「リソースアカウント除外規則」。該当する場合は、除外されたリソースアカウントを管理する規則を選択します。「なし」がデフォルトの選択です。
ポリシーに対する変更を保存するには、「保存」をクリックする必要があります。
Waveset.properties ファイルを編集することにより maxWaitMilliseconds プロパティーを変更できます。maxWaitMilliseconds プロパティーは、操作のタイムアウトを監視する頻度を制御します。この値を指定しない場合は、デフォルト値の 50 が使用されます。
次の行を Waveset.properties ファイルに追加します。
com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.
ファイルを保存します。
CSV 形式のファイルを使用するか、操作に適用するデータを作成または指定して、リソースに対して一括アクションを実行できます。
図 5–13 は、作成アクションを使用した一括アクションの起動ページを示しています。
一括リソース操作に使用できるオプションは、操作に選択したアクションによって異なります。操作に適用するアクションを 1 つ指定するか、「アクションリストから」を選択して複数のアクションを指定できます。
アクション。アクションを 1 つ指定するには、作成、複製、更新、削除、パスワードの変更、パスワードのリセットのいずれかのオプションを 1 つ選択します。
アクションを 1 つ選択すると、アクションに関連するリソースを指定するオプションが表示されます。作成アクションの場合は、リソースのタイプを指定します。
「アクションリストから」を指定した場合は、「アクションリストの取得先」領域を使用して、アクションを含んだ使用するファイル、または「入力」領域で指定するアクションのいずれかを指定します。
ファイル内または入力領域リストに入力したアクションは、カンマ区切り値 (CSV) 形式にする必要があります。
「ページあたりの最大結果数」。このオプションを使用して、各タスク結果ページに表示される一括アクション結果の最大数を指定します。デフォルト値は 200 です。
操作を開始するには、「起動」をクリックします。 これはバックグラウンドタスクとして実行されます。
Identity Manager を使用すると、自社の外部リソースを作成、プロビジョニング、および集中管理することもできます。
この節では、外部リソースを操作する方法を説明します。トピックは次のように構成されています。
「外部リソース」とは、ユーザーアカウント情報を直接格納しない一意のリソースタイプです。Identity Manager の動作の外部にあるリソースであるといえます。こうしたリソースには、デスクトップコンピュータ、ノートパソコン、携帯電話、セキュリティーバッジなどがあります。
外部リソースのプロビジョニングでは、ほとんどの場合、1 つ以上の手動プロセスが必要です。たとえば、新入社員のノートパソコンをプロビジョニングするために初期要求を行なって必要な承認を得たあと、会社の注文要求システムに購買請求要求を送信する必要が生じることがあります。注文情報を指定したあと、ノートパソコンを新入社員個人に配布してプロビジョニング要求を完了する前に、そのノートパソコンに業務アプリケーションをインストールして事前設定する必要が生じることがあります。
Identity Manager を使用して外部リソースをプロビジョニングすると、申請中の要求について、プロビジョニングしている対象の詳細も含めて、1 人または複数のプロビジョニングツールに通知できます。
たとえば、ユーザーのためにノートパソコンを手動で注文し、事前設定する必要がある IT マネージャーが、外部リソースのプロビジョニングツールである場合があります。
また、Identity Manager は、特定のユーザーに対してプロビジョニングされた外部リソースについての情報を維持し、プロビジョニング要求の完了時にその情報を更新します。さらに、この情報は Identity Manager によって表示、レポート、コンプライアンス監査の検証、およびエクスポートに使用できるようになります。
外部リソースを設定するには、「External Resource Administrator」機能が必要です。新しい外部リソースを作成するには、「Resource Administrator」機能が必要です。
この節では、外部リソースデータストアと外部リソースのプロビジョニングツール通知設定プロセスについて説明します。
Identity Manager の外部リソースデータストアは、外部リソースと外部リソースの割り当てに関する情報を保持する単一のデータストアです。このデータストアは、データベースである場合とディレクトリである場合があります。
外部リソースデータストアが「データベース」である場合、そのデータストアは ScriptedJdbcResourceAdapter によって管理されます。
外部リソースデータストアが「ディレクトリ」である場合、そのデータストアは LDAPResourceAdapter によって管理されます。
外部リソースデータストアを設定するには、「External Resource Administrator」機能が必要です。
外部リソースデータストアには、データを必要に応じた属性値で格納でき、それらの値を 1 つまたは複数のテーブルに格納できます。
たとえば、MySQL データベースを使用している場合、外部リソース情報は次のテーブルに格納されます。
extres.accounts テーブルには accountID と resourceID が含まれます。外部リソースデータストアは単一のデータストアであるため、Identity Manager は一意の ID キー、<accountId>@<resourceId> を指定し、その resourceID によってアカウントを一意に識別します。
extres.attributes テーブルには、名前と値のペアの属性の集合が含まれます。外部リソースの作成時にスキーママッピングでこれらの属性を定義します。
データベーステーブルの作成に使用するサンプルスクリプトは、Identity Manager のパッケージの次の場所に同梱されています。
wshome/sample/ScriptedJdbc/External |
Identity Manager では複数のデータベースタイプがサポートされ、タイプごとにサンプルスクリプトが用意されています。これらのスクリプトは、特定の環境に対して必要に応じて変更できます。
外部リソースデータストアでは、LDAPResourceAdapter を使用して LDAP もサポートされます。これにより、データを既存のクラスまたはカスタムクラスで格納できます。LDIF のサンプルスクリプトも、Identity Manager のパッケージの次の場所に同梱されています。
wshome/sample/other/externalResourcePerson.ldif |
このスクリプトは、外部リソースディレクトリデータストアの設定の一環として変更できます。
変更は簡単に行うことができますが、外部リソースデータストアは、通常、一度だけ設定します。設定を変更すると、Identity Manager によって既存の外部リソースが自動的に更新されて、新たに設定したデータストアが使用されます。
データベースタイプのデータストアを設定するには、次の手順に従います。
Identity Manager 管理者インタフェースのメニューバーから、「設定」->「外部リソース」の順に選択します。
「データストアの設定」ページが表示されたら、「データストアのタイプ」メニューから「Database」を選択します。さらにオプションが表示されます。
次の接続および認証情報を指定します。
Identity Manager は、自動的に、「JDBC ドライバ」、「JDBC URL テンプレート」、ポート、および「最大アイドル時間(秒)」フィールドにデフォルト値を取り込みます。これらのデフォルト値は、必要に応じて変更できます。
「JDBC ドライバ」。JDBC ドライバのクラス名を指定します。
「JDBC URL Template」。JDBC ドライバの URL テンプレートを指定します。
「ホスト」。データベースを実行しているホストの名前を入力します。
「TCP ポート」。データベースが待機中のポート番号を入力します。
「データベース」。データストアテーブルが含まれるデータベースサーバーのデータベース名を入力します。
「ユーザー」。データストアテーブルから行を読み込み、更新、および削除するために十分な権限を持つデータベースユーザーの ID を入力します。たとえば、root などです。
「パスワード」。データベースユーザーのパスワードを入力します。
「すべての SQLException を再スローする」。例外エラーコードが 0 の場合に SQL 例外を SQL 文に再スローするには、このボックスをチェックします。
このオプションを有効にしなかった場合、Identity Manager はこれらの例外を取り込み、抑制します。
「Max Idle Time」。プール内で JDBC 接続を未使用のままにしておく最大時間を秒単位で指定します。
指定した時間が経過する前に接続が使用されていない場合、Identity Manager は接続を閉じ、プールから削除します。
デフォルト値は 600 秒です。
値を -1 にすると、接続は期限切れになりません。
データストアへの接続に成功したら、サポートされるリソースアクションごとに、実行するスクリプトを 1 つ以上指定する必要があります。手順については、「アクションスクリプトを設定する」を参照してください。
Identity Manager で特定の要求の状態の取得、作成、更新、削除、有効化、無効化、テストを追跡および実行するために使用する、一連の BeanShell (bsh) スクリプトを指定する必要があります。
次の場所に、サンプルのアクションスクリプトがあります。
wshome/sample/ScriptedJdbc/External/beanshell |
これらのサンプルを変更して、独自のカスタムアクションスクリプトを作成できます。カスタムスクリプトはアクションスクリプト選択ツールに追加され、「利用可能」リストと「選択されたカスタム列」リストの行の下に表示されます。
Identity Manager には、外部リソースに対してサポートされるデータベースタイプのリソースアクションのサンプルスクリプトが用意されています。これらのスクリプトにアクセスするには、次の場所にある ResourceAction スクリプトを使用します。
wshome/sample/ScriptedJdbc/External/beanshell |
デフォルトのデータベース名、ユーザー名、およびパスワードは、すべて extres です。
他のデータベースオプションのいずれかを選択する場合や、別のユーザー名やデータベース名を使用したい場合は、サンプルのデータベース作成スクリプトや ResourceAction スクリプトを別の値に変更する必要があります。
たとえば、MySQL データベースを選択して、既存のデータベース名、ユーザー名、およびパスワードを変更する場合は、デフォルトのデータベース名、ユーザー名、およびパスワードを extres から externalresources、externaladmin、および externalpassword にそれぞれ変更することによって、create_external_tables.mysql スクリプトを更新する必要があります。
次に、ResourceAction スクリプトを、デフォルトの extres.accounts および extres.attributes の値から externalresources.accounts および externalresources.attributes にそれぞれ変更する必要があります。
アクションスクリプトを設定するには、次の手順に従います。
「Data Store Configuration」ページのアクションスクリプト選択ツールを使用して、リソースアクションごとに 1 つ以上のアクションスクリプトを指定します。リソースアクションごとに少なくとも 1 つのスクリプトを選択する必要があります。
リソースアクションに一致するデフォルトのアクションスクリプトを選択する必要があります。たとえば、次を使用します。
GetUser リソースアクションには External-getUser-bsh
GetUser リソースアクションは、検索操作に使用されます。
CreateUser リソースアクションには External-createUser-bsh
DeleteUser リソースアクションには External-deleteUser-bsh
UpdateUser リソースアクションには External-updateUser-bsh
DisableUser リソースアクションには External-disableUser-bsh
EnableUser リソースアクションには External-enableUser-bsh
Test リソースアクションには External-test-bsh
Test リソースアクションは、「テスト接続」ボタンのすべての機能を有効にするために使用されます。
リスト内のサンプルスクリプトから他の bsh スクリプトのいずれかを使用すると、うまくいきません。
メニューから「アクションコンテキストモード」を選択して、属性値をアクションスクリプトに渡す方法を指定します。
「Strings」。属性値を文字列値として渡します。
「Direct」。属性値を com.waveset.object.AttributeValues オブジェクトとして渡します。
ここで、データストア接続設定をテストします。ページの下にある「テスト接続」ボタンをクリックします。
接続が成功したことを確認するメッセージ、またはその設定でのエラーを報告するメッセージが表示されます。
終了したら、「次へ」をクリックして「プロビジョニング担当者への通知設定」ページに進みます。
ディレクトリタイプのデータストアを設定するには、次の手順に従います。
「データストアのタイプ」メニューから「Directory」を選択します。さらにオプションが表示されます。
ディレクトリタイプのデータストアの接続および認証情報を指定する必要があります。
次のオプションを設定します。
「ホスト」。LDAP サーバーが実行されているホストの IP アドレスまたは名前を入力します。
「TCP ポート」。LDAP サーバーとの通信に使用されている TCP/IP ポートを入力します。
SSL を使用している場合、このポートは通常、636 です。
SSL 以外を使用している場合、このポートは通常、389 です。
「SSL」。SSL を使用する LDAP サーバーに接続するには、このオプションをチェックします。
「フェイルオーバーサーバー」。選択されたサーバーに障害が発生した場合にフェイルオーバーに使用されるサーバーをすべて一覧表示します。この情報を次の形式で入力します。これは、RFC 2255 に記載されている LDAP Version 3 の URL に従っています。
ldap://ldap.example.com:389/o=LdapFailover |
URL のホスト、ポート、および識別名 (distinguished name、dn) の部分のみがこの設定に関係します。
選択されたサーバーに障害が発生した場合、JNDI はリスト内の次のサーバーに自動的に接続します。
「ユーザー DN」。更新時に LDAP サーバーに対する認証に使用する dn を入力します。(デフォルトは cn=Directory Manager)
「パスワード」。プリンシパルのパスワードを入力します。
「ベースコンテキスト」。Identity Manager がユーザーの LDAP ツリーを検索するときに使用できる 1 つ以上の開始位置を指定します。(デフォルトは dc=MYDOMAIN,dc=com)
Identity Manager は、LDAP サーバーからユーザーを検出しようとするとき、またはユーザーがメンバーであるグループを探すときに、検索を実行します。
「オブジェクトクラス」。LDAP ツリーで新しいユーザーオブジェクトを作成するときに使用する、1 つ以上のオブジェクトクラスを入力します。(デフォルトは top)
エントリごとに個別の行に入力する必要があります。エントリを区切るのにコンマやスペースは使用しません。
一部の LDAP サーバーでは、クラス階層のオブジェクトクラスをすべて指定する必要があります。たとえば、inetorgperson だけではなく、top、person、organizationalperson、および inetorgperson とすべてを指定する必要がある場合があります。
「アカウント検索用の LDAP フィルタ」。LDAP リソースから返すアカウントを制御する LDAP フィルタを入力します。フィルタを指定しなかった場合、Identity Manager は、指定されたオブジェクトクラスのすべてを含むアカウントをすべて返します。
「検索フィルタ内のすべてのオブジェクトクラスを含む」。すべてのアカウントが指定したすべてのオブジェクトクラスを含み、さらに「アカウント検索用の LDAP フィルタ」フィールドの LDAP フィルタで指定したフィルタに一致するようにするには、このボックスをチェックします。
検索フィルタが指定されていないときは、このオプションを有効にする必要があります。このオプションを無効にした場合は、調整やリソースからの読み込み機能を使用することによって、指定したオブジェクトクラスの一部が含まれないアカウントを Identity Manager に読み込むことができます。
読み込み後にアカウントの objectclass 属性が自動的に更新されることはありません。存在しないオブジェクトクラスの属性が管理者インタフェースを介して公開された場合に、objectclass 属性を修正せずにこの属性の値を指定すると失敗します。この問題を回避するには、「調整」や「リソースから読み込み」フォームの objectclass の値を上書きします。
「ユーザー名属性」。ディレクトリからユーザーを検索する場合に、Identity Manager ユーザー名にマップする LDAP 属性名を入力します。この名前は、多くの場合、uid または cn です。
「表示名属性」。このアカウント名を表示するときに使用されるリソースアカウント属性名を入力します。
「VLV 並べ替え属性」。リソース上の VLV インデックスに使用するソート属性の名前を入力します。
「ブロックを使用」。ブロック内のユーザーを検出したり処理したりするには、このボックスをチェックします。
多数のユーザーに対して操作を実行するときにブロックでユーザーを処理すると、操作で使用されるメモリー容量が減ります。
「ブロック数」。処理のためにブロックにグループ化されるユーザーの最大数を入力します。
「グループメンバー属性」。ユーザーがグループに追加されるときにそのユーザーの識別名 (DN) で更新されるグループメンバー属性の名前を入力します。
属性名は、グループのオブジェクトクラスに依存します。たとえば、Sun JavaTM System Enterprise Edition Directory Server および他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラス、および uniqueMember 属性を持つグループが使用されます。他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラスおよびメンバー属性を持つグループが使用されます。
「パスワードハッシュアルゴリズム」。Identity Manager がパスワードのハッシュに使用できるアルゴリズムを入力します。サポートされる値は、次のとおりです。
SSHA
SHA
SMD5
MD5
0 を指定したか、このフィールドを空白のままにした場合、Identity Manager は、パスワードをハッシュせず、LDAP サーバーがハッシュを実行しない限り、LDAP に平文パスワードを格納します。たとえば、Sun Java System Enterprise Edition Directory Server はパスワードをハッシュします。
「名前属性の変更」。一番左側にある相対識別名 (DN) を表すユーザー属性の変更を許可するには、このボックスをチェックします。多くの場合、ネーミング属性は uid または cn に変更されます。
「LDAP アクティブ化メソッド」。
リソースで有効化または無効化アクションへのパスワードの割り当てが使用されるようにする場合は、このフィールドを空白にします。
nsmanageddisabledrole キーワード、nsaccountlock キーワード、またはこのリソースのユーザーに対してアクティブ化アクションを実行するときに使用するクラス名を入力します。
「LDAP アクティブ化パラメータ」。「LDAP アクティブ化メソッド」フィールドで指定した内容に基づいて、値を入力します。
nsmanageddisabledrole キーワードを指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute=CN=nsmanageddisabledrole,baseContext |
nsaccountlock キーワードを指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute=true |
クラス名を指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute |
「LDAP アクティブ化メソッド」および「LDAP アクティブ化パラメータ」については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。
「Paged Results Control の使用」。調整中にアカウントを繰り返し使用するために、VLV Control の代わりに LDAP Paged Results Control を使用するには、このチェックボックスをチェックします。
リソースが単純なページング制御をサポートしている必要があります。
「LDAP グループメンバーシップの維持」。ユーザーの名前を変更したり、ユーザーを削除したりするときに、アダプタで LDAP グループのメンバーシップを維持するには、このボックスをチェックします。
このオプションを有効にしなかった場合は、LDAP リソースでグループのメンバーシップが維持されます。
「テスト接続」ボタンをクリックして、データストアの接続設定をテストします。
接続が成功したことを確認するメッセージ、またはその設定でのエラーを報告するメッセージが表示されます。
終了したら、「保存」をクリックしてから「次へ」をクリックして「プロビジョニング担当者への通知設定」ページに進みます。
LDAP リソースにユーザーを作成する前に、有効なアカウント属性とアイデンティティーテンプレートを設定する必要があります。
外部リソースのデータストアを設定したあと、プロビジョニングツール通知を設定する必要があります。要求元通知を設定することもできます。この節では、電子メールまたは Remedy を使用して通知を設定するプロセスについて説明します。
電子メールテンプレートについては、「タスクテンプレートの設定」を参照してください。
1 人以上のプロビジョニングツールへの電子メール通知を設定および送信するには、次の手順に従います。
「プロビジョニング担当者への通知設定」ページで、「プロビジョニング担当者への通知のタイプ」メニューから「Email」を選択します。次の図に示すように、さらにオプションが表示されます。
次のオプションを設定します。
「プロビジョニングリクエストテンプレート」。メニューから「Sample External Provisioning Request」を選択します。電子メールテンプレートを使用して、プロビジョニングツールに外部リソース要求を通知するために使用する電子メールを設定します。
「委任に従う」。Identity Manager でプロビジョニングツールに対して定義された委任に従う場合は、このボックスをチェックします。
「プロビジョニング担当者のエスカレーション規則」(省略可能)。指定されたタイムアウト期間の前に現在のプロビジョニングツールが要求に応答しなかった場合に、その要求のエスカレーション先となるプロビジョニングツールの決定規則を選択します。
このメニューで使用可能なサンプル規則がいくつかありますが、「Sample External Provisioner Escalation」規則を選択するか、独自の規則を使用する必要があります。「Sample External Provisioner Escalation」規則では、外部プロビジョニングツールのエスカレーション規則を使用して、エスカレーション先のプロビジョニングツールを決定します。
「エスカレーションタイムアウト」。プロビジョニング要求を次のプロビジョニングツールにエスカレーションするまで待機する最大時間を指定します。
このフィールドを空白のままにした場合や 0 を入力した場合、要求はエスカレーションされません。
タイムアウトを指定したが、「プロビジョニング担当者のエスカレーション規則」を選択していない場合、要求が指定されたタイムアウトを過ぎると、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「プロビジョニングリクエストフォーム」。外部リソースのプロビジョニングツールがプロビジョニング要求を完了または未完了としてマークするために使用できるフォームを選択します。
「プロビジョニング担当者の規則」。外部リソースがユーザーに割り当てられる場合にプロビジョニング要求の送信先となるプロビジョニングツールを定義する規則を選択する必要があります。
このために、独自のルールを記述することができます。複数のプロビジョニングツールを定義することもできます。いずれかのプロビジョニングツールがタスクを完了すると、そのタスクはすべてのプロビジョニングツールのキューから削除されます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
このメニューで使用可能なサンプルルールがいくつかありますが、「Sample External Provisioner」ルールを選択するか、独自の規則を使用する必要があります。「Sample External Provisioner」ルールでは、設定者がプロビジョニングツールになります。
「リクエストした人への通知」。要求によって発生した事象についての情報が書かれた電子メールを元の要求元に返信するには、このボックスをチェックします。たとえば、プロビジョニング要求が完了であるか、未完了であるか、といった情報が追加情報として必要です。
このオプションを有効にすると、次の追加フィールドが表示されます。
「プロビジョニングリクエストの完了テンプレート」。要求が完了したときに要求元に通知するための「Sample External Provisioning Request Completed」テンプレートを選択します。
「プロビジョニングリクエストの未完了テンプレート」。要求が完了していないときに要求元に通知するための「Sample External Provisioning Request Not Completed」テンプレートを選択します。
「保存」をクリックします。
「設定」ページに、引き続き別の設定タスクを実行できることが示されます。
「リソース」->「リソースのリスト」タブに移動します。これで、この設定に基づいて個々の外部リソースを作成する準備ができました。手順については、「リソースを作成する」を参照してください。
プロビジョニングツールへの Remedy チケットを作成および送信するには、次の手順に従います。
「プロビジョニング担当者への通知のタイプ」メニューから「Remedy」を選択します。次の図に示すように、さらにオプションが表示されます。
次のオプションを設定します。
「プロビジョニングリクエストの Remedy テンプレート」。メニューから「Sample External Remedy Template」を選択します。
Identity Manager には、サンプルの Remedy テンプレートが用意されており、それを使用することも、必要に応じて変更することもできます。
Remedy テンプレートには、Remedy チケットの作成に使用される一連のフィールドが含まれています。Identity Manager では、Remedy のチケット状態に関するクエリーを実行し、タスクが完了したか完了していないかを確認するためにも、このテンプレートが使用されます。
「プロビジョニングリクエストの Remedy 規則」。Remedy の設定を定義するには、このメニューからルールを選択する必要があります。
このメニューで使用可能なサンプルルールがいくつかありますが、「Sample External Remedy Rule」ルールを選択するか、独自のカスタムルールを使用する必要があります。「Sample External Remedy Rule」では、Remedy ルールを使用して、Remedy チケットの現在の状態が完了しているか完了していないかを判断します。
Remedy テンプレートには、Remedy チケットの作成に使用される一連のフィールドが含まれています。Identity Manager では、Remedy のチケット状態に関するクエリーを実行し、タスクが完了したか完了していないかを確認するためにも、このテンプレートが使用されます。
Identity Manager は、このルールを使用して、Remedy チケットの現在の情報に対してクエリーを実行します。チケット状態が完了または未完了の場合、Identity Manager は作業項目をそれぞれ完了または未完了としてマークします。
このために、独自のルールを記述することができます。「Sample External Remedy Rule」というサンプルルールを使用するか、必要に応じて変更することができます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
「委任に従う」。Identity Manager でプロビジョニングツールに対して定義された委任に従う場合は、このボックスをチェックします。
「プロビジョニング担当者のエスカレーション規則」(省略可能)。指定されたタイムアウト期間の前に現在のプロビジョニングツールが要求に応答しなかった場合に、その要求のエスカレーション先となるプロビジョニングツールの決定規則を選択します。
このメニューで使用可能なサンプル規則がいくつかありますが、「Sample External Provisioner Escalation」規則を選択するか、独自の規則を使用する必要があります。「Sample External Provisioner Escalation」規則では、外部プロビジョニングツールのエスカレーション規則を使用して、エスカレーション先のプロビジョニングツールを決定します。
「エスカレーションタイムアウト」。プロビジョニング要求を次のプロビジョニングツールにエスカレーションするまで待機する最大時間を指定します。
このフィールドを空白のままにした場合や 0 を入力した場合、要求はエスカレーションされません。
タイムアウトを指定したが、「プロビジョニング担当者のエスカレーション規則」を選択していない場合、要求が指定されたタイムアウトを過ぎると、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「プロビジョニングリクエストフォーム」。外部リソースのプロビジョニングツールがプロビジョニング要求を完了または未完了としてマークするために使用できるフォームを選択します。
「プロビジョニング担当者の規則」。この外部リソース要求に対して 1 人以上のプロビジョニングツールを決定するルールを選択します。
このために、独自のルールを記述することができます。複数のプロビジョニングツールを定義することもできます。いずれかのプロビジョニングツールがタスクを完了すると、そのタスクはすべてのプロビジョニングツールのキューから削除されます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
「Sample External Provisioner」。設定者がプロビジョニングツールになります。
「Sample External Provisioner Escalation」。外部プロビジョニングツールのエスカレーションルールを使用して、エスカレーション先のプロビジョニングツールを決定します。
「Sample External Remedy Rule」。Remedy の設定者の設定を定義します。
「リクエストした人への通知」。要求が完了したとき、または完了しないときに、要求元に電子メールを送信する場合は、このボックスをチェックします。このオプションを有効にすると、次の追加フィールドが表示されます。
「プロビジョニングリクエストの完了テンプレート」。要求が完了したときに使用する電子メールテンプレートを選択します。
「プロビジョニングリクエストの未完了テンプレート」。要求が完了しないときに使用する電子メールテンプレートを選択します。
電子メールテンプレートについては、「タスクテンプレートの設定」を参照してください。
「保存」をクリックします。
「設定」ページに、引き続き別の設定タスクを実行できることが示されます。
「リソース」->「リソースのリスト」タブに移動します。これで、この設定に基づいて個々の外部リソースを作成する準備ができました。手順については、「外部リソースの作成」を参照してください。
外部リソースデータストアとプロビジョニングツール通知の設定後、新しい外部リソースを作成できます。
新しい外部リソースを作成するには、リソース管理者機能が必要です。
新しい外部リソースを作成するには、次の手順に従います。
メインメニューバーから、「リソース」タブを選択します。デフォルトでは「リソースのリスト」タブが表示されます。
「タイプの設定」タブをクリックすると、「管理するリソースの設定」ページが表示されます。
「リソースアダプタ」テーブルで、「外部」リソースタイプが使用可能であることを確認します。
「リソースのリスト」タブに戻り、「リソースタイプアクション」メニューから「新規リソース」を選択します。
「新規リソース」ページが表示されたら、「リソースタイプ」メニューから「External」を選択し、「新規」をクリックします。
外部リソース作成ウィザードの開始画面が表示されます。「次へ」をクリックします。
「Data Store Configuration」ページの読み取り専用ビューが表示され、先ほど定義した接続および認証情報が示されます。
前述のとおり、設定はすべての外部リソースに適用されるため、通常、このデータストアは一度だけ設定します。この情報のいずれかを変更する場合は、「設定」->「External Resources」タブに戻る必要があります。
先に進む前に現在のデータストアの構成を再テストする場合は、ページの下部にある「設定のテスト」をクリックします。
「次へ」をクリックすると、「プロビジョニング担当者への通知設定」ページが開きます。このページは、「設定」->「External Resources」タブで設定したページと同じです。
現在の「Provisioner Notification」設定を確認し、新しいリソースに対して必要な変更を行います。
必要に応じて、「「プロビジョニングツール通知を設定する」」の設定手順をもう一度参照してください。このページに対して行なった変更はいずれも、このリソースにのみ影響します。
「次へ」をクリックします。
ここからの外部リソースの作成プロセスは、他のリソースの作成プロセスと同じです。ウィザードには、さらにいくつかのページが表示されます。
「アカウント属性」ページ。このページを使用して、リソースのオプションのアカウント属性を定義し、アイデンティティーシステム属性を新しいリソースアカウント属性にマップします。たとえば、「ノートパソコン」という外部リソースを作成する場合は、モデルやサイズの属性を追加するといいでしょう。
このページにはデフォルトは指定されません。
「アイデンティティーテンプレート」ページ。このページを使用して、この外部リソースで作成されたユーザーのアカウント名の構文を定義します。デフォルトのアイデンティティーテンプレート、$accountId$ を使用することも、別のテンプレートを指定することもできます。
「アイデンティティーシステムのパラメータ」ページ。このページを使用して、外部リソースのアイデンィティーシステムパラメータを設定します。たとえば、ポリシーを無効にしたり、再試行を設定したり、承認者を指定したりすることができます。
これらのページの詳細や、このリソースの設定を終了するために必要な手順については、「リソースを作成する」を参照してください。
「アイデンティティーシステムのパラメータ」ページの設定が終了したら、「保存」をクリックします。これで、他のリソースと同様に、このリソースをユーザーに割り当てることができます。
この節では、次の実際のプロビジョニングプロセスについて説明します。
外部リソースをユーザーに割り当てるには、次の手順に従います。
外部リソースを割り当てるには、リソース管理者機能が必要です。
「アカウント」->「アカウントのリスト」をクリックし、そのページのユーザー名をクリックします。
「ユーザーの編集」ページが表示されたら、「リソース」タブをクリックします。
「個別リソース割り当て」の「利用可能なリソース」リストで外部リソースを見つけ、「現在のリソース」リストに移動して、「保存」をクリックします。
Identity Manager は、プロビジョニングタスクを作成し、そのプロビジョニングタスクの所有者を示すメッセージを送信します。このリソースに「プロビジョニング担当者への通知」ページが設定されているときは、「プロビジョニング担当者の規則」を使用して、1 人以上のプロビジョニングツールが定義されています。
Identity Manager は、電子メールまたは Remedy チケットを使用して、要求が申請中であることをプロビジョニングツールに通知することもできます。
他のリソースと同様に、ユーザーは承認者を定義することができ、承認者が要求を承認したり拒否したりすることができます。また、ユーザーはプロビジョニングツールを定義する必要がありますが、プロビジョニングツールは要求を承認したり拒否したりすることはできません。その代わりに、プロビジョニングツールはタスクを完了する場合も、完了しない場合もあります。
「アカウント」->「アカウントのリスト」ページに戻るには、「OK」をクリックします。ユーザー名の横の作業項目アイコン内に砂時計が表示され、要求が申請中であることを示します。
プロビジョニング要求が生成されると、その要求は、定義されたプロビジョニングツールが手動プロビジョニングを完了するか、要求を未完了としてマークするまで、または要求がタイムアウトするまで、プロビジョニングプロセスを中断します。Identity Manager は、これらのプロビジョニング応答を監査します。
他の作業項目と同様に、「作業項目」->「プロビジョニングリクエスト」タブから申請中の外部リソースのプロビジョニング要求をすべて確認できます。
プロビジョニング要求には次のように応答します。
「作業項目」 > 「プロビジョニングリクエスト」タブをクリックして、「プロビジョニング待ち」ページを開きます。
申請中のプロビジョニング要求を見つけ、選択します。
オプションで、プロビジョニング要求の電子メールを開き、「プロビジョニングリクエストテンプレート」で定義されたリンクをクリックし、ログインしてプロビジョニング要求についての詳細を含むページを表示します。
このページから、要求された属性を更新し、ユーザーに対してプロビジョニングされた内容を正確に反映することができます。たとえば、ユーザーがソニーのノートパソコンを要求したが、そのモデルを用意できなかった場合、実際にプロビジョニングしたモデルでこのページを更新します。
次のボタンのいずれかをクリックして、要求を処理します。
リソースをプロビジョニングできる場合は、「完了しました」をクリックします。
Identity Manager は、ユーザーの外部リソースアカウント属性を更新して、実際にプロビジョニングされた内容を示し、申請中のプロビジョニング状態フラグを削除して、プロビジョニング要求の作業項目の更新を完了します。
設定されると、Identity Manager は、そのために設定された電子メールテンプレートを使用して、要求元にプロビジョニング要求が完了したことを通知します。
リソースをプロビジョニングできない場合は、理由を明らかにし、「未完了」をクリックします。
要求を「未完了」としてマークすると、
ユーザーは外部リソースに対してプロビジョニングされません。
外部リソースはユーザーに割り当てられたままになります。
黄色のアイコンは、ユーザーに更新が必要であることを示し、ユーザー名の横に表示されます。
このユーザーを編集すると、エラーメッセージが表示され、ユーザーが外部リソースに見つからないことが示されます。
設定されると、Identity Manager は、そのために設定された電子メールテンプレートを使用して、要求元に通知します。
リソースをプロビジョニングできない場合は、「転送」をクリックして、要求をほかの第三者に転送することもできます。
プロビジョニング要求の作業項目が完了したとき、または完了していないとき、Identity Manager はユーザーに割り当てられた外部リソースの申請中状態を消去し、外部リソースデータストアに対して更新は発生しません。
リソースは、そのリソースに関するユーザーの accountId も含めて、そのユーザーの割り当てられたリソースのリストと、現在のリソースアカウントのリストに表示されます。
割り当てられたプロビジョニングツールが指定されたタイムアウトの前にプロビジョニング要求に応答しない場合、Identity Manager は関連付けられたプロビジョニング要求の作業項目を取り消します。
「Provisioner Notification」ページを設定するときにタイムアウト期間を指定し、プロビジョニング要求がタイムアウト期間を過ぎた場合、Identity Manager は次のアクションのいずれかを実行します。
「プロビジョニング担当者のエスカレーション規則」を指定した場合、Identity Manager はそのルールを使用して次のプロビジョニングツールを決定し、要求をそのプロビジョニングツールにエスカレーションします。
「プロビジョニング担当者のエスカレーション規則」を選択しなかった場合、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「エスカレーションタイムアウト」フィールドを空白のままにした場合や 0 を入力した場合、Identity Manager は要求をエスカレーションしません。
外部リソースのプロビジョニング作業項目は、他のプロビジョニング要求と同様に委任できます。詳細と手順については、「作業項目の委任」を参照してください。
外部リソースは、他のリソースと同様に、「一般」タブでユーザーから割り当て解除またはリンク解除できます。手順については、「ユーザーの作成およびユーザーアカウントの操作」を参照してください。
ユーザーから外部リソースを割り当て解除またはリンク解除しても、プロビジョニング要求や作業項目は作成されません。外部リソースを割り当て解除またはリンク解除しても、Identity Manager がリソースアカウントのプロビジョニングを解除したりリソースアカウントを削除したりすることはないため、作業は発生しません。
外部リソースにまだ割り当てられているユーザーを削除することはできません。ユーザーを削除する前に、まず、それらの外部リソースのプロビジョニングを解除するか、外部リソースを削除する必要があります。
Identity Manager では、次の方法を使用して外部リソースをデバッグしたり監視したりすることができます。
外部リソースアダプタを監視できます。
データベースのデータストアを使用している場合は、com.waveset.adapter.ScriptedJdbcResourceAdapter および com.waveset.adapter.JdbcResourceAdapter 監視クラス名を監視します。
ディレクトリのデータストアを使用している場合は、com.waveset.adapter.LDAPResourceAdapter 監視クラス名を監視します。
ワークフロー監視を使用した追加データフローおよびワークフロー監視や、NetBeans または Eclipse Identity Manager IDE プラグインを使用したデバックが可能です。
ユーザーはデータストアを設定および制御するので、データストアの検査を使用して、そのデータストアの情報が正しいことを確認することができます。
Identity Manager は、発生するすべてのアクティビティーに対して監査記録を作成します。
監視とトラブルシューティングについては、『Sun Identity Manager 8.1 System Administrator’s Guide』を参照してください。