test

Sun Identity Manager 8.1 ビジネス管理者ガイド

Identity Manager リソースとその管理について

この節では、Identity Manager リソースの設定の説明および手順を示します。

リソースとは

Identity Manager リソースは、アカウントが作成されるリソースまたはシステムへの接続方法に関する情報を格納します。Identity Manager リソースは、リソースについての関連属性を定義し、Identity Manager でのリソース情報の表示方法を指定するために役立ちます。

Identity Manager では、次のような広範囲なリソースタイプに対応したリソースを提供します。

インタフェースの「リソース」領域

既存のリソースに関する情報は、「リソース」ページに表示されます。

リソースにアクセスするには、メニューバーの「リソース」をクリックします。

リソースリスト内のリソースは、タイプごとにグループ化されています。各リソースタイプは、フォルダアイコンで表されます。現在定義されているリソースを表示するには、フォルダの隣にあるインジケータをクリックします。表示を折りたたむには、インジケータをもう一度クリックします。

リソースタイプフォルダを展開すると、中に含まれるリソースオブジェクトの数が動的に更新されて表示されます (グループをサポートするリソースタイプの場合)。

リソースの一部には、次のような、管理可能な追加のオブジェクトを持つものがあります。

リソースリストからオブジェクトを選択し、次のオプションリストのいずれかから操作を選択して、管理タスクを開始します。

リソースを作成または編集すると、ManageResource ワークフローが開始されます。このワークフローでは、新しいリソースまたは更新されたリソースをリポジトリに保存し、リソースが作成または保存される前に承認などの操作を挿入することができます。

リソースリストの管理

新しいリソースを作成する前に、管理可能にするリソースタイプを Identity Manager に指定する必要があります。リソースを有効にして、カスタムリソースを作成する場合は、「管理するリソースの設定」ページを使用します。

Procedure「管理するリソースの設定」ページを開く

「管理するリソースの設定」ページを開くには、次の手順に従います。

  1. 管理者インタフェースにログインします。

  2. 「リソース」タブをクリックします。

    「管理するリソースの設定」ページを開くには、次のいずれかの方法を使用します。

    • 「リソースタイプアクション」ドロップダウンリストを見つけて、「管理するリソースの設定」を選択します。

    • 「タイプの設定」タブをクリックします。

    「管理するリソースの設定」ページが開きます。

    このページには、次の 3 つのセクションがあります。

    • 「リソースコネクタ」。このセクションには、リソースコネクタのタイプ、コネクタのバージョン、およびコネクタサーバーが一覧表示されます。

    • 「リソースアダプタ」。このセクションには、大企業の環境によく見られるリソースタイプが一覧表示されます。リソースに接続する Identity Manager アダプタのバージョンが、「バージョン」列に示されます。

    • 「カスタムリソースアダプタ」。このセクションを使用して、カスタムリソースを「リソース」リストに追加します。

Procedureリソースタイプを有効にする

以下の手順に従って、「管理するリソースの設定」ページからリソースタイプを有効にすることができます。

  1. 「管理するリソースの設定」ページがまだ開いていない場合は、開きます (「リソースリストの管理」)。

  2. 「リソース」セクションで、有効にするリソースタイプの「管理しますか?」列のボックスを選択します。

    リスト表示されているすべてのリソースタイプを有効にするには、「すべてのリソースを管理しますか?」を選択します。

  3. ページの下部にある「保存」をクリックします。

    リソースが「リソース」リストに追加されます。

Procedureカスタムリソースを追加する

以下の手順に従って、「管理するリソースの設定」ページからカスタムリソースを追加できます。

  1. 「管理するリソースの設定」ページがまだ開いていない場合は、開きます (「リソースリストの管理」)。

  2. 「カスタムリソース」セクションの「カスタムリソースの追加」をクリックして、テーブルに行を追加します。

  3. リソースのリソースクラスパスを入力するか、カスタマイズしたリソースを入力します。Identity Manager で提供されるアダプタでの完全なクラスパスについては、『Sun Identity Manager 8.1 Resources Reference』を参照してください。

  4. 「保存」をクリックして、リソースを「リソース」リストに追加します。

Procedureリソースを作成する

リソースタイプが有効になると、そのリソースのインスタンスを Identity Manager 内で作成できるようになります。リソースを作成するには、「リソースウィザード」を使用します。

リソースウィザードを使用すると、次の項目を手順に従って設定できます。

  1. 管理者インタフェースにログインします。

  2. 「リソース」タブをクリックします。「リソースのリスト」サブタブが選択されていることを確認します。

  3. 「リソースタイプアクション」ドロップダウンリストを見つけて、「新規リソース」を選択します。

    「新規リソース」ページが開きます。

  4. ドロップダウンリストからリソースの種類を選択します。(該当するリソースタイプがリストに表示されない場合は、それを有効にする必要があります。「リソースリストの管理」を参照してください)

  5. 「新規」をクリックして、リソースウィザードの「ようこそ」ページを表示します。

  6. 「次へ」をクリックして、リソースの定義を開始します。

    リソースウィザードの手順とページは、次の順序で表示されます。

    • リソースパラメータ。認証とリソースアダプタの動作を管理するためのリソース固有のパラメータを設定します。パラメータを入力して「テスト接続」をクリックし、接続が有効であることを確認します。確認できたら、「次へ」をクリックして、アカウント属性を設定します。

      次の図に、Solaris リソースの「リソースパラメータ」ページを示します。このページのフォームフィールドは、リソースにより異なります。

      Solaris リソースの「リソースパラメータ」ページを示す図

    • アカウント属性 (スキーママップ)。Identity Manager アカウント属性をリソースアカウント属性にマップします。リソースアカウント属性については、「リソースアカウント属性を表示または編集する」を参照してください。

      • 属性を追加する場合は、「属性の追加」をクリックします。

      • 1 つ以上の属性を削除するには、属性の横のボックスを選択して「選択している属性の削除」をクリックします。

        次の図に、リソースウィザードの「アカウント属性」ページを示します。

        リソースウィザードの「アカウント属性」 (スキーママップ) を示す図
      注 –

      EXT_RESOURCEACCOUNT_ACCTATTR テーブルに属性をエクスポートする場合は、エクスポートする属性ごとに「監査」ボックスをチェックする必要があります。

      操作が終了したら、「次へ」をクリックしてアイデンティティーテンプレートを設定します。

    • アイデンティティーテンプレート。ユーザーに対するアカウント名の構文を定義します。この機能は、階層的な名前空間で特に重要です。

      • 属性をテンプレートに追加するには、「属性の挿入」リストから属性を選択します。

      • 属性を削除するには、文字列内でその属性を強調表示して、キーボードの Del キーを押します。属性名と前後の $ (ドル記号) の両方を削除してください。

      • アカウントタイプ。Identity Manager では、1 人のユーザーに複数のリソースアカウントを割り当てることができます。たとえば、ユーザーは、特定のリソースの通常のユーザーアカウントのほか、管理者レベルのアカウントが必要になる場合があります。このリソースで複数のアカウントタイプをサポートするには、「アカウントタイプ」チェックボックスを選択します。

        注 –

        サブタイプ IdentityRule で識別されるアイデンティティー生成規則を 1 つ以上作成していない場合、「アカウントタイプ」チェックボックスは選択できません。accountIds は区別できるものである必要があるため、さまざまなタイプのアカウントが特定のユーザーのさまざまな accountIds を生成する必要があります。アイデンティティー生成規則は、これら一意の accountIds の作成方法を指定します。

        サンプルのアイデンティティー規則は、sample/identityRules.xml にあります。

        アカウントタイプは、Identity Manager 内のほかのオブジェクトから参照されなくなるまで削除できません。また、アカウントタイプの名前を変更することはできません。

        「アカウントタイプ」フォームへの必要な情報の指定については、Identity Manager のオンラインヘルプを参照してください。ユーザーに対する複数のリソースアカウントの作成については、「1 人のユーザーに対する複数のリソースアカウントの作成」を参照してください。

        リソースウィザードの「アイデンティティーテンプレート」を示す図

    • アイデンティティーシステムのパラメータ「リソースを作成する」に示したとおり、再試行やポリシーの設定などの、リソースの Identity Manager パラメータを設定します。

      リソースウィザードの「アイデンティティーシステムのパラメータ」を示す図

  7. ページ間を移動するには、「次へ」および「戻る」を使用します。選択がすべて終了したら、「保存」をクリックしてリソースを保存し、リストページに戻ります。

リソースの管理

この節では、既存のリソースの管理方法について説明します。

トピックは次のように構成されます。

Procedureリソースリストを表示する

リソースリストの既存のリソースを表示できます。

  1. 管理者インタフェースにログインします。

  2. メインメニューの「リソース」をクリックします。

    「リソースのリスト」サブタブにリソースリストが表示されます。

Procedureリソースウィザードを使用してリソースを編集する

リソースウィザードを使用して、リソースパラメータ、アカウント属性、およびアイデンティティーシステムパラメータを編集します。リソース上で作成されたユーザーに使用するアイデンティティーテンプレートを指定することもできます。

  1. Identity Manager の管理者インタフェースで、メインメニューの「リソース」をクリックします。

    「リソースのリスト」サブタブにリソースリストが表示されます。

  2. 編集するリソースを選択します。

  3. 「リソースアクション」ドロップダウンメニューで、「リソースウィザード」(「編集」の下) を選択します。

    リソースウィザードが起動し、選択したリソースを編集モードで開きます。

Procedure「リソースリスト」コマンドを使用してリソースを編集する

リソースの編集ウィザードのほかに、「リソースリスト」コマンドを使用して、リソースに対する一連の編集アクションを実行できます。

  1. リソースリストから 1 つ以上のオプションを選択します。

    次のオプションがあります。

    • 「リソースの削除」。1 つ以上のリソースを選択して、「リソースアクション」リストから「削除」を選択します。複数のタイプのリソースを同時に選択できます。ロールまたはリソースグループが関連付けられているリソースは削除できません。

    • 「リソースオブジェクトの検索」。リソースを選択して「リソースオブジェクトアクション」リストから「検索」を選択すると、オブジェクト特性によってリソースオブジェクト (組織、組織単位、グループ、または個人など) を検索できます。

    • 「リソースオブジェクトの管理」。一部のリソースタイプでは、新しいオブジェクトを作成できます。リソースを選択して、「リソースオブジェクトアクション」リストから「 リソースオブジェクトの作成」を選択します。

    • 「リソース名の変更」。リソースを選択して、「リソースアクション」リストから「名前の変更」を選択します。表示される入力ボックスに新しい名前を入力して、「名前の変更」をクリックします。

    • 「リソースの複製」。リソースを選択して、「リソースアクション」リストから「名前を付けて保存」を選択します。表示される入力ボックスに新しい名前を入力します。クローンとして作成されたリソースが、選択した名前でリソースリストに表示されます。

    • 「リソースについて一括操作を実行」。リソースとアクションのリストを指定して、(CSV 形式の入力から) リスト内のすべてのリソースに適用します。続いて一括アクションを起動して、一括アクションバックグラウンドタスクを開始します。

  2. 変更を保存します。

Procedureリソースアカウント属性を表示または編集する

リソースアカウント属性 (またはスキーママップ) は、管理するリソースの属性を参照する abstract メソッドを提供します。スキーママップを使用すると、Identity Manager 内で属性を参照する方法 (スキーママップの左側) およびその名前を実際のリソース上の属性名にマッピングする方法 (スキーママップの右側) を指定できます。次に、フォームまたはワークフロー定義内で Identity Manager 属性名を参照したり、リソース自体の属性を効果的に参照したりできます。

Identity Manager の属性と LDAP リソースの属性間のマッピング例を、次に示します。

Identity Manager の属性

 

LDAP リソースの属性

firstname

<-->

givenName

lastname

<-->

sn

リソースに対してアクションを実行する際、Identity Manager 属性 firstname への参照はすべて、実際には LDAP 属性 givenName への参照です。

Identity Manager から複数のリソースを管理する際、共通の Identity Manager アカウント属性を多数のリソース属性にマッピングすると、リソースの管理が大幅に簡略化されます。たとえば、Identity Manager fullname 属性を Active Directory リソース属性 displayName にマッピングできます。一方、LDAP リソース上で、同じ Identity Manager fullname 属性を LDAP 属性 cn にマッピングできます。結果として、管理者は fullname 値を一度指定するだけで済みます。ユーザーを保存する際、さまざまな属性値を持つリソースに fullname 値が渡されます。

リソースウィザードの「アカウント属性」ページでスキーママップを設定することにより、次を実行できます。

リソースアカウント属性を表示または編集するには、次の手順に従います。

  1. 管理者インタフェースで、「リソース」をクリックします。

  2. アカウント属性を表示または編集するリソースを選択します。

  3. 「リソースアクション」リストで、「リソーススキーマの編集」をクリックします。

    リソースアカウント属性の編集ページが開きます。

    スキーママップの左の列 (タイトルは「アイデンティティーシステムのユーザー属性」) には、Identity Manager の管理者インタフェースおよびユーザーインタフェースで使用されるフォームで参照される Identity Manager アカウント属性の名前が含まれています。スキーママップの右の列 (タイトルは「リソースユーザー属性」) には、外部ソースの属性名が含まれています。

リソースグループ

「リソース」領域は、リソースグループを管理するために使用します。 リソースグループは、リソースをグループ化して特定の順序で更新できるようにします。グループにリソースを入れて順序付けし、そのグループをユーザーに割り当てることで、そのユーザーのリソースが作成、更新、および削除される順序が決定します。

アクティビティーは、各リソースに対して順番に実行されます。あるリソースで操作が失敗した場合、残りのリソースは更新されません。このような関係は、関連するリソースがある場合に重要です。

たとえば、Exchange Server 2007 のリソースは、既存の Windows Active Directory アカウントに依存します。つまり、Exchange アカウントを作成するには、その前にこのアカウントが存在している必要があります。Windows Active Directory のリソースと Exchange Server 2007 のリソースを持つリソースグループを (順番に) 作成することにより、正しいユーザー作成順序を保証できます。逆に、この順序により、ユーザーの削除時には正しい順序でリソースが削除されることが保証されます。

「リソース」を選択して「リソースグループのリスト」を選択すると、現在定義されているリソースグループのリストが表示されます。そのページで「新規」をクリックして、リソースグループを定義します。リソースグループの定義時には、選択領域で選択を行い、選択したリソースを順序付けするほか、リソースグループを利用可能にする組織を選択することができます。

グローバルリソースポリシー

このセクションでは、グローバルリソースポリシーの編集方法と、リソースのタイムアウト値の設定方法について説明します。

Procedureポリシー属性を編集する

「グローバルリソースポリシー属性の編集」ページから、リソースポリシー属性を編集できます。

  1. 「グローバルリソースポリシー属性の編集」ページを開き、必要に応じて属性を編集します。

    次の属性があります。

    • 「デフォルトの収集タイムアウト」。アダプタがタイムアウトになるまでに、アダプタがコマンド行プロンプトを待機する必要のある最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果が重要であり、アダプタによって解析されるときにこの設定を使用します。

      この設定のデフォルト値は 30000 (30 秒) です。

    • 「デフォルトの待機タイムアウト」。スクリプト化されたアダプタが、コマンドに文字 (または結果) が用意されているかどうかをチェックするまで、ポーリング間で待機する最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果をアダプタが調べない場合に、この設定を使用します。

    • 「大文字と小文字を区別しない場合のデフォルトの待機タイムアウト」。アダプタが、タイムアウトするまでにコマンド行プロンプトを待機する必要のある最大時間を、ミリ秒単位で指定します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。大文字と小文字を区別しない場合に、この設定を使用します。

    • 「リソースアカウントパスワードポリシー」。該当する場合は、選択されたリソースに適用されるリソースアカウントパスワードポリシーを選択します。「なし」がデフォルトの選択です。

    • 「リソースアカウント除外規則」。該当する場合は、除外されたリソースアカウントを管理する規則を選択します。「なし」がデフォルトの選択です。

  2. ポリシーに対する変更を保存するには、「保存」をクリックする必要があります。

Procedure追加のタイムアウト値を設定する

Waveset.properties ファイルを編集することにより maxWaitMilliseconds プロパティーを変更できます。maxWaitMilliseconds プロパティーは、操作のタイムアウトを監視する頻度を制御します。この値を指定しない場合は、デフォルト値の 50 が使用されます。

  1. 次の行を Waveset.properties ファイルに追加します。

    com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMilliseconds.

  2. ファイルを保存します。

一括リソースアクション

CSV 形式のファイルを使用するか、操作に適用するデータを作成または指定して、リソースに対して一括アクションを実行できます。

図 5–13 は、作成アクションを使用した一括アクションの起動ページを示しています。

図 5–13 「一括リソースアクションの起動」ページ

作成アクションを使用した一括アクションの起動ページを示す図

一括リソース操作に使用できるオプションは、操作に選択したアクションによって異なります。操作に適用するアクションを 1 つ指定するか、「アクションリストから」を選択して複数のアクションを指定できます。

操作を開始するには、「起動」をクリックします。 これはバックグラウンドタスクとして実行されます。