管理者の作成と管理

この節は、次のトピックで構成されています。

• 「管理者を作成する」

• 「管理者ビューのフィルタ」

• 「管理者パスワードの変更」

• 「管理者のアクションの認証」

• 「秘密の質問の回答の変更」

• 「管理者インタフェースでの管理者名の表示のカスタマイズ」

管理者を作成する

管理者を作成するには、ユーザーに 1 つ以上の機能を割り当て、それらの機能を適用する組織を指定します。

1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。

   「ユーザーリスト」ページが開きます。

2. 既存のユーザーに管理特権を与えるには、ユーザー名をクリックして (「ユーザーの編集」ページが開きます)、「セキュリティー」タブをクリックします。

   新しいユーザーアカウントを作成する必要がある場合は、「ユーザーの作成およびユーザーアカウントの操作」を参照してください。

3. 管理する属性を指定します。

   設定できる属性は次のとおりです。

   • 「機能」。この管理者に割り当てる 1 つ以上の機能を選択します。この情報は必須です。詳細については、「機能とその管理について」を参照してください。

   • 「管理する組織」。管理者に割り当てる 1 つ以上の組織を選択します。管理者は、割り当てた組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理します。この情報は必須です。詳細については、「Identity Manager の組織について」を参照してください。

   • 「ユーザーフォーム」。Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。

   • 「承認リクエスト転送先」。現在保留中のすべての承認リクエストを転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。

   • 「作業項目の委任先」。使用可能な場合は、このオプションを使用して、このユーザーアカウントの委任を指定します。1 人または複数の選択したユーザーを管理者のマネージャーに指定するか、承認委任先規則を使用します。

     

管理者ビューのフィルタ

組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。

ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。

• 「組織」。組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、親組織に対して選択したフォームが継承されます。親組織に対してフォームが設定されていない場合は、システム設定のデフォルトのフォームが使用されます。

• 「管理者」。ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。 組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。

割り当て可能な Identity Manager の組み込み機能については、「機能とその管理について」を参照してください。

管理者パスワードの変更

管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。

管理者は、次のフォームを使用して別の管理者のパスワードを変更できます。

• 「Change User Password」フォーム。このフォームを開くには 2 つの方法があります。

  • メニューの「アカウント」をクリックします。「ユーザーリスト」が開きます。管理者を選択し、「ユーザーアクション」リストの「パスワードの変更」を選択します。「ユーザーパスワードの変更」ページが開きます。

  • メニューの「パスワード」をクリックします。「ユーザーパスワードの変更」ページが開きます。

• タブ付きユーザーフォーム。メニューの「アカウント」をクリックします。「ユーザーリスト」が開きます。管理者を選択し、「ユーザーアクション」メニューの「編集」を選択します。「ユーザーの編集」ページ (タブ付きユーザーフォーム) が開きます。「ID」フォームタブの「パスワード」と「パスワードの確認」フィールドに新しいパスワードを入力します。

管理者は、「パスワード」領域から自分自身のパスワードを変更できます。メニューの「パスワード」をクリックし、「自分のパスワードの変更」をクリックします。

---

注 –

アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、通知選択など、パスワードに関する制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。

---

管理者のアクションの認証

Identity Manager では、管理者がアカウントの変更処理を行う前に、パスワードの入力を求めるように設定できます。認証に失敗すると、アカウントの変更は取り消されます。

管理者がユーザーパスワードの変更に使用できるフォームは 3 つあります。タブ付きユーザーフォーム、「Change User Password」フォーム、および「Reset User Password」フォームです。Identity Manager でユーザーアカウントの変更が処理される前に、管理者にパスワードの入力を確実に要求するために、3 つのフォームすべてを必ず更新してください。

タブ付きユーザーフォームでパスワード認証の要求を有効にする

タブ付きユーザーフォームでパスワード認証を要求するには、次の手順に従います。

1. 管理者インタフェースで、ブラウザに次の URL を入力して Identity Manager デバッグページ (「Identity Manager デバッグページ」) を開きます (このページを開くにはデバッグ機能が有効である必要があります)。

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   システム設定ページ (Identity Manager デバッグページ) が表示されます。

2. 「List Objects」ボタンにあるドロップダウンメニューから「UserForm」を選択して、「List Objects」ボタンをクリックします。

   「List Objects of type: UserForm」ページが開きます。

3. 本稼働しているタブ付きユーザーフォームのコピーを検索して、「Edit」をクリックします (Identity Manager で配布されているタブ付きユーザーフォームはテンプレートなので、変更しないでください)。

4. <Form> 要素内に次のコードを追加します。

   <Properties> <Property name=’RequiresChallenge’> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> </Properties>

   プロパティーの値は、次のユーザー表示属性名を 1 つ以上格納できるリストです。

   • applications

   • adminRoles

   • assignedLhPolicy

   • capabilities

   • controlledOrganizations

   • email

   • firstname

   • fullname

   • lastname

   • organization

   • password

   • resources

   • roles

5. 変更を保存します。

「Change User Password」および「Reset User Password」フォームでパスワード認証を有効にする

「Change User Password」および「Reset User Password」フォームでパスワード認証を要求するには、次の手順に従います。

1. 管理者インタフェースで、ブラウザに次の URL を入力して Identity Manager デバッグページ (「Identity Manager デバッグページ」) を開きます (このページを開くにはデバッグ機能が有効である必要があります)。

   http://<AppServerHost>:< Port>/idm/debug/session.jsp

   システム設定ページ (Identity Manager デバッグページ) が表示されます。

2. 「List Objects」ボタンにあるドロップダウンメニューから「UserForm」を選択して、「List Objects」ボタンをクリックします。

   「List Objects of type: UserForm」ページが開きます。

3. 本稼働している「Change User Password」フォームのコピーを検索して、「Edit」をクリックします (Identity Manager で配布されている「Change User Password」フォームはテンプレートなので、変更しないでください)。

4. <Form> 要素を見つけ、<Properties> 要素に移動します。

5. <Properties> 要素内に次の行を追加し、変更を保存します。

   <Property name=’RequiresChallenge’ value=’true’/>

6. 本稼働の「Reset User Password フォーム」のコピーの編集を除いて、手順 3 から 5 を繰り返します。

秘密の質問の回答の変更

「パスワード」領域を使用して、アカウントの秘密の質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の秘密の質問の回答の変更」を選択します。

認証の詳細については、第 3 章ユーザーとアカウントの管理の 「ユーザー認証」を参照してください。

管理者インタフェースでの管理者名の表示のカスタマイズ

Identity Manager 管理者インタフェースの一部のページおよび領域では、Identity Manager 管理者をアカウント ID ではなく属性 (email や fullname など) に基づいて表示できます。

たとえば、次の領域では Identity Manager 管理者を属性で表示できます。

• 「ユーザーの編集」(承認選択リストを転送する)

• ロールテーブル

• 「ロールの作成」/「ロールの編集」

• 「リソースの作成」/「リソースの編集」

• 「組織の作成」/「組織の編集」/「ディレクトリジャンクション」

• 承認

表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。

<AdminDisplayAttribute>
  <String>attribute_name</String>
</AdminDisplayAttribute>

たとえば、email 属性を表示名として使用するには、次の属性名を UserUIconfig に追加します。

<AdminDisplayAttribute>
  <String>email</String>
</AdminDisplayAttribute>