test

Sun Identity Manager 8.1 ビジネス管理者ガイド

第 17 章 サービスプロバイダの管理

この章では、Sun Identity Manager のサービスプロバイダ機能を管理するために知っておく必要がある情報を提供します。この情報を利用するには、Lightweight Directory Access Protocol (LDAP) ディレクトリおよび連携管理についての知識が役に立ちます。Identity Manager Service Provider (サービスプロバイダ) 実装については、『Sun Identity Manager Service Provider 8.1 Deployment』を参照してください。

この章は次のトピックで構成されています。

サービスプロバイダ機能の概要

サービスプロバイダ環境では、イントラネットユーザーだけでなくエクストラネットユーザーも含むすべてのエンドユーザーのユーザープロビジョニングを管理できる必要があります。サービスプロバイダ機能により、企業の管理者はアンデンティティーアカウントを Identity Manager ユーザーと サービスプロバイダユーザーの 2 つの異なるタイプに分類できます。Identity Manager のサービスプロバイダユーザーは、サービスプロバイダユーザータイプとして設定されたユーザーアカウントです。

Identity Manager のユーザープロビジョニング機能と監査機能は、次の機能を提供することにより、サービスプロバイダ実装にも拡張されます。

拡張エンドユーザーページ

サービスプロバイダ実装用にカスタマイズ可能な拡張エンドユーザーページが用意されています。

パスワードとアカウント ID のポリシー

ほかの Identity Manager ユーザーと同じように、サービスプロバイダユーザーとリソースアカウントについても、アカウント ID ポリシーとパスワードポリシーを定義できます。

メインのポリシーテーブルに追加されている「サービスプロバイダシステムのアカウントポリシー」により、サービスプロバイダユーザーに対するポリシーチェックコードが作動します。

Identity Manager とサービスプロバイダの同期

Identity Manager アカウントとサービスプロバイダアカウントの同期は、どの Identity Manager サーバーでも実行されるように設定することも、選択したサーバーに制限されるように設定することもできます。

サービスプロバイダ同期は、Identity Manager 同期と同様に、「リソース」ページの「リソースアクション」オプションで簡単に停止および開始できます。「同期の開始と停止」を参照してください。

Identity Manager ユーザー同期の入力フォームとサービスプロバイダユーザー同期の入力フォームは異なります。「エンドユーザーインタフェース」を参照してください。

Access Manager との統合

サービスプロバイダのエンドユーザーページでの認証に Sun Access Manager 7 2005Q4 を使用できます。Access Manager との統合を設定すると、Access Manager は、認証されたユーザーだけがエンドユーザーページにアクセスできるようにします。

サービスプロバイダでは、認証にユーザー名が必要です。AMAgent.properties ファイルを更新して、ユーザーの ID を HTTP ヘッダーに追加します。その例を次に示します。

com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid

エンドユーザーページ認証フィルタによって、残りのコード部分で想定されている HTTP ヘッダー値が HTTP セッションに割り当てられます。

初期設定

サービスプロバイダ機能を設定するには、次の手順に従って、ディレクトリサーバーの Identity Manager 設定オブジェクトを編集します。

注 –

続行する前に、次のことを確認してください。

メイン設定の編集

Procedureサービスプロバイダ実装の設定オブジェクトを編集する

  1. 管理者インタフェースで、メニューの「サービスプロバイダ」をクリックします。

  2. 「メイン設定の編集」をクリックします。

    「サービスプロバイダ設定」ページが開きます。

  3. 「サービスプロバイダ設定」フォームに必要な情報を指定します。

    次の節で説明されている手順に従います。

ディレクトリの設定

「ディレクトリ設定」領域では、LDAP ディレクトリの設定情報を入力し、サービスプロバイダユーザーの Identity Manager 属性を指定します。

図 17–1 に、「サービスプロバイダ設定」ページのこの領域と、次の節で説明する「ユーザーフォームとポリシー」領域を示します。

図 17–1 サービスプロバイダ設定 (ディレクトリ、ユーザーフォーム、およびポリシー)

「サービスプロバイダ設定」ページを示す図

Procedure「ディレクトリ設定」フォームに必要な情報を指定する

  1. 「Service Provider End-User Directory」をリストから選択します。

    すべての サービスプロバイダユーザーデータが格納されている LDAP ディレクトリリソースを選択します。

  2. 「アカウント ID 属性名」を入力します。

    これは、一意の短い識別子を含む LDAP アカウント属性の名前です。これは API を通じた認証およびアカウントアクセスのためのユーザー名と見なされます。属性名をスキーママップで定義する必要があります。

  3. 「IDM 組織の属性名」を指定します。

    このオプションには、Identity Manager 内で LDAP アカウントが所属する組織の名前または ID を含む LDAP アカウント属性の名前を指定します。これは、LDAP アカウントの管理を委任する場合に使用されます。属性名は LDAP リソーススキーママップ内に存在する必要があり、Identity Manager システムの属性名 (スキーママップの左側の名前) になります。

    注 –

    組織認証による委任管理を有効にする場合は、「Identity Manager 組織の属性名」を指定し、さらに、必要に応じて「IDM 組織の属性名が ID を含む」を指定します。

  4. 「IDM 組織の属性名が ID を含む」を選択する場合は、このオプションを有効にします。

    LDAP アカウントが所属する Identity Manager 組織を参照する LDAP リソース属性に、Identity Manager 組織の名前ではなく ID が含まれている場合、このオプションを選択します。

  5. 「ユーザー XML の圧縮」を選択する場合は、このオプションを有効にします。

    このオプションは、ユーザー XML を圧縮してディレクトリに保存する場合に選択します。

  6. 「ディレクトリ設定のテスト」をクリックして、設定の入力を検証します。

    注 –

    必要に応じて、「ディレクトリ設定」、「トランザクション設定」、および「監査設定」をテストできます。3 つの設定をすべてテストするには、3 つのテスト設定ボタンをすべてクリックします。

ユーザーフォームとポリシー

「ユーザーフォームとポリシー」領域では、前の図 17–1に示されているように、サービスプロバイダユーザー管理に使用するフォームとポリシーを指定します。

Procedureサービスプロバイダユーザー管理のフォームとポリシーを指定する

  1. 「エンドユーザーフォーム」をリストから選択します。

    このフォームは、Delegated Administrator ページ以外のすべての場所で、同期中に使用されます。「なし」を選択すると、デフォルトのユーザーフォームは使用されません。

  2. 「管理者ユーザーフォーム」をリストから選択します。

    これは、管理者コンテキストで使用されるデフォルトのユーザーフォームです。これには、サービスプロバイダアカウントの編集ページが含まれます。「なし」を選択すると、デフォルトのユーザーフォームは使用されません。

    注 –

    「管理者ユーザーフォーム」を選択しなかった場合、管理者は Identity Manager でサービスプロバイダユーザーを作成または編集できません。

  3. 「同期ユーザーフォーム」をリストから選択します。

    サービスプロバイダの同期を実行するリソースにフォームが指定されていない場合、「同期ユーザーフォーム」で指定したフォームがデフォルトのフォームとして使用されます。リソースの同期ポリシーに対して入力フォームが指定されている場合は、代わりにそのフォームが使用されます。リソースは通常、それぞれに異なる同期入力フォームを使用します。この場合は、リストからフォームを選択せずに、各リソースに対して同期ユーザーフォームを設定してください。

  4. 「アカウントポリシー」をリストから選択します。

    選択肢には、「設定」>「ポリシー」で定義されたアイデンティティーシステムのアカウントポリシーが含まれます。

  5. 「アカウントのロックを判断する規則」をリストから選択します。

    アカウントがロックされているかどうかを判断するために、サービスプロバイダユーザービューで実行する規則を選択します。

  6. 「アカウントをロックする規則」を選択します。

    属性を設定するサービスプロバイダユーザービューでアカウントのロックを実行する規則を選択します。

  7. 「アカウントをロック解除する規則」を選択します。

    属性を設定するサービスプロバイダユーザービューでアカウントのロック解除を実行する規則を選択します。

トランザクションデータベース

「サービスプロバイダ設定」ページのこの領域では、図 17–2 に示すように、トランザクションデータベースの設定を行います。これらのオプションは、JDBC トランザクション持続ストアを使用する場合にのみ必要です。いずれかの値を変更した場合、変更を適用するにはサーバーを再起動する必要があります。

トランザクションのデータベーステーブルは、create_spe_tables DDL スクリプト (使用している Identity Manager インストールの sample ディレクトリにある) に示されているスキーマに従って設定する必要があります。ターゲットの環境に合うように、適切なスクリプトのカスタマイズが必要な場合があります。

図 17–2 サービスプロバイダ設定 (トランザクションデータベース)

「サービスプロバイダ設定」ページの「トランザクションデータベース」領域を示す図

Procedureトランザクションデータベースを設定する

  1. 次のデータベース情報を入力します。

    • 「ドライバクラス」。JDBC ドライバクラス名を指定します。

    • 「ドライバプリフィックス」。このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。

    • 「接続URL テンプレート」。このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。

    • 「ホスト」。データベースが実行されているホストの名前を入力します。

    • 「ポート」。データベースサーバーがリスニング中のポート番号を入力します。

    • 「データベース名」。使用するデータベースの名前を入力します。

    • 「ユーザー名」。選択したデータベースのトランザクションテーブルおよび監査テーブルの行を読み取り、更新、および削除する権限を持ったデータベースユーザーの ID を入力します。

    • 「パスワード」。データベースユーザーのパスワードを入力します。

    • 「トランザクションテーブル」。保留中のトランザションを格納するために使用する、選択したデータベース内のテーブルの名前を入力します。

  2. 必要に応じて、「トランザクション設定のテスト」をクリックしてエントリを検証します。

    「サービスプロバイダ設定」ページの次の領域に進み、追跡するイベントを設定します。

追跡イベント設定

イベント収集を有効にすると、リアルタイムで統計を追跡して、期待されるレベルまたは合意を得たレベルのサービスの維持に役立てることができます。図 17–3 に示すように、イベント収集はデフォルトで有効になっています。「イベント収集の有効化」チェックボックスの選択を解除すると、収集は無効になります。

図 17–3 サービスプロバイダ設定 (追跡イベント、アカウントインデックス、およびコールアウトの設定)

「追跡イベント設定」ページの「イベント収集の有効化」チェックボックスを示す図

Procedureサービスプロバイダの追跡イベントのタイムゾーンと収集間隔を設定する

  1. 「タイムゾーン」をリストから選択します。

    追跡イベントの記録時に使用するタイムゾーンを選択します。 サーバーで設定されているタイムゾーンを使用する場合は、「サーバーのデフォルトに設定」を選択します。

  2. 「収集するタイムスケール」のオプションを選択します。

    10 秒ごと、1 分ごと、1 時間ごと、1 日ごと、1 週間ごと、および 1 か月ごとの間隔で収集が行われます。収集を行いたくない間隔があれば、その間隔を無効にします。

同期アカウントインデックス

サービスプロバイダ実装でリソースの同期を行う場合、リソースが送信するイベントがサービスプロバイダディレクトリ内のユーザーに正しく関連付けられるように、「アカウントインデックス」を定義する必要がある場合があります。

デフォルトでは、ディレクトリ内の accountId 属性と一致する accountId 属性の値をリソースイベントに含める必要があります。一部のリソースでは、常に accountId が送信されるわけではありません。たとえば、Active Directory からの削除イベントには、Active Directory が生成したアカウント GUID のみが含まれます。

accountId 属性が含まれないリソースには、次のいずれかの属性の値が含まれている必要があります。

guid または identity を使用して関連付ける必要がある場合は、これらの属性のアカウントインデックスを定義する必要があります。インデックスは、リソース固有のアイデンティティーの保存に使用される可能性のある 1 つ以上のディレクトリユーザー属性を抜粋したものです。identity がディレクトリに保存されると、検索フィルタでそれらを使用して、同期イベントと関連付けることができます。

アカウントインデックスを定義するには、まず、同期に使用するリソースと、そのうちどれにインデックスが必要かを判断します。次に、サービスプロバイダディレクトリのリソース定義を編集し、各 Active Sync リソースの GUID または identity 属性のスキーママップに属性を追加します。たとえば、Active Directory から同期する場合は、manager などの未使用のディレクトリ属性にマップされた AD-GUID という名前の属性を定義します。

Procedureリソースのインデックス属性を定義する

サービスプロバイダリソースのインデックス属性のすべてを定義したら、次の手順を実行します。

  1. 設定ページの「同期アカウントインデックス」領域で、「新しいインデックス」ボタンをクリックします。

    フォームが展開され、リソース選択フィールドと 2 つの属性選択フィールドが表示されます。属性選択フィールドは、リソースが選択されるまでは空のままです。

  2. 「リソース」をリストから選択します。

    これで、選択したリソースのスキーママップに定義された値が属性フィールドに表示されます。

  3. 「GUID 属性」または「完全アイデンティティー属性」のどちらかで、適切なインデックス属性を選択します。

    通常は両方を設定する必要はありません。両方を設定すると、最初に GUID、次に完全 ID を使用して関連付けが行われます。

  4. ほかのリソースのインデックス属性を定義する場合は、「新しいインデックス」を再度クリックします。

  5. インデックスを削除する場合は、「リソース」選択フィールドの右にある「削除」ボタンをクリックします。

    インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

    注 –

    インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

コールアウト設定

コールアウトを有効にする場合は、「コールアウト設定」領域でこのオプションを選択します。コールアウトを有効にすると、コールアウトマッピングが表示され、一覧表示されたトランザクションタイプごとに操作前および操作後のオプションを選択できるようになります。

デフォルトでは、操作前と操作後のオプションは「なし」に設定されます。

操作後のコールアウトを指定する場合、操作後のコールアウト処理が完了するまでトランザクションが待機するように指定するには、「操作後コールアウトを待機」オプションを指定します。これにより、すべての依存トランザクションは、操作後のコールアウトが正常に完了したあとにのみ実行されます。

注 –

「サービスプロバイダ設定」ページですべての領域の選択が完了したら、「保存」をクリックして設定を完了します。

ユーザー検索設定の編集

このページでは、図 17–4 に示すように、委任された管理者が「サービスプロバイダユーザーの管理」ページで実行する検索に関するデフォルトの検索設定を指定します。このデフォルト設定は、「サービスプロバイダユーザーの管理」ページのすべてのユーザーに適用されますが、セッションごとに別の設定を適用することもできます。

図 17–4 検索設定

「サービスプロバイダ検索設定」ページを示す図

Procedureサービスプロバイダユーザーを検索するデフォルトの検索設定を行う

  1. メニューバーの「サービスプロバイダ」をクリックします。

  2. 「ユーザー検索設定の編集」をクリックします。

  3. 「返される最大結果数」に数値を入力します (デフォルト値は 100)。

  4. 「ページあたりの結果数」に数値を入力します (デフォルト値は 10)。

  5. 「表示する結果属性」の横にある「利用可能な属性」を矢印キーで選択します。

  6. 「検索する属性」をリストから選択します。

  7. 「検索操作」をリストから選択します。

  8. 「保存」をクリックします。

    注 –

    検索設定に加えた変更は、ログオフして再度ログオンするまで有効になりません。

    サービスプロバイダディレクトリが設定されていない場合、これらの設定オブジェクトは使用できません。

トランザクション管理

トランザクションは、新しいユーザーの作成や新しいリソースの割り当てなど、単一のプロビジョニング操作をカプセル化します。リソースを使用できないときにこれらのトランザクションを終了させるため、トランザクションがトランザクション持続ストアに書き込まれます。

この節の以下のトピックでは、サービスプロバイダトランザクションの管理手順について説明します。

デフォルトのトランザクション実行オプションの設定

これらのオプションは、トランザクションの実行方法を制御します。 これには、同期/非同期の処理、トランザクション持続ストアに書き込むタイミングなどが含まれます。これらのオプションは、IDMXUser ビューまたはその処理に使用されるフォームを使用して、上書きできます。詳細は、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

Procedureサービスプロバイダトランザクションを設定する

  1. 「サービスプロバイダ」->「トランザクション設定の編集」をクリックします。

    「サービスプロバイダのトランザクション設定」ページが開きます。

    図 17–5 に、「デフォルトのトランザクション実行オプション」領域を示します。

    図 17–5 トランザクションの設定

    「サービスプロバイダのトランザクション設定」ページ

  2. 「保証される整合性レベル」で適切なオプションを選択して、ユーザー更新のトランザクション整合性レベルを指定します。

    次のオプションがあります。

    • 「なし」。ユーザーのリソース更新の順序付けは保証されません。

    • 「ローカル」。同じサーバーで処理されているユーザーのリソース更新の整合性が保証されます。

    • 「完全」。ユーザーのすべてのリソース更新の順番付けがサーバー全体で保証されます。このオプションは、すべてのトランザクションがトランザクションの試行まで、または非同期処理まで持続していることを必要とします。

  3. 必要に応じて「デフォルトのトランザクション実行オプション」領域を有効にします。

    次のオプションがあります。

    • 「最初の試行を待機」。IDMXUser ビューオブジェクトがチェックインされるときにどのように呼び出し元に制御が戻されるかを指定します。このオプションを有効にすると、プロビジョニングトランザクションが試行を 1 回完了するまで、チェックイン操作が遮断されます。非同期処理を無効にした場合、トランザクションは成功するか、コントロールが返される場合は失敗します。非同期処理が有効になっている場合、トランザクションは引き続きバックグラウンドで再試行されます。このオプションを無効にすると、プロビジョニングトランザクションの試行の前に、チェックイン操作から呼び出し元に制御が戻ります。このオプションを有効にすることを検討してください。

    • 「非同期処理の有効化」。このオプションは、チェックイン呼び出しが戻ったあとでプロビジョニングトランザクションの処理を継続するかどうかを制御します。

      非同期処理を有効にすると、トランザクションの再試行が可能になります。「トランザクション処理の詳細設定」で設定されているワークスレッドを非同期で実行させることで、スループットも向上します。このオプションを選択した場合は、同期入力フォームを使用してリソースをプロビジョニングまたは更新する再試行間隔および試行回数を設定します。

      「非同期処理の有効化」を選択したときは、「再試行タイムアウト」値を入力します。これは、失敗したプロビジョニングトランザクションがサーバーで再試行される期間の上限をミリ秒で表した値です。この設定により、サービスプロバイダユーザー LDAP ディレクトリなど、個々のリソースの再試行設定が補足されます。たとえば、リソースの再試行制限に達する前にこの制限に達した場合、トランザクションは終了します。負の値の場合、再試行の回数は個々のリソースの設定のみにより制限されます。

    • 「試行前の持続的トランザクション」。 このオプションを有効にすると、プロビジョニングトランザクションは試行される前にトランザクション持続ストアに書き込まれます。このオプションを有効にすると、ほとんどのプロビジョニングトランザクションは最初の試行で成功するため、不要なオーバーヘッドが生じる場合があります。「最初の試行を待機」オプションを無効にしている場合を除き、このオプションは無効にすることを検討してください。「完全」整合性レベルが選択されている場合は、このオプションを使用できません。

    • 「非同期処理の前の持続的トランザクション」(デフォルトの選択)。 このオプションを有効にすると、プロビジョニングトランザクションは非同期で処理される前にトランザクション持続ストアに書き込まれます。「最初の試行を待機」オプションが有効になっている場合、再試行が必要なトランザクションは、制御がコールアウト元に戻る前に持続ストアに書き込まれます。「最初の試行を待機」オプションが無効になっている場合、トランザクションは試行される前に常に持続ストアに書き込まれます。このオプションは有効にすることをお勧めします。「完全」整合性レベルが選択されている場合は、このオプションを使用できません。

    • 「各更新時の持続的トランザクション」。このオプションを有効にすると、プロビジョニングトランザクションは再試行後に持続ストアに書き込まれます。これにより、「トランザクションの検索」ページから検索できるトランザクション持続ストアは常に最新になるため、問題の分離に役に立つ場合があります。

トランザクション持続ストアの設定

「サービスプロバイダのトランザクション設定」ページのこれらのオプションは、トランザクション持続ストアに適用されます。ストア内で表示する問い合わせ可能な追加属性以外に、ストアのタイプも設定できます。

図 17–6 サービスプロバイダのトランザクション持続ストアの設定

サービスプロバイダのトランザクション持続ストアの設定方法を示す図

Procedure「サービスプロバイダのトランザクション設定」ページのオプションを設定する

  1. 目的の「トランザクション持続ストアタイプ」をリストから選択します。

    「データベース」オプションを選択した場合、サービスプロバイダ設定のメインページで設定された RDBMS がプロビジョニングトランザクションの持続に使用されます。これにより、サーバーが再起動された場合でも、再試行する必要のあるトランザクションが失われることはなくなります。このオプションを選択する場合は、メインのサービスプロバイダ設定ページで RDBMS を設定する必要があります。「メモリーベースのシミュレート」オプションを選択した場合、再試行の必要なトランザクションはメモリー内にのみ格納され、サーバーを再起動すると破棄されます。本稼働環境では、「データベース」オプションを有効にします。

    注 –

    メモリーベースのトランザクション持続ストアは、クラスタ環境での使用には適しません。

    「トランザクション持続ストアタイプ」を変更した場合、変更を適用するには、実行中のすべての Identity Manager インスタンスを再起動する必要があります。

  2. 必要に応じて、「クエリー可能なユーザー属性のカスタマイズ」を選択します。

    トランザクション概要内で表示される IDMXUser オブジェクトの追加属性を選択します。これらの属性は、検索トランザクションページから問い合わせ可能であり、検索結果に表示されます。

    次の属性があります。

    • 「ユーザーパス表現」。IDMXUser オブジェクトにパス表現を入力します。

    • 「表示名」。パス表現に対応する表示名を選択します。この表示名はトランザクション検索ページに表示されます。

トランザクション処理の詳細設定

これらの詳細なオプションは、トランザクションマネージャーの内部動作を制御します。パフォーマンス分析で最適ではないと示されない限り、指定されたデフォルトを変更できません。すべてのエントリが必須です。

図 17–5 に、「トランザクション設定の編集」ページの「トランザクション処理の詳細設定」領域を示します。

図 17–7 トランザクション処理の詳細設定

「トランザクション設定の編集」ページの「トランザクション処理の詳細設定」領域を示す図

Procedure「トランザクション処理の詳細設定」を指定する

  1. 「ワークスレッド」に数値を入力します (デフォルト値は 100)。

    これはトランザクションの処理に使用されるスレッド数です。この値は同時に処理されるトランザクション数を制限します。これらのスレッドは起動時に静的に割り当てられます。

    注 –

    「ワークスレッド」を変更した場合、変更を適用するには、実行中のすべての Identity Manager インスタンスを再起動する必要があります。

  2. 「リース時間 (ms)」に数値を入力します (デフォルト値は 600000)。

    これは、再試行中のトランザクションをサーバーでロックする時間を制御します。リースは必要に応じて更新されます。ただし、サーバーが完全にシャットダウンしていない場合、オリジナルサーバーのリース時間が終了するまで、ほかのサーバーはトランザクションをロックできません。最低値は 1 分です。それより小さい値を設定すると、トランザクション持続ストアの負荷に影響する可能性があります。

  3. 「リース更新 (ms)」に数値を入力します (デフォルト値は 300000)。

    これは、ロックされたトランザクションのリースの更新時期を制御します。リースの残り時間がこの値になったときにリースが更新されます。 この値の単位はミリ秒です。

  4. 「終了トランザクションのストア内での保持時間 (ms)」に数値を入力します (デフォルト値は 360000)。

    トランザクション持続ストアから終了トランザクションを削除するまでの待機時間 (ミリ秒) です。トランザクションがただちに持続ストアに書き込まれるように設定されている場合を除き、完了したすべてのトランザクションがトランザクション持続ストアに格納されているとはかぎりません。

  5. 「実行可能キュー最低水準点」に数値を入力します (デフォルト値は 400)。

    トランザクションスケジューラの実行可能なトランザクションキューがこの制限を下回ると、最高水準制限までキューに実行可能なトランザクションが補充されます。

  6. 「実行可能キュー最高水準点」に数値を入力します (デフォルトは 800)。

    トランザクションスケジューラの実行可能なトランザクションキューが最低水準点よりも下回ると、この制限まで、キューに実行可能なトランザクションが補充されます。

  7. 「保留キュー最低水準点」に数値を入力します (デフォルト値は 2000)。

    トランザクションスケジューラの保留中キューには、再試行のために保留されている、失敗したトランザクションが保持されます。キューのサイズが最高水準点を超える場合、最低水準点を超えるすべてのトランザクションはトランザクション持続ストアにフラッシュされます。

  8. 「保留キュー最高水準点」に数値を入力します (デフォルト値は 2000)。

    トランザクションスケジューラの保留中キューには、再試行のために保留されている、失敗したトランザクションが保持されます。キューのサイズが最高水準点を超える場合、最低水準点を超えるすべてのトランザクションはトランザクション持続ストアにフラッシュされます。

  9. 「スケジューラ間隔 (ms)」に数値を入力します (デフォルトは 500)。

    これは、トランザクションスケジューラの実行間隔です。トランザクションスケジューラは実行されると、実行可能なトランザクションを保留中のキューから実行可能キューに移動し、トランザクション持続ストアに対して、トランザクションの持続などの別の定期的な作業を実行します。

  10. 「保存」をクリックして、設定を受け入れます。

トランザクションの監視

サービスプロバイダトランザクションは、トランザクション持続ストアに書き込まれます。トランザクション持続ストアのトランザクションを検索して、トランザクションのステータスを表示できます。

注 –

「トランザクション設定の編集」ページを使用すると (「トランザクション管理」を参照)、管理者はいつトランザクションを保管するかを制御できます。たとえば、トランザクションをただちに保管できます (最初の試行前であっても)。

「トランザクションの検索」ページで、検索条件を指定してトランザクションをフィルタリングし、ユーザー、タイプ、ステータス、トランザクション ID、現在の状態、成功か失敗かなど、トランザクションイベントに関する特定の条件に基づいて表示できます。ここには、すでに完了しているトランザクションとともに再試行中のトランザクションが含まれます。完了していないトランザクションは、それ以上試行されないようにキャンセルできます。

Procedureトランザクションを検索する

  1. 管理者インタフェースで、「サーバータスク」->「サービスプロバイダトランザクション」をクリックします。

    「サービスプロバイダのトランザクション検索」ページが表示され、そこで検索条件を指定できます。

    注 –

    検索では、下で選択したすべての条件に一致するトランザクションのみが返されます。これは、「アカウント」->「ユーザーの検索」ページと類似しています。

  2. 検索を設定します。

    次のオプションのいずれかを選択します。

    • 「ユーザー名」。入力した accountId を持つユーザーのみに適用されるトランザクションを検索できます。

      注 –

      サービスプロバイダトランザクション設定ページで「クエリー可能なユーザー属性のカスタマイズ」を設定している場合は、それらがここに表示されます。たとえば、クエリー可能なユーザー属性のカスタマイズとして姓またはフルネームが設定されている場合、これらに基づいて検索することを選択できます。

    • 「タイプ」。選択したタイプのトランザクションを検索できます。

    • 「状態」。選択した次の状態のトランザクションを検索できます。

      • 「未試行」。トランザクションは、まだ試行されていません。

      • 「再試行保留中」。トランザクションは、1 回以上試行されましたが、1 つ以上のエラーが見つかり、個々のリソースに設定された再試行制限まで再試行がスケジュールされています。

      • 「成功」。トランザクションは、正常に完了しました。

      • 「失敗」。トランザクションは、1 つ以上失敗して完了しました。

    • 「試行回数」。試行された回数に基づいて、トランザクションを検索できます。失敗したトランザクションは、個々のリソースに設定された再試行制限まで再試行されます。

    • 「送信時間」。時間、分、日の単位でトランザクションが最初に送信された時間に基づいて、トランザクションを検索できます。

    • 「終了時間」。時間、分、日の単位でトランザクションが完了した時間に基づいて、トランザクションを検索できます。

    • 「キャンセルステータス」。トランザクションがキャンセルされているかどうかに基づいて、トランザクションを検索できます。

    • 「トランザクションID」。一意の ID に基づいてトランザクションを検索できます。すべての監査ログレコードに表示される、ユーザーが入力する ID に基づいてトランザクションを検索するには、このオプションを使用します。

    • 「SPE サーバー名」。実行中の サービスプロバイダサーバーに基づいてトランザクションを検索できます。サーバーの ID は、Waveset.properties ファイルで上書きされている場合を除き、マシン名に基づきます。

    • 検索結果をリストから選択したエントリ数までに制限します。指定された制限までの結果のみ返されます。ほかの結果がある場合でも通知は表示されません。

    図 17–8 トランザクションの検索

    「サービスプロバイダのトランザクション検索」ページを示す図

  3. 「検索」をクリックします。

    検索結果が表示されます。

  4. 結果ページの一番下にある「一致したすべてのトランザクションをダウンロード」をクリックして、結果を XML 形式のファイルに保存します。

    注 –

    検索結果に返されたトランザクションをキャンセルするには、結果テーブルのトランザクションを選択し、「選択内容のキャンセル」をクリックします。完了している、またはすでにキャンセルされているトランザクションはキャンセルできません。

サービスプロバイダユーザーの委任管理

サービスプロバイダユーザーの委任管理を有効にするには、Identity Manager 「管理者ロール」または組織ベース認証モデルを使用します。

組織認証による委任

Identity Manager では、デフォルトで、組織ベース認証モデルを使用して管理作業を委任できます。

組織ベース認証モデルで委任される管理者を作成するときは、次のことに留意してください。

注 –

Identity Manager の委任管理については、第 6 章管理「委任された管理」を参照してください。

管理者ロール割り当てによる委任

サービスプロバイダユーザーに細かい機能や制御の範囲を付与する場合は、サービスプロバイダユーザー管理者ロールを使用します。1 人以上の Identity Manager ユーザーまたはサービスプロバイダユーザーへの管理者ロールの割り当てを、ログイン時に動的に行うように設定できます。

管理者ロールを割り当てられたユーザーに与える機能 (「サービスプロバイダのユーザーの作成」など) を指定する規則を定義して管理者ロールに割り当てることができます。

サービスプロバイダユーザーに対して管理者ロールの委任を使用するには、Identity Manager システム設定オブジェクト (「Identity Manager 設定オブジェクトの編集」) で有効にする必要があります。

管理者ロール割り当てによる委任を有効にする場合、「サービスプロバイダ設定」の「IDM 組織の属性名」は必要ありません。

サービスプロバイダ管理者ロール委任の有効化

サービスプロバイダ管理者ロール委任 (サービスプロバイダ委任管理) を有効にするには、変更のために システム設定オブジェクトを開き (「Identity Manager 設定オブジェクトの編集」)、次のプロパティーを true に設定します。

security.authz.external.app name.object type

app name は Identity Manager アプリケーション (管理者インタフェースなど)、object typeService Provider Users です。

このプロパティーは、Identity Manager アプリケーション (管理者インタフェースやユーザーインタフェースなど) 単位およびオブジェクトタイプ単位で有効にすることができます。現在サポートされているオブジェクトタイプは Service Provider Users のみです。デフォルト値は false です。

たとえば、Identity Manager 管理者のサービスプロバイダ委任管理を有効にするには、System Configuration 設定オブジェクトで次の属性を「true」に設定します。

security.authz.external.Administrator Interface.Service Provider Users

特定の Identity Manager またはサービスプロバイダアプリケーションでサービスプロバイダ委任管理を無効に (false に設定) した場合は、組織ベース認証モデルが使用されます。

サービスプロバイダ委任管理を有効にした場合は、実行された認証規則の数および時間に関する情報が追跡イベントによって取得されます。それらの統計情報はダッシュボードで表示できます。

サービスプロバイダユーザー管理者ロールの設定

サービスプロバイダユーザー管理者ロールを設定するには、管理者ロールを作成し、制御の範囲、機能、および割り当てるユーザーを指定します。

注 –

サービスプロバイダユーザー管理者ロールを作成する前に、その管理者ロールの検索コンテキスト、検索フィルタ、検索後のフィルタ、機能、およびユーザー割り当てに関する規則を定義します。

次の規則を使用するには、規則の authType を指定する必要があります。

サービスプロバイダユーザー管理者ロールのこれらの規則を作成するには、Identity Manager に付属するサンプル規則を使用できます。サンプル規則は Identity Manager インストールディレクトリの sample/adminRoleRules.xml にあります。

実際の環境でのサンプル規則の作成については、『Sun Identity Manager Service Provider 8.1 Deployment』を参照してください。

Procedureサービスプロバイダユーザー管理者ロールを設定する

  1. 管理者インタフェースで、メニューから「セキュリティー」をクリックし、「管理者ロール」をクリックします。

    「管理者ロール」ページが開きます。

  2. 「新規」をクリックします。

    「管理者ロールの作成」ページが開きます。

  3. 管理者ロールの名前を指定し、タイプとして「サービスプロバイダユーザー」を選択します。

  4. 次の節の説明に従って、「制御の範囲」、「機能」、および「ユーザーに割り当てる」のオプションを指定します。

制御の範囲の指定

サービスプロバイダユーザー管理者ロールの制御の範囲は、特定の Identity Manager 管理者、Identity Manager エンドユーザー、または Identity Mananger サービスプロバイダエンドユーザーが表示できるサービスプロバイダユーザーを指定します。この範囲は、ディレクトリのサービスプロバイダユーザーを一覧表示するようにリクエストされたときに適用されます。

サービスプロバイダユーザー管理者ロールの制御の範囲では、以下の設定を 1 つ以上指定できます。

機能の指定

サービスプロバイダユーザー管理者ロールの機能では、アクセスをリクエストされているサービスプロバイダユーザーに対してリクエスト元のユーザーが持つ機能と権利を指定します。これは、サービスプロバイダユーザーの表示、作成、変更、または削除のリクエストが作成されたときに適用されます。

「機能」タブで、この管理者ロールに適用する「機能規則」を選択します。

ユーザーへの管理ロールの割り当て

ログイン時の評価で認証ユーザーに管理者ロールを割り当てるかどうかを判断する規則を指定することにより、サービスプロバイダユーザー管理者ロールをサービスプロバイダユーザーに動的に割り当てることができます。

「ユーザーに割り当てる」タブをクリックし、割り当てに適用する規則を選択します。

注 –

ユーザーへの管理者ロールの動的割り当ては、ログインインタフェース (ユーザーインタフェースや管理者インタフェースなど) ごとに有効にする必要があります。 そのためには、次のシステム設定オブジェクト (「Identity Manager 設定オブジェクトの編集」) を true に設定します。

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo. loginInterface

すべてのインタフェースのデフォルトは false です。

サービスプロバイダユーザー管理者ロールの委任

サービスプロバイダユーザーは、デフォルトで、自分に割り当てられたサービスプロバイダユーザー管理者ロールを、自分の制御の範囲内のサービスプロバイダユーザーに割り当てる (または「委任する」) ことができます。

実際に、サービスプロバイダユーザーを編集する機能を持つ Identity Manager ユーザーは、自分に割り当てられたサービスプロバイダユーザー管理者ロールを、自分の制御の範囲内のサービスプロバイダユーザーに割り当てることができます。

サービスプロバイダユーザー譲渡者ロールに、制御の範囲に関係なく譲渡者ロールを割り当てることができる「譲渡者」のリストを含めることもできます。このような直接の割り当てにより、1 人以上の既知のユーザーアカウントが管理者ロールを割り当てることができるようにします。

サービスプロバイダユーザーの管理

この節では、Identity Manager.による サービスプロバイダユーザーの管理とその手順について説明します。

この節は次のトピックで構成されています。

ユーザー組織

サービスプロバイダでは、ユーザーの属性値によって、そのユーザーが割り当てられる組織が決まります。これは、Identity Manager のメイン設定の「Identity Manager 組織の属性名」フィールドによって指定されます (「初期設定」参照)。ただし、それらの組織名は、ディレクトリサーバーで割り当てられたユーザー属性の値と一致する必要があります。

「Identity Manager 組織の属性名」が定義されている場合は、「ユーザーの作成」または「ユーザーの編集」ページに、使用できる組織の複数選択リストが表示されます。デフォルトでは短い組織名が表示されます。組織の完全なパスが表示されるようにサービスプロバイダユーザーフォームを変更できます。

どの属性が組織名属性になるかを選択できます。組織名属性は、そのユーザーを検索および管理できる管理者を制約するためにサービスプロバイダユーザー管理ページで使用されます。

注 –

現在、サービスプロバイダアカウントおよびリソースアカウント用のアカウント ID ポリシーとパスワードポリシーがあります。

「サービスプロバイダシステムのアカウントポリシー」は、主要ポリシーテーブルから使用できます。

ユーザーとアカウントの作成

すべてのサービスプロバイダユーザーは、サービスプロバイダディレクトリ内にアカウントを持つ必要があります。ユーザーがほかのリソースのアカウントを持つ場合、それらのアカウントへのリンクがユーザーのディレクトリエントリに保存されるので、そのユーザーを表示するときに、それらのアカウントに関する情報を表示できます。

注 –

ユーザーを作成および編集するための サービスプロバイダユーザーフォームのサンプルが用意されています。このフォームを、実際のサービスプロバイダ環境でのユーザー管理の要件に合わせてカスタマイズしてください。詳細は、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

Procedureサービスプロバイダアカウントを作成する

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダユーザーの管理」タブをクリックします。

  3. 「ユーザーの作成」をクリックします。

    注 –

    デフォルトの サービスプロバイダユーザーフォームの使用時に表示される実際のフィールドは、サービスプロバイダディレクトリリソースのアカウント属性テーブル (スキーママップ) に設定された属性によって異なります。また、ユーザー (委任された管理者など) にリソースを割り当てた場合は、そのリソースの属性値を指定するための新しい領域が追加表示されます。フィールドをカスタマイズすることもできます。

  4. 必要に応じてこれらのリソースの属性値を指定します。

    次の属性値があります。

    • accountid (必須)

    • password

    • confirmation (パスワードの確認)

    • firstname (必須)

    • lastname (必須)

    • fullname

    • email

    • 「home phone」

    • 「cell phone」

    • 「password retry count」

    • 「account unlock time」

  5. 矢印キーを使用して、目的の「リソース」を「利用可能」リストから選択します。

  6. 「アカウントステータス」に、アカウントがロックされているかロック解除されているかが表示されます。アカウントをロックまたはロック解除する場合は、このオプションをクリックします。

    図 17–9 サービスプロバイダのユーザーとアカウントの作成

    「サービスプロバイダアカウントの作成」ページを示す図

    注 –

    このフォームでは、ディレクトリアカウント (最上位) で定義された属性に基づいて、リソースアカウント属性の値が自動的に設定されます。たとえば、リソースに firstName を定義した場合、ディレクトリアカウントの firstName の値が設定されます。ただし、この初期設定後、それらの属性の変更はリソースアカウントに伝達されません。必要に応じて、提供されているサンプルの サービスプロバイダユーザーフォームをカスタマイズします。

  7. 「保存」をクリックしてユーザーアカウントを作成します。

サービスプロバイダユーザーの検索

サービスプロバイダには、ユーザーアカウントの管理に役立つ設定可能な検索機能が含まれています。検索では、組織やその他の要素で定義された範囲内のユーザーのみが返されます。

サービスプロバイダユーザーの基本検索を実行するには、Identity Manager インタフェースの「アカウント」領域で、「サービスプロバイダユーザーの管理」をクリックし、検索値を入力して「検索」をクリックします。

次のトピックでは、サービスプロバイダの検索機能について説明します。

詳細検索

サービスプロバイダユーザーの詳細検索を実行するには、次の手順に従います。

Procedureサービスプロバイダユーザーの詳細検索を実行する

  1. サービスプロバイダユーザーの検索ページから・・・「詳細」をクリックします。

  2. 目的の「属性」をリストから選択します。

  3. 目的の「操作」をリストから選択します。

    検索で返されるユーザーをフィルタリングして、指定したすべての条件を満たすユーザーのみが返されるようにするための条件セットを指定しています。

  4. 目的の検索値を入力し、「検索」をクリックします。

    図 17–10 ユーザーの検索

    サービスプロバイダユーザーの検索方法を示す図

    属性条件を追加または削除するには、次のいずれかの操作を行います。

    • 「条件の追加」をクリックし、新しい属性を指定します。

    • 項目を選択して、「選択した条件の削除」をクリックします。

検索結果

サービスプロバイダの検索結果は、図 17–11 に示すようなテーブルに表示されます。属性の列ヘッダーをクリックすると、結果をその属性で並べ替えることができます。表示される結果は選択した属性によって異なります。

結果の最初のページ、前ページ、次ページ、および最終ページを表示するには、矢印ボタンを使用します。特定のページに移動するには、テキストボックスにページ番号を入力して Enter キーを押します。

ユーザーを編集するには、テーブル内のユーザー名をクリックします。

図 17–11 検索結果の例

検索結果の例を示す図

検索結果ページで、ユーザーの削除またはリソースアカウントのリンク解除を行うには、1 人以上のユーザーを選択して、「削除」ボタンをクリックします。この操作により、ユーザーの削除ページが表示され、さらにオプションが表示されます (「アカウントの削除、割り当て解除、またはリンク解除」を参照)。

アカウントのリンク

サービスプロバイダは、ユーザーが複数のリソースにアカウントを持つ環境にインストールする場合があります。サービスプロバイダのアカウントリンク機能により、既存のリソースアカウントを サービスプロバイダユーザーにインクリメント方式で割り当てることができます。アカウントリンクプロセスは、リンク相関規則、リンク確認規則、リンク検証オプションを定義する サービスプロバイダのリンクポリシーで管理します。

Procedureユーザーアカウントをリンクする

  1. 管理者インタフェースで、メニューバーの「リソース」をクリックします。

  2. 目的のリソースを選択します。

  3. 「リソースアクション」メニューから「サービスプロバイダリンクポリシーの編集」を選択します。

  4. リンク相関規則を選択します。この規則は、ユーザーが所有する可能性のあるリソースのアカウントを検索します。

  5. リンク確認規則を選択します。この規則は、リンク相関規則が選択したアカウントの候補からリソースアカウントを除外します。

    注 –

    リンク相関規則で 1 つだけのアカウントを選択する場合、リンク確認規則は必要ありません。

  6. 「リンク検証が必要」を選択して、ターゲットリソースアカウントを サービスプロバイダユーザーにリンクします。

アカウントの削除、割り当て解除、またはリンク解除

Procedureユーザーアカウントを削除、割り当て解除、またはリンク解除する

  1. メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダユーザーの管理」をクリックします。

  3. 基本検索または詳細検索を実行します。

  4. 目的のユーザーを選択します。

  5. 「削除」ボタンをクリックします。

  6. 省略可能なグローバルオプションのいずれかを選択します。

    次のオプションがあります。

    • すべてのリソースアカウントの削除

      注 –

      リソースを削除すると、アカウントが削除されますが、リソース割り当ては残ります。そのあとでユーザーを更新すると、アカウントが再作成されます。削除すると必ずリソースアカウントがリンク解除されます。

    • すべてのリソースアカウントの割り当て解除

      注 –

      リソースを割り当て解除すると、そのリソースの割り当てが削除されます。割り当て解除するとリソースアカウントがリンク解除されます。リソースを割り当て解除しても、リソースアカウントは削除されません。

    • すべてのリソースアカウントのリンク解除

      注 –

      リンク解除すると、ユーザーとリソースアカウントの間のリンクが削除されますが、アカウントは削除されません。どちらの場合もリソース割り当ては削除されないので、そのあとでユーザーを更新すると、アカウントに再リンクされるか新しいアカウントがリソースに作成されます。

  7. または、「削除」、「割り当て解除」、または「リンク解除」列で 1 つ以上のリソースアカウントのアクションを選択します。

  8. 目的のユーザーアカウントを選択し、「OK」をクリックします。

    図 17–12 アカウントの削除、割り当て解除、またはリンク解除

    アカウントの削除、割り当て解除、またはリンク解除に使用するオプションを示す図

検索オプションの設定

Procedureサービスプロバイダユーザーの検索オプションを設定する

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダ」をクリックします。

  3. 「オプション」をクリックします。

    注 –

    これらのオプションは、現在のログインセッションでのみ有効です。これらのオプションでは、検索結果の表示方法を設定します。 この設定は、基本検索と詳細検索の両方の結果に適用され、一部の設定は新しい検索でのみ有効になります。

  4. 「返される結果の最大数」を入力します。

  5. 「ページあたりの結果数」を入力します。

  6. 矢印キーを使用して、「利用可能な属性」から目的の「表示属性」を選択します。

    図 17–13 サービスプロバイダユーザーの検索オプションの設定

    サービスプロバイダユーザーの検索オプションの設定方法を示す図

エンドユーザーインタフェース

付属のサンプルエンドユーザーページは、xSP 環境での一般的な登録とセルフサービスの例を示しています。サンプルは拡張可能であり、カスタマイズ可能です。実際の配備用に、外観や使い勝手を変更したり、ページ間の移動方法を変更したり、ロケール固有のメッセージを表示したりできます。エンドユーザーページのカスタマイズ方法は、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

セルフサービスイベントや登録イベントの監査に加えて、影響を受けるユーザーに、電子メールテンプレートを使用して通知を送信することができます。アカウント ID ポリシーとパスワードポリシー、およびアカウントロックアウトの例も用意されています。アプリケーション開発者も Identity Manager フォームを利用できます。サーブレットフィルタとして実装されている認証サービスモジュールを、必要に応じて拡張したり置き換えたりできます。これにより、Sun Access Manager のようなアクセス管理システムとの統合が可能になります。

サンプルエンドユーザーページ

付属のサンプルエンドユーザーページを使用すると、ユーザーは、操作しやすい一連の画面で基本的なユーザー情報の登録と管理を行い、自分のアクションに関する電子メール通知を受け取ることができます。

サンプルページには次の機能が含まれています。

注 –

Identity Managerでは、登録に検証テーブルが使用されます。そのテーブル内のユーザーだけが登録を許可されます。たとえば、Betty Childs というユーザーを登録する場合、bchilds@example.com という電子メールアドレスを持つ Betty Childs のエントリが検証テーブル内で検索され、登録が受け入れられます。

サンプルページは、配備に合わせて簡単にカスタマイズできます。

配備に合わせて次のように簡単にカスタマイズできます。

ページのカスタマイズ方法は、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

新しいユーザーの登録

新しいユーザーは登録を求められます。登録時に、ユーザーは自分のログイン、チャレンジ質問、および通知に関する情報を設定できます。

図 17–14 「登録」ページ

「登録」ページを示す図

ホーム画面とプロファイル画面

図 17–15 に、エンドユーザーのホームタブとプロファイルページを示します。ユーザーは、自分のログイン ID とパスワードの変更、通知の管理、およびチャレンジ質問の作成を行うことができます。

図 17–15 「自分のプロフィール」ページ

「パスワードの変更」画面を示す図。

サービスプロバイダのユーザー同期

サービスプロバイダユーザーの同期は、同期ポリシーによって有効になります。Identity Manager でリソースの属性に加えた変更をサービスプロバイダユーザーと同期させるには、サービスプロバイダ同期を設定する必要があります。

次のトピックでは、サービスプロバイダ実装で同期を有効にする方法を説明します。

注 –

サービスプロバイダ同期は、Identity Manager の「リソース」領域のリソースリストから設定します。

同期の設定

サービスプロバイダ同期を設定するには、「同期を編集または設定する」の説明に従ってリソースの同期ポリシーを編集します。

同期ポリシーを編集するときに、次のオプションを指定して、サービスプロバイダユーザーの同期プロセスを有効にする必要があります。

「同期を編集または設定する」の説明に従って、実際の環境に合わせて他のオプションを指定します。サービスプロバイダ同期タスクのデフォルトの同期間隔は 1 分です。

注 –

確認規則とフォームでは、Identity Manager 入力ユーザービューではなく、IDMXUser ビューを使用する必要があります (詳細は『Sun Identity Manager Service Provider 8.1 Deployment 』を参照)。

その理由は、確認規則は相関規則で識別されるユーザーごとにユーザービューにアクセスするので、同期パフォーマンスに影響するためです。

「保存」をクリックしてポリシー定義を保存します。ポリシーで同期を無効にしなかった場合、同期は指定されたとおりにスケジュールされます。同期の無効を指定した場合、現在実行されている同期サービスは停止されます。有効にすると、Identity Manager サーバーを再起動したとき、または同期リソースアクションの下の「サービスプロバイダに対して開始」を選択したときに、同期が開始されます。

同期の監視

Identity Manager には、サービスプロバイダ同期を監視するために次の方法が用意されています。

同期の開始と停止

Identity Manager をサービスプロバイダ実装用に設定する場合、サービスプロバイダ同期はデフォルトで有効になります。

Procedureサービスプロバイダの Active Sync を無効にする

  1. 管理者インタフェースで、メニューから「リソース」をクリックします。

    「リソースのリスト」ページが開きます。

  2. 「サービスプロバイダ」領域でリソースを選択し、「同期ポリシーの編集」をクリックしてポリシーを編集します。

  3. 「同期の有効化」チェックボックスを選択解除します。

  4. 「保存」をクリックします。

    ポリシーが保存されると、同期は停止します。

    同期を無効にせずに停止するには、同期リソースアクションの「サービスプロバイダに対して停止」を選択します。

    注 –

    同期を無効にせずにリソースアクションを使用して同期を停止した場合、いずれかの Identity Manager サーバーを起動すると、同期がふたたび開始されます。

ユーザーの移行

サービスプロバイダ機能には、サンプルのユーザー移行タスクと関連スクリプトが含まれています。このタスクにより、既存の Identity Manager ユーザーが サービスプロバイダユーザーディレクトリに移行されます。この節では、サンプル移行タスクの使用方法について説明します。使用状況に応じて、このサンプルを変更することをお勧めします。

Procedure既存の Identity Manager ユーザーを移行する

  1. 管理者インタフェースで、メニューから「サーバータスク」をクリックします。

    「タスクの検索」ページが開きます。

  2. 二次的なメニューから「タスクの実行」をクリックします。

  3. 「SPE の移行」をクリックします。

  4. 一意の「タスク名」を入力します。

  5. 「リソース」をリストから選択します。

    これは、サービスプロバイダディレクトリサーバーを表す Identity Manager のリソースです。Identity Manager ユーザーで見つかったこのリソースへのリンクは移行されません。

  6. 「アイデンティティー属性」を入力します。

    これは、ディレクトリユーザーの短い一意の ID を含む Identity Manager ユーザー属性です。

  7. 「ID 規則」をリストから選択します。

    これは、Identity Manager ユーザーの属性からディレクトリユーザーの名前を生成できるオプションの規則です。ID 規則は単純名 (通常は uid) を生成することができます。 その後、この名前はリソースのアイデンティティーテンプレートで処理され、ディレクトリサーバーの識別名 (DN) を形成します。また、この規則は、アイデンティティーテンプレートを使用しない完全指定 DN を返すこともあります。

  8. 「起動」をクリックして、バックグラウンドでの移行タスクを開始します。

サービスプロバイダ監査イベントの設定

サービスプロバイダの実装では、Identity Manager の監査ログシステムがエクストラネットのユーザーアクティビティーに関連するイベントを監視します。Identity Manager には、サービスプロバイダの監査設定グループ (デフォルトで有効) が用意されており、サービスプロバイダユーザーのログが記録される監査イベントを指定します。図 17–16 を参照してください。

監査ログ、および サービスプロバイダの監査設定グループのイベントの変更については、第 10 章監査ログを参照してください。

図 17–16 「サービスプロバイダ 監査設定グループの編集」ページ

「Edit Service Provider Audit Configuration Group」ページを示す図