test

Sun Identity Manager 8.1 ビジネス管理者ガイド

サービスプロバイダユーザーの管理

この節では、Identity Manager.による サービスプロバイダユーザーの管理とその手順について説明します。

この節は次のトピックで構成されています。

ユーザー組織

サービスプロバイダでは、ユーザーの属性値によって、そのユーザーが割り当てられる組織が決まります。これは、Identity Manager のメイン設定の「Identity Manager 組織の属性名」フィールドによって指定されます (「初期設定」参照)。ただし、それらの組織名は、ディレクトリサーバーで割り当てられたユーザー属性の値と一致する必要があります。

「Identity Manager 組織の属性名」が定義されている場合は、「ユーザーの作成」または「ユーザーの編集」ページに、使用できる組織の複数選択リストが表示されます。デフォルトでは短い組織名が表示されます。組織の完全なパスが表示されるようにサービスプロバイダユーザーフォームを変更できます。

どの属性が組織名属性になるかを選択できます。組織名属性は、そのユーザーを検索および管理できる管理者を制約するためにサービスプロバイダユーザー管理ページで使用されます。

注 –

現在、サービスプロバイダアカウントおよびリソースアカウント用のアカウント ID ポリシーとパスワードポリシーがあります。

「サービスプロバイダシステムのアカウントポリシー」は、主要ポリシーテーブルから使用できます。

ユーザーとアカウントの作成

すべてのサービスプロバイダユーザーは、サービスプロバイダディレクトリ内にアカウントを持つ必要があります。ユーザーがほかのリソースのアカウントを持つ場合、それらのアカウントへのリンクがユーザーのディレクトリエントリに保存されるので、そのユーザーを表示するときに、それらのアカウントに関する情報を表示できます。

注 –

ユーザーを作成および編集するための サービスプロバイダユーザーフォームのサンプルが用意されています。このフォームを、実際のサービスプロバイダ環境でのユーザー管理の要件に合わせてカスタマイズしてください。詳細は、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

Procedureサービスプロバイダアカウントを作成する

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダユーザーの管理」タブをクリックします。

  3. 「ユーザーの作成」をクリックします。

    注 –

    デフォルトの サービスプロバイダユーザーフォームの使用時に表示される実際のフィールドは、サービスプロバイダディレクトリリソースのアカウント属性テーブル (スキーママップ) に設定された属性によって異なります。また、ユーザー (委任された管理者など) にリソースを割り当てた場合は、そのリソースの属性値を指定するための新しい領域が追加表示されます。フィールドをカスタマイズすることもできます。

  4. 必要に応じてこれらのリソースの属性値を指定します。

    次の属性値があります。

    • accountid (必須)

    • password

    • confirmation (パスワードの確認)

    • firstname (必須)

    • lastname (必須)

    • fullname

    • email

    • 「home phone」

    • 「cell phone」

    • 「password retry count」

    • 「account unlock time」

  5. 矢印キーを使用して、目的の「リソース」を「利用可能」リストから選択します。

  6. 「アカウントステータス」に、アカウントがロックされているかロック解除されているかが表示されます。アカウントをロックまたはロック解除する場合は、このオプションをクリックします。

    図 17–9 サービスプロバイダのユーザーとアカウントの作成

    「サービスプロバイダアカウントの作成」ページを示す図

    注 –

    このフォームでは、ディレクトリアカウント (最上位) で定義された属性に基づいて、リソースアカウント属性の値が自動的に設定されます。たとえば、リソースに firstName を定義した場合、ディレクトリアカウントの firstName の値が設定されます。ただし、この初期設定後、それらの属性の変更はリソースアカウントに伝達されません。必要に応じて、提供されているサンプルの サービスプロバイダユーザーフォームをカスタマイズします。

  7. 「保存」をクリックしてユーザーアカウントを作成します。

サービスプロバイダユーザーの検索

サービスプロバイダには、ユーザーアカウントの管理に役立つ設定可能な検索機能が含まれています。検索では、組織やその他の要素で定義された範囲内のユーザーのみが返されます。

サービスプロバイダユーザーの基本検索を実行するには、Identity Manager インタフェースの「アカウント」領域で、「サービスプロバイダユーザーの管理」をクリックし、検索値を入力して「検索」をクリックします。

次のトピックでは、サービスプロバイダの検索機能について説明します。

詳細検索

サービスプロバイダユーザーの詳細検索を実行するには、次の手順に従います。

Procedureサービスプロバイダユーザーの詳細検索を実行する

  1. サービスプロバイダユーザーの検索ページから・・・「詳細」をクリックします。

  2. 目的の「属性」をリストから選択します。

  3. 目的の「操作」をリストから選択します。

    検索で返されるユーザーをフィルタリングして、指定したすべての条件を満たすユーザーのみが返されるようにするための条件セットを指定しています。

  4. 目的の検索値を入力し、「検索」をクリックします。

    図 17–10 ユーザーの検索

    サービスプロバイダユーザーの検索方法を示す図

    属性条件を追加または削除するには、次のいずれかの操作を行います。

    • 「条件の追加」をクリックし、新しい属性を指定します。

    • 項目を選択して、「選択した条件の削除」をクリックします。

検索結果

サービスプロバイダの検索結果は、図 17–11 に示すようなテーブルに表示されます。属性の列ヘッダーをクリックすると、結果をその属性で並べ替えることができます。表示される結果は選択した属性によって異なります。

結果の最初のページ、前ページ、次ページ、および最終ページを表示するには、矢印ボタンを使用します。特定のページに移動するには、テキストボックスにページ番号を入力して Enter キーを押します。

ユーザーを編集するには、テーブル内のユーザー名をクリックします。

図 17–11 検索結果の例

検索結果の例を示す図

検索結果ページで、ユーザーの削除またはリソースアカウントのリンク解除を行うには、1 人以上のユーザーを選択して、「削除」ボタンをクリックします。この操作により、ユーザーの削除ページが表示され、さらにオプションが表示されます (「アカウントの削除、割り当て解除、またはリンク解除」を参照)。

アカウントのリンク

サービスプロバイダは、ユーザーが複数のリソースにアカウントを持つ環境にインストールする場合があります。サービスプロバイダのアカウントリンク機能により、既存のリソースアカウントを サービスプロバイダユーザーにインクリメント方式で割り当てることができます。アカウントリンクプロセスは、リンク相関規則、リンク確認規則、リンク検証オプションを定義する サービスプロバイダのリンクポリシーで管理します。

Procedureユーザーアカウントをリンクする

  1. 管理者インタフェースで、メニューバーの「リソース」をクリックします。

  2. 目的のリソースを選択します。

  3. 「リソースアクション」メニューから「サービスプロバイダリンクポリシーの編集」を選択します。

  4. リンク相関規則を選択します。この規則は、ユーザーが所有する可能性のあるリソースのアカウントを検索します。

  5. リンク確認規則を選択します。この規則は、リンク相関規則が選択したアカウントの候補からリソースアカウントを除外します。

    注 –

    リンク相関規則で 1 つだけのアカウントを選択する場合、リンク確認規則は必要ありません。

  6. 「リンク検証が必要」を選択して、ターゲットリソースアカウントを サービスプロバイダユーザーにリンクします。

アカウントの削除、割り当て解除、またはリンク解除

Procedureユーザーアカウントを削除、割り当て解除、またはリンク解除する

  1. メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダユーザーの管理」をクリックします。

  3. 基本検索または詳細検索を実行します。

  4. 目的のユーザーを選択します。

  5. 「削除」ボタンをクリックします。

  6. 省略可能なグローバルオプションのいずれかを選択します。

    次のオプションがあります。

    • すべてのリソースアカウントの削除

      注 –

      リソースを削除すると、アカウントが削除されますが、リソース割り当ては残ります。そのあとでユーザーを更新すると、アカウントが再作成されます。削除すると必ずリソースアカウントがリンク解除されます。

    • すべてのリソースアカウントの割り当て解除

      注 –

      リソースを割り当て解除すると、そのリソースの割り当てが削除されます。割り当て解除するとリソースアカウントがリンク解除されます。リソースを割り当て解除しても、リソースアカウントは削除されません。

    • すべてのリソースアカウントのリンク解除

      注 –

      リンク解除すると、ユーザーとリソースアカウントの間のリンクが削除されますが、アカウントは削除されません。どちらの場合もリソース割り当ては削除されないので、そのあとでユーザーを更新すると、アカウントに再リンクされるか新しいアカウントがリソースに作成されます。

  7. または、「削除」、「割り当て解除」、または「リンク解除」列で 1 つ以上のリソースアカウントのアクションを選択します。

  8. 目的のユーザーアカウントを選択し、「OK」をクリックします。

    図 17–12 アカウントの削除、割り当て解除、またはリンク解除

    アカウントの削除、割り当て解除、またはリンク解除に使用するオプションを示す図

検索オプションの設定

Procedureサービスプロバイダユーザーの検索オプションを設定する

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。

  2. 「サービスプロバイダ」をクリックします。

  3. 「オプション」をクリックします。

    注 –

    これらのオプションは、現在のログインセッションでのみ有効です。これらのオプションでは、検索結果の表示方法を設定します。 この設定は、基本検索と詳細検索の両方の結果に適用され、一部の設定は新しい検索でのみ有効になります。

  4. 「返される結果の最大数」を入力します。

  5. 「ページあたりの結果数」を入力します。

  6. 矢印キーを使用して、「利用可能な属性」から目的の「表示属性」を選択します。

    図 17–13 サービスプロバイダユーザーの検索オプションの設定

    サービスプロバイダユーザーの検索オプションの設定方法を示す図

エンドユーザーインタフェース

付属のサンプルエンドユーザーページは、xSP 環境での一般的な登録とセルフサービスの例を示しています。サンプルは拡張可能であり、カスタマイズ可能です。実際の配備用に、外観や使い勝手を変更したり、ページ間の移動方法を変更したり、ロケール固有のメッセージを表示したりできます。エンドユーザーページのカスタマイズ方法は、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

セルフサービスイベントや登録イベントの監査に加えて、影響を受けるユーザーに、電子メールテンプレートを使用して通知を送信することができます。アカウント ID ポリシーとパスワードポリシー、およびアカウントロックアウトの例も用意されています。アプリケーション開発者も Identity Manager フォームを利用できます。サーブレットフィルタとして実装されている認証サービスモジュールを、必要に応じて拡張したり置き換えたりできます。これにより、Sun Access Manager のようなアクセス管理システムとの統合が可能になります。

サンプルエンドユーザーページ

付属のサンプルエンドユーザーページを使用すると、ユーザーは、操作しやすい一連の画面で基本的なユーザー情報の登録と管理を行い、自分のアクションに関する電子メール通知を受け取ることができます。

サンプルページには次の機能が含まれています。

注 –

Identity Managerでは、登録に検証テーブルが使用されます。そのテーブル内のユーザーだけが登録を許可されます。たとえば、Betty Childs というユーザーを登録する場合、bchilds@example.com という電子メールアドレスを持つ Betty Childs のエントリが検証テーブル内で検索され、登録が受け入れられます。

サンプルページは、配備に合わせて簡単にカスタマイズできます。

配備に合わせて次のように簡単にカスタマイズできます。

ページのカスタマイズ方法は、『Sun Identity Manager Service Provider 8.1 Deployment 』を参照してください。

新しいユーザーの登録

新しいユーザーは登録を求められます。登録時に、ユーザーは自分のログイン、チャレンジ質問、および通知に関する情報を設定できます。

図 17–14 「登録」ページ

「登録」ページを示す図

ホーム画面とプロファイル画面

図 17–15 に、エンドユーザーのホームタブとプロファイルページを示します。ユーザーは、自分のログイン ID とパスワードの変更、通知の管理、およびチャレンジ質問の作成を行うことができます。

図 17–15 「自分のプロフィール」ページ

「パスワードの変更」画面を示す図。