第 3 章 ユーザーとアカウントの管理

この章では、Identity Manager 管理者インタフェースを使用したユーザーの作成と管理の説明および手順を示します。

この情報は、次の節で構成されています。

• 「インタフェースの「アカウント」領域」

• 「ユーザーの作成およびユーザーアカウントの操作」

• 「一括アカウントアクション」

• 「アカウントセキュリティーと特権の管理」

• 「ユーザーの自己検索」

• 「匿名登録」

インタフェースの「アカウント」領域

Identity Manager システムアカウントを保持する者をユーザーといいます。Identity Manager は、ユーザーごとの各種データを格納します。この情報は、ひとまとめにされて、ユーザーの Identity Manager アイデンティティーを形成します。

Identity Manager の「アカウント」タブにある「ユーザーリスト」ページで、Identity Manager ユーザーを管理できます。この領域にアクセスするには、管理者インタフェースメニューバーの「アカウント」をクリックします。

アカウントリストにはすべての Identity Manager ユーザーアカウントが表示されます。アカウントは組織と仮想組織にグループ化され、階層構造のフォルダで表示されます。

アカウントリストは、フルネーム (「名前」)、ユーザーの姓 (「姓」)、またはユーザーの名 (「名」) で並べ替えることができます。特定の列順に並べ替えるには、その列のヘッダーをクリックします。同じヘッダーをクリックすることで、昇順と降順の並べ替えを切り替えることができます。フルネーム (「名前」列) で並べ替えると、階層内のすべてのレベルのすべての項目がアルファベット順に並べ替えられます。

階層表示を展開して組織内のアカウントを表示するには、フォルダの隣にある三角形のマークをクリックします。表示を折りたたむには、インジケータをもう一度クリックします。

「アカウント」領域のアクションリスト

各種アクションを実行するときは、「「アカウント」領域のアクションリスト」に示すように、「アカウント」領域の上部と下部にあるアクションリストを使用します。

アクションリストの選択項目は、次のように分類されています。

• 「新規作成アクション」。ユーザー、組織、およびディレクトリジャンクションを作成します。

• 「ユーザーアクション」。ユーザーの状態の編集、表示、および変更、パスワードの変更およびリセット、ユーザーの削除、有効化、無効化、ロック解除、移動、更新、および名前変更、ユーザー監査レポートの実行を行います。

• 「組織アクション」。組織とユーザーの各種アクションを実行します。

  

「アカウントリスト」領域での検索

ユーザーと組織を検索するときは、「アカウント」領域の検索機能を使用します。リストから「組織」または「ユーザー」を選択し、そのユーザーまたは組織の名前を先頭から 1 文字以上検索領域に入力して、「検索」をクリックします。「アカウント」領域での検索については、「ユーザーアカウントの検索と表示」を参照してください。

ユーザーアカウントの状態

各ユーザーアカウントの隣に表示されるアイコンは、現在割り当てられているアカウントの状態を表します。表 3–1 で、各アイコンが表す内容について説明します。

Identity Manager がリストに表示された名前に一致する Identity Manager アカウントを見つけられなかった場合、「マネージャー」列にはマネージャーのユーザー名が括弧で囲んで表示されます。

ユーザーページ (作成/編集/表示)

この節では、管理者インタフェースで使用可能な「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページについて説明します。これらのページの使用方法については、この章のあとの部分で説明します。

このマニュアルでは、Identity Manager の「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページの出荷時のデフォルトセットについて説明します。ただし、ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてカスタムのユーザーフォームを作成してください。ユーザーフォームのカスタマイズについては、『Sun Identity Manager Deployment Reference』の第 2 章「Identity Manager Forms」を参照してください。

• 「「ID」タブ」

• 「「リソース」タブ」

• 「「ロール」タブ」

• 「「セキュリティー」タブ」

• 「「委任」タブ」

• 「「属性」タブ」

• 「「コンプライアンス」タブ」

Identity Manager のデフォルトユーザーページは、次のタブまたはセクションに分かれています。

• ID

• 割り当て

• セキュリティー

• 委任

• 属性

• コンプライアンス

「ID」タブ

「ID」領域では、ユーザーのアカウント ID、名前、連絡先情報、マネージャー、所属する組織、および Identity Manager アカウントパスワードを定義します。また、ユーザーがアクセスできるリソース、および各リソースアカウントに適用されているパスワードポリシーが示されます。

アカウントパスワードポリシーの設定の詳細については、この章の 「アカウントセキュリティーと特権の管理」の節を参照してください。

次の図は、「ユーザーの作成」ページの「ID」領域を示します。

図 3–1 「ユーザーの作成」 - 「ID」

「リソース」タブ

「リソース」領域では、リソースおよびリソースグループをユーザーに直接割り当てることができます。除外するリソースを割り当てることもできます。

直接割り当てられるリソースは、「ロールの割り当て」によってユーザーに間接的に割り当てられるリソースを補足します。ロールの割り当ては、ユーザーのクラスをプロファイルします。ロールは、間接的な割り当てによってリソースへのユーザーアクセスを定義します。

「ロール」タブ

「ロール」タブは、ユーザーに 1 つ以上のロールを割り当てたり、これらのロール割り当てを管理したりするのに使用します。

このタブについては、「ロールをユーザーに割り当てる」を参照してください。

「セキュリティー」タブ

Identity Manager の用語では、拡張機能を割り当てられたユーザーが Identity Manager の「管理者」です。「セキュリティー」タブを使って、ユーザーに管理者特権を割り当てます。

「セキュリティー」タブを使用した管理者の作成については、「管理者の作成と管理」を参照してください。

「セキュリティー」フォームは、次のセクションで構成されます。

• 「管理者ロール」。1 つ以上の管理者ロールをユーザーに割り当てます。ロールとは、機能および管理する組織の特定の組み合わせです。 このペアを使用することで、ユーザーに管理作業を組織的に割り当てることが容易になります。

• 「機能」。Identity Manager システムでの権限を有効にします。各 Identity Manager 管理者には、多くの場合は職務に応じて、1 つ以上の機能が割り当てられます。

  機能については、「機能とその管理について」で説明します。タスクベースの機能と定義のリストは、付録 D 機能の定義の付録 D 機能の定義に示されています。この付録では、各機能でアクセス可能なタブおよびサブタブも示します。

• 管理する組織。ユーザーが管理者として管理する権限を持つ組織を割り当てます。管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。

ユーザーに管理者機能を与えるには、少なくとも 1 つの管理者ロールまたは 1 つ以上の機能および 1 つ以上の管理する組織を割り当てる必要があります。Identity Manager 管理者については、「Identity Manager の管理について」を参照してください。

• 「ユーザーフォーム」。ユーザーの作成および編集時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザーフォームを継承します。

• 「ユーザー表示フォーム」。ユーザーの表示時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザー表示フォームを継承します。

• 「アカウントポリシー」。パスワードおよび認証の制限を設定します。

「委任」タブ

「ユーザーの作成」ページの「委任」タブを使用すると、作業項目をほかのユーザーに一定期間、委任できます。作業項目の委任については、「作業項目の委任」を参照してください。

「属性」タブ

「ユーザーの作成」ページの「属性」領域では、割り当てられたリソースに関連付けられるアカウント属性を定義します。リストされる属性は、割り当てられたリソースごとに分類され、割り当てられたリソースによって異なります。

「コンプライアンス」タブ

「コンプライアンス」タブでは、次のことができます。

• ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択できます。

• ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定します。組織を介して割り当てられたポリシーについては、ユーザーの現在の組織を編集するか、ユーザーを別の組織に移すことによってのみ変更できます。

• ユーザーアカウントに該当するデータがある場合は、次の図に示すように、ポリシーのスキャン、違反、および免除の現在の状態も示されます。選択されたユーザーで最後に実行された監査ポリシースキャンの日時の情報も含まれます。

  

監査ポリシーを割り当てるには、選択したポリシーを「利用可能な監査ポリシー」リストから「現在の監査ポリシー」リストへ移動します。

「ユーザーアクション」リストから「コンプライアンス違反ログの表示」を選択し、表示するエントリの範囲を指定することによって、あるユーザーに対し特定の期間に記録されたコンプライアンス違反を表示できます。

ユーザーの作成およびユーザーアカウントの操作

管理者インタフェースの「アカウント」タブにある「ユーザーリスト」ページでは、次のシステムオブジェクトに対する一連の操作を実行できます。

• 「管理者とユーザー」。表示、作成、編集、移動、名前変更、プロビジョン解除、有効化、無効化、更新、ロック解除、削除、割り当て解除、リンク解除、および監査。

  管理者アカウントの作成と編集については、「Identity Manager の管理について」を参照してください。

• 「組織」。組織のメンバーに対するユーザーアクションの作成、編集、更新、および実行。

  組織については、「Identity Manager の組織について」を参照してください。

• 「ディレクトリジャンクション」。階層的に関連する一連の組織を作成して、ディレクトリリソースの一連の実際の階層型コンテナをミラー化します。

  ディレクトリジャンクションについては、「ディレクトリジャンクションおよび仮想組織について」を参照してください。

プロセス図の有効化

プロセス図には、ユーザーアカウントでの作成時やほかの操作時に Identity Manager が従うワークフローが示されます。有効にすると、Identity Manager のタスク完了時に作成される結果ページまたはタスクの概要ページにプロセス図が表示されます。

Identity Manager バージョン 8.0 では、新規インストールとアップグレードインストールの両方でプロセス図が無効に設定されていました。

Identity Manager で使用するプロセス図を有効化する

1. 「Identity Manager 設定オブジェクトの編集」での手順に従って、編集するシステム設定オブジェクトを開きます。

2. 次の XML 要素を見つけます。

   <Attribute name=’disableProcessDiagrams’> <Boolean>true</Boolean> </Attribute>

3. 値 true を false に変更します。

4. 「保存」をクリックします。

5. 変更を有効にするために、サーバーを再起動します。

   プロセス図はエンドユーザーインタフェースでも有効にできますが、事前に上述の手順を実行して管理者インタフェースでプロセス図を有効にする必要があります。詳細は、「エンドユーザーインタフェースでプロセスダイアグラムを有効にする」を参照してください。

Identity Manager でユーザーを作成する

管理者インタフェースメニューバーの「アカウント」タブからユーザーを作成および管理できます。

1. 管理者インタフェースで、「アカウント」をクリックします。

2. 特定の組織内にユーザーを作成するには、組織を選択して、「新規作成アクション」リストから「新規ユーザー」を選択します。

   または、最上位の組織にユーザーアカウントを作成するには、「新規作成アクション」リストから「新規ユーザー」を選択します。

3. 次のタブまたはセクションに情報を入力します。

   • 「ID」。名前、組織、パスワード、およびその他の詳細。「「ID」タブ」を参照してください。

   • 「リソース」。 個別のリソースおよびリソースグループの割り当て、および除外するリソース。「「リソース」タブ」を参照してください。

   • 「ロール」。ロール割り当て。ロールの詳細は、「ロールとその管理について」を参照してください。「ロール」タブに情報を入力する手順については、「ロールをユーザーに割り当てる」を参照してください。

   • 「セキュリティー」。 管理者ロール、管理する組織および機能。および、ユーザー書式設定とアカウントポリシー。「「セキュリティー」タブ」を参照してください。

   • 「委任」。作業項目の委任。「「委任」タブ」を参照してください。

   • 「属性」。 割り当てられたリソースの特定の属性。「「属性」タブ」を参照してください。

   • 「コンプライアンス」。 ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択します。コンプライアンスを使用すると、ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定することもできます。コンプライアンスは、ポリシーのスキャン、違反、および免除の現在の状態を示します。また、ユーザーの前回の監査ポリシースキャンの情報が含まれます。「「属性」タブ」を参照してください。

     ある領域で利用可能な選択項目は、別の領域での選択内容により異なることに留意してください。

   ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてユーザーフォームをカスタマイズしてください。ユーザーフォームのカスタマイズについては、『Sun Identity Manager Deployment Reference』の「Customizing Forms」を参照してください。

4. 終了したら、アカウントを保存します。

   ユーザーアカウントの保存には、次の 2 つのオプションがあります。

   • 「Save」。 ユーザーアカウントを保存します。アカウントに多数のリソースを割り当てた場合は、このプロセスにしばらく時間がかかります。

   • 「バックグラウンドで保存」。このプロセスではユーザーアカウントをバックグラウンドタスクとして保存します。この場合は、Identity Manager での作業を引き続き実行できます。「アカウント」ページ、「ユーザーの検索結果」ページ、および「ホーム」ページに、進行中の各保存処理に関するタスクステータスインジケータが表示されます。

     ステータスインジケータでは、次の表で説明するように、保存プロセスの進捗を確認できます。

   ステータスインジケータ	状態
   	保存プロセスは進行中です。
   	保存プロセスは保留されています。ほとんどの場合、これは、プロセスが承認を待っていることを意味します。
   	プロセスは正常に完了しました。これは、ユーザーが正常に保存されたことを示すものではありません。 プロセスがエラーなしで完了したことを示すものです。
   	プロセスはまだ開始されていません。
   	プロセスは、1 つ以上のエラーが発生して完了しました。

   ステータスインジケータ内に表示されるユーザーアイコンの上にマウスを移動すると、バックグラウンドの保存プロセスについての詳細が表示されます。

   ---

   注 –

   サンライズが設定されている場合、ユーザーを作成すると、「承認」タブから表示できる作業項目が作成されます。この項目を承認すると、サンライズの日付が上書きされ、アカウントが作成されます。項目を拒否すると、アカウントの作成がキャンセルされます。サンライズの設定については、「「サンライズとサンセット」タブの設定」を参照してください。

   ---

1 人のユーザーに対する複数のリソースアカウントの作成

Identity Manager では、1 人のユーザーに複数のリソースアカウントを割り当てることができます。これには、各リソースに複数のリソースアカウントタイプまたはアカウントタイプを定義することを許可します。リソースアカウントタイプは、必要に応じ、リソースの実用上の各アカウントタイプに合わせて作成してください。たとえば、AIX SuperUser や AIX BusinessAdmin などです。

ユーザーに対してリソースごとに複数のアカウントを割り当てる理由

ある状況では、Identity Manager ユーザーはリソースに対して複数のアカウントを必要とすることがあります。ユーザーは、そのリソースに関連するいくつかの異なるジョブ機能を持つことができます。たとえば、ユーザーはそのリソースのユーザーと管理者の両方であることができます。機能ごとに別個のアカウントを使用することをお勧めします。これにより、あるアカウントが使用できなくなっても、ほかのアカウントで許可されているアクセスは引き続き保護されます。

アカウントタイプの設定

リソースで 1 人のユーザーに対する複数のアカウントをサポートするには、最初に Identity Manager でリソースのアカウントタイプを定義する必要があります。リソースに対してリソースアカウントタイプを定義するには、リソースウィザードを使用します。詳細は、「リソースリストの管理」を参照してください。

リソースアカウントタイプは、ユーザーに割り当てる前に有効化および設定する必要があります。

アカウントタイプの割り当て

アカウントタイプを定義すると、それらをリソースに割り当てることができます。Identity Manager は、アカウントタイプの各割り当てを別個のアカウントとして扱います。そのため、ロール内の各割り当ては、それぞれ異なる属性セットを保持します。

リソースごとに 1 つのアカウントを指定する場合と同様に、特定タイプでの割り当てすべてで、割り当ての数に関係なく、アカウントが 1 つだけ作成されます。

ユーザーを割り当てることができるリソース上の異なるアカウントタイプの数は任意ですが、各ユーザーにはリソース上の指定したタイプのアカウントを 1 つ割り当てることができます。ただし、組み込み型の「デフォルト」タイプは例外です。ユーザーは、リソース上のデフォルトタイプのアカウントを任意の数だけ持つことができます。ただし、フォームやビューでアカウントを参照する際に多義的になるため、この方法は推奨されていません。

ユーザーアカウントの検索と表示

Identity Manager の検索機能を使用して、ユーザーアカウントを検索できます。検索パラメータを入力および選択すると、Identity Manager では選択した条件を満たすすべてのアカウントが検索されます。

アカウントを検索するには、メニューバーから「アカウント」->「ユーザーの検索」を選択します。次の 1 つ以上の検索の種類を使用してアカウントを検索できます。

• アカウントの詳細 (ユーザー名、電子メールアドレス、姓、名など)。これらの選択肢は、機関固有の Identity Manager の実装によって異なります。

• ユーザーの管理者。ユーザー名が Identity Manager 内の既存のアカウントと一致しない場合、管理者のユーザー名が括弧内に表示されます。

• リソースアカウントの状態。次のオプションがあります。

  • 「無効」。ユーザーは、Identity Manager または割り当てられたリソースアカウントにアクセスできません。

  • 「一部無効」。ユーザーは、1 つ以上の割り当てられたリソースアカウントにアクセスできません。

  • 「有効」。ユーザーは割り当てられたリソースアカウントのすべてにアクセスできます。

• 「割り当てられたリソース」。 次のオプションがあります。

  • ロール (「特定のロールに割り当てられたユーザーを検索する」 を参照)

  • 所属している組織

  • 管理する組織

  • 機能

  • 管理者ロール

• 「ユーザーアカウントの状態」。 次のオプションがあります。

  • 「ロックされている」。パスワードまたは質問によるログイン試行の失敗回数が、許容される最大回数を超えたため、ユーザーアカウントがロックされています。

  • 「ロックされていない」。ユーザーアカウントアクセスが制限されていません。

• 更新の状態。次のオプションがあります。

  • 「なし」。 どのリソースでも更新されていないユーザーアカウント。

  • 「一部」。割り当てられたリソースの 1 つ以上 (ただし全部ではない) で更新されたユーザーアカウント。

  • 「すべて」。 割り当てられたすべてのリソースで更新されたユーザーアカウント。

検索結果リストには、検索に一致するすべてのアカウントが表示されます。

結果ページで次の操作ができます。

• 編集するユーザーアカウントの選択。アカウントを編集するには、検索結果リストでそのアカウントをクリックするか、またはリストでそのアカウントを選択して「編集」をクリックします。

• 複数のアカウントに対する操作 (有効化、無効化、ロック解除、削除、更新、またはパスワードの変更/リセットなど) の実行。操作を実行するには、検索結果リスト内でアカウントを 1 つ以上選択し、該当する操作をクリックします。

• ユーザーアカウントの作成。

  

ユーザーの編集

この節では、ユーザーアカウントの表示、編集、再割り当て、および名前の変更について説明します。

ユーザーアカウントを表示する

「ユーザーの表示」ページを使用し、次の手順に従ってアカウント情報を表示します。

1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

   「ユーザーリスト」ページが表示されます。

2. 表示するアカウントを持つユーザーの横にあるボックスを選択します。

3. 「ユーザーアクション」ドロップダウンメニューで、「表示」を選択します。

   「ユーザーの表示」ページに、ユーザーの ID、割り当て、セキュリティー、委任、属性、およびコンプライアンス情報のサブセットが表示されます。「ユーザーの表示」ページの情報は表示専用であり、編集はできません。

4. アカウントリストに戻るには、「キャンセル」をクリックします。

ユーザーアカウントを編集する

「ユーザーの編集」ページを使用し、次の手順に従ってアカウント情報を編集します。

1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

2. 編集対象のアカウントを持つユーザーの横にあるボックスを選択します。

3. 「ユーザーアクション」ドロップダウンメニューで、「編集」を選択します。

4. 変更を加え、それを保存します。

   「リソースアカウントの更新」ページが表示されます。このページには、ユーザーに割り当てられたリソースアカウントと、そのアカウントに適用される変更が表示されます。

5. 割り当てられたすべてのリソースに変更を適用する場合は、「すべてのリソースアカウントの更新」を選択します。あるいは、ユーザーに関連付けられた 1 つ以上のリソースアカウントを個別に選択して更新するか、どのアカウントも選択しないこともできます。

6. 編集を完了する場合は「保存」をもう一度クリックします。さらに変更を加える場合は「編集に戻る」をクリックします。

   図 3–2 ユーザーの編集 (リソースアカウントの更新)

   
   

別の組織へのユーザーの再割り当て

移動操作を使用すると、1 人以上のユーザーをある組織から削除したり、ユーザーを新しい組織に再割り当て、または移動したりできます。

ユーザーを移動する

1. 管理者インタフェースで、メニューの「アカウント」をクリックします。

   「ユーザーリスト」ページが表示されます。

2. 移動するユーザーの横にあるボックスを選択します。

3. 「ユーザーアクション」ドロップダウンメニューで、「移動」を選択します。

   「ユーザーの組織の変更」タスクページが開きます。

4. ユーザーを再割り当てする組織を選択して、「起動」をクリックします。

ユーザーの名前変更

通常、リソースのアカウント名の変更は複雑な操作です。このため、Identity Manager では、ユーザーの Identity Manager アカウントの名前を変更する機能、およびそのユーザーに関連付けられた 1 つ以上のリソースアカウントの名前を変更する機能を別個に用意しています。

名前の変更機能を使用するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「名前の変更」を選択します。

「ユーザーの名前変更」ページでは、ユーザーのアカウント名、関連付けられたリソースアカウント名、およびそのユーザーの Identity Manager アカウントに関連付けられたリソースアカウント属性を変更できます。

リソースタイプの一部では、アカウントの名前変更をサポートしません。

次の図に示すように、ユーザーには Active Directory リソースが割り当てられています。

名前の変更プロセスでは、次を変更できます。

• Identity Manager ユーザーアカウント名

• Active Directory リソースアカウント名

• Active Directory リソース属性 (フルネーム)

  

アカウントに関連付けられたリソースの更新

更新操作では、ユーザーアカウントに関連付けられたリソースが Identity Manager で更新されます。「アカウント」領域から更新を実行した場合は、以前にユーザーに対して行われた保留中の変更が、選択されたリソースに送信されます。

次の場合にこの状況が発生する可能性があります。

• 更新の実行時にリソースが利用不可能だった場合

• ロールまたはリソースグループに対して変更が行われたが、それに関連付けられたすべてのユーザーにその変更を送信する必要がある場合。この場合は、「ユーザーの検索」ページを使用してユーザーを検索し、更新操作の実行対象とする 1 人以上のユーザーを選択する必要があります。

ユーザーアカウントの更新時には、次のオプションを選択できます。

• 割り当てられたリソースアカウントが更新された情報を受け取るかどうか

• すべてのリソースアカウントを更新するか、リストから個別のアカウントを選択するか

1 つのユーザーアカウントでのリソース更新

1 つのユーザーアカウントを更新するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

「リソースアカウントの更新」ページで、更新するリソースを 1 つ以上選択するか、または割り当てられたリソースアカウントをすべて更新する場合は「すべてのリソースアカウントの更新」を選択します。選択し終えたら、「OK」をクリックして、更新プロセスを開始します。または、「バックグラウンドで保存」をクリックして、操作をバックグラウンドプロセスとして実行します。

確認ページで各リソースに送信されるデータを確認します。

図 3–3 に「リソースアカウントの更新」ページを示します。

図 3–3 リソースアカウントの更新

複数のユーザーアカウントでのリソースの更新

複数の Identity Manager ユーザーアカウントを同時に更新できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

複数のユーザーアカウントを更新する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが更新されます。

Identity Manager ユーザーアカウントの削除

Identity Manager では、Identity Manager ユーザーアカウントの削除方法は、リモートアカウントの削除方法と同じです。リソースアカウントを削除する際の手順に従いますが、削除するリモートリソースアカウントを選択する代わりに、Identity Manager アカウントを選択します。

ユーザーが未処理の作業項目を保持しているか、別のユーザーに未処理の作業項目を委任している場合、そのユーザーの Identity Manager アカウントを削除することはできません。ユーザーの Identity Manager アカウントを削除する前に、委任された作業項目を解決するか、別のユーザーに転送する必要があります。

詳細は、「1 つのユーザーアカウントからのリソース削除」および 「複数のユーザーアカウントからのリソースの削除」を参照してください。

ユーザーアカウントからのリソースの削除

Identity Manager には、リソースから Identity Manager ユーザーアカウントアクセスを削除する複数の方法が用意されています。

• 「削除」。選択されたリソースごとに、Identity Manager はリモートリソースのユーザーアカウントを削除します。Identity Manager からユーザーを削除するには、Identity Manager をリソースとして選択してください。

  • 削除されたリソースアカウントは、Identity Manager ユーザーから自動的に「リンク解除」されます。

  • 削除されたリソースアカウントは、ユーザーから「割り当て解除」されません。また、「割り当て解除」操作を選択しない限り、リソースはユーザーに割り当てられたままになります。

• 「割り当て解除」。 選択されたリソースごとに、Identity Manager はユーザーの割り当てられたリソースリストからリソースを削除します。

  • 割り当てが解除されたリソースアカウントは、Identity Manager ユーザーから自動的に「リンク解除」されます。

  • リモートリソース上のユーザーアカウントは、削除されません。また、「削除」操作を選択しない限り、アカウントはそのままになります。

• 「リンク解除」。 選択されたリソースごとに、ユーザーのリソースアカウント情報は Identity Manager. から削除されます。

  • 「削除」操作を選択しない限り、リモートリソース上のユーザーのアカウントはそのままになります。

  • 「割り当て解除」操作を選択しない限り、リソースはユーザーの割り当て済みリソースのリストに残ります。

  • ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントをリンク解除する場合は、ユーザーを更新するとリンクが回復されることがあります。

「プロビジョン解除」は、「ユーザーリスト」ページメニューにユーザーアクションとして表示されますが、Identity Manager に実際に存在する削除操作は、「削除」、「割り当て解除」、「リンク解除」の 3 つだけです。

リモートリソースのプロビジョンを解除するには、リソース上で「削除」および「割り当て解除」操作を実行します。

1 つのユーザーアカウントからのリソース削除

1 人の Identity Manager ユーザーに対して削除操作を実行するには、次の手順に従います。一度に 1 つのユーザーアカウントを操作することで、個別のリソースアカウントに対して異なる削除、割り当て解除、またはリンク解除あるいはその組み合わせを指定できます。

1 つのユーザーアカウントに対する削除、割り当て解除、またはリンク解除操作を開始する

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

   「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

3. リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

   「リソースアカウントの削除」ページが表示されます (図 3–4)。

4. フォームに必要な情報を指定します。「削除」、「割り当て解除」、および「リンク解除」操作については、「ユーザーアカウントからのリソースの削除」を参照してください。

5. 「OK」をクリックします。

   図 3–4 に「リソースアカウントの削除」ページを示します。スクリーンショットでは、ユーザー jrenfro はリモートリソース (Simulated Resource) 上にアクティブなアカウントを 1 つ保持しています。「削除」操作を選択すると、フォームの送信時にリソース上の jrenfro のアカウントが削除されます。削除されたアカウントは自動的にリンク解除されるため、このリソースのアカウント情報は Identity Manager から削除されます。「割り当て解除」操作は選択されていないため、Simulated Resource は jrenfro に割り当てられたままです。

   jrenfro の Identity Manager アカウントを削除するには、Identity Manager に対して「削除」操作を選択してください。

   図 3–4 「リソースアカウントの削除」ページ

   
   

複数のユーザーアカウントからのリソースの削除

一度に複数の Identity Manager ユーザーアカウントに対して削除操作を実行できます。ただし、選択した削除操作を実行できるのは、ユーザーの「すべての」リソースアカウントに対してのみです。

削除操作は、Identity Manager の一括アカウントアクション機能を使って実行することもできます。「Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド」を参照してください。

複数のユーザーに対して削除、割り当て解除、リンク解除操作を開始する

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

   「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

2. 1 人以上のユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

3. リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

   Identity Manager に、「削除、割り当て解除、またはリンク解除の確認」ページが表示されます (図 3–5)。

4. 実行するアクションを指定します。

   次のオプションがあります。

   • 「ユーザーのみを削除」。ユーザーの Identity Manager アカウントを削除します。このオプションでは、ユーザーのリソースアカウントの削除や割り当て解除は実行されません。

   • 「ユーザーとリソースアカウントを削除」。ユーザーの Identity Manager アカウントおよびユーザーのすべてのリソースアカウントを削除します。

   • 「リソースアカウントのみ削除」。ユーザーのリソースアカウントをすべてを削除します。このオプションは、リソースアカウントの割り当て解除は行わず、ユーザーの Identity Manager アカウントの削除も行いません。

   • 「リソースアカウントを削除し、ユーザーに直接割り当てたリソースの割り当てを解除」。ユーザーのリソースアカウントをすべて削除および割り当て解除しますが、ユーザーの Identity Manager アカウントは削除しません。

   • 「ユーザーに直接割り当てたリソースアカウントの割り当てを解除」。直接割り当てられたリソースアカウントを割り当て解除します。このオプションは、リモートリソースのユーザーアカウントは削除しません。ロールまたはリソースグループによって割り当てられたリソースアカウントは、影響を受けません。

   • 「ユーザーからリソースアカウントのリンクを解除」。ユーザーのリソースアカウント情報は Identity Manager. から削除されます。リモートリソースのユーザーのアカウントは削除されず、割り当て解除されません。ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントは、ユーザーを更新するとリンクが回復されることがあります。

5. 「OK」をクリックします。

   図 3–5 に、「削除、割り当て解除、またはリンク解除の確認」ページを示します。ページの上部に、複数のユーザーに実行可能な 6 つの操作が表示されます。このページの下部には、選択されたアクションの影響を受けるユーザーが表示されます。

   図 3–5 「削除、割り当て解除、またはリンク解除の確認」ページ

   
   

ユーザーパスワードの変更

すべての Identity Manager ユーザーにパスワードが割り当てられています。Identity Manager ユーザーパスワードが設定されると、そのパスワードを使用してユーザーのリソースアカウントパスワードが同期されます。1 つ以上のリソースアカウントパスワードを同期させることができない場合 (たとえば、必須パスワードポリシーに従う場合) は、個別に設定できます。

アカウントパスワードポリシーおよびユーザー認証の一般情報については、「アカウントセキュリティーと特権の管理」を参照してください。

「ユーザーリスト」ページからのパスワードの変更

「ユーザーリスト」ページ (「アカウント」->「アカウントのリスト」) から「パスワードの変更」ユーザーアクションを使用して、「ユーザーリスト」ページからユーザーアカウントパスワードを変更することができます。これには、次の手順を実行します。

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

   「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

3. パスワードを変更するには、「パスワードの変更」を選択します。

   「ユーザーパスワードの変更」ページが開きます。

4. 新規パスワードを入力して、「パスワードの変更」ボタンをクリックします。

メインメニューからパスワードを変更する

メインメニューからユーザーアカウントパスワードを変更するには、次の手順に従います。

1. 管理者インタフェースで、メインメニューの「パスワード」をクリックします。

   「ユーザーパスワードの変更」ページがデフォルトで表示されます。

   図 3–6 ユーザーパスワードの変更

   
   

2. 検索用語 (アカウント名、電子メールアドレス、名、姓など) を選択してから、検索タイプ (「が次の文字列で始まる」、「が次の文字列を含む」、または「が次の文字列と等しい」) を選択します。

3. 入力フィールドに検索用語の 1 文字以上を入力し、「検索」をクリックします。Identity Manager は、入力された文字が ID に含まれるすべてのユーザーのリストを返します。クリックしてユーザーを選択し、「ユーザーパスワードの変更」ページに戻ります。

4. 新しいパスワード情報を入力して確認したら、「パスワードの変更」をクリックして一覧表示されたリソースアカウントでユーザーパスワードを変更します。Identity Manager は、パスワードを変更するために実行する操作のシーケンスを示すワークフロー図を表示します。

ユーザーパスワードのリセット

Identity Manager ユーザーアカウントパスワードのリセットプロセスは、変更プロセスに類似しています。リセットプロセスがパスワードの変更と異なるのは、新しいパスワードを指定しない点です。代わりに、Identity Manager が、選択した項目とパスワードポリシーに応じて、ユーザーアカウント、リソースアカウント、またはその組み合わせの新しいパスワードをランダムに生成します。

直接の割り当てまたはユーザーの組織を通じた割り当てによって、ユーザーに割り当てられたポリシーは、次のようなリセットオプションを制御します。

• リセットが無効化されるまでにパスワードがリセットされる頻度

• 新しいパスワードを表示または送信する対象

  ロールに対して選択した「リセット通知オプション」に応じて、Identity Manager は新しいパスワードを電子メールでユーザーに送信するか、リセットをリクエストした Identity Manager 管理者に結果ページで表示します。

「ユーザーリスト」ページからのパスワードのリセット

「パスワードのリセット」ユーザーアクションは、「ユーザーリスト」ページ (「アカウント」>「アカウントのリスト」) で実行できます。

「ユーザーリスト」ページからパスワードをリセットするには、次の手順に従います。

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

2. ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。

3. パスワードをリセットするには、「パスワードのリセット」を選択します。

   「ユーザーパスワードのリセット」ページが表示されます。

4. 「パスワードのリセット」ボタンをクリックします。

Identity Manager アカウントポリシーを使用してパスワードを期限切れにする

ユーザーパスワードをリセットすると、そのパスワードはデフォルトでただちに期限切れになります。その結果、パスワードのリセット後に初めてログインするとき、ユーザーは新しいパスワードを選択してアクセスする必要があります。このデフォルトは「Edit the Reset User Password」フォームを使用して上書きできるため、ユーザーのパスワードは、そのユーザーに関連付けられた Identity Manager アカウントポリシーで設定された期限切れパスワードポリシーに従って期限切れになります。

デフォルトのパスワード変更要件を上書きするには、次の手順に従います。

1. 「Reset User Password 」フォームを編集し、次の値を false に設定します。

   resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

2. Identity Manager アカウントポリシーの「リセット」オプションを使用して、パスワードが期限切れになるときを指定します。

   次の設定があります。

   • 「半永久」。Identity Manager は、passwordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付を計算し、その日付をユーザーに設定します。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。

   • 「一時」。Identity Manager は、tempPasswordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付を計算し、その日付をユーザーに設定します。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。tempPasswordExpiry の値が 0 に設定されている場合、パスワードはただちに期限切れになります。

     tempPasswordExpiry 属性が適用されるのは、パスワードがリセットされる (ランダムに変更される) ときだけです。これは、パスワードの変更には適用されません。

ユーザーアカウントの無効化、有効化、およびロック解除

この節では、Identity Manager ユーザーアカウントを無効化および有効化する方法について説明します。また、Identity Manager アカウントがロックアウトされてしまったユーザーをサポートする方法についても説明します。

ユーザーアカウントを無効化する

ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。

管理者は管理者インタフェースからユーザーアカウントを無効化できますが、ユーザーアカウントをロックすることはできません。アカウントがロックされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合だけです。

割り当てられたリソースがアカウントの無効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、ランダムに生成される新規パスワードを割り当てることにより、そのリソース上のユーザーアカウントを無効にするよう、Identity Manager を設定できます。

この機能が正しく動作することを確認するには、次の手順に従います。

1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「無効化」機能の両方の「無効化」列にチェックマークが付いていないことを確認します。「無効化」機能を表示するには、「すべての機能を表示」を選択してください。

   「無効化」列にチェックマークが付いていない場合、リソースのアカウントを無効にすることはできません。

1 つのユーザーアカウントの無効化

ユーザーアカウントを無効にするには、「ユーザーリスト」でユーザーアカウントを選択して、「ユーザーアクション」ドロップダウンメニューの「無効化」を選択します。

表示された「無効化」ページで、無効にするリソースアカウントを選択し、「OK」をクリックします。Identity Manager は、Identity Manager ユーザーアカウントおよび関連付けられたすべてのリソースアカウントを無効にした結果を表示します。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。

複数のユーザーアカウントの無効化

複数の Identity Manager ユーザーアカウントを同時に無効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。

複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。

パスワードをリセットすることによってリソース上のユーザーアカウントを有効化する

ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。

選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。

ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。 または、管理特権を持つユーザーがこのパスワードをリセットできます。

割り当てられたリソースがアカウントの有効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、Identity Manager でパスワードをリセットすることにより、そのリソース上のユーザーアカウントを有効にできます。

この機能が正しく動作することを確認するには、次の手順に従います。

1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「有効化」機能の両方の「無効化」列でリソースの選択を解除します。「有効化」機能を表示するには、「すべての機能を表示」を選択します。

   「有効化」列にチェックマークが付いていない場合、リソースのアカウントを有効にすることはできません。

1 つのユーザーアカウントの有効化

1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

表示された「有効化」ページで、有効にするリソースを選択し、「OK」をクリックします。Identity Manager は、Identity Manager アカウントおよび関連付けられたすべてのリソースアカウントを有効にした結果を表示します。

複数のユーザーアカウントの有効化

複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。

ユーザーアカウントのロック解除

ユーザーが Identity Manager へのログインに失敗した場合、そのユーザーはロックアウトされます。ロックアウトされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合です。

Identity Manager のロックアウトに数えられるのは、Identity Manager ユーザーインタフェースに対するログイン試行だけです (つまり、管理者インタフェース、エンドユーザーインタフェース、コマンド行インタフェース、SPML API インタフェースのいずれか)。リソースアカウントへのログイン試行の失敗はカウントされず、Identity Manager アカウントのロックアウトの原因にはなりません。

パスワードまたは質問によるログイン試行の最大失敗回数は、Identity Manager アカウントポリシーにより設定されます。

• パスワードによるログイン試行の最大失敗回数を超えたユーザーは、秘密の質問によるログインインタフェースを含む Identity Manager アプリケーションインタフェースすべてでロックアウトされます。

• 質問によるログイン試行の最大失敗回数を超過したユーザーは、秘密の質問によるログインを除く任意の Identity Manager アプリケーションインタフェースへの認証を実行できます。

パスワードによるログイン試行の失敗

パスワードによるログイン試行の失敗回数の超過のために Identity Manager からロックアウトされたユーザーは、管理者がアカウントをロック解除するか、ロックが期限切れになるまでログインできません。

• 管理者は、ユーザーのメンバー組織、および Unlock User 機能を管理している場合にアカウントをロック解除できます。

• Lock Timeout が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。パスワードによるログイン試行失敗の Lock Timeout は、「パスワードログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

質問によるログイン試行の失敗

質問によるログイン試行の失敗回数を超過したために秘密の質問によるログインインタフェースでロックアウトされるユーザーは、管理者がアカウントのロックを解除するか、ロックされたユーザー (または適切な機能を持つユーザー) がユーザーのパスワードを変更またはリセットするか、ロックの期限が切れるまで、このインタフェースにログインできなくなります。

• 管理者は、ユーザーのメンバー組織、および Lock Timeout 機能を管理している場合にアカウントをロック解除できます。

• Lock Timeout が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。質問によるログイン試行の失敗の Lock Timeout は、「質問ログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。

• 更新 (リソースの再プロビジョンを含む)

• パスワードの変更またはリセット

• 無効化または有効化

• 名前の変更

• ロック解除

アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。

一括アカウントアクション

Identity Manager アカウントに対していくつかの一括アクションを実行できます。これにより、複数のアカウントを同時に操作することができます。

次の一括アクションを開始できます。

• 「削除」。選択したリソースアカウントを削除して、割り当てとリンクも解除します。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを削除することもできます。

• 「Delete と Unlink」。選択したリソースアカウントをすべて削除して、そのアカウントとユーザーとのリンクを解除します。

• 「Disable」。 選択したリソースアカウントをすべて無効にします。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを無効にすることもできます。

• 「Enable」。選択したリソースアカウントをすべて有効にします。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを有効にすることもできます。

• 「Unassign、Unlink」。選択したリソースアカウントをすべてリンク解除し、Identity Manager ユーザーアカウントのそれらのリソースに対する割り当てを削除します。リンク解除によってリソースからアカウントが削除されるわけではありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントを割り当て解除することはできません。

• 「Unlink」。 リソースアカウントと Identity Manager ユーザーアカウントとの関連付け (リンク) を削除します。リンク解除によってリソースからアカウントが削除されるわけではありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントをリンク解除した場合は、ユーザーを更新するとリンクが回復されることがあります。

一括アクションは、ファイルまたは電子メールクライアントやスプレッドシートプログラムなどのアプリケーションにユーザーのリストを保存している場合にもっとも役立ちます。ユーザーのリストをこのインタフェースページのフィールドにコピーして貼り付けることも、ファイルからユーザーのリストを読み込むこともできます。

これらのアクションの多くを、ユーザーの検索結果に対して実行できます。ユーザーの検索には、「ユーザーの検索」ページ (「アカウント」->「ユーザーの検索」) を使用します。

タスクの終了時にタスク結果が表示されたときに「CSV のダウンロード」をクリックすることにより、一括アカウントアクションの結果を CSV ファイルに保存できます。

一括アカウントアクションの起動

一括アカウントアクションを起動する

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

2. 二次的なメニューで、「一括アクションの起動」をクリックします。

3. フォームに必要な情報を指定して、「起動」をクリックします。

   Identity Manager はバックグラウンドタスクを起動して一括アクションを実行します。

   一括アクションタスクの状態を監視するには、メインメニューの「サーバータスク」をクリックして、「すべてのタスク」をクリックします。

アクションリストの使用

一括アクションのリストをコンマ区切り値 (comma-separated value; CSV) 形式で指定できます。これにより、各種アクションを 1 つのアクションリストに混在させることができます。また、複雑な作成および更新のアクションも指定できます。

CSV 形式は、2 行以上の入力行で構成されます。各行は、コンマで区切った値のリストで構成されます。1 行目にはフィールド名を指定します。残りの各行は、Identity Manager ユーザー、ユーザーのリソースアカウント、またはその両方に対して実行される処理に対応します。各行に同じ数の値を指定する必要があります。空の値を指定すると、対応するフィールドの値は変更されないまま残ります。

どの一括アクション CSV にも必須のフィールドが 2 つあります。

• 「ユーザー」。Identity Manager ユーザーの名前が含まれます。

• 「コマンド」。Identity Manager ユーザーに対して実行する操作が含まれます。有効なコマンドは次のとおりです。

  • 「Delete」。 リソースアカウントまたは Identity Manager アカウント、あるいはその両方を削除して割り当てとリンクを解除します。

  • 「DeleteAndUnlink」。 リソースアカウントを削除してリンク解除します。

  • 「Disable」。リソースアカウントまたは Identity Manager アカウント、あるいはその両方を無効にします。

  • 「Enable」。 リソースアカウントまたは Identity Manager アカウント、あるいはその両方を有効にします。

  • 「Unassign」。 リソースアカウントを割り当て解除してリンク解除します。

  • 「Unlink」。 リソースアカウントをリンク解除します。

  • 「Create」。 Identity Manager アカウントを作成します。オプションで、リソースアカウントを作成します。

  • 「Update」。Identity Manager アカウントを更新します。オプションで、リソースアカウントを作成、更新、または削除します。

  • 「CreateOrUpdate」。Identity Manager アカウントが存在しない場合は作成アクションを実行します。存在する場合は更新アクションを実行します。

Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド

Delete、DeleteAndUnlink、Disable、Enable、Unassign、または Unlink 操作を実行する場合、ほかに指定する必要のあるフィールドは resources のみです。resources フィールドは、どのリソースのどのアカウントに影響を与えるかを指定するために使用します。

resources フィールドには、次の値を指定できます。

• 「all」。 Identity Manager アカウントを含むすべてのリソースアカウントを処理します。

• 「resonly」。Identity Manager アカウントを除くすべてのリソースアカウントを処理します。

• resource_name [ | resource_name ... ]. 指定されたリソースアカウントを処理します。Identity Manager アカウントを処理するように Identity Manager を指定します。

これらのアクションのいくつかを CSV 形式にした例を次に示します。

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Create、Update、および CreateOrUpdate コマンド

Create、Update、または CreateOrUpdate コマンドを実行する場合は、user フィールドと command フィールドのほかに、ユーザー画面のフィールドを指定できます。使用されるフィールド名は、画面内の属性のパス表現です。ユーザー画面で使用可能な属性については、『Sun Identity Manager Deployment Reference』の「User View Attributes」を参照してください。カスタマイズしたユーザーフォームを使用している場合は、フォームのフィールド名に、使用可能なパス表現がいくつか含まれています。

一括アクションで使用する一般的なパス表現のいくつかを次に示します。

• 「waveset.roles」。 Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト。

• 「waveset.resources」。 Identity Manager アカウントに割り当てる 1 つ以上のリソース名のリスト。

• 「waveset.applications」。 Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト。

• 「waveset.organization」。 Identity Manager アカウントを配置する組織名。

• accounts[ resource_name].attribute_name. リソースアカウント属性。属性名はリソースのスキーマにリストします。

作成および更新アクションを、CSV 形式にした例を次に示します。

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

CreateOrUpdate コマンドを使用すると、複数のアカウントタイプをサポートするリソースで特定のアカウントタイプを指定できます。したがって、ユーザーが特定のリソースに複数のアカウントを持ち、各アカウントのアカウントタイプが異なる場合は、次の例に示す方法で userAye ユーザーの admin アカウントタイプを更新します。

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

CreateOrUpdate コマンドを使用すると、ユーザーのアカウントのアカウント固有の属性を設定できますが、ユーザー画面のグローバルセクションの次の値が指定した「すべての」アカウントに適用されることに注意してください。

• accountId

• email

• password

• disable

• すべての拡張属性

結果として、次の形式の BulkOps コマンドが期待したように動作しない場合があります。

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

userAye がすでに email の値を持つ場合、その値は Sim1 リソースの電子メール属性に適用されます。この動作を回避する方法はありません。

複数の値を持つフィールド

一部のフィールドには複数の値を指定できます。これらは複数値フィールドと呼ばれます。たとえば、waveset.resources フィールドでは、ユーザーに複数のリソースを割り当てることができます。1 つのフィールド内の複数の値を区切るには、縦棒 (|) 文字 (「パイプ」文字とも呼ばれる) を使用します。複数値の構文は、次のように指定できます。

value0 | value1 [ | value2 ... ]

既存のユーザーの複数値フィールドを更新する場合、現在のフィールドの値を 1 つ以上の新しい値で置き換えても、希望するとおりに指定できないことがあります。値を一部削除したり、現在の値に追加したい場合もあります。フィールド指示を使用すれば、既存のフィールドの値をどのように処理するかを指定できます。フィールド指示は、次のように、フィールド値の前に縦棒で囲んで指定します。

|directive [ ; directive ] | field values

選択できる指示は次のとおりです。

• Replace。現在の値を指定した値で置き換えます。指示を指定しない場合 (または、List 指示のみを指定した場合) は、これがデフォルトになります。

• Merge。指定した値を現在の値に追加します。重複する値はフィルタされます。

• Remove。指定した値を現在の値から削除します。

• 「List」。 フィールドの値が 1 つしかない場合でも、複数の値があるかのように強制的に処理します。ほとんどのフィールドは値の数に関係なく適切に処理されるため、通常、この指示は必要ありません。別の指示と共に指定できるのはこの指示だけです。

フィールド値は大文字と小文字を区別します。Merge および Remove の指示を指定する場合はこれが重要です。値を正しく削除したり、マージで複数の類似した値ができないようにするには、値が正確に一致する必要があります。

フィールド値の特殊文字

フィールド値にコンマ (,) または二重引用符 (") 文字を指定する場合、あるいは先行または後続するスペースを維持する場合は、フィールド値を二重引用符で囲む必要があります ("フィールド値")。さらに、フィールド値の二重引用符は 2 つの二重引用符 (") 文字で置き換える必要があります。たとえば、"John ""Johnny"" Smith" は、フィールド値で John "Johnny" Smith という結果になります。

縦棒 (|) またはバックスラッシュ (\) 文字をフィールド値に含める場合は、その前にバックスラッシュを指定する必要があります (\| または \\)。

一括アクションの表示属性

Create、Update、または CreateOrUpdate アクションを実行する場合は、ユーザー画面に、一括アクション処理でしか使用しない、または使用できない追加の属性があります。これらの属性はユーザーフォームで参照可能であり、一括アクションに固有の動作を可能にします。

属性は次のとおりです。

• waveset.bulk.fields.field_name 属性には、CSV の入力から読み込まれたフィールドの値が含まれています。field_name はフィールドの名前です。たとえば、command フィールドと user フィールドはそれぞれ、パス表現 waveset.bulk.fields.command および waveset.bulk.fields.user の属性の中にあります。

• waveset.bulk.fieldDirectives.field_name 属性は、指示を指定したフィールドに対してのみ定義されます。値は指示文字列です。

• 現在のアクションを中止するには、waveset.bulk.abort ブール型属性を true に設定します。

• waveset.bulk.abort が true に設定されているときに表示するメッセージ文字列に waveset.bulk.abort 属性を設定します。この属性を設定しない場合は、汎用的なアボートメッセージが表示されます。

相関規則と確認規則

使用するアクションの user フィールドに指定できる Identity Manager ユーザー名がない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括アクションを開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。

相関規則は、アクションフィールドに一致する Identity Manager ユーザーを検索します。確認規則は、アクションフィールドに対して Identity Manager ユーザーを検査し、ユーザーが一致するかどうかを決定します。この 2 段階の方法によって、Identity Manager は、候補のユーザーを名前または属性に基づいて迅速に見つけ出しコストのかかる検査を可能性のあるユーザーに対してのみ行うことで、相関関係を最適化できます。

相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。

相関規則と確認規則については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

相関規則

相関規則の入力は、アクションフィールドのマップです。出力は、次のいずれかでなければなりません。

• 文字列 (ユーザー名または ID を含む)

• 文字列要素のリスト (各要素にユーザー名または ID が含まれる)

• WSAttribute 要素のリスト

• AttributeCondition 要素のリスト

一般的な相関規則は、アクションのフィールドの値に基づいて、ユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。

相関規則では、コストを抑えることを前提に、できるだけ選択肢を絞り込むようにします。可能であれば、コストのかかる処理は確認規則に回すことをお勧めします。

属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、IDM Schema Configuration という名前の Identity Manager 設定オブジェクト内で設定されます。

拡張属性で相関関係を実現するには、特殊な設定が必要です。

拡張属性は、クエリー可能として指定する必要があります。

拡張属性をクエリー可能として設定する

1. IDM Schema Configuration を開きます。IDM Schema Configuration を表示または編集するには、IDM Schema Configuration 機能を保持している必要があります。

2. <IDMObjectClassConfiguration name=’User’> 要素を見つけます。

3. <IDMObjectClassAttributeConfiguration name=’ xyz ’> 要素を見つけます。xyz はクエリー可能に設定する属性の名前です。

4. queryable=’true’ を設定します。

   「相関規則」 では、email 拡張属性がクエリー可能として定義されています。

例 3–1 email 拡張属性をクエリー可能として定義する XML (抜粋)

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

IDM Schema Configuration の変更を有効にするには、Identity Manager アプリケーション (またはアプリケーションサーバー) を再起動する必要があります。

確認規則

確認規則の入力は次のとおりです。

• Identity Manager ユーザーの完全表示には、userview を使用します。

• アクションフィールドのマップには、account を使用します。

確認規則は、ユーザーがアクションフィールドに一致する場合、文字列形式のブール値で true を返します。 一致しない場合は false を返します。

一般的な確認規則は、ユーザー画面の内部値と、アクションフィールドの値とを比較します。相関処理のオプションの 第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。

一般に、次のような場合にのみ確認規則が必要です。

• 相関規則が複数の一致するユーザーを返す

• 比較する必要があるユーザー値がクエリー可能ではない

確認規則は、相関規則によって返された一致ユーザー 1 人について 1 回実行されます。

アカウントセキュリティーと特権の管理

ここでは、セキュリティー保護されたアクセスをユーザーアカウントに与え、Identity Manager でユーザー特権を管理するために実行できる操作について説明します。

• 「パスワードポリシーの設定」

• 「ユーザー認証」

• 「管理特権の割り当て」

パスワードポリシーの設定

リソースパスワードポリシーは、パスワードの制限を設定します。強力なパスワードポリシーは、セキュリティーを高め、承認されていないログイン試行からリソースを保護する上で役立ちます。パスワードポリシーを編集して、一連の特性に対する値を設定または選択することができます。

パスワードポリシーの操作を開始するには、メインメニューの「セキュリティー」をクリックし、「ポリシー」をクリックします。

パスワードポリシーを編集するには、「ポリシー」リストで目的のポリシーをクリックします。パスワードポリシーを作成するには、オプションの「新規」リストから「文字列の品質ポリシー」を選択します。

ポリシーについては、「Identity Manager ポリシーの設定」を参照してください。

ポリシーの作成

パスワードポリシーは、文字列の品質ポリシーのデフォルトのタイプです。新しいポリシーの名前と任意で説明を指定したあとで、ポリシーを定義する規則のオプションとパラメータを選択します。

長さ規則

長さ規則は、パスワードの最小および最大必要文字数を設定します。このオプションを選択して規則を有効にし、規則の制限値を入力します。

ポリシータイプ

いずれかのポリシータイプボタンを選択します。「その他」オプションを選択した場合は、所定のテキストフィールドにタイプを入力する必要があります。

文字タイプ規則

文字タイプ規則は、パスワードに指定できる特定のタイプの文字の最小および最大個数を設定します。

次のものがあります。

• 英字、数字、大文字、小文字、および特殊文字の最小および最大個数

• 挿入される数字の最小および最大個数

• 繰り返し文字および連続文字の最大個数

• 先頭の英字および数字の最小個数

各文字タイプ規則に制限数値を入力します。 または、All を入力して、すべての文字がそのタイプになるように指定します。

文字タイプ規則の最小個数

図 3–7 に示すように、検証にパスする必要がある、文字タイプ規則の最小個数も設定できます。パスする必要のある最小個数は 1 です。最大個数は、有効にした文字タイプ規則の個数を越えることはできません。

パスする必要のある最小個数を最大値に設定するには、All と入力します。

図 3–7 パスワードポリシー (文字タイプ) 規則

辞書ポリシーの選択

単純な辞書攻撃から保護するために、辞書の単語と照合してパスワードをチェックすることもできます。

このオプションを使用するには、次を実行する必要があります。

• 辞書の設定

• 辞書の単語の読み込み

辞書の設定は、「ポリシー」ページで行います。辞書の設定方法については、「辞書ポリシーとは」を参照してください。

パスワード履歴ポリシー

新しく選択されたパスワードの直前に使用されていたパスワードの再利用を禁止することができます。

現在および直前のパスワードの再利用を禁止するには、「再使用してはいけない旧パスワードの個数」フィールドに 1 よりも大きい数値を入力します。たとえば、3 を入力した場合は、新しいパスワードを、現在のパスワードおよびその直前の 2 個のパスワードと同じにすることはできません。

以前に使用していたパスワードと類似した文字の再利用を禁止することもできます。「再使用できない旧パスワードに含まれる類似文字の最大個数」フィールドに、新しいパスワードで繰り返すことのできない、過去のパスワードからの連続文字の最大数を入力します。たとえば、7 を入力した場合、過去のパスワードが password1 であれば、新しいパスワードとして password2 や password3 を使用することはできません。

0 を指定した場合は、連続性に関係なく、過去のパスワードに含まれるすべての文字を使用できません。たとえば、過去のパスワードが abcd の場合、新しいパスワードに a、b、c、d の各文字を使用することはできません。

この規則は、過去の 1 つ以上のパスワードに適用できます。チェックの対象となる過去のパスワードの数は、「再使用してはいけない旧パスワードの個数」フィールドに指定します。

使用禁止単語

パスワードに含むことのできない単語を 1 つ以上入力できます。入力ボックスで、1 行に 1 つずつ単語を入力してください。

また、辞書ポリシーを設定して実装することで、単語を除外することもできます。詳細は、「辞書ポリシーとは」を参照してください。

使用禁止属性

パスワードに含むことのできない属性を 1 つ以上入力できます。

指定できる属性は次のとおりです。

• accountID

• email

• firstname

• fullname

• lastname

パスワードに含むことのできる一連の「使用禁止」属性を、UserUIConfig 設定オブジェクトで変更できます。詳細は、「ポリシーでの使用禁止属性」を参照してください。

パスワードポリシーの実装

パスワードポリシーは、リソースごとに設定します。パスワードポリシーを特定のリソースに割り当てるには、オプションの「パスワードポリシー」リストからポリシーを選択します。このリストは、「リソースの作成または編集ウィザード: Identity Manager パラメータ」ページの「ポリシー設定」領域にあります。

ユーザー認証

パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウントの秘密の質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。

アカウントポリシーで認証を設定する

1. メインメニューの「セキュリティー」をクリックしてから、「ポリシー」をクリックします。

2. 「Default Identity Manager Account Policy」をポリシーのリストから選択します。

   ページの「二次認証ポリシーオプション」領域で認証を選択できます。

   重要: 最初の設定時に、ユーザーはユーザーインタフェースにログインして、秘密の質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。

   秘密の質問ポリシーは、ユーザーがログインページで「パスワードをお忘れですか ?」ボタンをクリックしたときや、「自分の秘密の質問の回答の変更」ページにアクセスしたときにどうなるかが決まります。「ユーザー認証」では、各オプションについて説明します。

   オプション	説明
   すべて	ユーザーは、ポリシーで定義された質問およびユーザー独自の質問のすべてに答える必要があります。
   いずれか	Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問をすべて表示します。ユーザーが回答する必要のある質問の数を指定する必要があります。
   次	ユーザーは、初回ログイン時に、ポリシーで定義されたすべての可能性のある質問に答える必要があります。   ユーザーがログイン時に「パスワードをお忘れですか ?」ボタンをクリックした場合、Identity Manager は最初の質問を表示します。ユーザーの回答が正しくない場合、ユーザーが秘密の質問に正しく回答してログインするか、指定した試行回数の制限に基づいてロックアウトされるまで、Identity Manager は次の質問を表示します。ユーザー独自の質問は、このポリシーではサポートされません。
   ランダム	管理者は、ユーザーが回答する必要のある質問の数を指定できます。Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問のリストから、指定された数の質問をランダムに選択して表示します。ユーザーは、表示された質問のすべてに答える必要があります。
   ラウンドロビン	Identity Manager は設定済みの質問リストから次の質問を選択して、ユーザーに割り当てます。最初のユーザーには秘密の質問のリストにある最初の質問が割り当てられ、2 番目のユーザーには 2 つ目の質問が割り当てられます。リスト上の質問数を超えるまで、このパターンが続きます。質問数を超えた時点で、また最初の質問から順番にユーザーに割り当てられます。たとえば 10 の質問がある場合、11 番目と 21 番目のユーザーには最初の質問が割り当てられます。  選択される質問は、表示される １ つだけです。ユーザーに毎回異なる質問に答えてもらう場合には、「ランダム」ポリシーを使って質問の数を 1 に設定します。  ユーザーが秘密の質問を独自に定義することはできません。この機能については、「ユーザー独自の秘密の質問」を参照してください。

   Identity Manager ユーザーインタフェースにログインし、「パスワードをお忘れですか ?」ボタンをクリックし、表示された質問に答えることによって、認証の選択肢を確認することができます。

   図 3–8 に「ユーザーアカウント認証」画面の例を示します。

   図 3–8 ユーザーアカウント認証

   
   

ユーザー独自の秘密の質問

Identity Manager アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の秘密の質問を入力できるようにするオプションを選択できます。また、ユーザー独自の秘密の質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。

設定後、ユーザーは、「秘密の質問の回答の変更」ページから質問を追加および変更できます。このページの例は、図 3–9 に示されています。

図 3–9 回答の変更: ユーザー独自の秘密の質問

認証後のパスワード変更リクエストのバイパス

ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力がリクエストされます。ただし、bypassChangePassword System Configuration プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更リクエストをバイパスするように Identity Manager を設定できます。

システム設定オブジェクトの編集については、「Identity Manager 設定オブジェクトの編集」を参照してください。

認証に成功したあと、すべてのアプリケーションでパスワードの変更リクエストをバイパスするには、システム設定オブジェクトで bypassChangePassword プロパティーを次のように設定します。

例 3–2 パスワード変更リクエストをバイパスするための属性の設定

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

特定のアプリケーションでこのパスワードリクエストを無効にするには、次のように設定します。

例 3–3 パスワード変更リクエストを無効にするための属性の設定

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...

管理特権の割り当て

次のような Identity Manager 管理特権または機能を、ユーザーに割り当てられます。

• 管理者ロール。管理者ロールを割り当てられたユーザーは、このロールで定義された機能および管理する組織を継承します。すべての Identity Manager ユーザーアカウントには、デフォルトでユーザー管理者ロールが作成時に割り当てられます。管理者ロールの詳細な説明および作成手順については、第 5 章ロールとリソースの 「Identity Manager リソースとその管理について」を参照してください。

• 機能。 機能は、規則によって定義されます。Identity Manager には、選択可能な実用上の機能にグループ化された機能のセットが用意されています。機能の割り当てによって、より細かく管理特権を割り当てることができます。機能の説明および作成手順については、第 6 章管理の 「機能とその管理について」を参照してください。

• 管理する組織。管理する組織は、指定した組織に対する管理コントロール特権を与えます。詳細は、第 6 章管理の 「Identity Manager の組織について」を参照してください。

Identity Manager 管理者および管理作業については、第 6 章管理を参照してください。

ユーザーの自己検索

Identity Manager エンドユーザーインタフェースによって、エンドユーザーはリソースアカウントを「検索」できます。つまり、Identity Manager ID を持つユーザーは、存在するが、関連付けられていないリソースアカウントを ID に関連付けることができます。

自己検索の有効化

自己検索を有効にするには、特別な設定オブジェクト (エンドユーザーリソース) を編集して、アカウントの検索を許可される各リソースの名前を追加する必要があります。

自己検索を有効化する

1. 「エンドユーザーリソース」の設定オブジェクトを編集します。

   Identity Manager 設定オブジェクトの編集手順については、「Identity Manager 設定オブジェクトの編集」を参照してください。

2. <String>Resource </String> を追加します。図 3–10 に示すように、Resource はリポジトリ内のリソースオブジェクトの名前と一致します。

   図 3–10 エンドユーザーリソースの設定オブジェクト

   
   

3. 「保存」をクリックします。

   自己検索が有効になっている場合、Identity Manager ユーザーインタフェースの「プロファイル」メニュータブの下に新しい選択項目が表示されます (「自己検索」)。この領域により、ユーザーは、利用可能リストからリソースを選択し、リソースアカウント ID とパスワードを入力してアカウントを自分の Identity Manager ID にリンクすることができます。

   ---

   注 –

   Identity Manager 設定オブジェクトにエンドユーザーアクセスを提供するために、管理者は「エンドユーザー」組織も使用できます。詳細は、「エンドユーザー組織」を参照してください。

   ---

匿名登録

匿名登録機能を使用すると、Identity Manager アカウントを持っていないユーザーがアカウントをリクエストして取得することができます。

匿名登録の有効化

デフォルトで、匿名登録機能は無効になっています。

匿名登録機能を有効にする

1. 管理者インタフェースで、「設定」をクリックしてから「ユーザーインタフェース」をクリックします。

2. 「匿名登録」領域で「有効化」オプションを選択し、「保存」をクリックします。

   ユーザーがユーザーインタフェースにログインすると、ログインページに「はじめてのユーザーですか?」というテキストに続いて「アカウントのリクエスト」リンクが表示されます。

   ---

   注 –

   「はじめてのユーザーですか?アカウントのリクエスト」というテキストは、カスタマイズ可能です。詳細は、『Sun Identity Manager Deployment Guide 』を参照してください。

   ---

   図 3–11 「アカウントのリクエスト」リンクの有効な「ユーザーインタフェース」ページ

   
   

匿名登録の設定

「ユーザーインタフェース」ページの「匿名登録」領域から、匿名登録プロセスの次のオプションを設定できます。

• 「通知テンプレート」。アカウントをリクエストしているユーザーに通知を送信するために使用される電子メールテンプレートの ID を指定します。

• 「プライバシーポリシーへの同意が必要」。選択するとユーザーはアカウントをリクエストする前に、プライバシーポリシーを受け入れる必要があります。デフォルトで有効になっています。

• 「検証の有効化」。選択すると、ユーザーはアカウントをリクエストする前に、その登録内容を検証する必要があります。デフォルトで有効になっています。

• 「プロセス開始 URL」。匿名登録プロセスでどのワークフローを使用するかを指定するために URL を入力します。

• 「通知の有効化」。選択すると、アカウントが作成されたときに、通知電子メールがユーザーに送信されます。

• 「電子メールドメイン」。ユーザーの電子メールアドレスの構築に使用される電子メールドメインの名前を入力します。

完了したら、「保存」をクリックします。

ユーザー登録プロセス

ユーザーはユーザーインタフェースログインページで「アカウントのリクエスト」をクリックすることによってアカウントをリクエストできます。

2 ページにわたる登録ページの最初のページが表示され、名、姓、および従業員 ID が要求されます。「検証の有効化」属性が選択されている場合 (デフォルト) は、ユーザーが次のページに進む前にこの情報が検証される必要があります。

EndUserLibrary の verifyFirstname、verifyLastname、verifyEmployeeId、および verifyEligibility 規則がそれぞれの属性の情報を検証します。

これらの 1 つまたは複数の規則の変更が必要になる場合もあります。特に、従業員 ID を検証する規則を変更し、Web サービス呼び出しや Java クラスを使用して情報を検証するようにしてください。

「検証の有効化」属性が無効になっている場合、最初の登録ページは表示されません。この場合、「End User Anonymous Enrollment Completion」フォームを変更して、通常、最初の検証フォームによって取得される情報をユーザーが入力できるようにする必要があります。

登録ページで提供された情報から、Identity Manager は以下を生成します。

• ユーザー ID (名と姓の頭文字のあとに従業員 ID を繋げた文字列)。

• 次の形式の電子メールアドレス。

  FirstName. LastName@EmailDomain

  EmailDomain は、匿名登録設定の「電子メールドメイン」属性で設定されたドメインです。

• マネージャー属性 (idmManager)。EndUserRuleLibrary:getIdmManager 規則を変更することにより、この属性を設定できます。デフォルトでは、マネージャーは Configurator に設定されています。マネージャーとして指定された管理者は、ユーザーアカウントがプロビジョニングされる前にユーザーのリクエストを承認する必要があります。

• 組織属性。EndUserRuleLibrary:getOrganization 規則をカスタマイズすることによって、この属性を設定できます。デフォルトでは、ユーザーは組織階層の最上位 (「Top」) に割り当てられます。

登録ページでユーザーによって入力された情報が正しく検証された場合、2 ページ目の登録ページがユーザーに表示されます。ユーザーはこのページでパスワードおよびパスワード確認を入力する必要があります。また、「プライバシーポリシーへの同意が必要」属性が選択されている場合、ユーザーはプライバシーポリシーの条件に同意するオプションを選択する必要があります。

ユーザーが「登録」をクリックすると、確認ページが表示されます。「通知の有効化」属性が選択されている場合、アカウントの作成後、ユーザーに電子メールが送信されることがページに示されます。

ユーザー作成の標準プロセス (idmManager 属性およびポリシー設定が要求する承認を含む) の完了後、アカウントが作成されます。