ユーザーアカウントの無効化、有効化、およびロック解除

この節では、Identity Manager ユーザーアカウントを無効化および有効化する方法について説明します。また、Identity Manager アカウントがロックアウトされてしまったユーザーをサポートする方法についても説明します。

ユーザーアカウントを無効化する

ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。

管理者は管理者インタフェースからユーザーアカウントを無効化できますが、ユーザーアカウントをロックすることはできません。アカウントがロックされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合だけです。

割り当てられたリソースがアカウントの無効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、ランダムに生成される新規パスワードを割り当てることにより、そのリソース上のユーザーアカウントを無効にするよう、Identity Manager を設定できます。

この機能が正しく動作することを確認するには、次の手順に従います。

1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「無効化」機能の両方の「無効化」列にチェックマークが付いていないことを確認します。「無効化」機能を表示するには、「すべての機能を表示」を選択してください。

   「無効化」列にチェックマークが付いていない場合、リソースのアカウントを無効にすることはできません。

1 つのユーザーアカウントの無効化

ユーザーアカウントを無効にするには、「ユーザーリスト」でユーザーアカウントを選択して、「ユーザーアクション」ドロップダウンメニューの「無効化」を選択します。

表示された「無効化」ページで、無効にするリソースアカウントを選択し、「OK」をクリックします。Identity Manager は、Identity Manager ユーザーアカウントおよび関連付けられたすべてのリソースアカウントを無効にした結果を表示します。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。

複数のユーザーアカウントの無効化

複数の Identity Manager ユーザーアカウントを同時に無効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。

複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。

パスワードをリセットすることによってリソース上のユーザーアカウントを有効化する

ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。

選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。

ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。 または、管理特権を持つユーザーがこのパスワードをリセットできます。

割り当てられたリソースがアカウントの有効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、Identity Manager でパスワードをリセットすることにより、そのリソース上のユーザーアカウントを有効にできます。

この機能が正しく動作することを確認するには、次の手順に従います。

1. リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。このウィザードの表示方法については、「リソースの管理」を参照してください。

2. 「アカウント機能の設定」テーブルで、「パスワード」機能と「有効化」機能の両方の「無効化」列でリソースの選択を解除します。「有効化」機能を表示するには、「すべての機能を表示」を選択します。

   「有効化」列にチェックマークが付いていない場合、リソースのアカウントを有効にすることはできません。

1 つのユーザーアカウントの有効化

1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

表示された「有効化」ページで、有効にするリソースを選択し、「OK」をクリックします。Identity Manager は、Identity Manager アカウントおよび関連付けられたすべてのリソースアカウントを有効にした結果を表示します。

複数のユーザーアカウントの有効化

複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。

ユーザーアカウントのロック解除

ユーザーが Identity Manager へのログインに失敗した場合、そのユーザーはロックアウトされます。ロックアウトされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合です。

Identity Manager のロックアウトに数えられるのは、Identity Manager ユーザーインタフェースに対するログイン試行だけです (つまり、管理者インタフェース、エンドユーザーインタフェース、コマンド行インタフェース、SPML API インタフェースのいずれか)。リソースアカウントへのログイン試行の失敗はカウントされず、Identity Manager アカウントのロックアウトの原因にはなりません。

パスワードまたは質問によるログイン試行の最大失敗回数は、Identity Manager アカウントポリシーにより設定されます。

• パスワードによるログイン試行の最大失敗回数を超えたユーザーは、秘密の質問によるログインインタフェースを含む Identity Manager アプリケーションインタフェースすべてでロックアウトされます。

• 質問によるログイン試行の最大失敗回数を超過したユーザーは、秘密の質問によるログインを除く任意の Identity Manager アプリケーションインタフェースへの認証を実行できます。

パスワードによるログイン試行の失敗

パスワードによるログイン試行の失敗回数の超過のために Identity Manager からロックアウトされたユーザーは、管理者がアカウントをロック解除するか、ロックが期限切れになるまでログインできません。

• 管理者は、ユーザーのメンバー組織、および Unlock User 機能を管理している場合にアカウントをロック解除できます。

• Lock Timeout が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。パスワードによるログイン試行失敗の Lock Timeout は、「パスワードログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

質問によるログイン試行の失敗

質問によるログイン試行の失敗回数を超過したために秘密の質問によるログインインタフェースでロックアウトされるユーザーは、管理者がアカウントのロックを解除するか、ロックされたユーザー (または適切な機能を持つユーザー) がユーザーのパスワードを変更またはリセットするか、ロックの期限が切れるまで、このインタフェースにログインできなくなります。

• 管理者は、ユーザーのメンバー組織、および Lock Timeout 機能を管理している場合にアカウントをロック解除できます。

• Lock Timeout が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。質問によるログイン試行の失敗の Lock Timeout は、「質問ログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。

• 更新 (リソースの再プロビジョンを含む)

• パスワードの変更またはリセット

• 無効化または有効化

• 名前の変更

• ロック解除

アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。