一括アカウントアクション

Identity Manager アカウントに対していくつかの一括アクションを実行できます。これにより、複数のアカウントを同時に操作することができます。

次の一括アクションを開始できます。

• 「削除」。選択したリソースアカウントを削除して、割り当てとリンクも解除します。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを削除することもできます。

• 「Delete と Unlink」。選択したリソースアカウントをすべて削除して、そのアカウントとユーザーとのリンクを解除します。

• 「Disable」。 選択したリソースアカウントをすべて無効にします。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを無効にすることもできます。

• 「Enable」。選択したリソースアカウントをすべて有効にします。「アイデンティティーシステムアカウントをターゲットにする」オプションを選択すると、ユーザーの各 Identity Manager アカウントを有効にすることもできます。

• 「Unassign、Unlink」。選択したリソースアカウントをすべてリンク解除し、Identity Manager ユーザーアカウントのそれらのリソースに対する割り当てを削除します。リンク解除によってリソースからアカウントが削除されるわけではありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントを割り当て解除することはできません。

• 「Unlink」。 リソースアカウントと Identity Manager ユーザーアカウントとの関連付け (リンク) を削除します。リンク解除によってリソースからアカウントが削除されるわけではありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントをリンク解除した場合は、ユーザーを更新するとリンクが回復されることがあります。

一括アクションは、ファイルまたは電子メールクライアントやスプレッドシートプログラムなどのアプリケーションにユーザーのリストを保存している場合にもっとも役立ちます。ユーザーのリストをこのインタフェースページのフィールドにコピーして貼り付けることも、ファイルからユーザーのリストを読み込むこともできます。

これらのアクションの多くを、ユーザーの検索結果に対して実行できます。ユーザーの検索には、「ユーザーの検索」ページ (「アカウント」->「ユーザーの検索」) を使用します。

タスクの終了時にタスク結果が表示されたときに「CSV のダウンロード」をクリックすることにより、一括アカウントアクションの結果を CSV ファイルに保存できます。

一括アカウントアクションの起動

一括アカウントアクションを起動する

1. 管理者インタフェースで、メインメニューの「アカウント」をクリックします。

2. 二次的なメニューで、「一括アクションの起動」をクリックします。

3. フォームに必要な情報を指定して、「起動」をクリックします。

   Identity Manager はバックグラウンドタスクを起動して一括アクションを実行します。

   一括アクションタスクの状態を監視するには、メインメニューの「サーバータスク」をクリックして、「すべてのタスク」をクリックします。

アクションリストの使用

一括アクションのリストをコンマ区切り値 (comma-separated value; CSV) 形式で指定できます。これにより、各種アクションを 1 つのアクションリストに混在させることができます。また、複雑な作成および更新のアクションも指定できます。

CSV 形式は、2 行以上の入力行で構成されます。各行は、コンマで区切った値のリストで構成されます。1 行目にはフィールド名を指定します。残りの各行は、Identity Manager ユーザー、ユーザーのリソースアカウント、またはその両方に対して実行される処理に対応します。各行に同じ数の値を指定する必要があります。空の値を指定すると、対応するフィールドの値は変更されないまま残ります。

どの一括アクション CSV にも必須のフィールドが 2 つあります。

• 「ユーザー」。Identity Manager ユーザーの名前が含まれます。

• 「コマンド」。Identity Manager ユーザーに対して実行する操作が含まれます。有効なコマンドは次のとおりです。

  • 「Delete」。 リソースアカウントまたは Identity Manager アカウント、あるいはその両方を削除して割り当てとリンクを解除します。

  • 「DeleteAndUnlink」。 リソースアカウントを削除してリンク解除します。

  • 「Disable」。リソースアカウントまたは Identity Manager アカウント、あるいはその両方を無効にします。

  • 「Enable」。 リソースアカウントまたは Identity Manager アカウント、あるいはその両方を有効にします。

  • 「Unassign」。 リソースアカウントを割り当て解除してリンク解除します。

  • 「Unlink」。 リソースアカウントをリンク解除します。

  • 「Create」。 Identity Manager アカウントを作成します。オプションで、リソースアカウントを作成します。

  • 「Update」。Identity Manager アカウントを更新します。オプションで、リソースアカウントを作成、更新、または削除します。

  • 「CreateOrUpdate」。Identity Manager アカウントが存在しない場合は作成アクションを実行します。存在する場合は更新アクションを実行します。

Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド

Delete、DeleteAndUnlink、Disable、Enable、Unassign、または Unlink 操作を実行する場合、ほかに指定する必要のあるフィールドは resources のみです。resources フィールドは、どのリソースのどのアカウントに影響を与えるかを指定するために使用します。

resources フィールドには、次の値を指定できます。

• 「all」。 Identity Manager アカウントを含むすべてのリソースアカウントを処理します。

• 「resonly」。Identity Manager アカウントを除くすべてのリソースアカウントを処理します。

• resource_name [ | resource_name ... ]. 指定されたリソースアカウントを処理します。Identity Manager アカウントを処理するように Identity Manager を指定します。

これらのアクションのいくつかを CSV 形式にした例を次に示します。

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Create、Update、および CreateOrUpdate コマンド

Create、Update、または CreateOrUpdate コマンドを実行する場合は、user フィールドと command フィールドのほかに、ユーザー画面のフィールドを指定できます。使用されるフィールド名は、画面内の属性のパス表現です。ユーザー画面で使用可能な属性については、『Sun Identity Manager Deployment Reference』の「User View Attributes」を参照してください。カスタマイズしたユーザーフォームを使用している場合は、フォームのフィールド名に、使用可能なパス表現がいくつか含まれています。

一括アクションで使用する一般的なパス表現のいくつかを次に示します。

• 「waveset.roles」。 Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト。

• 「waveset.resources」。 Identity Manager アカウントに割り当てる 1 つ以上のリソース名のリスト。

• 「waveset.applications」。 Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト。

• 「waveset.organization」。 Identity Manager アカウントを配置する組織名。

• accounts[ resource_name].attribute_name. リソースアカウント属性。属性名はリソースのスキーマにリストします。

作成および更新アクションを、CSV 形式にした例を次に示します。

command,user,waveset.resources,password.password,
password.confirmPassword,accounts[Windows Active Directory].description,
accounts[Corporate Directory].location Create,John Doe,
Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

CreateOrUpdate コマンドを使用すると、複数のアカウントタイプをサポートするリソースで特定のアカウントタイプを指定できます。したがって、ユーザーが特定のリソースに複数のアカウントを持ち、各アカウントのアカウントタイプが異なる場合は、次の例に示す方法で userAye ユーザーの admin アカウントタイプを更新します。

command,user,accounts[Sim1|admin].emailAddress
CreateOrUpdate,userAye,bbye8@example.com

---

注 –

CreateOrUpdate コマンドを使用すると、ユーザーのアカウントのアカウント固有の属性を設定できますが、ユーザー画面のグローバルセクションの次の値が指定した「すべての」アカウントに適用されることに注意してください。

• accountId

• email

• password

• disable

• すべての拡張属性

結果として、次の形式の BulkOps コマンドが期待したように動作しない場合があります。

command,user,accounts[Sim1].email
CreateOrUpdate,userAye,bbye8@example.com

userAye がすでに email の値を持つ場合、その値は Sim1 リソースの電子メール属性に適用されます。この動作を回避する方法はありません。

---

複数の値を持つフィールド

一部のフィールドには複数の値を指定できます。これらは複数値フィールドと呼ばれます。たとえば、waveset.resources フィールドでは、ユーザーに複数のリソースを割り当てることができます。1 つのフィールド内の複数の値を区切るには、縦棒 (|) 文字 (「パイプ」文字とも呼ばれる) を使用します。複数値の構文は、次のように指定できます。

value0 | value1 [ | value2 ... ]

既存のユーザーの複数値フィールドを更新する場合、現在のフィールドの値を 1 つ以上の新しい値で置き換えても、希望するとおりに指定できないことがあります。値を一部削除したり、現在の値に追加したい場合もあります。フィールド指示を使用すれば、既存のフィールドの値をどのように処理するかを指定できます。フィールド指示は、次のように、フィールド値の前に縦棒で囲んで指定します。

|directive [ ; directive ] | field values

選択できる指示は次のとおりです。

• Replace。現在の値を指定した値で置き換えます。指示を指定しない場合 (または、List 指示のみを指定した場合) は、これがデフォルトになります。

• Merge。指定した値を現在の値に追加します。重複する値はフィルタされます。

• Remove。指定した値を現在の値から削除します。

• 「List」。 フィールドの値が 1 つしかない場合でも、複数の値があるかのように強制的に処理します。ほとんどのフィールドは値の数に関係なく適切に処理されるため、通常、この指示は必要ありません。別の指示と共に指定できるのはこの指示だけです。

---

注 –

フィールド値は大文字と小文字を区別します。Merge および Remove の指示を指定する場合はこれが重要です。値を正しく削除したり、マージで複数の類似した値ができないようにするには、値が正確に一致する必要があります。

---

フィールド値の特殊文字

フィールド値にコンマ (,) または二重引用符 (") 文字を指定する場合、あるいは先行または後続するスペースを維持する場合は、フィールド値を二重引用符で囲む必要があります ("フィールド値")。さらに、フィールド値の二重引用符は 2 つの二重引用符 (") 文字で置き換える必要があります。たとえば、"John ""Johnny"" Smith" は、フィールド値で John "Johnny" Smith という結果になります。

縦棒 (|) またはバックスラッシュ (\) 文字をフィールド値に含める場合は、その前にバックスラッシュを指定する必要があります (\| または \\)。

一括アクションの表示属性

Create、Update、または CreateOrUpdate アクションを実行する場合は、ユーザー画面に、一括アクション処理でしか使用しない、または使用できない追加の属性があります。これらの属性はユーザーフォームで参照可能であり、一括アクションに固有の動作を可能にします。

属性は次のとおりです。

• waveset.bulk.fields.field_name 属性には、CSV の入力から読み込まれたフィールドの値が含まれています。field_name はフィールドの名前です。たとえば、command フィールドと user フィールドはそれぞれ、パス表現 waveset.bulk.fields.command および waveset.bulk.fields.user の属性の中にあります。

• waveset.bulk.fieldDirectives.field_name 属性は、指示を指定したフィールドに対してのみ定義されます。値は指示文字列です。

• 現在のアクションを中止するには、waveset.bulk.abort ブール型属性を true に設定します。

• waveset.bulk.abort が true に設定されているときに表示するメッセージ文字列に waveset.bulk.abort 属性を設定します。この属性を設定しない場合は、汎用的なアボートメッセージが表示されます。

相関規則と確認規則

使用するアクションの user フィールドに指定できる Identity Manager ユーザー名がない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括アクションを開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。

相関規則は、アクションフィールドに一致する Identity Manager ユーザーを検索します。確認規則は、アクションフィールドに対して Identity Manager ユーザーを検査し、ユーザーが一致するかどうかを決定します。この 2 段階の方法によって、Identity Manager は、候補のユーザーを名前または属性に基づいて迅速に見つけ出しコストのかかる検査を可能性のあるユーザーに対してのみ行うことで、相関関係を最適化できます。

相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。

相関規則と確認規則については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

相関規則

相関規則の入力は、アクションフィールドのマップです。出力は、次のいずれかでなければなりません。

• 文字列 (ユーザー名または ID を含む)

• 文字列要素のリスト (各要素にユーザー名または ID が含まれる)

• WSAttribute 要素のリスト

• AttributeCondition 要素のリスト

一般的な相関規則は、アクションのフィールドの値に基づいて、ユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。

相関規則では、コストを抑えることを前提に、できるだけ選択肢を絞り込むようにします。可能であれば、コストのかかる処理は確認規則に回すことをお勧めします。

属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、IDM Schema Configuration という名前の Identity Manager 設定オブジェクト内で設定されます。

拡張属性で相関関係を実現するには、特殊な設定が必要です。

拡張属性は、クエリー可能として指定する必要があります。

拡張属性をクエリー可能として設定する

1. IDM Schema Configuration を開きます。IDM Schema Configuration を表示または編集するには、IDM Schema Configuration 機能を保持している必要があります。

2. <IDMObjectClassConfiguration name=’User’> 要素を見つけます。

3. <IDMObjectClassAttributeConfiguration name=’ xyz ’> 要素を見つけます。xyz はクエリー可能に設定する属性の名前です。

4. queryable=’true’ を設定します。

   「相関規則」 では、email 拡張属性がクエリー可能として定義されています。

---

例 3–1 email 拡張属性をクエリー可能として定義する XML (抜粋)

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

IDM Schema Configuration の変更を有効にするには、Identity Manager アプリケーション (またはアプリケーションサーバー) を再起動する必要があります。

---

確認規則

確認規則の入力は次のとおりです。

• Identity Manager ユーザーの完全表示には、userview を使用します。

• アクションフィールドのマップには、account を使用します。

確認規則は、ユーザーがアクションフィールドに一致する場合、文字列形式のブール値で true を返します。 一致しない場合は false を返します。

一般的な確認規則は、ユーザー画面の内部値と、アクションフィールドの値とを比較します。相関処理のオプションの 第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。

一般に、次のような場合にのみ確認規則が必要です。

• 相関規則が複数の一致するユーザーを返す

• 比較する必要があるユーザー値がクエリー可能ではない

確認規則は、相関規則によって返された一致ユーザー 1 人について 1 回実行されます。