アカウント調整

調整機能を使用すると、Identity Manager 内のリソースアカウントとリソース上に実際に存在するアカウントを定期的に比較できます。調整により、アカウントデータが関連付けられ、違いが強調表示されます。

---

注 –

この節では、管理者インタフェースを使用して調整タスクを実行する方法について説明します。調整の詳細については、『Sun Identity Manager Deployment Guide』の第 3 章「Data Loading and Synchronization」を参照してください。

---

調整の概要

調整は処理の進行中に比較するために設計されており、次の特徴があります。

• 検索プロセスよりも具体的なアカウント状況の診断と、より広範囲な応答のサポート

• スケジュール可能 (検索では不可能)

• 差分モードの提供 (検索では常に完全モード)

• ネイティブ変更の検出 (検索では不可能)

また、リソース処理の次の各時点で任意のワークフローを起動するように調整を設定できます。

• アカウントの調整前

• アカウントごと

• すべてのアカウントの調整後

Identity Manager の調整機能には、「リソース」領域からアクセスします。リソースリストには、各リソースが最後に調整された日時および現在の調整ステータスが表示されます。

---

注 –

調整は、Identity Manager の調停コンポーネントによって実行されます。調停サーバーの設定については、マニュアルを参照してください。

---

調整ポリシーについて

調整ポリシーを使用して、調整タスクごとに各リソースに対して一連の応答を設定できます。ポリシーでは、調整を実行するサーバーを選択し、どのような場合にどのような頻度で調整を実行するかを指定して、調整中に発生した各状況に対する応答を設定します。また、アカウント属性に対して (Identity Manager を経由せずに) ネイティブに行われた変更を検出するように調整を設定することもできます。

調整ポリシーの編集

調整ポリシーを編集する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」からリソースを選択します。

3. 「リソースアクション」リストから「調整ポリシーの編集」を選択します。

   「調整ポリシーの編集」ページが表示されます。このページでは、次のようなポリシーの項目を選択できます。

   • 「調整サーバー」。クラスタ環境では、各サーバーが調整を実行できます。ポリシーで、どの Identity Manager サーバーがリソースに対して調整を実行するのかを指定します。

   • 「調整モード」。調整は、いくつかの異なるモードで実行でき、これにより品質を最適化できます。

     • 完全調整。速度が低下しますが、完全性を最適化します。

     • 差分調整。完全性がいくらか低下しますが、速度を最適化します。

       ポリシー内で、Identity Manager がリソースに対して調整を実行するモードを選択します。目的のリソースの調整を無効化する場合は、「調整しない」を選択します。

   • 「完全調整スケジュール」。完全調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。ポリシー中で、完全調整がリソースに対してどのような頻度で実行されるかを指定します。

     • 指示されたスケジュールを上位レベルのポリシーから継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

   • 「差分調整スケジュール」。差分調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。

     • 上位レベルのポリシーからスケジュールを継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

     ---

     注 –

     差分調整をサポートしないリソースもあります。

     ---

   • 「属性レベル調整」。調整は、アカウント属性に対してネイティブな (つまり、Identity Manager を通さずに) 変更が加えられたことを検出するように設定できます。「調整アカウント属性」で指定した属性に対するネイティブな変更を検出するかどうかを指定します。

   • 「アカウント相関規則」。アカウント相関規則は、所有者のいない各リソースアカウントの所有者候補となる Identity Manager ユーザーを選択します。所有者のいないリソースアカウントの属性が与えられると、相関規則は、所有者候補のユーザーを選択するために使用される名前のリストまたは属性条件のリストを返します。所有者のいない各アカウントを所有できる Identity Manager ユーザーを検索する規則を選択してください。

   • 「アカウント確認規則」。アカウント確認規則は、相関規則で選択された所有者の候補から所有者でないものを除外します。Identity Manager ユーザーの完全なビューと所有されていないリソースアカウントの属性に対して、確認規則はユーザーがアカウントを所有していれば true を、そうでない場合は false を返します。リソースアカウントの各所有者候補をテストするための規則を選択します。「確認規則なし」を選択した場合、Identity Manager はすべての所有者候補を確認なしで受け入れます。

     ---

     注 –

     お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

     ---

   • 「プロキシ管理者」。調整応答の実行時に使用する管理者を指定します。調整では、指定されたプロキシ管理者が許可されているアクションのみを実行できます。応答は管理者に関連付けられたユーザーフォームを必要に応じて使用します。

     「プロキシ管理者なし」オプションを選択することもできます。このオプションを選択した場合、調整結果は参照できますが、応答アクションやワークフローは実行されません。

   • 「状況オプション」 (および「応答」)。調整では、いくつかの状況が認識されます。状況は次のとおりです。「応答」列で、調整が実行する操作を指定します。

     • CONFIRMED。予想されるアカウントは存在します。

       「CONFIRMED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在する。

     • COLLISION。2 人以上の Identity Manager ユーザーが、1 つのリソースで同じアカウントを割り当てられています。

     • DELETED。予想されるアカウントは存在しません。

       「DELETED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在しない。

     • FOUND。調整プロセスは、割り当てられたリソースで一致するアカウントを発見しました。

       「FOUND」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在する。

     • MISSING。ユーザーに割り当てられたリソースに一致するアカウントが存在しません。

       「MISSING」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在しない。

     • UNASSIGNED。調整プロセスは、このユーザーに割り当てられていないリソースで、一致するアカウントを発見しました。

       「UNASSIGNED」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントの存在が予想されない。(リソースがユーザーに割り当てられていない場合、Identity Manager ではアカウントが存在しないと予想される)

       • 当該アカウントがリソースに存在する。

     • UNMATCHED。リソースアカウントはどのユーザーとも一致しません。

     • DISPUTED。リソースアカウントは複数のユーザーと一致しています。

       次のいずれかの応答オプションを選択します (状況により、選択できるオプションは異なる)。

       • 「リソースアカウントに基づく新規ユーザーの作成」。リソースアカウント属性に対してユーザーフォームを実行し、新しいユーザーを作成します。リソースアカウントは、どのような変更が行われても更新されません。

       • 「ユーザーのリソースアカウントの作成」。ユーザーフォームを使用してリソースアカウント属性を再生成し、存在しないユーザーアカウントを作成し直します。

       • 「リソースアカウントの削除」または「リソースアカウントの無効化」。リソースのアカウントを削除または無効にします。

       • 「リソースアカウントをユーザーにリンク」および「「ユーザーからリソースアカウントへのリンクの解除」。ユーザーに対するリソースアカウントの割り当てを追加または削除します。フォーム処理は実行されません。

       • 「何もしない」。このオプションは、調整で修復を実行しない場合に選択します。

         調整で見つかったどのアカウント状況も手動で修正できます。メニューで、「リソース」、「アカウントインデックスの検査」の順にクリックします。そこから、調整済みのすべてのアカウントに対して記録された状況を閲覧できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。詳細については、「アカウントインデックスの検査」を参照してください。

   • 「調整前ワークフロー」。リソースを調整する前にユーザー指定のワークフローを実行するように、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「アカウント単位ワークフロー」。リソースアカウントの状況に応答したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「調整後ワークフロー」。リソースの調整が完了したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。ワークフローを実行しない場合は、「ワークフローを実行しない」を選択します。

   • 「状況を説明する」。このオプションを有効にすると、アカウントの状況がどのように分類されたかを説明する追加情報が記録されます。デフォルトでは、このオプションは無効になっています。説明を記録することで、調整プロセスの実行時間が長くなります。

   • 「エラー制限」。このオプションを有効にすると、処理中に指定数のエラーが発生した場合に調整が自動的に終了します。0 を設定すると、エラー数の制限がなくなります。「デフォルトポリシーを継承」オプションの選択を解除すると、「許容最大エラー数」フィールドが表示され、値を入力できます。

   • 「ネイティブに削除されたアカウントの最大数」。このオプションは、リソース上の見つからないアカウントの数を評価し、しきい値を超過した場合に調停サーバーがそれらをリンク解除するのを防ぐための安全措置です。

     この機能を有効にするには、「デフォルトポリシーを継承」チェックボックスをオフにし、「ネイティブに削除されたアカウントの最大許容数」フィールドにパーセンテージを指定します。しきい値は 0 ～ 100 の全パーセンテージに設定する必要があります。(0 に設定すると、この機能はオフになります。)

     削除されたアカウントのパーセンテージがしきい値を超えると、調整は存在しないアカウントに関係しないすべての処理を続行し、エラーありで終了します。

   「保存」をクリックして、ポリシーの変更を保存します。

調整の開始

この節では、調整タスクを開始する次の 2 つの方法を説明します。

• スケジュールした間隔で調整を実行する

• ただちに調整を実行する

調整を定期的に実行する

1. 「調整ポリシーの編集」の手順に従って、「調整ポリシーの編集」ページを開きます。

2. 調整のスケジュールパラメータを指定します。

   ポリシーに設定されたパラメータに従って調整が実行されます。

ただちに調整を実行する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」からリソースを選択します。

3. 「リソースアクション」リストからオプションを選択します。

   このページには次のオプションがあります。

   • ただちに完全調整

   • ただちに差分調整

     ポリシーに設定されたパラメータに従って調整が実行されます。定期的に調整を実行するようにポリシーを設定すると、指定どおりに調整が実行されます。

調整をキャンセルする

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」から、調整をキャンセルするリソースを選択します。

3. 「リソースアクション」リストから「調整のキャンセル」を選択します。

調整ステータスの表示

調整ステータスを表示する主な方法は 2 つあります。詳細な調整ステータスを表示する場合は、特定のリソースの調整結果の概要ページを開きます。調整ステータスの一部を「リソースリスト」から直接確認することもできます。

詳細な調整ステータスを表示する

調整結果の概要ページを使用して、詳細な調整ステータスを表示します。

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」で、調整ステータスを表示するリソースを選択します。

3. 「リソースアクション」リストから「調整ステータスの表示」を選択します。

   そのリソースの調整結果の概要ページが開きます。

「リソースリスト」に調整ステータスを表示する

調整スタータスは、「リソースリスト」から確認することもできます。

1. 管理者インタフェースを開きます。

2. メインメニューの「リソース」をクリックします。

   「ステータス」列に、次のような調整ステータスの状態が表示されます。

   • 「不明」。ステータスは不明です。最後に実行された調整の結果はわかりません。

   • 「無効」。調整は無効です。

   • 「失敗」。最後に実行された調整は正常に完了していません。

   • 「成功」。最後に実行された調整は正常に完了しました。

   • 「エラーありで完了」。最後に実行された調整は完了しましたが、エラーが発生しました。

   ---

   注 –

   ステータスの変更を確認するには、このページを更新する必要があります。(情報は自動更新されません。

   ---

アカウントインデックスの操作

アカウントインデックスには、Identity Manager が認識している各リソースアカウントの最新の状態が記録されています。アカウントインデックスは主に調整によって保守されますが、ほかの Identity Manager 機能も必要に応じてアカウントインデックスを更新します。

検索ツールはアカウントインデックスを更新しません。

アカウントインデックスを検索する

アカウントインデックスを検索して、リソースアカウントの最後の既知の状態を表示します。

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」から、アカウントインデックスを検索するリソースを選択します。

3. 「リソースアクション」リストから「アカウントインデックスの検索」を選択します。

   「アカウントインデックスの検索」ページが開きます。

4. 検索タイプを選択してから、検索属性を入力または選択します。

   • 「リソースアカウント名」。このオプションを選択する場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、アカウント名の一部または全部を入力します。

   • 「検索対象リソース」。このオプションを選択する場合は、リストから 1 つ以上のリソースを選択して、指定したリソース上にある調整済みアカウントを検索します。

   • 「所有者」。このオプションを選択する場合は、「が次の文字列で始まる」、「が次の文字列を含む」、「が次の文字列と等しい」のいずれかの修飾子を選択してから、所有者名の一部または全部を入力します。所有者のいないアカウントを検索するには、UNMATCHED または DISPUTED 状況のアカウントを検索します。

   • 「調整状況」。このオプションを選択する場合は、リストから 1 つ以上の状況を選択して、指定した状況と一致する調整済みアカウントを検索します。

5. 「検索」をクリックし、検索パラメータに従ってアカウントを検索します。検索結果を制限するには、オプションで、「結果表示を次の件数に限定」フィールドに数を指定します。デフォルトでは、最初に見つかった 1000 個のアカウントに制限されます。

   「クエリーのリセット」をクリックしてページをクリアし、新しい項目を選択します。

アカウントインデックスの検査

すべての Identity Manager ユーザーアカウントを表示したり、ユーザーアカウントをユーザーごとに調整することもできます。

アカウントインデックスを検査する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 二次的なメニューで「アカウントインデックスの検査」をクリックします。

   「アカウントインデックスの検査」ページが開きます。

   Identity Manager が認識するすべてのリソースアカウントが、Identity Manager ユーザーに所有されるアカウントかどうかに関係なく表形式で表示されます。この情報は、リソース別、または Identity Manager の組織別にまとめられます。この表示を変更するには、「インデックス表示の変更」リストから選択を行います。

アカウントの操作

リソースのアカウントを操作するには、「リソースごとのグループ」インデックス表示を選択します。リソースのタイプごとにフォルダが表示されます。フォルダを展開して特定のリソースに移動します。リソースの隣の + または - をクリックすると、Identity Manager が認識しているリソースアカウントがすべて表示されます。

リソースに対する最後の調整後に、そのリソースに直接追加されたアカウントは、表示されません。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

ユーザーの操作

Identity Manager ユーザーを操作するには、「ユーザーごとのグループ」インデックス表示を選択します。この表示では、「アカウントのリスト」ページのように、Identity Manager ユーザーと組織が階層構造で表示されます。Identity Manager で現在ユーザーに割り当てられているアカウントを表示するには、ユーザーに移動してユーザー名の隣のインジケータをクリックします。ユーザーのアカウントと、Identity Manager が認識しているアカウントの現在のステータスが、ユーザー名の下に表示されます。

アカウントの現在の状況に応じて、いくつかの操作を実行できます。また、アカウントの詳細を表示したり、その 1 つのアカウントを調整したりすることを選択できます。

タスクスケジュール繰り返し規則の使用

タスクスケジュール繰り返し規則を使用して、調整スケジュールを設定できます。たとえば、土曜日にスケジュールされている調整を次の月曜日に適用するには、タスクスケジュール繰り返し規則を使用します。

タスクスケジュール繰り返し規則は、完全調整と差分調整の両方のスケジュール設定に使用できます。

タスクスケジュール繰り返し規則を選択する方法については、「調整ポリシーの編集」を参照してください。

調整実行時間のスケジュール方法

調停サーバーコンポーネントは、調整ジョブが完了すると、次の実行スケジュールをチェックします。

調停サーバーは、最初にデフォルトスケジュールをチェックして次の実行時間を取得します。次に調停サーバーは、適用可能なすべてのタスクスケジュール繰り返し規則を実行し、スケジュールの調整が必要かどうか確認します。調整が必要な場合、その調整のデフォルトスケジュールより規則のスケジュールが優先されます。

---

注 –

タスクスケジュール繰り返し規則でデフォルトスケジュールを上書きすることはできません。ジョブごとの開始時間をスケジュールする際に「優先される」だけです。

---

サンプルの「Accept All Dates」規則を表示する

この節では、組み込みの「Accept All Dates」サンプル規則について説明します。

1. テキストエディタで、Identity Manager の sample ディレクトリにある ReconRules.xml を開きます。

2. SCHEDULING_RULE_ACCEPT_ALL_DATES という名前の規則を検索します。

   規則を「調整ポリシーの編集」ページの「タスクスケジュール繰り返し規則」ドロップダウンメニューに表示するには、subtype 属性を SUBTYPE_TASKSCHEDULE_REPETITION_RULE: に設定する必要があります。

   <Rule subtype=’SUBTYPE_TASKSCHEDULE_REPETITION_RULE’ name=’SCHEDULING_RULE_ACCEPT_ALL_DATES’>

   前の説明にもあるとおり、タスクスケジュール繰り返し規則でデフォルトの調整スケジュールを変更できます。

   変数 calculatedNextDate には、デフォルトの方法で計算された次の日付を設定することも、別の日付を返すこともできます。サンプル規則に記述されているように、calculatedNextDate は無条件にデフォルトの日付を受け付けます。次の箇所を参照してください。

   <RuleArgument name=’calculatedNextDate’/> <block> <ref>calculatedNextDate</ref> </block>

   カスタムスケジュールを作成するには、<block> 要素の間にある規則のロジックを書き換えます。たとえば、調整開始時間を土曜日の午前 10:00 に変更するには、次のような JavaScript を <block> 要素の間に記述します。

   <block> <script> var calculatedNextDate = env.get(’calculatedNextDate’); // Test to see if this task is scheduled for a Saturday // (Note that 6 is used to denote Saturday in JavaScript) if(calculatedNextDate.getDay() == 6) { // If so, set the time to 10:00:00 calculatedNextDate.setHours(10); calculatedNextDate.setMinutes(0); calculatedNextDate.setSeconds(0); } // Return the modified date calculatedNextDate; </script> </block>

   「サンプルの「Accept All Dates」規則を表示する」 では、calculatedNextDate は最初にデフォルトのスケジュール時刻に設定されています。次回のスケジュールされた実行日が土曜の場合、規則は調整を 10:00 に開始するようにスケジュールします。次回のスケジュールされた実行日が土曜以外の場合、「サンプルの「Accept All Dates」規則を表示する」は時間の調整を行わずに calculatedNextDate を返し、デフォルトのスケジュールが使用されます。

   Identity Manager で使用するカスタム規則の作成については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。