第 9 章 タスクテンプレート

Identity Manager のタスクテンプレートを使用すると、カスタマイズしたワークフローを記述する代わりに、管理者インタフェースを使用して特定のワークフローの動作を設定することができます。

この章は、次の節で構成されています。

• 「タスクテンプレートの有効化」。システムでタスクテンプレートを使用可能にする方法を説明します。

• 「タスクテンプレートの設定」。タスクテンプレートを使用してワークフローの動作を設定する方法を説明しています。

タスクテンプレートの有効化

Identity Manager には、ユーザーによる設定が可能な次のタスクテンプレートが用意されています。

• 「ユーザー作成テンプレート」。ユーザー作成タスクのプロパティーを設定します。

• 「ユーザー削除テンプレート」。ユーザー削除タスクのプロパティーを設定します。

• 「ユーザーテンプレートの更新」。ユーザー更新タスクのプロパティーを設定します。

タスクテンプレートを使用する前に、タスクテンプレートのプロセスをマップする必要があります。

プロセスタイプをマップする

1. 管理者インタフェースのメニューから「サーバータスク」を選択し、「タスクの設定」を選択します。

   図 9–1 に「タスクの設定」ページを示します。

   図 9–1 最初の「タスクの設定」ページ

   
   

   「タスクの設定」ページには、次の列を持つテーブルがあります。

   • 「名前」。ユーザー作成、ユーザー削除、およびユーザー更新の各テンプレートへのリンクがあります。

   • 「アクション」。次のボタンのいずれかが含まれます。

     • 「有効」。テンプレートをまだ有効にしていない場合に表示されます。

     • 「マッピングの編集」。テンプレートを有効にしたあとに表示されます。

       プロセスマッピングを有効化する手順と編集する手順は同じです。

   • 「プロセスマッピング」。各テンプレートにマップされるプロセスタイプを一覧表示します。

   • 「説明」。各テンプレートの簡単な説明です。

2. 「有効化」をクリックして、テンプレートのプロセスマッピングの編集ページを開きます。

   たとえば、ユーザー作成テンプレートに対して次のページ (図 9–2) が表示されます。

   図 9–2 プロセスマッピングの編集ページ

   
   

   ---

   注 –

   「選択したプロセスタイプ」リストには、デフォルトのプロセスタイプ (この場合 createUser) が自動的に表示されます。必要に応じて、メニューから別のプロセスタイプを選択できます。

   ---

   • 一般に、各テンプレートに複数のプロセスタイプをマップすることはありません。

   • 「選択したプロセスタイプ」リストからプロセスタイプを削除し、代わりのプロセスタイプを選択しない場合、「必須のプロセスマッピング」セクションに、新しいタスクマッピングを選択するように指示が表示されます。

     

3. 「保存」をクリックして、選択したプロセスタイプをマップし、「タスクの設定」ページに戻ります。

   ---

   注 –

   「タスクの設定」ページが再表示されると、「有効化」ボタンが「マッピングの編集」ボタンに変化し、「プロセスマッピング」列にプロセス名が表示されます。

   ---

   図 9–3 更新された「タスクの設定」テーブル

   
   

4. 残りの各テンプレートに対して、マッピングプロセスを繰り返します。

マッピングの検証

• 「設定」->「フォームおよびマッピングプロセス」を選択することにより、マッピングを検証することができます。「フォームおよびプロセスマッピングの設定」ページが表示されたら、下にスクロールして「プロセスマッピング」テーブルを表示し、テーブル内に示される「マップされるプロセス名」エントリに次のプロセスタイプがマップされていることを確認します。

  プロセスタイプ	マップされるプロセス名
  createUser	ユーザー作成テンプレート
  deleteUser	ユーザー削除テンプレート
  updateUser	ユーザー更新テンプレート

  テンプレートが正しく有効化されていれば、すべての「マップされるプロセス名」エントリに「Template」という文字列が含まれています。

• テーブルに示すように「マップされるプロセス名」列に「Template」と入力することで、「フォームおよびプロセスマッピング」ページから直接、これらのプロセスタイプをマップすることもできます。

タスクテンプレートを設定する

テンプレートプロセスタイプのマッピング (「タスクテンプレートの有効化」) 後、タスクテンプレートを設定できます。

1. 管理者インタフェースのメインメニューで「サーバータスク」をクリックし、「タスクの設定」をクリックします。

   「タスクの設定」ページが開きます。

2. 「名前」列のリンクを選択します。

   次のページのいずれかが表示されます。

   • タスクテンプレート「Create User Template」の編集。新しいユーザーアカウントの作成に使用されるテンプレートを編集するために開きます。

   • タスクテンプレート「Delete User Template」の編集。ユーザーのアカウントの削除またはプロビジョニング解除に使用されるテンプレートを編集するために開きます。

   • タスクテンプレート「Update User Template」の編集。既存のユーザー情報の更新に使用されるテンプレートを編集するために開きます。

     それぞれのタスクテンプレートの編集ページには、ユーザーワークフローの主な設定領域に対応する一連のタブがあります。

     次の表は、それぞれのタブの名前、目的、そのタブを使用するテンプレートについて説明したものです。

   タブ名	目的	テンプレート
   一般 (デフォルトタブ)	「ホーム」および「アカウント」の各ページのタスクバー内と、「タスク」ページ上のタスクインスタンステーブル内でのタスク名の表示形式を定義します。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
   	ユーザーアカウントの削除またはプロビジョニング解除形式を指定できます。	ユーザー削除テンプレートのみ
   通知	Identity Manager がプロセスを起動したときに管理者およびユーザーに送信される電子メール通知を設定できます。	すべてのテンプレート
   承認	タイプ別に承認を有効または無効にする、追加の承認者を指定する、Identity Manager が特定のタスクを実行する前にアカウントデータの属性を指定するなどの作業を行うことができます。	すべてのテンプレート
   監査	ワークフローの監査を有効化および設定できます。このタブでワークフローを設定し、ワークフローレポート用の情報を取得します。	すべてのテンプレート
   プロビジョニング	バックグラウンドでタスクを実行できるようにします。また、タスクが失敗した場合に Identity Manager がタスクを再試行できるようにします。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
   サンライズとサンセット	指定された日時までの作成タスクの保留 (サンライズ) または指定された日時までの削除タスクの保留 (サンセット) についての設定を行うことができます。	ユーザー作成タスクテンプレート
   データ変換	プロビジョニング中にユーザーデータがどのように変換されるかを設定することができます。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ

3. いずれかのタブを選択して、テンプレートのワークフロー機能を設定します。

   これらのタブでの設定方法については、次の各節を参照してください。

   • 「プロセスタイプをマップする」

   • 「タスクテンプレートを設定する」

4. テンプレートの設定を完了したら、「保存」ボタンをクリックして変更を保存します。

タスクテンプレートの設定

この節では、タスクテンプレートの設定の説明および手順を示します。次のトピックを扱います。

• 「「一般」タブの設定」

• 「「通知」タブの設定」

• 「「承認」タブの設定」

• 「「監査」タブの設定」

• 「「プロビジョニング」タブの設定」

• 「「サンライズとサンセット」タブの設定」

• 「「データ変換」タブの設定」

「一般」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「一般」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

---

注 –

管理者インタフェースのユーザー作成テンプレートとユーザー更新テンプレートのページは同一なので、設定手順を 1 つの節で説明します。

---

ユーザー作成テンプレートまたはユーザー更新テンプレートの場合

「タスクテンプレート「Create User Template」の編集」フォーム、「タスクテンプレート「Update User Template」の編集」フォームのいずれかを開くと、デフォルトで「一般」タブページが表示されます。図 9–4 に示すように、このページは「タスク名」テキストフィールドと「属性の挿入」メニューから成ります。設定プロセスの開始手順については、「タスクテンプレートの設定」の節を参照してください。

図 9–4 「一般」タブ: ユーザー作成テンプレート

タスク名はリテラルテキストまたはタスク実行時に解決される属性参照、あるいはその両方で指定できます。

デフォルトのタスク名を変更する

1. 「タスク名」フィールドに名前を入力します。

   デフォルトのタスク名を編集することも、完全に別の名前にすることもできます。

2. 「タスク名」メニューには、このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが表示されます。メニューから属性を選択します (省略可能)。

   Identity Manager によって、「タスク名」フィールド内のエントリに属性名が追加されます。たとえば、次のようにします。

   Create user $(accountId) $(user.global.email)

3. 終了したら、次の処理を実行できます。

   • 別のタブを選択して、テンプレートの編集を続けます。

   • 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。

     新しいタスク名が Identity Manager のタスクバーに表示されます。タスクバーは「ホーム」タブおよび「アカウント」タブの最下部にあります。

   • 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。

ユーザー削除テンプレートの場合

「タスクテンプレート「Delete User Template」の編集」ページを開くと、「一般」タブページがデフォルトで表示されます。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

ユーザーアカウントの削除/プロビジョニング解除形式を指定する

1. 「Identity Manager アカウントの削除」ボタンを使用して、削除処理中に Identity Manager アカウントを削除するかどうかを指定します。

   次のボタンがあります。

   • 「なし」。アカウントが削除されるのを防ぐ場合に選択します。

   • 「プロビジョニング解除後にユーザーがリンクされたアカウントを持っていない場合のみ」。プロビジョニング解除後にリンクされたリソースアカウントが存在しないときにのみユーザーアカウントの削除を許可する場合に選択します。

   • 「常時」。割り当てられたリソースアカウントがまだ存在する場合も含めてユーザーアカウントの削除を常に許可する場合に選択します。

2. 「リソースアカウントのプロビジョニング解除」ボックスを使用して、「すべて」のリソースアカウントを対象にリソースアカウントのプロビジョニング解除を制御します。

   ---

   注 –

   ユーザーから「外部」リソースを割り当て解除またはリンク解除しても、プロビジョニング要求や作業項目は生成されません。外部リソースを割り当て解除またはリンク解除しても、Identity Manager がリソースアカウントのプロビジョニングを解除したりリソースアカウントを削除したりすることはないため、作業は発生しません。

   ---

   次のボックスがあります。

   • 「すべて削除」。すべての割り当て済みリソース上の、ユーザーを表すすべてのアカウントを削除するには、このボックスを有効にします。

   • 「すべて割り当て解除」。すべてのリソースアカウントをユーザーから割り当て解除するには、このボックスを有効にします。リソースアカウントは削除されません。

   • 「すべてをリンク解除」。Identity Manager システムからリソースアカウントへのすべてのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。

   これらの制御設定は、「個々のリソースアカウントのプロビジョニング解除」テーブルでの動作よりも優先されます。

3. 「個々のリソースアカウントのプロビジョニング解除」ボックスを使用すると、次のように、リソースアカウントのプロビジョニング解除と比較して、ユーザーのプロビジョニング解除をさらにきめ細かく行えます。

   次のボックスがあります。

   • 「削除」。リソース上のユーザーを表すアカウントを削除するには、このボックスを有効にします。

   • 「割り当て解除」。このボックスを有効にすると、ユーザーをリソースに直接割り当てられなくなります。リソースアカウントは削除されません。

   • 「リンク解除」。Identity Manager システムからリソースアカウントへのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。

   「個々のリソースアカウントのプロビジョニング解除」オプションは、複数の異なるリソースに対してプロビジョニング解除ポリシーを個別に指定する場合に便利です。たとえば、個々の Active Directory ユーザーは削除後に再生成できないグローバル ID を持つため、ほとんどの顧客は Active Directory ユーザーを削除したくないと考えます。一方、プロビジョニング解除設定は新しいリソースを追加するたびに更新しなければならないため、新しいリソースが追加される環境ではこのオプションを使用しないほうが適している場合もあります。

「通知」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「通知」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

すべてのタスクテンプレートは、Identity Manager がプロセスを起動したとき (通常はプロセスの完了後) に、管理者およびユーザーに電子メールで通知を送信する動作をサポートします。「通知」タブを使用してこれらの通知を設定できます。

---

注 –

Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストを管理者、承認者、およびユーザーに配信します。Identity Manager の電子メールテンプレートについては、このガイドの 「電子メールテンプレートのカスタマイズ」の節を参照してください。

---

図 9–5 は、ユーザー作成テンプレートの「通知」ページを示したものです。

図 9–5 「通知」タブ: ユーザー作成テンプレート

ユーザー通知の設定

通知を受けるユーザーを指定するとき、通知のための電子メールを生成するために使われる電子メールテンプレートの名前も指定する必要があります。

作成、更新、または削除中のユーザーに通知するには、図 9–6 に示すように、「ユーザーへの通知」チェックボックスをオンにし、リストから電子メールテンプレートを選択します。

図 9–6 電子メールテンプレートの指定

管理者通知の設定

管理者通知の受信者を Identity Manager で決定する方法を指定するには、「通知の受信者を決定する方法」メニューからオプションを選択します。

使用できるオプションは次のとおりです。

• 「なし」(デフォルト)。通知される管理者はいません。

• 「属性」。通知の受信者のアカウント ID を、ユーザービューで指定された属性から取得する場合に選択します。詳細は、「属性による管理者通知の受信者の指定」を参照してください。

• 「規則」。指定された規則を評価することによって通知の受信者のアカウント ID を取得する場合に選択します。詳細は、「規則による管理者通知の受信者の指定」を参照してください。

• 「クエリー」。特定のリソースへのクエリーを作成することによって通知の受信者のアカウント ID を取得する場合に選択します。詳細は、「クエリーによる管理者通知の受信者の指定」を参照してください。

• 「管理者リスト」。リストから通知受信者を明示的に選択する場合に選択します。詳細は、「属性による管理者通知の受信者の指定」を参照してください。

属性による管理者通知の受信者の指定

---

注 –

この属性により、1 つのアカウント ID を表す文字列、またはアカウント ID のリストが決まります。

---

指定された属性から通知受信者のアカウント ID を取得する

1. 「通知の受信者を決定する方法」メニューから「属性」を選択します。次の図に示すように、新しいオプションが表示されます。

   図 9–7 管理者通知: 属性

   
   

   次のオプションがあります。

   • 「通知の受信者の属性」。受信者のアカウント ID の決定に使用される属性のリスト (このテンプレートに設定されているタスクに関連付けられたビューに、現在定義されている属性) が返されます。

   • 「電子メールテンプレート」。電子メールテンプレートリストが返されます。

2. 「通知の受信者の属性」メニューから属性を選択します。

   メニューの隣にあるテキストフィールドに属性名が表示されます。

3. 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

規則による管理者通知の受信者の指定

---

注 –

評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

---

指定された規則から通知受信者のアカウント ID を取得する

1. 「通知の受信者を決定する方法」メニューから「規則」を選択します。「通知」フォームに次の新しいオプションが表示されます。

   図 9–8 管理者通知: 規則

   
   

   • 「通知の受信者の規則」。規則が評価されると、受信者のアカウント ID を返すための規則のリスト (システムに現在定義されているもの) が返されます。

   • 「電子メールテンプレート」。電子メールテンプレートリストが返されます。

2. 「通知の受信者の規則」メニューから規則を選択します。

3. 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

クエリーによる管理者通知の受信者の指定

---

注 –

現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。

---

指定されたリソースへのクエリーを作成することによって通知受信者のアカウント ID を取得する

1. 「通知の受信者を決定する方法」メニューから「クエリー」を選択します。図 9–9 に示すように、「通知」フォームに新しいオプションが表示されます。

   図 9–9 管理者通知: クエリー

   
   

   「通知の受信者の管理者のクエリー」テーブルは、クエリーを作成するための次のメニューで構成されます。

   • 「問い合わせ先のリソース」。システムに現在定義されているリソースのリストが返されます。

   • 「問い合わせ先のリソース属性」。システムに現在定義されているリソース属性のリストが返されます。

   • 「比較対象の属性」。システムに現在定義されている属性のリストが返されます。

   • 「電子メールテンプレート」。電子メールテンプレートリストが返されます。

2. これらのメニューからリソース、リソース属性、および比較対象の属性を選択し、クエリーを作成します。

3. 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

管理者リストから管理者通知の受信者を指定する

1. 「通知の受信者を決定する方法」メニューから「管理者リスト」を選択します。次の図に示すように、「通知」フォームに新しいオプションが表示されます。

   図 9–10 管理者通知: 管理者リスト

   
   

   次のオプションがあります。

   • 「通知する管理者」。選択ツールおよび通知できる管理者のリストが返されます。

   • 「電子メールテンプレート」。電子メールテンプレートリストが返されます。

2. 「利用可能な管理者」リストから 1 人以上の管理者を選択し、「選択された管理者」リストに移動します。

3. 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

「承認」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「承認」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」の節を参照してください。

Identity Manager がユーザーの作成、削除、または更新の各タスクを実行する前に、「承認」タブを使用して、追加の承認者やタスク承認フォームの属性を指定することができます。

従来、特定の組織、リソース、またはロールに関連付けられた管理者は、実行前に所定のタスクを承認する必要がありました。Identity Manager では、「追加の承認者」を指定することもできます。タスクを承認する必要のある追加の管理者です。

---

注 –

ワークフローに対して追加の承認者を設定する場合、従来からの承認者による承認に加えて、テンプレートで指定された追加の承認者による承認もリクエストすることになります。

---

図 9–11 は、初期状態の「承認」ページの管理者ユーザーインタフェースの例です。

図 9–11 「承認」タブ: ユーザー作成テンプレート

承認を設定する

1. 「承認の有効化」セクションに必要な情報を指定します (「承認の有効化 (「承認」タブ、「承認の有効化」セクション)」を参照)。

2. 「追加の承認者」セクションに必要な情報を指定します (「追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)。」を参照)。

3. ユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ、「承認フォーム設定」セクションに必要な情報を指定します (「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」を参照)。

4. 「承認」タブの設定を完了したら、次の処理を実行できます。

   • 別のタブを選択して、テンプレートの編集を続けます。

   • 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。

   • 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。

承認の有効化 (「承認」タブ、「承認の有効化」セクション)

次のそれぞれの「承認の有効化」チェックボックスを使用して、ユーザー作成、ユーザー削除、またはユーザー更新の各タスクの実行前に承認をリクエストするように設定します。

---

注 –

デフォルトでは、これらのチェックボックスはユーザー作成テンプレートおよびユーザー更新テンプレートに対しては有効になっていますが、ユーザー削除テンプレートに対しては「無効」になっています。

---

• 「組織の承認」。設定済みの任意の組織承認者による承認を必須とするには、このチェックボックスをオンにします。

• 「リソースの承認」。設定済みの任意のリソース承認者による承認を必須とするには、このチェックボックスをオンにします。

• 「ロールの承認」。設定済みの任意のロール承認者による承認を必須とするには、このチェックボックスをオンにします。

追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)。

「追加の承認者を決定する方法」メニューを使用して、Identity Manager がユーザー作成、ユーザー削除、またはユーザー更新の各タスクに対して追加の承認者を決定する方法を指定します。

このメニューのオプションを表 9–1 に示します。

表 9–1 メニューオプションからの追加の承認者の決定

オプション	説明
なし (デフォルト)	タスク実行のために追加の承認者は必要ありません。
属性	承認者のアカウント ID は、ユーザーのビューで指定された属性の内部から取得されます。
規則	承認者のアカウント ID は、指定された規則を評価することで取得されます。
クエリー	承認者のアカウント ID は、特定のリソースを問い合わせることで取得されます。
管理者リスト	承認者はリストから明示的に選択されます。

(「なし」を除く) これらのオプションのいずれかを選択すると、管理者ユーザーインタフェースに追加のオプションが表示されます。

以下の各節の指示に従って、追加の承認者を決定する方法を指定します。

属性から追加の承認者を決定する

属性から追加の承認者を決定するには、次の手順に従います。

1. 「追加の承認者を決定する方法」メニューから「属性」を選択します。

   ---

   注 –

   この属性により、1 つのアカウント ID を表す文字列、またはアカウント ID のリストが決まります。

   ---

   次の図に示すように、新しいオプションが表示されます。

   図 9–12 追加の承認者: 属性

   
   

   • 「承認者の属性」。承認者のアカウント ID の決定に使用される属性のリスト (このテンプレートに設定されているタスクに関連付けられたビューに、現在定義されている属性) が返されます。

   • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

     「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

2. 「承認者の属性」メニューを使用して属性を選択します。

   選択した属性が隣のテキストフィールドに表示されます。

3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

   • タイムアウト期間を指定する場合の手順は、「承認タイムアウトを設定する」を参照してください。

   • タイムアウト期間を指定しない場合は、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、変更を保存して別のタブの設定を続けます。

規則から追加の承認者を決定する

指定された規則から承認者のアカウント ID を取得するには、次の手順に従います。

1. 「追加の承認者を決定する方法」メニューから「規則」を選択します。

   ---

   注 –

   評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

   ---

   次の図に示すように、新しいオプションが表示されます。

   図 9–13 追加の承認者: 規則

   
   

   • 「承認者の規則」。規則が評価されると、受信者のアカウント ID を返すための規則のリスト (システムに現在定義されているもの) が返されます。

   • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

     「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

2. 「承認者の規則」メニューから規則を選択します。

3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

   • タイムアウト期間を指定する場合の手順は、「承認タイムアウトを設定する」を参照してください。

   • タイムアウト期間を指定しない場合は、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、変更を保存して別のタブの設定を続けます。

クエリーから追加の承認者を決定する

指定されたリソースへのクエリーを作成することによって承認者のアカウント ID を取得するには、次の手順に従います。

---

注 –

現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。

---

1. 「追加の承認者を決定する方法」メニューから「クエリー」を選択します。次の図に示すように、新しいオプションが表示されます。

   図 9–14 追加の承認者: クエリー

   
   

   • 「承認の管理者のクエリー」。次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。

     • 「問い合わせ先のリソース」。システムに現在定義されているリソースのリストが返されます。

     • 「問い合わせ先のリソース属性」。システムに現在定義されているリソース属性のリストが返されます。

     • 「比較対象の属性」。システムに現在定義されている属性のリストが返されます。

   • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

     ---

     注 –

     「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

     ---

2. 次のようにしてクエリーを作成します。

   1. 「問い合わせ先のリソース」メニューからリソースを選択します。

   2. 「問い合わせ先のリソース属性」メニューおよび「比較対象の属性」メニューから属性を選択します。

3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

   • タイムアウト期間を指定する場合の手順は、「承認タイムアウトを設定する」を参照してください。

   • タイムアウト期間を指定しない場合は、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、変更を保存して別のタブの設定を続けます。

管理者リストから追加の承認者を決定する

管理者リストから追加の承認者を明示的に選択するには、次の手順に従います。

1. 「追加の承認者を決定する方法」メニューから「管理者リスト」を選択します。次の図に示すように、新しいオプションが表示されます。

   図 9–15 追加の承認者: 管理者リスト

   
   

   • 「通知する管理者」。選択ツールおよび通知できる管理者のリストが返されます。

   • 「承認フォーム」。追加の承認者が承認リクエストを承認または拒否するために使用できるユーザーフォームのリストが提示されます。

   • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

   「承認がタイムアウトになるまでの時間」は、最初の承認とエスカレーションされた承認の両方に影響します。

2. 「利用可能な管理者」リストから 1 人以上の管理者を選択し、選択した名前を「選択された管理者」リストに移動します。

3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

   • タイムアウト期間を指定する場合の手順は、「承認タイムアウトを設定する」を参照してください。

   • タイムアウト期間を指定しない場合は、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進みます。

承認タイムアウトを設定する

「承認がタイムアウトになるまえでの時間」セクションで承認タイムアウトを設定するには、次の手順に従います。

1. 「承認がタイムアウトになるまでの時間」チェックボックスを選択します。

   次の図に示すように、隣接するテキストフィールドとメニューがアクティブになり、「タイムアウトのアクション」オプションが表示されます。

   図 9–16 承認のタイムアウトのオプション

   
   

2. 次のように、「承認がタイムアウトになるまでの時間」のテキストフィールドとメニューを使用してタイムアウト時間を指定します。

   1. メニューから「秒」、「分」、「時間」、または「日」を選択します。

   2. テキストフィールドに数値を入力して、タイムアウトの秒数、分数、時間数、または日数を指定します。

      ---

      注 –

      「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

      ---

3. 「タイムアウトのアクション」ボタンを使用して、承認リクエストがタイムアウトしたときの動作を選択します。

   次のいずれかをクリックします。

   • 「リクエストの拒否」。指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager は自動的にそのリクエストを拒否します。

   • 「承認のエスカレーション」。指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager はそのリクエストを別の承認者に自動的にエスカレーションします。

     このラジオボタンを選択すると、エスカレーションされた承認の承認者を Identity Manager が決定する方法を指定する必要があるため、新しいオプションが表示されます。手順については、「「エスカレーション承認者を決定する方法」セクションを設定する方法」を参照してください。

   • 「タスクの実行」。指定されたタイムアウト時間までに承認リクエストが承認されない場合、Identity Manager は自動的に代替のタスクを実行します。

     このラジオボタンを選択すると、承認リクエストがタイムアウトした場合に実行するタスクを指定するための「承認のタイムアウト時のタスク」メニューが表示されます。手順については、「「承認のタイムアウト時のタスク」セクションを設定する」を参照してください。

「エスカレーション承認者を決定する方法」セクションを設定する方法

「タイムアウトのアクション」セクションの「承認のエスカレーション」を選択すると (「承認タイムアウトを設定する」)、次の図に示すように、「エスカレーション承認者を決定する方法」メニューが表示されます。

1. このメニューからオプションを選択して、エスカレーションされた承認の承認者を決定する方法を指定します。

   次のオプションがあります。

   • 「属性」。新しいユーザーのビューで指定された属性の内部から承認者のアカウント ID を決定します。

     ---

     注 –

     この属性により、1 つのアカウント ID を表す文字列、またはアカウント ID のリストが決まります。

     ---

     このオプションを選択すると、「エスカレーション管理者属性」メニューが表示されます。リストから属性を選択すると、次の図に示すように、選択した属性が隣のテキストフィールドに表示されます。

     

   • 「規則」。指定された規則を評価することによって承認者のアカウント ID を決定します。

     ---

     注 –

     評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

     ---

     このオプションを選択すると、次の図に示すように、「エスカレーション管理者規則」メニューが表示されます。リストから規則を選択します。

     

   • 「クエリー」。特定のリソースを問い合わせることで承認者のアカウント ID を決定します。

     次の図に示すように「エスカレーション管理者クエリー」メニューが表示されます。

     次のようにクエリーを作成します。

     1. 「問い合わせ先のリソース」メニューからリソースを選択します。

     2. 「問い合わせ先のリソース属性」メニューから属性を選択します。

     3. 「比較対象の属性」メニューから属性を選択します。

        

   • 「管理者リスト」(デフォルト)。リストから承認者を明示的に選択します。

     次の図に示すように「エスカレーション管理者」選択ツールが表示されます。

     

     次のように承認者を選択します。

     1. 「利用可能な管理者」リストから、1 人または複数の管理者の名前を選択します。

     2. 選択した名前を「選択された管理者」リストに移動します。

「承認のタイムアウト時のタスク」セクションを設定する

「タイムアウトのアクション」セクションの「タスクの実行」オプションを選択すると (「承認タイムアウトを設定する」)、次の図に示すように「承認のタイムアウト時のタスク」メニューが表示されます。

1. 承認リクエストがタイムアウトした場合に実行するタスクを選択します。

   たとえば、リクエスト者がヘルプデスクリクエストを送信したり、レポートを管理者に送信したりすることを許可できます。

承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)

---

注 –

ユーザー削除テンプレートには「承認フォーム設定」セクションは含まれません。このセクションはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ設定できます。

---

「承認フォーム設定」セクションの機能を使用して、承認フォームの選択や、属性の承認フォームへの追加 (または承認フォームからの削除) を行うことができます。

図 9–17 承認フォーム設定

デフォルトでは、「承認時に表示する属性」テーブルには次の標準属性が含まれます。

• user.waveset.accountId

• user.waveset.roles

• user.waveset.organization

• user.global.email

• user.waveset.resources

---

注 –

デフォルトの承認フォームは、承認属性の表示を許可するように設定されています。デフォルトフォーム以外の承認フォームを使用する場合、「承認時に表示する属性」テーブルで指定された承認属性を表示するようにフォームを設定する必要があります。

---

追加の承認者の承認フォームを設定する

1. 「承認フォーム」メニューからフォームを選択します。

   承認者は、このフォームを使用して承認リクエストを承認または拒否します。

2. 承認者による属性値の編集を許可する場合、「承認時に表示する属性」テーブルで、各属性の「編集可能」列のチェックボックスをオンにします。

   たとえば、user.waveset.accountId 属性のチェックボックスをオンにすると、承認者はユーザーのアカウント ID を変更できます。

   ---

   注 –

   承認フォーム内でアカウント固有の属性値を変更すると、ユーザーが実際にプロビジョニングされるときに、同じ名前のグローバル属性値もすべてオーバーライドされます。たとえば、スキーマ属性 description を持つリソース R1 がシステムに存在し、user.accounts[R1].description 属性を編集可能な属性として承認フォームに追加する場合、承認フォーム内で description 属性の値を変更すると、リソース R1 のみを対象に、global.description から伝播された値がオーバーライドされます。

   ---

3. 「属性の追加」または「選択している属性の削除」ボタンをクリックして、新しいユーザーのアカウントデータ内の属性のうち承認フォームに表示するものを指定します。

   • 属性をフォームに追加する方法については、「属性を承認フォームに追加する」を参照してください。

   • 属性をフォームから削除する方法については、「属性の削除」を参照してください。

   デフォルトの属性を承認フォームから削除するには、XML ファイルを修正する必要があります。

属性を承認フォームに追加する

1. 「承認時に表示する属性」テーブルの下にある「属性の追加」ボタンをクリックします。

   次の図に示すように、「承認時に表示する属性」テーブルの「属性名」列内で選択メニューがアクティブになります。

   図 9–18 承認属性の追加

   
   

2. メニューから属性を選択します。

   選択された属性名が隣のテキストフィールドに表示され、属性のデフォルトの表示名が「フォーム表示名」列に表示されます。

   たとえば、user.waveset.organization 属性を選択した場合は、次のことができます。

   • 必要に応じて、それぞれのテキストフィールドに新しい名前を入力することによって、デフォルトの属性名またはデフォルトのフォーム表示名を変更します。

   • 「編集可能」チェックボックスを有効にして、承認者による属性値の変更を許可します。

     たとえば、あらかじめ定義されているユーザーの電子メールアドレスなどの情報を承認者が変更する場合があります。

3. これらの手順を繰り返して、必要な属性を指定します。

属性の削除

---

注 –

デフォルトの属性を承認フォームから削除するには、XML ファイルを修正する必要があります。

---

属性を承認フォームから削除する

1. 「承認時に表示する属性」テーブルの左端の列で、1 つ以上のチェックボックスをオンにします。

2. 「選択している属性の削除」ボタンをクリックすると、選択した属性が「承認時に表示する属性」テーブルからただちに削除されます。

   たとえば、次の状態のテーブルで「選択している属性の削除」ボタンをクリックすると、user.global.firstname および user.waveset.organization がテーブルから削除されます。

   図 9–19 承認属性の削除

   
   

「監査」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「監査」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

設定可能なすべてのタスクテンプレートで、特定のタスクを監査するためのワークフローを設定することができます。特に、「監査」タブを設定することにより、ワークフローイベントの監査の有無や、レポート対象として記録する属性を指定することができます。

図 9–20 ユーザー作成テンプレートの監査

監査を設定する

1. 「ワークフロー全体の監査」チェックボックスを選択して、ワークフローの監査機能を有効にします。

   ワークフローの監査については、「ワークフローからの監査イベントの作成」を参照してください。ワークフローの監査を行うとパフォーマンスは低下します。

2. 「属性の監査」セクションの「属性の追加」ボタンをクリックして、レポート対象として監査する属性を選択します。

3. 「属性の監査」テーブルに「属性の選択」メニューが表示されたら、リストから属性を選択します。

   選択した属性名が隣のテキストフィールドに表示されます。

   図 9–21 属性の追加

   
   

属性を削除する

1. 削除する属性に隣接するチェックボックスを有効にします。

   図 9–22 user.global.email 属性の削除

   
   

2. 「選択している属性の削除」ボタンをクリックします。

「プロビジョニング」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「プロビジョニング」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

---

注 –

このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。

---

図 9–23 「プロビジョニング」タブ: ユーザー作成テンプレート

「プロビジョニング」タブでは、プロビジョニングに関連する次のオプションを設定できます。

• 「バックグラウンドでプロビジョニング」。作成、削除、または更新タスクを同期的に実行するのではなくバックグラウンドで実行するには、このチェックボックスをオンにします。

  バックグラウンドでプロビジョニングを行うことにより、タスクの実行中も Identity Manager での作業を継続できます。

• 「再試行リンクをタスク結果に追加します。」。タスクの実行からのエラー結果をプロビジョニングするときにユーザーインタフェースに再試行リンクを追加するには、このチェックボックスをオンにします。再試行リンクにより、ユーザーは最初の試行でタスクが失敗した場合にタスクを再試行できます。

「サンライズとサンセット」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「サンライズとサンセット」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

---

注 –

このタブはユーザー作成タスクテンプレートのみに対して使用できます。

---

「サンライズとサンセット」タブでは、次のアクションが行われる日時を決定するための方法を選択できます。

• 新しいユーザーのプロビジョニングが行われる (サンライズ)。

• 新しいユーザーのプロビジョニング解除が行われる (サンセット)。

たとえば、6 ヶ月後に契約が終了する派遣社員に対してサンセット日付を指定できます。

図 9–24 に「サンライズとサンセット」タブでの設定を示します。

図 9–24 「サンライズとサンセット」タブ: ユーザー作成テンプレート

以下のトピックでは、「サンライズとサンセット」タブの設定手順を説明します。

サンライズの設定

新しいユーザーのプロビジョニングを行う日時を指定し、サンライズの作業項目を所有するユーザーを指定して、サンライズの設定を行います。

サンライズを設定する

1. 「サンライズを決定する方法」メニューから次のいずれかのオプションを選択して、Identity Manager がプロビジョニングの日時を決定する方法を指定します。

   • 「指定された経過時間」。指定した時間後にプロビジョニングを実行します。手順については、「指定した時間後にプロビジョニングを実行する」を参照してください。

   • 「日付の指定」。指定したカレンダー日付にプロビジョニングを実行します。手順については、「指定したカレンダー日付にプロビジョニングを実行する」を参照してください。

   • 「属性の指定」。ユーザービューの属性値に基づいて指定した日時にプロビジョニングを実行します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべきデータ形式を指定できます。

     手順については、「属性の指定によってプロビジョニング日時を決定する」を参照してください。

   • 「規則の指定」。評価されたときに日付/時刻文字列を生成する規則に基づいて、プロビジョニングの実行を遅延します。属性を指定するとき、データが従うべきデータ形式を指定できます。

     手順については、「規則の評価によってプロビジョニング日時を決定する」を参照してください。

   「サンライズを決定する方法」メニューのデフォルトでは、プロビジョニングをただちに行うようにする「なし」が選択されています。

2. 「作業項目の所有者」メニューからユーザーを選択して、サンライズの作業項目を所有する人物を指定します。

   ---

   注 –

   サンライズ作業項目は「承認」タブから利用可能です。

   ---

指定された経過時間

この節では、特定の時間後にプロビジョニングを実行する手順について説明します。

指定した時間後にプロビジョニングを実行する

1. 「サンライズを決定する方法」メニューから「指定された経過時間」を選択します。

2. 「サンライズを決定する方法」メニューの右側に新しいテキストフィールドとメニューが表示されたら、空のテキストフィールドに数値を入力し、メニューから時間の単位を選択します。

   たとえば、2 時間後に新しいユーザーをプロビジョニングするには、次の図に示す情報を指定します。

   図 9–25 2 時間後の新しいユーザーのプロビジョニング

   
   

指定したカレンダー日付にプロビジョニングを実行する

この節では、特定の日付にプロビジョニングを実行する手順について説明します。

1. 「サンライズを決定する方法」メニューから「指定された日」を選択します。

2. 表示されるメニューオプションを使用して、プロビジョニングを実行する週、曜日、および月を指定します。

   たとえば、新しいユーザーを 9 月の第 2 月曜日にプロビジョニングするには、次の情報を指定します。

   図 9–26 日付による新しいユーザーのプロビジョニング

   
   

属性の指定によってプロビジョニング日時を決定する

この節では、ユーザーアカウントデータの属性値に基づいてプロビジョニング日時を決定する手順について説明します。

1. 「サンライズを決定する方法」メニューから「属性」を選択します。

   次のオプションがアクティブになります。

   • 「サンライズの属性」メニュー。このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが提示されます。

   • 「特定の日付形式」チェックボックスとメニュー。属性値の日付形式文字列を指定できます (必要に応じて)。

   「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全なリストについては、製品のドキュメントを参照してください。

2. 「サンライズの属性」メニューから属性を選択します。

3. 必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。

   たとえば、ユーザーの waveset.accountId 属性値に基づき、日、月、および年の形式を使用して新しいユーザーをプロビジョニングするには、次の図に示す情報を指定します。

   図 9–27 属性による新しいユーザーのプロビジョニング

   
   

規則の評価によってプロビジョニング日時を決定する

この節では、特定の規則を評価することによってプロビジョニング日時を決定する手順について説明します。

1. 「サンライズを決定する方法」メニューから「規則」を選択します。

   次のオプションがアクティブになります。

   • 「サンライズの規則」メニュー。システムに現在定義されている規則のリストが返されます。

   • 「特定の日付形式」チェックボックスとメニュー。規則が返す値の日付形式文字列を指定できます (必要に応じて)。

   「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全なリストについては、製品のドキュメントを参照してください。

2. 「サンライズの規則」メニューから規則を選択します。

3. 必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。

   たとえば、「電子メール」規則に基づき、年、月、日、時、分、および秒の形式を使用して新しいユーザーをプロビジョニングするには、次の図に示す情報を指定します。

   図 9–28 規則の使用による新しいユーザーのプロビジョニング

   
   

サンセットの設定

サンセット (プロビジョニング解除) を設定するためのオプションおよび手順は基本的に、「サンライズの設定」で説明した、サンライズ (プロビジョニング) の設定に使用するものと同じです。

唯一の違いは、「サンセット」セクションには「サンセットタスク」メニューがある点です。このメニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定する必要があります。

サンセットを設定する

1. 「サンセットを決定する方法」メニューを使用して、プロビジョニング解除がいつ行われるかを決定するための方法を指定します。

   ---

   注 –

   「サンセットを決定する方法」メニューでは、プロビジョニング解除をただちに行える「なし」オプションがデフォルトによって選択されます。

   ---

   • 「指定された経過時間」。指定した時間後にプロビジョニングを解除します。手順については、「指定した時間後にプロビジョニングを実行する」を参照してください。

   • 「指定された日」。指定したカレンダー日付にプロビジョニングを解除します。手順については、「指定したカレンダー日付にプロビジョニングを実行する」を参照してください。

   • 「属性」。ユーザーのアカウントデータ内の属性値に基づいて、指定した日時にプロビジョニングを解除します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべき日付形式を指定できます。手順については、「属性の指定によってプロビジョニング日時を決定する」を参照してください。

   • 「規則」。評価されたときに日付/時刻文字列を生成する規則に基づいて、プロビジョニング解除を遅延します。属性を指定するとき、データが従うべき日付形式を指定できます。

     手順については、「規則の評価によってプロビジョニング日時を決定する」を参照してください。

2. 「サンセットタスク」メニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定します。

「データ変換」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「データ変換」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」を参照してください。

---

注 –

このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。

---

ワークフローの実行時にユーザーアカウントデータを変更する場合、「データ変換」タブを使用して、Identity Manager がプロビジョニング中にデータを変換する方法を指定できます。

例としては、企業のポリシーに準拠した電子メールアドレスをフォームまたは規則に生成させたい場合や、サンライズまたはサンセット日付を生成したい場合があります。

「データ変換」タブを選択すると、次のページが表示されます。

図 9–29 「データ変換」タブ: ユーザー作成テンプレート

このページは、次のセクションで構成されています。

• 「承認アクション前」。指定された承認者に承認リクエストを送信する前にユーザーアカウントデータを変換する場合、このセクションのオプションを設定します。

• 「プロビジョニングアクション前」。プロビジョニングアクションの前にユーザーアカウントデータを変換する場合、このセクションのオプションを設定します。

• 「通知アクション前」。指定された受信者に通知が送信される前にユーザーアカウントデータを変換する場合、このセクションのオプションを設定します。

各セクションで、次のオプションを設定できます。

• 「適用するフォーム」メニュー。システムに現在設定されているフォームのリストが返されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われるフォームを指定します。

• 「実行する規則」メニュー。システムに現在設定されている規則のリストが返されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われる規則を指定します。