test

Sun Identity Manager 8.1 ビジネス管理者ガイド

「承認」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「承認」タブの設定手順を説明します。設定プロセスの開始手順については、「タスクテンプレートの設定」の節を参照してください。

Identity Manager がユーザーの作成、削除、または更新の各タスクを実行する前に、「承認」タブを使用して、追加の承認者やタスク承認フォームの属性を指定することができます。

従来、特定の組織、リソース、またはロールに関連付けられた管理者は、実行前に所定のタスクを承認する必要がありました。Identity Manager では、「追加の承認者」を指定することもできます。タスクを承認する必要のある追加の管理者です。

注 –

ワークフローに対して追加の承認者を設定する場合、従来からの承認者による承認に加えて、テンプレートで指定された追加の承認者による承認もリクエストすることになります。

図 9–11 は、初期状態の「承認」ページの管理者ユーザーインタフェースの例です。

図 9–11 「承認」タブ: ユーザー作成テンプレート

最初の「承認」ページを示す図

Procedure承認を設定する

  1. 「承認の有効化」セクションに必要な情報を指定します (「承認の有効化 (「承認」タブ、「承認の有効化」セクション)」を参照)。

  2. 「追加の承認者」セクションに必要な情報を指定します (「追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)。」を参照)。

  3. ユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ、「承認フォーム設定」セクションに必要な情報を指定します (「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」を参照)。

  4. 「承認」タブの設定を完了したら、次の処理を実行できます。

    • 別のタブを選択して、テンプレートの編集を続けます。

    • 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。

    • 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。

承認の有効化 (「承認」タブ、「承認の有効化」セクション)

次のそれぞれの「承認の有効化」チェックボックスを使用して、ユーザー作成、ユーザー削除、またはユーザー更新の各タスクの実行前に承認をリクエストするように設定します。

注 –

デフォルトでは、これらのチェックボックスはユーザー作成テンプレートおよびユーザー更新テンプレートに対しては有効になっていますが、ユーザー削除テンプレートに対しては「無効」になっています。

追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)。

「追加の承認者を決定する方法」メニューを使用して、Identity Manager がユーザー作成、ユーザー削除、またはユーザー更新の各タスクに対して追加の承認者を決定する方法を指定します。

このメニューのオプションを表 9–1 に示します。

表 9–1 メニューオプションからの追加の承認者の決定

オプション 

説明 

なし (デフォルト)

タスク実行のために追加の承認者は必要ありません。 

属性 

承認者のアカウント ID は、ユーザーのビューで指定された属性の内部から取得されます。 

規則 

承認者のアカウント ID は、指定された規則を評価することで取得されます。 

クエリー 

承認者のアカウント ID は、特定のリソースを問い合わせることで取得されます。 

管理者リスト 

承認者はリストから明示的に選択されます。 

(「なし」を除く) これらのオプションのいずれかを選択すると、管理者ユーザーインタフェースに追加のオプションが表示されます。

以下の各節の指示に従って、追加の承認者を決定する方法を指定します。

Procedure属性から追加の承認者を決定する

属性から追加の承認者を決定するには、次の手順に従います。

  1. 「追加の承認者を決定する方法」メニューから「属性」を選択します。

    注 –

    この属性により、1 つのアカウント ID を表す文字列、またはアカウント ID のリストが決まります。

    次の図に示すように、新しいオプションが表示されます。

    図 9–12 追加の承認者: 属性

    「追加の承認者」セクションの新しいオプションを示す図。

    • 「承認者の属性」。承認者のアカウント ID の決定に使用される属性のリスト (このテンプレートに設定されているタスクに関連付けられたビューに、現在定義されている属性) が返されます。

    • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

      「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

  2. 「承認者の属性」メニューを使用して属性を選択します。

    選択した属性が隣のテキストフィールドに表示されます。

  3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

Procedure規則から追加の承認者を決定する

指定された規則から承認者のアカウント ID を取得するには、次の手順に従います。

  1. 「追加の承認者を決定する方法」メニューから「規則」を選択します。

    注 –

    評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

    次の図に示すように、新しいオプションが表示されます。

    図 9–13 追加の承認者: 規則

    「追加の承認者」の新しいオプションを示す図

    • 「承認者の規則」。規則が評価されると、受信者のアカウント ID を返すための規則のリスト (システムに現在定義されているもの) が返されます。

    • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

      「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

  2. 「承認者の規則」メニューから規則を選択します。

  3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

Procedureクエリーから追加の承認者を決定する

指定されたリソースへのクエリーを作成することによって承認者のアカウント ID を取得するには、次の手順に従います。

注 –

現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。

  1. 「追加の承認者を決定する方法」メニューから「クエリー」を選択します。次の図に示すように、新しいオプションが表示されます。

    図 9–14 追加の承認者: クエリー

    「追加の承認者」セクションに表示される新しいオプションを示す図

    • 「承認の管理者のクエリー」。次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。

      • 「問い合わせ先のリソース」。システムに現在定義されているリソースのリストが返されます。

      • 「問い合わせ先のリソース属性」。システムに現在定義されているリソース属性のリストが返されます。

      • 「比較対象の属性」。システムに現在定義されている属性のリストが返されます。

    • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

      注 –

      「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

  2. 次のようにしてクエリーを作成します。

    1. 「問い合わせ先のリソース」メニューからリソースを選択します。

    2. 「問い合わせ先のリソース属性」メニューおよび「比較対象の属性」メニューから属性を選択します。

  3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

Procedure管理者リストから追加の承認者を決定する

管理者リストから追加の承認者を明示的に選択するには、次の手順に従います。

  1. 「追加の承認者を決定する方法」メニューから「管理者リスト」を選択します。次の図に示すように、新しいオプションが表示されます。

    図 9–15 追加の承認者: 管理者リスト

    「追加の承認者」セクションに表示される新しいオプションを示す図

    • 「通知する管理者」。選択ツールおよび通知できる管理者のリストが返されます。

    • 「承認フォーム」。追加の承認者が承認リクエストを承認または拒否するために使用できるユーザーフォームのリストが提示されます。

    • 「承認がタイムアウトになるまでの時間」。承認がタイムアウトするまでの時間を指定する方法が返されます。

    「承認がタイムアウトになるまでの時間」は、最初の承認とエスカレーションされた承認の両方に影響します。

  2. 「利用可能な管理者」リストから 1 人以上の管理者を選択し、選択した名前を「選択された管理者」リストに移動します。

  3. 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。

Procedure承認タイムアウトを設定する

「承認がタイムアウトになるまえでの時間」セクションで承認タイムアウトを設定するには、次の手順に従います。

  1. 「承認がタイムアウトになるまでの時間」チェックボックスを選択します。

    次の図に示すように、隣接するテキストフィールドとメニューがアクティブになり、「タイムアウトのアクション」オプションが表示されます。

    図 9–16 承認のタイムアウトのオプション

    「タイムアウトのアクション」オプションを示す図

  2. 次のように、「承認がタイムアウトになるまでの時間」のテキストフィールドとメニューを使用してタイムアウト時間を指定します。

    1. メニューから「秒」、「分」、「時間」、または「日」を選択します。

    2. テキストフィールドに数値を入力して、タイムアウトの秒数、分数、時間数、または日数を指定します。

      注 –

      「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

  3. 「タイムアウトのアクション」ボタンを使用して、承認リクエストがタイムアウトしたときの動作を選択します。

    次のいずれかをクリックします。

    • 「リクエストの拒否」。指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager は自動的にそのリクエストを拒否します。

    • 「承認のエスカレーション」。指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager はそのリクエストを別の承認者に自動的にエスカレーションします。

      このラジオボタンを選択すると、エスカレーションされた承認の承認者を Identity Manager が決定する方法を指定する必要があるため、新しいオプションが表示されます。手順については、「「エスカレーション承認者を決定する方法」セクションを設定する方法」を参照してください。

    • 「タスクの実行」。指定されたタイムアウト時間までに承認リクエストが承認されない場合、Identity Manager は自動的に代替のタスクを実行します。

      このラジオボタンを選択すると、承認リクエストがタイムアウトした場合に実行するタスクを指定するための「承認のタイムアウト時のタスク」メニューが表示されます。手順については、「「承認のタイムアウト時のタスク」セクションを設定する」を参照してください。

Procedure「エスカレーション承認者を決定する方法」セクションを設定する方法

「タイムアウトのアクション」セクションの「承認のエスカレーション」を選択すると (「承認タイムアウトを設定する」)、次の図に示すように、「エスカレーション承認者を決定する方法」メニューが表示されます。

「エスカレーション承認者を決定する方法」メニューを示す図

  1. このメニューからオプションを選択して、エスカレーションされた承認の承認者を決定する方法を指定します。

    次のオプションがあります。

    • 「属性」。新しいユーザーのビューで指定された属性の内部から承認者のアカウント ID を決定します。

      注 –

      この属性により、1 つのアカウント ID を表す文字列、またはアカウント ID のリストが決まります。

      このオプションを選択すると、「エスカレーション管理者属性」メニューが表示されます。リストから属性を選択すると、次の図に示すように、選択した属性が隣のテキストフィールドに表示されます。

      「エスカレーション管理者属性」メニューとテキストフィールドを示す図

    • 「規則」。指定された規則を評価することによって承認者のアカウント ID を決定します。

      注 –

      評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

      このオプションを選択すると、次の図に示すように、「エスカレーション管理者規則」メニューが表示されます。リストから規則を選択します。

      「エスカレーション管理者規則」メニューを示す図

    • 「クエリー」。特定のリソースを問い合わせることで承認者のアカウント ID を決定します。

      次の図に示すように「エスカレーション管理者クエリー」メニューが表示されます。

        次のようにクエリーを作成します。

      1. 「問い合わせ先のリソース」メニューからリソースを選択します。

      2. 「問い合わせ先のリソース属性」メニューから属性を選択します。

      3. 「比較対象の属性」メニューから属性を選択します。

        クエリーを示す図

    • 「管理者リスト」(デフォルト)。リストから承認者を明示的に選択します。

      次の図に示すように「エスカレーション管理者」選択ツールが表示されます。

      「エスカレーション管理者」選択ツールを示す図

        次のように承認者を選択します。

      1. 「利用可能な管理者」リストから、1 人または複数の管理者の名前を選択します。

      2. 選択した名前を「選択された管理者」リストに移動します。

Procedure「承認のタイムアウト時のタスク」セクションを設定する

「タイムアウトのアクション」セクションの「タスクの実行」オプションを選択すると (「承認タイムアウトを設定する」)、次の図に示すように「承認のタイムアウト時のタスク」メニューが表示されます。

「タイムアウトのアクション」セクションの「承認のタイムアウト時のタスク」メニューを示す図

  1. 承認リクエストがタイムアウトした場合に実行するタスクを選択します。

    たとえば、リクエスト者がヘルプデスクリクエストを送信したり、レポートを管理者に送信したりすることを許可できます。

承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)

注 –

ユーザー削除テンプレートには「承認フォーム設定」セクションは含まれません。このセクションはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ設定できます。

「承認フォーム設定」セクションの機能を使用して、承認フォームの選択や、属性の承認フォームへの追加 (または承認フォームからの削除) を行うことができます。

図 9–17 承認フォーム設定

「承認フォーム設定」セクションを示す図

デフォルトでは、「承認時に表示する属性」テーブルには次の標準属性が含まれます。

注 –

デフォルトの承認フォームは、承認属性の表示を許可するように設定されています。デフォルトフォーム以外の承認フォームを使用する場合、「承認時に表示する属性」テーブルで指定された承認属性を表示するようにフォームを設定する必要があります。

Procedure追加の承認者の承認フォームを設定する

  1. 「承認フォーム」メニューからフォームを選択します。

    承認者は、このフォームを使用して承認リクエストを承認または拒否します。

  2. 承認者による属性値の編集を許可する場合、「承認時に表示する属性」テーブルで、各属性の「編集可能」列のチェックボックスをオンにします。

    たとえば、user.waveset.accountId 属性のチェックボックスをオンにすると、承認者はユーザーのアカウント ID を変更できます。

    注 –

    承認フォーム内でアカウント固有の属性値を変更すると、ユーザーが実際にプロビジョニングされるときに、同じ名前のグローバル属性値もすべてオーバーライドされます。たとえば、スキーマ属性 description を持つリソース R1 がシステムに存在し、user.accounts[R1].description 属性を編集可能な属性として承認フォームに追加する場合、承認フォーム内で description 属性の値を変更すると、リソース R1 のみを対象に、global.description から伝播された値がオーバーライドされます。

  3. 「属性の追加」または「選択している属性の削除」ボタンをクリックして、新しいユーザーのアカウントデータ内の属性のうち承認フォームに表示するものを指定します。

    デフォルトの属性を承認フォームから削除するには、XML ファイルを修正する必要があります。

Procedure属性を承認フォームに追加する

  1. 「承認時に表示する属性」テーブルの下にある「属性の追加」ボタンをクリックします。

    次の図に示すように、「承認時に表示する属性」テーブルの「属性名」列内で選択メニューがアクティブになります。

    図 9–18 承認属性の追加

    「承認時に表示する属性」テーブルの「属性名」メニューを示す図

  2. メニューから属性を選択します。

    選択された属性名が隣のテキストフィールドに表示され、属性のデフォルトの表示名が「フォーム表示名」列に表示されます。

    たとえば、user.waveset.organization 属性を選択した場合は、次のことができます。

    • 必要に応じて、それぞれのテキストフィールドに新しい名前を入力することによって、デフォルトの属性名またはデフォルトのフォーム表示名を変更します。

    • 「編集可能」チェックボックスを有効にして、承認者による属性値の変更を許可します。

      たとえば、あらかじめ定義されているユーザーの電子メールアドレスなどの情報を承認者が変更する場合があります。

  3. これらの手順を繰り返して、必要な属性を指定します。

属性の削除

注 –

デフォルトの属性を承認フォームから削除するには、XML ファイルを修正する必要があります。

Procedure属性を承認フォームから削除する

  1. 「承認時に表示する属性」テーブルの左端の列で、1 つ以上のチェックボックスをオンにします。

  2. 「選択している属性の削除」ボタンをクリックすると、選択した属性が「承認時に表示する属性」テーブルからただちに削除されます。

    たとえば、次の状態のテーブルで「選択している属性の削除」ボタンをクリックすると、user.global.firstname および user.waveset.organization がテーブルから削除されます。

    図 9–19 承認属性の削除

    属性の削除方法を示す図