初期設定

サービスプロバイダ機能を設定するには、次の手順に従って、ディレクトリサーバーの Identity Manager 設定オブジェクトを編集します。

• メイン設定の編集

• ユーザー検索設定の編集

---

注 –

続行する前に、次のことを確認してください。

• LDAP リソースが定義されている。デフォルトで、Service Provider End-User Directory という名前のサンプルリソースがインポートされます。ユーザー情報と設定情報を異なるディレクトリに格納する場合は、複数のリソースを設定できます。

• スキーマを XML オブジェクトのマッピングに含める必要があります。

  必要に応じて、サービスプロバイダのアカウントポリシーを設定します。

• ディレクトリリソース用に設定されたベースコンテキストは、そのディレクトリに格納されたユーザーのみに適用されます。

---

メイン設定の編集

サービスプロバイダ実装の設定オブジェクトを編集する

1. 管理者インタフェースで、メニューの「サービスプロバイダ」をクリックします。

2. 「メイン設定の編集」をクリックします。

   「サービスプロバイダ設定」ページが開きます。

3. 「サービスプロバイダ設定」フォームに必要な情報を指定します。

   次の節で説明されている手順に従います。

   • 「ディレクトリの設定」

   • 「ユーザーフォームとポリシー」

   • 「トランザクションデータベース」

   • 「追跡イベント設定」

   • 「同期アカウントインデックス」

   • 「コールアウト設定」

ディレクトリの設定

「ディレクトリ設定」領域では、LDAP ディレクトリの設定情報を入力し、サービスプロバイダユーザーの Identity Manager 属性を指定します。

図 17–1 に、「サービスプロバイダ設定」ページのこの領域と、次の節で説明する「ユーザーフォームとポリシー」領域を示します。

図 17–1 サービスプロバイダ設定 (ディレクトリ、ユーザーフォーム、およびポリシー)

「ディレクトリ設定」フォームに必要な情報を指定する

1. 「Service Provider End-User Directory」をリストから選択します。

   すべての サービスプロバイダユーザーデータが格納されている LDAP ディレクトリリソースを選択します。

2. 「アカウント ID 属性名」を入力します。

   これは、一意の短い識別子を含む LDAP アカウント属性の名前です。これは API を通じた認証およびアカウントアクセスのためのユーザー名と見なされます。属性名をスキーママップで定義する必要があります。

3. 「IDM 組織の属性名」を指定します。

   このオプションには、Identity Manager 内で LDAP アカウントが所属する組織の名前または ID を含む LDAP アカウント属性の名前を指定します。これは、LDAP アカウントの管理を委任する場合に使用されます。属性名は LDAP リソーススキーママップ内に存在する必要があり、Identity Manager システムの属性名 (スキーママップの左側の名前) になります。

   ---

   注 –

   組織認証による委任管理を有効にする場合は、「Identity Manager 組織の属性名」を指定し、さらに、必要に応じて「IDM 組織の属性名が ID を含む」を指定します。

   ---

4. 「IDM 組織の属性名が ID を含む」を選択する場合は、このオプションを有効にします。

   LDAP アカウントが所属する Identity Manager 組織を参照する LDAP リソース属性に、Identity Manager 組織の名前ではなく ID が含まれている場合、このオプションを選択します。

5. 「ユーザー XML の圧縮」を選択する場合は、このオプションを有効にします。

   このオプションは、ユーザー XML を圧縮してディレクトリに保存する場合に選択します。

6. 「ディレクトリ設定のテスト」をクリックして、設定の入力を検証します。

   ---

   注 –

   必要に応じて、「ディレクトリ設定」、「トランザクション設定」、および「監査設定」をテストできます。3 つの設定をすべてテストするには、3 つのテスト設定ボタンをすべてクリックします。

   ---

ユーザーフォームとポリシー

「ユーザーフォームとポリシー」領域では、前の図 17–1に示されているように、サービスプロバイダユーザー管理に使用するフォームとポリシーを指定します。

サービスプロバイダユーザー管理のフォームとポリシーを指定する

1. 「エンドユーザーフォーム」をリストから選択します。

   このフォームは、Delegated Administrator ページ以外のすべての場所で、同期中に使用されます。「なし」を選択すると、デフォルトのユーザーフォームは使用されません。

2. 「管理者ユーザーフォーム」をリストから選択します。

   これは、管理者コンテキストで使用されるデフォルトのユーザーフォームです。これには、サービスプロバイダアカウントの編集ページが含まれます。「なし」を選択すると、デフォルトのユーザーフォームは使用されません。

   ---

   注 –

   「管理者ユーザーフォーム」を選択しなかった場合、管理者は Identity Manager でサービスプロバイダユーザーを作成または編集できません。

   ---

3. 「同期ユーザーフォーム」をリストから選択します。

   サービスプロバイダの同期を実行するリソースにフォームが指定されていない場合、「同期ユーザーフォーム」で指定したフォームがデフォルトのフォームとして使用されます。リソースの同期ポリシーに対して入力フォームが指定されている場合は、代わりにそのフォームが使用されます。リソースは通常、それぞれに異なる同期入力フォームを使用します。この場合は、リストからフォームを選択せずに、各リソースに対して同期ユーザーフォームを設定してください。

4. 「アカウントポリシー」をリストから選択します。

   選択肢には、「設定」>「ポリシー」で定義されたアイデンティティーシステムのアカウントポリシーが含まれます。

5. 「アカウントのロックを判断する規則」をリストから選択します。

   アカウントがロックされているかどうかを判断するために、サービスプロバイダユーザービューで実行する規則を選択します。

6. 「アカウントをロックする規則」を選択します。

   属性を設定するサービスプロバイダユーザービューでアカウントのロックを実行する規則を選択します。

7. 「アカウントをロック解除する規則」を選択します。

   属性を設定するサービスプロバイダユーザービューでアカウントのロック解除を実行する規則を選択します。

トランザクションデータベース

「サービスプロバイダ設定」ページのこの領域では、図 17–2 に示すように、トランザクションデータベースの設定を行います。これらのオプションは、JDBC トランザクション持続ストアを使用する場合にのみ必要です。いずれかの値を変更した場合、変更を適用するにはサーバーを再起動する必要があります。

トランザクションのデータベーステーブルは、create_spe_tables DDL スクリプト (使用している Identity Manager インストールの sample ディレクトリにある) に示されているスキーマに従って設定する必要があります。ターゲットの環境に合うように、適切なスクリプトのカスタマイズが必要な場合があります。

図 17–2 サービスプロバイダ設定 (トランザクションデータベース)

トランザクションデータベースを設定する

1. 次のデータベース情報を入力します。

   • 「ドライバクラス」。JDBC ドライバクラス名を指定します。

   • 「ドライバプリフィックス」。このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。

   • 「接続URL テンプレート」。このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。

   • 「ホスト」。データベースが実行されているホストの名前を入力します。

   • 「ポート」。データベースサーバーがリスニング中のポート番号を入力します。

   • 「データベース名」。使用するデータベースの名前を入力します。

   • 「ユーザー名」。選択したデータベースのトランザクションテーブルおよび監査テーブルの行を読み取り、更新、および削除する権限を持ったデータベースユーザーの ID を入力します。

   • 「パスワード」。データベースユーザーのパスワードを入力します。

   • 「トランザクションテーブル」。保留中のトランザションを格納するために使用する、選択したデータベース内のテーブルの名前を入力します。

2. 必要に応じて、「トランザクション設定のテスト」をクリックしてエントリを検証します。

   「サービスプロバイダ設定」ページの次の領域に進み、追跡するイベントを設定します。

追跡イベント設定

イベント収集を有効にすると、リアルタイムで統計を追跡して、期待されるレベルまたは合意を得たレベルのサービスの維持に役立てることができます。図 17–3 に示すように、イベント収集はデフォルトで有効になっています。「イベント収集の有効化」チェックボックスの選択を解除すると、収集は無効になります。

図 17–3 サービスプロバイダ設定 (追跡イベント、アカウントインデックス、およびコールアウトの設定)

サービスプロバイダの追跡イベントのタイムゾーンと収集間隔を設定する

1. 「タイムゾーン」をリストから選択します。

   追跡イベントの記録時に使用するタイムゾーンを選択します。 サーバーで設定されているタイムゾーンを使用する場合は、「サーバーのデフォルトに設定」を選択します。

2. 「収集するタイムスケール」のオプションを選択します。

   10 秒ごと、1 分ごと、1 時間ごと、1 日ごと、1 週間ごと、および 1 か月ごとの間隔で収集が行われます。収集を行いたくない間隔があれば、その間隔を無効にします。

同期アカウントインデックス

サービスプロバイダ実装でリソースの同期を行う場合、リソースが送信するイベントがサービスプロバイダディレクトリ内のユーザーに正しく関連付けられるように、「アカウントインデックス」を定義する必要がある場合があります。

デフォルトでは、ディレクトリ内の accountId 属性と一致する accountId 属性の値をリソースイベントに含める必要があります。一部のリソースでは、常に accountId が送信されるわけではありません。たとえば、Active Directory からの削除イベントには、Active Directory が生成したアカウント GUID のみが含まれます。

accountId 属性が含まれないリソースには、次のいずれかの属性の値が含まれている必要があります。

• guid。通常、この属性にはシステムが生成する一意の識別子が含まれます。

• identity。 通常、この属性は LDAP リソース以外のすべてのリソースの accountId と同じです。 identity にはオブジェクトの完全 DN が含まれます。

guid または identity を使用して関連付ける必要がある場合は、これらの属性のアカウントインデックスを定義する必要があります。インデックスは、リソース固有のアイデンティティーの保存に使用される可能性のある 1 つ以上のディレクトリユーザー属性を抜粋したものです。identity がディレクトリに保存されると、検索フィルタでそれらを使用して、同期イベントと関連付けることができます。

アカウントインデックスを定義するには、まず、同期に使用するリソースと、そのうちどれにインデックスが必要かを判断します。次に、サービスプロバイダディレクトリのリソース定義を編集し、各 Active Sync リソースの GUID または identity 属性のスキーママップに属性を追加します。たとえば、Active Directory から同期する場合は、manager などの未使用のディレクトリ属性にマップされた AD-GUID という名前の属性を定義します。

リソースのインデックス属性を定義する

サービスプロバイダリソースのインデックス属性のすべてを定義したら、次の手順を実行します。

1. 設定ページの「同期アカウントインデックス」領域で、「新しいインデックス」ボタンをクリックします。

   フォームが展開され、リソース選択フィールドと 2 つの属性選択フィールドが表示されます。属性選択フィールドは、リソースが選択されるまでは空のままです。

2. 「リソース」をリストから選択します。

   これで、選択したリソースのスキーママップに定義された値が属性フィールドに表示されます。

3. 「GUID 属性」または「完全アイデンティティー属性」のどちらかで、適切なインデックス属性を選択します。

   通常は両方を設定する必要はありません。両方を設定すると、最初に GUID、次に完全 ID を使用して関連付けが行われます。

4. ほかのリソースのインデックス属性を定義する場合は、「新しいインデックス」を再度クリックします。

5. インデックスを削除する場合は、「リソース」選択フィールドの右にある「削除」ボタンをクリックします。

   インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

   ---

   注 –

   インデックスを削除すると、設定からインデックスが削除されるだけであり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

   ---

コールアウト設定

コールアウトを有効にする場合は、「コールアウト設定」領域でこのオプションを選択します。コールアウトを有効にすると、コールアウトマッピングが表示され、一覧表示されたトランザクションタイプごとに操作前および操作後のオプションを選択できるようになります。

デフォルトでは、操作前と操作後のオプションは「なし」に設定されます。

操作後のコールアウトを指定する場合、操作後のコールアウト処理が完了するまでトランザクションが待機するように指定するには、「操作後コールアウトを待機」オプションを指定します。これにより、すべての依存トランザクションは、操作後のコールアウトが正常に完了したあとにのみ実行されます。

---

注 –

「サービスプロバイダ設定」ページですべての領域の選択が完了したら、「保存」をクリックして設定を完了します。

---

ユーザー検索設定の編集

このページでは、図 17–4 に示すように、委任された管理者が「サービスプロバイダユーザーの管理」ページで実行する検索に関するデフォルトの検索設定を指定します。このデフォルト設定は、「サービスプロバイダユーザーの管理」ページのすべてのユーザーに適用されますが、セッションごとに別の設定を適用することもできます。

図 17–4 検索設定

サービスプロバイダユーザーを検索するデフォルトの検索設定を行う

1. メニューバーの「サービスプロバイダ」をクリックします。

2. 「ユーザー検索設定の編集」をクリックします。

3. 「返される最大結果数」に数値を入力します (デフォルト値は 100)。

4. 「ページあたりの結果数」に数値を入力します (デフォルト値は 10)。

5. 「表示する結果属性」の横にある「利用可能な属性」を矢印キーで選択します。

6. 「検索する属性」をリストから選択します。

7. 「検索操作」をリストから選択します。

8. 「保存」をクリックします。

   ---

   注 –

   検索設定に加えた変更は、ログオフして再度ログオンするまで有効になりません。

   サービスプロバイダディレクトリが設定されていない場合、これらの設定オブジェクトは使用できません。

   ---