調整ポリシーを編集する

1. 管理者インタフェースで、メニューから「リソース」をクリックします。

2. 「リソースリスト」からリソースを選択します。

3. 「リソースアクション」リストから「調整ポリシーの編集」を選択します。

   「調整ポリシーの編集」ページが表示されます。このページでは、次のようなポリシーの項目を選択できます。

   • 「調整サーバー」。クラスタ環境では、各サーバーが調整を実行できます。ポリシーで、どの Identity Manager サーバーがリソースに対して調整を実行するのかを指定します。

   • 「調整モード」。調整は、いくつかの異なるモードで実行でき、これにより品質を最適化できます。

     • 完全調整。速度が低下しますが、完全性を最適化します。

     • 差分調整。完全性がいくらか低下しますが、速度を最適化します。

       ポリシー内で、Identity Manager がリソースに対して調整を実行するモードを選択します。目的のリソースの調整を無効化する場合は、「調整しない」を選択します。

   • 「完全調整スケジュール」。完全調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。ポリシー中で、完全調整がリソースに対してどのような頻度で実行されるかを指定します。

     • 指示されたスケジュールを上位レベルのポリシーから継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

   • 「差分調整スケジュール」。差分調整モードが有効になっている場合、調整は固定されたスケジュールで自動的に実行されます。

     • 上位レベルのポリシーからスケジュールを継承する場合は、「デフォルトポリシーを継承」オプションを選択します。

     • スケジュールを指定する場合は、「デフォルトポリシーを継承」オプションの選択を解除します。繰り返しのスケジュールを確立するために提供されたフィールドを使用するか、調整スケジュールに対するカスタム調整を作成する場合は、タスクスケジュールの繰り返し規則を使用します。タスクスケジュール繰り返し規則の作成については、「タスクスケジュール繰り返し規則の使用」を参照してください。

     ---

     注 –

     差分調整をサポートしないリソースもあります。

     ---

   • 「属性レベル調整」。調整は、アカウント属性に対してネイティブな (つまり、Identity Manager を通さずに) 変更が加えられたことを検出するように設定できます。「調整アカウント属性」で指定した属性に対するネイティブな変更を検出するかどうかを指定します。

   • 「アカウント相関規則」。アカウント相関規則は、所有者のいない各リソースアカウントの所有者候補となる Identity Manager ユーザーを選択します。所有者のいないリソースアカウントの属性が与えられると、相関規則は、所有者候補のユーザーを選択するために使用される名前のリストまたは属性条件のリストを返します。所有者のいない各アカウントを所有できる Identity Manager ユーザーを検索する規則を選択してください。

   • 「アカウント確認規則」。アカウント確認規則は、相関規則で選択された所有者の候補から所有者でないものを除外します。Identity Manager ユーザーの完全なビューと所有されていないリソースアカウントの属性に対して、確認規則はユーザーがアカウントを所有していれば true を、そうでない場合は false を返します。リソースアカウントの各所有者候補をテストするための規則を選択します。「確認規則なし」を選択した場合、Identity Manager はすべての所有者候補を確認なしで受け入れます。

     ---

     注 –

     お使いの環境で、相関規則が各アカウントに対して多くとも 1 つの所有者しか選択しない場合、確認規則は必要ありません。

     ---

   • 「プロキシ管理者」。調整応答の実行時に使用する管理者を指定します。調整では、指定されたプロキシ管理者が許可されているアクションのみを実行できます。応答は管理者に関連付けられたユーザーフォームを必要に応じて使用します。

     「プロキシ管理者なし」オプションを選択することもできます。このオプションを選択した場合、調整結果は参照できますが、応答アクションやワークフローは実行されません。

   • 「状況オプション」 (および「応答」)。調整では、いくつかの状況が認識されます。状況は次のとおりです。「応答」列で、調整が実行する操作を指定します。

     • CONFIRMED。予想されるアカウントは存在します。

       「CONFIRMED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在する。

     • COLLISION。2 人以上の Identity Manager ユーザーが、1 つのリソースで同じアカウントを割り当てられています。

     • DELETED。予想されるアカウントは存在しません。

       「DELETED」と認識される場合、次の条件が true となっています。

       • Identity Manager で、当該アカウントの存在が予想される。

       • 当該アカウントがリソースに存在しない。

     • FOUND。調整プロセスは、割り当てられたリソースで一致するアカウントを発見しました。

       「FOUND」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在する。

     • MISSING。ユーザーに割り当てられたリソースに一致するアカウントが存在しません。

       「MISSING」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントは存在するとも存在しないとも予想される。(リソースがユーザーに割り当て済みだがまだプロビジョニングされていない場合は、アカウントはリソースに存在することもしないこともある。

       • 当該アカウントがリソースに存在しない。

     • UNASSIGNED。調整プロセスは、このユーザーに割り当てられていないリソースで、一致するアカウントを発見しました。

       「UNASSIGNED」と認識される場合、次の条件が true となっています。

       • Identity Manager で当該アカウントの存在が予想されない。(リソースがユーザーに割り当てられていない場合、Identity Manager ではアカウントが存在しないと予想される)

       • 当該アカウントがリソースに存在する。

     • UNMATCHED。リソースアカウントはどのユーザーとも一致しません。

     • DISPUTED。リソースアカウントは複数のユーザーと一致しています。

       次のいずれかの応答オプションを選択します (状況により、選択できるオプションは異なる)。

       • 「リソースアカウントに基づく新規ユーザーの作成」。リソースアカウント属性に対してユーザーフォームを実行し、新しいユーザーを作成します。リソースアカウントは、どのような変更が行われても更新されません。

       • 「ユーザーのリソースアカウントの作成」。ユーザーフォームを使用してリソースアカウント属性を再生成し、存在しないユーザーアカウントを作成し直します。

       • 「リソースアカウントの削除」または「リソースアカウントの無効化」。リソースのアカウントを削除または無効にします。

       • 「リソースアカウントをユーザーにリンク」および「「ユーザーからリソースアカウントへのリンクの解除」。ユーザーに対するリソースアカウントの割り当てを追加または削除します。フォーム処理は実行されません。

       • 「何もしない」。このオプションは、調整で修復を実行しない場合に選択します。

         調整で見つかったどのアカウント状況も手動で修正できます。メニューで、「リソース」、「アカウントインデックスの検査」の順にクリックします。そこから、調整済みのすべてのアカウントに対して記録された状況を閲覧できます。アカウントを右クリックすると、有効な修復オプションの一覧が表示されます。詳細については、「アカウントインデックスの検査」を参照してください。

   • 「調整前ワークフロー」。リソースを調整する前にユーザー指定のワークフローを実行するように、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「アカウント単位ワークフロー」。リソースアカウントの状況に応答したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。どのワークフローも実行しない場合は、「ワークフローを実行しない」を選択してください。

   • 「調整後ワークフロー」。リソースの調整が完了したあとにユーザー指定のワークフローを実行するよう、調整を設定できます。調整が実行するワークフローを選択してください。ワークフローを実行しない場合は、「ワークフローを実行しない」を選択します。

   • 「状況を説明する」。このオプションを有効にすると、アカウントの状況がどのように分類されたかを説明する追加情報が記録されます。デフォルトでは、このオプションは無効になっています。説明を記録することで、調整プロセスの実行時間が長くなります。

   • 「エラー制限」。このオプションを有効にすると、処理中に指定数のエラーが発生した場合に調整が自動的に終了します。0 を設定すると、エラー数の制限がなくなります。「デフォルトポリシーを継承」オプションの選択を解除すると、「許容最大エラー数」フィールドが表示され、値を入力できます。

   • 「ネイティブに削除されたアカウントの最大数」。このオプションは、リソース上の見つからないアカウントの数を評価し、しきい値を超過した場合に調停サーバーがそれらをリンク解除するのを防ぐための安全措置です。

     この機能を有効にするには、「デフォルトポリシーを継承」チェックボックスをオフにし、「ネイティブに削除されたアカウントの最大許容数」フィールドにパーセンテージを指定します。しきい値は 0 ～ 100 の全パーセンテージに設定する必要があります。(0 に設定すると、この機能はオフになります。)

     削除されたアカウントのパーセンテージがしきい値を超えると、調整は存在しないアカウントに関係しないすべての処理を続行し、エラーありで終了します。

   「保存」をクリックして、ポリシーの変更を保存します。