使用上の注意

ここでは、Domino リソースアダプタの使用に関する情報を示します。 次のトピックで構成されています。

• 「再認証処理」

• 「パスワードの変更」

• 「有効化と無効化」

• 「ID ファイル」

• 「Rename/Move」

• 「リソース名」

• 「ローミングのサポート」

• 「ゲートウェイタイムアウト」

Identity Manager を使用して Domino グループを作成するときに、グループの別名を使用できます。グループの別名は、「Group1;alias1;alias2」という構文で表します。リストにグループ名が表示されるときには、基本名のみが表示されます。

再認証処理

再認証処理は、recertify という名前の Boolean ユーザー属性を使用して実行されます。更新操作中に属性がチェックされ、有効な場合は、ユーザー ID が再認証されます。

再認証処理は adminp 処理によって行われます。つまり、adminp 要求を生成すると、それ以降のいずれかの時点で、その ID の再認証が行われます。再認証のタイミングは、Dimino サーバーの設定に基づいて決まります。

パスワードの変更

Lotus ユーザーには、2 つの異なるパスワードがあります。

• HttpPassword。Web ブラウザまたはその他の HTTP クライアントから Notes サーバーにアクセスするときに使用するパスワード。

• ID ファイル。ユーザーの Notes ID ファイルを暗号化するパスワード。このパスワードは、現在のパスワードを指定しない限り変更できません。結果として、Identity Manager 管理者はこのパスワードを変更できません。

  詳細は、「ID ファイル」を参照してください。

アダプタは、これらのパスワードの一方または両方を管理するように構成できます。

HttpPasswords のみの管理

ID ファイルパスワードではなく HttpPasswords を管理するには、Domino Gateway アダプタを次のように構成します。

• 「変更時にユーザーがパスワードを入力」リソースパラメータを 0 に設定します。

• スキーママップで password リソースユーザー属性を HTTPPassword に変更します。

• HTTPPassword アイデンティティーシステムユーザー属性をスキーママップから削除します。

HttpPasswords と ID ファイルパスワードの管理

ユーザーインタフェースから ID ファイルパスワードを管理したり、管理者インタフェースやユーザーインタフェースから HttpPasswords を管理したりするには、Domino Gateway アダプタを次のように構成します。

• 「変更時にユーザーがパスワードを入力」リソースパラメータを 0 に設定します。

• ID ファイルパスワードは、ユーザーが現在のパスワードを指定しない限り変更できません。現在のパスワードは、スキーママップ内で WS_USER_PASSWORD という名前のアカウント属性として定義される必要があります。この属性が存在し、そのデータ型が暗号化されていることを確認します。

• スキーママップで HTTPPassword リソースユーザー属性を password に変更します。この変更により、password リソースユーザー属性が HTTPPassword とともに、password にマッピングされます。

• Password および LoginChange のビューを WS_USER_PASSWORD アカウント属性に追加します。[IDMIDELong テキストエンティティーを定義してください] またはデバッグページを使用して、リソース定義を次のように編集します。

  <AccountAttributeType id=’66’ name=’WS_USER_PASSWORD’ syntax=’encrypted’ 
    mapName=’WS_USER_PASSWORD’ mapType=’string’>
     <Views>
        <String>Password</String>
        <String>LoginChange</String>
     </Views>
  </AccountAttributeType>

• WS_USER_PASSWORD フィールドおよび idFile フィールドを次のフォームに追加します。

  • マイパスワード変更フォーム

  • パスワード変更フォーム

  • 有効期限切れログインフォーム

    これらのフィールドは、resourceAccounts ビューを指すように定義してください。

    <Field name=’resourceAccounts.currentResourceAccounts[ResourceName].
    attributes.idFile’>
       <Display class=’Text’>
          <Property name=’title’ value=’idfile’/>
       </Display>
    </Field>
    <Field name=’resourceAccounts.currentResourceAccounts[ResourceName].
    attributes.WS_USER_PASSWORD’>
       <Display class=’Text’>
          <Property name=’title’ value=’WS_USER_PASSWORD’/>
       </Display>
    </Field>

ID ファイルパスワードのみの管理

HttpPasswords は管理せずに、ユーザーインタフェースから ID ファイルパスワードを管理するには、Domino Gateway アダプタを次のように構成します。

• 「変更時にユーザーがパスワードを入力」リソースパラメータを 1 に設定します。

• ID ファイルパスワードは、ユーザーが現在のパスワードを指定しない限り変更できません。現在のパスワードは、スキーママップ内で WS_USER_PASSWORD という名前のアカウント属性として定義される必要があります。この属性が存在し、そのデータ型が暗号化されていることを確認します。

• idFile フィールドを次のフォームに追加します。

  • マイパスワード変更フォーム

  • パスワード変更フォーム

  • 有効期限切れログインフォーム

    このフィールドは、resourceAccounts ビューを指すように定義してください。

    <Field name=’resourceAccounts.currentResourceAccounts[ResourceName].
    attributes.idFile’>
       <Display class=’Text’>
          <Property name=’title’ value=’idfile’/>
       </Display>
    </Field>

有効化と無効化

Domino 6.0 以降では、ユーザーを無効にする方法として、CheckPassword アカウント属性を 2 に設定する方法が使用されています。ただし、ユーザーを DNY GROUP に追加する 5.x の方法も使用できます。

Domino の初期のバージョンでは、ユーザーごとのネイティブな無効化フラグが実装されていないため、無効化された各ユーザーは DENY GROUP 内に配置されます。有効化すると、これらは定義済みグループのいずれかのメンバーとして削除されます。DENY GROUP にはメンバーの最大数のしきい値が設定されているので、グループをリソースに対するアカウント属性として指定してください。このためには、追加の DenyGroups アカウント属性をリソースに渡す必要があります。DenyGroups は、無効化、有効化、またはプロビジョニング解除の実行時に設定できますが、取得するには追加のコーディングが必要です。

プロビジョニング解除または無効化の実行中に、ユーザーを追加する先の DenyGroups のリストを送信します。有効化の実行中には、ユーザーが削除される DenyGroups のリストを送信します。

次のコードによって、使用可能な DenyGroups をリソースから取得できます。

<invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’>
    <ref>:display.session</ref>
    <s>DenyLists</s>
    <s>YourResourceName</s>
    <null/>
    <s>false</s>
 </invoke>

次のコードによって、現在割り当てられている DenyGroups を、無効化、有効化、またはプロビジョニング解除フォームに取得できます。

<invoke name=’getList’>
    <invoke name=’getView’>
       <ref>display.session</ref>
       <concat>
          <s>UserViewer:</s>
          <ref>resourceAccounts.id</ref>
       </concat>
       <map>
          <s>TargetResources</s>
          <list>
             <s>YourResourceName</s>
          </list>
       </map>
    </invoke>
    <s>accounts[YourResourceName].DenyGroups</s>
 </invoke>

無効化、有効化、またはプロビジョニング解除フォームでは、DenyGroups 属性を次のようにアドレス指定します。

resourceAccounts.currentResourceAccounts [YourResourceName].attributes.DenyGroups

次の例では、複数選択ボックスの左側にある使用可能な DenyGroups を一覧表示する無効化フォームのフィールドを定義しています。

<Field name=’resourceAccounts.currentResourceAccounts [
  YourResourceName].attributes.DenyGroups’>
    <Display class=’MultiSelect’>
       <Property name=’title’ value=’Deny Groups’/>
       <Property name=’required’>
          <Boolean>false</Boolean>
       </Property>
       <Property name=’allowedValues’>
          <invoke name=’listResourceObjects’ class=’com.waveset.ui.FormUtil’>
             <ref>:display.session</ref>
             <s>DenyLists</s>
             <s>YourResourceName</s>
             <null/>
             <s>false</s>
          </invoke>
       </Property>
       <Property name=’availableTitle’ value=’Available Deny Groups’/>
       <Property name=’selectedTitle’ value=’Assigned Deny Groups’/>
    </Display>
 </Field>

次の例では、非表示フィールドの取得規則内の割り当てられた DenyGroups を一覧表示する有効化フォームのフィールドを定義しています。

<Field name=’resourceAccounts.currentResourceAccounts 
  [YourResourceName].attributes.DenyGroups’>
   <Derivation>
       <invoke name=’getList’>
          <invoke name=’getView’>
             <ref>display.session</ref>
             <concat>
                <s>UserViewer:</s>
                <ref>resourceAccounts.id</ref>
             </concat>
             <map>
                <s>TargetResources</s>
                <list>
                   <s>YourResourceName</s>
                </list>
             </map>
          </invoke>
          <s>accounts[YourResourceName].DenyGroups</s>
       </invoke>
    </Derivation>
 </Field>

ID ファイル

ゲートウェイマシンでは、新しく登録されたユーザーに対して新規 ID が生成されます。これらは、ゲートウェイの処理やサービスにアクセス可能な UNC パス上に配置されます。したがって、\\machine\ids\myidfile.id と指定すると、ネットワーク共有に配置されます。

ユーザーの作成時に指定される共有部分にアクセスするためのサービスとしてゲートウェイを設定した場合、このゲートウェイに対してユーザーとして実行する必要がある可能性があります。共有部分にアクセスできるように SYSTEM を割り当てることもできますが、これはゲートウェイネットワーク環境がどのように見えるかに依存します。

「アドレス帳に ID を保存」リソース属性を TRUE または FALSE に設定することで、ID ファイルをアドレス帳に格納するかどうかを指定することもできます。

Rename/Move

move/rename アクションは、adminp プロセスでも実行されます。move は、certifierOrgHierarchy 属性を変更して元の certifierId ファイルとその id ファイルのパスワードを入力することによって、名前変更フォームから開始できます。move 要求によって要求データベース内に「名前移動要求」が作成されます。また、move 要求は、ユーザーの新しい組織を代表する新しい認証者が完了する必要があります。move は、ユーザーの姓または名を変更することで開始できます。

---

注 –

rename と move を同時に実行することはできません。 adminp 処理で rename と move の同時実行ができないのは、要求が、どちらの場合にも変更される標準的な名前を参照するためです。

---

リソース名

ゲートウェイでは、すべての Domino リソースに一意の名前を付ける必要があります。複数の Identity Manager の配備があり、それらが同じゲートウェイを指している場合は、それらの配備に存在するすべての Domino リソースに一意のリソース名を付ける必要があります。

ローミングのサポート

リソースが Domino 7.0 以降のサーバーの場合、Identity Manager でローミングユーザーを作成できます。Identity Manager は、ユーザーのローミング状態を変更できません。そのため、RoamingUser アカウント属性を既存のユーザーに設定することはできません。

ゲートウェイタイムアウト

Domino アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。

次のように、この属性を Resource オブジェクトに手動で追加する必要があります。

<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages:
  RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages:
  RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’>
 </ResourceAttribute>

この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。