前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.0 管理ガイド

第 4 章
設定

この章では、管理者インタフェースを使用した Identity Manager オブジェクトとサーバープロセスのセットアップの説明および手順を示します。Identity Manager オブジェクトの詳細については、「概要」の章の「Identity Manager オブジェクト」を参照してください。

注	Service Provider を実装するための Identity Manager の設定の詳細については、第 13 章「サービスプロバイダの管理」を参照してください。

この章は、次のトピックで構成されています。

ロールとその管理について
Identity Manager リソースの設定
Identity Manager ChangeLog
アイデンティティー属性およびイベントの設定
Identity Manager ポリシーの設定
電子メールテンプレートのカスタマイズ
監査グループおよび監査イベントの設定
Remedy との統合
Identity Manager サーバーの設定

---

ロールとその管理について

この節では、Identity Manager でのロールのセットアップについて説明します。

ロールとは

Identity Manager ロールは、アカウントを管理するリソースの集まりを定義します。ロールを使用すると、ユーザークラスのプロファイルを作成し、類似した特性を持つ Identity Manager ユーザーをグループ化できます。

各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。ある 1 つのロールを割り当てられたすべてのユーザーは、同じベースグループのリソースへのアクセスを共有することになります。

1 つのロールに関連付けられたすべてのリソースは、ユーザーに間接的に割り当てられます。間接的な割り当ては、ユーザーに対して明確にリソースが選択される点で、直接的な割り当てとは異なります。

ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。

ロールは、管理者インタフェースの「ユーザーの作成と編集」ページでユーザーに割り当てます。

ロールの作成

次のいずれかの方法でロールを作成できます。

Identity Manager メニューバーで、「ロール」を選択します。
「ロール」ページで、「新規」をクリックします。

「ロールの作成」ページでは、次のことができます。

リソースとリソースグループをロールに割り当てる。
ロール承認者を選択して通知選択を行う。

ヒント	承認プロセスの詳細については、「アカウントの承認」を参照してください。

ロールを除外する。つまり、このロールがユーザーに割り当てられているときに、除外されたロールを割り当てることはできません。
このロールを割り当て可能にする組織を選択する。
ロールに割り当てられているリソースの属性値を編集する。

割り当てられているリソース属性値の編集

「ロールの作成」ページの「割り当てられたリソース」エリアで「属性値の設定」をクリックして、ロールに割り当てられた各リソースの属性リストを表示します。この「属性の編集」ページで、各属性の新しい値を指定したり、属性値の設定方法を決定できます。Identity Manager の値は、直接設定するだけでなく、規則を使用して設定することもできます。また、既存の値を上書きしたり、既存の値にマージしたりすることもできます。

各リソースアカウント属性の値を設定するには、選択を行います。

「値の上書き」 − 次のいずれかのオプションを選択します。
「なし」 − デフォルトの選択です。値は設定されません。
「規則」 − 規則を使用して値を設定します。このオプションを選択した場合、リストから規則を選択する必要があります。
「テキスト」 − 指定されたテキストを使用して値を設定します。このオプションを選択した場合、テキストを入力する必要があります。
「設定方法」 − 次のいずれかのオプションを選択します。
「デフォルト値」 − 規則またはテキストをデフォルト属性値にします。この値はユーザーが変更または上書きできます。
「値を設定」 − 規則またはテキストに指定されたように属性値を設定します。値が設定され、ユーザーの変更は上書きされます。
「値とマージ」 − 規則またはテキストに指定された値に現在の属性値をマージします。
「値とマージ、既存の値をクリア」 − 現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。
「値から削除」 − 規則またはテキストに指定された値を属性値から削除します。
「強制的に値を設定」 − 規則またはテキストに指定されたように属性値を設定します。値が設定され、ユーザーの変更は上書きされます。ロールを削除すると、新しい値が以前に属性上に存在していても NULL となります。
「強制的に値とマージ」 − 規則またはテキストに指定された値に現在の属性値をマージします。ロールを削除すると、新しい属性値が以前に属性上に存在していても NULL となります。

複数値属性の場合、カンマ区切り値 (CSV) 文字列を使用することを示すためにリポジトリ内でロールオブジェクトを編集する必要があります。たとえば、次のようになります。

<RoleAttribute name='attrs role:Database Table:attrs' csv='true'>

「強制的に値とマージ、既存の値をクリア」 − 現在の属性値を消去し、このロールおよび割り当てられているその他のロールによって指定されるマージ値を値として設定します。ロールが削除されると、属性上に以前に存在していても、このロールによって指定された属性値はクリアされます。

「規則名」 − 「値の上書き」エリアで「規則」を選んだ場合、リストから規則を選択します。
「テキスト」 − 「値の上書き」エリアで「テキスト」を選んだ場合、追加するテキスト、削除するテキスト、または属性値として使用するテキストを入力します。

「OK」をクリックして変更を保存し、「ロールの作成」または「ロールの編集」ページに戻ります。

ロールの管理

「ロール」ページにあるロールのリストからロールに一連のアクションを実行できます。

ロールの編集 − ロールのリストでロールを選択し、表示されるページでロールの属性を修正します。
ロールの検索 − 「ロール」エリアで「ロールの検索」を選択します。ロールは、以下の 1 つ以上の検索の種類によって検索できます。
名前
可用性
承認者
リソース
リソースグループ

検索の種類を複数選択した場合、指定されたすべての基準と一致しないと検索結果は返されません。検索は、大文字と小文字を区別しません。

ロールのクローン作成または名前の変更 − 編集するロールを選択して、「名前」フィールドに新しい名前を入力して、「保存」をクリックします。新しいロールを作成するには、表示されるページで「作成」をクリックします。

ロール名の変更

ロール名を変更するには、次を実行します。

編集するロールを選択します。
「名前」フィールドに新しい名前を入力して、「保存」をクリックします。

Identity Manager に「作成または名前変更」ページが表示されます。

ロール名を変更するには、「名前の変更」をクリックします。

Identity Manager ロールとリソースロールの同期

Identity Manager ロールをリソース上でネイティブに作成されたロールと同期することができます。同期すると、デフォルトでリソースはロールに割り当てられます。これには、タスクを使用して作成されたロール、およびいずれかのリソースロール名に一致する既存の Identity Manager ロールが該当します。

メニューバーで、「タスク」を選択してから「タスクの実行」タブを選択して、「アイデンティティーシステムのロールをリソースのロールと同期させる」タスクページを表示します。タスクを起動するには、同期タスクの名前、リソース、使用するリソースロール属性、ロールが適用される組織を指定して、「起動」をクリックします。

---

Identity Manager リソースの設定

この節では、Identity Manager リソースのセットアップの説明および手順を示します。

リソースとは

Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager リソースは、リソースに関連する属性を定義するものであり、Identity Manager でリソース情報を表示する方法を指定する際に役立ちます。

Identity Manager では、次のような広範囲なリソースタイプに対応したリソースを提供します。

メインフレームセキュリティーマネージャー
データベース
ディレクトリサービス
オペレーティングシステム
Enterprise Resource Planning (ERP) システム
メッセージプラットフォーム

インタフェースの「リソース」エリア

既存のリソースに関する情報は、「リソース」ページに表示されます。

リソースにアクセスするには、メニューバーの「リソース」をクリックします。

リソースはタイプごとにグループ化され、リスト内で名前付きのフォルダによって表されます。階層表示を展開して、現在定義されているリソースを表示させるには、フォルダの隣にあるインジケータをクリックします。表示を折りたたむには、マークをもう一度クリックします。

リソースタイプフォルダを展開すると、中に含まれるリソースオブジェクトの数が動的に更新されて表示されます (グループをサポートするリソースタイプの場合)。

リソースの一部には、次のような、管理可能な追加のオブジェクトを持つものがあります。

組織
組織単位
グループ
ロール

リソースリストからオブジェクトを選択し、次のオプションリストのいずれかから操作を選択して、管理タスクを開始します。

「リソースアクション」 − 編集、アクティブな同期、名前変更、削除など各種のアクションを実行し、リソースオブジェクトの操作やリソース接続の管理も行います。
「リソースオブジェクトアクション」 − リソースオブジェクトの編集、作成、削除、名前変更、別名保存、検索を行います。
「リソースタイプアクション」 − リソースポリシーの編集、アカウントインデックスの操作、管理するリソースの設定を行います。

リソースを作成または編集すると、ManageResource ワークフローが開始されます。このワークフローでは、新しいリソースまたは更新されたリソースをリポジトリに保存し、リソースが作成または保存される前に承認などの操作を挿入することができます。

リソースリストの管理

リソースを作成するときのリソース選択リストは、管理者インタフェースの「リソース」タブで管理します。「リソースタイプアクション」オプションリストから「管理するリソースの設定」を選択して、リソースリストに表示するリソースを選択します。

「管理するリソース」ページでは、Identity Manager のリソースが次の 2 つのカテゴリに分類されています。

Identity Manager リソース − このテーブルに含まれるリソースは、Identity Manager で頻繁に管理されるリソースです。このテーブルは、リソースのタイプとバージョンを示します。「管理しますか?」列でオプションを選択することによって、1 つ以上のリソースを選択し、「保存」をクリックしてそれらをリソースリストに追加します。
カスタムリソース − このページエリアを使用して、カスタムリソースをリソースリストに追加します。

カスタムリソースを追加するには、次の手順を実行します。

「カスタムリソースの追加」をクリックして、行をテーブルに追加します。
リソースのリソースクラスパスを入力するか、独自に開発したリソースを入力します。
「保存」をクリックして、リソースをリソースリストに追加します。

表 4-1 に、カスタムリソースクラスを示します。

表 4-1 カスタムリソースクラス 

カスタムリソース	リソースクラス
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory Active Sync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financials	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

リソースの作成

リソースは、リソースウィザードを使用して作成します。リソースウィザードでは、リソース上のオブジェクトを管理するために、Identity Manager リソースアダプタを作成する手順を、順を追って実行します。

リソースウィザードを使用して、次の項目を設定します。

「リソース固有のパラメータ」 − これらの値は、このリソースタイプの特定のインスタンスを作成するときに Identity Manager インタフェースから修正できます。
「アカウント属性」 − リソースのスキーママップに定義されます。これらによって、Identity Manager ユーザー属性がリソースの属性にどのようにマップされるかが決まります。
「アカウントの DN またはアイデンティティーテンプレート」 − ユーザーに対するアカウント名の構文が含まれています。アカウント名の構文は、階層構造の名前空間で特に重要です。
「リソースの Identity Manager パラメータ」 − ポリシーをセットアップし、リソースの承認者を設定し、リソースに対する組織のアクセス権をセットアップします。

リソースを作成するには、次を実行します。

「リソースタイプアクション」オプションリストから「新規リソース」を選択します。

Identity Manager に「新規リソース」ページが表示されます。

リソースタイプを選択してから「新規」をクリックして、リソースウィザードの「ようこそ」ページを表示します。

注	または、リソースリストでリソースタイプを選択してから、「リソースタイプアクション」リストで「新規リソース」を選択することもできます。この場合、Identity Manager に「新規リソース」ページは表示されませんが、リソースウィザードがただちに起動します。

「次へ」をクリックして、リソースの定義を開始します。リソースウィザードの手順とページは、次の順序で表示されます。
「リソースパラメータ」 − 認証とリソースアダプタの動作を管理するためのリソース固有のパラメータをセットアップします。パラメータを入力して「テスト接続」をクリックし、接続が有効であることを確認します。確認できたら、「次へ」をクリックして、アカウント属性をセットアップします。図 4-1 に「リソースパラメータ」ページを示します。

図 4-1 リソースウィザード: リソースパラメータ



「アカウント属性」(スキーママップ) − Identity Manager アカウント属性をリソースアカウント属性にマップします。

属性を追加する場合は、「属性の追加」をクリックします。属性を 1 つ以上選択し、「選択した属性の削除」をクリックすると、スキーママップから属性が削除されます。削除が終了したら、「次へ」をクリックしてアイデンティティーテンプレートをセットアップします。

図 4-2 に、リソースウィザードの「アカウント属性」ページを示します。

図 4-2 リソースウィザード: アカウント属性 (スキーママップ)



「アイデンティティーテンプレート」 − ユーザーに対するアカウント名の構文を定義します。この機能は、階層構造の名前空間で特に重要です。

「属性の挿入」リストから属性を選択します。テンプレートから属性を削除するには、リスト内をクリックし、文字列から 1 つ以上の項目を削除してください。属性名と前後の $ (ドル記号) の両方を削除してください。

図 4-3 リソースウィザード: アイデンティティーテンプレート



「Identity System パラメータ」 − 図 4-4 に示すように、リソースに、再試行およびポリシー設定などの Identity Manager パラメータを設定します。

図 4-4 リソースウィザード: アイデンティティーシステムのパラメータ

ページ間を移動するには、「次へ」および「戻る」を使用します。選択がすべて終了したら、「保存」をクリックしてリソースを保存し、リストページに戻ります。

リソースの管理

リソースリストのリソースに対して一連の編集操作を実行できます。リソースウィザードの各ページの編集機能に加え、次の操作も実行できます。

リソースの削除− 1 つ以上のリソースを選択して、「リソースアクション」リストから「削除」を選択します。複数のリソースタイプを同時に選択することができます。ロールまたはリソースグループが関連付けられているリソースは削除できません。
リソースオブジェクトの検索 − リソースを選択して「リソースオブジェクトアクション」リストから「検索」を選択すると、オブジェクト特性によってリソースオブジェクト (組織、組織単位、グループ、または個人など) を検索できます。
リソースオブジェクトの管理 − リソースタイプによっては、新しいオブジェクトを作成できるものがあります。リソースを選択して、「リソースオブジェクトアクション」リストから「リソースオブジェクトの作成」を選択します。
リソース名の変更 −リソースを選択して、「リソースアクション」リストから「名前の変更」を選択します。表示される入力ボックスに新しい名前を入力して、「名前の変更」をクリックします。
リソースのクローン作成− リソースを選択して、「リソースアクション」リストから「名前を付けて保存」を選択します。表示される入力ボックスに新しい名前を入力します。クローンとして作成されたリソースが、選択した名前でリソースリストに表示されます。
リソース上での一括アクションの実行 − (CSV 形式の入力から) リスト内のすべてのリソースに適用するリソースおよびアクションのリストを指定します。続いて一括操作を起動して、一括操作バックグラウンドタスクを開始します。

アカウント属性の操作

Identity Manager リソースは、スキーママップを使用して、外部リソース (リソースアカウント属性) から取得した属性の名前とタイプを定義します。次に、それらの属性を標準の Identity Manager アカウント属性にマップします。スキーママップをセットアップする (リソースウィザードの「アカウント属性」ページで) ことにより、次を実行できます。

リソース属性を、企業に必須のもののみに制限する。
複数のリソースで使用する一般的な Identity Manager 属性名を作成する。
必須のユーザー属性と属性タイプを識別する。

これらの値にアクセスするには、リソースリストからリソースを選択して、「リソースアクション」リストから「リソーススキーマの編集」を選択します。

スキーママップの左の列 (タイトルは「Identity System ユーザー属性」) には、Identity Manager 管理者インタフェースおよびユーザーインタフェースで使用されるフォームで参照される Identity Manager アカウント属性の名前が含まれています。スキーママップの右の列 (タイトルは「リソースユーザー属性」) には、外部ソースの属性名が含まれています。

Identity System 属性名を定義することにより、異なるリソースの属性を一般的な名前で定義できます。たとえば、Active Directory リソースの場合、Identity Manager の lastname 属性は Active Directory リソース属性の sn にマップされます。GroupWise の場合、fullname 属性は GroupWise 属性の Surname にマップできます。その結果、管理者は lastname に対して一度値を定義するだけで済み、ユーザーを保存するときには異なる名前のリソースにその値が渡されます。

リソースグループ

「リソース」エリアは、リソースグループを管理するためにも使用します。リソースグループは、リソースをグループ化して特定の順序で更新できるようにします。グループにリソースを入れて順序付けし、そのグループをユーザーに割り当てることで、そのユーザーのリソースが作成、更新、および削除される順序が決定します。

アクティビティーは、各リソースに対して順番に実行されます。あるリソースで操作が失敗した場合、残りのリソースは更新されません。このような関係は、関連するリソースがある場合に重要です。

たとえば、Exchange 5.5 のリソースは、既存の Windows NT または Windows Active Directory アカウントに依存します。つまり、Exchange アカウントを作成するには、その前にこれらのどちらかが存在している必要があります。Windows NT のリソースと Exchange 5.5 のリソースを持つリソースグループを (順番に) 作成することにより、正しいユーザー作成順序を保証できます。逆に、この順序により、ユーザーの削除時には正しい順序でリソースが削除されることが保証されます。

「リソース」を選択して「リソースグループのリスト」を選択すると、現在定義されているリソースグループのリストが表示されます。そのページで「新規」をクリックして、リソースグループを定義します。リソースグループの定義時には、選択エリアで選択を行い、選択したリソースを順序付けするほか、リソースグループを利用可能にする組織を選択することができます。

グローバルリソースポリシー

リソースのグローバルリソースポリシー内のプロパティーを編集できます。「グローバルリソースポリシー属性の編集」ページから、次のポリシー属性を編集できます。

Default Capture Timeout − アダプタがタイムアウトになるまでに、アダプタがコマンド行プロンプトを待機する必要のある最大時間を指定する値を、ミリ秒単位で入力します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果が重要であり、アダプタによって解析されるときにこの設定を使用します。

この設定のデフォルト値は 30000 (30 秒) です。

Default Wait for Timeout − スクリプト化されたアダプタが、コマンドに文字 (または結果) が用意されているかどうかをチェックするまで、ポーリング間で待機する最大時間を指定する値を、ミリ秒単位で入力します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。コマンドまたはスクリプトの結果をアダプタが調べない場合に、この設定を使用します。
Wait For Ignore Case − タイムアウトするまでに、コマンド行プロンプトをアダプタが待機する必要のある最大時間を指定する値を、ミリ秒単位で入力します。この値は、GenericScriptResourceAdapter または ShellScriptSourceBase アダプタにのみ適用されます。大文字と小文字を区別しない場合に、この設定を使用します。
Resource Account Password Policy − 該当する場合、選択したリソースに適用するリソースアカウントパスワードポリシーを選択します。「なし」がデフォルトの選択です。
Excluded Resource Accounts Rule − 該当する場合、除外されるリソースアカウントを制御する規則を選択します。「なし」がデフォルトの選択です。

ポリシーに対する変更を保存するには、「保存」をクリックする必要があります。

追加タイムアウト値の設定

Waveset プロパティーファイルを編集することにより、maxWaitMilliseconds プロパティーを変更できます。maxWaitMilliseconds プロパティーは、操作のタイムアウトを監視する頻度を制御します。この値が指定されていない場合、システムは 50 のデフォルト値を使用します。

この値を設定するには、Waveset.properties ファイルに次の行を追加します。

com.waveset.adapter.ScriptedConnection.ScriptedConnection.maxwaitMi lliseconds.

一括リソースアクション

CSV 形式のファイルを使用するか、操作に適用するデータを作成または指定して、リソースに対して一括操作を実行できます。

図 4-5 は、作成アクションを使用した一括操作の起動ページを示しています。

図 4-5 「一括リソースアクションの起動」ページ

一括リソース操作に使用できるオプションは、操作に選択したアクションによって異なります。操作に適用するアクションを 1 つ指定するか、「アクションリストから」を選択して複数のアクションを指定できます。

「アクション」 − アクションを 1 つ指定するには、次のオプションの 1 つを選択します。作成、複製、更新、削除、パスワードの変更、パスワードのリセット。

アクションを 1 つ選択すると、アクションに関連するリソースを指定するオプションが表示されます。作成アクションの場合は、リソースのタイプを指定します。

「アクションリストから」を指定した場合は、「アクションリストの取得先」エリアを使用して、アクションを含んだ使用するファイル、または「入力」エリアで指定するアクションのいずれかを指定します。

注	ファイル内または入力エリアリストに入力したアクションは、カンマ区切り値 (CSV) 形式にする必要があります。

「ページあたりの最大結果数」 − このオプションを使用して、各タスク結果ページに表示される一括アクション結果の最大数を指定します。デフォルト値は 200 です。

操作を開始するには、「起動」をクリックします。これはバックグラウンドタスクとして実行されます。

---

Identity Manager ChangeLog

この節では、Identity Manager ChangeLog 機能の説明および ChangeLog の設定と使用の手順を示します。

ChangeLog とは

ChangeLog には、Identity Manager リソースに含まれるアイデンティティー属性情報が表示されます。それぞれの ChangeLog は、アイデンティティー属性のサブセットに加えられた変更を取得するように定義されています。

リソースの属性データに変更があると、Active Sync アダプタはその情報を取得して、変更を ChangeLog に書き込みます。次に、エンタープライズ内のリソースの操作専用に開発されたカスタムスクリプトが ChangeLog を読み取って、リソースを更新します。

ChangeLog 機能はプロビジョニングシステムからリソースへとカスタムスクリプトを介して間接的に通信するので、Identity Manager の標準的なリソースアクティブ同期機能や調整機能とは異なります。

ChangeLog とセキュリティー

Identity Manager の ChangeLog 機能を実行するには、ローカルファイルシステム内の指定されたディレクトリに対する書き込み権が必要です。Web コンテナによっては、Identity Manager のようなホストされる Web モジュールに対してローカルファイルシステムへのアクセスをデフォルトで許可していないものもあります。

その場合には、Java ポリシーファイルを編集してアクセス権を付与します。/tmp/changelogs を指定ディレクトリとして使用する場合には、ポリシーファイルに次の内容が含まれるようにします。

grant {
    permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

指定したそれぞれの ChangeLog に対してファイルアクセス権を定義する必要があります。

Java 用のデフォルトのセキュリティーポリシーファイルは次の場所にあります。

$JAVA_HOME/jre/lib/security/java.policy

このファイルを編集すれば十分かもしれませんが、デフォルトファイルではない独自のファイルを使用している場合には、サーバーは次のようなオプションが指定された状態で稼働しています。

-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy

この場合は、java.security.policy システムプロパティーによって特定されるファイルを編集します。

注	セキュリティーポリシーファイルを編集したあとで、Web コンテナの再起動が必要になる場合があります。

ChangeLog 機能の要件

ChangeLog 機能の要件として、ChangeLog を設定する前にアイデンティティー属性を設定する必要があります。

注	「アイデンティティー属性およびイベントの設定」の節で説明する手順を行って、これらの要件を満たします。

ChangeLog の設定

ChangeLog の設定は、ChangeLog ポリシーと ChangeLog を作成することによって行います。それぞれの ChangeLog には、関連付けられた ChangeLog ポリシーがなければなりません。ChangeLog は Active Sync によって検出されアイデンティティー属性に適用される変更のサブセットを定義したもので、ログ形式で書き込まれます。ChangeLog に関連付けられる ChangeLog ポリシーは、ChangeLog ファイルに書き込む方法を定義します。ChangeLog ファイルの内容はカスタムスクリプトによって使用されます。

ChangeLogs および ChangeLog ポリシーを設定するには、「メタビュー」を選択し、「ChangeLog」を選択します。

Identity Manager によって、次のような 2 つの概要エリアが含まれた「ChangeLog 設定」ページが表示されます。

注	アイデンティティー属性が設定されていない場合、「ChangeLog」タブは表示されません。

図 4-6 「ChangeLog 設定」

ChangeLog ポリシーの概要

「ChangeLog ポリシー」概要エリアには、現在定義されている ChangeLog ポリシーが表示されます。既存の ChangeLog ポリシーを編集するには、リスト内のポリシーの名前をクリックします。ChangeLog ポリシーを作成するには、「ポリシーの作成」をクリックします。

1 つ以上の ChangeLog ポリシーを削除するには、ChangeLog ポリシーを選択して、「ポリシーの削除」をクリックします。このアクションには確認は不要です。

ChangeLog の概要

ChangeLog の概要エリアには、現在定義されている ChangeLog が表示されます。既存の ChangeLog を編集するには、リスト内の名前をクリックします。ChangeLog を作成するには、「ChangeLog の作成」をクリックします。

1 つ以上の ChangeLog を削除するには、ChangeLog を選択して、「ChangeLog の削除」をクリックします。このアクションには確認は不要です。

ChangeLog 設定変更の保存

ChangeLog 設定に対して行う変更は、ChangeLog ポリシーと定義済み ChangeLog のどちらに対する変更であるとしても、「ChangeLog 設定」ページから保存する必要があります。「保存」をクリックすると変更が保存され、メタビューに戻ります。

ChangeLog ポリシーの作成と編集

「ChangeLog ポリシーの編集」ページで次の項目に入力および選択を行なって、ChangeLog ポリシーを作成または編集します。

「ポリシー名」 − 一意なポリシーの名前を入力します。
「毎日の開始時刻」 − ローテーションが開始または交替する時刻の算定に使用する時刻を設定します。このポリシーを使用する ChangeLog は、この時刻に、またこの時刻から計算した一定の間隔で新しいローテーションを開始します。たとえば、開始時刻を午前零時 (00:00) に、「1 日のローテーション数」を 3 に設定した場合、ログファイルのプレフィックスは 00:00、08:00、16:00 に変更になります。

ファイル名の形式は cl_User_yyyyMMddHHmmss.n.suffix です。HHmmss はローテーションが開始した最近の時刻を表します。n はシーケンス番号で、suffix は ChangeLog 定義で指定されたサフィックスです。

開始時刻を '00:00'、ローテーション回数を 3 にし、ChangeLog を午前 9:24 に起動することにした場合、朝の順番のローテーション名には最近のローテーション開始時刻 (08:00 など) が組み込まれます。この例の場合は、ファイル名が cl_User_yyyyMMdd080000 で始まります。そして、新しいローテーション (ファイル名の新しいプレフィックス) が 16:00 に開始します。

「1 日のローテーション数」 − 1 日にログを切り替える回数を指定します。たとえば、4 時間ごとにローテーションを切り替える場合は、6 の値を入力します。

この値には負でない整数のみ指定できます。値 0 は、このフィールドを無視することを意味します。このフィールドが 0 でないときは、「ローテーションの最大有効期間」設定が無視されます。

このローテーションの長さを秒数で指定し、かつ「1 日のローテーション回数」フィールドが 0 である場合は、「ローテーションの最大有効期間」の値を使用してローテーションの期間が決定されます。

「ローテーションの最大有効期間」には負ではない整数値のみ指定できます。「1 日のローテーション回数」にゼロではない数を指定した場合には、その値が使用されます (「ローテーションの最大有効期間」の値は使用されない)。これら両方のフィールドの値が 0 である場合は、シーケンス情報のみが適用されます。この場合は「毎日の開始時刻」も使用されません。

「保存するローテーション数」 −Identity Manager が削除するまでに蓄積できるローテーションの数を指定します。たとえば、1 日のローテーションが 3 回で、2 日間の変更をログに保存する場合は、6 の値を指定します。
「ファイルの最大サイズ (バイト単位)」 − 現在のファイルに変更を書き込むとこの制限を超える場合、同じローテーションプレフィックスで新しいシーケンス番号の付いた新しいログファイルが開始されます。値 0 は、この制限を使用しないことを示します。サイズ、行数、および有効期間の制限フィールドは、値が 0 でなければそれらすべてが使用されます。ただし、サイズの制限が 3 つの制限の中で最初にチェックされます。
「ファイルの最大サイズ (行単位)」 −現在のファイルに変更を書き込むと行数がこの制限を超える場合には、新しいシーケンスのファイルが作成され、超過した行は新しいファイルに書き込まれます。値 0 は「制限なし」を表します。この制限は、サイズ制限の次、有効期間制限の前にチェックされます。
「ファイルの最大有効期間 (秒単位)」 − 変更を受け取ったときに、既存のシーケンスファイルがここに指定されている秒数以前のものである場合には、新しいシーケンスファイルが作成され、そこに変更が書き込まれます。値 0 は、この制限を使用しないことを示します。他の制限がゼロではない場合は、それらがこの制限より先に適用されます。

「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog ポリシーを保存する、または既存のポリシーへの変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。

ChangeLog の作成と編集

「ChangeLog の編集」ページで次の項目に入力および選択を行なって、ChangeLog を作成または編集します。

「ChangeLog 名」 − 一意な ChangeLog の名前を入力します。
「アクティブ」 − このオプションを選択した場合、ChangeLog は監視を行い、Active Sync リソースを通してアイデンティティー属性に変更が伝達されたときに、その変更を記録します (この処理が行われるためには、Active Sync がアイデンティティー属性アプリケーションであることが必要)。
「フィルタ」 − 使用する ChangeLog フィルタの名前を入力します。「Noop」はデフォルトフィルタを使用し、すべての変更を受け入れることを意味します。ほとんどの場合、この設定で十分です。この設定を使用しない場合は、com.sun.idm.changelog.ChangeLogFilter を実装する Java クラスを指定することになります。このクラスはサーバーのクラスパスに配置され、またパブリックなデフォルトコンストラクタが含まれている必要があります。
「次の操作をログに記録」 −作成、更新、および削除など、選択したタイプのイベントのログを記録します。選択されていないイベントは無視されます。
「ChangeLog ビュー」 − このテーブルを使用して、ChangeLog の内容 (列) を定義します。テーブルの各行は ChangeLog の列を指定します。ChangeLog 列を追加するには「列の追加」をクリックします。それぞれの列には、名前、タイプ、アイデンティティー属性名があります。行の順序は列の順序を示します。列を定義したあとで列の順序を並び替えるには、「上へ」と「下へ」のボタンを使用します。

注	どの ChangeLog にも、テーブルの 1 列目に 'changeType' という名前の暗黙の列があります。この 1 列目の暗黙の列は、変更のタイプを示します。この列のタイプは「テキスト」です。ログのデータは 'ADD'、'MOD'、'DEL' のいずれかの値となります。

「使用するポリシー名」 − リストから定義済みの ChangeLog ポリシーを選択して、ロギングに使用します。
「出力パス」 −ファイルシステム上でログファイルを格納するディレクトリの名前を入力します。この格納先をネットワーク上にマウントされた場所にすることも可能ですが、サーバーと同じシステム内のディレクトリを使用することをお勧めします。ChangeLog ごとに一意な場所を使用するのもよい方法です。
「サフィックス」 − ChangeLog ファイルのサフィックスを入力します (.csv など)。選択したサフィックスを使用して、ChangeLog ファイル同士を区別することもできます。

「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog を保存する、または既存の ChangeLog への変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。

例

次の例には、アイデンティティー属性と ChangeLog をセットアップして特定の属性データのセットを取得する方法が詳しく示されています。

例: アイデンティティー属性の定義

この例では、2 つの Identity Manager リソース (Resource 1 と Resource 2) が 3 つ目のリソース (Resource 3) にソースデータを提供します。Resource 3 は Identity Manager システムに直接には接続していません。Resource 1 と 2 からデータサブセットを取得し、それを Resource 3 に提供して保守するには、ChangeLog が必要です。

Resource 1: EmployeeInfo
employeeNumber*
givenname
mi
surname
phone

Resource2 : OrgInfo
employeeNum*
managerEmpNum
departmentNumber

Resource 3 : PhoneList
empId*
fullname
phone
department

注	* はレコードを相互に関連付けるキーを表します。

アイデンティティー属性の定義は次の表のようになります。

表 4-2 変更ログの使用例でのアイデンティティー属性 

属性	<==	元になる Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstName	<==	EmployeeInfo.givename
lastName	<==	EmployeeInfo.surname
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + " " + middleInitial + " " + lastName
phoneNumber	<==	EmployeeInfo.phone

例: ChangeLog の設定

アイデンティティー属性を定義したら、次に PhoneList ChangeLog という名前の ChangeLog を定義します。この目的は、アイデンティティー属性のサブセットを ChangeLog ファイルに書き込むことです。

PhoneList ChangeLog の ChangeLogView

列名	種類	アイデンティティー属性
empId	テキスト	employee
fullname	テキスト	fullname
phone	テキスト	phoneNumber

Resource 1 または Resource 2 内のレコードが変更されると、変更された内容だけではなく、ChangeLog レコードのデータの完全セット、つまりアイデンティティー属性のすべてのデータが ChangeLog に書き込まれます。カスタムスクリプトはその情報を読み取り、それを使用して Resource 3 を設定します。

ChangeLog の CSV ファイル形式

この節では、ChangeLog によって作成されるカンマ区切り値 (CSV) ファイルの形式について説明します。

ChangeLog ファイルは、スプレッドシートやデータベーステーブルなどのように、「行」と「列」でできているものと考えてください。その「行」に当たるものが、ファイルの 1 行です。

ChangeLog 形式は、最初の 2 行を使用する自己記述型です。この 2 行が 1 組で「スキーマ」つまりテーブル内の各「セル」の論理名と論理タイプを定義します (「セル」とは、行上のカンマで区切られた 1 つ 1 つの値のこと)。

1 行目には、ファイル内の属性の名前が列挙されます。2 行目には、それらの属性の値のタイプが記述されます。それ以降の行は、すべて変更イベントのデータです。

ChangeLog ファイルは Java UTF-8 形式でエンコードされます。

列

ファイルの 1 列目は特に重要です。この列は操作タイプを定義し、変更イベントが作成、変更、または削除のアクションであったかどうかなどを示します。ここには常に changeType が入り、常にタイプ T (テキスト) です。その値は ADD、MOD、DEL のどれかです。

決まった 1 つの列にエントリの一意の識別子 (主キー) が保持されるようにしてください。通常、これはファイルの 2 列目です。

それ以外の列には、属性の名前が入ります。その名前は ChangeLog View テーブルの「列名」値から取られます。

行

ファイルの「スキーマ」を定義する最初の 2 つのヘッダー行に続いて、残りの行には属性の値が入ります。それらの値は 1 行目の列項目の順序に従って表示されます。ChangeLog はアイデンティティー属性から適用されるので、ChangeLog には変更が検出された時点でユーザーに関するすべてのデータが含まれます。

また、NULL (または設定されていないこと) を表す特別なセンチネル値はありません。変更が検出されているのに値がない場合、ChangeLog は空の文字列を書き込みます。

値は、ファイルの 2 行目に指定されている列のタイプにしたがってエンコードされます。サポートされているタイプは次のとおりです。

T: テキスト
B: バイナリ
MT: 複数テキスト
MB: 複数バイナリ

テキスト値

テキスト値は文字列として書き込まれますが、次の 2 つの例外があります。

値に , (カンマ) が含まれている場合、¥ (円記号) が挿入されて Identity Manager は値の中のカンマをエスケープします。たとえば、fullname の値が Doe, John である場合、Identity Manager は、Doe ¥,John を値として書き込みます。
値に ¥ (円記号) 文字が含まれる場合は、¥ がもう 1 つ付け足されて Identity Manager は円記号をエスケープします。たとえば、homedir の値に C:¥users¥home が含まれている場合、Identity Manager はログに C:¥¥users¥¥home を書き込みます。

テキスト値に復帰改行文字を含めることはできません。ファイルに復帰改行が必要な場合は、バイナリ値タイプを使用してください。

バイナリ値

バイナリ値は Base64 でエンコードされます。

複数テキスト値

複数テキスト値はテキスト値と同じように書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。

複数バイナリ値

複数バイナリ値はバイナリ値と同じように Base64 でエンコードされて書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。

出力形式の例

次に例を挙げて、さまざまな出力形式を示します。例の書式は次のとおりです。

column1, column2, column3, column4

各例の Column 3 にサンプルテキストが示されます。

テキスト (T) データは、ファイル内で次のように文字列として表示されます。

ADD,account0,some text data,column4

バイナリ (B) データは Base64 でエンコードされて表示されます。

ADD,account0,FGResWE23WDE==,column4

複数テキスト (MT) は次のように表示されます。

ADD,account0,[one,two,three],column4

複数バイナリ (MB) は次のように表示されます。

ADD,account0,[FGResWE23WDE==,FGRCAFEBADE3sseGHSD],column4

注	Base64 のアルファベットには , (カンマ)、[ (左括弧)、] (右括弧) の各文字、または復帰改行記号は含まれていません。

ChangeLog のファイル名

ファイル名の形式は次のとおりです。

servername_User_timestamp.sequenceNumber.suffix

各表記の意味は次のとおりです。

timestamp は、このログが開始またはロールオーバーした時刻です。複数のファイルが同じタイムスタンプである場合は、「ローテーション」と見なされます。
sequenceNumber は、バイト数、行数、秒数の最大値に従ってローテーションをファイルのサブセットに分割する際に使用する数値で、この数値は増え続けます。それらの各ファイルを「シーケンス」ファイルと呼びます。
suffix は、ChangeLog 設定で定義されるファイル拡張子で、通常は .csv です。

ローテーションとシーケンスの設定

ローテーションとシーケンスは ChangeLogPolicy オブジェクトで定義され、ChangeLogs から参照されます。

例

あるポリシーが次の条件でローテーションを定義するとします。

午前 7:00 に開始する。
2 日間、毎日 3 回ローテーションする。

この条件の場合、ローテーションファイルには次のように名前が付けられることになります (ローテーションごとに 2 つのシーケンスファイルがある)。

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1 月 1 日は 07:00:00 から始まって 8 時間ごとに 3 回ローテーションされており、1 月 2 日も同様であることが示されています。名前の中で 20060102 という日付に対応する部分だけが異なっています。

ChangeLog スクリプトの作成

この節では、ChangeLog スクリプトを作成する上で役立つ情報を提供します。

スクリプトは、新しいデータや新しいファイルを待ったり、あるいはアクティビティーの合間に休眠しながら、取得したファイルを読み取っては各行の変更内容をバックエンドリソースに適用するというように、継続的に実行されるものです。
ChangeLog は削除操作をサポートしますが、その場合 accountId 値が DEL 行に書き込まれるだけです。
ローテーションとシーケンスを使用することにより、スクリプトを実行する頻度を決めることができます。たとえば、次のように指定できます。
午前零時にローテーションし、毎晩前回のローテーションに対してスクリプトを実行する。
午前 8:00 から始めて 4 時間ごとにローテーションし、スクリプトを 4 時間ごとに (8 時、12 時、16 時、20 時、24 時、4 時、...) 実行する。
ローテーションはなしにして、シーケンス番号が増えるときにシーケンスファイルを読み取るかたちでスクリプトを実行する。シーケンス番号を増やす基準は、サイズベース、数値演算ベース、時間ベースで制御できます。
各 ChangeLog をバックエンドシステム内のレコードの表現と見ることができます。ログを読み取るスクリプトにとって処理しやすくするために、Identity Manager は特定のレコードに関しては、それが変更されているかどうかに関わりなく必ずそのすべてのデータを書き込みます。スクリプトはそのレコードのすべてのデータをそのまま適用します。

ただし、スクリプトはバックエンドリソース (またはスクリプト) が、特に ADD と DEL に関して、次のいずれかの方法を取れるようにしておく必要があります。

べき等な操作を行える。べき等とは、データを複数回適用しても 1 回適用したときと変わらないこと意味します。スクリプトが ChangeLog を最初から最後まで 2 回受け取って読み取る場合、受け取った後のリソース内のデータレコードの状態は 2 回とも厳密に一致しているべきです。
操作を 1 回しか行えない。たとえば、追加および削除アクションに関してリソースをべき等にできない場合、ログエントリを一回だけ読み取るか、そうでなければ進捗を追跡するかして、スクリプトによる変更の適用が必ず一回だけになるようにする必要があります。

1 つのシーケンスファイルが作成されたことを確認してから、その前のシーケンスファイルを適用する方法がよいこともあります。.2 ファイルが作成されるまでは .1 ファイルを適用しないようにし、.3 ファイルが表示されたら .2 ファイルを適用するという要領で行います。この方法により、fstat や tail -f などの呼び出しを使用しないで済みます。

---

アイデンティティー属性およびイベントの設定

管理者インタフェースの「メタビュー」エリアを使用して、アイデンティティー属性およびイベントを設定します。次の節の情報と手順を使用して、Identity Manager アイデンティティー属性とアイデンティティーイベントを設定し、属性とイベントが適用される Identity Manager システムアプリケーションを選択してください。

アイデンティティー属性の操作

アイデンティティー属性を設定するには、「メタビュー」を選択して、「アイデンティティー属性」を選択します。「アイデンティティー属性」ページが表示されます。次の図は、このページの例を示しています。

図 4-7 メタビューでのアイデンティティー属性の設定

アイデンティティー属性を追加するには、「属性の追加」をクリックします。一度リストに追加されたアイデンティティー属性は、リスト内の名前をクリックすることによって編集できます。1 つ以上のアイデンティティー属性を削除するには、アイデンティティー属性を選択して、「選択した属性の削除」をクリックします。

属性に追加または属性から削除する応答を 1 つ以上選択できます。

アクションを実行する前に、必ず「保存」をクリックしてください。

アイデンティティー属性を最後に修正してからリソースを変更している場合は、「アイデンティティー属性」ページに次の警告メッセージが表示されます (図 4-8)。警告メッセージの「リソースの変更に基づいてアイデンティティー属性を設定」をクリックして、変更を同化させます。

図 4-8 「リソースが変更されています」警告メッセージ

パスワード

Active Sync は、1 つまたは複数のリソース上にユーザーを作成するよう設定されています。Identity Manager ユーザーは、作成時にパスワードを指定する必要がありますが、ほとんどのリソースがセキュリティー上の理由によりパスワードの読み取りを許可しません。パスワードの生成が設定されていない場合は、「パスワード生成の設定」をクリックします。

Active Sync によって作成されたアイデンティティーユーザーとその他のリソースアカウント上で、パスワードの設定方法を選択します。

「デフォルトパスワードを使用」 − このオプションを選択してからパスワードを入力します。password.password アイデンティティー属性がこの値からユーザーパスワードを設定します。
「規則を使用してパスワードを生成」 − パスワード生成に使用する規則を選択する場合は、このオプションを選択します。password.password アイデンティティー属性は、選択された規則を使用してパスワードを生成します。
「アイデンティティーシステムアカウントポリシーによるパスワード生成を使用」 − パスワード生成に使用するポリシーを選択する場合は、このオプションを選択します。このオプションを選択すると、waveset.assignedLhPolicy アイデンティティー属性が選択したポリシーに設定されます。選択したポリシーがパスワードを生成するよう設定されていない場合、ポリシーを作成および修正するのに必要な権限を持っていれば、ポリシーのコピーを作成したり、既存のポリシーを修正したりできる追加オプションがページに再表示されます。

このオプションは、アイデンティティーシステムアカウントポリシーに設定されたパスワードポリシーに基づいてパスワードをランダムに生成します。ランダムなパスワード生成に依存しているため、これは、最もセキュリティー保護されたパスワード生成オプションです。

アプリケーションの選択

「有効なアプリケーション」エリアを使用して、アイデンティティー属性を適用するアイデンティティーシステムアプリケーションを選択します。「利用可能なアプリケーション」エリアから 1 つ以上のアプリケーションを選択して、「有効なアプリケーション」エリアに移動します。アクションを実行する前に、必ず「保存」をクリックしてください。

注	ChangeLog 機能を使用するには、Active Sync アプリケーションを使用可能にする必要があります。詳細については、「ActiveSync アダプタ」を参照してください。

アイデンティティー属性の追加と編集

「アイデンティティー属性の追加」または「アイデンティティー属性の編集」ページから、次の項目に関して選択して、アイデンティティー属性を追加または編集します。

「属性名」 − 属性名を選択または入力します。与えられているデフォルト値から (リソーススキーママップエントリ、オペレーショナルアイデンティティー属性、およびユーザー拡張属性から) 選択するか、またはテキストボックスに値を入力します。
「ソース」 − このアイデンティティー属性の値に利用する 1 つ以上のソースを選択します。ソースは順番に評価され、アイデンティティー属性は最初の null 以外の値に設定されます。
「リソース」 − 値は、選択したリソース上の選択済み属性に由来します。
「規則」 − 値は選択した規則の評価に由来します。
「定数」 − 値は提供された定数値に設定されます。

+ (プラス記号) をクリックすると、新規行が追加され、別のソースを選択できます。ソースの横にある - (マイナス記号) をクリックすると、新規行は削除されます。ソースを並べ替え直すには、矢印をクリックしてリスト内でリソースを上下に移動させます。

「属性のプロパティー」 − このエリアを使用して、アイデンティティー属性のプロパティー設定を指定します。
「アイデンティティー属性の設定方法」 − 次のいずれかのオプションを選択して、Identity Manager がリソース上の属性の値を設定する方法を指定します。
「値を設定」 − アイデンティティー属性の値がすべてのターゲットに対して優先的に設定されます。このオプションを選択すると、ソースによって決められた値はユーザーがフォームに入力したすべての値に優先して適用されます。このオプションは一般的な実装に適した設定です。
「デフォルト値」 − 値セットがない場合にのみターゲット上で属性値を設定します。
「値とマージ」 − 値を既存の値に追加します。重複する値はフィルタされます。
「IDM リポジトリに属性を保存」 − アイデンティティー属性をアイデンティティーシステムリポジトリにローカルに格納することを選択します。このオプションは、アイデンティティーシステムユーザーにアイデンティティー属性を保存する権限があるか、またはアイデンティティー属性がクエリーを処理できるようにする必要がある場合に選択します。
「割り当てられたすべてのリソースに値を設定」 − アイデンティティー属性をサポートするすべての割り当て済みリソースに対してアイデンティティー属性をグローバルに設定する場合に、このオプションを選択します。
「ターゲット」 − このアイデンティティー属性を設定するターゲットリソースを選択します。ターゲットが何も定義されていない場合は、「ターゲットの追加」をクリックします。リストからターゲットを削除するには、ターゲットを選択して、「選択したターゲットを削除」をクリックします。

「OK」をクリックすると、アイデンティティー属性が追加され、「アイデンティティー属性」ページに戻ります。「アイデンティティー属性」ページで「保存」をクリックして、追加した内容を必ず保存してください。

ターゲットリソースの追加

アイデンティティー属性が ChangeLog のみに使用されている場合は、そのターゲットを設定する必要はありません。たとえば、ChangeLog を使用したいが、標準の「入力フォーム」を使用してデータを Active Sync に送信するようにもしたいという場合が、そのようなケースです。ターゲットがない場合には、メタビューはアイデンティティー属性の値の計算のみを行い、ほかのどのリソースにも値を設定しません。

次の項目の選択を行って、アイデンティティー属性を設定するターゲットリソースを追加します。

「ターゲットリソース」 − 選択したアイデンティティー属性を設定するターゲットリソースを選択します。
「ターゲット属性」 −値を受け取るターゲットリソースの属性の名前を選択します。
「条件」 −選択したアイデンティティー属性の設定をこのターゲットリソースで行うかどうかを決めるときに実行する規則を選択します。この規則からは true または false の値が戻されるようにします。条件が設定されていない場合、ターゲット属性は常に選択されたイベントタイプに対して設定されます。
「適用イベント:」 − このターゲットリソースで、選択したアイデンティティー属性を設定するイベントのタイプを選択します。この選択内容が「条件」と組み合わされて、ターゲット属性を設定するかどうかが判別されます。

「OK」をクリックすると、ターゲットリソースが追加され、「アイデンティティー属性の追加」または「アイデンティティー属性の編集」ページに戻ります。

ターゲットリソースの削除

1 つ以上のターゲットリソースを削除するには、ターゲットリソースを選択して、「選択したターゲットを削除」をクリックします。

アイデンティティー属性のインポート

アイデンティティー属性のインポート機能を使用して、1 つ以上のフォームを選択し、アイデンティティー属性値をインポートして設定することができます。Identity Manager はインポートされたフォームの値を分析し、アイデンティティー属性に「最適な推定値」を見積もります。とはいえ、アイデンティティー属性値はインポート後に編集が必要になる場合があります。

次のインポート項目について選択を行います。

「既存のアイデンティティー属性とマージ」 − このオプションを選択した場合、Identity Manager はインポートされた値を既存のアイデンティティー属性とマージします。このオプションを選択しない場合は、インポートを実行する前に既存のアイデンティティー属性がクリアされます。
「インポートするフォーム」 − 「利用可能なフォーム」エリアから 1 つ以上のフォームを選択して、アイデンティティー属性を設定します。

「インポート」をクリックして、フォームをインポートします。アイデンティティー属性ページには、新規またはマージされたアイデンティティー属性が一覧表示されます。

「保存」をクリックして、アイデンティティー属性の変更を保存します。

注	アイデンティティー属性の条件に訂正の必要な箇所がある場合は、「警告」ページが表示されて、そこに 1 つ以上の警告が一覧表示されます。「OK」をクリックすると、「設定」エリアに戻ります。

アイデンティティーイベントの設定

Identity Manager が管理するリソースのアイデンティティーイベントを設定して、これらのリソース上で起きるイベントの動作を定義することもできます。アイデンティティーイベントで定義される動作は、Active Sync 中に、イベントが起きるタイミングを決定し、イベントに応答する適切なアクションを行うために使用されます。

たとえば、アイデンティティーユーザーとほかのすべてのリソースアカウントの削除をトリガーする、権威のある人事システム上での削除イベントを検出し応答するように、アイデンティティーイベントを設定できます。

アイデンティティーイベントを設定するには、「メタビュー」を選択し、「アイデンティティーイベント」タブを選択します。「アイデンティティーイベント」ページで、「イベントの追加」をクリックしてイベントタイプを指定します。「アイデンティティーイベント」ページでイベントを選択し、以下のオプションを指定することにより、アイデンティティーイベントを編集することもできます。

「イベントタイプ」 − 削除、有効化、または無効化を選択して、設定しているアイデンティティーイベントタイプを指定します。
「ソース」 − アイデンティティーイベントが適用されるリソースを選択します (Active Directory の AD など)。(ネイティブサポートがないため) イベントを検出し応答するためにリソースがイベント検出規則を必要とする場合は、「検出に使用する規則」フィールドで規則を選択します。リソースを追加または削除できます。
「応答」 − 応答リストから応答を選択するか、何も定義されていない場合は、「応答の追加」をクリックして応答を追加します。選択リストから応答を削除するには、その応答を選択して、「選択された応答の削除」をクリックします。

選択が終了したら、「OK」をクリックします。

---

Identity Manager ポリシーの設定

この節では、ユーザーポリシーの設定の説明および手順を示します。

ポリシーとは

Identity Manager ポリシーには、Identity Manager アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。

注	Identity Manager には、特にユーザーのコンプライアンスを監査するように設計された監査ポリシーも用意されています。監査ポリシーについては、第 11 章「アイデンティティー監査」を参照してください。

Identity Manager ユーザーポリシーの作成と編集は、「ポリシー」ページで行います。メニューバーの「セキュリティー」を選択してから、「ポリシー」を選択します。表示されたリストページで、既存のポリシーを編集したり、新規ポリシーを作成したりできます。

ポリシーは、以下のタイプに分類されています。

アイデンティティーシステムアカウントポリシー − ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。アイデンティティーシステムアカウントポリシー (図 4-9 参照) は、「組織の作成」と「組織の編集」および「ユーザーの作成」と「ユーザーの編集」ページを使用して組織またはユーザーに割り当てます。

図 4-9 Identity Manager ポリシー

設定または選択できるオプションは、次のとおりです。

ユーザーポリシーオプション − ユーザーが秘密の質問に正しく回答できない場合に、Identity Manager がユーザーアカウントをどのように処理するかを指定します。
パスワードポリシーオプション − パスワードの有効期限、期限切れ前の警告時間、およびリセットオプションを設定します。
認証ポリシーオプション − 秘密の質問をユーザーにどのように表示するか、またユーザーが独自の秘密の質問を設定できるかを決定し、ユーザーに表示できる質問 (最大 10 個) の貯蔵場所を設定します。

SPE システムアカウントポリシー − このポリシータイプは、サービスプロバイダ用に実装されたもので、サービスプロバイダユーザーのユーザー、パスワード、認証ポリシーのオプションと制約を設定するために使用されます。このポリシーは、「組織の作成」と「組織の編集」および「ユーザーの作成」と「ユーザーの編集」ページを使用して組織またはユーザーに割り当てます。
文字列の品質ポリシー − 文字列品質ポリシーにはパスワード、AccountID、認証などのポリシータイプが含まれており、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。このタイプのポリシーは、各 Identity Manager リソースに関連付けられ、各リソースページに設定されます。図 4-10 に例を示します。

図 4-10 パスワードポリシーの作成/編集

パスワードおよびアカウント ID に設定できるオプションと規則は、次のとおりです。

長さ規則 − 最大長および最小長を決定します。
文字タイプ規則 − 英字、数字、大文字、小文字、繰り返し、および連続文字に使用可能な最小値と最大値を設定します。
パスワードの再利用の制限 − 現在のパスワードより前に使用されていたパスワードのうち、再利用できないようにするパスワードの数を指定します。ユーザーがパスワードを変更しようとすると、新規パスワードがパスワードの履歴と比較され、一意のパスワードであることが確認されます。セキュリティーを確保する目的で以前のパスワードのデジタル署名が保存され、新規パスワードと比較されます。
禁止される単語および属性値 − ID またはパスワードとして使用できない単語および属性を指定します。

ポリシーでの使用禁止属性

UserUIConfig 設定オブジェクトでは「使用禁止」属性のセットを変更できます。UserUIConfig には次のような属性があります。

<PolicyPasswordAttributeNames> − ポリシータイプ「Password」
<PolicyAccountAttributeNames> − ポリシータイプ「AccountId」
<PolicyOtherAttributeNames> − ポリシータイプ「Other」

辞書ポリシー

辞書ポリシーを使用すると、Identity Manager は単語データベースと照合してパスワードをチェックすることができ、単純な辞書攻撃から保護されることが保証されます。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を強制することにより、Identity Manager がシステム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。

辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します。このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装されます。

辞書ポリシーの設定

辞書ポリシーを設定するには、次を実行する必要があります。

辞書サーバーサポートの設定
辞書の読み込み

次の手順を実行します。

メニューバーの「設定」を選択してから、「ポリシー」を選択します。
「辞書の設定」をクリックすると、「辞書の設定」ページが表示されます。
データベース情報を選択および入力します。
「データベースタイプ」 − 辞書の保存に使用するデータベースタイプ (Oracle、DB2、SQLServer、または MySQL) を選択します。
「ホスト」 − データベースが実行されているホストの名前を入力します。
「ユーザー」 − データベースに接続するときに使用するユーザー名を入力します。
「パスワード」 − データベースに接続するときに使用するパスワードを入力します。
「ポート」 − データベースがリスニング中のポートを入力します。
「接続 URL」 − 接続のときに使用する URL を入力します。次のテンプレート変数を使用することができます。
%h - ホスト
%p - ポート
%d - データベース名
「ドライバクラス」 − データベースを操作する際に使用する JDBC ドライバクラスを入力します。
「データベース名」 − 辞書の読み込み先のデータベースの名前を入力します。
「辞書ファイル名」 − 辞書を読み込むときに使用するファイルの名前を入力します。
データベース接続をテストするには、「テスト」をクリックします。
接続テストが成功したら、「単語の読み込み」をクリックして、辞書を読み込みます。読み込み作業が完了するまでに、数分かかる場合があります。
その辞書が正しく読み込まれたかどうかを確認するには、「テスト」をクリックします。

辞書ポリシーの実装

辞書ポリシーは、Identity Manager ポリシーエリアから実装します。「ポリシー」ページで、編集するパスワードポリシーをクリックします。「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。実装すると、変更および生成されたパスワードはすべて、辞書と照合してチェックされます。

---

電子メールテンプレートのカスタマイズ

Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストをユーザーと承認者に配信します。システムには次のためのテンプレートが用意されています。

アクセスレビュー情報 − ユーザーのアクセス権をレビューする必要があるという通知を送信します。アクセスポリシーの違反を是正するか受け入れる必要があるときに、システムはこの通知を送信します。
アカウントの作成の承認 − 新しいアカウントが承認待ちであるという通知を承認者に送信します。関連付けられているロールの「プロビジョン通知」オプションが「承認」に設定されている場合に、この通知が送信されます。
アカウントの作成の通知 − アカウントが作成され、特定のロールが割り当てられたという通知を送信します。「ロールの作成」または「ロールの編集」ページの「通知受信者」フィールドで、1 人以上の管理者が選択されている場合に、この通知が送信されます。
アカウントの削除の承認 − ユーザーアカウントの削除アクションが承認待ちであるという通知を承認者に送信します。「ロールの作成」または「ロールの編集」ページの「通知受信者」フィールドで、1 人以上の管理者が選択されている場合に、この通知が送信されます。
アカウントの削除の通知 − アカウントが削除されたという通知を送信します。
アカウントの更新の通知 − 指定の電子メールアドレスまたはユーザーアカウントへ、アカウントを更新したという通知を送信します。
パスワードリセット − Identity Manager パスワードリセットの通知を送信します。関連付けられた Identity Manager ポリシーに対して選択されたリセット通知オプションの値に応じて、パスワードをリセットした管理者の Web ブラウザにただちに通知が表示されるか、パスワードがリセットされたユーザーに電子メールが送信されます。
パスワード同期情報 − パスワードの変更がすべてのリソースで正常に完了したことをユーザーに通知します。通知には、正常に更新されたリソースが一覧表示され、パスワード変更のリクエスト元が示されます。
パスワード同期エラー情報 − パスワードの変更がすべてのリソースでは成功しなかったことをユーザーに通知します。通知には、エラーが一覧表示され、パスワード変更のリクエスト元が示されます。
ポリシー違反情報 − アカウントポリシー違反が発生したという通知を送信します。
アカウントイベントの調整、リソースイベントの調整、調整の概要 − Notify Reconcile Response、Notify Reconcile Start、および Notify Reconcile Finish デフォルトワークフローからそれぞれ呼び出されます。通知は、各ワークフローの設定に基づいて送信されます。
レポート − 生成されたレポートを指定されたリストの受信者に送信します。
リソースのリクエスト − リソースがリクエストされたという通知をリソース管理者に送信します。管理者が「リソース」エリアからリソースをリクエストしたときに、この通知が送信されます。
再試行通知 − あるリソースに関する特定の操作の試行が指定回数失敗したという通知を管理者に送信します。
リスク分析 − リスク分析レポートを送信します。リソーススキャンの一部として、1 人以上の電子メール受信者が指定されている場合に、このレポートが送信されます。
一時パスワードリセット − アカウントに暫定パスワードが提供されたという通知をユーザーまたはロール承認者に送信します。関連付けられた Identity Manager ポリシーに対して選択したパスワードリセット通知オプションの値に応じて、ユーザーの Web ブラウザにただちに通知が表示されるか、ユーザーまたはロール承認者に電子メールが送信されます。

電子メールテンプレートの編集

電子メールテンプレートをカスタマイズして、受信者に、タスクの実行方法や結果の表示方法などの特定の指示を通知することができます。たとえば、「アカウントの作成の承認」テンプレートをカスタマイズして、次のメッセージを追加することにより、承認者にアカウント承認ページを表示するとします。

$(fullname) 用アカウント作成を承認するには、http://host.example.com:8080/idm/approval/approval.jsp にアクセスしてください。

電子メールテンプレートをカスタマイズするには、例として「アカウントの作成の承認」テンプレートを使用した次の手順を実行します。

メニューバーで、「設定」を選択します。
「設定」ページで「電子メールテンプレート」を選択します。
アカウント作成承認テンプレートをクリックして選択します。

図 4-11 電子メールテンプレートの編集



テンプレートの詳細を入力します。
「SMTP ホスト」フィールドに SMTP サーバー名を入力して、電子メール通知を送信できるようにします。
「送信者」フィールドで、送信元の電子メールアドレスをカスタマイズします。
「宛先」フィールドと「CC」フィールドに、電子メール通知の受信者になる 1 つ以上の電子メールアドレスまたは Identity Manager アカウントを入力します。
「電子メール本文」フィールドで、Identity Manager の場所を指すように内容をカスタマイズします。
「保存」をクリックします。

Identity Manager IDE を使用して電子メールテンプレートを修正することもできます。IDE の詳細については、『Identity Manager Deployment Tools』を参照してください。

電子メールテンプレートの HTML とリンク

HTML 形式のコンテンツを電子メールテンプレートに挿入して、電子メールメッセージの本文に表示することができます。コンテンツには、テキスト、グラフィック、および情報への Web リンクを使用できます。HTML 形式のコンテンツを有効化するには、「HTML 有効」オプションを選択します。

電子メール本文の許容変数

電子メールテンプレートの本文には、変数の参照を $(Name) の形式で含めることもできます。例: パスワード $(password) が復旧しました。

各テンプレートの許容変数を、次の表に定義します。

表 4-3 電子メールテンプレート変数

テンプレート	許容変数
パスワードリセット	$(password) − 新規に生成されたパスワード
承認の更新	$(fullname) − ユーザーのフルネーム $(role) − ユーザーのロール
通知の更新	$(fullname) − ユーザーのフルネーム $(role) − ユーザーのロール
レポート	$(report) − 生成されたレポート $(id) − タスクインスタンスのエンコード ID $(timestamp) − 電子メールの送信時刻
リソースのリクエスト	$(fullname) − ユーザーのフルネーム $(resource) − リソースタイプ
リスク分析	$(report) − リスク分析レポート
一時パスワードリセット	$(password) − 新規に生成されたパスワード $(expiry) − パスワードの有効期限

---

監査グループおよび監査イベントの設定

監査設定グループを設定すると、選択したシステムイベントを記録およびレポートすることができます。監査グループおよびイベントの設定には、Configure Audit 管理機能が必要になります。

監査設定グループを設定するには、メニューバーの「設定」を選択し、「監査」を選択します。

「監査設定」ページに監査グループのリストが表示されます。各グループに 1 つ以上のイベントが含まれています。各グループについて、成功したイベント、失敗したイベント、またはその両方を記録することができます。

リスト内の監査グループをクリックすると、「監査設定グループの編集」ページが表示されます。このページで、監査設定グループの一部としてシステム監査ログに記録する監査イベントのタイプを選択することができます。

「監査の有効化」チェックボックスが選択されていることを確認します。監査システムを無効にするには、チェックボックスを選択解除します。

監査設定グループ内のイベントの編集

グループ内のイベントを編集するために、特定のオブジェクトタイプの操作を追加または削除することができます。このためには、そのオブジェクトタイプの「アクション」列の項目を「利用可能」エリアから「選択」エリアに移動し、「OK」をクリックします。

監査設定グループへのイベントの追加

グループにイベントを追加するには、「新規」をクリックします。イベントはページの一番下に追加されます。「オブジェクトタイプ」列でリストからオブジェクトタイプを選択し、新しいオブジェクトタイプの「アクション」列で、1 つ以上の項目を「利用可能」エリアから「選択」エリアに移動します。「OK」をクリックしてイベントをグループに追加します。

---

Remedy との統合

Identity Manager を Remedy サーバーと統合すると、指定されたテンプレートに従って Remedy チケットを送信することができます。

Remedy との統合は、管理者インタフェースの次の 2 つのエリアでセットアップします。

「Remedy サーバーの設定」 −「リソース」エリアから Remedy リソースを作成することにより、Remedy を設定します。リソースのセットアップ後、接続をテストして統合が有効であることを確認します。
「Remedy テンプレート」 − Remedy リソースのセットアップ後、Remedy テンプレートを定義します。そのためには、「設定」を選択して、「Remedy との統合」を選択します。次に、Remedy スキーマとリソースを選択します。

Remedy チケットの作成は、Identity Manager ワークフローを通じて設定されます。設定によっては、定義済みのテンプレートを使用して Remedy チケットを開く呼び出しを適切な時刻に行うこともできます。ワークフローの設定の詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。

---

Identity Manager サーバーの設定

Identity Manager サーバーが特定のタスクのみを実行するようにサーバー固有の設定を編集することができます。そのためには、「設定」を選択して、「サーバー」を選択します。

個別のサーバーの設定を編集するには、「サーバーの設定」ページでリスト内のサーバーを選択します。「サーバー設定の編集」ページが表示され、調整サーバー、スケジューラ、JMX などの設定を編集することができます。

調整サーバーの設定

デフォルトでは、調整サーバーの設定は、「サーバー設定の編集」ページに表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。

「並列リソースの制限」 − 調整サーバーが同時に処理できるリソースの最大数を指定します。
「最小ワークスレッド」 − 調整サーバーが常にライブ状態で維持する処理スレッドの最小数を指定します。
「最大ワークスレッド」 − 調整サーバーが使用できる処理スレッドの最大数を指定します。調整サーバーは、作業の負荷に応じて、スレッドを必要な数だけ開始します。ここで指定する最大数でその数が制限されます。

スケジューラの設定

「サーバー設定の編集」ページで「スケジューラ」をクリックすると、スケジューラオプションが表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。

「スケジューラの起動」 − スケジューラの起動モードを選択します。
「自動」 − サーバーの起動時に起動します。これがデフォルトの起動モードです。
「手動」 − サーバーの起動時に起動しますが、手動で起動するまで保留状態で維持されます。
「無効」 − サーバーの起動時に起動しません。
「トレースの有効化」 − このオプションを選択すると、スケジューラのデバッグトレース結果が標準出力に表示されます。
「最大同時タスク数」 − スケジューラが一度に実行するデフォルト以外のタスクの最大数を指定するには、このオプションを選択します。この制限を超える追加タスクのリクエストは、延期されるか、別のサーバーで実行します。
「タスク指定」 − サーバーで実行できるタスクのセットを指定します。このためには、利用可能なタスクのリストから 1 つ以上のタスクを選択します。選択したタスクのリストは、選択したオプションに応じて、追加リストまたは除外リストになります。リストで選択したタスクを除くすべてのタスクを許可することも (デフォルトの動作)、選択したタスクのみを許可することもできます。

「保存」をクリックして、サーバー設定の変更を保存します。

電子メールテンプレートサーバーの設定

「サーバー」メニューの「電子メールテンプレート」をクリックして、デフォルトの SMTP サーバー設定を指定します。

デフォルト以外のメールサーバーを使用する場合は、このオプションを使用して、「デフォルト値を使用する」の選択を解除し、使用するメールサーバーを入力することにより、デフォルトの電子メールサーバーを指定します。入力するテキストは、電子メールテンプレートの smtpHost 変数の置換に使用されます。

JMX

この設定を使用して JMX クラスタポーリングを有効にし、ポーリングスレッドの間隔を設定します。収集された JMX データは、Identity Manager デバッグページにアクセスし、「Show MBean Info」ボタンをクリックすると表示できます。

JMX ポーリングを有効するには、「サーバー」タブの「JMX」をクリックして、次のオプションを選択します。

「JMX の有効化」 − このオプションを使用して、JMX クラスタ MBean のポーリングスレッドを有効または無効にします。JMX を有効にするにはデフォルト設定を選択解除します (デフォルト値 (false) を使用する)。

注	ポーリングサイクルにシステムリソースを使用するため、JMX の使用を計画している場合にのみこのオプションを有効にしてください。

「ポーリング間隔 (ms)」 − JMX を有効にしているときに、サーバーがレジストリをポーリングするデフォルトの間隔を変更するには、このオプションを使用します。間隔はミリ秒単位で指定します。

デフォルトポーリング間隔は 60000 ミリ秒に設定されます。これを変更するには、このオプションのチェックボックスを選択解除し、表示される入力フィールドに新しい値を入力します。

「保存」をクリックして、サーバー設定の変更を保存します。

サーバーのデフォルト設定の編集

サーバーのデフォルト設定機能を使用して、すべての Identity Manager サーバーのデフォルト設定を設定することができます。個別のサーバー設定ページで異なる項目を選択しないかぎり、サーバーはこれらの設定を継承します。デフォルト設定を編集するには、「サーバーのデフォルト設定の編集」をクリックします。「サーバーのデフォルト設定の編集」ページには、個別のサーバー設定ページと同じオプションが表示されます。

各サーバーのデフォルト設定の変更は、その設定の「デフォルト値を使用する」オプションを選択解除しないかぎり、対応する個別のサーバー設定に伝播されます。

「保存」をクリックして、サーバー設定の変更を保存します。

前へ      目次      索引      次へ

---

Part No: 820-0138.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.