Sun Java™ System Identity Manager 7.0 管理ガイド |
第 7 章
レポートIdentity Manager は、自動化されたシステムアクティビティーと手動によるシステムアクティビティーについてのレポートを作成します。一連の強力なレポート機能により、重要なアクセス情報や Identity Manager ユーザーに関する統計をいつでも取得して表示できます。
この章では、Identity Manager レポートタイプ、レポートの作成、実行、および電子メールによる送信の方法、レポート情報のダウンロード手順について説明します。
この章は、次の節で構成されています。
レポートの操作Identity Manager では、レポートは特別なタスクカテゴリとみなされます。そのため、Identity Manager 管理者インタフェースの次の 2 つのエリアでレポートを操作します。
レポート
レポート関連のアクティビティーのほとんどは、「レポートの実行」ページから実行できます。このページでは、次のレポートアクティビティーを実行できます。
このページを表示するには、メニューバーから「レポート」を選択します。「レポートの実行」ページに使用可能なレポートのリストが表示されます。
デフォルトでは、次のレポートはログイン管理者が管理する組織セットに対して実行されます。ただし、レポートの実行対象となる組織を 1 つ以上選択した場合は、その選択が優先されます。
図 7-1 は、「レポートの実行」ページの例を示します。
図 7-1 「レポートの実行」の選択項目
レポートの定義を開始するには、次のいずれかの方法を使用します。
レポートの作成
レポートを作成するには、次の手順に従います。
Identity Manager の「レポートの定義」ページが表示されます。ここでオプションを選択して保存すると、レポートが作成されます。
レポートの複製
レポートを複製するには、リストからレポートを選択します。新しいレポート名を入力し、オプションでレポートパラメータを調整して「保存」をクリックします。レポートは新しい名前で保存されます。
電子メールによるレポートの送信
レポートを作成または編集するときには、レポートの結果を 1 人または複数の電子メール受信者に送信するオプションを選択できます。このオプションを選択すると、ページが更新され、電子メール受信者を指定するようにリクエストされます。アドレスをカンマで区切り、1 人以上の受信者を入力します。
電子メールに添付するレポートの形式を選択することもできます。
レポートの実行
レポートの条件を入力および選択したら、次を実行できます。
レポートのスケジュール
レポートをただちに実行するのか、定期的に実行するようスケジュールするのかによって、選択は異なります。
レポートデータのダウンロード
「レポートの実行」ページで、次のいずれかの行の「ダウンロード」をクリックします。
レポート出力のフォントの設定
PDF (Portable Document Format) で生成されるレポートについて、レポートで使用するフォントを決定するための選択を行うことができます。
レポートのフォント選択を設定するには、「レポート」をクリックして「設定」を選択します。次のオプションを選択できます。
「保存」をクリックしてレポート設定オプションを保存します。
レポートのタイプIdentity Manager では次の複数のレポートタイプが用意されています。
これらのレポートは、次のレポートカテゴリの一方または両方からアクセスできます。
監査
監査レポートは、監査ポリシーで定義された基準に基づいて、ユーザーのコンプライアンスを管理するための情報を提供します。監査ポリシーと監査レポートの詳細については、第 11 章「アイデンティティー監査」を参照してください。
Identity Manager では次の監査レポートが用意されています。
監査レポートを定義するには、「レポートの実行」ページの「監査レポート」オプションを選択し、「監査レポート」のリストからレポートを選択します。監査レポートの詳細については、該当する項を参照してください。
監査ログ
監査レポートは、システム監査ログに取得されたイベントに基づいています。これらのレポートには、生成されたアカウント、承認されたリクエスト、失敗したアクセス試行、パスワードの変更とリセット、セルフプロビジョニングアクティビティー、ポリシー違反、およびサービスプロバイダ (エクストラネット) ユーザーなどについての情報が表示されます。
注
監査ログを実行する前に、取得する Identity Manager イベントのタイプを指定する必要があります。それには、メニューバーの「設定」を選択し、「監査」を選択します。グループごとに成功したイベントと失敗したイベントを記録するために、監査グループ名を 1 つ以上選択します。監査設定グループの設定の詳細については、「監査グループおよび監査イベントの設定」を参照してください。
「レポートの実行」ページのレポートオプションのリストから選択することにより、監査ログレポートを実行することができます。このレポートは、Identity Manager レポートと監査レポートの両方のカテゴリから利用できます。
レポートパラメータを設定して保存したら、「レポートの実行」リストページからレポートを実行します。「実行」をクリックすると、保存した条件を満たすすべての結果を含んだレポートが作成されます。レポートには、イベントの発生日、実行された操作、および操作の結果が表示されます。
リアルタイム
リアルタイムレポートは、リソースを直接ポーリングしてリアルタイム情報をレポートします。リアルタイムレポートには次の情報が含まれます。
リアルタイムレポートを定義するには、「レポートの実行」ページの「Identity Manager レポート」リストからいずれかのレポートオプションを選択します。
レポートパラメータを設定して保存したら、「レポートの実行」リストページからレポートを実行します。「実行」をクリックすると、保存した条件を満たすすべての結果を含んだレポートが作成されます。
概要レポート
概要レポートタイプには、「Identity Manager レポート」リストから使用できる、次のレポートが含まれます。
- アカウントインデックス − 調整状況に従って選択したリソースアカウントについてレポートします。
- 管理者 − Identity Manager 管理者、管理者が管理する組織、および管理者に割り当てられている機能が表示されます。管理者レポートを定義するときには、レポートに含める管理者を組織によって選択できます。
- 管理者ロール − 管理者ロールに割り当てられているユーザーを一覧表示します。
- ロール − Identity Manager ロールとそれに関連付けられたリソースが要約されます。ロールレポートを定義するときには、レポートに含めるロールを、関連付けられた組織によって選択できます。
- タスク − 保留中または終了済みのタスクをレポートします。含める情報の詳細さは、承認者、説明、有効期限、所有者、開始日、状態などの属性のリストから選択することによって決まります。
- ユーザー − ユーザー、ユーザーに割り当てられたロール、およびユーザーがアクセスできるリソースが表示されます。ユーザーレポートを定義するときには、レポートに含めるユーザーを名前、割り当てられた管理者、ロール、組織、またはリソース割り当てによって選択できます。
- ユーザー質問 − アカウントポリシー要件で指定した秘密の質問の最小個数を回答していないユーザーを、管理者が検索できるようにします。結果には、ユーザー名、アカウントポリシー、ポリシーに関連付けられたインタフェース、および回答が必要な質問の最小個数が示されます。
次の図に示すように、管理者レポートには、Identity Manager 管理者、管理者が管理する組織、および管理者に割り当てられている機能と管理者ロールが一覧表示されます。
図 7-3 管理者概要レポート
システムログ
システムログレポートは、リポジトリに記録されるシステムメッセージおよびエラーを示します。このレポートを設定するとき、次の情報を含めるか除外するかを指定できます。
表示するレコードの最大数 (デフォルトは 3000) や、表示可能なレコード数が指定された最大値を超えた場合に古いレコードと新しいレコードのどちらを優先して表示するかも設定できます。
システムログレポートを実行する場合、ターゲットエントリの Syslog ID を指定することにより、特定の Syslog エントリを取得することができます。たとえば、「Recent Systems Messages」レポートの特定のエントリを表示するには、レポートを編集し、「イベント」フィールドを選択してから、リクエストされる Syslog ID を入力して「実行」をクリックします。
注
lh syslog コマンドを実行して、システムログからレコードを抽出することもできます。コマンドオプションの詳細については、付録 A 「lh リファレンス」の「syslog コマンド」を参照してください。
システムログレポートを定義するには、「レポートの実行」ページのレポートオプションのリストから「システムログレポート」を選択します。
使用状況レポート
使用状況レポートを作成して実行すると、管理者、ユーザー、ロール、またはリソースなどの Identity Manager オブジェクトに関連するシステムイベントの要約をグラフ形式または表形式で表示できます。出力を円グラフ、棒グラフ、または表形式で表示することができます。
使用状況レポートを定義するには、「レポートの実行」リストページのレポートオプションのリストから「使用状況レポート」を選択します。
レポートパラメータを設定して保存したら、「レポートの実行」リストページからレポートを実行します。
使用状況レポートのグラフ
次の図では、最上部の表にレポートを構成するイベントが表示されます。その下にあるグラフは、この表の情報をグラフ化したものです。マウスポインタをグラフの各部に移動すると、その部分の値が表示されます。
図 7-4 使用状況レポート (生成されたユーザーアカウント)
円グラフの一部をハイライト表示処理することができます。データスライスの一部を右クリックしたまま、ほかのデータスライスから離れて見えるように中央からドラッグします。この処理は、グラフ内の複数の部分で実行できます。ほとんどの管理の場合、スライスの中央に近い部分をクリックすると、ほかのスライスとの間隔がさらに広くなるようドラッグすることができます。
表示したい方向に円グラフを回転させることもできます。グラフの端の部分をクリックしたまま、表示したい方向へマウスを右または左に移動して回転します。
リスク分析Identity Manager リスク分析機能を使用すると、プロファイルが特定のセキュリティー制限の外部にあるユーザーアカウントについてレポートを作成できます。リスク分析レポートは、物理的なリソースをスキャンしてデータを収集し、無効化されたアカウント、ロックされたアカウント、および所有者のいないアカウントについての詳細をリソースごとに表示します。また、リスク分析では期限切れパスワードについての詳細も表示されます。レポートの詳細は、リソースタイプによって異なります。
リスク分析ページは、フォームによって制御され、環境に合わせて設定できます。フォームのリストは、idm¥debug ページの RiskReportTask オブジェクトの下に表示され、Business Process Editor を使って修正できます。Identity Manager フォームの設定の詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。
リスク分析レポートを作成するには、メニューバーの「リスク分析」をクリックして、オプションの「新規」リストからレポートを選択します。
選択したリソースをスキャンするようにレポートを制限できます。また、リソースタイプによっては、次のアカウントをスキャンすることができます。
定義したあとは、リスク分析レポートを指定した間隔で実行するようにスケジュールすることができます。
システムの監視ダッシュボードグラフにイベントを表示してリアルタイムに追跡および監視するように Identity Manager をセットアップできます。ダッシュボードを使用することで、システムリソースをすばやく検査して異常を発見し、日付、曜日などに基づいた履歴上のパフォーマンス傾向を把握し、監査ログを見る前に問題を対話的に特定することができます。これらには監査ログほど多くの詳細は含まれませんが、問題を特定するためにログのどこを見ればよいかについてのヒントが得られます。
自動化されたアクティビティーと手動によるアクティビティーを高レベルで追跡する、グラフィカルなダッシュボード表示を作成することができます。Identity Manager は、サンプルのリソース操作ダッシュボードグラフを用意しています。リソース操作ダッシュボードグラフを使用することにより、システムリソースをすばやく監視し、許容レベルのサービスを維持できるようになります。
リソース操作ダッシュボードのこれらのグラフにはサンプルデータを表示できます。ダッシュボードの使用の詳細については、「ダッシュボードの操作」を参照してください。
統計はさまざまなレベルで収集および集約され、指定内容に基づいたリアルタイムビューが提示されます。
追跡イベント設定
「レポートの設定」ページの「追跡イベント設定」エリアから、追跡イベントの統計収集が現在有効かどうかを判定したり、有効にしたりできます。追跡イベント設定を有効にするには、「イベント収集の有効化」をクリックします。
イベント収集の次のオプションを指定します。
システムは追跡されたイベントデータを格納し、期間を変更しながらシステムの詳細かつ最新の概覧を表示し、履歴上での傾向を把握できるようにします。
次のタイムスケールを使用できます。デフォルトではすべてが選択されています。収集しない間隔に対する選択は解除してください。
追跡イベントを設定したあと、ダッシュボードを使用して追跡イベントを監視します。
グラフの操作グラフに関する次のアクティビティーを実行することができます。
定義済みのグラフの表示
Identity Manager は、いくつかのサンプルグラフを用意しています。サンプルデータを使用するものとしないものがあります。それぞれの配備に適したグラフを追加作成することをお勧めします。
配備を本稼働に移行する前に、サンプルグラフとサンプルダッシュボードを削除してください。サンプルデータを使用しないサンプルグラフの一部は、該当データが収集されていない場合に空白として表示される可能性があります。
グラフの作成
新しいダッシュボードグラフを作成するには、次の手順に従います。
- メニューバーで「レポート」をクリックします。
- 「ダッシュボードグラフ」をクリックします。
定義済みのグラフがすべて一覧表示されます。
- 「新規」をクリックします。図 7-5 に、「グラフの編集」ページを示します。
図 7-5 グラフの編集
生成するグラフ
- グラフ名を入力します。グラフは名前でダッシュボードに追加されるため、一意のわかりやすい名前を選択します。
- 必要に応じ、「サンプルデータを使用」を選択します。
サンプルデータでグラフをプレビューする場合は、このオプションを有効にします。サンプルデータオプションは、システムをはじめて利用する管理者のために用意されています。追跡するすべてのイベントでサンプルデータが利用できるとは限らないため、このオプションはデモンストレーションやさまざまなグラフオプションを指定した実験に最適です。本稼働環境への移行前にサンプルデータは削除してください。
- リストから「追跡するイベント」の適切なタイプを選択します。
イベントは、メモリ使用状況などのシステムの特性、または履歴値が追跡され、グラフまたはチャートで視覚的に表示されるリソース操作などのイベントの集まりです。
- リストからタイムスケールを選択します。
これは、データ収集の間隔 (1 時間など)、収集データの保管期間 (1 か月など) を制御します。システムは追跡されたイベントデータを保存し、期間を変更しながらシステムの詳細かつ最新の概覧を表示し、履歴上での傾向を把握できるようにします。
- リストから測定基準を選択します。選択している追跡イベントに応じて、デフォルトの測定基準 (カウントまたは平均) が選択されます。
グラフごとに測定基準が 1 つ表示されます。使用できる測定基準は、選択した追跡イベントにより異なります。可能な測定基準は次のとおりです。
- リストから「カウントの表示様式」を選択します。
グラフカウントは、生の合計値として、またはさまざまなタイムスケールによってスケールされた値として表示されます。
- リストからグラフの種類を選択します。
これは、追跡されたイベントデータの表示様式を制御します。使用可能なグラフの種類は、選択した追跡イベントにより異なり、線グラフ、棒グラフ、円グラフなどがあります。
ベース次元
グラフオプション
詳細なグラフオプション
グラフの編集
グラフを編集するには、「レポート」タブを選択し、「ダッシュボードグラフ」リストからグラフ名を選択します。
選択したグラフにより、編集できるグラフ属性は異なります。次の 1 つ以上の特性を編集に使用できます。
- グラフ名 − グラフは名前でダッシュボードに追加されます。
- レジストリ − レジストリに定義される追跡されたイベントの説明を指定します。現在は SAMPLE、SPE (サービスプロバイダ)、および IDM が選択されています。
- 追跡するイベント − メモリ使用状況などのシステムの特性、または履歴値が追跡され、グラフまたはチャートで視覚的に表示されるリソース操作などのイベントの集まりです。
- タイムスケール − データ収集の間隔および収集データの保管期間を制御します。
- 測定基準 − グラフごとに測定基準が 1 つ表示されます。使用できる測定基準は、選択した追跡イベントにより異なります。選択した測定基準によってその他のオプションが使用できることもあります。
- グラフの種類 − 追跡されたイベントの表示様式を制御します (線グラフ、棒グラフなど)。
- 次元値を含める − 選択した場合、すべての次元値がグラフで使用されます。
- グラフのサブタイトル − 必要に応じて、グラフのメインタイトルの下にサブタイトルを入力します。
- 詳細なグラフオプション − 次を設定したい場合に選択します。
- 「保存」をクリックします。
グラフの削除
グラフを削除するには、「ダッシュボードグラフ」リストからグラフを選択し、「削除」をクリックします。
ダッシュボードの操作ダッシュボードは、1 つのページ上に表示される関連グラフの集まりです。グラフと同様、Identity Manager にはサンプルダッシュボードセットが用意されており、それぞれの配備に合わせてこれらをカスタマイズすることをお勧めします。手順については、「ダッシュボードの作成」を参照してください。
「レポート」メニューの次のエリアで、ダッシュボードを操作することができます。
Identity Manager インタフェースの「レポート」エリアから、既存のダッシュボードを表示することができます。現在定義済みのダッシュボードを一覧表示するには、「ダッシュボードの表示」>「ダッシュボードグラフ」をクリックしてから、表示したいダッシュボードの横の「表示」をクリックします。
注
多数のグラフを含むダッシュボードでは、すべてのグラフが最初に読み込まれるまで更新を停止することが役立つ場合があります。
ダッシュボードの更新を停止するには、「更新を一時停止」をクリックし、表示を更新するには、「今すぐ更新」をクリックします。
続く節では、ダッシュボードの操作手順について説明します。
ダッシュボードの作成
ダッシュボードを作成するには、次の手順に従います。
ダッシュボードの編集
ダッシュボードを編集するには、「ダッシュボードの作成」で説明した手順に従います。ただし、「新規」を選択する代わりに、修正するダッシュボードを選択し、次の属性を編集します。
図 7-6 に、ダッシュボード編集ページの例を示します。
図 7-6 ダッシュボードの編集
ダッシュボードの削除
サービスプロバイダダッシュボードを削除するには、「サービスプロバイダ」エリアから「ダッシュボードの管理」をクリックし、適切なダッシュボードを選択してから「削除」をクリックします。
注
ダッシュボードに含まれるグラフは、この手順では削除されません。「ダッシュボードグラフの管理」ページを使用してグラフを削除してください (「グラフの削除」を参照)。
トランザクションの検索
トランザクションは、新しいユーザーの作成や新しいリソースの割り当てなど、単一のプロビジョニング操作をカプセル化します。リソースを使用できないときにこれらのトランザクションを終了させるため、トランザクションがトランザクション持続ストアに書き込まれます。
注
「トランザクション設定の編集」ページを使用すると (「トランザクション管理」を参照)、管理者はいつトランザクションを保管するかを制御できます。たとえば、トランザクションをただちに保管できます (最初の試行前であっても)。
「トランザクションの検索」ページを使用すると、トランザクション持続ストア内のトランザクションを検索することができます。ここには、すでに完了しているトランザクションとともに再試行中のトランザクションが含まれます。完了していないトランザクションは、それ以上試行されないようにキャンセルできます。
トランザクションを検索するには、次を実行します。
- Identity Manager にログインします。
- メニューバーで「サービスプロバイダ」をクリックします。
- 「トランザクションの検索」をクリックします。
「検索条件」ページが表示されます。
- 必要に応じ、「ユーザー名」を選択します。
入力した accountId を持つユーザーのみに適用されるトランザクションを検索できます。
注
「Service Provider Edition トランザクションの設定」ページの「照会可能なユーザー属性のカスタマイズ」を設定している場合は、それらがここに表示されます。たとえば、照会可能なユーザー属性のカスタマイズとして姓またはフルネームが設定されている場合、これらに基づいて検索することを選択できます。
- 必要に応じ、「タイプ」での検索を選択します。
選択したタイプのトランザクションを検索できます。
- 必要に応じ、「状態」での検索を選択します。
選択した次の状態のトランザクションを検索できます。
- 必要に応じ、「試行」での検索を選択します。
試行された回数に基づいて、トランザクションを検索できます。失敗したトランザクションは、個々のリソースに設定された再試行制限まで再試行されます。
- 必要に応じ、「送信時間」での検索を選択します。
トランザクションが最初に送信された時間に基づいて、時間、分、日の単位でトランザクションを検索できます。
- 必要に応じ、「終了時間」での検索を選択します。
トランザクションが完了した時間に基づいて、時間、分、日の単位でトランザクションを検索できます。
- 必要に応じ、「キャンセルステータス」での検索を選択します。
トランザクションがキャンセルされているかどうかに基づいて、トランザクションを検索できます。
- 必要に応じ、「トランザクション ID」での検索を選択します。
一意のトランザクション ID に基づいてトランザクションを検索できます。このオプションを使用すると、入力した ID 値に基づいてトランザクションが検索されます。この ID は、すべての監査ログレコードに表示されます。
- 必要に応じ、「SPE サーバー名」での検索を選択します。
実行中の Service Provider Edition サーバーに基づいてトランザクションを検索できます。サーバーの ID は、Waveset.properties ファイルで上書きされている場合を除き、マシン名に基づきます。
- 検索結果をリストから選択したエントリ数までに制限します。
指定された制限までの結果のみ返されます。制限数以上の結果が存在するかどうかについては示されません。
図 7-7 トランザクションの検索
- 「検索」をクリックします。
検索結果が表示されます。
- 必要に応じ、結果ページの最下部にある「一致したすべてのトランザクションをダウンロードします」をクリックします。結果は XML 形式のファイルに保存されます。
注
検索結果に返されたトランザクションをキャンセルすることができます。結果テーブルのトランザクションを選択し、「選択内容のキャンセル」をクリックします。完了している、またはすでにキャンセルされているトランザクションはキャンセルできません。