第 8 章
タスクテンプレート
Identity Manager のタスクテンプレートを使用すると、カスタマイズしたワークフローを記述する代わりに、管理者インタフェースを使用して特定のワークフローの動作を設定することができます。
この章では以下のトピックで、タスクテンプレートをシステムで使用できるようにする方法と、タスクテンプレートを使用してワークフローの動作を設定する方法について説明します。
タスクテンプレートの有効化
Identity Manager には、ユーザーによる設定が可能な次のタスクテンプレートが用意されています。
- ユーザー作成テンプレート − ユーザー作成タスクのプロパティーを設定します。
- ユーザー削除テンプレート − ユーザー削除タスクのプロパティーを設定します。
- ユーザー更新テンプレート − ユーザー更新タスクのプロパティーを設定します。
タスクテンプレートを使用する前に、タスクテンプレートのプロセスをマップする必要があります。プロセスタイプをマップするには、次の手順に従います。
- Identity Manager 管理者インタフェースから「タスク」を選択し、「タスクの設定」を選択します。図 8-1 に「タスクの設定」ページを示します。
図 8-1 タスクの設定
「タスクの設定」ページには、次の列を持つテーブルがあります。
- 「名前」 − ユーザー作成、ユーザー削除、およびユーザー更新の各テンプレートへのリンクがあります。
- 「アクション」 − 次のいずれかのボタンがあります。
- 「有効化」 − テンプレートをまだ有効にしていない場合に表示されます。
- 「マッピングの編集」 − テンプレートを有効にしたあとで表示されます。
プロセスマッピングを有効化する手順と編集する手順は同じです。
- 「プロセスマッピング」 − 各テンプレートにマップされたプロセスタイプが一覧表示されます。
- 「説明」 − 各テンプレートの簡単な説明です。
- 「有効化」をクリックして、テンプレートのプロセスマッピングの編集ページを開きます。
たとえば、ユーザー作成テンプレートに対して次のページ (図 8-2) が表示されます。
図 8-2 プロセスマッピングの編集ページ
|
注
|
「選択したプロセスタイプ」リストには、デフォルトのプロセスタイプ (この場合 createUser) が自動的に表示されます。必要に応じて、メニューから別のプロセスタイプを選択できます。
|
|
- 一般に、各テンプレートに複数のプロセスタイプをマップすることはありません。
- 「選択したプロセスタイプ」リストからプロセスタイプを削除し、代わりのプロセスタイプを選択しない場合、「必須のプロセスマッピング」セクションに、新しいタスクマッピングを選択するように指示が表示されます。
図 8-3 「必須のプロセスマッピング」セクション
- 「保存」をクリックして、選択したプロセスタイプをマップし、「タスクの設定」ページに戻ります。
|
注
|
「タスクの設定」ページが再表示されると、「有効化」ボタンが「マッピングの編集」ボタンに変化し、「プロセスマッピング」列にプロセス名が表示されます。
|
|
図 8-4 更新された「タスクの編集」テーブル
- 残りの各テンプレートに対して、マッピングプロセスを繰り返します。
|
注
|
- 「設定」>「フォームおよびマッピングプロセス」を選択することにより、マッピングを検証することができます。「フォームおよびプロセスマッピングの設定」ページが表示されたら、下にスクロールして「プロセスマッピング」テーブルを表示し、テーブル内に示される「マップされるプロセス名」エントリに次のプロセスタイプがマップされていることを確認します。
|
|
プロセスタイプ
|
マップされるプロセス名
|
|
createUser
|
Create User Template
|
|
deleteUser
|
Delete User Template
|
|
updateUser
|
Update User Template
|
|
|
|
|
|
|
テンプレートのプロセスタイプを正しくマップしたら、タスクテンプレートの設定に進むことができます。
タスクテンプレートの設定
各種のタスクテンプレートを設定するには、次の手順に従います。
- タスクテンプレートテーブル内の「名前」リンクを選択します。次のいずれかのページが表示されます。
- 「タスクテンプレート「Create User Template」の編集:」 − 新しいユーザーアカウントの作成に使用するテンプレートを編集するには、このページを開きます。
- 「タスクテンプレート「Delete User Template」の編集:」 − ユーザーアカウントの削除またはプロビジョニング解除に使用するテンプレートを編集するには、このページを開きます。
- 「タスクテンプレート「Update User Template」の編集:」 − 既存ユーザーの情報の更新に使用するテンプレートを編集するには、このページを開きます。
それぞれのタスクテンプレートの編集ページには、ユーザーワークフローの主な設定領域に対応する一連のタブがあります。
次の表は、それぞれのタブの名前、目的、そのタブを使用するテンプレートについて説明したものです。
表 8-1 タスクテンプレートのタブ
タブ名
|
目的
|
テンプレート
|
一般 (デフォルトタブ)
|
「ホーム」および「アカウント」の各ページのタスクバー内と、「タスク」ページ上のタスクインスタンステーブル内でのタスク名の表示形式を定義します。
|
ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
|
ユーザーアカウントの削除/プロビジョニング解除形式を指定できます。
|
ユーザー削除テンプレートのみ
|
通知
|
Identity Manager がプロセスを起動したときに管理者およびユーザーに送信される電子メール通知を設定できます。
|
すべてのテンプレート
|
承認
|
タイプ別に承認を有効または無効にする、追加の承認者を指定する、Identity Manager が特定のタスクを実行する前にアカウントデータの属性を指定するなどの作業を行うことができます。
|
すべてのテンプレート
|
監査
|
ワークフローの監査を有効化および設定できます。
|
すべてのテンプレート
|
プロビジョニング
|
バックグラウンドでタスクを実行できるようにします。また、タスクが失敗した場合に Identity Manager がタスクを再試行できるようにします。
|
ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
|
サンライズとサンセット
|
指定された日時までの作成タスクの保留 (サンライズ) または指定された日時までの削除タスクの保留 (サンセット) についての設定を行うことができます。
|
ユーザー作成タスクテンプレートのみ
|
データ変換
|
プロビジョニング中にユーザーデータがどのように変換されるかを設定することができます。
|
ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
|
- いずれかのタブを選択して、テンプレートのワークフロー機能を設定します。
これらのタブでの設定方法については、次の各節を参照してください。
- テンプレートの設定を完了したら、「保存」ボタンをクリックして変更を保存します。
「一般」タブの設定
この節では、「一般」タブでの設定手順を説明します。
|
注
|
ユーザー作成テンプレートとユーザー更新テンプレートのタスクテンプレートの編集ページは共通なため、タブの設定手順は 1 つの節にまとめられています。
|
|
ユーザー作成テンプレートまたはユーザー更新テンプレートの場合
「タスクテンプレート「Create User Template」の編集:」または「タスクテンプレート「Update User Template」の編集:」ページを開くと、「一般」タブページがデフォルトで表示されます。次の図に示すように、このページは「タスク名」テキストフィールドおよびメニューで構成されます。
図 8-5 「一般」タブ: ユーザー作成テンプレート
タスク名はリテラルテキストまたはタスク実行時に解決される属性参照、あるいはその両方で指定できます。
デフォルトのタスク名を変更するには、次の手順に従います。
- 「タスク名」フィールドに名前を入力します。
デフォルトのタスク名を編集することも、完全に別の名前にすることもできます。
- 「タスク名」メニューには、このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが表示されます。メニューから属性を選択します (省略可能)。
Identity Manager によって、「タスク名」フィールド内のエントリに属性名が追加されます。次に例を示します。
Create user $(accountId) $(user.global.email)
- 終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 新しいタスク名が Identity Manager のタスクバーに表示されます。タスクバーは「ホーム」タブおよび「アカウント」タブの最下部にあります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
ユーザー削除テンプレートの場合
「タスクテンプレート「Delete User Template」の編集:」ページを開くと、「一般」タブページがデフォルトで表示されます。
ユーザーアカウントの削除/プロビジョニング解除形式を指定するには、次の手順に従います。
- 「Identity Manager アカウントの削除」ボタンを使用して、削除操作の間に Identity Manager アカウントを削除できるかどうかを指定します。
- 「なし」 − アカウントが削除されるのを防ぐには、このボタンを有効にします。
- 「プロビジョニング解除後にユーザーがリンクされたアカウントを持っていない場合のみ」 − プロビジョニング解除後にリンクされたリソースアカウントがない場合にのみユーザーアカウントの削除を許可するには、このボタンを有効にします。
- 「常時」 − 割り当てられたリソースアカウントがまだ存在する場合も含めてユーザーアカウントの削除を常に許可するには、このボタンを有効にします。
- 「リソースアカウントのプロビジョニング解除」ボックスを使用して、すべてのリソースアカウントを対象にリソースアカウントのプロビジョニング解除を制御します。
- 「すべて削除」 − すべての割り当て済みリソース上の、ユーザーを表すすべてのアカウントを削除するには、このボックスを有効にします。
- 「すべて割り当て解除」 − すべてのリソースアカウントをユーザーから割り当て解除するには、このボックスを有効にします。リソースアカウントは削除されません。
- 「すべてをリンク解除」 − Identity Manager システムからリソースアカウントへのすべてのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。
|
注
|
これらの制御設定は、「個々のリソースアカウントのプロビジョニング解除」テーブルでの動作よりも優先されます。
|
|
- (「リソースアカウントのプロビジョニング解除」と比較して) ユーザーのプロビジョニング解除についてより詳細な設定を行うには、次に示すように「個々のリソースアカウントのプロビジョニング解除」ボックスを使用します。
- 「削除」 − リソース上のユーザーを表すアカウントを削除するには、このボックスを有効にします。
- 「割り当て解除」 − このボックスを有効にすると、ユーザーはリソースに直接割り当てられなくなります。リソースアカウントは削除されません。
- 「リンク解除」 − Identity Manager システムからリソースアカウントへのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。
|
注
|
「個々のリソースアカウントのプロビジョニング解除」オプションは、複数の異なるリソースに対してプロビジョニング解除ポリシーを個別に指定したい場合に便利です。たとえば、個々の Active Directory ユーザーは削除後に再生成できないグローバル ID を持つため、ほとんどの顧客は Active Directory ユーザーを削除したくないと考えます。 一方、プロビジョニング解除設定は新しいリソースを追加するたびに更新しなければならないため、新しいリソースが追加される環境ではこのオプションを使用しないほうが適している場合もあります。
|
|
- 終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
「通知」タブの設定
すべてのタスクテンプレートは、Identity Manager がプロセスを起動したとき (通常はプロセスの完了後) に、管理者およびユーザーに電子メールで通知を送信する動作をサポートします。「通知」タブを使用してこれらの通知を設定できます。
|
注
|
Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストを管理者、承認者、およびユーザーに配信します。Identity Manager の電子メールテンプレートの詳細については、このガイドの「電子メールテンプレートの理解」の節を参照してください。
|
|
次の図は、ユーザー作成テンプレートの「通知」ページを示したものです。
図 8-6 「通知」タブ: ユーザー作成テンプレート
Identity Manager が通知の受信者を決定する方法を指定するには、次の手順に従います。
- 「管理者通知」セクションの設定を完了します。
- 「ユーザー通知」セクションの設定を完了します。
- 終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
管理者通知の設定
管理者である受信者に通知するための方法を決定するには、「通知の受信者を決定する方法」メニューからオプションを選択します。
属性による受信者の指定
指定された属性から通知の受信者のアカウント ID を取得するには、次の手順に従います。
|
注
|
属性は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストに解決する必要があります。
|
|
- 「通知の受信者を決定する方法」メニューから「属性」を選択します。次の新しいオプションが表示されます。
図 8-7 管理者通知: 属性
- 「通知の受信者の属性」 − 受信者のアカウント ID を決定するために使われる属性 (このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている) のリストが提示されます。
- 「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
- 「通知の受信者の属性」メニューから属性を選択します。
メニューの隣にあるテキストフィールドに属性名が表示されます。
- 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。
規則による受信者の指定
指定された規則から通知の受信者のアカウント ID を取得するには、次の手順に従います。
|
注
|
評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。
|
|
- 「通知の受信者を決定する方法」メニューから「規則」を選択します。「通知」フォームに次の新しいオプションが表示されます。
図 8-8 管理者通知: 規則
- 「通知の受信者の規則」 − 評価されたときに受信者のアカウント ID を返す規則 (システムに対して現在定義されているもの) のリストが提示されます。
- 「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
- 「通知の受信者の規則」メニューから規則を選択します。
- 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。
クエリーによる受信者の指定
|
注
|
現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。
|
|
指定されたリソースを問い合わせることで通知の受信者のアカウント ID を取得するには、次の手順に従います。
- 「通知の受信者を決定する方法」メニューから「クエリー」を選択します。図 8-9 に示すように、「通知」フォームに次の新しいオプションが表示されます。
図 8-9 管理者通知: クエリー
- 「通知受信者の管理者クエリー」 − 次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。
- 「問い合わせ先のリソース」 − システムに対して現在定義されているリソースのリストが提示されます。
- 「問い合わせ先のリソース属性」 − システムに対して現在定義されているリソース属性のリストが提示されます。
- 「比較対象の属性」 − システムに対して現在定義されている属性のリストが提示されます。
- 「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
- これらのメニューからリソース、リソース属性、および比較対象の属性を選択し、クエリーを作成します。
- 「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。
管理者リストからの受信者の指定
「通知の受信者を決定する方法」メニューから「管理者リスト」を選択します。「通知」フォームに次の新しいオプションが表示されます。
図 8-10 管理者通知: 管理者リスト
ユーザー通知の設定
通知を受けるユーザーを指定するとき、通知のための電子メールを生成するために使われる電子メールテンプレートの名前も指定する必要があります。
作成、更新、または削除中のユーザーに通知するには、図 8-11 に示すように、「ユーザーへの通知」チェックボックスをオンにし、リストから電子メールテンプレートを選択します。
図 8-11 電子メールテンプレートの指定
「承認」タブの設定
Identity Manager がユーザーの作成、削除、または更新の各タスクを実行する前に、「承認」タブを使用して、追加の承認者やタスク承認フォームの属性を指定することができます。
従来の方式では、特定の組織、リソース、またはロールと関連付けられた管理者は、実行前に特定のタスクを承認する必要があります。Identity Manager では、追加の承認者 (タスクを承認する必要がある追加の管理者) を指定することもできます。
|
注
|
ワークフローに対して追加の承認者を設定する場合、従来からの承認者による承認に加えて、テンプレートで指定された追加の承認者による承認もリクエストすることになります。
|
|
次の図は、初期状態の「承認」ページの管理ユーザーインタフェースの例です。
図 8-12 「承認」タブ: ユーザー作成テンプレート
承認を設定するには、次の手順に従います。
- ユーザー作成テンプレートおよびユーザー更新テンプレートのみを対象に、「承認フォームの設定」の節の手順を完了します (「承認フォームの設定」を参照)。
- 「承認」タブの設定を完了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
承認の有効化
次のそれぞれの「承認の有効化」チェックボックスを使用して、ユーザー作成、ユーザー削除、またはユーザー更新の各タスクの実行前に承認をリクエストするように設定します。
|
注
|
デフォルトでは、これらのチェックボックスはユーザー作成テンプレートおよびユーザー更新テンプレートに対しては有効になっていますが、ユーザー削除テンプレートに対しては無効になっています。
|
|
- 「組織の承認」 − 設定済みの任意の組織承認者による承認を必須とするには、このチェックボックスをオンにします。
- 「リソースの承認」 − 設定済みの任意のリソース承認者による承認を必須とするには、このチェックボックスをオンにします。
- 「ロールの承認」 − 設定済みの任意のロール承認者による承認を必須とするには、このチェックボックスをオンにします。
追加の承認者の指定
「追加の承認者を決定する方法」メニューを使用して、Identity Manager がユーザー作成、ユーザー削除、またはユーザー更新の各タスクに対して追加の承認者を決定する方法を指定します。このメニューのオプションには、次のものがあります。
表 8-2 「追加の承認者を決定する方法」メニューのオプション
オプション
|
説明
|
なし (デフォルト)
|
タスク実行のために追加の承認者は必要ありません。
|
属性
|
承認者のアカウント ID は、ユーザーのビューで指定された属性の内部から取得されます。
|
規則
|
承認者のアカウント ID は、指定された規則を評価することで取得されます。
|
クエリー
|
承認者のアカウント ID は、特定のリソースを問い合わせることで取得されます。
|
管理者リスト
|
承認者はリストから明示的に選択されます。
|
(「なし」を除く) これらのオプションのいずれかを選択すると、管理ユーザーインタフェースに追加のオプションが表示されます。これらのオプションを設定するための手順は、264 ページ以降で説明します。
以下の各節の指示に従って、追加の承認者を決定する方法を指定します。
属性から
属性から追加の承認者を決定するには、次の手順に従います。
- 「追加の承認者を決定する方法」メニューから「属性」を選択します。
|
注
|
属性は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストに解決する必要があります。
|
|
次の新しいオプションが表示されます。
図 8-13 追加の承認者: 属性
- 「承認者の属性」 − 承認者のアカウント ID を決定するために使われる属性 (このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されているもの) のリストが提示されます。
- 「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。
|
注
|
「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。
|
|
- 「承認者の属性」メニューを使用して属性を選択します。
選択した属性が隣のテキストフィールドに表示されます。
- 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
- タイムアウト時間を指定しない場合、「承認フォームの設定」に進むか、または変更を保存して別のタブの設定に移ることができます。
規則から
承認者のアカウント ID を指定された規則から取得するには、次の手順に従います。
- 「追加の承認者を決定する方法」メニューから「規則」を選択します。
|
注
|
評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。
|
|
次の新しいオプションが表示されます。
図 8-14 追加の承認者: 規則
- 「承認者の規則」 − 評価されたときに受信者のアカウント ID を返す規則 (システムに対して現在定義されているもの) のリストが提示されます。
- 「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。
|
注
|
「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。
|
|
- 「承認者の規則」メニューから規則を選択します。
- 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
- タイムアウト時間を指定しない場合、「承認フォームの設定」に進むか、または変更を保存して別のタブの設定に移ることができます。
クエリーから
|
注
|
現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。
|
|
指定されたリソースを問い合わせることで承認者のアカウント ID を取得するには、次の手順に従います。
- 「追加の承認者を決定する方法」メニューから「クエリー」を選択します。次の新しいオプションが表示されます。
図 8-15 追加の承認者: クエリー
- 「承認の管理者のクエリー」 − 次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。
- 「問い合わせ先のリソース」 − システムに対して現在定義されているリソースのリストが提示されます。
- 「問い合わせ先のリソース属性」 − システムに対して現在定義されているリソース属性のリストが提示されます。
- 「比較対象の属性」 − システムに対して現在定義されている属性のリストが提示されます。
- 「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。
|
注
|
「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。
|
|
- 次のようにしてクエリーを作成します。
- 「問い合わせ先のリソース」メニューからリソースを選択します。
- 「問い合わせ先のリソース属性」メニューおよび「比較対象の属性」メニューから属性を選択します。
- 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
- タイムアウト時間を指定しない場合、「承認フォームの設定」に進むか、または変更を保存して別のタブの設定に移ることができます。
管理者リストから
追加の承認者を管理者リストから明示的に選択するには、次の手順に従います。
- 「追加の承認者を決定する方法」メニューから「管理者リスト」を選択します。次の新しいオプションが表示されます。
図 8-16 追加の承認者: 管理者リスト
- 「通知する管理者」 − 通知可能な管理者のリストと選択ツールが提示されます。
- 「承認フォーム」 − 追加の承認者が承認リクエストを承認または却下するために使用できるユーザーフォームのリストが提示されます。
- 「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。
|
注
|
「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。
|
|
- 「利用可能な管理者」リストから 1 人以上の管理者を選択し、 ボタンまたは ボタンを使用して、選択された名前を「選択された管理者」リストに移動します。
- 指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
- タイムアウト時間を指定しない場合、「承認フォームの設定」に進むか、または変更を保存して別のタブの設定に移ることができます。
承認のタイムアウトの設定
承認のタイムアウトを設定するには、次の手順に従います。
- チェックボックスをオンにします。
次の図に示すように、隣接するテキストフィールドとメニューがアクティブになり、「タイムアウトのアクション」ボタンが表示されます。
図 8-17 承認のタイムアウトのオプション
- 次のように、「承認がタイムアウトになるまでの時間」のテキストフィールドとメニューを使用してタイムアウト時間を指定します。
- メニューから秒、分、時間、または日を選択します。
- テキストフィールドに数値を入力して、タイムアウトの秒数、分数、時間数、または日数を指定します。
|
注
|
「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。
|
|
- 「タイムアウトのアクション」のいずれかのラジオボタンを選択して、承認リクエストがタイムアウトしたときの動作を指定します。
- 「リクエストの却下」 − 指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager は自動的にそのリクエストを却下します。
- 「承認のエスカレーション」 − 指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager はそのリクエストを別の承認者に自動的にエスカレーションします。
このラジオボタンを選択すると、エスカレーションされた承認の承認者を Identity Manager が決定する方法を指定する必要があるため、新しいオプションが表示されます。続きの手順については、「承認のエスカレーション」を参照してください。
このラジオボタンを選択すると、承認リクエストがタイムアウトした場合に実行するタスクを指定するための「承認のタイムアウト時のタスク」メニューが表示されます。続きの手順については、「タスクの実行」を参照してください。
承認のエスカレーション
「タイムアウトアクション」で「承認のエスカレーション」ラジオボタンを選択すると、次のような「エスカレーション承認者を決定する方法」メニューが表示されます。
図 8-18 「エスカレーション承認者を決定する方法」メニュー
このメニューから次のいずれかのオプションを選択して、エスカレーションされた承認の承認者を決定する方法を指定します。
「エスカレーション管理者属性」メニューが表示されたら、リストから属性を選択します。選択した属性が隣のテキストフィールドに表示されます。
図 8-19 「エスカレーション管理者属性」メニュー
「エスカレーション管理者規則」メニューが表示されたら、リストから規則を選択します。
図 8-20 「エスカレーション管理者規則」メニュー
「エスカレーション管理者」選択ツールが表示されたら、次のようにして承認者を選択します。
図 8-22 「エスカレーション管理者」選択ツール
- 「利用可能な管理者」リストから、1 人または複数の管理者の名前を選択します。
- ボタンまたは ボタンを使用して、選択した名前を「選択された管理者」リストに移動します。
タスクの実行
「タイムアウトアクション」で「タスクの実行」ラジオボタンを選択すると、次のような「承認のタイムアウト時のタスク」メニューが表示されます。
図 8-23 「承認のタイムアウト時のタスク」メニュー
承認リクエストがタイムアウトした場合に実行するタスクを指定します。たとえば、リクエスト者がヘルプデスクリクエストを送信したり、レポートを管理者に送信したりすることを許可できます。
承認フォームの設定
|
注
|
ユーザー削除テンプレートには「承認フォーム設定」セクションは含まれません。このセクションはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ設定できます。
|
|
「承認フォーム設定」セクションの機能を使用して、承認フォームの選択や、属性の承認フォームへの追加 (または承認フォームからの削除) を行うことができます。
図 8-24 承認フォームの設定
デフォルトでは、「承認の属性」テーブルには次の標準属性が含まれます。
追加の承認者のための承認フォームを設定するには、次の手順に従います。
- 「承認フォーム」メニューからフォームを選択します。
承認者はこのフォームを使用して承認リクエストを承認または却下します。
- 承認者による属性値の編集を許可する場合、「承認の属性」テーブルで、各属性の「編集可能」列のチェックボックスをオンにします。
たとえば、user.waveset.accountId 属性のチェックボックスをオンにすると、承認者はユーザーのアカウント ID を変更できます。
|
注
|
承認フォーム内でアカウント固有の属性値を変更すると、ユーザーが実際にプロビジョニングされるときに、同じ名前のグローバル属性値もすべてオーバーライドされます。
たとえば、スキーマ属性 description を持つリソース R1 がシステムに存在し、user.accounts[R1].description 属性を編集可能な属性として承認フォームに追加する場合、承認フォーム内で description 属性の値を変更すると、リソース R1 のみを対象に、global.description から伝播された値がオーバーライドされます。
|
|
- 「属性の追加」または「選択している属性の削除」ボタンをクリックして、新しいユーザーのアカウントデータ内の属性のうち承認フォームに表示するものを指定します。
- 属性をフォームに追加する方法については、「属性の追加」を参照してください。
- 属性をフォームから削除する方法については、「属性の削除」を参照してください。
|
注
|
XML ファイルを変更しない限り、デフォルトの属性を承認フォームから削除することはできません。
|
|
属性の追加
属性を承認フォームに追加するには、次の手順に従います。
- 「承認の属性」テーブルの下にある「属性の追加」ボタンをクリックします。
次の図に示すように、「承認の属性」テーブルの「属性名」列内で選択メニューがアクティブになります。
図 8-25 承認属性の追加
- メニューから属性を選択します。
選択された属性名が隣のテキストフィールドに表示され、属性のデフォルトの表示名が「フォーム表示名」列に表示されます。
たとえば、user.waveset.organization 属性を選択した場合、表には次の情報が含まれます。
- 必要に応じて、それぞれのテキストフィールドに新しい名前を入力することによって、デフォルトの属性名またはデフォルトのフォーム表示名を変更できます。
- 承認者による属性値の変更を許可する場合、「編集可能」チェックボックスをオンにします。
- これらの手順を繰り返して、必要な属性を指定します。
属性の削除
|
注
|
XML ファイルを変更しない限り、デフォルトの属性を承認フォームから削除することはできません。
|
|
承認フォームから属性を削除するには、次の手順に従います。
- 「承認の属性」テーブルの左端の列で、1 つ以上のチェックボックスをオンにします。
- 「選択している属性の削除」ボタンをクリックすると、選択した属性が「承認の属性」テーブルからただちに削除されます。
たとえば、次の状態のテーブルで「選択している属性の削除」ボタンをクリックすると、user.global.firstname および user.waveset.organization がテーブルから削除されます。
図 8-26 承認属性の削除
「監査」タブの設定
設定可能なすべてのタスクテンプレートで、特定のタスクを監査するためのワークフローを設定することができます。特に、「監査」タブを設定することにより、ワークフローイベントの監査の有無や、レポート対象として記録する属性を指定することができます。
図 8-27 ユーザー作成テンプレートの監査設定
ユーザーテンプレートの「監査」タブから監査を設定するには、次の手順に従います。
- 「ワークフロー全体の監査」チェックボックスをオンにして、ワークフローの監査機能を有効にします。
- 「属性の監査」セクションの「属性の追加」ボタンをクリックして、レポート対象として記録する属性を選択します。
- 「属性の監査」テーブルに「属性の選択」メニューが表示されたら、リストから属性を選択します。
属性名が隣のテキストフィールドに表示されます。
図 8-28 属性の追加
「属性の監査」テーブルから属性を削除するには、次の手順に従います。
- 削除する属性の隣にあるチェックボックスを有効にします。
図 8-29 user.global.email 属性の削除
- 「選択している属性の削除」ボタンをクリックします。
このタブの設定を終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
「プロビジョニング」タブの設定
|
注
|
このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。
|
|
「プロビジョニング」タブでは、プロビジョニングに関連する次のオプションを設定できます。
図 8-30 「プロビジョニング」タブ: ユーザー作成テンプレート
- 「再試行リンクをタスク結果に追加します」 − タスク実行の結果としてプロビジョニングエラーが発生したときに再試行リンクをユーザーインタフェースに追加する場合は、このチェックボックスをオンにします。再試行リンクにより、ユーザーは最初の試行でタスクが失敗した場合にタスクを再試行できます。
「プロビジョニング」タブの設定を終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
「サンライズとサンセット」タブの設定
|
注
|
このタブはユーザー作成テンプレートのみに対して使用できます。
|
|
「サンライズとサンセット」タブでは、次のアクションが行われる日時を決定するための方法を選択できます。
- 新しいユーザーのプロビジョニングが行われる (サンライズ)。
- 新しいユーザーのプロビジョニング解除が行われる (サンセット)。
たとえば、6 ヶ月後に契約が終了する派遣社員に対してサンセット日付を指定できます。
図 8-31 に「サンライズとサンセット」タブでの設定を示します。
図 8-31 「サンライズとサンセット」タブ: ユーザー作成テンプレート
以下のトピックでは、「サンライズとサンセット」タブの設定手順を説明します。
サンライズの設定
新しいユーザーのプロビジョニングを行う日時を指定し、サンライズの作業項目を所有するユーザーを指定して、サンライズの設定を行います。
サンライズを設定するには、次の手順に従います。
- 「サンライズを決定する方法」メニューから次のいずれかのオプションを選択して、Identity Manager がプロビジョニングの日時を決定する方法を指定します。
- 指定された経過時間 − 指定された時間が経過するまでプロビジョニングを保留します。続きの手順については、279 ページを参照してください。
- 指定された日 − 将来の指定された日付までプロビジョニングを保留します。続きの手順については、280 ページを参照してください。
- 属性の指定 − ユーザーのビューでの属性値に基づいて、指定された日時までプロビジョニングを保留します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべきデータ形式を指定できます。
- 「作業項目の所有者」メニューからユーザーを選択して、サンライズの作業項目を所有する人物を指定します。
|
注
|
サンライズ作業項目は「承認」タブから利用可能です。
|
|
- サンライズの設定が終了したら、次の処理を実行できます。
- 別のタブを選択して、ユーザー作成テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
指定された経過時間
指定された時間が経過するまでプロビジョニングを保留するには、次の手順に従います。
- 「サンライズを決定する方法」メニューから「指定された経過時間」を選択します。
- 「サンライズを決定する方法」メニューの右側に新しいテキストフィールドとメニューが表示されたら、空のテキストフィールドに数値を入力し、メニューから時間の単位を選択します。
たとえば、新しいユーザーを 2 時間後にプロビジョニングしたい場合、次のように指定します。
図 8-32 新しいユーザーを 2 時間後にプロビジョニングする設定
指定された日
指定された日付までプロビジョニングを保留するには、次の手順に従います。
- 「サンライズを決定する方法」メニューから「指定された日」を選択します。
- 表示されるメニューオプションを使用して、プロビジョニングを実行する週、曜日、および月を指定します。
たとえば、新しいユーザーを 9 月の第 2 月曜日にプロビジョニングしたい場合、次のように指定します。
図 8-33 日付による新しいユーザーのプロビジョニング
属性の指定
ユーザーアカウントデータ内の属性値に基づいてプロビジョニング日時を決定するには、次の手順に従います。
- 「サンライズを決定する方法」メニューから「属性」を選択します。次のオプションがアクティブになります。
- 「サンライズの属性」メニュー − このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが提示されます。
- 「特定の日付形式」チェックボックスおよびメニュー − 必要に応じて、属性値の日付形式文字列を指定できます。
|
注
|
「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全な一覧については、製品ドキュメントを参照してください。
|
|
- 「サンライズの属性」メニューから属性を選択します。
- 必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。
たとえば、ユーザーの waveset.accountId 属性値に基づき、日、月、および年の形式を使用して新しいユーザーをプロビジョニングするには、次のように指定します。
図 8-34 属性による新しいユーザーのプロビジョニング
規則の指定
指定された規則を評価することでプロビジョニング日時を決定するには、次の手順に従います。
- 「サンライズを決定する方法」メニューから「規則」を選択します。次のオプションがアクティブになります。
- 「サンライズの規則」メニュー − システムに対して現在定義されている規則の一覧が提示されます。
- 「特定の日付形式」チェックボックスおよびメニュー − 必要に応じて、規則の戻り値の日付形式文字列を指定できます。
|
注
|
「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全な一覧については、製品ドキュメントを参照してください。
|
|
- 「サンライズの規則」メニューから規則を選択します。
- 必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。
たとえば、「電子メール」規則に基づき、年、月、日、時、分、および秒の形式を使用して新しいユーザーをプロビジョニングするには、次の手順に従います。
図 8-35 規則による新しいユーザーのプロビジョニング
サンセットの設定
サンセット (プロビジョニング解除) を設定するためのオプションおよび手順は基本的に、「サンライズの設定」で説明した、サンライズ (プロビジョニング) の設定に使用するものと同じです。
唯一の違いは、「サンセット」セクションには「サンセットタスク」メニューがある点です。このメニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定する必要があります。
サンセットを設定するには、次の手順に従います。
- 「サンセットを決定する方法」メニューを使用して、プロビジョニング解除がいつ行われるかを決定するための方法を指定します。
|
注
|
「サンセットを決定する方法」メニューでは、プロビジョニング解除をただちに行える「なし」オプションがデフォルトによって選択されます。
|
|
- 「指定された経過時間」 − 指定された時間が経過するまでプロビジョニング解除を保留します。手順については、「指定された経過時間」を参照してください。
- 「指定された日」 − 将来の指定された日付までプロビジョニング解除を遅らせます。手順については、「指定された日」を参照してください。
- 「属性」 − ユーザーのアカウントデータ内の属性の値に基づいて、指定された日時までプロビジョニング解除を保留します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべき日付形式を指定できます。
- 「サンセットタスク」メニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定します。
- このタブの設定を終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。
「データ変換」タブの設定
|
注
|
このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。
|
|
ワークフローの実行時にユーザーアカウントデータを変更したい場合、「データ変換」タブを使用して、Identity Manager がプロビジョニング中にデータを変換する方法を指定できます。
例としては、企業のポリシーに準拠した電子メールアドレスをフォームまたは規則に生成させたい場合や、サンライズまたはサンセット日付を生成したい場合があります。
「データ変換」タブを選択すると、次のページが表示されます。
図 8-36 「データ変換」タブ: ユーザー作成テンプレート
このページは次のセクションで構成されます。
- 「承認アクション前」 − 指定された承認者に承認リクエストを送信する前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。
- 「プロビジョニングアクション前」 − プロビジョニングアクションの前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。
- 「通知アクション前」 − 指定された受信者に通知が送信される前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。
各セクションで、次のオプションを設定できます。
- 「適用するフォーム」メニュー − システムに対して現在設定されているフォームのリストが提示されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われるフォームを指定します。
- 「実行する規則」メニュー − システムに対して現在設定されている規則のリストが提示されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われる規則を指定します。
このタブの設定を終了したら、次の処理を実行できます。
- 別のタブを選択して、テンプレートの編集を続けます。
- 「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
- 「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。