前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.0 ワークフロー、フォーム、およびビュー

第 5 章
Identity Manager のビュー

この章では、Identity Manager で使用されるデータ構造、Sun Java^TM System Identity Manager ビューについて説明します。Identity Manager のワークフロー、フォーム、および参照情報にビューを実装する方法など、ビューに関する背景情報を提供します。

この章の内容

この章は、次の各節で構成されています。

Identity Manager ビューについて
ユーザービューについて
代表的なビュー
ビューオプション
deferred 属性
ビューの拡張

関連する章

「Identity Manager フォーム」- ユーザービューと呼ばれる Identity Manager の内部データ構造と連携する Identity Manager フォームについて説明します。フォームをカスタマイズするときは、ビューの属性を呼び出します。

---

Identity Manager ビューについて

Identity Manager ビューは、Identity Manager によって管理される 1 つまたは複数のオブジェクトから構成される属性の集合です。ビューは一時的、かつ動的なもので、リポジトリには保存されません。ビューの表示を更新すると、ビューに含まれるデータは、新しいロールやリソースの割り当てに応じて変更されます。

Identity Manager の使用中は、主にフォームやワークフローにビューが表示されます。Identity Manager フォームは、編集時にビュー属性をどのようにブラウザに表示するかを表現するオブジェクトです。また、フォームには、表示対象属性から非表示属性をどのように算出するかを決める規則も設定されています。ワークフロープロセスは、論理的で反復可能な一連のアクティビティーで、ある関与者から別の関与者にドキュメント、情報、またはタスクが渡されると、一連の手順規則に従ってアクションを実行します。

ビューを操作するときは、まず、次の内容を理解してください。

ビューの一般的な概念
Identity Manager でのビューの用途
ビューのカスタマイズ頻度

ビューとは

もっとも重要なビューは、Identity Manager に格納されているユーザー属性と、Identity Manager が管理するアカウントから読み込まれた属性が含まれるユーザービューです。ユーザービューの一部の属性は、Identity Manager のユーザーインタフェースと管理者インタフェースで使用されるフォームに表示されます。それ以外の属性は、非表示であるか、読み取り専用です。通常、非表示の属性は、別の表示対象属性の導出や、フィールド値の計算に使用されます。

たとえば、ユーザーを作成する際 (ユーザービューとして表される)、管理者は、「ユーザーの作成」ページの適切なフォームフィールドに姓、名を入力します。管理者がフォームを保存すると、システムは姓と名を連結し、非表示フィールドにフルネームを導出できます。このフルネームは、Identity Manager を含め、1 つまたは複数のリソースに保存できるようになります。承認を受けると (承認が必須とされる場合)、システムはユーザービューを Identity Manager リポジトリ内の 1 つまたは複数のオブジェクトに戻し、ユーザーに割り当てられているリソースにビューを送信して、ユーザーのリソースアカウントを作成または更新します。

ビュー属性

ビューとは、リポジトリに格納された 1 つ以上のオブジェクトを組み合わせて構成した名前と値のペア、またはリソースから読み取った名前と値のペアの集合です。ビュー属性では、文字列などの個々の値、リストなどの集合、または別のオブジェクトの参照を値として使用できます。

ブール型のすべての属性は、ビューから削除されます。値が削除された属性は、論理的に false と見なされます。

ビューハンドラとは

ビューハンドラは、ビューの作成と指定アクションの実行に必要なロジックを含む Java クラスで、ビューの属性設定によって指定されます。ビューハンドラには、対話的なフォームの利便性を向上させるための情報が含まれる場合もあります。ビューがチェックインされると、ビューハンドラはビュー属性を読み取り、それをリポジトリオブジェクトに対する操作に変換します。承認やプロビジョニングなど、より複雑なタスクの実行では、ビューハンドラはワークフローを頻繁に呼び出します。ビューハンドラが、あるユーザーを対象に処理を実行する場合、そのユーザーに対してすでに実行中のワークフローが存在するときは、ほとんどのビューハンドラはビューへのチェックインを回避します。

ビューとフォーム

Identity Manager フォームには、ビューのデータを変換する規則と、ブラウザでビュー属性をどのように表示、変更するかを指定する規則が含まれます。Identity Manager のユーザーインタフェースは、ビューとフォームを処理して HTML フォームを生成します。ユーザーが HTML フォームを送信すると、Identity Manager は、送信された値をビューにマージし、ビューの更新をビューハンドラに要求します。対話的な編集セッションでは、ビューの表示が数回更新されることがあり、フォームに設定されているロジックに基づいて、異なる HTML フィールドを生成できます。ユーザーが対話的な操作を完了すると、ビューはチェックインされ、多くの場合、ワークフロープロセスへの入力としてそのビューが渡されます。

ビューとワークフロー

多くの場合、ビューをチェックインすると、ビューに指定された変更を完了するために、新しいワークフロープロセスが呼び出されます。ワークフローは、時間がかかるタスクをバックグラウンドで実行したり、承認プロセスを呼び出したりすることができます。また、リソースをクエリーしたり、必要に応じて適切なタスクを実行したりすることもできます。承認時は、管理者はビューの内容を確認し、必要に応じて変更を加えることができます。承認されたビューの属性は、1 つまたは複数のリポジトリオブジェクトの変更に変換されます。ユーザーに関連するビューでは、選択されたリソースアカウントに変更を反映させるためにプロビジョニングが行われる場合があります。

代表的なビュー

カスタマイズされたフォームとワークフローの両方でよく使われるビューは次のとおりです。

.

User (ユーザー)	Identity Manager ユーザーの操作とリソースアカウントのプロビジョニングに使用されます。
AccountCorrelation (アカウント相関)	指定されたアカウント (またはアカウント属性) と相互に関連するユーザーの検索に使用されます。
AdminRole (管理者ロール)	ユーザーに管理者ロールを割り当てるときに使用されます。
Enable (有効化)	無効化するリソースアカウントのリストの表示と選択に使用されます。
Deprovision (プロビジョニング解除)	プロビジョニング解除するリソースリストの表示と選択に使用されます。
Disable (無効化)	有効化するリソースアカウントのリストの表示と選択に使用されます。
ChangeUserAnswers (ユーザー回答変更)	ユーザーの秘密質問に対する回答の変更に使用されます。
ChangeUserCapabilities (ユーザー機能変更)	Identity Manager ユーザーの機能を変更するときに使用されます。
List (リスト)	Identity Manager ユーザーインタフェースの作業項目とプロセスのリストの生成に使用されます。
Org (組織)	作成する組織のタイプと、それを処理するオプションのタイプの指定に使用されます。
Password (パスワード)	Identity Manager ユーザーのパスワードの変更に使用されます。また、オプションとして、パスワードをリソースアカウントに反映させます。
Process (プロセス)	ワークフローやレポートなどのタスクの呼び出しに使用されます。
Reconcile (調整)	調整処理の要求またはキャンセルに使用されます。
ReconcileStatus (調整状態)	最後に要求された調整処理の状態を取得するときに使用されます。
RenameUser (ユーザー名変更)	Identity Manager ユーザーとリソースアカウントアイデンティティーの名前の変更に使用されます。
Reprovision (再プロビジョニング)	再プロビジョニングするリソースのリストの表示と選択に使用されます。
ResetUserPassword (ユーザーパスワードのリセット)	管理者がパスワードをランダム生成のパスワードにリセットするときに使用されます。また、オプションとして、新しいパスワードをリソースアカウントに反映させます。
Resource (リソース)	リソースの操作に使用されます。
ResourceObject (リソースオブジェクト)	たとえば、グループやメーリングリストのように、リソースによってサポートされる任意のオブジェクトの操作に使用されるビューのファミリーです。
Role (ロール)	作成する Identity Manager ロールのタイプの指定に使用されます。
TaskSchedule (タスクスケジュール)	TaskSchedule オブジェクトの作成と変更に使用されます。
Unlock (ロック解除)	リソース側の機能としてアカウントのロックがサポートされている場合、それらのリソースに対するアカウントのロック解除に使用されます。
WorkItem (作業項目)	ワークフロー承認フォームの記述に使用されます。
WorkItemList (作業項目リスト)	リポジトリ内の作業項目の集合に関する情報の表示と、複数の作業項目に対する処理の同時実行に使用されます。

---

ユーザービューについて

ユーザービューは、Identity Manager ユーザーに関する次のような情報を含む属性の集合です。

Identity Manager のリポジトリに格納される属性
リソースアカウントから取得される属性
リソース、ロール、組織など、ほかのソースから取得される情報

フォームでもっとも頻繁に使用されるユーザービューは、ユーザーを作成または編集するページで使用するように設計されています。これらのページは、変更されたユーザービューを格納したワークフロープロセスを呼び出し、必要時には、変更されたビューの情報を Identity Manager と関連リソースに戻します。ユーザービューがワークフロープロセスに格納されている間、ワークフロープロセスはワークフローアクションによって属性値を操作できます。ワークフローは、手動アクションや承認フォームによるユーザー入力のために、属性値を表示することもできます。

ユーザービューとフォームの統合

多くの場合、ユーザービューはフォームと組み合わせて使用されます。フォームには、HTML フィールドによってデータをどのように表示するかを制御する規則と、フォームを表示する HTML ページの送信後にデータをどのように処理するかを制御する規則が含まれます。フォーム定義とビューは、フォームジェネレータ (フォーム生成ツール) というシステムコンポーネントによって組み合わされ、ブラウザに表示される HTML ページが生成されます。

フォーム内の HTML コンポーネントに割り当てることで、ビュー属性の値を表示できます (ビュー属性の表示方法の詳細については、第 8 章「HTML 表示コンポーネント」を参照)。

ビューは、GenericObject クラスのインスタンスとして実装されます。このクラスは、名前と値のペアを表示するメカニズムと、パス式によってオブジェクトの複雑な階層を切り替えるユーティリティーを提供します。パス式は、オブジェクト階層を切り替えて属性の値を取得または割り当てるために、実行時に解釈される文字列です。

有効なフォームフィールド名を割り当てるには、パス式の記述方法を理解する必要があります。パス式の使用の詳細については、「パス式」の節を参照してください。

ユーザービューとワークフローの統合

ユーザービューが含まれるワークフロープロセスの多くは、そのビューを user というワークフロー変数に格納します。ユーザービューのパスに user というプレフィックスを付けることで、ワークフローの式でビューを参照できます。たとえば、user.waveset.accountId のように指定します。この waveset という文字列は、それ自体がユーザービューオブジェクトに属する waveset というオブジェクトを指し、そのオブジェクトに属する属性の accountId を識別します。

ビュー用に記述される承認フォームは、WorkItem (作業項目) ビューと呼ばれます。作業項目ビューでは、すべてのワークフロー変数が、デフォルトで variables という属性に格納されます。ユーザービューを含むワークフロー用に記述された承認フォームでユーザービューの属性を参照するには、variables.user. というプレフィックスを使用します。たとえば、variables.user.waveset.roles のように指定します。詳細については、この章の「作業項目ビュー」を参照してください。

汎用オブジェクトクラス

高次では、オブジェクトは、名前と値のペアから構成される、名前が付けられた単なる属性の集合に過ぎません。属性の値は、文字列などの個々の値、リストなどの集合、または別のオブジェクトの参照として使用できます。ほとんどすべてのオブジェクトは、Map、List、String の各 Java クラスを使用して抽象的に表現できます。

Identity Manager システムでは、任意のオブジェクトと集合を表現する単純なメモリーモデルとして GenericObject クラスが提供されます。これには、オブジェクト階層を簡単に移動して、属性値を表示、変更するための機能も含まれます。

GenericObject クラスは、java.util.Map インタフェースを実装し、java.util.HashMap を内部的に使用して、名前と値のペアの集合を管理します。このマップのエントリは、属性と呼ばれます。属性の値には、XML として直列化できる任意の Java オブジェクトを指定できます。GenericObject のもっとも一般的な属性値は次のとおりです。

次のクラスのインスタンスは次のとおりです。

String
Integer
Boolean
EncryptedData
List
Date
GenericObject
X509cert

属性値として List または GenericObject を割り当てることで、オブジェクトの複雑な階層を構築できます。属性値の割り当てが完了したら、その階層を切り替えて、属性の値にアクセスします。

パス式

パス式は、オブジェクト階層を切り替えて属性の値を取得または割り当てるために、GenericObject クラスによって実行時に解釈される文字列です。Identity Manager は、ドットと括弧を組み合わせて、階層内のオブジェクトと属性を表現します。

フォーム (たとえば、<Field name='user.waveset.roles'/>) をカスタマイズするときは、フォームフィールドの name 属性の値としてパス式を指定します。

オブジェクトをたどる

次の例は、2 つの属性が指定された簡単な GenericObject を示しています。

name (String)
address (GenericObject) address オブジェクトには、street という文字列の属性があります。

address オブジェクトの street 属性を示すパス式を作成するときは、address.street と指定します。

パス式では、あるオブジェクトから別のオブジェクトへの切り替えをドット文字 (.) で表します。これは、Java で使用されるドット、または C で使用される「->」演算子と似ています。次の例のように、パスが長くなることもあります。

user.role.approver.department.name

リストの切り替え

パス式を使用して、リストの値を切り替えることもできます。java.util.List という値が指定された children という属性を持つオブジェクトを考えてみましょう。リストを構成する各オブジェクトは、それ自体が name 属性と age 属性を持つ GenericObject です。最初の子の名前を示すパスは、次のように記述します。

children[#0].name

パス式では、角括弧を使用してリストのインデックスを表します。括弧内のトークンは、インデックス式と呼ばれます。単純な用例では、要素の位置によってリストのインデックスを表す正の整数が指定されます。

通常は、リスト内のオブジェクトの位置は任意です。インデックス式では、簡単な検索条件を指定して、リスト内のオブジェクトを特定することもできます。リスト内のオブジェクトは、多くの場合、name 属性を持ちます。これは、リスト内のオブジェクトを一意に識別する属性です。パス式は、インデックス式に指定された、オブジェクトを示す name 属性の暗黙的な参照をサポートします。

次に例を示します。

children[hannah].age

このパス式は、children 属性に格納されたオブジェクトのリストを取得します。このリストの検索は、hannah という値を持つ name 属性のオブジェクトが見つかるまで継続されます。一致する属性が見つかると、age 属性の値が返されます。前述の例は、次に示すより一般的な形式の短縮形です。

children[name=hannah].age

リストの計算

オブジェクトに格納されていない List 値を計算するパス式も記述できます。次に例を示します。

accounts[*].name

インデックス式に指定されたアスタリスクは、リスト内の各要素に対する繰り返しを表します。式の結果は、リスト内の各要素に残りのパス式を適用した結果のリストとなります。前述の例では、結果は String オブジェクトのリストとなります。文字列は、accounts リスト内の各オブジェクトの name 属性から取得されます。

アスタリスク (*) を持つパス式は、フィールドの集合を複製するフォームで、FieldLoop 構成体と組み合わせて使用されます。

アカウントタイプとユーザー用ビュー

アカウントタイプをユーザーに割り当てると、そのアカウントタイプと accountId を使用できるようになります。User、Enable、Disable、Deprovision などのユーザー用のビューを操作するときは、対処方法を示した次のガイドラインに従ってください。

デフォルトタイプのアカウントを示すときは、NULL 値を使用します。デフォルトタイプのアカウントを参照するときは、accounts[corp-ad] などのリソース名を使用します
特定のタイプのアカウントを参照するときは、リソース名の代わりにタイプ修飾した名前を使用します。タイプ修飾したリソース名の形式は次のとおりです。

<リソース名>|<アカウントのタイプ>

リソース corp-ad の Admin タイプのアカウントのアカウントデータを参照するには、accounts[corp-ad|Admin] と指定します。

ユーザービューの属性

Web ブラウザからユーザーアカウントを作成または変更するときは、常にユーザービューを間接的に操作していることになります。ユーザーのアカウント情報の変更という点では、これは Identity Manager システムでもっとも重要なビューであるともいえます。

ワークフロープロセスも、ユーザービューと連携しています。要求をワークフロープロセスに渡すと、属性がビューとしてプロセスに送信されます。ワークフロープロセスの中で手動プロセスを要求すると、ユーザービューの属性を表示して詳細に変更できます。

MetaView 属性

配備がアイデンティティー属性を使用する場合は、ユーザービューに追加のネームスペースが作成されます。この追加ネームスペースは metaView と呼ばれ、アイデンティティー属性に関する情報を持ちます。この MetaView オブジェクトは、Identity Manager リポジトリへのメタビューおよびアイデンティティー属性情報の格納に使用されます。

定義されるアイデンティティー属性ごとに、metaView ネームスペース内にこの属性の値を格納し、アイデンティティー属性を保持します。たとえば、firstname、lastname、および waveset.roles というアイデンティティー属性がある場合、ユーザービューはそれぞれに対応する metaView.firstname、metaView.lastname、および metaView.waveset.roles という属性を持ち、各アイデンティティー属性の計算値が保持されます。

「調整」、「リソースから読み込み」、または「ファイルから読み込み」用のユーザービューに値を取り込むときに、MetaView は、Identity Manager ユーザーに割り当てられたリソースからのリソースアカウントデータの読み込みのみをサポートします。これらのリソースは、読み込み中のリソースをソースとするターゲットでもあるため、変更される可能性があります。Identity Manager ユーザーの、アカウントに影響を与えないオペレーショナル属性 (たとえば、アカウント ID や組織) は、firstname や lastname などのユーザー拡張属性と同様に、常にビュー内にあります。

詳細については、『Identity Manager の配備に関する技術情報』で属性の操作に関する情報を参照してください。

はじめに

その他のビューと同様に、ユーザービューも属性セットを持つ GenericObject として実装されます。ルートオブジェクト内の属性の値は、GenericObjects 自体です。属性は、入れ子構造にすることができます。

ユーザービューは、次の表に示される属性を持ちます。各属性については、後の節で詳しく説明します。

表 5-1 ユーザービューの最上位属性

属性	説明
waveset	Identity Manager repository (WSUser object) に格納されている情報を持ちます。このビューは、基本ビューとも呼ばれます。
accounts	リソースからフェッチされたすべてのリソースアカウント属性の値を持ちます。通常、これらの値はフォームで編集される値です。
accountInfo	ユーザーに関連付けられているリソースとアカウントに関する読み取り専用の情報を持ちます。
display	インタフェースの実行時状態に関する読み取り専用の情報を持ちます。これは、ユーザーの対話的な編集のみに使用されます。display.session は、ログイン情報とアクセス情報を表します。display.subject は、ユーザーがログインに使用しているアカウントを識別します。display.eventType は、ユーザービューが作成処理と更新処理のどちらに使用されているかを表します。
global	すべてのリソースアカウントの間で同期される属性を持ちます。
password	ユーザーのパスワード、パスワードの有効期限、およびターゲットシステムに固有の属性値を持ちます。

フォームを設計するとき、通常は、ユーザービューオブジェクトである waveset、global、および account 属性 (たとえば、global.firstname) へのパスがフィールド名となります。

適切な変数ネームスペースの選択

アカウント関連の情報を導出するために、ユーザービューにはいくつかのネームスペースがあります。次の表は、変数ネームスペースの概要を示しています。

表 5-2 アカウント関連のユーザービュー属性

アカウント関連のネームスペース	説明
waveset.accounts	チェックイン処理の実行中に差異を検出するために、内部的に使用されます。これには、すべてのアカウント属性の開始値が含まれます。この値を変更しないでください。
accountInfo.accounts	ユーザー、およびその関連リソースへのリンクを持つアカウントに関する、導出された読み取り専用の情報。この属性はフォームで使用できますが、変更は行わないでください。
accounts	アカウント属性の読み取り/書き込みコピーを保持します。更新可能なフィールドは、このネームスペースを指すようにします。
global	グローバル属性のコピーを保持します。このエリアの値は、フォームがグローバルフィールドを定義する場合、または特別な MissingFields 参照を使用している場合にのみ表示されます (グローバル属性をどのように処理するかは、フォームによって決定される)。 ワークフローにグローバル属性を設定するときは、フォームにグローバルフィールドも定義してください。ビューにグローバルな値を蓄積するだけでは不十分です。

属性の参照

フォームでは、次の 2 つの方法で属性を参照できます。

Field 要素の名前属性を使用して、属性の完全パス名を指定します。次に例を示します。

<Field name='waveset.accountId'>

フォームフィールドへの Field 要素の名前属性の設定の詳細については、「Identity Manager フォーム」の章を参照してください。

別のフィールドから属性を参照します。

<Expansion>

   <concat>

       <ref>global.firstname</ref><s> </s>

      <ref>global.lastname</ref>

   </concat>

</Expansion>

ワークフローでは、プロセス変数 (ワークフローエンジンが認識できる変数)、またはアクションと遷移の XPRESS ステートメントとして Field 属性を参照できます。ワークフローでこれらの属性を参照するときは、ビューが格納されているワークフロービューの名前をプレフィックスとしてパスに追加します (たとえば、user.waveset.accountId)。

一時的な値を持つ属性

ユーザービューの最上位に、一時的な値を格納するフィールドを定義できます。これらのフィールドの値は、メモリ内でユーザービューが有効な間 (通常はプロセス終了までの間) は存続しますが、Identity Manager リポジトリに格納されることも、リソースアカウントに反映されることもありません。

たとえば、電話番号の値は、3 つのフォームフィールドの値を連結した結果です。次の例では、p1 は市外局番、p2 と p3 は電話番号の残りの部分をそれぞれ参照します。これらの値は連結され、global.workPhone というフィールドに格納されます。リソースに反映する値は連結された電話番号のみであるため、このフィールドにのみ global というプレフィックスが追加されます。

一般に、最上位フィールドの構文は次の場合に使用されます。

フィールドの値を Identity Manager またはその他のリソースに渡さない
フィールドが、電子メール通知、または別のフィールドの計算のみに使用される

次のレベルに渡されるすべてのフィールドには、前述の「ユーザービューの属性」の表で説明した、いずれかのパスプレフィックスを付ける必要があります。

Field name='p1' required='true'>

   <Display class='Text'>

      <Property name='title' value='Work Phone Number'/>

      <Property name='size' value='3'/>

      <Property name='maxLength' value='3'/>

   </Display>

</Field>

<Field name='p2' display='true' required='true'>

   <Display class='Text'>

      <Property name='rowHold' value='true'/>

      <Property name='noNewRow' value='true'/>

      <Property name='size' value='3'/>

      <Property name='maxLength' value='3'/>

   </Display>

</Field>

<Field name='p3' display='true' required='true'>

   <Display class='Text'>

      <Property name='rowHold' value='true'/>

      <Property name='noNewRow' value='true'/>

      <Property name='size' value='4'/>

      <Property name='maxLength' value='4'/>

   </Display>

</Field>

<Field name='global.workPhone' required='true' hidden='true'>

   <Expansion>

      <concat>

         <ref>p1</ref>

         <s>-</s>

         <ref>p2</ref>

         <s>-</s>

          <ref>p3</ref>

      </concat>

   </Expansion>

</Field>

waveset 属性

waveset 属性セットは、Identity Manager リポジトリ内の WSUser オブジェクトに格納されている情報を持ちます。この属性セットの下に入れ子になった一部の属性は、フォーム内での直接的な操作には使用されず、ビュー内の WSUser オブジェクトのすべての情報を Identity Manager が完全に表現できるように指定されます。

頻繁に使用される属性

新規ユーザーを作成するときに、すべての属性が必要となるわけではありません。次のリストは、作成または編集でよく使用される waveset 属性を示しています。一部の属性は読み取り専用ですが、その値は、別の属性の値の計算に使用されます。この表の後の節で、すべての waveset 属性について説明します。

表 5-3 頻繁に使用される waveset の属性 (ユーザービュー)

属性	編集の可能性	データ型
waveset.accountId	読み取り/書き込み	String
waveset.applications	読み取り/書き込み	String
waveset.correlationKey	読み取り/書き込み	String
waveset.creator	読み取り専用	String
waveset.createDate	読み取り専用	String
waveset.disabled	読み取り/書き込み	String
waveset.email	読み取り/書き込み	String
waveset.exclusions	読み取り/書き込み	List
waveset.id	読み取り	String
waveset.lastModDate	読み取り	String
waveset.lastModifier	読み取り	String
waveset.locked	読み取り	String
waveset.lockExpiry	読み取り/書き込み	String
waveset.organization	読み取り/書き込み	String
waveset.questions	読み取り/書き込み	List
waveset.resources	読み取り/書き込み	List
waveset.resourceAssignments
waveset.roles	読み取り/書き込み	String
waveset.serverId	読み取り/書き込み	String

waveset.accountId

Identity Manager ユーザーオブジェクトの表示名を指定します。この属性は、ユーザー作成時に設定します。ユーザーの作成後にこの属性の設定を変更すると、Identity Manager アカウントの名前変更が開始されます。

ユーザー名の変更については、『Identity Manager 管理ガイド』を参照してください。

waveset.applications

ユーザーに直接割り当てられている各アプリケーションの名前のリスト (Identity Manager のユーザーインタフェースではリソースグループ) を持ちます。ロールを通じてユーザーに割り当てられるアプリケーションは、これに含まれません。

waveset.attributes

Identity Manager リポジトリ内の WSUser オブジェクトに格納されている任意の属性の集合。waveset.attributes 属性の値は NULL か、または別のオブジェクトです。このオブジェクトに格納されている属性の名前は、Extended User Attributes というシステム設定オブジェクトによって定義されます。拡張された属性の例としては、firstname、lastname、fullname が一般的です。これらの属性は、次の方法で参照できます。

waveset.attributes.fullname

または

accounts[Lighthouse].fullname

通常は、waveset.attributes 属性の値を変更することはありません。その代わりに、accounts[Lighthouse] 属性の値を変更します。属性が格納されると、accounts[Lighthouse] 内の値は格納前に waveset.attributes にコピーされます。waveset.attributes は、属性の元の値の記録に使用されます。システムは、ここに記録されている値と accounts[Lighthouse] に格納されている値を比較し、更新された概要レポートを生成します。ユーザー属性の拡張方法を示す例については、account[Lighthouse] 属性の説明を参照してください。

waveset.correlationKey

調整時およびユーザー検出時にユーザーを特定するために使用される、相互関係の値を持ちます。この属性は、通常は公開されませんが、直接編集できます。

waveset.creator

このユーザーを作成した管理者の名前を持ちます。

この属性は読み取り専用です。

waveset.createDate

このアカウントが作成された日時を持ちます。日時は、MM/dd/yy HH:mm:ss z という形式で表示されます。

例

05/21/02 14:34:30 CST

この属性は 1 度だけ設定され、それ以後は読み取り専用です。

waveset.disabled

Identity Manager ユーザーの無効化状態を持ちます。アカウントが無効化されると、この属性は論理 true に設定されます。メモリーモデルでは、ブール型のオブジェクトであるか、true または false の文字列です。フォームからアクセスするときは、文字列と見なされます。

この属性の設定を変更することで、Identity Manager ユーザーを有効または無効にすることができます。ただし、global.disable を使用するほうが一般的です。システムが、変数を認識するすべてのリソース (Identity Manager を含む) に変数の値を必ず適用するようにするときは、変数名に global. というプレフィックスを追加します。

この値が true になると、ユーザーは Identity Manager のユーザーインタフェースにログインできなくなります。

waveset.email

Identity Manager リポジトリに格納される、ユーザーの電子メールアドレスを指定します。これは、通常は、リソースアカウントに反映される電子メールアドレスと同じです。

この属性の変更は、Identity Manager リポジトリのみに適用されます。電子メールの各種値をリソース間で同期させるときは、global.email 属性を使用します。

この属性の設定は変更可能です。

waveset.exclusions

ロール、リソースグループ、またはディレクトリを通じてユーザーにリソースが割り当てられる場合でも、プロビジョニングから除外されるリソースの名前を指定します。

waveset.id

Identity Manager ユーザーオブジェクトのリポジトリ ID を特定します。Identity Manager にユーザーを作成すると、この属性は NULL 以外の値になります。この値を調べることで、ユーザーが作成中であるか、編集中であるかを確認できます。この属性は、フォーム内のロジックによって調べられます。この値を使用して、新規ユーザーの作成中であるか (waveset.id の値が NULL)、既存ユーザーアカウントの編集中であるか (waveset.id の値が NULL 以外) に応じて表示されるフィールドをカスタマイズできます。

例

次の例は、waveset.id の値が NULL であるかどうかを調べる XPRESS ステートメントを示しています。

<isnull><ref>waveset.id</ref></isnull>

waveset.lastModDate

最後に加えられた変更の日時を持ちます。この日時は、1970 年 1 月 (GMT) の深夜零時から経過したミリ秒数で表されます。この属性は、ユーザーアカウントを変更するたびに更新されます。

この属性は読み取り専用です。

waveset.lastModifier

このユーザーアカウントを最後に変更した管理者またはユーザーの名前を持ちます。

この属性は読み取り専用です。

waveset.locked

ユーザーがロックされているかどうかを示します。値が true の場合は、ユーザーはロックされています。

waveset.lockExpiry

ユーザーの Lighthouse アカウントポリシーに、ロックされたアカウントの有効期限日としてゼロ以外の値が設定されている場合に、ユーザーロックの有効期限がいつ切れるかを指定します。この属性の値は、判読可能な日時です。

waveset.organization

ユーザーが所属する組織 (または ObjectGroup) の名前を持ちます。新しい組織に関する十分な権限を持っている管理者は、この属性の設定を変更できます。

組織の変更は重大なイベントであるため、組織の元の値も waveset.original 属性に格納されます。格納された値は、後で実行する比較に使用できます。

waveset.original

waveset 属性のいくつかの重要な属性の変更前の値に関する情報を持ちます。ビューが作成されると、システムがこの値を設定し、その後も変更されません。システムは、概要レポートと監査ログレコードの作成時に、この情報を使用します。

waveset 属性の変更前のすべての属性値がここに保存されるわけではありません。変更の追跡が現在定義されている属性は次のとおりです。

password
role
organization

これらの属性を参照するときは、属性名のプリフィックスとして waveset.original. を追加します (たとえば、waveset.original.role)。

password

Identity Manager ユーザーのパスワードを指定します。ビューが新規に作成された直後は、この属性は暗号化されたユーザーパスワードを持ちません。その代わりに、ランダムに生成された文字列が設定されます。

password 属性セットは、次の表に示される属性を持ちます。

表 5-4 password の属性 (ユーザービュー) 

属性	説明
password	設定するパスワードを指定します。
confirmPassword	設定するパスワードを確認します。パスワードは、password.password の値と一致する必要があります。
targets	パスワードを変更できるリソースのリストを指定します。
selectAll	パスワードをすべてのリソースに反映させることを表す、ブール型のフラグを指定します。
accounts[]	各リソースに関する情報を持つオブジェクトのリストを指定します。この属性は、次に説明する 2 つの属性を持ちます。
accounts[<resource>]. selected	ブール型。設定した場合は、そのリソースでパスワードの変更が必要であることを示します。
accounts[<resource>]. expire	ブール型。設定した場合は、パスワードの有効期限が切れることを示します。 ユーザーが自身のパスワードを変更する場合は、この属性は false に設定されます。ただし、管理者が別のユーザーのパスワードを変更する場合は、このフラグは true に設定されます。 管理者またはユーザー以外のプロキシアカウントがアカウントのパスワードを変更する場合に、パスワードの有効期限が切れないようにするには、次のように設定します。 accounts [<resource>].expire = <s>false</s> この設定は、次のように機能します。 パスワードの有効期限は切れません Identity Manager はパスワードの変更をユーザーに再強制しません

waveset.passwordExpiry

Identity Manager パスワードの有効期限が切れる日付を持ちます。ビューの新規作成時は、メモリ表現は java.util.Date オブジェクトとなります。ビューがフォームで処理されると、この属性の値は mm/dd/yy という形式の日付のテキスト表現を持つ Date オブジェクト、または String オブジェクトのいずれかとなります。

waveset.passwordExpiryWarning

ユーザーが Identity Manager のユーザーインタフェースにログインするときに、警告メッセージを表示し始める日付を持ちます。通常は、waveset.passwordExpiry の日付より前の、同じ形式 (mm/dd/yy) の日付を持ちます。

waveset.questions

そのユーザーに割り当てられる秘密の質問と、その回答に関する情報を持ちます。この属性の値は、waveset.questions 属性を要素として持つ List です。

waveset.questions 属性セットは、次の表に示される属性を持ちます。

表 5-5 waveset.questions の属性 (ユーザービュー)

属性	編集の可能性	説明
answer	読み取り/書き込み	暗号化された、秘密の質問に対する回答
id	読み取り	秘密の質問に割り当てられる、システム生成の ID
name	読み取り	この質問を識別する名前
question	読み取り	秘密の質問の内容 (テキスト)

name 属性は格納されません。システムは、id を変換して名前を生成します。このようなプロセスが必要となるのは、質問 ID は通常は番号であり、パス式で配列のインデックスに使用される番号がオブジェクト名としてではなく、絶対インデックスと見なされるためです。

たとえば、waveset.questions[#1].question という式は、質問リストの 2 番目の要素を示します (リストインデックスの開始番号はゼロ)。ただし、リストに含まれる質問が 1 つのみで、その ID 番号が 1 である場合、ID はリストインデックスには適さない場合があります。リストの要素を確実に指定するために、システムは、Q という文字と、それに続く ID という構成の名前 (たとえば、Q1) をそれぞれの質問に付けます。これにより、waveset.questions[Q1].question というパスは、常に正しい質問を示すようになります。

waveset.resources

ユーザーに直接割り当てられる各リソースの名前のリストを持ちます。ロールやアプリケーションを通じてユーザーに割り当てられるリソースは、このリストには含まれません。この属性に追加できるのは、非修飾リソース名のみです。ユーザーに割り当てられているすべてのリソースを確認する方法については、accountInfo 属性の説明を参照してください。

waveset.resourceAssignments

割り当てられているリソースのリストを修飾します。この属性は、既存の waveset.resources 属性と並立します。この属性に含まれるすべてのリソースは、waveset.resources 属性には非修飾の状態で格納されます。ユーザーにデフォルト以外のタイプのアカウントのみが割り当てられている場合でも、リソースは waveset.resources に格納されます。

waveset.resource または waveset.resourceAssignments に新しい割り当てを追加することができ、ビューの表示を更新すると、リストは自動的に再同期されます。これにより、デフォルトタイプのアカウントの割り当てが追加されます。waveset.resourceAssignments には、修飾と非修飾の両方の形式のリソース名を追加できます。これにより、修飾子に基づいて指定されるタイプのアカウントが追加されます。

waveset.roles

このユーザーに割り当てられるロールの名前を持ちます。新しいロールに関する十分な権限を持っている管理者は、この属性の設定を変更できます。

ロールの変更は重大なイベントであるため、ロール属性の元の値も元のビューに格納されます。格納された値は、後で実行する比較に使用できます。

waveset.serverId

1 つの物理サーバー上の 1 つのリポジトリを指す複数の Identity Manager インスタンスが配備に含まれる場合に、一意のサーバー名を設定するために使用されます。詳細については、『Identity Manager インストール』を参照してください。

accounts 属性

accounts 属性は、Identity Manager ユーザーにリンクされた各アカウントのオブジェクトのリストを持ちます。各アカウントオブジェクトは、リソースから取得したアカウント属性の値を持ちます。

各アカウントオブジェクトの名前は、通常は、関連付けられているリソースの名前です。特定のリソースに複数のアカウントが関連付けられている場合は、オブジェクト名に |n という形式のサフィックスが付けられます。この n は整数を表します。リソースの最初のアカウントには、サフィックスは付けられません。2 番目のアカウントのサフィックスは |2 となります。リソースの 3 番目のアカウントには |3 というサフィックスが付けられ、以後、同様に続きます。

たとえば、Profile というアカウント属性を定義する、Exchange Server というリソース名がある場合、この属性を示すビューパスは次のようになります。

accounts[Exchange Server].Profile

このビューパスをフォームフィールドで使用した場合は、global.Profile 属性の値は Exchange Server アカウントに反映されなくなります。

注	すべてのリソースへの値の反映を回避するために、グローバル属性の代わりに、アカウントに固有の属性をフォームで使用することが必要となる場合もあります。

リソース属性のオーバーライド

アカウント属性を設定する以外に、各アカウントのリソース属性のオーバーライドも指定できます。リソース属性は、Identity Manager のリソース定義用に定義され、したがって、リソースタイプ用に定義される属性です。これらは、個々のアカウントに関連付けられた属性ではありません。リソース属性の例には、サーバーのホスト名や、ディレクトリ内のベースコンテキストなどがあります。

リソースにアカウントを作成するが、1 つのリソース属性で別の値を使用する場合を考えてみましょう。これは、リソースを複製し、値を変更することで解決できます。しかし、リソースの過度な複製は混乱を生じる可能性があります。その代わる方法として、ビューでアカウントごとにリソース属性をオーバーライドすることができます。

リソース属性のオーバーライドは、resourceAttributes という属性の下の属性オブジェクトに格納されます。たとえば、リソースが host という属性を定義した場合は、次のパスを記述することでビューに指定できます。

accounts[Exchange Server].resourceAttributes.host

注	リソース属性のオーバーライドはあまりお勧めできませんが、それを避けられない場合もあります。同じ物理リソースを示すが、1 つの属性が異なる複製リソースの作成を回避するために、リソースの上書きを選択する場合もあります。たとえば、複数の Exchange 5.5 サーバーを使用する環境であれば、新しいリソースを作成するよりも、フォームで Exchange Server のリソース属性をオーバーライドするほうが賢明かもしれません。詳細については、Identity Manager のご購入先までお問い合わせください。

accounts[Lighthouse]

Identity Manager リポジトリに格納されている属性のみの値を設定します。新規作成したビューは、waveset.attributes 属性セットに含まれる属性のコピーを持ちます。ビューを保存するときに、システムは accounts[Lighthouse] の内容と waveset.attributes の内容を比較し、更新レポートと監査ログエントリを生成します。この属性は Identity Manager のリポジトリに格納されますが、この属性の変更はリソースには自動的に反映されません。

拡張ユーザー属性設定オブジェクトは、このビューで使用できる属性を定義します。システムは、この属性セットの中で、設定オブジェクトに登録されていない名前を無視します。

次のコードは、拡張ユーザー属性設定オブジェクトの例を示しています。このオブジェクトは、waveset.attribute 属性セットによって管理される属性のリストを保持します。

<?xml version='1.0' encoding='UTF-8'?> <!DOCTYPE Configuration PUBLIC 'waveset.dtd' 'waveset.dtd'> <!--  id="#ID#Configuration:UserExtendedAttributes" name="User Extended Attributes"-->  <Configuration id='#ID#Configuration:UserExtendedAttributes' name='User Extended Attributes' creator='Configurator' createDate='1019603369733' lastMod='2' counter='0'>   <Extension>     <List>       <String>firstname</String>       <String>lastname</String>       <String>fullname</String> <!- 文字列の値をここに追加 - - >       <String>SSN</String>     </List>   </Extension>   <MemberObjectGroups>     <ObjectRef type='ObjectGroup' id='#ID#Top' name='Top'/>   </MemberObjectGroups> </Configuration>

オブジェクトを修正し、デフォルトの firstname、lastname、および fullname 属性からリストを拡張できます。この例では、SSN という属性が追加されています。

accounts[Lighthouse].delegateApproversTo

ユーザーが承認を委任している相手を指定します。有効な値には、manager、selectedUsers、または delegateApproversRule があります。

accounts[Lighthouse].delegateApproversSelected

delegateApproversRule の値が selectedUsers である場合は、選択したユーザーの名前リストを指定します。
delegateApproversTo の値が delegatedApproversRule である場合は、選択した規則を指定します。
delegateApproversTo の値が manager である場合は、この属性は値を持ちません。

accounts[Lighthouse].delegateApproversStartDate

承認の委任を開始する日時を指定します。デフォルトでは、開始日時は指定した日付の午前 12:01 となります。

accounts[Lighthouse].delegateApproversEndDate

承認の委任を終了する日時を指定します。デフォルトでは、終了日時は指定した日付の午後 11:59 となります。

accounts[Lighthouse].properties

この属性の値は、ユーザーが定義したプロパティーに対応する属性名を持つオブジェクトです。ユーザープロパティーを設定することで、任意のカスタムデータをユーザーとともに Identity Manager リポジトリに格納できます。格納されたプロパティーは、フォームやワークフローで使用できます。プロパティーは、拡張ユーザー属性と似ていますが、文字列や整数のような基本的なデータ型に限定されません。

Identity Manager は tasks システムプロパティーを定義します。このプロパティーは、将来の特定の日にワークフロータスクを実行するために、延期タスクスキャナで使用されます。tasks プロパティーの値は、オブジェクトのリストです。次の表は、リストに含まれるオブジェクトの属性を示しています。

表 5-6  

属性	説明
name	実行する TaskDefinition オブジェクトの名前を指定します。
date	タスクを実行する日付を指定します。
taskName	作成される TaskInstance を指定します。指定しない場合は、Identity Manager によってランダムな名前が生成されます。
owner	タスクの所有者と見なされる Identity Manager 管理者を指定します。指定しない場合は、デフォルト値の Configurator が適用されます。
organization	TaskInstance の配置先となる Identity Manager 組織を指定します。指定しない場合は、タスク所有者によって制御される組織がランダムに選択されます。
description	作成時に TaskInstance に格納される説明文。このテキストは、Identity Manager の管理者インタフェースのタスク状態ページに表示されます。

用例

accounts[Lighthouse].properties の値を使用することで、ユーザーに割り当てられている延期タスクの表を表示できます。このリストは、sample/formlib.xml 内の Default User Library というフォームライブラリに追加されます。

延期タスクの表を表示するフィールドには、Deferred Tasks という名前が付けられています。waveset.properties 属性を変更すると、デフォルトの Tabbed User Form で延期タスクテーブルを参照できるようになります。延期タスクが存在する場合は、「ID」タブパネルの下部に表が表示されます。

accounts[Lighthouse].viewUserForm

表示専用ユーザーフォームの表示に使用されます。この表示専用フォームには、フィールド情報が Labels として表示され、管理者はそのユーザー情報の値を変更することはできませんが、一覧、表示、および検索を行うことは可能です。管理者がユーザーの詳細を表示するときは、アカウントリストからユーザーを選択し、「表示」をクリックします。

accounts[<resource>].properties

Identity Manager リポジトリへのアカウントプロパティーの格納に使用されます。この属性は、アカウントに関する何らかの情報 (たとえば、アカウントの作成日) をネイティブアカウント属性としてリソースに格納できない場合に使用されます。

accounts[<resource>].waveset.forceUpdate

この属性は、ユーザーが変更されたあとに、属性値が変更前の状態でリソースアクションに残っている場合に、更新のためにリソースに常に送信されるリソースアカウント属性のリストを指定するときに使用されます。この属性は、ユーザーがリソースから割り当てられていない場合のリソースアクションの実行で必要となります。

ユーザーフォームからの次のフィールド定義は、Solaris リソースを使用しています (<resource> は具体的なリソース名に置き換えられている)。

<Field name='accounts[waterloo].waveset.forceUpdate'>    <Default>       <List>           <String>delete after action</String>           <String>Home directory</String>       </List>    </Default> </Field>

前述のコードにより、Identity Manager はプロビジョニングツールとリソースアダプタに、delete after action 属性と Home directory 属性を送信します。

global 属性

ユーザービューの global 属性セットを使用することで、多数のリソースアカウント (Identity Manager を含む) に簡単に属性を割り当てることができます。global 属性の値は、global 属性 として参照される属性を持つオブジェクトです。ビューを保存すると、システムは、スキーママップに global 属性名を定義するすべてのリソースアカウントに、各 global 属性の値を割り当てます。同じ名前の拡張属性が存在する場合、これらの値は Identity Manager のリポジトリにも反映されます。

たとえば、R1 と R2 という 2 つのリソースが、fullname という属性を定義するとします。ビューに global.fullname 属性が格納されると、その値は accounts[R1].fullname 属性と accounts[R2].fullname 属性に自動的にコピーされます。

global 属性を使用して、Identity Manager リポジトリに格納される拡張属性を割り当てることもできます。global 属性が Identity Manager の拡張属性としても宣言されている場合、これは accounts[Lighthouse] にコピーされます。

注	アカウントの作成時は、global.accountId を使用しないでください。アカウント ID は、リソースの DN テンプレートによって作成されます。global.accountId はこれに優先して適用されるため、問題が生じる可能性があります。

異なる 2 つの fullname 属性の参照

global 属性は、同じ名前を持つ account 属性と組み合わせて使用できます。たとえば、Active Directory リソースでは、fullname は lastname と firstname から構成されます。しかし、それ以外のすべてのリソースの fullname は、firstname lastname を使用します。

次の例は、フォームでこれら 2 つのフィールドを参照する方法を示しています。

<Field name='global.fullname'>     <Expansion>        <concat>          <ref>global.firstname</ref><s> </s>          <ref>global.lastname</ref>        </concat>     </Expansion> </Field>   <Field name='accounts[ActiveDir].fullname'>      <Expansion>        <concat>           <ref>global.lastname</ref><s>, </s>           <ref>global.firstname</ref>       </concat>    </Expansion> </Field>

前述の例では、新規ユーザーの作成は、想定どおりに行われます。ただし、そのユーザーを読み込むときは、Active Directory リソースからの fullname 属性を使用して、global.fullname フィールドに値が取り込まれる可能性があります。

このような事例をより正確に実装するには、1 つのリソースを信頼できる属性のソースとして宣言し、次のような Derivation 規則を作成します。

<Field name='global.fullname'>    <Derivation>        <または>          <ref>accounts[LDAP res].fullname</ref>          <ref>accounts[NT res].fullname</ref>        </or>    </Derivation>    <Expansion>       <concat>           <ref>global.firstname</ref><s> </s>           <ref>global.lastname</ref>       </concat>    </Expansion> </Field>

Derivation 規則を定義したことで、fullname フィールドへの値の取り込みには、最初に LDAP リソース内の fullname 属性が使用されます。LDAP に値が存在しない場合は、NT リソースからの値が取り込まれます。

accountInfo 属性

ユーザーに関連付けられているリソースアカウントの、読み取り専用の情報を持ちます。これは、ユーザービュー以外にも、システムビューで使用されます。このビューの一部の情報は、waveset.accounts 属性に格納されている情報の複製です。この複製には、2 つの理由があります。

このビューの情報は、フォームで使いやすいように構成されている
waveset ビュー全体を含めなくても、このビューは別のビューのコンポーネントとして使用できる

accountsInfo.accounts 属性には、ほとんどのアカウント情報が格納されます。その他の属性は、単にアカウント名のリストを含むに過ぎません。いずれかの名前リスト属性に格納されている名前に対して繰り返しを行い、この名前を使用してアカウントリスト属性にインデックスを指定する場合は、フォームの FieldLoop がよく使用されます。

たとえば、次のフォーム要素は、ロールを通じて間接的に割り当てられた各リソースの名前を持つラベルのリストを生成します。

<FieldLoop for='name' in='accountInfo.fromRole'>

   <Field name='accountInfo.accounts[$(name)].name>

      <Display class='Label'/>

   </Field>

</FieldLoop>

次の表は、accountInfo ビュー属性を示しています。これらの属性は、ユーザーの特性を表現しています。

表 5-7 accountInfo の属性 (ユーザービュー)

属性	説明
accountInfo.accounts	ユーザーに関連付けられている各リソースアカウントに関する情報を持つオブジェクトのリスト (たとえば、created、disabled)。
accountInfo.assigned	ユーザーに割り当てられているリソースのリスト。
accountInfo.fromRole	ルールを通じてユーザーに割り当てられているリソースの、フラットリスト形式のリスト。
accountInfo.privates	ユーザーに直接割り当てられているリソースの、フラットリスト形式のリスト。
accountInfo.toCreate	ユーザーには割り当てられているが、そのアカウントが Identity Manager にはまだ存在しないすべてのリソースの名前のリスト。
accountInfo.toDelete	ユーザーには割り当てられなくなったが、存在は認識されているリソースの名前のリスト。
accountInfo.types	ユーザーに現在割り当てられている、または予約グループを通じて割り当てられている、各リソースタイプのリスト。
accountInfo.typeNames	割り当てられているすべてのリソースの、一意のタイプ名のリスト。

accountInfo.accounts

関連付けられている各リソースアカウントに関する情報をそれ自体に持つ、オブジェクトのリストを持ちます。アカウントリストの要素は、名前で参照されます。この名前は、リソース名です。

例

accountInfo.accounts[Microsoft Exchange].type

accountInfo.accounts リストを構成するオブジェクトは、次の表に示される属性を持ちます。

表 5-8 accountInfo.accounts の属性 (ユーザービュー)

属性	説明
attributes	このリソースによって定義されるすべてのアカウント属性に関する情報。
name	アカウントが存在するか、またはアカウントが作成されるリソースの名前。
id	リソースのリポジトリ ID。
type	リソースのタイプ名。
accountId	このリソースでのユーザーアカウントの名前。
assigned	アカウントが現在割り当てられている場合は、true となります。割り当てられていないアカウントは、Identity Manager によって削除される可能性があります。
protected	アカウントが現在保護されている場合は、true となります。この場合、そのアカウントに対する更新や削除の操作は無視されます。
passwordPolicy	このリソースに適用されるパスワードポリシーに関する情報。

accountInfo.accounts[ ].attributes[ ]

このリソースによって定義されるすべてのアカウント属性に関する情報を持ちます。これらの属性は、リソースのスキーママップページに一覧されます。属性の値は、オブジェクトのリスト (List) です。

次の表は、これらのオブジェクトが持つ属性を示しています。

表 5-9 accountInfo.accounts の属性 (ユーザービュー)

属性	説明
name	Identity Manager リソースアカウント属性の名前。この名前は、リソーススキーママップに定義されます。
syntax	属性値の構文。syntax 属性の値は、次のいずれかです。 int string boolean encrypted binary complex リソースで、バイナリ属性または複雑な属性がサポートされるかどうかを調べるときは、『Identity Manager リソースリファレンス』を参照してください。バイナリ属性や複雑な属性をサポートしないリソースに対して、このような属性を送信しようとすると、例外がスローされます。 バイナリ属性は、できるだけ小さく維持してください。350K バイトを超えるバイナリ属性を管理しようとすると、Identity Manager は例外をスローします。350K バイトを超える属性の管理が必要な場合は、カスタマサポートまでお問い合わせください。
multi	属性が複数の値をサポートする場合は、true となります。

フォームの設計時には、宣言されたリソースアカウントの属性タイプを気にする必要はありません。必要に応じて、ユーザービューのプロセッサシステムが、適切なタイプを強制します。

accountInfo.accounts[].passwordPolicy

リソースには、パスワードポリシーを割り当てることができます。属性にパスワードポリシーが割り当てられている場合、その属性の値には、そのポリシーに関する情報が含まれます。

次の表は、accountInfo.accounts[resname].passwordPolicy の属性を示してい ます。

表 5-10 accountInfo.accounts[resname].passwordPolicy の属性 (ユーザービュー)

属性	説明
name	ポリシーの名前。これは、Identity Manager リポジトリ内の policy オブジェクトの名前に対応します。
summary	各ポリシー属性に関する情報などの、ポリシーの簡単な説明。
attributes	この属性の値は、各ポリシー属性の名前と値を持つ別のオブジェクトです。

ポリシー情報を表示するアプリケーションは、通常は概要テキストを表示しますが、各ポリシー属性の表示をより詳細に制御する必要がある場合は、属性マップを使用できます。

パスワードの変更と同期のためのインタフェースを持つフォームは、多くの場合、この情報を使用します。

accountInfo.accounts[Lighthouse]

この accountInfo リストの特別エントリは、Identity Manager のデフォルトパスワードポリシーに関する情報の保持に使用されます。リソースアカウントに関する情報以外にも、Identity Manager のパスワードとポリシーに関する情報を表示する必要があるため、これはパスワードフォームを表示するときに便利です。

この要素は、パススルー認証が使用されていない場合にのみ表示されます。リソースタイプは Lighthouse です。

accountInfo のリソース名リスト

accountInfo ビューには、リソース名のリストを持つ属性が含まれます。各リストは、特定の特性を持つリソースに対して繰り返しを行う場合に、フォームで FieldLoop 構成体と組み合わせて使用することを目的としています。

リソース名を持つことができる accountInfo 属性は次のとおりです。

assigned
created
fromRole
private
toCreate
toDelete

accountInfo.assigned

ユーザーに割り当てられるリソースを指定します。フォームの設計時には、この属性を呼び出すことで、ロールやアプリケーションを通じて割り当てられているリソースのリストや、ユーザーに直接割り当てられているリソースのリストを表示できます。

accountInfo.typeNames

割り当てられているすべてのリソースの、一意のタイプ名のリスト。このリストは、特定タイプのリソースが選択されていないフィールドを無効にする場合に、フォームの Disable 式で使用されます。

<Field name='HomeDirectory' prompt='Home Directory'>    <Display class='Text'/>       <Disable>          <not>             <contains>                <ref>accountInfo.typeNames</ref>                <s>Solaris</s>             </contains>          </not>       </Disable> </Field>

これは、accountInfo.types[*].name というパスと同じ情報を返しますが、こちらのほうが効率的です。これは、Disable 式で使用する場合に重要な条件です。このリストには、共通リソースタイプを含めることができます。

Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountInfo.types

この属性は、現在割り当てられている各リソースタイプに関する情報を持ちます。この属性の値は、List (オブジェクト) です。

次の表は、各オブジェクトの属性を示しています。

表 5-11 accountInfo.types の属性 (ユーザービュー)

属性	説明
accounts	ユーザーに割り当てられている、このタイプの各アカウントの accountId のリスト
name	リソースタイプ名

たとえば、accountInfo.types[Unix].accounts というパスによって、UNIX アカウントの ID のリストを指定できます。

display 属性

display 属性は、ビューの処理に適用されるコンテキストに関連する情報を持ちます。ほとんどの属性は、フォームの対話的な処理でのみ有効です。

次の表は、頻繁に使用される display ビュー属性を示しています。

表 5-12 頻繁に使用される display 属性 (ユーザービュー) 

属性	説明
eventType	create または update という読み取り専用の値によって、ユーザービューが作成要求または更新要求を処理しているかどうかを示します。
session	認証された Identity Manager セッションへのハンドル。この属性は、Identity Manager の管理者インタフェースで対話的な編集セッションを実行している場合にのみ有効です。これは、Identity Manager リポジトリへのアクセスポイントを提供します。この属性の値は、com.waveset.ui.FormUtil クラス内のメソッドに渡すことができます。 display.session 属性は、フォームの処理が行われる可能性がある、次のような場合には無効です。 一括読み込みに含まれる場合 バックグラウンド再プロビジョニングの実行中 アクションまたは承認の同期がとれていない場合 推奨される方法は、この属性を Property 要素内、または Constraints 要素内のみで使用することです。ほとんどすべての既存のフォームでは、display.session 属性は Constraints 要素内のみで使用されます。
subject	Identity Manager ユーザーまたは管理者のクレデンシャルに関する情報を保持するオブジェクト。この情報は、ほとんどすべての場合に設定されますが、通常は、display.session が無効になっている場合に、バックグラウンドアクティビティーで呼び出されるワークフローアプリケーションで使用されます。subject は、新規セッションの取得に使用できます。この場合は、リポジトリへのアクセスの取得に使用されます。
state	_javax.servlet.http.HttpSession_ などの HTTP 要求に関連するオブジェクトへのハンドルを持つ _com.waveset.ui.util.RequestState_ オブジェクトへのハンドル。

itemType のデフォルト動作

要求者が作業項目の所有者である場合に、ワークフローを作業項目に直接遷移させることができるのは、通常、wizard 項目タイプ (itemType) のみです。

itemType を次のように設定すると、ワークフローは作業項目に遷移しなくなり、その代わりに「承認」タブに表示されるようになります。

approval
custom
itemType

デフォルト動作のオーバーライド

次のように、フォームのプロパティーとして allowedWorkItemTransitions オプションを設定することで、ユーザービューでのデフォルトの動作をオーバーライドすることができます。

<Form ......>         <Properties>           <Property name='allowedWorkItemTransitions'>             <list>               <s>myCustomType</s>             </list>           </Property>         </Properties>

deferred 属性

deferred 属性は、別のアカウントの属性値から値を取得する属性です。ビュー (および WSUser モデル) で deferred 属性を宣言すると、プロビジョニングエンジンは、アダプタを呼び出す前に、この置き換えをただちに実行します。

deferred 属性が、別のリソースの GUID 属性から値を取得する場合は、ソースアダプタはアクションを実行する必要がありません。しかし、ソース属性が GUID でない場合は、realCreate 操作の二次的な影響として、アダプタは ResourceInfo._resultsAttributes マップ内の属性を返さなければなりません。アダプタが属性を返さない場合は、プロビジョニングエンジンはアカウントをフェッチして、値を取得します。これは、値を返すようにアダプタを修正するよりも非効率です。

deferred 属性を使用する状況

deferred 属性は、新しいアカウントを作成し、アカウント属性の値を、ソースアカウントが作成されるまで認識されない別のアカウントの属性の値から取得するように指定するときに使用します。一例を挙げれば、生成される一意の識別子の値を属性に設定する場合がこれに該当します。

deferred 属性の使用

deferred 属性は、主に次の 2 つの手順で定義されます。

アカウントは、必ず 2 番目のアカウントの作成前に、ソースリソースに作成します。これは、リソースと、ユーザーへのリソースグループの割り当ての両方を含む、順序が付けられたリソースグループを作成することで行われます。
次の例のように、作成するアカウントのユーザービューに特別な属性を設定します。それぞれの deferred 属性は、ソースアカウントを指定するビュー属性と、ソース属性を指定するビュー属性の 2 つを必要とします。これは、次の形式のパスを使用して設定されます。

accounts[<resource>].deferredAttributes.<attname>.resource

accounts[<resource>].deferredAttributes.<attname>.attribute

この <resource> は実際のリソース名に置き換えられ、<attname> は実際の属性名に置き換えられます。

たとえば、1) アカウントの作成時に uid 属性を生成する LDAP というリソースと、2) LDAP リソースの uid と同じ値を保持する directoryid という directoryid 属性を持つ HR というリソースの、2 つのリソースを作成する場合を考えてみましょう。

次のフォームフィールドは、必要なビュー属性を設定し、この関係を定義します。

<Field name='accounts[HR].deferredAttributes.directoryid.resource'>    <Expansion><s>LDAP</s></Expansion> </Field> <Field name='accounts[HR].deferredAttributes.directoryid    <Expansion><s>uid</s></Expansion> </Field>

ユーザービューのデバッグ

ユーザービューをデバッグするときは、ビューの内容を新しいファイルにダンプすると便利な場合があります。ダンプファイルを作成するには、次の Derivation ステートメントをユーザービューに追加します。

<Field name='DumpView'>    <Derivation>       <invoke name='dumpFile'>          <ref>form_inputs</ref>             <s>c:/temp/view.xml</s>       </invoke>    </Derivation> </Field>

この Derivation 式は、dumpFile メソッドを呼び出すことで、ユーザーフォームが初めて表示されたあとにファイルを生成します。form_inputs 変数は、このフォームで使用されるビューに自動的にバインドされます。

前述の例では、dumpFile メソッドへの String 引数は、ファイルシステムのパスです。このパスは、実際には c:/temp/view.xml という有効パスに置き換えられています。

---

アカウント相関ビュー

指定されたアカウント (またはアカウント属性) と相互に関連するユーザーの検索に使用されます。このビューは、アカウント調整プロセスの一部として使用されます。

このビューには、次の root 属性が含まれます。これらの属性の値は GenericObjects です。新しい ID は <account_name>@<resource_name> となります。

表 5-13 アカウント相関ビューの最上位属性

属性	説明
correlation	相互関係の設定方法に関する情報を持ちます
matches	相互関係の結果を持ちます

相関要求は、ビューの取得処理と表示更新要求の両方で実行されます。表示更新の場合は、ビューに指定されている要求が使用されます (ただし、ビュー ID の値が優先的に適用される accountId と resource を除く)。取得要求の場合は、ビュー属性と同じ名前のビューオプション (たとえば、correlator) を使用して、ビューから提供される要求部分を指定できます。

注	ビューオプションとして指定される場合は、accountAttributes は WSUser (リソースアダプタメソッドから返される) または GenericObject として指定できます。

correlation

表 5-14 correlation の属性 (アカウント相関ビュー) 

属性	編集の可能性	データ型	必要性
accountId	読み取り	String	あり
accountGUID	読み取り/書き込み	String	なし (ただし、accountId と resource がリソースを明確に識別できない場合を除く)
resource	読み取り	String	あり
accountAttributes	読み取り/書き込み	String
correlator	読み取り/書き込み	String	なし
confirmer	読み取り/書き込み	String	なし

accountId

相互に関連付けるアカウントの名前を指定します。これは、ビュー ID から自動的に取得されます。

accountGUID

相互に関連付けるアカウントの GUID を指定します。accountId と resource がリソースを明確に識別できない場合にのみ、必須属性となります。

resource

アカウントが存在するリソースの名前を指定します。この値は、ビュー ID から自動的に取得されます。

accountAttributes

アカウントの属性を指定します。指定されている場合、ビューアは、相関規則と確認規則に渡すときに、現在のアカウント属性をフェッチしません。その代わりに、これらの属性が渡されます。

correlator

使用する相関規則を指定します。指定しない場合は、リソースの調整ポリシーによって指定される相関規則が使用されます。NULL 値を指定した場合は、相関規則は使用されません。

confirmer

使用する確認規則を指定します。指定しない場合は、リソースの調整ポリシーによって指定される確認規則が使用されます。NULL 値を指定した場合は、確認規則は使用されません。

これらのリストは、ユーザーの概要属性を持つ GenericObject から構成されます。

表 5-15 confirmer の属性 (アカウント相関ビュー)

属性	編集の可能性	データ型
claimants	読み取り	List
correlated	読み取り	List
unconfirmed	読み取り	List

claimant

要求者 (claimant) をもう一方のリストにも表示させるために、相関アルゴリズムに関係なく計算された要求者のリスト。要求者の検出は、ビューオプションで ignoreClaimants を true に設定することで無効にできます。アカウントを明示的に参照する ResourceInfo を持つ場合、ユーザーはアカウントを要求します。

correlated

リソースアカウントと相互に関連付けられているユーザーのリスト。

unconfirmed

相関規則によって選択されたが、確認規則によって拒否されたユーザーのリスト。このリストは、ビューオプションで includeUnconfirmed が true に設定されている場合にのみ存在します。

---

管理者ロールビュー

ユーザーに管理者ロールを作成または更新するときに使用されます。管理者ロールを使用すると、組織の組み合わせごとに一意の機能セットを定義できます。機能と制御する組織は、直接割り当てるだけでなく、ロールを通じて間接的に割り当てることもできます。

1 つまたは複数の管理者ロールを 1 人のユーザーに割り当てたり、1 人または複数のユーザーを同じ管理者ロールに割り当てたりすることができます。

表 5-16 管理者ロールビューの最上位属性

名前	編集の可能性	データ型	必要性
id	読み取り/書き込み	String	なし
name	読み取り/書き込み	String	あり
capabilities		List	あり
capabilitiesRule		String	あり
controlledOrganizations		List	あり
controlledOrganizationsRule		String	あり
controlledOrganizationsUserform		String	あり
controlledSubOrganizations		List (オブジェクト)	なし
memberObjectGroup		List	あり

id

Identity Manager 内の AdminRole オブジェクトを一意に識別します。システム生成の値。

name

管理者ロールの名前を指定します。

capabilities

この管理者ロールに割り当てられる機能名のリストを指定します。

capabilitiesRule

ゼロ個以上の割り当て機能名のリストを返す、評価対象となる規則の名前を指定します。

controlledOrganizations

関連付けられている機能が許可される組織名のリスト。

controlledOrganizationsRule

評価対象となる規則の名前を指定します。この規則は、割り当てられるゼロ個以上の制御対象組織名のリストを返します。

controlledOrganizationsUserform

この管理者ロールによる制御の対象となる組織の範囲内で、ユーザーの編集または作成に使用されるユーザーフォームを指定します。この管理者規則が適用されるユーザーに、このユーザーフォームが直接割り当てられていない場合に有効です。

controlledSubOrganizations

使用可能オブジェクトのサブセットが含められるか、または除外される、制御対象組織のリスト。この属性の値は、controlledSubOrganization オブジェクトのリストから構成されます。各 ControlledOrganization オブジェクトのビュー属性は次のとおりです。

表 5-17 controlledSubOrganizations のビュー属性 (管理者ロールビュー)

属性	データ型	必要性
name	String (制御対象オブジェクトグループの名前)
types	List (オブジェクト)

types は、タイプ (たとえば、Resource、Role、および Policy) ごとに含められるか、または除外されるオブジェクトのリストです。各オブジェクトタイプのビューは次のとおりです。

表 5-18 controlledSubOrganizations ビュー属性のオブジェクトタイプ (管理者ロールビュー) 

属性	データ型	必要性
name	String
include	List (オブジェクト)
exclude	List (オブジェクト)

name

オブジェクトタイプの名前を指定します。

include

含められる関連オブジェクトタイプのオブジェクト名のリスト。

exclude

除外される関連タイプのオブジェクト名のリスト。

memberObjectGroup

この管理者ロールがメンバーとして属す ObjectGroup のリスト。これは、この管理者ロールを使用できるオブジェクトグループ (組織) です。

---

ユーザーの秘密質問の回答変更ビュー

1 つまたは複数のログインインタフェースで使用される、既存ユーザーの秘密質問の回答を変更するときに使用されます。

2 つの上位属性があります。

表 5-19 ユーザーの秘密質問の回答変更ビューの属性

属性	編集の可能性	データ型	必要性
questions		List
loginInterface		String

questions

質問を表現します。含まれる属性は次のとおりです。

表 5-20 questions の属性 (ユーザーの秘密質問の回答変更ビュー)

属性	データ型	必要性
qid	String
question	String
answer	String
answerObfuscated	ブール型

qid

質問を一意に識別します。これは、その質問を、ポリシーに定義されている質問に関連付けるために使用されます。

question

ポリシーに定義される質問の文字列を指定します。

answer

指定する場合、qid の値と関連付けられる、ユーザーの質問の回答を指定します。

answerObfuscated

回答をそのまま表示するか、暗号化するかを指定します。

loginInterface

この質問が関連付けられるログインインタフェースを指定します。値は、各ログインインタフェースの、一意のメッセージカタログキーです。

含まれる属性は次のとおりです。

表 5-21 loginInterface の属性 (ユーザーの秘密質問の回答変更ビュー)

属性	データ型	必要性
name	String
questionPolicy	String
questionCount	String

name

質問が関連付けられるログインインタフェースの名前を指定します。

次に有効な値を示します。

UI_LOGIN_CONFIG_DISPLAY_NAME_ALL_INTERFACES
UI_LOGIN_CONFIG_DISPLAY_NAME_ADMIN_INTERFACE
UI_LOGIN_CONFIG_DISPLAY_NAME_CLI_INTERFACE
UI_LOGIN_CONFIG_DISPLAY_NAME_DEFAULT_USER_INTERFACE
UI_LOGIN_CONFIG_DISPLAY_NAME_IVR_INTERFACE
UI_LOGIN_CONFIG_DISPLAY_NAME_QUESTION_INTERFACE
UI_LOGIN_CONFIG_DISPLAY_NAME_USER_INTERFACE

questionPolicy

この質問が関連付けられるポリシーを指定します (たとえば、All、Random、Any、または RoundRobin)。

questionCount

questionPolicy 属性を Any または Random に設定した場合にのみ、設定します。

---

ユーザー機能変更ビュー

Identity Manager ユーザーの機能を変更するときに使用されます。

表 5-22 ユーザー機能変更ビューの属性

属性	編集の可能性	データ型	必要性
adminRoles		List [String]
capabilities		List [String]
controlledOrganizations		List [String]

adminRoles

ユーザーに割り当てられている管理者ロールのリスト。

capabilities

このユーザーに割り当てられている機能のリスト。

controlledOrganizations

ユーザーが、割り当てられている能力によって制御する組織のリスト。

---

委任承認者ビュー

既存の承認者に、1 人以上の Identity Manager ユーザーを委任承認者として割り当てるときは、このビューを使用します。これにより承認者は、指定された期間に限り、承認者になれないユーザーに対して、自身の承認機能を委任することができます。

次の最上位属性があります。

表 5-23 委任承認者ビューの属性

属性	編集の可能性	データ型	必要性
name		List [String]	あり
delegateApproversTo		List [String]	あり
delegateApproversSelected		List [String]
delegateApproversStartDate		String
delegateApproversEndDate		String

name

承認を委任するユーザーを指定します。

delegateApproversTo

ユーザーが承認を委任している相手を指定します。有効な値には、manager、selectedUsers、または delegateApproversRule があります。

delegateApproversSelected

delegateApproversRule の値が selectedUsers である場合は、選択したユーザーの名前リストを指定します。
delegateApproversTo の値が delegatedApproversRule である場合は、選択した規則を指定します。
delegateApproversTo の値が manager である場合は、この属性は値を持ちません。

delegateApproversStartDate

承認の委任を開始する日時を指定します。デフォルトでは、開始日時は指定した日付の午前 12:01 となります。

delegateApproversEndDate

承認の委任を終了する日時を指定します。デフォルトでは、終了日時は指定した日付の午後 11:59 となります。

---

プロビジョニング解除ビュー

プロビジョニング解除するリソースリストの表示と選択に使用されます。1 つの最上位属性があります。

resourceAccounts

この属性は、次の属性を持ちます。

表 5-24 resourceAccounts の属性 (プロビジョニング解除ビュー)

名前	編集の可能性	データ型	必要性
id	読み取り/書き込み	String
selectAll	読み取り/書き込み	ブール型
unassignAll	読み取り/書き込み	ブール型
unlinkAll	読み取り/書き込み	ブール型
currentResourceAccounts	読み取り	List (オブジェクト)
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

アカウントの一意の識別子を指定します。

selectAll

すべてのリソースを選択するかどうかを制御します。

unassignAll

プライベートリソースのユーザーのリストから、すべてのリソースを削除するかどうかを指定します。

unlinkAll

Identity Manager ユーザーから、すべてのリソースとのリンクを解除するかどうかを指定します。

tobeCreatedResourceAccounts

この Identity Manager ユーザーに割り当てられているが、まだ作成されていないアカウントを表します。まだ作成されていないアカウントでは、パスワードのロックを解除することはできません。

tobeDeletedResourceAccounts

すでに作成されているが、このユーザーには割り当てられなくなったアカウントを表します。削除されるアカウントでは、パスワードを変更することはできません。

3 つのアカウントリストはすべて、各リソースのアカウントの状態を表現するオブジェクトを含み、ユーザーはアカウントを個別に選択できます。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。

すべてのアカウントリストには、リソース名によるインデックスが付けられます。

表 5-25 currentResourceAccounts の属性 (プロビジョニング解除ビュー)

名前	編集の可能性	データ型
selected	読み取り/書き込み	ブール型
unassign	読み取り/書き込み	ブール型
unlink	読み取り/書き込み	ブール型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String
exists	読み取り	ブール型
disabled	読み取り	ブール型
authenticator	読み取り	ブール型
directlyAssigned	読み取り	ブール型

selected

true に設定されている場合は、指定されたリソースで、関連付けられているアカウントがプロビジョニング解除されることを示します。選択されているアカウントが Lighthouse である場合は、すでに選択されている場合を除き、Identity Manager ユーザーとすべての関連リソースの割り当てが削除されます。ただし、関連付けられているリソースアカウントは削除されません。

unassign

true に設定されている場合は、ユーザーのプライベートリソースのリスト (たとえば、waveset.resources) から、指定されているリソースが削除されることを示します。

unlink

true に設定されている場合は、Identity Manager ユーザーから、指定されているリソースとのリンクが解除されることを示します (たとえば、関連 ResourceInfo オブジェクトの削除)。

注	selected または unassign が true に設定されている場合は、unlink も true に設定されていることになります。しかし、その反対は必ずしもそのように限定されません。unlink を true に設定し、selected と unassign を false に設定することは可能です。

name

リソースの名前を指定します。これは、Identity Manager リポジトリ内の resource オブジェクトの名前に対応します。

type

リソースのタイプ (たとえば、Solaris) を指定します。Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountId

リソースアカウントの ID を指定します。

exists

リソースにすでにアカウントが存在するかどうかを示します (currentResourceAccounts のみ)。

disabled

アカウントが現在有効であるか、無効であるかを示します (currentResourceAccount のみ)。

authenticator

アカウントが、ユーザーのログインが設定されているアカウントの 1 つであるかどうかを示します。

directlyAssigned

true に設定されている場合は、そのユーザーにアカウントが直接割り当てられていることを示します。値が false の場合は、ロールまたはアプリケーションを通じて、アカウントが間接的に割り当てられていることを示します。

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

無効化ビュー

Identity Manager ユーザーのアカウントを無効にするときに使用されます。このビューは、カスタムワークフローでよく使用されます。

resourceAccounts

このビューで属性にアクセスするときの、最上位属性を表します。

表 5-26 resourceAccounts の属性 (無効化ビュー)

名前	編集の可能性	データ型	必要性
id	読み取り	String
selectAll	読み取り	ブール型
currentResourcesAccount	読み取り	String
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

ユーザーの Identity Manager ID を指定します。

selectAll

設定すると、Identity Manager アカウントを含むすべてのリソースアカウントが無効化されます。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。特定のリソースを有効に指定するときは、selected フィールドを使用します。

表 5-27 resourceAccounts.currentResourceAccounts の属性 (無効化ビュー)

名前	編集の可能性	データ型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String
exists	読み取り	ブール型
disabled	読み取り	ブール型
selected	読み取り/書き込み	ブール型

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

有効化ビュー

Identity Manager ユーザーのアカウントを有効にするときに使用されます。このビューは、カスタムワークフローでよく使用されます。

resourceAccounts

このビューで属性にアクセスするときの、最上位属性を表します。

表 5-28 resourceAccounts の属性 (有効化ビュー)

名前	編集の可能性	データ型	必要性
id	読み取り	String
selectAll	読み取り	ブール型
currentResourcesAccount	読み取り	String
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

ユーザーの Identity Manager ID を指定します。

selectAll

設定すると、Identity Manager アカウントを含むすべてのリソースアカウントが有効化されます。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。特定のリソースを有効に指定するときは、selected フィールドを使用します。

表 5-29 resourceAccount.currentResourceAccounts の属性 (有効化ビュー)

名前	編集の可能性	データ型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String
exists	読み取り	ブール型
disabled	読み取り	ブール型
selected	読み取り/書き込み	ブール型

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

オブジェクト検索ビュー

カスタマイズが可能で、一般的な Identity Manager リポジトリ検索インタフェースを提供します。Identity Manager に定義されているオブジェクトタイプと適切な権限を持ち、非推奨とされていたり、内部使用に限定されたりしていないオブジェクトを検索できます。オブジェクト検索ビューハンドラには、1 つまたは複数の属性クエリー条件とパラメータを指定したり、検索結果を表示したりするための関連フォームが用意されています。また、ビューオプションを使用して、属性クエリー条件とパラメータを指定できます。

このビューは、次の属性を持ちます。

表 5-30 最上位属性 (オブジェクト検索ビュー)

名前	編集の可能性	データ型	必要性
objectType	読み取り/書き込み	String	あり
allowedAttrs	読み取り/書き込み	List	なし
attrsToGet	読み取り/書き込み	List	なし
attrConditions	読み取り/書き込み	List	なし
maxResults	読み取り/書き込み	String	なし
results	読み取り	List	なし
sortColumn	読み取り/書き込み	String	なし
selectEnable	読み取り/書き込み	ブール型	なし

objectType

検索する Identity Manager リポジトリオブジェクトのタイプ (たとえば、Role、User、または Resource) を指定します。

allowedAttrs

デフォルトでは objectType の listQueryableAttributeAttrs() メソッドを呼び出すことで取得される、クエリー可能な属性名のオブジェクトタイプ (objectType 属性によって指定) を指定するリスト。このメソッドは、PersistentObject を拡張する各クラスによって開示されます。オブジェクトタイプクラスによってオーバーライドされないときは、すべての PersistentObject でサポートされる、クエリー可能な属性のデフォルトセットを返す PersistentObject 実装を継承します。

デフォルトの設定は、findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、allowedAttrs のセットを指定することでオーバーライドできます。このファイルは、サンプルディレクトリに格納されています。許可されるそれぞれの属性を、次のように sample/findObjectsDefaults.xml ファイルに指定します。

name

属性を指定します。

displayName

Identity Manager の管理者インタフェースに表示する属性名を指定します。指定しない場合は、この属性の値はデフォルト値である name と同じ値になります。

syntax

属性値のデータ型を指定します。サポートされる値は、string、int、boolean です。指定しない場合は、この値はデフォルト値である string になります。

multiValued

属性が複数の値をサポートするかどうかを指定します。true という値は、属性が複数の値をサポートすることを表します。指定しない場合は、この値はデフォルト値である false になります。この属性は、属性構文が string である場合にのみ適用されます。

allowedValuesType

属性の許可される値が Identity Manager タイプのインスタンス (たとえば、Role、Resource) である場合に、Identity Manager のタイプ名を指定します。指定しない場合は、この属性にはデフォルト値である NULL が適用されます。

name 属性が、Identity Manager によって定義される属性である場合は、name の指定のみが必須となります。name 属性が拡張属性である場合は、name の指定は必須となりますが、デフォルト値が適切である限り、その他の属性の指定は省略可能です。

許可される属性の設定例については、sample/findObjectsDefaults.xml を参照してください。

allowedAttrs のリストは、文字列のリスト、オブジェクトのリスト、または両者の組み合わせによって指定できます。

attrsToGet

指定された属性クエリー条件と一致する各オブジェクトとともに返される、指定されたオブジェクトタイプ (objectType) の概要属性名のリスト。オブジェクトタイプの、サポートされる概要属性のセットを取得するときは、そのオブジェクトタイプの listSummaryAttributeAttrs() メソッドを呼び出します。このメソッドは、PersistentObject を拡張する各クラスによって開示されます。objectType クラスによってオーバーライドされないときは、すべての PersistentObject でサポートされる、概要属性のデフォルトセットを返す PersistentObject 実装を継承します。

デフォルトは、sample/findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、resultColumnNames のリストを指定することでオーバーライドできます。

attrConditions

指定された属性条件 (attrConditions) と一致する、指定されたオブジェクトタイプ (objectType) のオブジェクトの検索に使用される属性条件のリスト。リストを構成する各属性条件は、次のように指定します。

selectedAttr

許可される属性のリスト (allowedAttrs) から、いずれかの属性名を指定します。

selectedAttrRequired

(省略可能) この属性条件に合わせて、選択された属性 (selectedAttr) を変更できるかどうかを指定します。true という値は、選択された属性を、この属性条件に合わせて変更できないことを表し、この場合、属性条件のリストからその属性条件を削除することはできません。

defaultAttr

(省略可能) 許可される属性のリストがインタフェースに表示されるときに、デフォルトで選択される allowedAttrs の名前を指定します。

allowedOperators

選択された属性 (selectedAttr) に指定されている構文に基づいて許可される演算子のリスト。デフォルトでは、getAllowedOperators メソッドを呼び出し、選択された属性 (selectedAttr) の syntax 属性と multiValued 属性の値を渡すことで、このリストを取得できます。デフォルトは、sample/findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、許可される演算子 (allowedOperators) のセットを指定することでオーバーライドできます。

selectedOperator

allowedOperators に指定されているリストから、いずれかの演算子の名前を指定します。

selectedOperatorRequired

(省略可能) この属性条件に合わせて、選択された演算子 (selectedOperator) を変更できるかどうかを指定します。true という値は、選択された演算子を、この属性条件に合わせて変更できないことを表し、この場合、属性条件のリストからその属性条件を削除することはできません。

defaultOperator

(省略可能) 許可される演算子 (allowedOperators) のリストがフォームに表示されるときに、デフォルトで選択される演算子 (allowedAttrs) の名前を指定します。

value

指定されたオブジェクトタイプ (objectType) のオブジェクトを返す必要があると Identity Manager が判断した場合にテストの対象となる、選択された属性名と演算子の値またはオペランドを指定します。selectedOperator の値が exists または notPresent である場合は、この属性を省略できます。

valueRequired

(省略可能) 属性条件の value を変更できるかどうかを指定します。値が true の場合は、値を変更できます。これは、属性条件のリストからその属性条件を削除できないことも意味します。

removeAttrCond

この属性条件の削除の必要性を指定します (内部)。

FindObjects.ATTR_CONDITIONS 定数または attrCondition 文字列を使用することで、属性条件をビューオプションとして指定できます。attrConditions を指定しない場合は、Identity Manager は指定されたオブジェクトタイプのすべてのオブジェクトを返します。

maxResults

(省略可能) 検索要求によって返される、指定された objectType のオブジェクトの最大数を指定します。指定しない場合のデフォルト値は 100 です。デフォルトは、sample/findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、resultMaxRows 属性の値を指定することでオーバーライドできます。

この属性を使用することで、指定したタイプの Identity Manager リポジトリオブジェクトが多数存在する場合のパフォーマンスを改善できます。

results

attrsToGet の値が NULL の場合、result の値は、指定された属性条件と一致するオブジェクト名のリストとなります。attrsToGet の値が NULL 以外の場合は、results は、指定された attrConditions と一致するオブジェクトのリストとなります。各オブジェクトは、次の内容から構成されます。

columns - 要求された attrsToGet と一致する、表示可能な列名のリスト
rows - 0 から行数 (たとえば、10) までの番号が名前として付けられた row オブジェクトのリスト
row - 0 から列数 (たとえば 6) までの番号と、それに該当する rows 列の値が名前として付けられたオブジェクトのリスト

sortColumn

(省略可能) 結果をソートする列の値を指定します。指定しない場合のデフォルト値は 0 です。デフォルトは、sample/findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、resultSortColumn の値を指定することでオーバーライドできます。

selectEnable

(省略可能) 複数の結果行を同時に選択できるかどうかを指定します。値が true の場合は、複数の結果行を選択できます。デフォルトは false です。デフォルトは、sample/findObjectsDefaults.xml 設定ファイルのデフォルトセクションまたは objectType に固有のセクションのいずれかに、resultSelectEnable の値を指定することでオーバーライドできます。

---

組織ビュー

作成する組織のタイプと、それを処理するオプションのタイプの指定に使用されます。

代表的な属性

次の表は、このビューの上位属性を示しています。

表 5-31 組織ビューの属性

名前	編集の可能性	データ型	必要性
orgName	読み取り	String	システム生成値
orgDisplayName	読み取り/書き込み	String	あり
orgType	読み取り/書き込み	String	なし
orgId	読み取り	String	システム生成値
orgAction	書き込み	String	なし
orgNewDisplayName	書き込み	String	なし
orgParentName	読み取り/書き込み	String	なし
orgChildOrgNames	読み取り	List	システム生成値
orgApprovers	読み取り/書き込み	List	なし
allowsOrgApprovers	読み取り	List	システム生成値
allowedOrgApproverIds	読み取り	List	システム生成値
orgUserForm	読み取り/書き込み	String	なし
orgViewUserForm	読み取り/書き込み	String	なし
orgPolicies	読み取り/書き込み	List	なし
orgAuditPolicies	読み取り/書き込み	List	なし
renameCreate	読み取り/書き込み	String	なし
renameSaveAs	読み取り/書き込み	String	なし

orgName

組織の UID を指定します。短い組織名は同じであっても、親組織が異なる場合があるため、この値はほとんどのビューオブジェクト名と異なります。

orgDisplayName

短い組織名を指定します。これは、表示のためにのみ使用される値であり、一意である必要はありません。

orgType

組織のタイプを指定します。指定できる値は、junction または virtual です。junction または virtual というタイプ以外の組織は、値を持ちません。

orgId

Identity Manager 内で組織を一意に識別するための ID を指定します。

orgAction

ディレクトリジャンクション、仮想組織、および動的組織のみでサポートされます。指定できる値は、refresh です。組織がディレクトリジャンクションまたは仮想組織である場合、表示更新の動作は、orgRefreshAllOrgsUserMembers の値によって異なります。

orgNewDisplayName

組織の名前を変更する場合の、新しい短い名前を指定します。

orgParentName

親組織の完全パス名を指定します。

orgChildOrgNames

直接的および間接的なすべての子組織の Identity Manager インタフェース名のリスト。

orgApprovers

この組織に追加または変更されたユーザーの承認を担当する Identity Manager 管理者のリスト。

allowedOrgApprovers

この組織に追加または変更されたユーザーの承認者になりうる、ユーザーの名前のリスト。

allowedOrgApproverIds

この組織に追加または変更されたユーザーの承認者になりうる、ユーザーの ID のリスト。

orgUserForm

この組織に属すユーザーが、ユーザーの作成時または編集時に使用する userForm を指定します。

orgViewUserForm

この組織に属すユーザーが、ユーザーを表示するときに使用するビューユーザーフォームを指定します。

orgPolicies

この組織に属すすべてのユーザーに適用されるポリシーを指定します。これは、String 型のキーが付けられたオブジェクトのリストです。各ポリシーオブジェクトには、orgPolicies[<type>] というプレフィックスを持つ、次のビュー属性が含まれます。このプレフィックスの <type> は、ポリシーのタイプ (たとえば、Lighthouse アカウント) を表します。

policyName -- 名前を指定します
id -- ID を表します
implementation -- このポリシーを実装するクラスを識別します

orgAuditPolicies

この組織に属すすべてのユーザーに適用される監査ポリシーを指定します。

renameCreate

true に設定すると、この組織を複製し、orgNewDisplayName の値を使用して新しい組織を作成します。

renameSaveAs

true に設定すると、orgNewDisplayName の値を使用して、この組織の名前を変更します。

ディレクトリジャンクションと仮想組織の属性

表 5-32 ディレクトリジャンクションと仮想組織の属性

名前	編集の可能性	データ型	必要性
orgContainerId	読み取り	String	システム生成値
orgContainerTypes	読み取り	List	システム生成値
orgContainers	読み取り	List	システム生成値
orgParentContainerId	読み取り	String	システム生成値
orgResource	読み取り/書き込み	String	あり (ディレクトリジャンクションまたは仮想組織の場合)
orgResourceType	読み取り	String	システム生成値
orgResourceId	読み取り	String	システム生成値
orgRefreshAllOrgsUserMembers	書き込み	String	なし

orgContainerId

関連付けられている LDAP ディレクトリコンテナの dn (たとえば、cn=foo,ou=bar,o=foobar.com) を指定します。

orgContainerTypes

別のリソースオブジェクトを持つことができる、許可されるリソースオブジェクトタイプのリスト。

orgContainers

選択リストを表示するときに Identity Manager インタフェースが使用する、リソースのベースコンテナのリスト。

orgParentContainerId

関連付けられている親 LDAP ディレクトリコンテナの dn (たとえば、ou=bar,o=foobar.com) を指定します。

orgResource

ディレクトリジャンクションと仮想組織の同期に使用される Identity Manager リソースの名前 (たとえば、West Directory Server) を指定します。

orgResourceType

ディレクトリジャンクションと仮想組織の同期に使用される Identity Manager リソースのタイプ (たとえば、LDAP) を指定します。

orgResourceId

ディレクトリジャンクションと仮想組織の同期に使用される Identity Manager リソースの ID を指定します。

orgRefreshAllOrgsUserMembers

orgAction の値が refresh の場合に true に設定すると、Identity Manager 組織に属すユーザーと、選択された組織とそのすべての子組織のリソースコンテナに属すユーザーが同期されます。false に設定した場合は、リソースコンテナに属すユーザーは同期されず、リソースコンテナと、選択された組織とそのすべての子組織の Identity Manager 組織のみが同期されます。

動的組織の属性

表 5-33 動的組織の属性

名前	編集の可能性	データ型	必要性
orgUserMembersRule	読み取り/書き込み	String	なし
orgUserMembersRuleCacheTimeout	読み取り/書き込み	String	なし

orgUserMembersRule

ユーザーの所属を確認するために実行時に評価される、authType が UserMembersRule の規則を、名前または UID で指定します。

orgUserMembersCacheTimeout

orgUserMembersRule によって返されるユーザーがキャッシュされる場合に、タイムアウトとなるまでの時間をミリ秒単位で指定します。値 0 は、キャッシュなしを表します。

システム生成 ID に代わる組織パス名の使用

ワークフローでこのビューを呼び出すときは、システム生成の ID を使用するか、checkoutView の値として組織パスの式 (たとえば、top:us:central:texas) を指定することができます。

ワークフローの例

<Activity id="1" name="Refresh Organization">    <Variable name="orgView"/>    <Action name="Get Organization"         Application="com.waveset.session.WorkflowServices">      <Argument name="op" value="checkoutView"/>      <Argument name="subject" value="#ID#Configurator"/>      <Argument name="viewId" value="OrgViewer:top:us:central:texas"/>      </Argument>       <Return from="view" to="orgView"/>    </Action>

---

パスワードビュー

Identity Manager ユーザー、またはそのリソースアカウントのパスワードを変更するときに、管理者によって使用されます。

このビューには、1 つの最上位属性があります。

resourceAccounts

この属性は、次の属性を持ちます。

表 5-34 resourceAccounts の属性 (パスワードビュー)

属性	編集の可能性	データ型	必要性
id	読み取り/書き込み	String	あり
selectAll	読み取り/書き込み	ブール型	なし
currentResourceAccounts	読み取り	List (オブジェクト)	なし
tobeCreatedResourceAccounts	読み取り	List (オブジェクト)	なし
tobeDeletedResourceAccounts	読み取り	List (オブジェクト)	なし
password	読み取り/書き込み	暗号化	あり
confirmPassword	読み取り/書き込み	暗号化	あり (ビューを対話的に使用する場合)
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

パスワード変更の対象となる Identity Manager ユーザーのアカウント ID を指定します。通常はビューハンドラによって設定され、フォームから変更することはありません。

selectAll

すべてのパスワードを選択するかどうかを制御します。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。

tobeCreatedResourceAccounts

この Identity Manager ユーザーに割り当てられているが、まだ作成されていないアカウントを表します。まだ作成されていないアカウントでは、パスワードを変更することはできません。

tobeDeletedResourceAccounts

このユーザーに割り当てられてはいるが、まだ Identity Manager による管理の対象となっていないリソースのセット (たとえば、resinfo オブジェクトがまだ関連付けられていないリソース) を表します。削除されるアカウントでは、パスワードを変更することはできません。

3 つのアカウントリストはすべて、各リソースのアカウントの状態を表現するオブジェクトを含み、ユーザーはアカウントを個別に選択できます。

どちらのリソースアカウントリストにもリソース名によるインデックスが付けられ、このユーザーがアカウントを持つリソースを表現するオブジェクトを含みます。

表 5-35 tobeDeletedResourceAccounts の属性 (パスワードビュー) 

属性	編集の可能性	データ型
selected	読み取り/書き込み	ブール型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String
exists	読み取り	ブール型 (currentResourceAccounts のみ)
disabled	読み取り	ブール型 (currentResourceAccounts のみ)
passwordPolicy	読み取り	Object
authenticator	読み取り	ブール型
changePasswordLocation	読み取り	String (currentResourceAccounts のみ)
expirePassword	読み取り/書き込み	ブール型

password

Identity Manager アカウントまたはリソースアカウントに割り当てる新しいパスワードを指定します。

confirmPassword

password 属性に指定したパスワードを確認します。ビューを対話的に使用する場合は、フォームの「password」フィールドと「confirmPassword」フィールドに同じ値を入力してください。ワークフローでの使用のように、ビューをプログラム的に使用する場合は、confirmPassword 属性は無視されます。このビューを対話的に使用している場合は、この属性を設定してください。

selected

指定されたリソースが、新しいパスワードを必要とすることを指定します。

name

リソースの名前を指定します。これは、Identity Manager リポジトリ内の resource オブジェクトの名前に対応します。

type

リソースのタイプ (たとえば、Solaris) を指定します。Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountId

このリソースにアカウントが作成されている場合は、そのアカウントの ID を指定します。

exists

リソースにすでにアカウントが存在するかどうかを示します。

disabled

アカウントが現在無効化されているかどうかを示します。

passwordPolicy

このリソースにパスワードポリシーが設定されている場合は、その説明を指定します。NULL も指定できます。これには、次の属性があります。

表 5-36 passwordPolicy の属性 (パスワードビュー)

属性	説明
name	String
summary	String

また、この属性には、宣言されている各ポリシー属性のビュー属性も含まれます。ビュー属性の名前 (name) は、ポリシーに定義されている名前と同じです。

概要文字列 (summary) には、事前に書式が設定された、ポリシー属性の説明が含まれます。

authenticator

true に設定した場合は、このリソースが Identity Manager のパススルー認証リソースとして機能することを示します。

changePasswordLocation

(省略可能) パスワードの変更が行われる場所 (たとえば、Active Directory のドメインコントローラの DNS 名) を指定します。このフィールドの値の形式は、リソースによって異なります。

expirePassword

変更の直後に、パスワードに有効期限切れのマークを付けるかどうかを制御するときは、NULL 以外のブール型の値を設定します。NULL に設定した場合は、パスワードが変更されたユーザーが、パスワードを変更したユーザーと異なる場合に、デフォルトとして、パスワードを有効期限切れにします。

tobeCreatedResourceAccounts

この Identity Manager ユーザーに割り当てられているが、まだ作成されていないアカウントを表します。まだ作成されていないアカウントでは、パスワードを変更することはできません。

tobeDeletedResourceAccounts

すでに作成されているが、このユーザーには割り当てられなくなったアカウントを表します。削除されるアカウントでは、パスワードを変更することはできません。

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

プロセスビュー

ワークフローやレポートなどのタスクの呼び出しに使用されます。呼び出されるタスクは、Identity Manager の TaskDefinition オブジェクトまたは TaskTemplate オブジェクトを使用して定義しておく必要があります。タスクを呼び出すと、TaskInstance オブジェクトが作成されます。

このビューには、task という 1 つの最上位属性があります。それ以外の最上位属性は、入力としてタスクに渡されますが、値の指定は任意です。

task

この最上位属性は、タスクを呼び出す方法を定義します。

表 5-37 プロセスビューの属性

属性	編集の可能性	データ型	必要性
process	読み取り/書き込み	String	あり
taskName	読み取り/書き込み	String	あり
organization	読み取り/書き込み	String	あり
taskDisplay	読み取り/書き込み	String	なし
description	読み取り/書き込み	String	なし
execMode	読み取り/書き込み	String	なし
result	読み取り/書き込み	WavesetResult	なし
owner	読み取り/書き込み	String	なし

process

呼び出すプロセスの名前。この属性には、Identity Manager の TaskDefinition オブジェクトまたは TaskTemplate オブジェクトの名前を指定できます。また、System Configuration オブジェクトの process の設定を利用してマップされる抽象プロセス名も指定できます。これは、必須属性です。

taskName

タスクの実行時状態を保持するために作成される、TaskInstance オブジェクトに付ける名前を指定します。この属性に値を指定しない場合は、生成されるランダムな名前が適用されます。

organization

TaskInstance の配置先となる組織の名前を指定します。この属性に値を指定しない場合、TaskInstance は最上位に配置されます。

taskDisplay

TaskInstance の表示名を指定します。

description

TaskInstance を説明する文字列を指定します。この文字列は、製品インタフェースの「サーバータスク」テーブルに表示されます。

execMode

実行モードを指定します。通常は、値を指定しません。この場合、実行モードは TaskDefinition によって決定されます。この属性に指定した設定は、TaskDefinition の値に優先して適用されます。

execMode の許可される値は次のとおりです。

表 5-38 execMode 属性の値 (プロセスビュー)

値	説明
sync	同期実行またはフォアグラウンド実行を指定します
async	非同期実行またはバックグラウンド実行を指定します
asyncImmediate	ただちにスレッドを開始する非同期実行を指定します

asyncImmediate 実行モードは、直列化できない値をビューを通じてタスクに渡さなければならない、特別なシステムタスクのみで使用してください。タスクスレッドはただちに開始されます。デフォルトの動作では、TaskInstance は一時的にリポジトリに保存され、後からスケジューラによって再開されます。

result

TaskInstance の初期結果を指定します。この設定を利用して、タスクの完了時にタスクの結果を最終的に表示するためのタスクに、情報を渡すことができます。

owner

タスクの所有者と見なされるユーザーの名前を指定します。値を設定しない場合は、ログインユーザーが所有者と見なされます。

ビューオプション

次のオプションは、createView メソッドと checkinView メソッドが認識するオプションです。

endUser

タスクが Identity Manager のユーザーインタフェースから呼び出されることを指定します。これにより、正式な権限を持たないユーザーも、特別に指定されたエンドユーザータスクを呼び出すことができます。

process

呼び出すプロセスの名前。この名前は、createView メソッドによって認識され、ビューの process 属性の値となります。

suppressExecuteMessage

true に設定すると、非同期タスクを呼び出したときに、タスクの結果に追加されるデフォルトのメッセージが抑制されます。デフォルトの英文テキストは、「The task is being executed in the background (タスクはバックグラウンドで実行中)」です。

checkinView メソッドの結果

checkinView メソッドから返される WavesetResult オブジェクトには、次の名前が付けられた結果項目が記録されます。

表 5-39 checkinView メソッドの結果

結果	説明
taskId	TaskInstance のリポジトリ ID を識別します
taskState	TaskInstance の現在の状態を識別します。値は、ready (準備完了)、executing (実行中)、suspended (保留)、または finished (完了) のいずれかです。
extendedResults	true が指定されている場合は、TaskInstance が拡張された結果を持つことを表します。

---

調整ビュー

リソースに対する調整処理の要求またはキャンセルに使用されます。このビューは、ワークフローの一部として、オンデマンド調整を行うときに使用されます。また、調整のためのカスタムスケジューラの実装にも使用されます。

このビューは書き込み専用です。取得やチェックアウトの操作はサポートされません。

request

実行する操作を指定します。次の有効な操作のいずれかを指定してください。

表 5-40 request 属性で有効な操作 (調整ビュー)

操作	説明
FULL	リソースの完全調整を開始します
INCREMENTAL	リソースの差分調整を開始します
ACCOUNT	アカウントの調整を開始します
CANCEL	現在アクティブなリソース調整プロセスをキャンセルします

accountId

調整するアカウントを指定します。要求が ACCOUNT 以外の場合、この文字列は無視されます。

例

リソースの単一アカウントの調整を要求する方法は次のとおりです。ここでは、Active Directory リソースを例に取ります。

request = "ACCOUNT"

accountId = "cn=maurelius, ou=Austin, DC=Waveset, DC=com"

保留中、または現在アクティブな、リソースの調整プロセスをキャンセルします。

request = "CANCEL"

---

調整ポリシービュー

Identity Manager のシステム設定オブジェクトの一部として格納されている調整ポリシーを表示、変更するときに使用されます。

調整ポリシーと調整ポリシービュー

調整ポリシーの設定は、ツリー構造に格納されます。このツリーの一般的な構造は次のとおりです。

デフォルトまたはグローバルポリシー (Default)。これは root ポリシーレベルです。
リソースタイプ (ResType:) ポリシー
リソースポリシー (Resource:)

設定は、ツリーの任意のポイントに指定できます。レベルがポリシーの値を指定しない場合は、その次に上位のポリシーから継承されます。

ビューは、ポリシーツリー上の指定のポイントで、有効なポリシーを表します。これは、ビュー名で識別されます。

表 5-41 調整ポリシーツリーとビュー名

ビュー名	説明
Default	ポリシーツリーの root を示します
ResType:リソースタイプ	root の下位の指定リソースタイプを示します
Resource:リソース名	リソースのリソースタイプの下位の指定リソースを示します

ポリシー値

ポリシー設定の値は、常にポリシー値となります。ポリシー値には、最大で、次の表に示される 3 つのコンポーネントを含めることができます。

表 5-42 ポリシー値の設定属性 (調整ポリシービュー)

ポリシー値の設定	説明
value	設定の値を指定します。
scope	この設定の取得元となる範囲を指定します。範囲の値には、Local、ResType、および Default があります。これは、ポリシーを指定しているラベルを示します。たとえば、SCOPE_LOCAL という値は、現在のポリシーレベルに設定される値を表します。 SCOPE_LOCAL -- リソースレベルまたは現在のポリシーレベルにポリシーが設定されます SCOPE_RESTYPE -- restype (リソースタイプ) レベルにポリシーが設定されます SCOPE_GLOBAL. -- グローバルレベルにポリシーが設定されます
inheritance	このレベルで継承されたポリシー設定を識別します。scope が Local でない場合、inheritance は有効な値と一致します。Default レベルのポリシー設定には存在しません。

認証の必要性

ビューを変更するユーザーには、Reconcile Administrator 機能が必要です。

ビューにアクセスするユーザーには、Reconcile Administrator 機能または Reconcile Request Administrator 機能が必要です。

ビュー属性

次の表は、このビューの上位属性を示しています。

表 5-43 調整ポリシービューの属性

属性	説明
scheduling	調整の自動化されたスケジュールに関する情報を含みます。
correlation	リソースアカウントの所有を決定する方法に関する情報を含みます。
workflow	ユーザーが調整プロセスに指定する拡張に関する情報を含みます。
response	検出された状況に対して調整がどのように応答するかに関する情報を含みます。
resource	調整がリソースとどのように連携するかに関する情報を含みます。

scheduling

表 5-44 scheduling の属性 (調整ポリシービュー)

属性	編集の可能性	データ型
reconcileServer	読み取り/書き込み	String
reconcileModes	読み取り/書き込み	String
fullSchedule	読み取り/書き込み	Schedule
incrementalSchedule	読み取り/書き込み	Schedule
nextFull	読み取り	Date
nextIncremental	読み取り	Date

reconcileServer

スケジューリングされた調整の実行に使用される調整サーバーを指定します。

reconcileModes

有効にする調整モードを指定します。有効な値は、BOTH、FULL、NONE です。

fullSchedule

完全調整が有効な場合のスケジュールを指定します。

incrementalSchedule

差分調整が有効な場合のスケジュールを指定します。

nextFull

差分調整が有効な場合の、次の調整の日時を指定します。

nextIncremental

スケジュールの繰り返し回数を指定します。スケジュールの値は、次の属性を持つ GenericObject です。

count -- スケジュールの繰り返し回数を指定します
units -- スケジュールの繰り返し単位を指定します
time -- スケジュールの開始時刻を指定します

correlation

相関規則の名前を指定します。

表 5-45 相関規則 (調整ポリシービュー)

属性	編集の可能性	データ型
correlationRule	読み取り/書き込み	String
confirmationRule	読み取り/書き込み	String

correlationRule

アカウントとユーザーを関連付けるときに使用される、相関規則の名前を指定します。

confirmationRule

関連付けられているユーザーをアカウントに対して確認するときに使用される、確認規則の名前を指定します。確認が必要ない場合は、CONFIRMATION_RULE_NONE という値を指定します。

workflow

表 5-46 workflow の属性 (調整ポリシービュー)

属性	編集の可能性	データ型
proxyAdministrator	読み取り/書き込み	String
preReconWorkflow	読み取り/書き込み	String
perAccountWorkflow	読み取り/書き込み	String
postReconWorkflow	読み取り/書き込み	String

proxyAdministrator

管理機能を持つユーザーの名前を指定します。

preReconWorkflow、perAccountWorkflow、postReconWorkflow

調整プロセスの適切なタイミングで実行するワークフローの名前を指定します。実行するワークフローを指定しないときは、AR_WORKFLOW_NONE という値を指定します。

response

表 5-47 response の属性 (調整ポリシービュー)

属性	編集の可能性	データ型
situations	読み取り/書き込み	List
explanations	読み取り/書き込み	ブール型

situations

指定された状況で実行する、自動化された応答を指定します。有効な応答は次のとおりです。

表 5-48 situations 属性のオプション (調整ポリシービュー)

応答	説明
DO_NOTHING	自動化された応答を実行しません
CREATE_NEW_USER	リソースアカウントに基づいて、新規ユーザーを作成します
LINK_ACCOUNT	要求ユーザーにアカウントを割り当てます
CREATE_ACCOUNT	リソースにアカウントを再作成します
DELETE_ACCOUNT	リソースからアカウントを削除します
DISABLE_ACCOUNT	リソースのアカウントを無効にします

explainActions

調整が、アクションの詳細な説明をアカウントインデックスに記録するかどうかを指定します。

resource

表 5-49 resource の属性 (調整ポリシービュー)

属性	編集の可能性	データ型
reconcileNativeChanges	読み取り/書き込み	ブール型
reconciledAttributes	読み取り/書き込み	List (String のリスト)
listTimeout	読み取り/書き込み	Integer
fetchTimeout	読み取り/書き込み	Integer

reconcileNativeChanges

アカウント属性へのネイティブ変更を調整の対象とするかどうかを指定します。

reconciledAttributes

ネイティブ変更の中で監視の対象となるアカウント属性のリストを指定します。

listTimeout

リソースに存在するアカウントを列挙するときに、調整が応答を待機する最大時間をミリ秒単位で指定します。

fetchTimeout

リソースからアカウントをフェッチするときに、調整プロセスが応答を待機する最大時間をミリ秒単位で指定します。

---

調整状態ビュー

最後に要求された調整処理の状態を取得するときに使用されます。このビューは読み取り専用です。

status

状態コード要求 (文字列) を示します。有効な状態コードは次のとおりです。

表 5-50 調整状態ビューの属性

状態コード	説明
UNKNOWN	状態を特定できません。その他の属性の値は指定されません。
PENDING	要求は受信されましたが、まだ処理されていません。
RUNNING	要求は、現在処理中です。
COMPLETE	要求は完了しています。その他の要求の成功または失敗を特定するには、属性を確認します。
CANCELLED	要求は管理者によってキャンセルされました。

reconcileMode

要求の調整モードを示します。有効な値は、FULL または INCREMENTAL です。

reconciler

調整要求を処理する Identity Manager サーバーを指定します。

requestedAt

要求を受信した日付を示します。

startedAt

調整処理が開始された日付を示します。調整処理がまだ開始されていないか、または保留中にキャンセルされた場合、この値は NULL となります。

finishedAt

調整処理が完了した日付を示します。調整処理がまだ完了していない場合は、この値は NULL となります。

errors.fatal

調整処理の中止原因となったエラー (存在する場合) を説明します。エラーは、文字列のリストとして返されます。

errors.warnings

調整処理の実行中に発生した、致命的ではないエラーを説明します。エラーは、文字列のリストとして返されます。

statistics.accounts.discovered

調整処理の実行時にリソースで検出されたアカウントの数を示します。

statistics.situation[<situation>].resulting

応答処理の実行後に (成功、失敗を問わず)、指定された調整状態にあるアカウントの数を示します。

有効な状況は次のとおりです。

CONFIRMED
FOUND
DELETED
MISSING
COLLISION
UNMATCHED
UNASSIGNED
DISPUTED

---

ユーザー名変更ビュー

Identity Manager ユーザーとリソースアカウントアイデンティティーの名前の変更に使用されます。このビューは、通常は企業内のユーザーの名前を変更するときに使用されます。また、それ以外にも、ディレクトリ構造での移動の要因となるディレクトリユーザーのアイデンティティーを変更するときに、このビューが使用されます。

表 5-51 ユーザー名変更ビューの属性

名前	編集の可能性	データ型	必要性
newAccountId	読み取り/書き込み	String
toRename	読み取り	List
noRename	読み取り	List
resourceAccounts	読み取り
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

newAccountId

Identity Manager ユーザーに設定され、リソースアカウントのアイデンティティーテンプレートで使用される、新しい accountId を指定します。

toRename

名前変更処理をサポートする currentResourceAccounts リストに含まれるアカウントのリストを指定します。

noRename

名前変更機能をサポートしないアカウントのリストを指定します。

resourceAccounts

リソースアカウントに関する、主に読み取り専用の情報を持ちます。リソースアカウント名の変更に使用される属性は次のとおりです。

表 5-52 resourceAccounts の属性

属性	データ型	説明
selectAll	ブール型	すべてのアカウントの名前を変更するかどうかを制御します。
currentResourceAccounts [<resourcename>].selected	ブール型	このリソースアカウントのアイデンティティー名の変更に、新しい accountId を使用することを指定します。
currentResourceAccounts [Lighthouse].selected	ブール型	Identity Manager アカウントの名前を変更するかどうかを制御します。selectAll=true は、この設定に優先して適用されます。

accounts[<resourcename>].identity

このリソースアカウントの accountId の作成時に、アイデンティティーテンプレートの使用をオーバーライドします。

accounts[<resourcename>].<attribute>

新規 accountId の作成時に、アイデンティティーテンプレートに属性を渡す accounts[<resourcename>].identity 属性を指定しない場合に使用されます。

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

例

renameView.newAccountId="saurelius" renameView.resourceAccounts.selectAll="false" renameView.resourceAccounts.currentResourceAccounts[Lighthouse]. selected="true" renameView.accounts[AD].identity="cn=saurelius,OU=Austin,DC=Wave set,DC=com" renameView.resourceAccounts.currentResourceAccounts[AD].selected ="true" renameView.accounts[LDAP].identity="CN=saurelius,CN=Users,DC=us, DC=com" renameView.resourceAccounts.currentResourceAccounts[LDAP].select ed="true" renameView.accounts[NT].identity="Marcus Aurelius" renameView.resourceAccounts.currentResourceAccounts[NT].selected ="true"

---

再プロビジョニングビュー

再プロビジョニングするリソースのリストの表示と選択に使用されます。このビューには、1 つの最上位属性 (resourceAccounts) があります。

resourceAccounts

この属性は、次の属性を持ちます。

表 5-53 resourceAccounts の属性 (再プロビジョニングビュー)

名前	編集の可能性	データ型	必要性
id	読み取り	String
selectAll	読み取り/書き込み	ブール型
currentResourceAccounts	読み取り	List (オブジェクト)
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

アカウントの一意の識別子を指定します。

selectAll

すべてのリソースを選択するかどうかを制御します。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。

すべてのアカウントリストには、リソース名によるインデックスが付けられます。

表 5-54 currentResourceAccounts の属性 (再プロビジョニングビュー) 

名前	編集の可能性	データ型
selected	読み取り/書き込み	ブール型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String
exists	読み取り	ブール型
disabled	読み取り	ブール型
authenticator	読み取り	ブール型

selected

true に設定されている場合は、指定されたリソースで、関連付けられているアカウントが再プロビジョニングされることを示します。選択されているアカウントが Lighthouse である場合は、すでに選択されている場合を除き、Identity Manager ユーザーとすべての関連リソースの割り当てが再プロビジョニングされます。ただし、関連付けられているリソースアカウントは再プロビジョニングされません。

name

リソースの名前を指定します。これは、Identity Manager リポジトリ内の resource オブジェクトの名前に対応します。

type

リソースのタイプ (たとえば、Solaris) を指定します。Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountId

リソースアカウントの ID を指定します。

exists

リソースにすでにアカウントが存在するかどうかを示します (currentResourceAccounts のみ)。

disabled

アカウントが現在有効であるか、無効であるかを示します (currentResourceAccount のみ)。

authenticator

アカウントが、ユーザーのログインが設定されているアカウントの 1 つであるかどうかを示します。

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、割り当てられているすべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

ユーザーパスワードのリセットビュー

管理者がパスワードをランダム生成のパスワードにリセットするときに使用されます。また、オプションとして、新しいパスワードをリソースアカウントに反映させます。

resourceAccounts

リソースアカウントの特性を定義します。この属性は、次の属性を持ちます。

表 5-55 resourceAccounts の属性 (ユーザーパスワードのリセットビュー)

属性	編集の可能性	データ型	必要性
id	読み取り	String
selectAll	読み取り/書き込み	ブール型
currentResourceAccounts	読み取り	List (オブジェクト)
tobeCreatedResourceAccounts	読み取り	List (オブジェクト)
tobeDeletedResourceAccounts	読み取り	List (オブジェクト)

id

パスワード変更の対象となる Identity Manager ユーザーのアカウント ID を指定します。

selectAll

すべてのパスワードを選択するかどうかを制御します。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。

tobeCreatedResourceAccounts

この Identity Manager ユーザーに割り当てられているが、まだ作成されていないアカウントを表します。まだ作成されていないアカウントでは、パスワードを変更することはできません。

tobeDeletedResourceAccounts

すでに作成されているが、このユーザーには割り当てられなくなったアカウントを表します。削除がスケジューリングされるアカウントでは、パスワードを変更することはできません。

アカウントリストの属性には、tobeDeletedResourceAccounts、tobeCreatedResourceAccounts、currentResourceAccounts の 3 つがあります。これらの属性は、次の表に示される属性を持ちます。これらの属性は、各リソースのアカウントの状態を表現し、ユーザーはアカウントを個別に選択できます。

表 5-56 tobeDeletedResourceAccounts の属性 (ユーザーパスワードのリセットビュー)

属性	編集の可能性	データ型	必要性
selected	読み取り/書き込み	ブール型
name	読み取り	String
type	読み取り	String
accountId	読み取り	String (currentResourceAccounts のみ)
exists	読み取り	ブール型 (currentResourceAccounts のみ)
disabled	読み取り	ブール型 (currentResourceAccounts のみ)
passwordPolicy	読み取り	Object
authenticator	読み取り	ブール型
changePasswordLocation	読み取り	String

selected

このアカウントのパスワードをリセットする場合は、true に設定します。

name

リソースの名前を指定します。これは、Identity Manager リポジトリ内の Resource オブジェクトの名前に対応します。

type

リソースのタイプ (たとえば、Solaris) を指定します。Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountId

このリソースにアカウントが作成されている場合は、そのアカウントの ID を指定します。

exists

リソースにすでにアカウントが存在するかどうかを示します。

disabled

アカウントが現在無効化されているかどうかを示します。

passwordPolicy

このリソースにパスワードポリシーが設定されている場合は、その説明を指定します。NULL も指定できます。これには、次の属性があります。

表 5-57 passwordPolicy の属性 (ユーザーパスワードのリセットビュー)

属性	データ型	編集の可能性	必要性
name	String
summary	String

また、この属性には、宣言されている各ポリシー属性のビュー属性も含まれます。ビュー属性の名前 (name) は、ポリシーの WSAttribute の名前と同じです。

概要文字列 (summary) には、事前に書式が設定された、ポリシー属性の説明が含まれます。

authenticator

true に設定した場合は、このリソースが Identity Manager のパススルー認証リソースとして機能することを示します。

changePasswordLocation

パスワードの変更が行われる場所 (たとえば、Active Directory のドメインコントローラの DNS 名) を指定します。このフィールドの値の形式は、リソースによって異なります。

---

リソースビュー

リソースの変更に使用されます。

表 5-58 リソースビューの属性 

属性	編集の可能性	データ型	必要性
name	読み取り/書き込み	String	あり
adapterClassName	読み取り/書き込み	String	あり
typeString	読み取り/書き込み	String	あり
typeDisplayString	読み取り/書き込み	String	あり
startupType	読み取り/書き込み	String	なし
organizations	読み取り/書き込み	List (String)	あり
resourceAttributes	読み取り/書き込み	List (String)	なし
displayName	読み取り	String	なし
type	読み取り	String	なし
multivalued	読み取り	String	なし
syncSource	読み取り/書き込み	ブール型	なし
facets	読み取り	String	なし
description	読み取り	String	なし
noTrim	読み取り	String	なし
accountAttributes	読み取り/書き込み	List (String)	なし
identityTemplate	読み取り/書き込み	String	なし
approvers	読み取り/書き込み	List (String)	なし
allowedApprovers	読み取り	List (String)	なし
allowedApproversIds	読み取り	List (String)	なし
passwordPolicy	読み取り/書き込み	String	なし
accountPolicy	読み取り/書き込み	String	なし
resourcePasswordPolicy	読み取り/書き込み	String	なし
respolExcludeAccountsRule	読み取り/書き込み	String	なし
retryMax	読み取り/書き込み	Integer	なし
retryDelay	読み取り/書き込み	Integer	なし
retryEmail	読み取り/書き込み	String	なし
retryEmailThreshold	読み取り/書き込み	Integer	なし
form	読み取り	String	なし
licensedProducts	読み取り	List (String)	なし
available.MetaViewAttribute	読み取り	List (String)	なし
available.extendedAttributes	読み取り	List (String)	なし
available.formFieldNames	読み取り	List (String)	なし
host
password
TCPPort
user

リソースビューアは、各種ビューメソッドのリソースパラメータを次のようにインスタンス化します。

createView メソッドは、リソースタイプに適した prototypeXML の特定に使用される、typeString オプションを必要とします。prototypeXML には、リソースパラメータの初期セットと、その初期値が含まれます。そのため、ビューには、この初期リソースパラメータのリストとそのデフォルト値が取り込まれます。
getView メソッドと checkoutView メソッドは、リソースオブジェクトに存在するリソースパラメータのみを返します。実際のリソースオブジェクトにいずれかのリソースパラメータが不足している場合は、このリストへのデータの取り込みに prototypeXML は使用されません。
リポジトリに格納されているリソースオブジェクトのリソースパラメータのリストは、checkinView メソッドによって置き換えられます。この場合も、checkinView 処理の実行中に提供されなかった不足リソースパラメータへのデータの取り込みに、prototypeXML は使用されません。

リソースパラメータ

リソースパラメータは、設定されているリソースアダプタの種類によって異なります。各リソースには、リソースビューアがリソースパラメータのセットとそのデフォルト値の特定に使用する prototypeXML 文字列が含まれます。Identity Manager によってリソースオブジェクトが作成されると、リソースビューアは prototypeXML 文字列を使用しなくなり、代わりに実際のオブジェクトからのリソースパラメータを使用します。

次の属性は、リソースオブジェクトを一意に識別します。

name

リソースを外部的に識別します。ユーザーが指定するこの名前は、リソースオブジェクト間で重複しません。

adapterClassName

リソースへのプロビジョニングで使用されるリソースアダプタクラスを指定します。

type

リソースのデータタイプを指定します。

typeString

リソースタイプの内部名を指定します。

typeDisplayString

リソースタイプの表示名を指定します。これは、メッセージカタログに含まれるメッセージキーまたは ID です。

syncSource

true に設定すると、リソースが同期化イベントをサポートすることを表します。

facets

description

リソースを説明するテキストを指定します。

startupType

activeSync リソースの起動を自動で行うか、手動で行うかを指定します。

追加属性

追加属性は、設定されているアダプタの種類によって異なります。これらの属性は、少なくともリソースとの接続方法を指定します。代表的なパラメータには、TCP Port、user、password があります。

host

ホストを一意に識別します。

password

接続に適用するユーザー (ホスト管理者) のパスワードを指定します。

TCPPort

ホスト上の接続先ポートを指定します。

user

接続に適用するユーザー (ホスト管理者) を指定します。

accountAttributes

このリソースで管理の対象となるアカウントを指定します。属性は、リソースタイプによって異なります。

一般的な属性は次のとおりです。

accountId

リソースがこのアカウントを識別するための ID を指定します。

roles

アカウントがリソース上に持つロールを指定します。

identityTemplate

このリソースでのユーザーのアイデンティティーの生成に使用される、アイデンティティーテンプレートを指定します。

Identity Manager パラメータ

Identity Manager パラメータは、Identity Manager がリソースの管理を支援するときに使用されます。

resourceName

Identity Manager がこのリソースオブジェクトを識別するための名前を指定します。

displayName

Identity Manager のユーザー編集ページとパスワードページに表示される、ユーザーを識別するための表示名を指定します。

retryMax

リソース上のオブジェクトの管理時に発生するエラーに対して、再試行を行う最大回数を指定します。

retryDelay

再試行の間隔を秒単位の時間で指定します。

retryEmail

通知の再試行しきい値に達した場合に送信される通知の、送信先電子メールアドレスを指定します。

retryEmailThreshold

電子メールの送信後の再試行回数を指定します。

form

リソース上のアカウントを編集するワークフローで使用されるユーザーフォームを指定します。

passwordPolicy

このリソースのアカウントに適用されるパスワードポリシーを指定します。

resourcePasswordPolicy

このリソースのリソースアカウントに適用されるリソースパスワードポリシーを指定します。

accountPolicy

このリソースのアカウント ID に適用されるポリシーを指定します。

excludedResourceAccountsPolicy

アカウントリストからリソースアカウントを除外するためのポリシーを指定します。

available

表 5-59 リソースビューの属性

available の属性	説明
available.organizations
available.formFieldNames
available.metaViewAttributes
available.extendedAttributes

approvers

このリソースを承認する管理者のリスト。

allowedApprovers

allowedApproversIds

organizations

リソースで使用できる組織のリスト。

licensedProducts

---

リソースオブジェクトビュー

リソースオブジェクトの変更に使用されます。

更新する属性レベルの変更の計算に使用される <resourceobjectType>.oldAttributes を除くすべての属性は、編集可能です。

実際には、<resourceobjectType> を、リソースに固有のオブジェクトタイプの小文字の名前に置き換えます (たとえば、group、organizationalunit、organization、または role)。

表 5-60 リソースオブジェクトビューの属性

属性	編集の可能性	データ型	必要性
resourceType	読み取り/書き込み	String
resourceName	読み取り/書き込み	String
resourceId	読み取り/書き込み	String
objectType	読み取り/書き込み	String
objectName	読み取り/書き込み	String
objectId	読み取り/書き込み	String
requestor	読み取り/書き込み	String
attributes	読み取り/書き込み	Object
oldAttributes	読み取り	Object
organization	読み取り/書き込み	String
attrstoget	読み取り/書き込み	List
searchContext	読み取り/書き込み	Object
searchAttributes	読み取り/書き込み	List

<resourceobjectType>.resourceType

Identity Manager のリソースタイプ名のリスト (たとえば、LDAP、Active Directory)。

<resourceobjectType>.resourceName

Identity Manager のリソース名のリスト。

<resourceobjectType>.resourceId

Identity Manager のリソース ID または名前のリスト。

<resourceobjectType>.objectType

リソースに固有のオブジェクトタイプ (たとえば、Group) を指定します。

<resourceobjectType>.objectName

リソースオブジェクト名のリスト。

<resourceobjectType>.objectId

リソースオブジェクト (たとえば、dn) の完全修飾名を指定します。

<resourceobjectType>.requestor

ビューを要求しているユーザーの ID を指定します。

<resourceobjectType>.attributes

新しい、または更新されたリソースオブジェクト属性の名前と値のペア (オブジェクト) を指定します。この属性は、次の下位属性を持ちます。

resourceattrname -- 指定されたリソース属性の値を取得または設定するための文字列 (たとえば、<objectType>.attributes.cn、この cn はリソース属性 common name)。

<resourceobjectType>.oldAttributes

フェッチされたリソースオブジェクト属性の名前と値のペア (オブジェクト) を指定します。この値を編集することはできません。ビューはこの属性を使用して、更新の属性レベルの変更を計算します。

<resourceobjectType>.organization

リソースがメンバーとして属す組織のリストを指定します。このリストは、将来の分析やレポート生成のために用意されている関連監査イベントレコードにアクセスできる組織の特定に使用されます。

<resourceobjectType>.attrstoget

checkoutView メソッドまたは getView メソッドを使用してオブジェクトを要求したときに返される、オブジェクトタイプに固有の属性のリスト。

<resourceobjectType>.searchContext

階層的なネームスペースを使用して、リソース内の不完全な修飾名を検索するためのコンテキストを指定します。

<resourceobjectType>.searchAttributes

階層的なネームスペースを使用して、指定された searchContext 内でリソース名を検索するときに使用される、リソースオブジェクトタイプに固有の属性名のリスト。

<resourceobjectType>.searchTimelimit

フォームに入力された名前を検索する最大時間 (リソースがサポートする場合) を指定します。

---

ロールビュー

Identity Manager のロールオブジェクトの定義に使用されます。

このビューがチェックインされると、管理ロールワークフローが呼び出されます。デフォルトでは、このワークフローは単にビューの変更をリポジトリに適用するだけですが、承認や、その他のカスタマイズのきっかけを提供することもできます。

次の表は、このビューの上位属性を示しています。

表 5-61 ロールビューの属性

属性	編集の可能性	データ型	必要性
name	読み取り/書き込み	String	あり
resources	読み取り/書き込み	List	なし
applications	読み取り/書き込み	List	なし
roles	読み取り/書き込み	List	なし
assignedResources	読み取り/書き込み	List	なし
notifications	読み取り/書き込み	List	なし
approvers	読み取り/書き込み	List	なし
properties	読み取り/書き込み	List
organizations	読み取り/書き込み	List	あり

name

ロールの名前を指定します。これは、Identity Manager リポジトリ内の Role オブジェクトの名前に対応します。

resources

ローカルに割り当てられたリソースの名前を指定します。

applications

ローカルに割り当てられたアプリケーションの名前 (リソースグループ) を指定します。

roles

ローカルに割り当てられたロールの名前を指定します。

assignedResources

リソース、アプリケーション、およびロールによって割り当てられたすべてのリソースの、フラット化されたリスト。

表 5-62 assignedResource の属性 (ロールビュー)

属性	編集の可能性	データ型
resourceName		String
name		String
attributes		Object

resourceName

割り当てられているリソースの名前を指定します。

name

リソースの名前または ID (可能な限り ID) を指定します。

attributes

リソースの特性を指定します。すべての下位属性は文字列であり、編集可能です。

表 5-63 attribute 属性のオプション (ロールビュー)

属性	説明
name	リソース属性の名前
valueType	この属性に設定される値のタイプ。Rule、text、none などの値を指定できます。
requirement	この属性によって設定される値のタイプ。指定できる値には、Rule (規則)、Text (テキスト)、None (なし)、Value (値)、Merge with Value (値とマージ)、Remove from Value (値から削除)、Mearge with Value clear existing (値とマージ、既存の値をクリア)、Authoritative set to value (強制的に値を設定)、Authoritative merge with value (強制的に値とマージ)、Authoritative merge with value clear existing (強制的に値とマージ、既存の値をクリア) があります。
rule	値のタイプが Rule である場合に、規則名を指定します。
value	値のタイプが Text である場合に、値を指定します。

notifications

ユーザーへのこのロールの割り当てを承認する管理者の名前のリスト。

approvers

ユーザーへのこのロールの割り当てを承認する承認者の名前を指定します。

properties

このロールに格納される、ユーザー定義のプロパティーを指定します。

organizations

このロールがメンバーとして属す組織のリスト。

---

タスクスケジュールビュー

TaskSchedule オブジェクトの作成と変更に使用されます。

このビューは、次の属性を持ちます。

表 5-64 タスクスケジュールビューの属性

名前	編集の可能性	データ型	必要性
scheduler	読み取り/書き込み	String
task	読み取り/書き込み	ブール型

scheduler

スケジューリングされているすべてのタスクに共通する、スケジューラ自体に関連する属性を持ちます。次の属性があります。

表 5-65 scheduler の属性 (タスクスケジュールビュー) 

名前	編集の可能性	データ型	必要性
name	読み取り/書き込み	String	なし
id	読み取り	String	なし
definition	読み取り/書き込み	String	なし
template	読み取り/書き込み	String	なし
taskOrganization	読み取り/書き込み	String	なし
taskName	読み取り/書き込み	String	なし
description	読み取り/書き込み	String	なし
disabled	読み取り/書き込み	ブール型	なし
skipMissed	読み取り/書き込み	ブール型	なし
start	読み取り/書き込み	Date	なし
repeatCount	読み取り/書き込み	Int	なし
repeatUnit	読み取り/書き込み	String	なし
resultOption	読み取り/書き込み	String	なし
allowMultiple	読み取り/書き込み	ブール型	なし

注	通常は、scheduler.definition または scheduler.template を値として指定します。いずれの値も指定しない場合は、後から編集して定義またはテンプレートを指定できる TaskSchedule オブジェクトが作成されます。

name

既存の TaskSchedule オブジェクトの名前、または新しい TaskSchedule オブジェクトの適切な名前を指定します。これは必須属性ではありませんが、指定しない場合は、システムによってランダムな識別子が生成されます。

id

既存の TaskSchedule オブジェクトを一意に識別します。

definition

スケジューリングする TaskDefinition オブジェクトの名前を指定します。

template

スケジューリングする TaskTemplate オブジェクトの名前を指定します。definition と template の両方を指定した場合は、template が優先されます。

taskOrganization

スケジュールタスクの呼び出し時に TaskInstance が配置される組織の名前を指定します。

taskName

スケジュールタスクの呼び出し時に作成される TaskInstance の名前を指定します。

description

スケジュールタスクの呼び出し時に作成される TaskInstance に保存される、説明テキストを指定します。この説明は、製品インタフェースのタスクテーブルに表示されます。

disabled

タスクスケジューラが TaskSchedule オブジェクトを処理するかどうかを制御します。disable 属性が true に設定された TaskSchedule は、スケジューラによって無視されます。この属性を使用することで、TaskSchedule オブジェクトを削除して再作成することなく、スケジュールタスクの実行を一時的に停止できます。

start

タスクを呼び出す日時を指定します。

repeatCount

repeatUnit と組み合わせて、タスクの実行頻度を決定します。repeatCount をゼロに設定するか、または設定しない場合、スケジューリングされたタスクの実行は 1 回のみです。repeatCount に正の値を指定した場合は、タスクは repeatUnit に指定された間隔で複数回実行されます。

repeatUnit

repeatCount に正の値が指定されたタスクの実行間隔を指定します。有効な値は、second、minute、hour、day、week、month です。たとえば、1 年間を通じて週に 1 回実行するようにタスクをスケジューリングする場合は、repeatUnit を week に、repeatCount を 52 に設定し、タスクの実行を開始する日付を start に設定します。

resultOption

スケジューリングされたタスクの実行時に、指定された名前の TaskInstance がすでに存在する場合のスケジューラの反応を指定します。有効な値は、wait、delete、rename、および terminate です。

wait

スケジューラがタスクを再実行するか、次の繰り返しを待機するかを指定します。この属性が有効となるのは、repeatCount と repeatUnit が設定されている場合のみです。

delete

既存の TaskInstance の実行が完了している場合に、スケジューラはそのインスタンスを削除します。

rename

既存の TaskInstance の実行が完了している場合に、スケジューラはそのインスタンスの名前を変更します。

skipMissed

スケジューリングされた時刻にタスクを実行できなかった場合に、それを回復するためにタスクをただちに試行するか (false)、スケジューリングされている次回の時刻まで単に待機するか (true) を指定します。

false に設定した場合は、Identity Manager はスケジューリングされた時刻に実行できなかったタスクの実行をただちに試行します。true に設定した場合は、Identity Manager はスケジューリングされている次回の時刻まで待機します。デフォルトは false です。

terminate

delete に似ていますが、既存のタスクが現在も実行中の場合は、そのタスクを終了します。

allowMultiple

同じタスク定義またはタスクテンプレートの、複数のインスタンスの実行を許可するかどうかを制御します。true (デフォルト) に設定した場合は、スケジューラはタスクの新しいインスタンスを常に作成します。false に設定した場合は、すでに実行中のインスタンスが存在するとき、スケジューラは新しいインスタンスを作成しません。

task

タスクに固有の属性を持ちます。各タスクは独自の属性を定義し、タスクのフォームは、task ネームスペースに相対的な属性としてそれらを参照します。

---

ロック解除ビュー

アカウントのネイティブロックをサポートするリソースのアカウントのロックを解除するときに使用されます。このビューは、ロック解除するリソースアカウントのリストの表示と選択に使用されます。

注	リソースがアカウントのネイティブロックをサポートするアカウントでは、無効化ビューの代わりにロック解除ビューを使用します。

次の上位属性を持ちます。

表 5-66 ロック解除ビューの属性

名前	編集の可能性	データ型	必要性
id	読み取り	String	あり
selectAll	読み取り/書き込み	ブール型	なし
currentResourceAccounts	読み取り	List (オブジェクト)	なし
tobeCreatedResourceAccounts	読み取り	List (オブジェクト)	なし
tobeDeletedResourceAccounts	読み取り	List (オブジェクト)	なし
fetchAccounts	読み取り/書き込み	ブール型
fetchAccountResources	読み取り/書き込み	List

id

パスワードのロック解除の対象となる Identity Manager ユーザーのアカウント ID を指定します。

selectAll

すべてのパスワードのロックを解除するかどうかを制御します。

currentResourceAccounts

Identity Manager によって現在管理されているアカウントのセットを表します (Identity Manager アカウント自体を含む)。

tobeCreatedResourceAccounts

この Identity Manager ユーザーに割り当てられているが、まだ作成されていないアカウントを表します。まだ作成されていないアカウントでは、パスワードのロックを解除することはできません。

tobeDeletedResourceAccounts

すでに作成されているが、このユーザーには割り当てられなくなったアカウントを表します。削除されるアカウントでは、パスワードを変更することはできません。

3 つのアカウントリストはすべて、各リソースのアカウントの状態を表現するオブジェクトを含み、ユーザーはアカウントを個別に選択できます。

どちらのリソースアカウントリストにもリソース名によるインデックスが付けられ、このユーザーがアカウントを持つリソースを表現するオブジェクトを含みます。

表 5-67 tobeDeletedResourceAccounts の属性 (ロック解除ビュー)

名前	編集の可能性	データ型
selected	読み取り/書き込み	ブール型
name	読み取り/書き込み	String
type	読み取り/書き込み	String
accountId	読み取り/書き込み	String
exists	読み取り/書き込み	ブール型
locked	読み取り/書き込み	ブール型
authenticator	読み取り/書き込み	ブール型

selected

ロック解除の対象として、このリソースが選択されていることを示します。

name

リソースの名前を指定します。これは、Identity Manager リポジトリ内の resource オブジェクトの名前に対応します。

type

リソースのタイプ (たとえば、Solaris) を指定します。Identity Manager の管理者インタフェースでこのリソースリストを表示することで、リソースタイプの名前を確認できます。このページの「タイプ」列には、現在定義されているリソースのタイプ名が表示されます。「新規リソース」の横のオプションリストにも、現在インストールされているリソースアダプタの名前が表示されます。

accountId

このリソースにアカウントが作成されている場合は、そのアカウントの ID を指定します。

exists

リソースにすでにアカウントが存在するかどうかを示します (currentResourceAccounts のみ)。

locked

アカウントが現在ロックされているか、ロック解除されているかを示します。exists の値は、リソースにすでにアカウントが存在するかどうかを示します (currentResourceAccounts のみ)。

authenticator

true に設定した場合は、このリソースが Identity Manager のパススルー認証リソースとして機能することを示します。

fetchAccounts

ビューに、ユーザーに割り当てられているリソースのアカウント属性を含めます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

fetchAccountResources

フェッチ先リソースの名前のリスト。指定しない場合は、すべてのリソースが使用されます。

詳細については、この章の「フォームでのビューオプションの設定」を参照してください。

---

作業項目ビュー

リポジトリ内の WorkItem オブジェクトの表示と変更に使用されます。

WorkItem オブジェクトは、ワークフロープロセスに定義されている手動アクションが作動するたびに作成されます。作業項目ビューには、WorkItem オブジェクト自体を表現するいくつかの属性と、ワークフロータスクからコピーされた、選択されたワークフロー変数の値が含まれます。

Identity Manager は、workItem.related 属性の下の作業項目ビューに含まれる、作業項目に関する情報を返します。

すべてのアクティブ作業項目に関する情報の取得

このビューでは、ワークフロータスクで現在アクティブなすべての作業項目に関する情報を取得できます。デフォルトでは、関連するすべての作業項目ではなく、指定された作業項目のみに関する情報が返されます。ただし、別のオプションを使用して、表示する作業項目をフィルタリングしたり、作業項目に関連する属性をフィルタリングしたりすることができます。

このビューのデフォルトの動作を変更するには、次の 3 つのフォームプロパティーを使用します。

表 5-68

実行する処理	使用するフォームプロパティー
デフォルトで関連するすべての項目を取得する	includeRelatedItems フォームプロパティー
取得する追加属性を要求する	relatedItemAttributes フォームプロパティー
取得する項目を制限する	relatedItemFilter フォームプロパティー

例: includeRelatedItems フォームプロパティーの使用

デフォルトでは、Identity Manager は作業項目の表示に承認フォームを使用します。このフォームを編集し、関連作業項目を含めるための includeRelatedItems 要素を追加します。

<Properties>

   <Property name='includeRelatedItems' value='true'/>
</Properties>

例: relatedItemAttributes フォームプロパティーの使用

relatedItemAttributes オプションを使用して、追加属性を要求することもできます。このオプションには、名前の CSV 文字列、または名前のリストを指定できます。要求できる標準属性は次のとおりです。

request
requester
description
activityName

このリストに含まれない属性名を要求した場合は、Identity Manager はそれを任意のワークフロー変数と見なします。作業項目にその編集が存在する場合は、その値が返されます。標準ワークフローに共通する変数は次のとおりです。

accountId
objectType
objectName
diagramLabel

例: includeRelatedItems フォームプロパティーの使用

request 属性と description 属性を含めるには、承認フォームに次のプロパティーを追加します。

<Properties>

   <Property name='includeRelatedItems' value='true'/>

   <Property name='relatedItemAttributes' value='request,description'/>

</Properties>

例: relatedItemFilter フォームプロパティーの使用

指定できるフィルタ属性は次のとおりです。

表 5-69 relatedItemFilter オプションの値 

relatedItemFilter オプションの値	フィルタリングの結果
itemType	itemType が一致する作業項目のみが返されます
activityName	同じアクティビティーから作成された作業項目のみが返されます
request	同じユーザー定義要求文字列を持つ作業項目のみが返されます
locked	現在編集がロックされている作業項目のみが返されます

リストに複数のフィルタ属性が含まれる場合は、それらは論理 AND で連結されます。たとえば、同じ要求文字列を持ち、現在ロックされている作業項目のみを取得するときは、承認フォームに次のプロパティーを追加します。

<Properties>

   <Property name='includeRelatedItems' value='true'/>

   <Property name='relatedItemAttributes'value='request,description'/>

   <Property name='relatedItemFilter' value='request,locked'/>

</Properties>

関連作業項目に関する情報のテーブルを示すフィールド例が承認ライブラリフォームライブラリに追加され、フィールド名が「Related Approvers」であるとします。標準の認証フォームからこのフィールドを参照するには、次のように指定します。

<FieldRef name='Related Approvers'/>

作業項目のリポジトリロックタイムアウトの変更

リポジトリ内の作業項目のロックに適用されるデフォルトの間隔は 5 分間です。RepositoryConfiguration 設定オブジェクトの RelocatedTypes 要素に次の要素を追加することで、この値を変更できます。

<TypeDataStore typeName='WorkItem' lockTimeoutMillis='10000'/>

最上位属性

次の表は、作業項目ビューの最上位属性を示しています。

表 5-70 作業項目ビューの属性 

属性	編集の可能性	データ型	必要性
id	読み取り	String
name	読み取り	String
taskId	読み取り	String
taskName	読み取り	String
processName	読み取り	String
activityName	読み取り	String
description	読み取り/書き込み	String
owner	読み取り/書き込み	String
complete	読み取り/書き込み	ブール型
variables
workItem

id

WorkItem オブジェクトのリポジトリ ID を指定します。この ID は、通常、Identity Manager によって生成され、表示されません。

name

WorkItem オブジェクトのリポジトリ名を指定します。

taskId

ワークフローの TaskInstance のリポジトリ ID を指定します。この属性は、システムが作業項目とワークフロータスクを関連付けるときに使用され、変更できません。

taskName

ワークフローの TaskInstance のリポジトリ名を指定します。この名前は、通常は説明的な値に設定され、表示可能です。この値を変更しないでください。ユーザー更新の一般的なタスク名は、たとえば Updating User jdoe となります。

processName

手動アクションを含むワークフロープロセス定義の名前を指定します。

activityName

手動アクションを含むワークフローアクティビティーの名前を指定します。

description

作業項目を説明するテキストを指定します。この内容は、ワークフロープロセス定義によって設定されます。この説明は、通常は作業項目の概要を示すテーブルに表示され、作業項目フォームにも表示されます。

owner

ワークフロープロセスを作成した、現在の Identity Manager 管理者またはユーザーの名前を指定します。この属性の値は、通常は Identity Manager ユーザーの名前です。この作業項目が匿名ユーザーに割り当てられている場合は、名前に Temp: というプレフィックスが付けられます。

complete

手動アクションが完了したときにワークフローを再開する場合は、true に設定します。complete 属性の割り当ては、作業項目フォームで実行してください。

このブール値は編集可能です。

variables

ワークフロータスクからコピーされた変数を含む属性を持つ、別のオブジェクトを指定します。デフォルトでは、手動アクションの作動時に範囲に含まれるすべてのワークフロー変数が、作業項目にコピーされます。これは、プロセス定義の Exposed Variables オプションと Editable Variables オプションで制御できます。ほとんどの作業項目は、検出された情報を variables 属性の下に表示します。この属性の使用の詳細については、この章で後述する「variables 属性の使用」の節を参照してください。

workItem

作業項目に関する追加情報を指定します。含まれる属性は次のとおりです。

views

views という値を持つワークフロー変数のリストが含まれます。システムはこの属性を使用して、作業項目ビューの表示更新時に、ビューに固有の表示更新処理を行います。

この値を変更しないでください。

related

指定された作業項目を表現する属性のリストを含みます。

表 5-71 workItem.related 属性の下位属性 (作業項目ビュー)

属性	説明
name	作業項目のリポジトリ ID を指定します。
owner	項目の所有者を指定します。
locked	作業項目が編集中であるかどうかを指定します。true という値は、作業項目が現在編集中であることを示します。
complete	作業項目が完了しているかどうかを指定します。true という値は、作業項目が完了していることを示します。
itemType	プロセスによって定義される項目タイプを指定します。デフォルトは approval です。

request

作業項目の目的を簡単に説明します。この説明は、通常、description 属性の値より短く、多くの場合は概要テーブルに表示されます。

requester

承認を開始したユーザーを指定します。

ignoreTimeOut

タイムアウトを無視するかどうかを指定します。システムによって割り当てられる true という値は、これが読み取り専用の作業項目であり、表示中にタイムアウトになる可能性があることを示します。これは、作業項目がすでに存在しない場合に、エラーメッセージを表示する代わりに、無視する作業項目ビューのチェックイン失敗をシステムに伝えます。これは、ユーザーにはメッセージを表示しながらワークフローを継続できるように、ただちにタイムアウトになる状態メッセージのみを目的とした作業項目で便利です。

この値を変更しないでください。

variables 属性の使用

作業項目フォームの記述時にもっともよく参照される属性は、complete と variables です。ワークフローを再開するには、complete 属性の値が true に設定されていなければなりません。多くの場合、これは「承認」や「却下」などのラベルが付けられた押しボタンフィールドへの応答として、非表示フィールドによって設定されます。

variables 属性には、ワークフロータスクからコピーされた変数を値として持つオブジェクトが含まれます。作業項目で頻繁に使用されるワークフロー変数の 1 つに user があります。この変数には、ユーザービューが含まれます。たとえば、作業項目フォームから global.email 属性を参照するには、次のパス式を使用します。

variables.user.global.email

これは、標準のユーザーフォームで使用される属性パスとは異なります。まず、user というワークフロー変数にビュー全体が格納されます。このため、属性パスに user. というプレフィックスが必要になります。次に、ワークフロー変数が作業項目ビューの variables 属性の下に格納されます。このため、属性パスに variables. という追加プレフィックスが必要になります。

ユーザービュー属性のこの入れ子構造のため、作業項目ビューでは、修正なしで標準のユーザーフォームを使用することはできません。ただし、base context オプションを使用して、ユーザーフォームを参照する作業項目フォームを定義することができます。

例

<Form name='WorkItemForm'>

   <Include>

      <ObjectRef Type='UserForm' name='Default User Form'/>

   </Include>

   <FormRef name='Default User Form' baseContext='variables.user'/> </Form>

注	実際には、作業項目フォームは「承認」や「却下」などのボタンの追加フィールドを必要としますが、作業項目フォームに表示されるデフォルトのユーザーフォームに、一部の項目を表示しないようにすることが必要となる場合もあります。通常は、ユーザーフォームと作業項目フォームの両方で参照できるフォームライブラリに、ユーザーフォームから除外するフィールドを指定できます。

---

作業項目リストビュー

リポジトリ内の作業項目の集合に関する情報の表示と、複数の作業項目に対する処理の同時実行に使用されます。

このビューのハンドラは、次の情報を収集します。

選択されたユーザーに割り当てられているすべての作業項目
表示可能な作業項目が割り当てられているユーザー
作業項目の転送先にできるユーザー

このビューは、Identity Manager の管理者インタフェースの「承認」ページで使用されます。このビューで使用されるデフォルトフォームの名前は、「作業項目リスト」です。

次の表は、作業項目リストビューの最上位属性を示しています。

表 5-72 作業項目リストビューの属性 

属性	編集の可能性	データ型
authType	読み取り/書き込み	String
userId	読み取り	String
user	読み取り/書き込み	String
self	読み取り	ブール型
forwardedUser	読み取り	ブール型
itemType	読み取り/書き込み	String
users	読み取り	List
userIds	読み取り	String
forwardingApproverStyle	読み取り
forwardingUsers	読み取り	List
forwardingUserIds	読み取り	List
workItems	読み取り/書き込み	String
selectedWorkItems	読み取り/書き込み	String
forwardTo	読み取り/書き込み	ブール型
forwardToNow	読み取り/書き込み	String
variables	読み取り/書き込み	String
action	読み取り/書き込み	ブール型
confirm	読み取り/書き込み	ブール型

authType

作業項目へのアクセスをタイプによって指定します。たとえば、EndUserRule という認証タイプが組み込まれています。すべてのエンドユーザーは、EndUserRule という認証タイプがタグ付けされたすべての規則へのアクセスを暗黙的に取得します。

userId

workItem リストに作業項目が含まれる Identity Manager ユーザーの名前を指定します。この属性の初期値は、現在のセッションユーザーの名前です。NULL に設定し、認証権限を持つすべての制御対象ユーザーの作業項目を表示することもできます。この属性の値は常に Identity Manager のユーザー名であり、表示名ではありません。

フォームでこの値を変更しないでください。ユーザーを変更するには、user 属性を設定します。

user

作業項目が一覧表示される Identity Manager ユーザーの表示名を指定します。表示名を使用していない場合、この値は userId と同じになります。フォームでこの値を変更すると、システムは表示更新時に作業項目リストを再計算します。NULL 値は、すべての作業項目の表示を示します。

self

userId が現在のセッションユーザーと同じ場合は、true に設定します。

forwardedUser

この属性を設定すると、userId によって特定されるユーザーが、別ユーザーへの作業項目の転送を希望したことを示します。その他のユーザーは、表示名で識別されます。

users

現在のユーザーによって制御され、作業項目機能を持つ Identity Manager ユーザーの表示名のリスト。この値は、通常はユーザー選択ボックスの作成に使用されます。カスタムフォームに別の方法でユーザーリストを計算させる場合は、ビューオプションまたはフォームプロパティーとして CustomUserLists ビューオプションを指定します。

userIds

通常は NULL です。代替表示名を使用するように設定されている場合は、ユーザーリストには表示名が含まれ、このリストには本当のリポジトリ名が含まれます。

forwardingUsers

現在のユーザーが作業項目を転送できる Identity Manager ユーザーの表示名のリスト。この値は、ForwardingApproverStyle 属性の値によって異なります。この属性のデフォルト値は peers です。

itemType

これを設定した場合は、その値と一致する項目タイプを持つ作業項目のみを残すように、リストに含まれる作業項目がフィルタリングされます。これにより、作業項目リストビューは、作業項目のタイプに基づいて項目リストをフィルタリングする機能を持ちます。

forwardingUserIds

通常は NULL です。代替表示名を使用するように設定されている場合は、forwardingUsers リストには表示名が含まれ、このリストには本当のリポジトリ名が含まれます。

workItems

選択されたユーザーの作業項目に関する情報を持つオブジェクトのリスト。オブジェクト名は、作業項目のリポジトリ ID です。

workItems[].owner

所有者の表示名を指定します。user が NULL で、すべての作業項目が表示される場合にのみ設定します。

workItems[].request

要求しているオブジェクトの簡単な説明を指定します。この値は、ワークフロープロセスで実行される手動アクションの WorkItemRequest 式によって計算されます。

workItems[].requester

要求を行ったユーザーの表示名を識別します。

workItems[].description

作業項目のより詳細な説明を指定します。値は、ワークフロープロセスで実行される手動アクションの WorkItemDescription 式によって計算されます。この説明は、通常は作業項目の概要を示すテーブルに表示され、作業項目フォームにも表示されます。

workItems[].selected

個々の項目の選択フラグ。selectedWorkItems に代わる属性です。

selectedWorkItems

次のアクションで処理される項目を表す、作業項目 ID のリスト。作業項目オブジェクト内に設定される selected 属性に代わる属性です。SortingTable コンポーネントでは、こちらのほうが便利です。この属性と個別の選択フラグの両方が設定されている場合は、この属性の値が優先されます。

forwardTo

action 属性が Forward に設定されている場合の、選択されているすべての作業項目の転送先となる Identity Manager ユーザーの名前を指定します。

forwardToNow

forwardTo に似ていますが、これは action 属性でもあります。この属性は、forwardTo 属性と action 属性が個別に設定されているかのように、forwardTo の値をコピーし、action=Forward に設定した上で表示更新を行います。フォームコンポーネントでユーザを選択した直後に、フォームに転送処理を実行させるようにするときは、この属性を使用します。転送をボタンで制御する場合は、フォームコンポーネントに forwardTo 属性を設定し、Forward の action 値を送信するボタンを用意します。

action

(ブール型) NULL 以外の場合は、選択された作業項目に対する処理を開始します。

次に有効な値を示します。

approve
reject
forward
refresh

NoConfirm オプションが設定されている場合は、アクションはただちに開始されます。それ以外の場合は、Identity Manager は confirm 属性が true に設定されるまで待機します。通常であれば、独自の確認ページの表示がフォームによって定義されます。

confirm

(ブール型) action 属性に指定されている処理が実行可能であることを示します。

variables 属性の使用

個々の作業項目を編集するときは、承認または却下に関する追加情報を監査のためにワークフロープロセスに渡せるように、フォームは comments などの作業項目変数を設定できます。

作業項目リストビューでアクションを実行するときは、任意の作業項目変数も設定できます。variables 属性の値は、承認または却下されたときに属性が作業項目にコピーされるオブジェクトに設定できます。たとえば、variables オブジェクトが comments という属性を持つ場合、選択されるすべての作業項目とともに同じコメントが保存されます。

<Form name='variables.comments'>   <Default>     <concat>       <s>Approval performed on </s>       <invoke class='com.waveset.util.Util' name='dateToString'>         <new class='java.util.Date'/>       </invoke>     </concat>   </Default> </Form>

注	実際には、作業項目フォームは「承認」や「却下」などのボタンの追加フィールドを必要としますが、作業項目フォームに表示されるデフォルトのユーザーフォームに、一部の項目を表示しないようにすることが必要となる場合もあります。通常は、ユーザーフォームと作業項目フォームの両方で参照できるフォームライブラリに、ユーザーフォームから除外するフィールドを指定できます。

ビューオプション

ビューの作成時または表示更新時に次のオプションを指定して、作業項目リストビューアの動作を制御できます。

userId

作業項目が表示される初期ユーザーの名前を指定します。この名前は、デフォルトでは現在のセッションユーザーとなりますが、このオプションによってデフォルト設定をオーバーライドできます。

CustomUserLists

true に設定すると、users リストと forwardingUsers リストの両方がフォームによってカスタム生成され、ビューハンドラによる生成が抑制されます。システムに多くの承認者が存在する場合は、これらのリストの生成には時間がかかります。フォームがデフォルトの users リストと forwardingUsers リストを必要としない場合は、このオプションを有効にします。

ForwardingApproverStyle

forward To リストに名前を含める管理者のタイプを指定します。この属性のデフォルト値は peers です。設定できる値は次のとおりです。

表 5-73 ForwardingApproverStyle ビューオプションの値

オプションの値	説明
peers	現在のユーザーと同じ組織レベル以上の管理者を指定します
controlled	現在のユーザーが制御している組織の管理者を指定します
all	controlled と peers の両方の管理者を指定します

このオプションとその他のビューオプションは、フォームプロパティーとして設定できます。

<Form...>

   <Properties>

      <Property name='ForwardingApproverStyle" value='peers'/>

   </Properties>

     ...

</Form>

NoUserListCache

true に設定した場合は、ビューハンドラは users リストと forwardingUsers リストをキャッシュせずに、フォームの表示を更新するたびにそれらを再計算します。ユーザーリストの計算は負荷が大きいため、通常はリストをキャッシュし、action 属性を Refresh に設定して明示的に指定した場合にのみ表示を更新します。

UserDisplayName

このオプションは、ユーザーリストで、値がリポジトリ名の代わりに使用される拡張ユーザー属性の名前に設定できます。UserUIConfig オブジェクトにも設定できますが、フォームに設定するほうが便利な場合もあります。

NoUserDisplayName

true に設定すると、UserUIConfig オブジェクトに表示名が設定されている場合でも、表示名を使用しません。このオプションをフォームに設定し、UserUIConfig の設定を選択的にオーバーライドすることができます。

NoConfirm

true に設定すると、action 属性によって指定されるアクションが、確認なしでただちに実行されます。

フォームでのビューオプションの設定

一部のフォームでは、ビューオプションを簡単に設定できます。フォームにビューオプションを設定する手順は次のとおりです。次に示す手順では、例として作業項目リストビューを使用します。

フォームを Identity Manager IDE または任意の XML エディタにコピーします。
フォーム名を変更します。
それを form.workItemList 属性の下の System Configuration オブジェクトに登録します。

カスタムフォームでは、次の例に示されるように、フォームのプロパティーとしてビューオプションを指定できます。

例

<Form>

    <Properties>

      <Property name='CustomUserLists' value='true'/>

    </Properties>

     ...

</Form>

---

deferred 属性

deferred 属性は、別のアカウントの属性値から値を取得する属性です。ビュー (および WSUser モデル) で deferred 属性を宣言すると、プロビジョニングエンジンは、アダプタを呼び出す前に、この置き換えをただちに実行します。

deferred 属性が、別のリソースの GUID 属性から値を取得する場合は、ソースアダプタはアクションを実行する必要がありません。しかし、ソース属性が GUID でない場合は、realCreate 操作の二次的な影響として、アダプタは ResourceInfo._resultsAttributes マップ内の属性を返さなければなりません。アダプタが属性を返さない場合は、プロビジョニングエンジンはアカウントをフェッチして、値を取得します。これは、値を返すようにアダプタを修正するよりも非効率です。

deferred 属性を使用する状況

deferred 属性は、新しいアカウントを作成し、アカウント属性の値を、ソースアカウントが作成されるまで認識されない別のアカウントの属性の値から取得するように指定するときに使用します。一例を挙げれば、生成される一意の識別子の値を属性に設定する場合がこれに該当します。

deferred 属性の使用

deferred 属性は、主に次の 2 つの手順で定義されます。

アカウントは、必ず 2 番目のアカウントの作成前に、ソースリソースに作成します。これは、リソースと、ユーザーへのリソースグループの割り当ての両方を含む、順序が付けられたリソースグループを作成することで行われます。
次の例のように、作成するアカウントのユーザービューに特別な属性を設定します。それぞれの deferred 属性は、ソースアカウントを指定するビュー属性と、ソース属性を指定するビュー属性の 2 つを必要とします。これは、次の形式のパスを使用して設定されます。

accounts[<resource>].deferredAttributes.<attname>.resource

accounts[<resource>].deferredAttributes.<attname>.attribute

この <resource> は実際のリソース名に置き換えられ、<attname> は実際の属性名に置き換えられます。

たとえば、1) アカウントの作成時に uid 属性を生成する LDAP というリソースと、2) LDAP リソースの uid と同じ値を保持する directoryid という directoryid 属性を持つ HR というリソースの、2 つのリソースを作成する場合を考えてみましょう。

次のフォームフィールドは、必要なビュー属性を設定し、この関係を定義します。

<Field name='accounts[HR].deferredAttributes.directoryid.resource'>

   <Expansion><s>LDAP</s></Expansion>

</Field>

<Field name='accounts[HR].deferredAttributes.directoryid

   <Expansion><s>uid</s></Expansion>

</Field>

---

ビューの拡張

パスワードや有効化フラグなどの特定のリソースアカウント属性を設定するビューを使用して、追加のアカウント属性を設定できます。ただし、セキュリティーを確保するために、これらの拡張属性は登録を必要とします。

属性の登録

属性は、次のいずれかの場所に登録できます。

表 5-74 属性の登録場所

場所	属性をその場所に登録する状況
リソース内の AccountAttributeType 定義	... 更新する属性が、そのタイプのすべてのリソースではなく、特定のリソースのみに適用されます。
システム設定オブジェクト	特定タイプのすべてのリソースに適用されるグローバル登録を行います。このような登録は、XML フォーマットで行います。

異なる属性を異なるビューに登録できます。たとえば、パスワードビューに lock 属性を登録し、名前変更ビューに firstname 属性を登録することができます。

グローバル登録

すべてのリソースに適用されるグローバル登録を行うときは、次のパスを使用して、属性を System Configuration オブジェクトに追加します。

updatableAttributes.ViewName.ResourceTypeName

この ViewName は Password、Reset、Enable、Disable、Rename、Delete のいずれかで、ResourceTypeName はリソースのタイプ名です。all というタイプ名は、すべてのリソースに適用される登録のために予約されています。

この属性の値は、List (String のリスト) です。各文字列は、更新する属性の名前です。

次の例は、すべてのリソースを対象とした delete before action という属性をプロビジョニング解除ビューに登録します。

<Attribute name='updatableAttributes'>    <Object>       <Attribute name='Delete'>          <Object>             <Attribute name='all'>                <List>                   <String>delete before action</String>                </List>             </Attribute>          </Object>       </Attribute>       <Attribute name='Enable'>          <Object>             <Attribute name='all'>                <List>                   <String>enable before action</String>                </List>             </Attribute>          </Object>       </Attribute>    </Object> </Attribute>

リソースに固有の登録

リソースに固有の登録を行うには、Identity Manager の「デバッグ」ページでリソースオブジェクトを修正し、AccountAttributeType 要素に <Views> 下位要素を挿入します。<Views> には、この属性が更新されるビューの名前を示す文字列のリストを指定します。

<AccountAttributeType name='lastname' mapName='sn'mapType='string'>

   <Views>

      <String>Rename</String>

   </Views>

</AccountAttributeType>

ビューでは、変更する属性が、次のオブジェクトの内部に配置されます。

resourceAccounts.currentResourceAccounts[ResourceTypeName].attributes

<Field name= 'resourceAccounts.currentResourceAccounts[OS400ResourceName].attribut es.delete before action' hidden='true'>    <Expansion>       <s>os400BeforeDeleteAction</s>    </Expansion> </Field>

前へ      目次      索引      次へ

---

Part No: 820-1582.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.