Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun™ Identity Manager 8.0 管理ガイド 

第 17 章
サービスプロバイダの管理

この章では、Sun Identity Manager のサービスプロバイダ機能を管理するために知っておく必要がある情報を提供します。この情報を利用するには、Lightweight Directory Access Protocol (LDAP) ディレクトリおよび連携管理についての知識が役に立ちます。サービスプロバイダ実装に関するより広範な解説については、『Identity Manager Service Provider Deployment』を参照してください。

この章は次のトピックで構成されています。

サービスプロバイダ機能の概要

サービスプロバイダ環境では、イントラネットユーザーだけでなくエクストラネットユーザーも含むすべてのエンドユーザーのユーザープロビジョニングを管理できる必要があります。Identity Manager サービスプロバイダ機能を利用すると、企業の管理者は、ID アカウントを Identity Manager ユーザーとサービスプロバイダユーザーの 2 種類に分類することができます。Identity Manager のサービスプロバイダユーザーは、タイプに「サービスプロバイダユーザー」が設定されているユーザーアカウントです。

Identity Manager のユーザープロビジョニング機能と監査機能は、次の機能を提供することにより、サービスプロバイダ実装にも拡張されます。

拡張エンドユーザーページ

サービスプロバイダ実装用にカスタマイズ可能な拡張エンドユーザーページが用意されています。

パスワードとアカウント ID のポリシー

ほかの Identity Manager ユーザーと同じように、サービスプロバイダユーザーとリソースアカウントについても、アカウント ID ポリシーとパスワードポリシーを定義できます。

ポリシーテーブルに追加されている「サービスプロバイダシステムのアカウントポリシー」により、サービスプロバイダユーザーに対するポリシーチェックコードが作動します。

Identity Manager とサービスプロバイダの同期

Identity Manager アカウントとサービスプロバイダアカウントの同期は、すべての Identity Manager サーバーで実行するか、または選択したサーバーだけで実行するように設定できます。

サービスプロバイダ同期は、Identity Manager 同期と同様に、「リソース」ページの「リソースアクション」オプションで簡単に停止および開始できます。「同期の開始と停止」を参照してください。

Identity Manager ユーザー同期とサービスプロバイダユーザー同期では、入力フォームが異なります。「エンドユーザーインタフェース」を参照してください。

Access Manager との統合

サービスプロバイダのエンドユーザーページでの認証に Sun Access Manager 7 2005Q4 を使用できます。Access Manager との統合を設定すると、Access Manager は、認証されたユーザーだけがエンドユーザーページにアクセスできるようにします。

サービスプロバイダは、監査のためのユーザー名を必要とします。AMAgent.properties ファイルを更新して、ユーザーの ID を HTTP ヘッダーに追加します。その例を次に示します。

com.sun.identity.agents.config.response.attribute.mapping[uid] = HEADER_speuid

エンドユーザーページ認証フィルタによって、残りのコード部分で想定されている HTTP ヘッダー値が HTTP セッションに割り当てられます。

初期設定

サービスプロバイダ機能を設定するには、次の手順に従って、ディレクトリサーバーの Identity Manager 設定オブジェクトを編集します。

メイン設定の編集

サービスプロバイダ実装の設定オブジェクトを編集するには、次の手順に従います。

  1. 管理者インタフェースで、メニューから「サービスプロバイダ」をクリックします。
  2. 「メイン設定の編集」をクリックします。

    3. 「サービスプロバイダ設定」ページが開きます。

  3. 必要に応じて、「サービスプロバイダ設定」フォームに記入します。

ディレクトリ設定

「ディレクトリ設定」領域では、LDAP ディレクトリの設定情報を入力し、サービスプロバイダユーザーの Identity Manager 属性を指定します。

図 17-1 に、「サービスプロバイダ設定」ページのこの領域と、次の節で説明する「ユーザーフォームとポリシー」領域を示します。

図 17-1 サービスプロバイダ設定 (ディレクトリ、ユーザーフォーム、およびポリシー)

サービスプロバイダディレクトリおよびユーザーフォームとポリシーの設定。

「ディレクトリ設定」フォームの設定を終えるには、次の手順に従います。

  1. 「Service Provider End-User Directory」をリストから選択します。

    2. すべてのサービスプロバイダユーザーデータが格納されている LDAP ディレクトリリソースを選択します。

  2. 「アカウントID 属性名」を入力します。

    3. これは、一意の短い識別子を含む LDAP アカウント属性の名前です。これは API を通じた認証およびアカウントアクセスのためのユーザー名と見なされます。属性名をスキーママップで定義する必要があります。

  3. 「IDM 組織の属性名」を指定します。

    4. このオプションには、Identity Manager 内で LDAP アカウントが所属する組織の名前または ID を含む LDAP アカウント属性の名前を指定します。LDAP アカウントの委任管理に使用します。属性名は LDAP リソーススキーママップ内に存在する必要があり、Identity Manager システムの属性名 (スキーママップの左側の名前) になります。

    組織認証による委任管理を有効にする場合は、「Identity Manager 組織の属性名」を指定し、さらに、必要に応じて「IDM 組織の属性名が ID を含む」を指定してください。

  4. 「IDM 組織の属性名が ID を含む」を選択する場合は、このオプションを有効にします。

    5. LDAP アカウントが所属する Identity Manager 組織を参照する LDAP リソース属性に、Identity Manager 組織の名前ではなく ID が含まれている場合、このオプションを選択します。

  5. 「ユーザー XML の圧縮」を選択する場合は、このオプションを有効にします。

    6. このオプションは、ユーザー XML を圧縮してディレクトリに保存する場合に選択します。

  6. 「ディレクトリ設定のテスト」をクリックして、設定の入力を検証します。

    		7.

    必要に応じて、「ディレクトリ設定」「トランザクション設定」、および「監査設定」をテストできます。3 つの設定をすべてテストするには、3 つのテスト設定ボタンをすべてクリックします。

ユーザーフォームとポリシー

「ユーザーフォームとポリシー」領域では、前の図 17-1 に示されているように、サービスプロバイダユーザー管理に使用するフォームとポリシーを指定します。

サービスプロバイダユーザー管理に使用するフォームとポリシーを指定するには、次の手順に従います。

  1. 「エンドユーザーフォーム」をリストから選択します。

    2. このフォームは、Delegated Administrator ページ以外のすべての場所で、同期中に使用されます。「なし」を選択した場合、デフォルトのユーザーフォームは使用されません。

  2. 「管理者ユーザーフォーム」をリストから選択します。

    3. これは、管理者コンテキストで使用されるデフォルトのユーザーフォームです。これには、サービスプロバイダアカウント編集ページが含まれます。「なし」を選択した場合、デフォルトのユーザーフォームは使用されません。

    「管理者ユーザーフォーム」を選択しなかった場合、管理者は Identity Manager でサービスプロバイダユーザーを作成または編集できません。

  3. 「同期ユーザーフォーム」をリストから選択します。

    4. サービスプロバイダの同期を実行するリソースにフォームが指定されていない場合、「同期ユーザーフォーム」で指定したフォームがデフォルトのフォームとして使用されます。リソースの同期ポリシーに入力フォームが指定されている場合は、そのフォームが代わりに使用されます。リソースは通常さまざまな同期入力フォームを必要とします。この場合、リストからフォームを選択する代わりに、リソースごとに同期ユーザーフォームを設定するようにしてください。

  4. 「アカウントポリシー」をリストから選択します。

    5. 選択肢には、「設定」>「ポリシー」で定義されたアイデンティティーシステムのアカウントポリシーが含まれます。

  5. 「アカウントのロックを判断する規則」をリストから選択します。

    6. アカウントがロックされているかどうかを判断するために、サービスプロバイダユーザービューで実行する規則を選択します。

  6. 「アカウントをロックする規則」を選択します。

    7. 属性を設定するサービスプロバイダユーザービューでアカウントのロックを実行する規則を選択します。

  7. 「アカウントをロック解除する規則」を選択します。

    8. 属性を設定するサービスプロバイダユーザービューでアカウントのロック解除を実行する規則を選択します。

トランザクションデータベース

「サービスプロバイダ設定」ページのこの領域では、図 17-2 に示すように、トランザクションデータベースの設定を行います。これらのオプションは、JDBC トランザクション持続ストアを使用する場合にのみ必要です。いずれかの値を変更した場合、変更を適用するにはサーバーを再起動する必要があります。

トランザクションのデータベーステーブルは、create_spe_tables DDL スクリプト (使用している Identity Manager の sample ディレクトリにある) に示されているスキーマに従って設定する必要があります。対象の環境に合わせて適切なスクリプトをカスタマイズすることが必要な場合があります。

図 17-2 サービスプロバイダ設定 (トランザクションデータベース)

サービスプロバイダ設定の「トランザクションデータベース」フォームのスクリーンショット。

トランザクションデータベースを設定するには、次の手順に従います。

  1. 次のデータベース情報を入力します。
    • 「ドライバクラス」 - JDBC ドライバクラス名を指定します。
    • 「ドライバプレフィックス」 - このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。
    • 「接続 URL テンプレート」 - このフィールドは省略可能です。指定した場合、新しいドライバを登録する前に JDBC DriverManager に問い合わせが行われます。
    • 「ホスト」 − データベースが実行されているホストの名前を入力します。
    • 「ポート」 − データベースサーバーがリスニング中のポート番号を入力します。
    • 「データベース名」 - 使用するデータベースの名前を入力します。
    • 「ユーザー名」 - 選択したデータベースのトランザクションテーブルおよび監査テーブルの行を読み取り、更新、および削除する権限を持ったデータベースユーザーの ID を入力します。
    • 「パスワード」 - データベースユーザーパスワードを入力します。
    • 「トランザクションテーブル」 - 選択したデータベースで、保留中のトランザクションの保存に使用するテーブルの名前を入力します。
  2. 必要に応じて、「トランザクション設定のテスト」をクリックしてエントリを検証します。

「サービスプロバイダ設定」ページの次の領域に進み、追跡するイベントを設定します。

追跡イベント設定

イベント収集を有効にすると、リアルタイムで統計を追跡して、期待されるレベルまたは合意を得たレベルのサービスの維持に役立てることができます。図 17-3 に示すように、イベント収集はデフォルトで有効になっています。「イベント収集の有効化」チェックボックスの選択を解除すると、収集は無効になります。

図 17-3 サービスプロバイダ設定 (追跡イベント、アカウントインデックス、およびコールアウトの設定)

サービスプロバイダの設定で、追跡イベント、アカウントインデックス、およびコールアウトの設定情報を設定します。

タイムゾーンを設定し、サービスプロバイダの追跡イベントの収集間隔を指定するには、次の手順に従います。

  1. 「タイムゾーン」をリストから選択します。

    2. 追跡イベントの記録時に使用するタイムゾーンを選択します。サーバーで設定されているタイムゾーンを使用する場合は、「サーバーのデフォルトに設定」を選択します。

  2. 「収集するタイムスケール」のオプションを選択します。

    3. 10 秒ごと、1 分ごと、1 時間ごと、1 日ごと、1 週間ごと、および 1 か月ごとの間隔で収集が行われます。収集を行いたくない間隔があれば、その間隔を無効にします。

同期アカウントインデックス

サービスプロバイダ実装でリソースの同期を行う場合、リソースが送信するイベントがサービスプロバイダディレクトリ内のユーザーに正しく関連付けられるように、「アカウントインデックス」を定義する必要がある場合があります。

デフォルトでは、ディレクトリ内の accountId 属性と一致する accountId 属性の値をリソースイベントに含める必要があります。一部のリソースでは、常に accountId が送信されるわけではありません。たとえば、Active Directory からの削除イベントには、Active Directory が生成したアカウント GUID のみが含まれます。

accountId 属性が含まれないリソースには、次のいずれかの属性の値が含まれている必要があります。

guid または identity を使用して関連付ける必要がある場合は、これらの属性のアカウントインデックスを定義する必要があります。インデックスは、リソース固有のアイデンティティーの保存に使用される可能性のある 1 つ以上のディレクトリユーザー属性を抜粋したものです。identity がディレクトリに保存されると、検索フィルタでそれらを使用して、同期イベントと関連付けることができます。

アカウントインデックスを定義するには、まず、同期に使用するリソースと、そのうちどれにインデックスが必要かを判断します。次に、サービスプロバイダディレクトリのリソース定義を編集し、各 Active Sync リソースの GUID または identity 属性のスキーママップに属性を追加します。たとえば、Active Directory から同期する場合は、manager などの未使用のディレクトリ属性にマップされた AD-GUID という名前の属性を定義します。

サービスプロバイダリソースのすべてのインデックス属性を定義したら、次の手順に従います。

  1. 設定ページの「同期アカウントインデックス」領域で、「新しいインデックス」ボタンをクリックします。

    2. フォームが展開され、リソース選択フィールドと 2 つの属性選択フィールドが表示されます。属性選択フィールドは、リソースが選択されるまでは空のままです。

  2. 「リソース」をリストから選択します。

    3. これで、選択したリソースのスキーママップに定義された値が属性フィールドに表示されます。

  3. 「GUID 属性」または「完全アイデンティティー属性」のどちらかで、適切なインデックス属性を選択します。

    4. 通常は両方を設定する必要はありません。両方を設定すると、最初に GUID、次に完全 ID を使用して関連付けが行われます。

  4. ほかのリソースのインデックス属性を定義する場合は、「新しいインデックス」を再度クリックします。
  5. インデックスを削除する場合は、「リソース」選択フィールドの右にある「削除」ボタンをクリックします。

インデックスを削除すると、設定からインデックスが削除されるだけあり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

インデックスを削除すると、設定からインデックスが削除されるだけあり、現在インデックス属性に保存されている値を持つ既存のディレクトリユーザーは一切変更されません。

コールアウト設定

コールアウトを有効にする場合は、「コールアウト設定」領域でこのオプションを選択します。コールアウトを有効にすると、コールアウトマッピングが表示され、一覧表示されたトランザクションタイプごとに操作前および操作後のオプションを選択できるようになります。

デフォルトでは、操作前と操作後のオプションは「なし」に設定されます。

操作後のコールアウトを指定する場合、操作後のコールアウト処理が完了するまでトランザクションが待機するように指定するには、「操作後コールアウトを待機」オプションを指定します。この設定により、操作後のコールアウトが正常に完了したあとにのみ従属トランザクションが実行されます。

「サービスプロバイダ設定」ページですべての領域の選択が完了したら、「保存」をクリックして設定を完了します。

ユーザー検索設定の編集

このページでは、図 17-4 に示すように、委任された管理者が「サービスプロバイダユーザーの管理」ページで実行する検索に関するデフォルトの検索設定を指定します。このデフォルト設定は、「サービスプロバイダユーザーの管理」ページのすべてのユーザーに適用されますが、セッションごとに別の設定を適用することもできます。

図 17-4 検索設定

サービスプロバイダ設定でのデフォルトの検索オプションの設定

サービスプロバイダユーザーを検索するためのデフォルトの検索設定を指定するには、次の手順に従います。

  1. メニューバーの「サービスプロバイダ」をクリックします。
  2. 「ユーザー検索設定の編集」をクリックします。
  3. 「返される結果の最大数」に数値を入力します (デフォルトは 100)。
  4. 「ページあたりの結果数」に数値を入力します (デフォルトは 10)。
  5. 「表示する結果属性」の横にある「利用可能な属性」を、矢印キーを使用して選択します。
  6. 「検索する属性」をリストから選択します。
  7. 「検索操作」をリストから選択します。
  8. 「保存」をクリックします。

    		9.

    検索設定に加えた変更は、ログオフして再度ログオンするまで有効になりません。

    サービスプロバイダディレクトリが設定されていない場合、これらの設定オブジェクトは使用できません。

トランザクション管理

トランザクションは、新しいユーザーの作成や新しいリソースの割り当てなど、単一のプロビジョニング操作をカプセル化します。リソースを使用できないときにこれらのトランザクションを終了させるため、トランザクションがトランザクション持続ストアに書き込まれます。

この節の以下のトピックでは、サービスプロバイダトランザクションの管理手順について説明します。

デフォルトのトランザクション実行オプションの設定

これらのオプションは、同期/非同期処理などのトランザクションの実行方式や、トランザクション持続ストアでの持続期間を制御します。オプションは IDMXUser ビューで、または IDMXUser の処理に使用されるフォームを通じて上書きできます。詳細については、『Identity Manager Service Provider Deployment』を参照してください。

サービスプロバイダトランザクションを設定するには、次の手順に従います。

  1. 「サービスプロバイダ」>「トランザクション設定の編集」をクリックします。

    2. 「サービスプロバイダのトランザクション設定」ページが開きます。

    図 17-5 に、「デフォルトのトランザクション実行オプション」領域を示します。

    図 17-5 トランザクションの設定
    サービスプロバイダ設定でのデフォルトのトランザクション実行オプションの設定

  2. 「保証される整合性レベル」で次のオプションのいずれかを選択して、ユーザー更新のトランザクション整合性レベルを指定します。
    • 「なし」 - ユーザーのリソース更新の整合性は保証されません。
    • 「ローカル」 - 同じサーバーで処理されているユーザーのリソース更新の整合性が保証されます。
    • 「完全」 - すべてのサーバーにわたって、ユーザーのすべてのリソース更新の整合性が保証されます。このオプションは、すべてのトランザクションがトランザクションの試行まで、または非同期処理まで持続していることを必要とします。
  3. 次のデフォルトのトランザクション実行オプションのうち、有効にするものを選択します。
    • 「最初の試行を待機」 - IDMXUser ビューオブジェクトのチェックイン時に、コントロールを呼び出し側に返す方式を指示します。このオプションを有効にした場合、プロビジョニングトランザクションで 1 回の試行が終了するまでチェックイン操作はブロックされます。非同期処理を無効にした場合、トランザクションは成功するか、コントロールが返される場合は失敗します。非同期処理を有効にした場合、トランザクションはバックグラウンドで継続的に再試行されます。オプションを無効にした場合、チェックイン操作から呼び出し側にコントロールが返されたあとで、プロビジョニングトランザクションが試行されます。このオプションを有効にすることを検討してください。
    • 「非同期処理の有効化」 - このオプションは、チェックイン呼び出しにより結果が返されたあともプロビジョニングトランザクションの処理を続けるかどうかを制御します。

      非同期処理を有効にすると、システムはトランザクションを再試行できるようになります。さらに、「トランザクション処理の詳細設定」で設定したワークスレッドを非同期で実行できるようになることで、スループットも向上します。このオプションを選択する場合、プロビジョニングされるか、または同期入力フォームによって更新されるリソースの再試行間隔と試行を設定するようにしてください。

      「非同期処理の有効化」を選択した場合は、「再試行タイムアウト」の値を入力します。これは、失敗したプロビジョニングトランザクションがサーバーで再試行される期間の上限をミリ秒で表した値です。この設定により、サービスプロバイダユーザー LDAP ディレクトリなど、個々のリソースの再試行設定が補足されます。たとえば、リソースの再試行制限に達する前にこの制限に達した場合、トランザクションは終了します。負の値の場合、再試行の回数は個々のリソースの設定のみにより制限されます。

    • 「試行前の持続的トランザクション」 - 有効にした場合、プロビジョニングトランザクションは試行される前に、トランザクション持続ストアに書き込まれます。このオプションを有効にすると、ほとんどのプロビジョニングトランザクションは最初の試行で成功するため、不要なオーバーヘッドが生じる場合があります。「最初の試行を待機」オプションを無効にしている場合を除き、このオプションは無効にすることを検討してください。「完全」整合性レベルが選択されている場合は、このオプションを使用できません。
    • 「非同期処理の前の持続的トランザクション」(デフォルト) - 有効にした場合、プロビジョニングトランザクションは非同期に処理される前に、トランザクション持続ストアに書き込まれます。「最初の試行を待機」オプションを有効にしている場合、再試行が必要なトランザクションは、呼び出し側にコントロールが返されるまで持続します。「最初の試行を待機」オプションを無効にした場合、トランザクションは常に、試行されるまで持続します。このオプションは有効にすることを推奨します。「完全」整合性レベルが選択されている場合は、このオプションを使用できません。
    • 「各更新時の持続的トランザクション」 - 有効にした場合、再試行のあともプロビジョニングトランザクションが持続します。これにより、「トランザクションの検索」ページから検索できるトランザクション持続ストアは常に最新になるため、問題の分離に役に立つ場合があります。

トランザクション持続ストアの設定

「サービスプロバイダのトランザクション設定」ページのこれらのオプションは、トランザクション持続ストアに適用されます。ストア内で表示する問い合わせ可能な追加属性以外に、ストアのタイプも設定できます。

図 17-6 サービスプロバイダのトランザクション持続ストアの設定

トランザクション持続ストア

「サービスプロバイダのトランザクション設定」ページでオプションを設定するには、次の手順に従います。

  1. 目的の「トランザクション持続ストアタイプ」をリストから選択します。

    2. 「データベース」オプションを選択した場合、サービスプロバイダ設定のメインページで設定された RDBMS がプロビジョニングトランザクションの持続に使用されます。これによって、サーバーを再起動した後も、再試行の必要なトランザクションが破棄されません。このオプションを選択する場合、サービスプロバイダ設定のメインページで RDBMS を設定する必要があります。「メモリーベースのシミュレート」オプションを選択した場合、再試行の必要なトランザクションはメモリー内にのみ格納され、サーバーを再起動すると破棄されます。本稼働環境では、「データベース」オプションを有効にします。

    メモリーベースのトランザクション持続ストアは、クラスタ環境での使用には適しません。

    「トランザクション持続ストアタイプ」を変更した場合、変更を適用するには、実行中のすべての Identity Manager インスタンスを再起動する必要があります。

  2. 必要に応じて、「照会可能なユーザー属性のカスタマイズ」を入力します。

    3. トランザクション概要内で表示される IDMXUser オブジェクトの追加属性を選択します。これらの属性は、検索トランザクションページから問い合わせ可能であり、検索結果に表示されます。次のフィールドがあります。

    • 「ユーザーパス表現」 - IDMXUser オブジェクトのパス表現を入力します。
    • 「表示名」 - パス表現に対応する表示名を選択します。この表示名はトランザクション検索ページに表示されます。

トランザクション処理の詳細設定

これらの詳細なオプションは、トランザクションマネージャーの内部動作を制御します。パフォーマンス分析で最適ではないと示されない限り、指定されたデフォルトを変更できません。すべての入力が必要です。

図 17-5 に、「トランザクション設定の編集」ページの「トランザクション処理の詳細設定」領域を示します。

図 17-7 トランザクション処理の詳細設定

トランザクション処理の詳細設定。

  1. 「ワークスレッド」に、必要な数値を入力します (デフォルトは 100)。

    2. これはトランザクションの処理に使用されるスレッド数です。この値は同時に処理されるトランザクション数を制限します。これらのスレッドは起動時に静的に割り当てられます。

    「ワークスレッド」を変更した場合、変更を適用するには、実行中のすべての Identity Manager インスタンスを再起動する必要があります。

  2. 「リース時間 (ms)」に、必要な時間を入力します (デフォルトは 600000)。

    3. これは、再試行中のトランザクションをサーバーでロックする時間を制御します。リースは必要に応じて更新されます。ただし、サーバーが完全にシャットダウンしていない場合、オリジナルサーバーのリース時間が終了するまで、ほかのサーバーはトランザクションをロックできません。最低値は 1 分です。小さい値を設定すると、トランザクション持続ストアの負荷に影響する場合があります。

  3. 「リース更新 (ms)」に、必要な時間を入力します (デフォルトは 300000)

    4. これは、ロックされたトランザクションのリースの更新時期を制御します。リース期間の残りがこのミリ秒数になった時点で更新されます。

  4. 「終了トランザクションのストア内での保持時間 (ms)」に、必要な時間を入力します (デフォルトは 360000)。

    5. トランザクション持続ストアから終了トランザクションを削除するまでの待機時間 (ミリ秒) です。トランザクションの直後に持続を設定している場合を除き、トランザクション持続ストアには終了したトランザクションは格納されません。

  5. 「実行可能キュー最低水準点」に、必要な数値を入力します (デフォルトは 400)。

    6. トランザクションスケジューラの実行可能なトランザクションキューがこの制限を下回ると、最高水準制限までキューに実行可能なトランザクションが補充されます。

  6. 「実行可能キュー最高水準点」に、必要な数値を入力します (デフォルトは 800)。

    7. トランザクションスケジューラの実行可能なトランザクションキューが最低水準点よりも下回ると、この制限まで、キューに実行可能なトランザクションが補充されます。

  7. 「保留キュー最低水準点」に、必要な数値を入力します (デフォルトは 2000)。

    8. トランザクションスケジューラの保留中のキューが、失敗し再試行を保留しているトランザクションを保持しています。キューのサイズが最高水準点を超える場合、最低水準点を超えるすべてのトランザクションはトランザクション持続ストアにフラッシュされます。

  8. 「保留キュー最高水準点」に、必要な数値を入力します (デフォルトは 2000)。

    9. トランザクションスケジューラの保留中のキューが、失敗し再試行を保留しているトランザクションを保持しています。キューのサイズが最高水準点を超える場合、最低水準点を超えるすべてのトランザクションはトランザクション持続ストアにフラッシュされます。

  9. 「スケジューラ間隔 (ms)」に、必要な数値を入力します (デフォルトは 500)。

    10. これは、トランザクションスケジューラの実行間隔です。トランザクションスケジューラは実行されると、実行可能なトランザクションを保留中のキューから実行可能キューに移動し、トランザクション持続ストアに対して、トランザクションの持続などの別の定期的な作業を実行します。

  10. 「保存」をクリックして、設定を受け入れます。

トランザクションの監視

サービスプロバイダトランザクションは、トランザクション持続ストアに書き込まれます。トランザクション持続ストアのトランザクションを検索して、トランザクションのステータスを表示できます。

「トランザクション設定の編集」ページを使用すると (「トランザクション管理」を参照)、管理者はいつトランザクションを保管するかを制御できます。たとえば、トランザクションをただちに保管できます (最初の試行前であっても)。

「トランザクションの検索」ページで、検索条件を指定してトランザクションをフィルタリングし、ユーザー、タイプ、ステータス、トランザクション ID、現在の状態、成功か失敗かなど、トランザクションイベントに関する特定の条件に基づいて表示できます。ここには、すでに完了しているトランザクションとともに再試行中のトランザクションが含まれます。完了していないトランザクションは、それ以上試行されないようにキャンセルできます。

トランザクションを検索するには、次の手順に従います。

  1. 管理者インタフェースで、メインメニューから「サーバータスク」をクリックします。
  2. 二次的なメニューから「サービスプロバイダトランザクション」をクリックします。

    3. 「サービスプロバイダのトランザクション検索」ページが表示され、そこで検索条件を指定できます。

    検索では、下で選択したすべての条件に一致するトランザクションのみが返されます。これは、「アカウント」>「ユーザーの検索」ページと類似しています。

  3. 必要に応じ、「ユーザー名」を選択します。

    4. 入力した accountId を持つユーザーのみに適用されるトランザクションを検索できます。

    サービスプロバイダトランザクション設定ページで「照会可能なユーザー属性のカスタマイズ」を設定している場合は、それらがここに表示されます。たとえば、照会可能なユーザー属性のカスタマイズとして姓またはフルネームが設定されている場合、これらに基づいて検索することを選択できます。

  4. 必要に応じて、「タイプ」の検索を選択します。

    5. 選択したタイプのトランザクションを検索できます。

  5. 必要に応じて、「状態」の検索を選択します。

    6. 選択した次の状態のトランザクションを検索できます。

    • 「未試行」トランザクションは、まだ試行されていません。
    • 「再試行保留中」トランザクションは、1 回以上試行されましたが、1 つ以上のエラーが見つかり、個々のリソースに設定された再試行制限まで再試行がスケジュールされています。
    • 「成功」トランザクションは、正常に完了しました。
    • 「失敗」トランザクションは、1 つ以上失敗して完了しました。
  6. 必要に応じ、「試行」での検索を選択します。

    7. 試行された回数に基づいて、トランザクションを検索できます。失敗したトランザクションは、個々のリソースに設定された再試行制限まで再試行されます。

  7. 必要に応じ、「送信時間」での検索を選択します。

    8. 時間、分、日の単位でトランザクションが最初に送信された時間に基づいて、トランザクションを検索できます。

  8. 必要に応じ、「終了時間」での検索を選択します。

    9. 時間、分、日の単位でトランザクションが完了した時間に基づいて、トランザクションを検索できます。

  9. 必要に応じ、「キャンセルステータス」での検索を選択します。

    10. トランザクションがキャンセルされているかどうかに基づいて、トランザクションを検索できます。

  10. 必要に応じ、「トランザクション ID」での検索を選択します。

    11. 一意のトランザクション ID に基づいてトランザクションを検索できます。このオプションを使用すると、入力した ID 値に基づいてトランザクションが検索されます。この ID は、すべての監査ログレコードに表示されます。

  11. 必要に応じ、「SPE サーバー名」での検索を選択します。

    12. 実行中のサービスプロバイダサーバーに基づいてトランザクションを検索できます。サーバーの ID は、Waveset.properties ファイルで上書きされている場合を除き、マシン名に基づきます。

  12. 検索結果をリストから選択したエントリ数までに制限します。

    13. 指定された制限までの結果のみ返されます。制限数以上の結果が存在するかどうかについては示されません。

    図 17-8 レポートの設定および実行は、「レポートの実行」ページで行います。
    サービスプロバイダユーザートランザクションの検索条件を指定します。

  13. 「検索」をクリックします。

    14. 検索結果が表示されます。

  14. 必要に応じ、結果ページの最下部にある「一致したすべてのトランザクションをダウンロード」をクリックします。結果は XML 形式のファイルに保存されます。

    		15.

    検索結果に返されたトランザクションをキャンセルすることができます。結果テーブルのトランザクションを選択し、「選択内容のキャンセル」をクリックします。完了している、またはすでにキャンセルされているトランザクションはキャンセルできません。

委任された管理

サービスプロバイダユーザーの委任された管理を有効にするには、Identity Manager 管理者ロールまたは組織ベース認証モデルを使用します。

組織認証による委任

Identity Manager では、デフォルトで、組織ベース認証モデルを使用して管理作業を委任できます。組織ベース認証モデルで委任される管理者を作成するときは、次のことに留意してください。

管理者ロール割り当てによる委任

サービスプロバイダユーザーに細かい機能や制御の範囲を付与する場合は、サービスプロバイダユーザー管理者ロールを使用します。1 人以上の Identity Manager ユーザーまたはサービスプロバイダユーザーへの管理者ロールの割り当てを、ログイン時に動的に行うように設定できます。

管理者ロールを割り当てられたユーザーに与える機能 (「サービスプロバイダのユーザーの作成」など) を指定する規則を定義して管理者ロールに割り当てることができます。

サービスプロバイダユーザーの管理者ロール委任を使用するには、Identity Manager システム設定オブジェクト (こちら) でそれを有効にする必要があります。

管理者ロール割り当てによる委任を有効にする場合、「サービスプロバイダ設定」の「IDM 組織の属性名」は必要ありません。

サービスプロバイダ管理者ロール委任の有効化

サービスプロバイダ管理者ロール委任 (サービスプロバイダ委任管理) を有効にするには、変更のために System Configuration オブジェクトを開き (こちら)、次のプロパティーを true に設定します。

security.authz.external.app name.object type

app name は Identity Manager アプリケーション (管理者インタフェースなど)、object typeService Provider Users です。

このプロパティーは、Identity Manager アプリケーション (管理者インタフェースやユーザーインタフェースなど) 単位およびオブジェクトタイプ単位で有効にすることができます。現在サポートされているオブジェクトタイプは Service Provider Users のみです。デフォルト値は false です。

たとえば、Identity Manager 管理者のサービスプロバイダ委任管理を有効にするには、System Configuration 設定オブジェクトで次の属性を「true」に設定します。

security.authz.external.Administrator Interface.Service Provider Users

特定の Identity Manager またはサービスプロバイダアプリケーションでサービスプロバイダ委任管理を無効に (false に設定) した場合は、組織ベース認証モデルが使用されます。

サービスプロバイダ委任管理を有効にした場合は、実行された認証規則の数および時間に関する情報が追跡イベントによって取得されます。それらの統計情報はダッシュボードで表示できます。

サービスプロバイダユーザー管理者ロールの設定

サービスプロバイダユーザー管理者ロールを設定するには、管理者ロールを作成し、制御の範囲、機能、および割り当てるユーザーを指定します。

サービスプロバイダユーザー管理者ロールを作成する前に、その管理者ロールの検索コンテキスト、検索フィルタ、検索後のフィルタ、機能、およびユーザー割り当てに関する規則を定義します。これらの規則 (SPEUsersSearchContextRule、SPEUsersSearchFilterRule、SPEUsersAfterSearchFilterRule、CapabilitiesOnSPEUserRule、UserIsAssignedAdminRoleRule、および SPEUserIsAssignedAdminRoleRule) を使用するように、規則の authType を指定する必要があります。

サービスプロバイダユーザー管理者ロールのこれらの規則を作成するには、Identity Manager に付属するサンプル規則を使用できます。サンプル規則は Identity Manager インストールディレクトリの sample/adminRoleRules.xml にあります。

各環境での規則の作成の詳細については、『Identity Manager Service Provider Deployment』を参照してください。

サービスプロバイダユーザー管理者ロールを設定するには、次の手順に従います。

  1. 管理者インタフェースで、メニューから「セキュリティー」をクリックし、「管理者ロール」をクリックします。

    2. 「管理者ロール」ページが開きます。

  2. 「新規...」をクリックします。

    3. 「管理者ロールの作成」ページが開きます。

  3. 管理者ロールの名前を指定し、タイプとして「サービスプロバイダユーザー」を選択します。
  4. 次の節の説明に従って、「制御の範囲」「機能」、および「ユーザーに割り当てる」のオプションを指定します。
制御の範囲の指定

サービスプロバイダユーザー管理者ロールの制御の範囲は、特定の Identity Manager 管理者、Identity Manager エンドユーザー、または Identity Mananger サービスプロバイダエンドユーザーが表示できるサービスプロバイダユーザーを指定します。この範囲は、ディレクトリのサービスプロバイダユーザーを一覧表示するようにリクエストされたときに適用されます。

サービスプロバイダユーザー管理者ロールの制御の範囲では、以下の設定を 1 つ以上指定できます。

機能の指定

サービスプロバイダユーザー管理者ロールの機能では、アクセスをリクエストされているサービスプロバイダユーザーに対してリクエスト元のユーザーが持つ機能と権利を指定します。これは、サービスプロバイダユーザーの表示、作成、変更、または削除のリクエストが作成されたときに適用されます。

「機能」タブで、この管理者ロールに適用する「機能規則」を選択します。

ユーザーへの管理ロールの割り当て

ログイン時の評価で認証ユーザーに管理者ロールを割り当てるかどうかを判断する規則を指定することにより、サービスプロバイダユーザー管理者ロールをサービスプロバイダユーザーに動的に割り当てることができます。

「ユーザーに割り当てる」タブをクリックし、割り当てに適用する規則を選択します。

ユーザーへの管理者ロールの動的割り当ては、ログインインタフェース (ユーザーインタフェースや管理者インタフェースなど) ごとに有効にする必要があります。そのためには、次の System Configuration オブジェクト (こちら) を true に設定します。

security.authz.checkDynamicallyAssignedAdminRolesAtLoginTo.logininterface

すべてのインタフェースのデフォルトは false です。

サービスプロバイダユーザー管理者ロールの委任

デフォルトで、サービスプロバイダユーザーは、自分に割り当てられたサービスプロバイダユーザー管理者ロールを、自分の制御の範囲内のほかのサービスプロバイダユーザーに割り当てる (委任する) ことができます。

実際に、サービスプロバイダユーザーを編集する機能を持つ Identity Manager ユーザーは、自分に割り当てられたサービスプロバイダユーザー管理者ロールを、自分の制御の範囲内のサービスプロバイダユーザーに割り当てることができます。

サービスプロバイダユーザー譲渡者ロールに、制御の範囲に関係なく譲渡者ロールを割り当てることができる「譲渡者」のリストを含めることもできます。このような直接の割り当てにより、1 人以上の既知のユーザーアカウントが管理者ロールを割り当てることができるようにします。

サービスプロバイダユーザーの管理

この節では、Identity Manager で サービスプロバイダ ユーザーを管理するための手順および説明を示します。この節は次のトピックで構成されています。

ユーザー組織

サービスプロバイダでは、ユーザーの属性値によって、そのユーザーが割り当てられる組織が決まります。これは、サービスプロバイダメイン設定の「Identity Manager 組織の属性名」フィールドで指定されます (「初期設定」を参照)。ただし、それらの組織名は、ディレクトリサーバーで割り当てられたユーザー属性の値と一致する必要があります。

「Identity Manager 組織の属性名」が定義されている場合は、「ユーザーの作成」または「ユーザーの編集」ページに、使用できる組織の複数選択リストが表示されます。デフォルトでは短い組織名が表示されます。組織の完全なパスが表示されるようにサービスプロバイダユーザーフォームを変更できます。

どの属性が組織名属性になるかを選択できます。組織名属性は、そのユーザーを検索および管理できる管理者を制約するためにサービスプロバイダユーザー管理ページで使用されます。

現在、サービスプロバイダアカウントおよびリソースアカウント用のアカウント ID ポリシーとパスワードポリシーがあります。

「サービスプロバイダシステムのアカウントポリシー」は、主要ポリシーテーブルから使用できます。

ユーザーとアカウントの作成

すべてのサービスプロバイダユーザーは、サービスプロバイダディレクトリ内にアカウントを持つ必要があります。ユーザーがほかのリソースのアカウントを持つ場合、それらのアカウントへのリンクがユーザーのディレクトリエントリに保存されるので、そのユーザーを表示するときに、それらのアカウントに関する情報を表示できます。

ユーザーを作成および編集するためのサービスプロバイダユーザーフォームのサンプルが用意されています。このフォームを、実際のサービスプロバイダ環境でのユーザー管理の要件に合わせてカスタマイズしてください。詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

サービスプロバイダアカウントを作成するには、次の手順に従います。

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。
  2. 「サービスプロバイダユーザーの管理」タブをクリックします。
  3. 「ユーザーの作成」をクリックします。

    		4.

    デフォルトのサービスプロバイダユーザーフォームの使用時に表示される実際のフィールドは、サービスプロバイダディレクトリリソースのアカウント属性テーブル (スキーママップ) に設定された属性によって異なります。また、ユーザー (委任された管理者など) にリソースを割り当てた場合は、そのリソースの属性値を指定するための新しい領域が追加表示されます。フィールドをカスタマイズすることもできます。

  4. 以下の値を必要に応じて入力します。
    • 「accountid」 (このフィールドは必須)
    • password
    • 「confirmation」 (パスワード確認用)
    • 「firstname」 (このフィールドは必須)
    • 「lastname」 (このフィールドは必須)
    • fullname
    • email
    • 「home phone」
    • 「cell phone」
    • 「password retry count」
    • 「account unlock time」
  5. 矢印キーを使用して「利用可能」リストから目的のリソースを割り当てます。
  6. 「アカウントステータス」に、アカウントがロックされているかロック解除されているかが表示されます。アカウントをロックまたはロック解除する場合は、このオプションをクリックします。

    7. 図 17-9 サービスプロバイダユーザーとアカウントの作成
    サービスプロバイダユーザーとアカウントの属性を作成します。

    このフォームでは、ディレクトリアカウント (最上位) で定義された属性に基づいて、リソースアカウント属性の値が自動的に設定されます。たとえば、リソースに firstName を定義した場合、ディレクトリアカウントの firstName の値が設定されます。ただし、この初期設定後、それらの属性の変更はリソースアカウントに伝達されません。必要に応じて、付属のサンプルサービスプロバイダユーザーフォームをカスタマイズしてください。

  7. 「保存」をクリックしてユーザーアカウントを作成します。

サービスプロバイダユーザーの検索

サービスプロバイダには、ユーザーアカウントの管理に役立つ設定可能な検索機能が含まれています。検索では、組織やその他の要素で定義された範囲内のユーザーのみが返されます。

サービスプロバイダユーザーの基本検索を実行するには、Identity Manager インタフェースの「アカウント」領域で、「サービスプロバイダユーザーの管理」をクリックし、検索値を入力して「検索」をクリックします。

次のトピックで、サービスプロバイダの検索機能について説明します。

詳細検索

サービスプロバイダユーザーの詳細検索を実行するには、サービスプロバイダユーザーの検索ページで「詳細」をクリックし、次のアクションを実行します。

  1. 目的の「属性」をリストから選択します。
  2. 目的の「操作」をリストから選択します。

    3. 検索で返されるユーザーをフィルタリングして、指定したすべての条件を満たすユーザーのみが返されるようにするための条件セットを指定しています。

  3. 目的の検索値を入力し、「検索」をクリックします。

    4. 図 17-10 ユーザーの検索
    サービスプロバイダユーザーを検索するための属性条件を指定します。

属性条件を追加または削除するには、次のいずれかの操作を行います。

検索結果

図 17-11 に示すように、サービスプロバイダの検索結果はテーブル形式で表示されます。属性の列ヘッダーをクリックすると、結果をその属性で並べ替えることができます。表示される結果は選択した属性によって異なります。

結果の最初のページ、前ページ、次ページ、および最終ページを表示するには、矢印ボタンを使用します。特定のページに移動するには、テキストボックスにページ番号を入力して Enter キーを押します。

ユーザーを編集するには、テーブル内のユーザー名をクリックします。

図 17-11 検索結果の例

サービスプロバイダユーザーの検索結果の例。

検索結果ページで、ユーザーの削除またはリソースアカウントのリンク解除を行うには、1 人以上のユーザーを選択して、「削除」ボタンをクリックします。このアクションにより、ユーザーの削除ページが開き、追加のオプションが表示されます (「アカウントの削除、割り当て解除、またはリンク解除」を参照)。

アカウントのリンク

サービスプロバイダは、ユーザーが複数のリソースにアカウントを持つ環境にインストールする場合があります。サービスプロバイダのアカウントリンク機能によって、既存のリソースアカウントを差分方式でサービスプロバイダユーザーに追加できます。アカウントリンクプロセスは、リンク相関規則、リンク確認規則、リンク検証オプションを定義するサービスプロバイダのリンクポリシーで管理します。

ユーザーアカウントをリンクするには、次の手順に従います。

  1. 管理者インタフェースで、メニューバーの「リソース」をクリックします。
  2. 目的のリソースを選択します。
  3. 「リソースアクション」メニューから「サービスプロバイダリンクポリシーの編集」を選択します。
  4. リンク相関規則を選択します。この規則は、ユーザーが所有する可能性のあるリソースのアカウントを検索します。
  5. リンク確認則を選択します。この規則は、リンク相関規則で選択されるアカウントの候補のリストから、リソースアカウントを除外します。

    		6.

    リンク相関規則で 1 つだけのアカウントを選択する場合、リンク確認規則は必要ありません。

  6. 「リンク検証が必要」を選択して、ターゲットリソースアカウントをサービスプロバイダユーザーにリンクします。

アカウントの削除、割り当て解除、またはリンク解除

ユーザーアカウントの削除、割り当て解除、またはリンク解除を行うには、次の手順に従います。

  1. メニューバーの「アカウント」をクリックします。
  2. 「サービスプロバイダユーザーの管理」をクリックします。
  3. 基本検索または詳細検索を実行します。
  4. 目的のユーザーを選択します。
  5. 「削除」ボタンをクリックします。
  6. 必要に応じて、次のいずれかのグローバルオプションを選択します。
    • 「すべてのリソースアカウントの削除」

      • リソースを削除した場合、アカウントは削除されますが、リソース割り当てはまだ存在しています。その後ユーザーを更新すると、アカウントが再作成されます。リソースアカウントのリンクは、リソースの削除時に常に解除されます。

    • 「すべてのリソースアカウントの割り当て解除」

      • リソースを割り当て解除すると、そのリソース割り当てが削除されます。割り当て解除すると、そのリソースアカウントのリンクも解除されます。リソースを割り当て解除しても、リソースアカウントは削除されません。

    • 「すべてのリソースアカウントのリンク解除」

      • リンクを解除すると、ユーザーとリソースアカウント間のリンクが削除されますが、アカウントは削除されません。リソース割り当ても削除されませんので、その後ユーザーを更新すると、アカウントと再リンクされるか、またはそのリソースの新しいアカウントが作成されます。

  7. または、「削除」列、「割り当て解除」列、または「リンク解除」列で、1 つ以上のリソースアカウントに対するアクションを選択します。
  8. 目的のユーザーアカウントを選択したら、「OK」をクリックします。

    9. 図 17-12 アカウントの削除、割り当て解除、またはリンク解除
    サービスプロバイダユーザーを削除するときに、アカウントを削除、割り当て解除、またはリンク解除できます。

検索オプションの設定

サービスプロバイダユーザーの検索オプションを設定するには、次の手順に従います。

  1. 管理者インタフェースで、メニューバーの「アカウント」をクリックします。
  2. 「サービスプロバイダ」をクリックします。
  3. 「オプション」をクリックします。

    		4.

    これらのオプションは、現在のログインセッションでのみ有効です。これらのオプションでは、検索結果の表示方法を設定します。この設定は、基本検索と詳細検索の両方の結果に適用され、一部の設定は新しい検索でのみ有効になります。

  4. 「返される結果の最大数」を入力します。
  5. 「ページあたりの結果数」を入力します。
  6. 矢印キーを使用して、「利用可能な属性」から目的の「表示属性」を選択します。

    7. 図 17-13 サービスプロバイダユーザーの検索オプションの設定
    サービスプロバイダユーザーの検索オプションの設定。

エンドユーザーインタフェース

付属のサンプルエンドユーザーページは、xSP 環境での一般的な登録とセルフサービスの例を示しています。サンプルは拡張可能であり、カスタマイズ可能です。実際の配備用に、外観や使い勝手を変更したり、ページ間の移動方法を変更したり、ロケール固有のメッセージを表示したりできます。エンドユーザーページのカスタマイズの詳細については、『Identity Manager Service Provider Deployment』を参照してください。

セルフサービスイベントや登録イベントの監査に加えて、影響を受けるユーザーに、電子メールテンプレートを使用して通知を送信することができます。アカウント ID ポリシーとパスワードポリシー、およびアカウントロックアウトの例も用意されています。アプリケーション開発者は Identity Manager フォームも活用できます。サーブレットフィルタとして実装されている認証サービスモジュールを、必要に応じて拡張したり置き換えたりできます。これにより、Sun Access Manager のようなアクセス管理システムとの統合が可能になります。

サンプル

付属のサンプルエンドユーザーページを使用すると、ユーザーは、操作しやすい一連の画面で基本的なユーザー情報の登録と管理を行い、自分のアクションに関する電子メール通知を受け取ることができます。

サンプルページには次の機能が含まれています。

ページは、配備に合わせて簡単にカスタマイズできます。次のカスタマイズが可能です。

ページのカスタマイズの詳細については、『Identity Manager Service Provider Deployment』を参照してください。

登録

新しいユーザーは登録を求められます。登録時に、ユーザーは自分のログイン、チャレンジ質問、および通知に関する情報を設定できます。

図 17-14 「登録」ページ

新しいサービスプロバイダユーザーは、最初のログイン時に、姓と名および電子メールアドレスを入力して登録する必要があります。

ホーム画面とプロファイル画面

図 17-15 に、エンドユーザーのホームタブとプロファイルページを示します。ユーザーは、自分のログイン ID とパスワードの変更、通知の管理、およびチャレンジ質問の作成を行うことができます。

図 17-15 「自分のプロファイル」ページ

サービスプロバイダユーザーは、パスワードの設定、パスワードのチャレンジ質問、および通知の管理を行うことができます。

同期

サービスプロバイダユーザーの同期は、同期ポリシーによって有効にできます。Identity Manager でリソースの属性に加えた変更をサービスプロバイダユーザーと同期させるには、サービスプロバイダ同期を設定する必要があります。次のトピックでは、サービスプロバイダ実装で同期を有効にする方法を説明します。

同期の設定

サービスプロバイダ同期を設定するには、「同期の設定」で説明されているように、リソースの同期ポリシーを編集します。

同期ポリシーを編集するときに、次のオプションを指定して、サービスプロバイダユーザーの同期プロセスを有効にする必要があります。

「同期の設定」の手順に従って、環境に応じてその他のオプションを指定します。サービスプロバイダ同期タスクのデフォルトの同期間隔は 1 分です。

確認の規則とフォームでは、Identity Manager のユーザー入力ビューではなく、IDMXUser ビューを使用する必要があります (詳細については『Identity Manager Service Provider Deployment』を参照)。

その理由は、確認規則は相関規則で識別されるユーザーごとにユーザービューにアクセスするので、同期パフォーマンスに影響するためです。

「保存」をクリックしてポリシー定義を保存します。ポリシーで同期を無効にしなかった場合、同期は指定されたとおりにスケジュールされます。同期の無効を指定した場合、現在実行されている同期サービスは停止されます。有効にすると、Identity Manager サーバーを再起動したとき、または同期リソースアクションの下の「サービスプロバイダに対して開始」を選択したときに、同期が開始されます。

同期の監視

Identity Manager では、次の方法でサービスプロバイダ同期を監視します。

同期の開始と停止

Identity Manager をサービスプロバイダ実装用に設定する場合、サービスプロバイダ同期はデフォルトで有効になります。

サービスプロバイダ Active Sync を無効にするには、次の手順に従います。

  1. 管理者インタフェースで、メニューから「リソース」をクリックします。

    2. 「リソースのリスト」ページが開きます。

  2. 「サービスプロバイダ」領域でリソースを選択し、「同期ポリシーの編集」をクリックしてポリシーを編集します。
  3. 「同期の有効化」チェックボックスを選択解除します。
  4. 「保存」をクリックします。

    5. ポリシーが保存されると、同期は停止します。

同期を無効にせずに停止するには、同期リソースアクションの「サービスプロバイダに対して停止」を選択します。

同期を無効にせずにリソースアクションを使用して同期を停止した場合、いずれかの Identity Manager サーバーを起動すると、同期がふたたび開始されます。

ユーザーの移行

サービスプロバイダ機能には、サンプルのユーザー移行タスクと関連スクリプトが含まれています。このタスクは、既存の Identity Manager ユーザーをサービスプロバイダユーザーディレクトリに移行します。この節では、サンプルの移行タスクの使用方法を説明します。使用状況に応じて、このサンプルを変更することをお勧めします。

Identity Manager ユーザーを移行するには、次の手順に従います。

  1. 管理者インタフェースで、メニューから「サーバータスク」をクリックします。

    2. 「タスクの検索」ページが開きます。

  2. 二次的なメニューから「タスクの実行」をクリックします。
  3. 「SPE Migration」をクリックします。
  4. 一意の「タスク名」を入力します。
  5. 「リソース」をリストから選択します。

    6. これは、サービスプロバイダディレクトリサーバーを表す、Identity Manager 内のリソースです。Identity Manager ユーザーで見つかったこのリソースへのリンクは移行されません。

  6. 「アイデンティティー属性」を入力します。

    7. これは、ディレクトリユーザーの短い一意の ID を含む Identity Manager ユーザー属性です。

  7. 「ID 規則」をリストから選択します。

    8. これは、Identity Manager ユーザーの属性からディレクトリユーザーの名前を生成できるオプションの規則です。ID 規則は単純名 (通常は uid) を生成することができます。その後、この名前はリソースのアイデンティティーテンプレートで処理され、ディレクトリサーバーの識別名 (DN) を形成します。また、この規則は、アイデンティティーテンプレートを使用しない完全指定 DN を返すこともあります。

  8. 「起動」をクリックして、バックグラウンドでの移行タスクを開始します。

サービスプロバイダ監査イベントの設定

サービスプロバイダ実装で、Identity Manager の監査ログシステムは、エクストラネットユーザーのアクティビティーに関連するイベントを監査します。Identity Manager では、Service Provider Edition 監査設定グループ (デフォルトで有効) を使用して、サービスプロバイダユーザーのログを記録する監査イベントを指定することができます。図 17-16 を参照してください。

監査ログ、および Service Provider Edition 監査設定グループのイベントの変更の詳細については、第 10 章「監査ログ」を参照してください。

図 17-16 「監査設定グループ「Service Provider Edition」の編集」ページ

「監査設定グループ「Service Provider Edition」の編集」ページで、サービスプロバイダイベントを編集します。



前へ      目次      索引      次へ     

Part No: 820-5433.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.