前へ      目次      索引      次へ
Sun™ Identity Manager 8.0 管理ガイド

第 9 章
タスクテンプレート

Identity Manager のタスクテンプレートを使用すると、カスタマイズしたワークフローを記述する代わりに、管理者インタフェースを使用して特定のワークフローの動作を設定することができます。

この章は、次の節で構成されています。

タスクテンプレートの有効化 − システムでタスクテンプレートを使用可能にする方法を説明しています。
タスクテンプレートの設定 − タスクテンプレートを使用してワークフローの動作を設定する方法を説明しています。

---

タスクテンプレートの有効化

Identity Manager には、ユーザーによる設定が可能な次のタスクテンプレートが用意されています。

ユーザー作成テンプレート − ユーザー作成タスクのプロパティーを設定します。
ユーザー削除テンプレート − ユーザー削除タスクのプロパティーを設定します。
ユーザー更新テンプレート − ユーザー更新タスクのプロパティーを設定します。

タスクテンプレートを使用する前に、タスクテンプレートのプロセスをマップする必要があります。

プロセスタイプをマップするには、次の手順に従います。

管理者インタフェースのメニューから「サーバータスク」を選択し、「タスクの設定」を選択します。

図 9-1 に「タスクの設定」ページを示します。

図 9-1 タスクの設定



「タスクの設定」ページには、次の列を持つテーブルがあります。

「名前」 − ユーザー作成、ユーザー削除、およびユーザー更新の各テンプレートへのリンクがあります。
「アクション」 − 次のいずれかのボタンがあります。
「有効化」 − テンプレートをまだ有効にしていない場合に表示されます。
「マッピングの編集」 − テンプレートを有効にしたあとで表示されます。

プロセスマッピングを有効化する手順と編集する手順は同じです。

「プロセスマッピング」 − 各テンプレートにマップされたプロセスタイプが一覧表示されます。
「説明」 − 各テンプレートの簡単な説明です。
「有効化」をクリックして、テンプレートのプロセスマッピングの編集ページを開きます。

たとえば、ユーザー作成テンプレートに対して次のページ (図 9-2) が表示されます。

図 9-2 プロセスマッピングの編集ページ



注	「選択したプロセスタイプ」リストには、デフォルトのプロセスタイプ (この場合 createUser) が自動的に表示されます。必要に応じて、メニューから別のプロセスタイプを選択できます。

一般に、各テンプレートに複数のプロセスタイプをマップすることはありません。
「選択したプロセスタイプ」リストからプロセスタイプを削除し、代わりのプロセスタイプを選択しない場合、「必須のプロセスマッピング」セクションに、新しいタスクマッピングを選択するように指示が表示されます。

図 9-3 「必須のプロセスマッピング」セクション



「保存」をクリックして、選択したプロセスタイプをマップし、「タスクの設定」ページに戻ります。

注	「タスクの設定」ページが再表示されると、「有効化」ボタンが「マッピングの編集」ボタンに変化し、「プロセスマッピング」列にプロセス名が表示されます。

図 9-4 更新された「タスクの編集」テーブル



残りの各テンプレートに対して、マッピングプロセスを繰り返します。

注	「設定」>「フォームおよびマッピングプロセス」を選択することにより、マッピングを検証することができます。「フォームおよびプロセスマッピングの設定」ページが表示されたら、下にスクロールして「プロセスマッピング」テーブルを表示し、テーブル内に示される「マップされるプロセス名」エントリに次のプロセスタイプがマップされていることを確認します。
		プロセスタイプ	マップされるプロセス名
		createUser	ユーザー作成テンプレート
		deleteUser	ユーザー削除テンプレート
		updateUser	ユーザー更新テンプレート
		テンプレートが正しく有効化されていれば、すべての「マップされるプロセス名」エントリに「Template」という文字列が含まれています。
	テーブルに示すように「マップされるプロセス名」列に「Template」と入力することで、「フォームおよびプロセスマッピング」ページから直接、これらのプロセスタイプをマップすることもできます。

---

タスクテンプレートの設定

テンプレートのプロセスタイプをマップしたら (こちら)、タスクテンプレートの設定に進むことができます。

タスクテンプレートを設定するには、次の手順に従います。

管理者インタフェースのメインメニューで「サーバータスク」をクリックし、「タスクの設定」をクリックします。

「タスクの設定」ページが開きます。

「名前」列のリンクを選択します。次のいずれかのページが表示されます。
「タスクテンプレート「Create User Template」の編集」 − 新しいユーザーアカウントの作成に使用するテンプレートを編集する場合に開きます。
「タスクテンプレート「Delete User Template」の編集」 − ユーザーアカウントの削除またはプロビジョニング解除に使用するテンプレートを編集する場合に開きます。
「タスクテンプレート「Update User Template」の編集」 − 既存ユーザーの情報の更新に使用するテンプレートを編集する場合に開きます。

それぞれのタスクテンプレートの編集ページには、ユーザーワークフローの主な設定領域に対応する一連のタブがあります。

次の表は、それぞれのタブの名前、目的、そのタブを使用するテンプレートについて説明したものです。 

表 9-1 タスクテンプレートのタブ 

タブ名	目的	テンプレート
一般 (デフォルトタブ)	「ホーム」および「アカウント」の各ページのタスクバー内と、「タスク」ページ上のタスクインスタンステーブル内でのタスク名の表示形式を定義します。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
	ユーザーアカウントの削除/プロビジョニング解除形式を指定できます。	ユーザー削除テンプレートのみ
通知	Identity Manager がプロセスを起動したときに管理者およびユーザーに送信される電子メール通知を設定できます。	すべてのテンプレート
承認	タイプ別に承認を有効または無効にする、追加の承認者を指定する、Identity Manager が特定のタスクを実行する前にアカウントデータの属性を指定するなどの作業を行うことができます。	すべてのテンプレート
監査	ワークフローの監査を有効化および設定できます。このタブでワークフローを設定し、ワークフローレポート用の情報を取得します。	すべてのテンプレート
プロビジョニング	バックグラウンドでタスクを実行できるようにします。また、タスクが失敗した場合に Identity Manager がタスクを再試行できるようにします。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ
サンライズとサンセット	指定された日時までの作成タスクの保留 (サンライズ) または指定された日時までの削除タスクの保留 (サンセット) についての設定を行うことができます。	ユーザー作成タスクテンプレート
データ変換	プロビジョニング中にユーザーデータがどのように変換されるかを設定することができます。	ユーザー作成タスクテンプレートとユーザー更新タスクテンプレートのみ

いずれかのタブを選択して、テンプレートのワークフロー機能を設定します。

これらのタブでの設定方法については、次の各節を参照してください。

「「一般」タブの設定」
「「通知」タブの設定」
「「承認」タブの設定」
「「監査」タブの設定」
「「プロビジョニング」タブの設定」
「「サンライズとサンセット」タブの設定」
「「データ変換」タブの設定」
テンプレートの設定を完了したら、「保存」ボタンをクリックして変更を保存します。

「一般」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「一般」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

注	管理者インタフェースのユーザー作成テンプレートとユーザー更新テンプレートのページは同一なので、設定手順を 1 つの節で説明します。

ユーザー作成テンプレートまたはユーザー更新テンプレートの場合

「タスクテンプレート「Create User Template」の編集」フォーム、「タスクテンプレート「Update User Template」の編集」フォームのいずれかを開くと、デフォルトで「一般」タブページが表示されます。図 9-5 に示すように、このページは「タスク名」テキストフィールドと「属性の挿入」メニューから成ります。設定プロセスを開始する方法については、こちらを参照してください。

図 9-5 「一般」タブ: ユーザー作成テンプレート

タスク名はリテラルテキストまたはタスク実行時に解決される属性参照、あるいはその両方で指定できます。

デフォルトのタスク名を変更するには、次の手順に従います。

「タスク名」フィールドに名前を入力します。

デフォルトのタスク名を編集することも、完全に別の名前にすることもできます。

「タスク名」メニューには、このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが表示されます。メニューから属性を選択します (省略可能)。

Identity Manager によって、「タスク名」フィールド内のエントリに属性名が追加されます。次に例を示します。

Create user $(accountId) $(user.global.email)

終了したら、次の処理を実行できます。
別のタブを選択して、テンプレートの編集を続けます。
「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
新しいタスク名が Identity Manager のタスクバーに表示されます。タスクバーは「ホーム」タブおよび「アカウント」タブの最下部にあります。
「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。

ユーザー削除テンプレートの場合

「タスクテンプレート「Delete User Template」の編集:」ページを開くと、「一般」タブページがデフォルトで表示されます。(設定プロセスを開始する方法については、こちらを参照してください。)

ユーザーアカウントの削除/プロビジョニング解除形式を指定するには、次の手順に従います。

「Identity Manager アカウントの削除」ボタンを使用して、削除操作の間に Identity Manager アカウントを削除できるかどうかを指定します。
「なし」 − アカウントが削除されるのを防ぐ場合に選択します。
「プロビジョニング解除後にユーザーがリンクされたアカウントを持っていない場合のみ」 − プロビジョニング解除後にリンクされたリソースアカウントがない場合にのみユーザーアカウントの削除を許可する場合に選択します。
「常時」 − 割り当てられたリソースアカウントがまだ存在する場合も含めてユーザーアカウントの削除を常に許可する場合に選択します。
「リソースアカウントのプロビジョニング解除」ボックスを使用して、すべてのリソースアカウントを対象にリソースアカウントのプロビジョニング解除を制御します。
「すべて削除」 − すべての割り当て済みリソース上の、ユーザーを表すすべてのアカウントを削除するには、このボックスを有効にします。
「すべて割り当て解除」 − すべてのリソースアカウントをユーザーから割り当て解除するには、このボックスを有効にします。リソースアカウントは削除されません。
「すべてをリンク解除」 − Identity Manager システムからリソースアカウントへのすべてのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。

注	これらの制御設定は、「個々のリソースアカウントのプロビジョニング解除」テーブルでの動作よりも優先されます。

「個々のリソースアカウントのプロビジョニング解除」ボックスを使用すると、次のように、リソースアカウントのプロビジョニング解除と比較して、ユーザーのプロビジョニング解除をさらにきめ細かく行えます。
「削除」 − リソース上のユーザーを表すアカウントを削除するには、このボックスを有効にします。
「割り当て解除」 − このボックスを有効にすると、ユーザーをリソースに直接割り当てられなくなります。リソースアカウントは削除されません。
「リンク解除」 − Identity Manager システムからリソースアカウントへのリンクを解除するには、このボックスを有効にします。割り当てられているがリンクされていないアカウントを持つユーザーは、更新が必要なことを示すバッジのマークとともに表示されます。

注	「個々のリソースアカウントのプロビジョニング解除」オプションは、複数の異なるリソースに対してプロビジョニング解除ポリシーを個別に指定したい場合に便利です。たとえば、個々の Active Directory ユーザーは削除後に再生成できないグローバル ID を持つため、ほとんどの顧客は Active Directory ユーザーを削除したくないと考えます。 一方、プロビジョニング解除設定は新しいリソースを追加するたびに更新しなければならないため、新しいリソースが追加される環境ではこのオプションを使用しないほうが適している場合もあります。

「通知」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「通知」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

すべてのタスクテンプレートは、Identity Manager がプロセスを起動したとき (通常はプロセスの完了後) に、管理者およびユーザーに電子メールで通知を送信する動作をサポートします。「通知」タブを使用してこれらの通知を設定できます。

注	Identity Manager では、電子メールテンプレートを使用して、情報および操作のリクエストを管理者、承認者、およびユーザーに配信します。Identity Manager の電子メールテンプレートの詳細については、このガイドの「電子メールテンプレートの理解」の節を参照してください。

図 9-6 は、ユーザー作成テンプレートの「通知」ページを示したものです。

図 9-6 「通知」タブ: ユーザー作成テンプレート

ユーザー通知の設定

通知を受けるユーザーを指定するとき、通知のための電子メールを生成するために使われる電子メールテンプレートの名前も指定する必要があります。

作成、更新、または削除中のユーザーに通知するには、図 9-7 に示すように、「ユーザーへの通知」チェックボックスをオンにし、リストから電子メールテンプレートを選択します。

図 9-7 電子メールテンプレートの指定

管理者通知の設定

管理者通知の受信者を Identity Manager で決定する方法を指定するには、「通知の受信者を決定する方法」メニューからオプションを選択します。

使用できるオプションは次のとおりです。

「なし」 (デフォルト) − 管理者への通知を行いません。
「属性」 − 通知の受信者のアカウント ID を、ユーザービューで指定された属性から取得する場合に選択します。詳細については、「属性による管理者通知の受信者の指定」を参照してください。
「規則」 − 指定された規則を評価することによって通知の受信者のアカウント ID を取得する場合に選択します。詳細については、「規則による管理者通知の受信者の指定」を参照してください。
「クエリー」 − 特定のリソースへのクエリーを作成することによって通知の受信者のアカウント ID を取得する場合に選択します。詳細については、「クエリーによる管理者通知の受信者の指定」を参照してください。
「管理者リスト」 − 通知の受信者をリストから直接選ぶ場合に選択します。詳細については、「管理者リストからの管理者通知の受信者の指定」を参照してください。

属性による管理者通知の受信者の指定

指定された属性から通知の受信者のアカウント ID を取得するには、次の手順に従います。

注	属性は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストに解決する必要があります。

「通知の受信者を決定する方法」メニューから「属性」を選択します。次の新しいオプションが表示されます。

図 9-8 管理者通知: 属性



「通知の受信者の属性」 − 受信者のアカウント ID を決定するために使われる属性 (このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている) のリストが提示されます。
「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
「通知の受信者の属性」メニューから属性を選択します。

メニューの隣にあるテキストフィールドに属性名が表示されます。

「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

規則による管理者通知の受信者の指定

指定された規則から通知の受信者のアカウント ID を取得するには、次の手順に従います。

注	評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

「通知の受信者を決定する方法」メニューから「規則」を選択します。「通知」フォームに次の新しいオプションが表示されます。

図 9-9 管理者通知: 規則



「通知の受信者の規則」 − 評価されたときに受信者のアカウント ID を返す規則 (システムに対して現在定義されているもの) のリストが提示されます。
「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
「通知の受信者の規則」メニューから規則を選択します。
「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

クエリーによる管理者通知の受信者の指定

指定されたリソースを問い合わせることで通知の受信者のアカウント ID を取得するには、次の手順に従います。

注	現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。

「通知の受信者を決定する方法」メニューから「クエリー」を選択します。図 9-10 に示すように、「通知」フォームに次の新しいオプションが表示されます。

図 9-10 管理者通知: クエリー



「通知受信者の管理者クエリー」 − 次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。

「問い合わせ先のリソース」 − システムに対して現在定義されているリソースのリストが提示されます。
「問い合わせ先のリソース属性」 − システムに対して現在定義されているリソース属性のリストが提示されます。
「比較対象の属性」 − システムに対して現在定義されている属性のリストが提示されます。
「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
これらのメニューからリソース、リソース属性、および比較対象の属性を選択し、クエリーを作成します。
「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

管理者リストからの管理者通知の受信者の指定

管理者リストから管理者通知の受信者を指定するには、次の手順に従います。

「通知の受信者を決定する方法」メニューから「管理者リスト」を選択します。「通知」フォームに次の新しいオプションが表示されます。

図 9-11 管理者通知: 管理者リスト



「通知する管理者」 − 通知可能な管理者のリストと選択ツールが提示されます。
「電子メールテンプレート」 − 電子メールテンプレートのリストが提示されます。
「利用可能な管理者」リストから 1 人以上の管理者を選択し、「選択された管理者」リストに移動します。
「電子メールテンプレート」メニューからテンプレートを選択して、管理者の通知電子メールの形式を指定します。

「承認」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「承認」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

Identity Manager がユーザーの作成、削除、または更新の各タスクを実行する前に、「承認」タブを使用して、追加の承認者やタスク承認フォームの属性を指定することができます。

従来の方式では、特定の組織、リソース、またはロールと関連付けられた管理者は、実行前に特定のタスクを承認する必要があります。Identity Manager では、追加の承認者 (タスクを承認する必要がある追加の管理者) を指定することもできます。

注	ワークフローに対して追加の承認者を設定する場合、従来からの承認者による承認に加えて、テンプレートで指定された追加の承認者による承認もリクエストすることになります。

図 9-12 は、初期状態の「承認」ページの管理者ユーザーインタフェースの例です。

図 9-12 「承認」タブ: ユーザー作成テンプレート

承認を設定するには、次の手順に従います。

「承認の有効化」セクションを設定します (「承認の有効化 (「承認」タブ、「承認の有効化」セクション)」を参照)。
「追加の承認者」セクションを設定します (「追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)」を参照)。
ユーザー作成テンプレートおよびユーザー更新テンプレートのみを対象に、「承認フォーム設定」セクションを設定します (「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」を参照)。
「承認」タブの設定を完了したら、次の処理を実行できます。
別のタブを選択して、テンプレートの編集を続けます。
「保存」をクリックして変更を保存し、「タスクの設定」ページに戻ります。
「キャンセル」をクリックして変更を破棄し、「タスクの設定」ページに戻ります。

承認の有効化 (「承認」タブ、「承認の有効化」セクション)

次のそれぞれの「承認の有効化」チェックボックスを使用して、ユーザー作成、ユーザー削除、またはユーザー更新の各タスクの実行前に承認をリクエストするように設定します。

注	デフォルトでは、これらのチェックボックスはユーザー作成テンプレートおよびユーザー更新テンプレートに対しては有効になっていますが、ユーザー削除テンプレートに対しては「無効」になっています。

「組織の承認」 − 設定済みの任意の組織承認者による承認を必須とするには、このチェックボックスをオンにします。
「リソースの承認」 − 設定済みの任意のリソース承認者による承認を必須とするには、このチェックボックスをオンにします。
「ロールの承認」 − 設定済みの任意のロール承認者による承認を必須とするには、このチェックボックスをオンにします。

追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)

「追加の承認者を決定する方法」メニューを使用して、Identity Manager がユーザー作成、ユーザー削除、またはユーザー更新の各タスクに対して追加の承認者を決定する方法を指定します。

このメニューのオプションを表 9-2 に示します。

表 9-2 「追加の承認者を決定する方法」メニューのオプション  

オプション	説明
なし (デフォルト)	タスク実行のために追加の承認者は必要ありません。
属性	承認者のアカウント ID は、ユーザーのビューで指定された属性の内部から取得されます。
規則	承認者のアカウント ID は、指定された規則を評価することで取得されます。
クエリー	承認者のアカウント ID は、特定のリソースを問い合わせることで取得されます。
管理者リスト	承認者はリストから明示的に選択されます。

(「なし」を除く) これらのオプションのいずれかを選択すると、管理者ユーザーインタフェースに追加のオプションが表示されます。

以下の各節の指示に従って、追加の承認者を決定する方法を指定します。

属性から (こちら)
規則から (こちら)
クエリーから (こちら)
管理者リストから (こちら)

属性からの追加の承認者の決定

属性から追加の承認者を決定するには、次の手順に従います。

「追加の承認者を決定する方法」メニューから「属性」を選択します。

注	属性は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストに解決する必要があります。

次の新しいオプションが表示されます。

図 9-13 追加の承認者: 属性



「承認者の属性」 − 承認者のアカウント ID を決定するために使われる属性 (このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されているもの) のリストが提示されます。
「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。

注	「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

「承認者の属性」メニューを使用して属性を選択します。

選択した属性が隣のテキストフィールドに表示されます。

指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
タイムアウト時間を指定する場合は、「承認のタイムアウトの設定 (「承認がタイムアウトになるまでの時間」セクション)」の手順に進みます。
タイムアウト時間を指定しない場合、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、または変更を保存して別のタブの設定に移ることができます。

規則からの追加の承認者の決定

承認者のアカウント ID を指定された規則から取得するには、次の手順に従います。

「追加の承認者を決定する方法」メニューから「規則」を選択します。

注	評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

次の新しいオプションが表示されます。

図 9-14 追加の承認者: 規則



「承認者の規則」 − 評価されたときに受信者のアカウント ID を返す規則 (システムに対して現在定義されているもの) のリストが提示されます。
「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。

注	「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

「承認者の規則」メニューから規則を選択します。
指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
タイムアウト時間を指定する場合は、「承認のタイムアウトの設定 (「承認がタイムアウトになるまでの時間」セクション)」の手順に進みます。
タイムアウト時間を指定しない場合、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、または変更を保存して別のタブの設定に移ることができます。

クエリーからの追加の承認者の決定

注	現時点では、LDAP および Active Directory リソースのクエリーのみがサポートされています。

指定されたリソースを問い合わせることで承認者のアカウント ID を取得するには、次の手順に従います。

「追加の承認者を決定する方法」メニューから「クエリー」を選択します。次の新しいオプションが表示されます。

図 9-15 追加の承認者: クエリー



「承認の管理者のクエリー」 − 次のメニューで構成されるテーブルが提示されます。このテーブルを使用してクエリーを作成できます。
「問い合わせ先のリソース」 − システムに対して現在定義されているリソースのリストが提示されます。
「問い合わせ先のリソース属性」 − システムに対して現在定義されているリソース属性のリストが提示されます。
「比較対象の属性」 − システムに対して現在定義されている属性のリストが提示されます。
「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。

注	「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

次のようにしてクエリーを作成します。
「問い合わせ先のリソース」メニューからリソースを選択します。
「問い合わせ先のリソース属性」メニューおよび「比較対象の属性」メニューから属性を選択します。
指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
タイムアウト時間を指定する場合は、「承認のタイムアウトの設定 (「承認がタイムアウトになるまでの時間」セクション)」の手順に進みます。
タイムアウト時間を指定しない場合、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むか、または変更を保存して別のタブの設定に移ることができます。

管理者リストからの追加の承認者の決定

追加の承認者を管理者リストから明示的に選択するには、次の手順に従います。

「追加の承認者を決定する方法」メニューから「管理者リスト」を選択します。次の新しいオプションが表示されます。

図 9-16 追加の承認者: 管理者リスト



「通知する管理者」 − 通知可能な管理者のリストと選択ツールが提示されます。
「承認フォーム」 − 追加の承認者が承認リクエストを承認または拒否するために使用できるユーザーフォームのリストが提示されます。
「承認がタイムアウトになるまでの時間」 − 承認がいつタイムアウトするかを指定できます。

注	「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

「利用可能な管理者」リストから 1 人以上の管理者を選択し、選択した名前を「選択された管理者」リストに移動します。
指定された時間が経過したら承認リクエストをタイムアウトさせるかどうかを決定します。
タイムアウト時間を指定する場合は、「承認のタイムアウトの設定 (「承認がタイムアウトになるまでの時間」セクション)」の手順に進みます。
タイムアウト時間を指定しない場合は、「承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)」に進むことができます。

承認のタイムアウトの設定 (「承認がタイムアウトになるまでの時間」セクション)

承認のタイムアウトを設定するには、次の手順に従います。

「承認がタイムアウトになるまでの時間」チェックボックスを選択します。

次の図に示すように、隣接するテキストフィールドとメニューがアクティブになり、「タイムアウトのアクション」オプションが表示されます。

図 9-17 承認のタイムアウトのオプション



次のように、「承認がタイムアウトになるまでの時間」のテキストフィールドとメニューを使用してタイムアウト時間を指定します。
メニューから「秒」、「分」、「時間」、または「日」を選択します。
テキストフィールドに数値を入力して、タイムアウトの秒数、分数、時間数、または日数を指定します。

注	「承認がタイムアウトになるまでの時間」の設定は、最初の承認とエスカレーションされた承認の両方に影響します。

「タイムアウトのアクション」のいずれかのラジオボタンを選択して、承認リクエストがタイムアウトしたときの動作を選択します。
「リクエストの拒否」 − 指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager は自動的にそのリクエストを拒否します。
「承認のエスカレーション」 − 指定されたタイムアウト時間までにリクエストが承認されない場合、Identity Manager はそのリクエストを別の承認者に自動的にエスカレーションします。

このラジオボタンを選択すると、エスカレーションされた承認の承認者を Identity Manager が決定する方法を指定する必要があるため、新しいオプションが表示されます。続きの手順については、「「エスカレーション承認者を決定する方法」セクションの設定」を参照してください。

「タスクの実行」 − 指定されたタイムアウト時間までに承認リクエストが承認されない場合、Identity Manager は自動的に代替のタスクを実行します。

このラジオボタンを選択すると、承認リクエストがタイムアウトした場合に実行するタスクを指定するための「承認のタイムアウト時のタスク」メニューが表示されます。続きの手順については、「「承認のタイムアウト時のタスク」セクションの設定」を参照してください。

「エスカレーション承認者を決定する方法」セクションの設定

「タイムアウトのアクション」セクション (こちら) の「承認のエスカレーション」を選択すると、「エスカレーション承認者を決定する方法」メニュー (図 9-18) が表示されます。

図 9-18 「エスカレーション承認者を決定する方法」メニュー

このメニューから次のいずれかのオプションを選択して、エスカレーションされた承認の承認者を決定する方法を指定します。

「属性」 − 新しいユーザーのビューで指定された属性の内部から承認者のアカウント ID を決定します。

注	属性は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストに解決する必要があります。

「エスカレーション管理者属性」メニュー (図 9-19) が表示されたら、リストから属性を選択します。選択した属性が隣のテキストフィールドに表示されます。

図 9-19 「エスカレーション管理者属性」メニュー

「規則」 − 指定された規則を評価することによって承認者のアカウント ID を決定します。

注	評価されたとき、規則は単一のアカウント ID を表す文字列、またはアカウント ID を要素とするリストを返す必要があります。

「エスカレーション管理者規則」メニュー (図 9-20) が表示されたら、リストから規則を選択します。

図 9-20 「エスカレーション管理者規則」メニュー

「クエリー」 − 特定のリソースを問い合わせることで承認者のアカウント ID を決定します。

「エスカレーション管理者クエリー」メニュー (図 9-21) が表示されたら、次のようにしてクエリーを作成します。

「問い合わせ先のリソース」メニューからリソースを選択します。
「問い合わせ先のリソース属性」メニューから属性を選択します。
「比較対象の属性」メニューから属性を選択します。

図 9-21 「エスカレーション管理者クエリー」メニュー

「管理者リスト」 (デフォルト) − リストから承認者を明示的に選択します。

「エスカレーション管理者」選択ツール (図 9-22) が表示されたら、次のようにして承認者を選択します。

図 9-22 「エスカレーション管理者」選択ツール



「利用可能な管理者」リストから、1 人または複数の管理者の名前を選択します。
選択した名前を「選択された管理者」リストに移動します。

「承認のタイムアウト時のタスク」セクションの設定

「タイムアウトのアクション」セクション (こちら) の「タスクの実行」オプションを選択すると、「承認のタイムアウト時のタスク」メニュー (図 9-23) が表示されます。

図 9-23 「承認のタイムアウト時のタスク」メニュー

承認リクエストがタイムアウトした場合に実行するタスクを指定します。たとえば、リクエスト者がヘルプデスクリクエストを送信したり、レポートを管理者に送信したりすることを許可できます。

承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)

注	ユーザー削除テンプレートには「承認フォーム設定」セクションは含まれません。このセクションはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ設定できます。

「承認フォーム設定」セクションの機能を使用して、承認フォームの選択や、属性の承認フォームへの追加 (または承認フォームからの削除) を行うことができます。

図 9-24 承認フォームの設定

デフォルトでは、「承認時に表示する属性」テーブルには次の標準属性が含まれます。

user.waveset.accountId
user.waveset.roles
user.waveset.organization
user.global.email
user.waveset.resources

注	デフォルトの承認フォームは、承認属性の表示を許可するように設定されています。デフォルトフォーム以外の承認フォームを使用する場合、「承認時に表示する属性」テーブルで指定された承認属性を表示するようにフォームを設定する必要があります。

追加の承認者のための承認フォームを設定するには、次の手順に従います。

「承認フォーム」メニューからフォームを選択します。

承認者はこのフォームを使用して承認リクエストを承認または拒否します。

承認者による属性値の編集を許可する場合、「承認時に表示する属性」テーブルで、各属性の「編集可能」列のチェックボックスをオンにします。

たとえば、user.waveset.accountId 属性のチェックボックスをオンにすると、承認者はユーザーのアカウント ID を変更できます。

注	承認フォーム内でアカウント固有の属性値を変更すると、ユーザーが実際にプロビジョニングされるときに、同じ名前のグローバル属性値もすべてオーバーライドされます。 たとえば、スキーマ属性 description を持つリソース R1 がシステムに存在し、user.accounts[R1].description 属性を編集可能な属性として承認フォームに追加する場合、承認フォーム内で description 属性の値を変更すると、リソース R1 のみを対象に、global.description から伝播された値がオーバーライドされます。

「属性の追加」または「選択している属性の削除」ボタンをクリックして、新しいユーザーのアカウントデータ内の属性のうち承認フォームに表示するものを指定します。
属性をフォームに追加する方法については、「属性の追加」を参照してください。
属性をフォームから削除する方法については、「属性の削除」を参照してください。

注	XML ファイルを変更しない限り、デフォルトの属性を承認フォームから削除することはできません。

属性の追加

承認フォームに属性を追加するには、次の手順に従います。

「承認時に表示する属性」テーブルの下にある「属性の追加」ボタンをクリックします。

次の図に示すように、「承認時に表示する属性」テーブルの「属性名」列内で選択メニューがアクティブになります。

図 9-25 承認属性の追加



メニューから属性を選択します。

選択された属性名が隣のテキストフィールドに表示され、属性のデフォルトの表示名が「フォーム表示名」列に表示されます。

たとえば、user.waveset.organization 属性を選択した場合、表には次の情報が含まれます。

必要に応じて、それぞれのテキストフィールドに新しい名前を入力することによって、デフォルトの属性名またはデフォルトのフォーム表示名を変更できます。
承認者による属性値の変更を許可する場合、「編集可能」チェックボックスをオンにします。

たとえば、あらかじめ定義されているユーザーの電子メールアドレスなどの情報を承認者が変更したい場合があります。

これらの手順を繰り返して、必要な属性を指定します。

属性の削除

注	XML ファイルを変更しない限り、デフォルトの属性を承認フォームから削除することはできません。

承認フォームから属性を削除するには、次の手順に従います。

「承認時に表示する属性」テーブルの左端の列で、1 つ以上のチェックボックスをオンにします。
「選択している属性の削除」ボタンをクリックすると、選択した属性が「承認時に表示する属性」テーブルからただちに削除されます。

たとえば、次の状態のテーブルで「選択している属性の削除」ボタンをクリックすると、user.global.firstname および user.waveset.organization がテーブルから削除されます。

図 9-26 承認属性の削除

「監査」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「監査」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

設定可能なすべてのタスクテンプレートで、特定のタスクを監査するためのワークフローを設定することができます。特に、「監査」タブを設定することにより、ワークフローイベントの監査の有無や、レポート対象として記録する属性を指定することができます。

図 9-27 ユーザー作成テンプレートの監査設定

ユーザーテンプレートの「監査」タブから監査を設定するには、次の手順に従います。

「ワークフロー全体の監査」チェックボックスを選択して、ワークフローの監査機能を有効にします。ワークフロー監査については、「ワークフローからの監査イベントの作成」を参照してください。ワークフローの監査を行うとパフォーマンスは低下します。
「属性の監査」セクションの「属性の追加」ボタンをクリックして、レポート対象として監査する属性を選択します。
「属性の監査」テーブルに「属性の選択...」メニューが表示されたら、リストから属性を選択します。

選択した属性名が隣のテキストフィールドに表示されます。

図 9-28 属性の追加

「属性の監査」テーブルから属性を削除するには、次の手順に従います。

削除する属性の隣にあるチェックボックスを有効にします。

図 9-29 user.global.email 属性の削除



「選択している属性の削除」ボタンをクリックします。

「プロビジョニング」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「プロビジョニング」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

注	このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。

図 9-30 「プロビジョニング」タブ: ユーザー作成テンプレート

「プロビジョニング」タブでは、プロビジョニングに関連する次のオプションを設定できます。

「バックグラウンドでプロビジョニング」 − 作成、削除、または更新タスクを同期的に実行するのではなくバックグラウンドで実行するには、このチェックボックスをオンにします。

バックグラウンドでプロビジョニングを行うことにより、タスクの実行中も Identity Manager での作業を継続できます。

「再試行リンクをタスク結果に追加します」 − タスク実行の結果としてプロビジョニングエラーが発生したときに再試行リンクをユーザーインタフェースに追加する場合は、このチェックボックスをオンにします。再試行リンクにより、ユーザーは最初の試行でタスクが失敗した場合にタスクを再試行できます。

「サンライズとサンセット」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「サンライズとサンセット」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

注	このタブはユーザー作成タスクテンプレートのみに対して使用できます。

「サンライズとサンセット」タブでは、次のアクションが行われる日時を決定するための方法を選択できます。

新しいユーザーのプロビジョニングが行われる (サンライズ)。
新しいユーザーのプロビジョニング解除が行われる (サンセット)。

たとえば、6 ヶ月後に契約が終了する派遣社員に対してサンセット日付を指定できます。

図 9-31 に「サンライズとサンセット」タブでの設定を示します。

図 9-31 「サンライズとサンセット」タブ: ユーザー作成テンプレート

以下のトピックでは、「サンライズとサンセット」タブの設定手順を説明します。

サンライズの設定

新しいユーザーのプロビジョニングを行う日時を指定し、サンライズの作業項目を所有するユーザーを指定して、サンライズの設定を行います。

サンライズを設定するには、次の手順に従います。

「サンライズを決定する方法」メニューから次のいずれかのオプションを選択して、Identity Manager がプロビジョニングの日時を決定する方法を指定します。
指定された経過時間 − 指定された時間が経過するまでプロビジョニングを保留します。続きの手順については、こちらを参照してください。
指定された日 − 将来の指定された日付までプロビジョニングを保留します。続きの手順については、こちらを参照してください。
属性の指定 − ユーザーのビューでの属性値に基づいて、指定された日時までプロビジョニングを保留します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべきデータ形式を指定できます。

続きの手順については、こちらを参照してください。

規則の指定 − 評価されたときに日付/時刻文字列を生成する規則に基づいてプロビジョニングを保留します。属性を指定するとき、データが従うべきデータ形式を指定できます。

続きの手順については、こちらを参照してください。

注	「サンライズを決定する方法」メニューのデフォルトでは、プロビジョニングをただちに行うようにする「なし」が選択されています。

「作業項目の所有者」メニューからユーザーを選択して、サンライズの作業項目を所有する人物を指定します。

注	サンライズ作業項目は「承認」タブから利用可能です。

指定された経過時間

指定された時間が経過するまでプロビジョニングを保留するには、次の手順に従います。

「サンライズを決定する方法」メニューから「指定された経過時間」を選択します。
「サンライズを決定する方法」メニューの右側に新しいテキストフィールドとメニューが表示されたら、空のテキストフィールドに数値を入力し、メニューから時間の単位を選択します。

たとえば、新しいユーザーを 2 時間後にプロビジョニングしたい場合、次のように指定します。

図 9-32 新しいユーザーを 2 時間後にプロビジョニングする設定

日付の指定

指定された日付までプロビジョニングを保留するには、次の手順に従います。

「サンライズを決定する方法」メニューから「指定された日」を選択します。
表示されるメニューオプションを使用して、プロビジョニングを実行する週、曜日、および月を指定します。

たとえば、新しいユーザーを 9 月の第 2 月曜日にプロビジョニングしたい場合、次のように指定します。

図 9-33 日付による新しいユーザーのプロビジョニング

属性の指定

ユーザーアカウントデータ内の属性値に基づいてプロビジョニング日時を決定するには、次の手順に従います。

「サンライズを決定する方法」メニューから「属性」を選択します。次のオプションがアクティブになります。
「サンライズの属性」メニュー − このテンプレートで設定するタスクと関連付けられたビューに対して現在定義されている属性のリストが提示されます。
「特定の日付形式」チェックボックスおよびメニュー − 必要に応じて、属性値の日付形式文字列を指定できます。

注	「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全な一覧については、製品ドキュメントを参照してください。

「サンライズの属性」メニューから属性を選択します。
必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。

たとえば、ユーザーの waveset.accountId 属性値に基づき、日、月、および年の形式を使用して新しいユーザーをプロビジョニングするには、次のように指定します。

図 9-34 属性による新しいユーザーのプロビジョニング

規則の指定

指定された規則を評価することでプロビジョニング日時を決定するには、次の手順に従います。

「サンライズを決定する方法」メニューから「規則」を選択します。次のオプションがアクティブになります。
「サンライズの規則」メニュー − システムに対して現在定義されている規則の一覧が提示されます。
「特定の日付形式」チェックボックスおよびメニュー − 必要に応じて、規則の戻り値の日付形式文字列を指定できます。

注	「特定の日付形式」チェックボックスをオンにしない場合、日付文字列は FormUtil メソッドの convertDateToString に対して使用できる形式に従う必要があります。サポートされている日付形式の完全な一覧については、製品ドキュメントを参照してください。

「サンライズの規則」メニューから規則を選択します。
必要な場合、「特定の日付形式」チェックボックスをオンにし、アクティブになった「特定の日付形式」フィールドに日付形式文字列を入力します。

たとえば、「電子メール」規則に基づき、年、月、日、時、分、および秒の形式を使用して新しいユーザーをプロビジョニングするには、次の手順に従います。

図 9-35 規則による新しいユーザーのプロビジョニング

サンセットの設定

サンセット (プロビジョニング解除) を設定するためのオプションおよび手順は基本的に、「サンライズの設定」で説明した、サンライズ (プロビジョニング) の設定に使用するものと同じです。

唯一の違いは、「サンセット」セクションには「サンセットタスク」メニューがある点です。このメニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定する必要があります。 

サンセットを設定するには、次の手順に従います。

「サンセットを決定する方法」メニューを使用して、プロビジョニング解除がいつ行われるかを決定するための方法を指定します。

注	「サンセットを決定する方法」メニューでは、プロビジョニング解除をただちに行える「なし」オプションがデフォルトによって選択されます。

「指定された経過時間」 − 指定された時間が経過するまでプロビジョニング解除を保留します。手順については、「指定された経過時間」を参照してください。
「指定された日」 − 将来の指定された日付までプロビジョニング解除を遅らせます。手順については、「日付の指定」を参照してください。
「属性」 − ユーザーのアカウントデータ内の属性の値に基づいて、指定された日時までプロビジョニング解除を保留します。属性には日付/時刻文字列が含まれている必要があります。日付/時刻文字列を含むように属性を指定するとき、データが従うべき日付形式を指定できます。手順については、「属性の指定」を参照してください。
「規則」 − 評価されたときに日付/時刻文字列を生成する規則に基づいてプロビジョニング解除を保留します。属性を指定するとき、データが従うべき日付形式を指定できます。

手順については、「規則の指定」を参照してください。

「サンセットタスク」メニューを使用して、指定された日時にユーザーをプロビジョニング解除するためのタスクを指定します。

「データ変換」タブの設定

この節では、タスクテンプレート設定プロセスの一部として利用できる、「データ変換」タブの設定手順を説明します。設定プロセスを開始する方法については、こちらを参照してください。

注	このタブはユーザー作成テンプレートおよびユーザー更新テンプレートに対してのみ使用できます。

ワークフローの実行時にユーザーアカウントデータを変更したい場合、「データ変換」タブを使用して、Identity Manager がプロビジョニング中にデータを変換する方法を指定できます。

例としては、企業のポリシーに準拠した電子メールアドレスをフォームまたは規則に生成させたい場合や、サンライズまたはサンセット日付を生成したい場合があります。

「データ変換」タブを選択すると、次のページが表示されます。

図 9-36 「データ変換」タブ: ユーザー作成テンプレート

このページは次のセクションで構成されます。

「承認アクション前」 − 指定された承認者に承認リクエストを送信する前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。
「プロビジョニングアクション前」 − プロビジョニングアクションの前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。
「通知アクション前」 − 指定された受信者に通知が送信される前にユーザーアカウントデータを変換したい場合、このセクションのオプションを設定します。

各セクションで、次のオプションを設定できます。

「適用するフォーム」メニュー − システムに対して現在設定されているフォームのリストが提示されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われるフォームを指定します。
「実行する規則」メニュー − システムに対して現在設定されている規則のリストが提示されます。これらのメニューを使用して、ユーザーアカウントからのデータを変換するために使われる規則を指定します。

前へ      目次      索引      次へ

---

Part No: 820-5433.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.