前へ      目次      索引      次へ
Sun™ Identity Manager 8.0 管理ガイド

第 3 章
ユーザーとアカウントの管理

この章では、Identity Manager 管理者インタフェースを使用したユーザーの作成と管理の説明および手順を示します。この情報は、次の節で構成されています。

インタフェースの「アカウント」領域
ユーザーの作成およびユーザーアカウントの操作
一括アカウントアクション
アカウントセキュリティーと特権の管理
ユーザーの自己検索
匿名登録

---

インタフェースの「アカウント」領域

ユーザーとは、Identity Manager システムアカウントを所持する個人のことです。Identity Manager には、各ユーザーについての一連のデータが格納されています。この情報が集まって、特定のユーザーの Identity Manager ID を形成します。

Identity Manager の「アカウント」タブにある「ユーザーリスト」ページで、Identity Manager ユーザーを管理できます。この領域にアクセスするには、管理者インタフェースメニューバーの「アカウント」をクリックします。

アカウントリストには、Identity Manager ユーザーアカウントがすべて表示されます。アカウントは組織と仮想組織にグループ化され、階層構造のフォルダで表示されます。

アカウントリストは、フルネーム (「名前」)、ユーザーの姓 (「姓」)、またはユーザーの名 (「名」) で並べ替えることができます。列で並べ替えるには、ヘッダーバーをクリックします。同じヘッダーバーをクリックすると、昇順と降順が切り替わります。フルネーム (「名前」列) で並べ替えると、階層内のすべてのレベルのすべての項目がアルファベット順に並べ替えられます。

階層表示を展開して組織内のアカウントを表示するには、フォルダの隣にある三角形のマークをクリックします。表示を折りたたむには、マークをもう一度クリックします。

「アカウント」領域のアクションリスト

各種アクションを実行するときは、図 3-1 に示すように、「アカウント」領域の上部と下部にあるアクションリストを使用します。アクションリストの選択項目は、次のように分類されています。

「新規作成アクション」 − ユーザー、組織、およびディレクトリジャンクションを作成します。
「ユーザーアクション」 − ユーザーの状態の編集、表示、および変更、パスワードの変更およびリセット、ユーザーの削除、有効化、無効化、ロック解除、移動、更新、および名前変更、ユーザー監査レポートの実行を行います。
「組織アクション」 − 組織と組織内のユーザーに対して各種アクションを実行します。

図 3-1 アカウントリスト

「アカウントリスト」領域での検索

ユーザーと組織を検索するときは、「アカウント」領域の検索機能を使用します。リストから「組織」または「ユーザー」を選択し、そのユーザーまたは組織の名前を先頭から 1 文字以上検索領域に入力して、「検索」をクリックします。「アカウント」領域での検索の詳細については、「ユーザーアカウントの検索と表示」を参照してください。

ユーザーアカウントの状態

各ユーザーアカウントの隣に表示されるアイコンは、現在割り当てられているアカウントの状態を示します。表 3-1 に、各アイコンの説明を示します。

注	Identity Manager がリストに示されたマネージャー名に一致する Identity Manager アカウントを見つけられない場合、「マネージャー」列にマネージャーのユーザー名が括弧付きで表示されます。

表 3-1 ユーザーアカウントの状態アイコンの説明 

インジケータ	状態
	ユーザーの Identity Manager アカウントはロックされています。このアイコンは Identity Manager アカウントがロックされた状態にあることを表すだけで、ユーザーのリソースアカウントの状態を表すものではないことに留意してください。 Identity Manager アカウントのログイン試行の失敗回数が、Identity Manager アカウントポリシーで定義された最大数を超えると、ユーザーがロックされます。Identity Manager アカウントへのパスワードまたは質問によるログイン試行の失敗だけが、許容される最大失敗回数に数えられます。このため、Identity Manager ログインアプリケーション (管理者インタフェース、エンドユーザーインタフェースなど) のログインモジュールグループに Identity Manager ログインモジュールが含まれない場合は、Identity Manager の失敗パスワードポリシーは適用されません。ただし、特定の Identity Manager ログインアプリケーション用に設定されたログインモジュールのスタックに関係なく、質問によるログインの失敗が Identity Manager アカウントポリシーで設定された最大回数を超えると、ユーザーがロックされ、このアイコンが表示されることがあります。 アカウントのロックを解除する方法については、「ユーザーアカウントのロック解除」を参照してください。
	管理者の Identity Manager アカウントはロックされています。このアイコンは Identity Manager アカウントがロックされた状態にあることを表すだけで、管理者のリソースアカウントの状態を表すものではないことに留意してください。詳細は、前述のユーザーロックアウトアイコンの説明を参照してください。
	アカウントは、割り当てられたすべてのリソースおよび Identity Manager で無効になっています。(アカウントが有効なときは、アイコンは表示されません。) 無効なアカウントを有効にする方法については、「ユーザーアカウントの有効化」を参照してください。
	アカウントは、一部無効になっています。これは、割り当てられた 1 つ以上のリソースで無効になっていることを示します。
	1 つ以上のリソースで Identity Manager ユーザーアカウントの作成または更新が試行されましたが、失敗しました。(割り当てられたすべてのリソースでアカウントが更新されたときは、アイコンは表示されません。)

ユーザーページ (作成/編集/表示)

この節では、管理者インタフェースで使用可能な「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページについて説明します。これらのページの使用方法については、この章のあとの部分で説明します。

注	このマニュアルでは、Identity Manager の「ユーザーの作成」、「ユーザーの編集」、および「ユーザーの表示」ページの出荷時のデフォルトセットについて説明します。ただし、ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてカスタムのユーザーフォームを作成してください。ユーザーフォームのカスタマイズの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

Identity Manager のデフォルトユーザーページは、次のタブまたはセクションに分かれています。

ID
割り当て
セキュリティー
委任
属性
コンプライアンス

ID

「ID」領域では、ユーザーのアカウント ID、名前、連絡先情報、マネージャー、所属する組織、および Identity Manager アカウントパスワードを定義します。また、ユーザーがアクセスできるリソース、および各リソースアカウントに適用されているパスワードポリシーが示されます。

注	アカウントパスワードポリシーの設定の詳細については、この章の「アカウントセキュリティーと特権の管理」の節を参照してください。

次の図は、「ユーザーの作成」ページの「ID」領域を示します。

図 3-2 「ユーザーの作成」 - 「ID」

リソース

「リソース」領域では、リソースおよびリソースグループをユーザーに直接割り当てることができます。除外するリソースを割り当てることもできます。

直接割り当てられるリソースは、ロールの割り当てによってユーザーに間接的に割り当てられるリソースを補足します。

ロールの割り当て − ユーザークラスのプロファイルを作成します。ロールは、間接的な割り当てによってリソースへのユーザーアクセスを定義します。

ロール

「ロール」タブは、ユーザーに 1 つ以上のロールを割り当てたり、これらのロール割り当てを管理したりするのに使用します。

このタブについては、「ユーザーへのロールの割り当て」を参照してください。

セキュリティー

Identity Manager では、拡張機能が割り当てられたユーザーを Identity Manager 管理者と呼びます。「セキュリティー」タブを使って、ユーザーに管理者特権を割り当てます。

「セキュリティー」タブを使用した管理者の作成については、「管理者の作成」を参照してください。

「セキュリティー」フォームは、次のセクションで構成されます。

管理者ロール − 1 つ以上の管理ロールをユーザーに割り当てます。ロールとは、機能および管理する組織の特定の組み合わせです。このペアを使用することで、ユーザーに管理作業を組織的に割り当てることが容易になります。
機能 − Identity Manager システムでの権限を有効にします。各 Identity Manager 管理者には、多くの場合は職務に応じて、1 つ以上の機能が割り当てられます。

機能の詳細については、こちらを参照してください。定義を含むタスクベースの機能リストについては、付録 D 「機能の定義」を参照してください。この付録では、各機能でアクセス可能なタブおよびサブタブも示します。

管理する組織 − ユーザーが管理者として管理する権限を持つ組織を割り当てます。管理者は、割り当てられた組織のオブジェクト、および階層内でその組織の下位にあるすべての組織のオブジェクトを管理できます。

.

注	ユーザーに管理者機能を与えるには、少なくとも 1 つの管理者ロールまたは 1 つ以上の機能および 1 つ以上の管理する組織を割り当てる必要があります。Identity Manager 管理者の詳細については、「Identity Manager の管理について」を参照してください。

「ユーザーフォーム」 − ユーザーの作成および編集時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザーフォームを継承します。
「ユーザー表示フォーム」 − ユーザーの表示時に管理者が使用するユーザーフォームを指定します。「なし」を選択すると、管理者は自身の組織に割り当てられたユーザー表示フォームを継承します。
「アカウントポリシー」 − パスワードと認証の制限を設定します。

委任

「ユーザーの作成」ページの「委任」タブを使用すると、作業項目をほかのユーザーに一定期間、委任できます。作業項目の委任の詳細については、「作業項目の委任」を参照してください。

属性

「ユーザーの作成」ページの「属性」領域では、割り当てられたリソースに関連付けられるアカウント属性を定義します。リストされる属性は、割り当てられたリソースごとに分類され、割り当てられたリソースによって異なります。

コンプライアンス

「コンプライアンス」タブ:

ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択できます。
ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定します。組織を介して割り当てられたポリシーについては、ユーザーの現在の組織を編集するか、ユーザーを別の組織に移すことによってのみ変更できます。
ユーザーアカウントに該当するデータがある場合は、次の図に示すように、ポリシーのスキャン、違反、および免除の現在の状態も示されます。選択されたユーザーで最後に実行された監査ポリシースキャンの日時の情報も含まれます。

図 3-3 「ユーザーの作成」ページ − 「コンプライアンス」タブ

監査ポリシーを割り当てるには、選択したポリシーを「利用可能な監査ポリシー」リストから「現在の監査ポリシー」リストへ移動します。

.

注	「ユーザーアクション」リストの「コンプライアンスの状態の表示」を選択することにより、「コンプライアンス」タブの情報にアクセスすることもできます。あるユーザーに対し特定の期間に記録されたコンプライアンス違反を表示するには、「ユーザーアクション」リストから「コンプライアンス違反ログの表示」を選択し、表示するエントリの範囲を指定します。

---

ユーザーの作成およびユーザーアカウントの操作

管理者インタフェースの「アカウント」タブにある「ユーザーリスト」ページでは、次のシステムオブジェクトに対する一連の操作を実行できます。

管理者とユーザー − 表示、作成、編集、移動、名前変更、プロビジョン解除、有効化、無効化、更新、ロック解除、削除、割り当て解除、リンク解除、および監査。

管理者アカウントの作成および編集の詳細は、「Identity Manager の管理について」を参照してください。

組織 − 組織のメンバーに対するユーザーアクションの作成、編集、更新、および実行。

組織の詳細については、「Identity Manager の組織について」を参照してください。

ディレクトリジャンクション − 作成。

ディレクトリジャンクションの詳細については、「ディレクトリジャンクションおよび仮想組織について」を参照してください。

プロセス図の有効化

プロセス図には、ユーザーアカウントの作成時またはユーザーアカウントに対する操作実行時に Identity Manager が従うワークフローが示されます。有効にすると、Identity Manager のタスク完了時に作成される結果ページまたはタスクの概要ページにプロセス図が表示されます。

Identity Manager バージョン 8.0 では、新規インストールとアップグレードインストールの両方でプロセス図が無効に設定されています。

Identity Manager でプロセス図を使用可能にするには、次の手順に従います。

こちらの手順に従って、システム設定オブジェクトを編集用に開きます。
次の XML 要素を見つけます。

<Attribute name='disableProcessDiagrams'>
  <Boolean>true</Boolean>
</Attribute>

値 true を false に変更します。
「Save」をクリックします。
変更を有効にするためにサーバーを再起動します。

プロセス図はエンドユーザーインタフェースでも有効にできますが、事前に上述の手順を実行して管理者インタフェースでプロセス図を有効にする必要があります。詳細は、「エンドユーザーインタフェースでのプロセスダイアグラムの有効化」を参照してください。

ユーザーの作成

Identity Manager でユーザーを作成するには、次の手順に従います。

管理者インタフェースで、「アカウント」をクリックします。
特定の組織内にユーザーを作成するには、組織を選択して、「新規作成アクション」リストから「新規ユーザー」を選択します。

または、最上位の組織にユーザーアカウントを作成するには、「新規作成アクション」リストから「新規ユーザー」を選択します。

次のタブまたはセクションに情報を入力します。
「ID」 − 名前、組織、パスワード、その他の詳細。(こちらを参照。)
「リソース」 − 個別のリソースおよびリソースグループの割り当て、および除外するリソース。(こちらを参照。)
「ロール」 − ロールの割り当て。ロールの詳細については、「ロールとその管理について」を参照してください。「ロール」タブの設定を完了するための手順については、「ユーザーへのロールの割り当て」を参照してください。
「セキュリティー」 − 管理者ロール、管理する組織および機能、ユーザーフォーム設定、およびアカウントポリシー。(こちらを参照。)
「委任」 − 作業項目の委任。(こちらを参照。)
「属性」 − 割り当てられたリソースに対する特定の属性。(こちらを参照。)
「コンプライアンス」 − ユーザーアカウントに対して、アテステーション用と是正用のフォームを選択します。コンプライアンスを使用すると、ユーザーの組織割り当てで有効になっているものを含め、ユーザーアカウントに対して割り当てられた監査ポリシーを指定することもできます。コンプライアンスは、ポリシーのスキャン、違反、および免除の現在の状態を示します。また、ユーザーの前回の監査ポリシースキャンの情報が含まれます。(こちらを参照。)

ある領域で利用可能な選択項目は、別の領域での選択内容により異なることに留意してください。

注	ビジネスプロセスや特定の管理者機能がより適切に反映されるよう、環境に合わせてユーザーフォームをカスタマイズしてください。ユーザーフォームのカスタマイズの詳細については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。

選択が完了したら、ユーザーアカウントを保存するための次の 2 つのオプションを選択できます。
「保存」 − ユーザーアカウントを保存します。アカウントに多数のリソースを割り当てた場合は、このプロセスにしばらく時間がかかります。
「バックグラウンドで保存」 − このプロセスではユーザーアカウントをバックグラウンドタスクとして保存します。この場合は、Identity Manager での作業を引き続き実行できます。「アカウント」ページ、「ユーザーの検索結果」ページ、および「ホーム」ページに、進行中の各保存処理に関するタスクステータスインジケータが表示されます。

ステータスインジケータでは、次の表で説明するように、保存プロセスの進捗を確認できます。

表 3-2 バックグラウンドでの保存タスクのステータスインジケータの説明

ステータスインジケータ	ステータス
	保存プロセスは進行中です。
	保存プロセスは保留されています。ほとんどの場合、これは、プロセスが承認を待っていることを意味します。
	プロセスは正常に完了しました。これは、ユーザーが正常に保存されたことを示すものではありません。プロセスがエラーなしで完了したことを示すものです。
	プロセスはまだ開始されていません。
	プロセスは完了しましたが、1 つ以上のエラーが発生しました。

ステータスインジケータ内に表示されるユーザーアイコンの上にマウスを移動すると、バックグラウンドの保存プロセスについての詳細が表示されます。

注	サンライズが設定されている場合、ユーザーを作成すると、「承認」タブから表示できる作業項目が作成されます。この項目を承認すると、サンライズの日付が上書きされ、アカウントが作成されます。項目を拒否すると、アカウントの作成がキャンセルされます。サンライズの設定の詳細については、「「サンライズとサンセット」タブの設定」を参照してください。

1 人のユーザーに対する複数のリソースアカウントの作成

Identity Manager では、1 人のユーザーに複数のリソースアカウントを割り当てることができます。これには、各リソースに複数のリソースアカウントタイプまたはアカウントタイプを定義することを許可します。リソースアカウントタイプは、必要に応じ、リソースの実用上の各アカウントタイプに合わせて作成してください (例: AIX SuperUser、AIX BusinessAdmin)。

ユーザーに対してリソースごとに複数のアカウントを割り当てる理由

ある状況では、Identity Manager ユーザーはリソースに対して複数のアカウントを必要とすることがあります。ユーザーはリソースに関して異なる複数の職務機能を所持できます。たとえば、ユーザーはリソースのユーザーと管理者の両方になることが可能です。機能ごとに別個のアカウントを使用することをお勧めします。これにより、あるアカウントが使用できなくなっても、ほかのアカウントで許可されているアクセスは引き続き保護されます。

アカウントタイプの設定

リソースで 1 人のユーザーに対する複数のアカウントをサポートするには、最初に Identity Manager でリソースのアカウントタイプを定義する必要があります。リソースに対してリソースアカウントタイプを定義するには、リソースウィザードを使用します。詳しくは、こちらの「アカウントタイプ」を参照してください。

リソースアカウントタイプは、ユーザーに割り当てる前に有効化および設定する必要があります。

アカウントタイプの割り当て

定義したアカウントタイプは、リソースに割り当てることができます。Identity Manager は、アカウントタイプの各割り当てを別個のアカウントとして扱います。そのため、ロール内の各割り当ては、それぞれ異なる属性セットを保持します。

リソースごとに 1 つのアカウントを指定する場合と同様に、特定タイプでの割り当てすべてで、割り当ての数に関係なく、アカウントが 1 つだけ作成されます。

ユーザーを割り当てることができるリソース上の異なるアカウントタイプの数は任意ですが、各ユーザーにはリソース上の指定したタイプのアカウントを 1 つ割り当てることができます。ただし、組み込み型の「デフォルト」タイプは例外です。ユーザーは、リソース上のデフォルトタイプのアカウントを任意の数だけ持つことができます。ただし、フォームやビューでアカウントを参照する際に多義的になるため、この方法は推奨されていません。

ユーザーアカウントの検索と表示

Identity Manager の検索機能を使用して、ユーザーアカウントを検索できます。検索パラメータを入力および選択すると、Identity Manager では選択した条件を満たすすべてのアカウントが検索されます。

アカウントを検索するには、メニューバーの「アカウント」を選択して、「ユーザーの検索」を選択します。次の 1 つ以上の検索の種類でアカウントを検索できます。

ユーザー名、電子メールアドレス、姓、名などのアカウントの詳細。本人が所属する機関に固有の Identity Manager 実装によって選択は異なります。
ユーザーのマネージャー。ユーザー名が Identity Manager 内の既存のアカウントと一致しない場合、管理者のユーザー名が括弧内に表示されます。
リソースアカウントの状態。次のものがあります。
「無効」 − ユーザーは Identity Manager または割り当てられたリソースアカウントのどれにもアクセスできません。
「一部無効」 − ユーザーは割り当てられたリソースアカウントの 1 つ以上にアクセスできません。
「有効」 − ユーザーは割り当てられたリソースアカウントのすべてにアクセスできます。
ユーザーアカウントの状態。次のものがあります。
「ロックされている」 − パスワードまたは質問によるログイン試行の失敗回数が、許容される最大回数を超えたため、ユーザーアカウントがロックされています。
「ロックされていない」 − ユーザーアカウントは制限されていません。
更新の状態。次のものがあります。
「0 個の」 − どのリソースでも更新されていないユーザーアカウント。
「一部」 − 割り当てられたリソースの 1 つ以上 (ただし全部ではない) で更新されたユーザーアカウント。
「すべて」 − 割り当てられたすべてのリソースで更新されたユーザーアカウント。
割り当てられたリソース
ロール (「ロールに割り当てられたユーザーの検索」を参照。)
組織
管理する組織
機能
管理者ロール

検索結果リストには、検索に一致するすべてのアカウントが表示されます。結果ページで次の操作ができます。

編集するユーザーアカウントの選択。アカウントを編集するには、検索結果リストでそのアカウントをクリックするか、またはリストでそのアカウントを選択して「編集」をクリックします。
複数のアカウントに対する操作 (有効化、無効化、ロック解除、削除、更新、またはパスワードの変更/リセットなど) の実行。操作を実行するには、検索結果リスト内でアカウントを 1 つ以上選択し、該当する操作をクリックします。
ユーザーアカウントの作成。

図 3-4 ユーザーアカウントの検索結果

ユーザーの編集

この節では、ユーザーアカウントの表示、編集、再割り当て、および名前の変更について説明します。

ユーザーアカウントの表示

「ユーザーの表示」ページを使ってアカウント情報を表示します。

アカウント情報を表示するには、次の手順に従います。

管理者インタフェースで、メニューの「アカウント」をクリックします。

「ユーザーリスト」ページが開きます。

表示するアカウントを持つユーザーの横にあるボックスを選択します。
「ユーザーアクション」ドロップダウンメニューで、「表示」を選択します。

「ユーザーの表示」ページに、ユーザーの ID、割り当て、セキュリティー、委任、属性、およびコンプライアンス情報のサブセットが表示されます。「ユーザーの表示」ページの情報は表示専用であり、編集はできません。

アカウントリストに戻るには、「キャンセル」をクリックします。

ユーザーアカウントの編集

「ユーザーの編集」ページを使ってアカウント情報を編集します。

アカウント情報を編集するには、次の手順に従います。

管理者インタフェースで、メニューの「アカウント」をクリックします。
編集対象のアカウントを持つユーザーの横にあるボックスを選択します。
「ユーザーアクション」ドロップダウンメニューで、「編集」を選択します。
変更を加えて保存します。

Identity Manager に「リソースアカウントの更新」ページが表示されます。このページには、ユーザーに割り当てられたリソースアカウントと、そのアカウントに適用される変更が表示されます。

割り当てられたすべてのリソースに変更を適用する場合は、「すべてのリソースアカウントの更新」を選択します。あるいは、ユーザーに関連付けられた 1 つ以上のリソースアカウントを個別に選択して更新するか、どのアカウントも選択しないこともできます。
編集を完了する場合は「保存」をもう一度クリックします。さらに変更を加える場合は「編集に戻る」をクリックします。

図 3-5 ユーザーの編集 (リソースアカウントの更新)

別の組織へのユーザーの再割り当て

移動操作を使用すると、1 人以上のユーザーをある組織から削除したり、ユーザーを新しい組織に再割り当て、または移動したりできます。

ユーザーを移動するには、次の手順に従います。

管理者インタフェースで、メニューの「アカウント」をクリックします。

「ユーザーリスト」ページが開きます。

移動するユーザーの横にあるボックスを選択します。
「ユーザーアクション」ドロップダウンメニューで、「移動」を選択します。

「ユーザーの組織の変更」タスクページが開きます。

ユーザーを再割り当てする組織を選択して、「起動」をクリックします。

ユーザーの名前変更

通常、リソースのアカウント名の変更は複雑な操作です。このため、Identity Manager では、ユーザーの Identity Manager アカウントの名前を変更する機能、およびそのユーザーに関連付けられた 1 つ以上のリソースアカウントの名前を変更する機能を別個に用意しています。

名前の変更機能を使用するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「名前の変更」を選択します。

「ユーザーの名前変更」ページでは、ユーザーのアカウント名、関連付けられたリソースアカウント名、およびそのユーザーの Identity Manager アカウントに関連付けられたリソースアカウント属性を変更できます。

注	リソースタイプの一部では、アカウントの名前変更をサポートしません。

次の図に示すように、ユーザーには Active Directory リソースが割り当てられています。名前の変更プロセスでは、次を変更できます。

Identity Manager ユーザーアカウント名
Active Directory リソースアカウント名
Active Directory リソース属性 (フルネーム)

図 3-6 ユーザーの名前変更

アカウントに関連付けられたリソースの更新

更新操作では、ユーザーアカウントに関連付けられたリソースが Identity Manager で更新されます。「アカウント」領域から更新を実行した場合は、以前にユーザーに対して行われた保留中の変更が、選択されたリソースに送信されます。次の場合にこの状況が発生する可能性があります。

更新の実行時にリソースが利用不可能だった場合
ロールまたはリソースグループに対して変更が行われたが、それに関連付けられたすべてのユーザーにその変更を送信する必要がある場合。この場合は、「ユーザーの検索」ページを使用してユーザーを検索し、更新操作の実行対象とする 1 人以上のユーザーを選択する必要があります。

ユーザーアカウントの更新時には、次のオプションを選択できます。

割り当てられたリソースアカウントが更新された情報を受け取るかどうか
すべてのリソースアカウントを更新するか、リストから個別のアカウントを選択するか

1 つのユーザーアカウントのリソース更新

1 つのユーザーアカウントを更新するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

「リソースアカウントの更新」ページで、更新するリソースを 1 つ以上選択するか、または割り当てられたリソースアカウントをすべて更新する場合は「すべてのリソースアカウントの更新」を選択します。選択し終えたら、「OK」をクリックして、更新プロセスを開始します。または、「バックグラウンドで保存」をクリックして、操作をバックグラウンドプロセスとして実行します。

確認ページで各リソースに送信されるデータを確認します。

図 3-7 に「リソースアカウントの更新」ページを示します。

図 3-7 リソースアカウントの更新

複数ユーザーアカウントのリソース更新

複数の Identity Manager ユーザーアカウントを同時に更新できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。

注	複数のユーザーアカウントを更新する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが更新されます。

Identity Manager ユーザーアカウントの削除

Identity Manager では、Identity Manager ユーザーアカウントの削除方法は、リモートアカウントの削除方法と同じです。リソースアカウントを削除する際の手順に従いますが、削除するリモートリソースアカウントを選択する代わりに、Identity Manager アカウントを選択します。

注	ユーザーが未処理の作業項目を保持しているか、別のユーザーに未処理の作業項目を委任している場合、そのユーザーの Identity Manager アカウントを削除することはできません。ユーザーの Identity Manager アカウントを削除する前に、委任された作業項目を解決するか、別のユーザーに転送する必要があります。

詳細については、「1 つのユーザーアカウントからのリソース削除」および「複数のユーザーアカウントからのリソースの削除」を参照してください。

ユーザーアカウントからのリソースの削除

Identity Manager には、リソースから Identity Manager ユーザーアカウントアクセスを削除する複数の方法が用意されています。

「削除」 − 選択した各リソースについて、リモートリソース上のユーザーのアカウントが Identity Manager で削除されます。(Identity Manager からユーザーを削除する場合は、Identity Manager をリソースとして選択します。)
削除されたリソースアカウントは、Identity Manager ユーザーから自動的にリンク解除されます。
削除されたリソースアカウントは、ユーザーから割り当て解除されません。また、「割り当て解除」操作を選択しない限り、リソースはユーザーに割り当てられたままになります。
「割り当て解除」 − 選択した各リソースについて、Identity Manager ではリソースが、ユーザーに割り当てられたリソースのリストから削除されます。
割り当てが解除されたリソースアカウントは、Identity Manager ユーザーから自動的にリンク解除されます。
リモートリソース上のユーザーアカウントは、削除されません。また、「削除」操作を選択しない限り、アカウントはそのままになります。
「リンク解除」 − 選択した各リソースについて、ユーザーのリソースアカウント情報が Identity Manager から削除されます。
「削除」操作を選択しない限り、リモートリソース上のユーザーのアカウントはそのままになります。
「割り当て解除」操作を選択しない限り、リソースはユーザーの割り当て済みリソースのリストに残ります。
ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントをリンク解除する場合は、ユーザーを更新するとリンクが回復されることがあります。

注	「プロビジョン解除」は、「ユーザーリスト」ページメニューにユーザーアクションとして表示されますが、Identity Manager に実際に存在する削除操作は、「削除」、「割り当て解除」、「リンク解除」の 3 つだけです。 リモートリソースのプロビジョンを解除するには、リソース上で「削除」および「割り当て解除」操作を実行します。

1 つのユーザーアカウントからのリソース削除

1 人の Identity Manager ユーザーに対して削除操作を実行するには、次の手順に従います。一度に 1 つのユーザーアカウントを操作することで、個別のリソースアカウントに対して異なる削除、割り当て解除、またはリンク解除あるいはその組み合わせを指定できます。

1 つのユーザーアカウントに対する削除、割り当て解除、またはリンク解除操作を開始するには、次の手順に従います。

管理者インタフェースで、メインメニューの「アカウント」をクリックします。

「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。
リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

「リソースアカウントの削除」ページが表示されます (図 3-8)。

フォームに必要な情報を指定します。「削除」、「割り当て解除」、および「リンク解除」操作の詳細については、「ユーザーアカウントからのリソースの削除」を参照してください。
「OK」をクリックします。

図 3-8 に「リソースアカウントの削除」ページが表示されます。スクリーンショットでは、ユーザー jrenfro はリモートリソース (Simulated Resource) 上にアクティブなアカウントを 1 つ保持しています。「削除」操作を選択すると、フォームの送信時にリソース上の jrenfro のアカウントが削除されます。削除されたアカウントは自動的にリンク解除されるため、このリソースのアカウント情報は Identity Manager から削除されます。「割り当て解除」操作は選択されていないため、Simulated Resource は jrenfro に割り当てられたままです。

jrenfro の Identity Manager アカウントを削除するには、Identity Manager で「削除」操作を選択してください。

図 3-8 リソースアカウントの削除ページ

複数のユーザーアカウントからのリソースの削除

一度に複数の Identity Manager ユーザーアカウントに対して削除操作を実行できます。ただし、選択した削除操作を実行できるのは、ユーザーのすべてのリソースアカウントに対してのみです。

削除操作は、Identity Manager の一括アカウントアクション機能を使っても実行できます。「Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド」を参照してください。

複数のユーザーに対して削除、割り当て解除、リンク解除操作を開始するには、次の手順に従います。

管理者インタフェースで、メインメニューの「アカウント」をクリックします。

「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

1 人以上のユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。
リストからいずれかの「削除」操作 (「削除」、「プロビジョン解除」、「割り当て解除」、または「リンク解除」) を選択します。

Identity Manager に、「削除、割り当て解除、またはリンク解除の確認」ページが表示されます (図 3-9)。

次のいずれかのオプションを選択します。
「ユーザーのみを削除」 − ユーザーの Identity Manager アカウントを削除します。このオプションを選択しても、ユーザーのリソースアカウントの削除や割り当て解除は実行されません。
「ユーザーとリソースアカウントを削除」 − ユーザーの Identity Manager アカウントおよびユーザーのリソースアカウントすべてを削除します。
「リソースアカウントのみ削除」 − ユーザーのリソースアカウントをすべて削除します。このオプションを選択しても、リソースアカウントが割り当て解除されることも、ユーザーの Identity Manager アカウントが削除されることもありません。
「リソースアカウントを削除し、ユーザーに直接割り当てたリソースの割り当てを解除」 − ユーザーのリソースアカウントをすべて削除および割り当て解除しますが、ユーザーの Identity Manager アカウントは削除しません。
「ユーザーに直接割り当てたリソースアカウントの割り当てを解除」 − 直接割り当てられたリソースアカウントの割り当てを解除します。このオプションを選択しても、リモートリソース上のユーザーのアカウントは削除されません。ロールまたはリソースグループを介して割り当てられたリソースアカウントは、影響を受けません。
「ユーザーからリソースアカウントのリンクを解除」 − ユーザーのリソースアカウント情報が、Identity Manager から削除されます。リモートリソース上のユーザーのアカウントは、削除されることも割り当て解除されることもありません。ロールまたはリソースグループを介して間接的にユーザーに割り当てられたアカウントは、ユーザーの更新時に復元されることがあります。
「OK」をクリックします。

図 3-9 に、「削除、割り当て解除、またはリンク解除の確認」ページを示します。ページの上部に、複数のユーザーに実行可能な 6 つの操作が表示されます。ページの下部には、選択した操作の影響を受けるユーザーが表示されます。

図 3-9 「削除、割り当て解除、またはリンク解除の確認」ページ

ユーザーパスワードの変更

すべての Identity Manager ユーザーには、パスワードが割り当てられます。Identity Manager ユーザーパスワードが設定されると、そのパスワードを使用してユーザーのリソースアカウントパスワードが同期されます。1 つ以上のリソースアカウントパスワードを同期させることができない場合 (たとえば、必須パスワードポリシーに従う場合) は、個別に設定できます。

注	アカウントパスワードポリシーおよびユーザー認証の一般情報については、「アカウントセキュリティーと特権の管理」を参照してください。

「ユーザーリスト」ページからのパスワードの変更

「ユーザーリスト」ページ (「アカウント」>「アカウントのリスト」) から、「パスワードの変更」ユーザーアクションを実行できます。

「ユーザーリスト」ページからユーザーアカウントパスワードを変更するには、次の手順に従います。

管理者インタフェースで、メインメニューの「アカウント」をクリックします。

「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。

ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。
パスワードを変更するには、「パスワードの変更」を選択します。

「ユーザーパスワードの変更」ページが開きます。

新規パスワードを入力して、「パスワードの変更」ボタンをクリックします。

メインメニューからのパスワード変更

メインメニューからユーザーアカウントパスワードを変更するには、次の手順に従います。

管理者インタフェースで、メインメニューの「パスワード」をクリックします。

「ユーザーパスワードの変更」ページがデフォルトで表示されます。

図 3-10 ユーザーパスワードの変更



検索用語 (アカウント名、電子メールアドレス、名、姓など) を選択してから、検索タイプ (「が次の文字列で始まる」、「が次の文字列を含む」、または「が次の文字列と等しい」) を選択します。
入力フィールドに検索用語の文字を 1 つ以上入力して、「検索」をクリックします。入力した文字が ID に含まれているすべてのユーザーのリストが返されます。ユーザーをクリックして選択すると、「ユーザーパスワードの変更」ページに戻ります。
新しいパスワード情報を入力して確認し、「パスワードの変更」をクリックして、一覧表示されたリソースアカウントのユーザーパスワードを変更します。パスワードを変更するために実行した一連の操作を示すワークフロー図が表示されます。

ユーザーパスワードのリセット

Identity Manager ユーザーアカウントパスワードのリセットプロセスは、変更プロセスに類似しています。リセットプロセスがパスワードの変更と異なるのは、新しいパスワードを指定しない点です。代わりに、Identity Manager が、選択した項目とパスワードポリシーに応じて、ユーザーアカウント、リソースアカウント、またはその組み合わせの新しいパスワードをランダムに生成します。

直接の割り当てまたはユーザーの組織を通じた割り当てによってユーザーに割り当てられたポリシーは、次のようなリセットオプションを制御します。

リセットが無効化されるまでにパスワードがリセットされる頻度
新しいパスワードを表示または送信する対象。ロールに対して選択した「リセット通知オプション」に応じて、Identity Manager は新しいパスワードを電子メールでユーザーに送信するか、リセットをリクエストした Identity Manager 管理者に結果ページで表示します。

「ユーザーリスト」ページからのパスワードのリセット

「パスワードのリセット」ユーザーアクションは、「ユーザーリスト」ページ (「アカウント」>「アカウントのリスト」) で実行できます。

「ユーザーリスト」ページからパスワードをリセットするには、次の手順に従います。

管理者インタフェースで、メインメニューの「アカウント」をクリックします。「アカウントのリスト」タブに「ユーザーリスト」ページが表示されます。
ユーザーを選択して、「ユーザーアクション」ドロップダウンメニューをクリックします。
パスワードをリセットするには、「パスワードのリセット」を選択します。

「ユーザーパスワードのリセット」ページが開きます。

「パスワードのリセット」ボタンをクリックします。

Identity Manager アカウントポリシーを使用したパスワードの期限切れ設定

デフォルトでは、ユーザーパスワードをリセットすると、そのパスワードはただちに期限切れになります。つまり、リセット後にユーザーがはじめてログインするとき、アクセスするためには新しいパスワードを選択する必要があります。このデフォルトの設定をフォームで無効にし、ユーザーに関連付けられている Identity Manager アカウントポリシーで設定された期限切れパスワードポリシーに従ってユーザーのパスワードを期限切れにすることができます。

パスワード変更要件を無効にするには、「ユーザーパスワードのリセット」フォームを編集して、次の値を false に設定します。

resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword

Identity Manager アカウントポリシーの「リセットオプション」フィールドを使用すると、次の 2 つの方法でパスワードを期限切れにすることができます。

「半永久」 − passwordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。
「一時」 − tempPasswordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。tempPasswordExpiry の値が 0 に設定されている場合、パスワードはただちに期限切れになります。

tempPasswordExpiry 属性が適用されるのは、パスワードがリセットされる (ランダムに変更される) ときだけです。これは、パスワードの変更には適用されません。

ユーザーアカウントの無効化、有効化、およびロック解除

この節では、Identity Manager ユーザーアカウントを無効化および有効化する方法について説明します。また、Identity Manager アカウントがロックアウトされてしまったユーザーをサポートする方法についても説明します。

ユーザーアカウントの無効化

ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。

管理者は管理者インタフェースからユーザーアカウントを無効化できますが、ユーザーアカウントをロックすることはできません。アカウントがロックされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合だけです。

注	割り当てられたリソースがアカウントの無効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、Identity Manager を使ってランダムに生成される新規パスワードを割り当てることにより、そのリソース上のユーザーアカウントを無効にできます。 この機能が正しく動作することを確認するには、次の手順に従います。 リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。(このウィザードの表示方法については、「リソースウィザードを使用したリソース編集」を参照。) 「アカウント機能の設定」テーブルで、「パスワード」機能と「無効化」機能の両方の「無効化」列にチェックマークが付いていないことを確認します。(「無効化」機能を表示するには、「すべての機能を表示」を選択します。) 「無効化」機能の「無効化」列にチェックマークが付いている場合は、リソース内のアカウントを無効にすることはできません。

1 つのユーザーアカウントの無効化

ユーザーアカウントを無効にするには、「ユーザーリスト」でユーザーアカウントを選択して、「ユーザーアクション」ドロップダウンメニューの「無効化」を選択します。

表示された「無効化」ページで、無効化するリソースアカウントを選択し、「OK」をクリックします。Identity Manager ユーザーアカウントと、それに関連付けられたすべてのリソースアカウントを無効化した結果が表示されます。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。

複数のユーザーアカウントの無効化

複数の Identity Manager ユーザーアカウントを同時に無効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。

.

注	複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。

ユーザーアカウントの有効化

ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。

選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。

ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。または、管理特権を持つユーザーがこのパスワードをリセットできます。

注	割り当てられたリソースがアカウントの有効化をネイティブにサポートしてはいないが、パスワードの変更はサポートしている場合、Identity Manager でパスワードをリセットすることにより、そのリソース上のユーザーアカウントを有効にできます。 この機能が正しく動作することを確認するには、次の手順に従います。 リソースの編集ウィザードで、「アイデンティティーシステムのパラメータ」ページを開きます。(このウィザードの表示方法については、「リソースウィザードを使用したリソース編集」を参照。) 「アカウント機能の設定」テーブルで、「パスワード」機能と「有効化」機能の両方の「無効化」列にチェックマークが付いていないことを確認します。(「有効化」機能を表示するには、「すべての機能を表示」を選択します。) 「有効化」機能の「無効化」列にチェックマークが付いている場合は、リソース内のアカウントを有効にすることはできません。

1 つのユーザーアカウントの有効化

1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

表示された「有効化」ページで、有効化するリソースを選択し、「OK」をクリックします。Identity Manager アカウントと、それに関連付けられたすべてのリソースアカウントを有効化した結果が表示されます。

複数のユーザーアカウントの有効化

複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。

注	複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。

ユーザーアカウントのロック解除

ユーザーが Identity Manager へのログインに失敗した場合、そのユーザーはロックアウトされます。ロックアウトされるのは、Identity Manager アカウントポリシーで定義されたログイン試行の失敗回数を超過した場合です。

注	Identity Manager のロックアウトに数えられるのは、Identity Manager ユーザーインタフェースに対するログイン試行だけです (つまり、管理者インタフェース、エンドユーザーインタフェース、コマンド行インタフェース、SPML API インタフェースのいずれか)。リソースアカウントへのログイン試行の失敗はカウントされず、Identity Manager アカウントのロックアウトの原因にはなりません。

パスワードまたは質問によるログイン試行の最大失敗回数は、Identity Manager アカウントポリシーにより設定されます。

パスワードによるログイン試行の最大失敗回数を超えたユーザーは、秘密の質問によるログインインタフェースを含む Identity Manager アプリケーションインタフェースすべてでロックアウトされます。
質問によるログイン試行の最大失敗回数を超過したユーザーは、秘密の質問によるログインを除く任意の Identity Manager アプリケーションインタフェースへの認証を実行できます。

パスワードによるログイン試行の失敗

パスワードによるログイン試行の失敗回数の超過のために Identity Manager からロックアウトされたユーザーは、管理者がアカウントをロック解除するか、ロックが期限切れになるまでログインできません。

管理者は、ユーザーのメンバー組織、および「ユーザーのロック解除」機能を管理している場合にアカウントをロック解除できます。
ロックアウトの有効期限が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。パスワードによるログイン試行失敗のロックアウトの有効期限は、「パスワードログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

質問によるログイン試行の失敗

質問によるログイン試行の失敗回数を超過したために秘密の質問によるログインインタフェースでロックアウトされるユーザーは、管理者がアカウントのロックを解除するか、ロックされたユーザー (または該当する機能を持つユーザー) がユーザーのパスワードを変更するか、ロックの期限が切れるまで、このインタフェースにログインできなくなります。

管理者は、ユーザーのメンバー組織、および「ユーザーのロック解除」機能を管理している場合にアカウントをロック解除できます。
ロックアウトの有効期限が Identity Manager アカウントポリシーで設定されている場合、アカウントに設定されているロックは時間が経過すると期限切れになります。質問によるログイン試行の失敗のロックアウトの有効期限は、「質問ログインに失敗したために発生したアカウントロックの有効期間」の値により設定されます。

適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。

更新 (リソースの再プロビジョンを含む)
パスワードの変更またはリセット
無効化または有効化
名前の変更
ロック解除

アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。

---

一括アカウントアクション

Identity Manager アカウントに対していくつかの一括アクションを実行できます。これにより、複数のアカウントを同時に操作することができます。

次の一括アクションを開始できます。

削除 − このアクションは、選択したリソースアカウントを削除、割り当て解除、またはリンク解除します。各ユーザーの Identity Manager アカウントも削除するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
削除とリンク解除 − このアクションは、選択したリソースアカウントを削除し、ユーザーからアカウントをリンク解除します。
無効化 − 選択したリソースアカウントをすべて無効化します。各ユーザーの Identity Manager アカウントも無効化するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
有効化 − 選択したリソースアカウントをすべて有効化します。各ユーザーの Identity Manager アカウントを有効にするには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
割り当て解除、リンク解除 − 選択したリソースアカウントをリンク解除し、それらのリソースに対する Identity Manager ユーザーアカウントの割り当てを削除します。割り当て解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントを割り当て解除することはできません。
リンク解除 − リソースアカウントから、Identity Manager ユーザーアカウントとの関連付け (リンク) を削除します。リンク解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントをリンク解除した場合は、ユーザーを更新するとリンクを回復できます。

一括アクションは、ファイルか、電子メールクライアントやスプレッドシートプログラムなどのアプリケーションにユーザーのリストを保存している場合にもっとも役立ちます。ユーザーのリストをこのインタフェースページのフィールドにコピーして貼り付けることも、ファイルからユーザーのリストを読み込むこともできます。

これらの操作の大部分を、ユーザーの検索結果に対して実行できます。ユーザーの検索には、「ユーザーの検索」ページ (「アカウント」>「ユーザーの検索」) を使用します。

タスクの終了時にタスク結果が表示されたときに「CSV のダウンロード」をクリックすることにより、一括アカウントアクションの結果を CSV ファイルに保存できます。

一括アカウントアクションの起動

一括アカウントアクションを起動するには、次の手順に従います。

管理者インタフェースで、メインメニューの「アカウント」をクリックします。
二次的なメニューで、「一括アクションの起動」をクリックします。
フォームに必要な情報を指定して、「起動」をクリックします。

Identity Managerはバックグラウンドタスクを起動して一括アクションを実行します。

一括アクションタスクの状態を監視するには、メインメニューの「サーバータスク」をクリックして、「すべてのタスク」をクリックします。

アクションリストの使用

一括アクションのリストをカンマ区切り値 (comma-separated value; CSV) 形式で指定できます。これにより、各種操作を 1 つのアクションリストに混在させることができます。また、複雑な作成および更新の操作も指定できます。

CSV 形式は、2 行以上の入力行で構成されます。各行は、カンマで区切った値のリストで構成されます。1 行目にはフィールド名を指定します。以降の各行は、Identity Manager ユーザーまたはユーザーのリソースアカウント、あるいはその両方に対して実行する操作に対応します。各行に同じ数の値を指定する必要があります。空の値を指定すると、対応するフィールドの値は変更されないまま残ります。

どの一括アクション CSV にも必須のフィールドが 2 つあります。

user − Identity Manager ユーザーの名前を指定します。
command − Identity Manager ユーザーに対して実行する操作を指定します。有効なコマンドを次に示します。
Delete − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を削除、割り当て解除、およびリンク解除します。
DeleteAndUnlink − リソースアカウントを削除してリンク解除します。
Disable − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を無効化します。
Enable − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を有効化します。
Unassign − リソースアカウントを割り当て解除してリンク解除します。
Unlink − リソースアカウントをリンク解除します。
Create − Identity Manager アカウントを作成します。オプションの作業として、リソースアカウントを作成します。
Update − Identity Manager アカウントを更新します。オプションの作業として、リソースアカウントを作成、更新、または削除します。
CreateOrUpdate − Identity Manager アカウントが存在しない場合は作成操作を実行します。存在する場合は更新操作を実行します。

Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド

Delete、DeleteAndUnlink、Disable、Enable、Unassign、または Unlink 操作を実行する場合、ほかに指定する必要のあるフィールドは resources のみです。resources フィールドは、どのリソースのどのアカウントに影響を与えるかを指定するために使用します。

resources フィールドには、次の値を指定できます。

all − Identity Manager アカウントを含むすべてのリソースアカウントを処理します。
resonly − Identity Manager アカウントを除くすべてのリソースアカウントを処理します。
resource_name [ | resource_name ... ] − 指定されたリソースアカウントを処理します。Identity Manager アカウントを処理するには、Identity Manager を指定します。

これらの操作のいくつかを、CSV 形式にした例を次に示します。

command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris Server

Create、Update、および CreateOrUpdate コマンド

Create、Update、または CreateOrUpdate コマンドを実行する場合は、user フィールドと command フィールドのほかに、ユーザー画面のフィールドを指定できます。使用するフィールド名は、画面の属性のパス表現です。ユーザー画面で使用可能な属性については、『Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。カスタマイズしたユーザーフォームを使用している場合は、フォームのフィールド名に、使用可能なパス表現がいくつか含まれています。

一括アクションで使用する一般的なパス表現のいくつかを次に示します。

waveset.roles − Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト。
waveset.resources − Identity Manager アカウントに割り当てる 1 つ以上のリソース名のリスト。
waveset.applications − Identity Manager アカウントに割り当てる 1 つ以上のアプリケーション名のリスト。
waveset.organization − Identity Manager アカウントを配置する組織名。
accounts[resource_name].attribute_name − リソースアカウント属性。属性名はリソースのスキーマにリストします。

作成および更新操作を、CSV 形式にした例を次に示します。

command,user,waveset.resources,password.password,password.confirmPa ssword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California

複数の値を持つフィールド

一部のフィールドには複数の値を指定できます。これらは複数値フィールドと呼ばれます。たとえば、waveset.resources フィールドでは、ユーザーに複数のリソースを割り当てることができます。1 つのフィールド内の複数の値を区切るには、縦棒 (|) 文字 (「パイプ」文字とも呼ばれる) を使用します。複数値の構文は、次のように指定できます。

value0 | value1 [ | value2 ... ]

既存のユーザーの複数値フィールドを更新する場合、現在のフィールドの値を 1 つ以上の新しい値で置き換えても、希望する指定にならないことがあります。値を一部削除したり、現在の値に追加する場合もあります。フィールド指示を使用すれば、既存のフィールドの値をどのように処理するかを指定できます。フィールド指示は、次のように、フィールド値の前に縦棒で囲んで指定します。

|directive [ ; directive ] | field values

選択できる指示は次のとおりです。

Replace − 現在の値を指定した値で置き換えます。指示を指定しない場合 (または、List 指示のみを指定した場合) は、これがデフォルトになります。
Merge − 指定した値を現在の値に追加します。重複する値はフィルタされます。
Remove − 指定した値を現在の値から削除します。
List − フィールドの値が 1 つしかない場合でも、複数の値があるかのように強制的に処理します。ほとんどのフィールドは値の数に関係なく適切に処理されるため、通常、この指示は必要ありません。別の指示とともに指定できるのはこの指示だけです。

注	フィールド値は大文字と小文字を区別します。Merge および Remove の指示を指定する場合はこれが重要です。値を正しく削除したり、マージで複数の類似した値ができないようにするには、値が正確に一致しなければなりません。

フィールド値の特殊文字

フィールド値にカンマ (,) または二重引用符 (") 文字を指定する場合、あるいは先行または後続するスペースを維持する場合は、フィールド値を二重引用符で囲む必要があります ("フィールド値")。さらに、フィールド値の二重引用符は 2 つの二重引用符 (") 文字で置き換える必要があります。たとえば、"John ""Johnny"" Smith" は、フィールド値で John "Johnny" Smith という結果になります。

縦棒 (|) または円記号 (¥) 文字をフィールド値に含める場合は、その前に円記号を指定する必要があります (¥| または ¥¥)。

一括アクションの表示属性

Create、Update、または CreateOrUpdate 操作を実行する場合は、ユーザー画面に、一括アクション処理でしか使用しない、または使用できない追加の属性があります。これらの属性はユーザーフォームで参照可能であり、一括アクションに固有の動作を可能にします。属性は次のとおりです。

waveset.bulk.fields.field_name − この属性には、CSV の入力から読み込まれたフィールドの値が含まれます。field_name にはフィールド名を指定します。たとえば、command フィールドと user フィールドはそれぞれ、パス表現 waveset.bulk.fields.command および waveset.bulk.fields.user の属性内にあります。
waveset.bulk.fieldDirectives.field_name − この属性は、指示を指定したフィールドに対してのみ定義されます。値は指示文字列です。
waveset.bulk.abort − 現在の操作をアボートさせるには、このブール属性を true に設定します。
waveset.bulk.abortMessage − waveset.bulk.abort が true に設定されているときに表示するメッセージ文字列を設定します。この属性を設定しない場合は、汎用的なアボートメッセージが表示されます。

相関規則と確認規則

操作の user フィールドに入力できる Identity Manager ユーザー名がわからない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括アクションを開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。

相関規則では、操作フィールドと一致する Identity Manager ユーザーを検索します。確認規則では、操作フィールドに対して Identity Manager ユーザーをテストし、ユーザーが一致するかどうかを確認します。この 2 段階のアプローチを使用すると、名前または属性を基にして可能性のあるユーザーをすばやく検出し、可能性のあるユーザーに対してのみ負荷が大きいチェックを実行することで、Identity Manager による相関を最適化することができます。

相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。

相関規則と確認規則の詳細については、『Identity Manager の配備に関する技術情報』の「データ読み込みと同期」の章を参照してください。

相関規則

相関規則の入力は、操作フィールドのマップです。出力は次のいずれかである必要があります。

文字列 (ユーザー名または ID を含む)
文字列要素 (ユーザー名または ID) のリスト
WSAttribute 要素のリスト
AttributeCondition 要素のリスト

一般的な相関規則は、操作のフィールドの値に基づいてユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。

相関規則は比較的負荷がかからず、同時に可能なかぎり選択的である必要があります。可能な場合、負荷のかかる処理は確認規則に回します。

属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、IDM Schema Configuration という名前の Identity Manager 設定オブジェクト内で設定されます。

拡張属性の相関を行うには特別な設定が必要です。

拡張属性は、照会可能として指定する必要があります。拡張属性を照会可能に設定するには、次の手順に従います。
IDM Schema Configuration を開きます。IDM Schema Configuration を表示または編集するには、IDM Schema Configuration 機能を保持している必要があります。
<IDMObjectClassConfiguration name='User'> 要素を見つけます。
<IDMObjectClassAttributeConfiguration name='xyz'> 要素を見つけます。xyz は照会可能に設定する属性の名前です。
queryable='true' を設定します。

コード例 3-1 では、email 拡張属性が照会可能として定義されています。

コード例 3-1 email 拡張属性を照会可能として定義する XML (抜粋)

<IDMSchemaConfiguration>   <IDMAttributeConfigurations>     <IDMAttributeConfiguration name='email'                                syntax='STRING'/>     </IDMAttributeConfiguration>   </IDMAttributeConfigurations>   <IDMObjectClassConfigurations>     <IDMObjectClassConfiguration name='User'                                  extends='Principal'                                  description='User description'>        <IDMObjectClassAttributeConfiguration name='email'                                              queryable='true'/>     </IDMObjectClassConfiguration>   </IDMObjectClassConfigurations> </IDMSchemaConfiguration>

IDM Schema Configuration の変更を有効にするために、Identity Manager アプリケーション (またはアプリケーションサーバー) を再起動する必要があります。

確認規則

確認規則の入力は次のとおりです。

userview − Identity Manager ユーザーの完全表示。
account − 操作フィールドのマップ。

確認規則は、ユーザーが操作フィールドに一致する場合は true、それ以外の場合は false という文字列形式のブール値を返します。

一般的な確認規則は、ユーザー表示の内部値と操作フィールドの値を比較します。相関処理のオプションの 第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。一般に、次のような場合にのみ確認規則が必要です。

相関規則が複数の一致するユーザーを返す
比較する必要があるユーザー値がクエリー可能ではない

確認規則は、相関規則によって返される一致したユーザーごとに 1 回実行されます。

---

アカウントセキュリティーと特権の管理

ここでは、セキュリティー保護されたアクセスをユーザーアカウントに与え、Identity Manager でユーザー特権を管理するために実行できる操作について説明します。

パスワードポリシーの設定
ユーザー認証
管理特権の割り当て

パスワードポリシーの設定

リソースパスワードポリシーは、パスワードの制限を設定します。強力なパスワードポリシーは、セキュリティーを高め、承認されていないログイン試行からリソースを保護する上で役立ちます。パスワードポリシーを編集して、一連の特性に対する値を設定または選択することができます。

パスワードポリシーの操作を開始するには、メインメニューの「セキュリティー」をクリックし、「ポリシー」をクリックします。

パスワードポリシーを編集するには、「ポリシー」リストで目的のポリシーをクリックします。パスワードポリシーを作成するには、オプションの「新規」リストから「文字列の品質ポリシー」を選択します。

注	ポリシーの詳細については、「Identity Manager ポリシーの設定」を参照してください。

ポリシーの作成

パスワードポリシーは、文字列の品質ポリシーのデフォルトのタイプです。新しいポリシーの名前と任意で説明を指定したあとで、ポリシーを定義する規則のオプションとパラメータを選択します。

長さ規則

長さ規則は、パスワードの最小および最大必要文字数を設定します。このオプションを選択して規則を有効にし、規則の制限値を入力します。

文字タイプ規則

文字タイプ規則は、パスワードに指定できる特定のタイプの文字の最小および最大個数を設定します。次のものがあります。

英字、数字、大文字、小文字、および特殊文字の最小および最大個数
挿入される数字の最小および最大個数
繰り返し文字および連続文字の最大個数
先頭の英字および数字の最小個数

各文字タイプ規則に制限数値を入力します。または、All を入力して、すべての文字がそのタイプになるように指定します。

文字タイプ規則の最小個数    

図 3-11 に示すように、検証にパスする必要がある、文字タイプ規則の最小個数も設定できます。パスする必要のある最小個数は 1 です。最大個数は、有効にした文字タイプ規則の個数を越えることはできません。

注	パスする必要のある最小個数を最大値に設定するには、All と入力します。

図 3-11 パスワードポリシー (文字タイプ) 規則

辞書ポリシーの選択

単純な辞書攻撃から保護するために、辞書の単語と照合してパスワードをチェックすることもできます。このオプションを使用するには、次を実行する必要があります。

辞書の設定
辞書の単語の読み込み

辞書は「ポリシー」ページから設定します。辞書の設定の詳細については、「辞書ポリシー」を参照してください。

パスワード履歴ポリシー

新しく選択されたパスワードの直前に使用されていたパスワードの再利用を禁止することができます。

現在および直前のパスワードの再利用を禁止するには、「再使用してはいけない旧パスワードの個数」フィールドに 1 よりも大きい数値を入力します。たとえば、3 を入力した場合は、新しいパスワードを、現在のパスワードおよびその直前の 2 個のパスワードと同じにすることはできません。

以前に使用していたパスワードと類似した文字の再利用を禁止することもできます。「再使用できない旧パスワードに含まれる類似文字の最大個数」フィールドに、新しいパスワードで繰り返すことのできない、過去のパスワードからの連続文字の最大数を入力します。たとえば、7 を入力した場合、過去のパスワードが password1 であれば、新しいパスワードとして password2 や password3 を使用することはできません。

0 を指定した場合、連続性に関係なく、過去のパスワードに含まれるすべての文字を使用できません。たとえば、過去のパスワードが abcd の場合、新しいパスワードに a、b、c、d の各文字を使用することはできません。

この規則は、過去の 1 つ以上のパスワードに適用できます。チェックの対象となる過去のパスワードの数は、「再使用してはいけない旧パスワードの個数」フィールドに指定します。

使用禁止単語

パスワードに含むことのできない単語を 1 つ以上入力できます。入力ボックスで、1 行に 1 つずつ単語を入力してください。

また、辞書ポリシーを設定して実装することで、単語を除外することもできます。詳細については、「辞書ポリシー」を参照してください。

使用禁止属性

パスワードに含むことのできない属性を 1 つ以上選択します。属性には次のものがあります。

accountID
email
firstname
fullname
lastname

パスワードに含むことのできる一連の「使用禁止」属性を、UserUIConfig 設定オブジェクトで変更できます。詳細については、「ポリシーでの使用禁止属性」を参照してください。

パスワードポリシーの実装

パスワードポリシーは、リソースごとに設定します。パスワードポリシーを特定のリソースに割り当てるには、オプションの「パスワードポリシー」リストからポリシーを選択します。このリストは、「リソースの作成または編集ウィザード: Identity Manager パラメータ」ページの「ポリシー設定」領域にあります。

ユーザー認証

パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウントの秘密の質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。

アカウントポリシーで認証を設定するには、次の手順に従います。

メインメニューの「セキュリティー」をクリックしてから、「ポリシー」をクリックします。
ポリシーのリストから「Default Identity Manager Account Policy」を選択します。

ページの「二次認証ポリシーオプション」領域で認証を選択できます。

重要 !最初の設定時に、ユーザーはユーザーインタフェースにログインして、秘密の質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。

秘密の質問ポリシーにより、ユーザーがログインページの「パスワードをお忘れですか ?」ボタンをクリックしたとき、または「自分の秘密の質問の回答の変更」ページにアクセスしたときの動作を決定できます。表 3-3 で、各オプションについて説明します。

表 3-3 秘密の質問ポリシーのオプション 

オプション	説明
ラウンドロビン	Identity Manager は設定済みの質問リストから次の質問を選択して、ユーザーに割り当てます。最初のユーザーには秘密の質問リストの最初の質問が割り当てられ、2 番目のユーザーには 2 番目の質問が割り当てられます。質問の数がリストを超過するまで、この処理が続けられます。超過した時点で、質問が順番にユーザーに割り当てられます。たとえば、10 個の質問がある場合、11 番目と 21 番目のユーザーには最初の質問が割り当てられます。 表示されるのは、選択した質問だけです。ユーザーに毎回違う質問をするには、「ランダム」ポリシーを使って質問の数を 1 に設定します。 ユーザーが秘密の質問を独自に定義することはできません。この機能の詳細については、「ユーザー独自の秘密の質問」を参照してください。
ランダム	管理者は、このオプションを使ってユーザーが回答する必要のある質問の数を指定できます。Identity Manager は、ポリシーで定義された質問およびユーザー独自の質問のリストから、指定された数の質問をランダムに選択して表示します。ユーザーは、表示されるすべての質問に答える必要があります。
いずれか	Identity Manager は、ポリシーで定義された質問およびユーザーの定義した質問をすべて表示します。このオプションでは、ユーザーが回答する必要のある質問の数を指定する必要があります。
すべて	ユーザーは、ポリシーで定義された質問およびユーザー独自の質問のすべてに答える必要があります。

Identity Manager ユーザーインタフェースにログインして「パスワードをお忘れですか?」をクリックし、表示された質問に回答することで、認証の選択を確認することができます。

図 3-12 に「ユーザーアカウント認証」画面の例を示します。

図 3-12 ユーザーアカウント認証

ユーザー独自の秘密の質問

Identity Manager アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の秘密の質問を入力できるようにするオプションを選択できます。また、ユーザー独自の秘密の質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。

設定後、ユーザーは、「秘密の質問の回答の変更」ページから質問を追加および変更できます。このページの例は、図 3-13 に示されています。

図 3-13 回答の変更 − ユーザー独自の秘密の質問

認証後のパスワード変更リクエストのバイパス

ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力がリクエストされます。ただし、bypassChangePassword システム設定プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更リクエストをバイパスするように Identity Manager を設定できます。

システム設定オブジェクトの編集手順については、こちらを参照してください。

認証に成功したあと、すべてのアプリケーションでパスワードの変更リクエストをバイパスするには、System Configuration オブジェクトで bypassChangePassword プロパティーを次のように設定します。

コード例 3-2 パスワード変更リクエストをバイパスするための属性の設定

<Attribute name="ui"   <Object>     <Attribute name="web">       <Object>         <Attribute name='questionLogin'>           <Object>             <Attribute name='bypassChangePassword'>               <Boolean>true</Boolean>             </Attribute>           </Object>         </Attribute>         ...       </Object>     ...

特定のアプリケーションでこのパスワードリクエストを無効にするには、次のように設定します。

コード例 3-3 パスワード変更リクエストを無効にするための属性の設定

<Attribute name="ui">   <Object>     <Attribute name="web">       <Object>         <Attribute name='user'>           <Object>             <Attribute name='questionLogin'>               <Object>                 <Attribute name='bypassChangePassword'>                   <Boolean>true</Boolean>                 </Attribute>               </Object>             </Attribute>               </Object>         </Attribute>         ...       </Object>     ...

管理特権の割り当て

次のような Identity Manager 管理特権または機能を、ユーザーに割り当てられます。

管理者ロール − 管理者ロールを割り当てられたユーザーは、このロールで定義された機能および管理する組織を継承します。すべての Identity Manager ユーザーアカウントには、デフォルトでユーザー管理者ロールが作成時に割り当てられます。管理者ロールと管理者ロールの作成の詳細については、第 4 章の「リソースとその管理について」を参照してください。
機能 − 機能は規則によって定義されます。Identity Manager では、機能は実用上の機能にグループ化され、このグループから選択することができます。機能の割り当てによって、より細かく管理特権を割り当てることができます。機能と機能の作成の詳細については、第 6 章の「機能とその管理について」を参照してください。
管理する組織 − 管理する組織は、指定した組織に対する管理コントロール特権を与えます。詳細については、第 6 章の「Identity Manager の組織について」を参照してください。

Identity Manager 管理者と管理作業の詳細については、第 6 章「管理」を参照してください。

---

ユーザーの自己検索

Identity Manager エンドユーザーインタフェースによって、エンドユーザーはリソースアカウントを検索できます。つまり、Identity Manager ID を持つユーザーは、存在するが、関連付けられていないリソースアカウントを ID に関連付けることができます。

自己検索の有効化

自己検索を有効にするには、特別な設定オブジェクト (エンドユーザーリソース) を編集して、アカウントの検索を許可される各リソースの名前を追加する必要があります。

自己検索を有効にするには、次の手順に従います。

End User Resources 設定オブジェクトを編集します。

Identity Manager 設定オブジェクトの編集手順については、「Identity Manager 設定オブジェクトの編集」を参照してください。

<String>Resource</String> を追加します。ここで、図 3-14 に示すように、Resource はリポジトリ内のリソースオブジェクトの名前と一致します。

図 3-14 エンドユーザーリソースの設定オブジェクト



「保存」をクリックします。

自己検索が有効になっている場合、Identity Manager ユーザーインタフェースの「プロファイル」メニュータブの下に新しい選択項目が表示されます (「自己検索」)。この領域により、ユーザーは、利用可能リストからリソースを選択し、リソースアカウント ID とパスワードを入力してアカウントを自分の Identity Manager ID にリンクすることができます。

注	Identity Manager 設定オブジェクトにエンドユーザーアクセスを提供するために、管理者は「エンドユーザー」組織も使用できます。詳細は、「「エンドユーザー」組織」を参照してください。

---

匿名登録

匿名登録機能を使用すると、Identity Manager アカウントを持っていないユーザーがアカウントをリクエストして取得することができます。

匿名登録の有効化

デフォルトで、匿名登録機能は無効になっています。

匿名登録機能を有効にするには、次の手順に従います。

管理者インタフェースで、「設定」をクリックしてから「ユーザーインタフェース」をクリックします。
「匿名登録」領域で「有効化」オプションを選択し、「保存」をクリックします。

ユーザーがユーザーインタフェースにログインすると、ログインページに「はじめてのユーザーですか?」というテキストと「アカウントのリクエスト」というリンクが表示されます。

注	「はじめてのユーザーですか? アカウントのリクエスト」というテキストは、カスタマイズ可能です。詳細は、『Identity Manager の配備に関する技術情報』を参照してください。

図 3-15 「アカウントのリクエスト」リンクの有効な「ユーザーインタフェース」ページ

匿名登録の設定

「ユーザーインタフェース」ページの「匿名登録」領域から、匿名登録プロセスのオプションを設定できます。

「通知テンプレート」 − アカウントをリクエストしているユーザーへの通知メールの送信に使用される電子メールテンプレートの ID を指定します。
「プライバシーポリシーへの同意が必要」 − これを選択した場合、ユーザーはアカウントをリクエストする前に、プライバシーポリシーを受け入れる必要があります。これはデフォルトで有効になっています。
「検証の有効化」 − これを選択した場合、ユーザーはアカウントをリクエストする前に、その登録内容を検証する必要があります。これはデフォルトで有効になっています。
「プロセス開始 URL」 − URL を入力し、匿名登録プロセスでどのワークフローを使用するかを指定します。
「通知の有効化」 − これを選択すると、アカウントが作成されたときに、通知電子メールがユーザーに送信されます。
「電子メールドメイン」 − ユーザーの電子メールアドレスの構築に使用される電子メールドメインの名前を入力します。

完了したら、「保存」をクリックします。

ユーザー登録プロセス

ユーザーはユーザーインタフェースログインページで「アカウントのリクエスト」をクリックすることによってアカウントをリクエストできます。

2 ページの登録ページのうちの最初のページが表示され、姓、名、および従業員 ID を求められます。「検証の有効化」属性が選択されている場合 (デフォルト)、ユーザーは次のページに進む前にこの情報を検証する必要があります。

EndUserLibrary の verifyFirstname、verifyLastname、verifyEmployeeId、および verifyEligibility 規則がそれぞれの属性の情報を検証します。

注	これらの 1 つまたは複数の規則の変更が必要になる場合もあります。特に、従業員 ID を検証する規則を変更し、Web サービス呼び出しや Java クラスを使用して情報を検証するようにしてください。

「検証の有効化」属性が無効になっている場合、最初の登録ページは表示されません。この場合、「End User Anonymous Enrollment Completion」フォームを変更して、通常、最初の検証フォームによって取得される情報をユーザーが入力できるようにする必要があります。

登録ページで提供された情報から、Identity Manager は以下を生成します。

ユーザー ID (名と姓の頭文字のあとに従業員 ID を繋げた文字列)。
次の形式の電子メールアドレス。

FirstName.LastName@EmailDomain

EmailDomain は、匿名登録設定の「電子メールドメイン」属性で設定されたドメインです。

マネージャー属性 (idmManager)。EndUserRuleLibrary:getIdmManager 規則を変更することにより、この属性を設定できます。デフォルトでは、マネージャーは Configurator に設定されています。マネージャーとして指定された管理者は、ユーザーアカウントがプロビジョニングされる前にユーザーのリクエストを承認する必要があります。
組織属性。EndUserRuleLibrary:getOrganization 規則をカスタマイズすることによって、この属性を設定できます。デフォルトでは、ユーザーは組織階層の最上位 (「Top」) に割り当てられます。

登録ページでユーザーによって入力された情報が正しく検証された場合、2 ページ目の登録ページがユーザーに表示されます。ユーザーはこのページでパスワードおよびパスワード確認を入力する必要があります。また、「プライバシーポリシーへの同意が必要」属性が選択されている場合、ユーザーはプライバシーポリシーの条件に同意するオプションを選択する必要があります。

ユーザーが「登録」をクリックすると、確認ページが表示されます。「通知の有効化」属性が選択されている場合、アカウントの作成後、ユーザーに電子メールが送信されることがページに示されます。

ユーザー作成の標準プロセス (idmManager 属性およびポリシー設定が要求する承認を含む) の完了後、アカウントが作成されます。

前へ      目次      索引      次へ

---

Part No: 820-5433.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.