Copyright      索引      次へ
Sun™ Identity Manager 8.0 管理ガイド

目 次

表目次

図目次

はじめに

このガイドの対象読者

お読みになる前に

表記上の規則

書体の表記規則

記号

関連ドキュメント

このマニュアルセットの内容

Sun リソースへのオンラインアクセス

Sun テクニカルサポートへの問い合わせ

関連他社 Web サイトの参照について

ご意見をお寄せください

第 1 章   Identity Manager の概要

全体像

Identity Manager システムの目的

リソースへのユーザーアクセスの定義

ユーザータイプ

管理の委任

Identity Manager オブジェクト

ユーザーアカウント

ロール

リソースとリソースグループ

組織と仮想組織

ディレクトリジャンクション

機能

管理者ロール

ポリシー

監査ポリシー

オブジェクトの関係

第 2 章   Identity Manager UI 入門

Identity Manager 管理者インタフェース

Identity Manager 管理者インタフェースへのログイン

セッション制限と Cookie

ユーザー ID を忘れた場合

Identity Manager エンドユーザーインタフェース

エンドユーザーインタフェースの 5 つのタブ

ホーム

作業項目

リクエスト

委任

プロファイル

Identity Manager エンドユーザーインタフェースへのログイン

ユーザー ID を忘れた場合

ヘルプとガイダンス

Identity Manager ヘルプ

Identity Manager ガイダンス

Identity Manager デバッグページ

Identity Manager IDE

以降の操作について

第 3 章   ユーザーとアカウントの管理

インタフェースの「アカウント」領域

「アカウント」領域のアクションリスト

「アカウントリスト」領域での検索

ユーザーアカウントの状態

ユーザーページ (作成/編集/表示)

ID

リソース

ロール

セキュリティー

委任

属性

コンプライアンス

ユーザーの作成およびユーザーアカウントの操作

プロセス図の有効化

ユーザーの作成

1 人のユーザーに対する複数のリソースアカウントの作成

ユーザーに対してリソースごとに複数のアカウントを割り当てる理由

アカウントタイプの設定

アカウントタイプの割り当て

ユーザーアカウントの検索と表示

ユーザーの編集

ユーザーアカウントの表示

ユーザーアカウントの編集

別の組織へのユーザーの再割り当て

ユーザーの名前変更

アカウントに関連付けられたリソースの更新

1 つのユーザーアカウントのリソース更新

複数ユーザーアカウントのリソース更新

Identity Manager ユーザーアカウントの削除

ユーザーアカウントからのリソースの削除

1 つのユーザーアカウントからのリソース削除

複数のユーザーアカウントからのリソースの削除

ユーザーパスワードの変更

「ユーザーリスト」ページからのパスワードの変更

メインメニューからのパスワード変更

ユーザーパスワードのリセット

「ユーザーリスト」ページからのパスワードのリセット

Identity Manager アカウントポリシーを使用したパスワードの期限切れ設定

ユーザーアカウントの無効化、有効化、およびロック解除

ユーザーアカウントの無効化

ユーザーアカウントの有効化

ユーザーアカウントのロック解除

一括アカウントアクション

一括アカウントアクションの起動

アクションリストの使用

一括アクションの表示属性

相関規則と確認規則

相関規則

確認規則

アカウントセキュリティーと特権の管理

パスワードポリシーの設定

ポリシーの作成

辞書ポリシーの選択

パスワード履歴ポリシー

使用禁止単語

使用禁止属性

パスワードポリシーの実装

ユーザー認証

ユーザー独自の秘密の質問

認証後のパスワード変更リクエストのバイパス

管理特権の割り当て

ユーザーの自己検索

自己検索の有効化

匿名登録

匿名登録の有効化

匿名登録の設定

ユーザー登録プロセス

第 4 章   ロールとリソース

ロールとその管理について

ロールとは

ロールタイプの使用

バージョン 8.0 より前のバージョンで作成されたロールの管理

ロールタイプを使用した柔軟なロールの設計

ロールの作成

「ロールの作成」フォームの完成

ロールの名前と説明の入力

リソースとリソースグループの割り当て

ロールおよびロールの除外の割り当て

ロール所有者とロール承認者の指定

通知の指定

変更承認作業項目と承認作業項目の開始

ロールの編集と管理

ロールの検索

ロールの表示

ロールの編集

ロールの複製

ロールへのロールの割り当て

ロールからのロールの削除

ロールの有効化と無効化

ロールの削除

ロールへのリソースまたはリソースグループの割り当て

ロールからのリソースまたはリソースグループの削除

ユーザーロール割り当ての管理

ユーザーへのロールの割り当て

特定の日付にアクティブ/非アクティブにする

ユーザーに割り当てられたロールの更新

ロールに割り当てられたユーザーの検索

ユーザーに割り当てられたロールの削除

ロールタイプの設定

ロールタイプを設定してユーザーに直接割り当て可能にする

割り当て可能なアクティブ化の日付および非アクティブ化の日付のロールタイプを有効にする

変更承認作業項目および変更通知作業項目の有効化と無効化

ロールリストページで読み込み可能な最大行数の設定

Identity Manager ロールとリソースロールの同期

リソースとその管理について

リソースとは

インタフェースの「リソース」領域

リソースリストの管理

「管理するリソースの設定」ページを開く

リソースタイプの有効化

カスタムリソースの追加

リソースの作成

リソースウィザードを使用したリソースの作成

リソースの管理

リソースリストの表示

リソースウィザードを使用したリソース編集

「リソースリスト」コマンドオプションを使用したリソース編集

アカウント属性の操作

リソースアカウント属性の編集

リソースグループ

グローバルリソースポリシー

追加タイムアウト値の設定

一括リソースアクション

第 5 章   設定とシステムの保守

Identity Manager ポリシーの設定

ポリシーとは

「ポリシー」ページを開く

ポリシータイプ

ポリシーでの使用禁止属性

辞書ポリシー

辞書ポリシーの設定

辞書ポリシーの実装

電子メールテンプレートのカスタマイズ

電子メールテンプレートの編集

電子メールテンプレートでの HTML 形式とリンクの使用

電子メール本文で使用できる変数

監査グループおよび監査イベントの設定

「監査設定」ページ

「監査設定」ページを開く

監査グループの設定

Remedy との統合

Identity Manager サーバーの設定

調整サーバーの設定

Reconciler Statusの表示

スケジューラの設定

電子メールテンプレートサーバーの設定

JMX

JMX ポーリングの設定

JMX データの表示

サーバーのデフォルト設定の編集

エンドユーザーインタフェースの設定

エンドユーザーインタフェースでのプロセスダイアグラムの有効化

Identity Manager の登録

コンソールからの Identity Manager の登録

register コマンド

管理者インタフェースからの Identity Manager の登録

Identity Manager 設定オブジェクトの編集

システムログからのレコードの削除

第 6 章   管理

Identity Manager の管理について

委任された管理

管理者の作成

管理者ビューのフィルタ

管理者パスワードの変更

管理者のアクションの認証

Tabbed User Form の認証オプションの有効化

「ユーザーパスワードの変更」および「ユーザーパスワードのリセット」フォームの認証オプションの有効化

秘密の質問の回答の変更

管理者インタフェースでの管理者名の表示のカスタマイズ

Identity Manager の組織について

組織の作成

組織へのユーザーの割り当て

ユーザーメンバー規則の例

管理する組織の割り当て

ディレクトリジャンクションおよび仮想組織について

ディレクトリジャンクションの設定

仮想組織の更新

仮想組織の削除

機能とその管理について

機能のカテゴリ

機能の操作

「機能」ページの表示

機能の作成

機能の編集

機能の保存と名前の変更

機能の割り当て

管理者ロールとその管理について

管理者ロールの規則

ユーザー管理者ロール

管理者ロールの作成および編集

「一般」タブ

制御の範囲

機能の割り当て

管理者ロールへのユーザーフォームの割り当て

「エンドユーザー」組織

「エンドユーザーが管理する組織」規則

作業項目の管理

作業項目のタイプ

作業項目リクエストの操作

作業項目履歴の表示

作業項目の委任

監査ログエントリ

現在の委任の表示

以前の委任の表示

委任の作成

削除されたユーザーへの委任

委任の終了

承認

アカウント承認者の設定

承認の署名

その後の承認の署名

デジタル署名付き承認およびアクションの設定

署名付き承認のためのサーバー側の設定

PKCS12 を使用した署名付き承認のためのクライアント側の設定

前提条件

手順

PKCS11 を使用した署名付き承認のためのクライアント側の設定

トランザクション署名の表示

第 7 章   データの読み込みと同期

データ同期ツール: 最適なツールの選択

検索

ファイルへ抽出

ファイルから読み込み

CSV ファイル形式について

リソースから読み込み

調整

調整の概要

調整ポリシーについて

調整ポリシーの編集

調整の開始

調整のキャンセル

調整ステータスの表示

詳細な調整ステータスの表示

「リソースリスト」での調整ステータスの表示

アカウントインデックスの操作

アカウントインデックスの検索

アカウントインデックスの検査

アカウントの操作

ユーザーの操作

タスクスケジュール繰り返し規則の使用

調整実行時間のスケジュール方法

「すべての日付を受け入れる」サンプル規則

Active Sync アダプタ

同期の設定

同期ポリシーの編集

Active Sync アダプタの編集

Active Sync アダプタのパフォーマンスのチューニング

ポーリング間隔の変更

アダプタを実行するホストの指定

開始と停止

アダプタログ

第 8 章   レポート

レポートの操作

レポートのタイプ

レポートの実行

レポートの表示

レポートの作成

レポートの編集および複製

電子メールによるレポートの送信

レポートのスケジュール

レポートデータのダウンロード

レポート出力の設定

Identity Manager レポート

監査ログレポート

単一ユーザー用の監査ログレポート

リアルタイムレポート

概要レポート

システムログレポート

使用状況レポート

使用状況レポートのグラフ

ワークフローレポート

監査計時イベントを取得するワークフローの設定

ワークフローレポート用に保存する属性の指定

ワークフローレポートの定義

監査レポート

グラフの操作

定義済みのグラフの表示

グラフの作成

グラフの編集

グラフの削除

ダッシュボードの操作

ダッシュボードの作成

ダッシュボードの編集

ダッシュボードの削除

システムの監視

追跡イベント設定

リスク分析

リスク分析レポートの作成

リスク分析レポートのスケジュール

第 9 章   タスクテンプレート

タスクテンプレートの有効化

タスクテンプレートの設定

「一般」タブの設定

ユーザー作成テンプレートまたはユーザー更新テンプレートの場合

ユーザー削除テンプレートの場合

「通知」タブの設定

ユーザー通知の設定

管理者通知の設定

「承認」タブの設定

承認の有効化 (「承認」タブ、「承認の有効化」セクション)

追加の承認者の指定 (「承認」タブ、「追加の承認者」セクション)

承認フォームの設定 (「承認」タブ、「承認フォーム設定」セクション)

「監査」タブの設定

「プロビジョニング」タブの設定

「サンライズとサンセット」タブの設定

サンライズの設定

サンセットの設定

「データ変換」タブの設定

第 10 章   監査ログ

概要

Identity Manager 監査の機能

ワークフローからの監査イベントの作成

com.waveset.session.WorkflowServices アプリケーション

標準監査イベントをログするためのワークフローの変更

例

タイミング監査イベントをログするためのワークフローの変更

例

タイミング監査イベントで格納される情報

監査設定

filterConfiguration

アカウント管理

アイデンティティーシステム外部での変更

コンプライアンス管理

設定管理

イベント管理

ログイン/ログオフ

パスワード管理

リソース管理

ロール管理

セキュリティー管理

Service Provider Edition

タスク管理

extendedTypes

extendedActions

extendedResults

publishers

データベーススキーマ

waveset.log

waveset.logattr

監査ログの切り捨て

監査ログ設定

列の長さ制限の変更

監査ログからのレコードの削除

監査ログの改ざんの防止

改ざん防止ログの設定

カスタム監査パブリッシャーの使用

カスタム監査パブリッシャーの有効化

コンソール、ファイル、JDBC、およびスクリプトのパブリッシャータイプ

JMS パブリッシャータイプ

JMS の利点

ポイントツーポイントとパブリッシュ/サブスクライブ

JMS パブリッシャータイプの設定

JMX パブリッシャータイプ

JMX の説明

Identity Manager の JMX パブリッシャー実装

JMX パブリッシャータイプの設定

JMX クライアントを使用した監査イベントの表示

MBean への詳細情報の問い合わせ

カスタム監査パブリッシャーの開発

ライフサイクル

設定

フォーマッタの開発

パブリッシャー/フォーマッタの登録

第 11 章   PasswordSync

PasswordSync の概要

インストールの前提条件

Microsoft .NET 1.1 のインストール

SSL に関する PasswordSync の設定

PasswordSync の以前のバージョンのアンインストール

Windows での PasswordSync のインストール

PasswordSync の設定

Windows での PasswordSync のデバッグ

エラーログ

Windows での PasswordSync のアンインストール

アプリケーションサーバーへの PasswordSync の配備

JMS リスナーアダプタの追加と設定

ユーザーパスワード同期ワークフローの実装

通知の設定

Sun JMS サーバーを使用した PasswordSync の設定

概要

シナリオ例

管理オブジェクトの作成と格納

LDAP ディレクトリへの管理オブジェクトの格納

ファイルへの管理オブジェクトの格納

このシナリオに対する JMS リスナーアダプタの設定

Active Sync の設定

設定のテスト

PasswordSync についてのよくある質問

Java Messaging Service なしで PasswordSync を実装することはできますか。

PasswordSync は、カスタムパスワードポリシーを施行するために使われるほかの Windows パスワードフィルタと組み合わせて使用できますか。

PasswordSync サーブレットを、Identity Manager と異なるアプリケーションサーバー上にインストールできますか。

PasswordSync サービスは lh サーバーにクリアテキストでパスワードを送信しますか。

パスワード変更の結果、com.waveset.exception.ItemNotLocked が発生することがありますが、それはどうしてですか。

第 12 章   セキュリティー

セキュリティー機能

同時ログインセッションの制限

パスワード管理

パススルー認証

ログインアプリケーションについて

ログイン制約規則

ログインアプリケーションの編集

Identity Manager セッション制限の設定

アプリケーションへのアクセスの無効化

ログインモジュールグループの編集

ログインモジュールの編集

ログインモジュールの処理ロジック

共通リソースの認証の設定

X509 証明書認証の設定

前提条件

Identity Manager での X509 証明書認証の設定

ログイン相関規則の作成とインポート

SSL 接続のテスト

問題の診断

暗号化の使用と管理

暗号化によって保護されるデータ

サーバー暗号化キーに関する質問と答え

サーバー暗号化キーとは何ですか ?

サーバー暗号化キーはどこで維持管理されますか ?

暗号化されたデータの復号化や再暗号化にどのキーを使用するかを、サーバーはどのようにして認識するのですか ?

サーバー暗号化キーはどのようにして更新しますか ?

現在のサーバーキーが変更された場合、既存の暗号化データはどうなりますか ?

暗号化キーを使用できない暗号化データをインポートした場合、どのようなことが起こりますか ?

サーバーキーはどのように保護されますか ?

サーバーキーを安全な外部記憶装置にエクスポートしてもよいですか ?

どのデータがサーバーとゲートウェイの間で暗号化されますか ?

ゲートウェイキーに関する質問と答え

データの暗号化または復号化に使用するゲートウェイキーとは何ですか ?

ゲートウェイキーはどのようにしてゲートウェイに配布されますか ?

サーバーゲートウェイ間ペイロードの暗号化や復号化に使用するゲートウェイキーを更新できますか ?

ゲートウェイキーはサーバー上とゲートウェイ上のどこに格納されますか ?

ゲートウェイキーはどのように保護されますか ?

ゲートウェイキーを安全な外部記憶装置にエクスポートしてもよいですか ?

サーバーキーやゲートウェイキーはどのようにして破棄されますか ?

サーバー暗号化の管理

認可タイプを使用したオブジェクトのセキュリティー保護

セキュリティーの実装

設定時

実行時

第 13 章   アイデンティティー監査: 基本概念

アイデンティティー監査について

アイデンティティー監査の目的

アイデンティティー監査について

ポリシーベースのコンプライアンス

継続的コンプライアンス

定期的コンプライアンス

ポリシーベースのコンプライアンスの論理タスクフロー

定期的アクセスレビュー

管理者インタフェースでのアイデンティティー監査の操作

インタフェースの「コンプライアンス」セクション

ポリシーの管理

アクセススキャンの管理

アクセスレビュー

アイデンティティー監査タスクのインタフェースリファレンス

電子メールテンプレート

監査ログの有効化

監査ポリシーについて

監査ポリシー規則を使用したポリシーの作成

是正ワークフローによるポリシー違反への対応

是正者の指定

監査ポリシーのシナリオ例

第 14 章   監査: 監査ポリシー

監査ポリシーの操作

監査ポリシー規則

監査ポリシーの作成

監査ポリシーウィザードの開始

監査ポリシーの作成: 概要

開始する前に

必要な規則の特定

(省略可能) 職務分掌規則を Identity Manager にインポートする

(省略可能) ワークフローを Identity Manager にインポートする

監査ポリシーの名前と説明の指定

規則のタイプの選択

既存の規則の選択

規則ウィザードを使用した新しい規則の作成

ほかの規則の追加

是正ワークフローの選択

是正者と是正タイムアウトの選択

このポリシーにアクセスできる組織の選択

監査ポリシーの編集

ポリシーの編集ページ

監査ポリシーの説明の編集

オプションの編集

ポリシーの規則の削除

ポリシーへの規則の追加

ポリシーで使用する規則の変更

「是正者」領域

是正者の削除または割り当て

エスカレーションタイムアウトの調整

是正ワークフローと組織の領域

是正ワークフローの変更

是正ユーザーフォーム規則の選択

組織の閲覧許可の割り当てまたは削除

サンプルポリシー

IDM Role Comparison Policy

IDM Account Accumulation Policy

監査ポリシーの削除

監査ポリシーのトラブルシューティング

規則のデバッグ

監査ポリシーの割り当て

監査機能制限の解決

第 15 章   監査: コンプライアンスの監視

監査ポリシーのスキャンとレポート

ユーザーおよび組織のスキャン

監査レポートの操作

監査レポートの作成

監査された属性のレポートの設定

コンプライアンス違反の是正と受け入れ

是正について

是正者のエスカレーション

是正ワークフローのプロセス

是正応答

是正電子メールテンプレート

「是正」ページの操作

ポリシー違反の表示

保留中のリクエストの表示

完了したリクエストの表示

テーブルの更新

ポリシー違反の優先度の設定

ポリシー違反の受け入れ

「是正」ページでの操作

ポリシー違反の是正

是正リクエストの転送

是正作業項目のユーザーの編集

定期的アクセスレビューとアテステーション

定期的アクセスレビューについて

アクセスレビュースキャン

アテステーション

定期的アクセスレビューの計画

スキャンタスクのチューニング

アクセススキャンの作成

アクセススキャンの削除

アクセスレビューの管理

アクセスレビューの起動

アクセスレビュータスクのスケジュール

アクセスレビューの進行状況の管理

スキャン属性の変更

アクセスレビューのキャンセル

アクセスレビューの削除

アテステーション作業の管理

アクセスレビューの通知

保留中のリクエストの表示

エンタイトルメントレコードの操作

クローズループ是正

アテステーション作業項目の転送

アクセスレビューアクションのデジタル署名

アクセスレビューレポート

アクセスレビュー是正

アクセスレビュー是正について

是正者のエスカレーション

是正ワークフローのプロセス

是正応答

「是正」ページの操作

サポートされないアクセスレビュー是正アクション

第 16 章   データエクスポータ

データエクスポータの概要

データエクスポータの実装計画

データエクスポータの設定

読み取り接続と書き込み接続の定義

ウェアハウスの設定情報の定義

ウェアハウスモデルの設定

ウェアハウスタスクの設定

設定オブジェクトの変更

データエクスポータのテスト

フォレンジッククエリーの設定

クエリーの作成

フォレンジッククエリーの保存

クエリーの読み込み

データエクスポータの維持

データエクスポータの監視

監視ログ

監査ログ

システムログ

第 17 章   サービスプロバイダの管理

サービスプロバイダ機能の概要

拡張エンドユーザーページ

パスワードとアカウント ID のポリシー

Identity Manager とサービスプロバイダの同期

Access Manager との統合

初期設定

メイン設定の編集

ディレクトリ設定

ユーザーフォームとポリシー

トランザクションデータベース

追跡イベント設定

同期アカウントインデックス

コールアウト設定

ユーザー検索設定の編集

トランザクション管理

デフォルトのトランザクション実行オプションの設定

トランザクション持続ストアの設定

トランザクション処理の詳細設定

トランザクションの監視

委任された管理

組織認証による委任

管理者ロール割り当てによる委任

サービスプロバイダ管理者ロール委任の有効化

サービスプロバイダユーザー管理者ロールの設定

サービスプロバイダユーザー管理者ロールの委任

サービスプロバイダユーザーの管理

ユーザー組織

ユーザーとアカウントの作成

サービスプロバイダユーザーの検索

詳細検索

検索結果

アカウントのリンク

アカウントの削除、割り当て解除、またはリンク解除

検索オプションの設定

エンドユーザーインタフェース

サンプル

登録

ホーム画面とプロファイル画面

同期

同期の設定

同期の監視

同期の開始と停止

ユーザーの移行

サービスプロバイダ監査イベントの設定

付録 A   lh リファレンス

使用法

使用上の注意

class

コマンド

例

syslog コマンド

使用法

オプション

付録 B   監査ログデータベーススキーマ

Oracle

DB2

MySQL

SQL Server

監査ログデータベースマッピング

付録 C   ユーザーインタフェースクイックリファレンス
付録 D   機能の定義

タスクベースの機能の定義

実用上の機能の定義

用語集

索引

Copyright      索引      次へ

---

Part No: 820-5433.   Copyright 2008 Sun Microsystems, Inc. All rights reserved.