|
| |
| Sun Java System Identity Manager 2005Q4M3 管理ガイド | |
4
管理
この章では、Identity Manager システムで一連の管理レベルタスクを実行するための説明および手順を示します。次のタスクが含まれます。
Identity Manager の管理についてIdentity Manager 管理者は、Identity Manager の拡張特権を持ったユーザーです。Identity Manager 管理者を設定すると、次のものを管理できます。
Identity Manager管理者は、次が割り当てられる点で、ユーザーと区別されます。
委任された管理
ほとんどの企業では、実行すべき管理タスクを持つ従業員は、固有のさまざまな役割を持っています。多くの場合、管理者は、ほかのユーザーまたは管理者から「透過的な」アカウント管理タスクや、範囲の制限されたアカウント管理タスクを実行する必要があります。
たとえば、管理者が Identity Manager ユーザーアカウントの作成の役割しか持たない場合があります。このように役割の範囲が制限されている場合、管理者には、ユーザーアカウントを作成するリソースについての特定の情報や、システム内に存在するロールまたは組織についての情報は必要ないと思われます。
Identity Manager では、管理者が固有で定義済みの範囲内のオブジェクトのみを「参照」して管理できるようにすることで、役割を分離し、この委任された管理モデルをサポートしています。
Identity Manager では、次の手段によって、個別のシステムアクティビティーを管理者に委任する機能を実装しています。
Identity Manager 組織について組織を使用して、次のことができます。
組織を作成してユーザーを組織階層内のさまざまな場所に割り当てることで、委任された管理のステージが設定されます。1 つ以上の組織を含む組織は、親組織と呼ばれます。
すべての Identity Manager ユーザー (管理者を含む) は、1 つの組織に静的に割り当てられます。また、別の組織を動的に割り当てることもできます。
Identity Manager 管理者には、さらに組織の管理が割り当てられます。
組織の作成
組織は、「Identity Manager アカウント」エリアで作成します。組織を作成するには、次を実行します。
組織へのユーザーの割り当て
各ユーザーは 1 つの組織の静的なメンバーですが、複数の組織の動的なメンバーになることもできます。組織のメンバーシップは、次の方法で決定されます。
次の例は、組織のユーザーメンバーシップを動的に管理できるユーザーメンバー規則をセットアップする方法を示しています。
注 Identity Manager の規則を作成および操作する方法については、『Identity Manager Deployment Tools』を参照してください。
キーの定義と取り込み
- 「ユーザーメンバー規則」オプションボックスに規則を表示するには、authType を authType='UserMembersRule' と設定する必要があります。
- コンテキストは、現在認証されている Identity Manager ユーザーのセッションです。
- 定義された変数 (defvar) の「Astros players」は、Windows Active Directory の「Houston Astros」OU から、そのすべてのメンバーユーザーの DN を取得します。
- メンバーユーザーが検出されると、append ロジックは、「Houston Astros」OU のメンバーユーザーの DN に Identity Manager リソースの名前を連結し、先頭にコロンを付加します (「:dogbreath-AD」など)。
- 結果は、Identity Manager リソース名が連結された DN (「<dn>:dogbreath-AD」など) のリストとして返されます。
ユーザーメンバー規則の例
<Rule name='Get Astros players'
authType='UserMembersRule'>
<defvar name='Astros players'>
<block>
<defvar name='player names'>
<list/>
</defvar>
<dolist name='users'>
<invoke class='com.waveset.ui.FormUtil'
name='getResourceObjects'>
<ref>context</ref>
<s>User</s>
<s>dogfish-AD</s>
<map>
<s>searchContext</s>
<s>OU=Houston Astros,DC=dev-ad,DC=waveset,DC=com</s>
<s>searchScope</s>
<s>subtree</s>
<s>searchAttrsToGet</s>
<list>
<s>distinguishedName</s>
</list>
</map>
</invoke>
<append name='player names'>
<concat>
<get>
<ref>users</ref>
<s>distinguishedName</s>
</get>
<s>:dogbreath-AD</s>
</concat>
</append>
</dolist>
<ref>player names</ref>
</block>
</defvar>
<ref>Astros players</ref>
</Rule>
管理する組織の割り当て
「ユーザーの作成」または「ユーザーの編集」ページから、1 つ以上の組織の管理を割り当てます。「セキュリティー」フォームタブを選択すると、「管理する組織」フィールドが表示されます。
また、「管理者ロール」フィールドから 1 つ以上の管理者ロールを割り当てる方法で、管理する組織を割り当てることもできます。
ディレクトリジャンクションおよび仮想組織についてディレクトリジャンクションは、階層的に関係する組織のセットであり、ディレクトリリソースの実際の階層構造コンテナのセットをミラー化したものです。ディレクトリリソースは、階層構造コンテナを使用して、階層構造の名前空間を使用するリソースです。ディレクトリリソースの例には、LDAP サーバーおよび Windows Active Directory リソースがあります。
ディレクトリジャンクション内の各組織が、仮想組織です。ディレクトリジャンクションの最上位の仮想組織は、リソース内に定義されたベースコンテキストを表すコンテナをミラー化したものです。ディレクトリジャンクション内の残りの仮想組織は、最上位の仮想組織の直接または間接的な子であり、定義済みリソースのベースコンテキストコンテナの子であるディレクトリリソースコンテナのいずれかをミラー化しています。
図 3 Identity Manager 仮想組織
ディレクトリジャンクションは、既存の Identity Manager 組織構造を任意の場所で接合することができます。ただし、ディレクトリジャンクションは既存のディレクトリジャンクション内またはその下で接合することはできません。
ディレクトリジャンクションを Identity Manager 組織ツリーに追加すると、そのディレクトリジャンクションのコンテキスト内で仮想組織を作成または削除することができます。また、ディレクトリジャンクションを構成する仮想組織のセットを任意の時点で更新して、ディレクトリリソースコンテナと同期しているかどうかを確認できます。ディレクトリジャンクション内に非仮想組織を作成することはできません。
Identity Manager オブジェクト (ユーザー、リソース、およびロールなど) を、Identity Manager 組織と同様の方法で仮想組織のメンバーにして、仮想組織から使用可能にすることができます。
ディレクトリジャンクションのセットアップ
ディレクトリジャンクションは、「Identity Manager アカウント」エリアでセットアップします。
仮想組織の更新
このプロセスでは、選択した組織の下位にある、関連付けられたディレクトリリソースを持つ仮想組織を更新して同期し直します。リストで仮想組織を選択し、「組織アクション」リストから「組織の更新」を選択します。
仮想組織の削除
仮想組織を削除する場合は、次の 2 つの削除オプションから選択できます。
いずれかのオプションを選択して、「削除」をクリックします。
管理者の作成Identity Manager 管理者を「作成」するには、管理者にする Identity Manager ユーザーの機能を拡張します。ユーザーを作成または編集するときには、次を実行して管理コントロールを与えます。
ユーザーに管理特権を与えるには、「アカウント」を選択して「Identity Manager アカウント」エリアに移動し、「セキュリティー」フォームタブを選択します。
1 つ以上の項目を選択して、管理コントロールを設定します。
- 「管理する組織」 − 組織を 1 つ以上選択します。管理者は、選択した組織内と、階層内でその組織の下にある任意の組織内のオブジェクトを管理できます。管理の範囲は、割り当てられた機能によってさらに定義されます。このエリアで項目を 1 つ選択する必要があります。
- 「ユーザーフォーム」 − Identity Manager ユーザーの作成および編集時にこの管理者が使用するユーザーフォームを選択します (その機能が割り当てられている場合)。ユーザーフォームを直接割り当てない場合、管理者は自分の所属する組織に割り当てられたユーザーフォームを継承します。ここで選択されたフォームは、この管理者の組織で選択されたどのフォームよりも優先されます。
- 「承認要求転送先」 − すべての保留中承認要求を転送するユーザーを選択します。この管理者設定は、「承認」ページからも設定できます。
図 4 管理者の作成
管理者ビューのフィルタ
組織と管理者にユーザーフォームを割り当てることにより、ユーザー情報についての特定の管理者ビューを設定できます。ユーザー情報へのアクセスは、次の 2 つのレベルで設定されます。
- 組織 − 組織を作成するときには、その組織内のすべての管理者が Identity Manager ユーザーの作成および編集時に使用するユーザーフォームを割り当てます。管理者レベルで設定されたフォームはすべて、ここで設定したフォームよりも優先されます。管理者または組織に対してフォームが選択されていない場合は、Identity Managerが親組織に対して選択されたフォームを継承します。親組織に対してフォームが設定されていない場合は、Identity Managerがシステム設定のデフォルトのフォームを使用します。
- 管理者 − ユーザー管理機能を割り当てるときには、管理者にユーザーフォームを直接割り当てることができます。フォームを割り当てない場合、管理者は自分の組織に割り当てられたフォームを継承します。組織にフォームが設定されていない場合は、システム設定のデフォルトのフォームになります。
注 第 5 章「設定」で、割り当て可能な Identity Manager 組み込み機能について説明します。
管理者パスワードの変更
管理者パスワードは、管理パスワード変更機能を割り当てられた管理者か、管理者所有者が変更できます。
管理者は、次の場所から別の管理者のパスワードを変更できます。
管理者は、「パスワード」エリアから自分自身のパスワードを変更できます。「パスワード」を選択し、「自分のパスワードの変更」を選択すると、パスワードの自己管理フィールドにアクセスできます。
注 アカウントに適用された Identity Manager アカウントポリシーは、パスワードの有効期限、リセットオプション、および通知選択など、パスワードの制限を決定します。管理者のリソースにパスワードポリシーを設定することにより、パスワード制限を追加設定することができます。
管理者のアクションの認証
特定のアカウント変更を処理する前に Identity Manager ログインパスワードを認証するように管理者に要求するオプションを設定することができます。パスワードの認証が失敗した場合、アカウントアクションは成功しません。
このオプションは、次の Identity Manager ページでサポートされます。
このオプションは、account/modify.jsp ページで次のように設定します。
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "email, fullname, password");
ここでのオプションの値は、1 つ以上の次のユーザー表示属性名のカンマ区切りリストです。
このオプションは、admin/changeUserPassword.jsp ページおよび admin/resetUserPassword ページで次のように設定します。
requestState.setOption(UserViewConstants.OP_REQUIRES_CHALLENGE, "true");
オプションの値として true または false を指定できます。
認証質問の回答の変更
「パスワード」エリアを使用して、アカウント認証質問に設定した回答を変更することができます。メニューバーの「パスワード」を選択し、「自分の認証質問の回答の変更」を選択します。
認証の詳細については、「ユーザー認証」を参照してください。
管理者インタフェースでの管理者名の表示のカスタマイズ
Identity Manager 管理者インタフェースのいくつかのページおよびエリアでは、accountId ではなく属性 (email や fullname など) に基づいて Identity Manager 管理者を表示することができます。次のものがあります。
表示名を使用するように Identity Manager を設定するには、次のように UserUIConfig オブジェクトに追加します。
<AdminDisplayAttribute>
<String>"attribute_name"</String>
</AdminDisplayAttribute>たとえば、email 属性を表示名として使用するには、次のように UserUIconfig に追加します。
<AdminDisplayAttribute>
<String>email</String>
</AdminDisplayAttribute>
承認ユーザーが Identity Manager システムに追加された場合、新しいアカウントに対して承認者として割り当てられている管理者は、アカウント作成を検証する必要があります。Identity Manager は、Identity Manager オブジェクトに適用される次の 3 つの承認カテゴリをサポートします。
承認者のセットアップ
これらの各カテゴリに対する承認者のセットアップはオプションですが、セットアップすることを推奨します。アカウントの作成では、承認者をセットアップするカテゴリごとに、少なくとも 1 つの承認が必要です。1 人の承認者が要求の承認を却下した場合、アカウントは作成されません。
各カテゴリに複数の承認者を割り当てることができます。1 つのカテゴリ内で必要な承認は 1 つのみであるため、複数の承認者をセットアップして、ワークフローが遅延または停止していないかどうかを確認できます。1 人の承認者が利用不可能な場合は、ほかの承認者を利用して要求を処理できます。承認は、アカウント作成にのみ適用されます。デフォルトでは、アカウントの更新と削除に承認は必要ありません。ただし、承認を必要とするように、このプロセスをカスタマイズできます。
Identity Manager は、承認プロセスとアカウント作成要求のステータスをワークフロー図として図示します。Business Process Editor (BPE) を使用すると、承認の流れを変更したり、アカウントの削除を取得したり、更新を取得したりして、ワークフローをカスタマイズすることができます。
BPE、ワークフローの詳細、承認ワークフローの変更を図示した例については、『Identity Manager Workflows, Forms, and Views』を参照してください。
図 5 アカウント作成ワークフロー
