Sun Java System Identity Manager 2005Q4M3 管理ガイド |
5
設定
この章では、管理者インタフェースを使用した Identity Manager オブジェクトのセットアップの説明および手順を示します。
この章では、次について詳細に説明します。
ロールについてこの節では、Identity Manager でのロールのセットアップについて説明します。
ロールとは
Identity Manager ロールは、アカウントを管理するリソースの集まりを定義します。ロールを使用すると、ユーザークラスのプロファイルを作成し、類似した特性を持つ Identity Manager ユーザーをグループ化できます。
各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。ある 1 つのロールを割り当てられたすべてのユーザーは、同じベースグループのリソースへのアクセスを共有することになります。
1 つのロールに関連付けられたすべてのリソースは、ユーザーに間接的に割り当てられます。間接的な割り当ては、ユーザーに対して明確にリソースが選択される点で、直接的な割り当てとは異なります。
ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。
ロールは、管理者インタフェースの「ユーザーの作成と編集」ページでユーザーに割り当てます。
ロールの作成
ロールを作成するには、次を実行します。
「ロールの作成」ページでは、次のことができます。
割り当てられているリソース属性値の編集
「ロールの作成」ページの「割り当てられたリソース」エリアで「属性値の設定」をクリックして、ロールに割り当てられた各リソースの属性リストを表示します。この「属性の編集」ページで、各属性の新しい値を指定したり、属性値の設定方法を決定できます。Identity Manager の値は、直接設定するだけでなく、規則を使用して設定することもできます。また、既存の値を上書きしたり、既存の値にマージしたりすることもできます。
ロールの編集
ロールを変更するには、次を実行します。
ロールの検索
「ロールの検索」エリアを使用して、ロールを検索します。検索機能により、検索条件に一致したロールのリストが戻されます。
ロールは、以下の 1 つ以上の検索の種類によって検索できます。
ロールを検索するには、「ロール」を選択し、「ロールの検索」を選択します。
ロールのクローン作成
既存のロールの選択項目を使用して、新しいロールを作成することができます。その場合は、次を実行します。
ロール名の変更
ロール名を変更するには、次を実行します。
ロールとリソースロールの同期 Identity Manager
Identity Manager ロールをリソース上でネイティブに作成されたロールと同期することができます。同期すると、デフォルトでリソースはロールに割り当てられます。これには、タスクを使用して作成されたロール、およびいずれかのリソースロール名に一致する既存の Identity Manager ロールが該当します。
メニューバーで、「タスク」を選択してから「タスクの実行」を選択して、「Identity Manager ロールをリソースロールと同期する」タスクページを表示します。
リソースについてこの節では、Identity Manager リソースのセットアップの説明および手順を示します。
リソースとは
Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager リソースは、リソースに関連する属性を定義するものであり、Identity Manager でリソース情報を表示する方法を指定する際に役立ちます。
Identity Manager では、次のような広範囲なリソースタイプに対応したリソースを提供します。
「リソース」エリア
既存のリソースに関する情報は、「リソース」ページに表示されます。Identity Manager
リソースにアクセスするには、メニューバーの「リソース」をクリックします。
リソースはタイプごとにグループ化され、リスト内で名前付きのフォルダによって表されます。階層表示を展開して、現在定義されているリソースを表示させるには、フォルダの隣にあるインジケータをクリックします。表示を折りたたむには、もう一度インジケータをクリックします。
リソースタイプフォルダを展開すると、中に含まれるリソースオブジェクトの数が動的に更新されて表示されます (グループをサポートするリソースタイプの場合)。
リソースの一部には、次のような、管理可能な追加のオブジェクトを持つものがあります。
リソースリストからオブジェクトを選択し、次のオプションリストのいずれかから操作を選択して、管理タスクを開始します。
ロールを作成または編集すると、ManageResource ワークフローが開始されます。このワークフローでは、新しいリソースまたは更新されたリソースをリポジトリに保存し、リソースが作成または保存される前に承認などの操作を挿入することができます。
リソースリストの管理
リソースを作成するときのリソース選択リストは、管理者インタフェースの「設定」エリアで管理します。「リソースタイプアクション」オプションリストから「管理するリソースの設定」を選択して、リソースリストに表示するリソースを選択します。
「管理するリソース」ページでは、Identity Manager のリソースが次の 2 つのカテゴリに分類されています。
カスタムリソースを追加するには、次の手順を実行します。
次の表は、カスタムリソースのクラスの一覧です。
リソースの作成
リソースは、リソースウィザードを使用して作成します。リソースウィザードでは、リソース上のオブジェクトを管理するために、Identity Manager リソースアダプタを作成する手順を、順を追って実行します。
リソースウィザードを使用して、次の項目を設定します。
- 「リソース固有のパラメータ」 − これらの値は、このリソースタイプの特定のインスタンスを作成するときに Identity Manager インタフェースから修正できます。
- 「アカウント属性」 − リソースのスキーママップに定義されます。これらによって、Identity Manager ユーザー属性がリソースの属性にどのようにマップされるかが決まります。
- 「アカウントの DN または ID テンプレート」 − ユーザーに対するアカウント名の構文が含まれています。アカウント名の構文は、階層構造の名前空間で特に重要です。
- 「リソースの Identity Manager パラメータ」 − ポリシーをセットアップし、リソースの承認者を設定し、リソースに対する組織のアクセス権をセットアップします。
リソースを作成するには、次を実行します。
- 「リソースタイプアクション」オプションリストから「新規リソース」を選択します。
Identity Manager に「新規リソース」ページが表示されます。
- リソースタイプを選択してから「新規」をクリックして、リソースウィザードの「ようこそ」ページを表示します。
注 または、リソースリストでリソースタイプを選択してから、「リソースタイプアクション」リストで「新規リソース」を選択することもできます。この場合、Identity Manager に「新規リソース」ページは表示されませんが、リソースウィザードがただちに起動します。
- 「次へ」をクリックして、リソースの定義を開始します。リソースウィザードの手順とページは、次の順序で表示されます。
- 「リソースパラメータ」 − 認証とリソースアダプタの動作を管理するためのリソース固有のパラメータをセットアップします。パラメータを入力して「テスト接続」をクリックし、接続が有効であることを確認します。確認できたら、「次へ」をクリックして、アカウント属性をセットアップします。
図 1 リソースウィザード: リソースパラメータ
- 「アカウント属性」(スキーママップ) − Identity Manager アカウント属性をリソースアカウント属性にマップします。
属性を追加する場合は、「属性の追加」をクリックします。属性を 1 つ以上選択し、「選択した属性の削除」をクリックすると、スキーママップから属性が削除されます。削除が終了したら、「次へ」をクリックして ID テンプレートをセットアップします。
図 2 リソースウィザード: アカウント属性 (スキーママップ)
- 「ID テンプレート」 − ユーザーに対するアカウント名の構文を定義します。この機能は、階層構造の名前空間で特に重要です。
「属性の挿入」リストから属性を選択します。テンプレートから属性を削除するには、リスト内をクリックし、文字列から 1 つ以上の項目を削除してください。属性名と前後の $ (ドル記号) の両方を削除してください。
図 3 リソースウィザード: ID テンプレート
- 「Identity System パラメータ」 − リソースに、再試行およびポリシー設定などの Identity Manager パラメータを設定します。
図 4 リソースウィザード: アイデンティティーシステムのパラメータ
ページ間を移動するには、「次へ」および「戻る」を使用します。選択がすべて終了したら、「保存」をクリックしてリソースを保存し、リストページに戻ります。
リソースの管理
リソースリストのリソースに対して一連の編集操作を実行できます。リソースウィザードの各ページの編集機能に加え、次の操作も実行できます。
- リソースの削除− 1 つ以上のリソースを選択して、「リソースアクション」リストから「削除」を選択します。複数のリソースタイプを同時に選択することができます。ロールまたはリソースグループが関連付けられているリソースは削除できません。
- リソースオブジェクトの検索 − リソースを選択して「リソースオブジェクトアクション」リストから「検索」を選択すると、オブジェクト特性によってリソースオブジェクト (組織、組織単位、グループ、または個人など) を検索できます。
- リソースオブジェクトの管理 − リソースタイプによっては、新しいオブジェクトを作成できるものがあります。リソースを選択して、「リソースオブジェクトアクション」リストから「リソースオブジェクトの作成」を選択します。
- リソース名の変更 −リソースを選択して、「リソースアクション」リストから「名前の変更」を選択します。表示される入力ボックスに新しい名前を入力して、「名前の変更」をクリックします。
- リソースのクローン作成− リソースを選択して、「リソースアクション」リストから「名前を付けて保存」を選択します。表示される入力ボックスに新しい名前を入力します。クローンとして作成されたリソースが、選択した名前でリソースリストに表示されます。
アカウント属性の操作
Identity Manager リソースは、スキーママップを使用して、外部リソース (リソースアカウント属性) から取得した属性の名前とタイプを定義します。次に、それらの属性を標準の Identity Manager アカウント属性にマップします。スキーママップをセットアップする (リソースウィザードの「アカウント属性」ページで) ことにより、次を実行できます。
これらの値にアクセスするには、リソースリストからリソースを選択して、「リソースアクション」リストから「リソーススキーマの編集」を選択します。
スキーママップの左の列 (タイトルは「Identity System ユーザー属性」) には、Identity Manager 管理者インタフェースおよびユーザーインタフェースで使用されるフォームで参照される Identity Manager アカウント属性の名前が含まれています。スキーママップの右の列 (タイトルは「リソースユーザー属性」) には、外部ソースの属性名が含まれています。
Identity System 属性名を定義することにより、異なるリソースの属性を一般的な名前で定義できます。たとえば、Active Directory リソースの場合、Identity Manager の lastname 属性は Active Directory リソース属性の sn にマップされます。GroupWise の場合、fullname 属性は GroupWise 属性の Surname にマップできます。その結果、管理者は lastname に対して一度値を定義するだけで済み、ユーザーを保存するときには異なる名前のリソースにその値が渡されます。
リソースグループ
「リソース」エリアは、リソースグループを管理するためにも使用します。リソースグループは、リソースをグループ化して特定の順序で更新できるようにします。グループにリソースを入れて順序付けし、そのグループをユーザーに割り当てることで、そのユーザーのリソースが作成、更新、および削除される順序が決定します。
アクティビティーは、各リソースに対して順番に実行されます。あるリソースで操作が失敗した場合、残りのリソースは更新されません。このような関係は、関連するリソースがある場合に重要です。
たとえば、Exchange 5.5 のリソースは、既存の Windows NT または Windows Active Directory アカウントに依存します。つまり、Exchange アカウントを作成するには、その前にこれらのどちらかが存在している必要があります。Windows NT のリソースと Exchange 5.5 のリソースを持つリソースグループを (順番に) 作成することにより、正しいユーザー作成順序を保証できます。逆に、この順序により、ユーザーの削除時には正しい順序でリソースが削除されることが保証されます。
「リソース」を選択して「リソースグループのリスト」を選択すると、現在定義されているリソースグループのリストが表示されます。そのページで「新規」をクリックして、リソースグループを定義します。リソースグループの定義時には、選択エリアで選択を行い、選択したリソースを順序付けするほか、リソースグループを利用可能にする組織を選択することができます。
ChangeLog についてこの節では、Identity Manager ChangeLog 機能の説明および ChangeLog の設定と使用の手順を示します。
ChangeLog とは
ChangeLog には、Identity Manager リソースに含まれる ID 属性情報が表示されます。それぞれの ChangeLog は、ID 属性のサブセットに加えられた変更を取得するように定義されています。
リソースの属性データに変更があると、ActiveSync アダプタはその情報を取得して、変更を ChangeLog に書き込みます。次に、エンタープライズ内のリソースの操作専用に開発されたカスタムスクリプトが ChangeLog を読み取って、リソースを更新します。
ChangeLog 機能はプロビジョニングシステムからリソースへとカスタムスクリプトを介して間接的に通信するので、Identity Manager の標準的なリソースアクティブ同期機能や調整機能とは異なります。
ChangeLog とセキュリティー
Identity Manager の ChangeLog 機能を実行するには、ローカルファイルシステム内の指定されたディレクトリに対する書き込み権が必要です。Web コンテナによっては、Identity Manager のようなホストされる Web モジュールに対してローカルファイルシステムへのアクセスをデフォルトで許可していないものもあります。
その場合には、Java ポリシーファイルを編集してアクセス権を付与します。/tmp/changelogs を指定ディレクトリとして使用する場合には、ポリシーファイルに次の内容が含まれるようにします。
grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};指定したそれぞれの ChangeLog に対してファイルアクセス権を定義する必要があります。
Java 用のデフォルトのセキュリティーポリシーファイルは次の場所にあります。
$JAVA_HOME/jre/lib/security/java.policy
このファイルを編集すれば十分かもしれませんが、デフォルトファイルではない独自のファイルを使用している場合には、サーバーは次のようなオプションが指定された状態で稼働しています。
-Djava.security.manager -Djava.security.policy=/path/to/your/java.policy
この場合は、java.security.policy システムプロパティーによって特定されるファイルを編集します。
注 セキュリティーポリシーファイルを編集したあとで、Web コンテナの再起動が必要になる場合があります。
ChangeLog 機能の要件
ChangeLog 機能の要件として、ChangeLog を設定する前に ID 属性を設定する必要があります。
ID 属性の設定
次の情報と手順を使用して、ID 属性を設定し、ID 属性が適用されるアイデンティティーシステムアプリケーションを選択してください。
ID 属性の操作
ID 属性を設定するには、「設定」を選択して、Identity Manager 管理者インタフェースから「ID 属性」 を選択します。「ID 属性」ページが表示されます。
ID 属性を追加するには、「属性の追加」をクリックします。一度リストに追加された ID 属性は、リスト内の名前をクリックすることによって編集できます。1 つ以上の ID 属性を削除するには、ID 属性を選択して、「選択した属性の削除」をクリックします。
注 アクションを実行する前に、必ず「保存」をクリックしてください。
アプリケーションの選択
「有効なアプリケーション」エリアを使用して、ID 属性を適用するアイデンティティーシステムアプリケーションを選択します。「利用可能なアプリケーション」エリアから 1 つ以上のアプリケーションを選択して、「有効なアプリケーション」エリアに移動します。アクションを実行する前に、必ず「保存」をクリックしてください。
注 ChangeLog 機能を使用するには、ActiveSync アプリケーションを使用可能にする必要があります。
ID 属性の追加と編集
「ID 属性の追加」または「ID 属性の編集」ページから、次の項目に関して選択して、ID 属性を追加または編集します。
- 「属性名」 − 属性名を選択または入力します。与えられているデフォルト値から (リソーススキーママップエントリ、オペレーショナル ID 属性、およびユーザー拡張属性から) 選択するか、またはテキストボックスに値を入力します。
- 「ソース」 − この ID 属性の値に利用する 1 つ以上のソースを選択します。ソースは順番に評価され、ID 属性は最初の null 以外の値に設定されます。
- 「属性のプロパティー」 − このエリアを使用して、ID 属性のプロパティーを設定します。
- 「ID 属性を優先する」 − ID 属性の値がすべてのターゲットに対して優先的に設定されます。このオプションを選択すると、ソースによって決められた値はユーザーがフォームに入力したすべての値に優先して適用されます。通常はこのオプションを選択します。
- 「IDM リポジトリに属性を保存」 − ID 属性をアイデンティティーシステムリポジトリにローカルに格納することを選択します。このオプションは、アイデンティティーシステムユーザーに ID 属性を保存する権限があるか、または ID 属性がクエリーを処理できるようにする必要がある場合に選択します。
- 「割り当てられたすべてのリソースに値を設定」 − ID 属性をサポートするすべての割り当て済みリソースに対して ID 属性をグローバルに設定する場合に、このオプションを選択します。
- 「ターゲット」 − この ID 属性を設定するターゲットリソースを選択します。ターゲットが何も定義されていない場合は、「ターゲットの追加」をクリックします。リストからターゲットを削除するには、ターゲットを選択して、「選択したターゲットを削除」をクリックします。
「OK」をクリックすると、ID 属性が追加され、「ID 属性」ページに戻ります。「ID 属性」ページで「保存」をクリックして、追加した内容を必ず保存してください。
ターゲットリソースの追加
ヒント ID 属性が ChangeLog のみに使用されている場合は、そのターゲットを設定する必要はありません。たとえば、ChangeLog を使用したいが、標準の「入力フォーム」を使用してデータを ActiveSync に送信するようにもしたいという場合が、そのようなケースです。ターゲットがない場合には、MetaView は ID 属性の値の計算のみを行い、他のどのリソースにも値を設定しません。
次の項目の選択を行って、ID 属性を設定するターゲットリソースを追加します。
- 「ターゲットリソース」 − 選択した ID 属性を設定するターゲットリソースを選択します。
- 「ターゲット属性」 −値を受け取るターゲットリソースの属性の名前を選択します。
- 「条件」 −選択した ID 属性の設定をこのターゲットリソースで行うかどうかを決めるときに実行する規則を選択します。この規則からは true または false の値が戻されるようにします。条件が設定されていない場合、ターゲット属性は常に選択されたイベントタイプに対して設定されます。
- 「適用イベント:」 − このターゲットリソースで、選択した ID 属性を設定するイベントのタイプを選択します。この選択内容が「条件」と組み合わされて、ターゲット属性を設定するかどうかが判別されます。
「OK」をクリックすると、ターゲットリソースが追加され、「ID 属性の追加」または「ID 属性の編集」ページに戻ります。
ターゲットリソースの削除
1 つ以上のターゲットリソースを削除するには、ターゲットリソースを選択して、「選択したターゲットを削除」をクリックします。
ID 属性のインポート
ID 属性のインポート機能を使用して、1 つ以上のフォームを選択し、ID 属性値をインポートして設定することができます。Identity Manager はインポートされたフォームの値を分析し、ID 属性に「最適な推定値」を見積もります。とはいえ、ID 属性値はインポート後に編集が必要になる場合があります。
次のインポート項目について選択を行います。
- 「既存のID 属性とマージ」 − このオプションを選択した場合、Identity Manager はインポートされた値を既存の ID 属性とマージします。このオプションを選択しない場合は、インポートを実行する前に既存の ID 属性がクリアされます。
- 「インポートするフォーム」 − 「利用可能なフォーム」エリアから 1 つ以上のフォームを選択して、ID 属性を設定します。
「インポート」をクリックして、フォームをインポートします。ID 属性ページには、新規またはマージされた ID 属性が一覧表示されます。
「保存」をクリックして、ID 属性の変更を保存します。
注 ID 属性の条件に訂正の必要な箇所がある場合は、「警告」ページが表示されて、そこに 1 つ以上の警告が一覧表示されます。「OK」をクリックすると、「設定」エリアに戻ります。
ChangeLog の設定
ChangeLog の設定は、ChangeLog ポリシーと ChangeLog を作成することによって行います。それぞれの ChangeLog には、関連付けられた ChangeLog ポリシーがなければなりません。ChangeLog は ActiveSync によって検出され ID 属性に適用される変更のサブセットを定義したもので、ログ形式で書き込まれます。ChangeLog に関連付けられる ChangeLog ポリシーは、ChangeLog ファイルに書き込む方法を定義します。ChangeLog ファイルの内容はカスタムスクリプトによって使用されます。
ChangeLog と ChangeLog ポリシーを設定するには、「設定」を選択してから、管理者インタフェースのメニューバーで「ChangeLog」を選択します。
Identity Manager によって、次のような 2 つの概要エリアが含まれた「ChangeLog 設定」ページが表示されます。
図 5 「ChangeLog 設定」
ChangeLog ポリシーの概要
「ChangeLog ポリシー」概要エリアには、現在定義されている ChangeLog ポリシーが表示されます。既存の ChangeLog ポリシーを編集するには、リスト内のポリシーの名前をクリックします。ChangeLog ポリシーを作成するには、「ポリシーの作成」をクリックします。
1 つ以上の ChangeLog ポリシーを削除するには、リスト内のポリシーを選択して、「ポリシーの削除」をクリックします (このアクションに確認は不要)。
ChangeLog の概要
ChangeLog の概要エリアには、現在定義されている ChangeLog が表示されます。既存の ChangeLog を編集するには、リスト内の名前をクリックします。ChangeLog を作成するには、「ChangeLog の作成」をクリックします。
1 つ以上の ChangeLog を削除するには、リスト内の ChangeLog を選択して、「ChangeLog の削除」をクリックします (このアクションに確認は不要)。
ChangeLog 設定変更の保存
ChangeLog 設定に対して行う変更は、ChangeLog ポリシーと定義済み ChangeLog のどちらに対する変更であるとしても、「ChangeLog 設定」ページから保存する必要があります。「保存」をクリックすると変更が保存され、Identity Manager の「設定」ページに戻ります。
ChangeLog ポリシーの作成と編集
「ChangeLog ポリシーの編集」ページで次の項目に入力および選択を行なって、ChangeLog ポリシーを作成または編集します。
- 「ポリシー名」 − 一意なポリシーの名前を入力します。
- 「毎日の開始時刻」 − ローテーションが開始または交替する時刻の算定に使用する時刻を設定します。このポリシーを使用する ChangeLog は、この時刻に、またこの時刻から計算した一定の間隔で新しいローテーションを開始します。たとえば、開始時刻を午前零時 (00:00) に、「1 日のローテーション数」を 3 に設定した場合、ログファイルのプレフィックスは 00:00、08:00、16:00 に変更になります。
ファイル名の形式は 'cl_User_yyyyMMddHHmmss.n.suffix' です。'HHmmss' はローテーションが開始した最近の時刻を表します ('.n' はシーケンス番号で、suffixは ChangeLog 定義で指定されたサフィックス)。
開始時刻を '00:00'、ローテーション回数を 3 にし、ChangeLog を午前 9:24 に起動することにした場合、朝の順番のローテーション名には最近のローテーション開始時刻 (08:00 など) が組み込まれます。この例の場合は、ファイル名が cl_User_yyyyMMdd080000 で始まります。そして、新しいローテーション (ファイル名の新しいプレフィックス) が 16:00 に開始します。
- 「1 日のローテーション数」 − 1 日にログを切り替える回数を指定します。たとえば、4 時間ごとにローテーションを切り替える場合は、6 の値を入力します。
この値には負でない整数のみ指定できます。値 0 は、このフィールドを無視することを意味します。このフィールドが 0 でないときは、「ローテーションの最大有効期間」設定が無視されます。
このローテーションの長さを秒数で指定し、かつ「1 日のローテーション回数」フィールドが 0 である場合は、「ローテーションの最大有効期間」の値を使用してローテーションの期間が決定されます。
「ローテーションの最大有効期間」には負ではない整数値のみ指定できます。「1 日のローテーション回数」にゼロではない数を指定した場合には、その値が使用されます (「ローテーションの最大有効期間」の値は使用されない)。これら両方のフィールドの値が 0 である場合は、シーケンス情報のみが適用されます (この場合は「毎日の開始時刻」も使用されない)。
- 「保存するローテーション数」 −Identity Manager が削除するまでに蓄積できるローテーションの数を指定します。たとえば、1 日のローテーションが 3 回で、2 日間の変更をログに保存する場合は、6 の値を指定します。
- 「ファイルの最大サイズ (バイト単位)」 − 現在のファイルに変更を書き込むとこの制限を超える場合、同じローテーションプレフィックスで新しいシーケンス番号の付いた新しいログファイルが開始されます。値 0 は、この制限を使用しないことを示します。サイズ、行数、および有効期間の制限フィールドは、値が 0 でなければそれらすべてが使用されます。ただし、サイズの制限が 3 つの制限の中で最初にチェックされます。
- 「ファイルの最大サイズ (行単位)」 −現在のファイルに変更を書き込むと行数がこの制限を超える場合には、新しいシーケンスのファイルが作成され、超過した行は新しいファイルに書き込まれます。値 0 は「制限なし」を表します。この制限は、サイズ制限の次、有効期間制限の前にチェックされます。
- 「ファイルの最大有効期間 (秒単位)」 − 変更を受け取ったときに、既存のシーケンスファイルがここに指定されている秒数以前のものである場合には、新しいシーケンスファイルが作成され、そこに変更が書き込まれます。値 0 は、この制限を使用しないことを示します。他の制限がゼロではない場合は、それらがこの制限より先に適用されます。
「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog ポリシーを保存する、または既存のポリシーへの変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。
ChangeLog の作成と編集
「ChangeLog の編集」ページで次の項目に入力および選択を行なって、ChangeLog を作成または編集します。
- 「ChangeLog 名」 − 一意な ChangeLog の名前を入力します。
- 「アクティブ」 − このオプションを選択した場合、ChangeLog は監視を行い、ActiveSync リソースを通して ID 属性に変更が伝達されたときに、その変更を記録します (この処理が行われるためには、ActiveSync が ID 属性アプリケーションであることが必要)。
- 「フィルタ」 − 使用する ChangeLog フィルタの名前を入力します。「Noop」はデフォルトフィルタを使用し、すべての変更を受け入れることを意味します。ほとんどの場合、この設定で十分です。この設定を使用しない場合は、com.sun.idm.changelog.ChangeLogFilter を実装する Java クラスを指定することになります。このクラスはサーバーのクラスパスに配置され、またパブリックなデフォルトコンストラクタが含まれている必要があります。
- 「次の操作をログに記録」 −作成、更新、および削除など、選択したタイプのイベントのログを記録します。選択されていないイベントは無視されます。
- 「ChangeLog ビュー」 − このテーブルを使用して、ChangeLog の内容 (列) を定義します。テーブルの各行は ChangeLog の列を指定します。ChangeLog 列を追加するには「列の追加」をクリックします。それぞれの列には、名前、タイプ、ID 属性名があります。行の順序は列の順序を示します。列を定義したあとで列の順序を並び替えるには、「上へ」と「下へ」のボタンを使用します。
注 どの ChangeLog にも、テーブルの 1 列目に 'changeType' という名前の暗黙の列があります。この 1 列目の暗黙の列は、変更のタイプを示します。この列のタイプは「テキスト」です。ログのデータは 'ADD'、'MOD'、'DEL' のいずれかの値となります。
- 「使用するポリシー名」 − リストから定義済みの ChangeLog ポリシーを選択して、ロギングに使用します。
- 「出力パス」 −ファイルシステム上でログファイルを格納するディレクトリの名前を入力します。この格納先をネットワーク上にマウントされた場所にすることも可能ですが、サーバーと同じシステム内のディレクトリを使用することをお勧めします。ChangeLog ごとに一意な場所を使用するのもよい方法です。
- 「サフィックス」 −ChangeLog ファイルのサフィックスを入力します (.csv など)。選択したサフィックスを使用して、ChangeLog ファイル同士を区別することもできます。
「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog を保存する、または既存の ChangeLog への変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。
例
次の例には、ID 属性と ChangeLog をセットアップして特定の属性データのセットを取得する方法が詳しく示されています。
例: ID 属性の定義
この例では、2 つの Identity Manager リソース (Resource 1 と Resource 2) が 3 つ目のリソース (Resource 3) にソースデータを提供します。Resource 3 は Identity Manager システムに直接には接続していません。Resource 1 と 2 からデータサブセットを取得し、それを Resource 3 に提供して保守するには、ChangeLog が必要です。
Resource 1: EmployeeInfo
employeeNumber*
givenname
mi
surname
phoneResource2 : OrgInfo
employeeNum*
managerEmpNum
departmentNumberResource 3 : PhoneList
empId*
fullname
phone
department
注 * はレコードを相互に関連付けるキーを表します。
ID 属性は次のようにして定義されます。
例: ChangeLog の設定
ID 属性を定義したら、次に PhoneList ChangeLog という名前の ChangeLog を定義します。この目的は、ID 属性のサブセットを ChangeLog ファイルに書き込むことです。
PhoneList ChangeLog の ChangeLogView
Resource 1 または Resource 2 内のレコードが変更されると、変更された内容だけではなく、ChangeLog レコードのデータの完全セット、つまり ID 属性のすべてのデータが ChangeLog に書き込まれます。カスタムスクリプトはその情報を読み取り、それを使用して Resource 3 を設定します。
CSV ファイル形式
この節では、ChangeLog によって作成されるカンマ区切り値 (CSV) ファイルの形式について説明します。
ChangeLog ファイルは、スプレッドシートやデータベーステーブルなどのように、「行」と「列」でできているものと考えてください。その「行」に当たるものが、ファイルの 1 行です。
ChangeLog 形式は、最初の 2 行を使用する自己記述型です。この 2 行が 1 組で「スキーマ」つまりテーブル内の各「セル」の論理名と論理タイプを定義します (「セル」とは、行上のカンマで区切られた 1 つ 1 つの値のこと)。
1 行目には、ファイル内の属性の名前が列挙されます。2 行目には、それらの属性の値のタイプが記述されます。それ以降の行は、すべて変更イベントのデータです。
ChangeLog ファイルは Java UTF-8 形式でエンコードされます。
列
ファイルの 1 列目は特に重要です。この列は操作タイプを定義し、変更イベントが作成、変更、または削除のアクションであったかどうかなどを示します。ここには常に changeType が入り、常にタイプ T (テキスト) です。その値は ADD、MOD、DEL のどれかです。
決まった 1 つの列にエントリの一意の識別子 (主キー) が保持されるようにしてください。通常、これはファイルの 2 列目です。
それ以外の列には、属性の名前が入ります。その名前はChangeLog View テーブルの「列名」値から取られます。
行
ファイルの「スキーマ」を定義する最初の 2 つのヘッダー行に続いて、残りの行には属性の値が入ります。それらの値は 1 行目の列項目の順序に従って表示されます。ChangeLog は ID 属性から適用されるので、ChangeLog には変更が検出された時点でユーザーに関するすべてのデータが含まれます。
また、NULL (または設定されていないこと) を表す特別なセンチネル値はありません。変更が検出されているのに値がない場合、ChangeLog は空の文字列を書き込みます。
値は、ファイルの 2 行目に指定されている列のタイプにしたがってエンコードされます。サポートされているタイプは次のとおりです。
テキスト値
テキスト値は文字列として書き込まれますが、次の 2 つの例外があります。
- 値に , (カンマ) が含まれている場合、 (円記号) が挿入されて Identity Manager は値の中のカンマをエスケープします。たとえば、fullname の値が Mouse, Mickey である場合、Identity Manager は Mouse ,Mickey を値として書き込みます。
- 値に (円記号) 文字が含まれる場合は、 がもう 1 つ付け足されて Identity Manager は円記号をエスケープします。たとえば、homedir の値に C:usershome が含まれている場合、Identity Manager はログに C:usershome を書き込みます。
テキスト値に復帰改行を含めることはできません。ファイルに復帰改行が必要な場合は、バイナリ値タイプを使用してください。
バイナリ値
バイナリ値は Base64 でエンコードされます。
複数テキスト値
複数テキスト値はテキスト値と同じように書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。
複数バイナリ値
複数バイナリ値はバイナリ値と同じように Base64 でエンコードされて書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。
出力形式の例
次に例を挙げて、さまざまな出力形式を示します。例の書式は次のとおりです。
column1, column2, column3, column4
各例の Column 3 にサンプルテキストが示されます。
- テキスト (T) データは、ファイル内で次のように文字列として表示されます。
ADD,account0,some text data,column4
- バイナリ (B) データは Base64 でエンコードされて表示されます。
ADD,account0,FGResWE23WDE==,column4
- 複数テキスト (MT) は次のように表示されます。
ADD,account0,[one,two,three],column4
- 複数バイナリ (MB) は次のように表示されます。
ADD,account0,[FGResWE23WDE==,FGRCAFEBADE3sseGHSD],column4
注 Base64 のアルファベットには , (カンマ)、[ (左括弧)、] (右括弧) の各文字、または復帰改行は含まれていません。
ChangeLog のファイル名
ファイル名の形式は次のとおりです。
servername_User_timestamp.sequenceNumber.suffix
各表記の意味は次のとおりです。
ローテーションとシーケンスの設定
ローテーションとシーケンスは ChangeLogPolicy オブジェクトで定義され、ChangeLogs から参照されます。
例
あるポリシーが次の条件でローテーションを定義するとします。
この条件の場合、ローテーションファイルには次のように名前が付けられることになります (ローテーションごとに 2 つのシーケンスファイルがある)。
myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csvmyServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv1 月 1 日は 07:00:00 から始まって 8 時間ごとに 3 回ローテーションされており、1 月 2 日も同様であることが示されています。名前の中で 20060102 という日付に対応する部分だけが異なっています。
ChangeLog スクリプトの作成
この節では、ChangeLog スクリプトを作成する上で役立つ情報を提供します。
- スクリプトは、新しいデータや新しいファイルを待ったり、あるいはアクティビティーの合間に休眠しながら、取得したファイルを読み取っては各行の変更内容をバックエンドリソースに適用するというように、継続的に実行されるものです。
- ChangeLog は削除操作をサポートしますが、その場合 accountId 値が DEL 行に書き込まれるだけです。
- ローテーションとシーケンスを使用することにより、スクリプトを実行する頻度を決めることができます。たとえば、次のように指定できます。
- 各 ChangeLog をバックエンドシステム内のレコードの表現と見ることができます。ログを読み取るスクリプトにとって処理しやすくするために、Identity Manager は特定のレコードに関しては、それが変更されているかどうかに関わりなく必ずそのすべてのデータを書き込みます。スクリプトはそのレコードのすべてのデータをそのまま適用します。
ただし、スクリプトはバックエンドリソース (またはスクリプト) が、特に ADD と DEL に関して、次のいずれかの方法を取れるようにしておく必要があります。
- 1 つのシーケンスファイルが作成されたことを確認してから、その前のシーケンスファイルを適用する方法がよいこともあります。.2 ファイルが作成されるまでは .1 ファイルを適用しないようにし、.3 ファイルが表示されたら .2 ファイルを適用するという要領で行います。ファイルを適用したあとは、ディスク上で適用を行なったことを確認します。この方法により、fstat やtail -f などの呼び出しを使用しないで済みます。
ポリシーについてこの節では、ポリシーの設定の説明および手順を示します。
ポリシーとは
Identity Manager ポリシーには、Identity Manager アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。
Identity Manager ポリシーの作成と編集は、「ポリシー」ページで行います。メニューバーの「設定」を選択してから、「ポリシー」を選択します。表示されたリストページで、既存のポリシーを編集したり、新規ポリシーを作成したりできます。
ポリシーは、以下のように分類されています。
- アイデンティティーシステムアカウントポリシー − ユーザー、パスワード、および認証ポリシーのオプションと制約を設定します。アイデンティティーシステムアカウントポリシーは、「組織の作成と編集」および「ユーザーの作成と編集」ページを使用して組織またはユーザーに割り当てます。
図 6 Identity Manager ポリシー
設定または選択できるオプションは、次のとおりです。
- 文字列の品質ポリシー − 文字列品質ポリシーにはパスワード、AccountID、認証などのポリシータイプが含まれており、長さ規則、文字タイプ規則、許容される単語や属性値を設定します。このタイプのポリシーは、各 Identity Manager リソースに関連付けられ、各リソースページに設定されます。
図 7 パスワードポリシーの作成 / 編集
パスワードおよびアカウント ID に設定できるオプションと規則は、次のとおりです。
- 長さ規則 − 最大長および最小長を決定します。
- 文字タイプ規則 − 英字、数字、大文字、小文字、繰り返し、および連続文字に使用可能な最小値と最大値を設定します。
- パスワードの再利用の制限 − 現在のパスワードより前に使用されていたパスワードのうち、再利用できないようにするパスワードの数を指定します。ユーザーがパスワードを変更しようとすると、新規パスワードがパスワードの履歴と比較され、一意のパスワードであることが確認されます。セキュリティーを確保する目的で以前のパスワードのデジタル署名が保存され、新規パスワードと比較されます。
- 禁止される単語および属性値 − ID またはパスワードとして使用できない単語および属性を指定します。
辞書ポリシー
辞書ポリシーを使用すると、Identity Manager は単語データベースと照合してパスワードをチェックすることができ、単純な辞書攻撃から保護されることが保証されます。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を強制することにより、Identity Manager がシステム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。
辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します (このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装される)。
辞書ポリシーの設定
辞書ポリシーを設定するには、次を実行する必要があります。
次の手順を実行します。
- メニューバーの「設定」を選択してから、「ポリシー」を選択します。
- 「辞書の設定」をクリックすると、「辞書の設定」ページが表示されます。
- データベース情報を選択および入力します。
- 「データベースタイプ」 − 辞書の保存に使用するデータベースタイプ (Oracle、DB2、SQLServer、または MySQL) を選択します。
- 「ホスト」 − データベースが実行されているホストの名前を入力します。
- 「ユーザー」 − データベースに接続するときに使用するユーザー名を入力します。
- 「パスワード」 − データベースに接続するときに使用するパスワードを入力します。
- 「ポート」 − データベースがリスニング中のポートを入力します。
- 「接続 URL」 − 接続のときに使用する URL を入力します。次のテンプレート変数を使用することができます。
- 「ドライバクラス」 − データベースを操作する際に使用する JDBC ドライバクラスを入力します。
- 「データベース名」 − 辞書の読み込み先のデータベースの名前を入力します。
- 「辞書ファイル名」 − 辞書を読み込むときに使用するファイルの名前を入力します。
- データベース接続をテストするには、「テスト」をクリックします。
- 接続テストが成功したら、「単語の読み込み」をクリックして、辞書を読み込みます。
注 読み込み作業が完了するまでに、数分かかる場合があります。
- その辞書が正しく読み込まれたかどうかを確認するには、「テスト」をクリックします。
辞書ポリシーの実装
辞書ポリシーは、Identity Manager ポリシーエリアから実装します。「ポリシー」ページで、編集するパスワードポリシーをクリックします。「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。実装すると、変更および生成されたパスワードはすべて、辞書と照合してチェックされます。
機能について機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、特権のセットを提供します。
すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager を使用して 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。
割り当てられた機能により、Identity Manager 管理者インタフェースのどのエリアにアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager エリアにアクセスできます。
機能のカテゴリ
Identity Manager の機能は、次のように分類されています。
組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。
保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。
機能の操作
機能の作成
機能を作成するには、「新規」をクリックします。
機能の編集
保護されていない機能を編集するには、リストでその機能を右クリックし、「編集」を選択します。
注 組み込み機能は編集できません。ただし、それを別の名前で保存して独自の機能を作成したり、自分で作成した機能の中で組み込み機能を使用したりすることはできます。
機能の保存と名前の変更
機能を「クローン作成」する (異なる名前で保存して、新しい機能を作成する) には、次を実行します。
コピー元の機能は保護されていますが、新しい機能は編集できます。
機能の割り当て
「ユーザーの作成」および「ユーザーの編集」ページから、ユーザーに機能を割り当てます。
注 「セキュリティー」エリアでセットアップした管理者ロールを割り当てる方法で、ユーザーに機能を割り当てることもできます。詳細は、「管理者ロールについて」を参照してください。
機能の階層
タスクベースの機能は、次のような実用上の機能階層に分類されます。
Account Administrator
Admin Role Administrator
Bulk Account Administrator
Bulk Change Account Administrator
Capability Administrator
Change Account Administrator
Import/Export Administrator
Login Administrator
Organization Administrator
Password Administrator (Verification Required)
Policy Administrator
Reconcile Administrator
Remedy Integration Administrator
Report Administrator
Resource Administrator
Resource Object Administrator
Resource Password Administrator
Role Administrator
Security Administrator
View Organizations
View Resources
Waveset Administrator
機能の定義
次の表で、各タスクベースの機能と、各機能でアクセスできるタブおよびサブタブについて説明します。
すべての機能で、ユーザーまたは管理者は、「自分のパスワードの変更」および「自分の認証質問の回答の変更」サブタブ (「パスワード」タブ) にアクセスすることができます。
表 1 Identity Manager 機能の説明
管理者ロールについて管理者ロールを使用すると、管理者が管理している組織を組み合わせて、その組み合わせごとに一意の機能の組み合わせを割り当てることができます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。
機能および組織を管理者ロールに割り当てるときには、次の方法を利用できます。
- 直接 − 特定の機能または管理する組織、あるいはその両方を管理者ロールに割り当てることができます。
- 動的 (間接) − 機能および管理する組織の規則を使用して、機能および管理する組織が動的に決定されます。管理者ロールが割り当てられているユーザーが Identity Manager にログインすると、その管理者ロールに基づいて機能および管理する組織が割り当てられます。
注 これらの規則の設定方法については、「機能規則と管理する組織規則」を参照してください。
1 つ以上の管理者ロールを各ユーザーに割り当てることができます。管理者ロールは、1 人以上のユーザーに割り当てることができます。
ユーザー管理者ロール
Identity Manager には「User」という組み込み管理者ロールがあります。このロールにはデフォルトでは機能や管理する組織の割り当ては含まれておらず、このロールを削除することもできません。この管理者ロールはログイン時に暗黙的にすべてのユーザー、つまりエンドユーザーと管理者に割り当てられます。
「User」管理者ロールは、管理者インタフェースで「設定」を選択してから「管理者ロール」を選択することによって編集できます。
この管理者ロールによって静的に割り当てられる機能または管理する組織はすべてのユーザーに割り当てられるので、機能および管理する組織の割り当ては規則を通して行うことをお勧めします。そうすることで、異なるユーザーが異なる機能を持つまたは機能を持たないようにすることができ、ユーザーがだれか、ユーザーがどの部署に所属するか、またはユーザーが管理者であるかなど、規則のコンテキスト内で問い合わせ可能な要素に基づいて割り当ての範囲が設定されます。
「User」管理者ロールによって、ワークフローで使用される authorized=true フラグの有用性が低下したり、そのフラグが完全に取って代わられるわけではありません。ワークフローが実行中である場合を除き、ワークフローがアクセスするオブジェクトに対してユーザーがアクセス権を持っていないときには、依然としてこのフラグのほうが適しています。基本的には、このときユーザーは「スーパーユーザーとして実行」モードに入ります。
しかし、ユーザーがワークフロー外にあるまたはワークフロー内にある可能性のある 1 つ以上のオブジェクトに対して特定のアクセス権を持っている場合は、「User」管理者ロールを使用して機能および管理する組織を動的に割り当てることにより、それらのオブジェクトに対して動的で緻密な承認を行えます。
例
次の例の手順は、「User」管理者ロールを動的な環境で使用する方法を示しています。
ユーザーがログインすると、次のような処理が行われます。
- ユーザーの Active Directory ユーザータイトルが 'manager' (監督) である場合には、「Account Administrator」機能が割り当てられて、"My Team" 組織の管理を担当することになります。
- ユーザーの Active Directory ユーザータイトルが 'manager' でない場合には、機能も管理する組織も割り当てられません。
- ログインユーザーのタイトルが 'manager' である場合、"My Team" 組織をオープンすると、"Get My Team" 規則が Active Directory リソースに対して getResourceObjects を呼び出して、manager が現在ログインしているユーザーの accountInfo.accounts[AD].accountId になっているすべてのユーザーが要求されます。
このようにセットアップすることで、ユーザーインタフェースにログインする監督が人材 (選手) を管理できるようになり、選手はユーザーインタフェースにログインするときに管理者機能を実行する必要がありません。
管理者ロールの作成および編集
管理者ロールを作成または編集するには、管理者ロールの管理者機能が必要です。管理者ロールエリアにアクセスするには、「設定」をクリックしてから「管理者ロール」をクリックします。「管理者ロール」リストページでは、Identity Manager の管理者ロールを作成、編集、および削除できます。
既存の管理者ロールを編集するには、リスト内の名前をクリックします。管理者ロールを作成するには、「新規」をクリックします。Identity Manager の「管理者ロールの作成」ページが表示され、新しい管理者ロールの機能および範囲を指定します。
図 8 管理者ロール: ページの作成
管理する組織の範囲の設定
管理する組織を管理者ロールに直接割り当てられるときに、管理者ロールごとにユーザーが操作できるオブジェクトの範囲を定義することができます。そのユーザーが管理している各組織で利用できるオブジェクトのうち、1 つ以上のオブジェクトを範囲に含めたり除外したりすることができます。
たとえば、組織に多数のリソースが含まれる場合に、組織内のユーザーを作成、更新、および削除する機能を持つユーザーについて、指定した一部のリソースにしかアクセスできないようにすることができます。この設定を適用するには、次の特性を持つ管理者ロールを作成します。
範囲を設定するために、「管理者ロールの作成」ページの「選択された組織に含めるまたは除外する」エリアで以下の選択を行います。
図 9 管理者ロール: 管理する組織に含める / 除外するオブジェクトの選択
「含める」リストと「除外する」リストの両方に選択した項目は、管理者ロールから除外されます。
管理者ロールへのユーザーフォームの割り当て
管理者ロールの属性としてユーザーフォームを指定することができます。管理者ロールを割り当てられた管理者は、その管理者ロールによって管理されている組織内のユーザーを作成または編集するときにこのユーザーフォームを使用します。管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。
ユーザーを編集するときに使用されるユーザーフォームは、次の優先順位で決定されます。
管理者に、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールが割り当てられている場合、その組織内のユーザーを作成または編集しようとするとエラーが表示されます。管理者が、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールを割り当てようとすると、エラーが表示されます。この競合を解決するまで変更は保存できません。
機能規則と管理する組織規則
次の例は、機能規則または管理する組織規則の設定方法を示しています。管理者ロールが適用されたユーザーに割り当てる機能または管理する組織を動的に制御することができます。
注 Identity Manager の規則を作成および操作する方法については、『Identity Manager Deployment Tools』を参照してください。
機能規則: キーの定義と取り込み
- 機能規則には、authType='CapabilitiesRule' エントリを含める必要があります。管理者ロールページで機能規則を選択するには、このエントリが必要です。
- コンテキストは、現在認証されている Identity Manager ユーザーのユーザービューです。
- 次のサンプル規則では、定義された変数 (defvar) 'user groups' が、Windows Active Directory サーバー上で現在認証されている 'ranger-AD' という名前の Identity Manager ユーザーアカウントを取得し、このユーザーが現在登録されているグループのリストを返します。
- 条件ロジック (cond) は、現在認証されている Identity Manager ユーザーが 'manager' グループのメンバーであるかどうかを確認します。真の場合、このユーザーに Identity Manager 機能のログイン管理者およびリソース管理者が割り当てられます。偽の場合、Identity Manager 機能は割り当てられません。
機能規則の例
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Rule authType='CapabilitiesRule' name='If Manager'>
<block>
<defvar name='user groups'>
<get>
<invoke name='getResourceObject' class='com.waveset.ui.FormUtil'>
<ref>context</ref>
<s>ranger-AD</s>
<s>User</s>
<ref>accountInfo.accounts[ranger-AD].accountId</ref>
<map>
<s>searchAttrsToGet</s>
<list>
<s>memberOf</s>
</list>
</map>
</invoke>
<s>user.attributes.memberOf</s>
</get>
</defvar>
<cond>
<contains>
<ref>user groups</ref>
<s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>
</contains>
<list>
<s>Login Administrator</s>
<s>Resource Administrator</s>
</list>
</cond>
</block>
<MemberObjectGroups>
<ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset' name='Waveset'/>
</MemberObjectGroups>
</Rule>
管理する組織規則: キーの定義
- 管理する組織規則には、authType='ControlledOrganizationsRule' エントリを含める必要があります。このエントリによって、管理者ロールページで管理する組織規則を選択できるようになります。
- コンテキストは、現在認証されている Identity Manager ユーザーのユーザービューです。
- 次のサンプル規則では、定義された変数 (defvar) 'user groups' が、Windows Active Directory サーバー上で現在認証されている 'ranger-AD' という名前の Identity Manager ユーザーアカウントを取得し、このユーザーが現在登録されているグループのリストを返します。
- 条件ロジック (cond) は、現在認証されている Identity Manager ユーザーが 'manager' グループのメンバーであるかどうかを確認します。真の場合、Identity Manager 'Waveset' 組織管理がユーザーに割り当てられます。偽の場合、組織管理は割り当てられません。
管理する組織規則の例
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Rule PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Rule authType='ControlledOrganizationsRule' name='Get managed departments'>
<block>
<defvar name='user groups'>
<get>
<invoke name='getResourceObject' class='com.waveset.ui.FormUtil'>
<ref>context</ref>
<s>ranger-AD</s>
<s>User</s>
<ref>accountInfo.accounts[ranger-AD].accountId</ref>
<map>
<s>searchAttrsToGet</s>
<list>
<s>memberOf</s>
</list>
</map>
</invoke>
<s>user.attributes.memberOf</s>
</get>
</defvar>
<cond>
<contains>
<ref>user groups</ref>
<s>CN=manager,DC=dev-ad,DC=waveset,DC=com</s>
</contains>
<list>
<s>Waveset</s>
</list>
</cond>
</block>
<MemberObjectGroups>
<ObjectRef type='ObjectGroup' id='#ID#ObjectGroup:Waveset' name='Waveset'/>
</MemberObjectGroups>
</Rule>
電子メールテンプレートについてIdentity Manager では、電子メールテンプレートを使用して、情報および操作の要求をユーザーと承認者に配信します。システムには次のためのテンプレートが用意されています。
- アカウントの作成の承認 − 新しいアカウントが承認待ちであるという通知を承認者に送信します。関連付けられているロールの「プロビジョン通知」オプションが「承認」に設定されている場合に、この通知が送信されます。
- アカウントの作成の通知 − アカウントが作成され、特定のロールが割り当てられたという通知を送信します。「ロールの作成」または「ロールの編集」ページの「通知受信者」フィールドで、1 人以上の管理者が選択されている場合に、この通知が送信されます。
- パスワードリセット − Identity Manager パスワードリセットの通知を送信します。関連付けられた Identity Manager ポリシーに対して選択されたリセット通知オプションの値に応じて、パスワードをリセットした管理者の Web ブラウザにただちに通知が表示されるか、パスワードがリセットされたユーザーに電子メールが送信されます。
- パスワード同期情報 − パスワードの変更がすべてのリソースで正常に完了したことをユーザーに通知します。通知には、正常に更新されたリソースが一覧表示され、パスワード変更の要求元が示されます。
- パスワード同期エラー情報 − パスワードの変更がすべてのリソースでは成功しなかったことをユーザーに通知します。通知には、エラーが一覧表示され、パスワード変更の要求元が示されます。
- アカウントイベントの調整、リソースイベントの調整、調整の概要 − Notify Reconcile Response、Notify Reconcile Start、および Notify Reconcile Finish デフォルトワークフローからそれぞれ呼び出されます。通知は、各ワークフローの設定に基づいて送信されます。
- レポート − 生成されたレポートを指定されたリストの受信者に送信します。
- リソースの要求 − リソースが要求されたという通知をリソース管理者に送信します。管理者が「リソース」エリアからリソースを要求したときに、この通知が送信されます。
- 再試行通知 − あるリソースに関する特定の操作の試行が指定回数失敗したという通知を管理者に送信します。
- リスク分析 − リスク分析レポートを送信します。リソーススキャンの一部として、1 人以上の電子メール受信者が指定されている場合に、このレポートが送信されます。
- 一時パスワードリセット − アカウントに暫定パスワードが提供されたという通知をユーザーまたはロール承認者に送信します。関連付けられた Identity Manager ポリシーに対して選択したパスワードリセット通知オプションの値に応じて、ユーザーの Web ブラウザにただちに通知が表示されるか、ユーザーまたはロール承認者に電子メールが送信されます。
電子メールテンプレートのカスタマイズ
電子メールテンプレートをカスタマイズして、受信者に、タスクの実行方法や結果の表示方法などの特定の指示を通知することができます。たとえば、「アカウントの作成の承認」テンプレートをカスタマイズして、承認者に次のようなアカウント承認ページを表示するとします。
$(fullname) 用アカウント作成を承認するには、http://host.example.com:8080/idm/approval/approval.jsp にアクセスしてください。
アカウント作成承認テンプレートをカスタマイズするには、次を実行します。
電子メールテンプレートの HTML とリンク
HTML 形式のコンテンツを電子メールテンプレートに挿入して、電子メールメッセージの本文に表示することができます。コンテンツには、テキスト、グラフィック、および情報への Web リンクを使用できます。HTML 形式のコンテンツを有効化するには、「HTML 有効」オプションを選択します。
電子メール本文の許容変数
電子メールテンプレートの本文には、変数の参照を $(Name) の形式で含めることもできます。例: パスワード $(password) が復旧しました。
各テンプレートの許容変数を、次の表に定義します。
表 2 電子メールテンプレート変数
監査グループの設定監査設定グループを設定すると、選択したシステムイベントを記録およびレポートすることができます。
監査設定グループを設定するには、メニューバーの「設定」を選択し、「監査イベント」を選択します。
「監査イベント」ページに監査設定グループのリストが表示されます。各グループに 1 つ以上のイベントが含まれています。各グループについて、成功したイベント、失敗したイベント、またはその両方を記録することができます。
リスト内の監査設定グループをクリックすると、「監査設定グループの編集」ページが表示されます。このページで、監査設定グループの一部としてシステム監査ログに記録する監査イベントのタイプを選択することができます。
監査設定グループ内のイベントの編集
グループ内のイベントを編集するために、特定のオブジェクトタイプの操作を追加または削除することができます。このためには、そのオプションタイプの「操作」列の項目を「利用可能」エリアから「選択」エリアに移動し、「OK」をクリックします。
監査設定グループへのイベントの追加
グループにイベントを追加するには、「新規」をクリックします。イベントはページの一番下に追加されます。「オブジェクトタイプ」列でリストからオブジェクトタイプを選択し、新しいオブジェクトタイプの「操作」列で、1 つ以上の項目を「利用可能」エリアから「選択」エリアに移動します。「OK」をクリックしてイベントをグループに追加します。
Remedy との統合Identity Manager を Remedy サーバーと統合すると、指定されたテンプレートに従って Remedy チケットを送信することができます。
Remedy との統合は、管理者インタフェースの次の 2 つのエリアでセットアップします。
Remedy チケットの作成は、Identity Manager ワークフローを通じて設定されます。設定によっては、定義済みのテンプレートを使用して Remedy チケットを開く呼び出しを適切な時刻に行うこともできます。ワークフローの設定の詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。
Identity Manager サーバーの設定Identity Manager サーバーが特定のタスクのみを実行するようにサーバー固有の設定を編集することができます。そのためには、「設定」を選択して、「サーバー」を選択します。
個別のサーバーの設定を編集するには、「サーバーの設定」ページでリスト内のサーバーを選択します。「サーバー設定の編集」ページが表示され、調整サーバーとスケジューラの設定を編集することができます。
調整サーバーの設定
デフォルトでは、調整サーバーの設定は、「サーバー設定の編集」ページに表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。
スケジューラの設定
「サーバー設定の編集」ページで「スケジューラ」をクリックすると、スケジューラオプションが表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。
「保存」をクリックして、サーバー設定の変更を保存します。
サーバーのデフォルト設定の編集
サーバーのデフォルト設定機能を使用して、すべての Identity Manager サーバーのデフォルト設定を設定することができます。個別のサーバー設定ページで異なる項目を選択しないかぎり、サーバーはこれらの設定を継承します。デフォルト設定を編集するには、「サーバーのデフォルト設定の編集」をクリックします。「サーバーのデフォルト設定の編集」ページには、個別のサーバー設定ページと同じオプションが表示されます。
各サーバーのデフォルト設定の変更は、その設定の「デフォルト値を使用する」オプションを選択解除しないかぎり、対応する個別のサーバー設定に伝播されます。
「保存」をクリックして、サーバー設定の変更を保存します。
署名付き承認次の情報と手順を使用して、デジタル署名付きの承認を設定します。次の作業を行う手順と例を示します。
署名付き承認の設定
次の手順を実行して、署名付き承認を設定します。
サーバー側の設定
サーバー側の設定を有効にするには、次のようにします。
- システム設定に security.nonrepudiation.signedApprovals=true を設定します。
- 自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。
たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。
- この証明書を Identity Manager に信頼できる証明書として追加します。
- 次のようにして、CA の証明書失効リスト (CRL) を追加します。
- 「テスト接続」をクリックして、URL を確認します。
- 「保存」をクリックします。
- jarsigner を使用して applets/ts1.jar に署名します。
注 詳細については、http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts1.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。
クライアント側の設定
次の手順を実行して、クライアント側の設定を有効にします。
前提条件
クライアントシステムで、JRE 1.4 以上が動作する Web ブラウザが実行されている必要があります。
手順
証明書と非公開鍵を取得して、PKCS#12 キーストアにエクスポートします。
たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。
- Internet Explorer を使用して、http://IPAddress/certsrv を参照し、管理特権でログインします。
- 「証明書の要求」を選択して、「次へ」をクリックします。
- 「要求の詳細設定」を選択して、「次へ」をクリックします。
- 「次へ」をクリックします。
- 「証明書テンプレート」で「ユーザー」を選択します。
- 次のオプションを選択します。
- 「送信」をクリックして、「OK」をクリックします。
- 「この証明書のインストール」をクリックします。
- 「ファイル名を指定して実行」> mmc を実行して、mmc を起動します。
- 証明書スナップインを追加します。
- 「コンソール」>「スナップインの追加と削除」を選択します。
- 「追加...」をクリックします。
- 「コンピュータアカウント」を選択します。
- 「次へ」をクリックして、「完了」をクリックします。
- 「閉じる」をクリックします。
- 「OK」をクリックします。
- 「証明書」>「個人」>「証明書」の順に進みます。
- 「管理者」を右クリックして、「すべてのタスク」>「エクスポート」を選択します。
- 「次へ」をクリックします。
- 「次へ」をクリックして、非公開鍵がエクスポートされていることを確認します。
- 「次へ」をクリックします。
- パスワードを設定して、「次へ」をクリックします。
- ファイル CertificateLocation。
- 「次へ」をクリックして、「完了」をクリックします。「OK」をクリックして確認します。
承認の署名
次の手順を実行して、承認に署名します。
- Identity Manager 管理者インタフェースから、「承認」を選択します。
- リストから承認を選択します。
- 承認のコメントを入力して、「承認」をクリックします。
Identity Manager はアプレットを信頼するかどうかを確認するように要求します。
- 「常時」をクリックします。
Identity Manager は承認の日付入りの概要を表示します。
- キーストアの場所 (サーバー側の設定手順 10m で指定した場所) を、入力するかまたは「参照」をクリックして特定します。
- キーストアパスワード (サーバー側の設定手順 10l で設定したパスワード) を入力します。
- 「署名」をクリックして、要求を承認します。
その後の承認の署名
一度承認に署名すると、それ以後の承認アクションでは、キーストアパスワードを入力して「署名」をクリックするだけでよくなります (Identity Manager は、前回の承認で使用したキーストアの場所を記憶しているはず)。
トランザクション署名の表示
次の手順を実行して、Identity Manager の監査ログレポートにトランザクション署名を表示します。