設定

この章では、管理者インタフェースを使用した Identity Manager オブジェクトのセットアップの説明および手順を示します。

ロールについて

この節では、Identity Manager でのロールのセットアップについて説明します。

ロールとは

Identity Manager ロールは、アカウントを管理するリソースの集まりを定義します。ロールを使用すると、ユーザークラスのプロファイルを作成し、類似した特性を持つ Identity Manager ユーザーをグループ化できます。

各ユーザーに 1 つ以上のロールを割り当てることも、ロールを割り当てないこともできます。ある 1 つのロールを割り当てられたすべてのユーザーは、同じベースグループのリソースへのアクセスを共有することになります。

1 つのロールに関連付けられたすべてのリソースは、ユーザーに間接的に割り当てられます。間接的な割り当ては、ユーザーに対して明確にリソースが選択される点で、直接的な割り当てとは異なります。

ロールを作成または編集すると、ManageRole ワークフローが開始されます。このワークフローでは、新しいロールまたは更新されたロールをリポジトリに保存し、ロールが作成または保存される前に承認などの操作を挿入することができます。

ロールは、管理者インタフェースの「ユーザーの作成と編集」ページでユーザーに割り当てます。

ロールの作成

割り当てられているリソース属性値の編集

「ロールの作成」ページの「割り当てられたリソース」エリアで「属性値の設定」をクリックして、ロールに割り当てられた各リソースの属性リストを表示します。この「属性の編集」ページで、各属性の新しい値を指定したり、属性値の設定方法を決定できます。Identity Manager の値は、直接設定するだけでなく、規則を使用して設定することもできます。また、既存の値を上書きしたり、既存の値にマージしたりすることもできます。

ロールの編集

ロールの検索

「ロールの検索」エリアを使用して、ロールを検索します。検索機能により、検索条件に一致したロールのリストが戻されます。

ロールは、以下の 1 つ以上の検索の種類によって検索できます。

ロールを検索するには、「ロール」を選択し、「ロールの検索」を選択します。

ロールのクローン作成

既存のロールの選択項目を使用して、新しいロールを作成することができます。その場合は、次を実行します。

ロール名の変更

ロールとリソースロールの同期 Identity Manager

Identity Manager ロールをリソース上でネイティブに作成されたロールと同期することができます。同期すると、デフォルトでリソースはロールに割り当てられます。これには、タスクを使用して作成されたロール、およびいずれかのリソースロール名に一致する既存の Identity Manager ロールが該当します。

メニューバーで、「タスク」を選択してから「タスクの実行」を選択して、「Identity Manager ロールをリソースロールと同期する」タスクページを表示します。

リソースについて

この節では、Identity Manager リソースのセットアップの説明および手順を示します。

リソースとは

Identity Manager リソースには、アカウントが作成されるリソースまたはシステムへの接続方法についての情報が格納されています。Identity Manager リソースは、リソースに関連する属性を定義するものであり、Identity Manager でリソース情報を表示する方法を指定する際に役立ちます。

Identity Manager では、次のような広範囲なリソースタイプに対応したリソースを提供します。

「リソース」エリア

既存のリソースに関する情報は、「リソース」ページに表示されます。Identity Manager

リソースにアクセスするには、メニューバーの「リソース」をクリックします。

リソースはタイプごとにグループ化され、リスト内で名前付きのフォルダによって表されます。階層表示を展開して、現在定義されているリソースを表示させるには、フォルダの隣にあるインジケータをクリックします。表示を折りたたむには、もう一度インジケータをクリックします。

リソースタイプフォルダを展開すると、中に含まれるリソースオブジェクトの数が動的に更新されて表示されます (グループをサポートするリソースタイプの場合)。

リソースの一部には、次のような、管理可能な追加のオブジェクトを持つものがあります。

リソースリストからオブジェクトを選択し、次のオプションリストのいずれかから操作を選択して、管理タスクを開始します。

ロールを作成または編集すると、ManageResource ワークフローが開始されます。このワークフローでは、新しいリソースまたは更新されたリソースをリポジトリに保存し、リソースが作成または保存される前に承認などの操作を挿入することができます。

リソースリストの管理

リソースを作成するときのリソース選択リストは、管理者インタフェースの「設定」エリアで管理します。「リソースタイプアクション」オプションリストから「管理するリソースの設定」を選択して、リソースリストに表示するリソースを選択します。

「管理するリソース」ページでは、Identity Manager のリソースが次の 2 つのカテゴリに分類されています。

カスタムリソースを追加するには、次の手順を実行します。

リソースの作成

リソースは、リソースウィザードを使用して作成します。リソースウィザードでは、リソース上のオブジェクトを管理するために、Identity Manager リソースアダプタを作成する手順を、順を追って実行します。

カスタムリソース	リソースクラス
Access Manager	com.waveset.adapter.AccessManagerResourceAdapter
ACF2	com.waveset.adapter.ACF2ResourceAdapter
ActivCard	com.waveset.adapter.ActivCardResourceAdapter
Active Directory	com.waveset.adapter.ADSIResourceAdapter
Active Directory ActiveSync	com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
ClearTrust	com.waveset.adapter.ClearTrustManagerResourceAdapter
DB2	com.waveset.adapter.DB2ResourceAdapter
INISafe Nexess	com.waveset.adapter.INISafeNexessResourceAdapter
Microsoft SQL Server	com.waveset.adapter.MSSQLServerResourceAdapter
MySQL	com.waveset.adapter.MySQLResourceAdapter
Natural	com.waveset.adapter.NaturalResourceAdapter
NDS SecretStore	com.waveset.adapter.NDSSecretStoreResourceAdapter
Oracle	com.waveset.adapter.OracleResourceAdapter
Oracle Financials	com.waveset.adapter.OracleERPResourceAdapter
OS400	com.waveset.adapter.OS400ResourceAdapter
PeopleSoft	com.waveset.adapter.PeopleSoftCompIntfcAdapter com.waveset.adapter.PeopleSoftComponentActiveSyncAdapter
RACF	com.waveset.adapter.RACFResourceAdapter
SAP	com.waveset.adapter.SAPResourceAdapter
SAP HR	com.waveset.adapter.SAPHRResourceAdapter
SAP Portal	com.waveset.adapter.SAPPortalResourceAdapter
Scripted Host	com.waveset.adapter.ScriptedHostResourceAdapter
SecurID	com.waveset.adapter.SecurIdResourceAdapter com.waveset.adapter.SecurIdUnixResourceAdapter
Siebel	com.waveset.adapter.SiebelResourceAdapter
SiteMinder	com.waveset.adapter.SiteminderAdminResourceAdapter com.waveset.adapter.SiteminderLDAPResourceAdapter com.waveset.adapter.SiteminderExampleTableResourceAdapter
Sun ONE Identity Server	com.waveset.adapter.SunISResourceAdapter
Sybase	com.waveset.adapter.SybaseResourceAdapter
Top Secret	com.waveset.adapter.TopSecretResourceAdapter

ページ間を移動するには、「次へ」および「戻る」を使用します。選択がすべて終了したら、「保存」をクリックしてリソースを保存し、リストページに戻ります。

リソースの管理

リソースリストのリソースに対して一連の編集操作を実行できます。リソースウィザードの各ページの編集機能に加え、次の操作も実行できます。

アカウント属性の操作

Identity Manager リソースは、スキーママップを使用して、外部リソース (リソースアカウント属性) から取得した属性の名前とタイプを定義します。次に、それらの属性を標準の Identity Manager アカウント属性にマップします。スキーママップをセットアップする (リソースウィザードの「アカウント属性」ページで) ことにより、次を実行できます。

これらの値にアクセスするには、リソースリストからリソースを選択して、「リソースアクション」リストから「リソーススキーマの編集」を選択します。

スキーママップの左の列 (タイトルは「Identity System ユーザー属性」) には、Identity Manager 管理者インタフェースおよびユーザーインタフェースで使用されるフォームで参照される Identity Manager アカウント属性の名前が含まれています。スキーママップの右の列 (タイトルは「リソースユーザー属性」) には、外部ソースの属性名が含まれています。

Identity System 属性名を定義することにより、異なるリソースの属性を一般的な名前で定義できます。たとえば、Active Directory リソースの場合、Identity Manager の lastname 属性は Active Directory リソース属性の sn にマップされます。GroupWise の場合、fullname 属性は GroupWise 属性の Surname にマップできます。その結果、管理者は lastname に対して一度値を定義するだけで済み、ユーザーを保存するときには異なる名前のリソースにその値が渡されます。

リソースグループ

「リソース」エリアは、リソースグループを管理するためにも使用します。リソースグループは、リソースをグループ化して特定の順序で更新できるようにします。グループにリソースを入れて順序付けし、そのグループをユーザーに割り当てることで、そのユーザーのリソースが作成、更新、および削除される順序が決定します。

アクティビティーは、各リソースに対して順番に実行されます。あるリソースで操作が失敗した場合、残りのリソースは更新されません。このような関係は、関連するリソースがある場合に重要です。

たとえば、Exchange 5.5 のリソースは、既存の Windows NT または Windows Active Directory アカウントに依存します。つまり、Exchange アカウントを作成するには、その前にこれらのどちらかが存在している必要があります。Windows NT のリソースと Exchange 5.5 のリソースを持つリソースグループを (順番に) 作成することにより、正しいユーザー作成順序を保証できます。逆に、この順序により、ユーザーの削除時には正しい順序でリソースが削除されることが保証されます。

「リソース」を選択して「リソースグループのリスト」を選択すると、現在定義されているリソースグループのリストが表示されます。そのページで「新規」をクリックして、リソースグループを定義します。リソースグループの定義時には、選択エリアで選択を行い、選択したリソースを順序付けするほか、リソースグループを利用可能にする組織を選択することができます。

ChangeLog について

この節では、Identity Manager ChangeLog 機能の説明および ChangeLog の設定と使用の手順を示します。

ChangeLog とは

ChangeLog には、Identity Manager リソースに含まれる ID 属性情報が表示されます。それぞれの ChangeLog は、ID 属性のサブセットに加えられた変更を取得するように定義されています。

リソースの属性データに変更があると、ActiveSync アダプタはその情報を取得して、変更を ChangeLog に書き込みます。次に、エンタープライズ内のリソースの操作専用に開発されたカスタムスクリプトが ChangeLog を読み取って、リソースを更新します。

ChangeLog 機能はプロビジョニングシステムからリソースへとカスタムスクリプトを介して間接的に通信するので、Identity Manager の標準的なリソースアクティブ同期機能や調整機能とは異なります。

ChangeLog とセキュリティー

Identity Manager の ChangeLog 機能を実行するには、ローカルファイルシステム内の指定されたディレクトリに対する書き込み権が必要です。Web コンテナによっては、Identity Manager のようなホストされる Web モジュールに対してローカルファイルシステムへのアクセスをデフォルトで許可していないものもあります。

その場合には、Java ポリシーファイルを編集してアクセス権を付与します。/tmp/changelogs を指定ディレクトリとして使用する場合には、ポリシーファイルに次の内容が含まれるようにします。

grant {
permission java.io.FilePermission "/tmp/changelogs/*", "read,write,delete";
};

指定したそれぞれの ChangeLog に対してファイルアクセス権を定義する必要があります。

Java 用のデフォルトのセキュリティーポリシーファイルは次の場所にあります。

このファイルを編集すれば十分かもしれませんが、デフォルトファイルではない独自のファイルを使用している場合には、サーバーは次のようなオプションが指定された状態で稼働しています。

この場合は、java.security.policy システムプロパティーによって特定されるファイルを編集します。

ChangeLog 機能の要件

ChangeLog 機能の要件として、ChangeLog を設定する前に ID 属性を設定する必要があります。

ID 属性の設定

次の情報と手順を使用して、ID 属性を設定し、ID 属性が適用されるアイデンティティーシステムアプリケーションを選択してください。

ID 属性の操作

ID 属性を設定するには、「設定」を選択して、Identity Manager 管理者インタフェースから「ID 属性」 を選択します。「ID 属性」ページが表示されます。

ID 属性を追加するには、「属性の追加」をクリックします。一度リストに追加された ID 属性は、リスト内の名前をクリックすることによって編集できます。1 つ以上の ID 属性を削除するには、ID 属性を選択して、「選択した属性の削除」をクリックします。

アプリケーションの選択

「有効なアプリケーション」エリアを使用して、ID 属性を適用するアイデンティティーシステムアプリケーションを選択します。「利用可能なアプリケーション」エリアから 1 つ以上のアプリケーションを選択して、「有効なアプリケーション」エリアに移動します。アクションを実行する前に、必ず「保存」をクリックしてください。

ID 属性の追加と編集

「ID 属性の追加」または「ID 属性の編集」ページから、次の項目に関して選択して、ID 属性を追加または編集します。

ターゲットリソースの追加

次の項目の選択を行って、ID 属性を設定するターゲットリソースを追加します。

ターゲットリソースの削除

1 つ以上のターゲットリソースを削除するには、ターゲットリソースを選択して、「選択したターゲットを削除」をクリックします。

ID 属性のインポート

ID 属性のインポート機能を使用して、1 つ以上のフォームを選択し、ID 属性値をインポートして設定することができます。Identity Manager はインポートされたフォームの値を分析し、ID 属性に「最適な推定値」を見積もります。とはいえ、ID 属性値はインポート後に編集が必要になる場合があります。

ChangeLog の設定

ChangeLog の設定は、ChangeLog ポリシーと ChangeLog を作成することによって行います。それぞれの ChangeLog には、関連付けられた ChangeLog ポリシーがなければなりません。ChangeLog は ActiveSync によって検出され ID 属性に適用される変更のサブセットを定義したもので、ログ形式で書き込まれます。ChangeLog に関連付けられる ChangeLog ポリシーは、ChangeLog ファイルに書き込む方法を定義します。ChangeLog ファイルの内容はカスタムスクリプトによって使用されます。

ChangeLog と ChangeLog ポリシーを設定するには、「設定」を選択してから、管理者インタフェースのメニューバーで「ChangeLog」を選択します。

Identity Manager によって、次のような 2 つの概要エリアが含まれた「ChangeLog 設定」ページが表示されます。

ChangeLog ポリシーの概要

「ChangeLog ポリシー」概要エリアには、現在定義されている ChangeLog ポリシーが表示されます。既存の ChangeLog ポリシーを編集するには、リスト内のポリシーの名前をクリックします。ChangeLog ポリシーを作成するには、「ポリシーの作成」をクリックします。

1 つ以上の ChangeLog ポリシーを削除するには、リスト内のポリシーを選択して、「ポリシーの削除」をクリックします (このアクションに確認は不要)。

ChangeLog の概要

ChangeLog の概要エリアには、現在定義されている ChangeLog が表示されます。既存の ChangeLog を編集するには、リスト内の名前をクリックします。ChangeLog を作成するには、「ChangeLog の作成」をクリックします。

1 つ以上の ChangeLog を削除するには、リスト内の ChangeLog を選択して、「ChangeLog の削除」をクリックします (このアクションに確認は不要)。

ChangeLog 設定変更の保存

ChangeLog 設定に対して行う変更は、ChangeLog ポリシーと定義済み ChangeLog のどちらに対する変更であるとしても、「ChangeLog 設定」ページから保存する必要があります。「保存」をクリックすると変更が保存され、Identity Manager の「設定」ページに戻ります。

ChangeLog ポリシーの作成と編集

「ChangeLog ポリシーの編集」ページで次の項目に入力および選択を行なって、ChangeLog ポリシーを作成または編集します。

「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog ポリシーを保存する、または既存のポリシーへの変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。

ChangeLog の作成と編集

「ChangeLog の編集」ページで次の項目に入力および選択を行なって、ChangeLog を作成または編集します。

「OK」をクリックすると、「ChangeLog 設定」ページに戻ります。新しい ChangeLog を保存する、または既存の ChangeLog への変更を保存するために、必ず「ChangeLog 設定」ページから「OK」をクリックしてください。

例

次の例には、ID 属性と ChangeLog をセットアップして特定の属性データのセットを取得する方法が詳しく示されています。

例: ID 属性の定義

この例では、2 つの Identity Manager リソース (Resource 1 と Resource 2) が 3 つ目のリソース (Resource 3) にソースデータを提供します。Resource 3 は Identity Manager システムに直接には接続していません。Resource 1 と 2 からデータサブセットを取得し、それを Resource 3 に提供して保守するには、ChangeLog が必要です。

例: ChangeLog の設定

ID 属性を定義したら、次に PhoneList ChangeLog という名前の ChangeLog を定義します。この目的は、ID 属性のサブセットを ChangeLog ファイルに書き込むことです。

PhoneList ChangeLog の ChangeLogView

Resource 1 または Resource 2 内のレコードが変更されると、変更された内容だけではなく、ChangeLog レコードのデータの完全セット、つまり ID 属性のすべてのデータが ChangeLog に書き込まれます。カスタムスクリプトはその情報を読み取り、それを使用して Resource 3 を設定します。

CSV ファイル形式

この節では、ChangeLog によって作成されるカンマ区切り値 (CSV) ファイルの形式について説明します。

ChangeLog ファイルは、スプレッドシートやデータベーステーブルなどのように、「行」と「列」でできているものと考えてください。その「行」に当たるものが、ファイルの 1 行です。

ChangeLog 形式は、最初の 2 行を使用する自己記述型です。この 2 行が 1 組で「スキーマ」つまりテーブル内の各「セル」の論理名と論理タイプを定義します (「セル」とは、行上のカンマで区切られた 1 つ 1 つの値のこと)。

1 行目には、ファイル内の属性の名前が列挙されます。2 行目には、それらの属性の値のタイプが記述されます。それ以降の行は、すべて変更イベントのデータです。

列

ファイルの 1 列目は特に重要です。この列は操作タイプを定義し、変更イベントが作成、変更、または削除のアクションであったかどうかなどを示します。ここには常に changeType が入り、常にタイプ T (テキスト) です。その値は ADD、MOD、DEL のどれかです。

決まった 1 つの列にエントリの一意の識別子 (主キー) が保持されるようにしてください。通常、これはファイルの 2 列目です。

それ以外の列には、属性の名前が入ります。その名前はChangeLog View テーブルの「列名」値から取られます。

行

ファイルの「スキーマ」を定義する最初の 2 つのヘッダー行に続いて、残りの行には属性の値が入ります。それらの値は 1 行目の列項目の順序に従って表示されます。ChangeLog は ID 属性から適用されるので、ChangeLog には変更が検出された時点でユーザーに関するすべてのデータが含まれます。

また、NULL (または設定されていないこと) を表す特別なセンチネル値はありません。変更が検出されているのに値がない場合、ChangeLog は空の文字列を書き込みます。

値は、ファイルの 2 行目に指定されている列のタイプにしたがってエンコードされます。サポートされているタイプは次のとおりです。

テキスト値

テキスト値は文字列として書き込まれますが、次の 2 つの例外があります。

テキスト値に復帰改行を含めることはできません。ファイルに復帰改行が必要な場合は、バイナリ値タイプを使用してください。

バイナリ値

複数テキスト値

複数テキスト値はテキスト値と同じように書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。

複数バイナリ値

複数バイナリ値はバイナリ値と同じように Base64 でエンコードされて書き込まれますが、カンマで区切られ、[ と ] の括弧で囲まれます。

出力形式の例

次に例を挙げて、さまざまな出力形式を示します。例の書式は次のとおりです。

ローテーションとシーケンスの設定

ローテーションとシーケンスは ChangeLogPolicy オブジェクトで定義され、ChangeLogs から参照されます。

例

あるポリシーが次の条件でローテーションを定義するとします。

この条件の場合、ローテーションファイルには次のように名前が付けられることになります (ローテーションごとに 2 つのシーケンスファイルがある)。

属性	<==	元になる Resource.Attribute
employee	<==	EmployeeInfo.employeeNumber
dept	<==	OrgInfo.departmentNumber
reportsTo	<==	OrgInfo.managerEmpNum
firstName	<==	EmployeeInfo.givename
lastName	<==	EmployeeInfo.surname
middleInitial	<==	EmployeeInfo.mi
fullname	<==	firstName + " " + middleInitial + " " + lastName
phoneNumber	<==	EmployeeInfo.phone

列名	タイプ	ID 属性
empId	テキスト	employee
fullname	テキスト	fullname
phone	テキスト	phoneNumber

myServer_User_20060101070000.1.csv
myServer_User_20060101070000.2.csv
myServer_User_20060101150000.1.csv
myServer_User_20060101150000.2.csv
myServer_User_20060101230000.1.csv
myServer_User_20060101230000.2.csv

myServer_User_20060102070000.1.csv
myServer_User_20060102070000.2.csv
myServer_User_20060102150000.1.csv
myServer_User_20060102150000.2.csv
myServer_User_20060102230000.1.csv
myServer_User_20060102230000.2.csv

1 月 1 日は 07:00:00 から始まって 8 時間ごとに 3 回ローテーションされており、1 月 2 日も同様であることが示されています。名前の中で 20060102 という日付に対応する部分だけが異なっています。

ChangeLog スクリプトの作成

この節では、ChangeLog スクリプトを作成する上で役立つ情報を提供します。

ポリシーについて

この節では、ポリシーの設定の説明および手順を示します。

ポリシーとは

Identity Manager ポリシーには、Identity Manager アカウント ID、ログイン、およびパスワードの特性に制約を設定することによって、Identity Manager ユーザーの制限を設定します。

Identity Manager ポリシーの作成と編集は、「ポリシー」ページで行います。メニューバーの「設定」を選択してから、「ポリシー」を選択します。表示されたリストページで、既存のポリシーを編集したり、新規ポリシーを作成したりできます。

辞書ポリシー

辞書ポリシーを使用すると、Identity Manager は単語データベースと照合してパスワードをチェックすることができ、単純な辞書攻撃から保護されることが保証されます。このポリシーをほかのポリシー設定と組み合わせて使用し、パスワードの長さと構成を強制することにより、Identity Manager がシステム内で生成または変更されたパスワードを、辞書を使用して推測することが困難になります。

辞書ポリシーは、ポリシーを使用して設定できるパスワード除外リストを拡張します (このリストは、管理者インタフェースに含まれるパスワードの「ポリシーの編集」ページの「使用禁止単語」オプションにより実装される)。

辞書ポリシーの設定

辞書ポリシーを設定するには、次を実行する必要があります。

辞書ポリシーの実装

辞書ポリシーは、Identity Manager ポリシーエリアから実装します。「ポリシー」ページで、編集するパスワードポリシーをクリックします。「ポリシーの編集」ページで、「辞書の単語でパスワードをチェックする」オプションを選択します。実装すると、変更および生成されたパスワードはすべて、辞書と照合してチェックされます。

機能について

機能は、Identity Manager システム内の権限のグループです。機能は、パスワードのリセットやユーザーアカウントの管理などの管理ジョブの役割を表します。各 Identity Manager 管理ユーザーには、1 つ以上の機能が割り当てられ、データの保護をおびやかすことなく、特権のセットを提供します。

すべての Identity Manager ユーザーに機能を割り当てる必要はありません。機能を割り当てる必要があるのは、Identity Manager を使用して 1 つ以上の管理操作を実行するユーザーだけです。たとえば、ユーザーが自分のパスワードを変更する場合は、機能が割り当てられている必要はありませんが、別のユーザーのパスワードを変更する場合には、機能が必要になります。

割り当てられた機能により、Identity Manager 管理者インタフェースのどのエリアにアクセスできるかが決まります。すべての Identity Manager 管理ユーザーは、次の Identity Manager エリアにアクセスできます。

機能のカテゴリ

組み込み機能 (Identity Manager システムに付属の機能) は保護されており、編集することができません。ただし、この機能を、自分で作成した機能の中で使用することはできます。

保護された (組み込み) 機能は、赤い鍵 (または赤い鍵とフォルダ) のアイコンとしてリストに示されます。ユーザーが作成し、編集できる機能は、緑色の鍵 (または緑色の鍵とフォルダ) アイコンとして機能リストに示されます。

機能の操作

機能の作成

機能の編集

保護されていない機能を編集するには、リストでその機能を右クリックし、「編集」を選択します。

機能の保存と名前の変更

機能を「クローン作成」する (異なる名前で保存して、新しい機能を作成する) には、次を実行します。

コピー元の機能は保護されていますが、新しい機能は編集できます。

機能の割り当て

「ユーザーの作成」および「ユーザーの編集」ページから、ユーザーに機能を割り当てます。

機能の階層

タスクベースの機能は、次のような実用上の機能階層に分類されます。

Account Administrator

Admin Role Administrator

Bulk Account Administrator

Bulk Change Account Administrator

Capability Administrator

Change Account Administrator

Import/Export Administrator

Organization Administrator

Password Administrator (Verification Required)

Policy Administrator

Reconcile Administrator

Remedy Integration Administrator

Report Administrator

Resource Administrator

Resource Object Administrator

Resource Password Administrator

Role Administrator

Security Administrator

View Organizations

View Resources

Waveset Administrator

機能の定義

次の表で、各タスクベースの機能と、各機能でアクセスできるタブおよびサブタブについて説明します。

すべての機能で、ユーザーまたは管理者は、「自分のパスワードの変更」および「自分の認証質問の回答の変更」サブタブ (「パスワード」タブ) にアクセスすることができます。


機能	管理者 / ユーザーに許可する操作	アクセス可能なタブとサブタブ
Account Administrator	機能の割り当てなど、ユーザーに対するすべての操作の実行 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ「パスワード」 - すべてのサブタブ「承認」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Admin Report Administrator	管理者レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの管理」、「レポートの実行」サブタブ (管理者レポートのみ)
Admin Role Administrator	管理者ロールの作成、編集、および削除	「設定」 - 「管理者ロール」サブタブ
Approver	ほかのユーザーにより発行された要求の承認または却下	「承認」 - すべてのサブタブ
Assign User Capabilities	ユーザー機能の割り当ての変更 (割り当て、割り当て解除)	「アカウント」 - 「アカウントのリスト」(編集のみ)、「ユーザーの検索」サブタブ。別のユーザー管理者機能 (「ユーザーの作成」、「ユーザーの有効化」など) に割り当てる必要があります。
Audit Report Administrator	監査レポートの作成、編集、削除、および実行	「レポート」 - 監査レポートのみ
Bulk Account Administrator	機能の割り当てなど、ユーザーに対する通常操作および一括操作の実行	「アカウント」 - すべてのサブタブ「パスワード」 - すべてのサブタブ「承認」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Bulk Change Account Administrator	機能の割り当てなど、既存のユーザーに対する、既存のユーザーの削除以外の通常操作および一括操作の実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括操作の起動」サブタブ。ユーザーを作成または削除することはできません。「パスワード」 - すべてのサブタブ「承認」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Bulk Change User Account Administrator	既存のユーザーに対する、削除以外の通常操作および一括操作の実行	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「一括操作の起動」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Bulk Create User	リソースの割り当てとユーザー作成要求の発行 (個別のユーザーに対する操作または一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Delete User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(作成のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Delete IDM User	既存の Identity Manager ユーザーアカウントの削除 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Deprovision User	既存のリソースアカウントの削除およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Disable User	既存のユーザーとリソースアカウントの無効化 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Enable User	既存のユーザーとリソースアカウントの有効化 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Unlink User	既存のリソースアカウントのリンク解除 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk Update User	既存のユーザーとリソースアカウントの更新 (個別のユーザーに対する操作および一括操作を使用した操作)	「アカウント」 - 「アカウントのリスト」(更新のみ)、「ユーザーの検索」、「一括操作の起動」サブタブ「タスク」 - すべてのサブタブ
Bulk User Account Administrator	ユーザーに対するすべての通常操作および一括操作の実行	「アカウント」 - すべてのサブタブ「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Capability Administrator	機能の作成、修正、および削除	「設定」 - 「機能」サブタブ
Change Account Administrator	機能の割り当てなど、既存のユーザーに対する、削除以外のすべての操作の実行 (一括操作を除く)。	「アカウント」 - すべてのサブタブ。ユーザーを削除することはできません。「パスワード」 - すべてのサブタブ「承認」 - すべてのサブタブ「タスク」 - すべてのサブタブ「レポート」 - 管理レポートおよびユーザーレポートの作成、管理レポートの実行と編集、および範囲内の監査ログレポートを実行します。範囲外の組織の管理レポートおよびユーザーレポートを実行することはできません。
Change Active Sync Resource Administrator	Active Sync リソースパラメータの変更	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ「リソース」 - Active Sync リソース: 「編集」操作メニュー、「Active Sync パラメータの編集」
Change Password Administrator	ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ) 「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Password Administrator (Verification Required)	ユーザーの認証質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードの変更のみ、操作の前に検証が必要) 「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Change Resource Password Administrator	リソース管理者のアカウントパスワードの変更	「タスク」 - すべてのサブタブ「リソース」 - 「リソースのリスト」サブタブリソースパスワードの変更のみ (操作メニューの「接続の管理」-->「パスワードの変更」から)
Change User Account Administrator	既存のユーザーに対する、削除以外のすべての操作の実行 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ。機能の作成と削除、およびユーザーへの機能の割り当てを行うことはできません。「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Configure Audit	システム内で監査されるアクティビティーの設定	「設定」 - 「イベント監査」サブタブ
Control Active Sync Resource Administrator	Active Sync リソースの状態 (開始、停止、更新など) の管理	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ「リソース」 - Active Sync リソース :「Active Sync」操作メニュー (すべての選択肢)
Create User	リソースの割り当てとユーザー作成要求の発行 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」 (作成のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Delete User	Identity Manager ユーザーアカウントの削除、リソースアカウントのプロビジョン解除、割り当て解除、およびリンク解除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Delete IDM User	Identity Manager ユーザーアカウントの削除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(削除のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Deprovision User	既存のリソースアカウントの削除およびリンク解除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(プロビジョン解除のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Disable User	既存のユーザーとリソースアカウントの無効化 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(無効化のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Enable User	既存のユーザーとリソースアカウントの有効化 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(有効化のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Import User	定義済みリソースからのユーザーのインポート	「アカウント」 - 「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブ
Import/Export Administrator	全タイプのオブジェクトのインポートとエクスポート	「設定」 - 「交換ファイルのインポート」サブタブ
License Administrator	アイデンティティーシステム製品ライセンスの設定	lh license コマンドアクセスを提供します (この機能には「管理者インタフェース」タブはない)。
Login Administrator	所定のログインインタフェースに対するログインモジュールセットの編集	「設定」 - 「ログイン」サブタブ
Organization Administrator	組織の作成、編集、および削除	「アカウント」 - 「アカウントのリスト」サブタブ (組織およびディレクトリジャンクションの編集と作成、組織の削除のみ)
Password Administrator	ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ)、「ユーザーの検索」サブタブ「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Password Administrator (Verification Required)	ユーザーの認証質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードの変更とリセット	「アカウント」 - 「アカウントのリスト」(パスワードのリスト、変更、およびリセットのみ、操作が成功するためには検証が必要)、「ユーザーの検索」サブタブ「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ
Policy Administrator	ポリシーの作成、編集、および削除	「設定」 - 「ポリシー」サブタブ
Reconcile Administrator	調整ポリシーの編集と調整タスクの管理	「タスク」 - すべてのサブタブ (調整タスクの表示) 「リソース」 - 「リソースのリスト」サブタブ
Reconcile Report Administrator	調整レポートの作成、編集、削除、および実行	「レポート」 - 「レポートの実行」 (アカウントインデックスレポートのみ)、「レポートの管理」サブタブ
Reconcile Request Administrator	調整要求の管理	「タスク」 - すべてのサブタブ「リソース」 - 「リソースのリスト」サブタブ (リストおよび調整機能のみ)
Remedy Integration Administrator	Remedy との統合の設定の修正	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「設定」 - 「Remedy との統合」サブタブ
Rename User	既存のユーザーアカウントとリソースアカウントの名前の変更	「アカウント」 - 「アカウントのリスト」サブタブ (範囲内のすべてのアカウントのリスト、ユーザーの名前変更)
Report Administrator	監査の設定と全タイプのレポートの実行	「タスク」 - すべてのサブタブ (タスクの表示、ロールの同期の実行) 「レポート」 - すべてのサブタブ
Reset Password Administrator	ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ) 「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Password Administrator (Verification Required)	ユーザーの認証質問の回答が正しく検証されたあとの、ユーザーおよびリソースアカウントパスワードのリセット	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」サブタブ (パスワードのリセットのみ、操作が成功するためには検証が必要) 「パスワード」 - すべてのサブタブ「タスク」 - すべてのサブタブ。「期限切れパスワードのスキャン」タスクのみ (「タスクの実行」サブタブから)
Reset Resource Password Administrator	リソース管理者のアカウントパスワードのリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ「リソース」 - 「リソースのリスト」サブタブリソースパスワードのリセットのみ (アクションメニューの「接続の管理」 -->「パスワードのリセット」から)
Resource Administrator	リソースの作成、修正、および削除	「レポート」 - リソースユーザーレポート、リソースグループレポートは範囲外のリソースに関するエラーを返します。「リソース」 - 「リソースのリスト」サブタブ (グローバルポリシーの編集、パラメータの編集、リソースグループ。接続またはリソースオブジェクトを管理することはできない)。
Resource Group Administrator	リソースグループの作成、編集、および削除	「リソース」 - 「リソースグループのリスト」サブタブ
Resource Object Administrator	リソースオブジェクトの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (リソースオブジェクトを含むタスクの表示)。「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理のみ)
Resource Password Administrator	リソースプロキシアカウントパスワードの変更とリセット	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ「リソース」 - 「リソースのリスト」サブタブリソースパスワードの変更のみ (操作メニューの「接続の管理」-->「パスワードの変更」から)
Resource Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - すべてのサブタブ (リソースレポートのみ)
Risk Analysis Administrator	リスク分析の作成、編集、削除、および実行	「リスク分析」 - すべてのサブタブ
Role Administrator	ロールの作成、修正、および削除	「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ (ロールの同期) 「ロール」 - すべてのサブタブ
Role Report Administrator	リソースレポートの作成、編集、削除、および実行	「レポート」 - ロールレポートのみ
Run Admin Report	管理者レポートの実行	「レポート」 - 管理レポートのみ
Run Audit Report	監査レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Reconcile Report	調整レポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Resource Report	リソースレポートの実行	「レポート」 - 監査ログレポートおよび使用状況レポートのみ
Run Risk Analysis	リスク分析の実行
Run Role Report	ロールレポートの実行	「レポート」 - ロールレポートのみ
Run Task Report	タスクレポートの実行	「レポート」 - タスクレポートのみ
Run User Report	ユーザーレポートの実行	「レポート」 - ユーザーレポートのみ
Security Administrator	暗号化鍵、ログイン設定、およびポリシーの管理などの機能を持つユーザーの作成	「アカウント」 - 「アカウントのリスト」(パスワードの削除、作成、更新、編集、および変更)、「ユーザーの検索」サブタブ (監査レポート) 「パスワード」 - すべてのサブタブ「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ「レポート」 - すべてのサブタブ「リソース」 - 「リソースのリスト」サブタブ (リソースオブジェクトのリストおよび管理) 「設定」 - 「ポリシー」、「ログイン」サブタブ
Task Report Administrator	タスクレポートの作成、編集、削除、および実行	「レポート」 - タスクレポートの作成および管理
Unassign User	既存のリソースアカウントの割り当て解除およびリンク解除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(割り当て解除のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Unlink User	既存のリソースアカウントのリンク解除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」(リンク解除のみ)、「ユーザーの検索」サブタブ「タスク」 - すべてのサブタブ
Unlock User	ロック解除をサポートする既存のユーザーリソースアカウントのロック解除 (一括操作を除く)。	「アカウント」 - 「アカウントのリスト」 (ロック解除のみ)、「ユーザーの検索」サブタブ「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
Update User	既存のユーザーの編集と、ユーザー更新要求の発行	「アカウント」 - ユーザーの編集および更新「タスク」 - 既存のタスクの管理 (「すべてのタスク」サブタブから)
User Account Administrator	ユーザーに対するすべての操作	「アカウント」 - 「アカウントのリスト」、「ユーザーの検索」、「ファイルへ抽出」、「ファイルから読み込み」、「リソースから読み込み」サブタブユーザー機能を割り当てることはできません (「アカウントのリスト」サブタブの「セキュリティー」フォームタブから)。「タスク」 - 「タスクの検索」、「すべてのタスク」、「タスクの実行」サブタブ
User Report Administrator	ユーザーレポートの作成、編集、削除、および実行	「レポート」 - ユーザーレポートの実行
View User	個別のユーザーの詳細の表示	「アカウント」 - リストからユーザーを選択して、個別のユーザーアカウント情報を表示します。変更操作は許可されません。
Waveset Administrator	システム設定オブジェクトの修正など、システム全体にわたるタスクの実行	「タスク」 - すべてのサブタブ。ロールの同期、ソースアダプタテンプレートの編集、およびレポートのスケジュール「レポート」 - すべてのサブタブ「リソース」 - 「リソースのリスト」(リストのみ、変更操作は許可されない) 「設定」 - 「イベント監査」、「電子メールテンプレート」、「フォームおよびプロセスマッピング」サブタブ

管理者ロールについて

管理者ロールを使用すると、管理者が管理している組織を組み合わせて、その組み合わせごとに一意の機能の組み合わせを割り当てることができます。管理者ロールに機能および管理する組織を割り当ててから、その管理者ロールを管理ユーザーに割り当てることができます。

機能および組織を管理者ロールに割り当てるときには、次の方法を利用できます。

1 つ以上の管理者ロールを各ユーザーに割り当てることができます。管理者ロールは、1 人以上のユーザーに割り当てることができます。

ユーザー管理者ロール

Identity Manager には「User」という組み込み管理者ロールがあります。このロールにはデフォルトでは機能や管理する組織の割り当ては含まれておらず、このロールを削除することもできません。この管理者ロールはログイン時に暗黙的にすべてのユーザー、つまりエンドユーザーと管理者に割り当てられます。

「User」管理者ロールは、管理者インタフェースで「設定」を選択してから「管理者ロール」を選択することによって編集できます。

この管理者ロールによって静的に割り当てられる機能または管理する組織はすべてのユーザーに割り当てられるので、機能および管理する組織の割り当ては規則を通して行うことをお勧めします。そうすることで、異なるユーザーが異なる機能を持つまたは機能を持たないようにすることができ、ユーザーがだれか、ユーザーがどの部署に所属するか、またはユーザーが管理者であるかなど、規則のコンテキスト内で問い合わせ可能な要素に基づいて割り当ての範囲が設定されます。

「User」管理者ロールによって、ワークフローで使用される authorized=true フラグの有用性が低下したり、そのフラグが完全に取って代わられるわけではありません。ワークフローが実行中である場合を除き、ワークフローがアクセスするオブジェクトに対してユーザーがアクセス権を持っていないときには、依然としてこのフラグのほうが適しています。基本的には、このときユーザーは「スーパーユーザーとして実行」モードに入ります。

しかし、ユーザーがワークフロー外にあるまたはワークフロー内にある可能性のある 1 つ以上のオブジェクトに対して特定のアクセス権を持っている場合は、「User」管理者ロールを使用して機能および管理する組織を動的に割り当てることにより、それらのオブジェクトに対して動的で緻密な承認を行えます。

例

次の例の手順は、「User」管理者ロールを動的な環境で使用する方法を示しています。

ユーザーがログインすると、次のような処理が行われます。

このようにセットアップすることで、ユーザーインタフェースにログインする監督が人材 (選手) を管理できるようになり、選手はユーザーインタフェースにログインするときに管理者機能を実行する必要がありません。

管理者ロールの作成および編集

管理者ロールを作成または編集するには、管理者ロールの管理者機能が必要です。管理者ロールエリアにアクセスするには、「設定」をクリックしてから「管理者ロール」をクリックします。「管理者ロール」リストページでは、Identity Manager の管理者ロールを作成、編集、および削除できます。

既存の管理者ロールを編集するには、リスト内の名前をクリックします。管理者ロールを作成するには、「新規」をクリックします。Identity Manager の「管理者ロールの作成」ページが表示され、新しい管理者ロールの機能および範囲を指定します。

管理する組織の範囲の設定

管理する組織を管理者ロールに直接割り当てられるときに、管理者ロールごとにユーザーが操作できるオブジェクトの範囲を定義することができます。そのユーザーが管理している各組織で利用できるオブジェクトのうち、1 つ以上のオブジェクトを範囲に含めたり除外したりすることができます。

たとえば、組織に多数のリソースが含まれる場合に、組織内のユーザーを作成、更新、および削除する機能を持つユーザーについて、指定した一部のリソースにしかアクセスできないようにすることができます。この設定を適用するには、次の特性を持つ管理者ロールを作成します。

範囲を設定するために、「管理者ロールの作成」ページの「選択された組織に含めるまたは除外する」エリアで以下の選択を行います。

図 9 管理者ロール: 管理する組織に含める / 除外するオブジェクトの選択

「含める」リストと「除外する」リストの両方に選択した項目は、管理者ロールから除外されます。

管理者ロールへのユーザーフォームの割り当て

管理者ロールの属性としてユーザーフォームを指定することができます。管理者ロールを割り当てられた管理者は、その管理者ロールによって管理されている組織内のユーザーを作成または編集するときにこのユーザーフォームを使用します。管理者ロールを介して割り当てられたユーザーフォームは、管理者がメンバーになっている組織から継承したすべてのユーザーフォームよりも優先されます。ただし、管理者に直接割り当てられたユーザーフォームよりも優先されることはありません。

ユーザーを編集するときに使用されるユーザーフォームは、次の優先順位で決定されます。

管理者に、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールが割り当てられている場合、その組織内のユーザーを作成または編集しようとするとエラーが表示されます。管理者が、同じ組織を管理しながら異なるユーザーフォームを指定している複数の管理者ロールを割り当てようとすると、エラーが表示されます。この競合を解決するまで変更は保存できません。

機能規則と管理する組織規則

次の例は、機能規則または管理する組織規則の設定方法を示しています。管理者ロールが適用されたユーザーに割り当てる機能または管理する組織を動的に制御することができます。

機能規則: キーの定義と取り込み

管理する組織規則: キーの定義

管理する組織規則の例

電子メールテンプレートについて

Identity Manager では、電子メールテンプレートを使用して、情報および操作の要求をユーザーと承認者に配信します。システムには次のためのテンプレートが用意されています。

電子メールテンプレートのカスタマイズ

電子メールテンプレートをカスタマイズして、受信者に、タスクの実行方法や結果の表示方法などの特定の指示を通知することができます。たとえば、「アカウントの作成の承認」テンプレートをカスタマイズして、承認者に次のようなアカウント承認ページを表示するとします。

$(fullname) 用アカウント作成を承認するには、http://host.example.com:8080/idm/approval/approval.jsp にアクセスしてください。

アカウント作成承認テンプレートをカスタマイズするには、次を実行します。

電子メールテンプレートの HTML とリンク

HTML 形式のコンテンツを電子メールテンプレートに挿入して、電子メールメッセージの本文に表示することができます。コンテンツには、テキスト、グラフィック、および情報への Web リンクを使用できます。HTML 形式のコンテンツを有効化するには、「HTML 有効」オプションを選択します。

電子メール本文の許容変数

電子メールテンプレートの本文には、変数の参照を $(Name) の形式で含めることもできます。例: パスワード $(password) が復旧しました。

テンプレート	許容変数
パスワードリセット	$(password) －新規に生成されたパスワード
承認の更新	$(fullname) －ユーザーのフルネーム $(role) －ユーザーのロール
通知の更新	$(fullname) －ユーザーのフルネーム $(role) －ユーザーのロール
レポート	$(report) －生成されたレポート $(id) －タスクインスタンスのエンコード ID $(timestamp) －電子メールの送信時刻
リソースの要求	$(fullname) －ユーザーのフルネーム $(resource) －リソースタイプ
リスク分析	$(report) －リスク分析レポート
一時パスワードリセット	$(password) －新規に生成されたパスワード $(expiry) －パスワードの有効期限

監査グループの設定

監査設定グループを設定すると、選択したシステムイベントを記録およびレポートすることができます。

監査設定グループを設定するには、メニューバーの「設定」を選択し、「監査イベント」を選択します。

「監査イベント」ページに監査設定グループのリストが表示されます。各グループに 1 つ以上のイベントが含まれています。各グループについて、成功したイベント、失敗したイベント、またはその両方を記録することができます。

リスト内の監査設定グループをクリックすると、「監査設定グループの編集」ページが表示されます。このページで、監査設定グループの一部としてシステム監査ログに記録する監査イベントのタイプを選択することができます。

監査設定グループ内のイベントの編集

グループ内のイベントを編集するために、特定のオブジェクトタイプの操作を追加または削除することができます。このためには、そのオプションタイプの「操作」列の項目を「利用可能」エリアから「選択」エリアに移動し、「OK」をクリックします。

監査設定グループへのイベントの追加

グループにイベントを追加するには、「新規」をクリックします。イベントはページの一番下に追加されます。「オブジェクトタイプ」列でリストからオブジェクトタイプを選択し、新しいオブジェクトタイプの「操作」列で、1 つ以上の項目を「利用可能」エリアから「選択」エリアに移動します。「OK」をクリックしてイベントをグループに追加します。

Remedy との統合

Identity Manager を Remedy サーバーと統合すると、指定されたテンプレートに従って Remedy チケットを送信することができます。

Remedy との統合は、管理者インタフェースの次の 2 つのエリアでセットアップします。

Remedy チケットの作成は、Identity Manager ワークフローを通じて設定されます。設定によっては、定義済みのテンプレートを使用して Remedy チケットを開く呼び出しを適切な時刻に行うこともできます。ワークフローの設定の詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。

Identity Manager サーバーの設定

Identity Manager サーバーが特定のタスクのみを実行するようにサーバー固有の設定を編集することができます。そのためには、「設定」を選択して、「サーバー」を選択します。

個別のサーバーの設定を編集するには、「サーバーの設定」ページでリスト内のサーバーを選択します。「サーバー設定の編集」ページが表示され、調整サーバーとスケジューラの設定を編集することができます。

調整サーバーの設定

デフォルトでは、調整サーバーの設定は、「サーバー設定の編集」ページに表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。

スケジューラの設定

「サーバー設定の編集」ページで「スケジューラ」をクリックすると、スケジューラオプションが表示されます。デフォルト値を使用することも、「デフォルト値を使用する」オプションを選択解除して値を指定することもできます。

「保存」をクリックして、サーバー設定の変更を保存します。

サーバーのデフォルト設定の編集

サーバーのデフォルト設定機能を使用して、すべての Identity Manager サーバーのデフォルト設定を設定することができます。個別のサーバー設定ページで異なる項目を選択しないかぎり、サーバーはこれらの設定を継承します。デフォルト設定を編集するには、「サーバーのデフォルト設定の編集」をクリックします。「サーバーのデフォルト設定の編集」ページには、個別のサーバー設定ページと同じオプションが表示されます。

各サーバーのデフォルト設定の変更は、その設定の「デフォルト値を使用する」オプションを選択解除しないかぎり、対応する個別のサーバー設定に伝播されます。