Sun Java System Identity Manager 2005Q4M3 管理ガイド |
3
ユーザーとアカウントの管理
この章では、Identity Manager 管理者インタフェースを使用したユーザー管理の説明および手順を示します。次に示す Identity Manager ユーザーおよびアカウントの管理タスクについて説明します。
ユーザーアカウントデータについてユーザーとは、Identity Manager システムアカウントを所持する個人のことです。Identity Manager には、各ユーザーについての一連のデータが格納されています。この情報が集まって、特定のユーザーの Identity Manager ID を形成します。
Identity Manager の管理者インタフェースの「アカウント」タブにある「ユーザーの作成」ページでは、ユーザーデータが 4 つのエリアに分類されて表示されます。
ID
「ID」エリアでは、ユーザーのアカウント ID、名前、連絡先情報、管理する組織、および Identity Manager アカウントパスワードを定義します。また、ユーザーがアクセスできるリソース、および各リソースアカウントに適用されているパスワードポリシーが示されます。
注 アカウントパスワードポリシーの設定の詳細については、この章の「パスワードポリシーの設定」セクションを参照してください。
次の図は、「ユーザーの作成」ページの「ID」エリアを示します。
図 1 「ユーザーの作成」 - 「ID」
割り当て
「割り当て」エリアでは、リソースなどの Identity Manager オブジェクトに対するアクセスの制限を設定します。
「割り当て」フォームのタブをクリックして、次を設定します。
セキュリティー
Identity Manager では、拡張機能が割り当てられたユーザーを Identity Manager管理者と呼びます。「セキュリティー」エリアでは、次を割り当てることによって、これらの拡張管理機能をユーザーに設定します。
属性
「属性」エリアでは、割り当てられたリソースに関連付けられるアカウント属性を定義します。リストされる属性は、割り当てられたリソースごとに分類され、割り当てられたリソースによって異なります。
図 3 「ユーザーの作成」-「属性」
「アカウント」エリアIdentity Manager アカウントエリアを使用して、Identity Manager ユーザーを管理できます。このエリアにアクセスするには、管理者インタフェースから「アカウント」を選択します。
アカウントリストには、Identity Manager ユーザーアカウントがすべて表示されます。アカウントは組織と仮想組織にグループ化され、階層構造のフォルダで表示されます。
アカウントリストは、フルネーム (「名前」)、ユーザーの姓 (「姓」)、またはユーザーの名 (「名」) で並べ替えることができます。
列で並べ替えるには、ヘッダーバーをクリックします。同じヘッダーバーをクリックすると、昇順と降順が切り替わります。
注 フルネーム (「名前」列) で並べ替えると、階層内のすべてのレベルのすべての項目がアルファベット順に並べ替えられます。
階層表示を展開して組織内のアカウントを表示するには、フォルダの隣にある三角形のマークをクリックします。表示を折りたたむには、マークをもう一度クリックします。
図 4 アカウントリスト
「アカウント」エリアの操作リスト
一連の操作を実行するときは、「アカウント」エリアの上部と下部にある操作リストを使用します。操作リストの選択項目は、次のように分類されています。
「アカウント」エリアでの検索
ユーザーと組織を検索するときは、「アカウント」エリアの検索機能を使用します。リストから「組織」または「ユーザー」を選択し、検索エリアに 1 文字以上を入力して、「検索」をクリックします。
ユーザーアカウントステータス
各ユーザーアカウントの隣に表示されるアイコンは、現在割り当てられているアカウントステータスを示します。
ユーザーアカウントの操作管理者インタフェースの「アカウント」エリアでは、次のシステムオブジェクトに対する一連の操作を実行できます。
ユーザー
表示
ユーザーアカウントの詳細を表示するには、リストでユーザーを選択し、「ユーザーアクション」リストから「表示」を選択します。
「ユーザーの表示」ページに、ユーザーの編集または作成時に設定された ID、割り当て、セキュリティー、および属性情報の選択項目のサブセットが表示されます。「ユーザーの表示」ページの情報は編集できません。アカウントリストに戻るには、「キャンセル」をクリックします。
作成 (「新規作成アクション」リスト、「新規ユーザー」選択)
ユーザーアカウントを作成するには、「新規作成アクション」リストから「新規ユーザー」を選択します。
ヒント 最上位 (Top) 以外の組織にユーザーを作成する場合は、組織フォルダを選択してから、「新規作成アクション」リストで「新規ユーザー」を選択します。
1 つのエリアで利用可能な選択項目は、別のエリアでの選択により異なります。
「ユーザーの作成」ページ (ユーザーフォームとも呼ばれる) は、複数ページのフォームであり、ユーザーに対して次のものをセットアップできます。
「ユーザーの作成」ページ内を移動するには、フォームタブをクリックします。フォームタブ間は任意の順序で移動できます。選択が完了したら、ユーザーアカウントを保存するための次の 2 つのオプションを選択できます。
ヒント ステータスインディケータ内に表示されるユーザーアイコンの上にマウスを移動すると、バックグラウンドの保存プロセスについての詳細が表示されます。
複数のユーザーアカウント (アイデンティティー) の作成
1 つのリソースに複数のユーザーアカウントを作成できます。ユーザーを作成または編集して 1 つ以上のリソースを割り当てた場合、そのリソースに追加のアカウントを要求して定義することもできます。
編集
アカウント情報を編集するには、次のいずれかの操作を選択します。
変更を加えて保存すると、Identity Manager により「リソースアカウントの更新」ページが表示されます。このページには、ユーザーに割り当てられたリソースアカウントと、そのアカウントに適用される変更が表示されます。割り当てられたすべてのリソースに変更を適用する場合は、「すべてのリソースアカウントの更新」を選択します。または、ユーザーに関連付けられた 0 または 1 つ以上のリソースアカウントを個別に選択して更新します。
図 5 ユーザーの編集 (リソースアカウントの更新)
編集を完了する場合は「保存」をもう一度クリックします。さらに変更を加える場合は「編集に戻る」をクリックします。
ユーザーの移動 (「ユーザーアクション」)
「ユーザーの組織の変更」タスクでは、ユーザーを、現在割り当てられている組織から削除して、新しい組織に再割り当て、つまり移動できます。
ユーザーを別の組織に移動するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」リストから「移動」を選択します。
名前の変更 (「ユーザーアクション」)
通常、リソースのアカウント名の変更は複雑な操作です。このため、Identity Manager では、ユーザーの Identity Manager アカウントの名前を変更する機能、およびそのユーザーに関連付けられた 1 つ以上のリソースアカウントの名前を変更する機能を別個に用意しています。
名前の変更機能を使用するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「名前の変更」を選択します。
「ユーザーの名前変更」ページでは、ユーザーのアカウント名、関連付けられたリソースアカウント名、およびそのユーザーの Identity Manager アカウントに関連付けられたリソースアカウント属性を変更できます。
注 リソースタイプの一部では、アカウントの名前変更をサポートしません。
次の図に示すように、ユーザーには Active Directory リソースが割り当てられています。名前の変更プロセスでは、次を変更できます。
ユーザーの無効化 (「ユーザーアクション」、「組織アクション」)
ユーザーアカウントを無効化すると、そのアカウントは変更され、ユーザーは Identity Manager または割り当てられたリソースアカウントにログインできなくなります。
注 割り当てられたリソースがアカウントの無効化をサポートしない場合、ユーザーアカウントには新しくランダムに生成されたパスワードが割り当てられて、無効化されます。
1 つのユーザーアカウントの無効化
1 つのユーザーアカウントを無効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。
表示された「無効化」ページで、無効化するリソースアカウントを選択し、「OK」 をクリックします。Identity Manager ユーザーアカウントと、それに関連付けられたすべてのリソースアカウントを無効化した結果が表示されます。ユーザーアカウントリストでは、そのユーザーアカウントが無効であることが示されます。
図 7 無効化されたアカウント
複数のユーザーアカウントの無効化
複数の Identity Manager ユーザーアカウントを同時に無効化できます。
リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「無効化」を選択します。
注 複数のユーザーアカウントを無効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが無効化されます。
ユーザーの有効化 (「ユーザーアクション」、「組織アクション」)
ユーザーアカウントの有効化は、無効化プロセスとは逆のプロセスです。アカウントの有効化をサポートしないリソースの場合は、ランダムなパスワードが新しく生成されます。選択した通知オプションによっては、管理者の結果ページにもそのパスワードが表示されることがあります。
ユーザーはそのパスワードをリセットできます (認証プロセスが必要)。または、管理特権を持つユーザーがこのパスワードをリセットできます。
1 つのユーザーアカウントの有効化
1 つのユーザーアカウントを有効化するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。
表示された「有効化」ページで、有効化するリソースを選択し、「OK」をクリックします。Identity Manager アカウントと、それに関連付けられたすべてのリソースアカウントを有効化した結果が表示されます。
複数のユーザーアカウントの有効化
複数の Identity Manager ユーザーアカウントを同時に有効化できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「有効化」を選択します。
注 複数のユーザーアカウントを有効化する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが有効化されます。
ユーザーの更新 (「ユーザーアクション」、「組織アクション」)
更新操作では、ユーザーアカウントに関連付けられたリソースが Identity Manager で更新されます。「アカウント」エリアから更新を実行した場合は、以前にユーザーに対して行われた保留中の変更が、選択されたリソースに送信されます。次の場合にこの状況が発生する可能性があります。
ユーザーアカウントの更新時には、次を選択できます。
1 つのユーザーアカウントの更新
1 つのユーザーアカウントを更新するには、リストでユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。
「リソースアカウントの更新」ページで、更新するリソースを 1 つ以上選択するか、または割り当てられたリソースアカウントをすべて更新する場合は「すべてのリソースアカウントの更新」を選択します。選択し終えたら、「OK」をクリックして、更新プロセスを開始します。または、「バックグラウンドで保存」をクリックして、操作をバックグラウンドプロセスとして実行します。
確認ページで各リソースに送信されるデータを確認します。
図 8 リソースアカウントの更新
複数のアカウントの更新
複数の Identity Manager ユーザーアカウントを同時に更新できます。リストで複数のユーザーアカウントを選択し、「ユーザーアクション」リストから「更新」を選択します。
注 複数のユーザーアカウントを更新する場合は、各ユーザーアカウントから、割り当てられたリソースアカウントを個別に選択することはできません。このプロセスでは、選択したすべてのユーザーアカウントのすべてのリソースが更新されます。
ユーザーのロック解除 (「ユーザーアクション」、「組織アクション」)
ログインの再試行回数が、リソースに設定された制限を越えたために、ユーザーが 1 つ以上のリソースアカウントからロックアウトされることがあります。パスワードまたは質問によるログイン試行で許容される最大失敗回数は、ユーザーの有効な Lighthouse アカウントポリシーによって設定されます。
パスワードによるログイン試行の最大失敗回数を超えたためにユーザーがロックされた場合、そのユーザーは、ユーザーインタフェース、管理者インタフェース、「Forgot My Password」、BPE、SOAP、およびコンソールを含むいずれの Identity Manager アプリケーションインタフェースにも認証されません。質問によるログイン試行の最大失敗回数を超えたためにロックされた場合は、「Forgot My Password」を除く任意の Identity Manager アプリケーションインターフェイスに認証できます。
パスワードによるログイン試行の失敗
パスワードによるログイン試行に失敗したためにロックされた場合、ユーザーアカウントは、次の期間ロックされたままになります。
質問によるログイン試行の失敗
質問によるログイン試行の最大回数を超えたためにロックされた場合、ユーザーアカウントは、次の期間ロックされたままになります。
適切な機能を持つ管理者は、ロックされた状態のユーザーに対して次の操作を実行できます。
ロックされた状態のユーザーは、管理者インタフェース、ユーザーインタフェース、BPE を含むいずれの Identity Manager アプリケーションにもログインできません。この制限は、ユーザーが、ユーザー ID および認証質問への回答を提供するか、1 つ以上のリソースにパススルーするかのどちらにも関係なく、自分の Identity Manager ユーザー ID とパスワードでログインを試みる場合に適用されます。
アカウントをロック解除するには、リストで 1 つ以上のユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから「ユーザーのロック解除」を選択します。
削除 (「ユーザーアクション」、「組織アクション」)
削除操作では、リソースから Identity Manager ユーザーアカウントアクセスを削除するためのオプションがいくつかあります。
- 「削除」 − 選択した各リソースについて、関連付けられたリソースアカウントが Identity Manager で削除されます。また、選択したリソースは、Identity Manager ユーザーからリンク解除されます。
- 「割り当て解除」 − 選択した各リソースについて、Identity Manager では関連付けられたリソースが、ユーザーに割り当てられたリソースのリストから削除されます。選択したリソースは、ユーザーからリンク解除されます。関連付けられたリソースアカウントは削除されません。
- 「リンク解除」 − 選択した各リソースについて、Identity Manager では付けられたリソースアカウント情報が Identity Manager ユーザーから削除されます。
注 ロールまたはリソースグループによってユーザーに間接的に割り当てられているアカウントをリンク解除する場合は、ユーザーを更新するとリンクが回復されることがあります。
削除操作を開始するには、ユーザーアカウントを選択し、「ユーザーアクション」または「組織アクション」リストから適切な削除操作を選択します。
Identity Managerでは「リソースアカウントの削除」ページが表示されます。
ユーザーアカウントとリソースアカウントの削除
Identity Manager ユーザーアカウントまたはリソースアカウントを削除するには、「削除」列でアカウントを選択して「OK」をクリックします。すべてのリソースアカウントを削除するには、「すべてのリソースアカウントの削除」オプションを選択して、「OK」をクリックします。
リソースアカウントの割り当て解除またはリンク解除
Identity Manager ユーザーアカウントからリソースアカウントを割り当て解除またはリンク解除するには、「割り当て解除」列または「リンク解除」列でアカウントを個別に選択して、「OK」をクリックします。すべてのリソースアカウントを割り当て解除するには、「すべてのリソースアカウントの割り当て解除」または「すべてのリソースアカウントのリンク解除」オプションを選択して、「OK」をクリックします。
図 9 ユーザーアカウントとリソースアカウントの削除
アカウントの検索Identity Manager の検索機能を使用して、ユーザーアカウントを検索できます。検索パラメータを入力および選択すると、Identity Manager では選択した条件を満たすすべてのアカウントが検索されます。
アカウントを検索するには、メニューバーの「アカウント」を選択して、「ユーザーの検索」を選択します。次の 1 つ以上の検索の種類でアカウントを検索できます。
検索結果リストには、検索に一致するすべてのアカウントが表示されます。結果ページで次の操作ができます。
パスワードポリシーの設定リソースパスワードポリシーは、パスワードの制限を設定します。パスワードポリシーを編集して、一連の特性に対する値を設定または選択することができます。
パスワードポリシーの操作を開始するには、メニューバーの「設定」を選択し、「ポリシー」を選択します。
パスワードポリシーを編集するには、「ポリシー」リストから目的のポリシーを選択します。パスワードポリシーを作成するには、オプションの「新規」リストから「文字列の品質ポリシー」を選択します。
ポリシーの作成
パスワードポリシーは、文字列の品質ポリシーのデフォルトのタイプです。新しいポリシーの名前と任意で説明を指定したあとで、ポリシーを定義する規則のオプションとパラメータを選択します。
長さ規則
長さ規則は、パスワードの最小および最大必要文字数を設定します。選択して規則を有効にし、規則の制限値を入力します。
文字タイプ規則
文字タイプ規則は、パスワードに指定できる特定のタイプの文字の最小および最大個数を設定します。次のものがあります。
各文字タイプ規則に制限数値を入力します。または、All を入力して、すべての文字がそのタイプになるように指定します。
文字タイプ規則の最小個数
検証にパスする必要がある、文字タイプ規則の最小個数も設定できます。パスする必要のある最小個数は 1 です。最大個数は、有効にした文字タイプ規則の個数を越えることはできません。
ヒント パスする必要のある最小個数を最大値に設定するには、All と入力します。
図 11 パスワードポリシー (文字タイプ) 規則
辞書ポリシーの選択
辞書の単語と照合してパスワードをチェックすることもできます。このオプションを使用するには、次を実行する必要があります。
辞書は「ポリシー」ページから設定します。辞書のセットアップの詳細については、『Identity Manager Deployment Tools』の「Configuring Dictionary Support」の章を参照してください。
パスワード履歴ポリシー
新しく選択されたパスワードの直前に使用されていたパスワードの再利用を禁止することができます。
現在および直前のパスワードの再利用を禁止するには、「再使用してはいけない旧パスワードの個数」フィールドに 1 よりも大きい数値を入力します。たとえば、3 を入力した場合は、新しいパスワードを、現在のパスワードおよびその直前の 2 個のパスワードと同じにすることはできません。
以前に使用していたパスワードと類似した文字の再利用を禁止することもできます。「再使用できない旧パスワードに含まれる類似文字の最大個数」フィールドに、新しいパスワードで繰り返すことのできない、過去のパスワードからの連続文字の最大数を入力します。たとえば、7 を入力した場合、過去のパスワードが password1 であれば、新しいパスワードとして password2 や password3 を使用することはできません。
0 を指定した場合、連続性に関係なく、過去のパスワードに含まれるすべての文字を使用できません。たとえば、過去のパスワードが abcd の場合、新しいパスワードに a、b、c、d の各文字を使用することはできません。
この規則は、過去の 1 つ以上のパスワードに適用できます。チェックの対象となる過去のパスワードの数は、「再使用してはいけない旧パスワードの個数」フィールドに指定します。
使用禁止単語
パスワードに含むことのできない単語を 1 つ以上入力できます。入力ボックスで、1 行に 1 つずつ単語を入力してください。
注 また、辞書ポリシーを設定して実装することで、単語を除外することもできます。詳細については、「設定」の章を参照してください。
使用禁止属性
パスワードに含むことのできない属性を 1 つ以上選択します。属性には次のものがあります。
パスワードポリシーの実装
パスワードポリシーは、リソースごとに設定します。パスワードポリシーを特定のリソースに割り当てるには、オプションの「パスワードポリシー」リストからポリシーを選択します。このリストは、「リソースの作成または編集ウィザード: Identity Manager パラメータ」ページの「ポリシー設定」エリアにあります。
ユーザーアカウントパスワードの操作すべての Identity Manager ユーザーには、パスワードが割り当てられます。Identity Manager ユーザーパスワードが設定されると、ユーザーのリソースアカウントパスワードが同期されます。1 つ以上のリソースアカウントパスワードを同期させることができない場合 (たとえば、必須パスワードポリシーに従う場合) は、個別に設定できます。
ユーザーアカウントパスワードの変更
ユーザーアカウントパスワードを変更するには、次を実行します。
新しいパスワード情報を入力して確認し、「パスワードの変更」をクリックして、リストされたリソースアカウントのユーザーパスワードを変更します。Identity Manager ではパスワードを変更するために実行した一連の操作を示すワークフロー図が表示されます。
図 12 ユーザーパスワードの変更
ユーザーアカウントパスワードのリセット
Identity Manager ユーザーアカウントパスワードのリセットプロセスは、変更プロセスに類似しています。リセットプロセスがパスワードの変更と異なるのは、新しいパスワードを指定しない点です。代わりに、Identity Manager が、選択した項目とパスワードポリシーに応じて、ユーザーアカウント、リソースアカウント、またはその組み合わせの新しいパスワードをランダムに生成します。
直接の割り当てまたはユーザーの組織を通じた割り当てによってユーザーに割り当てられたポリシーは、次のようなリセットオプションを制御します。
リセット時のパスワードの期限切れ
デフォルトでは、ユーザーパスワードをリセットすると、そのパスワードはただちに期限切れになります。つまり、リセット後にユーザーがはじめてログインするとき、アクセスするためには新しいパスワードを選択する必要があります。このデフォルトの設定をフォームで無効にし、代わりに、ユーザーに関連付けられている Lighthouse アカウントポリシーで設定された期限切れパスワードポリシーに従ってユーザーのパスワードを期限切れにすることができます。
たとえば、「ユーザーパスワードのリセット」フォームで、resourceAccounts.currentResourceAccounts[Lighthouse].expirePassword の値を false に設定します。
Lighthouse アカウントポリシーの「リセットオプション」フィールドを使用すると、次の 2 つの方法でパスワードを期限切れにすることができます。
- 「半永久」 − passwordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。
- 「一時」 − tempPasswordExpiry ポリシー属性で指定された期間を使用して、パスワードがリセットされたときに現在の日付からの相対的な日付が計算され、その日付がユーザーに設定されます。値を指定しない場合、変更またはリセットされたパスワードは期限切れになりません。tempPasswordExpiry の値が 0 に設定されている場合、パスワードはただちに期限切れになります。
注 tempPasswordExpiry 属性ポリシーは、パスワードがリセット (ランダムに変更) される場合にのみ適用され、パスワードの変更には適用されません。
ユーザーの自己検索Identity Manager ユーザーインタフェースによって、ユーザーはリソースアカウントを検索できます。つまり、Identity Manager ID を持つユーザーは、存在するが、関連付けられていないリソースアカウントを ID に関連付けることができます。
自己検索の有効化
自己検索を有効にするには、特別な設定オブジェクト (エンドユーザーリソース) を編集して、アカウントの検索を許可される各リソースの名前を追加する必要があります。その場合は、次を実行します。
自己検索が有効になっている場合は、Identity Manager ユーザーインタフェースに新しいメニュー項目 (「ほかのアカウントについて Identity Manager に知らせる」) が表示されます。このエリアにより、ユーザーは利用可能リストからリソースを選択し、リソースアカウント ID とパスワードを入力してアカウントを自分の Identity Manager ID にリンクすることができます。
ユーザー認証パスワードを忘れたか、パスワードがリセットされた場合、ユーザーは、1 つ以上のアカウント認証質問に答えることにより、Identity Manager へのアクセス権を取得できます。これらの質問とその管理規則を、Identity Manager アカウントポリシーの一部として設定します。パスワードポリシーとは異なり、Identity Manager アカウントポリシーはユーザーに直接割り当てられるか、「ユーザーの作成と編集」ページでユーザーに割り当てられた組織を通じて割り当てられます。
アカウントポリシーで認証を設定するには、次を実行します。
重要 ! 最初のセットアップ時に、ユーザーは Identity Manager ユーザーインタフェースにログインして、認証質問に対する最初の回答を指定する必要があります。これらの回答を設定しない場合、ユーザーは自分のパスワードがなければログインできません。
設定した認証規則に応じて、次に対して回答するようユーザーに要求することができます。
ユーザー独自の認証質問
Lighthouse アカウントポリシーでは、ユーザーがユーザーインタフェースおよび管理者インタフェースで独自の認証質問を入力できるようにするオプションを選択できます。また、ユーザー独自の認証質問を使用してログインに成功するためにユーザーが入力および回答する必要のある質問の最大数を設定することもできます。
設定後、ユーザーは、「認証質問の回答の変更」ページから質問を追加および変更できます。
図 15 回答の変更 − ユーザー独自の認証質問
認証後のパスワード変更要求のバイパス
ユーザーが 1 つ以上の質問に回答して認証に成功すると、デフォルトでは、システムからユーザーに新しいパスワードの入力が要求されます。ただし、bypassChangePassword システム設定プロパティーを設定することによって、1 つ以上の Identity Manager アプリケーションでパスワードの変更要求をバイパスするように Identity Manager を設定できます。
認証に成功したあと、すべてのアプリケーションでパスワードの変更要求をバイパスするには、システム設定オブジェクトで bypassChangePassword プロパティーを次のように設定します。
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
...
</Object>
...特定のアプリケーションでバイパスを無効にするには、次のように設定します。
<Attribute name="ui">
<Object>
<Attribute name="web">
<Object>
<Attribute name='user'>
<Object>
<Attribute name='questionLogin'>
<Object>
<Attribute name='bypassChangePassword'>
<Boolean>true</Boolean>
</Attribute>
</Object>
</Attribute>
</Object>
</Attribute>
...
</Object>
...
一括アカウント操作Identity Manager アカウントに対していくつかの一括操作を実行できます。これにより、複数のアカウントを同時に操作することができます。開始できる一括操作を、次に示します。
- 削除 − 選択したリソースアカウントを削除、割り当て解除、またはリンク解除します。各ユーザーの Identity Manager アカウントを削除するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
- 削除とリンク解除 − 選択したリソースアカウントを削除し、ユーザーからアカウントをリンク解除します。
- 無効化 − 選択したリソースアカウントをすべて無効化します。各ユーザーの Identity Manager アカウントを無効化するには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
- 有効化 − 選択したリソースアカウントをすべて有効化します。各ユーザーの Identity Manager アカウントを有効にするには、「Identity Manager アカウントをターゲットにする」オプションを選択します。
- 割り当て解除 − 選択したリソースアカウントをリンク解除し、それらのリソースに対する Identity Manager ユーザーアカウントの割り当てを削除します。割り当て解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントを割り当て解除することはできません。
- リンク解除 − リソースアカウントから、Identity Manager ユーザーアカウントとの関連付け (リンク) を削除します。リンク解除によってリソースからアカウントが削除されることはありません。ロールまたはリソースグループによって Identity Manager ユーザーに間接的に割り当てられていたアカウントをリンク解除した場合は、ユーザーを更新するとリンクを回復できます。
一括操作は、ファイルか、電子メールクライアントやスプレッドシートプログラムなどのアプリケーションにユーザーのリストを保存している場合にもっとも役立ちます。ユーザーのリストをこのインタフェースページのフィールドにコピーして貼り付けることも、ファイルからユーザーのリストを読み込むこともできます。
これらの操作の大部分を、ユーザーの検索結果に対して実行できます。ユーザーの検索は、「ユーザーの検索」ページの「アカウント」タブで行います。
一括アカウント操作の起動
一括アカウント操作を起動するには、値を選択または入力して、「起動」をクリックしてください。Identity Manager はバックグラウンドタスクを起動して一括操作を実行します。
ヒント 一括操作タスクのステータスを監視するには、「タスク」タブに進んでタスクのリンクをクリックします。
操作リストの使用
一括操作のリストをカンマ区切り値 (comma-separated value; CSV) 形式で指定できます。これにより、各種操作を 1 つの操作リストに混在させることができます。また、複雑な作成および更新の操作も指定できます。
CSV 形式は、2 行以上の入力行で構成されます。各行は、カンマで区切った値のリストで構成されます。1 行目にはフィールド名を指定します。以降の各行は、Identity Manager ユーザーまたはユーザーのリソースアカウント、あるいはその両方に対して実行する操作に対応します。各行に同じ数の値を指定する必要があります。空の値を指定すると、対応するフィールドの値は変更されないまま残ります。
どの一括操作 CSV にも必須のフィールドが 2 つあります。
- user − Identity Manager ユーザーの名前を指定します。
- command − Identity Manager ユーザーに対して実行する操作を指定します。有効なコマンドを次に示します。
- Delete − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を削除、割り当て解除、およびリンク解除します。
- DeleteAndUnlink − リソースアカウントを削除してリンク解除します。
- Disable − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を無効化します。
- Enable − リソースアカウントまたは Identity Manager アカウント、あるいはその両方を有効化します。
- Unassign − リソースアカウントを割り当て解除してリンク解除します。
- Unlink − リソースアカウントをリンク解除します。
- Create − Identity Manager アカウントを作成します。オプションで、リソースアカウントを作成します。
- Update − Identity Manager アカウントを更新します。オプションで、リソースアカウントを作成、更新、または削除します。
- CreateOrUpdate − Identity Manager アカウントが存在しない場合は作成操作を実行します。存在する場合は更新操作を実行します。
Delete、DeleteAndUnlink、Disable、Enable、Unassign、および Unlink コマンド
Delete、DeleteAndUnlink、Disable、Enable、Unassign、または Unlink 操作を実行する場合、ほかに指定する必要のあるフィールドは resources のみです。resources フィールドは、どのリソースのどのアカウントに影響を与えるかを指定するために使用します。次の値を指定できます。
これらの操作のいくつかを、CSV 形式にした例を次に示します。
command,user,resources
Delete,John Doe,all
Disable,Jane Doe,resonly
Enable,Henry Smith,Identity Manager
Unlink,Jill Smith,Windows Active Directory|Solaris ServerCreate、Update、および CreateOrUpdate コマンド
Create、Update、または CreateOrUpdate コマンドを実行する場合は、user フィールドと command フィールドのほかに、ユーザー画面のフィールドを指定できます。使用するフィールド名は、画面の属性のパス表現です。ユーザー画面で使用可能な属性については、『Identity Manager Workflows, Forms, and Views』を参照してください。カスタマイズしたユーザーフォームを使用している場合は、フォームのフィールド名に、使用可能なパス表現がいくつか含まれています。
一括操作で使用する一般的なパス表現のいくつかを次に示します。
- waveset.roles − Identity Manager アカウントに割り当てる 1 つ以上のロール名のリスト
- waveset.resources − Identity Manager アカウントに割り当てる 1 つ以上のリソース名のリスト
- waveset.applications − Identity Manager アカウントに割り当てる 1 つ以上のアプリケーション名のリスト
- waveset.organization − Identity Manager アカウントを配置する組織名
- accounts[resource_name].attribute_name − リソースアカウント属性。属性名はリソースのスキーマにリストします。
例
作成および更新操作を、CSV 形式にした例を次に示します。
command,user,waveset.resources,password.password,password.confirmPassword,accounts[Windows Active Directory].description,accounts[Corporate Directory].location
Create,John Doe,Windows Active Directory|Solaris Server,changeit,changeit,John Doe - 888-555-5555,
Create,Jane Smith,Corporate Directory,changeit,changeit,,New York
CreateOrUpdate,Bill Jones,,,,,California複数の値を持つフィールド
一部のフィールドには複数の値を指定できます。これらは複数値フィールドと呼ばれます。たとえば、waveset.resources フィールドでは、ユーザーに複数のリソースを割り当てることができます。1 つのフィールド内の複数の値を区切るには、縦棒 (|) 文字 (「パイプ」文字とも呼ばれる) を使用します。複数値の構文は、次のように指定できます。
value0 | value1 [ | value2 ... ]
既存のユーザーの複数値フィールドを更新する場合、現在のフィールドの値を 1 つ以上の新しい値で置き換えても、希望する指定にならないことがあります。値を一部削除したり、現在の値に追加する場合もあります。フィールド指示を使用すれば、既存のフィールドの値をどのように処理するかを指定できます。フィールド指示は、フィールド値の前に、縦棒で囲んで指定します。
|directive [ ; directive ] | field values
選択できる指示は次のとおりです。
- Replace − 現在の値を指定した値で置き換えます。指示を指定しない場合 (または、List 指示のみを指定した場合) は、これがデフォルトになります。
- Merge − 指定した値を現在の値に追加します。重複する値はフィルタされます。
- Remove − 指定した値を現在の値から削除します。
- List − フィールドの値が 1 つしかない場合でも、複数の値があるかのように強制的に処理します。ほとんどのフィールドは値の数に関係なく適切に処理されるため、通常、この指示は必要ありません。別の指示とともに指定できるのはこの指示だけです。
注 フィールド値は大文字と小文字を区別します。Merge および Remove の指示を指定する場合はこれが重要です。値を正しく削除したり、マージで複数の類似した値ができないようにするには、値が正確に一致しなければなりません。
フィールド値の特殊文字
フィールド値にカンマ (,) または二重引用符 (") 文字を指定する場合、あるいは先行または後続するスペースを維持する場合は、フィールド値を二重引用符で囲む必要があります ("フィールド値")。さらに、フィールド値の二重引用符は 2 つの二重引用符 (") 文字で置き換える必要があります。たとえば、"John ""Johnny"" Smith" は、フィールド値で John "Johnny" Smith という結果になります。
縦棒 (|) または円記号 () 文字をフィールド値に含める場合は、その前に円記号を指定する必要があります (| または )。
一括操作の表示属性
Create、Update、または CreateOrUpdate 操作を実行する場合は、ユーザー画面に、一括操作処理でしか使用しない、または使用できない追加の属性があります。これらの属性はユーザーフォームで参照可能であり、一括操作に固有の動作を可能にします。属性は次のとおりです。
- waveset.bulk.fields.field_name − この属性には、CSV の入力から読み込まれたフィールドの値が含まれます。field_name にはフィールド名を指定します。たとえば、command フィールドと user フィールドはそれぞれ、パス表現 waveset.bulk.fields.command および waveset.bulk.fields.user の属性内にあります。
- waveset.bulk.fieldDirectives.field_name − この属性は、指示を指定したフィールドに対してのみ定義されます。値は指示文字列です。
- waveset.bulk.abort − 現在の操作をアボートさせるには、このブール属性を true に設定します。
- waveset.bulk.abortMessage − waveset.bulk.abort が true に設定されているときに表示するメッセージ文字列を設定します。この属性を設定しない場合は、汎用的なアボートメッセージが表示されます。
相関規則と確認規則
操作の user フィールドに入力できる Identity Manager ユーザー名がわからない場合は、相関規則および確認規則を使用します。user フィールドの値を指定しない場合は、一括操作を開始するときに相関規則を指定する必要があります。user フィールドの値を指定した場合、その操作の相関規則および確認規則は評価されません。
相関規則では、操作フィールドと一致する Identity Manager ユーザーを検索します。確認規則では、操作フィールドに対して Identity Manager ユーザーをテストし、ユーザーが一致するかどうかを確認します。この 2 段階のアプローチを使用すると、名前または属性を基にして可能性のあるユーザーをすばやく検出し、可能性のあるユーザーに対してのみ負荷が大きいチェックを実行することで、Identity Manager による相関を最適化することができます。
相関規則または確認規則を作成するには、サブタイプがそれぞれ SUBTYPE_ACCOUNT_CORRELATION_RULE または SUBTYPE_ACCOUNT_CONFIRMATION_RULE の規則オブジェクトを作成します。
相関規則
相関規則の入力は、操作フィールドのマップです。出力は次のいずれかである必要があります。
一般的な相関規則は、操作のフィールドの値に基づいてユーザー名のリストを生成します。相関規則は、ユーザーを選択するために使用される属性条件 (Type.USER のクエリー可能な属性を参照する) のリストを生成することもできます。
相関規則は、比較的低コストでかつできるかぎり選択能力を高くする必要があります。可能な場合は、コストのかかる処理は確認規則に回します。
属性条件は、Type.USER のクエリー可能な属性を参照する必要があります。これらは、Identity Manager UserUIConfig オブジェクト内に QueryableAttrNames として設定されます。
拡張属性の相関を行うには特別な設定が必要です。
確認規則
確認規則の入力は次のとおりです。
確認規則は、ユーザーが操作フィールドに一致する場合は true、それ以外の場合は false という文字列形式のブール値を返します。
一般的な確認規則は、ユーザー表示の内部値と操作フィールドの値を比較します。相関処理のオプションの 第 2 段階として、確認規則は相関規則内に設定できないチェック (または相関規則内で評価するにはコストがかかりすぎるチェック) を実行します。一般に、次のような場合にのみ確認規則が必要です。
確認規則は、相関規則によって返される一致したユーザーごとに 1 回実行されます。