ここでは、『Sun Identity Manager Deployment Reference』についての新しい情報と修正事項を説明します。
フォームへのパスワード確認要求の追加に関する次の説明が、この章にありません。(ID-7604)
RequiresChallenge フォームプロパティーを使用して、選択フォームにパスワード確認要求を追加できます。この機能が有効な場合、Identity Manager は要求を処理する前に、現在ログインしている管理者に対してパスワードの入力を要求します。このオプションは次のフォームでサポートされます。
userForm (Tabbed User フォーム、Wizard User フォーム、Default User フォーム)
changePassword (デフォルトでは Change User Password フォーム)
resetPassword (デフォルトでは Reset User Password フォーム)
プロパティーはフォームごとに指定されます。
ユーザーフォームにパスワード確認要求を追加するには、次のように RequiredElement を追加します (この例では、password、email、および fullname)。
<Property name='RequiredChallenge'> <List> <String>password</String> <String>email</String> <String>fullname</String> </List> </Property> |
プロパティーの値は、User ビュー属性名 (applications、adminRoles、assignedLhPolicy、capabilities、controlledOrganizations、email、firstname、fullname、lastname、organization、password、resources、roles) の 1 つ以上のリストです。
changePassword または resetPassword フォームにパスワード確認要求を追加するには、次のように <RequiresChallenge> 要素を追加して、password、email、および fullname を指定します。
<Property name='RequiresChallenge' value='true'/>
設定できるプロパティーの値は true または false です。
フォームでプロパティーを true に設定すると、Identity Manager は変更を要求している現在の管理者に、Lighthouse にログインするときに使用したパスワードを入力するように要求します。確認が成功しない (現在の管理者のパスワードが入力されない) 場合、Identity Manager は変更を許可しません。確認が成功すると、Identity Manager は変更要求の処理を許可します。どちらのパスワード管理フォームも、RequiresChallenge フォームプロパティーの使用をサポートします。このプロパティーを true に設定すると、ユーザーは新しいパスワードを指定したあとに、以前のパスワードを入力するよう要求されます。
ユーザーがヘルプボタンにカーソルを移動したときに、Identity Manager がバージョン情報を表示しないようにする、2 つのカスタムメッセージカタログキーを作成できます。UI_END_USER_VERSION キーは、エンドユーザーインタフェースでバージョン情報を非表示にします。また、UI_VERSION キーは管理者インタフェースで使用されます。
キーの値を空の文字列に設定すると、バージョン情報が表示されなくなります。
次の例は、両方のインタフェースでバージョン情報を無効にしています。
<Waveset> <Configuration name="sampleCustomCatalog"> <Extension> <CustomCatalog id="defaultCustomCatalog" enabled="true"> <MessageSet language="en" country="US"> <Msg id="UI_END_USER_VERSION"></Msg> <Msg id="UI_VERSION"></Msg> </MessageSet> </CustomCatalog> </Extension> </Configuration> </Waveset>
「Forms」の章に次の説明がありません。(ID-18869)
デフォルトでは、2 つのパスワードの変更フォームの実装があります。
End User Password Change フォームは、デフォルトのパスワード変更フォームです。ユーザーがパスワードを変更できる、シンプルなフィールドのセットが表示されます。ユーザーに割り当てられたすべてのリソースのパスワードポリシーが集約および要約され、Identity Manager は割り当てられたすべてのリソースにパスワードの変更を適用します。
Basic Change Password フォームは、管理者インタフェースとユーザーインタフェースの両方に用意されています。ユーザーに割り当てられたリソースについての情報が表示され、Identity Manager でパスワードを変更するリソースを、ユーザーが個別に選択することができます。
どちらのパスワード管理フォームも、RequiresChallenge フォームプロパティーの使用をサポートします。このプロパティーを true に設定すると、ユーザーは新しいパスワードを指定したあとに、以前のパスワードを入力するよう要求されます。
このドキュメントの「Forms」と「Workflow」の章に、<Variable> 要素への有効範囲の割り当てに関する説明がありません。(ID-14915)
要素が宣言されたときに、Identity Manager はすべての <Variable> 要素に有効範囲を割り当てます。値に有効範囲属性を割り当てない場合、Identity Manager はローカルの値を割り当てます。これは、変数は宣言されている XPRESS セクション内のみにアクセスできることを意味します。
有効範囲を定義するその他の Variable 属性は次のとおりです。
input -- <Variable> 要素がローカルの有効範囲を持ち、呼び出し側が値を初期化できることを宣言します。
output -- <Variable> 要素がローカルの有効範囲を持つが、呼び出し側に返せることを宣言します。
external -- ローカルでない有効範囲を持つ <Variable> を宣言します。つまり、この変数への割り当ては、最初に宣言された有効範囲内での割り当てとなります。
この章に、Identity Manager のホワイトリスト機能に関する次の説明がありません。(ID-19474)
Identity Manager のホワイトリスト機能により、SaveNoValidate アクションを使用するフォームとワークフローを、ID またはフォーム名のリストに対してチェックできるようになります。Identity Manager は、フォーム名またはフォームの所有者 ID のいずれかについて、ホワイトリストをチェックします。ID のリスト (saveNoValidateAllowedFormsAndWorkflows) は、System Configuration オブジェクトのセキュリティー属性に格納されます。フォーム名または所有者の ID がホワイトリストに指定されている場合、フォームまたはワークフローで SaveNoValidate アクションを使用できます。フォーム名または所有者 ID がリストにない場合、フォームまたはワークフローは Save アクションを使用して処理されます。リストが設定されていない場合、すべてのフォームとワークフローは SaveNoValidate として処理できます。
この機能を配備に実装するには、SaveNoValidate を使用するフォームまたはワークフローを、System Configuration オブジェクトの saveNoValidateAllowedFormsAndWorkflows リストに追加する必要があります。追加する必要がある ID またはフォームを確認するには、syslog を確認するか、com.waveset.ui.util.GenericEditForm のトレースレベルを 4 にして、SaveNoValidate を使用するカスタムフォームまたはワークフローを送信します。ID を含む警告がログに記録されます。syslog に「null」のフォーム名が記録される場合は、実行された TaskDefinition のフォームに name 属性があることを確認してください。
「Workflow」の章に、handleNativeChangeToAccountAttributes ワークフローに関する次の説明がありません。(ID-3275)
Identity Manager は、リソースアカウントの監査可能な属性値に対するネイティブな変更 (Identity Manager 以外で実行された変更) を検出するごとに、この System Configuration オブジェクト属性に関連付けられた、handleNativeChangeToAccountAttributes ワークフローを実行することで応答します。
<Attribute name='process'> <Object> <Attribute name='handleNativeChangeToAccountAttributes' value='Audit Native Change To Account Attributes'/> </Object> </Attribute>
Changes Outside Lighthouse 監査フィルタを有効にしている場合、このワークフローはネイティブな変更イベントをイベントログに記録します。それ以外の場合、Identity Manager はイベントを無視します。警告: デフォルトワークフローを置換するワークフローから、どのメソッドを呼び出すかに注意してください。
Identity Manager は、リソースアカウントのフェッチがネイティブの変更を示すたびにこのワークフローを起動するため、同じリソースアカウントで別のフェッチをトリガーするメソッドまたはワークフローを呼び出さないようにする必要があります。たとえば、ユーザービューを構築する WorkflowServices メソッド getView(User)、checkoutView(User)、および checkinView(User) を呼び出すと、無限ループが発生します。
Identity Manager はワークフローを実行してネイティブな変更を処理するため、ネイティブ変更イベントをフックして、デフォルトのネイティブ変更ワークフローを置換するか、このワークフローに追加することで、ネイティブ変更を自由に処理できます。たとえば、管理者またはユーザーに電子メールを送信するように選択して、イベントをデータベースに記録したり、ネイティブな変更を取り消す更新を照会したり、そのネイティブな変更を取り出してほかのリソースにプッシュバックしたりすることもできます。
このドキュメントの「Workflow」の章に、ソースアダプタタスクの件名または管理者の指定方法に関する説明がありません。(ID-19694)
システム設定オブジェクトの次の属性を編集することで、Source アダプタタスクに件名または管理者を割り当てて、実行するサーバーを指定することができます。source.subject は、このタスクの所有者として指定された管理者のログイン名を指定します。sources.host は、タスクを実行するサーバーを指定します。設定オブジェクトの新しい値は、デフォルトで次のとおりです。
<Attribute name='sources'> <Object> <Attribute name='hosts'/> <!-- any host is the default --> <Attribute name='subject' value='Configurator'/> </Object> </Attribute>