プロファイル・ページでは、個人詳細を表示および変更できます。ユーザー・プロファイルの管理時に実行するアクションは、セルフサービス・ユーザー管理に対して定義された認可ポリシーによって決定します。これらの認可ポリシーは、Oracle Identity Managerに対して定義されてOracle Entitlements Server (OES)に格納されます。
すべての認可権限は、認可ポリシーによって制御されます。付与されるすべての権限は、その権限の使用が許可されているかどうかをチェックするために検証されます。表8-1に、プロファイル管理操作用の権限を示します。
表8-1 プロファイル管理権限
権限 | 説明 |
---|---|
VIEW_USER_DETAILS |
この権限は、「マイ・プロファイル」ページの「属性」タブにあるユーザー・プロファイル属性を表示できるかどうかを決定します。この権限では、詳細な属性レベルのアクセス制御がサポートされ、これによって、その操作に適用する特定の属性を選択できます。 |
MODIFY_USER_DETAILS |
この権限は、「マイ・プロファイル」ページの「属性」タブでユーザー・プロファイル属性を変更できるかどうかを決定します。この権限では、詳細な属性レベルのアクセス制御がサポートされ、これによって、その操作に適用する特定の属性を選択できます。属性に対する表示および変更権限がある場合、その属性は、「マイ・プロファイル」ページに編集可能属性として表示されます。属性に対する表示権限のみがある場合、その属性は、「マイ・プロファイル」ページに読取り専用属性として表示されます。 |
MODIFY_SELF_USER_PROXY_PROFILE |
この権限は、「マイ・プロファイル」ページの「プロキシ」タブでプロキシを追加、変更および削除できるかどうかを決定します。 |
関連項目:
|
「プロファイル」セクションを表示する手順は、次のとおりです。
Oracle Identity Managerセルフサービスにログインします。
「プロファイル」タブをクリックします。
「プロファイル」ページには、次のセクションがあります。
「マイ・プロファイル」ページの最初のタブは、「属性」タブです。このタブには、ユーザーのプロファイル属性が表示されます。表示される属性は、ユーザーが表示可能なプロファイル属性を決定するフィールド・レベルの認可ポリシーによって制御されます。
デフォルトでは、すべてのプロファイル属性がユーザーに表示されます。ユーザー・エンティティに追加した新しい属性は、デフォルトでは、明示的に表示可能にするまで非表示に設定されます。プロファイル属性へのアクセスは、認可ポリシーによって制御されます。この機能に対する認可ポリシーの詳細は、「認証済ユーザー・セルフサービス」を参照してください。
さらに、フィールド・レベルの認可は、属性をユーザー自身が編集できるかどうかを決定します。編集可能属性は、編集可能テキスト・ボックスまたは適切なUIウィジェット(参照フィールドなど)に表示されます。新しい値を入力して「適用」ボタンをクリックし、変更内容を送信します。
プロファイルの更新が送信されると、すべての属性を変更するためのリクエストが作成されます。
リクエストを要求する属性が、リクエストのトラッキング番号とともに表示されます。ワークフロー・ルールによって、属性の変更を許可する前に承認を開始して取得する承認ワークフローが決定します。リクエストのステータスは、セルフサービス・ページの「リクエスト」タブで参照できます。リクエスト・タブおよび「ユーザーの変更」リクエストの詳細は、第10章「リクエストの管理」を参照してください。
「属性」タブの「プリファレンス」セクションでは、ユーザー・プリファレンスにアクセスできます。このオプションを使用すると、製品の動作方法に関するプリファレンスを設定できます。
Oracle Identity Managerのユーザー・プリファレンスは、ユーザーのプロファイルの一部として格納されている属性です。デフォルトでは、次の属性がUIに表示されます。
ロケール: Oracle Identity Managerでサポートされている言語に基づいて、通知メッセージの言語プリファレンスを選択できます。管理者は、デプロイメント構成の一部としてインストールでサポートされている言語を定義します。選択できるのは、デプロイメントで構成された言語の限定セットからのみです。
注意: Oracle Identity Manager 11g リリース1 (11.1.1.4)では、UIに対するユーザーの言語プリファレンスは、セルフサービスの「プリファレンス」セクションで指定したロケールに基づいて設定されません。UIロケールは、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのユーザーの言語の設定に関する項で説明されているとおりに決定されます。 |
タイムゾーン: 表示されるすべてのデータのタイムゾーンを指定できます。
注意:
|
「ロール」タブには、自分が直接または間接的にメンバーとなっているロールが表示されます。次の情報が表示されます。
ロール表示名: ロール名が表示されます。
説明:ロールの説明が表示されます。
メンバーシップ・タイプ: メンバーシップ・タイプ(「直接ロール」または「間接ロール」)が表示されます。
割当て日: 自分がロールに割り当てられた日付が表示されます。
このタブには、次のロール管理操作を開始するためのオプションもあります。
ロールをリクエストする手順は、次のとおりです。
「マイ・プロファイル」→「ロール」の順に移動します。
「アクション」リストから「ロールのリクエスト」を選択します。ロールのリクエスト・ウィザードの「ロールの選択」ページが表示されます。「ロールのリクエスト」ページのロールのリストでエンド・ユーザーが使用できるロールは、リクエスト・テンプレートで提供されているロールと、ユーザーに検索権限があるロールの共通部分です。
注意: デフォルトのリクエスト・テンプレートではなく、他のリクエスト・テンプレートに対するアクセス権が付与されている場合は、テンプレートを選択するように求められます。事前定義のテンプレートに対するアクセス権のみが付与されている場合、このステップはスキップされます。 |
「ロール名」フィールドに、リクエストするロールの名前を入力します。「ロール名」フィールドの横にあるアイコンを使用して使用可能なロールのリストを表示することで、ロール名または表示名(あるいはその両方)に基づいてロールを検索することもできます。
「使用可能なロール」リストからリクエストするロールを1つ以上選択し、「移動」アイコンをクリックして、それらのロールを「選択したロール」リストに移動します。
「次」をクリックします。「理由」ページが表示されます。
「有効日」フィールドおよび「理由」フィールドに値を入力し、ロールをアクティブにする日付およびリクエストの理由を説明するコメントをそれぞれ指定します。
「終了」をクリックします。Oracle Identity Managerセルフサービスの「リクエスト」タブにリクエストのステータスを表示できます。リクエスト・ステータスの詳細は、第10章「リクエストの管理」を参照してください。
ロールを削除するには、次のようにします。
「マイ・プロファイル」→「ロール」の順に移動します。ロールのリストが表に表示されます。
削除するロールを表から選択し、「アクション」リストから「ロールの削除」を選択します。ロールの削除ウィザードの「ロールの選択」ページが表示されます。
注意: デフォルトのリクエスト・テンプレートではなく、他のリクエスト・テンプレートに対するアクセス権が付与されている場合は、リクエスト・テンプレートを選択するように求められます。デフォルトのリクエスト・テンプレートに対するアクセス権のみが付与されている場合、このステップはスキップされます。 |
「ロール名」ボックスに、削除するロールの名前を入力します。「ロール名」フィールドの横にあるアイコンを使用して使用可能なロールのリストを表示することで、ロール名を検索することもできます。
「使用可能なロール」リストから削除するロールを1つ以上選択し、「移動」アイコンをクリックして、それらのロールを「選択したロール」リストに移動します。このステップは、カスタム・リクエスト・テンプレートが「ロールの自己削除」操作用に構成されている場合にのみ適用可能で、ユーザーは複数のテンプレートの中からいずれかを選択します。
「次」をクリックします。「理由」ページが表示されます。
「有効日」フィールドおよび「理由」フィールドに値を入力し、ロールを削除する日付および削除の理由を説明するコメントをそれぞれ指定します。
「終了」をクリックします。リクエストのステータスは、セルフサービス・ページの「リクエスト」タブで参照できます。リクエスト・タブの詳細は、第10章「リクエストの管理」を参照してください。
「リソース」タブには、自分に現在プロビジョニングされているリソースが表示されます。リスト内の各リソースについて、そのリソースに関連付けられている次の情報を表示できます。
リソース名
ステータス
識別情報
サマリー情報のブロックおよびその他の情報
プロビジョニングされているリソースの詳細を表示するページにドリルダウンできます。このページで「リソースの変更」ボタンをクリックすると、リソースを変更できます。これによって、受益者がユーザー自身に事前設定され、リソース・インスタンスも事前設定された状態のリソースの変更リクエスト・ウィザードにリダイレクトされます。リクエストする更新および関連情報を指定する処理を完了できます。リクエストのトラッキング番号が生成されます。
セルフサービス・リクエストで変更できるのは、同時に1つのリソース・インスタンスのみで、バルク・リクエストはサポートされていません。別のリソース・インスタンスを変更する場合は、別のリクエストを要求する必要があります。
「リソース」タブで、次のことを実行できます。
リソースをリクエストする手順は、次のとおりです。
「マイ・プロファイル」→「リソース」の順に移動します。
「アクション」リストから「リソースのリクエスト」を選択します。「リクエスト・テンプレートの選択」ページが表示されます。
注意: このページは、デフォルトのリクエスト・テンプレートではなく、他のリクエスト・テンプレートに対するアクセス権が付与されている場合のみ表示されます。リクエスト・テンプレートを選択するように求められます。デフォルトのリクエスト・テンプレートに対するアクセス権のみが付与されている場合、このページはスキップされます。 |
「リクエスト・テンプレート」リストから、リソースに割り当てられているリクエスト・テンプレートを選択し、「次」をクリックします。リソースのリクエスト・ウィザードの「リソースの選択」ページが表示されます。
「リソース名」フィールドに、リクエストするリソースの名前を入力します。「リソース名」フィールドの横にあるアイコンを使用して使用可能なリソースのリストを表示することで、リソース名を検索することもできます。
注意: この画面に表示されるリソースは、使用可能なリソースのリストと、使用されているリクエスト・テンプレートで制限されているリソースのリストの組合せです。たとえば、使用可能なリソースがActive Directory、ExchangeおよびUNIXで、テンプレートではリソースがActive DirectoryとExchangeに制限されている場合、この画面にはActive DirectoryとExchangeのみが表示されます。 リクエスト・テンプレートで制限するリソースが選択されていない場合は、使用可能なすべてのリソースが表示されます。 |
使用可能なリソース・リストからリクエストするリソースを選択し、「移動」アイコンをクリックして、そのリソースを「選択したリソース」リストに移動します。
注意: バルク・リクエストの場合は、2つ以上のリソースを選択する必要があります(2つ以上の子リクエストが作成されます)。手順の残りは、バルク・リクエストと同じです。 |
「次」をクリックします。「リソース・データの入力」フォームが表示されます。
リソースに関連する適切な詳細を入力し、「次」をクリックします。「理由」ページが表示されます。
「有効日」フィールドおよび「理由」フィールドに値を入力し、リソースをアクティブにする日付およびリクエストの理由を説明するコメントをそれぞれ指定します。
「終了」をクリックします。リクエストのステータスは、セルフサービス・ページの「リクエスト」タブで参照できます。リクエスト・タブの詳細は、第10章「リクエストの管理」を参照してください。
リソースを変更する手順は、次のとおりです。
「マイ・プロファイル」→「リソース」の順に移動します。
「アクション」リストから「リソースの変更」を選択します。「リクエスト・テンプレートの選択」ページが表示されます。
注意: このページは、デフォルトのリクエスト・テンプレートではなく、他のリクエスト・テンプレートに対するアクセス権が付与されている場合のみ表示されます。リクエスト・テンプレートを選択するように求められます。デフォルトのリクエスト・テンプレートに対するアクセス権のみが付与されている場合、このページはスキップされます。 |
「リクエスト・テンプレート」リストから、リソースに割り当てられているリクエスト・テンプレートを選択し、「次」をクリックします。リソースのリクエスト・ウィザードの「リソースの選択」ページが表示されます。「リソースの選択」ページが表示されます。
「リソース名」フィールドに、変更するリソースの名前を入力します。「リソース名」フィールドの横にあるアイコンを使用して使用可能なリソースのリストを表示することで、リソース名を検索することもできます。
使用可能なリソース・リストからリクエストするリソースを1つ以上選択し、「移動」アイコンをクリックして、それらのリソースを「選択したリソース」リストに移動します。
「次」をクリックします。リソースの詳細を変更できるリソース関連ページが表示されます。リクエストする更新および関連情報を入力します。
注意: リソース・インスタンスを変更するためのリクエストは同時に1つのみ要求でき、このモデルではバルク・リクエストはサポートされていません。別のリソース・インスタンスを変更する場合は、別のリクエストを要求する必要があります。 |
「次」をクリックします。「理由」ページが表示されます。
「有効日」フィールドおよび「理由」フィールドに値を入力し、リソースをアクティブにする日付およびリクエストの理由を説明するコメントをそれぞれ指定します。
「終了」をクリックします。リクエストのステータスは、セルフサービス・ページの「リクエスト」タブで参照できます。リクエスト・タブの詳細は、第10章「リクエストの管理」を参照してください。
リソースの詳細を表示する手順は、次のとおりです。
「マイ・プロファイル」→「リソース」の順に移動します。
リソース情報表から、リソースを選択します。
「アクション」リストから「リソースの詳細を開く」を選択します。選択したリソースのリソース名、説明、タイプ、ステータス、サービス・アカウント、プロビジョニングされた日などの詳細が含まれた「リソースの詳細」フォームが表示されます。
「プロキシ」タブでは、プロキシ情報を表示および管理できます。Oracle Identity Manager内に現在設定されているプロキシが表示され、以前設定したプロキシを表示することもできます。「過去のプロキシ」ビューは読取り専用で、変更は許可されません。
既存のプロキシ・ビューでは、開始日が将来の今後のプロキシを取り消すことができます。開始日が過去で、終了日が将来か指定されていない進行中のプロキシは、終了日のみを編集できます。
「プロキシ」タブで、新しいプロキシを追加することもできます。新しいプロキシを追加する場合は、開始日、終了日およびプロキシ・ユーザーを指定する必要があります。
この項には次のトピックが含まれます:
プロキシを追加する手順は、次のとおりです。
「マイ・プロファイル」→「プロキシ」の順に移動します。
「現行のプロキシ」セクションで、「アクション」リストから「プロキシの追加」を選択します。「プロキシの追加」ウィンドウが表示されます。
「プロキシ名」フィールドで「マネージャ」を選択し、プロキシとしてマネージャを指定します。それ以外の場合は、「他のユーザー」を選択し、プロキシとして他のユーザーを指定します。これを行うには、参照アイコンをクリックして、プロキシとして指定するユーザーを検索します。
「開始日」フィールドに、開始日を指定します。
「終了日」フィールドに、終了日を指定します。
「適用」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックします。
注意: Oracle Identity Managerでは、既存のプロキシと開始日および終了日が重複している別のプロキシを追加することはできません。 |
プロキシを編集する手順は、次のとおりです。
「マイ・プロファイル」→「プロキシ」の順に移動します。
「現行のプロキシ」セクションで、「アクション」リストから「プロキシの詳細を開く」を選択します。「プロキシ詳細」ウィンドウが表示されます。
「プロキシ名」フィールドで「マネージャ」を選択し、プロキシとしてマネージャを指定します。それ以外の場合は、「他のユーザー」を選択し、プロキシとして他のユーザーを指定します。ユーザー名を検索できます。
注意: プロキシ・ユーザーを変更する際に検索できるのは、検索権限があるユーザーのみです。 |
「編集」をクリックします。アクティブ・プロキシの場合、プロキシ名と開始日は編集できませんが、開始されていないプロキシの場合は、プロキシ・ユーザー、開始日および終了日を変更できます。
「適用」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックします。
プロキシを編集する手順は、次のとおりです。
「マイ・プロファイル」→「プロキシ」の順に移動します。プロキシのリストの表が表示されます。
削除するプロキシを選択します。
「現行のプロキシ」セクションで、「アクション」リストから「プロキシの削除」を選択します。「プロキシの削除」ウィンドウが表示されます。
「削除」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「はい」をクリックします。
「セキュリティ」タブでは、パスワード・セキュリティに関連するプロファイル属性を変更できます。このタブを使用して、次のタスクを実行できます。
この機能を使用すると、エンタープライズ・パスワードをリセットできます。新しいパスワードを指定するには、新しいパスワードを入力し、そのパスワードを再確認します。新しいパスワードは、「パスワードの変更」ページに表示される適用可能なパスワード・ポリシーへの準拠について評価されます。新しいパスワードがパスワード・ポリシーに準拠していない場合は、パスワードの変更が却下され、失敗の状況が通知されます。すべてのポリシーと照合してパスワードが正常と評価された場合は、エンタープライズ・パスワードが変更されます。
パスワードを変更する手順は次のとおりです。
「マイ・プロファイル」ページに移動し、「セキュリティ」タブをクリックします。
「パスワード」セクションで、「パスワードの変更」をクリックします。「パスワードの変更」ウィンドウが、適用可能なパスワード・ポリシーとともに表示されます。
「旧パスワード」フィールドに、既存のパスワードを入力します。
「新規パスワード」フィールドに、設定する新しいパスワードを入力します。
「新規パスワードの再入力」フィールドに、新しいパスワードを再入力します。
「適用」をクリックします。旧パスワードが有効で、新しいパスワードがパスワード・ポリシーに準拠している場合、パスワードは変更されます。有効でない場合は、エラー・メッセージが表示されます。
チャレンジ-回答サービスを使用すると、ユーザーのアイデンティティの検証に使用する一連のチャレンジ質問を設定できます。チャレンジ質問に対する正しい回答は、そのユーザーのみが認識している必要があります。
質問と回答は、名前と値のペア・リスト(名前は質問、値はその質問に対する回答)で、ユーザーのプロファイルの一部として格納されます。たとえば、ユーザーJohn Doeの場合、チャレンジ-回答のセットは次のようになります。
チャレンジ | レスポンス |
---|---|
好きな色は何ですか。 |
青 |
ペットの名前は何ですか。 |
Rex |
出生地はどこですか。 |
New York |
注意: チャレンジ質問に対する回答は、そのユーザーに関する情報をインターネットまたは公的なソースから収集して容易に推測できないように定義することをお薦めします。 |
ユーザーのアイデンティティを認証スキームに依存せずに検証する必要がある場合は、チャレンジ質問が表示され、ユーザーは必要な数の正しい回答を入力する必要があります。
この機能に対するOracle Identity Managerの構成プロパティは、次のとおりです。
PCQ.USE_DEF_QUES: エンドユーザーが独自のチャレンジ質問を作成できるようにOracle Identity Managerをカスタマイズしている場合は、このプロパティによって、ユーザーが事前定義のリストからチャレンジ質問を選択する必要があるかどうか、またはユーザーが独自のチャレンジ質問を作成する必要があるかどうかを指定します。デフォルトの値はTRUEです(ユーザーは事前定義のリストからチャレンジ質問を選択する必要があります)。ユーザーが独自のチャレンジ質問を入力する必要がある場合は、この値をFALSEに設定します。
注意: エンドユーザーが独自のチャレンジ質問を作成する機能は、標準のすぐに使用できるユーザー・インタフェースではサポートされていません。 |
PCQ.NO_OF_QUES: ユーザーが完了する必要のあるチャレンジ質問の数を設定します。デフォルト値は3です。
PCQ.FORCE_SET_QUES: 新しいユーザーが初めてアプリケーションにログインしたときにチャレンジ質問を設定する必要があるかどうか、またはこのステップをスキップして後で設定できるかどうかを決定します。新しいユーザーは、チャレンジ質問を選択できるSelf.jspxページにリダイレクトされます。このページには、チャレンジ質問の設定プロセスをスキップできる「スキップ」ボタンが表示されます。
注意: 別のタブではAdmin.jspxページにアクセスできます。このページは、Oracle Identity Manager管理およびユーザー・コンソールでパスワード検証を実行する際にチャレンジ質問を設定するページと同じです。 |
PCQ.NO_OF_CORRECT_ANSWERS: ユーザー・パスワードをリセットするために、ユーザーが正解する必要のある質問の数を表します。
チャレンジ質問および回答を設定する手順は、次のとおりです。
「マイ・プロファイル」ページに移動し、「セキュリティ」タブをクリックします。
「チャレンジ質問」セクションで、「質問1」、「質問2」および「質問3」フィールドから質問を選択します。
対応する「回答1」、「回答2」および「回答3」フィールドで、回答を選択します。
「適用」をクリックします。
次のデフォルトのチャレンジ質問は、Oracle Identity Manager内で自動的にローカライズされます。
ペットの名前は何ですか。
出生地はどこですか。
好きな色は何ですか。
母親の旧姓は何ですか。
ローカライズされたデフォルトのチャレンジ質問は、xlWebAdmin_LANG.propertiesファイルに配置されます。ここで、LANGはロケール・コードです。
カスタムのチャレンジ質問をOracle Identity Manager Design Consoleの参照コードLookup.WebClient.Questionsに追加する場合は、対応するプロパティをカスタム・リソース・バンドルに追加して、質問テキストをサポート対象言語でローカライズします。対応する翻訳は、次のファイルに保存する必要があります。
CustomResource_LANG.properties
たとえば、新しいチャレンジ質問の「好きなスポーツは何ですか。」を追加できます。このテキストをローカライズするには、プロパティ・ファイルにプロパティを次の形式で追加します。
global.Lookup.WebClient.Questions.question-text=value
質問テキスト内の空白はハイフン(-)に置換します。たとえば、「好きなスポーツは何ですか。」というチャレンジ質問をフランス語にローカライズするには、次のプロパティをcustomResources_fr.propertiesファイルに追加します。
global.Lookup.WebClient.Questions.What-is-your-favorite-sport?= Quel est votre sport favori?
デフォルトのチャレンジ質問のテキストを変更するには、対応するプロパティをカスタム・リソース・バンドルに追加します。たとえば、「好きな色は何ですか。」という質問のテキストを変更して、米語のスペル(color)のかわりに英語のスペル(colour)を使用するには、CustomResource_en.propertiesファイルに次の新しいプロパティを追加します。
global.Lookup.WebClient.Questions.What-is-your-favorite-color?=What is your favourite colour?
特定のロケール用にデフォルトのチャレンジ質問のテキストを変更するには、変更した質問のプロパティをcustomResources.propertiesファイルと、ロケールの言語を表すcustomResource_lang.propertiesファイルに追加します。たとえば、日本語版のプロパティはcustomResources_ja.propertiesファイルに定義します。
Oracle Identity Managerパスワードを忘れた場合は、一連のチャレンジ質問に対する回答を入力することでリセットできます。
忘れたパスワードをリセットするには、次の手順を実行します。
「Oracle Identity Manager管理およびユーザー・コンソール」ログイン・ページで、「パスワードを忘れた場合」をクリックします。パスワードを忘れた場合ウィザードの「ユーザー・ログインを入力してください」ページが表示されます。
「ユーザー・ログイン」フィールドに、ユーザー・ログインを入力して、Oracle Identity Managerでユーザー・レコードを見つけます。次に、「次」をクリックします。チャレンジ質問の回答ページが表示されます。
このページでは、ユーザー・アイデンティティを確認するために、ユーザー登録時に設定した、またはセルフサービスを使用して編集したチャレンジ質問がウィザードに表示されます。このページには、適用可能なパスワード・ポリシーも表示されます。チャレンジ質問の回答を入力し、「次」をクリックします。「新規パスワードの設定」ページが表示されます。
このステップでは、設定する新しいパスワードを入力し、「保存」をクリックします。次の結果が考えられます。
新しいパスワードが構成済のパスワード・ポリシーを満たさない場合は、指定したパスワードが満たしていないパスワード・ポリシーのルールを記載したエラー・メッセージが表示されます。また、パスワードのリセットの最大試行回数を超えた場合は、この操作を実行できなくなります。「ユーザーはパスワード・リセットの最大許容試行回数を超えました。」というエラー・メッセージが表示されます。
アイデンティティの検証基準を満たし、パスワードが正常に設定された場合は、パスワードがリセットされたことを示すメッセージが表示され、セルフサービス・コンソールに自動的にログインします。
ユーザー・アカウントが無効か、このアカウントに対してチャレンジ質問が定義されていない場合は、パスワードのリセットに失敗します。
注意: 「チャレンジ質問および回答の設定」で説明されているパスワードを忘れた場合ウィザードのチャレンジ質問を制御するPCQ.NO_OF_QUES構成プロパティは、次のとおりです。
|