この章では、セルフサービス登録を使用して実行できるタスク、およびセルフ登録に対する自動承認の構成方法について、次の各項で説明します。
ログイン・ページでは、ログインするための機能、およびすべての未認証操作の開始点が提供されます。このページは、Oracle Identity Managerに対してネイティブ認証を実行しないか、またはSSOを使用しないでOracle Identity Manager管理およびユーザー・コンソールにアクセスした場合に表示されます。
Oracle Identity Manager管理およびユーザー・コンソールにログインする前に実行できるタスクは通常、次のとおりです。
Oracle Identity Manager管理およびユーザー・コンソールにログインする手順は、次のとおりです。
注意:
|
「Oracle Identity Manager管理およびユーザー・コンソール」ログイン・ページに移動します。
「ユーザーID」フィールドに、ユーザー名を入力します。
「パスワード」フィールドに、パスワードを入力します。
「サインイン」をクリックします。認証が正常に行われるとログインし、認証されたコンテキストのメイン・ページに移動します。
次の理由により、ログイン操作でエラーとなる場合があります。
不正な資格証明: 入力したユーザー名およびパスワードが正しくない場合、エラー・メッセージが表示されます。次の理由が考えられます。
ユーザー名が存在しない
パスワードが正しくない
ユーザー名は存在するがユーザーが削除されている
注意:
|
ロックされたアカウント: アカウントがロックされた場合は、資格証明が正しくてもログインできません。ロックされているアカウントを使用してログインを試みると、「無効なサインイン。」メッセージが表示されます。アカウントがロックされている場合は、Oracleヘルプデスクに連絡してください。
ヒント: Oracle WebLogicでは、ログインを最大回数失敗したユーザーをソフト・ロックするように構成できます。この構成は、Oracle Identity Managerのログインの最大試行回数の構成とは関係なく、ユーザーをソフト・ロックする時期と期間を決定します。ユーザーがWebLogicによってソフト・ロックされるログイン失敗の最大回数は、デフォルトでは誤ったパスワードによる5回連続のログイン失敗で、ロックされる期間は30分です。この構成を変更するには、WebLogic管理コンソールの次の場所にナビゲートします。 (WLSコンソール)「ホーム」→「セキュリティ・レルム」→「myrealm」→「ユーザーのロックアウト」 したがって、正しいユーザー名と誤ったパスワードを使用してOracle Identity Manager管理およびユーザー・コンソールへのログインを6回以上10回未満試行すると、そのユーザーのアカウントはWebLogicセキュリティ・レルムによってソフト・ロックされますが、Oracle Identity Managerではロックされないままです。Oracle Identity Managerではこのアカウントは使用可能でロックされていませんが、正しいパスワードを入力しても30分間はログインできず、構成された時間(30分など)より前にアカウントのロックを解除することはできません。 誤ったパスワードでの試行が10回を超えると、アカウントはWebLogicとOracle Identity Managerの両方でロックされます。そのため、Oracle Identity Manager管理者がアカウントをリセットまたはロック解除した場合も、WebLogicによってソフト・ロックされているため、30分をすぎるまではログインできません。 |
無効なユーザー: ユーザー・アカウントが無効になっている場合は、ログインできません。
パスワードが期限切れの場合は、「パスワードの変更」ページが表示されます。パスワードを変更しないとコンソールのメイン・ページに進むことはできません。新規パスワードを入力し、「適用」をクリックします。
システム構成プロパティの「起動時に質問を設定するよう強制」が「はい」に設定されている場合は、プロファイルで必要なチャレンジ・レスポンスが設定されているかどうかがログイン・フローで確認されます。設定されていない場合は、チャレンジ・レスポンスを設定するフォームが表示されます。チャレンジ・レスポンスが設定されている場合、または構成プロパティが「いいえ」に設定されている場合は、このステップがスキップされます。フォームでチャレンジ・レスポンスを設定し、「送信」をクリックします。
または、チャレンジ質問の設定を後にする場合は、「後で通知」をクリックしてOracle Identity Managerセルフサービスへのログインを続行できます。
注意: 「起動時に質問を設定するよう強制」という名前のPCQ.FORCE_SET_QUESシステム・プロパティでは、最初のログオン時にチャレンジ質問の設定が必要かどうかを指定します。チャレンジ質問の設定が必要でない場合は、「後で通知」ボタンが表示されます。このボタンをクリックすると、チャレンジ質問を設定しなくても管理およびユーザー・コンソールにログインできます。 |
ログイン以外のOracle Identity Manager UIページにアクセスしようとした時点でログイン済でない場合は、ログイン・ページにリダイレクトされます。この項で説明しているログイン手順に従ってOracle Identity Managerにログオンします。正常にログインすると、アクセスしようとしていた元のページにリダイレクトされます。
初めてログインすると、「パスワードの変更」ページが表示されます。これは、初めてログインした後は、パスワードを変更する必要があるためです。パスワードを変更した後、再度ログインします。
注意: Oracle Identity Manager 11g リリース1 (11.1.1)では、XL.ForcePasswordChangeAtFirstLoginシステム・プロパティは現在使用されていません。このため、初回のログイン時にユーザーにパスワードの変更を要求するよう構成することはできません。デフォルトでは、次の場合、ユーザーはパスワードを変更する必要があります。
|
Oracle Identity Managerセルフサービスで特定のタスクを実行するには、Oracle Identity Managerのアイデンティティに自身を登録する必要があります。ユーザー自身をOracle Identity Managerに登録するには、次の手順を実行します。
「Oracle Identity Manager管理およびユーザー・コンソール」ログイン・ページで、「登録」をクリックします。ユーザー登録ウィザードの基本情報ページが表示されます。
注意: ユーザー登録ウィザードで要求された情報は、「ユーザーの自己登録」リクエスト・データセットによって管理されます。リクエスト・データセットの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のステップ1: リソース用のリクエスト・データセットの作成に関する項を参照してください。 |
名、ミドル・ネーム、姓および電子メールをそれぞれのフィールドに入力し、「次」をクリックします。ログイン情報およびセキュリティ情報ページが表示されます。
このUIでは、許可されている文字数を超えて入力することはできません。自己登録時に入力する値の最大長は、「名」、「ミドル・ネーム」、「姓」および「共通名」では80文字、「表示名」では382文字と指定されています。
「ユーザーの自己登録」リクエスト・データセットを変更して他の属性をセルフサービスUIに追加した場合、その値は明示的に検証されません。UIのフィールドには、UIの長さフィールドに指定した文字数を入力できます。
これらの各フィールドに入力できる文字に制限はありません。これらの各フィールドの入力には、ハッシュ(#)、パーセント(%)などの特殊文字を含めることができます。
電子メールは、システム・プロパティの「XL.EmailValidationPattern」で規定されているパターンどおりに指定する必要があります。電子メールが不適切な場合は、次のエラーが表示されます: 「電子メールIDが無効です。有効な電子メールIDを入力してください。」指定した電子メールIDがシステム内の他のユーザーによってすでに使用されている場合は、次のエラーが表示されます: 「電子メールID <email id>はすでに取得されています。別の電子メールIDを入力してください。」
「ユーザーIDおよびパスワードの選択」セクションで、ユーザー・ログイン、パスワード、確認パスワードを入力します。入力したパスワードは、パスワード・ポリシーの対象になります。次のページでは、パスワード・フィールドの横にパスワード・ポリシーが表示されます。パスワードがパスワード・ポリシーの基準を満たさない場合は、満たす必要がある基準を記載したエラーが表示されます。パスワード・ポリシーの詳細は、「パスワード管理」を参照してください。
パスワードを入力しないと、システムでパスワードが自動的に生成され、「ユーザー登録」ページの最初のページで入力した電子メール・アドレスにパスワードが送信されます。
注意:
|
「チャレンジ質問および回答の設定」セクションで、チャレンジ質問を選択し、質問ごとに回答を設定します。チャレンジ質問と回答でチェックされる内容は、次のとおりです。
異なるチャレンジ質問が選択されていない
各チャレンジ質問に対して異なる回答が指定されていない
これらの条件のいずれかが検出された場合は、エラーが表示されます。
「登録」をクリックします。リクエストのトラッキングに使用できる、登録リクエストのトラッキングIDが提供されます。
注意:
|
Oracle Identity Managerへのアイデンティティの登録リクエストはトラッキングできます。現在のステータスが「成功」を示している場合は、Oracle Identity Manager管理およびユーザーコンソールに移動し、ユーザー名とパスワードを入力してOracle Identity Managerセルフサービスにログインできます。
登録をトラッキングするには、次の手順を実行します。
「Oracle Identity Manager管理およびユーザー・コンソール」ログイン・ページで、「登録のトラッキング」をクリックします。リクエスト・ステータス・ページが表示されます。
「トラッキングID」フィールドに、登録リクエストに割り当てられたトラッキングIDを入力します。次に、「送信」をクリックします。次の詳細を示す自己登録のステータス・ページが表示されます。
リクエストID
リクエストの送信日
リクエストが送信されて承認が実行されていない場合、表示される日付はリクエストの送信日です。いずれの場合も、日付は常に、最終更新日を反映します。
現行のステータス
送信されたすべての自己登録リクエストは、承認を通過して完全に処理される必要があります。様々な承認レベルの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の承認レベルに関する項を参照してください。
ユーザーがリクエストの現在のステータスをトラッキングすると、ステータスがリクエストが存在するステージの詳細とともに表示されます。ステータスは次のいずれかになります。
保留: この状態は、送信されたリクエストの承認が保留中であることを示しています。デフォルトの承認の場合は、次のステータス・メッセージが表示されます。
登録に対するリクエストレベルの承認を取得しています。マネージャはこのリクエストを承認する必要があります。
リクエスト・レベルの承認が保留中の場合。リクエスト・レベルの承認が取得されると、次のステータス・メッセージが表示されます。
登録に対する操作レベルの承認を取得しています。
却下: この状態は、承認時にリクエストが却下されたことを示しています。説明により、却下の事由が示されます。デフォルトの承認レベルの場合は、リクエストがリクエスト承認レベルで却下されると、次のステータス・メッセージが表示されます。
リクエスト承認が登録を却下されました。
リクエストが操作承認レベルで却下されると、次のステータス・メッセージが表示されます。
操作承認が登録を却下されました。
完了: この状態は、リクエストが完了したことを示しています。すべてが承認されてリクエストが正常に完了すると、次のステータス・メッセージが表示されます。
登録リクエストが完了しました。
失敗: この状態は、送信時にリクエストが失敗したことを示しています。リクエストの送信が失敗すると、次のステータス・メッセージが表示されます。
リクエストの登録に失敗しました。
注意: このページからトラッキングできるのは、自己登録リクエストのステータスのみです。 |
エンドユーザーの自己登録は、新しい登録が管理者操作なしで自動承認されるように構成できます。
デフォルトの「自己登録」リクエスト・データセットであるSelfCreateUserDataset.xmlの「組織」フィールドは、承認専用フィールドとして指定されています。これは、承認者がリクエスト承認時に「組織」フィールドに手動で値を指定する必要があることを意味します。登録が自動承認されるように「自己登録」リクエスト・データセットを構成するには、デフォルトのデータセットをコピーし、「自己登録」リクエスト・データセットの「組織」フィールドの承認専用フラグを削除して、新しいテンプレートへのリンクを指定します。
自己登録に対する自動承認を構成する手順は、次のとおりです。
デフォルトのテンプレートをコピーして、自己登録ユーザー用の新しいリクエスト・テンプレートを作成します。組織属性を含めますが、使用する必要がある組織を指定して制限を追加します。
リクエスト・テンプレートの構成の詳細は、第17章「リクエスト・テンプレートの管理」を参照してください。
ユーザーの自己作成データセットを変更して、組織属性の承認専用フラグを削除します。
リクエスト・データセットの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリソース用のリクエスト・データセットの作成に関する項を参照してください。
MDSへのデータセットのアップロードの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のMDSへのリクエスト・データセットのアップロードに関する項を参照してください。
自己登録および自動承認構成のために、リクエスト・レベルと操作レベルの2つの新しい承認ポリシーを作成します。
承認ポリシー・ルールの作成については、「承認ポリシーの作成」を参照してください。
自己登録用に新しく作成したテンプレートを使用するには、次の内容を参照してください。
システムでは、自己登録用のカスタム・テンプレートを使用するためにパラメータのT_ID=<template name>が取得されます。ユーザーが「登録」リンクをクリックすると、次のページが表示されます。
http://host:port/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION
このページは、デフォルトのテンプレートを使用します。
カスタム・テンプレートを使用するには、リクエストの末尾にT_IDを使用します(次に例を示します)。
http://host:port/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION&T_ID=<new_template>
これによって、デフォルトのページではなく「new_template」のように自己登録ページが表示されます。