Oracle Identity Managerのユーザー管理機能には、ユーザー・アカウントの作成、更新、削除、有効化と無効化、ロックおよびロック解除が含まれます。この機能については、次の各項で説明します。
ユーザー・ライフサイクルとは、特定のイベントや時間的要因に基づいて、システム内でユーザー・エンティティを作成、管理および終了するプロセス・フローを表す語です。
ユーザー・エンティティは、ライフ・サイクル内の様々なステージを通過します。ステージは、「存在しない」、「無効」、「アクティブ」および「削除」です。図11-1に、ライフサイクルの各種ステージ、可能なすべての遷移、およびそれらの遷移を設定する操作を示します。
ユーザー・ライフサイクルの各遷移に対して、プロセス・ルールやビジネス要件が定義される場合があります。表11-1に示すサンプル・シナリオを使用して、ユーザー・ライフサイクルの遷移とビジネス目的との間の関係を説明します。
表11-1 ユーザー・ライフサイクルとビジネス目的のサンプル・シナリオ
現行の状態 | 操作 | サンプル・シナリオ | プロセスの説明 |
---|---|---|---|
存在しない |
作成 |
HRは、新規採用者のユーザー・プロファイル情報を入力します。新規採用者をシステムに即時に組み込まない場合、HRはそのユーザーに将来の開始日を設定します。 |
開始日が将来の日付でない場合、ユーザーは「アクティブ」状態でシステムに組み込まれます。開始日が将来の日付の場合、作成プロセスではそのユーザーを「無効」状態で作成します。 |
無効 |
有効化 |
ユーザーの開始日が有効になります。システムでは、新規採用者に対するプロビジョニングが開始されます。 |
ユーザーはシステム内で有効とマークされ、システムにログインしてシステムを使用できるようになります。デフォルトでは、必要なすべてのメンバーシップおよびアカウントがワークフロー内で確立されます。 |
アクティブ |
変更 |
ユーザーが新しい職階に昇格します。この結果、HRはそのユーザーの役職を変更します。 |
新しいリソースがユーザーにプロビジョニングされ、古い不適切なリソースはユーザーからプロビジョニング解除されます。 |
アクティブ |
無効化 |
ユーザーが会社から1年間の長期有給休暇を取ります。HRは、ユーザーの最後の勤務日にそのユーザーを手動で無効にします。一定期間の後に、ユーザーは会社に復職します。HRは、ユーザーを再度「アクティブ」にできます。 |
ユーザーはシステムで無効とマークされ、システムにログインできなくなります。無効化されたユーザーは、再度「アクティブ」にできます。 |
アクティブ |
削除 |
ユーザーが会社を退職します。HRは、ユーザーの最後の勤務日にそのユーザーを手動で削除します。 |
ユーザーはシステムで無効とマークされ、システムにログインできなくなります。デフォルトでは、ユーザーのすべてのアカウントがワークフロー内でプロビジョニング解除されます。 |
ユーザー・ライフサイクル管理には、次の概念が不可欠です。
OIMアカウントは、Oracle Identity Managerへのアクセスを認証する方法として使用する抽象的なアカウントです。Oracle Identity Managerでは、ユーザーとOIMアカウント間の関係を示すカーディナリティは1対1です。デフォルトでは、ユーザーは、ユーザーにOracle Identity Managerへのアクセスを許可するOIMアカウントに関連付けられます。ただし、ユーザーがOracle Identity Managerにアクセスする必要がない場合は、OIMアカウントをプロビジョニングしないことも可能です。
ロックやロック解除などのユーザー操作は、明示的なアカウント操作です。ユーザーに対してロックまたはロック解除を行う場合は、そのユーザーのOIMアカウントをロックまたはロック解除します。
Oracle Identity Manager内の各ユーザーには、ユーザーのOIMアカウントを制御する「Design Consoleのアクセス」属性があります。UIでユーザーの「Design Consoleのアクセス」オプションが選択されている場合、そのユーザーはエンドユーザー管理者です。このオプションが選択されていない場合、そのユーザーはエンドユーザーです。
組織とは、認可および権限データの論理的なコンテナです。Oracle Identity Managerのユーザーは、1つの組織のみに所属する必要があります。Oracle Identity Managerにおける組織の詳細は、第13章「組織の管理」を参照してください。
Oracle Identity Managerでは、ロールを使用して権限管理を容易に制御できます。ロールとは、ユーザーや他のロールに付与する、関連する権限の名前付きグループです。ロールは、エンド・ユーザー・システムとスキーマ・オブジェクト権限の管理を容易にするために設計されています。ロールの詳細は、第12章「ロールの管理」を参照してください。
Oracle Identity Managerでは、ユーザー・エンティティに対して属性が定義されます。これらの属性は、すべてのエンティティで同一です。ユーザー・エンティティには独自の属性を追加できます。
Oracle Identity Managerでは、エンティティの各属性に対して、次のプロパティが定義されます。
属性名: 属性の名前。
カテゴリ: すべてのエンティティ属性は1つのカテゴリに分類されます。この分類は、UIでデータを編成するために使用されます。カテゴリはUIでの表示用にのみ使用され、他の用途には使用されません。デフォルトのカテゴリは次のとおりです。
基本ユーザー情報: このカテゴリには、ユーザーの姓と名、電子メール、マネージャ、組織、ユーザー・タイプなど、基本ユーザー属性が含まれます。
アカウント設定: このカテゴリには、ユーザー・ログイン、アイデンティティ・ステータス、アカウント・ステータス、グローバル一意識別子(GUID)など、アカウント関連の属性が含まれます。
アカウントの有効日: このカテゴリには、アカウントの開始日および終了日属性が含まれます。
プロビジョニング日: このカテゴリには、プロビジョニング日およびプロビジョニング解除日属性が含まれます。
ライフサイクル: このカテゴリでは、手動ロック、ロック日時、自動削除日など、ユーザー・アカウントに関連するフラグが表示されます。
カテゴリ内のすべての属性はデフォルトで非表示なので、カテゴリも表示されません。
システム: このカテゴリには、作成日、パスワード有効期限日、パスワードのリセット試行回数など、ユーザー・エンティティのシステム制御属性が含まれます。
その他のユーザー属性: このカテゴリには、すべてのFAおよびLDAP関連属性のリストが含まれます。
カスタム属性: これは空のカテゴリで、ユーザーはすべての新規カスタム属性を追加できます。
プリファレンス: このカテゴリには、ユーザー・プリファレンスに関連する属性が含まれます。ロケール、タイムゾーン、通貨、日付書式など、様々な属性が含まれます。
タイプ: 属性内のデータのタイプを示します。サポートされているタイプは、文字列、数値、日付およびブールです。
プロパティ: 属性ごとに、次のプロパティを定義できます。
必須: リポジトリ内のすべてのユーザーがこの属性に対してnullでない値を持つ必要があるかどうかを決定します。
システム制御: 値はシステム自体による設定および編集のみ可能かどうかを決定します。
システムによるデフォルト設定が可能: 値が入力されない場合に、システムによる値のデフォルト設定が可能かどうかを決定します。
暗号化: リポジトリに格納される値を暗号化するかどうかを決定します。「True」の場合、値は暗号化されますが、暗号化された値は復号化して元の値に戻すことができます。「False」の場合、値はクリアとして格納され、格納した値は暗号化されません。
ユーザー検索可能: 検索で値が使用可能かどうかを決定します。
バルク更新可能: 複数ユーザーのバルク変更の中で、フィールドが変更可能かどうかを決定します。ユーザー名、名前フィールド、パスワードなどユーザーに一意とみなされるフィールドでは、バルク更新がサポートされていません。「システム制御」が「はい」、または「一意」が「はい」に設定されたフィールドの場合、このプロパティは「はい」に設定できません。属性のプロパティの設定については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのユーザー属性の構成に関する項を参照してください。
表示タイプ: ユーザーを作成および変更するUIにフィールドを表示する方法を決定します。次のいずれかの値になります。
TEXT、TEXTAREA、NUMBER、DOUBLE、CHECKBOX、DATE_ONLY、SECRET、LOV、ENTITY。
複数値: 属性が複数値かどうかを決定します。このプロパティの値は「True」または「False」のいずれかになります。Oracle Identity Managerでは複数値をサポートしていないため、すべてのユーザー属性でこのプロパティは「False」に設定されます。
最大サイズ: 指定した属性で可能な最大長を指定します。
読取り専用: 属性が読取り専用権限のみを持つか、編集可能かを指定します。
カスタム: 属性がデフォルト属性か、ユーザー定義属性かを決定します。
表示可能: ユーザーに属性を表示するかどうかを決定します。
表11-2に、Oracle Identity Managerでユーザー・エンティティに対して定義されている属性を示します。
表11-2 ユーザー・エンティティに対して定義されている属性
属性名 | カテゴリ | 説明 | データ型 | プロパティ | LOV(デフォルト値は太字) |
---|---|---|---|---|---|
usr_key |
アカウント設定 |
ユーザーのGUID。ユーザーの作成時に自動生成されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
act_key |
基本ユーザー情報 |
ユーザーが所属する組織のGUID。これは必須フィールドです。 |
数値 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 19 表示可能: はい 表示タイプ: ENTITY |
なし |
姓 |
基本ユーザー情報 |
ユーザーの姓。これは必須フィールドです。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
名 |
基本ユーザー情報 |
ユーザーの名前 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
ミドル・ネーム |
基本ユーザー情報 |
ユーザーのミドル・ネーム。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
完全名 |
基本ユーザー情報 |
ユーザーの完全名。完全名は、アカウントの作成時にローカライズされて格納されます。 |
文字列 |
必須: いいえ MLS: いいえ 多表現: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 164 表示可能: いいえ 表示タイプ: TEXT |
なし |
表示名 |
基本ユーザー情報 |
ユーザーの表示名。指定しない場合は、ユーザーの作成時に自動生成されます。 |
文字列 |
必須: いいえ MLS: いいえ 多表現: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 382 表示可能: はい 表示タイプ: TEXT |
なし |
Xellerateタイプ |
基本ユーザー情報 |
ユーザーのタイプ(エンドユーザーまたは管理者)。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 30 表示可能: はい 表示タイプ: CHECKBOX |
Lookup.Users.XellerateType エンドユーザー エンドユーザー管理者 |
usr_password |
アカウント設定 |
ユーザーのパスワードを指定します。暗号化された値として格納されます。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: 暗号化 ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 128 表示可能: はい 表示タイプ: SECRET |
なし |
usr_disabled |
アカウント設定 |
ユーザーが有効か無効かを示します。 0の場合、ユーザーは有効です。1の場合、ユーザーは無効です。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: はい 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: CHECKBOX |
なし |
ステータス |
アカウント設定 |
ユーザーのステータス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: はい 最大サイズ: 25 表示可能: はい 表示タイプ: LOV |
Lookup.WebClient.Users.Status アクティブ 無効 削除 開始日まで無効 |
ロール |
基本ユーザー情報 |
ユーザーがメンバーであるロール。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 255 表示可能: はい 表示タイプ: LOV |
Lookup.Users.Role フルタイム パートタイム 派遣社員 インターン コンサルタント 従業員 派遣就業者 非就労者 その他 契約者 |
ユーザー・ログイン |
アカウント設定 |
ユーザーのログインID。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
usr_manager_key |
基本ユーザー情報 |
ユーザーのマネージャのGUID。 |
数値 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 19 表示可能: はい 表示タイプ: ENTITY |
なし |
開始日 |
アカウントの有効日 |
ユーザーの開始日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
終了日 |
アカウントの有効日 |
ユーザーの終了日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_provisioning_date |
プロビジョニング日 |
Oracle Identity Managerでユーザー・プロファイルが作成された日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア 検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_deprovisioning_date |
プロビジョニング日 |
リソースがユーザーからプロビジョニング解除される日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_provisioned_date |
システム |
リソースがユーザーにプロビジョニングされた日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_deprovisioned_date |
システム |
リソースがユーザーからプロビジョニング解除された日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
電子メール |
基本ユーザー情報 |
ユーザーの電子メール・アドレス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
usr_locked |
アカウント設定 |
ユーザー・アカウントがロックされているか、ロック解除されているかを示します。 値が0の場合、アカウントはロック解除されています。 値が1の場合、アカウントはロックされています。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: LOV |
Users.Lock User 0 1 |
ロック日時 |
ライフサイクル |
ユーザー・アカウントがロックされた日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
自動削除日 |
ライフサイクル |
ユーザー・アカウントが自動的に削除される日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア 検索可能: はい バルク更新可能: はい 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
手動ロック |
ライフサイクル |
ユーザー・アカウントが自動的にロックされるか、手動でロックされるかを示します。 1の場合、アカウントは管理者が手動でロックします。 0の場合、アカウントは自動的にロックされます(たとえば、誤ったパスワードによるログイン試行の最大回数を超えた場合)。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
usr_login_attempts_ctr |
システム |
ユーザーが誤ったパスワードを使用してログインを試行した回数。これは、正常にログインされるたびに0に設定されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: NUMBER |
なし |
usr_create |
システム |
ユーザーが作成された日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_update |
システム |
ユーザーが最後に更新された日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_timezone |
プリファレンス |
ユーザーのタイムゾーン・プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: TIME_ZONE |
なし |
usr_locale |
プリファレンス |
ユーザーのロケール・プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: LOV |
Notification.Languages 英語 フランス語 ドイツ語 イタリア語 スペイン語 ポルトガル語(ブラジル) 日本語 韓国語 簡体字中国語 繁体字中国語 アラビア語 チェコ語 デンマーク語 オランダ語 フィンランド語 ギリシャ語 ヘブライ語 ハンガリー語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スウェーデン語 タイ語 トルコ語 |
usr_pwd_cant_change |
システム |
現在、このフィールドは使用されていません。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_must_change |
システム |
現在、このフィールドは使用されていません。 値が0の場合、パスワードを変更する必要はありません。 値が1の場合、ユーザーはパスワードを変更する必要があります。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_never_expires |
システム |
現在、このフィールドは使用されていません。 値が0の場合、パスワードに有効期限があります。 値が1の場合、パスワードに有効期限はありません。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: CHECKBOX |
なし |
usr_pwd_expire_date |
システム |
パスワードの有効期限の日付。「パスワードの有効期限なし」が0の場合のみ有効です。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_pwd_warn_date |
システム |
ユーザーがパスワードを変更するように警告される日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_pwd_expired |
システム |
パスワードが有効期限切れであるかどうかを示します。その場合、パスワードはリセットされます。 値が0の場合、パスワードは有効期限切れではありません。 値が1の場合、パスワードは有効期限切れです。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_warned |
システム |
ユーザーがパスワードを変更するように警告されたかどうかを示します。 0の場合、ユーザーはパスワードを変更するようにまだ警告されていません。 1の場合、ユーザーはパスワードを変更するように警告されました。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_reset_attempts_ctr |
システム |
ユーザーがチャレンジ質問に誤った回答をしてパスワードのリセットを試行した回数。これは、パスワードが正常にリセットされるたびに0に設定されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: NUMBER |
なし |
usr_change_pwd_at_next_logon |
システム |
ユーザーが次のログイン時にパスワードを変更する必要があるかどうかを示します。 値が1の場合、ユーザーは次のログイン時にパスワードをリセットする必要があります。値が0の場合、ユーザーは次のログイン時にパスワードをリセットする必要はありません。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_data_level |
システム |
このレコードに対してサポートされている操作の種類(追加、変更、削除など)を示します。 この列の有効な値は次のとおりです。 0: この行は更新または削除できることを示します。 1: この行は更新および削除できないことを示します。 2: この行は変更のみできますが、削除はできないことを示します。 3: この行は削除のみできますが、変更はできないことを示します。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
usr_pwd_min_age_date |
システム |
日付を設定した場合、その日付までユーザー・パスワードは変更できないことを示します。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_createby |
システム |
このユーザーを作成したユーザーのGUID。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
usr_updateby |
システム |
このユーザーを更新したユーザーのGUID。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
usr_created |
システム |
現在、これはOracle Identity Managerで使用されていません。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_policy_update |
システム |
ユーザーのポリシーを再評価するために使用します。現在のポリシーを適用するすべてのユーザーについてオブジェクト・ポリシーを再評価するには、UPP表およびUPD表を評価して、現在のポリシーのユーザー・リストを取得します。検出されたユーザーごとに、policy_updateフラグを設定します。post-insert、post-updateおよびpost_deleteイベント・ハンドラをtcPOPに付加します。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: はい 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
国 |
その他のユーザー属性 |
ユーザーの国。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: TEXT |
なし |
部門番号 |
その他のユーザー属性 |
ユーザーの部門番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
説明 |
その他のユーザー属性 |
ユーザーの説明。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 2000 表示可能: はい 表示タイプ: TEXT |
なし |
共通名 |
その他のユーザー属性 |
ユーザーの共通名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 240 表示可能: はい 表示タイプ: TEXT |
なし |
従業員番号 |
その他のユーザー属性 |
ユーザーの従業員番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
FAX |
その他のユーザー属性 |
ユーザーのFAX番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
生成修飾子 |
その他のユーザー属性 |
ユーザーの生成修飾子。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
入社日 |
その他のユーザー属性 |
ユーザーの入社日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
自宅電話番号 |
その他のユーザー属性 |
ユーザーの自宅電話番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
地方名 |
その他のユーザー属性 |
ユーザーの地方名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
モバイル |
その他のユーザー属性 |
ユーザーのモバイル番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
ページャ |
その他のユーザー属性 |
ユーザーのページャ番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
自宅住所 |
その他のユーザー属性 |
ユーザーの自宅住所。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
住所 |
その他のユーザー属性 |
ユーザーの住所。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
郵便番号 |
その他のユーザー属性 |
ユーザーの郵便番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 230 表示可能: はい 表示タイプ: TEXT |
なし |
私書箱 |
その他のユーザー属性 |
ユーザーの私書箱。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
都道府県 |
その他のユーザー属性 |
ユーザーの都道府県。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
番地 |
その他のユーザー属性 |
ユーザーの住所の番地。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
電話番号 |
その他のユーザー属性 |
ユーザーの電話番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
役職 |
その他のユーザー属性 |
ユーザーの役職。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
イニシャル |
その他のユーザー属性 |
ユーザーのイニシャル。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: はい 表示タイプ: TEXT |
なし |
生成されたパスワード |
システム |
このフラグは、ユーザーに対してパスワードが自動生成されたかどうかを示します。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
LDAP組織 |
その他のユーザー属性 |
LDAPのユーザー組織名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP組織単位 |
その他のユーザー属性 |
LDAPのユーザー組織単位(部門、大規模エンティティのサブエンティティなど)。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP GUID |
その他のユーザー属性 |
LDAPのユーザーのグローバル一意識別子。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP DN |
その他のユーザー属性 |
LDAPのユーザーの識別名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
FA言語 |
プリファレンス |
LDAP環境でのユーザーの言語。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: いいえ 表示タイプ: TEXT |
該当なし |
埋込みヘルプ |
その他のユーザー属性 |
ロールオーバー時にヘルプ・ポップアップを非表示にするかどうかを示します。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.EmbeddedHelp True False |
数値書式 |
その他のユーザー属性 |
ユーザーの数値書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 30 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.NumberFormat #,##0.##[.,] #,##0.###[\u00A0,] #,##0.### #,##0.###;#,##0.###- #,##0.###[.,] #,##0.###;(#,##0.###)[.,] #,##0.##[\u00A0,] #,##0.###['.] #,##0.###[',] |
日付書式 |
その他のユーザー属性 |
ユーザーの日付書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.DateFormat MM-dd-yyyy MM-dd-yy MM.dd.yyyy MM.dd.yy mm/dd/yyyy MM/dd/yy M-d-yyyy M-d-yy M.d.yyyy M.d.yy M/d/yyyy M/d/yy dd-MM-yyyy dd-MM-yy d-M-yyyy d-M-yy dd.MM.yyyy dd.MM.yy d.M.yyyy d.M.yy dd/MM/yyyy dd/mm/yy d/M/yyyy d/M/yy yyyy-MM-dd yy-MM-dd yyyy-M-d yy-M-d yyyy.MM.dd yy.MM.dd yyyy.M.d yy.M.d yy. M. d yyyy/MM/dd yy/MM/dd yyyy/M/d yy/M/d |
時間書式 |
その他のユーザー属性 |
ユーザーの時間書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.TimeFormat HH.mm HH.mm.ss HH:mm HH:mm:ss H:mm H:mm:ss H.mm H.mm.ss a hh.mm a hh.mm.ss a hh:mm a hh:mm:ss ah:mm ah:mm:ss hh.mm a hh.mm.ss a hh:mm a hh:mm:ss a |
通貨 |
その他のユーザー属性 |
ユーザーの優先通貨。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.Currency |
フォント・サイズ |
その他のユーザー属性 |
ユーザーの優先フォント・サイズ(大、中など)。これは、アクセシビリティ機能に関連しています。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.FontSize 大 中 |
カラー・コントラスト |
その他のユーザー属性 |
ユーザーの優先カラー・コントラスト(標準、高など)。これは、アクセシビリティ機能に関連しています。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.ColorContrast 標準 高 |
アクセシビリティ・モード |
その他のユーザー属性 |
ユーザーの優先アクセシビリティ機能(最適化されたスクリーン・リーダー、標準アクセシビリティなど)。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.AccessibilityMode スクリーン・リーダー アクセス不可 デフォルト |
FA地域 |
プリファレンス |
LDAP環境でのユーザーの地域。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 100 表示可能: いいえ 表示タイプ: LOV |
該当なし |
ユーザー名優先言語 |
プリファレンス |
ユーザーの表示名のみをその言語で表示するために使用する、ユーザーのプリファレンス言語。 注意: このプリファレンスはOracle Identity Managerに格納できますが、Oracle Identity ManagerのUIには適用されません。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
mls_locale_code順(昇順)に並べたlocale_flagが0または1のmls_localeから、MLS_LOCALE_CODEをUSR_NAME_PREFERRED_LANGとして選択します。 |
Oracle Identity Administrationでは、次のユーザー管理タスクを実行できます。
Oracle Identity Manager管理では、ユーザー・エンティティに対して次のタイプの検索操作を実行できます。
検索操作によって、検索属性として指定した検索文字列に基づいてユーザー・エンティティを検索できます。この操作は、単純検索またはクイック検索とも呼ばれます。
検索機能については、次の各トピックで説明します。
検索操作の検索コンパレータは、「次で始まる」に設定されます。検索コンパレータとワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。
検索文字列は大/小文字が区別されません。検索文字列のワイルドカード文字としてサポートされているのはアスタリスク(*)文字のみです。Oracle Identity Manager管理では、検索文字列の先頭または末尾にある空白は削除されます。パフォーマンス上の理由から、検索文字列の先頭にあるアスタリスク(*)は削除されます。
検索操作の論理積演算子は、デフォルトで「OR」に設定されます。
次の問合せ構成式を使用して、検索属性、検索コンパレータ、検索文字列および論理積演算子の関係を説明します。
Query begins with ((attribute 1 begins with 'search string') or (attribute 2 begins with 'search string') or …)
たとえば、検索テキストとして「Jo*」と入力した場合、検索操作では、「ユーザー・ログイン」が「Jo*」で始まるか、「名」が「Jo*」で始まるか、「姓」が「Jo*」で始まるか、または「表示名」が「Jo*」で始まる、という内部問合せが形成されます。その結果、ユーザー名、名または姓が「Jo」で始まるすべてのユーザーが表示されます。
結果属性は、検索操作によって返される属性セットを定義します。ただし、実際の結果属性セットは、ユーザーの権限に基づいて動的に決まります。
注意: 検索結果に、削除されたユーザー(ステータスが「削除」のユーザー)は含まれません。 |
制限された検索結果表には、完全な検索結果表の列のサブセットが表示されます。検索結果に表示する列、および制限された検索結果表に表示するサブセットは、ユーザー構成によって指定されます。構成管理の詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのユーザー属性の構成に関する項を参照してください。
単純検索結果表には、「表示名」属性のみが表示されます。つまり、検索結果には、「表示名」、「ユーザー・ログイン」、「名」または「姓」属性の値が検索テキストと一致するすべてのユーザーの表示名が表示されます。
検索結果表に表示されたデータのソートおよびページングを実行できます。
ヒント: 上下にスクロールすると、ページ索引が変わります。各ページには、固定のエントリ・セットが含まれます。ページ索引が変わり、次に必要なページがUIに表示されない場合、UIではイベントがトリガーされます。このイベントに応答して、結果ページが表示されます。 検索結果表の各属性には、上下矢印が表示されます。属性の上下矢印をクリックすると、ソート属性およびソート順を指定できます。 |
この項では、検索結果表で選択した行に対して実行できる操作について説明します。これは、単一選択操作とバルク(複数)選択操作に区分できます。
検索結果表から1名のユーザーを選択して、次の単一選択操作を実行できます。
詳細の表示
変更(ユーザー・ステータスが「アクティブ」の場合のみ)
有効化(ユーザー・ステータスが「無効」の場合のみ)
無効化(ユーザー・ステータスが「有効」の場合のみ)
ロック(選択したユーザーのアカウントがロック解除されている場合のみ)
ロック解除(選択したユーザーのアカウントがロックされている場合のみ)
パスワードのリセット
削除
検索結果表から複数のユーザーを選択して、次のバルク(複数)選択操作を実行できます。
有効化(ユーザー・ステータスが「無効」の場合のみ)
無効化(ユーザー・ステータスが「有効」の場合のみ)
ロック(選択したユーザーのアカウントがロック解除されている場合のみ)
ロック解除(選択したユーザーのアカウントがロックされている場合のみ)
削除
単純検索を実行してユーザーの詳細を表示する手順は、次のとおりです。
Oracle Identity Manager管理にログインします。
ユーザーを検索するには、左ペインにあるドロップダウン・リストから「ユーザー」を選択します。
検索フィールドに検索基準を入力します。検索基準にはワイルドカード文字(*)を使用できます。
検索フィールドの右側にあるアイコンをクリックします。左ペインに検索結果が表示され、指定した検索基準に一致するユーザーの表示名が表示されます。図11-2に、検索結果を示します。
拡張検索オプションは、Oracle Identity Manager管理の右ペインに表示されます。拡張検索では、単純検索の基準より複雑な検索基準を指定できます。結果は検索結果表に表示されます。
拡張検索操作については、次の各項で説明します。
「拡張検索」ページで検索基準を指定します。このページでは、複数の基準で構成される検索問合せを作成できます。各基準は次の内容で構成されます。
検索対象の属性
検索コンパレータ(「次と等しい」、「次で始まる」など)
検索する値
複数の値が必要なコンパレータの場合は、複数の値を指定できます。数値フィールドの範囲検索、日付フィールドの日付範囲検索など、コンパレータで複数の値が必要な場合は、複数の検索基準を指定できます。複数の検索基準を指定する場合は、検索操作に対して「AND」または「OR」論理積演算子を指定する必要があります。
「拡張検索」ページでサポートされる検索コンパレータは、Oracle Identity Managerに事前定義されています。各コンパレータでは、サポートする属性の種類(データ型)、および必要な入力データ・フィールドの数を指定します。
表11-3に、拡張検索でサポートされているコンパレータを示します。
すべて: 検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: 検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
検索可能な属性によって、「拡張検索」ページで使用できる属性のセットを定義します。検索基準を作成するときは、このベース・リストから検索対象の属性を選択できます。
デフォルトで「拡張検索」ページに表示されるのは、表11-4の「デフォルト・フィールド」に示す検索可能な属性のサブセットのみです。検索可能な属性をページに追加するには、「フィールドの追加」機能を使用します。属性ごとに、サポートするコンパレータも指定します。
表11-4 デフォルトの検索属性
属性 | 使用可能なコンパレータ | デフォルト・フィールド |
---|---|---|
表示名 |
次で始まる、次と等しい |
はい |
ユーザー・ログイン |
次で始まる、次と等しい |
はい |
名 |
次で始まる、次と等しい |
はい |
姓 |
次で始まる、次と等しい |
はい |
アイデンティティ・ステータス |
次と等しい、次と等しくない |
はい |
組織 |
次と等しい、次で始まる |
はい |
電子メール |
次で始まる、次と等しい |
はい |
開始日 |
次と等しい、次より前、次より後、範囲 |
はい |
終了日 |
次と等しい、次より前、次より後、範囲 |
はい |
注意: ユーザー管理構成には、検索可能な属性を構成できます。 拡張検索用に構成した検索可能な属性は、「検索可能」プロパティが「はい」にマークされているユーザー・エンティティに対して定義した属性のサブセットである必要があります。 |
検索結果表は「拡張検索」ページと同じタブに表示されるため、ユーザーは検索で使用した問合せとともにその検索結果を表示できます。右ペインの表は常に、完全な検索結果表として表示されます。
検索で返された情報が多すぎる場合は、検索結果表の1つ以上の列を非表示にできます。たとえば、表に20列ある場合は、最も重要な8列のみを表示すると、あまり重要でない情報をスクロールする必要がなくなります。
1つ以上の列を非表示にするには、「検索結果」ペインを開き、「表示」をクリックして、非表示にする列の選択を解除します。特定の表ビューでは、現在非表示になっている列の数を示すステータス・メッセージが、すべての検索表の下部に表示されます。図11-3は、ユーザーが3つの列を非表示にしていることを示します。
削除されたユーザーは検索結果で返されませんが、ユーザーが「拡張検索」ページで「ステータス」属性を明示的に選択し、「ステータス」に「削除」値を指定した場合を除きます。その場合は、削除されたユーザーも検索結果の一部として返されます。
拡張検索操作を実行して検索結果を表示する手順は、次のとおりです。
Oracle Identity Manager管理の「ようこそ」ページで、「ユーザー」の下にある「拡張検索 - ユーザー」をクリックします。または、「管理」をクリックし、「参照」タブの下で「拡張検索: ユーザー」をクリックします。
「すべて」または「いずれか」論理積演算子を選択します。これらの演算子については、「論理積演算子」を参照してください。
フィールドに検索基準を指定します。検索基準にはワイルドカード文字(*)を使用できます。パフォーマンス上の理由から、先頭(接頭辞)のワイルドカードは削除されます。フィールドの横にあるリストから検索コンパレータを選択します。拡張検索のコンパレータについては、「表11-3 拡張検索のコンパレータ」を参照してください。
注意: 「アイデンティティ・ステータス」フィールドでアスタリスク・ワイルドカード文字(*)を使用した場合は、「アクティブ」、「無効」および「開始日まで無効」ステータスのユーザーのみが返され、「削除」ステータスのユーザーは返されません。「削除」ステータスのユーザーを検索するには、「アイデンティティ・ステータス」フィールドに「削除」と入力する必要があります。 |
検索基準にフィールドを追加するには、「フィールドの追加」をクリックし、リストからフィールド名を選択します。
「検索」をクリックします。図11-4に示すように、検索基準に一致するユーザー・レコードが検索結果表に表示されます。
「ユーザーの作成」ページを使用して、Oracle Identity Managerに新規ユーザーを作成できます。このページは、Oracle Identity Managerの組織において、ユーザーの作成権限に関する認可ポリシーでユーザーを作成する権限が付与されている場合のみ開くことができます。
ユーザーを作成する手順は、次のとおりです。
Oracle Identity Manager管理にログインします。
「ユーザーの作成」ページを開きます。これを行うには、次のいずれかを実行します。
「ようこそ」ページで、「ユーザー」の下にある「ユーザーの作成」をクリックします。
ツールバーにある「管理」タブをクリックし、「ようこそ」ページで、「ユーザー」の下にある「ユーザーの作成」をクリックします。
「検索結果」タブをクリックし、「アクション」メニューから「ユーザーの作成」を選択します。
「検索結果」タブで、ツールバーにある「ユーザーの作成」アイコンをクリックします。
「ユーザーの作成」ページには、ユーザー・プロファイル属性の入力フィールドが表示されます。「ユーザーの作成」ページに表示される属性は、ユーザー管理構成での「ユーザーの作成」ページの構成によって決まります。この構成で、ユーザー・エンティティに対して定義された各属性は「ユーザーの作成」ページで使用可能とマークされます。
関連項目: 「ユーザーの作成」ページの構成については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのユーザー属性の構成に関する項を参照してください。 |
「ユーザーの作成」ページに、ユーザーの詳細を入力します。表11-5に、「ユーザーの作成」ページのフィールドを示します。
表11-5 「ユーザーの作成」ページのフィールド
セクション | フィールド | 説明 |
---|---|---|
基本ユーザー情報 |
名 |
ユーザーの名。 |
ミドル・ネーム |
ユーザーのミドル・ネーム。 |
|
姓 |
ユーザーの姓。 |
|
Design Consoleのアクセス |
ユーザーのOIMユーザー・タイプ。有効な値は「エンドユーザー」と「エンドユーザー管理者」で、この2つの値のいずれかになります。OIMユーザー・タイプによって、ユーザーがOracle Identity Manager Design Consoleにログインできるかどうかが決まります。「Design Consoleのアクセス」チェック・ボックスが選択され、ユーザー・タイプが「エンドユーザー管理者」の場合、そのユーザーはDesign Consoleにアクセスできます。 |
|
電子メール |
ユーザーの電子メール・アドレス。 |
|
マネージャ |
ユーザーのレポート・マネージャ。 |
|
組織 |
ユーザーが所属する組織。 |
|
ユーザー・タイプ |
従業員のタイプ(フルタイムの従業員、インターン、契約者、パートタイムの従業員、コンサルタント、派遣社員など)。 |
|
表示名 |
ローカライズされた値で、追加するには「ローカライゼーションの管理」をクリックし、言語リストから値を選択します。表示名は33の言語で表示可能です。 |
|
アカウント設定 |
ユーザー・ログイン |
管理コンソールにログインするために指定するユーザー名。 |
パスワード |
管理コンソールにログインするために指定するパスワード。 |
|
パスワードの確認 |
確認のために再入力するパスワード。 |
|
アカウントの有効日 |
開始日 |
ユーザーがシステムでアクティブ化される日付。 |
終了日 |
ユーザーがシステムで非アクティブ化される日付。 |
|
プロビジョニング日 |
プロビジョニング日 |
ユーザーがシステムにプロビジョニングされる日付。 |
プロビジョニング解除日 |
ユーザーがシステムからプロビジョニング解除される日付。 |
|
その他のユーザー属性 |
国 |
ユーザーが常駐する国。 |
部門番号 |
ユーザーの部門番号。 |
|
共通名 |
ユーザーの共通名。 |
|
従業員番号 |
ユーザーの従業員番号。 |
|
FAX |
ユーザーのFAX番号。 |
|
生成修飾子 |
ユーザーが生成に適格かどうか。 |
|
入社日 |
ユーザーの入社日。 |
|
自宅電話番号 |
ユーザーの自宅電話番号。 |
|
地方名 |
ユーザーが常駐する地方の名前。 |
|
モバイル |
ユーザーのモバイル番号。 |
|
ページャ |
ユーザーのページャ番号。 |
|
自宅住所 |
ユーザーの自宅住所。 |
|
住所 |
ユーザーの住所。 |
|
郵便番号 |
ユーザーの住所の郵便番号。 |
|
私書箱 |
ユーザーの住所の私書箱番号。 |
|
都道府県 |
ユーザーの都道府県名。 |
|
番地 |
ユーザーが常駐する住所の番地。 |
|
電話番号 |
ユーザーの住所の電話番号。 |
|
役職 |
ユーザーの役職。 |
|
イニシャル |
ユーザーのイニシャル。 |
ユーザー、組織、ロールなどのエンティティを作成または更新するためのページでは、複数の言語で属性値を入力できます。
ユーザー情報を入力した後に、「保存」をクリックしてユーザーを作成します。
ヒント: ユーザーは次のいずれかの方法で作成できます。
前述のすべての方法について、Oracle Identity Managerでは、デフォルト・パスワード・ポリシー、またはデフォルト・ルールに対するパスワード・ポリシーが使用されます。別のパスワード・ポリシーを使用する場合は、Design Consoleを使用して、新しいパスワード・ポリシーをデフォルト・ルールに付加する必要があります。これを行う場合は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのパスワード・ポリシーの管理に関する項を参照してください。 |
ユーザーの表示操作では、「ユーザーの詳細」ページで詳細なユーザー・プロファイル情報を表示できます。このページは、認可ポリシーでユーザー詳細の表示権限によりユーザーのプロファイルを表示する権限が付与されている場合に開くことができます。ユーザーの変更権限がある場合は、このページを使用してユーザーを変更できます。
ユーザーの詳細を表示するには、次のいずれかを実行します。
単純検索の検索結果表で「ユーザー・ログイン」リンクをクリックします。
単純検索および拡張検索の両方について、ユーザーの検索結果表でレコードを選択し、「アクション」メニューの「ユーザーの変更」を選択します。または、ツールバーにある「ユーザーの変更」をクリックします。
表示および変更操作については、次の各項で説明します。
ユーザー・エンティティの「ユーザーの詳細」ページは、構成および認可に基づいて自動生成されます。このページは次のタブで構成されています。
このタブには、基本ユーザー情報、アカウント設定およびその他のユーザー属性に関する詳細を含めて、属性プロファイルが表示されます。属性プロファイル情報を変更するには、任意のフィールドを変更して「適用」をクリックします。
このページで加えた変更を取り消すには、「元に戻す」をクリックします。
このタブには、ユーザーが属するロールのリストが表示されます。各ロールをクリックすると、そのロールのサマリー情報を表示できます。リスト内の各ロールに関して、次の情報が表示されます。
表示名: UIに表示される名前。
ロール名: ユーザーに割り当てられたロールの名前。
ロール・ネームスペース: ロールが割り当てられているネームスペース。
説明: ロールの説明。
「ロール」タブでは、ユーザーにロールを割り当てたり、ユーザーからロールを削除できます。詳細は、「ロールの追加と削除」を参照してください。
このセクションには、ユーザーにプロビジョニングされたリソースのリストが表示されます。リスト内の各リソースに関して、次の情報が表示されます。
リソース名: ユーザーに割り当てられたリソースの名前
リクエストID: プロビジョニング済インスタンスがリクエストに関連付けられている場合
サービス・アカウント: アカウントがサービス・アカウントとしてプロビジョニングされた場合は「はい」、そうでない場合は「いいえ」。
説明: プロビジョニング済インスタンス(ある場合)の説明
タイプ: リソースのタイプ
ステータス: リソースのステータス(「プロビジョニング済」、「有効」、「無効」など)
プロビジョニング日: リソースがユーザーにプロビジョニングされた日付。
このタブには、ユーザーに現在設定されているすべてのプロキシが表示されます。リスト内の各プロキシに関して、次の情報が表示されます。
プロキシ名: プロキシ・ユーザーの表示名
開始日: プロキシ・ユーザーの開始日
終了日: プロキシ・ユーザーの終了日
ステータス: プロキシ・ユーザーのステータス
関係: プロキシ・ユーザーとオープン・ユーザー(マネージャなど)の関係
最終更新: プロキシ・ユーザーが最後に更新された日付
このセクションには、終了日が表示されたユーザーのプロキシ情報の履歴も表示されます。「現行のプロキシ」には、ユーザーの現行のプロキシが表示されます。「過去のプロキシ」には、ユーザーのプロキシ履歴が表示されます。「過去のプロキシ」表に「ステータス」列は表示されません。
プロキシ情報が表示された表で行を選択すると、プロキシに関するサマリー情報が表示され、プロキシ名、ユーザーとの関係、開始日および終了日を編集できます。
「プロキシ」タブでは、ユーザーにプロキシを追加したり、ユーザーからプロキシを削除できます。プロキシの追加および削除については、「プロキシの詳細の変更」を参照してください。
このタブには、このユーザーをマネージャとして設定しているユーザーの読取り専用の表が表示されます。つまり、このタブには、ユーザーの直属の部下がリストされます。表内の各ユーザーに関して、次の情報が表示されます。
表示名
ユーザー・ログイン
ステータス
組織
表で行を選択すると、直属の部下に関するサマリー情報が下部に表示されます。
「直属の部下」では、直属の部下のユーザー詳細を開くことができます。これを行うには、直属の部下の表で行を選択し、「アクション」メニューから「ユーザーを開く」を選択します。または、ツールバーにある「ユーザーを開く」をクリックします。
このタブには、ユーザーが要求したリクエスト(ユーザーがリクエスタの場合)、およびユーザーに対して要求されたリクエスト(ユーザーがターゲット・ユーザーの受益者の場合)が表示されます。各リクエストに関して、次の詳細が表示されます。
リクエストID: リクエストを一意に識別するためのID
モデル名: リクエストのモデル名
ステータス: リクエストの現在の状況が表示されます
リクエスト者: リクエストを要求したリクエスタ
親ID: リクエストが子リクエストの場合、親リクエスト(ある場合)のID
リクエスト日: リクエストが作成された日付
このタブでは、リクエストIDをクリックして、リクエストの詳細を開くことができます。
ユーザー詳細から管理ユーザー変更タスクを実行できます。変更はユーザー詳細が表示されているページの複数のタブで個別に行うため、各タブで実行した変更は他のタブに影響を与えず、変更内容は個別に保存する必要があります。各タブで実行できる変更について、次の各項で概略を説明します。
属性プロファイル情報は、「ユーザーの詳細」ページの「属性」タブに表示されます。属性プロファイルを変更するには、「属性」タブでフィールドを編集し、「適用」をクリックします。
ロールを追加するには:
「ロール」タブで、「アクション」メニューから「ロールの割当て」を選択します。または、ツールバーにある「ロールの割当て」をクリックします。「ロールの割当て先: ユーザー」ウィンドウが表示されます。
「ロールの検索」リストから、ロールのタイプ、つまりロール・カテゴリを選択します。デフォルトのロール・カテゴリは「OIMロール」と「デフォルト」です。また、カスタムのロール・カテゴリを作成できます。ロール・カテゴリの詳細は、「ロール・カテゴリの作成と管理」を参照してください。
次のフィールドで検索を実行できます。
表示名
名前
ロール・ネームスペース
「すべて」または「いずれか」論理積演算子を選択します。これらの演算子については、「論理積演算子」を参照してください。
検索フィールドに検索基準を入力します。検索基準にアスタリスク(*)ワイルドカード文字を指定できます。次に、「検索」アイコンをクリックします。選択したカテゴリに属するすべてのロールが「使用可能なロール」リストに表示されます。
「使用可能なロール」リストから1つまたは複数のロールを選択します(連続した行を選択する場合は[Shift]を押しながらクリック、連続していない行を選択する場合は[Ctrl]を押しながらクリックします)。次に、「移動」または「すべて移動」ボタンをクリックして、選択したロールを「割当て対象ロール」リストに移動します。
「OK」をクリックします。確認メッセージが表示され、選択したロールがユーザーに割り当てられます。
「ロール」タブでは、リストから1つまたは複数のロールを選択して削除できます。ロールを削除するには、次のようにします。
削除するロールを1つまたは複数選択します。
「アクション」メニューから「ロールの失効」を選択します。または、ツールバーにある「ロールの失効」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックします。ロールの割当てが成功すると、「ユーザーの詳細」ページに成功のメッセージが表示されます。
「リソース」タブでは、リストから1つまたは複数のリソースを選択して、リソースの追加と削除、リソースの有効化と無効化、リソースの詳細と履歴の表示など、様々な操作を実行できます。
ユーザーにリソースを追加する手順は、次のとおりです。
「リソース」タブで、「アクション」メニューから「追加」を選択します。または、ツールバーにある「リソースの追加」をクリックします。「ユーザーへのリソースのプロビジョニング」ウィザードが表示されます。
「ステップ1: リソースの選択」ページで、プロビジョニングするリソースを選択します。
「続行」をクリックします。「ステップ2: リソースの選択の検証」ページが表示されます。このページには、ターゲット・ユーザーへのプロビジョニング対象として選択したリソースが表示されます。
「続行」をクリックします。「ステップ3: プロセス・データ」ページが表示されます。
フィールドに値を入力して、選択したリソースに関する情報を指定します。
「続行」をクリックします。「ステップ4: プロセス・データの検証」ページに、リソースに関する詳細が表示されます。
図11-5は「ステップ4: プロセス・データの検証」ページを示しており、ユーザーJohn Doe(ユーザーIDはJohnD)にプロビジョニングされたE-Business SuiteユーザーTCA Foundationリソースのサンプル値が表示されています。
このページに表示される情報を編集するには、ページの右上隅にある「編集」をクリックします。「ステップ3: プロセス・データの指定」ページが表示され、プロセス・データを編集できます。終了後、「続行」をクリックして「ステップ4: プロセス・データの検証」ページに戻ります。
すべての情報を確認して、「続行」をクリックします。
警告: 「続行」をクリックする前に、必ずプロセス・データを確認してください。これは、「続行」をクリックするとプロビジョニングが開始されるためです。 |
「続行」をクリックすると、選択したリソースのユーザーへのプロビジョニングが開始されます。プロビジョニングが開始されたことを示すメッセージが表示されます。
ユーザーからリソースを削除する手順は、次のとおりです。
「リソース」タブで、削除するリソースを選択します。
「アクション」メニューから「リソースの削除」を選択します。または、ツールバーにある「失効」をクリックします。確認メッセージが表示されます。
「OK」をクリックします。リソースが削除され、成功のメッセージが表示されます。
リソースを有効化できるのは、選択したリソースのステータスが「無効」または「プロビジョニング済」の場合です。リソースを有効化する手順は、次のとおりです。
「リソース」タブで、有効化するリソースを選択します。
「アクション」メニューから「有効化」を選択します。確認メッセージが表示されます。
「OK」をクリックします。リソースが有効化され、成功のメッセージが表示されます。
リソースを無効化できるのは、選択したリソースのステータスが「有効」の場合です。リソースを無効化する手順は、次のとおりです。
「リソース」タブで、無効化するリソースを選択します。
「アクション」メニューから「無効化」を選択します。確認メッセージが表示されます。
「OK」をクリックします。リソースが無効化され、成功のメッセージが表示されます。
リソースの詳細を表示する手順は、次のとおりです。
「リソース」タブで、詳細を表示するリソースを選択します。
「アクション」メニューから「開く」を選択します。ページにリソースの詳細が表示されます。このページで、リソースの詳細を編集できます。変更終了後、「保存」をクリックします。
リソース履歴を表示する手順は、次のとおりです。
「リソース」タブで、履歴を表示するリソースを選択します。
「アクション」メニューから「リソース履歴」を選択します。ページにリソースのプロビジョニングの詳細が表示されます。詳細には、タスク名、タスク詳細、割当て日、およびタスクが割り当てられるユーザーが含まれます。また、「再試行」チェック・ボックスも表示されます。失敗したすべてのタスクを再試行するには、これを選択する必要があります。
「プロキシ」タブでは、プロキシを追加したり、リストから1つまたは複数のプロキシを選択して次の操作を実行できます。
プロキシの編集(単一ユーザーが選択されている場合のみ)
プロキシの削除
プロキシを追加する手順は、次のとおりです。
「プロキシ」タブで、「アクション」メニューから「追加」を選択します。「プロキシの追加」ダイアログ・ボックスが表示されます。
「プロキシ名」フィールドで、適切なプロキシを選択します。プロキシには任意のユーザーを指定できます。「プロキシ名」フィールドの下にある検索フィールドでプロキシ・ユーザーの名前を検索するか、または「マネージャ」を選択してマネージャをプロキシとして追加します。
プロキシが代理で機能する開始日と終了日を指定します。
「OK」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックします。プロキシが割り当てられたことを示す確認メッセージが表示されます。
プロキシを削除するには、「プロキシ」タブでプロキシを選択し、「プロキシの削除」をクリックします。
プロキシの詳細を変更する手順は、次のとおりです。
プロキシ情報が表示されている表で行を選択します。ページの下部に、プロキシの詳細が表示されます。
フィールドを編集して、プロキシ情報を変更します。
「保存」をクリックします。
単一ユーザーに対するユーザー管理操作は、ユーザーの詳細が表示されているページから実行できます。操作は次のとおりです。
この操作は、ユーザー・ステータスが「無効」の場合のみ実行できます。ユーザーを有効化する手順は、次のとおりです。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「ユーザーの有効化」を選択します。または、ツールバーにある「ユーザーの有効化」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「ユーザーの有効化」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックして処理を確認します。ユーザーが有効化されたことを示す確認メッセージが表示されます。
「ユーザーの詳細」ページからユーザーを有効化する場合は、正常に終了すると「属性」タブがリフレッシュされます。この操作をユーザー・リスト(単純検索や拡張検索の結果など)から実行すると、リスト内の対応する行がリフレッシュされます。
この操作は、ユーザー・ステータスが「有効」の場合のみ実行できます。ユーザーを無効化する手順は、次のとおりです。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「ユーザーの無効化」を選択します。または、ツールバーにある「ユーザーの無効化」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「ユーザーの無効化」をクリックします。確認を求めるメッセージ・ボックスが表示されます。
「OK」をクリックして処理を確認します。ユーザーが無効化されたことを示す確認メッセージが表示されます。
「ユーザーの詳細」ページからユーザーを無効化する場合は、正常に終了すると「属性」タブがリフレッシュされます。この操作をユーザー・リスト(単純検索や拡張検索の結果など)から実行すると、リスト内の対応する行がリフレッシュされます。
この操作は、ユーザー・アカウントがロック解除されている場合のみ実行できます。ユーザーをロックする手順は、次のとおりです。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「アカウントのロック」を選択します。または、ツールバーにある「アカウントのロック」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「アカウントのロック」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックします。ユーザーが正常にロックされたことを示す確認メッセージが表示されます。
「ユーザーの詳細」ページからアカウントをロックする場合は、正常に終了すると「属性」タブがリフレッシュされます。この操作をユーザー・リスト(単純検索や拡張検索の結果など)から実行すると、リスト内の対応する行がリフレッシュされます。
この操作は、ユーザー・アカウントがロックされている場合のみ実行できます。ユーザーをロック解除する手順は、次のとおりです。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「アカウントのロック解除」を選択します。または、ツールバーにある「アカウントのロック解除」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「アカウントのロック解除」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックします。ユーザーが正常にロック解除されたことを示す確認メッセージが表示されます。
「ユーザーの詳細」ページからアカウントをロック解除する場合は、正常に終了すると「属性」タブがリフレッシュされます。この操作をユーザー・リスト(単純検索や拡張検索の結果など)から実行すると、リスト内の対応する行がリフレッシュされます。
次のいずれかを実行して、ユーザーのパスワードをリセットできます。
パスワードを手動で生成: ユーザーがパスワードを忘れたためヘルプデスクに連絡してきた場合など、パスワードをすぐにリセットする必要がある場合は、ユーザーのパスワードを手動でリセットできます。ヘルプデスクではパスワードを入力することによって即時にパスワードをリセットでき、ユーザーは新しいパスワードを使用してログインできます。この方法によって、ユーザーは電子メールによる通知を待つより迅速に問題を解決できます。
ランダム・パスワードの生成: ターゲット・ユーザー以外のユーザー(たとえば、管理者)がパスワードをリセットする必要がある場合、ランダム・パスワードを生成すると、パスワードを変更したユーザーは新しいパスワードがわからないため便利です。ランダム・パスワードは次の場合に生成できます。
ユーザーがパスワードを忘れたため、パスワードをリセットする必要があります。
パスワードの有効期限が切れました。ユーザーがロックされました。
ユーザーがロックされました。
このような場合、パスワードをリセットすると、Oracle Identity Managerでは指定のパスワード・ポリシーに準拠した新しいランダム・パスワードを自動的に生成できます。また、パスワードをリセットするとき、管理者はチェック・ボックスを選択して、ユーザーにパスワード変更を通知する電子メールを送信することもできます。この方法によって、他人が簡単に推測できない一時的なパスワードをランダムに生成できます。ランダム・パスワードを生成した後、ユーザーは次のログイン時に、ランダム生成されたパスワードをリセットするように要求されます。
ユーザーのパスワードをリセットする手順は、次のとおりです。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「パスワードのリセット」を選択します。または、ツールバーにある「パスワードのリセット」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「パスワードのリセット」をクリックします。図11-6に示すように、「パスワードのリセット」ダイアログ・ボックスが表示されます。
ユーザーのパスワードを手動で変更する手順は、次のとおりです。
「パスワードを手動で変更」オプションを選択します。
「新規パスワード」フィールドに、「パスワード・ポリシー」セクションに表示されたパスワード・ポリシーに準拠する新しいパスワードを入力します。
「パスワード・ポリシー」セクションには、ユーザーに割り当てられたパスワード・ポリシーが表示されます。パスワード・ポリシーが定義されていない場合、このセクションにパスワード・ポリシーは表示されません。パスワード・ポリシーについては、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのパスワード・ポリシーの管理に関する項を参照してください。
「新規パスワードの確認」フィールドに、パスワードを再入力します。
ランダム・パスワードを生成するには、「パスワードの自動生成(ランダム生成)」オプションを選択します。
新規パスワードがユーザーに電子メールで送信されるように、「新規パスワードをユーザーに電子メールで送信します。」オプションが選択されていることを確認します。
「パスワードのリセット」をクリックします。パスワードが正常に変更されたことを示す確認メッセージが表示されます。
ヒント: ユーザーがパスワードを忘れた場合は、パスワードを取得するためのチャレンジ質問がユーザーに提示されます。ユーザーは、パスワードの作成時に指定したのと同じ回答を入力する必要があります。ユーザーに対するチャレンジ質問は、Oracle Identity Manager Design Consoleを使用して構成できます。『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のユーザーに対するチャレンジ質問の構成に関する項を参照してください。 |
この操作は、ユーザー・ステータスが「削除」でない場合のみ実行できます。
ユーザーが現在は無効で、「自動削除日」属性が将来の日付に設定されている場合、無効化操作は失敗し、ユーザーは将来の日付に削除されるように現在スケジュールされているため削除できないことを示すメッセージが表示されます。
Oracle Identity Manager管理の左ペインにあるユーザー検索結果で、ユーザーを選択します。または、拡張検索の検索結果からユーザーを選択します。さらに、この操作は、ユーザーの詳細が表示されているページからも実行できます。
「アクション」メニューから「ユーザーの削除」を選択します。または、ツールバーにある「ユーザーの削除」アイコンをクリックします。ユーザーの「ユーザーの詳細」ページを開いている場合は、ツールバーにある「ユーザーの削除」をクリックします。確認を求めるメッセージが表示されます。
「OK」をクリックします。ユーザーが正常に削除されたことを示す確認メッセージが表示されます。
「OK」をクリックしてメッセージ・ボックスを閉じます。
「ユーザーの詳細」ページからユーザーを削除する場合は、正常に終了すると「属性」タブがリフレッシュされます。この操作をユーザー・リスト(単純検索や拡張検索の結果など)から実行すると、リスト内の対応する行がリフレッシュされます。
削除操作によってユーザーを即時に削除しない場合があります。かわりに、削除操作では、事前定義された期間内はユーザーを無効にし、その期間中は削除操作を取り消すことができるようにします。事前定義された期間を経過すると、ユーザーは削除されます。これを遅延削除と呼びます。
Oracle Identity Managerで遅延削除を構成するには、「遅延ユーザー削除までの期間」構成プロパティを定義して、削除操作を保留する事前定義の待機期間を指定します。遅延削除を構成しない場合は、ユーザー削除の遅延期間構成プロパティの値を0または負の数値に設定します。ユーザーが削除された後、ユーザーが完全に削除される日時を指定した日付カウンタがあるユーザー・エンティティを無効化する場合は、ユーザー削除の遅延期間構成プロパティの値を0より大きい数値に設定します。
注意: 遅延削除を構成する手順は、次のとおりです。
システム・プロパティの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。 |
遅延削除の結果は次のとおりです。
「無効化」ステータスは通常の無効化操作と同様で、ユーザーはOracle Identity Managerにログインできず、プロビジョニングされたリソースは無効化されます。
ユーザーが「無効化」ステータスの場合は、そのユーザーを有効化すると削除操作は取り消されます。ユーザーが削除される日付はユーザー・プロファイルに表示されます。
ユーザーが無効化されたままで事前定義された期間を経過すると、ユーザーはその時点で削除されます。
バルク操作は、単純検索および拡張検索の検索結果から実行できます。複数のユーザーを選択し、「アクション」メニューから使用可能なオプションを選択できます。次のバルク操作を実行できます。
ユーザーの有効化: 選択したすべてのユーザーが「無効」状態の場合
ユーザーの無効化: 選択したすべてのユーザーが「有効」状態の場合
ユーザーのロック: 選択したすべてのユーザーが「ロック解除」状態の場合
ユーザーのロック解除: 選択したすべてのユーザーが「ロック」状態の場合
ユーザーの削除: 選択したすべてのユーザーが「削除」状態でない場合
注意: すべてのバルク変更操作について、認可が必要であり、複数のユーザーを選択する必要があります。 |
「バルク変更」ページを使用すると、複数のユーザーを同時に変更できます。このページは、Oracle Identity Managerの組織において、認可ポリシーでユーザー・プロファイルの変更権限によりユーザーを変更する権限が付与されている場合に開くことができます。
「バルク変更」ページは、次のいずれかの方法で開くことができます。
ユーザー検索結果ページで、「アクション」メニューから「バルク変更」を選択し、複数のユーザーを選択します。
ユーザー検索結果ページで、ツールバーにある「バルク変更」を選択し、複数のユーザーを選択します。
表11-6に、「バルク変更」ページの各セクションにあるフィールドを示します。
表11-6 「バルク変更」ページのフィールド
セクション | フィールド | 説明 |
---|---|---|
基本ユーザー情報 |
Design Consoleのアクセス |
ユーザーがDesign Consoleにログインできるかどうかを指定する「Design Consoleのアクセス」チェック・ボックス。 |
マネージャ |
選択したユーザーのレポート・マネージャ。 |
|
組織 |
選択したユーザーが所属する組織。 |
|
ユーザー・タイプ |
選択した従業員のタイプ(フルタイムの従業員、インターン、契約者、パートタイムの従業員、コンサルタント、派遣社員など)。 |
|
アカウントの有効日 |
開始日 |
選択したユーザーがシステムでアクティブ化される日付。 |
終了日 |
選択したユーザーがシステムで非アクティブ化される日付。 |
|
プロビジョニング日 |
プロビジョニング日 |
ユーザーがプロビジョニングされる日付。 |
プロビジョニング解除日 |
ユーザーがプロビジョニングされる日付。 |
「バルク変更」ページにフィールドとして表示されるのは、ユーザー管理構成で変更操作の一部として構成された属性のみです。表示される属性は、ユーザー・エンティティ定義でバルク更新のサポート・プロパティを「はい」に設定して定義した属性に制限されます。さらに、変更権限がある選択済ユーザーに対して属性を指定する認可ポリシーに基づいて、属性がフィルタ処理されます。
権限は認可ポリシーに基づいています。たとえば、認可ポリシーで、あるユーザーは名のみ変更でき、別のユーザーは姓のみ変更できると定義されている場合は、選択したユーザーに基づいてこれらのユーザーの姓名と属性を選択してページに表示しようとしても、表示されるフィールドがない場合があります。その結果、「バルク変更」ページには、選択したユーザーの属性を一括で変更できないため、ユーザーの選択項目を変更する必要があることを示すエラー・メッセージが表示されます。
ランタイム・セキュリティは、認可ポリシーを使用してユーザー管理サービスに適用されます。Oracle Identity Managerの各ロールは、1つ以上の認可ポリシーに関連付けることができます。ロールのメンバーであるユーザーには、関連付けられた認可ポリシーによってロールに付与された権限に基づいて、様々なユーザー・タスクを実行する権限が付与されます。1名のユーザーが複数のロールを持つ場合があるため、割り当てられた複数のロールの権限が累積されてユーザーの権限になります。
アクセス制御は、Oracle Entitlements Server (OES)で管理される認可ポリシーの形式で実装されます。これらのポリシーでは、ロールおよびターゲットに関する制御を定義します。ターゲットとは、権限、エンティティおよびエンティティ属性の組合せです。
ユーザーに、同じ状況で異なる認可ポリシーが適用可能な複数のロールがある場合、そのユーザーのアクセス権はポリシー間の権限の累積になります。つまり、読取り権限を持つポリシーがロールに付与され、書込み権限を持つポリシーが別のロールに付与されている場合、両方のロールを持つユーザーは読取り権限と書込み権限を持ちます。
認可モデルについては、次の各トピックで説明します。
すべての認可権限は、認可ポリシーによって制御されます。Oracle Identity Managerでは、アプリケーションで各種操作を実行するために、アクセス権を制御する権限を明示的に定義します。
表11-7に、認可ポリシーの定義でロールに割り当てることができ、Oracle Identity Managerのユーザー管理機能で使用可能な認可権限を示します。
注意: エンティティ・インスタンス・レベルでは、すべての権限について、ログイン・ユーザーが権限を持つユーザーを決定する修飾子が必要です。 |
表11-7 ユーザー管理の認可権限
権限 | 説明 |
---|---|
ユーザーの検索 |
この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。この修飾子の定義については、第15章「認可ポリシーの管理」を参照してください。 注意:
検索操作用に、ユーザーが検索可能な対象を決定するためのデフォルト認可ポリシーが用意されています。ユーザー管理のデフォルト認可ポリシーについては、「ユーザー管理」を参照してください。 |
ユーザー詳細の表示 |
この権限は、検索結果表からユーザーの「ユーザーの詳細」ページを表示できるかどうかを決定します。 この権限では、次の詳細なアクセス制御がサポートされています。
注意: ユーザー詳細の表示権限では、ユーザーが表示できる詳細セクションを指定できません。この権限は、すべてのセクションを含む完全な「ユーザーの詳細」ページを表示できるかどうかを決定します。「ユーザーの詳細」ページが表示できる場合、この権限はユーザーの属性プロファイルに表示される属性を決定します。 |
ユーザー・プロファイルの変更 |
この権限は、「ユーザーの詳細」ページでユーザーのユーザー・プロファイル属性を変更できるかどうかを決定します。 この権限では、次の詳細なアクセス制御がサポートされています。
|
ユーザーへのリソースのプロビジョニング |
この権限は、「ユーザーの詳細」ページの「リソース・プロファイル」セクションでユーザーにリソースをプロビジョニングまたはプロビジョニング解除できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
ユーザー・プロキシ・プロファイルの変更 |
この権限は、「ユーザーの詳細」ページの「プロキシ詳細」セクションでユーザーのプロキシ詳細を変更できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
ユーザー・ステータスの変更 |
この権限は、ユーザーを有効化または無効化できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
OIMアカウント・ステータスの変更 |
この権限は、ユーザーをロックまたはロック解除できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
ユーザーの削除 |
この権限は、ユーザーを削除できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
パスワードの変更 |
この権限は、ユーザーのエンタープライズ・パスワードを変更できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
ユーザーの作成 |
この権限は、Oracle Identity Managerでユーザーを作成できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織に関して定義する必要があります。 |
アクセス・ポリシーの評価 |
この権限は、ユーザーのアクセス・ポリシー評価を必要なときに開始できるかどうかを決定します。 注意: オンデマンドのアクセス・ポリシー評価を開始するためのUI操作はありません。 |
ユーザー・リクエストの表示 |
この権限は、ユーザーに要求されたリクエストを表示できるかどうかを決定します。 |
ユーザー・パスワードの変更 |
この権限は、ユーザーのパスワードを変更できるかどうかを決定します。ログイン・ユーザーがこの権限を持つユーザーを決定する修飾子が必要です。この修飾子は、組織、ロール・メンバーシップまたは属性ベース・ルールに関して定義できます。 |
注意: ロール管理のロール・メンバーシップの変更権限は、ユーザーが「ユーザーの変更」ページの「ロール」タブからロール操作の追加または削除を実行できるかどうかを決定します。この権限の詳細は、「ロールに対する認可の管理」を参照してください。 |
属性に対する読取り/書込み権限は、表示操作または変更操作の際に実際に読取りまたは変更可能な属性のセットを定義します。
次のデータ制約は、ユーザー管理の認可ポリシーで使用されます。
組織のリスト: 割当て先の権限の範囲を、リストされた組織のみに制限します。組織メンバーシップは、認可ポリシーUIの「階層対応」オプションで制御できます。
「階層対応」オプションが「False」に設定されている場合、権限の範囲は組織の直接メンバーであるユーザーのみになります。たとえば、「開発センター」という組織があり、下位組織として「米国開発センター」と「中国開発センター」がある場合、権限の範囲は「開発センター」の直属のユーザーに適用されます。
「階層対応」オプションが「True」に設定されている場合、権限の範囲は、リストされている組織の直接メンバーであるユーザー、およびその組織の下位組織のメンバーであるユーザーに適用されます。たとえば、「開発センター」という組織があり、下位組織として「米国開発センター」と「中国開発センター」がある場合、権限の範囲はこれらすべての組織のユーザーに適用されます。
割当て先が同じ組織内: このフラグは、割当て先の権限の範囲を割当て先の組織のみに制限します。たとえば、ポリシーの組織リストが米国、中国およびカナダであるとします。このフラグが設定され、割当て先の組織が米国の場合、権限の範囲は米国組織のみに適用されます。
ユーザーの管理チェーン: このフラグは、割当て先の権限の範囲を、割当て先の直属の部下および間接的な部下のみに制限します。次に例を示します。
DR1、DR2およびDR3はM1の直属の部下です。
DR1_1、DR1_2、DR1_3およびDR1_4はDR1の直属の部下です。
DR2_1、DR2_2およびDR2_3はDR2の直属の部下です。
DR2_2_1およびDR2_2_2はDR2_2の直属の部下です。
「ユーザーの管理チェーン」オプションが選択されている場合、M1の権限の範囲は、DR1、DR2、DR3およびその直属の部下と間接的な部下すべてに適用されます。
ユーザーに、同じ状況で異なる認可ポリシーが適用可能な複数のロールがある場合、そのユーザーのアクセス権はポリシー間の権限の累積になります。
ユーザーの検索権限に対する認可チェックでは、責任のリストが返されます。これは、適用可能な各認可ポリシーからの責任のリストです。複数のポリシーからの責任が組み合されて、統合された検索結果が生成されます。
この項では、様々なユーザー管理操作に対する責任の処理方法を説明します。内容は次のとおりです。
検索操作に対して、次のタイプの責任があります。
組織のリスト: 組織のリストには、「階層対応」データ制約で制御される、組織の直接メンバーシップまたは間接メンバーシップのリストがあります。特殊な値として、Oracle Identity Managerの全組織のリストがあります。ログイン・ユーザーは、この組織セット内のみ検索できます。
同じ組織内: この責任は、ログイン・ユーザーが自分の組織内のユーザーのみを検索できることを意味します。
管理階層内: この責任は、ログイン・ユーザーが自分の管理階層内の全ユーザーを検索できることを意味します。
表示可能な属性: この責任には、認可された表示可能な属性のリストが含まれます。検索操作は、これらの属性に対してのみ実行できます。
ユーザーに検索権限を付与する認可ポリシーが複数ある場合、検索は次のように動作します。
ログイン・ユーザーによる検索が可能なユーザーは、各ポリシーによって検索権限が付与されたユーザーの集合になります。
検索結果の一部として返される属性は、各ポリシーによってユーザー詳細の表示権限が付与された属性の集合になります。
次の例を使用して説明します。
Policy1は、「名」、「姓」および「ミドル・ネーム」属性を返し、Policy2は「ユーザー・ログイン」、「ユーザー・タイプ」および「OIMユーザー・タイプ」属性を返します。両方のポリシーからの責任が適用されると、返される属性リストには、すべてのユーザーの「名」、「姓」、「ミドル・ネーム」、「ユーザー・ログイン」、「ユーザー・タイプ」および「OIMユーザー・タイプ」が含まれます。ユーザーが結果の一部として選択されているため、ポリシーはチェックされません。したがって、検索結果に機密データを表示する構成サービスからは属性を構成しないでください。
別の例では、検索操作に対して3つの認可ポリシーが定義されているとします。次の表に、サンプルの認可ポリシーの詳細を示します。
ポリシー名 | エンティティ名 | 権限 | データ制約 | 割当て |
---|---|---|---|---|
Policy1 |
ユーザー管理 |
検索 ユーザー・プロファイルの変更。属性には「名」、「姓」および「ミドル・ネーム」が含まれます。 ユーザー詳細の表示。属性には「表示名」、「名」、「姓」および「ミドル・ネーム」が含まれます。 |
ユーザーはOrg1およびOrg2組織のメンバー。階層対応(すべての子組織を含める) = True。 |
ロール: Role1 ユーザーの管理チェーン = FALSE 割当て先はユーザーの組織のメンバーである必要があります = True |
Policy2 |
ユーザー管理 |
検索 ユーザー・プロファイルの変更。属性には「ユーザー・タイプ」が含まれます。 ユーザー詳細の表示。属性には「ユーザー・ログイン」、「ユーザー・タイプ」および「OIMユーザー・タイプ」が含まれます。 |
ユーザーはOrg3組織のメンバー。階層対応(すべての子組織を含める) = FALSE。 |
ロール: Role2 ユーザーの管理チェーン = FALSE 割当て先はユーザーの組織のメンバーである必要があります = FALSE |
Policy3 |
ユーザー管理 |
検索 ユーザー・プロファイルの変更。属性には職種が含まれます。 ユーザー詳細の表示。属性には「ユーザー・ログイン」、「ユーザー・タイプ」、「OIMユーザー・タイプ」および職種が含まれます。 |
すべてのユーザー。 |
ロール: Role2 ユーザーの管理チェーン = True 割当て先はユーザーの組織のメンバーである必要があります = FALSE |
この例では、次のようになります。
Org1には、子組織としてOrg1Child1とOrg1Child2があります。
Org1Child1には、子組織としてOrg1Child1_Child1があります。
Org3には、子組織としてOrg3Child1とOrg3Child2があります。
次のシナリオを検討してください。
シナリオI:
User1はRole1のみを持ち、Org1Child1組織に所属しています。このユーザーは次のことができます。
Org1Child1組織のメンバーであるユーザーを検索します。検索は、ユーザー属性「名」、「姓」、「ミドル・ネーム」および「表示名」に基づいて実行でき、検索結果にこれらの属性のサブセットを表示できます。
Org1Child1組織のユーザー属性「名」、「姓」および「ミドル・ネーム」を変更します。
シナリオII:
User2はRole1とRole2を持ち、Org2組織に所属しています。User2には、直属の部下として、Org2組織に所属するDR1とDR2がいます。このユーザーは次のことができます。
Policy2に基づいて、Org3組織のユーザー属性「ユーザー・ログイン」、「ユーザー・タイプ」および「OIMユーザー・タイプ」を表示します。
Policy2に基づいて、Org3組織の「ユーザー・タイプ」属性を変更します。
Policy1に基づいて、Org2組織のユーザー属性「名」、「姓」および「ミドル・ネーム」を表示します。
Policy1に基づいて、Org2組織のユーザー属性「名」、「姓」および「ミドル・ネーム」を変更します。
Policy3に基づいて、ユーザーの直属の部下全員のユーザー属性「ユーザー・ログイン」、「ユーザー・タイプ」、「OIMユーザー・タイプ」および職種を表示します。
Policy3に基づいて、ユーザーの直属の部下全員の職種属性を変更します。
変更対象のユーザーがDR1の場合、変更可能な属性のリストには、Policy1に基づいて「名」、「姓」、「ミドル・ネーム」、およびPolicy3に基づいて職種が含まれます。
Org3の子組織であるOrg3Child1およびOrg3Child2のユーザーは、ユーザーの表示、変更および検索はできません。
これらのシナリオに基づいて、検索操作では、3つの認可ポリシーに従って表示可能な属性の集合がユーザーに表示されます。つまり、認可ポリシーに関係なく、ユーザーは検索結果で「ユーザー・ログイン」、「ユーザー・タイプ」、「OIMユーザー・タイプ」、「名」、「姓」、「ミドル・ネーム」、「表示名」および職種属性を確認できます。職種属性は、User2の直属の部下であるDR1とDR2だけでなく、すべてのユーザーに対して結果に表示されます。
ログイン・ユーザーが複数のポリシーの定義に従ってユーザー・プロファイルの変更を許可されている場合は、各ポリシーからの属性の集合を使用して操作を実行できます。適用可能な認可ポリシーが複数ある場合の変更操作に関する例については、「複数の認可ポリシーを使用する検索操作の認可」の「シナリオII」を参照してください。
Oracle Identity ManagerセルフサービスまたはOracle Identity Manager管理から、ユーザーを作成するリクエストを要求できます。リクエストの送信時には、次のようなシナリオが考えられます。
リクエストが保留中の間に、同じユーザー名で別のユーザー作成リクエストが送信されました。2番目のリクエストが承認されてユーザーが作成されると、1番目のリクエストは、ユーザー名がすでにOracle Identity Managerに存在するため、承認時に失敗します。
リクエストが保留中の間に、同じユーザー名の別のユーザーがLDAPアイデンティティ・ストアに直接作成されました。ユーザー作成リクエストが承認され、ユーザー・エンティティをLDAPにプロビジョニングするときに、同じユーザー名のエントリがすでにLDAPに存在するため、リクエストは失敗します。
これらの問題を回避するには、ユーザー作成リクエストが承認のために保留中の間、Oracle Identity ManagerとLDAPの両方でユーザー名を予約できます。同じユーザー名のユーザーを作成するリクエストが作成されると、エラー・メッセージが表示され、そのユーザー作成リクエストは作成されません。
ユーザー名を予約するには、次のことが必要です。
「ユーザー属性予約有効」システム・プロパティを「True」に設定して、機能を有効化する必要があります。システム・プロパティの検索と変更については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。
LDAPで予約が行われるのは、予約機能が有効化され、LDAPがOracle Identity Managerデータベースと同期化している場合のみです。Oracle identity ManagerとLDAPアイデンティティ・ストアの同期化については、「LDAPアイデンティティ・ストアとOracle Identity Managerの統合」を参照してください。
注意:
|
ユーザー属性の予約が有効な場合、予約は2つのフェーズで行われます。
最初のフェーズでは、エントリがOracle Identity Managerデータベースに作成され、ユーザーが予約コンテナに作成されます。Oracle Identity Managerデータベース内のこのエントリは、ユーザーが正常に作成された後、承認者によって却下された後、またはリクエストが失敗した後に削除されます。
2番目のフェーズでは、LDAPでユーザーが正常に作成されると、ユーザーが予約コンテナに移動します。他の状況(承認者による却下、リクエストの失敗など)の場合、ユーザーは予約コンテナから削除されます。
ユーザー作成リクエストがリクエスト・レベルおよび操作レベルで承認された後は、LDAPのユーザー名コンテナにユーザー名は予約されません。ユーザー名は、既存のユーザーが格納されているコンテナに移動します。また、ユーザーはOracle Identity Managerでも作成されます。
この項には、次の項目が含まれます。
Oracle Identity Managerでは、デフォルトで、ユーザー名の予約機能が有効化されます。これを行うには、「ユーザー属性予約有効」システム・プロパティの値を「True」に設定します。このシステム・プロパティの値は、Oracle Identity Manager管理の「システム構成」セクションで確認できます。
ユーザー名の予約を無効化する手順は、次のとおりです。
管理およびユーザー・コンソールにログインします。
拡張管理をクリックします。
「システム管理」をクリックします。
「システム構成」をクリックします。
左ペインで「検索」アイコンをクリックして、既存のすべてのシステム・プロパティを検索します。システム・プロパティのリストが検索結果表に表示されます。
「ユーザー属性予約有効」をクリックします。図11-7に示すように、選択したシステム・プロパティの「システム・プロパティ詳細」ページが表示されます。
「値」フィールドに「False」と入力します。
「保存」をクリックします。ユーザー名の予約機能が無効化されます。
ユーザー名ポリシーは、ユーザー名操作(ユーザー名の生成や検証など)のためのプラグイン実装です。ポリシーは、Oracle Identity Managerのプラグイン・フレームワークに従っています。独自のポリシーを追加するには、Oracle Identity Administrationの「システム構成」セクションで、新規プラグインを追加してデフォルト・ポリシーを変更します。
関連項目: プラグイン・フレームワークについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のプラグインの開発に関する項を参照してください。 |
ユーザー作成リクエストの場合、プラグインが起動するのはユーザー・ログインが入力されない場合のみです。この場合、起動されるプラグインは、「ユーザー名の生成に関するデフォルト・ポリシー」システム・プロパティから取得されます。
表11-8に、Oracle Identity Managerで提供される事前定義済のユーザー名ポリシーを示します。この表で、生成されるユーザー名に含まれるドル記号($)はランダムなアルファベットを示します。
表11-8 事前定義済のユーザー名ポリシー
ポリシー名 | 必要な情報 | 生成されるユーザー名 |
---|---|---|
oracle.iam.identity.usermgmt.impl.plugins.EmailUserNamePolicy |
電子メール |
電子メールを入力すると、電子メールがユーザー名として生成されます。 |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstInitialLocalePolicy |
名、姓およびロケール |
last name + first initial_locale、last name + middle initial + first initial_locale、last name + $ + first initial_locale(すべてのアルファベットからランダムな1文字)、last name + $$ + first initial_locale |
oracle.iam.identity.usermgmt.impl.plugins.FirstInitialLastNameLocalePolicy |
名、姓、ロケール |
first initial + lastname_locale、first initial + middle initial + first name_locale、first initial + $ + lastname_locale、first initial + $$ + lastname_locale |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstInitialPolicy |
名、姓 |
lastname+firstInitial、lastname+middleinitial+firstInitial、lastname+$+firstInitial(すべてのアルファベットからランダムな1文字)、lastname+$$+firstInitial |
oracle.iam.identity.usermgmt.impl.plugins.FirstInitialLastNamePolicy |
名、姓 |
firstInitial+lastname、firstInitial+middleInitial+firstname、firstInitial+$+lastname、firstInitial+$$+lastname |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicy |
名、姓 |
lastname.firstname、lastname.middleinitial.firstname、lastname.$.firstname(すべてのアルファベットからランダムな1文字)、lastname.$$.firstname |
oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicy |
名、姓 |
firstname.lastname、firstname.middleinitial.lastname、firstname.$.lastname(すべてのアルファベットからランダムな1文字)、firstname.$$.lastname |
oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy |
電子メール |
電子メールを入力すると、ユーザー名は電子メールに基づいて生成されます。電子メールを使用できない場合は、名と姓に基づき、ユーザー・ドメインを付加してユーザー名が生成されます。ユーザー・ドメインは「デフォルト・ユーザー名ドメイン」システム・プロパティとして構成され、デフォルト値は「@oracle.com」です。 |
oracle.iam.identity.usermgmt.impl.plugins.LastNamePolicy, |
姓 |
lastname、middle initial + lastname、$ + lastname、$$ + lastname |
oracle.iam.identity.usermgmt.impl.plugins.LastNameLocalePolicy |
姓、ロケール |
lastname_locale、middle initial + lastname_locale、$ + lastname_locale、$$ + lastname_locale |
oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForAD |
名、姓 |
firstname+lastname、firstnameの部分文字列+lastname+$、firstnameの部分文字列+lastnameの部分文字列+$ |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForAD |
姓、名 |
lastname+firstname、lastname+firstnameの部分文字列+$、lastnameの部分文字列+firstnameの部分文字列+$ |
ユーザー名生成形式のすべてのパラメータに対して値を入力する必要があります。入力されないパラメータがあると、Oracle Identity Managerでエラーが発生します。たとえば、firstname.lastnameポリシーが構成され、firstnameが入力されない場合は、次のエラーが表示されます: 「ユーザー名の生成中にエラーが発生しました。firstname.lastnameポリシーで必要なfirstnameを指定してください。」
UserManagerでは、ユーザー名操作用にAPIが公開されます。APIでは、ユーザー・データを入力として取得し、生成されたユーザー名を返します。APIでは、ユーザー名を返すプラグインをコールします。これによって、ユーザー名操作の実装で、デフォルト・ポリシーをカスタム・プラグインに置換できます。
注意:
|
次に示すように、プラグイン・インタフェースを実装して、独自のユーザー名ポリシーをプラグインできます。
package oracle.iam.identity.usermgmt.api; public interface UsernamePolicy { public String getUserNameFromPolicy(HashMap<String, String> reqData) throws UserNameGenerationException; public boolean isUserNameValid(String userName, HashMap<String, String> reqData); public String getDescription(Locale locale); }
このプラグイン・ポイントは、リクエスト・データを入力として取得し、ユーザー名を返すカーネル・プラグインとして公開されます。各プラグインでは情報の入力が必要で、入力された情報に基づいてユーザー名が生成されます。ポリシー実装によって、ユーザー名を生成してその可用性をチェックし、ユーザー名が使用できない場合は表11-8で説明した順序でポリシーに基づいて別のユーザー名を生成し、この手順を繰り返します。生成されるユーザー名に含まれるドル記号($)はランダムなアルファベットを示します。必要な情報が欠落している場合は、ポリシーでエラーが発生します。
ユーザー・マネージャでは、ユーザー名生成がパブリックAPIとして公開されています。Oracle Identity Managerでは、ユーザー名の生成機能にアクセスするためのユーティリティ・クラスが用意されています。ユーティリティ・メソッドが含まれるクラスを次に示します。
oracle.iam.identity.usermgmt.api.UserManager
このクラスによって、次の主要メソッドが公開されます。
//Method that will generate username based on default policy public String generateUserName(HashMap<String, String> requestData) throws UserNameGenerationException //Method that will generate username based on policy public String generateUserName(String policyID, HashMap requestData) throws UserNameGenerationException //Method that will check whether username is valid against default policy public boolean isUserNameValid(String userName, HashMap<String, String> reqData) //Method that will check whether username is valid against given policy public boolean isUserNameValid(String userName, String userNamePolicyPluginID, HashMap<String, String> requestData) //Method to return all policies (including customer written) public List<Map<String, String>> getAllUserNamePolicies(Locale locale) //Method that will return policy description in given locale public String getPolicyDescription(String policyID, Locale locale)
表11-9に、デフォルト・ユーザー名ポリシーのポリシーIDを表すためにUserManagerクラスに定義されている定数を示します。
表11-9 ポリシーIDを表す定数
ポリシー名 | 定数 |
---|---|
EmailUserNamePolicy |
EMAIL_ID_POLICY |
LastNameFirstInitialLocalePolicy |
FIRSTNAME_LASTNAME_POLICY |
FirstInitialLastNameLocalePolicy |
LASTNAME_FIRSTNAME_POLICY |
LastNameFirstInitialPolicy |
FIRSTINITIAL_LASTNAME_POLICY |
FirstInitialLastNamePolicy |
LASTNAME_FIRSTINITIAL_POLICY |
LastNameFirstNamePolicy |
FIRSTINITIAL_LASTNAME_LOCALE_POLICY |
FirstNameLastNamePolicy |
LASTNAME_FIRSTINITIAL_LOCALE_POLICY |
DefaultComboPolicy |
DEFAULT_COMBO_POLICY |
LastNamePolicy |
LASTNAME_POLICY |
LastNameLocalePolicy |
LASTNAME_LOCALE_POLICY |
FirstNameLastNamePolicyForAD |
FIRSTNAME_LASTNAME_POLICY_FOR_AD |
LastNameFirstNamePolicyForAD |
LASTNAME_FIRSTNAME_POLICY_FOR_AD |
ポリシー・クラスでは、コールされてユーザー名を生成するときに、「oracle.iam.identity.utils class.Constants」で定義されたキー定数を使用して、マップに属性値が設定されている必要があります。これは、パラメータに対して定義された適切な定数(たとえば、「FirstName」パラメータに対して定義された定数)を使用して、正しいパラメータ値が渡されてメソッドがコールされる必要があることを意味します。
デフォルト・ユーザー名ポリシーは、Oracle Identity Manager管理を使用して構成できます。手順は次のとおりです。
「システム構成」にナビゲートします。
すべてのシステム・プロパティを検索します。
「ユーザー名の生成に関するデフォルト・ポリシー」をクリックします。図11-8に示すように、選択したプロパティの「システム・プロパティ詳細」ページが表示されます。
デフォルト・ポリシー実装を取得するために、「XL.DefaultUserNameImpl」システム・プロパティが入力されています。これは、デフォルトでは、「値」フィールドに表示されているデフォルト・ユーザー名ポリシーの「oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy」をポイントします。
「値」フィールドに、「oracle.iam.identity.usermgmt.impl.plugins.POLICY」と入力します。ここで、POLICYはいずれかのポリシー実装です。
注意: すべてのプラグインは、/identity/metadata/plugin.xmlファイルを使用してOracle Identity Managerに登録される必要があります。サンプルのplugin.xmlファイルを次に示します。 <plugins pluginpoint="oracle.iam.identity.usermgmt.api.UserNamePolicy"> <plugin pluginclass="oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicy" version="1.0" name="LastNameFirstNamePolicy"/> </plugins> |
「保存」をクリックします。
ユーザー名は、次のシナリオで解放されます。
リクエストが承認され、ユーザーがOracle Identity Managerで正常に作成されてLDAPにプロビジョニングされると、予約表からユーザー名が削除されます。予約されていたユーザー名は、承認後にユーザーが正常に作成されると削除されます。LDAPで予約されていたエントリは削除され、実際のユーザーが作成されます。
リクエストが却下されると、LDAPおよびOracle Identity Managerで予約されていたユーザー名のエントリは削除されます。
Oracle Identity ManagerまたはLDAPでユーザーを作成中または作成前にリクエストが失敗すると、予約されていたユーザー名は削除されます。
LDAPとの同期が有効化されたOracle Identity Managerデプロイメントで、Microsoft Active Directory(AD)がデータ・ストアの場合、Oracle Identity Managerの「ユーザー・ログイン」属性はLDAPの「uid」属性にマップされ、さらに、その「uid」属性は「sAMAccountName」属性にマップされます。「sAMAccountName」属性は、ADベースのすべてのアプリケーションでログインとして使用されます。ADでは、「sAMAccountName」属性に格納される値に対してサポートされている最大長に制限があります。これは、20文字を超えることはできません。
Oracle Identity Managerでは、ユーザー作成時にユーザー名を入力として受け取り、ユーザー名が20文字を超えることも可能です。ADでは20文字を超えるユーザー名がサポートされていないため、Oracle Identity Managerでは、20文字以下のユーザー名が生成されるように構成できます。
ADがデータ・ストアとして使用されている場合は、「XL.DefaultUserNamePolicyImpl」システム・プロパティの値を次のいずれかに設定して、ユーザー名の自動生成を構成できます。
FirstNameLastNamePolicyForAD: 名の部分文字列を姓の部分文字列の接頭辞として付加することによって、ユーザー・ログインを生成します。
LastNameFirstNamePolicyForAD: 姓の部分文字列を名の部分文字列の接頭辞として付加することによって、ユーザー・ログインを生成します。
「XL.DefaultUserNamePolicyImpl」システム・プロパティ、およびシステム・プロパティの値の設定については、システム・プロパティの管理に関する項を参照してください。
注意: ADがデータ・ストアの場合は、「FirstNameLastNamePolicyForAD」または「LastNameFirstNamePolicyForAD」のいずれかのポリシーを使用する必要があります。その他のユーザー名生成ポリシーを使用してユーザー名を生成しようとしても失敗します。 |
Oracle Identity Managerでの「共通名」ユーザー属性値の生成については、次の各項で説明します。
Oracle Identity ManagerのLDAP対応デプロイメントでは、Human Capability Management(HCM)などのFusionアプリケーションはSPMLリクエストを介して共通名を渡しません。LDAPで共通名が必須属性で、Oracle Identity Managerが共通名をRDNとして使用するように設定されている場合、Oracle Identity Managerでは一意の共通名を生成する必要があります。
共通名の説明に基づいて、名と姓で構成されるユーザーの表示名が共通名になります。この場合、Oracle Identity Managerでは、「firstname lastname」形式で共通名を指定する共通名生成ポリシーを使用して、共通名が生成されます。
Oracle Identity Managerに共通名の生成を構成するには、次の値を設定します: XL.DefaultCommonNamePolicyImplシステム・プロパティをoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyにします。次に関する情報の参照先: XL.DefaultCommonNamePolicyImpl」システム・プロパティおよびシステム・プロパティの値の設定については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。
「FirstNameLastNamePolicy」の詳細は次のとおりです。
必要な情報: 名、姓
生成される共通名: firstname.lastname、firstname.$.lastname(すべてのアルファベットからランダムな1文字)、firstname.$$.lastnameなど、共通名が一意になるように生成されます。
注意: リクエストによってユーザーが作成されるまで共通名は予約されるため、同じ名と姓を使用した複数のリクエストが同時に生成された場合でも、同じ共通名は生成されません。 |
ユーザー・プロファイルが変更されると、1つ以上の属性が変更される可能性があります。HCMでは、変更前のユーザー属性を保持しておらず、どの属性が変更されたかを判断できないため、変更されたデータのみをフィルタ処理してOracle Identity Managerに送信できません。このため、共通名(CN)を含むすべての属性がSPMLリクエストを介してOracle Identity Managerに渡されます。CNが変更されると、Oracle Identity Managerではディレクトリ内で変更操作(modrdn)が実行されるため、DNが変更される結果になります。この意図しないDN変更によって、グループ・メンバーシップのDNが失効し、ユーザーはそのグループのメンバーシップを失います。この結果、認可が失敗します。これは、LDAPサーバーで参照整合性がオフの場合に発生し、ユーザーのRDNが変更されたときに参照先グループが更新されません。したがって、ターゲットLDAPサーバーで参照整合性をオンにする必要があります。そうしないと、グループ・メンバーシップが失効します。参照整合性の問題はロールにも該当します。グループが他のグループのメンバーでもある場合、RDNの変更は同様に影響を与えます。
参照整合性をオンにするには、「XL.IsReferentialIntegrityEnabled」システム・プロパティの値を「TRUE」に設定します。このシステム・プロパティについては、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する項を参照してください。
表11-10に、RDNが変更される場合のシナリオを示します。
表11-10 RDN変更のシナリオ
LDAPでの参照整合性 | XL.IsReferentialIntegrityEnabled | 変更操作(modrdn)の結果 |
---|---|---|
無効 |
FALSE |
Oracle Identity Managerでエラーが発生し、操作は失敗します。 |
無効 |
TRUE |
Oracle Identity Managerからの変更操作が正常に実行され、LDAPでRDNが変更されます。ただし、グループ参照は更新されずに失効します。この構成はお薦めしません。 |
有効 |
FALSE |
Oracle Identity Managerでエラーが発生し、変更操作は失敗します。LDAPで参照整合性が有効であるため、Oracle Identity Managerでこのプロパティを「TRUE」に設定する必要があります。 |
有効 |
TRUE |
変更操作が正常に実行され、RDNが更新されます。さらに、LDAPでDNの参照が更新されます。 |
各ディレクトリにロールおよびユーザーが格納された複数のディレクトリ。 ここでは参照整合性プロパティは関係ありません。 |
FALSE |
Oracle Identity Managerからの変更操作が失敗します。これはLDAPでサポートされていません。このため、Oracle Identity Managerでは、このプロパティの値を「FALSE」に設定することをお薦めします。 |
各ディレクトリにロールおよびユーザーが格納された複数のディレクトリ。 ここでは参照整合性プロパティは関係ありません。 |
TRUE |
変更操作が正常に実行され、RDNが変更されます。ただし、LDAPでは複数のディレクトリでの参照整合性をサポートしていないため、グループ参照は失効し、手動で更新する必要があります。 |