Oracle® Fusion Middleware Oracle Identity Managerユーザーズ・ガイド 11g リリース2(11.1.2.1.0) B69542-04 |
|
前 |
次 |
Oracle Identity Managerのユーザー管理機能には、ユーザー・アカウントの作成、更新、削除、有効化と無効化、ロックおよびロック解除が含まれます。この機能については、次の各項で説明します。
ユーザー・ライフサイクルとは、特定のイベントや時間的要因に基づいて、システム内でユーザー・エンティティを作成、管理および終了するプロセス・フローを表す語です。
ユーザー・エンティティは、ライフ・サイクル内の様々なステージを通過します。ステージは、「存在しない」、「無効」、「アクティブ」および「削除」です。図11-1に、ライフサイクルの各種ステージ、可能なすべての遷移、およびそれらの遷移を設定する操作を示します。
ユーザー・ライフサイクルの各遷移に対して、プロセス・ルールやビジネス要件が定義される場合があります。表11-1に示すサンプル・シナリオを使用して、ユーザー・ライフサイクルの遷移とビジネス目的との間の関係を説明します。
表11-1 ユーザー・ライフサイクルとビジネス目的のサンプル・シナリオ
現行の状態 | 操作 | サンプル・シナリオ | プロセスの説明 |
---|---|---|---|
存在しない |
作成 |
HRは、新規採用者のユーザー・プロファイル情報を入力します。新規採用者をシステムに即時に組み込まない場合、HRはそのユーザーに将来の開始日を設定します。 |
開始日が将来の日付でない場合、ユーザーは「アクティブ」状態でシステムに組み込まれます。開始日が将来の日付の場合、作成プロセスではそのユーザーを「無効」状態で作成します。 |
無効 |
有効化 |
ユーザーの開始日が有効になります。システムでは、新規採用者に対するプロビジョニングが開始されます。 |
ユーザーはシステム内で有効とマークされ、システムにログインしてシステムを使用できるようになります。デフォルトでは、必要なすべてのメンバーシップおよびアカウントがワークフロー内で確立されます。 |
アクティブ |
変更 |
ユーザーが新しい職階に昇格します。この結果、HRはそのユーザーの役職を変更します。 |
新しいリソースがユーザーにプロビジョニングされ、古い不適切なリソースはユーザーからプロビジョニング解除されます。 |
アクティブ |
無効化 |
ユーザーが会社から1年間の長期有給休暇を取ります。HRは、ユーザーの最後の勤務日にそのユーザーを手動で無効にします。一定期間の後に、ユーザーは会社に復職します。HRは、ユーザーを再度「アクティブ」にできます。 |
ユーザーはシステムで無効とマークされ、システムにログインできなくなります。無効化されたユーザーは、再度「アクティブ」にできます。 |
アクティブ |
削除 |
ユーザーが会社を退職します。HRは、ユーザーの最後の勤務日にそのユーザーを手動で削除します。 |
ユーザーはシステムで削除済とマークされ、システムにログインできなくなります。デフォルトでは、ユーザーのすべてのアカウントがワークフロー内でプロビジョニング解除されます。 |
ユーザー・ライフサイクル管理には、次の概念が不可欠です。
OIMアカウントは、Oracle Identity Managerへのアクセスを認証する方法として使用する抽象的なアカウントです。Oracle Identity Managerでは、ユーザーとOIMアカウント間の関係を示すカーディナリティは1対1です。デフォルトでは、ユーザーは、Oracle Identity Managerへのアクセスを許可するOIMアカウントに関連付けられます。ただし、ユーザーがOracle Identity Managerにアクセスする必要がない場合は、OIMアカウントをプロビジョニングしないことも可能です。
ロックやロック解除などのユーザー操作は、明示的なアカウント操作です。ユーザーに対してロックまたはロック解除を行う場合は、そのユーザーのOIMアカウントをロックまたはロック解除します。
組織とは、認可および権限データの論理的なコンテナです。Oracle Identity Managerのユーザーは、1つの組織のみに所属する必要があります。Oracle Identity Managerにおける組織の詳細は、第13章「組織の管理」を参照してください。
Oracle Identity Managerでは、ロールを使用して権限管理を容易に制御できます。ユーザーや他のロールに付与する、関連する権限の名前付きグループ。ロールは、エンド・ユーザー・システムとスキーマ・オブジェクト権限の管理を容易にするために設計されています。ロールの詳細は、第12章「ロールの管理」を参照してください。
Oracle Identity Managerでは、ユーザー・エンティティに対して属性が定義されます。これらの属性は、すべてのエンティティで同一です。ユーザー・エンティティには独自の属性を追加できます。
Oracle Identity Managerでは、エンティティの各属性に対して、次のプロパティが定義されます。
属性名: 属性の名前。
タイプ: 属性内のデータのタイプを示します。サポートされているタイプは、文字列、数値、日付、ブールおよび参照です。
プロパティ: 各属性に対して、「バルクで使用」(バルク操作でその属性が使用可能かどうかを指定)、「暗号化」(その属性を暗号化する必要があるかどうかを決定)、「検索可能」(ユーザーがその属性を検索できるかどうかを決定)などのプロパティを定義できます。
関連項目: カスタム属性およびそのプロパティの追加の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のカスタム属性の構成に関する項を参照してください。 |
表11-2に、Oracle Identity Managerでユーザー・エンティティに対して定義されている属性を示します。
表11-2 ユーザー・エンティティに対して定義されている属性
属性名 | カテゴリ | 説明 | データ型 | プロパティ | 参照コードおよびそのエンティティ |
---|---|---|---|---|---|
usr_key |
アカウント設定 |
ユーザーのGUID。ユーザーの作成時に自動生成されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
act_key |
基本ユーザー情報 |
ユーザーが所属する組織のGUID。これは必須フィールドです。 |
数値 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 19 表示可能: はい 表示タイプ: ENTITY |
なし |
姓 |
基本ユーザー情報 |
ユーザーの姓。これは必須フィールドです。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
名 |
基本ユーザー情報 |
ユーザーの名前 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
ミドル・ネーム |
基本ユーザー情報 |
ユーザーのミドル・ネーム。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
表示名 |
基本ユーザー情報 |
ユーザーの表示名。指定しない場合は、ユーザーの作成時に自動生成されます。 |
文字列 |
必須: いいえ MLS: いいえ 多表現: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 382 表示可能: はい 表示タイプ: TEXT |
なし |
Xellerateタイプ |
基本ユーザー情報 |
エンドユーザーまたは管理者のタイプです。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 30 表示可能: はい 表示タイプ: CHECKBOX |
Lookup.Users.XellerateType エンドユーザー エンドユーザー管理者 |
usr_password |
アカウント設定 |
ユーザーのパスワードを指定します。暗号化された値として格納されます。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: 暗号化 ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 128 表示可能: はい 表示タイプ: SECRET |
なし |
usr_disabled |
アカウント設定 |
ユーザーが有効か無効かを示します。 0の場合、ユーザーは有効です。1の場合、ユーザーは無効です。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: はい 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: CHECKBOX |
なし |
ステータス |
アカウント設定 |
ユーザーのステータス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: はい 最大サイズ: 25 表示可能: はい 表示タイプ: LOV |
Lookup.WebClient.Users.Status アクティブ 無効 削除 開始日まで無効 |
ロール |
基本ユーザー情報 |
システムでのユーザーのタイプです。 |
文字列 |
必須: はい システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 255 表示可能: はい 表示タイプ: LOV |
Lookup.Users.Role フルタイム パートタイム 派遣社員 インターン コンサルタント 従業員 派遣就業者 非就労者 その他 契約者 |
ユーザー・ログイン |
アカウント設定 |
ユーザーのログインID。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
usr_manager_key |
基本ユーザー情報 |
ユーザーのマネージャのGUID。 |
数値 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 19 表示可能: はい 表示タイプ: ENTITY |
なし |
開始日 |
アカウントの有効日 |
ユーザーの開始日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
終了日 |
アカウントの有効日 |
ユーザーの終了日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_provisioning_date |
プロビジョニング日 |
Oracle Identity Managerでユーザー・プロファイルが作成された日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア 検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_deprovisioning_date |
プロビジョニング日 |
リソースがユーザーからプロビジョニング解除される日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
usr_provisioned_date |
システム |
リソースがユーザーにプロビジョニングされた日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_deprovisioned_date |
システム |
リソースがユーザーからプロビジョニング解除された日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
電子メール |
基本ユーザー情報 |
ユーザーの電子メール・アドレス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
usr_locked |
アカウント設定 |
ユーザー・アカウントがロックされているか、ロック解除されているかを示します。 値が0の場合、アカウントはロック解除されています。 値が1の場合、アカウントはロックされています。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: LOV |
Users.Lock User 0 1 |
ロック日時 |
ライフサイクル |
ユーザー・アカウントがロックされた日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
自動削除日 |
ライフサイクル |
ユーザー・アカウントが自動的に削除される日付。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア 検索可能: はい バルク更新可能: はい 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
手動ロック |
ライフサイクル |
ユーザー・アカウントが自動的にロックされるか、手動でロックされるかを示します。 1の場合、アカウントは管理者が手動でロックします。 0の場合、アカウントは自動的にロックされます(たとえば、誤ったパスワードによるログイン試行の最大回数を超えた場合)。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
usr_login_attempts_ctr |
システム |
ユーザーが誤ったパスワードを使用してログインを試行した回数。これは、正常にログインされるたびに0に設定されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: NUMBER |
なし |
usr_create |
システム |
ユーザーが作成された日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_update |
システム |
ユーザーが最後に更新された日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_timezone |
プリファレンス |
ユーザーのタイムゾーン・プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: TIME_ZONE |
なし |
usr_locale |
プリファレンス |
ユーザーのロケール・プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: LOV |
Notification.Languages 英語 フランス語 ドイツ語 イタリア語 スペイン語 ポルトガル語(ブラジル) 日本語 韓国語 簡体字中国語 繁体字中国語 アラビア語 チェコ語 デンマーク語 オランダ語 フィンランド語 ギリシャ語 ヘブライ語 ハンガリー語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スウェーデン語 タイ語 トルコ語 |
usr_pwd_cant_change |
システム |
現在、このフィールドは使用されていません。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_must_change |
システム |
現在、このフィールドは使用されていません。 値が0の場合、パスワードを変更する必要はありません。 値が1の場合、ユーザーはパスワードを変更する必要があります。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_never_expires |
システム |
現在、このフィールドは使用されていません。 値が0の場合、パスワードに有効期限があります。 値が1の場合、パスワードに有効期限はありません。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: はい 表示タイプ: CHECKBOX |
なし |
usr_pwd_expire_date |
システム |
パスワードの有効期限の日付。「パスワードの有効期限なし」が0の場合のみ有効です。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_pwd_warn_date |
システム |
ユーザーがパスワードを変更するように警告される日付。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_pwd_expired |
システム |
パスワードが有効期限切れであるかどうかを示します。その場合、パスワードはリセットされます。 値が0の場合、パスワードは有効期限切れではありません。 値が1の場合、パスワードは有効期限切れです。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_warned |
システム |
ユーザーがパスワードを変更するように警告されたかどうかを示します。 0の場合、ユーザーはパスワードを変更するようにまだ警告されていません。 1の場合、ユーザーはパスワードを変更するように警告されました。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_pwd_reset_attempts_ctr |
システム |
ユーザーがチャレンジ質問に誤った回答をしてパスワードのリセットを試行した回数。これは、パスワードが正常にリセットされるたびに0に設定されます。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: NUMBER |
なし |
usr_change_pwd_at_next_logon |
システム |
ユーザーが次のログイン時にパスワードを変更する必要があるかどうかを示します。 値が1の場合、ユーザーは次のログイン時にパスワードをリセットする必要があります。値が0の場合、ユーザーは次のログイン時にパスワードをリセットする必要はありません。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: CHECKBOX |
なし |
usr_data_level |
システム |
このレコードに対してサポートされている操作の種類(追加、変更、削除など)を示します。 この列の有効な値は次のとおりです。 0: この行は更新または削除できることを示します。 1: この行は更新および削除できないことを示します。 2: この行は変更のみできますが、削除はできないことを示します。 3: この行は削除のみできますが、変更はできないことを示します。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
usr_pwd_min_age_date |
システム |
日付を設定した場合、その日付までユーザー・パスワードは変更できないことを示します。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: - 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_createby |
システム |
このユーザーを作成したユーザーのGUID。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
usr_updateby |
システム |
このユーザーを更新したユーザーのGUID。 |
数値 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: ENTITY |
なし |
usr_created |
システム |
現在、これはOracle Identity Managerで使用されていません。 |
日付 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 19 表示可能: いいえ 表示タイプ: DATE_ONLY |
なし |
usr_policy_update |
システム |
ユーザーのポリシーを再評価するために使用します。現在のポリシーを適用するすべてのユーザーについてオブジェクト・ポリシーを再評価するには、UPP表およびUPD表を評価して、現在のポリシーのユーザー・リストを取得します。検出されたユーザーごとに、policy_updateフラグを設定します。post-insert、post-updateおよびpost_deleteイベント・ハンドラをtcPOPに付加します。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: はい 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
国 |
その他のユーザー属性 |
ユーザーの国。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 100 表示可能: はい 表示タイプ: TEXT |
なし |
部門番号 |
その他のユーザー属性 |
ユーザーの部門番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
説明 |
その他のユーザー属性 |
ユーザーの説明。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 2000 表示可能: はい 表示タイプ: TEXT |
なし |
共通名 |
その他のユーザー属性 |
ユーザーの共通名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 240 表示可能: はい 表示タイプ: TEXT |
なし |
従業員番号 |
その他のユーザー属性 |
ユーザーの従業員番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
FAX |
その他のユーザー属性 |
ユーザーのFAX番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
生成修飾子 |
その他のユーザー属性 |
ユーザーの生成修飾子。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
入社日 |
その他のユーザー属性 |
ユーザーの入社日。 |
日付 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: - 表示可能: はい 表示タイプ: DATE_ONLY |
なし |
自宅電話番号 |
その他のユーザー属性 |
ユーザーの自宅電話番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
地方名 |
その他のユーザー属性 |
ユーザーの地方名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
モバイル |
その他のユーザー属性 |
ユーザーのモバイル番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
ページャ |
その他のユーザー属性 |
ユーザーのページャ番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
自宅住所 |
その他のユーザー属性 |
ユーザーの自宅住所。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
住所 |
その他のユーザー属性 |
ユーザーの住所。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
郵便番号 |
その他のユーザー属性 |
ユーザーの郵便番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 230 表示可能: はい 表示タイプ: TEXT |
なし |
私書箱 |
その他のユーザー属性 |
ユーザーの私書箱。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
都道府県 |
その他のユーザー属性 |
ユーザーの都道府県。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
番地 |
その他のユーザー属性 |
ユーザーの住所の番地。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
電話番号 |
その他のユーザー属性 |
ユーザーの電話番号。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: はい 表示タイプ: TEXT |
なし |
役職 |
その他のユーザー属性 |
ユーザーの役職。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
イニシャル |
その他のユーザー属性 |
ユーザーのイニシャル。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: はい 表示タイプ: TEXT |
なし |
生成されたパスワード |
システム |
このフラグは、ユーザーに対してパスワードが自動生成されたかどうかを示します。 |
文字列 |
必須: いいえ システム制御: はい 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: はい 最大サイズ: 1 表示可能: いいえ 表示タイプ: TEXT |
なし |
LDAP組織 |
その他のユーザー属性 |
LDAPのユーザー組織名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP組織単位 |
その他のユーザー属性 |
LDAPのユーザー組織単位(部門、大規模エンティティのサブエンティティなど)。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 80 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP GUID |
その他のユーザー属性 |
LDAPのユーザーのグローバル一意識別子。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
LDAP DN |
その他のユーザー属性 |
LDAPのユーザーの識別名。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 256 表示可能: はい 表示タイプ: TEXT |
なし |
FA言語 |
プリファレンス |
LDAP環境でのユーザーの言語。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 100 表示可能: いいえ 表示タイプ: TEXT |
該当なし |
埋込みヘルプ |
その他のユーザー属性 |
ロールオーバー時にヘルプ・ポップアップを非表示にするかどうかを示します。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.EmbeddedHelp True False |
数値書式 |
その他のユーザー属性 |
ユーザーの数値書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 30 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.NumberFormat #,##0.##[.,] #,##0.###[\u00A0,] #,##0.### #,##0.###;#,##0.###- #,##0.###[.,] #,##0.###;(#,##0.###)[.,] #,##0.##[\u00A0,] #,##0.###['.] #,##0.###[',] |
日付書式 |
その他のユーザー属性 |
ユーザーの日付書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.DateFormat MM-dd-yyyy MM-dd-yy MM.dd.yyyy MM.dd.yy mm/dd/yyyy MM/dd/yy M-d-yyyy M-d-yy M.d.yyyy M.d.yy M/d/yyyy M/d/yy dd-MM-yyyy dd-MM-yy d-M-yyyy d-M-yy dd.MM.yyyy dd.MM.yy d.M.yyyy d.M.yy dd/MM/yyyy dd/mm/yy d/M/yyyy d/M/yy yyyy-MM-dd yy-MM-dd yyyy-M-d yy-M-d yyyy.MM.dd yy.MM.dd yyyy.M.d yy.M.d yy. M. d yyyy/MM/dd yy/MM/dd yyyy/M/d yy/M/d |
時間書式 |
その他のユーザー属性 |
ユーザーの時間書式プリファレンス。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.TimeFormat HH.mm HH.mm.ss HH:mm HH:mm:ss H:mm H:mm:ss H.mm H.mm.ss a hh.mm a hh.mm.ss a hh:mm a hh:mm:ss ah:mm ah:mm:ss hh.mm a hh.mm.ss a hh:mm a hh:mm:ss a |
通貨 |
その他のユーザー属性 |
ユーザーの優先通貨。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.Currency |
フォント・サイズ |
その他のユーザー属性 |
ユーザーの優先フォント・サイズ(大、中など)。これは、アクセシビリティ機能に関連しています。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.FontSize 大 中 |
カラー・コントラスト |
その他のユーザー属性 |
ユーザーの優先カラー・コントラスト(標準、高など)。これは、アクセシビリティ機能に関連しています。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 10 表示可能: いいえ 表示タイプ: LOV |
Lookup.Users.ColorContrast 標準 高 |
アクセシビリティ・モード |
その他のユーザー属性 |
ユーザーの優先アクセシビリティ機能(最適化されたスクリーン・リーダー、標準アクセシビリティなど)。この属性はOracle Identity Managerで解釈されないため、LDAPで値を保持するために使用されます。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: いいえ バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: テキスト |
Lookup.Users.AccessibilityMode スクリーン・リーダー アクセス不可 デフォルト |
FA地域 |
プリファレンス |
LDAP環境でのユーザーの地域。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: いいえ 読取り専用: いいえ 最大サイズ: 100 表示可能: いいえ 表示タイプ: LOV |
該当なし |
ユーザー名優先言語 |
プリファレンス |
ユーザーの表示名のみをその言語で表示するために使用する、ユーザーのプリファレンス言語。 注意: このプリファレンスはOracle Identity Managerに格納できますが、Oracle Identity ManagerのUIには適用されません。 |
文字列 |
必須: いいえ システム制御: いいえ 暗号化: クリア ユーザー検索可能: はい バルク更新可能: はい 読取り専用: いいえ 最大サイズ: 20 表示可能: いいえ 表示タイプ: LOV |
mls_locale_code順(昇順)に並べたlocale_flagが0または1のmls_localeから、MLS_LOCALE_CODEをUSR_NAME_PREFERRED_LANGとして選択します。 |
表11-3に、Oracle Identity Managerで作成されているデフォルトのユーザー・アカウントをリストします。
表11-3 デフォルトのユーザー・アカウント
アカウント | 説明 |
---|---|
XELSYSADM |
このアカウントは、Oracle Identity Manager管理者(スーパーユーザー)であり、インストール時に作成されます。インストール時、このアカウントのパスワードを作成します。インストール後の任意の時点でパスワードを変更するには、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のOracle Identity Manager管理者パスワードの変更に関する項を参照してください。 |
WEBLOGIC |
このアカウントは、ユーザー・ロール・プロバイダ実装を使用してSOAとOracle Identity Managerの統合に使用されます。LDAPベースのユーザーロール・プロバイダを使用するためにSOAが再構成される場合、Oracle Identity Managerではこのアカウントは必要ありません。 このアカウントはインストール時に作成されます。インストール時、このアカウントのパスワードを作成します。インストール後の任意の時点でこのアカウントのユーザー名を変更するには、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のLDAPでプロビジョニングされた管理ユーザーを使用したOracle Identity ManagerからSOAへの接続の有効化に関する項を参照してください。 |
OIMINTERNAL |
このアカウントは、JMSメッセージを実行するメッセージドリブンBean (MDB)の別名実行ユーザーに設定されます。このアカウントは、インストール時に作成され、Oracle Identity Managerによって内部的に使用されます。 このアカウントのパスワードは、Oracle Identity Managerデータベースでシングルスペース文字に設定され、Oracle Identity Manager DesignコンソールまたはOracle Identity Managerシステム管理コンソールからユーザーがログインできないようにしています。 このアカウントのユーザー名またはパスワードを変更しないでください。 |
Oracle Identity Self Serviceを使用して、次のユーザー管理タスクを実行できます。
注意: この項でリストされた各タスクの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のセキュリティ・アーキテクチャに関する説明を参照してください。 |
検索操作によって、指定した検索基準に基づいてユーザー・エンティティを検索できます。各検索基準は次の内容で構成されます。
検索対象の属性
「次と等しい」や「次で始まる」などの検索演算子
検索する値
ユーザーを検索する手順は、次のとおりです。
Identity Self Serviceにログインします。
左ペインの「管理」の下で、「ユーザー」を選択します。「ユーザーの管理」ページが表示されます。
次のオプションのいずれかを選択します。
すべて: このオプションを選択すると、検索はAND条件で実行されます。つまり、指定されたすべての検索基準を満たす場合のみ検索操作が成功します。
いずれか: このオプションを選択すると、検索はOR条件で実行されます。つまり、指定された選択基準のいずれかに一致する場合に検索操作が成功します。
「ユーザー・ログイン」などの検索可能なユーザー属性のフィールドで、値を指定します。属性値にはワイルドカード文字(*)を含めることができます。
一部の属性では、リストから属性値を選択します。たとえば、アカウントがロックされているユーザーをすべて検索するには、「アカウント・ステータス」リストから「ロック」を選択します。
指定した各属性値に対して、リストから検索演算子を選択します。次の検索演算子が使用可能です。
次で始まる
次で終わる
次と等しい
次と等しくない
次を含む
次を含まない
検索演算子とワイルドカード文字を組み合せて、検索条件を指定できます。アスタリスク(*)文字をワイルドカード文字として使用します。たとえば、検索基準として「ユーザー・ログイン」属性の値に「Jo*」と指定して、検索演算子として「次と等しい」を選択できます。「Jo」で始まるログイン名を持つユーザーが表示されます。
検索可能なユーザー属性を「ユーザーの管理」ページに追加するには、「フィールドの追加」をクリックして、属性のリストから属性を選択します。
たとえば、米国という「国」属性を持つユーザーをすべて検索する場合、検索可能フィールドとして「国」属性を追加し、検索条件を指定できます。
注意: 検索可能な属性を構成できます。検索に使用可能な属性は、「検索可能」プロパティが「はい」にマークされているユーザー・エンティティに対して定義した属性のサブセットである必要があります。 |
必要に応じて、「リセット」をクリックし、指定した検索条件をリセットします。通常、この手順を実行すると、指定した検索条件を削除し、新しい検索条件を指定します。
「検索」をクリックします。検索結果が表形式で表示されます。
検索結果で列を非表示にする場合は、次の手順を実行します。
ツールバーで「ビュー」をクリックし、「列」、「列の管理」を選択します。「列の管理」ダイアログ・ボックスが表示されます。
「表示される列」リストから、非表示にする列を選択します。
左矢印アイコンをクリックして、列を「非表示列」リストに追加します。
「OK」をクリックします。選択した列は検索結果に表示されません。現在非表示になっている列の数を示すステータス・メッセージが、検索表の下部に表示されます。図は、3つの列が非表示であることを示しています。
この項では、検索結果表で選択した行に対して実行できる操作について説明します。これは、単一選択操作とバルク(複数)選択操作に区分できます。
検索結果表から1名のユーザーを選択して、次の単一選択操作を実行できます。
詳細の表示
変更(ユーザー・ステータスが「アクティブ」の場合のみ)
有効化(ユーザー・ステータスが「無効」の場合のみ)
無効化(ユーザー・ステータスが「有効」の場合のみ)
ロック(選択したユーザーのアカウントがロック解除されている場合のみ)
ロック解除(選択したユーザーのアカウントがロックされている場合のみ)
パスワードのリセット
削除
検索結果表から複数のユーザーを選択して、次のバルク(複数)選択操作を実行できます。
変更
有効化(ユーザー・ステータスが「無効」の場合のみ)
無効化(ユーザー・ステータスが「有効」の場合のみ)
ロック(選択したユーザーのアカウントがロック解除されている場合のみ)
ロック解除(選択したユーザーのアカウントがロックされている場合のみ)
削除
注意: 操作は、ユーザーの管理ロールによって決定された認可権限に応じて、直接的な操作または承認を受けるリクエストベースの操作のいずれかになります。 |
「ユーザーの作成」ページを使用して、Oracle Identity Managerに新規ユーザーを作成できます。このページは、Oracle Identity Managerの組織において、ユーザーの作成権限に関する認可ポリシーでユーザーを作成する権限が付与されている場合のみ開くことができます。
注意: ユーザー作成操作は、付与されている認可権限に基づいて、直接的な操作で行うか、または承認を受けるリクエストを生成します。 |
ユーザーを作成する手順は、次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ユーザー」をクリックします。「ユーザーの検索」ページが表示されます。
「アクション」メニューから「作成」を選択します。または、ツールバーにある「作成」をクリックします。「ユーザーの作成」ページが表示され、ユーザー・プロファイル属性の入力フィールドが表示されます。
「ユーザーの作成」ページに、ユーザーの詳細を入力します。表11-4に、「ユーザーの作成」ページのフィールドを示します。
表11-4 「ユーザーの作成」ページのフィールド
セクション | フィールド | 説明 |
---|---|---|
理由と有効日 |
理由 |
ユーザーを作成する理由。 |
有効日 |
この日付にユーザーを作成する必要があります。 |
|
基本ユーザー情報 |
名 |
ユーザーの名。 |
ミドル・ネーム |
ユーザーのミドル・ネーム。 |
|
姓 |
ユーザーの姓。 |
|
電子メール |
ユーザーの電子メール・アドレス。 |
|
マネージャ |
ユーザーのレポート・マネージャ。 |
|
組織 |
ユーザーが所属する組織。これはホーム組織と呼ばれることもあります。 |
|
ユーザー・タイプ |
従業員のタイプ(コンサルタント、契約者、派遣就業者、従業員、フルタイムの従業員、インターン、非就業者、その他、パートタイムの従業員または派遣社員など)。 |
|
表示名 |
ローカライズされた値で、追加するには「ローカライゼーションの管理」をクリックし、言語リストから値を選択します。表示名は33の言語で表示可能です。 |
|
アカウント設定 |
ユーザー・ログイン |
管理コンソールにログインするために指定するユーザー名。 |
パスワード |
管理コンソールにログインするために指定するパスワード。 |
|
パスワードの確認 |
管理コンソールにログインするために指定するパスワードを再入力します。 |
|
アカウントの有効日 |
開始日 |
ユーザーがシステムでアクティブ化される日付。 |
終了日 |
ユーザーがシステムで非アクティブ化される日付。 |
|
プロビジョニング日 |
プロビジョニング日 |
ユーザーがシステムにプロビジョニングされる日付。 |
プロビジョニング解除日 |
ユーザーがシステムからプロビジョニング解除される日付。 |
|
連絡先情報 |
電話番号 |
ユーザーの電話番号。 |
自宅電話番号 |
ユーザーの住所の電話番号。 |
|
自宅住所 |
ユーザーの住居の住所。 |
|
FAX |
ユーザーのFAX番号。 |
|
モバイル |
ユーザーのモバイル番号。 |
|
ページャ |
ユーザーのページャ番号。 |
|
住所 |
ユーザーの住所。 |
|
郵便番号 |
ユーザーの住所の郵便番号。 |
|
私書箱 |
ユーザーの住所の私書箱番号。 |
|
都道府県 |
ユーザーの都道府県名。 |
|
番地 |
ユーザーが常駐する住所の番地。 |
|
国 |
ユーザーが常駐する国。 |
|
プリファレンス |
ロケール |
ユーザーのロケール・コード。 |
タイムゾーン |
ユーザーのタイムゾーン。 |
|
その他の属性 |
共通名 |
ユーザーの共通名。 |
部門番号 |
ユーザーの部門番号。 |
|
従業員番号 |
ユーザーの従業員番号。 |
|
生成修飾子 |
ユーザーが生成に適格かどうか。 |
|
入社日 |
ユーザーの入社日。 |
|
地方名 |
ユーザーが常駐する地方の名前。 |
|
イニシャル |
ユーザーのイニシャル。 |
|
役職 |
ユーザーの役職。 |
「送信」をクリックします。ユーザーが正常に作成されたことを示すメッセージが表示されます。
ヒント: ユーザーは次のいずれかの方法で作成できます。
前述のすべての方法について、Oracle Identity Managerでは、デフォルト・パスワード・ポリシー、またはデフォルト・ルールに対するパスワード・ポリシーが使用されます。別のパスワード・ポリシーを使用する場合は、Oracle Identity System Administrationを使用して、新しいパスワード・ポリシーをデフォルト・ルールに付加する必要があります。これを行う場合は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのパスワード・ポリシーの管理に関する項を参照してください。 |
ユーザーの表示操作では、「ユーザーの詳細」ページで詳細なユーザー・プロファイル情報を表示できます。このページは、認可ポリシーでユーザー詳細の表示権限によりユーザーのプロファイルを表示する権限が付与されている場合に開くことができます。
ユーザーの詳細を表示する手順は、次のとおりです。
「アイデンティティ・セルフ・サービス」で、「管理」の下の「ユーザー」をクリックします。「ユーザーの検索」ページが表示されます。
詳細を表示するユーザーを検索します。
検索結果の表で、「ユーザー・ログイン」列のユーザー・ログイン名をクリックします。「ユーザーの詳細」ページが表示されます。
次のタブに、ユーザーの詳細が表示されます。
属性タブ: 基本ユーザー情報、アカウントの有効日およびプロビジョニング日を含む属性プロファイルが表示されます。詳細は、「ユーザー属性の編集」を参照してください。
ロール・タブ: ユーザーが属するロールのリストが表示されます。各ロールをクリックすると、そのロールのサマリー情報を表示できます。
「ロール」タブでは、ユーザーにロールを割り当てたり、ユーザーからロールを削除できます。詳細は、「ロールの追加と削除」を参照してください。
権限タブ: ユーザーの権限のリストが表示されます。各権限をクリックすると、その権限のサマリーを表示できます。
権限タブでは、権限のリクエストおよびユーザーからの権限の削除ができます。詳細は、「権限の追加と削除」を参照してください。
アカウント・タブ: ユーザーのアカウントのリストが表示されます。各アカウントをクリックすると、そのアカウントのサマリーを表示できます。
このタブで実行する一般的なタスクは、アカウントのリクエスト、アカウントの変更と削除、アカウントのプライマリとしてのマーク付けおよびアカウントの無効化と有効化です。詳細は、「アカウントの変更」を参照してください。
直属の部下タブ: マネージャとして設定されているユーザーの読取り専用の表が表示されます。つまり、このタブには、ユーザーの直属の部下がリストされます。表内の各ユーザーに関して、次の情報が表示されます。
表示名
ユーザー・ログイン
ステータス
組織
表で行を選択すると、直属の部下に関するサマリー情報が下部に表示されます。
「直属の部下」では、直属の部下のユーザー詳細を開くことができます。これを行うには、直属の部下の表で行を選択し、ツールバーにある「開く」アイコンをクリックします。
管理ロール・タブ: ユーザーに割り当てられている管理ロールのリストが表示されます。管理ロールを選択すると、その管理ロールのサマリー情報を表示できます。
管理ロールの詳細情報を使用して、「下位組織を含める」オプションを選択または選択解除できます。このオプションを選択している場合は、その管理ロールが組織および組織のすべての下位組織のユーザーに適用可能であることを指定します。このオプションを選択していない場合は、その管理ロールが組織のみのユーザーに適用可能であることを指定します。詳細は、「管理ロールの管理」を参照してください。
ユーザー詳細から管理ユーザー変更タスクを実行できます。変更はユーザー詳細が表示されているページの複数のタブで個別に行うため、各タブで実行した変更は他のタブに影響を与えず、変更内容は個別に保存する必要があります。各タブで実行できる変更について、次の各項で概略を説明します。
注意: ユーザーの変更操作は、付与されている認可権限に基づいて、直接的な操作になるか、または承認を受けるリクエストを生成します。 |
ユーザーの属性を編集する手順は、次のとおりです。
「管理」の下の「ユーザー」セクションで、属性を変更するユーザーを検索します。
検索結果表でユーザーを選択します。
次のいずれかの方法でユーザーを変更します。
ツールバーにある「編集」をクリックします。
「アクション」メニューから、「編集」を選択します。
無効化するユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「ユーザーの変更」をクリックします。
「ユーザーの変更」ページで、必要に応じて、各フィールドの属性の値を変更します。
「送信」をクリックします。属性の変更操作が正常に完了します。
「ユーザーの詳細」ページの「ロール」タブで、ロールを追加または削除できます。ユーザーにロールを割り当てる手順は、次のとおりです。
「ユーザーの詳細」ページで、「ロール」タブをクリックします。「ロール」タブに、このユーザーに割り当てられているロールのリストが表示されます。
「アクション」メニューで、「リクエスト」を選択します。または、ツールバーにある「ロールのリクエスト」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
リクエストするロールのカタログ項目を選択します。
「選択した項目をカートに追加」をクリックします。選択したロールのカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。リクエストが承認者によって承認されると、ロールはユーザーに割り当てられます。
「表示と編集」をクリックすると、カタログ項目を編集できます。
ユーザーからロールを削除する手順は、次のとおりです。
「ユーザーの詳細」ページで、「ロール」タブをクリックします。「ロール」タブに、このユーザーに割り当てられているロールのリストが表示されます。
削除するロールを選択します。
「アクション」メニューで、「削除」を選択します。または、ツールバーにある「ロールの削除」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
削除するロールのカタログ項目を選択します。
「選択した項目をカートに追加」をクリックします。選択したロールのカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。ロールは、ユーザーに付与された認可権限に応じて即時に削除されるか、リクエストが要求されるかのいずれかです。
「表示と編集」をクリックすると、カタログ項目を編集できます。
「ユーザーの詳細」ページで、「権限」をクリックします。「権限」タブに、このユーザーに割り当てられている権限のリストが表示されます。
「アクション」メニューで、「リクエスト」を選択します。または、ツールバーにある「権限」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
リクエストする権限のカタログ項目を選択します。
「選択した項目をカートに追加」をクリックします。選択した権限のカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。リクエストが承認者によって承認されると、権限はユーザーに割り当てられます。
「表示と編集」をクリックすると、カタログ項目を編集できます。
「ユーザーの詳細」ページで、「権限」をクリックします。「権限」タブに、このユーザーに割り当てられている権限のリストが表示されます。
削除する権限を選択します。
「アクション」メニューで、「削除」を選択します。または、ツールバーにある「権限の削除」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
削除する権限のカタログ項目を選択します。
「選択した項目をカートに追加」をクリックします。選択した権限のカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。リクエストが承認者によって承認されると、権限はユーザーから削除されます。
「表示と編集」をクリックすると、カタログ項目を編集できます。
「ユーザーの詳細」ページの「アカウント」タブでは、次のアカウント変更操作を実行できます。
アプリケーション・インスタンスをリクエストすることでアカウントをリクエストできます。次のタイプのアカウントをリクエストできます(アプリケーション・インスタンス)。
プライマリ・アカウント: プライマリ・アカウントは、ターゲット・アプリケーションのユーザーに対して作成される最初のアカウントです。つまり、リクエストされる最初のアプリケーション・インスタンスがプライマリ・アカウントです。Oracle Identity Managerは、1つのアプリケーション・インスタンスに対して複数のアカウントをサポートしています。作成される最初のアカウントはプライマリ・アカウントとしてタグが付けられ、ユーザーにとって唯一のプライマリ・アカウントになります。プライマリ・アカウントには、他のアカウント(プライマリ以外のアカウント)が関連付けられます。ユーザーが権限をリクエストすると、その権限がプライマリ・アカウントに追加されます。
プライマリ以外のアカウント: ユーザーがプライマリ・アカウントを所有しており、同じターゲット・アプリケーションの別のアカウントをリクエストすると、そのアカウントはプライマリ以外のアカウントになります。1人のユーザーは複数のプライマリ以外のアカウントを持つことができますが、プライマリ・アカウントは1つのみです。
アカウントをリクエストする手順は、次のとおりです。
「ユーザーの詳細」ページで、「アカウント」タブをクリックします。このタブにユーザーのアカウントがリストされます。
「アクション」メニューで、「リクエスト」を選択します。または、ツールバーにある「アカウントのリクエスト」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
リクエストするアカウントのカタログ項目を選択します。つまり、リクエストするアプリケーション・インスタンスを選択します。
「選択した項目をカートに追加」をクリックします。選択したアカウントのカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。リクエストが承認者によって承認されると、アカウントはユーザーに付与されます。
「表示と編集」をクリックすると、カタログ項目を編集できます。
ユーザーのアカウントを変更する手順は、次のとおりです。
「アカウント」タブで、変更するアカウントを選択します。
「アクション」メニューで、「変更」を選択します。または、ツールバーにある「アカウントの変更」をクリックします。編集可能なアカウントの詳細が表示されます。
変更するフィールを編集します。
「OK」をクリックします。
ユーザーからアカウントを削除する手順は、次のとおりです。
「アカウント」タブで、「アクション」メニューから「削除」を選択します。または、ツールバーにある「アカウントの削除」をクリックします。「カタログ」ページが表示されます。
「カタログ」フィールドの横にある「検索」アイコンをクリックします。リクエストに使用可能なカタログ項目のリストが表示されます。
注意: リクエストにユーザーが使用可能なカタログ項目は、ユーザーの管理ロールに対して定義された認可権限によって制御されます。 |
削除するアカウントのカタログ項目を選択します。
「選択した項目をカートに追加」をクリックします。選択したアカウントのカタログ項目が、リクエスト・カートに追加されます。
「チェックアウト」をクリックします。リクエストが承認者によって承認されると、アカウントはユーザーから削除されます。
「表示と編集」をクリックすると、カタログ項目を編集できます。
Oracle Identity Managerでは、1つのアプリケーション・インスタンスで複数のアカウントをサポートしています。作成された最初のアカウントはプライマリ・アカウントとしてタグが付けられ、ユーザーに対して1つのみのプライマリ・アカウントが存在します。プライマリ・アカウントには、他のアカウント(プライマリ以外のアカウント)が関連付けられます。
権限のすべてのタイプが、リクエスト・カタログでのリクエストに使用可能です。権限に対するリクエストが承認されると、プライマリ以外のアカウントではなく、プライマリ・アカウントに関連付けられます。
ユーザーがアプリケーション・インスタンスにプロビジョニングされると、Oracle Identity Managerは、そのアプリケーション・インスタンスでユーザーにプロビジョニングされた最初のアカウントであるかを確認します。そうでれば、アカウントはプライマリとしてマークされます。既存のユーザー・アカウントがアプリケーション・インスタンスからリコンサイルされている場合、リコンサイルされた最初のアカウントがプライマリとしてマークされます。
ユーザーが所有できるプライマリ・アカウントは1つのみです。ただし、Oracle Identity Managerでは、1つのアプリケーション・インスタンスに対して複数のアカウントをサポートしています。プライマリとしてマークされたアカウントが実際のプライマリ・アカウントでない場合、そのアカウントのプライマリ・タグを手動で変更して、別のアカウントをプライマリとしてマークできます。これを行うことによって、ユーザーが権限をリクエストする場合に、その権限がプライマリ・アカウントに追加されることを確認できます。
アカウントをプライマリとしてマークする手順は、次のとおりです。
「アカウント」タブで、プライマリとしてマークするアカウントを選択します。
「アクション」メニューで、「プライマリにする」を選択します。または、ツールバーにある「プライマリにする」をクリックします。
確認を求めるメッセージが表示されます。
「はい」をクリックして確認します。アカウントがプライマリとしてマークされます。
「有効」状態のアカウントを無効化できます。アカウントを無効化する手順は、次のとおりです。
「アカウント」タブで、無効化するアカウントを選択します。
「アクション」メニューで、「無効化」を選択します。または、ツールバーにある「無効化」をクリックします。
確認を求めるメッセージが表示されます。
「はい」をクリックして確認します。アカウントが無効の場合。
「有効」状態のユーザーを無効化する手順は、次のとおりです。
「管理」の下の「ユーザー」セクションで、無効化するユーザーを検索して選択します。
次のいずれかの方法でユーザーを無効化します。
ツールバーにある「無効化」をクリックします。
「アクション」メニューから「無効化」を選択します。
無効化するユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「ユーザーの無効化」をクリックします。
「ターゲット・ユーザー」セクションで、プラス・アイコン(+)をクリックしてターゲット・ユーザーを検索し、無効化するユーザーのリストに追加します。また、各ユーザーの「ユーザーの詳細」リンクをクリックすると、ユーザーの詳細を表示できます。
必要に応じて、「理由」および「有効日」セクションで、選択したユーザーを無効化する理由および有効日を指定します。「送信」をクリックします。ユーザーが正常に無効化されたことを示すメッセージが表示されます。
無効化されたユーザーを有効化する手順は、次のとおりです。
「管理」の下の「ユーザー」セクションで、有効化するユーザーを検索して選択します。
次のいずれかの方法でユーザーを有効化します。
ツールバーにある「有効化」をクリックします。
「アクション」メニューから「有効化」を選択します。
有効化するユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「ユーザーの有効化」をクリックします。
「ターゲット・ユーザー」セクションで、プラス・アイコン(+)をクリックしてターゲット・ユーザーを検索し、有効化するユーザーのリストに追加します。また、各ユーザーの「ユーザーの詳細」リンクをクリックすると、ユーザーの詳細を表示できます。
必要に応じて、「理由」および「有効日」セクションで、選択したユーザーを有効化する理由および有効日を指定します。「送信」をクリックします。ユーザーが正常に有効化されたことを示すメッセージが表示されます。
ユーザーを削除するには、次のようにします。
「管理」の下の「ユーザー」セクションで、削除するユーザーを検索して選択します。
次のいずれかの方法でユーザーを削除します。
ツールバーにある「削除」をクリックします。
「アクション」メニューから「削除」を選択します。
削除するユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「ユーザーの削除」をクリックします。
選択したユーザーが「ターゲット・ユーザー」セクションに表示されることを確認します。
必要な場合、「ターゲット・ユーザー」セクションで、プラス・アイコン(+)をクリックしてターゲット・ユーザーを検索し、削除するユーザーのリストに追加します。また、各ユーザーの「ユーザーの詳細」リンクをクリックすると、ユーザーの詳細を表示できます。
「理由」フィールドに、ユーザーを削除する理由を入力します。
「有効日」フィールドで、ユーザーのアカウントを削除する日を指定します。
「送信」をクリックします。ユーザーを削除する承認を条件とするリクエストが作成されます。
ユーザーのアカウントをロックする手順は、次のとおりです。
「管理」の下の「ユーザー」セクションで、ロックするユーザーを検索して選択します。
次のいずれかの方法でユーザーをロックします。
ツールバーにある「アカウントのロック」をクリックします。
「アクション」メニューから「アカウントのロック」を選択します。
ロックするユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「アカウントのロック」をクリックします。
表示される確認メッセージで、「ロック」をクリックします。選択したユーザーのアカウントがロックされます。
ユーザーのアカウントをロック解除する手順は、次のとおりです。
「管理」の下の「ユーザー」セクションで、ロック解除するユーザーを検索して選択します。
次のいずれかの方法でユーザーをロック解除します。
ツールバーにある「アカウントのロック解除」をクリックします。
「アクション」メニューから「アカウントのロック解除」を選択します。
ロック解除するユーザー・レコードのユーザー・ログインをクリックします。「ユーザーの詳細」ページで、ツールバーにある「アカウントのロック解除」をクリックします。
表示される確認メッセージで、「ロック解除」をクリックします。選択したユーザーのアカウントがロック解除されます。
ユーザー作成に対するリクエストの送信時には、次のようなシナリオが考えられます。
リクエストが保留中の間に、同じユーザー名で別のユーザー作成リクエストが送信されました。2番目のリクエストが承認されてユーザーが作成されると、1番目のリクエストは、ユーザー名がすでにOracle Identity Managerに存在するため、承認時に失敗します。
リクエストが保留中の間に、同じユーザー名の別のユーザーがLDAPアイデンティティ・ストアに直接作成されました。ユーザー作成リクエストが承認され、ユーザー・エンティティをLDAPにプロビジョニングするときに、同じユーザー名のエントリがすでにLDAPに存在するため、リクエストは失敗します。
これらの問題を回避するには、ユーザー作成リクエストが承認のために保留中の間、Oracle Identity ManagerとLDAPの両方でユーザー名を予約できます。同じユーザー名のユーザーを作成するリクエストが作成されると、エラー・メッセージが表示され、そのユーザー作成リクエストは作成されません。
ユーザー名を予約するには、次のことが必要です。
「ユーザー属性予約有効」システム・プロパティを「True」に設定して、機能を有効化する必要があります。システム・プロパティの検索と変更については、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドのシステム・プロパティの管理に関する説明を参照してください。
LDAPで予約が行われるのは、予約機能が有効化され、LDAPがOracle Identity Managerデータベースと同期化している場合のみです。Oracle identity ManagerとLDAPアイデンティティ・ストア間の同期の詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のLDAPアイデンティティ・ストアとOracle Identity Manager間の統合に関する説明を参照してください。
注意:
|
ユーザー属性の予約が有効な場合、予約は2つのフェーズで行われます。
最初のフェーズでは、エントリがOracle Identity Managerデータベースに作成され、ユーザーが予約コンテナに作成されます。Oracle Identity Managerデータベース内のこのエントリは、ユーザーが正常に作成された後、承認者によって却下された後、またはリクエストが失敗した後に削除されます。
2番目のフェーズでは、LDAPでユーザーが正常に作成されると、ユーザーが予約コンテナに移動します。他の状況(承認者による却下、リクエストの失敗など)の場合、ユーザーは予約コンテナから削除されます。
ユーザー作成リクエストがリクエスト・レベルおよび操作レベルで承認された後は、LDAPのユーザー名コンテナにユーザー名は予約されません。ユーザー名は、既存のユーザーが格納されているコンテナに移動します。また、ユーザーはOracle Identity Managerでも作成されます。
この項には、次の項目が含まれます。
Oracle Identity Managerでは、デフォルトで、ユーザー名の予約機能が有効化されます。これを行うには、「ユーザー属性予約有効」システム・プロパティの値を「True」に設定します。このシステム・プロパティの値は、Oracle Identity Managerシステム管理コンソールの「システム構成」セクションで確認できます。
ユーザー名の予約を無効化する手順は、次のとおりです。
Oracle Identity System Administrationにログインします。
左ペインの「システム管理」の下で、「システム構成」をクリックします。新しいウィンドウに「拡張管理」が表示されます。
左ペインで「検索」アイコンをクリックして、既存のすべてのシステム・プロパティを検索します。システム・プロパティのリストが検索結果表に表示されます。
「ユーザー属性予約有効」をクリックします。図11-2に示すように、選択したシステム・プロパティの「システム・プロパティ詳細」ページが表示されます。
「値」フィールドに「False」と入力します。
「保存」をクリックします。ユーザー名の予約機能が無効化されます。
ユーザー名ポリシーは、ユーザー名操作(ユーザー名の生成や検証など)のためのプラグイン実装です。Oracle Identity System Administrationの「システム構成」セクションで、デフォルト・ポリシーを変更できます。
「ユーザーの作成」を使用する場合、プラグインが起動するのはユーザー・ログインが入力されない場合のみです。この場合、起動されるプラグインは、「ユーザー名の生成に関するデフォルト・ポリシー」システム・プロパティから取得されます。
表11-5に、Oracle Identity Managerで提供される事前定義済のユーザー名ポリシーを示します。この表で、生成されるユーザー名に含まれるドル記号($)はランダムなアルファベットを示します。
表11-5 事前定義済のユーザー名ポリシー
ポリシー名 | 必要な情報 | 生成されるユーザー名 |
---|---|---|
oracle.iam.identity.usermgmt.impl.plugins.EmailIDPolicy |
電子メール |
電子メールの値は、自動生成されたユーザー名として使用されます。 |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstInitialLocalePolicy |
名、姓およびロケール |
last name + first initial_locale、last name + middle initial + first initial_locale、last name + $ + first initial_locale(すべてのアルファベットからランダムな1文字)、last name + $$ + first initial_locale |
oracle.iam.identity.usermgmt.impl.plugins.FirstInitialLastNameLocalePolicy |
名、姓、ロケール |
first initial + lastname_locale、first initial + middle initial + first name_locale、first initial + $ + lastname_locale、first initial + $$ + lastname_locale |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstInitialPolicy |
名、姓 |
lastname+firstInitial、lastname+middleinitial+firstInitial、lastname+$+firstInitial(すべてのアルファベットからランダムな1文字)、lastname+$$+firstInitial |
oracle.iam.identity.usermgmt.impl.plugins.FirstInitialLastNamePolicy |
名、姓 |
firstInitial+lastname、firstInitial+middleInitial+firstname、firstInitial+$+lastname、firstInitial+$$+lastname |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicy |
名、姓 |
lastname.firstname、lastname.middleinitial.firstname、lastname.$.firstname(すべてのアルファベットからランダムな1文字)、lastname.$$.firstname |
oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicy |
名、姓 |
firstname.lastname、firstname.middleinitial.lastname、firstname.$.lastname(すべてのアルファベットからランダムな1文字)、firstname.$$.lastname |
oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy |
次のいずれか: - 電子メール - 名、姓 - 姓 |
電子メールを入力すると、ユーザー名は電子メールに基づいて生成されます。電子メールを使用できない場合は、名と姓に基づき、ユーザー・ドメインを付加してユーザー名が生成されます。名を使用できない場合は、姓のみに基づき、ユーザー・ドメインを付加してユーザー名が生成されます。 ユーザー・ドメインは「デフォルト・ユーザー名ドメイン」システム・プロパティとして構成され、デフォルト値は「@oracle.com」です。 |
oracle.iam.identity.usermgmt.impl.plugins.LastNamePolicy, |
姓 |
lastname、middle initial + lastname、$ + lastname、$$ + lastname |
oracle.iam.identity.usermgmt.impl.plugins.LastNameLocalePolicy |
姓、ロケール |
lastname_locale、middle initial + lastname_locale、$ + lastname_locale、$$ + lastname_locale |
oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForAD |
名、姓 |
firstname+lastname、firstnameの部分文字列+lastname+$、firstnameの部分文字列+lastnameの部分文字列+$ |
oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForAD |
姓、名 |
lastname+firstname、lastname+firstnameの部分文字列+$、lastnameの部分文字列+firstnameの部分文字列+$ |
ポリシー実装によって、ユーザー名を生成してその可用性をチェックし、ユーザー名が使用できない場合は表11-5で説明した順序でポリシーに基づいて別のユーザー名を生成し、この手順を繰り返します。生成されるユーザー名に含まれるドル記号($)はランダムなアルファベットを示します。必要な情報が欠落している場合は、ポリシーでエラーが発生します。
ユーザー名生成形式のすべてのパラメータに対して値を入力する必要があります。入力されないパラメータがあると、Oracle Identity Managerでエラーが発生します。たとえば、firstname.lastnameポリシーが構成され、firstnameが入力されない場合は、次のエラーが表示されます: 「ユーザー名の生成中にエラーが発生しました。firstname.lastnameポリシーで必要なfirstnameを指定してください。」
ユーザー・マネージャでは、ユーザー名生成がパブリックAPIとして公開されています。Oracle Identity Managerでは、ユーザー名の生成機能にアクセスするためのユーティリティ・クラスが用意されています。ユーティリティ・メソッドが含まれるクラスを次に示します。
oracle.iam.identity.usermgmt.api.UserManager
UserManagerクラスでは、ユーザー名の生成および検証用に次のパブリックAPIが公開されます。
//Method that will generate username based on default policy public String generateUserNameFromDefaultPolicy(Map<String, Object> attrMap) throws UserNameGenerationException, UserManagerException; //Method that will generate username based on policy public String generateUserNameFromPolicy(String policyId, Map<String, Object> attrMap) throws UserNameGenerationException, UserManagerException; //Method that will check whether username is valid against default policy public boolean isUserNameValidForDefaultPolicy(String userName, Map<String, Object> attrMap) throws UserManagerException; //Method that will check whether username is valid against given policy public boolean isUserNameValidForPolicy(String userName, String policyId, Map<String, Object> attrMap) throws UserManagerException; //Method to return all policies (including customer written) public List<Map<String, String>> getAllUserNamePolicies(Locale locale) //Method that will return policy description in given locale public String getPolicyDescription(String policyID, Locale locale)
表11-6に、デフォルト・ユーザー名ポリシーのポリシーIDを表すためにUserManagerクラスに定義されている定数を示します。
表11-6 ポリシーIDを表す定数
ポリシー名 | 定数 |
---|---|
EmailIDPolicy |
EMAIL_ID_POLICY |
LastNameFirstInitialLocalePolicy |
FIRSTNAME_LASTNAME_POLICY |
FirstInitialLastNameLocalePolicy |
LASTNAME_FIRSTNAME_POLICY |
LastNameFirstInitialPolicy |
FIRSTINITIAL_LASTNAME_POLICY |
FirstInitialLastNamePolicy |
LASTNAME_FIRSTINITIAL_POLICY |
LastNameFirstNamePolicy |
FIRSTINITIAL_LASTNAME_LOCALE_POLICY |
FirstNameLastNamePolicy |
LASTNAME_FIRSTINITIAL_LOCALE_POLICY |
DefaultComboPolicy |
DEFAULT_COMBO_POLICY |
LastNamePolicy |
LASTNAME_POLICY |
LastNameLocalePolicy |
LASTNAME_LOCALE_POLICY |
FirstNameLastNamePolicyForAD |
FIRSTNAME_LASTNAME_POLICY_FOR_AD |
LastNameFirstNamePolicyForAD |
LASTNAME_FIRSTNAME_POLICY_FOR_AD |
ポリシー・クラスでは、コールされてユーザー名を生成するときに、「oracle.iam.identity.utils class.Constants」で定義されたキー定数を使用して、マップに属性値が設定されている必要があります。これは、パラメータに対して定義された適切な定数(たとえば、「FirstName」パラメータに対して定義された定数)を使用して、正しいパラメータ値が渡されてメソッドがコールされる必要があることを意味します。
デフォルト・ユーザー名ポリシーは、Oracle Identity System Administrationを使用して構成できます。手順は次のとおりです。
「システム構成」にナビゲートします。
すべてのシステム・プロパティを検索します。
「ユーザー名の生成に関するデフォルト・ポリシー」をクリックします。図11-3に示すように、選択したプロパティの「システム・プロパティ詳細」ページが表示されます。
デフォルト・ポリシー実装を取得するために、「XL.DefaultUserNameImpl」システム・プロパティが入力されています。これは、デフォルトでは、「値」フィールドに表示されているデフォルト・ユーザー名ポリシーの「oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy」をポイントします。
「値」フィールドに、「oracle.iam.identity.usermgmt.impl.plugins.POLICY」と入力します。ここで、POLICYはいずれかのポリシー実装です。
注意: すべてのプラグインは、/identity/metadata/plugin.xmlファイルを使用してOracle Identity Managerに登録される必要があります。サンプルのplugin.xmlファイルを次に示します。 <plugins pluginpoint="oracle.iam.identity.usermgmt.api.UserNamePolicy"> <plugin pluginclass="oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicy" version="1.0" name="LastNameFirstNamePolicy"/> </plugins> |
「保存」をクリックします。
独自のポリシーを記述するには、Oracle Identity System Administrationの「システム構成」セクションで、新規プラグインを追加してデフォルト・ポリシーを変更します。
関連項目: プラグイン・フレームワークについては、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のプラグインの開発に関する項を参照してください。 |
UserManagerでは、ユーザー名操作用にAPIが公開されます。APIでは、ユーザー・データを入力として取得し、生成されたユーザー名を返します。APIでは、ユーザー名を返すプラグインをコールします。これによって、ユーザー名操作の実装で、デフォルト・ポリシーをカスタム・プラグインに置換できます。
注意:
|
次に示すように、プラグイン・インタフェースを実装して、独自のユーザー名ポリシーを記述できます。
package oracle.iam.identity.usermgmt.api; public interface UserNameGenerationPolicy extends oracle.iam.identity.usermgmt.api.UserNamePolicy { public String getUserName(Map<String, Object> reqData) throws UserNameGenerationException; public boolean isGivenUserNameValid(String userName, Map<String, Object> reqData); //methods inherited from old user name policy interface //oracle.iam.identity.usermgmt.api.UserNamePolicy public String getUserNameFromPolicy(HashMap<String, String> reqData) throws UserNameGenerationException; public boolean isUserNameValid(String userName, HashMap<String, String> reqData); public String getDescription(Locale locale); }
このプラグイン・ポイントは、リクエスト・データを入力として取得し、ユーザー名を返すカーネル・プラグインとして公開されます。各プラグインでは情報の入力が必要で、入力された情報に基づいてユーザー名が生成されます。
注意: Oracle Identity Managerでは、oracle.iam.identity.usermgmt.api.AbstractUserNameGenerationPolicyクラス名としてoracle.iam.identity.usermgmt.api.UserNameGenerationPolicyインタフェースの抽象実装を提供します。したがって、次の2つのメソッドを実装する必要はありません。 public String getUserNameFromPolicy(HashMap<String, String> reqData) throws UserNameGenerationException; public boolean isUserNameValid(String userName, HashMap<String, String> reqData); |
すべてのプラグインは、/identity/metadata/plugin.xmlファイルを使用してOracle Identity Managerに登録される必要があります。サンプルのplugin.xmlファイルを次に示します。
<plugins pluginpoint="oracle.iam.identity.usermgmt.api.UserNamePolicy"> <pluginpluginclass="oracle.iam.identity.usermgmt.impl.plugins.CustomDepartmentNumberEmployeeNumberPolicy " version="1.0" name="CustomDepartmentNumberEmployeeNumberPolicy"/> </plugins>
カスタム・ユーザー名ポリシーの記述についてのガイドラインを次に示します。
ポリシーには、新しいインタフェースoracle.iam.identity.usermgmt.api.UserNameGenerationPolicyを実装する必要があります。
カスタム・ユーザー名ポリシーを再度読み込む必要があります。つまり、承認者がユーザー・ログインの生成に影響を与えない属性を更新した場合は、ポリシー内のカスタム・コードは、同じユーザー・ログインを返す必要があります。
サンプルの実装については次を参照してください。
package oracle.iam.identity.usermgmt.impl.plugins; import java.util.Locale; import java.util.Map; import oracle.iam.identity.exception.UserNameGenerationException; import oracle.iam.identity.usermgmt.api.AbstractUserNameGenerationPolicy; import oracle.iam.identity.usermgmt.api.UserManagerConstants; import oracle.iam.identity.usermgmt.api.UserNameGenerationPolicy; public class CustomDepartmentNumberEmployeeNumberPolicy extends AbstractUserNameGenerationPolicy implements UserNameGenerationPolicy { private String departmentNumberKey = UserManagerConstants.AttributeName.DEPARTMENT_NUMBER.getId(); private String employeeNumberKey = UserManagerConstants.AttributeName.EMPLOYEE_NUMBER.getId(); @Override public String getUserName(Map<String, Object> reqData) throws UserNameGenerationException { String departmentnumber = reqData.get(departmentNumberKey) == null ? null : reqData.get(departmentNumberKey).toString(); String employeeNumber = reqData.get(employeeNumberKey) == null ? null : reqData.get(employeeNumberKey).toString(); // Required in case of approver edit. If approver has not modified any attribute which contributes in user name generation , then return same old user login //Check if user data is not changed using checkForSameUserLogin method present in AbstractUserNameGenerationPolicy, then return same user login //OR use Map<String, Object> existingData = (Map<String, Object>) reqData.get(oracle.iam.identity.usermgmt.api.UserManagerConstants.EXISTING_DATA ) to implement your own comparison logic // If existingData is NULL, it means generate a new user login. If it is not NULL, then it means policy is invoked during approver edit. // If it is NOT NULL, Compare value of participating attributes from existingData and reqData. If same, return same user login as present in existingData ; otherwise generate a new user login. String oldUserLogin = checkForSameUserLogin(reqData , new String[]{departmentNumberKey , employeeNumberKey}); if(oldUserLogin!=null) return oldUserLogin; // TODO: DO basic validations. Also, Ensure newly generated user name is unique and not reserved. You may use utility methods in oracle.iam.identity.usermgmt.utils.UserNamePolicyUtil for preforming validations. return departmentnumber + "-" + employeeNumber; } @Override public boolean isGivenUserNameValid(String userName, Map<String, Object> reqData) { // TODO : custom implementation return true; } @Override public String getDescription(Locale locale) { return "User Name Generation Policy using department number and employee number"; } }
ユーザー名は、次のシナリオで解放されます。
リクエストが承認され、ユーザーがOracle Identity Managerで正常に作成されてLDAPにプロビジョニングされると、予約表からユーザー名が削除されます。予約されていたユーザー名は、承認後にユーザーが正常に作成されると削除されます。LDAPで予約されていたエントリは削除され、実際のユーザーが作成されます。
リクエストが却下されると、LDAPおよびOracle Identity Managerで予約されていたユーザー名のエントリは削除されます。
Oracle Identity ManagerまたはLDAPでユーザーを作成中または作成前にリクエストが失敗すると、予約されていたユーザー名は削除されます。
LDAPとの同期が有効化されたOracle Identity Managerデプロイメントで、Microsoft Active Directory(AD)がデータ・ストアの場合、Oracle Identity Managerの「ユーザー・ログイン」属性はLDAPの「uid」属性にマップされ、さらに、その「uid」属性は「sAMAccountName」属性にマップされます。「sAMAccountName」属性は、ADベースのすべてのアプリケーションでログインとして使用されます。ADでは、「sAMAccountName」属性に格納される値に対してサポートされている最大長に制限があります。これは、20文字を超えることはできません。
Oracle Identity Managerでは、ユーザー作成時にユーザー名を入力として受け取り、ユーザー名が20文字を超えることも可能です。ADでは20文字を超えるユーザー名がサポートされていないため、Oracle Identity Managerでは、20文字以下のユーザー名が生成されるように構成できます。
ADがデータ・ストアとして使用されている場合は、「XL.DefaultUserNamePolicyImpl」システム・プロパティの値を次のいずれかに設定して、ユーザー名の自動生成を構成できます。
FirstNameLastNamePolicyForAD: 名の部分文字列を姓の部分文字列の接頭辞として付加することによって、ユーザー・ログインを生成します。
LastNameFirstNamePolicyForAD: 姓の部分文字列を名の部分文字列の接頭辞として付加することによって、ユーザー・ログインを生成します。
「XL.DefaultUserNamePolicyImpl」システム・プロパティ、およびシステム・プロパティの値の設定については、システム・プロパティの管理に関する項を参照してください。
注意: ADがデータ・ストアの場合は、「FirstNameLastNamePolicyForAD」または「LastNameFirstNamePolicyForAD」のいずれかのポリシーを使用する必要があります。その他のユーザー名生成ポリシーを使用してユーザー名を生成しようとしても失敗します。 |
Oracle Identity Managerでの「共通名」ユーザー属性値の生成については、次の各項で説明します。
Oracle Identity ManagerのLDAP対応デプロイメントでは、Human Capability Management(HCM)などのFusionアプリケーションはSPMLリクエストを介して共通名を渡しません。LDAPで共通名が必須属性で、Oracle Identity Managerが共通名をRDNとして使用するように設定されている場合、Oracle Identity Managerでは一意の共通名を生成する必要があります。
共通名の説明に基づいて、名と姓で構成されるユーザーの表示名が共通名になります。この場合、Oracle Identity Managerでは、「firstname lastname」形式で共通名を指定する共通名生成ポリシーを使用して、共通名が生成されます。
Oracle Identity Managerで共通名の生成を構成するには、「XL.DefaultCommonNamePolicyImpl」システム・プロパティの値をoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyに設定します。「XL.DefaultCommonNamePolicyImpl」システム・プロパティおよびシステム・プロパティの値の設定の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する説明を参照してください。
「FirstNameLastNamePolicy」の詳細は次のとおりです。
必要な情報: 名、姓
生成される共通名: firstname.lastname、firstname.$.lastname(すべてのアルファベットからランダムな1文字)、firstname.$$.lastnameなど、共通名が一意になるように生成されます。
注意: リクエストによってユーザーが作成されるまで共通名は予約されるため、同じ名と姓を使用した複数のリクエストが同時に生成された場合でも、同じ共通名は生成されません。 |
ユーザー・プロファイルが変更されると、1つ以上の属性が変更される可能性があります。HCMでは、変更前のユーザー属性を保持しておらず、どの属性が変更されたかを判断できないため、変更されたデータのみをフィルタ処理してOracle Identity Managerに送信できません。このため、共通名(CN)を含むすべての属性がSPMLリクエストを介してOracle Identity Managerに渡されます。CNが変更されると、Oracle Identity Managerではディレクトリ内で変更操作(modrdn)が実行されるため、DNが変更される結果になります。この意図しないDN変更によって、グループ・メンバーシップのDNが失効し、ユーザーはそのグループのメンバーシップを失います。この結果、認可が失敗します。これは、LDAPサーバーで参照整合性がオフの場合に発生し、ユーザーのRDNが変更されたときに参照先グループが更新されません。したがって、ターゲットLDAPサーバーで参照整合性をオンにする必要があります。そうしないと、グループ・メンバーシップが失効します。参照整合性の問題はロールにも該当します。グループが他のグループのメンバーでもある場合、RDNの変更は同様に影響を与えます。
参照整合性をオンにするには、「XL.IsReferentialIntegrityEnabled」システム・プロパティの値を「TRUE」に設定します。システム・プロパティの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する説明を参照してください。
表11-7に、RDNが変更される場合のシナリオを示します。
表11-7 RDN変更のシナリオ
LDAPでの参照整合性 | XL.IsReferentialIntegrityEnabled | 変更操作(modrdn)の結果 |
---|---|---|
無効 |
FALSE |
Oracle Identity Managerでエラーが発生し、操作は失敗します。 |
無効 |
TRUE |
Oracle Identity Managerからの変更操作が正常に実行され、LDAPでRDNが変更されます。ただし、グループ参照は更新されずに失効します。この構成はお薦めしません。 |
有効 |
FALSE |
Oracle Identity Managerでエラーが発生し、変更操作は失敗します。LDAPで参照整合性が有効であるため、Oracle Identity Managerでこのプロパティを「TRUE」に設定する必要があります。 |
有効 |
TRUE |
変更操作が正常に実行され、RDNが更新されます。さらに、LDAPでDNの参照が更新されます。 |
各ディレクトリにロールおよびユーザーが格納された複数のディレクトリ。 ここでは参照整合性プロパティは関係ありません。 |
FALSE |
Oracle Identity Managerからの変更操作が失敗します。これはLDAPでサポートされていません。このため、Oracle Identity Managerでは、このプロパティの値を「FALSE」に設定することをお薦めします。 |
各ディレクトリにロールおよびユーザーが格納された複数のディレクトリ。 ここでは参照整合性プロパティは関係ありません。 |
TRUE |
変更操作が正常に実行され、RDNが変更されます。ただし、LDAPでは複数のディレクトリでの参照整合性をサポートしていないため、グループ参照は失効し、手動で更新する必要があります。 |