2 管理コンソールを使用したLogon Managerの構成

この項では、管理コンソールでの手順および設定と、これらを使用したエンド・ユーザーのリポジトリ、接続およびLogon Managerの構成方法について説明します。

この章の内容は次のとおりです。

第2.1項「概要」
第2.2項「Logon Managerの機能」
第2.3項「Logon Managerをデプロイする前の考慮事項」
第2.4項「Logon Manager用のサーバーの構成」
第2.5項「同期」
第2.6項「パスワード・ポリシーの設定」
第2.7項「パスワード・セットの使用」
第2.8項「資格証明共有グループの使用」
第2.9項「ユーザーの除外の使用」
第2.10項「共有アカウントの使用」
第2.11項「ユーザー・データの格納」
第2.12項「テンプレートの作成および使用」
第2.13項「新規アプリケーションの作成」
第2.14項「特定のアプリケーションの構成」
第2.15項「「SSO Applications」ノード」
第2.16項「特定の環境用のLogon Managerの構成」
第2.17項「グローバル・エージェント設定でのエージェントの構成」
第2.18項「Logon Managerのデプロイ」
第2.19項「Kiosk Managerの使用」
第2.20項「Provisioning Gatewayの概要」

2.1 概要

Logon Managerでは、特有のプロセスを使用して、資格証明に対するリクエストの検出、必要な応答の分析、信頼性の高い応答、イベントのロギングおよび設定の管理を行います。

2.1.1 アーキテクチャ/モジュール

Logon Managerコンポーネントのアーキテクチャでは、柔軟性を最大限に発揮して、組織のニーズに対応します。

Logon Managerのアーキテクチャは、次の7つの領域で構成されています。

認証
暗号化
インテリジェント・エージェント・レスポンス
コア(ストレージを含む)
資格証明の同期
イベント・ロギング
その他のコンポーネント

さらに、管理コンソールによって管理が容易になります。

2.1.1.1 認証

認証は、システムがユーザーを検証してLogon Managerにアクセスできるようにする方法です。次の3つのレイヤーで構成されています。

オーセンティケータ自身
オーセンティケーション・サービス
Logon ManagerのオーセンティケータAPI

システムがユーザーの検証を行った後、そのユーザー検証情報がコア・シェルに渡されます。

Logon Managerでは、次のオーセンティケータが提供されています。

Windowsドメイン(同じパスワードがネットワークへのログオンに使用される)(バージョン11.1.2から非推奨)
Windows Authentication v2
LDAPディレクトリ・サーバー
LDAPディレクトリ・サーバーv2
認証マネージャ
Entrust Entelligence
近接型カード
読取り専用スマート・カード
RSA SecurID
スマート・カード

サポートするオーセンティケータ、各コンピュータにインストールするオーセンティケータ、および各ユーザーに対して有効にするオーセンティケータを決定します。(デフォルトでは、Windowsドメインがインストールされています。)

詳細は、「エージェントの構成(Windows認証用)」を参照してください。

2.1.1.2 暗号化

暗号化によって、データ・ストアのユーザー資格証明が保護されます。エージェントは、適切なCrypto Libraryアルゴリズムに基づいて資格証明が暗号化/復号化されることを要求します。エージェントは、自動的に資格証明を新しいアルゴリズム/強度(Triple-DESからAESなど)に移行します。

Logon Managerでは、様々な暗号化アルゴリズムおよびアルゴリズム強度がサポートされており、企業、法律、セキュリティ、パフォーマンスなどの要件に対応しています。この製品では、次の一般的なアルゴリズムが提供されています。

AES (MS CAPI) (デフォルト)
Cobra 128ビット(非推奨)
Blowfish 448ビット(非推奨)
Triple-DES 168ビット(非推奨)
AES 256ビット(非推奨)
Triple-DES (MS CAPI) (すべてのOS)(非推奨)
Triple-DES (MS CAPI) (XP/2003のみ)(非推奨)
RC-4 (MS CAPI) (すべてのOS)(非推奨)
RC-4 (MS CAPI) (XP/2003のみ)(非推奨)

その他のアルゴリズムも暗号化モジュールとして機能できます。

ユーザーが使用できる暗号化アルゴリズム、および新規または変更された資格証明で使用すべき暗号化を決定します。

注意:

バージョン11.1.2では、AES (MS CAPI)をサポートするすべての暗号化アルゴリズムが非推奨になっています。その他のアルゴリズムは、アップグレード・シナリオに関してのみリストされています。

デフォルトのアルゴリズムおよび強度の設定の詳細は、グローバル・エージェントの「セキュリティ設定」を参照してください。

2.1.1.3 インテリジェント・エージェント・レスポンス

アプリケーションが資格証明のリクエストを提示した場合、エージェントはこのイベントを検出し、適切なアクションを決定し、正しい資格証明で応答します。これらの評価を実行するインタフェースがインテリジェント・エージェント・レスポンスです。これがAccess Managerと接続して、適切な資格証明を各アプリケーションに提供します。Access Managerはシェルから資格証明を取得します。

Windowsサポートは自動インストールされます。Webアプリケーションまたはホスト・アプリケーション(あるいはその両方)のサポートをインストールするかどうかを決定します。(デフォルトでは、すべてのモジュールがインストールされていますが、ホストのサポートは無効になっています。)Logon Managerでは、多数のホスト・エミュレータがサポートされています。これが存在する場合は、エージェントがどれを認識するかを決定します。(デフォルトでは、エージェントは、サポートされているすべてのエミュレータに対して機能しますが、エミュレータによっては、エミュレータの構成が必要になる場合があります。)Logon Managerをデプロイする前に、エージェントとともに機能するようにホスト・エミュレータを構成することをお薦めします。

他のアプリケーション構成の追加の詳細は、「テンプレートの作成および使用」を参照してください。ホスト・エミュレータの詳細は、第7.2.4項「ホスト・エミュレータの構成」を参照してください。

Logon Managerでは、組み込まれている一般的なアプリケーションの構成情報が提供されています。デフォルトのインストール設定でも動作しますが、柔軟性があるため、あらゆる組織に固有のニーズにも対応できます。最も一般的にカスタマイズされた機能を次に示します。

アプリケーション・テンプレート: 事前定義されたログオン・リストからユーザーが選択できるようにすることによって、操作性を改善します。アプリケーションには、Windowsアプリケーション、ホスト・アプリケーションおよびWebアプリケーションがあります。
可動性のサポート: 位置の透過性と自動バックアップおよびリストアを実現します。
イベント・ロギング: ログオンやパスワード変更などの様々なイベントをLogon Managerがログに記録できるようにします。
初回使用: ユーザー設定プロセスをカスタマイズして、組織のニーズへの対応と操作性の改善を行います。
パスワード・ポリシー: 企業のセキュリティ・ポリシーの伝播、セキュリティの改善、および自動化されているときの操作性の改善を行います。
Logon Manager設定: UIの制御、セキュリティの実装、機能の有効化、無効化と構成などを行います。

これらのカスタマイズの各決定は、計画、デプロイメント、使用、管理の各段階に影響を与えます。

2.1.1.4 コア(ストレージを含む)

優先暗号化アルゴリズムを使用して、エージェントはユーザー資格証明を暗号化し、暗号化されたローカルの資格証明ストレージにローカルに格納します(エージェントが、ディスク上やメモリー内に、資格証明を暗号化されていない状態で保持することはありません)。資格証明はユーザー固有のセキュアなデータベース・ファイルに格納されます。このファイルに格納されるのは、ユーザー資格証明、ユーザー設定、構成に関する追加情報の各セットを暗号化したレコードです。

2.1.1.5 資格証明の同期

エージェントは、ユーザーの資格証明および設定をローカルに格納しますが、この資格証明および設定をリモート・ファイル・システム、ディレクトリ、データベース、デバイスなどと同期することができます。同期の対象にできるのは、(すべてのユーザー資格証明が格納されている)ユーザーのデータベース・ファイル全体またはデータベース内の個々のレコードです。同期は、ローカル資格証明ストレージまたは設定の変更によって発生します。同期は、同期APIを経由して、任意のストレージ・メカニズムに対して拡張することもできます。

エージェント管理は、同期コンポーネントを経由して全面サポートされています。また、管理者は、集中ストレージ・メカニズムを使用して、更新された設定および構成データをエージェントに動的に配信できます。

エージェントは様々な同期拡張を行うため、ユーザーは任意のデスクトップから自分の資格証明にアクセスできる他、エージェントには次のものが含まれます。

Microsoft Active Directory
Microsoft Active Directory Lightweight Directory Services (AD LDS)。旧称はMicrosoft Active Directory Application Mode (ADAM) (以降、Microsoft AD LDS (ADAM)と呼びます)
Lightweight Directory Access Protocol (LDAP)
データベース
ファイル・システム

Logon Managerでは、次のような最も一般的なLDAP対応のディレクトリ・サーバーがサポートされています。

Oracle Directory Server Enterprise Edition
Oracle Internet Directory
Oracle Unified Directory
Oracle Virtual Directory
IBM Tivoli Directory Server
Microsoft Active Directory Server
Novell eDirectory
OpenLDAP Directory Server
次のようなSQL対応のリレーショナル・データベース・システム
- Oracle Database
- Microsoft SQL Server
- IBM DB2
注意:
必須のバージョンおよびサポートされるバージョンの詳細は、製品の動作保証マトリクスを参照してください。

Logon Managerには、リモートのネットワーク・ドライブ共有などで、1つのファイル・システムをサポートするシンクロナイザ拡張もあります。

各コンピュータにインストールする同期モジュール、各ユーザーに対して有効にするモジュール、および各拡張の構成方法を決定します。(デフォルトでは、シンクロナイザ・モジュールはインストールされていますが、同期拡張はインストールされていません。)各機能の詳細は、次の項を参照してください。

可動性の構成
ユーザー・データの格納
ディレクトリ・サーバー同期サポート
ファイル・システム同期サポート
データベースの同期のサポート

2.1.1.6 イベント・ロギング

エージェントは、シェルからの通知を受けて、資格証明の使用、資格証明の変更、グローバルな資格証明イベント、エージェントのイベント、エージェント機能の使用を含む、すべてのSSOシステム・イベントをログに記録できます。また、エージェントは、指定されたフィールドをログに記録することもできます。イベントは、ローカルに記録することも、イベント・ロギングAPIを経由して任意の外部の宛先に記録することもできます。これらの宛先には、SNMPサービス、(Windowsイベント・ログを経由して表示するための) Windowsサーバー、簡略化されたな解析および報告を行うためのローカルのXMLログ・ファイルがあります。

エージェントは、イベント・ロギングAPIを使用して、すべてのイベントをログに記録できます。

Logon Managerは様々なイベント・ロギング拡張を行いますが、ローカルとリモートの両方のサーバーに書き込むイベント・ロギング拡張には次の2つがあります。

ローカル・ファイル拡張: 書込み先はXMLファイル
Windowsイベント・ロギング拡張: 書込み先はWindowsイベント・ロギング・サーバー
データベースへのイベント・ロギング
Syslogサーバーへのイベント・ロギング

Oracleから追加の拡張をリリースする可能性があり(OracleやSNMPなど)、ユーザー独自の拡張を簡単に記述することもできます。

各コンピュータにインストールするイベント・ロギング・モジュール、各ユーザーに対して有効にするモジュール、拡張の構成方法、これらの拡張にエージェントが書き込む頻度、エージェントがキャッシュするデータの量、エージェントによるログの書込み先などを決定します。(デフォルトでは、イベント・ロギング・モジュールはインストールされておらず、ロギングも行われません)

詳細は、「イベント・ロギング」を参照してください。

2.1.1.7 その他のコンポーネント

Logon Managerには、次のようなその他のモジュールも含まれています。

バックアップ/リストア。資格証明の同期を実行しないユーザーのために、バックアップ/リストア・コンポーネントによって、ユーザー資格証明をアーカイブおよびリストアすることができます。
CitrixおよびWindows Terminal Servicesのツール。Citrix ServerまたはWindows Terminal Services環境でエージェントを使用する必要がある環境の場合、Logon Managerが各セッション内で適切に対話できるように、追加のコンポーネントが提供されています。
インストーラ・パッケージ。Logon Managerは、Windows Installerパッケージに含まれており、そのテクノロジの柔軟性を活かし、デプロイメントとカスタマイズが簡単にできるようになっています。

2.1.2 共通のシナリオ

初回使用。エージェントは、ユーザーに対して、事前定義されたアプリケーションの現在の資格証明を入力するように要求できます。資格証明がある場合は、どの資格証明を要求するかを決定します。(デフォルトでは、エージェントは、どのアプリケーションの資格証明も要求しません。)

詳細は、「初回使用のアプリケーションのバルク追加」を参照してください。
ユーザー作業モード。Logon Managerでは、「One Workstation, One or Multiple Users」から「Frequent Movement Among Many Workstations」、および常時接続から頻繁な切断までの作業モードがサポートされています。

詳細は、「ユーザー作業モード」を参照してください。
操作性とセキュリティ。Logon Managerでは、組織に適した操作性とセキュリティのバランスを選択できます。デフォルトの構成で企業のセキュリティは保証されますが、必要に応じてこれらの設定を柔軟に調整することができます。セキュリティ推奨の詳細は、Oracle Enterprise Single Sign-On Suiteのセキュア・デプロイメント・ガイドを参照してください。

詳細は、「グローバル・エージェント・設定」にある「ユーザー・エクスペリエンス」を参照してください。
パッケージング/配信/インストール。Logon Managerは、ほとんどのデプロイメント・ツールおよびデプロイメント・メソッドをサポートしています。どのコンポーネントをどのデスクトップにデプロイするかを決定します。

デプロイメントの詳細は、「Logon Managerのデプロイメント」を参照してください。

2.1.3 リソース

Logon Managerでは、プログラミング・ファイル、設定およびデータが、すべて次の場所に格納されます。

%ProgramFiles%\Passlogix\v-GO SSOディレクトリには、Logon Managerプログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\Logon Manager)。
%ProgramFiles%\Passlogix\v-GO SSO\Consoleディレクトリには、管理コンソール・プログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\v-GO SSO\Consoleです)。
%ProgramFiles%\Passlogix\SSO File Sync Serviceディレクトリには、SSO File Sync Serviceプログラム・ファイルが含まれています。(デフォルトは、C:\Program Files\Passlogix\SSO File Sync Serviceです)。
%AppData%\Passlogixディレクトリには、ユーザー・データ・ファイルが含まれています。(デフォルトはOSによって異なり、Windows 7の場合はC:\Users\%Username%\AppData\Roaming\Passlogixです)。
HKCUレジストリ・ツリーには、ユーザーのデフォルト設定が格納されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Passlogixレジストリ・ツリーには、オーバーライド設定(ユーザー設定よりも優先される設定)およびLogon Managerのデフォルトが格納されます。
ディレクトリ・サーバー上のvGOLocatorオブジェクトは、Logon Managerを各ユーザーの資格証明が格納される場所(vGOConfigオブジェクト)に向けます。

ディレクトリ・サーバー上のvGOConfigオブジェクトおよびファイル・システム上の類似オブジェクトには、オーバーライド設定およびユーザー・データが格納されます。

注意:

vGOConfigオブジェクトの設定は、レジストリ設定をオーバーライドします。vGOConfigはデフォルトの名前であり、このファイルは任意の名前を持つことができます。

2.2 Logon Managerの機能

Logon Managerは、次の主要な機能を使用して、エンタープライズ・ユーザーのセキュアなシングル・サインオン要件をサポートします。

機能	利点
シングル・サインオン	ネットワーク、アプリケーションおよびWebサイトにログオンするために1つのパスワードが必要です。
オーセンティケータの選択肢	WindowsのログオンまたはLDAPディレクトリ・サーバーのログオンを使用して認証を行います。Logon Managerは、主要な認証として、スマート・カードのような厳密なオーセンティケータを採用しています。
可動性のサポート	ユーザーは、任意のワークステーションからログオンでき、ディレクトリ・サーバー、データベース・システム、ファイル・システムおよびWindowsのローミング・プロファイルを経由して、自分のLogon Manager資格証明を使用できます。(Logon Managerユーザーは、スマート・カードを使用してログオンできます。)
ワークステーションの共有	Kiosk Managerを使用して、複数のユーザーが同じワークステーションをセキュアに共有できます。
パスワードの自動変更	ユーザーが自分の新しいパスワードを選択するか、またはエージェントが承認済のパスワード・ルール(パスワード・ポリシー)を使用して自動的にパスワードを選択することができます。
厳密認証	ソフト・トークンをベースにした2つの要素による認証によって、不当なアクセスから保護されます。
イベント・ロギング	ログオンやパスワード変更などのイベントを自動的にログに記録します。
自動プロンプト	パスワードで保護された新しいアプリケーションをユーザーが使用しようとした場合に、ログオンを構成するように自動的に求めます。
資格証明の共有	複数のアプリケーションが同じ資格証明を共有できます。
集中管理	すべての構成および設定は、管理コンソールで集中管理できます。
自動バックアップ/リストア	ディレクトリ・サーバー、リレーショナル・データベース、ファイル・システムなどのリモートの場所に、ユーザー資格証明を自動的にバックアップし、システムがクラッシュした後、ユーザー資格証明を自動的にリストアします。
ログオンのユーザー構成	管理者によって事前定義されたログオン以外に、ユーザーは、他のアプリケーションおよびWebサイトに対して必要となる個別ログオンを追加できます。
カスタマイズ	ユーザー設定など、ユーザーの操作環境の多くの側面をカスタマイズして、組織のセキュリティ要件およびユーザー集団の高度な技術に製品を適応させることができます。
セキュアなアーキテクチャ	エージェントは非常にセキュアに設計されているため、管理者はパスワードの漏洩を回避できます。また、最新の暗号化アルゴリズムが呼び出され、改ざん耐性モジュールが使用されます。

2.3 Logon Managerのデプロイ前の考慮事項

ここでは、Logon Managerのデプロイメントおよび管理に関する重要な概念および考慮事項について説明します。

概念	目的
ユーザー作業モード	様々な構成で作業するエージェント側のサポート・ユーザーを設定する様々な方法、および各シナリオで構成を最適化する方法についての理解
システムの構成	様々な構成で作業するサーバー側のサポート・ユーザーを設定する様々な方法、および各シナリオで構成を最適化する方法についての理解
ソフトウェアのロールアウトの基礎	Logon Managerを組織にロールアウトするときのプロセスおよび問題についての理解
管理	Logon Managerのデプロイに関するロールアウト後の問題についての理解

2.3.1 ユーザー作業モード

ユーザーは、次のような様々な作業モードでコンピュータにアクセスします。

複数のユーザーが常に特定のワークステーションを使用し、単一のユーザーである場合
複数のユーザーが、制限された数のワークステーション間を頻繁に移動する場合(ある部門の看護師など)、または1日または数時間ごとに別のワークステーションに移動する場合(コール・センターなど)
複数のユーザーが(シフトなどで)単一のワークステーションを共有する場合。このようなワークステーションは、スマート・カードなどのトークンを使用してログオンする複数のユーザーによってkioskとして使用されます。
ユーザーが常時ネットワークに接続していない場合

Logon Managerでは、前述のすべてのシナリオがサポートされ、ユーザーの最も一般的なシナリオ用に最適化できます。(デフォルトでは、ユーザーは常に特定のワークステーションを使用しますが、他のユーザーと共有しています。)

2.3.1.1 1台のワークステーションに1人のユーザー

ユーザーが常に特定のワークステーションを使用する場合は、SSOシンクロナイザ拡張を使用して、そのユーザーの資格証明をリモートの場所にバックアップできます。詳細は、「同期」を参照してください。

また、バックアップ/リストア機能モジュールでは、リモート・リポジトリを使用しなくてもワークステーションに資格証明を保存できます。バックアップ/リストア・モジュールは、デフォルトではインストールされていません。ユーザーが手動でバックアップを実行するか、またはバックアップを自動化できます。詳細は、「ファイルベースのバックアップ/リストア」を参照してください。

2.3.1.2 少数のワークステーション間で頻繁に移動

ユーザーが少数のワークステーション間を頻繁に移動する場合でも、それらの少数のワークステーションが常に使用されている場合は、Logon Manager資格証明をサポートする基本的なオプションが 2つあります。

推奨するオプションは、リモートSSOリポジトリを使用する方法です。エージェントの起動および資格証明の変更のいずれを実行しても、すべてのレコードに対してレコード・レベルの比較(同期)が強制的に実行され、その結果、常にユーザーはできるかぎり最新の資格証明を持つことになります。

もう1つのオプションは、ネットワーク・ファイル共有への自動バックアップを構成する方法です。適切に構成すると、エージェントでは、資格証明が変更されるたびに(リフレッシュ・タスク)、リモート・ストア(ネットワーク・ドライブ)へのサイレント・バックアップが実行されます。最初にエージェントが起動すると、リモート・ストアがローカル・ストアより新しいかどうかが確認され、新しい場合は、サイレント・リストアが実行されます。いずれの場合も、ユーザーは現行の資格証明を保持します。これは、(レコード・レベルではなく)ファイル・レベルの比較であるため、ユーザーが同時に2台以上のコンピュータにログオンする場合、このオプションは安全ではありません。

2.3.1.3 多数のワークステーション間で頻繁に移動

ユーザーが多数のワークステーション間で頻繁に移動する場合は、資格証明をサポートする基本的なオプションが2つあります。

推奨するオプションは、リモートSSO同期リポジトリを使用する方法です。エージェントの起動および資格証明の変更のいずれを実行しても、すべてのレコードに対してレコード・レベルの比較(同期)が強制的に実行され、その結果、常にユーザーはできるかぎり最新の資格証明を持つことになります。また、セキュリティを強化し、ディスク領域の使用を削減するには、グローバル・エージェントの同期設定で「Delete Local Cache (on Shutdown)」オプションを有効にします。

または、Windows環境がすでにWindowsローミング・プロファイルを使用して設定されている場合、ユーザー・データは%AppData%ファイル・ディレクトリに追加されるため、自動的にユーザーが使用可能になります。ただし、Windowsローミング・プロファイルには非常に帯域幅を消費するという特徴があるため、SSO資格証明とともに使用することはお薦めしません。

2.3.1.4 1台のワークステーションに多数のユーザー

単一のワークステーションに、多数のユーザーがアクセスする場合があります(Kioskなど)。Kioskにログオンするには、スマート・カード(またはその他のトークン)およびPINを使用できます(認証マネージャのみ)。これらのユーザーがリモートSSOリポジトリにアクセスできるようには、ssoSCDetectユーティリティを使用すると、スマート・カードをリーダーに挿入するたびに、Logon Managerエージェントが起動し、プライマリ・ログオンを要求できます。スマート・カードを取り外すと、ユーザーは自動的にエージェントからログアウトされます。詳細は、第7.2.9項「スマート・カード・モニター・ユーティリティ(ssoSCDetect.exe)」を参照してください。

2.3.1.5 切断

ユーザーがラップトップを使用しているか、またはリモートの場所にいる場合は、長時間ネットワークから切断されたままでいることがよくあります。

Logon Managerエージェントでは、資格証明はローカルに保存され、ネットワーク接続を使用できないモバイル・ユーザーから完全に独立しています。ユーザー資格証明および設定の格納(「ユーザー・オブジェクトでの資格証明の保存」を参照)やイベント・ロギングなどのLogon Managerモジュールでは、不定期の再接続がサポートされているため、信頼性が保証されます。

ファイルベースのバックアップ/リストアでは、ユーザーは自分自身のデータをフロッピーやZipドライブに保存できます。

Logon Managerシンクロナイザ拡張は、「Disconnected Operation」を含む同期オプションを使用するオフライン・ユーザー用に構成されます(グローバル・エージェントの「同期設定」を参照)。

2.3.1.6 セキュリティ: ロックダウンとユーザーの自由

組織のポリシーに適したセキュリティのリスク/信頼レベルのバランスをとるように、Logon Managerをカスタマイズできます。たとえば、ユーザーが特定の処置を実行する必要がある組織もあれば、それほどセキュリティを意識していない組織もあります。セキュリティ推奨の詳細は、Oracle Enterprise Single Sign-On Suiteのセキュア・デプロイメント・ガイドラインを参照してください。

2.3.1.7 操作性: ユーザーの柔軟性と簡易性

組織のポリシーに適した操作性とユーザーのスキル・レベルのバランスをとるように、Logon Managerをカスタマイズできます。たとえば、最も簡単なユーザー・インタフェース以外は使用できないユーザーが多数の組織もあれば、より経験のあるユーザーを雇い、その環境で柔軟性を確保しようとする組織もあります。

2.3.1.8 その他の設定

Logon Managerは多数の方法でカスタマイズでき、ユーザー、コンピュータまたはグループのレベルでこれらの設定を強制的に実行できます。(グループ・レベルには、企業全体が含まれる場合があります。)詳細は、「グローバル・エージェント設定(詳細)」を参照してください。

2.3.1.8.1 可動性の構成

ある組織では、非常に集中管理できる方法(たとえば、1つの親オブジェクトの下にすべてのユーザー・データ・ストア・オブジェクト)でSSOリポジトリ・コンポーネント(ディレクトリ・サーバー、リレーショナル・データベース、ファイル・システム共有)を構成します。他の組織では、分散構造(たとえば、部門、場所、従業員のレベルごとに1つの親オブジェクト)を使用します。いずれの組織にも、現在および将来のネットワーク・トポロジによって異なる長所と短所があります。一般的な長所と短所は、次のとおりです。

集中
長所グローバルに構成しやすい管理しやすい	短所ロード・バランスが難しいユーザーの母集団が分散され、ユーザー・データがローカルでレプリケートされない場合(たとえば、New Yorkのサーバー上のデータを東京から検索する場合)は、帯域幅を多く消費する

分散
長所詳細に設定できる(ユーザーごとのセキュリティなど) リソースを簡単に再割当てできる(たとえば、ユーザーが別のサーバーの近くに移動したときに、ユーザー・データ・オブジェクトも移動し、いくつかのサーバーにデータを分割する)	短所管理が難しい 1つのデータ・セットで間違いをしやすく、その不一致に気付きにくい

2.3.1.8.2 初回使用時のシナリオ

ユーザーの初回使用時のシナリオは、Logon Managerリポジトリから制御できます。初回使用時のシナリオを決定してから、Logon Managerリポジトリにオブジェクトをプッシュします。集中管理される環境を使用している場合に必要なオブジェクトは1つのみですが、分散環境を使用している場合は、各グループの要件を満たすように、初回使用時のシナリオの構成をカスタマイズできます。詳細は、「初回使用のアプリケーションのバルク追加」を参照してください。

2.3.2 システムの構成

Logon Manager構成設定は、Logon Managerリポジトリから設定できます。オーバーライド設定を決定してから、Logon Managerリポジトリのオブジェクトにプッシュします。集中管理される環境を使用している場合に必要なオブジェクトは1つのみであるため、理想的なトップ・ダウン方式でセキュリティを制御でき、分散環境を使用している場合は、各グループの要件を満たすように、設定をカスタマイズできます。

2.3.2.1 アプリケーションの構成

アプリケーション構成は、Logon Managerリポジトリから設定できます。アプリケーション構成を決定してから、Logon Managerリポジトリにオブジェクトをプッシュします。集中管理される環境を使用している場合に必要なオブジェクトは1つのみで、分散環境を使用している場合は、各グループの要件を満たすように、サポートされるアプリケーションのリストをカスタマイズできます。詳細は、「テンプレートの作成および使用」を参照してください。

2.3.3 ソフトウェアのロールアウトの基礎

基本機能にアクセスすると、Logon Managerに自分自身を認識させることができ、つまり、コンピュータにログオンすると、エージェントによってその他すべてのアプリケーションにもログオンされます。

この例を参照するには、いくつかの事前定義されたアプリケーション(Microsoft OutlookやLotus Notesなど)およびWebサイト(Yahoo!やGoogle.comなど)に応答するエージェントを監視します。標準構成でLogon Managerをインストールしてから、これらのアプリケーションを起動します。

2.3.4 管理

はじめてデプロイした後は、更新およびアップグレードのためにLogon Managerモジュールのデプロイメントを引き続き管理でき、これには、管理コンソールまたは現行のユーザー独自のデプロイメント方法を使用します。

Logon Managerの構成
ディレクトリ・サーバーおよびデータベース・システム	管理コンソールを使用して、`SSOAdminOverride`オブジェクトを変更します。
ファイル・システム	現行のファイル・システム管理ツールまたは管理コンソールを使用して、オーバーライド設定を変更します。
ローカル	ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、HKLMハイブを変更します。

アプリケーション構成
ディレクトリ・サーバーおよびデータベース・システム	管理コンソールを使用して、`SSOentlist`および(オプションで) `SSOftulist`オブジェクトを変更します。
ファイル・システム	管理コンソールを使用して、entlistおよび(オプションで) `ftulist`ファイルを変更します。
ローカル	管理コンソールを使用して、`entlist.ini`および(オプションで) `ftulist.ini`ファイルを変更します。

設定
ロールアウト後の設定変更	管理コンソールを使用して、オーバーライド設定をLogon Manager同期リポジトリ(ディレクトリ・サーバー、データベース、ファイル・システムなど)にプッシュします。ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、レジストリの変更を配置します。

ユーザー・データ
ディレクトリ・サービス	現行のディレクトリ管理ツールを使用して、ユーザー・オブジェクトを移動し、(必要に応じて)ユーザーの`SSOLocator`を変更または追加します。
ファイル・システム	現行のネットワーク管理ツール(またはWindowsエクスプローラ)を使用して、ユーザー・ファイルのディレクトリ・ツリーを移動し、(必要に応じて)ユーザー・ファイルの保存場所を変更します。
ローカル	ドメイン管理ツール、デプロイメント・ツール、RegEditなどを使用して、ユーザー・ファイルの保存場所を変更します。

ユーザー資格証明の管理
ディレクトリ・サーバー	ユーザー資格証明の削除。現行のディレクトリ管理ツールを使用して、ディレクトリからユーザー・オブジェクトを削除し、Windows管理アクセスを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの`%AppData%\SSO`ファイル・ディレクトリ・ツリーから`%AppData%\Passlogix`ファイルを削除することによって、ユーザー資格証明を削除します。ユーザー・オブジェクトの移動。現行のディレクトリ管理ツールを使用して、ユーザー・オブジェクトを移動し、(必要に応じて)ユーザーの`SSOLocator`オブジェクトを変更または追加します。
ファイル・システム	ユーザー資格証明の削除。現行のネットワーク管理ツールまたは Windowsエクスプローラを使用して、ファイル・システムからユーザー・ファイルを削除し、Windows管理アクセスを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの`%AppData%\Passlogix`ファイル・ディレクトリ・ツリーから`%UserName% AML.ini`ファイルを削除することによって、ユーザー資格証明を削除します。
ローカル	ユーザー資格証明の削除。ドメイン管理ツール、デプロイメント・ツール、Windowsエクスプローラなどを使用して、ユーザーがアクセスするすべてのコンピュータ上のユーザーの`%AppData%\SSO`ディレクトリから`%AppData%\Passlogix`ファイルを削除します。

2.4 Logon Manager用のサーバーの構成

次の項では、Logon Managerデプロイメント用のサーバーおよび同期とイベント・ロギングのサポートを構成する方法について説明します。

LDAPディレクトリ・サーバーの構成には、次のものが含まれます。
- Oracle Internet Directory
- Oracle Directory Server Enterprise Edition
- Oracle Unified Directory
- Oracle Virtual Directory
- IBM Tivoli Directory Server
- Microsoft Active DirectoryおよびAD LDS (ADAM)
- Novell eDirectory
- Open LDAP Directory Server
- Siemens Dirx
ファイル・システム構成: UNC (Universal Naming Convention)に準拠したネットワーク・ドライブまたはデバイス用
データベースの同期の構成: Oracle、Microsoft SQL ServerおよびIBM DB2データベース・システム用
Syslogイベント・ロギング: エージェントの特別な構成は必要ありません。

2.4.1 LDAPディレクトリ・サーバーの構成

この項では、Logon Managerと連携して動作するようにLDAPディレクトリ・サーバーを拡張する方法を説明します。このプロセスによって、一部のディレクトリ関連のタスクが容易になりますが、管理者がディレクトリ・サービスの計画やデプロイメントに関する知識を持っていることが前提となります。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。

Logon Managerによるディレクトリ・サーバー・リソースの使用方法の詳細は、「ディレクトリ・サーバー同期サポート」を参照してください。また、『ディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ』も参照してください。

Logon Manager用にディレクトリ・サーバーを構成するには、管理コンソールを使用してスキーマを拡張し、ディレクトリ構造にオブジェクトを設定する必要があります(「データベース・スキーマの拡張」も参照)。

ディレクトリ・サーバーに接続するときに、管理者権限が付与された認証情報を入力する必要があります。この情報には、ディレクトリ・タイプ、サーバー名またはIPアドレス(IPアドレスはMicrosoft Active Directoryサーバーにとっては有効でない場合もあります)、ポート、SSL使用の選択、ユーザーIDおよびパスワードが含まれます。

ユーザーIDは、DN形式で指定する必要があります。次に例を示します。

uid=yourname,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot

注意:

AD LDS (ADAM)リポジトリの場合:

次の手順を開始する前に、AD LDS (ADAM)サーバー・インスタンスをインストールして実行しておく必要があります。

アプリケーション・ディレクトリ・パーティション(次の手順2)のネーミング・コンテキストは、組織単位(ou)である必要があります。「AD LDS (ADAM) Setup Wizard」パネルで指定される例は、cn (コンテナ名)を示しています。

ディレクトリ・スキーマを拡張します。

注意:

スキーマを拡張する前後にディレクトリのバックアップを実行することをお薦めします。ただし、スキーマを拡張するためにユーザーの接続を切断したり、スキーマの拡張後にサーバーを再起動する必要はありません。

「Repository」メニューから、「Extend Schema」を選択します。
「Connect to Repository」ダイアログ・ボックスで必要な接続情報を入力または選択し、「OK」をクリックします。管理コンソールによって、リポジトリへのバインド、属性およびオブジェクト・クラスの追加、正常に完了したサーバー構成の確認が行われます。
追加の各サーバーに対して繰り返します。

コンテナ・オブジェクトを作成します。

コンテナ・オブジェクト(通常は、SSOConfig (organizationUnitクラス)という名前)には、オーバーライド設定およびPeopleという名前のコンテナ・オブジェクトが保持されます。Peopleコンテナ・オブジェクト(organizationUnitクラス)には、各ユーザーのコンテナ・オブジェクト(SSOUserData)が含まれ、これらの各ユーザー・コンテナ・オブジェクトには、ユーザー資格証明および設定(SSOSecretクラス)が保持されます。

注意:

管理コンソールは、適切なセキュリティを備えたコンテナ・オブジェクトを作成し、適切なセキュリティを備えたPeopleコンテナ・オブジェクトを作成し、Peopleコンテナ・オブジェクトに適切なセキュリティを備えたオーバーライド設定を配置する場合に使用します。

管理コンソールの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect to」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。
右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
必要に応じて、新しいコンテナ・オブジェクトを作成します。
1. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
2. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
3. コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が格納されるオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します(「リポジトリへの公開」も参照)。
4. オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
  
  o 管理コンソール
  
  o データ・ファイル
構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。

ロケータ・オブジェクトを作成します。

管理コンソールの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect To…」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。
右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
必要に応じて、新しいコンテナ・オブジェクトを作成します。

親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。

新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
右側のペインで、ロケータを追加するコンテナにナビゲートします。
コンテナを右クリックして、ショートカット・メニューから「Add Locator Object」を選択します(「ロケータ・オブジェクトの追加」も参照)。
ロケータ名を指定します(ユーザーごとに固有のロケータが1つずつ存在しない場合は、すべてのユーザーにデフォルトを入力します)。
ターゲットのPeopleコンテナ・オブジェクトの親コンテナ・オブジェクトにナビゲートして(またはそのパスを指定して)、「OK」をクリックします。新しく作成されたSSOLocatorオブジェクトが、指定した名前で表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
追加の各SSOLocatorオブジェクトに対して繰り返します。

注意:

「ディレクトリ構造」に示すとおり、Logon Managerがディレクトリ・サーバーに接続すると、エージェントがユーザー資格証明を保存できる場所を指すSSOLocatorオブジェクトが検索されます。Defaultという名前のオブジェクトが、ツリーのいずれかの場所に存在する必要があります。必要に応じて、特定のユーザーに固有のSSOLocatorClassオブジェクトを作成できます。

2.4.2 ファイル・システムの構成

この項では、Logon Managerと連携して動作するようにファイル・システムを拡張する方法を説明します。このプロセスによって、一部のタスクが容易になりますが、管理者がファイル・システム共有の計画やデプロイメントに関する知識を持っていることが前提となります。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。

注意:

Logon Managerによるファイル・システム・リソースの使用方法の詳細は、「ファイル・システム同期サポート」を参照してください。

Logon Manager用にファイル・システム共有を構成するには、管理コンソールを使用して、ディレクトリ構造にオブジェクトを設定する必要があります。

注意:

ファイル・システムに接続するときに、管理者権限が付与された認証情報を入力する必要があります。この情報には、シンクロナイザ拡張タイプ、UNCパス、ユーザーIDおよびパスワードが含まれます。

ユーザーIDは、ドメイン名の形式で指定する必要があり、たとえば、yourdomain\yournameです。

2.4.2.1 コンテナ・オブジェクトの作成

通常、コンテナ・オブジェクトは、UNC形式のファイル・システム共有です。次に例を示します。

\\Server\Share

または、パスで共有を示すこともできます。次に例を示します。

\\Server\Share\Path\subPath

コンテナ・オブジェクトには、オーバーライド設定およびPeopleという名前のコンテナ・オブジェクトが保持されます。

Peopleコンテナ・オブジェクトは、各ユーザー用のコンテナ・オブジェクトが含まれるファイル・フォルダです(権限: User=Full; Server\Administrators=Full)。
これらの各ユーザー・コンテナ・オブジェクトには、SSOUserDataという名前のコンテナ・オブジェクトが保持されます。
各SSOUserDataコンテナ・オブジェクトには、SSOSecretDataオブジェクト(ファイル)のユーザー設定および各アプリケーション資格証明用のコンテナ・オブジェクトが保持されます。
これらの各コンテナ・オブジェクトには、1つのアプリケーション用のユーザー資格証明(SSOSecretDataという名前のファイル)が含まれます。

管理コンソールの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect To…」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。
右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
必要に応じて、新しいコンテナ・オブジェクトを作成します。
1. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
2. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が格納されるオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します(「リポジトリへの公開」も参照)。
オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
- 管理コンソール
- データ・ファイル
構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。

2.4.3 データベースの同期の構成

この項では、Logon Managerと連携して動作するようにリレーショナル・データベース・サーバーを構成する方法を説明します。リレーショナル・データベースの管理と操作に関する基本知識があることを前提としています。このドキュメントでは、Logon Managerのデプロイメントに固有の概念のみを取り上げます。

注意:

Logon Managerによるデータベース・リソースの使用方法の詳細は、「データベースの同期のサポート」を参照してください。

データベース同期用にLogon Managerを構成するには、管理コンソールを使用してデータベース・スキーマを拡張し、コンテナ・オブジェクトを作成する必要があります。

データベース・スキーマを拡張します。

注意:

スキーマを拡張する前後にデータベースのバックアップを実行します。

「Repository」メニューから「Extend Schema」を選択します。

「Connect to Repository」ダイアログ・ボックスで必要な接続情報を入力または選択し、「OK」をクリックします。管理コンソールをデータベース・サーバーに接続するには、管理者レベルの認証が必要です。管理コンソールによって、データベースへの接続、必要なオブジェクトの作成、正常に完了した構成の確認が行われます。

注意:

SQL Serverでは、スキーマの拡張時にデータベースが存在しない場合は、スキーマの拡張機能によってデータベースが作成されます。IBM DB2の設定手順については、「IBM DB2の構成」を参照してください。

追加の各サーバーに対して繰り返します。
コンテナ・オブジェクトを作成します。

コンテナ・オブジェクト(通常は、SSOConfigという名前)には、オーバーライド設定のデフォルト設定およびPeopleという名前のコンテナ・オブジェクトが保持されます。Peopleコンテナ・オブジェクトには、各ユーザーのコンテナ・オブジェクトが含まれ、これらの各ユーザー・コンテナ・オブジェクトには、ユーザー資格証明および設定が保持されます。

管理コンソールは、コンテナ・オブジェクトの作成、Peopleコンテナ・オブジェクトの作成、そしてPeopleコンテナ・オブジェクトに対する適切なセキュリティを備えたオーバーライド設定の配置に使用します。

管理コンソールの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect To…」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。
右側のペインで、Peopleオブジェクトおよびオーバーライド設定の作成先となるコンテナ・オブジェクトにナビゲートします。
必要に応じて、新しいコンテナ・オブジェクトを作成します。
1. 親コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「New Container」を選択します。
2. 新しいコンテナ・オブジェクトの名前を入力し、その名前を選択します。
コンテナ・オブジェクト(Peopleコンテナ・オブジェクトおよびオーバーライド設定が格納されるオブジェクト)を右クリックし、ショートカット・メニューから「Publish to Repository」を選択します(「リポジトリへの公開」も参照)。
オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
- データ・ファイル
- 管理コンソール
構成手順が完了すると、新しく作成されたPeopleオブジェクト、およびオーバーライド設定のエントリがリポジトリ・ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。
追加の各コンテナ・オブジェクトに対して、この手順を繰り返します。

2.4.4 IBM DB2の構成

Logon Managerの中央リポジトリ・スキーマを拡張し、中央リポジトリとしてIBM DB2を準備するには、この項の手順に従います。

2.4.4.1 IBM DB2の設定要件

ローカル・マシンでIBM DB2クライアントをインストールする必要があります。
DB2クライアントには、OLE DB (Object Linking and Embedding Database)サポートがインストールされ、構成されている必要があります。このサポートは、様々なデータ・ソースに格納されているデータにアプリケーションが一様にアクセスできるようにする一連のインタフェースを提供します。OLE DBサポートをインストールするには、DB2設定ウィザードを実行して、「Client support」 > 「Interfaces」 > 「OLE DB Support」にナビゲートします。詳細は、DB2のドキュメントを参照してください。
スキーマを拡張するユーザーとして現在(Windowsに)ログオン中のユーザーには、リポジトリに接続し、スキーマを拡張するために、データベースに対する適切な権限が必要です。DB2ユーザー・アカウントには、データベース管理者権限が必要です。
DB2管理者は、vGOSSOというデータベースを作成する必要があります。

これらの手順の詳細は、IBM DB2のドキュメントを参照してください。

2.4.4.2 データベース・スキーマの拡張

管理コンソールを開きます。
「Repository」メニューから、「Extend Schema」を選択します。
「Connect to Repository」メニューから、必要なIBM DB2接続情報を入力または選択します。
- Server Name。サーバー名を入力します。
- Repository Type。「DB2 Database」を選択します。
- Port。デフォルトのポート(通常は50000)でない場合のみ、ポート番号を入力する必要があります。デフォルトのポートの場合は、このフィールドは空のままにできます。

「OK」をクリックします。

注意:

管理コンソールをデータベース・サーバーに接続するには、管理者レベルの認証が必要です。管理コンソールによって、データベースへの接続、必要なオブジェクトの作成、正常に完了した構成の確認が行われます。

スキーマの拡張機能は、次のSQLコマンドを使用して、スキーマを拡張します。

CREATE SCHEMA vGOSSO;

CREATE TABLE vGOSSO.SSO_ADMIN (ConfigType VARCHAR(128) NOT NULL, Data CLOB, PRIMARY KEY(ConfigType));

CREATE TABLE vGOSSO.SSO_USERS (UserID VARCHAR(128) NOT NULL, ObjectID VARCHAR(255) NOT NULL, Data CLOB, PRIMARY KEY (UserID, ObjectID));

スキーマを拡張したら、DB2データベースで、SSO_USERS表とその索引に対する完全な権限と、SSO_ADMIN表とその索引に対する読取り専用の権限を付与する必要があります。

2.4.4.3 リポジトリへの公開

管理コンソールの左側のペインで、「Repository」を右クリックし、ショートカット・メニューから「Connect To…」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。
右側のペインで、ルート(サーバー名)にナビゲートします。
ルートで右クリックして、ショートカット・メニューから「Publish to Repository」を選択します。ルートの下にはPeopleコンテナ・オブジェクトがすでに存在します。
管理オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
- Administrative Console。このウィザード・ページは、現在の管理コンソール設定をソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。
- Data File。このウィザード・ページは、1つ以上のデータ・ファイルをソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。
構成手順を実行すると、オーバーライド設定のエントリが「Repository」ペインに表示されます。必要に応じて、任意のオブジェクトを右クリックし、「Refresh」を選択します。

2.4.4.4 IBM DB2データベースに接続するために必要な設定

「Required Database Synchronization」設定は、すべてのデータベース・シンクロナイザ拡張に対して設定する必要があります。

シンクロナイザを追加して、IBM DB2用に構成するには、次の手順を実行します。

管理コンソールを開き、一連のグローバル・エージェント設定を選択します。
「Synchronization」 > 「DBExt」 > 「Required」の順に展開します。

次の情報を入力します。

Extension location。このボックスは選択します。これは、IBM DB2データベース・シンクロナイザ拡張のpath\filenameです。(デフォルト: C:\Program Files\LocalDirectory\v-GO SSO\Plugin\SyncMgr\DBEXT\DBExt.dll)

Servers。接続して同期させるために、データベース・サーバーの接続文字列を指定します。チェックボックスを選択し、省略記号(…)ボタンをクリックして、「Edit List」ダイアログを開きます。各行に1台のデータベース・サーバーの完全接続文字列を入力します。[Enter]を押して各行を終了します。他のデリミタ文字を使用しないでください。

注意:

この拡張が機能するには、少なくとも1つの接続文字列を指定する必要があります。

IBM DB2データベースに接続するには、次の接続文字列を使用します。

Provider=IBMDADB2;Data Source=vGOSSO;CurrentSchema=vGOSSO;Location= <DB2ServerName>[:port];Extended Properties="trusted_connection=yes";

<DB2ServerName>はサーバーの名前、[:port]はオプションのポートです。

「Synchronization」 > 「DBExt」の順に展開します。「Advanced Database Synchronization」設定では、すべてのデータベース・シンクロナイザ拡張を対象とした拡張オプションを制御します。この設定は必須ではありません。

「Append Domain when naming objects」を使用すると、ユーザーのコンテナに名前を付ける際にユーザー名にユーザーのドメインを追加できます。

例: ドメインcompanyおよびユーザーuser1の場合、コンテナは、このフラグを無効にするとuser1と名付けられ、このフラグを有効にするとuser1.companyと名付けられます。デフォルトでは、「Disable」に設定されています。この機能を有効にするには、「Enable」を選択します。

2.4.5 リポジトリ

この項では、Logon Managerと連携して動作するように構成されているリポジトリの操作について説明します。リポジトリの計画および構成の詳細は、『ディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ』を参照してください。

2.4.5.1 リポジトリの表示および接続

同期リポジトリに対して確立した接続を表示するには、次の手順を実行します。

左側のペインで「Repository」をクリックして、現在のLogon Managerの同期リポジトリを表示します。
または、どの接続もアクティブでない場合は、次の操作を実行します。

左側のペインで「Repository」を右クリックして、ショートカット・メニューから「Connect To…」を選択します。

2.4.5.2 リポジトリに関するアクションおよびオプション

右側のペインの「Repository」ウィンドウでオブジェクトを右クリックすると、コマンドおよびオプションが含まれる次のいずれかのショートカット・メニューが表示されます。

コンテナを選択した場合
Publish SSO Objects Here	「Publish to Repository」ダイアログを開き、ここで、アプリケーション・テンプレートやリポジトリに対するエージェント設定オーバーライドなどの構成オブジェクトを公開します。
Bring Multiple Objects to Console	現在の管理コンソール設定にインポートする複数の構成オブジェクトを選択可能なリストを表示します。
Add Locator Object	ロケータ・オブジェクトを作成します(ディレクトリ・サーバーのみ)。
Create People Container	Microsoft Active Directory以外のディレクトリ・システム上でアプリケーションの資格証明記憶域に使用される`ou=People`コンテナを作成します。
New Container	選択したコンテナ内に新しいコンテナを作成します。
Delete	コンテナおよびその中のすべてのオブジェクトを削除します。
Refresh	ディレクトリのウィンドウを更新します。
Filter Subnodes…	「Subnodes Filtering Options」ダイアログを開き、ここで、リポジトリのサブノードを表示するために管理コンソールで使用する基準を調整します。

オーバーライド・オブジェクトを選択した場合
Configure	管理コンソール設定またはデータ・ファイルから管理オーバーライド・オブジェクトを作成します。
View	選択したオブジェクトを素早く表示し、そのオブジェクトを`INI`ファイルに保存するためのオプションも示します。
Bring to Console	現行の管理コンソール設定にオブジェクトをインポートします。インポートしたファイルに現在の構成と同じ名前の項目(アプリケーション、ポリシー、グループ)が含まれている場合は、「Import/Merge Conflict」ダイアログが表示されます。インポートしたファイルに現在の構成の既存セットと同じ名前のグローバル・エージェント設定セットが含まれている場合は、インポートしたセットに「Copy of existing settings」という名前が付与されます。
Save as File	ローカルの`INI`ファイルにオブジェクトを保存します。
Delete	オブジェクトをリポジトリから削除します。

2.4.5.3 Add User or Group (Active Directoryロール/グループのサポート用)

このダイアログは、現在の構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定またはパスフレーズ・セット)のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合に使用します。

コントロール
List Names From	Active Directoryのドメインまたはサーバーを選択します。
Names	選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
Add	「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。
Members	グループを選択した場合、「Names」リストに「Global Group Membership」ダイアログが表示され、ここに、選択したグループのメンバーがリストされます。
Search	特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログが表示されます。
Add Names	すでに選択したユーザーまたはグループの名前を表示します。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。

2.4.5.4 「Global Group Membership」の表示(ADロール/グループのサポート用)

「Global Group Membership」ダイアログには、「Add User or Group」ダイアログで選択されたグループのメンバーのリストが表示されます。このダイアログは、現行の構成アイテムに対するアクセス制御リストに追加する個々のメンバーを選択する場合に使用します。(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします。)「Add User or Group」ダイアログで、「Add」をクリックして、選択した名前を「Names」リストにコピーします。

2.4.5.5 特定のユーザーまたはグループの検索(ADロール/グループのサポート用)

「Find Account」ダイアログは、特定のドメイン内または複数のドメイン全体で特定の個々のユーザー・アカウントまたはユーザー・グループを検索し、検索結果の一部または全体を、現在の構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定またはパスフレーズ・セット)のアクセス制御リストに追加する場合に使用します。

名前を検索する
Find a User or Group	検索するユーザーまたはグループの名前を入力します。ユーザー/グループ名の完全一致のみ可能です。
Search All/Search Only in	すべての使用可能なドメイン(下のリスト・ボックスに表示される)を検索するか、検索する特定のドメインを選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。
Search	ユーザー/グループ名の検索を開始します。

リストに結果を追加する
Search Results	検索基準と一致するユーザー・アカウントおよびグループ・アカウントをリストします。
Add	「Search Results」リストで選択したユーザーおよびグループを「Add User or Group」ダイアログの「Add Names」リストに追加します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。

2.4.5.6 Adding Users or Groups(LDAPロール/グループのサポート用)

このダイアログは、現行の構成アイテム(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ・セット)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合に使用します。

コントロール
Search Base	ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。場所を入力するか、「Change」をクリックして、ディレクトリ・ツリーを参照します。
Change	「Select Search Base」ダイアログを表示して、検索するベース・ディレクトリを参照します。
Search	ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
Users and Groups	検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。

2.4.5.7 Selecting a Search Base (LDAPロール/グループのサポート用)

このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了して「Select Users or Groups」ダイアログに戻る場合は、「OK」をクリックします。

2.4.5.8 リポジトリの参照

このダイアログでは、現在接続しているディレクトリ・サーバーの階層にある、特定のターゲット・リポジトリ・コンテナにナビゲートできます。また、必要に応じて、異なるサーバーに接続することもできます。

ターゲット・リポジトリ・コンテナを選択するには、次の手順を実行します。

(オプション)管理コンソールが現在接続しているディレクトリ・サーバーが目的のターゲット・サーバーでない場合は、「Change Server」をクリックして接続情報に入力し、「OK」をクリックして目的のサーバーに接続します。
ディレクトリ・ツリーで、ターゲット・コンテナにナビゲートして選択します。
「OK」をクリックします。

2.4.5.9 リポジトリへの接続

管理コンソールを同期リポジトリに接続するには、次の手順を実行します。

「Repository」を右クリックし、ショートカット・メニューから「Connect To…」を選択します。
必要な接続情報を入力または選択し、「OK」をクリックします。

2.4.5.10 接続コントロール

メニュー・オプション	説明
「SyncPath」または「Server Name」	次のいずれかです。「Repository Type」にディレクトリ・サービスを選択した場合は、サーバー名を入力または選択します。または「Repository Type」でデータベースを選択した場合は、インスタンス名(Oracle用)、またはバックスラッシュで区切られたサーバー名とインスタンス名(SQL Server用)を入力または選択します。または「Repository Type」にファイル・サービスを選択した場合、同期フォルダへのパスを入力または選択します。注意: 「Edit List」を選択して、ドロップダウン・リストからディレクトリ/サーバーを削除します。 SQL Serverの場合、データベース・サーバーが接続先のコンピュータ上の唯一のインスタンスであるときには、コンピュータ名のみを入力します。ターゲット・コンピュータに複数のデータベース・サーバー・インスタンスがある場合は、完全接続アドレス(`computerName\dbServerName`)を入力します。ドライブ名およびディレクトリ・パスとしてでなく、UNCパスとしてファイル・システム・サーバーを指定する必要があります。例: `\\ServerName\ShareName not D:\ShareName`
Repository Type	ドロップダウン・リストから「File System Sync」、ディレクトリ・サービスまたはデータベース・サーバーを選択します。「OpenLDAP Directory Server」を選択したときに、Extend Schema Statusエラーが表示された場合は、スキーマを手動で拡張します。
Port	(ディレクトリ・サーバーのみ)ポート番号を入力します。
Database	(データベース・サーバーのみ)接続先のデータベースの名前。既存のデータベースの名前を入力します(デフォルトはvGOSSO)。
Use secure channel (SSL)	Secure Socket Layerを有効にする場合に選択します(ディレクトリ・サーバーのみ)。
User ID	ユーザー名を入力します。
Password	パスワードを入力します。

2.4.5.11 新規コンテナの作成

「New Container」プロンプトを使用して、現在のリポジトリの選択したノードで、新しいコンテナ・オブジェクトに名前を付けます。

新規コンテナに名前を付けるには、コンテナ名を入力し、「OK」をクリックします。

詳細は、「リポジトリ」を参照してください。

2.4.5.12 サーバー・リストの編集

このダイアログ・ボックスは、「Connect to Repository」ダイアログの「Server Name」ドロップダウン・リストに表示されるサーバーを削除する場合に使用します。サーバーを選択して、「Delete」を選択します。終了したら、「OK」をクリックします。

2.4.5.13 リポジトリ・リストの編集

「Select Objects to Bring to Console」ダイアログには、最近使用されたターゲット・リポジトリのリストが表示され、リストから不要なエントリを削除できます。

リストから不要なエントリを削除するには、次の手順を実行します。

リストでエントリを選択します。
「Delete」をクリックします。
不要なリスト・エントリで、手順1から2を繰り返します。
完了したら「OK」をクリックします。

2.4.5.14 サブノードのフィルタリング・オプション

サブノードのフィルタリング設定は、リポジトリ・ツリーに表示するアイテムの数を制御します。フィルタリングを使用すると、より管理可能な結果を表示するよう、管理コンソールがこれらのツリーのサブノードの表示に使用する基準を調整できます。

次の2つの方法で表示するサブノードを制限できます。

リストをフィルタします。アスタリスク(*)および疑問符(?)のワイルドカードを使用します。

ワイルドカード・フィルタは、ノード固有です。フィルタする各ノードに異なるワイルドカードを使用できます。ワイルドカード・フィルタは、リポジトリ・ノードを切り替えたときに破棄され、管理コンソール・セッションの最後に期限切れになります。
リストを切り捨てます。表示するノードの数を制限します。

ツリーに表示する子ノードの最大数のしきい値を指定します。この数字は、すべてのリポジトリ・ノードを制御し、管理コンソール・セッションの間有効です。最小値は1、最大値は65,535で、デフォルトは1,000です。これはつまり、管理コンソールでは、異なった構成をしないかぎり、最大1,000のエントリが表示されるということです。

最小値以下の値または最大値以上の値を入力する場合、管理コンソールでは、制限に近い方を使用します。

サブノードをフィルタするには、次の手順を実行します。

リポジトリに接続します。
リポジトリのノードで右クリックして、「Filter Subnodes …」を選択します。
「Subnodes Filtering Options」ダイアログで、次のいずれかまたは両方を実行します。
- 「Filter List」フィールドで、ワイルドカード表現を入力します。
- 「Truncate list」フィールドで、表示するノードの最大数を選択します。指定できる最大数は65,535です。デフォルトは1,000です。
「OK」をクリックします。
結果を表示するサブノードを展開します。

2.4.5.15 フィルタ済サブノードの使用

フィルタ済のサブノードのアイコンには、標準のアイコンの横にFが含まれており、フィルタ済の状態であることを示します。

「Truncate list」の設定で設定したしきい値を超える数のサブノードを含むノードを展開することを選択する場合、「Subnodes Filtering Options」ダイアログに次のように表示されます。

警告: 表示されるアイテムの数はXXXX(指定した数)で、次に定義された制限を越えています。

「OK」をクリックして、前の手順で設定した制限を使用して、サブノードを展開するか、またはリストを格納するノードの最大数を変更してから、「OK」をクリックします。このサブノードにしきい値を設定していない場合は、管理コンソールでは、システムのデフォルトの1,000を使用します。

2.4.5.16 管理コンソールへの複数オブジェクトのインポート

「Bring Multiple Objects to Console」ダイアログは、選択したコンテナおよびその子コンテナに格納されているすべてのオブジェクトをフラット・リストで表示します。さらに、現在の管理コンソール設定にインポートする複数のオブジェクトを選択できます。

リストから複数のオブジェクトを選択して、管理コンソールにインポートするには、次の手順を実行します。

[Ctrl]を押しながら、目的の各オブジェクトをクリックします。

または

[Shift]を押しながら目的の範囲の最初と最後のオブジェクトをクリックします。
「OK」をクリックします。

2.4.5.17 リポジトリへの公開

この画面では、選択したターゲット・コンテナに、選択した構成オブジェクトをディレクトリ形式の階層(デフォルト)、またはフラット形式の構成ファイルとして公開できます。

注意:

除外リストを公開するときの考慮事項については、「除外の使用」を参照してください。

目的のオブジェクトを選択して、リポジトリに公開するには、次の手順を実行します。

次のいずれかを行います。
- ツリーで、公開する構成オブジェクトで右クリックして、「Publish」または「Publish To…」を選択します。
  
  または
- ツリーから構成オブジェクトを選択して、「Tools」 > 「Publish to Repository」を選択します。

「Publish to Repository」ダイアログの「Available configuration objects」リストで、目的のオブジェクトにナビゲートし、選択します。

注意:

オブジェクトが構成されているカテゴリのみが、このリストに表示されます。たとえば、パスワード生成ポリシーが存在しない場合、対応するカテゴリはこのリストに表示されません。

「>>」をクリックして、選択したオブジェクトを「Selected objects to be published」リストに移動します。(このリストからオブジェクトを除去して公開しないようにするには、オブジェクトを選択して、「<<」をクリックします。)

(オプション)ターゲット・コンテナで右クリックして「Publish SSO Objects Here」コマンドを起動しなかった場合は、「Target repository」ドロップダウン・リストから目的のコンテナを選択します。

注意:

リストにターゲット・コンテナのパスが表示されない場合、「Browse」をクリックして目的のコンテナを検索して選択します。

このリストから不要なエントリを削除するには、リストで「Edit list」オプションを選択します。

(オプション)構成オブジェクトをフラット形式で格納する必要がある環境の場合は、個々のオブジェクトとしてでなく、構成ファイルで「Store selected items」ボックスを選択します。

注意:

ターゲット・コンテナに存在する場合、このオプションを選択することで、既存の構成ファイルに格納されているすべての項目が上書きされます。

(オプション)はじめて使用するオブジェクト(FTUList)を作成する場合、対応するチェック・ボックスを選択します。

注意:
このオプションは、手順4で構成オブジェクトをフラット形式で格納することを選択した場合にのみアクティブになります。

「Publish」をクリックします。管理コンソールは、選択したオブジェクトをターゲット・リポジトリに公開します。

注意:

公開プロセスが完了するまで、ダイアログを終了したり、管理コンソールを閉じようとしないでください。オブジェクトが公開されると、ダイアログは自動的に閉じます。

オブジェクトまたはオブジェクトのグループを即時に公開するには、左側のツリーでオブジェクトを選択し、コンテキスト・メニューから「Publish」(単一のオブジェクトおよびグループ)または「Publish To」(単一のオブジェクトのみ)を選択します。

これにより、「Publish to Repository」ダイアログを起動し、公開されるオブジェクトのリストに、自動的にオブジェクトを追加します。次の点に注意してください。

「Publish」オプションを選択する場合、「Publish to Repository」ダイアログが表示されます。
「Publish To」を選択してリポジトリを選択した場合、選択したオブジェクトはそのリポジトリに自動的に公開されます。「Publish to Repository」ダイアログは表示されません。(選択したリポジトリに現在接続していない場合は、ディレクトリ・サーバーに対する認証が求められます。)

2.4.5.18 管理コンソールからリポジトリへの公開

このウィンドウは、現在の管理コンソール設定をソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。エクスポートできるのは、次のとおりです。

1つ以上のアプリケーション・ログオン
初回使用(bulk-add)オブジェクト
一連のグローバル・エージェント設定

2.4.5.19 管理コンソールからの管理オーバーライドのエクスポート

管理コンソールから管理オーバーライドをエクスポートするには、次の手順を実行します。

次のいずれかを行います。
- 「Send All Applications」を選択します。
  
  または
1. 「Send Some Applications」を選択し、次の操作を実行します。
2. 「Select Apps」をクリックします。
  
  または
1. 「Select Applications」ダイアログから、送信するアプリケーションを選択します。次に、「OK」をクリックします。
2. 「Send No Apps」を選択します。
オプションで、「Create First-Time-Use (FTUList) object」を選択します。
オプションで、「Admin Overrides」ドロップダウン・リストから一連のグローバル・エージェント設定を選択します。
「Next」を選択します。ウィザードにオーバーライド構成のサマリーが表示されます。
「Finish」をクリックして、エクスポートを完了します。

2.4.5.20 「Publish to Repository」ウィンドウの表示

Logon Managerリポジトリに接続します。
右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、「Publish to Repository」ダイアログを開きます。
「Administrative Console」を選択します。

2.4.5.21 データ・ファイルからリポジトリへの公開

このウィンドウは、1つ以上のデータ・ファイルをソースとして使用して、選択したシンクロナイザ・コンテナにエージェント構成をエクスポートする場合に使用します。エクスポートできるのは、次のとおりです。

1つ以上のアプリケーション・ログオン
初回使用(bulk-add)オブジェクト
グローバル・エージェント設定セット (.iniファイルまたは.regファイルから)

注意:

コンソールによって、32ビット・システムとのみ互換性を持つ.REGファイルが生成されます。.REGファイルを64ビット・システムにマージする場合は、マージしたレジストリ・データをレジストリ内の正しい場所に移動するために、次のコマンドを実行する必要があります(そうしない場合、Universal Authentication Managerが動作しません)。

reg.exe COPY HKLM\Software\Passlogix HKLM\Software\Wow6432Node\Passlogix /s

2.4.5.22 データ・ファイルからの管理オーバーライドのエクスポート

エクスポートする各管理オーバーライド・オブジェクトのソースとして、ファイル名を入力(または「Browse」を選択してデータ・ファイルを選択)します。エクスポートできるのは、次のとおりです。
- 初回使用(ftulist.iniファイルから)
- 管理オーバーライド(有効なINIファイルまたはREGファイルから)
- アプリケーション(entlist.iniファイルから)
「Next」をクリックします。ウィザードにオーバーライド構成のサマリーが表示されます。
「Finish」をクリックして、エクスポートを完了します。

2.4.5.23 ウィザード・ページの表示

シンクロナイザ・リポジトリに接続します。
右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、「Publish to Repository」ダイアログを開きます。
「Data File」を選択します。

2.4.6 Logon Managerのサポートの構成

「Publish to Repository」ダイアログは、ファイル・システム、データベースまたはディレクトリ・サービスのシンクロナイザを使用して、エンド・ユーザーに管理オーバーライドおよびアプリケーション構成をデプロイする場合に使用します。エクスポートできるオブジェクトは、次のとおりです。

1つ以上のアプリケーション・ログオン
初回使用(bulk-add)オブジェクト
一連のグローバル・エージェント設定

「Publish to Repository」ダイアログを使用すると、現在の管理コンソール設定または1つ以上のデータ・ファイルから、選択したシンクロナイザ・コンテナ・オブジェクトに、オーバーライドを容易にエクスポートできます。

詳細は、「同期」を参照してください。

2.4.7 シンクロナイザ・コンテナへの管理オーバーライドのエクスポート

Logon Managerシンクロナイザ・リポジトリに接続します。
右側のペインで、コンテナ・オブジェクトを右クリックして、ショートカット・メニューから「Publish to Repository」を選択して、ウィンドウを開きます。
管理オーバーライドのデータ・ソースを選択し、要求された情報を指定します。
- 管理コンソール
- データ・ファイル

2.4.8 リポジトリに公開するアプリケーション、パスワード・ポリシーおよびセッション・リストの選択

「Publish to Repository」ダイアログを使用して、現在の管理コンソール・セッションから、アプリケーション・ログオン、パスワード・ポリシーおよびKiosk Managerリストを選択して、現在の同期リポジトリへデプロイします。すべてのアプリケーションとポリシーを選択したり、アプリケーションおよびポリシーを個別に選択したり、どちらか一方のリストから項目を削除できます。選択が完了したら、「Next」を選択して続行します。

リスト	定義
Applications	デプロイするアプリケーション・ログオン構成をリストします。
Password Generation Policies	デプロイするパスワード・ポリシーをリストします。
Kiosk Manager Application List	デプロイするKiosk Managerのアプリケーション・リストをリストします。

2.4.9 リポジトリに公開するグローバル・エージェント設定の選択

「Publish to Repository」ダイアログを使用して、現在の管理コンソール・セッションから、グローバル・エージェント設定セットを選択して、現在のLogon Manager同期リポジトリへデプロイします。

リストからグローバル・エージェント設定のセットを選択します。
「Next」を選択して続行します。

2.4.10 リポジトリに公開するパスフレーズ質問を含める

「Publish to Repository」ダイアログを使用して、現在の管理コンソール・セッションから現在の同期リポジトリにパスフレーズ質問をデプロイします。詳細は、「パスフレーズ・セットの使用」を参照してください。

コントロール	機能
Send the Passphrase questions	このチェック・ボックスは、パスフレーズ質問の現在のセットをデプロイする場合に選択します。「Next」を選択して続行します。

2.4.10.1 「Publish to Repository Summary」ページ

このページを使用して、構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。構成が完了したら、「Finish」を選択します。

2.4.11 リポジトリに公開するときのロール/グループ・サポート・モードの選択

「Publish to Repository」ダイアログには、Logon Manager構成情報に対するロール/グループ・アクセス制御サポートを適用するためのオプションがあります。

標準モード(デフォルト)が選択されると、構成情報は標準のLogon Managerオブジェクト(EntList(ログオンおよびポリシー用)、FTUList(バルク追加およびパスフレーズ質問用)とAdminOverride(グローバル・エージェント設定))としてディレクトリで格納されます。

「Advanced」モードを選択して、ロール/グループのサポートを有効にします。すべてのアプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ質問セットは、個々のオブジェクトとして現在の同期リポジトリに追加されます。

コントロール	機能
Enable Role/Group Support	このチェック・ボックスは、すべてのログオン、ポリシー、グローバル・エージェント設定およびパスフレーズのロール/グループ・アクセス制御設定を適用する場合に選択します。アクセス制御を適用せずに構成情報をデプロイする場合は、このチェック・ボックスの選択を解除します。「Next」をクリックして続行します。

コントロール

機能

Enable Role/Group Support

このチェック・ボックスは、すべてのログオン、ポリシー、グローバル・エージェント設定およびパスフレーズのロール/グループ・アクセス制御設定を適用する場合に選択します。

アクセス制御を適用せずに構成情報をデプロイする場合は、このチェック・ボックスの選択を解除します。「Next」をクリックして続行します。

2.4.12 EntList用のアプリケーションの構成

「Configure Applications」ダイアログを使用して、同期用にEntListオブジェクトに含めるアプリケーション・ログオンを選択します。

次のいずれかを行います。

「Send All Applications」を選択します。

または

「Send Some Applications」を選択します。

注意:

これらのいずれかのオプションにより、選択したディレクトリのすべてのアプリケーションを上書きします。ディレクトリのアプリケーションを上書きせずに「First-Time-Use」リスト・オブジェクトを作成するには、「Do not send apps」を選択します。

「Select Apps」をクリックします。
「Select Application」ダイアログで、パッケージ化するアプリケーションを選択して、「OK」をクリックします。
必要に応じて、「Create First-Time-Use (FTUList) object」を選択します。
「OK」をクリックします。

EntListオブジェクトにこのダイアログを表示するには、シンクロナイザ・リポジトリに接続し、Entlistオブジェクトを右クリックして、ショートカット・メニューから「Configure」を選択します。

2.4.13 ロケータ・オブジェクトの追加

「Add Locator Object」ダイアログは、ロケータを作成する場合に使用します。ロケータとは、エージェントがユーザー資格証明が保存される(または保存できる)コンテナを指すディレクトリ・オブジェクトのことです。すべてのエンド・ユーザー用のデフォルト・ロケータを作成したり、特定のエンド・ユーザー用のロケータを作成できます。

詳細は、「ロケータ・オブジェクトの作成」を参照してください。

コントロール機能

Locator Name デフォルトを入力して、すべてのユーザーにロケータを作成します。特定のエンド・ユーザーのロケータを作成するには、ユーザーの識別名を入力します。

Forwarding Location ユーザー資格証明が保存されているコンテナにナビゲートして、「OK」をクリックします。

Store data under the user objects (AD only)

コントロール	機能
Locator Name	デフォルトを入力して、すべてのユーザーにロケータを作成します。特定のエンド・ユーザーのロケータを作成するには、ユーザーの識別名を入力します。
Forwarding Location	ユーザー資格証明が保存されているコンテナにナビゲートして、「OK」をクリックします。
Store data under the user objects (AD only)	(Active Directoryのみ)このチェック・ボックスは、特定のユーザー(「Locator Name」がdefaultの場合はすべてのユーザー)の資格証明を特定の「Forwarding Location」ではなく、各ユーザー・オブジェクトの下のコンテナに保存する場合に選択します。この設定では、ディレクトリ・スキーマを更新し、ディレクトリ・ルート・セキュリティ設定を変更する必要があります。このためには、「Repository」メニューの「Enable Storing Credentials under User Object」コマンドを使用します。この設定を使用すると、ユーザーを個別に指定して、そのユーザーの資格証明のみを各ユーザー・オブジェクトの下に保存できます。それ以外のユーザーの資格証明は、デフォルト・ロケータで指定したとおりに保存されます。ロケータ・オブジェクトを使用せずに、すべてのユーザーの資格証明をそれぞれのユーザー・オブジェクトに格納するには、「Enable Storing Credentials under User Object」設定(`Synchronization\Selected Active Directory sync\Advanced`の下)を使用します。

(Active Directoryのみ)このチェック・ボックスは、特定のユーザー(「Locator Name」がdefaultの場合はすべてのユーザー)の資格証明を特定の「Forwarding Location」ではなく、各ユーザー・オブジェクトの下のコンテナに保存する場合に選択します。

この設定では、ディレクトリ・スキーマを更新し、ディレクトリ・ルート・セキュリティ設定を変更する必要があります。このためには、「Repository」メニューの「Enable Storing Credentials under User Object」コマンドを使用します。この設定を使用すると、ユーザーを個別に指定して、そのユーザーの資格証明のみを各ユーザー・オブジェクトの下に保存できます。それ以外のユーザーの資格証明は、デフォルト・ロケータで指定したとおりに保存されます。

ロケータ・オブジェクトを使用せずに、すべてのユーザーの資格証明をそれぞれのユーザー・オブジェクトに格納するには、「Enable Storing Credentials under User Object」設定(Synchronization\Selected Active Directory sync\Advancedの下)を使用します。

このダイアログを表示するには、次の手順を実行します。

シンクロナイザ・ディレクトリに接続します。
右側のペインで、ロケータを追加するコンテナを選択します。
コンテナを右クリックして、ショートカット・メニューから「Add Locator Object」を選択します。

2.4.14 オブジェクトの表示

このダイアログを使用して、選択した構成オブジェクトの内容を表示します。INI (テキスト)ファイルにオブジェクトを保存するには、「Save To」をクリックします。詳細は、「リポジトリ」を参照してください。

注意:

表示された構成情報を編集できますが、変更はINIファイルに保存されるだけでオブジェクト自体には保存できません。

2.5 同期

シンクロナイザ拡張を使用すると、エンド・ユーザーのローカル・ストア(ワークステーション上)とリモートSSOリポジトリ(ファイル・システム共有、リレーショナル・データベースまたはディレクトリ・サーバー)のストアの間で、資格証明を同期化できます。また、この拡張を使用すると、ローカル・エージェント設定の管理オーバーライド、アプリケーション・ログオン構成(entlist.iniをオーバーライドし、applist.iniとマージされる)およびバルク追加リスト(ftulist.iniをオーバーライドする)をデプロイできます。詳細は、「構成オブジェクトのオーバーライド」を参照してください。

シンクロナイザ拡張は、ディレクトリ・サーバー、データベース・サーバー、ファイル・システムおよびその他のストレージ・デバイスと通信します。各タイプの拡張には、独自の構成に関する要件があります。

2.5.1 サポートされるシンクロナイザ

Logon Managerでは、次のシンクロナイザ拡張がサポートされます。

Microsoft Active Directory Server (AD LDS (ADAM)を含む)。

注意:

ユーザーが企業ネットワークの外部からActive DirectoryまたはAD LDS (ADAM)リポジトリと同期することになる場合は、企業のファイアウォールを通してRPCプロトコルベースの接続を許可する必要があります。そうしないと、ユーザーはリポジトリと同期できなくなります。

LDAP対応のディレクトリ・サーバー(Oracle Internet Directory、Oracle Directory Server Enterprise Edition、OpenLDAPディレクトリ・サーバー、IBM Tivoli Directory Server、Novell eDirectory)。
リレーショナル・データベース(Oracle DB、Microsoft SQL Server、IBM DB2)。
ネットワーク・ファイル・システム。

シンクロナイザ拡張では、次のタスクを実行できます。

宛先のデバイス/リソース/ストアへの接続(またはバインド)。
オーバーライド設定の検索(管理オーバーライド、アプリケーション構成情報および初回使用の構成情報)。
ローカル・ユーザー・ストア(資格証明)とリモート・ストアとの同期化。

Logon Managerでは、各拡張を複数回使用することができるため、複数の構成をサポートできます。たとえば、LDAPディレクトリ・サーバーおよびファイル・システムのシンクロナイザ拡張がインストールされている場合、エージェントは資格証明をLDAPディレクトリ・サーバーとファイル・システムと同期化し、両方からオーバーライド設定をダウンロードします。詳細は、「複数のシンクロナイザ拡張」を参照してください。

2.5.2 ディレクトリ・サーバーの同期のサポート

管理コンソールでは、次のようなLDAPディレクトリ・サーバーがサポートされています。

Oracle Internet Directory
Oracle Directory Server Enterprise Edition
Oracle Unified Directory
Oracle Virtual Directory
Open LDAP Directory Server
IBM Tivoli Directory Server
Microsoft Active Directory
Microsoft AD LDS (ADAM)
Novell eDirectory
Siemens Dirx

Logon Managerでは、管理構成、可動性およびバックアップでディレクトリ・サーバー・リソースが使用されます。管理者は、新規のレジストリentlist.iniおよびftulist.ini (バルク追加)の設定、または既存の設定の更新を行うためにオーバーライド構成をデプロイできます。ユーザーは資格証明(バックアップ用)を保存して、複数のコンピュータ間を移動できます(可動性)。Logon Managerがディレクトリ・サーバーに接続すると、特定のディレクトリ構造を使用して、ユーザーの資格証明およびオーバーライド設定が格納されている場所が判断されます。

注意:

各ディレクトリ・サーバーには、プラットフォーム固有の構成に関する問題があります。それらの問題については、各構成の項で説明します。

2.5.3 ディレクトリ構造

各ディレクトリ内では、Logon Managerは次のオブジェクト構造を使用します。

ユーザーが最初にディレクトリ・サーバーに接続すると、ディレクトリ・ツリー上の特定のパスを検索するようにシステムが構成されます。次の項に示すプロセスを使用して、エージェントはSSOConfigオブジェクトを検索できます。SSOConfigオブジェクトには、オーバーライド設定およびPeopleオブジェクトが含まれています。Peopleオブジェクトには、ユーザーの設定、プリファレンスおよび資格証明が含まれています。

2.5.4 ユーザー・オブジェクトの検索および作成

エージェントは、ユーザー資格証明を格納および検索する特定オブジェクトを検索する必要があります。最初に接続に成功した後、エージェントによって、次の場所にあるユーザー・レジストリにオブジェクトDNが記録されます。

HKCU\…\Extensions\SyncManager\%Extension%:Root

%Extension%は、Sync Orderのシンクロナイザのグローバル・エージェント設定で指定した名前になります。ただし、特定のワークステーションからはじめて接続するときは、ユーザー・オブジェクトが移動するか、またはユーザー・レジストリにこの情報が含まれていない場合は、エージェントがユーザー・オブジェクトを検索する必要があります。

Logon Managerでは、ディレクトリ・サーバーにユーザー資格証明を保存するための最適な場所を検索するために3つの方法が使用されます。各方法では、指定された識別名が検索され、後の2つの方法では、ルートに向かってディレクトリ・ツリーを移動し、関連する情報を持つ親オブジェクトが検索されます。

1番目の方法では、指定された場所でユーザー・オブジェクト(CN=%UserName%,OU=People)が検索されます。
2番目の方法では、適切な場所へのユーザー固有のポインタ・オブジェクト(CN=%UserName%,OU=SSOLocator)が検索され、オブジェクトが存在しない場合は、エージェントによってオブジェクトが検出されるか、またはエージェントによってルートが確認されるまでツリーを移動します。
3番目の方法では、適切な場所へのデフォルト・ポインタ(CN=default,OU=SSOLocator)が検索されます。存在しない場合は、エージェントによってオブジェクトが検出されるか、またはエージェントによってルートが確認されるまでツリーを移動します。

いずれの方法も成功しなかった場合、ユーザーはディレクトリ・サーバーに資格証明を保存できません(既存のローカル資格証明は使用可能です)。

注意:

%UserName%変数は、ユーザー・システムのユーザー名/IDからMicrosoft Active Directoryに自動的に設定されます。LDAPディレクトリ・サーバーの場合、%UserName%変数は、ユーザーがディレクトリ・サーバーへのバインドを実行するユーザー名/IDから設定されます。

2.5.4.1 方法1: Logon Managerによるユーザー・オブジェクトの検索

Logon Managerでは、最初に、OU=Peopleオブジェクト内で、ルート・レジストリ・キーで指定されたユーザー・オブジェクトCN=%UserName%が検索されます(前述の説明を参照)。

次のようにレジストリ・キーを設定すると、

OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com,

エージェントは次の項目を検索します。

CN=%UserName%,OU=People,OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com.

ルート・レジストリ・キーが設定されていない場合、エージェントは、

HKLM\…\Extensions\SyncManager\%Extension%

で「User Paths」(「「LDAP Synchronization」の設定」を参照)または「Naming Attribute string」(「「LDAP Special Purpose Synchronization」の設定」を参照)を検索します。これらは、エージェントが検索する場所を指します。

たとえば、次のようにUserPath1を設定するとします。

CN=users,DC=Company,DC=com

エージェントは次の項目を検索します。

CN=%UserName%,OU=People,OU=SSOConfig,OU=QA,OU=Eng,OU=Company,DC=com

2.5.4.2 方法2: Logon Managerによるユーザー・ポインタの検索

ユーザー・オブジェクトが存在しない場合、次にLogon Managerでは、SSOConfigオブジェクトと同じオブジェクト内で、SSOLocatorオブジェクトが検索されます。したがって、前述の例を続行すると、エージェントは次の項目を検索します。

CN=%UserName%,OU=SSOLocator,OU=QA,OU=Eng,DC=Company,DC=com

ユーザー・ポインタが存在しない場合、エージェントはルートに向かってツリーを移動し、最初に次の場所を検索します。

CN=%UserName%,OU=SSOLocator,OU=Eng,DC=Company,DC=com

次に

CN=%UserName%,OU=SSOLocator,DC=Company,DC=com

ユーザーCNを持つSSOLocatorオブジェクトが存在する場合は、ユーザー資格証明が保存されている場所を指します。エージェントによって、この情報はユーザーのRootレジストリ・キーに記録され、今後のログオンではその場所が検索されます。

ポインタでディレクトリ・ツリーの任意の場所を示すことができることに注意してください。たとえば、次の場所のポインタは、

CN=%UserName%,OU=SSOLocator,OU=Eng,DC=Company,DC=com

次の場所にあるユーザー・オブジェクトを指すことができます。

CN=%UserName%,OU=People,OU=SSOConfig,OU=Sales,DC=Company,DC=com.

2.5.4.3 方法3: Logon Managerによるデフォルト・ポインタの検索

ユーザー・ポインタが存在しない場合、次にLogon Managerでは、各SSOLocatorオブジェクト内で、デフォルト・オブジェクトが検索されます。前述の例を続行すると、エージェントは次の項目を検索します。

CN=default,OU=SSOLocator,OU=QA,OU=Eng,DC=Company,DC=com

CN=defaultのSSOLocatorオブジェクトが存在する場合は、ユーザー資格証明がデフォルトで保存されている場所を指します。エージェントによって、この情報はユーザーのRootレジストリ・キーに記録され、今後のログオンではその場所が検索されます。デフォルトのオブジェクトの例を次に示します。

OU=People,OU=SSOConfig,OU=Sales,DC=Company,DC=com.

2.5.5 ファイル・システムの同期のサポート

管理コンソールでは、UNC (Universal Naming Convention)で指定できる任意のネットワーク・ドライブ/デバイスとのファイル・システム同期がサポートされています。また、ファイル・システム同期を使用すると、複数のユーザーが単一のワークステーションを共有するKioskユーザーのシナリオもサポートできます。

2.5.5.1 ファイル・システム構造

ユーザーが最初にファイル・システムに接続すると、特定のパスを検索するようにコンピュータが構成されます。次に、エージェントはvGOConfigオブジェクトを検索するように指示され、このオブジェクトには、オーバーライド設定およびPeopleオブジェクトが含まれており、Peopleオブジェクトには、ユーザーの設定、プリファレンスおよび資格証明が含まれています。

2.5.6 データベースの同期のサポート

管理コンソールでは、クライアント・ワークステーションとリレーショナル・データベース・サーバー間のユーザー資格証明、アプリケーション・ログオンおよびグローバル・エージェント設定の同期がサポートされています。サポートされるサーバーとして、Oracle Database、Microsoft SQLServer、IBM DB2などがあります。サポートされるサーバーの完全なリストについては、Oracleの動作保証のマトリクスを参照してください。

このタイプの同期では、Logon Manager構成オブジェクトおよびユーザー・データ・コンテナは、Logon Manager固有の表のデータベース・レコードとしてサーバーに保存されます。

SSO_ADMINでは、管理コンソールで作成する構成オブジェクトがレコードとして保存されます。
- EntList (アプリケーション・ログオン)、FTUList (設定ウィザード構成)
- AdminOverride (グローバル・エージェント設定)
  
  同期中、すべてのワークステーション・ユーザーは、この表から自分自身のログオンおよびオーバーライド設定を読み取りますが、管理コンソールを使用して書き込むことができるのは管理者のみです。これらの構成オブジェクトは、ファイル・システムおよびディレクトリ・サーバーのシンクロナイザの場合と同じ階層レイアウトで管理コンソールに表示されます。
SSO_USERSでは、ユーザー資格証明、プリファレンスおよび同期の状態がレコードとして保存されます。同期中、ユーザーは自分自身のレコードを読み取り、書き込みます。現在ログオンしているユーザーのレコードにのみアクセスできます。管理コンソールでは、各ユーザーのレコードはユーザー・コンテナ内に表示されます。

Logon Managerがデータベース・サーバーに接続すると、構成オブジェクトおよびオーバーライド設定が(SSO_ADMINから)読み取られ、(SSO_USERSの)ユーザー・データが同期化されます。

データベース同期を構成する手順は、その他の同期方法と似ています。

データベース・スキーマを拡張して、前述の2つの表を作成します。
コンテナ・オブジェクトを作成します。
- SSOConfigオブジェクト
  
  このオブジェクトには、オーバーライド設定が含まれます。
- Peopleオブジェクト
  
  このオブジェクトには、各ユーザーの設定、プリファレンスおよび資格証明用のユーザー・コンテナが保持されます。

2.5.7 複数のシンクロナイザ・サポート

Logon Managerでは、複数のシンクロナイザ拡張および同じ拡張の複数の構成との同期化がサポートされています。いずれの場合も、エージェントでは、最初の拡張との同期、次に各従属拡張との同期の完了が試行されます。

オーバーライド設定が各拡張に存在する場合があります。エージェントがオーバーライド設定を含む複数の拡張を処理する方法の詳細は、「オーバーライド設定の複数セットの使用」を参照してください。

注意:

%AD%、%LDAP%および%File%の例は、それぞれの拡張を参照し、%Extension%は、それらの拡張のいずれかを参照します。

2.5.8 複数のシンクロナイザの拡張

Logon Managerでは、複数のシンクロナイザ拡張の同時使用がサポートされています。たとえば、エージェントは最初にMicrosoft Active Directoryサーバーと同期化し、次にOracle Directory Server Enterprise Edition、最後にファイル・システムのシンクロナイザと同期化できます。認証マネージャの場合、その後エージェントはスマート・カードと同期化できます。

これを有効にするには、次の手順を実行します。

目的のシンクロナイザ拡張でLogon Managerをインストールします。
管理コンソールで、グローバル・エージェント設定の既存のセットを選択するか、新しいセットを作成します。
左側のペインで、「Global Agent Settings」を展開し、「Synchronization」を右クリックして、「Manage Synchronizers」を選択します。
「Synchronizers」ダイアログで「Add」を選択し、この拡張に名前を付け、拡張タイプ(Active Directory、ファイル・システム、LDAPなど)を選択した後、「OK」をクリックします。
追加のシンクロナイザ拡張ごとに前の手順を繰り返し、必要に応じて並べ替えます。
シンクロナイザごとに、左側のペインでそのシンクロナイザを選択し、右側のペインで、パスが選択され、指定の場所が正しいことを確認します。

注意:
ユーザーが複数の拡張を区別できるように、DisplayNameレジストリのエントリを設定することをお薦めします。

2.5.9 同一のシンクロナイザ拡張の複数の構成

Logon Managerでは、複数の構成で指定された拡張の使用がサポートされています。たとえば、あるLDAPディレクトリ・サーバーの構成をOracle Directory Server Enterprise Edition用に、別のLDAPディレクトリ・サーバーの構成をNovell eDirectory用にすることができます。

これを有効にするには、次の手順を実行します。

目的のシンクロナイザ拡張でLogon Managerをインストールします。
管理コンソールで、グローバル・エージェント設定の既存のセットを選択するか、新しいセットを作成します。
左側のペインで、「Global Agent Settings」を展開し、「Synchronization」を右クリックして、「Manage Synchronizers」を選択します。
「Synchronizers」ダイアログで「Add」を選択し、この拡張に名前を付け、拡張タイプLDAPを選択した後、「OK」をクリックします。
追加のシンクロナイザ拡張ごとに前の手順を繰り返し、必要に応じて並べ替えます。
シンクロナイザごとに、左側のペインでそのシンクロナイザを選択し、右側のペインで、パスが選択され、指定の場所が正しいことを確認します。

注意:
ユーザーが複数の拡張を区別できるように、DisplayNameレジストリのエントリを設定することをお薦めします。

2.5.10 構成オブジェクトのオーバーライド

シンクロナイザ拡張では、グローバル・エージェント設定(管理オーバーライド)、アプリケーション構成情報(EntList)、および初回使用時のシナリオ(FTUlist)のオーバーライド構成をダウンロードできます。次の表に示すとおり、これらの各オブジェクトには、ローカルで対応するものがあります。

設定タイプ	ローカルで対応するもの	ディレクトリ・サーバー/データベース・オブジェクトの名前	ファイル・システム・オブジェクトの名前
管理オーバーライド	`HKLM`の下のレジストリ・エントリ	`SSOAdminOverride`	AdminOverride
アプリケーション・ログオン構成情報	`entlist.ini`ファイル	`SSOentlist`	entlist
はじめて使用する場合の構成情報(バルク追加情報など)	`ftulist.ini`ファイル	`SSOftulist`	ftulist

後の2つのタイプのオブジェクトは、ローカルで対応するもの(entlist.iniおよびftulist.ini)と形式およびレイアウトが似ています。最初のタイプのオブジェクトの構文は、次のとおりです。

[HKLM\Software\Passlogix]

REQUIRED: RegistryPath\RegistryPath:KeyName=TYPE:Value

この書式は、管理コンソールによってエクスポートされます。

例1

[HKLM\Software\Passlogix]
Shell:AutoBackupPath=STRING:\\FS\Home
Shell:ShowAccessBtn=DWORD:1
Extensions\AccessManager:ReauthOnReveal=DWORD:0

注意:

ディレクトリ・サーバーのインストール中、ロール・グループ・ベースのアクセスのサポートとともにこの構成情報を有効にできます。

サーバーURLなどの特定の設定はオーバーライドすべきではないため、管理オーバーライド・オブジェクトから永久に除外されます。オーバーライドの対象から除外されるエントリの完全リストについては、「グローバル・エージェント設定でのエージェントの構成」を参照してください。

2.5.11 複数のオーバーライド設定セットの使用

エージェントは、それぞれの1つ以上のオーバーライド設定を持つ拡張が見つかるまで、各拡張から各タイプのオーバーライド設定を取得しようとします。オーバーライド設定がダウンロードされた後、エージェントがそのオーバーライド設定について他の拡張を問い合せることはしません。

2.5.11.1 サンプル・シナリオ

例

順序: Ext1、Ext2、Ext3、Ext4
Ext1には、管理オーバーライドがあります。
Ext2には、管理オーバーライド、entlist.iniファイル、および初回使用時の情報ファイルがあります。
Ext3には、管理オーバーライドがありません。
Ext4には、管理オーバーライド、および初回使用時の情報ファイルがあります。

シナリオA

Ext1が接続され、管理オーバーライドがダウンロードされ、同期化されます。
Ext2が接続され、アプリケーション構成情報および初回使用時の構成情報がダウンロードされ、同期化されます。
Ext3が接続され、同期化されます。
Ext4が接続され、同期化されます。

シナリオB

Ext1が失敗します。
Ext2が接続され、管理オーバーライド、アプリケーション構成情報および初回使用時の構成情報がダウンロードされ、同期化されます。
Ext3が接続され、同期化されます。
Ext4が接続され、同期化されます。

シナリオC

Ext1が失敗します。
Ext2が失敗します。
Ext3が接続され、同期化されます。
Ext4が接続され、管理オーバーライドおよび初回使用時の構成情報がダウンロードされ、同期化されます。

2.5.12 選択可能なバックアップ/リストア

ユーザー資格証明のローカル・ストアとリモートのバックアップ・ファイルを比較して、古いセットの上に新しいセットを書き込むようにエージェントを構成することができます。この選択可能なバックアップ/リストア(または同期)は、コマンド行から(したがって、atまたはtimedジョブから)、または特定のエージェント・イベント(起動タスク、リフレッシュ・タスクなど)を構成することによってトリガーできます。

注意:

資格証明の個々のセットは比較されません。同期の詳細は、「同期」を参照してください。

2.5.13 コマンド行同期

コマンド行同期をトリガーするには、次の構文を使用してコマンド行からエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。

ssoshell.exe /mobility /sync [path] /silent

説明:

[path]

バックアップ・ファイルが保存されているディレクトリへの実際のパスが存在します。(デフォルトは、最後にコマンド行バックアップ・ファイルが格納されたディレクトリまたはShell:AutoBackupPathが指す場所です。)

/silent

バックアップ/リストアの実行時にバックアップ/リストア・ウィザードを表示しません。

\\FS\Backup\Privateのネットワーク共有からの完全なサイレント同期化を実行するには、次のコマンドを実行します。

ssoshell.exe /mobility /sync \\FS1\Backup\Private /silent

最後に使用された場所、またはShell:AutoBackupPathが指す場所に同期化するには、次のコマンドを実行します。

ssoshell.exe /mobility /sync /silent

2.6 パスワード・ポリシーの設定

Logon Managerを使用すると、管理者は自動パスワード生成を制御するポリシーを設定できます。パスワード・ポリシーによって、組織のセキュリティを保証する一方で、ユーザー・ログオンが容易になります。

大部分のアプリケーションには、パスワードの長さや、番号やシンボルなどを使用できるかどうかというパスワードの制約があります。Logon Managerのパスワード生成機能では、事前定義された一連の制約に従ってランダムな文字列で構成され、パスワード・ポリシーとして保存されるパスワードが自動的に作成されるため、アプリケーション・ログオンのセキュリティが強化されます。各ポリシーは、複数のアプリケーション(サブスクライバ)に適用できます。

事前定義されたパスワード・ポリシーを使用すると、パスワード変更を完全に自動化でき、複雑なパスワード、定期的なパスワード変更、ユーザーには知られないアプリケーション固有のパスワードなどの高度なセキュリティ・スキームを実装できます。

注意:

作成したポリシーによってパスワードの作成が難しくなったか、または不可能になった場合、Logon Managerでは最大5秒間のパスワードの作成が試行され、その後、パスワードが作成できなかったことがユーザーに通知されます。「Test Policy」をクリックすると、特定のポリシーで生成されたパスワードをプレビューできます。

2.6.1 パスワード生成ポリシーの作成

左側のペインで、「Password Generation Policy」をクリックします。このオプションによって現在使用可能なパスワード生成ポリシーが表示され、ポリシー設定へのアクセスが提供されます。

詳細は、「パスワード・ポリシーの設定」を参照してください。

新しいパスワード・ポリシーを追加するには、次の手順を実行します。

次のいずれかを行います。
- 右側のペインで、「Add」をクリックします。
  
  または
- 左側のペインで、「Password Generation Policy」を右クリックしてから、ショートカット・メニューの「New Policy」をクリックします。
「Policy Name」に値を入力し、「OK」をクリックします。右側のペインに「Policy Subscribers」タブが表示され、新しいポリシーを使用するアプリケーションを追加できます。

リスト内のパスワード・ポリシーの構成を変更するには、次の手順を実行します。

ポリシーをクリックして、「Edit」をクリックします。右側のペインに、「Policy Subscribers」タブが表示されます。

1つ以上のパスワード・ポリシーを削除するには、次の手順を実行します。

ポリシーを選択し(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)、「Remove」をクリックします。

2.6.2 パスワード・ポリシーの追加

このダイアログは、新しいパスワード生成ポリシーを追加して名前を付ける場合に使用します。

「Policy Name」に値を入力し、「OK」をクリックします。

このダイアログを表示するには、次の手順を実行します。

「Password Generation Policy」を右クリックして、ショートカット・メニューから「New Policy」を選択します。

または
「Insert」メニューから、「Password Generation Policy」を選択します。

2.6.3 選択済のパスワード・ポリシーの使用

「Password Generation Policies」の下にあるリストには、構成済のパスワード生成ポリシーが表示されます。右側のペインのタブを使用すると、ポリシーのプロパティの表示や変更、このポリシーを使用するアプリケーションの追加や削除、またはセキュリティ設定の変更ができます。

詳細は、「パスワード・ポリシーの設定」を参照してください。

パスワード・ポリシーを表示または編集するには、次の手順を実行します。

左側のペインで、「Password Generation Policies」をクリックします。
右側のペインのリストからポリシーを選択し、「Edit」をクリックします。右側のペインに、「Policy Subscribers」タブが表示されます。

または

左側のペインで、「Password Generation Policies」アイコンの横のプラス記号(+)をクリックし(または「Password Generation Policies」をダブルクリックして)、構成済のログオンを表示します。
ポリシー・アイコンをクリックして選択します。右側のペインに、「Policy Subscribers」タブが表示されます。

コントロール	機能
Add	他のポリシーを作成します。
Delete	選択したポリシーを削除します。
Add Note	将来の参考用にこのポリシーのメモをアタッチします。

2.6.4 ポリシー・サブスクライバの管理

「Policy Subscribers」タブは、選択したパスワード生成ポリシーを使用するアプリケーションを追加または管理する場合に使用します。

詳細は、「パスワード・ポリシーの設定」を参照してください。

ポリシーにアプリケーションを追加するには、次の手順を実行します。

「Add」をクリックします。「Select Application」ダイアログが表示されます。
このポリシーを使用するアプリケーションを選択します。([Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。)
「OK」をクリックします。

ポリシーからアプリケーションを削除するには、ポリシーを選択し(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)、「Remove」をクリックします。

「Add Notes」をクリックして、メモを入力します。

このタブを表示するには、次の手順を実行します。

左側のペインで、「Password Generation Policies」をクリックします。
右側のペインのリストからポリシーを選択し、「Edit」をクリックします。
右側のペインに、「Policy Subscribers」タブが表示されます。

2.6.5 「Password Constraints」タブ

「Password Constraints」タブは、パスワードに使用可能な文字の種類、数、位置および繰返しを設定または変更する場合に使用します。これらの制約は、選択したポリシーをサブスクライブするアプリケーション用にLogon Managerが自動生成する新しいパスワードに適用されます。

このポリシーのパスワード制約に基づいたテスト・パスワードを表示するには、「Test Policy」ボタンをクリックします。

詳細は、「パスワード・ポリシーの設定」を参照してください。

パスワード制約を設定するには、次の手順を実行します。

次のいずれかを行います。
- パスワード・ポリシーを選択します。
  
  または
- 新しいパスワード・ポリシーを作成します。
右側のペインで、「Password Constraints」タブをクリックします。
表示されたコントロールから制約オプションを選択します。

2.6.5.1 パスワードの制約オプション

次の表に、様々なパスワード制約オプションと設定できる値を示します。

パスワードの長さ	オプション
Minimum Length	パスワードに使用する最小文字数(1から128)。デフォルトは8です。
Maximum Length	パスワードに使用できる最大文字数(1から128)。デフォルトは8です。

繰り返し文字	オプション
Maximum repeated non-consecutive characters	パスワード内で特定の文字を任意の位置で繰り返すことができる最大回数(0から127)。デフォルトは7です。
Maximum repeated consecutive characters	パスワード内で特定の文字を連続して(その文字に隣接して)繰り返すことができる回数(0から127)。デフォルトは7です。

英字	オプション
Allow Uppercase Characters	パスワードでの大文字の使用を許可する場合に選択し、許可する最小文字数を入力または選択します。
Allow Lowercase Characters	パスワードでの子文字の使用を許可する場合に選択し、許可する最小文字数を入力または選択します。

数字	オプション
Allow Numeric Characters	パスワードでの数字の使用を許可する場合に選択し、許可する最小および最大文字数を入力または選択します。
Can Start Password	数字で始まるパスワードを許可する場合に選択します。デフォルトでは、パスワードの先頭に数字を使用できます。
Can End Password	数字で終わるパスワードを許可する場合に選択します。デフォルトでは、パスワードの末尾に数字を使用できます。

特殊文字	オプション
Allow Special Characters	英数字以外の使用を許可する場合に「Allow Special Characters」を選択し、許可する最小および最大文字数を入力または選択します。デフォルトでは、特殊文字は許可されていません。
Can Start Password	特殊文字で始まるパスワードを許可する場合に選択します。デフォルトでは、パスワードの先頭に特殊文字を使用できます。
Can End Password	特殊文字で終わるパスワードを許可する場合に選択します。デフォルトでは、パスワードの末尾に特殊文字を使用できません。

その他の文字
パスワードでのその他の文字の使用を許可する場合に選択します。

除外する文字
パスワードから除外する特定の文字を入力します。

前のパスワードの制約

オプション

Password must not be the same as previous password

前のパスワードの再利用を防ぐ場合に選択します。

Limit the amount of characters that are the same as the previous password

前のパスワードからの文字の繰り返しを制限する場合に選択します。

Number of characters that can be the same from the previous password

前のパスワードからの一部の文字の再利用を許可する場合、許可する最大文字数を選択します。

注意: Logon Managerは、1つの文字が複数回使用されても同じ文字と認識するため、新しいパスワードでその文字を複数回使用することが可能です。

前のパスワードにAが3つ含まれる場合に、前のパスワードから1文字を再利用可能に指定すると、Logon Managerによって、新しいパスワードでAを複数回使用することが許可されます。

テスト・ポリシー
「Test Password Policy」ダイアログを表示し、ここでは、現在のポリシー設定に基づくテスト・パスワードのセットを生成および表示できます。

2.6.6 パスワード・ポリシーのテスト

「Test Password Policy」ダイアログを使用して、現在選択されているパスワード・ポリシーに基づいて一連のテスト・パスワードを生成します。これにより、このポリシーが適用されるアプリケーションからのパスワード変更リクエストに、エージェントがどのように応答するのかを確認できます。生成するテスト・パスワードの数を選択できます。

設定したパスワード制約が矛盾していたり、制限が強すぎてパスワードを生成できない場合は、テストに失敗したパスワードの数とその理由を示すメッセージが表示されます。

2.6.6.1 Generating a Test Password

この画面は、ポリシーに準拠するパスワードのリストを生成し、ポリシーがニーズを満たすものであるかを判断する場合に使用します。

「Number of test passwords to generate」を選択するか、入力します。
「Generate Passwords」をクリックします。出力ウィンドウにサンプル・パスワードが表示されます。
終了したら、「Cancel」またはダイアログの右上隅にある「X」をクリックしてダイアログを閉じます。

このダイアログを表示するには、次の手順を実行します。

次のいずれかを行います。
- パスワード・ポリシーを選択します。
  
  または
- 新しいパスワード・ポリシーを作成します。
右側のペインで、「Password Constraints」タブをクリックします。
制約の設定を指定するか変更し、「Test Policy」をクリックします。

2.7 パスフレーズ・セットの使用

セキュリティを拡張するために、パスワードのリセットをリクエストするときに、ユーザーに表示される質問のグループを作成できます。パスフレーズ・セットと呼ばれるこれらのグループは、「Passphrase Questions」画面を使用して作成、構成、変更および削除します。

注意:

この機能は、Windows Authenticator v2、LDAP Authenticator v2およびSmart Card認証(SCAuth)の認証マネージャでのみ使用されます。

セキュリティを向上させるには、現在のオーセンティケータでSecondaryAuth.dllシグネチャを確認し、ロードする前にその信頼性を検証します。製品で提供されるものではなく、2つ目のオーセンティケータ拡張を使用する場合、実装する前に、署名のためにOracleに送信する必要があります。

2.7.1 パスフレーズ・セットの追加

パスフレーズ・セットを追加するには、次の手順を実行します。

次のいずれかを行います。
- 左側のペインで、「Passphrase Questions」を右クリックして、ショートカット・メニューから「New Passphrase」を選択します。
  
  または
- 右側のペインで右クリックして、ショートカット・メニューから「New Passphrase」を選択します。
  
  または
- 右側のペインの下部の「Add」ボタンをクリックします。
  
  または
- 「Insert」メニューから、「Passphrase」を選択します。
「Add Passphrase Set」ダイアログでパスフレーズ・セット名を入力し、「OK」をクリックします。
右側のペインの「Questions」タブを使用して、現在のパスフレーズ・セットに質問を追加します。

2.7.2 パスフレーズ・セットの削除

パスフレーズ・セットを削除するには、次のいずれかを実行します。

左側のペインで、「Passphrase Questions」を選択します。
右側のペインのパスフレーズ・セットのリストから、セットを選択して、「Delete」ボタンをクリックします。

または

セットを選択し、右クリックして、ショートカット・メニューから「Delete」を選択します。

または

左側のペインで「Passphrase Questions」をダブルクリックしするか、「+」記号をクリックしてメニューを開きます。
展開された「Passphrase Questions」メニューから、既存のパスフレーズ・セットを右クリックし、ショートカット・メニューから「Delete」を選択します。

2.7.3 パスフレーズ・セットの変更

パスフレーズ・セットを変更するには、次の手順を実行します。

「Passphrase Questions」メニューの下のパスフレーズ・セットをダブルクリックします。そのセットの質問は、右側のペインの「Questions」タブに表示されます。
- セットに質問を追加するには、「Add」ボタンをクリックして、「Add a Question」ダイアログに質問を入力します。次に、「OK」をクリックします。
- セットの質問を編集するには、選択して、「Edit」ボタンをクリックします。「Add a Question」ダイアログで質問を変更します。次に、「OK」をクリックします。
- セットの質問を削除するには、選択して、「Remove」ボタンをクリックします。Logon Managerによって削除の確認が求められます。「OK」をクリックします。

2.7.4 デフォルトのパスフレーズ・セットの設定

このオプションは、パスフレーズ・セットをデフォルトとして指定する場合に使用します。デフォルト・セットには、ユーザーが初回使用(FTU)時に応答するパスフレーズ質問が含まれています。FTUウィザードは、次の場合に起動されます。

インストール後にはじめてエージェントを起動したとき

または
管理者がftulistオブジェクトをデプロイするとき(ftulist.iniファイルなど)。

初回使用時、Logon Managerユーザーはパスフレーズ質問を選択し、応答を指定します。ユーザーがプライマリ・ログオン・パスワードを後で変更する場合、この格納されたパスフレーズ応答を使用してLogon Managerの認証を再設定できます。次回シングル・サインオンの再認証が必要なときに、ユーザーが新しいパスワードを入力すると、Logon Managerによってユーザーのアイデンティティを確認するためのパスフレーズ質問が表示されます。

エージェントは、1つのパスフレーズ・セットのみを使用します。ユーザーに応答してもらう質問セットを決定し、デフォルトのパスフレーズ・セットとして指定する必要があります。デフォルトとして指定するセットは、ftulistに書き込まれる唯一のセットです。

管理コンソールにftulistをインポートし、パスフレーズ・セットを変更してから、そのftulistをリポジトリに再エクスポートする場合は、そのパスフレーズ・セットをデフォルトとして再設定しないと、エクスポートに含められません。

デフォルトのパスフレーズ・セットを割り当てるには、次のいずれかを実行します。

右側のペインでセット名を右クリックし、ショートカット・メニューから「Set As Default」を選択します。

または
左側のペインで、セット名を右クリックし、ショートカット・メニューで「Set As Default」を選択します。パスフレーズ・セット名は右側と左側の両方ペインで太字で表示され、デフォルトのセットであることを示しています。

2.7.5 「Questions」タブの使用

「Questions」タブは、選択されたパスフレーズ・セットの質問と設定を管理する場合に使用します。左側のペインからこのタブを表示するには、「Passphrase Questions」を選択して、太字で表示される「Default Set」を選択します。

パスフレーズ・セットに質問を追加するには、次の手順を実行します。

ドロップダウン・メニューから、言語を選択します。
「Add」をクリックするか、または「Insert」メニューから「Passphrase」を選択します。
「Add Question」ダイアログに質問を入力します。
応答の最小長を選択または入力します。
「OK」をクリックします。

次の表に、パスフレーズ質問のセットの構成方法を示します。

コントロール	機能
Language	パスフレーズ質問の言語を選択します。
Default Question	現在のデフォルトのパスフレーズ質問のリストを表示します(これはデフォルトで選択されています)。新しいパスフレーズ質問が追加されると、デフォルトのパスフレーズの選択が解除されます。選択すると、デフォルトのパスフレーズは現在のパスフレーズ・セットに対して無効になります。選択を解除すると、デフォルトのパスフレーズは現在のパスフレーズ・セットに対して有効になります。
Enabled Question	現在のパスフレーズ質問のリストを表示します。選択されている項目は、現在のセットに対して有効なパスフレーズです。パスフレーズを無効にするには、チェック・ボックスをクリックして選択を解除します。パスフレーズ質問を変更するには、それをダブルクリックするか、選択して「Edit」をクリックします。
Add	新しいパスフレーズ質問を追加します。「Add Question」ダイアログが表示されます。
Remove	選択されたパスフレーズ質問を削除します。確認プロンプトが表示されます。
Edit	選択されたパスフレーズ質問を変更します。「Edit Question」ダイアログが表示されます。
Set This Passphrase Set as Default	現在のセットをデフォルトとして設定します。左側のペインで、デフォルトのパスフレーズ・セットの名前が太字で表示されます。
Remove or Disable?	パスフレーズ質問を作成してデプロイし、エンド・ユーザーによる使用を開始したら、そのパスフレーズ質問を削除しないでください。削除されたパスフレーズ質問を選択したユーザーは、Logon Manager資格証明へのアクセス権を取り消さないと、パスワードを変更できなくなります。使用中のパスフレーズ質問を削除して、初回使用時に表示されないようにするには、「Questions」タブのリストでチェック・ボックスの選択を解除することによってその質問を無効にします。

2.8 資格証明共有グループ

資格証明共有グループは、アカウントの管理を簡素化するために1つ以上のフィールドの情報を共有するアプリケーションのセットであり、1つのアプリケーションで行われた資格証明の変更を他の指定したアプリケーションに自動的に適用できます。作成する各グループには、任意の数のアプリケーションを含めることができ、それらのアプリケーションが共有する資格証明を指定できます。

Logon Managerで共有グループのメンバーである任意のアプリケーションに対する資格証明の変更が処理されると、その資格証明の変更が他のすべてのグループ・メンバーに自動的に適用されます。Windows、メインフレーム/ホスト、Webアプケーションの数や組合せにかかわらず、1つの資格証明を共有できます。Windows(ドメイン)またはディレクトリ・サーバー(LDAP)のオーセンティケータが使用される場合は、同様に、選択されたアプリケーションでは単一の資格証明がオーセンティケータと共有されます。

資格証明共有グループを有効にしないかぎり、エージェントへの最初のデプロイメントの場合のみ、アプリケーションは資格証明を共有します。「Required Password Change」設定でこのパラメータを設定します。グローバル・エージェントの「Password Change」設定で、資格証明を共有するアプリケーションをユーザーが管理することを許可または禁止できます。

たとえば、古いメインフレーム・アプリケーションに対して新しいWebインタフェースが実装されている企業があります。これらの2台の間で資格証明を共有するには、資格証明共有グループを使用する方法があります。アプリケーション間で共通の資格証明が共有される場合があります(インターネット・アプリケーションや電子メール・アプリケーションなど)。これらのアプリケーションは、同一の資格証明共有グループに属している必要があります。

注意:

Windowsオーセンティケータのパスワードは、Domainという名前の事前定義されたグループにあります。

LDAPディレクトリ・サーバーのオーセンティケータは、LDAPという名前の事前定義されたグループにあります。

2.8.1 資格証明共有グループへの事前定義アプリケーションの追加

現在、管理コンソールでは、事前定義されたアプリケーション(デフォルトの構成ファイルapplist.iniに含まれるアプリケーション)を資格証明共有グループに追加することはできません。共有グループを識別するentlist.ini (カスタム・アプリケーションの構成ファイル)に同じ名前のセクションを作成することによって、手動でこれを実行する必要があります。次の例では、Internet Explorerポップアップ・アプリケーションを資格証明共有グループOurServerに追加します。

例

[~Internet Explorer Pop-up XP]
Group=OurServer

2.8.2 資格証明共有グループの作成

左側のペインで「Credential Sharing Groups」をクリックします。このオプションによって、現在使用可能な資格証明共有グループが表示され、グループ設定へのアクセスが提供されます。資格証明共有は、デフォルトで有効です。

グループを構成する手順については、「選択した資格証明共有グループの設定」を参照してください。

資格証明共有グループを作成するには、次の手順を実行します。

左側のペインで「Credential Sharing Groups」を選択して、現在のパスワード・グループを右側のペインに表示します。
次のいずれかを行います。
- 右側のペインで、「Add」をクリックします。
  
  または
- 左側のペインで、「Credential Sharing Groups」を右クリックしてから、ショートカット・メニューの「New Group」を選択します。
「Add Sharing Group」ダイアログで、「Group Name」を入力し、「OK」をクリックします。
グループが選択されている状態で、右側のペインの「Add」をクリックし、アプリケーションをグループに追加します。詳細は、「資格証明共有グループへのアプリケーションの追加」を参照してください。

2.8.3 共有グループの表示または編集

資格証明共有グループを表示または編集するには、次の手順を実行します。

左側のペインで「Credential Sharing Groups」を選択します。
- 右側のペインのリストからグループを選択し、「Edit」をクリックします。
  
  または
- 左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
次のいずれかを行います。
- グループ・アイコンを選択します。右側のペインに、このグループのアプリケーションのリストが表示されます。
  
  または
- グループ・アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。
  - Delete。選択したグループを削除します。
  - Rename。選択したグループの名前を変更します。

2.8.4 資格証明共有グループの削除

資格証明共有グループを削除するには、グループを選択し(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします)、「Remove」をクリックします。

注意:

デフォルト・グループ、ドメインまたはLDAPは削除できません。

2.8.5 ドメイン共有グループ

ドメイン共有グループとは、Windowsオーセンティケータ用に事前定義された資格証明共有グループのことです。

このパネルの使用の詳細は、「資格証明共有グループへのアプリケーションの追加」を参照してください。

ドメイン資格証明共有グループを選択するには、次の手順を実行します。

左側のペインで「Credential Sharing Groups」を選択します。
右側のペインのリストから「Domain」を選択し、「Edit」をクリックします。

または

左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
「Domain」をクリックします。

2.8.6 LDAP共有グループ

LDAP共有グループとは、ディレクトリ・サービス・オーセンティケータ用に事前定義された資格証明共有グループのことです。

LDAP資格証明共有グループを選択するには、次の手順を実行します。

左側のペインで「Credential Sharing Groups」を選択します。
右側のペインのリストから「LDAP」を選択し、「Edit」をクリックします。

または

左側のペインで、「Credential Sharing Groups」アイコンの横のプラス記号(+)をクリックして(または「Credential Sharing Groups」をダブルクリックして)、構成済のグループを表示します。
「LDAP」をクリックします。

2.8.7 選択した資格証明共有グループの設定

Logon Managerを使用すると、資格証明共有グループの動作を柔軟かつ詳細に制御できます。構成できるオプションは、次のとおりです。

アプリケーション・グループのいずれかのフィールドまたはすべてのフィールドの共有。
- Username
- Password
- Third Field
- Fourth Field
  
  注意:
  管理者は、Microsoft Windows 7ユーザーがログオンしているときに「Password」フィールドの値を再設定しないように注意する必要があります。
ユーザーが共有グループのアプリケーションをはじめて使用するときのすべての共有フィールドへの事前入力(これによって、ユーザーが入力する必要があるのはグループで共有されていないフィールドの情報のみになります)。
すべての資格証明が事前に設定されているアプリケーションをユーザーが使用するときのアカウントの自動作成。
キー・フィールドの指定(キーの値が同じアカウントに対してのみ共有資格証明の更新や資格証明の変更を行う場合に管理コンソールで使用されるフィールド)。

詳細は、「資格証明共有グループの作成」を参照してください。

次の表に、資格証明共有グループを構成するためのコントロールを示します。

グループ・アカウントの管理
Shared credentials	資格証明共有グループに含めることができるフィールドのリスト。該当するボックスを選択します。 Username Password Third Field Fourth Field
Key credential within group	フィールドの値を共有するアカウントの共有資格証明のみを更新するように管理コンソールに示すフィールドを指定します。ユーザーが、このキー・フィールドによって制約されないアカウントを作成する場合は、すべての既存アカウントの更新を回避するために、アカウントに新しいキー・フィールドを設定する必要があります。
Pre-fill shared credentials	ユーザーがアプリケーションの新しいアカウントを作成するときに、共有資格証明が共有フィールドに事前移入されるように指定します。注意: この設定は、デフォルトで有効です。
Automatically create accounts when all credentials are known	すべてのフィールドが事前に設定されているアプリケーションをユーザーが使用するときに、Logon Managerがアカウントを自動作成するように指定します。 Logon Managerでアカウントの作成が完了するには、「Auto-Submit」設定も有効にする必要があります。これを行わないと、通常どおり「New Logon」ダイアログが表示されます。注意: このフィールドは、「Key credential within group」が「None」に設定されている場合にのみ使用できます。

2.8.8 資格証明共有グループへのアプリケーションの追加

資格証明共有グループにアプリケーションを追加するには、次の手順を実行します。

「Add」をクリックします。「Select Application」ダイアログが表示されます。
選択したグループに含めるアプリケーションを選択します。([Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。)
「OK」をクリックします。

2.8.9 資格証明共有グループでのアプリケーションの編集

資格証明共有グループでアプリケーションを編集するには、次の手順を実行します。

左側のペインからグループを選択して「Add」をクリックします。
このグループに追加するアプリケーションを選択します。([Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。)選択が終了したら、「OK」をクリックします。
「Group account management」の下にある「Shared credentials」セクションで、必要に応じて「Username」、「Password」、「Third Field」、「Fourth Field」の横にあるボックスを選択します。
フィールドをキーの資格証明のフィールドとして指定するには、「Key credentials within group」ドロップダウン・リストから選択します。

または、前述の手順で「None」を選択して、キーの資格証明を指定しなかった場合は次を行います。

Logon Managerによって共有資格証明が自動入力されるようにする場合は、「Pre-fill shared credentials」を選択します。
ユーザーに「New Logon」ダイアログが表示されることなく、Logon Managerによってアカウントが作成されるようにする場合は、「Automatically create accounts when all credentials are known」を選択します。

注意:

キーの資格証明を選択した場合、「Pre-fill shared credentials」と「Automatically create accounts when all credentials are known」は使用できません。

すべての資格証明が既定の場合にアカウントを自動作成するには、アプリケーションに対して「Auto-Submit」も有効にする必要があります。

2.8.10 資格証明共有グループからのアプリケーションの削除

資格証明共有グループからアプリケーションを削除するには、次の手順を実行します。

選択したグループから削除するアプリケーションを選択します。([Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。)
「Remove」をクリックします。

2.9 ユーザーの除外の使用

除外設定を使用すると、特定のユーザーが特定のアプリケーションの資格証明を保存しないように設定できます。除外リストを作成および公開するプロセスは、管理コンソールの他のオブジェクトと同じワークフローに従います。

注意:

除外は、アプリケーションのすべてのユーザーではなく、一部のユーザーを除外する場合にのみ使用します。

企業全体からアプリケーションを除外する場合は、「User Experience」 > 「Application Response」 > 「Initial Credential Capture」の下にあるグローバル・エージェント設定「Limit user to predefined applications for…」を有効にします。テンプレートを作成していないすべてのアプリケーションがグローバルに除外されます。

通常、Logon Managerは最初にアプリケーションを検出したときにユーザーに資格証明の入力を求めて、この資格証明を保存し将来の使用のために自動的に取り込みます。除外を使用すると、特定のアプリケーションの除外リストに追加されていたユーザー名が入力されたとき、Logon Managerはそのユーザーの資格証明の保存を許可しません。

Logon Managerに除外リストを公開すると、次のように処理されます。

ユーザーは、除外された資格証明を使用してアプリケーションに手動でログオンできますが、エージェントは除外リストに登録された資格証明を持つアプリケーションには応答せず、ユーザーは除外リストに表示される資格証明を保存することができません。
ポリシーを配置する前に、ユーザーがすでに保存していた資格証明を除外すると、アプリケーションに提示されなくなり、このような除外された資格証明はユーザーの資格証明リストから削除されます。
資格証明のサイレント取得では、除外された資格証明は取得されません。

2.9.1 除外リストの作成

新しい除外リストを作成するには、管理コンソールで次の手順を実行します。

次のいずれかを行います。
- 「Insert」メニューから「Exclusion List」を選択します。
- 左側のペインで「Exclusions」ノードを選択し、右側のペインの下部で「Add」をクリックします。
- 「Exclusions」ノードを右クリックし、コンテキスト・メニューから「New List」を選択します。
- 「Exclusions」ノードを選択し、右側のペインの空いているスペースを右クリックします。
「Add Exclusion List」ダイアログでリストの名前を入力します。

左側のペインのツリーで、「Exclusions」ノードの下に、この除外リスト名が表示されます。右側のペインには、各除外リストに関連付けられた、次の3つのタブが含まれています。

Exclusion Subscribers
Excluded Usernames
Security

これらのタブを使用して、各除外リストを構成します。

2.9.2 除外リストの公開

除外リストを公開する手順は、他の構成オブジェクトを公開する手順と同じです。除外リストを公開する手順については、「リポジトリへの公開」を参照してください。

2.9.2.1 Active Directoryユーザーに関する特別な考慮事項

除外リストを公開するActive Directoryユーザーは、SSOExclusionAdminsグローバル・セキュリティ・グループが存在する場合は、このグループのメンバーである必要があります。Logon Managerは、SSOExclusionAdminsグループを次のように処理します。

Active Directoryを使用していてSSOExclusionAdminsグループが存在する場合、除外を公開するには、ユーザーがこのグループのメンバーである必要があります。
Active Directoryを使用していてSSOExclusionAdminsグループが存在しない場合、または別のディレクトリ・サービスを使用している場合には、公開権限を持っていればだれでも除外リストを公開できます。
Active Directoryを使用していて、SSOExclusionAdminsグループが存在し、このグループのメンバーではないユーザーが除外オブジェクトを含むいくつかのオブジェクトの公開を試みた場合、除外オブジェクト以外のオブジェクトが公開されます。

2.9.2.2 構成ファイルによる除外リストの公開

除外リストをスタンドアロン構成(entlist.ini)のファイルとして公開することはできません。構成ファイルを公開するときは(つまり、「Publish to Repository」画面の「File mode」セクションでボックスを選択した場合は)、除外を構成したアプリケーションのサブセットとして除外リストが公開されます。

2.9.3 「Add Exclusion List」ダイアログ

このダイアログを使用して、新しい除外リストを追加し名前を付けます。

「Exclusion List name」を入力し、「OK」をクリックします。

このダイアログを表示するには、次の手順を実行します。

「Exclusions」を右クリックして、ショートカット・メニューから「New List」を選択します。

または
「Insert」メニューから、「Exclusion List」を選択します。

2.9.4 選択した除外リストの使用

左側のペインから、使用するリストを選択します。右側のペインのタブを使用すると、このリストのプロパティの表示、このリストを適用するアプリケーションおよびユーザーの追加または削除、セキュリティ設定の変更ができます。

詳細は、「ユーザーの除外の使用」を参照してください。

2.9.4.1 表示または編集する除外リストの選択

除外リストを表示または編集するには、次の手順を実行します。

左側のペインで「Exclusions」をクリックします。
右側のペインのリストから除外リストを選択し、「Edit」をクリックするか、右側のペインの除外リスト名をダブルクリックします。右側のペインに、「Exclusion Subscribers」タブが表示されます。

または

左側のペインで、「Exclusions」アイコンの横のプラス記号(+)をクリックし(または「Exclusions」をダブルクリックして)、作成済の除外リストを表示します。
除外リストをクリックして選択します。右側のペインに、「Exclusion Subscribers」タブが表示されます。

オプション	機能
Add	他の除外リストを作成します。
Remove	選択したリストを削除します。
Add Notes	将来の参考用にこのリストのメモをアタッチします。

2.9.4.2 Exclusion Subscribers

このタブを使用して、除外リストにアプリケーションを追加します。

左側のペインで、「Exclusions」ノードから「Exclusion list」を選択します。
タブの下部の「Add」をクリックします。
「Select Application」画面で、リストに追加するアプリケーションを選択します。複数の選択を追加するには、[Shift]または[Ctrl]を押しながらマウスをクリックします。
「OK」をクリックします。選択したアプリケーションがこのタブのウィンドウに表示されます。

2.9.4.3 Excluded Usernames

このタブを使用して、除外リストにユーザーを追加します。

左側のペインで、「Exclusions」ノードから「Exclusion list」を選択します。
タブの下部の「Add」をクリックします。
「Excluded Usernames」画面で、リストに追加するユーザーを選択します。複数の選択を追加するには、[Shift]または[Ctrl]を押しながらマウスをクリックします。
「OK」をクリックします。選択したユーザーがこのタブのウィンドウに表示されます。

2.10 共有アカウントの使用

このノードは、ユーザーの共有アカウント権限を管理する場合に使用します。2つのタブがあります。

Default Rights
Admin Rights

これらのタブの設定は同じですが、これらの権限を割り当てるユーザーが異なります。

Default Rights

このタブは、各新規アプリケーションに共有アカウント権限を定義する場合に使用します。この機能によって、各アプリケーションに対して標準の権限が設定されます。アプリケーションを作成した後、必要に応じて権限を変更します。

コントロール

要素	説明
Directory	ターゲット・ディレクトリ・サーバーを選択します。

アクセス情報

要素	説明
Name	このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザーのアカウント名をリストします。
Access	ユーザーまたはグループに付与されている権限(ログオンの追加、変更または削除)を示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Add Logon」、「Modify Logon」または「Delete Logon」を選択します。

アクション

要素	説明
Copy permissions to	このボタンを使用すると、現行のアプリケーションの共有アカウント権限を複数のアプリケーションに簡単に適用できます。このボタンをクリックすると、すべてのアプリケーションが示されているダイアログが表示されます。これらの共有アカウント権限をコピーするアプリケーションを選択します。複数のエントリを選択するには、[Ctrl]を押しながらクリックします。「OK」をクリックします。
Add	現在選択されているアイテムへのアクセス権を付与するユーザーまたはグループを選択するための「Add User or Group」ダイアログ(Active DirectoryまたはAD LDS (ADAM)用)を表示します。
Remove	選択したユーザーまたはグループをリストから削除します。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]を押しながらクリックします)。
「Add User or Group」ダイアログ	「Select User or Group」ダイアログは、使用しているディレクトリ・サーバーによって異なります。 AD/AD LDS (ADAM)の場合、現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このコントロールを使用します。

コントロール

要素	説明
Search Base	ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。場所を入力するか、「Change」をクリックして、ディレクトリ・ツリーを参照します。
Change	「Select Search Base」ダイアログを表示して、検索するベース・ディレクトリを参照します。このダイアログは、ユーザーまたはグループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照して選択する場合に使用します。終了後、「OK」をクリックします。
Search	ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
Users or Groups	検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。
Active Directory or ADAM	現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログを使用します。

コントロール

要素	説明
List Names From	Active Directoryのドメインまたはサーバーを選択します。
Names	選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
Add	「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。複数のエントリを選択するには、[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックします。
Members	グループを選択した場合、「Names」リストに「Global Group Membership」ダイアログが表示され、ここに、選択したグループのメンバーがリストされます。
Search	特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログが表示されます。
Add Names	すでに追加したユーザーまたはグループの名前を表示します。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。

2.11 ユーザー・データの格納

Logon Managerでは、…\Application Data\Passlogixフォルダにユーザー資格証明がローカルに保存されます。グローバル・エージェント設定は、ローカル・マシン・レジストリ・キー(HKLM)に保存され、ユーザーが変更した設定は、現在のユーザー・レジストリ・キー(HKCU)に保存されます。

Logon Managerでは、ファイル(.bkv)への資格証明および設定の完全バックアップも実行できます。バックアップは、ユーザーによって手動で、または管理構成によって自動的に実行できます。この機能の詳細は、「ファイルベースのバックアップ/リストア」を参照してください。

さらに、Logon Managerでは、各ユーザー資格証明をファイル・システム、データベース、ディレクトリ・サーバーなどのリモート・ソースと同期化することもできます。これらのリモート・ソースによって、エージェントにアプリケーション・ログオンが提供されます。初回使用(設定)情報および管理オーバーライド(グローバル・エージェント設定)です。この機能の詳細は、「同期」を参照してください。

2.11.1 ユーザー・オブジェクトへの資格証明の保存

注意:

この項は、Active Directoryにのみ適用されます。

Active Directoryのインストール時に、標準のvgoconfigコンテナではなく、ユーザー・オブジェクトの下にユーザー・データを保存するようにLogon Managerを構成できます。これを行うには、次の手順に従います:

(「Repository」メニューの)「Enable Storing Credentials under User Object」コマンドを使用して、ユーザー資格証明コンテナがユーザー・オブジェクトの子として許可されるようにディレクトリ・スキーマを更新します。また、このコマンドによって、資格証明コンテナを作成する権限をユーザーに付与するように、ルート・ディレクトリのセキュリティ設定が変更されます。
次のいずれかを行います。
- 「Store data under the user objects」オプション(「Adding a Locator Object」を参照)を選択して、vgolocatorオブジェクト(このロケータを使用するすべてのユーザー、または識別名で特定されるユーザーの場合のデフォルト)を作成します。
- (「「Active Directory Synchronization」の設定」の)「Location for storing user credentials」エージェント設定を使用し、vgolocatorオブジェクトを無視して、常にユーザー・オブジェクトの下に資格証明を保存するようにエージェントを構成します。

2.11.2 ファイルベースのバックアップ/リストア

バックアップ/リストア・モジュールがインストールされている場合は、管理コンソールを使用して、ユーザー資格証明および設定の別の場所への完全バックアップ、およびその場所からの完全リストアを実行できます。バックアップ/リストアは、(ユーザーによって)手動で、または(管理構成によって)自動的に実行できます。また、選択可能なバックアップ/リストア(古い情報の上に新しい情報を書き込む)も、(管理構成によって)自動的に実行できます。

注意:

バックアップ/リストア・モジュールがインストールされている場合、ユーザーは手動バックアップ、任意の場所(フロッピー・ドライブでも可)への保存および任意のパスワード(1文字のパスワードでも可)の選択を実行できます。

2.11.2.1 自動バックアップ

ユーザー資格証明および設定の完全バックアップを実行するように、エージェントを構成できます。このバックアップは、コマンド行から(したがって、atまたはtimedジョブから)、または特定のエージェント・イベント(起動タスク、リフレッシュ・タスクなど)を構成することによってトリガーできます。

2.11.2.2 コマンド行バックアップ

コマンド行自動バックアップをトリガーするには、次の構文を使用してコマンド行からエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。

ssoshell.exe/mobility /backup [path] /silent

説明:

[path]は、バックアップ・ファイルが保存されているディレクトリへの実際のパスです。デフォルトは、コマンド行バックアップ・ファイルが最後に保存されたディレクトリです。

そして、

/silentは、バックアップの実行時に操作を非表示にすることを示します。

\\FS\Backup\Privateのネットワーク共有への完全なサイレント・バックアップを実行する場合:

ssoshell.exe/mobility /backup "\FS1\Backup\Private" /silent

最後に使用した場所にバックアップする場合:

ssoshell.exe/mobility /backup /silent

2.11.2.3 イベント・ドリブン自動バックアップ

特定のエージェント・イベント時に自動バックアップを実行するようにエージェントを構成するには、目的のバックアップを実行するために必要なコマンド行文字列を指定します。次に、適切なタスクを設定します。たとえば、資格証明が変更されるたびにバックアップを実行するには、「When logons change (add, delete, copy, modify)」 (「User Experience」 > 「Custom Actions」の下)を実行するタスクをコマンド行文字列に設定します。

2.11.2.4 強制リストア

ユーザー資格証明および設定の完全リストアを実行して既存のデータを置き換えるように、エージェントを構成できます。このリストアは、コマンド行から(リモートrunコマンドを使用)、または特定のエージェント・イベント(起動タスクなど)を構成することによってトリガーできます。

2.11.2.5 コマンド行強制リストア

コマンド行強制リストアをトリガーするには、次の構文を使用してコマンド行からエージェントを実行します(現在エージェントを実行中の場合も、この構文を使用します)。

ssoshell.exe/mobility /restore [path] /silent

説明:

[path]は、バックアップ・ファイルが保存されているディレクトリへのパス。デフォルトは、コマンド行バックアップ・ファイルが最後に保存されたディレクトリです。

そして、

/silentは、リストアの実行時に操作を非表示にすることを示します。

\\FS\Backup\Privateのネットワーク共有からの完全なサイレント・リストアを実行する場合:

ssoshell.exe/mobility /restore "\FS1\Backup\Private" /silent

最後に使用した場所からリストアする場合:

ssoshell.exe /mobility /restore /silent

2.11.2.6 イベント・ドリブン強制リストア

特定のエージェント・イベント時に強制リストアを実行するには、目的のリストアを実行するために必要なコマンド行文字列を指定します。次に、適切なタスクを設定します。たとえば、起動時にリストアを実行するには、「After Agent starts」(グローバル・エージェントの「Custom Actions Settings」にある)を実行するタスクをコマンド行文字列に設定します。

2.12 テンプレートの作成および使用

注意:

テンプレートの構成および診断の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。

Logon Managerは、様々なログオン・シナリオを認識し、応答します。事前に、またはシナリオが発生したときに、ユーザーは各ログオンを構成できます。ユーザーがログオンを構成するときに、エージェントによって事前定義されたアプリケーションのリストが表示されます。ユーザーは、このリストからアプリケーションを選択したり、リストにないアプリケーション用にログオンを作成できます。

事前定義されたアプリケーションによって、ユーザーの構成が容易になり、ログオンおよびパスワード変更のリクエストの認識と応答の両方の信頼性が高くなります。

多数の一般的なWindowsアプリケーション用に事前構成されたアプリケーション・ログオンは、ログオンの構成のすべてまたは一部を含むテンプレートの形式で管理コンソールに含まれています。また、管理コンソールで作成したアプリケーション・ログオンをテンプレートに変換することもできます。applist.iniファイル(Plugin\LogonMgrディレクトリのインストール・ディレクトリにある)には、ネットワークおよびWebポップアップ・ログオン・ダイアログ・ボックス用、および多数のオンライン・サービス・プロバイダ用に事前定義されたログオンが含まれています。

テンプレートには、事前構成されたログオンを作成および管理する場合に、次の2つの実用的な利点があります。

テンプレートに基づいて新規ログオンを作成する場合、特定のログオン設定のグループをスタータ・セットとして保存、共有および再利用できます。テンプレートは、「Add Application」ダイアログにオプションとして表示されます。
テンプレートのソース・ログオンを変更する場合は、「Tools」メニューの「Update Applications」コマンドを使用すると、そのテンプレートに基づいてログオンへの変更を簡単に適用できます。

テンプレートを使用すると、「Add Application」ダイアログの「Applications」ドロップダウン・リストからログオンを選択して作成できます。構成を完了するために追加情報が必要な場合には、プロンプトが表示されます。

元のテンプレートに対して行った変更でアプリケーション・ログオンを更新できます。アプリケーションが含まれている管理コンソールのXMLファイルを開き、「Tools」メニューから「Update Applications」コマンドを選択します。

テンプレートを作成するには、次の手順を実行します。

「Tools」メニューの「Manage Templates」で、既存のアプリケーション・ログオンを選択します。
後でオーバーライドできる(アプリケーションおよび各フォーム用の)ログオン設定を選択します。「Edit Template」ダイアログの「Tab」タブを使用します(「Manage Templates」ダイアログの「Edit」をクリックします)。WebおよびWindowsアプリケーションの場合は、(「Supply Info」タブで)ログオン構成を完了するためにテンプレート・ユーザーが入力する必要がある設定を選択することもできます。
管理コンソールのプログラム・ディレクトリにある「Templates」フォルダ(通常は、C:\Program Files\Passlogix\SSO Administrative Console\Templates)に、現行のファイルを保存します。

注意:

テンプレートを作成する場合は、完全なテンプレート名が別のテンプレート名の最初の部分と厳密に一致しないことを確認してください。片方の名前がもう一方の名前の一部になっている2つのテンプレートをエージェントが見つけた場合、エージェントは名前の短い方のテンプレートを認識します。

たとえば、2つのテンプレートがABCとABDという名前の場合、この問題は発生しません。ただし、1つのテンプレートがABCという名前で、さらにABC_Dという名前のテンプレートが存在する場合は、どちらのアプリケーションが開いているかにかかわらず、エージェントはABCテンプレートのみを認識し、ABC_Dテンプレートを無視します。

Logon Managerにテンプレートを追加するには、次の手順を実行します。

管理コンソールの構成機能を使用して、アプリケーション・ログオンを作成します。
INIファイルまたは対応する同期オブジェクトとして、entlistを作成およびデプロイします。
「Export to INI file」を使用して、entlist.iniファイルを作成します。
「Publish to Repository」を使用して、entlist同期オブジェクトを作成します。
次のいずれかを行います。
- 同期を使用してアプリケーション・ログオンをデプロイする場合は、entlist.iniファイル設定の「Location」を使用しないでください。シンクロナイザによって、ユーザーの%AppData%\Passlogixディレクトリでentlist.iniおよびftulist.iniが自動的に検索されます。
- アプリケーション・ログオンのデプロイに同期を使用しない場合は、グローバル・エージェントの同期設定で「Location of entlist.ini file」の設定を使用します。

注意:

管理者はentlist.iniを作成する必要があります。エージェントでは自動的に作成されません。

2.12.1 テンプレートの管理

このダイアログは、アプリケーション・ログオンのテンプレートを作成、変更および削除する場合に使用します。このダイアログを表示するには、「Tools」メニューの「Manage Templates」をクリックします。

2.12.1.1 実行中のアプリケーション用のテンプレートの作成

WindowsまたはWebアプリケーションの実行中に、そのアプリケーションに対してオンザフライで新しいテンプレートを作成または既存のテンプレートを編集できます。

注意:

この手順は、WindowsおよびWebアプリケーションにのみ適用されます。この手順をホストまたはメインフレーム・アプリケーションに実行すると、「Host/Mainframe Form」ウィザードが起動します。

この手順を実行するには、管理コンソールおよびLogon Managerエージェントの両方が実行中である必要があり、「Title Bar Button」メニューを表示するようにエージェントの設定を構成する必要があります。

2.12.1.1.1 実行中のWindowsアプリケーション用のテンプレートの作成

実行中のWindowsアプリケーション用にテンプレートを作成するには、次の手順を実行します。

作成するテンプレートの元になるアプリケーションを起動します。
そのアプリケーションの「Title Bar Button」メニューから「Create Template」を選択します。

図lm_create_template.pngの説明

次の2つのことが起きます。
- アプリケーションのウィンドウで、Logon Managerが資格証明フィールドを検出して強調表示します。
- 要約バージョンのフォーム・ウィザードが表示されます。次のフィールドの情報を入力します。
  - Form Name。このフィールドには、選択したアプリケーションの名前が事前に入力されています。必要に応じて、そのままにすることも、変更することもできます。
  - Form Type。ドロップダウン・メニューからフォーム・タイプを選択します。
    
    Logon
    
    Logon Success
    
    Logon failure
    
    Password change
    
    Password change success
    
    Password change failure
  - Add to Template。
    
    このフィールドでは、デフォルトで「New Template」が選択されています。また、ドロップダウン・メニューには、このフォームを追加できるすべての構成済のWindowsアプリケーション・テンプレートリストが含まれています。
  - Edit Fields/Hide Details。
    
    このボタンを切り替えると、ウィンドウを拡大してフォーム・ウィザード全体を表示するか、ウィンドウを縮小して簡易的なフォーム・ウィザードを表示することができます。

2.12.1.1.2 実行中のWebアプリケーション用のテンプレートの作成

実行中のWebアプリケーション用にテンプレートを作成するには、次の手順を実行します。

作成するテンプレートの元になるアプリケーションを起動します。
そのアプリケーションの「Title Bar Button」メニューから「Create Template」を選択します。

図lm_create_template.pngの説明
「Web Form」ウィザードが起動します。
Webページで、Logon Managerが資格証明フィールドを検出して強調表示します。
要約バージョンのフォーム・ウィザードが表示されます。次のフィールドの情報を入力します。
- Form Name。このフィールドには、選択したアプリケーションの名前が事前に入力されています。必要に応じて、そのままにすることも、変更することもできます。
- Form Type。ドロップダウン・メニューからフォーム・タイプを選択します。
  
  Logon
  
  Logon Success
  
  Logon failure
  
  Password change
  
  Password change success
  
  Password change failure
- Add to Template。
  
  このフィールドでは、デフォルトで「New Template」が選択されています。また、ドロップダウン・メニューには、このフォームを追加できるすべての構成済のWindowsアプリケーション・テンプレートリストが含まれています。
- Edit Fields/Hide Details。
  
  このボタンを切り替えると、ウィンドウを拡大してフォーム・ウィザード全体を表示するか、ウィンドウを縮小して簡易的なフォーム・ウィザードを表示することができます。

2.12.1.2 ワークステーションでは実行中でないアプリケーション用の新しいテンプレートの作成

ワークステーションで実行されていないアプリケーションやインストールされていないアプリケーション用にテンプレートを作成できます。このシナリオで新しいテンプレートを作成するには、次の手順を実行します。

「Add」をクリックして、アプリケーション・ログオンから新しいテンプレートを作成します。
「Select Applications」ダイアログから、テンプレートのベースにするアプリケーションを選択します。
「OK」をクリックします。「Edit Template」ダイアログで、管理者が指定する必要がある設定、およびテンプレートのオーバーライド設定を指定します。

2.12.1.3 既存のテンプレートの変更

既存のテンプレートを変更するには、リストからアプリケーションを選択し、「Edit」をクリックします。「Edit Template」ダイアログで、管理者が指定する必要がある設定、およびテンプレートのオーバーライド設定を変更します。

2.12.1.4 テンプレートの削除

テンプレートを削除するには、リストからアプリケーションを選択し、「Remove」をクリックします。

2.12.1.5 Logon Managerへのアプリケーション・テンプレートの追加

Logon Managerにテンプレートを追加するには、次の手順を実行します。

管理コンソールの構成機能を使用して、アプリケーション・ログオンを作成します。
INIファイルまたは対応する同期オブジェクトとして、entlistを作成およびデプロイします。
- INIファイルにエクスポートして、entlist.iniファイルを作成します。
- リポジトリに公開して、entlist同期オブジェクトを作成します。
次のいずれかを行います。
- 同期を使用してアプリケーション・ログオンをデプロイする場合は、entlist.iniファイル設定の「Location」を使用しないでください。シンクロナイザによって、ユーザーの%AppData%\Passlogixディレクトリでentlist.iniおよびftulist.iniが自動的に検索されます。
- アプリケーション・ログオンのデプロイに同期を使用しない場合は、グローバル・エージェントの同期設定でentlist.iniファイルの「Location」を使用します。

注意:

管理者はentlist.iniを作成する必要があります。エージェントでは自動的に作成されません。

2.12.2 アプリケーションの設定に関する一般的なガイドライン

アプリケーションの設定および構成を最も簡単に実行できるのは次の場合です。

管理コンソールと同じワークステーションにターゲット・アプリケーションがある場合。
構成中に動作している他のアプリケーション数が最小限の場合。
アプリケーション構成の作成およびテストを容易にするには、次の手順を実行します。
- ワークステーションがシンクロナイザ拡張を使用しないように構成します。
- アプリケーション・ログオン・リクエストによって、エージェントが応答する場合、エージェントがそれを無視するように設定します。
- 管理コンソールで、アプリケーション構成を作成した後、「Export Apps to Agent」 (「Tools」メニューにある)を使用して、ローカルのentlist.iniファイルを上書きします。
- Logon Managerを表示したままにして、管理コンソールからのエクスポートが完了するたびに「Refresh」を選択します。
- アプリケーション・ログオン・ダイアログを起動し、新しい構成がエージェントで適切に機能しているかどうかを確認します。

2.12.3 Windowsアプリケーションの追加

Windowsアプリケーションを構成する最も簡単で適切な方法は、「Windows Form」ウィザードを使用することです。

Windowsログオンの構成を開始する前に、「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

2.12.3.1 特殊な問題および設定

Windowsアプリケーションは、通常とは異なる方法で動作したり、特殊な要件がある場合があります。このようなシナリオに対応するために、管理コンソールでは次の追加構成オプションが提供されています。

2.12.3.1.1 特殊な構成の設定

次の表に、Windowsテンプレートを作成する場合に考慮する構成設定を示します。

タブ	設定	考慮事項
Fields	SendKeys	次のようなWindowsアプリケーションには「SendKeys」オプションを使用します。 Windowsメッセージ・キューから、または通常エージェントによって資格認証の送信に使用されるその他の技術を使用して資格証明を受信できない。コントロールIDを持つ標準のWindowsコントロールを使用しない。コントロールを動的に生成するか、またはWindowsコントロールを使用しない(Flashアプリケーションなど)
「Miscellaneous」タブ(新規または選択したログオン・フォーム用)	Allowable Class	このログオンを実行するために必要なログオンまたはパスワード変更ウィンドウのクラスを識別するには、「Allowable Class」オプションを使用します。この機能は、標準的でないクラス名がログオン・ウィンドウまたはパスワード変更ウィンドウで使用されるアプリケーションで役に立ちます。
	Ignore this Window Class	次のようなアプリケーションでは、「Ignore Window Class」オプションを使用します。非表示のログオンまたはパスワード変更のダイアログを使用する。または重複するダイアログを表示する。
	Attach to window's Message Queue	資格証明の送信中にターゲット・ログオン・ウィンドウへのフォーカスを維持するには、「Attach to…」オプションを使用します。
	Preset Focus	フィールドにデータを入力する前に、エージェントによってフィールドにフォーカスを設定するには、「Preset Focus」オプションを使用します。
「Miscellaneous」タブ(選択したアプリケーション用)	Service Logon	Windowsサービス(ユーザー領域ではなくシステム領域にあるサービス)として動作するアプリケーションをエージェントで検出するには、「Service Logon」オプションを選択します。
	Third/Fourth Field Label	追加フィールドの表示にエージェントが使用するテキスト・ラベルを指定するには、これらのオプションを使用します。
	File extension for Icon	ログオンと関連付けるWindowsファイル拡張子を指定するには、このオプションを使用します。これにより、エージェントがその拡張子にアイコンをマッピングします。

2.12.4 Webアプリケーションの追加

Logon Managerは、事前定義されたWebアプリケーション用のログオンとパスワード変更のリクエストを検出し、応答します。Windowsおよびホスト/メインフレーム・アプリケーションと同様に、管理者はentlist.iniにセクションを追加して、Webアプリケーションを定義します。

エージェントは、WebページのHTMLコード内の指定された場所にあるデータの特定文字列を認識します。このデータは、Webサイトのログオンとパスワード変更の画面の検出方法、ユーザー資格証明を入力する場所およびこれらの資格証明の送信方法を示します。

Webアプリケーションを構成する最も簡単で適切な方法は、「Web Form」ウィザードを使用することです。この手順を開始する前に、「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

注意:

Webアプリケーションでは、同じページ、同じURL内の別のページまたは別のURLに、ログオンおよびパスワード変更のフォームを含めることができます。また、ログオンは、別のURLにある同じフォームまたは別のURLにある別のフォームに含めることもできます。

ユーザーのローカル・ストアにログオンがすでに含まれているサイトの構成を追加すると、そのユーザーの構成が新しい構成によってオーバーライドされます。ユーザーは、このアプリケーション用の資格証明を再度入力する必要があります。

そのユーザーは、Logon Managerで古いログオンを引き続き参照できます。

2.12.5 ホスト/メインフレーム・アプリケーションの追加

Logon Managerでは、次のようなホスト・エミュレータを使用して、ホスト/メインフレーム・アプリケーションへのシングル・サインオン機能が実装されています。

HLLAPI (High-Level Language Application Programming Interface)を実装する。

または
ダイアログを表示できる組込みスクリプト言語を持つ。

ホスト・エミュレータを使用すると、エンド・ユーザーはWindowsワークステーションからメインフレーム、AS/400、OS/390、UNIXまたはその他のホスト・ベースのセッションに接続できます。Logon Managerは、特定の画面にあるデータの特定文字列を検索してターミナル画面を認識します。

Logon Managerがホスト・エミュレータを認識するために、「ホスト/メインフレーム・アプリケーションのレスポンス」のグローバル・エージェント設定で「MFEnable」を選択して、メインフレーム・サポートを有効にします。

すべてのホスト/メインフレーム・アプリケーションは、事前定義される必要があります。Logon Managerのエンド・ユーザーがホスト/メインフレーム・アプリケーションを定義することはできません。また、Logon Managerでホスト・エミュレータを認識するには、管理者がホスト・エミュレータ自体も構成する必要があります。いずれのホスト・エミュレータでも、他のホスト・エミュレータを使用して作成されたアプリケーション・ログオンを使用できます。特定のエミュレータの構成手順については、7.2.4項「ホスト・エミュレータの構成」を参照してください。

注意:

ログオンを作成する最も簡単な方法は、テキストを選択でき、選択した行および列の座標が表示されるホスト・エミュレータを使用することです。

HLLAPIはサポートされていないが、スクリプト言語は持っているエミュレータを構成する方法については、オラクル社に問い合せてください。

HLLAPIを実装していないか、またはスクリプト言語を持っていないエミュレータの場合は、(ウィンドウ・タイトルでフォームが検出されるように、)ユーザー資格証明を指定するSendKeysを使用して、Windowsアプリケーションとしてホスト/メインフレーム・アプリケーションを構成できる場合もあります。詳細は、Windowsアプリケーションの「特殊な構成設定」を参照してください。

ホスト/メインフレーム・アプリケーションを構成する最も簡単で正確な方法は、「Host/Mainframe Form」ウィザードを使用することです。この手順を開始する前に、「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

2.12.5.1 ホスト/メインフレーム・アプリケーションの手動構成

次に、ホスト/メインフレーム・ログオンを手動で構成または変更する手順について説明します。詳細は、個々のダイアログおよびコントロールを参照してください。この手順を開始する前に、開いているアプリケーションのリストからアプリケーションを選択する方法について、「アプリケーションの設定に関する一般的なガイドライン」および「開いているアプリケーションを使用したテンプレートの作成」を参照してください。

アプリケーションを起動し、ホスト・エミュレータを構成します。詳細は、7.2.4項「ホスト・エミュレータの構成」を参照してください。
管理コンソールで、次のいずれかを実行します。
- 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
  
  または
- 左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。右側のペインで、「General」タブをクリックします。
「Host/Mainframe」フォーム構成ダイアログの「Identification」タブで次のようにします。
1. リストからログオン・フォームを選択し、「Edit」をクリックします。
2. このページが他のページから一意に識別できるように、1つ以上のテキスト・マッチング・キャプションを指定します。キャプションを特定するテキスト文字列、およびその開始行数と開始列数を指定します。
3. 資格証明について「Fields」を指定します。「Edit」(「Fields」の下)をクリックして、「SendKeys (Host/Mainframe)」ダイアログを表示します。フィールドごとに開始行と開始列、および送信するキーストロークを指定します。
資格証明フィールドを入力するたびに発生する一時停止を端末レスポンスに含める必要がある場合は、「Options」タブを選択して、「Delay Field」に一時停止するミリ秒数を入力します。
追加のログオン画面ごとに前述の手順を繰り返します。
パスワード変更情報を追加するには、ターゲット・アプリケーションの「Password Change」タブおよびパスワード変更ダイアログで処理を繰り返します。

2.12.5.2 Javaアプリケーションおよびアプレットの追加

「Windows Form」ウィザードを使用すると、Javaアプリケーション・ログオンおよびJavaアプレット・ログオン(Webページ)を構成できます。通常、作成およびデプロイの手順は、JavaアプリケーションでもWindowsアプリケーションでも同じです。

注意:

エージェントでJavaアプリケーション・ログオンを検出および使用するには、Logon Managerをインストールする前に、Javaランタイム環境(JRE)をワークステーションにインストールする必要があります。Logon ManagerをインストールするときにJREが存在しない場合は、エージェントのJava Helperコンポーネントをインストールできません。

Javaログオンの構成を開始する前に、アプリケーションの構成について「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

2.12.5.3 Telnetアプリケーションの追加

Logon Managerでは、メインフレーム/ホスト・エミュレータによって実装されているHLLAPI (High-Level Language Application Programming Interface)を使用したTelnetセッションがサポートされています。サポートされているエミュレータの現行のリストについては、Oracleの動作保証マトリクスを参照してください。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html.

通常、Telnetアプリケーション用のログオンを構成することは、ホスト/メインフレーム・アプリケーションの追加と基本的に同じですが、次のような例外があります。

通常、ホスト・アプリケーションでは、一定の位置にテキスト・キャプションおよびデータ・フィールドが表示され、テキスト・マッチングおよび行/列の絶対座標を使用したログオン・フォームとして、Logon Managerで画面を検出できます。対照的に、Telnetアプリケーション(そのログオン画面も含む)は、スクロールするテキスト・ウィンドウで表示されます。Logon Managerでマッチングを行う(およびログオンを開始する)ためのテキスト・キャプションの画面位置は、カーソルに対して相対的な行番号(上に行くとマイナス、下に行くとプラス)および絶対的な列番号で設定する必要があります。次の項の例を参照してください。
キャプションの座標のいずれかまたは両方が不明の場合は、任意の行(および固定列)にあるテキストと一致する行の設定に対して、任意の列(およびカーソルに対して相対的な行)にあるテキストと一致する列の設定に対して、または画面上の任意の場所にあるテキストと一致する両方の設定に対してアスタリスク(*)を使用できます。
Telnetログオンに資格証明が指定されると、Logon Managerでは、フィールドのマッチング用の行および座標設定は無視されます。ただし、その設定はログオン構成に存在する必要があります。Telnetログオンのすべての資格証明フィールドには、行と列の両方の座標に対する値として1を使用します。
Telnetログオン資格証明が正しく入力されるために、Logon Managerでは、タイミングのロジックが有効になっています。「Delay Field」設定(ホスト/メインフレーム・ログオン・フォームを構成する「Options」タブにある)には、各アクションの間でエージェントが一時停止するタイミングをミリ秒単位で指定します。

注意:

HLLAPI構成の詳細は、7.2.4項「ホスト・エミュレータの構成」を参照してください。

2.12.5.4 Telnetアプリケーション・ログオンの追加

Telnetアプリケーションを構成する最も簡単で適切な方法は、「Host/Mainframe Form」ウィザードを使用することです。この手順を開始する前に、「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

2.12.5.5 Telnetアプリケーション・ログオンの手動構成

次に、Telnetログオンを手動で構成または変更する手順について説明します。詳細は、個々のダイアログおよびコントロールを参照してください。この手順を開始する前に、「アプリケーションの設定に関する一般的なガイドライン」を参照してください。

アプリケーションを起動し、ホスト・エミュレータを構成します。
管理コンソールで、次のいずれかを実行します。
- 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
  
  または
- 左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからログオン・フォームを選択し、「Edit」をクリックします。
「Host/Mainframe」フォーム構成ダイアログの「General」タブで次のようにします。
1. このページが一意に識別できるように、1つ以上のテキスト・マッチング・キャプションを指定します。キャプションを特定するテキスト文字列、およびその開始行数と開始列数を指定します。
  
  行番号は、現在のカーソル位置を基準とする必要があり、負の整数にすることができます。次の例を参照してください。
  
  列番号は絶対位置です。
  
  行または列にワイルドカードとしてアスタリスク(*)を使用することもできます。
2. 資格証明について「Fields」を指定します。「Fields」の下で、「Edit」をクリックします。「Edit SendKeys Fields and Actions」ダイアログで、各フィールドを選択し、各フィールドの「Row」および「Column」を1に設定します。必要に応じて、各フィールド・エントリに従う必要がある追加のキーストロークを指定します。
資格証明フィールドを入力するたびに発生する一時停止を端末レスポンスに含める必要がある場合は、「Options」タブを選択して、「Delay Field」に一時停止するミリ秒数を入力します。
追加のログオン・フォームごとに前述の手順を繰り返します。
パスワード変更情報を追加するには、ターゲット・アプリケーションの「Password Change」タブおよびパスワード変更ダイアログで処理を繰り返します。

テキスト・マッチングの例

Telnetアプリケーションのテキストはスクロールするため、行の位置はカーソルの行(常に行1である)に対して相対的に設定する必要があります。したがって、カーソルの2行上にあるキャプション(「Welcome to VAX/VMS_V6.1」)の行座標は-2です。キャプション・テキストの開始の列は、絶対座標で設定され、この例では9です。

画面のテキスト列
	123456789022345678903234567890123
Row#	123456789012345678901234567890123
-4
-3
-2	Welcome_to_VAX/VMS_V6.1_
-1
1	Username: _
2
3
4

Logon Managerでこのサンプル画面を識別するには、次のテキスト・マッチング条件を設定(「Text Matching」ダイアログを使用)します。

一致1
テキスト	Welcome to VAX/VMS V6.1
行	-2
列	9

一致2
テキスト	Welcome to VAX/VMS V6.1
行	-2
列	9

2.12.6 初回使用のアプリケーションのバルク追加

はじめて製品をインストールした後、初回使用ウィザードでは、様々な項目を入力して設定プロセスを完了する必要があります。複数のオーセンティケータがインストールされている場合、ユーザーは、「Primary Logon Method」を選択するように求められます。また、Logon Managerによって、ユーザー・ストアに即時に移入するために、アプリケーションのユーザー名/IDおよびパスワードを入力すうように求められる場合もあります。

注意:

バルク追加を使用するには、「First-Time Use」を有効にする必要があります。

初回使用ウィザードの構成設定は、ftulist.iniファイルで指定されます。Logon Managerで、ユーザーに既存のログオンに対する資格証明(ユーザー名/ID、パスワード、3番目のフィールド)を入力するように求めることができます。初回使用時の構成と事前定義のログオンを組み合せると、インストール直後にシングル・サインオンを使用できます。または、アプリケーションを実行するたびにログオンを個々に構成することもできます。

注意:

すべてのLogon Manager構成ファイル(entlist.iniおよびftulist.iniを含む)は、管理コンソールでのみ作成および編集できます。

2.12.6.1 バルク追加へのアプリケーションの指定

注意:

バルク追加で使用するには、アプリケーションを個別に構成する必要があります。「初回使用のアプリケーションのバルク追加」を参照してください。

左側のペインで「Applications」を選択してから、右側のペインで「Bulk Add」タブを選択します。
「Add」をクリックします。
「Select Application」ダイアログから、このグループに追加するアプリケーションを選択します。([Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。)
「OK」をクリックします。
日付スタンプをyyyymmddという書式(2013年6月15日の場合は20130615)で入力または編集します。この日付が、指定したエージェントが設定を完了した最終日付より後の場合は、新しいログオンを追加するための設定ウィザードが起動します。

バルク追加するようにログオンを有効にするには、次の手順を実行します。

左側のペインで、「Applications」を選択してから、アプリケーションを選択します。
右側のペインで、「Bulk Add」タブをクリックします。
「Enable Bulk-Add capability for this application」を選択します。
確認のためにユーザーが1つ以上のフィールドを再入力する必要がある場合は、適切な「Confirm」設定を選択します。

2.13 新規アプリケーションの作成

「Applications」タブにはアプリケーション構成情報が表示され、ここからログオン設定にアクセスできます。

左側のペインで「Applications」をクリックすると、右側のペインに次のタブが表示されます。

現時点で構成されているログオンを表示する「Application List」。
「Bulk Add」(複数のログオン・デプロイメント)コントロール。

左側のペインで「Applications」を右クリックすると、次のオプションが含まれるショートカット・メニューが表示されます。

メニュー・オプション	機能
New Windows App	新しいWindowsアプリケーションを構成します。「Add Application」ダイアログが表示されます。
New Web App	新しいWebサイト・アプリケーションを構成します。「Add Application」ダイアログが表示されます。
New Host App	新しいメインフレーム・アプリケーションを構成します。「Add Application」ダイアログが表示されます。
Import	`.REG`ファイルまたは`.INI`ファイルの保存済アプリケーション構成を開きます。
Export	1つ以上のアプリケーション構成を`.INI`ファイルに保存します。

2.13.1 アプリケーション・リスト

このメニュー・オプションでは、Logon Managerで使用するように構成されたログオンを持つアプリケーションのリストを表示します。

このタブを使用するには、次の手順を実行します。

左側のペインで「Applications」をクリックし、右側のペインで「Applications List」タブをクリックします。

新しいアプリケーションを追加するには、「Add」をクリックします。
リストされたアプリケーションのログオン構成を変更するには、アプリケーションをクリックし、「Edit」をクリックします。
1つ以上のログオン構成を削除するには、アプリケーションをクリックし(複数のエントリを選択するには、[Ctrl]または[Shift]を押しながらクリックします)、「Delete」をクリックします。

2.13.2 アプリケーションの追加

「Add Application」ダイアログは、新しいアプリケーション・ログオンの構成を開始する場合に使用します。最初からアプリケーション・ログオンを定義したり、一部またはすべてのログオン設定値が事前構成されている格納済のテンプレートを使用できます。

アプリケーションを追加するには、次の手順を実行します。

新しいログオンの名前を入力します。
「Application Type」を選択します。
- Windows
- Web
- Host/Mainframe
次のいずれかを行います。
- 「Application」ドロップダウン・リストからテンプレートを選択し、「Next」をクリックして、ログオンの完了に必要な追加情報を指定します。
- 「Application」で「New [type] Application」を選択したままにして、「Finish」をクリックし、ログオン全体を新しく作成します。
このアプリケーションがRSA (SecurID/SoftID)トークンによる認証を必要とする場合は、「RSA securID」チェック・ボックスを選択します。
「Finish」をクリックします。

選択したアプリケーション・タイプの「Form Wizard」が起動されます。詳細は、「「Windows Form」ウィザード」、「「Web Form」ウィザード」または「「Host/Mainframe Form」ウィザード」を参照してください。

「Add Application」ダイアログを表示するには、次のいずれかを実行します。

左側のペインで「Applications」を右クリックした後、ショートカット・メニューからアプリケーション・タイプ(「Windows」、「Web」または「Host/Mainframe」)を選択します。

または
「Applications」リストで「Add」をクリックします。

2.13.2.1 テンプレートからのアプリケーションの追加

このウィザード・ページは、アプリケーション・ログオン・テンプレートに用意されていないアプリケーション・ログオン構成設定を指定する場合に使用します。ログオンの完成に必要な設定には、左側のペインに赤いXのマークが付いています。ログオンに必要な設定を示すダイアログ

ダイアログの左側のペインで、赤いXのマークが付いたログオン設定項目をクリックします。右側のペインに、設定を指定するためのダイアログ・ボックスが表示されます。
必要な設定を入力または選択します。設定が完了すると、赤いXが緑のチェックマークに置き換わります。
「Finish」をクリックしてウィザードを閉じ、新しいアプリケーションを追加します。

このページを表示するには、次の手順を実行します。

次のいずれかを行います。
- 左側のペインで「Applications」を右クリックした後、ショートカット・メニューからアプリケーション・タイプ(「Windows」、「Web」または「Host/Mainframe」)を選択します。
  
  または
- 「Applications」リストで「Add」をクリックします。
「New Application」ダイアログで、「Application」ドロップダウン・リストからテンプレートを選択し、「Next」をクリックします。

2.13.3 新しいWindowsまたはJavaアプリケーション・テンプレートの作成

新しいWindowsアプリケーション・テンプレートは、管理コンソールで「Applications」メニューまたは「Add Application」アイコンを使用して作成するか、開いているアプリケーションのウィンドウから直接作成できます。

2.13.3.1 管理コンソールを使用したテンプレートの作成

管理コンソールを使用してWindowsまたはJavaアプリケーション・テンプレートを作成するには、次の手順を実行します。

左側のペインで、「Applicationsを右クリックし、ショートカット・メニューから「New Windows App」を選択します。「Add Application」ダイアログが、「Windows」オプションが選択された状態で表示されます。
新しいログオンの「Name」を入力し、「OK」をクリックします。「Windows Form」ウィザード(新しいログオン・フォームの構成用)が表示されます。

または

管理コンソール・ツールバーの「Add Application」アイコンをクリックします。
「Select Window」画面からアプリケーションを選択します。「Windows Form」ウィザード(新しいログオン・フォームの構成用)が表示されます。

詳細は、「「Windows Form」ウィザード」を参照してください。

2.13.3.2 テンプレートの手動構成

WindowsまたはJavaアプリケーション・テンプレートを手動で作成するには、次の手順を実行します。

アプリケーションの名前を入力します。
AppPathKeyグループで、「Add」をクリックします。
「Add AppPathKey」ダイアログで、有効なアプリケーション・キー(通常は、Eudora.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
「Window Titles」グループで「Add」をクリックした後、ウィンドウ・タイトルを入力するか、または「Choose」をクリックして「Select Window」ダイアログを開きます。ここでは、現在実行中のアプリケーション・ウィンドウからタイトルを選択できます。
「OK」をクリックします。

2.13.3.3 開いているアプリケーションを使用したテンプレートの作成

アプリケーションの実行中に、Windowsアプリケーションに対してオンザフライで新しいテンプレートを作成できます。

作成するテンプレートの元になるアプリケーションを起動します。
そのアプリケーションのタイトル・バー・ボタン・メニューから「Create Template」を選択します。

次の2つのことが起きます。
- アプリケーションのウィンドウで、Logon Managerが資格証明フィールドを検出して強調表示します。
- 要約バージョンのフォーム・ウィザードが表示されます。次のフィールドの情報を入力します。
  - Form Name。このフィールドには、選択したアプリケーションの名前が事前に入力されています。必要に応じて、そのままにすることも、変更することもできます。
  - Form Type。ドロップダウン・メニューからフォーム・タイプを選択します。
    
    Logon
    
    Logon Success
    
    Logon failure
    
    Password change
    
    Password change success
    
    Password change failure
  - Add to Template。このフィールドでは、デフォルトで「New Template」が選択されています。また、ドロップダウン・メニューには、このフォームを追加できるすべての構成済のWindowsアプリケーション・テンプレートリストが含まれています。
  - Edit Fields/Hide Details。このボタンを切り替えると、ウィンドウを拡大してフォーム・ウィザード全体を表示するか、ウィンドウを縮小して簡易的なフォーム・ウィザードを表示することができます。

詳細は、「「Windows Form」ウィザード」を参照してください。

2.13.4 「Windows Form」ウィザード

「Windows Form」ウィザードでは、次のいずれかのタスクを実行します。

Windowsアプリケーションに対して、またはJavaアプレットおよびアプリケーションに対して新しいログオンを構成します。
既存のログオンに新しいフォームを追加します。
自動パスワード変更のフォームを作成します。
別のウィンドウに表示されるパスワード確認フィールドをサポートするフォームを作成します。
パスワード変更の成功と失敗の自動検出用フォームを作成します。

「Windows Form」ウィザードでは、アプリケーション自体を使用して、そのフォーム、個々のフィールドおよび送信(「OK」)ボタンを識別できます。

この手順を開始する前に、アプリケーションの構成について「アプリケーションの設定に関する一般的なガイドライン」を参照してください。また、Windowsアプリケーション・ログオンの構成に固有の情報については、「Windowsアプリケーションの追加」を参照してください。

「Windows Form」ウィザードを表示するには、次のいずれかを実行します。

新しいWindowsまたはJavaアプリケーション・ログオンを作成します。

または
「Identification」タブで(Windows)、「Wizard」をクリックします。

フォームを構成するには、次の手順を実行します。

ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。管理コンソールとターゲット・アプリケーションのウィンドウを同時に参照できるように配置します。
フォーム・ウィザードで、構成するフォームのタイプを選択します。使用可能なオプションは、次のとおりです。
- Logon。ログオン・フォームを構成します。
- Logon success。資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。
- Logon failure。資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログまたは「Retry Logon」ダイアログを表示して、ユーザーが資格証明を再入力できるようにします。
- Password change。パスワード変更フォームを構成します。
- Password confirmation.。別ウィンドウに「Confirm password」フィールドを表示するアプリケーション用の新しいパスワード確認フォームを構成します。
- Password change success。ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- Password change failure。ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
  
  これらのフォームの使用方法の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。
構成しているアプリケーションが「Local Computer」または「Remote Computer」のどちらで実行されるのかを指定します。「Remote Computer」を選択する場合は、アプリケーションのパスを入力します。

注意:
Logon Managerが、選択したコンピュータで実行されている必要があります。
「Application Window」リストで、構成するウィンドウを選択します。外枠が点滅しているのが、選択したアプリケーション・ウィンドウです。

リストをフィルタリングするには、「Application type:」ドロップダウン・メニューを使用します。アプリケーションは、次のいずれかに分類されます。
- 標準のWindowsアプリケーション。
- Java、SAPまたはModern UIアプリケーション。
正しいウィンドウを選択していることを確認し、「Next」をクリックします。
「Credential Fields」ページ・リストで、「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
- Username/ID
- Password (ログオン・フォームのみ)
- Old Password (パスワード変更フォームのみ)
- New password (パスワード変更フォームのみ)
- Confirm new password (パスワード変更およびパスワード確認フォームのみ)
- 「Submit」ボタン

ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。

構成するフィールド(ログオン・ウィンドウの「user ID」フィールドなど)を選択します。アプリケーションのウィンドウで外枠が点滅しているのが、現在の選択に対応したフィールドです。
正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューからフィールド・タイプ(「UserID」など)を選択します。項目の左側に、対応するアイコンが表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。

注意:

パスワード変更成功フォームは資格証明を取り込まないため、フィールドを構成する必要はありません。この場合、「Credential Fields」ページが表示されないため、手順8に進みます。

「Class」列および「Text」列でフィールドを確認できます。たとえば、テキスト・ボックスは「Class」に「Edit」と表示され、パスワード・フィールドは、通常、「Text」の値が「*** HIDDEN ***」となります。

ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
必要なフィールドおよびボタンを構成したことを確認し、「Next」をクリックします。サマリー・ページが開き、構成内容が一覧表示されます。
次のいずれかを行います。
- 「Back」をクリックして、前のページに戻り、必要な修正を行います。
- 「Finish」をクリックして、ログオン構成を完了し、フォーム・ウィザードを閉じます。

2.13.4.1 ウィンドウ・タイトルの選択

「Select Window」ダイアログは、アプリケーションのログオンまたはパスワード変更ウィンドウのタイトルを選択する場合に使用します。

ログオンまたはパスワード変更ウィンドウを選択し、「OK」をクリックします。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。

2.13.4.2 「Windows Form」ウィザードの「Application」タブ

フォーム・ウィザードのこのページは、アプリケーションのログオンまたはパスワード/PIN変更ウィンドウを選択する場合に使用します。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.3 「Windows Form」ウィザードの「Credential Field」タブ

フォーム・ウィザードのこのページは、アプリケーションのログオンまたはパスワード変更ウィンドウのフィールドを選択する場合に使用します。

コントロール	機能
Credential Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」または「Text」)をクリックすると、リストがソートされます。リスト内のフィールドを右クリックすると、フィールド・タイプのショートカット・メニューおよび送信コントロールが表示されます。 UserID Password Third Field Fourth Field Confirm New Password OK (送信コントロール)
Refresh	フィールド・リストを更新します。
Use "Send Keys" for this form, do not use Control IDs	エージェントが、コントロールIDによって個々のフィールドをアドレス指定するのではなく、キーストロークの組み合せとしてこのフォームにログオン・データを転送することを示します。詳細は、「SendKeys」を参照してください。
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Detect Fields	フィールド・リストをスキャンし、そのリストとフィールド・タイプの照合を試みます。通常、「Detect Fields」は、一般的なアプリケーションで正確に機能しますが、フィールド・タイプが適切であるかどうかは確認する必要があります。
Refresh	フィールド・リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

「Summary」画面にウィザードの結果が表示されます。次のいずれかを行います。

「Finish」をクリックして設定を保存し、ウィザードを閉じます。

または
「Back」をクリックして前のページに戻り、設定を変更します。

2.13.4.4 「Windows Form」ウィザード(RSA SecurIDアプリケーション用)

「Windows Form」ウィザードでは、次のいずれかのタスクを実行します。

RSA SecurID Windowsアプリケーション用の新しいログオンを構成します。
既存のRSA SecurIDログオンに新しいフォームを追加します。
自動PIN変更のフォームを作成します
別ウィンドウに表示されるPIN確認フィールドをサポートするためのフォームを作成します。
PIN変更の成功と失敗の自動検出用フォームを作成します。

「Windows Form」ウィザードでは、アプリケーション自体を使用して、そのフォーム、個々のフィールドおよび送信(「OK」)ボタンを識別できます。

「Windows Form」ウィザードを表示するには、次のいずれかを実行します。

新しいWindowsまたはJavaアプリケーション・ログオンを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。

または
「Identification」タブで(Windowsフォームの場合)、「Wizard」をクリックします。

フォームを構成するには、次の手順を実行します。

ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。管理コンソールとターゲット・アプリケーションのウィンドウを同時に参照できるように配置します。
フォーム・ウィザードで、構成するフォームのタイプを選択します。使用可能なオプションは、次のとおりです。
- SecurID Logon。SecurIDログオン・フォームを構成します。
- PIN Change。PIN変更フォームを構成します。
- Confirm PIN。別ウィンドウに「Confirm PIN」フィールドを表示するアプリケーション用の新しいPIN確認フォームを構成します。
- Logon Success。ターゲット・アプリケーションのログオン成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。ログオン成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- Logon Failure。ターゲット・アプリケーションのログオン失敗メッセージに対応するフォームで、ログオン失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
- PIN Change Success。ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Windows Form」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- PIN Change Failure。ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Windows Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
「Application Window」リストで、構成するウィンドウを選択します。外枠が点滅しているのが、選択したアプリケーション・ウィンドウです。
アプリケーションが「Local Computer」または「Remote Computer」のどちらで実行されるのかを指定します。「Remote Computer」を選択する場合は、アプリケーションのパスを入力します。

注意:
Logon Managerが、選択したコンピュータで実行されている必要があります。
「Application Window」リストで、構成するウィンドウを選択します。外枠が点滅しているのが、選択したアプリケーション・ウィンドウです。

リストをフィルタリングするには、「Application type:」ドロップダウン・メニューを使用します。アプリケーションは、次のいずれかに分類されます。
- 標準のWindowsアプリケーション。
- Java、SAPまたはModern UIアプリケーション。
正しいウィンドウを選択していることを確認し、「Next」をクリックします。

「Credential Fields」ページで、各資格証明フィールドに対して次の手順を実行します。

構成するフィールド(ログオン・ウィンドウの「user ID」フィールドなど)を選択します。アプリケーションのウィンドウで外枠が点滅しているのが、現在の選択に対応したフィールドです。

正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューからログオン・フィールド・タイプ(「UserID」など)を選択します。項目の左側に、対応するアイコンが表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。

注意:

新規PIN承認フォームは資格証明を取り込まないため、フィールドを構成する必要はありません。この場合、「Credential Fields」ページが表示されないため、手順7に進みます。

「Class」列および「Text」列でフィールドを確認できます。たとえば、テキスト・ボックスは「Class」に「Edit」と表示され、PINフィールドは、通常、「Text」の値が「*** HIDDEN ***」となります。

ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
必要なフィールドおよびボタンが構成済であることを確認し、「Next」をクリックします。サマリー・ページに構成がリストされます。
次のいずれかを行います。
- 「Back」をクリックして、前のページに戻り、必要な修正を行います。
- 「Finish」をクリックして、ログオン構成を完了し、フォーム・ウィザードを閉じます。

2.13.4.4.1 Credential Field(「Windows Form」ウィザード(RSA-securIDアプリケーション用))

フォーム・ウィザードのこのページは、アプリケーションのログオンまたはパスワード変更ウィンドウのフィールドを選択する場合に使用します。

要素	機能
Credential Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」または「Text」)をクリックすると、リストがソートされます。リスト内のフィールドを右クリックすると、フィールド・タイプのショートカット・メニューおよび送信コントロールが表示されます。 SecurID Username Passcode Tokencode Next Passcode Next Tokencode Confirm New PIN SecurID Other Field OK (送信コントロール)
Refresh	フィールド・リストを更新します。
Use "Send Keys" for this form, do not use Control IDs	エージェントが、コントロールIDによって個々のフィールドをアドレス指定するのではなく、キーストロークの組み合せとしてこのフォームにログオン・データを転送することを示します。詳細は、「SendKeys」を参照してください。

要素	機能
Refresh	フィールド・リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.5 「Windows Form」ウィザードの「Identification」タブ

「Identification (Windows)」タブは、Windowsアプリケーション・ログオン構成に関するプログラム情報およびウィンドウ情報を変更する場合に使用します。

「AppPathKeys」および「Window Titles」リスト内のエントリを追加、編集または削除して、手動でログオンを構成します。

または
「Windows Form」ウィザードを使用して、ポイントおよびクリックによってウィンドウ、タイトルおよびフィールドを定義します。

このタブを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからログオン・フォームを選択し、「Edit」をクリックします。

「Windows」フォーム構成ダイアログが開き、「General」タブが表示されます。

コントロール	機能
Form name	アプリケーション・ログオン・フォームの名前。
AppPathKeys	実行中のプロセスと照合するために、このログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、アプリケーション実行可能ファイルの名前。)
Window Titles	ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。「Choose」をクリックして、現在実行中のアプリケーション・ウィンドウからタイトルを選択します。
Disabled	このWindowsテンプレートを無効にする場合に選択します。これを「Sort Order」機能とともに使用して、特定のWebポップアップを無効にできます。この機能は、正規表現(詳細は、「正規表現構文」を参照)またはワイルド・カードを使用して定義された多数のウィンドウ・タイトルがアプリケーションに含まれるにもかかわらず、それらのウィンドウ・タイトルの中で、応答されるべきでないものがいくつかある場合に役に立ちます。管理者は、応答する多数のテンプレートを作成するかわりに、(正規表現またはワイルドカードを使用して)一致するウィンドウ・タイトルを定義した後で、一致していないウィンドウ・タイトル用に無効にしたテンプレートを作成して、それらのウィンドウ・タイトルを除外できます。
Wizard	アプリケーションを視覚的に構成するために「Windows Form」ウィザードを起動します。

2.13.4.6 「Windows Form」ウィザードの「Fields」タブ

「Fields (Windows)」タブは、エージェントがログオン・フォームのフィールドとどのようにやり取りするかを定義する場合に使用します。現在選択しているアプリケーション・フォームに対して、次のいずれかを識別できます。

最大4つのログオン・フィールド(ユーザーIDやパスワードなど)で、コントロールIDを使用します。
ログオン・フォームに値を代入して送信するキーストロークの組合せ(オプションで時間も送信可能)で、SendKeysを使用します。

このタブを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブを選択します。
リストからログオン・フォームを選択し、「Edit」をクリックします。
Windowsフォーム構成ダイアログの「General」タブで、「Fields」タブをクリックします。

コントロール

機能

Transfer Method
(1つ選択)

標準のWindowsコントロールIDを使用して、資格証明を識別し、フィールドに転送します。フィールドを追加し、そのコントロールIDを入力するには「Add」をクリックし、既存のフィールド設定を変更するには「Edit」をクリックします。
キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。

Fields

このログオン・フォーム用に構成された転送方法があるフィールド。次の操作を実行できます。

フィールドを選択し、「Edit」をクリックして、「Control ID」、「SendKeys」または「SendKeys using Journal Hook」設定を変更します。
「Add」をクリックしてフィールドを追加します(「Control ID」のみ)

2.13.4.6.1 「ControlID」ダイアログ

「Control ID」ダイアログは、マネージャの応答を構成するために、ログオン・フォームのフィールドおよび送信ボタンを識別する場合に使用します。

コントロール	機能
Field	コントロールによって表される資格証明データを選択するか、またはそのコントロールを送信(「OK」)ボタンであると指定します。 UserID Password Third Field Fourth Field OK (送信コントロール)
Control ID	選択したフィールドまたはボタンのコントロールIDを入力します。
Skip field if control is disabled	このオプションを選択すると、選択したフィールドがユーザー・エントリを受け入れないように設定されている場合に、エージェントがデータを入力できなくなります。

このダイアログを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」を選択し、Windowsアプリケーションを選択します。
右側のペインで、「General」タブを選択します。
次のいずれかを行います。
- リストからログオン・フォームを選択し、「Edit」をクリックします。
  
  または
- 「Add」をクリックして、新しいフォームを構成します。
「Windows form configuration」ダイアログの「General」タブで、次のいずれかを実行します。
- 「Fields」タブをクリックし、「Transfer Method」として「Control IDs」を選択し、「Edit」をクリックします。
  
  または
- 「Matching」タブをクリックし、「Add」をクリックした後、「Control ID」をクリックします。

2.13.4.7 Windowsアプリケーション・ログオンのSendKeys

「SendKeys」ダイアログは、Logon Managerがログオン・フォームに転送するキーストロークの組合せを指定する場合に使用します。

次のようなWindowsアプリケーションには「SendKeys」オプションを使用します。

Windowsメッセージ・キューから、または通常エージェントによって資格認証の送信に使用されるその他の技術を使用して資格証明を受信できない。
コントロールIDを持つ標準のWindowsコントロールを使用しない。
コントロールを動的に生成するか、またはWindowsコントロールを使用しない(Flashアプリケーションなど)

「SendKeys」ダイアログの右側のペインの「New Actions」リスト・ボックスには、アクションごとのキーストローク・オプションが用意されています。SendKeysを構成するアクションを選択し、アクションごとに必要なオプションを選択または入力します。「Insert」ボタンをクリックして、キーストロークの組合せにキーまたはアクションを追加します。

注意:

東アジア言語のアプリケーションの場合: 東アジア言語(中国語、日本語、韓国語)アプリケーションのテンプレートにSendKeysを使用して情報を追加する場合、[Tab]キーを押して次のフィールドに進む前に、[Enter]キーを押す必要があります。[Enter]キーを押すことは、フィールドへの入力が完了したことをインプット・メソッド・エディタに知らせ、IMEによる資格証明フィールドの識別を可能にします。

東アジア言語用のジャーナル・フックSendKeysは、Logon Managerと互換性がありません。

左側のペインの「Current Actions」リストに、選択内容が表示されます。

キーストロークの組合せの順序を変更するには、項目を選択し、上矢印または下矢印をクリックしてその項目を移動します。
項目を削除するには、その項目を選択し、「Delete」をクリックします。
項目を編集するには、項目を選択してから「Edit」をクリックします。「Edit Action」ダイアログが開きます。必要に応じてフィールドを編集し、「OK」をクリックします。

新しいアクション	コントロール	機能
Fields	Field Type	キーストロークの組合せに追加する資格証明項目をリストから選択します。 UserID Password Third Field Fourth Field Old Password New Password Confirm New Password
	Character to insert after field	フィールドへの入力後に自動的に挿入するキーストロークを選択します。 None(キーストロークなし) Enter(フォームを送信する場合) Tab(カーソルを進める場合) 後述の「Special Keys」を参照してください。
	Inject directly into control	コントロールに資格証明を直接挿入します。省略記号(…)ボタンをクリックして、「Choose Control ID」ダイアログを開きます。注意: SendKeysを使用する場合、アプリケーションはWindowsアプリケーションとみなされます。「Choose Control ID」ダイアログに表示されるコントロールは、Logon Managerが検索できるあらゆるWindowsコントロールを示します。
	Insert	キーストロークの組合せに現在の選択内容を追加します。
Click	Click at a coordinate	指定されたX, Y座標でマウス・クリックをシミュレートします。 X:マウス・クリックのX座標を選択します。 Y:マウス・クリックのY座標を選択します。 Relative to the:マウス・クリックが基準とする場所を選択します。画面アクティブ・ウィンドウ Mouse button:クリックされるマウスボタンを選択します。左真ん中右
	Click on a control	このオプションは、指定した座標でのクリックと似ていますが、Logon Managerがコントロールの場所を把握し、コントロールの中心でクリックをシミュレートする点が異なります。省略記号(…)ボタンをクリックして、「Choose Control ID」ダイアログを開きます。注意: SendKeysを使用する場合、アプリケーションはWindowsアプリケーションとみなされます。「Choose Control ID」ダイアログに表示されるコントロールは、Logon Managerが検索できるあらゆるWindowsコントロールを示します。
	Insert	キーストロークの組合せにクリックによる選択を追加します。
Run Task	Command line to run	実行するコマンド行を入力します。この機能を使用すると、キーストロークの入力中にプログラムを実行できます。ウィンドウ・ハンドル`$(HWND)`をコマンド行に追加して、現在作業中のウィンドウ・ハンドルをスクリプトに通知できます。環境変数もコマンド行に追加できます。`$(USERDOMAIN)\$(USERNAME)` 省略記号(…)ボタンをクリックして、「Choose Control ID」ダイアログを開きます。注意: 仮想キー・コードをコマンド行で使用することはできません(最初のバッククォート文字でコマンド行が終了します)。
	Expected return code	予想されるリターン・コードを入力します。この値が返されなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。
	Time out (sec.)	タスクが完了するまで待機するミリ秒数を入力します。このタイムアウトに達しなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。最大のタイムアウト時間は5秒です。
	Insert	キーストロークの組合せにタスクを追加します。
Delay	Length of delay (in seconds)	キーストローク間の遅延を入力または選択します。
	Insert	キーストロークの組合せに遅延を追加します。
Set Focus	Set focus to control	コントロールにフォーカスを設定します。省略記号(…)ボタンをクリックして、「Choose Control ID」ダイアログを開きます。注意: SendKeysを使用する場合、アプリケーションはWindowsアプリケーションとみなされます。「Choose Control ID」ダイアログに表示されるコントロールは、Logon Managerが検索できるあらゆるWindowsコントロールを示します。
	Insert	キーストロークの組合せにフォーカスを追加します。
Text	Enter text to insert	キーストロークの組合せに追加するリテラル・テキストを入力します。
	Insert	キーストロークの組合せにテキストを追加します。
Special Keys	Category/Keys	左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Page Down]など)を選択します。
	Key Press	単一のキーストロークとしてキーを挿入します(デフォルト)。
	Key Down/Up	キーを押して解放するという1組のアクションとしてキーを挿入します。このオプションを使用すると、これらのアクション間に他のキーストロークを挿入して、あるキーの入力時に1つ以上の別のキーを押したままにすることができます。たとえば、フォーカスを特定のテキスト・ボックスに移動するホット・キーの組合せを作成できます。たとえば、キーストローク[Alt]+[P]を挿入するには、「Key Down/Up」オプションを選択し、カテゴリとして「Modifier」、キーとして「Alt」をそれぞれ選択し、「Insert」をクリックします。これにより、[Down:Alt]と[Up:Alt]の2つのアクションが挿入されます。「Text」タブを選択し、テキスト・ボックスにPと入力します。左側のペインで、「[Up:Alt]」を選択し、「Insert」をクリックします。Pが2つの[Alt]キー・アクションの間に挿入され、[Alt]+[P]が生成されます。
	Insert	キーストロークの組合せにキーストロークを追加します。

このダイアログを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
次のいずれかを行います。
- リストからログオン・フォームを選択し、「Edit」をクリックします。
  
  または
- 「Add」をクリックして、新しいフォームを構成します。
  
  「Windows form-configuration」ダイアログが開き、「General」タブが表示されます。
「Fields」タブをクリックし、「Transfer Method」として「SendKeys」を選択した後、「Edit」をクリックします。

2.13.4.8 Kiosk ManagerのSendKeys (Windowsアプリケーション用)

「SendKeys」ダイアログは、Kiosk Managerがログオン・フォームに転送するキーストロークの組合せを指定する場合に使用します。

注意:

Telnetアプリケーションのログオンの構成については、「Telnetアプリケーションの追加」を参照してください。

「SendKeys」ダイアログの右側のペインの各タブには、キーストローク・オプションがあります。各タブに必要なオプションを選択または入力します。「Insert」ボタンをクリックして、キーストロークの組合せにキーまたはアクションを追加します。

左側のペインのリストに選択内容が表示されます。キーストロークの組合せの順序を変更するには、項目を選択し、上矢印または下矢印をクリックしてその項目を移動します。アイテムを削除するには、選択して、「Remove」をクリックします。

コントロール

タブ	機能	入力
「Text」タブ	Enter text to insert	キーストロークの組合せに追加するリテラル・テキストを入力します。
「Text」タブ	Insert	キーストロークの組合せにテキストを追加します。
「Delay」タブ	Length of delay (in seconds)	キーストローク間の遅延を入力または選択します。
「Delay」タブ	Insert	キーストロークの組合せに遅延を追加します。
「Special Keys」タブ	Category/Keys	左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Page Down]など)を選択します。
	Key Press	単一のキーストロークとしてキーを挿入します(デフォルト)。
	Key Down/Up	キーを押して解放するという1組のアクションとしてキーを挿入します。このオプションを使用すると、これらのアクション間に他のキーストロークを挿入して、あるキーの入力時に1つ以上の別のキーを押したままにすることができます。たとえば、フォーカスを特定のテキスト・ボックスに移動するホット・キーの組合せを作成できます。たとえば、キーストローク[Alt]+[P]を挿入するには、「Key Down/Up」オプションを選択し、カテゴリとして「Modifier」、キーとして「Alt」をそれぞれ選択し、「Insert」をクリックします。これにより、[Down:Alt]と[Up:Alt]の2つのアクションが挿入されます。「Text」タブを選択し、テキスト・ボックスにPと入力します。左側のペインで、[Up:Alt]を選択した後、「Insert」をクリックします。Pが2つの[Alt]キー・アクションの間に挿入され、[Alt]+[P]が生成されます。
	Insert	キーストロークの組合せにキーストロークを追加します。

2.13.4.9 「Matching」タブ(Windowsアプリケーションの構成用)

「Matching (Windows)」タブを使用して、同じWindowsアプリケーション内の類似フォームを区別します。サポートされているフォーム・タイプ(ここではターゲット・フォームと呼びます)は、次のとおりです。

Logon
Password Change
Password Confirmation
Logon Success
Logon Failure
Password Change Success

Password Change Failure

注意:

「Logon」、「Change Password」、「Confirm」および「Ignore」一致タイプとは異なり、これらの一致をユーザーが明示的に選択することはできません。これらは、フォーム・タイプで判別できます。

コントロール

要素	機能
Allowable Class	「Choose」を使用して、このログオンを実行するために必要なログオンまたはパスワード変更ウィンドウのクラスを確認します。この機能は、標準的でないクラス名がログオン・ウィンドウまたはパスワード変更ウィンドウで使用されるアプリケーションで役に立ちます。「Select Window」ダイアログが表示されます。
Regular Expression	「Allowable Class」で正規表現を使用するかどうかを選択します。
Ignore this Window Class	「Choose」をクリックして、ログオンの実行字に無視するログオンまたはパスワード変更ウィンドウを選択します。この機能は、標準的でないクラス名が非表示のログオンまたはパスワード変更ダイアログを使用するアプリケーション、または重複するダイアログに存在するアプリケーションで役に立ちます。「Select Window」ダイアログが表示されます。
Regular Expression	無視したウィンドウ・クラスで正規表現を使用するかどうかを選択します。
Attach to window's Message Queue	ターゲット・ウィンドウを保持したまま資格証明を送信する場合に選択します。
Preset Focus	エージェントがデータをログオン・フィールドに配置する前に、ログオン・フィールドにフォーカスを設定する場合に選択します。
System Logon	(予約済)
Use WM_CHAR messages to fill controls	アプリケーションによっては、設定済のテキスト・コマンドではなくキーボードからパスワードを入力する必要があります。この設定を有効にすると、コントロール内にテキストを設定することによって、別の方法でキーボード入力をシミュレートできます。
Allow fallback from ControlIDs to SendKeys	ControlIDを使用した直接取込みが失敗した場合に、SendKeysを使用して資格証明を入力するかどうかを示します。デフォルトは「Yes」です。
Sort Order	正規表現を含むウィンドウ・クラス・タイトルをLogon Managerがテンプレート内で検索する順序を指定します。ソート順序を設定することによって、正確性が低い一致を除くことなく、検索の効率が向上します。ソート順序をテンプレートに割り当てない場合、Logon Managerは昇順(値の小さい方を最初に確認する)でテンプレートを確認します。デフォルトは1000です。

エージェントは、指定した一致基準を使用して、類似したフォームを区別します。これにより、エージェントは、1組のユーザー資格証明をこのような複数のフォームに適切に適用できます。また、マッチングを使用して、エージェントで無視するフォームを識別することもできます。

次のいずれかを行います。

新しい一致基準を作成するには、「Add」をクリックします。

または

「Match」を選択し、「Edit」をクリックします。

「Matching」ダイアログが表示されます。

注意:

一致基準を作成する最も簡単で効率的な方法は、「Control Match」ウィザードを使用することです。ウィザードを使用すると、ターゲット・フォーム自体から要素を選択して、一致基準を指定できます。また、手動で一致基準を作成および変更することもできます。

このタブを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからフォームを選択し、「Edit」をクリックします。
「Matching」タブを選択します。

2.13.4.10 「Windows Form」ウィザードの「Matching」ダイアログ

このダイアログは、同じ資格証明データを使用する類似したターゲット・フォームをエージェントが区別するために一致基準を作成する場合に使用します。これにより、エージェントは、1組のユーザー資格証明をこのような複数のフォームに適切に適用できます。このダイアログを表示するには、「Matching」タブ(Windowsログオン・フォームの構成用)から「Add」をクリックします。

2.13.4.11 ウィザードを使用した一致基準の作成

「Wizard」をクリックし、画面の指示に従います。

2.13.4.12 手動での一致基準の作成または変更

一致基準を手動で作成または変更するには、次の手順を実行します。

「Match name」を入力し、ターゲット・フォームのタイプを選択します。
ターゲット・フォームに表示する「Window Titles」を追加または編集するか、あるいは「Main」から「Use Titles」を選択します。
「Control Matching」の項目を追加または編集します。これらの項目は、フォーム・オブジェクトのプロパティ(テキスト・キャプションやコントロール・クラスなど)に基づく基準となります。また、これらの項目でターゲット・フォームを一意に識別できます。
ターゲット・フォームの資格証明フィールドの「Control IDs」を追加または編集します。
「OK」をクリックします。

コントロール	機能
Match Name	一致の名前を入力または編集します。
Type	照合するフォームのタイプを選択します。 Logon Change Password Confirm (Password) Ignore Logon Success Logon Failure Password Change Success Password Change Failure 注意: 「Logon」、「Change Password」、「Confirm」および「Ignore」一致タイプとは異なり、これらの一致をユーザーが明示的に選択することはできません。これらは、フォーム・タイプで判別できます。
Windows Titles	「Use Titles from Main」をクリックして、このログオンの「General」タブのウィンドウ・タイトルをコピーするか、「Add」をクリックして手動でタイトルを入力します。
Control Matching	「Add」をクリックして(または一致項目を選択して「Edit」をクリックして)、「Control Matching」ダイアログを表示します。
Control ID	「Add」をクリックして(またはコントロールID項目を選択して「Edit」をクリックして)、「Control ID」ダイアログを表示します。
Wizard	「Control Match」ウィザードを起動します。

2.13.4.13 「Windows Matching」タブでのタイトルの追加または編集

このダイアログは、エージェントがウィンドウ・タイトルで特定のアプリケーション・ウィンドウ(ログオン・エントリやパスワード変更など)を検出するために使用するテキスト文字列を追加または変更する場合に使用します。

2.13.4.13.1 照合するウィンドウ・タイトルの指定

照合するウィンドウ・タイトルの指定するには、次の手順を実行します。

次のいずれかを選択します(「表現の照合」を参照)。
- Exact match
- Use wildcards(Kiosk Managerには適用されません)
- Use regular expression(Kiosk Managerには適用されません)
「Window Title」または照合する表現を入力(または編集)します。
「OK」をクリックします。

2.13.4.13.2 表現の照合

URLのテキストが変化するアプリケーションの場合は、部分文字列や正規表現を使用して、その可変テキストの照合方法を指定できます。

要素使用方法

Wildcards

? (疑問符)は、任意の1文字と一致します。
* (アスタリスク)は、0個以上の任意の文字と一致します。

注意: これは、Kiosk Managerには適用されません。

Regular Expression

正規表現のセットを使用して、エージェントが一致とみなす文字列パターンを指定できます。

注意: これは、Kiosk Managerには適用されません。

2.13.4.13.3 環境変数の照合

URLに(ワークステーションのオペレーティング・システムのDOMAINUSER環境変数から取得するなどして)ユーザーの名前を使用しているアプリケーションの場合は、一致基準として「Exact」を選択し、一致文字列に次の置換トークンのいずれかを含めます。

変数	使用方法
`%DOMAINUSER%`	この環境変数から導出されるものと同じユーザー名
`%UC%%DOMAINUSER%`	すべて大文字に変換されたユーザー名
`%LC%%DOMAINUSER%`	すべて小文字に変換されたユーザー名

例

次の「Window Title」エントリは、ユーザー名が含まれているパスワード変更ウィンドウのタイトルと一致します。

パスワードの期限切れ - %UC%%DOMAINUSER%

2.13.4.14 コントロールの照合

「Control Matching」ダイアログは、ターゲット・フォームのコントロールのプロパティ(テキスト・キャプションやコントロール・スタイルなど)に基づく一致基準を指定する場合に使用します。

コントロール	機能
Control ID	コントロールの数値識別子を入力します。
Match Condition	コントロールのプロパティを1つ選択し、関係(「Equals」、「Not Equal」、「Equals regular expression」、「Not equals regular expression」)を選択し、一致させる(または一致させない)条件を入力または選択します。各プロパティの有効な条件は、次のとおりです。
	クラス	「Edit」または「Static」コントロール。
	スタイル	コントロールに適用される集約されたスタイルの10進数識別子。
	テキスト	リテラル文字列。

「OK」をクリックしてダイアログを保存して終了するか、「Cancel」をクリックして変更せずに終了します。

2.13.4.15 「Control ID」(「Windows Field」タブ)

「Control ID」ダイアログは、エージェントの応答を構成するために、ログオン・フォームのフィールドおよび「Submit」ボタンを識別する場合に使用します。

コントロール	機能
Field	コントロールによって表される資格証明データを選択するか、またはそのコントロールを送信(「OK」)ボタンであると指定します。 UserID Password Third Field OK (送信コントロール) Fourth Field
Control ID	フィールドまたはボタンのコントロールIDを入力します。
Control Type	コントロール・タイプを選択します。 Edit(テキスト・ボックス) Combo(ドロップダウン・リスト・ボックス) List

注意:

ほとんどの場合、「Windows Form」ウィザードを使用して、フィールドおよびコントロールIDを識別できます。

2.13.4.16 「Control Match」ウィザード

「Control Match」ウィザードは、一致基準をターゲット・アプリケーションのウィンドウおよびコントロールから選択して定義する場合に使用します。エージェントは、一致基準を使用して現在選択しているログオンに類似したターゲット・フォーム(パスワード変更ダイアログなど)を識別します。エージェントは、元のログオンと同じ資格証明を使用して、一致したターゲット・フォームにデータを提供します。また、一致基準を使用すると、現在のログオンに類似しており、エージェントで無視する必要があるターゲット・フォームを指定することもできます。

ウィザードを使用して一致基準を作成するには、次の手順を実行します。

ターゲット・アプリケーションを起動し、ターゲット・フォームにナビゲートします。管理コンソールとターゲット・アプリケーションのウィンドウを同時に参照できるように配置します。
フォームの「Match Type」を選択し、画面の指示またはヘルプ・トピックに従います。
- Ignore
- Logon
- Password Change
- Password Confirm

詳細は、「「Matching」タブ(Windowsアプリケーションの構成用)」を参照してください。

「Control Match」ウィザードを表示するには、次の手順を実行します。

「Matching」タブの「Add」を選択します(Windowsログオン・フォームを構成する場合)。「Matching」ダイアログが表示されます。
「Wizard」をクリックします。

2.13.4.17 アプリケーション・ウィンドウの無視

このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。

エージェントで無視するアプリケーション・ウィンドウを「Window List」から選択します。
「Next」をクリックして、「Match Fields」ページを表示します。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.18 一致フィールドの無視

このウィザード・ページは、一致フィールドのセットを選択する場合に使用します(このセットとは、エージェントが認識する必要があるアプリケーション・ウィンドウを一意に識別する、1つ以上のウィンドウ・オブジェクトのことです)。一致フィールドは、そのクラス(編集や静的などコントロールのタイプ)、スタイル(番号で識別されるプロパティの集約)またはテキストに基づいて識別できます。

フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
「Next」をクリックして、「Summary」ページを表示します。

コントロール	機能
Match Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、一致基準のショートカット・メニューを表示します。 None(フィールドを選択解除します) クラススタイルテキスト
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.19 ログオンのアプリケーション・ウィンドウ

このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。

エージェントでログオン・フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
「Next」をクリックして、「Match Fields」ページを表示します。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.20 ログオンの一致フィールド

フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
「Next」をクリックして、「Credentials」ページを表示します。

コントロール	機能
Match Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。 None(フィールドを選択解除します) クラススタイルテキスト
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.21 ログオンの資格証明

このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。

フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
「Next」をクリックして、「Summary」ページを表示します。

コントロール	機能
Credential Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。 None(フィールドを選択解除します) UserID Password Third Field Fourth Field
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.22 パスワード変更のアプリケーション・ウィンドウ

このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。

エージェントでパスワード変更フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
「Next」をクリックして、「Match Fields」ページを表示します。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.23 パスワード変更の一致フィールド

フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
「Next」をクリックして、「Credentials」ページを表示します。

コントロール	機能
Match Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。 None(フィールドを選択解除します) Class Style Text
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.24 パスワード変更の資格証明

このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。

フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
「Next」をクリックして、「Summary」ページを表示します。

コントロール	機能
Credential Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。 None(フィールドを選択解除します) UserID Old Password/PIN New Password/PIN Confirm Password/PIN
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.25 パスワード確認のアプリケーション・ウィンドウ

このウィザード・ページは、エージェントで認識する必要があるアプリケーション・ウィンドウを選択する場合に使用します。

エージェントでパスワード確認フォームとして認識する必要があるアプリケーション・ウィンドウを「Window List」から選択します。
「Next」をクリックして、「Match Fields」ページを表示します。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.26 パスワード確認の一致フィールド

フィールド・リストで、フィールドを右クリックし、一致基準を選択します。
「Next」をクリックして、「Credentials」ページを表示します。

2.13.4.27 パスワード確認の資格証明

このウィザード・ページは、エージェントが資格証明データを提供する必要があるフィールドを識別する場合に使用します。

フィールド・リストで、フィールドを右クリックし、資格証明を選択します。
「Next」をクリックして、「Summary」ページを表示します。

コントロール	機能
Credential Fields	現在選択しているアプリケーション・ウィンドウのフィールドが表示されます。ヘッダー(「Class」、「ID」、「Text」または「Style」)をクリックすると、リストがソートされます。リストのフィールドを右クリックして、フィールド・タイプのショートカット・メニューを表示します。 None(フィールドを選択解除します) UserID Old Password/PIN New Password/PIN Confirm Password/PIN
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	リストを更新します。
Back	前のウィザード・ページに戻ります。
Next	次のウィザード・ページに進みます。

2.13.4.28 「Options」タブ(Windowsアプリケーションの構成用)

「Options (Windows)」タブは、現在選択されているアプリケーション・ログオン・フォームのプロパティを特殊な構成用に調整する場合に使用します。

このタブを表示するには、次のいずれかを実行します。

新しいWindowsアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからログオン・フォームを選択し、「Edit」をクリックします。
「Options」タブを選択します。

コントロール	機能
Attach to window's Message Queue	ターゲット・ウィンドウを保持したまま資格証明を送信する場合に選択します。
Preset Focus	エージェントがデータをログオン・フィールドに配置する前に、ログオン・フィールドにフォーカスを設定する場合に選択します。
System Logon	(予約済)
Use WM_CHAR messages to fill controls	アプリケーションによっては、設定済のテキスト・コマンドではなくキーボードからパスワードを入力する必要があります。この設定を有効にすると、コントロール内にテキストを設定することによって、別の方法でキーボード入力をシミュレートできます。
Adhere to Logon Loop Grace Period	ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
Fall back to SendKeys if direct injection fails	コントロールIDを使用した直接取込みが失敗した場合に、SendKeysを使用して資格証明を入力するかどうかを示します。デフォルトは「Yes」です。
Auto-Recognize	エージェントにアプリケーションを自動認識させる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
Auto-Submit	資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
Sort Order	正規表現を含むウィンドウ・クラス・タイトルをLogon Managerがテンプレート内で検索する順序を指定します。ソート順序を設定することによって、正確性が低い一致を除くことなく、検索の効率が向上します。ソート順序をテンプレートに割り当てない場合、Logon Managerは昇順(値の小さい方を最初に確認する)でテンプレートを確認します。デフォルトは1000です。
Detection Delay	アプリケーション・フィールドが検出されるのをエージェントが待機する必要がある時間間隔。

2.13.4.28.1 ウィンドウの選択[クラス]

「Select Window」ダイアログでは、画面に表示されているウィンドウのクラス名を選択できます。このダイアログを使用して、エージェントが許可または無視する必要のあるウィンドウ・クラスを指定します。

「Select Window」ダイアログは、Windowsログオンの「Options」タブで次のいずれかのオプションを選択した場合に表示されます。

Allowable Class。エージェントがログオンを実行するために必要なログオンまたはパスワード変更ウィンドウのクラスを選択します。
Ignore this Window Class。資格証明フィールドが検出されたときに無視する必要のあるログオンまたはパスワード変更のウィンドウ・クラスを選択します。

コントロール

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に選択します。

2.13.5 新しいWebアプリケーション・テンプレートの作成

「Web Form」ウィザードを使用すると、新しいWebアプリケーション・テンプレートの作成プロセスが簡単になります。「Web Form」ウィザードは、管理コンソールで「Applications」メニューまたは「Add Application」アイコンを使用して起動するか、開いているアプリケーションのウィンドウから直接起動できます。

2.13.5.1 管理コンソールを使用したテンプレートの作成

管理コンソールを使用してテンプレートを作成するには、次の手順を実行します。

左側のペインで、「Applicationsを右クリックし、ショートカット・メニューから「New Web App」を選択します。「Add Application」ダイアログが、「Web」オプションが選択された状態で表示されます。
新しいログオンの「Name」を入力し、「OK」をクリックします。「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。

または

管理コンソール・ツールバーの「Add Application」アイコン(次を参照)をクリックします。
「Select Window」画面からWebアプリケーションを選択します。「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。

2.13.5.2 開いているアプリケーションを使用したテンプレートの作成

アプリケーションの実行中に、Webアプリケーションに対してオンザフライで新しいテンプレートを作成できます。

ブラウザを開き、作成するテンプレートの元になるURLにナビゲートします。
そのブラウザのタイトル・バー・ボタン・メニューから「Create Template」を選択します。

「Web Form」ウィザード(新しいログオン・フォームの構成用)が起動します。

2.13.5.3 「Web Form」ウィザード

「Web Form」ウィザードでは、Webアプリケーション自体を参照して、そのログオンまたはパスワード変更ウィンドウ、個々のフィールドおよび「Submit」(「OK」)ボタンの識別子を取得できます。「Web Form」ウィザードを表示するには、次の手順を実行します。

新しいWebアプリケーションを作成します。
「New Web Application」構成ダイアログで、「Wizard」をクリックします。「Web Form」ウィザードが表示されます。

注意:

解像度が800x600のワークステーションを使用している場合、「Web Form」ウィザードの下部にあるボタンは表示されません。また、この解像度では、ウィザードが開始するまでに時間がかかります。ワークステーションの解像度を高く設定することをお薦めします。

2.13.5.4 ウィザードを使用したWebアプリケーションの構成

「Web Form」ウィザードを使用してWebアプリケーションを構成するには、次の手順を実行します。

表示された最初の「Wizard」ダイアログ・ボックスで、構成するアプリケーション・フォームのタイプを選択します。使用可能なオプションは、次のとおりです。
- Logon。ログオン・フォームを構成します。
- Logon success。資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。
- Logon failure。資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログまたは「Retry Logon」ダイアログを表示して、ユーザーが資格証明を再入力できるようにします。
- Password change。パスワード変更フォームを構成します。
- Password confirmation.。パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
- Password change success。ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Web Form」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- Password change failure。ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Web Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
  
  これらのフォームの使用方法の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。
  
  注意:
  既存のフォームを編集している場合、このダイアログは表示されません。
「Web Form」ウィザードで、WebサイトのWebアドレス(URL)を入力し、「Go」をクリックします。ウィザードの最上部のペインは、Webブラウザ・ウィンドウとして機能します。必要に応じて、ウィザードのウィンドウ・サイズを変更できます。
最上部のペインで、Webサイトのログオン・フォームにナビゲートします。Webページで1つ以上のフォームが検出された場合は、ウィザードの最下部のペインにフォームおよびその要素(フィールドおよびボタン)が一覧表示されます。
「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
- Username/ID
- Password
- Old Password (パスワード変更フォームのみ)
- New password (パスワード変更フォームのみ)
- 「Submit」ボタン
(オプション)「Use ordinals instead of names」を選択します。「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
(オプション)「Show non-input fields」を選択します。管理コンソールは、入力機能はあっても、送信ボタンとして機能するIMGタグなどの情報は入力できないフィールドを検出し、これらのフィールドを「Web Form」ウィザードのフィールド・リストに追加します。
(オプション)「Allow multiple field designation」を選択します。管理コンソールは、同じ資格証明を必要とする複数のフィールド(パスワードの入力、確認フィールドなど)、または2つのフォーム上に同じフィールドを持つページを認識します。
ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
1. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
2. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
3. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
1. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
2. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
3. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
1. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
2. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
3. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「UserID」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
ログオンに必要なフィールドごとに、前述の2つの手順を繰り返します。最大4つのフィールドをまとめて構成できます。
構成の完了後、「OK」をクリックしてその構成を保存し、「Web Form」ウィザードを閉じます。

2.13.5.5 「Web Form」ウィザード(RSA SecurIDアプリケーション用)

「Web Form」ウィザードは、次のタスクを実行する場合に使用します。

RSA SecurID Windowsアプリケーション用の新しいログオンを構成します。
既存のRSA SecurIDログオンに新しいフォームを追加します。
自動PIN変更のフォームを作成します
PIN変更の成功と失敗の自動検出用フォームを作成します。

「Web Form」ウィザードでは、Webアプリケーション自体を参照して、そのフォームおよびウィンドウ、個々のフィールドおよび送信(OK)ボタンの識別子を取得できます。「Web Form」ウィザードを表示するには、次の手順を実行します。

新しいWebアプリケーションを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。

「New Web Application」構成ダイアログで、「Wizard」をクリックします。「Web Form」ウィザードが表示されます。

注意:

「RSA SecurID」ウィザードを使用してWebアプリケーションを構成するには、次の手順を実行します。

表示されたダイアログで、構成するアプリケーション・フォームのタイプを選択します。使用可能なオプションは、次のとおりです。
- SecurID Logon。SecurIDログオン・フォームを構成します。
- SecurID Logon success。資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。
- SecurID Logon failure。資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログまたは「Retry Logon」ダイアログを表示して、ユーザーが資格証明を再入力できるようにします。
- PIN change。PIN変更フォームを構成します。
- PIN confirmation。パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
- PIN change success。ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Web Form」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- PIN change failure。ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Web Form」ウィザードの「Credentials」ページが表示されるので、そこで必要なフィールドを構成します。
  
  これらのフォームの使用方法の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。
  
  注意:
  既存のフォームを編集している場合、このダイアログは表示されません。
「Web Form」ウィザードで、WebサイトのWebアドレス(URL)を入力し、「Go」をクリックします。ウィザードの最上部のペインは、Webブラウザ・ウィンドウとして機能します。必要に応じて、ウィザードのウィンドウ・サイズを変更できます。
最上部のペインで、Webサイトのログオン・フォームにナビゲートします。Webページで1つ以上のフォームが検出された場合は、ウィザードの最下部のペインにフォームおよびその要素(フィールドおよびボタン)が一覧表示されます。
「Detect Fields」ボタンをクリックします。ウィザードによって資格証明フィールドの検出および構成が試行され、次のようにマークが付けられます。
- SecurID Username
- Passcode
- Tokencode
- Old PIN (PIN変更およびPIN変更失敗フォームのみ)
- New PIN (PIN変更およびPIN変更失敗フォームのみ)
- 「Submit」ボタン
(オプション)「Use ordinals instead of names」を選択します。「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
(オプション)「Show non-input fields」を選択します。管理コンソールは、入力機能はあっても、送信ボタンとして機能するIMGタグなどの情報は入力できないフィールドを検出し、これらのフィールドを「Web Form」ウィザードのフィールド・リストに追加します。
(オプション)「Allow multiple field designation」を選択します。管理コンソールは、同じ資格証明を必要とする複数のフィールド(パスワードの入力、確認フィールドなど)、または2つのフォーム上に同じフィールドを持つページを認識します。
ウィザードで正しいフィールドが選択されたことを確認します。必要に応じて、選択内容を変更できます。
1. 既存のテンプレートを編集している場合、右下にある「Form Type」ドロップダウンを使用してフォーム・タイプを変更することもできます。その場合、テンプレートの再構成(フィールドの再割当てなど)が必要になることに注意してください。フォーム・タイプを選択すると、選択したフォーム・タイプに関連するフィールドのみが表示されます。
2. 最下部のペインのリストで、フィールドを特定し、選択します。(「Element」および「Type」の説明で詳細を確認できます。)最上部のペインで外枠が点滅しているのが、選択したフィールドまたはボタンです。
3. 正しいフィールドが選択されていることを確認してから、選択した項目を右クリックし、ショートカット・メニューから選択します(「SecurID Username」など)。アイコンが、項目の左側に表示されます。項目を選択解除するには、その項目を右クリックし、ショートカット・メニューから「None」を選択します。
ログオン・フォームの完成に必要なフィールドごとに、このプロセスを繰り返します。最大4つのフィールドをまとめて構成できます。
ログオンに必要なフィールドごとに、前述の2つの手順を繰り返します。最大4つのフィールドをまとめて構成できます。
構成の完了後、「OK」をクリックしてその構成を保存し、「Web Form」ウィザードを閉じます。

2.13.5.6 「Identification」タブ(Webアプリケーションの構成用)

「Identification (Web)」タブは、Webアプリケーション・ログオン構成に関するプログラム情報およびウィンドウ情報を変更する場合に使用します。

「Form name」および「URL」フィールドでエントリを追加、編集または削除することでログオンを手動で構成できます。

または
「Web Form」ウィザードを使用して、ポイントおよびクリックによってURL、フォームおよびフィールドを定義できます。

このタブを表示するには、次のいずれかを実行します。

新しいWebアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Webアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。

リストからフォームを選択し、「Edit」をクリックします。

「Web」フォーム構成ダイアログが開き、「General」タブが表示されます。

コントロール	機能
Form name	アプリケーション名を入力します。
URL	構成するログオンまたはパスワード変更フォームの1つ以上のURL。「Add」をクリックして(または一致項目を選択して「Edit」をクリックして)、「URL」ダイアログを表示します。「Delete」をクリックしてURLを削除します。

2.13.5.7 「Fields」タブ(Webアプリケーションの構成用)

「Fields (Web)」タブは、エージェントがログオン・フォームのフィールドとどのようにやり取りするかを定義する場合に使用します。現在選択しているアプリケーション・フォームに対して、次のいずれかの転送方法を選択します。

最大4つのログオン・フィールド(ユーザーIDやパスワードなど)で、コントロールIDを使用します。

ログオン・フォームに値を代入して送信するキーストロークの組合せ(オプションで時間も送信可能)で、「SendKeys」または「SendKeys using Journal Hook」を使用します。

Webフォームの作成後に転送方法を切り替える場合は、この画面で目的の転送方法を選択します。管理コンソールは、選択した転送方法のフィールドを変換します。

注意:

コントロールIDからSendKeysに切り替えると、直接取込み設定を持つすべてのフィールドが変換されます。編集プロセス中に取込み方法を変更することができます。SendKeysからコントロールIDに切り替えると、直接取込みに設定されていないフィールドは変換されません。

このタブを表示するには、次のいずれかを実行します。

新しいWebアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、Windowsアプリケーションを選択します。
右側のペインで、「General」タブを選択します。
リストからログオン・フォームを選択し、「Edit」をクリックします。
「Fields」タブを選択します。

コントロール

機能

Transfer Method
(1つ選択)

オプション

Control IDs。標準のWindowsコントロールIDを使用して、資格証明を識別し、フィールドに転送します。フィールドを追加し、そのコントロールIDを入力するには「Add」をクリックし、既存のフィールド設定を変更するには「Edit」をクリックします。
SendKeys。キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。
SendKeys using Journal Hook。ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。

Fields

転送方法およびその識別情報を持つ、1つ以上の資格証明フィールド(送信ボタンを含む)。次の操作を実行できます。

フィールドを選択し、「Edit」をクリックして「Control ID」または「SendKeys」設定を変更します。
「Add」をクリックしてフィールドを追加します(「Control ID」のみ)
「Delete」をクリックしてフィールドを削除します(コントロールIDのみの場合)。
「Up」および「Down」矢印を使用してフィールドの順序を変更します。

2.13.5.8 動的コントロールIDおよび序数コントロールID

アプリケーションによっては、アプリケーションの起動ごとに各フィールドのコントロールIDを変更します。Logon Managerには、これらの動的なコントロールIDを置き換えるために序数のID番号を割り当てるオプションがあり、これによって、アプリケーションの起動ごとにコントロールIDは変更されなくなります。

注意:

Logon Managerは、デフォルトで.NETアプリケーションに必須の序数フィールドIDを割り当てます(これにはコントロールIDのネイティブ・サポートはありません)。

序数コントロールIDを割り当てるためのLogon Managerを構成するには、次の手順を実行します。

管理コンソールを起動します。
Logon Managerエージェントを一時停止します。
テンプレートを作成するアプリケーションを起動します。
テンプレート・ウィザードを起動します。
「Logon」を選択します。

「Credential Fields」画面に、各フィールドのコントロールIDが表示されます。動的コントロールIDを持つアプリケーションの場合、このID番号は起動ごとに異なります。(これは、ネイティブ・コントロールIDを持たない.NETアプリケーションにはあてはまりません。)
「Use ordinals instead of control IDs」を選択します。
- 「Credential Fields」画面に表示されるフィールドで、ネイティブ(動的)・コントロールIDを使用するかわりに、場所の順序によってコントロールIDを割り当てます。
- ネイティブ・コントロールIDをサポートするアプリケーションの場合、「Use ordinals instead of control IDs」を選択すると、アプリケーション・ウィンドウでコントロールを列挙することによって、コントロールIDの検出が行われます。「ID」列にはフィールドの序数が格納され、表示がリフレッシュされます。
- 序数IDを使用しない場合、動的コントロールIDがデフォルトとして表示されます(常に序数が表示される.NETアプリケーションを除きます)。
- 「Use 'Send Keys' for this form. Do not use Control ID」を選択した場合、「Use ordinals instead of Control IDs」オプションは使用できません。
IDに割り当てるフィールドを決定する数値フィールドの値を選択します。そのフィールドは、点滅する境界線で囲まれます。フィールド名(「Username」、「Password」など)を選択するには、ドロップダウン・メニューを右クリックします。

2.13.5.9 コントロールIDの選択

「ConfigName」ウィザードは、アプリケーション・ログオンの初期名として使用するログオン・ウィンドウのテキスト・コントロールを選択する場合に使用します。この機能は、ログオン・ウィンドウに表示されるログオンに可変テキスト項目(アカウント名など)付きの名前を付与します(ログオンがエージェントに追加されるときに付加されます)。

使用するテキスト・コントロールを含むウィンドウを選択し、「Next」をクリックします。
ログオンの初期構成名として使用するテキスト項目が含まれているコントロールを選択します。「Finish」をクリックします。

コントロール	機能
Window List	現在のアプリケーションのウィンドウを表示します。列見出しをクリックすると、リストがソートされます。
Show hidden window	非表示のウィンドウを「Window List」に含める場合に指定します。
Next	次のウィザード・ページに進みます。

コントロール	機能
Control List	現在選択しているアプリケーション・ウィンドウのコントロールを表示します。ヘッダー(「Class」、「ID」または「Text」)をクリックすると、リストがソートされます。
Use ordinals instead of control IDs	エージェントが、ネイティブ・コントロールIDによって生成された個々のフィールドをアドレス指定するのではなく、Logon Managerによって割り当てられた番号付けされた一連のコントロールIDとして、このフォームにデータを転送することを示します。
Refresh	フィールド・リストを更新します。
Back	前のウィザード・ページに戻ります。

2.13.5.10 SendKeys設定(Webアプリケーション用)

この画面でコントロールを使用してSendKeysアクションを定義します。転送方法をコントロールIDからSendKeysまたはジャーナル・フックが使用されるSendKeysに変換すると、管理コンソールは、ControlID設定をSendKeysアクションに自動的に変換し、「Direct injection」オプションを指定します。いずれかのSendKeys転送方法からコントロールIDに変換する場合は、直接取込みを使用するか、失われるように設定を構成する必要があります。

SendKeysエディタを使用するには、次の手順を実行します。

「Fields」タブで、転送方法として「SendKeys」を選択します。「Fields」ウィンドウが既存のフィールドの変換を反映するように変更され、名前には「-> direct injection」が含まれるようになります。
「Edit」ボタンをクリックして、SendKeysエディタを開きます。「Current Actions」リストには、エディタが検出した項目が含まれます。

「New Actions」ダイアログには、フォームに追加する他のコントロールのリストが含まれます。このリストの選択内容に応じて、オプションが変わります。

たとえば、「New Actions」リストから「Fields」を選択すると、「Field Type」ダイアログが表示され、3つ目および4つ目のフィールドの選択肢が提供されます。「Delay」を選択すると、遅延間隔を指定できるメニューが表示されます。
「Current Actions」リストで項目を選択し、リストの下の「Edit」ボタンをクリックして、フィールドまたはアクションの設定を変更します。「Up」または「Down」矢印をクリックして、リストの順序を変更します。
SendKeysエディタの「New Actions」セクションを使用して、リストにフィールドおよびアクションを追加します。様々なアクションの選択項目の構成の詳細は、次の表を参照してください。

新しいアクションを構成して挿入すると、「Current Actions」リストに追加されます。

現在のアクション	機能
Keys/Actions	エディタが検出したキーおよびアクションをリストします。このリストをコントロールIDからSendKeysに変換した場合、すべてのアクションがデフォルトで直接取込みとして構成されます。「Up」および「Down」矢印を使用して、このリストの項目の順序を変更します。

新しいアクション	コントロール	説明
Fields	Field Type	キーストロークの組合せに追加する資格証明項目をリストから選択します。 Username/ID Password Third Field Fourth Field
	Character to insert after field	フィールドへの入力後に自動的に挿入するキーストロークを選択します。 None(キーストロークなし) Enter(フォームを送信する場合) Tab(カーソルを進める場合) 後述の「Special Keys」を参照してください。
	Inject directly into control	コントロールに資格証明を直接挿入します。省略記号(…)ボタンをクリックして、「Web Field」ダイアログを開きます。
Web Field	Function	このボックスには、編集中のフィールドの名前が事前に入力されており、変更できません。「Wizard」をクリックして「Web Form」ウィザードを起動します(前に指定したURLが入力されています)。ウィザードでそのWebページのフィールドを選択し、「OK」をクリックしてウィザードを閉じます。「Web Field」ダイアログに戻ります(選択したフィールドのパラメータが入力されています)。「OK」をクリックして「Web Field」ダイアログを終了します。これで、「Current Actions」リストに、構成済のフィールドまたはアクションが表示されます。
	Frame	構成する機能を含むWebページ内のフレーム番号を識別します。
	Form	この機能に基づいて作成するフォームのタイプを識別します。
	Field identification	Webページで指定されているとおりに、フィールドを識別します。
	Field type	フィールドのタイプを識別します。 Text Password Select-One Select-Multiple
	Insert	キーストロークの組合せに現在の選択内容を追加します。

新しいアクション	コントロール	説明
Click	Click on a control	省略記号(…)ボタンをクリックして、「Web Element」ダイアログを開き、「Wizard」をクリックして「Web Form」ウィザードを起動します。この場合、ウィザードはクリック可能なフィールドのみを識別します。クリックと関連付けるフィールドを選択し、「OK」を選択します。ウィザードが閉じ、「Web Element」ダイアログに戻ります。そのフィールドには、ウィザードが識別した情報が入力されています。
	Frame	構成する機能を含むWebページ内のフレーム番号を識別します。
	Form	この機能に基づいて作成するフォームのタイプを識別します。
	Field identification	Webページで指定されているとおりに、フィールドを識別します。
	Field type	フィールドのタイプを識別します。 Submit Image Button Anchor IMG Image エージェントは、コントロールの場所を検出し、コントロールの中央でのクリックをシミュレートします。
	Insert	キーストロークの組合せにクリックによる選択を追加します。

新しいアクション	コントロール	説明
Run Task	Command line to run	実行するコマンド行を入力します。この機能を使用すると、キーストロークの入力中にプログラムを実行できます。ウィンドウ・ハンドル`$(HWND)`をコマンド行に追加して、現在作業中のウィンドウ・ハンドルをスクリプトに通知できます。環境変数もコマンド行に追加できます。`$(USERDOMAIN)\$(USERNAME)` 省略記号(…)ボタンをクリックして、「Choose File」ダイアログを開きます。注意: VirtualKeyCodesをコマンド行で使用することはできません(最初のバッククォート文字でコマンド行が終了します)。
	Expected return code	予想されるリターン・コードを入力します。この値が返されなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。
	Time out (sec.)	タスクが完了するまで待機するミリ秒数を入力します。このタイムアウトに達しなかった場合は、Sendkeysスクリプトの残りの部分が破棄されます。最大のタイムアウト時間は5秒です。
	Insert	キーストロークの組合せにタスクを追加します。

新しいアクション	コントロール	説明
Delay	Length of delay (in seconds)	キーストローク間の遅延を入力または選択します。
	Insert	キーストロークの組合せに遅延を追加します。

新しいアクション	コントロール	説明
Set Focus	Set focus to control	コントロールにフォーカスを設定します。省略記号(…)ボタンをクリックして、「Web Element」ダイアログを開き、「Web Form」ウィザードを起動します。フォーカスを取得する、使用可能なフィールドを選択します。「OK」をクリックします。
	Insert	キーストロークの組合せにフォーカスを追加します。

新しいアクション	コントロール	説明
Text	Enter text to insert	キーストロークの組合せに追加するリテラル・テキストを入力します。
	Insert	キーストロークの組合せにテキストを追加します。

新しいアクション	コントロール	説明
Special Keys	Category	左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Backspace]など)を選択します。
	Key List	キーの機能を選択します。 Key Press。単一のキーストロークとしてキーを挿入します(デフォルト)。 Key Down/Up。キーを押して解放するという1組のアクションとしてキーを挿入します。このオプションを使用すると、これらのアクション間に他のキーストロークを挿入して、あるキーの入力時に1つ以上の別のキーを押したままにすることができます。たとえば、フォーカスを特定のテキスト・ボックスに移動するホット・キーの組合せを作成できます。たとえば、キーストローク[Alt]+[P]を挿入するには、「Key Down/Up」オプションを選択し、カテゴリとして「Modifier」、キーとして「Alt」をそれぞれ選択し、「Insert」をクリックします。これにより、[Down:Alt]と[Up:Alt]の2つのアクションが挿入されます。「Text」タブを選択し、テキスト・ボックスにPと入力します。左側のペインで、「[Up:Alt]」を選択し、「Insert」をクリックします。Pが2つの[Alt]キー・アクションの間に挿入され、[Alt]+[P]が生成されます。 Key Down。押下げのみとして、キーを挿入します。 Key Up。解放としてのみ、キーを挿入します。
	Insert	キーストロークの組合せにキーストロークを追加します。

2.13.5.11 「Matching」タブ(Webアプリケーションの構成用)

Web用の「Matching」タブは、同じWebアプリケーション(通常、マルチフォーム・ポータル・ページ)内でログオン・フォーム、パスワード変更フォームまたはパスワード確認フォーム(ここではターゲット・フォームと呼びます)を区別する場合に使用します。エージェントは、ここで指定した一致基準を使用して、類似したフォームを区別します。

このタブは、通常、検出一致基準を調整する場合に使用します。検出一致基準とは、あるページの特定に使用する一連のHTMLタグおよび値のことです。これにより、検出一致基準のサブセットを使用するオフセット一致を作成し、そのページで目的のログオン・フォームまたはパスワード変更フォームを特定できます。

このタブを表示するには、次の手順を実行します。

新しいWebアプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」を選択し、Webアプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからフォームを選択し、「Edit」をクリックします。
「Matching」タブを選択します。

2.13.5.12 検出一致基準の作成または変更

検出一致基準を作成または変更するには、次の手順を実行します。

「Detection Match」リストで、次のいずれかを実行します。
- 新しい一致基準を作成するには、「Add」をクリックします。
- 既存の一致を変更するには、一致を選択し、「Edit」をクリックします。
「Edit Match」ダイアログで、必要な情報を入力または選択し、「OK」をクリックしてこのダイアログに戻ります。
必要に応じて、一致基準の順序を調整します。
1. 移動する一致を選択します。
2. 「Up」または「Down」矢印をクリックします。
「OK」をクリックします。

2.13.5.13 オフセット一致

注意:

オフセット一致は、ポータルWebページでのみ使用します。

このタイプの一致は複数のウィンドウを持つポータル・ページで使用され、ユーザーはこのウィンドウを再編成、追加および削除することができます。照合しているサイトがポータルでない場合は、このパネルのオフセット一致セクションを空白のままにしておきます。

通常の一致検出では、フォームは常に同じ順序で表示される必要があります。オフセット一致では、フォーム(ウィンドウのように見えます)を再編成でき、特定のウィンドウを他のすべてのウィンドウから分離できます。これはポータル・ページにのみ適用されます(これらのページは動的で、フィールド名ではなく序数値が照合に使用されるためです)。

「Offset Start」フィールドを使用して、どの一致結果のフォームをフォーム・オフセットに使用するかをLogon Managerに伝えます。オフセット開始値は、オフセット一致の数である必要があります。たとえば、オフセット一致が3つある場合、オフセット開始値は3になります。

オフセット一致基準を作成または変更するには、次の手順を実行します。

必要に応じて「Offset Match」リストで、次のいずれかを実行します。
- 定義した検出一致基準をコピーするには、「Copy from Detection」をクリックします。
- 新しい一致基準を作成するには、「Add」をクリックします。
- 既存の一致を変更するには、一致を選択し、「Edit」をクリックします。
「Edit Match」ダイアログで、必要な情報を入力または選択し、「OK」をクリックしてこのダイアログに戻ります。
必要に応じて、一致基準の順序を調整します。
1. 移動する一致を選択します。
2. 「Up」または「Down」矢印をクリックします。
3. 「Offset Start」を選択します。
「OK」をクリックします。

2.13.5.14 一致基準の編集(Webアプリケーション用)

このダイアログは、選択したWebフォームの一致基準を作成または変更する場合に使用します。

コントロール	機能
Tag	HTMLタグ・タイプを入力します(たとえば、表セルの場合は<TD>と入力します)。
Match Tag Instance	「Tag」の特定のインスタンスと照合する場合に選択します(この場合、そのインスタンスの番号を選択しますが、たとえば、ページの3番目の表セルと照合する場合は3を選択します)。
Criteria	基準タイプを1つ選択します。 Text。タグ要素のプレーン・テキスト(InnerText)の内容(「Enter your password」など)。 HTML。タグ要素のリッチ・テキスト(innerHTML)の内容(「<b>Enter your password</b>」など)。注意: ブラウザによっては、innerHTMLのプロパティ・タグが通常のHTMLと異なることがあります。たとえば、タグの大/小文字の状態が異なっていたり、タグとタグの内側のテキストの間にスペースがなかったりします。一致に関する問題を回避するには、代替のタグおよびワイルドカード文字を使用して、これらの違いに対処します。例: 太字の「OK」ボタンのタグとして「`<b>OK</b>`」が予想されている場合に、innerHTMLタグが「`<B> OK </B>`」であることがあります。これが確実に一致とみなされるには、この正規表現を「`<(b\|B)>.OK.</(b\|B)>`」と指定します。 Attribute。ボックスに、タグ要素のHTML属性(`「id =password」`など)を入力します。
Value	照合する実際のテキストを入力します。 Match whole value「Value」の厳密な照合を実施する場合に選択します(つまり、タグ要素に余分なテキストを追加すると、照合は失敗します)。 User regular expression。正規表現に基づいてより柔軟な一致を許可することを選択します。
Operation	一致と一致の関係を選択します。 And。この一致は、フォームの識別に必要な複数の一致のうちの1つです。 Or。この一致は、単独でフォームを識別します。 Not。この一致は、フォームを除外します。注意: AND、ORまたはNOT演算子は、エージェントがWeb一致の組合せに応答する条件を指定します。 ANDで一致する値を一致基準に割り当てた場合、ページに応答するための条件がエージェントに存在する必要があります。そのため、いくつかのフィールドがAND演算子に割り当てられている場合は、それらすべての基準が存在する必要があります。 ORで一致する値を複数の一致基準に割り当てた場合、いずれかの基準が存在する場合にエージェントが応答します。 NOT演算子は、照合を実行するときの除外を指定する場合に使用します。エージェントは、NOT基準の条件が存在しないかぎり、AND演算子およびOR演算子を割り当てたすべての基準に応答します。エージェントは、NOT演算子で特定されたインスタンスを除外します。

2.13.5.14.1 オフセット一致の例

次に、3つのウィンドウがあるポータル・ページの例を示します。「Sales Database」ウィンドウにログオンすることを目的としています。そのためには、そのウィンドウを、ページにあるその他のすべてのウィンドウから切り離します。

lm_match_off_example.pngの説明が続きます
図lm_match_off_example.pngの説明

注意:

ほとんどのポータル・サイトと同様に、ユーザーがウィンドウを並べ替えたり、追加または削除できるため、ウィンドウの順番や有無を変更できます。これは、「Detection Matching」および「Offset Matching」(まとめて「Web Matching」と呼びます)によって行うことができます。この例は、オフセット一致を示しています。

次に、ブラウザのツールバーで「View」 > 「Source」をクリックすると表示されるHTMLの一部を示します(HTMLは、重要な要素を示すために大幅に簡略化されています)。

<div name="portalLogon1">

p

Accounting Database

</p>

<form>

Username: <input type="text" name="username">

Password: <input type="password" name="password">

<input type="submit" >

</form>

</div>

<div name="weatherStation">

<form>

Zip Code: <input type="text" name="zipCode">

<input type="submit" >

</form>

<p>Temperature is now 72°</p>

</div>

<div name="portalLogon2">

<p>

Sales Database

</p>

<form>

Username: <input type="text" name="username">

Password: <input type="password" name="password">

<input type="submit" >

</form>

</div>

各ウィンドウは<div>タグで表示され、各<div>タグには名前属性があります。これを使用して、タスクに適切でないウィンドウをフィルタで除外します。

これを行うには、portalLogonという用語を含む名前属性を持つすべての<div>タグを検索するための「Offset Match」を追加します。「Add」をクリックして、この条件との照合を行います。

lm_match_off_exmple.pngの説明が続きます
図lm_match_off_exmple.pngの説明

この例では、2つのportalLogonウィンドウ以外のすべてのウィンドウがフィルタで除外されます。現在、エージェントは次のウィンドウにのみフォーカスしています。

<div name="portalLogon1">

…

</div>

<div name="portalLogon2">

…

</div>

「Sales Database」ウィンドウを切り離すには、別のオフセット一致フォームを追加する必要があります。HTMLソースは、切り離すウィンドウに、Sales Databaseというテキストを含む<p>タグが含まれることを示しています。「Add」をクリックして、この条件との照合を行います。

図lm_match_off_exm_1_entry.pngの説明

現在、エージェントは1つのウィンドウのみ表示しています。

<div name="portalLogon2">

…

</div>

対象のウィンドウは切り離されているため、追加する必要のある一致はこれですべてです。

残りのタスクは「Offset Start」値を設定するためのものです。これを行うには、必要なフォームを表示する一致を確認します。この例では、2つの一致があります。

最初の一致は<div>タグを照合し、2つ目の一致は<p>タグを照合します。この一致では、<form>タグが<div>タグに含まれているため、これが表示されます。

<div name="portalLogon2">

…

<form>

…

</form>

</div>

2つ目の一致では、<form>が<p>タグに含まれないため、これは表示されません。

<p>

Sales Database

</p>

「Offset Match」を2に設定することはできません。1に設定する必要があります。これによって、次のようにして、フィールドのフォーム・オフセットが最初の一致(<div>一致)に関連があることがエージェントに伝えられます。

<div name="portalLogon2">

<p>

Sales Database

</p>

<form>

Username: <input type="text" name="username">

Password: <input type="password" name="password">

<input type="submit" >

</form>

</div>

「Fields」リスト(「General」タブにあります)のすべてのフォーム・オフセットとフィールド・オフセットが、前述のHTMLに関連します。

2.13.5.15 URLの追加/編集

このプロンプトを使用して、構成するログオンまたはパスワード変更フォームのURLを指定します。

マッチング用のURLを指定するには、次の手順を実行します。

次のいずれかを選択します(「表現の照合」を参照)。
- Exact
- Wildcard(Kiosk Managerには適用されません)
- Regular Expression(Kiosk Managerには適用されません)
URLまたは照合する表現を入力(または編集)します。
「OK」をクリックします。

2.13.5.16 表現の照合

URLのテキストが変化するアプリケーションの場合は、部分文字列や正規表現を使用して、その可変テキストの照合方法を指定できます。

オプション機能

Wildcards

? (疑問符)は、任意の1文字と一致します。
* (アスタリスク)は、0個以上の任意の文字と一致します。

注意: これは、Kiosk Managerには適用されません。

Regular Expression

正規表現のセットを使用して、エージェントが一致とみなす文字列パターンを指定できます。

注意: これは、Kiosk Managerには適用されません。

2.13.5.17 環境変数の照合

変数	機能
`%DOMAINUSER%`	この環境変数から導出されるものと同じユーザー名
`%UC%%DOMAINUSER%`	すべて大文字に変換されたユーザー名
`%LC%%DOMAINUSER%`	すべて小文字に変換されたユーザー名

例

このURLエントリは、ユーザー名が含まれているパスワード変更ウィンドウのタイトルと一致します。

パスワードの期限切れ - %UC%%DOMAINUSER%

2.13.5.18 Webフィールドの追加および編集

このダイアログは、Webフォームに資格証明フィールドまたは「Submit」ボタンを指定する場合に使用します。

オプション	機能
Function	資格証明タイプを選択します。 UserID Password Third Field Fourth Field New Password Confirm New Password Submit
Frame	フィールドが表示されるブラウザ・フレームのターゲット名を入力します(ターゲット・ページの親フレームセットの`<frame>`要素に`NAME`属性で指定されます)。
Form	フィールドが表示されるフォームの名前を入力します(ターゲット・ページの`<form>`要素に`NAME`属性で指定されます)。
Field identification	省略記号(…)ボタンを選択して「Field Identification」ダイアログを表示します(ここで照合するフィールドのタイプを選択できます)。
Field type	フィールド・タイプ(フィールドの`<input>`要素のtype属性に対応)、または「Submit」ボタンとして使用されるハイパーリンク・アンカーまたは`IMG`タグ(`<A HREF=...>`)を選択します。
	Credential Type	`<INPUT TYPE=...>` オプション
	UserID	テキスト
	Password	Password
	Third Field	1つ選択
	Fourth Field	複数選択
	New Password
	Confirm New Password
	Submit	Submit
		Image
		Button
		アンカー(`<A HREF...>`タグ)
		IMG (`<A HREF...>`タグ)

2.13.5.19 「Field Identification」ダイアログ

この画面を使用して、エージェントに認識させるフィールドのタイプを指定します。次の中から適切なラジオ・ボタンを選択します。

Use field name。フィールドに一貫性のある指定したラベル(Userやe-mailなど)が付いたWebサイトの場合に選択します。
User ordinal number。可変フィールドの数値を動的Webページを表す序数で置き換える場合に選択します。詳細は、「動的コントロールIDおよび序数コントロールID」を参照してください。
Use matching。フィールド索引がユーザーによって異なるWebサイトの場合に選択します。次の表で説明する選択肢から選択します。

Field	機能
Tag	HTMLタグ・タイプを入力します(たとえば、表セルの場合は`<TD>`と入力します)。
	Match Tag Instance	「Tag」の特定のインスタンスと照合する場合に選択します(この場合、そのインスタンスの番号を選択しますが、たとえば、ページの3番目の表セルと照合する場合は3を選択します)。
Criteria	基準タイプを1つ選択します。 Text。タグ要素のプレーン・テキスト(InnerText)の内容(「Enter your password」など)。 HTML。タグ要素のリッチ・テキスト(InnerHTML)の内容(`「<b>Enter your password</b>」`など)。 Attribute。ボックスに、タグ要素のHTML属性(`「id =password」`など)を入力します。注意: ブラウザによっては、innerHTMLのプロパティ・タグが通常のHTMLと異なることがあります。たとえば、タグの大/小文字の状態が異なっていたり、タグとタグの内側のテキストの間にスペースがなかったりします。一致に関する問題を回避するには、代替のタグおよびワイルドカード文字を使用して、これらの違いに対処します。例: 太字の「OK」ボタンのタグとして「`<b>OK</b>`」が予想されている場合に、innerHTMLタグが「`<B> OK </B>`」であることがあります。これが確実に一致とみなされるには、この正規表現を「`<(b\|B)>.OK.</(b\|B)>`」と指定します。
Value	照合する「Criteria」のテキストを入力します。
	Match Whole Value	前のフィールドに入力した「Value」の厳密な照合を実施する場合に選択します(つまり、タグ要素に余分なテキストを追加すると、照合は失敗します)。
	Use regular expression	前のフィールドに入力した値を照合するための正規表現を選択します(照合範囲を広げるためにワイルドカードを使用できます)。注意: 照合する表現の一部としてコロン(`:`)は使用しないでください。Logon Managerは、表現の内容を解析するときに、この文字をデリミタとして使用します。

2.13.5.20 「Options」タブ(Webアプリケーションの構成用)

Webページには、ページがロードされ、有効になるまでに少し時間が必要なフォームが含まれることがあります。この場合、Logon Managerによる資格証明の送信が早すぎる場合があります。これを回避するには、「Options」タブの「Submit Delay」設定で、すべてのフォームが有効になるまでの時間を設定します。

設定	機能
Dynamic Page	テンプレートのWebページが動的な内容を含むことを示すために、チェックします。
Adheres to Logon Loop Grace Period	ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
Auto-Recognize	エージェントにアプリケーションを自動認識させる場合に選択します。「Options」タブでこの設定のステータスを指定した場合、この指定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
Auto Submit	資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
Preset Focus	エージェントがデータをログオン・フィールドに配置する前に、ログオン・フィールドにフォーカスを設定する場合に選択します。
Submit via Keyboard	「Submit」ボタンのないWebページに対して、プログラムのSubmitコマンドを入力するようにエージェントに指示する場合に選択します。
Submit Delay(ミリ秒)	エージェントが資格証明を送信するまでに待機する時間をミリ秒単位で入力します。

このタブを表示するには、次の手順を実行します。

Webアプリケーションの右側のペインの「General」タブで、Webアプリケーションをダブルクリックまたは右クリックし、「Options」タブを選択します。

2.13.5.21 「Proxy」タブ(Webアプリケーションの構成用)

「Proxy」タブは次のことに使用します。

フィールドがWebページにはじめてレンダリングされるときに、シングル・サインオン・フィールドのモック値を指定します。
注入された資格証明をユーザーが見たり変更したりできないように、フォームのマスクを構成します。

設定	機能
Mock Fields	プロキシ接続のフィールド値を含みます。
Clear All	「Mock Value」列のエントリを削除します。
Edit	リストからフィールドを選択し、「Update Mock Field」ダイアログを起動します。
Mask form	フォームのマスキングの有効化/無効化
RED/GRN/BLUE	希望するマスク色の赤、緑および青のコンポーネントの数値を設定します。
HEX	希望するマスク色の16進値を入力します。
Select color	カラー・ピッカーを開き、希望するマスク色を視覚的に選択できます。
Image	ソリッド・カラーのマスクのかわりに使用する、希望するマスク画像の相対パスおよびファイル名。
Timeout	フォーム・マスクを消去するまでの秒数。
Close button	フォーム・マスク上の「Close」ボタン(ユーザーがマスクを削除できる)の有効化/無効化。
Opacity	フォーム・マスクの不透明度のパーセンテージ。
デフォルト	すべてのフォーム・マスクのオプションをデフォルト値にリセットします。
Wizard	「Web Form」ウィザードを起動する場合にクリックします。
OK	設定を確認する場合にクリックします。
Cancel	変更を保存せずにダイアログを閉じる場合にクリックします。

2.13.5.21.1 「Mock Field」ダイアログの更新

このダイアログを使用して、Webプロキシ・リストのフィールドを編集します。

編集ができない「You are updating」フィールドに、前のダイアログで選択したフィールドが表示されます。「Mock value」フィールドに必要な情報を入力し、「Update」をクリックして変更を保存します。変更を保存せずにダイアログを閉じるには、「Close」をクリックします。

2.13.6 新しいホスト/メインフレーム・アプリケーションの作成

このダイアログは、ホスト/メインフレーム・アプリケーションの新しいログオンを構成する場合に使用します。

ターゲット・アプリケーションを起動します。
左側のペインで「Applications」を右クリックし、ショートカット・メニューから「New Host App」を選択します。
「Add Application」ダイアログが、「Host/Mainframe」オプションが選択された状態で表示されます。
「Add Application」ダイアログで、新しいログオンの「Name」を入力し、「OK」をクリックします。(新しいログオン・フォームを構成するための)「Host/Mainframe Form」ウィザードが表示されます。

詳細は、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。

2.13.6.1 「Host/Mainframe Form」ウィザード

「Host/Mainframe Form」ウィザードは、次のタスクを実行する場合に使用します。

·ホスト/メインフレーム・エミュレータまたはTelnet (スクロール画面)アプリケーションの新しいログオンを構成します。
既存のログオンに新しいフォームを追加します。
自動パスワード変更のフォームを作成します。
パスワード変更の成功および失敗を検出するフォームを作成します。

「Host/Mainframe Form」ウィザードでは、アプリケーション自体を使用して、そのログオン/パスワード変更ウィンドウ、および個別のユーザー名/ID、パスワードおよびその他のフィールドを識別できます。ログオンを作成するための一般的な手順は、次のとおりです。

ターゲットのエミュレータまたはTelnetアプリケーションを起動します。
「Form Type」および「Screen Type」を選択します。
アプリケーションのログオン/パスワード変更画面のテキストをコピーし、管理コンソールに貼り付けます。
その画面がログオン/パスワード変更フォームであることを示す画面キャプションのテキストおよび位置を指定します。
個別のユーザー名/ID、パスワードおよびその他のフィールドの位置(Telnetアプリケーションの場合は順序)を指定します。
構成を確認し、「Back」ボタンおよび「Next」ボタンを使用して、必要に応じて変更を加えます。
ホスト/メインフレーム・ログオンの設定を手動で変更するには、「Identification」タブ(ホストまたはメインフレーム・アプリケーションの構成用)を使用します。
この手順を開始する前に、アプリケーションの構成について「アプリケーションの設定に関する一般的なガイドライン」を参照してください。また、ホスト/メインフレーム・ログオンの作成および構成に関する具体的な説明については、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。

2.13.6.2 ホスト/メインフレーム・アプリケーションの構成

ホスト/メインフレーム・エミュレータまたはTelnetで、ターゲット・アプリケーションを起動します。

管理コンソールで、次のいずれかを実行します。
- 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
- 既存のホスト・メインフレーム・アプリケーションを選択し、「General」タブの「Add」をクリックします。
「Host/Mainframe」ウィザードでフォーム・タイプを選択します。使用可能なオプションは、次のとおりです。
- Logon。ログオン・フォームを構成します。
- Logon success。資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。
- Logon failure。資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログまたは「Retry Logon」ダイアログを表示して、ユーザーが資格証明を再入力できるようにします。
- Password change。パスワード変更フォームを構成します。
- Password confirmation.。パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
- Password change success。ターゲット・アプリケーションのパスワード変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Host/Mainframe」ウィザードの「Credentials」ページはスキップされます。パスワード変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- Password change failure。ターゲット・アプリケーションのパスワード変更失敗メッセージに対応するフォームで、パスワード変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Host/Mainframe」の「Credentials」ページが表示されます(そこで必要なフィールドを構成します)。
  
  これらのフォームの使用方法の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。
「Screen Type」ウィザード・ページで、次のいずれかを実行します。
- ログオン・フォームが静的なテキスト・ページとして存在するホスト/メインフレーム・エミュレータでアプリケーションを実行している場合は、「Fixed Screen」を選択します。
- ログオン情報を一連のプロンプトとしてリクエストするTelnetまたはその他のスクロール画面コンソールでアプリケーションを実行している場合は、「Scrolling Screen」を選択します。

ターゲット・アプリケーション上に開いている「Paste Screen Text」ページで、画面テキスト全体をWindowsクリップボードにコピーします。

注意:

エミュレータには、コピーのコマンドまたはボタンが用意されているもの、および[Ctrl]キーを押しながら[C]キーを押してコピーするものがあります。Windows Telnetでは、テキストを選択して「Enter」を押します。

管理コンソールの「Paste Screen Text」ページで、「Paste Text」をクリックしてテキストをウィザード・ページに貼り付け、「Next」をクリックします。

注意:
エミュレータ画面で復帰改行文字を使用しない場合は、適切なテキスト・ラップが設定されるように「Characters per Line」を調整します。
「Cursor Position」ページで、矢印キーをクリックまたは使用して、Telnetアプリケーションのウィンドウでテキスト・カーソルが表示される正確な位置にカーソルを配置します。
「Next」をクリックして、次のウィザード・ページを表示します。
「Text to Match」ウィザード・ページで、画面がログオンまたはパスワード変更フォームであることを示すテキスト・ブロックを選択します。選択範囲を右クリックし、「Add as Text Match」をクリックします。追加のテキスト・ブロックごとにこの手順を繰り返します。
選択が完了したら、「Next」をクリックして、次のウィザード・ページを表示します。
「Fields」ウィザード・ページで、次のいずれかを実行します。
- 固定画面ログオンの場合、テキスト・カーソルをフィールドの開始位置に置きます。右クリックし、ショートカット・メニューからフィールド・タイプ(「Username/ID」、「Password」、「Third Field」、「Fourth Field」)を選択します。必須フィールドごとにこの手順を繰り返します。
- スクロール画面の場合、テキスト・カーソルをプロンプト入力位置に置きます。「Add」をクリックし、要求された最初のフィールド・タイプを選択します。必須プロンプトごとにこの手順を繰り返します。
選択が完了したら、「Next」をクリックして、サマリー・ページを表示します。
構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。
構成が完了したら、「Finish」をクリックします。

2.13.6.3 「Host/Mainframe Form」ウィザード(RSA SecurID用)

「Host/Mainframe Form」ウィザードは、次のタスクを実行する場合に使用します。

ホスト/メインフレーム・エミュレータまたはTelnet (スクロール画面)アプリケーションの新しいログオンを構成します。
既存のログオンに新しいフォームを追加します。
自動PIN変更のフォームを作成します
PIN変更の成功および失敗を検出するフォームを作成します

「Host/Mainframe Form」ウィザードでは、アプリケーション自体を使用して、そのウィンドウおよびフィールドを識別できます。ログオンを作成するための一般的な手順は、次のとおりです。

ターゲットのエミュレータまたはTelnetアプリケーションを起動します。
「Form Type」および「Screen Type」を選択します。
アプリケーションで表示されたフォームからテキストをコピーし、管理コンソールに貼り付けます。
その画面が選択されたタイプのフォームであることを示す画面キャプションのテキストおよび位置を指定します。
個別のユーザー名/ID、PINおよびその他のフィールドの位置(Telnetアプリケーションの場合は順序)を指定します。
構成を確認し、「Back」ボタンおよび「Next」ボタンを使用して、必要に応じて変更を加えます。

ホスト/メインフレーム・ログオンの設定を手動で変更するには、「Identification」タブ(ホストまたはメインフレーム・アプリケーションの構成用)を使用します。

この手順を開始する前に、アプリケーションの構成について「アプリケーションの設定に関する一般的なガイドライン」を参照してください。また、ホスト/メインフレーム・ログオンの作成および構成に関する具体的な説明については、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。

2.13.6.4 ホスト/メインフレーム・アプリケーションの構成(RSA SecurID用)

ホスト/メインフレーム・エミュレータまたはTelnetで、ターゲット・アプリケーションを起動します。

管理コンソールで、次のいずれかを実行します。
- 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。「Add Application」ダイアログで「RSA SecurID」チェック・ボックスを選択してください。
- 既存のホスト・メインフレーム・アプリケーションを選択し、「General」タブの「Add」をクリックします。
「Host/Mainframe」ウィザードでフォーム・タイプを選択します。使用可能なオプションは、次のとおりです。
- SecurID Logon。ログオン・フォームを構成します。
- SecurID Logon success。資格証明のサイレント取得中に一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの入力を検証するまで資格証明の取得を遅延させてから、「Logon Success」ダイアログを表示します。このフォームが存在しない場合、エージェントはユーザーの入力後すぐに資格証明を取得し、「OK」をクリックします。
- SecurID Logon failure。資格証明のサイレント取得中に不一致を検出するフォームを構成します。このフォームが存在する場合、エージェントはユーザーの誤った入力を検証するまで資格証明の取得を遅延させてから、「Logon Failure」ダイアログを表示します。このフォームが存在しない場合、エージェントは資格証明が正しくないことをすぐに通知し、「New Logon」ダイアログまたは「Retry Logon」ダイアログを表示して、ユーザーが資格証明を再入力できるようにします。
- PIN change。PIN変更フォームを構成します。
- PIN confirmation。パスワード変更フォームでユーザーが2番目に入力したパスワードが、1番目に入力したパスワードと一致することを検証するフォームを構成します。
- PIN change success。ターゲット・アプリケーションのPIN変更成功メッセージに対応するフォームを構成します。このフォームは資格証明を取り込まないため、「Host/Mainframe」ウィザードの「Credentials」ページはスキップされます。PIN変更成功メッセージが検出されると、Logon Managerは自動的に新しい資格証明を保存します。
- PIN change failure。ターゲット・アプリケーションのPIN変更失敗メッセージに対応するフォームで、PIN変更失敗メッセージが検出された場合は資格証明を再度取り込みます。このオプションを選択した場合は、「Host/Mainframe」ウィザードの「Credentials」ページが表示されます(そこで必要なフィールドを構成します)。
  
  これらのフォームの使用方法の詳細は、Logon Managerアプリケーション・テンプレートの構成と診断のマニュアルを参照してください。
「Screen Type」ウィザード・ページで、次のいずれかを実行します。
- ログオン・フォームが静的なテキスト・ページとして存在するホスト/メインフレーム・エミュレータでアプリケーションを実行している場合は、「Fixed Screen」を選択します。
- ログオン情報を一連のプロンプトとしてリクエストするTelnetまたはその他のスクロール画面コンソールでアプリケーションを実行している場合は、「Scrolling Screen」を選択します。

ターゲット・アプリケーション上に開いている「Paste Screen Text」ページで、画面テキスト全体をWindowsクリップボードにコピーします。

注意:

エミュレータには、Copyコマンドまたはボタンが用意されているもの、および[Ctrl]キーを押しながら[C]キーを押してコピーするものがあります。Windows Telnetでは、テキストを選択して「Enter」を選択します。

管理コンソールの「Paste Screen Text」ページで、「Paste Text」をクリックしてテキストをウィザード・ページに貼り付け、「Next」をクリックします。

注意:
エミュレータ画面で復帰改行文字を使用しない場合は、適切なテキスト・ラップが設定されるように「Characters per Line」を調整します。
「Cursor Position」ページで、矢印キーをクリックまたは使用して、Telnetアプリケーションのウィンドウでテキスト・カーソルが表示される正確な位置にカーソルを配置します。
「Next」をクリックして、次のウィザード・ページを表示します。
「Text to Match」ウィザード・ページで、画面がログオンまたはパスワード変更フォームであることを示すテキスト・ブロックを選択します。選択範囲を右クリックし、「Add as Text Match」をクリックします。追加のテキスト・ブロックごとにこの手順を繰り返します。
選択が完了したら、「Next」をクリックして、次のウィザード・ページを表示します。
「Fields」ウィザード・ページで、次のいずれかを実行します。
- 固定画面ログオンの場合、テキスト・カーソルをフィールドの開始位置に置きます。右クリックし、ショートカット・メニューからフィールド・タイプ(「Username/ID」、「Password」、「Third Field」、「Fourth Field」)を選択します。必須フィールドごとにこの手順を繰り返します。
- スクロール画面の場合、テキスト・カーソルをプロンプト入力位置に置きます。「Add」をクリックし、要求された最初のフィールド・タイプを選択します。必須プロンプトごとにこの手順を繰り返します。
選択が完了したら、「Next」をクリックして、サマリー・ページを表示します。
構成を確認します。変更を加えるには、「Back」ボタンおよび「Next」ボタンを使用して、ページを表示します。
構成が完了したら、「Finish」をクリックします。

2.13.6.5 「Identification」タブ(ホストまたはメインフレーム・アプリケーションの構成用)

「Identification」タブは、ホスト/メインフレーム・アプリケーション・ログオン・フォームに関する情報を変更する場合に使用します。

注意:

Telnetアプリケーションのログオンの構成については、「Telnetアプリケーションの追加」を参照してください。

このタブを表示するには、次のいずれかを実行します。

新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」を選択し、ホスト/メインフレーム・アプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからログオン・フォームを選択し、「Edit」をクリックします。

「Host/Mainframe」フォーム構成ダイアログが開き、「General」タブが表示されます

コントロール	機能
Form Name	アプリケーション・ログオン・フォームの名前。この名前は編集できます。
Window Titles	エミュレータによっては、他のエミュレータから区別できるような、それ固有の特徴が画面にないため、開いているエミュレータ・アプリケーションのリストからウィンドウ・タイトルを選択するオプションがあります。「Add」をクリックして、「Window Title」ダイアログを開き、ウィンドウ・タイトル名を手動で入力します。または「Choose」をクリックして「Select Window」画面を開き、開いているエミュレータのリストからアプリケーションを選択します。
Text Matching	エージェントがこのフォームを特定するために使用するリテラル・テキスト文字列、その文字列の先頭文字の画面座標(行番号および列番号)を表示します。「Add」をクリックして新しいテキスト識別子を指定するか、「Edit」をクリックして既存のものを変更します。
Fields	Logon Managerがホスト・アプリケーションのログオン・フォームに転送するキーストロークの組合せを表示します。キーストロークの組合せを追加または変更するには、「Edit」をクリックして、「Edit SendKeys Fields and Actions」ダイアログ・ボックスを表示します。
Wizard	「Host/Mainframe Form」ウィザードを起動して、視覚的にアプリケーションを構成します。

2.13.6.6 Text Matching (ホスト/メインフレーム・ログオン・フォーム)

「Text Matching」ダイアログは、画面がログオンまたはパスワード変更フォームであることを示す画面キャプションのテキストおよび位置を指定する場合に使用します。

また、テキストの先頭文字の場所(行番号および列番号)を指定する必要もあります。テキストの行番号および列番号を検索するには、セッション・ウィンドウの最下部にあるステータス・バーのカーソル位置インジケータを使用します。

注意:

Telnetアプリケーションの場合は、カーソル位置を基準とする行座標を使用します。例については、「Telnetアプリケーションの追加」を参照してください。また、行または列(あるいはその両方)のワイルドカード・マッチングにアスタリスク(*)を使用できます。

照合するエントリを作成した後、「OK」をクリックします。

コントロール	機能
Row	テキストの先頭文字の行番号(画面の垂直座標)を入力します。 Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この値はカーソル位置を基準としており、負の値(カーソルより上の行を示す)またはアスタリスク(*)(画面の任意の行を示す)になることがあります。
Column	テキストの先頭文字の列番号(画面の水平座標)を入力します。Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この設定は画面の任意の行を示すアスタリスク(`*`)になることがあります。
Text	照合するテキストの文字列を入力します。

このダイアログを表示するには、「Identification」タブ(ホストまたはメインフレーム・アプリケーションの構成用)の「Text Matching」の下にある「Add」をクリックします。

2.13.6.7 SendKeysフィールドおよびアクションの編集(ホスト/メインフレーム・アプリケーション用)

「Edit Fields/Actions」ダイアログは、Logon Managerがホスト・アプリケーションのログオン・フォームに転送するキーストロークの組合せを指定する場合に使用します。

「Edit Fields/Actions」ダイアログの右側のペインの各タブには、キーストローク・オプションがあります。各タブで必要なオプションを選択または入力します。「Insert」ボタンをクリックして、キーストロークの組合せにキーまたはアクションを追加します。

左側のペインのリストに選択内容が表示されます。キーストロークの組合せの順序を変更するには、項目を選択し、上矢印または下矢印をクリックしてその項目を移動します。項目を変更するには、その項目を選択し、「Edit」をクリックして「Fields」ダイアログを表示します。項目を削除するには、その項目を選択し、「Delete」をクリックします。

タブ	コマンド	アクション
「Fields」タブ	Select fields to insert	キーストロークの組合せに追加する資格証明項目をリストから選択します。 UserID Password Third Field Fourth Field New Password Confirm New Password 「Up」および「Down」矢印を使用して、フォームでの正しいナビゲーションを指定します。
	Insert this character after field	フィールドへの入力後に自動的に挿入するキーストロークを選択します。 None(キーストロークなし) Tab(カーソルを進める場合) Enter(フォームを送信する場合) 後述の「Special Keys」を参照してください。
	Position	テキスト入力フィールドの先頭文字の行座標および列座標を入力します。列番号が可変の場合(たとえば、ほとんどのUNIXシステムには、パスワードを変更すると「New Password」および「Confirm Password」フィールド・ラベルの一部として影響を受けるユーザー名があります)、Logon Managerが常に正しい場所に資格証明を取り込むことができるように、正規表現を使用してフィールド・ラベルの可変部分にワイルドカードを指定できます。
	Insert	キーストロークの組合せに現在の選択内容を追加します。
「Delay」タブ	Length of delay (in seconds)	キーストローク間の遅延を入力または選択します。
「Text」タブ	Enter text to insert	キーストロークの組合せに追加するリテラル・テキストを入力します。
	Insert	キーストロークの組合せにテキストを追加します。
「Special Keys」タブ	Category/Key	左側のリストからキーストローク・カテゴリ(移動キーなど)を選択し、右側のリストから具体的なキー([Page Down]など)を選択します。
	Insert	キーストロークの組合せにキーストロークを追加します。

このダイアログを表示するには、次の手順を実行します。

次のいずれかを行います。
1. 新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。
  
  または
1. 左側のペインで、「Applications」を選択し、ホスト・アプリケーションを選択します。
2. 右側のペインで、「General」タブをクリックします。
3. 次のいずれかを行います。
  
  リストからログオン・フォームを選択し、「Edit」をクリックします。
  
  または
  
  「Add」をクリックして、新しいフォームを構成します。
  
  「Host/Mainframe」フォーム構成ダイアログが開き、「General」タブが表示されます
「Fields」リスト・ボックスで、「Edit」をクリックします。

2.13.6.8 「Fields」タブ(ホストまたはメインフレーム・アプリケーションの構成用)

「Fields」タブを使用して、エージェントがフォームのフィールドとやり取りする方法を定義します。

また、フィールドの先頭文字の場所(行番号および列番号)を指定する必要もあります。テキストの開始行番号および開始列番号を検索するには、セッション・ウィンドウの最下部にあるステータス・バーのカーソル位置インジケータを使用します。エントリを完了した後、「OK」をクリックします。

詳細は、「ホスト/メインフレーム・アプリケーションの追加」を参照してください。

フィールド/アクション

機能

Fields/Actions

フィールド・タイプを選択します。

UserID
Password/OldPassword
Third Field
Fourth Field
New Password
Confirm New Password

「Up」および「Down」矢印を使用して、フォームで正しくナビゲートするようにフィールドの順序を変更します。

「Edit」をクリックして、エージェントがフォームをナビゲートする方法を指定します。

2.13.6.9 「Matching」タブ(ホストまたはメインフレーム・アプリケーションの構成用)

「Matching」タブは、画面がログオンまたはパスワード変更フォームであることを示すテキストを指定する場合に使用します。

フィールド	機能
Row	テキストの先頭文字の行番号(画面の垂直座標)を入力します。 Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この値はカーソル位置を基準としており、負の値(カーソルより上の行を示す)またはアスタリスク(*)(画面の任意の行を示す)になることがあります。
Column	テキストの先頭文字の列番号(画面の水平座標)を入力します。 Telnetアプリケーション(ホスト・エミュレータ対応)の場合、この設定は画面の任意の行を示すアスタリスク(`*`)になることがあります。
Text to Match	エージェントがこのフォームを特定するために使用するリテラル・テキスト文字列、その文字列の先頭文字の画面座標(行番号および列番号)を表示します。「Add」をクリックして新しいテキスト識別子を指定するか、「Edit」をクリックして既存のものを変更します。

2.13.6.10 「Options」タブ(ホストまたはメインフレーム・アプリケーションの構成用)

「Options」タブは、ホストまたはメインフレーム・アプリケーションの動作を構成する場合に使用します。

このタブを表示するには、次のいずれかを実行します。

新しいホスト/メインフレーム・アプリケーション・ログオンを作成します。

または

左側のペインで、「Applications」をクリックし、ホスト/メインフレーム・アプリケーションを選択します。
右側のペインで、「General」タブをクリックします。
リストからログオン・フォームを選択し、「Edit」をクリックします。
「Host/Mainframe」フォーム構成ダイアログ・ボックスで、「Options」タブを選択します。

コントロール	機能
Field Delay	エージェントが資格証明を送信するまでに待機する時間をミリ秒単位で入力します。
Screen type	アプリケーションに固定画面またはスクロール画面があるかどうかを指定します。
Column position of cursor	資格証明の入力を開始する前にカーソルが配置される列を指定します。ログオンまたはパスワード変更を開始する場合のテキスト・カーソルの開始列番号を入力します。この位置が可変の場合(たとえば、ほとんどのUNIXシステムには、パスワードを変更すると「New Password」および「Confirm Password」フィールド・ラベルの一部として影響を受けるユーザー名があります)、Logon Managerが常に正しい場所に資格証明を取り込むことができるように、フィールド・ラベルの可変部分にワイルドカードを指定できます。
Adhere to logon loop grace period	ログオン・ループ猶予期間(アプリケーションの「Miscellaneous」タブで設定)が有効な場合に、エージェントでこのアプリケーションのログオン・フォームを無視する場合に選択します。
Auto-Recognize	エージェントにアプリケーションを自動認識させる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。
Auto-Submit	資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。

2.14 特定のアプリケーションの構成

アプリケーション・リストには、Logon Managerで構成済のすべてのアプリケーションが表示されます。右側のペインの各タブを使用して、アプリケーションのプロパティを参照または変更します。

参照または編集するアプリケーションを選択するには、次の手順を実行します。

左側のペインで「Applications」をクリックし、右側のペインで「Applications List」タブをクリックします。
リストからアプリケーションを選択し、「Edit」をクリックします。

または

左側のペインで、「Applications」アイコンの横のプラス記号(+)をクリックし(または「Applications」をダブルクリックして)、構成済のログオンを表示します。
次のいずれかを行います。
- ログオン・アイコンをクリックして選択します。右側のペインに、「General」タブが表示されます。
  
  または
- ログオン・アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。

オプション	機能
New Form	選択したアプリケーション・ログオンの新しいフォームを追加します。選択したアプリケーション・タイプに応じた構成ダイアログが表示されます。
Delete	選択したログオンを削除します。
Make copy	選択したログオンを複製します。
Rename	選択したログオンの名前を変更します。
Publish…	「Publish to Repository」ダイアログを起動する場合に選択します(すべての公開可能な項目から選択し、その公開先のリポジトリを選択できます)。
Publish To	特定の項目の公開先のリポジトリを指定する場合に選択します。

2.14.1 「General」タブ(選択したアプリケーション用)

「General」タブは、選択したアプリケーションのフォームまたはフィールドの構成を追加または変更する場合に使用します。

オプション	機能
Description	ユーザーのアプリケーションに関する説明。
Reference	アプリケーション・テンプレートのバージョン/バリアントを説明する内部参照。注意: クライアント側では、このフィールドは読取り専用です。
Category	アプリケーションが表示されるカテゴリ(「Finance」や「Development」など)を入力します。
Icon Image URL	アプリケーション・エントリの横に表示されるアイコン・イメージのURL。
Logo Image URL	フルサイズのアプリケーション・ロゴ・イメージのURL。
Vendor	アプリケーションのベンダー。
Administrator	組織におけるアプリケーションの管理者の連絡先情報。
Forms	このアプリケーションに関連付けられたすべてのフォームのリスト。
Add	選択したアプリケーションの新しいフォームを追加します。選択したアプリケーション・タイプに応じた構成ダイアログが表示されます。
Edit	既存のログオン・フォームを変更します。「Forms」ウィンドウからフォームを選択し、「Edit」をクリックします。選択したアプリケーション・タイプに応じた構成ダイアログが表示されます。
Delete	フォームを削除します。「Forms」ウィンドウからフォームを選択し、「Delete」をクリックします。リストにフォームが1つのみ表示されている場合は、そのフォームを削除するとアプリケーションが完全に削除されます。
Add Notes	オプションのコメントまたはドキュメントを入力または変更します。
Deny response	エージェントがこのフォームに応答しないようにする場合は、このボタンを選択します。注意: テンプレートでいずれかのフォームを無効にすると、すべてのテンプレートが無効になります。

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「General」タブをクリックします。

2.14.2 「Bulk Add」タブ(選択したアプリケーション用)

「Bulk-Add」タブは、現在選択しているアプリケーションの特殊な構成の場合に使用します。また、「初回使用のアプリケーションのバルク追加」も参照してください。

コントロール	機能
Enable Bulk-Add capability for this application	このアプリケーションをバルク追加に含める場合に選択します。
Confirm UserID during Bulk-Add	バルク追加の実行時、ユーザーにユーザー名を確認するよう求める場合に選択します。
Confirm Password during Bulk-Add	バルク追加の実行時、ユーザーにパスワードを確認するよう求める場合に選択します。
Confirm Third Field during Bulk-Add	バルク追加の実行時、ユーザーに3番目のフィールド情報を確認するよう求める場合に選択します。
Confirm Fourth Field during Bulk-Add	バルク追加の実行時、ユーザーに4番目のフィールド情報を確認するよう求める場合に選択します。

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「Bulk Add」タブをクリックします。

2.14.3 「Authentication」タブ(選択したアプリケーション用)

「Authentication」タブを使用して、選択したアプリケーションの最小の認証グレードを設定します。

選択したアプリケーションにLogon Managerがログオンするには、使用しているプライマリ・ログオン方法の認証グレードがこの値以上である必要があります。

エンド・ユーザーのプライマリ・ログオン方法の認証グレードが、このアプリケーションに設定されている最小グレードより低い場合、ユーザーがアプリケーションへのアクセスをリクエストすると、Logon Managerはユーザーに対して、より高いグレードでの認証を要求します。要求されたグレードでのログインが成功した場合にのみ、アクセス権が付与されます。

プライマリ・ログオン方法のオーセンティケータ・グレードを設定するには、「Authentication Grade」設定を使用します。

コントロール	機能
Minimum Authentication Grade	エンド・ユーザーのプライマリ・ログオン方法に設定する必要がある最小認証グレードの数値を選択または入力します。デフォルトは1です。

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「Authentication」タブをクリックします。

2.14.4 「Error Loop」タブ(選択したログオン用)

「Error Loop」タブ(選択したアプリケーションの下)は、個々のアプリケーションの「Logon Error」ダイアログ・ボックスの外観および動作を制御する場合に使用します。

コントロール	機能
Logon timeout (sec.) [`TimeOut`]*	「Logon Error」ダイアログ・ボックスを表示するまでの連続的なログオン試行の間の最大時間(秒)。デフォルトは30です。注意: ログオン・タイムアウトをゼロ(0)に設定した場合は、ログオン・エラー(入力した資格証明が不適切など)によって「Logon Error」ダイアログが表示されることはありません。
Max. retries [`MaxRetry`]*	「Logon Error」ダイアログが表示されるまでに、(初回の試行後に)許可される再試行の最大回数。デフォルトは0です。
Hide "Confirm Password" [`HideConfirmPW`]*	ユーザーがパスワードを入力した後に「Confirm Password」ダイアログが表示されないようにするかどうか。デフォルトは「No」です。
*(グローバル・レジストリの該当部分は大カッコで囲んで示されています。)

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「Error Loop」タブをクリックします。

2.14.5 「Password Change」タブ(選択したアプリケーション用)

「Password Change」タブは、エージェントによるパスワード変更の管理方法を制御するためのオプションを設定または変更する場合に使用します。

エージェントは、表示される場所が同じ画面かダイアログの別のタブかによって、ログオン・フィールドとパスワード変更フィールドを区別します。このタイプの画面で、エージェントは「Action Chooser」ダイアログを介してパスワード変更かログオンを選択することをユーザーに求めます。ユーザーがパスワードを変更する必要がない期間を設定できるため、その期間、「Action Chooser」は表示されません。

設定グループ	コントロール	機能
Password Change	Password Change Dialog Behavior	アプリケーションがエンド・ユーザーにパスワード変更を求めたときに、エージェントがどのように応答するかを制御します。オプションは、次のとおりです。 Prompt User。パスワード変更ウィザードでユーザーに入力を求めます。 Manual。ユーザーに新しいパスワードを選択するように求めます(パスワード変更ウィザードでパスワードが自動生成されることはありません)。 Manual w/Auto Option。ユーザーに新しいパスワードを選択するように求めますが、パスワード変更ウィザードでパスワードの自動生成の提供も可能です。 Auto w/Manual Option。新しいパスワードを自動生成しますが、ユーザーが最初に新しいパスワードを選択することもできます。 Quietly Generate and Submit Password。ユーザーに求めることなく、パスワードを生成し、送信します。
	Prevent Ability to Cancel	有効にした場合、パスワード変更ダイアログの「Cancel」ボタンが無効になり、ユーザーがパスワード変更プロセスを取り消すことができなくなります。
	Enable Password verify pop-up dialog	パスワード変更を検証するポップアップ・ダイアログを表示する場合にこのボックスを選択します(このボックスでは、パスワードが変更されたことを再度確認します)。
	Lock focus to password change dialog	有効にした場合、デスクトップ・フォーカスがパスワード変更ダイアログにロックされ、ユーザーがダイアログを完了または終了するまでターゲット・アプリケーションと対話しないようにします。
	Allow to finish with unsaved changes after successful submit	更新が終了していなくても、送信の成功後にユーザーがパスワード変更プロセスを終了できるようにするには、このボックスを選択します。Logon Managerにより、変更を保存していないユーザーに注意を促す警告メッセージが表示されます。
	Password Generation Policy	パスワード生成ポリシーを選択します。複数のアプリケーションをポリシーにサブスクライブするには、「ポリシー・サブスクライバ」を参照してください。「パスワード生成ポリシーの作成」も参照してください。
	Credential Sharing Group	資格証明共有グループを選択します。複数のアプリケーションをパスワード・グループに割り当てるには、「資格証明共有グループの使用」を参照してください。

設定グループ	コントロール	機能
Password Expiration	Enable Password Expiration	このチェック・ボックスは、指定した期間後にユーザーにパスワード変更を求める場合に選択します。
	Number of days until password expires	ユーザーのパスワードの有効日数を入力または選択します。
	Run this command when the password expires	「Number of days」の設定が経過した後、ユーザーがログオンしようとしたときに呼び出すコマンドをフルパスで入力します(または「Browse」をクリックして、実行可能ファイルの場所を指定します)。(例: `C:\Program Files\PassChange\passchange.exe`)

設定グループ

コントロール

機能

Logon Chooser

Bypass Logon Chooser

パスワード変更を開始するときに、ログオン・チューザを表示するかどうかを制御します。有効にした場合、選択した条件を満たすとすぐにパスワード変更ダイアログが表示されます。使用可能な条件を次に示します。

オプション

最新のログオンが同じアプリケーション・インスタンスに対するものだったとき。
同じアプリケーションへの最新のログオンが特定時間内に発生したとき。

2番目の条件を選択する場合は、タイムアウトの長さを秒単位で指定します。有効な範囲は、1から999999秒です。

Bypass Logon Chooser for

これは11.1.1.5.0からの新しい設定です。

前述のいずれかの方法でログオン・チューザをバイパスする場合は、エージェントがバイパスする形式を指定します。

オプション

パスワード変更フォームおよびログオン・フォーム。
パスワード変更フォームのみ。

設定グループ	コントロール	機能
Action Chooser Grace Period	Days	エージェントが「Action Chooser」ダイアログを表示しない猶予期間の長さ(日単位)を入力します。
	Automatically proceed with password change	有効にした場合、猶予期間が切れてパスワード変更が自動的に起動すると、アクション・チューザはバイパスされます。注意: このオプションは、猶予期間の指定後にのみ使用できます。

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「Password Change」タブをクリックします。

2.14.6 「Events」タブ(選択したアプリケーション用)

このタブを使用して、ログオン・イベントの追加およびログオン・イベントを取り巻く環境の構成を行います。

設定グループ

コントロール

機能

Add Logon Event

Run this command when a logon for this application is added

この設定では、アプリケーションの「Add Logon」ウィザードの完了後、すぐに実行するプロセス(exe、Web、スクリプトなど)を定義できます。

たとえば、この設定を使用すると、資格証明をエージェントに入力した直後にパスワード変更アプリケーションを起動して、エージェントがアプリケーション・パスワードをただちに変更できるようになります。

入力するコマンドを検索するには、「Browse」ボタンをクリックします。

設定グループ

コントロール

機能

Pre Logon Event

Run this command before a logon for this application is used

この設定では、各ログオン・インスタンスの前に発生するログオン前のタスクを定義でき、現在のログオン試行についての情報をこのプロセスから送信できます。結果として生成された終了コードの情報は、資格証明の送信を続行するか、ログオン・プロセスを中断するかの指示をLogon Managerに出します。

たとえば、APIをコールするスクリプトを実行したり、アプリケーションがログオンに必要な状態にあることを確認するタスクを実行したり、許可または禁止アプリケーションのリストでユーザー名を確認するとします。

入力するコマンドを検索するには、「Browse」ボタンをクリックします。

Failure Return Code

エージェントは、このフィールドに設定されている数以上のエラーを返しているログオンを無視します。設定を高くすると、アプリケーションが複数のエラー・コードを返すことができるようになります。この設定のデフォルトは1です。

Time out

タスクの完了をエージェントが待機する時間をミリ秒単位で指定します。この設定は、1.000ミリ秒から5.000ミリ秒(デフォルト)まで増加します。タスクが指定された時間内に完了しなかった場合、タスクは終了し、ログオンは発生しません。

注意:

実行するアプリケーションのフルパスを指定し、そのパスを二重引用符で囲むことをお薦めします。たとえば、C:\Program Files\My Tools\checktool.exeです。

2.14.7 「Miscellaneous」タブ(選択したアプリケーション用)

このタブは、現在選択しているアプリケーションの特殊な構成の場合に使用します。

設定グループ	コントロール	機能
Miscellaneous	Allow Masked Fields to Be Revealed	ウィザードおよびプロパティ・ページのマスクしたフィールドに対して「Reveal」ボタンを有効にする場合に選択します。
	Force Reauthentication	このアプリケーションに資格証明を提供する前に、再認証を受けることをユーザーに求める場合に選択します。
	Auto Submit	資格証明を指定した後、このアプリケーション・ログオンに対して、エージェントによって自動的に「OK」が選択されるようにする場合に選択します。
	Service Logon	Windowsサービス(ユーザー領域ではなくシステム領域にあるサービス)として動作するアプリケーションをエージェントで検出する場合に選択します。
	Auto-Recognize	エージェントにアプリケーションおよびWebサイトを認識させ、ユーザーを自動的にログオンさせる場合に選択します。この設定を選択または選択解除した場合、その設定はグローバル・エージェント設定をオーバーライドします。この設定を選択すると、ユーザーはLogon Managerからこの設定を構成できます。この設定を選択解除すると、ユーザーはLogon Managerからこの設定にアクセスできません。この設定がチェックでなく緑色のボックスの場合は、ユーザーがLogon Managerからこの設定を構成できることを意味します。
	Mask Third Field	アプリケーション・ログオンの3番目のフィールドをマスクする場合に選択します。この設定は、「New Logon」プロパティ、「Error Loop Dialog」、「Logon Properties」および「FTU Entry」の各ページの3番目のフィールドの外観に影響します。このボックスはデフォルトで選択されています(3番目のフィールドはマスクされます)。
	Mask Fourth Field	アプリケーション・ログオンの4番目のフィールドをマスクする場合に選択します。この設定は、「New Logon」プロパティ、「Error Loop Dialog」、「Logon Properties」および「FTU Entry」の各ページの4番目のフィールドの外観に影響します。このボックスはデフォルトで選択されています(4番目のフィールドはマスクされます)。
	Prohibit disabling the addition of new logons	このアプリケーションの「New Logon」ダイアログ・ボックスで「Disable」ボタンをアクティブにするかどうかを指定します。有効にした場合、「Disable」ボタンは非アクティブになり、エージェントによって自動プロンプトが表示された場合に、ユーザーはこのアプリケーションで新しいログオンを追加できなくなります。無効にした場合、「Disable」ボタンをクリックすると、エージェントの設定ダイアログの「Exclusions」リストにこのアプリケーションが追加されます。オプション Yes No (デフォルト)
	Prohibit canceling the addition of new logons	このアプリケーションの「New Logon」ダイアログスで「Cancel」ボタンをアクティブにするかどうかを指定します。有効にした場合、「Cancel」ボタンは非アクティブになり、エージェントによって自動プロンプトが表示された後に、ユーザーはこのアプリケーションで進行中のログオンの追加を取り消すことができなくなります。無効にした場合、「Cancel」ボタンをクリックすると、次回このアプリケーションが検出されるまで、ログオン追加が遅延されます。オプション Yes No (デフォルト)
	Allow creation of multiple accounts during credential capture	ユーザーが「New Logon」ダイアログに資格証明の別のセットを追加可能になるチェック・ボックスを、有効にするかどうかを指定します。すべてのテンプレートで、この設定は同じ名前のグローバル・エージェント設定をオーバーライドします。
	File extension (for Icon)	ログオンに関連付けられているWindowsファイルの拡張子を入力します。エージェントに対して、構成にアイコンをマップするように指示します。
	ConfigName	新しいログオンの初期構成名(Windowsアプリケーションのみ)を作成するためのテキストが含まれているウィンドウおよびコントロールを選択する場合は「Choose」をクリックします。
	UserID Field Label	エージェントがユーザー名/IDフィールドに使用するテキスト・ラベルを入力します。
	Password Field Label	エージェントがパスワード・フィールドに使用するテキスト・ラベルを入力します。
	3rd Field Label	3番目のログオン・フィールドを表示する際にエージェントが使用するテキスト・ラベルを入力します。
	4th Field Label	4番目のログオン・フィールドを表示する際にエージェントが使用するテキスト・ラベルを入力します。

設定グループ	コントロール	機能
Logon Chooser	Logon chooser columns	「Choose」を選択して「Logon Chooser Columns」ウィンドウを開きます(「Logon Chooser」ダイアログ・ボックスに表示可能な列のリストが含まれます)。注意: 3番目と4番目のフィールドは、前述の設定でこれらのマスクを選択していない場合にのみ選択できます。

設定グループ	コントロール	機能
SendKeys Settings	Delay Char	この設定を使用して、SendKeysでの各クリックの間にミリ秒単位で遅延を追加します(これにより、資格証明の送信が遅くなります)。この設定は、資格証明の入力を認識するために追加の時間を必要とするアプリケーションで役立ちます。

設定グループ	コントロール	機能
Logon Loop Grace Period	None	初回のログオン後、ユーザーは自動的にログオンされます。ログオン・プロンプトの間に猶予期間がありません。(デフォルト)
	Prompt	ログオン猶予期間が期限切れでない場合は、アプリケーションに再度ログオンするかどうかを尋ねるプロンプトが表示されます。
	Silent	エージェントは猶予期間が期限が切れるまでアプリケーションを無視し、猶予期間が切れるまで資格証明を取り込みません。
	Minutes	猶予期間の長さを分単位で設定します。
	Reset for each process	有効にした場合、新しいプロセスが起動されるたびに猶予期間はリセットされます。これによって、猶予期間が期限切れでない場合も、アプリケーションを閉じたり再起動するときに、Logon Managerによってユーザーはアプリケーションにログオンします。無効にした場合は、猶予期間が新しいプロセスごとにリセットされることはありません。猶予期間が期限が切れるまで、Logon Managerは再起動されたアプリケーションにユーザーのログオンを試行することはありません。(これが無効に設定され、猶予期間が期限切れでない場合、「Prompt/Silent」オプションが「Prompt」に設定されていると、ユーザーは再度ログオンするように要求されます。)

設定グループ	コントロール	機能
Credential Capture Mode	次のいずれかのモードを使用して、資格証明の取得の動作を構成します。注意: 資格証明のサイレント取得モードは、SendKeysを必要とするアプリケーションとは互換性がありません。このため、ホスト/メインフレーム・アプリケーションに対しても、SendKeysを使用するWebまたはWindowsアプリケーションに対してもこのモードを使用することはできません。ユーザー名とパスワードが不明瞭化されるアプリケーションに対しては、資格証明のサイレント取得を使用しないでください。
	Default to global agent setting	このアプリケーションがグローバル・エージェント設定と同じ値を使用することを指定します。次のいずれかの設定を選択すると、グローバル・エージェント設定をオーバーライドします。
	Do not capture silently	「New Logon」ダイアログを表示します(ユーザーは資格証明を手動で入力します)。
	Capture, but do not inform user	エージェントは、ユーザーが入力したとおりに資格証明を取得しますが、その処理に関する情報をユーザーに表示することはありません。
	Capture, and inform user with balloon tip	エージェントは、ユーザーが入力したとおりに資格証明を取得し、システム・トレイの近くにバルーン・ヒントを表示して処理中にユーザーに情報を表示します。
	Capture, and present New Logon dialog	エージェントは、ユーザーが入力したとおりに資格証明を取得し、システム・トレイの近くにバルーン・ヒントを表示して処理中にユーザーに情報を表示します。資格証明の取得後に、エージェントはユーザーの入力があらかじめ設定された状態の「New Logon」ダイアログを表示します。ユーザーは受入れ、変更、取消、無効化のいずれかを実行できます。
	Silent capture timeout	ユーザーが資格証明を送信した後に、エージェントがアカウントの作成を待機する時間(ミリ秒単位)。エージェントがログオンの成功または失敗を判定する前にこのタイムアウトに達すると、エージェントは取得した資格証明を却下します。

このタブを表示するには、次の手順を実行します。

次のいずれかを行います。
- アプリケーションを選択します。
  
  または
- 新しいアプリケーションを構成します。
右側のペインで、「Miscellaneous」タブをクリックします。

2.14.8 「Security」タブ - ロール/グループ・サポート(選択したアプリケーション用)

このタブは、現在選択している構成アイテムへのアクセス権を設定する場合に使用します。次のアイテムへのアクセス権を割り当てることができます。

アプリケーション・ログオン(関連付けられた資格証明共有グループを含む)
パスワード生成ポリシー
グローバル・エージェント設定
パスフレーズ質問セット
除外リスト

注意:

Active Directoryドメインのセキュリティを向上させるには、ドメイン管理者の名前を右クリックし、「DENY」を選択します。これにより、アプリケーション・テンプレートがドメイン管理者に自動的に送信されることはなくなります。

コントロール	機能
Directory	ターゲット・ディレクトリ・サーバーを選択します。
Access information:
Name	このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザー・アカウント名。
Access	ユーザーまたはグループが、現在選択している項目に対して読取り/書込みアクセス権を持つのか、または読取り専用アクセス権を持つのかを示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Read」または「Read/Write」を選択します。
Actions:
Copy Permissions To…	「Select Application」画面を表示します。追加するアプリケーションを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックして選択を確定します。
Add	「Add User or Group」ダイアログを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。「OK」をクリックして選択を確定します。
Remove	選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックして選択を確定します。

2.14.9 「Provisioning」タブ - ロール/グループ・サポート(選択したアプリケーション用)

このタブにアクセスするには、「Applications」を展開し、任意のアプリケーションをダブルクリックします。「Provisioning」タブをクリックします。

このタブから、権限を追加および削除できます。また、権限に対するアクセス権のレベル(アプリケーションの追加/変更/削除)も選択できます。

コントロール	機能
Directory	ターゲット・ディレクトリ・サーバーを選択します。
Access information:
Name	このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザー・アカウント名がリストされます。
Access	ユーザーまたはグループに付与されている権限(ログオンの追加、変更または削除)を示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Add Logon」、「Modify Logon」または「Delete Logon」を選択します。
Actions:
Copy Permissions To…	このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに簡単に適用できます。このボタンをクリックすると、すべてのアプリケーションが示されているダイアログが表示されます。これらのプロビジョニング権限のコピー先のアプリケーションを選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックして選択を確定します。
Add	「Add User or Group」ダイアログを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目にアクセスする必要があるユーザーまたはグループを選択します。
Remove	選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。

2.14.9.1 「Add User or Group」ダイアログ

「Select User or Group」ダイアログは、使用しているディレクトリ・サーバーによって異なります。

LDAP
Active Directory
AD LDS (ADAM)

2.14.9.1.1 LDAP

現行の構成アイテム(「Add Logon」、「Modify Logon」または「Delete Logon」)用のアクセス・リストに追加する個々のユーザーまたはユーザー・グループを選択する場合は、このダイアログ・ボックスを使用します。

コントロール	機能
Search Base	ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。場所を入力するか、「Change」をクリックして、ディレクトリ・ツリーを参照します。
Change	「Select Search Base」ダイアログを表示して、検索するベース・ディレクトリを参照します。このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了したら、「OK」をクリックします。
Search	ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
Users or Groups	検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。

2.14.9.1.2 Active DirectoryおよびAD LDS (ADAM)

コントロール	機能
List Names From	Active Directoryのドメインまたはサーバーを選択します。
Names	選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
Add	「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。
Members	「Names」リストでグループを選択した場合、「Global Group Membership」ダイアログが表示され、ここに、選択したグループのメンバーがリストされます。
Search	特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログが表示されます。
Add Names	すでに選択したユーザーまたはグループの名前を表示します。これらの名前を現行の構成アイテム用のアクセス・リストに追加する場合は、「OK」をクリックします。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。

2.14.10 「Privileged Accounts」タブ(選択したアプリケーション用)

このタブを使用して、このテンプレートのアカウントに特権があるかどうかを指定します。このテンプレートが特権アカウントに属するように指定するには、ボックスを選択状態にします。

特権アカウントの構成の詳細は、「特権アカウントの設定」を参照してください。

2.14.11 「Delegated Credentials」タブ(選択したアプリケーション用)

このタブは、ユーザーがこのアプリケーションの自分の資格証明を他のユーザーに委任できるかどうかと、その委任の条件を指定する場合に使用します。この機能は、1人のユーザー(委任元)が一時的に一部の責任を別のユーザー(委任先)に割り当てる場合に便利ですが、委任先は委任元の職務を永久に実行するわけではありません。

委任元は、委任された資格証明を失効させる場合に認証を受ける必要があります。失効を完了するには、委任先も認証を受ける必要があります。これによって、資格証明を委任されていない状態に戻すためのリポジトリの同期が行われます。

委任元だけが委任された資格証明を失効させることができます。委任元の不在時に、なんらかの理由で委任先の資格証明を失効させる必要がある場合は、委任先のアカウントをロックし、強制的にパスワードをリセットすることができます。

委任された資格証明はLogon Managerクライアントのインストール時に、拡張インストールのセットアップ・モードの選択の1つとしてインストールされます。

コントロール	機能
Allow users to delegate credentials for this application	ユーザーが別のユーザーへの資格証明の委任を許可する場合に、このボックスを選択します。ボックスが選択されると、次の構成オプションが使用可能になります。デフォルトは「Disabled」です。
Allow reveal password	委任先による委任元のパスワードの確認を許可するかどうかを指定します。デフォルトは「Disabled」です。
Maximum number of delegation days	委任先がこのアプリケーションの委任元の資格証明を保持する日数の最大値を指定します。デフォルトは15です。
Permitted usage	委任先がアプリケーションにアクセスできる日、および各日の時間間隔を指定します。

注意:

また、グローバル・エージェント・プロビジョニング設定でプロビジョニング・サービスへのパスおよび暗号化アルゴリズムも指定する必要があります。

2.14.11.1 Oracleリポジトリでの委任済資格証明の設定

リポジトリには、Oracle Internet Directory (OID)、Oracle Unified Directory (OUD)またはOracle Virtual Directory (OVD)を使用できます。委任済資格証明をこれらのOracleリポジトリのいずれかと使用するには、次の構成手順を実行します。

Provisioning Gatewayサービス・フォルダ(通常は、%PG_SERVER%\Service)にナビゲートします。
web.configファイルをテキスト・エディタで開きます。ファイルの末尾近くに次の2行があります。
- <add key="LDAP_Username" value="" />
- <add key="LDAP_Password" value="" />
これらの行のvalue属性に、次の実行権限を持つディレクトリ・アカウントのユーザー名およびパスワードを設定します(このアカウントは、管理者アカウントである必要はありません)。
- ロケータ・コンテナ内のオブジェクトの読取り
- COコンテナ内のオブジェクトの読取り
- 「People」コンテナとそのサブコンテナ内のオブジェクトの読取りおよび書込み
これらの資格証明を格納しているweb.configファイルを暗号化します。
1. コマンド・プロンプトから、次のディレクトリに移動します。%Windows%\Microsoft.NET\Framework\v2.0.50727
2. 次のコマンドを入力します。aspnet_regiis -pef "appSettings" "C:\Program Files\Passlogix\v-GO PM\Service"(Provisioning GatewayサーバーがC:\Program Filesフォルダにインストールされていることを前提とします)。
3. web.configファイルを開いて、appSettingsセクションが暗号化されていることを確認します。

2.14.11.2 INIファイルへのエクスポート

entlist.iniファイルは、選択されたアプリケーション、すべてのパスワード・ポリシーおよびグループのストアです。INIファイルで選択されたアイテムをエクスポートするには、次の手順を実行します。

次のいずれかを行います。
- エクスポートするアプリケーションを選択し(複数のエントリを選択する場合は、[Ctrl]キーまたは[Shift]キーを押しながらクリックし)、「OK」をクリックします。
  
  または
- 「Export All」をクリックして、リストされたアプリケーションをすべてエクスポートします。
選択したアプリケーションがバルク追加に対応している場合は、「Create First-Time-Use file」を選択して、バルク追加(ftulist.ini)ファイルを生成できます。
「OK」をクリックします。「Export EntList file」ダイアログ・ボックスが表示されます。
そのファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。
初回使用時のファイルの作成を選択した場合は、「Export First-Time Use」ダイアログ・ボックスが表示されます。ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)、「Save」をクリックします。

「Export EntList file」ダイアログを表示するには、次の手順を実行します。

「Applications」を右クリックし、ショートカット・メニューから「Export」を選択します。

または
「File」メニューから「Export」を選択します。

2.14.11.3 EntListファイルのエクスポート

エクスポートしたアプリケーション構成ファイル(enlist.ini)をディスクに保存します。「Export EntList file」ダイアログは、「Export to INI file」ダイアログ・ボックスを使用してアプリケーション・ログオン情報をエクスポートする場合に表示されます。

そのファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。
First-Time Useファイルの作成を選択した場合は、「Export First-Time Use」ダイアログ・ボックスが表示されます。ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)、「Save」をクリックします。

2.14.11.4 初回使用時のエクスポート

First-Time Useファイル(ftulist.ini)をディスクに保存します。「Export First-Time Use」ダイアログ・ボックスは、enlist.iniファイルへのアプリケーション・ログオン情報のエクスポート時にFirst-Time Useファイルを作成するときに表示されます。

ファイルのフォルダを検索して開き(必要に応じてファイル名を変更し)ます。
「Save」をクリックします。

2.14.11.5 インポート/マージの競合

マージしたファイルに現在の構成の項目と同じ名前の項目が含まれている場合に「Import/Merge Conflict」ダイアログ・ボックスが表示されます。

インポートする項目を選択し、「OK」をクリックします。

選択した項目で、現在の同じ名前の項目が上書きされます。

2.14.11.6 「Override Settings」タブ(「Edit Template」ダイアログ・ボックス)

このタブは、テンプレートに基づくすべてのログオンで、このテンプレートが更新する設定を選択する場合に使用します。アプリケーション・ログオン構成のすべてのフォームに適用されるグローバル・オーバーライドを選択可能であり、また、個々のフォームで固有のオーバーライドを選択することもできます。

左側のペインには、アプリケーションおよびそのコンポーネント・フォームの階層が表示されます。

アプリケーションのグローバル・オーバーライド設定は、各アプリケーション・タイプの一般的な構成設定に対応しています。
フォーム固有の設定は、個々のログオンの構成コントロールに対応しています。

右側のペインに「Setting」の両タイプがリストされ、設定を行うアプリケーション構成ダイアログ・ボックスに対応した「Category」も表示されます。各設定の情報については、そのダイアログ・ボックスまたはタブを参照してください。

コントロール	機能
Applications	General Error Loops Password Change Miscellaneous
Windows forms	General Fields Matching Miscellaneous
Web forms	General Matching
Mainframe/Host forms	General Options

このタブを表示するには、次の手順を実行します。

「Tools」メニューから「Manage Templates」を選択します。
次のいずれかを行います。
- 新しいテンプレートを追加します。
  
  または
- 既存のテンプレートを選択し、「Edit」をクリックします。
「Edit Templates」ダイアログ・ボックスで、「Overriding Settings」タブを選択します。

2.14.11.7 「Supply Info」タブ(「Edit Template」ダイアログ・ボックス)

このタブは、このテンプレートに基づくアプリケーション・ログオンを完成するために、管理者が指定する必要がある情報を指定する場合に使用します。すべての項目を選択するか、またはチェック・ボックスを選択して項目を個別に選択することができます。

2.14.11.8 アプリケーションの更新(テンプレートから)

このダイアログ・ボックスは、ログオンの作成後に変更されたテンプレートに基づいて、アプリケーション・ログオンを更新する場合に使用します。テンプレートを変更したログオンのみがリストに表示されます。更新するアプリケーションを選択し(複数のアプリケーションを選択する場合は[Ctrl]キーまたは[Shift]キーを押しながらクリックし)、「Update」をクリックします。

2.14.11.9 「Launch」タブ(選択したアプリケーション用)

このタブは、ターゲット・アプリケーションの場所を指定するために使用します。

コントロール	機能
Launch URIs	ユーザーがアプリケーションを起動するときにアクセスするURIのリスト。「Add」または「Edit」をクリックして「Manage Launch URI」ダイアログ・ボックスを開き、これらのURIを構成します。
Login Failure URI	ユーザーのログオンが失敗したときにアクセスされるURI。
Add	「Manage Launch URI」ダイアログ・ボックスを開き、リストにURIを追加できます。
Edit	「Manage Launch URI」ダイアログを開き、選択された「Launch URI」の設定を変更できます。
Delete	選択された「Launch URI」を削除します。

2.14.12 「Launch」タブ(選択したアプリケーション用)

このタブは、アプリケーションの起動URIを指定するために、次のように使用します。

「Launch」タブで、「Add」をクリックします。
「Manage Launch URI」ダイアログの「Type」ドロップダウンで、次のように選択します。
- Web: Webアプリケーションの直接起動をサポートするクライアント・アプリケーションの場合に選択します。
- WebProxy: Webアプリケーションの直接起動をサポートしないクライアント・アプリケーションの場合に選択します。
ターゲットWebアプリケーションのURIまたは(前の手順の選択内容に応じて)そのプロキシ・バージョンを入力します。このURIは、ユーザーがアプリケーションを起動するときにアクセスされます。このURIはアプリケーション管理者から入手します。
「Update」をクリックして変更を保存します。

コントロール	機能
Launch URIs	ユーザーがアプリケーションを起動するときにアクセスするURIのリスト。「Add」または「Edit」をクリックして「Manage Launch URI」ダイアログ・ボックスを開き、これらのURIを構成します。
Login Failure URI	ユーザーのログオンが失敗したときにアクセスされるURI。
Add	「Manage Launch URI」ダイアログ・ボックスを開き、リストにURIを追加できます。
Edit	「Manage Launch URI」ダイアログを開き、選択された「Launch URI」の設定を変更できます。
Delete	選択された「Launch URI」を削除します。

2.14.12.1 Manage Launch URI

このタブを使用して、ユーザーがアプリケーションを起動するときにアクセスする場所(ターゲット)を指定します。

コントロール	機能
Type	URIのタイプを選択します。 Web WebProxy
URI	ターゲットWebアプリケーションのURIまたはそのプロキシ・バージョンを入力します。
Update	クリックすると、新しい構成を保存し、「Manage Launch URI」ダイアログを閉じます。
Close	クリックすると、変更を保存せずに「Manage Launch URI」ダイアログを閉じます。

2.14.13 テンプレートのテスト

管理コンソールのテンプレート・テスト・マネージャでは、作成したテンプレートを公開前に検証する簡単な方法が提供されています。これは、リポジトリおよび同期をバイパスして、エージェントを直接動作させます。このマネージャはテストを順を追って説明し、様々なポイントでアクションの実行を求め、結果に関する質問をします。質問に対する回答は、マネージャの次の手順に対する指示となります。

テンプレート・テスト・マネージャを使用するには、次のものが必要です。

管理コンソールを起動します。
Logon Managerエージェント
管理コンソールに追加された、テスト対象のアプリケーション・テンプレート
テンプレートが管理コンソールに追加されているアプリケーション

注意:

テンプレート・テスト・マネージャはWindowsアプリケーションのみをサポートします。

テンプレート・テスト・マネージャを使用するには、次の手順を実行します。

管理コンソールを起動します。
「Applications」メニューの下のテンプレートを右クリックし、「Test」を選択してテンプレート・テスト・マネージャを起動します。テスト中は、管理コンソール・アプリケーション・ウィンドウが最小化され、テンプレート・テスト・マネージャにフォーカスが移動されます。
このマネージャのウィンドウの3つのセクションを見てみます。
- 「Forms to be validated」セクションには、テスト用に選択したテンプレート(およびそのすべてのフォーム)の名前が含まれます。ステータス・アイコンが各名前の横に表示されて、そのステータスを示します。
  
  Processing
  
  Success
  
  Failure
- 「Status Messages」セクションでテストのステータスが知らされます。
- 「Interactions」セクションでは、テストを進めるために必要なアクションを実行するように求められます。ステータス・メッセージを監視し、対話的なプロンプトに従って進めます。
マネージャはエージェントがテンプレートを検出したかどうかを尋ねます。テストが成功した場合は、「Yes」をクリックし、「Finish」をクリックします。テストが成功しなかった場合は、次のうち検出に失敗した理由を最も適切に説明しているボタンをクリックします。
- Yes, but also responds to other windows that should be ignored
- No (any other reason)
「Next」をクリックして、テンプレートのエラーを修正するための提案を受け取ります。
エージェントがテンプレートに正しく応答するまで、このプロセスを続行します。
「Close」を選択してテンプレート・テスト・マネージャを停止し、管理コンソールに戻ります。

例

管理コンソールで、アプリケーション・テンプレートを選択し、それを右クリックし、「Test」を選択しました。テンプレート・テスト・マネージャが起動し、テンプレートのフォームが「Forms to be validated」セクションに表示されますが、エージェントは実行されていません。「Status Messages」セクションには、「Waiting for the Logon Manager Agent…」と表示されます。これは、エージェントがアクティブになっていないので、テストを開始するには、それを起動する必要があることを示しています。このため、「Interactions」セクションに「Launch the Logon Manager Agent」というアクション・リクエストが表示されます。
エージェントを起動すると、ステータス・メッセージにテンプレート・テスト・マネージャがエージェントにテンプレートを公開中であることが示されます。「Actions」メッセージから、テスト中のテンプレートのアプリケーションを起動するように求められます。
アプリケーションの起動後に、エージェントはそれを検出して応答する必要があります(初回資格証明取得の構成に従って)。
「Interactions」セクションで、検出段階であることが知らされ、「Does the Agent detect the window?」と質問されます。次のうち適切な応答を選択します。
- Yes
- Yes, but also responds to other windows that should be ignored
- No
「Next」をクリックします。
「Yes」と応答した場合、次の画面の「Interactions」セクションでテストが正常に終了したことが示されます。テンプレート名の横にチェック・アイコンが表示されます。
これ以外の回答で応答し、「Next」をクリックすると、マネージャから一連のトラブルシューティングのテストを行うように求められ、入力に基づいて提案が示されます。
テンプレートの変更に成功するまで、このプロセスを続行します。
終了したら、「Close」をクリックします。

2.15 「SSO Applications」ノード

「SSO Applications」ノードを使用すると、Logon Managerにフェデレーテッド・アプリケーションおよびSSOで保護されたアプリケーションを追加できます。

アプリケーションを追加するには、次の手順を実行します。

次のいずれかを行います。
- 「SSO Applications」ノードを右クリックし、コンテキスト・メニューからアプリケーション・タイプを選択します。
- 「Applications List」の下で空の領域を右クリックし、コンテキスト・メニューからアプリケーション・タイプを選択します。
- 「SSO Applications」ノードを選択し、右下の「Add」ボタンをクリックします。
「Add SSO Application」ダイアログで、アプリケーション・タイプを選択し(まだ選択していない場合)、このアプリケーションの名前を入力して「OK」をクリックします。

「SSO Applications」ノードの下にアプリケーションが表示されます。これを選択すると、右側に次の2つのタブが表示されます。

General

このタブを使用して、選択したアプリケーションのフィールドの構成を定義します。

オプション	機能
Description	ユーザーのアプリケーションに関する説明。
Reference	アプリケーション・テンプレートのバージョン/バリアントを説明する内部参照。注意: クライアント側では、このフィールドは読取り専用です。
Category	アプリケーションが表示されるカテゴリ(「Finance」や「Development」など)を入力します。
Icon Image URL	アプリケーション・エントリの横に表示されるアイコン・イメージのURL。
Logo Image URL	フルサイズのアプリケーション・ロゴ・イメージのURL。
Vendor	アプリケーションのベンダー。
Administrator	組織におけるアプリケーションの管理者の連絡先情報。

Launch

このタブは、ターゲット・アプリケーションの場所を指定するために使用します。

コントロール	機能
Launch URIs	ユーザーがアプリケーションを起動するときにアクセスするURIのリスト。「Add」または「Edit」をクリックして「Manage Launch URI」ダイアログ・ボックスを開き、これらのURIを構成します。
Login Failure URI	ユーザーのログオンが失敗したときにアクセスされるURI。
Add	「Manage Launch URI」ダイアログ・ボックスを開き、リストにURIを追加できます。
Edit	「Manage Launch URI」ダイアログを開き、選択された「Launch URI」の設定を変更できます。
Delete	選択された「Launch URI」を削除します。

Manage Launch URI

このタブを使用して、ユーザーがアプリケーションを起動するときにアクセスする場所(ターゲット)を指定します。

コントロール	機能
Type	URIのタイプを選択します。 Web WebProxy
URI	ターゲットWebアプリケーションのURIまたはそのプロキシ・バージョンを入力します。
Update	クリックすると、新しい構成を保存し、「Manage Launch URI」ダイアログを閉じます。
Close	クリックすると、変更を保存せずに「Manage Launch URI」ダイアログを閉じます。

2.16 特定の環境用のLogon Managerの構成

次の項では、特定の環境をサポートするようにLogon Managerを構成する方法について説明します。

エージェントの構成(Windows認証用)
エージェントの構成(ディレクトリ・サーバー同期用)
エージェントの構成(データベース同期化用)
エージェントの構成(ファイル・システム同期用)
エージェントの構成(Citrix環境)

2.16.1 エージェントの構成(Windows認証用)

Logon Managerでは、プライマリ・ログオン方法(オーセンティケータ)としてWindows Authentication v2がサポートされており、真のシングル・サインオンが実現します。エージェントでは、Windowsログオン資格証明を認証として使用できます。Logon Managerでこれをサポートするには、管理者は次の2つの問題を認識している必要があります:

OSには128ビットの暗号化をインストールする必要があります。
管理者はユーザー・レベルのプロファイルを有効にする必要があります。

2.16.1.1 128ビットの暗号化の確認

OSの暗号化の強度を確認するには、Microsoft Internet Explorerを起動して、「ヘルプ」 > 「バージョン情報」を選択します。「暗号強度」が128ビットである必要があります。

OSが128ビットでない場合は、Microsoftから更新版をダウンロードします。

http://www.microsoft.com/windows/ie/ie6/downloads/recommended/128bit/default.mspx.

2.16.2 エージェントの構成(ディレクトリ・サーバー同期用)

ここでは、リポジトリとしてディレクトリ・サーバーを使用するようにLogon Managerを構成するために必要な設定について説明します。構成は、サポートされているすべてのディレクトリ・サーバーで同様ですが、相違点についても説明しています。

Logon Managerによるディレクトリ・サーバー・リソースの使用方法の詳細は、「ディレクトリ・サーバー同期でのロール/グループのサポートの使用」を参照してください。
レジストリ・エントリに関連する詳細は、「グローバル・エージェント設定でのエージェントの構成」を参照してください。

注意:

LDAP AUIとLDAPディレクトリ・サーバー拡張の両方がインストールされている場合は、AUI\LDAPとExtensions\SyncManager\Syncs\%LDAP%の両方に値が存在する必要があります。

Logon Managerがサーバーを指すようにします。
次のいずれかを行います。
- 左側のペインの「Global Agent Settings」から、レジストリ・エントリの既存の設定を選択します。
- 設定の保存済セットをインポートします(「File」 > 「Registry」 > 「Import」)。
- レジストリ設定の新しいセットを作成します(「Insert」 > 「Global Agent Settings」)。
管理コンソールの左側のペインで、設定のセットを選択して開き、「Synchronization」を選択して開いて(必要に応じて適切な拡張を追加し)、適切な拡張を選択して開いた後、「Servers」を選択して開きます。
右側のペインで、「Servers」を選択し、省略記号(…)ボタンを選択した後、サーバー名またはIPアドレスを入力して「OK」をクリックします。

Microsoft Active Directory Server (AD LDS (ADAM)以外)の場合:
- Active Directory拡張に対してサーバーが入力されておらず、ユーザー・アカウントがActive Directoryドメインにある場合は、Logon Managerでは、サーバーの検出にActive Directoryドメイン・リソースが使用されます。グローバル・エージェント設定に1台以上のサーバーが指定されている場合は、Logon Managerでは、サーバーの検出に「Servers」リストが使用されます。
- 特に構成されていないかぎり、Logon Managerは、ローカルなサブネットに割り当てられている優先ドメイン・コントローラの名前をドメイン・ネーム・サーバー(DNS)に問い合せます。
- 複数のサーバーでActive Directoryネットワークを構築している場合は、レプリケーションを有効にして、Logon Managerスキーマ拡張および関連オブジェクトが含まれるようにしてください。これで、Logon Managerでは必ず接続先の各サーバー上でSSO情報が検索されるようになります。
- Microsoft Active Directoryサーバーに対して1台以上のサーバーが指定されている場合は、IPアドレスではなくサーバー名を使用します。
Microsoft AD LDS (ADAM)の場合:
- AD LDS (ADAM)サービスに対して、少なくとも1台のサーバーを指定する必要があります。
- portパラメータ(myserver.com:9890など)を使用して、単一サーバーで実行されているAD LDS (ADAM)の特定のインスタンスを指定します。
- アプリケーション・テンプレートは、AD LDS (ADAM)インスタンスのrootにではなく、特定のOUに存在する必要があります。
Logon Managerがユーザー・パスを指すようにします。
左側のペインで、適切な拡張を選択します。その後、次のいずれかを実行します。
- LDAP拡張の場合は、「Required」を選択します。
- Active Directory拡張の場合は、「Advanced」を選択します。
右側のペインで、「User Paths」、省略記号(「…」)ボタンの順に選択し、ユーザー・パスを入力して「OK」をクリックします。
SSLを有効化または無効化します。
左側のペインで、適切な拡張を選択します。
右側のペインで、次のようにSSLオプションを選択します。

SSLを使用する場合は、「SSL」(LDAPまたはActive Directory用)を選択し、「Connect via SSL」を選択します(デフォルトはポート#636)。

注意:

デフォルトではSSLは有効ではなく、セキュアでないデフォルト・ポートは#389です。

非標準のポートを設定するには、「Servers」設定を使用します(LDAPまたはActive Directory用)。

SSLを使用する場合は、「When SSL Fails」(LDAPまたはActive Directory用)を適切に選択します。

Novell eDirectoryの場合: Novell eDirectoryおよびその他の環境に関して、重要な注意事項が2つあります。ユーザーのドメイン名の書式が次のとおりである場合

cn=%UserName%,ou=people,dc=Oracle,dc=com

次の書式の場合は、必須ではありません。

namingattribute=%UserName%,ou=people,dc=Oracle,dc=com

(namingattributeは任意の文字列)、次の処理を実行します。
1. 左側のペインで、適切な拡張を選択してから、「Advanced」を選択します。
2. 「Naming Attribute string」を選択し、値をCNに設定します。
3. 「Alternate user ID location」を選択し、次のように設定します。
  
  uid=%user%,path
  
  pathは、オブジェクトへのパスの後半部分です。次に例を示します。
  
  uid=johnd,ou=people,dc=Company,dc=com

2.16.2.1 ディレクトリ・サーバー同期でのロール/グループのサポートの使用

ディレクトリ・サーバー同期インストールでは、Logon Managerは、アプリケーション・ログオン、パスワード変更ポリシー、グローバル・エージェント設定、パスフレーズ質問セットを含む各構成に対してロール/グループ・アクセス制御をサポートしています。この機能を有効にすると、Windowsセキュリティで使用されているアクセス制御リストと同様に、アクセス制御リストを、それぞれのログオン、ポリシー、設定および質問セットに割り当てることができます。

ロール/グループ・サポート対応の構成は、標準のLogon Manager構成オブジェクト(EntList、FTUlistおよびAdminOverride)と同様に、シンクロナイザ・コンテナ・オブジェクトにエクスポートされます。ロール/グループのサポートが有効で、アクセス制御されたこれらのオブジェクトがコンテナに存在する場合は、標準オブジェクトがオーバーライドされます。ロール/グループのサポートを構成するには、次の手順を実行します。

次のグローバル・エージェント設定を構成して、ロール/グループ・セキュリティ・サポートを有効にし、エージェントを更新します。

設定の場所

設定の名前

機能

Synchronization

Enable role/group security support

アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ質問セットに対するロール/グループ・サポートを有効にします。

オプション

Do not use role/group security (デフォルト)
Use role group security.

「Synchronization」 > 選択されたsync > 「Advanced」

Configuration Objects Base Locations

(LDAP、Active Directory、AD LDS (ADAM))

ロール/グループ対応の構成オブジェクトの検索を開始する場所を指定します。検索は、指定の場所(複数可)から下に向かって(ルートから離れて)行われます。この設定のエントリがない場合、検索はルートから開始されます。

各構成にアクセス権を指定します。

構成(アプリケーション・ログオン、パスワード・ポリシー、グローバル・エージェント設定およびパスフレーズ質問セット)ごとに「Security」タブを使用して、アクセス権を持つ必要があるユーザーおよびグループを指定します。
シンクロナイザ・コンテナに構成をエクスポートします。
シンクロナイザ・ディレクトリに接続します。
右側のペインで、コンテナ・オブジェクトを右クリックし、ショートカット・メニューから「Publish to Repository」を選択して、このウィンドウを表示します。
「Data Source」として「Administrative Console」を選択します。
選択して、ウィザードの手順を完了し、アクセス制御された個々のオブジェクトとして構成オブジェクトをエクスポートします。

注意:

パフォーマンスとセキュリティを最大にするために、次の操作を実行することをお薦めします。

ユーザーの組織でロール/グループ・サポートが必要であることが明白である場合を除いて、「Enable role/group security support」が「Do not use…」に設定されていることを確認します。
セキュリティを最大にするには、「Configuration Objects Base Locations」に指定された場所(LDAP、Active Directory、AD LDS (ADAM))にあるディレクトリ・ツリーに、ユーザーが書込み可能な領域がないことを確認します。
パフォーマンスを最大にするには、「Configuration Objects Base Locations」に必ず1つ以上の場所を指定します。これにより、サーバー全体が検索されなくなります。
検索の負荷と長さを最小にするには、「Configuration Objects Base Locations」に指定された場所にあるディレクトリ・ツリーには、不要なデータはできるだけ保存しないでください。

2.16.3 エージェントの構成(データベース同期化用)

次に説明する構成設定は、エージェント・ソフトウェアの一般的なデプロイメントの一環として(MSIインストーラ・ファイルを変更して)、またはエージェントのデプロイメント後に(クライアント・ワークステーションのレジストリにマージするレジストリ・エントリ対応ファイル(.REG)を配信して)、クライアント・ワークステーションに配信できます。

Logon Managerエージェントのロールアウトについては、「Logon Managerのデプロイ前の考慮事項」を参照してください。
Logon Managerによるデータベース・サーバー・リソースの使用方法の詳細は、「データベース同期サポート」を参照してください。
レジストリ・エントリに関連する詳細は、「グローバル・エージェント設定でのエージェントの構成」を参照してください。

Logon Managerがデータベース・サーバーを指すようにします。

次のいずれかを行います。

設定の保存済セットをインポートします(「File」メニューから「Registry」、「Import」の順に選択します)。

注意:

コンソールは、32ビット・システムのみと互換性を持つ.REGファイルを生成します。64ビット・システムで.REGファイルをマージしている場合、マージされたレジストリ・データをレジストリ内の正しい場所に移動するために、次のコマンドを実行する必要があります(これを行わない場合、Universal Authentication Managerは機能しません)。

reg.exe COPY HKLM\Software\Passlogix HKLM\Software\Wow6432Node\Passlogix /s

レジストリ設定の新しいセットを作成します(「Insert」メニューで「Global Agent Settings」を選択します)。

左側のペインで、レジストリ設定のセットを選択して開き、「Synchronization」を選択して開いて、(必要に応じて)適切な拡張を追加し、適切な拡張を選択して開いた後、「Servers」を選択して開きます。
右側のペインで、「Servers」を選択し、省略記号(「…」)ボタンを選択した後、データベース・サーバー名を入力して「OK」をクリックします。

クライアント・ワークステーションにはじめて配信する場合の方法を選択して、設定をエージェントにエクスポートします。

これらの設定が含まれるように、Logon ManagerエージェントをインストールするMSIパッケージをカスタマイズします。
管理コンソールからエクスポートする.REGファイルを配信します。ファイル・アイコンをダブルクリックすると、.REGファイルをクライアント・ワークステーションのレジストリとローカルでマージできます。

注意:

reg.exe COPY HKLM\Software\Passlogix HKLM\Software\Wow6432Node\Passlogix /s

2.16.4 エージェントの構成(ファイル・システム同期用)

ここでは、アプリケーション・ログオン、グローバル・エージェント設定およびユーザー資格証明とネットワーク・ファイル共有の同期がとられるようにLogon Managerエージェントを初期構成するために必要な設定について説明します。

次に説明する構成設定は、エージェント・ソフトウェアの一般的なデプロイメントの一環として(MSIインストーラ・ファイルを変更して)、またはエージェントのデプロイメント後に(クライアント・ワークステーションのレジストリにマージできるレジストリ・エントリ対応ファイル(.REG)を配信して)、クライアント・ワークステーションに配信できます。

Logon Managerエージェントのロールアウトについては、「Logon Managerのデプロイ前の考慮事項」を参照してください。
Logon Managerによるファイル・システム・リソースの使用方法の詳細は、「ファイル・システム同期サポート」を参照してください。
関連するレジストリ・エントリの詳細は、「オーバーライド設定」を参照してください。

Logon Managerエージェントがサーバーを指すようにします。
次のいずれかを行います。
- 設定の保存済セットをインポートします(「Registry」を選択し、「File」メニューから「Import」を選択します)。
- レジストリ設定の新しいセットを作成します(「Insert」メニューで「Global Agent Settings」を選択します)。
- レジストリ・エントリの既存の設定を選択します(「Global Agent Settings」の下の左側のペインで該当するエントリを選択します)。
左側のペインで、レジストリ設定のセットを選択して開き、「Synchronization」を選択して開いて、(必要に応じて)適切な拡張を追加し、適切な拡張を選択して開いた後、「Required」を選択します。
右側のペインで、「Server」を選択した後、サーバー名またはIPアドレスを入力して「OK」をクリックします。
エージェントに設定をエクスポートします。

グローバル・エージェント設定をクライアント・ワークステーションにはじめて配信する場合の方法を選択します。

これらの設定が含まれるように、Logon ManagerエージェントをインストールするMSIパッケージをカスタマイズします。

管理コンソールからエクスポートする.REGファイルを配信します。ファイル・アイコンをダブルクリックすると、.REGファイルをクライアント・ワークステーションのレジストリとローカルでマージできます。

注意:

reg.exe COPY HKLM\Software\Passlogix HKLM\Software\Wow6432Node\Passlogix /s

2.16.5 エージェントの構成(Citrix環境)

Logon Managerのデフォルト・インストール・プロセスでは、Logon ManagerがCitrix環境で機能するために必要なコンポーネントが自動的に検出され、インストールされます。このインストール・プロセスによって、そのCitrixサーバーで公開されたすべてのアプリケーションに対するLogon Managerサポートが有効になります。

2.16.5.1 CitrixサーバーへのLogon Managerのインストール

CitrixサーバーでLogon Managerをインストールするには、次の手順を実行します。

ターミナル・サーバーに管理者としてログオンし、すべてのアプリケーションを閉じます。
「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
「ファイル名を指定して実行」ウィンドウで、cmdと入力し、[Enter]を押します。
コマンド・プロンプト・ウィンドウで、change user/installと入力し、[Enter]を押します。
環境に適したインストール・オプションを選択して、Logon Managerをインストールします。
インストールの完了後、コマンド・プロンプトでchange user/executeと入力します。

2.16.5.2 Citrixでの特定アプリケーション用のLogon Managerの制御

次の項では、Logon Managerのデフォルト・インストールを変更する方法、およびCitrix環境で特定のアプリケーション用にLogon Managerを有効にする方法について説明します。このプロセスには、次の2つの手順があります。

グローバルLogon Managerサポートを削除します。
公開アプリケーション構成を使用して、SSO対応にするアプリケーションを指定します。

2.16.5.2.1 グローバルLogon Managerサポートの削除

グローバルLogon Managerサポートを削除するには、次の手順を実行します。

「スタート」をクリックした後、「ファイル名を指定して実行」をクリックします。
「ファイル名を指定して実行」ウィンドウで、Regeditと入力し、[Enter]を押します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonに移動します。
右側のペインで文字列値「AppSetup」を右クリックし、「修正」を選択します。
SSOLauncherを参照しているこのエントリ内の値データを削除します。(C:\Program Files\Passlogix\v-GO SSO\wts\ssolauncher.exe /nossoshutdown)
Windows Authentication v1を使用している場合は、Passlogixレジストリ・ハイブにCheckForParentProcessキーを追加します。これにより、認証イベントがLogon Managerにハンドオフされます。

HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\AUI\WinAuth\

DWORD:

CheckForParentProcess

Value=0

AppSetupからssolauncher.exeを削除すると、公開アプリケーション構成に指定しないかぎり、このCitrixサーバー上のいずれのアプリケーションでも機能しないようにLogon Managerが構成されます。

2.16.5.2.2 公開アプリケーション構成(SSOLauncher)を使用したSSO対応アプリケーションの指定

Logon Managerはグローバルで無効になっているため、公開済のアプリケーション・プロパティにSSOLauncher.exeコマンドを追加することによって、Logon Managerサポートとともに公開するアプリケーションを指定する必要があります。

Citrix管理コンソールを開きます。
Logon Managerに対して有効にするアプリケーションを公開/検索します。
公開したアプリケーションを右クリックし、プロパティを選択します。
「Application Location」タブで、コマンド行の前に次の構文を追加します。

C:\Program Files\Passlogix\v-GO SSO\wts\SSOLauncher.exe/application

SSOLauncher.exeのコマンドが、公開済のアプリケーションのコマンド行に追加されます(置き換えられるわけではありません)。

アプリケーションACTのコマンド行構文の例を次に示します。

C:\Program Files\Passlogix\v-GO SSO\wts\SSOLauncher.exe" /application C:\Program Files\ACT\act.exe

注意:

この例は、Logon ManagerとACTの両方がCitrixサーバーのC:\ドライブにインストールされていることを前提としています。

詳細は、「CitrixサーバーのSSOLauncher」を参照してください。

2.16.5.2.3 Citrixサーバーのモニタリングの有効化

Logon Managerにおいて終了するはずのセッションが接続したままにならないように、Logon ManagerをCitrixサーバーでモニターできるようにするには、次のレジストリ・ツリーに移動します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix\ Wfshell\TWI

LogoffCheckSysModulesという名前のエントリが存在する場合は、これに次の項目を追加します。

ssosehell.exe
ssocredcap64.exe
ssocredcap.exe
ssobho.exe
ssox64ho.exe
ssowebho.exe
ssomho.exe
ssosapho.exe
idcontext.exe
ssoauth.exe

たとえば、次を変更して

app1.exe,app2.exe

次のようにします。

app1.exe,app2.exe,ssoshell.exe,ssocredcap64.exe

他も同様です。

現在のLogoffCheckSysModulesにssomozho.exeが含まれる場合は、この実行可能ファイルを削除します。

エントリが存在しない場合は、LogoffCheckSysModulesを文字列型として作成し、前述の実行可能ファイルを含むように設定します。

「Citrix環境でエージェントをデプロイする場合のベスト・プラクティス」も参照してください。

2.16.5.3 CitrixサーバーのSSOLauncher

このユーティリティを使用すると、Citrixサーバー環境で公開済のアプリケーションを使用して、Logon Managerの配布を制御できます。

ssolauncherユーティリティを使用するには、次の手順を実行します。

WINNT\system32フォルダにssolauncherユーティリティをコピーします。そうしない場合は、ssolauncherが存在するフルパスを含める必要があります。
これで、ssolauncherユーティリティを使用してLogon Managerで実行するアプリケーションを管理できます。Citrix公開アプリケーション管理コンソールにアクセスし、アプリケーション定義のコマンド行を使用してssolauncherコマンドを発行すると、アプリケーションごとにLogon Managerを実行できます。

注意:

ssolauncherコマンドは、コマンド行の前に適用されます。次に例を示します。

ssolauncher.exe /application "C:Program Files\Internet Explorer\IEXPLORE.EXE"

ssolauncherのコマンドは、次のとおりです。

コマンド	機能
/application	実行するアプリケーションのフルパス。これは必須です。
/command	コマンド・パラメータをアプリケーションに指定する場合に使用します。これはオプションです。
/directory	作業ディレクトリをアプリケーションに指定する場合に使用します。これはオプションです。
/wait	アプリケーションが停止するまで待機する時間(ミリ秒)。これはオプションです。指定しない場合、ssolauncherはアプリケーションが終了するまで永久に待機します。
/verbose	ssolauncherでエラーが発生した場合に、エラー・メッセージを示すダイアログを表示します。
/nossoshutdown	アプリケーションが完了したときに、SSOを停止しないようにします。
/SSOCOMMAND LOGON	Logon Managerシステム・トレイ・アイコンにある「Log On Using Logon Manager」トリガーにコマンドを発行する場合に使用します。

たとえば、次のコマンド行は、AIMを起動します。

ssolauncher.exe /verbose /application "C:\Program Files\AIM95\aim.exe" /directory "C:\Program Files\AIM95"

注意:

コマンドにバックスラッシュ(\)文字が含まれる場合は、コマンドを引用符で囲む必要があります。

2.17 グローバル・エージェント設定でのエージェントの構成

この項では、管理者によるエージェントの動作の構成方法を説明します。はじめに、グローバル・エージェント設定を使用する場合と、管理オーバーライドを使用する場合の違い(それぞれの方法のベスト・プラクティスや、様々な機能でどちらが適しているか)について説明します。

ベスト・プラクティスについて説明した後、グローバル・エージェント設定の完全なリスト(すべての設定オプション、レジストリのパス、デフォルト値を含む)を示します。

2.17.1 グローバル・エージェント設定と管理オーバーライド

Logon Managerの動作(ディレクトリとのやり取りも含む)は、Logon Manager管理者が管理コンソールで構成して、エンド・ユーザーのマシンにデプロイした設定によって制御されます。設定は、次のいずれかのカテゴリに該当します。

グローバル・エージェント設定は、エージェントのローカル・ポリシーであり、エンド・ユーザー・マシンのWindowsレジストリに格納され、Logon Manager MSIパッケージに含まれて、エージェントにデプロイメント時の初期構成を提供します。

グローバル・エージェント設定は、HKEY_LOCAL_MACHINE\Software\Passlogix (32ビット・システム)またはHKEY_LOCAL_MACHINE\Wow6432Node\Software\Passlogix (64ビット・システム)に格納されます。

注意:

HKLMハイブを変更できるユーザーは、そのグローバル・エージェント設定を変更できるため、意図した場所からエージェントの動作を変更することができます。エンド・ユーザーが設定を変更できないようにするには、管理オーバーライドでその設定をデプロイします。

管理オーバーライドはWindowsレジストリに格納されているグローバル・エージェント設定よりも優先され、エージェント用のドメイン・ポリシーを構成します。オーバーライドは、同期化の際にエージェントによって中央リポジトリからダウンロードされ、改ざん防止機能が付いた、エージェントの暗号化済ローカル・キャッシュに格納されるため、これによって、エンド・ユーザーによる変更ができないようになります。ロール/グループのセキュリティが有効な場合、管理オーバーライドはユーザーまたはグループごとに適用することも、企業全体に適用してすべてのユーザー設定の一貫性を保つこともできます。

注意:

管理オーバーライドを計画する際は、慎重に行ってください。オーバーライドが少なければ、格納および転送するデータも少なくなるので、中央リポジトリとの同期がより効率的になります。エンド・ユーザーのマシン上では管理オーバーライドを確認することができないため、オーバーライドの数を減らすことで不明な状況が解消され、トラブルシューティングも容易になります。

管理オーバーライドとグローバル・エージェント設定は、エージェントの完全な構成ポリシーを適用します。この項の残りの部分では、推奨される最適な構成について説明します。

一般的な表示内容の管理コンソールを次に示します。

注意:

開発環境またはステージング環境では、Internet Explorerで「発行元証明書の取り消しを確認する」オプションを無効にして、管理コンソールの起動時、およびマシンがインターネットに接続されていないときの遅延をなくします。(この遅延は、Internet Explorerによるサーバー証明書の確認が行われて、証明書認証局にアクセスできずタイムアウトするまでの時間です。)このオプションは本番マシンでは無効にしないでください。

デフォルト値に関する注意

このマニュアルおよび他のLogon Managerガイドに記載されていない設定については、ご使用の環境で特に指定されていないかぎり、デフォルト値のままにすることをお薦めします。管理コンソールでこの設定のチェック・ボックスが選択されていない場合は、デフォルト値が自動的に有効になります。この値は、チェック・ボックスの横にある非アクティブ・フィールドに表示されます。

2.17.1.1 推奨されるグローバル・エージェント設定

この項では、推奨されるグローバル・エージェント設定のベスト・プラクティスを示します。次に示すように設定を構成し、カスタマイズしたLogon Manager MSIパッケージにその設定を含めます。

2.17.1.1.1 資格証明共有グループからのアカウントの除外を許可

資格証明共有グループでは、アプリケーションのグループで単一の資格証明を共有することが可能であり、資格証明はグループ・レベルで管理され、変更はグループ内のすべてのアプリケーションにすぐに伝播されます。アプリケーションが資格証明共有グループの一部である場合で、ユーザーがそのアプリケーションに対して複数の資格証明セットを持っている場合、共有資格証明を除くすべての資格証明がグループから除外される必要があります。この機能によって、ユーザーは割当て済の資格証明共有グループからのログオンを除外できるようになります。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Password Change」

有効にするには: チェック・ボックスを選択し、ドロップダウン・リストから「Allow」を選択します。

このオプションが有効な場合、ユーザーは次のようにしてログオンを除外できます。

「Logon Manager」ウィンドウで、割当て済グループから除外するログオンを選択します。
「Properties」をクリックします。
表示されたダイアログで、「Exclude from password sharing group」チェック・ボックスを選択します。
「OK」をクリックします。
「Refresh」をクリックして、変更を中央リポジトリと同期化します。

2.17.1.1.2 切断操作の制限

ベスト・プラクティスとして、ユーザーが企業ネットワーク上にいない場合もシングル・サインオンを利用できるように、エージェントは中央リポジトリに接続できなくても稼働している必要があります。ユーザーは、オフラインで作業する前に、次のことを完了しておく必要があります。

リポジトリに接続している状態で初回使用ウィザードを完了し、ユーザーの資格証明を保護する暗号化鍵を生成しておきます。鍵は、リポジトリとエージェントのローカル・キャッシュに格納されます。
テンプレート、ポリシーおよび事前にプロビジョニングされた資格証明を取得するために、少なくとも1回リポジトリと同期化しておきます。これらのアイテムは、オフラインで使用するためにエージェントのローカル・キャッシュに格納されます。

あるマシンでユーザーが正常に同期化されていて、Logon Managerでは使用されたことがなく、リポジトリに接続されていない2つ目のマシン(ラップトップなど)でFTUを完了すると、2つ目のマシンで生成された鍵は、すでにリポジトリに格納されている鍵とは一致しなくなります。この不一致によって、2つ目のマシンではリポジトリとの同期がとれなくなります。

この問題を回避し、ユーザーが引き続きオフラインで作業できるようにするには、次のようにします。

次のようにして、カスタムMSIパッケージで、リポジトリに接続されていないときはエージェントが実行されないように構成します。

場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」

設定するには:チェック・ボックスを選択して、ドロップダウン・リストから「No」を選択します。
デプロイメント後、「リポジトリに接続されていないときのエージェント実行の許可」に示すとおり、この制限を排除する管理オーバーライドをプッシュします。(オーバーライドは、最初に同期化に成功した後有効になります。)

2.17.1.1.3 エンド・ユーザーのプライマリ・オーセンティケータの選択

次の場合に、プライマリ・オーセンティケータを選択して構成することをお薦めします。

初回使用(FTU)ウィザードを無効にする場合、「初回使用ウィザードの非表示」に従って行います。
選択したプライマリ・オーセンティケータを介してのみユーザーを認証する場合。

特定のオーセンティケータの構成については、グローバル・エージェント設定の「認証」の項を参照してください。

注意:

この設定が空白のままで、FTUウィザードが無効な場合、最初にインストールされたログオン方法(アルファベットの降順)がデフォルトで自動的に選択されます。インストールされているオーセンティケータのリストを表示するには、設定を一時的に有効にして、そのドロップダウン・リストを確認します。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Setup Wizard」

Selected Primary Authenticator for Users

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望のログオン方法を選択します。

2.17.1.1.4 初回使用ウィザードの非表示

Logon Managerを初めて起動すると、FTUウィザードが表示され、ユーザーに次のことが求められます。

バックアップから資格証明と設定をリストアする(バックアップが存在する場合)。
プライマリ・ログオン方法を選択する。
選択したプライマリ・ログオン方法を使用してLogon Managerに対する認証を行う。
デフォルトのアプリケーションの資格証明を提供する

ベスト・プラクティスとしては、Logon Managerの設定をエンド・ユーザーが手動で行わなくて済むようにします。かわりに、FTUウィザードを無効にし、前の項に示したとおりプライマリ・オーセンティケータを選択して、必要なアプリケーションを事前にプロビジョニングします。そのとき、Logon Managerの初回起動時にユーザーが指定する必要があるのは、Windowsのパスワードのみです。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Setup Wizard」

無効にするには: チェック・ボックスを選択し、ドロップダウン・リストから「No」を選択します。

2.17.1.1.5 再認証タイマーの無効化

予期しない再認証プロンプトでユーザーの操作が中断されないように、再認証タイマーを無効にします。(タイマーが期限切れになった後発生する次のセキュアな操作でプロンプトが表示されます。)

注意:

これは非アクティブ・タイマーではなく、この機能は、オペレーティング・システムに含まれるセキュアなスクリーンセーバーで最も効果を発揮します。

場所: 「Global Agent Settings」 > 「Live」 > 「Security」

無効にするには: チェック・ボックスを選択し、フィールドに4,294,967,295を入力します(この値によって、タイマーが無効になります)。

2.17.1.1.6 デフォルトの暗号化アルゴリズムの使用

Logon Managerが、サポートされているすべてのオペレーティング・システムとの互換性を維持するためにアプリケーションの資格証明の暗号化に使用するデフォルトの暗号化アルゴリズム(AES MS CAPI)は変更しないでください。Logon Managerによってサポートされているすべてのアルゴリズムが、すべてのオペレーティング・システムで機能するわけではありません。(特定のアルゴリズムによってサポートされるオペレーティング・システムは、ドロップダウン・リストのアルゴリズム名の隣に表示されます。)

注意:

エンタープライズ全体でFIPSコンプライアンスを保持するためにMS CAPIアルゴリズムを使用することをお薦めします。

場所: 「Global Agent Settings」 > 「Live」 > 「Security」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望の暗号化方法を選択します。

この設定は、前述のとおりデフォルト値のままにすることをお薦めします。

2.17.1.2 推奨される管理オーバーライド

この項では、ベスト・プラクティスとして推奨される管理オーバーライドを示します。次に示すようにオーバーライドを構成し、中央リポジトリにプッシュします。オーバーライドは、次に同期化を行うときにエンド・ユーザーのマシンに適用されます。

2.17.1.2.1 資格証明のサイレント取得の構成

Logon Managerでは、サポートされているアプリケーションにユーザーが初めてログインしたときに、対話形式のウィザードを表示するのではなく、自動的に(サイレントに)資格証明を取得する機能が提供されます。ユーザー・エクスペリエンスを簡単にするために、この機能の利用をお薦めしますが、Logon Managerがユーザーの資格証明を取得していることがユーザーにわかるように構成します。完全にサイレントな取得(ユーザーには通知されない)では、信頼性の問題になる可能性があり(ほとんどのユーザーは、自分の資格証明が取得されるかどうかを選択することを希望します)、その結果、ヘルプデスクへの問合せが増加する可能性があります。

ほとんどのアプリケーションでは、資格証明の取得モード・オプションを「Capture and inform the user with balloon tip」に設定します。
資格証明のサイレント取得をサポートしていないアプリケーション(Logon ManagerでSendKeysレスポンス・メソッドを使用する必要があるアプリケーションなど)では、資格証明の取得モード・オプションを「Do not capture silently」に設定します。

場所: 「Global Agent Settings」 > 「Live」 > 「Use Experience」 > 「Application Response」 > 「Initial Credential Capture」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望の値を選択します。

2.17.1.2.2 起動時のLogon Managerエージェントでの同期化の待機

ユーザーが常に最新の資格証明、アプリケーション・テンプレート、パスワード・ポリシーおよび管理オーバーライドを持つようにするには、起動時に同期を待つようにエージェントを構成します。このオプションが有効な場合、初期化の際にエージェントはディレクトリがオンラインかどうかを確認し、次のいずれかを実行します。

ディレクトリがオンラインの場合は、ディレクトリと正常に同期するまで、エージェントはアプリケーションのログオン・リクエストに応答しません。
ディレクトリがオフラインの場合は、エージェントは同期を試行せずにすぐに起動します。

場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」

ご使用の環境で他の要件がないかぎり、前述のデフォルト値を使用します。

2.17.1.2.3 最適化された同期の使用

最適化された同期は、Logon Managerエージェントに、前回の同期の後で変更された資格証明のみを同期するように指示します。現在の環境に応じて、次のいずれかを実行します。

このオプションを有効にすると、1ユーザーに6つ以上の資格証明があるデプロイメントで同期化のパフォーマンスが改善されます。
このオプションを無効にすると、1ユーザーの資格証明が5つ未満で、1ユーザー当たりのダウンロードしたテンプレートが多数のデプロイメントで同期化のパフォーマンスが改善されます。

場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」

ご使用の環境で他の要件がないかぎり、前述のデフォルト値を使用します。

2.17.1.2.4 リポジトリに接続されていないときのエージェント実行の許可

このオーバーライドは、「切断操作の制限」で説明したとおり、初期構成でのエージェントにおける制限事項を排除するために必要です。このオーバーライドが適用されると、ユーザーは企業ネットワーク上にいなくてもシングル・サインオン機能を利用できるようになります。

場所: 「Global Agent Settings」 > 「Live」 > 「Synchronization」

許可するには: チェック・ボックスを選択し、ドロップダウン・リストから「Yes」を選択します。

注意:

このオーバーライドは、「切断操作の制限」に示した制限事項とあわせて適用する必要があります。

2.17.1.2.5 Webアプリケーションに最適なURL一致精度の設定

URL一致精度によって、アプリケーションのURLをテンプレートで定義されたURLと照合するときに、URLのどのレベルまでが考慮されるかを決定します。URL一致精度の設定が低すぎると、Logon Managerは、あるイントラネット・アプリケーションを別のものと間違えて、間違った資格証明で応答する可能性があります。URL一致精度の設定が高すぎると、一意のホスト名を持つ配布済インフラストラクチャを介して提供された1つのアプリケーションが、可変ホスト名が原因で別々のアプリケーションとして誤って認識される可能性があります。

ご使用の環境に最適なURL一致精度判断する場合は、次のガイドラインに従ってください。

通常は、URL一致精度を5(最大値)に設定します。これによって、ログオンをリクエストしているアプリケーションのURLがテンプレートに格納されたURLと厳密に一致する場合のみLogon Managerが応答することが保証されます。自動認識機能には、限定された機能が搭載される予定です。
Logon ManagerのWebアプリケーション用自動認識機能のメリットを最大限に利用するには、URL一致精度をデフォルト値の2のままにします。ただし、イントラネット・アプリケーションへのレスポンスは低下する可能性があります。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Application Response」 > 「Web Applications」

設定するには: チェック・ボックスを選択し、フィールドに希望の値を入力します。

2.17.1.2.6 事前定義済アプリケーションへのユーザーの制限

Logon Managerでは、テンプレートがリポジトリに存在しないアプリケーションの資格証明をユーザーが格納しないようにできます。柔軟性を保持したままユーザー・エクスペリエンスを簡単にするには、アプリケーションのタイプに応じて、次のことを実行します。

Windowsアプリケーション。ユーザーがLogon Managerを使用し始める前に、必要なアプリケーションを判断してプロビジョニングします。テンプレートがすでにリポジトリに存在するアプリケーションの資格証明のみ格納するようにLogon Managerに指示します。ユーザーには、プロビジョニングされていないWindowsアプリケーションの資格証明を格納することを求めるプロンプトは表示されないため、エンタープライズ・アプリケーションのシングル・サインオン・プロセスを完全に制御し続けます。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Application Response」 > 「Initial Credential Capture」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「Predefined applications only」を選択します。
Webアプリケーション。シングル・サインオンの最大値を指定するには、ユーザーがWebアプリケーション用に任意の資格証明を格納することを許可する必要があります(このオプションのデフォルト値「Unlimited」を使用)。ただし、資格証明が正常に格納されるまで、ユーザーには、プロビジョニング解除されたWebアプリケーションにアクセスするたびにその資格証明を格納するように求めるプロンプトが表示されます。そのため、このオプションは、「Unlimited」ではなく「Predefined applications only」に設定することをお薦めします。つまり、決定事項は、組織のニーズによって異なります。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Application Response」 > 「Initial Credential Capture」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから「Unlimited」を選択します。

注意:
前述の個々のオプションは、「All applications」オプションより優先されます。

2.17.1.2.7 会社のパスワード変更ポリシーの作成および設定

デフォルトでのLogon Managerは、組織のセキュリティ要件を満たす新しいポリシーと置き換える必要のある、不十分なパスワード変更ポリシーが付属しています。組込みポリシーでないことを示すために、ポリシー名には組織の名前を含めます。このポリシーは、このオプションを設定する前に作成する必要があります(パスワード変更ポリシーの作成手順については、「パスワード・ポリシーの追加」を参照してください)。

場所: 「Global Agent Settings」 > 「Live」 > 「User Experience」 > 「Password Change」

設定するには: チェック・ボックスを選択し、ドロップダウン・リストから希望のポリシーを選択します。

注意:

デフォルトのパスワード変更ポリシーとして設定されたポリシーは、エンタープライズ全体で有効です。

2.17.1.2.8 マスクされたフィールドの表示時の強制再認証

格納済のアプリケーション・パスワードへの不正アクセスを防止するには、エージェント内でマスクされたフィールドの表示機能が呼び出されたときに認証を行うことをユーザーに求めるようにLogon Managerを構成します。このポリシーを管理オーバーライドとして構成することで、不正な管理者がローカル・マシンのレジストリに手動で設定を追加したり、初期デプロイメント時に設定が未構成のままになっている場合にローカル・ユーザーのパスワードに不正アクセスすることも防止できます。

場所: 「Global Agent Settings」 > 「Security」

設定するには: チェック・ボックスを選択して、ドロップダウン・リストから「Yes」を選択します。

2.17.1.2.9 監査ロギング方法の選択

インストールのトラブルシューティングを効率的に行うために、監査ロギングを構成して使用します。選択する監査メソッドは組織のニーズによって異なります(使用可能な方法は次のとおりです)。

ほとんどの組織では、SyslogおよびWindows Event Logging Serverを選択します。
データベースもサポートされています(データベースへの有効なODBC接続文字列が必要です)。
カスタム・イベント・ロギング・システムを実装する場合、Logon Managerでは外部アプリケーションで直接解析できるRAWログ・データを公開するXMLファイル・オプションが提供されます。(RAWログ・データがセルフクリーニングされることはなく、外部的にクリーン・アップしないかぎり、無制限に大きくなることに注意してください。)

使用可能な監査メソッドの詳細は、「Audit Logging Settings設定」を参照してください。

2.17.1.2.10 記録するイベント・タイプの選択

Reporting Server以外の監査ロギング方法を使用する場合は、記録するイベントのタイプを選択する必要があります。トラブルシューティング時に最大の効果を発揮するように、すべてのイベント・タイプを記録することをお薦めします。

注意:

希望のイベント・タイプに加えて、「Event Types: Info」という項目を選択する必要があります。この項目はすべてのイベント・タイプの親であり、データ取得に必要となります。

場所: 「Global Agent Settings」 > 「Audit Logging」 > 選択した監査ロギング方法>

設定するには: チェック・ボックスを選択し、表示されたダイアログで希望のイベント・タイプを選択します。終了したら、「OK」をクリックしてダイアログを終了します。

2.17.2 一連のグローバル・エージェント設定の使用

グローバル・エージェント設定には、デフォルト値、スイッチの他、デスクトップでのLogon Managerの動作を変更するその他の構成情報が含まれます。右側のペインのリストの項目をダブルクリックして個々の設定を表示または変更します。「Add Notes」をクリックして、設定セットに関するメモを入力します。

グローバル・エージェント設定セットを表示するには、次の手順を実行します。

次のいずれかを行います。
- 左側のペインの「Global Agent Settings」をクリックした後、右側のペインで設定セットをダブルクリックします。
  
  または
- 左側のペインで、「Global Agent Settings」アイコンの横のプラス記号(+)をクリックして(または「Global Agent Settings」をダブルクリックして)、設定セットを表示します。

次のいずれかを行います。

「Global Agent Settings」アイコンを選択します。右側のペインに、個々の設定のリストが表示されます。

または
「Global Agent Settings」アイコンを右クリックして、次のオプションが含まれるショートカット・メニューを表示します。

コントロール	機能
Export	選択した設定セットをレジストリ・ファイルまたは管理オーバーライド・オブジェクトに保存します。
Write to Live HKLM	ローカル・マシン・レジストリ(HKLM)に現在のエージェント構成をエクスポートします。
Test	Logon Managerの構成テスト・マネージャを起動します(これによって接続のテストと、必要に応じて設定の調整が行われます)。
Manage Synchronizers	シンクロナイザを追加、削除および再優先順位付けします。
Delete	選択した設定セットを削除します。
Make copy	選択した設定セットを複製します。
Rename	選択した設定セットの名前を変更します。
Publish	「Publish to Repository」ダイアログ・ボックスを開きます(グローバル・エージェント設定と公開するその他のオブジェクト選択できます)。
Publish To	選択したグローバル・エージェント設定セットの公開先を選択できます。

2.17.2.1 グローバル・エージェント設定の作成およびインポート

「Global Agent Settings」には、エージェント構成情報が含まれており、保存済のグローバル・エージェント設定セットへのアクセスが提供されます。グローバル・エージェント設定セットを作成またはインポートするには、次の手順を実行します。

左側のペインの「Global Agent Settings」をクリックし、右側のペインにグローバル・エージェント設定セットのリストを表示します。

左側のペインの「Global Agent Settings」を右クリックし、次のオプションが含まれるショートカット・メニューを表示します。

コントロール	機能
New Settings	新しいグローバル・エージェント設定セットを作成します。「Settings」ダイアログが表示されます。
Import	外部ソースからグローバル・エージェント設定セットをインポートします。
	From File	管理オーバーライド・オブジェクト(`INI`)ファイルまたは登録エントリ(`REG`)ファイルから設定セットをインポートします。ファイルにナビゲートし、「Open」をクリックします。
	From Live HKLM	ローカル・マシン・レジストリ(`HKLM`)から現在のエージェント構成をLiveという名前の設定セットとしてインポートします。
Publish	「Publish to Repository」ダイアログ・ボックスを開きます(グローバル・エージェント設定と公開するその他のオブジェクト選択できます)。

注意:

インポートした設定が現在の構成の既存セットと同じ名前である場合は、インポートしたセットに既存の設定「のコピー」という名前が付与されます。

このバージョンの管理コンソールを外国語のオペレーティング・システム(英語以外のオペレーティング・システム)にインストールする場合は、「New Settings」オプションを使用しないでください。かわりに、「Import」オプションを使用してください。「New Settings」オプションを使用すると、同期拡張のパスが無効な場所を指し、同期が失敗します。

2.17.2.2 グローバル・エージェント設定セットの追加

このダイアログは、新しいグローバル・エージェント設定セットを追加して名前を付ける場合に使用します。

「Set of Settings Name」に値を入力し、「OK」をクリックします。

このダイアログを表示するには、次の手順を実行します。

「Global Agent Settings」を右クリックし、ショートカット・メニューから「New Settings」を選択します。

または
「Insert」メニューから「Global Agent Settings」を選択します。

2.17.2.3 グローバル・エージェント設定セットのエクスポート

グローバル・エージェント設定セットを表示するには、次の手順を実行します。

(オプション)必要に応じて、.REGファイルに対して「Unicode format」を選択します。このメニューのオプションについては、「エクスポート形式」を参照してください。
オプションをクリックします。
「File Save」ダイアログで、各ファイルのフォルダを検索してフォルダを開き、ファイルに名前を付与して「Save」をクリックします。

このダイアログを表示するには、次の手順を実行します。

左側のペインの「Global Agent Settings」アイコンを右クリックし、ショートカット・メニューから「Export」を選択します。

2.17.2.4 エクスポート形式

このダイアログは、選択した設定セットの出力形式を選択する場合に使用します。

コントロール	機能
Administrative Override Object	設定を、管理オーバーライド・オブジェクト(`INI`)ファイルとしてエクスポートします。
HKLM Registry	設定を、レジストリ・エントリ(`REG`)ファイルとしてエクスポートします。
Both	両方のファイル・タイプをエクスポートします。
Unicode encoding (`.REG`format only)	`.REG`ファイルをUnicode形式でエクスポートします。

注意:

reg.exe COPY HKLM\Software\PasslogixHKLM\Software\Wow6432Node\Passlogix /s

2.17.3 グローバル・エージェント設定(詳細)

この項では、各グローバル・エージェント設定の詳細について説明します。設定項目を、管理コンソールに表示される順番に示します。各項目で、設定のレジストリ・パス、説明、および設定オプション(該当する場合)、デフォルト(該当する場合)、設定がオーバーライド可能かどうか、レジストリとデータの型が示されます。

2.17.3.1 ユーザー・エクスペリエンス

「User Experience」設定では、エージェントとエンド・ユーザーおよび他のプログラムとの対話など、エージェントをWindowsアプリケーションとして制御します。

2.17.3.1.1 システム・トレイ・アイコン

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
Display icon in system tray `Shell:ShowTrayIcon`	「Logon Manager」アイコンをシステム・トレイに表示するかどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Use server icon `Shell:TrayIcon UseRemote`	標準にシステム・トレイ・アイコンではなく、別のサーバー・アイコンを使用するかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Tooltip text `Shell:TrayIconName`	システム・トレイ・アイコンにマウスを置いたときに表示されるテキストを指定します。(推奨される用途: 各Citrix Server/Terminal Services/リモート・サーバーへのラベル付け)	最大63文字 (デフォルト: Oracle Enterprise Single Sign-On Logon Manager)	Yes	文字列/Ø
Show system name `Shell:TrayIcon DisplaySysName`	ツールチップ・テキストに、空白+ハイフン+空白で区切ってコンピュータ名を付加するかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Allow shutdown `Shell:Allow Shutdown`	エンド・ユーザーのシステム・トレイ・アイコン・メニューで「Shut Down」オプションが有効かどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Pause behavior `Shell:PauseBehavior`	Logon Managerトレイ・アイコンのコンテキスト・メニューで、「Pause」オプションの動作を指定します。	0: Pause indefinitely (デフォルト) 1: Do not allow pause 2: Self un-pause after pause timeout	Yes	dword/Ø
Pause timeout `Shell:PauseTimeout`	「Pause behavior」に一時停止のタイムアウト後に一時停止を自己解除を設定した場合、一時停止が継続する時間の長さをミリ秒単位で指定します。そうでない場合は、特に影響はありません。	最小値: 0ミリ秒最大値: 1800000ミリ秒デフォルト: 60000ミリ秒	Yes	dword/整数

2.17.3.1.2 タイトル・バー・ボタン

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
Show title bar button `Shell:ShowAccessBtn`	すべてのウィンドウ・タイトル・バーに「Logon Manager」ボタンを表示するかどうかを指定します。このボタンは、シングルクリックでアプリケーションを認識して応答するように構成したり、「Provide Dropdown Menu」設定を変更することによって、システム・トレイ・メニューに類似したメニューを提供できます。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Always show for `Shell:ShowTitleIconAlwaysForModuleN`	タイトル・バー・ボタンが常に表示されるアプリケーションのリストを(notepad.exeなど、実行可能ファイル名で)識別します。この設定は「Show title bar button」設定をオーバーライドします。省略記号(…)ボタンをクリックして、アプリケーション名を入力します。アプリケーション名は改行で区切ります。		Yes	文字列/Ø
Provide dropdown menu `Shell:ShowAccessBtnMenu`	タイトル・バー・ボタンからメニューを表示するかどうかを指定します。オフにすると、タイトル・バー・ボタンはシングルクリック・ボタンとして動作し、アプリケーションを認識し応答します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Tooltip text `Shell:TitleIconName`	タイトル・バー・ボタン上にマウスを置くと表示されるテキストを指定します。	デフォルト: Oracle Enterprise Single Sign-On Logon Manager	Yes	文字列/Ø

2.17.3.2 アプリケーションのレスポンス

「Application Response」設定では、エンド・ユーザーが新しいログオンの資格証明を指定した場合、およびログオンを必要とするアプリケーションが検出された場合のエージェンの動作を制御します。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
Log on to waiting applications upon Agent startup `Shell:LogonOnStartup`	エージェントの起動時に、エージェントが初期化されて使用可能な状態になる前に、すでにログオン・フォームが存在するWindowsアプリケーションまたはJavaアプリケーションに資格証明を送信できます。注意: Webおよびホスト/メインフレーム・アプリケーションのログオンは、この設定の影響を受けません。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
SendKeys event interval `Extensions\ AccessManager: SendkeysEventInterval`	SendKeysキー・イベント間で許可する最小時間を指定します。キーストロークが失われることがある東部言語でこれは特に役立ちます。注意: Logon Managerは、ジャーナル・フックSendKeysを使用した資格証明の送信をサポートしていません。	0: 最適な速度(デフォルト) 60: 東部言語での標準 80: 低速システムに使用 120: 超低速システムに使用	Yes	dword/Ø
Respond to hidden and minimized windows `Shell:StrictWindow Detect`	エージェントが非表示ウィンドウおよび最小化ウィンドウに応答するかどうかを指定します。注意: この設定は、Kiosk Managerの使用時は無効にする必要があります。	0: Yes (デフォルト) 1: No	Yes	dword/Ø
Applications that hooks should ignore `Shell:HookIgnorePathsContain`	フックと互換性がないために、Logon Managerが無視するアプリケーションを指定します。省略記号(…)ボタンをクリックして、実行するパスのリストを項目をセミコロンで区切って入力します。このリストには、フルパスを指定することも、パスの一部を指定することもできます。例: パスにC:\Program Files\Javaが含まれるすべてのフォルダ、およびパスに管理コンソールが含まれるすべてのフォルダからすべてのアプリケーションを除外するには、次のように入力します。 `C:\Program Files\Java;Administrative Console` 注意: この設定は、互換性が原因で機能が失われる可能性のあるアプリケーションに固有です。このようなアプリケーションが検出されるのは本番環境のみです。 Logon Manager機能と互換性のあるアプリケーションではこの設定を使用しないでください。そのようなアプリケーションでは、該当するアプリケーション・タイプの設定ページで除外/無視する設定を使用してください。この設定は、管理オーバーライドとしては使用できません。		Yes	文字列/ 文字列

2.17.3.3 初期資格証明の取得

「Initial Credential Capture」設定は、エージェントで最初にアプリケーションを検出したときの動作を制御します。

2.17.3.3.1 ユーザー・インタフェース

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
Credential capture mode `Shell:CaptureType`	資格証明が必要な新規アプリケーションを検出したときにエージェントがどのように応答するかと、ユーザーの操作レベルを指定します。資格証明のサイレント取得モードは、SendKeysを必要とするアプリケーションとは互換性がありません。このため、ホスト/メインフレーム・アプリケーションに対しても、SendKeysを使用するWebまたはWindowsアプリケーションに対してもこのモードを使用することはできません。ユーザー名とパスワードが不明瞭化されるアプリケーションに対しては、資格証明のサイレント取得を使用しないでください。オンザフライのWebアプリケーションにおける資格証明のサイレント取得では、次のいずれかのタグで「Submit」要素が必要です。 `<input type=submit>` `<button type=submit>` `<input type=image>` 「Submit」要素に基礎となるタグの<img>または<a>がある場合は、Webアプリケーションのテンプレートを作成する必要があります。	0: サイレント取得を行わない。「New Logon」ダイアログを表示します(ユーザーは資格証明を手動で入力します)。 1: 取得はするが、ユーザーに通知しない。エージェントは、ユーザーが入力したとおりに資格証明を取得しますが、その処理に関する情報をユーザーに表示することはありません。 2: 取得を行い、ユーザーにバルーン・ヒントで通知する(デフォルト)ユーザーが入力した資格証明をエージェントが取得し、処理中にシステム・トレイの近くにバルーン・ヒントを表示して、ユーザーに通知します。 3: 取得を行い、「New Logon」ダイアログを表示する。エージェントは、ユーザーが入力したとおりに資格証明を取得し、システム・トレイの近くにバルーン・ヒントを表示して処理中にユーザーに情報を表示します。資格証明の取得後に、エージェントはユーザーの入力があらかじめ設定された状態の「New Logon」ダイアログを表示します。ユーザーは受入れ、変更、取消、無効化のいずれかを実行できます。	Yes	dword/Ø
Enable Auto-Prompt `Shell:UseAutoSense`	新しいアプリケーションが検出された場合に、ログオンを追加することをユーザーに自動的に求めるかどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Enable Auto-Enter `Extensions\ AccessManager: LogonAfterConfig`	アプリケーションの構成後に、そのアプリケーションにログオンするかどうかを指定します(その資格証明を追加します)。注意: エンド・ユーザーは、Logon Managerの「Response」タブで選択を解除することによって、この設定を変更できます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Enable Auto-Recognize `Shell:UseActiveLogin`	アプリケーションに対する資格証明を自動的に提供するかどうかを指定します。注意: アプリケーションの構成固有の設定がグローバル設定をオーバーライドします。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Allow creating multiple accounts during credential capture `Extensions\ AccessManager: ShowAddAdditional Logon`	ユーザーが「New Logon」ダイアログに資格証明の別のセットを追加可能になるチェック・ボックスを、有効にするかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Prohibit canceling the addition of new accounts `Extensions\ AccessManager: EnableCancelButton`	資格証明の入力を遅延するために「Cancel」ボタンをクリックする、または「New Logon」ダイアログを閉じるという選択肢をユーザーに与えるかどうかを指定します。これにより、現在のアプリケーションに対するアクセスが許可され、次回の適切なインスタンスで資格証明を入力するようにユーザーは再度要求されます。	0: Yes 1: No (デフォルト)	Yes	dword/Ø
Prohibit disabling the addition of new accounts `Extensions\ AccessManager\ EnableNeverButton`	「New Logon」ダイアログで「Disable」ボタンが使用可能かどうかを指定します。ユーザーはアプリケーションの資格証明の追加を永久に拒否できます。注意: アプリケーションを無効にすると、そのアプリケーションはエージェント設定の「Exclusions」リストに追加されます。	0: Yes 1: No (デフォルト)	Yes	dword/Ø
Prohibit excluding accounts from credential sharing groups `Extensions\ AccessManager: DisableAllowExclude PWSG`	「New Logon」ダイアログで、資格証明共有グループからアカウントを実行できるようにするチェック・ボックスを無効にするかどうかを指定します。このチェック・ボックスは、「Account Properties」ダイアログで使用可能になります。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.3.3.2 事前定義済アプリケーションへのレスポンスの制限

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
All application types `Extensions\ AccessManager: AllowUnknown`	次のオプションを設定します。エージェントがアプリケーションに自動応答するかどうか管理者が事前定義していないアプリケーションにユーザーがログオンを作成できるかどうか「Predefined applications only」設定によって、両方のオプションが禁止されます。「Unlimited」設定によって、両方のオプションが許可されます。	0: Predefined applications only 1: Unlimited (デフォルト)	Yes	dword/Ø
Windows applications `Extensions\ AccessManager: AllowUnknownApp`	管理者によって事前定義されていないWindowsアプリケーション用の資格証明をユーザーが追加できるかどうかを指定します。	0: Predefined applications only 1: Unlimited (デフォルト)	Yes	dword/Ø
Web applications `Extensions\ AccessManager: AllowUnknownWeb`	次のオプションを設定します。エージェントがWebアプリケーションに自動的に応答するかどうか管理者が事前定義していないアプリケーションにユーザーがログオンを作成できるかどうか「Predefined applications only」設定によって、両方のオプションが禁止されます。「Unlimited」設定によって、両方のオプションが許可されます。「Manually add undefined」設定によって最初のオプションは禁止され、2つ目のオプションは許可されます。	0: Predefined applications only 1: Unlimited (デフォルト) 2: Manually add undefined	Yes	dword/Ø
Allowed Web pages `Extensions\ AccessManager\ BHOAllowedWebPages: WebPageN`	この設定を使用して、エージェントが許可するWebページをリストします。省略記号(…)ボタンをクリックして許可されているWebページを追加し、URLと一致する正規表現を入力します。(この設定にデフォルトはありません。) 注意: この設定は、「Predefined applications only」に「All application types」または「Web applications」を選択した場合にのみ使用します。		Yes	文字列/Ø

2.17.3.4 Webアプリケーションのレスポンス

「Web Applications Response」設定では、Webアプリケーションと連携する場合のエージェントの動作を制御します。

一部のWebアプリケーションには、起動するたびに変わる項目が含まれるため、動的なWebページの再スキャン、変更の検出および適切な応答を行うために、Webテンプレートを構成できます。

2.17.3.4.1 資格証明フィールドの指定

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/ データ型
Show border `Extensions\ AccessManager\ BHO:ShowBorder`	ログオン時にWebフォームの資格証明フィールドの周囲にハイライトした枠線を表示するかどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Border appearance `Extensions\ AccessManager\ BHO:FeedbackColor`	検出されたWebページ・フィールドをハイライト表示するための枠線のデフォルトの色/サイズ/形式。詳細は、「Webログオン資格証明フィールドの枠線の値」を参照してください。	デフォルト: red 6px solid	Yes	文字列/ 文字列

2.17.3.4.2 動作

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
URL matching precision `Extensions\ AccessManager: DNLevelsToMatch`	アプリケーションの検出およびレスポンスに使用されるURLのホスト部分のレベル数。たとえば、URL http://mail.company.co.ukの場合: 2=`.co.uk`に一致 3=`.company.co.uk`に一致 4=`*.mail.company.co.uk`に一致注意: 2未満の値は2として扱われます。	最小値: 2 (デフォルト) 最大値: 5	Yes	dword/整数
Scroll into view `Extensions\ AccessManager\ BHO:ScrollIntoView`	ログオン・フィールドを表示するためのブラウザ・ウィンドウのスクロールを有効または無効にします。ユーザーがWebアプリケーションへの資格証明をまだ格納していない場合、この設定によってスクロールは無効になります。すでに存在するアカウントの資格証明をログオン・フィールドに取り込む場合に、エージェントは常にスクロールします。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
「Activate tab」 `Extensions\ AccessManager\ BHO:ActivateTab`	ログオン・フィールドを識別するタブのアクティブ化を有効または無効にします。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Respond to IE modal dialogs `Extensions\ AccessManager\BHO: RespondToIEModal Dialogs`	モーダル・ダイアログまたはHTMLアプリケーションとして表示されるWebページへのエージェントのレスポンスを有効にします。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.3.4.3 レスポンス制御

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Applications to ignore

Extensions\ AccessManager: BHOIgnoredApps

ログオンの検索時にBrowser Helper Object (BHO)がアタッチされないアプリケーションのカンマ区切りリスト(パスや拡張子なし)を入力します。BHOによって特定のアプリケーションとの競合が発生する場合に使用します。

例: ws_ftp, customapp1

Yes

文字列/Ø

Web pages to ignore

Extensions\ AccessManager\ BHOIgnoredWebPages: WebPageN

この設定は、エージェントが無視するWebページをリストする場合に使用します。BHOによって特定のWebアプリケーションまたはWebサイトとの競合が発生する場合に使用します。省略記号(…)ボタンをクリックして、無視するURLに一致する正規表現を(1行に1つずつ)入力します。

例:

.*http://login\.company\.com/.*

.*http://.*\.company\.com/.*

Yes

文字列/Ø

Allowed dynamic Web pages

Extensions\ AccessManager\ BHOAllowed DynamicWebPages: DynamicWebPageN

この設定は、エージェントによって許可される動的(DHTML) Webページをリストする場合に使用します。デフォルトでは、動的ページの初回表示の後にそのページに対して行われた変更はBHOでは検出されません。

省略記号(…)ボタンをクリックして、URLに一致する正規表現を入力します。

例:

.*http://logon\.company\.com/.*

.*http://.*\.company\.com/.*

Yes

文字列/Ø

2.17.3.5 Windowsアプリケーションのレスポンス

「Windows Applications Response」設定では、Windowsアプリケーションと連携する場合のエージェントの動作を制御します。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Allow fallback from Control IDs to SendKeys `Extensions\ AccessManager:Allow SendKeysFallback`	コントロールIDを使用した資格証明の直接取込みが失敗した場合にSendKeysへのフォールバックを許可します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Supported Window Classes for Applications `Extensions\AccessManager:AppClasses`	エージェントがアプリケーションとして認識するウィンドウ・クラス名のリストを指定します。この設定では、エージェントをこのリストに制限することでパフォーマンスを向上できます。動的ウィンドウ・クラスのサポートを有効化するには、デフォルト設定を削除し、この値をNULLに設定します。	`#32770;Dialog;ThunderRT5 FormDC; ThunderRT6FormDC` (デフォルト)	Yes	文字列/ 文字列
Ignored Window Classes for Applications `Extensions\AccessManager:AppIgnoreClasses`	エージェントがアプリケーションとして認識しないウィンドウ・クラス名のリストを指定します。この設定により、エージェントに特定のウィンドウ・クラスをグローバルに無視させることができます。	デフォルトなし	Yes	文字列/ 文字列

2.17.3.6 Javaアプリケーションのレスポンス

「Java Applications Response」設定では、Javaアプリケーションと連携する場合のエージェントの動作を制御します。

2.17.3.6.1 除外

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Excluded Java versions `Extensions\ AccessManager\ JHO:JhoExclude JavaVersionN`	正規表現としてリストされている、除外するJavaのバージョンを指定します。1行に1つの表現を入力します。		No	文字列/Ø
Excluded Java vendors `Extensions\ AccessManager\ JHO:JhoExclude JavaVendorN`	正規表現としてリストされている、除外するJavaのベンダーを指定します。1行に1つの表現を入力します。この設定は、Logon Managerバージョン11.1.1.5.0から含まれています。		No	文字列/Ø

2.17.3.6.2 レスポンスの遅延

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Time allowed for Java applets to load `Extensions\ AccessManager: MaxAppletLoadTime`	Javaアプレットがブラウザに完全にロードされるまでエージェントが待機する最大時間(秒)を指定します。	(デフォルト: 6)	Yes	dword/整数
Delay after Java runtime startup `Extensions\ AccessManager: JHOAttachDelay`	Javaの起動時にウィンドウ・イベントをリスニングするまでJHOが待機する時間(ミリ秒)を指定します。遅延を追加すると、Javaの実行時の初期化で発生する時間の競合を解決できます。	(デフォルト: 0)	Yes	dword/整数
Delay between retries `Extensions\ AccessManager: JhoRetryTimeout`	フォーム・コントロールへの資格証明取込みの再試行と再試行の間、JHOが待機する時間(ミリ秒)を指定します。	(デフォルト: 500)	Yes	dword/整数

2.17.3.6.3 再試行の動作

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Maximum times to retry credential injection `Extensions\ AccessManager: JhoRetryMaxAttempts`	資格証明の取込みを再試行する回数を指定します。	(デフォルト: 0)	Yes	dword/整数

2.17.3.6.4 応答するJavaイベント

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Hierarchy events `Extensions\ AccessManager: JhoHierarchy EventProcessing`	認識されるJava階層イベントを指定します。次の構文を使用してフラグを設定します。 `HIERARCHY_EVENT_CHANGED = 0x1` これによって、JHOはすべての階層イベントを認識します。	(デフォルト: 0)	Yes	dword/整数
Window events `Extensions\ AccessManager: JhoWindow EventProcessing`	認識されるJavaウィンドウ・イベントを指定します。	次の値の組合せ: `WINDOW_EVENT_OPENED = 0x1` `WINDOW_EVENT_CLOSED = 0x2` `WINDOW_EVENT_ACTIVATED = 0x4` `WINDOW_EVENT_DEACTIVATED = 0x8` `WINDOW_EVENT_CLOSING = 0x10` `WINDOW_EVENT_ICONIFIED = 0x20` `WINDOW_EVENT_DEICONIFIED = 0x40` (デフォルト-255 (すべてのウィンドウ・イベントが認識されます。)) Logon Managerを新規にインストールした場合の推奨設定は3です。	Yes	dword/整数
Component events `Extensions\ AccessManager: JhoComponent EventProcessing`	認識されるJavaコンポーネント・イベントを指定します。	次の値の組合せ: `COMPONENT_EVENT_SHOWN = 0x1` `COMPONENT_EVENT_HIDDEN = 0x2` `COMPONENT_EVENT_ADDED = 0x4` `COMPONENT_EVENT_REMOVED = 0x8` (デフォルト: 15 (すべてのコンポーネント・イベントが認識されます。)) Logon Managerを新規にインストールした場合の推奨設定は0xB (11)です。	Yes	dword/整数
Injection type `Extensions\ AccessManager: JhoInjectType`	JHOがデータをコントロールに送信するために使用する取込みタイプを指定します。	次のいずれかの値です。 `INJECT_TYPE_DEFAULT = 0 (デフォルト)` デフォルトでは、取込みが成功するまで、次に示すメソッドをこの順序で使用して取込みを試行します。 `INJECT_TYPE_METHOD = 1` (コントロールに適切な設定方法が検出された場合) `INJECT_TYPE_ACCESSIBLE = 2` (コントロールでアクセシビリティがサポートされている場合) `INJECT_TYPE_NONACCESSIBLE = 3` `INJECT_TYPE_ROBOT = 4` 注意: コンボ・ボックスおよびリスト・ボックスの場合、JHOは常に`INJECT_TYPE_METHOD`を使用します。	Yes	dword/整数

2.17.3.7 ホスト/メインフレーム・アプリケーションのレスポンス

「Host/Mainframe Response」設定では、ホスト/メインフレーム・アプリケーションと連携する場合のエージェントの動作を制御します。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

16-bit screen capture attempts

Extensions\ AccessManager\ MHO\ConXP: 16BitTimeouts_ToFallback

16ビットのスクリーン・キャプチャを試行する回数を指定します。割り当てられた試行回数後も成功しない場合、エージェントは32ビットの方法に戻ります。

(デフォルト: 5)

Yes

dword/
整数

Credential request delay interval

Extensions\ AccessManager\ MHO:NotNowDelay

メインフレーム・セッションへのログオンを作成するように求める間隔(ミリ秒)を指定します。

パスワードが格納されていない構成済アプリケーションに一致するメインフレーム・セッションにユーザーがログオンすると、エージェントはユーザーに「Would you like Logon Manager to remember your logon information for this application?」というプロンプトを表示します。

ユーザーが「Not Now」を選択した場合は、次回ユーザーがメインフレーム画面で任意のキーを押したときに、エージェントは再度ユーザーに同じ質問を表示します。この遅延設定は、エージェントが再度質問を表示するまで待機する時間です。

(デフォルト: 60000)

Yes

dword/整数

Polling interval

Extensions\ AccessManager\ MHO:CycleInterval

エージェントがホスト・エミュレータにインスタンス間で変更が加えられているかどうかを確認する間隔(ミリ秒)を指定します。値を低くすると、使用するCPU時間が増えます。値を高くすると、画面が表示されてからエージェントが資格証明を提供するまでの時間が長くなります。

(デフォルト: 700)

Yes

dword/整数

2.17.3.8 パスワード変更

「Password Change」設定は、エージェントの動作と、パスワード生成および資格証明保持のポリシーを制御します。

2.17.3.8.1 パスワード変更の動作

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Default password policy `Extensions\ AccessManager: DefaultPolicy`	アプリケーション・テンプレートでポリシーが定義されていない場合にアプリケーション・テンプレートが使用するパスワード生成ポリシーの名前。この設定を定義するには、ドロップダウンでポリシーを選択できるように、定義済/指定済ポリシーが現在コンソールにロードされていることを確認します。注意: ここで、またはテンプレートでポリシーが定義されていない場合、8文字の英字のみのデフォルト・ポリシーが適用されます。このため、適切なポリシーを定義することが重要です。		Yes	文字列/Ø
Allow user to exclude accountsfrom credential sharing groups `Extensions\ AccessManager: AllowExcludePWSG`	エンド・ユーザーが、割り当てられた資格証明共有グループからアプリケーション・ログオンを除外可能になります。このオプションを有効にすると、「New Logon」および「Properties」ダイアログにチェック・ボックスが表示され、ユーザーは資格証明共有グループからのアカウントを省略することを選択できるようになります。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Change passwords automatically `Extensions\AccessManager: QuietGenerator`	パスワード変更プロセスで、ユーザーに与えられる制御のレベルを指定します。	No。(デフォルト) ユーザーが完全に制御し、Logon Managerが自動的にパスワードを変更することはありません。ユーザーがパスワード変更を開始する必要があります。(デフォルト) Yes, with user confirmation。ユーザーによる制御は部分的であり、Logon Managerはパスワード変更を自動的に開始し、ユーザーに対し、自動生成パスワードを受け入れるか、別のパスワードの生成を要求するか、パスワードを手動で入力することを要求します。 Yes, without user confirmation。ユーザーは制御できず、Logon Managerはパスワード変更を自動的に開始し、パスワードを生成し、ユーザーの介入を許可することなくアプリケーションに生成したパスワードを送信します。	Yes	dword/Ø
Manual password change behavior `Extensions\ AccessManager:CPWFlag`	ユーザーがパスワード変更リクエストを受け取った際のパスワード変更ウィザードの動作を指定します。	Prompt。(デフォルト)パスワード変更ウィザードに従うようにユーザーに求めます。 Manual, offer auto。ユーザーに新しいパスワードを選択するように求めますが、パスワード変更ウィザードでパスワードの自動生成の提供も可能です。 Auto, offer manual。新しいパスワードを自動生成しますが、ユーザーは新しいパスワードを選択することもできます。 Manual only。ユーザーに新しいパスワードを選択するように求め、パスワード変更ウィザードによるパスワードの自動生成を許可しません。	Yes	dword/Ø
Pop-up dialog text after submission `Extensions\ AccessManager: CPVerifyMessage`	デフォルトのテキストを変更するには、チェック・ボックスを選択して現在のテキストを選択し、新しいテキストを入力します。デフォルトのテキストに戻すには、チェック・ボックスの選択を解除します。	デフォルト:After closing this message, verify that the application accepted the password.Select OK if it was accepted.If it was rejected, please try again.	Yes	文字列/Ø

2.17.3.8.2 許可される文字セット

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Lowercase characters `Extensions\ AccessManager: LowerAlphaChars`	パスワードに使用できる小文字の英字のリストを指定します。	任意の小文字 (デフォルト: All lowercase characters)	Yes	文字列/Ø
Uppercase characters `Extensions\ AccessManager: UpperAlphaChars`	パスワードに使用できる大文字の英字のリストを指定します。	任意の大文字 (デフォルト: All uppercase characters)	Yes	文字列/Ø
Numeric characters `Extensions\ AccessManager: NumericChars`	パスワードに使用できる数字のリストを指定します。	任意の数字 (デフォルト: All numeric characters)	Yes	文字列/Ø
Special characters `Extensions\ AccessManager: SpecialChars`	パスワードに使用できる、英数字以外(特殊)の文字のリストを指定します。	!@#$^&*()_-+=[]\\|,?(デフォルト)	Yes	文字列/Ø

2.17.3.9 ユーザー・インタフェース

「User Interface」の設定では、ログオン実行時のエージェントの外観、およびLogon Managerおよび「Logon Chooser」ダイアログに表示される情報の外観を制御します。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Language `[Root]:Language`	ユーザー・インタフェースに表示する言語を指定します。注意: その他の値は、ローカライズされたバージョンに応じて使用可能です。表示フォントで、指定した言語の目的の文字がサポートされている必要があります。	English (デフォルト) Chinese (Simplified) Chinese (Traditional) Czech Danish Dutch Finnish French German Greek Hungarian Italian Japanese Korean Norwegian Polish Portuguese (Brazil) Portuguese (Portugal) Romanian Russian Slovak Spanish Swedish Thai Turkish	Yes	文字列/Ø
Allow refresh in My Accounts `Extensions\ AccessManager: AllowRefresh`	「SSO Manager Refresh」ボタンを有効/無効にします。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Columns in "Details" view of My Accounts `Extensions\ AccessManager\ LogonManager:Columns`	省略記号(…)ボタンをクリックして、「Edit Columns」ダイアログを開きます。Logon Managerの列の外観および順序を選択します。	1: Application Name 2: URL/Module 3: Username/ID 4: Password 5: Modified 6: Last Used 7: Description 8: Reference 9: Group 10: Third Field 11: Fourth Field (デフォルト: 1、2、3、4、5、6、7、8、9)	Yes	文字列/Ø
Columns in Logon Chooser `Extensions\ AccessManager\ LogonChooser:Columns`	省略記号(…)ボタンをクリックして、「Edit Columns」ダイアログを開きます。エージェントの「Logon Chooser」ダイアログの列の外観および順序を選択します。	1: Username/ID 2: Application Name 3: Description (デフォルト: 1、2、3)	Yes	文字列/Ø
Logon animation's duration `Shell:AutoLogon AnimationTime`	アニメーション・スピナーを表示する(応答を一時停止する)時間(ミリ秒)を指定します。値を0 (デフォルト)にすると、スピナーは無効になります。	(デフォルト: 0)	Yes	dword/整数

2.17.3.9.1 列の編集

「Edit Columns」ダイアログは、エージェントのLogon Managerおよび「Logon Chooser」ダイアログの列として表示されるログオンの詳細を選択および順序変更する場合に使用します。

詳細列を追加するには、「Available」リストで列を選択し、「>>」をクリックして選択項目を「Selected」リストに移動します。
詳細列を削除するには、「Selected」リストで列を選択し、「<<」をクリックして選択項目を「Available」リストに移動します。
列の順序を変更するには、「Available」リストで列を選択し、「Up」または「Down」をクリックします。

2.17.3.10 設定ウィザード

設定ウィザードの設定では、First Time Useウィザードの動作を制御します(このウィザードは、Logon Managerをはじめて使用するときに起動されます)。詳細は、「初回使用のシナリオ」を参照してください。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Show first-time-use (FTU) wizard

Extensions\ SetUpManager: HideWizard

First Time Useの起動時に設定ウィザードを表示するかどうかを制御します。

注意: 複数のオーセンティケータ(プライマリ・ログオン方法)をインストールした場合は、リストに最初に記載されたオーセンティケータが、自動的にエンド・ユーザーのプライマリ・ログオン方法として選択されます。

バルク追加機能を使用するために、FTUウィザードを有効にしておく必要があります。

0: Yes (デフォルト)

1: No

Yes

dword/Ø

Selected authenticator

AUI:FTUShowOnly

プライマリ・ログオン方法として選択したログオン方法を有効にし、それ以外のインストール済のログオン方法を非表示にします。

注意: プライマリ・ログオン方法の選択メニューを非表示にするには、「Show first-time-use (FTU) wizard」設定を使用します。プライマリ・ログオン方法の選択ページが非表示で、この設定が空白である場合は、リスト内の最初にインストールされたログオン方法が自動的に選択されます。

None (デフォルト: エンド・ユーザーは独自のプライマリ・ログオン方法を選択します)

MSauth: Windows v2

WinAuth: Windows

LDAPauth: LDAP v2

LDAP: LDAP

SCauth: Smart Card

ROSCAuth: Read-Only Smart Card

ProxcardAuth: Proximity Card

SecureIDAuth: RSA SecurID

Entrust: Entrust

MultiAuth: Authentication Manager

UAMAuth: Universal Authentication Manager

Yes

文字列/Ø

Skip selection page if only one authenticator is installed

AUI:HideSingle Selection

1つのオーセンティケータ(プライマリ・ログオン方法)のみをインストールした場合は、設定ウィザードの「Select Primary Logon Method」手順が非表示になります。

0: No (デフォルト)

1: Yes

Yes

dword/Ø

2.17.3.11 認証

認証のグローバル・エージェント設定を使用して、全体的な認証環境と、個々のオーセンティケータの設定を構成します。次の項目を選択して、認証オプションの詳細を参照してください。

Authentication Manager。このペインとサブペインには、認証構成全体に適用される設定が含まれています。
- Enrollment
- Grade
- Order
「Authenticator」ペイン。各ペインには、特定のオーセンティケータに適用できる設定が含まれています。
- Windows v2
- Windows v2 Passphrase
- Windows (非推奨)
- LDAP v2
- LDAP v2 Special Purpose
- LDAP
- LDAP Special Purpose
- Smart Card
- Read-Only Smart Card
- Proximity Card
Secure Data Storage。厳密なオーセンティケータで使用するためのストレージ構成の詳細は、この項を参照してください。
Strong Authentication。カードやトークンなどの、厳密なオーセンティケータの拡張構成については、この項を参照してください。

2.17.3.12 認証マネージャ

「Authentication Manager」設定は、オーセンティケータの数と優先度を制御します。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Allowed number of authenticators `AUI\MultiAuth: MaxPreferred`	ユーザーが選択できる、エージェントが提供するログオン方法の最大数を指定します。ユーザーがこのログオン方式の数を確認してスキップすると、「Choose Logon」ダイアログが表示されます。注意: この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/整数

2.17.3.12.1 登録の設定

「Authentication Manager Enrollment」の設定では、マルチ・オーセンティケータのプライマリ・ログオンで使用できるプライマリ・ログオン方法(オーセンティケータ)を指定します。

プライマリ・ログオン方法として認証マネージャを選択した場合に、このページの設定によって、ユーザーが初回使用ウィザードで特定のログオン方法を設定する必要があるかどうかが決まります。これらの設定は、マルチ・オーセンティケータでのみ使用されます。

プライマリ・ログオン方法ごとに、次のいずれかを選択します。

Disabled。FTUウィザードで、ログオン方法はユーザーに表示されません。
Optional (デフォルト)。Logon Managerで、このログオンを構成するかスキップするかを選択できます。ユーザーがログオン要求を遅延した場合、Logon Managerによって再度要求されることはありません。(デフォルト)
Required。ユーザーはこのログオンを構成する必要があります。このログオンが構成されない場合、ユーザーは登録を完了できなくなります。
Incremental。Logon Managerで、このログオンを構成するかスキップするかを選択できます。ユーザーがログオン要求を遅延した場合、Logon Managerによってアプリケーションが起動するたびに資格証明が要求されます。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Windows v2 `AUI\MSauth:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでWindows v2をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Windows `AUI\WinAuth:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでWindowsをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。注意: Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
LDAP v2 `AUI\LDAPauth: AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでLDAP v2をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
LDAP `AUI\LDAP:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでLDAPをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Smart Card `AUI\SCauth:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでスマート・カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Read-Only Smart Card `AUI\ROSCauth: AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードで読取り専用スマート・カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Proximity Card `AUI\ProxCardAuth: AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードで近接型カードをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
RSA SecurID `AUI\SecureIDAuth: AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでRSA SecurIDをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Entrust `AUI\Entrust:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでEntrustをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
Universal Authentication Manager `AUI\UAMAuth:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Managerをプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
ESSO-UAM: Windows Password `AUI\UAMAuth-{0C29417D-8A20-48B7-8CC4-D948D384E9B2}:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Manager (Windowsパスワード)をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
ESSO-UAM: Fingerprint `AUI\UAMAuth-{16627EE1-FAE3-43B5-B884-D3661649B97D}:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Manager(指紋)をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
ESSO-UAM: Smart Card `AUI\UAMAuth-{A1B34553-8D40-42A9-8ED5-F70E3497E138}:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Manager(スマート・カード)をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
ESSO-UAM: Proximity Card `AUI\UAMAuth-{4A8F93E4-2328-44CA-8DBE-FBFA4E5FD334}:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Manager(近接型カード)をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø
ESSO-UAM: Challenge Questions `AUI\UAMAuth-{393D4B53-EC46-4A38-9E9E-3D6B5141DD34}:AuthState`	プライマリ・ログオン方法として認証マネージャを選択した場合に、ユーザーが初回使用ウィザードでUniversal Authentication Manager(チャレンジ質問)をプライマリ・ログオン方法に設定する必要があるかどうかを指定します。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	0: Disabled 1: Optional(デフォルト) 2: Required 3: Incremental	Yes	dword/Ø

2.17.3.12.2 グレードの設定

「Authentication Manager Grade」の設定では、各プライマリ・ログオン方法の認証グレードを指定します。

認証グレードは数値です。

認証グレードが有効になっており、グレード・レベルが指定されていない場合、認証グレードは自動的にグレード・レベル1に初期設定されます。
高いグレード・レベルが指定されると、リクエストされる認証レベルが強くなります。
グレードのスケールは任意に構成できます。たとえば、予期された通常の使用例では、スケールは1から3になりますが、必要に応じて、1から5、または1からnにすることができます。1より小さいすべてのグレードは、1に変換されます。

認証マネージャをプライマリ・ログオン方法に選択した場合、マルチ・オーセンティケータのプライマリ・ログオンは、使用したオーセンティケータにグレードをマップすることで、認証グレードをサポートします。

ユーザーが低すぎるグレード・レベルで資格証明にアクセスしようとすると、より高いグレードで認証するように求められ、成功した場合のみアクセス権を取得できます。

ロックアウトは、Logon Managerの通常の認証ロックアウト・ポリシーによって発生します。グレード別認証では、SSOのコア認証プロセスを使用するため、これは必然的に発生します。

ログオン方法ごとにグレード値(≥1)を数値で設定します。これらの設定は、マルチ・オーセンティケータでのみ使用されます。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Windows v2 `AUI\MSauth:AuthGrade`	認証グレードを「Windows v2」に割り当てます。グレード値を数値で設定します(>=1)。高いグレード・レベルが指定されると、リクエストされる認証レベルが強くなります。	(デフォルト: 1)	Yes	dword/Ø
Windows `AUI\WinAuth:AuthGrade`	認証グレードを「Windows」に割り当てます。グレード値を数値で設定します(>=1)。注意: Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。	(デフォルト: 1)	Yes	dword/Ø
LDAP v2 `AUI\LDAPauth: AuthGrade`	認証グレードを「LDAP v2」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
LDAP `AUI\LDAP:AuthGrade`	認証グレードを「LDAP」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
Smart Card `AUI\SCauth:AuthGrade`	認証グレードを「Smart Card」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
Read-Only Smart Card `AUI\ROSCauth: AuthGrade`	認証グレードを「Read-Only Smart Card」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
Proximity Card `AUI\ProxCardAuth: AuthGrade`	認証グレードを「Proximity Card」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
RSA SecurID `AUI\SecureIDAuth: AuthGrade`	認証グレードを「RSA SecurID」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
Entrust `AUI\Entrust:AuthGrade`	認証グレードを「Entrust」に割り当てます。グレード値を数値で設定します(>=1)。	(デフォルト: 1)	Yes	dword/Ø
Universal Authentication Manager `AUI\UAMAuth:AuthGrade`	認証グレードを「Universal Authentication Manager」に割り当てます。グレード値を数値で設定します(>=1)。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø
ESSO-UAM: Windows Password `AUI\UAMAuth-{0C29417D-8A20-48B7-8CC4-D948D384E9B2}:AuthGrade`	認証グレードを「Universal Authentication Manager: Windows Password」に割り当てます。グレード値を数値で設定します(>=1)。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø
ESSO-UAM: Fingerprint `AUI\UAMAuth-{16627EE1-FAE3-43B5-B884-D3661649B97D}:AuthGrade`	認証グレードを「Universal Authentication Manager: Fingerprint」に割り当てます。グレード値を数値で設定します(>=1)。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø
ESSO-UAM: Smart Card `AUI\UAMAuth-{A1B34553-8D40-42A9-8ED5-F70E3497E138}:AuthGrade`	認証グレードを「Universal Authentication Manager: Smart Card」に割り当てます。グレード値を数値で設定します(>=1)。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø
ESSO-UAM: Proximity Card `AUI\UAMAuth-{4A8F93E4-2328-44CA-8DBE-FBFA4E5FD334}:AuthGrade`	認証グレードを「Universal Authentication Manager: Proximity Card」に割り当てます。グレード値を数値で設定します(>=1)。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø
ESSO-UAM: Challenge Questions `AUI\UAMAuth-{393D4B53-EC46-4A38-9E9E-3D6B5141DD34}:AuthGrade`	認証グレードを「Universal Authentication Manager: Challenge Questions」に割り当てます。この設定は、マルチ・オーセンティケータのプライマリ・ログオンにのみ使用されます。	(デフォルト: 1)	Yes	dword/Ø

2.17.3.12.3 順序の設定

プライマリ・ログオン方法としてAuthentication Managerを選択した場合、「Authentication Manager Order」の設定では、インストールされているログオン方式が再認証時にエンド・ユーザーに表示される順序を指定します。

プライマリ・ログオン方法ごとに、FTU/ログオン順序でのログオン方法の位置を示す数値を選択または入力します。これらの設定は、マルチ・オーセンティケータでのみ使用されます。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Windows v2 `AUI\MSauth:AuthOrder`	「Windows v2」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows v2」を表示する順序となります。	(デフォルト: 2)	Yes	dword/整数
Windows `AUI\WinAuth:AuthOrder`	「Windows」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。注意: Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。	(デフォルト: 2)	Yes	dword/整数
LDAP v2 `AUI\LDAPauth: AuthOrder`	「LDAP v2」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 3)	Yes	dword/整数
LDAP `AUI\LDAP:AuthOrder`	「LDAP」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 3)	Yes	dword/整数
Smart Card `AUI\SCauth:AuthOrder`	「Smart Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 1)	Yes	dword/整数
Read-Only Smart Card `AUI\ROSCauth: AuthOrder`	「Read-Only Smart Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 1)	Yes	dword/整数
Proximity Card `AUI\ProxCardAuth: AuthOrder`	「Proximity Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 6)	Yes	dword/整数
RSA SecurID `AUI\SecureIDAuth: AuthOrder`	「RSA SecurID」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 6)	Yes	dword/整数
Entrust `AUI\Entrust:AuthOrder`	「Entrust」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Windows」を表示する順序となります。	(デフォルト: 4)	Yes	dword/整数
Universal Authentication Manager `AUI\UAMAuth:AuthOrder`	「Universal Authentication Manager」の並び位置が設定されます。これは、再認証時にエンド・ユーザーに「Universal Authentication Manager」を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 10)	Yes	dword/整数
ESSO-UAM: Windows Password `AUI\UAMAuth-{0C29417D-8A20-48B7-8CC4-D948D384E9B2}:AuthOrder`	「Universal Authentication Manager: Windows Password」の並び位置が設定されます。これは、再認証時にエンド・ユーザーにこの方法を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 11)	Yes	dword/整数
ESSO-UAM: Fingerprint `AUI\UAMAuth-{16627EE1-FAE3-43B5-B884-D3661649B97D}:AuthOrder`	「Universal Authentication Manager: Fingerprint」の並び位置が設定されます。これは、再認証時にエンド・ユーザーにこの方法を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 12)	Yes	dword/整数
ESSO-UAM: Smart Card `AUI\UAMAuth-{A1B34553-8D40-42A9-8ED5-F70E3497E138}:AuthOrder`	「Universal Authentication Manager: Smart Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーにこの方法を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 13)	Yes	dword/整数
ESSO-UAM: Proximity Card `AUI\UAMAuth-{4A8F93E4-2328-44CA-8DBE-FBFA4E5FD334}:AuthOrder`	「Universal Authentication Manager: Proximity Card」の並び位置が設定されます。これは、再認証時にエンド・ユーザーにこの方法を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 14)	Yes	dword/整数
ESSO-UAM: Challenge Questions `AUI\UAMAuth-{393D4B53-EC46-4A38-9E9E-3D6B5141DD34}:AuthOrder`	「Universal Authentication Manager: Challenge Questions」の並び位置が設定されます。これは、再認証時にエンド・ユーザーにこの方法を表示する順序となります。この設定は、マルチ・オーセンティケータのログオンにのみ使用されます。	(デフォルト: 15)	Yes	dword/整数

2.17.3.13 「Windows v2」オーセンティケータの設定

「Windows v2」オーセンティケータ設定は、Windows Authenticatorバージョン2の主要なコントロールです。

注意:

Windows Authenticatorバージョン2はLogon Managerの優先オーセンティケータで、デフォルトでインストールされます。このオーセンティケータの詳細は、第7.2.7項「Windows Authenticator Version 2の構成」を参照してください。

2.17.3.13.1 リカバリ

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Recovery method

AUI\MSauth\ ResetMethods: ResetMethodGUID

ユーザーのパスワードを変更するときに使用するリセット方法を指定します。

4ED42DB8-B8F1-4AE6-B13A-272F74B48FE7: ユーザー・パスフレーズ(デフォルト)

B623C4E7-A383-4194-A719-7B17D074A70F: ユーザーのSIDを使用したパスフレーズ抑制

7B4235FF-5098-435c-9A05-052426D96AA8: セキュア・キーを使用したパスフレーズ抑制

Yes

文字列/Ø

Use Windows Data Protection (DPAPI)

AUI\MSauth:UseDPAPI

ユーザー・パスワードとリカバリ・キーを使用した従来の2キーシステムではなく、DPAPIキーを使用してKiosk Managerの暗号化鍵を保護するには、「Yes」を設定します。

注意: ご使用のActive DirectoryとデスクトップのアーキテクチャがDPAPIに対応し構成できるかどうかを確認するには、MicrosoftとOracleのDPAPIベスト・プラクティスを確認してください。

0: No (デフォルト)

1: Yes

Yes

dword/Ø

2.17.3.13.2 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Window title `AUI\MSauth: WindowTitle`	このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Window subtitle `AUI\MSauth: WindowSubTitle`	このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Custom image for authentication prompt `AUI\MSauth:ImagePath`	ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。注意: イメージ・ファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。		No	文字列/ ファイル名
Reauthentication dialog `AUI\MSauth: AuthOptions`	Logon Managerがエンド・ユーザーに再認証を求めるときに使用する方法を選択します。注意: この設定を「Use GINA」と呼びますが、Windows Vistaおよびより新しいオペレーティング・システムの資格証明プロバイダのメカニズムにも適用されます。	0: Use SSO dialog。(デフォルト) 再認証が必要になるたびに、また最初の登録で、ユーザーに認証ダイアログが表示されます。 1: Use GINA。Windowsデスクトップがロックされ、ユーザーは(GINAまたは資格証明プロバイダがインストールされた)オペレーティング・システムに対して再認証して、Logon Managerのロックを解除する必要があります。	Yes	dword/Ø
Domains `AUI\MSauth:DomainN`	メンバー・ユーザーの認証を許可するドメインを指定します。1つ以上の目的のNetBIOSドメイン名をカンマ区切りで入力します。		No	文字列/Ø
Prefill username/ID on FTU `AUI\MSauth:PrefillUserTextOnFTU`	Logon Managerが「Windows Authenticator v2」認証ダイアログに現在のユーザーのユーザー名/IDを移入するかどうかを選択します。注意: この設定は、FTUでのみ適用できます。	0: No-User must fill these fields manually。 1: Yes -Logon Manager populates these fields automatically (デフォルト)	Yes	dword/Ø

2.17.3.13.3 接続情報

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Use SSL `AUI\MSauth:UseSSL`	SSLで接続するかどうかを指定します。注意: この設定は、Domain Change Passwordのシナリオにのみ適用されます。	0: No (セキュアではありません)(デフォルトのポート番号389) 1: Yes (デフォルトのポート番号636)(デフォルト)	Yes	dword/Ø

2.17.3.13.4 資格証明の共有

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Include in Domain credential sharing group

AUI\MSauth:PWSEnable

オーセンティケータから「Domain」と呼ばれる特別な資格証明共有グループへの資格証明の共有を可能にします。オーセンティケータが新しいパスワードを検出するたびに、そのパスワードは自動的にDomain資格証明共有グループと共有されます。

0: No

1: Yes (デフォルト)

Yes

dword/Ø

Share credentials with other authenticators

AUI\MSauth:ShareCredsToAuths

オーセンティケータの資格証明をリンクすることで二重認証をなくします。複数のオーセンティケータで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。

資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。

注意: 他のオーセンティケータ名を指定するには、HKLM\ Software\ Oracle\AUIの下にあるリストを参照してください。

Yes

文字列/
文字列

Share credentials with synchronizers

AUI\MSauth:ShareCredsToSyncs

この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。

資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,LDAPEXT)。

注意: 他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(HKLM\Software\Passlogix\Extensions\SyncManagerの下)にリストされている名前を参照してください。

Yes

文字列/
文字列

2.17.3.14 「Windows v2」オーセンティケータのパスフレーズの設定

「Windows v2」オーセンティケータ・パスフレーズの設定では、ユーザーのWindows Authenticatorバージョン2のパスフレーズのオプションを構成します。

2.17.3.14.1 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オーバーライド可能	レジストリ・タイプ/データ型
Message `AUI\MSauth\Reset:PassphraseMessage`	この設定は、ユーザーに同意を求める形式のダイアログを表示して、ユーザーがそのダイアログ内のチェック・ボックスを選択しないかぎり続行できないようにする場合に使用します。この設定は、ユーザーが入力するパスフレーズの重要性を示す場合などに使用します。ボックスを選択し必要なメッセージを入力します。注意: このメッセージには、複数行にまたがって最大180文字を含めることができます。文字列`\n`は、復帰改行文字に置き換えられます。この設定を設定しないと、このダイアログはスキップされます。	Yes	文字列/ 文字列
Message dialog title `AUI\MSauth\Reset:PassphraseDialogTitle`	この設定は、ユーザーに同意を求める形式のダイアログ・タイトルをカスタマイズする場合に使用します。ボックスを選択し必要なタイトルを入力します。	Yes	文字列/ 文字列
Checkbox label `AUI\MSauth\Reset:PassphraseChkboxMsg`	この設定は、ユーザーに同意を求める形式のダイアログ・チェック・ボックスをカスタマイズする場合に使用します。ボックスを選択し必要なラベルを入力します。注意: ダイアログを終了するには、このチェック・ボックスを選択する必要があります。このチェック・ボックスを選択するまで、「OK」ボタンは無効になります。	Yes	文字列/ 文字列

2.17.3.14.2 オプション

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Minimum Length `AUI\MSauth\Reset:MinPassphraseLength`	パスフレーズに必要とされる長さのデフォルト。特定の質問に最小限必要な長さを設定した場合は、この設定をオーバーライドします。	8: デフォルト	Yes	dword/整数
User can change passphrase `AUI\MSauth: ShowChange AnswerOption`	ユーザーが確認の質問に対する応答を変更できるようにするかどうかを切り替えます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Reset with old password `AUI\MSauth:ResetWOP`	前のパスワードをパスフレーズ・プロセスで使用できるようにします。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Force password re-enrollment when using old password to reset `AUI\MSauth: RWOPSkipReset`	ユーザーがLogon Managerのパスフレーズ・プロンプトをスキップできるかどうかを指定します。この機能を有効にした場合は、ユーザーが以前のWindowsパスワードを入力すると、以後Logon Managerはユーザーに新しいパスフレーズの入力を求めなくなります。警告: この機能を無効にすると、Logon Managerに対する完全ロックアウトが発生する可能性があります。ロックアウトは、ユーザーがパスフレーズとWindowsパスワードを忘れてしまった場合に発生します。この場合、ユーザーはLogon Managerから完全にロックアウトされます。	0: Yes (デフォルト) 1: No	Yes	dword/Ø

2.17.3.15 「Windows」オーセンティケータの設定

「Windows」オーセンティケータ設定は、Windows Authenticatorの主要なコントロールです。

注意:

Windows Authenticatorはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのオーセンティケータを使用しないでください。

2.17.3.15.1 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Window title `AUI\WinAuth:WindowTitle`	このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Window subtitle `AUI\WinAuth:WindowSubTitle`	このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Custom image for authentication prompt `AUI\WinAuth:ImagePath`	ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。注意: イメージ・ファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。		No	文字列/ ファイル名
Require old password when Windows password changes `AUI\WinAuth:PWEnable`	新しいパスワードに変更する場合に旧パスワードの入力を要求して、セキュリティを強化します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.3.15.2 資格証明の共有

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Share credentials with other authenticators

AUI\WinAuth:ShareCredsToAuths

この設定は、オーセンティケータの資格証明をリンクすることで二重認証をなくします。複数のオーセンティケータで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。

資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。

注意: 他のオーセンティケータ名を指定するには、HKLM\ Software\ Oracle\AUIの下にあるリストを参照してください。

Yes

文字列/
文字列

Share credentials with synchronizers

AUI\WinAuth: ShareCredsToSyncs

この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。

資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,LDAPEXT)。

Yes

文字列/
文字列

2.17.3.16 「LDAP v2」オーセンティケータの設定

「LDAP v2」オーセンティケータ設定は、LDAPバージョン2認証を有効にするための主要なコントロールです。

2.17.3.16.1 リカバリ

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Recovery method

AUI\LDAPauth\ResetMethods:ResetMethodGUID

ユーザーが紛失したパスワードをリカバリする方法を指定します。

注意: LDAP v2の構成についての詳細なディスカッションは、第7章の「Logon Managerのセカンダリ認証APIの理解」を参照してください。

User passphrase(デフォルト)

Passphrase suppression using user's SID

Passphrase suppression using secure key

Passphrase suppression using entryUUID

Yes

文字列/Ø

2.17.3.16.2 接続情報

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Directory type `AUI\LDAPAuth:DirectoryType`	ターゲット・ディレクトリ・サーバー・ソフトウェアのタイプを指定します。サーバー・ソフトウェアがリストされていない場合は、LDAP準拠のディレクトリ・サーバーを選択します。	Unspecified LDAP Directory Microsoft Active Directory Novell eDirectory LDAP-compliant Directory Server Oracle Directory Server Enterprise Edition IBM Tivoli Directory Server Oracle Internet Directory Siemens DirX Directory Server	Yes	dword/Ø
Servers `AUI\LDAPauth\ Servers:ServerN`	`computer[:port]`形式で試行するサーバーを入力します(1行に1台のサーバー)。`computer`には、サーバー名またはIPを指定します。`port`を省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。例: `127.0.0.1` `127.0.0.1:456` `somewhereelse.com:8080` `·anotherplace.com` 注意: この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。		No	文字列/Ø
User paths `AUI\LDAPauth: UserPathN`	ユーザー・アカウントの場所を示す完全修飾されたパスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。見つからない場合は、ディレクトリ・ツリーが検索されます。注意: この拡張が機能するには、「UserPrepend」の値または`UserPath`の1つ以上の値を指定する必要があります。`UserPaths`を使用する場合は、UserLocationを使用しないでください。		Yes	文字列/Ø
Use SSL `AUI\LDAPauth:UseSSL`	SSLで接続するかどうかを指定します。	0: No (セキュアではありません)(デフォルトのポート番号389) 1: Yes (デフォルトのポート番号636)(デフォルト)	Yes	dword/Ø

2.17.3.16.3 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Window title `AUI\LDAPauth: WindowTitle`	このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Show user path `AUI\LDAPAuth: ShowUserPath`	この設定を有効にすると、LDAP v2の認証ダイアログに「User path」コンボ・ボックスが表示されます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Custom image for authentication prompt `AUI\LDAPAuth: ImagePath`	ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。注意: イメージ・ファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。		Yes	文字列/ ファイル名

2.17.3.16.4 資格証明の共有

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Share credentials with other authenticators `AUI\LDAPauth: ShareCredsToAuths`	資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: `WinAuth, MSAuth`)。注意: 他のオーセンティケータ名を指定するには、HKLM\Software\Oracle\AUIの下にあるリストを参照してください。		Yes	文字列/ 文字列
Share credentials with synchronizers `AUI\LDAPauth:ShareCredsToSyncs`	資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: `ADEXT,LDAPEXT`)。注意: 他のシンクロナイザ名を指定するには、`HKLM\Software\Oracle\ Extensions\SyncManager`の下にあるリストを参照してください。		Yes	文字列/ 文字列
Include in LDAP credential sharing group `AUI\LDAPauth: PWSEnable`	使用しているオーセンティケータからグループ・ドメイン内の資格証明の共有を可能にします。(また、`AccessManager:PWSEnable`を有効にする必要があります。)	0: No 1: Yes (デフォルト)	Yes	dword/Ø

2.17.3.17 「LDAP v2」オーセンティケータの特定用途の設定

「LDAP v2」オーセンティケータの特別用途の設定では、標準のLDAP v2認証を有効にする特別用途のオプションを制御します。

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Naming attribute string

AUI\LDAPauth:UserPrepend

ユーザーのDNが次の形式である場合に、UserPathsの前に付加する文字列。

cn=%UserName%,ou=people,dc=computer

次の書式の場合は、必須ではありません。

namingattribute= %UserName%, ou=people, dc=computer

(namingattributeは任意の文字列)

注意: Novell eDirectoryの場合は、この値を通常cnに設定する必要があります。UserPrependを使用する場合は、UserPathNを使用し、UserLocationは使用しないでください。

Yes

文字列/
文字列

BIND timeout

AUI\LDAPauth:Timeout

LDAP BINDコールのタイムアウトの長さ(ミリ秒)を入力します。

(デフォルトはオペレーティング・システムによって異なります)

Yes

dword/
整数

Alternate user ID location

AUI\LDAPauth:UserLocation

ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。

例

ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトが次にあるとします。

ou=people,dc=computer

UserLocationを次のように設定します。

empid=%USER,ou=people,dc=computer

次のようには設定しないでください。

uid=user,ou=people,dc=computer

注意: Novell eDirectoryの場合、UserLocationはuid=%USER,path to the objectである必要があります。

UserLocationを使用する場合は、UserPrependまたはUserPathsを使用しないでください。

Yes

文字列/
文字列

2.17.3.18 「LDAP」オーセンティケータの設定

「LDAP」オーセンティケータ設定は、標準のLDAP認証を有効にするための主要なコントロールです。これらの設定は、エージェントがLDAPをプライマリ・ログオン方法として使用するために使用する必要があります。

2.17.3.18.1 接続情報

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Directory type `AUI\LDAP: DirectoryType`	ディレクトリ・サーバーのタイプを指定します。ディレクトリ・サーバーが示されていない場合は、「Generic LDAP Directory」を選択します。	0: Unspecified LDAP Directory 3: Novell eDirectory 5: Generic LDAP Directory(デフォルト) 8: Oracle Directory Server Enterprise Edition 9: IBM Tivoli Directory Server 10: Oracle Internet Directory 11: Siemens DirX Directory Server	Yes	dword/Ø
Servers `AUI\LDAP\Servers: ServerN`	`computer[:port]`形式で試行するサーバーを入力します(1行に1台のサーバー)。`computer`には、サーバー名またはIPを指定します。`port`を省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。例 `127.0.0.1` `127.0.0.1:456` `somewhereelse.com:8080` `anotherplace.com` 注意: この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。		No	文字列/Ø
User paths `AUI\LDAP:UserPathN`	ユーザー・アカウントの場所を示す完全修飾されたパスを指定します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。アカウントが見つからない場合は、ディレクトリ・ツリーが検索されます。注意: この拡張が機能するには、「UserPrepend」の値または「UserPaths」の1つ以上の値を指定する必要があります。 UserPathsを使用する場合は、UserLocationを使用しないでください。		Yes	文字列/Ø
Use SSL `AUI\LDAP:UseSSL`	SSLで接続するかどうかを指定します。	No。(セキュアではありません)(デフォルトのポート番号389) Yes。(デフォルトのポート番号636) (デフォルト)	Yes	dword/Ø

2.17.3.18.2 Active Directory

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Enable Domain name support `AUI\LDAPauth:UsingAD`	Active Directoryドメイン名サポートを有効にします。エンド・ユーザーは、プライマリ・ログオンでドメイン名(`domainname\username`など)を指定できます。また、管理者はデフォルト・ドメイン名を指定して(後述の「Active Directory: Default Domain name」設定を参照)、エンド・ユーザーがユーザー名のみでログオンできるようにすることができます。ドメインを指定しない場合、Logon Managerはローカル・ワークステーションのドメインを使用します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Default Domain name `AUI\LDAP:ADDomain`	ユーザー名/ID資格証明にドメインを指定していない場合に、プライマリ・ログオンに使用するActive Directoryドメイン名(`domainname\username`など)。この設定は、「Active Directory: Domain name support enabled」を「Use AD domain names」に設定している場合にのみ使用します。ドメイン名サポートが有効で、この設定が空白である(エンド・ユーザーがドメインを指定していない)場合、Logon Managerはローカル・ワークステーションのドメインを使用します。		Yes	文字列/ 文字列

2.17.3.18.3 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Window title `AUI\LDAP:WindowTitle`	このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Password change window title `AUI\LDAPauth: CAP_WindowTitle`	この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Password change window subtitle `AUI\LDAPauth: CAP_WindowSubTitle`	この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Custom image for authentication prompt `AUI\LDAP:ImagePath`	ファイル名を含めて、イメージの完全修飾されたパスを入力するか、省略記号(…)ボタンをクリックし、イメージ・ファイルを参照します。注意: イメージ・ファイルはビットマップ(bmp)フォーマットであることが必要です。このイメージに設定されたディメンションは、幅は300ピクセル、高さは100ピクセルです。これらのディメンションは変更できません。イメージがこれより小さい場合はこの領域の中央に配置され、大きい場合は4辺が同等に切り取られます。		No	文字列/ ファイル名
Show user path `AUI\LDAP:ShowUserPath`	この設定を使用して、LDAPの認証ダイアログの「User Path」コンボ・ボックスの表示/非表示を切り替えます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø

2.17.3.18.4 資格証明の共有

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Share credentials with other authenticators `AUI\LDAP:ShareCredsToAuths`	資格証明を共有するオーセンティケータのカンマ区切りリストを入力します。たとえば、「WinAuth, MSAuth」とします。注意: 他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(`HKLM\Software\Passlogix\AUI`の下)にリストされている名前を参照してください。		Yes	文字列/ 文字列
Share credentials with synchronizers `AUI\LDAP:ShareCredsToSyncs`	資格証明を共有するシンクロナイザのカンマ区切りリストを入力します。たとえば、`ADEXT,LDAPEXT`とします。注意: 他のシンクロナイザ名を指定するには、そのシンクロナイザのレジストリ(`HKLM\Software\Passlogix\Extensions\ SyncManager`の下)にリストされている名前を参照してください。		Yes	文字列/ 文字列

2.17.3.19 「LDAP」オーセンティケータの特定用途の設定

「LDAP」オーセンティケータの特別用途の設定では、標準のLDAP認証を有効にする特別用途のオプションを制御します。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Naming attribute string `AUI\LDAP:UserPrepend`	ユーザーのDNが次の形式である場合に、UserPathsの前に付加する文字列を指定します。 `cn=%UserName%,ou=people,dc=computer` 次の書式の場合は、必須ではありません。 `namingattribute`=`%UserName%, ou=people,dc=computer` (`namingattribute`は任意の文字列) 注意: Novell eDirectoryの場合は、この値を通常`cn`に設定する必要があります。 `UserPrepend`を使用する場合は、`UserPathN`を使用し、`UserLocation`は使用しないでください。		Yes	文字列/ 文字列
BIND timeout `AUI\LDAP:Timeout`	LDAP BINDコールのタイムアウト(ミリ秒)を指定します。	デフォルトはオペレーティング・システムによって異なります。	Yes	dword/ 整数
Alternate user ID location `AUI\LDAP:UserLocation`	ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。例ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトが次にあるとします。 `ou=people,dc=computer` UserLocationを次のように設定します。 `empid=%USER,ou=people,dc=computer` 次のようには設定しないでください。 `uid=user,ou=people,dc=computer` 注意: Novell eDirectoryの場合、UserLocationは`uid=%USER,path to the object`である必要があります。 UserLocationを使用する場合は、UserPrependおよびUserPathsを使用しないでください。		Yes	文字列/ 文字列
Enable directory search for users `AUI\LDAP: LDAPBindSearch`	ユーザー・アカウントのディレクトリ検索を有効または無効にします。指定されたパスにユーザー・アカウントが見つからない場合、オーセンティケータは、その場所から下方向にディレクトリ・ツリーを検索します。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.4 厳密なオーセンティケータの使用

Logon Managerには、LDAPログオンやWindowsログオンなどの標準のログオン方法と、スマート・カード、近接型デバイス、およびRSA SecurIDトークンのような厳密なオーセンティケータの両方が用意されています。Logon Managerを組織で使用すると、厳密なオーセンティケータを自社のアプリケーションすべてに対してシームレスに展開することができます。ユーザーはその時々において多様なオーセンティケータを使用でき、使用されたオーセンティケータに基づいてアプリケーション・アクセスを制御できます。

注意:

サポートされている最新の認証デバイスのリストについては、Oracleの動作保証マトリクスを参照してください。

Logon Managerでは、初期認証、再認証、強制認証などのあらゆる認証イベントに対して、様々な厳密なオーセンティケータがサポートされます。

この項では、Logon Managerで使用するオーセンティケータを厳密なオーセンティケータにできるようにするための固有の設定について説明します。また、Kiosk Managerとの統合に必要な管理コンソールのすべての設定と手順、厳密なオーセンティケータに関する既知の問題や技術的な注意事項についても説明します。

2.17.5 厳密なオーセンティケータの構成設定

この項に示されていない厳密なオーセンティケータを使用している場合、適用する必要がある固有の設定または関連する技術的な注意事項はありません。

厳密なオーセンティケータを選択するか、またはKiosk Managerの統合に関する注意事項を参照してください。これはすべてのオーセンティケータに該当します。

スマート・カード
読取り専用スマート・カード
近接型カード
RSA SecurID
セキュアなデータ記憶域
Kiosk Managerの統合の注意点

2.17.5.1 スマート・カード

スマート・カード設定は、管理コンソールの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、スマート・カードをKiosk Managerに統合するために必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。

2.17.5.1.1 管理コンソールの設定

スマート・カード設定では、スマート・カード認証を対象とした拡張オプションを制御します。これらの設定は必須ではありません。

スマート・カード設定にアクセスするには、「Global Agent Settings」 > 「Live」 > 「Authentication」 > 「Smart Card」の順にクリックします。これらの設定の詳細は、スマート・カード認証に関する項を参照してください。

2.17.5.1.2 スマート・カードの初期化

認証マネージャを使用する前にスマート・カードを初期化し、有効なPINを指定しておく必要があります。認証マネージャがスマート・カードの証明書を使用するように構成されている場合、スマート・カードには有効なPKI証明書を含める必要があります。Kiosk Managerでスマート・カードも使用する場合は、シリアル番号が必要です。

認証マネージャにはスマート・カードの初期化、構成または管理の機能はないため、サードパーティのカード・マネジメント・システム(CMS)またはご使用のスマート・カードと互換性があるミドルウェア管理ユーティリティを使用し、この手順を実行する必要があります。

2.17.5.2 Kiosk Managerとの統合

この項の内容は、Kiosk Managerでスマート・カード・オーセンティケータを使用する場合にも当てはまります。

2.17.5.2.1 Kiosk Managerとスマート・カードの統合での資格証明の同期による格納および受渡しのサポート

Kiosk Managerでスマート・カード・オーセンティケータを使用する場合、ユーザーの同期資格証明は、オーセンティケータによって必要に応じてスマート・カードに格納されます。この方法で格納する場合、ユーザーがスマート・カードをリーダーに挿入して正しいPINを入力することによってKiosk Managerセッションを開始した後、資格証明がLogon Managerへサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身のスマート・カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。

2.17.5.2.2 .NETスマート・カード

.NETカードの技術的な制限により、.NETスマート・カードをKiosk Managerで使用する際、Kiosk Managerがロックされているときにスマート・カードを挿入すると、常に新規セッションが開始されます。既存のセッションのロックを解除するには、「Unlock Existing Session」リンクをクリックします。

2.17.5.2.3 スマート・カードがプライマリ・ログオン方法の場合、Kiosk ManagerセッションとLogon Managerの認証プロンプトを切り分ける

スマート・カードをプライマリ・ログオン方法で使用するKiosk Manager環境では、Kiosk ManagerとLogon Managerのそれぞれに対して認証するように求められます。

これはスマート・カード認証が、スマート・カードを開始するプロセスに対してのみ有効であり、プロセス間で共有できないために発生します。このことは、スマート・カード・ミドルウェアの設計上の特性であり、Oracleソフトウェアの特性ではありません。

Kiosk Managerセッションが開始すると、認証のためにスマート・カード・ミドルウェアへ問合せを行い、スマート・カードおよびPINを介してユーザーに認証が求められます。この認証は、Kiosk Managerプロセスに対してのみ有効であるため、Kiosk Managerセッションが正常に作成されてLogon Managerが起動すると、再び今度はLogon Managerに対する認証が行われます。

この重複するプロンプトが表示されないようにするには、Active Directory/AD LDS (ADAM)シンクロナイザでカードの証明書を使用し、スマート・カードのオーセンティケータとシンクロナイザが証明書を共有するように構成します。次の設定を構成します。

「Global Agent Settings」のスマート・カード・オーセンティケータの設定で、「Share credentials with synchronizers」の設定リストにADEXTまたはADAMSyncExtを追加します。
「Global Agent Settings」のActive Directory/AD LDS (ADAM)シンクロナイザのページの資格証明共有グループで、「Share credentials with authenticators」の設定のリストにSCAuthを追加します。
「Global Agent Settings」のActive Directory/AD LDS (ADAM)シンクロナイザのページの接続情報グループで、使用する資格証明に「Use card's certificate」を選択します。
「Global Agent Settings」の「Kiosk Manager」ページで、「Strong authenticator」オプション・グループの下の「Pre-populate on startup」の設定を無効にします。

2.17.5.2.4 HID Crescendo C200およびC700スマート・カード

Kiosk Managerで、スマート・カードにHID Crescendo C200またはC700を使用する場合、スマート・カード専用のリーダーを使用する必要があります。二重機能のスマート・カードや近接型カード・リーダーの使用は、サポートされていません。Microsoft Updateカタログ(http://test.catalog.update.microsoft.com/v7/site/search.aspx?q=umdf)から、HID Crescendo C200のミニドライバをインストールする必要があります。

2.17.5.2.5 SSOで生成されるキーの使用に関する技術的な注意事項

(Logon Managerの管理コンソールの「Global Agent Settings」 > 「Authentication」 > 「Smart Card」の)「Use default certificate for authentication」に「No」を設定すると、ユーザーは、初回使用時(以降FTU)の登録プロセスでPINの入力を2回求められます。

これは正常であり、SSOキーセットを作成するために必要です。FTU以降の後続の認証では、PINの入力は1回のみ求められます。

2.17.5.3 スマート・カード・ミドルウェア

ここに示す技術的な注意事項は、スマート・カード・ミドルウェアでの既知の問題と考慮事項に関するものです。

2.17.5.3.1 Gemplus Libraries 4.20と認証マネージャの使用

再認証イベントでPINのダイアログが表示されません。Logon Managerに対する認証で、初回の認証は正常にPINダイアログが表示され、正常な認証が許可されます。その後の短時間の再認証イベントではPINダイアログが表示されず、正常に認証されません。

これを回避するには、認証を求めるLogon Managerプロセスを再起動します。

2.17.5.3.2 Netmaker Net iD 4.6とKiosk Managerの使用

Kiosk Managerの新規セッションを開始しても、ユーザーの同期資格証明が読み取られません。セッションを開始するには、PINを入力した後に、手動で同期資格証明を入力する必要があります。

2.17.5.3.3 RSA RAC 2.0 / Smartcard Middleware 2.0とKiosk Managerの使用

RSA Middlewareでは、Kiosk Managerがロックされているときにスマート・カードがリーダーに挿入されると、スマート・カードが存在しない旨がレポートされます。セッションは、手動で起動する必要があります。Kiosk Managerのロックを解除して、スマート・カードを使用してLogon Managerを認証すると、想定どおりに動作します。

2.17.5.3.4 スマート・カードおよび読取り専用スマート・カード・ミドルウェアのデフォルトのライブラリ・パスの場所

次の表は、サポートされるすべてのスマート・カード・ミドルウェアについて、デフォルトのインストール・パスを示しています。これらは、「Read-Only Smart Card」 > 「Advanced」パネル、および「Smart Card」 > 「Advanced」パネルにある「PKCS #11 Library Path」フィールドに入力するパスの例です。

スマート・カードの種類	ライブラリ・パス
Axalto Access Client Software 5.2	`C:\Program Files\Axalto\Access Client\v5\xltCk.dll`
GemSafe Libraries 4.2.0	`C:\Program Files\Gemplus\GemSafe Libraries\BIN\GCLIB.DLL`
HID C700 middleware	`aetpkss1.dll`
NetMaker Net iD 4.6	`iidp11.dll`
RSA Authentication Client 2.0 / Smartcard Middleware 2.0	`C:\Program Files\RSA Security\RSA Authentication Client\Pkcs11.dll`
SafeSign/RaakSign Standard 2.3	`aetpkss1.dll`
Schlumberger Cyberflex Access 4.5	`C:\Program Files\Schlumberger\Smart Cards`および`Terminals\Cyberflex Access Kits\v4\slbCk.dll`
Siemens 3.2.41 (CardOS API v3.2)	`siecap11.dll`

読取り専用スマート・カードの種類	ライブラリ・パス
Fujitsu mPollux DigiSign Client 1.3.2-34(1671)	`C:\Program Files\Fujitsu Services\Fujitsu mPollux DigiSign Client\Cryptoki.dll`
SafeSign Identity Client 2.2.0	`aetpkss1.dll`

注意:

この表に示す完全修飾されたパスのないファイルは、いずれもシステム・ディレクトリに存在するため、指定時にフルパスを必要としません。

2.17.5.4 スマート・カード・オーセンティケータの設定

スマート・カード・オーセンティケータの設定では、スマート・カード認証を対象とした拡張オプションを制御します。また、Kiosk Managerを使用した構成と技術的な注意事項については、厳密なオーセンティケータの項の「スマート・カード」を参照してください。

2.17.5.4.1 オプション

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Smart card library `AUI\SCauth:SmartCardAPI`	スマート・カード上での暗号化操作の実行に、暗号サービス・プロバイダ(CSP)またはPKCS #11ライブラリを使用するかどうかを指定します。注意: SafeSign/RaakSignミドルウェアを使用する場合にのみPKCS # 11を設定します。	0: CSP (デフォルト) 1: PKCS#11	Yes	dword/Ø
Use default certificate for authentication `AUI\SCauth:UseCertOnCard`	カードのデフォルトのログオン証明書(管理者が指定した)を認証に使用するかどうかを指定します。この設定が無効の場合(デフォルト)、カード上のSSOコンテナの公開鍵/秘密鍵を使用(および必要に応じて作成)します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Store synchronization credentials `AUI\SCauth:StoreSyncCreds`	スマート・カードにユーザーの同期リポジトリ資格証明を格納するかどうかを指定します。 Kiosk Managerとともにスマート・カード認証を使用する場合、または読取り専用のスマート・カード・オーセンティケータを使用する場合(あるいはその両方)に、資格証明を格納します。注意: 読取り/書込み操作では認証プロセスの時間が増えるため、スマート・カード上に資格証明を格納しない場合はパフォーマンスが向上します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Store the PIN `AUI\SCauth:AuthOptions`	スマート・カードPINを保存するか(この結果、AgentがPINを要求する場合があります)、スマート・カード・ドライバでPINの要求を処理するかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
PKCS#11 Library Path `AUI\SCAuth:PKCS11Path`	PKCS#11標準を実装するスマート・カード・ミドルウェア・ファイルへのパスを指定します。		Yes	文字列/ 文字列
Custom certificate check extension path `AUI\SCAuth:CCCEPath`	カスタム証明書の検証機能へのパスを指定します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Allow secure PIN entry `AUI\SCAuth:AllowSPE`	セキュアなPINエントリをサポートするスマート・カード・リーダーのキーパットで、ユーザーがPINを入力できるかどうかを指定します。注意: セキュアなPINエントリを、PINリカバリ・グループとともに使用することはできません。	0: Only allow non-SPE login(デフォルト) 1: Only allow SPE login	Yes	dword/Ø
Lock desktop on smart card removal `AUI\SCauth: LockDesktopOnRemoval`	スマート・カード所有者がリーダーからスマート・カードを取り外したときに、デスクトップをロックするかどうかを指定します。デフォルトでは、この値は「No」に設定されています。「Yes」を設定すると、スマート・カードを取り外したときに、ユーザーのワークステーションがロックされます。ユーザーが[Ctrl]+[Alt]-[Delete]キーを使用して使用してデスクトップをロックした場合、認証ステータスは変更されません。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Allow forced verification `AUI\SCauth: AllowForced Verification`	スマート・カードでWindowsを認証した後、Logon Managerで自動的にユーザーを認証するかどうかを指定します。「No」(デフォルト)を設定すると、ユーザーはWindowsログオンとLogon Manager認証の両方にPINを入力する必要があります。「Yes」を設定すると、Logon Managerは自動的にユーザーを認証するため、PINプロンプトが2回表示されることはなくなり、ユーザーはWindowsの認証にのみPINを入力する必要があります。注意: この機能を使用するには、Logon Managerでネットワーク・プロバイダをインストールする必要があります。これは、「Authenticators」の下の「Advanced Setup」パネルでのインストール時に可能です。詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.5.4.2 ユーザー・インタフェース

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Window title `AUI\SCauth: WindowTitle`	このオーセンティケータのウィンドウのタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Window subtitle `AUI\SCauth:WindowSubTitle`	このオーセンティケータのウィンドウのサブタイトル名をカスタマイズするには、この設定を使用します。ボックスを選択し必要な名前を入力します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列

2.17.5.4.3 リカバリ

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Recovery method

AUI\SCauth: ResetEnable

使用するリセット・パスフレーズをだれが指定するかを指定します。

ユーザー(ダイアログでパスフレーズを入力)
カード自身のデフォルト以外の最新の暗号化証明書

または
スマート・カードのPIN

1: Passphrase(デフォルト)

2: Encryption certificate

3: Smart card PIN

Yes

dword/Ø

Recovery certificate object identifier

AUI\SCAuth: ResetCertOID

証明書ベースのパスフレーズ機能を使用するために、証明書のオブジェクト識別子を指定します。オーセンティケータは、スマート・カード上の各証明書のEnhanced Key Attributesで、このオブジェクト識別子を検索します。

注意: 「Recovery method」オプションに暗号化証明書を設定する必要があります。

このエントリは必須ではありません。

Yes

文字列/
文字列

PIN recovery group

AUI\SCauth: PINRecovery DomainGroupName

PINリカバリ・グループのドメイン・セキュリティ・グループ名(domain\groupの形式)を入力します。このグループのメンバーは、Logon Managerに対して、スマート・カードを使用せずPINのみを使用して認証する権限があります。

この設定は、ユーザーがカードを紛失し、交換を待っている場合に役に立ちます。待っている間、ユーザーがLogon Managerに対してカードを使用せずに認証できるように、ユーザーをこのPINリカバリ・グループに追加します。この機能を使用するには、前述の「Recovery method」設定に、スマート・カードのPINを設定する必要があります。

注意: PINリカバリ・グループをセキュアなPINエントリとともに使用することはできません。

Yes

文字列/
文字列

2.17.5.4.4 資格証明の共有

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Share credentials with synchronizers

AUI\SCauth: ShareCredsToSyncs

この設定は、オーセンティケータと1つ以上のシンクロナイザが資格証明を共有する場合に、二重認証が発生しないようにします。

資格証明を共有するシンクロナイザのカンマ区切りリストを入力します(例: ADEXT,ADAMSyncEXT)。

Yes

文字列/
文字列

2.17.5.5 読取り専用スマート・カード

読取り専用スマート・カード設定は、管理コンソールの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、スマート・カードをKiosk Managerに統合するために必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。

2.17.5.5.1 管理コンソールの設定

読取り専用スマート・カード設定では、読取り専用スマート・カード認証を対象とした拡張オプションを制御します。これらの設定は必須ではありません。

スマート・カード設定にアクセスするには、「Global Agent Settings」 > 「Live」 > 「Authentication」 > 「Read Only Smart Card」の順にクリックします。これらの設定の詳細は、「読取り専用スマート・カード」を参照してください。

2.17.5.5.2 読取り専用スマート・カードの初期化

認証マネージャを使用する前に読取り専用スマート・カードを初期化し、有効なPINおよびPKI証明書を指定しておく必要があります。Kiosk Managerでスマート・カードも使用する場合は、シリアル番号が必要です。

2.17.5.6 Kiosk Managerとの統合

読取り専用スマート・カード・オーセンティケータをKiosk Managerと統合する場合に、特別に考慮する事項について説明します。

2.17.5.6.1 Kiosk Managerと読取り専用スマート・カードの統合での資格証明の同期による格納および受渡しのサポート

Kiosk Managerで読取り専用スマート・カード・オーセンティケータを使用する場合、「Store Synchronization Credentials」に「Yes」を設定し、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明が必要に応じてスマート・カードに格納されます。この方法で格納する場合、ユーザーが読取り専用スマート・カードをリーダーに挿入して正しいPINを入力することによってKiosk Managerセッションを開始した後、資格証明がLogon Managerへサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身の読取り専用スマート・カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。

2.17.5.6.2 読取り専用スマート・カードがプライマリ・ログオン方法の場合、Kiosk ManagerセッションとLogon Managerの認証プロンプトを切り分ける

読取り専用スマート・カードをプライマリ・ログオン方法で使用するKiosk Manager環境では、Kiosk ManagerとLogon Managerのそれぞれに対して認証するように求められます。

この動作の回避策は現在ありません。

2.17.5.7 読取り専用スマート・カード・オーセンティケータの設定

読取り専用スマート・カード・オーセンティケータの設定では、読取り専用スマート・カード認証を対象とした拡張オプションを制御します。

2.17.5.7.1 オプション

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Store synchronization credentials `AUI\ROSCauth:StoreSyncCreds`	セキュアなデータ記憶域を使用してユーザーの同期リポジトリ資格証明を格納するかどうかを指定します。注意: この設定を使用するには、セキュアなデータ記憶域を使用可能にして構成しておく必要があります。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
PKCS#11 Library Path `AUI\ROSCAuth: PKCS11Path`	PKCS#11標準を実装するスマート・カード・ミドルウェア・ファイルへのパスを指定します。注意: このエントリは、「Store synchronization credentials」に「Yes」を設定するか、または読取り専用スマート・カードをKiosk Managerで使用する場合を除いて、必要ありません。		Yes	文字列/ 文字列
Custom certificate check extension path `AUI\ROSCauth:CCCEPath`	カスタム証明書の検証機能へのパスを指定します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Allow secure PIN entry `AUI\ROSCauth:AllowSPE`	この設定を使用して、セキュアなPINエントリをサポートするスマート・カード・リーダーのキーパットで、ユーザーがPINを入力できるようにします。	0: Only allow non-SPE login(デフォルト) 1: Only allow SPE login	Yes	dword/Ø

2.17.5.7.2 リカバリ

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Recovery method `AUI\ROSCauth:ResetEnable`	リセット・パスフレーズの使用を有効化します。パスフレーズは、ユーザー(ダイアログでパスフレーズを入力)、またはカード上のデフォルト以外の最新の暗号化証明書によって指定できます。	1: Passphrase(デフォルト) 2: Encryption certificate	Yes	dword/Ø
Recovery certificate object identifier `AUI\ROSCAuth:ResetCertOID`	証明書ベースのパスフレーズ機能に使用される証明書のオブジェクト識別子を指定します。オーセンティケータは、スマート・カード上の各証明書のEnhanced Key Attributesで、このオブジェクト識別子を検索します。注意: 「Recovery method」オプションに暗号化証明書を設定する必要があります。このエントリは必須ではありません。		Yes	文字列/ 文字列

2.17.5.8 近接型カード

近接型カード設定は、管理コンソールの「Global Agent Settings」にある「Authentication」セクションで設定できます。また、Active DirectoryまたはAD LDS (ADAM)を使用する場合に必要な手順およびこのオーセンティケータの使用に関するその他の技術的な注意事項についても説明します。

2.17.5.8.1 管理コンソールの設定

近接型カード設定にアクセスするには、「Global Agent Settings」 > 「Live」 > 「Authentication」 > 「Proximity Card」の順にクリックします。

2.17.5.9 Kiosk Managerとの統合

近接型カード・オーセンティケータをKiosk Managerと統合する場合に、特別に考慮する事項について説明します。

2.17.5.9.1 Kiosk Managerと接近型カードの統合での資格証明の同期による格納および受渡しのサポート

Kiosk Managerと接近型カードの統合での資格証明の同期による格納および受渡しのサポート

近接型カード・オーセンティケータの2番目の要素に「User Defined PIN」が設定されていると、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明がオーセンティケータによって必要に応じて格納されます。この方法で格納する場合、ユーザーが近接型カードにタッチして正しいPINを入力し、Kiosk Managerセッションを開始した後、Logon Managerに資格証明がサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身の近接型カードとPINを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。

2.17.5.9.2 ゲスト・ユーザー・アカウントの不十分な権限

ゲスト・ユーザー・アカウントには、Logon Managerの初回使用ウィザードの正常な完了に必要な操作を実行するための十分な権限がありません。ゲスト・アカウントをkioskアカウントとして使用しないことをお薦めします。

2.17.5.10 Active Directoryの技術的な注意事項

Active Directory管理者は、Active DirectoryコントローラのCN=Usersコンテナで次の手順を実行し、Creator Ownerユーザーに、読取り/書込みアクセス権を付与する必要があります。

手順が実行されていない場合、ユーザーは自身の近接型カード番号を変更するために十分な権限を持ちません。その結果、ユーザーがカード情報を更新するためにパスフレーズ・シナリオを入力すると(紛失したカードの例)、「Proximity card assigning failed.」というエラーが表示されます。

ADコントローラで、「Active Directory ユーザーとコンピュータ」のコンソールを開きます。
「ユーザー」ADオブジェクト(CN=Users)を右クリックします。
ポップアップ・メニューの「プロパティ」をクリックします。
「セキュリティ」タブをクリックします。
「追加」ボタンをクリックします。
「選択するオブジェクト名を入力してください」の下で、「CREATOR OWNER」と入力します。
「名前の確認」ボタンをクリックし、エントリを解決します。
「OK」をクリックします。
「グループ名またはユーザー名:」の下の「CREATOR OWNER」を選択します。
「詳細設定」ボタンをクリックします。
「ユーザーのセキュリティの詳細設定」ウィンドウが表示されます。「親からの継承可能なアクセス許可をこのオブジェクトと…」チェックボックスが選択(TRUEに設定)されていることを確認します。
CREATOR OWNERユーザーをダブルクリックします。
「適用先:」ドロップダウンに「子オブジェクトのみ」を設定します。
「許可」の下の「すべてのプロパティの読み取り」および「すべてのプロパティの書き込み」のチェックボックスを選択します(TRUEに設定します)。
すべての変更を適用します。

近接型カード・オーセンティケータをActive Directoryで使用するには、ユーザー・オブジェクトの下の資格証明の格納を有効にする必要があります。

管理コンソールを開きます。
リポジトリに接続します。
「Repository」メニューから、「Enable Storing Credentials under User Objects」(Active Directoryのみ)を選択します。

2.17.5.11 AD LDS (ADAM)の技術的な注意事項

AD LDS (ADAM)管理者は、AD LDS (ADAM)サーバーのOU=Peopleコンテナで次の手順を実行し、ユーザーに、読取り/書込みアクセス権を付与する必要があります。

AD LDS (ADAM)サーバーで、AD LDS (ADAM)ツールコマンドプロンプトを開きます。
次のコマンドを実行し、ユーザーにPeopleコンテナおよびそのサブオブジェクトに対する読取り権限を付与します。

dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G <user/group/role DN>:GR
次のコマンドを実行し、ユーザーにPeopleコンテナとそのサブオブジェクトに対する子の作成権限と自身に書き込み権限を付与します。

dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G <user/group/role DN>:CCWS

2.17.5.12 OmniKey近接型カード・リーダーの技術的な注意事項

OmniKeyファミリの近接型カード・リーダーを使用する場合、ドライバはWindows Updateでインストールすることをお薦めします。

2.17.5.13 近接型カード・オーセンティケータの設定

近接型カード・オーセンティケータの設定は、近接型カード認証の構成に使用します。また、Kiosk Managerを使用した構成と技術的な注意事項については、厳密なオーセンティケータの項の「近接型カード」を参照してください。

2.17.5.13.1 オプション

表示名/レジストリ・パス説明テキストオプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Card family

AUI\ProxCardAuth:ProximityCardFamily

近接型カードのファミリ・タイプを指定します。

0: HID ISO / DUO PROX (デフォルト)

1: iClass

2: Indala / EM

Yes

dword/Ø

Reader type

AUI\ProxCardAuth:ReaderName

使用する近接型カード・リーダーの名前を指定します。

OMNIKEY CardMan 5x25-CL 0-Omnikey CardMan 5125 (デフォルト)

OMNIKEY CardMan 5x21-CL 0-Omnikey CardMan 5121

OMNIKEY CardMan 5x21-CL 0-Omnikey CardMan 5321

No entry-RFIdeas (すべてのリーダー)

Yes

文字列/Ø

Second factor authentication

AUI\ProxCardAuth:AuthenticationMethod

認証の2番目の要素として、Active Directoryパスワードまたはユーザー定義PINのどちらを使用するかを指定します。

0: ADパスワード(デフォルト)

1: ユーザー定義PIN

Yes

dword/Ø

2.17.5.13.2 PIN設定

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Minimum Length `AUI\ProxCardAuth:MinPINLength`	ユーザー定義PINの最小長を指定します。	デフォルトは4です。	Yes	dword/ 整数
Maximum length `AUI\ProxCardAuth:MaxPINLength`	ユーザー定義PINの最大長を指定します。	デフォルトは8です。	Yes	dword/ 整数
Maximum retries `AUI\ProxCardAuth:RetryPINCount`	認証が失敗するまでのPINの試行回数を指定します。	デフォルトは3です。	Yes	dword/ 整数
Alphanumeric constraints `AUI\ProxCardAuth: Alphabetic Requirements`	ユーザー定義PINの英数字要件を指定します。	1: 数字のみ 2: 文字のみ 3: 数字および文字(デフォルト)	Yes	dword/Ø

2.17.5.14 RSA SecurID

この項では、RSA SecurIDをKiosk Managerに統合するために必要な手順およびこのオーセンティケータのインストールと使用に関するその他の技術的な注意事項について説明します。

2.17.5.14.1 RSA SecurID方式のインストール

RSA SecurID認証方式をインストールする前に、RSAミドルウェアをインストールして構成する必要があります。RSA SecurIDオーセンティケータには、2つのミドルウェア・オプションがあります。

RSA Local Authentication Client (LAC)。RSA LACを使用する場合、認証マネージャ・インストーラでRSA SecurIDログオン方法をインストールする必要があります。
RSA Local Authentication Toolkit (LAT)。RSA LATを使用する場合、認証マネージャで、RSA SecurIDログオン方式とLocal Authentication Toolkit(インストールされていない場合)をインストールする必要があります。RSA LATをインストールすると、サービスを開始するためにマシンを再起動するよう求められます。

RSA LATをインストールした後、LATのRSAドキュメントに従って次の2つの手順を実行する必要があります。

RSA認証マネージャの管理者からserver.cerファイルを入手し、メインのインストール・ディレクトリのサブディレクトリに配置する必要があります。例: C:\Program Files\RSA Security\RSA Authentication Agent\Agenthost Autoreg Utilityディレクトリ
認証マネージャの管理者からsdconf.recファイルを入手し、system32ディレクトリに配置する必要があります。

注意:

これらの注意事項は、RSA SecurID Local Authentication Toolkitのドキュメントおよび『RSA Authentication Agent 6.1 for Microsoft Windows Installation and Administration Guide』にも記載されています。

RSA SecurIDをインストールした後に、管理コンソールに必要な固有の設定はありません。

2.17.5.15 SoftID ヘルパーの構成

SoftID HelperはSecurIDアプリケーションへのSSOサポートを追加する拡張ヘルパーです。この項では、SoftIDヘルパーをインストールおよび構成し、RSA SecurIDアプリケーションのテンプレートを使用可能にする方法について説明します。

2.17.5.15.1 前提条件

Logon Managerでは、SoftIDアプリケーションに対する次のソフトウェア・トークンとハードウェア・トークンの組合せをサポートしています。

RSA SecurIDソフトウェア・トークン
RSA Authentication ClientおよびRSA SecurID SID800 Hardware Authenticator
ソフトウェア・トークンとハードウェア・トークンの両方。両方がマシンにインストールされている場合、認証マネージャは最初にハードウェア・トークンを検索し、見つからなかった場合にソフトウェア・トークンをデフォルトにします。

SoftID Helperをインストールして使用する前に、前述の組合せのいずれかをインストールする必要があります。

2.17.5.15.2 Logon Managerのインストール

Logon Managerは認証マネージャとインストールし、認証マネージャはSoftID Helperとインストールします。詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。

2.17.5.15.3 RSA SecurIDアプリケーション・テンプレートの構成

ここでは、Login Testerというアプリケーション向けにRSA SecurIDアプリケーションを新規に設定する例をみてみましょう。

管理コンソールを開きます。
定義するテンプレートの元になるアプリケーションを起動します。
「Applications」を右クリックし、「New Windows Application」を選択します。「Add Application」ダイアログが表示されます。
アプリケーションの「Name」を入力し、「RSA SecurID」チェック・ボックスを選択します。「Finish」をクリックします。「Form Wizard」が表示されます。
「SecurID Login」ボタンを選択します。「Next」をクリックします。テンプレートを定義しているアプリケーションが動作中の場合、ウィンドウ・タイトルが次のウィザード・パネルに表示されます。
アプリケーションのウィンドウ・タイトルを選択します。「Next」をクリックします。
このダイアログで、「SecurID Username」、「Passcode」、「OK」ボタンのフィールドおよび他の該当するフィールドのを構成します。クラスを右クリックし、、フィールドを選択します。資格証明のフィールドの構成の詳細は、「Help」ボタンをクリックします。完了したら、「Next」をクリックします。「Summary」パネルが表示されます。
サマリーを確認します。完了したら「Finish」をクリックします。
Windowsのログイン・フォームが表示されます。他の該当する設定を変更し、「OK」をクリックします。
テンプレートをエージェントにエクスポートします。アプリケーションのエクスポートの詳細は、「リポジトリへの公開」を参照してください。
エージェントが起動したら、ユーザーはFTUウィザードに従って手順を実行します。プライマリ・ログオン方法に、認証マネージャを選択する必要があります。
テンプレートを定義したアプリケーションが起動したら、アプリケーションに資格証明を追加する必要があるかどうかを尋ねられます。ユーザーが「Yes」を選択すると、このアプリケーションの「New Logon」にユーザーの資格証明を入力するように求められます。
ユーザーは「User ID」、「PIN」を入力し、「Software Token」を選択する必要があります。ユーザーのPINが、認証マネージャで使用する前にRSAミドルウェアを介して設定されます。認証マネージャは、使用可能なトークンのシリアル番号を検出すると自動的に「Software Token」フィールドを移入します。
完了したら「Finish」をクリックします。エージェントは、アプリケーションが起動されるたびにRSA SecurIDアプリケーション上のユーザーを記録します。

2.17.5.16 初回使用時のシナリオ

設定フェーズで、ユーザーは通常のLogon Managerの初回使用(FTU)ウィザードを「Select Primary Logon Method」ダイアログが表示されるまで進めます。

この設定ウィザードの動作は、管理コンソールで構成します。

設定フローの例

「Setup Wizard」の最初のダイアログに、Logon Managerのローカル・インストールに必要な設定タスクがリストされます。設定を開始するには、「Next」をクリックします。
ダイアログに、Logon Managerのローカル・インストールに必要な設定タスクがリストされるので、プライマリ・ログオン方法を選択し、その方法の資格証明を指定します。「Next」をクリックします。
「Primary Logon」ダイアログで、ログオン方法の選択を求められます。目的のプライマリ・ログオン方法を選択します。ドロップダウン・ボックスには、現在インストールされている方法のみが表示されます。「Next」をクリックします。
選択したプライマリ・ログオン方法を登録します。たとえば、スマート・カード・オーセンティケータがインストールされている場合は、次のダイアログが表示されます。必要なオーセンティケータに対して「Cancel」をクリックすると、「Setup Wizard」が取り消されます。
スマート・カードを挿入します。PINを入力するように求められます。入力して「OK」をクリックします。登録の成功を示すメッセージが表示されます。「OK」をクリックします。
パスフレーズ・オプションが使用可能な場合、最低8文字の応答を使用したパスフレーズの入力を要求される場合があります。応答を入力し、確認(再入力)して、「OK」をクリックします。
「Setup Wizard」に、プロセスが完了し、Logon Managerが使用可能であることが示されます。「Finish」をクリックして完了します。

2.17.5.17 Kiosk Managerとの統合

RSA SecurIDオーセンティケータをKiosk Managerとともに使用する場合、セキュアなデータ記憶域を管理コンソールで使用可能にし、構成する必要があります。

RSA SecurID オーセンティケータは同期ダイアログの事前移入で、リポジトリ・パスワードではなくユーザーのPINを使用します。セキュアなデータ記憶域は、PINを安全に保存するために使用され、サーバーでリポジトリの同期資格証明に関連付けされます。設定方法については、「セキュアなデータ記憶域」の項を参照してください。

2.17.5.17.1 Kiosk ManagerとRSA SecurIDの統合での資格証明の同期による格納および受渡しのサポート

Kiosk ManagerでRSA SecurIDオーセンティケータを使用する場合、セキュアなデータ記憶域の機能を構成することによって、ユーザーの同期資格証明が必要に応じてオーセンティケータに格納されます。この方法で格納する場合、ユーザーがRSA SecurIDトークンでKiosk Managerセッションを開始した後、Logon Managerに資格証明がサイレントに渡されます。この機能は、Kiosk Managerセッションの開始時に、そのセッションを開始したユーザーが自身のPINとトークンコードを認証した後に、続けてLogon Managerから同期ユーザー名とパスワードの入力を求められるという、認証の重複が発生しないようにします。

2.17.5.18 Microsoft Visual C++の技術的な注意事項

RSA SecurIDオーセンティケータには、Microsoft Visual C++ 2005再配布可能パッケージ(x86)が必要です。これはMicrosoftのWebサイト(http://www.microsoft.com/Downloads/details.aspx?FamilyID=32bc1bee-a3f9-4c13-9c99-220b62a191ee&displaylang=en)からダウンロード可能です。

2.17.5.19 PINモードのサポートに関する技術的な注意事項

RSA Local Authentication ToolkitとVisual Studio 2005間の非互換性により、RSA SecurIDオーセンティケータは、SID700およびSID800の新しいPINモードをサポートしません。サポート・ケースはRSA(# C0842539)で開かれています。

2.17.5.20 セキュアなデータ記憶域

セキュアなデータ記憶域の設定では、データ記憶域の場所を制御します。セキュアなデータ記憶域は次の用途に使用されます。

Kiosk Manager環境でのRSA SecurIDオーセンティケータ
Kiosk Manager環境で2番目の要素の認証に「User Defined PIN」が設定されている場合の近接型カード・オーセンティケータ
Kiosk Manager環境での読取り専用スマート・カード・オーセンティケータ

注意:

セキュアなデータ記憶域は、Active Directory、AD LDS (ADAM)およびOracle Internet Directoryでサポートされています。

セキュアなデータ記憶域を使用するときは、ドメイン・ユーザー・アカウントを使用してWindowsにログオンする必要があります。

セキュアなデータ記憶域設定にアクセスするには、「Global Agent Settings」 > 「Live」 > 「Authentication」 > 「Secure Data Storage」の順にクリックします。これらの設定の詳細は、「セキュアなデータ記憶域」の項を参照してください。

2.17.5.21 セキュアなデータ記憶域の有効化

リポジトリにかかわらず、セキュアなデータ記憶域を有効化するには、次の手順を実行します。

「Secure Data Storage」ペインで、「Enable Data Storage」に「Yes」を設定します。
データの格納先として使用する新規組織単位を作成します。
このオブジェクトの完全修飾された識別名を「Data storage location」設定の値に指定します。
次の対応するリポジトリのための手順に進みます。
権限の付与:
- Active Directoryの場合
  1. この組織単位への「フルコントロール」権限を「すべてのユーザー」に付与します。
  2. これを「このオブジェクトとすべての子オブジェクト」に適用します。
- AD LDS (ADAM)の場合
  
  この組織単位とサブオブジェクトへの一般アクセス(GA)権限を「すべてのユーザー」に付与します。:dsacls.exe \\<hostname>:<port>\<adam container dn> /I:T /G "Everyone":GA
- Oracle Internet Directoryの場合
  1. セキュアなデータ記憶域のコンテナに対する匿名ユーザーアクセス権を付与します。
  2. Directory Services Managerに管理者としてログオンします。
  3. 「Data Browser」タブを選択します。
  4. ツリーで、作成した「Secure Data Storage」コンテナにナビゲートして選択します。
  5. 「Subtree Access」タブを選択します。
  6. 「Structural Access Control」と「Content Access Control」の下に、新規アクセス・エントリを作成します。デフォルトの権限を受け入れ、「OK」をクリックします。
  7. 変更を適用します。デフォルトの権限では、すべてのユーザーにバインド・モード「なし」が適切なアクセス権として付与されます。

2.17.5.22 セキュアなデータ記憶域のオーセンティケータの設定

次の設定は、セキュアなデータ記憶域を構成する場合に使用します。

表示名/レジストリ・パス	説明テキスト	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Enable data storage `DataStorage:Passlogix SecureDataStorage`	ユーザー同期資格証明をリポジトリにセキュアに格納するかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Data storage location `SecureDataStorage:LocationDN`	データが格納されるリポジトリの場所への完全修飾されたパスを入力します。		Yes	文字列/ 文字列

2.17.5.23 Kiosk Managerの統合の注意点

セキュアなデータ記憶域をKiosk Managerと統合する場合に、特別に考慮する事項について説明します。

2.17.5.23.1 ドメイン・パスワードの変更

この問題は、近接型デバイス、スマート・カードおよび読取り専用スマート・カードでのみ発生します。

ユーザーのドメイン・パスワードが変更された場合、古いパスワードの有効期間内に次回ユーザーがそのデバイスを使用してキオスク上でセッションを開始しようとすると、ユーザーの同期リポジトリによっては、次の問題が発生します。

Active Directory: 「Unable to connect to network…」というエラー・メッセージが表示されます。
AD LDS (ADAM): Kiosk Managerの応答が停止し、再起動を求められます。

この問題には2つの回避策があります。

ユーザーは、パスワードの存続期間内に、ユーザー名と新しいパスワードで認証してKiosk Managerセッションを手動で開始します。
管理者は、この問題の発生を少なくするため、古いパスワードの存続期間を変更します。詳細は、Microsoftのヘルプおよびサポートを参照してください。http://support.microsoft.com/kb/906305

2.17.5.23.2 ハードウェアの再割当て

スマート・カードのようなハードウェア・デバイスが別のユーザーに再割当てされると、Kiosk Managerを元のユーザーとしてログオンする場合があります。これは、Kiosk Managerがデバイスとユーザー名のマッピングを保持しているために発生します。

この問題の回避策はありません。この問題を回避するため、これらのデバイスは再割当てしないでください。

2.17.6 Provisioning Gatewayサーバーの場所

このタブを使用して、Provisioning Gatewayサーバーの場所を指定します。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

PG Server locations

Extensions\ProvManager:PMLocationN

省略記号(…)ボタンをクリックし、Provisioning GatewayサーバーのURLを入力します。次に例を示します。

http://localhost/v-GO PM Service

この設定にデフォルトはありません。

Yes

文字列/Ø

Request timeout

Extensions\ProvManager:Timeout

Provisioning Gatewayサーバーからの応答を待機する長さ(ミリ秒単位)を指定します

この設定は必須ではありません。

60000 (デフォルト)

Yes

dword/整数

2.17.6.1 「Delegated Credentials」の設定

これらの設定は、資格証明の委任にサーバーおよび暗号化を指定するために使用します。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

PM Locations

Extensions\ProvManager\Plugins\Delegate\PMLocations:PMLocationN

省略記号(…)ボタンをクリックして、サービスをプロビジョニングするパスまたはパスのリストを入力します。1行に1つずつパスを入力します。次に例を示します。

http://localhost/v-GO PM Service

Yes

文字列

Encryption algorithm

Extensions\ EventManager:Retry

ドロップダウン・メニューからデフォルトの暗号化アルゴリズムを選択します。

注意: バージョン11.1.2では、AES 256を除くすべてのアルゴリズムが非推奨になり、アップグレード用としてのみリストに表示されています。新しい構成には、他のアルゴリズムを選択しないでください。

この設定は必須ではありません。

AES 256 (デフォルト)

Triple DES(非推奨)

Yes

dword

2.17.6.2 「Privileged Accounts」の設定

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Allow password reveal `EExtensions\OpamManager:RevealPasswordMode`	チェックアウト済アカウントのマスクされたフィールドの表示をユーザーに許可するかどうかを指定します。	0-表示を許可しない(デフォルト) 1-アプリケーション・テンプレートの設定を使用。	Yes	dword/Ø
Validate account status before each use `Extensions\OpamManager:MustBeOnline`	アカウント・ステータス・チェックを実行するタイミングを指定します。「Before every use」に設定すると、ユーザーがチェックアウト済アカウントを使用しようとするときにチェックが行われます(ログオンまたはパスワードの表示)。OPAMクライアントは、チェックを実行し、Provisioning Gatewayサーバーに到達可能であることと、そのアカウントがチェックイン済でないことを確認するようになります。	0-同期中のみ(デフォルト) 1-使用前に毎回	Yes	dword/Ø

2.17.7 「Synchronization」の設定

「Synchronization」設定は、すべてのシンクロナイザ拡張を対象とした資格証明同期に関する一般的なオプションです。これらの設定は、次の機能を制御する場合に使用します。

パフォーマンス
ユーザー可動性
セキュリティおよび管理

2.17.7.1 「Manage Synchronizers」ダイアログ

「Synchronizers」ダイアログに、使用可能なシンクロナイザの現在のセットと、エージェントがシンクロナイザを検索する順序が表示されます。

検索順を変更するには、次の手順を実行します。

シンクロナイザを選択し、上向きまたは下向きのボタンをクリックして移動します。

シンクロナイザを追加するには、次の手順を実行します。

「Add」をクリックします。「Add Synchronizer」ダイアログが表示されます。

このダイアログを表示するには、次の手順を実行します。

グローバル・エージェント設定のセットを選択します。
次のいずれかを行います。
「Synchronization」を右クリックし、ショートカット・メニューから「Manage Synchronizers」を選択します。

または

「Insert」メニューから、「Sync Extension」を選択します。

2.17.7.2 「Add Synchronizer」ダイアログ

「Add Synchronizer」ダイアログを使用して、シンクロナイザをエージェントの検索リストに含めます。

新しいシンクロナイザの名前を入力します。
リストから同期タイプを選択します。
「OK」をクリックしてシンクロナイザを追加し、「Manage Synchronizers」ダイアログに戻ります。

このダイアログを表示するには、次の手順を実行します。

グローバル・エージェント設定のセットを選択します。
次のいずれかを行います。
「Synchronization」を右クリックし、ショートカット・メニューから「Manage Synchronizers」を選択します。

または

「Insert」メニューから、「Synchronizer」を選択します。
「Add」をクリックします。「Add Synchronizer」ダイアログが表示されます。

2.17.7.3 「Edit List」ダイアログでのシンクロナイザの設定

次の表に示されている様々なシンクロナイザ設定については、省略記号(...)ボタンをクリックすると、「Edit List」ダイアログが表示されます。このダイアログでは、ウィンドウ・タイトル・バーで説明されるアイテム(たとえば、サーバー)を入力します。

1行に1つのアイテムを入力します。各行の末尾で[Enter]を押します。他のデリミタ文字を使用しないでください。
終了後、「OK」をクリックします。

このダイアログは、次のグローバル・エージェント設定で使用します。

シンクロナイザ	設定
LDAPシンクロナイザ	`UserPaths`
LDAPシンクロナイザ・サーバー	`Servers`
LDAPオーセンティケータ・サーバー	`Servers`
Active Directoryシンクロナイザ	`UserPaths`
Active Directoryシンクロナイザ・サーバー	`Servers`
データベース・シンクロナイザ・サーバー	`Servers`
Oracle Access Managerエンドポイント・エントリ	`URL`
シェル・タスク	`Deletion Tasks` `PreTasks` `RefreshTasks` `StartupTasks`

2.17.7.4 General Synchronization Options

この画面では、シンクロナイザ以外に固有の設定を構成します。

2.17.7.4.1 オプション

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Synchronizer order `Extensions\ SyncManager: SyncOrder`	使用する同期拡張の順序を指定します。値を指定しないと、すべての拡張が(予測不可能な順序で)使用されます。読取りの場合、最初の使用可能なシンクロナイザが認証されると、その他のシンクロナイザへの問合せは実行されません。書込みの場合、この設定に指定した順序ですべてのシンクロナイザが更新されます。例: LDAPExt, ADExt, FileSync Remote, AD, FileSync Local, SmartCard, MySmartCard, ADExt, ADExtRemote		Yes	文字列/ シンクロナイザ
Use configuration objects `Extensions\ SyncManager: RetrieveCO`	この設定が無効化されている場合、すべてのテンプレートおよびポリシーが、2つのオブジェクト(CN=vgoentlistとCN=vgoadminoverride)のうちの1つに統合されます。この設定が有効化されている場合は、すべてのテンプレートおよびポリシーがディレクトリベースのシンクロナイザに適した独立オブジェクトです。このモードでは、さらにrole/groupセキュリティおよびディレクトリ階層のサポート機能が利用可能になります。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Allow disconnected operation `Extensions\ SyncManager: AllowDisconnected`	エージェントがシンクロナイザ・リポジトリに接続できない場合に、オフライン・キャッシュが使用可能になるか、First-Time-Useウィザードが実行されるかを指定します。この設定が無効のとき、リポジトリが使用可能でない場合は、エージェントが停止されます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Delete local cache `Shell: CleanupOnShutdown`	エージェントを停止したときに、ユーザーのデータ・ファイルおよびレジストリ・キーを削除するかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Deleted credential cleanup `Shell:nDelDays`	資格証明が削除された後に、資格証明の「削除」フラグが保持される時間(日)。複数のシステムにあるすべてのユーザーローカル・キャッシュから資格証明が削除されたことを確認するために使用されます。	(デフォルト: 30)	Yes	dword/ 整数
Location of entlist.ini file `Extensions\ AccessManager: EntList`	`entlist.ini`ファイルの完全修飾されたパスおよびファイル名を入力します。スタンドアロン(シンクロナイザを使用しない)・モードにのみ該当します。この設定は、シンクロナイザがインストールされていない場合に、管理コンソールのテンプレートをワークステーションにローカルにデプロイするためにのみ使用します。シンクロナイザがインストールされ、アプリケーション・テンプレートがActive Directoryなどのリポジトリを介してデプロイされている場合、この設定は使用しないでください。詳細は、「テンプレートの作成および使用」を参照してください。		Yes	文字列/ ファイル名

2.17.7.4.2 動作

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Wait for synchronization at startup `Extensions\ SyncManager: WaitForStartupSync`	起動時に同期を待機するかどうかを指定します。待機した場合、ユーザーのデータが必ず最新の状態になり、Logon Managerがアプリケーションにログオンする前に、新しいテンプレートとポリシーが有効になります。注意: この設定を有効にすると、同期が完了するまでLogon Managerは応答しません。同期の回数は、ご使用の同期インフラストラクチャと、リポジトリ内のテンプレートおよびポリシーの数によって異なります。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Interval for automatic resynchronization `Extensions\ SyncManager: CycleInterval`	自動再同期の間隔(分)。この同期間隔は、手動によるユーザー生成の同期イベント(Logon Managerのリフレッシュなど)が発生しても、再設定されません。 0(ゼロ)の値は、この設定を無効にし、Logon Managerの起動やユーザー資格証明の更新のような通常の同期イベントの間のみ同期化が行われることを意味します。通常はProvisioning Gatewayが使用中の場合に設定し、更新がタイムリーな方法で配信されるようにします。	(デフォルト: 0)	Yes	dword/ 整数
Optimize synchronization `Extensions\ SyncManager: OptimizedSync`	この設定を有効化すると、同期化機能では、すべての資格証明を検索するのではなく、SyncStateというチェックサム・オブジェクトを使用して変更された資格証明を判断します。すべての資格証明が同期化されるのではなく、変更された資格証明が個別に同期化されます。テンプレートおよびポリシーは、常に同期イベントのたびにすべて同期化されます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Use aggressive synchronization `Extensions\ SyncManager: AggressiveSync`	この設定を有効化すると、Logon Managerがログオン・イベントを検出するたびに、ターゲット・アプリケーションの資格証明が復号化され、アプリケーションに渡される前に同期化が発生します。この機能によって、常に最新の資格証明および設定が使用されるようになります。この機能は通常は、ユーザーが同じアプリケーションに同時にアクセスするために、複数のシステムを使用している(Citrixファームを介するなど)特殊なケースでのみ使用されます。注意: この機能は、クライアントおよびサーバーの両方のコンピュータで、パフォーマンスに大きな影響を与えます。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Resynchronize when network or connection status changes `Shell:MonitorNetwork`	ネットワーク接続ステータスの変更のモニタリングを有効/無効にします。この設定を有効にすると、エージェントはステータス変更が発生したとき(ネットワークへの再接続など)に再同期を実行します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.7.5 「Active Directory Synchronization」の設定

これらの設定を使用してMicrosoft Active Directory (AD)の同期化を構成します。

注意:

2.17.7.5.1 シンクロナイザの場所

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
AD Sync DLL location `Extensions\ SyncManager\ Syncs\%AD%:Path`	Active Directoryシンクロナイザ拡張のパス\ファイル名を入力します。	デフォルト: `%INSTALLDIR% Plugin\SyncMgr\ ADEXT\adsync.dll`	No	文字列/ ファイル名

2.17.7.5.2 データ記憶域の構成

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Base location(s) for configuration objects `Extensions\ SyncManager\ Syncs\%AD%\ COBaseLocations: LocationN`	構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。 `OU=SSOConfig,DC=Domain,DC=com` 指定された場所から検索が開始され、構成オブジェクトのすべての下位`OU`(ある場合)が検索されます。複数の場所を指定するには、各行に1エントリ指定します。		No	文字列/ Ø
Location for storing user credentials `Extensions\ SyncManager\ Syncs\%AD%: LocateInUser`	資格証明は、Active Directoryユーザー・オブジェクトの下位オブジェクトとして格納するか、またはOracleロケータ・オブジェクトとして指定することができます。	0: ロケータ・オブジェクトとして指定(デフォルト) 1: 各ディレクトリのユーザー・オブジェクトの下	Yes	dword/Ø
Prepend Domain when naming objects `Extensions\ SyncManager\ Syncs\%AD%: AppendDomain`	ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。例: ドメインcompanyおよびユーザーjameskの場合、コンテナは、このフラグを無効にするとjameskと名付けられ、このフラグを有効にするとcompany.jameskと名付けられます。注意: この設定を有効にする場合、「User Object」(「Directory」メニュー)の下で資格証明の格納を有効にしないでください。ユーザー・オブジェクトへの資格証明の格納を有効にする場合は、このオプションを無効にする必要があります(デフォルト)。両方のオプションを有効にすると、同期が行われなくなります。	0: No (デフォルト) 1: Yes	Yes	dword/Ø
Base location(s) for UAM storage index `Extensions\ SyncManager\Syncs\%AD\ IndexBaseLocations: LocationN`	Universal Authentication Managerのインデックス・コンテナの完全修飾された識別名です。		No	文字列/Ø
Use secure location for storing user settings `Extensions\ SyncManager\Syncs\%AD%:UseSecureLocation ForUserRegistry`	Active Directoryにユーザーのレジストリ設定を格納するときに、シンクロナイザを使用してセキュアな場所を使用する場合は、「Yes」を設定します。 Logon Managerクライアントのアップグレード期間に、Logon Manager 11.1.2より前のバージョンとの後方互換性を保つためにのみ「No」を設定します。注意: すべてのLogon Managerクライアントをバージョン11.1.2にアップグレードするまで、この設定は「Yes」にしないでください。この設定では、次の条件を満たす場合にのみ「Yes」を選択してください。バージョン11.1.2がLogon Managerはじめてのインストールの場合。すべてのLogon Managerクライアントをバージョン11.1.2にアップグレードした後、かつバージョン11.1.2より後にアップグレードする前。	0: No (デフォルト) 1: Yes (推奨)	Yes	dword/Ø

2.17.7.5.3 接続情報

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Credentials to use `Extensions\ SyncManager\ Syncs\%AD%:AuthType`	Active Directoryサーバーに対する認証時に使用する資格証明を指定します。	0: ローカル・コンピュータの資格証明のみを使用します。 1: Active Directoryサーバー・アカウントのみを使用します(UserPathNの設定を推奨)。 2: ローカル・コンピュータの資格証明を試行し、失敗した場合はActive Directoryサーバー・アカウントを使用します(デフォルト)。 3: カードの資格証明を使用この設定は、リポジトリの認証に、ユーザー名とパスワードではなく、スマート・カードの証明書とそのPINを使用できるようにするために使用します。 4: カードの資格証明を試行し、ログオンがキャンセルされた場合にActive Directoryサーバー・アカウントを使用します。	Yes	dword/Ø
Prompt when disconnected `Extensions\ SyncManager\ Syncs\%AD%: AllowOffline`	同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Servers `Extensions\ SyncManager\ Syncs\%AD%\Servers: ServerN`	`computer[:port]`形式で試行するサーバー(1行に1台のサーバー)。`computer`には、サーバー名を指定します。`port`を省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。例: `DC1.company.com` `DC2.company.com` `company.com:8080` `companylab.com` 注意: Active DirectoryにOracleデータを格納する場合、通常この設定は使用しません。 Active Directoryではコンピュータ名(IPアドレスではなく)を使用する必要があります。		No	文字列/Ø
User Paths `Extensions\SyncManager\Syncs\%AD%:UserPathN`	ユーザー・アカウントの場所を示す完全修飾されたパスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。見つからない場合は、ディレクトリ・ツリーが検索されます。注意: この拡張では、このエントリは必須ではありません。		Yes	文字列/Ø
Use SSL `Extensions\SyncManager\Syncs\%AD%:UseSSL`	SSLでの接続を指定します。	0: No (セキュアではありません)(デフォルトのポート番号389) 1: Yes (デフォルトのポート番号636)(デフォルト)	Yes	dword/Ø
Logon attempts `Extensions\ SyncManager\ Syncs\%AD%: RetryLockCount`	同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、同期ダイアログは3回まで表示されます。	デフォルト: 3	Yes	dword/ 整数

2.17.7.5.4 ユーザー・インタフェース

表示名/レジストリ・パス	説明	オーバーライド可能	レジストリ・タイプ/データ型
Descriptive name `Extensions\ SyncManager\ Syncs\%AD%: DisplayName`	同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを入力します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列
Password change window title `Extensions\ SyncManager\ Syncs\%AD%:CAP_WindowTitle`	この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列
Password change window subtitle `Extensions\ SyncManager\ Syncs\%AD%:CAP_WindowSubTitle`	この設定は、このシンクロナイザのActive Directory変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列

2.17.7.5.5 資格証明の共有

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Share credentials with authenticators

Extensions\ SyncManager\ Syncs\%AD%: ShareCredsToAuths

この設定は、オーセンティケータとシンクロナイザの資格証明をリンクすることで二重認証をなくします。オーセンティケータとシンクロナイザで同じ資格証明を使用する場合、ユーザーに再入力を求めることなく重複した資格証明が使用されます。

資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。

注意: 他のオーセンティケータ名を指定するには、そのオーセンティケータのレジストリ(HKLM\Software\Passlogix\AUIの下)にリストされている名前を参照してください。

Yes

文字列/
文字列

2.17.7.5.6 ファイル・モードの構成

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Limit search to server root `Extensions\ SyncManager\ Syncs\%AD%:StopAtRoot`	エージェントがロケータおよびオーバーライド・オブジェクトを検索する方法を指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø

2.17.7.6 「AD LDS (ADAM) Synchronization」の設定

これらの設定を使用してAD LDS (ADAM)の同期化を構成します。

注意:

2.17.7.6.1 同期の場所

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
ADAM Sync DLL location `Extensions\ SyncManager\ Syncs\%ADAM%:Path`	AD LDS (ADAM)シンクロナイザ拡張のパス\ファイル名を入力します。	デフォルト: `%INSTALLDIR%Plugin\ SyncMgr\ ADAMext\ ADAMsyncExt.dll`	No	文字列/ ファイル名

2.17.7.6.2 データ記憶域の構成

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Base location(s) for configuration objects

Extensions\ SyncManager\ Syncs\%ADAM%\ COBaseLocations: LocationN

構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。

OU=SSOConfig,DC=Domain,DC=com

指定された場所から検索が開始され、構成オブジェクトのすべての下位OU(ある場合)が検索されます。複数の場所を指定するには、各行に1エントリ指定します。

文字列/Ø

Prepend Domain when naming objects

Extensions\ SyncManager\ Syncs\%ADAM%: AppendDomain

ユーザーのコンテナに名前を付ける際にユーザー名にユーザーのドメインを追加することを有効にします。

例:

ドメインcompanyおよびユーザーjameskの場合、コンテナは、このフラグを無効にするとjameskと名付けられ、このフラグを有効にするとcompany.jameskと名付けられます。

0: No (デフォルト)

1: Yes

Yes

dword/Ø

User Domain name to use

Extensions\ SyncManager\ Syncs\%ADAM%: UserDomain

「Prepend Domain」設定を有効にしたときに、コンテナ名で使用するドメイン名(DomainName.UserNameなど)を指定します。ユーザーは、ログオン・ダイアログで別のドメインを指定できます。

例:

ユーザー・ドメインがMyDomain(「Prepend Domain」を有効化)で、ユーザーがjameskとしてログオンする場合、使用されるコンテナ名はMYDOMAIN.jameskです。ユーザーがHISDOMAIN\jameskとしてログオンする場合、使用されるコンテナ名はHISDOMAIN.jameskです。

Yes

文字列/
文字列

2.17.7.6.3 接続情報

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Credentials to use `Extensions\ SyncManager\ Syncs\%ADAM%:AuthType`	AD LDS (ADAM)サーバーに対する認証時に使用する資格証明を指定します。	0: ローカル・コンピュータの資格証明 1: ADAMサーバー・アカウント 2: ADAMサーバー・アカウントを使用する前に、ローカル・コンピュータの資格証明を試行します(デフォルト)。 3: カードの資格証明を使用この設定は、リポジトリの認証に、ユーザー名とパスワードではなく、スマート・カードの証明書とそのPINを使用できるようにするために使用します。 4: カードの資格証明を試行し、ログオンがキャンセルされた場合にADAMサーバー・アカウントを使用します。	Yes	dword/Ø
Prompt when disconnected `Extensions\ SyncManager\ Syncs\%ADAM%: AllowOffline`	同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。	0: Yes 1: No (デフォルト)	Yes	dword/Ø
Servers `Extensions\ SyncManager\ Syncs\%ADAM%\ Servers:ServerN`	`computer[:port]`形式で試行するサーバーを指定します(1行に1台のサーバー)。`computer`には、サーバー名を指定します。`port`を省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。例: `Adam1.company.com` `Adam2.company.com` `Adam3.company.com:50389`		No	文字列/ 文字列
Use SSL `Extensions\ SyncManager\ Syncs\%ADAM%:UseSSL`	SSLでの接続を指定します。	0: No (セキュアではありません)(デフォルトのポート番号389) 1: Yes (デフォルトのポート番号636)(デフォルト)	Yes	dword/Ø

2.17.7.6.4 ユーザー・インタフェース

表示名/レジストリ・パス	説明	オーバーライド可能	レジストリ・タイプ/データ型
Descriptive name `Extensions\ SyncManager\ Syncs\%ADAM%: DisplayName`	同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列
Password change window title `Extensions\ SyncManager\ Syncs\%ADAM%: CAP_WindowTitle`	この設定は、このシンクロナイザのAD LDS (ADAM)変更パスワード・ウィンドウのタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列
Password change window subtitle `Extensions\ SyncManager\ Syncs\%ADAM%: CAP_WindowSubTitle`	この設定は、このシンクロナイザのAD LDS (ADAM)変更パスワード・ウィンドウのサブタイトル名をカスタマイズする場合に使用します。注意: このエントリは必須ではありません。	Yes	文字列/ 文字列

2.17.7.6.5 資格証明の共有

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Share credentials with authenticators

Extensions\ SyncManager\ Syncs\%ADAM%: ShareCredsToAuths

資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。

Yes

文字列/
文字列

2.17.7.7 「Database Synchronization」の設定

これらの設定を使用してデータベースの同期化を構成します。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

DB Sync DLL location

Extensions\ SyncManager\ Syncs\%DB%:Path

データベース・シンクロナイザ拡張のパス\ファイル名を入力します。

デフォルト: %INSTALLDIR% Plugin\ SyncMgr\ DBEXT\ DBExt.dll

文字列/
文字列

Servers

Extensions\ SyncManager\ Syncs\%DB%\Servers: Server

同期を行うために接続するデータベース・サーバーおよび接続順序を指定します。チェックボックスを選択し、省略記号(…)ボタンをクリックして、「Edit List」ダイアログを開きます。各行に1台のデータベース・サーバーの完全接続アドレス(computerName.dbServerName)を入力します。[Enter]キーを押して各行を終了します。他のデリミタ文字を使用しないでください。

この拡張が機能するには、少なくとも1つのサーバーを指定する必要があります。

Oracleの場合

Oracle Databaseに接続するには、次の接続文字列を使用します。

Provider=OraOLEDB.Oracle;Data Source=%MachineName%;Extended Properties='OSAuthent=1'

Data Source値は、各構成で異なります。

Oracle Databaseに接続するには、Oracleクライアントを管理コンソールと同じマシン上にインストールする必要があります。

SQLサーバーの場合

複数のインスタンスのホストであるSQLサーバーに接続するには、次の接続文字列を使用します(手動で改行を入力する必要はありません)。

Provider=SQLOLEDB; Data Source="ServerName\Instance"; Initial Catalog="DatabaseName" Trusted_Connection=Yes; Use Encryption for Data=True;

文字列/
文字列

Append Domain when naming objects

Extensions\ SyncManager\ Syncs\%DB%: AppendDomain

ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。

例:

ドメインcompanyおよびユーザーjameskの場合、コンテナは、このフラグを無効にするとjameskと名付けられ、このフラグを有効にするとjamesk.companyと名付けられます。

0: No (デフォルト)

1: Yes

Yes

dword/Ø

2.17.7.8 「File System Synchronization」の設定

これらの設定を使用してファイル・システムの同期化を構成します。

2.17.7.8.1 シンクロナイザの場所

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
File Sync DLL location `Extensions\ SyncManager\ Syncs\%File%:Path`	ファイル・システム・シンクロナイザ拡張の`path\filename`を入力します。	デフォルト: `%INSTALLDIR% Plugin\ SyncMgr\ FileSyncExt\ filesync.dll`	No	文字列/ ファイル名

2.17.7.8.2 データ記憶域の構成

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Prepend Domain when naming user folders

Extensions\ SyncManager\ Syncs\%File%: AppendDomain

ユーザーのコンテナに名前を付ける際に、ユーザー名にユーザーのドメインを追加することを有効にします。

例:

0: No

1: Yes (デフォルト)

Yes

dword/Ø

2.17.7.8.3 接続情報

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Prompt when disconnected

Extensions\ SyncManager\ Syncs\%File%: AllowOffline

同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。

0: Yes

1: No (デフォルト)

Yes

dword/Ø

Server

Extensions\ SyncManager\Syncs\%File%\Servers:Server1

同期化のために試行するUNCパスのリストを入力します。この拡張が機能するには、Server1を指定する必要があります。

例:

\\FS1\Users\FS2\ExtrasD:\Backup

ファイル・システム拡張では、適切なUNCパスを使用する必要があります。1つのパスのみをサポートしています。フェイルオーバーはサポートされません。

Yes

文字列/
文字列

Logon attempts

Extensions\ SyncManager\ Syncs\%File%: RetryLockCount

同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、「Synchronization」ダイアログは3回まで表示されます。

最小値は1

デフォルト: 3

Yes

dword/
整数

2.17.7.8.4 ユーザー・インタフェース

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Descriptive name `Extensions\ SyncManager\ Syncs\%File%: DisplayName`	同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列

2.17.7.9 「LDAP Synchronization」の設定

「LDAP/IBM Synchronization」設定は、すべてのLDAPシンクロナイザ拡張に対して設定する必要があります。

特定のユーザー・アカウントを検索する前後に、ディレクトリにバインドできます。バインドの前にユーザー・アカウントを検索すると、Logon Managerは指定したユーザー・パスから検索を開始し、ユーザー・アカウントが見つかるまでディレクトリ・ツリーの下方に検索を続け、そのディレクトリにバインドします。または、すべてのパスを検索します。Logon Managerが、指定したユーザー・アカウントを見つけられない場合、システムの構成が正しくないので管理者に連絡するようにというメッセージが表示されます。

通常、Logon ManagerはLDAPディレクトリに対して匿名バインディングを使用しますが、匿名バインディングが無効な場合にユーザーを検索するために、参照専用アカウントを作成することもできます。そのような場合、アカウント名はユーザーの名前でないため、すぐに特定できません(たとえば、従業員IDや社会保障番号などの場合があります)。代替ユーザーIDオプションが有効になっている場合、参照専用アカウントによってユーザー検索が容易になります。このオプションでは代替ユーザーIDに属しているユーザーを特定します。参照専用アカウントを構成するには、「Alternate User ID location」、「BIND User Name」および「BIND User Password」の設定を使用します。

2.17.7.9.1 シンクロナイザの場所

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
LDAP Sync DLL location `Extensions\ SyncManager\ Syncs\%LDAP%:Path`	LDAPディレクトリ・サーバー・シンクロナイザ拡張の`path\filename`を入力します。	デフォルト: `%INSTALLDIR%Plugin\ SyncMgr\ LDAP\ ldapsync.dll`	No	文字列/ ファイル名

2.17.7.9.2 データ記憶域の場所

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Base location(s) for configuration objects

Extensions\ SyncManager\ Syncs\%LDAP%\ COBaseLocations: LocationN

構成オブジェクト(テンプレートおよびポリシー)の検索を開始する位置を指定します。次のように、完全修飾された識別パスです。

OU=SSOConfig,DC=Domain,DC=com

文字列/Ø

2.17.7.9.3 接続情報

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Prompt when disconnected `Extensions\ SyncManager\ Syncs\%LDAP%: AllowOffline`	同期イベントが失敗した場合、ユーザーは確認/通知なしでオフラインで作業できます。	0: Yes 1: No (デフォルト)	Yes	dword/Ø
Directory type `Extensions\ SyncManager\ Syncs\%LDAP%: DirectoryType`	特定のタイプのディレクトリ・サーバー。ディレクトリ・サーバーが示されていない場合は、アップグレード時に後方互換性用の「Unspecified LDAP Directory」(デフォルト)を選択します。それ以外の場合は、「Generic LDAP Directory」を選択します。	0: Unspecified LDAP Directory(デフォルト) 3: Novell eDirectory 5: Generic LDAP Directory 8: Oracle Directory Server Enterprise Edition 9: IBM Tivoli Directory Server 10: Oracle Internet Directory 11: Siemens DirX Directory Server	Yes	dword/Ø
Servers `Extensions\ SyncManager\ Syncs\%LDAP%\Servers: ServerN`	`computer[:port]`形式で試行するサーバー(1行に1台のサーバー)。`computer`には、サーバー名を指定します。`port`を省略した場合は、デフォルト(SSLは636、SSL以外は389)が使用されます。例: `LDAP1.company.com` `LDAP2.company.com` `LDAP3.company.com:50389`		No	文字列/Ø
User paths `Extensions\ SyncManager\ Syncs\%LDAP%: UserPathN`	LDAPディレクトリ検索が有効でない場合の、ユーザー・アカウントの場所を示す完全修飾された(識別)パスを入力します。検索するパスの数に制限はありません。この拡張機能では、ユーザー・アカウントを検索して、そのパスを順に検索します。LDAPディレクトリ検索を使用するときに、指定したUserPathでユーザー・アカウントが見つからない場合は、そのパスから下方向にディレクトリ・ツリーが検索されます。例: `OU=Users,DC=Domain,DC=com` 注意: この拡張が機能するには、「UserPath」に少なくとも1つの値を指定する必要があります。		Yes	文字列/Ø
Use SSL `Extensions\ SyncManager\ Syncs\%LDAP%:UseSSL`	SSLでの接続を指定します。	0: No (セキュアではありません)(デフォルトのポート番号389) 1: Yes (デフォルトのポート番号636)(デフォルト)	Yes	dword/Ø

2.17.7.9.4 管理セキュリティ

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Administrative group DN

Extensions\ SyncManager\ Syncs\%LDAP%: AdminGroup

管理グループの識別名を入力します。この値はACI内にあります。

例:

cn=configuration administrators,ou=groups、
ou=topologymanagement, o=netscaperoot

Yes

文字列/
文字列

Security version

Extensions\ SyncManager\ Syncs\%LDAP%: SecurityVersion

この値が:SecurityUpgradeより大きい場合は、新しい:AdminGroup値でACIを更新します。

この設定は「Administrative Group DN」設定とともに使用し、デプロイ済の環境用のLDAPユーザー資格証明を格納するためにLogon Managerが使用するPeopleコンテナのセキュリティ権限を更新します。

これを行うには:

新しいセキュリティに使用する、新しい「Administrative Group DN」を指定します。これは、セキュリティ・グループの識別名です。
「Security Version」を現在の値より1つ高い値に設定します。
設定をデプロイします。

次回Logon Managerが同期を実行するとき、セキュリティが新しいAdmin Group DNに更新され、現在の内部のSecurity Versionが設定された値に設定されます。これにより、セキュリティの更新が一度だけ強制的に実行されます。

注意: この設定は、セキュリティ変更時の通常のアップグレード・パスとして使用されるという意味ではありません。様々なサーバー用のメカニズムのかわりに使用することをお薦めします。

Yes

dword/
文字列

2.17.7.9.5 ユーザー・インタフェース

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Descriptive name `Extensions\ SyncManager\ Syncs\%LDAP%: DisplayName`	同じ名前を持つ複数のシンクロナイザ拡張を区別するための、ログオン・ダイアログのタイトルを指定します。注意: このエントリは必須ではありません。		Yes	文字列/ 文字列
Show user path `Extensions\ SyncManager\ Syncs\%LDAP%: ShowUserPath`	この設定を使用して、LDAPシンクロナイザの認証ダイアログ・ボックスの「User Path」コンボ・ボックスの表示/非表示を切り替えます。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Logon attempts `Extensions\ SyncManager\ Syncs\%LDAP%: RetryLockCount`	同期ダイアログをユーザーに示す回数を指定します。たとえば、この値に3を設定すると、ユーザーが間違った資格証明を送信しても、「Synchronization」ダイアログは3回まで表示されます。	最小値は1 デフォルト: 3	Yes	dword/整数

2.17.7.9.6 資格証明の共有

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Share credentials with authenticators

Extensions\ SyncManager\ Syncs\%LDAP%: ShareCredsToAuths

資格証明を共有するオーセンティケータのカンマ区切りリストを入力します(例: WinAuth, MSAuth)。

Yes

文字列/Ø

2.17.7.10 「LDAP Special Purpose Synchronization」の設定

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Naming attribute string `Extensions\SyncManager\Syncs\%LDAP%:UserPrepend`	「User Paths」の前に付加する文字列。ユーザーのドメイン名が次の形式である場合は必須です。 `cn=%UserName%,ou=people,dc=computer;` 次の書式の場合は、必須ではありません。 `namingattribute`=%UserName%,ou=people, dc=computer (`namingattribute`は任意の文字列)必要に応じて、cnに設定します。注意: Novell eDirectoryの場合は、この値を通常cnに設定する必要があります。 UserPrependを使用する場合は、User PathNを使用し、UserLocationは使用しないでください。		Yes	文字列/ 文字列
BIND timeout `Extensions\SyncManager\Syncs\%LDAP%:Timeout`	LDAP BINDコールのタイムアウトの長さ(ミリ秒)を入力します。	デフォルトはオペレーティング・システムによって異なります。	Yes	dword/ 整数
BIND user DN `Extensions\SyncManager\Syncs\%LDAP%:BindUserName`	LDAP参照専用アカウントのユーザーDNを指定します。これは、次の形式にする必要があります。 `uid=%username%, ou=people, dc=%CompanyName%` (例: `uid=jsmith, ou=people, dc=passlogix, dc=com`) LDAPディレクトリ検索機能には、ディレクトリで匿名バインディングを有効にする必要があります。匿名バインディングが有効でない場合は、このアカウントを使用してディレクトリ検索を実行する必要があります。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。		Yes	文字列/ 文字列
BIND user password `Extensions\SyncManager\Syncs\%LDAP%:BindUserPassword`	LDAP参照専用アカウントのユーザー・パスワードを指定します。 LDAPディレクトリ検索機能には、ディレクトリで匿名バインディングを有効にする必要があります。匿名バインディングが有効でない場合は、このアカウントを使用してディレクトリ検索を実行する必要があります。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。		Yes	文字列/ マスクされた文字列
Alternate user ID location `Extensions\SyncManager\Syncs\%LDAP%:UserLocation`	ユーザー名以外の属性でユーザーを検証するときに、該当するユーザー・オブジェクトが存在する場所を示します。例: ログオンの従業員ID番号でユーザーの認証を行い(empid属性に対する検証)、ユーザー・オブジェクトが次にあるとします。 `ou=people,dc=computer` UserLocationを次のように設定します。 `empid=%USER,ou=people,dc=computer` 次のようには設定しないでください。 `uid=user,ou=people,dc=computer` 注意: Novell eDirectoryの場合、UserLocationは`uid=%USER,path to the object`である必要があります。 `UserLocation`を使用する場合は、`UserPrepend`または`UserPaths`を使用しないでください。		Yes	文字列/ 文字列
Enable directory search for users `Extensions\SyncManager\Syncs\%LDAP%:LDAPBindSearch`	ユーザー・アカウントのディレクトリ検索を有効または無効にします。指定されたパスにユーザー・アカウントが見つからない場合は、その場所から下方向にディレクトリ・ツリーが検索されます。「User paths」または「Alternate User ID location」のいずれを使用していても、検索は実行されます。この設定を有効化し、LDAPディレクトリ内で前回の同期化とは異なるOUにユーザーを移動した場合、そのユーザーには次回のログオンで資格証明を求めるプロンプトが表示されます。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.7.11 ローミング・プロファイル同期の拡張の設定

注意:

ローミング・プロファイルはバージョン11.1.2では非推奨で、アップグレード用としてのみリストに表示されます。新しい構成ではこのシンクロナイザを使用しないでください。

管理コンソールでは、ローミング・プロファイル・シンクロナイザを使用して、ローミング・プロファイルによるファイル・システムの同期化をサポートします。ローミング・プロファイル・シンクロナイザは、次の条件を満たすデプロイメントで使用できます:

ユーザーが、サーバーでローミング・プロファイルを使用するように設定されている。
「Delete local cache」設定がまだ同期可能になっていない。
v1認証を使用している。

前述の条件が存在する場合は、次のようにローミング・プロファイル環境を設定します。

Logon Managerが、インストールされている同期拡張の1つがローミング同期拡張であるマルチ同期環境で稼働するように設定します。マルチ同期環境とは、2つ以上の同期拡張がインストールされている同期環境のことです。たとえば、AD同期拡張を使用する場合は、AD同期拡張およびローミング・プロファイル拡張をインストールする必要があります。
ローミング・プロファイル・シンクロナイザ拡張は、同期構成順序で先頭に位置するシンクロナイザである必要があります。この順序を設定するには、「Global Agent Settings」 > 「Live」を順に展開し、「Synchronization」をクリックします。「Synchronizer order」フィールドで、省略記号(…)ボタンをクリックします。シンクロナイザ・パネルで、「Roam」が1番目で、使用中の他の同期タイプ(Active Directoryなど)が2番目であることを確認します。
ローミング・プロファイルを使用する場合、他のシンクロナイザ設定を変更する必要はありません。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Roaming Sync DLL location `Extensions\ SyncManager\ Syncs\%ROAM%:Path`	ローミング・シンクロナイザ拡張のパス\ファイル名を入力します。	デフォルト: `%INSTALLDIR% Plugin\ SyncMgr\ RoamExt\ RoamSyncExt.dll`	No	文字列/ ファイル名

2.17.8 セキュリティの設定

セキュリティの設定では、エンド・ユーザーによるプライマリ・ログオン・パスワードの再入力を必要とする頻度、エンド・ユーザーがアプリケーション・ログオン・パスワードを参照するための機能、優先する暗号化プロバイダおよび暗号化の強度を制御します。

2.17.8.1 セキュリティ・オプション

表示名/ レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Store user data on disk in encrypted file `Extensions\ StorageManager\ InMemShr:LocalStorage`	ユーザー・データ(資格証明など)のコピーを各ユーザーの`ApplicationData`フォルダの暗号化されたデータベース・ファイルにローカルに保存する場合に指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Default encryption algorithm `CSP:PreferredCSP`	ドロップダウン・メニューからデフォルトの暗号化アルゴリズムを選択します。注意: MS CAPI以外のアルゴリズムは非推奨で、アップグレード・シナリオ用としてのみリストされています。これらのアルゴリズムは選択しないでください。	0: Cobra 128-bit (非推奨) 512: Cobra 128-bit (非推奨) 513: Blowfish 448-bit (非推奨) 1028: Triple-DES 168-bit (非推奨) 1285: AES 256-bit (非推奨) 25700: Triple-DES (MS CAPI) (すべてのOS) (非推奨) 25723: Triple-DES (MS CAPI) (XP/2003のみ) (非推奨) 25956: RC-4 (MS CAPI) (すべてのOS) (非推奨) 25979: RC-4 (MS CAPI) (XP/2003のみ)(非推奨) 26491: AES (MS CAPI) (すべてのOS) (デフォルト)	Yes	dword/Ø
Reauthentication timer `Extensions\ AccessManager: AutoLogin`	次の再認証リクエストまでの時間(ミリ秒)。4,294,967,295 (0xFFFFFFFF)に設定した場合は、期限切れになることはなく、強制認証の場合を除いて、ユーザーは再認証を受ける必要がありません。	クライアント側のインストールのデフォルト: 900000 Terminal Services環境のデフォルト: 4,294,967,295 (無効)	Yes	dword/整数
Require reauthentication before updating account credentials `Extensions\ AccessManager: RequireAuthCred`	認証タイマーが期限切れでない場合でも、アプリケーション資格証明を変更する前にユーザーがLogon Manager資格証明を入力する必要があるかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword/Ø

2.17.8.2 マスクされたフィールド

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Obfuscate length `Extensions\ AccessManager: HideMaskedFieldLength`	暗号化されたフィールドを、不明瞭化されたデータの長さとは異なる空白文字で表示するかどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Allow revealing `Extensions\ AccessManager: AllowReveal`	マスクされたフィールドの表示をユーザーが許可されるかどうかを指定します。	0: No 1: Yes (デフォルト)	Yes	dword/Ø
Require reauthentication to reveal `Extensions\ AccessManager: ReauthOnReveal`	ユーザーが、マスクされたフィールドを表示するためにLogon Manager資格証明を入力する必要があるかどうかを指定します(「Allowed revealing」を「Yes」に設定した場合)。	0: No 1: Yes (デフォルト)	Yes	dword/Ø

2.17.9 カスタム・アクション設定

「Custom Actions」設定では、特定のエージェント・アクションが発生したときに実行するタスク(コマンドのリスト)を制御します。

各イベントについて、チェック・ボックスを選択し、省略記号(「…」)ボタンをクリックしてイベントのリストのダイアログ・ボックスを開きます。各行にコマンドを1つ入力します。[Enter]キーを押して各行を終了します。他のデリミタ文字を使用しないでください。1つずつ順に実行されます。

タスクがすべて完了するまで、Logon Managerは応答しません。

表示名/レジストリ・パス	説明	オーバーライド可能	レジストリ・タイプ/データ型
After Agent starts `Shell\Tasks: StartupTaskN`	バックグラウンド・タスクが開始されるたびに実行するコマンド(トレイ・アイコンが表示されます)。	Yes	文字列/Ø
Before each instance of the Agent executable starts `Shell\Tasks:PreTaskN`	各エージェントの実行可能ファイルが起動する前に実行するコマンド。注意: このオプションは、あらゆるエージェントが実行される前にライセンスの確認を行えるようにします。これらのタスクのうち、次の場所にあるレジストリ値の設定が誤っている場合、エージェントは停止します。 `HKEY_CURRENT_USER\Software\Passlogix\ License\PreCheck:PreCheck`に`1`を設定します。各タスクを開始するときに、この値を0にリセットする必要があります。警告: これらのタスクは毎回新しいエージェント・プロセスを起動するため、この方法はエージェントのパフォーマンスに影響があります。	Yes	文字列/Ø
When logons are deleted `Shell\Tasks: DeletionTaskN`	ユーザーがアプリケーション構成を削除するたびに実行されるコマンド。	Yes	文字列/Ø
When logons change (add, delete, copy, modify) `Shell\Tasks: RefreshTaskN`	ユーザーが資格証明および構成を変更するたびに実行されるコマンド。	Yes	文字列/Ø

2.17.10 Windowsイベント・ログベースのレポート作成

Logon Managerの大量デプロイメントでは、ユーザーのアクションおよび各アクションを説明する情報(日付、時刻、ユーザー名など)を頻繁に監査することが必要になります。Logon Managerは、この情報をWindowsイベント・ログ・メカニズムを使用して記録するため、既存のインフラストラクチャを活用して、システム全体の監査用にソース・データを簡単に収集できます。

Logon Managerによって記録されたイベント・ログ・データを使用すると、次のことが可能です。

Logon Managerユーザーのアクション(ログオンやパスワード変更など)の追跡。関連情報(アクション・タイプ、ADアカウント名、日付、時刻、アクションを実行するために使用する資格証明(該当する場合)など)が含まれます。
各ユーザーが一定期間、アプリケーションにログオンするために使用していた資格証明を追跡します。許可なしに資格証明を共有しているユーザーによる不正なアクセスの試行の検出に役立ちます。
Logon Manager管理者のアクションを追跡します。たとえば、だれかが間違った構成のテンプレートをリポジトリにプッシュした場合、その特定のLogon Managerオブジェクトにいつ更新が実行されたか、だれによって実行されたかを確認できます。
アプリケーションの使用情報の追跡。イベント・ログ・データを使用して、ユーザー、時刻、日付ごとにアプリケーションの使用状況を分析できます。このような情報は、システムの負荷を計測する場合(たとえば、大規模デプロイメントでのロード・バランシングの設定時など)に役立ちます。

2.17.10.1 技術的な前提条件

必要なイベント・データは、Active Directoryリポジトリをホスティングするマシンに記録されます。このデータに基づいてレポートを生成するには、次のことが必要です。

次のレジストリ値を設定して、Active Directoryインスタンスに必要なレベルのログ冗長性を有効にします。
パス: HKLM\SYSTEM\CurrentControlSet\Services\<AD_instance>\Diagnostics
キー: 8 Directory Access (DWORD)
値: 0x00000005 (hex)
Win32_NTLogEventハンドラを問い合せ、イベント・タイプSSO EventMgrで問合せをフィルタ処理します。これは、Logon ManagerがデータをWindowsイベント・ログに記録するときに使用するイベント・タイプです。

2.17.11 「Audit Logging」設定

「Audit Logging」設定では、ロギング・キャッシュの再試行間隔およびサイズを指定します。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Cache Limit `Extensions\ EventManager: CacheLimit`	古いイベントが廃棄されるまでにキャッシュされるイベント・ログ・エントリの最大数。	デフォルト: 200	Yes	dword/ 整数
Retry Interval Extensions\EventManager:Retry	すべてのイベント・ロギング拡張の再試行間隔(分)。注意: Reportingを使用する場合、この値をゼロ(0)に設定する必要があります。	デフォルト: 30	Yes	dword/ 整数

2.17.11.1 Windowsイベント・ロギング・サーバーの構成

注意:

デフォルトでは、ドメイン・ユーザーは、Microsoft Windows2008または2012 Serverアプリケーション・ログへの書込み権限を持ちません。Microsoftのeventvwr用ユーティリティであるコマンドライン・ツールwevtutilを使用する必要があります。このコマンドライン・ツールの使用方法については、Microsoftサポートにお問い合わせください。

イベント・ログ・メッセージを受信するようにサーバーを構成するには、次の手順を実行します。

そのサーバーにエージェントをインストールします。

または

SSOeventmessage.dllをエージェント・インストールからサーバー(System32ディレクトリを推奨)にコピーします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Eventlog\Application\v-GO SSOに、次のレジストリ・キーを作成します。

フィールド	機能
Name	`EventMessageFile`
Type	`STRING`
Value	ファイル名を含む`SSOeventmessage.dll`へのフルパス(推奨値は`%WinDir%\System32\SSOeventmessage.dll`です。)

フィールド	機能
Name	`TypesSupported`
Type	`DWORD`
Value	`7`

フィールド	機能
Name	`CategoryMessageFile`
Type	`STRING`
Value	ファイル名を含む`SSOeventmessage.dll`へのフルパス(推奨値は`%WinDir%\System32\SSOeventmessage.dll`です。)

フィールド	機能
Name	`CategoryCount`
Type	`DWORD`
Value	`4`

2.17.11.2 レポーティング・サーバーの構成

Reportingツールを使用すると、ユーザー・アクティビティに関するレポートを生成できます。このツールの使用の詳細は、第6章「管理コンソールを使用したレポーティング・クライアントの構成」を参照してください。

2.17.11.2.1 データベース

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Connection String `Reporting\Extensions\Database:ConnectionString`	Database connection string: OLE DB形式で入力します。 `Provider=SQLOLEDB;Data Source=myServerName; Initial Catalog=myDatabaseName;Integrated Security=SSPI;Use Encryption for Data=True; Use Encryption for Data=True`		No	文字列/ 文字列
Stored Procedure `Reporting\Extensions\Database:StoredProcedure`	イベントが発生したデータベースの移入に使用するストアド・プロシージャ名前。エンコード済イベントがデータベースに送信されると、XMLファイルをデコードするためにストアド・プロシージャがコールされ、イベントがデータベースに格納されます。	デフォルト: `dbo.sp_WriteEvents`	No	文字列/ 文字列

2.17.11.2.2 オプション

レポーティングが正しく機能するために、次のパラメータ値がゼロ(0)に設定されていることが重要です。

HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\Extensions\EventManager\ CacheLimit:DWORD = 0

および
HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\Extensions\EventManager\Retry:DWORD = 0

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Batch Size `Reporting:BatchSize`	データベースのストアド・プロシージャに一度のバッチ処理で送信されるイベントのグループ・サイズを定義します。たとえば、Reporting Serviceのキャッシュに1000個のイベントがあり、バッチ・サイズが100の場合、データベースのストアド・プロシージャを10回コールすることになります。	デフォルト: 100	Yes	dword/ 整数
Cache Limit `Reporting:CacheLimit`	古いイベントの破棄前にキャッシュされるレポーティング・イベントの最大数。この数に達した場合、最も古いイベントが破棄されます。たとえば、バッチ・サイズが100で、エンド・ユーザーのシステムがReporting Serviceに接続できない場合、イベントは記録され続けます。1000に達した場合は、最も古いイベントが破棄されます。(デフォルトは、`4294967295`または`0xFFFFFFFF`です。)	デフォルト: `4294967295`または`0xFFFFFFFF`	Yes	dword/ 整数
Retry Interval `Reporting: RetryInterval`	イベントをデータベースにオフロードするReporting Serviceのキャッシュの順次処理間のタイムアウトを分単位で指定します。間隔はデータベースの接続負荷を減らすために必要です。注意: 変更を有効にするには、ESSO Reporting Serviceを再起動する必要があります。	デフォルト: 30	Yes	dword/ 整数

2.17.11.3 Windowsイベント・ビューアの構成

「Windows Event Viewer」設定では、イベント・ロギングをリモート・サーバーで有効にするよう設定できます。ログに記録するイベントを指定します。また、Windowsイベント・ロギング拡張およびWindowsイベント・メッセージ・コンポーネントへのデフォルト・パスを変更し、ロギング・キャッシュの再試行間隔を変更できます。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Windows Event Logging Server

Extensions\ EventManager\ WindowsEvent: EventServer

Windowsイベント・ロギング拡張のサーバー名を指定します(先頭に\\文字を指定しないでください)。サーバーを指定しない場合、ロギングはローカル・コンピュータで実行されます。

サーバーは、アクセス権および制限に応じて、ユーザーのアカウントおよびユーザーのワークステーションとの信頼関係を持つ必要があります。

Yes

文字列/
文字列

Retry Interval

Extensions\ EventManager\ WindowsEvent:Retry

Windowsイベントのロギング拡張に対する再試行間隔(分)を指定します。

デフォルト: 30

Yes

dword/
整数

Events to log

Extensions\ EventManager\ WindowsEvent:Filter

(rootフィルタ設定によって記録されたイベントのうち) Windowsイベント・ロギング拡張に記録するイベントを区切るイベント・ロギング・フィルタ。

省略記号「…」ボタンをクリックして、選択するイベントのチェックリストを示す「Events to log」ウィンドウを開きます。

デフォルト: 0

4: Credential Edit

8: Credential Delete

10: Credential Copy

20: Credential Add

100: Provisioning

200: Startup/Shutdown

400: Help

800: Settings Change

1000: Reauthentication

10000: Sync User Information

20000: Logon Field: System Username

40000: Logon Field: System Domain

80000: Logon Field: Third Field

100000: Logon Field: Username

200000: Logon Field: Fourth Field

800000: Application Password Change

1000000: Primary Logon Method Change

4000000: Backup/Restore

40000000: Event Types: Info

Yes

dword/Ø

2.17.11.3.1 イベント・ロギングのフィルタ・オプション

ログに記録するイベントを選択して、「OK」をクリックします。次の表では、フィルタを機能ごとに分類しています。

注意:

イベント・ロギングを有効にするには、「Event Types Info」を選択する必要があります。

イベント・タイプ	名前
ユーザー・データへの変更(資格証明)	Credential Add
	Credential Copy
	Credential Delete
	Credential Edit
使用されたエージェント制御(機能)	Help
	Reauthentication
	Settings Change
	Startup / Shutdown
入力された資格証明データ(ログオン)	ログオン・フィールド: 4番目のフィールド
	ログオン・フィールド: システム・ドメイン
	ログオン・フィールド: システム・ユーザー名
	ログオン・フィールド: 3番目のフィールド
	Logon Field: Username
	Sync User Information
エージェントのアクションと変更(アプリケーション)	プライマリ・ログオン方法変更
	Backup/Restore
	Application Password Change
イベント・タイプ	イベント・タイプ情報(イベント・ロギングを有効にするには、選択する必要があります)

このダイアログ・ボックスを表示するには、「Filter」オプションを選択して、次のいずれかの設定パネルで省略記号(…)ボタンをクリックします。

Event Logging (全般)
XML File(ローカル・ストレージ用)
Windows Event logging (拡張)

2.17.11.4 syslogサーバーの構成

「syslog」設定では、エージェントがプログラム・イベントを記録する方法を制御します。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Destination host `Extensions\ EventManager\ Syslog:RemoteAddress`	ホスト名またはドット付きのメッセージのIP v4アドレスのいずれかを使用して、送信先のホスト名を指定します。 0.0.0.0を使用すると、Syslogデーモンへの送信が無効になります。255.255.255.255を使用すると、ブロードキャスト・メッセージを受信するように設定されているすべてのデーモンに送信されます。ブロードキャストはルーターを越えることはできないため、送信先はローカル・ネットワーク上である必要があります。	デフォルト: localhost	No	文字列/ 文字列
Destination port `Extensions\ EventManager\ Syslog:RemotePort`	syslogメッセージの接続先ポートを番号で指定します。	デフォルト: 1468	Yes	dword/ 整数
Protocol for sending messages `Extensions\ EventManager\ Syslog:UseTCP`	メッセージの送信に使用するプロトコルをTCPまたはUDPから指定します。 UDPプロトコルはコネクションレスのため、指定されたホスト名およびポートでsyslogデーモンが接続できるかどうかを判断することはできないことに注意してください。 UseTCPパラメータを「Use UDP」に設定すると、Syslog拡張は成功および失敗のどちらの場合でも`S_OK`を返します。Syslog拡張が正しい状態を返すようにする必要がある場合は、SyslogデーモンでTCPを有効にして、このパラメータを「Use TCP」に設定します。	0: Use UDP 1: Use TCP (デフォルト)	Yes	dword/Ø
Retry Interval `Extensions\ EventManager\ Syslog:Retry`	Syslog拡張に対する再試行間隔(分)を指定します。	デフォルト: 30	Yes	dword/ 整数
Events to log `Extensions\ EventManager\ Syslog:Filter`	(rootフィルタ設定によって記録されたイベントのうち) Syslog拡張に記録するイベントを区切るイベント・ロギング・フィルタ。省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。	デフォルト: 0 4: Credential Edit 8: Credential Delete 10: Credential Copy 20: Credential Add 100: Provisioning 200: Startup/Shutdown 400: Help 800: Settings Change 1000: Reauthentication 10000: Sync User Information 20000: Logon Field: System Username 40000: Logon Field: System Domain 80000: Logon Field: Third Field 100000: Logon Field: Username 200000: Logon Field: Fourth Field 800000: Application Password Change 1000000: Primary Logon Method Change 4000000: Backup/Restore 40000000: Event Types: Info	Yes	dword/Ø

2.17.11.5 XMLファイル・イベント・ロギング

「XML File Event Logging」設定では、ローカルにログを記録するイベントを指定できます。また、ローカル・ロギング拡張へのデフォルト・パスを変更し、ロギング・キャッシュの再試行間隔を変更できます。

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Retry Interval

Extensions\ EventManager\ LocalStorage:Retry

ローカル(XML)ファイルのロギング拡張に対する再試行間隔(分)を指定します。

デフォルト: 30

Yes

dword/
整数

Events to log

Extensions\ EventManager\ LocalStorage:Filter

(rootフィルタ設定によって記録されたイベントのうち)ローカル(XML)ファイル・ロギング拡張に記録するイベントを区切るイベント・ロギング・フィルタ。

省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。

デフォルト: 0

4: Credential Edit

8: Credential Delete

10: Credential Copy

20: Credential Add

100: Provisioning

200: Startup/Shutdown

400: Help

800: Settings Change

1000: Reauthentication

10000: Sync User Information

20000: Logon Field: System Username

40000: Logon Field: System Domain

80000: Logon Field: Third Field

100000: Logon Field: Username

200000: Logon Field: Fourth Field

800000: Application Password Change

1000000: Primary Logon Method Change

4000000: Backup/Restore

40000000: Event Types: Info

Yes

dword/Ø

2.17.11.6 データベース・イベント・ロギング

「Database Event Logging」メニューを使用して、ログ・データを送信するサーバー・インスタンスおよび表名と、データベースに書き込むフィールドを指定します。

フィールドに加えて、ユーザーはサーバー・インスタンスおよび表名を指定する必要があります。これらは、以前はデータベース設定で定義されていたので、データベース・フィールドには不要でした。各フィールドにデータベースおよび表名が指定されていないと、イベントはデータベースへ書き込まれません。

注意:

イベントをデータベースに書き込むためには、データベース・フィールドにデータベース・インスタンスおよび表名を指定する必要があります。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Servers `Extensions\ EventManager\ Database\Servers: ServerN`	省略記号「…」ボタンをクリックして、データベース・サーバーを入力するウィンドウを開きます。1行に1つずつで、OLE DBの形式が使用されます。 `"Provider=sqloledb; Data Source=myServerName; Initial Catalog=myDatabaseName; User Id=myUsername; Password=myPassword; Use Encryption for Data=True"`		No	文字列/Ø
Default Server `Extensions\ EventManager\ Database:Default Server`	他のサーバーが指定されない場合にデータベース・ログが書き込まれるサーバー。(OLE DB接続文字列)	デフォルト: Server1	No	文字列/ 文字列
Default Table `Extensions\ EventManager\ Database:Default Table`	他の表が指定されない場合にデータベース・ログが書き込まれる表。		Yes	文字列/ 文字列
Retry Interval `Extensions\ EventManager\ Database:Retry`	データベース拡張に対する再試行間隔(分)	デフォルト: 30	Yes	dword/ 整数
Events to log `Extensions\ EventManager\ Database:Filter`	(rootフィルタ設定によって記録されたイベントのうち)データベース拡張に記録するイベントを区切るイベント・ロギング・フィルタ。省略記号「…」ボタンをクリックして、記録するイベントのリストを表示します。	デフォルト: 0 4: Credential Edit 8: Credential Delete 10: Credential Copy 20: Credential Add 100: Provisioning 200: Startup/Shutdown 400: Help 800: Settings Change 1000: Reauthentication 10000: Sync User Information 20000: Logon Field: System Username 40000: Logon Field: System Domain 80000: Logon Field: Third Field 100000: Logon Field: Username 200000: Logon Field: Fourth Field 800000: Application Password Change 1000000: Primary Logon Method Change 4000000: Backup/Restore 40000000: Event Types: Info	Yes	dword/Ø

2.17.11.6.1 イベント・フィールド

「Event Fields」画面には、イベント・ログで各フィールドに割り当てられたデータがリストされています。フィールドは、次の表で指定されたように、ログ情報へマッピングされます。

目的のフィールドの横のボックスをチェックすることで、ログに含めるイベントを選択できます。フィールド9および10には、事前割当てがありません。ボックスをクリックして、チェックボックスの横に目的のフィールドの名前を入力することで、これらのフィールドにカテゴリを割り当てます。使用可能なイベント名については、「Database」画面の「Events to log」リストを参照してください。

表示名/ レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
AppName `Extensions\EventManager\ Database\EventFields: AppName`	イベント・ログのアプリケーションの名前	デフォルト: AppName	Yes	文字列/ 文字列
Category `Extensions\EventManager\ Database\EventFields: Category`	イベントのカテゴリ。	デフォルト: Category	Yes	文字列/ 文字列
Type `Extensions\EventManager\Database\EventFields:Type`	イベントの特定のタイプ。	デフォルト: Type	Yes	文字列/ 文字列
TimeStamp `Extensions\EventManager\ Database\EventFields: TimeStamp`	イベントの時間。	デフォルト: TimeStamp	Yes	文字列/ 文字列
Field1 `Extensions\EventManager\ Database\EventFields: Field1`	イベント・タイプ	デフォルト: イベントのタイプ	Yes	文字列/ 文字列
Field2 `Extensions\EventManager\ Database\EventFields: Field2`	UserID	デフォルト: ユーザーID	Yes	文字列/ 文字列
Field3 `Extensions\EventManager\ Database\EventFields: Field3`	3番目のフィールド	デフォルト: 3番目のフィールド	Yes	文字列/ 文字列
Field4 `Extensions\EventManager\ Database\EventFields: Field4`	4番目のフィールド	デフォルト: 4番目のフィールド	Yes	文字列/ 文字列
Field5 `Extensions\EventManager\ Database\EventFields: Field5`	Windowsユーザー	デフォルト: Windowsユーザー	Yes	文字列/ 文字列
Field6 `Extensions\EventManager\ Database\EventFields: Field6`	ドメイン	デフォルト: ドメイン	Yes	文字列/ 文字列
Field7 `Extensions\EventManager\ Database\EventFields: Field7`	コンピュータ名	デフォルト: コンピュータ名	Yes	文字列/ 文字列
Field8 `Extensions\EventManager\ Database\EventFields: Field8`	SSO Syncユーザー	デフォルト: SSO同期ユーザー	Yes	文字列/ 文字列
Field9 `Extensions\EventManager\ Database\EventFields: Field9`	必要に応じてカスタマイズ可能。	Open	Yes	文字列/ 文字列
Field10 `Extensions\EventManager\ Database\EventFields: Field10`	必要に応じてカスタマイズ可能。	Open	Yes	文字列/ 文字列

2.17.11.7 Kiosk Manager設定

「Kiosk Manager」設定を使用して、Kiosk環境のセッションを構成します。

注意:

Kiosk Managerを使用する場合、「User Experience」設定で非表示または最小化されたウィンドウへの応答を無効にする必要があります。

2.17.11.7.1 セッションの終了

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Allow administrator to close Kiosk Manager `SM\Agent: AdministrativeClose`	管理者がKiosk Managerを閉じることができるかどうかを指定します。この設定を有効にすると、管理者資格証明を持ったユーザーのみがエージェントを閉じることができます。	0: No 1: Yes (デフォルト)	Yes	dword
Number of times to process termination `SM\Agent: TerminationIteration`	Kiosk Managerがアプリケーションの停止を実行する回数を入力します。ここでは停止処理を、順序に関係なく指定された回数(または停止が完了するまで)繰り返すように設定します。これによってKiosk Managerは、停止処理中にアプリケーションが複数の画面を表示している場合にも対応することができます。	デフォルト: 1	Yes	dword/ 整数
Timeout for locked session `SM\Agent:ExpireTerm`	Kiosk Managerが一時停止中/ロック中のセッションを閉じるまでの非アクティブな時間(秒)を入力します。	デフォルト: 600 (15分)	Yes	dword/ 整数

2.17.11.7.2 マルチセッション構成

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Maximum number of sessions

SM\Agent: MaxSessions

一度に許可されるセッションの最大数を指定します。

ゼロを設定した場合は、1つのセッションとして解釈されます。

注意: この設定に最大数はありません。

デフォルト: 1

Yes

dword/
整数

Track memory consumption

SM\Agent:TrackMemory Consumption

Kiosk Managerが自動的にセッションを閉じるメモリー使用量のレベルを決定します。システムのメモリー使用量がこの値に設定した割合に達した場合、Kiosk Managerは最も古いユーザー・セッションを自動的に閉じます。

最小値: 0 (無効)

最大値: 100

デフォルト: 90

Yes

dword/
整数

2.17.11.7.3 キャッシュされた資格証明

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Use cached credentials

SM\Agent: UseCachedCredentials

キャッシュされた資格証明を使用するかどうかを指定します。この設定が有効である場合、ログオン時に、エージェントにキャッシュされた資格証明のリストが表示され、そこから選択を行うことができます。この設定が無効である場合、エージェントにリストが表示されず、ユーザーは、ログオン時にユーザー名を入力する必要があります。

キャッシュされた資格証明を有効にすると、パフォーマンスが向上します。

注意: プライマリ・ログオン方法として、Universal Authentication Managerを使用する場合、キャッシュされた資格証明を使用できません(つまり、この設定に「No」を選択します)。Universal Authentication Managerの構成およびデプロイの詳細は、Oracle Enterprise Single Sign-On Suiteのインストレーション・ガイドおよび第5章「Universal Authentication Managerによる厳密なオーセンティケータの構成」を参照してください。

0: No (デフォルト)

1: Yes

Yes

dword

Storage Path

SM\Agent: CachedCredentials StoragePath

キャッシュされた資格証明を格納するデフォルトのフォルダを指定します。デフォルトは空の文字列です。

この値が空の場合、デフォルトのフォルダは次のとおりです。

C:\Documents and Settings\<Kiosk User>\Local Settings\ Application Data\ Passlogix\ SessionData\Kiosk Manager User.

デフォルト: 空の文字列

Yes

文字列

Expiration Date

SM\Agent: CachedCredential Expiration

キャッシュされた資格証明を保持する日数を指定します。0(ゼロ)は、この機能が無効であることを示します。

デフォルト: 30

Yes

dword/
整数

2.17.11.7.4 厳密認証オプション

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Lock session on smart card removal `AUI\SCauth: LockSMOnRemoval`	セッション所有者がリーダーからスマート・カードを取り外した場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、スマート・カードの取外し後もオープンしたままになります。この設定は、従業員が、常にスマート・カードを表示する必要があるため、リーダーにスマート・カードをはめ込んだままにしておくことができない場合に役に立ちます。	0: No 1: Yes (デフォルト)	Yes	dword
Lock session on read-only smart card removal `AUI\ROSCauth:LockSMOnRemoval`	セッション所有者がリーダーから読取り専用のスマート・カードを取り外した場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、読取り専用のスマート・カードの取外し後もオープンしたままになります。この設定は、従業員が、常に読取り専用のスマート・カードを表示する必要があるため、リーダーにスマート・カードをはめ込んだままにしておくことができない場合に役に立ちます。	0: No 1: Yes (デフォルト)	Yes	dword
Lock session on ESSO-UAM token removal `AUI\SCauth: LockSMOnRemoval`	セッション所有者がリーダーからUniversal Authentication Managerログオン・トークンを取り外した(または、パッシブ近接型トークンでは、タッチを離した)場合にセッションをロックするかどうかを指定します。ロックしない設定になっている場合は、セッションは、トークンの取外し後もオープンしたままになります。この設定は、従業員が、常にトークンを表示する必要があるため、リーダーにトークンをはめ込んだままにしておくことができない場合に役に立ちます。注意: ゼロ(0)以外の値の場合、トークン・イベントがKiosk Managerに転送されます。ここで選択したすべての設定は、Universal Authentication Managerのすべてのオーセンティケータに適用されます。	0: No 1: Yes (デフォルト)	Yes	dword
Pre-populate on startup `SM\Agent:Prepopulate`	起動時に事前移入手順を実行するかどうかを指定します。オーセンティケータでこの手順が必要であり、認証マネージャがインストールされていない場合は、この設定によってKiosk Managerによる必要な事前移入の実行が可能になり、Synchronization Managerによる再認証が不要になります。注意: プライマリ・ログオン方法として、Universal Authentication Managerを使用する場合、起動時に、事前移入を実行する必要があります(つまり、この設定に「Always」を選択します)。Universal Authentication Managerの構成およびデプロイの詳細は、Oracle Enterprise Single Sign-On Suite Plusのインストレーション・ガイドおよびUniversal Authentication Managerの管理者ガイドを参照してください。	0: On device-inイベント (デフォルト) 1: Always 2: Never	Yes	dword
Monitor for device events `SM\Agent: DeviceMonitoring`	Kiosk Managerがデバイスの挿入および取外しイベントをアクティブにモニターするかどうかを指定します。注意: Universal Authentication Managerとの統合のためには、この設定に「Always」を設定する必要があります。	0: Never 1: Only when Access Manager is installed (デフォルト) 2: Always	Yes	dword

2.17.11.7.5 監査ロギング

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Event Log Name `SM\Agent:EventLogName`	Kiosk ManagerイベントのWindowsイベント・ログの名前を入力します。	デフォルト: Application	Yes	文字列
Event Log Machine Name `SM\Agent: EventLogMachine`	Kiosk Managerイベントを記録するローカル・マシンの名前を入力します。		No	文字列

2.17.11.8 Kiosk Managerのユーザー・インタフェース

「User Interface」設定では、Kiosk Managerの外観およびエンド・ユーザーとの対話を制御します。

2.17.11.8.1 オプション

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Allow computer restart `SM\Agent:AllowRestart`	Kiosk Manager Desktop Managerにおけるコンピュータ再起動オプションの有効または無効を指定します。「Administrator must supply password」を選択することによって、管理者のみがコンピュータを再起動する権限を持つようにもできます。注意: Kioskアカウントに十分な権限がない場合、再起動が無効になる場合があります。	0: No (デフォルト) 1: Yes 2: Administrator must supply password	Yes	dword
Allow computer shutdown `SM\Agent: AllowShutdown`	Kiosk Manager Desktop Managerにおけるコンピュータ停止オプションの有効または無効を指定します。「Administrator must supply password」を選択することによって、管理者のみがコンピュータを停止する権限を持つようにもできます。注意: Kioskアカウントに十分な権限がない場合、停止が無効になる場合があります。	0: No (デフォルト) 1: Yes 2: Administrator must supply password	Yes	dword
Show confirmation message when restarting kiosk `SM\Agent: ConfirmRestart`	Kioskの再起動を選択した後に、ユーザーに確認メッセージが表示されるかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword
Show confirmation message when shutting down kiosk `SM\Agent: ConfirmShutdown`	Kioskの停止を選択した後に、ユーザーに確認メッセージが表示されるかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword
Lock session when screen saver times out `SM\Agent: LockOnScreenSaver`	スクリーン・セーバー・タイムアウトが発生した場合に、セッションをロックするかどうかを指定します。空白値は、値を「No」に設定した場合と同じ影響があります。スクリーン・セーバー・タイムアウトが発生した場合に、Kiosk Managerがセッションをロックするかどうかを指定します。この値を「No」 (デフォルト値)に設定するかまたは設定を指定しない場合、セッションの制御にデバイス検出が使用されたときは、スクリーン・セーバー・タイムアウトが発生した後に、Kiosk Managerはセッションをロックしません。この値を「Yes」に設定する場合、Kiosk Managerは、セッションをロックします。	0: No (デフォルト) 1: Yes	Yes	dword
Timeout for authentication prompt `SM\Agent:AuthTerm`	同期/認証ダイアログが(非アクティブのために)閉じるまでの時間(秒単位)を入力します。	デフォルト: 600 (15分)	Yes	dword/ 整数

2.17.11.8.2 ステータス・ウィンドウ

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Show desktop status window `SM\Agent: DisplayDesktopStatus`	現在のセッション所有者を表示するオプションのウィンドウを表示するかどうかを指定します。	0: No (デフォルト) 1: Yes	Yes	dword
X coordinate `SM\Agent: DesktopStatusX`	ステータス・ウィンドウのX座標(水平位置)を入力します。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数
Y coordinate `SM\Agent: DesktopStatusY`	ステータス・ウィンドウのY座標(垂直位置)を入力します。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数

2.17.11.8.3 透過的な画面ロック

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Use transparent lock `SM\Agent: TransparentLock`	透過的な画面ロックを有効にするかどうかを指定します。透過的な画面ロックを有効にするかどうかを指定します。透過的な画面ロックは、表示モードでデスクトップ入力(キーボードおよびマウス)をロックする機能を提供します。たとえば、セッションを開始することなく、モニタリング・アプリケーションの表示が可能です。複数のセッションを実行している場合、透過的な画面ロックが機能すると、最後にアクティブなセッションが表示されます。	0: No (デフォルト) 1: Yes, but only for active session 2: Yes	Yes	dword
Delay period `SM\Agent: TransparentLockTime`	デスクトップを表示する前にマウスおよびキーボードの非アクティブな状態を待機する秒数を指定します。注意: この機能を使用するには、上述の「Use transparent lock」設定を有効にする必要があります。	5: デフォルト	Yes	dword/ 整数
Ignore delay period if authentication is canceled `SM\Agent: TransparentDisplay AfterCancel`	オーセンティケータまたはシンクロナイザ・ダイアログのキャンセル後すぐに透過性を有効にするかどうかを指定します。注意: この機能を使用するには、上述の「Use transparent lock」設定を有効にする必要があります。	0: No (デスクトップは、非アクティブなタイマーが期限切れになるときに表示されます。)(デフォルト) 1: Yes (デスクトップはすぐに表示されます。)	Yes	dword
Only recognize Ctrl-Alt-Del `SM\Agent: TransparentOnly RecognizeCAD`	[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックすることおよびdevice-inをサポートするオーセンティケータのみが、Desktop Managerを表示する方法としてエージェントに認識されるかどうかを指定します。	0: No (すべてのキーボード・アクティビティまたはマウス・アクティビティで、Desktop Managerを表示します。)(デフォルト) 1: Yes (エージェントは、すべてのキーボード・アクティビティまたはマウス・アクティビティを無視します。[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックすることおよびdevice-inをサポートするオーセンティケータのみが、Desktop Managerを表示する方法として認識されます。)	Yes	dword

2.17.11.8.4 Kiosk Managerのバックグラウンド・イメージの設定

このパネルは、会社ロゴなどのバックグラウンド・イメージをKiosk Manager Desktop Managerに配置する場合に使用します。

Desktop Managerのバックグラウンド・イメージの管理設定を構成するには、次の手順を実行します。

Kiosk Managerのすべてのデスクトップ・カスタマイズ設定の使用例については、「Desktop Managerのカスタマイズ」を参照してください。

管理コンソールを開きます。
「Global Agent Settings」 > 「Live」 > 「Kiosk Manager」 > 「User Interface」 > 「Background Image」にナビゲートします。

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Location of image file `SM\Agent\Desktop:LogoPath`	イメージ・ファイルの完全修飾されたパスおよびファイル名。ファイル名を含めて、イメージの完全修飾されたパスをイメージ・ファイルに入力します。省略記号「…」ボタンをクリックして、ファイルを検索します。		Yes	文字列/ ファイル名
X coordinate `SM\Agent\Desktop:LogoX`	イメージのX座標(水平位置)を入力します。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数
Y coordinate `SM\Agent\Desktop:LogoY`	イメージのY座標(垂直位置)を入力します。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数
Width `SM\Agent\Desktop:LogoWidth`	イメージの幅を入力します(ピクセル単位)。	デフォルト: 300	Yes	dword/ 整数
Height `SM\Agent\Desktop:LogoHeight`	イメージの高さを入力します(ピクセル単位)。	デフォルト: 300	Yes	dword/ 整数
Placement behavior `SM\Agent\Desktop:LogoMode`	イメージの座標およびディメンションについての処理方法を指定します。	0: Normal (イメージを座標の左上隅に配置し、指定した高さおよび幅よりも大きい場合は一部が切り取られます) (デフォルト) 1: Auto (座標の左上隅にイメージを配置します) 2: Center (イメージは座標の中心に配置され、指定した高さおよび幅より大きい場合は一部が切り取られます) 3: Stretch (イメージは指定した座標に合わせて拡大または縮小されます) 4: Maximize (イメージは、全画面サイズまで引き伸ばされます)	Yes	dword

2.17.11.8.5 メッセージ

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Message text `SM\Agent\Desktop:MOTDText`	Desktop Managerに表示するメッセージを入力します。このメッセージは、ユーザーが新しいセッションをロック解除したときに表示されます。		Yes	文字列/ 文字列

2.17.11.8.6 フォント

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Name

SM\Agent\Desktop:MOTDFontName

メッセージ・テキスト・フォントを指定します。ドロップダウン・リストからフォントを選択します。

Yes

文字列/
文字列

Size

SM\Agent\Desktop:MOTDFontSize

メッセージ・テキスト・フォントのサイズを指定します。

デフォルト: 0

Yes

dword/
整数

Style

SM\Agent\Desktop:MOTDFontStyle

メッセージ・テキスト・フォントのスタイルを指定します。

0: Regular (デフォルト)

1: Bold

2: Italic

Yes

dword

2.17.11.8.7 色

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Background `SM\Agent\Desktop:MOTDBackColor`	省略記号「…」ボタンをクリックして、メッセージ・テキストのバックグラウンドの色を選択します。		Yes	文字列/ 色
Foreground `SM\Agent\Desktop:MOTDForeColor`	省略記号「…」ボタンをクリックして、メッセージ・テキストのフォアグラウンドの色を選択します。		Yes	文字列/ 文字列

2.17.11.8.8 配置

表示名/レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
X coordinate `SM\Agent\Desktop:MOTDX`	メッセージ・テキストのX座標を入力します(位置付けはKiosk Managerのデスクトップ画面上で、ステータス・イメージを基準とします)。負の値では、メッセージは、ステータス・イメージの左側に表示されます。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数
Y coordinate `SM\Agent\Desktop:MOTDY`	メッセージ・テキストのY座標を入力します(位置付けはKiosk Managerのデスクトップ画面上で、ステータス・イメージを基準とします)。負の値では、メッセージは、ステータス・イメージの上部に表示されます。注意: 負の値はレジストリ中の大きな正の数によって表示されます。例: -1 = 4294967295および-2 = 4294967294	デフォルト: 0	Yes	dword/ 整数
Width `SM\Agent\Desktop:MOTDWidth`	メッセージ・テキストの幅をピクセル単位で指定します。	デフォルト: 300	Yes	dword/ 整数
Height `SM\Agent\Desktop:MOTDHeight`	メッセージ・テキストの高さをピクセル単位で指定します。	デフォルト: 300	Yes	dword/ 整数
Size automatically `SM\Agent\Desktop:MOTDAutoSize`	テキスト・メッセージを使用可能な領域に合うように自動調整するかどうかを選択します。	0: No (デフォルト) 1: Yes	Yes	dword

2.17.12 Oracle Access Managerのサポート

Logon Managerでは、SSLを使用して1つ以上のAccess Managerエンドポイントを介してAccess Managerに対するセキュアな認証を行い、Access Manager認証Cookieを取得して、それを現在のWebブラウザ・セッションに透過的に取り込むことで、Oracle Access Management Access Managerで保護されたWebアプリケーションへの透過的なシングルサインオン機能を提供します。この100%シームレスな統合によって、Access Managerで保護されたWebアプリケーションのログオン・プロセスの可視性が完全に削除され、パフォーマンスを悪化させずに、すぐにアプリケーションを使用できるようになります。

注意:

Logon Managerでは、Access Managerの事前構成済テンプレートが提供されます。この機能を使用するには、このテンプレートをリポジトリに公開し、Access Managerが有効なLogon Managerクライアント・マシンへ伝播する必要があります。

Access Managerとの統合は、Embedded Credential Collectorを使用している場合のみに可能で、Distributed Credential Collectorはサポートされていません。

この機能を有効にするには、次の操作を実行する必要があります。

Access Managerデプロイメント内の1つ以上のAccess Managerエンドポイントをインストールおよび構成します。
Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドで説明されているように、エンド・ユーザー・マシンで、Logon ManagerのOAMサポート・コンポーネントをインストールします。
OAMで保護されたリソース・テンプレートをリポジトリに公開します。このテンプレートは、管理コンソールインストールに含まれています。
1. 管理コンソールを起動します。
2. 「Applications」ノードで右クリックして、「New Web App」を選択します。
3. 使用可能なアプリケーションのドロップダウン・リストから「OAM Protected Resources」を選択します。
4. 「Finish」をクリックします。OAMで保護されたリソース・アプリケーションは、「Applications」ノードの下にリストされています。URLまたはログオン・フィールドを変更する必要はなく、テンプレートはすぐに使用できるように構成されています。

Access Manager設定で説明されるように、Logon Managerが目的のAccess Managerエンドポイントに接続するように構成します。(2つ以上のエンドポイントが指定されている場合、Logon Managerは、管理コンソールに入力された順に接続が確立するまで、指定されたそれぞれのエンドポイントへの接続を試行します。)

注意:

エンドポイントURLを次の形式でのみ入力する必要があります。

https://<server>:<port>/oam/services/rest/11.1.2.0.0/sso/token/

<server>は、ターゲット・エンドポイントの完全なネットワーク・アドレスで、<port>は、エンドポイントが接続をリスニングするポート数です。

次のいずれかの方法を使用して、Logon Managerにエンド・ユーザーのAccess Manager資格証明を提供します。
- Provisioning Gatewayを介した資格証明のリモートでのプロビジョニング
- ユーザーのリポジトリ資格証明を使用してAccess Managerに対する認証をするためのLogon Managerの構成
- Logon ManagerのAccess Managerに対する認証の初めての試行時でのエンド・ユーザーからのAccess Manager資格証明の取得(取得された資格証明は、取得されるとLogon Managerのセキュアなキャッシュに格納され、セキュアなキャッシュが消去されないかぎり、ユーザーは、再度資格証明の入力を求められません。)

次のセッション属性は、Logon Managerによって、セッションへプッシュされます。

属性	説明
$session.attr.client.firewallenabled	クライアント・マシンでファイアウォールがアクティブにするかどうかを指定します。
$session.attr.client.antivirusenabled	クライアント・マシンでウィルス対策アプリケーションをアクティブにするかどうかを指定します。
$session.attr.client.fingerprint	クライアント・マシンの一意識別子を指定します。

Access Managerに対して肯定的に認証された後、Logon Managerが実行中で、管理者によって構成された更新間隔に従って定期的にまたは期限切れのときに更新されているかぎり、セッションCookieは、Webブラウザのキャッシュに残ります。Logon Managerを停止すると、Webブラウザのキャッシュからcookieが削除されます。

注意:

Logon Managerでは、Access Manager資格証明のパスワード変更をサポートしていません。ユーザーのAccess Managerパスワードが期限切れになった場合、他の方法でリセットする必要があります。Logon Managerが現在提供されているAccess Managerの資格証明の認証を行えない場合、ユーザーに有効な資格証明を入力するよう求めます。

「User interface」設定グループの「Authentication dialog message」設定を使用して、ユーザーにAccess Manager資格証明の入力を求めるメッセージを変更することまたはデフォルトのメッセージのまま残すことができます。変更することを選択した場合、特定の環境のユーザーにわかりやすいメッセージを選択します。

2.17.12.1 Access Managerの設定

次の設定でLogon ManagerとのAccess Managerの統合を構成します。

2.17.12.1.1 接続情報

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Endpoints

Extensions\ AccessManager\ WebHO\OAM:EndpointN

エージェントがAccess Managerトークン・エンドポイントとして使用する必要のあるURLのリスト。

ボックスをチェックして、省略記号(…)ボタンをクリックしてから、「Endpoints」ウィンドウに1行ずつURLを入力します。エージェントが試行するすべてのURLを入力したら、「OK」をクリックします。

エージェントは、URLを入力した順に試行し、1つ目のURLが失敗したら、2つ目に進みます。

Yes

文字列/Ø

Use sync credentials to authenticate to OAM

Extensions\ AccessManager\ WebHO\OAM:CredUseSync

Logon Managerがシンクロナイザの資格証明を使用して、自動的にAccess Managerテンプレートのアカウントを作成することを許可します。

注意: この機能は、Active Directory、AD LDS (ADAM)およびLDAPシンクロナイザのみをサポートします。

「Credentials to use」設定の「Use Active Directory server account only」を選択しないかぎり、Active Directoryシンクロナイザでは、この設定を有効にできません。

「Credentials to use」設定の「ADAM server account」を選択しないかぎり、AD LDS (ADAM)シンクロナイザでは、この設定を有効にできません。

0: No (デフォルト)

1: Yes

Yes

dword/Ø

2.17.12.1.2 動作

表示名/
レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Perform OAM server certificate validation

Extensions\AccessManager\ WebHO\OAM: PerformCertificate Validation

エージェントが、エンドポイントへの接続時に、Access Managerサーバー証明書を確認するかどうかを指定します。証明書が無効な場合、接続は確立されません。

0: No。エージェントは、サーバー証明書(低セキュリティ)を無視します(デフォルト)

1: Yes。エージェントは、サーバー証明書を確認します。

Yes

dword/Ø

OAM credentials request retry interval

Extensions\AccessManager\ WebHO\OAM: CredRetryInterval

ユーザーがAccess Manager資格証明のリクエストをキャンセルした場合に、エージェントが再度Access Manager資格証明を要求するまでの間隔(秒単位)を指定します。

値の範囲は、0(エージェントはすぐに資格証明をリクエスト)から300(エージェントは5分後に資格証明をリクエスト)までです。

0から300までの任意の整数。

デフォルトは30です。

Yes

dword/
整数

OAM session renewal interval

Extensions\AccessManager\WebHO\ OAM: SessionRenewalInterval

Access Managerセッション・トークンが有効であるかどうかを検出するために、エージェントがAccess Managerエンドポイントのポーリングに使用する間隔(分)を指定します。

最小値は1分で、これは、エージェントがAccess Managerセッション・トークンの妥当性を1分間隔で確認するということです。

注意: 値が大きいほど、ネットワーク・トラフィックが減りますが、Access Managerセッション・トークンの期限切れに対する検出感度が下がります。

正の整数。

デフォルトは1です。

Yes

dword/
整数

2.17.12.1.3 ユーザー・インタフェース

表示名/ レジストリ・パス	説明	オプション/デフォルト	オーバーライド可能	レジストリ・タイプ/データ型
Authentication dialog message `Extensions\ AccessManager\WebHO\ OAM:AuthWindowSubtitle`	Logon ManagerがユーザーにAccess Manager資格証明を求めるために表示するメッセージ。このメッセージは、使用する環境のユーザーにわかりやすく、デフォルトのメッセージと同等の長さである必要があります。	デフォルト:Logon Manager needs your credentials for Access Manager.これらの資格証明がわからない場合は、管理者に連絡してください。	Yes	文字列/ 文字列

2.17.13 Password Resetとの統合

Universal Authentication Managerチャレンジ質問ログオン方法では、Password Resetを使用して、データの登録Universal Authentication Managerを介してユーザーによって登録された質問および回答を格納でき(既存のPassword Reset登録は、Universal Authentication Managerでは使用できません)、データ登録の移植性を提供します。また、Password Resetとの同期では、Password Resetによって、異なるユーザーやグループおよび各質問の重み付けの個々のカスタマイズに使用可能な質問に対する制御ができます。

Universal Authentication ManagerとPassword Resetを統合するよう構成するには、次の操作を実行する必要があります。

チャレンジ質問ログオン方法がまだインストールされていない場合は、インストールします。手順については、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。
Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドで説明されているように、Password Resetをインストールおよび構成します。
Password Reset同期URLを取得します。URLの形式は、https://<hostname>:<port>/vGOSelfServiceReset/WebServices/Synchronization.asmxです。
Universal Authentication Managerを構成して、第5章の「Password Resetとの統合」で説明されるように、Password Resetと同期します。
Password Reset内で説明されるように、チャレンジ質問を構成します。詳細は、第4章「管理コンソールを使用したPassword Resetの構成」を参照してください。
Universal Authentication Managerを介して、チャレンジ質問ログオン方法を登録することで、ユーザーに、質問を選択して、回答を提供するよう指示します(既存のPassword Reset登録は、Universal Authentication Managerで使用できません)。

Universal Authentication Managerで、認証にPassword Reset質問および回答を使用するよう構成するには、次を実行します。

管理コンソールを起動します。
「Global Agent Settings」ノードの下で、変更する設定のセットへナビゲートするか、必要に応じてロードします。
「Password Reset」ノードにナビゲートして、選択します。
右側のペインで、「Password Reset Synchronization URL」オプションの横のチェックボックスを選択して、https://<hostname>:<port>/vGOSelfServiceReset/WebServices/Synchronization.asmxの形式で適切なURLを入力します。

注意:
SSL接続のPassword Resetデプロイメントを構成していない場合、https://をhttp://に置換します。
エンド・ユーザー・マシンへの配布用に、.REGファイルへ設定をエクスポートします。
1. 「File」メニューで、「Export」を選択します。
2. 表示されるダイアログで、「HKLM Registry Format (.REG)」をクリックします。
3. 表示される「Save」ダイアログで、目的のターゲットの場所にナビゲートして、説明的なファイル名を入力して、「Save」をクリックします。

.REGファイルをエンド・ユーザー・マシンに配布して、各マシンのWindowsレジストリにマージします。

注意:

reg.exe COPY HKLM\Software\Passlogix HKLM\Software\Wow6432Node\Passlogix /s

2.17.13.1 Password Resetの設定

表示名/レジストリ・パス説明オプション/デフォルトオーバーライド可能レジストリ・タイプ/データ型

Password Reset synchronization URL

SSPR\Sync:SyncURL

Universal Authentication Managerで、認証目的でチャレンジ質問としてPassword Resetの登録インタビューを使用するよう構成する場合、Password Reset同期サーバーへのURLを指定します。

例

https://server/vGOSelfServiceReset/WebServices/Synchronization.asmx

注意: SSL接続のPassword Resetデプロイメントを構成していない場合、https://をhttp://に置き換えます。

Yes

文字列/
文字列

2.17.14 構成テスト・マネージャの使用

このツールでは、グローバル・エージェント設定をテストして、正しく構成されていることを確認します。

注意:

これらのテストは、Active Directoryリポジトリのみで実行できます。

このツールにアクセスするには、次のいずれかを実行します。

「Tools」メニューから「Test Global Agent Settings」を選択します。この場所からテスト・マネージャにアクセスする場合、テストするグローバル・エージェント設定のセットを選択する必要があります。

または
グローバル・エージェント設定のセットで右クリックして、「Test」をクリックします。この場所からテスト・マネージャにアクセスする場合、テストは、グローバル・エージェント設定のそのセットのみで実行されます。

テスト・マネージャで行われたすべての変更は、管理コンソールに反映されます。テスト・マネージャの起動時に、ダイアログ・ボックスが表示され、テスト・マネージャで行ったすべての変更が管理コンソールに反映されたことを知らせます。「Do not show this notice again」を選択すると、このメッセージを閉じることができます。

注意:

このツールを使用する前に、このヘルプ情報を確認することに加えて、『ディレクトリ・ベースのリポジトリでのLogon Managerのデプロイ』および「グローバル・エージェント設定でのエージェントの構成」を参照することをお薦めします。

これらでは、リポジトリでのLogon Managerのデプロイおよびグローバル・エージェント設定および管理オーバーライドを使用したLogon Managerエージェントの構成のベスト・プラクティスおよび推奨の手順を説明します。

テスト・プロセスには次の3つのステージがあります。

カテゴリの選択。テスト・カテゴリを選択して、実行するテストを選択します。
パラメータの入力。テストを実行するために必要なすべてのデータを入力します。
実行および結果。テストの実行、結果の表示および必要に応じて変更を行います。

2.17.14.1 Categories

このツールを開くと、左側のペインで「Categories」ステージが選択されています。「Test Categories」ペインには、カテゴリおよび個々のテストがリストされています。

「Test Categories」リストは、対話型で、目的のカテゴリのチェックまたはチェック解除、個々のテストを表示するカテゴリの展開または縮小ができます。任意のカテゴリをチェックするか、または、右側のペインにテストおよび説明が表示されます。

デフォルトでは、すべてのカテゴリが選択されています。個々のテストを選択することはできません。

1つ以上のカテゴリが選択されているかぎり、「Next」ボタンおよび「Parameters」ステージが有効です。「Execution and Results」ステージは、データ・パラメータが満たされるまで使用できません。

「Synchronization」テスト・カテゴリには、同期設定を確認する、次の個々のテストが含まれています。

テスト名	テストの説明
Server Validation	指定したサーバーが有効なサーバー名で、アクセス可能かどうかを検証します。IPアドレスがサーバー名として入力されている場合、またはサーバーにアクセスできない場合、このテストに失敗します。
SSL Configuration	SSLが有効であるかを確認するためにサーバーを確認します。SSLがサーバーで有効化されておらず、管理コンソールでは有効化されている場合、このテストは失敗します。
Schema Extension	スキーマが拡張されているかどうかを検証します。スキーマが拡張されていない場合、このテストに失敗します。
User Object Schema Extension	Active Directoryユーザー・オブジェクトの下でスキーマが展開していることを検証します。スキーマが拡張されていない場合、このテストに失敗します。このテストは、Active Directoryシンクロナイザのみに適用されます。
Configuration Object Retrieval	「Configuration Objects Base Location」パスが有効で、構成オブジェクトがテスト資格証明で取得できることを検証します。パスが有効ではない場合または指定したテスト資格証明が構成オブジェクトを取得する権限を持っていない場合、このテストに失敗します。
Credential Location Access Rights	資格証明をアップロード、取得および削除するサーバーの資格証明の場所に適切なアクセス権が割り当てられていることを検証します。指定した資格証明に、これらのアクションを実行する権限がない場合、このテストに失敗します。

「Synchronization」テスト・カテゴリが選択されていることを確認して、「Next」をクリックするか、または、左側のペインの「Parameters」ステージをクリックします。

2.17.14.2 パラメータ

「Parameters」ステージでは、テストを実行するために必要なすべてのデータを収集します。このステージ中にリクエストされるデータは、「Categories」ステージで選択されるテスト・カテゴリに依存します。

「Execution and Results」ステージは、データ・パラメータが満たされるまで使用できません。

2.17.14.2.1 テスト・パラメータ

パラメータは、「Test Parameters」ペインにリストされており、選択したテストに基づき動的です。各パラメータには、「Needed」または「Acquired」のステータス・アイコンがあり、注意が必要なパラメータを視覚的に示します。たとえば、ユーザー資格証明が取得されておらず、グローバル・エージェント設定が取得されている場合、「Test Parameter」リストは、次のように表示されます。

2.17.14.2.2 データ

右側の「Data」ペインに、各パラメータに必要なデータを入力します。

テストを実行する前に、必要でデータすべてを入力する必要があります。すべてのパラメータが正常に取得されると、「Next」ボタンおよび「Execution and Results」ステージが使用可能になります。

「Data」ペインの下部にある「Next Parameter」ボタンは、複数のパラメータがある場合に有効になります。これにより、すべてのパラメータのクリックがすばやくできます。

注意:

入力したデータ・パラメータの品質が良いことを確認することが大切です。データが存在し、ステータスが取得済に設定されているだけでは、データが正しいというわけではありません。

入力すると、現在のセッションに取得されます。将来のセッションのために、データ保存またはクリアできます。

データの保存。将来のセッションのために、データを保存する場合、「Data」ペインの下部にある「Save this value」チェック・ボックスがチェックされていることを確認します。
データのクリア。このセッションおよび将来のセッションのために、データをクリアする場合、「Data」ペインの上部にある「Clear All Data」ボタンをクリックします。これを実行するかどうかを確認するメッセージが表示されます。このアクションを確認すると、入力されたすべてのパラメータがクリアされ、すべてのパラメータのステータスが「Needed」になります。また、「Execution & Results」ステージに進むオプションも無効になります。

すべてのデータを入力した後、「Next >」をクリックするか、または左側のペインで「Execution & Results」ステージを選択します。

すべてのデータの取得後に、次のステージに進みます。

2.17.14.3 実行と結果

「Execution & Results」ステージでは、テストの実行、結果の表示および必要に応じて変更を行います。

「Parameters」ステージ中に必要なすべてのデータを入力するまで、「Execution & Results」ステージに進むことはできません。

「Test Execution and Results」ペインには、実行するすべてのテストが実行する順にリストされています。「Execute Tests」をクリックすると、テストが実行され、テストの進行中に、テストのステータスを示すアイコンが表示されます。5つのステータスがあります。

Passed。テストが完了し、成功しました。
Need info。ユーザーが求められた情報を入力するまで、テストを一時停止します。
Warning。ユーザーに警告を通知し、テストは一時停止中です。
Failed。テストに失敗しました。テストが失敗した理由を説明する情報が提供されます。1つのテストに失敗すると、すべてのテストが停止します。
In Progress。テストが進行中です。

テストの実行後に、それらをクリックして、「Description」ペインで結果および各テストについてのメッセージを読むことができます。

2.17.14.3.1 説明

「Description」ペインには、テストの説明が提供されます。テストの実行中、「Description」ペインの下部に、警告、成功および失敗の状況および情報を変更してテストを続行するフィールドが提供されます。

「Execute Tests」ボタンで、テストを開始します。テストを実行すると、「Execute Tests」ボタンが「Stop Test」に切り替わり、必要に応じて、テストをキャンセルできます。

このペインでは、「Failed」または「Need Info」のテスト結果のいずれかと対話できます。情報およびアクションまたは変更を行いテストを再実行できるフィールドが表示されます。

2.17.14.3.2 すべてのデータのクリア

このテストおよび将来のセッションのために、データをクリアする場合、「Description」ペインの上部にある「Clear All Data」ボタンをクリックします。これを実行するかどうかを確認するメッセージが表示され、2つのパスが提供されます。

すべてのパラメータを削除するには、「OK」をクリックします。
ダイアログ・ボックスを閉じ、すべてのデータを保持するには、「Cancel」をクリックします。

「OK」をクリックして、以前にテストを実行して、右側のフレームに結果がある場合、テスト結果は残りますが、「Execute Test」ボタンは無効になります。

構成がすべてのテストに合格した後、右上のタイトル・バーのXでテスト・マネージャを閉じることで、終了できます。また、「Clear All Data」ボタンを使用して、「Categories」または「Parameters」ページにナビゲートして、異なるテストを実行するために設定することもできます。

2.18 Logon Managerのデプロイ

この項では、ネットワーク環境でLogon Managerをパッケージング、デプロイおよび管理するためのオプションについて説明します。

デフォルトのMSIデプロイメント・オプション
Anywhereを使用したエージェントのデプロイ
MSIジェネレータ
その他のデプロイメント・ツールの使用

2.18.1 デフォルトのMSIデプロイメント・オプション

この項では、デフォルトのMSIパッケージの使用について次の観点から説明します。

出荷時のMSIパッケージでのインストールの実行
コマンド行からのインストール
MSIパッケージのリモート・インストール
MSIパッケージの編集
コンソールで作成されたアプリケーション・ログオンおよびグローバル・エージェント設定の追加
その他のデプロイメント・ツールの使用

2.18.1.1 出荷時のMSIパッケージでのインストールの実行

出荷時のMSIパッケージを使用してインストールを実行するには、ネットワーク共有からsetupプログラムを実行してプロンプトに従います。環境はそれぞれ異なり、環境ごとに様々な要件があるため、カスタム・インストールを実行して、目的のコンポーネントを選択することをお薦めします。

詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。

2.18.1.2 コマンド行からのインストール

MSIパッケージはコマンド行からインストールできます。これを行うには、適切なパラメータを指定してセットアップ・プログラムを実行します。コマンド行の構成要素は、実行可能ファイル名、InstallShieldパラメータ(たとえば、通知なしのインストールの場合は/qn)およびLogon Manager機能名です。

コマンド	目的
`/qn`	`MSI`パッケージは、通知なしでインストールされます(オプション)。
`RUNVGO`	インストール後にエージェントを起動するかどうかを指定します(「YES」または「NO」)。
`MDAC`	MDACをインストールするかどうかを指定します(「YES」または「NO」)。
`ADDLOCAL` "`FeatureNames`"	`FeatureNames`は、インストールするLogon Manager機能のカンマで区切られたリストです。指定可能な値のリストについては、MSIパッケージの内容のOracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。

注意:

引用符は重要です。引用符は、各オプションの値(等号(=)の後)およびMSI機能リストの前後に付ける必要があります。

例

コア、Windowsオーセンティケータ、Microsoft Internet Explorerまたはホストのサポートなし、およびMicrosoft Active Directoryシンクロナイザをインストール(視覚的なサインの表示なし)してから、次のようにエージェントを起動します。

Msiexec /i ProductName.msi /qn RUNVGO="YES" ADDLOCAL="Core,Authenticators,SLA,LogonMgr,SetupMgr,SyncMgr,AD_Sync,English_Pack"

2.18.1.3 MSIパッケージのリモート・インストール

コンピュータにLogon Managerをリモートでインストールするために、システムが次の条件を満たしていることを確認します。

Windowsインストーラが、リモート・コンピュータに存在する必要があります。
MSIパッケージから、リモート・コンピュータにアクセスできる必要があります。
リモート・インストールを実行するユーザーは、リモート・コンピュータへの管理者アクセス権を持っている必要があります。

2.18.1.3.1 MSIパッケージの編集

組織によっては、Oracle提供のオプションのコンポーネントを指定しない状態、または追加コンポーネント(代替オーセンティケータなど)を指定した状態で、MSIパッケージを配布します。管理コンソールには、企業のニーズに対応するカスタムMSIの作成に使用できるMSIジェネレータが含まれます。

2.18.1.3.2 コンソールで作成されたアプリケーション・ログオンおよびグローバル・エージェント設定の追加

カスタムMSIジェネレータを使用すると、変更済のLogon Managerインストール・パッケージを作成することもできます。この機能を使用して作成した変更済のMSIパッケージには、次を含めることができます。

entlist.iniファイルまたは現在の管理コンソール構成から選択されたアプリケーション・ログオン。
管理オーバーライド(.ini)ファイルまたは現在の管理コンソール構成からのエージェント設定。

これを実行するには、「Tools」メニューの「Generate Customized MSI」コマンドを使用します。

注意:

構成テスト・マネージャを使用して、グローバル・エージェント設定を適切に構成したことを確認します。

2.18.1.4 Microsoft Windows Installer (MSI)パッケージ

Logon Managerは、MSIパッケージ(Microsoftやその他のベンダーのインストーラで使用される標準形式)として出荷されます。他の多数のインストーラは、MSIファイルを読み取ることができます。Logon Manager設定MSIの内容の詳細は、Oracle Enterprise Single Sign-On Suiteリリース・ノートを参照してください。

次のような特殊な要件を満たすためにMSIパッケージの作成が必要な場合があります。

カスタム・アプリケーションおよびLogon Managerエージェント構成を指定する。
エンド・ユーザーがエージェントをインストールする前に、一部のオプションまたはコンポーネント(別のオーセンティケータなど)を非アクティブ化する。
複雑な環境(バイオメトリック・セキュリティ・デバイスまたは一般的でないネットワーク・トポロジを使用している環境など)に対応するためにオプションまたはコンポーネントを追加する。

これらの要件を満たすために、次のオプションがあります。

コマンド行インストールを使用する。
管理コンソールのカスタムMSIジェネレータを使用してインストーラ・パッケージをカスタマイズする。
管理コンソールで作成したログオンおよびグローバル・エージェント設定の構成をインストーラに含める。

注意:
構成テスト・マネージャを使用して、グローバル・エージェント設定を適切に構成したことを確認します。
サード・パーティのデプロイメント・ツールを使用してデプロイする。

2.18.2 Anywhereを使用したエージェントのデプロイ

Anywhereを使用すると、Logon Manager、認証マネージャおよびProvisioning Gatewayの構成を任意に組み合せて簡単かつ柔軟にデプロイでき、管理者の操作はほとんど必要ありません。

社内メンバーに必要な数の構成を作成し、Anywhereによりスナップショットを作成して、該当するユーザーに配布する完全なデプロイメント・パッケージをコンパイルできます。Anywhereによってアップグレードおよびロールバックの処理も容易になり、手動による操作はほとんど必要ありません。

Anywhereコンポーネントを使用してLogon Managerを構成およびデプロイする手順の詳細は、第3章「Anywhereによるエージェント・デプロイメントの構成」を参照してください。

2.18.3 MSIジェネレータの使用

MSIジェネレータを使用すると、既存のMSIパッケージに基づいて、Logon Managerのエンド・ユーザーへの一括デプロイメントに使用するカスタムMSIパッケージを作成できます。

通常、MSIの生成は、Logon Managerの初期デスクトップ・インストールにログオンまたは設定を含めるように、Logon Managerインストール・パッケージ(Logon Manager配布ディスクの\Full\setup.msi)を変更するために使用します。作成するMSIファイルには、次のものが含まれます。

entlist.iniファイルまたは現在の管理コンソール構成から選択されたアプリケーション・ログオン。
管理オーバーライド(.ini)ファイルまたは現在の管理コンソール構成からのエージェント設定。

このツールにアクセスするには、「Tools」メニューから「Generate Customized MSI」を選択します。

注意:

このツールを使用する前に、このヘルプ情報以外にも、大量デプロイメントのためにLogon Managerをパッケージングする方法について、Oracle Enterprise Single Sign-On Suiteのインストレーション・ガイドを参照してください。

.MSIの生成プロセスには次の3つのステージがあります。

ベースMSIの選択。ベースMSIファイルを選択します。
MSI機能の選択。カスタムMSIファイルに含める機能を選択します。
グローバル・エージェント設定セットの選択と新しいMSIの生成。含めるグローバル・エージェント設定ファイルおよび出力ファイルの場所を選択します。

2.18.3.1 ベースMSIの選択

このツールを開くと、左側のペインで「Base MSI Selection」ステージが選択されています。その他のすべてのステージは、ベースMSIファイルが選択されるまで使用できません。

要素	機能
ベース(MSI)…	カスタマイズするベース・インストーラ・パッケージ。ファイル名を入力するか、省略記号(…)ボタンをクリックして、.msiファイルを選択します。
出力(MSI)…	エンド・ユーザーに送信する、カスタマイズされたインストーラ・パッケージ。ファイル名を入力するか、省略記号(…)ボタンをクリックして、既存の.msiファイルを選択します。

「Path」フィールドで「Browse …」をクリックしてMSIファイルにナビゲートし、「Open」をクリックします。無効なMSIファイルを選択した場合は、MSIファイルのオープンに失敗したことを示すメッセージが表示されます。
「Next >」をクリックするか、左側のペインでステージを選択します。

2.18.3.2 MSI機能の選択

「Feature Selection」ステージは、有効なMSIファイルの選択後、使用可能になります。機能はツリー構造で表示されます。

選択を行い、「Next >」をクリックするか、左側のペインで「New MSI Generation」ステージを選択します。

チェック・ボックスには次の3つの状態があります。

選択解除。親ノードにチェックがない状態は、どの子ノードも選択されていないことを示します。その逆も同様で、どの子ノードも選択されていない場合、親ノードの選択は解除されています。
部分的なチェック。いずれかの(すべてではない)子ノードが選択されている場合、親の不完全なチェックの状態でこれが表されます。親ノードの不完全なチェックは、デフォルト以外の子ノードが少なくとも1つ選択されていることを示します。
選択。親が選択されている場合は、その子もすべて選択されています。その逆も同様で、すべての子が選択されている場合は、親も選択されています。

インストーラで必要な、変更不可のデフォルト項目がリストに存在する場合があります。これの例は、Logon Manager MSIファイルの「Languages」ノードの「English」項目です。英語はデフォルト言語としてインストールされます。デフォルト項目はチェック・ボックスの状態には影響せず、選択できません。

2.18.3.3 グローバル・エージェント設定セットの選択と新しいMSIの生成

「New MSI Generation」ステージは、有効なMSIファイルの選択後、使用可能になります。このステージでは、このステージに含めるグローバル・エージェント設定セット、およびMSIファイルの出力場所を選択します。

MSIファイルにグローバル・エージェント設定ファイルを含める場合は、そのファイルを「Global Agent Settings」ドロップダウン・ボックスから選択します。グローバル・エージェント設定ファイルを含めない場合は、デフォルトの選択の「<None>」をそのまま使用できます。
「Output MSI」フィールドで「Browse (…)」ボタンをクリックします。有効なパスを選択し、出力するMSIファイルのファイル名を入力します。「Save」をクリックします。無効なパスまたは名前を入力した場合は、出力するMSIファイルの名前が無効であることを示すメッセージが表示されます。
「Generate」をクリックします。ファイルが保存されたことを示すメッセージが表示されます。「OK」をクリックします。

注意:

エラーが発生した場合は、有効なパスおよびファイル名を入力していることを確認します。

2.18.3.4 エンド・ユーザーのテストおよびデプロイ

MSIファイルを十分にテストして確認したら、デプロイメント・ツール(Microsoft Systems Management Serverなど)を使用してLogon Managerを企業全体にデプロイします。

2.18.4 その他のデプロイメント・ツールの使用

Logon Managerは、次のような様々なデプロイメント・メソッドおよびツールと連携して動作します。

手動インストール(たとえば、CD-ROMまたはネットワーク共有から)
Microsoft Windows Installer (MSI)サービス(ローカルまたはリモート・インストール)
ネットワーク・リモート・インストール(ファイルのコピー、リモートからのレジストリ・エントリのデスクトップへのインストールなど)
Microsoft SMS
IBM Tivoli
Attachmate NetWizard
Intel LANDesk
Novadigm Radia/EDM
Novell ZENworks
HP OpenView
Seagate Desktop Management Suite
McAfee ZAC Suite
Veritas WinINSTALL

2.19 Kiosk Managerの使用

Kiosk Managerは、キオスク環境における従来のシングル・サインオンのニーズに応えるため、セキュアで使いやすく、管理が簡単なソリューションを提供します。Kiosk Managerには、Windowsパスワードまたは任意のサポートされているプライマリ・オーセンティケータを使用したログオンをユーザーに要求することにより、キオスクに対してユーザーの識別情報を提供する、クライアント側エージェントがあります。このエージェントは、セッションを一時停止またはクローズしたり、一定期間アクティブでないすべてのアプリケーションをシームレスに停止します。

この項では、次のトピックについて説明します。

イベントおよびアクション
セッション・ステート
Desktop Managerについて
イベントおよび監査ログ
厳密認証オプションの構成
Password Resetへのリンク
コマンド行オプション
.NET API
Kiosk Managerのベスト・プラクティス

管理コンソールを、Kiosk Managerのセッション・エージェントと同時に実行することはできません。管理コンソールの実行中にこのセッション・エージェントを起動すると、「Cannot run Kiosk Manager until Administrative Console is closed.」というエラー・メッセージが表示されます。

Kiosk Managerを実行しているワークステーションでは、管理コンソールを使用しないことをお薦めします。

2.19.1 イベントおよびアクション

次の概要ではKiosk Managerセッションの機能について説明します。

2.19.1.1 イベントのタイプ

Kiosk Managerは、Logon Managerがサポートするすべての種類のオーセンティケータで、次のイベントを任意に組み合せてアクションを実行するように構成できます。

After Session Unlocked
AM Device In
AM Device Out
AM Grace Period
Authenticator Logon
Authenticator Timeout
Before Session Unlocked
Cached Credential Session Start
Session End
Session Locked
Session Start
Timer Expired
Transparent Screen Displayed
Transparent Screen Hidden
User Change

2.19.1.2 イベントおよびアクション・リストの構成

前述のイベントに基づいて、Kiosk Managerは、指定された終了リストの実行、実行リストを使用したカスタム・タスク(.NETアプリケーションまたはスクリプト)の起動、または特別なアクションの指定を行うことができます。

終了リスト。指定されたイベントの発生時にKiosk Managerによって閉じるアプリケーションのリストです。(旧称ブラック・リストまたはセッション終了時に閉じるアプリケーション。)
実行リスト。指定されたイベントの発生時に、コールする.NET APIか、Kiosk Managerによって実行するコマンド行のスクリプトです。
特別アクション・リスト。特別アクション・リストは、アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定します。

これらの機能は、Logon Managerの管理コンソールを使用して、「Kiosk Manager」 > 「Actions」および「Session States」で構成します。

アクションは、.NETメソッドの呼出し、特定アプリケーションの終了など、なんらかの処理を実行するようにKiosk Managerに指示します。
セッション・ステートは、アクションに関連付けるイベント、オーセンティケータ、セキュリティの設定のリストです。たとえば、定義したセッション・ステートによって、セッションの終了時にアクションの指定されたリストを実行するように、Kiosk Managerに指示できます。

手順は次の項を参照してください。

アクション・リストの作成。
セッション・ステートの作成。

2.19.1.3 アクション・リストの作成

アクションは、.NETメソッドの呼出し、特定アプリケーションの終了など、なんらかの処理を実行するようにKiosk Managerに指示します。

アクション・リストの作成には2つの方法があります。

管理コンソールを開きます。
「Kiosk Manager」ノードを展開します。
「Actions」をクリックします。
「Add」をクリックするか、右クリックして「New Action」を選択します。
「Name」に名前を入力し、「List Type」を選択します。完了したら「OK」をクリックします。アクション・リストには次の3種類があります。
- 終了リスト。セッション終了時にKiosk Managerによって閉じるアプリケーションのリストです。
- 実行リスト。コールする.NET APIか、Kiosk Managerによって実行するコマンド行のスクリプトです。
- 特別アクション・リスト。アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定します。
  
  注意:
  これらのリストを作成するための設定方法の詳細は、特定のリストの項を参照してください。

アクション・リストを作成する別の方法を、次に示します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
セッション・ステートを選択して、「Actions」タブを選択します。
「Add」をクリックします。

2.19.1.4 終了リストの作成および使用

終了リストを使用して、セッション終了時にKiosk Managerによって閉じるアプリケーションを指定します。

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開し、「Actions」を選択します。
任意の終了リストをクリックします。

コントロール	機能
AppPathKeys	実行中のプロセスと照合するために、このログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、`Notepad.exe`など、アプリケーション実行可能ファイルの名前。)
Window Titles	ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。
Process Termination Type	セッション終了時に閉じるアプリケーションの終了方法を選択します。 Keystroke Sequence `.NET` SendKeys SendKeys:キーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。 SendKeys using Journal Hook:ジャーナル・フックを使用してキーストロークの組合せをフォームに転送して、フィールドを構成します。「Edit」をクリックして、キーストロークの組合せを入力または変更します。 – プロセス終了リクエスト – プロセス終了注意: 一連のキーストロークを使用してアプリケーションを終了すると、エンド・ユーザーの画面でちらつきが発生します。このちらつきは、アプリケーションの終了にSendKeysを使用しているために発生します。
Disabled	このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持でき、設定を参照して他のリストで使用できます。

2.19.1.5 アプリケーションを終了させるためのKiosk Managerの構成

Kiosk Managerでアプリケーションを終了させるには、次の手順を実行します。

「AppPath Keys」ボックスで、「Add」をクリックします。「Process Path Key」ダイアログが表示されます。
有効なアプリケーション・キー(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
セッション終了時に終了するアプリケーションのリストに、アプリケーションが追加されました。セッション終了時にKiosk Managerによってこれらのアプリケーションが終了されます。
このリストのアプリケーションを変更または削除するには、「Edit」ボタンおよび「Delete」ボタンを使用します。
「Window Titles」ボックスで、「Add」をクリックします。「Windows Title」ダイアログが表示されます。
有効なウィンドウ・タイトルを入力します。「OK」をクリックします。

2.19.1.6 照合するウィンドウ・タイトルの指定

照合するウィンドウ・タイトルの指定するには、次の手順を実行します。

正確なウィンドウ・タイトルを入力(または編集)します。
「OK」をクリックします。

2.19.1.7 Kiosk ManagerでのSendKeysの使用

注意:

一連のキーストロークを使用してアプリケーションを終了すると、エンド・ユーザーの画面でちらつきが発生します。このちらつきは、アプリケーションの終了にSendKeysを使用しているために発生します。

各キーは、1つ以上の文字で表されます。1つのキーボード文字を指定するには、文字自体を使用します。たとえば、文字Aを表すには、メソッドに文字列「A」を渡します。複数の文字を表すには、前の文字に、追加の各文字を追加します。文字A、BおよびCを表すには、「ABC」としてパラメータを指定します。

プラス記号(+)、キャレット(^)、パーセント記号(%)、チルダ(~)およびカッコ()は、SendKeysでは特別な意味を持ちます。これらの文字のいずれかを指定するには、中カッコ({})で囲みます。たとえば、プラス記号を指定するには、「{+}」を使用します。中カッコ文字を指定するには、「{{}」および「{}}」を使用します。大カッコ([ ])はSendKeysでは特別な意味を持ちませんが、これは中カッコで囲む必要があります。他のアプリケーションでは、大カッコは特別な意味を持ち、動的データ交換(DDE)が行われるときに重要になる場合があります。

[Enter]、[Tab]、文字ではなくアクションを表すキーなど、キーを押したときに表示されない文字を指定するには、次の表のコードを使用します。

キー	コード
BACKSPACE	{BACKSPACE}、{BS}または{BKSP}
BREAK	{BREAK}
CAPS LOCK	{CAPSLOCK}
DELまたはDELETE	{DELETE}または{DEL}
下矢印	{DOWN}
END	{END}
ENTER	{ENTER}または~
ESC	{ESC}
HELP	{HELP}
HOME	{HOME}
INSまたはINSERT	{INSERT}または{INS}
左矢印	{LEFT}
NUM LOCK	{NUMLOCK}
PAGE DOWN	{PGDN}
PAGE UP	{PGUP}
PRINT SCREEN	{PRTSC} (今後使用予定)
右矢印	{RIGHT}
SCROLL LOCK	{SCROLLLOCK}
TAB	{TAB}
上矢印	{UP}
F1	{F1}
F2	{F2}
F3	{F3}
F4	{F4}
F5	{F5}
F6	{F6}
F7	{F7}
F8	{F8}
F9	{F9}
F10	{F10}
F11	{F11}
F12	{F12}
F13	{F13}
F14	{F14}
F15	{F15}
F16	{F16}
キーパッドの+	{ADD}
キーパッドの-	{SUBTRACT}
キーパッドの*	{MULTIPLY}
キーパッドの/	{DIVIDE}

[Shift]、[Ctrl]および[ALT]キーのいずれかの組合せを使用して組み合せるキーを指定するには、次のコードの1つ以上をキーのコードの前に指定します。

SHIFT +
CTRL ^
ALT %

[Shift]、[Ctrl]および[ALT]キーのいずれかの組合せを押したまま、他のいくつかのキーを押すように指定するには、それらのキーのコードをカッコで囲みます。たとえば、[SHIFT]を押したまま[E]および[C]を押すように指定するには、「+(EC)」を使用します。[SHIFT]を押したまま[E]を押し、その後に[SHIFT]を押さえずに[C]を押すように指定するには、「+EC」を使用します。

繰り返すキーを指定するには、フォーム{key number}を使用します。キーと回数の間に空白を入れる必要があります。たとえば、{LEFT 42}は左矢印キーを42回押すことを意味し、{h 10}はHを10回押すことを意味します。

注意:

前述のSendKeysに加えて、待機コマンドもあります。待機コマンドは{WAIT number}の形式をとり、「number」はミリ秒数の遅延です。待機コマンドは文字列の任意の場所(つまり、先頭、中央、末尾)に置くことができ、必要に応じて何度でも使用できます。

たとえば、[Ctrl]+[Shift]+[F7]を送信し、5秒待機してから[Alt]+[F4]を送信する場合の形式は次のようになります。

^+{F7}{WAIT 5000}%{F4}

2.19.1.8 実行リストの作成および使用

このパネルを使用して、コールする.NET APIか、Kiosk Managerによって実行するコマンド行のスクリプトを定義します。

「Kiosk Manager」ノードを展開し、「Actions」を選択します。
実行リストを選択します。

設定	コントロール	機能
.NET API	Assembly	省略記号「…」ボタンをクリックして、使用する.NETアセンブリを検索します。アセンブリがロードされます。
	Class	ドロップダウン・ボックスを使用して、`.NET`クラスを選択します。選択されたアセンブリで使用可能な`.NET`クラスがリストされます。
	Method	ドロップダウン・ボックスを使用して、コールするメソッドを選択します。選択されたクラスで使用可能な`.NET`メソッドがリストされます。メソッドは次のシグネチャにかぎられ、パラメータをとったり、値を戻すことはありません。 `void MethodName();` スクリプトとは異なり、メソッドが戻るまで処理は続行されません。
	コマンド行スクリプトの例は、「.NET API」を参照してください。注意: `.NET API`コールは同期されます(Kiosk Managerはコールが完了するまで待機します)。
Script	実行するKiosk Managerのコマンド行スクリプトを入力します。このリストに複数のコマンドが含まれる場合は、前のタスクが終了するまで待たずに、また前のタスクのリターン・コードを確認せずに各行が開始します。注意: コマンド行コールは非同期です(Kiosk Managerを含む他のタスクとパラレルに実行されます)。
Disabled	このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持でき、設定を参照して他のリストで使用できます。

2.19.1.9 特別アクション・リストの作成および使用

特別アクション・リストは、アプリケーションの位置指定や、このアプリケーションによるアクションの実行順番など、アプリケーション・ウィンドウの処理方法を指定するために使用されます。

アプリケーション・ウィンドウが特別アクション・リストに表示されない場合は、非表示になります。

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開し、「Actions」を選択します。
任意の特別アクション・リストをクリックします。

コントロール	機能
AppPathKeys	実行中のプロセスと照合するために、このログオンに関連付けられているアプリケーションを識別するWindowsレジストリ・キー。(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前。)
Window Titles	ログオン・リクエストを識別するためにログオン・ウィンドウ・タイトルに対して照合されるテキスト。
Reposition Application	この設定とその下にあるオプションによって、アプリケーションの位置を指定できます。このチェック・ボックスの状態で、この設定の下にリストされるアクションがアプリケーション・ウィンドウに適用されるかどうかが決定します。オプション: Maximize Minimize Restore Move to: アプリケーションの位置の座標を入力します。 Resize: アプリケーションの位置の幅と高さを入力します。
Sort Order	この設定によって、特別なアクションが実行される順番が決定します。これによって、複数のウィンドウの位置が変更されたときに、優先ウィンドウを最前面にして、前面に表示するウィンドウを特定の順番で表示できるようになります。
Bring to foreground	この設定によって、アプリケーション・ウィンドウが常にアプリケーション・ウィンドウの順番の先頭になります。
Shared Application	このボックスをチェックすると、ユーザー・セッション間でアプリケーションを共有できるようになります。たとえば、Notepad.exeが共用アプリケーションとして指定され、user1がノートパッドでドキュメントを開いた後、セッションをロックすると、user2がセッションを開始するとき、ノートパッドは実行していることになります。その後、user2がノートパッドを閉じ、セッションをロックする場合、user1が再度ログオンしたとき、ノートパッドは実行していません。
Disabled	このチェック・ボックスを選択して、このリストを無効にします。リストを無効にすると、元のリストを削除しなくてもリストの設定を保持でき、設定を参照して他のリストで使用できます。

アプリケーションを構成するには、次の手順を実行します。

「AppPath Keys」ボックスで、「Add」をクリックします。「Process Path Key」ダイアログが表示されます。
有効なアプリケーション・キー(通常は、Notepad.exeなど、アプリケーション実行可能ファイルの名前)を入力します。「OK」をクリックします。
セッション終了時に終了するアプリケーションのリストに、アプリケーションが追加されました。セッション終了時にKiosk Managerによってこれらのアプリケーションが終了されます。
このリストのアプリケーションを変更または削除するには、「Edit」ボタンおよび「Delete」ボタンを使用します。
「Window Titles」ボックスで、「Add」をクリックします。「Windows Title」ダイアログが表示されます。
有効なウィンドウ・タイトルを入力します。「OK」をクリックします。

照合するウィンドウ・タイトルの指定するには、次の手順を実行します。

正確なウィンドウ・タイトルを入力(または編集)します。
「OK」をクリックします。

2.19.1.10 プロセス・パス・キーによるアプリケーションの追加

プロセス・パス・キーは実行可能なプロセスの名前であり、たとえば、IEXPLORE.EXEはInternet Explorerのプロセス・パス・キーです。このダイアログを使用して、アプリケーションのリストにアプリケーションを追加します。

「Process Path Key」に値を入力し、「OK」をクリックします。

プロセス・パス・キーが「AppPath Keys」ダイアログで作成されます。

このタブを表示するには、次の手順を実行します。

左側のペインで、「Kiosk Manager」 > 「Actions」の順にクリックします。
次のいずれかをクリックします。
- 終了リスト
- 特別アクション・リスト
「Add」をクリックします。

2.19.1.11 実行を続行するデフォルトのアプリケーションの選択

このダイアログを使用して、セッション終了時に実行を続行するアプリケーションのリストにデフォルトのアプリケーションを追加します。

セッション終了時に実行を続行する目的のアプリケーションを選択して、「OK」をクリックします。

選択したアプリケーションは、「AppPath Keys」ダイアログにリストされます。

このタブを表示するには、次の手順を実行します。

左側のペインで、「Kiosk Manager」をクリックします。
「Actions」をクリックします。
実行続行リストを選択します。
「Defaults」をクリックします。

2.19.2 セッション・ステート

セッション・ステート・パネルには、既存のセッション・ステートのリストが含まれます。セッション・ステートとは、アクションに関連付けるイベントのリストです。たとえば、定義済のセッション・ステートは、セッション終了時に特定のアクション・リストを実行するようにKiosk Managerに指示します。

2.19.2.1 セッション・ステートの作成

セッション・ステートを作成するには、次の手順を実行します。

管理コンソールを開きます。
「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
「Add」をクリックするか、右クリックして「New Session State」を選択します。
「Session State Name」にセッション・ステート名を入力し、「OK」をクリックします。
新しいセッション・ステートが作成されます。各セッション・ステートには、次に示す、関連する4つのタブがあります。
- Events
- Authenticators
- 「Actions」
- Security

2.19.2.2 セッション・ステートのコピー

セッション・ステートをコピーするには、次の手順を実行します。

セッション・ステートを選択します。
「Make Copy」を右クリックして、セッション・ステートのコピーを作成します。名前を変更するには、左側のペインでセッション・ステートを右クリックし、「Rename」をクリックします。左側のペインでセッション・ステートを右クリックして、「Copy」をクリックしても、コピーを実行できます。

2.19.2.3 セッション・ステートの削除

セッション・ステートを削除するには、次の手順を実行します。

「Delete」をクリックして、セッション・ステートを削除します。セッション・ステートが削除される前に、確認メッセージが表示されます。
「Kiosk Manager」ノードを展開します。
削除するセッション・ステートを右クリックします。次のいずれかを実行します。
- ポップアップ・メニューから「Delete」を選択します。
  
  または
- ポップアップ・メニューから「Edit」を選択し、「Delete」を選択します。

2.19.2.4 セッション・ステート・イベントの選択

「Events」タブには、Kiosk Managerが応答できるすべてのイベントのリストと、カスタム・イベントを追加するオプションが含まれます。リストされている各イベントの隣にはチェック・ボックスがあり、チェックされていれば、このイベントが発生したときに、関連付けられたアクション・リストを実行することを示します。新しいセッション・ステートが作成されると、「Session End」がデフォルトでチェックされています。

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
次のいずれかの方法でイベントを作成します。
- このセッション・ステートに対して事前定義されたイベントを選択します。
  
  または
- 「Add」ボタンをクリックして、独自のカスタム・イベントを作成します。「Edit」ボタンを使用してカスタム・イベント名を編集し、「Delete」ボタンを使用してカスタム・イベントを削除します。
次の図は使用可能な事前定義されたイベントのリストを表しています。

2.19.2.5 事前定義されたイベントの選択

「Events」タブで、次から選択します。

After Session Unlocked

このイベントは、認証が行われた後にセッションをロック解除したときに実行されます。認証が取り消されると、このイベントはトリガーされません。
AM Device In

このイベントは、SSOデバイス・モニターが有効で、モニター対象のオーセンティケータを検出した場合(たとえば、スマート・カードが挿入されたり、生態認証装置が範囲内にある場合)にトリガーされます。
AM Device Out

このイベントは、SSOデバイス・モニターが有効で、モニター対象のオーセンティケータを検出した場合(たとえば、スマート・カードが取り外されたり、生態認証装置が範囲外になった場合)にトリガーされます。このイベントは、次の場合にトリガーされます。
- セッションは開いているか、ロックされている
- 「Device-In」イベントがセッションを開始した
AM Grace Period

このイベントは、猶予期間ファンクションを使用するオーセンティケータが使用されている場合に、その猶予期間内にユーザーがオープン・セッションに戻るとトリガーされます。
Authenticator Logon

このイベントは、オーセンティケータがログオンを受け入れたときに発生します。たとえば、WinAuthの正しいパスワードまたはスマート・カードの正しいPINが入力されたときです。
Authenticator Timeout

このイベントは、Logon Managerの内部タイマーの有効期限が切れたときにトリガーされます。
Before Session Unlocked

このイベントは、ユーザーがセッションをロック解除した後、認証が行われる前にトリガーされます。
Cached Credential Session Start

このイベントは、セッションが開始し、ローカル・コンピュータに格納された資格証明をユーザーがキャッシュ済の場合にトリガーされます。
Session End

このイベントは、セッションが終了してタイマーの期限が切れたとき、または別のユーザーがセッションを開始したときにトリガーされます。
Session Locked

このイベントは、ユーザーがシステム・トレイから手動でセッションをロックしたときにトリガーされます。
Session Start

このイベントは、ユーザーが新しいセッションを開始したときにトリガーされます。
Time Expired

このイベントは、ロックされたセッションのタイマーが00:00:00になったときにトリガーされます。
Transparent Screen Displayed

このイベントは、透過的ロックが開始され、画面がロック・モードでユーザーに表示されたときにトリガーされます。
Transparent Screen Hidden

このイベントは、透過的ロックが終了したときに発生します。
User Change

このイベントは、ユーザーがKiosk Managerにログインしたときにトリガーされます。このイベントは、プロパティが存在する場合、.NETオブジェクトに次の2つのプロパティを設定します。
- UserName。syncユーザー名。
- DomainName。syncドメイン名。
プロパティが存在しない場合は何も発生しません。

注意:

認証マネージャイベントは、イベント・タイプを示すKiosk Managerにオーセンティケータによってメッセージが送信されたときに実行されます。

2.19.2.6 カスタム・イベントの追加

カスタム・イベントを追加するには、「Events」タブで「Add」ボタンをクリックします。「Custom Event」ダイアログが表示されます。

「Event Name」を入力します。このイベント名が表示されます。
「Event Value」を入力します。外部アプリケーションによってカスタム・イベントが生成され、メッセージがKiosk Managerの非表示ウィンドウに送信されます。値は他のアプリケーションが送信するカスタム値です。
「OK」をクリックします。カスタム・イベントが作成されます。

2.19.2.7 セッション・ステート・オーセンティケータの選択

「Authenticators」タブには、カスタム・オーセンティケータを追加するためのオプションの他に、Logon Managerがサポートするすべてのオーセンティケータのリストも含まれます。各オーセンティケータの隣にはチェック・ボックスがあり、チェックされていれば、選択されたイベントが発生したときや、選択されたオーセンティケータでユーザーが認証されたときに、関連付けられたアクション・リストを実行することを示します。

新しいセッション・ステートが作成されると、すべてのオーセンティケータはデフォルトでチェックされています。

オーセンティケータの選択には2つの方法があります。

「Add」ボタンをクリックして、独自のカスタム・オーセンティケータを作成します。「Edit」ボタンを使用してカスタム・イベント・オーセンティケータを編集し、「Delete」ボタンを使用してカスタム・オーセンティケータを削除します。

このセッション・ステートに対して事前定義されたオーセンティケータを選択します。使用可能なオーセンティケータは次のとおりです。

認証マネージャ
Entrust
ESSO-UAM: Challenge Questions
ESSO-UAM: Fingerprint
ESSO-UAM: Proximity Card
ESSO-UAM: Smart Card
ESSO-UAM: Windows Password
LDAP
LDAP v2
近接型カード
読取り専用スマート・カード
SecurID
スマート・カード
Universal Authentication Manager
Windows Logon (非推奨)
Windows Logon v2

注意:

Kiosk ManagerでUniversal Authentication Managerオーセンティケータを使用するように構成するには、トークン・イベント用にブロードキャスト/モニターを実行するようにKiosk Managerを設定する必要があります。これを行うには、次のレジストリ・キーの値を2 (Always)に設定します。

HKEY_LOCAL_MACHINE\SOFTWARE\Passlogix\SM\Agent

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
セッション・ステートを選択して、「Authenticators」タブをクリックします。

2.19.2.8 カスタム・オーセンティケータの追加

カスタム・オーセンティケータを使用すると、そのオーセンティケータに基づいてイベントをフィルタリングできます。カスタム・オーセンティケータを追加するには、「Authenticators」タブで「Add」ボタンをクリックします。「Custom Authenticator」ダイアログ・ボックスが開きます。

「Authenticator Name」を入力します。このオーセンティケータ名が表示されます。
「Authenticator Value」を入力します。オーセンティケータの値は、コード内でオーセンティケータを識別できる名前です。オーセンティケータ自体から導出される名前にします。たとえば、Windows Authenticator v2の値がMSAuth、Smart Cardの値がSCAuthなどです。
「OK」をクリックします。

このダイアログを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
セッション・ステートを選択して、「Authenticators」タブをクリックします。
「Add」をクリックします。

2.19.2.9 「Actions」タブを使用したセッション・ステートの追加

「Actions」タブには、特定のセッション・ステートに関連付けられているすべてのアクションのリストが含まれます。新しく作成されたセッション・ステートの場合、このパネルは空です。アクションをセッション・ステートに関連付けた後は、アクションがこのパネルに表示されます。

このパネルを使用して、アクションを作成、編集、関連付け、編集および削除します。

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
セッション・ステートを選択して、「Actions」タブを選択します。

「Actions」タブを使用するには、次の手順を実行します。

新しいアクション・リストを定義するには、「Add」をクリックします。アクション・リストには、終了リストと実行リストの2種類があります。このパネルから作成した新しいアクションは、このセッション・ステートに自動的に追加されます。
定義したアクションをこのセッション・ステートに関連付けるには、「Associate」をクリックして、リストからアクションを選択します。
アクションを変更するには、選択して「Edit」をクリックします。
セッション・ステートからアクションを削除するには、「Delete」をクリックします。これによって、アクション・リストからではなく、現在のセッション・ステートからアクションが削除されます。

2.19.2.10 セッション・ステートへのアクションの関連付け

「Select Actions」ダイアログを使用して、このセッション・ステートに関連付ける1つ以上のアクションを選択します。

このセッション・ステートに追加するアクションを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。「OK」をクリックします。

注意:

アクションがこのセッション・ステートに関連付けられていて、新しいアクションを追加する場合は、すべてのアクションを再度選択する必要があります。そうしないと、これまでのアクション・リストは新しく選択されたアクションで置き換えられます。

このタブを表示するには、次の手順を実行します。

左側のペインで、「Kiosk Manager」をクリックします。
「Session States」をクリックします。
セッション・ステートを選択して、「Actions」タブを選択します。
「Associate」をクリックします。

2.19.2.11 セッション・ステートのセキュリティの構成

「Security」タブを使用して、このセッション・ステートへのアクセス権を設定します。次のアイテムへのアクセス権を割り当てることができます。

アプリケーション・ログオン(関連付けられた資格証明共有グループを含む)
パスワード生成ポリシー
グローバル・エージェント設定
パスフレーズ質問セット

注意:

セキュリティ・タブは、「Role/Group Security」が有効な場合にのみ使用できます。

コントロール	機能
Directory	ターゲット・ディレクトリ・サーバーを選択します。
Access information
Name	対象となっているセッション・ステートに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザー・アカウント名。
Access	ユーザーまたはグループが、現在選択しているセッション・ステートに対して読取り/書込みアクセス権を持つのか、または読取り専用アクセス権を持つのかを示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Read」または「Read/Write」を選択します。
アクション
Add	「Add User or Group」ダイアログを表示して(LDAPまたはActive Directoryの場合)、現在選択されているセッション・ステートにアクセスする必要があるユーザーまたはグループを選択します。
Remove	選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。

このタブを表示するには、次の手順を実行します。

「Kiosk Manager」ノードを展開します。
「Session States」をクリックします。
セッション・ステートを選択して、「Security」タブをクリックします。

2.19.3 Desktop Managerについて

Desktop Managerは、キオスクでKiosk Managerセッションを管理するログオン・ダイアログです。エンド・ユーザーは、このダイアログでセッションの開始とロック解除を実行できます。管理者は、セッションの終了、コンピュータの停止、コンピュータの再起動、Kiosk Managerの終了を実行できます。

注意:

Desktop Managerは、管理コンソールを使用して、「Global Agent Settings」 > 「Kiosk Manager」で構成します。次の各項では、これらの設定を構成するために必要なすべての情報を示します。

2.19.3.1 「Administration」メニュー

「Administration」メニューはDesktop Managerの上部にあります。

このメニューを構成するために使用する設定は次のとおりです。

Restart Computer

オプションは、「Yes」、「No」、または「Administrator must supply password」です。デフォルトは「No」です。
Shutdown Computer

オプションは、「Yes」、「No」、または「Administrator must supply password」です。デフォルトは「No」です。
Allow administrator to close Kiosk Manager

オプションは、「Yes」または「No」です。デフォルトは「Yes」です。「Exit Kiosk Manager」オプションと、タイトル・バーの「X」を制御します。

注意:

キオスク・アカウントに十分な権限がない場合、「Restart Computer」および「Shutdown Computer」オプションを無効にしても機能しないことがあります。

2.19.3.2 セッションの終了

管理者にセッションを閉じる権限を付与することに加えて、その他のセッション終了設定を構成できます。これらの設定の構成については、「Kiosk Manager Settings」を参照してください。

2.19.3.3 開いているセッション(複数セッション)

デスクトップ・マネージャには、開いているすべてのセッションが表示されたリストが含まれます。一度に複数のセッションを実行できます。セッションには最大数はありません。これらの設定の構成については、「Kiosk Manager Settings」を参照してください。

2.19.3.4 透過的な画面ロック

透過的な画面ロックは、表示モードでデスクトップ入力(キーボードおよびマウス)をロックする機能を提供するため、たとえば、セッションを開始することなくモニタリング・アプリケーションの表示が可能です。これは、スクリーン・セーバー機能と似ています。Kiosk Managerが透過的なロックを起動したとき、デスクトップとデスクトップ上のアプリケーションは、引き続きモニター上にリアルタイムに表示されます。透過的なロックは、デフォルトでは無効になっています。

複数のセッションを実行している場合、透過的なロックが機能すると、最後にアクティブなセッションが表示されます。

アプリケーションの優先度と位置は、特別アクション・リストで構成できます。

透過的なロック・イベントは、「Session States」セクションの「Events」パネルで設定します。

Transparent Screen Displayed

このイベントは、透過的ロックが開始され、画面がロック・モードでユーザーに表示されたときにトリガーされます。
Transparent Screen Hidden

このイベントは、透過的なロックが非表示になったときに発生します。

透過的なロックは次の方法で起動します。

タイムアウト
認証の取消(「Transparent Display After Cancel」を「Enable」に設定した場合のみ)。

透過的なロックの実行中にセッションを開始するには、マウスを動かすか任意のキーボード・ボタンをクリックします。「Transparent Only Recognize Ctrl-Alt-Delete」を「Enable」に設定した場合、ユーザーは[Ctrl]キーを押しながら[Alt]キーと[Delete]キーをクリックして透過的なロックを解除する必要があります。

注意:

透過的な画面ロックは、管理コンソールを使用して、「Global Agent Settings」 > 「Kiosk Manager」 > 「User Interface」パネルで構成します。

2.19.3.5 セッションの終了

管理者は、「Administration」メニューから「Terminate Sessions」をクリックして、Desktop ManagerからKiosk Managerユーザー・セッションを終了できます。このメニュー・オプションは構成できません。

「Terminate Sessions」をクリックすると、このアクションを実行する前に、管理資格証明の入力を求める「Authenticate as Administrator」ダイアログが表示されます。

資格証明を送信すると、「Terminate Sessions」ダイアログが表示されます。

一度に選択できるセッションは1つのみです。「Cancel」を選択し、「X」を使用してこのダイアログを閉じます。

2.19.3.6 Desktop Managerのカスタマイズ

Desktop Managerはいくつかの方法でカスタマイズできます。各オプションの詳細は、次の項を参照してください。

カスタム・ユーザー・インタフェースの一般オプション。グローバル・エージェント設定の「Kiosk Managerのユーザー・インタフェース」を参照してください。
ログオン・ダイアログの周囲のバックグラウンド・イメージのアップロード。「Kiosk Managerのバックグラウンド・イメージの設定」を参照してください。
ログオン・ダイアログの周囲へのカスタム・テキスト・メッセージの追加。グローバル・エージェントのKiosk Managerの「メッセージ」の設定を参照してください。
ログオン・ダイアログ上のOracleとKiosk Managerのロゴ・バナーの置換。バックグラウンド・イメージとして会社のロゴを表示するか、またはユーザーに重要な情報を知らせる重要なカスタム・テキスト・メッセージを表示することを選択できます。「ロゴ・バナーの置換」を参照してください。

ログオン・ダイアログのロゴ・バナーを置換する方法と、カスタマイズしたデスクトップの例については、次の項で説明します。

2.19.3.6.1 ロゴ・バナーの置換

Desktop Managerのログオン・ダイアログ上のOracle Kiosk Managerロゴ・バナーは、手動の手順で変更できます。ロゴを置換するには、次の手順を実行します。

SMAgent.exeホーム・ディレクトリにbrandingフォルダを作成します。
brandingフォルダにbanner.gifという名前でカスタマイズ済ロゴ・バナーを配置します。
カスタマイズ済バナーは、次回のKiosk Managerの起動時に表示されます。

2.19.3.6.2 カスタマイズしたバックグラウンド・イメージとテキスト・メッセージの例

800x600表示のカスタマイズしたバックグラウンド・イメージの例

次のスクリーン・ショットは、 Desktop Managerログオン・ダイアログの水平および垂直ディメンションと、位置の設定に使用した座標とディメンションを示しています。

800x600表示のカスタマイズしたテキスト・メッセージの例

次のスクリーン・ショットは、テキスト・メッセージの例を示しています。このテキスト・メッセージは、このスクリーン・ショットに表示されているように、テキスト・メッセージのカスタマイズに使用する値を表示します。

次のスクリーン・ショットは、上に表示されているように、テキスト・メッセージの生成に使用する実際の値を表示しています。

2.19.3.7 デスクトップ・ステータス・ウィンドウ

デスクトップ・ステータス・ウィンドウは、Kiosk Managerセッション中に表示される小さいウィンドウです。現在の所有者の名前を表示し、セッションをロックできる、便利なウィンドウです。有効にすると、セッション中、デフォルトの場所はデスクトップの右上隅です。

デスクトップ・ステータスウィンドウは、デフォルトでは非表示です。デフォルト値は実行時に計算されます。このウィンドウは、ディスプレイの右上隅の、ウィンドウの端と画面の物理的な端との間に10ピクセルで表示されます。ウィンドウの外観と位置をカスタマイズする方法については、グローバル・エージェント設定の「Kiosk Managerのユーザー・インタフェース」を参照してください。

2.19.4 イベントおよび監査ログ

Kiosk Managerは、エージェント・イベントのログをローカル・マシンのWindowsイベント・ビューアに記録します。この機能はデフォルトで有効です。Kiosk Managerのログ記録できるイベントのリストについては、「イベント・ログ・メッセージ」を参照してください。

Kiosk Managerは、イベントのログを、ローカル・キオスク・マシンまたはリモート・マシンのSyslogサーバー・アプリケーションに記録することもできます。

エージェント・インストーラを使用してSyslogを構成するには、次の手順を実行します。

注意:

この手順は、Kiosk Managerをインストールする前に実行する必要があります。

「コントロールパネル」の「プログラムの追加と削除」を起動します。
「Oracle Enterprise Single Sign-On Logon Manager」をクリックし、「変更」をクリックします。
「Program Maintenance」パネルで「Modify」を選択します。
「Custom Setup」パネルで、「Extensions」を展開し、「Event Manager」を展開します。
「Syslog」のインストールを選択します。
プロンプトに従ってSyslogのインストールを完了します。

管理コンソールを使用してSyslogを構成するには、次の手順を実行します。

管理コンソールを開き、「Global Agent Settings」 > 「Audit Logging」 > 「Syslog Server」の順に展開します。
使用する環境にあわせて、ターゲットSyslogマシンの設定を構成します。リモート・マシンにログを記録する場合は、「Destination Host」設定でリモート・マシンのホスト名またはIPアドレスを指定します。
「Global Agent Settings」 > 「Kiosk Manager」にナビゲートします。「Audit Logging」セクションで、「Event Log Name」および「Event Log Machine Name」を入力します。

2.19.4.1 イベント・ログ・メッセージ

次の表に、アプリケーションのイベント・ビューアに現在記録されているメッセージを示します。

Message	メッセージの説明(該当する場合)
User session started: domain/username	ユーザー・セッションの開始時。
User session ended: domain/username	ユーザー・セッションの終了時。
User session locked: domain/username	セッションのロック時。
User session unlocked: domain/username	セッションのロック解除時。
Process action: action type, action name	(IE、Terminate list、notepad_close) これはリポジトリのセッション・アクションに対応します。アクションに、これをトリガーする対応する状態がない場合、イベント・ビューアでログ記録されたアクションを見ることはありません。
Process state: state name, event GUID	(IE、Session_locked、{6D5B7645-25A5-42f3-B641-BFE4DC4F774C}) これはリポジトリのセッション・アクションに対応します。ログ・エントリは、セッション・ロックなど、状態がトリガーされた場合にのみ生成されます。管理コンソールから状態を表示した場合、GUIDはこの状態のGUIDに対応します。たとえば、透過的なロックのリポジトリに状態があっても、透過的なロックをオンにしていなければ、ログ記録されたイベントを見ることはありません。
Transparent lock screen DISPLAYED	透過的なロックの表示時。
Transparent lock screen HIDDEN	透過的なロックの非表示時。
Method Invocation: file path/file name, method name	実行リストの.Net APIアセンブリの名前と方法に対応します。
Run list command: command name	実行リストのスクリプト・コマンドに対応します。
The following applications were not terminated:	これは、終了リストに指定されていて、終了していないアプリケーションのログのみを記録します。
Kiosk Manager STARTED	Kiosk Managerの起動時。
Kiosk Manager SHUTDOWN	Kiosk Managerの停止時。
Successfully closed: Application name	終了リストの3つの終了方法(一連のキーストローク、終了リクエスト、プロセス終了)のすべてに適用されます。このイベントは、終了リストのアプリケーションが終了されたときログに記録されます。終了リストに指定されていないアプリケーションが終了しても、ログは生成されません。

2.19.4.2 Kiosk Managerエージェントのバイパス

必要に応じて、キオスクの起動時にKiosk Managerエージェントをバイパスできます。

[Shift]キーを押しながらコンピュータにログインすると、Kiosk Managerエージェントは起動しません。

2.19.4.3 Kiosk Managerエージェントを閉じる

必要に応じて、次の手順を実行して、キオスクでKiosk Managerエージェントを閉じることができます。

キーボードで[Alt]+[F4]を押します。
Desktop Managerの「Administration」メニューで「Exit Kiosk Manager」をクリックします。
ウィンドウ・タイトル・バーの右上にある「X」をクリックします。

管理者は資格証明を入力することを求められます。エージェントを閉じることができるのは、管理者の資格証明だけです。

この機能はデフォルトで無効です。この機能を有効化するには、次の手順を実行します。

Logon Managerの管理コンソールを開き、「Global Agent Settings」 > 「Kiosk Manager」の順に展開します。
「Allow administrator to close Kiosk Manager」を選択します。
「Yes」を選択します。

2.19.4.4 信頼の設定

Kiosk Managerには、アプリケーションがKiosk Managerの認証を信頼して、ログオンしているユーザーの名前を取得できるようにする機能があります。Kiosk Managerは、次の関数シグネチャによって、SSOUserInfo.dllのパブリック関数を提供します。

extern "C" BOOL _stdcall GetUserId(BSTR* bstr);

パラメータ:

bstr

ユーザー名を取得して格納するオブジェクトです。

戻り値

関数が成功し、ユーザーが現在ログインしている場合はTRUEを戻します。

関数が失敗した場合はFALSEを戻します。詳細は、GetLastError()を使用して参照してください。

関数が成功すると、「DomainName\UserName」としてユーザー名が戻されます。

注意:

Kiosk Managerを設定して、ユーザーがセッションの開始に成功した後にコマンド行を実行するか.NETメソッドをコールできます。このメカニズムを利用して、他のアプリケーションをトリガーし、Kiosk Managerからログオンしているユーザーの名前をリクエストすることができます。

2.19.4.5 MacListenerユーティリティを使用した、介護士の可動性およびOracle VDIセッションのサポートの実現

MacListenerユーティリティを利用すると、Kiosk Managerを介護士の可動性およびOracle VDI環境とのインタフェースとして、医療の専門家がキオスク・システムにログオンし、キオスク・システムがある場所に関係する患者データやその他の地域リソースなど、場所に固有の情報にアクセスできるようになります。MacListener.exeは、Oracle Enterprise Single Sign-On Suiteによって提供され、このスイートのマスター・アーカイブにある「Logon Manager」フォルダの「Utility」サブフォルダの中にあります。

MacListener.exeはコマンド行ユーティリティで、エコー・サーバーをエミュレートします。これには、特定のTCP/IPポートで着信クライアント接続をリスニングして、クライアントのMACアドレスをプレーン・テキスト形式で受信し、クライアントが切断したとき、そのクライアントのMACアドレスを指定されたコマンドの末尾に次に示す形式で追加して実行します。

/MACADDRESS=xx:xx:xx:xx:xx:xx

ここで、xx:xx:xx:xx:xx:xxは、クライアントのMACアドレスです。

MacListener.exeユーティリティを使用するための構文は次のとおりです。

パラメータ	説明
`/PORT <port_number>`	着信クライアント接続をリスニングするポート番号を指定します。
`/DEBUG`	エラー・メッセージを表示します。
`/E <command>`	クライアントの切断時に実行するコマンド。コマンドの末尾には、クライアントから受信したMACアドレスが次の形式で追加されます。

たとえば、次のようにユーティリティを起動します。

MacListener /PORT=8080 /E=C:\Windows\Notepad.exe

MACアドレス12:AB:34:CD:56:EFのクライアントが、ポート8080でこのユーティリティに接続すると、クライアントの切断時にはユーティリティによって次のコマンドが実行されます。

C:\Windows\Notepad.exe /MACADDRESS=12:AB:34:CD:56:EF

2.19.5 厳密認証オプションの構成

管理コンソールの「Global Agent Settings」 > 「Kiosk Manager: Strong authenticator options」オプションによって、Kiosk Managerと厳密なオーセンティケータとの統合方法を構成できます。

厳密な認証のオプションについては、グローバル・エージェントの「Kiosk Manager Settings」を参照し、Kiosk ManagerとUniversal Authentication Managerとの統合の詳細は、Universal Authentication Managerセクションの「Kiosk Managerとの統合」を参照してください。

2.19.6 Password Resetへのリンク

Password ResetへのリンクをKiosk Manager Desktop Managerに追加できます。これによって、ユーザーがPassword Resetを使用して自分のキオスク・パスワード(LDAP認証を介したMicrosoft Active Directoryなど)をリセットできます。

このバナーをクリックすると、Password Reset Webインタフェースが起動します。ユーザーは、プロンプトに従い、パスワードをリセットできます。

Password Reset Clientへのリンクは、次のコマンド構文を使用し、DOSコマンドでインストールすることができます。

msiexec /i [/q] c:\ESSO Kiosk Manager 7.000.msi programURLs

/q Quiet mode:インストーラのユーザー・インタフェース・メッセージをすべて非表示にします。msiexecについては、http://msdn.microsoft.comでその他のWindowsインストーラのコマンド行オプションに関する説明を参照してください。

programURLs (必須):

REG_RESETURL=" http://host/vgoselfservicereset/resetclient/default.aspx"

REG_STATUSURL="http://host /vgoselfservicereset/resetclient/checkstatus.aspx"

hostは、サーバー名(またはドメイン名あるいはIPアドレス)およびPassword Resetサービス・ルート・フォルダを保持するフォルダのパスです。

2.19.7 コマンド行オプション

コマンド行オプションは、非キオスク環境をサポートするために使用可能で、ユーザー・インタフェースを表示せずにKiosk Managerをデスクトップ・マシンで実行できます。

/EVENT <EventName1> [EventName2…]

このオプションは、名前付きイベントをトリガーし、Kiosk Managerはイベントと関連付けられているタスクを実行し、終了します。オーセンティケータ・フィルタは無視されます。

/RUN <ListName1> [ListName2…]

このオプションは、Kiosk Managerをトリガーし、名前付きリスト関連付けられているタスクを実行し、終了します。イベントおよびオーセンティケータ・フィルタは無視されます。

ListNameは、セッション・ステートまたはアクションのいずれかです。

例: "SMAgent/run StartVisualSourceSafe"

コマンド行を使用する場合、次のことに注意してください。

空白を含むSessionActionまたはSessionState名は、二重引用符で囲む必要があります。
一部のコマンド行オプションでは、他のユーザーの作業を妨げる場合があります。たとえば、/RUNコマンドでは複数のリストを実行します。コマンド行に/LOCKが表示されると、セッションはロックされ、/LOCKの前に表示されたすべてのオプションを含む残りのコマンド行は無視されます。
/SHUTDOWN、/LOCKおよび/TERMは、Kiosk Managerで残りのコマンド行が無視されるコマンド行オプションです。
/RUNおよび/EVENTコマンドは、Kiosk Managerで、残りのコマンド行を実行するイベントおよびリスト名として扱うようにトリガーします。これらは、すべてのコマンド行オプションの処理が完了してから実行されます。パラメータのタイプは、前のコマンドによって異なります。コマンド行パラメータのタイプは、次の/EVENTまたは/RUNパラメータの受信時にリセットされます。次に例を示します。

SMAgent /Event "SM session start" "SM session end" /RUN termlist1 termlist2 runlistA "My SessionState"

このコマンド行は、イベント"SM session start" "SM session end"に関連付けられたリストを実行し、名前付きリストtermlist1、termlist2、runlistAおよび"My SessionState"を実行します。

2.19.8 .NET API

外部から呼出し可能なインタフェースおよびメソッド

KioskAPIという名前のクラスは、外部プログラムによってロードされるSMAgent.exe内で使用できます。

オブジェクトは、次のようにインスタンス化されます。

Passlogix.SM.Manager.KioskAPI kiosk = new
Passlogix.SM.Manager.KioskAPI();

次のメソッドを使用できます。

void Lock();
void Term();
void Shutdown();
void Event(string eventName);
void Run(string runtaskName);

Lock。現在のKiosk Managerセッションをロックします。
Term。ユーザーのKiosk Managerタイマーが期限切れになったかのように、ユーザーのセッションを終了します。
Shutdown。SMAgent.exeを終了します。
Event。名前付きイベントが発生し、Kiosk Managerでオーセンティケータによるフィルタリングなしで、名前付きイベントに関連付けられたタスクを実行することをシミュレートします。イベント名は、Events.xmlからのGUID文字列です。
Run。イベントまたはオーセンティケータによるフィルタリングなしで、名前付きタスクを開始します。タスク名は、管理コンソールで表示されるSessionActionおよびSessionState名です。

注意:

空白を含むSessionActionまたはSessionState名は、二重引用符で囲む必要があります。

kiosk.Run("\"My SessionAction\"");

"SM Session End"イベントと関連付けられたタスクの実行例:

Passlogix.SM.Manager.KioskAPI kiosk = new

Passlogix.SM.Manager.KioskAPI();

if (kiosk != null)

kiosk.Event("{A644ED55-6A3F-4160-A355-C713C90733DF}");

注意:

「.NET APIのサンプル・コード」も参照してください。

2.19.8.1 .NET APIのサンプル・コード

C#と"User Change"イベントのプロパティを使用した.NET APIのサンプル・コードを次に示します。

using System;

using System.Collections.Generic;

using System.Text;

using System.Windows.Forms;

namespace ClassLibraryTest

{

public class TestClass

{

private string m_userName;

private string m_domainName;

public string UserName

{

set

{

m_userName = value;

}

get

{

return m_userName;

}

public string DomainName

{

set

{

m_domainName = value;

}

get

{

return m_domainName;

}

public void UserChange()

{

MessageBox.Show("UserChange called with user: " + DomainName + "\\" + UserName);

}

public void SessionStart()

{

MessageBox.Show("SessionStart called");

}

public void SessionEnd()

{

MessageBox.Show("SessionEnd called");

}

public void SessionLocked()

{

MessageBox.Show("SessionLocked called");

}

public void SessionUnlocked()

{

MessageBox.Show("SessionUnlocked called");

}

public void PreSessionUnlocked()

{

MessageBox.Show("PreSessionUnlocked called");

}

public void AuthLogon()

{

MessageBox.Show("AuthLogon called");

}

public void AuthTimeout()

{

MessageBox.Show("AuthTimeout called");

}

public void DeviceIn()

{

MessageBox.Show("DeviceIn called");

}

public void DeviceOut()

{

MessageBox.Show("DeviceOut called");

}

public void GracePeriod()

{

MessageBox.Show("GracePeriod called");

}

2.19.9 Kiosk Managerのベスト・プラクティス

これらのベスト・プラクティスは、最適なKiosk Manager構成の実装に役立つ推奨です。

2.19.9.1 Kiosk Manager設定のデプロイ

管理コンソールからのKiosk Managerの大量デプロイメントで最も便利な方法は、カスタマイズ済MSIパッケージを作成して、任意のデプロイメント・ツールを使用して、エンド・ユーザーのキオスク・ワークステーションに配布することです。

注意:

Kiosk Manager設定では、管理オーバーライドは使用できません。

2.19.9.2 SendKeys

SendKeysは信頼できる方法ではないため、想定どおりの作業は保証されません。SendKeysを使用しないことをお薦めします。

2.19.9.3 Task Managerおよび「Run」の無効化

Windows Task Managerおよび「Run」メニュー・オプションは、Kiosk Managerレジストリ・サービスの機能として、プログラムにより無効化されます。セキュリティを追加するには、Kiosk Managerのキオスク・ユーザー・アカウントで使用する予定のすべてのユーザー・アカウントで、これらの機能を無効化することをお薦めします。

「スタート」メニューから「Run」メニュー・オプションを削除するには、次の手順を実行します。

gpedit.msc (C:\WINNT\system32\gpedit.msc)をダブル・クリックして、グループ・ポリシー・エディタを開きます。
「User Configuration」 > 「Administrative Templates」 > 「Start Menu and Toolbar」にナビゲートします。
右側のペインで、「Remove Run from start menu」をダブルクリックします。
「Enabled」を選択して、「Apply」および「OK」をクリックします。

Task Managerを無効化するには、次の手順を実行します。

gpedit.msc (C:\WINNT\system32\gpedit.msc)をダブル・クリックして、グループ・ポリシー・エディタを開きます。
「User Configuration」 > 「Administrative Templates」 > 「System」 > 「Ctrl+Alt+Delete Options」へナビゲートします。
右側のペインで、「Remove Task Manager」をダブルクリックします。
「Enabled」を選択して、「Apply」および「OK」をクリックします。

2.20 Provisioning Gatewayの概要

Provisioning Gatewayでは、各ユーザーのLogon Manager資格証明ストア内で、アプリケーションの資格証明の追加、変更および削除をリモートから直接実行可能にすることによって、ローカルの資格証明取得の必要がなくなり、ユーザーはターゲット・アプリケーションにすぐにアクセスできるようになります。Universal Authentication Manager管理コンソールは、スタンドアロンのブラウザベースのアプリケーションです。このコンポーネントの構成および使用手順は、別のガイド『Oracle Enterprise Single Sign-On Provisioning Gatewayの管理』を参照してください。

プロビジョニングは次の方法で構成できます。

管理コンソールの「Provisioning」ノードで、作成した新しいアプリケーションのそれぞれに対してプロビジョニング権限を定義します。
選択したアプリケーションの「Provisioning」タブで、権限を追加または削除し、他のアプリケーションに権限をコピーします。

Provisioning Gateway管理コンソールにアクセスするには、Webブラウザを開いて、次のURLを入力します(serverhostは、Provisioning Gatewayがインストールされたサーバーに置き換えます)。

https://serverhost/Provisioning Gateway console/overview.aspx

2.20.1 プロビジョニングの管理

このノードを使用して、ユーザーのプロビジョニング権限を管理します。権限の設定には次の2つのタブを使用します。

Default Rights
Admin Rights

このノードの設定を変更する際、変更を有効にするにはリポジトリに公開する必要があります。ノードを右クリックし、「Publish」を選択します。

2.20.1.1 「Provisioning Default Rights」タブ

このタブを使用して、作成した新しいアプリケーションそれぞれに対して標準のプロビジョニング権限を定義します。アプリケーションを作成した後、必要に応じて権限を変更します。

コントロール	機能
Directory	ターゲット・ディレクトリ・サーバーを選択します。
アクセス情報:
Name	このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザー・アカウント名がリストされます。
Access	ユーザーまたはグループに付与されている権限(ログオンの追加、変更または削除)を示します。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Add Logon」、「Modify Logon」、または「Delete Logon」を選択します。
アクション:
Copy permissions to…	このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに適用できます。クリックしてすべての使用可能なアプリケーションのリストを表示し、これらのプロビジョニング権限のコピー先を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックします。
Add	「Add User or Group」ダイアログを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目に対するアクセス権を付与するユーザーまたはグループを選択します。
Remove	選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
Directory	ターゲット・ディレクトリ・サーバーを選択します。

2.20.1.2 「Add User or Group」ダイアログ

「Add User or Group」ダイアログは、使用しているディレクトリ・サーバーによって異なります。

LDAP
Active Directory
AD LDS (ADAM)

2.20.1.2.1 LDAP

コントロール	機能
Search Base	ユーザー/グループのアカウントの検索を開始するベース・ディレクトリ(最上位のディレクトリ)。ベース・ディレクトリのすべてのサブディレクトリが検索されます。ディレクトリ・ツリーを参照するには場所を入力するか、「Change」をクリックします。
Change	「Select Search Base」ダイアログを表示して、検索するベース・ディレクトリを参照します。このダイアログ・ボックスは、ユーザー/グループの名前を検索するためのベース・ディレクトリ(最上位のディレクトリ)を参照および選択する場合に使用します。終了したら、「OK」をクリックします。
Search	ベース・ディレクトリ内のユーザーおよびグループの検索が開始されます。
Users or Groups	検索結果が表示されます。現行の構成アイテム用のアクセス・リストに追加する名前を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。アクセス・リストへの選択したアイテムのコピーを終了したら、「OK」をクリックします。

2.20.1.2.2 Active Directory/AD LDS (ADAM)

コントロール	機能
List Names From	Active Directoryのドメインまたはサーバーを選択します。
Names	選択したドメインまたはサーバー用のユーザーおよびグループの名前が表示されます。アクセス・リストに追加する名前を1つ以上選択します。
Add	「Names」リストで選択したユーザーおよびグループが「Add Names」リストにコピーされます。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。
Members	「Names」リストでグループを選択した場合、「Global Group Membership」ダイアログが表示され、ここに、選択したグループのメンバーがリストされます。
Search	特定のユーザーまたはグループ用の1つ以上のドメインを検索するための「Find Account」ダイアログが表示されます。
Add Names	現行の構成アイテム用のアクセス・リストに追加するために選択したユーザーまたはグループの名前を表示します。「OK」をクリックして追加を終了します。注意: このリスト内のユーザー名は、入力または編集できます。ただし、エントリのアカウント名が有効かどうかが確認され、アカウントが重複して選択されている場合は、「OK」をクリックすると、重複しているアカウントが自動的に削除されます。

2.20.1.3 「Provisioning Admin Rights」タブ

このタブを使用して、Provisioning Gateway管理コンソールへの汎用管理権限をユーザーに付与します。

コントロール	機能
Directory	ターゲット・ディレクトリ・サーバーを選択します。
アクセス情報:
Name	このアイテムに現在アクセスできるグループまたはユーザーが表示されます。
ID	ユーザー・アカウント名がリストされます。
Access	ユーザーまたはグループに付与された管理権限を示します(「Delete SSO User」または「Map Templates」)。ユーザーまたはグループのアクセス権を変更するには、ユーザーまたはグループを右クリックし、ショートカット・メニューから「Delete SSO User」または「Map Templates」を選択します。
アクション:
Copy permissions to…	このボタンを使用すると、現行のアプリケーションのプロビジョニング権限を複数のアプリケーションに適用できます。クリックしてすべての使用可能なアプリケーションのリストを表示し、これらのプロビジョニング権限のコピー先を選択します。[Ctrl]を押しながらクリックするか、または[Shift]を押しながらクリックして、複数のエントリを選択します。「OK」をクリックします。
Add	「Add User or Group」ダイアログを表示して(LDAPまたはActive Directoryの場合)、現在選択されている項目に対するアクセス権を付与するユーザーまたはグループを選択します。
Remove	選択したユーザーまたはグループがリストから削除されます。削除するユーザーまたはグループを選択します(複数のエントリを選択するには、[Ctrl]キーまたは[Shift]キーを押しながらクリックします)。
リスト内のサーバー名を右クリックすると、コンテキスト・メニューから開き、次の実行が可能です。
Remove	「Server」リストからサーバーを削除します。
Publish…	「Publish to Repository」ダイアログを起動します。そこで、いくつかのオブジェクトと場所から選択して公開できます。
Publish To	メニュー項目から直接1つのリポジトリを選択でき、選択した後、自動的に公開されます。
Delete SSO User	OPAM対応のアカウントへのユーザーのアクセスを無効にします。
Map Templates	管理者が、SSOテンプレートをOPAMターゲットにマップできるようにします。リスト内のユーザーを右クリックし、コンテキスト・メニューから「Map Templates」を選択して、ユーザーにマッピング権限を付与します。

2.20.2 Oracle Privileged Accounts Manager (OPAM)

「OPAM」タブには、ルート・ノードが含まれていて、ここからOPAMサーバーおよびターゲット・リポジトリに接続できます。このサーバーにはOPAMターゲットが含まれ、リポジトリにはLogon Managerテンプレートおよびマッピング・オブジェクトが含まれています。

注意:

Logon ManagerがActive Directoryリポジトリと同期化されており、「local computer credentials」オプションを使用している場合、グローバル・エージェント設定でオーセンティケータからActive Directory同期拡張(ShareCredsToSyncs)への資格証明の共有を可能にする必要があります。

OPAMの管理コンソール・サポートを構成するには、次の手順を実行します。

「URL」にOPAMターゲットを含むサーバーのURLを入力します。以前にこのフィールドに入力したURLがあると、ドロップダウン・リストから選択できます。
「Username」および「Password」に、ユーザー名およびパスワードを入力します。
ターゲット・リポジトリを選択するには、次の手順を実行します。
1. 「Browse…」ボタンをクリックします。
2. 「Connect to Repository」ダイアログで、サーバー名を入力し、リポジトリ・タイプを選択し、ポート番号、ユーザー名、およびパスワードを入力します。これがSSL接続である場合、ボックスを選択します。「Apply」をクリックします。
3. 「Browse for Repository」ダイアログで、サーバーの下で必要なDCノードを展開し、「OU-SSO」を選択します。ここにESSO構成オブジェクト(CO)とマッピング・オブジェクトが格納されます。終了したら「OK」をクリックします。
  
  注意:
  マッピング・オブジェクトがまだ存在しない場合は、ここに作成されます。
「Apply」をクリックします。プラグインがOPAMサーバーおよびターゲット・リポジトリへの接続を開始します。
接続に成功すると、OPAMの下の左側のナビゲーション・ペインに「Template Mapping」ノードが表示されます。

左側のナビゲーションで「Template Mapping」を選択すると、右側のペインにOPAMターゲットとマップされたテンプレートが表示されます。ターゲットのマップを変更するには、次の手順を実行します。

リストからターゲットを選択し、「Edit」をクリックします。
「Edit Mapping」ダイアログで、使用可能なテンプレートのリストから別のテンプレートを選択します。
「OK」をクリックしてウィンドウを閉じます。これで選択したターゲットがリストに表示されるようになり、その「Mapped Template」列には新しいテンプレートが表示されます。なんらかの理由で変更が自動的に表示されない場合は、「Refresh」ボタンをクリックしてリストを更新します。

コントロール	機能
OPAM Server URL:	OPAMサーバーのURLを入力します。管理コンソールは以前に入力されたURLを記憶しています。これらはドロップダウン・リストから選択できます。
Username	ユーザー名を入力します。
Password	パスワードを入力します。
Target repository	「Browse…」ボタンをクリックして、「Connect to Repository」ダイアログを起動します。このダイアログを使用して、サーバー名およびその他の必要なリポジトリ情報を指定します。
Apply	「Apply」をクリックして、前のフィールドに入力したOPAM構成情報を保存します。