54.9 資格証明共有グループの管理

資格証明共有グループとは、アカウント管理を容易にするために1つ以上のフィールドの情報を共有する一連のアプリケーションで、これによりユーザーは、あるアプリケーションで行われた資格証明の変更を、その他の指定されたアプリケーションに自動的に適用できます。作成した資格証明共有グループごとに、任意の数のアプリケーションを含め、それらがどの資格証明を共通で持つかを指定できます。

アクセス・ポータル・サービスが共有グループのメンバーであるアプリケーションの資格証明の変更を処理する場合、その資格証明の変更はその他のすべてのグループ・メンバーに自動的に適用されます。任意の数または組合せのアプリケーションで、単一の資格証明を共有できます。また、キー・フィールド、つまり、アクセス・ポータル・サービスが共有資格証明を更新する際に使用するフィールドを指定して、同じキー値を持つアカウントの資格証明のみを変更することもできます。

ノート:

アプリケーションでは、資格証明共有グループを有効にしないかぎり、初期デプロイメントに対してのみ資格証明が共有されます。

アクセス・ポータル・サービスは、資格証明共有グループの動作方法を制御するための柔軟性と粒度を提供します。

次のオプションを構成できます。

• アプリケーションのグループの任意またはすべてのフィールドの共有。

• ユーザーが共有グループ内で最初にアプリケーションに遭遇したときのすべての共有フィールドの事前入力。したがって、ユーザーは、そのグループで共有されていないフィールドにのみ情報を入力するよう求められます。

• ユーザーがすべての資格証明が事前決定されたアプリケーションに遭遇した場合の、アカウントの自動作成。

• キー・フィールド、つまり、管理コンソールが共有資格証明を更新する際に使用するフィールドの指定。これにより、同じキー値を持つアカウントの資格証明のみが変更されます。

次の各項では、新規グループの作成または既存のグループの編集方法について説明します。グループの作成後は、その構成プロセスは既存のグループを編集する場合と同じです。

54.9.1 資格証明共有グループの検索

名前または部分文字列を入力して、資格証明共有グループを検索できます。

検索するには、次のようにします。

1. 管理コンソールの上部にある「フェデレーション」をクリックしてから、表示されるタブの「アクセス・ポータル・サービス」セクションで「資格証明共有グループ」をクリックします。
2. 「名前」フィールドに名前または部分文字列を入力して、「検索」ボタンをクリックします。「検索結果」表に結果が表示されます。
3. 「検索結果」リスト内の任意のグループをクリックして、その構成を編集します。これらの設定を構成する方法の詳細は、次の項のステップ3を参照してください。

図54-5 「資格証明共有グループ」タブ

「図54-5 「資格証明共有グループ」タブ」の説明

54.9.2 資格証明共有グループの作成

新しい資格証明共有グループを作成できます。

作成するには、次のようにします。

1. 「資格証明共有グループの作成」ボタンをクリックして、「新規資格証明共有グループ」ページを起動します。
2. 「名前」フィールドにグループの名前を入力します。オプションで、このセクションの下部のフィールドに、説明と参照情報を追加できます。
3. 「共有資格証明」設定で、グループで共有する資格証明を選択します。次の任意またはすべてのフィールドを選択できます。

   • ユーザー名

   • パスワード

   • 第3フィールド

   • 第4フィールド

4. 「グループ内のキー資格証明」ドロップダウンから、フィールドを選択します。キー資格証明フィールドでは、グループ内の共有資格証明を更新する際により詳細な条件を指定します。資格証明が変更された場合、更新はキー・フィールドを共有するメンバーに対してのみ発生します。このフィールド値を共有するアカウントに対してのみ、共有資格証明を更新します。

   ユーザーがキー・フィールドにより制約されていないアカウントを作成する場合、すべての既存のアカウントを更新しないようにするために、そのアカウントには新しいキー・フィールドが必要です。

   ドロップダウンから、次のいずれかを選択します。

   • なし (デフォルト)

   • ユーザー名

   • 第3フィールド

   • 第4フィールド

5. 必要に応じて、共有フィールドを事前入力することを選択します。これにより、ユーザーがアプリケーションに新規アカウントを作成したときに、共有フィールドに共有資格証明が事前移入されるよう指定されます。デフォルトでは、このオプションが有効になっています。
6. 必要に応じて、すべての資格証明がわかっている場合に、アカウントを自動的に作成することを選択します。これは、ユーザーがすべてのフィールドが事前決定されたアプリケーションに遭遇した場合に、アクセス・ポータル・サービスが自動的にアカウントを作成することを意味します。

   ノート:

   このフィールドは、「グループ内のキー資格証明」が「なし」に設定されている場合にのみ使用できます。

7. 「保存」をクリックしてポリシー構成を完了するか、「取消」をクリックしてグループを保存せずにタブを閉じます。

図54-6 「新規資格証明共有グループ」ページ

「図54-6 「新規資格証明共有グループ」ページ」の説明

54.9.3 資格証明共有グループ内でのアプリケーションの管理

グループの作成時またはそれ以降の任意の時点で、グループにアプリケーションを追加できます。

資格証明共有グループにアプリケーションを追加するには、次のようにします。

図54-7 「アプリケーションの追加」ダイアログ

「図54-7 「アプリケーションの追加」ダイアログ」の説明

1. グループ・ページの「アプリケーション」セクションで、「追加」アイコンをクリックします。「アプリケーションの追加」ダイアログが表示されます。
2. 「名前」フィールドで、名前またはテキスト文字列を入力し、「検索」をクリックします。このフィールドを空白のままにして、使用可能なアプリケーションすべてを返すようにすることもできます。
3. 検索を実行すると、検索条件に一致するすべてのアプリケーションが「使用可能なアプリケーション」リストに表示されます。各アプリケーションに対して、リストにはそのアプリケーションが属する資格証明共有グループが含まれます。
4. 「使用可能なアプリケーション」リストから1つ以上のアプリケーションを選択して、「選択済の追加」をクリックします。または、「すべて追加」をクリックして、検索によって返されたすべてのアプリケーションを追加します。

   すでに別のグループのメンバーであるアプリケーションを選択すると、そのアプリケーションは前のグループの一部ではなくなります。

5. 完了したら、「追加」をクリックするか、「取消」をクリックして変更を行わずにダイアログを閉じます。
6. 「保存」をクリックして、資格証明共有グループに対する変更を保存します。