| Oracle Identity Managerリファレンス リリース9.1.0.1 B53783-01 |
|
 戻る |
 次へ |
Oracle Identity Managerのクライアント層は、管理およびユーザー・コンソールとDesign Consoleの2つのインタフェースで構成されています。管理およびユーザー・コンソールを使用すると、リソースのリクエストの作成および管理対象ユーザーのリソースのプロビジョニングの承認を行えます。ユーザーは、管理およびユーザー・コンソールを使用して、Oracle Identity Managerデータベース内のアカウント情報の検索、編集および削除を行えます。
この章の内容は次のとおりです。
管理およびユーザー・コンソールの左側のペインには、Oracle Identity Managerアカウントの管理やリソースの管理などの各種管理タスクを行うメニュー項目が一覧表示されます。メニュー項目は、機能によって分類されています。たとえば、ユーザーを作成および管理するメニュー項目は、1つの見出しの下に分類されます。図1-1に、管理およびユーザー・コンソールの「ようこそ」画面を示します。
この項では、次のトップレベル・メニュー項目の下に分類される、管理およびユーザー・コンソールの機能を説明します。
マイ・アカウント
「マイ・アカウント」セクションでは、次のメニュー項目を使用して、Oracle Identity Managerアカウントへのアクセスおよびアカウントの管理ができます。
アカウント・プロファイル: アカウントを表示および編集します。
パスワードの変更: パスワードを変更します。
チャレンジQ&A: チャレンジ質問および回答を変更します。
マイ・プロキシ: プロキシ・ユーザーを指定します。
マイ・リソース
「マイ・リソース」セクションでは、次のメニュー項目を使用して、プロビジョニングされたリソースの表示と、本人および他のユーザーに対するリソースへのアクセスのリクエストを行えます。
マイ・リソース: プロビジョニングされたリソースを表示します。
マイ・リクエスト: 要求された、あるいは、要求したすべてのリソース・リクエストを表示します。
新しいリソースのリクエスト: 新しいリソースのリクエストを作成します。
リクエスト
「リクエスト」セクションでは、次のメニュー項目を使用して、ユーザーおよび組織についてリクエストしたリソース・リクエストの作成およびトラッキングを行えます。
リソース: 本人、他のユーザーおよび組織へのリソースのプロビジョニングのリクエストを作成および管理します。「リソース」メニュー項目を使用して、次のタイプのリクエストを行えます。
リソースの権限付与 - ターゲットにリソースの権限を付与。
リソースの無効化 - ターゲットを一時的にリソースにアクセスさせない。
リソースの再有効化 - リソース使用を一時停止されていたターゲットのアクティブ化。
リソースの失効 - ターゲットからリソースを削除。
トラッキング: Oracle Identity Managerで割り当てられている権限に基づいたリソースへのリクエストを表示します。また、リクエスト内のタスクの詳細の編集または承認も行えます。
To-Doリスト
To-Doリストは、プロセス内のタスクのリストです。リクエストとこれに関連するリソースの承認、およびタスクを構成するプロビジョニングに対しこれらを使用可能にするプロセスは、次のメニュー項目を使用して行えます。
保留中の承認: 割り当てられたタスクの表示と完了、および管理するユーザーに割り当てられたリクエストを表示します。また、間接グループ・メンバーシップに基づいたすべてのタスクを表示できます。
オープン・タスク: 「オープン・タスク」メニュー項目には、プロビジョニング・プロセスに定義されたタスクが一覧表示されます。「オープン・タスク」メニュー項目には、本人または管理するユーザーに割り当てられたすべてのオープン・プロビジョニング・タスクが示されます。また、間接グループ・メンバーシップに基づいて割り当てられたプロビジョニング・タスクのリストを表示できます。タスクが「却下」ステータスの場合、「オープン・タスク」メニュー項目を使用してタスクの再試行、他のユーザーへのプロビジョニング・タスクの再割当てまたはプロビジョニング・タスクのレスポンスの指定を行えます。
アテステーション: アテステーションは、レビューアが確認する必要のあるレポートについて定期的に通知を受けるメカニズムです。このレポートには、特定のユーザーにプロビジョニングされたリソースの概略が示されます。レビューアは、権限が正しいかどうかを、適切なレスポンス付きでアテストします。割り当てられたすべてのオープン・アテステーション・タスクを表示できます。アテステーション・タスクの認証、却下または委任も行えます。
ユーザー
「ユーザー」セクションでは、従業員に必要なOracle Identity Managerのアカウントなどのユーザー・レコードの作成および管理を行えます。次のメニュー項目を使用して、ユーザー・レコードの作成および管理を行います。
作成: ユーザー・アカウントを作成します。
管理: ユーザー・アカウントへのリソースの有効化、無効化とプロビジョニング、およびユーザー・アカウントのロック解除を行います。有効化の対象となるためには、ユーザー・アカウントは無効になっている必要があります。ロックされているアカウントのみをロック解除できます。ユーザーがログインの最大試行回数またはパスワード・リセットの最大試行回数を超えると、アカウントがロックされます。ユーザーのOracle Identity Managerレコードを編集することで、ユーザー・アカウントを管理できます。
組織
「組織」セクションでは、次のメニュー項目を使用して、組織に関係する情報の作成および管理を行えます。
作成: 組織を作成します。
管理: 次のような組織の管理を行います。
組織の検索および表示。
組織の有効化。
組織の無効化。
組織の削除。
ユーザー・グループ
「ユーザー・グループ」を使用して、アクセス権、ロールまたは権限などの共通の役割を割り当てたユーザーの集まりを作成および管理します。次のメニュー項目を使用して、ユーザー・グループに関連付けた権限の変更および他のユーザー・グループの作成を行えます。
作成: ユーザー・グループを作成します。
管理: ユーザー・グループの検索、情報の追加およびユーザー・グループに対する他の管理業務を行います。
アクセス・ポリシー
「アクセス・ポリシー」セクションでは、Oracle Identity Managerでのユーザーおよびリソースのアクセス・ポリシーを作成および使用できます。ユーザー・グループおよびユーザーにプロビジョニングするリソースのアクセス・ポリシーを定義します。次のメニュー項目を使用して、アクセス・ポリシーを作成および使用します。
作成: アクセス・ポリシーの作成ウィザードを使用してアクセス・ポリシーを作成します。
管理: 既存のアクセス・ポリシーの情報の変更によってアクセス・ポリシーを管理します。
リソース管理
「リソース管理」機能では、次のメニュー項目を使用して、組織または個々のユーザーに対するリソース・オブジェクトを管理します。
管理: リソースを管理します。次の機能が含まれます。
リソースの検索および詳細の表示。
ユーザーまたは組織からのリソースの無効化、有効化または失効。
リソース管理者および認可者グループの管理。
ワークフローの表示および定義。
リソース監査目的の表示および定義。
ITリソースの作成: ITリソースを作成し、ITリソースについてユーザー・グループにアクセス権を設定します。
ITリソースの管理: ITリソースを表示、変更および削除します。
スケジュール済タスクの作成: スケジュールを指定し、スケジュール済タスク属性を追加して、スケジュール済タスクを作成します。
スケジュール済タスクの管理: スケジュール済タスクを表示および変更します。
デプロイメント管理
デプロイメント管理は、Oracle Identity Manager構成のエクスポートおよびインポートに使用するツールです。デプロイメント管理では、Oracle Identity Manager構成を形成するオブジェクトをエクスポートできます。デプロイメント管理を使用して、環境間でOracle Identity Managerの項目を交換できます。通常、デプロイメント管理は、テストから本番デプロイメントへなどの、あるデプロイメントから別のデプロイメントへの構成の移行、またはシステムのバックアップの作成に使用します。「デプロイメント管理」セクションでは、次のメニュー項目が提供されます。
エクスポート: Oracle Identity ManagerシステムからのオブジェクトのエクスポートおよびこのXMLファイルへの保存を行えます。デプロイメント管理には、エクスポート・ファイルを作成するエクスポート・ウィザードが用意されています。
インポート: デプロイメント管理を使用して、XMLファイルに保存されたオブジェクトをOracle Identity Managerシステムにインポートできます。XMLファイルのすべてまたは一部をインポートできます。たま、複数のXMLファイルを一度にインポートできます。
コネクタのインストール: 事前定義のコネクタのインストール、特定のインストール・ディレクトリへのコネクタ・ファイルの自動コピー、コネクタXMLファイルのインポートおよびアダプタのコンパイルを行えます。
レポート
Oracle Identity Managerを使用して生成できるレポートは、アクセス対象が現在の操作データか履歴データかに基づき、操作レポートと履歴レポートに分類されます。これらのレポートには、ユーザーが使用可能なリソースが示されます。
操作レポート
操作レポートは、操作およびコンプライアンス目的で管理者および監査者に使用されます。操作レポートには次のタイプがあります。
リソース・アクセス・リスト: リソースにプロビジョニングされた既存のユーザーを問い合せます。
ポリシー・リスト: 特定のグループのポリシーのリストを表示します。
ポリシーの詳細: 特定のポリシーの完全な詳細を表示します。
Oracle Identity Managerパスワードの期限切れ: ユーザー・パスワードの期限の設定を一覧表示します。
ユーザー・リソース・アクセス: 特定の問合せパラメータに合致するユーザーのアクセス権を問い合せます。
権限のサマリー: 各リソース内のステータスごとのユーザー数を一覧表示します。
プロセス別のアテステーション・リクエスト: プロセス別のアテステーション・リクエストを一覧表示します。
アテステーション・リクエストの詳細: 指定したアテステーション・リクエストの完全な詳細を返します。
リソース・パスワードの期限切れ: リソース・パスワードの期限が近いユーザーのリストを返します。
グループ・メンバーシップ: 各グループのユーザー数を一覧表示します。
アテステーション・プロセス・リスト: 定義されたすべてのアテステーション・プロセスを一覧表示します。
レビューア別のアテステーション・リクエスト: レビューア別のアテステーション・リクエストを一覧表示します。
グループ・メンバーシップ・プロファイル: ユーザー・グループ・メンバーシップを一覧表示します。
履歴レポート
管理者および監査者は、コンプライアンスおよび法的監査目的で履歴レポートを使用します。履歴レポートには次のタイプがあります。
ユーザー・メンバーシップ履歴: ユーザーのグループ・メンバーシップの履歴を表示します。
ユーザー・リソース・アクセス履歴: アカウントのライフサイクルを通してのユーザーのリソース・アクセス履歴を一覧表示します。
グループ・メンバーシップ履歴: グループのメンバーシップの履歴を表示します。
ユーザー・プロファイル履歴: アカウントのライフサイクルを通してのユーザーのプロファイル履歴を一覧表示します。
リソース・アクセス・リスト履歴: リソースにプロビジョニングされたすべてのユーザーをライフサイクルを通して問い合せます。
|
関連項目: 操作レポートおよび履歴レポートの詳細は、『Oracle Identity Manager Audit Report開発者ガイド』の「Oracle Identity Managerのレポート機能」を参照してください。 |
汎用テクノロジ・コネクタ
このメニュー項目を使用して、汎用テクノロジ・コネクタを作成および管理できます。
アテステーション
このセクションでは、次のメニュー項目を使用して、アテステーション・タスクを作成、管理および表示できます。
作成: 新しいアテステーション・プロセスを作成します。
管理: 次のようなアテステーション・プロセスの管理を行います。
アテステーション・プロセスの編集
アテステーション・プロセスの無効化
アテステーション・プロセスの有効化
アテステーション・プロセスの削除
アテステーション・プロセスの実行
アテステーション・プロセス管理者の管理
アテステーション・プロセス実行履歴の表示
ダッシュボード: 本人がメンバーであるグループに所有されるアテステーション・プロセスの状態を表示します。アテステーション・ダッシュボードを使用するには、「アテステーション」リンクを開き、「アテステーション・ダッシュボード」をクリックします。本人がメンバーであるグループに所有されるアテステーション・プロセスの状態を一覧表示する表を含む「アテステーション・ダッシュボード」ページが表示されます。
この項では、管理およびユーザー・コンソールでのユーザー登録、アカウント作成などの構成機能の設定について説明します。Oracle Identity Manager管理およびユーザー・コンソールをデプロイする前にこの項を参照し、製品が希望どおりに機能するように構成したことを確認します。
この項の内容は次のとおりです。
Oracle Identity Manager管理およびユーザー・コンソールのユーザー・インタフェースをカスタマイズするには、『Oracle Identity Manager管理およびユーザー・コンソール・カスタマイズ・ガイド』を参照してください。
表1-1に、ユーザー登録操作の設定を示します。
表1-1 ユーザー登録操作の設定
| 目的 | 説明 |
|---|---|
|
ユーザーがOracle Identity Managerで自己登録できるようにするには |
「System Configuration」フォームの「Is Self-Registration Allowed」プロパティをtrueに設定します。「System Configuration」フォームは、Oracle Identity Manager Design Consoleで使用可能です。 |
|
登録時にユーザーが本人確認質問を選択し、これらの質問の回答を入力するようにするには |
「System Configuration」フォームの「Does user have to provide challenge information during registration」プロパティをtrueに設定します。「System Configuration」フォームは、Oracle Identity Manager Design Consoleで使用可能です。 |
|
ユーザーが回答する必要のある確認質問の数を指定するには |
「System Configuration」フォームの「Number of Questions」をユーザーが回答する質問の数に設定します。Lookup.WebClient.Questions参照定義で指定する質問の数が「Number of Questions」プロパティの値以上になるようにします。他の質問を作成する必要がある場合もあります。 「System Configuration」フォームは、Oracle Identity Manager Design Consoleで使用可能です。 |
|
本人確認の質問と回答の設定時にユーザーが選択する質問のリストを指定するには |
「Lookup Definition」フォームの質問ごとにLookup.WebClient.Questions参照定義の行を定義します。 「Lookup Definition」フォームは、Oracle Identity Manager Design Consoleで使用可能です。 |
|
自己登録で承認が必要となるようにするには |
ユーザー登録承認プロセスで承認タスクを定義します。 |
|
ユーザー・プロファイル情報に応じて、異なる自己登録のワークフロー承認を構成するには |
「リクエスト」リソース定義に追加の承認プロセスを定義し、リクエスト・オブジェクト・アクションが少なくともエンティティの作成であることを必要とするルール要素を使用して、「process determination」タイプのルールを作成します。Oracle Identity Managerで選択するプロセスを決定できるようにするには、「リクエスト」リソース定義で新しいルールを承認プロセスに関連付けます。 |
|
自己登録に基づいてユーザーがグループに自動的に追加されるようにするには |
「general」タイプのルールを定義し、登録時にユーザーを追加するユーザー・グループ定義に付加します。これにより、入力された基準に基づき、ユーザーを追加するグループがOracle Identity Managerで登録時に決定されます。ルールの基準は、ユーザーが入力した基準に合致する必要があります。 |
表1-2に、アクセス権の構成の設定を示します。
表1-3に、管理者にアカウント作成操作を構成する設定を示します。
表1-3 アカウント作成操作の設定
| 目的 | 説明 |
|---|---|
|
管理者が他のユーザー用Oracle Identity Managerアカウントを作成できるようにするには |
これらの管理者が属するグループを、管理するユーザーを含む組織の「管理者」タブに必ず追加してください。 |
|
管理者がユーザー・アカウントの作成時にデータを入力するようにフィールドを構成するには |
|
|
ユーザー・アカウントの作成時に必須のフィールドを指定するには |
|
|
ユーザーが自動的にメンバーとなるグループを指定するには |
「general」タイプのルールを定義し、登録時にユーザーを自動的に追加するユーザー・グループ定義に付加します。これにより、入力された基準に基づき、ユーザーを追加するグループがOracle Identity Managerでアカウントの作成時に決定されます。ルールの基準は、入力された基準に合致する必要があります。 |
|
管理者が管理するユーザーを追加できるグループを指定するには |
これらの管理者がメンバーであるグループを、ユーザーの追加を許可するグループ定義の「管理者」タブに必ず追加してください。 |
表1-4に、ユーザーにプロファイル編集操作を構成する設定を示します。
表1-4 プロファイル編集操作の設定
| 目的 | 説明 |
|---|---|
|
ユーザーが開始するOracle Identity Managerプロファイルの更新で承認が必要となるように指定するには |
ユーザー・プロファイルの編集承認プロセスで承認タスクを定義します。 |
|
ユーザーが開始するプロファイルの更新に異なるワークフロー承認を構成するには |
「リクエスト」リソース定義に追加の承認プロセスを定義し、リクエスト・オブジェクト・アクションが少なくともエンティティの変更であることを必要とするルール要素を使用して、「process determination」タイプのルールを作成します。Oracle Identity Managerで選択するプロセスを決定できるようにするには、「リクエスト」リソース定義でルールを承認プロセスに関連付けます。 |
|
ユーザーが編集できるプロファイル内のフィールドを制御するには |
|
表1-5に、管理者にアカウント変更操作を構成する設定を示します。
表1-5 アカウント変更操作の設定
| 目的 | 説明 |
|---|---|
|
他のユーザーのプロファイルを編集できるユーザーを制御するには |
各管理グループのメンバーがアクセス権を持つフォームを指定する必要があります。これらのグループを、管理するユーザーが含まれる組織の「管理者」タブに追加する必要もあります。 |
|
管理者が編集できるOracle Identity Managerシステム・フィールド(ユーザーID、名など)を制御するには |
他のユーザーに関する編集を管理者に許可するフィールドを指定する必要があります。編集可能にするフィールドは、 |
|
管理者が編集できるユーザー定義フィールド(社会保障番号、ローカル・アイデンティティなど)を制御するには |
他のユーザーに関する編集を管理者に許可するフィールドを指定する必要があります。これらのフィールドが表示される管理およびユーザー・コンソールのページに応じて、属性定義とフィールドへの参照を追加するよう |
