8 ユーザーの作成と管理

Oracle Identity Manager内に存在し、Oracle Identity Manager内で管理されるアイデンティティを、OIMユーザーと言います。OIMユーザーは、次の方法で作成できます。

• 1つ以上の、HRMSやLDAPなどの信頼できるアイデンティティ・ソースからのリコンシリエーションを介して作成

• 手動で管理およびユーザー・コンソールを介して作成

• Java APIまたはSPML Webサービス（あるいはその両方）を介して作成

OIMユーザーにはOIMアカウントがないユーザーも存在します。Oracle Identity Managerリリース9.1.0では、すべてのOIMユーザーにユーザー・アカウントがあります。

OIMアカウントはOIMユーザーに付与され、OIMユーザーはOracle Identity ManagerにログインしてOracle Identity Managerの機能にアクセスできるようになります。これらの機能には、少なくともセルフサービスおよびリクエストが含まれます。OIMアカウントには、ユーザー、組織およびロールといった様々なエンティティの委任管理やワークフローの定義機能などのその他の権限を付与できます。ユーザーによる自己登録を許可している場合でも、管理者として、他のユーザーのためにアカウントを作成する機能を他の管理者に保持させておくことがあります。すべてのユーザーが他のユーザーのためにアカウントを作成できるわけではありません。

この章の内容は、次のとおりです。

• ユーザーの作成

• ユーザーの管理

ユーザーの作成

OIMユーザーを作成するには、次の手順を実行します。

1. 管理およびユーザー・コンソールの左ナビゲーション・ペインで「ユーザー」をクリックし、続いて「作成」をクリックします。

2. 「ユーザーの作成」ページで、ユーザー登録に必要なデータを入力します。

   表8-1では、「ユーザーの作成」ページのGUI要素を説明します。

   表8-1    「ユーザーの作成」ページのGUI要素 

   「ユーザーの作成」ページのラベル	アクションまたは説明
   「ユーザーID」フィールド	ユーザー・アカウントのユーザーIDを入力します。 Design Consoleで「User ID Reuse」プロパティを「true」に設定した後に既存のユーザーIDを再利用しようとすると、例外が発生します。この問題を解決するには、USR表のUSR_LOGIN列の一意索引を削除し、一意ではない索引を作成します。「User ID Reuse」プロパティの詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。
   「名」フィールド	ユーザーの名を入力します。
   「ミドル・ネーム」フィールド	ユーザーのミドル・ネームを入力します。
   「姓」フィールド	ユーザーの姓を入力します。
   「ステータス」フィールド	ユーザー・アカウントの作成中は、この表示のみのチェック・ボックスはグレー表示（無効化）されます。 「ユーザーの作成」をクリックすると表示される「ユーザーの詳細」ページでは、このチェック・ボックスはユーザー・アカウントの現行のステータスを示します。ステータス値は次のいずれかです。 アクティブ 無効 開始日まで無効 削除
   「組織」参照フィールド	ユーザー・アカウントを作成する組織を選択します。
   「ユーザー・タイプ」リスト	次のユーザー・タイプのいずれかを選択します。 エンドユーザー エンドユーザー管理者
   「従業員タイプ」リスト	次の従業員タイプのいずれかを選択します。 フルタイムの従業員 パートタイムの従業員 派遣社員 インターン コンサルタント
   「マネージャID」フィールド	ユーザーのマネージャのユーザーIDを入力します。
   「電子メール」フィールド	ユーザーの電子メール・アドレスを入力します。
   「ユーザーの無効化」チェック・ボックス	ユーザー・アカウントの作成中は、この表示のみのチェック・ボックスはグレー表示（無効化）されます。 アカウントの作成中またはアカウント作成後に、ユーザーの状態が「無効」または「開始日まで無効」である場合、「ユーザーの作成」をクリックすると表示される「ユーザーの詳細」ページでこのチェック・ボックスが選択されています。ユーザー・アカウントの作成中に「開始日」フィールドに未来の日付を入力した場合、ユーザー・アカウントの状態は「開始日まで無効」になります。
   「パスワード」フィールド	ユーザーのパスワードを入力します。
   「パスワードの確認」フィールド	パスワードを再入力します。
   「ユーザーのロック」チェック・ボックス	ユーザー・アカウントの作成中は、この表示のみのチェック・ボックスはグレー表示（無効化）されます。アカウント作成後にユーザーの状態が「ロック」である場合、ユーザーの管理操作中に表示される「ユーザーの詳細」ページでこのチェック・ボックスが選択されています。 ユーザー・アカウントは、指定した回数だけログイン試行が失敗するとロックされます。これが発生した場合、ユーザーはチャレンジ質問に答えてアカウントのロックを解除できます。ユーザーがチャレンジ質問に正しく回答できない場合は、管理者のみがユーザー・アカウントをロック解除できます。
   「開始日」日付エディタ	ユーザー・アカウントの開始日を入力します。 未来の日付を入力すると、ユーザー・アカウントは開始日まで無効になります。開始日を入力しない場合、ユーザーはアカウントの作成後ただちに有効になり、開始日の値は現在の日付に設定されます。
   「終了日」日付エディタ	指定した日付にユーザー・アカウントを削除（「削除」状態に移行）し、プロビジョニングされたすべてのリソースを失効させる場合は、終了日を入力します。
   「プロビジョニング日」日付エディタ	リソースをユーザーにプロビジョニングできるようになる日付を入力します。 ユーザーに対するプロビジョニング・リクエストは、指定したプロビジョニング日より前に開始できます。ただし、これらのリソースが実際にユーザーにプロビジョニングされるのは、指定したプロビジョニング日以降です。 プロビジョニング日を指定しない場合、アカウントの作成後ただちにユーザーにリソースをプロビジョニングできます。
   「プロビジョンされた日」フィールド	この表示のみのフィールドには、ユーザーに対するプロビジョニングが有効になった日付が表示されます。
   「デプロビジョニング日」日付エディタ	ユーザーにプロビジョニングされたすべてのリソースをデプロビジョニング（失効）する日付を入力します。 この日付以降は、リソースをユーザーにプロビジョニングできません。
   「デプロビジョンされた日」フィールド	この表示のみのフィールドには、ユーザーに対するプロビジョニングが無効になった日付が表示されます。
   「次のログオン時にパスワードを変更」チェック・ボックス	ユーザーに初回ログオン時のユーザー・パスワードを変更させる場合は、このチェック・ボックスを選択します。 「次のログオン時にパスワードを変更」チェック・ボックスを選択した場合、オプションの設定後にユーザーがログインしたときに「パスワードの変更」ページが表示されます。 Oracle Identity Managerでユーザーが作成されると、そのユーザーは初めてログインしたときにパスワードの変更を強制されます。これは、「最初のログイン時に強制パスワード変更」プロパティの値を設定して実行します。このプロパティにはXL.ForcePasswordChangeAtFirstLoginキーワードがあり、Design Consoleの「System Configuration」フォームを使用して「true」に設定します。ユーザーが最初のログイン時にパスワード変更を強制されるのは、「true」に設定済のXL.ForcePasswordChangeAtFirstLoginキーワードを指定してユーザーが作成されたときのみです。 関連項目: パスワード・ポリシー作成の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』の「「Password Policies」フォーム」を参照してください。 「最初のログイン時に強制パスワード変更」プロパティの値を変更した場合は常に、変更が有効になるようにサーバーを再起動するかキャッシュをパージする必要があります。この場合、キャッシュ・カテゴリはServerCachedPropertiesです。 注意: 「最初のログイン時に強制パスワード変更」プロパティのデフォルト値は、「True」です。このプロパティを無効にするには、値を「False」に設定します。 PurgeCacheユーティリティの実行の詳細は、『Oracle Identity Managerベスト・プラクティス・ガイド』を参照してください。

3. 「ユーザーの作成」をクリックします。

   Oracle Identity Managerによりユーザー・アカウントが作成され、「ユーザーの詳細」ページにユーザー・アカウント情報が表示されます。

   ユーザーを作成した直後のため、「追加詳細」リージョンのいずれかのオプションを選択すると、限定された情報が表示されます。

「ユーザーの詳細」ページでは、次の項目を選択できます。

• 編集: ユーザー・プロファイルを変更します。

• 無効化: ユーザーに対してプロビジョニングを無効にします。

• ロック解除: ログイン再試行制限を超えた後にユーザー・アカウントがロックアウトされた場合、そのアカウントのロックを解除します。

• 削除: ユーザー・アカウントを削除します。

• パスワードの変更: 現行のパスワードを変更します。

ユーザー・プロファイルの編集

ユーザー・プロファイルを編集するには、次の手順を実行します。

1. 左ナビゲーション・ペインで「ユーザー」をクリックし、続いて「管理」をクリックします。

2. 「ユーザーの管理」ページでメニューから1つ以上の属性を選択し、メニューの隣のフィールドに検索基準（ワイルドカードが必要な場合はアスタリスク（*）を含む）を入力します。

   「従業員タイプ」および「ステータス」検索基準を使用するには、対応するフィールドで値を選択します。

3. 「ユーザーの検索」をクリックします。

4. 表示されるユーザーのリストで、情報を編集するユーザーのフィールドをクリックします。

   「ユーザーの詳細」ページが表示されます。このページに表示されるGUI要素の詳細は、表8-1を参照してください。

5. 「編集」をクリックします。

6. ユーザーのデータを編集してから、「保存」をクリックします。

ユーザーの無効化

ユーザーを無効化すると、そのユーザーを確実にプロビジョニングの対象外にできます。「ユーザーの編集」ページにある「無効化」ボタンは、ロールまたはステータスに応じて「無効化」と「有効化」の間で切り替わります。

ユーザー・プロファイルを無効化するには、次の手順を実行します。

1. 左ナビゲーション・ペインで「ユーザー」をクリックし、続いて「管理」をクリックします。

2. 「ユーザーの管理」ページでメニューから1つ以上の属性を選択し、メニューの隣のフィールドに検索基準（ワイルドカードが必要な場合はアスタリスク（*）を含む）を入力します。

   「従業員タイプ」および「ステータス」検索基準を使用するには、対応するフィールドで値を選択します。

3. 「ユーザーの検索」をクリックします。

4. 表示されるユーザーのリストで、情報を無効化するユーザーのチェック・ボックスを選択して、「無効化」をクリックします。

ユーザー・パスワードの変更

ユーザーのパスワードを変更するには、次の手順を実行します。

1. 「パスワードの変更」をクリックします。

   「パスワードの変更」ページが表示されます。

2. 新しいパスワードを入力し、確認します。

3. 「パスワードの保存」をクリックします。

ユーザーの管理

ユーザー・アカウントは変更、無効化、削除およびロック解除できます。また、ユーザー・アカウントのパスワードの変更もできます。

注意 ロックを解除できるのは、ロックされているアカウントのみです。ユーザーが再試行回数の上限を超えてログインを試みると、アカウントはロックされます。

次の手順では、ユーザー・アカウントの管理方法について説明します。

1. 左ナビゲーション・ペインで「ユーザー」をクリックし、続いて「管理」をクリックします。

   「ユーザーの管理」ページが表示されます。

2. ユーザーに関連する情報をフィールドに入力します。

   1つ以上のメニューを使用して、検索属性の選択を解除します。選択後、一致させるテキストを隣のフィールドに入力したり、ワイルドカードのアスタリスク（*）を使用します。入力する情報が多いほど、取得されるユーザー・レコードのリストの精度が上がります。「従業員タイプ」および「ステータス」検索基準を使用するには、対応するボックスで値を選択します。

   注意 検索基準を指定する場合に、値フィールドを空のままにして「ユーザーの検索」をクリックすると、表示される結果にはユーザー表からのNULL値が含まれます。これは、検索基準フィールドが問合せ条件にまったく組み込まれていないためです。 ただし、検索基準を指定する場合に、値フィールドにアスタリスク（*）を入力して「ユーザーの検索」をクリックすると、表示される結果には、検索基準として指定されたフィールドのNULL以外の値のみが含まれます。

3. 「ユーザーの検索」をクリックします。

   Oracle Identity Managerにより、入力した基準に一致するユーザーのリストが表示されます。

4. アカウントを有効化、無効化、ロック解除または削除するには、該当するチェック・ボックスやボタンを選択します。

   たとえばユーザー・アカウントを無効にするには、該当する行の「無効化」チェック・ボックスを選択し、「無効化」をクリックします。

5. ユーザーのアカウントを編集するには、そのアカウントのユーザーIDをクリックします。

   Oracle Identity Managerによりユーザーのプロファイルが表示されます。

6. アカウントのパスワードを編集、無効化、有効化、ロック解除、削除または変更して、該当するボタンをクリックします。

   ユーザーに関する詳細情報を表示するには、メニューを使用します。

   • ユーザーにプロビジョニングされたリソースを表示するには、「リソース・プロファイル」をクリックします。

     このページでは、「新しいリソースのプロビジョニング」をクリックしてリソースをプロビジョニングすることもできます。

   • 「グループ・メンバーシップ」ページを表示するには、「グループ・メンバーシップ」をクリックします。このページには、そのユーザーが関連付けられているグループ・メンバーシップがリストされます。

     グループ・メンバーシップ・ページを使用すると、ユーザーをグループに割り当てることもできます。

   • 「プロキシ詳細」ページを表示するには、「プロキシ詳細」をクリックします。このページには、そのユーザーが関連付けられているプロキシ・ユーザーがリストされます。

     「プロキシ詳細」ページを使用してプロキシを割り当てることもできます。