Oracle Identity Manager デザイン・コンソール・ガイド リリース9.1.0 E05904-02 |
|
この章では、Design Consoleのユーザー管理について説明します。内容は次のとおりです。
「User Management」フォルダには、会社の組織、ユーザー、ユーザー・グループ、リクエスト、フォーム・テンプレート、場所、プロセス・タスクおよびリコンシリエーション・イベントについての情報をシステム管理者が作成、管理するためのツールがあります。
このフォルダには次のフォームがあります。
「Organizational Defaults」フォームは「User Management」フォルダにあります。このフォームは、組織の構成を反映するレコードを表示したり、組織のエンティティに関連する情報を入力および変更するために使用します。組織のレコードには、会社、部門または支店などの組織単位についての情報が含まれます。
サブ組織は、別の組織のメンバーである組織、たとえば、会社の部門などです。サブ組織が属する組織は親組織と呼ばれます。
「Organizational Defaults」タブは、現在の組織に対してプロビジョニングできるリソースの、カスタムのプロセス・フォームのデフォルトのパラメータ値を指定するために使用します。各プロセス・フォームは、その組織に対して許可されているリソース・オブジェクト、または関連する「Resource Objects」フォームの「Allow All」オプションが選択されているリソースに関連付けられています。
「Organizational Defaults」タブに入力した値は、組織のすべてのユーザーのデフォルト値になります。パスワードおよび暗号化されたパラメータにはデフォルト値を指定しないことをお薦めします。
図4-1に「Organizational Defaults」フォームを示します。
表4-1に、「Organizational Defaults」フォームのフィールドの説明を示します。
「Policy History」フォームは、ユーザーに対して許可または拒否されているリソースについての情報を表示するために使用します。
Oracle Identity Managerでは、ユーザーのタイプは2つあります。
図4-2に、このフォームを示します。
表4-2に、「Policy History」フォームのフィールドの説明を示します。
このタブは、次の基準に基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するために使用します。
「Policy History」タブには「Display Selection」領域が含まれます。このタブの内容を整理するには、次に示すように、この領域の一番上のボックスのメニューから項目を選択します。
アクセス・ポリシーに基づいてユーザーに対して許可または拒否されているリソース・オブジェクトを表示するには、このボックスからアクセス・ポリシーを選択します。
トラッキング・システムを使用すると、ユーザーがメンバーである組織と、ユーザーに適用されるアクセス・ポリシーに基づいて、ユーザーが許可または拒否されているリソースを表示できます。
ユーザーに対して許可されているリソース・オブジェクトは、「Resources Allowed」リストに表示されます。このリストは、そのユーザーに対してプロビジョニングできるリソース・オブジェクトを表しています。そのユーザーに対してプロビジョニングされているリソース・オブジェクトを表しているわけではありません。
そのユーザーに対して拒否されているリソース・オブジェクトは、「Resources Not Allowed」リストに表示されます。
トラッキング・システムを表示するには、次の手順を実行します。
User Policy Profile Historyウィンドウから、次に示す手順で選択したユーザーおよび日付と時刻について、許可または拒否されているリソースを表示できます。
「Group Entitlements」フォームは「User Management」フォルダに表示されます。これは、フォームの作成と移動、およびユーザー・グループのメンバーがエクスプローラを使用してアクセスできるフォームおよびフォルダの指定を行うために使用します。
「Group Entitlements」フォームを使用して、ユーザー・グループに対するフォームおよびフォルダを指定するには、次のようにします。
「User Group Information」ページが表示されます。
User Formの「Assignment」参照表が表示されます。
矢印ボタンを使用して、「Assigned Forms」リストに対する追加や削除を行います。
次に示すように、「User Group Information」ダイアログ・ボックスが表示されます。
新しく追加したユーザー・フォームは「Group Entitlements」表に一覧表示されます。「Group Entitlements」表には、選択できるすべてのユーザー・グループが表示されます。この表には、ユーザー・フォームの名前とタイプが表示されます。「Group Entitlements」表には、javaformとfolderの2つのタイプがあります。javaformは、Javaベースのグラフィカル・インタフェースです。folderには、1つ以上のjavaformが含まれています。
Oracle Identity Managerには、4つのデフォルトのユーザー・グループ定義があります。
これらのユーザー・グループに関連付けられた権限は変更できます。他のユーザー・グループを作成することもできます。
「System Administrators」ユーザー・グループのメンバーは、Oracle Identity Managerでレコード(システム・レコード以外)を作成、編集および削除できる完全な権限を持っています。
「Operators」ユーザー・グループのメンバーは、「Organizational Defaults」フォームや「Policy History」フォームを表示したり、制限された機能をこれらのフォームで実行できます。
「All Users」ユーザー・グループのメンバーは、最小の権限を持ちます。これらの権限には、自身のユーザー・レコードへのアクセスが含まれます(ただし、これらに限定されない)。各ユーザーは、自動的に「All Users」ユーザー・グループに所属します。
「All Users」グループからユーザーを削除することはできません。
「Self Operators」ユーザー・グループは、デフォルトでOracle Identity Managerに追加されます。このユーザー・グループには、XELSELFREG
という1人のユーザーが含まれます。このユーザーは、Oracle Identity Manager管理およびユーザー・コンソールで自動登録操作を行う際、ユーザーが持つ権限の変更を担当します。
プロビジョニング・リクエストを管理するためのユーザーのグループは、キューと呼ばれるエンティティを使用して割り当てます。キューは、グループ定義の集合です。キューは、他のキュー内にネストできます。
管理キューを使用すると、リクエストの効率と管理性が向上します。リクエストに割り当てたキューは、他のリクエストで再利用できます。
リクエストでは、キュー内の各グループに対して異なった管理権限を指定できます。たとえば、3つのユーザー・グループを持つキューをリクエストに割り当てる場合を考えます。3つのグループのメンバーは、リクエストに対して異なった管理権限を持つことができます。1番目のユーザー・グループは、リクエストの読取り、変更および削除を許可されています。2番目のユーザー・グループは、リクエストの読取りおよび変更を許可されます。3番目のユーザー・グループは、リクエストの読取りおよび削除を許可されます。
このフォームは「User Management」フォルダにあります。このフォームを使用すると、ターゲット・リソースおよび信頼できるソースから受け取ったリコンシリエーション・イベントの情報の表示、分析、修正、リンクおよび管理ができます。指名されたユーザーは、リコンシリエーション・イベントの情報を、手動で分析およびリンクすることができます。分析やリンクを、定義したアクション・ルールに基づいてOracle Identity Managerが自動実行することもできます。そのルールは、イベントが既存のレコードに関連付けられているかどうか、新規アカウントを表しているかどうか、またはイベントの情報のリンクを手動で開始できるかどうかに基づいています。
ユーザーにより定義されるリコンシリエーション・クラスは、ターゲット・リソースおよび信頼できるソースを定期的にポーリングします。これらのシステムに関する変更はすべて、リコンシリエーション・マネージャに書き込まれたリコンシリエーション・イベントを生成します。Oracle Identity Managerは、関連するプロビジョニング・プロセスで定義されたマッピングに従ってイベント情報を分析します。
図4-3に「Reconciliation Manager」フォームを示します。
「Reconciliation Manager」フォームの機能は次のとおりです。
ユーザーまたは組織に自動的に関連付けられた情報を確認することもできます。
ユーザーに自動的に関連付けられた情報を確認することもできます。信頼できるソースの場合、イベントのデータは新規ユーザー・アカウントを作成するために使用されます。ターゲット・リソースの場合、イベントのデータは、関連するリソース固有のプロセス・フォームにデータを移入するために使用されます。
このフォームを使用して、組織に自動的に関連付けられた情報を確認することもできます。
信頼できるソースの場合、ターゲット・システムまたは信頼できるソースのアカウントを削除すると、ユーザーのOracle Identity Managerアカウントが削除され、ターゲット・リソースでそのユーザーに対するプロビジョニングの際に使用されたすべてのアカウントが失効します。
ターゲット・リソースの場合、Oracle Identity Managerは、ユーザー・アカウントの失効について通知を受けます。
表4-3に示すように、「Reconciliation Manager」フォームの上部には次のフィールドがあります。
リコンシリエーション・イベントを表示および管理するには、次の手順を実行します。
「Object Name」フィールドに関連付けられているリソースや、「Status」フィールドのステータスを基準にして、リコンシリエーション・イベントを問い合せることもできます。
問合せ対象が削除済イベントの場合、つまり、対応するレコードがターゲット・リソースまたは信頼できるソースから削除されている場合、「Delete Event」は「Yes」に設定されています。それ以外の場合は「No」に設定されています。
各タブの情報については、「Reconciliation Manager」フォームのタブに関する項で説明します。Oracle Identity Managerが生成する一致を評価する際は、次のことができます。
この操作を実行するには、該当するタブの「Link」をクリックします。検出された一致が1つのみの場合にOracle Identity Managerが自動的にデータをリンクするようにルールを定義している場合もあります。
この操作を実行するには、「Create User」をクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的にユーザーを作成するようにアクション・ルールを定義することもできます。
この操作を実行するには、「Create Organization」をクリックします。または、一致が検出されなかった場合に、Oracle Identity Managerが自動的に組織を作成するようにアクション・ルールを定義することもできます。
この操作を実行するには、適用できるリコンシリエーション・ルールの精度を上げ、保存してから、「Re-apply Matching Rules」をクリックします。
調べるリコンシリエーション・イベントが見つかったら、タブを使用して次の操作を実行できます。
このタブのデータは、「Processed Data」と「Unprocessed Data」の2つのブランチのいずれかの下に表示されます。
「Processed Data」ブランチのフィールドは、関連付けられているリソースの「Reconciliation Fields」タブ上で定義されます。リコンシリエーション・イベントで、これらのフィールドは正常に処理されています。たとえば、データ型要件に違反していません。正常に処理された各フィールドには、次の内容が表示されます。
処理済データ・フィールドは、次のようになります。
Location [String] = Newark
「Unprocessed Data」ブランチにリストされたフィールドは、処理できなかったリコンシリエーション・イベントです。これらはたとえば、定義されていない項目や、関連付けられているリソースの「Reconciliation Fields」タブで設定されているデータ型と矛盾する項目などです。各未処理フィールドについて、次の情報が表示されます。
未処理データ・フィールドは、次のようになります。
user_securityid = capital <Not Numeric>
リコンシリエーション・イベントの未処理フィールドを修正したり、該当するリソースで定義されるとおりに、関連フィールドにマップするには、次の手順を使用します。
未処理フィールドをマップまたは修正するには、次の手順を実行します。
複数値フィールドの場合、適切な子プロセス・フォームにマップするか、個別のコンポーネント・フィールドを選択する必要があります。
複数値フィールドの場合、コンポーネント・フィールドをダブルクリックして修正します。
「Edit Reconciliation Field Data」ダイアログ・ボックスが表示されます。
未処理フィールドの値を変更するには、正しい値を「Corrected Value」フィールドに入力し、「Save」をクリックして、「Edit Reconciliation Field Data」ダイアログ・ボックスを閉じます。
フィールドのデータが正常に処理されると、「Unprocessed Data」ブランチのエントリはリンク先のフィールドを反映して更新されます。そのフィールドの新しいエントリが、「Processed Data」ブランチに追加されます。
リコンシリエーション・イベントの必須データ要素(該当するリソース定義の「Object Reconciliation」タブ)に「Reconciliation Data」タブで処理済のマークが付けられると、Oracle Identity Managerには次のように表示されます。
該当するユーザーまたは組織に一致する、リソースに関連付けられているリコンシリエーション・ルールのロジックで指定されているリコンシリエーション・イベントの関連データに一致するすべてのユーザー・レコードまたは組織レコード。これらのレコードは、ソース所有者の可能性のあるユーザーがユーザー一致ルールの適用に基づいてOracle Identity Managerに検出された(ユーザー更新)、信頼できるソース上のアカウントを表します。一致するユーザーが検出されなかった場合、リコンシリエーション・イベントは、信頼できるソースでの新規ユーザー・アカウントの作成(つまりユーザー作成)を表します。
すべてのキー・フィールドの値(該当するプロセス定義の「Reconciliation Field Mappings」タブで設定された値)がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致するような、すべてのプロビジョニング・プロセス・フォーム・インスタンス。これは、一致している可能性があるアカウントがOracle Identity Managerに検出された(アカウント更新)ターゲット・システムのアカウントを表します。
これらの値に一致するプロセス・インスタンスがない場合、Oracle Identity Managerは該当するユーザー一致または組織一致のリコンシリエーション・ルールを評価し、リコンシリエーション・イベントのデータと一致するユーザーまたは組織を表示します。これらの一致は、一致するアカウント・レコードが、リコンシリエーション・エンジンによりOracle Identity Managerに検出されなかったターゲット・システム上のアカウントを表します。Oracle Identity Managerは、ユーザーに対してそのシステムのアカウントがプロビジョニングされていることを認識していないが、そのアカウントの所有者になる可能性のあるユーザーを検出しました(アカウント作成)。複数の一致レコードが検出された場合、管理者はレコードを調査し、どのOracle Identity Managerアカウントとリンクするかを決定する必要があります。一致が検出されない場合、信頼できるソースとターゲット・アプリケーションのデータが一致していない場合があります。このイベントは、ターゲット・システムのローグ・アカウントを示しているか、既存の従業員に対してターゲット・システム上で新規アカウントがプロビジョニングされたことを示している可能性があります。ただし、Oracle Identity Managerはそのアカウントがどのユーザーに関連付けられているか判断できません。
関連付けられているリソースの「Reconciliation Fields」タブで定義されているすべての必須フィールドが処理されると、タブには、すべてのキー・フィールドの値がリコンシリエーション・イベントのすべてのキー・フィールドの値に一致する、すべてのプロビジョニング・プロセス・フォーム・インスタンスが表示されます。
一致したプロビジョニング・プロセスには、次の内容が表示されます。
windows2000_prov
)。
445
)。
jdoe
)または組織名(たとえば、Finance
)。これは、プロビジョニング・プロセスのそのインスタンスによってリソースにプロビジョニングされたユーザーです。
一致したプロビジョニング・プロセスは、次のようになります。
Windows2000_prov [445] for User=jdoe
このタブにリストされるプロビジョニング・プロセスがない場合、リコンシリエーション・イベントのキー・フィールドの値を、そのリソースに関連付けられたプロセス・フォーム・インスタンスのフィールドの値に一致させることができなかったことを意味します。この場合、Oracle Identity Managerは、リソースに対して定義されている、いずれかのユーザー一致または組織一致のルールを適用します。一致が検出されると、「Matched Users」または「Matched Organizations」タブに表示されます。
プロビジョニング・プロセス・インスタンスをリコンシリエーション・イベントにリンクするには、次の手順を実行します。
このタブには、リソースのリコンシリエーション・ルールの基準で指定されたとおりに、リコンシリエーション・イベントの関連データに一致するユーザー・レコードが表示されます。
信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド(関連付けられているリソースの「Reconciliation Fields」タブで定義)の処理が完了すると、一致しているユーザー・レコードをすべて表示します。
ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド(関連付けられているリソースの「Reconciliation Fields」タブで定義)が処理され、一致が「Processes Matched Tree」タブに生成されていない場合にかぎり、一致しているユーザー・レコードをすべて表示します。
Design Consoleは、一致している各レコードのユーザーID、名および姓を表示します。
リコンシリエーション・イベントにユーザー・レコードをリンクするには、次の手順を実行します。
「Link」をクリックして、リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
このタブには、リソースのリコンシリエーション・ルールで指定されたとおりに、リコンシリエーション・イベントのデータに一致するOracle Identity Manager組織レコードが表示されます。
信頼できるソースの場合、Oracle Identity Managerはこれらのルールを評価し、すべての必須フィールド(関連付けられているリソースの「Reconciliation Fields」タブで定義)の処理が完了すると、一致している組織レコードをすべて表示します。
ターゲット・リソースの場合、Oracle Identity Managerはルールを評価し、すべての必須フィールド(関連付けられているリソースの「Reconciliation Fields」タブで定義)が処理され、一致が「Processes Matched Tree」タブに生成されていない場合にかぎり、一致している組織レコードをすべて表示します。
Oracle Identity Managerは、一致している各レコードのユーザーID、名および姓を表示します。
リコンシリエーション・イベントに組織レコードをリンクするには、次の手順を実行します。
リコンシリエーション・イベントの対象が信頼できるソースである場合、Oracle Identity Managerは次の操作を実行します。
「Reconciliation Event History」タブには、このリコンシリエーション・イベントで実行されたアクションの履歴が表示されます。各アクションについて、アクションが実行された日付と時刻が表示されます。Oracle Identity Managerにより、次のリコンシリエーション・イベントが追跡および記録されます。
|
Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|