管理者ガイド - LSWH Welcome Page for g2t5048.austin.hpe.com

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download 管理者ガイド - LSWH Welcome Page for g2t5048.austin.hpe.com

Transcript

管理者ガイド - LSWH Welcome Page for g2t5048.austin.hpe.com

HP OpenView Select Identity
Red Hat Enterprise Linux および
Microsoft Windows 2003 オペレーティングシステム用
ソフトウェアバージョン : 4.0
管理者ガイド
2006 年 3 月
保証
1. 本書に記載した内容は、予告なしに変更することがあります。
2. 当社は、本書に関して特定目的の市場性と適合性に対する保証を含む一切の保証をいたしかね
ます。
3. 当社は、本書の記載事項の誤り、またはマテリアルの提供、性能、使用により発生した直接損
害、間接損害、特別損害、付随的損害または結果損害については責任を負いかねますのでご了
承ください。
4. 本製品パッケージとして提供した本書、 CD-ROM などの媒体は本製品用だけにお使いくださ
い。プログラムをコピーする場合はバックアップ用だけにしてください。プログラムをそのま
まの形で、あるいは変更を加えて第三者に販売することは固く禁じられています。
本書には著作権によって保護される内容が含まれています。本書の内容の一部または全部を著作
者の許諾なしに複製、改変、および翻訳することは、著作権法下での許可事項を除き、禁止され
ています。
All rights are reserved.
Restricted Rights Legend
Use, duplication or disclosure by the U.S. Government is subject to restrictions as set forth in
subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause in
DFARS 252.227-7013.
Hewlett-Packard Company
United States of America
Rights for non-DOD U.S. Government Departments and Agencies are as set forth in FAR
52.227-19(c)(1,2).
Copyright Notices
© 2006 Hewlett-Packard Development Company, L.P.
本書の内容の一部または全部を著作者の許諾なしに複製、改変、および翻訳することは、著作権
法下での許可事項を除き、禁止されています。本書に記載した内容は、予告なしに変更すること
があります。
本製品には Apache Software Foundation (http://www.apache.org/) が開発したソフトウェアが
含まれます。 Portions Copyright (c) 1999-2003 The Apache Software Foundation. All rights
reserved.
OVSI は Apache Jakarta Project の以下のソフトウェアを使用しています。
ii
•
Commons-beanutils
•
Commons-collections
•
Commons-logging
•
Commons-digester
•
Commons-httpclient
•
Element Construction Set (ecs)
•
Jakarta-poi
•
Jakarta-regexp
•
Logging Services (log4j)
ほかに、 OVSI で使用されているサードパーティのソフトウェアには以下があります。
•
SourceForge の JasperReports
•
SourceForge の iText (JasperReports 用 )
•
BeanShell
•
Apache XML Project の Xalan
•
Apache XML Project の Xerces
•
Apache XML Project の Java API for XML Processing
•
Apache Software Foundation の SOAP
•
SUN Reference Implementation の JavaMail
•
SUN Reference Implementation の Java Secure Socket Extension (JSSE)
•
SUN Reference Implementation の Java Cryptography Extension (JCE)
•
SUN Reference Implementation の JavaBeans Activation Framework (JAF)
•
OpenSPML.org の OpenSPML Toolkit
•
JGraph の JGraph
•
Hibernate.org の Hibernate
•
bouncycastle.org の BouncyCastle engine( キーストア管理用 )
iii
本製品には Teodor Danciu (http://jasperreports.sourceforge.net) が開発したソフトウェアが含
まれます。 Portions Copyright (C) 2001-2005 Teodor Danciu ([email protected]).
All rights reserved.
Portions Copyright 1994-2005 Sun Microsystems, Inc. All Rights Reserved.
本製品には the Waveset Technologies, Inc. (www.waveset.com) が開発したソフトウェアが含ま
れます。 Portions Copyright © 2003 Waveset Technologies, Inc. 6034 West Courtyard Drive,
Suite 210, Austin, Texas 78730. All rights reserved.
Portions Copyright (c) 2001-2005, Gaudenz Alder. All rights reserved.
Trademark Notices
UNIX® は The Open Group の登録商標です。
本製品には World Wide Web Consortium が提供するソフトウェアが含まれます。このソフト
ウェアには xml-apis が含まれます。 Copyright © 1994-2000 World Wide Web Consortium,
(Massachusetts Institute of Technology, Institute National de Recherche en Informatique et
en Automatique, Keio University). All Rights Reserved. http://www.w3.org/Consortium/Legal/
Intel および Pentium は米国およびその他の国における Intel Corporation の商標または登録商
標です。
AMD および AMD ロゴは Advanced Micro Devices, Inc. の商標です。
BEA および WebLogic は BEA Systems, Inc. の登録商標です。
VeriSign は VeriSign, Inc. の登録商標です。 Copyright © 2001 VeriSign, Inc. All rights
reserved.
その他の製品名は各社の商標またはサービスマークであり、ここでの記載は識別のみを目的とし
ています。
iv
サポート
HP OpenView のサポート Web サイトには、次の URL でアクセスできます。
http://www.hp.com/managementsoftware/support
これらの Web サイトには、 HP OpenView の提供する製品、サービス、サポートについてのお
問い合わせ先や詳細が掲載されています。
HP OpenView オンラインソフトウェアサポートは、お客様の問題解決に役立つ機能を提供して
います。サポートサイトでは、お客さまのビジネスの運用に役立つ対話形式の技術サポートツー
ルに手早く効率的にアクセスできます。サポートサイトでは次のことが可能です。
•
•
•
•
•
•
•
•
•
関心のあるドキュメントを検索する
機能拡張の要望をオンラインで送信する
ソフトウェアパッチをダウンロードする
サポートケースを登録 / トラッキングする
サポート契約を管理する
HP サポートの問合わせ先を調べる
利用可能なサービスに関する情報を確認する
ソフトウェアを利用している他のユーザーとの情報交換
ソフトウェアトレーニング情報の検索とお申し込み
大部分のサポートには、 HP Passport へのユーザー登録とログインが必要です。また、サポート
契約が必要な場合もあります。
アクセスレベルに関する詳細は、次の URL で確認してください。
http://www.hp.com/managementsoftware/access_level
HP Passport ID のご登録は、次の URL で行ってください。
http://www.managementsoftware.hp.com/passport-registration.html
v
目次
1 OVSI へようこそ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
製品の主な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
OVSI の設定と最適化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
システムアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
サインインおよびサインアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
サインイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
サインアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
OVSI インタフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
[ ホーム ] ページのパネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
[ ユーザープロファイル情報 ] パネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
[ あなたの ID 情報 ] パネル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
[ ユーザー管理 ] パネル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
[ リクエスト ] パネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
[ サービス工房 ] パネル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
[ あなたの ID 情報 ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
[ リクエスト ] メニュー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
[ ユーザー管理 ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
[ サービス工房 ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
[ レポート ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[ ツール ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
[ ヘルプ ] メニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
パスワードの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
vi
OVSI の検索機能の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
フィールドの種類の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
業務サービスアイデンティティ管理の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
業務モデルを設計および構築するためのワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
配布の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
配布の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
コネクタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Workflow Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
質問 / 答え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
管理者ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ユーザーのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
一括 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ユーザー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
リクエストステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
設定および監査レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
個人のアイデンティティ自己登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3 管理者ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
管理機能とアクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
機能とアクションの理解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
デフォルトのロールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
管理者ロールの作成および管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
管理者ロールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
管理者ロールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
新しい管理者ロールへの権限の付与. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
vii
ロールの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
ロールの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
ロールに付与された権限の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
ロールのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
管理者ロールのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
管理者ロールの委任 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
管理者ロールの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
ロールの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
管理者ロールの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4 サービス工房 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
サービス工房からのサービス基盤の構築 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
コネクタの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
コネクタの作成とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
コネクタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
コネクタの配布 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
コネクタレコードの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
コネクタレコードの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
リソースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
信頼できるリソースの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
同期と配布の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
リソースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
システムリソースの追加と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
リソースの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
マッピングファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
リソース属性のマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
リソースの調整ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
リソースの使用権のキャッシングポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
リソースの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
リソース情報の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
リソースアクセス情報の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
リソースの調整ポリシーの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
リソース属性のマッピングの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
viii
リソースの使用権のキャッシングポリシーの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
キャッシングを行わない使用権の変更内容の捕捉 . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
リソースのコピー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
リソースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
リソースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
属性の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
ユーザー検索を容易化するための属性の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
新しい属性の追加とマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
属性リストの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
新しい属性の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
新規属性にマッピングするリソースの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
OVSI の新規属性への制約と外部コールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
既存の属性の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
属性の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
リソース属性のマッピングの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
属性の制約 / 外部コールの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
属性の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
通知テンプレートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
通知の変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
通知テンプレートの作成と変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
通知テンプレートの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
通知テンプレートの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
通知テンプレートのコピー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
通知テンプレートの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
通知テンプレートの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
サービスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
サービスの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
サービスコンテキストの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
固定と任意の使用権について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
サービスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
サービスの作成の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
サービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
業務と管理サービスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
ix
コンポジットサービスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
サービスの属性値とプロパティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
サービス属性の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
サービスの属性値の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
サービス属性のプロパティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
サービスフォームの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
単一ページのサービスフォームの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
複数ページのフォームの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
サービスロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
サービスロールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
イベントの参照について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
承認者に対するビューのアタッチ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
サービスコンテキストの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
コンテキストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
サービスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
サービスのコピー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
サービスの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
サービス情報の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
サービス属性値の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
サービス属性プロパティの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
サービスフォームの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
サービスフォームの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
サービスロールの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
サービスロールの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
ユーザーを追加する前のコンテキストの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
コンテキストの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
コンテキストの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
サービスの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
5 ユーザーのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
ユーザーのインポート手順の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
信頼できるリソースからのユーザーと属性の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
インポートの前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
x
ユーザーおよび属性を含む SPML ファイルの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
使用権を含む SPML ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
サービスメンバーシップ要件の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
TruAccess.properties ファイルの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
アップロード要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
ユーザーアカウント、属性、使用権のアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
ユーザーのインポートの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
ジョブステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
ユーザーのインポートのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
ユーザーのインポートのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
ジョブの結果の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
ユーザーのインポートステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
サービス割り当てのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
[ サービス割り当てのリスト ] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
サービスの割り当てのスケジュール設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
サービスの割り当てのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
ジョブの結果の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
サービス割り当てレポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
サービス割り当てレポートの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
6 外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
デフォルトの外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
承認者の選択の外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
WFGetApproverSampleExtCall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
属性値の生成の外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IDValueGeneration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PasswordValueGeneration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UserIDValueGeneration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ValueGenerateFunction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
243
243
244
244
245
属性値の制約の外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Search Connector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Search Table. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
属性値の妥当性検査の外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
IsAlphaNumeric. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
xi
ManageExpireValidation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Password History And Dictionary Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PasswordDictionaryValidation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PasswordHistoryValidation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PasswordValidation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ValidateConnector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
247
247
247
248
248
248
属性値の検証の外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
PasswordVerification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
証明書管理機能の外部コール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
VerisignCertImpl 外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
SPML リクエストフィルタの外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
ExtendedSPMLRequestFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
ワークフローの外部コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ExclusionRuleCall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LoadUserServices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UserEnableDisableWFExtCall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WorkflowCertificateRequest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
250
250
250
251
251
ワークフローテンプレートに対する外部コールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
属性に対する外部コールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
外部コールの配布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
外部コールの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
外部コールの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
外部コールの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
7 Workflow Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Workflow Studio の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
OVSI のワークフローテンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
8 ユーザー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
ユーザーの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
ユーザーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
コンテキストの作成と属性の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
サービスの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
サービスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
サービスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
xii
ユーザーレコードの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
サービスメンバーシップの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
ユーザープロファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
リソースの割り当ての表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
ユーザーの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
ユーザーアカウントの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
ユーザーアカウントの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
ユーザーアカウントの停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
ユーザーサービスアカウントのメンテナンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
End User ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
サービスメンバーシップの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
管理対象サービスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
ユーザープロファイルの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
パスワードのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
1 つまたは複数のアカウントのユーザーパスワードのリセット . . . . . . . . . . . . . . . 281
指定したリソースのユーザーパスワードのリセット . . . . . . . . . . . . . . . . . . . . . . . . 282
1 つのリソースのユーザーパスワードのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . 284
ユーザーサービスとリソースのメンテナンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
新しいサービスへのユーザーの登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
サービスへのユーザーアクセスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
無効化したサービスへのユーザーアクセスの有効化 . . . . . . . . . . . . . . . . . . . . . . . . 288
サービスへのユーザーアクセスの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
異なるコンテキストへのユーザーの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
ユーザーレポートの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
9 質問 / 答えの質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
質問 / 答えとは？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
質問 / 答えの質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
新しいヒントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
既存のヒントの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
質問 / 答えの設定の変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
ヒントの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
xiii
10 個人のアイデンティティの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
個人のアイデンティティタスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
プロファイルタスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
個人プロファイルの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
プロファイル情報の変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
リクエストステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
ロール権限の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
管理者ロールの委任または削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
パスワードタスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
パスワードの変更権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
パスワードの質問変更権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
サービスタスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
サービスの表示権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
自己登録権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
リソースアカウントの表示権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
自己登録の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
[ 自己登録 ] フォームの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
自己登録 URL の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
コンテキストおよびコンテキスト値があらかじめ定義された [ 自己登録 ] フォーム 312
ブランクの [ 自己登録 ] フォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
11 リクエストステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
リクエストステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
リクエストステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
リクエストの停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
リクエストの再試行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
12 承認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
リクエストの承認リストのフィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
リクエストの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
保留中のリクエストの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
保留中のリクエストの承認または否認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
13 一括追加または一括移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
xiv
一括の依存関係 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
一括処理の手順の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
アプリケーションサーバーのプロパティのチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
ユーザーおよび属性が含まれる SPML ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . 338
例 : 属性が共通の場合のサービスへのユーザーの追加. . . . . . . . . . . . . . . . . . . . . . . 339
例 : 使用権を指定した場合のサービスへのユーザーの追加 . . . . . . . . . . . . . . . . . . . 342
データファイルのアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ジョブの結果の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
一括ジョブのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
ユーザーの一括移動タスクのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
一括追加ジョブのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
一括ジョブの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
一括ジョブの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
一括ジョブの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
一括ジョブの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
14 ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
サポートされている操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
ユーザーステータスの依存関係の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
新規ユーザー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
調整ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
DTD ルールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
XML の構成単位 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
アクションの依存関係 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
ヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
完全な DTD ルール定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
[ ルールリスト ] へのルールの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
ルールテンプレートによる新規ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
既存のルールのコピーと変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
ルールの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
ルールの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
調整ルールに関するトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
xv
除外ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
サービス除外ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
属性除外ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
使用権除外ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
サンプルルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
ルール標準と ServiceNameMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
サンプルルール 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
サンプルルール 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
15 アカウント調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
調整手順の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
前提条件の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
調整ルールの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
ポリシーの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
ユーザーの調整のリソースレベルのポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
ユーザーの調整の属性レベルのポリシー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
調整ジョブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
前提条件の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
エージェントインタフェースまたは Web サービスインタフェースの使用. . . . . . . . . . 394
調整前のシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
ヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
信頼できるリソースとの調整. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
信頼できないリソースとの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
リクエストアクションの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
調整ルールの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
サービスメンバーシップ要件の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
調整時のサービス割り当ての追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
調整時のサービス割り当ての削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
調整時のサービス割り当ての変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
SPML データファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
リソース名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
ユーザーおよび属性が含まれる SPML ファイルの作成. . . . . . . . . . . . . . . . . . . . . . . . 405
SPML の記述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
xvi
SPML のヒント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
SPML の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
SPML での属性の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
使用権が含まれる SPML ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
依存関係の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
アプリケーションサーバーのプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
調整に使用される TruAcess プロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
変更リクエストのサンプル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
調整ジョブの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
既存の調整ジョブの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
ジョブのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
スケジュール設定されたジョブの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
スケジュール設定されたジョブの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
タスクステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
タスクステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
ジョブ結果の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
調整タスクレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
結果の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
調整のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
16 エクスポートおよびインポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
設定のエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
依存関係の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
設定ファイルのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
XML ファイルの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
設定のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
依存関係のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
設定ファイルのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
新しい設定をサポートするためのルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
ルールの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
設定のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
17 監査レポートと設定レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
監査レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
xvii
使用可能な監査レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
監査レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
設定レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
設定レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
スケジューリングされたレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
レポートのスケジュール設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
スケジューリングされたレポートの設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
レポートのスケジュールの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
レポートの印刷 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
レポートのコピー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
スケジューリングされたレポートの非有効化と再有効化 . . . . . . . . . . . . . . . . . . . . . . . 471
レポートの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
レポートパラメータの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
監査レポートのパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
設定レポートのパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
18 サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
サーバーのワークリストの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
サーバーのワークリストの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
個々のリクエストステータスの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
リクエストの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
リクエストの終了 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
サーバー障害が発生した場合のリクエストの復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
復旧するリクエストの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
復旧手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
委任されたリクエストおよび自己サービスリクエストの復旧 . . . . . . . . . . . . . . . . . 499
ユーザー調整のリクエストの復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
一括追加 / 移動リクエストの復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
サービス調整のリクエストの復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
頭字語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
xviii
A SPML Generator ユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
SPML Generator ユーティリティパッケージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
依存関係の理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
ユーティリティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
プロパティ設定ファイルのプロパティの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
B XML およびクライアントの監査サンプル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
データベースへの監査 XML ストリームの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Audit Client の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
接続プロパティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Audit Client の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
OVSI の監査 XSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
イベントシーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
データタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
AttrChangeData . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
auditType および auditSubType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ConfigChangeType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EntityType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EntityListType. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EventType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
MembershipType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PropertyType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
requestType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SvcConfigChangeType. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
targetType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UserType . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
551
552
552
552
552
553
553
554
554
554
554
554
制約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
要素の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
イベントタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
C 属性マッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
属性マッピングユーティリティの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
属性マッピングユーティリティへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
xix
エージェントをインストールしない JDBC ドライバの使用. . . . . . . . . . . . . . . . . . . . . 571
エージェントをインストールした JDBC ドライバの使用 . . . . . . . . . . . . . . . . . . . . . . 572
コネクタの JDBC データソースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
属性マッパーのメニューとページ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
属性マッパーのメニュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
マッピングページ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
[Attributes Home]( ページ 1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
OVSI への属性のマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
[User Enable/Disable]( ページ 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
[Specify Supported Operations]( ページ 3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
[Define Relationship Definitions]( ページ 4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
[Reverse Synchronization Attributes]( ページ 5) . . . . . . . . . . . . . . . . . . . . . . . . . . 583
[Provisioning Information] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
使用シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
テーブルのシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
ストアドプロシージャのシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
ユーザーマッピングの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586
使用権マッピングの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
データベースでの使用権のプロビジョニング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
ストアドプロシージャのパラメータのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
ユーザーテーブルおよびストアドプロシージャのシナリオ . . . . . . . . . . . . . . . . . . . . . . . . 616
ユーザーテーブルが 1 つの場合. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
ユーザーテーブルが 1 つ、使用権テーブルが 1 つの場合 . . . . . . . . . . . . . . . . . . . . . . . 616
ユーザーテーブルが 1 つ、使用権テーブルが 1 つ、マップテーブルが 1 つの場合 . . . 617
ユーザーテーブルが複数の場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
ユーザーテーブルが 2 つ、使用権テーブルが 1 つの場合 . . . . . . . . . . . . . . . . . . . . . . . 618
ユーザーテーブルが 2 つ、使用権テーブルが 1 つ、マップテーブルが 1 つの場合 . . . 619
ユーザーテーブルが複数、使用権テーブルが複数の場合 . . . . . . . . . . . . . . . . . . . . . . . 620
ストアドプロシージャが 1 つの場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
ストアドプロシージャが複数の場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
属性のストアドプロシージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
テーブルおよびストアドプロシージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
xx
xxi
1 OVSI へようこそ
調査によると、手作業でのアイデンティティ管理ソリューションのメンテナンス
に伴う IT コストは増大していることがわかっています。企業が拡大し、顧客や
パートナーの数が増えると、拡大し続ける要件に手作業方式で対応するには多大
な資源と時間がかかります。
OVSI は、業務サービスアイデンティティ管理 (BSIM) というアイデンティティ
管理の新しいアプローチを提供します。これは、大規模な企業内および企業間に
おいてアイデンティティを管理する、スケーラブルなソリューションです。
OVSI BSIM ソリューションは、プラットフォーム、アプリケーション、および
企業間の、ユーザーアカウントとアクセス権限のプロビジョニングや管理のプロ
セスを自動化します。
OVSI は、 BSIM ソリューションにより、複雑で大規模な連合型企業におけるア
イデンティティ管理 (IdM) という課題に取り組むものです。 BSIM は、 IdM の
静的なロールベースの概念モデルの代わりに新しい強力なモデルを使用すること
により、「動的なロール」の作成を容易にします。
製品の主な機能
OVSI ソリューションは、以下の主要なビジネス機能を通じて、複雑または大規
模な企業において効率性、生産性、安全性を向上させます。
•
集中管理 - ユーザーおよび使用権を一元管理します。
•
プロビジョニング - 企業全体の情報システム上でのアカウントおよび使用権
の作成、更新、削除を自動化します。
•
管理の委任 - 業務部門、顧客、およびパートナーの複数階層に対する管理権
限の分配を実現します。
1
•
[ あなたの ID 情報 ] による自己登録 - オプションで、企業固有のニーズに
応じて、単純な Web ベースのクライアントから、エンドユーザーがサービ
スの登録、パスワードの変更、パスワードヒントの設定、アイデンティティ
に関する一般情報の更新を行うことができます。
•
承認ワークフロー - ユーザーにアクセス権限を付与するのに必要な承認プロ
セスを自動化します。
•
パスワードおよびプロファイルの管理 - 企業全体および企業間の情報システ
ムにおいて、パスワードおよびユーザープロファイルの情報を管理および分
配します。
•
監査およびレポート作成 - アクションおよびユーザーアカウントアクティビ
ティに関する標準レポートを作成します。
OVSI を使用することで、ユーザーアカウントと権限のプロビジョニングおよび
管理は、増え続ける従業員、顧客、およびパートナーに対するシステムアクセ
ス拡大の競合優位性と効率性の実現における障壁ではなくなります。
OVSI は、アイデンティティの管理にサービス中心のアプローチを採用していま
す。企業では、従業員、顧客、およびパートナーが、企業の運営を支える多数
のサービスまたはビジネスプロセスに携わります。たとえば、「受注処理」や
「売掛金勘定」などのプロセスが挙げられます。また、各サービスは、そのサー
ビスの関係者および企業のポリシーに応じて固有のアクセス権限を必要とする
多数のアプリケーションまたはリソースで構成されます。 OVSI はこのような複
雑な関係を管理し、それらを活用して、アカウントや権限のプロビジョニング、
承認ワークフロー、管理権限の委任、セキュリティポリシーの強制、レポート
作成などのアイデンティティ管理に関するタスクを自動化します。 OVSI は、従
来のロールおよびルールベースのアイデンティティ管理の制限を緩和し、大規
模化した企業全体にスケーラビリティを提供しながら、配布時間と管理コスト
の削減を実現します。
サポート
OVSI の配布やメンテナンスについてサポートにお問い合わせいただく場合は、
バージョンおよびビルド番号を担当者にお伝えください。バージョンおよびビ
ルド番号は、 [ ヘルプ ] → [ バージョン情報 ] をクリックすると表示される [ バー
ジョン情報 ] ページでご確認いただけます。
2
第1章
OVSI の設定と最適化
OVSI の使用を開始する前に、カスタマイズすることを強くお勧めします。ユー
ザーのインポートや調整などのタスク実行時のパフォーマンスは、 OVSI が最適
化されていないと影響を受けます。詳細は、『HP OpenView Select Identity イ
ンストールガイド』で、インストール後の製品の設定方法について説明している
項を参照してください。設定タスクは、その資格が与えられたシステム管理者が
実行する必要があります。
システムアーキテクチャ
OVSI はイベント指向の J2EE アプリケーションであり、クラスタ化、フェイル
オーバー、複数段階でのコミット、非同期操作が可能です。以下の図は、 OVSI
システムとシステムコンポーネントの構成の概略図です。
OVSI へようこそ
3
図1
OVSI のアーキテクチャ
システムとの間で送受信するすべてのリクエストでは、 HTTP プロトコルを使
用します。ユーザーアカウントは 1 つの仮想 ID を使ってバックエンドシステム
およびサービスにアクセスし、 OVSI システムの機能とアクションによって管理
されます。また、アカウントは、企業の製品およびサービスのアクセス要件に
基づく属性と使用権によっても管理されます。
4
第1章
OVSI アーキテクチャのコンテキストエンジンコンポーネントとアイデンティ
ティビジネスプロセスサービスコンポーネントは、 OVSI システムの配布とメン
テナンスを実行する管理者や担当者にとって特に有用です。これらのコンポーネ
ントには、管理者が最もよく使用する機能が含まれています。
OVSI の主なコンポーネントは以下のとおりです。
•
サービス / コンテキストエンジン - サービスおよびサービスロールの階層を構築
します。コンテキストユーザーグループに基づき、グループに対するフィル
タ処理を行います。
•
属性管理 - サービスの属性の構成および設定を支援します。たとえば、定義、
属性に使用する文字、適用する制約などです。
•
調整 - 複数のリソースにおけるユーザーのアイデンティティデータの整合性
についてレポートを作成します。該当するすべてのリソースおよび / または
OVSI データベースに複製することで、電話番号の変更など、同期または配
布が指定されているフィールドで発生した変更を同期します。
•
サービスモデル - サービスに所属しているユーザーの変更管理を可能にする抽
象化レイヤーを提供し、より動的で柔軟な処理を可能にします。 OVSI のオ
ブジェクトモデルです。市場に存在する他のアイデンティティ管理製品とは
異なり、ユーザーやグループはリソースやシステムに緊密に関係付けられて
いるわけではありません。
•
ワークフローエンジン - 1 人または複数のユーザーのプロビジョニングに使用
するプロセスのステップを容易に作成、変更、削除できるようにします。
•
イベント管理 - ユーザーの追加などのイベントに適用するワークフロープロ
セスまたはビューを決定します。
•
リソース管理 - 信頼できるかどうかにかかわらず、リソースに関する定義と
詳細を取得し、管理者がリソースへの接続を検証できるようにします。
•
ルール - 調整プロセスを通じて情報をどのようにインポートおよびエクス
ポートするかを決定するルールの作成、変更、表示、削除を可能にします。
•
ユーザー - サービスのユーザー管理を可能にします。これには、ユーザーア
カウントの作成、変更、削除が含まれます。ユーザーは登録したサービスに
割り当てられ、それらのサービスに適用される属性もユーザーアカウントに
適用されます。
•
OVSI へようこそ
管理者ロール - 1 つまたは複数のサービスアカウントを管理する 1 人または複
数のユーザーのロールを定義します。社内の多様な管理ニーズに対応するた
め、複数の管理者ロールを作成することもできます。
5
6
第1章
2 はじめに
HP OpenView Select Identity(OVSI) では、アカウントおよび使用権の準備、業
務プロセスワークフローの実行、管理者権限の委任、セキュリティポリシーの強
制、監査、およびレポートといった、あらゆるアイデンティティ管理タスクが自
動化および簡易化されます。
OVSI の業務サービスアイデンティティ管理ソリューションは、アイデンティ
ティ管理に関連する業務プロセスのベストプラクティスをサポートする組織的な
業務モデルを提供します。この章では、 OVSI インタフェースの概要を示すとと
もに、 OVSI を使用して業務のアイデンティティ管理モデルを設計する方法を紹
介します。それぞれのタスクの詳しい手順については、以降の章およびオンライ
ンヘルプを参照してください。
この章では、以下のトピックを取り上げます。
•
サインインおよびサインアウト
•
OVSI インタフェース
•
OVSI の検索機能の使用
•
業務サービスアイデンティティ管理の概要
•
業務モデルを設計および構築するためのワークフロー
•
配布の概要
7
サインインおよびサインアウト
サインイン
OVSI にサインインするには、ホスト名、ポート番号、ログイン ID、パスワー
ドが必要になります。サインインするには、 Web ブラウザに以下の URL を入
力します。ここで、 app_svr_host:port は WebLogic:7001 または
WebSphere:9080( これらのポートがデフォルト値 ) です。
http://app_svr_host:port/lmz/signin.do
[ サインイン ] ページが表示されます。
図2
[ サインイン ] ページ
以下の情報は、 OVSI に初めてログインする最初のユーザーによって使用されま
す。
ユーザー名 = sisa
パスワード = abc123
8
第2章
このユーザー名およびパスワードはできるだけ速やかに変更してください。初め
てサインインするすべてのユーザーに、それぞれの会社固有のパスワードポリ
シーに基づきアカウントパスワードを速やかに変更するよう求めるプロンプトが
表示されます。
最初にサインインするときに、それぞれの会社のセキュリティポリシーに準拠
する OVSI 管理アカウントを新規作成することをお勧めします。このアカウン
トはシステム管理者ロールに属します。ロールの定義については、 40 ページの
「管理者ロールの作成および管理」を参照してください。
サインアウト
OVSI からログアウトするには、各ページの右上隅にある [ サインアウト ] リン
クをクリックします。
OVSI インタフェース
OVSI にサインインすると、 OVSI の [ ホーム ] ページが表示されます ( 図 4 を
参照 )。ユーザーのプロファイルおよび権限に基づいて、 [ ホーム ] ページに情報
が表示されます。ページのパネルおよびそのパネルの情報、メニューおよびメ
ニュー項目は、ユーザーのアクセス権限に応じて表示または非表示になります。
すべてのユーザーを対象として、タイトルバーの下にプロファイル情報のフォー
ムが表示されます。
この部分では、管理者権限がすべて付与されたユーザーの場合の OVSI インタ
フェースを簡単に紹介します。つまり、下図の [ ホーム ] ページのサンプルに示
すように、ユーザーが使用可能なメニューと可能な情報がすべて表示されます。
はじめに
9
図3
[ ホーム ] ページのサンプル
パネルおよびメニューバーのメニューから、すべての機能およびアクションに
アクセスできます。
この項で取り上げる内容は以下のとおりです。
•
[ ホーム ] ページのパネル
•
メニュー
[ ホーム ] ページのパネル
この項では、以下のパネルの内容を簡単に説明します。各パネルについては、
本書のそれぞれの項で詳しく説明します。
•
[ ユーザープロファイル情報 ] パネル
•
[ あなたの ID 情報 ] パネル
•
[ ユーザー管理 ] パネル
•
[ リクエスト ] パネル
•
[ サービス工房 ] パネル
[ ユーザープロファイル情報 ] パネル
すべてのユーザーがアカウントプロファイルに関して以下の情報を [ ホーム ]
ページに表示できます。
•
10
SI のユーザー ID
第2章
•
名前
•
姓
•
電子メールアドレス
[ あなたの ID 情報 ] パネル
[ あなたの ID 情報 ] パネルにより、ユーザーは自分に付与されている権限に基
づいて、利用可能なアイデンティティ情報に簡単にアクセスすることができま
す。ユーザーのアイデンティティタスクを設定および管理するための詳しい方法
については、 299 ページの「個人のアイデンティティの管理」を参照してくださ
い。エンドユーザーに個人のアイデンティティ機能を使用するための詳しい手順
については、『HP OpenView Select Identity My Identity User Guide』を参照
してください。
[ あなたの ID 情報 ] メニューには、 [ あなたの ID 情報 ] パネルのリンクと同じ
オプションのほとんどが含まれています。詳細については、 14 ページの「[ あな
たの ID 情報 ] メニュー」を参照してください。
[ あなたの ID 情報 ] パネルには、以下のようなリンクがあります ( これらのリン
クすべてを表示するための権限がユーザーに付与されている場合 )。
•
[ あなたのプロファイル ] — ユーザーはユーザープロファイル情報を変更でき
ます。 300 ページの「プロファイル情報の変更」を参照してください。
•
[ あなたのサービス ] — ユーザーは自分が属するサービスのリストを表示でき
ます。 308 ページの「サービスの表示権限」を参照してください。
•
[ あなたのリクエスト ] — 権限を与えられているユーザーは自分のリクエスト
およびリクエストステータスを表示できます。「317 ページの「リクエスト
ステータス」」を参照してください。
•
[ あなたのロール ] — 権限を与えられているユーザーは自分に割り当てられて
いるロールおよび各ロールに与えられている権限 ( 使用権 ) を表示できます。
詳細については、 35 ページの「管理者ロール」を参照してください。
•
[ あなたのリソースアカウント ] — ユーザーが自分が属するリソースを表示で
きます。 66 ページの「リソースの管理」を参照してください。
•
[ サービスに登録 ] — ユーザーが自分自身をサービスに追加できます。 309
ページの「自己登録権限」を参照してください。このリンクは [ あなたの
ID 情報 ] メニューにはありません。
はじめに
11
[ ユーザー管理 ] パネル
[ ユーザー管理 ] パネルで、以下のアクションを行うことができます。
•
ユーザーの検索 — 検索を絞り込むために、フィルタを使用して検索できま
す。詳細については、 18 ページの「OVSI の検索機能の使用」を参照して
ください。
•
新規ユーザーの追加 — 新規ユーザーを追加できます。 264 ページの「ユー
ザーの作成」を参照してください。また、メニューオプション [ ユーザー管
理 ] メニュー → [ ユーザーの作成 ] も使用できます。
ユーザー管理のアクションについては、 14 ページの「[ ユーザー管理 ] メ
ニュー」を参照してください。
[ リクエスト ] パネル
[ リクエスト ] パネルにより、管理者は以下のリンクからリクエストに関する情
報を迅速に検索することができます ( 詳細は、 317 ページの「リクエストステー
タス」を参照 )。
•
[ 保留中 ] — 保留中のすべてのリクエストを表示します。
•
[ 承認されました ] — 承認されているすべてのリクエストを表示します。
•
[ 拒否されました ] — 拒否されているすべてのリクエストを表示します。
リクエストアクションについては、 14 ページの「[ リクエスト ] メニュー」を参
照してください。
[ サービス工房 ] パネル
[ サービス工房 ] パネルには、サービス工房機能のショートカットリンクが用意
されています。 57 ページの「サービス工房」を参照してください。
•
[ リソース ] — リソースを追加および管理するために使用される [ リソースリ
スト ] ページに移動します。 64 ページの「リソースの管理」を参照してくだ
さい。
•
[ 属性 ] — 属性を管理するために使用される [ 属性リスト ] ページに移動しま
す。 101 ページの「属性の管理」を参照してください。
12
第2章
•
[ 通知 ] — 通知テンプレートを作成および管理するために使用される [ 通知
テンプレートのリスト ] ページに移動します。 126 ページの「通知テンプ
レートの管理」を参照してください。
•
[ サービス ] — サービスを作成および管理するために使用される [ サービスリ
スト ] ページに移動します。 57 ページの「サービス工房」を参照してくださ
い。
•
[ 外部コール ] — 外部コールを登録および管理するために使用される [ 外部
コールリスト ] ページに移動します。 241 ページの「外部コール」を参照し
てください。
•
[ ワークフロー ] — 業務ワークフローテンプレートを作成および管理するため
に使用される [ ワークフローテンプレートのリスト ] ページに移動します。
ワークフローの使用に関する基本情報については、 259 ページの
「Workflow Studio」を参照してください。ワークフローテンプレートを作成
および変更するための手順および詳細については、『HP OpenView Select
Identity Workflow Studio ガイド』を参照してください。
メニュー
管理者権限をすべて持つユーザーには、以下のメニューが表示されます。
•
[ あなたの ID 情報 ] メニュー
•
[ リクエスト ] メニュー
•
[ ユーザー管理 ] メニュー
•
[ サービス工房 ] メニュー
•
[ レポート ] メニュー
•
[ ツール ] メニュー
•
[ ヘルプ ] メニュー
それぞれのメニューおよびそのオプションについて簡単に説明するとともに、該
当する章のリンクを示します。
はじめに
13
[ あなたの ID 情報 ] メニュー
[ あなたの ID 情報 ] メニューには、 [ あなたの ID 情報 ] パネルにあるオプショ
ンのほとんどが含まれています。以下のメニューオプションの説明については、
11 ページの「[ あなたの ID 情報 ] パネル」を参照してください。
[ あなたのプロファイル ]
[ あなたのヒントの質問 ]
[ あなたのサービス ]
[ あなたのリクエスト ]
[ あなたのロール権限 ]
[ あなたのリソースアカウント ]
[ リクエスト ] メニュー
[ リクエスト ] メニューでは、以下のアクションを行うことができます (317 ペー
ジの「リクエストステータス」を参照 )。
•
[ リクエストの承認リスト ] — どのリクエストを表示、変更、承認、拒否した
いかを指定でき、そのリクエストのステータスも表示できます。
•
[ リクエストステータス ] — 割り当てられているワークフロープロセスに基づ
いて、 OVSI 内のアカウントイベントの全トランザクションステータスを
( 割り当てられている使用権に応じて ) 表示できます。
[ ユーザー管理 ] メニュー
[ ユーザー管理 ] メニューでは、以下のアクションを行うことができます ( 詳細
については、 263 ページのユーザーを参照 )。
•
[ ユーザーリスト ] — ユーザーを管理できます。ユーザーの追加、変更、有効
化、無効化、停止を行うことができます。
•
[ ユーザーの作成 ] — 新規ユーザーを作成 ( 追加 ) できます。 264 ページの
「ユーザーの作成」を参照してください。
[ サービス工房 ] メニュー
[ サービス工房 ] メニューでは、以下のアクションおよび機能を行うことができま
す。
14
第2章
•
[ リソース ] — リソースを追加および管理できます。 64 ページの「リソース
の管理」を参照してください。
•
[ 属性 ] — 属性を管理できます。 101 ページの「属性の管理」を参照してく
ださい。
•
[ 通知 ] — 通知を管理できます。 126 ページの「通知テンプレートの管理」
を参照してください。
•
[ サービス ] — サービスを追加および管理できます。 57 ページの「サービス
工房」を参照してください。
•
[ 外部コール ] — 外部コールを管理できます。 241 ページの「外部コール」を
参照してください。
•
[ ワークフロー ] — 業務ワークフローを作成できます。ワークフローの使用に
関する基本情報については、 259 ページの「Workflow Studio」を参照して
ください。ワークフローテンプレートを作成および変更するための手順およ
び詳細については、『HP OpenView Select Identity Workflow Studio ガイ
ド』を参照してください。
[ レポート ] メニュー
[ レポート ] メニューでは、以下の機能を行うことができます。
•
[ 監査レポート ] — 監査レポートを作成および管理できます。 449 ページの
「監査レポート」を参照してください。
•
[ 設定レポート ] — 設定レポートを作成および管理できます。「455 ページの
「設定レポート」」を参照してください。
•
[ リクエストステータス ] — 送信されたリクエストに関する情報を表示できま
す。「317 ページの「リクエストステータスの表示」」を参照してください。
[ ツール ] メニュー
[ ツール ] メニューでは、以下のアクションを行うことができます。
•
[ 管理者ロール ]
— [ 管理者ロールリスト ] - 管理者ロールを追加および管理できます。 47
ページの「ロールの変更」を参照してください。
はじめに
15
— [ 管理者ロールの作成 ] - 新しい管理者ロールを追加できます。 41 ペー
ジの「管理者ロールの作成」を参照してください。
•
[ ユーザーのインポート ]
— [ ユーザーのインポートリスト ] - ユーザーのインポートジョブリクエス
トを表示できます。 225 ページの「ユーザーのインポートの使用」を参
照してください。
— [ ユーザーのインポートのスケジュール設定 ] - ユーザーのインポート
ジョブをスケジュール設定できます。 227 ページの「ユーザーのイン
ポートのスケジュール設定」を参照してください。
— [ サービス割り当てのリスト ] - サービスへのユーザーの割り当てをスケ
ジュール設定できます。 232 ページの「[ サービス割り当てのリスト ]
ページ」を参照してください。
— [ スケジュールサービスの割り当て ] - サービスへのユーザーの割り当て
をスケジュール設定できます。 234 ページの「サービスの割り当てのス
ケジュール設定」を参照してください。
•
[ 一括 ]
— [ 一括ジョブリスト ] - 一括ジョブを表示および管理できます。「一括
ジョブの表示」を参照してください。
— [ 一括移動のスケジュール設定 ] - ユーザーグループのコンテキスト間の
移動をスケジュール設定できます。ユーザーの一括移動タスクのスケ
ジュール設定
— [ 一括タスクリスト ] - 一括ジョブタスクを表示できます。「ジョブの結
果の表示」を参照してください。
•
[ 質問 / 答えの設定 ] - 自己登録で自分自身のパスワードをリセットするため
の権限をユーザーに付与する場合に使用される質問 / 答えの質問を作成およ
び管理できます。「質問 / 答えの設定の変更」を参照してください。
•
[ インポート / エクスポート設定 ]
— [ インポート設定 ] - OVSI のインスタンスから設定をインポートできま
す。 444 ページの「設定のインポート」を参照してください。
— [ エクスポート設定 ] - OVSI のインスタンスから設定をエクスポートし
て、別のインスタンスにインポートできます。 440 ページの「設定のエ
クスポート」を参照してください。
16
第2章
•
[ 調整 ]
— [ 調整ジョブリスト ] - 調整ジョブを表示および管理できます。 420 ペー
ジの「ジョブのスケジュール設定」を参照してください。
— [ 調整タスクリスト ] - タスクレベルで調整を表示および変更できます。
428 ページの「タスクステータスの表示」を参照してください。
•
[ ルール ]
— [ ルールリスト ] - 調整 SPML ファイルを表示および管理できます。 367
ページの「ルールの管理」を参照してください。
— [ ルールの追加 ] - 新しい SPML ルールファイルおよび変更した SPML
ルールファイルをアップロードできます。 368 ページの「[ ルールリス
ト ] へのルールの追加」を参照してください。
•
[ サーバーの管理 ]
— [ サーバーインスタンスリスト ] - クラスタ化サーバー環境の場合にクラ
スタ内のサーバーのステータスを表示できます。 494 ページの「サー
バーのワークリストの表示」を参照してください。
[ ヘルプ ] メニュー
[ ヘルプ ] メニューでは、オンラインヘルプの『管理者ガイド』、『Workflow
Studio ガイド』、オンラインヘルプ、 OVSI アプリケーションの情報を提供する
[ バージョン情報 ] オプション、 HP サポートの Web サイトへのリンクが提供さ
れます。
パスワードの概要
OVSI は、全社的に使用される複数のパスワードを管理し、その同期を取りま
す。たとえば、 IT グループごとにさまざまなシステムを採用するため、社内に
レガシーシステムとクライアント / サーバーシステム、さらにもっと新しいシス
テムが混在し、形式、利点、ポリシーが異なるパスワードが必要であるというこ
とがあります。 OVSI で複数のパスワードを管理する上で鍵となるのは、属性管
理機能です。 OVSI の管理者は、ユーザー関連のデータをリソースに正しくプロ
ビジョニングするために必要な数の属性を作成できます。リソースのパスワード
は単に SI のもう 1 つの属性であり、アカウントの作成およびリセット処理時に
リソースにプッシュできます。
はじめに
17
OVSI には、パスワードの属性として「パスワード」が 1 つ提供されています。
この属性は SI 自体へのアクセスの認証に使用されるため、削除することはでき
ません。また、任意の数のアイデンティティストア ( リソース ) に同じパスワー
ドをプッシュし、 SI とリソースの同期を取ることができます。ただし、顧客が
希望すれば、リソースごとに 1 つずつ、パスワードの属性を複数作成すること
も可能です。パスワードの属性にはそれぞれ一意のテキスト名が必要であり、
登録時に可能な最小 / 最大文字数、または社内の規定に従いパスワードを自動生
成するかどうかなど、それぞれに一意のパスワードポリシーが含まれます。
一度パスワードの属性を使用してユーザーをプロビジョニングすると、その
ユーザーが OVSI 内に存在する間は、 OVSI でこのパスワードはトラッキングさ
れます。 + それ以降、パスワードのリセットリクエストがあると、このユーザー
のパスワードの属性がすべて表示されるため、このパスワードの属性を使用す
るすべてのリソースの同期が取られます。パスワードの属性とリソースのこの
マッピングは、 1 対 1 でも 1 対多でも可能です。
また、シングルサインオンが選択されていなければ、 1 人のユーザーに多くのパ
スワードを設定することもできます。パスワードはサービスレベルおよびリ
ソースレベルで管理が可能です。ユーザーのパスワードの管理については、 281
ページの「パスワードのリセット」を参照してください。
OVSI の検索機能の使用
検索機能により、一致する値を検索できます。検索機能は、すべてのリスト
ページおよびそれ以外のページでも、必要に応じて提供されます。検索の多く
でフィルタオプションを使用できます。フィルタオプションを使用すると、検
索条件を絞ることができ、目的の値が見つけやすくなります。 1 つまたは複数の
フィールドに固有の値を入力することで、検索をフィルタします。複数の
フィールドに値を入力した場合、入力した値それぞれに一致する値が返されま
す。
18
第2章
検索方法
条件
あらかじめ定義された 1 つまたは複数のリストから適
ドロップダウンのフィ切な条件を選択して、入力フィールドに検索テキスト
ルタオプション
を入力します。
アイコンのフィルタオ左上パネルで適切なアイコンを選択し、ページの右側
のパネルに表示される情報をフィルタします。
プション
ブランクのテキストボックスにテキストを入力し、あ
らかじめ定義されている条件を選択します。文字の先
頭、途中、最後にワイルドカードを使用できます。た
とえば、次の条件を指定して、検索を行うことができ
ます。
「First Name」
「Includes」
「*ath*」
条件
テキストは大文字と小文字を区別できます。
アイテムの数が設定可能なしきい値を上回った場合は、ドロップダウンリスト
の代わりに検索アイコンが表示されます。検索条件のプロパティの設定につい
ては、『HP OpenView Select Identity インストールガイド』を参照してくださ
い。
はじめに
19
フィールドの種類の概要
OVSI では、最も効率的で簡単な方法でデータを収集できるように、いくつかの
種類のフィールドを使用しています。
フィールドの種
類
必要なアクション
エントリ
このフィールドにはデータをタイプします。
ドロップダウン
のメニュー
あらかじめ定義されている可能な候補のリストに基づいて
選択するためのメニュー。
このフィールドにデータを入力した後、 [ 追加 ] ボタンをク
リックして、複数行に渡るテキストボックスに挿入します。
データをすべて入力するまで、このプロセスを繰り返しま
す。
複数行に渡るテ
キストボックス
不要なデータを削除するには、そのテキストをハイライト
して、 [ 削除 ] をクリックするか、またはハイライトされて
いるアイテムを選択解除します。ハイライトされているテ
キストだけが適用されます。
または
アイコンをクリックして、リストにデー
タを追加します。
不要なデータを削除するには、そのテキストを選択解除す
検索リストボッ
クス
るか、を使用できればこのアイコンをクリックします。
ハイライトされているテキストだけが適用されます。
リストボックスの左側にある 1 つまたは複数のフィールド
にテキストをタイプした後、をクリックして、このテキ
ストをリストボックスに挿入します。
既存のテキストを編集するには、
アイコンをクリックし
て、テキストを入力フィールドに戻した後、必要な変更を
行い、をクリックして、このテキストを再度リストボッ
クスに挿入します。テキストを削除するには、このアイテ
ムをハイライトして、 [ 削除 ] ボタンをクリックするか、ま
リストボックス
20
たは
を使用できればこのアイコンをクリックします。リ
ストボックス内のテキストだけが適用されます。
第2章
フィールドの種
類
必要なアクション
チェックボック
ス
1 つまたは複数のチェックボックスをクリックして、チェッ
クを挿入します。
ラジオボタン
表示されているオプションのいずれか 1 つのボタンだけを
選択します。
アイコンをクリックして、日付を選択します。
カレンダ
日付を削除するには、その日付をハイライトして、
Backspace キーを押します。
一部のリストボックスでは、選択したアイテムの順序を適宜変更することがで
きます。移動するアイテムをハイライトし、アイコンおよび
して、リスト内の目的の場所に移動します。
アイコンを使用
業務サービスアイデンティティ管理の概要
OVSI の業務サービスアイデンティティ管理 (BSIM) ソリューションでは、エン
タープライズレベルの業務や大きな組織を対象として、アイデンティティ管理業
務プロセスを設計、実装、管理するためのモデルを提供します。
現在の企業をサポートするには、プロビジョニングのベストプラクティスとし
て、個々のリソースとではなく、業務プロセスと顧客の関係を重視したアイデン
ティティ管理が必要になります。 OVSI の革新的アプローチである BSIM は、ま
さにその目的を果たすものです。 OVSI が顧客と業務サービスの結びつきを重視
していることで、数多くの利点や効率性がエンタープライズ全体にもたらされま
す。このような「業務レベル」のアブストラクションにより、顧客はジョブを行
う上で必要なシステムやその中の権限に自由にアクセスすることができます。
OVSI の BSIM ソリューションは、リソースに対する顧客のアクセスを管理する
ための業務レベルのモデルを提供します。このアプローチでは、既存の業務体系
に合わせて、サービスおよびコンテキストユーザーグループと呼ばれる管理可能
なユニットにエレメントを個別にグループ化します。下図に示すように OVSI
はじめに
21
では、十分に定義、理解されたサービスロールを介してユーザーグループがど
のようにサービスにアクセスするかを、コンテキストユーザーグループによっ
て定義します。
図4
業務サービスアイデンティティ管理モデル
OVSI の推奨アプローチにより、勘に頼ることなく、業務サービスアイデンティ
ティ管理ソリューションを設計することができます。最適な手法を作り上げる
ための骨組みが提供され、作業にかかる時間や手間を省くことができます。
業務モデルを設計および構築するためのワークフ
ロー
OVSI では、設定機能を駆使して、会社のニーズに最も的確に応えることができ
ます。まずは、下記にリストする各機能をどのように設定するかを検討し、業
務モデルを構築することから始めます。
22
第2章
業務アイデンティティ管理モデルを設計および構築するための基本手順は以下の
とおりです。
はじめに
手順 1
必要とされる業務要件を集め、概念上のソリューショ
ンを設計します。
手順 2
ワークフローを定義し、モデルのプロビジョニングを
行います。
手順 3
OVSI に適した環境を判別し、『HP OpenView Select
Identity インストールガイド』を熟読した上でインス
トールを行い、業務ニーズに合わせてユーザー定義の
Tru.Access プロパティを正しく設定します。
手順 4
業務モデルに基づいて、ユーザーロールを定義および
設定します。
手順 5
リソースの管理に使用するコネクタを配布します。
手順 6
OVSI でプロビジョニングするアプリケーションおよ
びデータストアのリソース、さらにリソース属性
フィールドを設定します。このようなリソースや属性
のプロビジョニングに使用する調整ポリシーを決定し
ます。
手順 7
Workflow Studio で定義される承認プロセスで使用さ
れる通知テンプレートを作成します。
手順 8
承認プロセスの管理に使用するワークフローを
Workflow Studio に作成します。
手順 9
サービスを構築し、コンテキストユーザーグループと
サービスロールを定義します。ユーザーが OVSI にア
クセスする際に使用するフォームを作成します。
手順 10
ワークフローをサポートするために必要な外部コール
を作成および登録します。
手順 11
[ あなたの ID 情報 ] 自己登録によってユーザーが自分
自身のパスワードを管理できるようにする場合は、質
問 / 答えの質問を設定します。
手順 12
調整ルールを作成および読み込みます。
23
手順 13
インポートパラメータを定義し、ユーザーのインポー
トに読み込むために使用する SMPL ファイルを作成
します。ユーザーのインポートを使用して、ソリュー
ションにユーザーを追加します。
手順 14
ユーザー管理を使用して、インポートしたユーザーア
カウントを管理します。
手順 15
[ あなたの ID 情報 ] 自己登録機能を使用する場合は、
この機能を設定します。
配布の概要
OVSI では、アカウントおよび使用権の準備、業務プロセスワークフローの実
行、管理者権限の委任、セキュリティポリシーの強制、監査、およびレポート
といった、あらゆるアイデンティティ管理タスクが自動化および簡易化されま
す。
OVSI をインストールしたら、配布プロセスを開始します。 OVSI はユーザーご
とに論理的なアイデンティティを作成し、それぞれ該当するリソース、リソー
ス ID、および LDAP や Web のシングルサインオンサービスといったエンター
プライズシステムとユーザーをリンクさせます。 OVSI ではエンタープライズ /
関係モデルや論理的なアイデンティティ手法を採用しているため、簡単であり
ながら、効率的、経済的、安全な方法でユーザーを管理することができます。
配布の概念
この項では、 OVSI をエンタープライズに配布するために必要なタスクの概要を
示します。それぞれのタスクの詳しい手順については、以降の章およびオンラ
インヘルプを参照してください。
OVSI を配布するにはいくつかの方法があります。このガイドでは、すべての配
布タスクを包括的に取り上げます。論理的順序で紹介するため、業務ニーズに
合わせて、順を追って作業することができます。エンタープライズクラスのソ
フトウェアの配布の場合と同様、以下のタスクを行う前に、必要とされる業務
要件やセキュリティポリシーを検討できます。あらかじめシステム情報をすべ
て体系立て、整えておくことで、このプロセスにかかる時間を短縮できます。
24
第2章
コネクタ
OVSI は J2EE コネクタを使用して、アイデンティティプロファイル情報が含ま
れるシステムリソースとインタフェースを取ります。 OVSI を最初に購入したと
きにすでに一連のコネクタを入手しているかもしれません。または、コネクタ
API を使用して固有のコネクタを作成しているかもしれません。コネクタ管理
によって、 OVSI がアイデンティティ情報とシステムリソースを調整するための
通信条件が規定されます。環境内のリソースの種類ごとに、一致するコネクタが
必要になります。たとえば、アイデンティティ情報が LDAP システム、
Windows システム、 UNIX システム内にある場合、システムの種類ごとにコネ
クタを配布する必要があります。
HP から提供されるコネクタにはそれぞれ、コネクタインタフェースのインス
トールおよび管理に役立つガイドが付属しています。システムコネクタの配布お
よび管理はコネクタ機能から行われ、追加、変更、削除を行うための機能などが
あります。
詳細については、 61 ページの「コネクタの管理」を参照してください。
リソース
リソースとは、 OVSI がプロビジョニングするアプリケーション、データベー
ス、およびディレクトリです。このアプリケーションではリソースはユーザー
データストアとみなされ、アカウントおよび使用権を作成、変更、削除すること
ができます。環境内の典型的なリソースは、 Windows Server Systems や UNIX
などです。リソースの各種類にコネクタを配布したら、製品やサービスで使用さ
れるリソースを追加できます。
OVSI は、仮想のユーザー ID を、システムのデータストア内にある ID にマッ
ピングします。最終的に、バックエンドのユーザーデータストアが環境内にいく
つあるかに関係なく、 OVSI はユーザーについてそのユーザーに関する情報を含
むリソースすべてに渡り 1 つに統合されたビューを作成します。たとえば、
データベースや Web のシングルサインオンサービスを使用するサービスを顧客
に提供するとします。これらのリソースをシステム内に追加すると、このサービ
スにアクセスするエンドユーザーに論理的な OVSI ID が 1 つ割り当てられ、
データベースシステムと Web のシングルサインオンシステム両方のユーザーア
カウントにこの ID がマッピングされます。
はじめに
25
コネクタを配布しておくと、環境内にマシンのアドレスを指定すれば、 OVSI は
各データストアに対するブリッジを作成します。その後、会社で設定したパラ
メータに基づいてそれぞれのサービスで必要が生じると、 OVSI は管理者権限を
使用して、各リソース内の各ユーザーデータリポジトリにアクセスします。
システムリソースの追加および管理はリソース機能から行われ、追加、変更、
表示、コピー、削除を行うための機能などがあります。
詳細については、 168 ページの「サービスロールの定義」を参照してください。
属性
OVSI は属性とその値を使用して、ユーザーデータを所定のリソースおよび使用
権にマッピングします。また、アカウントおよびサービスを管理するために
OVSI 内でも使用されます。属性は、プロファイルデータや物理的な位置、その
他業務管理条件に合わせて、いくつでも作成できます。
各コネクタが、リソース属性に対してマッピングファイルをインストールしま
す。このファイルによって、 OVSI 属性が各リソースまたはデータストアにマッ
ピングされます。属性の追加、変更、表示、削除には、サービス工房の属性機
能を使用します。
詳細については、 104 ページの「ユーザー検索を容易化するための属性の使用」
を参照してください。
外部コール
OVSI にアカウントが追加されると、各自が定義する一連の属性およびワークフ
ローの承認手順に従い、アカウントが検証されます。環境によっては、いずれ
かの手順でサードパーティのアプリケーションやシステムの呼び出しが必要に
なることがあります。外部コールにより、アカウントの属性の妥当性を検査し
たり、承認者を検索するための呼び出しを作成できます。外部コールは、外部
システムとインタフェースを取り、そのシステムから返されたデータに基づい
てユーザープロファイル情報を更新するために、ユーザー定義の機能を呼び出
します。
詳細については、『HP OpenView Select Identity External Call Guide』を参照
してください。
26
第2章
業務で必要な外部コールを作成したら、外部コール機能を使用してそれぞれの呼
び出しを登録します。登録していない呼び出しは、 OVSI では認識できません。
登録した外部コールを表示、変更、削除するには、外部コール機能を使用しま
す。
詳細については、 253 ページの「外部コールの配布」を参照してください。
通知
クライアントの [ 通知 ] セクションでは、システムイベントが発生したときに
ユーザーに送信する電子メールによる通知内容を定義できます。このポリシーを
作成することで、 OVSI システムがユーザーや管理者に送信するメッセージを定
義します。このようなメッセージは、ワークフロープロセスのさまざまな場面で
効果的です。
アカウントの承認、拒否、変更といったイベントが発生したときに、ユーザーに
通知が送信されます。また、アカウントのパスワードやヒントをリセットした場
合も電子メールを送信できます。
通知ポリシーの作成および管理は通知機能から行われ、以下のようなアクション
があります。
•
通知ポリシーを追加、削除、変更する
•
通知ポリシーをコピーする
•
通知ポリシーを表示する
詳細については、 126 ページの「通知の変数」を参照してください。
Workflow Studio
ワークフローとは、ユーザーによるサービスアクセスリクエストが OVSI に
よって承認およびプロビジョニングされるプロセスです。このようなプロビジョ
ニングイベントとしてはアカウントの追加や削除などが挙げられ、必要とする承
認手順の数はいくつでも使用できます。ワークフローテンプレートで定義される
各手順には、妥当性検査や承認のために、個人や外部システムの呼び出しを取り
込むことができます。また、ワークフロープロセス内の手順で、システムや個人
に通知を送信することもできます。さらに、ワークフローテンプレートを使用
し、 [ リクエストステータス ] ページからシステムイベントの進捗状況を追跡す
ることもできます。詳細については、 317 ページの「リクエストステータス」を
参照してください。
はじめに
27
ワークフローテンプレートの作成は Workflow Studio 機能から行われます。概
要については、 259 ページの「Workflow Studio」を参照してください。
Workflow Studio の概念および手続きに関する情報はすべて、『HP OpenView
Select Identity Workflow Studio ガイド』に記載されています。
質問 / 答え
属性と一緒にパスワード特性を定義するとともに、自分のパスワードを忘れて
しまったユーザーに質問 / 答えのヒントを定義することができます。また、所定
の回数アクセスが失敗した場合にアカウントをロックすることもできます。
詳細については、 293 ページの「質問 / 答えとは？」を参照してください。
サービス
OVSI のサービスには、 1 つの業務サービスに関連するリソース、使用権、ワー
クフロー、ポリシー、その他のアイデンティティ管理エメレントすべてがカプ
セル化されています。たとえば、カスタマサポートなどのサービスを作成し、
CRM や Internet のサポートポータルシステムなど、ヘルプデスクに関連する
アイデンティティ管理要素すべてを取り込むことができます。サービス機能に
より、貴社の顧客やビジネスパートナーがアクセスするサービスを追加、表示、
変更、削除することができます。顧客およびパートナーにサービスを提供する
には、サービスロールとコンテキストを設定します。
サービス、サービスロール、コンテキストの作成および管理はサービス工房内
のサービス機能から行われ、以下のようなアクションがあります。
•
サービスを作成、変更、コピー、削除する
•
サービス属性値およびプロパティを設定する
•
サービスフォームビューを作成、変更、削除する
•
サービスロールを作成、変更、削除する
•
コンテキストを作成、変更、削除する
詳細については、 57 ページの「サービス工房」を参照してください。
28
第2章
コンテキスト
コンテキスト機能により、アイデンティティプロファイルの属性や値に基づい
て、ユーザーの論理グループを定義することができます。たとえば、英国、イン
ド、中国に対して、「country」属性 ( 属性管理で定義した属性 ) に依存するコン
テキストを作成できます。ユーザーがサービスの登録を行う際、 country 属性の
値によって、ユーザーが管理されるコンテキストが決まります。
サービスロール
サービスを作成する場合、コンテキストユーザーグループ内でサービスロールを
設定することにかなりの部分が割かれます。サービスロールとは、従業員、顧
客、パートナーに割り当てるロールのことです。どのようなサービスロールを作
成するかによって、会社、組織、部署がサービスにどのようにアクセスするかが
決まります。サービスロールにより安全なコンテキストが作られ、カスタムに設
計したフォームに基づいて、サービスを利用するパートナーやユーザーに対して
自分に関係があるものだけしか参照できないようにすることができます。
サービスロールを設定することで、ワークフローテンプレートおよび通知ポリ
シーを割り当てることができます。また、ユーザーに一定の属性を定義すること
もできます。サービスロールは階層的に管理され、別々の会社や場所でサービス
を共有するためのセキュアな方法を提供します。
管理者ロール
サービスを定義したら、それぞれのサービスに適切な管理者ロールを設定できま
す。管理者ロールによって、 OVSI の管理者がシステム内で実行できる機能やア
クションが決まります。 1 つまたは複数のサービスを管理するために管理者が割
り当てられます。管理者には、 OVSI 内のすべての機能、あるいはその管理者に
割り当てられているスキルや責任に合ったサブセット機能を管理するための権限
が付与されます。 43 ページの「新しい管理者ロールへの権限の付与」を参照し
てください。
OVSI は、システム内で実行される機能やアクションを反映した基本的なロール
を提供します。このロールを定義されているとおりに使用できますが、必要に応
じて編集したり、各自の業務ニーズに合わせて独自のロールを作成することもで
きます。
管理者ロールの作成および管理は、管理者ロール機能から行われ、管理者ロール
の追加、表示、変更、コピー、削除を行うための機能などがあります。
詳細については、 35 ページの「管理者ロール」を参照してください。
はじめに
29
ロールは、管理サービスとユーザーの関連付けによって割り当てられます。詳
細については、 57 ページの「サービス工房」を参照してください。
ユーザーのインポート
ユーザーのインポート機能を使用して、 1 つまたは複数のサービスに複数のユー
ザーを追加できます。ユーザーのインポートは、新たにインストールを行う場
合に有用です。サービスをサポートするために定義されているリソースから直
接ユーザーアカウントを追加する場合はこのプロセスを使用します。このプロ
セスでは、データファイルを使用して、 OVSI システムに情報をアップロードし
ます。
このプロセスについての詳細は、 215 ページの「ユーザーのインポート」を参照
してください。
一括
複数のユーザーアカウントを複数のサービスに同時にアップロードすることが
できます。このため、何百や何千といったユーザーアカウントを個々に追加し
なくても、システムに一度に設定できます。リソースや OVSI システムにまだ
存在していないアカウントに一括アップロードを使用します。選択したサービ
スとそれをサポートするリソース両方にアカウントが追加されます。
また、この機能を使用して、あるサービスコンテキストのユーザーグループを
別のサービスコンテキストに移動することもできます。
このプロセスについての詳細は、 333 ページの「一括追加または一括移動」を参
照してください。
ユーザー
ユーザーは、 OVSI の管理者またはサービスに定義されている登録プロセスを介
してシステムに追加されます。このプロセスがどのように行われるかは、各コ
ンテキストに割り当てているワークフローテンプレートおよびサービスロール
によって決まります。
ユーザーアカウントの作成および管理はクライアントのユーザー機能から行わ
れ、以下のようなアクションがあります。
•
30
ユーザーアカウントを追加および変更する
第2章
•
サービスメンバーシップを表示する
•
既存のユーザーにサービスアクセスを追加する
•
サービスメンバーシップを有効化および無効化する
•
すべてのサービスを有効化および無効化する
•
サービスメンバーシップを削除する
•
ユーザーアカウントを終了する
•
ユーザーアカウントの有効期限を管理する
•
アカウントパスワードをリセットする
•
ユーザーアカウント属性を表示する
•
別のサービスコンテキストにユーザーを移動する
詳細については、 263 ページの「ユーザー」を参照してください。
リクエストステータス
ユーザーアカウントがシステムに追加されていると、リクエストステータス機能
を使用して、ステータスや詳しい承認プロセスを表示することができます。リク
エストステータスでは、ワークフロー手順を実行済み、実行前、承認待ち別に色
分けして表示できます。 OVSI では、ワークフロー情報を表示するためにデフォ
ルトのレポートテンプレートが用意されています。
リクエストステータスには、以下のようなアクションがあります。
•
保留中、承認済み、拒否済みのリクエストを表示する
•
保留中のリクエストを変更する
•
保留中のリクエストを承認または拒否する
•
リクエストステータスを表示する
•
承認ステータスを表示する
詳細については、 317 ページの「リクエストステータス」を参照してください。
はじめに
31
設定および監査レポート
アカウント管理プロセスはすべて、監査レポートおよび設定レポートに表示で
きます。監査レポートを生成して、アカウントの定期的なやりとりを監視でき
ます。設定レポートには、 OVSI システムの設定に関連する最新情報が表示され
ます。
詳細については、第 17 章、「監査レポートと設定レポート」を参照してくださ
い。
ルール
調整ルールとは、管理リソースから調整機能を介して新しいユーザーが追加ま
たは更新されたときに OVSI で実行される XML ファイルです。ルールにより、
使用権を割り当てたり、信頼できるソースを監視する場合に例外ケースを処理
するための柔軟なメカニズムが提供されます。さらに、別のコンテキストに
ユーザーを移動する場合にもルールを使用できます。追加、変更、表示、削除
といったルール機能を使用して、 XML ファイルを作成し、このファイルをアッ
プロードします。
詳細については、 355 ページの「ルール」を参照してください。
調整
OVSI のアカウントデータと他のシステムリソースや属性の同期を取ることがで
きます。詳細については、 387 ページの「アカウント調整」を参照してくださ
い。
設定
OVSI では、いずれかの環境にシステムを設定した後、サービス、属性、テンプ
レート、アカウントといった主要要素をインポートまたはエクスポートするこ
とができます。このため、テスト環境から実稼働環境へ簡単に移行できます。
システム設定の管理は設定機能から行われ、以下のようなアクションがありま
す。
32
•
設定をインポートする
•
設定をエクスポートする
第2章
個人のアイデンティティ自己登録
OVSI では、 [ あなたの ID 情報 ] 自己登録メニューにいくつかのセルフサービス
機能が用意されています。ユーザーがどのような機能を管理できるかは、それぞ
れの会社の設定によって決まります。自己登録機能を利用することで、システム
管理者が定期的に行わなければならない日常業務の数を減らすことができます。
アカウントのユーザー管理には、以下のようなアクションが考えられます。
•
パスワードおよびパスワードのヒントを変更する
•
管理者の場合、管理者ロールを委任する
•
アカウントプロファイルを表示する
•
追加したリソースへのアクセスをリクエストする
•
追加したサービスアカウントへのアクセスをリクエストする
•
固有のアカウントに対して行われた変更リクエストのステータスを表示する
詳細については、 299 ページの「個人のアイデンティティの管理」を参照してく
ださい。
はじめに
33
34
第2章
3 管理者ロール
HP OpenView Select Identity(OVSI) システム内から各管理者が実行できるアク
ションを制御するために、管理者ロールを作成します。利便性を考慮して、あら
かじめ定義されたロールが設定されています。既存のロールを参照し、会社の
ニーズに合わせて修正してください。さらに細分化されたロールが必要であれ
ば、それぞれの環境固有のロールを作成します。
管理者ロールは、管理用に設計されたサービスを通じてユーザーに提供されま
す。サービスを作成するときに、管理サービスとして定義することができます。
この管理サービスに 1 人または複数のユーザーを追加して、システム管理を担
当するユーザーに管理者ロールを割り当てることができます。サービスの作成に
ついての詳細は、 143 ページの「サービスの作成」を参照してください。
OVSI は柔軟性が高いため、ビジネスに最適なアイデンティティ管理体制を構築
することができます。このシステムでは、管理タスクをいくつかの階層または任
意のレベルで委任することができます。必要に応じて、管理上の権限の範囲を内
部ユーザー、顧客、およびパートナーに委任できます。管理者は管理機能に割り
当てられているサービスのみにアクセスできます。
サービスはリソースアプリケーションとデータ構造の組み合わせであり、両者は
1 つのコネクタインタフェースで通信します。サービスを通じてアプリケーショ
ンを管理するための権限を管理者に付与することで、 1 人の管理者が、割り当て
られた各サービスに従ってプロビジョニングされる複数のアプリケーションと
データストアを管理することができます。たとえば、購買システムと請求システ
ムに対する顧客のアクセスを 1 人の管理者が管理し、内部サポートアプリケー
ションに対するアクセスを別の管理者が管理するといったことが可能です。
また、管理者は自分のロールを別のユーザーに委任することもできます。この機
能により、指定されている管理者が対応できなくても、管理機能の提供が滞るこ
とがない柔軟な体制が可能になります。委任機能を使用することで、管理者が外
出や休暇など何らかの理由で離席するたびに、新しいロールを作成し割り当てる
必要がなくなります。 52 ページの「管理者ロールの委任」を参照してください。
35
この章では、以下のトピックを取り上げます。
•
管理機能とアクション
•
管理者ロールの作成および管理
管理機能とアクション
管理者ロールを作成する前に、 OVSI の管理機能およびアクションを理解してお
くことが必要です。ロールとアクションは OVSI 内のすべての管理機能を表す
ためのもので、それぞれ対応する名前が付けられています。各アクショング
ループは、クライアントアプリケーションの管理リンクで示されます。
この項で取り上げる内容は以下のとおりです。
•
機能とアクションの理解
•
デフォルトのロールの確認
機能とアクションの理解
ロールは、 OVSI の管理者権限を付与して、クライアントアプリケーションの各
管理機能エリア内でアクショングループを実行するために使用します。各管理
者に割り当てられたアクションにより、システムのビューを形成できます。管
理機能を複数の管理者に割り当てることができますが、各管理者は管理機能を
少なくとも 1 つは持っていなければなりません。
36
第3章
次の表は、管理者が実行できるすべてのアクションを機能別にまとめたもので
す。
管理者ロール
機能
アクション
リクエストス
テータス
リクエストの表示および変更をユーザーに許可しま
す。
リクエストの
承認リスト
ユーザーが保留状態になっているリクエストを表示し
た後、承認または拒否できるようにします。
レポート
ユーザーがアクセスできる特定のレポートを決定しま
す。レポートへのアクセスが許可されたユーザーは、
このレポートを追加、表示、変更、実行、スケジュー
ル、および削除するための権限が付与されます。部分
アクセス権限は付与できません。
コネクタ
管理者に割り当てられたサービスについて、コネクタ
を管理するためのユーザー権限を付与します。管理者
は、付与された権限に従い、コネクタを表示、配布、
変更、または削除を行うことができます。
リソース
割り当てられたサービス内のアプリケーションおよび
データストアについて、リソースを管理するための権
限を管理者に付与します。管理者は、リソースの表
示、配布、変更、削除、および / あるいはコピーを行
うことができます。さらに、管理者は付与された権限
に基づき、属性フィールドの表示、および / あるいは
属性フィールドのマッピングの変更を行うことができ
ます。
サービス
割り当てたサービスを管理するために管理者に付与す
る権限を決定します。サービスフォーム、サービス
ロール、および / あるいはコンテキストユーザーグ
ループを作成、変更、および / あるいは削除するため
の権限を管理者に付与できます。また、割り当てた
サービスについて、サービスを調整したりサービス属
性のプロパティを設定するための権限を管理者に付与
することもできます。
通知
割り当てられたサービスについて、管理者が通知テン
プレートを表示、追加、コピー、および / あるいは削
除できるようにします。
37
38
機能
アクション
外部コール
割り当てられたサービスで使用される呼び出しを表
示、追加、変更、および / あるいは削除することで、
外部コールを管理するための権限をユーザーに付与し
ます。
WorkFlow
Studio
リソースがどのようにプロビジョニングされるかを制
御するワークフローダイアグラムを追加、コピー、表
示、変更、および / あるいは削除するための管理者の
権限を決定します。
属性
システム全体で属性フィールドを追加、表示、変更、
マッピング、および / あるいは削除するための権限を
付与します。
管理者ロール
管理者がロールを表示、追加、コピー、変更、および
/ あるいは削除することで管理者ロールを管理できる
ようにします。
質問 / 答え
割り当てられたサービスについて、管理者が質問 / 答
えの質問および設定を変更できるようにします。
ユーザーのイン
ポート
割り当てられたサービスについて、外部リソースから
OVSI にユーザーをインポートするための権限を管理
者に付与します。管理者は付与された権限に基づき、
ユーザーのインポートジョブのスケジュール設定、
ユーザーリストのインポート、サービス割り当てのス
ケジュール設定、および / あるいは割り当てられてい
るサービスの表示を行うことができます。
調整
割り当てられているサービスについて、ユーザーのプ
ロビジョニングに使用する調整ジョブを作成および管
理するための管理者のアクセス権限を決定します。調
整ジョブを追加、表示、変更、および / あるいは削除
するための権限を付与できます。また、割り当てられ
ているサービスについて、処理中のジョブタスクを表
示するための権限を管理者に付与する場合もありま
す。
第3章
機能
アクション
一括
OVSI から外部リソースへの属性の変更を管理するた
めのユーザー権限を付与します。一括ジョブを追加、
表示、変更、および / あるいは削除するための権限を
付与できます。また、割り当てられているサービスに
ついて、処理中のジョブタスクを表示するための権限
を管理者に付与することもできます。
設定
OVSI の別のインスタンスに設定を移動するために使
用する XML ファイルを、インポートおよびエクス
ポートするための権限をユーザーに付与します。ま
た、管理者は XML 設定ファイルをエスクポートし、
変更を行った後、このファイルを再度同じインスタン
スにインポートし直すこともできます。
ルール
調整を制御するために使用する XML ファイルと
SPML ファイルをアップロード、表示、変更、および
削除するための権限を管理者に付与します。
サーバーの管理
ユーザーが OVSI で使用されるサーバーのステータス
をプロビジョニングのために表示できるようにしま
す。
ユーザー
適切なユーザーグループのコンテキストと割り当てら
れたサービス内で、ユーザーがユーザーアカウント、
サービスメンバシップ、ユーザー権限を追加、表示、
変更、無効化、有効化、削除、および / あるいは転送
できるようにします。また、割り当てられたサービス
内で、ユーザーに割り当てたリソースの表示、パス
ワードのリセット、ユーザーアカウントの移動、およ
び / あるいはユーザーの停止を行うための権限も管理
者に付与できます。
デフォルトのロールの確認
OVSI ではデフォルトのロールが提供されているため、これを使用することがで
きます。既存のロールをそのまま使用するか、またはそれぞれのビジネス要件に
合わせて 1 つまたは複数のロールを変更します。
管理者ロール
39
End User
OVSI に追加されたすべてのユーザーに、このロールが自動的に付与されます。
さらに、 [ ユーザーのインポート ] から追加されたユーザーは、最初にログイン
したときにこのロールが付与されます。それぞれのユーザーにデフォルトの権
限セットが付与されます。このロールを変更することで、デフォルトで End
User に付与される権限を変更できます。 48 ページの「ロールの変更」を参照し
てください。
End User とは、 OVSI サービスのユーザーのことです。このユーザーロールを
持つアカウントに付与されるのは、サービスの登録によって付与される使用権
だけです。 End User ロールが付与されたユーザーは、組織のニーズに合わせて
カスタマイズ可能な [ あなたの ID 情報 ] セルフサービスメニューにアクセスす
ることができます。詳細については、 35 ページの「管理者ロール」を参照して
ください。
承認者
承認者は Workflow Approver とも呼ばれ、アカウントのプロビジョニングアク
ションを行います。このロールは、承認タスクが割り当てられたユーザーに自
動的に付与されます。このロールが付与されたユーザーは、承認者のコンテキ
ストユーザーグループ内のユーザーに対してユーザーアカウントの追加、変更、
または削除を承認することができます。
システム管理者
この管理者は Concero Sys Admin と呼ばれ、次のような最強の管理者ロールが
付与されます。管理者ロール、コネクタ、リソース、ワークフロー、サービス、
通知、ユーザー、外部コール、および属性の管理アクションです。このロール
は削除できません。
管理者ロールの作成および管理
管理者ロール機能により、 OVSI システムに対する各管理者のアクセス権限を定
義するロールを作成、変更、および管理することができます。
この項で取り上げる内容は以下のとおりです。
40
•
管理者ロールの追加
•
ロールの変更
•
ロールのコピー
•
管理者ロールの削除
•
管理者ロールの表示
第3章
管理者ロールの追加
それぞれの管理ニーズに合わせて、ロールはいくつでも追加できます。追加した
ロールは、その後管理者サービスでユーザーに割り当てられます。新しい管理者
ロールを作成する場合、既存のロールとよく似たロールであれば、この既存の
ロールをコピーして変更する方が処理時間を短縮できます。 51 ページの「ロー
ルのコピー」を参照してください。
管理者ロールを追加するには、以下のタスクを行います。
•
管理者ロールの作成
•
新しい管理者ロールへの権限の付与
管理者ロールの作成
新しい管理者ロールを作成するには、以下の手順に従います。
1
[ ツール ] -> [ 管理者ロール ] -> [ 管理者ロールの作成 ] メニューオプションを選択
します。
[ 管理者ロールリスト ] ページが開かれます。
図5
2
管理者ロール
[ 管理者ロールリスト ] ページ
[ 管理者ロールの追加 ] をクリックします。
[ 管理者ロールの追加 ] : [ 基本情報 ] ページが開かれます。
41
図6
42
[ 管理者ロールの追加 ] : [ 基本情報 ]
3
[ ロール名 ] フィールドにこのロールの名前を入力します。
4
[ ロールの説明 ] フィールドにロールの概要を入力します。
5
[ 次へ ] をクリックします。
[ 管理者ロールの追加 ] : [ リクエスト権限 ] ページが開かれます。
第3章
図7
[ 新しい管理者ロールの追加 ] : [ リクエスト権限 ] ページ
新しい管理者ロールへの権限の付与
新しいロールに適切な権限を付与するために、権限の選択には十分な注意を払っ
てください。新しく作成した管理者ロールに権限を付与するには、以下の手順に
従います。
ページに表示されている権限の大半またはすべてをロールに付与する場合は、
[ すべての権限を含める ] チェックボックスをクリックします。
管理者ロール
1
使用可能な権限のリストを確認して、適切なオプションを選択します。
2
[ 次へ ] をクリックします。
[ 管理者ロールの追加 ] : [ レポート権限 ] ページが開かれます。
43
図8
44
[ 管理者ロールの追加 ] : [ レポート権限 ] ページ
3
使用可能なレポートのリストを確認して、このロールで使用するレポートを
選択します。
4
[ 次へ ] をクリックします。
[ 管理者ロールの追加 ] : [ サービス工房権限 ] ページが開かれます。
第3章
図9
管理者ロール
[ 新しい管理者ロールの追加 ] : [ サービス工房権限 ] ページ
5
使用可能なサービス工房権限のリストを確認して、適切なオプションを選択
します。
6
[ 次へ ] をクリックします。
[ 管理者ロールの追加 ] : [ ツール権限 ] ページが開かれます。
45
図 10
46
[ 新しい管理者ロールの追加 ] : [ ツール権限 ] ページ
7
使用可能な管理ツールのリストを確認して、適切なオプションを選択しま
す。
8
[ 次へ ] ボタンをクリックします。
[ 管理者ロールの追加 ] : [ ユーザー管理権限 ] ページが開かれます。
第3章
図 11
9
[ 新しい管理者ロールの追加 ] : [ ユーザー管理権限 ] ページ
使用可能なユーザー管理タスクのリストを確認して、適切なオプションを選
択します。
アカウントの転送権限は選択しないでください。この機能は将来使用
するために適用されているもので、現在は使用できません。
10 [ 完了 ] をクリックします。
[ 管理者ロールリスト ] に戻り、新しい管理者ロールが表示されます。
[ ユーザー ] 列にユーザーアイコンが表示されるのは、ユーザーが割り当てられ
たロールだけです。
ロールの変更
管理者に付与された権限を変更するには、管理者ロールに付与された権限を変更
します。管理者ロールを変更するには、以下のタスクを行います。
管理者ロール
•
ロールの変更
•
ロールに付与された権限の変更
47
ロールの変更
管理者ロールを変更するには、以下の手順に従います。
1
[ ツール ] > [ 管理者ロール ] > [ 管理者ロールリスト ] メニューオプションを選択
します。
[ 管理者ロールリスト ] ページが開かれます。
図 12
2
[ 管理者ロールリスト ] ページ
変更するロールを選択します。
また、 [ フィルタ ] 検索パネルを使用して、管理者ロールを検索するこ
ともできます。詳細については、 18 ページの「OVSI の検索機能の
使用」を参照してください。
3
48
[ 変更 ] をクリックします。
[ 管理者ロールの変更 ] : [ ロール名 ] ページが開かれます。
第3章
図 13
[ 管理者ロールの変更 ] : [ ロール名 ] ページ
4
[ ロールの説明 ] フィールドを確認して、必要な変更を行います。
5
[ 適用 ] をクリックします。
変更内容を保存します。
ロールに付与された権限の変更
1
管理者ロール
左側パネルで [ 権限 ] リンクをクリックします。
49
図 14
2
[ 管理者ロールの変更 ] : [ リクエスト権限 ] ページ
左側パネルにリストされている機能を確認して、変更する機能をクリックし
ます。
選択した権限リストが開かれます。
ユーザー管理権限リストからアカウントの転送権限を選択しないでく
ださい。この機能は将来使用するために適用されているもので、現在
は使用できません。
3
使用可能な権限のリストを確認した後、変更するオプションを選択または選
択解除します。
4
[ 適用 ] をクリックします。
変更内容を保存します。
50
5
各機能カテゴリで必要な権限がすべて変更されるまで、この手順を繰り返し
ます。
6
[OK] をクリックします。
[ 管理者ロールリスト ] に戻ります。
第3章
ロールのコピー
権限が付与されていれば、既存のロールをコピーして変更することで、新しい管
理者ロールを作成することができます。コピー手順を行うには、ロールの作成と
変更の両方の権限があらかじめ付与されていなければなりません。この方法を使
用すると、ほとんど同じ管理者ロールを 1 つまたは複数作成する場合の作業時
間を短縮できます。
管理者ロールをコピーするには、以下の手順に従います。
•
管理者ロールのコピー
•
ロールに付与された権限の変更
管理者ロールのコピー
管理者ロールをコピーするには、以下の手順に従います。
1
[ ツール ] -> [ 管理者ロール ] -> [ 管理者ロールリスト ] メニューオプションを選択
します。
[ 管理者ロールリスト ] ページが開かれます。
図 15
2
管理者ロール
[ 管理者ロールリスト ]
コピーするロールを選択します。
51
3
[ コピー ] をクリックします。
[ 管理者ロールのコピー ] : [ ロール名 ] ページが開かれます。
図 16
[ 管理者ロールのコピー ] : [ ロール名 ]
4
[ ロール名 ] フィールドをクリックして、名前を変更します。
5
[ ロールの説明 ] を確認して、必要な変更を行います。
6
変更内容を保存します。
コピー操作から権限を変更することはできません。権限を表示するためのアク
セスは使用できますが、この画面から権限を変更することはできません。
管理者ロールの委任
管理者ロールの委任はオプションです。この権限を提供するように OVSI シス
テムが設定されているときは、管理者は My Identity セルフサービスツールを
使用して自分のロールを委任できます。詳細については、『HP OpenView
Select Identity My Identity Guide』を参照してください。
52
第3章
管理者ロールの削除
Concero Sys Admin ロール、 Workflow Approver、および End User を除き、
作成した管理者ロールはどれも削除することができます。ロールを削除する前
に、その管理者ロールで管理されるサービスを確認してください。ロールを削除
する前に、使用しなくなったサービスやそのサービスでサポートされる機能を削
除します。 199 ページの「サービスロールの削除」を参照してください。有効な
サービスがそれ以降も 1 つまたは複数の管理者ロールで提供されることを確認
してください。
ロールの削除
管理者ロールを削除するには、以下の手順に従います。
1
[ ツール ] > [ 管理者ロール ] > [ 管理者ロールリスト ] メニューオプションを選択
します。
[ 管理者ロールリスト ] ページが開かれます。
図 17
[ 管理者ロールリスト ]
2
削除するロールを選択します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが開かれます。
管理者ロール
53
4
[OK] をクリックします。
ロールが削除されます。
管理者ロールの表示
管理者ロールを表示するには、以下の手順に従います。
1
[ ツール ] > [ 管理者ロール ] > [ 管理者ロールリスト ] メニューオプションを選択
します。
[ 管理者ロールリスト ] ページが開かれます。
図 18
2
54
[ 管理者ロールリスト ]
表示する管理者ロールを選択して、 [ ビュー ] をクリックします。
[ ロールの表示 ] : [ 管理者 ] ページが開かれます。
第3章
図 19
管理者ロール
[ ロールの表示 ] : [ 管理者 ] ページ
3
このロールに付与されている権限を参照する場合は、左側のペインで [ 権限 ]
リンクをクリックします。
[ ロールの表示 ] : [ リクエスト権限 ] ページが表示されます。
4
完了したら、 [ キャンセル ] をクリックします。
[ 管理者ロールリスト ] に戻ります。
55
56
第3章
4 サービス工房
OVSI はサービス指向のアーキテクチャを提供します。アイデンティティの表示
と管理は、アクセスするサービスのコンテキスト内で行われます。 [ サービス ]
ページでは、顧客やビジネスパートナーがアクセスするサービスを作成および管
理することができます。サービスの作成時には、ユーザーがシステムにアクセス
する方法を決定する要素数、およびアクセス時に許可される使用権を定義しま
す。
サービスには次の 3 種類があります。
管理サービス – 管理ロールをユーザーアカウントに関連付ける方法を提供しま
す。作成する業務サービスのそれぞれについて、そのユーザーを管理する 1 人
または複数の管理者用として、対応する管理サービスが必要です。
業務サービス – 顧客およびパートナーがアクセスする業務製品および業務アプ
リケーションです。
コンポジットサービス – サービスをグループ化することができます。コンポ
ジットサービスに登録するユーザーは、複数のサービスにアクセスできます。通
常、少なくとも 1 つの管理サービス、および 1 つまたは複数の業務サービスに
アクセスできます。
各サービスでは、サービスロールの設定と表示ができます。サービスロールは
パートナーおよび顧客のカスタムビューに沿った安全な管理構造を提供します。
サービスロールは階層構造になっており、管理を任意のレベルに委任できます。
この章では、 [ サービス工房 ] ページ内で実行できるアクションのすべてについ
て詳しく説明します。これらの各機能領域へのアクセスは、 OVSI のシステム管
理者がアカウントに割り当てた管理ロールによって決まります。
この章で取り上げる内容は以下のとおりです。
•
サービス工房からのサービス基盤の構築
•
サービスの作成
•
サービスの管理
57
サービス工房からのサービス基盤の構築
サービスは、リソース、属性、通知テンプレート、およびワークフローをすべ
て配置した後にのみ作成してください。これらは、明確なサービスを構築する
ための基盤です。サービスの管理に必要なものはすべて、 [ サービス工房 ] メ
ニューに用意されています。リソースとリソース属性の設定と管理、外部コー
ルによりカスタマイズされるワークフローの作成、さらに通知テンプレートの
カスタマイズができます。
必要な構成要素をすべて配置してから、サービスの作成と管理を行います。こ
の項で取り上げる内容は以下のとおりです。
•
コネクタの概要
•
コネクタの管理
•
リソースの管理
•
属性の管理
•
通知テンプレートの管理
コネクタの概要
OVSI では、企業のアプリケーションとリソースに接続して、それらのシステム
のユーザーアカウントと使用権を設定および管理することができます。 OVSI が
リソースサーバーにアクセスし、インタフェースを取るためのコンポーネント
をコネクタと呼びます。コネクタは、 OVSI とリソースの間のゲートウェイとし
て機能します。
OVSI は次の 2 種類のコネクタをサポートしています。
•
58
一方向
一方向コネクタは、リソースとの通信を開始します。リソースが一方向コネ
クタを使用することでサポートされている場合、 OVSI で開始されたプロビ
ジョニング操作はコネクタを通じてリソースと同期されます。次の図にデー
タフローを示します。
第4章
現在、一方向コネクタとして次のものがあります。
— AS400
— BOKS
— Domino
— LDAP
— NT ドメイン
— NT ローカル
— Peoplesoft
— RACF
— SAP
— Siteminder
— TAM
— Tandem
— Top Secret
— UNIX
— VMS
— UNIX BSH
— Universal
コネクタは OVSI サーバーに常駐し、リソースにリクエストを送信します。
リソースは、コネクタがリクエストの送信時に使用するプロトコルを定義し
ます。一方向コネクタを作成するには、コネクタを作成して OVSI サーバー
にインストールする必要があります。
サービス工房
59
•
双方向
双方向コネクタには、 OVSI サーバーに常駐するコネクタと、リソースに常
駐するエージェントが含まれます。コネクタはエージェントと通信し、エー
ジェントがプロビジョニング操作を実行します。エージェントはホストのリ
ソースの変更を監視し、変更が検出されると OVSI に通知を送信します。し
たがって、双方向コネクタは、次の図に示すように 2 方向のデータフローを
可能にします。ユーザーアカウントの変更は、いずれのシステムでも実行で
きます。
図 20
リソースエージェントを経由する、 OVSI と双方向コネクタとの間
のデータフロー
現在、双方向コネクタとして次のものがあります。
— Active Directory
— DB2
— Oracle
— Lotus Notes
— MS SQL Server
コネクタは、リソースの仕様に従ってリクエストを送信します。エージェント
が OVSI の Web サービスに対してリクエストを送信するときには、簡易オブ
ジェクトアクセスプロトコル (SOAP) と、 HTTP または HTTPS を介するサー
ビスプロビジョニングマークアップ言語 (SPML) のペイロードを使用します。
コネクタの作成とインストール
使用環境のシステムリソースに OVSI を接続するコネクタを作成するには、
J2EE コネクタの Java コネクタアーキテクチャ (JCA) を使用して、リソースア
ダプタを構成します。このためには、 Java 開発キット (JDK) を理解し、 JCA に
精通している必要があります。さらに、 OVSI には、 JCA と組み合わせてコネ
60
第4章
クタを作成するためのコネクタアクセスプロトコルインタフェース (API) が用意
されています。コネクタを作成したら、 OVSI サーバーにインストールします。
これにより、コネクタを配布して OVSI のクライアントにリソースを作成する
ことができます。各コネクタには、関連コネクタと属性マッピングファイルに関
する情報を持つインストールガイドが付属しています。
OVSI アプリケーションサーバーで connector.rar ファイルを配布すること
により、コネクタをインストールします。詳細については、 OVSI Connector
CD に収録されている『HP OpenView Select Identity Connector Installation
Guide』を参照してください。『HP OpenView Select Identity Connector
Guide』には、 OVSI コネクタ API への実装方法も含めて、コネクタの作成方法
が記載されています。 API の概要、パッケージング方法、およびインストール
手順については、このガイドを参照してください。コネクタ API の説明は、オ
ンラインヘルプにあります。
コネクタの管理
OVSI がリソースと通信するためにはコネクタインタフェースゲートウェイが 1
つ必要ですが、数多くのコネクタから選択できます。サポートするサーバーリ
ソースの種類のそれぞれについて、コネクタを 1 つ使用します。ただし、複数
のリソースで同じコネクタを使用できます。たとえば、 3 台の LDAP サーバー
を接続するには、 LDAP コネクタを 1 つだけインストールして配布します。コ
ネクタを共有するリソースは、リソースプールに入れられます。
コネクタが OVSI と指定リソースとのインタフェースを取るためには、 OVSI に
コネクタレコードが必要です。コネクタがサーバーにインストールされていない
場合は、コネクタレコードを作成することはできません。
この項では、次の操作に必要な手順について説明します。
•
コネクタの配布
•
コネクタレコードの変更
•
コネクタレコードの削除
コネクタの配布
1
サービス工房
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
61
2
ページ下部にある [ コネクタの管理 ] ボタンをクリックします。
[ コネクタの管理 ] ページが開きます。
3
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
コネクタ名
コネクタの名前を省略しないで入力します。
注 : 属性マッパーが使用できる場合 ([ 利用できるマッパー ] 列
に [ はい ] が表示 )、コネクタ名はプール名の 2 番目の部分
(eis/ の後のセクション ) と同一である必要があります。
プール名
このリソースが所属するリソースプールの省略しない名前
を入力します。
利用できる
マッパー
このコネクタにマッパーが使用できる場合は [ はい ] 、使用
できない場合は [ いいえ ] をクリックします。
このファイルはコネクタをリソースにマッピングし、アイ
デンティティ情報のそのリソースでの保存場所と保存方法
を定義します。
4
[ 追加 ] をクリックします。
新規作成したコネクタレコードが、下のリストに挿入されます。
5
[OK] をクリックします。
作業内容が保存され、 [ リソースリスト ] ページに戻ります。
コネクタレコードの変更
場合によっては、コネクタのパラメータが変更されることがあります。この場
合には、 OVSI 内の関連するコネクタレコードを変更する必要があります。
62
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
2
ページ下部にある [ コネクタの管理 ] ボタンをクリックします。
[ コネクタの管理 ] ページが開きます。
3
表示されたコネクタのリストから、変更するコネクタを選択します。
第4章
4
ページ下部にある [ 変更 ] をクリックします。
コネクタの詳細が、ページ上部の [ 現在のリソースコネクタ ] セクションに移
動します。
5
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
コネクタ名
必要に応じてコネクタの名前を変更します。
プール名
必要に応じて、このリソースが所属するリソースプールを
変更します。
利用できるマッ
パー
このコネクタにマッパーが使用できる場合は [ はい ] 、使用
できない場合は [ いいえ ] をクリックします。
このファイルはコネクタをリソースにマッピングし、アイ
デンティティ情報のそのリソースでの保存場所と保存方法
を定義します。
6
[ 適用 ] をクリックします。
新規作成したコネクタレコードが、下のリストに挿入されます。
7
[OK] をクリックします。
作業内容が保存され、 [ リソースリスト ] ページに戻ります。
コネクタレコードの削除
あるリソースを社内で使用しなくなった場合は、そのコネクタを削除します。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
2
変更するリソースを選択します。
3
ページ下部にある [ コネクタの管理 ] ボタンをクリックします。
[ コネクタの管理 ] ページが開きます。
4
表示されたコネクタのリストから、削除するコネクタを選択します。
5
[ 削除 ] をクリックします。
確認用ダイアログボックスが開きます。
サービス工房
63
6
[OK] をクリックします。
コネクタがリストから永久に削除されます。
リソースの管理
OVSI システムのリソースとは、 OVSI がアカウント情報の取得元とする実際の
アプリケーション、データベース、およびディレクトリを指します。 OVSI では
リソースはユーザーデータストアとみなされ、アカウントと使用権を作成、変
更、削除することができます。環境内の典型的なリソースは、 Windows Server
Systems や Oracle データベースなどです。
OVSI クライアントの [ リソース ] セクションでは、 OVSI がユーザーをマッピ
ングするリソースの追加、表示、コピー、変更、削除を行います。最終的に、
バックエンドのユーザーデータストアが環境内にいくつあるかに関係なく、
OVSI はサポートするサービスにアクセスするためのユーザー ID を 1 つ作成し
ます。
次の図でこの概念を示します。
図 21
64
OVSI リンクの例
第4章
たとえば、 UNIX や Web のシングルサインオンサービスなどのデータベースを
使用する顧客にサービスを提供するとします。 OVSI は、「jsmith」というユー
ザー ID の統合ビューを提供します。 OVSI でのアイデンティティの概念は、シ
ステム単位ではなく、企業単位です。たとえば、ユーザーが退社する際、 OVSI
はそのユーザーがアイデンティティ ( アカウントと使用権 ) を持つさまざまなリ
ソースをすべて追跡し、適切に動作できます。
信頼できるリソースの使用
OVSI には、他のアカウントをすべて同期させるために使用する基準リソースを
設定する機能があります。たとえば、人事システムが社内で最新のアイデンティ
ティプロファイル情報をすべて管理しているとします。この場合には、このアプ
リケーションをリソースとして単純に追加し、ユーザー情報の信頼できるソース
の代表として使用します。
信頼できるソースとしてあるシステムを一度定義したら、そのリソース内の変更
内容を検出するルールを追加するだけですみます。変更内容は調整プロセスで他
のすべてのアカウントに反映されます。
同期と配布の概要
OVSI では、個人属性のフィールドの変更内容の更新に OVSI、そのフィールド
が属するリソース、またはそれらの両方を使用するかを指定できます。 [ 同期 ]
に設定したフィールド属性は、 OVSI に更新内容を作成します。 OVSI が更新す
る属性は [ 配布 ] に設定されます。フィールド属性は同期と配布の両方に設定で
きます。この場合、リソースへの変更内容により OVSI を更新し、さらに OVSI
への変更内容によりリソースを更新します。
サービス工房
65
図 22
同期と配布
信頼できるリソースのフィールドはすべて配布に設定されますが、フィールド
が同期のみになるように設定を変更できます。たとえば、人事システムを信頼
できるリソースとして、 OVSI を更新し勤務地を除くその他のリソースに反映さ
せるためにすべてのアイデンティティ管理フィールドが必要な場合を考えます。
施設管理システムで勤務地を更新したいと考えますが、施設管理システムは信
頼できるリソースとして指定されていません。 OVSI で、人事システムのリソー
スの勤務地フィールドについて配布の設定を削除し、施設管理システムのリ
ソースを配布に設定することで、 OVSI を更新するフィールド属性の指定を変更
します。
リソースの属性の変更内容で OVSI を更新し、 OVSI への変更内容でリソースも
更新する場合には、フィールド属性は同期と配布の両方に設定できます。
リソースの管理
OVSI は、業務に必要なリソースとの各接続と共にインストールされます。後で
環境に新しいシステムを追加する場合には、追加のリソースコネクタを HP
OpenView Professional Services から取得するか、 OVSI のコネクタソフトウェ
ア開発キット (SDK) でコネクタを作成することができます。コネクタは、クラ
イアントの [ コネクタ ] セクションで配布と管理ができます。詳細については、
58 ページの「コネクタの概要」を参照してください。
66
第4章
この章では、 [ リソース ] で実行できるアクションのすべてについて詳しく説明
します。これらの各機能領域へのアクセスは、 OVSI のシステム管理者がアカウ
ントに割り当てた管理ロールによって決まります。
• UNIX、 Tandem、および AS400 のシステムで OVSI にユーザーを追加する
ときには、システムリソースのデフォルトグループと同じ値の使用権 (2 次
グループ ) を入力しないでください。ユーザーを変更してそのユーザーのデ
フォルトグループ値を変更すると、誤って使用権がそのユーザーから削除さ
れることがあります。
• 通常は、 OVSI でリソースを配布する前に、リソースに接続できることを確
認します。
リソースを追加したら、提供するサービスに関連するアカウントをユーザーが所
有する各システムに、リソースを配布します。次の手順では、リソースの例とし
て軽量ディレクトリアクセスプロトコル (LDAP) システムを使用していますが、
他にも同様に使用できるリソースが多数あります。
各システムリソースに入力する情報は、そのシステムによって異なります。特定
のコネクタについてリソースを作成するときのアクセス情報については、システ
ムコネクタの『Installation Guide』を参照してください。
リソースを追加するには、次の手順を行います。
•
リソースの追加
•
マッピングファイルの表示
•
リソース属性のマッピング
•
リソースの変更
•
リソースのコピー
•
リソースの削除
システムリソースの追加と管理
OVSI は、業務に必要なリソースとの各接続と共にインストールされます。関連
する環境に新しいシステムを追加する場合は、 OVSI Professional Services が追
加のリソースコネクタを提供します。コネクタは、 OVSI ソフトウェア開発キッ
ト (SDK) で作成することもできます。
以降の項では、次の内容について説明します。
•
サービス工房
リソースの管理
67
•
新しい属性の追加とマッピング
•
通知テンプレートの作成と変更
•
サービスコンテキストの概要
•
固定と任意の使用権について
リソースの追加
リソースを追加するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 23
2
68
[ リソースリスト ] ページ
[ リソースの追加 ] をクリックします。
[ 新しいリソースの追加 ] ページが開きます。
第4章
図 24
[ 新しいリソースの追加 ] ページ
信頼できるソース以外のソースとリソース情報を比較できますが、そのソース
からアカウントを追加することはできません。調整の詳細については、 387
ページの「アカウント調整」を参照してください。
3
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
リソース名
リソースの名前を入力します。
リソースの説明
リソースの簡単な説明を入力します。
コネクタ名
OVSI からリソースへのアクセスに使用する正しいコネクタ
を選択します。
ここでコネクタを選択するには、コネクタを [ コネクタの管理 ] リストに入れる
必要があります。使用するコネクタが表示されない場合は、操作を続行する前
に必要なコネクタをマッピングします。詳細については、 61 ページの「コネク
タの管理」を参照してください。
サービス工房
69
信頼できる
信頼できるリソースと見なす場合は、 [ はい ] を選択します。
詳細については、 65 ページの「信頼できるリソースの使用」
を参照してください。
このリソースを信頼できるリソースにすると、このリソー
スにマッピングされる属性も信頼できる属性になります。
フィールド属性データの調整時には、これらの属性値が、
配布されない他のリソースのフィールド属性よりも優先さ
れます。属性の詳細については、 105 ページの「新しい属性
の追加とマッピング」を参照してください。
OVSI パスワード
承認
ユーザーが一度だけサインインすればすむようにログイン
データをリソースすべてで同期する場合は、 [ はい ] を選択
します。
ユーザーの削除
関連するサービスからユーザーが削除されたときに、この
リソースからもそのユーザーを削除する場合は、 [ はい ] を
選択します。
リソースの所有者
このリソースの担当者が割り当てられている場合は、その
担当者のユーザー ID を選択します。
調整ポーリングを有効にしている場合は、リソースの所有者を指定す
る必要があります。調整ポーリングが有効かどうかを調べるには、
[ 調整ポリシー ] ページを確認します。
4
[ 次へ ] をクリックして、先に進みます。
[ リソースアクセス情報 ] ページが開きます。表示されるフィールドは、以前
の入力によって決まります。
5
必要な接続の資格証明を入力します。資格証明は、データベースコネクタと
エージェントのインストール方法と設定方法によって決まります。
•
70
エージェントをインストールしない場合の JDBC データソースの使用
この設定では、コネクタは JDBC 呼び出しによりデータベースで直接動
作します。リソースの設定時に、 JDBC データソースとマッピングファ
イルを指定する必要があります。
第4章
•
エージェントをインストールしない場合の JDBC ドライバの使用
コネクタは、データベースとの通信に JDBC ドライバを使用します。
エージェントポートと JDBC データソースを除くパラメータをすべて指
定する必要があります。
•
エージェントをインストールした場合の JDBC ドライバの使用
エージェントをインストールして、データベースとの通信に JDBC ドラ
イバを使用する場合、 JDBC データソースを除くパラメータをすべて指
定する必要があります。
図 25
6
リソースアクセス情報
Tab キーを押してフィールド間を移動し、表示されたフィールドに基づいて
必要な情報を入力します。
この例でのフィールドは単なる一例であり、選択したコネクタによっ
て異なることがあります。
サービス工房
71
フィールド
アクション
Access URL
OVSI がリソースにアクセスする必要があるときに使用する
URL です。
Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
Login Name
OVSI がリソースにログインする必要があるときに使用する
名前です。
Password
OVSI の調整により、変更の目的でリソースにアクセスする
ときのパスワードです。
User Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
User ObjectClass
Java ベースのオブジェクトクラスで、デフォルト値は選択
したリソースによって決まります。
Group Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
Group
ObjectClass
Java ベースのオブジェクトクラスで、デフォルト値は選択
したリソースによって決まります。
Mapping File
OVSI とリソースとの間でフィールド属性のマッピングに使
用するファイルです。
7
状況
操作方法
マッピングファイルを確認する必
要がある場合
73 ページの「マッピングファイルの表示」の
手順に従います。
マッピングフォームが信頼できる
ソースではない場合
操作を続行します。
8
72
[ マッピングファイル ] を表示する必要があるかどうかを調べます。
[ 完了 ] をクリックして、先に進みます。
[ リソース名 : ユーザーの調整ポリシー ] ページが開きます。
第4章
9
表示されたフィールドのリストを確認して、必要な変更を行います。
10 [OK] をクリックします。
[ リソースリスト ] ページに戻ります。
マッピングファイルの表示
アクセス情報を入力すると、コネクタがマッピングをサポートしている場合には
OVSI のホームディレクトリに XML ファイルが新規作成されます。コネクタの
マッピングの詳細については、 61 ページの「コネクタの配布」を参照してくだ
さい。マッピング XML ファイルは、 com/trulogica/truaccess/
connector/schema/spml サブディレクトリに保存されます ( このデフォルト
の場所は、 TruAccess.properties ファイルの
com.hp.ovsi.connector.schema.dir パラメータで設定できます )。
指定したマッピングファイルが存在する場合は、属性マッピングユーティリティ
が表示され、データベースに接続し、マッピングファイルに既存の設定を読み込
みます。リソース属性をマッピングする前に、マッピングファイルを表示できま
す。ファイルを表示するには、次の手順に従います。
1
サービス工房
ページの [ マッピングファイル ] フィールドを見つけて、フィールドの横にあ
る [ ビュー ] リンクをクリックします。
新しいブラウザのウィンドウに XML または SPML のファイルが開きます。
73
図 26
リソースのマッピングファイル
2
表示された情報を確認します。
3
ブラウザのウィンドウを閉じます。
元のページに戻ります。
リソース属性のマッピング
リソースの新規作成後、調整プロセスで正しいデータが更新されるように、リ
ソースのフィールド属性を対応する OVSI のフィールド属性にマッピングする
必要があります。詳細については、 387 ページの「アカウント調整」を参照して
ください。
OVSI の新しい属性を複数のリソースにマッピングするには、 106 ページの「新
しい属性の追加」の手順に従います。以下の手順は、新しいリソースの属性リ
ストを OVSI の対応するフィールドにマッピングするときに適しています。
74
第4章
リソースの各属性を対応する OVSI の属性にマッピングするには、以下の手順
に従います。
1
リソース属性のリストを確認します。
2
[ 属性 ] ドロップダウンメニューからマッピング先の OVSI の属性を選択しま
す。
3
フィールドを更新元と更新先のいずれにするかを決定します。
状況
操作方法
このリソースの属性すべてを信頼
できる属性にする場合
[ 信頼できる ] を選択します。
この属性で OVSI を更新する場合
[ 同期 ] を選択します。
リソースを [ 信頼できる ] に設定しても [ 同期 ]
フィールドをオフにした場合は、そのフィー
ルドでは OVSI が更新されません。
このフィールドを OVSI で更新す
る場合
4
[ 配布 ] を選択します。
信頼できるリソースで OVSI を更新できます。
[ 同期 ] をオンにした属性も、 OVSI により更
新されます。更新は、最新のリビジョン日付
を持つフィールドにより決定されます。
[ 適用 ] をクリックします。
作業が保存されます。
5
各リソース属性が適切にマッピングされるまで、手順を繰り返します。
6
[OK] をクリックします。
[ リソースリスト ] ページに戻ります。
リソースの調整ポリシーの設定
OVSI には、数多くの調整ポリシーがあります。このページを使用して、作成す
るリソースのポリシーを決定します。
サービス工房
75
調整ポリシーを設定するには、以下の手順に従います。
1
ページの左側のパネルにある [ ユーザーの調整ポリシー ] リンクをクリックし
ます。
[ リソース名 : ユーザーの調整ポリシー ] ページが開きます。
図 27
2
[ リソース名 : ユーザーの調整ポリシー ]
調整フィルタが必要かどうかを決定します。
調整フィルタは、変更内容のみが OVSI に返されるように、属性をソートして
フィルタ条件を満たす変更内容を検索するように設計されています。フィルタ
は OVSI に対するデータトラフィックの影響を低減し、パフォーマンスを改善
します。調整フィルタは、変更値の作成にも使用できます。
76
第4章
3
OVSI の更新元のフィールドが変更されたかどうかを調べるために、 OVSI
が定期的にこのフィールドをポーリングするかどうかを、 [ ユーザーのポーリ
ング ] セクションで指定します。
状況
操作方法
OVSI でこのリソースへのポーリ
ングを行わない場合
次のステップに進みます。
OVSI でこのリソースへのポーリ
ングを行わない場合
[ 調整フィルタ ] ドロップダウンリストから
フィルタを選択して、次に進みます。
4
Tab キーを押してフィールド間を移動し、ポーリングパラメータの定義に必
要な情報を入力します。
フィールド
アクション
ポーリング有効
OVSI がこのリソースをポーリングすることを示すフィール
ドを選択します。
ポーリング間隔
[ ポーリング間隔 ] ドロップダウンメニューから適切な値を
選択して、 OVSI がリソースをポーリングする頻度を指定し
ます。
• [ 日 ] : 各ポーリングイベント間の日数。
• [ 時間 ] : 各ポーリングイベント間の時間数。
• [ 分 ] : 各ポーリングイベント間の分数。
サービス工房
最終変更のログ番
号
「1」は変更ログを更新することを示します。「0」は変更ロ
グが編集できることを示します。
最終変更時刻
変更ログにタイムスタンプの変更を記録します。
77
5
フィールド
アクション
レポートポリシー
追加トランザクションのレポート方法を決定し、必要に応
じてレポートポリシーを変更します。
監査有効
レコードの追加時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
OVSI がリソースから情報を受信したときのリソースの動作
を決定し、必要に応じてドロップダウンメニューから新し
いポリシーを選択します。
ユーザーの
アクション
レコードの追加を承認するためのユーザーによる操作を決
定し、必要に応じてドロップダウンメニューから新しいポ
リシーを選択します。
調整のワーク
フロー
必要に応じて、レコードの追加をサポートする新しいワー
クフローテンプレートを選択します。
6
78
表示されたフィールドのリストを確認して、 [ 追加 ] 機能に必要な変更を行い
ます。
表示されたフィールドのリストを確認して、 [ 変更 ] 機能に必要な変更を行い
ます。
フィールド
アクション
レポートポリシー
変更トランザクションのレポート方法を決定し、必要に応
じてレポートポリシーを変更します。
監査有効
レコードの変更時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
リソース / イベントに対する調整プロセス全体の動作を、無
視、元に戻す、または受諾に指定します。
第4章
フィールド
アクション
ユーザーの
アクション
これは、 [ リソースのアクション ] を [ 受諾 ] に設定した場
合にのみ使用します。ユーザーレコードが変更された場合
の動作を指定します。
調整のワーク
フロー
必要に応じて、レコードの変更をサポートする新しいワー
クフローテンプレートを選択します。
並行処理
同一ユーザーのレコードをすべて、順番に処理するかどう
かを指定します。これは、追加、変更、または削除につい
て同様に設定する必要があります。シリアル処理は正確で
すが、処理速度が遅くなります。
7
フィールド
アクション
レポートポリシー
削除済みレコードのレポート方法を決定し、必要に応じて
レポートポリシーを変更します。
監査有効
レコードの削除時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
OVSI がレコードの削除を試行するときのリソースの動作を
決定し、必要に応じてドロップダウンメニューから新しい
ポリシーを選択します。
ユーザーの
アクション
レコードの削除を承認するためのユーザーによる操作を決
定し、必要に応じてドロップダウンメニューから新しいポ
リシーを選択します。
調整のワーク
フロー
必要に応じて、レコードの削除をサポートする新しいワー
クフローテンプレートを選択します。
8
サービス工房
表示されたフィールドのリストを確認して、 [ 削除 ] 機能に必要な変更を行い
ます。
[ 適用 ] をクリックします。作業を保存します。
79
リソースの使用権のキャッシングポリシーの定義
OVSI で、リソースから使用権と呼ばれるプロビジョンを取得することによる、
システム全体のパフォーマンスに対する影響を低減するには、使用権をキャッ
シングします。 OVSI は、次の方法を使用して、使用権の変更内容をキャッシュ
します。
•
はじめてリソースの使用権が取得されたときに、 OVSI の使用権キャッシュ
が初期化されます。
•
バッチプロセスが定期的にリソースから使用権を取得し、必要に応じて
OVSI のデータベースを更新します。
OVSI が定期的に、 OVSI のデータベースとエージェントのテーブルを同期化し
て、テーブルをすべて同期させます。エージェントを使用してキャッシングを
効率的に実行するには、エージェントには、リソースでの使用権の変更を検出
する機能が必要です。同期をまったく設定しない場合、使用権は常に、コネク
タを介してリソースから直接取得されます。このオプションは、以下の場合に
限って使用する必要があります。
•
更新の遅延がまったく許可されず、同期を設定している場合。
•
リソースの変更ログが使用できない場合
•
変更ログの取得に要する時間が、使用権の取得に要する時間と同程度の場
合。
このリソースのキャッシング管理に使用するポリシーを決定するには、以下の
手順に従います。
1
80
左側のパネルの [ キャッシングポリシー ] をクリックします。
[ リソース名 : キャッシングポリシー ] ページが開きます。
第4章
図 28
2
[ リソース名 : キャッシングポリシー ]
リソースのキャッシングを有効にするかどうかを指定します。
状況
操作方法
リソースのキャッシングが不要の
場合
[OK] をクリックします。
[ リソースリスト ] に戻ります。
調整プロセスで、コネクタを介して使用権が
すべて取得され、更新されます。
リソースのキャッシングが必要な
場合
3
操作を続行します。
Tab キーを押してフィールド間を移動し、ポーリングパラメータの定義に必
要な情報を入力します。
ポーリングを有効にすると、ポーリング間隔で OVSI のバッチが定期的に実行
され、リソースの使用権に関する更新内容が取得されます。この動作により
OVSI の使用権が同期化されます。
サービス工房
81
フィールド
アクション
ポーリング有効
使用権の変更内容を取得するために、 OVSI がこのリソース
をポーリングすることを示すフィールドを選択します。
ポーリング間隔
[ ポーリング間隔 ] ドロップダウンメニューから適切な値を
選択して、 OVSI がリソースをポーリングする頻度を指定し
ます。
• [ 日 ] : 各ポーリングイベント間の日数。
• [ 時間 ] : 各ポーリングイベント間の時間数。
• [ 分 ] : 各ポーリングイベント間の分数。
4
手動で更新を開始する必要がある場合は、 [ キャッシュをいま更新 ] を選択し
ます。
リソースレベルで使用権が確認され、使用権のキャッシュが更新されます。
5
[ 適用 ] をクリックします。
作業が保存されます。
6
[OK] をクリックします。
[ リソースリスト ] ページに戻ります。
リソースの変更
必要に応じて、製品とサービスが依存するシステムリソースを変更します。以
下に示す理由で、リソースを変更する必要がある場合があります。
•
コネクタのマッピングが変更された。
•
リソースアプリケーションが別のコンピュータに移動された。
•
リソースの管理者パスワードが変更された。
この項で取り上げる内容は以下のとおりです。
82
•
リソース情報の変更
•
リソースアクセス情報の変更
•
リソース属性のマッピングの変更
第4章
リソース情報の変更
リソースを変更するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 29
[ リソースリスト ] ページ
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
表示された入力項目を確認して、必要に応じて必須情報を変更します。
フィールド
アクション
リソースの説明
必要に応じてリソースの説明を変更します。
信頼できる
このリソースの変更内容により OVSI を更新する場合は、
[ はい ] ラジオボタンを選択します。
サービス工房
83
フィールド
アクション
OVSI パスワード
承認
このリソースに割り当てられたユーザーが、 1 つのパスワー
ドでリソースすべてにアクセスできるかどうかを指定しま
す。
ユーザーの削除
関連するサービスからユーザーが削除されたときに、この
リソースからもそのユーザーを削除する場合は、 [ はい ] ラ
ジオボタンを選択します。
リソースの所有者
このリソースの担当者が割り当てられている場合は、その
担当者のユーザー ID を選択します。
5
[ 適用 ] をクリックします。
リソースアクセス情報の変更
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 30
84
[ リソースリスト ] ページ
第4章
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
ページの左側のパネルにある [ リソースアクセス情報 ] リンクをクリックしま
す。
このページに必須フィールドが表示されます。
図 31
5
サービス工房
リソースアクセス情報の変更
表示されたフィールドのリストを確認して、必要な変更を行います。
フィールド
アクション
Access URL
OVSI がリソースにアクセスする必要があるときに使用する
URL です。
Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
Login Name
調整中に OVSI がコネクタにアクセスするために使用する
ユーザー ID です。
85
フィールド
アクション
Password
調整中に OVSI がコネクタにアクセスするために使用する
一意のパスワードです。
User Prefix
コネクタの命名規則によって決まります。変更しないでく
ださい。
User Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
User ObjectClass
Java ベースのオブジェクトクラスで、デフォルト値は選択
したリソースによって決まります。
Group Suffix
コネクタの命名規則によって決まります。変更しないでく
ださい。
Group
ObjectClass
コネクタが設定します。変更しないでください。
Grouped as DN
コネクタが設定します。変更しないでください。
Cleanup Groups
コネクタが設定します。変更しないでください。
Mapping File
OVSI とリソースとの間でフィールド属性のマッピングに使
用するファイルです。
6
[ 適用 ] をクリックします。
作業が保存されます。
リソースの調整ポリシーの変更
調整プロセスは、属性値の変更内容を配布プロセスにより OVSI をサポートす
るリソースにエクスポートし、同期プロセスにより変更内容を OVSI をイン
ポートするために使用されます。調整ルールは、ユーザーのプロパティに基づ
いて動作を定義します。調整は、作成するポリシーに基づいて、以下の種類の
動作をサポートします。
86
•
サービスの追加
•
サービスの削除
•
サービスの有効化
第4章
•
サービスの無効化
•
ユーザーの有効化
•
ユーザーの無効化
•
ユーザーの停止
調整ポリシーを変更するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 32
サービス工房
[ リソースリスト ] ページ
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
ページの左側のパネルにある [ ユーザーの調整ポリシー ] リンクをクリックし
ます。
[ リソース名 : ユーザーの調整ポリシー ] ページが開きます。
87
図 33
5
[ リソース名 : ユーザーの調整ポリシー ]
調整フィルタが必要かどうかを決定します。
調整フィルタは、変更内容のみが OVSI に返されるように、属性をソートして
フィルタ条件を満たす変更内容を検索するように設計されています。フィルタ
は OVSI に対するデータトラフィックの影響を低減し、パフォーマンスを改善
します。
6
88
OVSI の更新元のフィールドが変更されたかどうかを調べるために、 OVSI
が定期的にこのフィールドをポーリングするかどうかを、 [ ユーザーのポーリ
ング ] セクションで指定します。
状況
操作方法
OVSI でこのリソースへのポーリ
ングを行わない場合
次のステップに進みます。
OVSI でこのリソースへのポーリ
ングを行わない場合
[ 調整フィルタ ] ドロップダウンリストから
フィルタを選択して、次に進みます。
第4章
7
Tab キーを押してフィールド間を移動し、ポーリングパラメータの定義に必
要な情報を入力します。
フィールド
アクション
ポーリング有効
OVSI がこのリソースをポーリングすることを示すフィール
ドを選択します。
ポーリング間隔
[ ポーリング間隔 ] ドロップダウンメニューから適切な値を
選択して、 OVSI がリソースをポーリングする頻度を指定し
ます。
• [ 日 ] : 各ポーリングイベント間の日数。
• [ 時間 ] : 各ポーリングイベント間の時間数。
• [ 分 ] : 各ポーリングイベント間の分数。
最終変更の
ログ番号
「1」は変更ログを更新することを示します。「0」は変更ロ
グが編集できることを示します。
最終変更時刻
変更ログにタイムスタンプの変更を記録します。
8
サービス工房
表示されたフィールドのリストを確認して、 [ 追加 ] 機能に必要な変更を行い
ます。
フィールド
アクション
レポートポリシー
追加トランザクションのレポート方法を決定し、必要に応
じてレポートポリシーを変更します。
監査有効
レコードの追加時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
OVSI がレコードの追加を試行するときのリソースの動作を
決定し、必要に応じてドロップダウンメニューから新しい
ポリシーを選択します。
ユーザーの
アクション
レコードの追加を承認するためのユーザーによる操作を決
定し、必要に応じてドロップダウンメニューから新しいポ
リシーを選択します。
調整のワーク
フロー
必要に応じて、レコードの追加をサポートする新しいワー
クフローテンプレートを選択します。
89
9
表示されたフィールドのリストを確認して、 [ 変更 ] 機能に必要な変更を行い
ます。
フィールド
アクション
レポートポリシー
変更トランザクションのレポート方法を決定し、必要に応
じてレポートポリシーを変更します。
監査有効
レコードの変更時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
OVSI がレコードの変更を試行するときのリソースの動作を
決定し、必要に応じてドロップダウンメニューから新しい
ポリシーを選択します。
ユーザーの
アクション
レコードの変更を承認するためのユーザーによる操作を決
定し、必要に応じてドロップダウンメニューから新しいポ
リシーを選択します。
調整のワーク
フロー
必要に応じて、レコードの変更をサポートする新しいワー
クフローテンプレートを選択します。
10 表示されたフィールドのリストを確認して、 [ 削除 ] 機能に必要な変更を行い
ます。
90
フィールド
アクション
レポートポリシー
削除済みレコードのレポート方法を決定し、必要に応じて
レポートポリシーを変更します。
監査有効
レコードの削除時に調整プロセスを監査して記録する場合
は、 [ はい ] を選択します。
リソースの
アクション
OVSI がレコードの削除を試行するときのリソースの動作を
決定し、必要に応じてドロップダウンメニューから新しい
ポリシーを選択します。
ユーザーの
アクション
レコードの削除を承認するためのユーザーによる操作を決
定し、必要に応じてドロップダウンメニューから新しいポ
リシーを選択します。
調整のワーク
フロー
必要に応じて、レコードの削除をサポートする新しいワー
クフローテンプレートを選択します。
第4章
11 [ 適用 ] をクリックします。
作業が保存されます。
12 [OK] をクリックします。
[ リソースリスト ] ページに戻ります。
リソース属性のマッピングの変更
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 34
サービス工房
[ リソースリスト ]
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
ページの左側のパネルにある [ リソース属性のマッピング ] リンクをクリック
します。
[ リソース名 : リソース属性のマッピング ] ページが開きます。
91
図 35
5
[ リソース名 : リソース属性のマッピング ]
表示された各属性フィールドを確認して、必要に応じて属性マッピングを変
更します。
属性フィールドは、リソースの設定時に定義されたフィールドによっ
て決まります。
6
[ 適用 ] をクリックします。
作業が保存されます。
7
[OK] をクリックします。
[ リソースリスト ] ページに戻ります。
「現時点でリソースを配布できません」というエラーによりリソースが配布でき
ない場合は、以下の項目を確認してください。
• 正しいバージョンの Java Cryptography Extension セキュリティファイル
(local_policy.jar, us_export_policy.jar) が WebLogic サーバーにイ
ンストールされている。詳細については、『HP OpenView Select Identity イ
ンストールガイド』を参照してください。
• 正しくない、または不完全なバージョンの WebLogic がインストールされて
いる。
92
第4章
リソースの使用権のキャッシングポリシーの変更
リソースの使用権のキャッシングポリシーを確認し、変更するには、以下の手順
に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 36
サービス工房
[ リソースリスト ]
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
左側のパネルの [ キャッシングポリシー ] をクリックします。
[ リソース名 : キャッシングポリシー ] ページが開きます。
93
図 37
5
[ リソース名 : キャッシングポリシー ]
[ キャッシング有効 ] を選択します。
キャッシングのフィールドが表示されます。
6
[ ポーリング有効 ] を選択して [ ポーリング間隔 ] フィールドを確認し、必要
な変更を行います。
7
手動で更新を開始する必要がある場合は、 [ キャッシュをいま更新 ] を選択し
ます。
リソースレベルで使用権が確認され、属性の変更内容がすべて適用されま
す。
8
[ 適用 ] をクリックします。
作業が保存されます。
9
[OK] をクリックします。
[ リソースリスト ] ページに戻ります。
キャッシングを行わない使用権の変更内容の捕捉
スケジュール済みの同期イベントの間に、使用権の変更内容を取得したいこと
があります。リソースレベルで使用権を確認し、属性の変更内容をすべて取り
込む必要がある場合は、リソースの使用権の更新を開始します。
94
第4章
リアルタイムでキャッシュを更新し、リソースの変更内容を取得するには、以下
の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 38
サービス工房
[ リソースリスト ] ページ
2
変更するリソースを選択します。
3
[ 変更 ] ボタンをクリックします。
[ リソース名 : 基本情報 ] ページが開きます。
4
左側のパネルの [ キャッシングポリシー ] をクリックします。
[ リソース名 : キャッシングポリシー ] ページが開きます。
95
図 39
[ リソース名 : キャッシングポリシー ]
5
リソースレベルで使用権が確認され、属性の変更内容がすべて適用されま
す。
6
[ 適用 ] をクリックします。
作業が保存されます。
7
[OK] をクリックします。
[ リソースリスト ] ページに戻ります。
リソースのコピー
非常に類似している複数のリソースを追加する必要がある場合、既存のリソー
スをコピーして、異なるフィールドを変更することにより、時間を短縮できま
す。接続と設定の情報もすべて、コピーされることに注意してください。
システムリソースをコピーするには、以下の手順に従います。
1
96
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
第4章
図 40
[ リソースリスト ]
2
コピーしたいリソースを選択して [ コピー ] ボタンをクリックします。
[ リソースのコピー : リソース名 ] ページが開きます。
3
表示された入力項目を確認して、必要に応じて更新に使用できる情報を変更
します。
フィールド
アクション
リソース名
新しいリソースの省略しない名前を入力します。
リソースの説明
リソースの簡単な説明を入力します。
信頼できる
このリソースの変更内容により OVSI を更新する場合は、
[ はい ] ラジオボタンを選択します。
サービス工房
97
フィールド
アクション
OVSI パスワード
承認
ユーザーが単一のサインオンパスワードで自分のアカウン
トを管理できることを指定します。
ユーザーの削除
関連するサービスからユーザーが削除されたときに、この
リソースからもそのユーザーを削除する場合は、 [ はい ] ラ
ジオボタンを選択します。
リソースの所有者
このリソースの停止時間など、このリソースに関する質問
に対応する担当者が割り当てられている場合は、リソース
の所有者の名前を選択します。
調整ポーリングを有効にしている場合は、リソースの所有者を指定す
る必要があります。調整ポーリングが有効かどうかを調べるには、
[ 調整ポリシー ] ページを確認します。
4
98
[ 次へ ] ボタンをクリックします。
[ リソース名 : リソースアクセス情報 ] ページが開きます。
第4章
図 41
5
[ リソース名 : リソースアクセス情報 ]
表示されたパラメータのリストを確認して、必要な変更を行います。
リソースのアクセスパラメータは、リソースの種類と選択したコネク
タによって異なります。
6
[ 完了 ] ボタンをクリックします。
確認用ダイアログボックスが表示されます。
7
[OK] をクリックします。
[ リソースのコピー : 属性マッピング ] ページが開きます。
8
必要に応じて属性マッピングを変更します。
9
[ 適用 ] をクリックします。
作業が保存されます。
10 [OK] をクリックします。
[ リソースリスト ] ページに戻ります。
サービス工房
99
リソースの削除
サービスが OVSI にアクセスする必要がなくなった場合は、 OVSI からシステム
リソースを削除します。リソースにユーザーが割り当てられた状態にしておく
ことができます。リソースを削除したら、影響を受けるユーザーを別のアカウ
ントから更新する必要があります。
サービスに関連付けられた状態のリソースを削除することはできません。
リソースの削除
リソースを削除するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ リソース ] を選択しま
す。
[ リソースリスト ] ページが開きます。
図 42
[ リソースリスト ]
2
削除するリソースを選択します。
3
[ 削除 ] ボタンをクリックします。
確認用ダイアログボックスが表示されます。
100
第4章
4
[OK] をクリックします。
リソースが削除されます。
属性の管理
OVSI では、リソースと呼ばれる複数のアプリケーションについて、ユーザーの
アイデンティティの管理方法と保存方法を定義できます。各ユーザーのプロファ
イルには、ユーザー名、名前、姓、電子メールアドレスなど、任意の数のフィー
ルド属性を入れることができます。追加するリソースには、オペレーティングシ
ステムやアプリケーショングループのアイデンティティ管理情報に基づく独自の
リソースフィールド属性があります。
各リソースには、 OVSI とプロビジョニングを行うリソースとの間のインタ
フェースとして動作する指定コネクタがあります。マッピングファイルが、リ
ソース固有の属性を持つ各コネクタと関連付けられます。このファイルはコネク
タをリソースにマッピングし、アイデンティティ情報のそのリソースでの保存場
所と保存方法を定義します。リソースの配布手順で、リソース属性のマッピング
にコネクタが使用するファイルを表示できます。
OVSI の [ 属性 ] ページでは、 OVSI のフィールドをコネクタのマッピングファ
イルに定義されたフィールドにマッピングできます。フィールド属性のマッピン
グプロセスでは、リソースのアカウントのプロビジョニングを制御するサービス
にアクセスできます。 OVSI は、属性の大規模な配布と小規模な配布の両方をサ
ポートしています。
たとえば、「財務」というサービスを定義する場合を考えます。財務サービスに
割り当てられたユーザーは、 Oracle Financials と Hyperion Reports にアクセ
スできます。各アプリケーションは、 OVSI では個別のリソースとして定義され
ます。各アプリケーション内で、これらのリソースはそれぞれ、ユーザーのアイ
デンティティを管理する独自のシステム管理機能を有します。
Oracle Financials では、ユーザーの名前は [ 最初 ] と呼ばれるフィールドに定
義します。また、 Hyperion Reports では [Name First] のフィールドに定義しま
すが、 OVSI では、 [ 名前 ] のフィールドを定義する属性を作成します。 OVSI で
は、 [ 名前 ] フィールドを各リソースにマッピングできるので、 OVSI のフィー
ルドを変更すると、調整プロセスで対応するコネクタマッピングファイルを使用
して、 Oracle Financials の [ 最初 ] フィールドと Hyperion Reports の [ 名前 ]
フィールドが更新されます。
以下に、マッピングファイルの例を示します。
サービス工房
101
- <memberAttributes>
- <!-For iPlanet
-->
<attributeDefinitionReference name="UserName" required="true"
concero:tafield="[UserName]" concero:resfield="uid"
concero:isKey="true" concero:init="true" />
<attributeDefinitionReference name="Password" required="false"
concero:tafield="[Password]" concero:resfield="userpassword"
concero:init="true" />
[ 属性 ] ページを使用して、 OVSI に固有の属性を作成します。これらの属性の
中には、外部リソースにマッピングされないものもあります。これらの属性は、
OVSI や業務に固有のものにすることができます。リソースにマッピングされな
い属性は、 OVSI でのみ有効で、リソースのアカウントとの関連付けに使用する
ことはできません。
サービスを使用して新規ユーザーを追加するときには、以下の属性を定義する
必要があります ( 詳細については、 144 ページの「サービスの概要」を参照して
ください )。
•
[ ユーザー名 ]
•
[ 名前 ]
•
[姓]
•
[ 電子メール ]
•
[ パスワード ]
それ以外のすべての操作について、 [ ユーザー名 ] は必須です。
OVSI がパスワードを管理する場合は、パスワードの属性が必須で
す。ただし、ユーザーパスワードの管理にサードパーティのシングル
サインオンソリューションを使用する場合は、パスワードは必須では
ありません。
以下の図に、各コネクタのマッピングファイルを使用して、属性「ユーザー名」
を複数のリソースにマッピングする方法を示します。
図 43
102
属性のマッピングの例
第4章
これら 3 つのリソースに依存するサービスを提供する場合は、サービスに登録
するユーザーをそれに合わせてマッピングできます。これにより、業務につい
て、関連するユーザーのプロファイル属性の標準セットを作成し、次に、リソー
スでの属性の定義方法には無関係に、システムリソースアプリケーションにプロ
ファイル属性をマッピングすることができます。
各コネクタは独自の属性を定義します。 OVSI の属性は、コネクタの属性にマッ
ピングされます。コネクタは、コネクタ属性をリソース属性にマッピングする業
務ロジックを実装できます。 OVSI とリソースとの間で自動的にマッピングされ
る属性は、主要属性 ( リソースに必須の属性 ) と使用権属性です。
可能な場合には、サービス属性値の設定時に制約を使用することをお勧めしま
す。制約を使用することで、 OVSI のパフォーマンスを改善できます。詳細につ
いては、 158 ページの「サービスの属性値とプロパティの設定」を参照してく
ださい。
属性を定義するときに、以下のような目的で外部コールを割り当てます。
•
サービス工房
値。属性の許容値が定義されます。
103
•
生成。属性の値が生成されます。
•
制約。属性値が特定のフォーマットまたは要件に制限されます。値を指定す
ることも、動的値を提供するプログラムを選択することもできます。
•
妥当性検査。属性の値の妥当性を検査するために外部プログラムが呼び出さ
れます。
これらの機能は外部コールにより配布され、属性値を作成すると使用可能にな
ります。属性に対する外部コールを作成する方法の詳細については、『HP
OpenView Select Identity External Call Guide』を参照してください。
ユーザー検索を容易化するための属性の使用
ユーザーアカウントは数多くの属性で構成できます。一般的に、ユーザーは特
定のキー属性 ( 電子メールアドレス、 SSN、従業員 ID) に基づいて検索されま
す。特定のユーザープロファイル属性を TruAccess.properties ファイルに追加
して、検索機能を効率化することができます。これらの属性が設定されている
場合、これらの値を反映する列を追加して、 TAUser データベーステーブルを拡
張する必要があります。追加する属性をこれらの列にマッピングしてください。
検索可能な属性を指定するには、次の手順に従います。
1
SSN、従業員 ID、電子メールなどのキー属性を指定します。これらの属性
が OVSI 内、およびデータが保存されている各システムリソースで使用され
るマッピングファイル内に定義されていることを確認します。
2
対応する列をデータベース内の TAUser テーブルに追加します。
3
エントリを TruAccess.properties ファイルに追加します。
データベーステーブルと TruAccess.properties ファイルの編集方法の詳細に
ついては、『HP OpenView Select Identity インストールガイド』を参照してく
ださい。
104
第4章
新しい属性の追加とマッピング
アイデンティティ情報を管理するための属性を必要な数だけ追加します。その
後、属性は、アカウントの追加と更新を行うときの調整プロセスの一部として、
リソース属性にマッピングされます。
数多くの属性を持つ新しいリソースを追加する場合は、 74 ページの「リソース
属性のマッピング」を参照して、すべてのリソース属性を対応する OVSI の属
性フィールドに一度にマッピングします。以下の手順は、すでに存在する複数
のリソースに対してマッピングする新しい属性を OVSI に作成する場合に適し
ています。
属性を新規作成するには、以下の作業を行います。
•
属性リストの表示
•
新しい属性の追加
•
新規属性にマッピングするリソースの選択
•
OVSI の新規属性への制約と外部コールの追加
•
既存の属性の表示
•
属性の変更
•
リソース属性のマッピングの変更
•
属性の制約 / 外部コールの変更
•
属性の削除
属性リストの表示
属性を追加するには、以下の手順に従います。
1
サービス工房
メニューバーのオプションから、 [ サービス工房 ] → [ 属性 ] を選択します。
[ 属性リスト ] ページが開きます。
105
図 44
2
属性リスト
表示された属性リストを確認して、表示する属性を選択します。
新しい属性の追加
属性を追加するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 属性 ] を選択します。
[ 属性リスト ] ページが開きます。
106
第4章
図 45
サービス工房
属性リスト
2
表示された属性リストを確認して、作成しようとする属性がまだ存在してい
ないことを確認します。
3
[ 新規属性の追加 ] ボタンをクリックします。
[ 新規属性の追加 ] : [ プロパティ ] ページが開きます。
107
図 46
4
108
[ 新規属性の追加 ] : [ プロパティ ]
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
属性名
新規属性の名前を入力します。
Identity オブジェ
クトタイプ
正しい属性のオブジェクトタイプを選択します。
属性がユーザーのプロファイル情報を定義する場合は、
[ ユーザー ] を選択します。
属性タイプ
属性タイプを選択して、この属性に必要なセキュリティレ
ベルを定義します。
プリミティブ
タイプ
文字列、数値、日付など、この属性に割り当てる値のタイ
プを選択します。
第4章
フィールド
アクション
ストレージタイプ
適切なオプションを選択して、属性の暗号化の要件を指定
します。
このオプションは、属性を [ 一方向 ] の暗号化で保存して取
得不可にするか、 [ 双方向 ] で取得可能な値として暗号化す
るかを指定します。これらのオプションは、パスワードや
納税者番号などの高い機密がリクエストされるデータに有
効です。
説明
必要に応じて、属性の簡単な説明を入力します。
デフォルトの
ヘルプテキスト
テキストボックスに、このフィールドに必要な情報をユー
ザーに説明するヘルプテキストを入力します。
複数の値
属性が正しい値を複数取ることができる場合は、 [ はい ] を
選択します。
最小長
属性値の最小長を入力します。
最大長
属性値の最大長を入力します。
値のパターン
正規表現の Jakarta スタイルを入力して、値のパターンを
定義します。例を示します。
^([a-zA-Z]+)([a-zA-Z0-9_'\\.|\\-])*@((([a-zA-Z]+
)\.))*([a-zA-Z]{2,4})$
自己サービス権限
[ あなたの ID 情報 ] 自己サービスアプリケーションでのこ
の属性の更新を End User に許可するかどうかを、ドロップ
ダウンメニューから適切なオプションを選択して指定しま
す。
[ 非表示 ] — ユーザーが自己サービスでプロファイルの表示
や変更を行うときに、属性を表示しません。
[ マスク済みの読み取り専用 ] — プロファイルの表示や変更
を行うときに、属性の実際の値は表示されず、アスタリス
クでマスクされます。
[ 読み取り専用 ] — ユーザーが自分のプロファイルを変更す
るときに、属性値は変更できず、表示のみが可能です。
[ 更新可能 ] — ユーザーが自分のプロファイルを変更すると
きに、属性値を変更できます。
サービス工房
109
フィールド
アクション
デフォルトの表示
名
ユーザーがサービスに登録するときに、ユーザーに対して
表示する名前を入力します。
デフォルトの表示
マスク
このフィールドに入力した値の一部または全部をアスタリ
スクでマスクする場合は、 [ デフォルトの表示マスク ]
フィールドにアスタリスクの数を入力します。このオプ
ションを使用して、パスワードの入力値など、機密性の高
い入力値をマスクします。
デフォルトの表示
の長さ
属性値について表示する文字数を入力します。
プロファイルの属
性
これがプロファイルの属性である場合は [ はい ] ラジオボタ
ン、プロファイルの属性でない場合は [ いいえ ] ラジオボタ
ンを選択します。
リソースのアク
ション
リソースからこの属性を更新する方法を選択します。
5
110
[ 次へ ] ボタンをクリックします。
[ 新規属性の追加 : リソースの選択 ] ページが開きます。
第4章
図 47
[ 新規属性の追加 : リソースの選択 ] ページ
新規属性にマッピングするリソースの選択
OVSI の新規属性を複数のリソースにマッピングする必要がある場合は、この
マッピング機能を使用して時間を短縮できます。
複数の属性を持つ新しいリソースを OVSI の対応する属性にマッピングするに
は、 74 ページの「リソース属性のマッピング」の手順に従います。
新規属性をマッピングするには、以下の手順に従います。
サービス工房
1
表示されたリソースリストを確認して、 OVSI の新規属性にマッピングする
各リソースを選択します。
2
[ 選択 ] ボタンをクリックします。
[ リソースの選択 ] パネルに、選択したリストが表示されます。
111
3
[ 次へ ] ボタンをクリックします。
[ 新規属性の追加 ] : [ 属性のマッピング ] ページが開きます。
図 48
[ 新規属性の追加 ] : [ 属性のマッピング ]
4
マッピングする最初の属性を選択します。
5
[ リソース属性 ] 列のドロップダウンメニューをクリックして、 OVSI の属性
に対応させる属性を選択します。
112
6
リソースがすべてマッピングされるまで、手順を繰り返します。
7
[ 次へ ] ボタンをクリックします。
[ 新規属性の追加 ] : [ 制約 / 外部コール ] ページが開きます。
第4章
図 49
[ 新規属性の追加 ] : [ 制約 / 外部コール ]
OVSI の新規属性への制約と外部コールの追加
調整中に使用する、 OVSI の新規属性に対する制約を追加することができます。
制約の使用は任意ですが、多くの場合調整プロセスを高速化します。調整の詳細
については、 387 ページの「アカウント調整」を参照してください。
サービス工房
113
制約や外部コールを追加するには、以下の手順に従います。
1
制約を追加するかどうかを決定します。
状況
操作方法
制約を使用しない場合
[ 値の制約タイプ ] ドロップダウンメニューから
[ なし ] を選択します。
属性に対する特定の制約を追加す
る場合
[ 値の制約タイプ ] フィールドから [ 指定済み ] を
選択します。これにより、この属性について
ユーザーが選択できる値を指定できます。
[ 制約の表示名 ] フィールドに制約名を入力しま
す。
[ 制約値 ] フィールドに制約値を入力します。
[ 追加 ] ボタンをクリックします。
属性に対する動的制約を追加する
場合
2
[ 値の制約タイプ ] ドロップダウンメニューから
[ 動的 ] を選択します。
属性に値の制約機能を追加するかどうかを決定します。
状況
操作方法
値の制約機能を使用しない場合
[ 値の制約機能 ] ドロップダウンメニューから
[ なし ] を選択します。
値の制約機能にリソースを使用す
る場合
[ 値の制約機能 ] ドロップダウンメニューの [ コ
ネクタの検索 ] をクリックします。
[ リソース名 ] フィールドに、使用するリソース
の名前を入力します。
データベーステーブルから値の制
約機能を検索する場合
[ 値の制約機能 ] ドロップダウンメニューの
[ テーブルの検索 ] を選択します。
[ プール名 ] フィールドに、使用するリソース
の名前を入力します。
[ クエリ ] フィールドにクエリを入力します。
[ 値 ] フィールドに予測値を入力します。
114
第4章
3
属性の値を生成する関数を呼び出すかどうかを決定します。
状況
操作方法
属性の値を生成する関数を呼び出さな
い場合
[ 値の生成関数 ] ドロップダウンメニューか
ら [ なし ] を選択します。
ユーザー ID の値を生成する場合
[ 属性名 ] フィールドをクリックして、属性
名を入力します。
Tab キーを押して [ 長さ ] フィールドに
カーソルを移動し、生成する文字数を入力
します。
Tab キーを押して [ 最大試行回数 ] フィール
ドにカーソルを移動し、この値を超えたと
きにプロセスが失敗したと見なす、値の生
成を試行する回数を示す数値を入力しま
す。
ID 値を生成する場合
[ 接頭辞 ] フィールドをクリックして、コネ
クタに必要な接頭辞を入力します。
Tab キーを押して [ 接尾辞 ] フィールドに
カーソルを移動し、コネクタに必要な接尾
辞を入力します。
パスワードの値を生成する場合
[ 最大長 ] フィールドに、パスワードとして
入力し作成できる最大文字数を入力しま
す。
[ 最小長 ] フィールドに、パスワードを作成
するために必要な文字数を入力します。
サービス工房
115
4
新規属性で値の妥当性検査機能を使用するかどうかを決定します。
状況
操作方法
妥当性検査を使用しない場合
[ 値の妥当性検査関数 ] ドロップダウンメニュー
から [ なし ] を選択します。
コネクタの妥当性を検査する場合
[ 値の妥当性検査関数 ] ドロップダウンメニュー
の [ コネクタの妥当性検査 ] をクリックします。
[ リソース名 ] フィールドを選択して、リソース
名を入力します。
妥当性検査と共に有効期限を使用
する場合
[ 値の妥当性検査関数 ] ドロップダウンメニュー
から [ マネージャの期限切れ ] を選択します。
パスワードの妥当性を検査する関
数を使用する場合
[ 値の妥当性検査関数 ] ドロップダウンメニュー
から [ パスワードの妥当性検査 ] を選択します。
[ 文字数 ] フィールドに、パスワードを作成す
るために必要な英字の文字数を入力します。
Tab キーを押して [ 数値 ] フィールドに、パス
ワードを作成するために必要な数字の文字数
を入力します。
Tab キーを押して [ 大文字の数 ] フィールドに
カーソルを移動し、パスワードを作成するた
めに必要な大文字の個数を入力します。
任意の英数字を使用する場合
5
[ 値の妥当性検査関数 ] ドロップダウンメニュー
から [iAlphaNumeric] を選択します。
[ 完了 ] ボタンをクリックします。
[ 属性リスト ] ページに戻ります。
既存の属性の表示
属性を追加するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 属性 ] を選択します。
[ 属性リスト ] ページが開きます。
116
第4章
図 50
2
表示された属性リストを確認して、表示する属性を選択します。
3
[ ビュー ] ボタンをクリックします。
[ 属性の表示 ] : [ 属性名 ] ページが開きます。
図 51
4
サービス工房
属性リスト
[ 属性の表示 ] : [ 属性名 ]
表示されたフィールドを確認します。
117
5
左側のパネルの [ マッピング ] リンクをクリックします。
[ 属性リソースのマッピング ] ページが開きます。
図 52
118
リソース属性のマッピング
6
表示されたフィールドを確認します。
7
左側のパネルの [ 制約 / 外部コール ] リンクをクリックします。
[ 属性の制約 / 外部コールの表示 ] : [ 属性名 ] ページが開きます。
第4章
図 53
[ 属性の制約 / 外部コールの表示 ] : [ 属性名 ]
8
[ キャンセル ] をクリックします。
[ 属性リスト ] に戻ります。
9
[ 適用 ] をクリックします。
作業が保存されます。
OVSI でパスワードの属性を設定することにより、パスワードのパラメータを指
定します。 OVSI は、パスワードというデフォルトのパスワード属性を使用しま
す。この属性は OVSI システムの認証に使用されるので、削除することはでき
ません。この属性を使用して、任意の数のリソースと同一パスワードを同期化
します。
属性の変更
属性を変更するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 属性 ] を選択します。
[ 属性リスト ] ページが開きます。
サービス工房
119
図 54
120
属性リスト
2
表示された属性リストを確認して、変更する属性を選択します。
3
[ 変更 ] ボタンをクリックします。
[ 属性の変更 ] : [ 属性名 ] ページが開きます。
第4章
図 55
4
サービス工房
[ 属性の変更 ] : [ 属性名 ]
Tab キーを押してフィールド間を移動し、必要な入力値を更新します。
フィールド
アクション
説明
必要に応じて、属性の簡単な説明を入力します。
デフォルトの
ヘルプテキスト
このフィールドに必要な情報をユーザーに説明するヘルプ
テキストを、 [ デフォルトのヘルプテキスト ] テキストボッ
クスに入力します。
複数の値
属性が正しい値を複数取ることができる場合は、 [ はい ] を
選択します。
最小長
属性値の最小長を入力します。
最大長
属性値の最大長を入力します。
値のパターン
正規表現の Jakarta スタイルを入力して、値のパターンを
定義します。例を示します。
^([a-zA-Z]+)([a-zA-Z0-9_'\\.|\\-])*@((([a-zA-Z]+
)\.))*([a-zA-Z]{2,4})$
121
フィールド
アクション
自己サービス権限
[ あなたの ID 情報 ] 自己サービスアプリケーションでのこ
の属性の更新を End User に許可するかどうかを、ドロップ
ダウンメニューから適切なオプションを選択して指定しま
す。
デフォルトの表示
名
ユーザーがサービスに登録するときに、ユーザーに対して
表示する名前を入力します。
デフォルトの表示
マスク
このフィールドに入力した値の一部または全部をアスタリ
スクでマスクする場合は、 [ デフォルトの表示マスク ]
フィールドにアスタリスクの数を入力します。このオプ
ションを使用して、パスワードの入力値など、機密性の高
い入力値をマスクします。
属性を変更して [ デフォルトの表示マスク ] を設定する場合
は、マスクが新規サービスで動作するように、以下のそれ
ぞれの事例について指示に従う必要があります。
•
既存の属性と新規サービスの場合
属性を変更して [ デフォルトの表示マスク ] を設定し、
この属性を新規サービスに追加します。
•
既存の属性と既存のサービスの場合
デフォルトの表示
の長さ
属性値について表示する文字数を入力します。
プロファイルの
属性
これがプロファイルの属性である場合は [ はい ] ラジオボタ
ン、プロファイルの属性でない場合は [ いいえ ] ラジオボタ
ンを選択します。
リソースの
アクション
リソースからこの属性を更新する方法を選択します。
リソース属性のマッピングの変更
リソース属性のマッピングを変更するには、以下の手順に従います。
1
122
左側のパネルの [ マッピング ] リンクをクリックします。
[ 属性リソースのマッピングの変更 ] : [ 属性名 ] ページが開きます。
第4章
図 56
2
[ 属性リソースのマッピングの変更 ] : [ 属性名 ]
この属性に以前マッピングされたリソースのリストを確認して、以降の操作
を決定します。
状況
操作方法
新規リソースをリストに追加する
場合
[ リソースの追加 ] をクリックして、 111 ページ
の「新規属性にマッピングするリソースの選
択」の手順に従います。
リストからリソースを削除する場
合
この属性へのマッピングが不要になったリ
ソースを選択して、 [ 削除 ] をクリックします。
現在のマッピングを変更する場合
変更するリソースを選択し、次に [ リソース属
性 ] ドロップダウンメニューから正しい属性を
選択します。
3
[ 適用 ] をクリックします。
作業が保存されます。
4
サービス工房
[OK] をクリックします。
[ 属性リスト ] ページに戻ります。
123
属性の制約 / 外部コールの変更
1
左側のパネルの [ 制約 / 外部コール ] をクリックします。
[ 属性の制約 / 外部コールの変更 ] ページが開きます。
図 57
2
属性の制約 / 外部コールの変更
この属性にすでに設定されている、制約と外部コールを確認します。
状況
属性の値を生成する関数を呼び出
さない場合
124
操作方法
[ 値の制約タイプ ] ドロップダウンメニューから
[ なし ] を選択して、呼び出しの情報を削除し
ます。
既存の制約を削除する場合
[ 値の制約タイプ ] ドロップダウンメニューから
[ なし ] を選択して、制約の情報を削除します。
外部コールを追加する場合
113 ページの「OVSI の新規属性への制約と外
部コールの追加」に記載されている手順に従
います。
新規制約を追加する場合
113 ページの「OVSI の新規属性への制約と外
部コールの追加」に記載されている手順に従
います。
第4章
3
[ 適用 ] をクリックします。
作業が保存されます。
4
[OK] をクリックします。
[ 属性リスト ] ページに戻ります。
属性の削除
属性を削除する前に、サービスまたはサービスロールの従属関係を削除します。
属性を削除するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 属性リスト ] を選択しま
す。
[ 属性リスト ] ページが開きます。
図 58
属性リスト
2
表示された属性リストを確認して、削除する属性を選択します。
3
[ 削除 ] ボタンをクリックします。
確認用ダイアログボックスが表示されます。
サービス工房
125
4
[OK] をクリックします。
属性が削除されます。
OVSI から属性を削除しても、属性が相互にマッピングされるかどう
かには関係なく、他のリソースの対応する属性には影響しません。
通知テンプレートの管理
クライアントの [ 通知 ] セクションでは、アカウントの作成や削除、またはアカ
ウントの属性が変更されたときにユーザーに送信される電子メール通知の内容
を定義できます。これらのテンプレートを作成することにより、アカウントに
関するイベントの発生時に OVSI システムが送信するメッセージを定義します。
この項で取り上げる内容は以下のとおりです。
•
通知の変数
•
通知テンプレートの作成と変更
通知の変数
通知テンプレートの作成時には、通知の変数を使用して、重要なユーザーデー
タやリクエストデータの受信者に通知します。変数は、電子メールの送信時に
電子メールテンプレートを使用して実際の値に置換されます。
データベースへの保存時に暗号化する必要がある機密性の高いフィールドは、
<ovsi-encrypt> のタグで囲む必要があります。これは、機密性の高いフィー
ルドを HP OpenView のデータベースに平文テキストで保存しないためです。
たとえば、「新規アカウントのパスワード」の通知には、
<ovsi-encrypt>[RQT:Password]</ovsi-encrypt> を使用します。
126
第4章
電子メールテンプレートの変数
変数のタイプ
説明
変数
リクエスト
リクエストオブジェクトを示す変数です。リク
エストの変数を使用して、電子メールテンプ
レートで「リクエスト」情報を参照させること
ができます。
REQ:
以下に、あらかじめ定義されたリクエストの変
数を示します。
[REQ:ParentRequestId][REQ:ServiceName][
REQ:RequestId]
[REQ:RequestActionName][REQ:RequestActi
onDescription]
リクエストター
ゲット
作成するユーザー ID を示す変数です。リクエ RQT:
ストターゲットの変数を使用して、電子メール
テンプレートでプロビジョニングするターゲッ
トユーザーの情報を参照させることができま
す。リクエストの指定サービスについては、
ユーザーに関連するどの属性にもアクセスでき
ます。
例 : [RQT:UserName]
サービス工房
127
変数のタイプ
説明
変数
ユーザー定義
ユーザー定義変数を使用して、ワークフローに
定義されたユーザー定義変数を電子メールテン
プレートで使用するために参照させることがで
きます。
USERDEF:
以下に、電子メール通知に使用できるあらかじ
め定義済みのユーザー定義変数のリストを示し
ます。
[USERDEF:Status] — サービスのステータス
を示します。
[USERDEF:ResetStatus] — サービス内のリ
ソースのプロビジョニングステータスを示しま
す。
[USERDEF:Action] — ターゲットユーザーに
対するアクションです。
[USERDEF:ServiceName] — ワークフローリ
クエストに関連するサービスです。
[USERDEF:pendingTaskURL] — リクエスト
に承認者が必要な場合、この変数にはリクエス
トの承認に使用する OVSI 内の URL 文字列が
含まれます。
要求者
リクエストを行う管理者を示す変数です。要求 RQSTR:
者の変数を使用して、電子メールテンプレート
でリクエストを送信するユーザーに関する情報
を参照することができます。アクション ( ユー
ザーの変更など ) をリクエストする管理者また
は要求者に関する属性はすべて、電子メールテ
ンプレートからアクセスできます。
例 : [RQSTR:UserName]
128
第4章
変数のタイプ
説明
変数
ワークフロー
ワークフローテンプレートに定義された変数で WF:
す。ワークフローの変数を使用して、ワークフ
ローテンプレートに定義された変数を参照させ
ることができます。存続する変数の変数名は
「$」で始まり、ワークフローのインスタンスが
終了しても OVSI のデータベースに保存されま
す。ワークフローのインスタンスを一度作成す
ると、これらの変数にはいつでもアクセスでき
ます。
OVSI には承認者のコメントの変数が用意され
ていますが、独自の変数も作成できます。
例 : [WF:$ApproverComments]
環境
プロパティファイル内に、環境の変数が定義さ
れます。環境の変数を使用して、 Java Virtual
Machine (JVM) 環境用に定義された変数を参
照させることができます。デフォルトでは、
OVSI により truaccess.properties ファ
イルのプロパティがすべて、 Java Virtual
Machine (JVM) 環境に追加されます。
System.getProperty() を実行する値はす
べて、この変数に使用できます。
ENV:
例 : OVSI のバージョンにアクセスするために、
電子メールテンプレートで以下の変数を使用で
きます。
[ENV:truaccess.version]
通知テンプレートの作成と変更
アカウントの承認、却下、または変更が行われると、通知がユーザーに送信され
ます。アカウントのパスワードやヒントがリセットされた場合にも、電子メール
を送信できます。
この項では、 [ 通知 ] ページ内で実行できるアクションについて詳しく説明しま
す。これらの各機能領域へのアクセスは、アカウントに割り当てられた管理ロー
ルによって決まります。
サービス工房
129
この項で取り上げる内容は以下のとおりです。
•
通知テンプレートの追加
•
通知テンプレートのコピー
•
通知テンプレートの変更
•
通知テンプレートの削除
通知テンプレートの追加
新規の通知テンプレートを追加するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 通知 ] を選択します。
[ 通知テンプレートのリスト ] ページが開きます。
図 59
130
[ 通知テンプレートのリスト ] ページ
2
通知テンプレートのリストを調べて、ニーズを満たすテンプレートがまだ存
在していないことを確認します。
3
[ 新しいテンプレートの追加 ] ボタンをクリックします。
[ 新しいテンプレートの追加 ] : [ 基本情報 ] ページが開きます。
第4章
図 60
4
[ 新しいテンプレートの追加 ] : [ 基本情報 ]
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
テンプレート名
テンプレートの省略しない名前を入力します。
テンプレートの
説明
テンプレートの簡単な説明を入力します。
カテゴリ
ドロップダウンメニューから正しい通知カテゴリを選択し
ます。
ユーザーのアカウントの作成や変更が行われたときにユー
ザーに対して表示する通知テンプレートを定義するには、
デフォルトの項目 [ ユーザー ] をそのまま使用します。
5
サービス工房
[ 次へ ] をクリックします。
[ 新しいテンプレートの追加 ] : [ パラメータ ] ページが開きます。
131
図 61
[ 新しいテンプレートの追加 ] : [ パラメータ ]
[RQSTR:UserName] など、あらかじめ定義された変数を使用する
と、正しい情報がシステムにより入力されます。詳細については、
126 ページの「通知の変数」を参照してください。
6
132
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
送信者名
システム管理者など、電子メールの [ 送信元 ] フィールドに
表示されるユーザーまたは団体の名前を入力します。
送信元のユーザーまたは団体には、有効な電子メールアド
レスが必要です。
送信者の
電子メール
「[email protected]」の形式で、送信者の電子メールアドレス
を入力します。
電子メールの
送信先
適切な変数を使用して、受信者の電子メールアドレスを入
力します。
電子メールの CC
必要に応じて適切な変数を使用して、コピーの受信者の電
子メールアドレスを入力します。
第4章
フィールド
アクション
電子メールの BCC 必要に応じて適切な変数を使用して、オリジナルの受信者
に知られることなくコピーを送信する受信者の電子メール
アドレスを入力します。
件名
必要に応じて変数を使用して、このタイプの電子メールに
含める標準的な件名を入力します。
本文
メッセージの本文を入力します。
送信するメッセージのカテゴリに基づいて、意味のある
メッセージを作成するために必要な変数を含めます。
「新規アカウントのパスワード」通知のパスワードなど、暗号化の必要がある機
密性の高いフィールドについては、フィールドのタグを <ovsi-encrypt> のタ
グで囲みます。たとえば、「新規アカウントのパスワード」通知の電子メールの
本文テキストは次のようになります。
指定したサービスについて、あなたの新規アカウントのパスワードを以下に
示します。
パスワード : <ovsi-encrypt>[RQT:Password]</ovsi-encrypt>
サービス : [REQ:ServiceName]
敬具
7
[ 完了 ] をクリックします。
[ 通知テンプレートのリスト ] ページに戻り、確認メッセージが表示されます。
通知テンプレートの表示
通知テンプレートを表示するには、以下の手順に従います。
1
サービス工房
メニューバーのオプションから、 [ サービス工房 ] → [ 通知 ] を選択します。
[ 通知テンプレートのリスト ] ページが開きます。
133
図 62
2
表示する電子メールテンプレートを選択します。
3
[ ビュー ] をクリックします。
[ 通知テンプレートの表示 ] : [ テンプレート名 ] ページが開きます。
図 63
134
[ 通知テンプレートのリスト ]
[ 通知テンプレートの表示 ] : [ テンプレート名 ]
第4章
4
[ テンプレートの内容 ] をクリックします。
[ 通知テンプレートの表示 ] : [ テンプレート名 ] ページが開きます。
図 64
5
[ 通知テンプレートの表示 ] : [ テンプレート名 ]
[ キャンセル ] をクリックします。
[ 通知テンプレートのリスト ] ページに戻ります。
通知テンプレートのコピー
類似のテンプレートの要件が複数ある場合、テンプレートを 1 つ作成し、 [ 通知
のコピー ] アクションを使用して残りのテンプレートを作成することができま
す。これにより、すべての情報を再び入力する代わりに、最初に作成したテンプ
レートから設定情報をすべてコピーして、異なるフィールドのみを編集できま
す。
通知テンプレートをコピーするには、以下の手順に従います。
1
サービス工房
メニューバーのオプションから、 [ サービス工房 ] → [ 通知 ] を選択します。
[ 電子メールのテンプレート ] ページが開きます。
135
図 65
2
コピーする電子メールテンプレートを選択します。
3
[ コピー ] をクリックします。
[ 通知テンプレートのコピー ] : [ テンプレート名 ] ページが開きます。
図 66
136
[ 通知テンプレートのリスト ]
[ 通知テンプレートのコピー ] : [ テンプレート名 ]
第4章
4
Tab キーを押してフィールド間を移動し、必要な情報を更新します。
フィールド
アクション
テンプレート名
テンプレートの省略しない名前を入力します。
テンプレートの
説明
テンプレートの簡単な説明を入力します。
カテゴリ
ドロップダウンメニューから正しい通知カテゴリを選択し
ます。
ユーザーのアカウントの作成や変更が行われたときにユー
ザーに対して表示する通知テンプレートを定義するには、
デフォルトの項目 [ ユーザー ] をそのまま使用します。
5
[ 次へ ] をクリックします。
[ コピー ] ページが開きます。
[RQSTR:UserName] など、あらかじめ定義された変数を使用する
と、リクエストを送信する管理者名がシステムにより入力されます。
詳細については、 126 ページの「通知の変数」を参照してください。
図 67
サービス工房
[ 通知テンプレートのコピー ] : [ テンプレート名 ]
137
6
Tab キーを押してフィールド間を移動し、必要な情報を更新します。
フィールド
アクション
送信者名
システム管理者など、電子メールの [ 送信者 ] フィールドに
表示されるユーザーまたは団体の名前を入力します。
送信者の
電子メール
「[email protected]」の形式で、送信者の電子メールアドレス
を入力します。
電子メールの
送信先
適切な変数を使用して、受信者の電子メールアドレスを入
力します。
電子メールの CC
必要に応じて適切な変数を使用して、コピーの受信者の電
子メールアドレスを 1 つまたは複数入力します。
電子メールの BCC 必要に応じて適切な変数を使用して、オリジナルの受信者
に知られることなくコピーを送信する受信者の電子メール
アドレスを入力します。
件名
このタイプの電子メールに含める標準的な件名を入力しま
す。
本文
メッセージの本文を入力します。
送信するメッセージのカテゴリに基づいて、意味のある
メッセージを作成するために必要な変数を含めます。
「新規アカウントのパスワード」通知のパスワードなど、暗号化の必要がある機
密性の高いフィールドについては、フィールドのタグを <ovsi-encrypt> のタ
グで囲みます。たとえば、「新規アカウントのパスワード」通知の電子メールの
本文テキストは次のようになります。
指定したサービスについて、あなたの新規アカウントのパスワードを以下に
示します。
パスワード : <ovsi-encrypt>[RQT:Password]</ovsi-encrypt>
サービス : [REQ:ServiceName]
敬具
7
138
[ 完了 ] をクリックします。
[ 通知テンプレートのリスト ] ページに戻り、確認メッセージが表示されます。
第4章
通知テンプレートの変更
テンプレートのいずれかのフィールドを変更すると、その後システムに対して指
定のユーザーや団体に電子メールを送信するアクションを実行すると、ユーザー
や管理者に対して新しいメッセージが表示されます。
テンプレートを変更するには、以下の手順に従います。
1
メニューバーのオプションから、 [ サービス工房 ] → [ 通知 ] を選択します。
[ 通知テンプレートの検索 ] ページが開きます。
図 68
サービス工房
[ 通知テンプレートのリスト ]
2
変更する電子メールテンプレートを選択します。
3
[ 変更 ] をクリックします。
[ 通知テンプレートの変更 ] : [ テンプレート名 ] ページが開きます。
139
図 69
4
[ 通知テンプレートの変更 ] : [ テンプレート名 ]
Tab キーを押してフィールド間を移動し、必要な情報を更新します。
フィールド
アクション
テンプレート名
テンプレートの省略しない名前を入力します。
テンプレートの説
明
テンプレートの簡単な説明を入力します。
カテゴリ
ドロップダウンメニューから正しい通知カテゴリを選択し
ます。
ユーザーのアカウントの作成や変更が行われたときにユー
ザーに対して表示する通知テンプレートを定義するには、
デフォルトの項目 [ ユーザー ] をそのまま使用します。
5
[ 適用 ] をクリックします。
ページ上部に変更内容を確認するメッセージが表示されます。
6
140
[ テンプレートの内容 ] をクリックします。
第4章
図 70
[ 通知テンプレートの変更 ] : [ テンプレート名 ]
[RQSTR:UserName] など、あらかじめ定義された変数を使用する
と、リクエストを送信する管理者名がシステムにより入力されます。
詳細については、 126 ページの「通知の変数」を参照してください。
7
サービス工房
Tab キーを押してフィールド間を移動し、必要な情報を更新します。
フィールド
アクション
送信者名
システム管理者など、電子メールの [ 送信者 ] フィールドに
表示されるユーザーまたは団体の名前を入力します。
送信者の
電子メール
「[email protected]」の形式で、送信者の電子メールアドレス
を入力します。
電子メールの
送信先
適切な変数を使用して、受信者の電子メールアドレスを入
力します。
電子メールの CC
必要に応じて適切な変数を使用して、コピーの受信者の電
子メールアドレスを入力します。
141
フィールド
アクション
電子メールの BCC 必要に応じて適切な変数を使用して、オリジナルの受信者
に知られることなくコピーを送信する受信者の電子メール
アドレスを入力します。
件名
このタイプの電子メールに含める標準的な件名を入力しま
す。
本文
メッセージの本文を入力します。
送信するメッセージのカテゴリに基づいて、意味のある
メッセージを作成するために必要な変数を含めます。
「新規アカウントのパスワード」通知のパスワードなど、暗号化の必要がある機
密性の高いフィールドについては、フィールドのタグを <ovsi-encrypt> のタ
グで囲みます。たとえば、「新規アカウントのパスワード」通知の電子メールの
本文テキストは次のようになります。
指定したサービスについて、あなたの新規アカウントのパスワードを以下に
示します。
パスワード : <ovsi-encrypt>[RQT:Password]</ovsi-encrypt>
サービス : [REQ:ServiceName]
敬具
8
[ 適用 ] ボタンをクリックします。
作業が保存されます。
9
[OK] をクリックします。
[ 通知テンプレートのリスト ] ページに戻り、ページ上部に確認メッセージが表
示されます。
通知テンプレートの削除
通知テンプレートを削除するには、以下の手順に従います。
1
142
メニューバーから、 [ サービス工房 ] → [ 通知 ] を選択します。
[ 通知テンプレートのリスト ] ページが開きます。
第4章
図 71
2
[ 通知テンプレートのリスト ]
[ 削除 ] ボタンをクリックします。
確認用ダイアログボックスが開きます。
3
[OK] をクリックします。
通知が削除されます。
サービスの作成
OVSI はサービス指向のアーキテクチャです。アイデンティティの表示と管理
は、アクセスするサービスのコンテキスト内で行われます。 [ サービス ] ページ
では、顧客やパートナーがアクセスするサービスの作成と管理ができます。サー
ビスの作成時には、ユーザーがシステムにアクセスする方法を決定する要素数、
およびアクセス時の使用権を定義します。
サービスは、リソース、属性、通知、およびワークフローを配置した後にのみ
作成してください。
サービス工房
143
サービスの概要
サービスは、 OVSI にサービスロールを設定することにより、顧客やパートナー
に提供されます。サービスロールの管理は階層構造になっており、異なる企業
や場所でサービスを共有するための安全な方法を作成します。サービスの階層
全体にわたって、サービスロールのセキュリティ要件とユーザーのアクセスを
独立して管理することができます。
以下の例は、サービスロールの階層により定義される単純な構造を示します。
図 72
サービスロールの階層
LKZ コーポレーションはすべてのサービスロールの表示と管理ができます。
サービスロールで定義されたように、企業はサービス階層で下方にあるパート
ナーの表示と管理ができます。この階層は、組織内の実際のサービスロールを
表す管理構造を構成します。また、この構造は、それらのロールのプライバ
シーとセキュリティも保護します。
144
第4章
サービスコンテキストの概要
サービスコンテキストは、アタッチされたサービスロール ( マネージャ、営業、
事務員など ) に基づいてユーザーのグループが受け取る権限を定義します。ユー
ザーは、管理者が選択したフィールド属性と値に基づいて、コンテキストユー
ザーグループに追加されます。たとえば、所在地別にユーザーをグループ化した
いとします。この場合は、サービスに対するコンテキスト属性として所在地属性
を選択し、値「アメリカ合衆国」、「インド」、および「フランス」を定義したコ
ンテキストを作成します。サービスロールはサービスコンテキストにアタッチさ
れます。ユーザーが追加、変更、または特定のコンテキストから削除されると、
サービスロール内にアタッチされたビジネスプロセスが実行されます。
サービスコンテキストは階層構造になっています。 OVSI 内のユーザーは、サー
ビスコンテキストの階層構造を通して管理されます。管理者は特定のノードを管
理し、結果的にノードおよびすべての子ノード内のすべてのユーザーを管理しま
す。
サービス工房
145
図 73
すべてのサービス、ユーザー、管理者の関係
固定と任意の使用権について
OVSI のサービス指向の管理構造では、サービスロールに基づいて、使用権や権
限のセットを提供できます。使用権または権限は、固定 ( 必須 ) と任意のいずれ
にもできます。
サービスロールは、作成されるサービスに属します。任意のサービスロールで
使用できる使用権はすべて、サービスレベルに定義することができます。サー
ビスロールは、サービスに属する 1 つまたは複数の使用権を割り当てることが
できますが、サービスに属さない使用権を持つことはできません。言い換える
と、サービスロールのレベルで使用できる使用権は、親のサービスにより定義
されます。固定、つまり必須のサービス使用権は、サービス内に作成された子
サービスロールに継承されます。すべての子サービスロールはサービス使用権
を継承します。
146
第4章
任意の使用権は、管理者を通して追加の使用権をユーザーに与える方法を提供し
ます。任意の使用権は、サービスロールで定義されます。ルートサービスロール
は、そのレベルに定義がない場合、サービスレベルで定義されたすべての値を継
承します。子サービスロールは、そのレベルに定義がない場合、親サービスロー
ルから継承します。ただし、子が継承できるのは、親サービスロールレベル内で
定義された値すべてか、または値のサブセットに限られます。
たとえば、業務に Employee Service が含まれていて、このサービス内の各
ユーザーが特定のリソースに対する Employee 使用権または権限を必要としてい
るとします。アメリカ合衆国のユーザーは、 Employee US 使用権を必要とし、
Engineer、 Manager、 Sales または Director の中の 1 つまたは複数の使用権
を持つことができます。ヨーロッパのユーザーは、 Employee Europe 使用権を
必要とし、 Sales、 Manager、 Director の中の 1 つまたは複数の使用権を持つ
ことができます。図 74 は、サービス内の使用権の設定と、サービスロールが
サービスコンテキストにどのようにアタッチできるかを示したものです。
図 74
サービス工房
従業員サービスと使用権の例
147
ここでは、 US コンテキストに属するユーザーは、自動的に Employee および
Employee US 特権を持ちます。管理者は、 Engineer、 Manager、 Sales または
Directror の各使用権から選択することができます。 TX (Texas、 US) または CA
(California、 US) に属するユーザーも同様です。
繰り返すと、使用権の権限はすべて、サービスレベルに定義されます。その使
用権のセット内に、固定と任意の使用権があります。サービスロールのサブ
セットをサービスロール内に定義して、異なるユーザーコンテキストへの使用
権を制限することができます。ルートサービスロールには、サービスに存在す
る任意の使用権のサブセットを使用できます。サービスロールは、親と子に分
けられます。子は親が使用できる、固定の使用権すべてと任意の使用権のサブ
セットを受け取ります。子は、指定された親よりも多くの使用権を持つことは
できません。詳細については、 168 ページの「サービスロールの追加」を参照し
てください。
固定および任意の値の概念は、使用権以外の属性にも適用されます。値を固定
することも、値のリストを特定の属性に対して制限することもできます。
サービスの作成
[ サービス ] 機能では、リソースアプリケーションを使用する従業員、顧客、お
よび業務パートナーがアクセスするサービスの追加、変更、および削除ができ
ます。設定したサービスロール構造に加えて、これらのサービスが OVSI シス
テムの管理構造を構成します。
また、 [ サービス ] ページからサービスロールとコンテキストユーザーグループ
も設定できます。サービスは、サービスロールを作成することにより、顧客や
パートナーに提供されます。詳細については、 168 ページの「サービスロールの
定義」を参照してください。
ユーザーの追加にはあるタイプのサービスビューを使用し、ユーザーの変更に
は別のタイプのサービスビューを使用することをお勧めします。
•
ユーザーの追加用のビュー — デフォルトのサービスビューを使用するか、
以下の必須属性を含む、作成したサービスビューを使用します。
[ ユーザー名 ]
[ 名前 ]
[姓]
[ 電子メール ]
[ パスワード ]
148
第4章
•
ユーザーの変更用のビュー — 以下の必須属性を含む、作成したサービス
ビューを使用します。
[ ユーザー名 ]
[ 名前 ]
[姓]
[ 電子メール ]
ユーザーの変更には、パスワード属性は含めないでください。パスワード
は、どのリソースにも送信されません。パスワードはユーザーの追加時にの
み設定し、 [ ユーザー ] ホームページから [ パスワードのリセット ] アクショ
ンを使用するときにのみリセットする必要があります (281 ページの「1 つ
または複数のアカウントのユーザーパスワードのリセット」を参照してくだ
さい )。
サービスの作成の概要
サービスの作成は、アイデンティティ管理ソリューションの配布において最も重
要な部分です。
サービスの作成には、以下の作業が含まれます。
•
サービスの作成。サービスタイプ、リソースのサブセット、およびコンテキ
スト属性を含む、サービスへのアクセスに必要な属性を定義します。
•
属性値とプロパティの定義。このサービスに使用できる属性の特性値を指定
します。
•
サービスフォームの作成。サービスにアクセスするための登録条件を指定し
ます。
•
サービスロールの作成。ユーザーがサービスにアクセスする方法を定義しま
す。
•
サービスコンテキストグループの作成。サービスにアクセスするユーザーの
論理的なグループ化を定義します。
この項で取り上げる内容は以下のとおりです。
サービス工房
•
サービスの構成
•
サービスの属性値とプロパティの設定
•
サービスフォームの操作
149
•
サービスロールの定義
•
イベントの参照について
•
サービスコンテキストの作成
サービスの構成
ユーザーグループのニーズを処理する 1 つまたは複数のサービスを提供するに
は、サービスを使用します。
前提条件
以下に示す前提条件がすべて満たされていることを確認します。
•
各サービスをサポートするために必要なリソースアプリケーションとデータ
ストアがすでに設定済みであり、適切であること。
•
フィールド属性がマッピング済みであること。
•
プロビジョニングをサポートするために必要な通知テンプレートが存在して
いること。
•
サービスの作成と管理に必要なワークフローが作成済みであり、必要な承
認をリクエストしていること。
可能な場合には、サービスの属性値の設定時に制約を使用することをお勧めし
ます。制約を使用することで、 OVSI のパフォーマンスを改善し、サービスへの
属性を制限することができます。詳細については、 106 ページの「新しい属性
の追加」を参照してください。
業務と管理サービスの追加
サービスを追加するには、以下の手順に従います。
1
150
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
第4章
図 75
2
サービス工房
[ サービスリスト ]
[ サービスの追加 ] をクリックします。
[ 新規サービスの追加 ] : [ 基本情報 ] ページが開きます。
151
図 76
3
[ 新規サービスの追加 ] : [ 基本情報 ] ページ
Tab キーを押してフィールド間を移動し、正しい情報を入力します。
フィールド
アクション
サービス名
新規サービスの名前を入力します。
サービスタイプ
ドロップダウンメニューから正しいサービスタイプを選択
します。
[ 業務サービス ] – 顧客とパートナーに提供される標準的な
サービスです。
[ 管理サービス ] – 管理目的でユーザーに管理ロールを割り当
てるサービスです。
[ コンポジットサービス ] – 2 つ以上の類似するサービスを 1 つ
のコンポジットサービスユニットに組み合わせます。
サービスの説明
152
サービスの簡単な説明を入力します。
第4章
フィールド
リソース
アクション
をクリックして、サービスをサポートするリソースを見
つけて追加します。
[ 検索結果 ] ページから、複数のリソースを一度に追加しま
す。
属性
をクリックして、サービスをサポートする属性を見つけ
て追加します。
[ 検索結果 ] ページから、複数の属性を一度に追加します。
コンテキスト属性
サービスのユーザーについて、コンテキスト、または論理
グループ化を定義する属性を選択します。
たとえば、ユーザーを所在地別にグループ化する場合は、
「国」属性を使用します。これによりユーザーは「アメリカ
合衆国」、「インド」、「フランス」などの値別にグループ化
されます。
単一の値から成る属性をコンテキスト属性として定義する
こともできます。
1 次ユーザーキー
[1 次ユーザーキー ] ドロップダウンリストから、属性を選
択します。
この属性は、このサービスのユーザー用にデフォルトの検
索条件を設定します。たとえば、 [ 電子メール ] を選択する
と、電子メールの値に基づいてユーザーアカウントを検索
できます。
選択した 1 次ユーザーキーは、ユーザー ID あるいは電子
メールアドレスなど、一意の検索結果を提供しなければな
りません。一意でない属性を選択すると、一致する結果は
検索されません。たとえば、 LastName という検索結果は
必要ありません。
サービス工房
4
リソースをプロビジョニングする順序を決定し、次にとの矢印を使用
して、プロビジョニングするリソースの順序を変更します。
5
[ 作成 ] をクリックします。
サービスが作成され、 [ サービスの変更 ] : [ サービス名 ] ページが開きます。
153
図 77
[ サービスの変更 ] : [ サービス名 ] ページ
6
ページの左側のパネルの [ 基本情報 ] リンクをクリックします。
7
作成したサービスが正しいことを確認します。
8
158 ページの「サービスの属性値とプロパティの設定」に進みます。
コンポジットサービスの追加
コンポジットサービスを作成すると、 1 つのリクエストから共通の属性を更新で
きるので、管理を単純化できます。コンポジットサービスは 2 つ以上の類似す
るサービスを 1 つのコンポジットサービスユニットに組み合わせます。多くの
コンポジットサービスには、 1 つの管理サービスと、少なくとも 1 つの業務サー
ビスが含まれます。コンポジットサービスを追加するには、以下の手順に従い
ます。
1
154
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
第4章
図 78
2
サービス工房
[ サービスリスト ] ページ
[ サービスの追加 ] をクリックします。
[ 新規サービスの追加 ] : [ 基本情報 ] ページが開きます。
155
図 79
3
[ 新規サービスの追加 ] : [ 基本情報 ] ページ
Tab キーを押してフィールド間を移動し、正しい情報を入力します。
フィールド
アクション
サービス名
新規サービスの名前を入力します。
サービスタイプ
コンポジットサービスを選択します。
サービスの説明
サービスの簡単な説明を入力します。
固定サービス
をクリックして、一緒に更新する必要があるサービスを
見つけて追加します。
オプションの
サービス
156
をクリックして、更新する属性が同じ場合に一緒に更新
できるサービスを見つけて追加します。
属性
複数のサービスが共通に持つ属性を選択します。
コンテキスト属性
ユーザーグループのコンテキストを選択します。
第4章
フィールド
属性
アクション
をクリックして、サービスをサポートする属性を見つけ
て追加します。
[ 検索結果 ] ページから、複数の属性を一度に追加します。
コンテキスト属性
サービスのユーザーについて、コンテキスト、または論理
グループ化を定義する属性を選択します。
たとえば、ユーザーを所在地別にグループ化する場合は、
「国」属性を使用します。これによりユーザーは「アメリカ
合衆国」、「インド」、「フランス」などの値別にグループ化
されます。
1 次ユーザーキー
[1 次ユーザーキー ] ドロップダウンリストから、属性を選
択します。
この属性は、このサービスのユーザー用にデフォルトの検
索条件を設定します。たとえば、 [ 電子メール ] を選択する
と、電子メールの値に基づいてユーザーアカウントを検索
できます。
4
サービス工房
[ 作成 ] をクリックします。
サービスが作成され、 [ サービスの変更 ] : [ サービス名 ] が開きます。
157
図 80
新規作成したサービスの [ サービスの変更 ] : [ サービス名 ] ページ
5
ページの左側のパネルの [ 基本情報 ] リンクをクリックします。
6
作成したコンポジットサービスが正しいことを確認します。
7
158 ページの「サービスの属性値とプロパティの設定」に進みます。
サービスの属性値とプロパティの設定
サービスへの登録時に、ユーザーが選択可能な値を制限します。パフォーマン
スを改善するために、制限を行うことをお勧めします。特に、値が多数ある場
合には有効です。たとえば、「国」の属性があり、特定のサービスについて値の
オプションを「アメリカ合衆国」、「韓国」、および「日本」に制限したい場合が
あります。
この項で取り上げる内容は以下のとおりです。
158
•
サービス属性の概要
•
サービスの属性値の設定
•
サービス属性のプロパティの設定
第4章
サービス属性の概要
サービスが利用できる、またはサービスが必要とする属性と値のセットを定義し
ます。属性は、 [ 属性 ] ページを通じて作成および管理されます。サービスで利
用できる属性の一部は、サービスをサポートするために選択されたリソースに
よって決まります。 OVSI システムや業務に固有の追加属性も、使用できます。
サービスにリソースを追加すると、サービス内に < リソース名 > 使用権と < リ
ソース名 > キー属性が追加されます。
コンテキスト属性とリソース属性に加えて、以下の属性をサービスに追加するこ
とをお勧めします。
[ ユーザー名 ]
[ 名前 ]
[姓]
[ 電子メール ]
[ パスワード ]
サービスの属性値の設定
サービス属性値を設定するには、以下の手順に従います。
サービス工房
1
ページの左側のパネルにある [ 属性値 ] リンクをクリックします。
[ 属性値 ] ページが開きます。
2
[ 定義済み属性 ] フィールドから、マッピングする属性を選択します。
[ 定義済み属性 ] フィールドが表示されます。
3
属性内に属性レベルで定義した制約値が含まれる場合、値を選択するための
検索アイコンが表示されます。表示されない場合、入力ボックスに表示名と
値を入力することができます。
159
図 81
[ 属性値 ]
4
[ 制約の表示名 ] フィールドに属性値の制約名を入力します。
5
Tab キーを押して [ 制約値 ] フィールドにカーソルを移動し、適切な値を入
力します。
6
アイコンをクリックして、右側のテキストリストボックスに制約を入力
します。
7
ステップ 7 からの手順を繰り返して、属性値をすべて入力します。
8
[ 適用 ] をクリックします。
作業が保存されます。
9
手順を繰り返して、サービス属性の制約を記録します。
テキストボックスから項目を選択し、次に
アイコンを選択して制
約を編集フィールドに移動して、制約を編集します。必要な変更を行
い、
160
アイコンをクリックして項目を戻します。
第4章
サービス属性のプロパティの設定
このページでは、ユーザーは属性の追加プロパティをサービスレベルで定義する
ことができます。
このページは複数の属性を 1 つの新規サービスにマッピングするためのもので
あり、 1 つの新規属性を複数のサービスにマッピングするページではないこと
に注意してください。 1 つの属性を複数のサービスに追加するには、 [ 属性の追
加 ] ([ サービス工房 ] → [ 属性 ] → [ 属性の追加 ] ) ページを使用します。
サービスの属性のプロパティを設定するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
図 82
2
サービス工房
[ サービスリスト ]
サービスを選択して、 [ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
161
図 83
3
162
[ サービスの変更 ] : [ サービス名 ] ページ
ページの左側のパネルにある [ 属性のプロパティ ] リンクをクリックします。
[ サービス属性プロパティの変更 : サービス名 ] ページが開きます。
第4章
図 84
4
[ サービス属性プロパティの変更 : サービス名 ]
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
サービス属性名
サービス属性名 ( 読み取り専用フィールド ) を確認します。
処理順
フィールドを処理する順番を示す番号を入力します。
ここで定義する順番により、このサービスに作成する
ビューのデフォルトの順序が決まります。また、属性値の
生成関数が存在する場合の処理順序も決まります。
サービス工房
163
フィールド
アクション
必須
フィールドが必須であることを示すには、チェックボック
スをオンにします。
サービスに必要な属性は、調整機能により OVSI に追加さ
れるユーザーアカウント、およびこのサービスへのその他
の割り当てに、存在している必要があります。アカウント
に必須属性がない場合は、サービスにアクセスできません。
複数の値
フィールドが正しい値を複数取ることが可能であることを
示すには、チェックボックスをオンにします。
このチェックボックスをオフのままにすると、フィールド
が取ることができる値は 1 つのみに制限されます。複数の
値から成る属性を単一の値から成る属性としてチェックす
ることができます。チェックは、単一の値から成る属性に
対しては使用できません。
表示名
5
[ 表示名 ] フィールドで、ユーザーに対して表示する名前を
編集します。
[ 適用 ] をクリックします。
設定が保存されます。
サービスフォームの操作
サービスの作成後に、異なるユーザーグループに有効なフォームを作成します。
たとえば、サービスへの登録時に特定のユーザーセットに対して特定のフィー
ルドのみを表示する場合は、それらのフィールドのみを使用可能にするフォー
ムを定義します。
また、ワークフローの手順でリクエストが処理されるときに承認者に対して表
示する情報も、これらのフォームを使用して定義できます。ワークフロー内の
各承認ブロックには、異なるサービスフォームを関連付けることができます。
ワークフローの承認ブロック用のフォームを設定する方法の詳細については、
168 ページの「サービスロールの追加」を参照してください。
164
第4章
さらに、サービスフォームを使用して複数ページを持つフォームを作成できま
す。複数ページを持つフォームを使用して、委任ユーザーの管理、自己サービ
ス、自己登録、および承認のページで、各アクションについてユーザーに対して
何を表示するかを指定できます。これらのフォームの表示順序は、それに合わせ
て指定する必要があります。
単一ページのサービスフォームの作成
サービスフォームを作成するには、以下の手順に従います。
1
左側のパネルの [ フォームの追加 ] をクリックします。
[ サービスフォームの追加 : サービス名 ] ページが開きます。
図 85
サービス工房
[ サービスフォームの追加 : サービス名 ]
165
2
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
サービスフォーム
名
サービスの省略しない名前を入力します。
自己登録ビュー
このフォームが自己登録中に表示されることを示します。
説明
フォームの簡単な説明を入力します。
名前
フィールド名を確認し、このフィールドをページに表示す
る場合はチェックボックスをオンにします。
順序
このフィールドをサービスに表示する順番を示す番号を入
力します。
たとえば、 [LastName] フィールドの横に 1 を入力すると、
[LastName] が最初に表示されます。
表示名
[ 表示名 ] フィールドで、ユーザーに対して表示する名前を
編集します。
長さ
[ 長さ ] 列で、それぞれの値の最大長を定義するか、変更し
ます。
マスク
値の全部または一部をマスクする場合は、 [ マスク ] 列にマ
スクする文字数を入力します。
必須
フィールドが必須であることを示すには、チェックボック
スをオンにします。
ユーザーは登録中にこのフィールドに対する値を提供しな
ければなりません。
166
表示
登録ページにこのフィールドを表示する場合は、チェック
ボックスをオンにします。
更新
ユーザーによるこのフィールドの値の更新を許可する場合
は、このチェックボックスをオンにします。
再確認
妥当性検査の目的でユーザーに値を確認させる場合は、
チェックボックスをオンにします。
第4章
3
[ 作成 ] をクリックします。
作業内容が保存され、 [ サービスフォームの変更 : サービス名 ] ページに戻りま
す。これで、新規フォームが [ サービスフォーム名 ] メニューに表示されます。
4
この手順を繰り返して、ここのユーザーグループのニーズを満たすフォーム
を必要なだけ作成します。
複数ページのフォームの作成
サービスフォームを作成するには、以下の手順に従います。
1
左側のパネルの [ 複数ページのフォームの追加 ] をクリックします。
[ サービス名 : フォームの追加 ] ページが開きます。
図 86
2
サービス工房
[ サービス名 : フォームの追加 ]
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
サービスフォーム
名
内容を表す名前を入力します。
自己登録ビュー
このフォームが自己登録中に表示されることを示します。
167
3
[ 利用できるフォーム ] テキストボックスに表示される、使用できるフォーム
のリストを確認します。
4
アイコンをクリックして、 [ 現在のフォーム ] テキストボックスに制約を
入力することにより、フォームに追加する各フォームを選択します。
5
との矢印を使用して、ユーザーに対して表示する各フォームの順序を
指定します。
6
[ 作成 ] をクリックします。
サービスロールの定義
サービスロールは、サービスへのアクセスに使用する使用権、ワークフロー、
およびポリシーを関連付けるビジネスプロセスを定義します。サービスコンテ
キストにより、ユーザーグループにサービスロールを割り当てることができま
す。これにより、設定した条件に基づいてサービスへのアクセスが提供されま
す。
サービスロールを定義すると、顧客とパートナーに権限やサービスレベルを細
かく割り当てることができます。
サービスロールの追加
サービスロールは管理の点で階層構造になっており、異なる企業や場所でサー
ビスを共有するための安全な方法を作成します。サービスロールの設定は、
サービスの設定よりも優先されます。
これが、このサービスについて作成する最初のサービスロールの場合は、親の
オプションは表示されません。
各サービスについて作成する最初のサービスロールは、このサービス
について作成されるその他すべてのサービスロールのオプションの
スーパーセット ( 親 ) になります。デフォルトでは、 [ サービス情報 ]
ページには、最初のサービスロールのイベントとテンプレートがすべ
て自動入力されます。使用しないイベントとテンプレートを単純に選
択し、削除します。
サービスロールを作成するには、以下の手順に従います。
1
168
[ サービスロールの追加 ] をクリックします。
[ 新規サービスロールの追加 ] ページが開きます。
第4章
図 87
2
[ サービス名 ] : [ 新規サービスロールの追加 ]
[ サービスロール名 ] フィールドに、作成するサービスロールの一意の名前を
入力します。
状況
操作方法
これが最初、つまり親のサービス
ロールである場合
操作を続行します。
イベントのフィールドが表示されます。
これが追加のサービスロールであ
る場合
Tab キーを押して [ サービスロール ] の親
フィールドにカーソルを移動し、
をクリッ
クして正しい親のサービスロールレコード見
つけて選択します。
イベントのフィールドが表示されます。
[ サービスロール名情報 ] ページに、選択した
親によって決まるオプションが自動入力され
ます。
サービス工房
169
3
Tab キーを押してフィールド間を移動し、残りの情報を入力します。
フィールド
アクション
サービスロール名
作成するサービスロールの一意の名前を入力します。
通知イベント
をクリックして、サービスをサポートする通知イベント
を検索して追加します。
OVSI は、承認イベントタイプのみをサポートします。この
イベントタイプは、承認者通知を送信するための通知テン
プレートを選択するために使用します。
[ 通知イベント ] テキストボックスにリストされたイベントを
通知
クリックして、イベントに関連する通知テンプレートを表
示します。
調整ポリシーの詳細については、 126 ページの「通知の変
数」を参照してください。
リクエスト
イベント
を選択して、サービスロールをサポートするリクエスト
イベントを見つけて追加します。
ワークフロー
テンプレート
[ リクエストイベント ] テキストボックスにリストされたイベ
ントをクリックして、関連するワークフローテンプレート
を表示します。
ワークフローテンプレートの詳細については、 259 ページの
「Workflow Studio」を参照してください。
デフォルトの
フォーム
4
フォームを指定しない場合は、デフォルトのフォームが選
択されます。
Tab キーを押してフィールド間を移動し、必要な情報を入力して、このサー
ビスロールに対して有効にしてユーザーに割り当てる固定属性を選択しま
す。
複数の属性の固定属性値を選択することができます。属性と値の詳細
については、 159 ページの「サービスの属性値の設定」を参照してく
ださい。
170
第4章
フィールド
アクション
固定属性 ( 名前 )
ドロップダウンメニューから属性名を選択します。
固定属性 ( 値 )
値を検索するか、フィールドに値を入力します。
5
をクリックして、属性と値を入力テーブルに移動します。
フィールド
アクション
オプション属性
( 名前 )
ドロップダウンメニューから属性名を選択します。
オプション属性
(値)
値を検索するか、フィールドに値を入力します。
6
をクリックして、属性と値を入力テーブルに移動します。
属性を削除するには、不要な属性をクリックして
アイコンを選択
します。テキストボックスから制約を移動するには、制約をクリック
して、次に
アイコンを選択し、必要に応じて制約を編集します。
変更内容を入力するには、
7
をクリックします。
[ 作成 ] をクリックします。
これで、サービスロールがアクティブになります。ただし、コンテキスト
ユーザーグループを定義するまで、サービスのステータスは [ 保留中 ] のま
まです。
イベントの参照について
以下の表に、サービスロールの作成時にワークフローテンプレートを割り当てる
ことができるリクエストイベントを示します。
サービス工房
171
委任登録のリクエストイベント
•
ユーザーの追加
•
サービスメンバーシップの有効化
•
ユーザーへのサービスの追加
•
ユーザーの変更
•
サービスメンバーシップの削除
•
サービスメンバーシップの表示
•
サービスメンバーシップの無効化
•
[ ユーザーの移動 ] をクリックしま
す。
「サービスメンバーシップの表示」はワークフローを使用しません。
「ユーザーの移動」はサービスロールからのワークフローを使用しません。ワー
クフローを TruAccess.properties ファイルから選択します。
調整のリクエストイベント
•
ユーザーへのサービスの追加
•
ユーザーの変更
•
サービスメンバーシップの削除
•
サービスメンバーシップの削除
一括リクエストイベント
•
ユーザーへのサービスの追加
自己サービスのリクエストイベント
•
ユーザーの追加
•
プロファイルの変更
•
ユーザーへのサービスの追加
•
自己プロファイルの表示
「自己プロファイルの表示」はワークフローを使用しません。
承認者に対するビューのアタッチ
承認ブロックレベルのサービスを表示するには、以下の手順に従います。
1
2
参照するリクエストイベントをクリックします。
[ ワークフローテンプレートのリスト ] から、関連するワークフローを選択しま
す。
3
正しいワークフローを検索するには、
アイコンをクリックします。
[Welcome Services] ダイアログボックスが開きます。
172
第4章
図 88
4
Welcome Services
[ ワークフローテンプレート名 ] フィールドのドロップダウンメニューから、表
示するワークフローを選択します。
フォームに関連付けることができるテンプレートブロックのリストが表示さ
れます。
図 89
サービス工房
Welcome Services
173
5
Tab キーを押してブロック間を移動し、ドロップダウンメニューから適切な
フォームを選択します。フォームを関連付ける必要がないブロックはスキッ
プします。
6
[ 適用 ] をクリックします。
元のページに戻ります。
図 90
[ サービスロールの追加 ] ページ
サービスコンテキストの作成
サービスコンテキストを使用して、サービスロールをコンテキスト値に割り当
てることができます。サービスロールレベルで複数を選択する場合は、リクエ
ストイベントに対するワークフローを選択することもできます。サービスコン
テキストツリーには 1 つのワイルドカードコンテキストを指定することができ
ます。その場合は、ツリーの最下位レベルになければなりません。ワイルド
カードとなる 1 つのコンテキストを識別する値を入力します。
174
第4章
コンテキストの作成
サービスコンテキストを使用することにより、共通の属性に基づいてサービス
ロールをユーザーグループに割り当て、サービスへのアクセスを提供できます。
サービスロールのコンテキストを設定するには、以下の手順に従います。
1
[ サービスコンテキストの追加 ] をクリックします。
[ コンテキストの追加 ] ページが開きます。
図 91
2
サービス工房
[ コンテキストの追加 ] ページ
Tab キーを押してフィールド間を移動し、コンテキストの定義に必要な情報
を入力します。
175
フィールド
サービスコンテキ
スト名
アクション
親のコンテキストが使用できる場合は、をクリックして、
親のコンテキストを検索して選択します。
これが作成する最初のコンテキストレコードである場合は、
親のオプションはありません。親が使用できるようになる
と、選択可能な属性のスーパーセット、ワークフロープロ
セス、およびポリシーが親から提供されます。
サービスロール
正しい親のサービスロールを検索するには、
ます。
追加のフィールドが表示されます。
をクリックし
親のサービスロールが使用できるようになると、選択可能
な属性のスーパーセット、ワークフロープロセス、および
ポリシーが親のサービスロールから提供されます。
3
176
Tab キーを押してフィールド間を移動し、コンテキストユーザーグループの
定義を入力します。
フィールド
アクション
サービスコンテキ
スト名
をクリックして、サービスの作成時に定義するコンテキ
スト属性を検索し、値を選択します。
サービスロール
をクリックして、サービスの作成時に定義するサービス
ロールを検索し、値を選択します。
< コンテキスト >
をクリックして、コンテキスト属性を検索し、値を選択
します。
通知イベント
をクリックして、サービスをサポートする通知イベント
を検索して追加します。
第4章
フィールド
アクション
通知
[ 通知イベント ] テキストボックスにリストされたイベントを
クリックし、次にをクリックして、イベントに関連付け
る通知ポリシーテンプレートを選択します。
調整ポリシーの詳細については、 126 ページの「通知の変
数」を参照してください。
リクエスト
イベント
を選択して、サービスロールをサポートするリクエスト
イベントを見つけて追加します。
OVSI のイベントとアクションのリストについては、 126
ページの「通知の変数」を参照してください。
ワークフロー
テンプレート
[ リクエストイベント ] テキストボックスにリストされたイベ
ントをクリックし、次にをクリックして、イベントに関
連付けるワークフローテンプレートを選択します。
ワークフローテンプレートの詳細については、 259 ページの
「Workflow Studio」を参照してください。
4
[ 適用 ] をクリックします。
コンテキストが作成され、サービスが有効になります。
5
すべてのコンテキストユーザーグループが定義されるまで、手順を繰り返し
ます。
サービスの管理
作成したサービスは、管理する必要があります。 [ サービスの変更 ] では、サー
ビスが依存するプロビジョニングリソースの追加、削除、または順序の変更がで
きます。サービスの定義に役立つ属性の追加と削除もできます。
この項で取り上げる内容は以下のとおりです。
サービス工房
•
サービスのコピー
•
サービスの変更
•
サービス属性値の変更
177
サービスのコピー
既存のサービスによく似ているサービスを作成するときには、既存のサービス
をコピーします。サービスを別名でコピーしたら、元のサービスとは異なる部
分を単純に変更します。
サービスをコピーするには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
図 92
178
[ サービスリスト ]
2
コピーするサービスを選択します。
3
[ コピー ] をクリックします。
[ サービスのコピー ] ページが開きます。
第4章
図 93
[ サービス名 ] : [ サービスのコピー ]
4
[ サービス名 ] フィールドに、このサービスの一意の名前を入力します。
5
[ コピー ] をクリックします。
選択したサービスのパラメータが新規作成されたサービスにコピーされ、
[ サービスリスト ] ページに戻ります。
6
新規作成されたサービスを確認して、必要に応じて変更を行います。
サービスの変更
変更機能を使用して、サービスを維持します。必要に応じて、任意のサービスの
任意の部分を変更します。コンポジットの関係で接続されている数多くの類似
サービスを一度に変更するには、コンポジットサービスを変更します。
この項で取り上げる内容は以下のとおりです。
サービス工房
•
サービス情報の変更
•
サービス属性プロパティの変更
•
サービスフォームの変更
•
サービスフォームの削除
179
•
サービスロールの変更
•
サービスロールの削除
•
サービスロールの変更
•
サービスロールの削除
•
コンテキストの変更
•
コンテキストの削除
サービス情報の変更
サービスのユーザーが登録時に入力する必要があるサービスや情報を変更する
には、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
図 94
180
[ サービスリスト ] ページ
2
変更するサービスを選択します。
3
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
第4章
図 95
4
[ サービスの変更 ] : [ サービス名 ]
[ サービスの説明 ] フィールドの情報を確認して、必要に応じてサービスの説
明を編集します。
5
[ リソース ] テキストボックスのリソースリストを確認して、変更が必要かど
うかを決定します。
状況
リソースを追加する場合
リストからリソースを削除する
場合
リソースのプロビジョニングの
順序を変更する場合
操作方法
をクリックして、リソースを検索してサー
ビスに追加します。
制約をクリックして、次に
アイコンを選択
します。
プロビジョニングの順序を変更するには、
と
の矢印を使用して、リソースの表示順序を
変更します。
リストを変更しない場合
サービス工房
操作を続行します。
181
6
[ 属性 ] テキストボックスに表示される、このサービスをサポートする属性リ
ストを確認して、変更が必要かどうかを確認します。
状況
操作方法
属性を追加する場合
をクリックして、リソースを検索してサー
ビスに追加します。
リストから属性を削除する場合
制約をクリックして、次に
アイコンを選択
します。
リストを変更しない場合
操作を続行します。
7
[ コンテキスト属性 ] フィールドを確認して、必要に応じてユーザーグループ
のコンテキストを変更します。
8
[1 次キーユーザー ] が正しいことを確認します。正しくない場合は、適切な
ユーザーを選択します。
9
[ 適用 ] をクリックします。
変更内容が保存されます。
サービス属性値の変更
1
182
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
第4章
図 96
サービス工房
[ サービスリスト ]
2
変更するサービスを選択します。
3
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
183
図 97
184
[ サービスの変更 ] : [ サービス名 ]
4
ページの左側のパネルにある [ 属性値 ] リンクをクリックします。
[ サービス属性値の変更 ] ページが開きます。
5
[ 定義済み属性 ] フィールドから、変更する属性を選択します。
[ 定義済みの値 ] フィールドが表示されます。
第4章
図 98
6
[ サービス属性値の変更 : サービス名 ]
制約を変更するかどうかを決定します。
状況
操作方法
属性値を追加する場合
操作を続行します。
既存の属性値を削除する場合
制約をクリックして、次に
アイコンを選択
します。
属性値を編集する場合
テキストボックスから制約を移動するには、
制約をクリックして、次に
アイコンを選択
し、必要に応じて制約を編集します。アイ
コンをクリックして、右側のテキストボック
スに制約を入力します。
7
[ 制約の表示名 ] フィールドに制約名を入力します。
適切な [ 制約の表示名 ] フィールドが表示されます。
8
[ 適用 ] をクリックします。
作業が保存されます。
9
サービス工房
属性値とその制約がすべて正しくリストされるまで、手順を繰り返します。
185
サービス属性プロパティの変更
[ サービス属性プロパティの変更 ] では、サービスに固有の属性セットの作成と
プロパティの設定ができます。このタスクでは、属性の処理順序と各属性の表
示名も指定できます。
サービスの属性のプロパティを設定するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] ページが開きます。
図 99
186
[ サービスリスト ]
2
変更するサービスを選択します。
3
[ 変更 ] をクリックします。
[ 基本情報 ] ページが開きます。
第4章
図 100
4
左側のパネルの [ 属性値 ] リンクをクリックします。
[ 属性のプロパティ ] ページが開きます。
図 101
5
サービス工房
[ サービスの変更 ] : [ サービス名 ]
[ サービス名 ] : [ 属性のプロパティ ]
表示されたフィールドを確認します。
187
6
必要な変更を行います。
状況
操作方法
このサービス用に作成するビュー
に表示される、フィールドのデ
フォルトの順序を変更する場合
[ 順序 ] 列の番号を変更して、各フィールドを
表示する順序を指定します。
フィールドの要件ステータスを変
更する場合
[ 必須 ] 列のチェックをオンまたはオフにする
また、この順序により、属性値の生成関数が
存在する場合の処理順序も決まります。
には、変更するフィールドの右側にある
チェックボックスをオンにします。
サービスに必要な属性は、調整機能により
OVSI に追加されるユーザーアカウント、およ
びこのサービスへのその他の割り当てに、存
在している必要があります。アカウントに必
須属性がない場合は、サービスにアクセスで
きません。
複数の値の選択を変更する場合
[ 複数の値 ] 列のチェックをオンまたはオフに
するには、変更するフィールドの右側にある
チェックボックスをオンにします。
チェックボックスをオフにすると、ユーザー
は 1 つの値のみに制限されます。
ユーザーがこのサービスに登録す [ 表示名 ] 列にリストされた名前を確認して、
るときに、ユーザーに対して表示必要な変更を行います。
するフィールドラベルの表示形式
を変更する場合
7
[ 適用 ] をクリックします。
作業が保存されます。
8
[OK] をクリックします。
[ サービスリスト ] ページに戻ります。
サービスフォームの変更
1
188
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
第4章
図 102
2
変更するサービスを選択します。
3
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
図 103
サービス工房
[ サービスリスト ]
[ サービスの変更 ] : [ サービス名 ]
189
4
左側のメニューの [ フォーム ] リンクをクリックします。
[ フォーム ] ページが開きます。
5
[ サービスフォーム名 ] フィールドから、変更するフォームを選択します。
選択したフォームが開きます。
図 104
[ サービスフォームの変更 ] : [ サービス名 ]
6
表示されたフィールドを確認します。
7
必要な変更を行います。
変更する項目
アクション
フォーム名
[ サービスフォーム名 ] フィールドをクリックし
て、新しい名前を入力します。
自己登録ビュー
このフォームが自己登録中に表示されるかど
うかを指定します。
フォームの説明
[ 説明 ] フィールドをクリックして、表示され
た説明を編集します。
フォームに表示されるフィールド
[ 名前 ] 列のチェックをオンまたはオフにする
には、変更するフィールドの右側にある
チェックボックスをオンにします。
190
第4章
変更する項目
アクション
表示されるフィールドの順序
[ 順序 ] 列の番号を変更して、各フィールドを
表示する順序を指定します。
ここで定義する順番により、このサービスに
作成するビューのデフォルトの順序が決まり
ます。また、属性値の生成関数が存在する場
合の処理順序も決まります。
表示名
[ 表示名 ] フィールドをクリックして、必要に
応じて名前を編集します。
フィールド長
[ 長さ ] 列で、それぞれの値の最大長を定義す
るか、変更します。
マスクのプロパティ
入力値のセキュリティを保護するためにマス
クする文字数を [ マスク ] 列に指定します。
フィールドの要件ステータス
[ 必須 ] 列のチェックをオンまたはオフにする
には、変更するフィールドの右側にある
チェックボックスをオンにします。
サービスに必要な属性は、調整機能により
OVSI に追加されるユーザーアカウント、およ
びこのサービスへのその他の割り当てに、存
在している必要があります。アカウントに必
須属性がない場合は、サービスにアクセスで
きません。
ビューに表示するフィールド
[ 表示 ] 列にある、フォームに表示するフィー
ルドの右側のチェックボックスをオンにしま
す。
チェックボックスをオフにすると、ユーザー
は 1 つの値のみに制限されます。
更新するフィールド
[ 更新 ] 列にある、フォームで更新可能にする
フィールドの右側のチェックボックスをオン
にします。
再確認する属性
[ 再確認 ] 列にある、入力値を再確認させる
フィールドの右側のチェックボックスをオン
にします。
サービス工房
191
8
[ 適用 ] をクリックします。
作業が保存されます。
9
[OK] をクリックします。
[ サービスリスト ] ページに戻ります。
サービスフォームの削除
フォームが古くなり、 OVSI から削除する必要がある場合があります。フォーム
を削除するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
図 105
192
[ サービスリスト ]
2
変更するサービスを選択します。
3
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
第4章
図 106
サービス工房
[ サービスの変更 ] : [ サービス名 ]
4
左側のメニューの [ フォーム ] リンクをクリックします。
[ フォーム ] ページが開きます。
5
[ サービスフォーム名 ] フィールドから、削除するフォームを選択します。
選択したフォームが開きます。
193
図 107
6
[ サービスフォームの変更 ] : [ サービス名 ]
[ 削除 ] をクリックします。
確認用ダイアログボックスが開きます。
7
[OK] をクリックします。
フォームが削除され、 [ サービスリスト ] ページに戻ります。
サービスロールの変更
サービスロールを変更するには、以下の手順に従います。
1
194
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
第4章
図 108
2
変更するサービスを選択します。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
図 109
サービス工房
[ サービスリスト ]
[ サービスロールの変更 ] : [ サービス名 ]
195
3
左側のパネルの [ サービスロール ] リンクをクリックします。
右側のパネルに [ サービスロール ] フィールドが表示されます。
図 110
4
[ サービスロールの変更 ] : [ サービス名 ]
[ サービスロール名 ] フィールドから、変更するサービスロールを選択します。
サービスロールの詳細が表示されます。
Tab キーを押してフィールド間を移動し、必要な情報を変更します。通知ポリ
シーの詳細については、 126 ページの「通知の変数」を参照してください。
状況
通知イベントを追加する場合
通知イベントを削除する場合
イベントに関連付ける通知を追加
する場合
196
操作方法
をクリックして、サービスをサポートする
通知イベントを検索して追加します。
削除するイベントを選択して、
クリックします。
アイコンを
変更するイベントを選択して、次に
をク
リックして、サービスロールをサポートする
通知イベントを検索して追加します。
第4章
状況
操作方法
イベントに関連付けた通知を削除
する場合
変更するイベントを選択し、次に削除する通
リクエストイベントを追加する場
合
をクリックして、サービスロールをサポー
トするリクエストイベントを検索して追加し
ます。
リクエストイベントを削除する場
合
削除するイベントを選択して、
クリックします。
イベントに関連付けたワークフ
ローテンプレートを追加する場合
知をクリックして
す。
アイコンをクリックしま
アイコンを
変更するイベントを選択して、次に
をク
リックして、サービスロールをサポートする
ワークフローテンプレートを検索して追加し
ます。
ワークフローテンプレートの詳細については、
259 ページの「Workflow Studio」を参照して
ください。
イベントに関連付けたワークフ
ローテンプレートを削除する場合
5
変更するイベントを選択し、次に削除するテ
ンプレートをクリックしてアイコンをク
リックします。
サービスロールについて有効にするユーザーに割り当てる固定属性を変更し
ます。
複数の属性を選択できます。属性と値の詳細については、 158 ページ
の「サービスの属性値とプロパティの設定」を参照してください。
サービス工房
197
状況
操作方法
固定属性を追加する場合
[ 名前 ] フィールドから属性を選択して新しい
名前を入力し、次に [ 値 ] フィールドに適切な
変数を入力して
固定属性を編集する場合
をクリックします。
テキストボックスから制約を移動するには、
制約をクリックして、次に
アイコンを選
択し、必要に応じて制約を編集します。変更
内容を入力するには、をクリックします。
固定属性を削除する場合
6
削除する属性を選択して、
す。
をクリックしま
クリックして、属性と値を入力テーブルに移動します。 .
状況
操作方法
オプション属性を追加する場合
[ 名前 ] フィールドから属性を選択して新しい
名前を入力し、次に [ 値 ] フィールドに適切な
変数を入力して
オプション属性を編集する場合
をクリックします。
テキストボックスから制約を移動するには、
制約をクリックして、次に
アイコンを選択
し、必要に応じて制約を編集します。変更内
容を入力するには、をクリックします。
オプション属性を削除する場合
7
削除する属性を選択して、
す。
をクリックしま
をクリックして、属性と値を入力テーブルに移動します。
属性を削除するには、不要な属性をクリックして
アイコンを選択
します。入力が間違っている場合は、制約をクリックしてテキスト
ボックスから制約を移動し、
す。
198
アイコンを選択して制約を編集しま
第4章
8
[ 適用 ] をクリックします。
作業が保存されます。
9
[OK] をクリックします。
[ サービスリスト ] フォームに戻ります。
サービスロールの削除
サービスロールを削除する前に、このサービスロールに対するコンテキストの設
定を削除していることを確認します。
サービスロールを削除するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
図 111
2
サービス工房
[ サービスリスト ]
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
199
図 112
[ サービスの変更 ] : [ サービス名 ]
3
左側のパネルの [ サービスロール ] リンクをクリックします。
[ サービスロール ] が開きます。
4
[ サービスロール名 ] フィールドから、変更するサービスロールを選択します。
サービスロールの詳細が表示されます。
200
第4章
図 113
5
[ サービスロールの変更 ] : [ サービス名 ]
[ 削除 ] をクリックします。
確認用ダイアログボックスが開きます。
6
[OK] をクリックします。
サービスロールが削除されます。
ユーザーを追加する前のコンテキストの削除
サービスの作成中に、新規コンテキストユーザーグループの追加操作で間違いが
あることが分かる場合があります。ユーザーをインポートしていない場合は、以
下の手順に従ってコンテキストを変更します。
1
サービス工房
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
201
図 114
2
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
図 115
202
[ サービスリスト ]
[ サービスの変更 ] : [ サービス名 ]
第4章
3
4
左側のパネルの [ コンテキスト ] リンクをクリックします。
[ サービスコンテキストの変更 ] : [ サービス名 ] ページが開きます。
[ サービスコンテキスト名 ] フィールドから、入力が正しくないコンテキストを
選択します。
[ コンテキスト ] コンテンツフィールドが表示されます。
図 116
5
[ サービスコンテキストの変更 ] : [ サービス名 ]
[ 削除 ] をクリックします。
確認用ダイアログボックスが開きます。
6
[OK] をクリックします。
元のページに戻ります。
7
サービス工房
左側のパネルの [ サービスコンテキストの追加 ] ボタンをクリックします。
[ コンテキストの追加 ] ページが開きます。
203
図 117
8
コンテキストの追加
Tab キーを押してフィールド間を移動し、コンテキストの定義に必要な情報
を入力します。
フィールド
アクション
サービスコンテキ
スト名
親のコンテキストが使用できる場合は、をクリックして、
親のコンテキストを検索して選択します。
これが作成する最初のコンテキストレコードである場合は、
親のオプションはありません。親が使用できるようになる
と、選択可能な属性のスーパーセット、ワークフロープロ
セス、およびポリシーが親から提供されます。
サービスロール
正しい親のサービスロールを検索するには、
します。
追加のフィールドが表示されます。
をクリック
親のサービスロールが使用できるようになると、選択可能
な属性のスーパーセット、ワークフロープロセス、および
ポリシーが親のサービスロールから提供されます。
204
第4章
9
Tab キーを押してフィールド間を移動し、コンテキストユーザーグループの
定義を入力します。
フィールド
アクション
サービスコンテキ
スト名
をクリックして、サービスの作成時に定義するコンテキ
スト属性を検索し、値を選択します。
サービスロール
をクリックして、サービスの作成時に定義するサービス
ロールを検索し、値を選択します。
< コンテキスト >
をクリックして、コンテキスト属性を検索し、値を選択
します。
通知イベント
をクリックして、サービスをサポートする通知イベント
を検索して追加します。
通知
[ 通知イベント ] テキストボックスにリストされたイベントを
クリックし、次に
をクリックして、イベントに関連付け
る通知ポリシーテンプレートを選択します。
調整ポリシーの詳細については、 126 ページの「通知の変
数」を参照してください。
リクエスト
イベント
を選択して、サービスロールをサポートするリクエスト
イベントを見つけて追加します。
OVSI のイベントとアクションのリストについては、 126
ページの「通知の変数」を参照してください。
ワークフロー
テンプレート
[ リクエストイベント ] テキストボックスにリストされたイベ
ントをクリックし、次に
をクリックして、イベントに関
連付けるワークフローテンプレートを選択します。
ワークフローテンプレートの詳細については、 259 ページの
「Workflow Studio」を参照してください。
10 [ 適用 ] をクリックします。
コンテキストが作成され、サービスが有効になります。
11 [OK] をクリックします。
作業内容が保存され、元のページに戻ります。
サービス工房
205
コンテキストの変更
ユーザーグループ全体の機能を一度に変更する必要がある場合は、サービスに
割り当てたコンテキストユーザーグループのユーザーの関係を変更します。
コンテキストを変更するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
図 118
2
206
[ サービスリスト ]
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
第4章
図 119
3
4
[ サービスの変更 ] : [ サービス名 ]
左側のパネルの [ コンテキスト ] リンクをクリックします。
[ サービスコンテキストの変更 ] : [ サービス名 ] ページが開きます。
[ サービスコンテキスト名 ] フィールドから、変更するコンテキストを選択しま
す。
[ コンテキスト ] コンテンツフィールドが表示されます。
サービス工房
207
図 120
[ サービスコンテキストの変更 ] : [ サービス名 ]
5
表示された情報を確認します。
6
Tab キーを押してフィールド間を移動し、必要な情報を変更します。
状況
操作方法
ロール名を変更する場合
[ サービスロール名 ] フィールドをクリックし
て、新しい名前を入力します。
コンテキスト変数の名前を変更す
る場合
表示されたコンテキストについて、新しいコ
ンテキスト変数を入力します。
通知イベントを追加する場合
をクリックして、サービスをサポートする
通知イベントを検索して追加します。
調整ポリシーの詳細については、 126 ページ
の「通知の変数」を参照してください。
通知イベントを削除する場合
208
削除するイベントを選択して、
クリックします。
アイコンを
第4章
状況
操作方法
イベントに関連付けた通知を追加
する場合
変更するイベントを選択して、次に
をク
リックして、サービスロールをサポートする
通知イベントを検索して追加します。
調整ポリシーの詳細については、 126 ページ
の「通知の変数」を参照してください。
イベントに関連付けた通知を削除
する場合
変更するイベントを選択し、次に削除する通
リクエストイベントを追加する
場合
をクリックして、サービスロールをサポー
トするリクエストイベントを検索して追加し
ます。
知をクリックして
す。
アイコンをクリックしま
OVSI のイベントとアクションのリストについ
ては、 168 ページの「サービスロールの追加」
を参照してください。
リクエストイベントを削除する
場合
削除するイベントを選択して、
クリックします。
イベントに関連付けたワークフ
ローテンプレートを追加する場合
変更するイベントを選択して、次に
をク
リックして、サービスロールをサポートする
ワークフローテンプレートを検索して追加し
ます。
アイコンを
ワークフローテンプレートの詳細については、
259 ページの「Workflow Studio」を参照して
ください。
イベントに関連付けたワークフ
ローテンプレートを削除する場合
7
変更するイベントを選択し、次に削除するテ
ンプレートをクリックして
リックします。
アイコンをク
[ 適用 ] をクリックします。
作業が保存されます。
8
サービス工房
[OK] をクリックします。
[ サービスリスト ] フォームに戻ります。
209
コンテキストの削除
サービスのコンテキストの設定を削除する前に、従属関係がすべて削除済みで
あることを確認します。
コンテキストを削除するには、以下の手順に従います。
1
メニューバーから、 [ サービス工房 ] → [ サービス ] を選択します。
[ サービスリスト ] が開きます。
図 121
2
210
[ サービスリスト ]
[ 変更 ] をクリックします。
[ サービスの変更 ] : [ サービス名 ] ページが開きます。
第4章
図 122
3
4
[ サービスの変更 ] : [ サービス名 ]
左側のパネルの [ コンテキスト ] リンクをクリックします。
[ サービスの変更 ] : [ コンテキスト名 ] ページが開きます。
[ サービスコンテキスト名 ] フィールドから、変更するコンテキストを選択しま
す。
[ コンテキスト ] コンテンツフィールドが表示されます。
サービス工房
211
図 123
5
[ サービスコンテキストの変更 ] : [ サービス名 ]
[ 削除 ] をクリックします。
確認用ダイアログボックスが開きます。
6
[OK] をクリックします。
選択したコンテキストユーザーグループが削除され、 [ サービスの変更 ] :
[ サービス名 ] ページに戻ります。
サービスの調整
サービスの調整は、次のサービスの変更時にサービスの既存のユーザーを更新
するために使用されます。
•
サービスへのリソースの追加や削除
•
サービス内のサービスロールへの固定属性の値の追加や削除
サービスを調整するには、以下の手順に従います。
1
サービスの調整ジョブのスケジュールを設定するために、 [ サービスの変更画
面 ] ウィンドウの [ 調整 ] ボタンをクリックします。
[ 調整ジョブのスケジュール設定 ] 画面が表示されます。
212
第4章
2
[ 開始日 ] にジョブを開始する日付を入力します。この情報は必須です。
3
[ 開始時刻 ] に、選択した日付でジョブを開始する時刻を入力します。この
情報は任意です。
4
[OK] をクリックして、スケジュール情報を保存します。
このサービスのサービス調整ジョブが [ 保留中 ] の場合、ジョブは開始されてお
らず、このページにはスケジュール設定済みの開始日時の情報が表示されます。
新しい情報を入力して、スケジュールを変更できます。
このサービスのサービス調整ジョブが [ 処理中 ] の場合、ジョブは開始されてお
り、ジョブのスケジュールを変更することはできません。
既存のユーザーに影響するサービスの変更を行っていない場合、ジョブのスケ
ジュール設定はできません。
ジョブが開始されると、サービスの調整ジョブに対応するリクエストが [ リクエ
ストリスト ] ページに表示されます。子の各リクエストのステータスを表示する
には、 [ リクエストステータスの表示 ] をクリックします。
ジョブが完了すると、ジョブを作成したユーザーに圧縮レポートが送信されま
す。レポートは次の場所にも保存されます。
<truaccess.batch.reportdir>/servicerecon/
ServiceReconReport_< サービス名 >_< ジョブ ID>_final.htm
サービス工房
213
214
第4章
5 ユーザーのインポート
[ ユーザーのインポート ] 機能を使って、組織の既存ユーザーの大規模なグルー
プを OVSI に追加できます。 [ ユーザーのインポート ] は、 OVSI にユーザーを
組み込むための一度だけのインポートメカニズムとして使用します。ユーザーの
プロビジョニングは行われません。この機能は、新しいサービスやリソースを追
加するときに使用します。ユーザーおよび関連付けられている属性のリストは
SPML ファイルで指定され、その後 OVSI は [ ユーザーのインポートのスケジュー
ル設定 ] アクションでそれを読み込みます。
[ ユーザーのインポートのスケジュール設定 ] アクションでは、ファイルのアップ
ロードを一度だけ行います。ユーザーインポートジョブを繰り返し実行する場
合は、ファイルを (adroot) アップロードディレクトリにコピーしてスケジュー
ルを設定します。
OVSI にユーザーを追加したら、ユーザーが属するリソース (1 つのアプリケー
ションまたは情報リポジトリ ) を指定することで、そのユーザーに関連付けられ
ている使用権や他のリソース固有の属性が決定されます。ユーザー属性のような
これらの使用権は SPML ファイルで指定され、ユーザーの一意の識別子に関連
付けられます。ユーザーと使用権の両方を OVSI に読み込んだ後、 [ スケジュール
サービスの割り当て ] アクションでユーザーを適切なサービス ( リソース、使用
権、その他のアイデンティティ関連エンティティを表す、ビジネス中心の抽象概
念 ) に関連付けます。サービスにユーザーを関連付けることで、 OVSI の業務
サービスアイデンティティ管理 (BSIM) モデルで管理可能なアカウントが作成さ
れます。
ユーザーのインポートプロセスを開始する前に、最高のパフォーマンスを得ら
れるように OVSI を最適化する必要があります。最適化の設定とその他の重要
な設定の詳細については、『Select Identity インストールガイド』の「OVSI の
最適化」を参照してください。
この章では、次の事項について説明します。
•
ユーザーのインポート手順の概要
215
•
ユーザーのインポートのスケジュール設定
•
サービス割り当てのリスト
•
スケジュールサービスの割り当て
ユーザーのインポート手順の概要
この章では、 OVSI に既存のユーザーグループを追加するプロセスについて説明
します。詳細な手順については、この章の後半と OVSI のオンラインヘルプを
参照してください。
ユーザーのインポートの各タスクを実行するには、ユーザーのインポート権限を
持った OVSI システム管理者ロールが必要です。
この項では、次の事項について説明します。
•
信頼できるリソースからのユーザーと属性の定義
•
インポートの前提条件
•
ユーザーおよび属性を含む SPML ファイルの作成
•
使用権を含む SPML ファイルの作成
•
サービスメンバーシップ要件の確認
•
TruAccess.properties ファイルの確認
•
ユーザーアカウント、属性、使用権のアップロード
信頼できるリソースからのユーザーと属性の定義
通常、企業には信頼できるリソースという既存のリソースがあります。これに、
他のすべてのアカウントを更新するために使用する各ユーザーアカウントのアカ
ウント情報と属性が含まれています。信頼できるリソースには、たとえば、従業
員番号とその従業員番号に関連付けられた属性 ( 名前、姓、住所、電話番号、社
会保障 ) が含まれます。詳細と手順については、 65 ページの「信頼できるリ
ソースの使用」を参照してください。 SPML ファイルを作成する前に、ユー
ザーデータの主要ソースを確認し、 OVSI に読み込む属性のリストを決定してく
ださい。
216
第5章
インポートの前提条件
ユーザーのインポートを実行する前に、次のことを行う必要があります。
•
OVSI でリソースを定義します。
•
SPML ファイルで属性を指定している場合、マッピングされているリソース
属性の名前を使用します。これは OVSI の属性名とは異なることがありま
す。 OVSI にアップロードする属性は、リソースにマッピングされている必
要があります。属性のマッピングの詳細は、 74 ページの「リソース属性の
マッピング」を参照してください。
•
リソース属性のマッピングで、同期 / 配布フラグを正しく設定する必要があ
ります。詳細は、 65 ページの「信頼できるリソースの使用」を参照してく
ださい。
•
インポート SPML ファイルでは、マッピングされたリソース属性名を使用
します。
•
自動化ジョブでインポートを実行する場合、 Truaccess.property ファイルで
ユーザーのインポートプロパティを設定します。調整や一括と違い、ユー
ザーのインポートのための自動化ジョブは UI ではスケジュール設定できま
せん。ユーザーのインポート SPML ファイルはアップロードディレクトリ
に配置する必要があります。詳細については、 222 ページの「アップロード
要件」を参照してください。
ユーザー追加リクエストファイルの例については、 HP OpenView 製品 CD の
\SampleXML ディレクトリを参照してください。
ユーザーおよび属性を含む SPML ファイルの作成
現在、多くのリソースには、ユーザーデータを XML または SPML 形式でエク
スポートするユーティリティやメカニズムがあります。ユーザーのインポートに
必要な SPML 形式を作成するには、以下のいずれかの処理を行います。
•
ユーザーのインポート
OVSI の SPML Generator ツールを使って、 CSV および XML の入力形式
から SPML にデータを変換します。 535 ページの「SPML Generator ユー
ティリティ」を参照してください。
217
•
リソースのデータを LDIF 形式でエクスポートし、パーサーを使って SPML
にデータを変換します。 LDIF 形式から SPML への変換後のユーザーのイン
ポートファイルの例については、 HP OpenView 製品 CD の
\SampleXML\Auto-Discovery ディレクトリにあるサンプルファイルを参照
してください。
•
リソースのデータを XML または DSML 形式でエクスポートします。 XML
パーサーと XSLT スタイルシートを使って、 SPML に変換します。
•
サードパーティのマッピングツールを使用して、データを SPML 形式に変
換します。
•
リソースを読み取り、各ユーザーのデータレコードを書き出すプログラムに
よってファイルを作成します。
使用する構文は SPML に従っている必要があります。セマンティクスは OVSI
のタグによって異なります。ユーザー属性を含む入力ファイルを作成する場合
は、各ユーザーに関連付けられている一意の識別子属性を指定します。 SPML
ファイルの <operationalAttributes xmlns=> セクションは識別子を指定し、
keyFields 属性の値として指定されます。アカウントを識別するための OVSI
のデフォルトの属性は UserName です。以下に、 SPML ファイルのこのセク
ションのサンプルを示します。
<operationalAttributes xmlns="">
<attr name="urn:hp:selectidentity#keyFields"><value>
UserName</value></attr>
</operationalAttributes>
ファイルのヘッダーで操作属性を指定するほか、ユーザー追加リクエストごとに
2 つの操作属性値を指定する必要があります。以下に、 SPML ファイルのサンプ
ルを示します。
<addRequest requestID="1">
<operationalAttributes xmlns="">
<attr name="urn:hp:selectidentity#taUserName">
<value>avaughan</value></attr>
<attr name="urn:hp:selectidentity#taResourceKey">
<value>AQ4100</value></attr>
</operationalAttributes>
OVSI には下位互換性があるため、上の例では、属性名は <attr
name="urn:hp:selectidentity#keyFields"> または <attr
name="urn:trulogica:concero:2.0#keyFields"> です。
218
第5章
Test1_1user.xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<batchRequest xmlns:countries="countries.uri"
smlns:cities="cities.uri" smlns:dsml
taUserName フィールドの値は、 OVSI の各アカウントを識別するために使用す
る一意の値を示します。 taResourceKey はユーザーが属するリソースでのアカ
ウントを一意に識別します。
ファイルのデータ部分は、 <batchRequest></batchRequest> で開始および終
了する必要があります。
追加する各アカウントは、 <addRequest></addRequest> で開始および終了す
る必要があります。 OVSI では、各追加リクエストについて操作属性と値が必要
です。これらの属性と値がないと、アカウントは追加できません。
[ ユーザー名 ] 属性を値生成機能で設定し、信頼できるリソースからユーザーの
インポートリクエストを行う場合は、 SPML ファイルで taUserName を指定し
たり、操作属性セクションで keyField として [ ユーザー名 ] を指定する必要は
ありません。 OVSI が値生成機能を呼び出して、 [ ユーザー名 ] を生成します。
OVSI では、この生成された [ ユーザー名 ] で、ユーザーがプロビジョニングさ
れます。
他のリソース属性が OVSI の [ ユーザー名 ] にマッピングされており、 SPML
レコードに存在する場合、 taUserName は不要で、リソース属性が [ ユーザー名
] として使用されます。
以下に、 taUserName なしの SPML ファイルのサンプルを示します。
<batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0" requestID="1085774668899">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#keyFields">
<value>Email</value></attr>
</operationalAttributes>
<addRequest requestID="1">
<operationalAttributes xmlns="">
ユーザーのインポート
219
<attr
name="urn:trulogica:concero:2.0#taResourceKey"><value>firstname.
[email protected]</value></attr>
</operationalAttributes>
<attributes xmlns="">
<attr name="Employee ID"<value>HP</value></attr>
<attr name="LastName"><value>Jones-Smythe</value></attr>
<attr name="Email"><value>[email protected]</value></attr>
<attr name="FirstName"><value>John</value></attr>
<attr name="State"><value>TX</value></attr>
<attr name="Address2">
<value>Info Field 1 from Recon file</value>
<value>Info Field 2 from Recon file</value>
</attr>
<attr name="city"><value>Plano</value></attr>
<attr name="Title"><value>Manager</value><?attr>
<attr name="Business Phone"><value>8886661122</value></
attr>
<attr name="Zip"<value>77777</value></attr>
<attr name="Address 1"><value>Rolling Drive</value></
attr>
<attr name="Password"><value>abc123</value></attr>
</attributes>
</addRequest>
</batchRequest>
使用権を含む SPML ファイルの作成
ユーザーおよび関連付けられている属性のリストを含む SPML ファイルを作成
した後、ユーザーに関連付けられている使用権または権限を含むリソースを確認
します。ユーザーは複数のリソースからの使用権を持っていることがあります。
これらの使用権をアップロードするには、各リソースの使用権を含む個々の
SPML ファイルを作成します。 217 ページの「ユーザーおよび属性を含む
SPML ファイルの作成」に記載されている方法のいずれかを使って、この
SPML ファイルを作成します。
220
第5章
作成した各リソースファイルについて、使用権と指定したユーザーを関連付けて
いるリソース上で一意の識別子を決定します。この一意の識別子は、 SPML
ファイルで taResourceKey フィールドとして指定されます。また、使用権を
OVSI の正しいアカウントに関連付けることができるよう、ユーザー ID または
ユーザー名を指定します。これは以下のように識別子タグで指定されています。
<identifier xmlns=""
type="urn:oasis:names:tc:SPML:1:0#UserIDAndOrDomainName"><id>AEE
200</id></identifier>
使用権を指定する場合、識別子タイプ UserIDAndOrDomainName はその使用権
と関連付けられている OVSI のユーザー名またはアカウントを指定します。上
の例では、使用権は AEE200 という OVSI のアカウントと関連付けられていま
す。
使用権の割り当てには、操作属性 keyFields および taResourceKey が必要で
す。これらはシステムにユーザーを追加するために作成したファイルで指定され
ています。属性 keyFields は、各ファイルの始めに一度だけ表示されます。属
性 taResourceKey は各ユーザーアカウントについて表示されます。属性
keyFields の値が SPML に存在する場合、これは OVSI でのユーザーを検索す
るために使用されます。存在しない場合、識別子が使用されます。
既存のユーザーに使用権を追加するためのファイルの例については、 OVSI 製品
メディアの \SampleXML ディレクトリを参照してください。
ユーザーのインポート
221
サービスメンバーシップ要件の確認
追加したユーザーには、定義済みの属性に基づいてサービスメンバーシップを割
り当てることができます。調整を通じてユーザーにサービスを割り当てるには、
次の条件を満たす必要があります。
•
ユーザーはサービスで必要なすべてのリソースにアクセスできる必要があり
ます。
•
ユーザーはサービスで必要なすべての属性値を有している必要があります。
•
ユーザーはサービスのコンテキスト属性と一致する値を有している必要があ
ります。
•
ユーザーはコンテキスト値に基づいてサービスと一致する固定属性値を有し
ている必要があります。現在のコンテキストまたはビジネスロールレベルか
らルートに至るすべての一連の固定属性値は、対応するユーザー属性セット
の下位集合です。固定属性値が定義されていない場合、この評価は省略され
ます。
•
ユーザーはコンテキスト値に基づいてサービスと一致するオプション属性値
を有している必要があります。オプション属性値セットの収集は、現在のコ
ンテキストまたはビジネスロールから開始されます。値セットが定義されて
いる場合、検索プロセスは終了します。定義されていない場合、検索はルー
トレベルまで続行されます。オプションの値セットは、対応するユーザー属
性セットの上位集合です。オプションの属性値が定義されていない場合、こ
の評価は省略されます。
•
属性が存在する場合、長さとパターンはフィールド定義と一致する必要があ
ります。
•
属性が存在し、フィールドに制約された値セットがある場合、属性値は制約
された値のいずれかである必要があります。制約された値は静的な属性定義
のものか、またはその属性に外部コール機能が定義されています。
TruAccess.properties ファイルの確認
アップロード要件
アップロードプロセスを円滑に行うため、 TruAccess.properties ファイル
で以下のプロパティを設定します。 TruAccess.properties ファイルのすべ
てのプロパティの詳細な説明については、『HP OpenView Select Identity イン
ストールガイド』の「TruAccess.properties の設定」を参照してください。
222
第5章
クラスタを使用している場合、ここで設定するディレクトリはすべて読み取り /
書き込み権限を持つ共有ディレクトリです。
•
truaccess.batch.reportdir=c:/temp/reports
•
ovsi.ad.rootdir=/opt/si4.0/weblogic/adroot
ovsi.ad.backupdir=/opt/si4.0/weblogic/adbackup
ovsi.ad.stagingdir=/opt/si4.0/weblogic/adstaging
#ovsi.ad.subdir=subdir
ovsi.ad.userid=2
ovsi.ad.file.threshold=2
[email protected]
これらのプロパティは、すべてのユーザーインポート機能で必要となりま
す。 rootdir および backupdir がプロパティファイルに提供されていない
場合、ユーザー検出はスケジュール設定されません。
入力バッチファイルの形式は以下のとおりです。
<resourceName>_<datetime><randomNumber>.eml
デフォルトの区切り文字はアンダーバー ( 「_」 ) です。
TruAccess.properties(com.hp.ovsi.spml.resourcename.separator) で、区
切り文字を任意の文字に定義することができます。たとえば、
com.hp.ovsi.spml.resourcename.separator = + のように指定します。
一番下のアンダーバー ( 「_」 ) は、リソース名を識別するための区切り文字とし
て使用する点に注意してください。つまり、リソース名には
LDAP_71+<datetime><randomNumber> のようにアンダーバーが埋め込まれる
場合があります。そのため、 <datetime><randomNumber> の中ではアンダー
バー ( 「_」 ) を使用しないでください。
以下では、各プロパティについて説明します。
— ovsi.ad.rootdir=/opt/si4.0/weblogic/adroot
ユーザーのインポートの入力バッチファイルの場所を指定します。
— ovsi.ad.backupdir=/opt/si4.0/weblogic/adbackup
ユーザーのインポートの処理済バッチファイルの場所を指定します。
— ovsi.ad.stagingdir=/opt/si4.0/weblogic/adstaging
ファイル処理に使用する作業ディレクトリの場所を指定します。
— #ovsi.ad.subdir=subdir
ユーザーのインポート
223
ファイルを取得する /opt/si4.0/weblogic/adroot のサブディレクト
リの場所を指定します。このプロパティはオプションです。
— ovsi.ad.userid=2
sisa(userid 2) をユーザーのインポートジョブを実行するユーザーと
して指定します。数字を指定しない場合、デフォルトの sisa が使用さ
れます。
— ovsi.ad.file.threshold=2
同時にアップロードするユーザーのインポートファイルの数を指定しま
す。 10K のファイルを同時にアップロードする場合、推奨する最大数は
2 です。数字を指定しない場合、デフォルトの 3 が使用されます。
従業員 ID や税 ID 番号など、特定のユーザープロファイル属性を
TruAccess.properties ファイルに追加して、検索を効率化することができ
ます。検索のために TruAccess.properties ファイルで属性をマッピングし
ておくことで、ユーザーのインポートプロセスが容易になります。
TruAccess.properties ファイルの詳細は、『HP OpenView Select Identity
インストールガイド』で説明しています。
ユーザーアカウント、属性、使用権のアップロード
正しいコネクタを配布していれば、 [ ユーザーのインポート ] ページで、ユー
ザーアカウント、属性、使用権をアップロードできます。コネクタの詳細は、
61 ページの「コネクタの管理」を参照してください。手順については、「ユー
ザーのインポートのスケジュール設定」を参照してください。
サイズの大きなファイルを小さなファイルに分割し、それらのファイルを並行
して実行することで、ユーザーのインポートに関する各タスクのパフォーマンス
を向上できます。複数の CPU を搭載したサーバーで実行すると、パフォーマン
スが大幅に向上します。ユーザーのインポートのためにファイルをアップロー
ドする際は、複数のファイルを並行して実行してください。 OVSI では、信頼で
きないリソースの前に信頼できるリソースファイルが処理されます。
224
第5章
ユーザーのインポートの使用
この項では、ユーザーのインポートの各機能の使用方法について説明します。次
の事項を取り上げます。
•
ジョブステータスの表示
•
ユーザーのインポートのスケジュール設定
•
サービス割り当てのリスト
•
サービスの割り当てのスケジュール設定
ジョブステータスの表示
[ ユーザーのインポートリスト ] では、以前にスケジュール設定したバッチタスクの
ステータスが表示されます。信頼できないリソースの前に、信頼できるリソース
が処理されます。これは情報を表示するだけのページです。以下の情報が含まれ
ています。
フィールド
目的
ジョブ ID
システムによって割り当てられた一意の番号
ジョブ名
ジョブの作成時に管理者によって割り当てられた一意の名
前
ファイル名
ユーザーのインポートジョブを実行するためにアップロー
ドされる SPML ファイルの名前
リソース名
ファイルのインポート元のリソース
予定日
インポートの実行予定日
ステータス
インポートの状態 ( 完了、保留中、失敗 )
ユーザー
インポートされたユーザーの数
ユーザーのインポート
225
ジョブステータスを表示するには、以下の手順に従います。
1
[ ツール ] → [ ユーザーのインポート ] → [ ユーザーのインポートリスト ] を選択し
ます。
[ ユーザーのインポートリスト ] ページが開きます。
図 124
2
[ ユーザーのインポートリスト ] ページ
リストを確認します。
特定のジョブを検索するには、以下の手順を実行します。
1
[ 検索 ] パネルにパラメータを入力します。検索の実行方法については、「は
じめに」の 18 ページの「OVSI の検索機能の使用」を参照してください。
パラメータ
アクション
ジョブ名
ドロップダウンボックスからパラメータを選択し、隣の
フィールドに適切な情報を入力します。
をクリックして [ リソース名 ] 選択ボックスを開き、
[ フィルタ ] をクリックしてリストからリソース名を選択しま
リソース名
226
す。
第5章
2
[ 検索 ] をクリックします。
[ ユーザーのインポートリスト ] に、条件に一致するジョブが表示されます。
ユーザーのインポートのスケジュール設定
特定の日付にユーザーアカウントを追加するように OVSI を設定することがで
きます。このプロセスによって、作成したデータファイルからシステムにアカウ
ントデータを追加できます。データファイルの作成については、 217 ページの
「ユーザーおよび属性を含む SPML ファイルの作成」を参照してください。イン
ポートするアイデンティティ情報を持つシステムに対し、コネクタとリソースが
配布されている必要があります。すべての必要なリソースおよび OVSI の属性
は、コネクタマッピングおよびファイル、 OVSI の [ 属性 ] 機能でマッピングさ
れている必要があります。
サービスを割り当てる前に、すべてのユーザーをインポートすることをお勧め
します。ユーザーサービスを割り当てる前に、インポートが終了するのを待ち
ます。
この項では、次の事項について説明します。
•
ユーザーのインポートのスケジュール設定
•
ジョブの結果の確認
•
ユーザーのインポートステータスの表示
ユーザーのインポートのスケジュール設定
ユーザーアカウントのインポートのスケジュール設定を行うには、以下の手順に
従います。
1
ユーザーのインポート
[ ツール ] → [ ユーザーのインポート ] → [ ユーザーのインポートのスケジュール設
定 ] を選択します。
[ ユーザーのインポートのスケジュール設定 ] ページが開きます。
227
図 125
[ ユーザーのインポートのスケジュール設定 ] ページ
または、 [ ツール ] → [ ユーザーのインポート ] → [ ユーザーのインポートリスト ]
を選択します。
[ ユーザーのインポート ] ページが開いたら、 [ ユーザーのインポートのスケ
ジュール設定 ] ボタンをクリックします。
[ ユーザーのインポートのスケジュール設定 ] ページが開きます。
228
第5章
2
Tab キーを押してフィールド間を移動し、正しい情報を入力します。
フィールド
アクション
リソース名
インポート元のリソースを選択します。
ジョブ名
ジョブの一意の名前を入力します。
[Browse] をクリックし、アップロードするデータファイル
を探して選択します。
SPML ファイル
のパス
データファイルの詳細については、 217 ページの「ユーザー
および属性を含む SPML ファイルの作成」を参照してくだ
さい。
電子メールの
CC
OVSI では、ジョブが完了すると、ジョブを作成、実行して
いる管理者に電子メールが送信されます。他の管理者に電
子メールを送信するには、 [ 電子メールの CC] フィールドに
アドレスを入力します。
ジョブの実行日
[ カレンダ ] アイコンをクリックして、このジョブを実行する
日付を選択します。カレンダから今日を選択すると、ジョ
ブがすぐに実行されます。
ジョブの実行
時刻
前に指定した日付のジョブを実行する時刻 (HH:MM 形式 )
を入力します。
ユーザーのインポートが正常に実行された後に詳細なログ
を生成する場合は [ はい ] を、生成しない場合は [ いいえ ] を
選択します。
[ はい ] を選択すると、処理が遅くなります。
詳細成功ログの
作成
3
エラーが発生した場合、エラーログが自動的に生成されま
す。
[OK] をクリックします。
ジョブがジョブリストに追加され、スケジュール設定した日時に実行されま
す。
ユーザーのインポート
229
ジョブの結果の確認
ユーザーのインポートジョブが完了すると、ジョブの作成者は圧縮された
HTML レポートを受信します。このレポートには、正常に作成されたユーザー
と作成が失敗したユーザーが表示されています。
レポートは電子メールで自動送信されます。レポートのリクエストは、 GUI で
各ジョブの [ ユーザー ] リンクをクリックしても可能です。
以下に、エラーがない場合のサンプルレポートを示します。
図 126
エラーがない場合のユーザーのインポートのサンプルレポート
以下に、エラーが発生した場合のレポートの例を示します。
230
第5章
図 127
エラーが発生した場合のユーザーのインポートのサンプルレポート
レポートを確認した後、必要な修正を行い、失敗したアカウントのみを含むファ
イルを再送信します。 OVSI クライアントでこのファイルをアップロードするた
め、新しいジョブを作成します。
最初に実行されるジョブを作成した場合、新しいジョブに同じ名前を付けるこ
とはできません。管理者として作成する各ジョブの名前は一意である必要があ
ります。
ユーザーのインポートステータスの表示
以前にスケジュール設定したインポートのステータスを確認するには、 [ ツール ]
→ [ ユーザーのインポート ] → [ ユーザーのインポートリスト ] を選択します。詳細につ
いては、 225 ページの「ジョブステータスの表示」を参照してください。
ユーザーのインポート
231
サービス割り当てのリスト
スケジュールサービスの割り当て機能では、新しく検出されたユーザーと OVSI
の既存のサービスを関連付けます。 OVSI のビジネスサービスアイデンティティ
管理を利用するため、ユーザーはサービスと関連付けられている必要がありま
す。通常、サービスの割り当ては一度だけのイベントであり、 OVSI 環境の初期
設定段階で使用します。
サービスの割り当ては、ユーザーのインポートプロセスでの最後のステップで
す。すべてのユーザーアカウントと使用権を OVSI に読み込んだ後で行う必要
があります。このアクションを実行する前に、すべてのサービスを作成する必
要があります。
OVSI では、既存のサービスの条件を満たすすべてのユーザーアカウントを、条
件を満たすサービスに自動的に割り当てます。条件審査は各アカウントの属性と
使用権の一致に基づいて行われます。管理者は新しく作成したアカウントを既存
のサービスの全部または一部に割り当てます。サービスを割り当てた後、 OVSI
の [ ユーザー管理 ] 機能を使ってユーザーアカウントをメンテナンスします。
システムは各ユーザーアカウントを調べ、そのユーザーが指定されたサービスの
リソースに存在するかどうかを評価します。割り当てを正常に行うため、ユー
ザーが必要なすべてのリソースに割り当てられている必要があります。
たとえば、サービス #1 が iPlanet を、サービス #2 が iPlanet および SAP を提
供する場合、以下のようになります。
•
ユーザー 1 は iPlanet のみに存在し、サービス #1 に割り当てられる。
•
ユーザー 2 は SAP のみに存在し、サービス #1 または #2 に割り当てること
はできない。
•
ユーザー 3 は iPlanet および SAP に存在し、サービス #1 および #2 に割り
当てられる。
したがって、サービスの割り当てプロセスを開始する前に、各リソースのユー
ザーのインポートは 100% 完了していなければなりません。
[ サービス割り当てのリスト ] ページ
[ サービス割り当てのリスト ] ページには、スケジュール設定されたすべてのスケ
ジュールの割り当てが表示されます。これは情報を表示するだけのページです。
以下の情報が含まれています。
232
第5章
•
[ ジョブ ID] — システムによって割り当てられた一意の番号
•
[ ジョブ名 ] — ジョブの作成時に管理者によって割り当てられた一意の名前
•
[ 予定日 ] — インポートの実行予定日
•
[ ステータス ] — サービス割り当ての状態 ( 完了、保留中、失敗 )
•
[ ユーザー ] — サービスに対して評価されたユーザーの数
ジョブステータスを表示するには、以下の手順に従います。
1
[ ツール ] → [ ユーザーのインポート ] → [ サービス割り当てのリスト ] を選択しま
す。
[ サービス割り当てのリスト ] ページが開きます。
図 128
2
ユーザーのインポート
[ サービス割り当てのリスト ] ページ
リストを確認します。新しいサービスの割り当てを作成し、スケジュール設
定する必要がある場合は、 [ スケジュールサービスの割り当て ] をクリックしま
す。
233
特定のサービスの割り当てを検索するには、以下の手順を実行します。
1
[ 検索 ] パネルで、ドロップダウンボックスから [ ジョブ名 ] パラメータを入
力し、隣のフィールドに適切な情報を入力します。
検索の実行方法については、「はじめに」の 18 ページの「OVSI の検索機能の
使用」を参照してください。
2
[ 検索 ] をクリックします。
[ サービス割り当てのリスト ] に、条件に一致するジョブが表示されます。
サービスの割り当てのスケジュール設定
サービスの割り当ては、すべてのサービスのすべてのコンテキストにアクセスで
きる OVSI のシステム管理者が実行する必要があります。
ユーザーをシステムに追加した後、サービスへのアクセスをスケジュール設定で
きます。これは、新しいシステムをオンライン化し、多数のユーザーのアクセス
権をまとめて設定する必要がある場合に特に便利です。サービスおよびリソース
の割り当ては初期に行うことができます。割り当ては適切なシステム本番稼動日
に実行されます。
この項では、次の事項について説明します。
•
サービスの割り当てのスケジュール設定
•
ジョブの結果の確認
•
サービス割り当てレポートの表示
•
サービス割り当てレポートの変更
サービスの割り当てのスケジュール設定
割り当てをスケジュール設定するには、以下の手順に従います。
1
[ ツール ] → [ ユーザーのインポート ] → [ スケジュールサービスの割り当て ] を選
択します。
[ スケジュールサービスの割り当て ] ページが開きます。
234
第5章
図 129
2
[ スケジュールサービスの割り当て ]
Tab キーを押してフィールド間を移動し、正しい情報を入力します。
フィールド
アクション
ジョブ名
ジョブの一意の名前を入力します。
電子メールの
CC
OVSI では、ジョブが完了すると、ジョブを作成、実行して
いる管理者に電子メールが送信されます。他の管理者に電
子メールを送信するには、 [ 電子メールの CC] フィールドに
アドレスを入力します。
ジョブの実行日
[ カレンダ ] アイコンをクリックして、このジョブを実行する
日付を選択します。カレンダから今日を選択すると、ジョ
ブがすぐに実行されます。
ジョブの実行時
刻
前に指定した日付でジョブを実行する時刻 (HH:MM 形式 )
を入力します。
ユーザーのインポート
235
フィールド
アクション
アイコンをクリックし、プロビジョニングしたユー
ザーに割り当てるサービスを選択します。
リストに含まれているサービスを削除するには、リソース
をクリックして [ 削除 ] ボタンをクリックします。ハイライ
トされているサービスのみが割り当てられます。
サービスの選択
サービスを選択しないと、デフォルトですべてのサービス
が含まれます。
監査操作
ラジオボタンで、割り当て手順を監査対象にするかどうか
を選択します。
レポートの
スタイル
割り当て結果について、簡単なレポートと詳細なレポート
のどちらを受信するかどうかを決定し、適切なラジオボタ
ンを選択します。
割り当てたサー
ビスの処理
ユーザーにサービスがすでに割り当てられている場合、操
作を省略または反復します。
3
[OK] をクリックします。
ダイアログボックスが開き、サービスの割り当てジョブを新規作成するかど
うかが確認されます。
4
再度、 [OK] をクリックします。
サービスの割り当てジョブをスケジュール設定します。
ジョブの結果の確認
デフォルトでは、ジョブの結果は圧縮された HTML ファイルとしてジョブリク
エストの作成者に電子メールで送信されます。
OVSI の GUI から圧縮されたジョブレポートをリクエストおよび表示するには、
以下の手順に従います。
1
[ ツール ] → [ ユーザーのインポート ] → [ サービス割り当てのリスト ] を選択しま
す。
[ サービス割り当てのリスト ] ページが開きます。
236
第5章
図 130
[ サービス割り当てのリスト ] ページ
図 131
リクエストダイアログ
ユーザーのインポート
237
2
[OK] をクリックします。
サービス割り当てレポートの表示
ジョブの結果を表示するには、以下の手順に従います。
1
[ ツール ] → [ ユーザーのインポート ] → [ サービス割り当てのリスト ] を選択しま
す。
[ サービス割り当てのリスト ] ページが開きます。
図 132
238
[ サービス割り当てのリスト ] ページ
•
ジョブ ID
•
ジョブ名
•
予定日
•
ステータス
•
ユーザー数
第5章
サービス割り当てレポートの変更
1 つのサービス割り当てレポートのサイズが大きすぎて読めない場合がありま
す。その場合、サービス割り当てレポートを複数のセグメントに分割し、まとめ
て圧縮します。
割り当てるサービスの数が 5 未満の場合、デフォルトのセグメントを推奨しま
す。その他の場合、セグメントサイズを小さくする必要があります。
TruAccess.properties ファイルでは、各セグメントのサイズが以下のよう
に指定されています。
si.serviceassignment.report.partsize = X (default to 6000 users)
ユーザーのインポート
239
240
第5章
6 外部コール
OVSI のワークフロープロセスおよび属性は、外部システムでアクションを実行
するための機能をサポートしています。この機能は外部コールと呼ばれ、この機
能を使用することで、アクセス承認プロセスを他の業務プロセスやシステムと統
合することができます。また、外部システムの呼び出しによって、アイデンティ
ティ属性の値に制約を加えたり、値を検証することもできます。
OVSI では、外部システムを呼び出すための機能をサポートしています。外部
コールを使用することで、以下を行うことができます。
•
承認者の選択 — 外部プログラムを実行して、ワークフローの承認者のリス
トを取得します。
•
値の生成 — 属性の値を生成します。
•
値の制約 — 属性に使用可能な値のリストを提供します。
•
値の妥当性検査 — 属性の値の妥当性を検査します。
•
値の検証 — 値がすでに保存されているものであるかどうか検証します。パ
スワードの検証に使用します。
•
証明書の管理 — 外部システムから証明書を取得できます。
•
SPML リクエストフィルタ — SPML リクエストを処理する前に起動されま
す。
•
ワークフローアクション — ワークフローの一部としてタスクを実行するこ
とで、承認プロセスを外部プロセスやシステムと統合することができます。
外部コール API とワークフロー API を使用して、外部コールによって呼び出さ
れるクラスをコーディングする必要があります。外部コールの Java ファイルを
作成すれば、外部コール機能を使用してこのファイルを OVSI に登録できます。
外部コールの作成については、『Select Identity External Call Developer
Guide』を参照してください。
241
OVSI の外部コール API およびワークフロー API で、外部コールを作成するた
めの Java ベースのインタフェースが定義されます。このインタフェースの
OVSI 側は必ず Java でなければなりませんが、任意のプログラムで作成された
相手側のプログラムに対して「ラッパー」にすることもできます。
ワークフローの外部コールでは、 API は同期通信をサポートしています。 OVSI
では、外部システムが通信処理を完了し、呼び出しの一部としてステータス情
報を返すことが必要となります。返されたステータス情報に従い、 OVSI がワー
クフローの処理を続けます。
デフォルトの外部コール
OVSI には、外部システムとの通信を可能にするデフォルトの外部コールが用意
されています。それぞれの外部コールは、以下の呼び出しタイプのいずれかに
なります。
•
承認者の選択 — 外部システムから、ワークフロー中のプロビジョニングリ
クエストを承認できるユーザーのリストを検索します。
•
属性値の生成 — ユーザーの名前や ID、ユーザーのパスワード、その他ユー
ザーの会社や部署といった属性を生成します。
•
属性値の制約 — 属性に使用可能な値のリストを提供します。
•
属性値の妥当性検査 — 属性の値の妥当性を検査します。
•
属性値の検証 — 属性の値を検証します。
•
証明書管理機能 — 外部システムから証明書を取得します。
•
SPML リクエストフィルタ — SPML リクエストを処理するために使用され
ます。
•
ワークフローアクション — ワークフローの一部としてタスクを実行し、承
認プロセスを外部プロセスやシステムと統合できるようにします。
ほとんどの外部コールでは、後で変更可能なパラメータがあらかじめ定義され
ています。以降の項では、外部コールの機能とそのパラメータを呼び出しのタ
イプ別にリストして説明します。
242
第6章
承認者の選択の外部コール
外部システムから、ワークフロー中のプロビジョニングリクエストを承認できる
ユーザーのリストを検索します
WFGetApproverSampleExtCall
承認に使用するユーザーのリストを指定した外部コールのサンプルです。
パラメータ :
パラメータ名
パラメータ値の説明
SampleApprovers
承認に使用するカンマ区切りの
ユーザーリスト
属性値の生成の外部コール
属性値の生成では、ユーザーの名前や ID、ユーザーのパスワード、その他ユー
ザーの会社や部署といった属性を生成します。属性値の生成の外部コールは以下
のとおりです。
•
IDValueGeneration
•
PasswordValueGeneration
•
UserIDValueGeneration
•
ValueGenerateFunction
IDValueGeneration
一意の数字からなる属性を生成します。
外部コール
243
パラメータ :
パラメータ名
パラメータ値の説明
Suffix
数字の後に使用します。
Prefix
数字の前に使用します。
PasswordValueGeneration
文字と数字からなるパスワードを生成します。少なくとも 1 つは数字が含まれ
ていなければならず、文字は小文字を使用します。最小パラメータと最大パラ
メータで値の範囲が制約されます。特殊文字 ( 「/」、「+」、「-」 ) は使用できませ
ん。
パラメータ :
パラメータ名
パラメータ値の説明
minLength
パスワードの最小長
maxLength
パスワードの最大長
UserIDValueGeneration
別の属性に基づき、ユーザー ID を生成します。
244
第6章
パラメータ :
パラメータ名
パラメータ値の説明
AttributeName
ユーザー ID を生成する元になる属
性名 ( 電子メールなど )
Length
生成される ID の長さ
MaxRetryAttempts
一意の ID を作成するために試行で
きる最大回数
ValueGenerateFunction
他の属性値など指定したパラメータに基づき、属性の値を生成します。
パラメータ
パラメータ名
パラメータ値の説明
Expression
生成する値。属性を括弧で囲みま
す ([username] など )。属性を結合
するのに便利です。
属性値の制約の外部コール
属性に使用可能な値のリストを提供します。属性値の制約の外部コールは以下の
とおりです。
•
Search Connector
•
Search Table
Search Connector
指定した resource_name に基づいて属性を制約します。すべての使用権属性に
よって自動的に実装されます。
外部コール
245
パラメータ :
パラメータ名
パラメータ値の説明
resource_name
OVSI のリソース名
Search Table
指定した query および valuefield に基づいて属性を制約します。クエリーは、
指定した poolname を使用して実行されます。
パラメータ :
パラメータ名
パラメータ値の説明
poolname
クエリーを実行するデータソース
の JNDI 名およびプール名
query
データベースから有効な値を動的
に検索するために呼び出されるク
エリー
valuefield
属性の制約に使用されるクエリー
の値
属性値の妥当性検査の外部コール
属性値の妥当性を検査します。属性値の妥当性検査の外部コールは以下のとお
りです。
246
•
IsAlphaNumeric
•
ManageExpireValidation
•
Password History And Dictionary Validation
•
PasswordDictionaryValidation
•
PasswordValidation
第6章
•
ValidateConnector
IsAlphaNumeric
属性が英数字であるかどうかを確認します。パラメータはありません。英数字の
属性には、少なくとも 1 つの文字と 1 つの数字が含まれていなければなりませ
ん。
パラメータ
なし
ManageExpireValidation
ExpirationDate 属性の値の妥当性を検査します。この値は現在の日付から 30 日
以上先でなければなりません。パラメータはありません。 ExpirationDate 属性の
値が 30 日未満であると、エラーメッセージが表示されます。これによって、有
効期限が通知の電子メールを送信する日付よりも先となり、通知を行う日付が現
在の日付よりも先にすることがリクエストされます。通知を行うデフォルトの日
付は 30 日先です。
パラメータ
なし
Password History And Dictionary Validation
パスワードの属性の履歴およびディクショナリの妥当性を検査するための機能。
編集可能なパラメータはありません。 PasswordDictionaryValidation と
PasswordHistoryValidation で個々に提供される機能を結合したものです。
パラメータ
なし
PasswordDictionaryValidation
パスワードの属性のディクショナリチェックの妥当性を検査するための機能。編
集可能なパラメータはありません。管理者が定義したディクショナリの中に属性
値が含まれていないことを確かめます。
外部コール
247
パラメータ
なし
PasswordHistoryValidation
パスワードの属性の履歴の妥当性を検査するための機能。編集可能なパラメー
タはありません。
パラメータ
なし
PasswordValidation
各文字タイプについて、指定した文字数が少なくともパスワードに含まれてい
ることを確認します。
パラメータ :
パラメータ名
パラメータ値の説明
Letters
必要な文字数
Numerics
必要な数値の数
Lower Case Letters
必要な小文字の数
Upper Case Letters
必要な大文字の数
ValidateConnector
使用権値が有効であるかどうかチェックするための機能。編集可能なパラメー
タはありません。使用権属性によって自動的に実装されます。
パラメータ :
パラメータ名
パラメータ値の説明
resource_name
248
第6章
属性値の検証の外部コール
ユーザーが OVSI へのログオンを試行したときに実行される外部コール。ユー
ザーの資格証明を検証するために使用されます。
PasswordVerification
入力したパスワードがユーザーの OVSI パスワードと一致しているかどうかを
チェックする簡単なパスワードの確認。
パラメータ
なし
証明書管理機能の外部コール
証明書の妥当性検査機能および生成機能を実装します。証明書管理機能の外部
コールは VerisignCertImpl です。 Verisign 証明書管理についての詳細は、『HP
Select Identity Workflow Studio ガイド』の付録 E を参照してください。
VerisignCertImpl 外部コール
WorkFlowCertificateRequest 外部コールによって呼び出され、証明書リクエス
トの妥当性を検査します。パラメータはありません。詳細については、『HP
Select Identity Workflow Studio ガイド』の第 2 章を参照してください。
パラメータ
なし
SPML リクエストフィルタの外部コール
調整のワークフロー処理の前に、リクエストに対して実行できる外部コールで
す。
ExtendedSPMLRequestFilter
拡張 SPML リクエストを標準的な SPLML リクエストに変換します。
外部コール
249
パラメータ
なし
ワークフローの外部コール
ワークフローの一部としてタスクを実行することで、外部プロセスやシステム
と承認プロセスを統合できます。ワークフローの外部コールは以下のとおりで
す。
•
ExclusionRuleCall
•
LoadUserServices
•
UserEnableDisableWFExtCall
•
WorkflowCertificateRequest
ExclusionRuleCall
Exclusion ルールを実行するための機能です。
パラメータ :
パラメータ名
パラメータ値の説明
RuleName
実行するルールの名前
WFVariableName
ルールの評価結果を格納しておく
ワークフロー変数の名前
LoadUserServices
コンテキストの変更に基づいて、ユーザーにサービスを追加します。この外部
コールの使用例については、『Workflow Studio ガイド』の「Scenario: Adding
Services to a User」を参照してください。
250
第6章
パラメータ :
パラメータ名
パラメータ値の説明
ServicesRule
ルール名を指定します。
UserEnableDisableWFExtCall
指定した属性に格納されている値に基づいて、ユーザーを有効または無効にしま
す。
パラメータ :
パラメータ名
パラメータ値の説明
AttributeName
値をチェックする属性名。
EnableValue
ユーザーの属性の値が EnableValue
と一致している場合、このユー
ザーが無効になっていれば有効に
します。
DisableValue
ユーザーの属性の値が
DisableValue と一致している場合、
このユーザーが有効になっていれ
ば無効にします。
UserName
この外部コールを使用するユー
ザーを変更するための権限を持つ
管理者。
Password
管理者のパスワード。
url
Web サービスの URL。
WorkflowCertificateRequest
証明書を管理します。この外部コールの使用については、『HP Select Identity
Workflow Studio ガイド』の第 2 章を参照してください。
外部コール
251
パラメータ :
パラメータ名
パラメータ値の説明
ExternalCallName
証明書の妥当性検査機能および生
成機能を実装する CA 固有の Java
クラスの名前。
CertificateProviderName 証明書のプロバイダ名。 Verisign
の場合は、この名前は「Verisign」
でなければなりません。それ以外
の場合はすべて、管理者が名前を
割り当てることができます。
EmailTemplateName
ユーザーに電子メールを送信する
ための OVSI のデフォルトの電子
メールのテンプレート。
CertificateFieldName
ユーザー登録時に割り当てられる
質問パスワード。
DN_FieldName
証明書に対するユーザーの識別名
(DN) を格納しておく属性名。
ワークフローテンプレートに対する外部コールの作
成
OVSI では、ユーザー独自の外部コールを作成することもできます。外部コール
を作成するには、外部システムにリクエストを発行するためのコードを記述す
る必要があります。外部コールの作成についての詳細は、『HP OpenView
Select Identity External Call Guide』を参照してください。
252
第6章
外部コールで情報を返す場合、 OVSI で有効なデータを返さなければなりませ
ん。たとえば、 Approval Lookups の場合、外部コールでは OVSI 内に存在する
有効なユーザー ID を返さなければなりません。このため、外部コールを作成す
る際に、返されたユーザー ID を OVSI のユーザー ID にマッピングするための
方法を指定する必要があります。
外部システムが OVSI のユーザー ID を送信できないと、ワークフロープロセス
は終了し、エラーが送信されます。
呼び出しを作成したら、クラスファイルまたは jar ファイルを OVSI サーバーの
ディレクトリにコピーします。これらのファイルを OVSI のインストールパス
のディレクトリにコピーした場合、配布プロシージャの手順を省略できます。
属性に対する外部コールの作成
外部機能を以下のような目的でさまざまな属性に割り当てることができます。
•
値。属性の許容値が定義されます。
•
制約。属性値が特定のフォーマットまたは要件に制限されます。
•
妥当性検査。属性の値の妥当性を検査するために外部プログラムが呼び出さ
れます。
•
検証。値がすでに保存されているものであるかどうかが検証されます。これ
はパスワードの検証に使用されます。
•
生成。属性の値が自動的に生成されます。
これらの機能は、 [ 外部コール ] ページから作成し、 OVSI システムで使用する
ことができます。例については、『HP OpenView Select Identity External Call
Developer Guide』を参照してください。
外部コールの配布
外部コールに必要なファイルを作成したら、作成したファイルを OVSI クライ
アントから配布することができます。ワークフロープロセスを充実させたり属性
管理をサポートするために、外部コールを作成できます。
外部コール
253
外部コールを配布するには、以下の手順に従います。
1
[ サービス工房 ] → [ 外部コール ] を選択します。
[ 外部コールリスト ] ページが開きます。
2
[ 外部コールの登録 ] をクリックします。
[ 新しい呼び出しの登録 ] ページが開きます。アスタリスク (*) が付いている
フィールドは必須フィールドです。
3
[ 外部コール名 ] フィールドに新しい呼び出しの一意の名前を入力します。
4
必要であれば、 [ 説明 ] テキストボックスに説明を入力します。
5
[ クラス名 ] フィールドに、 Java インタフェースを実装するクラスの名前を
入力します。
6
[ クラスのパス ] フィールドにインタフェースの完全修飾パスを入力します。
クラスファイルまたは jar ファイルのフルパスでなければなりません。
パスが OVSI のインストールパス内であれば、この情報は必要ありません。
7
[ 呼び出しタイプ ] ドロップダウンリストから、追加する呼び出しのタイプを
選択します。ワークフロープロセスで選択できるタイプは以下のとおりで
す。
254
呼び出し
目的
属性値の検証
値がすでに保存されているものであるかどうか検証します。
パスワードの検証に使用します。
証明書管理機能
証明書の妥当性検査機能および生成機能を実装します。
ワークフローの外
部コール
ワークフロープロセス時に外部プログラムまたは外部シス
テムを呼び出します。
SPML リクエスト
フィルタ
SPML データをフィルタします。
属性値の生成
属性の値を生成します。
第6章
呼び出し
目的
承認者の選択
外部プログラムを実行して、ワークフローの承認者のリス
トを取得します。
属性値の制約
属性の値を制限します。
属性値の妥当性検
査
属性値の妥当性を検査します。
8
[ 次へ ] をクリックします。
[ パラメータの設定 ] ページが開きます。
9
外部コールに渡す各パラメータについて名前と値を入力します。外部システ
ムに渡されるものと渡されないものがあります。
10 パスワードなど、値を暗号化する場合は、 [ 機密 ] をクリックします。 [ 機密 ]
をオンにしなかった場合、値はプレーンテキストで表示されます。
11 [ 完了 ] をクリックします。
新しい呼び出しが OVSI に登録されます。
外部コールの変更
外部コールの説明または OVSI から渡されるパラメータを変更する必要が生じ
た場合は、 OVSI クライアントでこの情報を変更できます。
外部コールを変更するには、以下の手順に従います。
1
[ サービス工房 ] → [ 外部コール ] を選択します。
[ 外部コールリスト ] ページが開きます。
2
変更する外部コールを選択します。
3
[ 変更 ] を選択します。
[ 外部コール名 ] : [ 基本情報 ] ページが開きます。
4
必要に応じて、 [ 説明 ] および [ クラスのパス ] を変更します。
5
[ 適用 ] をクリックします。
作業を保存します。
外部コール
255
6
処理が完了したら、 [OK] をクリックして、 [ 外部コールリスト ] ページに戻り
ます。
7
パラメータの確認や外部コールのパラメータの追加または変更を行うには、
左側のペインで [ パラメータ ] をクリックします。
[ パラメータの設定 ] ページが開きます。
8
[ パラメータ名 ] および [ パラメータ値 ] に必要な情報を入力して、パラメータ
を追加します。
9
10
[ 機密 ] の選択を確認して、必要な値を変更します。
[ 適用 ] をクリックします。
新しいパラメータが下部パネルに表示されます。
11 既存のパラメータを選択し、 [ 変更 ] をクリックして、パラメータを変更しま
す。
パラメータが上部パネルに表示されます。
12 変更内容を入力して、 [ 適用 ] をクリックします。
13 [ 適用 ] をクリックします。
14 外部コールを選択し、 [ 削除 ] をクリックして、既存のパラメータを削除しま
す。
外部コールの表示
外部コールを表示するには、以下の手順に従います。
1
256
[ サービス工房 ] → [ 外部コール ] を選択します。
[ 外部コールリスト ] ページが開きます。
第6章
2
表示したい外部コールがリストされていない場合は、 [ 検索 ] ペイ
ンに検索パラメータを入力します。検索の実行方法については、
「はじめに」の 18 ページの「OVSI の検索機能の使用」を参照し
てください。以下の方法で検索が可能です。
•
外部コール名を正確に入力するか、または先頭の数文字を入
力します。
•
[ 機能タイプ ] ドロップダウンリストから呼び出しタイプを選
択し、 [ 検索 ] をクリックして、リストに表示された外部コー
ルを選択します。
3
[ ビュー ] をクリックします。
[ 基本情報 ] ページが開きます。
4
左側のパネルの [ パラメータ ] をクリックして、呼び出しに関連するパラメー
タを表示します。
5
[ キャンセル ] をクリックして、 [ 外部コールリスト ] ページに戻ります。
外部コールの削除
外部コールを削除するには、以下の手順に従います。
1
[ サービス工房 ] → [ 外部コール ] を選択します。
[ 外部コールリスト ] ページが開きます。
2
削除する外部コールを選択します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが開きます。
4
[OK] をクリックします。
呼び出しが削除されます。
外部コール
257
258
第6章
7 Workflow Studio
ワークフロープロセスの複雑さは、必要なプロビジョニングによって大きく異な
ります。ユーザーをプロビジョニングするには、 OVSI でユーザーを作成してか
ら、ユーザーアカウントを外部リソースに適用します。または、プロビジョニン
グに OVSI の複数の管理者による承認が必要な場合もあります。承認プロセス
もまた、サードパーティのシステムまたはデータベースへの外部コールに依存す
ることがあります。
たとえば、従業員がマネージャに昇進した場合、他の従業員を管理するために企
業の HCM システムにアクセスする必要があります。新たな責任を果たせるよ
う、その従業員に対して新しい使用権とアクセス権限を付与する必要がありま
す。従業員がそれらのシステムにアクセスできるようにする前に、上級管理者が
アクセスリクエストを承認し、関連システムで従業員が作成される必要がありま
す。
このように、ワークフロープロセスでは、マネージャ名の取得、 HCM システム
への従業員の追加に対する承認、従業員のアカウントのプロビジョニング、他の
従業員を管理するための権限が承認されたことの従業員への通知を行います。
この章では、次の事項について説明します。
•
Workflow Studio の概要
•
OVSI のワークフローテンプレート
•
外部コール
•
承認
Workflow Studio の概要
Workflow Studio を使って、プロビジョニングプロセスを表すワークフローテン
プレートを作成できます。ワークフローテンプレートはこのプロセスをモデルに
して、承認者やシステム管理ソフトウェアが実行しなければならないアクション
259
を自動化します。ワークフロープロセスもまた、サードパーティのシステムま
たはデータベースへの外部コールに依存することがあります。詳細は、 242 ペー
ジの「デフォルトの外部コール」を参照してください。
Workflow Studio のアクションへのアクセス権を持っている管理者は、システム
に対するユーザーの追加、更新、削除に使用するワークフローテンプレートお
よびワークフロープロセスを定義します。ワークフローでは、完了前に 1 つま
たは複数の手順が必要なことがあります。
新しいアカウントの確認が必要な場合、各承認者に電子メールで通知が送信さ
れます。その管理者は OVSI の [ 承認リスト ] セクションにログインしてアクセ
スします。 [ リクエスト ] というタイトルのセクションで、ホームページの下部に
[ 保留中のタスク ] の通知が表示されています。
テンプレート作成プロセスの複雑さは、企業のセキュリティポリシーと同程度
です。『HP OpenView Select Identity Workflow Studio ガイド』には、
Workflow Studio を使用して、使用するワークフローテンプレートと構成単位を
作成する方法が記載されています。 Workflow Studio の機能の概念と手順につい
ては、『HP OpenView Select Identity Workflow Studio ガイド』を参照してく
ださい。
OVSI のワークフローテンプレート
OVSI クライアントを使って、サービスロールのリクエストイベントにワークフ
ローテンプレートを割り当てることができます ( サービスロールはサービスの一
部として作成されます。 168 ページの「サービスロールの定義」を参照してくだ
さい )。たとえば、単純なプロビジョニングテンプレートを自己サービスのサー
ビス追加リクエストに割り当てることができます。このテンプレートはユー
ザーのプロビジョニングを実行し、 1 つの承認をリクエストすることができま
す。その後、ユーザーが [ あなたのサービス ] ページの [ サービスの追加 ] オプ
ションを使って新しいサービスへのアクセスをリクエストすると、テンプレー
トが起動され、そのユーザーを関連システムに追加する前に管理者がそのリク
エストを承認する必要があります。
OVSI でテンプレートが起動されると、ワークフローインスタンスが作成され、
テンプレートの定義に従ってアクティビティが実行されます ( 「ワークフロー」
はワークフローインスタンスを指します )。より複雑なワークフローを作成する
と、アクティビティに次のことを含めることができます。
260
第7章
•
[ 管理者ロール ] ページで作成したロールを指定することで、承認者のリス
トを選択する
詳細については、 35 ページの「管理者ロール」を参照してください。
•
[ 通知 ] ページで作成した電子メールテンプレートのいずれかを使って電子
メールを送信する
詳細については、 126 ページの「通知の変数」を参照してください。
•
サードパーティのシステムにアクセスするための外部コールを実行する
詳細については、 241 ページの「外部コール」を参照してください。
Workflow Studio
261
262
第7章
8 ユーザー
OVSI の [ ユーザー ] 機能を使用して、組織内のユーザーアカウントを管理でき
ます。システム管理者はユーザー管理機能を各管理者ロールに割り当て、どの管
理者がどのユーザーアカウントを管理するかを決定することで、ユーザー管理プ
ロセスを 1 人または複数の管理者に委任します。
割り当てられた管理者は、各アカウントで利用できるサービスと関連する属性を
決定します。サービスにアクセスする新規ユーザーを作成するときに、ワークフ
ローテンプレートで、 OVSI がユーザーリクエストを承認およびプロビジョニン
グするプロセスを定義します。
管理者は企業のサービス構造を熟知している必要があります。 [ ユーザー ] セク
ションで実行されるアクションの多くは、サービス、コンテキスト、プロファイ
ル属性情報に依存しています。サービスとコンテキストの詳細は、 57 ページの
「サービス工房」を参照してください。属性の詳細は、 159 ページの「サービス
属性の概要」を参照してください。
OVSI では、他の機能領域全体でユーザーを検索できます。ユーザー検索は、
ユーザーアカウントプロファイルを構成する属性に基づいています。ユーザーの
他の属性の追加は、検索で使用可能な TruAccess.properties ファイルを通し
て行います。 TruAccess.properties ファイルの詳細は、『HP OpenView
Select Identity インストールガイド』を参照してください。
これらの各機能領域へのアクセスは、アカウントに割り当てられた管理者ロール
によって決まります。
この章では、次の事項について説明します。
•
ユーザーの追加
•
ユーザーレコードの表示
•
ユーザーの削除
•
ユーザーサービスアカウントのメンテナンス
•
ユーザーサービスとリソースのメンテナンス
263
•
レポートの表示
ユーザーの追加
ユーザーにサービスが割り当てられ、ユーザーがサービスに登録されると、属
するリソースが OVSI によってプロビジョニングされます。組織内でユーザー
アカウントを追加し、 OVSI によって管理されるサービスとリソースへのアクセ
スを有効化します。
ユーザーを新規作成するには、以下の手順に従います。
•
ユーザーの作成
•
コンテキストの作成と属性の定義
•
サービスの登録
•
ユーザーレコードの表示
ユーザーの作成
ユーザーアカウントを追加するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーの作成 ] を選択します。
[ 新規ユーザーの追加 ] : [ サービスの選択 ] ページが開きます。
2
このユーザーアカウントに割り当てるサービスをそれぞれ選択します。
3
[ 選択 ] をクリックします。
ページの下のパネルに、選択した各サービスが表示されます。
4
[ 次へ ] をクリックします。
[ 新規ユーザーの追加 ] : [ コンテキスト ] ページが開きます。
コンテキストの作成と属性の定義
新しいユーザーが属するサービスを決定したら、そのユーザーをユーザーグ
ループに配置します。正しいコンテキストユーザーグループを選択した後、表
示された属性フィールドに入力してユーザープロファイルを定義します。利用
可能なユーザーグループコンテキストは [ サービス ] で設定されています。 [ コン
テキスト ] および [ 属性 ] フィールドは、選択したサービスとユーザーグループ
によって異なります。コンテキストの詳細は、 145 ページの「サービスコンテキ
ストの概要」を参照してください。
264
第8章
このページに表示されているフィールドは、選択したサービスおよび
コンテキストによって異なります。
5
コンテキストユーザーグループを入力し、 [ 更新 ] をクリックします。
関連付けられているコンテキストフィールドが表示されます。
ページの左のパネルに、さきほど選択した各サービスが表示されてい
ます。ハイライトされているサービスは現在更新中のサービスです。
各サービスの更新が必要ですが、必要な情報はそのサービスでサポー
トされている属性フィールドによって異なります。多くのサービスに
は、姓、会社、電子メールなど、重複するフィールドがあります。
フィールドに情報を入力すると、他の各サービスで必要な場合、同じ
データが自動的に入力されます。
6
表示されている属性を確認した後、 Tab キーを押してフィールド間を移動し
て必要な更新を行い、必要なすべてのフィールドが入力されている状態にし
ます。
以下に、一般的なユーザー属性フィールドのタイプを示します。コン
テキストユーザーグループごとに、属性リストがあります。表示され
るフィールドは、選択したコンテキストによって異なります。
ユーザー
265
フィールドタイ
プ
必要なアクション
データフィールド
これらのフィールドにはデータを入力します。
複数行テキスト
ボックス
フィールドにテキストを入力して [ 追加 ] をクリックし、複
数行のテキストボックスに挿入します。すべてのデータを
入力し終わるまで、このプロセスを繰り返します。
不要なデータを削除するには、テキストをハイライトして
[ 削除 ] をクリックするか、ハイライトされている項目の選
択を解除します。ハイライトされているテキストのみが適
用されます。
リストボックス
アイコンをクリックして、リストにデータを追加し
ます。
不要なデータを削除するには、テキストの選択を解除しま
す。ハイライトされているテキストのみが適用されます。
カレンダ
7
アイコンをクリックして、日付を選択します。
[ 次へ ] をクリックします。
確認メッセージが表示されます。
8
すべてのサービスを割り当て終わるまで、このプロセスを繰り返します。
9
[ 完了 ] をクリックします。
リクエストを送信します。 [ ユーザーリスト ] ページが開きます。
このリクエストのステータスは、 [ リクエストステータスリスト ] ([ リクエスト ] →
[ リクエストステータスリスト ]) で表示できます。 [ リクエストステータス ] が [ 完了
しました - 成功 ] の場合、新しいユーザーは正常に作成されています。 [ リクエ
ストステータス ] が [ 処理中 ] で、対応するワークフローでリクエストが承認待
ちになっている場合、管理者がそのリクエストを承認する必要があります。管
理者は [ リクエストの承認リスト ] ([ リクエスト ] → [ リクエストの承認リスト ])
を使って承認を管理します (330 ページの「保留中のリクエストの承認または否
認」を参照してください )。
266
第8章
サービスの登録
[ ユーザープロファイル ] を追加し、該当するサービスを選択したら、そのユーザ
を他のサービスに登録できます。ユーザーを他のサービスに登録するには、以下
の手順に従います。
1
メニューオプションから [ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
変更するユーザーレコードを選択します。
3
[ 変更 ] をクリックします。
ユーザーの [ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティ
ブになります。
4
左上のパネルの [ アクション ] ドロップダウンメニューまたは [ 登録されている
サービス ] メニューの [ サービス ] ドロップダウンメニューから、 [ サービスに
登録 ] を選択します。
[ サービスに登録 ] : [ サービスの選択 ] ページが開きます。
図 133
5
ユーザー
[ ユーザーの変更 ] : [ ユーザー名 ]
ユーザーに割り当てるサービスを選択します。
下のパネルにサービスが表示されます。
267
6
[ 次へ ] をクリックします。
[ 新規ユーザーの詳細の追加 ] : [ コンテキスト ] ページが開きます。
図 134
7
[ 新規ユーザーの詳細の追加 ] : [ コンテキスト ] ページ
コンテキストユーザーグループを入力し、 [ 更新 ] をクリックします。
[ 新規ユーザーの詳細の追加 ] : [ コンテキスト ] ページが開きます。
同じコンテキスト属性名の場合、このページは省略されます。
8
表示されている属性を確認した後、 Tab キーを押してフィールド間を移動し
て必要な更新を行い、必要なすべてのフィールドが入力されている状態にし
ます。
9
すべての新しいサービスを更新し終わるまで、このプロセスを繰り返しま
す。
10 [ 完了 ] をクリックします。
リクエストを送信し、元のページに戻ります。
268
第8章
これはリクエストを送信するだけで、承認は行いません。リクエスト
を行うユーザーがこれを承認しない可能性もあります ( 承認が必要な
場合 )。手順については、 330 ページの「保留中のリクエストの承認
または否認」を参照してください。
[ 適用 ] をクリックすると、現在のページで行われた変更について、現
在のセッションに保留中のリクエストが作成されます ([ ユーザープロ
ファイル ] または [ 登録されているサービス ] 。 [ リソース ] タブは読み取
り専用 )。 [ ユーザープロファイル ] タブと [ 登録されているサービス ] タ
ブを切り替え、これらのページで属性値を変更することで、任意の数
の保留中のリクエストを作成できます ([ 適用 ] をクリック )。 [ リクエ
ストの送信 ] をクリックすると、すべての保留中のリクエストが保持
( データベースに保存 ) されます。 [ リクエストの送信 ] をクリックせず
に [ ユーザーの変更 ] 設定を終了すると、すべての変更が失われます。
[ 適用 ] をクリックするとページは移動しませんが、 [ リクエストの送信 ]
をクリックすると [ ユーザーリスト ] に戻ります。
[ リクエストの送信 ] または [ キャンセル ] をクリックすると、 [ ユーザー
リスト ] ページに戻ります。
サービスの有効化
サービスを有効化する前に、まずそれが無効な状態であることを確認します。
1
メニューオプションから [ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
変更するユーザーレコードを選択します。
3
[ 変更 ] をクリックします。
ユーザーの [ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティ
ブになります。
ユーザー
4
[ 登録されているサービス ] パネルで、変更するサービスを選択します。
5
[ サービス ] メニューで、 [ サービスの有効化 ] を選択します。 [ サービスの有効化 ]
ダイアログが表示されます。サービスを選択し、 [ 有効 ] をクリックします。
6
[ リクエストの処理 ] ボタンをクリックします。
[ 登録されているサービス ] ページに戻り、確認メッセージが表示されます。
269
サービスの無効化
1
メニューオプションから [ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーがアルファベット順に表示されます。
2
変更するユーザーレコードを選択します。
3
[ 変更 ] をクリックします。
ユーザーの [ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティ
ブになります。
4
[ 登録されているサービス ] パネルで、無効化するサービスを選択します。
5
[ サービス ] メニューで、 [ サービスの無効化 ] を選択します。 [ サービスの無効化 ]
ダイアログが表示されます。サービスを選択し、 [ 無効 ] をクリックします。
6
[ リクエストの処理 ] をクリックします。
[ 登録されているサービス ] ページに戻ります。ページの上部に、リクエスト
番号を含む確認メッセージが表示されます。
ユーザーレコードの表示
ユーザーアカウントを作成した後は、いつでもそれを表示できます。変更では
なく表示を選択すると表示専用のアクセスになり、変更は行えません。この項
では、次の事項について説明します。
•
サービスメンバーシップの表示
•
ユーザープロファイルの表示
•
リソースの割り当ての表示
サービスメンバーシップの表示
[ ユーザーリスト ] を使ってユーザーアカウントを構成している属性と値を表示す
るには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
270
第8章
2
表示するユーザーレコードを選択します。
標準の [ 検索 ] パネルを使うか、 [ 詳細検索 ] リンクをクリックして詳
細検索オプションを使って、ユーザーを検索することもできます。詳
細については、 18 ページの「OVSI の検索機能の使用」を参照して
ください。
3
[ ビュー ] をクリックします。
[ ビュー ] ページにユーザーアカウントが表示され、 [ 登録されているサービス ]
タブがアクティブになります。
4
[ 登録されているサービス ] パネルで、表示するサービスを選択します。
左下のパネルに関連付けられているアカウントが表示されます。
5
[ キャンセル ] をクリックしてフォームを閉じます。
[ ユーザーリスト ] に戻ります。
ユーザープロファイルの表示
[ ユーザーリスト ] を使ってユーザーアカウントを構成している属性と値を表示す
るには、以下の手順に従います。
1
メニューオプションから [ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
表示するユーザーレコードを選択します。
標準の [ 検索 ] パネルを使うか、 [ 詳細検索 ] リンクをクリックして詳
細検索オプションを使って、ユーザーを検索することもできます。詳
細については、 18 ページの「OVSI の検索機能の使用」を参照して
ください。
3
[ ビュー ] をクリックします。
[ ビュー ] ページにユーザーアカウントが表示され、 [ 登録されているサービス ]
タブがアクティブになります。
4
[ ユーザープロファイル ] タブをクリックします。
[ ユーザープロファイル ] ページが開きます。
表示されるフィールドは、 [ プロファイル ] 属性として定義されている
属性によって異なります。
ユーザー
271
5
[ キャンセル ] をクリックします。
[ ユーザーリスト ] ページに戻ります。
リソースの割り当ての表示
[ ユーザーリスト ] を使ってユーザーアカウントを構成している属性と値を表示す
るには、以下の手順に従います。
1
メニューオプションから [ ユーザー管理 ] →[ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
表示するユーザーレコードを選択します。
3
[ ビュー ] をクリックします。
ユーザーのアカウントが表示され、 [ 登録されているサービス ] タブが選択さ
れます。
4
[ リソース ] タブをクリックします。
5
[ リソース ] タブの [ リソース ] パネルで、表示するリソースを選択します。
下のパネルに関連付けられているアカウントが表示されます。
6
[ キャンセル ] をクリックしてフォームを閉じます。
[ ユーザーリスト ] に戻ります。
ユーザーの削除
ユーザーが企業のリソースに対して持っているアクセス権は、定期的に変更す
る必要があります。ユーザーが休職、復職、退職することがあります。
この項では、 OVSI からのユーザーアカウントの削除に関する次の事項について
説明します。
272
•
ユーザーアカウントの無効化
•
ユーザーアカウントの有効化
•
ユーザーアカウントの停止
第8章
ユーザーアカウントの無効化
ユーザーアカウントを無効化するには、以下の手順に従います。無効化したユー
ザーは、適切な権限レベルの管理者がいつでも再度有効化できます。
ユーザーが休職 / 退職し、復職の予定がない場合は、そのユーザーのアカウント
を無効化しないでください。その場合の処理については、 274 ページの「ユー
ザーアカウントの停止」を参照してください。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
無効化するユーザーを探して選択します。
3
[ 無効 ] をクリックします。
リクエストを送信し、ユーザーを無効化します。
また、 [ アクション ] メニューで [ 変更 ] をクリックして [ ユーザーの無効化 ] を選
択し、ポップアップ表示された確認ウィンドウで [OK] をクリックすることもで
きます。
このリクエストのステータスは、 [ リクエストステータスリスト ] ([ ユーザー管理 ]
→ [ リクエストステータスリスト ]) で表示できます。
ユーザーアカウントの有効化
ユーザーのアカウントを無効化すると、管理者が再度有効化するまで、そのユー
ザーはシステムにアクセスできません。
無効化したユーザーを有効化するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
有効化するユーザーを探して選択します。
3
[ 有効 ] をクリックします。
リクエストを送信し、ユーザーを有効化します。
このリクエストのステータスは、 [ リクエストステータスリスト ] ([ ユーザー管理 ]
→ [ リクエストステータスリスト ]) で表示できます。
ユーザー
273
ユーザーアカウントの停止
ユーザーがシステムにアクセスする必要がなくなった場合は、そのユーザーの
アカウントを停止します。 OVSI では、 TruAccess.properties で停止前無効化フ
ラグが true に設定されている場合 (truaccess.disable=true)、ユーザーのア
カウントをシステムから削除する前に無効化できます。
truaccess.disabledays=1 フラグは、削除する何日前にそのアカウントを無
効化する必要があるかを決定します。必要な場合、この一時停止期間中にユー
ザーアカウントを有効化し、停止しないようにすることができます。削除して
しまうと、そのユーザーがシステムに再度アクセスするには再作成が必要にな
ります。
OVSI では、ユーザーを停止する将来の日付を柔軟に指定することができます。
この機能は、従業員が退職の通知を行った場合、または従業員、コンサルタン
ト、契約社員に対し特定期間のみのユーザーアカウントを付与した場合に使用
します。 [ ユーザーの有効期限 ] は必要に応じて何度でも変更できるため、その
ユーザーがアクティブであるかぎり、割り当てられた有効期限を過ぎても柔軟
に延長できます。
TruAccess.properties ファイルで truaccess.disabled=FALSE が設定されている
場合、有効期限になると、 OVSI とリソースの両方からユーザーが停止されま
す。詳細は、『Select Identity インストールガイド』の「TruAccess.properties
の設定」を参照してください。また TruAccess プロパティで
truaccess.disabled=TRUE になっている場合は、そのユーザーはまず有効期限
が切れる日に無効化され、 24 時間後に停止されます。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
停止するユーザーレコードを探して選択します。
3
[ 停止 ] をクリックします。
[ ユーザーの停止 ] ページが開きます。
また、 [ アクション ] メニューで [ 変更 ] をクリックして [ ユーザーの停止 ] を選択
し、ポップアップ表示された確認ウィンドウで [OK] をクリックすることもでき
ます。
上のパネルには [ ユーザーの有効期限の現在の設定 ] があります。ユーザーが停止
されていない場合、このフィールドは空白です。ユーザーが停止待ちの状態の
場合、このフィールドには次の情報が表示されます。
274
第8章
•
[ 有効期限 ] — ユーザーがシステムから停止される予定日。
•
[ マネージャ通知送信済み ] — このメッセージは有効期限の何日前にマネー
ジャ通知が送信されるかを示します。デフォルトは、有効期限の {0} 日前で
す。
•
[ 期限切れ処理のステータス ] — 停止了リクエストの現在のステータスを示し
ます。システム日付 ( 今日の日付 )、有効期限、マネージャ通知日数によっ
て、次のいずれかの値が表示されます。
— [ 終了 ] — [ システム日付 ] が「[ 有効期限 ] － [ マネージャ通知日数 ] 」よ
り前の場合
— [ 処理中 ] — [ システム日付 ] が「[ 有効期限 ] － [ マネージャ通知日数 ] 」より
後で、 [ 有効期限 ] より前の場合
— [ 完了 ] — [ システム日付 ] が [ 有効期限 ] より後の場合
— [ 適用不可 ] — ユーザーが停止されていない場合
下のパネルを使って、停止のキャンセル、有効期限の変更、ユーザーの停止に関
するパラメータの設定を行うことができます。これらのフィールドでは次のこと
が可能です。
•
[ 有効期限の削除 ] — 停止をキャンセルします。
•
[ すぐに停止 ] — ユーザーをシステムからすぐに削除します。
•
[ ユーザーの有効期限の設定 / 変更 ] — さらに 2 つのフィールドがあります。
— [ 新しい有効期限 ] — カレンダのアイコンをクリックし、日付、時刻の順
に選択します。
[ マネージャ通知 ] — デフォルトは 30 日です。
4
情報を入力して [ 送信 ] をクリックします。
リクエストを送信し、ユーザーアカウントを停止します。
これによって、 24 時間以内の停止の準備として、ユーザーアカウントを無効化
し、すべてのサービスおよびリソースへのアクセスを一時停止します。管理者は
左のパネルで [ ユーザープロファイル ] -[ 停止日付 ] を確認して、ユーザーのス
テータスを表示できます。
また、 [ ユーザーの変更 ] ページからもユーザーアカウントを停止できます。
1
ユーザー
[ ユーザーリスト ] からユーザーを選択します。
275
2
[ 変更 ] をクリックします。
[ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブになりま
す。
3
ページの下部で、左のパネルの [ アクション ] をクリックして [ ユーザーの停止 ]
を選択するか、右のパネルの [ ユーザープロファイル ] タブをクリックして
[ ユーザーの停止 ] をクリックします。
ユーザーサービスアカウントのメンテナンス
ユーザーに対して、必要なすべてのサービスアカウントへのアクセスおよび / あ
るいは制限を維持するため、ユーザーアカウントのメンテナンスが必要です。
社内でのユーザーの責任に関する変更を正確に反映するため、ユーザーアカウ
ントの変更は迅速に行う必要があります。
以下のいずれかの処理が必要なことがあります。
•
End User ロールの定義
•
ユーザープロファイルの変更
•
パスワードのリセット
End User ロールの定義
OVSI では、ユーザーが [ あなたの ID 情報 ] 機能にログインしている場合、エ
ンドユーザーに自己管理権限を付与することができます。ここで付与された権
限は、 [ あなたの ID 情報 ] にアクセスできるすべてのエンドユーザーに付与さ
れます。ただし、エンドユーザーが持つのは、自分のアカウントに対して変更
を行う権限のみです。他のユーザーのアカウントに影響する変更を行うには、
管理者ロールを持っている必要があります。詳細については、 40 ページの「管
理者ロールの作成および管理」を参照してください。
End User に付与する自己管理権限を指定するには、以下の手順に従います。
276
1
メニューオプションから、 [ ツール ] → [ 管理者ロール ] → [ 管理者ロールリスト ]
を選択します。
[ 管理者ロールリスト ] ページに、ロールがアルファベット順に表示されます。
2
End User ロールを探して選択します。
第8章
ユーザー
3
[ 変更 ] をクリックします。
[ 管理者ロールの変更 ] : [End User] ページが開きます。
4
左のパネルの [ 権限 ] リンクをクリックします。
[ 管理者ロールの変更 ] : [ リクエスト権限 ] ページが開きます。
5
利用可能な権限のリストを確認し、有効化または無効化する各権限の横の
チェックボックスをクリックします。
権限
結果
すべての権限を含め
る
利用可能なすべてのチェックボックスを選択することで、
エンドユーザーにすべての権限を付与します。このオプ
ションは慎重に選択してください。すべての End User に
アクセスを許可する前に、それぞれの選択がどのような影
響をもたらすかを理解する必要があります。
あなたの ID 情報
[ あなたの ID 情報 ] 自己サービス機能へのアクセスをエン
ドユーザーに許可します。
パスワード変更
エンドユーザーが自分のパスワードを自由に変更できるよ
うにします。
パスワード変更のリ
セット用質問
[ あなたの ID 情報 ] へのアクセスを設定する際に、 [ 質問
/ 答えの質問 ] の選択と回答の入力をユーザーにリクエス
トします。これらの質問を使って、自己サービスの [ パス
ワード変更 ] および [ パスワードのリセット ] へのアクセスを
許可する前にユーザーを識別します。
あなたのプロファイ
ルの表示
エンドユーザーに対し、自分の [ ユーザープロファイル ] を
表示する権限を付与します。
あなたのプロファイ
ルの変更
エンドユーザーが自分のプロファイルの変更をリクエスト
できるようにします。
リクエストステータ
スの表示
ユーザーがプロファイルおよび OVSI でプロビジョニング
されているサービスやリソースへのアクセスに関する変更
リクエストのステータスを表示できるようにします。
サービスの追加
ユーザーが他のサービスへのアクセスをリクエストできる
ようにします。
277
権限
結果
管理者ロールの委任
エンドユーザーが管理権限を持っている場合、割り当てら
れているサービスやリソースを他のエンドユーザーに委任
できるようにします。
サービスメンバー
シップの表示
登録しているサービスを表示します。
あなたのロールの
表示
自分のロールを表示します。
6
[ 適用 ] をクリックします。
変更を保存します。
7
[OK] ボタンをクリックします。
変更を送信し、 [ 管理者ロールリスト ] ページに戻ります。
サービスメンバーシップの表示
OVSI のすべてのユーザーには、 End User ロールが割り当てられます。ただし、
システム内での追加権限を持つその他のロールを持つユーザーもいます。管理
者ロールを持っている End User は、管理が割り当てられているサービスを表示
できます。表示できるのは、自分に割り当てられているサービスのみです。管
理者ロールを持っている他の End User に管理が割り当てられているサービスは
表示できません。
サービスメンバーシップを表示するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
正しいユーザーレコードを選択します。
3
[ ビュー ] をクリックします。
[ 登録されているサービス ] : [ ユーザー名 ] ページが開き、 [ 登録されているサービ
ス ] タブがアクティブになります。
4
[ 登録されているサービス ] パネルに表示されているサービスのリストを確認
します。
5
278
表示するサービスを選択します。
第8章
6
[ サービスアカウント ] パネルに表示されているサービスアカウントを確認し
ます。
7
選択したアカウントに割り当てられているリソースを表示するには、 [ リソー
ス ] タブをクリックします。
[ ユーザーのリソース ] : [ ユーザー名 ] タブが開きます。
管理対象サービスの表示
権限を持っている End User は、割り当てられているサービスを表示できます。
End User が表示できるのは自分のサービスのみです。他のユーザーに割り当て
られているサービスは表示できません。
サービスメンバーシップを表示するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーがアルファベット順に表示されます。
2
正しいユーザーレコードを選択します。
3
[ ビュー ] をクリックします。
[ 登録されているサービス ] : [ ユーザー名 ] ページが開き、 [ 登録されているサービ
ス ] タブがアクティブになります。
4
[ 登録されているサービス ] パネルに表示されているサービスのリストを確認し
ます。
5
表示するサービスを選択します。
6
[ サービスアカウント ] パネルに表示されているサービスアカウントを確認
します。
7
選択したアカウントに割り当てられているリソースを表示するには、 [ リ
ソース ] タブをクリックします。
[ 登録されているサービス ] : [ ユーザー名のリソース ] タブが開きます。
ユーザープロファイルの変更
ユーザープロファイルには、そのユーザーの連絡先情報が含まれています。ユー
ザーを適切に管理するには、プロファイルを最新の状態にしておくことが重要で
す。
ユーザー
279
プロファイルを更新するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
正しいユーザーレコードを選択します。
3
[ 変更 ] をクリックします。
[ ユーザーの変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブ
になります。
4
[ ユーザープロファイル ] タブをクリックします。
[ ユーザープロファイル ] : [ ユーザー名 ] ページが開きます。
左のパネルに、選択したユーザーの [ アクション ] と [ ユーザーレポート ] が表示
されます。
[ ユーザーレポート ] をクリックすると、そのユーザーに対して利用可能なレポー
トのリストが表示されます。これらのレポートは表示専用です。レポートの詳
細は、第 17 章、「監査レポートと設定レポート」を参照してください。中央の
パネルには、利用可能な [ 登録されているサービス ] と [ サービスアカウント ] が表
示されます。右のパネルには、選択した [ 登録されているサービス ] の属性が表示
されます。
5
表示されているユーザープロファイルを確認し、必要に応じてフィールドの
変更を行います。
表示されるフィールドは、 [ プロファイル ] 属性として定義されてい
る属性によって異なります。
6
[ 適用 ] をクリックします。
変更リクエストを保存します。
7
[ リクエストの送信 ] をクリックします。
承認を得るために変更リクエストを送信し、 [ ユーザーリスト ] に戻ります。
280
第8章
パスワードのリセット
OVSI では、パスワードのリセットを常に管理者が行うか、ユーザーが自分で行
うかを柔軟に決定できます。 TruAccess.properties のフラグが
com.hp.ovsi.forgetpassword.autogenerate=true になっている場合、
OVSI でユーザーのパスワードが生成されます。フラグが
com.hp.ovsi.forgetpassword.autogenerate=false になっている場合、
ユーザーは自分のパスワードをリセットできます。システム管理者は、ユーザー
がパスワードを再利用する前に一意のパスワードを設定しなければならない回数
を設定します。
ユーザーが自分のパスワードをリセットできる場合、 OVSI では質問 / 答え方式
でユーザーを認証します。詳細は、 293 ページの「質問 / 答えの質問」を参照し
てください。ユーザーが自分のパスワードをリセットできる場合も、割り当てら
れた管理者が代わってパスワードをリセットしなければならないことがありま
す。
管理者がパスワードをリセットする方法は 3 通りあります。
•
1 つまたは複数のアカウントのユーザーパスワードのリセット
•
指定したリソースのユーザーパスワードのリセット
•
1 つのリソースのユーザーパスワードのリセット
1 つまたは複数のアカウントのユーザーパスワードのリセット
この方法は、パスワードの変更をそのユーザーに割り当てられているすべてのア
カウント全体に適用する場合に使用します。ユーザーのパスワードをリセットす
るには、以下に詳述する手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
ユーザーレコードを探して選択します。
3
[ パスワード ] をクリックします。
[ パスワードのリセット ] ページに、そのユーザーに割り当てられているすべ
てのアカウントが表示されます。
[ アクション ] メニューで [ 変更 ] をクリックし、 [ パスワードのリセット ]
を選択することもできます。
ユーザー
281
4
リセットするアカウントパスワードを選択します。
ページが変更され、 [ パスワード ] フィールドが表示されます。
5
[ 新しいパスワード ] フィールドに新しいパスワードを入力します。
6
[ 新しいパスワードの確認 ] フィールドに新しいパスワードをもう一度入力し
ます。
7
表示されているアカウントを確認します。
状況
操作方法
他のアカウントパスワードの変更
が必要
[ 選択したパスワードのリセット ] をクリックし
ます。
確認ダイアログボックスが開きます。
すべてのパスワードの変更が完了 [ リセットして閉じる ] をクリックします。
確認ダイアログボックスが開きます。
8
[OK] をクリックします。
リクエストを送信します。
関連付けられているワークフローでパスワード変更の承認が必要な場
合、承認を得るためにリクエストが送信されます。パスワード変更に
承認が不要な場合、リクエストされた変更が行われたことを確認する
電子メール通知がユーザーに送信されます。
指定したリソースのユーザーパスワードのリセット
ユーザーに対し、システムやリソースによって異なるパスワードの使用を求め
る組織もあります。その場合、そのユーザーがアクセスできるすべてのリソー
スではなく、あらかじめ決定したリソースに対して、 1 つまたは複数のパスワー
ドのリセットが必要なことがあります。
リクエストに応じてユーザーのパスワードをリセットするには、以下に詳述す
る手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
282
第8章
2
更新するユーザーレコードを探して選択します。
3
[ パスワード ] をクリックします。
[ パスワードのリセット ] : [ ユーザー ID] ページに、そのユーザーに割り当てら
れているすべてのリソースが表示されます。
4
表示されているリソースを確認し、パスワードを変更する各リソースを選択
します。
[ パスワード ] フィールドが表示されます。
5
[ 新しいパスワード ] フィールドに新しいパスワードを入力します。
6
[ 新しいパスワードの確認 ] フィールドに新しいパスワードをもう一度入力しま
す。
7
表示されているアカウントを確認します。
状況
操作方法
他のアカウントパスワードの変更
が必要
[ 選択したパスワードのリセット ] をクリックし
ます。
確認ダイアログボックスが開きます。
すべてのパスワードの変更が完了 [ リセットして閉じる ] をクリックします。
確認ダイアログボックスが開きます。
8
[OK] をクリックします。
リクエストを送信します。
関連付けられているワークフローでパスワード変更の承認が必要な場
合、承認を得るためにリクエストが送信されます。パスワード変更に
承認が不要な場合、リクエストされた変更が行われたことを確認する
電子メール通知がユーザーに送信されます。
ユーザー
283
1 つのリソースのユーザーパスワードのリセット
この方法は、 1 つのリソースに対するパスワードを変更する場合に使用します。
これは管理者が特定のリソースのユーザーアカウントの詳細を表示していると
きにパスワードを変更するのに便利です。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
ユーザーレコードを探して選択します。
3
[ 変更 ] をクリックします。
ユーザーの [ 変更 ] ページで [ 登録されているサービス ] タブがアクティブにな
り、そのユーザーに割り当てられているすべてのサービスが表示されます。
4
[ リソース ] タブをクリックします。
[ ユーザーのリソース ] ページに、そのユーザーがアカウントを持っているす
べてのリソースが表示されます。
5
パスワードをリセットするリソースを選択します。
6
[ パスワードのリセット ] をクリックします。
ページが変更され、 [ パスワード ] フィールドが表示されます。
7
[ 新しいパスワード ] フィールドに新しいパスワードを入力します。
8
[ 新しいパスワードの確認 ] フィールドに新しいパスワードをもう一度入力し
ます。
9
表示されているアカウントを確認します。
状況
操作方法
他のアカウントパスワードの変更
が必要
[ 選択したパスワードのリセット ] をクリックし
ます。
確認ダイアログボックスが開きます。
すべてのパスワードの変更が完了 [ リセットして閉じる ] をクリックします。
確認ダイアログボックスが開きます。
10 [OK] をクリックします。
リクエストを送信します。
284
第8章
関連付けられているワークフローでパスワード変更の承認が必要な場
合、承認を得るためにリクエストが送信されます。パスワード変更に
承認が不要な場合、リクエストされた変更が行われたことを確認する
電子メール通知がユーザーに送信されます。
ユーザーサービスとリソースのメンテナンス
ユーザーが変更を行わなければならないことがあります。サービスやリソースの
追加が必要な場合、または現在割り当てられているサービスやリソースの一部が
不要になった場合などです。 OVSI では、さまざまな方法でユーザーアカウント
を柔軟にメンテナンスできます。
この項では、次のタスクの実行方法について説明します。
•
新しいサービスへのユーザーの登録
•
サービスへのユーザーアクセスの無効化
•
無効化したサービスへのユーザーアクセスの有効化
•
サービスへのユーザーアクセスの削除
•
異なるコンテキストへのユーザーの移動
新しいサービスへのユーザーの登録
以前はアクセスできなかったサービスやリソースにアクセスするため、サービス
の追加が必要になることが多くあります。ユーザーアカウントに新しいサービス
を追加するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
ユーザー
2
変更するユーザーレコードを探して選択します。
3
[ 変更 ] をクリックします。
[ 登録されているサービス ] ページが開きます。
285
4
[ 登録されているサービス ] パネルで、ユーザーに割り当てられている [ サービ
スメンバーシップ ] のリストをスクロールし、そのユーザーがそのサービスに
すでに割り当てられていないことを確認します。
5
左のパネルで [ アクション ] ドロップダウンメニューをクリックし、 [ サービス
に登録 ...] を選択します。
[ サービスに登録 ] : [ サービスの選択 ] ページが開きます。
また、 [ 登録されているサービス ] パネルの [ サービス ] ドロップダウン
メニューをクリックしても、 [ サービスに登録 ] を選択できます。
6
選択したユーザーアカウントに追加するサービスを選択します。
7
[ 選択 ] をクリックします。
下のパネルに選択したサービスが表示されます。
8
[ 次へ ] をクリックします。
[ サービスセットコンテキストへのユーザーの追加 ] ページが表示されます。
9
Tab キーを押してフィールド間を移動し、正しい情報を入力します。
表示されるフィールドは、選択したサービスによって異なります。リ
ストボックスの項目を更新するには、その項目をハイライトする必要
があります。
アイコンをクリックして、 [ 検索 ] リストボックス
に項目を追加します。リストから項目を削除するには、削除する各項
目の選択を解除します。ハイライトされている項目のみが適用されま
す。
10 [ 完了 ] をクリックします。
変更を保存し、サービス登録リクエストを送信します。
11 [ キャンセル ] をクリックし、 [ 登録 ] ページに戻ります。
サービスへのユーザーアクセスの無効化
ユーザーの職位が一時的に変わり、必要なアクセスも変わる場合があります。
不要になったサービスは無効化し、そのユーザーが新しい職務に戻ったときに
同じサービスを再度有効化します。
サービスが永続的に不要になった場合は、代わりにサービスを削除します。
「289 ページの「サービスへのユーザーアクセスの削除」」を参照してください。
286
第8章
サービスメンバーシップを無効化するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーがアルファベット順に表示されます。
2
無効化するユーザーレコードを探して選択します。
3
[ 変更 ] をクリックします。
[ ユーザーの変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブ
になります。
4
[ 登録されているサービス ] パネルで、そのユーザーに割り当てられているサー
ビスのリストをスクロールし、無効化するサービスを選択します。
左下のパネルで、関連付けられているリソースのリストが更新されます。
5
ページの右のパネルに表示されている [ サービスプロファイル ] を確認し、
正しいサービスが選択されていることを確認します。
6
[ 登録されているサービス ] メニューで、 [ サービスの無効化 ] を選択します。
確認ページが開き、 ( すべての ) サービスの選択が求められます。
図 135
ユーザー
[ サービスの無効化 ] の確認ページ
7
サービスを選択します。
8
[ 無効 ] をクリックします。
[ ユーザー名 ] : [ サービスの無効化 ] ページが開きます。
287
図 136
9
[ ユーザー名 ] : [ サービスの無効化 ] ページ
[ リクエストの処理 ] をクリックし、ユーザーに対して選択したサービスを無
効化します。
確認メッセージが表示されます。
10 [OK] をクリックします。
[ 登録されているサービス ]: [ ユーザー名 ] ページに戻ります。ページの上部に、
無効化を確認するメッセージが表示されます。
無効化したサービスへのユーザーアクセスの有効化
無効化したサービスを有効化するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
有効化するユーザーレコードを探して選択します。
3
[ 変更 ] をクリックします。
[ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブになりま
す。
4
[ 登録されているサービス ] パネルで、そのユーザーに割り当てられている
サービスのリストをスクロールし、変更するサービスを選択します。
左下のパネルで、関連付けられているリソースのリストが更新されます。
288
第8章
5
ページの右のパネルに表示されている [ サービスプロファイル ] を確認し、
正しいサービスが選択されていることを確認します。
6
[ アカウントの有効化 ] をクリックします。
[ アカウントの有効化 ] ページが開きます。
7
[ リクエストの処理 ] をクリックします。
確認ダイアログボックスが表示されます。
8
[OK] をクリックします。
アカウントを有効化し、 [ ユーザーリスト ] ページに戻ります。
サービスへのユーザーアクセスの削除
OVSI では、ニーズの変化に応じてユーザーアクセスを柔軟にカスタマイズでき
ます。ユーザーの職務が変わり、サービスメンバーシップが不要になった場合、
そのユーザーのアカウントからサービスを削除します。そのユーザーが引き続き
属するコンテキストグループのサービスも削除できます。
サービスが再度必要になる可能性がある場合は、サービスメンバーシップを削
除する代わりに、メンバーシップを一時的に無効化します。詳細については、
286 ページの「サービスへのユーザーアクセスの無効化」を参照してください。
ユーザーが退職し、一切のアクセスが不要になった場合は、そのユーザーのア
カウントをすべての関連付けられたすべてのリソースとともに OVSI から削除
します。詳細は 274 ページの「ユーザーアカウントの停止」を参照してくださ
い。
サービスからユーザーを削除するには、以下の手順に従います。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
サービスを削除するユーザーレコードを探して選択します。
3
[ 変更 ] をクリックします。
[ 変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブになりま
す。
4
[ 登録されているサービス ] パネルで、そのユーザーに割り当てられているサー
ビスのリストをスクロールし、削除するサービスを選択します。
左下のパネルで、関連付けられているリソースのリストが更新されます。
ユーザー
289
5
ページの右のパネルに表示されている [ サービスプロファイル ] を確認し、正
しいサービスが選択されていることを確認します。
6
[ アカウントの削除 ] をクリックします。
[ アカウントの削除 ] ページが開きます。
[ サービス ] をクリックし、ドロップダウンメニューから [ サービスからの登録解除 ]
を選択することもできます。
7
[ リクエストの処理 ] をクリックします。
確認ダイアログボックスが表示されます。
8
[OK] をクリックします。
[ ユーザーリスト ] ページに戻ります。
異なるコンテキストへのユーザーの移動
あるサービスコンテキストから他のサービスコンテキストにユーザーを移動す
ることができます。たとえば、ユーザーがマーケティング部門からセールス部
門に異動になる場合、ある使用権構造から他の使用権構造にアカウントを移動
できます。あるサービスコンテキストから他のサービスコンテキストにユー
ザーグループを移動する必要がある場合は、詳細について一括追加または一括
移動の 333 ページを参照してください。
[ ユーザーの移動 ] では、コンテキスト値が変更されたときに、使用権と他の属
性がユーザーに追加されます。そのユーザーの既存のサービスが評価され、新
しい使用権または属性がそのユーザーに付与されるかどうかが決定されます。
ユーザーの移動時にそのユーザーアカウントに他のサービスを追加する必要が
ある場合は、『HP OpenView Select Identity Workflow Studio ガイド』の
「ユーザーへのサービスの追加」のシナリオを参照してください。 OVSI では、
そのユーザーのコンテキストで行われた変更に基づいて、ユーザーにサービス
を追加できます。ワークフローのルールと外部コールを使用することで、ユー
ザを別のコンテキストに移動するときにどのサービスを追加するかを制御でき
ます。
ユーザーの移動を実行するには、 [ ユーザーの移動 ] イベントがサービスロール
で定義され、 SI 一括 1 ステージ承認などの正しいワークフローやサービス
ビューと関連付けられている必要があります。
移動の際、管理者は一部のユーザー属性値を変更したり、使用権を追加、また
は適用されている場合は削除したりすることができます。
290
第8章
別のコンテキストにユーザーを移動する必要がある場合は、以下の手順に従いま
す。
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
他のコンテキストに移動するユーザーを探して選択します。
3
[ 変更 ] をクリックします。
[ ユーザーの変更 ] ページが開き、 [ 登録されているサービス ] タブがアクティブ
になります。
4
情報を確認し、すべてのフィールドが入力された状態にします。
5
[ ユーザープロファイル ] タブを選択します。
[ ユーザープロファイル ] ページが開きます。
[ アクション ] をクリックし、ドロップダウンメニューから [ ユーザーの移動 ] を選
択することもできます。
6
[ ユーザーの移動 ] をクリックします。
[ ユーザーの移動 ] ページが開きます。
7
必要に応じてフィールドに入力します。
フィールド
アクション
コンテキスト属性
リストから選択
新しいコンテキス
ト値
8
アイコンをクリックして新しいコンテキストを検索
[ 移動 ] をクリックします。
[ 移動の確認 ] ページが開きます。
このページには次の情報が表示されます。
— [ 削除 ] - 新しいコンテキスト値はサービスで利用可能な値ではありませ
ん。この場合、ユーザーはサービス (Company= HP のみなど、静的な
コンテキストのサービス ) から削除されます。
— [ 変更 ] - 新しいコンテキスト値がサービスで利用できます。この場合、
ユーザーはサービスで変更されます。すべてのユーザー情報は新しいコ
ンテキストへの移動処理に基づいて更新されます。
ユーザー
291
9
必要に応じて、新しい値を変更します。
10 [OK] をクリックします。
[ ユーザーリスト ] に戻ります。
レポートの表示
[ ユーザー管理 ] では、さまざまなレポートが提供されます。ここで表示されるレ
ポートを使って、個々のユーザーをより適切に理解、管理できます。 [ レポート
] メニューバーオプションから、他のレポートも使用できます。他のレポートの
詳細は、 449 ページの「監査レポートと設定レポート」を参照してください。
ユーザーレポートの表示
1
[ ユーザー管理 ] → [ ユーザーリスト ] を選択します。
[ ユーザーリスト ] ページに、ユーザーが姓のアルファベット順に表示されま
す。
2
レポートを表示するユーザーを探して選択します。
3
[ 変更 ] をクリックします。
[ 登録されているサービス ] : [ ユーザー名 ] ページが開き、 [ 登録されているサービ
ス ] タブがアクティブになります。
4
左のパネルの [ ユーザーレポート ] をクリックします。
5
ドロップダウンリストからレポートを選択します。
選択したレポートが新しいウィンドウで開きます。
レポートには 3 つのタイプがあります。
— ユーザーの登録レポート
— ユーザーのリソースレポート
— ユーザー監査レポート
6
レポートを印刷するには、右クリックして浮動コンテキストメニューから
[ 印刷 ] を選択します。
7
[ 閉じる ] をクリックします。
レポートが閉じます。
8
292
[ キャンセル ] をクリックして [ ユーザーリスト ] ページに戻ります。
第8章
9 質問 / 答えの質問
サービスへのセキュアなアクセスは、属性および質問 / 答えのポリシーを使用し
て確保されます。 OVSI の [ 質問 / 答え ] 機能によって、システム全般のセキュ
リティポリシーが決まります。
OVSI の質問 / 答えのポリシーによって、システムに対するパスワードのヒント
が管理されます。このポリシーに基づいてログイン試行を制限でき、最初にログ
インしたときにユーザーに強制的にパスワードのヒントを設定させることができ
ます。
この章の項は、以下のとおりです。
•
質問 / 答えとは？
•
質問 / 答えのポリシーの変更
•
質問 / 答えの質問
•
質問 / 答えの設定の変更
質問 / 答えとは？
ユーザーが自分のパスワードを忘れることがあります。このような場合、ユー
ザーは質問 / 答えの質問に答えることでパスワードをリセットできます。ユー
ザーに質問が出され、これに対してユーザーは正しい答えを返さなければなりま
せん。
OVSI では、システム管理者がいくつかの標準的な質問を作成します。管理者は
[ 設定 ] 領域で、ユーザーが答えなければならない標準的で個人的な質問の数を
選択します。システムに設定されている場合は、ユーザー自身が個人的な質問を
作成します。
293
適切な質問を作成するには、周到な計画を立て、十分考慮する必要があります。
グローバル化と多文化化により、ユーザーによっては質問の内容が妥当でなく
なる場合があります。こうした特異性は必ずしも一目でわかるものではありま
せん。たとえば、「母親の旧姓」とか「父親のミドルネーム」といった米国では
標準的な質問が、国によっては、文化の違いから意味を持たないことがありま
す。
質問 / 答えのポリシーの変更
OVSI の質問 / 答えポリシーを変更するには、以下の手順に従います。
1
[ ツール ] → [ 質問 / 答え ] を選択します。
[ 質問 / 答えの設定 ] ページが開きます。
このページには、 [ 質問 / 答えの質問 ] と [ 質問 / 答えの設定 ] の 2 つのセクショ
ンがあります。
2
必要な変更を行います。
3
[OK] をクリックします。
質問 / 答えの質問
[ 質問 ] セクションでは、以下の処理を行うことができます。
•
新しいヒントの追加
•
既存のヒントの変更
•
ヒントの削除
新しいヒントの追加
管理者は 1 つまたは複数のヒントを作成できます。デフォルトでは、 3 に設定さ
れています。
新しいヒントを追加するには、以下の手順に従います。
294
1
[ ツール ] → [ 質問 / 答え ] を選択します。
[ 質問 / 答えの設定 ] ページが開きます。
2
ページの [ 質問 / 答えの質問 ] 領域の [ 質問 ] フィールドに質問の内容を入力
します。
第9章
3
入力した内容に間違いがないかチェックしたら、 [ 追加 ] をクリックして、質
問を追加します。
4
ページ下部の [OK] をクリックして、変更内容を保存します。
確認画面が開きます。
5
[OK] をクリックします。
OVSI のホームページに戻ります。
既存のヒントの変更
既存のヒントの内容を変更するには :
1
[ ツール ] → [ 質問 / 答え ] を選択します。
[ 質問 / 答えの設定 ] ページが開きます。
2
ページの [ 質問 / 答えの質問 ] 領域でヒントの質問を選択します。
3
[ 変更 ] をクリックします。 [ 質問 ] ボックスでこの質問が開きます。
4
必要な変更を行い、 [ 適用 ] をクリックして変更内容を適用するか、または
[ キャンセル ] をクリックして、変更内容を拒否します。
5
ページ下部の [OK] をクリックして、変更内容を保存します。
確認画面が開きます。
6
[OK] をクリックします。
OVSI のホームページに戻ります。
質問 / 答えの設定の変更
質問 / 答えの設定を変更するには、以下の手順に従います。
初期ログインでユーザーに強制的にヒントを設定させるには :
1
[ ツール ] → [ 質問 / 答え ] を選択します。
[ 質問 / 答えの設定 ] ページが開きます。
ページの下半分が答えの設定です。
質問 / 答えの質問
295
2
Tab キーを押してフィールド間を移動し、設定に必要な変更を行います。
フィールド
初期ログインでヒント
を強制的にセットアッ
プ
アクション
ユーザーが最初にログインしたときにパスワードのヒ
ントをセットアップすることを必須アクションとしま
す。
この機能を有効にする場合は、 [ はい ] を選択します。
パスワードをリセット
するために必要な標準
的な質問の数
パスワードを変更するために答えなければならない標
準的な質問の数を設定します。
パスワードをリセット
するために必要な自分
専用の質問の数
パスワードを変更するために答えなければならない個
人的な質問の数を設定します。
必要な数を入力します。
必要な数を入力します。
パスワードの変更アクセスがブロックされるまでに許
容される正しくない質問 / 答えの数を設定します。
正しくない質問 / 答え
の送信許可数
3
アカウントがロックされるまでに許容される正しくな
い送信数を入力します。
[OK] をクリックします。
確認画面が開きます。
4
[OK] をクリックします。
変更内容が保存され、 OVSI のホームページに戻ります。
ヒントの削除
ヒントを削除するには :
1
[ ツール ] → [ 質問 / 答え ] を選択します。
[ 質問 / 答えの設定 ] ページが開きます。
2
[ 質問 / 答えの質問 ] 領域でヒントの質問を選択します。
3
[ 削除 ] をクリックします。確認画面が開きます。
4
[OK] をクリックして確定するか、または [ キャンセル ] をクリックして削除
を拒否します。
296
第9章
5
ページ下部の [OK] をクリックして、変更内容を保存します。
確認画面が開きます。
6
[OK] をクリックします。
OVSI のホームページに戻ります。
質問 / 答えの質問
297
298
第9章
10 個人のアイデンティティの管理
この章では、エンドユーザーに対して個人のアイデンティティの自己サービス機
能を設定する方法について説明します。 OVSI システムにユーザーを追加した
後、このユーザーに簡単な管理タスクを行うための権限を付与できます。これに
よって、 IT 部門やサポート部門のスタッフから最も代表的な管理タスクの負担
を軽減できます。
エンドユーザーが個人のアイデンティティタスクをどのように行うかについて
は、『HP OpenView Select Identity My Identity User Guide』を参照してくだ
さい。
この章で取り上げる内容は以下のとおりです。
•
個人のアイデンティティタスクの設定
•
自己登録の設定
個人のアイデンティティタスクの設定
その旨の権限が付与されていれば、エンドユーザーは [ あなたの ID 情報 ] メ
ニューまたはパネルから個人のアイデンティティタスクを行うことができます。
以降の部分では、個人のアイデンティティのメインタスクに対する権限の付与方
法または削除方法を示します。
•
プロファイルタスクの設定
•
パスワードタスクの設定
•
サービスタスクの設定
299
プロファイルタスクの設定
管理者ロール機能 ([ ツール ] → [ 管理者ロール ] を選択 ) によってアイデンティ
ティプロファイルを管理するために以下のタスクを行うユーザー権限を付与す
ることができます。
•
個人プロファイルの表示
•
プロファイル情報の変更
•
リクエストステータスの表示
•
ロール権限の表示
•
管理者ロールの委任または削除
個人プロファイルの表示
デフォルトではすべてのユーザーに権限が付与されていますが、この権限を削
除して、ユーザーがプロファイル情報を参照できないようにすることができま
す。
ユーザーはアカウントプロファイルについて、 [ ホーム ] ページまたは [ あなたの
プロファイル ] ページ ([ あなたの ID 情報 ] → [ あなたのプロファイル ] を選択 ) に以
下の情報を表示できます。
— ユーザー ID
— 名前
— 姓
— 電子メールのアドレス
プロファイル情報の変更
プロファイル情報を変更するためのユーザー権限を付与できます。ユーザープ
ロファイル情報が更新されると、 OVSI 内でマッピングされるリソース属性も更
新されます。 OVSI で一意のユーザー ID は変更できません。
300
第 10 章
権限が付与されていれば、ユーザーは [ あなたのプロファイル ] ページのプロ
ファイルを変更できます。
プロファイルを変更するためのユーザー権限が付与されていない場合
は、プロファイル情報は編集不可能なラベルとして表示され、 [ 送信 ]
ボタンは表示されません。
リクエストステータスの表示
プロファイルやパスワードを変更したり、サービスに登録するためのエンドユー
ザー権限を付与した場合、そのリクエストのステータスを表示するための権限も
付与してください。エンドユーザーがリクエストステータスを表示するための方
法については、『HP OpenView Select Identity My Identity User Guide』を参
照してください。
エンドユーザーは以下の処理を行うことで、リクエストステータスを表示できま
す。
1
[ あなたの ID 情報 ] → [ あなたのリクエスト ] メニューオプションを選択します。
[ あなたのリクエスト ] ページが開きます。
2
表示したいリクエスト ID を選択します。
3
[ リクエストステータスの表示 ] をクリックします。
[ ワークフローの詳細 ] ページが開きます。ユーザーに対する保留中のリクエ
ストが左側のパネルに表示されます。
管理者の場合は、左側のパネル下部に名前が表示されている他の管理
者 / エンドユーザーにロールが委任されます。
このページの詳しい説明については、「リクエストステータスの表示」
を参照してください。
個人のアイデンティティの管理
301
図 137
[ ワークフローの詳細 ] ページのサンプル
ロール権限の表示
ロールの表示権限が付与されている場合に限り、ユーザーはロール権限を表示
することができます。
エンドユーザーは以下の処理を行うことで、ロール権限を表示できます。
•
302
[ あなたの ID 情報 ] → [ あなたのロール権限 ] を選択します。
[ あなたのロール ] ページが開きます。
第 10 章
図 138
[ あなたのロール ] ページのサンプル
[ あなたの権限の委任 ] セクションは、管理者ロールの委任権限と個人
のロールの表示権限を持つユーザーの場合にだけ表示されます。方法
については、次の「管理者ロールの委任または削除」を参照してくだ
さい。
管理者ロールの委任または削除
管理者ロールをサービスコンテキスト内の別の OVSI 管理者またはエンドユー
ザーに委任するための管理者権限をユーザーに付与することができます。また、
委任されているロールを削除することもできます。ユーザーは特定の期間または
それ以降無限にロールを委任できます。
また、個人のロールの表示権限をエンドユーザーに付与して、自分に委任された
ロールをエンドユーザーが表示できるようにすることも可能です。管理者ロール
を委任するには、ユーザーに個人のロールの表示権限がなければなりません。
個人のアイデンティティの管理
303
以下の手順は、ロールを委任する方法または委任されたロールを削除する方法
です。
1
[ あなたの ID 情報 ] → [ あなたのロール権限 ] メニューオプションを選択します
( または、 [ あなたの ID 情報 ] パネルの [ あなたのロール ] リンクをクリックし
ます )。
[ あなたのロール ] ページが開きます。
図 139
[ あなたのロール ] ページ
このページでは、実行権限が付与されているアクションを確認できます。委
任されたユーザーも同じ権限をすべて取得します。
[ あなたの権限の委任 ] セクションは、管理者ロールの委任権限と個人の
ロールの表示権限を持つユーザーの場合にだけ表示されます。個人のロール
の表示権限がない場合は、 [ あなたのロール ] タブは表示されません。
304
2
アイコンをクリックして、ロールを委任するユーザーを探して選択し
ます。
3
カレンダアイコン
ます。
4
[ 開始 ] 日付の開始時刻を選択します。
をクリックして、 [ 開始 ] フィールドの日付を選択し
第 10 章
5
特定の期限を指定する場合は、 [ 終了 ] フィールドで日時を選択します。
6
委任されたリクエストを有効にするには、 [ 有効化 ] ボタンをクリックしま
す。
7
[ 無効化 ] をクリックすれば、たとえ委任期間がすでに開始されていても、い
つでもリクエストを停止できます。
リクエストが送信されます。
委任されたリクエストを無効にすると、直ちに無効になります。ロールをす
でに他のユーザーに委任してある場合、そのユーザー名と委任期間が左側の
パネル ( 保留中リクエストの下 ) に表示されます。ドロップダウンリストに
ユーザー名がリストされるので、ここからユーザーを選択して、有効化また
は無効化期間を変更することができます。
パスワードタスクの設定
管理者ロール機能 ([ ツール ] → [ 管理者ロール ] を選択 ) によってパスワードタス
クを管理するために以下のタスクを行うユーザー権限を付与することができま
す。
•
パスワードの変更権限
•
パスワードの質問変更権限
パスワードの変更権限
OVSI のログインパスワードを変更したり、アカウントが設定されている 1 つま
たは複数のリソースのパスワードを変更するためのエンドユーザー権限を付与す
ることができます。
エンドユーザーは以下の処理を行うことで、パスワードを変更します。
1
[ あなたの ID 情報 ] → [ あなたのプロファイル ] メニューオプションを選択する
か、または [ あなたの ID 情報 ] パネルの [ あなたのプロファイル ] リンクをク
リックします。
[ あなたのプロファイル ] ページが開きます。
2
[ パスワード変更 ] ボタンをクリックします。
[ パスワード変更 ] ページが開きます。
個人のアイデンティティの管理
305
このページは、ユーザーアカウントが 1 つのリソースに設定されているのか
複数のリソースに設定されているのかに応じて異なります。ユーザーにパス
ワード変更権限がない場合は、 [ パスワード変更 ] ボタンは表示されません。
下図の [ パスワード変更 ] ページのサンプルでは、複数のリソースが表示され
ています。
図 140
複数のリソースがある場合の [ パスワード変更 ] ページのサンプル
エンドユーザーのパスワード変更方法については、『HP OpenView
Select Identity My Identity User Guide』の第 3 章を参照してくださ
い。
パスワードの質問変更権限
パスワードのリセット用質問 ( ヒント ) を変更するためのエンドユーザー権限を
付与することができます。
初期状態では、 [ 質問 / 答え ] ページから、パスワードのリセット用質問を指定し
ます。ユーザーに対するパスワードポリシーの設定についての詳細は、 295 ペー
ジの「質問 / 答えの設定の変更」を参照してください。
306
第 10 章
ユーザーが自分のパスワードを忘れてしまった場合、パスワードをリセットする
には、パスワードの質問を変更するための権限がユーザーにリクエストされます
(305 ページの「パスワードの変更権限」を参照 )。
エンドユーザーは以下の処理を行うことで、パスワードの質問を変更できます。
•
[ あなたの ID 情報 ] → [ あなたのヒントの質問 ] メニューオプションを選択しま
す。
[ あなたのパスワードのヒント ] ページが開きます。
また、別のタブを表示している場合は、左側のパネル下部にある [ ヒ
ントの変更 ] ボタンを選択します。
このページは、 [ 質問 / 答え ] ページでいくつの質問を指定したかに
よって異なります。
パスワード変更のリセット用質問権限をユーザーに付与していない場
合は、 [ ヒントの変更 ] ボタンは表示されず、 [ あなたの ID 情報 ] メ
ニューリストに [ ヒントの変更 ] が表示されることもありません。
下図は、 [ あなたのパスワードのヒント ] ページのサンプルです。
個人のアイデンティティの管理
307
図 141
[ あなたのパスワードのヒント ] ページのサンプル
エンドユーザーのパスワード質問の変更方法については、『HP
OpenView Select Identity My Identity User Guide』を参照してくだ
さい。
サービスタスクの設定
管理者ロール機能 ([ ツール ] → [ 管理者ロール ] を選択 ) によってサービスタスク
を管理するために以下のタスクを行うユーザー権限を付与することができます。
•
サービスの表示権限
•
自己登録権限
•
リソースアカウントの表示権限
サービスの表示権限
ユーザーがサービスを表示するには、サービスメンバーシップの表示権限が必
要です。
308
第 10 章
エンドユーザーは以下の処理を行うことで、サービスを表示できます。
1
[ あなたの ID 情報 ] → [ あなたのサービス ] メニューオプションを選択します
( または、 [ あなたの ID 情報 ] パネルの [ あなたのサービス ] リンクをクリック
します )。
[ あなたのサービス ] ページが開きます。
下図は、 [ あなたのサービス ] ページのサンプルです。
図 142
[ あなたのサービス ] ページのサンプル
自己登録権限
自分自身を他のサービスに追加するためのエンドユーザー権限を付与することが
できます。
エンドユーザーは以下の処理を行うことで、サービスへの自己登録を開始できま
す。
1
[ あなたの ID 情報 ] → [ あなたのサービス ] を選択します。
[ あなたのサービス ] ページが開きます。
個人のアイデンティティの管理
309
図 143
2
[ サービスの追加 ] が選択されている [ あなたのサービス ] ページ
[ 登録されているサービス ] パネルの [ サービス ] ドロップダウンリストで
[ サービスの追加 ] をクリックします。
サービスに登録するための権限を持たないエンドユーザーの場合は、 [ サービス ]
ドロップダウンメニューは表示されません。エンドユーザーのサービスへの登
録方法については、『HP OpenView Select Identity My Identity User Guide』
を参照してください。また、 267 ページの「サービスの登録」も参照してくださ
い。
リソースアカウントの表示権限
プロファイル情報を表示するためのエンドユーザー権限を付与した場合、この
エンドユーザーはリソースアカウントも表示することができます。
エンドユーザーは以下の処理を行うことで、リソースアカウントを表示できま
す。
•
[ あなたの ID 情報 ] → [ あなたのリソースアカウント ] メニューオプションを選
択します ( または、 [ あなたの ID 情報 ] パネルの [ あなたのリソースアカウント ]
リンクをクリックします )。
[ あなたのリソースアカウント ] ページが開きます。
310
第 10 章
図 144
[ あなたのリソースアカウント ] ページのサンプル
自己登録の設定
ユーザーは自己登録プロセスによって、 OVSI に自分自身を追加することができ
ます。 ( ワークフローテンプレートの全般的な説明については、 260 ページの
「OVSI のワークフローテンプレート」を参照し、詳しい情報と例については、
『HP OpenView Select Identity Workflow Studio ガイド』を参照してください )。
サービスの場合は、サービスロールにワークフローとビューとともに新規ユー
ザーの自己追加イベントが定義されていなければなりません。表示される [ 自己
登録 ] ページは、設定内容に応じて異なります。
自己登録を設定するには、以下のタスクを行います。
•
[ 自己登録 ] フォームの設定
•
自己登録 URL の設定
[ 自己登録 ] フォームの設定
エンドユーザーに対して開かれる [ 自己登録 ] フォームを以下のフォームのいず
れかとして設定できます。
個人のアイデンティティの管理
311
•
コンテキストとコンテキスト値があらかじめ定義された [ 自己登録 ] フォー
ム。詳細については、 168 ページの「サービスロールの追加」を参照してく
ださい。
•
エンドユーザーがコンテキストを選択するブランクの [ 自己登録 ] フォー
ム。
どちらのフォームの場合でも、管理者はどの属性を先頭ページにするかを示す
デフォルトの自己登録ビューをサービスビュー ( フォーム ) で設定することがで
きます。
また、 [ スケジュール時間 ] フィールドを表示する (true) または表示しない
(false) ように [ 自己登録 ] フォームを設定できます。このためには、
%InstallDir%\sysArchive ディレクトリ内の TruAccess.properties ファ
イルで以下のプロパティを設定します ( 詳細については、『 HP OpenView Select
Identity インストールガイド』の「 TruAccess.properties の設定」を参照 )。
com.hp.si.selfreg.schedule = true
自己登録 URL の設定
管理者がサービスを設定した場合、 [ 自己登録 ] フォームにアクセスするための
固有の URL が示された通知がユーザーに電子メールで送信されます ( 通知の作
成については、 126 ページの「通知の変数」を参照 )。
使用する URL によって、どちらの [ 自己登録 ] フォームが先に開かれるかが決
まります。
•
コンテキストおよびコンテキスト値があらかじめ定義された [ 自己登録 ]
フォーム
•
ブランクの [ 自己登録 ] フォーム
コンテキストおよびコンテキスト値があらかじめ定義された [ 自己登
録 ] フォーム
以下の URL を指定します。コンテキストおよびコンテキスト値があらかじめ定
義された [ 自己登録 ] フォームを開くために、エンドユーザーに送信されます。
コンテキストおよびコンテキスト値は、サービスビューを定義するときに指定
されます。詳細については、 168 ページの「サービスロールの追加」を参照して
ください。
312
第 10 章
http://<host_name>:<port_num>/lmz/selfregistration.do?
serviceName=<service>&contextvalue=<value>&contextName=<name>
以下が true の場合 :
•
<host_name> はアプリケーションサーバー (WebLogic または WebSphere)
です。
•
<port_num> はサーバーのポート番号です。
•
<service> はサービス名です。
•
<value> はコンテキスト属性値です。
•
<name> はコンテキスト属性名です。
たとえば、これらの値を以下のオプションに置き換えたとします。
•
<host_name> は localhost
•
<port_num> は 7001
•
<service> は gvA1
•
<value> は HP
•
<name> は Company
この場合、以下の URL になります。
http://localhost:7001/lmz/selfregistration.do?
serviceName=gvA1&contextvalue=HP&contextName=Company
新規ユーザーを追加するための自己登録イベントを処理するために、
サポート側のサービスロールでワークフローが定義されていなければ
なりません。サービスロールの作成については、 168 ページの「サー
ビスロールの追加」を参照してください。
エンドユーザーがこの URL をクリックすると、コンテキストおよびコンテキス
ト値があらかじめ定義された状態で [ サービスに登録 : サービス名 ] ページが開き
ます。図 145 では、管理者があらかじめコンテキスト (Addr1) およびコンテキ
スト値 (5850) を定義してあります。
個人のアイデンティティの管理
313
図 145
コンテキストおよびコンテキスト値があらかじめ定義されている
[ サービスに登録 ] フォーム
ブランクの [ 自己登録 ] フォーム
以下の URL を指定します。ブランクの [ 自己登録 ] フォームを開くために、エ
ンドユーザーに送信されます。この URL は、イベントが定義されていれば、ど
のようなサービスタイプ ( 業務、管理者、コンポジット ) でも使用できます。
http://<host_name>:<port_num>/lmz/selfregistration/
services.do?=serviceName=<name>
以下が true の場合 :
•
<host_name> はアプリケーションサーバー (WebLogic または WebSphere)
です。
•
<port_num> はサーバーのポート番号です。
•
<service_name> はワークフローに指定されているサービスの名前です。
たとえば、これらの値を以下のオプションに置き換えたとします。
314
•
<host_name> は Weblogic
•
<port_num> は 7001
第 10 章
•
<service_name> LDAP70
この場合、以下の URL になります。
http://WebLogic:7001/lmz/selfregistration.do?serviceName=LDAP70
エンドユーザーがこの URL をクリックすると、フィールドがブランクの状態で
[ サービスに登録 ] ページが開きます。
図 146
個人のアイデンティティの管理
フィールドがブランクの状態の [ サービスに登録 ] フォーム
315
316
第 10 章
11 リクエストステータス
リクエストステータス機能により、 OVSI 内のアカウントイベントに対する詳細
なトランザクションステータスを表示することができます。該当するアカウント
を表示する権限があれば、リクエストが開始されているかどうかに関係なく、ス
テータスを表示できます。管理者ロールのあるユーザーの場合、デフォルトで
は、自分が管理可能なユーザー、サービス、リソースであれば、あらゆるリクエ
ストを表示できます。このデフォルトは、 TruAccess.properties ファイル
に com.hp.ovsi.parentrequestlist.contextcheck=true プロパティを使用
して設定します。
エンドユーザーは、適切な権限により、独自の管理リクエストを作成できます。
ただし、ユーザーアカウントに対するリクエストを表示できるのは、自分自身の
リクエストステータスにアクセスできるようロールが設定されている場合だけで
す。詳細については、 276 ページの「End User ロールの定義」を参照してくだ
さい。
この章では、次の事項について説明します。
•
リクエストステータスの表示
•
リクエストの停止
•
リクエストの再試行
リクエストステータスの表示
リクエストステータスを見つけるには、 2 つの方法のどちらかを使用します。左
のパネルの [ ステータスの詳細 ] メニューを使用して、ステータス別にリクエスト
を表示します。
•
[ すべて ] : ステータスに関係なく、すべてのリクエストが表示されます。
•
[ 作成済 ] : 作成されているものの、まだ処理のために送信されていないリク
エストが表示されます。
317
•
[ 処理中 ] : 現在処理中で、いくつかの処理アクションが完了しているリクエ
ストが表示されます。
•
[ 完了しました - 成功 ] : エラーなくすべての処理が完了したリクエストが表示
されます。
•
[ 完了しました - エラー ] : 成功せずにすべての処理ステップが完了したリクエ
ストが表示されます。
•
[ 保留中 ] : 一時中断され、承認などユーザーの介入待ちであるリクエストが
表示されます。
•
[ 処理中 - 一部失敗 ] : 部分的に完了し、 1 つまたは複数の手順がエラーになっ
ているリクエストが表示されます。このステータスのリクエストは最終的に
は [ 完了しました - 一部成功 ] ステータスまたは [ 完了しました - エラー ] ス
テータスになります。
•
[ 完了しました - 一部成功 ] : すべての処理手順が完了しているものの、すべて
の手順が成功しているわけではないリクエストが表示されます。たとえば、
複数のリソースを伴うリクエストにおいて、 1 つのリソースについてだけ正
常に完了できなかったものの、それ以外の処理は正常に終了した場合などで
す。
•
[ 停止しました ] : ユーザーがブラウザインタフェースから停止したリクエス
トが表示されます。
リクエストステータスによって、割り当てられているワークフロープロセスに
基づいてアカウントイベントのステータスを表示することができます。ワーク
フローテンプレートで複数のアクティビティがブロックにまとめられている場
合は、これらのアクティビティのステータスを表示できます。リクエストは最
も新しいものからデフォルトの日数の間で最も古いものまで表示されます。こ
のデフォルト値は、 TruAccess.properties ファイルの
com.hp.si.request.report.day プロパティに指定されています。この値
は、 TruAccess.properties ファイルでこのプロパティを編集することで変
更できます。
com.hp.si.request.report.day でデフォルト値を削除すると、 OVSI は
すべてのリクエストの取得を試行します。
318
第 11 章
リクエストステータスの表示
リクエストのステータスを表示するには、以下の手順に従います。
1
[ リクエスト ] > [ リクエストステータスリスト ] を選択します。
[ リクエストステータスリスト ] が開きます。
2
[ 検索 ] パネルの検索オプションを使用して、表示されるリクエストのリスト
を絞り込みます。
表示内容
操作方法
特定のリクエスト
[ フィルタ ] パネルの最初のセクションにある
フィールドを使用して目的のリクエストを検
索します。
特定の期間内のリクエスト
[ フィルタ ] パネルの [ 期間 ] セクションに期間
を入力します。
指定したステータスのリクエスト
[ 検索 ] パネルの [ ステータスの詳細 ] メニューか
ら、表示するレコードのステータスを選択し
ます。
[ ページあたりの結果数 ] リストから目的の値を選択して、 1 ページあた
りのアイテム数を変更します。
3
表示するステータスレコードの横のチェックボックスをオンにします。
4
[ リクエストステータスの表示 ] をクリックします。
ブラウザウィンドウに [ ワークフローの詳細 ] : [ リクエスト ID] ページが開きま
す。
5
ワークフローブロックをクリックすると、下のパネルにそのステータスが表
示されます。
6
ワークフローを更新するには、 [ イメージの更新 ] をクリックします。
7
必要であれば、スクロールバーを使用して、利用可能な情報をすべて表示し
ます。
8
[ 閉じる ] をクリックします。
[ ワークフローの詳細 ] : [ リクエスト ID] ページが閉じます。
リクエストステータス
319
リクエストの停止
リクエストが正しく処理されない場合があります。リクエストを再試行する ( 手
順については、 320 ページの「リクエストの再試行」を参照 ) ことで、このよう
な問題を解決できることもあります。ただし、解決できない場合には、リクエ
ストを停止しなければなりません。
リクエストを停止すると、ワークフロープロセスの現在の位置でリクエストが
停止します。一度停止したリクエストは再開することはできず、もう一度作成
しなければなりません。リクエストを停止するにはさまざまな理由があります
が、最も一般的なものはリクエストがループに入ってしまった場合です。ルー
プに入ると、失敗というわけではなく、ループを無限に繰り返し、リクエスト
はハングします。なお、すでに正常に完了しているリクエストは停止できませ
ん。
要求者と承認者は独立したロールで、個々に割り当てられます。リクエストを
承認できるのは、承認権限を持つユーザーだけです。承認については、 323 ペー
ジの「承認」を参照してください。
リクエストを停止するには、以下の手順に従います。
1
[ リクエスト ] > [ リクエストステータスリスト ] を選択します。
[ リクエストステータスリスト ] が開きます。
2
停止するリクエストの左側にあるラジオボタンをクリックします。
3
[ 停止 ] をクリックします。
[ 停止 ] ダイアログボックスが表示されます。
4
[OK] をクリックしてリクエストを停止するか、リクエストを停止させたく
なければ [ キャンセル ] をクリックします。
リクエストの再試行
リクエストが正しく処理されない場合、再試行することで問題を解決できるこ
とがあります。再試行しても不完全なままであれば、リクエストを停止しなけ
ればなりません。手順については、 320 ページの「リクエストの停止」を参照し
てください。
リクエストを再試行するには、以下の手順に従います。
320
1
[ リクエスト ] > [ リクエストステータスリスト ] を選択します。
[ リクエストステータスリスト ] が開きます。
2
再試行するリクエストの左側にあるラジオボタンをクリックします。
第 11 章
3
[ リクエストの再試行 ] をクリックします。
4
残りの手順は、リクエストタイプに応じて異なります。たとえば、ユーザー
を 2 つのサービスに同時に追加するといった複数のサブリクエストを伴う場
合には、中間ページがあります。この場合には、再試行するサブリクエスト
ごとにラジオボタンをクリックします。
リクエストが正常に設定されると、 OVSI は確認メッセージを表示し、再試
行が失敗した場合にはエラーメッセージが表示され、 [ リクエストステータ
スリスト ] が再度開きます。
リクエストステータス
321
322
第 11 章
12 承認
承認機能では、組織のニーズに固有の承認階層で変更リクエストを管理すること
ができます。それぞれのリクエストごとに、その性質に応じて 1 つまたは複数
の承認が必要になることがあります。承認権限を持つ End User および管理者
は、未対応のリクエストについての通知を電子メールで受け取ります。通知され
たリクエストに対して変更、承認、拒否いずれかの対処が可能です。ただし、
ユーザーがリクエストを変更できるかどうかは、 OVSI で管理者ロールが割り当
てられているかどうかによって決まります。
承認はワークフローによって管理されます。ワークフローは、サービスに対する
ユーザーリクエストを OVSI が承認およびプロビジョニングするプロセスです。
このようなプロビジョニングイベントには、アカウントの変更、追加、削除など
があります。ワークフローについては、『HP OpenView Select Identity
Workflow Studio ガイド』を参照してください。
一連のリクエストが行われた後でシステムに追加された承認者の場合、既存の
リクエストにはアクセスできません。ただし、新しい承認者は、承認者のアカ
ウントが OVSI 内で有効になった後で行われたリクエストにはアクセスするこ
とができます。
この章で取り上げる内容は以下のとおりです。
•
リクエストの確認
•
保留中のリクエストの変更
•
保留中のリクエストの承認または否認
リクエストの承認リストのフィルタ
リクエストリストには数ページに渡るリクエストが含まれていることがありま
す。このような場合、ページの左パネルにあるフィルタを使用して、適切なス
テータスを持たないリクエストすべてを除外します。リクエストのステータスは
次の 3 種類に分けられます。
323
•
[ 保留中 ] — 承認も拒否もされていないリクエスト。
•
[ 承認されました ] — 承認されているリクエスト。
•
[ 拒否されました ] — 拒否されているリクエスト。
それ以外の UI 機能を使っても、リストページに示される項目を減らすことがで
きます。たとえば、 [ ページあたりの結果数 ] を増やすことで、 1 ページに表示
される項目の数を増やしたり、右上のページ番号リストを使用して新しいペー
ジにジャンプできます。
リクエストの確認
このページでは、リストされているリクエストを確認し、以下を行うことがで
きます。
•
リクエストを開く
•
リクエストを承認する
•
リクエストを拒否する
•
リクエストステータスを表示する
保留中のリクエストを確認するには、以下の手順に従います。
5
[ リクエスト ] → [ リクエストの承認リスト ] を選択します。
[ リクエストリスト ] ページを開きます。ページ左側の [ フィルタ ] パネルで以
下の機能を使用することで、表示されるリクエストのリストを絞ります。
表示対象
操作方法
ハイレベルステータス
([ 保留中 ]、 [ 承認されまし
た ] 、 [ 拒否されました ] ) に
よるリクエスト
パネルの左上にあるリストでステータスオプ
ション ([ 保留中 ]、 [ 承認されました ] 、 [ 拒否さ
れました ] ) を選択します。
選択したステータスに該当するリクエストが
[ リクエストリスト ] に表示されます。
[ フィルタ ] パネルの最初のセクションにある
特定のリクエスト
特定のタイムフレーム内のリ
クエスト
324
フィールドを使用して目的のリクエストを検
索します。
[ フィルタ ] パネルの [ 期間 ] セクションに期間
を入力します。
第 12 章
表示対象
操作方法
[ 検索 ] パネルの [ ステータスの詳細 ] ドロップダ
ウンメニューから、表示したいレコードのス
テータスを選択します。
指定したステータスのリクエ
スト
•
[ 保留中 ]
•
[ 承認されました - 任意の管理者 ]
•
[ 承認されました - ユーザー自身のみ ]
•
[ 拒否されました - 任意の管理者 ]
•
[ 拒否されました - ユーザー自身のみ ]
•
[ 停止しました ]
•
[ タイムアウト ]
•
[ すべて ]
[ ページあたりの結果数 ] ドロップダウンリストから該当する数字を選択し、ペー
ジあたりに表示できる項目の数を変更します。
6
表示したいリクエストの左側のボックスをオンにします。
このレコードがページでハイライトされます。
7
[ リクエストステータスの表示 ] をクリックします。
[ ワークフローの詳細 ] ページを新しいウィンドウで開きます。リクエストに
ついての詳細は、「リクエストステータスの表示」を参照してください。
承認
325
図 147
[ ワークフローの詳細 : ID] ページ
このページは表示専用です。
8
ワークフロー内のブロックをクリックして、ステータスの詳細情報を表示し
ます。必要に応じて、 [ イメージの更新 ] ボタンをクリックして、ワークフ
ローを更新します。
9
必要な情報がすべて表示されるまで、ワークフローブロックの確認を続けま
す。
10 [ 閉じる ] ボタンをクリックします。
[ ワークフローの詳細 ] ページを閉じます。
保留中のリクエストの変更
場合によっては、リクエストを承認する前に変更が必要になることがあります。
変更するファイルがロック状態 ( 他のユーザーによる編集を防ぐ状態 ) になって
いないことを確認してください。有効な権限を持っている複数のユーザーが同
時に変更を行う可能性があるため、別のユーザーが変更中のレコードを編集し
ないように注意してください。
326
第 12 章
ワークフローの設定によって、リクエストに対する変更の承認が必要になる場合
と必要にならない場合があります。『HP OpenView Select Identity Workflow
Studio ガイド』のワークフローを参照してください。
リクエストを変更するには、以下の手順に従います。
1
[ リクエスト ] → [ リクエストの承認リスト ] を選択します。
[ リクエストリスト ] ページを開きます。
2
左上パネルで保留中のすべてのリクエストをクリックし、保留中のリクエス
トすべてを表示した後、変更するリクエストを選択します。
変更できるのは保留中のリクエストだけです。
3
[ 開く ] をクリックします。
[ リクエストの承認リストの変更 ] ページが開きます。
.
ページの左側に、そのリクエストをだれがいつチェックアウトしたか
といった概要が示されます。 [ リクエストの変更 ] ページの外観は、リク
エストのタイプによって異なります。たとえば、 [ ユーザーの一括移動 ]
リクエストの [ リクエストの変更 ] ページと [ 新規ユーザーの追加 ] の [ リ
クエストの変更 ] ページは異なります。管理サービスリクエストの場合
は、さらに [ 管理対象サービス ] というタブがあります。サービス以外の
リクエスト ( たとえば、 [ プロファイルの変更 ] など ) の場合、フィール
ドは編集できません。
変更ページの属性は、サービスに指定されているビューによって ( 編集
可能 / 表示可能が ) 制御されます。変更時に承認者に提示される属性
は、対応する [ サービスビュー ] から取り込まれます。ワークフローの
[ 承認 ] ブロックのサービスビューの設定についての詳細は、 148 ペー
ジの「サービスの作成」を参照してください。
4
承認
左側のパネルの [ ステータスの概要 ] の下にある [ 詳細の表示 ] をクリックしま
す。
[ 承認ステータスの詳細 ] ページを開きます。
327
この表示専用のページでは、だれがこのリクエストを承認でき、だれがこのリ
クエストを表示し、だれが承認を行ったのか該当する承認者すべてに関する情
報が示されます。
5
328
[ 承認ステータスの詳細 ] ページを確認したら、 [ 閉じる ] をクリックします。
[ リクエストの変更 ] ページに戻ります。
第 12 章
6
フィールドをタブで移動し、必要な情報を変更します。
アクション
操作方法
目的のアカウント ID の横にあるチェックボッ
クスをクリックして、リクエストからアカウ
ントを削除します。
[ 削除 ] をクリックします。
アカウント ID が削除されます。ただし、それ
ぞれのリクエストに少なくとも 1 つ以上のア
カウント ID がなければなりません。最後のア
リクエストからアカウント ID カウント ID は削除できません。このような場
を削除する
合は、リクエストを否認します。
ユーザーのサービスまたは使
用権を確認し、変更を行う
変更内容をクリアする
承認
1
変更したいアカウント ID の横にある
チェックボックスをクリックします。
2
リストされたサービスまたは使用権を確認
します。
3
アイコンをクリックして、リストにア
イテムを追加した後、保持しておきたい
サービスまたは使用権をハイライトしま
す。
4
付与したくないサービスまたは使用権は選
択を解除します。
5
メインパネルの右下隅の [ 適用 ] をクリック
します。
変更内容を保存します。
6
これ以外のアカウント ID についても、こ
のプロセスを繰り返して変更を行います。
メインパネルの右下隅の [ リセット ] をクリッ
クして、まだ保存していない変更内容を削除
します。
ユーザーのサービス属性に対して行った変更
内容のうち、まだ保存していないものがキャ
ンセルされます。
329
7
左下パネルの [ コメント ] フィールドにこのリクエストに関するコメントを
入力します。
コメントが保存されるのは、このリクエストを承認または否認した場合だけで
す。リクエストを [ 保留中 ] ステータスのままにしておくと、コメントは保存さ
れません。
8
変更を行ったら、以下のいずれかを行うことができます。
アクション
結果
リクエストのステータスを表
リクエストのステータスが表示されます。
示する
リクエストを承認する
[ リクエストリスト ] に戻ります。
リクエストを否認する
[ リクエストリスト ] に戻ります。
[ キャンセル ] をクリックする
[ リクエストリスト ] に戻り、リクエストは [ 保
留中 ] ステータスのままです。左側のパネルの
[ コメント ] フィールドに入力したコメントは
失われます。
保留中のリクエストの承認または否認
リクエストを承認または否認するには、以下の手順に従います。
330
1
[ リクエスト ] → [ リクエストの承認リスト ] を選択します。
[ リクエストリスト ] ページを開きます。
2
開きたいリクエストを探して選択します。
第 12 章
3
実行したいアクションを決定します。
アクション
操作方法
決定する前にリクエストを確
認したい
324 ページの「リクエストの確認」の手順に
従います。
リクエストを承認したい
[ 承認 ] をクリックします。
確認ダイアログが開きます。
リクエストが承認され、リクエストが承認さ
れたことが次のレベルの承認者またはユー
ザーに電子メールで通知されます ( そのよう
にアクションが設定されている場合 )。変更が
行われます。
リクエストを否認したい
[ 否認 ] をクリックします。
確認ダイアログが開きます。
リクエストが否認されます。
該当する担当者に電子メールの通知が送信さ
れます ( そのようにアクションが設定されて
いる場合 )。
承認
331
332
第 12 章
13 一括追加または一括移動
OVSI では、複数のサービスに対して複数のユーザーアカウントをアップロード
することができます。このため、何百や何千といったユーザーアカウントを個々
に追加しなくても、システムに一度に設定できます。リソースや OVSI システ
ムにまだ存在していないアカウントに [ 一括 ] を使用します。選択するサービス
とそれをサポートするリソース両方にアカウントが追加されます。また、既存の
ユーザーを異なるサービスに追加することもできます。
ユーザーアカウントは SPML データファイルを使用してシステムにアップロー
ドされます。このデータファイルによって、サービスに定義されているすべての
OVSI 属性が新しいアカウントにマッピングされます。調整やユーザーのイン
ポートと異なり、一括ファイルではリソース属性名ではなく SI 属性名が使用さ
れます。
この章で取り上げる内容は以下のとおりです。
•
一括の依存関係
•
一括処理の手順の概要
•
一括ジョブのスケジュール設定
•
一括ジョブの管理
一括の依存関係
一括ジョブを実行する前に、以下の依存関係が満たされていることを確認してく
ださい。
•
データをアップロードしたいシステムに対してコネクタおよびリソースが配
布されていること。
•
必要とされるリソースおよび OVSI の属性すべてがコネクタのマッピング
ファイルおよび OVSI の属性機能内でマッピングされていること。
333
•
希望のデータをアップロードするためのリソースを使用するために 1 つまた
は複数のサービスが作成され、一括ジョブ用のデフォルトのワークフローテ
ンプレート (SIBulkOneStageApproval) がこのサービスに関連付けられ
ていること。カスタムなテンプレートを作成し、割り当てることもできま
す。ワークフローテンプレートについては、『HP OpenView Select Identity
Workflow Studio ガイド』を参照してください。
•
ユーザーに追加するサービスに次の 2 つのイベントハンドラーが追加されて
いること。
— 一括 - 新規ユーザーの追加
— 一括 - サービスの追加
このイベントハンドラーは、リクエストを検証するためにサービス ( 業務
ロール ) で設定されます。イベントハンドラーが追加されていないと、一括
ジョブを実行できません。
SPML データファイルを作成する場合は、以下を守ってください。
•
自動ジョブで使用され、 reconroot ディレクトリに格納する場合、ファイ
ル名はアンダーバー (_) で始まっていなければなりません。 OVSI は
reconroot ディレクトリからデータファイルを読み取り、アンダーバーに
よって一括アップロードファイルと調整ファイルが区別されます。ワンタイ
ムタスクを使用してファイルをアップロードする場合は、命名規約はありま
せん。
自動ジョブで使用され、 reconroot ディレクトリに格納する場合、プロパティ
“com.hp.ovis.spml.resourcename.separator=+” が設定されていれば、
ファイル名は (+) で始めます。
•
ジョブ作成ページまたはデータファイルでユーザーを追加するサービスを指
定できます。バッチレベルかリクエストレベルでユーザーを追加するサービ
スを指定するか、または UI からジョブをアップロードするときに目的の
サービスを選択できます。
</xml version-"1.0" encoding="ISO-8859-1"?>
<batchRequest xmlns:countries="countries.uri"
smlns:cities.uri"
smlns:dsml="urn:oasis:names:to"DSML:2:0:core"
xmls:spml="urn:oasis:names:tc:SPML:1.0"
xmls="urn:oasis:names:tc:SPML:1.2" requestID="1085774668899>
334
第 13 章
バッチレベル
<operationalAttributes smlns="">
<attr
name="urn.trulogica:concero:2.0#keyFields"><value>UserName</
value></attr>
</operationalAttributes>
リクエストレベル
<addRequest requestID="7">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#serviceName">
<value>dkserLDAP72</value>
</attr>
</operationalAttributes>
両方に共通
<attributes xmlns=""
<attr name="FirstName"><value>Auto2</value></attr>
<attr name="LastName"><value>Auto2</value></attr>
<attr name="UserName"><value>Auto2</value></attr>
<attr name="Password"><value>abc123</value></attr>
<attr name="Company"><value>HP</value></attr>
<attr name="State"><value>TX</value></attr>
<attr name="SSN"><value>345678987</value></attr>
<attr name="ExpirationDate"><value>2006-12-01</
value></attr>
<attr name="Email"><value>[email protected]</value></
attr>
<attr name="Date"><value>2006-02-01</value></attr>
<attr name="State"><value>TX</value></attr>
<attr name="Zip"><value>12345</value></attr>
<attr name="Info>
<value>val1</value>
<value>val2</value>
</attr>
<attr name="dkLDAP72_ENTITLEMENTS">
<value>Group4</value>
<value>Group5</value>
一括追加または一括移動
335
</attr>
</attribures>
</addRequest>
</batchRequest>
リクエストレベルの優先順位が最高で、バッチレベルがその後に続きます。ど
ちらにもサービスがなければ、ジョブのアップロード時に UI からサービスを指
定する必要があります。サービスを指定しないと、ジョブは実行されません。
また、データファイルがサービスの制約を満たしていないと、ジョブは実行さ
れません。
このサービスへ登録する上で必要となる属性すべてがこのファイルに示さ
れていなければなりません。必要な属性がこのファイルに 1 つでも欠けてい
ると、アカウントは追加できません。正規の追加と異なり、必要な属性は、
追加しようとしている特定のサービスの [ 属性のプロパティ ] で定義しま
す。一括のサービスビューで定義するわけではありません。
•
追加するアカウントはそれぞれ、 OVSI 内で一意のユーザー ID を持ってい
なければなりません。アカウントを追加する際に、それぞれのユーザー名の
キーを指定できます。
•
リソースが複数あり、リソースキーフィールドがそれぞれ異なるサービスに
は、一括アップロードプロセスは使用しないでください。
•
データファイルに使用権がリストされていない状態で、使用権が定義された
サービスにユーザーを追加しようとすると、この使用権にユーザーが追加さ
れます。
一括処理の手順の概要
OVSI の一括ジョブでは、 338 ページの「ユーザーおよび属性が含まれる SPML
ファイルの作成」で説明した SPML データファイルと同じタイプを使用します。
このファイルには、新しいアカウント情報、および追加中のサービスで必要と
される属性などが含まれます。その後、このファイルが OVSI にアップロード
されます。
OVSI をインストールすると、一括ジョブを有効にするために、
TruAccess.properties ファイルでいくつかの設定が行われます。
336
第 13 章
truaccess.upload.filedir=c:/si4.0/weblogic/upload
truaccess.upload.maxfilesize=10485760
最初の行で一括アップロードで使用できる一時ディレクトリを指定し、 2 番目の
行で最大ファイルサイズ ( バイト単位 ) を指定します。
このファイルおよびそのプロパティについての詳細は、『HP OpenView Select
Identity インストールと設定ガイド』を参照してください。
一括タスクを行うには、一括権限が付与された OVSI のシステム管理者ロール
が必要です。
場合によっては、一括ジョブが正しく機能するよう、 WebLogic で JTA のタイ
ムアウトを 300 秒に増やす必要があります。
この項では、一括ジョブを行うための手順について説明します。
•
アプリケーションサーバーのプロパティのチェック
•
ユーザーおよび属性が含まれる SPML ファイルの作成
•
データファイルのアップロード
•
ジョブの結果の表示
アプリケーションサーバーのプロパティのチェック
TruAccess.properties ファイルで必要なパラメータを設定し、相対ディレ
クトリをアプリケーションサーバーホストに作成します。パラメータの設定方法
については、『HP OpenView Select Identity インストールと設定ガイド』を参
照してください。
アップロードプロセスを容易にするために、 TruAccess.properties ファイ
ルに以下のキープロパティを設定します。
•
truaccess.batch.inprogresstimeout=18000000
•
truaccess.batch.reportdir=c:/temp/reports
このファイルについては、『HP OpenView Select Identity インストールと設定
ガイド』で詳しく説明します。一括および調整固有のプロパティの設定について
は、 415 ページの「アプリケーションサーバーのプロパティ」を参照してくださ
い。
一括追加または一括移動
337
ユーザーおよび属性が含まれる SPML ファイルの作成
このファイルで指定される属性はすべて OVSI 属性で、リソース属性ではあり
ません。結果レポートに正しく表示されるよう、各リクエストのリクエスト ID
は一意でなければなりません。リクエストが失敗またはユーザー名を解析でき
ない場合、 OVSI はリクエスト ID を使用して、オリジナルの SPML ファイル内
のエラー位置を示します。
ファイル名は <batchRequest> で始まり、 </batchRequest> で終わらなけ
ればなりません。
追加する各アカウントは、 <addRequest>
</addRequest> で開始および終了する必要があります。
ユーザー属性が含まれるデータファイルを作成する場合は、各ユーザーに対応
する一意の識別子属性を指定します。 SPML ファイルの
<operationalAttributes xmlns=> セクションで識別子が指定され、
keyFields 属性で値として示されます。アカウントを識別するための OVSI の
デフォルトの属性は UserName です。 SPML ファイルのこのセクションのサン
プルを下記に示します。
バッチレベル
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#keyFields">
<value>UserName</value></attr>
</operationalAttributes>
"urn:trulogica:concero:2.0#keyFields" 操作属性で、個々のリクエスト
について OVSI にユーザーが存在するかどうかチェックするために使用される
フィールドを指定します。このフィールドが指定されていないと、チェックが
行われず、ユーザーを作成するための内部イベントが生成されます。ユーザー
がすでに存在していれば、サービスを追加するための内部イベントが生成され
ます。
ファイルのヘッダーに操作属性を指定するだけでなく、ユーザーの追加リクエ
ストそれぞれについて割り当てたいサービスに操作属性値を指定することがで
きます。
リクエストレベル
- <addRequest requestID="1">
338
第 13 章
- <operationalAttributes xmlns="">
- <attr name="urn:trulogica:concero:2.0#serviceName">
<value>FinanceService</value>
</attr>
</operationalAttributes>
- <attributes xmlns="">
- <attr name="UserName">
<value>JohnB</value>
</attr>
- <attr name="Password">
<value>abc123</value>
</attr>
- <attr name="Email">
<value>[email protected]</value>
</attr>
</attributes>
</addRequest>
以下の方法を使用して、ユーザーに割り当てたいサービスを指定します。
•
ファイルのバッチレベルでサービスを指定して、ファイル内のすべての追加
リクエストにすべてのユーザーを追加します。
•
ファイルのバッチレベルにリストされる共通のサービスグループを指定し、
ユーザー固有のその他のサービスをこのユーザーの追加リクエスト内で追加
します ( 上記を参照 )。リクエストレベルのサービスが、バッチレベルのサー
ビスよりも優先されます。
•
バッチレベルでサービス 1 を指定し、リクエストレベルでサービス 2 を指定
した場合、両方のサービスにユーザーが追加されます。
各アカウントにリストされる属性は、 [ サービス ] ページからこのサービスで定
義される OVSI の属性名です。属性名はフィールド名と完全に一致していなけ
ればなりません。必要なフィールドがなかったり、データファイルがサービス
制約を満たしていない場合には、結果ファイルに例外がリストされます。詳細
については、 150 ページの「サービスの構成」を参照してください。
例 : 属性が共通の場合のサービスへのユーザーの追加
以下の例では、あるユーザーを Finance Service に追加し、別のユーザーを
Finance Service と Market Service に追加します。リストされる属性は、サー
ビスに必要な属性です。
一括追加または一括移動
339
<?xml version="1.0" encoding="ISO-8859-1"?>
<batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0" requestID="1085774668899">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#serviceName">
<value>dkLDAP70</value>
<value>dkLDAP70-2</value>
<value>dkLDAP70-3</value>
<value>dkLDAP70-4</value>
</attr>
</operationalAttributes>
<addRequest requestID="1">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#serviceName">
<value>dkLDAP70-5</value>
<value>dkLDAP74</value>
<value>dkLDAP74-2</value>
</attr>
</operationalAttributes>
<attributes xmlns="">
<attr name="FirstName"><value>Anne</value></attr>
<attr name="LastName"><value>Alexander</value></attr>
<attr name="UserName"><value>dk1582</value></attr>
<attr name="Password"><value>abc123</value></attr>
<attr name="Company"><value>HP</value></attr>
<attr name="Email"><value>[email protected]</value></
attr>
<attr name="State"><value>TX</value></attr>
<attr name="Zip"><value>12345</value></attr>
<attr name="Addr1"><value>1224 hidden</value></attr>
<attr
name="urn:trulogica:concero:2.0#serviceName#dkLDAP70#LDAP70_ENTI
TLEMENTS">
<value>$UNIX1</value>
<value>$UNIX2</value>
<value>$UNIX3</value>
<value>$UNIX4</value>
340
第 13 章
</attr>
</attributes>
</addRequest>
<addRequest requestID="2">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#serviceName">
<value>dkLDAP72-2</value>
<value>dkCombo</value>
</attr>
</operationalAttributes>
<attributes xmlns="">
<attr name="FirstName"><value>Anne</value></attr>
<attr name="LastName"><value>Alexander</value></attr>
<attr name="UserName"><value>dk1583</value></attr>
<attr name="Password"><value>abc123</value></attr>
<attr name="Company"><value>HP</value></attr>
<attr name="Email"><value>[email protected]</value></
attr>
<attr name="State"><value>TX</value></attr>
<attr name="Zip"><value>12345</value></attr>
<attr name="Addr1"><value>1224 hidden</value></attr>
<attr
name="urn:trulogica:concero:2.0#serviceName#dkLDAP70#LDAP70_ENTI
TLEMENTS">
<value>$UNIX1</value>
<value>$UNIX2</value>
<value>$UNIX3</value>
<value>$UNIX4</value>
</attr>
<attr
name="urn:trulogica:concero:2.0#serviceName#dkLDAP70-2#LDAP70_EN
TITLEMENTS">
<value>$UNIX2</value>
</attr>
</attributes>
</addRequest>
</batchRequest>
一括追加または一括移動
341
例 : 使用権を指定した場合のサービスへのユーザーの追加
共通のリソースを使用する別のサービスに同じユーザーを追加できます。この操
作を正常に行うには、追加リクエスト内で共有リソースに対してユーザーが必
要とする使用権を指定します。この機能を使用する場合、一括タスクで指定す
るサービス名の一部にシャープ記号 (#) を使用することはできません。
以下の例では、ユーザー名が生成されます。
<?xml version="1.0" encoding="ISO-8859-1"?>
- <batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0" requestID="1085774668899">
<operationalAttributes xmlns="" />
- <addRequest requestID="1">
- <operationalAttributes xmlns="">
- <attr name="urn:trulogica:concero:2.0#serviceName">
<value>Service1</value>
<value>Service3</value>
</attr>
</operationalAttributes>
- <attributes xmlns="">
- <attr name="Email">
<value>[email protected]</value>
</attr>
- <attr name="FirstName">
<value>Bulk1</value>
</attr>
- <attr name="LastName">
<value>Bulk</value>
</attr>
- <attr name="State">
<value>TX</value>
</attr>
- <attr name="Company">
<value>TL</value>
</attr>
- <attr name="LDAP70_ENTITLEMENTS">
<value>$UNIX1</value>
</attr>
342
第 13 章
- <attr name="urn:trulogica:concero:2.0
#serviceName#Service1#LDAP70_ENTITLEMENTS">
<value>$UNIX2</value>
</attr>
- <attr name="urn:trulogica:concero:2.0
#serviceName#Service3#LDAP70_ENTITLEMENTS">
<value>$UNIX3</value>
</attr>
</attributes>
</addRequest>
</batchRequest>
データファイルのアップロード
[ 一括 ] ページから、ユーザーアカウント、属性、使用権が含まれるデータファ
イルをアップロードします。詳しい手順については、 344 ページの「一括ジョブ
のスケジュール設定」を参照してください。
ジョブの結果の表示
各ジョブが終了したら、 [ ツール ] → [ 一括 ] → [ 一括タスクリスト ] を使用して、
レポートをリクエストします。レポートには、正常に作成されたユーザーと作成
に失敗したユーザーがリストされます。このレポートを参照して、 SPML ファ
イルに必要な訂正を加え、前回作成に失敗したアカウントだけで同じファイルを
再度実行します。 OVSI クライアントにファイルをアップロードするには、一意
の名前のジョブを新しく作成する必要があります。
すでに実行済みのジョブを新たに作成した場合、このジョブに同じ名前を付け
ることはできません。管理者として作成したジョブごとに、一意の名前が割り
当てられていなければなりません。
XML レポートを使用することで、作成に失敗したために、訂正を行った後再実
行すべきユーザーを抽出することができます。
一括追加または一括移動
343
一括ジョブのスケジュール設定
一括ジョブでは、ユーザーをブロックにまとめて追加または移動することがで
きます。一括追加機能を使用して、ユーザーブロックをプロビジョニングしま
す。一括移動機能を使用して、コンテキストユーザーグループを別のコンテキ
ストに移動するよう一括ジョブをスケジュール設定します。たとえば、
Northwest 部門が閉鎖になり、その部門の従業員すべてが North 部門に移動に
なった場合、一括移動機能を使用して、すべてのユーザーを 1 つのブロックと
して移動できます。
この項で取り上げる内容は以下のとおりです。
•
ユーザーの一括移動タスクのスケジュール設定
•
一括追加ジョブのスケジュール設定
ユーザーの一括移動タスクのスケジュール設定
あるサービスコンテキストのユーザーグループを別のコンテキストに移動する
ためのジョブを作成するには、以下の手順に従います。これは、一度だけ実行
されるジョブです。たとえば、サービスのコンテキスト属性が「City」で、社
内の部門を別の都市に移動する必要が生じた場合、一括機能で処理することが
できます。
ユーザーのコンテキストを変更すると、サービスへのアクセスが削除されたり、
サービス内で付与される使用権が変更になることがあります。この機能で、
ユーザーをサービスに追加することはできません。外部コール、ルール、ワー
クフローが定義されて、ユーザーがサービスに追加されます。
このタスクを行うには、コンテキストの変更によって影響を受けるサービスに
対して管理者権限が付与されていなければなりません。一括移動権限の付与が
必要です。
あるサービスコンテキストのユーザーグループを別のコンテキストに移動する
ためのジョブを作成して実行するには、以下の手順に従います。
1
344
[ ツール ] → [ 一括 ] → [ 一括移動のスケジュール設定 ] を選択します。
[ ユーザーの一括移動タスク ] ページが開きます。
第 13 章
図 148
[ ユーザーの一括移動タスク ] ページ
または、 [ ツール ] → [ 一括 ] → [ 一括ジョブリスト ] を選択した後、 [ 一括移動のス
ケジュール設定 ] ボタンをクリックするか、 [ 一括ジョブリスト ] ページから [ ユー
ザーの一括移動タスク ] をクリックすることもできます。
2
[ ジョブ名 ] フィールドにジョブの一意の名前を入力します。
3
[ コンテキスト属性 ] ドロップダウンリストから、このユーザーグループに対
して変更したいコンテキスト属性を選択します。
4
をクリックして、 [ 現在のコンテキスト値 ] フィールドでこのユーザーグ
ループの現在の値を検索し選択します。
5
クリックして、 [ 新しいコンテキスト値 ] フィールドでこのユーザーグループ
の新しい値を検索し選択します。
6
[ 開始日 ] フィールドでカレンダアイコンをクリックして、ジョブの実行日を
選択します。
今日の日付を選択すると、ジョブは直ちに実行されます。それ以外のすべての
日付では、ジョブは 12:00 A.M. に実行が開始されます。
7
ジョブが終了すると、ジョブの作成者に電子メールが送信されます。電子
メールのコピーを別のユーザーに送信する場合は、 [ 電子メールの CC] フィー
ルドに目的のアドレスを入力します。
一括追加または一括移動
345
8
[ 保存して続行する ] をクリックします。
移動の影響を受けるサービスが表示されます。
9
サービスを確認して、 [OK] をクリックします。
ジョブが作成され、スケジュール設定されている日付になると実行されま
す。
一括追加ジョブのスケジュール設定
1 つまたは複数のサービスに対するユーザーアカウントの一括アップロードをス
ケジュール設定するには、以下の手順に従います。
1
[ ツール ] → [ 一括 ] → [ 一括ジョブリスト ] を選択します。
[ 一括ジョブリスト ] ページが開きます。
図 149
2
346
[ 一括ジョブリスト ] ページ
[ 一括追加のスケジュール設定 ] をクリックします。
[ 一括追加のスケジュール設定 ] ページが開きます。
第 13 章
図 150
3
[ 一括追加のスケジュール設定 ] ページ
フィールドをタブで移動し、必要な情報を入力します。
フィールド
アクション
ジョブ名
このジョブの一意の名前を入力します。
サービス
SPML ファイルでサービスが指定されていない場合
は、
をクリックした後、 [ フィルタ ] をクリックし
て、目的の各サービスを選択します。
[ 削除 ] ボタンをクリックするか、ハイライトされて
いるアイテムを選択解除して、リストからサービスを
削除します。ハイライトされているアイテムだけが、
一括追加トランザクションに取り込まれます。
サーバーファイルの
サブディレクトリ
サービスを見つけるために使用されるサブディレクト
リの名前を入力します。
reconroot の下にサブディレクトリを追加する場合
は、 reconstaging ディレクトリの下にも同じサブ
ディレクトリを追加する必要があります。
一括追加または一括移動
347
フィールド
アクション
電子メールの CC
移動が完了したときに通知を受け取るユーザーの完全
な電子メールアドレスを入力します。
ジョブの作成者には自動的に通知されます。
開始日
今日の日付を選択すると、ジョブは直ちに実行されま
す。それ以外のすべての日付では、ジョブは 12:00
A.M. に実行が開始されます。
開始時刻
ジョブを開始する時刻。
OVSI は reconroot ディレクトリからデータファイルを読み取りま
す。複数のファイルおよび複数のジョブを実行することができます。
4
[ 間隔 ] セクションで、指定したディレクトリから OVSI がデータファイルを
ピックアップする頻度を選択します。
フィールド
アクション
1 回限り
データファイルを 1 回だけピックアップしま
す。一括ジョブを作成するかどうか確認を求
めるプロンプトが表示されます。 [OK] をク
リックします。
データファイルをインクリメンタルにピック
アップします。
• OVSI がデータファイルをピックアップす
るインクリメントあたりの回数を入力しま
す。
自動
5
• ドロップダウンリストから時間のインクリ
メント ([ 分 ]、 [ 時間 ]、または [ 日 ]) を選択
します。
[OK] をクリックします。
新しい一括ジョブを作成するかどうか確認を求めるダイアログが表示されま
す。
348
第 13 章
6
[OK] をクリックします。
ジョブをスケジュール設定し、 [ 一括ジョブリスト ] ページに戻ります。
一括ジョブの管理
ジョブを管理するには、以下の手順に従います。
•
一括ジョブの変更
•
一括ジョブの削除
一括ジョブの表示
1
[ ツール ] → [ 一括 ] → [ 一括ジョブリスト ] を選択します。
[ 一括ジョブリスト ] ページが開きます。
図 151
2
[ 一括ジョブリスト ] ページ
表示されたジョブのリストを確認します。
一括追加または一括移動
349
3
表示するジョブを選択して、 [ タスクステータスの表示 ] をクリックして、タス
クの詳細を表示します。
[ 一括タスクリスト ] ページが開きます。
図 152
4
[ タスクステータスの表示 ] ページ
表示された一括ジョブタスクのリストを確認します。
一括ジョブの変更
一括ジョブを変更するには、以下の手順に従います。
1 回限りのジョブは変更できません。変更できるのは、自動一括ジョブだけで
す。
1
350
[ ツール ] → [ 一括 ] → [ 一括ジョブリスト ] を選択します。
[ 一括ジョブリスト ] ページが開きます。
第 13 章
図 153
[ 一括ジョブリスト ] ページ
2
リストから目的のジョブを選択します。
3
[ 変更 ] をクリックします。
[ 変更 : 一括ジョブ名 ] ページが開きます。
一括追加または一括移動
351
図 154
[ 変更 : 一括ジョブ名 ]
フィールドをタブで移動し、必要な変更を行います。
[ サービスの検索 ] リストボックスでハイライトされているサービス
だけが一括トランザクションに取り込まれます。
4
[OK] をクリックします。
変更内容を保存します。
一括ジョブの削除
ジョブを削除するには、以下の手順に従います。
1 回限りのジョブは削除できません。削除できるのは、自動ジョブだ
けです。
1
352
[ ツール ] → [ 一括 ] → [ 一括ジョブリスト ] を選択します。
[ 一括ジョブリスト ] ページが開きます。
第 13 章
図 155
[ 一括ジョブリスト ] ページ
2
リストから目的のジョブを選択します。必要であれば、検索を行って、目的
のジョブを探します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが開きます。
4
[OK] をクリックします。
ジョブが削除されます。
5
リストにタスクを表示します。
6
タスクを表示するには、リストから目的のタスクを選択し、 [ ジョブ名 ] を
クリックします。
[ 変更 : ジョブ名 ] ページが開きます。これは読み取り専用です。変更を行う
ことができません。
一括追加または一括移動
353
354
第 13 章
14 ルール
調整ルールでは、ユーザープロパティに基づいてユーザーアカウントを追加およ
びメンテナンスするのに必要な操作を指定します。リクエスト処理中、ルールに
よってユーザーの割り当てとプロビジョニングが制御されます。
ルールの追加と管理は [ ルール ] ページを通じて行います。ルールを構築するに
は、文書型定義 (DTD) に従った XML ファイルを作成する必要があります。詳細
については、 357 ページの「DTD ルールの概要」を参照してください。ファイ
ルを作成したら、 [ ルールリスト ] にアップロードします。リストに表示されて
いるルールは、リソースへの割り当てと [ ワークフロー ] および [ 外部コール ]
での使用が可能です。
この章では、次の事項について説明します。
•
サポートされている操作
•
調整ルール
•
除外ルール
•
ルールの管理
サポートされている操作
リリース 4.0 では、次の操作がサポートされています。
•
サービスの追加
•
サービスの削除
•
サービスの有効化
•
サービスの無効化
•
ユーザーの有効化
355
•
ユーザーの無効化
•
ユーザーの終了
ユーザーステータスの依存関係の概要
ユーザーアカウントのステータスに基づき、次の制限があります。
•
新規ユーザーアカウントは追加のみできる。
•
無効化されたユーザーアカウントのサービスは削除できるが追加はできな
い。
•
無効化されたユーザーは、追加権限を使用して有効化のみできる。
•
有効化されたユーザーアカウントは任意のアクションを受け取ることができ
る。
•
終了したユーザーアカウントは有効化できない。
新規ユーザー
OVSI によって信頼できるリソースから調整リクエストが受信され、すべての必
須条件が満たされている場合、システムは変更を行います。イベントはユー
ザーのステータス、ルール定義、ルールポリシーに基づいてサポートされてい
る必要があります ( 信頼できるリソースの説明については、 65 ページの「信頼
できるリソースの使用」を参照してください。
ルールがリソースに添付されている場合、ユーザーがルールで指定されている
条件を満たし、サービスに必要な資格を持っていれば、ユーザーアカウントは
ルールの条件に基づいて追加または変更されます。また、指定されたワークフ
ローからルールを読み込む外部コールを使って、ユーザーの移動中に他のサー
ビスをユーザーに割り当てるのにもルールを使用できます。
外部コールでは、ルールはワークフロー外部コールタイプで定義されます。
ルールはこのワークフロー外部コールのパラメータとして定義されます。外部
コールで定義されたルールは、ルール追加機能で定義する必要があります。
ルールを追加すると、 XML ルールファイルが OVSI データベースにアップロー
ドされます。
356
第 14 章
調整ルール
OVSI には、調整イベントを管理するために、 DTD ルールに従った XML ファ
イルを柔軟に作成することができます。システムのインストール時には完全な調
整ルールはありませんが、テンプレートが 1 つあります。自社固有のニーズに
合わせて、各ルールを構築およびカスタマイズする必要があります。
XML ルールファイルは OVSI に読み込まれます。使用可能になると、ワークフ
ローと外部コールによって始動されます。各ポリシーは論理的な順序で評価され
ます。
この項では、次の事項について説明します。
•
DTD ルールの概要
•
アクションの依存関係
•
ヒント
•
完全な DTD ルール定義
DTD ルールの概要
文書型定義 (DTD) ルールは DTD マークアップ言語メカニズムに基づいており、
これが XML ファイルの構造を定義しています。 XML や DTD に詳しくない場
合、次の Web ページで仕様を確認してください。
http://www.w3.org/TR/2000/REC-xml-20001006#sec-well-formed
この項では、次の事項について説明します。
ルール
•
XML の構成単位
•
完全な DTD ルール定義
357
XML の構成単位
すべての XML 文書は、次の単純な構成単位でできています。
イベントタイ
プ
説明
要素
XML 文書の主要構成単位。要素はテキストや他の要素を含む
か、空です。
属性
要素に関する追加情報。属性は常に要素の開始タグ内にあり、
常に名前と値がペアになっています。
エンティティ
共通テキストを定義するために使用する変数。文書が XML
パーサーで解析されると、エンティティが展開されます。次
のエンティティは XML であらかじめ定義されています。
<(<)
>(>)
&(&)
"(“)
'(')
358
PCDATA
パーサーで解析されるテキスト。テキスト内のタグはマーク
アップとして扱われ、エンティティが展開されます。
CDATA
パーサーで解析されないテキスト。テキスト内のタグはマー
クアップとして扱われず、エンティティは展開されません。
第 14 章
アクションの依存関係
ルールを作成する際、次の点を考慮してください。
イベントタイ
プ
説明
要素
XML 文書の主要構成単位。要素はテキストや他の要素を含む
か、空です。
属性
要素に関する追加情報。属性は常に要素の開始タグ内にあり、
常に名前と値がペアになっています。
エンティティ
共通テキストを定義するために使用する変数。文書が XML
パーサーで解析されると、エンティティが展開されます。次の
エンティティは XML であらかじめ定義されています。
< for <
>(>)
&(&)
"(“)
'(')
PCDATA
パーサーで解析されるテキスト。テキスト内のタグはマーク
アップとして扱われ、エンティティが展開されます。
CDATA
パーサーで解析されないテキスト。テキスト内のタグはマーク
アップとして扱われず、エンティティは展開されません。
ヒント
以下に、 XML 調整ルールを記述する際のヒントを紹介します。
ルール
•
ファイル全体で一貫したパラメータを使用します。
•
コードをネストしないでください。 OVSI ではネストはサポートされていま
せん。
•
キーフィールド (keyField) を確認します。選択した属性フィールドが OVSI
で一意の識別子になっていることを確認してください。
359
•
リクエストは監査される場合があります。監査フラグはリソースポリシーに
基づいて設定されます。詳細については、 86 ページの「リソースの調整ポ
リシーの変更」を参照してください。
•
プロセッサクラスはリクエストブローカが呼び戻すプロセス (int request id)
メソッドを実装する必要があります。整数はワークフローなしでリクエスト
を処理するために動的に読み込まれるプロセッサクラスを識別します。
•
使用したイベントタイプのスペルが正しいかどうかを確認してください。
•
イベントタイプでは大文字と小文字が区別されます。
完全な DTD ルール定義
以下に、 OVSI の完全な DTD ルールを示します。各要素には、その子要素と属
性の説明が含まれています。

<!-A Rule has a collection of InputObjects and one or more scripts
that work on the input object
-->
<!ELEMENT Rule (InputObject*,Script+)>
<!-RuleId is an identifier that is used to identify the rule Comment
is a piece of information associated with a rule Under debug mode
the Comment is printed in the log
-->
<!ATTLIST Rule
RuleId ID #REQUIRED
Comment CDATA #IMPLIED>

<!ELEMENT InputObject EMPTY>
<!-type is the type of the object.It can be any valid fully
qualified Java type name.The primitive types can be declared as
int, String and boolean.The actual type when passed needs to be
Integer, String and Boolean.
name is the name of the object
create specifies whether the object has to be created.The
assumption is that the object supports a no-argument constructor
-->
<!ATTLIST InputObject
type CDATA #REQUIRED
name CDATA #REQUIRED
create (yes|no) #IMPLIED>
<!-Script is the body of a Rule, where conditions are checked and
actions taken
-->
<!ELEMENT Script (ConditionScript | ActionScript | AssertScript |
PlainText | PrintScript)*>
<!-Comment in a script can be used to trace the execution for
debugging
-->
<!ATTLIST Script
Comment CDATA #IMPLIED>
<!-ConditionScript is a condition statement
-->
<!ELEMENT ConditionScript (Condition,TrueAction,FalseAction?)>
ルール
361
<!-Comment in a script can be used to trace the execution for
debugging
-->
<!ATTLIST ConditionScript
Comment CDATA #IMPLIED>
<!-ActionScript models action. currently only one type of action is
specified
-->
<!ELEMENT ActionScript (AssignStmt)>
<!-Comment in a script can be used to trace the execution for
debugging
-->
<!ATTLIST ActionScript
Comment CDATA #IMPLIED>
<!-AssignStmt allows assignment of values to fields or variables
-->
<!ELEMENT AssignStmt (Field, Expression)>
<!-Condition is a boolean expression
-->
<!ELEMENT Condition (Not?,(OrCondition | AndCondition |
UnitCondition)>
<!-OrCondition models logical or
-->
<!ELEMENT OrCondition (UnitCondition+)>
<!-AndCondition models logical and
-->
<!ELEMENT AndCondition (UnitCondition+)>
362
第 14 章
<!-UnitCondition is a nested condition or a relation
-->
<!ELEMENT UnitCondition (Condition | Relation)>
<!-Relation is between two expression
-->
<!ELEMENT Relation (Expression,Expression?)>
<!-Relation supports the following operations:
<ul>
<li>eq equal</li>
<li>ne not equal</li>
<li>gt greater than</li>
<li>lt less than</li>
<li>ge greater than or equal</li>
<li>le less than or equal</li>
<li>contains contains</li>
<li>startswith startswith</li>
<li>endswith endswith</li>
<li>matches matches</li>
<li>eqic equals ignore case</li>
</ul>
contains is a special operation.It can be applied to String,Map
and Collection types. startswith, endswith, matches, equal can be
applied to String only.The semantics are the same as that of java
string class.
<!ATTLIST Relation
op ( eq | ne | gt | lt | ge | le | contains ) #REQUIRED>
<!-TruAction is executed when the condition is true
-->
<!ELEMENT TrueAction (Script*)>

<!ELEMENT FalseAction (Script*)>
<!-Field represents a field in a bean or a variable
-->
<!ELEMENT Field EMPTY>
<!-name is the name of the field.If the field has a . then it is
assumed that it is an attribute of an InputObject otherwise it is
a temporary variable.
type is the type of the variable.The following types are
supported:
<ul>
<li>int integer</li>
<li>boolean boolean</li>
<li>java.lang.String Java String</li>
<li>java.util.Collection Java Collection</li>
<li>java.util.Map Java Map</li>
</ul>
For variables, the collection is implemented as an ArrayList and
Map is implemented as a HashMap
fieldKey is used to access the object in the collection/map
hasG(S)etter and setter is used to generate accessing functions
Y => has a function get<Name> and set<Name>
N => no function ... direct access assuming that it is public
D => has generic function:get(<name>) and set(<name>) of string
type
-->
<!ATTLIST Field
name CDATA #REQUIRED
type ( int | boolean | java.lang.String | java.util.Map |
java.util.Collection ) #REQUIRED
fieldKey CDATA #IMPLIED
hasGetter ( Y | N | D) "D"
364
第 14 章
hasGetter ( Y | N | D) "D" >
<!-Expression is an expression
-->
<!ELEMENT Expression (Field | FixedValue | ArithExp | BoolExp)>
<!-BoolExp is a boolean expression
-->
<!ELEMENT BoolExp (Field | True | False | Relation | Condition)>
<!-True represents a true value
-->
<!ELEMENT True EMPTY>
<!-False is a false value
-->
<!ELEMENT False EMPTY>
<!-ArithExp is an Arithmatic Expression
-->
<!ELEMENT ArithExp (AddExp|MultExp | Field | FixedValue)>
<!-AddExp is an additive expression
-->
<!ELEMENT AddExp (ArithExp,ArithExp)>
<!-AddExp supports two operations
<ul>
<li>plus addition</li>
<li>minus subtraction</li>
</ul>
AddExp support concatanation of two Strings
-->
ルール
365
<!ATTLIST AddExp
op ( plus | minus ) #REQUIRED>
<!-MultExp supports two operations
<ul>
<li>mult multiplication</li>
<li>div division</li>
</ul>
-->
<!ELEMENT MultExp (ArithExp,ArithExp)>
<!ATTLIST MultExp
op ( mult | div ) #REQUIRED>
<!-FixedValue is a literal which can be a quoted string or an
integer
-->
<!ELEMENT FixedValue (#PCDATA)>
<!-AssertScript is an assertion
Condition is checked and if it is false then an exception is
generated with the Message
-->
<!ELEMENT AssertScript (Condition,ExceptionName?,Message?)>
<!-Comment in a script can be used to trace the execution for
debugging
-->
<!ATTLIST AssertScript
Comment CDATA #IMPLIED>
<!-This signifies a not condition
-->
<!ELEMENT Not EMPTY>

<!ELEMENT Message (#PCDATA)>
<!-Any BeanShell script
-->
<!ELEMENT PlainText (#PCDATA)>
<!-class name of the assertion failed exception
-->
<!ELEMENT ExceptionName (#PCDATA)>
<!-Statement to print an expression
-->
<!ELEMENT PrintScript (Expression)>
ルールの管理
独自のルール XML ファイルを作成するか、既存の XML ルールテンプレートを
編集および使用して、 OVSI にルールを追加します。既存のルールと類似した新
しいルールが必要な場合、既存のルールをコピーし、ファイルの名前を変更し、
変更を行います。ルールをメンテナンスするには、ファイルをダウンロードし、
必要な変更を行い、そのファイルを再度アップロードします。 [ ルールリスト ]
に表示されるよう、すべての XML ルールファイルは最新のバージョンをアップ
ロードする必要があります。
リストに表示されているルールは、調整プロセスでサポートされている関数で利
用可能です。必要に応じて、重要なルールのリソースへの添付、外部コールでの
使用、ワークフローによる始動が可能です。
この項では、次の事項について説明します。
ルール
•
[ ルールリスト ] へのルールの追加
•
ルールテンプレートによる新規ルールの作成
•
ルールの表示
•
ルールの削除
367
•
調整ルールに関するトラブルシューティング
[ ルールリスト ] へのルールの追加
既存の XML ファイルをアップロードするには、以下の手順に従います。
ルールを定義するには、以下の手順に従います。
1
[ ツール ] → [ ルール ] → [ ルールの追加 ] メニューオプションを選択します。
[ 新しいルールの追加 ] ページが開きます。
図 156
2
[ 新しいルールの追加 ] ページ
[Browse] をクリックし、アップロードする XML ルールファイルを選択しま
す。
[ ファイルをアップロードします ] フィールドにファイル名が表示されます。
3
[OK] をクリックします。
確認ダイアログボックスが表示されます。
4
368
[OK] をクリックします。
[ ルールリスト ] ページに戻ります。
第 14 章
ルールテンプレートによる新規ルールの作成
既存の XML ファイルをアップロードするには、以下の手順に従います。
1
[ ツール ] → [ ルール ] → [ ルールの追加 ] メニューオプションを選択します。
[ 新しいルールの追加 ] ページが開きます。
図 157
[ 新しいルールの追加 ] ページ
2
[RuleTemplate.xml] のリンクをクリックします。
[ ファイルのダウンロード ] ダイアログボックスが開きます。
3
[ 保存 ] をクリックし、新しい名前でファイルを保存します。
[ ダウンロードの完了 ] ダイアログボックスが開きます。
4
[ 開く ] をクリックします。
XML ルールテンプレートファイルが開きます。
ルール
369
図 158
XML ルールテンプレート
5
XML 作成の業界標準に従って必要な変更を行い、ファイルを保存します。
6
[ 新しいルールの追加 ] ページに戻ります。
[ 新しいルールの追加 ] ページが表示されます。
7
[Browse] をクリックし、作成した XML ルールファイルを選択します。
[ ファイルをアップロードします ] フィールドにファイル名が表示されます。
8
[OK] をクリックします。
確認ダイアログボックスが表示されます。
9
370
[OK] をクリックします。
[ ルールリスト ] ページに戻ります。
第 14 章
既存のルールのコピーと変更
ファイル名を変更しないかぎり、 OVSI 内でルールを変更することができます。
この機能により、ビジネスニーズの変化に合わせて柔軟に XML ファイルに対す
る変更を行うことができます。
既存のルールを変更するには、以下の手順に従います。
1
[ ツール ] → [ ルール ] → [ ルールリスト ] メニューオプションを選択します。
[ ルールリスト ] ページが開きます。
図 159
ルール
[ ルールリスト ]
2
変更するルールを選択します。
3
[ 変更 ] をクリックします。
[ ルールの変更 ] : [ ルール名 ] ページが開きます。
371
図 160
4
[ ルールの変更 ] : [ ルール名 ] ページ
ルールファイル名のリンクをクリックします。
[ ファイルのダウンロード ] ダイアログボックスが開きます。
5
[ 保存 ] をクリックし、必要に応じてファイル名を変更します。
[ ダウンロードの完了 ] ダイアログボックスが開きます。
ファイルをコピーする場合、混乱を避けるためにすぐに名前を変更す
ることをお勧めします。
6
[ 開く ] をクリックします。
XML ルールテンプレートファイルが開きます。
7
XML 作成の業界標準に従って必要な変更を行い、ファイルを保存します。
8
[ ルールの変更 ] ページに戻ります。
[ ルールの変更 ] : [ ルール名 ] ページが表示されます。
9
[Browse] をクリックし、変更した XML ルールファイルを選択します。
[ ファイルをアップロードします ] フィールドにファイル名が表示されます。
10 [OK] をクリックします。
確認ダイアログボックスが表示されます。
11 [OK] をクリックします。
[ ルールリスト ] ページに戻ります。
372
第 14 章
ルールの表示
ルールを表示するには、以下の手順に従います。
1
[ ツール ] → [ ルール ] → [ ルールリスト ] メニューオプションを選択します。
[ ルールリスト ] ページが開きます。
図 161
[ ルールリスト ]
2
表示するルールを選択します。
3
[ ビュー ] をクリックします。
[ ファイルのダウンロード ] ダイアログボックスが表示されます。
4
[ 開く ] をクリックし、新しいウィンドウでファイルを表示します。
5
ファイルの表示が終わったら、ウィンドウを閉じます。
[ ルールリスト ] ページに戻ります。
ルール
373
ルールの削除
ルールを削除するには、以下の手順に従います。
1
[ ツール ] → [ ルール ] → [ ルールリスト ] メニューオプションを選択します。
[ ルールリスト ] ページが開きます。
図 162
[ ルールリスト ]
2
削除するルールを選択します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが表示されます。
4
[OK] をクリックします。
[ ルールリスト ] からルールを削除します。
調整ルールに関するトラブルシューティング
次のリストに、よくある質問への回答を示します。
374
第 14 章
最初の AddRequest で OVSI にユーザーが作成されますが、リクエストのワーク
フローインスタンスは作成されません。
ユーザー属性が正しく格納されていることを確認してください。
必要に応じて、 Context 属性値が指定されていることを確認してください。
Context 属性値が指定されていないかまったく提供されていない場合、ユーザー
は作成されますがサービスには割り当てられません。この時点では、リクエスト
が作成されるのは、ユーザーに何らかのサービスが割り当てられている場合のみ
です。
特定のユーザーに対してすべてのサービスを有効化 / 無効化するにはどうすれ
ばよいですか。
特定のユーザーに対してすべてのサービスを有効化 / 無効化するには、ターゲッ
トサービスが提供するリソースに基づき正しい属性値を指定して、 OVSI に変更
リクエストを送信します。
<value>code:urn:trulogica:concero:2.0#generalError,desc:Exceptio
n in processing request: null,</value> エラーが表示されます。
キーフィールド (keyField) を確認します。選択した属性フィールドが OVSI で
一意の識別子になっていることを確認してください。
フィールド名を確認します。キーフィールドは OVSI の属性フィールド名であ
る必要があります。 XML ファイルでリソース属性名を OVSI の名前と比較しま
す ([ サービス工房 ] > [ リソース ] > [ リソースの変更 ] )。 [ 属性 ] 列の右側にあ
る OVSI の名前を確認します。 keyField 名が正しくない場合、すぐに変更して
ください。
除外ルール
除外ルールには、次の 2 種類があります。
ルール
•
サービス除外ルール
•
属性除外ルール
•
使用権除外ルール
375
サービス除外ルール
これはワークフローで使用する競合ルールです。ルールの比較を行います。た
とえば、ユーザーがサービス 1 を使用している場合、そのユーザーはサービス 2
を使用することができません。 Service1 および gvA1 を、検査するサービスの
名前に置き換えてください。また gvL3 を、除外するサービス名に置き換えてく
ださい。
//When one of these values exists on user
valueList.add("Service1");
valueList.add("gvA1");
//This value is excluded
valueMap.put("gvL3", valueList);
属性除外ルール
このルールは除外値を指定します。
//Entitlement name goes here
String entitlementName = "LDAP72_ENTITLEMENTS;
String attributeName = "FirstName";
LDAP72_ENTITLEMENTS を、除外する使用権属性の名前に置き換えてください。
また "FirstName" を、単一値属性に置き換えてください。
//These values are excluded
excludedList.add("HR Managers");
excludedList.add("QA Managers");
//When this value is used
valueMap.put("Greg", excludedList);
"HR Managers" および "QA Managers" を除外する使用権値に、また "Greg"
を検査する属性名に置き換えてください。
使用権除外ルール
サービスルールと同様、これらのルールは、ユーザーが使用権 1 に属している
場合に使用権 2 に属することができないこと、また使用権 1 と 2 の両方に属し
ている場合は使用権 3 に属することができないことを示します。
376
第 14 章
EntitlementExclusion
//Entitlement name goes here
String EntitlementName = "LDAP72_ENTITLEMENTS";
LDAP72_ENTITLEMENTS を、除外する使用権属性の名前に置き換えてください。
//These values are excluded
valueList.add("HR Managers");
valueList.add("QA Managers");
//When this value is used
valueMap.put("PD Managers", valueList);
"HR Managers" および "QA Managers" を除外する使用権値に、また "PD
Managers" を検査する使用権値に置き換えてください。
EntitlementAndExclusion
//Entitlement name goes here
String EntitlementName = "LDAP72_ENTITLEMENTS";
LDAP72_ENTITLEMENTS を、除外する使用権属性の名前に置き換えてください。
//If all of these condition values are used
valueList.add("HR Managers");
valueList.add("QA Managers");
//Then this value is not allowed
valueMap.put("PD Managers", valueList);
"HR Managers" および "QA Managers" を除外する使用権値に、また "PD
Managers" を検査する使用権値に置き換えてください。
サンプルルール
この項では、さまざまなアクションをサポートするサンプルルールを提供しま
す。これらは単なるサンプルです。アクションの多くは、同じルールには含まれ
ません。たとえば、ユーザーを追加したすぐ後にそのユーザを削除することはあ
りません。
ルール
377
RuleId は調整ポリシーで定義されたルール名と一致する必要があります。条件
は、キーが OVSI の属性名、値が文字列値であるユーザー属性マップに基づい
ています。
複数値属性の条件はサポートされていません。
この項では、次の事項について説明します。
•
ルール標準と ServiceNameMap
•
サンプルルール 1
•
サンプルルール 2
ルール標準と ServiceNameMap
このルールは、単一のサービスおよびすべてのサービスが使用されている場合
の複数のアクションの例を提供します。ユーザーアクションは
ServiceNameMap で指定されています。次の表に、ユーザーアクションのタグ
を示します。
キー
意味
値
意味
-*-
ユーザーレベル
Disable
ユーザーを無効化
-*-
ユーザーレベル
Enable
ユーザーを有効化
-*-
ユーザーレベル
Terminate
ユーザーを終了
*
すべてのサービス
( 指定したリソース )
+OK
すべてのサービスを追加
*
すべてのサービス
( 指定したリソース )
-OK
すべてのサービスを削除
**
すべてのサービス
( 指定したリソース )
Disable
すべてのサービスを無効化
**
すべてのサービス
( 指定したリソース )
Enable
すべてのサービスを有効化
+OK
このサービスに追加
サービス特定のサービスの文
名
字列名
378
第 14 章
キー
意味
値
意味
サービス特定のサービスの文
名
字列名
-OK
このサービスから削除
サービス特定のサービスの文
名
字列名
Disable
このサービスを無効化
サービス特定のサービスの文
名
字列名
Enable
このサービスを有効化
サンプルルール 1
<?xml version="1.0" standalone="no"?>
<!-<!DOCTYPE Rule PUBLIC "http://www.trulogica.com/truaccess/rule"
"file:///C:/sanjoy/TruAccess/scriptengine/src/rule/Rule.dtd">
-->
<Rule RuleId="Resource_ReconRule" Comment="Reconciliation
Resource Rules">

<InputObject name="ResourceName" type="java.lang.String"/>

<InputObject name="AttributeMap" type="java.util.HashMap"/>

<InputObject name="OldAttrMap" type="java.util.HashMap"/>

<InputObject name="ServiceNameMap" type="java.util.HashMap"/
>
<Script>
<ConditionScript Comment="Service Operation if conditions
meet, Process=SvcAssign">
<Condition>
<AndCondition>
<UnitCondition>
<Relation op="contains">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey="0"/>
</Expression>
ルール
379
<Expression>
<FixedValue>"Company"</
FixedValue>
</Expression>
</Relation>
</UnitCondition>
<UnitCondition>
<Relation op="eq">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey=""Company""/>
</Expression>
<Expression>
<FixedValue>"GE"</
FixedValue>
</Expression>
</Relation>
</UnitCondition>
</AndCondition>
</Condition>
<TrueAction>
<ActionScript Comment="Assign Services">
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""AcctManagers""/>
<Expression>
<FixedValue>"+OK"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""PayrollManagers""/>
<Expression>
<FixedValue>"-OK"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""AllManagers""/>
380
第 14 章
<Expression>
<FixedValue>"Enable"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""HRManagers""/>
<Expression>
<FixedValue>"Disable"</
FixedValue>
</Expression>
</AssignStmt>
</ActionScript>
</TrueAction>
</ConditionScript>
<ConditionScript Comment="All Service Operation if
conditions meet, Process=AllSvcAssign">
<Condition>
<AndCondition>
<UnitCondition>
<Relation op="contains">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey="0"/>
</Expression>
<Expression>
<FixedValue>"Company"</
FixedValue>
</Expression>
</Relation>
</UnitCondition>
<UnitCondition>
<Relation op="eq">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey=""Company""/>
</Expression>
<Expression>
<FixedValue>"AM"</
FixedValue>
</Expression>
ルール
381
</Relation>
</UnitCondition>
</AndCondition>
</Condition>
<TrueAction>
<ActionScript Comment="Assign Services">
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""*""/>
<Expression>
<FixedValue>"+OK"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""*""/>
<Expression>
<FixedValue>"-OK"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""**""/>
<Expression>
<FixedValue>"+OK"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""**""/>
<Expression>
<FixedValue>"Disable"</
FixedValue>
</Expression>
</AssignStmt>
</ActionScript>
</TrueAction>
382
第 14 章
</ConditionScript>
<ConditionScript Comment="User level Operation if
conditions meet, Process=uerLevelOperation">
<Condition>
<AndCondition>
<UnitCondition>
<Relation op="contains">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey="0"/>
</Expression>
<Expression>
<FixedValue>"Company"</
FixedValue>
</Expression>
</Relation>
</UnitCondition>
<UnitCondition>
<Relation op="eq">
<Expression>
<Field name="AttributeMap"
type="java.util.Map" fieldKey=""Company""/>
</Expression>
<Expression>
<FixedValue>"HP"</
FixedValue>
</Expression>
</Relation>
</UnitCondition>
</AndCondition>
</Condition>
<TrueAction>
<ActionScript Comment="Assign Services">
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""-*-""/>
<Expression>
<FixedValue>"+OK"</
FixedValue>
</Expression>
</AssignStmt>
ルール
383
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""-*-""/>
<Expression>
<FixedValue>"Disable"</
FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap"
type="java.util.Map" fieldKey=""-*-""/>
<Expression>
<FixedValue>"Terminate"</
FixedValue>
</Expression>
</AssignStmt>
</ActionScript>
</TrueAction>
</ConditionScript>
</Script>
</Rule>
サンプルルール 2
以下に、調整のための XML ルールのサンプルを示します。これは、
LDAPv3_Auth という信頼できるリソースにユーザーが存在するかどうか、
ABCCorp という値を持つ Company という属性またはフィールドがあるかどう
かを調べます。存在する場合、このルールはサービス reconSvc1 および
reconSvc2 に新規ユーザーを追加します。
<?xml version="1.0" standalone="no"?>
<!-<!DOCTYPE Rule PUBLIC "http://www.trulogica.com/truaccess/rule"
"file:///C:/sanjoy/TruAccess/scriptengine/src/rule/Rule.dtd">
-->
<Rule RuleId="LDAPv3_Auth_ReconRule" Comment="Reconciliation
Authoritative Resource Service Assignment Rules">
<InputObject name="ResourceName" type="java.lang.String"/>
<InputObject name="AttributeMap" type="java.util.HashMap"/>
384
第 14 章
<InputObject name="ServiceNameMap" type="java.util.HashMap"/
>
<Script>
<ConditionScript Comment="Check Resource Name and Company
Name">
<Condition>
<AndCondition>
<UnitCondition>
<Relation op="eq">
<Expression>
<Field name="ResourceName"
type="java.lang.String"/>
</Expression>
<Expression>
<FixedValue>"LDAPv3_Auth"</FixedValue>
</Expression>
</Relation>
</UnitCondition>
<UnitCondition>
<Relation op="contains">
<Expression>
<Field name="AttributeMap" type="java.util.Map"
fieldKey="0"/>
</Expression>
<Expression>
<FixedValue>"Company"</FixedValue>
</Expression>
</Relation>
</UnitCondition>
<UnitCondition>
<Relation op="eq">
<Expression>
<Field name="AttributeMap" type="java.util.Map"
fieldKey=""Company""/>
</Expression>
<Expression>
<FixedValue>"ABCCorp"</FixedValue>
</Expression>
</Relation>
</UnitCondition>
</AndCondition>
</Condition>
ルール
385
<TrueAction>
<ActionScript Comment="Assign Services">
<AssignStmt>
<Field name="ServiceNameMap" type="java.util.Map"
fieldKey=""reconSvc1""/>
<Expression>
<FixedValue>"+OK"</FixedValue>
</Expression>
</AssignStmt>
<AssignStmt>
<Field name="ServiceNameMap" type="java.util.Map"
fieldKey=""reconSvc2""/>
<Expression>
386
第 14 章
15 アカウント調整
アカウント調整では、外部ソースのアカウントに対して行った変更に合わせて
OVSI のアカウントを自動的に更新し同期を取ることができます。ユーザーアカ
ウントの変更は通常 OVSI のサービス機能により管理されますが、 OVSI の外で
変更が発生する場合もあります。このような場合、このリソースで行われた変更
を調整するよう OVSI を設定することで、リソースのアカウントと OVSI のア
カウントの同期を取ることができます。 OVSI では、信頼できるリソースと信頼
できないリソース両方について変更を調整できます。
たとえば、信頼できるリソース (Human リソースなど ) でユーザーアカウント
属性が変更された場合、この変更を OVSI と別の信頼できないリソースにプロ
ビジョニングできます。ただし、ユーザーの権限や使用権を信頼できないリソー
スから更新することもできます。 OVSI では、どちらのタイプのリソースからで
も更新を行うことができます。
調整タスクを実行するには、すべてのコンテキストにアクセスできる OVSI の
システム管理者ロールが必要です。
この章では、次の事項について説明します。
•
調整手順の概要
•
SPML データファイルの作成
•
アプリケーションサーバーのプロパティ
•
ジョブ結果の概要
387
調整手順の概要
調整プロセスを開始する前に、最高のパフォーマンスを引き出せるよう OVSI
を最適化しておくことを強くお勧めします。個々の最適化の設定のリストにつ
いては、 3 ページの「OVSI の設定と最適化」を参照してください。最適化の設
定とその他の重要な設定の詳細については、『HP OpenView Select Identity イ
ンストールガイド』を参照してください。
調整タスクを実行するには、リソースの変更と OVSI のデータを調整するため
に使用する方法を決めます。以下の方法で調整を実行できます。
•
リソースの変更を SPML ファイルを介してアップロードする。
•
エージェントまたはユーティリティを使用して変更を収集し、 Web サービ
スインタフェースを介して OVSI に送信する。
•
双方向のコネクタポーリングサポートでリソースをポーリングする。
どの方法を使用するかにかかわらず、調整を実行するための手順はすべて同じ
です。
•
前提条件の確認
•
調整ルールの概要
•
ポリシーの評価
•
ユーザーの調整のリソースレベルのポリシー
•
ユーザーの調整の属性レベルのポリシー
前提条件の確認
調整プロセスを開始する前に、以下の点を明らかにしておいてください。
388
•
調整で使用する信頼できるリソースと信頼できないリソース
•
調整に関与するリソースからのユーザーの一意の ID および属性
•
調整に関係する各ユーザーアカウントに関連付けられているリソースの使用
権
•
各種リソースに渡って同期が取られる属性
•
信頼できるリソースからのアカウントの追加に関連する調整ルール
第 15 章
•
調整時に使用されるパラメータを設定するために各リソースに定義されてい
る調整ポリシー 86 ページの「リソースの調整ポリシーの変更」を参照して
ください。
調整ルールの概要
OVSI でユーザー ( 新規ユーザーまたは既存ユーザー ) をどのように割り当て、
プロビジョニングするかを制御するために調整ルールを使用します。 OVSI がリ
ソースについて調整リクエストを受け取ると、ユーザーに調整ルールが適用され
ます。ユーザーがルールに定義されている条件を満たし、サービスに必要な資格
を持っていれば、そのサービスにユーザーが追加されます。
さらに、ユーザーに他のサービスを割り当てるのにもルールを使用します。この
場合、外部コールを使用して、ワークフロー、リソース、または属性からルール
が読み込まれます。ルールを作成したら、 [ ルール ] ページからこのルールを配
布および管理します。
ルールは OVSI 外で作成され、システムにアップロードされます。ワークフ
ローテンプレートで使用されるルールの DTD に準拠した XML ファイルを作成
します。ユーザーの移動では、ルールを読み込む外部コールで定義されているパ
ラメータ値にルール ID を設定します。このファイルは、 OVSI サーバー上のど
のディレクトリにでも保存できます。ルール機能でルールを追加すると、 XML
ルールファイルが OVSI のデータベースにアップロードされます。
SPML ファイルの例は、 OVSI 製品メディアの
\SampleXML\Reconciliation ディレクトリを参照してください。 DTD のサ
ンプルルールおよび概要は、 355 ページの「ルール」に示されています。
アカウント調整
389
ポリシーの評価
XML 調整ルールファイルを記述する際、 OVSI でポリシーをどのように評価す
るかを検討してください。評価結果に基づいて、調整の各リクエストが作成さ
れます。作成されるリクエストは、ユーザーあたり 1 つです。操作が複数の場
合は、異なるターゲットとしてリクエスト内に設定されます。ポリシーは以下
の方法で評価されます。
アクション
使用法
属性レベルの後にアクションがあ
る
OVSI は最も対象範囲が大きいアクションを使
用します。これは、リソースレベルのアク
ションよりも優先されます。
属性レベルのアクションのグロー
バルポリシーが設定されていない
OVSI はリソースレベルで定義されているアク
ションを使用します。
リソースレベルのアクションのグ
ローバルポリシーが設定されてい
ない
OVSI はシステムのデフォルトを適用します。
ユーザーの調整のリソースレベルのポリシー
それぞれの行で、ソースのリソースからの調整イベントタイプのプロセスを定
義します。イベントタイプは追加、変更、削除のいずれかです。それぞれのポ
390
第 15 章
リシーアイテムの意味を下表に示します。
リソースレベル
説明
Audit
操作を監査するかどうかを設定します。デフォルトは
false です。
Report Policy
選択したレポートの詳細レベル。デフォルトは brief で
す。
• brief
• detailed
ResourceAction
ユーザーに対してリソースレベルで操作を行うためのポリ
シー。
• Accept
• Revert
• Basic
wfTemplateName
このリソース / イベントにワークフローを使用する場合
の、ワークフローテンプレートの名前。デフォルトでは、
調整のデフォルトプロセスのワークフローが使用されま
す。
ruleName
このリソース / イベントの組み合わせに関連して、ユー
ザープロパティに基づいて追加操作を行うルール。
userAction
リソースのアクションが Accept の場合に限り適用されま
す。以下のアクションは、追加および変更イベントタイプ
の場合に適用されます ( 昇順で示します )。
• Basic
• Sync( 変更イベントタイプのみ )
• Auto
• Rule
• Auto or Rule
• Auto and Rule( 変更イベントタイプのみ )
アカウント調整
391
OVSI 属性ごとにユーザーのアクションを指定できます。調整の変更リクエスト
が受け取られると、変更された属性がすべて収集されます。 OVSI は変更された
属性ごとに調整ユーザーアクションをチェックし、以下のいずれかのアクショ
ンを実行します。
•
ユーザーアクションが設定されている場合は、最高位のアクションが実行さ
れます。
•
属性レベルのポリシーが見つからない場合は、リソースレベルのポリシーが
実行されます。
ユーザーレベルのアクションにルールが必要でない場合は、 Basic および Sync
ユーザーアクションだけが実行されます。
ユーザーの調整の属性レベルのポリシー
属性レベルのポリシーで、調整時に属性が変更された場合のプロセスが定義さ
れます。イベントタイプでは大文字と小文字が区別されます。
属性調整ポリシーが適用されるのは、リソースアクションが変更モードで
Accept に設定され、属性が変更されている場合だけです。
イベントタイプ
説明
userAction
ユーザーレベルでユーザー操作を行うために使用されるポ
リシー。
• Auto
• Basic
• Rule
• Rule or auto
• Rule and auto
• Sync resource
調整ジョブ
調整ジョブは 1 回限り実行することも自動で実行することもできます。
392
第 15 章
1 回限りの調整ジョブは、特殊なニーズに対処したりジョブをスケジュール設定
して、 OVSI および OVSI がサービスを提供するアプリケーションやデータスト
アのリソースを管理するために作成します。
自動ジョブは、特定の期間内にリソースからの変更をポーリングする場合に使用
できます。また、自動ジョブを使用して、あらかじめ設定されているファイルシ
ステムディレクトリをスキャンして、ファイルを自動的にアップロードすること
もできます。
この項では、次の事項について説明します。
•
前提条件の概要
•
エージェントインタフェースまたは Web サービスインタフェースの使用
•
ヒント
•
信頼できるリソースとの調整
•
信頼できないリソースとの調整
•
リクエストアクションの概要
•
調整ルールの使用
•
サービスメンバーシップ要件の概要
前提条件の概要
OVSI インタフェースから調整を使用するのであれば、その前に以下のタスクが
完了していなければなりません。
アカウント調整
•
リソースをすべて追加し、信頼できるリソースを指定します。詳細について
は、 65 ページの「信頼できるリソースの使用」を参照してください。
•
OVSI アカウントで更新する属性を識別し、個々の属性を信頼できるリソー
スのリソース属性にマッピングすることで属性をマッピングします。このた
めには、リソース機能のリソース属性マッピングの変更機能を使用するか、
属性機能を使用します。詳細については、 122 ページの「リソース属性の
マッピングの変更」を参照してください。
•
OVSI で管理する必要がある信頼できないリソースの属性を Sync Out from
Select Identity にマッピングします。 65 ページの「同期と配布の概要」を
参照してください。
393
•
OVSI を更新する必要がある信頼できないリソースの属性を特定します。こ
のような属性には Sync In to Select Identity というマークを付けます。同期
属性および配布属性はリソースにマーキングされます。
•
信頼できるリソースに対するユーザーの追加、変更、削除を取り込んだ
SPML ファイルを作成します。
•
すべての信頼できないリソースについてユーザーに関連する使用権の
SPML ファイルを作成します。このファイルには、追加リクエスト、変更
リクエスト、削除リクエストを取り込みます。
エージェントインタフェースまたは Web サービスインタ
フェースの使用
エージェントインタフェースまたは Web サービスインタフェースからでも調整
を行うことができます。 Web サービスのリクエストの形式は、 [ 調整 ] ページを
使用した場合に受諾される形式とは異なります。エージェントインタフェース
または Web サービスインタフェースから調整を使用する場合は、以下のタスク
を行う必要があります。
•
67 ページの「システムリソースの追加と管理」および 101 ページの「属性
の管理」の説明に従い、リソースおよび属性を作成します。
•
OVSI の Web サービスインタフェースと互換性があるバッチリクエストま
たは単一リクエストを作成します。 Web サービスリクエストの例について
は、 OVSI の製品 CD の SampleXML\Reconciliation\Web Service フォ
ルダを参照してください。
•
エージェント、ユーティリティ、または別の Web サービスから Web サービ
スを起動します。
•
サポートされている SPML エレメントおよびサポートされているリクエス
トイベントを処理するために OVSI にマッピングされている属性を使用し
て、 SPML リクエストを作成します。
詳細については、『HP OpenView Select Identity Web Service Online Help』お
よび『HP OpenView Select Identity Connector Developer Guide』の「Web
Services」を参照してください。
394
第 15 章
調整前のシステム設定
調整プロセスは、リソース、属性、サービスの設定に大きく左右されます。調整
タスクを実行する前に、それぞれの章を見直すとともに、以下の点を確認してく
ださい。調整ジョブを実行する前に、以下の依存関係が満たされていることを確
認します。
•
調整するシステムにコネクタとリソースが配布されていること。
•
必要なリソースおよび OVSI の属性がすべてコネクタマッピングファイル
( リソースの追加時に指定 ) 内でマッピングされていることを確認します。
•
更新した OVSI 属性がすべて、属性機能またはリソース機能のリソース属性
マッピングの変更機能を使用して、適切なリソース属性にマッピングされて
いることを確認します。
•
データの調整相手にしたいリソースを使用するように 1 つまたは複数のサー
ビスが作成され、 TruAccess.properties ファイルですべてのサービス
のサービスロールまたはリソースについて調整のワークフローテンプレート
が割り当てられていることを確認します。デフォルトのテンプレートである
ReconciliationDefaultProcess を使用できますが、カスタムのテンプ
レートを作成し、それを指定してもかまいません。ワークフローテンプレー
トについては、『Select Identity Workflow Studio ガイド』を参照してくだ
さい。
•
更新するサービス内に調整イベントを配置します。
•
従業員 ID や税 ID 番号など、特定のユーザープロファイル属性を
TruAccess.properties ファイルに追加して、検索を効率化することが
できます。検索のために TruAccess.properties ファイルで属性をマッ
ピングしておくことで、調整プロセスが容易になります。このファイルでの
検索の設定については、『HP OpenView Select Identity インストールガイ
ド』を参照してください。
ヒント
以下に、調整ポリシーを設定する際のヒントを紹介します。
アカウント調整
•
ファイル全体で一貫したパラメータを使用します。
•
キーフィールド (keyField) を確認します。選択した属性フィールドが OVSI
で一意の識別子になっていることを確認してください。
395
信頼できるリソースとの調整
リソースを作成した場合、信頼できるソースとして指定できます。このような
リソースには通常最新のアカウント情報が取り込まれ、アイデンティティのマ
スターアカウントレコードを格納するために使用されます。たとえば、ユー
ザーデータまたはアカウントデータが含まれるアプリケーションが社内に 20 種
類あったとします。しかし、 1 つのリソースについてユーザーの個人データが格
納されるのは人事アプリケーションだけです。この人事システムが信頼できる
ソースとみなされます。このリソースに存在していないと、社内の他のアプリ
ケーションやリソースに追加することはできません。信頼できるリソースの定
義については、 66 ページの「リソースの管理」を参照してください。
OVSI で調整を実行する前に、信頼できるリソースを識別し、指定しておきま
す。信頼できるリソースを指定しておけば、調整によるユーザーアカウントの
追加を開始することができます。
OVSI のアカウントは、最初に信頼できるリソースから追加されていない限り、
他のリソースから追加または更新を行うことはできません。信頼できるリソー
スからアカウントを追加しておけば、他のリソースから使用権やその他の属性
の追加を開始できます。
信頼できるリソースからのリクエストの追加では、通常 OVSI に新しいアカウ
ントが追加されます。ただし、アカウントが存在しているユーザーに対して追
加リクエストが発生した場合は、このユーザーの属性が新しい追加リクエスト
に置換されます。このため、ユーザーのサービスメンバーシップが再評価され、
どのサービスが割り当てられるのか、またはどのサービスが削除されるのかが
判別されます。また、調整によってあるユーザーに対して追加リクエストが発
生した場合に、このユーザーがすでにリソースで無効になっていると、追加リ
クエストが処理された後、このユーザーは再び有効になります。
信頼できるソースとの調整時には、このリソースおよびイベントに関連する
ルールがチェックされ、サービスアクセスを付与すべきかどうかが決まります。
ルールについては、 357 ページの「調整ルール」を参照してください。
信頼できないリソースとの調整
信頼できないリソースには通常ユーザーアカウントの使用権が取り込まれます
が、それだけでなく他のデータも含まれる場合があります。ユーザーアカウン
トに対する信頼できない変更は、信頼できるリソースからユーザーアカウント
396
第 15 章
を追加した後に処理してください。変更には、使用権の追加や削除も含まれま
す。使用権は自動的に信頼できるとみなされ、信頼できないリソースから変更が
生じると OVSI の値が必ず更新されます。
場合によっては、信頼できないリソースからそれ以外の属性も同期を取らなけれ
ばならないこともあります。 OVSI では、 Sync In 属性として属性を設定するこ
とができます。このように設定することで、信頼できないリソースの属性に対し
て行った変更と同期を取るように OVSI に指示します。このシナリオによれば、
信頼できないリソースの属性が変更された場合、 Sync In 属性は必ず OVSI で管
理されます。詳細は、 65 ページの「同期と配布の概要」を参照してください。
ただし、信頼できないリソースで属性が変更された場合でも、この属性が Sync
In として指定されていないと、以下のいずれかのシナリオが生じます。
•
ユーザーの調整ポリシーでリソースレベルで設定されている元に戻す機能が
使用されます。 418 ページの「既存の調整ジョブの表示」を参照してくださ
い。
•
この機能が有効になっていないと、信頼できないリソースから Sync In 属性
を受け取った場合、以下のようになります。
—
OVSI は属性の変更を拒否します。この属性値に合わせて、 OVSI およ
びその他のリソースが更新されることはありません。
— 変更を受け取った後、 OVSI およびその他のリソースはすべて信頼でき
ないリソースとの同期が解除されます。
信頼できないソースからの変更を調整する場合は、以下の点を忘れないでくださ
い。
アカウント調整
•
信頼できないリソースからアカウントを変更するには、このユーザーが信頼
できるリソースから作成されたものであり、 OVSI に存在していなければな
りません。
•
信頼できないソースからのユーザー属性の更新が許容されるのは、この属性
が OVSI にまだないか、属性に値がない場合だけです。属性が OVSI に存在
し、値がある場合、既存の値を無効にするためには、配布として属性が定義
されていなければなりません。信頼できる属性は、リソース機能のリソース
属性マッピングの変更機能を使用して設定できます。
•
複数のリソースにマッピングされる Sync Out 属性は、ユーザーの変更リク
エストにマッピングされる属性が含まれ、マッピングされる属性およびリ
ソースが含まれるサービスにユーザーが属している場合、リソース全体に
渡って自動的に同期が取られます。
397
リクエストアクションの概要
ユーザーリクエストに対して OVSI が実行するユーザーのアクションにはいく
つかの種類があります。
•
基本 — リクエストイベントタイプに基づいて実行される最低限のアクショ
ン
•
再同期 — マッピングされる他のリソースと同期が取られる
•
サービスの自動割り当て — あらかじめ定められている評価ルールに基づい
て、正規のサービスにユーザーを割り当てる
•
ルール — XML ルールで指定されたアクションを使用する
リソースに SPML フィルタが設定されていると、事前処理を必要とする顧客に
対して SPML リクエストが送られるとフィルタ機能が起動されます。
調整では、以下のリクエストアクションがサポートされています。
398
第 15 章
信頼できるリソース
イベント
リソース
ポリシー
新規
ユーザー
リクエストアクション
追加
無視
適用外
何も起こらない
追加
元に戻す
適用外
追加を元に戻す
追加
受諾
○
追加、サービスの追加
追加
受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
変更
無視
適用外
何も起こらない
変更
元に戻す
×
元に戻す / 変更
変更
受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
削除
無視
適用外
何も起こらない
削除
元に戻す
×
削除を元に戻す
削除
受諾
×
終了
信頼できないリソース
アカウント調整
イベント
リソース
ポリシー
新規
ユーザー
リクエストアクション
追加
無視
適用外
何も起こらない
追加
元に戻す
適用外
追加を元に戻す
追加
新規を受
諾
○
サービスの追加
追加
受諾、新
規を受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
399
400
イベント
リソース
ポリシー
新規
ユーザー
リクエストアクション
変更
無視
適用外
何も起こらない
変更
元に戻す
×
元に戻す / 変更
変更
受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
削除
無視
適用外
何も起こらない
削除
元に戻す
×
削除を元に戻す
削除
受諾
×
サービスの削除
第 15 章
元に戻す
イベント
リソース
ポリシー
新規
ユーザー
リクエストアクション
追加
無視
適用外
何も起こらない
追加
元に戻す
適用外
追加を元に戻す
追加
受諾
○
サービスの追加
追加
受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
変更
無視
適用外
何も起こらない
変更
元に戻す
×
元に戻す / 変更
変更
受諾
×
サービスの追加 / 変更 / 削除 / 有効化 /
無効化、ユーザーの有効化 / 無効化 /
終了
削除
無視
適用外
何も起こらない
削除
元に戻す
×
削除を元に戻す
削除
受諾
×
サービスおよびリソースキーの削除
調整ルールの使用
調整によってユーザーアカウントを追加する場合、社内でアカウントをどのよう
に追加するかを制御することができます。場合によっては、信頼できるソースか
らアカウントが追加されるときに、ユーザーをリソースにプロビジョニングでき
ます。
調整ルールは、調整ポリシーで調整イベントに関連付けられます。ルールは
XML で定義され、ルール機能を介して OVSI にアップロードされます。この
ルール機能で、ルールで定義されている特定のパラメータに基づき、ユーザーが
受けることができるサービスが指定されます。リクエストを検証して、リクエス
トがルール条件を満たしているかどうか確かめた後、ルール機能で割り当てが行
われます。
アカウント調整
401
たとえば、情報技術 (IT) 部署に雇用されている従業員全員を Active Directory
に追加する旨の業務ルールを規定してあるとします。この場合、新たに加わっ
た従業員の部署を調べ、部署が「IT」であれば Active Directory リソースにこ
のユーザーをプロビジョニングするという調整ルールを作成します。このルー
ルを適切に実行するには、 Active Directory リソースを含むサービスを作成しま
す。従業員の部署の属性値が「IT」であるというユニット条件でルールを指定
した後、サービスを追加します。このルールは、リソース、属性、外部コール
のいずれかのパラメータとして指定する必要があります。
このために、それぞれのリソースに調整ルールを 1 つずつ定義することができ
ます。このルールの条件を満たした場合に限り、ルールに示されているサービ
スにユーザーが追加されます。ルールを満たしていない場合やルールが定義さ
れていない場合は、資格を満たすサービスだけが割り当てられます。ルールに
ついては、 357 ページの「調整ルール」を参照してください。
ルールを含む調整の例は、 OVSI 製品 CD の \SampleXML\Reconciliation
ディレクトリを参照してください。 DTD のサンプルルールおよび概要は、 357
ページの「調整ルール」に示されています。
ユーザーのコンテキストを変更する際にそのユーザーのアカウントに他のサー
ビスを追加する必要がある場合は、『HP OpenView Select Identity Workflow
Studio ガイド』の「Adding Services to a User」のシナリオを参照してくださ
い。このプロセスにより、アカウントの変更時に新しいサービスをアカウント
に追加するためのルールや外部コールを作成できます。
サービスメンバーシップ要件の概要
調整によってユーザーが追加または変更されると、 OVSI は変更を受けてユー
ザーのサービスメンバーシップを評価します。ユーザーの属性の変更に基づき、
サービスメンバーシップがユーザーに割り当てられたり、ユーザーからサービ
スメンバーシップが削除されます。
調整時のサービス割り当ての追加
調整を通じてユーザーにサービスを割り当てるには、ユーザーは以下の条件を
満たしていなければなりません。
402
•
サービス内のリソースすべてにアクセスできること。
•
サービスで定義されている必要なサービス属性のプロパティすべてを備えて
いること。
第 15 章
•
サービス内にある属性値がすべて割り当てられていること。
•
サービスのいずれかのコンテキストで定義されているコンテキスト値が一致
していること。
•
ユーザーのコンテキスト値に関連するサービスのサービスロールで定義され
ている固定使用権すべてを備えていること。ユーザーのコンテキストがサー
ビスロールの第 3 レベルに関連付けられている場合、同じサービスロール構
造の第 1 レベルおよび第 2 レベルに割り当てられているすべての固定使用権
も備えている必要があります。
•
ユーザーのコンテキスト値に基づくサービスのオプションの使用権値すべて
を備えていること。
•
また、長さやパターンといった属性フィールド値もすべてフィールドの所有
者と一致していること。
制約リストに含まれるサービスの属性について、属性値が一致していること。制
約は、 OVSI に含まれる静的な属性定義の一部であることもあれば、属性に呼び
出しが定義されている場合には外部コールの一部であることもあります。
コンテキスト属性またはいずれかの固定属性がストレージタイプとして一方向
のコネクタを有している場合、サービスの割り当てチェックはバイパスされま
す。一方向に暗号化された値を OVSI のデータストレージから復元することは
できません。
調整時のサービス割り当ての削除
調整変更リクエストに基づきユーザーのアカウントがサービスの要件を満たさな
くなると、このユーザーはサービスから削除されます。
調整時のサービス割り当ての変更
調整時にユーザーの属性が変更になっても、以下の条件を満たしていなければ、
リソースのプロビジョニングが行われることはありません。
アカウント調整
•
変更対象の属性が他のリソースにマッピングされ、この属性が含まれるサー
ビスにユーザーが属している。
•
調整ルールが実行され、信頼できるリソースからユーザーが追加されてい
る。
•
デフォルトの調整のワークフロー以外のワークフローが調整変更に関連付け
られている。このワークフローで、ユーザーの使用権を変更したり、サービ
スにユーザーを追加するための外部コールが起動される可能性があります。
403
•
Add Service および Delete Service Membership の調整イベントがターゲッ
トのサービスのサービルロールに存在している。
•
ルールサービスの割り当てにより新しい属性がユーザーに追加される。
SPML データファイルの作成
調整機能では、 SPML データファイルタイプを使用して、アカウントを変更し
ます。このファイルには、使用権や属性の変更など、指定されたリソースから
の変更が反映されます。その後、このファイルが OVSI にアップロードされま
す。
自動ジョブの SPML データファイルはすべて
ResourceName_yyyy_mm_dd_hh_mm 命名規則に準拠し、
TruAccess.properties ファイルに指定されている調整ルートディレクトリ
に格納されます。この properties ファイルについては『HP OpenView Select
Identity インストールと設定ガイド』を、調整の個々の設定については 415
ページの「アプリケーションサーバーのプロパティ」を参照してください。
自動化されていないジョブの場合は、どの命名規則でも使用できます。
リソース名
リソースにはどのような命名規則でも使用できます。ただし、リソース名にア
ンダーバーが含まれる場合は、以下のように TruAccess を変更する必要があり
ます。プロパティ com.hp.ovsi.spml.resourcename.separator の設定を
com.hp.ovsi.spml.resourcename.separator = + など他の文字に変更し、
調整 SPML ファイル名でリソース名と日付 / 時刻部分を区切る文字列を定義し
ます。たとえば、リソース名 +yyy_mm_dd_hh_mm のようなファイル名にしま
す。これによって、名前に特殊文字が含まれていても、調整ジョブが失われる
のを防ぐことができます。
404
第 15 章
ユーザーおよび属性が含まれる SPML ファイルの作成
今日のリソースの多くは、ユーザーデータを XML(Extensible Markup
Language) 形式または SPML(Service Provision Markup Language) 形式にエク
スポートするためのユーティリティやメカニズムを備えています。調整に必要と
される SPML 形式を作成するには、以下のいずれかを行います。
•
リソースのデータを LDIF 形式にエクスポートし、構文解析ツールを使って
SPML にデータを変換します。
•
リソースのデータを XML 形式または DSML 形式にエクスポートします。
XML 構文解析ツールと XSLT スタイルシートを使って、 SPML に変換しま
す。
•
サードパーティのマッピングツールを使用して、データを SPML 形式に変
換します。
•
OVSI 製品 CD に同梱されている SPML Generator ツールを使用します。詳
細は、 535 ページの「SPML Generator ユーティリティ」を参照してくださ
い。
•
リソースに目を通し、各ユーザーについて変更されたレコードを書き出すこ
とで、プログラム的にファイルを作成します。
コネクタの多くが、逆同期化と呼ばれる変更検出ユーティリティをサポートし
ています。このユーティリティを利用することで、リソースが OVSI サーバー
に変更を送信することができます。逆同期化の詳しい説明については、『HP
OpenView Select Identity Connector Developer Guide』を参照してください。
LDIF 形式から SPML への変換の使用例については、 HP OpenView Select
Identity 製品 CD の \SampleXML\Reconciliation ディレクトリ内のサンプ
ルファイルを参照してください。
SPML の記述
ユーザー属性が含まれる入力ファイルを作成する場合は、各ユーザーに対応する
一意の識別子属性を指定します。SPML ファイルの <operationalAttributes
xmlns=> セクションで識別子が指定され、 keyFields 属性で値として示されま
す。アカウントを識別するための OVSI のデフォルトの属性は UserName です。
SPML ファイルのこのセクションのサンプルを下記に示します。
<operationalAttributes xmlns="">
アカウント調整
405
<attr name="urn:trulogica:concero:2.0#keyFields">
<value>UserName</value></attr>
</operationalAttributes>
これは、アカウントが存在するかどうか確かめるために OVSI が使用する属性
名と値です。ユーザー ID の操作属性をファイルのヘッダーに指定する他、ユー
ザーの追加リクエストごとにこれ以外に操作属性値を 2 つ指定する必要があり
ます。
<addRequest requestID="1">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#taUserName">
<value>avaughan</value></attr>
<attr name="urn:trulogica:concero:2.0#taResourceKey">
<value>AQ4100</value></attr>
</operationalAttributes>
taUserName フィールド値は、 OVSI で各アカウントを識別するために使用さ
れる一意の値です。 taResourceKey は、ユーザーの本来の作成元のリソース
でアカウントを識別するために使用される対応するキーです。これは、値の生
成関数がない場合のリソース専用です。
[ ユーザー名 ] 属性を値生成機能で設定し、信頼できるリソースから調整リクエ
ストを行う場合は、 SPML ファイルで taUserName を指定する必要はありませ
ん。 OVSI が値生成機能を呼び出して、 [ ユーザー名 ] を作成します。この生成
された UserName で OVSI にユーザーがプロビジョニングされます。
SPML のヒント
406
•
ファイル名は <batchRequest> で始まり、 </batchRequest> で終わらなけ
ればなりません。
•
追加する各アカウントは、 <addRequest> で始まり、 </addRequest> で終
わります。各追加リクエストについてリストされる操作属性および値は
OVSI で必要とされます。この属性や値がないと、アカウントを追加できま
せん。
•
調整処理で必要なキーワードが操作属性になければなりません。
•
管理者ユーザー名 / パスワード、ソースリソース、リソースの業務キーフィ
ルド、逆同期化フラグは、すべての操作について Web Service SPML の
BATCH セクションで必要とされます。
第 15 章
•
taUserName は、信頼できるリソースからの追加操作についてサブリクエス
トセクションで必要とされます。
•
taResourceKey は、追加操作についてサブリクエストセクションで必要と
されます。
•
識別子 ( 非操作属性 ) は、変更 / 削除操作についてサブリクエストセクショ
ンで必要とされます。
•
OVSI 内で属性の値が複数必要となる場合は、以下の構文を使用します。
<attr name="name">
<value>value1</value>
<value>value2</value>
</attr>
ここで、「name」は Select Identity 属性にマッピングされます。
SPML の例
taUserName がない場合の SPML ファイル
以下に、 taUserName なしの SPML ファイルのサンプルを示します。
<batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0" requestID="1085774668899">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#keyFields">
<value>Email</value></attr>
</operationalAttributes>
<addRequest requestID="1">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#taResourceKey">
<value>ResAD051801</value></attr>
</operationalAttributes>
<attributes xmlns="">
<attr name="State">
<value>TX</value></attr>
<attr name="LastName">
<value>Smith</value></attr>
アカウント調整
407
<attr name="Email">
<value>[email protected]</value></attr>
<attr name="FirstName">
<value>John</value></attr>
</attributes>
</addRequest>
</batchRequest>
2 つのフィールドでアカウントを識別する SPML ファイル
2 つの異なるフィールドを使用して、アカウントを識別することができます。下
記の例では、 LastName と FirstName を Operational Attributes の
keyFields セクションに指定して、一意のアカウントを検索します。
複数のフィールドを使用する場合、条件を満たすものが OVSI 内に複数存在す
ることは許されません。フィールドを結合することで、 OVSI でユーザーを検索
したときに一意のユーザーを特定できなければなりません。
最も明確なキーをファイル内で最初の値として使用します。以下の例では、
LastName フィールドの方が条件を特定できるため、 FirstName フィールドよ
りも前に指定します。
<batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0" requestID="1085774668899">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#keyFields">
<value>LastName</value>
<value>FirstName</value></attr>
</operationalAttributes>
<addRequest requestID="1">
<operationalAttributes xmlns="">
<attr name="urn:trulogica:concero:2.0#taUserName">
<value>chU54500</value></attr>
<attr name="urn:trulogica:concero:2.0#taResourceKey">
<value>ch54500</value></attr>
</operationalAttributes>
408
第 15 章
<attributes xmlns="">
<attr name="Employee ID">
<value>HP</value></attr>
<attr name="LastName">
<value>Kellerman</value></attr>
<attr name="Email">
<value>[email protected]</value></attr>
<attr name="FirstName">
<value>Billy</value></attr>
<attr name="State">
<value>TX</value></attr>
</attributes>
</addRequest>
</batchRequest>
単一操作の SOAP リクエスト
<!-SPML Request to Add a new User from a recon auth resource
through webservice
******************************
-->
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/
envelope/">
<soap:Body>
<addRequest requestID="12345"
execution="urn:oasis:names:tc:SPML:1:0#asynchronous">
<operationalAttributes>
<attr
name="urn:oasis:names:tc:SPML:1:0#UserIDAndOrDomainName"><value>
sisa</value></attr>
<attr
name="urn:trulogica:concero:2.0#password"><value>abc123</
value></attr>
<attr
name="urn:trulogica:concero:2.0#resourceId"><value>Auth_LDAP_1</
value></attr>
<attr
name="urn:trulogica:concero:2.0#keyFields"><value>UserName</
value></attr>
アカウント調整
409
<attr
name="urn:trulogica:concero:2.0#reverseSync"><value>true</
value></attr>
<attr
name="urn:trulogica:concero:2.0#taUserName"><value>webrecon1</
value></attr>
<attr
name="urn:trulogica:concero:2.0#taResourceKey"><value>webrecon1<
/value></attr>
</operationalAttributes>
< 属性 >
<attr name="UserName"><value>webrecon1</value></attr>
<attr name="Email"><value>[email protected]</value></attr>
<attr name="State"><value>TX</value></attr>
<attr name="urn:trulogica:concero:2.0#groups">
<value>HR Managers</value>
<value>PD Managers</value>
</attr>
</attributes>
</addRequest>
</soap:Body>
</soap:Envelope>
バッチ操作の SOAP リクエスト
<!-SPML Request to batch add new User from a recon auth
resource through webservice
******************************
-->
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/
envelope/">
<soap:Body>
<batchRequest xmlns:countries="countries.uri"
xmlns:cities="cities.uri"
xmlns:dsml="urn:oasis:names:tc:DSML:2:0:core"
xmlns:spml="urn:oasis:names:tc:SPML:1:0"
xmlns="urn:oasis:names:tc:SPML:1:0"
requestID="1085774668899">
410
第 15 章
<operationalAttributes xmlns="">
<attr
name="urn:oasis:names:tc:SPML:1:0#UserIDAndOrDomainName"><value>
sisa</value></attr>
<attr
name="urn:trulogica:concero:2.0#password"><value>abc123</
value></attr>
<attr
name="urn:trulogica:concero:2.0#resourceId"><value>Auth_LDAP_1</
value></attr>
<attr
name="urn:trulogica:concero:2.0#keyFields"><value>UserName</
value></attr>
<attr
name="urn:trulogica:concero:2.0#reverseSync"><value>true</
value></attr>
</operationalAttributes>
<addRequest requestID="2"
execution="urn:oasis:names:tc:SPML:1:0#asynchronous">
<operationalAttributes>
<attr
name="urn:trulogica:concero:2.0#taUserName"><value>webrecon2</
value></attr>
<attr
name="urn:trulogica:concero:2.0#taResourceKey"><value>webrecon2<
/value></attr>
</operationalAttributes>
< 属性 >
<attr name="UserName"><value>webrecon2</value></attr>
<attr name="Email"><value>[email protected]</value></
attr>
<attr name="State"><value>TX</value></attr>
<attr name="urn:trulogica:concero:2.0#groups">
<value>HR Managers</value>
<value>PD Managers</value>
</attr>
</attributes>
</addRequest>
アカウント調整
411
<addRequest requestID="3"
execution="urn:oasis:names:tc:SPML:1:0#asynchronous">
<operationalAttributes>
<attr
name="urn:trulogica:concero:2.0#taUserName"><value>webrecon3</
value></attr>
<attr
name="urn:trulogica:concero:2.0#taResourceKey"><value>webrecon3<
/value></attr>
</operationalAttributes>
< 属性 >
<attr name="UserName"><value>webrecon3</value></attr>
<attr name="Email"><value>[email protected]</value></
attr>
<attr name="State"><value>TX</value></attr>
<attr name="urn:trulogica:concero:2.0#groups">
<value>HR Managers</value>
<value>PD Managers</value>
</attr>
</attributes>
</addRequest>
</batchRequest>
</soap:Body>
</soap:Envelope>
SPML での属性の指定
SPML ファイルで属性を指定する場合は、マッピングされたリソース属性の名
前を使用してください。これは、 OVSI の属性名と異なることがあります。
OVSI にアップロードされた属性は必ずリソースにマッピングしなければなりま
せん。属性のマッピングに関連する情報については、 57 ページの「サービス工
房」を参照してください。
サンプルのリクエストファイルについては、 OVSI 製品 CD の
\SampleXML\Reconciliation ディレクトリを参照してください。
412
第 15 章
使用権が含まれる SPML ファイルの作成
ユーザーおよび関連する属性のリストが含まれる SPML ファイルを作成した後、
他のリソースからの使用権をユーザーに追加しなければならない場合がありま
す。ユーザーは複数のリソースからの使用権を持つことができます。このような
使用権をアップロードするには、各リソースについて使用権を含む固有の
SPML ファイルを作成する必要があります。
信頼できないリソースからの使用権の追加 / 変更を追加できるのは、このリソー
スで使用権が追加 / 変更されている場合だけです。信頼できるリソースにユー
ザーを追加する場合は、使用権が含まれる調整ファイルを作成する必要はあり
ません。
作成する各リソースファイルについて、使用権を所定のユーザーにリンクするた
めのリソースの一意の識別子を判別します。この一意の識別子は、 SPML ファ
イルに taResourceKey フィールドとして指定されます。データセクションに
keyField があれば keyField 値を使用し、なければ識別子の値を使用します。使
用権を正しい OVSI アカウントに関連付けることができるように、 userID また
はユーザー名を指定します。これは、識別子タグに以下のように指定します。
<identifier xmlns=""
type="urn:oasis:names:tc:SPML:1:0#UserIDAndOrDomainName">
<id>AEE200</id>
</identifier>
使用権を指定する場合は、識別子タイプ UserIDAndOrDomainName を使用して、
使用権に該当する OVSI のユーザー名またはアカウントを指定します。上記の
例では、 AEE200 というアカウントに使用権が関連付けられます。
使用権を割り当てるには、操作属性 keyFields と taResourceKey が必要です。
これらは、システムにユーザーを追加するために作成したファイルに指定されま
す。属性 keyFields がリストされるのは、各ファイルの先頭に一回限りです。
属性 taResourceKey は、各ユーザーアカウントについてリストされます。
既存のユーザーに使用権を追加するためのファイル例については、 OVSI 製品
CD の \SampleXML\Reconciliation ディレクトリを参照してください。
アカウント調整
413
依存関係の概要
調整イベントを処理するには、 SPML ファイルをインポートする必要がありま
す。ただし、ファイルのインポートが成功しても、該当する機能が予期したと
おりに機能するわけではありません。 SPML 機能が予期したとおりに機能する
には、依存関係がすべて満たされ、この機能が依存するサポートファイルが存
在していなければなりません。
依存関係については、下記に詳述します。
414
領域
依存関係
KeyFields
KeyFields が定義されていなければなりませ
ん。 KeyFields が定義されていないと、デ
フォルト値は UserName になります。
属性
属性が存在し、リソースと OVSI の間で正し
くマッピングされていなければなりません。
リソース
リソースの調整ポリシーが Auto または Basic
に設定されている場合を除き、調整時にこの
リソースをプロビジョニングするためのルー
ルが存在していなければなりません。リソー
スが存在し、正しく定義されていなければな
りません。 389 ページの「調整ルールの概要」
を参照してください。
サービス
サービスが存在し、正しく定義されていなけ
ればなりません。
ルール
指定されたルールファイルがインポートされ、
計画通りに機能していなければなりません。
ユーザーアカウント
調整でアカウントが追加される場合を除き、
OVSI にユーザーアカウントが設定されていな
ければなりません。
コネクタ
コネクタが存在し、正しく定義されていなけ
ればなりません。
第 15 章
アプリケーションサーバーのプロパティ
調整では、 Web アプリケーションサーバーで定義されている設定が使用されま
す。 TruAccess.properties ファイルで必要なパラメータを設定し、相対
ディレクトリをアプリケーションサーバーホストに作成できます。
TruAccess.properties ファイルについては、『HP OpenView Select
Identity インストールと設定ガイド』で詳しく説明します。このファイルの調整
に関連するプロパティエントリーのサンプルセクションを下記に示します。
#The attributes for reconciliation
truaccess.recon.rootdir=c:/temp/reconroot
truaccess.recon.stagingdir=c:/temp/reconstaging
truaccess.recon.backupdir=c:/temp/reconbackup
truaccess.recon.filename.timeformat=yyyy_MM_dd_H_mm
#The attributes for batch processing
truaccess.batch.inprogresstimeout=18000000
#the template for the password reset
truaccess.fixedtemplate.passwordreset=SI\ Provisioning\ Only
truaccess.fixedtemplate.terminate=SI\ Provisioning\ Only
truaccess.fixedtemplate.disable=SI\ Provisioning\ Only
truaccess.fixedtemplate.enable=SI\ Provisioning\ Only
truaccess.fixedtemplate.expiration=UserAccountExpirationWF
truaccess.fixedtemplate.securityviolation=SI\ Email\ Only
truaccess.fixedtemplate.modifyprofile=SI Provisioning Only
truaccess.fixedtemplate.passwordexpirenot=SI\ PasswordExpire\
Email
truaccess.fixedtemplate.passwordexpire=SI\ Provisioning\ Only
truaccess.fixedtemplate.disable.terminate=SI\ Provisioning\ Only
truaccess.fixedtemplate.reconciliation=ReconciliationDefaultProc
ess
si.recon.webservice.report.generate=2
アカウント調整
415
調整に使用される TruAcess プロパティ
下表は、 OVSI の調整をサポートするためのプロパティを説明したものです。
プロパティ
必須
デフォルト
説明
truaccess.recon.
rootdir
はい
なし
調整データファイルのルートディレク
トリ。このディレクトリにサブディレ
クトリを追加する場合は、
truaccess.recon.staging ディレ
クトリにも同じものを追加する必要が
あります。
truaccess.recon.
stagingdir
はい
なし
調整の作業ディレクトリ。
truaccess.recon.
backupdir
はい
なし
完全に自動化されたジョブデータファ
イルのバックアップディレクトリ。
truaccess.recon.
filename.
timeformat
いいえ
yyyy_MM_dd_
H_mm
調整ファイル名内の時刻セクションの
形式。 ( 現在の実装では無効です )
truaccess.recon.
task.check.
threshold
はい
デフォルト =
30。 3 以上を推
奨
信頼できるリソースのタスクを最初に
行うために保留する信頼できないリ
ソースのタスクの数。アプリケーショ
ンサーバーの設定およびパフォーマン
スに従い調整します。
truaccess.batch.
inprogresstimeout
はい
秒
実行中のバッチをもう一度処理するま
でのタイムアウト。
truaccess.batch.
inprogresstimeout
いいえ
なし
調整、ユーザーのインポート、サービ
スの割り当てのために XML レポート
を格納しておくためのディレクトリ。
このレポートは、ジョブを作成した管
理者に送信されます。
c:\\Temp\
\recon_modify.
xml
ログファイルを格納しておくための
ディレクトリ。
com.hp.ovsi.connect はい
or.changLogFiel
416
第 15 章
プロパティ
必須
デフォルト
説明
si.reconciliation.
polling.keyfield.
LDAPLocal
いいえ
ユーザー名
SPML リクエストにデフォルトのキー
フィールドを指定します。
truaccess.resource. はい
record.max
1000
このパラメータは、調整時の最大ユー
ザー数を指定します。
com.hp.ovsi.default はい
.
workflowtemplate.
service.change.reco
n
SI\
Provisioning\
のみ
サービスに変更を行うために使用する
ワークフローテンプレート。
si.recon.webservice はい
.
report.generat
2
Web Service Recon のたびにレポート
を生成し送信するかどうかを決定しま
す。
0= なし
1= リクエストがそれまでに処理されて
いない初期リクエスト時のみ
2= 常時
変更リクエストのサンプル
たとえば、 OVSI が LDAP_Users というリソースから調整変更リクエストを受
け取ったとします。
1
アカウント調整
この場合、システムはまず TruAccess.properties ファイルをチェック
して、プロパティ
truaccess.fixedtemplate.recon_modify.LDAP_Users が定義されてい
るかどうかを確かめます。定義されていれば、指定されているワークフロー
がピックアップされます。
417
2
定義されていない場合は、 OVSI の [ リソース ] ページに定義されている
ワークフローテンプレートがあるかどうかが確認されます。
[ サービス工房 ] → [ リソース ] に移動した後、表示したいリソースを選択し、
[ ビュー ] ボタンをクリックして、目的のリソースを表示します。左のパネルか
ら [ ユーザーの調整ポリシー ] を選択して、定義されているワークフローを表示
します。
3
ワークフローテンプレートが存在しない場合、システムはプロパティ
truaccess.fixedtemplate.recon_modify があるかどうかチェックしま
す ( 今回はリソースは含まれません )。あれば、このテンプレートがピック
アップされます。
4
なければ、プロパティ truaccess.fixedtemplate.reconciliation を
チェックし、ここに定義されているテンプレートがピックアップされます。
調整ジョブの管理
データを調整するためのジョブを作成し、スケジュールを設定します。調整
ジョブを作成する前に、必要なデータを収集し分散させるために使用する
SPML ファイルを作成しておく必要があります。また、 XML ルールファイルも
必要になることもあります。調整ルールファイルの作成については、 355 ページ
の「ルール」を参照してください。
この項では、次の事項について説明します。
•
既存の調整ジョブの表示
•
ジョブのスケジュール設定
•
スケジュール設定されたジョブの変更
•
スケジュール設定されたジョブの削除
既存の調整ジョブの表示
1
418
[ ツール ] > [ 調整 ] > [ 調整ジョブリスト ] メニューオプションを選択します。
[ 調整ジョブリスト ] が開きます。
第 15 章
図 163
2
アカウント調整
[ 調整ジョブリスト ]
表示するジョブを選択して、 [ ビュー ] をクリックします。
[ 調整ジョブを表示 : ジョブ名 ] ページが開きます。
419
図 164
[ 調整ジョブを表示 : ジョブ名 ]
3
ジョブの詳細を確認します。
4
[ キャンセル ] をクリックします。
[ 調整ジョブリスト ] ページに戻ります。
ジョブのステータスを確認するには、目的のジョブを選択して、 [ タ
スクステータスの表示 ] をクリックします。
ジョブのスケジュール設定
調整ジョブを一度変更するには、以下の手順に従います。
1
420
[ ツール ] > [ 調整 ] > [ 調整ジョブリスト ] メニューオプションを選択します。
[ 調整ジョブリスト ] が開きます。
第 15 章
図 165
2
アカウント調整
[ 調整ジョブリスト ]
[ 調整ジョブのスケジュール設定 ] をクリックします。
[ 調整ジョブのスケジュール設定 ] ページが開きます。
421
図 166
422
[ 調整ジョブのスケジュール設定 ]
第 15 章
3
アカウント調整
Tab キーを押してフィールド間を移動し、必要な情報を入力します。
フィールド
アクション
ジョブ名
説明的な名前を入力します。
リソース名
プロビジョニングするリソースの名前を入力します。
[Browse] ボタンをクリックすれば、リソース名をフィルタ
できます。
サーバーファイル
のサブディレクト
リ
一回限りのジョブの場合は、 [Browse] ボタンをクリックし
て、パスとファイル名を指定します。
自動ジョブの場合、デフォルトでは、 truaccess.properties
ファイルに指定されているパスからファイルがピックアッ
プされます。このため、サーバーのこのパス ( 通常は、
recon ルートフォルダ ) にファイルを取り込む必要がありま
す。この場合は、このフィールドを null のままにしておい
てかまいません。
電子メールの CC:
ジョブを作成したときにジョブの作成者の他にも通知する
相手がいる場合は、そのユーザーの電子メールアドレスを
入力します。
ジョブの作成者には OVSI が自動的に通知します。
開始日
所定の形式でジョブを実行する日付を入力します。
開始時刻
ジョブを開始する時刻を HH:MM 形式で入力します。
423
4
ジョブの間隔を決定します。
状況
操作方法
一回限り実行するジョブの場合
[1 回限り ] を選択します。
複数回実行するようスケジュール
設定するジョブの場合
[ 自動 ] を選択した後、期間当たりにジョブを
実行する回数を入力し、ドロップダウンメ
ニューから期間を選択します。
たとえば、 1 時間当たりに 1 回と選択した場
合、指定された開始時刻にジョブが開始され、
それ以降 1 時間ごとに実行されます。ただし、
再び実行が開始される前に、必ずジョブが終
了していなければなりません。
5
[OK] をクリックします。
ジョブがスケジュール設定されます。
スケジュール設定されたジョブの変更
スケジュール設定されたジョブを変更するには、以下の手順に従います。
一回限りのジョブとすでに完了しているジョブは変更できません。
1
424
メニューオプションから [ ツール ] > [ 調整 ] > [ 調整ジョブリスト ] を選択しま
す。
[ 調整ジョブリスト ] が開きます。
第 15 章
図 167
2
[ 変更 ] をクリックします。
[ スケジュール設定された調整ジョブの変更 ] ページが開きます。
図 168
アカウント調整
[ 調整ジョブリスト ]
[ 調整ジョブのスケジュール設定 ]
425
3
各フィールドを確認して、必要な変更を行います。
フィールド
アクション
ジョブ名
説明的な名前。
リソース名
プロビジョニングするリソース。
サーバーファイルの
サブディレクトリ
リソースが置かれているサブディレクトリを指定します。
何も指定されていないと、デフォルトでは
Truaccess.properties ファイルからパスがピックアップさ
れます。
電子メールの CC:
ジョブを作成したときにジョブの作成者の他にも通知する
相手がいる場合にそのユーザーの電子メールアドレス。
ジョブの作成者には OVSI が自動的に通知します。
開始日
所定の形式でジョブを実行する日付。
開始時刻
ジョブを開始する HH:MM 形式の時刻。
間隔
ジョブを実行する頻度を指定するためのエントリー。
4
[OK] をクリックします。
変更内容が保存され、 [ 調整ジョブリスト ] に戻ります。
スケジュール設定されたジョブの削除
定期的にスケジュール設定された調整ジョブを削除するには、以下の手順に従
います。
一回限りのジョブは削除できません。
1
426
[ ツール ] > [ 調整 ] > [ 調整ジョブリスト ] メニューオプションを選択します。
[ 調整ジョブリスト ] が開きます。
第 15 章
図 169
[ 調整ジョブリスト ]
2
削除するジョブを選択します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが開きます。
4
[OK] をクリックします。
スケジュール設定されたジョブが削除されます。
タスクステータス
調整リクエストがスケジュール設定されるたびに、 OVSI は対応するタスクを作
成します。タスクは複数のソースから生成されます。
アカウント調整
•
一回限りスケジュール設定されたタスク
•
指定された間隔で繰り返されるスケジュール設定されたタスク
•
Web サービスの調整リクエスト
•
リソースのポーリング変更リクエスト
427
タスクは [ 調整タスクリスト ] にリストされ、随時表示できます。タスクに完了
というマークが付けられていると、 OVSI リクエストが正常に生成されていま
す。 [ リクエストステータスリスト ] ページでリクエストのステータスを表示し
ます。詳細については、 324 ページの「リクエストの確認」を参照してくださ
い。また、各タスクで生成できる詳細レポートにも追加情報が示されます。
この項では、次の事項について説明します。
•
タスクステータスの表示
•
調整タスクレポートの生成
タスクステータスの表示
タスクステータスを表示するには、以下の手順に従います。
1
[ ツール ] > [ 調整 ] > [ 調整タスクリスト ] メニューオプションを選択します。
[ 調整タスクリスト ] が開きます。
図 170
2
428
[ 調整タスクリスト ]
表示したいタスクを選択します。左側のペインのフィルタオプションを使用
して、選択範囲を狭めます。フィルタのキーは以下のとおりです。
•
[ ジョブ名 ] または [ タスク ID]
•
[ リソース名 ]
第 15 章
3
•
[ 開始日 ]
•
[ ステータス ]
[ 変更 ] をクリックします。
[ 調整ジョブを表示 : ジョブ名 ] ページが開きます。
図 171
[ 調整ジョブを表示 ] ページ
ジョブ結果の概要
調整ジョブが 1 つ完了するたびに、ジョブが成功したかどうか、合計ユーザー
数、成功数と失敗数といった詳細のレポートが電子メールで送信されます。必要
であれば、最終レポートを生成して、結果を確認できます。このレポートを参照
して、 SPML ファイルに必要な訂正を加え、前回作成に失敗したアカウントだ
けのファイルを再度送信することができます。 OVSI クライアントに再度ファイ
ルをアップロードするには、一意の名前のジョブを新しく作成する必要がありま
す。
すでに実行済みのジョブの作成者である場合、新しく作成するジョブに同じ名
前を付けることはできません。作成するジョブそれぞれに、一意の名前が割り
当てられていなければなりません。
この項では、次の事項について説明します。
アカウント調整
429
•
結果の概要
•
信頼できない結果
•
調整ジョブの管理
調整タスクレポートの生成
調整タスクレポートを手動で生成するには、以下の手順に従います。
1
[ ツール ] > [ 調整 ] > [ 調整タスクリスト ] メニューオプションを選択します。
[ 調整タスクリスト ] が開きます。
図 172
2
3
[ 調整タスクリスト ]
レポートを作成したいタスクを選択します。
アイコンをクリックします。
確認ダイアログボックスが開きます。
4
[OK] をクリックします。
レポートが生成されます。ウィンドウが開き、レポートが生成されたパスと
ファイル名が示されます。
レポートの生成には、数分間かかることがあります。
430
第 15 章
5
レポートを格納しておくために指定したディレクトリの中から目的のレポー
トを探します。
ジョブの作成時に名前と電子メールアドレスを設定した場合は、電子
メールでレポートが送信されます。
6
レポートを開きます。
デフォルトのブラウザにレポートが表示されます。
図 173
サンプルレポート
7
レポートをオンラインで確認します。
8
必要であれば、ブラウザで [ ファイル ] → [ 印刷 ] オプションを選択して、レ
ポートを印刷します。
9
レポートを閉じます。
結果の概要
OVSI リクエストに基づいて評価されたポリシーによって、結果が割り出されま
す。ユーザー当たり 1 つのリクエストで複数の操作を処理できます。
アカウント調整
431
ポリシーの評価
下記にリストする優先順位に従い、ポリシーが評価および適用されます。
•
属性レベルのポリシーアクションがまず評価および適用されます。
•
属性レベルのポリシーが存在しない場合にグローバルレベルのポリシーアク
ションが評価および適用されます。
•
ポリシーが存在しない場合はリソースレベルのアクションが適用されます。
アクション
評価されたポリシーに基づき、 OVSI はユーザーリクエストに対して以下のアク
ションを行います。
•
基本 - リクエストイベントタイプに基づいて最低限許されるアクションを行
います。
•
再同期 - マッピングされた他のリソースとアクションの同期を取ります。
•
ルール - 指定されたルールのアクションをルールで指定されている通りに実
行します。
•
ルールまたは自動 - 指定されたルールがユーザーに適していれば、このルー
ルに基づいてアクションが行われます。さもなければ、あらかじめ定義され
ているルールが実行されます。
•
自動 ñ あらかじめ定義されているルールが実行されます。
•
ルールと自動 - 指定されたルールがユーザーに適していれば、このルールに
基づいてアクションが行われるとともに、あらかじめ定義されているルール
が実行されます。
信頼できるリソース
•
アクション = 追加
デフォルトが [ ルール ] に設定され、 [ リソースのアクション ] が [ 受諾 ] に
設定されている場合、各アクションについて予想される結果は以下のとおり
です。
— ユーザーアカウントが OVSI に存在せず、データファイルにリストされ
ている場合、指定されている属性と値すべてでアカウントが作成されま
す。
432
第 15 章
— アカウントがすでに OVSI に存在するものの、無効になっている場合
は、ワークフロープロセスが開始され、アカウントが有効になります。
その後、信頼できるリソースに基づいて、アカウント属性が変更されま
す。
— このアクションについて有効になっているルールがあれば、 OVSI は新
しいサービスアクセスをユーザーに付与すべきかどうかをチェックしま
す。各リソースで許される調整用のルールの数は 1 つだけです。このア
クションが行われるのは、新しいアカウントの場合だけです。信頼でき
るリソースは 1 つだけです。
— ルールが割り当てられていなければ、指定されたリソースを使用するす
べてのサービスにユーザーアカウントが追加されます。また、各サービ
スで使用されるこれ以外のすべてのリソースにもユーザーアカウントが
追加されます。各サービスの設定に基づいて、すべての属性が更新され
ます。
— 新しいサービスの追加によって管理されるソースリソース以外のリソー
スについてプロビジョニングが行われます。ワークフローリクエスト
は、ユーザー当たり 1 つのリクエストにカプセル化します。
— 405 ページの「ユーザーおよび属性が含まれる SPML ファイルの作成」
に示すキーフィールドなど、保存に使用される OVSI 属性がまず変更さ
れます。プロビジョニング結果および TruAccess.properties ファ
イルに設定されているポストプロビジョニングポリシーに基づいて、
サービスマッピング属性や追加属性 ( 固定属性など ) が保存されます。
•
アクション = 変更
[ リソースのアクション ] が [ 受諾 ] に設定され、変更属性からポリシーを
特定できず、調整がデフォルトで [ ルール ] に設定されている場合、予想さ
れる結果は以下のとおりです。
— ユーザーアカウントが OVSI に存在しない場合、このアカウントはス
キップされ、ジョブ結果レポートにはエラーとしてリストされます。
— アカウントについて属性または値の変更がない場合、アクションは拒否
されます。
— 各ユーザーについて変更リクエストが送信されます。プロビジョニング
によって、どのリソースの同期を取る必要があるかどうかが特定されま
す。
アカウント調整
433
— ワークフローが調整のポストプロビジョニングに戻ると、プロビジョニ
ング結果および TruAccess.properties ファイルに設定されている
ポストプロビジョニングポリシーに基づいて、 OVSI の属性値が更新さ
れます。
— ユーザープロファイルがサービスマッピングと照合され ( 固定属性は
ユーザーに割り当てられません )、新しいサービス割り当てが取得され
たのか失われたのかが確認されます。照合されるサービスは以下の条件
を満たしているものとします。
–
サービスがこのリソースを使用するか、またはサービスにユーザー
がすでに割り当てられていること。
–
サービスで必要とされるリソースすべてにユーザーがアクセスでき
ること。
–
変更された属性がサービス内にあること。
新しいサービスにユーザーを割り当てることができる場合、サービスに
アカウントが追加されるか、またはサービス内のアカウントが変更され
ます。
変更によってユーザーがサービスを受ける資格がなくなった場合、この
ユーザーはサービスから削除され、該当する使用権が削除されます。信
頼できるリソースキー属性が削除されることはありません。信頼できな
いリソースキーは、リソースの [ ユーザーの削除 ] 設定に応じて、リ
ソースの最後のサービスからユーザーが削除された場合、削除すること
ができます。
•
アクション = 削除
[ リソースのアクション ] が [ 受諾 ] に設定されている場合、予想される結果
は以下のとおりです。
— OVSI にユーザーが存在しない場合、アクションがスキップされ、レ
ポートされます。
— 割り当てられているワークフローが開始され、ユーザーが終了されま
す。終了ポリシーに応じて、一定の期間だけユーザーを無効にすること
もできます。
— ワークフローが調整のポストプロビジョニングに戻ると、プロビジョニ
ング結果および TruAccess.properties ファイルに設定されている
ポストプロビジョニングポリシーに基づいて、 OVSI の属性 / 値を更新
します。
434
第 15 章
信頼できない結果
•
アクション = 追加
デフォルトが [ ルール ] に設定され、 [ リソースのアクション ] が [ 受諾 ] ま
たは [ 新規を受諾 ] に設定されている場合、各アクションについて予想され
る結果は以下のとおりです。
— OVSI にユーザーアカウントが存在しない場合、アクションがスキップ
され、レポートされます。
— 追加する属性が信頼できるものとして定義されていない場合、または
OVSI の値が含まれる場合、追加アクションは無視されます。
— Resource_KEY 属性が追加されます。
— [ 属性の変更 ] の Sync-in プロパティが true に設定されている場合、
OVSI が更新され、該当するリソースの同期が取られます。
— 各ユーザーについて追加リクエストが送信されます。プロビジョニング
によって、どのリソースの同期を取る必要があるかどうかが特定されま
す。
— ワークフローが調整のポストプロビジョニングに戻ると、プロビジョニ
ング結果および TruAccess.properties ファイルに設定されている
ポストプロビジョニングポリシーに基づいて、 OVSI の属性値が更新さ
れます。
— ユーザープロファイルがサービスマッピングと照合され ( 固定属性は
ユーザーに割り当てられません )、新しいサービス割り当てが取得され
たのか失われたのかが確認されます。照合されるサービスは以下の条件
を満たしているものとします。
•
–
サービスがこのリソースを使用するか、またはサービスにユーザー
がすでに割り当てられていること。
–
サービスで必要とされるリソースすべてにユーザーがアクセスでき
ること。
–
変更された属性がサービス内にあること。
アクション = 変更
— OVSI にユーザーアカウントが存在しない場合、アクションがスキップ
され、レポートされます。
— 以下の場合、アクションが拒否されます。
アカウント調整
435
–
使用権の変更がない場合。
–
OVSI で変更される属性が信頼できる属性として定義されていない
か、または値が含まれている場合
— Resource_KEY 属性は存在していなくても、追加されることはありま
せん。
— 各ユーザーについて変更リクエストが送信されます。プロビジョニング
によって、どのリソースの同期を取る必要があるかどうかが特定されま
す。
— ワークフローが調整のポストプロビジョニングに戻ると、プロビジョニ
ング結果および TruAccess.properties ファイルに設定されている
ポストプロビジョニングポリシーに基づいて、 OVSI の属性値が更新さ
れます。
— ユーザープロファイルがサービスマッピングと照合され ( 固定属性は
ユーザーに割り当てられません )、新しいサービス割り当てが取得され
たのか失われたのかが確認されます。照合されるサービスは以下の条件
を満たしているものとします。
•
–
サービスがこのリソースを使用するか、またはサービスにユーザー
がすでに割り当てられていること。
–
サービスで必要とされるリソースすべてにユーザーがアクセスでき
ること。
–
変更された属性がサービス内にあること。
アクション = 削除
— OVSI にユーザーアカウントが存在しない場合、アクションがスキップ
され、レポートされます。
— このユーザープロファイルをサービスマッピングに対して実行し、この
リソースを使用する割り当てられているすべてのサービスからユーザー
を削除して、使用権と Resource_KEY 属性を削除します。
— ユーザー当たりリクエストは 1 つです。ワークフローが調整のポストプ
ロビジョニング段階に戻ると、プロビジョニング結果および
TruAccess.properties ファイルに設定されているポストプロビジョ
ニングポリシーに基づいて、 OVSI の属性および値が更新されます。
436
第 15 章
調整のトラブルシューティング
よく見られる問題点をいくつか下記にリストします。
調整を使用して Oracle から数千単位のユーザーを追加するリクエストが失敗し
た
以下のオプションを検討してください。
•
数千単位のユーザーをシステムに追加する場合は、ユーザーのインポートを
使用して、システムに新規ユーザーを追加してください。
•
もっと頻繁にジョブをスケジュール設定して統計情報を収集するよう DBA
に依頼してください。
•
50K ～ 100K ユーザーごとに、以下のスクリプトを手動で実行してくださ
い。
exec dbms_stats.gather_schema_stats ('OVSI_SCHEMA_NAME',
estimate_percent=>DBMS_STATS.AUTO_SAMPLE_SIZE,
method_opt=>'FOR ALL COLUMNS SIZE SKEWONLY', cascade=>TRUE);
•
古い実行計画は必ずシステムから消去してください。以下のコマンドを使用
すると、すべての実行計画を消去できます。
alter system flush shared_pool;
他のスマートデータベースでもこれと同じ問題が生じることがあります。
アカウント調整
437
438
第 15 章
16 エクスポートおよびインポートの
設定
OVSI には、以下の設定タイプを別の環境にインポートしたり、別の環境からエ
クスポートしたりするための設定管理機能があります。
•
属性
•
通知テンプレート
•
リクエストインスタンスレポート
•
リソース
•
サービス
•
ワークフローアプリケーションの定義
•
ワークフローテンプレート
設定をエクスポートし、 OVSI の新しいインスタンスにインポートすることが必
要になることがあります。たとえば、テスト環境でセットアップした OVSI シ
ステムの設定を実稼働環境にエクスポートしたい場合があります。このような場
合、 [ インポート / エクスポート設定 ] 機能で、 XML ファイルを使用して、実稼
働環境に設定をエクスポートします。 XML ファイルを介して、すべてのデータ
がインポートおよびエクスポートされます。
この章で取り上げる内容は以下のとおりです。
•
設定のエクスポート
•
設定のインポート
•
新しい設定をサポートするためのルールの追加
•
設定のトラブルシューティング
439
設定のエクスポート
設定はどのような順序でもエクスポートできます。ただし、依存関係にある設定
が失われないようにするために、サービスを作成した順序で設定をエクスポート
することをお勧めします。
必要な設定をすべて取り込んだことを簡単に検証できるように、エスクポート
した XML ファイルを格納しておくためのディレクトリを作成します。
この部分で取り上げる内容は以下のとおりです。
•
依存関係の理解
•
設定ファイルのエクスポート
•
XML ファイルの編集
依存関係の理解
エクスポートされた設定ファイルのうち、エラーのないファイルは問題なく
OVSI にインポートされます。ただし、データのインポートが成功しても、該当
する機能が予期したとおりに機能するわけではありません。インポートした機能
が予期したとおりに機能するには、この機能が依存する設定およびそれ以外のサ
ポートファイルがすべて揃っていなければなりません。
たとえば、リソース属性が OVSI 属性にマッピングされている場合、リソース
の設定が属性の設定に依存する可能性があります。リソース設定にユーザー調整
ポリシーの一部であるルール名が含まれていることがあり、このルールが OVSI
に追加されていない場合、インポートされたリソースにルール名が設定されませ
ん。ルールのインポートまたはエクスポートはできませんが、追加 ( インポート
に類似 ) と変更 ( エクスポートに類似 ) は行うことができます。依存関係にある
設定はすべて必ずエクスポートしてください。依存関係について、下記に詳述し
ます。
440
機能エリア
依存関係
属性
依存関係なし。
通知テンプレート
通知テンプレートを使用するワークフロー。
リクエストインスタンスレ
ポート
インスタンスブロックにレポートを含む関連
するワークフロー。
第 16 章
機能エリア
依存関係
リソースに関連する属性の設定。
リソース
調整時にリソースをプロビジョニングするた
めに使用されるルール。
サービスに関連するすべてのリソースの設定。
関連するリソースに該当するすべての属性の
設定。
サービスをプロビジョニングするために使用
されるワークフローに関連する通知テンプ
レート。
サービス
サービスをプロビジョニングするために使用
されるワークフロー。
関連するワークフローが依存する外部コール。
ルール
インポートした調整ルールによってプロビ
ジョニングされるリソース。
関連するワークフローテンプレート。
xml ファイル WfAppDefine および wfReport
はエクスポートまたはインポートしないでく
ださい。
ワークフローアプリケーショ
ンの定義
これらのファイルを移動する場合は、 HP サ
ポート部門に連絡してください。
ワークフローで必要とされる通知テンプレー
ト。
サービスに関連するすべてのリソースの設定。
関連するリソースに該当するすべての属性の
設定。
ワークフローによってプロビジョニングされ
るサービス。
ワークフローに関連するリクエストインスタ
ンスレポート。
ワークフローに関連するワークフローアプリ
ケーションの定義。
ワークフローテンプレート
エクスポートおよびインポートの設定
ワークフローが依存する外部コール。
441
設定ファイルのエクスポート
設定情報をエクスポートするには、以下の手順に従います。
1
[ ツール ] → [ インポート / エクスポート設定 ] → [ エクスポート設定 ] メニューオ
プションを選択します。
[ エクスポート設定 ] ページが開きます。
2
[ 設定タイプ ] ドロップダウンリストから、エクスポートしたい設定オプショ
ンを選択します。
エクスポート可能な設定のリストが開きます。
図 174
エクスポートした XML ファイルのサンプル
3
表示されたリストを確認し、エクスポートしたいアイテムを選択します。
4
[ 選択 ] ボタンをクリックします。
選択したアイテムが下部パネルに表示されます。
442
5
[ エクスポート設定 ] をクリックします。
[ ファイルのダウンロード ] ダイアログボックスが開きます。
6
[ 保存 ] をクリックして、任意の場所にファイルを保存します。
[ 開く ] ダイアログボックスが開きます。
第 16 章
7
[ 開く ] をクリックして、ファイルが正しくダウンロードされていることを確
認します。
選択した XML ファイルが開きます。
図 175
8
エクスポートした XML ファイルのサンプル
XML ウィンドウを閉じて、 [ エクスポート設定 ] ページに戻ります。
エクスポートおよびインポートの設定
443
XML ファイルの編集
OVSI は、 XML で生成されたファイルにすべての設定をエクスポートします。
これらのファイルは、 XML 編集における最善の実践手法に従って編集および変
更できます。たとえば、現在作成しているサービスとサービス名以外はまったく
同じサービス設定をエクスポートできます。エクスポート後、 XML ファイル内
にあるサービス名の参照をすべて変更し、この設定ファイルをターゲットのアプ
リケーションにインポートします。
XML ファイルにおいてサービス名の参照を 1 箇所だけ変更し、全部は変更して
いないといった編集エラーがあると、ターゲットの OVSI アプリケーションに
インポートしたときにアプリケーションエラーが発生します。
1
XML 設定ファイルをエクスポートします。
2
ファイルを編集します。
3
XML ファイルをターゲットのアプリケーションにインポートします。
4
依存関係にある設定すべてがインポートされていることを確認します。
5
インポートをテストして、予期したとおりにデータが機能することを確かめ
ます。
設定のインポート
特定のインスタンスの設定すべてを別のインスタンスに簡単にインポートするこ
とができます。
この項で取り上げる内容は以下のとおりです。
•
依存関係のインポート
•
設定ファイルのインポート
依存関係のインポート
設定をインポートするために必要な依存関係はありません。どのような順序でも
設定をインポートできます。ただし、別の設定の情報に依存する機能は、依存す
る設定をインポートするまでは正しく機能しません。詳細については、 440 ペー
ジの「依存関係の理解」を参照してください。
444
第 16 章
設定ファイルのインポート
設定ファイルをインポートするには、以下の手順に従います。
1
[ ツール ] → [ インポート / エクスポート設定 ] → [ インポート設定 ] メニューオプ
ションを選択します。
[ インポート設定 ] ページが開きます。
図 176
2
[ インポート設定 ] ページ
[ 設定タイプ ] ドロップダウンリストから、インポートしたい設定タイプを選
択します。
3
[Browse] をクリックして、正しい XML ファイルを探します。
4
[ インポート設定 ] を選択して、 XML データファイルをインポートします。
確認メッセージが表示されます。
新しい設定をサポートするためのルールの追加
調整プロセスでサービスを正しくプロビジョニングするには、調整ルールを新し
い設定に取り込む必要があります。インポート先のアプリケーションにあるルー
ルを確認した後、インポートした設定をサポートするために必要なルールファイ
ルが足りなければ、エクスポートアプリケーションから追加してください。
エクスポートおよびインポートの設定
445
ルールの追加
1
選択した設定をエクスポートするために使用する OVSI アプリケーションを
開きます。
2
[ ツール ] → [ ルール ] → [ ルールリスト ] メニューオプションを選択します。
[ ルールリスト ] ページが開きます。
図 177
446
エクスポートシステムからのルールリスト
3
ルールのリストを確認して、インポートした設定をサポートするためにどれ
が必要かを決定します。
4
ルールを選択し、 [ ビュー ] をクリックして、該当するルールの詳細を表示し
ます。
ルール XML ファイルが開きます。
5
インポートした設定が含まれるシステムに追加したい各ルール XML ファイ
ルのファイル名を書き留めます。
6
XML ファイルを探し、ターゲットの設定を開きます。
7
[ ツール ] → [ ルール ] → [ 新しいルールの追加 ] に移動します。
[ 新しいルールの追加 ] ページが開きます。
第 16 章
8
[ ステップ 2: ファイルをアップロードします ] フィールドをクリックして、イン
ポートしたい最初の XML ファイルを参照します。
9
[OK] をクリックします。
10 必要なルール XML ファイルをすべてターゲットの OVSI 設定に追加するま
で、この処理を続けます。
設定のトラブルシューティング
よくあるエラーとそれを解決するために通常必要となる情報を下記にリストしま
す。
サービスが見つからない
サービスをインポートしたときに、依存関係にあるすべての設定をインポートし
たことを確認してください。インポートしていない設定があれば、必要な設定を
直ちにインポートします。
サービスをエクスポートした XML ファイルに対して行った変更内容を確認して
ください。エラーがあれば、それを修正し、ファイルをインポートします。
パスワードが見つからない
インポートしたリソースを確認して、依存関係にあるパスワードの属性をイン
ポートしてあるかどうか確かめてください。インポートしていないパスワードの
属性があれば、直ちにインポートします。
リソースが見つからない
リソースをインポートしたときに、依存関係にあるすべての設定をインポートし
たことを確認してください。リソースで必要となる属性フィールドがターゲット
のアプリケーション内になければなりません。足りない属性の設定があれば、直
ちにインポートします。
リソースをエクスポートした XML ファイルに対して行った変更内容を確認して
ください。エラーがあれば修正し、ファイルをインポートします。
インポートが失敗した
依存関係が判明している設定がすべてターゲットのアプリケーションにインポー
トされていることを確認してください。インポートしていない設定があれば、直
ちにインポートします。
エクスポートおよびインポートの設定
447
エクスポートした XML ファイルに対して行った変更内容を確認してください。
変更後、変更が正しいかどうかどうかを確かめます。名前の変更を行った場合
は、その名前を使用する各インスタンスで変更が一貫して行われていることを確
かめてください。エラーがあれば修正し、正しい設定をインポートします。
448
第 16 章
17 監査レポートと設定レポート
OVSI の監査およびレポート機能により、ユーザー使用権およびシステムイベン
ト履歴について組織ごとにコンテキスト指向の標準的なカスタムレポートを作成
することができます。レポートおよび監査の質を向上させることで、情報をより
厳格に管理でき、セキュリティ違反のリスクを低減させ、要件や規定への遵守を
徹底できます。
この章では、監査レポートおよび設定レポート機能で行うことができるアクショ
ンすべてについて詳しく説明します。これらの各機能領域へのアクセスは、
OVSI のシステム管理者によってアカウントに割り当てられた管理者ロールに
よって決まります。
OVSI で使用できるレポートは、これらのレポートだけではありません。ユー
ザー管理といった OVSI の特定の領域に関するレポートも生成できます。
監査レポート
OVSI では、 OVSI のシステム機能すべてについて監査レポートが用意されてい
ます。監査レポートは、システム内のアクティビティの履歴を示します。監査レ
ポートによって、 OVSI で発生した履歴トランザクションの詳しい情報を収集で
きます。 OVSI では、文書自体に対する変更内容は記録されません。単一のレ
ポートを生成することもできれば、レポートテンプレートを作成して [ 監査レ
ポート ] をクリックするたびにアクセスすることもできます。
文書 ID に対する変更内容をログに記録することで、文書属性に対する変更が監
査されます。サードパーティのツールを使用して、より詳しい監査ログレポー
トを表示することもできます。監査ログデータにアクセスするために必要な情
報については、 547 ページ以降の「XML およびクライアントの監査サンプル」
で詳しく説明します。
この項では、次の事項について説明します。
449
•
使用可能な監査レポート
•
監査レポートの生成
•
設定レポート
•
設定レポートの生成
使用可能な監査レポート
監査レポートには、詳細レポートと要約レポートの両方が含まれます。
監査レポートは、指定した 1 つまたは複数のアカウントやサービスについて一
定の期間に渡る設定アクティビティを表示するために生成します。このレポー
トには、 OVSI 内のユーザーに関連するアクションすべてについて詳しい情報が
示されます。ユーザーアクションとしては、新規ユーザーの追加、ユーザーの
変更、サービスメンバーシップの削除、すべてのサービスの有効化、すべての
サービスの無効化、パスワードのリセット、サービスの追加、パスワードの変
更、パスワード忘れ、サービスメンバーシップの有効化、サービスメンバー
シップの無効化、ユーザーの終了、ログイン、セキュリティ違反、ログアウト
などがあります。
これらのレポートは、特定のユーザー、サービス、またはサービスとコンテキ
ストなどさまざまな入力データに基づいて生成することができます。各レポー
トで表示されるデータは設定が可能で、さまざまな列を含めることができます。
監査レポートには、以下のようなものがあります。
450
•
ユーザーの監査
•
ユーザーの監査の要約
•
監査の要約
•
ユーザー作成の監査
•
ユーザー削除の監査
•
ユーザー終了の監査
•
ユーザーパスワードの監査
•
ユーザーログインの監査
•
監査のヒント
第 17 章
監査ユーザーの要約レポート
これらのレポートでは、 OVSI 内のすべてのユーザーアカウントアクションの要
約が示され、サービスとコンテキストごとに各アクションのカウントが示されま
す。要約レポートを選択した場合にレポートされるのは変更数だけです。ユー
ザーアクションとしては、新規ユーザーの追加、ユーザーの変更、サービスメン
バーシップの削除、すべてのサービスの有効化、すべてのサービスの無効化、パ
スワードのリセット、サービスの追加、パスワードの変更、パスワード忘れ、
サービスメンバーシップの有効化、サービスメンバーシップの無効化、ユーザー
の終了、セキュリティ違反、ログイン、ログアウトなどがあります。
特定のサービスごとに、または特定のサービスとコンテキストごとに、レポート
を生成できます。レポートには、各アクションについて、 [ サービス名 ] 、 [ コン
テキスト ] 、 [ カウント ] の 3 つの列が表示されます。
ユーザー監査の要約レポートには、以下のようなものがあります。
•
ユーザー作成の監査の要約
•
ユーザー削除の監査の要約
•
ユーザー終了の監査の要約
•
ユーザーパスワードの監査の要約
•
監査の要約のヒント
監査サービスレポート
監査サービスレポートは、指定した 1 つまたは複数のサービスについて一定の
期間に渡る設定アクティビティを表示するために生成します。このレポートに
は、 OVSI 内の 1 つまたは複数のサービスに関連するすべてのアクションについ
て詳しい情報が示されます。
監査レポートの生成
削除、変更、インポート、追加といった個々のアクションに基づいてレポートが
生成されます。各レポートで表示されるデータのタイプは設定が可能で、生成プ
ロセスで選択されたパラメータによって決まります。
以下の手順では、レポートを生成するために必要な手順例として監査サービス
レポートを使用します。レポートを生成するために必要な手順は同じですが、
レポートごとにパラメータのオプションが異なります。標準的な各レポートの
レポートパラメータフィールドの定義については、 474 ページの「レポートパ
ラメータの概要」を参照してください。
監査レポートと設定レポート
451
監査レポートを生成するには、以下の手順に従います。
1
[ レポート ] → [ 監査レポート ] → [ 新規監査レポートの追加 ] を選択します。
[ 新規監査レポートの追加 ] ページが開きます。
図 178
2
[ 新規監査レポートの追加 ] ページ
ドロップダウンリストから生成する監査レポートのタイプを選択して、 [ 追
加 ] をクリックします。
[ 新規レポートの追加 ] ページが開き、レポートパラメータを追加するための
フィールドが表示されます。
452
第 17 章
3
フィールドに必要な情報を入力して、レポートのパラメータを指定します。
表示されるフィールドは選択したレポートのタイプによって異なり、
ここに示されていないフィールドが含まれることもあります。標準的
な各レポートのレポートパラメータフィールドの定義については、
474 ページの「レポートパラメータの概要」を参照してください。オ
プションのパラメータフィールドに値を指定しなかった場合のデフォ
ルト値は、 [ すべて ] です。たとえば、指定したユーザーのアカウン
トについて変更内容を参照するときにサービスを指定しなかった場
合、サポートされているサービスについて行われた変更内容すべてが
レポートされます。これに対して、リストボックスに 1 つまたは複数
のオプションがリストされている場合には、ハイライトされているオ
プションだけがレポートされます。リストボックスから項目を削除す
るには、目的の項目を選択して、
フィールド
アクション
レポート名
このレポートの名前。
アイコンをクリックします。
ページあたりの項目レポートの各ページに表示する項目の最大数を入力します。
数
次の項目で順序付け
開始
ドロップダウンリストからソート方法を選択します。
アイコンをクリックして、レポートさせたい最初の
日付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の
日付を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
アクション
レポートさせる項目をハイライトします。
フィールド
レポートさせるフィールドをハイライトします。
監査レポートと設定レポート
453
各リストボックスにリストされているオプションのうち、レポートさ
せたいオプションがすべてハイライトされていることを確認してくだ
さい。たとえ以前に検索および選択したものであっても、レポートさ
れるのはハイライトされている項目だけです。
4
レポートを生成するための以下のオプションからいずれかを選択します。
状況
操作方法
レポートを保存しないで実行する
場合
[ すぐに実行 ] をクリックします。
変更内容を保存して、作業を続け
る場合
[ 追加してすぐ実行 ] をクリックします。
レポートのスケジュール設定を変
更する場合
465 ページの「レポートのスケジュールの変
更」の手順に従います。
変更内容を保存して、レポートを
印刷せずにページを閉じる場合
[ 追加してスケジュール設定 ] をクリックします。
レポートを印刷したり変更内容を
保存しないで、このページを閉じ
る場合
[ キャンセル ] をクリックします。
[ 監査レポートリスト ] に戻ります。
[ キャンセル ] をクリックします。
変更を行わずに、ページを閉じる
場合
該当するレポートリストに戻ります。
レポートを印刷する場合
467 ページの「レポートの印刷」に記載され
ている手順を行います。
レポートに生成された情報を表示するには、権限が必要です。正しい
権限があれば、ブラウザウィンドウにレポートが開きます。正しい権
限がない場合には、エラーメッセージが表示されます。バッチレポー
トはスケジュールを設定する必要があります。 [ すぐに実行 ] オプショ
ンは選択できません。
454
第 17 章
図 179
レポートのサンプルページ
設定レポート
OVSI では、ユーザー、管理者、サービス管理のアクティビティについて設定レ
ポートを提供します。レポートを作成した時点の OVSI の状態が設定レポート
に反映されます。たとえば、管理者であれば、特定の時点におけるサービスコン
テキストに関連するすべてのユーザーを表示できます。単一のレポートを生成す
ることもできれば、レポートテンプレートを作成して [ 設定レポート ] をクリック
するたびにアクセスすることもできます。
使用可能な設定レポートについて、以下に説明します。
ユーザー設定レポート
ユーザー設定レポートは、 OVSI 内のアクティブなユーザーアカウントをコンテ
キスト別に表示するために生成します。表示できるのは、サービスコンテキスト
内で現在アクティブなユーザーだけです。特定のユーザー、特定のサービス、ま
たは特定のサービスとコンテキストに基づいてレポートを生成できます。各レ
監査レポートと設定レポート
455
ポートで表示されるデータのタイプは設定が可能で、 [ ユーザー ID] 、 [ 名前 ] 、
[ 姓 ] 、 [ 電子メール ] 、 [ サービス ] 、 [ コンテキスト ] などを取り込むことがで
きます。
ユーザー設定の要約レポート
ユーザー設定の要約レポートは、 OVSI 内の現在のすべてのユーザーアカウント
の概要をサービスおよびコンテキスト別に示すために生成します。特定のサー
ビスごとに、または特定のサービスとコンテキストごとに、レポートを生成で
きます。レポートには、 [ サービス名 ] 、 [ コンテキスト ] 、 [ カウント ] などの
データ列が表示されます。
ユーザー設定詳細レポート
ユーザー設定詳細レポートは、現在のすべてのユーザーアカウントの概要をコ
ンテキスト属性およびコンテキスト値別に示すために生成します。レポートに
は、 [ サービス名 ] 、 [ コンテキスト ] 、 [ カウント ] などのデータ列が表示され
ます。
管理者設定レポート
管理者設定レポートは、管理者権限を持つ現在のすべてのユーザーの概要を示
すために生成します。このレポートには、ユーザー情報、サービスとコンテキ
ストの管理上の関係、管理対象のコンテキストとサービスが表示されます。
リソースのユーザーレポート
リソースのユーザーレポートは、 OVSI とリソースで異なるユーザー / 使用権の
概要を示すために生成します。違いだけがレポートされます。
リソースの使用権レポート
リソースの使用権レポートは、 OVSI 内にはあるものの、リソースにはプロビ
ジョニングされていないユーザー / 使用権の概要を示すために生成します。違い
だけがレポートされます。
リソースの調整レポート
ユーザーリソースの調整レポートは、 OVSI データベースのユーザー / 使用権を
選択した LDAP または UNIX リソースと比較するために生成します。レポート
には、指定したリソースにはあって、 OVSI にはないユーザー / 使用権だけが表
示されます。
456
第 17 章
設定レポートの生成
各レポートの設定手順はほとんど同じです。以下の手順では、ユーザー設定の要
約レポートを例として使用します。
以下の手順では、レポートを生成するために必要な手順例として監査サービス
レポートを使用します。レポートを生成するために必要な手順は同じですが、
レポートごとにパラメータのオプションが異なります。標準的な各レポートの
レポートパラメータフィールドの定義については、 474 ページの「レポートパ
ラメータの概要」を参照してください。
設定ファイルを生成するには、以下の手順に従います。
1
[ レポート ] → [ 設定レポート ] → [ 新規設定レポートの追加 ] を選択します。
[ 新規レポートの追加 ] ページが開きます。
図 180
[ 新規設定レポートの追加 ] ページ
2
ドロップダウンリストから設定レポートのタイプを選択して、 [ 追加 ] をク
リックします。
[ 新規レポートの追加 ] ページが開きます。
3
ドロップダウンメニューからレポートタイプを選択します。
監査レポートと設定レポート
457
4
必要なフィールドを入力して、レポートのパラメータを定義します。
表示されるフィールドは選択したレポートのタイプによって決まり、
ここに示されていないフィールドが含まれることもあります。標準的
な各レポートのレポートパラメータフィールドの定義については、
474 ページの「レポートパラメータの概要」を参照してください。オ
プションのパラメータフィールドに値を指定しなかった場合のデフォ
ルト値は [ すべて ] です。たとえば、指定したユーザーのアカウント
について変更内容を参照するときにサービスを指定しなかった場合、
サポートされているサービスについて行われた変更内容すべてがレ
ポートされます。これに対して、リストボックスに 1 つまたは複数の
オプションがリストされている場合には、ハイライトされているオプ
ションだけがレポートされます。リストボックスから項目を削除する
には、目的の項目を選択して、
アイコンをクリックします。
5
フィールド
アクション
レポート名
このレポートの名前。これは必須フィールドです。
ページあたりの項
目数
ドロップダウンリストから目的の数を選択します。
次の項目で順序付
け
ドロップダウンリストから目的の順序を選択します。
サービスの選択
検索アイコンをクリックして、サービスのリストを表示し
ます。目的のサービスを選択します。
コンテキスト属性
の選択
[ アクション ] リストをスクロールして目的のアクションを探
フィールド
[ フィールド ] リストから、表示する情報のカテゴリを選択し
して、監査したいアクションを選択します。アクションは
いくつでも選択できます。
ます。
458
第 17 章
各リストボックスにリストされているオプションのうち、レポートさ
せたいオプションがすべてハイライトされていることを確かめてくだ
さい。たとえ以前に検索および選択したものであっても、レポートさ
れるのはハイライトされている項目だけです。
6
どうしたらレポートを最適に処理できるかを決定します。
状況
操作方法
レポートを保存しないで実行する
場合
[ すぐに実行 ] をクリックします。
行った変更内容を保存して、作業
を続ける場合
[ 追加してすぐ実行 ] をクリックします。
レポートのスケジュール設定を変
更する場合
465 ページの「レポートのスケジュールの変
更」の手順に従います。
変更内容を保存して、レポートを
印刷せずにページを閉じる場合
[ 追加してスケジュール設定 ] をクリックします。
レポートを印刷したり変更内容を
保存しないで、このページを閉じ
る場合
[ キャンセル ] をクリックします。
[ 設定レポートリスト ] に戻ります。
[ キャンセル ] をクリックします。
変更を行わずに、ページを閉じる
場合
該当するレポートリストに戻ります。
レポートを印刷する場合
467 ページの「レポートの印刷」に記載され
ている手順を行います。
レポートに生成された情報を表示するには、権限が必要です。正しい
権限があれば、ブラウザウィンドウにレポートが開きます。正しい権
限がない場合には、エラーメッセージが表示されます。詳細レポート
の場合は、 [ すぐに実行 ] オプションは使用できません。
監査レポートと設定レポート
459
図 181
サンプルレポート
スケジューリングされたレポートの管理
レポートは、指定した日時に一度だけ実行するようスケジュール設定すること
もできれば、一定の間隔を開けて定期的に実行するようスケジュール設定する
こともできます。スケジュールされていたレポートが生成されると、 OVSI は指
定された受信者に対して、このレポートがあらかじめ定められたサイズ内であ
ればこのレポートを電子メールで送信します。または、レポートが準備できた
旨の通知を電子メールで送信します。電子メールの通知には、生成されたレ
ポートへのパスリンクの指示も含まれます。レポートは、あらかじめ定められ
た位置に自動的に格納されます。
レポートサイズの制限およびレポートの格納位置は、 TruAccess.properties
ファイル ( 『HP OVSI インストールガイド』に記述 ) で設定可能です。
この項では、次の事項について説明します。
460
•
レポートのスケジュール設定
•
スケジューリングされたレポートの設定の編集
•
レポートのスケジュールの変更
•
レポートの印刷
•
レポートのコピー
第 17 章
•
スケジューリングされたレポートの非有効化と再有効化
•
レポートの削除
レポートのスケジュール設定
どのようなレポートでもスケジュール設定できますが、詳細レポートはバッチ
モードで実行するようスケジュール設定しなければなりません。レポートは、レ
ポートリストページからスケジュール設定できます。バッチレポートをスケ
ジュール設定するには、以下の手順に従います。
1
正しい手順でレポートを作成します。
状況
操作方法
監査レポートを作成する場合
451 ページの「監査レポートの生成」に示す
手順に従います。
設定レポートを作成する場合
457 ページの「設定レポートの生成」に示す
手順に従います。
2
[ 追加してスケジュール設定 ] をクリックします。
[ 新規レポートのスケジュール設定 : レポート名 ] ページが開きます。
監査レポートと設定レポート
461
図 182
3
462
[ 新規レポートのスケジュール設定 ] ページ
必要に応じて、以下のフィールドを指定します。
フィールド
アクション
スケジュールのス
テータス
デフォルトの [ アクティブ ] を使用します。
電子メールの送信
先
アイコンをクリックして、スケジューリングされたレ
ポートを受信する相手の電子メールアドレスを選択します。
第 17 章
フィールド
アクション
レポートの形式
ドロップダウンメニューから適切なレポートの形式を選択
します。
ファイル名
一意のファイル名を入力します。
レポートのスケ
ジュール設定
ラジオボタンのオプションを確認して、適切な期間を決定
します。
• [1 回限り ]
• [ 日次 ]
• [ 週次 ]
• [ 月次 ]
選択した期間内にレポートをどの程度の頻度で実行するか
を決定した後、レポートを生成する時刻を選択します。
電子メールで送信可能な最大サイズよりもレポートが大きい場合、
サーバー上の指定した位置にレポートファイルが保存されたことを通
知する電子メールが送信されます。
4
[OK] をクリックします。
レポートがスケジュール設定され、 [ 設定レポートリスト ] ページに戻りま
す。
スケジューリングされたレポートの設定の編集
スケジューリングされたレポートを作成したら、随時設定を変更することができ
ます。
オプションのパラメータフィールドに値を指定しなかった場合のデフォルト値
は [ すべて ] です。たとえば、指定したユーザーのアカウントについて変更内容
を参照するときにサービスを指定しなかった場合、サポートされているサービ
スについて行われた変更内容すべてがレポートされます。これに対して、リス
トボックスに 1 つまたは複数のオプションがリストされている場合には、ハイ
ライトされているオプションだけがレポートされます。リストボックスから項
目を削除するには、目的の項目を選択して、
監査レポートと設定レポート
アイコンをクリックします。
463
レポートの設定を変更するには、以下の手順に従います。
1
該当するレポートリストページに戻ります。
状況
操作方法
監査レポートのスケジュールを変
更する場合
[ レポート ] → [ 監査レポート ] → [ 監査レポートリ
スト ] をクリックします。
[ 監査レポートリスト ] ページが開きます。
設定レポートのスケジュールを変
更する場合
[ レポート ] → [ 設定レポート ] → [ 設定レポートリ
スト ] をクリックします。
[ 設定レポートリスト ] ページが開きます。
2
変更するレポートを選択して、 [ 設定の変更 ] をクリックします。
[ レポートの設定 ] : [ レポート名 ] ページが開きます。
図 183
3
[ レポートの設定 ] : [ レポート名 ] ページ
表示オプションおよび示されている設定を確認し、必要な変更を行います。
示される設定は、選択したレポートによって異なります。
464
第 17 章
4
どうしたらレポートを最適に処理できるかを決定します。
状況
操作方法
レポートを保存しないで実行する
場合
[ すぐに実行 ] をクリックします。
行った変更内容を保存して、作業
を続ける場合
[ 追加してすぐ実行 ] をクリックします。
レポートのスケジュール設定を変
更する場合
465 ページの「レポートのスケジュールの変
更」の手順に従います。
変更内容を保存して、レポートを
印刷せずにページを閉じる場合
[ 追加してスケジュール設定 ] をクリックします。
レポートを印刷したり変更内容を
保存しないで、このページを閉じ
る場合
[ キャンセル ] をクリックします。
変更を行わずに、ページを閉じる
場合
レポートを印刷する場合
[ 設定レポートリスト ] に戻ります。
[ キャンセル ] をクリックします。
該当するレポートリストに戻ります。
467 ページの「レポートの印刷」に記載され
ている手順を行います。
レポートのスケジュールの変更
スケジュール設定済みレポートは、レポートリストページから変更できます。
オプションのパラメータフィールドに値を指定しなかった場合のデフォルト値
は [ すべて ] です。たとえば、指定したユーザーのアカウントについて変更内容
を参照するときにサービスを指定しなかった場合、サポートされているサービ
スについて行われた変更内容すべてがレポートされます。これに対して、リス
トボックスに 1 つまたは複数のオプションがリストされている場合には、ハイ
ライトされているオプションだけがレポートされます。リストボックスから項
目を削除するには、目的の項目を選択して、
監査レポートと設定レポート
アイコンをクリックします。
465
バッチレポートのスケジュールを変更するには、以下の手順に従います。
1
正しいレポートリストページに移動します。
状況
操作方法
監査レポートのスケジュールを変
更する場合
[ レポート ] → [ 監査レポート ] → [ 監査レポートリ
スト ] をクリックした後、変更するレポートを
選択して、 [ スケジュールの変更 ] ボタンをク
リックします。
設定レポートのスケジュールを変
更する場合
[ レポート ] → [ 設定レポート ] → [ 設定レポートリ
スト ] をクリックした後、変更するレポートを
選択して、 [ スケジュールの変更 ] ボタンをク
リックします。
[ レポートの設定 ] : [ レポート
名 ] からこのページにすでに移動
している場合
図 184
466
処理を続けます。
[ レポートスケジュールの変更 ]: [ レポート名 ] ページ
第 17 章
2
必要に応じて、以下のフィールドを変更します。
フィールド
アクション
スケジュールのス
テータス
デフォルトの [ アクティブ ] を使用します。
電子メールの送信
先
アイコンをクリックして、スケジューリングされたレ
ポートを受信する相手の電子メールアドレスを選択します。
レポートの形式
ドロップダウンメニューから適切なレポートの形式を選択
します。
ファイル名
一意のファイル名を入力します。
レポートのスケ
ジュール設定
ラジオボタンのオプションを確認して、適切な期間を決定
します。
• [1 回限り ]
• [ 日次 ]
• [ 週次 ]
• [ 月次 ]
選択した期間内にレポートをどの程度の頻度で実行するか
を決定した後、レポートを生成する時刻を選択します。
電子メールで送信可能な最大サイズよりもレポートが大きい場合、
サーバー上の指定した位置にレポートファイルが保存されたことを通
知する電子メールが送信されます。
3
[OK] をクリックします。
レポートがスケジュール設定され、該当するレポートリストページに戻りま
す。
レポートの印刷
1
レポートを生成します。
2
[ すぐに実行 ] をクリックします。
レポートが生成され、そのデータがデフォルトのブラウザに表示されます。
監査レポートと設定レポート
467
レポートに生成された情報を表示するには、権限が必要です。正しい
権限があれば、ブラウザウィンドウにレポートが開きます。正しい権
限がない場合には、エラーメッセージが表示されます。
図 185
3
サンプルレポート
[ 印刷用ビュー ] をクリックします。
ブラウザのビューが変更されます。
4
ブラウザメニューから [ ファイル ] → [ 印刷 ] を選択します。
レポートがデフォルトのプリンタに印刷されます。
5
[ 閉じる ] をクリックします。
元のページに戻ります。
468
第 17 章
レポートのコピー
似たようなレポートをコピーし、それぞれのニーズに合わせてレポートの表示オ
プションと設定を編集することで、レポートの作成にかかる時間を短縮できま
す。レポートをコピーするには、以下の手順に従います。
1
該当するレポートリストページに戻ります。
状況
操作方法
監査レポートをコピーする場合
[ レポート ] → [ 監査レポート ] → [ 監査レポートリ
スト ] をクリックします。
[ 監査レポートリスト ] ページが開きます。
設定レポートをコピーする場合
[ レポート ] → [ 設定レポート ] → [ 設定レポートリ
スト ] をクリックします。
[ 設定レポートリスト ] ページが開きます。
2
コピーするレポートを選択します。
3
[ コピー ] をクリックします。
[ 監査レポートのコピー ] : [ レポート名 ] ページが開きます。
監査レポートと設定レポート
469
図 186
[ 監査レポートのコピー ] : [ レポート名 ] ページ
4
[ レポート名 ] フィールドをクリックして、一意の名前を入力します。
5
表示オプションおよび示されている設定を確認し、必要な変更を行います。
示される設定は、選択したレポートによって異なります。
6
470
どうしたらレポートを最適に処理できるかを決定します。
状況
操作方法
レポートを保存しないで実行する
場合
[ すぐに実行 ] をクリックします。
行った変更内容を保存して、作業
を続ける場合
[ 追加してすぐ実行 ] をクリックします。
レポートのスケジュール設定を変
更する場合
465 ページの「レポートのスケジュールの変
更」の手順に従います。
変更内容を保存して、レポートを
印刷せずにページを閉じる場合
[ 追加してスケジュール設定 ] をクリックします。
第 17 章
状況
操作方法
レポートを印刷したり変更内容を
保存しないで、このページを閉じ
る場合
[ キャンセル ] をクリックします。
変更を行わずに、ページを閉じる
場合
レポートを印刷する場合
[ レポートリスト ] に戻ります。
[ キャンセル ] をクリックします。
該当するレポートリストに戻ります。
467 ページの「レポートの印刷」に記載され
ている手順を行います。
スケジューリングされたレポートの非有効化と再有効化
レポートを非有効化にすると、再度有効化にするまでこのレポートを印刷できな
くなります。ただし、レポートを非有効化にしても、レポートの設定を変更する
ことは可能です。その後レポートを二度と使用しない場合は、レポートを非有効
化にするのではなく、レポートを削除してください。
レポートを非有効化または再有効化するには、以下の手順に従います。
1
該当するレポートリストページに戻ります。
状況
操作方法
監査レポートを非有効化または再
有効化する場合
[ レポート ] → [ 監査レポート ] → [ 監査レポートリ
スト ] をクリックします。
[ 監査レポートリスト ] ページが開きます。
設定レポートを非有効化または再
有効化する場合
[ レポート ] → [ 設定レポート ] → [ 設定レポートリ
スト ] をクリックします。
[ 設定レポートリスト ] ページが開きます。
2
変更するレポートを選択します。
3
[ スケジュールの変更 ] をクリックします。
[ レポートスケジュールの変更 ] : [ レポート名 ] ページが開きます。
監査レポートと設定レポート
471
図 187
4
[ レポートスケジュールの変更 ] : [ レポート名 ] ページ
[ スケジュールのステータス ] フィールドを確認します。
状況
操作方法
アクティブなレポートを無効化す
る場合
[ 非アクティブ ] をクリックします。
非アクティブなレポートを再有効
化する場合
[ アクティブ ] をクリックします。
5
[ 適用 ] をクリックします。
変更内容を保存します。
6
[OK] をクリックします。
該当するレポートリストページに戻ります。
472
第 17 章
レポートの削除
レポートを削除すると、 OVSI からこのレポートが削除されます。その後、元に
戻すことはできません。その後このレポートがまた必要となる可能性がある場合
には、削除ではなく、レポートを無効化します。
レポートを削除するには、以下の手順に従います。
1
該当するレポートリストページに戻ります。
状況
操作方法
監査レポートを削除する場合
[ レポート ] → [ 監査レポート ] → [ 監査レポートリ
スト ] をクリックします。
[ 監査レポートリスト ] ページが開きます。
設定レポートを削除する場合
[ レポート ] → [ 設定レポート ] → [ 設定レポートリ
スト ] をクリックします。
[ 設定レポートリスト ] ページが開きます。
2
削除するレポートを選択します。
3
[ 削除 ] をクリックします。
確認ダイアログボックスが開きます。
4
[OK] をクリックします。
レポートが削除され、該当するレポートリストページに戻ります。
監査レポートと設定レポート
473
レポートパラメータの概要
OVSI 内のほとんどのレポートは、概要情報を提供する標準レポート、トランザ
クションレベルの情報を提供する詳細レポート、合計値だけを提供する要約レ
ポートとして生成することができます。下記では、各レポートの定義と、各レ
ポートをそれぞれの業務ニーズに合わせてカスタマイズするためのパラメータ
フィールドについて説明します。
オプションのパラメータフィールドに値を指定しなかった場合のデフォルト値
は [ すべて ] です。たとえば、指定したユーザーのアカウントについて変更内容
を参照するときにサービスを指定しなかった場合、サポートされているサービ
スについて行われた変更内容すべてがレポートされます。これに対して、リス
トボックスに 1 つまたは複数のオプションがリストされている場合には、ハイ
ライトされているオプションだけがレポートされます。リストボックスから項
目を削除するには、目的の項目を選択して、
アイコンをクリックします。
レポートを生成するための詳しい手順例については、 451 ページの「監査レポー
トの生成」または 457 ページの「設定レポートの生成」を参照してください。
監査レポートのパラメータ
監査サービスレポート
定義された一定の期間に渡って OVSI 内の指定された 1 つまたは複数のサービ
スに関連するユーザーアカウントに対する変更内容がすべてレポートされます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
474
第 17 章
フィールド
アクション
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
アクション
追加、変更、および / あるいは削除など、レポートさせたい
機能アクションをハイライトします。
フィールド
レポートさせるフィールドをハイライトします。
監査ユーザーレポート
定義された一定の期間に渡って OVSI 内の指定された 1 つまたは複数のサービ
スに関連する指定したユーザーアカウントに対する変更内容がすべてレポートさ
れます。監査ユーザーレポートをフィルタし、追加されたアカウントだけまたは
削除されたアカウントだけなど、指定した変更内容だけがレポートされるように
設定することができます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
監査レポートと設定レポート
475
フィールド
コンテキスト属性
の選択
アクション
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
アクション
追加、変更、および / あるいは削除など、レポートさせたい
各機能アクションをハイライトします。
フィールド
レポートさせる各フィールドをハイライトします。
ユーザー名
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
監査ユーザーの要約レポート
ユーザーに関連するすべてのアクションの要約レポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
476
レポートの各ページに表示する項目の最大数を入力します。
第 17 章
フィールド
アクション
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
アクション
追加、変更、および / あるいは削除など、レポートさせたい
各機能アクションをハイライトします。
監査ユーザー作成レポート
サービスに追加されたユーザーをリストした詳細レポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
監査レポートと設定レポート
477
フィールド
コンテキスト属性
の選択
アクション
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
フィールド
ユーザー名
レポートさせる各フィールドをハイライトします。
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
監査ユーザー作成の要約レポート
各サービスに追加されたユーザーの数をリストした要約レポートが作成されま
す。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
478
レポートの各ページに表示する項目の最大数を入力します。
第 17 章
フィールド
アクション
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
アクション
追加、変更、および / あるいは削除など、レポートさせたい
各機能アクションをハイライトします。
監査ユーザー削除レポート
サービスから削除されたユーザーをリストした詳細レポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
監査レポートと設定レポート
479
フィールド
コンテキスト属性
の選択
アクション
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
フィールド
ユーザー名
レポートさせる各フィールドをハイライトします。
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
監査ユーザー削除の要約レポート
各サービスから削除されたすべてのユーザーをリストした要約レポートが作成
されます。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
サービスの選択
レポートの各ページに表示する項目の最大数を入力します。
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
480
第 17 章
フィールド
アクション
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
監査ユーザー終了レポート
システムから終了されたすべてのユーザーをリストした詳細レポートが作成され
ます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
フィールド
ユーザー名
レポートさせる各フィールドをハイライトします。
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
監査レポートと設定レポート
481
監査ユーザー終了の要約レポート
システムから終了されたすべてのユーザーをリストした要約レポートが作成さ
れます。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
監査ユーザーパスワードレポート
パスワードのすべてのアクションおよびアクティビティをリストした詳細レ
ポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
482
第 17 章
フィールド
アクション
アクション
追加、変更、および / あるいは削除など、レポートさせたい
各機能アクションをハイライトします。
フィールド
レポートさせる各フィールドをハイライトします。
ユーザー名
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
監査ユーザーパスワードの要約レポート
パスワードアクションの各タイプに該当するユーザー数を示す要約レポートが作
成されます。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
監査レポートと設定レポート
レポートの各ページに表示する項目の最大数を入力します。
483
監査ユーザーログインレポート
システムにログインおよびシステムからログアウトしたユーザーの数をリスト
した詳細レポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
フィールド
ユーザー名
レポートさせる各フィールドをハイライトします。
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
ヒント監査レポート
ユーザーがパスワードのヒントを何回設定したかを示す詳細レポートが作成さ
れます。
484
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
第 17 章
フィールド
開始
アクション
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
フィールド
レポートさせる各フィールドをハイライトします。
ユーザー名
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
ヒント監査の要約レポート
パスワードのヒントを設定したユーザーの数を示す要約レポートが作成されま
す。
フィールド
アクション
レポート名
このレポートの名前。
開始
アイコンをクリックして、レポートさせたい最初の日
付を入力します。
終了
アイコンをクリックして、レポートさせたい最後の日
付を入力します。
ページあたりの項
目数
監査レポートと設定レポート
レポートの各ページに表示する項目の最大数を入力します。
485
設定レポートのパラメータ
ユーザー設定レポート
サービスに登録したすべてのユーザーを示すレポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
フィールド
486
レポートさせる各フィールドをハイライトします。
第 17 章
ユーザー設定の要約レポート
どのユーザーがどのサービスに登録されているかを示す要約レポートが作成され
ます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
ユーザー設定詳細レポート
すべてのユーザーについて詳細情報を提供するバッチレポートが作成されます。
フィールド
アクション
レポート名
このレポートの名前。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
コンテキスト属性
名の選択
下矢印をクリックして、コンテキスト属性名のリストを表
示します。レポートに該当するものを選択します。
監査レポートと設定レポート
487
フィールド
コンテキスト属性
の選択
アクション
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
管理者設定レポート
このレポートでは、システム内のすべての管理者が識別されます。だれがどの
サービスを管理し、このサービスの管理者がどのようなロールを持っているの
かが示されます。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
項目で順序付け
ドロップダウンリストからソート方法を選択します。
サービスの選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
コンテキスト属性
の選択
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、 1 つまたは複数のコンテキストユーザーグルー
プを選択します。
選択したサービスに関連するコンテキストユーザーグルー
プだけがレポートに使用されます。このため、コンテキス
トユーザーグループを選択するには、サービスを選択しな
ければなりません。
フィールド
管理対象サービス
レポートさせる各フィールドをハイライトします。
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のサービスを選択します。
488
第 17 章
フィールド
管理対象コンテキ
スト
アクション
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のコンテキストを選択します。
管理者ロール
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、管理者タイプを選択します。
ユーザー名
アイコンをクリックして、レポートに取り込むユー
ザーを 1 つまたは複数選択します。
リソースのユーザーレポート
どのリソースに何人のユーザーが属しているかを示すレポートが作成されます。
リソースのすべてのユーザーが示されます。このレポートを使用するのは、主要
な管理者だけです。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
リソース
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のリソースを選択します。
フィールド
監査レポートと設定レポート
レポートさせる各フィールドをハイライトします。
489
リソースの使用権レポート
使用権はリソースに属します。管理者は作成されたレポートを参照することで、
使用権を持ち、なおかつリソースに属するユーザーを見つけることができます。
このレポートを使用するのは、主要な管理者だけです。
フィールド
アクション
レポート名
このレポートの名前。
ページあたりの項
目数
レポートの各ページに表示する項目の最大数を入力します。
次の項目で順序付
け
ドロップダウンリストからソート方法を選択します。
リソース
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的のリソースを選択します。
使用権
アイコンをクリックした後、 [ フィルタ ] ボタンをク
リックして、リストから目的の使用権を選択します。なお、
使用権のリストが表示されるのは、項目数がしきい値を超
えた場合だけです。しきい値は設定が可能で、
TruAccess.properties ファイルで定義します。
フィールド
レポートさせる各フィールドをハイライトします。
リソースの調整レポート
リソースおよび使用権と配布されている SI ユーザーを見つけ出すために主要な
管理者だけが使用するバッチレポートが作成されます。 SI と他のリソースの矛
盾が示されます。
490
フィールド
アクション
レポート名
このレポートの名前。
第 17 章
フィールド
アクション
次の項目で順序付け
ドロップダウンリストからソート方法を選択します。
比較対象のリソース
アイコンをクリックした後、 [ フィルタ ] ボタンを
クリックして、リストから目的のリソースを選択します。
比較タイプ
監査レポートと設定レポート
[ 全ユーザー ] 、 [SI のユーザーのみ ] 、 [ リソースのユー
ザーのみ ] のいずれかを選択します。
491
492
第 17 章
18 サーバーの管理
サーバーの管理機能では、指定したアプリケーションサーバー内で OVSI アプ
リケーションを実行しているリクエストのステータスを表示することができま
す。この機能を使用することで、 HP OVSI のアングレースフルなサーバー
シャットダウンによって影響を受けるすべてのリクエストインスタンスを突き止
めることができます。 OVSI のインストールおよび設定についての詳細は、『HP
OpenView Select Identity インストールと設定ガイド』を参照してください。
この章では、次の事項について説明します。
•
サーバーのワークリストの概要
•
リクエストの管理
•
サーバー障害が発生した場合のリクエストの復旧
サーバーのワークリストの概要
[ サーバーのワークリスト ] で、 1 つまたは複数のサーバーのステータスを表示
できます。このページは、 OVSI アプリケーションを実行中または実行済みの各
サーバーインスタンスのステータスを表示するために使用します。
[ サーバー名 ] 列で、 OVSI アプリケーションを実行中 ( または実行済みの ) サー
バーが識別されます。ホストやポートといったサーバーに関する識別情報が含ま
れます。この識別情報は、各アプリケーションサーバーで異なります。
サーバーのステータスは、 OVSI を実行する各サーバーによって定期的に更新さ
れます。 OVSI はアクティブな OVSI サーバーすべてのステータスを [ 実行 ]
として更新します。サーバーがグレースフルにシャットダウンされると、このス
テータスは [ 動作していません ] になります。サーバーを突然終了した場合、
ステータスは [ 実行 ] のままですが、その後タイムアウトすると、ステータス
が [ エラー ] に変わります。したがって、タイムアウトの長さによって、突然
終了したサーバーのステータスが [ エラー ] とレポートされるまでに遅延が生
じる場合があります。
493
[ 開始時刻 ] は、サーバーが開始された時刻です。 [ 変更時刻 ] は、サーバーのス
テータスが最後に更新された時刻です。 [ 終了時刻 ] は、サーバーがグレースフ
ルにシャットダウンされた時刻です。
[ ビュー ] ボタンを使用すると、 [ リクエストリスト ] が開き、選択されている
サーバーに対して阻止されたリクエストすべてが表示されます。
サーバーのワークリストの表示
OVSI と通信しているサーバーの全リストを表示するには、以下の手順に従いま
す。
1
[ ツール ] → [ サーバーの管理 ] → [ サーバーインスタンスリスト ] メニューバーオ
プションを選択します。
[ サーバーのワークリスト ] ページが表示されます。
図 188
2
494
[ サーバーのワークリスト ]
サーバーのリストを参照して、サーバーステータスの詳細および各サーバー
で現在処理中のリクエスト ID のリストを確認します。
第 18 章
個々のリクエストステータスの表示
[ サーバーのワークリスト ] ページを使用して、阻止されたリクエストを識別お
よび表示します。選択したサーバーについて [ リクエストステータスリスト ] を
表示するには、以下の手順に従います。
1
[ ツール ] → [ サーバーの管理 ] → [ サーバーインスタンスリスト ] メニューバーオ
プションを選択します。
[ サーバーのワークリスト ] ページが表示されます。
図 189
[ サーバーのワークリスト ] ページ
2
表示するサーバーを選択します。
3
[ ビュー ] をクリックします。
[ リクエストステータスリスト ] ページが開きます。
[ ステータス ] 列の各ステータスは、下記に説明するサーバーインス
タンスのステータスです。
4
サーバーの管理
•
[ 実行 ] - サーバーインスタンスが現在実行中です
•
[ エラー ] - サーバーインスタンスがアングレースフルに終了され
ています
•
[ 動作していません ] - サーバーインスタンスがグレースフルに終
了されています
表示するリクエストを選択します。
495
5
[ リクエストの表示 ] をクリックします。
[ ワークフローの詳細 ] : [ ワークフロー名 ] ページが開きます。
図 190
[ ワークフローの詳細 :] [ ワークフロー名 ]
ワークフローテンプレートの設定に応じて、ワークフロー内の個々の
ブロックのステータスを表示することができます。ワークフローにつ
いては、第 7 章、「Workflow Studio」を参照してください。
6
[ 更新 ] ボタンをクリックして、ワークフローイメージに対する更新内容を表
示します。
7
必要な情報がすべて表示されるまで、ワークフローブロックの確認を続けま
す。
8
ページを閉じます。
[ リクエストステータスリスト ] ページに戻ります。
496
第 18 章
リクエストの管理
OVSI は、コネクタインタフェースを介して、サポートされているリソースを格
納するサーバーに送信されるリクエストを生成します。何らかの理由でリクエス
トが失敗した場合は、リクエストを柔軟に管理して、次に最適な方針を決定する
ことができます。
リクエストの終了
エラーまたは正しくないリクエストは終了します。リクエストを終了すると、
ワークフロープロセスの現在の位置でリクエストが停止します。なお、すでに正
常に完了しているリクエストは終了できません。
リクエストを終了するには、以下の手順に従います。
1
[ ツール ] → [ サーバーの管理 ] → [ サーバーインスタンスリスト ] メニューバー
オプションを選択します。
[ サーバーのワークリスト ] ページが表示されます。
図 191
サーバーの管理
[ サーバーのワークリスト ] ページ
2
表示するサーバーを選択します。
3
[ ビュー ] をクリックします。
[ リクエストステータスリスト ] ページが開きます。
497
図 192
[ リクエストステータスリスト ]
4
終了したいリクエストをリストから選択します。
5
[ 停止 ] をクリックします。
確認ダイアログボックスが表示されます。
6
[OK] をクリックします。
リストされているリクエストが終了します。
サーバー障害が発生した場合のリクエストの復旧
予期しないシャットダウンを招くデータベースやアプリケーションサーバーの
障害が発生した場合、データベース接続の切断、 JMS メッセージの保存失敗、
その他異常状態により、 OVSI リクエストが [ 処理中 ] 状態のまま中断されるこ
とがあります。
このようなリクエストの大半は、ユーザーが介入することなく、 [ 停止して再試行 ]
オプションを使用して OVSI が自動的に復旧することができます。さらに、
OVSI で自動的に復旧できないリクエストを復旧するために手動による手順も用
意されています。
498
第 18 章
復旧するリクエストの検索
復旧するリクエストを検索するには、以下の手順に従います。
1
2
データベース接続および / あるいは OVSI アプリケーションサーバーが動作
していなかった期間を調べるには、以下の手順に従います。これによって、
復旧の必要があるリクエストを切り分けることができます。
a
データベース管理インタフェースを使用して、データベースサーバーの
ダウンタイムをチェックします。
b
OVSI で、 [ サーバーの管理 / サービスインスタンスのリスト ] ページを
開き、 OVSI サーバーのダウンタイムをチェックします。
現在のシステム設定でサポートされるパフォーマンス統計によれば当然終了
しているはずのリクエストを探します。
復旧手順
必要とされる復旧手順は、復旧するリクエストのタイプによって異なります。
•
委任されたリクエストおよび自己サービスリクエストの復旧
•
ユーザー調整のリクエストの復旧
•
一括追加 / 移動リクエストの復旧
•
サービス調整のリクエストの復旧
委任されたリクエストおよび自己サービスリクエストの復旧
委任されたリクエストおよびセルフサービスリクエストを復旧するには、以下の
手順に従います。
サーバーの管理
1
[ リクエストステータスリスト ] を開きます。
2
検索フィルタを使用して、ダウンタイム期間中に作成され、まだ [ 処理中 ]
状態のままであるリクエストを探します。
3
リクエスト ID をコピーし、保存します。
4
リスト内のチェックボックスを使用して、リクエストをすべて選択します。
5
[ 停止して再試行 ] をクリックします。
499
ユーザー調整のリクエストの復旧
ユーザー調整のリクエストは、委任されたリクエストや自己サービスリクエス
トと異なり、 OVSI のリクエストインタフェースから直接再試行することはでき
ません。ユーザー調整のリクエストを復旧するには、以下の手順に従います。
1
[ 調整タスクリスト ] に移動します。
2
ダウンタイム期間内にあるタスクのうち、 [ 送信しました ] または [ 処理中 ]
状態であるものを探します。
3
タスクの ID をコピーし、保存します。
4
調整タスクレポートを照会し、レポートを保存します。
5
[ リクエストステータスリスト ] に移動します。
6
ダウンタイム期間中に作成され、まだ [ 処理中 ] 状態のままであるリクエス
トを検索します。
7
該当するリクエストをすべて選択して、 [ 停止 ] をクリックします。
8
すべてのリクエストが終了したら、 [ 調整タスクリスト ] に戻ります。
9
一定の期間後、 [ 送信しました ] または [ 処理中 ] 状態のタスクが完了してい
ることを確認します。
10 調整タスクレポートを再度照会して、さらに介入が必要なタスクがあるか探
します。
11 [ ファイルのアップロード ] によって不完全なタスクが送信されている場合、
正しく処理されていないレコードで新しいファイルを作成して、このファイ
ルを再度送信します。
12 [Web サービスまたはリソースのポーリング ] によって不完全なタスクが送
信されている場合は、このレポートのデータで Web サービス調整 SPML
ファイルを作成して、 Web サービスクライアントからこの Web サービスリ
クエストを再度送信します。
500
第 18 章
一括追加 / 移動リクエストの復旧
一括追加 / 移動リクエストは、 OVSI のユーザーインタフェースから直接復旧す
ることはできません。このタイプのリクエストを復旧するには、以下の手順に従
います。
1
一括ジョブの初期レポートが送信されている場合、このレポートを保存しま
す。
2
[ 一括タスクリスト ] インタフェースから一括追加レポートを照会します。
3
[ リクエストステータスリスト ] に移動します。
4
検索フィルタを使用して、ダウンタイム期間中に作成され、まだ [ 処理中 ]
状態のままであるリクエストを検索します。
5
検索条件を満たすリクエストをすべて選択して、 [ 停止 ] をクリックします。
6
すべてのリクエストを停止したら、一括追加ジョブを再度アップロードする
か、または新しい一括移動ジョブを作成します。
サービス調整のリクエストの復旧
このタイプのリクエストは、 OVSI のリクエストインタフェースから直接再試行
することはできません。このタイプのリクエストを復旧するには、以下の手順に
従います。
サーバーの管理
1
[ リクエストステータスリスト ] を開きます。
2
検索フィルタを使用して、サーバーのダウンタイム期間中に開始され、まだ
[ 処理中 ] 状態のままであるサービス調整リクエストを探します。
3
該当するリクエストそれぞれについて、リスト内の目的のリクエストエント
リの左側にあるチェックボックスをオンにして選択します。
4
[ 停止 ] をクリックします。
5
リクエストを停止了したら、 [ サービス ] タブから、該当する各リクエストの
設定を使用して、新しいサービス調整ジョブを送信する必要があります。
501
502
第 18 章
用語集
頭字語
A
AC
Access Control ( アクセス制御 )
ACL
Access Control List ( アクセス制御リスト )
AD
ADaptive Connector ( 適応コネクタ )
AD コネクタ
Active Directory ( アクティブディレクトリ ) コネクタ
ADK
Application Development Kit ( アプリケーション開発キット )
ADO
ActiveX Data Objects (ActiveX データオブジェクト )
ANSI
American National Standards Institute ( 米国規格協会 )
APA
Auto Port Aggregation
503
API
Application Program Interface ( アプリケーションプログラムインタフェース )
ARPA
Advanced Research Projects Agency ( 高等研究計画局 )
ASCII
American Standard Code for Information Interchange ( 米国規格協会情報交換
標準コード )
B
BSIM
Business Service Identity Management ( 業務サービスアイデンティティ管理 )
D
DBA
Database Analyst ( データベースアナリスト )
DLL
Dynamic-link Library ( ダイナミックリンクライブラリ )
DNS
Domain Name System ( ドメインネームシステム )
DHCP
Dynamic Host Configuration Protocol ( 動的ホスト設定プロトコル )
DHTML
Dynamic Hypertext Markup Language ( 動的ハイパーテキストマークアップ言
語)
DSML
Directory Structure Markup Language ( ディレクトリ構造マークアップ言語 )
504
DSN
Data Source Name ( データソース名 )
DSN
Digital Switched Network ( デジタル交換網 )
DTD
Document Type Definition ( 文書型定義 )
E
EJB
Enterprise JavaBeans
F
FQDN
Fully Qualified Domain Name ( 完全修飾ドメイン名 )
FTP
File Transfer Protocol ( ファイル転送プロトコル )
G
GIF
Graphics Interchange Format ( グラフィック交換形式 )
GUID
Globally Unique Identifier ( グローバル一意識別子 )
H
HSRP
Hot Standby Router Protocol ( ホットスタンバイルータープロトコル )
HTTP
Hypertext Transfer Protocol ( ハイパーテキスト転送プロトコル )
505
HTTPS
Hypertext Transfer Protocol Secure ( ハイパーテキスト転送プロトコルセキュ
ア)
I
IBM
International Business Machines (IBM 社 )
IP
Internet Protocol ( インターネットプロトコル )
ISO
International Organization for Standardization ( 国際標準化機構 )
J
J2C
Java 2 Connector (Java 2 コネクタ )
J2SDK
Java 2 software developer kit (Java 2 ソフトウェア開発者キット )
J2EE
Java 2 Enterprise Edition
JAR
Java Application Resource (Java アプリケーションリソース )
JCA
Java Connection Architecture (Java 接続アーキテクチャ )
JDBC
Java Database Connectivity (Java データベースコネクティビティ )
506
JMS
Java Messaging Services (Java メッセージングサービス )
JNDI
Java Naming Directory Interface (Java ネーミングディレクトリインタフェー
ス)
JSP
Java Server Protocol (Java サーバープロトコル )
JVM
Java Virtual Machine (Java 仮想マシン )
K
KB
Kilobyte ( キロバイト )
L
LDAP
Lightweight Directory Access Protocol ( 軽量ディレクトリアクセスプロトコル )
LDIF
Lightweight Data Interchange Format ( 軽量データ交換形式 )
LLB
Local Location Broker ( ローカルロケーションブローカー )
M
MAPI
Messaging Application Programming Interface ( メッセージング API)
MB
Megabyte ( メガバイト )
507
MHz
Megahertz ( メガヘルツ )
MSSQL
Microsoft Structured Query Language (Microsoft 構造化照会言語 )
MTA
Message Transfer Agent ( メッセージ転送エージェント )
OVSI
HP OpenView Select Identity
P
PDF
Portable Document Format ( ポータブルドキュメントフォーマット )
R
RAR
Resource Adapter Archive ( リソースアダプタアーカイブ )
RDF
Reporting Data Feeder ( レポーティングデータフィーダ )
RPC
Remote Procedure Call ( リモートプロシージャコール )
S
SDK
Software Developer Kit ( ソフトウェア開発キット )
SHA
Secure Hash Algorithm ( セキュアハッシュアルゴリズム )
508
SMTP
Simple Mail Transfer Protocol ( 簡易メール転送プロトコル )
SNMP
Simple Network Management Protocol ( 簡易ネットワーク管理プロトコル )
SOAP
Simple Object Access Protocol ( 簡易オブジェクトアクセスプロトコル )
SP
Service Pack ( サービスパック )
SPML
Service Provisioning Markup Language ( サービスプロビジョニングマーク
アップ言語 )
SSL
Secure Socket Layer ( セキュアソケットレイヤ )
SSO
Single Sign On ( シングルサインオン )
SPML
Service Provisioning Markup Language ( サービスプロビジョニングマーク
アップ言語 )
SQL
Structured Query Language ( 構造化照会言語 )
T
TCP / IP
Transmission Control Protocol / Internet Protocol ( 転送制御プロトコル / イン
ターネットプロトコル )
509
U
URI
Uniform Resource Identifier ( 統一資源識別子 )
URL
Uniform Resource locator ( 統一資源ロケータ )
UTF-8
Unicode Transformation Format ( ユニコード変換形式 ) (8 ビット文字変換 )
V
VM
Virtual Machine ( 仮想マシン )
VNC
Virtual Network Computing ( 仮想ネットワークコンピューティング )
W
WAS
Web Application Server (Web アプリケーションサーバー )
WAR
Web Application Repository (Web アプリケーションリポジトリ )
X、 Y、 Z
XML
eXtensible Markup Language ( 拡張マークアップ言語 )
XSD
XML Schema Definition (XML スキーマ定義 )
510
XSL
eXtensible Style Sheet Language ( 拡張スタイルシート言語 )
用語
A
AD コネクタ
Active Directory ( アクティブディレクトリ ) コネクタ。 OVSI と Active
Directory プロトコルを使用して通信するサーバー上に提供されるアプリケー
ションを接続するインタフェースの一種。
D
DNS ドメイン
IP アドレスの一部により、またはアドレスを保有するエンティティを示すドメ
イン名の中で最上位のサブディビジョンにより、一括でアドレス指定が可能なコ
ンピュータおよびその他のネットワークデバイスのセット。たとえば、ホスト名
に接尾辞「hp.com」のあるコンピュータはすべて同一の DNS ドメインに属して
います。
H
HP OpenView
ネットワーク管理およびシステム管理の製品ファミリ、および製品の構成。 HP
OpenView には開発環境と多様な管理アプリケーションが備わっています。
I
ID
識別子。
J
Java
オブジェクト指向プログラミング言語。
511
JCA
Java Connection Architecture (Java 接続アーキテクチャ )。 J2EE 規格の製品
やその他のリソースとの間のインタフェースとして利用されるアーキテクチャ。
JVM
Java Virtual Machine (Java 仮想マシン )。プラットフォームに依存しない実行
環境で、 Java バイトコードを機械語に変換してから実行します。
L
LDIF
ディレクトリオブジェクトを修正および削除するファイル。
S
SPML データファイル
「データファイル」を参照。
U
URL
Uniform Resource Locator ( 統一資源ロケータ ) の頭字語で、コンピュータやイ
ンターネット上のドキュメントのアドレス。
W
Workflow Studio
ワークフローテンプレートを作成および管理するための機能。
WSDL (Web サービス定義言語 )
アプリケーション定義ファイルが Web サービスアプリケーションをワークフ
ローアプリケーションとして定義するのに使われるファイル形式。ワークフロー
エンジンは WSDL から Web サービス呼び出しパラメータを読み込みます。
Web サービスは、 WSDL の URL をリモートで参照することも、最初にローカ
ルファイルとしてダウンロードしてから実行時にローカルでファイルを読み込む
こともできます。
512
あ
アイコン
ユーザーによる監視や操作が可能なオブジェクトや、ユーザーにより実行可能な
アクションを表す画面上の画像。
アイコンクラス
アイコンによって表されるオブジェクトのタイプや分類を示すアイコンの部分。
たとえばネットワークオブジェクトのクラスは、複雑な画像を囲む円で表現され
ます。
アイデンティティ
単一のユーザーまたはシステムエンティティの認証資格証明、プロファイル情
報、および使用権のセット。アイデンティティは多くの場合「ユーザー」の同義
語として使用されますが、アイデンティティはシステムを表す場合もあり、必ず
しも人間である必要はありません。
アイデンティティ管理
アイデンティティの作成、変更、削除、編成、監査に含まれるプロセスおよびテ
クノロジのセット。
アクション
ユーザーインタフェースにおけるユーザーのアクションというコンテキストの場
合、 OpenView アプリケーションによって実行される処理のこと。アクション
は通常、管理対象オブジェクト上で実行されます。手動で実行するアクション
は、メニュー項目やツールバーボタンから選択します。また、イベント、メッ
セージ、管理データベース内での情報修正などに対し、自動的にアクションが発
生するよう設定することも可能です。
OVSI ポリシーのコンテキストの場合、アクションとは、調整ポリシーのアク
ティブ化、およびそのポリシー内でのルールや条件の評価成功の結果、実行され
る操作を指します。
「機能」も参照。
アクセス管理
認証および認可のプロセス。
513
アクセス制御リスト (ACL)
使用権を編成し、認可を制御する抽象概念。 ACL は、ファイル、操作、アプリ
ケーションなどのセキュリティ保護されたオブジェクトに関連付けられている、
使用権およびユーザーのリストです。 ACL ベースのセキュリティシステムでは、
保護されたオブジェクトは、 ACL の形式で自らの保護設定を保有しています。
アクティビティ
プロセス内での論理的な 1 つのステップ。ワークフローテンプレート実行時に
発生するタスク (Workflow Studio の場合 )。アクティビティはワークフローテ
ンプレートの主なコンポーネントで、ユーザーをプロビジョニングするのに必要
な作業を実行します。アクティビティによって、ワークフロー全体を通じて使用
するプロパティの設定、承認のトラッキング、サブワークフローの開始、電子
メール送信、外部アプリケーションの呼び出しなどが可能になります。
アクティブ化
有効にすること、機能状態にすること。
アダプタ
複数のソフトウェア製品やソフトウェアコンポーネント間で情報の解釈を可能に
するソフトウェア。
アプリケーション
互いに関連するタスクのセットを実行するように設計された機能を提供するパッ
ケージソフトウェア。通常、アプリケーションはツールよりも複雑にできていま
す。
アプリケーション配布
ビジネス環境で利用できるよう、アプリケーションコンポーネントをインストー
ルしアクティブ化すること。
アプリケーションプログラムインタフェース (API)
ソフトウェアアプリケーションを構築するのに使用するルーチン、プロトコル、
およびツールのセット。アプリケーションへのプログラム上のアクセスを可能に
するインタフェース。
514
い
一時停止
現在の操作状況を保ちながら、コンピュータの動作を一時的に止めること。
委任管理
管理者管理およびワークロードの分散のために、管理者ロールのサブセットを 1
人または複数のユーザーに安全に割り当てる機能。 OVSI では、「自己サービス」
ページを使用して、 1 人の管理者から同じサービスコンテキスト内の別のユー
ザーにロールを委任することができます。
委任登録
エンドユーザーに代わって管理者が実行する登録処理。
「自己登録」も参照。
イベント
イベントは SNMP トラップや WMI 通知のような自動生成型の通知で、管理対
象オブジェクトでエージェントやプロセスによって発生したり、ユーザーのアク
ションで発生したりします。イベントは通常、管理対象オブジェクトでの変更を
知らせたり、アクションを発生させたりします。
イベント構文
イベントの構造と内容を決定する規則。
イベント作成時刻
協定世界時 (UTC) でイベントが作成された時刻。
イベント相関
単一の事象や問題に関連する複数のイベントや通知に関する評価で、 1 つのメッ
セージを発生させます。イベント相関は、オペレータがメッセージブラウザで表
示するメッセージの数を減らすのに使われます。
イベント属性
イベントの特性や性質。
イベントタイプ
イベントの性質を詳細に定めている特定カテゴリへのイベントの分類。
515
インスタンス
「ワークフローインスタンス」を参照。
インストール
製品または製品のコンポーネントを、コンピュータシステムやその他のネット
ワーク、またはシステムデバイスに読み込むこと。インストールでは通常、イン
ストールプロセスの一部として初期設定スクリプトが実行されます。
インポート
現在のアプリケーションの外部にある場所から、現在のアプリケーションへ情報
の形式を設定して移動すること。
え
エージェント
リモートデバイスやコンピュータシステム上で実行され、管理リクエストへの応
答、管理操作の実行、パフォーマンス通知およびイベント通知の送信を行うプロ
グラムやプロセスのこと。エージェントは、管理対象オブジェクトおよび MIB
変数へのアクセス、リソースのポリシー解釈、リソースの設定を可能にします。
これは、リソースと同じシステム上にあるエージェントベースのコネクタのコン
ポーネントです。エージェントはリソースで発生するユーザーデータの変更を
リッスンし、コネクタインタフェースを通じてその変更を OVSI にレポートし
ます。
エージェントベースのコネクタ
双方向のコネクタインタフェース。 OVSI と同じシステム上にあるコネクタと、
リソースと同じシステム上にあるエージェントという 2 つのコンポーネントが
あります。エージェントは、リソースに生じる変更のリッスン、および OVSI
に加えられる変更に関してリソースとの交信を行います。
エージェントレスのコネクタ
一方向のコネクタ。コネクタは OVSI サーバー上に存在し、リソースとの通信
を仲介します。
エクスポート
現在のアプリケーションから、現在のアプリケーションの外部にある場所へ情報
の形式を設定して移動すること。
516
エンドユーザー
「自己サービス」ページへのアクセスを可能にする、 OVSI システムのすべての
ユーザーに割り当てられたロール。
か
階層
下位レベルが上位レベルに従属する関係を持つ、連続したレベルに組織化された
要素。
外部コール
アカウントの検証または属性値の制限を目的とした、サードパーティのアプリ
ケーションまたはシステムに対するプログラムによる呼び出し。
外部システム ID
外部システムであることを一意に識別する識別子。
拡張
プログラムの機能、範囲、または効果を増大させること。
拡張可能
拡張ができること。
カスタマイズ
特定の顧客やユーザーのニーズや好みに合わせる目的で行う、ソフトウェアの設
計、構築、または修正のプロセス。
カスタマイズする
特定の顧客やユーザーのニーズや好みに合わせる目的で、ソフトウェアの設計、
構築、または修正を行うこと。
監査エンジン
たとえば、いつ誰が変更を行ったかなど、監査関連のアクティビティをすべてロ
グおよび保存します。
監査レポート
通常のアカウント相互関連情報を提供するレポート。
517
管理
オブジェクトまたはオブジェクトセットの継続的なメンテナンス作業。内容は、
作成、変更、削除、編成、監査、およびレポート作成です。
管理者ロール
ユーザーが実行する管理アクションを定義するテンプレート。ロールにアクセス
許可を提供し、ユーザーがサービスにアクセスできるようにするための管理サー
ビスを作成します。管理者ロールを持つユーザーは、自分自身のサービスコンテ
キスト内の別の管理者にロールセットを付与することができます。
き
機能
OVSI クライアントで実行できるアクション。
「アクション」も参照。
機能
特定のタスクを実行するプログラムの一部分を指す一般的な用語。
業務サービス
日常の活動を支援するために業務で提供される製品または機能、あるいは業務で
使用されるコアプロセス。業務サービスの例には、オンラインバンキングサービ
ス、顧客サポートプロセスのほか、電子メール、カレンダ機能、ネットワークア
クセスなどの IT インフラストラクチャサービスがあります。
「サービス」も参照。
業務サービスアイデンティティ管理 (BSIM)
アイデンティティ管理に関連するビジネスプロセスを単純化し、スケールを提供
する新しい抽象概念を導入した、組織上のモデル。これらの抽象概念は、「サー
ビス」および「サービスロール」など、現在の業務に存在する要素をモデルとし
ます。
く
クライアント
ネットワークシステムのコンテキストで使う場合、別のコンピュータ ( サーバー )
へアクセスしてサービスを受けるネットワーク上のコンピュータシステム。
518
ソフトウェアのコンテキストで使う場合、サーバーにサービスをリクエストする
プログラムまたは実行可能プロセス。
クライアントコンソール
アプリケーションがサーバーで稼動しているときにクライアントシステムに表示
されるユーザーインタフェースの一例。
け
検索
指定の条件に基づき、管理アプリケーションや管理アプリケーションのセット内
で特定のデータやオブジェクトを探す処理。
こ
構文
言語またはオブジェクトの記述についての構造と内容を決定する規則。
国際化
各国や各ロケールにおける多様な文化的および言語的な規則に対し、単一のバイ
ナリで対応できるようにするソフトウェアの設計。国際化ソフトウェアを使う
と、データの入出力など、ユーザーの母国語でソフトウェアを利用できるように
なるほか、ユーザーのロケールに該当する規則やルールへの対応が可能になりま
す。国際化ソフトウェアでは ANSI ロケールモデルが使われています。
コネクタ
アイデンティティプロファイル情報を保有するシステムリソースアプリケーショ
ンと通信する J2EE コネクタインタフェース。
コンソール
1 つまたは複数のアプリケーションの操作を可能にするユーザーインタフェース
の一例。
コンテキスト
サービスにアクセスすることのできるユーザーの論理的なグループ化の方法を定
義する OVSI の抽象概念。
519
さ
サービス
リソース、使用権、その他のアイデンティティ関連エンティティを表す、ビジネ
ス中心の抽象概念。サービスは、顧客やパートナーに提供する製品およびサービ
スを表します。
サービス属性
サービスが利用できる、またはサービスが必要とする属性と値のセット。属性
は、「属性」ページを通じて作成および管理されます。
「属性」も参照。
サービスビュー
ユーザーグループにとって有効な「サービス」の制限付きビュー。ビューを使用
すると、「サービス」登録フィールドの下位集合の定義、フィールド名の変更、
フィールドの並べ替え、および特定のユーザーに対するフィールド値のマスクが
可能です。
サービスロール
ユーザーの論理的なグループが OVSI サービスにアクセスする方法を定義した、
OVSI の抽象概念。 OVSI サービスは、業務サービスのすべてのアイデンティ
ティ管理要素の上位集合です。
サブモジュール
ソフトウェアモジュールの一部分のことで、モジュールが提供する機能の一部を
提供します。サブモジュールは特定のタスクを実行したり、特定のデータセット
を表示したりします。
し
資格証明
アイデンティティの信頼性を検証するのに使用されるメカニズムまたはデバイ
ス。たとえば、ユーザー ID とパスワード、バイオメトリクス、デジタル証明書
などは、資格証明であるとみなされます。
式
評価の対象となるワークフローの変数と定数の組み合わせ。式は、新しい変数に
代入したり、引数としてアプリケーションに渡されたりします。プログラミング
520
言語で言うと、ワークフローテンプレートで使われる式は C や Java の式と似て
います。式はたとえば、アクション入力パラメータ、アプリケーション戻り値、
および遷移条件で使われます。
識別子
一定の範囲に付けられる名前で、関連付けられたオブジェクトを一意に識別しま
す。
自己サービス
エンドユーザーが自分のためにシステムの一部を安全に管理することができる機
能。 OVSI には次のセルフサービス機能が用意されています。登録、プロファイ
ル管理、およびパスワード管理 ( パスワードの変更、リセット、同期を含む )。
自己登録
1 つまたは複数のリソースへのアクセスを求めるエンドユーザーによって実行さ
れる登録。
「委任登録」も参照。
システム管理者
コンピュータシステムまたはシステム上のソフトウェアに関する設定とメンテナ
ンスの担当者のロール。
質問と答え
パスワードを忘れてしまった場合など、代わりとなる別の認証を行う方法。
OVSI はユーザーに質問し、ユーザーは正しい答えを出さなければなりません。
ユーザーが質問に正しく答えた場合、 OVSI はパスワードをランダム値にリセッ
トし、電子メールでユーザーに送信します。質問は管理者が設定できます。正し
い答えは各ユーザーごとにユーザーのプロファイルと共に保存され、認証された
ユーザーは「自己サービス」ページから解答を更新できます。
自動アクション
イベント、メッセージ、管理データベース内での情報修正などに対し、オペレー
タが操作することなく自動的に実行するよう事前設定したプログラムやスクリプ
ト。
使用権
アイデンティティに付与されたリソース特権の抽象概念。エンタイトルメントは
リソースに固有です。エンタイトルメントには、リソースのアカウント ID、リ
521
ソースロールメンバシップ、リソースグループメンバシップ、リソースアクセス
権および特権があります。エンタイトルメントは、特権、許可、またはアクセス
権ともみなされます。
条件タイプ
ある条件の下でパラメータ値が妥当となるデータの種類、およびその値がどのよ
うに利用されるのかを判断する条件の抽象概念またはカテゴリ。たとえば、条件
タイプが「送信元 IP アドレス」の場合、ピリオドで区切られた 4 つの値があ
り、その値の各数字は 0 ～ 255 の範囲に入っていなければなりません。条件タ
イプが「送信元」 IP アドレスなので、送信先ではなく送信元 IP アドレスだけが
有効と判断されます。
詳細カスタマイズ
一般にはあまり使用しないタイプのカスタマイズで、通常のカスタマイズに比べ
て柔軟な機能性と複雑な実装が可能。他のカスタマイズと同様、特定の顧客や
ユーザーのニーズや好みに合わせて詳細カスタマイズを実行できます。
調整
OVSI アカウントとシステムリソースとの同期をとるためのプロセス。アカウン
トは、 SPML データファイルを使用して OVSI システムに追加することができ
ます。
承認者
管理者ロールを通じて承認アクションが付与されている、 OVSI 管理者。
承認プロセス
あるアイデンティティに関するエンタイトルメントの関連付け、変更、または失
効を承認するプロセス。このプロセスは、これらのワークフローテンプレートを
通じて自動化されます。
所有解除
メッセージやその他の通知に関連して発生した問題や状況を解消する責任を放棄
すること。
シングルサインオン (SSO)
ユーザーが資格証明 ( 名前とパスワード ) のセットを 1 回入力して、複数のアプ
リケーションにアクセスすることのできる、セッション / 認証プロセス。 Web
SSO は、 Web アプリケーション用の特殊な SSO システムです。
522
信頼できるソース
アイデンティティ情報の「機関」として指定されているリソース。 OVSI のアカ
ウントは、信頼できるソースのアカウントに対して調整されます。
せ
接続
オブジェクト間の論理的または物理的な関係を表したもの。
設定、構成
ハードウェアのコンテキストで使う場合、相互関係を持ちコンピュータシステム
を成り立たせている特定のコンポーネントの 1 セット。たとえばコンピュータ
システムのコンポーネントには、キーボード、ポインティングデバイス、メモ
リ、ディスクドライブ、モデム、オペレーティングシステム、アプリケーショ
ン、プリンタがあります。コンピュータシステムの構成によって、その動作およ
び使用方法が決まります。
ネットワークのコンテキストで使う場合、相関してネットワークを成り立たせて
いるシステム、デバイス、およびプログラムの全体。ネットワークのコンポーネ
ントには、たとえばコンピュータシステム、ルーター、スイッチ、ハブ、オペ
レーティングシステム、ネットワークソフトウェアがあります。ネットワークの
構成によって、その動作および使用方法が決まります。
ソフトウェアのコンテキストで使う場合、ソフトウェアの動作方法、使用方法、
表示方法を決定するソフトウェアパラメータおよび属性の設定。
設定する
ソフトウェアの設定を決定および修正し、ある環境、アプリケーション、または
利用の条件を満たすようにすること。
設定ファイル
ソフトウェアプログラムの表示方法や動作方法を決定するのに使われる仕様や情
報が記載されているファイル。
設定レポート
ユーザー、管理者、サービス管理アクティビティに関する現在のシステム情報
が提供するレポート。
523
遷移
アクティビティ間の関係に関する定義。あるアクティビティが常に別のアクティ
ビティの後に続くように定義したり、あるアクティビティから別のアクティビ
ティにワークフローが遷移する前に満たす必要のある条件を定義したりできま
す。たとえば、少なくとも 2 人の管理者がリクエストを承認した場合にのみ
ワークフローが先に進むよう遷移を定義できます。リクエストが承認されていな
い場合、管理者に電子メール通知を送信するというアクティビティにワークフ
ローを遷移させることが可能です。
そ
属性
アイデンティティプロファイルの定義に用いられる個々のフィールド。各アイデ
ンティティごとに、属性は対応する値を持っています。たとえば、「部署」とい
う属性の場合、「IT」、「販売」、「サポート」などの値が考えられます。
属性外部コール
ある属性の値を自動的に生成 ( 値生成 )、その属性の制約値を定義 ( 値制約 )、ま
たはその属性に入力された値を確認 ( データ妥当性検査 ) するように作成された
小規模なプログラム。各属性は、この各種の外部コールを所有している場合があ
ります。
属性名 - 値ペア
属性名 - 値ペアは、属性識別子と、あるオブジェクトの属性値との組み合わせで
す。たとえば、「名前 : ジョンスミス」は人物に対する属性名 - 値ペアとなりま
す。
た
帯域幅
通信網、コンピュータのバス、コンピュータのチャンネルなど、電線での伝送容
量。 1 秒あたりのビット数 (56 kbps など )、 1 秒あたりのバイト数、またはヘル
ツ (1 秒あたりのサイクル数 ) で表します。ヘルツで表した場合、周波数は実際
の bps よりも大きくなる場合があります。これは、帯域幅は、伝送時の最大周
波数と最小周波数との差になるためです。 ( 技術用語 )
524
ダウンタイム
サービス、ソフトウェア、またはハードウェアのリソースが機能していない時間
の量または割合。
ダブルクリック
ポインティングデバイスのボタンを押して離す操作を素早く 2 回続けて行うこ
と。ダブルクリックは一定時間内に行う処理です。同じ場所で 2 回、間隔をお
いてクリックしても、ダブルクリックにはなりません。
ち
地域化
地域化とは、あるロケールに準拠して製品が動作するように行う必要があるタス
クのセットのことです。地域化のタスクには、必要に応じて、ドキュメントの翻
訳、ユーザーに表示されるテキストやグラフィックの翻訳、ロケールに独特な
フォントやその他の機能の提供などが含まれます。
中継遅延
現在時刻とイベント作成時刻との差。
つ
通知
システムイベントの発生時に送信されるメッセージを定義するテンプレートを作
成および管理できる機能。
て
データ型
文字、文字列、整数、日付、通貨など、データの種類。
データファイル
「自動検出」または「調整」を通じて OVSI に追加されるユーザーアカウントを
定義することのできる SPML ファイル。
データベース
電子的に記憶されているデータの保存場所。一般的にデータベースは、データの
取得と更新ができるよう編成されています。
525
デバイス
コンピュータやネットワークに装着できるハードウェア装置を示す一般用語。プ
リンタ、ルーター、スイッチ、ロードバランサ、ディスクドライブ、モデムなど
がデバイスの例です。
テンプレート
「ワークフローテンプレート」を参照。
と
同期サブプロセス
呼び出すプロセスを実行する前に完了する必要のあるプロセス。
動的パラメータ
プログラム実行中に値が決まるパラメータ。
登録
1 つまたは複数のリソースへのアクセスをリクエストするプロセス。登録は、通
常、リソースアクセスを求めるエンドユーザー、またはユーザーに代わってユー
ザーを登録する管理者によって実行されます。
「委任登録」、「自己登録」も参照。
ドメイン
1 つの単位として操作または管理できるコンピュータおよびその他のネットワー
クデバイスのセット。
取り消し
問題や状況に関連して発生したメッセージやその他の通知を、ブラウザから取り
除く処理。メッセージは通常、メッセージの原因となった状況をオペレータが解
消した場合に取り消されます。
トレースログ
アプリケーションソフトウェアの実行記録が記載されている出力ファイル。
526
に
認証
アイデンティティに資格証明があるか確認すること。
の
ノード
ネットワークのコンテキストで使う場合、ネットワーク上のコンピュータシステ
ムやデバイス ( プリンタ、ルーター、ブリッジなど )。
グラフィック上の点間の配置というコンテキストで使う場合、他のグラフィック
要素に線を引くときの結合部分や接続部分となるグラフィック要素。
は
配布
ビジネス環境で利用できるよう、ソフトウェア、ハードウェア、機能、または
サービスをインストールしてアクティブ化するプロセス。
配布アプリケーション
ビジネス環境で利用できるようにインストールして起動したアプリケーションお
よびそのコンポーネント。
配布する
ビジネス環境で利用できるよう、ソフトウェア、ハードウェア、機能、または
サービスをインストールして起動すること。
配布パッケージ
管理対象ノードに自動的に配布してインストールできるソフトウェアパッケー
ジ。
配布ポリシー
コンピューティング環境で、 1 つまたは複数のリソース上に配布したポリシー。
パスワードのリセット
パスワードを、システムが生成した値に設定する機能。 OVSI では、質問と答え
方式を使用して、ユーザーを認証し、その後ユーザーにパスワードのリセットま
たは変更を許可します。
527
パッケージ
関連するプログラムやソフトウェアファイルをグループにしてまとめ、共通の目
的に利用できるよう 1 つのセットにしたもの。
ひ
非アクティブ化
コンポーネントやオブジェクトが動作しないよう意図的に停止させること。
非推奨
ハードウェアまたはソフトウェアの評価を引き下げ、将来的に使用をやめると表
明すること。
非同期サブプロセス
他のプロセスやサブプロセスとは関係なく、それ自体のペースで進行するプロセ
ス。
ふ
ブール演算子
クエリーやポリシーを満足させるために属性値を比較するコンテキストを定義す
る論理演算子。たとえば、次のような演算子があります。
AND- 両方の条件が満たされなければならない。
OR- 少なくとも一方の条件が満たされなければならない。
NOT- この条件に該当するケースは許可されない。
ファウンデーション
ユーザーに追加機能を提供する他のソフトウェアモジュールやプログラムを支え
る基本構造となるプログラム。
フィルタ
データの一部だけを表示したり移動したりするよう、データを選別するソフト
ウェア機能やプログラム。フィルタを使うと、一致する関連情報を抽出して対象
とし、一致しない非関連情報を抑止できます。
528
フォーム
エンドユーザーからの情報を収集するために使用される電子的な文書。フォーム
は、 OVSI では、情報の収集やシステムの運用のために多数のビジネスプロセス
で使用されます。または、ユーザー入力を得るための情報やコントロールがある
表示の仕組みです ( テキストフィールド、ラジオボタン、リストなど )。
不変変数
インスタンスを非活性化 (Passivate) して不変になった変数。インスタンス全体
に変数のライフサイクルを拡張するには、変数を不変にしなければなりません。
これにより、待機アクティビティより先に変数が作成でき、ワークフローインス
タンスが再開された後にアクセスが可能となります。変数を不変にするには、名
前の頭に「$」を付けます。たとえば、 $retryCount は不変変数ですが
retryCount は不変ではありません。
「ワークフロー変数」も参照。
ブラウザ
オブジェクトについて 1 つまたは複数の表示を行い、オブジェクトと表示とが
連係する機能を備えている、作業領域内のモジュール。
プロセス
タスクセットを実行したり、何らかの目的を達成したりするために使用される、
反復可能な手続き。手動または自動に関わらず、すべてのプロセスは入力を必要
とし、出力を生成します。プロセスは単一のタスクのように単純な場合もあれ
ば、複数のステップからなる条件付きの手続きのように複雑な場合もあります。
「承認プロセス」も参照。
ブロック
アクティビティのサブセット ( ブロックレベルのプロパティ ) が利用する情報を
定義すること、およびブロックレベルのレポーティングを行うことという 2 つ
の目的に用いられる特別な種類のアクティビティ。たとえば、承認リクエストを
送信し、応答を待ち、リクエストのステータスをワークフローに戻すようなブ
ロックを作成することができます。つまり、ブロックとは、テンプレート内のプ
ロセスのことです。
ブロックの種類
最後のブロックアクティビティで blockType プロパティを使い、ワークフロー
テンプレートのブロックに割り当てられたプロパティ。レポートテンプレートは
529
このプロパティを利用して、ブロック情報が出力されるレポートにおける表示方
法を識別します。
プロパティ
「ワークフロープロパティ」を参照。
プロビジョニング
認証資格証明をアイデンティティに割り当てるプロセス。
プロファイル
名前、住所、肩書き、会社名、コストセンターなど、アイデンティティに関連付
けられている記述的な属性。
へ
変数
「ワークフロー変数」を参照。
変数式
「外部コール」を参照。
ほ
ポート
ハードウェアのコンテキストで使う場合、ネットワークデバイスで情報を入出力
するための場所。
ポリシー
組織の業務管理を支援するために、組織で設定された規則の集合。たとえば、従
業員がアクセスできる内部情報リソースおよび外部情報リソースの種類をポリ
シーで規定できます。
ポリシー管理
ネットワーク、システム、サービスの管理を目的としたポリシーを取り扱うプロ
セス ( 作成、編集、トラッキング、配布、削除など )。
530
む
無効化
使用できないようにすること。
め
メッセージキー
文字列のメッセージ属性で、イベントで発生したメッセージの識別に使用されま
す。文字列にはイベントの重要な特徴が要約されています。メッセージキーを使
うと、メッセージによる他のメッセージの認識や、複製したメッセージの識別が
可能になります。
ゆ
ユーザー
「サービス」間を通じて一貫性のあるアカウント作成および管理を実現する機能。
ユーザーインポート
データファイルを使用して、指定したサービスに対して OVSI システムにユー
ザーアカウントを追加するプロセス。
有効化
使用できるようにすること。
り
リクエスト
ユーザーアカウントの追加、変更、または削除のための、 OVSI システム内のイ
ベント。リクエストは「リクエストステータス」機能を通じて監視されます。
リスト
GUI の文脈で使う場合、選択した項目のセット。データのコンテキストで使う
場合、すべて同一データ型で、可変長で配列済みの値のセット。
531
リソース
単一のアプリケーション、データベース、または情報リポジトリ。リソースに
は、一般的に、アプリケーション、ディレクトリ、アイデンティティ情報を保存
するデータベースがあります。
ルール
システムの動作に対するプログラム上の制御。 OVSI のルールは、一般的にプロ
グラムによる「サービス」の割り当てのために使用されます。また、ルールはシ
ステムリソースの変化を検出するためにも使用できます。
ろ
ロール
使用権をアイデンティティに関連付けるシンプルな抽象概念。ロールは、エンタ
イトルメントとユーザーの集合体です。一般的に、ジョブ機能別に編成されま
す。
「管理者ロール」も参照。
ロケール
ロケールは、ユーザーの居住地や国、ユーザーの言語、ユーザーのデータを表示
するコードセットを一括して表すものです。ロケールはアプリケーションの言語
に関連した表示方法と関係しています。
ロケールモデル
アプリケーションの起動時の言語をユーザーが選択できるソフトウェア。ロケー
ルモデルは、ユーザーの言語に対応するようにアプリケーションを初期化するた
めのファイル、表、またはプログラムを定義します。
わ
ワークフローインスタンス
ワークフローテンプレートの呼び出し。インスタンスは作成されると始動し、完
了すると終了します ( 最後のアクティビティが実行されたとき )。インスタンス
の状態とその他の関連情報は、インスタンスが作成されると確認できるようにな
ります。
532
ワークフローエンジン
ワークフローを実行し、フローステップを通じてワークフローを進めるシステム
コンポーネント。
ワークフロー外部コール
ワークフロープロセスの途中で呼び出される「サブルーチン」。これは、通常の
ワークフロープロセス以外の外部プロセスを呼び出す小規模なカスタムアプリ
ケーションのような外部アプリケーション呼び出しとなります。
ワークフローテンプレート
プロビジョニングプロセスのモデルのことで、これを使うと、承認者やシステム
の管理ソフトウェアが実行する必要のあるアクションを OVSI で自動化できま
す。
ワークフロープロセス
タスク、プロセスの各ステップ、関与する組織および人、ビジネスプロセスの各
ステップで必要な入力情報および出力情報。アイデンティティ管理において最も
一般的なワークフローは、プロビジョニングのプロセスおよび承認プロセス用の
ものです。
ワークフロープロパティ
名前 - 値ペア ( 値はテキスト文字列 )。プロパティは、実行時に変更できない静
的データを保有しています。ワークフロー API とレポートテンプレートからア
クセスできます。プロパティには、グローバル、ブロック、アクティビティとい
う 3 つのレベルがあります。
ワークフロー変数
アクション、ワークフロー API 呼び出し、またはアプリケーション呼び出しの
戻りといったワークフローインスタンスの実行時に作成または変更できる名前値ペア。ワークフロー API、ワークフローテンプレート、およびレポートテン
プレートからアクセスできます。これには、グローバル、ブロック、アクティビ
ティという変数レベルがあります。
「不変変数」も参照。
割り当てポリシー
コンピューティング環境で 1 つまたは複数のリソースに割り当てられているも
のの、そのリソースに対しまだ配布やインストールがされていないポリシー。
533
534
A SPML Generator ユーティリティ
HP OpenView Select Identity(OVSI) では、 CSV および XML ファイル形式を
Service Provisioning Markup Language(SPML) に変換する SPML Generator
と呼ばれるユーティリティが提供されています。 SPML ファイルを作成するた
めの方法はいくつもありますが、 CSV および XML に精通した開発者がユー
ザーのインポートや調整のための SPML ファイルを作成するにはこの方法が便
利です。
この章で取り上げる内容は以下のとおりです。
•
SPML Generator ユーティリティパッケージ
•
依存関係の理解
•
ユーティリティの実行
•
プロパティ設定ファイルのプロパティの説明
535
SPML Generator ユーティリティパッケージ
SPML Generator パッケージには、開始に必要なあらゆるファイルが含まれて
います。 OVSI の製品 CD の utilities ディレクトリから、任意のディレクト
リにファイルをコピーしてください。
ファイル
説明
SPML Generator ユーティリティを実行する
ために使用される Windows DOS バッチファ
イル。このバッチファイルは、この表にリス
トされているいずれかの
spmlgenerator*.properties 設定ファイ
ルに基づきます。詳細については、 537 ペー
ジの「ユーティリティの実行」を参照してく
ださい。
runGenerator.bat
ターゲットホスト上のインストールに合わせ
て、 JAVA_HOME の場所を示すようにバッチ
ファイルを変更する必要があります。
SPML Generator ユーティリティを実行する
ために使用される UNIX シェルスクリプト。
このスクリプトファイルは、この表にリスト
されているいずれかの
spmlgenerator*.properties 設定ファイ
ルに基づきます。詳細については、 537 ペー
ジの「ユーティリティの実行」を参照してく
ださい。
536
runGenerator.sh
ターゲットホスト上のインストールに合わせ
て、 JAVA_HOME の場所を示すように @shell
スクリプトファイルを変更する必要がありま
す。
SPMLGenerator.jar
SPML Generator ユーティリティの実行ファ
イル
付録 A
ファイル
説明
spmlgeneratorcsv.prope
rties
ユーザーのインポートのための CSV ベースの
入力を示す設定ファイルのサンプル。各自の
要件に合わせて、このファイルを編集します。
spmlgeneratorreconcsv.
properties
調整のための CSV ベースの入力を示す設定
ファイルのサンプル。各自の要件に合わせて、
このファイルを編集します。
spmlgeneratorxml.prope
rties
ユーザーのインポートのための XML ベース
の入力を示す設定ファイルのサンプル。各自
の要件に合わせて、このファイルを編集しま
す。
spmlgeneratorreconxml.
properties
調整のための XML ベースの入力を示す設定
ファイルのサンプル。各自の要件に合わせて、
このファイルを編集します。
依存関係の理解
ユーティリティが動作するには、以下のファイルがシステム上になければなりま
せん。
•
commons-logging.jar — ロガーおよびログファクトリ用
•
ovsii18n.jar — 国際化用
ユーティリティの実行
SPML Generator ユーティリティを実行するには、以下の手順に従います。
1
パッケージを 1 つのディレクトリにコピーします。
2
JRE (>=1.4) が正しくインストールされ、パスに含まれていることを確認し
ます。インストール方法については、『HP OpenView Select Identity イン
ストールガイド』を参照してください。
3
各自の要件に基づいて、以下のサンプルファイルの中からテンプレートとし
て使用するファイルを 1 つ選択します。
SPML Generator ユーティリティ
537
4
•
spmlgeneratorcsv.properties — ユーザーのインポートのために
CSV 形式を SPML に変換するのに使用します。
•
spmlgeneratorreconcsv.properties — 調整のために CSV 形式を
SPML に変換するのに使用します。
•
spmlgeneratorxml.properties — ユーザーのインポートのために
XML 形式を SPML に変換するのに使用します。
•
spmlgeneratorreconxml.properties — 調整のために XML 形式
を SPML に変換するのに使用します。
バッチファイルまたはシェルスクリプトを編集して、以下を行います。
•
ターゲットホスト上のインストールに合わせて、 JAVA_HOME の場所を
入力します。
適切なプロパティ設定ファイル名をコマンド行引き数として入力します。ドッ
トと拡張子は使用しないでください。
JAVA_HOME 変数が環境で設定されていると、新しいパスは無視されます。
5
バッチファイルまたはシェルスクリプトを実行します。
例
調整のために CSV 形式を SPML に変換するのに実行可能な
runGenerator.bat ファイルの例を以下に示します。
set JAVA_HOME=C:\bea\jdk142_05
SET CLASSPATH=./SPMLGenerator.jar;./
commons-logging.jar;./ovsii18n.jar;
%JAVA_HOME%\bin\java -classpath %CLASSPATH%
com.ovsi.spmlgenerator.core.SPMLGenerator
spmlgeneratorreconcsv
プロパティ設定ファイルのプロパティの説明
プロパティ設定ファイルに表示されるプロパティとその説明を以下にカテゴリ
別に示します。カテゴリのリストはユーザーに関係のある順序になっています。
538
付録 A
#csvplugin パラメータ
•
reader.filename
CSV 入力ファイルのファイル名とフルパス。
Windows のパス名に含まれるスラッシュ (\) は、二重スラッシュ (\\) とし
て指定します。
例:
reader.filename=C:\\tools\\eclipse\\workspace\\SPMLGenerator\
\bin\\samplefiles\\reconcsv.csv
•
reader.colnames
CSV 入力ファイルで指定されるデータの列名のリスト。列の名前および順
序は変更しないでください。この順序がプロパティファイルおよび SPML
Generator ユーティリティで参照されます。
例:
reader.colnames={username,ssn,firstname,lastname,email,profil
e,role,accounttype,primaryAcctValue,recontype}
•
reader.coldelimiter
CSV ファイルの 2 つの列の間で使用される区切り文字。
例:
reader.coldelimiter=#
•
reader.datadelimiter
1 つの列内で複数の値を指定する場合に値と値の間で使用される区切り文
字。これは通常、複数値属性の場合に使用されます。
例:
reader.datadelimiter=,
•
reader.quotechar
CSV ファイルのデータ内で二重引用符を表すエスケープシーケンス。
例:
reader.quotechar=\"
SPML Generator ユーティリティ
539
•
reader.encoding
CSV ファイルの文字のエンコーディング。
例:
reader.encoding=UTF-8
# Recon または User Import フラグ
•
writer.isrecon
変換の実行が調整のためであるかユーザーのインポートのためであるかを指
定するためのフラグ。
調整の場合、値は Yes になります。ユーザーのインポートの場合は、値は
no です。
例:
writer.isrecon=no
•
•
writer.isrecon の調整値が yes の場合は、以下の調整値を指定しま
す。
•
writer.isrecon の調整値が no の場合は、 # ユーザーのインポートの
グローバル操作属性値を指定します。
writer.reconcol
CSV 形式のどの列が調整アクションタイプを示すかを指定するフィールド。
上記の reader.colnames を参照してください。
このプロパティに指定した値が、 reader.colnames の Reconciliation
Type 列を参照します。 CSV データレコードは通常、調整タイプとして
Add、 Modify、 Delete いずれかの値を持ちます。
例:
writer.reconcol=recontype
•
writer.reconopattr
下記の writer.map(SPML ファイルプロパティ ) のどの項目キーが調整操作属
性にマッピングするかを指定します。
例:
540
付録 A
writer.reconopattr=operation
# ユーザーのインポートのグローバル操作属性
•
writer.globalop.keyFields
SPML ファイルのグローバル操作属性セクションでキーフィールドを指定し
ます。
例:
writer.globalop.keyFields=UserName,Email
•
writer.globalop.isprimary
SPML ファイルに 1 次ユーザーのグローバル操作属性エントリがあるかど
うかを指定します。
例:
writer.globalop.isprimary=yes
•
writer.globalop.primaryAcctKey
どの属性がグローバル操作属性の 1 次アカウントキーを表すかを指定しま
す。
例:
writer.globalop.primaryAcctKey=Email
# adduser 操作属性の指定
•
writer.requestop.isUIDGenerated
userId を生成する必要がある場合、 yes に設定します。
例:
writer.requestop.isUIDGenerated=yes
•
writer.requestop.taUserNameAttr
UserName 属性に対応する列を参照します。
例:
writer.requestop.taUserNameAttr=username
•
writer.requestop.taResourceKey
SPML Generator ユーティリティ
541
リソースキーに対応する列を参照します。
例:
writer.requestop.taResourceKey=ssn
•
writer.requestop.primaryAcctKey
primaryAcctKey の文字列表現を指定します。
例:
writer.requestop.primaryAcctKey=urn:hp:selectidentity#taReso
urceKey
•
writer.requestop.primaryAcctValue
primaryAcctValue の文字列表現を指定します。
例:
writer.requestop.primaryAcctValue=primaryAcctValue
•
writer.requestop.typecolumn
typecolumn の文字列表現を指定します。
例:
writer.requestop.typecolumn=accounttype
•
writer.requestop.multientcolnames
複数値列に対応する列名を指定します。
例:
writer.requestop.multientcolnames=profile,role
#SPML ファイルのパラメータ
•
writer.spmlfile
出力 SPML ファイルのフルパスとファイル名を指定します。
Windows のパス名に含まれるスラッシュ (\) は、二重スラッシュ (\\) とし
て指定します。
例:
542
付録 A
writer.spmlfile=C:\\tools\\eclipse\\workspace\\SPMLGenerator
\\bin\\samplefiles\\spmlfromxml.xml
•
writer.usersperfile
ファイルサイズを制限するために、ファイルに取り込むユーザー数を指定し
ます。パフォーマンスの低下を防ぐために、ファイルサイズは 10 MB を超
えないようにしてください。以下の推奨事項に従うか、またはいろいろ試し
て最適なサイズを見つけてください。
— 属性の数が 10 以下であれば、ファイル当たりのユーザー数を 500 に設
定します。
— 属性の数が 11 以上であれば、ファイル当たりのユーザー数を 250 に設
定します。
たとえば、この値を 2 に設定した場合、 2 つのユーザーリクエストに対応す
る SPML エントリを書き込むと、ファイルが閉じられます。 CSV 入力ファ
イル ( またはその他の入力ファイル ) にそれよりも多くのユーザーがいた場
合、同じ名前で複数のファイルが書き込まれます。各ファイルには 1 ～ n-1
の整数が接尾辞として付加されます。ここで、 n は、入力全体を SPML と
して表すために必要なファイルの合計数です。
例:
writer.usersperfile=2
•
writer.isauthoritative
示されたリソースが信頼できるのか信頼できないのかを指定します。信頼で
きる場合は、 yes を入力します。
例:
writer.isauthoritative=yes
•
writer.map1
指定可能な複数のマップの 1 つを指定します。これらのマップによって、
reader.colnames の入力ファイルから SPML 出力に列をマッピングでき
ます。
map1 は、 reader.colnames の username を SPML 出力にマッピングし
ます。
例:
SPML Generator ユーティリティ
543
writer.map1=username|UserName
•
writer.map2
map2 は、 reader.colnames の ssn を SPML 出力にマッピングします。
例:
writer.map2=ssn|SSN
•
writer.map3
map3 は、 reader.colnames の firstname を SPML 出力にマッピング
します。
例:
writer.map3=firstname|FirstName
•
writer.map4
map4 は、 reader.colnames の lastname を SPML 出力にマッピングし
ます。
例:
writer.map4=lastname|LastName
•
writer.map5
map5 は、 reader.colnames の email を SPML 出力にマッピングしま
す。
例:
writer.map5=email|Email
•
writer.map6
map6 は、 reader.colnames の profile を SPML 出力にマッピングしま
す。
例:
writer.map6=profile|Profile
•
writer.map7
map7 は、 reader.colnames の role を SPML 出力にマッピングします。
544
付録 A
例:
writer.map7=role|Role
•
writer.map8
map8 は、 reader.colnames の operation を SPML 出力にマッピング
します。
例:
writer.map8=operation|Operation
SPML Generator ユーティリティ
545
546
付録 A
B XML およびクライアントの監査サン
プル
HP OpenView Select Identity(OVSI) では、イベント監査データを XML スト
リームとしてサードパーティの監査ツール (HP Select Audit など ) に渡すこと
ができます。 eXtensible Schema Definition(XSD) とサンプルの Audit Client が
OVSI に同梱されています。
Audit Client は、 JMS を介してアプリケーションサーバーと接続し、監査 XML
ストリームに登録するための方法を示すプログラム例です。
提供されている監査 XML スキーマを使用することで、監査 XML ストリームを
解釈し、レポートなどユーザーが読める形式で提供するアプリケーションを開発
することができます。たとえばデータベースの形に XML ストリームを処理し、
レポートツールを使用してこれを解析することができます。
また、 XML ストリームは Java オブジェクト階層にも変換できますが、この場
合はサードパーティのツールを使用する必要があります。 Sun Microsystems や
Apache などの複数のソースから、適切な開発ツールが提供されています。
この付録では、 Audit Client の実行方法を説明するとともに、 OVSI Audit XSD
で定義されているシーケンス、タイプ、および要素の詳細を示します。
データベースへの監査 XML ストリームの処理
以下の手順は、データベースのデータをレポートにできる形式に監査 XML スト
リームを変換するときに使用しなければならない処理の概要を示したものです。
1
データベーススキーマおよびテーブルをどのように設定するかをあらかじめ
決定しておき、変換後の Java オブジェクトとの互換性を考慮してこれらを
作成します。
2
XML を Java オブジェクト階層にマッピングし、この結果をデータベースに
挿入するためのサードパーティツールを選択します。
547
3
Java オブジェクトをデータベーススキーマにマッピングします。
Audit Client の使用
Audit Client は、監査ストリームをターミナルウィンドウにリアルタイムで表
示します。 Audit Client は /utilities/auditclient サブディレクトリにあ
ります。
Audit Client は、次の表にリストされているファイルから構成されます。
ファイルまたはディレクトリ
目的
/doc
API ドキュメントが HTML 形式で含まれます。
runclient.bat
Audit Client を実行するために使用されるバッ
チファイル
jndi.properties
WebLogic とのインタフェースのための接続プ
ロパティ
readme.txt
リリースノートおよびその他の情報
auditbroadcastlistener アプリケーションサーバーに接続し、監査スト
.java
リームに登録するための方法を示すサンプル
コード
auditbroadcastlistener AuditBroadcastListener クラスのコンパイル
.class
済みバージョン
548
new-audit.xsd
OVSI の監査 XML のための XML スキーマ定
義
weblogic.jar
Audit Client の Java 実行ファイル
付録 B
接続プロパティの設定
デフォルトでは、 Audit Client は localhost の OVSI に接続して、監査スト
リームを受信するように設定されています。別のホストと接続する必要がある場
合は、 Audit Client を実行する前に、 jndi.properties ファイルのホスト名
を編集します。
Audit Client の実行
Audit Client を実行するには :
1
OVSI の製品 CD から以下のディレクトリの内容全体を OVSI インストール
ディレクトリの適切なサブディレクトリにコピーします。
/utilities/auditclient/WebLogic_client
2
WebLogic および OVSI が実行中であることを確認します。
3
WebLogic 管理サーバーのコマンド行に以下のコマンドを入力して、 Audit
Client のバッチファイルを実行します。
./runclient.bat
OVSI の監査 XSD
OVSI の監査データは、監査 XML スキーマ定義に従い XML フォームで出力さ
れ、 Audit.xsd という名前が付けられます。このファイルは、 OVSI の製品
CD の \utilities\auditClient の下にあります。
以下の項および表では、監査 XSD の XML 要素を階層関係がわかるように分類
して示します。要素の中には複数の複合体の種類に属するものもあるため、要素
のリファレンステーブルに個々の要素の詳細情報を示します。
イベントシーケンス
イベントシーケンスにより、関連する監査イベントデータ要素を 1 つのグルー
プとして処理することができます。オプションの要素と必須の要素があります。
XML およびクライアントの監査サンプル
549
シーケンスは要素タイプとして相互に参照が可能です。このため、
configChangeSeq や他のシーケンス名が、整数タイプや文字列タイプと同じ
ように要素タイプとしていくつかの要素に表示されます。イベントシーケンス
や他の監査要素に可能な内容についての詳細は、 XSD(audit.xsd) を参照して
ください。
OVSI 監査データで使用されるシーケンスを、そのシーケンスで可能な子要素と
ともに下記にリストします。
configChangeSeq: 設定の変更
OVSIAuditConfigChange
EnitiyChangeSeq: エンティティの変更
entity
EventSeq: XSD で定義されているいずれかのタイプのイベントシーケンスの開
始
MembershipSeq: サービスまたはリソースメンバシップの変更
MembershipType
OVSIAuditAttrChangeDataSeq: 属性データの変更
OVSIAuditAttrChangeData
PropertySeq: プロパティの変更
property
PropertyValueSeq: プロパティ値の変更
entity
value
name
key
SvcConfigChangeSeq: サービス設定の変更
OVSIAuditConfigChange
550
付録 B
TargetSeq: イベントのターゲット
OVSIAuditTarget
UserSeq: ユーザー関連の変更
OVSIAuditUser
ValueSeq: 値の変更
value
データタイプ
各イベントシーケンスの子要素は、この項にリストするタイプに従って組み立て
られます。 1 つの値または文字列からなる単純な要素もあれば、複数の子要素が
含まれるものもあります。
AttrChangeData
attrId
attrName
oldValue
newValue
opType
sensitiveLevel
auditType および auditSubType
監査タイプまたはサブタイプを示す単一の値からなる単純なタイプの要素です。
XML およびクライアントの監査サンプル
551
ConfigChangeType
type
fieldId
fieldName
properties
EntityType
PropertySeq
EntityListType
property
entity
EventType
adminRole
auditType
auditSubType
adminId
adminName
requestMethod
requestType
requestId
parentRequestId
causeByRequestId
status
timestamp
serviceName
ctxVarName
552
付録 B
ctxVarValue
ctxVarId
auditTargets
auditUsers
auditResourceChanges
auditServiceChanges
auditAttrs
auditAdminRoles
auditConnectors
auditNotifications
auditExtCalls
auditRules
auditWorkflows
MembershipType
userId
membershipId
membershipOperation
membershipType
OpType
監査イベントで実行される操作のタイプを示す単一の値からなる、単純なタイプ
の要素です。
XML およびクライアントの監査サンプル
553
PropertyType
delete
add
entityChanges
requestType
リクエストタイプを示す単一の値からなる単純なタイプの要素です。
SvcConfigChangeType
type
serviceId
serviceName
fieldId
fieldName
properties
targetType
targetId
targetName
targetType
UserType
primaryId
primaryName
userId
name
attrChangeDatas
memberships
554
付録 B
制約
minoccurs 属性と maxoccurs 属性で、各要素の値の範囲を定義します。
MinOccurs=1: この要素はイベントシーケンスで必須です。
MinOccurs=0: この要素はイベントシーケンスでオプションです。
MaxOccurs=unbounded: この要素はイベントシーケンスで何回でも発生
可能です。
MaxOccurs=1: この要素がイベントシーケンスにある場合は、 1 度だけ発
生可能です。
要素の定義
次の表に、各要素の詳細な情報を示します。
要素名
タイプ
(ConfigChange)
Integer
制約
定義
設定変更のタイプ :
Type
TYPE_RESOURCE = 1
TYPE_ADMIN_ROLE = 4
TYPE_EXT_CALL = 5
TYPE_SERVICE = 6
TYPE_SERVICE_CTX = 7
TYPE_SERVICE_ROLE = 8
TYPE_SERVICE_VIEW = 9
TYPE_ATTRIBUTE = 10
TYPE_WORKFLOW = 11
TYPE_RULE = 12
TYPE_NOTIFICATION = 13
TYPE_CONNECTOR = 14
add
PropertyValueSeq
オプション
adminID
String
必須、イベン操作をリクエストした管理者ア
トごとに一回カウント ID
XML およびクライアントの監査サンプル
追加されたプロパティ
555
要素名
タイプ
制約
定義
adminName
String
オプション、
イベントごと
に一回
操作をリクエストした管理者の
名前
adminRole
String
必須、イベン操作を認可したロール名
トごとに一回
attrChangeData
OVSIAuditAttr
ChangeDataSeq
オプション
attrId
Integer
必須、イベン影響する属性 ID
トごとに一回
attrName
String
必須、イベン影響する属性名
トごとに一回
auditAdminRoles
ConfigChangeSeq
オプション、
イベントごと
に一回
管理者ロールの変更
auditAttrs
ConfigChangeSeq
オプション、
イベントごと
に一回
属性の変更
auditConnectors
ConfigChangeSeq
オプション、
イベントごと
に一回
コネクタの変更
auditExtCalls
ConfigChangeSeq
オプション、
イベントごと
に一回
外部コールの変更
auditNotifications
ConfigChangeSeq
オプション、
イベントごと
に一回
電子メールのテンプレートの変
更
auditResourceChanges
ConfigchangeSeq
オプション、
イベントごと
に一回
リソースの変更
556
影響するユーザー属性 / プロパ
ティ
付録 B
要素名
タイプ
制約
定義
auditRules
ConfigChangeSeq
オプション、
イベントごと
に一回
ルールの変更
auditServiceChanges
SvcConfigChange
Seq
オプション、
イベントごと
に一回
サービスの変更
auditTargets
Targetseq
オプション、
イベントごと
に一回
リクエストのターゲット
( ユーザー、サービス、またはリ
ソースなど )
auditType
Integer
必須、イベン UNKNOWN_VAL = 0
トごとに一回 APPROVAL_VAL = 1
PROVISIONING_VAL = 2
POST_PROVISIONING_VAL
=3
EXTERNAL_CALL_VAL = 4
RESERVED_1_VAL = 5
RESERVED_2_VAL = 6
RESERVED_3_VAL = 7
RESERVED_4_VAL = 8
RESERVED_5_VAL = 9
auditUsers
UserSeq
オプション、
イベントごと
に一回
リクエストの影響を受けるユー
ザー
auditWorkflows
ConfigChangeSeq
オプション、
イベントごと
に一回
ワークフローの変更
causeByRequestId
Integer
オプション、
イベントごと
に一回
イベントが別のイベントによっ
て始動された場合、始動イベン
トの ID
ConfigChangeType
Complex
XML およびクライアントの監査サンプル
設定変更の詳細
557
要素名
タイプ
制約
定義
ctxVarId
String
オプション、
イベントごと
に一回
サービス固有のリクエストの場
合のコンテキスト変数 ID
ctxVarName
String
オプション、
イベントごと
に一回
サービス固有のリクエストの場
合のコンテキスト変数名
ctxVarValue
String
オプション、
イベントごと
に一回
サービス固有のリクエストの場
合のコンテキスト変数値
delete
PropertyValueSeq
オプション
削除されたプロパティ
オプション、
無制限
この変更がエンティティの変更
と相関関係がある場合、このプ
ロパティのエンティティ
entity
entityChanges
EnitityChangeSeq オプション
変更された項目の集合。リソー
ス属性のマッピングを変更した
場合、変更されるリソースの各
属性がプロパティ「attrs」のエ
ンティティ変更に取り込まれま
す。各エンティティの変更はプ
ロパティの変更と同じです。
EntityListType
Complex
オプション
変更されたエンティティのグ
ループ
fieldId
Integer
必須
変更になった設定項目の
ID(ServiceRole ID、 Context ID)
fieldName
String
必須
変更になった設定項目の名前
( リソース名、サービス名、ルー
ル名 )
key
String
membershipId
Integer
558
エンティティのキー名
必須、イベン影響するサービスまたはリソー
トごとに一回スの ID
付録 B
要素名
タイプ
制約
定義
membershipName
String
必須
メンバシップ操作のサービスま
たはリソースの名前
membershipOperation
Integer
必須
メンバシップの追加または削除 :
ADD_VAL = 1
DEL_VAL = 2
memberships
MembershipSeq
オプション
影響するメンバシップ
membershipType
Integer
必須
メンバシップの対象がサービス
かリソースか :
RESOURCE_VAL = 1
SERVICE_VAL = 2
name
String
必須
影響するユーザー名
name
String
必須
変更されたプロパティの名前
newValue
String
必須
属性の変更後の値
oldValue
String
オプション
変更前の値
opType
Integer
必須
操作のタイプを示す値からなる
単純なタイプ :
Add_VAL = 1
Change_VAL = 2
Delete_VAL = 3
OVSIAuditAttrChange
Data
Complex
OVSIAuditUser
UserType
オプション、
無制限
イベントの影響を受けるユー
ザーを表します。
parentRequestId
Integer
オプション、
イベントごと
に一回
親リクエストに割り当てられて
いる ID 番号
XML およびクライアントの監査サンプル
属性の変更の詳細
559
要素名
タイプ
制約
定義
primaryId
Integer
オプション
影響する 1 次ユーザーの ID( 影
響するユーザー ID が 2 次ユー
ザーの場合 )
primaryName
String
オプション
影響する 1 次ユーザーの名前
( 影響するユーザー名が 2 次ユー
ザーの場合 )
properties
PropertySeq
必須
操作の結果として変更されたプ
ロパティ
property
propertyType
必須
操作の結果として変更された
個々のプロパティ
PropertyType
Complex
オプション
プロパティの変更タイプ
requestID
Integer
オプション、
イベントごと
に一回
リクエストに割り当てられてい
る ID 番号
560
付録 B
要素名
タイプ
制約
定義
requestMethod
Integer
オプション、
イベントごと
に一回
操作が行われたメソッド、たと
えば API、 Web、 WebService、
ファイルなど
:DELEGATED_API = 1
UI からのリクエストはすべて値
を持ちます。
DELEGATED_WEB 委任された
ものかセルフサービスかに関わ
らず、名前は正確でありません。
DELEGATED_WEB = 2
Web サービスからのリクエスト
はすべて値を持ちます。
DELEGATED_WEBSERVICE
委任されたものかセルフサービ
スかに関わらず、名前は正確で
ありません。
DELEGATED_WEBSERVICE
=3
RECONCILIATION_
FILEUPLOAD = 10
RECONCILIATION_
WEBSERVICE = 11
BULK_FILEUPLOAD = 12
BULK_WEBSERVICE = 13;
BULK_MOVEUSER = 14;
RECONCILIATION_POLLING
= 15
XML およびクライアントの監査サンプル
561
要素名
タイプ
制約
定義
requestType
Integer
オプション、
イベントごと
に一回
リクエストのタイプ
DELEGATED_REGISTRATIO
N=1
SELF_REGISTRATION = 2
AUTO_DISCOVERY = 3
RECONCILIATION = 4
SYSTEM = 5
BULK_UPLOAD = 6
PROVISION = 7
SERVICECHANGE_RECONCI
LIATION = 8
sensitiveLevel
Integer
オプション
「sensitive」とマーキングされて
いるフィールドを示します。
serviceId
Integer
必須
変更になった項目のサービス ID
serviceName
String
オプション、
イベントごと
に一回
サービス固有のリクエストの場
合、リクエストを開始したサー
ビス
serviceName
String
必須
変更になった項目のサービス名
status
Integer
必須、イベン PENDING_VAL = 1
トごとに一回 SUCCESS_VAL = 2
FAILURE_VAL = 3
PARTIAL_SUCCESS_VAL = 4
APPROVED_VAL = 5
APPROVED_CHANGES_VAL
=6
REJECTED_VAL = 7
SvcConfigChangeType
Complex
targetId
Integer
必須
ターゲットの ID
targetName
String
必須
ターゲットの名前
562
ConfigChangeType の特殊な
フォーム
付録 B
要素名
タイプ
制約
定義
targetType
Integer
必須
ターゲットのタイプ :
USER_NORMAL_VAL = 1
USER_PRIMARY_VAL = 2
USER_SECONDARY_VAL = 3
USER_CLUSTER_VAL = 4
RESOURCE_VAL = 5
SERVICE_VAL = 6
SERVICE_CONTEXT_VAL = 7
SERVICE_ROLE_VAL = 8
SERVICE_VIEW_VAL = 9
ATTRIBUTE_VAL = 10
WORKFLOW_VAL = 11
RULE_VAL = 12;
NOTIFICATION_VAL = 13
CONNECTOR_VAL = 14
EXTERNAL_CALL_VAL = 15
ADMIN_ROLE_VAL = 16
TargetType
Complex
timestamp
Long Integer
必須、イベンサーバー時間を基準としてイベ
トごとに一回ントが発生した時間 (1970 年 1
月 1 日からの経過時間 ( ミリ秒
単位 ))
type
Integer
必須
ConfigChangeType の場合
userId
Integer
必須
影響するユーザー ID
XML およびクライアントの監査サンプル
監査操作のターゲットの詳細
563
イベントタイプ
イベントタイプの要素は、監査イベントで発生したアクションを示します。次
の表に、可能なイベントタイプを示します。
アクションタイプ
アクション
サービス変更の調整
SVCCHG_RECON_MODIFY_USER = 51
SVCCHG_RECON_ADD_RESOURCE = 52
SVCCHG_RECON_DELETE_RESOURCE = 53
リソースの調整
RESOURCE_RECONCILIATION_DELETE = 56
RESOURCE_RECONCILIATION_MODIFY = 57
RESOURCE_RECONCILIATION_REPLACE = 58
ユーザーロールの委
任
564
USER_ROLE_DELEGATION_ACTIVATE = 54
USER_ROLE_DELEGATION_DEACTIVATE = 55
付録 B
アクションタイプ
アクション
ユーザーリクエスト
ADD_NEW_USER = 1
MODIFY_USER = 2
DELETE_SERVICE_MEMBERSHIP = 3
ENABLE_ALL_SERVICES = 4
DISABLE_ALL_SERVICES = 5
RESET_PASSWORD = 6
COPY_USER = 7
ADD_SERVICE = 8
CHANGE_PASSWORD = 9
FORGET_PASSWORD = 10
ENABLE_SERVICE_MEMBERSHIP = 11
VIEW_SERVICE_MEMBERSHIP = 12
TERMINATE_USER = 13
MANAGE_USER_EXPIRATION = 14
DISABLE_SERVICE_MEMBERSHIP = 15
SECURITY_VIOLATION = 16
MODIFY_PROFILE = 17
PASSWORDEXPIRE_NOT = 18
MOVE_USER = 19
LOGIN = 20
LOGOUT = 21
IMPORT = 22
EXPIRE_PASSWORD = 24
HINTSETUP = 30
DISABLE_TERMINATE = 31
REVERT_MODIFY = 32
REVERT_ADD = 33
REVERT_DELETE = 34
IGNORE_ADD = 35
IGNORE_MODIFY = 36
IGNORE_DELETE = 37
XML およびクライアントの監査サンプル
565
アクションタイプ
アクション
クラスタ操作
CREATE_CLUSTER = 40
MODIFY_CLUSTER = 41
DELETE_CLUSTER = 42
ADD_SECONDARY = 43
REMOVE_SECONDARY = 44
サービス
SERVICE_CREATE = 2000
SERVICE_DELETE = 2001
SERVICE_MODIFY = 2002
SERVICE_COPY = 2003
SERVICE_SET_ATTR_VALUES = 2004
SERVICE_SET_ATTR_PROPS = 2005
SERVICE_VIEW_CREATE = 2006
SERVICE_VIEW_DELETE = 2007
SERVICE_VIEW_MODIFY = 2008
SERVICE_ROLE_CREATE = 2009
SERVICE_ROLE_DELETE = 2010
SERVICE_CONTEXT_CREATE = 2011
SERVICE_CONTEXT_DELETE = 2012
SERVICE_CONTEXT_MODIFY = 2013
SERVICE_IMPORT = 2014
SERVICE_ROLE_MODIFY = 2015
SERVICE_EXPORT = 2016
リソース
RESOURCE_CREATE = 3000
RESOURCE_DELETE = 3001
RESOURCE_MODIFY = 3002
RESOURCE_VIEW = 3003
RESOURCE_COPY = 3004
RESOURCE_ATTR_VIEW = 3005
RESOURCE_ATTR_MODIFY = 3006
RESOURCE_IMPORT = 3007
RESOURCE_EXPORT = 3008
566
付録 B
アクションタイプ
アクション
属性
ATTRIBUTE_CREATE = 4000
ATTRIBUTE_DELETE = 4001
ATTRIBUTE_MODIFY = 4002
ATTRIBUTE_VIEW = 4003
ATTRIBUTE_COPY = 4004
ATTRIBUTE_IMPORT = 4005
ATTRIBUTE_EXPORT = 4006
ワークフロー
WORKFLOW_CREATE = 5000
WORKFLOW_DELETE = 5001
WORKFLOW_MODIFY = 5002
WORKFLOW_VIEW = 5003
WORKFLOW_COPY = 5004
WORKFLOW_IMPORT = 5005
WORKFLOW_EXPORT = 5006
外部コール
EXT_CALL_CREATE = 6000
EXT_CALL_DELETE = 6001
EXT_CALL_MODIFY = 6002
EXT_CALL_VIEW = 6003
EXT_CALL_COPY = 6004
通知
NOTIFICATION_CREATE = 7000
NOTIFICATION_DELETE = 7001
NOTIFICATION_MODIFY = 7002
NOTIFICATION_VIEW = 7003
NOTIFICATION_COPY = 7004
NOTIFICATION_IMPORT = 7005
NOTIFICATION_EXPORT = 7006
XML およびクライアントの監査サンプル
567
アクションタイプ
アクション
コネクタ
CONNECTOR_CREATE = 8000
CONNECTOR_DELETE = 8001
CONNECTOR_MODIFY = 8002
ルール
RULE_CREATE = 9000
RULE_DELETE = 9001
RULE_MODIFY = 9002
管理者ロール
ADMINROLE_CREATE = 10000
ADMINROLE_DELETE = 10001
ADMINROLE_MODIFY = 10002
568
付録 B
C 属性マッピング
属性マッピングユーティリティを使用すると、コネクタの XML および XSL
マッピングファイルを簡単に作成または変更することができます。この機能は、
データベースコネクタでサポートされています。これ以外のコネクタでは、通常
リソースで所定の属性のセットが定義されます。このため、マッピングファイル
を変更することはできません。
データベースコネクタでは、ユーザーおよび使用権をデータベースにプロビジョ
ニングできます。データベーススキーマの定義には数多くの方法があるため、
マッピングファイルにも多くの種類があり、変更することも可能です。たとえ
ば、属性マッピングユーティリティを使用することで、テーブルの列およびスト
アドプロシージャを HP OpenView Select Identity(OVSI) の属性に自由にマッ
ピングすることができます。属性をマッピングし保存すると、フォワードマッピ
ングの XML ファイルとリバース同期の XSL ファイルが生成されます。コネク
タの配布については、 61 ページの「コネクタの管理」を参照してください。
属性マッピングユーティリティの概要
属性マッピングユーティリティにより、リソースから直接リソーススキーマを
ロードし、その属性を OVSI 属性にマッピングすることで、 OVSI コネクタで使
用される XML マッピングファイルを作成できます。コネクタにはデフォルトの
XML マッピングファイルが付属しており、ほとんどの場合これで十分です。属
性マッピングユーティリティを使用して、新しいマッピングファイルを作成した
り、既存のマッピングファイルを編集したりできます。また、属性マッパーで使
用権をリソースにプロビジョニングすることもできます。
569
属性マッピングユーティリティへのアクセス
OVSI のホームページから属性マッパーユーティリティにアクセスするには、以
下の操作を行います。
1
[ コネクタの管理 ] オプションを使用して OVSI に新しいコネクタを配布す
る場合、 [ 利用できるマッパー ] というラベルが付いているラジオボタンを選
択して、そのコネクタで属性マッパーユーティリティを使用できるようにし
ます。
図 193
2
[ リソース ] タブをクリックします。
3
[ 新規リソースの配布 ] をクリックします。
4
各フィールドに必要な値を入力した後 ( リソースの配布に必要な値について
は、コネクタのインストールガイドを参照してください )、 [ 保存して続行す
る ] をクリックします。
5
[ アクセス情報 ] ページで、必要な接続資格証明を入力します。必要な接続
資格証明は、データベースコネクタおよびエージェントがどのようにインス
トールされ設定されているかによって異なります。
•
570
[ コネクタの管理 ] ページ
エージェントをインストールしないで、 JDBC データソースを使用する
場合 :
付録 C
この設定では、コネクタが JDBC 呼び出しから直接データベース操作を
行います。
フィールド
値
マッピングファイル
生成される XML ファイルの名前
JDBC データソース文字列
ターゲットデータベースと接続するために OVSI
サーバー上に作成された JDBC データソースの
JNDI 名
これ以外のフィールドはすべて空にします。
エージェントをインストールしない JDBC ドライバの使用
コネクタは JDBC ドライバを使用して、データベースと通信します。
エージェントポートと JDBC データソース以外のすべてのパラメータを
指定する必要があります。
属性マッピング
フィールド
値
SQL URL
データベースと接続するために使用する JDBC
ドライバの名前
マッピングファイル
生成される XML ファイルの名前
サーバー名
データベースサーバーの名前
サーバーポート
データベースサーバーの待機ポート
ユーザー名
データベースのユーザー ID
パスワード
指定されたユーザーのパスワード
データベース / サービス名
データベースの名前
データベースドライバ文字列
使用されている JDBC ドライバ
571
エージェントをインストールした JDBC ドライバの使用
エージェントをインストールして、データベースとの通信に JDBC ドライバを
使用する場合は、 JDBC データソース以外のすべてのパラメータを指定する必
要があります。
フィールド
値
SQL URL
データベースと接続するために使用する JDBC
ドライバの名前
マッピングファイル
生成される XML ファイルの名前
サーバー名
データベースサーバーの名前
サーバーポート
データベースサーバの待機ポート
ユーザー名
データベースのユーザー ID
パスワード
指定されたユーザーのパスワード
データベース / サービス名
データベースの名前
データベースドライバ文字列
使用されている JDBC ドライバ
エージェントポート
待機エージェントのポート
6
[ マッピングファイル ] フィールドの横の [ 編集 ] リンクをクリックします。
既存のリソースのマッピングファイルを作成または変更するには、 [ リソー
ス ] タブでコネクタを選択した後、 [ アクション ] ドロップダウンメニュー
から [ リソースの変更 ] を選択します。リソースの [ アクセス情報 ] ページを
表示した後、 [ マッピング ] フィールドの横の [ 編集 ] をクリックします。
[ 編集 ] をクリックすると、 [Attribute Mapping Utility] ページが表示され、
[ アクセス情報 ] ページに入力した値を使用してデータベースと接続されま
す。マッピングファイルを作成する場合は、 OVSI のホームディレクトリの
com/trulogica/truaccess/connector/schema/spml サブディレクトリ
に新しい XML ファイルが作成されます。 ( このデフォルトの位置を設定す
るには、 TruAccess.properties ファイルで
com.hp.ovsi.connector.schema.dir パラメータを設定します。 )
572
付録 C
指定したマッピングファイルが存在している場合は、属性マッピングユー
ティリティが表示され、データベースと接続し、マッピングファイルの既存
の設定がロードされます。
コネクタの JDBC データソースの設定
Weblogic で JDBC データソースを作成する場合は、以下の設定を必ず行い
ます。
•
[ グローバルトランザクションに準拠 ] オプションをオフにします。
•
[ 非 XA ドライバについて 2 相コミットをエミュレート ] オプションをオンに
します。
新しく作成したデータソースを OVSI JDBC データソースと共存させるため
に、この設定が必要になります。詳細については、コネクタに付属の
『Connector Installation Guide』を参照してください。
属性マッパーのメニューとページ
ブラウザに URL をロードして属性マッピングユーティリティにアクセスした場
合、最初に表示されたページで接続情報の入力を求めるプロンプトが表示されま
す。
既存の XML ファイルを編集する場合、マッピングされた属性がページの
[Attribute Mappings] セクションにリストされます。
属性マッピングユーティリティのホームページには、以下の項目が表示されま
す。
属性マッピング
•
メニュー
•
マッピングページ
573
属性マッパーのメニュー
以下のメニューおよびオプションを使用できます。
•
[File] メニュー
[File] メニューには、以下のオプションがあります。
— [Save Mapping File]
OVSI サーバーの [Base Directory] フィールドで指定されているディレ
クトリに XML および XSL ファイルを保存します。 OVSI へのログイン
時にベースディレクトリが指定されていない場合は、
TruAccess.properties ファイルの
com.hp.ovsi.connector.schema.dir プロパティの値が使用されま
す。このどちらの値も提供されていない場合は、アプリケーションサー
バーのホームディレクトリにファイルが保存されます。
— [Save As]
ユーティリティへのログイン時に指定した名前以外のファイル名で
XML および XSL ファイルを保存します。このオプションを選択する
と、ポップアップダイアログが表示され、ベースディレクトリとファイ
ル名の入力が求められます。
— [Download Mapping File]
リモートクライアントからユーティリティを実行している場合、 OVSI
サーバーから XML ファイルをダウンロードできます。このオプション
を選択すると、ダウンロードのためのダイアログが表示され、 XML
ファイルをローカルに保存することができます。
— [Download Reverse Synchronization File]
リモートクライアントからユーティリティを実行している場合、 OVSI
サーバーから XSL ファイルをダウンロードできます。このオプション
を選択すると、ダウンロードのためのダイアログが表示され、 XSL ファ
イルをクライアントにローカルに保存することができます。
— [Reload]
属性マッピングユーティリティに XML ファイルをリロードします。
574
付録 C
— [Disconnect]
ユーティリティとデータベースとの接続を切断します。
•
[Entity] メニュー
エンティティとは、ユーザーまたはグループ ( 使用権 ) に対する属性の論理
的な集合です。デフォルトでは、ユーザーエンティティが存在します。使用
権をプロビジョニングする場合は、さらにエンティティを作成する必要があ
ります。新しいエンティティは、ユーザー使用権を示すグループエンティ
ティになります。
このメニューのオプションは次のとおりです。
— [Select Entity]
編集するエンティティを選択できます。
— [Add Entity]
ユーティリティに新しいエンティティを作成して、ユーザー以外のエン
ティティの属性をマッピングできます。このオプションを選択すると、
新しいエンティティの名前を入力するためのダイアログが表示されま
す。
— [Edit Entity]
このオプションを使用してエンティティ名を編集することができます。
デフォルトのエンティティ ( ユーザー ) は編集できません。
— [Delete Entity]
現在選択されているエンティティを削除します。デフォルトのエンティ
ティ ( ユーザー ) は削除できません。
•
[Mapping Operations] メニュー
このメニューには、ユーティリティを使用して実行できるすべての操作がリ
ストされます。ここにリストされる操作は、ウィザードから実行できる操作
と同じです (576 ページの「マッピングページ」を参照 )。以下に示すのは、
ユーザーエンティティを選択した場合のメニューです。
属性マッピング
575
このメニューのオプションは次のとおりです。
— [Attributes Home]
[Attributes] ページが表示され、データベース列を OVSI 属性にマッピ
ングできます。
— [User Enable/Disable Attribute Configuration]
[Enable/Disable] ページが表示され、プロビジョニング時にユーザーが
有効または無効になったときに割り当てられる値を設定できます。
— [Define Entity Operations]
[Specify Supported Operations] ページが表示され、コネクタがスキー
マについて実行可能な操作を定義できます。
— [Define Relationships]
[Define Relationship Definitions] ページが表示され、スキーマのテー
ブルがどのように関係するのかを定義できます。
— [Reverse Synchronization Attributes]
[Reverse Synchronization Attributes] ページが表示され、リバース同
期化時に使用されるキーフィールドをマッピングできます。
•
[Help] メニュー
このメニューは下記のアイコンで示されます。
このメニューを選択すると、ヘルプシステムが開かれ、属性マッピングユー
ティリティの概要が示されます。
マッピングページ
マッピングページは、マッピングファイルを変更したり、操作を定義したり、
テーブル間の関係を定義したりするためのインタフェースです。マッピング
ページには、ユーザーエンティティでもグループエンティティでもアクセスで
きます。デフォルトでは、ユーザーエンティティによるアクセスが可能です。
576
付録 C
ユーザーエンティティを使用した場合、マッピングページは 5 つになります。
これらのページにナビゲートするには、ウィンドウ下部の [Previous] ボタンまた
は [Next] ボタン、もしくは [Mapping Operations] メニューを使用します。
[Attributes Home]( ページ 1)
このページでは、データベースから OVSI に対して属性の追加または変更を行
うことができます。
新しいマッピングファイルを作成する場合、当初このページにはマッピングはリ
ストされず、下図のようなページになります。
既存のマッピングファイルをロードする場合は、この例に示すように、現在ファ
イルで定義されているマッピングがページにリストされます。
属性マッピング
577
[Resource Field] にリストされているデータベース列にはそれぞれリンクがあり
ます。このリンクをクリックすると、そのマッピングのプロパティが表示され
るので、これを変更することができます。
578
付録 C
OVSI への属性のマッピング
属性マッピングユーティリティは、データベースリソースの属性を OVSI に
マッピングします。このマッピングを行うには、以下の手順に従います。
1
OVSI のユーザーインタフェースから、コネクタのマッピングページをロー
ドします (584 ページの「使用シナリオ」を参照 )。
2
[Add Attribute Mappings] をクリックして、 [Filter Schema] ページを開き、
データベーススキーマを読み込み、ポップアップダイアログにリストしま
す。これによって、データベーススキーマが階層ツリー構造で表示されま
す。
スキーマを選択し、下部のアクションメニューの中からいずれかをクリック
します。
•
[Filter Attributes] をクリックして、次のレベルのデータベーススキーマ
を表示します。たとえば、スキーマを選択して、 [Filter Attributes] をク
リックすると、 [Database Schema] の下に [Tables and Stored
Procedures] が表示されます。
•
[Map Attributes] をクリックして、データベーススキーマをマッピング
ファイルにマップするための [Map Attributes] ページを表示します。
テーブルスキーマを選択して、 [Map Attributes] をクリックすると、テー
ブルのすべての列がマッピングに使用できるようになります。
属性マッピング
579
3
[Map Attributes] をクリックして、 [Map Attributes] ウィンドウを表示し、
[Filter Schema] ページからリソースのデータベーススキーマを読み取り、
[Selected Items] のウィンドウの左側にリストします。
データベースに接続しないでマッピングファイルを編集した場合、スキーマは
表示されません。
4
左側のフレームからスキーマ項目 ( テーブル、列、またはストアドプロシー
ジャのパラメータ ) を選択し、 [Add Attribute Mappings] をクリックして、
マッピングファイルにマッピングします。
必要な属性をマッピングしたら、 [Finish] をクリックして、 [Attributes
Home] ページに戻ると、属性マッピングと関連するプロパティが表示され
ます。
5
[File] → [Save Mapping File] をクリックして、変更または新しく作成した
マッピングファイルを保存します。
複雑な操作では、他のページにナビゲートできます。
580
付録 C
[User Enable/Disable]( ページ 2)
このページでは、 [Database] メニューからステータス属性を選択し、プロビジョ
ニング時にユーザーが有効または無効になったときに割り当てられる値を設定で
きます。
属性マッピング
581
[Specify Supported Operations]( ページ 3)
このページでは、コネクタがエンティティについて実行可能な操作を定義でき
ます。
[Define Relationship Definitions]( ページ 4)
[Define Relationship Definitions] ページでは、スキーマのテーブルがどのよう
に関係するかを定義し、データベーススキーマでユーザーおよび使用権情報が
どのようにリンクされるかを指定することができます。 [Define Relationship
582
付録 C
Definitions] ページによって、ユーザーエンティティまたはグループエンティ
ティについてのリンク ( ユーザー - 使用権の関係 ) 情報を保存するのにどのテー
ブル列を使用するのかが定義されます。
[Reverse Synchronization Attributes]( ページ 5)
このページでは、リバース同期化時に使用されるキーフィールドをマッピングで
きます。この情報を使用して、 XML マッピングファイルに対応する XSL ファ
イルが生成されます。
属性マッピング
583
これ以外の操作については、グループエンティティからマッピングページにア
クセスしてください。以下のマッピングページを使用できます。
1
[Attributes Home] ページ
2
[Specify Supported Operations] ページ
3
[Define Relationship Definitions] ページ
4
[Provisioning Information] ページ
[Provisioning Information] ページ
このページには、ユーザー属性とリンクしている属性を除き、グループエン
ティティについてマッピングされる属性が表示されます。使用権を直接データ
ベースにプロビジョニングできます。属性マッピングユーティリティがプロビ
ジョニングするのはグループエンティティだけです。
ウィンドウのこれらのセクションでのプロパティの設定手順については、 576
ページの「マッピングページ」を参照してください。
使用シナリオ
ユーザーおよび使用権に関するデータを格納するデータベーススキーマを作成
するには、いくつかの方法を使用できます。「使用シナリオ」では、最も一般的
なスキーマ設定を取り上げます。この章で使用するシナリオは最も標準的な設
定であり、 XML および XSL ファイルのマッピングを定義するために必要な手
順の概要を示します。
584
付録 C
テーブルのシナリオ
ユーザープロビジョニングおよび使用権プロビジョニングの手順では、 3 つの
テーブルを使用して、プロビジョニングデータを格納します。
•
GEN_SQL_USERS という名前のユーザーテーブル。このテーブルは 6 つ
の列から構成され、ユーザー属性を定義します。たとえば、このテーブルを
UserName、 Password、 Firstname、 Lastname、 Email、 City の列から構
成し、ユーザー関連の情報を格納することができます。
•
GEN_SQL_ENTITLEMENTS という名前の使用権テーブル。このテーブル
は 1 つの列から構成され、ユーザーに割り当てることができる使用権のリス
トが格納されます。たとえば、このテーブルを EntitlementID 列と
Description 列から構成し、ユーザーに割り当てることができる使用権情報
を格納することができます。
•
GEN_SQL_USER_TO_ENT という名前の正規化されたマッピングテーブ
ル。このテーブルは、ユーザーと使用権のマッピングを定義し、ユーザー
ID を格納しておくための列と割り当てられている使用権を格納しておくた
めの列の 2 つから構成されます。たとえば、このテーブルを UserName 列
と EntitlementID 列から構成し、ユーザー名と使用権のマッピングを格納
することができます。
マッピングテーブルのユーザー列は、外部キーとしてユーザーテーブルのユー
ザー列を使用します。同じく、マッピングテーブルの使用権列は、外部キーとし
てユーザーテーブルの使用権列を使用します。最後に、ユーザーおよび使用権を
プロビジョニングする場合、ユーザー当たり 1 つのユーザー ID とユーザー当た
りゼロ個以上の使用権が可能です。
ストアドプロシージャのシナリオ
データベースコネクタでは、プロビジョニングやその他ユーザーに関連する操作
にストアドプロシージャを使用できます。通常コネクタで行われる操作を行うた
めの一連のストアドプロシージャを記述できます。このような操作としては、
ユーザーの作成、変更、削除などが挙げられます。このように、ストアドプロ
シージャはコネクタ操作を抽出するための手段となります。
必要な操作に対してストアドプロシージャをカスタマイズできます。一般的なス
キーマ設定についての詳細は、 584 ページの「使用シナリオ」を参照してくださ
い。この章で使用するシナリオは標準的な設定の 1 つです。シナリオの説明は
次のとおりです。
属性マッピング
585
データベースでは 3 つのストアドプロシージャが作成されます。
•
addUser ストアドプロシージャは、データベースの Users テーブルにユー
ザーを作成できます。パラメータとしてこのプロシージャに値が渡されま
す。
•
modifyUser ストアドプロシージャは、データベース内の既存のユーザーの
ユーザー属性を変更できます。このプロシージャは、 UserName 列と
Password 列以外の Users テーブル内のすべての列を変更します。
•
deleteUser ストアドプロシージャは、ユーザー名をパラメータとして使用
し、データベーステーブルからこのユーザーを削除します。
ユーザーマッピングの定義
以下の手順は、ユーザーおよび使用権の属性を OVSI 属性にマッピングする方
法を示したものです。マッピングの定義が完了すると、属性マッピングユー
ティリティにログインし、スキーマと接続したときに [Base Directory] フィー
ルドに指定したディレクトリに XML マッピングファイルが生成されます。
1
ブラウザに以下の URL を入力して、属性マッピングユーティリティを起動
します。
http://hostname:port/attributemapper/index.jsp
ここで、 hostname は OVSI が配布されているアプリケーションサーバーの
サーバー名または IP アドレスで、 port はこのアプリケーションサーバーの
ポートです。
2
586
配布されているコネクタを [Select Connector] ドロップダウンリストから選
択し、データベースの接続情報を入力して、データベースに接続します。こ
のシナリオでは、データベースとの接続に JDBC データソースが使用され
ます。このため、マッピングファイル名と JDBC データソースだけが指定
されます。 [Base Directory] フィールドでは、 OVSI サーバーのどこにマッ
ピングファイルを保存するかを指定します。
付録 C
次に、 [Connect] をクリックします。
ユーティリティがデータベースと正常に接続すると、 [Attributes] ページが
表示され、ユーザー属性をマッピングできます。デフォルトでは、ユーザー
エンティティが選択されます。
属性マッピング
587
また、 OVSI のユーザーインタフェースを使用しても、この手順を行うことがで
きます。詳細は、「属性マッピングユーティリティへのアクセス」を参照してく
ださい。
3
データベーススキーマで定義されている各ユーザー属性を OVSI 属性にマッ
ピングします。
a
[Add Attribute Mappings] をクリックして、 [Filter Schema] ページを表示
し、データベーススキーマをポップアップダイアログにリストします。
データベーススキーマが階層構造で表示されます。
588
付録 C
このページで、残りのデータベーススキーマからマッピングするテーブ
ル、ビュー、ストアドプロシージャをフィルタできます。これによっ
て、選択したスキーマだけを属性のマッピング時に表示することで、ス
キーマ取得にかかる時間を短縮できるとともに、外観も見やすくなりま
す。
Oracle に属性マッピングユーティリティを使用する場合は、以下の点に
注意してください。
–
属性マッピング
[Filter Schema] ページには、 Oracle のすべてのユーザーのスキー
マが表示されます。 [Filter Schema] ページに表示される Oracle ス
キーマの例を以下に示します。
589
b
590
–
必要なテーブルが存在するスキーマを選択し、 [Filter Attribute] をク
リックすると、そのスキーマにあるテーブルやストアドプロシー
ジャだけが表示されます。
–
[Filter Schema] ページで選択するスキーマに対してアクセス権限が
あることを確認してください。アクセス権限がないと、 [Map
Attributes] ウィンドウにスキーマが表示されません。複数のスキー
マを選択したときに、この選択したスキーマのサブセットに対する
アクセス権限がある場合は、そのサブセットのスキーマだけが
[Map Attributes] ウィンドウに表示されます。
マッピングにスキーマの一部を選択するには、 [Schema] チェックボック
スをオンにし、 [Filter Attribute] ボタンをクリックしてスキーマを表示し
ます。 ( また、 [Map Attributes] ボタンをクリックすると、属性のマッピ
ング中にスキーマ全体を表示できます。 )
付録 C
属性マッピング
591
データベーススキーマが [Filter Schema] ページに展開可能なツリー構
造で表示されます。
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names| - Procedure Names|- View
Names
c
マッピングするユーザーテーブルを選択します。テーブルを選択してか
ら、 [Map Attributes] ボタンをクリックします。 [Map Attributes] ウィン
ドウが表示され、 [Filter Schema] ページで選択したスキーマ項目が展
開された状態で表示されます。
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names|| - Column Names| Procedure Names|| - In Parameters
||| - Out Parameters
d
592
ウィンドウの左側から、 OVSI 属性にマッピングするデータベース列を
選択します。
付録 C
次に、 [Add Attribute Mappings] ボタンをクリックします。選択した列が
テーブルに追加されます。
ストアドプロシージャをマッピングする場合、 [Stored Procedure
Group] という名前のセクションがページの [Table/Views Group] セ
クションの下に追加されます。
e
属性マッピング
[SI Attribute] フィールドに、選択したデータベース列をマッピングす
る OVSI 属性の名前を入力します。この値は、 OVSI クライアントでコ
ネクタのリソースに対して属性を作成する際に [Name] 列に表示される
値と同じです。このシナリオのリソース属性の画面を以下に示します。
593
このシナリオでは UserName が属性名であるので、 USERID 列の [SI
Attribute] フィールドに「UserName」と入力します。
選択したデータベース列がスキーマの 1 次キーである場合、
[Required] オプションが選択されます。
594
f
指定した属性が OVSI のキーフィールドである場合は、 [SI Key] オプ
ションを選択します。ストアドプロシージャを追加する場合は、複数の
属性をキーフィールドとして選択できます。
g
OVSI でのパスワードのリセット操作やパスワードの変更操作で使用可
能なパスワードタイプとして属性を扱うには、 [Password Field] オプショ
ンを選択します。
h
属性 ( エンティティ全体ではなく ) についてコネクタが実行できるアク
ションを定義する場合は、 [Define Attribute Operations] ボタンをクリッ
クして、実行可能な操作を選択します。ポップアップウィンドウが表示
され、操作を選択したら、 [OK] をクリックします。
付録 C
i
マッピングする各ユーザー列に対して手順 d ～手順 h を繰り返します。
アルファベット順にページの右側に列が追加されます。このシナリオで
定義したユーザーマッピングの画面を以下に示します。
[Status] 列に指定されている OVSI 属性は任意です。この列のマッピン
グは必要ですが、この列にプロビジョニングされる内容は [Enable/
Disable] の設定 ( 手順 4) で制御されます。
属性マッピング
595
j
使用権をプロビジョニングする際に、データベーススキーマに 2 つの
テーブル ( ユーザーデータのテーブルと使用権のテーブル ) が含まれる
場合、使用権テーブルからユーザー列をマッピングする必要がありま
す。データベーススキーマにユーザーと使用権のマッピングテーブルを
含め、 3 つ以上のテーブルが含まれている場合、それに応じてこのテー
ブルの列をマッピングします。
このマッピングに対して任意の値を [SI Attribute] フィールドに指定で
きます。
マッピングテーブルのユーザー列は、 GEN_SQL_USERS テーブルの
USERID 列の外部キーです。これをマッピングに指定する必要がありま
す。 [Resource Field] の列名をクリックします。
[Update Attribute Details] ページが表示されます。 [foreignKey] ド
ロップダウンリストから、ユーザーテーブルのユーザー列を選択しま
す。
また、 [isTableKey] オプションを選択して、 [OK] をクリックします。
k
596
[Map Attributes] ウィンドウ下部にある [Finish] をクリックします。
ウィンドウが閉じられ、マッピングされた属性が [Attribute Mapping
Utility] ページにリストされます。
付録 C
4
コネクタの [Enable] および [Disable] の設定を定義します。これによって、
ユーザーステータスを表すために使用される属性を定義できます。以下の手
順に従います。
a
ページの [Attribute Mappings] セクションにある [Next] をクリックする
か、または [Mapping Operations] → [User Enable/Disable Attribute
Configuration] を選択します。 [User Enable/Disable] セクションが表示
されます。
b
User Enable 行で、ユーザーが有効な場合にステータス値を格納してお
くデータベーステーブルを [Resource Field] ドロップダウンリストから
選択します。この列は、 OVSI のすべての有効化操作で使用されます。
c
ユーザーが有効になった場合に格納する値を指定します。静的テキスト
をプロビジョニングする場合は、指定する値を括弧 ({ }) で囲みます。
d
User Disable 行で、ユーザーが無効な場合にステータス値を格納してお
くデータベーステーブルを [Resource Field] ドロップダウンリストから
選択します。この列は、 OVSI のすべての無効化操作で使用されます。
e
ユーザーが無効になった場合に格納する値を指定します。静的テキスト
をプロビジョニングする場合は、指定する値を括弧 ({ }) で囲みます。
このシナリオの場合に指定する値の画面を以下に示します。
属性マッピング
597
5
6
OVSI がデータベーススキーマに対して行うことができる操作を定義しま
す。
a
ページの [User Enable/Disable] セクションにある [Next] をクリックす
るか、または [Mapping Operations] → [Define Entity Operations] を選択し
ます。 [Specify Supported Operations] セクションが表示されます。
b
データベーススキーマ ( ユーザーテーブル ) でユーザーをプロビジョニ
ングする際にコネクタで実行できる操作を、選択または選択解除しま
す。
以下の手順に従い、エンティティとデータベーステーブル間の関係を定義し
ます。
a
598
ページの [Specify Supported Operations] セクションにある [Next] をク
リックするか、または [Mapping Operations] → [Define Relationships] を
選択します。 [Define Relationship Definitions] セクションが表示され
ます。
付録 C
属性マッピングユーティリティで使用権エンティティが作成されてい
ない場合には、使用権エンティティはここに表示されません。
使用権をプロビジョニングする場合は、 602 ページの「使用権マッピ
ングの定義」の手順を行ってから、この手順に戻ってください。
属性マッピング
599
b
ユーザーエンティティの場合は、使用権を伴う操作についてユーザーエ
ンティティのキーフィールドを格納する列を選択します。このシナリオ
では、マッピングテーブルのユーザー列が選択されます。
使用権テーブルがなく、コネクタがグループや使用権の操作を行わな
い場合は、このフィールドを空のままにしておいてかまいません。
[Link Field] リストから列を選択した場合、この列をユーザー情報のプ
ロビジョニングに使用することはできません。
c
使用権エンティティの場合は、ユーザーの使用権を格納する列を選択し
ます。このシナリオでは、マッピングテーブルの使用権列を選択しま
す。
このシナリオ例の場合の関係の画面を以下に示します。
7
リバース同期化を行うようにエージェントを設定してある場合は、リバース
マッピングを定義する必要があります。
a
600
ページの [Define Relationship Definitions] セクションにある [Next] を
クリックするか、または [Mapping Operations] → [Reverse
Synchronization Attributes] を選択します。 [Reverse Synchronization
Attributes] セクションが表示されます。
付録 C
b
[Resource User Key] ドロップダウンリストから、 OVSI キーである
OVSI 属性にマッピングされたデータベース列を選択します。
c
[Resource Password field] ドロップダウンリストから、 OVSI パスワー
ド属性にマッピングされたデータベース列を選択します。
d
[SI User Key] ドロップダウンリストから、ユーザーの OVSI キーであ
る OVSI 属性を選択します。
e
[SI Password field] ドロップダウンリストから、ユーザーパスワードを
格納する OVSI 属性を選択します。
このシナリオの場合に指定する値の画面を以下に示します。
8
[File] → [Save Mapping File] を選択して、接続時に [Base Directory] フィール
ドに指定した位置に XML および XSL ファイルを生成します。
com.hp.ovsi.connector.schema.dir プロパティが、 OVSI サーバー
上の install_dir/sysArchive ディレクトリ内の
TruAccess.properties ファイルに設定されていることを確認します。
属性マッピング
601
これは、マッピングファイルが作成される、トップレベルのディレクトリに
設定されるはずです。このディレクトリは、属性マッピングユーティリティ
のインタフェースで [Base Directory] フィールドに指定されます。
[Base Directory] フィールドに値が指定されていなかった場合、アプ
リケーションサーバーのホームディレクトリに com/trulogica/
truaccess/connector/schema/spml ディレクトリ構造が作成さ
れています。
たとえば、 [Base Directory] フィールドに「C:\SI_3.3\schema」と入力
した場合、このディレクトリの下に com/trulogica/truaccess/
connector/schema/spml ディレクトリ構造が作成され、この位置に
XML および XSL ファイルが作成されます。この例では、このディレクトリ
にファイルがあります。
C:\SI3.3\schema\com\trulogica\truaccess\connector\schema
\spml
したがって、 com.hp.ovsi.connector.schema.dir プロパティは次の
ように設定します。
com.hp.ovsi.connector.schema.dir = C:/SI3.3/schema
XML および XSL ファイルをローカルシステムにダウンロードする場合は、
[File] → [Download Mapping File] または [File] → [Download Reverse
Synchronization File] をそれぞれ選択します。データベースとの接続を切断する
か、またはユーティリティからログアウトするには、 [Disconnect] をクリックし
ます。
使用権マッピングの定義
データベーススキーマに使用権データが含まれ、使用権をプロビジョニングす
る場合、属性マッピングユーティリティで使用権エンティティを作成する必要
があります。それ以外の場合は、 586 ページの「ユーザーマッピングの定義」の
手順を行うことで、ユーザーのプロビジョニングに必要な XML および XSL
ファイルだけが生成されます。
602
付録 C
使用権エンティティを作成し、その属性をマップするには、以下の手順に従いま
す。この手順では、属性マッピングユーティリティにログインしていることが前
提となります。
1
使用権エンティティを属性マッピングユーティリティに追加します。
a
[Entity] → [Add Entity] を選択します。以下のウィンドウが表示されます。
b
[Entity Name] フィールドに、使用権エンティティの名前を指定します。
c
[Add Entity] をクリックします。ユーティリティウィンドウで使用権エン
ティティが選択されます。
2
データベーススキーマで定義されている各使用権属性を OVSI 属性にマッピ
ングします。
a
[Add Attribute Mappings] をクリックして、 [Filter Schema] ページを表示
し、データベーススキーマをポップアップダイアログにリストします。
これによって、データベーススキーマが階層構造で表示されます。
このページで、残りのデータベーススキーマから、マッピングするテー
ブル、ビュー、ストアドプロシージャをフィルタできます。これによっ
て、選択したスキーマだけを属性のマッピング時に表示することで、ス
キーマ取得にかかる時間を短縮できるとともに、外観も見やすくなりま
す。
属性マッピング
603
b
604
マッピングにスキーマの一部を選択するには、 [Schema] チェックボック
スをオンにし、 [Filter Attribute] ボタンをクリックしてスキーマを表示し
ます。 ( また、 [Map Attributes] ボタンをクリックすると、属性のマッピ
ング時にスキーマ全体を表示できます。 )
付録 C
データベーススキーマが [Filter Schema] ページに展開可能なツリー構
造で表示されます。
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names| - Procedure Names|- View
Names
c
マッピングする使用権テーブルを選択します。テーブルを選択したら、
[Map Attributes] ボタンをクリックします。 [Map Attributes] ウィンドウ
が表示され、 [Filter Schema] ページで選択したスキーマ項目が展開さ
れた状態で表示されます。
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names|| - Column Names| Procedure Names|| - In Parameters|| - Out Parameters
d
ウィンドウの左側で、 OVSI 属性にマッピングするデータベース列を選
択します。
次に、 [Add Attribute Mappings] ボタンをクリックします。選択した列が
テーブルに追加されます。
e
[SI Attribute] フィールドに、選択したデータベース列をマッピングす
る OVSI 属性の名前を入力します。このシナリオでは、 ENT_NAME 列
をマッピングし、 [SI Attribute] フィールドに「Entitlements」と入
力します。
選択したデータベース列がスキーマの 1 次キーである場合、
[Required] オプションが選択されます。
f
属性マッピング
指定した属性が OVSI のキーフィールドである場合は、 [SI Key] オプ
ションを選択します。このテーブル列は、コネクタを使用して取得する
必要がある使用権を格納する使用権列です。
605
g
パスワードタイプとして属性を扱うには、 [Password Field] オプションを
選択します。
通常は、使用権エンティティやグループエンティティの属性では、こ
のパスワード動作は必要ありません。したがって、必要でない限り、
このオプションを無視できます。
606
h
属性 ( エンティティ全体ではなく ) についてコネクタが実行できるアク
ションを定義する場合は、 [Define Attribute Operations] ボタンをクリッ
クして、実行可能な操作を選択します。ウィンドウが表示され、操作を
選択したら、 [OK] をクリックします。
i
OVSI 属性にマッピングするこの他の使用権列に対して手順 d ～手順 h
を繰り返します。このシナリオでは、 ENT_NAME 列だけが OVSI 属性
にマッピングされます。
付録 C
3
4
データベーススキーマでマッピングテーブルが定義されている場合 :
マッピングテーブルの使用権列をマッピングします。
a
マッピングテーブルの使用権列を選択して、 [Add Attribute Mappings] を
クリックします。選択した列が、マッピングされた列と属性のリストに
追加されます。
b
[SI Attribute] フィールドに、任意の値を入力します。マッピングにこ
の列を取り込むための値を指定するだけです。
データベーススキーマで使用権テーブル ( ユーザーテーブルに加えて ) が定
義されている場合 :
使用権テーブルのメンバ列をユーザーテーブルの使用権列にマッピングしま
す。
a
使用権テーブルのメンバ列を選択して、 [Add Attribute Mappings] をク
リックします。選択した列が、マッピングされた列と属性のリストに追
加されます。
b
[SI Attribute] フィールドに、任意の値を入力します。マッピングにこ
の列を取り込むための値を指定するだけです。
5
[Map Attributes] ウィンドウ下部にある [Finish] をクリックします。
6
ユーザーエンティティと使用権エンティティの関係をまだ定義していない場
合には、 598 ページの手順 6 に戻り、関係を定義します。
7
[File] → [Save Mapping File] を選択して、接続時に [Base Directory] フィール
ドに指定した位置に XML および XSL ファイルを生成します。
XML および XSL ファイルをローカルシステムにダウンロードする場合は、
[File] → [Download Mapping File] または [File] → [Download Reverse
Synchronization File] を選択します。データベースとの接続を切断するか、また
はユーティリティからログアウトするには、 [Disconnect] をクリックします。
データベースでの使用権のプロビジョニング
属性マッピングユーティリティでは、使用権を直接データベースにプロビジョニ
ングできます。ユーティリティを使用して使用権をプロビジョニングするには、
以下の手順に従います。
1
属性マッピング
使用権エンティティを選択します。
607
2
[Mapping Operations] メニューから [Provision Entity] を選択します。
[Provisioning Information] セクションが表示され、エンティティに対して
マッピングされる属性がリストされます。
3
[Add Attribute] をクリックして、属性に割り当てられている値を変更します。
以下のウィンドウが表示されます。
608
4
データベースにプロビジョニングする属性に対して、各 [Value] フィールド
の値を変更するかまたは値を入力します。
5
入力が終了したら、 [OK] をクリックします。値がデータベースにプロビジョ
ニングされます。
付録 C
ストアドプロシージャのパラメータのマッピング
以下の手順は、ストアドプロシージャのパラメータを OVSI 属性にマッピング
する方法を示したものです。マッピングの定義が完了すると、属性マッピング
ユーティリティにログインしたときに [Base Directory] フィールドに指定した
ディレクトリに XML マッピングファイルが生成されます。
この手順では、属性マッピングユーティリティにログインし、データベースと
接続していることが前提となります。
データベーススキーマで定義されているストアドプロシージャの各パラメータを
次のようにマッピングします。
1
[Add Attribute Mappings] をクリックして、 [Filter Schema] ページを表示し、
データベーススキーマをポップアップダイアログにリストします。これに
よって、データベーススキーマが階層構造で表示されます。
2
属性マッピング
マッピングにスキーマの一部を選択するには、 [Schema] チェックボックス
をオンにし、 [Filter Attribute] ボタンをクリックしてスキーマを表示します。
( また、 [Map Attributes] ボタンをクリックすると、属性のマッピング時にス
キーマ全体を表示できます。 )
609
データベーススキーマが [Filter Schema] ページに展開可能なツリー構造で
表示されます。
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names| - Procedure Names
||- View Names
c
610
マッピングするストアドプロシージャテーブルを選択します。テーブル
を選択したら、 [Map Attributes] ボタンをクリックします。 [Map
Attributes] ウィンドウが表示され、 [Filter Schema] ページで選択した
スキーマ項目が展開された状態で表示されます。
付録 C
ツリーの説明を下記に示します。
Database Name
|
| - Schema Names| - Table Names|| - Column Names| Procedure Names|| - In Parameters|| - Out Parameters
3
属性マッピング
ウィンドウの左側から、 OVSI 属性にマッピングするストアドプロシージャ
のパラメータを選択します。下記の例では、 addUser ストアドプロシージャ
のすべてのパラメータ (RETURN VALUE 以外 ) がマッピングされます。
611
4
modifyUser および deleteUser ストアドプロシージャのパラメータをマッピ
ングします。
OVSI 属性は、 OVSI クライアントに表示されるとおりに指定してく
ださい。
このシナリオのように、同じようなパラメータをマッピングで複数回
使用する場合があります。すべてのストアドプロシージャで
Username パラメータが必要です。すべての Username パラメータ
およびテーブル列で同じ OVSI 属性名を指定することをお勧めしま
す。
5
テーブルのキー列を、データをプロビジョニングするストアドプロシージャ
にマッピングします。この列は、データベーステーブルでユーザーを一意に
識別するためのものであり、コネクタでユーザーが使用可能であるかどうか
確認するためのフィールドとして使用されます。
このシナリオでは、すべてのストアドプロシージャが Users テーブルの
Username 列をキーフィールドとして使用します。このため、この列がユー
ティリティでマッピングされます。
6
マッピングする属性について OVSI キーの情報を指定します。この場合、次
の 2 つのケースがあります。
— マッピングするテーブル列が 1 つのグループにあると、 [SI Key] ラジオ
ボタンが使用可能です。テーブル列に関連するシナリオでは、サポート
される SI Key 属性は 1 つだけなので、ラジオボタンを使用できます。
このため、 SI Key として指定されているテーブル列が OVSI キーの
フィールドになります。
— ストアドプロシージャのパラメータが個々のグループに分類されている
と、それぞれについて [SI Key] チェックボックスが使用可能です。スト
アドプロシージャについて OVSI キーが複数ある可能性があるため、
チェックボックスが提供されています。このため、マッピングするテー
ブル列の OVSI キー属性に類似したパラメータすべてについて [SI Key]
オプションをオンにします。
612
付録 C
このシナリオ例では、 Users テーブルの Username 列が OVSI のキー
フィールドです。この列について、 [Table/Views Group] で [SI Key] チェッ
クボックスがオンになります。
[Stored Procedure Group] では、このテーブル列 (adduser、 modifyUser、
deleteUser ストアドプロシージャの Username パラメータにマッピング )
に対応するパラメータすべてについて [SI Key] チェックボックスがオンにな
ります。
7
属性マッピング
データベーステーブルにユーザーが存在することを確認するために使用され
るマッピング対象のテーブル列について、 [Define Operations] ボタンをク
リックします。この属性について、 [Get Object Details] 操作だけを選択しま
す ( それ以外の操作はすべて選択を解除します )。
613
8
ストアドプロシージャの各パラメータについて [Define Operations] をクリッ
クし、そのパラメータを使用する関連操作だけを選択します。
たとえば、実行する操作が追加操作だけの場合、 addUser ストアドプロ
シージャの Username パラメータが使用されます。このため、このパラ
メータについては、作成操作だけを選択します。
同じく、 addUser および modifyUser プロシージャでは Email パラメータ
が必要になります。 addUser の Email パラメータは作成操作についてのみ
有効で、 modifyUser ストアドプロシージャの Email パラメータについては
更新操作が有効になります。
modifyUser プロシージャの Username パラメータでは、更新操作が有効で
なければなりません。
最後に、 deleteUser プロシージャの Username パラメータでは、削除操作
が有効でなければなりません。
614
付録 C
9
[Finish] ボタンをクリックして、 [Attributes] ページに戻ります。これで、
テーブル列とストアドプロシージャパラメータのマッピングが表示されま
す。属性の [Edit] リンクをクリックすれば、詳細を変更できます。
10 [Mapping Operations] メニューから、[Define Entity Operations] を選択します。
11 表示されたページで、エンティティをサポートするために必要な操作を選択
します。
12 [File] メニューから、 [Save Mapping File] オプションを選択して、 XML ファ
イルを保存します。
属性マッピング
615
ユーザーテーブルおよびストアドプロシージャのシ
ナリオ
この項で取り上げるシナリオは、ユーザーテーブル、ストアドプロシージャ、
およびユーザーテーブルとストアドプロシージャの組み合わせにより、アイデ
ンティティ情報をプロビジョニングする方法を示したものです。
ユーザーテーブルが 1 つの場合
データベーステーブルが 1 つ作成され、すべてのユーザー情報が取り込まれま
す。このテーブルには、名前、 ID、パスワード、電子メールアドレスなど、あ
らゆるユーザー属性を示す列が含まれます。
OVSI にリソースを配布する場合、コネクタはこのユーザーテーブルからすべて
の列名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列に
マッピングし、ユーザーをプロビジョニングできます。
ユーザーテーブルが 1 つ、使用権テーブルが 1 つの場合
データベーステーブルが 1 つ作成され、すべてのユーザー情報が取り込まれま
す。このテーブルには、名前、 ID、パスワード、電子メールアドレスなど、あ
らゆるユーザー属性を示す列が含まれます。さらに、このユーザーテーブルに
は、ユーザーのすべての使用権 (memberOf など ) を示す列もあります。これは
複数値属性であり、マッピングでは「group1, group2, group3」のように CSV
として実装できます。
もう 1 つ、使用権を格納するためのテーブルが作成されます。このテーブルに
は、名前や説明など、各使用権を定義するための列が含まれます。さらに、こ
のテーブルにはこの使用権に属するユーザーをリストするための列 ( メンバなど )
もあります。これは複数値属性であり、マッピングでは「user1, user2, user3,
user4」のように CSV として実装できます。ユーザーと関連付ける使用権およ
びユーザーと切り離す使用権を使用権テーブルに設定します。
OVSI にリソースを配布する場合、コネクタはこのユーザーテーブルからすべて
の列名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列に
マッピングし、ユーザーをプロビジョニングできます。
616
付録 C
OVSI はまたサービス設定時やユーザー作成時にも使用権を取得し、コネクタが
使用権テーブルからすべてのエントリをロードします。
データベースの members 列にユーザーがプロビジョニングされます。
たとえば、スキーマの使用権テーブルに Entitlement という名前のグループエ
ンティティを作成し、管理者使用権のユーザーを OVSI にプロビジョニングし
た場合、このユーザーの memberOf 列の値は「administrator」になります。複
数の使用権を割り当てる場合、 administrator,guest のようにカンマで区切られ
ます。同じように、ユーザーに割り当てられる各使用権について、 Entitlement
テーブルの members 列にユーザーがプロビジョニングされます。複数のユー
ザーに同じ管理者使用権を割り当てた場合、この administrator 行の members
列の値は「user1,user2」のようになります。
ユーザーテーブルが 1 つ、使用権テーブルが 1 つ、マップテー
ブルが 1 つの場合
データベーステーブルが 1 つ作成され、すべてのユーザー情報が取り込まれま
す。このテーブルには、名前、 ID、パスワード、電子メールアドレスなど、あ
らゆるユーザー属性を示す列が含まれます。
もう 1 つ、使用権を格納するためのテーブルが作成されます。このテーブルに
は、名前や説明など、各使用権を定義するための列が含まれます。さらに、この
テーブルにはこの使用権に属するユーザーをリストするための列 ( メンバなど )
もあります。これは複数属性であり、マッピングでは「user1, user2, user3,
user4」のように CSV として実装できます。ユーザーと関連付ける使用権およ
びユーザーと切り離す使用権を使用権テーブルに設定します。
さらにもう 1 つ、ユーザーと使用権のマッピングを格納するためのテーブルが
作成されます。このテーブルは、ユーザーテーブルおよび使用権テーブルの 1
次キー (PK) を参照します。このマップテーブルには、ユーザー名や使用権など
の列があります。
OVSI にリソースを配布する場合、コネクタはこのユーザーテーブルからすべて
の列名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列に
マッピングし、ユーザーをプロビジョニングできます。
OVSI はまたサービス設定時やユーザー作成時にも使用権を取得し、コネクタが
使用権テーブルからすべてのエントリをロードします。
属性マッピング
617
ユーザーに複数の使用権を割り当てる場合、マップテーブルの個々の行で値が
プロビジョニングされます。
たとえば、 user1 ユーザーに管理者とゲストの使用権を割り当てた場合、マップ
テーブルには user1-administrator と user1-guest の 2 つの行が作成されます。
ユーザーテーブルが複数の場合
ユーザー情報を格納するテーブルが作成されます。このテーブルには、ユー
ザー名、 ID、パスワード、電子メールアドレスといった属性を格納するための
列を設定できます。
さらに、補足的なユーザー情報を格納するためのテーブルを作成できます。こ
れらのテーブルには、会社、部署、コストセンター、住所、電話番号といった
データを格納するための列を設定できます。これらのテーブルには、メインの
ユーザーテーブルに対して外部キーの制約が必要です。
OVSI にリソースを配布する場合、コネクタはユーザーテーブルからすべての列
名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列にマッ
ピングし、ユーザーをプロビジョニングできます。プロビジョニングするには、
ユーザーテーブルを設定します。
ユーザーテーブルが 2 つ、使用権テーブルが 1 つの場合
ユーザー情報を格納するテーブルが作成されます。このテーブルには、ユー
ザー名、 ID、パスワード、電子メールアドレスといった属性を格納するための
列を設定できます。さらに、このユーザーテーブルには、ユーザーのすべての
使用権 (memberOf など ) を示す列もあります。これは複数値属性であり、マッ
ピングでは「group1, group2, group3」のように CSV として実装できます。
もう 1 つ、その他のユーザー情報を格納するテーブルが作成されます。この
テーブルには、会社、部署、コストセンター、住所、電話番号といったデータ
を格納するための列を設定できます。このテーブルには、メインのユーザー
テーブルに対して外部キーの制約を指定します。
さらにもう 1 つ、使用権を格納するためのテーブルが作成されます。このテー
ブルには、名前や説明など、各使用権を定義するための列が含まれます。さら
に、このテーブルにはこの使用権に属するユーザーをリストするための列 ( メン
618
付録 C
バなど ) もあります。これは複数値属性であり、マッピングでは「user1, user2,
user3, user4」のように CSV として実装できます。ユーザーと関連付ける使用
権およびユーザーと切り離す使用権を使用権テーブルに設定します。
OVSI にリソースを配布する場合、コネクタはユーザーテーブルからすべての列
名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列にマッ
ピングし、ユーザーをプロビジョニングできます。
OVSI はまたサービス設定時やユーザー作成時にも使用権を取得し、コネクタが
使用権テーブルからすべてのエントリをロードします。
ユーザーテーブルが 2 つ、使用権テーブルが 1 つ、マップテー
ブルが 1 つの場合
ユーザー情報を格納するテーブルが作成されます。このテーブルには、ユーザー
名、 ID、パスワード、電子メールアドレスといった属性を格納するための列を
設定できます。
もう 1 つ、その他のユーザー情報を格納するテーブルが作成されます。この
テーブルには、会社、部署、コストセンター、住所、電話番号といったデータを
格納するための列を設定できます。このテーブルには、メインのユーザーテーブ
ルに対して外部キーの制約を指定します。
さらにもう 1 つ、使用権を格納するためのテーブルが作成されます。このテー
ブルには、名前や説明など、各使用権を定義するための列が含まれます。さら
に、このテーブルにはこの使用権に属するユーザーをリストするための列 ( メン
バなど ) もあります。これは複数値属性であり、マッピングでは「user1, user2,
user3, user4」のように CSV として実装できます。ユーザーと関連付ける使用
権およびユーザーと切り離す使用権を使用権テーブルに設定します。
さらにもう 1 つ、ユーザーと使用権のマッピングを格納するためのテーブルが
作成されます。このテーブルは、ユーザーテーブルおよび使用権テーブルの 1
次キー (PK) を参照します。このマップテーブルには、ユーザー名や使用権など
の列があります。
OVSI にリソースを配布する場合、コネクタはユーザーテーブルからすべての列
名をリソース属性としてロードします。その後、 OVSI 属性をテーブル列にマッ
ピングし、ユーザーをプロビジョニングできます。
OVSI はまたサービス設定時やユーザー作成時にも使用権を取得し、コネクタが
使用権テーブルからすべてのエントリをロードします。
属性マッピング
619
ユーザーテーブルが複数、使用権テーブルが複数の場合
複数のユーザーテーブルと使用権テーブルを作成でき、複数のテーブルにユー
ザー情報が格納されます。使用権テーブルごとに使用権のタイプが異なります。
たとえば、 1 つはロール用、 1 つはアクセス制御レベル用にユーザーグループの
テーブルを作成できます。
使用権テーブルが複数あるので、コネクタのマッピングファイルに複数のグ
ループエンティティを作成する必要があります ( 属性マッピングユーティリティ
を使用 )。たとえば、 Roles 使用権テーブルと ACL 使用権テーブルがスキーマ
に存在する場合、この 2 つの使用権テーブルをマップするエンティティを 2 つ
作成します。
ストアドプロシージャが 1 つの場合
ストアドプロシージャがデータベースに作成され、すべてのプロビジョニング
操作でコネクタから呼び出されます。属性のマッピング時に ( 属性マッピング
ユーティリティを使用する場合など )、 OVSI のすべてのユーザー属性をストア
ドプロシージャの引き数にマッピングします。コネクタがユーザーをプロビ
ジョニングする場合、この引き数値でストアドプロシージャが属性として呼び
出されます。
ストアドプロシージャが複数の場合
ユーザーの追加、ユーザーの変更、ユーザーの削除、ユーザーの取得、ユー
ザーの有効化、ユーザーの無効化、パスワードのリセットなど、ユーザーのプ
ロビジョニング操作ごとに、個々にストアドプロシージャがデータベースに作
成されます。属性のマッピング時に ( 属性マッピングユーティリティを使用する
場合など )、 OVSI のすべての操作をストアドプロシージャにマッピングします。
その後、 OVSI のすべてのユーザー属性をストアドプロシージャの引き数にマッ
ピングします。コネクタがユーザーをプロビジョニングする場合、この引き数
値でストアドプロシージャが属性として呼び出されます。
このシナリオのマッピングファイルでは、ストアドプロシージャのパラメータ
をマッピングし、各パラメータについて属性レベル操作を指定 ( 操作の定義 ) し
ます。たとえば、 createUser ストアドプロシージャの UserID パラメータは
ユーザーの追加操作だけに使用されるため、このパラメータについて定義され
る操作は「作成」になります。
620
付録 C
属性のストアドプロシージャ
データベースに格納する前に、特定の属性情報を暗号化する必要があります。コ
ネクタは、呼び出すストアドプロシージャにデータを渡します。属性情報を暗号
化するために呼び出すストアドプロシージャを複数作成することができます。そ
れから、このストアドプロシージャに属性をマッピングします。
テーブルおよびストアドプロシージャ
テーブルの更新とストアドプロシージャの呼び出しの組み合わせによってデータ
ベースでユーザーがプロビジョニングされるシナリオもあります。たとえば、
テーブルにユーザーを追加できますが、このユーザーを有効または無効にするに
はストアドプロシージャが呼び出されます。上記のテーブルおよびストアドプロ
シージャのシナリオを確認して、必要な設定を理解してください。
属性マッピング
621
622
付録 C
索引
数字
2 つのフィールドでアカウントを識別する
SPML ファイル , 408
A
Audit Client, 547
jndi.properties ファイル , 549
XSD, 549
使用 , 548
D
DSML 形式 , 218
DTD ルール
XML の構成単位 , 358
概要 , 357
完全な定義 , 360
E
eXtensible Schema Definition
XSD, 547
オブジェクト階層 , 547
Java 開発キット (JDK), 60
JMS
および Audit Client, 547
L
LDIF 形式 , 218
O
OVSI
機能 , 1
最適化 , 3
システムアーキテクチャ , 3
デフォルトの外部コール , 242
OVSI のアーキテクチャ , 4
OVSI のシステム認証 , 119
P
PasswordHistoryValidation, 248
I
R
IDValueGeneration, 243
resource_key, 406
J
S
J2EE コネクタアーキテクチャ , 60
SOAP プロトコル , 60
Java
SOAP リクエスト
623
単一操作 , 409
バッチ操作 , 409, 410
Web サービスインタフェース , 394
Web のシングルサインオン , 65
SPML, 60
SPML ファイルの作成 , 405
taUserName がない場合の SPML ファイ
ル , 407
記述 , 405
属性の指定 , 412
例 , 407
X
SPML 形式 , 217
XML ルールテンプレート , 370
SPML データファイル , 405
SPML の記述 , 405
SPML のヒント , 406
SPML ファイル , 343
使用権が含まれる場合の作成 , 413
調整のための作成 , 404
SPML ファイルバッチ , 229
SPML リクエストフィルタ , 254
ExtendedSPMLRequest Filter, 249
Workflow Studio, 27, 259
概要 , 259
XML ストリーム , 547
XML の構成単位 , 358
あ行
アーキテクチャ図 , 4
アカウント調整 , 387
アカウントリクエストの承認または拒否 , 323
アクション , 36
理解 , 36
アクションの依存関係 , 359
値のパターン , 121
SPML リクエストフィルタクラス
デフォルトの外部コール , 249
[ あなたの ID 情報 ], 2
T
依存関係
概要 , 414
TruAccess.properties ファイル
一括 , 337
自己登録の設定 , 312
調整関連の設定 , 415
TruAcess プロパティ , 416
V
Validate Connector, 248
W
Web サービス , 60
624
アプリケーションサーバーのプロパティ , 415
一方向接続 , 58
一括
TruAccess.properties, 337
依存関係 , 333
一括ジョブのスケジュール設定 , 344
自動ジョブの削除 , 352
自動ジョブの変更 , 350
使用権を指定した場合のサービスへの
ユーザーの追加例 , 342
属性が共通の場合のサービスへのユー
ザーの追加例 , 339
手順の概要 , 336
ユーザーおよび属性の SPML ファイルの
作成 , 338
変更 , 255
概要
一括処理の手順 , 336
イベント監査データ , 547
仮想 ID, 4
イベント管理 , 5
監査
イベントシーケンス , 549
データタイプ , 551
イベントタイプ
XML の構成単位 , 359
属性の調整ポリシー , 392
ユーザーの調整ポリシー , 390
イベントの参照、ワークフローに関するイベ
ント , 171
監査およびレポート作成 , 2
監査データ
Java オブジェクト階層 , 547
インタフェースアクション , 36
監査レポート
「レポート」を参照 , 449
エージェント , 60
管理サービス , 57
エージェントインタフェース , 394
管理者ロール , 5, 35
委任 , 52
インタフェースアクションのリスト , 36
確認 , 39
管理 , 40
機能とアクション , 36
権限 , 49
権限の付与 , 43
権限の変更 , 49
削除 , 53
作成 , 40, 41
タスクの概要 , 29
デフォルト , 39
表示 , 54
変更 , 47, 48
ロールの追加 , 41
ロールの変更 , 51
エンドユーザーロール , 40
か行
外部コール , 241, 243
ExtendedSPMLRequestFilter, 249
IsAlphaNumeric, 247
LoadUserServices, 250
ManageExpireValidation, 247
PasswordValidation, 248
PasswordValueGeneration, 244
Search Table, 246
UserEnableDisableWFExtCall, 251
UserIDValueGeneration, 244
VerisignCertImpl, 249
WFGetApproverSampleExtCall, 243
WorkflowCertificateRequest, 251
削除 , 257
タイプ , 254
タスクの概要 , 26
デフォルト , 242, 249
配布 , 253
表示 , 256
管理者ロールの確認 , 39
管理者ロールの削除 , 53
管理者ロールの作成 , 41
管理者ロールの表示 , 54
625
管理の委任 , 1
コピー , 371
キー属性 , 405
コンテキスト , 29, 145, 168
削除 , 210
作成 , 175
変更 , 206
既存の属性の表示 , 116
既存のルールのコピー , 371
機能 , 36
理解 , 36
キャッシングポリシー
削除 , 80
業務サービス , 57
業務サービスアイデンティティ管理 , 1
結果
アクション , 432
概要 , 431
信頼できるリソース , 432
ポリシーの評価 , 432
権限
管理者ロール , 43
検索
ユーザー検索での属性の使用 , 104
検索可能な属性の指定 , 104
個人のアイデンティティ , 299
タスクの概要 , 33
コネクタ , 69
一方向 , 58
インストール , 60
概要 , 58
コネクタ API, 25, 61
作成 , 60
双方向通信 , 60
タスクの概要 , 25
配布 , 61
コネクタレコード
変更 , 62
626
コンテキストエンジン , 5
コンポジットサービス , 57
さ行
サーバーのプロパティ , 415
サービス , 57
管理 , 57
業務 , 57
コピー , 178
コンポジット , 57
タスクの概要 , 28
配布 , 150
表示 , 308
サービス / コンテキストエンジン , 5
サービス管理
サービスの変更 , 177
サービス属性 , 159
属性値の設定 , 158
属性のプロパティの設定 , 161, 186
サービスの作成 , 143, 149
サービスの登録 , 267
サービスの表示 , 308
サービスの変更 , 180
サービスビュー , 164
サービスメンバーシップ要件 , 402
サービスモデル , 5
サービスロール , 29, 64, 101, 144, 168
階層 , 144
削除 , 199
作成 , 168
変更 , 194
サービス割り当て , 403
削除 , 403
サービス割り当ての削除 , 403
サービス割り当ての変更 , 403
最適化
OVSI, 3
質問 / 答えの質問 , 293
ポリシーの変更 , 294
自動ジョブ
削除 , 426
集中管理 , 1
使用権
SPML ファイルへの追加 , 413
固定と可変 , 146
承認 , 323, 535, 547
削除
自動一括ジョブ , 352
自動ジョブ , 426
承認者の選択クラス
デフォルトの外部コール , 243
作成
使用権が含まれる SPML ファイル , 413
調整のための SPML ファイル , 404
承認ワークフロー , 2
サポート , 2
サンプル , 417
自己サービス , 263
パスワードの変更 , 264
ロールの委任 , 303
自己登録
TruAccess.properties の設定 , 312
あらかじめ定義されたコンテキスト , 312
コンテキスト値 , 312
設定 , 311
通知 URL の設定 , 312
自己登録の設定 , 311
システムアーキテクチャ , 3
システム管理者ロール , 40
システム設定 , 395
システムリソースの管理 , 67
システムリソースの追加 , 67
質問 / 答え , 28
承認者ロール , 40
証明書管理機能クラス
デフォルトの外部コール , 249
ジョブ
調整 , 392
ジョブ結果 , 429
概要 , 429
信頼できない結果 , 435
信頼できる結果 , 431
ジョブステータスの表示 , 225
信頼できないリソース
ジョブ結果 , 435
信頼できるリソース , 356, 432
使用 , 65
ジョブ結果 , 431
ユーザーおよび属性を定義するための
ユーザーのインポートプロセス , 216
ルールの追加 , 65
スキーマ
XML, 547
スケジューリングされたレポート
編集 , 463
627
スケジュール設定されたジョブ
削除 , 426
変更 , 424
設定
インポート , 444
エクスポート , 440
[ 自己登録 ] ページ , 311
タスクの概要 , 32
設定レポート
レポートを参照 , 455
前提条件
概要 , 393
双方向 , 60
双方向接続 , 60
属性 , 26, 405
外部コールの追加 , 113
管理 , 101
削除 , 125
指定 , 412
制約の追加 , 113
属性の外部コールの変更 , 124
属性の制約の変更 , 124
追加 , 106
追加とマッピング , 105
表示 , 105, 116
変更 , 119
マッピングファイル , 26, 101
ユーザー検索 , 263
ユーザー検索の容易化 , 104
リソースの選択 , 111
リソースのマッピングの変更 , 122
属性値の検証クラス
デフォルトの外部コール , 249
属性値の生成
PasswordValueGeneration 外部コール ,
244
628
属性値の生成クラス
デフォルトの外部コール , 243
属性値の制約
Search Connector 外部コール , 245
属性値の制約クラス
デフォルトの外部コール , 245
属性値の妥当性検査クラス
デフォルトの外部コール , 246
属性管理 , 5
属性の制約 / 外部コールの変更 , 124
属性のパラメータの変更 , 119
属性リスト
表示 , 105
た行
タスクステータス
表示 , 428
調整 , 5, 387, 416, 437
SPML ファイルの作成 , 404
TruAccess.properties の調整関連の設定 ,
415
アプリケーションサーバーのプロパティ
のチェック , 415
エージェントインタフェースまたは Web
サービスインタフェースの使用 , 394
サービスメンバーシップ要件 , 402
最適化 , 388
事前のシステム設定 , 395
自動ジョブの削除 , 426
自動ジョブの作成 , 418
自動ジョブの変更 , 424
手動によるレポートの生成 , 430
ジョブ完了レポート , 429
ジョブ結果 , 429
信頼できない結果 , 435
信頼できる結果 , 431
前提条件 , 388
タスクステータスの表示 , 427
タスクの概要 , 32
手順の概要 , 388
トラブルシューティング , 437
ヒント , 395
ルール , 401
調整ジョブ , 392
管理 , 418
調整用 , 429
調整ルール , 389
トラブルシューティング , 374
ヒント , 359
調整ルールに関するトラブルシューティング ,
374
「調整」を参照 , 387
通知
タスクの概要 , 27
通知テンプレートのコピー , 133, 135
通知テンプレートの削除 , 142
通知テンプレートの追加 , 130
通知テンプレートの変更 , 139
テンプレート , 129
変数 , 126
ユーザー , 129
通知テンプレート
管理 , 126
通知の変数 , 126
通知の管理 , 126
デフォルトの外部コール , 242
Search Connector, 245
SPM リクエストフィルタクラス
デフォルトの外部コール
外部コール
デフォルト , 249
承認者の選択クラス , 243
証明書管理機能クラス , 249
属性値の検証 , 249
属性値の生成クラス内 , 243
属性値の制約クラス , 245
属性値の妥当性検査クラス , 246
ワークフローの外部コールの呼び出しタ
イプ , 250
デフォルトのヘルプテキスト , 121
テンプレート
通知 , 129
通知テンプレートのコピー , 133, 135
通知テンプレートの削除 , 142
通知テンプレートの追加 , 130
通知テンプレートの変更 , 139
同期 , 66
同期と配布 , 65
同期と配布の概要 , 65
トラブルシューティング , 437
調整ルール , 374
は行
配布 , 66
タスク , 24
パスワード
自己サービスの変更 , 264
変更 , 305
パスワードおよびプロファイルの管理 , 2
パスワード属性の設定 , 119
パスワードの同期化 , 119
パスワードの変更 , 305
表示
調整タスクのステータス , 427
629
ヒント
SPML, 406
調整 , 395
複数の値 , 121
プロビジョニング , 1
文書型定義 (DTD), 355, 357, 360
変更 , 403
自動一括ジョブ , 350
ジョブのスケジュール設定 , 227
タスクの概要 , 30
手順の概要 , 216
ユーザーおよび属性の信頼できるリソー
ス , 216
ユーザーのインポートの使用 , 225
ユーザーの管理 , 272
ユーザーの削除 , 423, 426
変更リクエスト , 417
ユーザーの終了 , 274
変数
通知 , 126
ユーザーの無効化 , 273
ポリシー
評価 , 390
ユーザープロファイルの変更 , 279
ポリシーの評価 , 432
ユーザーの有効化 , 273
要件
サービスメンバーシップ , 402
保留中のリクエストの承認または否認 , 330
保留中のリクエストの否認 , 330
ら行
保留中のリクエストの変更 , 326
リクエストステータス , 317, 439
タスクの概要 , 31
ま行
リソース
管理 , 64
コピー , 96
削除 , 100
システムリソースの管理 , 67
信頼できる , 65
属性のマッピング , 111
タスクの概要 , 25
追加 , 68
配布 , 67
変更 , 82
マッピングファイル , 26, 72, 73, 101
マッピングファイルの確認 , 72
や行
ユーザー , 5, 405
タスクの概要 , 30
ユーザーアイコン , 47
ユーザー検索 , 263
ユーザーステータスの依存関係 , 356
ユーザーのインポート , 215
サービスの割り当てのスケジュール設定 ,
234
ジョブステータスの表示 , 225
630
リソースアカウント
表示 , 310
リソースアカウントの表示 , 310
リソースアクセス情報
変更 , 84
リソース管理 , 5
リソース情報
変更 , 83
表示 , 373
標準 , 378
変更 , 371
ルールの作成 , 355
リソース属性
マッピング , 74
ルールテンプレート , 369
リソース属性のマッピング
変更 , 91
ルールテンプレートによる新規ルールの作成 ,
369
リソースのキャッシング , 93
レポート , 449
印刷 , 467
監査レポート , 449
監査レポートの生成例 , 451
削除 , 473
手動による調整レポートの生成 , 430
スケジュール設定 , 461
設定レポートの生成例 , 457
タスクの概要 , 32
編集 , 463
レポート構成の保存 , 463
リソースのキャッシングポリシーの変更 , 93
リソースのコピー , 96
リソースの使用権のキャッシングポリシー ,
80
リソースの調整ポリシー
設定 , 75
変更 , 86
リソースの調整ポリシーの変更 , 86
リソースの配布 , 67
リソースのマッピング , 111
レポートの削除 , 473
リソース名 , 404
レポートのスケジュール
変更 , 465
リソースレベル
ユーザーの調整ポリシー , 390
レポートのスケジュールの変更 , 465
ルール , 5
DTD の概要 , 357
DTD ルール定義 , 360
XML の構成単位 , 358
管理 , 367
コピー , 371
削除 , 374
サンプルルール , 377, 379, 384
タスクの概要 , 32
調整 , 401
調整ルールの作成 , 357
追加 , 368
トラブルシューティング , 374
レポートポリシー , 82
ポーリング有効 , 77
ロール
委任
管理者ロールの委任 , 52
エンドユーザー , 40
管理 , 40
管理者 , 40, 53, 54
権限 , 43, 49
権限の変更 , 49
作成 , 40, 41
システム管理者 , 40
承認者 , 40
631
デフォルト , 39
変更 , 47, 48
わ行
ワークフローエンジン , 5
ワークフローテンプレート
OVSI との統合 , 260
外部コールの作成 , 252
概要 , 259
ワークフローの外部コール , 250
LoadUserServices 外部コール , 250
ワークフローの承認 , 324
632