Sun Java™ System Identity Manager 7.1 Update 1 リリースノート

ここでは、Identity Manager 7.1 マニュアルセットが発行されたあとに必要となった新しい情報と修正情報を記載しています。この情報は、次のように構成されています。

Identity Manager インストール

ここでは、『Sun Java^TM System Identity Manager インストール』に追加すべき情報とドキュメントの修正事項を記載しています。

第 1 章「インストールの前提条件」の「Java 仮想マシンと Java コンパイラの設定」の節の注記に次の情報を追加する必要があります (ID-17131)。

Exchange 5.5 リソースアダプタはサポートされていません。このアダプタについての記述は無視してください。

Identity Manager ソフトウェアのインストール後に server.policy ファイルを編集しないと Identity Manager が動作しないため、第 6 章「Sun ONE Application Server 7 用の Identity Manager のインストール手順」および第 7 章「Sun Java System Application Server 用の Identity Manager のインストール手順」が変更されました。したがって、次の順序でインストール手順を実行する必要があります (ID-16600)。

手順 1: Sun ONE Application Server ソフトウェアをインストールします

手順 2: Identity Manager ソフトウェアをインストールします

手順 3: server.policy ファイルを編集します

手順 4: Identity Manager を Sun ONE Application Server に配備します

手順 5: Sun Identity Manager Gateway をインストールします

第 1 章「インストールの前提条件」の「サポートされているソフトウェアと環境」の節から特定のバージョン番号を削除し、次の注記を追加する必要があります (ID-16687)。



注	ソフトウェア製品の開発元はソフトウェアの新しいバージョン、更新、および修正を頻繁に出荷するため、Identity Manager でサポートされるソフトウェアと環境のバージョンも頻繁に変更されます。インストールに進む前に、『Identity Manager リリースノート』の「サポートされているソフトウェアと環境」の節を確認してください。

Identity Manager Upgrade

ここでは、『Sun Java^TM System Identity Manager Upgrade』に追加すべき情報とドキュメントの修正事項を記載しています。

アップグレードの前に、Identity Manager がインストールされているディレクトリと、Identity Manager が使用しているデータベースの両方をバックアップすることが重要です。サードパーティーのバックアップソフトウェアまたはシステムに付属のバックアップユーティリティーを使用して、Identity Manager ファイルシステムをバックアップします。データベースをバックアップする際は、推奨されるバックアップ手順についてデータベースのマニュアルを参照してください (ID-2810)。

AD Active Sync リソースは非推奨になり、AD リソースによって置き換えられました。AD Active Sync を新しいリリースに移行するには、次の手順を実行します (ID-11363)。

コマンド行またはデバッグページから、既存の AD Active Sync リソースオブジェクトを xml ファイルにエクスポートします。

既存のリソースを削除します。これは、Identity Manager ユーザーまたはリソースアカウントユーザーには影響しません。

新しく AD リソースを作成します

この新しいリソースオブジェクトを XML ファイルにエクスポートします。

このファイルを編集し、アイデンティティー属性および name 属性の値を、手順 1 で保存した古いリソースオブジェクトの値と一致するように変更します。これらの属性は <Resource id='idnumber' name='AD' ...> タグにあります。

変更をファイルに保存します。

「設定」の「交換ファイルのインポート」ページまたはコマンド行を使用して、変更したオブジェクトをふたたび Identity Manager にインポートします。

「その他のカスタムリポジトリオブジェクト」の節が更新され、Identity Manager のスナップショット機能を使用して、配備内のカスタマイズ済みリポジトリオブジェクトのベースラインまたは「スナップショット」を作成する手順が追加されました (ID-14840)。

その他のカスタムリポジトリオブジェクト

作成または更新したその他のカスタムリポジトリオブジェクトの名前を記録します。これらのオブジェクトを現在のインストールからエクスポートし、アップグレード後に Identity Manager の新しいバージョンに再インポートしなければならない場合があります。

管理グループ

管理者ロール

設定

ポリシー

プロビジョニングタスク

Remedy 設定

リソースフォーム

ロール

規則

タスク定義

タスクテンプレート

ユーザーフォーム

Identity Manager のスナップショット機能を使用して、配備内のカスタマイズ済みリポジトリオブジェクトのベースラインまたは「スナップショット」を作成できます。これは、アップグレードの計画時に非常に便利な場合があります。

スナップショットは、比較目的で、次の特定のオブジェクトタイプをシステムからコピーします。

AdminGroup

AdminRole

Configuration

EmailTemplate

Policy

ProvisionTask

RemedyConfig

ResourceAction

Resourceform

Role

Rule

TaskDefinition

TaskTemplate

UserForm

その後、2 つのスナップショットを比較し、アップグレードの前後で特定のシステムオブジェクトにどのような変更が行われたかを特定できます。


注	この機能は、詳細かつ継続的な XML 差分比較のために設計されたものではなく、簡単な初期チェックを目的とした比較のための最小限のツールにすぎません。

Identity Manager の「デバッグ」ページ (図 1) から、「Snapshot」ボタンをクリックして「SnapShot Management」ページを表示します。

図 1
「SnapShot Management」ページ
「SnapShot Management」ページの例

「Create」テキストボックスにスナップショットの名前を入力して「Create」ボタンをクリックします。

Identity Manager がスナップショットを追加すると、スナップショットの名前が「Compare」メニューリストおよび「Export」ラベルの右側に表示されます。

2 つのスナップショットを比較する手順は、次のとおりです。

2 つの「Compare」メニューのそれぞれからスナップショットを選択します (図 2)。

図 2
「SnapShot Management」ページ
それぞれの「Compare」メニューリストからスナップショット名を選択します。

「Compare」ボタンをクリックします。

オブジェクトの変更がない場合、差分が見つからなかったことがページに示されます。

オブジェクトの変更が見つかった場合、ページにはオブジェクトのタイプと名前に加えて、オブジェクトが差分、不在、存在のどの状態であるかが表示されます。

たとえば、オブジェクトが baseline_1 には存在するが baseline_2 には存在しない場合、「baseline_1」列は「Present」を、「baseline_2」列は「Absent」を示します。

スナップショットを XML 形式でエクスポートできます。スナップショット名をクリックしてスナップショットファイルをエクスポートします。

スナップショットを削除するには、「Delete」メニューからスナップショットを選択して「Delete」ボタンをクリックします。

「Modified JSPs」の節に次の段落が追加されました。この段落では、inventory -m コマンドを使用して、配備内の変更済み JSP を識別する方法についての情報を示しています (ID-14840)。

6.x インストールからバージョン 7.0 または 7.1 にアップグレードしており、新しい Identity Manager エンドユーザーページの使用を開始したい場合、水平ナビゲーションバーを表示させるためには、システム設定 ui.web.user.showMenu を true に手動で変更する必要があります (ID-14901)。

LocalFiles をリポジトリに使用している環境で、6.0 または 7.0 からバージョン 7.1 にアップグレードするには、アップグレードの前にすべてのデータをエクスポートし、7.1 のクリーンインストールを実行したあとにデータを再インポートする必要があります (ID-15366)。

6.0 または 7.0 からバージョン 7.1 へのアップグレードには、データベーススキーマのアップグレードが必要です (ID-15392)。

6.0 から 7.1 にアップグレードしている場合、使用している RDBMS の種類に適した upgradeto71.* スクリプトを使用する必要があります。

7.0 から 7.1 にアップグレードしている場合、使用している RDBMS の種類に適した upgradeto71from70.* スクリプトを使用する必要があります。

アップグレードプロセスの間、Identity Manager はシステム上のすべてのロールを分析し、RoleUpdater クラスを使用して、見つからないすべてのサブロールリンクおよびスーパーロールリンクを更新します (ID-15734)。

アップグレードプロセスの外部でロールを確認およびアップグレードするには、sample/forms/RoleUpdater.xml で提供される新しい RoleUpdater 設定オブジェクトをインポートします。次に例を示します。

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Waveset PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Waveset>
   <ImportCommand class='com.waveset.session.RoleUpdater' >
      <Map>
         <MapEntry key='verbose' value='true' />
         <MapEntry key='noupdate' value='false' />
         <MapEntry key='nofixsubrolelinks' value='false' />
   v</Map>
   </ImportCommand>
</Waveset>

各部の意味は次のとおりです。

verbose: ロールの更新時に詳細な情報を出力します。ロールのサイレント更新を有効にするには、false を指定します。

noupdate: ロールが更新されるかどうかを決定します。更新されるロールの一覧のみをレポートに出力するには、false を指定します。

nofixsubrolelinks: 見つからないサブロールリンクでスーパーロールを更新するかどうかを決定します。この値はデフォルトで false に設定されており、リンクは修復されます。

Identity Manager インストールディレクトリのパスに空白文字が含まれる場合、次の例に示すように、WSHOME 環境変数を二重引用符 (") を使用せずに指定する必要があります (ID-15470)。



注	パスに空白文字が含まれない場合でも、パスを指定するときは最後の円記号 (\) を使用しないでください。

Identity Manager 管理ガイド

ここでは、『Sun Java^TM System Identity Manager Administration』に追加すべき情報とドキュメントの修正事項を記載しています。

第 2 章:「Identity Manager 入門」

「ユーザー ID を忘れた場合」の節では、Identity Manager へのログインページにある「ユーザー ID をお忘れですか ?」ボタンを使用して、忘れたユーザー ID を取得する方法が説明されています。ただし、Identity Manager を以前のバージョンからバージョン 7.1 Update 1 にアップグレードする場合、「ユーザー ID をお忘れですか ?」機能はデフォルトで無効になります (ID-16715)。

第 3 章:「ユーザーとアカウントの管理」

「ユーザーの無効化 (ユーザーアクション、組織アクション)」の節で、注記を修正する必要があります。



注	割り当てられたリソースがアカウント無効化をネイティブにサポートしないがパスワード変更はサポートする場合、ランダムに生成される新しいパスワードの割り当てによってそのリソース上のユーザーアカウントを無効化するように Identity Manager を設定できます。この設定を行うには、リソースウィザードの「アイデンティティーシステムのパラメータ」ページを使用して、リソースの「無効化」および「パスワード」アカウント機能を有効にする必要があります。詳細は、第 4 章「設定」を参照してください。

「ユーザーの有効化 (ユーザーアクション、組織アクション)」の節で、次の注記を追加する必要があります。



注	割り当てられたリソースがアカウント有効化をネイティブにサポートしないが、パスワード変更はサポートする場合、パスワードのリセットによってそのリソース上のユーザーアカウントを有効化するように Identity Manager を設定できます。この設定を行うには、リソースウィザードの「アイデンティティーシステムのパラメータ」ページを使用して、リソースの「有効化」および「パスワード」アカウント機能を有効にする必要があります。詳細は、第 4 章「設定」を参照してください。

「ユーザー認証」の節に、秘密の質問のポリシーに関する説明を追加する必要があります。

秘密の質問のポリシーは、ユーザーがログインページの「パスワードを忘れた場合」ボタンをクリックしたとき、または「自分の秘密の質問の回答の変更」ページにアクセスしたきに行われる処理を決定します。次の表に各オプションを示します。

表 3
秘密の質問のポリシーのオプション
オプション	説明
ラウンドロビン	Identity Manager は、設定されている質問のリストから次の質問を選択し、この質問をユーザーに割り当てます。最初のユーザーには秘密の質問のリストから最初の質問が割り当てられ、2 番目のユーザーには 2 番目の質問が割り当てられます。質問の数を超えるまでこのパターンが続きます。最後の質問が割り当てられると、次のユーザーには最初の質問が割り当てられます。たとえば、10 個の質問がある場合、11 番目と 21 番目のユーザーには最初の質問が割り当てられます。選択された 1 つの質問だけが表示されます。ユーザーに毎回異なる質問に回答させるには、「ランダム」ポリシーを使用し、質問の数を 1 に設定します。このオプションでは、ユーザーが自分の秘密の質問を定義することはできません。
ランダム	このオプションでは、ユーザーが回答しなければならない質問の数を、管理者が指定できます。Identity Manager は、ポリシーに定義されている質問とユーザーによって定義された質問のリストから、指定された数の質問を選択して表示します。ユーザーは、表示されるすべての質問に回答する必要があります。
いずれか	Identity Manager は、ポリシーに定義されている質問とユーザーによって定義された質問をすべて表示します。管理者は、ユーザーが回答しなければならない質問の数を指定する必要があります。
すべて	ユーザーは、ポリシーで定義されている質問とユーザーによって定義された質問にすべて回答する必要があります。

第 5 章:「管理」

「作業項目の委任」の節で、次の注記を追加する必要があります。



注	委任を設定したあとは、有効な委任期間中に作成されたすべての作業項目が、自分のリストおよび委任先のリストに追加されます。委任を終了すると、委任された作業項目が復元されます。この結果、作業項目の重複が発生する場合があります。作業項目を承認または却下すると、重複した項目は自分のリストから自動的に削除されます。

「作業項目の管理」の節で、次の情報を追加する必要があります。

削除済みユーザーへの委任

「Identity Manager 機能の説明」の表に End User Administrator 機能が追加されました。この機能を割り当てられたすべてのユーザーは、エンドユーザーの管理する組織の規則の内容に加えて、エンドユーザーの機能で指定されたオブジェクトタイプに対する権限を表示および変更できます。デフォルトでは、この機能は Configurator に割り当てられます。

「Scope of Control」の節に次の情報を追加する必要があります (17187)。

Identity Manager では、どのユーザーをエンドユーザーの制御の範囲に含めるかを制御できます。

EndUserControlledOrganizations 規則を使用して、委任先として適切な一連のユーザーを確保するために必要な論理を、組織の必要に基づいて定義できます。

管理者が管理者インタフェースとエンドユーザーインタフェースのどちらにログインしているかにかかわらず、管理者に対して含まれるユーザーのリストを同様にするには、EndUserControlledOrganizations 規則を次のように変更する必要があります。

認証ユーザーが管理者かどうかを最初に確認するように規則を変更し、次の設定を行います。

ユーザーが管理者でない場合は、ユーザー自身の組織などエンドユーザーによって制御されるべき組織のセットを返します (例: waveset.organization)。

ユーザーが管理者の場合は、ユーザーが管理者として自分に割り当てられている組織だけを制御するようにするために、どの組織も返しません。

次に例を示します。

<Rule protectedFromDelete='true'

authType='EndUserControlledOrganizationsRule'

id='#ID#End User Controlled Organizations'

name='End User Controlled Organizations'>

ログインするユーザーが IDM 管理者でない場合は

ユーザーがメンバーとして所属している組織を返します。

それ以外の場合は null を返します。

</Comments>

<cond>

<and>

<isnull><ref>waveset.adminRoles</ref></isnull>

<isnull><ref>waveset.capabilities</ref></isnull>

<isnull><ref>waveset.controlledOrganizations</ref></isnull>

</and>

<ref>waveset.organization</ref>

</cond>

</MemberObjectGroups>

</Rule>

「機能とその管理について」の節に次の情報を追加する必要があります (ID-14630、15614)。

Identity Manager には End User という名前の組み込みオブジェクトグループ/組織が用意されています。最初、このオブジェクトグループ/組織にはメンバーオブジェクトがありません。End User オブジェクトグループ/組織は、すべてのユーザーに暗黙的に割り当てられ、ユーザーがタスク、規則、ロール、リソースなどのいくつかのオブジェクトタイプを表示できるようにします。

以前は、ユーザーがエンドユーザーインタフェースにログインするとき、ユーザーには自動的に、EndUser 機能で指定されたオブジェクトタイプ (AdminRole、EndUserConfig、EndUserTask など) に対する権限が付与されていました。現在では、ユーザーがエンドユーザーインタフェースにログインすると、Identity Manager は、新しい EndUser オブジェクトグループの制御もユーザーに自動的に割り当てます。また、Identity Manager は、新しい組み込みのエンドユーザーの管理する組織規則を評価します。この規則によってオブジェクトグループ/組織名が返される場合、それらも自動的に、エンドユーザーインタフェースにログインするユーザーによって制御されます。

認証ユーザーのビューは、エンドユーザーの管理する組織規則への入力引数となります。Identity Manager は、この規則から、エンドユーザーインタフェースにログインするユーザーが制御する 1 つの組織 (文字列) または複数の組織 (リスト) が返されると想定しています。ユーザーがこれらの新しいオブジェクトを管理できるように、新しいエンドユーザー管理者機能が追加されました。エンドユーザー管理者機能を割り当てられたユーザーは、EndUser 機能で指定されたオブジェクトタイプ、および、エンドユーザーの管理する組織規則の内容に対する権限を表示および変更できます。

エンドユーザー管理者機能はデフォルトで Configurator に割り当てられます。エンドユーザーの管理する組織規則の評価によって返されるリスト (組織) に対する変更はすべて、ログインしているユーザーに対して動的には反映されません。これらのユーザーが変更を確認するには、ログアウトして再度ログインする必要があります。

エンドユーザーの管理する組織規則から無効な組織 (Identity Manager に存在しない組織など) が返された場合、その問題はシステムログに記録されます。管理者ユーザーインタフェースにログインして規則を修正することにより、この問題を修正できます。

End User オブジェクトグループ/組織は Top のメンバーであり、子組織を持つことはできません。このオブジェクトグループ/組織は、管理者ユーザーインタフェースの「アカウント」タブのツリーテーブルには表示されません。ただし、Roles、AdminRoles、Resources、Policy、Tasks などのオブジェクトを編集しているときは、管理者ユーザーインタフェースを使用して、任意のオブジェクトを End User オブジェクトグループ/組織に対して利用可能にすることができます。

Roles、Resources、Tasks などの Identity Manager 設定オブジェクトへのアクセスをエンドユーザーに付与するための最良の方法として、(End User Tasks、End User Resources、System Configuration:EndUserAccess、および End User の各 authType を使用する代わりに) この新しいオブジェクトグループ/組織を使用してください。ただし、End User Tasks、End User Resources、System Configuration:EndUserAccess、および End User の各 authType を使用する方法は、下位互換性のために引き続きサポートされます。

第 8 章:「タスクテンプレート」

この章の「「監査」タブの設定」の節に、次の情報を追加する必要があります (ID-16797)。

監査属性レポートは、Identity Manager のユーザーおよびアカウントに対する属性レベルの変更を報告できます。ただし、標準の監査ログでは、完全なクエリー式をサポートできる十分な監査ログデータは生成されません。

標準の監査ログでは、変更された属性が監査ログの acctAttrChanges フィールドに書き込まれますが、その書き込み方法のため、レポートクエリーでは変更された属性の名前に基づくレコード検索だけを行うことができます。レポートクエリーで属性の値を正確に照合することはできません。

このレポートで属性 lastname に対する変更を含んでいるレコードを検索するには、次のパラメータを指定します。

属性名 = 'acctAttrChanges'

条件 = 'が次の文字列を含む'

値 = 'lastname'



注	データが acctAttrChanges フィールドに格納される方法のため、Condition='contains' を使用する必要があります。このフィールドは複数値ではありません。基本的には、変更されたすべての属性の変更前と変更後の値を attrname=value という形式で格納するデータ構造です。したがって、前述の設定を使用すると、lastname=xxx というすべてのインスタンスをレポートクエリーで検索できます。

特定の属性と値を持つ監査レコードだけを取得することもできますが、追加の設定が必要になります。次の手順を使用します。

Identity Manager 管理者インタフェースを開いてログインします。

http://server-name:port/idm

「サーバータスク」タブを選択します。

「タスクの設定」タブを選択します。

たとえば、「Update User Template」をクリックします。

「監査」タブを選択します。

ユーザーの更新が発生したときに監査を実行する、選択したタスクの「監査の管理」が表示されます。

「ワークフロー全体の監査」ボックスを選択して、ワークフロー監査機能を有効にします。

レポート用に記録する属性を選択するために、「属性の監査」セクションにある「属性の追加」ボタンをクリックします。

「属性の監査」テーブルに「属性の選択」メニューが表示されたら、リストから属性を選択します。たとえば、ドロップダウンメニューから user.global.email を選択します。

「保存」をクリックします。

次に、この設定を次の手順で有効にする必要があります。

「サーバータスク」>「タスクの設定」を選択します。

「Update User Template」の「有効化」ボタンをクリックします。

「選択したプロセスタイプ」リストのデフォルト値は変更しないでください。

この手順を実行すると、必要なログ情報がワークフローエンジンによって実際に生成されます。

「保存」を再度クリックします。

ワークフローでは、属性名と値の両方の照合に適した監査レコードを提供できるようになりました。このレベルの監査を有効にすると、提供される情報は大幅に増えますが、パフォーマンスコストがかなり高く、ワークフローの実行が低速になることに注意してください。

第 11 章:「アイデンティティー監査」

継続的コンプライアンス

現在この節では、ユーザーに対して実行されるプロビジョニング操作によって、ユーザーに割り当てられたポリシーと組織に割り当てられたポリシーの両方が評価されると記述されています。この記述を次のように修正する必要があります (ID-17416)。

継続的コンプライアンスでは、現在のポリシーに準拠しない方法でアカウントを修正できないなど、すべてのプロビジョニング操作に監査ポリシーが適用されます。

継続的コンプライアンスを有効にするには、組織またはユーザー、あるいはその両方に監査ポリシーを割り当てます。ユーザーに対して実行されるすべてのプロビジョニング操作では、ユーザーに割り当てられたポリシーが評価されます。ポリシー評価の結果、違反が検出されると、プロビジョニング操作が中断されます。

Auditor 機能の制限の解決

デフォルトでは、監査タスクを実行するために必要な機能は Top 組織 (オブジェクトグループ) に含まれています。結果として、Top を制御する管理者だけが、これらの機能をほかの管理者に割り当てることができます。

別の組織に機能を追加することによって、この制限を解決できます。Identity Manager では、sample/scripts ディレクトリに、このタスクを支援する 2 つのユーティリティーが用意されています。

次のコマンドを実行して、すべての機能 (AdminGroup) と、各機能に関連付けられた組織 (オブジェクトグループ) を一覧表示します。

beanshell.sh objectGroupUpdate.bsh -u configurator -p configurator -h host:port -type AdminGroup -action list -csv

このコマンドを用いて、コンマ区切り値 (CSV) データをファイルへとリダイレクト出力させます。

CSV ファイルを編集して、各機能の組織の位置を必要に応じて調整します。

次のコマンドを実行して、Identity Manager を更新します。

beanshell objectGroupUpdate.bsh -u configurator -p configurator -data CSVFileName -action add -groups NewObjectGroup

規則の追加

この節に次の注記を追加する必要があります (ID-16604、16831)。

規則式の作成

この節の注記を次のように変更する必要があります (ID-16604、16831)。

第 13 章:「Service Provider Administrator」

「同期の設定」の節には、Service Provider 同期タスクのデフォルトの同期間隔が 1 分であると記載すべきです。

章全体

章のフッターに記載されているリリース名を 7.0 ではなく 7.1 に修正する必要があります (ID-16968)。


注	Identity Manager では、入れ子になった規則の制御はサポートされません。また、監査ポリシーウィザードを使用して入れ子のブール式を含むポリシーを作成すると、予期しない結果になる可能性があります。複雑な規則式の場合は、XML エディタを使用して個別の XPRESS 規則を作成し、使用するすべての規則を参照するようにします。


注	Identity Manager では、入れ子になった規則の制御はサポートされません。また、監査ポリシーウィザードを使用して入れ子のブール式を含むポリシーを作成すると、予期しない結果になる可能性があります。複雑な規則式の場合は、XML エディタを使用して個別の XPRESS 規則を作成し、使用するすべての規則を参照するようにします。

Identity Manager リソースリファレンス

ここでは、『Sun Java^TM System Identity Manager Resources Reference』に追加すべき情報とドキュメントの修正事項を記載しています。

全般

Exchange 5.5 リソースアダプタはサポートされていません。このアダプタについての記述は無視してください。

Active Directory

Active Directory リソースアダプタのドキュメントに、次の情報を追加する必要があります。

パススルー認証用のドメインの指定

デフォルト設定では、パススルー認証はユーザー ID とパスワードのみを送信することによって実現されます。これら 2 つの属性は、リソースオブジェクトの XML の AuthnProperties 要素で w2k_user および w2k_password として設定されます。ドメインが指定されていない場合、ゲートウェイは既知のドメインをすべて検索し、ユーザーを含んでいるドメインでユーザーを認証しようとします。

信頼できる複数ドメイン環境では、次の 2 つの状況が考えられます。

すべてのドメインで、ユーザーとパスワードの組み合わせが同期されている

ユーザーとパスワードの組み合わせがドメインによって異なる

ユーザーとパスワードの組み合わせが同期されている場合は、Active Directory リソースを共通リソースとして設定します。共通リソースの設定方法の詳細は、『Identity Manager Administration』を参照してください。

ユーザーとパスワードの組み合わせがドメインによって異なる場合で、ユーザーがドメイン情報を知っていると想定できるときは、ユーザーがログイン画面でドメイン情報を入力できるようにします。このオプションは共通リソースと組み合わせて使用できます。

ユーザーがログインページでドメインを入力できるようにするには、リソースオブジェクトの XML の <AuthnProperties> 要素に次のプロパティーを追加します。

複数の信頼できるドメインおよび Active Directory フォレストから成る環境では、グローバルカタログにクロスフォレスト情報が含まれていないため、これらの設定のいずれかを使用すると認証が失敗する可能性があります。ドメインの数がロックアウトのしきい値より多い場合は、ユーザーが間違ったパスワードを指定すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。

複数のフォレストにまたがるユーザー管理が可能になるのは、各フォレストに 1 つずつ複数のゲートウェイが配備されている場合のみです。この場合は、ユーザーにドメインの指定を要求することなく、アダプタごとの認証に定義済みドメインを使用するようにアダプタを設定できます。そのためには、リソースオブジェクトの XML の <AuthnProperties> 要素に次の認証プロパティーを追加します。

MyDomainName は、ユーザーを認証するドメインで置き換えてください。

ユーザーがドメインに存在している場合で、パスワードが同期されていないときは、ドメインでログイン失敗が発生します。

1 つのログインモジュールグループでドメイン情報のデータソースを複数使用することはできません。

修正

Active Directory のドキュメントで、このガイドの「ACL リストの管理」の手順説明に、次の誤った記述が含まれています (ID-16476)。

データベーステーブル

Database Table アダプタのドキュメントで、「最後にフェッチされた述語」の例が正しくありません。正しい定義は次のとおりです。

Flat File Active Sync

Flat File Active Sync アダプタに関して、Waveset.properties ファイル内の sources.hosts プロパティーの設定を説明しています。現在では、この設定には同期ポリシーを使用することが推奨されています。

ゲートウェイアダプタ

Domino Gateway、Active Directory、Novell NetWare などのゲートウェイアダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトし、ハングアップしたと見なされるまでの時間を制御します。

この属性は、次のようにリソースオブジェクトに手動で追加する必要があります。

この属性のデフォルト値は 0 で、Identity Manager が接続のハングアップをチェックしないことを意味します。

メインフレームアダプタ

ACF2、Natural、RACF、RACF-LDAP、スクリプトホスト、および Top Secret の各アダプタに関する「Identity Manager 上で設定する際の注意事項」の節に、手順が 1 つ欠落しています。手順 3 のあとに次の手順を追加してください。

4. Attachmate ライブラリを WebSphere Application Server にインストールする場合は、WebSphere/AppServer/configuration/config.ini ファイルにプロパティー com.wrq.profile.dir=LibraryDirectory を追加します。

これにより、Attachmate コードはライセンスファイルを見つけることができます。

Microsoft SQL Server

「使用上の注意」の節に、次の情報を追加する必要があります。

SQL Server サーバーインスタンスと同じ Windows セキュリティー/認証フレームワークに含まれている Windows マシンで Identity Manager サーバーが稼働している場合、SQL Server リソースアダプタの Windows 認証モードは Microsoft SQL Server アダプタ上でのみ設定できます。

JDBC ドライバは、integratedSecurity 接続文字列プロパティーを介して、Windows オペレーティングシステムでの Type 2 統合認証の使用をサポートします。統合認証を使用するには、JDBC ドライバがインストールされているコンピュータの Windows システムパス上のディレクトリに sqljdbc_auth.dll ファイルをコピーします。

sqljdbc_auth.dll ファイルは次の場所にインストールされています。

32 ビットプロセッサでは、x86 フォルダ内の sqljdbc_auth.dll ファイルを使用します。64 ビットプロセッサでは、x64 フォルダ内の sqljdbc_auth.dll ファイルを使用します。

NetWare

NDS アダプタでの GroupWise のサポートが改善されました。

アダプタが二次ドメイン内のポストオフィスを管理できるようになりました。

GroupWise ユーザーは、あらゆる既知の配布リストに登録できます。

「削除パターン」を指定することなくポストオフィスを削除できます。

NetWare アダプタのドキュメントで、Login Script、NRD:Registry Data、および NRD:Registry Index の各属性はサポートされていないという記述がありますが、これは誤りです。これらの属性はサポートされています (ID-16813)。

Oracle

Oracle アダプタのドキュメントの、oracleTempTSQuota アカウント属性の説明は、正しくは次のとおりです (ID-12843)。

Oracle ERP

臨時雇用者をサポートするために、Oracle ERP アダプタに npw_number アカウント属性が追加されました (ID-16507)。


リソースユーザー属性	データ型	説明
npw_number	string	臨時雇用者番号。per_people_f テーブルの npw_number を表します。 create で値を入力すると、アダプタは per_people_f テーブルでユーザーレコードを検索し、person_id を取得して create API に渡し、fnd_user テーブルの employee_id 列に person_id を挿入します。 create で npw_number を入力しなかった場合、リンクは行われません。 create で npw_number を入力し、その番号が見つからない場合、アダプタは例外をスローします。 npw_number がアダプタのスキーマにある場合、アダプタは、getUser で npw_number を返そうとします。注: employee_number 属性と npw_number 属性は相互に排他的です。create で両方を入力した場合は、employee_number が優先されます。

Oracle ERP アダプタは Oracle E-Business Suite (EBS) version 12 をサポートしています。『Identity Manager Resources Reference』では、インストールされている ERP のバージョンに応じて OracleERPUserForm のセクションを編集またはコメントアウトするように説明されていますが、その必要はなくなりました (16705, 16713)

Remedy

複数の Remedy API ライブラリを、ゲートウェイがインストールされているディレクトリに置く必要があります。これらのライブラリは、Remedy サーバー上で見つけることができます。

SAP

全般

「Identity Manager 上で設定する際の注意事項」の手順 1 の注記が不明確です。次のような表現に変更する必要があります。

アカウントの名前の変更

SAP アダプタで、アカウントの名前の変更がサポートされるようになりました。アダプタは、既存のアカウントを新しいアカウントにコピーし、元のアカウントを削除することによって、この機能を実行します。SAP はアカウントの名前の変更を推奨していませんが、オプションをユーザー管理アプリケーションで提供しています (SAP GUI のトランザクション SU01)。したがって、Identity Manager でもこのオプションがサポートされます。SAP では今後のリリースで名前の変更機能がサポートされなくなる可能性があるので注意してください。

SAP GUI は、非公開 API および SAP カーネルにアクセスできるため、異なる方法を使用して名前の変更を実行します。アダプタが名前の変更操作を実行する手順の概要を次に示します。

表 4
Remedy API ライブラリ
Remedy 4.x および 5.x	Remedy 6.3	Remedy 7.0
arapiXX.dll arrpcXX.dll arutlXX.dll ここで、XX は Remedy のバージョンと一致します。たとえば、Remedy 4.5 では arapi45.dll となります。	arapi63.dll arrpc63.dll arutl63.dll icudt20.dll icuin20.dll icuuc20.dll	arapi70.dll arrpc70.dll arutl70.dll icudt32.dll icuin32.dll icuuc32.dll


注	ダウンロードする JCo ツールキットが、アプリケーションサーバーの稼働している Java のビットバージョンに一致していることを確認してください。たとえば、Solaris x86 プラットフォームでは 64 ビットバージョンの JCo のみが使用可能です。したがって、Solaris x86 プラットフォームでは、アプリケーションサーバーが 64 ビットバージョンで稼働している必要があります。

既存のユーザーのユーザー情報を取得します。

ALIAS 属性が存在している場合は、それを保存します。

新しいユーザーを作成します。

新しいユーザーにアクティビティーグループを設定します (CUA モードの場合は、元のユーザーのアクティビティーグループを取得する)。

新しいユーザーにプロファイルを設定します (CUA モードの場合は、元のユーザーのプロファイルを取得する)。

元のユーザーの個別設定データを取得します。

新しいユーザーの個別設定データを取得します。

元のユーザーを削除します。

元のユーザーにエイリアスが設定されていた場合は、新しいユーザーにエイリアスを設定します。

手順 1 ～ 3 でエラーが発生した場合、操作はただちに失敗します。手順 4 ～ 7 でエラーが発生した場合、新しいユーザーは削除され、操作全体が失敗します (新しいユーザーを削除できない場合は、WavesetResult に警告が置かれる)。手順 8 ～ 9 でエラーが発生した場合、WavesetResult に警告が追加されますが、操作は成功します。

名前の変更操作では、新しいユーザーに新しいパスワードを設定する必要があります。そのためのもっとも簡単な方法は、「ユーザーパスワードの変更」タスクを呼び出すように「ユーザーの名前変更」タスクをカスタマイズすることです。

Sun Java System Access Manager

Sun Java System Access Manager のドキュメントで、「Policy Agent」の節で説明されている手順は古くなっています。代わりに、次の手順を使用します。

Identity Manager 管理者インタフェースのメニューバーで、「セキュリティー」を選択します。

「ログイン」タブをクリックします。

ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。

変更するログインモジュールを選択します。たとえば、「アイデンティティーシステムのデフォルトの ID/パスワードログインモジュールグループ」を選択します。

「ログインモジュールの割り当て」選択ボックスで、「Sun Access Manager ログインモジュール」または「Sun Access Manager レルムログインモジュール」を選択します。

「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、適切なリソースを選択します。

「ログインモジュールの修正」ページが表示されたら、表示されているフィールドを必要に応じて編集し、「保存」をクリックします。「ログインモジュールグループの修正」が再度表示されます。

「Sun Access Manager ログインモジュール」をモジュールグループの最初のリソースとして指定し、「保存」をクリックします。

「Sun Java System Access Manager レルムリソースアダプタ」という見出しの下に記載されている手順に、手順が 1 つ欠落しています。amclientsdk.jar ファイルを InstallDir/WEB-INF/lib ディレクトリにコピーしたあと (手順 4)、Identity Manager のアプリケーションサーバーを再起動する必要があります。

Policy Agent 2.1 という参照は Policy Agent 2.2 に変更する必要があります。

Sun Java System Access Manager レルム

『Identity Manager Resources Reference』には古いリンクが含まれています。代わりに、次のリンクを使用します。

Policy Agent のダウンロード: http://wwws.sun.com/software/download/inter_ecom.html#dirserv

Policy Agent のマニュアル: http://docs.sun.com/app/docs/coll/1322.1

「Identity Manager 上で設定する際の注意事項」の節で、「Sun Java System Access Manager レルムリソースアダプタ」の設定の手順を次のように更新する必要があります。

『Sun Java^TM System Access Manager 7 2005Q4 Developer's Guide』に記載された手順に従って、Sun Access Manager のインストールからクライアント SDK を構築します。

生成される war ファイルから AMConfig.properties ファイルと amclientsdk.jar ファイルを抽出します。

次のディレクトリに AMConfig.properties をコピーします。

InstallDir/WEB-INF/classes

次のディレクトリに amclientsdk.jar をコピーします。

InstallDir/WEB-INF/lib

サーバークラスパスに amclientsdk.jar ファイルを追加します。

Identity Manager アプリケーションサーバーを再起動します。

ファイルのコピーが終了したら、Sun Java System Access Manager レルムリソースを Identity Manager リソースリストに追加します。「管理するリソースの設定」ページの「カスタムリソース」セクションに次の値を追加します。

com.waveset.adapter.SunAccessManagerRealmResourceAdapter

「Policy Agent」の節で説明されている手順は古くなっています。代わりに、次の手順を使用します。

Identity Manager 管理者インタフェースのメニューバーで、「セキュリティー」を選択します。

「ログイン」タブをクリックします。

ページの下部にある「ログインモジュールグループの管理」ボタンをクリックします。

「ログインモジュールの割り当て」オプションの横に新しく「選択」オプションが表示されたら、適切なリソースを選択します。

「Sun Access Manager レルムログインモジュール」をモジュールグループの最初のリソースとして指定し、「保存」をクリックします。

UNIX アダプタ

AIX、HPUX、Solaris、および Linux アダプタのドキュメントでは、sudo を使用する場合は、アダプタが使用する各コマンドに NOPASSWORD オプションを指定する必要があると記述されていました。これは誤りです。

LDAP パスワードの同期

Identity Manager は、Directory Server 5.2 SP5 以降からの LDAP パスワード同期をサポートするようになりました。「パスワード同期の設定」ページに新しい「Directory Server のバージョン」フィールドが追加され、Directory Server インスタンスが 5.2 P4 以前のものか 5.2 P5 以降のものかを指定できるようになりました。

「手順 2: パスワード同期機能を有効にする」の手順の中で、番号の付いた手順 6 と 7 の間に、「Directory Server のバージョン」プルダウンメニューからオプションを選択するという新しい手順を 1 つ追加する必要があります。

「パスワードキャプチャープラグインのインストール」の節は、「パスワードキャプチャープラグインのインストールと設定」というタイトルに変更する必要があります。この節の最初の注記で、最初の文の末尾を「マスターレプリカごとにプラグインをインストールして設定してください」に変更する必要があります。

「パスワードキャプチャープラグインのインストールと設定」の節の最後に、次の段落と注記を追加する必要があります。


注	プラグイン設定に変更を加えた場合は、必ず Directory Server を再起動してください。

Identity Manager 配備に関する技術概要

ここでは、『Sun Java^TM System Identity Manager 配備に関する技術概要』に追加すべき情報とドキュメントの修正事項を記載しています。

CSS を使用して、ユーザーリストテーブルとリソースリストテーブルの列の幅を固定ピクセルやパーセンテージ値に設定できます。これを行うには、次のスタイルクラスを customStyle.css に追加します。このクラスはデフォルトではコメントアウトされています。その後、値をユーザーの要件に合うように編集できます。

th#UserListTreeContent_Col0 {
width: 1px;
}

th#UserListTreeContent_Col1 {
width: 1px;
}

th#UserListTreeContent_Col2 {
width: 50%;
}

th#UserListTreeContent_Col3 {
width: 50%;
}

th#ResourceListTreeContent_Col0 {
width: 1px;
}

th#ResourceListTreeContent_Col1 {
width: 1px;
}

th#ResourceListTreeContent_Col2 {
width: 33%;
}

th#ResourceListTreeContent_Col3 {
width: 33%;
}

th#ResourceListTreeContent_Col4 {
width: 33%;
}

また、列ヘッダーの右側の境界線をクリックしてドラッグし、表の列のサイズを変えることもできます。列ヘッダーの右側の境界線上にマウスを置くと、カーソルが水平のサイズ変更矢印に変わります。左クリックしてカーソルをドラッグすると、列のサイズが変更されます。マウスボタンを離すとサイズ変更が完了します。

エンドユーザーナビゲーションバー (タブ) で特定のカスタム JavaScript 関数を使用するには、endUserNavigation を使用してそのフォームを参照する必要があります。たとえば、document.forms['endUserNavigation'].elements とします (ID-13769)。

System Configuration オブジェクトに、記録する過去の委任の数を管理する security.delegation.historyLength 属性が追加されました。

アクセスレビューダッシュボードと Access Review Detail Report の両方に、監査ログで記録されたレビューのインスタンスが表示されます。データベースのメンテナンスをしないと、監査ログが削除されず、レビューのリストが大きくなります。Identity Manager では、表示されるレビューを特定の期間範囲に制限できます。この制限を変更するには、compliance/dashboard.jsp (ダッシュボードの場合) と sample/auditortasks.xml (詳細レポートの場合) をカスタマイズする必要があります。デフォルトは、2 年以内のレビューのみを表示します。

アクセスレビューダッシュボードに表示されるレビューを制限するには、compliance/dashboard.jsp を次のようにカスタマイズします。

Identity Manager IDE または選択したエディタで compliance/dashboard.jsp を開きます。

リストを過去半年に実行されたレビューに制限するには、form.setOption("maxAge", "2y"); 行を form.setOption("maxAge", "6M"); に変更します。修飾子は次のとおりです。

m - 分

h - 時間

d - 日

w - 週

M - 月

y - 年

監査ログに存在するレビューをすべて表示するには、この行をコメントアウトします。

アクセスレビュー詳細レポートに含まれるレビューを制限するには、次の手順に従います。

IDE または選択したエディタで sample/auditortasks.xml を開きます。

次のように行を変更します。

<s>maxAge</s>
<s>2y</s>

上記の行を次のように変更します。

<s>maxAge</s>
<s>6M</s>

これで、過去半年のレビューに制限されます。上記と同じ修飾子を適用します。

各定期的アクセスレビューには、レビューの実行時に作成された一連のユーザーエンタイトルメントレコードが含まれています。これらのレコードは、時間とともに蓄積され、アカウントについての重要な履歴情報を提供します。ただし、データベース領域を節約するには、一部のレコードの削除を検討してください。「サーバータスク」 > 「タスクの実行」 > 「アクセスレビューの削除」を実行するとレコードを削除できます。レビューを削除するとレビューが削除されたことを示す新しい監査ログエントリが追加され、そのレビューに関連するユーザーエンタイトルメントレコードをすべて削除します。これによってデータベース領域を節約できます。

第 5 章の「ログインページの背景画像を変更する」の節では、コードの 3 行目は、正しくは次のとおりです。

コード例 5-5 には、コード例 5-4 に表示されるはずの情報が含まれています。
コード例 5-4 は、正しくは次のとおりです。

コード例 5-4
ナビゲーションタブのカスタマイズ


/* LEVEL 1 TABS */
.TabLvl1Div {
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left bottom;
background-color:#333366;
padding:6px 10px 0px;
}
a.TabLvl1Lnk:link, a.TabLvl1Lnk:visited {
display:block;
padding:4px 10px 3px;
font: bold 0.95em sans-serif;
color:#FFF;
text-decoration:none;
text-align:center;
}
table.TabLvl1Tbl td {
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left top;
background-color:#666699;
border:solid 1px #aba1b5;
}
table.TabLvl1Tbl td.TabLvl1TblSelTd {
background-color:#9999CC;
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left bottom;
border-bottom:none;
}

/* LEVEL 2 TABS */
.TabLvl2Div {
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left bottom;
background-color:#9999CC;
padding:6px 0px 0px 10px
}
a.TabLvl2Lnk:link, a.TabLvl2Lnk:visited{
display:block;
padding:3px 6px 2px;
font: 0.8em sans-serif;
color:#333;
text-decoration:none;
text-align:center;
}
table.TabLvl2Tbl div.TabLvl2SelTxt {
display:block;
padding:3px 6px 2px;
font: 0.8em sans-serif;
color:#333;
font-weight:normal;
text-align:center;
}
table.TabLvl2Tbl td {
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left top;
background-color:#CCCCFF;
border:solid 1px #aba1b5;
}
table.TabLvl2Tbl td.TabLvl2TblSelTd {
border-bottom:none;
background-image:url(../images/other/dot.gif);
background-repeat:repeat-x;
background-position:left bottom;
background-color:#FFF;
border-left:solid 1px #aba1b5;
border-right:solid 1px #aba1b5;
border-top:solid 1px #aba1b5;

Identity Manager エンドユーザーインタフェースで、水平ナビゲーションバーは enduser.xml 内のエンドユーザーナビゲーションユーザーフォームによって駆動されます (ID-12415)。

Identity Manager で、Lighthouse アカウントは Identity Manager アカウントと呼ばれるようになりました。カタログをカスタマイズすることで、この名称変更を元に戻すことができます (ID-14918)。カスタムカタログの詳細については、『Identity Manager 配備に関する技術概要』の「Enabling Internationalization」を参照してください。

Identity Manager に、サポートされるすべての作業項目タイプ名、拡張子、および表示名を指定する新しい設定オブジェクト (WorkItemTypes 設定オブジェクト) が追加されました (ID-15468)。この設定オブジェクトは、init.xml および update.xml によってインポートされる sample/workItemTypes.xml で定義されます。

extends 属性を使用することで、作業項目タイプ (workItem タイプ) を階層化できます。作業項目を作成するとき、その workItem タイプが次のものであれば、Identity Manager は作業項目を指定されたユーザーに委任します。

委任されるタイプ

委任されているタイプの従属 workItem タイプのいずれか


workItem タイプ	説明	表示名
Approval	WorkItem を拡張する	承認
OrganizationApproval	Approval を拡張する	組織の承認
ResourceApproval	Approval を拡張する	リソースの承認
RoleApproval	Approval を拡張する	ロールの承認
Attestation	WorkItem	アクセスレビューアテステーション
review	WorkItem	是正
accessReviewRemediation	WorkItem	アクセス

「マストヘッドの外観を変更する」の節のコードサンプルで、最初の行が「MstDiv」となっていますが、これは誤りです。この行は「.MstDiv」に変更する必要があります (ID-16072)。

「ブラウザのタイトルバーをカスタマイズする」の節を次のように変更する必要があります (ID-16073)。

次の XML ファイルをインポートします。

コード例 1
インポートする XML

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE Configuration PUBLIC 'waveset.dtd' 'waveset.dtd'>
<Configuration name='AltMsgCatalog'>
<Extension>
<CustomCatalog id='AltMsgCatalog' enabled='true'>
<MessageSet language='en' country='US'>
<Msg id='UI_BROWSER_TITLE_PROD_NAME_OVERRIDE'>Override Name</Msg>
</MessageSet>
</CustomCatalog>
</Configuration>
</Extension>

Identity Manager IDE を使用して、System Configuration オブジェクトを編集のためにロードします。次の新しい最上位属性を追加します。

Name = customMessageCatalog

Type = string

Value = AltMsgCatalog

ui.web Generic Object を開き、browserTitleProdNameOverride 属性を検索します。この値を true に設定します。

System Configuration オブジェクトの変更を保存し、アプリケーションサーバーを再起動します。

デフォルトでは、Identity Manager の匿名登録処理では、employeeId に加えてユーザー指定の名 (firstName) と姓 (lastName) を使用することによって、accountId および emailAddress の値が生成されます (ID-16131)。

EndUserRuleLibrary 内の 3 つの規則を、次の表に示すように編集します。


編集する規則	この変更を行う方法
getAccountId	employeeId のみを使用する (および、firstName と lastName を削除する)
getEmailAddress	employeeId のみを使用する (firstName、lastName、および "." を削除する)
verifyFirstname	アジア圏の 1 文字の名を使用できるよう、長さチェックを 2 から 1 に変更する

「End User Anonymous Enrollment Completion Form」フォームを編集し、getAccountId および getEmailAddress 規則への呼び出しから firstName および lastName 引数を削除します。

第 5 章「Identity Manager のプライベートラベリング」で、ログインページのカスタマイズ方法の説明に、メッセージキーに関する次の情報を追加する必要があります (ID-16702)。


JSP または Identity Manager のコンポーネント	影響を受けるインタフェース	メッセージキー
Login Page TITLE	管理者およびユーザー	UI_LOGIN_TITLE_TO_RESOURCE UI_LOGIN_CHALLENGE
Login Page SUBTITLE	管理者およびユーザー	ログインモード Forgot Password、Forgot User ID、Login Challenge に応じてキーを選択します。 UI_LOGIN_WELCOME3 UI_LOGIN_WELCOME4 UI_LOGIN_WELCOME5 UI_LOGIN_WELCOME6 UI_LOGIN_CHALLENGE_INFO
staticLogout.jsp および user/staticUserLogout.jsp	管理者およびユーザー	UI_LOGIN_TITLE
continueLogin.jsp	管理者	UI_LOGIN_IN_PROGRESS_TITLE UI_LOGIN_WELCOME

Identity Manager ワークフロー、フォーム、およびビュー

ここでは、『Sun Java^TM System Identity Manager ワークフロー、フォーム、およびビュー』に追加すべき情報とドキュメントの修正事項を記載しています。

ドキュメントの追加事項と修正事項