A.2 ユーザアプリケーション環境設定: すべてのパラメータ

この表には、[詳細オプションの表示]をクリック時に利用可能な環境設定パラメータが含まれています。

表 A-2 ユーザアプリケーション環境設定: すべてのオプション

設定のタイプ

オプション

説明

識別ボールト設定

識別ボールトサーバ

必須。 LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、次のようにします。

myLDAPhost

LDAPポート

LDAPサーバの非セキュアポートを指定します。たとえば、「389」のように指定してください。

セキュアLDAPポート

LDAPサーバのセキュアポートを指定します。 たとえば、「636」のように指定してください。

識別ボールト管理者

必須。 LDAP管理者の資格情報を指定します。 このユーザはすでに存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。

識別ボールト管理者パスワード

必須。 LDAP管理者パスワードを指定します。 このパスワードは、マスタキーに基づいて暗号化されます。

パブリック匿名アカウントの使用

ログインしていないユーザに、LDAPパブリック匿名アカウントへのアクセスを許可します。

LDAPゲスト

ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 このユーザアカウントは、識別ボールトにすでに存在している必要があります。[LDAPゲスト]を有効にするには、[パブリック匿名アカウントの使用]の選択を解除する必要があります。[ゲストユーザ]を無効にするには、[パブリック匿名アカウントの使用]を選択します。

LDAPゲストパスワード

LDAPゲストパスワードを指定します。

セキュア管理者接続

このオプションを選択すると、管理者アカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。

セキュアなユーザ接続

このオプションを選択すると、ログインユーザのアカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに深刻な悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。

識別ボールトDN

ルートコンテナDN

必須。 ルートコンテナのLDAP識別名を指定します。 これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。

ユーザアプリケーションドライバDN

必須。ユーザアプリケーションドライバの識別名を指定します。たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。

cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

ユーザアプリケーション管理者

必須。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[管理者]タブを使用してポータルを管理できます。

ユーザアプリケーション管理者が、iManager、Novell Designer for identity Manager、またはユーザアプリケーション([要求と承認]タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細は、ユーザアプリケーション: 管理ガイドを参照してください。

ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用する必要があります。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

プロビジョニング管理者

プロビジョニング管理者は、ユーザアプリケーション全体を通して使用可能なプロビジョニングワークフロー機能を管理します。このユーザは、プロビジョニン管理者に指定される前に、識別ボールトに存在する必要があります。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

 

コンプライアンス管理者

コンプライアンス管理者はシステムの役割であり、メンバーはこの[コンプライアンス]タブのすべての機能が実行可能です。このユーザは、コンプライアンスモジュール管理者として指定される前に、識別ボールトに存在している必要があります。

configupdateの間、この値への変更は、有効なコンプライアンス管理者が割り当てられていない場合のみ反映されます。有効なコンプライアンス管理者が存在する場合は、変更は保存されません。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

 

役割管理者

この役割を使用すると、そのメンバーはすべての役割の作成、削除、変更、およびユーザ、グループ、またはコンテナへの役割の付与または取り消しを行うことができます。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

configupdateの間、この値への変更は、有効な役割管理者が割り当てられていない場合のみ反映されます。有効な役割管理者が存在する場合は、変更は保存されません。

セキュリティ管理者

この役割により、メンバーはセキュリティドメイン内のすべての機能を付与されます。

セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者はRoles Based Provisioning Module内のすべてのドメインへのアクセス許可を設定できます。セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその他のセキュリティ管理者も割り当てることができます。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

リソース管理者

この役割により、メンバーはリソースドメイン内のすべての機能を付与されます。リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

RBPM設定管理者

この役割により、メンバーは構成ドメイン内のすべての機能を付与されます。RBPM設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。RBPM設定管理者は、Roles Based Provisioning Module内のナビゲーションアイテムへのアクセスを制御します。また、RBPM設定管理者は委任と代理サービス、ユーザインタフェースのプロビジョニング、およびワークフローエンジンを設定します。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。

RBPM Reporting Admin (RBPMレポーティング管理)

レポーティング管理者を指し示します。デフォルトでは、インストーラが他のセキュリティフィールドと同じユーザにこの値を設定します。

Reinitialize RBPM Security (RBPMセキュリティの再初期化)

セキュリティをリセットできるチェックボックスです。

IDMReport URL

Identity Reporting Moduleのユーザインタフェースを指し示すURLです。

識別ボールトユーザID

ユーザ コンテナDN

必須。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。

このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

重要:ユーザによるワークフローの実行を可能とさせる場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者が、確実にこのコンテナに存在するようにしてください。

ユーザコンテナのスコープ

これにより、ユーザの検索スコープが定義されます。

ユーザオブジェクトクラス

LDAPユーザオブジェクトクラス(通常はinetOrgPerson)。

ログイン属性

ユーザのログイン名を表すLDAP属性(たとえばCN)。

名前付け属性

ユーザまたはグループをルックアップする際にIDとして使用するLDAP属性これはログイン属性と同じではありません。ログイン属性はログイン中にのみ使用し、ユーザおよびグループの検索中には使用しません。

ユーザメンバーシップ属性

オプション。ユーザのグループメンバーシップを表すLDAP属性です。 この名前にはスペースを使用しないでください。

識別ボールトユーザグループ

グループコンテナDN

必須。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

グループコンテナのスコープ

これにより、グループの検索スコープが定義されます。

グループオブジェクトクラス

LDAPオブジェクトクラス(通常はgroupofNames)。

グループメンバーシップ属性

ユーザのグループメンバーシップを表す属性です。 この名前にはスペースを使用しないでください。

ダイナミックグループの使用

ダイナミックグループを使用する場合は、このオプションを選択します。

ダイナミックグループオブジェクトクラス

LDAPダイナミックグループオブジェクトクラス(通常はdynamicGroup)。

識別ボールト証明書

キーストアパス

必須。 アプリケーションサーバが実行に使用しているのJREのキーストア(cacerts)ファイルへのフルパスを指定するか、小さな参照ボタンをクリックしてcacertsファイルに移動します。

ユーザアプリケーションのインストールによって、キーストアファイルが変更されます。 LinuxまたはSolarisでは、ユーザにはこのファイルへの書き込み許可が必要です。

WebSphereに関する注意点: キーストアのパスフィールドを、JBossのインストールにおけるJDK cacertsファイルの場所ではなく、RBPMのインストールディレクトリに設定する必要があります。デフォルト値は正しい場所に設定されます。

キーストアパスワード

キーストアパスワードの確認

必須。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。

トラステッドキーストア

トラステッドストアパス

トラステッドキーストアには、すべての信頼される署名者の証明書が含まれます。入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。パスがそこではない場合は、jre/lib/security/cacertsだと推測されます。

トラステッドストアパスワード

このフィールドを入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。値がそこではない場合は、changeitが使用されます。このパスワードは、マスタキーに基づいて暗号化されます。

キーストアタイプJKS

使用するデジタル署名のタイプを示します。このフィールドがチェックされている場合、トラステッドストアパスはタイプJKSです。

キーストアタイプPKCS12

使用するデジタル署名のタイプを示します。このフィールドがチェックされている場合、トラステッドストアパスはタイプPKCS12です。

Novell Auditデジタル署名および証明書キー

 

監査サービスのためのデジタル署名キーおよび証明書を含みます。

 

Novell Auditデジタル署名証明書

監査サービスのためのデジタル署名証明書を表示します。

 

Novell Auditデジタル署名秘密鍵

デジタル署名秘密鍵が表示されます。このキーは、マスタキーに基づいて暗号化されます。

Access Managerの設定

同時ログアウト有効

このオプションが選択されている場合は、ユーザアプリケーションによってユーザアプリケーションおよびNovell Access ManagerまたはiChainの同時ログアウトがサポートされます。Novell Access ManagerまたはiChainはログアウト時にCookieをチェックし、Cookieが存在する場合は、ユーザをICSログアウトページに再ルーティングします。

[同時ログアウト]ページ

Novell Access ManagerまたはiChainログアウトページへのURL。URLはNovell Access ManagerまたはiChainが期待するホスト名です。ICSログが有効な場合は、ユーザはユーザアプリケーションからログアウトし、ユーザはこのページを再ルーティングします。

電子メール サーバの設定

NotificationTemplateホスト

Identity Managerユーザアプリケーションをホストしているアプリケーションサーバを指定します。 たとえば、次のようにします。

myapplication serverServer

この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。

通知テンプレートPORT

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。

通知テンプレートSECURE PORT

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。

通知テンプレートPROTOCOL

非セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンの置き換えに使用します。

通知テンプレートSECURE PROTOCOL

セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンの置き換えに使用されます。

通知SMTP電子メール送信者:

プロビジョニング電子メール内のユーザからの電子メールを指定します。

SMTPサーバ名

プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。

パスワード管理

 

 

外部パスワードWARの使用

この機能によって、外部の[パスワードを忘れた場合]のWarにある[パスワードを忘れた場合]ページと、外部の[パスワードを忘れた場合]のWARがWebサービスを経由してユーザアプリケーションを呼び戻すのに使用するURLを指定できます。

[外部パスワードWARの使用]を選択した場合、[パスワードを忘れた場合のリンク][パスワードを忘れた場合の返信リンク]、および[パスワードを忘れた場合のWebサービスURL]に値を入力する必要があります。

[外部パスワードWarの使用]を選択しない場合は、デフォルトの内部パスワード管理機能が使用されます。/jsps/pwdmgt/ForgotPassword.jsp(最初はhttp(s)プロトコルなし)。これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。

パスワードを忘れた場合のリンク

このURLは[パスワードを忘れた場合]機能ページを指します。 外部または内部のパスワード管理WARにあるForgotPassword.jspファイルを指定します。

 

パスワードを忘れた場合の返信リンク

ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、[パスワードを忘れた場合の返信リンク]を指定します。

[パスワードを忘れた場合のWebサービスURL]

これは、外部の[パスワードを忘れた場合]のWarがコアのパスワードを忘れた場合の機能を実行するユーザアプリケーションを呼び戻すために使用するURLです。URLのフォーマットは次のとおりです。

https://<idmhost>:<sslport>/<idm>/pwdmgt/service

その他

セッションのタイムアウト

アプリケーションセッションのタイムアウト。

OCSP URI

クライアントインストールがOn-Line Certificate Status Protocol (OCSP)を使用する場合は、Uniform Resource Identifier (URI)を指定します。たとえば、フォーマットはhttp://host:port/ocspLocalです。OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。

許可設定パス

許可環境設定ファイルの完全修飾名。

 

識別ボールトインデックスの作成

インストールユーティリティでマネージャ、ismanager、およびsrvprvUUIDの属性のインデックスを作成する場合、このチェックボックスを選択します。これらの属性にインデックスがない場合、ユーザアプリケーションのユーザは、特にクラスタ化された環境ではユーザアプリケーションが低いパフォーマンスの状態にあります。ユーザアプリケーションをインストール後、iManagerを使用して、手動でこれらのインデックスを作成できます。詳細については、セクション 9.3.1, eDirectoryでのインデックスの作成を参照してください。

最良のパフォーマンスを得るには、インデックス作成が完了している必要があります。ユーザアプリケーションを利用可能な状態にする前にインデックスをオンラインモードにする必要があります。

 

識別ボールトインデックスの削除

マネージャ、ismanager、およびsrvprvUUIDの属性のインデックスを削除します。

 

サーバDN

インデックスを作成または削除する必要のあるeDirectoryサーバを選択します。

メモ:複数のeDirectoryサーバでインデックスの環境設定を行うには、configupdateユーティリティを複数回実行する必要があります。一度に指定できるのは1つのサーバのみです。

コンテナオブジェクト

選択済み

使用する各コンテナオブジェクトタイプを選択します。

コンテナオブジェクトタイプ

地域、国、部門、組織、およびドメインの規格コンテナから選択します。iManager内で自分のコンテナを定義でき、これを[新規コンテナオブジェクトの追加]の下に追加できます。

コンテナ属性名

コンテナオブジェクトタイプに関連する属性タイプ名をリストします。

新規コンテナオブジェクトの追加: コンテナオブジェクトタイプ

コンテナとして使用できる識別ボールトからオブジェクトクラス名、LDAPを指定します。

新規コンテナオブジェクトの追加: コンテナ属性名

コンテナオブジェクトの属性名を指定します。