A.3 承認アプリケーションの設定

ご使用の環境ニーズや、管理者がIdentity Managerをどのように設定しているかに応じて、さまざまな方法でNetIQ Identity Manager承認アプリケーションを設定できます。

  • 承認アプリケーションへのアクセス要求をユーザアプリケーションインタフェースで作成し、Identity Manager管理者によって提供された電子メールリンクからデバイスでそのアプリケーションを起動します。このリンクには、必要な設定情報がすべて含まれています。

  • デバイスを使用して設定リンクをクリックするか、設定QRコードをスキャンします。リンクまたはQRコードによって、必要なすべての設定情報や会社の一般的な設定情報が提供されます。

  • 承認アプリケーションで、ご使用の環境の設定情報を手入力します。

重要:ユーザがリンクまたはQRコードを使用して承認アプリケーションを自動的に設定できるようにするには、Identity Manager環境の管理者が最初にリンクまたはQRコードを有効にする必要があります。

A.3.1 ユーザアプリケーションからのモバイルアクセスの要求

管理者が設定した場合、ユーザアプリケーションを使用して承認アプリケーションへのアクセスを要求できます。Identity Managerによって、カスタマイズされたリンクを含む電子メールが送信されます。その電子メールをデバイスで開くと、自分自身の情報でアプリケーションを自動的に設定できます。

ユーザアプリケーションからモバイルアクセスを要求するには、次の手順を実行します。

  1. Webブラウザで、HTTPS (https://)プロトコルを使用してIdentity Managerユーザアプリケーションにログインします。

    メモ:承認アプリケーションへのアクセスを要求するには、HTTPSプロトコルを使用してユーザアプリケーションにログインする必要があります。

  2. プロセス要求の作成]をクリックします。

  3. [プロセス要求カテゴリ]ドロップダウンメニューをクリックし、[アカウント]を選択します。

  4. 続行]をクリックします。

  5. モバイル承認アプリケーションの要求]をクリックします。

    メモ:プロセス要求カテゴリと名前は、管理者が承認アプリケーションの要求プロセスをどのように設定しているかに応じて異なる場合があります。

  6. 必要な情報をプロセス要求フォームに入力し、[送信]をクリックします。

  7. Identity Manager管理者から電子メールを受信したら、その電子メールをデバイスで開き、提供されたリンクをクリックしてデバイスをRoles Based Provisioning Moduleサーバに接続します。

    メモ:すでにアプリケーションをインストールしている場合、既存の設定が上書きされることを示す警告メッセージが表示されることがあります。警告メッセージに表示されているホスト名が、アプリケーションへのアクセス要求でアクセスしたホストと同じであることを確認してください。不明な場合はリンクをクリックしないで、管理者にお問い合わせください。

    ホスト名が正しい場合は、[受諾]をクリックして既存の設定を上書きします。

  8. アプリケーションが起動されたら、パスワードを入力し、[接続のテスト]アイコン をクリックして設定を確認します。

A.3.2 設定リンクまたはQRコードの使用

Identity Manager管理者から、承認アプリケーションを設定するための設定リンクが提供されることがあります。デバイスのブラウザでリンクを開くと、アプリケーションが自動的に設定されます。

ただし、このリンクで提供できるのは、必要な設定の一部のみです。通常、リンクまたはコードで提供できるのは、承認アプリケーションが機能するために必要なRoles Based Provisioning Moduleサーバの詳細のみです。リンクをクリックした後、ユーザ名やパスワードなど、自動的に設定されない情報を手動で設定する必要があります。

環境によっては、デバイスから電子メールにアクセスできない場合があります。デバイスで電子メールを受信できない場合は、Identity Manager管理者から提供された、パーソナライズされたQRコードをデバイスでスキャンすることができます。

必要に応じて、提供されたQRコードをコンピュータに表示するか、印刷し、デバイスのQRコードリーダを使用してコードをスキャンしてください。ご使用の環境で使用できるように、QRコードによって承認アプリケーションが自動的に設定された後、ユーザ名とパスワードを手動で設定します。

A.3.3 承認アプリケーションの手動設定

承認アプリケーションの設定時に使用するリンクまたはQRコードがIdentity Manager環境の管理者から提供されなかった場合、必要な情報を手動で設定することもできます。

警告:デバイスでアプリケーションを手動設定するにはIdentity Managerコンポーネントについての詳しい知識が必要なので、社内のRoles Based Provisioning Moduleおよびユーザアプリケーション環境に精通している上級ユーザのみがアプリケーションを手動で設定することをお勧めします。その他のユーザがアプリケーションを設定する場合は、Identity Manager管理者にお問い合わせください。

アプリケーションで、[設定]アイコン をクリックして必要な設定を指定し、[接続のテスト]アイコン をクリックして設定を確認します。

承認アプリケーションを使用するには、次の設定が必要です。

ログイン設定の名前

ログイン設定の説明

Username

Roles Based Provisioning Moduleサーバへのアクセスに使用するユーザ名を指定します。

[Password (パスワード)]

Roles Based Provisioning Moduleサーバへのアクセスに使用するパスワードを指定します。

Data Sync (データ同期)

アプリケーションとRoles Based Provisioning Moduleサーバとの間でデータをアクティブに同期する場合に指定します。

[詳細]>[Server Details (サーバの詳細)]>[サーバ]

Roles Based Provisioning Moduleサーバの完全修飾ドメイン名またはIPアドレスを指定します。

[詳細]>[Server Details (サーバの詳細)]>[Secure Port (セキュアポート)]

アプリケーションがサーバへの接続に使用するHTTPSポートを指定します。

[詳細]>[Server Details (サーバの詳細)]>[コンテキスト]

ユーザアプリケーションのWARファイルをインストールする際に使用されるコンテキストを指定します。デフォルト値はIDMProvです。

[詳細]>[Server Details (サーバの詳細)]>[ユーザコンテナ]

ユーザ情報を保存するアイデンティティボールトコンテナの完全DNを指定します。

[詳細]>[Server Details (サーバの詳細)]>[タイムアウト]

サーバへの接続を試行する際、接続を取り消すまでにアプリケーションが待機する秒数を指定します。デフォルト値は5秒です。

[詳細]>[Data Definition Settings (データ定義設定)]>[User Entity (ユーザエンティティ)]

アイデンティティボールトでユーザを表すLDAPエンティティを指定します。デフォルト値はuserです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Name Format (名前書式)]

アプリケーションがユーザのフルネームの書式設定に使用するDAL属性の表記を指定します。デフォルト値はFirstName LastNameです。

[詳細]>[Data Definition Settings (データ定義設定)]>[First Name Attr (名属性)]

ユーザの名を表すDAL属性の名前を指定します。デフォルト値はFirstNameです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Last Name Attr (姓属性)]

ユーザの姓を表すDAL属性の名前を指定します。デフォルト値はLastNameです。

[詳細]>[Data Definition Settings (データ定義設定)]>[User Photo Attr (ユーザ写真属性)]

ユーザの写真を格納するDAL属性の名前を指定します。デフォルト値はUserPhotoです。

メモ:Identity Managerで写真を設定していない場合や、写真を表示しないようにIdentity Managerを設定している場合は、代わりに汎用の画像が表示されます。

[詳細]>[Data Definition Settings (データ定義設定)]>[Work Phone Attr (勤務先電話番号属性)]

ユーザの勤務先電話番号を表すDAL属性の名前を指定します。デフォルト値はTelephoneNumberです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Mobile Phone Attr (携帯電話番号属性)]

ユーザの携帯電話番号を表すDAL属性の名前を指定します。デフォルト値はmobileです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Email Attr (電子メール属性)]

ユーザの電子メールアドレスを表すDAL属性の名前を指定します。デフォルト値はEmailです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Photo LDAP Attr (写真LDAP属性)]

ユーザの写真を格納するLDAP属性の名前を指定します。デフォルト値はphotoです。

[詳細]>[Data Definition Settings (データ定義設定)]>[名前付け属性]

名前を表すためにアイデンティティボールトで使用される名前付けDAL属性を指定します。デフォルト値はcnです。

[詳細]>[Data Definition Settings (データ定義設定)]>[Provisioning Admin (プロビジョニング管理者)]

Roles Based Provisioning Moduleサーバのプロビジョニング管理者であるかどうかを指定します。

[詳細]>[Accepted Certificates (受諾された証明書)]

承認アプリケーションで受諾されるようにする、Roles Based Provisioning Moduleサーバからの無効な証明書または自己署名証明書を指定します。

承認アプリケーションが自己署名証明書または無効な証明書を検出すると、証明書の受諾または拒否を確認するメッセージが表示されます。証明書を受諾すると、証明書が[Accepted Certificates (受諾された証明書)]リストに追加されます。[Accepted Certificates (受諾された証明書)]リストから証明書を削除するには、証明書の名前をクリックし、アプリケーションを再起動します。

メモ:Roles Based Provisioning Moduleサーバ証明書が有効な場合、証明書は[Accepted Certificates (受諾された証明書)]リストに追加されません。有効な証明書はデフォルトで受諾されます。

[詳細]>[Rejected Certificates (拒否された証明書)]

承認アプリケーションで受諾されないようにする、Roles Based Provisioning Moduleサーバからの無効な証明書または自己署名証明書を指定します。

承認アプリケーションが自己署名証明書または無効な証明書を検出すると、証明書の受諾または拒否を確認するメッセージが表示されます。証明書を拒否すると、証明書が[Rejected Certificates (拒否された証明書)]リストに追加されます。拒否された証明書をサーバが提示した場合、アプリケーションはサーバへの接続を確立できません。

[Rejected Certificates (拒否された証明書)]リストから証明書を削除するには、証明書の名前をクリックします。