識別情報アプリケーションを設定する際、このタブでは、識別情報アプリケーションが識別ボールトと通信する場合に使用する値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
デフォルトでは、このタブには基本オプションが表示されます。すべての設定を表示するには、[詳細オプションの表示]をクリックします。このタブには、次の設定グループがあります。
このセクションでは、識別情報アプリケーションが識別ボールト内のユーザの識別情報と役割にアクセスできるようにする設定を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、「myLDAPhost」と指定します。
識別ボールトが平文のLDAP要求をリスンするポートを指定します。デフォルトは389です。
LDAPを使用する方法の詳細については、セクション 8.5, 識別ボールトと通信するためのLDAPの使用を参照してください。
識別ボールトがSSL (Secure Sockets Layer)プロトコルを使用したLDAP要求をリスンするポートを指定します。デフォルトは636です。
eDirectoryがインストールされる前にサーバにロードされているサービスがデフォルトのポートを使用している場合は、別のポートを指定する必要があります。LDAPを使用する方法の詳細については、セクション 8.5, 識別ボールトと通信するためのLDAPの使用を参照してください。
必須
LDAP管理者の資格情報を指定します。たとえば、「cn=admin」というようになります。このユーザは識別ボールトにすでに存在している必要があります。
識別情報アプリケーションはこのアカウントを使用して、識別ボールトへの管理接続を行います。この値は、マスタキーに基づいて暗号化されます。
必須
LDAP管理者のパスワードを指定します。このパスワードは、マスタキーに基づいて暗号化されます。
ログインしていないユーザがLDAPパブリック匿名アカウントにアクセスできるかどうかを指定します。
RBPMが管理者アカウント関連のすべての通信でSSLプロトコルを使用するかどうかを指定します。この設定を行っても、SSLを必要としない他の処理はSSLを使用せずに処理を実行できます。
メモ:このオプションを選択すると、パフォーマンスが低下する可能性があります。
RBPMがログインユーザアカウント関連のすべての通信でTLS/SSLプロトコルを使用するかどうかを指定します。この設定を行っても、TLS/SSLを必要としない他の処理はTLS/SSLを使用せずに動作できます。
メモ:このオプションを選択すると、パフォーマンスが低下する可能性があります。
このセクションでは、識別情報アプリケーションとIdentity Managerの他のコンポーネントの間で通信できるようにするコンテナとユーザアカウントの識別名を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
ルートコンテナのLDAP識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。たとえば、「o=mycompany」と指定します。
必須
詳細オプションを表示すると、このパラメータは[識別ボールトユーザ識別情報]に表示されます。
ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
このコンテナ(とその下位)のユーザは、識別情報アプリケーションへのログインを許可されます。
アイデンティティアプリケーションをホストするTomcatを起動したことがある場合、configupdate.shファイルまたはconfigupdate.batファイルを使用してこの設定を変更することはできません。
このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定したユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。
必須
詳細オプションを表示すると、このパラメータは[識別ボールトユーザグループ]に表示されます。
グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
ディレクトリ抽象化レイヤ内のエンティティ定義では、このDNを使用します。
アイデンティティアプリケーションをホストするTomcatを起動したことがある場合、configupdate.shファイルまたはconfigupdate.batファイルを使用してこの設定を変更することはできません。
必須
ユーザアプリケーションドライバの識別名を指定します。
たとえば、ドライバがUserApplicationDriver、ドライバセットの名前がmyDriverSet、ドライバセットのコンテキストがo=myCompanyである場合、「cn=UserApplicationDriver,cn=myDriverSet,o=myCompany」と指定します。
必須
ユーザアプリケーションの指定したユーザコンテナの管理タスクを実行する権限を持つ識別ボールト内の既存のユーザアカウントを指定します。この設定には次の考慮事項が適用されます。
ユーザアプリケーションをホストするTomcatを起動したことがある場合、configupdate.shファイルまたはconfigupdate.batファイルを使用してこの設定を変更することはできません。
ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用します。
このユーザアカウントは、ユーザアプリケーションの[管理]タブを使用してポータルを管理する権利を持ちます。
ユーザアプリケーション管理者が、iManager、Designer、またはユーザアプリケーション([要求と承認]タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細については、『User Application Administration Guide』を参照してください。
ユーザアプリケーション全体で使用可能なプロビジョニングワークフロー機能を管理する識別ボールト内の既存のユーザアカウントを指定します。
ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
[コンプライアンス]タブのすべての機能を実行することをメンバーに許可するシステム役割を実行する識別ボールト内の既存のアカウントを指定します。この設定には次の考慮事項が適用されます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
設定を更新する際、この値に対する変更が有効になるのは、有効なコンプライアンス管理者が割り当てられていない場合のみです。有効なコンプライアンス管理者が存在する場合は、変更は保存されません。
任意の役割の作成、削除、または変更および任意のユーザ、グループ、またはコンテナへの役割割り当ての付与または取消をメンバーに許可する役割を指定します。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。この設定には次の考慮事項が適用されます。
デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
設定を更新する際、この値に対する変更が有効になるのは、有効な役割管理者が割り当てられていない場合のみです。有効な役割管理者が存在する場合は、変更は保存されません。
セキュリティドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者はRBPM内のすべてのドメインのすべてのオブジェクトのアクセス許可を設定できます。セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその他のセキュリティ管理者も割り当てることができます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
リソースドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
構成ドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。
RBPM設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。RBPM設定管理者は、RBPM内のナビゲーション項目へのアクセスを制御します。また、RBPM設定管理者は委任と代理サービス、ユーザインタフェースのプロビジョニング、およびワークフローエンジンを設定します。
識別情報アプリケーションを展開した後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[管理者の割り当て]ページを使用します。
レポーティング管理者を指定します。デフォルトでは、インストールプログラムが他のセキュリティフィールドと同じユーザをこの値に表示します。
このセクションでは、識別情報アプリケーションが識別ボールト内のユーザコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。
必須
詳細オプションを表示していない場合、このパラメータは[識別ボールトDN]に表示されます。
ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
このコンテナ(とその下位)のユーザは、識別情報アプリケーションへのログインを許可されます。
アイデンティティアプリケーションをホストするTomcatを起動したことがある場合、configupdate.shファイルまたはconfigupdate.batファイルを使用してこの設定を変更することはできません。
このコンテナには、ユーザがユーザアプリケーションドライバを設定したときに指定したユーザアプリケーション管理者が含まれている必要があります。含まれていない場合、指定したアカウントはワークフローを実行できません。
識別ボールトユーザがコンテナを検索できるスコープの深さを指定します。
LDAPユーザのオブジェクトクラスを指定します。通常はinetOrgPersonです。
ユーザのログイン名を表すLDAP属性を指定します。たとえば、「cn」と指定します。
ユーザまたはグループをルックアップする際に識別子として使用するLDAP属性を指定します。これはログイン属性とは異なります。ログイン属性はログイン時にのみ使用されます。たとえば、「cn」と指定します。
(オプション)ユーザのグループメンバーシップを表すLDAP属性を指定します。この名前を指定する際、スペースを使用しないでください。
このセクションでは、識別情報アプリケーションが識別ボールト内のグループコンテナと通信できるようにする値を定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。
必須
詳細オプションを表示していない場合、このパラメータは[識別ボールトDN]に表示されます。
グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。
ディレクトリ抽象化レイヤ内のエンティティ定義では、このDNを使用します。
アイデンティティアプリケーションをホストするTomcatを起動したことがある場合、configupdate.shファイルまたはconfigupdate.batファイルを使用してこの設定を変更することはできません。
識別ボールトユーザがグループコンテナを検索できるスコープの深さを指定します。
LDAPグループのオブジェクトクラスを指定します。通常はgroupofNamesです。
(オプション)ユーザのグループメンバーシップを指定します。この名前にはスペースを使用しないでください。
ダイナミックグループを使用するかどうかを指定します。
[ダイナミックグループオブジェクトクラス]の値も指定する必要があります。
[ダイナミックグループの使用]を選択している場合のみ適用されます。
LDAPダイナミックグループのオブジェクトクラスを指定します。通常はdynamicGroupです。
このセクションでは、JREキーストアのパスとパスワードを定義します。いくつかの設定は、インストールプロセスを完了するために必須です。
必須
Tomcatが動作するために使用しているJREのキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。この設定には次の考慮事項が適用されます。
現在の環境におけるRBPMのインストールディレクトリを指定する必要があります。デフォルト値は正しい場所に設定されます。
識別情報アプリケーションのインストールプログラムは、キーストアファイルを変更します。Linuxでは、ユーザにこのファイルへの書き込み許可が必要です。
必須
キーストアファイルのパスワードを指定します。デフォルトは、「changeit」です。
このセクションでは、電子メールベースの承認に使用できる、電子メール通知を有効にする値を定義します。詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』のEnabling Support for Digital Signatures
およびアイデンティティアプリケーションのヘルプのManage Approvals by Email
を参照してください。
アイデンティティアプリケーションをホストするTomcatの名前またはIPアドレスを指定します。たとえば、「myapplication serverServer」と指定します。
この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 インストールプログラムはこの情報を使用して、プロビジョニング要求タスクと承認通知を参照するURLを作成します。
アイデンティティアプリケーションをホストするTomcatのポート番号を指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンがこの値で置き換えられます。
アイデンティティアプリケーションをホストするTomcatのセキュアポート番号を指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンがこの値で置き換えられます。
ユーザの電子メールを送信する際にURLに使用する非セキュアプロトコルを指定します。たとえば、「http」と指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンがこの値で置き換えられます。
ユーザの電子メールを送信する際にURLに使用するセキュアプロトコルを指定します。たとえば、「https」と指定します。
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンがこの値で置き換えられます。
識別情報アプリケーションが電子メール通知を送信するために使用する電子メールアカウントを指定します。
識別情報アプリケーションがプロビジョニング電子メールに使用するSMTP電子メールホストのIPアドレスまたはDNS名を指定します。localhostは使用しないでください。
サーバに認証が必要かどうかを指定します。
電子メールサーバに対する資格情報も指定する必要があります。
サーバには認証が必要ですを有効にした場合にのみ適用されます。
電子メールサーバのログインアカウントの名前を指定します。
サーバには認証が必要ですを有効にした場合にのみ適用されます。
メールサーバのログインアカウントのパスワードを指定します。
メールサーバ間の転送中に電子メールメッセージのコンテンツをセキュリティ保護するかどうかを指定します。
電子メール通知に添付するイメージへのパスを指定します。たとえば、「http://localhost:8080/IDMProv/images」と指定します。
送信メッセージにデジタル署名を追加するかどうかを指定します。
このオプションを有効にする場合は、キーストアと署名キーの設定も指定する必要があります。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
電子メールをデジタルで署名するために使用するキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。
たとえば、/opt/netiq/idm/apps/jre/lib/security/cacertsです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
キーストアファイルのパスワードを指定します。たとえば、changeitです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
キーストアの署名キーの別名を指定します。たとえば、idmapptestです。
Sign email (電子メールの署名)を有効にした場合にのみ適用されます。
署名キーを含むファイルを保護するパスワードを指定します。たとえば、changeitです。
このセクションでは、識別情報アプリケーションのトラステッドキーストアの値を定義します。このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。
信頼される署名者のすべての証明書が含まれるトラステッドキーストアへのパスを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでjre/lib/security/cacertsに設定します。
トラステッドキーストアのパスワードを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでchangeitに設定します。
このパスワードは、マスタキーに基づいて暗号化されます。
トラステッドストアパスがデジタル署名にJavaキーストア(JKS)またはPKCS12のどちらを使用するかを指定します。
このセクションでは、Identity Managerがイベント監査のためにSentinelと通信できるようにする値を定義します。このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。
Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム公開鍵証明書が表示されます。
Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム秘密鍵ファイルへのパスを指定します。
このセクションの設定は、[詳細オプションの表示]を選択した場合のみ表示されます。
クライアントインストールがオンライン証明書状態プロトコル(OCSP)を使用する際に使用するUniform Resource Identifier(URI)を指定します。たとえば、「http://host:port/ocspLocal」と指定します。
OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。
許可環境設定ファイルの完全修飾名を指定します。
インストール時にインストールプログラムでmanager、ismanager、およびsrvprvUUIDの各属性にインデックスを作成するかどうかを指定します。インストール後にそれらのインデックスの新しい場所を参照するように設定を変更できます。この設定には次の考慮事項が適用されます。
これらの属性にインデックスがない場合、識別情報アプリケーションユーザは、特にクラスタ化環境で、識別情報アプリケーションのパフォーマンスの低下を感じる可能性があります。
識別情報アプリケーションをインストールした後、iManagerを使用して、手動でこれらのインデックスを作成できます。詳細については、セクション 39.4, 識別情報アプリケーションで使用する識別ボールトの設定を参照してください。
パフォーマンスを最大化するには、インストール時にインデックスを作成する必要があります。
識別情報アプリケーションをユーザが使用できるようにする前に、これらのインデックスをオンラインモードにする必要があります。
インデックスを作成または削除するには、[サーバDN]にも値を指定する必要があります。
識別ボールトインデックスを作成または削除する必要がある場合にのみ適用されます。
インデックスを作成または削除するeDirectoryサーバを指定します。
指定できるサーバは一度に1つだけです。複数のeDirectoryサーバでインデックスを設定するには、RBPM設定ユーティリティを複数回実行する必要があります。
インストールプロセスの終了時にRBPMセキュリティをリセットするかどうかを指定します。識別情報アプリケーションを再展開する必要もあります。
Identity Manager ReportingモジュールのURLを指定します。たとえば、「http://hostname:port/IDMRPT」と指定します。
ブラウザで識別情報アプリケーションを表示する際に使用するカスタマイズしたテーマの名前を指定します。
idmuserapp_logging.xmlファイルのCONSOLEアペンダとFILEアペンダのレイアウトパターンで使用する値を指定します。デフォルト値はRBPMです。
RBPMのコンテキスト名を変更するかどうかを指定します。
役割とリソースドライバの新しい名前とDNも指定する必要があります。
[RBPMコンテキスト名の変更]を選択している場合にのみ適用されます。
RBPMの新しいコンテキスト名を指定します。
[RBPMコンテキスト名の変更]を選択している場合にのみ適用されます。
役割とリソースドライバのDNを指定します。
このセクションのパラメータはインストール時にのみ適用されます。
このセクションでは、コンテナオブジェクトの値を定義したり、新しいコンテナオブジェクトを作成したりできます。
使用するコンテナオブジェクトタイプを指定します。
コンテナの地域、国、部門、組織、またはドメインを指定します。
iManager内で自分のコンテナを定義でき、これを[新規コンテナオブジェクトの追加]の下に追加できます。
指定したコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。
新しいコンテナとして使用可能な識別ボールトのオブジェクトクラスのLDAP名を指定します。
新しいコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。