15.8 識別情報アプリケーションの設定の管理

必須

LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、「myLDAPhost」と指定します。

識別ボールトが平文のLDAP要求をリスンするポートを指定します。デフォルトは389です。

識別ボールトがSSL (Secure Sockets Layer)プロトコルを使用したLDAP要求をリスンするポートを指定します。デフォルトは636です。

eDirectoryがインストールされる前にサーバにロードされているサービスがデフォルトのポートを使用している場合は、別のポートを指定する必要があります。

必須

LDAP管理者の資格情報を指定します。たとえば、「cn=admin」というようになります。このユーザは識別ボールトにすでに存在している必要があります。

識別情報アプリケーションはこのアカウントを使用して、識別ボールトへの管理接続を行います。この値は、マスタキーに基づいて暗号化されます。

必須

LDAP管理者のパスワードを指定します。このパスワードは、マスタキーに基づいて暗号化されます。

ログインしていないユーザがLDAPパブリック匿名アカウントにアクセスできるかどうかを指定します。

RBPMが管理者アカウント関連のすべての通信でSSLプロトコルを使用するかどうかを指定します。この設定を行っても、SSLを必要としない他の処理はSSLを使用せずに処理を実行できます。

RBPMがログインユーザアカウント関連のすべての通信でTLS/SSLプロトコルを使用するかどうかを指定します。この設定を行っても、TLS/SSLを必要としない他の処理はTLS/SSLを使用せずに動作できます。

必須

ルートコンテナのLDAP識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。たとえば、「o=mycompany」と指定します。

必須

詳細オプションを表示すると、このパラメータは［識別ボールトユーザ識別情報］に表示されます。

ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。

必須

詳細オプションを表示すると、このパラメータは［識別ボールトユーザグループ］に表示されます。

グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。

必須

ユーザアプリケーションドライバの識別名を指定します。

たとえば、ドライバがUserApplicationDriver、ドライバセットの名前がmyDriverSet、ドライバセットのコンテキストがo=myCompanyである場合、「cn=UserApplicationDriver,cn=myDriverSet,o=myCompany」と指定します。

必須

ユーザアプリケーションの指定したユーザコンテナの管理タスクを実行する権限を持つ識別ボールト内の既存のユーザアカウントを指定します。この設定には次の考慮事項が適用されます。

ユーザアプリケーション全体で使用可能なプロビジョニングワークフロー機能を管理する識別ボールト内の既存のユーザアカウントを指定します。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの管理 > 管理者の割り当てページを使用します。

コンプライアンスタブのすべての機能を実行することをメンバーに許可するシステム役割を実行する識別ボールト内の既存のアカウントを指定します。この設定には次の考慮事項が適用されます。

任意の役割の作成、削除、または変更および任意のユーザ、グループ、またはコンテナへの役割割り当ての付与または取消をメンバーに許可する役割を指定します。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。この設定には次の考慮事項が適用されます。

セキュリティドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

リソースドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

構成ドメイン内のすべての機能をメンバーに付与する役割を指定します。この設定には次の考慮事項が適用されます。

レポーティング管理者を指定します。デフォルトでは、インストールプログラムが他のセキュリティフィールドと同じユーザをこの値に表示します。

必須

詳細オプションを表示していない場合、このパラメータは［識別ボールトDN］に表示されます。

ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。

識別ボールトユーザがコンテナを検索できるスコープの深さを指定します。

LDAPユーザのオブジェクトクラスを指定します。通常はinetOrgPersonです。

ユーザのログイン名を表すLDAP属性を指定します。たとえば、「cn」と指定します。

ユーザまたはグループをルックアップする際に識別子として使用するLDAP属性を指定します。これはログイン属性とは異なります。ログイン属性はログイン時にのみ使用されます。たとえば、「cn」と指定します。

(オプション)ユーザのグループメンバーシップを表すLDAP属性を指定します。この名前を指定する際、スペースを使用しないでください。

必須

詳細オプションを表示していない場合、このパラメータは［識別ボールトDN］に表示されます。

グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。この設定には次の考慮事項が適用されます。

識別ボールトユーザがグループコンテナを検索できるスコープの深さを指定します。

LDAPグループのオブジェクトクラスを指定します。通常はgroupofNamesです。

(オプション)ユーザのグループメンバーシップを指定します。この名前にはスペースを使用しないでください。

ダイナミックグループを使用するかどうかを指定します。

ダイナミックグループオブジェクトクラスの値も指定する必要があります。

ダイナミックグループの使用を選択している場合のみ適用されます。

LDAPダイナミックグループのオブジェクトクラスを指定します。通常はdynamicGroupです。

必須

Tomcatが動作するために使用しているJREのキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。この設定には次の考慮事項が適用されます。

必須

キーストアファイルのパスワードを指定します。デフォルトは、「changeit」です。

アイデンティティアプリケーションをホストするTomcatの名前またはIPアドレスを指定します。たとえば、「myapplication serverServer」と指定します。

この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 インストールプログラムはこの情報を使用して、プロビジョニング要求タスクと承認通知を参照するURLを作成します。

アイデンティティアプリケーションをホストするTomcatのポート番号を指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンがこの値で置き換えられます。

アイデンティティアプリケーションをホストするTomcatのセキュアポート番号を指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンがこの値で置き換えられます。

ユーザの電子メールを送信する際にURLに使用する非セキュアプロトコルを指定します。たとえば、「http」と指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンがこの値で置き換えられます。

ユーザの電子メールを送信する際にURLに使用するセキュアプロトコルを指定します。たとえば、「https」と指定します。

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンがこの値で置き換えられます。

識別情報アプリケーションが電子メール通知を送信するために使用する電子メールアカウントを指定します。

識別情報アプリケーションがプロビジョニング電子メールに使用するSMTP電子メールホストのIPアドレスまたはDNS名を指定します。localhostは使用しないでください。

サーバに認証が必要かどうかを指定します。

電子メールサーバに対する資格情報も指定する必要があります。

サーバには認証が必要ですを有効にした場合にのみ適用されます。

電子メールサーバのログインアカウントの名前を指定します。

サーバには認証が必要ですを有効にした場合にのみ適用されます。

メールサーバのログインアカウントのパスワードを指定します。

メールサーバ間の転送中に電子メールメッセージのコンテンツをセキュリティ保護するかどうかを指定します。

電子メール通知に添付するイメージへのパスを指定します。たとえば、「http://localhost:8080/IDMProv/images」と指定します。

送信メッセージにデジタル署名を追加するかどうかを指定します。

このオプションを有効にする場合は、キーストアと署名キーの設定も指定する必要があります。

Sign email (電子メールの署名)を有効にした場合にのみ適用されます。

電子メールをデジタルで署名するために使用するキーストア(cacerts)ファイルへのフルパスを指定します。手動でパスを入力するか、またはcacertsファイルを参照して指定できます。

たとえば、C:\NetIQ\idm\apps\jre\lib\security\cacertsです。

Sign email (電子メールの署名)を有効にした場合にのみ適用されます。

キーストアファイルのパスワードを指定します。たとえば、changeitです。

Sign email (電子メールの署名)を有効にした場合にのみ適用されます。

キーストアの署名キーの別名を指定します。たとえば、idmapptestです。

Sign email (電子メールの署名)を有効にした場合にのみ適用されます。

署名キーを含むファイルを保護するパスワードを指定します。たとえば、changeitです。

信頼される署名者のすべての証明書が含まれるトラステッドキーストアへのパスを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでjre\lib\security\cacertsに設定します。

トラステッドキーストアのパスワードを指定します。入力しない場合は、識別情報アプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。このシステムプロパティからパスを取得できない場合、インストールプログラムはデフォルトでchangeitに設定します。

このパスワードは、マスタキーに基づいて暗号化されます。

トラステッドストアパスがデジタル署名にJavaキーストア(JKS)またはPKCS12のどちらを使用するかを指定します。

Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム公開鍵証明書が表示されます。

Sentinelに送信される監査メッセージをOAuthサーバが認証するために使用するカスタム秘密鍵ファイルへのパスを指定します。

クライアントインストールがオンライン証明書状態プロトコル(OCSP)を使用する際に使用するUniform Resource Identifier(URI)を指定します。たとえば、「http://host:port/ocspLocal」と指定します。

OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。

許可環境設定ファイルの完全修飾名を指定します。

インストール時にインストールプログラムでmanager、ismanager、およびsrvprvUUIDの各属性にインデックスを作成するかどうかを指定します。インストール後にそれらのインデックスの新しい場所を参照するように設定を変更できます。この設定には次の考慮事項が適用されます。

識別ボールトインデックスを作成または削除する必要がある場合にのみ適用されます。

インデックスを作成または削除するeDirectoryサーバを指定します。

指定できるサーバは一度に1つだけです。複数のeDirectoryサーバでインデックスを設定するには、RBPM設定ユーティリティを複数回実行する必要があります。

インストールプロセスの終了時にRBPMセキュリティをリセットするかどうかを指定します。識別情報アプリケーションを再展開する必要もあります。

Identity Manager ReportingモジュールのURLを指定します。たとえば、「http://hostname:port/IDMRPT」と指定します。

ブラウザでIdentity Applicationsを表示する際に使用するカスタマイズしたテーマの名前を指定します。

idmuserapp_logging.xmlファイルのCONSOLEアペンダとFILEアペンダのレイアウトパターンで使用する値を指定します。デフォルト値はRBPMです。

RBPMのコンテキスト名を変更するかどうかを指定します。

役割とリソースドライバの新しい名前とDNも指定する必要があります。

RBPMコンテキスト名の変更を選択している場合にのみ適用されます。

RBPMの新しいコンテキスト名を指定します。

RBPMコンテキスト名の変更を選択している場合にのみ適用されます。

役割とリソースドライバのDNを指定します。

使用するコンテナオブジェクトタイプを指定します。

コンテナの地域、国、部門、組織、またはドメインを指定します。

iManager内で自分のコンテナを定義でき、これを新規コンテナオブジェクトの追加の下に追加できます。

指定したコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。

新しいコンテナとして使用可能な識別ボールトのオブジェクトクラスのLDAP名を指定します。

新しいコンテナオブジェクトタイプに関連付けられている属性タイプの名前を指定します。

Identity Reportingが通知を送信する際に使用する電子メールサーバのDNS名またはIPアドレスを指定します。localhostは使用しないでください。

SMTPサーバのポート番号を指定します。

電子メールサーバとの通信にTLS/SSLプロトコルを使用するかどうかを指定します。

電子メールサーバとの通信に認証を使用するかどうかを指定します。

認証に使用する電子メールアドレスを指定します。

値を指定する必要があります。サーバで認証が不要の場合は、無効なアドレスを指定できます。

サーバは認証が必要と指定している場合にのみ適用されます。

SMTPユーザアカウントのパスワードを指定します。

電子メールサーバとの通信に認証を使用するかどうかを指定します。

Identity Reportingが完了したレポートを保持する期間を指定します。この期間が経過すると、完了したレポートは削除されます。たとえば、6カ月を指定するには、レポート有効期間フィールドに「6」と入力し、レポートの単位フィールドで月を選択します。

レポート定義を保存する場所のパスを指定します。たとえば、C:\NetIQ\idm\apps\IdentityReportingです。

レポーティングのために追加する認証ソースのタイプを指定します。次の認証ソースを指定できます。

必須

トークンをOSPに発行する認証サーバの相対URLを指定します。たとえば、「192.168.0.1」と指定します。

認証サーバのポートを指定します。

認証サーバが通信にTLS/SSLを使用するかどうかを指定します。

必須

OSPが認証する必要がある管理者ユーザオブジェクトが含まれる識別ボールト内のコンテナの識別名を指定します。たとえば、「ou=sa,o=data」と指定します。

同じcn値を持つ複数のeDirectoryユーザオブジェクトを区別するために使用するLDAP属性の名前を指定します。デフォルト値はmailです。

識別ボールト内のユーザコンテナおよび管理者コンテナにおける検索を、そのコンテナ内のユーザオブジェクトのみに限定するのか、それともサブコンテナも検索対象にするのかを指定します。

ユーザが何も操作せずに一定時間が経過するとサーバはそのユーザセッションをタイムアウトさせますが、その時間を分単位で指定します。デフォルト値は20分です。

OSPアクセストークンの有効期間の秒数を指定します。デフォルト値は60秒です。

OSPリフレッシュトークンの有効期間の秒数を指定します。リフレッシュトークンはOSPが内部的に使用します。既定値は 48 時間です。

ユーザがログオンする際にIdentity Managerが使用する認証タイプを指定します。

KerberosまたはSAMLを指定している場合にのみ適用されます。

Kerberosチケットサーバまたは識別情報プロバイダのSAML表現にマッピングする属性の名前を指定します。

SAMLを指定している場合にのみ適用されます。

OSPが認証要求をSAMLにリダイレクトする際に使用するURLを指定します。

使用するパスワード管理システムのタイプを指定します。

［ユーザアプリケーション(レガシ)］: Identity Managerが従来使用していたパスワード管理プログラムを使用します。このオプションを使用すると、外部パスワード管理プログラムを使用することもできます。

このチェックボックスパラメータは、SSPRを使用する場合にのみ適用されます。

ユーザがパスワードを忘れた場合にヘルプデスクに連絡せずに回復するように設定するかどうかを指定します。

パスワードを忘れた場合の機能で秘密の質問の答えに関するポリシーも設定する必要があります。詳細については、『NetIQ Self Service Password Reset Administration Guide』を参照してください。

このメニューリストは、ユーザアプリケーション(レガシ)を選択している場合にのみ適用されます。

ユーザアプリケーションまたは外部システムのどちらに統合されているパスワード管理システムを使用するかを指定します。

外部パスワード管理システムを使用する場合にのみ適用されます。

パスワードを忘れた場合の機能ページを参照するURLを指定します。外部または内部のパスワード管理WARにあるForgotPassword.jspファイルを指定します。

外部パスワード管理システムを使用する場合にのみ適用されます。

ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、パスワードを忘れた場合の返信リンクのURLを指定します。

外部パスワード管理システムを使用する場合にのみ適用されます。

パスワードを忘れた場合の外部WARがユーザアプリケーションを呼び戻してパスワードを忘れた場合のコア機能を実行するために使用するURLを指定します。次の形式を使用してください。

https://<idmhost>:<sslport>/<idm>/
pwdmgt/service

監査システムに送信される監査メッセージをOSPサーバが認証するために使用するカスタム公開鍵証明書を指定します。

Novell Auditで使用するために証明書を設定する方法の詳細については、『Novell Audit Administration Guide』の「Managing Certificates」を参照してください。

監査システムに送信される監査メッセージをOSPサーバが認証するために使用するカスタム秘密鍵ファイルへのパスを指定します。

必須

ダッシュボードのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmdashです。

必須

ダッシュボードのシングルサインオンクライアントのパスワードを指定します。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmdash/oauth.htmlです。

必須

Identity Manager管理者のシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmadminです。

必須

［Identity Manager管理者］のシングルサインオンクライアントのパスワードを指定します。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmadmin/oauth.htmlです。

必須

ユーザアプリケーションのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はrbpmです。

必須

ユーザアプリケーションのシングルサインオンクライアントのパスワードを指定します。

必須

ユーザアプリケーションから［ダッシュボード］にアクセスするために使用する相対URLを指定します。デフォルト値は/landingです。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMProv/oauthです。

必須

SSO認証に必要な、RBPMからeDirectory SAMLへの設定を指定します。

必須

Identity Reportingのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はrptです。

必須

Identity Reportingのシングルサインオンクライアントのパスワードを指定します。

必須

Identity Reportingから［ダッシュボード］にアクセスするために使用する相対URLを指定します。デフォルト値は/idmdash/#/landingです。

Identity Reportingと識別情報アプリケーションを異なるサーバにインストールしている場合は、絶対URLを指定します。使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMRPT/oauthです。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/IDMRPT/oauthです。

必須

Identity Managerデータ収集サービスのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はidmdcsです。

必須

Identity Managerデータ収集サービスのシングルサインオンクライアントのパスワードを指定します。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/idmdcs/oauth.htmlです。

データ収集サービスドライバのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。このパラメータのデフォルト値はdcsdrvです。

データ収集サービスドライバのシングルサインオンクライアントのパスワードを指定します。

必須

SSPRのシングルサインオンクライアントを認証サーバに認識させるために使用する名前を指定します。デフォルト値はssprです。

必須

SSPRのシングルサインオンクライアントのパスワードを指定します。

必須

認証完了時に認証サーバがブラウザクライアントをリダイレクトする絶対URLを指定します。

使用するフォーマットは、protocol://server:port/pathです。たとえば、https://192.168.0.1:8543/sspr/public/oauth.htmlです。