目次    

管理サービス属性

管理サービスにはグローバル属性と組織属性があります。グローバル属性に適用される値は Sun Java System Access Manager 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Access Manager アプリケーションをカスタマイズすることであるため、ロールまたは組織に直接適用することはできません。組織属性に適用される値は設定済みの各組織のデフォルト値で、サービスを組織に登録するときに変更できます。組織属性は組織のエントリに継承されません。管理属性は次のように分けられます。

グローバル属性

管理サービスのグローバル属性は次のとおりです。

連携管理を有効

このフィールドを選択すると、連携管理が有効になります。デフォルトは有効です。この機能を無効にするには、「連携管理サービス」タブのフィールドの選択を解除します。これによって、コンソールに表示されなくなります。

ユーザー管理を有効

このフィールドが true (チェックボックスを選択) の場合、ユーザー管理が有効になります。デフォルトは有効です。

ピープルコンテナの表示

この属性は、Access Manager コンソールにピープルコンテナを表示するかどうかを指定します。このオプションを選択すると、組織、コンテナ、およびグループコンテナの「表示」メニューに「ピープルコンテナ」メニュー項目が表示されます。「ピープルコンテナ」はフラット DIT の最上位レベルにのみ表示されます。

ピープルコンテナは、ユーザープロファイルを含む組織単位です。DIT で 1 つのピープルコンテナを使用し、ロールの柔軟性を利用してアクセスおよびサービスを管理することをお勧めします。Access Manager コンソールのデフォルトの動作では、ピープルコンテナは非表示です。ただし、DIT に複数のピープルコンテナがある場合は、「ピープルコンテナを表示」を選択して、ピープルコンテナを Access Manager コンソールの管理対象オブジェクトとして表示します。

「表示」メニューにコンテナを表示

この属性は、Access Manager コンソールの「表示」メニューにコンテナを表示するかどうかを指定します。デフォルト値は false です。管理者は必要に応じてどちらかを選択できます。

グループコンテナの表示

この属性は、Access Manager コンソールにグループコンテナを表示するかどうかを指定します。このオプションを選択すると、組織、コンテナ、およびグループコンテナの「表示」メニューに「グループコンテナ」メニュー項目が表示されます。グループコンテナはグループの組織単位です。

管理されているグループタイプ

このオプションは、コンソールで作成した加入グループがスタティックかダイナミックかを指定します。コンソールは、スタティックでありかつダイナミックである加入グループではなく、スタティックまたはダイナミックのどちらかである加入グループを作成および表示します。フィルタを適用したグループは、この属性に指定された値には関係なく常にサポートされます。デフォルト値はダイナミックです。

管理者は次の中から 1 つ選択できます。

デフォルトロールアクセス権

この属性は、新しいロールの作成時に管理者権限の認可に使うデフォルト ACI (アクセス制御命令) または権限のリストを定義します。必要な権限のレベルに応じて、これらの ACI の 1 つを選択します。Access Manager にはデフォルトロール権限が 4 つあります。

アクセス権なし (No permission)

ロールにアクセス権が設定されません。

組織管理者 (Organization Admin)

組織管理者は設定済み組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。

組織のヘルプデスク管理者 (Organization Help Desk Admin)

組織のヘルプデスク管理者は、設定済み組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。

組織ポリシー管理者 (Organization Policy Admin)

組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っています。組織のポリシー管理者は、ピア組織に対する参照ポリシーを作成できません。


ロールは、aci_name | aci_desc | dn:aci ## dn:aci ## dn:aci という形式で定義します。

  • aci_name は ACI の名前
  • aci_desc はこれらの ACI が許可するアクセスの説明。使いやすくするため、対象読者は ACI やその他のディレクトリの概念に関する知識がないものと仮定する

aci_name および aci_desc は、amAdminUserMsgs.properties ファイルに含まれる国際化 (i18n) キーです。コンソールに表示される値は、.properties ファイルから取得され、これらのキーを使用して値を検索します。

  • dn:aci は DN と ACI のペアを表し、## で区切る。Access Manager は関連付けられた DN エントリの各 ACI を設定する。この形式では、ACI の値に、特定の名前の代わりに次のタグを指定できる。ROLENAME、ORGANIZATION、GROUPNAME および PCNAME。これらのタグを使用することによって、デフォルトとして使用するのに十分に柔軟なロールを定義できる。デフォルトのロールの 1 つに基づいてロールを作成すると、ACI のタグはその新しいロールの DN から取得した値になる

ドメインコンポーネントツリーを有効

ドメインコンポーネントツリー (DC ツリー) は固有の DIT 構造で、多くの Sun Java System コンポーネントがこれを使用して、DNS 名と組織のエントリ間のマッピングをします。

このオプションを有効にすると、組織が作成されたときに組織の DNS 名が入力されていれば、組織の DC ツリーエントリが作成されます。DNS 名フィールドは、組織作成ページに表示されます。このオプションは最高位レベルの組織にのみ適用され、サブ組織には表示されません。

組織ツリーで、Access Manager SDK を使用して inetdomainstatus 属性の状態を変更すると、対応する DC ツリーエントリの状態が更新されます。Access Manager SDK を使用せずに状態を更新した場合、その内容は同期しません。たとえば、新しい組織 sun を sun.com という DNS 名属性で作成すると、DC ツリーに次のエントリが作成されます。

この DC ツリーは、 AMConfig.propertiescom.iplanet.am.domaincomponent を設定することによって構成される自分のルートサフィックスを、任意で持つことができます。デフォルトでは、これはAccess Manager root に設定されています。異なるサフィックスが望ましい場合は、LDAP コマンドを使ってこのサフィックスを作成する必要があります。組織を作成する管理者の ACI は、新しい DC ツリーのルートに無制限のアクセス権を持つように、修正する必要があります。

管理グループを有効

このオプションは、DomainAdministrators および DomainHelpDeskAdministrators グループを作成するかを指定します。選択すると (true)、これらのグループが作成され、それぞれ組織管理者ロールおよび組織ヘルプデスク管理者ロールと関連付けられます。このグループが作成されると、これらの関連するロールの 1 つにユーザーを追加したり削除したりしたときに、対応するグループへのユーザーの追加や、グループからのユーザーの削除が自動的に行われます。ただし、逆の処理は行われません。これらのグループの 1 つでユーザーの追加や削除をしても、関連するロールではユーザーの追加や削除は行われません。

DomainAdministrators および DomainHelpDeskAdministrators グループは、このオプションを有効にした後に作成された組織でのみ作成されます。


このオプションはサブ組織には適用されません。ただし、root org は例外です。root org には、ServiceAdministrators および ServiceHelpDesk 管理者グループが作成され、それぞれ最上位レベル管理者および最上位レベルヘルプデスク管理者のロールと関連付けられます。同じ動作が適用されます。


ユーザー削除時に削除フラグをつける

このオプションは、ディレクトリからユーザーのエントリを削除するか、それとも削除マークを付けるだけかを指定します。ユーザーのエントリが削除され、このオプションが選択されている場合 (true)、ユーザーのエントリはまだディレクトリに存在していますが、削除マークは付けられています。削除マークを付けられたユーザーエントリは、ディレクトリサーバーが検索している間、返されることはありません。このオプションが選択されていない場合は、ユーザーのエントリはディレクトリから削除されます。

ダイナミックな管理者ロール ACI

この属性は、Access Manager を使ってグループまたは組織を構成するときにダイナミックに作成される管理者ロールのアクセス制御命令を定義します。これらのロールは、作成したエントリの特定のグループに管理権限を与えるのに使用します。デフォルトの ACI はこの属性リストの下でのみ変更できます。


警告

組織レベルの管理者は、グループ管理者よりも広範なアクセス権を持っています。ただし、デフォルトでは、ユーザーをグループ管理者ロールに追加すると、そのユーザーはグループ内すべてのユーザーのパスワードを変更できます。これには、そのグループのメンバーである組織管理者も含まれます。


コンテナヘルプデスク管理者 (Container Help Desk Admin)

コンテナのヘルプデスク管理者ロールは、組織単位のすべてのエントリに対する読み取りアクセス権、およびそのコンテナ単位だけにあるユーザーエントリの userPassword 属性に対する書き込みアクセス権を持っています。

組織のヘルプデスク管理者 (Organization Help Desk Admin)

組織のヘルプデスク管理者は、組織のすべてのエントリに対する読み取りアクセス権、および userPassword 属性に対する書き込みアクセス権を持っています。


サブ組織を作成するときは、管理者ロールは親組織ではなくサブ組織に作成してください。


コンテナ管理者 (Container Admin)

コンテナ管理ロールは、LDAP 組織単位 (OU) のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。Access Manager では、LDAP 組織単位をコンテナと呼ぶことがあります。

組織ポリシー管理者 (Organization Policy Admin)

組織のポリシー管理者は、組織のすべてのポリシーに対する読み取りアクセス権と書き込みアクセス権を持っており、組織内のすべてのポリシーについて作成、割り当て、修正、および削除ができます。

ピープルコンテナ管理者 (People Container Admin)

デフォルトで、新規に作成した組織のユーザーエントリはその組織のピープルコンテナのメンバーです。ピープルコンテナ管理者は、組織のピープルコンテナのすべてのユーザーエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。なお、このロールは、ロールおよびグループ DN を含む属性に対する読み取りアクセス権と書き込みアクセス権を持っていないため、ロールまたはグループの属性を変更したり、ロールまたはグループからユーザーを削除したりすることができません。


ほかのコンテナは、Access Manager とともに設定して、ユーザーエントリ、グループエントリ、またはほかのコンテナを保持することができます。組織を構成した後で、作成されたコンテナに管理者ロールを適用するには、デフォルトのコンテナ管理者ロールまたはコンテナヘルプデスク管理者 を使用します。


グループ管理者 (Group Admin)

グループ管理者は、特定グループのすべてのメンバーに対する読み取りアクセス権および書き込みアクセス権を持っており、新しいユーザーの作成、管理しているグループへのユーザーの割り当て、および作成したユーザーの削除を行うことができます。

グループを作成すると、そのグループを管理するのに必要な権限を持つグループ管理者ロールが自動的に作成されます。このロールはグループのメンバーに自動的には割り当てられません。グループの作成者、またはグループ管理者ロールへのアクセス権を持つ人が割り当てる必要があります。

最上位レベル管理者 (Top-level Admin)

最上位レベル管理者は、最上位レベル組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。言い換えれば、最上位レベル管理者ロールには、Access Manager アプリケーション内のすべての設定主体に対する権限があります。

組織管理者 (Organization Admin)

組織管理者は、組織のすべてのエントリに対する読み取りアクセス権と書き込みアクセス権を持っています。組織を作成すると、その組織を管理するのに必要な権限を持つ組織管理者ロールが自動的に作成されます。

ユーザープロファイルサービスクラス

この属性は、ユーザープロファイルページでカスタム表示を持つサービスを一覧表示します。サービスによっては、コンソールによって生成されるデフォルト表示では不十分な場合があります。この属性は、どんなサービスでもカスタム表示を作成し、表示するサービス情報の内容や、表示の方法をすべてコントロールすることができます。構文は次のとおりです。

DC ノード属性リスト

このフィールドは、オブジェクトが作成されたときに DC ツリーエントリ内に設定される属性のセットを定義します。デフォルトのパラメータは次のとおりです。

削除済みオブジェクトの検索フィルタ

このフィールドは、ユーザー削除の有効時に削除されたオブジェクトを検索するための検索フィルタを定義します。

デフォルトピープルコンテナ

この属性は、デフォルトピープルコンテナを指定します。ユーザーはこのコンテナに作成されます。

デフォルトグループコンテナ

この属性は、デフォルトグループコンテナを指定します。グループはこのコンテナに作成されます。

デフォルトエージェントコンテナ

この属性は、デフォルトエージェントコンテナを指定します。エージェントはこのコンテナに作成されます。

組織属性

管理サービスの組織属性は次のとおりです。

グループのデフォルトピープルコンテナ

このフィールドは、デフォルトのピープルコンテナを指定します。ユーザーは作成時にこのコンテナに配置されます。デフォルト値はありません。有効な値は、ピープルコンテナの DN です。ピープルコンテナの代替順位については、グループのピープルコンテナリスト属性の下にある注を参照してください。

グループのピープルコンテナリスト

このフィールドは、ピープルコンテナのリストを指定します。グループ管理者は、新しいユーザーを作成するときに、このリストから選択できます。ディレクトリツリー内に複数のピープルコンテナがある場合に、このリストを使用できます。このリスト、または「グループのデフォルトピープルコンテナ」フィールドにピープルコンテナが指定されていない場合、ユーザーはデフォルトの Access Manager ピープルコンテナ ou=people に作成されます。このフィールドのデフォルト値はありません。この属性の構文は次のとおりです。

ユーザープロファイル表示クラス

この属性は、Access Manager コンソールがユーザープロファイルページを表示するときに使用する Java のクラスを指定します。

エンドユーザープロファイル表示クラス

この属性は、Access Manager コンソールがエンドユーザープロファイルページを表示するときに使用する Java のクラスを指定します。

ユーザープロファイルページにロールを表示

このオプションは、ユーザープロファイルページの一部としてユーザーに割り当てられるロールのリストを表示するかどうかを指定します。この値が false (選択されていない) の場合、ユーザープロファイルページは管理者だけにユーザーのロールを表示します。デフォルト値は false です。

ユーザープロファイルページにグループを表示

このオプションは、ユーザープロファイルページの一部としてユーザーに割り当てられるグループのリストを表示するかどうかを指定します。この値が false (選択されていない) の場合、ユーザープロファイルページは管理者だけにユーザーのグループを表示します。デフォルト値は false です。

ユーザーのグループへの自己加入を有効

このオプションは、加入可能なグループにユーザーが自分自身を追加できるかどうかを指定します。この値が false の場合、ユーザーのグループメンバーシップを変更できるのは管理者だけです。デフォルト値は false です。


このオプションは、「ユーザープロファイルページにグループを表示」オプションが選択されている場合だけ適用されます。


ユーザープロファイル表示オプション

このメニューは、どのサービス属性がユーザープロファイルページに表示されるかを指定します。管理者は次の中から選択できます。

ユーザー作成のデフォルトロール

このリストは、新規に作成されたユーザーに自動的に割り当てるロールを定義します。デフォルト値はありません。管理者は 1 つまたは複数のロールの DN を入力できます。


このフィールドに指定できるのは、完全識別名のアドレスだけです。ロール名は指定できません。ロールは、Access Manager ロールだけを使用でき、LDAP (Directory Server) ロールは使用できません。


管理コンソールタブ

このフィールドは、コンソールの上部に表示されるモジュールの Java クラスを一覧表示します。構文は、i18N キー | Java クラス名です。i18N キーは、「表示」メニューのエントリのローカル名に使用します。

検索で返される結果の最大数

このフィールドは検索で返される結果の最大数を定義します。デフォルト値は 100 です。


警告

この属性に大きな値を設定する場合は注意が必要です。サイズの制限については、以下の場所にある『Sun Java System Directory Server Installation and Tuning Guide』を参照してください。

http://docs.sun.com/db/doc/816-6697-10


検索のタイムアウト

このフィールドは検索を開始してからタイムアウトするまでの時間 (秒数) を定義します。これは長くかかる可能性のある検索を停止するために使用します。最大検索時間に達すると、エラーが返されます。デフォルト値は 5 秒です。

JSP ディレクトリ名

このフィールドは、コンソールを構築するのに使用する .jsp ファイルを含むディレクトリの名前を指定し、組織に異なった外観を与えます (カスタマイズ)。.jsp ファイルは、このフィールドで指定されたディレクトリにコピーする必要があります。

オンラインヘルプドキュメント

このフィールドは、Access Manager ヘルプのメインページ上に作成されるオンラインヘルプリンクをリ一覧表示します。これにより、ほかのアプリケーションは、そのオンラインヘルプリンクを Access Manager ページに追加できます。この属性の形式は次のとおりです。

次に例を示します。

必要なサービス

このフィールドは、ユーザーが作成されたときにダイナミックにユーザーのエントリに追加されるサービスを一覧表示します。管理者は、作成時にどのサービスを追加するかを選択できます。

この属性は、コンソールではなく、Access Manager SDK によって使用されます。amadmin コマンド行ユーティリティによってダイナミックに作成されるユーザーは、この属性に含まれているサービスを割り当てられます。

ユーザー検索キー

この属性は、ナビゲーションページで単純検索を実行するときに検索対象となる属性の名前を定義します。この属性のデフォルト値は cn です。たとえば、この属性がデフォルト値を使用している場合は、次のようになります。

ナビゲーションフレームの「名前」フィールドに j* を入力すると、「j」または「J」で始まる名前が表示されます。

ユーザー検索により返される属性

このフィールドは、単純検索で返されるユーザーを表示する時に使用する属性名を定義します。この属性のデフォルトは、uidcn です。ユーザー ID とユーザーのフルネームが表示されます。

最初に一覧表示された属性名は、返されたユーザーセットをソートするキーとしても使用されます。ユーザーエントリに設定された属性値を使用して、パフォーマンスの低下を回避します。

ユーザー作成通知リスト

このフィールドは、新しいユーザーが作成されたときに通知を送る電子メールアドレスのリストを定義します。以下の構文のように、複数の電子メールアドレスを指定できます。

|locale オプションを使用すると、異なるロケールの通知リストも指定できます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。

ユーザー削除通知リスト

このフィールドは、ユーザーが削除されたときに通知を送る電子メールアドレスのリストを定義します。以下の構文のように、複数の電子メールアドレスを指定できます。

|locale オプションを使用すると、異なるロケールの通知リストも指定できます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。

ユーザー修正通知リスト

このフィールドは、属性および属性に関連する電子メールアドレスのリストを定義します。リストに定義された属性でユーザーの修正が発生すると、その属性に関連する電子メールアドレスに通知が送信されます。各属性は、それぞれ異なるセットの関連アドレスを持つことができます。以下の構文のように、複数の電子メールアドレスを指定できます。

アドレスのいずれか 1 つに self キーワードを使用することもできます。このキーワードを使用すると、プロファイルが修正されたユーザーにメールが送信されます。

次に例を示します。

この場合、manager 属性で指定されたアドレス、someuser@sun.comadmin@sun.com およびユーザーを修正した人 (self) にメールが送信されます。

|locale オプションを使用すると、異なるロケールの通知リストも指定できます。たとえばフランスにいる管理者に通知を送信するには、次のようにします。

ページごとの最大表示エントリ数

この属性を使用して、ページあたりに表示できる最大行数を定義することができます。デフォルトは 25 です。たとえばユーザー検索結果が 100 行の場合、1 ページあたり 25 行のページが 4 ページ表示されます。

イベントリスナークラス

この属性には、イベントの作成、修正、および Access Manager コンソールからの削除を受信するリスナーのリストが含まれています。

プレおよびポストプロセスクラス

このフィールドはプラグインを介する実装クラスのリストを定義します。そのプラグインは com.iplanet.am.sdk.AMCallBack クラスを拡張して、ユーザー、組織、ロールおよびグループのプロセスの前後をとおしてコールバックを受信します。次のプロセスがあります。

プラグインの完全クラス名を入力する必要があります。次に例を示します。

Web コンテナのクラスパスを Access Manager のインストール場所から、プラグインクラスの完全パスに変更する必要があります。

外部属性のフェッチを有効

このオプションは、プラグインのコールバックを有効にして、外部アプリケーション固有の外部属性を取得できるようにします。Access Manager SDK では、外部属性をキャッシュできません。そのため、組織レベルごとに属性の取得が可能になります。デフォルトでは、このオプションは無効です。

不正なユーザー ID 文字

この属性は、ユーザー名に使用できない文字のリストを定義します。各文字は「|」文字で区切る必要があります。次に例を示します。

*|(|)|&|!

ユーザー ID とパスワードの検証プラグインクラス

このクラスにより、ユーザー ID とパスワード検証プラグインのメカニズムが提供されます。

このクラスのメソッドは、ユーザーのユーザー ID とパスワードを検証する実装プラグインモジュールにより、オーバーライドする必要があります。Access Manager コンソール、amadmin コマンド行インタフェース、または SDK を使用して、ユーザー ID またはパスワードの値を追加するか変更すると、実装プラグインモジュールが呼び出されます。

このクラスを拡張するプラグインは、組織ごとに設定することができます。組織に対してプラグインが設定されていない場合は、グローバルレベルで設定されたプラグインが使用されます。

プラグインの検証が失敗した場合は、プラグインは例外をスローし、ユーザーが入力したユーザー ID またはパスワードのエラーをアプリケーションに通知します。


目次